● 摘要
协同攻击是一种随着网络技术的发展与网络应用的广泛使用而出现的不断演化的攻击技术。特别是出现了以Botnet为典型代表的网络攻击平台,其命令与控制机制(Command and Control, C&C)作为协同的核心基础,使得广泛分布的被感染主机可以采用一种更灵活、智能的协同方式,实施大规模恶意行动达成攻击目的。与传统的攻击事件不同,分布式协同攻击具有的高效、健壮、隐蔽等特征,给检测和防御技术带来了巨大挑战,对计算机网络安全造成了严峻威胁。基于传统手段(如防火墙、IDS、安全漏洞探测等)的单一防御方案较难应对协同攻击的挑战。现有的研究工作从不同层面在一定程度上缓解了协同攻击带来的威胁,但仍存在许多有待解决的问题。按照协同攻击的行为划分,本文对三种协同攻击的行为检测技术展开研究探索,具体包括:协同扫描检测、多步协同攻击关联与意图识别和P2P Botnet C&C结构检测与关键点分析;另外,本文从协同防御的角度研究安全策略的依从性分析方法和技术,以支持从体系上防御协同攻击。论文具体的研究内容和取得的成果如下:(1) 基于行为序列相似性的协同扫描检测协同扫描是指用多个探测源同时开展彼此任务相关的多序列探测,以此共同完成一项任务的扫描方式。它具有易于逃逸扫描检测的高隐蔽性以及扫描效率高的特点。现有的协同扫描的检测方法大多基于扫描行为时间和空间相关性特征。然而,现有攻击手段扩大了协同扫描源的规模和分布性(即探测源的离散性),并增强多序列探测活动的时间随机性,使得具有这样特性的协同扫描活动很容易逃避现有的检测算法。本文提出一种基于扫描行为序列相似性的协同扫描检测方法。通过分析DScan和NSAT、NMAP等典型的协同扫描工具实例,发现并证实协同扫描存在行为相似特性;据此抽象并构造出一种协同扫描的行为描述模型,基于该描述模型分析扫描行为序列之间的相似性,进而聚类相似的扫描行为序列,识别由相同攻击者控制的扫描源。最后,在可控环境中收集现有协同扫描软件发出的扫描数据,实验检验提出的检测算法。实验结果表明,该算法具有较好的检测效果。(2) 基于攻击场景的参数自学习多步协同攻击关联与意图识别现有的安全防御体系对单步攻击具有较好的防御能力,并且能给防御者提供大量单步攻击的警告事件。大多数研究更为关注从庞大繁杂的警报中找出彼此之间关联,以此识别出多步攻击的攻击行为序列。然而,目前的方法不能很好地检测出大规模协同多步攻击。为解决上述问题,本文研究多步协同攻击关联与意图识别技术,提出一种基于攻击场景的、具有参数自学习能力的攻击意图识别方法。首先,使用一种攻击图描述攻击场景;然后根据漏洞信息、网络拓扑信息和攻击规则,自动生成攻击场景;最后,以攻击场景为基础,提出一种基于贝叶斯网络参数自学习的攻击意图识别方法。实验结果表明,该方法能够较好的识别出多步协同攻击及其意图,学习后的参数值接近于客观值,使攻击意图的识别结果更加准确。(3) P2P Botnet命令与控制结构的检测及其关键节点分析Botnet的命令与控制(C&C)机制作为一种协同机制,使得广泛分布的被感染主机可以采用一种更灵活、智能和复杂的协同方式实施攻击行动。为了能够在攻击开始前抑制甚至阻止P2P Botnet产生的攻击行动,本文研究P2P Botnet命令与控制结构检测及其关键点分析技术。首先,使用基于网络流分类的命令与控制结构发现算法,得到P2P Botnet的命令与控制结构;其次,基于数据场理论,描述命令与控制结构中节点属性和节点间连接关系,并给出关键节点的评价算法,以此确定C&C结构的关键节点。实验结果表明提出的命令与控制结构检测算法能够发现典型的结构化P2P Botnet的命令与控制结构,具有较高的命中率;而基于数据场的关键节点评价算法能够更为准确地得出C&C结构的关键节点,相对于基于度数和介数的评价方法更准确。(4) 基于语义的网络安全策略依从性分析依据上述方法得出的C&C关键节点及攻击事件与意图,经过域内协同防御决策系统自动化转换得出一系列域内防御措施,并以网络设备安全配置的形式付诸防御行动。但是,转换后的安全措施是否依从于源自上述研究得出的防御意图或安全策略,是保障协同防御效果的关键问题。目前的研究较少关注高层的安全策略与其转换后的低层安全措施之间的依从性分析和评估问题。本文提出一种基于本体的高层安全策略与低层措施的语义相似度计算方法。该方法用于评估转换前后策略间依从性。首先,构建基于OWL描述的安全策略及其措施的本体;以本体作为策略与措施的语义模型,提出一种基于语义依存树的结构相似度分析算法和基于本体语义距离的概念相似度分析算法。实验采用案例验证方法有效性。实验结果表明,该方法准确地评估了网络安全策略与措施之间的语义相似度。基于本体语义距离的概念相似度分析算法的计算结果能更准确地反映人的主观相似性判断,在安全策略领域比其它算法更准确。
相关内容
相关标签