基于APT潛伏攻擊的網(wǎng)絡(luò)可生存性模型與分析

姚 蘇,關(guān)建峰,潘 華,張宏科

(1.北京交通大學(xué)電子信息工程學(xué)院,北京 100044；2.中國航空綜合技術(shù)研究所,北京 100028;3.北京郵電大學(xué),北京 100876)

?

基于APT潛伏攻擊的網(wǎng)絡(luò)可生存性模型與分析

姚 蘇1,2,關(guān)建峰3,潘 華2,張宏科1

(1.北京交通大學(xué)電子信息工程學(xué)院,北京 100044；2.中國航空綜合技術(shù)研究所,北京 100028;3.北京郵電大學(xué),北京 100876)

基于傳統(tǒng)網(wǎng)絡(luò)攻擊模式和高級持續(xù)性威脅(Advanced Persistent Threat,簡稱APT)攻擊模式提出網(wǎng)絡(luò)可生存性的評估模型.建立網(wǎng)絡(luò)攻擊場景,仿真驗證提出的網(wǎng)絡(luò)可生存性模型,并比較兩種模式的性能.得到的結(jié)論：提出的評估模型合理刻畫了網(wǎng)絡(luò)可生存性的兩個重要參數(shù),網(wǎng)絡(luò)攻擊傳播速率和網(wǎng)絡(luò)修復(fù)速率；基于APT潛伏攻擊模式下的網(wǎng)絡(luò)可生存性性能低于傳統(tǒng)攻擊模式.

潛伏攻擊；網(wǎng)絡(luò)可生存性；評估模型；馬爾科夫鏈

1 引言

高級持續(xù)性威脅(Advanced Persistent Threat,簡稱APT)是目前計算機網(wǎng)絡(luò)安全界關(guān)注的最熱門話題之一[1].特別是2010年谷歌宣布遭受極光攻擊[2],伊朗核設(shè)施遭受震網(wǎng)(Stuxnet)病毒攻擊等一系列極具破壞性的事件[3],打破了人們對傳統(tǒng)網(wǎng)絡(luò)攻擊的認識,如震網(wǎng)病毒已經(jīng)造成伊朗核電站推遲發(fā)電.從圖1所示的APT攻擊[4],可以看出,APT攻擊已經(jīng)成為近年來網(wǎng)絡(luò)攻擊的主要手段之一.

“潛伏性和持續(xù)性”是APT攻擊最主要的特征[5].“潛伏性”表示APT攻擊并非進入用戶網(wǎng)絡(luò)中就立即發(fā)動攻擊,通常會有一個潛伏期,這個潛伏期可長可短.在潛伏期內(nèi),不斷收集各種信息,直到收集到重要情報,能徹底掌握所針對的目標人、事、物.因此,APT攻擊模式實質(zhì)上是一種“惡意商業(yè)間諜威脅”.“持續(xù)性”體現(xiàn)在網(wǎng)絡(luò)攻擊者不斷嘗試各種攻擊手段,以及滲透到網(wǎng)絡(luò)內(nèi)部后長期蟄伏,繼而不斷發(fā)動攻擊,從而達到破壞用戶網(wǎng)絡(luò)的目的[5].

目前,針對APT網(wǎng)絡(luò)攻擊的研究還處于初級階段,開展的研究主要在APT攻擊的案例分析[7]、特征值提取[8]、檢測機制[9]等方面,并沒有從網(wǎng)絡(luò)可生存性的角度分析.

網(wǎng)絡(luò)可生存性(Network Survivability)[10]泛指網(wǎng)絡(luò)在出現(xiàn)故障損壞、遭受攻擊或不可預(yù)知的事故時,仍然能夠及時完成關(guān)鍵任務(wù)(提供服務(wù))的能力,它屬于網(wǎng)絡(luò)安全性和可靠性的一部分.目前,國內(nèi)外對于網(wǎng)絡(luò)可生存性并未有統(tǒng)一的定義,不過得到廣泛共識的是美國國家標準學(xué)會(American National Standards Institute,簡稱ANSI) T1A1.2網(wǎng)絡(luò)可生存性標準委員會給出的定義[11],網(wǎng)絡(luò)可生存性包括兩個方面：(1)在網(wǎng)絡(luò)出現(xiàn)故障的情況下,通過各種恢復(fù)技術(shù),來維持或恢復(fù)網(wǎng)絡(luò)服務(wù)使之達到可接受的狀態(tài)；(2)網(wǎng)絡(luò)通過應(yīng)用預(yù)防技術(shù),從故障節(jié)點中減輕或預(yù)防服務(wù)失效.可生存性通常用生存率來表示,即當(dāng)某條鏈路或者節(jié)點出現(xiàn)故障時,可從其它鏈路上疏通的業(yè)務(wù)量與該鏈路所傳送的業(yè)務(wù)量之比.圖2給出的可生存性量化指標的說明[12].X軸表示時間,Y軸表示網(wǎng)絡(luò)的可生存性.該曲線刻畫了網(wǎng)絡(luò)遇到故障或者攻擊時,網(wǎng)絡(luò)可生存性度量值即阻塞概率隨著時間產(chǎn)生的變化.在故障或攻擊發(fā)生之前,阻塞概率為ma；故障或攻擊發(fā)生后,經(jīng)過時間tr后,阻塞概率為mr；經(jīng)過時間tR后,阻塞概率恢復(fù)到ma.

目前,針對網(wǎng)絡(luò)可生存性的研究主要集中在故障或者意外事故前提下開展的研究[13，14].如文獻[13] 提出了一種基于颶風(fēng)災(zāi)難條件下的網(wǎng)絡(luò)可生存性模型,采用連續(xù)時間馬爾科夫鏈的分析方法,詳細分析了災(zāi)難傳播和恢復(fù)過程,并總結(jié)了三種不同的災(zāi)難恢復(fù)機制.文獻[14]改進了文獻[13]提出的連續(xù)時間馬爾科夫鏈分析方法,并提出了一種基于地震災(zāi)難條件下的網(wǎng)絡(luò)可生存性模型,并與實際情況比較,驗證了該模型的合理性.文獻[15]在注重提高網(wǎng)絡(luò)可生存性的同時,也兼顧服務(wù)可區(qū)分性的要求,提出了一種主動服務(wù)漂移的模型,增強了對不同網(wǎng)絡(luò)環(huán)境的可生存性適用性.文獻[16]針對大規(guī)模網(wǎng)絡(luò)場景下提出了一種提高網(wǎng)絡(luò)可生存性方法,文獻[17]給出了網(wǎng)絡(luò)可生存的評估體系.可以看出,針對網(wǎng)絡(luò)攻擊特別是新的網(wǎng)絡(luò)攻擊(諸如APT攻擊)的特點,而開展的網(wǎng)絡(luò)可生存性研究較少.本文結(jié)合APT攻擊的隱蔽性特點,即網(wǎng)絡(luò)中的節(jié)點被攻擊后有潛伏期特點,構(gòu)建APT攻擊下的網(wǎng)絡(luò)可生存性模型,并對分析了其網(wǎng)絡(luò)可生存性性能.

本文第二節(jié)敘述APT攻擊下的網(wǎng)絡(luò)生存性模型；第三節(jié)簡要介紹在APT攻擊下使用該模型對網(wǎng)絡(luò)生存性分析；第四節(jié)驗證網(wǎng)絡(luò)可生存性模型的正確性,仿真APT攻擊下的網(wǎng)絡(luò)生存性指標并與傳統(tǒng)攻擊模式進行比較；第五節(jié)提出建議并進行總結(jié).

2 模型建立

2.1 網(wǎng)絡(luò)可生存性模型

由于攻擊是包含時間序列的單個事件,為了評估和分析網(wǎng)絡(luò)遭受攻擊時的可生存性,本文研究定量評估模型,給出一種網(wǎng)絡(luò)可生存性模型.

假設(shè)該攻擊初始于接入網(wǎng)的某個子網(wǎng),之后攻擊傳播到下一個子網(wǎng),之后依次傳播.這種傳播可以稱作攻擊傳播,它是一種級聯(lián)狀行為.不同于故障的傳播特點,網(wǎng)絡(luò)攻擊傳播可以發(fā)源于內(nèi)部網(wǎng)絡(luò),并且有多個狀態(tài).

此外,網(wǎng)絡(luò)可以被看作有一個包含節(jié)點和有向邊的有向圖.節(jié)點表示網(wǎng)絡(luò)中基礎(chǔ)設(shè)施(終端、路由設(shè)備等),有向邊表示信息傳播的方向.網(wǎng)絡(luò)系統(tǒng)的脆弱性表現(xiàn)為攻擊的初始狀態(tài)和傳播狀態(tài)都是基于某個隨機事件.因此,這種傳播過程可以被視為隨機過程.

假設(shè)網(wǎng)絡(luò)的節(jié)點數(shù)量為n,攻擊事件將有以下幾個步驟.不失一般性,網(wǎng)絡(luò)攻擊最初發(fā)生于節(jié)點1.接著,在一個隨機時間內(nèi),攻擊從被感染的節(jié)點傳播到下一個節(jié)點,節(jié)點間的攻擊傳播視為有向邊.這種傳播被視為“無記憶”性的,攻擊事件從一個節(jié)點傳播到另一個節(jié)點僅依賴于當(dāng)前的系統(tǒng)狀態(tài),而與系統(tǒng)的歷史狀態(tài)無關(guān).由于攻擊的傳播速度和方向是由外部攻擊源等條件決定的因此遭受攻擊的節(jié)點可以在一個隨機時間內(nèi)被修復(fù).假設(shè)攻擊的傳播速率和修復(fù)時間服從指數(shù)分布,本文的研究重點在網(wǎng)絡(luò)初始被攻擊,攻擊傳播直至網(wǎng)絡(luò)系統(tǒng)完全被修復(fù)的傳播時段,其過程符合連續(xù)時間的馬爾科夫隨機過程的約束條件.

假設(shè)在有限狀態(tài)空間S= {1,2…,n}中{X,t>0}表示網(wǎng)絡(luò)系統(tǒng)中的各個節(jié)點的狀態(tài).每一個接入網(wǎng)都有n個不同區(qū)域的子網(wǎng)組成.網(wǎng)絡(luò)攻擊在整個網(wǎng)絡(luò)中傳播.在任意時刻t,網(wǎng)絡(luò)系統(tǒng)的狀態(tài)可以由以下n維向量表示

X(t)=(X1(t),X2(t),…Xn(t)),t≥0

(1)

對于子網(wǎng)k∈{1,2,…,n},Xk(t)表示在時刻t子網(wǎng)k的狀態(tài).對于子網(wǎng)k,它有兩種狀態(tài),一種是遭受攻擊的狀態(tài)“0”,另一種是正常狀態(tài)“1”.當(dāng)網(wǎng)絡(luò)攻擊未發(fā)生時,此時子網(wǎng)k狀態(tài)為正常狀態(tài)“1”；當(dāng)子網(wǎng)k在時刻t遭受攻擊時,此時子網(wǎng)狀態(tài)由正常狀態(tài)“1”變?yōu)椤?”；經(jīng)過時間t′,子網(wǎng)k由狀態(tài)“0”修復(fù)為“1”.

(2)

此外,每次只能對一個子網(wǎng)發(fā)動攻擊；在本文中,子網(wǎng)作為最小的網(wǎng)絡(luò)系統(tǒng)單位,只有當(dāng)子網(wǎng)完全被攻擊后,子網(wǎng)才開始修復(fù)過程；攻擊和修復(fù)的傳播過程只取決于當(dāng)前子網(wǎng)狀態(tài),而與到達當(dāng)前狀態(tài)的路徑?jīng)]有關(guān)系.

根據(jù)上述假設(shè),攻擊傳播過程中的子網(wǎng)狀態(tài)X(t)可以被看作為一個連續(xù)時間的馬爾科夫鏈,它的狀態(tài)空間為：

Ω={(X1,X2,…,Xn),X1,X2,…,Xn∈(0,1)}

(3)

狀態(tài)空間Ω總共包含N=2n個狀態(tài).子網(wǎng)狀態(tài)X(t)從(0,1,…,1)開始,結(jié)束于(1,1,…,1),這表明網(wǎng)絡(luò)中所有子網(wǎng)都依次遭受到攻擊,并且依次恢復(fù)到正常狀態(tài).

簡而言之,網(wǎng)絡(luò)可生存的模型可以歸納為以下幾點：

(1)在某時刻t,子網(wǎng)的狀態(tài)只有兩種狀態(tài){0,1}；

(2)在初始時刻t=0,第一個子網(wǎng)遭受攻擊,此時網(wǎng)絡(luò)的狀態(tài)為(0,1,…,1)；

(3)攻擊從子網(wǎng)k-1傳播到子網(wǎng)k服從泊松隨機過程,傳播的速率為λk；

(4)每個子網(wǎng)只有一次修復(fù)過程并且子網(wǎng)中的終端都可以同時被修復(fù)完成,子網(wǎng)k的平均修復(fù)速率服從指數(shù)分布值為μk.

根據(jù)上述的假設(shè),在狀態(tài)空間S,子網(wǎng)的修復(fù)過程可以從數(shù)學(xué)上建模為時間上均勻分布的連續(xù)時間馬爾科夫鏈(Continuous-Time Markov Chain,CTMC).

對每個狀態(tài)而言,有t≥0和i∈S,我們定義t時刻處于狀態(tài)i的概率為：

πi(t)=Pr{X(t)=i}

(4)

假設(shè)X(t)的傳播概率的列向量為

π(t)=[π1(t),π2(t),…,πN(t)]

(5)

當(dāng)系統(tǒng)處于狀態(tài)i∈S,ψi為系統(tǒng)的回報率.因此,根據(jù)連續(xù)時間馬爾科夫鏈的狀態(tài)空間,系統(tǒng)的回報率也可用列向量表示為：

ψ=[ψ1,ψ2,…,ψN]

(6)

根據(jù)上述模型,可以有多種測算方式來測算網(wǎng)絡(luò)的可生存性性能.由于無法在系統(tǒng)修復(fù)期間準確預(yù)估系統(tǒng)的狀態(tài),我們考慮從正常工作的網(wǎng)絡(luò)系統(tǒng)中獲取性能指標的預(yù)估值.在我們的模型中,系統(tǒng)的回報作為系統(tǒng)性能的重要指標.在時刻t網(wǎng)絡(luò)可生存性性能由系統(tǒng)瞬時的預(yù)估回報E[M(t)]表示：

(7)

假設(shè)系統(tǒng)是有序的,在狀態(tài)1,2,…,k(k

(8)

其中,pij表示狀態(tài)i轉(zhuǎn)移到狀態(tài)j的轉(zhuǎn)移概率.

根據(jù)狀態(tài)轉(zhuǎn)移矩陣P,連續(xù)時間馬爾科夫鏈的動態(tài)行為可以由柯式差分微分方程表示：

(9)

則狀態(tài)轉(zhuǎn)移概率矩陣π(t)為

(10)

2.2 APT潛伏攻擊模式的網(wǎng)絡(luò)可生存模型

APT潛伏攻擊模式,網(wǎng)絡(luò)攻擊并非一觸即發(fā)的,通常會潛伏在所攻擊的網(wǎng)絡(luò)系統(tǒng),并在某個時刻觸發(fā),方才發(fā)動攻擊,它的攻擊更具有隱蔽性并且破壞性更強.因此,不同于正常狀態(tài),對于子網(wǎng)k∈{1,2,…,n},Xk(t)表示在時刻t子網(wǎng)k的狀態(tài).此時,對于子網(wǎng)k,它有三種不同狀態(tài)：(1)健康狀態(tài)“1”；(2)遭受APT攻擊后的休眠狀態(tài)“0”；(3)遭受APT攻擊后的活躍狀態(tài)“0′”[18].

(11)

如圖3所示,當(dāng)網(wǎng)絡(luò)攻擊未發(fā)生時,此時子網(wǎng)k狀態(tài)為健康狀態(tài)“1”；當(dāng)子網(wǎng)k在某時刻t遭受攻擊時,此時子網(wǎng)狀態(tài)由健康狀態(tài)“1”進入休眠狀態(tài)“0”；再經(jīng)過時間t′,子網(wǎng)k由休眠狀態(tài)“0”進入活躍狀態(tài)為“0′”；此時,子網(wǎng)探測到來自外部的APT攻擊,開始進行修復(fù)；經(jīng)時間t″,子網(wǎng)k由活躍狀態(tài)修復(fù)為健康狀態(tài).

同樣,APT攻擊下的攻擊傳播過程中的子網(wǎng)狀態(tài)X(t)也可以被看作為一個連續(xù)時間的馬爾科夫鏈,它的狀態(tài)空間為：

Ω={(X1,X2,…,Xn),X1,X2,…,Xn∈(0,0′,1)}

(12)

狀態(tài)空間Ω總共包含N=3n個狀態(tài).子網(wǎng)狀態(tài)X(t)從(0,1,…,1)開始,結(jié)束于(1,1,…,1).攻擊從正常狀態(tài)子網(wǎng)k-1傳播到休眠狀態(tài)子網(wǎng)k服從泊松隨機過程,傳播的速率為λk；同樣,攻擊從休眠狀態(tài)子網(wǎng)k-1傳播到活躍狀態(tài)子網(wǎng)k服從泊松隨機過程,傳播的速率為λk′.

3 攻擊實例

本節(jié)基于上述模型,構(gòu)建攻擊場景,分析和評估攻擊和修復(fù)狀態(tài)的傳播過程.

攻擊場景的示意圖如圖4所示.該網(wǎng)絡(luò)系統(tǒng)由核心網(wǎng)和接入子網(wǎng)組成.接入子網(wǎng)由接入路由器接入核心網(wǎng)中,為簡化分析和評估過程,假定只有兩個接入子網(wǎng),每個子網(wǎng)中的終端數(shù)量分別為N1和N2.初始狀態(tài),假設(shè)接入子網(wǎng)1遭受攻擊,緊接著攻擊傳播至接入子網(wǎng)2.

3.1 傳統(tǒng)攻擊模式

在上述攻擊場景的傳統(tǒng)攻擊模式下,狀態(tài)空間S={S0,…,Sθ}(θ=22-1)有四種不同狀態(tài),其傳播狀態(tài)可以用(X1,X2)表示,其中子網(wǎng)狀態(tài)Xi∈{0,1}.可能存在的傳播狀態(tài)為：

S0= (11),S1= (10),S2= (01),S3= (00).

如圖5所示,假設(shè)接入子網(wǎng)1被攻擊,子網(wǎng)1所有的終端都將與接入路由器斷開連接.此時,接入子網(wǎng)空間的狀態(tài)為(01).在該狀態(tài),若接入子網(wǎng)2繼續(xù)被攻擊,且攻擊傳播速率為λ2,子網(wǎng)進入(00)狀態(tài)；若接入子網(wǎng)1被修復(fù),且修復(fù)速率為μ1,子網(wǎng)恢復(fù)至健康狀態(tài)(11).同樣,如果初始時刻,子網(wǎng)2遭受攻擊,子網(wǎng)空間狀態(tài)則為(10)；在該狀態(tài),若子網(wǎng)1被攻擊,則進入(00)狀態(tài)；若子網(wǎng)2被修復(fù),則進入健康狀態(tài)(11).

當(dāng)子網(wǎng)狀態(tài)為(00),它只能進入修復(fù)過程；當(dāng)修復(fù)速率為μ1,子網(wǎng)狀態(tài)恢復(fù)至(10)；當(dāng)修復(fù)速率為μ2,子網(wǎng)狀態(tài)恢復(fù)至(01).

在時刻t的傳輸狀態(tài)概率為

π(t)=[π(0,1)(t)…π(X1,X2)(t)…π(1,1)(t)]

(13)

根據(jù)狀態(tài)轉(zhuǎn)移圖我們?nèi)菀椎玫?傳統(tǒng)攻擊模式下的狀態(tài)轉(zhuǎn)移矩陣為：

(14)

(15)

3.2 APT攻擊模式

在APT攻擊模式下,子網(wǎng)空間狀態(tài)有正常、休眠和活躍三種.基于上述攻擊場景的連續(xù)馬爾科夫鏈的狀態(tài)轉(zhuǎn)移圖如圖6所示,該轉(zhuǎn)移圖有9個節(jié)點.因此,轉(zhuǎn)移矩陣為9*9向量空間,初始概率向量R=(1,0,0,0,0,0,0,0,0).

定義向量空間S={S0,…,Sθ}(θ=32-1),每個狀態(tài)空間可以由(X1,X2)表示,其中Xi∈{0,0′,1}.狀態(tài)空間的九個狀態(tài)分別為：

S0=(11)S1=(01)S2=(10)S3=(0′1)S4=(00),

接入子網(wǎng)初始處于正常狀態(tài)(11),當(dāng)遭受APT攻擊后,攻擊源潛入子網(wǎng)中,此時,接入子網(wǎng)進入(10)或者(01)狀態(tài).以狀態(tài)(01)為例,在此狀態(tài),攻擊源可從子網(wǎng)1傳播至子網(wǎng)2,并在子網(wǎng)2中潛伏,此時子網(wǎng)狀態(tài)為(00),攻擊傳播速率為λ2；若攻擊源在(01)狀態(tài)被激活,此時對子網(wǎng)1發(fā)起APT攻擊,則子網(wǎng)狀態(tài)為(0’1),攻擊傳播速率為λ1′.

在狀態(tài)(00),兩個子網(wǎng)均被APT攻擊潛伏,在此狀態(tài)下,若攻擊傳播速率為λ1′,則表示子網(wǎng)1被攻擊,子網(wǎng)狀態(tài)進入(0′0)；若攻擊傳播速率為λ2′,則表示子網(wǎng)2被攻擊,子網(wǎng)狀態(tài)進入(00′).

在狀態(tài)(00′),若子網(wǎng)1被激活成活躍攻擊狀態(tài),則進入(0′0′)狀態(tài),攻擊傳播速率為λ1′；若子網(wǎng)2被修復(fù),修復(fù)速率為μ2,則子網(wǎng)狀態(tài)進入(01).同樣,在狀態(tài)(0′0),子網(wǎng)狀態(tài)既可進入(0′0′),也可修復(fù)為(10).

在狀態(tài)(0′0′),子網(wǎng)只可進入修復(fù)過程.但其修復(fù)過程有兩種不同路徑,一種先修復(fù)完成子網(wǎng)1,經(jīng)過修復(fù)速率μ1子網(wǎng)狀態(tài)進入(10′),最終到達完全正常狀態(tài)(11)；另一種是先修復(fù)完成子網(wǎng)2,經(jīng)過修復(fù)速率μ2子網(wǎng)狀態(tài)進入(0′1),最終到達完全正常狀態(tài)(11).

在時刻t的傳輸狀態(tài)概率為

π(t)=[π(0,1)(t)…π(X1,X2)(t)…π(1,1)(t)]

(16)

根據(jù)圖6我們?nèi)菀椎玫?APT攻擊模式下的狀態(tài)轉(zhuǎn)移矩陣為：

(17)

(18)

4 仿真與分析

為了進一步揭示網(wǎng)絡(luò)攻擊時的網(wǎng)絡(luò)可生存性傳播模型及規(guī)律,通過MATLAB軟件仿真,取得了該模型的傳播曲線,并設(shè)定不同參數(shù)驗證了該模型的正確性.同時,為了方便比較,突出APT攻擊時網(wǎng)絡(luò)可生存的特點,將傳統(tǒng)攻擊和APT攻擊時的傳播曲線放在同一張圖中對比.

在這里,我們考慮用網(wǎng)絡(luò)中活躍用戶數(shù)百分比作為網(wǎng)絡(luò)生存性的一個標準化性能指標[19],這個指標可以準確反映網(wǎng)絡(luò)中終端被中斷服務(wù)的比例.該百分比可以用公式(7)的預(yù)期瞬時回報率表示.因而,預(yù)期的瞬時回報率可以描述在t時刻網(wǎng)絡(luò)中的終端被攻擊的情況.

假定子網(wǎng)i的用戶數(shù)為Ni,可以得到每個狀態(tài)的回報率.例如,傳統(tǒng)攻擊模式下的回報率為：

考慮到每個C類IP地址最多可連接254臺主機,因而我們設(shè)置子網(wǎng)1連接的終端數(shù)N1=150,子網(wǎng)2連接的終端數(shù)N2=200.根據(jù)文獻[20],我們可以得到網(wǎng)絡(luò)攻擊的傳播速率和修復(fù)速率.通常,網(wǎng)絡(luò)的修復(fù)速率會比網(wǎng)絡(luò)攻擊速率低一個數(shù)量級.因而,設(shè)定的網(wǎng)絡(luò)攻擊傳播速率和修復(fù)速率如表1和表2所示.

下面從兩個維度來檢驗本文提出的網(wǎng)絡(luò)可生存性模型.首先假設(shè)子網(wǎng)初始狀態(tài)的攻擊傳播速率均為2hours-1,修復(fù)速率均為0.2hours-1,如表1所示.通過增大子網(wǎng)攻擊傳播速率,如圖7所示.從圖中可以看出,網(wǎng)絡(luò)在遭受攻擊時,子網(wǎng)中活躍用戶數(shù)明顯下降.但隨著時間的推移,子網(wǎng)中的終端逐漸被修復(fù),直至完全被修復(fù)(子網(wǎng)的活躍用戶百分比為1).根據(jù)表2中的參數(shù),當(dāng)保持子網(wǎng)中修復(fù)速率不變,增大子網(wǎng)的攻擊傳播速率,可以看出,子網(wǎng)中初始活躍用戶數(shù)不斷下降,同時,子網(wǎng)達到完全被修復(fù)狀態(tài)所需要的時間也不斷增加.在150hour時刻,初始狀態(tài)已完全修復(fù),但狀態(tài)4只修復(fù)至0.8.

表1 子網(wǎng)攻擊傳播速率參數(shù)

根據(jù)表2中的參數(shù),當(dāng)子網(wǎng)的攻擊傳播速率保持不變,通過增大子網(wǎng)的修復(fù)速率,如圖8所示,子網(wǎng)中初始活躍用戶數(shù)不斷增加,由初始狀態(tài)0.2增加至狀態(tài)4的0.4.同時,初始狀態(tài)需要經(jīng)過100hour才可完全修復(fù),然而狀態(tài)4在經(jīng)過10hour,已經(jīng)修復(fù)至0.9,可見子網(wǎng)修復(fù)速率的提升.

表2 子網(wǎng)修復(fù)速率參數(shù)

由此可知,網(wǎng)絡(luò)的可生存性性能不僅取決于網(wǎng)絡(luò)攻擊的傳播速率,還與網(wǎng)絡(luò)的修復(fù)速率相關(guān).

在APT攻擊模式下,將網(wǎng)絡(luò)攻擊傳播速率和修復(fù)速率參數(shù)設(shè)置一致,與傳統(tǒng)攻擊模式的可生存性曲線比較.如圖9所示,APT攻擊模式下的網(wǎng)絡(luò)修復(fù)速率比傳統(tǒng)模式下稍低.這是因為在APT攻擊模式下,網(wǎng)絡(luò)中的攻擊具有潛伏性,這樣在潛伏期網(wǎng)絡(luò)攻擊不容易被發(fā)現(xiàn),致使網(wǎng)絡(luò)的可生存性比傳統(tǒng)模式要差.但隨著時間的推移,網(wǎng)絡(luò)的活躍用戶數(shù)也修復(fù)至正常水平,從而驗證了模型的正確性.但總體上,APT攻擊對網(wǎng)絡(luò)的可生存性是有影響的.綜上所述,本文提出的模型有效的刻畫了基于APT攻擊的網(wǎng)絡(luò)可生存性特點,具有一定的現(xiàn)實指導(dǎo)意義.

5 結(jié)論

本文基于連續(xù)馬爾科夫鏈,建立網(wǎng)絡(luò)可生存性模型,并通過攻擊實例,驗證了模型的正確性.總結(jié)了影響網(wǎng)絡(luò)可生存性的兩個重要因素,網(wǎng)絡(luò)攻擊傳播速率和網(wǎng)絡(luò)修復(fù)速率.更進一步,通過仿真驗證APT攻擊模式下,網(wǎng)絡(luò)可生存性的特點.可以看出,網(wǎng)絡(luò)修復(fù)速率是影響APT攻擊模式下的網(wǎng)絡(luò)可生存性性能關(guān)鍵指標,是防御APT攻擊的重要保證.下一步,需要繼續(xù)研究攻擊潛伏周期長短對網(wǎng)絡(luò)可生存性的具體影響,以及針對多個子網(wǎng)發(fā)動同時攻擊的模型構(gòu)建和安全策略.

[1]Jeun I,Lee Y,Won D.A practical study on advanced persistent threats[J].Computer Applications for Security,Control and System Engineering,2012,11:144-152.

[2]Zetter K.Google hack attack was ultra sophisticated,new details show[J].Wired Magazine,2010,14:33-36.

[3]Langner R.Stuxnet: dissecting a cyberwarfare weapon[J].IEEE Security & Privacy,2011,9(3): 49-51.

[4]肖新光.惡意代碼對抗體系演進的四部曲[EB/OL].http:// www.antiy.net/papers/.

Xiao X G.The tetralogy of defending malicious code[EB/OL].http:// www.antiy.net/papers/.(in Chinese)

[5]Bencsáth B,Pék G,Buttyán L,et al.The cousins of stuxnet: duqu,flame,and gauss[J].Future Internet,2012,4(4): 971-1003.

[6]Lee J D.Targeted cyberattacks: a superset of advanced persistent threats[J].IEEE security & privacy,2013,11(3): 54-61.

[7]Giura P,Wang W.A context-based detection framework for advanced persistent threats[A].International Conference on Cyber Security [C],Washington,2012.69-74.

[8]Dube T E,Raines R A,Grimaila M R,et al.Malware target recognition of unknown threats[J].IEEE Systems Journal,2013,7(3): 467-477.

[9]Johnson J R,Hogan E A.A graph analytic metric for mitigating advanced persistent threat[A].IEEE International Conference on Intelligence and Security Informatics[C],Seattle,2013.129-133.

[10]Sterbenz J P G,Hutchison D,?etinkaya E K,et al.Resilience and survivability in communication networks: Strategies,principles,and survey of disciplines[J].Computer Networks,2010,54(8): 1245-1265.

[11]ANSI T1A1.2 Working Group on Network Survivability Performance.Technical Report on Enhanced Network Survivability Performance[S],ANSI,Tech.Rep.TR No.68,2001.

[12]Heegaard P E,Trivedi K S.Network survivability modeling[J].Computer Networks,2009,53(8): 1215-1234.

[13]Xie L,Heegaard P E,Jiang Y.Network survivability under disaster propagation: Modeling and analysis[A].Wireless Communications and Networking Conference (WCNC)[C],Shanghai,2013.4730-4735.

[14]Xie L,Jiang Y,Heegaard P E.Modelling and analysis of the survivability of telecommunication networks[A].15th International Symposium on Software Reliability Engineering[C],2004,367 - 377.

[15]趙二虎,陽小龍,彭云峰,隆克平.CPSM：一種增強IP網(wǎng)絡(luò)生存性的客戶端主動服務(wù)漂移模型[J].電子學(xué)報,2010,38(9):2134-2139.

Zhao E H,Yang X L,Peng Y F,Long K P.CPSM: client-side proactive service migration model for enhancing IP network survivability[J].Acta Electronica Sinica,2010,38(9):2134-2139.(in Chinese)

[16]Izaddoost A,Heydari S S.Enhancing network service survivability in large-scale failure scenarios[J].Journal of Communications & Networks,2014,16(5):534-547.

[17]王鵬飛,趙文濤,張帆,鄒榮念.網(wǎng)絡(luò)系統(tǒng)可生存能力量化評估的指標體系研究[J].計算機工程與科學(xué),2014,36(6):1050-1056.

Wang P F,Zhao W T,Zhang F,Zou R N.Research on index system of quantitative evaluation for network systems viability[J].Computer Engineering&Science,2014,36(6):1050-1056.(in Chinese)

[18]Wen S,Zhou W,Zhang J,et al.Modeling propagation dynamics of social network worms[J].IEEE Transactions on Parallel and Distributed Systems,2013,24(8): 1633-1643.

[19]Zolfaghari A,Kaudel F J.Framework for network survivability performance[J].IEEE Journal on Selected Areas in Communications,1994,12(1): 46-51.

[20]Camtepe S A,Yener B.Modeling and detection of complex attacks[A].Third International Conference on.IEEE Security and Privacy in Communications Networks and the Workshops[C].Nice,2007.234-243.

姚 蘇 男，1986年12月出生，安徽舒城人，中國航空綜合技術(shù)研究所工程師，現(xiàn)為北京交通大學(xué)在讀博士.目前主要從事網(wǎng)絡(luò)安全標準應(yīng)用技術(shù)的研究工作.獲中航工業(yè)集團獎勵多項，參與多項國家和軍隊技術(shù)基礎(chǔ)研究項目.

E-mail: yaosu@bjtu.edu.cn.

關(guān)建峰 男，1982年2月出生，河南鞏義人.2004、2010年分別畢業(yè)于東北大學(xué)、北京交通大學(xué)獲得學(xué)士、博士學(xué)位.2010年進入北京郵電大學(xué)網(wǎng)絡(luò)技術(shù)研究院，主要從事移動互聯(lián)網(wǎng)、網(wǎng)絡(luò)安全等方面的研究工作.

E-mail: jfguan@bupt.edu.cn.

潘 華 女，1965年10月出生，安徽界首人；1988、1991年分別于北京航空航天大學(xué)獲得學(xué)士、碩士學(xué)位，現(xiàn)為中國航空綜合技術(shù)研究所研究員，主要從事信息技術(shù)標準化的研究工作，主編多項國家軍用標準，并多次獲得軍隊和中航工業(yè)集團獎勵.

張宏科 男，1957年9月出生，山西大同人，北京交通大學(xué)教授，博士生導(dǎo)師.目前主要從事下一代信息網(wǎng)絡(luò)關(guān)鍵理論與技術(shù)的研究工作，作為首席科學(xué)家主持國家973項目"智慧協(xié)同網(wǎng)絡(luò)理論基礎(chǔ)研究"的研究工作.

Modeling and Analysis for Network Survivability of APT Latent Attack

YAO Su1,2,GUAN Jian-feng3,PAN Hua2,ZHANG Hong-ke1

(1.SchoolofElectronicsandInformationEngineering,BeijingJiaotongUniversity,Beijing100044,China;2.ChinaAero-PolytechnologyEstablishment,Beijing100028,China;3.BeijingUniversityofPostsandTelecommunications,Beijing100876,China)

The paper proposes the model of network survivability based on the patterns of normal network attack and APT attack.The model is demonstrated by constructing the simulation scenarios of network attack to analyze their performances.The results show that this evaluation model can effectively reflect two parameters: the speeds of network attack propagation and network recovery,and the performance of network survivability of APT attack pattern is lower than that of normal attack pattern.

APT；network survivability；evaluating model；Markov chain

4-10-28；

2015-10-30；責(zé)任編輯：郭游

國家973重點基礎(chǔ)研究發(fā)展規(guī)劃(No.2013CB329101)；國家自然科學(xué)基金(No.61232017,61003283)；國家科技重大專項(No.2013ZX03006002)

TP393.0

A

0372-2112 (2016)10-2415-08

??學(xué)報URL:http://www.ejournal.org.cn

10.3969/j.issn.0372-2112.2016.10.020