王小英， 劉慶杰， 郭 娜， 龐國(guó)莉

(防災(zāi)科技學(xué)院 信息工程學(xué)院， 河北 三河 065201)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷發(fā)展，各類網(wǎng)絡(luò)信息系統(tǒng)已經(jīng)延伸到了眾多領(lǐng)域，并在社會(huì)生活中發(fā)揮了巨大作用.網(wǎng)絡(luò)信息系統(tǒng)的不斷擴(kuò)大推動(dòng)了社會(huì)的發(fā)展和進(jìn)步，同時(shí)也出現(xiàn)了較多的網(wǎng)絡(luò)安全威脅.在網(wǎng)絡(luò)信息社會(huì)中，信息系統(tǒng)的安全十分重要，近些年來，各種網(wǎng)絡(luò)惡意行為以及網(wǎng)絡(luò)漏洞不停出現(xiàn)，網(wǎng)絡(luò)入侵也層出不窮，一些復(fù)雜的信息系統(tǒng)很容易成為APT攻擊目標(biāo)，網(wǎng)絡(luò)安全狀態(tài)變得更加嚴(yán)峻[1-2].

APT攻擊是指對(duì)特定網(wǎng)絡(luò)的多方位且復(fù)雜的攻擊.防御APT攻擊需要針對(duì)特定的關(guān)聯(lián)組織和目標(biāo)，通過長(zhǎng)期監(jiān)控及信息收集，有針對(duì)性地對(duì)防護(hù)穿透和對(duì)抗進(jìn)行研究，并且檢測(cè)不同層次的立體攻擊[3-4]，最終達(dá)到目標(biāo)檢測(cè)和情報(bào)保護(hù)等目的.網(wǎng)絡(luò)安全問題關(guān)系到社會(huì)眾多領(lǐng)域的穩(wěn)定發(fā)展以及巨大利益，因此，對(duì)面向APT攻擊的網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別的研究成為領(lǐng)域內(nèi)重點(diǎn)課題，近年來也得到一些有意義的研究成果.文獻(xiàn)[5]提出基于One-Class SVM的APT攻擊下安全威脅事件隱蔽關(guān)聯(lián)識(shí)別方法，該方法利用支持向量機(jī)算法，對(duì)網(wǎng)絡(luò)安全威脅做分類處理，對(duì)個(gè)體結(jié)構(gòu)定義，利用變異和交叉的方式，優(yōu)化網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)規(guī)則，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別.文獻(xiàn)[6]提出基于通信特征的APT攻擊下安全威脅事件隱蔽關(guān)聯(lián)識(shí)別方法.該方法采用APT通信特征，識(shí)別網(wǎng)絡(luò)安全威脅隱蔽目標(biāo).為了提高識(shí)別效果，根據(jù)bloom filter對(duì)報(bào)文做篩選和匹配處理，最終完成了對(duì)網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別.該方法的規(guī)則適應(yīng)度較高，但該方法存在攻擊識(shí)別耗時(shí)長(zhǎng)、效率低的問題.

針對(duì)上述研究方法中存在的缺陷，提出一種面向APT攻擊的網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別方法.利用關(guān)聯(lián)規(guī)則構(gòu)建隱蔽目標(biāo)識(shí)別模型，在此基礎(chǔ)上設(shè)計(jì)APT攻擊隱蔽目標(biāo)識(shí)別的總體框架及流程，通過APT攻擊的可信度實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別.

1 網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別

1.1 基于關(guān)聯(lián)規(guī)則的隱蔽APT目標(biāo)識(shí)別模型

關(guān)聯(lián)規(guī)則是數(shù)據(jù)挖掘領(lǐng)域中的重要技術(shù)，能夠分析出數(shù)據(jù)庫(kù)各個(gè)領(lǐng)域間的關(guān)聯(lián)，將其應(yīng)用于APT攻擊數(shù)據(jù)關(guān)聯(lián)分析中，根據(jù)數(shù)據(jù)項(xiàng)集的支持度及置信度求出關(guān)聯(lián)規(guī)則的可靠程度，根據(jù)可靠程度強(qiáng)關(guān)聯(lián)規(guī)則生成隱蔽目標(biāo)識(shí)別模型[7].

關(guān)聯(lián)規(guī)則的表現(xiàn)形式可描述為：設(shè)I={i1，i2，i3，…，im}為m個(gè)項(xiàng)集，并且集合中的ik代表數(shù)據(jù)項(xiàng)，I中的任意子集X代表數(shù)據(jù)項(xiàng)集合.設(shè)X的長(zhǎng)度為k，則X稱為k項(xiàng)集.事務(wù)T代表全部項(xiàng)集I的子集[8]，則有ti={i1，i2，…，ih，ii}，并且X?I，利用t′i來表示各個(gè)事務(wù).

不同事務(wù)組合表示事務(wù)數(shù)據(jù)庫(kù)D，D={t1，t2，…，ti，tk}，假設(shè)X表示數(shù)據(jù)項(xiàng)集，并且X?I，設(shè)B為D中包含的X的事務(wù)數(shù)，A為D中事務(wù)的總數(shù)量，則X的支持度為

(1)

支持度表示X的重要程度.數(shù)據(jù)項(xiàng)集X置信度的表達(dá)式為

(2)

置信度表示X的可靠程度.通常情況下，假設(shè)R為關(guān)聯(lián)規(guī)則，表現(xiàn)形式為X?Y的蘊(yùn)含式，且

(3)

X?Y代表數(shù)據(jù)項(xiàng)集X在某個(gè)事務(wù)中出現(xiàn)時(shí)，Y也將出現(xiàn)在其中.Y為結(jié)果.

利用式(1)表示R的重要程度，即

sup(R)=sup(X∪Y)

(4)

利用式(2)表示R的可靠程度，即

(5)

最小支持度是數(shù)據(jù)項(xiàng)被關(guān)聯(lián)規(guī)則所要求最小值的支持度，用min_sup來表示.最小置信度則是關(guān)聯(lián)規(guī)則與可信度相符合的最小值[9]，用min_conf來表示.當(dāng)同時(shí)符合兩者時(shí)，稱其為強(qiáng)關(guān)聯(lián)規(guī)則.

利用關(guān)聯(lián)規(guī)則構(gòu)建隱蔽目標(biāo)識(shí)別模型的步驟為：1)發(fā)現(xiàn)大于等于min_sup的所有數(shù)據(jù)項(xiàng)集為頻繁項(xiàng)集；2)根據(jù)min_conf，采用頻繁項(xiàng)集來獲得強(qiáng)關(guān)聯(lián)規(guī)則，具體步驟為：在所有頻繁項(xiàng)集中，選取頻繁項(xiàng)a，在a中隨機(jī)選取非空子集b，若符合

(6)

則可以生成隱蔽目標(biāo)識(shí)別模型，即

(7)

1.2 APT攻擊隱蔽目標(biāo)識(shí)別方法設(shè)計(jì)

在利用關(guān)聯(lián)規(guī)則構(gòu)建隱蔽目標(biāo)識(shí)別模型的基礎(chǔ)上，進(jìn)一步識(shí)別APT攻擊下的網(wǎng)絡(luò)安全威脅隱蔽目標(biāo).構(gòu)建APT攻擊隱蔽目標(biāo)識(shí)別的總體框架，設(shè)計(jì)識(shí)別流程，根據(jù)關(guān)聯(lián)規(guī)則提取APT目標(biāo)檔案數(shù)據(jù)，將不同的網(wǎng)絡(luò)安全記錄關(guān)聯(lián)起來.在此基礎(chǔ)上求出APT攻擊可信度，根據(jù)絕對(duì)相容度更新APT攻擊可信度，實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別.APT攻擊隱蔽目標(biāo)識(shí)別的總體框架如圖1所示.

圖1 隱蔽目標(biāo)識(shí)別總體框架Fig.1 Overall framework for hidden target recognition

圖1中，F(xiàn)1、F2、F3分別表示操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)設(shè)備日志.識(shí)別流程為：1)采用APT目標(biāo)檔案根據(jù)屬性相關(guān)性將采集到的日志歸成上文；2)利用檢測(cè)算法整理，并對(duì)隱蔽目標(biāo)相關(guān)的攻擊行為識(shí)別.

(8)

根據(jù)關(guān)聯(lián)規(guī)則對(duì)APT目標(biāo)檔案數(shù)據(jù)提取，可以將不同的網(wǎng)絡(luò)安全記錄關(guān)聯(lián)起來，形式化為A′={Si′，R，W，C，G}，其中，Si′為網(wǎng)絡(luò)安全的記錄集合；R為上文的關(guān)聯(lián)規(guī)則；W為有效時(shí)間；C為攻擊的可信度；G為攻擊目標(biāo).

面向APT攻擊的網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別的步驟為：1)確定APT攻擊目標(biāo)，其中有敏感、重要的數(shù)據(jù)等，構(gòu)建APT攻擊目標(biāo)源，G={G1，G2，G3，…}代表攻擊目標(biāo)；2)根據(jù)目標(biāo)節(jié)點(diǎn)構(gòu)建APT攻擊的階段模型.

對(duì)不同來源的記錄做關(guān)聯(lián)分析，將形成上文的關(guān)聯(lián).利用上文來匹配規(guī)則數(shù)據(jù)庫(kù)，可以發(fā)現(xiàn)APT的攻擊，不同的記錄所對(duì)應(yīng)不同的可信度.將所得到的不同網(wǎng)絡(luò)設(shè)備對(duì)APT攻擊的可信度做融合計(jì)算，可以獲得新的可信度，融合過程為

(9)

式中，m′i′(uk)、m′j(uk)分別為網(wǎng)絡(luò)設(shè)備i′和j對(duì)APT攻擊的可信度.利用式(9)計(jì)算證據(jù)間的相容系數(shù)，可以得到網(wǎng)絡(luò)設(shè)備i′、j對(duì)APT攻擊uk的相容度di′(uk)，即

di′(uk)=Ri′j′(uk) (i，j=1，2，…，n)

(10)

式中：Ri′j′(uk)為APT攻擊的絕對(duì)相容度；n為設(shè)備總數(shù).對(duì)APT攻擊的可信度進(jìn)行更新，即

m′i′(ui′)_new=di′(uk)ωi′(ui′)

(11)

式中，ωi′(uk)為uk的權(quán)重.通過隱蔽目標(biāo)識(shí)別模型的構(gòu)建以及對(duì)APT攻擊的可信度計(jì)算，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別，其表達(dá)式為

p=ωi′(uk)+di′(uk)+Ri′j′sup(X)+conf(X)

(12)

2 實(shí)驗(yàn)結(jié)果與數(shù)據(jù)分析

為了驗(yàn)證面向APT攻擊的網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別方法的有效性，設(shè)計(jì)了仿真實(shí)驗(yàn).以MATLAB軟件為仿真平臺(tái)，在軟件中搭建APT攻擊下的網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境，實(shí)驗(yàn)設(shè)置用戶終端主機(jī)為4臺(tái)，通過互聯(lián)網(wǎng)訪問Web服務(wù)器，此時(shí)APT攻擊端能夠針對(duì)特定目標(biāo)持續(xù)性攻擊主機(jī)，威脅網(wǎng)絡(luò)安全.實(shí)驗(yàn)環(huán)境如圖2所示.

圖2 實(shí)驗(yàn)環(huán)境Fig.2 Experimental environment

在上述實(shí)驗(yàn)環(huán)境中，根據(jù)用戶習(xí)慣攻擊目標(biāo)主機(jī)，并設(shè)置每臺(tái)主機(jī)的隱蔽目標(biāo)源為20個(gè)，分布在100 m×100 m空間內(nèi).

2.1 目標(biāo)識(shí)別準(zhǔn)確率測(cè)試

測(cè)試4臺(tái)主機(jī)對(duì)隱蔽目標(biāo)識(shí)別的準(zhǔn)確率，識(shí)別結(jié)果將準(zhǔn)確識(shí)別的目標(biāo)與隱蔽目標(biāo)重合，顯示出來的是未準(zhǔn)確識(shí)別的目標(biāo).準(zhǔn)確率越高，越能擴(kuò)展復(fù)雜隱蔽目標(biāo)識(shí)別能力.采用文獻(xiàn)[5]方法為對(duì)照組，得到對(duì)比測(cè)試結(jié)果.其中，二維空間的橫縱軸分別為x、y，實(shí)驗(yàn)結(jié)果如圖3所示.

分析圖3可知，4組APT攻擊下的網(wǎng)絡(luò)安全隱蔽目標(biāo)識(shí)別實(shí)驗(yàn)中，所提方法的隱蔽目標(biāo)識(shí)別準(zhǔn)確率遠(yuǎn)高于文獻(xiàn)[5]方法的識(shí)別準(zhǔn)確率，說明所提方法可以準(zhǔn)確地完成對(duì)攻擊的識(shí)別，還能夠擴(kuò)展復(fù)雜隱蔽目標(biāo)識(shí)別能力.

圖3 不同方法的隱蔽目標(biāo)識(shí)別準(zhǔn)確率對(duì)比結(jié)果Fig.3 Comparison of accuracy for hidden target recognition with different methods

2.2 目標(biāo)識(shí)別耗時(shí)情況測(cè)試

在對(duì)隱蔽目標(biāo)識(shí)別準(zhǔn)確率測(cè)試的基礎(chǔ)上，進(jìn)一步測(cè)試隱蔽目標(biāo)識(shí)別耗時(shí)情況，并與文獻(xiàn)[6]進(jìn)行對(duì)比，對(duì)比結(jié)果如圖4所示.

在測(cè)試網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別耗時(shí)時(shí)，識(shí)別耗時(shí)越長(zhǎng)，APT隱蔽目標(biāo)識(shí)別的效率越低.分析圖4可知，所提方法的隱蔽目標(biāo)識(shí)別耗時(shí)較短，說明所提方法可以高效地完成對(duì)面向APT攻擊的網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別.

圖4 不同方法的隱蔽目標(biāo)識(shí)別耗時(shí)對(duì)比結(jié)果Fig.4 Comparison of time-consumption for hidden target recognition with different methods

3 結(jié) 論

為了識(shí)別APT攻擊中的網(wǎng)絡(luò)隱蔽目標(biāo)，提出面向APT攻擊的網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別方法.基于關(guān)聯(lián)規(guī)則構(gòu)建了隱蔽APT目標(biāo)識(shí)別模型，設(shè)計(jì)隱蔽目標(biāo)識(shí)別總體框架，確定APT攻擊目標(biāo)，求出APT攻擊可信度，利用絕對(duì)相容度更新APT的攻擊可信度，實(shí)現(xiàn)網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別.分別對(duì)隱蔽目標(biāo)識(shí)別準(zhǔn)確率和隱蔽目標(biāo)識(shí)別耗時(shí)展開測(cè)試，測(cè)試結(jié)果表明，在隱蔽目標(biāo)識(shí)別攻擊時(shí)，所提方法具有較高的隱蔽目標(biāo)識(shí)別準(zhǔn)確率，隱蔽目標(biāo)識(shí)別耗時(shí)較短，可以準(zhǔn)確高效地完成對(duì)面向APT攻擊的網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別.

在未來研究中，將對(duì)APT攻擊的入侵方式做出更深入的分析，進(jìn)一步完善所提出的面向APT攻擊的網(wǎng)絡(luò)安全威脅隱蔽目標(biāo)識(shí)別方法研究.