一種基于網絡對抗的惡意代碼破壞效果控制模型

曹瑩瑩

(鹽城師范學院信息科學與技術學院,江蘇鹽城 224002)

一種基于網絡對抗的惡意代碼破壞效果控制模型

曹瑩瑩

(鹽城師范學院信息科學與技術學院,江蘇鹽城 224002)

針對傳統惡意代碼破壞行為盲目、破壞效果單一的不足,提出了一種破壞效果分級可控的惡意代碼攻擊模型HCMM,改進了惡意代碼破壞效果評估指標體系,并利用基于AHP的多級模糊綜合評估模型設計了惡意代碼破壞效果預估算法.實驗結果表明,HCMM模型有效地改善了破壞效果可控性與自適應性,更符合現代信息對抗以及網絡安全性測試的要求.

惡意代碼;分級破壞;攻擊效果預估;破壞效果控制

0 引 言

隨著通信網絡技術的迅猛發展以及新興惡意代碼技術的層出不窮,惡意代碼對信息網絡的破壞日益嚴重.研究惡意代碼技術直接關系著公眾的切身利益,關系著國家信息的安全,關系著國家信息基礎設施的穩定運行.

傳統惡意代碼,例如蠕蟲類病毒“磁碟機”、木馬類惡意代碼“AV終結者”[1,2],一般對每個攻擊目標采取相同的破壞行為.具有實時控制功能的木馬程序,如著名的“灰鴿子遠程控制”[3]、“gh0st遠程控制”[4],雖可以依據攻擊者意圖完成特定攻擊,但這些破壞行為必須在攻擊者實時操作下完成,而程序本身不具有對受控主機和網絡脆弱性、連通性、業務性等特性的分析能力.組合攻擊[5]從Red Team的角度研究如何利用計算機的脆弱性對計算機網絡進行逐步入侵,最終獲取網絡中計算機的一個合法身份,進而對網絡進行深度攻擊.

本文結合組合攻擊建模思想提出一種破壞效果分級可控的惡意代碼攻擊模型(Hierarchical and Controllable Malicious Model,HCMM),該模型改進了惡意代碼破壞效果評估指標體系,并利用基于AHP的多級模糊綜合評估模型精確預估攻擊效果.該攻擊模型重點關注對網絡計算機的“個性化”深度攻擊.

1 HCMM模型

本文提出的HCMM模型如圖1所示.網絡系統參數抽象模塊包括威脅主體建模、網絡建模、受攻擊主機建模和防御主體建模4個方面.

圖1 HCMM模型結構示意圖

圖1中,威脅主體建模是對網絡中可能存在的網絡攻擊者建立模型,包括攻擊者的初始能力、攻擊目標以及它可能使用的原子攻擊手段;網絡建模是對網絡本身建立抽象模型,包括主機配置信息、網絡的連接關系、主機之間的信任關系等;防御主體建模主要對網絡中存在的防御主體建立抽象模型,包括防火墻、IDS、網絡監控系統等;攻擊模式庫構造器通過不斷收集新的安全事件信息,分析處理后形成原子攻擊模式庫,原子攻擊模式庫可以定期更新;分級組合攻擊方案構造器采用合適的模型構造算法,對各種輸入數據進行分析處理,輸出分級攻擊方案.

1.1 網絡建模

網絡系統參數抽象涉及到分別對威脅主體、網絡本身以及防御主體進行建模.2002年,Sheyner提出了描述網絡的{H,C,T,I,A,ids}六元組[6].本文使用該六元組對HCMM模型中的網絡信息進行建模.

1.2 主機建模

主機建模,是指以適當的粒度選取的組件,并對這些組件及其相互關系建立模型.該模型應該包括一臺主機在網絡中的位置、操作系統相關信息、充當的角色、包含的敏感信息等要素.主機信息模型為攻擊者和分級組合攻擊方案構造器提供充要的參考信息,為制定最優的攻擊方案提供知識.

文獻[6]對于主機的建模比較模糊.通過對大量惡意代碼攻擊目標的分析我們得出以下結論：主機隸屬機構和使用者、主機在網絡中的角色、主機提供的服務、包含信息的敏感度是攻擊者判斷一臺主機是否具有攻擊價值,以及設定攻擊目的的重要因素.因此,本文抽取的主機信息包含且僅包含主機隸屬機構和使用者、主機在網絡中的角色、主機提供的服務、包含的敏感信息等,具體描述為{HostID,IP, MAC,OS,Access,Port,Desc,File}八元組,如表1所示.

表1 主機抽象模型

1.3 原子攻擊模式庫

當原子攻擊模式庫中某些原子攻擊發生的條件得到滿足,并且這些原子攻擊能夠通過映射關系關聯起來,就構成了組合攻擊.文獻[7-9]對攻擊模式庫進行了深入的研究.在文獻[10]中,作者提出了一個較為通用的原子攻擊模式庫模型,本文依據文獻[10]提出的原子攻擊模式庫模型建模了一個分級組合攻擊框架中原子攻擊庫.

李雄偉等[11]總結了5種網絡安全威脅因素：假冒攻擊、授權侵犯、保密性攻擊、完整性侵犯、業務否認,并將這5種因素的安全威脅程度作為評估網絡攻擊破壞效果的基本準則.而攻擊模型的攻擊能力在一定程度上取決原子攻擊的有效性、多樣性以及原子攻擊庫的規模.因此,本文依據文獻[11]總結的5種威脅角度設計與實現原子攻擊.原子模式庫主要包含漏洞滲透、應用程序密碼獲取等10類原子攻擊,如表2所示.

表2 原子攻擊分類及破壞效果評估指標

1.4 分級組合攻擊方案構造器與破壞效果評估

分級攻擊方案構造器通過前向搜索匹配算法分析獲取的主機信息與原子攻擊模式庫描述文件,生成初始攻擊方案,并定量預估初始攻擊方案的攻擊能力.一般而言,計算機網絡攻擊效果評估是指對網絡攻擊行為所能達到的攻擊效果進行綜合評判的過程.目前,主要的效能評估模型有：模糊綜合評價模型[12],基于粗糙集理論的評估模型[13],以及基于網絡熵的評估模型[14].上述模型適用的應用場景有所區別,因此,選擇合適的評估模型是本文需要解決的關鍵問題.

1.4.1 破壞效果評估指標體系.

傳統的攻擊效果評估是在攻擊完成后進行,即在某次單一或組合性攻擊成功后,對于這次攻擊的破壞效果進行定量評估,受攻擊對象的數量、攻擊成功率以及完成攻擊所耗費的時間等均是其重要的評估指標.而本文提出的惡意代碼破壞效果預估是在發起攻擊前進行的,是依據獲取的受害主機與網絡的相關信息,結合原子攻擊模式庫,預測破壞能力.傳統的攻擊破壞效果評估體系[15]不完全適用于本文提出的惡意代碼破壞效果控制技術.

因此,本文改進了傳統網絡攻擊效果評估體系及其指標,即攻擊方案綜合破壞效果為第一層,10類原子攻擊構成了評估體系第二層,每類原子攻擊的具體指標構成第三層,并刪除了攻擊發起前無法采集的指標,細化了描述比較模糊的指標,調整了多項指標的權重.同時,利用9級分制標度法量化描述初始攻擊方案中各指標的影響程度;滲透的漏洞數量等涉及具體數量的項目用等級0～9描述其數量, 0個對應等級0,依次遞增;漏洞威脅等級等涉及量化等級的項目用等級3,5,7,9分別對應“低”、“中”、“嚴重”、“非常嚴重”;漏洞滲透效果等涉及用戶權限的項目用等級1,5,7,9分別對應none、guest、user、root權限.

1.4.2 攻擊破壞效果預估方法.

基于AHP的多級模糊綜合評估模型綜合了分層分析法與模糊評價優點,數學模型簡單,對多因素、多層次的復雜問題評判效果較好,比較適合于評估具有多條攻擊項目的復雜攻擊預案的效能.故本文利用基于AHP的多級模糊綜合評估模型設計了攻擊破壞效果預估算法.

利用9級分制標度法建立的第二層判斷矩陣I,該矩陣通過兩兩比較的方式確定了10類原子攻擊的權重.

該矩陣的歸一化權重系數向量為,

該判斷矩陣最大特征根λmax為,

=10.3253

相應的一致性指標為,

由于CR＜0.1,因此判斷矩陣I滿足一致性條件.

本文設定網絡攻擊評估集合V={v1,v2,…, vm}為5級,即 m=5,v1：差,v2：較差,v3：一般,v4：較好,v5：好.為了數據處理的方便,采用三角模糊描述各個評語的模糊隸屬函數(見圖2).這里分別以, 0.2、0.4、0.6、0.8,作為評語的中心點.

圖2 評語集隸屬函數

各評語隸屬函數如下：

1.5 分級組合攻擊方案

為了進一步滿足網絡安全性測試的需求,本模型允許攻擊者進一步修改初始分級攻擊方案,增加控制因子,生成最終的攻擊方案.修改攻擊方案參考的因素包括：攻擊發起時間、受害主機所屬單位、受害主機用戶、擁有的敏感信息重要程度和數量、提供的服務重要程度和數量、網絡環境.

具體而言,攻擊者可以從以下幾方面修改初始攻擊方案：①限定每一種攻擊行為開始的時間;②刪除初始方案建議的攻擊方法;③增加初始方案中不包含的攻擊方法;④修改某種攻擊方法的攻擊目標,如縮小禁用服務的個數.需要說明的是,實施初始方案中不包含的攻擊方法可能達不到攻擊者預定的攻擊破壞效果,但可以作為試驗性攻擊和壓力測試對攻擊目標進行破壞.最終的分級組合攻擊方案如表3所示.

表3 分級組合攻擊方案

2 應用實例與性能分析

性能評測的主要指標是模型能夠結合攻擊場景實現對不同攻擊目標的“個性化”攻擊且攻擊力度可預估,因此,性能的評估主要從兩個方面進行考查：(1)攻擊行為分級可控;(2)結合攻擊策略自適應.

2.1 應用實例

為了驗證HCMM模型的實用性,我們在實驗中使用VC6.0開發了一個分級可控惡意代碼實驗系統(Hierarchical and Controllable Malicious Experiment System,HCMES).HCMEM實驗系統空間上分為：攻擊者管理與操作的攻擊系統控制中心和連接在Internet上多臺被植入惡意代碼的受害主機.實驗在網絡地址為192.168.100.0的100M以太局域網中部署了HCMES一個實例,同時部署了“磁碟機”、“AV終結者”、“灰鴿子遠程控制”,進行了相關比較實驗.該局域網由7臺安裝Windows XP SP2的受控主機與一臺安裝Windows 2003 Server的作為控制中心的服務器組成.攻擊系統控制中心的部署包括：①分級破壞監控程序：HierarchyMonitor.exe;②Web方式原子模式庫;③FTP方式受害主機信息庫.受害主機的部署包括：①具有下載功能的蠕蟲程序：Download Worm.exe;②實施分級破壞的木馬程序HierarchyTrojan.exe;③依據攻擊方案從控制中心下載的多種原子攻擊.實驗部署方案如圖3所示.部署在攻擊系統控制中心的分級破壞監控程序對受控主機控制情況如圖4所示.

圖3 實驗部署示意圖

圖4 分級破壞監控程序對受控主機控制情況

2.2 性能分析

對實驗中受害主機192.168.100的攻擊方案使用破壞效果預估算法評估其效能.該算法基本步驟如下：

步驟1.利用9級分制標度法量化并建立的分層判斷矩陣.該攻擊方案僅包括前6類原子攻擊,故共需建立7個判斷矩陣,其中第二層判斷矩陣即本文前述的判斷矩陣 I.

步驟2.計算第三層各種攻擊類型的攻擊效果評估指標的權重系數向量.它們均可以滿足矩陣一致性檢驗 CR＜0.1.

步驟3.計算出各單層評價結果.根據公式(1)、(2)、(3)計算出各類攻擊的判決矩陣 R.

由,Bi=wi°Ri,可計算出各單層評價結果.

步驟4.計算二級模糊綜合評估結果.令 R= (E1,E2,E3,E4,E5,E6)T,則二級模糊綜合評估結果為,

步驟5.計算第一層評估結果.采用加權平均進行單值化,取k=1,m=5,得,

因為各個評語 vi(i=1,2,3,4,5)分別用數字{1,2,3,4,5}來表示,由于2＜e＜3,則可以認為網絡攻擊效果介于“較差”和“一般”之間.

同時,本文從傳播能力、智能信息獲取、智能信息或服務破壞、區分攻擊、攻擊評估幾個方面比較了4種惡意代碼的性能(見表4).

表4 HCMEM實驗系統與其他惡意代碼性能比較

與傳統的實時控制程序相比,HCMEM實驗系統除具有傳統的實時控制功能外,增加了攻擊破壞效果評估能力,并具有為每一個攻擊對象生成攻擊方案的能力,攻擊行為更為智能化、自動化.與傳統病毒的盲目破壞行為相比,HCMES實驗系統在確知受害對象相關信息的情況下實施信息或系統攻擊,明顯提高了攻擊成功率與有效性.因此,可以得出結論,HCMM模型兼具傳播、自適應攻擊、破壞效果可預估、攻擊效果可修正等特性.

3 結 論

本文在分析網絡安全性測試對惡意代碼破壞效果可控性的需求的基礎上,提出了一種破壞效果分級可控的惡意代碼攻擊模型HCMM,改進了惡意代碼破壞效果評估指標體系,并利用基于AHP的多級模糊綜合評估模型設計了攻擊破壞效果預估算法,開發了一個分級可控惡意代碼實驗系統.實驗結果表明,該攻擊模型提供了獲取與分析受害主機相關信息,并結合惡意代碼庫自動生成初始攻擊方案以及預估攻擊效果等級的功能,更符合現代信息對抗以及網絡安全性測試的要求.

[1]新華網.專家全面解讀磁碟機病毒[EB/OL].[2008-03-21].http：//news.xinhuanet.com/internet/2008-03/21/ content-7833247.htm.

[2]賽迪網.AV終結者完全解密[EB/OL].[2007-06-20]. http：//www.enet.com.cn/security/zhuanti/avzhongjiezhe/.

[3]軟件網.灰鴿子遠程控制木馬的原理解析[EB/OL].[2009 -08-24].http：//www.softcps.com/software/47/n-1047.html.

[4]夜火博客.Ghost RAT——紅狼安全小組最新遠程控制軟件[EB/OL].[2008-01-20].http：//www.15897.com/blog/ post/Ghost-RAT-C-Rufus-Security-Team.html.

[5]毛捍東,陳 鋒,張維明,等.網絡組合攻擊建模方法研究進展[J].計算機科學,2007,34(11)：50-56.

[6]Sheyner O.Scenario Graphs and Attack Graphs[D].Pittsburgh：Carnegie Mellon University,2004.

[7]Jha S,Sheyner O,Wing J M.Two Formal Analyses of Attack Graphs[C]//Proceedings：15th IEEE Computer Security Foundations Workshop(CSFW’15).Cape Breton：IEEE Computer Society,2002：49-63.

[8]Bhattacharya S,Malhotra S,Ghsoh S K.A Scalable Approach to Attack Graph Generation[C]//Information Technology,2008.Salt Lake City：IEEE Press,2008：1-4.

[9]Li W,Vaughn R.An Approach to Model Network Exploitations Using Exploitation Graphs[C]//Military,Government,and Aerrospace Simulation Symposium：Proceedings of the Spring Simulation Multiconferrence(SMC’05).San Diego：IEEE Press, 2005：237-244.

[10]Li W.An approach to graph-based modeling of network exploitations[D].Mississippi State,Mississippi：Mississippi State University,2005.

[11]李雄偉,周希元,楊義先.基于層次分析法的網絡攻擊效果評估方法研究[J].計算機工程與應用,2005,35(24)：157-159.

[12]趙冬梅,馬建峰,王躍生.信息系統的模糊風險評估模型[J].通信學報,2007,28(4)：51-56.

[13]林夢泉,王強民,陳秀真,等.基于粗糙集的網絡信息系統安全評估模型研究[J].控制與決策,2007,22(8)：951 -960.

[14]張義榮,鮮 明,王國玉.一種基于網絡熵的計算機網絡攻擊效果定量評估方法[J].通信學報,2004,25(11)：158 -165.

[15]鮮 明,包衛東.網絡攻擊效果評估導論[M].長沙：國防科技大學出版社,2007.

Destroying Effect-controlling Model of Malicious Code Based on Network Confrontation

CAO Yinyin

(School of Information Science and Technology,Yangcheng Normal University,Yancheng 224002,China)

For the insufficiencyof the traditional malicious code in its blind action and single destroying effect,a new malicious code attacking model was proposed,which has the ability to attack object hierarchically.The traditional evaluation index system of malicious code destroying effect was improved in this paper and a predication algorithm for calculating the malicious code destroying effect was designed using multifuzzy comprehensive evaluation model based on AHP.The results prove that the model can improve malicious code’s controllability and adaptability,and meet the requirements of modern information countermeasure and network security testing.

malicious code;hierarchy attack;attacking effect estimate;destroying effect control

TP393

：A

1004-5422(2010)02-0140-06

2009-12-28.

曹瑩瑩(1979—),女,碩士,講師,從事計算機網絡安全研究.