下载掌阅APP,畅读海量书库
立即打开
钻石模型是由塞尔吉奥·卡尔塔吉龙在2013年提出的一个入侵分析模型,该模型首次建立了一种可以将科学原理应用于入侵分析的正式方法。该模型通过四个核心特征来描述网络入侵活动事件,即对手、基础设施、能力和受害者。这些特征通过边连接,来表示它们之间的基本关系,最终排列成一个类似钻石的形状,因此被称为钻石模型。除了四个基本特征,钻石模型还定义了元特征以及扩展特征 [3] 。元特征主要用来进一步描述攻击事件,其主要包括时间戳、阶段、结果、方向、手段、资源等。扩展特征关注和定义更高级别的结构以及描述模型中基本特征之间的关系。在扩展的钻石模型中,社会政治和技术这两个关键的扩展特征的加入,既扩大了入侵分析的关系,也考虑了入侵分析的复杂性。
(1)社会政治特征定义了对手在所有的恶意活动中的基本意图或目标,这关系到对手的动机以及更大的攻击战略。对手的意图和目标选择了受害者,以及这些受害者在他们的目标中该如何发挥出作用。
(2)技术特征引入并扩大了基础设施和特征之间的关系。这个特征将所有的后端技术联系在一起,并使得特征与基础设施之间的通信成为可能。
通过建立钻石模型,可以进行支点分析,如图4-1所示,即任意提取一个核心特征或者扩展特征,并将该特征与数据源相结合来发现相关特征的分析技术。因此,它提供了一个对攻击活动进行信息记录、合成、关联的简单正式且全面的方法。这种科学的方法可以改善分析的效率、效能和准确性。
图4-1 钻石模型
从任何一个特定的特征中,入侵分析人员均能够观察到其他链接元素(节点)的活动。例如,从受害者出发,入侵分析人员将能够识别事件中动用的能力和使用的基础设施。同样,从能力或基础设施出发,入侵分析人员也可以观察对手的情况。
(1)对手。
现实中存在着大量对手(可能是内部人员、外部人员、个人、团体或组织),其目的在于破坏计算机系统或网络以进一步实现其意图并满足其需求。
对手是一个为恶意行为负责的人的模型特征。虽然是个简单的概念,但它可以很容易地划分出对手消费者及其操作者。消费者是对手定义最终目标的行动和接收收集到的情报的组成部分。操作者是负责执行操作的技术组件。
(2)能力。
此模型特征侧重于描述和定义所使用的工具或技术,包括各种攻击手段和方法。对手所需要注意的是,在某个恶意事件或活动线内部,仅可能观察到对手能力的有限子集,也就是无法准确地衡量对手的所有能力。
(3)基础设施。
此模型特征描述了交付、策划、控制以及通信这些能力所使用到的物理的和逻辑的资产。基础设施被定义为两种类型:完全由对手控制或拥有的基础设施;由中间人控制或拥有的基础设施。
基础设施特征可以显示出关于对手的一些被调查的恶意行为的细节;然而,基础设施也可以用于将多个恶意行为链接到单个对手。互联网服务提供商(ISP)是基础设施功能的子组件,可以用作识别不同事件之间的潜在关系的选择器(攻击者通常在不同的行为中重复使用相同的ISP)。此外,可以对基础设施的类型进行特别观察,因为它反映了对手运用基础设施的方法,不过难以发现有组织分工且跨多种操作功能的对手。
(4)受害者。
受害者是对手的目标,对手利用受害者的漏洞和风险,并使用能力完成网络入侵。受害者的身份和资产在不同的分析中起到重要作用,脆弱性评估必然和资产相关。资产同时可能是攻击面或最终目标。