分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法研究

高菲

摘 要：傳統(tǒng)的網(wǎng)絡(luò)惡意攻擊取證方法對惡意攻擊行為的檢查不全面、惡意攻擊行為相似度分辨準(zhǔn)確性低。為此，提出了一種分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法。利用CVSS計算器對網(wǎng)絡(luò)惡意攻擊行為的嚴(yán)重等級進(jìn)行評估，結(jié)合灰關(guān)聯(lián)分析法建立灰關(guān)聯(lián)模型，對評估要素進(jìn)行量化處理;在此基礎(chǔ)上，獲取并處理日志、事件、警告和證據(jù)信息，建立證據(jù)庫。根據(jù)取證結(jié)果，結(jié)合TOP-K預(yù)警策略實現(xiàn)分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊的預(yù)警和預(yù)警信息儲存。實驗結(jié)果表明，所提方法對惡意攻擊行為的查全率和惡意攻擊行為相似度分辨的準(zhǔn)確性較高，且預(yù)警反應(yīng)耗時較短，不僅能夠準(zhǔn)確檢測惡意攻擊行為，還能夠及時發(fā)出警報，有效維持分布式異構(gòu)網(wǎng)絡(luò)的安全性。

關(guān)鍵詞：分布式異構(gòu)網(wǎng)絡(luò);網(wǎng)絡(luò)惡意攻擊;差異信息;灰關(guān)聯(lián)模型

中圖分類號：TP337????? 文獻(xiàn)標(biāo)識碼：A

Research on Forensics and Forewarning Methods

of Distributed Heterogeneous Network Malicious Attacks

GAO Fei

（Skills Training Center，State Grid Jibei Electric Power Company Limited

（Baoding Electric Power Voc.& Tech. College）， Baoding，Hebei 071051， China）

Abstract：The traditional network malicious attack forensics method for malicious attack behavior inspection is not comprehensive， malicious attack behavior similarity discrimination accuracy is low. Therefore， this study proposes a distributed heterogeneous network malicious attack forensics and warning method. CVSS calculator was used to evaluate the severity of malicious network attacks， and gray correlation analysis method was used to establish a gray correlation model to quantify the evaluation factors. On this basis， obtain and process log， event， warning and evidence information， establish evidence base. According to the forensics results， TOP-K warning strategy is combined to realize the warning and warning information storage of distributed heterogeneous network malicious attack. The experimental results show that the proposed method is more accurate in detecting the malicious attack and distinguishing the similarity degree of the malicious attack， and the early-warning response time is shorter. It can not only accurately detect the malicious attack， but also send out the alarm in time， effectively maintaining the security of distributed heterogeneous network.

Key words：distributed heterogeneous network; malicious network attacks; difference information; grey relational model

為有效保障網(wǎng)絡(luò)運(yùn)行的安全性、更好地抵御非自體入侵行為和惡意攻擊行為，需對網(wǎng)絡(luò)惡意攻擊進(jìn)行動態(tài)實時取證[1]。分布式異構(gòu)網(wǎng)絡(luò)中惡意攻擊行為的取證是使用合理的方法對數(shù)據(jù)證據(jù)進(jìn)行收集、檢查和分析，這些證據(jù)涉及到多層次的主動處理過程。取證的目的是為了及時發(fā)現(xiàn)網(wǎng)絡(luò)中的惡意攻擊行為，為網(wǎng)絡(luò)安全故障的應(yīng)急處理提供有效支持[2]。若發(fā)現(xiàn)網(wǎng)絡(luò)中存在或可能存在惡意攻擊行為，則通過有效、及時地預(yù)警防止網(wǎng)絡(luò)威脅的進(jìn)一步擴(kuò)大。

傳統(tǒng)的網(wǎng)絡(luò)惡意攻擊取證方法多采用基本過程模型將已知攻擊證據(jù)作為證據(jù)來源，主要強(qiáng)調(diào)從電子數(shù)據(jù)中提取到的證據(jù)[3]，但更主要的是強(qiáng)調(diào)發(fā)現(xiàn)攻擊行為發(fā)生后將網(wǎng)絡(luò)恢復(fù)到初始狀態(tài)。如楊天識等人[4]提出了基于OpenFlow的蜜罐主動取證，通過創(chuàng)建蜜罐虛擬機(jī)的方式將攻擊行為從網(wǎng)絡(luò)服務(wù)器中隔離到蜜罐服務(wù)器中，并通過OpenFlow協(xié)議調(diào)控網(wǎng)絡(luò)流量，將蜜罐服務(wù)器與真實網(wǎng)絡(luò)服務(wù)器隔離。將正常訪問請求路由到真實服務(wù)器中，根據(jù)IDS標(biāo)記取證結(jié)果將惡意攻擊行為路由到制定的蜜罐中，實現(xiàn)對惡意攻擊的取證。李陽[5]等人提出了大規(guī)模網(wǎng)絡(luò)非自體入侵動態(tài)實時取證方法，通過人工免疫法將網(wǎng)絡(luò)的狀態(tài)特征與分類器參數(shù)作為個體，在估算其適應(yīng)度的基礎(chǔ)上，利用遺傳算法得到最優(yōu)特征和分類器參數(shù)，通過SVM建立入侵檢測模型，根據(jù)檢測結(jié)果構(gòu)建非自體動態(tài)的演化模型，并保證其與真實網(wǎng)絡(luò)環(huán)境保持同步演化，并記錄非自體入侵動態(tài)變遷狀況，實現(xiàn)網(wǎng)絡(luò)非自體入侵的取證。吳豐盛[6]提出了多模光纖網(wǎng)絡(luò)異常入侵信號提純?nèi)∽C方法，建立網(wǎng)絡(luò)信號傳輸模型，利用時間序列重構(gòu)方法檢測出網(wǎng)絡(luò)異常入侵信號，并提取其時頻譜特征量;在此基礎(chǔ)上，結(jié)合經(jīng)驗?zāi)B(tài)分解法分離網(wǎng)絡(luò)異常入侵信號特征信息，根據(jù)其收斂性將分離后的入侵信號輸入到降噪濾波器中，完成入侵信號提純處理，實現(xiàn)網(wǎng)絡(luò)異常入侵取證。上述方法雖然均實現(xiàn)了對網(wǎng)絡(luò)攻擊、入侵行為的取證，但存在對攻擊、入侵行為的檢查不全面、對惡意攻擊行為相似度分辨準(zhǔn)確性較差的問題。

為解決傳統(tǒng)方法存在的問題，提出了分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法，運(yùn)用動態(tài)取證方法查找證據(jù)，并加入TOP-K報警技術(shù)，根據(jù)取證結(jié)果對網(wǎng)絡(luò)惡意攻擊行為進(jìn)行預(yù)警。

1 網(wǎng)絡(luò)惡意攻擊入侵評估要素量化

首先利用CVSS計算器評估出網(wǎng)絡(luò)惡意攻擊行為的嚴(yán)重等級，CVSS評估項目如表1所示。

利用CVSS計算器得到的評估結(jié)果是一系列處于0～10之間的數(shù)字，數(shù)值越大，則說明網(wǎng)絡(luò)惡意攻擊行為越嚴(yán)重。再次基礎(chǔ)上，根據(jù)網(wǎng)絡(luò)惡意攻擊評分?jǐn)?shù)值，結(jié)合灰關(guān)聯(lián)分析法建立灰關(guān)聯(lián)模型，對網(wǎng)絡(luò)惡意攻擊入侵威脅評估要素進(jìn)行量化處理。量化處理過程如下：

Step1：提取分布式異構(gòu)網(wǎng)絡(luò)序列間的差異信息，并構(gòu)建差異信息空間模型;

Step2：計算差異信息間的灰關(guān)聯(lián)度;

Step3：根據(jù)灰關(guān)聯(lián)度構(gòu)建差異因子間的序關(guān)系，利用網(wǎng)絡(luò)惡意攻擊入侵評估要素和所建立灰關(guān)聯(lián)分析模型分析各因素之間的相關(guān)性。灰關(guān)聯(lián)模型表達(dá)式如下：

H=1n∑ni=1γk（1）

其中，γ指差異信息集;k指差異信息影響空間;n指灰關(guān)聯(lián)度等級，且n=1，2，…，i，…。經(jīng)過灰關(guān)聯(lián)模型分析后，采用計算算術(shù)平均值算法實現(xiàn)評估要素的量化。在量化計算的過程中僅考慮指標(biāo)個數(shù)，不需要考慮不同指標(biāo)對最終評估結(jié)果的差異[7]。

由此，完成對分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊入侵評估要素的量化處理。

2 分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證處理

在對分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊入侵評估要素進(jìn)行量化處理的基礎(chǔ)上實現(xiàn)分布式取證，為網(wǎng)絡(luò)安全防護(hù)提供更有說服力的綜合性證據(jù)。分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證處理框架如圖1所示。

圖1中，日志log、事件Event、警告Alert和證據(jù)Evidenc均為分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證的對象。

首先定義日志log為RL，STYPE，SID，其中，RL指分布式異構(gòu)網(wǎng)絡(luò)設(shè)備和主機(jī)產(chǎn)生的原始日志，這些日志是傳感器獲取的網(wǎng)絡(luò)活動最直接的報告;STYPE指日志類型;SID指安全標(biāo)識符[8]。

分布式異構(gòu)網(wǎng)絡(luò)中各設(shè)備和主機(jī)產(chǎn)生的原始日志格式分為以下4種：

（1）告警日志。告警日志中包含告警時間和攻擊特征編號、目的IP地址等信息[9]。通過告警證明入侵源對目標(biāo)主機(jī)的掃描探測行為，在此基礎(chǔ)上可以利用信息漏洞收集整個入侵過程的行為特征。

（2）訪問日志。訪問日志中包含時間和客戶端IP 地址、服務(wù)器IP 地址等信息。當(dāng)web客戶端訪問web服務(wù)器時沒有發(fā)出告警，則說明服務(wù)器應(yīng)答狀態(tài)正常。

（3）訪問日志。訪問日志中信息字段包含客戶端IP 地址和時間、服務(wù)應(yīng)答碼等信息。

（4）防火墻訪問日志。防火墻訪問日志中的信息字段包含主機(jī)名稱、物理接口名稱和目的端口等。

定義事件Event為日志接收器從傳感器截取到的日志信息，因不同類型的原始日志格式有所不同，為方便后續(xù)處理，需將所有日志格式調(diào)整為異構(gòu)數(shù)據(jù)格式[10]。

針對警告Alert，若Alert發(fā)生在事件庫中，則需要經(jīng)過標(biāo)準(zhǔn)化處理以保證獲取的數(shù)據(jù)質(zhì)量，避免存在冗余和無關(guān)證據(jù)。

在證據(jù)Evidenc的分析過程中，需根據(jù)關(guān)聯(lián)規(guī)則對日志行為進(jìn)行保全，經(jīng)過保全的行為均儲存在證據(jù)庫中做統(tǒng)一處理。

根據(jù)上述對日志log、事件Event、警告Alert、證據(jù)Evidenc的定義和處理，完成分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證。

3 網(wǎng)絡(luò)惡意攻擊預(yù)警

在上述利用CVSS計算器量化網(wǎng)絡(luò)惡意攻擊入侵評估要素，并建立分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證數(shù)據(jù)庫的基礎(chǔ)上，利用TOP-K預(yù)警策略實現(xiàn)地網(wǎng)絡(luò)惡意攻擊行為的預(yù)警[11]。具體預(yù)警實現(xiàn)過程如下：

首先，提取報警日志的目標(biāo)端口信息和端口記錄次數(shù)，以上述兩個屬性為研究對象，連續(xù)收集數(shù)據(jù)中心提供的報警日志，將每天的報警日志匯總成表格[12-13]。為方便后續(xù)處理，需對報警日志進(jìn)行端口向量化。繼而將這些報警日志放入數(shù)據(jù)集當(dāng)中，按照報警日志的端口序號和報警記錄次數(shù)的大小排序，形式為p1，m1，p2，m2，p3，m3，…，pn，mn，其中，p指端口號，m指報警記錄次數(shù)[14]。

在此基礎(chǔ)上，記錄每個感應(yīng)器的報警日志F。在報警日志與每個感應(yīng)器進(jìn)行信息交互前，將全部端口的報警記錄初始化[15]，并建立信息交互初始化向量，表達(dá)式為：

Q=Vi×ym（2）

其中，Vi表示報警日志，y表示端口交互記錄次數(shù)。

在報警日志中會隨機(jī)的向分布式異構(gòu)網(wǎng)絡(luò)發(fā)送交互信息，若產(chǎn)生的日志與某個端口產(chǎn)生的報警信息有直接關(guān)聯(lián)，就需要將對應(yīng)的端口設(shè)置為1，并將所記錄的端口依次排序，表達(dá)式為：

W=Vi×Qms（3）

其中：ms值感應(yīng)器交互反饋后的排序。

感應(yīng)器交互過程反映的是每個感應(yīng)器的報警日志與相關(guān)合作小組的交互過程。當(dāng)感應(yīng)器產(chǎn)生一份告警日志，就會發(fā)送給TOP-K程序中的其他感應(yīng)器成員。經(jīng)過與其他感應(yīng)器日志信息交互校驗后，再說明感應(yīng)器之前所遭受到的攻擊，并采取相應(yīng)的預(yù)警措施。經(jīng)過感應(yīng)器成員相互反饋后，記錄并儲存會得到報警日志的端口號以及日志信息端口交互次數(shù)。最后，將報警日志反饋結(jié)果上傳至數(shù)據(jù)中心，以便日后對類似的惡意攻擊行為進(jìn)行有效防御。

由此，完成分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法的設(shè)計。

4 實驗與結(jié)果分析

為驗證所提的分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法的有效性，設(shè)計如下實驗。

4.1 實驗環(huán)境

實驗硬件環(huán)境為Visual Studio 2005，3.54GHzCPU，5.00 Byte RAM。在1000×1000m的范圍內(nèi)建立分布式異構(gòu)網(wǎng)絡(luò)模型，均勻分布500個節(jié)點，其他相關(guān)網(wǎng)絡(luò)參數(shù)設(shè)定情況如表2所示.

為保證實驗的有效性，將所提的分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法與文獻(xiàn)[4]中的基于OpenFlow的蜜罐主動取證方法、文獻(xiàn)[5]中的大規(guī)模網(wǎng)絡(luò)非自體入侵動態(tài)實時取證方法、文獻(xiàn)[6]中的多模光纖網(wǎng)絡(luò)異常入侵信號提純?nèi)∽C方法進(jìn)行性能對比。

4.2 實驗結(jié)果與分析

（1）惡意攻擊行為查全率

惡意攻擊行為查全率可以判斷不同方法對分布式異構(gòu)網(wǎng)絡(luò)中惡意攻擊行為采集、檢測、分析的全面性，其計算過程如下：

查全率=檢測出的惡意攻擊行為數(shù)量實際惡意攻擊行為總量×100%（4）

測試不同方法在對分布式異構(gòu)網(wǎng)絡(luò)中惡意攻擊行為進(jìn)行檢測的全面性，實驗結(jié)果如圖2所示。

分析圖2可知，在不斷的迭代中，僅所提的分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法對惡意攻擊行為的查全率在逐步增加，而另外三種方法對分布式異構(gòu)網(wǎng)絡(luò)中的惡意攻擊行為的查全率變化無規(guī)律性，但均低于所提方法。因此可以說明分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法能實現(xiàn)對惡意攻擊行為的全面采集、檢測和分析。

（2）惡意攻擊行為相似度分辨準(zhǔn)確性

通過對比不同方法對惡意攻擊行為相似度分辨的準(zhǔn)確性，可以判斷不同方法的自適應(yīng)性能和取證辨識能力。其計算過程如下：

Z=1-∑hgah-gbh2（5）

其中，Z指惡意攻擊行為相似度分辨準(zhǔn)確性，gah指h灰關(guān)聯(lián)度下所有訪問行為特性分布區(qū)域范圍，gbh指h灰關(guān)聯(lián)度下惡意攻擊行為特性分布區(qū)域范圍。

測試不同方法的惡意攻擊行為相似度分辨準(zhǔn)確性，實驗結(jié)果如圖3所示。

分析圖3可知，隨著實驗迭代次數(shù)的不斷增加，不同方法的惡意攻擊行為相似度分辨準(zhǔn)確性也在不斷發(fā)生變化。但所提的分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法的準(zhǔn)確性始終在4種方法中保持最高，證明該方法具有較強(qiáng)的自適應(yīng)性能和取證辨識能力。

（3）預(yù)警反應(yīng)耗時

預(yù)警反應(yīng)耗時指在對惡意攻擊行為進(jìn)行告警過程所花費(fèi)的時間，能夠反映不同方法的預(yù)警響應(yīng)效率。預(yù)警反應(yīng)耗時結(jié)果由Visual Studio操作平臺智能統(tǒng)計。預(yù)警程序啟動頁面如圖4所示。

不同方法預(yù)警反應(yīng)耗時測試結(jié)果如表3所示。

分析表3可知，隨著實驗迭代次數(shù)的不斷增加，不同方法的預(yù)警反應(yīng)耗時也在不斷發(fā)生變化。文獻(xiàn)[4]和文獻(xiàn)[5]方法的預(yù)警反應(yīng)耗時較接近，大致保持在400-550 ms之間，文獻(xiàn)[6]方法的預(yù)警反應(yīng)耗時較多，最高的預(yù)警反應(yīng)耗時達(dá)到了856 ms。相比之下，所提的分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法的預(yù)警反應(yīng)耗時最少，可維持在400 ms之內(nèi)。這是因為所提方法應(yīng)用了TOP-K預(yù)警策略，過濾掉報警日志端口中比較分散的日志，從而有效抵御稀疏端口發(fā)起的惡意攻擊。

綜上所述，所提的分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法具有較高的惡意攻擊行為的查全率和惡意攻擊行為相似度分辨的準(zhǔn)確性，且預(yù)警反應(yīng)速度較快。

5 結(jié) 論

針對傳統(tǒng)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法存在的問題，提出分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證及預(yù)警方法。首先量化網(wǎng)絡(luò)惡意攻擊入侵評估要素，在此

基礎(chǔ)上，處理分布式異構(gòu)網(wǎng)絡(luò)惡意攻擊取證數(shù)據(jù)，構(gòu)建證據(jù)庫。并利用TOP-K預(yù)警策略實現(xiàn)對惡意攻擊行為的預(yù)警，有效抵御網(wǎng)絡(luò)惡意攻擊，保證取證數(shù)據(jù)的完整性和可用性。在實驗部分分別對比3種傳統(tǒng)的網(wǎng)絡(luò)惡意攻擊取證方法和所提方法的可行性。實驗結(jié)果證明了所提方法的可行性更高。

參考文獻(xiàn)

[1] 宋明秋， 王琳， 邵雙. 基于攻擊傳播性的分布式網(wǎng)絡(luò)信任模型[J]. 運(yùn)籌與管理， 2017， 26（7）：125-131.

[2] 溫晗， 劉淵， 王曉鋒， 等. 面向天地一體化信息網(wǎng)絡(luò)的惡意用戶行為仿真技術(shù)[J]. 小型微型計算機(jī)系統(tǒng)， 2019， 40（8）：125-126.

[3] 吳一塵， 章曙光. 基于網(wǎng)格的無線傳感器網(wǎng)絡(luò)蟲洞攻擊抵御策略[J]. 中國科學(xué)技術(shù)大學(xué)學(xué)報， 2019.22（1）：154-155.

[4] 楊天識，刁培金，梁露露，等.基于OpenFlow的蜜罐主動取證技術(shù)[J].北京理工大學(xué)學(xué)報，2019，39（5）：545-550.

[5] 李陽，李剛.大規(guī)模網(wǎng)絡(luò)非自體入侵動態(tài)實時取證仿真研究[J].計算機(jī)仿真，2018，35（11）：269-272.

[6] 吳豐盛.多模光纖網(wǎng)絡(luò)異常入侵信號提純方法[J].激光雜志，2019，40（3）：120-124.

[7] 孟彩霞， 葉海琴. 基于多元節(jié)點屬性分類的光纖網(wǎng)絡(luò)入侵中未感染節(jié)點檢測[J]. 科學(xué)技術(shù)與工程， 2018， 47（14）：167-171.

[8] 周彩秋， 楊余旺， 王永建. 無線傳感器網(wǎng)絡(luò)節(jié)點行為度量方案[J]. 清華大學(xué)學(xué)報（自然科學(xué)版）， 2017，22（1）：39-43.

[9] 周海平， 沈士根， 黃龍軍， 等. 基于博弈論的無線傳感器網(wǎng)絡(luò)惡意程序傳播模型[J]. 電信科學(xué)， 2018，36（11）：154-155.

[10]秦永俊，唐增明.改進(jìn)的NetLinX開放網(wǎng)絡(luò)動態(tài)入侵檢測方法[J].西安工程大學(xué)學(xué)報，2017，31（4）：576-581.

[11]韓曉冬， 高飛. 抗污染攻擊的流內(nèi)安全網(wǎng)絡(luò)糾錯編碼[J]. 北京理工大學(xué)學(xué)報， 2018， 38（11）：139-140.

[12]馬莉莉， 劉江平. 大數(shù)據(jù)信息傳輸中惡意攻擊數(shù)據(jù)識別仿真[J]. 計算機(jī)仿真， 2017， 34（10）：375-378.

[13]李佳， 云曉春， 李書豪. 基于混合結(jié)構(gòu)深度神經(jīng)網(wǎng)絡(luò)的HTTP惡意流量檢測方法[J]. 通信學(xué)報，2019，40（1）：28-37.

[14]宋明秋， 王琳， 邵雙. 基于攻擊傳播性的分布式網(wǎng)絡(luò)信任模型[J]. 運(yùn)籌與管理， 2017， 26（7）：125-131.

[15]王麗娜， 談?wù)\， 余榮威，等. 針對數(shù)據(jù)泄漏行為的惡意軟件檢測[J]. 計算機(jī)研究與發(fā)展， 2017， 54（7）：1537-1548.