基于原子動作的網絡惡意行為識別方法

◆何韶軍孔 睿 劉江偉 姚 樂

基于原子動作的網絡惡意行為識別方法

◆何韶軍1孔 睿2通訊作者劉江偉1姚 樂3

（1.中國人民解放軍31003部隊 北京 100191；2.中國人民解放軍軍事科學院戰爭研究院 北京 100091；3.中國人民解放軍軍事科學院 北京 100091）

本文提出一種基于原子動作的網絡惡意行為識別方法，實現快速識別網絡惡意行為特征。首先，由于信息系統提供面向用戶的各種業務，其各類業務由服務資源和數據資源提供支撐，因此將信息系統基本資源的分為四層；其次，本質上網絡惡意行為是通過影響系統基本資源屬性來達到影響系統的目的，基于此，將惡意原子動作分為對資源的增加、刪除、修改、竊取、解析、占用；最后，采用二元組將惡意動作表述為針對某個系統基本資源實施了某類惡意原子動作。該方法能夠描述網絡惡意行為全集，反映網絡惡意行為中包含的受惡意影響的資源序列信息，可以從保護受惡意行為影響的系統資源的角度著手防范該類惡意行為。

原子動作；網絡惡意行為；識別方法；基本資源

隨著網絡的普及，網絡安全威脅日益突出，網絡惡意行為也受到越來越多的關注。網絡惡意行為[1-2]，是為實現一定的目的針對某一目標所采取的一系列操作的過程，是一個不斷向攻擊目的逼近的動態過程。通常采用掃描[3]、口令攻擊[4]、惡意代碼[5]、緩沖區溢出[6]、欺騙[7]、后門[8]、會話劫持[9]、網絡監聽[10]、拒絕服務[11]等方法，對目標網絡或系統產生影響和破壞，如篡改信息、騙取和假冒數據、盜取服務和資源、破壞系統可用性等。

大數據時代下，網絡安全事件呈現出數據多樣化、數據量快速遞增等特點，安全事件的事態與特性分析決策面臨巨大的挑戰。國家互聯網應急中心[12]（CNCERT）僅在2018年就關閉了772個控制規模較大的僵尸網絡，切斷了黑客對境內約390萬臺感染主機的控制，全年捕獲勒索軟件近14萬個，捕獲的計算機惡意程序樣本數量超過1億個。2018年，CNCERT抽樣監測發現我國境內峰值超過10Gbps的大流量分布式拒絕服務攻擊（DDoS攻擊）事件數量平均每月超過4000起。2019年網絡安全事件更是層出不窮。澳大利亞維多利亞州政府3萬名雇員個人信息外泄，萬豪酒店5億客戶數據泄漏，俄羅斯50多家大型企業遭到未知攻擊者勒索。如何高效、準確識別網絡安全事件中的惡意行為的類型，并為事件處置決策提供幫助，已經成為國家與網絡空間安全領域的關鍵性問題。

為了做到主動防御，爭取在網絡攻擊與防護的安全對抗中占據主動地位，我們需要深入研究并把握網絡惡意行為的規律。在研究和分析現有網絡惡意行為和事件的基礎上進行網絡惡意行為分析是研究、設計和實現黑客入侵防范體系的第一步，網絡惡意行為分析的一個有效方法是對網絡惡意行為進行分類。

1 相關研究

對網絡惡意行為進行分類識別是防范網絡攻擊、降低攻擊損失的重要工作內容。目前，對網絡惡意行為有多種分類方法，不同的分類方法會得到不同的分類結果，要獲得一個理想的結果，需要一個好的分類方法和分類標準。下面就對網絡惡意行為的分類方法進行討論。

基于經驗術語的分類描述方法[13]利用網絡惡意行為中常見的技術術語、社會術語等對網絡惡意行為進行描述。Lcove[14]按照該方法把攻擊類型分為病毒、蠕蟲、DDoS、網絡欺騙等20余類，但此種分類方法只能描述已知惡意行為，術語之間存在較大交叉，術語內涵不明確。

基于單一屬性的描述方法[15]是指從某個特定屬性描述網絡惡意行為的方法。典型的將惡意行為實施手段分為5種：中斷、攔截、竊聽、篡改、偽造，或將惡意行為分為外部濫用、硬件濫用、偽造、有害代碼、繞過認證或授權、主動濫用、被動濫用、惡意濫用、間接濫用。此種方法只能籠統地反映出惡意行為屬性的特點。

基于多維屬性的描述方法指同時抽取惡意行為的多個屬性，并利用這些屬性組成的序列來表示一個惡意行為過程，具體屬性包括：實施者的類型、所使用的工具、過程信息、結果和目的。王昭等人[16]提出了一種基于多維屬性的網絡攻擊分類方法，將攻擊過程用技術手段、攻擊來源、攻擊入口等14個方面的屬性來進行描述。這種方法能全面反映惡意行為的各個屬性，但較為復雜，適用于深入解讀惡意行為后對其進行描述。

基于應用的分類描述法是對特定類型應用、特定系統而發起的惡意行為的屬性進行分類描述的方法。Welch等人[17]對無線網絡的攻擊進行了研究，從嗅探、中間人和重放攻擊等方面進行了描述。該方法有利于描述惡意行為固有特點及其關鍵屬性，但也正是因為過多地考慮專用性的原因，這種方法在普適性方面的表現較差，難以適用于不同的應用領域，無法窮盡惡意行為。

2 基于惡意原子動作的惡意行為描述方法

網絡惡意行為最終可描述為影響或破壞目標網絡、系統的業務。為描述網絡惡意行為針對的系統業務，提出一種基于原子動作的網絡惡意行為分類描述方法，該方法提取惡意動作作用的系統業務基本資源，依據系統業務基本資源受到的影響提取惡意原子動作，形成對該惡意動作的描述，集合全部惡意動作的描述即形成對惡意行為的描述，最后受惡意動作影響的系統業務基本資源對惡意行為進行分類識別。將具有同樣的受影響業務資源的惡意行為分為一類進行識別，可以從保護受惡意行為影響的系統資源的角度著手防范該類惡意行為。

本方法采用二元組（y,d）描述網絡惡意動作g:g（y,d）描述網絡惡意行為的一個動作，y表示受影響的系統資源，d表示惡意原子動作，該二元組將網絡惡意行為動作表述為針對某個系統基本資源實施了某類惡意原子動作。一種網絡惡意行為可以由多個惡意動作組成，也可以只有一個惡意動作，表述為：G{ g1（y1,d1），g2（y2,d2），……，gn（yn,dn）}，n≥1。

作為最早使用的漆器胎骨，“刳器”的優點和缺點都是顯而易見的。其優點是結實耐用。因為“刳器”是整塊木料加工而成的，未經拼接，且較為厚重，因而不易折損。缺點在于，加工時要挖去很多不必要的部分，因而費工、費料。而且，“刳器”一般比較厚重，有失輕巧。

圖1 基于惡意原子動作的惡意行為描述方法流程

3 受影響的信息系統基本資源

將信息系統視為面向用戶提供多項業務的整體，業務由運行的硬件/軟件程序和數據共同支撐，因此每項業務包含服務資源和數據資源。動態運行著的程序代碼提供服務，服務包括硬件服務、操作系統服務和用戶服務，其中，硬件面向系統程序代碼提供硬件服務，操作系統面向業務程序代碼提供操作系統服務，業務程序代碼面向用戶提供用戶服務；數據是指硬件/軟件程序運行所需要的代碼、管理參數等運行數據及其運行中生成的數據。服務包括服務管理和服務應用，相應地，數據包括管理數據和生成數據?；诖?，對信息系統基本資源進行分層描述，如圖2。

3.1 服務資源

服務資源指動態運行的代碼面向程序/用戶提供的應用，包括硬件服務、操作系統服務和用戶服務。

（1）硬件服務資源

硬件服務資源指支撐信息系統運行的各種物理設備資源，是硬件面向系統程序代碼提供的服務，包括主機設備、外圍設備、網絡設備。主機設備包括CPU、內存、硬盤、光驅、電源、BIOS、網卡以及其他輸入輸出控制器和接口；外圍設備包括輸入/輸出設備、外存儲器、鍵盤、打印機、磁盤驅動器；網絡設備包括中繼器、路由器、網關、交換機、防火墻、網橋等設備。

（2）操作系統服務資源

操作系統服務資源指信息系統運行所依賴的操作系統環境提供的各種系統應用，是面向業務軟件代碼的操作系統服務，包括操作系統管理和操作系統應用。其中操作系統管理包括設備管理、程序管理、組件與服務管理、網絡管理、用戶管理、存儲管理、文件管理、策略管理、任務管理、日志管理；操作系統應用包括網絡傳輸、服務組件、文字處理、系統命令、圖像處理、打印輸出等。

圖2 信息系統基本資源結構組成

（3）用戶服務資源

用戶服務資源指信息系統所提供的運行于操作系統之上的用戶應用和系統其他配套應用，是面向用戶的應用服務，包括服務管理和服務應用。用戶服務資源包括用戶服務管理和用戶服務應用；系統其他應用是指附加于操作系統之上區別于信息系統主要業務的用戶服務，這些用戶服務是構成整個操作系統運行環境的一部分，例如系統安全應用、游戲、音視頻應用等，這些用戶服務也包括用戶服務管理和用戶服務應用。

3.2 數據資源

數據資源指信息系統運行所需的代碼、參數及運行中生成的數據。包括硬件數據資源、操作系統數據資源和用戶服務數據資源。

硬件數據資源包括硬件管理數據和硬件生成數據。硬件管理數據指管理信息系統運行的各種物理設備儲存的參數和代碼，包括BIOS運行參數和運行代碼、打印機運行參數和運行代碼、中繼器運行參數和運行代碼、路由器運行參數和運行代碼、網關運行參數和運行代碼、交換機運行參數和運行代碼、防火墻運行參數和運行代碼、網橋運行參數和運行代碼等；硬件生成數據是信息系統中各種物理設備運行過程中產生的數據，包括BIOS、打印機、中繼器、路由器、網關、交換機、防火墻、網橋等在運行過程中輸出的數據。

（2）操作系統數據資源

操作系統數據資源包括操作系統管理數據和操作系統生成數據。操作系統管理數據包括設備數據、程序數據、組件數據、網絡數據、用戶數據、存儲管理數據、文件管理數據、策略數據、任務數據、日志數據；操作系統生成數據包括網絡傳輸數據、服務組件生成數據、文字處理生成數據、圖像處理生成數據、系統安全應用生成數據、打印輸出生成數據等。

（3）用戶服務數據資源

用戶服務數據資源包括用戶服務管理數據和用戶服務生成數據。用戶服務管理數據是指運行于操作系統之上的業務所需要的代碼/管理數據，用戶服務生成數據是指運行于操作系統之上的業務運行中生成的數據。

資源可以通過可用性、占用率、響應速率/時間、正確度、保密性等基本屬性進行描述。本質上，網絡惡意行為正是通過影響系統基本資源屬性來達到攻擊系統的目的。一個惡意動作可影響一個或多個系統業務，只要做好相關系統資源的防護即可達到對整個網絡惡意行為的防范。

4 惡意原子動作

惡意原子動作d的取值范圍包括增加、刪除、修改、竊取、解析、占用，其內涵如下文所述。

增加是指惡意原子動作將不合法的資源插入到目標系統中的行為，例如植入病毒、木馬、邏輯炸彈等屬于此類行為。刪除是指惡意原子動作去掉合法的系統資源的行為，例如刪除硬盤引導數據、刪除文件等屬于此類行為。修改是指惡意原子動作改變正確的系統資源內涵的行為，例如修改用戶配置文件、修改操作提供安全配置策略等屬于此類行為。竊取是指惡意原子動作對系統資源實施不合法讀取的行為，例如網絡探測、信息竊取屬于此類動作。解析是指惡意原子動作對竊取的系統資源進行分析理解有用信息的行為，例如密碼破譯、協議分析等屬于此類行為。占用是指惡意原子動作非法使用系統資源從而影響資源正常使用的行為，例如拒絕服務攻擊等屬于此類行為。

一種網絡惡意行為可能包含了若干惡意動作，按照時序集合這些惡意動作描述即可形成對完整網絡惡意行為的描述，將具有同樣的受影響業務資源的網絡惡意行為分為一類進行識別，可以從保護受影響的系統資源的角度著手防范該類網絡惡意行為。

5 實例分析

中間人攻擊是網絡惡意行為的常見手段之一，本文結合基于原子動作的網絡惡意行為分類描述方法對基于ARP欺騙的中間人攻擊進行分析。

由于ARP協議設計的初衷是為了方便數據傳輸，未考慮網絡安全因素，存在設計缺陷，主要表現為該協議未提供一種檢驗IP地址與MAC地址對應關系真實性的機制，使所有ARP響應均認為合法，無須認證。以上缺陷，使得ARP欺騙成為網絡中中間人攻擊的一種常用手段。

基于ARP欺騙的中間人攻擊包括網絡偵察、插入通信鏈路、截獲數據、轉發數據四個步驟。

5.1 網絡偵察

在對目標進行中間人攻擊前，通過使用“嗅探”獲取目標網絡關鍵信息，“嗅探”的過程是對操作系統運行/管理數據的網絡運行數據進行竊取和解析的過程，表示如下：

網絡數據竊?。篻1（網絡運行數據，竊取）；

網絡數據解析：g2（網絡運行數據，解析）。

5.2 插入通信鏈路

“嗅探”完成后，主機C插入合法主機A、B通信路徑之間，使主機A、B間通過C通信：A←→C←→B。為此，主機C向網絡廣播錯誤ARP響應信息，使主機A、B更新ARP緩存（主機B的lP--主機C的MAC、主機A的IP--主機C的MAC），此后主機A會將主機C的MAC地址作為主機B的MAC地址，而主機B也會將主機C的MAC地址作為主機A的MAC地址。當A、B之間通信時，數據幀均會發往主機C，通過定時廣播偽造ARP響應，可將攻擊主機C插入到主機A、B通信路徑中。

以上修改ARP緩存的行為，可以視為對操作系統運行/管理數據中網絡運行數據正確性的修改，可以表示為：g3（網絡運行數據正確性，修改）。

5.3 截獲數據

當成功將主機C插入主機A、主機B的通信鏈路后，主機A、B的數據均發往主機C，運行在混雜模式的網卡可以截獲這些數據。

截獲主機A、主機B通信數據的行為，可以視為對業務生成數據的竊取，具體何種業務生成數據，因被攻擊業務而異，表示為：g4（某業務生成數據，竊取）。

5.4 轉發數據

為了保證主機A、主機B之間通信的連續性，主機C必須轉發所有截獲的數據包，主機C應修改數據幀的目的MAC地址為主機A或B的真實MAC地址，例如，對主機B發給主機A的數據包，主機C需要將目的MAC地址由主機C的地址變更為主機A的MAC地址。此外，根據惡意行為目標，可以更改數據包的業務內容，達到欺騙主機A、主機B的目的。

轉發數據的過程，可以視為對業務生成數據正確性的修改，具體何種業務生成數據，因被攻擊業務而異，表示為：g5（某業務生成數據正確性，修改）。

在對基于ARP欺騙的中間人攻擊流程進行梳理分析后，該網絡惡意行為可以表述為以下惡意動作的集合G：{g1（網絡運行數據，竊取），g2（網絡運行數據，解析），g3（網絡運行數據正確性，修改），g4（某業務生成數據，竊?。琯5（某業務生成數據正確性，修改）}。

該方法可以描述網絡惡意行為全集，當新的網絡攻擊出現時，可以采取本方法對尚未完全認知的網絡惡意行為按照作用于系統資源屬性的效果進行分類描述，如表1所示。

表1 典型網絡惡意行為的惡意動作表示

6 結束語

為描述網絡惡意行為針對的系統業務，提出一種基于原子動作的網絡惡意行為分類描述方法，該方法提取惡意動作作用的系統業務基本資源，依據系統業務基本資源受到的影響提取惡意原子動作，形成對該惡意動作的描述，集合全部惡意動作的描述即形成對惡意行為的描述，最后對惡意行為進行分類識別。將具有同樣的受影響業務資源的惡意行為分為一類進行識別，可以從保護受惡意行為影響的系統資源的角度著手防范該類惡意行為。

[1]熊澤明.計算機網絡安全技術在網絡安全維護中的應用[J].網絡安全技術與應用，2020（03）：4-5.

[2]SELVAKUMAR B，MUNEESWARAN K. Firefly Algorithm Based Feature Selection for Network Intrusion Detection[J]. Computers & Security，2018.

[3]RING M，LANDES D，HOTHO A. Detection of Slow Port Scans in Flow-based Network Traffic.[J]. PloS one，2018，13（9）.

[4]ANOUD B H，MUNIR M，AISHA A. Online Authentication Methods Used in Banks and Attacks Against These Methods[J]. Procedia Computer Science，2019，151.

[5]孫澤浩.基于深度學習的惡意代碼檢測技術[J].網絡安全技術與應用，2018（02）：61-62+67.

[6]孫文豪.緩沖區溢出的安全隱患[J].網絡安全技術與應用，2010（05）：9-10.

[7]XIA Jing，CAI Zhiping，HU Gang，XU Ming. An Active Defense Solution for ARP Spoofing in OpenFlow Network[J].Chinese Journal of Electronics，2019，28（01）：172-178.

[8]馬顏軍.Web的安全威脅與安全防護[J].網絡安全技術與應用，2016（11）：20-21.

[9]KRISHNAN V A，AMRITHA P P，SETHUMADHAVAN M .Sum Chain Based Approach against Session Hijacking in MPTCP[J]. Procedia Computer Science，2017，115：794-803.

[10]樊強.網絡安全中網絡監聽與防范技術探析[J].網絡安全技術與應用，2015（09）：53+56.

[11]LI Yuancheng，ZHANG Pan，MA Longqiang. Denial of Service Attack and Defense Method on Load FrequencyControl System[J]. Journal of the Franklin Institute，2019，356（15）.

[12]王小群，韓志輝，徐劍，等.2018年我國互聯網網絡安全態勢綜述[J].保密科學技術，2019（05）：4-9.

[13]高見，王安.面向網絡攻擊的能力評估分類體系研究[J/OL].計算機應用研究：1-7[2019-11-09].https：//doi.org/10.19734/j.issn.1001-3695.2019.01.0075.

[14]王萌，王亞剛，韓俊剛. 基于NDNN 的入侵檢測系統[J]. 微電子學與計算機，2018，35（7）：89-92.

[15]JAYARAM N D，MORSE P L R. Network Security-a Taxonomic View [C]//Proc of European Conference on Security & Detection. IET，2002.

[16]王昭，李翔宇，胡建斌. 一種基于多維屬性的網絡攻擊分類方法[J]. 微計算機應用，2009，30 （6）：24-29.

[17]AYROUR Y，RAJI A，NASSAR M. Modelling Cyber-attacks：a Survey Study [J]. Network Security，2018，2018（3）：13-19.

鐵道部科技研究開發計劃[2012X004-A]