專(zhuān)利名稱(chēng):通信網(wǎng)惡意代碼攻擊效果評(píng)估方法
技術(shù)領(lǐng)域:
本發(fā)明提出了一個(gè)網(wǎng)絡(luò)攻擊效果評(píng)估系統(tǒng)����,主要解決目前對(duì)各種網(wǎng)絡(luò)攻擊的效果 缺乏定性�、定量評(píng)估方法以及攻擊行為有效性和網(wǎng)絡(luò)系統(tǒng)安全性缺少檢測(cè)手段的問(wèn)題,屬 于信息安全領(lǐng)域問(wèn)題�����。
背景技術(shù):
隨著通信網(wǎng)絡(luò)技術(shù)的飛速發(fā)展�,基于IP的分組交換網(wǎng)日益發(fā)展壯大。網(wǎng)絡(luò)業(yè)務(wù)數(shù) 據(jù)化���,網(wǎng)絡(luò)技術(shù)IP分組化,通信業(yè)務(wù)融化已經(jīng)成為通信網(wǎng)演進(jìn)的主流方向����。計(jì)算機(jī)技術(shù)的 發(fā)展和基于IP的分組交換網(wǎng)的擴(kuò)大,給整個(gè)社會(huì)帶來(lái)了日新月異的變化�,促進(jìn)了整個(gè)社會(huì) 的進(jìn)化,然而網(wǎng)絡(luò)技術(shù)的飛速發(fā)展也帶來(lái)了很多安全問(wèn)題。在^ternet安全問(wèn)題中��,惡意 代碼造成的經(jīng)濟(jì)損失占有最大的比例���。惡意代碼是一種程序�,它通過(guò)把代碼在不被察覺(jué)的 情況下鑲嵌到另一段程序中���,從而達(dá)到破壞被感染電腦數(shù)據(jù)�、運(yùn)行具有入侵性或破壞性的 程序���、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的�。從第一個(gè)病毒產(chǎn)生至今��,惡意代碼的 數(shù)量與危害都得到了極大的發(fā)展���。以網(wǎng)絡(luò)為主要傳播途徑�����,惡意代碼向智能化�����、人性化����、隱 蔽化、多樣化�、網(wǎng)絡(luò)化和主動(dòng)攻擊性方向發(fā)展,其破壞性也更強(qiáng)����。惡意代碼已經(jīng)成為信息戰(zhàn) 的主要攻擊手段之一,網(wǎng)絡(luò)安全問(wèn)題已經(jīng)上升到了國(guó)家安全的高度����。網(wǎng)絡(luò)攻擊效果評(píng)估就是對(duì)網(wǎng)絡(luò)攻擊行為所能達(dá)到的攻擊效果進(jìn)行綜合評(píng)判的過(guò) 程。其主要是研究在復(fù)雜的網(wǎng)絡(luò)環(huán)境下�����,如何對(duì)網(wǎng)絡(luò)攻擊的效果給出定性或定量的評(píng)估�,并 以此來(lái)檢驗(yàn)攻擊行為的有效性和網(wǎng)絡(luò)系統(tǒng)的安全性。網(wǎng)絡(luò)攻擊效果綜合評(píng)估技術(shù)的研究具 有重要軍事意義一方面在網(wǎng)絡(luò)攻擊武器研發(fā)階段�,需要一種可靠的檢測(cè)和評(píng)估手段來(lái)對(duì) 網(wǎng)絡(luò)攻擊武器的作戰(zhàn)能力做出比較客觀的評(píng)價(jià),指導(dǎo)其研制的不斷改進(jìn)�����;另一方面�,目前廣 泛使用的網(wǎng)絡(luò)信息系統(tǒng),也迫切需要一套有效的網(wǎng)絡(luò)攻擊評(píng)估準(zhǔn)則和檢測(cè)方法來(lái)促進(jìn)其生 存能力的提升���。由于攻擊效果是攻擊者作用于被攻擊系統(tǒng)所產(chǎn)生的一種效應(yīng)��,因此研究網(wǎng)絡(luò)攻擊 效果評(píng)估離不開(kāi)被攻擊系統(tǒng)的參與��,就不可避免地需要構(gòu)建相應(yīng)的實(shí)驗(yàn)環(huán)境�����。正是因?yàn)榫W(wǎng) 絡(luò)攻擊效果評(píng)估問(wèn)題的這一特殊性��,限制了其研究和發(fā)展���,目前國(guó)內(nèi)外關(guān)于網(wǎng)絡(luò)攻擊效果 評(píng)估技術(shù)的研究還不多,公開(kāi)發(fā)表的研究成果亦不多見(jiàn)����,主要有基于網(wǎng)絡(luò)信息熵的評(píng)估技 術(shù)、基于系統(tǒng)安全層次分析的安全評(píng)估框架和基于指標(biāo)分析的網(wǎng)絡(luò)攻擊效果綜合評(píng)估技術(shù) 等��。因此�,研究惡意代碼效果評(píng)估的相關(guān)技術(shù)具有重要的社會(huì)意義�、軍事意義和學(xué)術(shù)意義�, 同時(shí)也具有很大的挑戰(zhàn)性。
發(fā)明內(nèi)容
技術(shù)問(wèn)題本發(fā)明的目的是設(shè)計(jì)并實(shí)現(xiàn)一個(gè)網(wǎng)絡(luò)攻擊效果評(píng)估系統(tǒng)���,對(duì)特定的網(wǎng) 絡(luò)攻擊行為進(jìn)行定性����、定量評(píng)估���,以檢測(cè)惡意代碼攻擊行為的有效性���。較之其他網(wǎng)絡(luò)攻擊效 果評(píng)估方法,該系統(tǒng)從定性和定量?jī)蓚€(gè)方面對(duì)攻擊效果進(jìn)行全面評(píng)估����,且方法簡(jiǎn)單,可行性 強(qiáng)���。
技術(shù)方案本發(fā)明的設(shè)計(jì)方案強(qiáng)調(diào)攻擊效果的定性�、定量評(píng)估����。一方面引入了破壞 能力分級(jí)的設(shè)計(jì)思想���,另一方面利用破壞效果分類(lèi)�����、指標(biāo)化的設(shè)計(jì)方法�����,將各種隸屬不同攻 擊類(lèi)型的破壞效果細(xì)化為多個(gè)指標(biāo)����,在實(shí)驗(yàn)中測(cè)試各指標(biāo)值并對(duì)其歸一化、綜合���,以量化網(wǎng) 絡(luò)攻擊的破壞效果��。本發(fā)明的一種通信網(wǎng)惡意代碼攻擊效果評(píng)估方法具體如下1)攻擊效果定性評(píng)估依據(jù)分級(jí)規(guī)則�,將惡意代碼攻擊行為按照其對(duì)受害主機(jī)與 受害網(wǎng)絡(luò)的危害程度分級(jí)��,破壞等級(jí)分別為監(jiān)控�、竊取、系統(tǒng)破壞�����、局域網(wǎng)絡(luò)攻擊和大規(guī)模 網(wǎng)絡(luò)攻擊;根據(jù)提出的預(yù)估算法分析攻擊策略���,預(yù)估攻擊策略的潛在攻擊能力�,并與所制定 的攻擊等級(jí)進(jìn)行匹配�,確定攻擊策略可達(dá)到的攻擊等級(jí),以此實(shí)現(xiàn)對(duì)惡意代碼攻擊效果的 定性評(píng)估��;2)攻擊效果定量評(píng)估首先對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊行為進(jìn)行了統(tǒng)計(jì)研究����,并將其分為 獲取信息類(lèi)攻擊、篡改信息類(lèi)攻擊����、利用服務(wù)類(lèi)攻擊、拒絕服務(wù)類(lèi)攻擊和獲取權(quán)限類(lèi)攻擊五 類(lèi)�����;然后通過(guò)分析各類(lèi)攻擊的特點(diǎn)����、目標(biāo)等得到用于詳細(xì)描述各類(lèi)攻擊特性的指標(biāo)��;結(jié)合 攻擊者的意圖����,進(jìn)一步確定各指標(biāo)對(duì)攻擊破壞效果期望值的貢獻(xiàn)程度���,也即指標(biāo)權(quán)重;最 后���,利用數(shù)學(xué)的方法對(duì)攻擊反饋的指標(biāo)值進(jìn)行歸一化處理以及綜合計(jì)算����,得到量化的攻擊 效果評(píng)估值����。所述攻擊效果定性評(píng)估的具體步驟如下
①設(shè)置一個(gè)標(biāo)記變量并設(shè)初值為0 ;②遍歷某一攻擊方案中每一個(gè)原子攻擊的后果集�;③匹配分級(jí)策略中的攻擊等級(jí),若發(fā)現(xiàn)高等級(jí)的破壞效果����,則修改標(biāo)記變量為該 攻擊等級(jí);否則返回②��;④遍歷完所有原子攻擊,得到攻擊效果預(yù)估等級(jí)�。所述攻擊效果定量評(píng)估的具體步驟如下①選取評(píng)估指標(biāo)——根據(jù)攻擊所屬類(lèi)別從指標(biāo)體系庫(kù)中選取合適的指標(biāo),②確定指標(biāo)權(quán)重——使用Delphi法確定各指標(biāo)的權(quán)重�����,③采集反饋數(shù)據(jù)——從搜集到的目標(biāo)信息以及反饋的攻擊日志中分析出攻擊前 后的指標(biāo)值����,④計(jì)算攻擊效果綜合值——包括兩個(gè)步驟一是將測(cè)試指標(biāo)歸一化,二是計(jì)算綜 合評(píng)估結(jié)果值���。有益效果本發(fā)明方案提出了一個(gè)通信網(wǎng)惡意代碼破壞效果評(píng)估系統(tǒng)����,旨在通過(guò) 定性���、定量?jī)煞N方式對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行合理有效的評(píng)估�。該系統(tǒng)主要具有如下優(yōu)點(diǎn)(1)全面性破壞效果預(yù)估完成對(duì)初始攻擊方案的分析����,預(yù)估初始攻擊方案的潛 在攻擊能力,即攻擊系統(tǒng)可以對(duì)目標(biāo)計(jì)算機(jī)及網(wǎng)絡(luò)實(shí)施的最大綜合性破壞能力。在攻擊發(fā) 起前對(duì)攻擊行為進(jìn)行定性評(píng)估�����,驗(yàn)證攻擊方案的可行性���。而攻擊結(jié)束后的效果評(píng)估則進(jìn)一 步量化了破壞能力���,攻擊者可以直觀清晰的驗(yàn)證攻擊達(dá)到的破壞程度。(2)智能化本系統(tǒng)借鑒專(zhuān)家系統(tǒng)的思想�,各步驟實(shí)施均由計(jì)算機(jī)自動(dòng)完成�����,很少 需要攻擊者的人為參與����。(3)具有良好的可擴(kuò)展性本系統(tǒng)具有良好的可擴(kuò)展性,各步驟使用模塊化實(shí)現(xiàn)���, 當(dāng)有新的攻擊類(lèi)型出現(xiàn)時(shí)�,只要加入新攻擊類(lèi)型的實(shí)現(xiàn)模塊����。
圖1是網(wǎng)絡(luò)攻擊效果評(píng)估系統(tǒng)結(jié)構(gòu)�����。表明本系統(tǒng)包括破壞能力預(yù)估跟破壞效果評(píng) 估兩個(gè)模塊���。圖2是破壞能力預(yù)估算法。表明產(chǎn)生預(yù)估等級(jí)的依據(jù)與方法��。圖3是分類(lèi)的攻擊類(lèi)型及各類(lèi)型相應(yīng)的指標(biāo)圖�。表明網(wǎng)絡(luò)攻擊類(lèi)型的大致分類(lèi)以 及用于衡量個(gè)類(lèi)型攻擊效果的指標(biāo)。圖4是攻擊效果評(píng)估流程示意圖��。表示進(jìn)行攻擊效果評(píng)估的各步驟及流程��。
具體實(shí)施例方式一���、系統(tǒng)結(jié)構(gòu)本系統(tǒng)在結(jié)構(gòu)上分為兩個(gè)部分破壞能力預(yù)估和攻擊效果評(píng)估����。前者在網(wǎng)絡(luò)攻擊 開(kāi)始前�,對(duì)既定攻擊策略進(jìn)行定性評(píng)估。后者在網(wǎng)絡(luò)攻擊結(jié)束后�����,根據(jù)反饋的指標(biāo)參數(shù),計(jì) 算綜合評(píng)估值���,對(duì)本次網(wǎng)絡(luò)攻擊進(jìn)行定量評(píng)估��。破壞能力預(yù)估該部分根據(jù)提出的破壞能力預(yù)估算法和破壞能力分級(jí)策略�����,主要 完成對(duì)攻擊方案的分析�,預(yù)估攻擊方案的潛在攻擊能力�,即定性評(píng)估攻擊方案可以對(duì)目標(biāo) 計(jì)算機(jī)及網(wǎng)絡(luò)實(shí)施的最大綜合性破壞能力。攻擊效果評(píng)估該部分包括評(píng)估指標(biāo)選取模塊���、指標(biāo)權(quán)重確定模塊、數(shù)據(jù)采集模塊 以及攻擊效果綜合模塊��,主要根據(jù)網(wǎng)絡(luò)攻擊行為的特征將其分類(lèi)���,選取合適的指標(biāo)�����,采集指 標(biāo)值并計(jì)算來(lái)量化某次網(wǎng)絡(luò)攻擊的效果����,檢測(cè)其攻擊行為的有效性跟強(qiáng)度,為攻擊者制定 更有效的攻擊策略提供依據(jù)�����。二��、方法流程(1)破壞能力預(yù)估破壞能力預(yù)估算法首先設(shè)置一個(gè)標(biāo)記變量并設(shè)初值為0����,然后遍歷某一攻擊方 案中每一個(gè)原子攻擊的后果集,并匹配分級(jí)策略中的攻擊等級(jí)�,若發(fā)現(xiàn)高等級(jí)的破壞效果, 則修改標(biāo)記變量為該攻擊等級(jí)�����,直至遍歷完攻擊方案中的所有原子攻擊�。(2)破壞效果評(píng)估破壞效果評(píng)估的工作流程如下①選取評(píng)估指標(biāo)——每個(gè)網(wǎng)絡(luò)攻擊預(yù)案作用于目標(biāo)環(huán)境的攻擊效果是由評(píng)估指 標(biāo)體系庫(kù)中的相應(yīng)指標(biāo)來(lái)測(cè)度的,由于網(wǎng)絡(luò)攻擊的復(fù)雜性和多樣性�,不同的攻擊行為必然 需要不同的指標(biāo),所以指標(biāo)選取模塊就是根據(jù)攻擊分類(lèi)從指標(biāo)體系庫(kù)中選取合適的指標(biāo)�����。②確定指標(biāo)權(quán)重——因?yàn)楦髦笜?biāo)對(duì)攻擊效果的影響度不同,所以需要通過(guò)指標(biāo)權(quán) 重來(lái)區(qū)分其對(duì)攻擊效果的貢獻(xiàn)程度���。本發(fā)明采用Delphi法確定各指標(biāo)的權(quán)重��。Delphi法也稱(chēng)專(zhuān)家調(diào)查法�����,是一種采用通訊方式分別將所需解決的問(wèn)題單獨(dú)發(fā)送 到各個(gè)專(zhuān)家手中�����,征詢(xún)意見(jiàn)��,然后網(wǎng)收匯總?cè)繉?zhuān)家的意見(jiàn)���,并整理出綜合意見(jiàn)��。隨后將該 綜合意見(jiàn)和預(yù)測(cè)問(wèn)題再分別反饋給專(zhuān)家�,再次征詢(xún)意見(jiàn),各專(zhuān)家依據(jù)綜合意見(jiàn)修改自己原 有的意見(jiàn)��,然后再匯總。這樣多次反復(fù)����,逐步取得比較一致的預(yù)測(cè)結(jié)果的決策方法。本方法中專(zhuān)家的評(píng)判遵循以下原則一是攻擊模型的預(yù)期意圖���,二是模型的作用 對(duì)象�。
③采集反饋數(shù)據(jù)——從搜集到的目標(biāo)信息以及反饋的攻擊日志中分析出攻擊前 后的指標(biāo)值����。④計(jì)算攻擊效果綜合值——包括兩個(gè)步驟一是將測(cè)試指標(biāo)歸一化,二是計(jì)算綜 合評(píng)估結(jié)果值��?���!鲋笜?biāo)歸一化其目的是為了消除原始測(cè)量數(shù)據(jù)之間由于評(píng)估指標(biāo)的量綱不同而 存在的差異?����!鼍W(wǎng)絡(luò)攻擊效果綜合采用加權(quán)思想����,對(duì)于簡(jiǎn)單攻擊�����,通過(guò)計(jì)算指標(biāo)歸一化值以及 各指標(biāo)相應(yīng)權(quán)重的加權(quán)值可得到其綜合評(píng)估值���。而對(duì)于復(fù)雜攻擊(如組合攻擊),需要確定 各原子攻擊對(duì)攻擊目標(biāo)的貢獻(xiàn)程度����,即原子攻擊權(quán)重(方法同指標(biāo)權(quán)重確定),再利用相同 的方法就可以得到組合攻擊下的網(wǎng)絡(luò)攻擊效果的綜合評(píng)估結(jié)果�����。為了方便描述���,我們假定有如下應(yīng)用實(shí)例某蠕蟲(chóng)程序成功植入某大型局域網(wǎng)的一臺(tái)部門(mén)主機(jī)��,并搜集該主機(jī)及所在網(wǎng)絡(luò)的 相關(guān)信息����,包括系統(tǒng)配置�,操作系統(tǒng)信息��,防火墻等。然后該蠕蟲(chóng)程序?qū)⑺鸭男畔魉?給攻擊者����。步驟1 攻擊者根據(jù)得到的信息以及攻擊所要達(dá)到的預(yù)期效果制定初始攻擊方案。步驟2 攻擊者采用預(yù)估算法對(duì)該初始攻擊方案進(jìn)行預(yù)評(píng)估�����,預(yù)估初始攻擊方案 的潛在攻擊能力是否達(dá)到預(yù)期效果���。步驟3 如果預(yù)估結(jié)果達(dá)到預(yù)期效果則執(zhí)行步驟4�。否則修改攻擊方案���,執(zhí)行步驟 2���。步驟4 根據(jù)制定的攻擊方案對(duì)目標(biāo)主機(jī)或網(wǎng)絡(luò)實(shí)行攻擊,并收集攻擊反饋信息�, 寫(xiě)入攻擊效果數(shù)據(jù)庫(kù)。步驟5 根據(jù)對(duì)攻擊的分類(lèi)����,從攻擊效果評(píng)估指標(biāo)體系庫(kù)中選取合適的指標(biāo),并制 定各指標(biāo)的權(quán)重系數(shù)���。步驟6 根據(jù)指標(biāo)從攻擊效果數(shù)據(jù)庫(kù)中篩選指標(biāo)相應(yīng)的數(shù)據(jù)����,并進(jìn)行歸一化處理。步驟7 根據(jù)上述信息計(jì)算網(wǎng)絡(luò)攻擊效果綜合評(píng)估值���,并寫(xiě)入網(wǎng)絡(luò)攻擊效果評(píng)估 結(jié)果數(shù)據(jù)庫(kù)��。
權(quán)利要求
1.一種通信網(wǎng)惡意代碼攻擊效果評(píng)估方法�����,其特征在于該方法具體如下1)攻擊效果定性評(píng)估依據(jù)分級(jí)規(guī)則����,將惡意代碼攻擊行為按照其對(duì)受害主機(jī)與受害 網(wǎng)絡(luò)的危害程度分級(jí)�����,破壞等級(jí)分別為監(jiān)控����、竊取、系統(tǒng)破壞、局域網(wǎng)絡(luò)攻擊和大規(guī)模網(wǎng)絡(luò) 攻擊�;根據(jù)提出的預(yù)估算法分析攻擊策略,預(yù)估攻擊策略的潛在攻擊能力�,并與所制定的攻 擊等級(jí)進(jìn)行匹配����,確定攻擊策略可達(dá)到的攻擊等級(jí),以此實(shí)現(xiàn)對(duì)惡意代碼攻擊效果的定性 評(píng)估���;2)攻擊效果定量評(píng)估首先對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊行為進(jìn)行了統(tǒng)計(jì)研究���,并將其分為獲取 信息類(lèi)攻擊、篡改信息類(lèi)攻擊���、利用服務(wù)類(lèi)攻擊����、拒絕服務(wù)類(lèi)攻擊和獲取權(quán)限類(lèi)攻擊五類(lèi)����; 然后通過(guò)分析各類(lèi)攻擊的特點(diǎn)、目標(biāo)等得到用于詳細(xì)描述各類(lèi)攻擊特性的指標(biāo)�����;結(jié)合攻擊 者的意圖,進(jìn)一步確定各指標(biāo)對(duì)攻擊破壞效果期望值的貢獻(xiàn)程度���,也即指標(biāo)權(quán)重����;最后�����,利 用數(shù)學(xué)的方法對(duì)攻擊反饋的指標(biāo)值進(jìn)行歸一化處理以及綜合計(jì)算��,得到量化的攻擊效果評(píng) 估值����。
2.根據(jù)權(quán)利要求1所述的通信網(wǎng)惡意代碼攻擊效果評(píng)估方法,其特征在于所述攻擊效 果定性評(píng)估的具體步驟如下①設(shè)置一個(gè)標(biāo)記變量并設(shè)初值為0����;②遍歷某一攻擊方案中每一個(gè)原子攻擊的后果集;③匹配分級(jí)策略中的攻擊等級(jí)���,若發(fā)現(xiàn)高等級(jí)的破壞效果�����,則修改標(biāo)記變量為該攻擊 等級(jí)���;否則返回②����;④遍歷完所有原子攻擊����,得到攻擊效果預(yù)估等級(jí)���。
3.根據(jù)權(quán)利要求1所述的通信網(wǎng)惡意代碼攻擊效果評(píng)估方法����,其特征在于所述攻擊效 果定量評(píng)估的具體步驟如下①選取評(píng)估指標(biāo)——根據(jù)攻擊所屬類(lèi)別從指標(biāo)體系庫(kù)中選取合適的指標(biāo)�,②確定指標(biāo)權(quán)重——使用Delphi法確定各指標(biāo)的權(quán)重,③采集反饋數(shù)據(jù)——從搜集到的目標(biāo)信息以及反饋的攻擊日志中分析出攻擊前后的 指標(biāo)值��,④計(jì)算攻擊效果綜合值——包括兩個(gè)步驟一是將測(cè)試指標(biāo)歸一化��,二是計(jì)算綜合評(píng) 估結(jié)果值���。
全文摘要
一種通信網(wǎng)惡意代碼攻擊效果評(píng)估方法提出了一個(gè)網(wǎng)絡(luò)攻擊效果評(píng)估系統(tǒng)��,主要解決目前對(duì)各種網(wǎng)絡(luò)攻擊的效果缺乏定性����、定量評(píng)估方法以及攻擊行為有效性和網(wǎng)絡(luò)系統(tǒng)安全性缺少檢測(cè)手段的問(wèn)題,該方法具體如下1)攻擊效果定性評(píng)估依據(jù)分級(jí)規(guī)則��,將惡意代碼攻擊行為按照其對(duì)受害主機(jī)與受害網(wǎng)絡(luò)的危害程度分級(jí)����,2)攻擊效果定量評(píng)估首先對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊行為進(jìn)行了統(tǒng)計(jì)研究,并將其分為獲取信息類(lèi)攻擊���、篡改信息類(lèi)攻擊���、利用服務(wù)類(lèi)攻擊、拒絕服務(wù)類(lèi)攻擊和獲取權(quán)限類(lèi)攻擊五類(lèi)�����;利用數(shù)學(xué)的方法對(duì)攻擊反饋的指標(biāo)值進(jìn)行歸一化處理以及綜合計(jì)算����,得到量化的攻擊效果評(píng)估值���。
文檔編號(hào)H04L12/24GK102137115SQ20111010602
公開(kāi)日2011年7月27日 申請(qǐng)日期2011年4月22日 優(yōu)先權(quán)日2011年4月22日
發(fā)明者張偉, 張登銀, 戴秋玉, 李鵬, 王汝傳, 肖甫 申請(qǐng)人:南京郵電大學(xué)