Lớp tấn công được sử dụng để xác định các cuộc tấn công độc lập xảy ra như một phần của một kịch bản tấn công. Một cuộc tấn công được coi là hướng vào một máy tính mục tiêu cụ thể với một sự kiện mục tiêu nhất định. Cuộc tấn công cũng bao gồm tập hợp các bước thực hiện để đạt được các sự kiện mục tiêu cuối cùng. Một cuộc tấn công ví dụ đơn giản được miêu tả trong hình 2.2. Trong cuộc tấn công này, mục tiêu cuối cùng là cài đặt một backdoor trên mạng máy chủ tập tin nội bộ được coi là an toàn. Các tin tặc bên ngoài đầu tiên thực hiện sự kiện do thám để quét các máy chủ với truy cập trực tiếp từ bên ngoài (Internet). Các tin tặc sau đó thực hiện một bước xâm nhập để truy cập vào máy chủ web. Từ máy chủ web, các
tin tặc thực hiện một sự kiện xâm nhập và một sự kiện leo thang để đạt được quyền truy cập root của một máy tính trong mạng nội bộ. Với quyền root đạt được, những kẻ tấn công có thể xâm nhập vào các máy chủ tập tin và thực hiện cài đặt backdoor.
Hình 2.2: Ví dụ về tấn công leo thang
Giao diện để thêm một cuộc tấn công vào một kịch bản tấn công cung cấp hai phương pháp khác nhau để xác định một cuộc tấn công. Những phương pháp này quy định cụ thể các bước của cuộc tấn công hoặc tự động tạo ra các bước của cuộc tấn công. Nếu người dùng đưa ra để xác định mỗi sự kiện được sử dụng theo sự leo thang của một cuộc tấn công, sau đó thiết lập cuộc tấn công bằng tay có thể được lựa chọn. Tuy nhiên, nếu người dùng chỉ quan tâm đến mục tiêu cuối cùng thực hiện bằng việc tấn công và không thực sự quan tâm đến các bước chính xác được sử dụng để đạt được mục tiêu, sau đó thiết lập cuộc tấn công tự động có thể được lựa chọn.
Lớp tấn công cung cấp các thuộc tính và phương pháp được sử dụng để tạo các đối tượng tấn công chi tiết. Một số thuộc tính quan trọng được xác định trong lớp tấn công bao gồm các loại tấn công (bằng tay hoặc tự động), các tên tấn công, các mạng được sử dụng, các kịch bản tấn công, cuộc tấn công các máy tính mục tiêu cuối cùng, các loại mục tiêu cuối cùng, các bước trong cuộc tấn công, thời gian bắt đầu của cuộc tấn công, tổng thời gian của cuộc tấn công, một lựa chọn theo cấp số, một tham số hiệu quả, một tham số lén lút và một tham số kỹ năng.
Lưu trữ các đối tượng tấn công là lưu một dãy các bước tấn công của các đối tượng. Ngoài ra, các thuộc tính cho tổng thời gian của các cuộc tấn công sẽ chỉ được
sử dụng nếu các bước thời gian không được định nghĩa tách biệt. Tùy chọn theo cấp số là một thuộc tính Boolean cho biết tổng thời gian của cuộc tấn công (nếu được định nghĩa) được phân phối theo cấp số xung quanh một giá trị hoặc sử dụng một giá trị không đổi. Ba thuộc tính tham số (hiệu quả, lén lút và kỹ năng) được sử dụng khi xác định một cuộc tấn công tự động tạo ra.
Khi thêm một cuộc tấn công dẫn đến một kịch bản hoặc khi chỉnh sửa một cuộc tấn công được xác định bằng tay, người dùng được trình bày với một hình thức lưu trữ các bước của cuộc tấn công.
Trong các dạng tấn công, IP nguồn và IP mục tiêu cho biết địa chỉ IP của nguồn và đích cho lưu lượng các bước tấn công tương ứng. Dựa trên địa chỉ IP nguồn được lựa chọn , danh sách các địa chỉ IP có sẵn trong số IP mục tiêu sẽ được lọc để đại diện cho các máy có thể được truy cập từ các máy đại diện bởi địa chỉ IP nguồn . Sự kiện được lựa chọn bằng cách chỉ ra các loại sự kiện chính và phụ sau đó chọn từ sự kiện có sẵn phù hợp với các loại này. Các sự kiện phụ là không cần thiết mà còn giúp thu hẹp danh sách các sự kiện có sẵn. Lọc ra những sự kiện vô lý để kiểm tra, các máy tính mục tiêu được lựa chọn (bằng cách tham khảo các IP mục tiêu) đóng vai t như là một tiêu chí để lọc ra danh sách các sự kiện có thể được thực hiện. Ngoài ra, thời gian quy định cho các bước có thể được quy định như một giá trị không đổi hoặc phân phối theo cấp số. Bước thời gian này chỉ ra hết bao nhiêu thời gian thì mô phỏng sẽ vượt qua trước khi bước tiếp theo có thể được thực hiện [5].