面向取證的網(wǎng)絡(luò)攻擊者溯源分析技術(shù)研究綜述

王子晨 湯艷君 潘奕揚

(中國刑事警察學(xué)院公安信息技術(shù)與情報學(xué)院 沈陽 110031)

在互聯(lián)網(wǎng)技術(shù)飛速進(jìn)步和廣泛應(yīng)用的背景下,網(wǎng)絡(luò)安全已經(jīng)成為所有社會參與者必須高度重視的議題.隨著頻發(fā)的網(wǎng)絡(luò)安全事件對國家、社會和個體造成深重影響,作為網(wǎng)絡(luò)攻擊最頻繁受害的國家,中國正面臨前所未有的網(wǎng)絡(luò)空間安全挑戰(zhàn).因此,網(wǎng)絡(luò)攻擊溯源技術(shù)的研究與應(yīng)用顯得尤為重要.如果能定位到實際的網(wǎng)絡(luò)攻擊者則能制定更有針對性的防護(hù)措施,并進(jìn)一步通過法律手段對其進(jìn)行懲戒.網(wǎng)絡(luò)攻擊的溯源分析已然成為保護(hù)網(wǎng)絡(luò)安全的關(guān)鍵研究課題.

然而,網(wǎng)絡(luò)協(xié)議設(shè)計存在一定的問題,例如,TCP/IP協(xié)議沒有包含數(shù)據(jù)包來源的驗證功能,再加上攻擊者經(jīng)常利用虛假IP地址或者使用其他主機作為跳板進(jìn)行攻擊等方式來隱藏自身,導(dǎo)致僅通過源IP地址難以定位到真實的攻擊者,使得在當(dāng)前的互聯(lián)網(wǎng)架構(gòu)下追蹤攻擊源充滿了挑戰(zhàn).

本文旨在綜述現(xiàn)有的網(wǎng)絡(luò)攻擊者溯源分析技術(shù),包括基于流量、場景以及樣本的溯源分析技術(shù).探討它們的優(yōu)缺點以及在實際應(yīng)用中可能遇到的挑戰(zhàn),為維護(hù)網(wǎng)絡(luò)安全提供借鑒.

1 基于流量的溯源分析技術(shù)

基于流量的溯源分析是一種拓?fù)鋽?shù)據(jù)分析技術(shù),可用于識別網(wǎng)絡(luò)流量數(shù)據(jù)中的網(wǎng)絡(luò)模式,跟蹤網(wǎng)絡(luò)攻擊的來源.對于IP地址追蹤問題,Gao等人[1]將流量溯源技術(shù)分為日志記錄、流量包標(biāo)記、ICMP回溯和鏈路測試等方法.

1.1 基于日志記錄的溯源技術(shù)

日志記錄方法主要是利用路由器記錄一些遍歷信息,以驗證可疑數(shù)據(jù)包是否由已知路由器轉(zhuǎn)發(fā),從而得到攻擊路徑.該方法的優(yōu)點是可以利用存儲的信息進(jìn)行追蹤溯源.其缺點是流量包信息的全文日志會給轉(zhuǎn)發(fā)設(shè)備帶來巨大存儲開銷[2].

為減少存儲開銷,可以將全文日志進(jìn)行哈希處理.Snoeren等人[3]提出并改進(jìn)SPIE(source path isolation engine)追蹤系統(tǒng),利用布隆過濾器(Bloom filter)存儲記錄數(shù)據(jù)包的摘要.這種方法支持基于單個數(shù)據(jù)包的IP溯源.盡管使用哈希技術(shù)減少了日志的存儲容量,但在大規(guī)模高速網(wǎng)絡(luò)環(huán)境下流量包日志的存儲開銷仍然不少.

1.2 基于流量包標(biāo)記的溯源技術(shù)

流量包標(biāo)記方法將存儲開銷轉(zhuǎn)移到數(shù)據(jù)包上.它通過控制攻擊路徑上的部分或全部路由器,在數(shù)據(jù)包中寫入這些路由器的特定識別信息,從而恢復(fù)攻擊路徑.但此類方法存在的問題是,若系統(tǒng)或轉(zhuǎn)發(fā)設(shè)備被攻擊者控制,刪除或篡改包標(biāo)記信息,從而誤導(dǎo)攻擊路徑的重構(gòu).流量包標(biāo)記方法可分為概率包標(biāo)記法和確定包標(biāo)記法.

1.2.1 概率包標(biāo)記法

可以通過互聯(lián)網(wǎng)提供商訪問控制骨干網(wǎng)絡(luò)的多數(shù)路由器,并且修改路由器的標(biāo)準(zhǔn)IP協(xié)議,給多數(shù)骨干網(wǎng)絡(luò)路由器增加新的功能.Savage等人[4]提出概率包標(biāo)記法(probabilistic packet marking, PPM).它在網(wǎng)絡(luò)數(shù)據(jù)包中插入特殊標(biāo)記.當(dāng)攻擊流量經(jīng)過網(wǎng)絡(luò)節(jié)點時,這些節(jié)點會根據(jù)一定的概率選擇是否將標(biāo)記注入數(shù)據(jù)包.

概率包標(biāo)記法較為簡單,適合解決大流量的攻擊場景.但該方法只適用于單個攻擊源的情況,且攻擊路徑重建的計算開銷較大.

1.2.2 確定包標(biāo)記法

確定包標(biāo)記法(deterministic packet marking, DPM)是在溯源過程中,針對整個攻擊流量路徑的完全重構(gòu)并不是必要的情況下提出的.Belenky等人[5]提出并改進(jìn)了DPM算法,僅要求邊緣網(wǎng)絡(luò)節(jié)點在轉(zhuǎn)發(fā)時根據(jù)規(guī)則添加特定的標(biāo)記,而中間網(wǎng)絡(luò)節(jié)點無需進(jìn)行標(biāo)記.Sun等人[6]在應(yīng)對DDoS攻擊時將該方法拓展到IPv6協(xié)議上,簡化了重溯路徑的復(fù)雜度.Suresh等人[7]提出了按需標(biāo)記的DDoS攻擊處理方法,利用多個數(shù)據(jù)包檢測攻擊,并通過編碼在有限的空間內(nèi)存儲更多容量的信息.Vijayalakshmi等人[8]在DPM算法中提出了一種編碼方法,使用三位標(biāo)記碼記錄每個路由器預(yù)先創(chuàng)建的鄰居度表信息.

但是大部分基于流量包標(biāo)記的方法需要對部分網(wǎng)絡(luò)節(jié)點進(jìn)行掌控,而標(biāo)記的流量包也可能會暴露有關(guān)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)或路由器身份的敏感信息.因此,基于流量包標(biāo)記的溯源方法需要安全分析者和互聯(lián)網(wǎng)服務(wù)提供商之間加強合作.

1.3 基于ICMP回溯的溯源技術(shù)

基于ICMP回溯的溯源技術(shù)是利用網(wǎng)絡(luò)擁塞等原因?qū)е侣酚善髯园l(fā)產(chǎn)生目標(biāo)不可達(dá)的ICMP報文,來追蹤攻擊路徑.

Bellovin等人[9]提出了ICMP標(biāo)記算法,因網(wǎng)絡(luò)擁塞等原因發(fā)送的ICMP報文包含該節(jié)點及前后一跳節(jié)點的IP地址.收集足夠多的ICMP報文,可以重構(gòu)整個網(wǎng)絡(luò)攻擊的路徑.Thing等人[10]修改了這一方法,將標(biāo)記的內(nèi)容積累寫入數(shù)據(jù)包中.

Cheng等人[11]在報文中嵌入管理信息庫信息,提高了在溯源多個攻擊流量時的路徑重構(gòu)準(zhǔn)確性.Lee等人[12]研究了整個攻擊路徑信息的編碼方式,以提高重構(gòu)路徑的性能.Yao等人[13]提出一種被動追蹤的方法,在網(wǎng)絡(luò)終端部署監(jiān)控器可以在一定程度上構(gòu)造出攻擊流量路徑.但這種方法需要較多的攻擊流量,并且需要部署多個監(jiān)控器.

使用單個ICMP數(shù)據(jù)包回溯地址信息較為簡單.但問題是部分網(wǎng)絡(luò)設(shè)備可能會過濾或限制ICMP報文的傳遞,并且報文容易被偽造發(fā)送.

1.4 基于鏈路測試的溯源技術(shù)

基于鏈路測試的溯源技術(shù)對骨干網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和路由控制沒有過多要求.Burch等人[14]利用UDP泛洪的思想,依次對被攻擊的上游路由發(fā)送洪泛流量.若洪泛的某條鏈路上也存在攻擊流量,則該攻擊流量可能出現(xiàn)丟包現(xiàn)象,并據(jù)此推斷攻擊路徑.但該方法無法區(qū)分不同的攻擊來源,也會影響正常的數(shù)據(jù)傳遞.Lai等人[15]使用蟻群優(yōu)化思想,選擇網(wǎng)絡(luò)負(fù)載更重的路徑,并逐層推進(jìn),但同樣無法區(qū)分不同的攻擊來源.姜建國等人[16]提出了一種改進(jìn)方法,在了解骨干網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的前提下,每次都從受害者位置進(jìn)行洪泛測試.

由于真正的DDoS攻擊往往來自成百上千臺受感染主機,若對上游網(wǎng)絡(luò)中的路由器拓?fù)浣Y(jié)構(gòu)圖不了解,可以嘗試通過基于路由探測的工具軟件(如traceroute等)獲取信息[17].并由此轉(zhuǎn)化為已知網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的情況進(jìn)行分析.鏈路測試的溯源技術(shù)仍存在一些限制,例如它無法區(qū)分不同的攻擊源,且可能影響正常數(shù)據(jù)的傳輸.

2 基于場景的攻擊溯源技術(shù)

當(dāng)前,我國網(wǎng)絡(luò)空間安全形勢日益復(fù)雜,網(wǎng)絡(luò)攻擊者的攻擊手段也層出不窮.安全防御能力的提升需要根據(jù)不同的網(wǎng)絡(luò)攻擊場景,研究并實施不同的攻擊溯源技術(shù),做到精準(zhǔn)化應(yīng)對.結(jié)合威脅情報提出的主要攻擊場景[18],將攻擊溯源技術(shù)的應(yīng)用場景分為5類:匿名網(wǎng)絡(luò)攻擊、僵尸網(wǎng)絡(luò)攻擊、跳板攻擊、局域網(wǎng)攻擊和高級可持續(xù)威脅攻擊.

2.1 匿名網(wǎng)絡(luò)攻擊溯源技術(shù)

匿名網(wǎng)絡(luò)如Tor網(wǎng)絡(luò)[19]為用戶提供了一種保護(hù)層,不暴露自己的真實身份和位置.然而這種匿名性也被攻擊者利用,從而避開溯源分析.由于Tor網(wǎng)絡(luò)的消息經(jīng)過多層加密及其自組織管理模式,使得常規(guī)的IP流量溯源分析方法難以使用.因此,需要研究特定的溯源技術(shù).陳周國等人[20]將匿名網(wǎng)絡(luò)攻擊溯源方法分為調(diào)制追蹤和滲透追蹤.

2.1.1 調(diào)制追蹤

調(diào)制追蹤在數(shù)據(jù)包中加入水印等標(biāo)識特征,關(guān)聯(lián)分析數(shù)據(jù)流量以識別攻擊流量的來源.

Yu等人[21]利用直接序列擴頻(DSSS)技術(shù)擴頻水印信息干擾發(fā)件人的流量,并微調(diào)其速率,僅接收方可識別通信關(guān)系.通過在包終止時間字段中寫入IP地址hash值標(biāo)記數(shù)據(jù)包,從而推算攻擊流量的來源.Ling等人[22]利用數(shù)據(jù)包的發(fā)送頻率作為特征.卓中流[23]提出流量識別方法和網(wǎng)站指紋識別算法追蹤接收方.何高峰等人[24]通過觀察數(shù)據(jù)包處理速度變慢的節(jié)點來追蹤溯源.但這些方法僅適用于低延時匿名網(wǎng)絡(luò),高延時網(wǎng)絡(luò)可能導(dǎo)致流水印信息丟失.

2.1.2 滲透追蹤

滲透追蹤利用網(wǎng)絡(luò)滲透技術(shù)控制匿名網(wǎng)絡(luò)節(jié)點,破壞通信或利用協(xié)議漏洞,通過觀察網(wǎng)絡(luò)通信變化確定相關(guān)性.

Pries等人[25]借助重放攻擊破壞Tor網(wǎng)絡(luò)的匿名性.但可供于關(guān)聯(lián)的信息太少,方法的準(zhǔn)確性較低.Qin等人[26]分析了Tor項目團(tuán)隊發(fā)現(xiàn)的關(guān)聯(lián)攻擊[27],修改從客戶端派生的單元格序列的命令字段以嵌入信號序列,檢測出口Tor路由器上與嵌入信號序列一致的信號序列.

若能獲取攻擊者的入口Tor路由器日志文件,Pei等人[28]提出一種數(shù)據(jù)包檢測方法.該方法使用數(shù)據(jù)包傳輸和中繼時間的統(tǒng)計數(shù)據(jù),通過分析入口Tor路由器的日志文件來確定與受害服務(wù)器上觀察到的請求和響應(yīng)配對相對應(yīng)的數(shù)據(jù)包.

2.2 僵尸網(wǎng)絡(luò)攻擊溯源技術(shù)

僵尸網(wǎng)絡(luò)(Botnet)是由一組受攻擊者控制的被僵尸程序感染的計算機組成的網(wǎng)絡(luò).從流量特征來看,攻擊數(shù)據(jù)包來自受感染的主機,而無法識別真正的攻擊源.本文在方濱興等人[29]和郭曉軍等人[30]研究的基礎(chǔ)上,將僵尸網(wǎng)絡(luò)攻擊溯源技術(shù)總結(jié)為2類:流量特征追蹤和滲透控制追蹤.

2.2.1 流量特征追蹤

流量特征追蹤主要通過分析網(wǎng)絡(luò)流量數(shù)據(jù)中的特征來追蹤僵尸主機.于曉聰?shù)热薣31]分析不同類型僵尸網(wǎng)絡(luò)的網(wǎng)絡(luò)流量特征,快速檢測出可疑的僵尸主機.Takemori等人[32]提出了基于主機的追蹤系統(tǒng),在每臺主機和服務(wù)器上安裝網(wǎng)絡(luò)監(jiān)控服務(wù),追溯從受害主機到Bot主機再到C&C服務(wù)器的路徑.Ramsbrock等人[33]針對基于IRC的僵尸網(wǎng)絡(luò)提出了一種流量水印技術(shù),通過改變數(shù)據(jù)包長度或發(fā)送間隔時間溯源.夏秦等人[34]通過收集域名服務(wù)器的查詢流量以及域名反查的方式來發(fā)現(xiàn)更多的僵尸主機.

2.2.2 滲透控制追蹤

僵尸程序與其他程序一樣也會存在各種漏洞.雖然僵尸網(wǎng)絡(luò)中通信通常是加密的,但Lin等人[35]設(shè)計獲取到Bot主機內(nèi)存中存儲的通信加密密鑰,并分析攻擊程序的漏洞,進(jìn)一步在攻擊者主機上執(zhí)行命令,發(fā)送給攻擊者主機信息給安全人員.

蜜罐技術(shù)是通過設(shè)計誘餌誘導(dǎo)攻擊者,從而捕獲和分析攻擊行為的方法.Yi等人[36]提出使用蜜罐技術(shù)主動感染僵尸程序,成為僵尸網(wǎng)絡(luò)的一部分,從而轉(zhuǎn)化為通過流量特征追蹤的方式.

2.3 跳板攻擊溯源技術(shù)

跳板攻擊(bastion host attack)是指攻擊者入侵并控制位于目標(biāo)網(wǎng)絡(luò)邊界的跳板主機,進(jìn)一步攻擊目標(biāo)網(wǎng)絡(luò)內(nèi)部的其他主機或系統(tǒng).對于被攻擊主機而言,其只能觀察到攻擊數(shù)據(jù)包的跳板主機地址,而不能識別到真正的攻擊源頭.

識別真正的攻擊源首先需要檢測本地網(wǎng)絡(luò)環(huán)境中是否存在跳板主機.Chen等人[37]通過對比數(shù)據(jù)包中的明文信息確定不同數(shù)據(jù)包中是否包含相同的文本.如果數(shù)據(jù)進(jìn)行了加密,Zhang等人[38]通過分析流量的時序特征,關(guān)聯(lián)數(shù)據(jù)傳輸?shù)臅r間間隔周期,將流入和流出流量以一定方式關(guān)聯(lián)起來.孫奕等人[39]根據(jù)直接訪問相鄰主機的處理時延遠(yuǎn)小于將相鄰主機當(dāng)作跳板訪問的處理時延這一特性,通過比較同一連接運輸層的RTT往返時間間隔,從而檢測目標(biāo)是否為跳板主機.該方法需要保證網(wǎng)絡(luò)環(huán)境相對穩(wěn)定.

如果已發(fā)現(xiàn)本地網(wǎng)絡(luò)中存在跳板主機,Wang等人[40]在回傳給攻擊者的數(shù)據(jù)包添加水印特征,并在回傳路徑上部署傳感器.殷樹剛等人[41]根據(jù)發(fā)現(xiàn)的各級跳板主機,利用域名和SSL證書信息進(jìn)行反查,綜合已知威脅情報獲得攻擊者組織信息.

若無法在網(wǎng)絡(luò)上部署傳感器,可以借助僵尸網(wǎng)絡(luò)攻擊的溯源思想,在跳板主機回傳的消息中插入可執(zhí)行代碼,但這種方法的難度同樣較大.

2.4 局域網(wǎng)攻擊溯源技術(shù)

攻擊者可能使用NAT技術(shù)潛伏在復(fù)雜的私有網(wǎng)絡(luò)中.但NAT技術(shù)僅僅對IP地址和端口進(jìn)行轉(zhuǎn)換,不修改數(shù)據(jù)包的內(nèi)容和大部分頭部信息.

在有線網(wǎng)絡(luò)中,根據(jù)存儲在IP數(shù)據(jù)包頭部的序列號信息就可以關(guān)聯(lián)公私網(wǎng)數(shù)據(jù)流量,進(jìn)一步得知攻擊者的私網(wǎng)IP及MAC地址.Cohen[42]利用Http協(xié)議報頭中的時間戳或Cookie輔助判斷攻擊主機的同一性.在2層網(wǎng)絡(luò)中,Hazeyama等人[43]在數(shù)據(jù)包中加入跟蹤信息,標(biāo)識攻擊數(shù)據(jù)包所經(jīng)過的葉子路由器的接口和所經(jīng)過的2層交換機的入口端.

在無線網(wǎng)絡(luò)中,IP數(shù)據(jù)包的頭部會被加密.Chen等人[44]利用數(shù)據(jù)包的長度控制外網(wǎng)的數(shù)據(jù)流,向數(shù)據(jù)流中添加特征水印,并在內(nèi)網(wǎng)中檢測數(shù)據(jù)流的特征水印.在大型公共場合的無線網(wǎng)絡(luò)環(huán)境中,若已知攻擊主機MAC地址,Wang等人[45]提出的3維定位方法使用定向天線識別源MAC地址發(fā)送的數(shù)據(jù)幀,并通過多點測量數(shù)據(jù)信號強度確定其物理地址.

2.5 高級可持續(xù)攻擊溯源技術(shù)

高級可持續(xù)威脅(advanced persistent threat)攻擊活動通常利用多種手段來實施,有的APT攻擊甚至可能潛伏長達(dá)數(shù)年[46].溯源目標(biāo)不再是將個人而是將整個群體與網(wǎng)絡(luò)攻擊進(jìn)行聯(lián)系[47].關(guān)于攻擊組織的溯源更多依賴綜合情報進(jìn)行推理驗證[48].基于不同的溯源思路,主流的溯源模型可以分為分層溯源模型、鉆石模型和Q模型.

2.5.1 分層溯源模型

分層溯源模型由Cohen等人[49]首次提出,陳周國等人[48]進(jìn)一步明確了每個層次的目標(biāo)和溯源問題.模型包括4個層次:歸屬直接發(fā)起網(wǎng)絡(luò)攻擊的主機、確定控制網(wǎng)絡(luò)攻擊的主機、追蹤真正的攻擊者以及追蹤策劃網(wǎng)絡(luò)攻擊的組織.劉潮歌等人[50]構(gòu)建了網(wǎng)絡(luò)服務(wù)、主機終端、文件數(shù)據(jù)、控制信道、行為特征和挖掘分析6個層次的溯源模型.

2.5.2 鉆石模型

鉆石模型由Caltagirone等人[51]提出,將情報實時集成到分析平臺中,自動關(guān)聯(lián)、分類和預(yù)測事件,同時規(guī)劃和實施緩解策略,有4個核心特征:對手、能力、基礎(chǔ)設(shè)施和受害者.Pahi等人[52]針對證據(jù)可信度和模型普適性的問題,拆分組合攻擊和攻擊者的分析,改進(jìn)為網(wǎng)絡(luò)溯源模型(CAM).

2.5.3 Q模型

Rid等人[53]研究了溯源的復(fù)雜性,引入戰(zhàn)略、作戰(zhàn)、戰(zhàn)術(shù)、技術(shù)和溝通層面,認(rèn)為溯源是雙向的:戰(zhàn)略層和操作層可以為隨后的技術(shù)分析提供信息,反之亦然.模型分析了溯源過程中不考慮事件響應(yīng)和溯源的戰(zhàn)略和技術(shù)方面而結(jié)合技術(shù)與社會因素的方法.并對如何執(zhí)行溯源過程、關(guān)注社會因素、檢測攻擊動機給出了說明.

此外,安全廠商為了更好地應(yīng)對新威脅和新網(wǎng)絡(luò)安全格局,提出了不同的方法.洛克希德·馬丁公司提出描述網(wǎng)絡(luò)攻擊過程的網(wǎng)絡(luò)攻擊鏈(cyber kill chain)模型.模型分為目標(biāo)偵查、武器生產(chǎn)、載荷投遞、突防利用、安裝植入、命令控制和任務(wù)執(zhí)行等步驟.FireEye公司提出結(jié)合情報、技術(shù)和經(jīng)驗的自適應(yīng)商業(yè)威脅模型,并將鍵盤布局、樣本信息、內(nèi)嵌字體、DNS信息、語言文字、遠(yuǎn)控工具配置和行為模式作為溯源線索.

3 基于樣本的溯源分析技術(shù)

網(wǎng)絡(luò)攻擊會留下痕跡,如植入后門程序、留下惡意樣本.根據(jù)分析和對比惡意樣本的生成、傳播規(guī)律以及樣本之間的關(guān)聯(lián)性,可以用于攻擊溯源[54].宋文納等人[55]總結(jié)了學(xué)術(shù)界和產(chǎn)業(yè)界的溯源方法,通常分為靜態(tài)溯源分析技術(shù)和動態(tài)溯源分析技術(shù).

3.1 靜態(tài)溯源分析技術(shù)

樣本的靜態(tài)溯源分析無須實際執(zhí)行惡意代碼,而且速度相對較快,是溯源工作的首選.樣本的同源性可以通過分析代碼的相似性來獲取.靜態(tài)分析可以通過代碼結(jié)構(gòu)以及其生成的各種圖形(如控制流圖、函數(shù)調(diào)用圖、數(shù)據(jù)流圖等)來提取特征[56]并進(jìn)行同源性分析.

3.1.1 代碼結(jié)構(gòu)溯源

對樣本的靜態(tài)溯源分析通常需要反匯編程序處理,并在此基礎(chǔ)上提取其有用特征信息.Alazab[57]使用IDA Pro進(jìn)行反編譯,使用最近鄰算法對API調(diào)用出現(xiàn)順序和頻率聚類判斷樣本的相似性.

Nataraj等人[58]首次利用灰度圖對惡意代碼進(jìn)行可視化,在不進(jìn)行反匯編和執(zhí)行的前提下對惡意軟件家族分類.Sree等人[59]借助視覺相似性的思想,使用孿生神經(jīng)網(wǎng)絡(luò)(siamese networks)通過密鑰提取、n-gram特征提取、序列向量改進(jìn)了這一思想.

喬延臣等人[60]以函數(shù)為單位,利用simhash值在海量代碼中快速溯源相似函數(shù)代碼塊,依據(jù)代碼塊跳轉(zhuǎn)關(guān)系判定相似情況,并溯源至對應(yīng)樣本.

3.1.2 生成圖溯源

控制流圖(control flow graph, CFG)可以體現(xiàn)代碼之間的跳轉(zhuǎn)關(guān)系.Liu等人[61]收集了網(wǎng)絡(luò)攻擊組織相關(guān)聯(lián)的惡意代碼樣本集,結(jié)合它們的控制流圖和反匯編代碼生成嵌入,使用深度學(xué)習(xí)模型對來自不同組織的惡意代碼生成分類模型.由于并非所有編譯后代碼都能實現(xiàn)惡意功能,攻擊者也可能插入虛假代碼對抗安全分析.梅瑞等人[62]在此基礎(chǔ)上分析二進(jìn)制代碼的控制依賴關(guān)系和數(shù)據(jù)依賴關(guān)系,對經(jīng)典程序切片算法作了向二進(jìn)制代碼的改進(jìn).

代碼混淆技術(shù)可以顯著改變代碼的結(jié)構(gòu),影響二進(jìn)制分析工具的準(zhǔn)確性,但通常不會改變代碼語義.Alrabaee等人[63]使用數(shù)據(jù)流分析提取寄存器中的語義流及其控制組件,合成為語義流圖(semantic flow graph, SFG)的新表示,并利用圖中的關(guān)系,使用最大公共子圖算法判斷文件之間的相似性.

程序的功能大多由其調(diào)用的庫或系統(tǒng)調(diào)用決定,因此其函數(shù)調(diào)用圖(function call graph, FCG)可以看成程序行為的近似.Xin等人[64]認(rèn)為同源代碼派生出來的惡意軟件變體在函數(shù)調(diào)用圖上特征是相似的,并測試了方法的可行性.

由于求解子圖同構(gòu)問題的計算復(fù)雜度較高,導(dǎo)致基于圖結(jié)構(gòu)特征的樣本溯源分析效率較低.Hassen等人[65]將函數(shù)調(diào)用圖向量使用函數(shù)聚類進(jìn)行線性表示,減少了模型在計算時的開銷.趙炳麟等人[66]將API調(diào)用圖的特征導(dǎo)入卷積神經(jīng)網(wǎng)絡(luò)學(xué)習(xí).

3.1.3 編寫特征溯源

由于樣本代碼編寫者的教育程度、熟練程度以及所使用工具不同,往往會有不同的編寫習(xí)慣,留下特殊的編碼風(fēng)格.Caliskan等人[67]研究了源代碼的歸屬問題,使用隨機森林和抽象語法樹的方法學(xué)習(xí)源代碼中的編碼風(fēng)格,并發(fā)現(xiàn)由熟練程序員編寫的或者編寫復(fù)雜度高的代碼更容易溯源到其創(chuàng)作者.羅文華[68]通過歸納惡意程序反匯編代碼一般規(guī)律,發(fā)現(xiàn)一些惡意程序會在程序中寫入IP地址或域名.

但靜態(tài)溯源技術(shù)不會觸發(fā)樣本的行為,攻擊者為了防止自己的攻擊程序被檢測到,可能會使用加殼、加密、混淆等保護(hù)技術(shù)[69],降低內(nèi)部惡意代碼被檢測出的可能性,使靜態(tài)溯源分析技術(shù)失效.

3.2 動態(tài)溯源分析技術(shù)

動態(tài)溯源方法需要搭建一個代碼運行的沙箱環(huán)境,通過執(zhí)行惡意軟件樣本,觀察其在運行過程中的行為來分析其性質(zhì)和功能.這種方法可以揭示如反向工程隱藏的惡意行為.

3.2.1 動態(tài)調(diào)用關(guān)系溯源

通過捕獲API調(diào)用的模式和依賴關(guān)系可以反映出惡意軟件的行為和結(jié)構(gòu).Wu等人[70]利用數(shù)據(jù)流應(yīng)用API作為分類特征來檢測Android惡意軟件.Cho等人[71]通過檢測API調(diào)用序列的公共部分判斷樣本的相似性,并發(fā)現(xiàn)如果API調(diào)用序列的長度太長,則模型性能會非常差.譚楊等人[72]根據(jù)樣本的API序列特征和字節(jié)熵特征,有效地區(qū)分不同惡意軟件家族.Mu等人[73]提取加權(quán)Android惡意軟件中上下文API依賴圖作為程序語義來構(gòu)建特征,使用圖形相似性度量識別樣本之間的相似度.但API調(diào)用具有一定的通用性,在表征惡意樣本個性化特征方面存在短板[74].

3.2.2 內(nèi)存分析溯源

內(nèi)存的易失性會導(dǎo)致一些網(wǎng)絡(luò)入侵痕跡的消逝.V?mel等人[75]通過歸納內(nèi)存鏡像的制作和分析方法,指出內(nèi)存中加密密鑰、進(jìn)程、注冊表和網(wǎng)絡(luò)流量信息有助于網(wǎng)絡(luò)攻擊現(xiàn)場的復(fù)原重建以及證據(jù)保留.Sihwail等人[76]提出基于簽名的方法,可以快速識別已知的惡意樣本.

對于樣本的溯源分析雖然有可能無法追溯到某個特定的攻擊者,但是其同源性溯源的思想,可以為溯源網(wǎng)絡(luò)攻擊組織機構(gòu)提供幫助.王津等人[77]融合多源威脅情報和本地沙箱告警日志構(gòu)建并豐富攻擊組織知識庫,從而追蹤攻擊組織的攻擊事件.Li等人[78]結(jié)合威脅情報和入侵殺傷鏈模型進(jìn)行分析.

4 結(jié) 語

網(wǎng)絡(luò)攻擊溯源分析技術(shù)具有多樣性和復(fù)雜性.在面對不同類型的網(wǎng)絡(luò)攻擊和惡意行為時,不同的溯源方法和技術(shù)可以提供有力的支持和幫助.然而,現(xiàn)有技術(shù)仍然面臨著許多挑戰(zhàn),包括數(shù)據(jù)隱私保護(hù)、溯源準(zhǔn)確性、效率和可擴展性等方面的問題.未來的研究方向應(yīng)該集中在改進(jìn)溯源算法和模型、增強網(wǎng)絡(luò)安全防御能力以及加強威脅情報合作與信息共享等方面,以進(jìn)一步提升網(wǎng)絡(luò)攻擊溯源分析技術(shù)的效能和可靠性,保障網(wǎng)絡(luò)空間的安全和穩(wěn)定.