分布式異構網絡惡意攻擊取證及預警方法研究

高菲

摘 要：傳統的網絡惡意攻擊取證方法對惡意攻擊行為的檢查不全面、惡意攻擊行為相似度分辨準確性低。為此，提出了一種分布式異構網絡惡意攻擊取證及預警方法。利用CVSS計算器對網絡惡意攻擊行為的嚴重等級進行評估，結合灰關聯分析法建立灰關聯模型，對評估要素進行量化處理;在此基礎上，獲取并處理日志、事件、警告和證據信息，建立證據庫。根據取證結果，結合TOP-K預警策略實現分布式異構網絡惡意攻擊的預警和預警信息儲存。實驗結果表明，所提方法對惡意攻擊行為的查全率和惡意攻擊行為相似度分辨的準確性較高，且預警反應耗時較短，不僅能夠準確檢測惡意攻擊行為，還能夠及時發出警報，有效維持分布式異構網絡的安全性。

關鍵詞：分布式異構網絡;網絡惡意攻擊;差異信息;灰關聯模型

中圖分類號：TP337????? 文獻標識碼：A

Research on Forensics and Forewarning Methods

of Distributed Heterogeneous Network Malicious Attacks

GAO Fei

（Skills Training Center，State Grid Jibei Electric Power Company Limited

（Baoding Electric Power Voc.& Tech. College）， Baoding，Hebei 071051， China）

Abstract：The traditional network malicious attack forensics method for malicious attack behavior inspection is not comprehensive， malicious attack behavior similarity discrimination accuracy is low. Therefore， this study proposes a distributed heterogeneous network malicious attack forensics and warning method. CVSS calculator was used to evaluate the severity of malicious network attacks， and gray correlation analysis method was used to establish a gray correlation model to quantify the evaluation factors. On this basis， obtain and process log， event， warning and evidence information， establish evidence base. According to the forensics results， TOP-K warning strategy is combined to realize the warning and warning information storage of distributed heterogeneous network malicious attack. The experimental results show that the proposed method is more accurate in detecting the malicious attack and distinguishing the similarity degree of the malicious attack， and the early-warning response time is shorter. It can not only accurately detect the malicious attack， but also send out the alarm in time， effectively maintaining the security of distributed heterogeneous network.

Key words：distributed heterogeneous network; malicious network attacks; difference information; grey relational model

為有效保障網絡運行的安全性、更好地抵御非自體入侵行為和惡意攻擊行為，需對網絡惡意攻擊進行動態實時取證[1]。分布式異構網絡中惡意攻擊行為的取證是使用合理的方法對數據證據進行收集、檢查和分析，這些證據涉及到多層次的主動處理過程。取證的目的是為了及時發現網絡中的惡意攻擊行為，為網絡安全故障的應急處理提供有效支持[2]。若發現網絡中存在或可能存在惡意攻擊行為，則通過有效、及時地預警防止網絡威脅的進一步擴大。

傳統的網絡惡意攻擊取證方法多采用基本過程模型將已知攻擊證據作為證據來源，主要強調從電子數據中提取到的證據[3]，但更主要的是強調發現攻擊行為發生后將網絡恢復到初始狀態。如楊天識等人[4]提出了基于OpenFlow的蜜罐主動取證，通過創建蜜罐虛擬機的方式將攻擊行為從網絡服務器中隔離到蜜罐服務器中，并通過OpenFlow協議調控網絡流量，將蜜罐服務器與真實網絡服務器隔離。將正常訪問請求路由到真實服務器中，根據IDS標記取證結果將惡意攻擊行為路由到制定的蜜罐中，實現對惡意攻擊的取證。李陽[5]等人提出了大規模網絡非自體入侵動態實時取證方法，通過人工免疫法將網絡的狀態特征與分類器參數作為個體，在估算其適應度的基礎上，利用遺傳算法得到最優特征和分類器參數，通過SVM建立入侵檢測模型，根據檢測結果構建非自體動態的演化模型，并保證其與真實網絡環境保持同步演化，并記錄非自體入侵動態變遷狀況，實現網絡非自體入侵的取證。吳豐盛[6]提出了多模光纖網絡異常入侵信號提純取證方法，建立網絡信號傳輸模型，利用時間序列重構方法檢測出網絡異常入侵信號，并提取其時頻譜特征量;在此基礎上，結合經驗模態分解法分離網絡異常入侵信號特征信息，根據其收斂性將分離后的入侵信號輸入到降噪濾波器中，完成入侵信號提純處理，實現網絡異常入侵取證。上述方法雖然均實現了對網絡攻擊、入侵行為的取證，但存在對攻擊、入侵行為的檢查不全面、對惡意攻擊行為相似度分辨準確性較差的問題。

為解決傳統方法存在的問題，提出了分布式異構網絡惡意攻擊取證及預警方法，運用動態取證方法查找證據，并加入TOP-K報警技術，根據取證結果對網絡惡意攻擊行為進行預警。

1 網絡惡意攻擊入侵評估要素量化

首先利用CVSS計算器評估出網絡惡意攻擊行為的嚴重等級，CVSS評估項目如表1所示。

利用CVSS計算器得到的評估結果是一系列處于0～10之間的數字，數值越大，則說明網絡惡意攻擊行為越嚴重。再次基礎上，根據網絡惡意攻擊評分數值，結合灰關聯分析法建立灰關聯模型，對網絡惡意攻擊入侵威脅評估要素進行量化處理。量化處理過程如下：

Step1：提取分布式異構網絡序列間的差異信息，并構建差異信息空間模型;

Step2：計算差異信息間的灰關聯度;

Step3：根據灰關聯度構建差異因子間的序關系，利用網絡惡意攻擊入侵評估要素和所建立灰關聯分析模型分析各因素之間的相關性。灰關聯模型表達式如下：

H=1n∑ni=1γk（1）

其中，γ指差異信息集;k指差異信息影響空間;n指灰關聯度等級，且n=1，2，…，i，…。經過灰關聯模型分析后，采用計算算術平均值算法實現評估要素的量化。在量化計算的過程中僅考慮指標個數，不需要考慮不同指標對最終評估結果的差異[7]。

由此，完成對分布式異構網絡惡意攻擊入侵評估要素的量化處理。

2 分布式異構網絡惡意攻擊取證處理

在對分布式異構網絡惡意攻擊入侵評估要素進行量化處理的基礎上實現分布式取證，為網絡安全防護提供更有說服力的綜合性證據。分布式異構網絡惡意攻擊取證處理框架如圖1所示。

圖1中，日志log、事件Event、警告Alert和證據Evidenc均為分布式異構網絡惡意攻擊取證的對象。

首先定義日志log為RL，STYPE，SID，其中，RL指分布式異構網絡設備和主機產生的原始日志，這些日志是傳感器獲取的網絡活動最直接的報告;STYPE指日志類型;SID指安全標識符[8]。

分布式異構網絡中各設備和主機產生的原始日志格式分為以下4種：

（1）告警日志。告警日志中包含告警時間和攻擊特征編號、目的IP地址等信息[9]。通過告警證明入侵源對目標主機的掃描探測行為，在此基礎上可以利用信息漏洞收集整個入侵過程的行為特征。

（2）訪問日志。訪問日志中包含時間和客戶端IP 地址、服務器IP 地址等信息。當web客戶端訪問web服務器時沒有發出告警，則說明服務器應答狀態正常。

（3）訪問日志。訪問日志中信息字段包含客戶端IP 地址和時間、服務應答碼等信息。

（4）防火墻訪問日志。防火墻訪問日志中的信息字段包含主機名稱、物理接口名稱和目的端口等。

定義事件Event為日志接收器從傳感器截取到的日志信息，因不同類型的原始日志格式有所不同，為方便后續處理，需將所有日志格式調整為異構數據格式[10]。

針對警告Alert，若Alert發生在事件庫中，則需要經過標準化處理以保證獲取的數據質量，避免存在冗余和無關證據。

在證據Evidenc的分析過程中，需根據關聯規則對日志行為進行保全，經過保全的行為均儲存在證據庫中做統一處理。

根據上述對日志log、事件Event、警告Alert、證據Evidenc的定義和處理，完成分布式異構網絡惡意攻擊取證。

3 網絡惡意攻擊預警

在上述利用CVSS計算器量化網絡惡意攻擊入侵評估要素，并建立分布式異構網絡惡意攻擊取證數據庫的基礎上，利用TOP-K預警策略實現地網絡惡意攻擊行為的預警[11]。具體預警實現過程如下：

首先，提取報警日志的目標端口信息和端口記錄次數，以上述兩個屬性為研究對象，連續收集數據中心提供的報警日志，將每天的報警日志匯總成表格[12-13]。為方便后續處理，需對報警日志進行端口向量化。繼而將這些報警日志放入數據集當中，按照報警日志的端口序號和報警記錄次數的大小排序，形式為p1，m1，p2，m2，p3，m3，…，pn，mn，其中，p指端口號，m指報警記錄次數[14]。

在此基礎上，記錄每個感應器的報警日志F。在報警日志與每個感應器進行信息交互前，將全部端口的報警記錄初始化[15]，并建立信息交互初始化向量，表達式為：

Q=Vi×ym（2）

其中，Vi表示報警日志，y表示端口交互記錄次數。

在報警日志中會隨機的向分布式異構網絡發送交互信息，若產生的日志與某個端口產生的報警信息有直接關聯，就需要將對應的端口設置為1，并將所記錄的端口依次排序，表達式為：

W=Vi×Qms（3）

其中：ms值感應器交互反饋后的排序。

感應器交互過程反映的是每個感應器的報警日志與相關合作小組的交互過程。當感應器產生一份告警日志，就會發送給TOP-K程序中的其他感應器成員。經過與其他感應器日志信息交互校驗后，再說明感應器之前所遭受到的攻擊，并采取相應的預警措施。經過感應器成員相互反饋后，記錄并儲存會得到報警日志的端口號以及日志信息端口交互次數。最后，將報警日志反饋結果上傳至數據中心，以便日后對類似的惡意攻擊行為進行有效防御。

由此，完成分布式異構網絡惡意攻擊取證及預警方法的設計。

4 實驗與結果分析

為驗證所提的分布式異構網絡惡意攻擊取證及預警方法的有效性，設計如下實驗。

4.1 實驗環境

實驗硬件環境為Visual Studio 2005，3.54GHzCPU，5.00 Byte RAM。在1000×1000m的范圍內建立分布式異構網絡模型，均勻分布500個節點，其他相關網絡參數設定情況如表2所示.

為保證實驗的有效性，將所提的分布式異構網絡惡意攻擊取證及預警方法與文獻[4]中的基于OpenFlow的蜜罐主動取證方法、文獻[5]中的大規模網絡非自體入侵動態實時取證方法、文獻[6]中的多模光纖網絡異常入侵信號提純取證方法進行性能對比。

4.2 實驗結果與分析

（1）惡意攻擊行為查全率

惡意攻擊行為查全率可以判斷不同方法對分布式異構網絡中惡意攻擊行為采集、檢測、分析的全面性，其計算過程如下：

查全率=檢測出的惡意攻擊行為數量實際惡意攻擊行為總量×100%（4）

測試不同方法在對分布式異構網絡中惡意攻擊行為進行檢測的全面性，實驗結果如圖2所示。

分析圖2可知，在不斷的迭代中，僅所提的分布式異構網絡惡意攻擊取證及預警方法對惡意攻擊行為的查全率在逐步增加，而另外三種方法對分布式異構網絡中的惡意攻擊行為的查全率變化無規律性，但均低于所提方法。因此可以說明分布式異構網絡惡意攻擊取證及預警方法能實現對惡意攻擊行為的全面采集、檢測和分析。

（2）惡意攻擊行為相似度分辨準確性

通過對比不同方法對惡意攻擊行為相似度分辨的準確性，可以判斷不同方法的自適應性能和取證辨識能力。其計算過程如下：

Z=1-∑hgah-gbh2（5）

其中，Z指惡意攻擊行為相似度分辨準確性，gah指h灰關聯度下所有訪問行為特性分布區域范圍，gbh指h灰關聯度下惡意攻擊行為特性分布區域范圍。

測試不同方法的惡意攻擊行為相似度分辨準確性，實驗結果如圖3所示。

分析圖3可知，隨著實驗迭代次數的不斷增加，不同方法的惡意攻擊行為相似度分辨準確性也在不斷發生變化。但所提的分布式異構網絡惡意攻擊取證及預警方法的準確性始終在4種方法中保持最高，證明該方法具有較強的自適應性能和取證辨識能力。

（3）預警反應耗時

預警反應耗時指在對惡意攻擊行為進行告警過程所花費的時間，能夠反映不同方法的預警響應效率。預警反應耗時結果由Visual Studio操作平臺智能統計。預警程序啟動頁面如圖4所示。

不同方法預警反應耗時測試結果如表3所示。

分析表3可知，隨著實驗迭代次數的不斷增加，不同方法的預警反應耗時也在不斷發生變化。文獻[4]和文獻[5]方法的預警反應耗時較接近，大致保持在400-550 ms之間，文獻[6]方法的預警反應耗時較多，最高的預警反應耗時達到了856 ms。相比之下，所提的分布式異構網絡惡意攻擊取證及預警方法的預警反應耗時最少，可維持在400 ms之內。這是因為所提方法應用了TOP-K預警策略，過濾掉報警日志端口中比較分散的日志，從而有效抵御稀疏端口發起的惡意攻擊。

綜上所述，所提的分布式異構網絡惡意攻擊取證及預警方法具有較高的惡意攻擊行為的查全率和惡意攻擊行為相似度分辨的準確性，且預警反應速度較快。

5 結 論

針對傳統網絡惡意攻擊取證及預警方法存在的問題，提出分布式異構網絡惡意攻擊取證及預警方法。首先量化網絡惡意攻擊入侵評估要素，在此

基礎上，處理分布式異構網絡惡意攻擊取證數據，構建證據庫。并利用TOP-K預警策略實現對惡意攻擊行為的預警，有效抵御網絡惡意攻擊，保證取證數據的完整性和可用性。在實驗部分分別對比3種傳統的網絡惡意攻擊取證方法和所提方法的可行性。實驗結果證明了所提方法的可行性更高。

參考文獻

[1] 宋明秋， 王琳， 邵雙. 基于攻擊傳播性的分布式網絡信任模型[J]. 運籌與管理， 2017， 26（7）：125-131.

[2] 溫晗， 劉淵， 王曉鋒， 等. 面向天地一體化信息網絡的惡意用戶行為仿真技術[J]. 小型微型計算機系統， 2019， 40（8）：125-126.

[3] 吳一塵， 章曙光. 基于網格的無線傳感器網絡蟲洞攻擊抵御策略[J]. 中國科學技術大學學報， 2019.22（1）：154-155.

[4] 楊天識，刁培金，梁露露，等.基于OpenFlow的蜜罐主動取證技術[J].北京理工大學學報，2019，39（5）：545-550.

[5] 李陽，李剛.大規模網絡非自體入侵動態實時取證仿真研究[J].計算機仿真，2018，35（11）：269-272.

[6] 吳豐盛.多模光纖網絡異常入侵信號提純方法[J].激光雜志，2019，40（3）：120-124.

[7] 孟彩霞， 葉海琴. 基于多元節點屬性分類的光纖網絡入侵中未感染節點檢測[J]. 科學技術與工程， 2018， 47（14）：167-171.

[8] 周彩秋， 楊余旺， 王永建. 無線傳感器網絡節點行為度量方案[J]. 清華大學學報（自然科學版）， 2017，22（1）：39-43.

[9] 周海平， 沈士根， 黃龍軍， 等. 基于博弈論的無線傳感器網絡惡意程序傳播模型[J]. 電信科學， 2018，36（11）：154-155.

[10]秦永俊，唐增明.改進的NetLinX開放網絡動態入侵檢測方法[J].西安工程大學學報，2017，31（4）：576-581.

[11]韓曉冬， 高飛. 抗污染攻擊的流內安全網絡糾錯編碼[J]. 北京理工大學學報， 2018， 38（11）：139-140.

[12]馬莉莉， 劉江平. 大數據信息傳輸中惡意攻擊數據識別仿真[J]. 計算機仿真， 2017， 34（10）：375-378.

[13]李佳， 云曉春， 李書豪. 基于混合結構深度神經網絡的HTTP惡意流量檢測方法[J]. 通信學報，2019，40（1）：28-37.

[14]宋明秋， 王琳， 邵雙. 基于攻擊傳播性的分布式網絡信任模型[J]. 運籌與管理， 2017， 26（7）：125-131.

[15]王麗娜， 談誠， 余榮威，等. 針對數據泄漏行為的惡意軟件檢測[J]. 計算機研究與發展， 2017， 54（7）：1537-1548.