基于量子神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊同源性判定方法

唐彰國, 李煥洲, 張 健

(四川師范大學 網(wǎng)絡(luò)與通信技術(shù)研究所，成都 610101)

基于量子神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊同源性判定方法

唐彰國, 李煥洲, 張 健

(四川師范大學 網(wǎng)絡(luò)與通信技術(shù)研究所，成都 610101)

探討大數(shù)據(jù)背景下網(wǎng)絡(luò)攻擊同源性的分析方法，為攻擊場景還原、攻擊定性及攻擊者溯源提供依據(jù)。提出了一種基于證據(jù)鏈的攻擊描述方法，并歸納出各環(huán)節(jié)代表特異性的關(guān)鍵指紋，進一步構(gòu)建了相應的網(wǎng)絡(luò)攻擊同源性判定模型，使用編輯距離計算攻擊鏈單一環(huán)節(jié)之間的特征相似度，通過量子神經(jīng)網(wǎng)絡(luò)方法對多個攻擊環(huán)節(jié)的相似性進行算法綜合，進而實現(xiàn)網(wǎng)絡(luò)攻擊的同源判定。測試結(jié)果表明，該方法能夠有效地對網(wǎng)絡(luò)攻擊進行同源性判定，相比基于樣本的方法更加準確、可靠。該工作為大數(shù)據(jù)下提高網(wǎng)絡(luò)攻擊溯源能力及自動化水平探索了一條有效途徑。

網(wǎng)絡(luò)攻擊；量子神經(jīng)網(wǎng)絡(luò)；同源性；編輯距離

網(wǎng)絡(luò)安全領(lǐng)域大數(shù)據(jù)、威脅情報的應用為網(wǎng)絡(luò)攻擊的同源性分析提供了技術(shù)上的可能性。網(wǎng)絡(luò)攻擊同源性是指判定不同的網(wǎng)絡(luò)攻擊事件其攻擊手法是否具有內(nèi)在關(guān)聯(lián)性、相似性，是否源自同一個人或組織，其使用的黑客工具或攻擊載荷是否由同一個作者、團隊編寫等。近年來，執(zhí)法部門、安全廠商以及研究機構(gòu)積累了大量攻擊案例并捕獲了大量攻擊代碼，為了能快速、自動化地對網(wǎng)絡(luò)攻擊進行手法鑒定、攻擊定性及攻擊者溯源，需要研究并挖掘歷史網(wǎng)絡(luò)攻擊事件隱含的特征信息，找出其中的相似性及關(guān)聯(lián)性，進而建立描述攻擊者、攻擊手法的家族特性的同源分析模型。當前，對網(wǎng)絡(luò)攻擊的同源性分析主要依靠領(lǐng)域內(nèi)技術(shù)專家人工完成，雖然分析結(jié)果詳細全面，可信度高，但受專家經(jīng)驗影響較大，效率較低[1]。基于此，本文以網(wǎng)絡(luò)攻擊鏈的核心環(huán)節(jié)為研究對象，通過對網(wǎng)絡(luò)攻擊的通信過程、控制模型以及網(wǎng)絡(luò)資源的特異性進行分析，歸納出其在網(wǎng)絡(luò)側(cè)、主機側(cè)及代碼側(cè)等方面的動、靜態(tài)特征指紋，進而構(gòu)建一種刻畫網(wǎng)絡(luò)攻擊場景的證據(jù)鏈方法，基于此提出并設(shè)計了相應的網(wǎng)絡(luò)攻擊同源性判定模型，通過神經(jīng)網(wǎng)絡(luò)方法對證據(jù)鏈各層次的相似性進行算法綜合，最后通過實驗測試并與其他方法進行比對，驗證該模型在同源性判定的有效性、準確性所具有的比較優(yōu)勢。

1 網(wǎng)絡(luò)攻擊同源性特征指紋描述方法

1.1 相關(guān)工作

當前國內(nèi)外關(guān)于攻擊同源性的研究類型大多集中在代碼層面。其核心思想或假定是代碼多變但編程風格習慣相對穩(wěn)定，或代碼功能及作用易變但核心組件相對穩(wěn)定，因此可以基于編程習慣的穩(wěn)定性進行同源性判定。Burrows等[2]、Ding等[3]提出編程習慣主要包括編程布局、編程風格、編程結(jié)構(gòu)等3個方面，并得到識別率67.2%的結(jié)果。然而網(wǎng)絡(luò)攻擊取證中往往接觸到的不是代碼層次而是編譯后的可執(zhí)行程序，在編譯過程中作為編程習慣的載體如編程布局、排版以及命名等信息都會丟失，因而無法直接用于同源性的判定?；诖?，相關(guān)研究者將研究對象轉(zhuǎn)向二進制程序的攻擊載荷，提出了兩類相似性用于同源性判定，即靜態(tài)結(jié)構(gòu)的相似性和動態(tài)行為的相似性。靜態(tài)結(jié)構(gòu)分析通過反匯編構(gòu)造程序控制流圖以提取結(jié)構(gòu)特征，如Kinable等[4]采用圖匹配的方式分析惡意代碼靜態(tài)下的系統(tǒng)調(diào)用圖并進行家族相似性分類。動態(tài)行為分析方面，喬延臣等[1]認為編碼具有相對穩(wěn)定的心理學特性，并且可以通過調(diào)用習慣來加以度量，通過對7類調(diào)用行為頻繁項進行離群檢測計算出同源度實現(xiàn)惡意代碼同源判定。Park等[5]通過捕獲惡意代碼動態(tài)行為構(gòu)造系統(tǒng)序列圖并進行分類以確定代碼的相似性。楊軼等[6]認為惡意代碼的執(zhí)行流程具有相對穩(wěn)定性，相似性可以通過動態(tài)行為間的邏輯關(guān)系加以刻畫，該方法的核心是利用動態(tài)污點傳播方法獲取代碼執(zhí)行流程進而作為同源性判定模型的輸入。王蕊等[7]發(fā)展了動態(tài)行為的刻畫層次，提出了惡意代碼行為特征的語義理解方法，提高了對惡意代碼的抗分析、反調(diào)試的抗干擾能力。而文獻[8]和[9]則通過動靜態(tài)結(jié)合的方式判斷惡意代碼的相似性，并聚類成不同的惡意代碼家族。

以上研究大多著眼于攻擊過程中的單一環(huán)節(jié)，即大多同源性判定是基于代碼及樣本的；然而，并不是所有攻擊者都會自己開發(fā)攻擊代碼及攻擊工具，網(wǎng)絡(luò)上存在大量商業(yè)化甚至免費下載的黑客工具、病毒木馬等惡意軟件，如黑客組織Lizard所使用的DDoS攻擊軟件Lizard Stresser就存在商業(yè)版本及付費服務(wù)，作為攻擊武器出售。因此，僅僅根據(jù)獲取到的攻擊樣本或攻擊載荷進行攻擊事件的同源性判定，其結(jié)論是片面的甚至是不可信的。在網(wǎng)絡(luò)攻擊越來越有組織性和目的性的背景下，選擇什么樣的特征要素以什么方式對一次網(wǎng)絡(luò)攻擊事件進行畫像？如何對這些特征要素進行算法處理以挖掘出不同攻擊間的同源性？借鑒基于編程習慣穩(wěn)定性進行代碼同源性判定的思想及成果，本文進一步發(fā)展了這一思想，著眼于網(wǎng)絡(luò)攻擊鏈上的多個核心環(huán)節(jié)，認為攻擊者、攻擊思維、攻擊手法、攻擊工具及攻擊資源等具有有限性和相對穩(wěn)定性，可以用來對一次完整的攻擊進行畫像，進而提出一種基于證據(jù)鏈的指紋模型形式化描述方法。

1.2 基于證據(jù)鏈的指紋模型

基于證據(jù)鏈的攻擊畫像方法可形式化描述為序列化的攻擊鏈，即攻擊者利用虛擬身份通過中介網(wǎng)絡(luò)建立攻擊路線，采用一定攻擊手法投擲并制導攻擊載荷產(chǎn)生效用。如表1所示，進一步可形式化為五元組，即〈Subject，Object，Network，Operation，Payload〉。其中：Subject用于標識網(wǎng)絡(luò)攻擊的行為主體，包括實施攻擊的自然人或組織機構(gòu)；Object用于描述主體行為產(chǎn)生作用所依賴的客體對象，即虛擬身份；Network表示使用的中介網(wǎng)絡(luò)， 如僵尸網(wǎng)絡(luò)、 隱蔽通道等；表示具體攻擊手法；Payload為攻擊的有效載荷。

Operation

五元組的具體形式化表示方法如下：

a.攻擊者

CharSubject = { 〈GruNamei, GruChari〉, 〈PerNamej, PerFunj〉i=1, 2, …, GruNum;j=1, 2, …, PerNum}

采用名字屬性對的方式進行描述。組織名GruName、組織屬性GruChar、個人名PerNamej及個人網(wǎng)絡(luò)指紋PerFunj來源于歷史網(wǎng)絡(luò)攻擊事件、研究報告及安全公司威脅情報感知中的相關(guān)描述，GruNum、PerNum分別統(tǒng)計到的組織及個人的數(shù)量。例如：著名黑客組織“匿名者”存在多個分支機構(gòu)，負責不同攻擊任務(wù)，如分支之一New World Hacker Team(簡稱NWH)擅長Web攻擊，另一分支Anonymous Africa則擅長DDoS攻擊。則CharSubject={〈New World Hacker Team, Anonymous〉, 〈Hanom1960, Web Attack〉; 〈Anonymous Africa, Anonymous 〉, 〈Tobitow, DDoS〉}，其中Hanom1960和Tobitow為對應組織的成員。再如以發(fā)動大規(guī)模DDoS攻擊聞名的黑客組織Lizard Squad有多名重要成員，其手法之一是攻擊家用路由器進而組成用于發(fā)動DDoS的僵尸網(wǎng)絡(luò)，CharSubject = {〈Lizard Squad, Attack agent〉, 〈Komodo Iguana Vinnie Omari Kivim ki, Botnet DDoS〉}。

b.虛擬身份

CharObject = {〈IP, URL, Mail, Account〉 |Subject_i;i= 1,2,…,ValueNum}

虛擬身份提取自數(shù)據(jù)包的還原、代碼的逆向分析等，包括網(wǎng)絡(luò)通信碼址信息、C&C服務(wù)器、賬號郵箱、代碼編譯信息等，是與攻擊者映射的一組向量描述。

c.攻擊路線

CharNetwork = {〈NetNamei, NetChari, NetNum〉 | CharObject;i= 1,2,…,ValueNum}

基于攻擊者網(wǎng)絡(luò)資源的有限性建立的描述，NetName是中介網(wǎng)絡(luò)名，NetChar包括網(wǎng)絡(luò)跳板、隱蔽通道、匿名網(wǎng)絡(luò)、僵尸網(wǎng)絡(luò)等，NetNum是指中介網(wǎng)絡(luò)的規(guī)模大小。以僵尸網(wǎng)絡(luò)為例，辛巴達僵尸網(wǎng)絡(luò) (Sinbad botnet)有14臺控制服務(wù)器，感染了全世界190個國家的77萬臺以上的計算機，CharNetwork={〈Sinbad, Botnet, Million Level〉}?！胺涔恰苯┦W(wǎng)絡(luò)(Beebone botnet)被歐美多國執(zhí)法機構(gòu)證實存在多年，擁有3.5萬臺以上肉機，CharNetwork= {〈Beebone, Botnet, 100 thousands Level〉}。

d.攻擊手法

CharOperation={〈OperNamei,OperChari, OperFuni〉| CharObject;i= 1, 2, …, Value Num}

采用三元組描述，OperNamei為攻擊手法名，OperChari是手法類型，包括釣魚、掛馬、擺渡、水坑、漏洞利用等等，而OperFuni是技術(shù)特征，如漏洞名、資源及其利用方式等。

e.攻擊載荷

CharPayload={〈OperNamei, MD5〉, 〈StaChari, DynOperi〉| CharObject;i= 1, 2, …, ValueNum }

描述攻擊載荷(如黑客工具、惡意代碼等)的活動特征，數(shù)組〈OperNamei, MD5〉用于對載荷進行唯一標志，〈StaChari, DynOperi〉包括的靜態(tài)結(jié)構(gòu)特征及動態(tài)行為特征。

描述網(wǎng)絡(luò)攻擊的多維特征信息具有稀疏性、異構(gòu)性及偏序關(guān)系。為了便于從方法論層面進行比較，本文從信息類型角度將上述多維特征劃分為語法、語義、語用和畫像4個層面，相應的同源判定也分為特征判別、行為判別、動靜結(jié)合判別和證據(jù)鏈判別4種。本文方法與其他方法的對比結(jié)果如表2，其中本文的證據(jù)鏈方法將網(wǎng)絡(luò)攻擊入侵的主體、客體、特征、規(guī)律及效用等多維向量建立非線性映射實現(xiàn)“畫像”層級的網(wǎng)絡(luò)攻擊理解。

表2 同源性分析技術(shù)的比較Table 2 Comparison of homology analysis techniques

2 基于量子神經(jīng)網(wǎng)絡(luò)的同源性判定

2.1 方法描述

基于證據(jù)鏈的特征模型給出了一種相對完整的攻擊“畫像”方法；但是對于不同性質(zhì)的網(wǎng)絡(luò)攻擊，五元組中各要素對同源性判定的貢獻度是不平衡且不固定的，存在偏序關(guān)系，需要從模型及算法等高維層面根據(jù)攻擊性質(zhì)的不同自適應地動態(tài)修正相應權(quán)重分布。另外，在實戰(zhàn)中并不是對所有網(wǎng)絡(luò)攻擊都能得到可信的、完整的攻擊鏈五元組。因此，為了從算法層面應對攻擊特征的偏序關(guān)系、動態(tài)性以及稀疏性，本文提出一種基于量子神經(jīng)網(wǎng)絡(luò)的同源性判定方法，如圖1所示。

網(wǎng)絡(luò)攻擊同源性的判定本質(zhì)上是一個分類問題，量子計算與神經(jīng)網(wǎng)絡(luò)的融合應用于數(shù)據(jù)分類、模式識別及行為預測自20世紀90年代以來得到了迅速的發(fā)展，量子神經(jīng)網(wǎng)絡(luò)采用的多層激勵函數(shù)被證明對邊界模糊、信息稀疏以及多模式間數(shù)據(jù)交叉具有極強的分類能力，適合于處理證據(jù)鏈方法多維異構(gòu)、動態(tài)偏序的非理想數(shù)據(jù)分布，能“優(yōu)美”地表達多維特征間的非線性關(guān)系并生成“畫像”。該方法分為2個階段。在學習訓練階段，將具有同源性的一對網(wǎng)絡(luò)攻擊的特征相似性數(shù)值向量作為輸入，將它們的同源度作為期望輸出，通過訓練模型自適應地調(diào)整多維特征中的每一維對同源性判定的影響權(quán)重，進而建立從攻擊特征向量到同源性度量的結(jié)構(gòu)及參數(shù)映射，同時將此階段提取到的證據(jù)鏈信息以大數(shù)據(jù)等方式構(gòu)建基礎(chǔ)信息庫。在工作階段，將待測網(wǎng)絡(luò)攻擊事件提取其五元組，將2個攻擊事件的多維相似度作為輸入向量送入訓練好的神經(jīng)網(wǎng)絡(luò)模型，進而得到一個介于0和1之間的輸出值，該值越接近于1則表明同源性的可能性就越大。

2.2 特征相似性的數(shù)值表示方法

攻擊鏈五元組將各環(huán)節(jié)攻擊特征表示為數(shù)值向量或連續(xù)的字符串，通過計算2個向量或字符串之間的距離可以得到相似度。文本相似度計算方法主要有編輯距離、向量距離或相似系數(shù)(如Jaccard系數(shù))等。其中，編輯距離是指2個字符串之間通過插入、刪除或者修改一個字符由一個轉(zhuǎn)成另一個所需的最少的編輯操作次數(shù)。為了生成量子神經(jīng)網(wǎng)絡(luò)能夠處理的輸入向量，需要將攻擊鏈五元組向量數(shù)值化并規(guī)格化到[0, 1]數(shù)值區(qū)間。因此，為了量化五元組中字符串之間的相似關(guān)系，本文采用一種改進的編輯距離算法，先根據(jù)每一維特征分別計算出2個向量或字符串之間的編輯距離ValueLD，然后代入以下公式

Sim(Str1, Str2)=1-ValueLD/max[LenStr1, LenStr2]

(1)

圖1 量子神經(jīng)網(wǎng)絡(luò)同源性判定模型Fig.1 Homology determination model of quantum neural network

其中：Str1和Str2為被比較的2個字符串，max[LenStr1, LenStr2]表示取2個字符串的最大值。由此可計算得到一個分布于[0, 1]區(qū)間的數(shù)值量，該數(shù)值量即為某維特征的相似度，可作為輸入向量的一維輸入神經(jīng)網(wǎng)絡(luò)。

對于數(shù)值型特征的歸一化可采用線性插值法[10]，假設(shè)某一數(shù)組[aj]的元素屬于區(qū)間 [a1,an]，若要將元素ai的數(shù)值范圍映射到另一區(qū)間[x1,xn]，則可通過如下公式進行變換

(2)

將[x1,xn]設(shè)置為[0, 1]即滿足量子神經(jīng)網(wǎng)絡(luò)輸入的需要。

2.3 量子神經(jīng)網(wǎng)絡(luò)的模型及學習算法

傳統(tǒng)BP神經(jīng)網(wǎng)絡(luò)sigmoid函數(shù)只能表示2個量級，對特征空間的邊界分割是跳變式的，因而不能有效處理具有模糊邊界的特征分類。量子神經(jīng)網(wǎng)絡(luò)引入量子理論中的量子態(tài)疊加思想，相比BP等傳統(tǒng)類型的3層神經(jīng)網(wǎng)絡(luò)，其中間隱層量子神經(jīng)元的激勵函數(shù)是多個傳統(tǒng)sigmoid函數(shù)的線性疊加，每個sigmoid函數(shù)擁有獨立、可調(diào)的量子間隔，可以表示出多個不同水平的量級和狀態(tài)，使得網(wǎng)絡(luò)隱層具有一種固有的模糊性和多態(tài)性，能夠?qū)⒉煌艏易宓臄?shù)據(jù)映射到不同水平的量子間隔位置上，極大地加強了分類的自由度及非線性逼近能力，因而可用來對網(wǎng)絡(luò)攻擊進行家族聚類及同源性判定?；诖耍瑯?gòu)造3層量子神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示，包括歸一化層、輸入層、中間隱層以及輸出層，其中中間隱層由權(quán)重向量、量子旋轉(zhuǎn)門實現(xiàn)反向?qū)W習。

量子神經(jīng)網(wǎng)絡(luò)的訓練包括網(wǎng)絡(luò)權(quán)值和激勵函數(shù)中的量子間隔兩部分。通過對權(quán)值的調(diào)整將輸入數(shù)據(jù)映射到不同的特征空間，通過對量子間隔的調(diào)整實現(xiàn)輸入數(shù)據(jù)邊界的模糊表達。多sigmoid函數(shù)線性疊加的隱層神經(jīng)元其傳遞函數(shù)為

(3)

式中：ns為sigmoid函數(shù)疊加的個數(shù)；Sgm為sigmoid函數(shù)；α是陡度因子；WT是神經(jīng)網(wǎng)絡(luò)輸入層連接權(quán)值矩陣的轉(zhuǎn)置；X表示神經(jīng)網(wǎng)絡(luò)的輸入向量；θγ為量子能級躍遷的步長，即量子間隔。量子神經(jīng)網(wǎng)絡(luò)的學習算法有多種，如量子無權(quán)學習算法、量子門線路算法、通用量子門組演化算法等，本文以文獻[10～12]為基礎(chǔ)實現(xiàn)一種基于量子旋轉(zhuǎn)門的有監(jiān)督的學習算法。算法的基本原理及過程是：將輸入向量分為特征向量及目標向量2類，特征向量是根據(jù)證據(jù)鏈的五元組向量〈Subject, Object, Network, Operation, Payload〉經(jīng)過前節(jié)公式的計算得到的由多個特征相似度度量值組成的五維向量，即X={X1,X2,X3,X4,X5}。目標向量是將已知的攻擊家族、攻擊案例及黑客基礎(chǔ)信息庫等作為領(lǐng)域先驗知識并表示為監(jiān)督信號。2類輸入向量經(jīng)過歸一化處理成實數(shù)態(tài)，然后通過轉(zhuǎn)換函數(shù)fm映射為相應的量子態(tài)向量|X〉和|T〉進入隱層參與競爭，量子旋轉(zhuǎn)門通過相位旋轉(zhuǎn)對特征向量、目標向量和權(quán)重向量的作用進行學習，通過反饋調(diào)節(jié)|Wi〉使權(quán)重向量沿著目標模式移向樣本的中心位置實現(xiàn)有監(jiān)督的學習，使得中間隱層中競爭獲勝的神經(jīng)元及其簇域分布更為集中，進而通過輸出傳遞函數(shù)fo將分類結(jié)果映射成樣本同源度即實數(shù)Y，從而完成對網(wǎng)絡(luò)攻擊的畫像理解及同源性判定。

圖2 量子神經(jīng)網(wǎng)絡(luò)的算法模型Fig.2 Algorithm model of quantum neural network

3 實驗結(jié)果及結(jié)論

3.1 測試數(shù)據(jù)

從多個權(quán)威安全機構(gòu)及研究報告中整理網(wǎng)絡(luò)攻擊事件的證據(jù)鏈，包括匿名者、Lazarus、Equation等黑客組織開展的多次網(wǎng)絡(luò)攻擊。從VX Heavens網(wǎng)絡(luò)病毒數(shù)據(jù)庫及安全論壇獲取與真實攻擊事件關(guān)聯(lián)的攻擊樣本或樣本分析報告,包括部分標注作者信息的樣本。如圖3所示，其中整理出描述匿名者實施的網(wǎng)絡(luò)攻擊證據(jù)鏈18條，Lazarus組織、方程式及Barbaros-DZ分別是8條、11條和6條，描述國家層面工控系統(tǒng)攻擊的技術(shù)分析報告多份。獲取到的攻擊樣本(含樣本分析報告)40個(份)。這些數(shù)據(jù)被隨機地分為訓練數(shù)據(jù)集和測試數(shù)據(jù)集，各占50%，分別用于訓練神經(jīng)網(wǎng)絡(luò)及對神經(jīng)網(wǎng)絡(luò)進行測試。

圖3 實驗數(shù)據(jù)集分布Fig.3 Distribution of experimental data set

3.2 準確率及區(qū)分度測試

將匿名者等4類主體開展的部分網(wǎng)絡(luò)攻擊特征分別輸入訓練好的神經(jīng)網(wǎng)絡(luò)模型，測試其對已知攻擊事件及攻擊樣本的辨識能力及區(qū)分能力，如表3所示。一方面，同一攻擊主體的族內(nèi)平均同源度都在0.8以上，說明五元組刻畫的網(wǎng)絡(luò)攻擊族內(nèi)聚合度很高，多維特征的組合在特征表達方面的互補性提高了同源性辨識能力。值得說明的是，匿名者攻擊事件相比其他幾個攻擊主體同源度偏低，其原因是匿名者是目前已知的全球最大的黑客組織，人員松散且地域分布性大，導致其虛擬身份尤其是碼址無相對穩(wěn)定性及規(guī)律性。同時該組織在攻擊手法上又分為兩種風格，對于較低難度的攻擊目標大多采用招募業(yè)余黑客的方法并使用公開的黑客工具，如sqlmap、havij等；而難度高價值大的目標則為專業(yè)黑客使用私有黑客工具及攻擊載荷。家族內(nèi)出現(xiàn)明顯的兩種風格導致平均同源度相對較低。另一方面，不同主體攻擊事件之間平均同源度低于0.2，說明多維特征上的組合效應能將差異進行放大，使得基于神經(jīng)網(wǎng)絡(luò)的同源模型的區(qū)分度高。

表3 攻擊事件同源性判定結(jié)果均值統(tǒng)計Table 3 Mean statistics of the output results of attack event homology

3.3 算法自適應性測試及相關(guān)工作比較

為了比較基于樣本方法及基于證據(jù)鏈方法在攻擊變異情況下的算法自適應性上的差異，將本文工作與文獻[9]的部分工作進行了比較，比較點之一是黑客工具及代碼高度相似而攻擊者及使用方法不同，之二是攻擊代碼功能、載荷變異很大但為同一組織所研發(fā)。結(jié)果如表4所示。

表4 相關(guān)工作比較Table 4 Comparison of related work

比較1 文獻[9]中判定F2家族樣本與F3家族樣本同源度為0.466 3，并分析出其原因為惡意代碼作者已將樣本源代碼公開，2個家族樣本的通信及命令解析模塊近乎完全一致，因而具有同源性。相應地，本文從40個樣本中抽選出核心代碼基本一致且都有對應真實攻擊事件的2類樣本(FA、FB)共10份，采用本文方法得到其平均同源度僅為0.203 3，分析發(fā)現(xiàn)，攻擊事件中FA和FB的虛擬身份如碼址信息、回連域名均有巨大差異，兩者的攻擊手法也非常不同，一個利用漏洞而另一個是網(wǎng)站掛馬。特性相似的樣本其同源度本文與文獻[9]差異較大，一種可能的解析是基于樣本的同源性側(cè)重判定的是樣本的開發(fā)者同源，而本文方法側(cè)重判定的是攻擊事件背景下樣本的使用者同源，而這對于攻擊定性及攻擊溯源更具價值。

比較2 文獻[9]中家族F4樣本經(jīng)歷包括功能載荷改造在內(nèi)的3次較大版本變化導致同源度低至0.841 3，本文選取類似樣本FC、FD，其中FC的攻擊對象為互聯(lián)網(wǎng)，而FD的攻擊對象工控系統(tǒng)，但均為同一黑客組織開發(fā)并使用。盡管攻擊對象、載荷功能均不同，但兩者使用了同一個Botnet作為中介網(wǎng)絡(luò)；此外加密方式、數(shù)字證書、C&C節(jié)點等關(guān)鍵攻擊要素均一致，本文方法計算出其同源度高達0.936 1。

綜合以上測試可以發(fā)現(xiàn)，多特征互補描述網(wǎng)絡(luò)攻擊具有組合效應，提高了族內(nèi)聚合度，同時對單一高相似性特征帶來的誤報用偏序關(guān)系進行抑制，體現(xiàn)出基于量子神經(jīng)網(wǎng)絡(luò)的同源性判定方法具有較好的非線性逼近能力及變異攻擊判定的自適應能力。

4 結(jié) 語

網(wǎng)絡(luò)攻擊同源性判定僅僅通過代碼相似性分析是有缺陷的，文章著眼于網(wǎng)絡(luò)攻擊鏈的多維特征，提出基于證據(jù)鏈方法進行相似性建模，采用神經(jīng)網(wǎng)絡(luò)方法進行同源性判定，取得了較好的實驗結(jié)果。未來的工作：(1)網(wǎng)絡(luò)攻擊的部分要素(如僵尸網(wǎng)絡(luò))命名方法不一，導致計算編輯距離存在一定誤差，影響了判定結(jié)果。因此必須研究規(guī)范化、標準化的攻擊要素描述方法。(2)同源度的可視化，采用大數(shù)據(jù)方法對海量網(wǎng)絡(luò)攻擊事件及樣本進行數(shù)據(jù)存儲、數(shù)據(jù)預處理以及數(shù)據(jù)表示，進一步增強對同源性判定結(jié)果的解析力。

[1] 喬延臣,云曉春,張永錚,等.基于調(diào)用習慣的惡意代碼自動化同源判定方法[J].電子學報,2016,44(10):2410-2414. Qiao Y C, Yun X C, Zhang Y Z,etal. An automatic malware homology identification method based on calling habits[J]. Acta Electronica Sinica, 2016, 44(10): 2410-2414. (in Chinese)

[2] Burrows S, Uitdenbogerd A L, Turrin A. Comparing techniques for authorship attribution of source code [J]. Software: Practice and Experience, 2014, 44(1): 1-32.

[3] Ding H, Samadzaden M H. Extraction of Java program fingerprints for software authorship identification [J]. Journal of Systems and Software, 2004, 72(1): 49-57.

[4] Kinable J, Kostakis O. Malware classification based on call graph clustering[J]. Journal in Computer Virology, 2011, 7(4): 233-245.

[5] Park Y, Reeves D, Mulukutla V,etal. Fast malware classification by automated behavioral graph matching[C]//Proceedings of the Sixth Annual Workshop on Cyber Security and Information Intelligence Research. New York: ACM Press, 2010: 45-49.

[6] 楊軼,蘇璞睿,應凌云,等.基于行為依賴特征的惡意代碼相似性比較方法[J].軟件學報,2011,22(10):2438-2453. Yang Y, Su P R, Ying L Y,etal. Dependency-based malware similarity comparison method[J]. Journal of Software, 2011, 22(10): 2438-2453. (in Chinese)

[7] 王蕊,馮登國,楊軼,等.基于語義的惡意代碼行為特征提取及檢測方法[J].軟件學報,2012,23(2):378-393. Wang R, Feng D G, Yang Y,etal. Semantics-based malware behavior signature extraction and detection method [J]. Journal of Software, 2012, 23(2): 378-393. (in Chinese)

[8] 錢雨村,彭國軍,王瀅,等.惡意代碼同源性分析及家族聚類[J].計算機工程與應用, 2015,51(18):76-81. Qian Y C, Peng G J, Wang Y,etal. Homology analysis of malicious code and family clustering [J]. Computer Engineering and Applications, 2015, 51(18): 76-81. (in Chinese)

[9] 葛雨瑋, 康緋,彭小詳. 基于動態(tài)BP神經(jīng)網(wǎng)絡(luò)的惡意代碼同源性分析[J].小型微型計算機系統(tǒng), 2016,37(11):2527-2531. Ge Y W, Kang F, Peng X X. Homology analysis of malicious code based on dynamic BP neural network[J]. Journal of Chinese Computer Systems, 2016, 37(11): 2527-2531. (in Chinese)

[10] 唐彰國,李煥洲,鐘明全,等.基于量子神經(jīng)網(wǎng)絡(luò)的啟發(fā)式網(wǎng)絡(luò)隱蔽信道檢測模型[J].計算機應用研究,2012,29(8)：3033-3038. Tang Z G, Li H Z, Zhong M Q,etal. Heuristic detection model of covert channel based on quantum neural network[J]. Application Research of Computers, 2012, 29(8): 3033-3038. (in Chinese)

[11] 張亮,陸余良,房珊瑤.基于量子自組織神經(jīng)網(wǎng)絡(luò)的Deep Web分類方法研究[J].計算機科學,2011,38(6)：205-210. Zhang L, Lu Y L, Fang S Y. Research on deep Web classification approach based on quantum self-organization feature mapping network[J]. Computer Science, 2011, 38(6): 205-210. (in Chinese)

[12] Narayanan A, Menneer T. Quantum artificial neuralnetwork architectures and components[J]. Information Sciences, 2000, 128(3): 231-255.

Homology identification method of network attack based on quantum neural network

TANG Zhangguo, LI Huanzhou, ZHANG Jian

Institute of Computer Network and Communication Technology, Sichuan Normal University, Chengdu 610101, China

The analysis method of homology identification of network attack is discussed in order to provide basis for attack scenario restoration, attack qualitative, and attacker traceability in the background of big data. An attack description method based on evidence chain is proposed, and the key fingerprints of each link of the network attack chain are summarized. Furthermore, the corresponding model for identification of the homology of network attacks is proposed. The edit distance between each link is calculated to describe the similarity, and the algorithm fusion of similarity is designed by neural network method. Then, the homologous decision of network attack is recognized. It shows that this method can effectively determine the homology of network attacks, with more accurate result over the sample-based method. This work provides an effective approach for improving the ability and automation of homology judgment of network attacks in big data.

network attack; quantum neural network; homology; edit distance

10.3969/j.issn.1671-9727.2017.04.14

1671-9727(2017)04-0506-07

2017-01-23。

四川省教育廳青年基金項目(15ZB0026)。

唐彰國(1978-),男,碩士,副教授,研究方向:大數(shù)據(jù)分析、信息安全, Email:tangzhangguo@sicnu.edu.cn。

TP393

A