高菲
摘 要:传统的网络恶意攻击取证方法对恶意攻击行为的检查不全面、恶意攻击行为相似度分辨准确性低。为此,提出了一种分布式异构网络恶意攻击取证及预警方法。利用CVSS计算器对网络恶意攻击行为的严重等级进行评估,结合灰关联分析法建立灰关联模型,对评估要素进行量化处理;在此基础上,获取并处理日志、事件、警告和证据信息,建立证据库。根据取证结果,结合TOP-K预警策略实现分布式异构网络恶意攻击的预警和预警信息储存。实验结果表明,所提方法对恶意攻击行为的查全率和恶意攻击行为相似度分辨的准确性较高,且预警反应耗时较短,不仅能够准确检测恶意攻击行为,还能够及时发出警报,有效维持分布式异构网络的安全性。
关键词:分布式异构网络;网络恶意攻击;差异信息;灰关联模型
中图分类号:TP337 文献标识码:A
Research on Forensics and Forewarning Methods
of Distributed Heterogeneous Network Malicious Attacks
GAO Fei
(Skills Training Center,State Grid Jibei Electric Power Company Limited
(Baoding Electric Power Voc.& Tech. College), Baoding,Hebei 071051, China)
Abstract:The traditional network malicious attack forensics method for malicious attack behavior inspection is not comprehensive, malicious attack behavior similarity discrimination accuracy is low. Therefore, this study proposes a distributed heterogeneous network malicious attack forensics and warning method. CVSS calculator was used to evaluate the severity of malicious network attacks, and gray correlation analysis method was used to establish a gray correlation model to quantify the evaluation factors. On this basis, obtain and process log, event, warning and evidence information, establish evidence base. According to the forensics results, TOP-K warning strategy is combined to realize the warning and warning information storage of distributed heterogeneous network malicious attack. The experimental results show that the proposed method is more accurate in detecting the malicious attack and distinguishing the similarity degree of the malicious attack, and the early-warning response time is shorter. It can not only accurately detect the malicious attack, but also send out the alarm in time, effectively maintaining the security of distributed heterogeneous network.
Key words:distributed heterogeneous network; malicious network attacks; difference information; grey relational model
為有效保障网络运行的安全性、更好地抵御非自体入侵行为和恶意攻击行为,需对网络恶意攻击进行动态实时取证[1]。分布式异构网络中恶意攻击行为的取证是使用合理的方法对数据证据进行收集、检查和分析,这些证据涉及到多层次的主动处理过程。取证的目的是为了及时发现网络中的恶意攻击行为,为网络安全故障的应急处理提供有效支持[2]。若发现网络中存在或可能存在恶意攻击行为,则通过有效、及时地预警防止网络威胁的进一步扩大。
传统的网络恶意攻击取证方法多采用基本过程模型将已知攻击证据作为证据来源,主要强调从电子数据中提取到的证据[3],但更主要的是强调发现攻击行为发生后将网络恢复到初始状态。如杨天识等人[4]提出了基于OpenFlow的蜜罐主动取证,通过创建蜜罐虚拟机的方式将攻击行为从网络服务器中隔离到蜜罐服务器中,并通过OpenFlow协议调控网络流量,将蜜罐服务器与真实网络服务器隔离。将正常访问请求路由到真实服务器中,根据IDS标记取证结果将恶意攻击行为路由到制定的蜜罐中,实现对恶意攻击的取证。李阳[5]等人提出了大规模网络非自体入侵动态实时取证方法,通过人工免疫法将网络的状态特征与分类器参数作为个体,在估算其适应度的基础上,利用遗传算法得到最优特征和分类器参数,通过SVM建立入侵检测模型,根据检测结果构建非自体动态的演化模型,并保证其与真实网络环境保持同步演化,并记录非自体入侵动态变迁状况,实现网络非自体入侵的取证。吴丰盛[6]提出了多模光纤网络异常入侵信号提纯取证方法,建立网络信号传输模型,利用时间序列重构方法检测出网络异常入侵信号,并提取其时频谱特征量;在此基础上,结合经验模态分解法分离网络异常入侵信号特征信息,根据其收敛性将分离后的入侵信号输入到降噪滤波器中,完成入侵信号提纯处理,实现网络异常入侵取证。上述方法虽然均实现了对网络攻击、入侵行为的取证,但存在对攻击、入侵行为的检查不全面、对恶意攻击行为相似度分辨准确性较差的问题。
为解决传统方法存在的问题,提出了分布式异构网络恶意攻击取证及预警方法,运用动态取证方法查找证据,并加入TOP-K报警技术,根据取证结果对网络恶意攻击行为进行预警。
1 网络恶意攻击入侵评估要素量化
首先利用CVSS计算器评估出网络恶意攻击行为的严重等级,CVSS评估项目如表1所示。
利用CVSS計算器得到的评估结果是一系列处于0~10之间的数字,数值越大,则说明网络恶意攻击行为越严重。再次基础上,根据网络恶意攻击评分数值,结合灰关联分析法建立灰关联模型,对网络恶意攻击入侵威胁评估要素进行量化处理。量化处理过程如下:
Step1:提取分布式异构网络序列间的差异信息,并构建差异信息空间模型;
Step2:计算差异信息间的灰关联度;
Step3:根据灰关联度构建差异因子间的序关系,利用网络恶意攻击入侵评估要素和所建立灰关联分析模型分析各因素之间的相关性。灰关联模型表达式如下:
H=1n∑ni=1γk(1)
其中,γ指差异信息集;k指差异信息影响空间;n指灰关联度等级,且n=1,2,…,i,…。经过灰关联模型分析后,采用计算算术平均值算法实现评估要素的量化。在量化计算的过程中仅考虑指标个数,不需要考虑不同指标对最终评估结果的差异[7]。
由此,完成对分布式异构网络恶意攻击入侵评估要素的量化处理。
2 分布式异构网络恶意攻击取证处理
在对分布式异构网络恶意攻击入侵评估要素进行量化处理的基础上实现分布式取证,为网络安全防护提供更有说服力的综合性证据。分布式异构网络恶意攻击取证处理框架如图1所示。
图1中,日志log、事件Event、警告Alert和证据Evidenc均为分布式异构网络恶意攻击取证的对象。
首先定义日志log为RL,STYPE,SID,其中,RL指分布式异构网络设备和主机产生的原始日志,这些日志是传感器获取的网络活动最直接的报告;STYPE指日志类型;SID指安全标识符[8]。
分布式异构网络中各设备和主机产生的原始日志格式分为以下4种:
(1)告警日志。告警日志中包含告警时间和攻击特征编号、目的IP地址等信息[9]。通过告警证明入侵源对目标主机的扫描探测行为,在此基础上可以利用信息漏洞收集整个入侵过程的行为特征。
(2)访问日志。访问日志中包含时间和客户端IP 地址、服务器IP 地址等信息。当web客户端访问web服务器时没有发出告警,则说明服务器应答状态正常。
(3)访问日志。访问日志中信息字段包含客户端IP 地址和时间、服务应答码等信息。
(4)防火墙访问日志。防火墙访问日志中的信息字段包含主机名称、物理接口名称和目的端口等。
定义事件Event为日志接收器从传感器截取到的日志信息,因不同类型的原始日志格式有所不同,为方便后续处理,需将所有日志格式调整为异构数据格式[10]。
针对警告Alert,若Alert发生在事件库中,则需要经过标准化处理以保证获取的数据质量,避免存在冗余和无关证据。
在证据Evidenc的分析过程中,需根据关联规则对日志行为进行保全,经过保全的行为均储存在证据库中做统一处理。
根据上述对日志log、事件Event、警告Alert、证据Evidenc的定义和处理,完成分布式异构网络恶意攻击取证。
3 网络恶意攻击预警
在上述利用CVSS计算器量化网络恶意攻击入侵评估要素,并建立分布式异构网络恶意攻击取证数据库的基础上,利用TOP-K预警策略实现地网络恶意攻击行为的预警[11]。具体预警实现过程如下:
首先,提取报警日志的目标端口信息和端口记录次数,以上述两个属性为研究对象,连续收集数据中心提供的报警日志,将每天的报警日志汇总成表格[12-13]。为方便后续处理,需对报警日志进行端口向量化。继而将这些报警日志放入数据集当中,按照报警日志的端口序号和报警记录次数的大小排序,形式为p1,m1,p2,m2,p3,m3,…,pn,mn,其中,p指端口号,m指报警记录次数[14]。
在此基础上,记录每个感应器的报警日志F。在报警日志与每个感应器进行信息交互前,将全部端口的报警记录初始化[15],并建立信息交互初始化向量,表达式为:
Q=Vi×ym(2)
其中,Vi表示报警日志,y表示端口交互记录次数。
在报警日志中会随机的向分布式异构网络发送交互信息,若产生的日志与某个端口产生的报警信息有直接关联,就需要将对应的端口设置为1,并将所记录的端口依次排序,表达式为:
W=Vi×Qms(3)
其中:ms值感应器交互反馈后的排序。
感应器交互过程反映的是每个感应器的报警日志与相关合作小组的交互过程。当感应器产生一份告警日志,就会发送给TOP-K程序中的其他感应器成员。经过与其他感应器日志信息交互校验后,再说明感应器之前所遭受到的攻击,并采取相应的预警措施。经过感应器成员相互反馈后,记录并储存会得到报警日志的端口号以及日志信息端口交互次数。最后,将报警日志反馈结果上传至数据中心,以便日后对类似的恶意攻击行为进行有效防御。
由此,完成分布式异构网络恶意攻击取证及预警方法的设计。
4 实验与结果分析
为验证所提的分布式异构网络恶意攻击取证及预警方法的有效性,设计如下实验。
4.1 实验环境
实验硬件环境为Visual Studio 2005,3.54GHzCPU,5.00 Byte RAM。在1000×1000m的范围内建立分布式异构网络模型,均匀分布500个节点,其他相关网络参数设定情况如表2所示.
为保证实验的有效性,将所提的分布式异构网络恶意攻击取证及预警方法与文献[4]中的基于OpenFlow的蜜罐主动取证方法、文献[5]中的大规模网络非自体入侵动态实时取证方法、文献[6]中的多模光纤网络异常入侵信号提纯取证方法进行性能对比。
4.2 实验结果与分析
(1)恶意攻击行为查全率
恶意攻击行为查全率可以判斷不同方法对分布式异构网络中恶意攻击行为采集、检测、分析的全面性,其计算过程如下:
查全率=检测出的恶意攻击行为数量实际恶意攻击行为总量×100%(4)
测试不同方法在对分布式异构网络中恶意攻击行为进行检测的全面性,实验结果如图2所示。
分析图2可知,在不断的迭代中,仅所提的分布式异构网络恶意攻击取证及预警方法对恶意攻击行为的查全率在逐步增加,而另外三种方法对分布式异构网络中的恶意攻击行为的查全率变化无规律性,但均低于所提方法。因此可以说明分布式异构网络恶意攻击取证及预警方法能实现对恶意攻击行为的全面采集、检测和分析。
(2)恶意攻击行为相似度分辨准确性
通过对比不同方法对恶意攻击行为相似度分辨的准确性,可以判断不同方法的自适应性能和取证辨识能力。其计算过程如下:
Z=1-∑hgah-gbh2(5)
其中,Z指恶意攻击行为相似度分辨准确性,gah指h灰关联度下所有访问行为特性分布区域范围,gbh指h灰关联度下恶意攻击行为特性分布区域范围。
测试不同方法的恶意攻击行为相似度分辨准确性,实验结果如图3所示。
分析图3可知,随着实验迭代次数的不断增加,不同方法的恶意攻击行为相似度分辨准确性也在不断发生变化。但所提的分布式异构网络恶意攻击取证及预警方法的准确性始终在4种方法中保持最高,证明该方法具有较强的自适应性能和取证辨识能力。
(3)预警反应耗时
预警反应耗时指在对恶意攻击行为进行告警过程所花费的时间,能够反映不同方法的预警响应效率。预警反应耗时结果由Visual Studio操作平台智能统计。预警程序启动页面如图4所示。
不同方法预警反应耗时测试结果如表3所示。
分析表3可知,随着实验迭代次数的不断增加,不同方法的预警反应耗时也在不断发生变化。文献[4]和文献[5]方法的预警反应耗时较接近,大致保持在400-550 ms之间,文献[6]方法的预警反应耗时较多,最高的预警反应耗时达到了856 ms。相比之下,所提的分布式异构网络恶意攻击取证及预警方法的预警反应耗时最少,可维持在400 ms之内。这是因为所提方法应用了TOP-K预警策略,过滤掉报警日志端口中比较分散的日志,从而有效抵御稀疏端口发起的恶意攻击。
综上所述,所提的分布式异构网络恶意攻击取证及预警方法具有较高的恶意攻击行为的查全率和恶意攻击行为相似度分辨的准确性,且预警反应速度较快。
5 结 论
针对传统网络恶意攻击取证及预警方法存在的问题,提出分布式异构网络恶意攻击取证及预警方法。首先量化网络恶意攻击入侵评估要素,在此
基础上,处理分布式异构网络恶意攻击取证数据,构建证据库。并利用TOP-K预警策略实现对恶意攻击行为的预警,有效抵御网络恶意攻击,保证取证数据的完整性和可用性。在实验部分分别对比3种传统的网络恶意攻击取证方法和所提方法的可行性。实验结果证明了所提方法的可行性更高。
参考文献
[1] 宋明秋, 王琳, 邵双. 基于攻击传播性的分布式网络信任模型[J]. 运筹与管理, 2017, 26(7):125-131.
[2] 温晗, 刘渊, 王晓锋, 等. 面向天地一体化信息网络的恶意用户行为仿真技术[J]. 小型微型计算机系统, 2019, 40(8):125-126.
[3] 吴一尘, 章曙光. 基于网格的无线传感器网络虫洞攻击抵御策略[J]. 中国科学技术大学学报, 2019.22(1):154-155.
[4] 杨天识,刁培金,梁露露,等.基于OpenFlow的蜜罐主动取证技术[J].北京理工大学学报,2019,39(5):545-550.
[5] 李阳,李刚.大规模网络非自体入侵动态实时取证仿真研究[J].计算机仿真,2018,35(11):269-272.
[6] 吴丰盛.多模光纤网络异常入侵信号提纯方法[J].激光杂志,2019,40(3):120-124.
[7] 孟彩霞, 叶海琴. 基于多元节点属性分类的光纤网络入侵中未感染节点检测[J]. 科学技术与工程, 2018, 47(14):167-171.
[8] 周彩秋, 杨余旺, 王永建. 无线传感器网络节点行为度量方案[J]. 清华大学学报(自然科学版), 2017,22(1):39-43.
[9] 周海平, 沈士根, 黄龙军, 等. 基于博弈论的无线传感器网络恶意程序传播模型[J]. 电信科学, 2018,36(11):154-155.
[10]秦永俊,唐增明.改进的NetLinX开放网络动态入侵检测方法[J].西安工程大学学报,2017,31(4):576-581.
[11]韩晓冬, 高飞. 抗污染攻击的流内安全网络纠错编码[J]. 北京理工大学学报, 2018, 38(11):139-140.
[12]马莉莉, 刘江平. 大数据信息传输中恶意攻击数据识别仿真[J]. 计算机仿真, 2017, 34(10):375-378.
[13]李佳, 云晓春, 李书豪. 基于混合结构深度神经网络的HTTP恶意流量检测方法[J]. 通信学报,2019,40(1):28-37.
[14]宋明秋, 王琳, 邵双. 基于攻击传播性的分布式网络信任模型[J]. 运筹与管理, 2017, 26(7):125-131.
[15]王丽娜, 谈诚, 余荣威,等. 针对数据泄漏行为的恶意软件检测[J]. 计算机研究与发展, 2017, 54(7):1537-1548.
