基于協(xié)議分析技術(shù)的抗惡意軟件攻擊測試系統(tǒng)設(shè)計

丁群

摘 ?要： 傳統(tǒng)的抗惡意軟件攻擊測試系統(tǒng)存在攻擊效果檢測效率低、抗攻擊能力評估準(zhǔn)確性差的缺陷，為了解決上述問題，引入?yún)f(xié)議分析技術(shù)對抗惡意軟件攻擊測試系統(tǒng)進行設(shè)計。依據(jù)抗惡意軟件攻擊測試系統(tǒng)的需求，搭建抗惡意軟件攻擊測試系統(tǒng)框架，以此為基礎(chǔ)對系統(tǒng)硬件與軟件進行詳細設(shè)計。系統(tǒng)硬件由流量采集器、協(xié)議分析器與數(shù)據(jù)存儲器組成;系統(tǒng)軟件由流量捕獲模塊、協(xié)議分析模塊、惡意軟件攻擊效果檢測模塊與抗惡意軟件攻擊能力評估模塊組成。通過系統(tǒng)硬件與軟件的設(shè)計實現(xiàn)了抗惡意軟件攻擊測試系統(tǒng)的運行。由測試結(jié)果得到，與傳統(tǒng)的抗惡意軟件攻擊測試系統(tǒng)相比，設(shè)計的抗惡意軟件攻擊測試系統(tǒng)極大地提升了攻擊效果檢測效率與抗攻擊能力評估準(zhǔn)確性，充分說明設(shè)計的抗惡意軟件攻擊測試系統(tǒng)具有更好的測試效果。

關(guān)鍵詞： 協(xié)議分析技術(shù); 惡意軟件攻擊; 測試系統(tǒng); 網(wǎng)絡(luò)流量; 評估準(zhǔn)確性; 抗攻擊能力

中圖分類號： TN915.08?34; G255 ? ? ? ? ? ? ? ? ? 文獻標(biāo)識碼： A ? ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2020）23?0054?04

Abstract： The traditional anti?malware attack test system has the defects of low detection efficiency of attack result and poor accuracy of anti?attack ability evaluation. In view of the above， protocol analysis technology is introduced to design an anti?malware attack test system. According to the requirement of anti?malware attack test system， the framework of anti?malware attack test system is built. On the basis of this， the hardware and software of the system are designed in detail. The system hardware consists of flow collector， protocol analyzer and data memory， while the system software consists of flow capture module， protocol analysis module， malware attack result detection module and anti?malware attack ability evaluation module. The operation of anti?malware attack test system is realized by the design of system hardware and software. The test results show that， in comparison with the traditional anti?malware attack test system， the designed anti?malware attack test system greatly improves the efficiency of attack result detection and the accuracy of anti?attack ability evaluation， which fully demonstrates that the designed anti?malware attack test system has a better test effect.

Keywords： protocol analysis technology; malware attack; test system; network flow; evaluation accuracy; anti?attack ability

0 ?引 ?言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，由于網(wǎng)絡(luò)開放性的影響，使得網(wǎng)絡(luò)經(jīng)常受到惡意軟件的攻擊，惡意軟件主要指的是計算機系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、蠕蟲與特洛伊木馬等程序，主要通過破壞軟件進程實施控制，輕則導(dǎo)致網(wǎng)絡(luò)某部分發(fā)生故障，重則導(dǎo)致整個網(wǎng)絡(luò)發(fā)生癱瘓，產(chǎn)生較大的影響。因此，網(wǎng)絡(luò)安全問題逐漸受到人們的重視，其是影響網(wǎng)絡(luò)發(fā)展的重要問題，如何在開放式的環(huán)境下構(gòu)建安全網(wǎng)絡(luò)系統(tǒng)已經(jīng)成為現(xiàn)今研究的重點課題之一[1]。目前抗惡意軟件攻擊測試成為構(gòu)建安全網(wǎng)絡(luò)的有效手段，通過這種方式可以預(yù)測網(wǎng)絡(luò)系統(tǒng)受到惡意軟件攻擊的可能性，還可以預(yù)測受到惡意軟件攻擊后產(chǎn)生的后果，以此為基礎(chǔ)對網(wǎng)絡(luò)安全隱患進行消除，保障網(wǎng)絡(luò)系統(tǒng)的安全。因此，對抗惡意軟件攻擊測試進行研究具有現(xiàn)實意義[2]。

就現(xiàn)有的研究來看，傳統(tǒng)的抗惡意軟件攻擊測試系統(tǒng)存在攻擊效果檢測效率低、抗攻擊能力評估準(zhǔn)確性差的缺陷，無法滿足現(xiàn)今網(wǎng)絡(luò)系統(tǒng)安全的需求。為了解決上述問題，引入?yún)f(xié)議分析技術(shù)對抗惡意軟件攻擊測試系統(tǒng)進行設(shè)計。協(xié)議分析技術(shù)指的是對程序或者設(shè)備進行解碼的網(wǎng)絡(luò)協(xié)議，以此了解程序或者設(shè)備的數(shù)據(jù)以及信息的過程。通過協(xié)議分析技術(shù)的應(yīng)用改善抗惡意軟件攻擊測試系統(tǒng)的性能，并設(shè)計仿真對比實驗對其性能進行測試與分析[3]。

1 ?抗惡意軟件攻擊測試系統(tǒng)框架設(shè)計

抗惡意軟件攻擊測試系統(tǒng)主要分為抗惡意軟件攻擊測試平臺與惡意軟件攻擊效果檢測兩個部分[4]。根據(jù)抗惡意軟件攻擊測試系統(tǒng)的需求，對抗惡意軟件攻擊測試系統(tǒng)框架進行搭建，如圖1所示。

以上述設(shè)計的抗惡意軟件攻擊測試系統(tǒng)框架圖為基礎(chǔ)，對系統(tǒng)的硬件與軟件進行詳細設(shè)計。

2 ?抗惡意軟件攻擊測試系統(tǒng)硬件設(shè)計

系統(tǒng)硬件由流量采集器、協(xié)議分析器與數(shù)據(jù)存儲器組成，具體設(shè)計過程如下。

2.1 ?流量采集器

當(dāng)網(wǎng)絡(luò)受到惡意軟件的攻擊時，會消耗較大的流量，導(dǎo)致網(wǎng)絡(luò)流量出現(xiàn)較大的波動。因此，主要通過流量對是否存在惡意軟件攻擊進行判斷[5]。

流量采集器主要對網(wǎng)絡(luò)流量進行采集與捕獲，為抗惡意軟件攻擊測試提供了數(shù)據(jù)支撐[6]。流量采集器參數(shù)設(shè)置如表1所示。

2.2 ?協(xié)議分析器

協(xié)議分析器主要是通過程序?qū)W(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議頭與尾進行分析，以此為基礎(chǔ)了解數(shù)據(jù)包在傳輸過程中的行為[7]。

協(xié)議分析器結(jié)構(gòu)如圖2所示。

2.3 ?數(shù)據(jù)存儲器

為了對惡意軟件攻擊效果進行檢測，并對抗惡意軟件攻擊能力進行評估，需要對測試過程的數(shù)據(jù)進行存儲與應(yīng)用[8]。因此，采用數(shù)據(jù)存儲器對測試數(shù)據(jù)進行存儲。

數(shù)據(jù)存儲器工作原理如圖3所示。

通過上述過程完成了系統(tǒng)硬件的設(shè)計，但是硬件無法實現(xiàn)抗惡意軟件攻擊的測試，因此，對系統(tǒng)軟件進行設(shè)計[9]。

3 ?抗惡意軟件攻擊測試系統(tǒng)軟件設(shè)計

系統(tǒng)軟件由流量捕獲模塊、協(xié)議分析模塊、惡意軟件攻擊效果檢測模塊與抗惡意軟件攻擊能力評估模塊組成，具體設(shè)計過程如下。

3.1 ?流量捕獲模塊

流量捕獲模塊主要通過流量采集器對網(wǎng)絡(luò)通信數(shù)據(jù)包進行采集，并將其發(fā)送到協(xié)議分析模塊[10]。

將流量采集器與網(wǎng)絡(luò)監(jiān)聽技術(shù)結(jié)合，以此為基礎(chǔ)對網(wǎng)絡(luò)中的數(shù)據(jù)進行截獲。通信數(shù)據(jù)包獲取過程為：

3.2 ?協(xié)議分析模塊

以上述得到的去除干擾數(shù)據(jù)后的通信數(shù)據(jù)包為基礎(chǔ)，采用協(xié)議解析器對惡意軟件攻擊程序進行解析，該方法具有簡單、快速的特性[11]。協(xié)議分析層次結(jié)構(gòu)如圖4所示。

依據(jù)上述設(shè)計的協(xié)議分析層次結(jié)構(gòu)對網(wǎng)絡(luò)協(xié)議進行分析，為下述惡意軟件攻擊效果檢測提供數(shù)據(jù)支撐。

3.3 ?惡意軟件攻擊效果檢測模塊

以上述協(xié)議分析結(jié)果為基礎(chǔ)，對惡意軟件攻擊效果進行檢測。惡意軟件攻擊效果檢測模塊主要對已知攻擊進行檢測，該模塊主要從協(xié)議分析模塊中讀取數(shù)據(jù)，作為參數(shù)傳入，然后在數(shù)據(jù)存儲器中對攻擊模式進行讀取，對參數(shù)與攻擊模式進行匹配，若匹配成功，則表示發(fā)現(xiàn)惡意軟件攻擊，將其相關(guān)信息傳輸?shù)綌?shù)據(jù)存儲器中進行存儲與分析[12]。

惡意軟件攻擊效果檢測流程如圖5所示。

3.4 ?抗惡意軟件攻擊能力評估模塊

以上述存儲的惡意軟件攻擊信息為基礎(chǔ)，對網(wǎng)絡(luò)抗惡意軟件攻擊能力進行相應(yīng)的評估?？箰阂廛浖裟芰χ饕ㄟ^網(wǎng)絡(luò)響應(yīng)時間來體現(xiàn)，響應(yīng)指的是惡意軟件攻擊網(wǎng)絡(luò)時，網(wǎng)絡(luò)做出的反應(yīng)[13]。網(wǎng)絡(luò)響應(yīng)主要分為兩種，分別為主動響應(yīng)與被動響應(yīng)。

通過系統(tǒng)硬件與軟件的設(shè)計，實現(xiàn)抗惡意軟件攻擊測試系統(tǒng)的運行，為網(wǎng)絡(luò)安全提供更加有效的保障[14]。

4 ?系統(tǒng)性能仿真測試

上述過程實現(xiàn)了抗惡意軟件攻擊測試系統(tǒng)的設(shè)計與運行，但其是否能夠解決傳統(tǒng)系統(tǒng)存在的難題還無法確定，因此設(shè)計仿真對比實驗對設(shè)計的抗惡意軟件攻擊測試系統(tǒng)性能進行測試與分析。

在實驗過程中，為了保障實驗結(jié)果的準(zhǔn)確性，對實驗外部參數(shù)進行統(tǒng)一設(shè)置，通過攻擊效果檢測效率與抗攻擊能力評估準(zhǔn)確性對系統(tǒng)性能進行評價，具體實驗分析過程如下。

4.1 ?攻擊效果檢測效率對比分析

通過實驗得到攻擊效果檢測效率對比情況，如表2所示。

如表2數(shù)據(jù)所示，本文設(shè)計系統(tǒng)與傳統(tǒng)系統(tǒng)攻擊效果檢測效率數(shù)據(jù)具有明顯的差距，說明數(shù)據(jù)有效。設(shè)計系統(tǒng)的攻擊效果檢測效率遠遠高于傳統(tǒng)系統(tǒng)，其最大值可以達到94%。

4.2 ?抗攻擊能力評估準(zhǔn)確性對比分析

抗攻擊能力在一定程度上體現(xiàn)著網(wǎng)絡(luò)的安全性能，因此，若是能對抗攻擊能力進行準(zhǔn)確評估，可以極大地提升網(wǎng)絡(luò)的安全性，一般情況下認為抗攻擊能力評估準(zhǔn)確性越高，系統(tǒng)的性能越好。通過實驗得到抗攻擊能力評估準(zhǔn)確性對比情況如圖6所示。

由圖6可知，設(shè)計系統(tǒng)的抗攻擊能力評估準(zhǔn)確性遠遠高于傳統(tǒng)系統(tǒng)，其最大值可以達到80%。

通過測試結(jié)果顯示，本文設(shè)計的抗惡意軟件攻擊測試系統(tǒng)極大地提升了攻擊效果檢測效率與抗攻擊能力評估準(zhǔn)確性，充分說明設(shè)計的抗惡意軟件攻擊測試系統(tǒng)具有更好的測試效果。

5 ?結(jié) ?語

本文設(shè)計的抗惡意軟件攻擊測試系統(tǒng)極大地提升了攻擊效果檢測效率與抗攻擊能力評估準(zhǔn)確性，可以為網(wǎng)絡(luò)的安全提供更加有效的保障。但是由于實驗采用仿真對比實驗形式，導(dǎo)致實驗環(huán)境與實際環(huán)境具有一定的差距，實驗結(jié)果與真實情況也存在著些許的差距，但是這并不影響實驗結(jié)論的正確性，為了得到更加精準(zhǔn)的實驗數(shù)據(jù)，需要對抗惡意軟件攻擊測試系統(tǒng)進行進一步的研究與優(yōu)化。

參考文獻

[1] 王澤東.基于行為分析的惡意軟件防護系統(tǒng)設(shè)計[J].數(shù)字技術(shù)與應(yīng)用，2018，36（3）：198?199.

[2] 胡敬文，王柏清，楊文茵，等.基于行為分析方法的主動防御系統(tǒng)設(shè)計[J].佛山科學(xué)技術(shù)學(xué)院學(xué)報（自然科學(xué)版），2019，37（1）：44?49.

[3] 刁紅艷.Windows環(huán)境下基于協(xié)議分析的入侵檢測程序分析與實現(xiàn)[J].電子元器件與信息技術(shù)，2018（11）：17?19.

[4] 姜建國，常子敬，呂志強，等.USB HID攻擊與防護技術(shù)綜述[J].信息安全研究，2017，3（2）：129?138.

[5] 李炳彰，李雨菡，趙海強，等.一種基于對等體認證的OSPF協(xié)議安全增強方法[J].無線電工程，2018，48（7）：525?530.

[6] 周振飛，方濱興，崔翔，等.基于相似性分析的WordPress主題惡意代碼檢測[J].信息網(wǎng)絡(luò)安全，2017，46（12）：47?53.

[7] 楊帆，楊國武，郝玉潔.基于模型檢測的半量子密碼協(xié)議的安全性分析[J].電子科技大學(xué)學(xué)報，2017，46（5）：716?721.

[8] 戴海燕.一種聚合式持續(xù)分析自動發(fā)現(xiàn)惡意攻擊源的方法[J].電子技術(shù)與軟件工程，2017，44（24）：230.

[9] 杜小龍，孟久翔，陳磊.面向線下學(xué)習(xí)的協(xié)議分析器設(shè)計與實現(xiàn)[J].福建電腦，2017，33（11）：126.

[10] 盧穎，鐘聯(lián)炯，康鳳舉，等.無線自組網(wǎng)競爭類MAC協(xié)議分析及研究[J].電子設(shè)計工程，2011，19（7）：84?87.

[11] 黃偉慶，丁昶，崔越，等.基于惡意讀寫器發(fā)現(xiàn)的RFID空口入侵檢測技術(shù)[J].軟件學(xué)報，2018，29（7）：1922?1936.

[12] 王繼業(yè)，孫利民，李曄，等.電力工控系統(tǒng)攻擊仿真驗證關(guān)鍵技術(shù)研究[J].電力信息與通信技術(shù)，2017，15（6）：9?14.

[13] 徐佳佳，白光偉，沈航.鏈路相關(guān)性欺騙攻擊與檢測機制[J].計算機科學(xué)，2018，45（12）：104?110.

[14] 吳傳貴.基于FC?AE?ASM協(xié)議仿真測試系統(tǒng)設(shè)計與實現(xiàn)[J].計算機測量與控制，2018，26（4）：35?38.

[15] 寧卓，邵達成，陳勇，等.基于簽名與數(shù)據(jù)流模式挖掘的Android惡意軟件檢測系統(tǒng)[J].計算機科學(xué)，2017，44（z2）：317?321.