引言

在科技快速转型的现代社会里,计算机病毒、蠕虫、网络多步攻击、虚假有害信息和网络违法犯罪等问题日益严重,另外网络设计本身的缺陷和软硬件漏洞,使得网络安全的形势日趋严峻,若不加以主动应对,将会给国家的政治、经济、军事和社会安全带来不利影响。在2018年世界经济论坛所发布的《全球风险报告》当中,排在前两位的安全风险分别是极端天气和自然灾害,排在第三位的安全风险就是网络攻击风险,这说明,网络攻击已经成为除了自然灾害以外最大的风险所在。

随着世界范围内信息化步伐的加快和信息技术的深度发展,网络安全攻防形势也愈加严峻,如网络威胁频发、窃取用户隐私信息、大规模网络监控乃至干涉其他国家内政等等[1-2]。2016年12月,美国爆发由Mirai僵尸网络发起的物联网DDoS攻击,导致其东海岸地区的大面积网络发生瘫痪事件;2017年,WannaCry勒索病毒肆虐全球,主要感染政府机构、大中型企业等,并对其实施敲诈勒索,遭受攻击的国家至少有150个,受害的电脑超过23万台;2018年3月,全球知名社交网络服务网站Facebook遭到黑客攻击,大概五千万用户信息被黑客盗取,一度造成该公司市值下跌1000亿美元;2018年6月,黑客攻击弹幕视频网AcFun,造成近千万条用户数据外泄,发出公告让用户及时修改密码等等。由此可见,网络安全攻击已经成为全球性的安全挑战。

现阶段,网络攻击预警是实现网络安全主动防御的关键环节。研究如何利用海量的网络安全数据发现黑客入侵的行为和规律,预测网络系统未来可能遭受到的多步攻击行为、黑客入侵的最终目标以及可能遭受威胁的设施和设备,才能采取有效的针对性措施,加以防御和阻止。

网络安全问题

在网络安全问题受到关注之初,人们的研究思路更偏向于如何建立一个绝对安全的系统,通过减少软硬件设计上的漏洞来保证系统的保密性、完整性及可用性等安全标准要求,被视为网络安全研究的认知建立阶段,见表1。由于网络平台、协议、框架、系统或者应用软件等自身的缺陷,以及设计人员和程序员的疏忽或失误,导致网络及主机系统中存在着不可避免的各种安全漏洞,在现实生活中,漏洞是一定会存在的,恶意入侵攻击往往也会发生。

表1 网络安全问题研究阶段

尽管采取了一些防护防御措施,但网络入侵攻击越来越多已经是不可否认的事实,为了从最大程度来保证网络的安全性,防病毒系统、防火墙、入侵检测系统等安全防护设备被广泛使用,被视为网络安全研究的辅助防御阶段。这个阶段构建了多层次、立体化的安全防御体系,这些安全防御技术虽然从一定程度上提高了网络的安全性,但是大多数是基于规则匹配的,对多步攻击行为的判别无能为力,也很难做到实时检测,而且这些安全设备大多功能不一,各自为战,形成了没有关联的“安全孤岛”。因此,单纯依靠单一网络安全设备来实现网络安全的辅助防御已经不能满足当前网络安全的要求,需要采用新的技术来有效监管整体的网络安全状况,这就进入了网络安全研究的网络安全感知预测阶段。

网络安全感知预测技术[3]是在现有的网络安全设备及其技术基础上,借鉴成熟的态势感知技术,将其理论应用于网络安全领域,在动态变化的复杂网络环境中,对各种信息进行有效使用和处理,将已有的表示网络局部特性的要素提炼并综合处理,使其能够表示网络的整体状况,形成多级告警、预警体系,从而加强对网络的管理和监控,增强网络管理员对网络的理解能力,为高层决策人员提供实际支持。此类研究是当前网络信息安全的研究热点。

网络攻击预测的可行性

对网络攻击进行相应的预测,攻击行为是否有其内在的规律和现象是进行预测分析首先需要考虑的因素。下面从几个方面分析:

(1)攻击行为的相关性

现阶段,很多成功实施的恶意攻击往往都是经过实施多个攻击行为,通过单一攻击行为是难以成功的。攻击者前一个攻击行为的成功实施往往是下一个攻击行为开始的关键,它们不是孤立的,彼此之间存在一定的关联性。因此,攻击防御者可以根据已有的历史数据,通过对某一类的攻击行为进行训练得到某种理论模型,进而发现其中存在的相关性规律。

(2)时间序列的自相似性

时间序列是指一个按照时间属性进行排列的数列集合。我们采集到的报警通常都具有时序性,报警数据按照时间属性进行排列就生成了一个报警序列。基于报警序列的预测方法,主要是通过研究报警数据的时序排列方式,利用某种数学模型归纳出一般性规律和趋势,并以此进行类推,对下一段时间的攻击行为状况进行预测。通过报警序列进行预测的方法,首先要做的是通过自相似性理论来证明时间序列的可预测性。

自相似性是指在各个时间尺度上都具备一致统计特性的随机过程。对自相似性进行验证的常见技术是计算它的一个重要参数–Hurst指数。孟锦[4]推导出网络态势时间序列是偏随机游走序列,它具有一定的自相似性,在Honeynet实验数据上计算其Hurst指数并得到相应的验证。这说明报警时间序列并不是相互孤立的,其具有一定的关联性,是可预测的,从而证实了利用报警序列进行攻击预测技术具备一定的可行性。

(3)攻击意图目的性

在实际的网络攻防对抗中,攻击者的每一个恶意入侵步骤都具备极强的针对性和目的性[5]。攻击者在实施攻击前,一般都会确定好目标主机并设计出相对应的多步行动计划,其中每一步行动计划往往都有多个攻击意图。随着攻击行动的不断持续有效实施,攻击者的针对性计划得以逐步落实,攻击意图往往会越来越明显,导致其可推测性将越来越高。

预测模型Kill Chain

网络的恶意攻击对网络系统和通信平台造成的危害往往是极其严重的,我们有必要对已有的网络攻击行为的整个过程进行具体研究,并且建立相关的模型和判别分析,然后有针对性的进行防御[6]

现阶段,最常使用的网络攻击预警模型是攻击链模型,可以对攻击行为的当前状况进行识别并对其未来的状态进行提前推断。攻击链模型(kill chain)[7]被美国国家标准与技术研究院(NIST)称之为网络攻击生命周期,是洛克希德· 马丁公司的计算机事件响应小组提出的。这个术语后来被广泛用于网络安全领域,它将将网络攻击过程细分为探测侦察、渗透工具、传送工具、恶意行为、设置触发、命令与控制、目标达成等七个阶段,很多研究都采用了这个攻击链模型来描述攻击过程。攻击链是指随着时间的变化,恶意入侵者攻破信息系统并对被攻击目标进行攻击所采用的手段及路径的有序集合[8],是对攻击者恶意行为和预期目标的分析和建模。该模型描述了恶意攻击者的行动计划和手段,为了达到攻击效果,攻击者需要投入金钱、时间和资源等资源来提升攻击能力,并获得能够突破防御者的优势。

图1 网络攻击预警模型

经典攻击链是一个链式模型,包含七个完整的攻击阶段,通常攻击者在攻击过程中都会按照这些阶段步骤来对入侵进行计划和执行,如图1所示。对攻击链的研究基本上从战术数据收集、战略情报分析、预警预防反制三个阶段进行,其中战术数据收集阶段主要是从网络攻击入侵中发现问题,进行相应的检测、取证等,通过传感器和各种网络安全设备对网络安全数据进行广泛收集,以利于后期对网络攻击进行场景重建和攻击预测研究,为后续深入研究奠定数据基础;战略情报分析阶段主要是对收集到的各种异构数据进行融合聚类、关联分析和数据挖掘等,对攻击者的身份、攻击的手法、攻击的工具和被攻击的受害者进行相应的行为画像,判断出谁是攻击者、谁是受害者、攻击的方法和手段等是什么样的,对攻击场景进行重建、对攻击源头进行溯源追踪反制等等;预警预防反制阶段主要是对经过各种分析后的形势进行综合研判,及时预警提醒,避免再次发生相同的网络攻击事件。张小松[9]结合杀伤链模型构建原理,针对攻击目标构建APT攻击树模型,对海量日志进行关联分析来形成攻击的路径,有效的对下一步的攻击行为进行预测。

常见网络攻击预测方法

图2 网络攻击预测方法

预测是指对研究对象的未来状态或未知状况进行相应的预计和推测。它根据已有的历史资料、主观经验和教训,通过分析对一些不确定的或未知的事物作出定性或定量的描述,寻求事物发展的规律,为今后制定规划、决策和管理服务。预测的目的往往在于协助人们找寻事物发展的规律,使得能够让未来向着人们期盼的方向前行。

目前最有效、应用也很广的预测方式,主要是将事物自身具有的相关数据进行一定的分析和学习,构建出其相对应的预测模型,基于此对未知的事物能够进行提前预知,进而做出相应的决策。由于预测的对象、目标、内容和期限往往是有差异的,形成了多种多样的预测方法。预测技术从大的角度上可分为以下三类:定性预测、定量预测、以及定量和定性相结合的混合技术,如图2所示。定量预测的方法主要有时间序列、攻击图、博弈论、灰色理论、贝叶斯网络以及和隐马尔科夫模型等等;定性预测的方法[10]可以分为类推法、专家系统和市场调查法等;混合方法有层次分析法等。

(1)定性预测方法

早在古希腊时期,定性分析的理念就已有很好的传播,那个时期的著名学者对自身生活的自然世界和未知的自然现象进行研究,并给出物理方面的解释。定性预测主要是根据过去拥有的经验进行直接预判,其主线是以人的主观判断来决定未来的方向,往往适用于没有数据信息的对象。在网络攻击预测研究中,更偏向于专家系统等方向的应用。

定性分析主要是指凭借着分析者具有的相关直觉、经验,对分析对象过去的状态和现在的资料进行分析,对其具备的性质、特点、发展变化规律作出相应判断的一种有效方法。具有三大特点:推理性、抽象性和主观性。推理性是指运用逻辑思维和特定方法对网络安全指标的特征、性质、影响因素、作用性质、变化趋势等进行推断;抽象性是指基于某种理论假设的条件下,对网络攻击分析对象进行高度概括,并提升到一定的理论高度,使之具有某种规律性的知识;主观性是指预测过程中易受到观念、知识结构等诸多主观因素的影响。

(2)定量预测方法

虽然定性分析让人们对感官世界的认识具有极大的促进作用,不过其往往缺乏一定的深入思考,在事物从一种性质延伸到另一种性质的过程中,人类的认识能力其实是跟不上节奏的。因此,定量分析作为一种很早出现,但定位不够准确的思维方式,相对定性分析来说优势很明显,它将事物定义在了人类能理解的范围之内,由量而定性。定量预测通常是根据各种系统收集到的数据信息,这些数据往往是有时序关系或者因果关系,能根据一些统计概率算法得出定量关系,对系统未来的发展进行定量的预测。

定量分析是指依据统计数据构建出相应的数学模型,并用数学模型计算出分析对象的各项指标和数值的一种方法。定量分析有两大特点:准确性和直观性。准确性是指通过规范化的计算过程,使计算结果具有较高的精确性和一致性;直观性是指通过图表等形式直观的表示网络攻击的变化或者差异。

(3)定量和定性相结合的混合方法

定性分析与定量分析应该是一种统一的、相互补充的关系;现实生活中,没有定性的定量是一种盲目的、毫无价值的定量,定性分析是定量分析的基本前提;定量分析使定性更加科学、准确,能够促使定性分析得出广泛而深入的结论。

定性和定量预测各有各的优点和缺陷,如果将上述两种方法有机地结合起来,能够互相取长补短,发挥出最佳效果,从而使得到结果更加准确和客观。一般混合方法都是先对整体的安全形势进行定性判断,然后通过定量分析的模型给予量化展示。例如层次分析法,它是一种定性和定量相结合的系统方法,能够把决策过程众多的不确定性和模糊性具体量化。

总结

目前网络已经从各个角落渗透到人们的生活中,各种攻击策略也在不断的涌现和翻新。网络恶意入侵攻击已经从初期的单一简单操作(破解口令、破坏文件、篡改网页等)向复杂的多种手段(漏洞攻击、病毒传播、域名劫持、拒绝服务、APT攻击等)发展。通过单步的攻击行为就能对攻击目标构成威胁的可能性很小,大多数攻击者都通过一系列的步骤和组合协调攻击来实现有具体目标的行动计划,这使得网络面临的安全问题日益严重,网络安全呈现出易攻难守的局面。因此,我们迫切需要从以往的被动辅助防御的策略中走出来,加快对网络主动防御技术的研究和投入,网络安全预测研究为网络攻击的主动防御提供了前进的方向。

参考文献

[1] 国家计算机网络应急技术处理协调中心(CNCERT). 中国互联网网络安全报告[EB/OL]. 2016. http://www.cert.org.cn/publish/main/upload/File/2016_cncert_report.pdf.

[2] 国家计算机网络应急技术处理协调中心(CNCERT). 中国互联网网络安全报告[EB/OL]. 2017. http://www.cert.org.cn/publish/main/upload/File/2017annual(1).pdf.

[3] LEAU Y B, MANICKAM S. Network Security Situation Prediction: A Review and Discussion[J]. Communications in Computer & Information Science, 2015, 516: 424–435.

[4] 孟锦. 网络安全态势评估与预测关键技术研究[D]. 南京理工大学, 2012.

[5] 王晓琪, 李强, 闫广华,等. 高级持续性威胁中隐蔽可疑DNS行为的检测[J]. 计算机研究与发展, 2017, 54(10): 2334–2343.

[6] 刘文彦, 霍树民, 陈扬,等. 网络攻击链模型分析及研究[J]. 通信学报, 2018,39(s2): 88–94.

[7] HUTCHINS E M, CLOPPERT M J, AMIN R M. Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains[J]. Leading Issues in Information Warfare & Security Research, 2011, 1(1): 80.

[8] YADAV T, RAO AM. Technical aspects of cyber kill chain[C] //International Symposium on Security in Computing and Communication. 2015: 438–452.

[9] 张小松, 牛伟纳, 杨国武,等. 基于树型结构的APT攻击预测方法[J]. 电子科技大学学报, 2016, 45(4): 582–588.

[10] 翁芳雨. 基于随机博弈模型的网络安全态势评估与预测方法的研究与设计[D]. 北京邮电大学, 2018.

作者:王其文  大象无形

声明:本文来自中国保密协会科学技术分会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。