一種基于網(wǎng)絡(luò)對抗的惡意代碼破壞效果控制模型

曹瑩瑩

(鹽城師范學(xué)院信息科學(xué)與技術(shù)學(xué)院,江蘇鹽城 224002)

一種基于網(wǎng)絡(luò)對抗的惡意代碼破壞效果控制模型

曹瑩瑩

(鹽城師范學(xué)院信息科學(xué)與技術(shù)學(xué)院,江蘇鹽城 224002)

針對傳統(tǒng)惡意代碼破壞行為盲目、破壞效果單一的不足,提出了一種破壞效果分級可控的惡意代碼攻擊模型HCMM,改進(jìn)了惡意代碼破壞效果評估指標(biāo)體系,并利用基于AHP的多級模糊綜合評估模型設(shè)計了惡意代碼破壞效果預(yù)估算法.實驗結(jié)果表明,HCMM模型有效地改善了破壞效果可控性與自適應(yīng)性,更符合現(xiàn)代信息對抗以及網(wǎng)絡(luò)安全性測試的要求.

惡意代碼;分級破壞;攻擊效果預(yù)估;破壞效果控制

0 引 言

隨著通信網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展以及新興惡意代碼技術(shù)的層出不窮,惡意代碼對信息網(wǎng)絡(luò)的破壞日益嚴(yán)重.研究惡意代碼技術(shù)直接關(guān)系著公眾的切身利益,關(guān)系著國家信息的安全,關(guān)系著國家信息基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)行.

傳統(tǒng)惡意代碼,例如蠕蟲類病毒“磁碟機(jī)”、木馬類惡意代碼“AV終結(jié)者”[1,2],一般對每個攻擊目標(biāo)采取相同的破壞行為.具有實時控制功能的木馬程序,如著名的“灰鴿子遠(yuǎn)程控制”[3]、“gh0st遠(yuǎn)程控制”[4],雖可以依據(jù)攻擊者意圖完成特定攻擊,但這些破壞行為必須在攻擊者實時操作下完成,而程序本身不具有對受控主機(jī)和網(wǎng)絡(luò)脆弱性、連通性、業(yè)務(wù)性等特性的分析能力.組合攻擊[5]從Red Team的角度研究如何利用計算機(jī)的脆弱性對計算機(jī)網(wǎng)絡(luò)進(jìn)行逐步入侵,最終獲取網(wǎng)絡(luò)中計算機(jī)的一個合法身份,進(jìn)而對網(wǎng)絡(luò)進(jìn)行深度攻擊.

本文結(jié)合組合攻擊建模思想提出一種破壞效果分級可控的惡意代碼攻擊模型(Hierarchical and Controllable Malicious Model,HCMM),該模型改進(jìn)了惡意代碼破壞效果評估指標(biāo)體系,并利用基于AHP的多級模糊綜合評估模型精確預(yù)估攻擊效果.該攻擊模型重點關(guān)注對網(wǎng)絡(luò)計算機(jī)的“個性化”深度攻擊.

1 HCMM模型

本文提出的HCMM模型如圖1所示.網(wǎng)絡(luò)系統(tǒng)參數(shù)抽象模塊包括威脅主體建模、網(wǎng)絡(luò)建模、受攻擊主機(jī)建模和防御主體建模4個方面.

圖1 HCMM模型結(jié)構(gòu)示意圖

圖1中,威脅主體建模是對網(wǎng)絡(luò)中可能存在的網(wǎng)絡(luò)攻擊者建立模型,包括攻擊者的初始能力、攻擊目標(biāo)以及它可能使用的原子攻擊手段;網(wǎng)絡(luò)建模是對網(wǎng)絡(luò)本身建立抽象模型,包括主機(jī)配置信息、網(wǎng)絡(luò)的連接關(guān)系、主機(jī)之間的信任關(guān)系等;防御主體建模主要對網(wǎng)絡(luò)中存在的防御主體建立抽象模型,包括防火墻、IDS、網(wǎng)絡(luò)監(jiān)控系統(tǒng)等;攻擊模式庫構(gòu)造器通過不斷收集新的安全事件信息,分析處理后形成原子攻擊模式庫,原子攻擊模式庫可以定期更新;分級組合攻擊方案構(gòu)造器采用合適的模型構(gòu)造算法,對各種輸入數(shù)據(jù)進(jìn)行分析處理,輸出分級攻擊方案.

1.1 網(wǎng)絡(luò)建模

網(wǎng)絡(luò)系統(tǒng)參數(shù)抽象涉及到分別對威脅主體、網(wǎng)絡(luò)本身以及防御主體進(jìn)行建模.2002年,Sheyner提出了描述網(wǎng)絡(luò)的{H,C,T,I,A,ids}六元組[6].本文使用該六元組對HCMM模型中的網(wǎng)絡(luò)信息進(jìn)行建模.

1.2 主機(jī)建模

主機(jī)建模,是指以適當(dāng)?shù)牧６冗x取的組件,并對這些組件及其相互關(guān)系建立模型.該模型應(yīng)該包括一臺主機(jī)在網(wǎng)絡(luò)中的位置、操作系統(tǒng)相關(guān)信息、充當(dāng)?shù)慕巧?、包含的敏感信息等要?主機(jī)信息模型為攻擊者和分級組合攻擊方案構(gòu)造器提供充要的參考信息,為制定最優(yōu)的攻擊方案提供知識.

文獻(xiàn)[6]對于主機(jī)的建模比較模糊.通過對大量惡意代碼攻擊目標(biāo)的分析我們得出以下結(jié)論：主機(jī)隸屬機(jī)構(gòu)和使用者、主機(jī)在網(wǎng)絡(luò)中的角色、主機(jī)提供的服務(wù)、包含信息的敏感度是攻擊者判斷一臺主機(jī)是否具有攻擊價值,以及設(shè)定攻擊目的的重要因素.因此,本文抽取的主機(jī)信息包含且僅包含主機(jī)隸屬機(jī)構(gòu)和使用者、主機(jī)在網(wǎng)絡(luò)中的角色、主機(jī)提供的服務(wù)、包含的敏感信息等,具體描述為{HostID,IP, MAC,OS,Access,Port,Desc,File}八元組,如表1所示.

表1 主機(jī)抽象模型

1.3 原子攻擊模式庫

當(dāng)原子攻擊模式庫中某些原子攻擊發(fā)生的條件得到滿足,并且這些原子攻擊能夠通過映射關(guān)系關(guān)聯(lián)起來,就構(gòu)成了組合攻擊.文獻(xiàn)[7-9]對攻擊模式庫進(jìn)行了深入的研究.在文獻(xiàn)[10]中,作者提出了一個較為通用的原子攻擊模式庫模型,本文依據(jù)文獻(xiàn)[10]提出的原子攻擊模式庫模型建模了一個分級組合攻擊框架中原子攻擊庫.

李雄偉等[11]總結(jié)了5種網(wǎng)絡(luò)安全威脅因素：假冒攻擊、授權(quán)侵犯、保密性攻擊、完整性侵犯、業(yè)務(wù)否認(rèn),并將這5種因素的安全威脅程度作為評估網(wǎng)絡(luò)攻擊破壞效果的基本準(zhǔn)則.而攻擊模型的攻擊能力在一定程度上取決原子攻擊的有效性、多樣性以及原子攻擊庫的規(guī)模.因此,本文依據(jù)文獻(xiàn)[11]總結(jié)的5種威脅角度設(shè)計與實現(xiàn)原子攻擊.原子模式庫主要包含漏洞滲透、應(yīng)用程序密碼獲取等10類原子攻擊,如表2所示.

表2 原子攻擊分類及破壞效果評估指標(biāo)

1.4 分級組合攻擊方案構(gòu)造器與破壞效果評估

分級攻擊方案構(gòu)造器通過前向搜索匹配算法分析獲取的主機(jī)信息與原子攻擊模式庫描述文件,生成初始攻擊方案,并定量預(yù)估初始攻擊方案的攻擊能力.一般而言,計算機(jī)網(wǎng)絡(luò)攻擊效果評估是指對網(wǎng)絡(luò)攻擊行為所能達(dá)到的攻擊效果進(jìn)行綜合評判的過程.目前,主要的效能評估模型有：模糊綜合評價模型[12],基于粗糙集理論的評估模型[13],以及基于網(wǎng)絡(luò)熵的評估模型[14].上述模型適用的應(yīng)用場景有所區(qū)別,因此,選擇合適的評估模型是本文需要解決的關(guān)鍵問題.

1.4.1 破壞效果評估指標(biāo)體系.

傳統(tǒng)的攻擊效果評估是在攻擊完成后進(jìn)行,即在某次單一或組合性攻擊成功后,對于這次攻擊的破壞效果進(jìn)行定量評估,受攻擊對象的數(shù)量、攻擊成功率以及完成攻擊所耗費(fèi)的時間等均是其重要的評估指標(biāo).而本文提出的惡意代碼破壞效果預(yù)估是在發(fā)起攻擊前進(jìn)行的,是依據(jù)獲取的受害主機(jī)與網(wǎng)絡(luò)的相關(guān)信息,結(jié)合原子攻擊模式庫,預(yù)測破壞能力.傳統(tǒng)的攻擊破壞效果評估體系[15]不完全適用于本文提出的惡意代碼破壞效果控制技術(shù).

因此,本文改進(jìn)了傳統(tǒng)網(wǎng)絡(luò)攻擊效果評估體系及其指標(biāo),即攻擊方案綜合破壞效果為第一層,10類原子攻擊構(gòu)成了評估體系第二層,每類原子攻擊的具體指標(biāo)構(gòu)成第三層,并刪除了攻擊發(fā)起前無法采集的指標(biāo),細(xì)化了描述比較模糊的指標(biāo),調(diào)整了多項指標(biāo)的權(quán)重.同時,利用9級分制標(biāo)度法量化描述初始攻擊方案中各指標(biāo)的影響程度;滲透的漏洞數(shù)量等涉及具體數(shù)量的項目用等級0～9描述其數(shù)量, 0個對應(yīng)等級0,依次遞增;漏洞威脅等級等涉及量化等級的項目用等級3,5,7,9分別對應(yīng)“低”、“中”、“嚴(yán)重”、“非常嚴(yán)重”;漏洞滲透效果等涉及用戶權(quán)限的項目用等級1,5,7,9分別對應(yīng)none、guest、user、root權(quán)限.

1.4.2 攻擊破壞效果預(yù)估方法.

基于AHP的多級模糊綜合評估模型綜合了分層分析法與模糊評價優(yōu)點,數(shù)學(xué)模型簡單,對多因素、多層次的復(fù)雜問題評判效果較好,比較適合于評估具有多條攻擊項目的復(fù)雜攻擊預(yù)案的效能.故本文利用基于AHP的多級模糊綜合評估模型設(shè)計了攻擊破壞效果預(yù)估算法.

利用9級分制標(biāo)度法建立的第二層判斷矩陣I,該矩陣通過兩兩比較的方式確定了10類原子攻擊的權(quán)重.

該矩陣的歸一化權(quán)重系數(shù)向量為,

該判斷矩陣最大特征根λmax為,

=10.3253

相應(yīng)的一致性指標(biāo)為,

由于CR＜0.1,因此判斷矩陣I滿足一致性條件.

本文設(shè)定網(wǎng)絡(luò)攻擊評估集合V={v1,v2,…, vm}為5級,即 m=5,v1：差,v2：較差,v3：一般,v4：較好,v5：好.為了數(shù)據(jù)處理的方便,采用三角模糊描述各個評語的模糊隸屬函數(shù)(見圖2).這里分別以, 0.2、0.4、0.6、0.8,作為評語的中心點.

圖2 評語集隸屬函數(shù)

各評語隸屬函數(shù)如下：

1.5 分級組合攻擊方案

為了進(jìn)一步滿足網(wǎng)絡(luò)安全性測試的需求,本模型允許攻擊者進(jìn)一步修改初始分級攻擊方案,增加控制因子,生成最終的攻擊方案.修改攻擊方案參考的因素包括：攻擊發(fā)起時間、受害主機(jī)所屬單位、受害主機(jī)用戶、擁有的敏感信息重要程度和數(shù)量、提供的服務(wù)重要程度和數(shù)量、網(wǎng)絡(luò)環(huán)境.

具體而言,攻擊者可以從以下幾方面修改初始攻擊方案：①限定每一種攻擊行為開始的時間;②刪除初始方案建議的攻擊方法;③增加初始方案中不包含的攻擊方法;④修改某種攻擊方法的攻擊目標(biāo),如縮小禁用服務(wù)的個數(shù).需要說明的是,實施初始方案中不包含的攻擊方法可能達(dá)不到攻擊者預(yù)定的攻擊破壞效果,但可以作為試驗性攻擊和壓力測試對攻擊目標(biāo)進(jìn)行破壞.最終的分級組合攻擊方案如表3所示.

表3 分級組合攻擊方案

2 應(yīng)用實例與性能分析

性能評測的主要指標(biāo)是模型能夠結(jié)合攻擊場景實現(xiàn)對不同攻擊目標(biāo)的“個性化”攻擊且攻擊力度可預(yù)估,因此,性能的評估主要從兩個方面進(jìn)行考查：(1)攻擊行為分級可控;(2)結(jié)合攻擊策略自適應(yīng).

2.1 應(yīng)用實例

為了驗證HCMM模型的實用性,我們在實驗中使用VC6.0開發(fā)了一個分級可控惡意代碼實驗系統(tǒng)(Hierarchical and Controllable Malicious Experiment System,HCMES).HCMEM實驗系統(tǒng)空間上分為：攻擊者管理與操作的攻擊系統(tǒng)控制中心和連接在Internet上多臺被植入惡意代碼的受害主機(jī).實驗在網(wǎng)絡(luò)地址為192.168.100.0的100M以太局域網(wǎng)中部署了HCMES一個實例,同時部署了“磁碟機(jī)”、“AV終結(jié)者”、“灰鴿子遠(yuǎn)程控制”,進(jìn)行了相關(guān)比較實驗.該局域網(wǎng)由7臺安裝Windows XP SP2的受控主機(jī)與一臺安裝Windows 2003 Server的作為控制中心的服務(wù)器組成.攻擊系統(tǒng)控制中心的部署包括：①分級破壞監(jiān)控程序：HierarchyMonitor.exe;②Web方式原子模式庫;③FTP方式受害主機(jī)信息庫.受害主機(jī)的部署包括：①具有下載功能的蠕蟲程序：Download Worm.exe;②實施分級破壞的木馬程序HierarchyTrojan.exe;③依據(jù)攻擊方案從控制中心下載的多種原子攻擊.實驗部署方案如圖3所示.部署在攻擊系統(tǒng)控制中心的分級破壞監(jiān)控程序?qū)κ芸刂鳈C(jī)控制情況如圖4所示.

圖3 實驗部署示意圖

圖4 分級破壞監(jiān)控程序?qū)κ芸刂鳈C(jī)控制情況

2.2 性能分析

對實驗中受害主機(jī)192.168.100的攻擊方案使用破壞效果預(yù)估算法評估其效能.該算法基本步驟如下：

步驟1.利用9級分制標(biāo)度法量化并建立的分層判斷矩陣.該攻擊方案僅包括前6類原子攻擊,故共需建立7個判斷矩陣,其中第二層判斷矩陣即本文前述的判斷矩陣 I.

步驟2.計算第三層各種攻擊類型的攻擊效果評估指標(biāo)的權(quán)重系數(shù)向量.它們均可以滿足矩陣一致性檢驗 CR＜0.1.

步驟3.計算出各單層評價結(jié)果.根據(jù)公式(1)、(2)、(3)計算出各類攻擊的判決矩陣 R.

由,Bi=wi°Ri,可計算出各單層評價結(jié)果.

步驟4.計算二級模糊綜合評估結(jié)果.令 R= (E1,E2,E3,E4,E5,E6)T,則二級模糊綜合評估結(jié)果為,

步驟5.計算第一層評估結(jié)果.采用加權(quán)平均進(jìn)行單值化,取k=1,m=5,得,

因為各個評語 vi(i=1,2,3,4,5)分別用數(shù)字{1,2,3,4,5}來表示,由于2＜e＜3,則可以認(rèn)為網(wǎng)絡(luò)攻擊效果介于“較差”和“一般”之間.

同時,本文從傳播能力、智能信息獲取、智能信息或服務(wù)破壞、區(qū)分攻擊、攻擊評估幾個方面比較了4種惡意代碼的性能(見表4).

表4 HCMEM實驗系統(tǒng)與其他惡意代碼性能比較

與傳統(tǒng)的實時控制程序相比,HCMEM實驗系統(tǒng)除具有傳統(tǒng)的實時控制功能外,增加了攻擊破壞效果評估能力,并具有為每一個攻擊對象生成攻擊方案的能力,攻擊行為更為智能化、自動化.與傳統(tǒng)病毒的盲目破壞行為相比,HCMES實驗系統(tǒng)在確知受害對象相關(guān)信息的情況下實施信息或系統(tǒng)攻擊,明顯提高了攻擊成功率與有效性.因此,可以得出結(jié)論,HCMM模型兼具傳播、自適應(yīng)攻擊、破壞效果可預(yù)估、攻擊效果可修正等特性.

3 結(jié) 論

本文在分析網(wǎng)絡(luò)安全性測試對惡意代碼破壞效果可控性的需求的基礎(chǔ)上,提出了一種破壞效果分級可控的惡意代碼攻擊模型HCMM,改進(jìn)了惡意代碼破壞效果評估指標(biāo)體系,并利用基于AHP的多級模糊綜合評估模型設(shè)計了攻擊破壞效果預(yù)估算法,開發(fā)了一個分級可控惡意代碼實驗系統(tǒng).實驗結(jié)果表明,該攻擊模型提供了獲取與分析受害主機(jī)相關(guān)信息,并結(jié)合惡意代碼庫自動生成初始攻擊方案以及預(yù)估攻擊效果等級的功能,更符合現(xiàn)代信息對抗以及網(wǎng)絡(luò)安全性測試的要求.

[1]新華網(wǎng).專家全面解讀磁碟機(jī)病毒[EB/OL].[2008-03-21].http：//news.xinhuanet.com/internet/2008-03/21/ content-7833247.htm.

[2]賽迪網(wǎng).AV終結(jié)者完全解密[EB/OL].[2007-06-20]. http：//www.enet.com.cn/security/zhuanti/avzhongjiezhe/.

[3]軟件網(wǎng).灰鴿子遠(yuǎn)程控制木馬的原理解析[EB/OL].[2009 -08-24].http：//www.softcps.com/software/47/n-1047.html.

[4]夜火博客.Ghost RAT——紅狼安全小組最新遠(yuǎn)程控制軟件[EB/OL].[2008-01-20].http：//www.15897.com/blog/ post/Ghost-RAT-C-Rufus-Security-Team.html.

[5]毛捍東,陳 鋒,張維明,等.網(wǎng)絡(luò)組合攻擊建模方法研究進(jìn)展[J].計算機(jī)科學(xué),2007,34(11)：50-56.

[6]Sheyner O.Scenario Graphs and Attack Graphs[D].Pittsburgh：Carnegie Mellon University,2004.

[7]Jha S,Sheyner O,Wing J M.Two Formal Analyses of Attack Graphs[C]//Proceedings：15th IEEE Computer Security Foundations Workshop(CSFW’15).Cape Breton：IEEE Computer Society,2002：49-63.

[8]Bhattacharya S,Malhotra S,Ghsoh S K.A Scalable Approach to Attack Graph Generation[C]//Information Technology,2008.Salt Lake City：IEEE Press,2008：1-4.

[9]Li W,Vaughn R.An Approach to Model Network Exploitations Using Exploitation Graphs[C]//Military,Government,and Aerrospace Simulation Symposium：Proceedings of the Spring Simulation Multiconferrence(SMC’05).San Diego：IEEE Press, 2005：237-244.

[10]Li W.An approach to graph-based modeling of network exploitations[D].Mississippi State,Mississippi：Mississippi State University,2005.

[11]李雄偉,周希元,楊義先.基于層次分析法的網(wǎng)絡(luò)攻擊效果評估方法研究[J].計算機(jī)工程與應(yīng)用,2005,35(24)：157-159.

[12]趙冬梅,馬建峰,王躍生.信息系統(tǒng)的模糊風(fēng)險評估模型[J].通信學(xué)報,2007,28(4)：51-56.

[13]林夢泉,王強(qiáng)民,陳秀真,等.基于粗糙集的網(wǎng)絡(luò)信息系統(tǒng)安全評估模型研究[J].控制與決策,2007,22(8)：951 -960.

[14]張義榮,鮮 明,王國玉.一種基于網(wǎng)絡(luò)熵的計算機(jī)網(wǎng)絡(luò)攻擊效果定量評估方法[J].通信學(xué)報,2004,25(11)：158 -165.

[15]鮮 明,包衛(wèi)東.網(wǎng)絡(luò)攻擊效果評估導(dǎo)論[M].長沙：國防科技大學(xué)出版社,2007.

Destroying Effect-controlling Model of Malicious Code Based on Network Confrontation

CAO Yinyin

(School of Information Science and Technology,Yangcheng Normal University,Yancheng 224002,China)

For the insufficiencyof the traditional malicious code in its blind action and single destroying effect,a new malicious code attacking model was proposed,which has the ability to attack object hierarchically.The traditional evaluation index system of malicious code destroying effect was improved in this paper and a predication algorithm for calculating the malicious code destroying effect was designed using multifuzzy comprehensive evaluation model based on AHP.The results prove that the model can improve malicious code’s controllability and adaptability,and meet the requirements of modern information countermeasure and network security testing.

malicious code;hierarchy attack;attacking effect estimate;destroying effect control

TP393

：A

1004-5422(2010)02-0140-06

2009-12-28.

曹瑩瑩(1979—),女,碩士,講師,從事計算機(jī)網(wǎng)絡(luò)安全研究.