姚 蘇,關(guān)建峰,潘 華,張宏科

(1.北京交通大學(xué)電子信息工程學(xué)院,北京 100044；2.中國(guó)航空綜合技術(shù)研究所,北京 100028;3.北京郵電大學(xué),北京 100876)

?

基于APT潛伏攻擊的網(wǎng)絡(luò)可生存性模型與分析

姚 蘇1,2,關(guān)建峰3,潘 華2,張宏科1

(1.北京交通大學(xué)電子信息工程學(xué)院,北京 100044；2.中國(guó)航空綜合技術(shù)研究所,北京 100028;3.北京郵電大學(xué),北京 100876)

基于傳統(tǒng)網(wǎng)絡(luò)攻擊模式和高級(jí)持續(xù)性威脅(Advanced Persistent Threat,簡(jiǎn)稱APT)攻擊模式提出網(wǎng)絡(luò)可生存性的評(píng)估模型.建立網(wǎng)絡(luò)攻擊場(chǎng)景,仿真驗(yàn)證提出的網(wǎng)絡(luò)可生存性模型,并比較兩種模式的性能.得到的結(jié)論：提出的評(píng)估模型合理刻畫(huà)了網(wǎng)絡(luò)可生存性的兩個(gè)重要參數(shù),網(wǎng)絡(luò)攻擊傳播速率和網(wǎng)絡(luò)修復(fù)速率；基于APT潛伏攻擊模式下的網(wǎng)絡(luò)可生存性性能低于傳統(tǒng)攻擊模式.

潛伏攻擊；網(wǎng)絡(luò)可生存性；評(píng)估模型；馬爾科夫鏈

1 引言

高級(jí)持續(xù)性威脅(Advanced Persistent Threat,簡(jiǎn)稱APT)是目前計(jì)算機(jī)網(wǎng)絡(luò)安全界關(guān)注的最熱門話題之一[1].特別是2010年谷歌宣布遭受極光攻擊[2],伊朗核設(shè)施遭受震網(wǎng)(Stuxnet)病毒攻擊等一系列極具破壞性的事件[3],打破了人們對(duì)傳統(tǒng)網(wǎng)絡(luò)攻擊的認(rèn)識(shí),如震網(wǎng)病毒已經(jīng)造成伊朗核電站推遲發(fā)電.從圖1所示的APT攻擊[4],可以看出,APT攻擊已經(jīng)成為近年來(lái)網(wǎng)絡(luò)攻擊的主要手段之一.

“潛伏性和持續(xù)性”是APT攻擊最主要的特征[5].“潛伏性”表示APT攻擊并非進(jìn)入用戶網(wǎng)絡(luò)中就立即發(fā)動(dòng)攻擊,通常會(huì)有一個(gè)潛伏期,這個(gè)潛伏期可長(zhǎng)可短.在潛伏期內(nèi),不斷收集各種信息,直到收集到重要情報(bào),能徹底掌握所針對(duì)的目標(biāo)人、事、物.因此,APT攻擊模式實(shí)質(zhì)上是一種“惡意商業(yè)間諜威脅”.“持續(xù)性”體現(xiàn)在網(wǎng)絡(luò)攻擊者不斷嘗試各種攻擊手段,以及滲透到網(wǎng)絡(luò)內(nèi)部后長(zhǎng)期蟄伏,繼而不斷發(fā)動(dòng)攻擊,從而達(dá)到破壞用戶網(wǎng)絡(luò)的目的[5].

目前,針對(duì)APT網(wǎng)絡(luò)攻擊的研究還處于初級(jí)階段,開(kāi)展的研究主要在APT攻擊的案例分析[7]、特征值提取[8]、檢測(cè)機(jī)制[9]等方面,并沒(méi)有從網(wǎng)絡(luò)可生存性的角度分析.

網(wǎng)絡(luò)可生存性(Network Survivability)[10]泛指網(wǎng)絡(luò)在出現(xiàn)故障損壞、遭受攻擊或不可預(yù)知的事故時(shí),仍然能夠及時(shí)完成關(guān)鍵任務(wù)(提供服務(wù))的能力,它屬于網(wǎng)絡(luò)安全性和可靠性的一部分.目前,國(guó)內(nèi)外對(duì)于網(wǎng)絡(luò)可生存性并未有統(tǒng)一的定義,不過(guò)得到廣泛共識(shí)的是美國(guó)國(guó)家標(biāo)準(zhǔn)學(xué)會(huì)(American National Standards Institute,簡(jiǎn)稱ANSI) T1A1.2網(wǎng)絡(luò)可生存性標(biāo)準(zhǔn)委員會(huì)給出的定義[11],網(wǎng)絡(luò)可生存性包括兩個(gè)方面：(1)在網(wǎng)絡(luò)出現(xiàn)故障的情況下,通過(guò)各種恢復(fù)技術(shù),來(lái)維持或恢復(fù)網(wǎng)絡(luò)服務(wù)使之達(dá)到可接受的狀態(tài)；(2)網(wǎng)絡(luò)通過(guò)應(yīng)用預(yù)防技術(shù),從故障節(jié)點(diǎn)中減輕或預(yù)防服務(wù)失效.可生存性通常用生存率來(lái)表示,即當(dāng)某條鏈路或者節(jié)點(diǎn)出現(xiàn)故障時(shí),可從其它鏈路上疏通的業(yè)務(wù)量與該鏈路所傳送的業(yè)務(wù)量之比.圖2給出的可生存性量化指標(biāo)的說(shuō)明[12].X軸表示時(shí)間,Y軸表示網(wǎng)絡(luò)的可生存性.該曲線刻畫(huà)了網(wǎng)絡(luò)遇到故障或者攻擊時(shí),網(wǎng)絡(luò)可生存性度量值即阻塞概率隨著時(shí)間產(chǎn)生的變化.在故障或攻擊發(fā)生之前,阻塞概率為ma；故障或攻擊發(fā)生后,經(jīng)過(guò)時(shí)間tr后,阻塞概率為mr；經(jīng)過(guò)時(shí)間tR后,阻塞概率恢復(fù)到ma.

目前,針對(duì)網(wǎng)絡(luò)可生存性的研究主要集中在故障或者意外事故前提下開(kāi)展的研究[13，14].如文獻(xiàn)[13] 提出了一種基于颶風(fēng)災(zāi)難條件下的網(wǎng)絡(luò)可生存性模型,采用連續(xù)時(shí)間馬爾科夫鏈的分析方法,詳細(xì)分析了災(zāi)難傳播和恢復(fù)過(guò)程,并總結(jié)了三種不同的災(zāi)難恢復(fù)機(jī)制.文獻(xiàn)[14]改進(jìn)了文獻(xiàn)[13]提出的連續(xù)時(shí)間馬爾科夫鏈分析方法,并提出了一種基于地震災(zāi)難條件下的網(wǎng)絡(luò)可生存性模型,并與實(shí)際情況比較,驗(yàn)證了該模型的合理性.文獻(xiàn)[15]在注重提高網(wǎng)絡(luò)可生存性的同時(shí),也兼顧服務(wù)可區(qū)分性的要求,提出了一種主動(dòng)服務(wù)漂移的模型,增強(qiáng)了對(duì)不同網(wǎng)絡(luò)環(huán)境的可生存性適用性.文獻(xiàn)[16]針對(duì)大規(guī)模網(wǎng)絡(luò)場(chǎng)景下提出了一種提高網(wǎng)絡(luò)可生存性方法,文獻(xiàn)[17]給出了網(wǎng)絡(luò)可生存的評(píng)估體系.可以看出,針對(duì)網(wǎng)絡(luò)攻擊特別是新的網(wǎng)絡(luò)攻擊(諸如APT攻擊)的特點(diǎn),而開(kāi)展的網(wǎng)絡(luò)可生存性研究較少.本文結(jié)合APT攻擊的隱蔽性特點(diǎn),即網(wǎng)絡(luò)中的節(jié)點(diǎn)被攻擊后有潛伏期特點(diǎn),構(gòu)建APT攻擊下的網(wǎng)絡(luò)可生存性模型,并對(duì)分析了其網(wǎng)絡(luò)可生存性性能.

本文第二節(jié)敘述APT攻擊下的網(wǎng)絡(luò)生存性模型；第三節(jié)簡(jiǎn)要介紹在APT攻擊下使用該模型對(duì)網(wǎng)絡(luò)生存性分析；第四節(jié)驗(yàn)證網(wǎng)絡(luò)可生存性模型的正確性,仿真APT攻擊下的網(wǎng)絡(luò)生存性指標(biāo)并與傳統(tǒng)攻擊模式進(jìn)行比較；第五節(jié)提出建議并進(jìn)行總結(jié).

2 模型建立

2.1 網(wǎng)絡(luò)可生存性模型

由于攻擊是包含時(shí)間序列的單個(gè)事件,為了評(píng)估和分析網(wǎng)絡(luò)遭受攻擊時(shí)的可生存性,本文研究定量評(píng)估模型,給出一種網(wǎng)絡(luò)可生存性模型.

假設(shè)該攻擊初始于接入網(wǎng)的某個(gè)子網(wǎng),之后攻擊傳播到下一個(gè)子網(wǎng),之后依次傳播.這種傳播可以稱作攻擊傳播,它是一種級(jí)聯(lián)狀行為.不同于故障的傳播特點(diǎn),網(wǎng)絡(luò)攻擊傳播可以發(fā)源于內(nèi)部網(wǎng)絡(luò),并且有多個(gè)狀態(tài).

此外,網(wǎng)絡(luò)可以被看作有一個(gè)包含節(jié)點(diǎn)和有向邊的有向圖.節(jié)點(diǎn)表示網(wǎng)絡(luò)中基礎(chǔ)設(shè)施(終端、路由設(shè)備等),有向邊表示信息傳播的方向.網(wǎng)絡(luò)系統(tǒng)的脆弱性表現(xiàn)為攻擊的初始狀態(tài)和傳播狀態(tài)都是基于某個(gè)隨機(jī)事件.因此,這種傳播過(guò)程可以被視為隨機(jī)過(guò)程.

假設(shè)網(wǎng)絡(luò)的節(jié)點(diǎn)數(shù)量為n,攻擊事件將有以下幾個(gè)步驟.不失一般性,網(wǎng)絡(luò)攻擊最初發(fā)生于節(jié)點(diǎn)1.接著,在一個(gè)隨機(jī)時(shí)間內(nèi),攻擊從被感染的節(jié)點(diǎn)傳播到下一個(gè)節(jié)點(diǎn),節(jié)點(diǎn)間的攻擊傳播視為有向邊.這種傳播被視為“無(wú)記憶”性的,攻擊事件從一個(gè)節(jié)點(diǎn)傳播到另一個(gè)節(jié)點(diǎn)僅依賴于當(dāng)前的系統(tǒng)狀態(tài),而與系統(tǒng)的歷史狀態(tài)無(wú)關(guān).由于攻擊的傳播速度和方向是由外部攻擊源等條件決定的因此遭受攻擊的節(jié)點(diǎn)可以在一個(gè)隨機(jī)時(shí)間內(nèi)被修復(fù).假設(shè)攻擊的傳播速率和修復(fù)時(shí)間服從指數(shù)分布,本文的研究重點(diǎn)在網(wǎng)絡(luò)初始被攻擊,攻擊傳播直至網(wǎng)絡(luò)系統(tǒng)完全被修復(fù)的傳播時(shí)段,其過(guò)程符合連續(xù)時(shí)間的馬爾科夫隨機(jī)過(guò)程的約束條件.

假設(shè)在有限狀態(tài)空間S= {1,2…,n}中{X,t>0}表示網(wǎng)絡(luò)系統(tǒng)中的各個(gè)節(jié)點(diǎn)的狀態(tài).每一個(gè)接入網(wǎng)都有n個(gè)不同區(qū)域的子網(wǎng)組成.網(wǎng)絡(luò)攻擊在整個(gè)網(wǎng)絡(luò)中傳播.在任意時(shí)刻t,網(wǎng)絡(luò)系統(tǒng)的狀態(tài)可以由以下n維向量表示

X(t)=(X1(t),X2(t),…Xn(t)),t≥0

(1)

對(duì)于子網(wǎng)k∈{1,2,…,n},Xk(t)表示在時(shí)刻t子網(wǎng)k的狀態(tài).對(duì)于子網(wǎng)k,它有兩種狀態(tài),一種是遭受攻擊的狀態(tài)“0”,另一種是正常狀態(tài)“1”.當(dāng)網(wǎng)絡(luò)攻擊未發(fā)生時(shí),此時(shí)子網(wǎng)k狀態(tài)為正常狀態(tài)“1”；當(dāng)子網(wǎng)k在時(shí)刻t遭受攻擊時(shí),此時(shí)子網(wǎng)狀態(tài)由正常狀態(tài)“1”變?yōu)椤?”；經(jīng)過(guò)時(shí)間t′,子網(wǎng)k由狀態(tài)“0”修復(fù)為“1”.

(2)

此外,每次只能對(duì)一個(gè)子網(wǎng)發(fā)動(dòng)攻擊；在本文中,子網(wǎng)作為最小的網(wǎng)絡(luò)系統(tǒng)單位,只有當(dāng)子網(wǎng)完全被攻擊后,子網(wǎng)才開(kāi)始修復(fù)過(guò)程；攻擊和修復(fù)的傳播過(guò)程只取決于當(dāng)前子網(wǎng)狀態(tài),而與到達(dá)當(dāng)前狀態(tài)的路徑?jīng)]有關(guān)系.

根據(jù)上述假設(shè),攻擊傳播過(guò)程中的子網(wǎng)狀態(tài)X(t)可以被看作為一個(gè)連續(xù)時(shí)間的馬爾科夫鏈,它的狀態(tài)空間為：

Ω={(X1,X2,…,Xn),X1,X2,…,Xn∈(0,1)}

(3)

狀態(tài)空間Ω總共包含N=2n個(gè)狀態(tài).子網(wǎng)狀態(tài)X(t)從(0,1,…,1)開(kāi)始,結(jié)束于(1,1,…,1),這表明網(wǎng)絡(luò)中所有子網(wǎng)都依次遭受到攻擊,并且依次恢復(fù)到正常狀態(tài).

簡(jiǎn)而言之,網(wǎng)絡(luò)可生存的模型可以歸納為以下幾點(diǎn)：

(1)在某時(shí)刻t,子網(wǎng)的狀態(tài)只有兩種狀態(tài){0,1}；

(2)在初始時(shí)刻t=0,第一個(gè)子網(wǎng)遭受攻擊,此時(shí)網(wǎng)絡(luò)的狀態(tài)為(0,1,…,1)；

(3)攻擊從子網(wǎng)k-1傳播到子網(wǎng)k服從泊松隨機(jī)過(guò)程,傳播的速率為λk；

(4)每個(gè)子網(wǎng)只有一次修復(fù)過(guò)程并且子網(wǎng)中的終端都可以同時(shí)被修復(fù)完成,子網(wǎng)k的平均修復(fù)速率服從指數(shù)分布值為μk.

根據(jù)上述的假設(shè),在狀態(tài)空間S,子網(wǎng)的修復(fù)過(guò)程可以從數(shù)學(xué)上建模為時(shí)間上均勻分布的連續(xù)時(shí)間馬爾科夫鏈(Continuous-Time Markov Chain,CTMC).

對(duì)每個(gè)狀態(tài)而言,有t≥0和i∈S,我們定義t時(shí)刻處于狀態(tài)i的概率為：

πi(t)=Pr{X(t)=i}

(4)

假設(shè)X(t)的傳播概率的列向量為

π(t)=[π1(t),π2(t),…,πN(t)]

(5)

當(dāng)系統(tǒng)處于狀態(tài)i∈S,ψi為系統(tǒng)的回報(bào)率.因此,根據(jù)連續(xù)時(shí)間馬爾科夫鏈的狀態(tài)空間,系統(tǒng)的回報(bào)率也可用列向量表示為：

ψ=[ψ1,ψ2,…,ψN]

(6)

根據(jù)上述模型,可以有多種測(cè)算方式來(lái)測(cè)算網(wǎng)絡(luò)的可生存性性能.由于無(wú)法在系統(tǒng)修復(fù)期間準(zhǔn)確預(yù)估系統(tǒng)的狀態(tài),我們考慮從正常工作的網(wǎng)絡(luò)系統(tǒng)中獲取性能指標(biāo)的預(yù)估值.在我們的模型中,系統(tǒng)的回報(bào)作為系統(tǒng)性能的重要指標(biāo).在時(shí)刻t網(wǎng)絡(luò)可生存性性能由系統(tǒng)瞬時(shí)的預(yù)估回報(bào)E[M(t)]表示：

(7)

假設(shè)系統(tǒng)是有序的,在狀態(tài)1,2,…,k(k

(8)

其中,pij表示狀態(tài)i轉(zhuǎn)移到狀態(tài)j的轉(zhuǎn)移概率.

根據(jù)狀態(tài)轉(zhuǎn)移矩陣P,連續(xù)時(shí)間馬爾科夫鏈的動(dòng)態(tài)行為可以由柯式差分微分方程表示：

(9)

則狀態(tài)轉(zhuǎn)移概率矩陣π(t)為

(10)

2.2 APT潛伏攻擊模式的網(wǎng)絡(luò)可生存模型

APT潛伏攻擊模式,網(wǎng)絡(luò)攻擊并非一觸即發(fā)的,通常會(huì)潛伏在所攻擊的網(wǎng)絡(luò)系統(tǒng),并在某個(gè)時(shí)刻觸發(fā),方才發(fā)動(dòng)攻擊,它的攻擊更具有隱蔽性并且破壞性更強(qiáng).因此,不同于正常狀態(tài),對(duì)于子網(wǎng)k∈{1,2,…,n},Xk(t)表示在時(shí)刻t子網(wǎng)k的狀態(tài).此時(shí),對(duì)于子網(wǎng)k,它有三種不同狀態(tài)：(1)健康狀態(tài)“1”；(2)遭受APT攻擊后的休眠狀態(tài)“0”；(3)遭受APT攻擊后的活躍狀態(tài)“0′”[18].

(11)

如圖3所示,當(dāng)網(wǎng)絡(luò)攻擊未發(fā)生時(shí),此時(shí)子網(wǎng)k狀態(tài)為健康狀態(tài)“1”；當(dāng)子網(wǎng)k在某時(shí)刻t遭受攻擊時(shí),此時(shí)子網(wǎng)狀態(tài)由健康狀態(tài)“1”進(jìn)入休眠狀態(tài)“0”；再經(jīng)過(guò)時(shí)間t′,子網(wǎng)k由休眠狀態(tài)“0”進(jìn)入活躍狀態(tài)為“0′”；此時(shí),子網(wǎng)探測(cè)到來(lái)自外部的APT攻擊,開(kāi)始進(jìn)行修復(fù)；經(jīng)時(shí)間t″,子網(wǎng)k由活躍狀態(tài)修復(fù)為健康狀態(tài).

同樣,APT攻擊下的攻擊傳播過(guò)程中的子網(wǎng)狀態(tài)X(t)也可以被看作為一個(gè)連續(xù)時(shí)間的馬爾科夫鏈,它的狀態(tài)空間為：

Ω={(X1,X2,…,Xn),X1,X2,…,Xn∈(0,0′,1)}

(12)

狀態(tài)空間Ω總共包含N=3n個(gè)狀態(tài).子網(wǎng)狀態(tài)X(t)從(0,1,…,1)開(kāi)始,結(jié)束于(1,1,…,1).攻擊從正常狀態(tài)子網(wǎng)k-1傳播到休眠狀態(tài)子網(wǎng)k服從泊松隨機(jī)過(guò)程,傳播的速率為λk；同樣,攻擊從休眠狀態(tài)子網(wǎng)k-1傳播到活躍狀態(tài)子網(wǎng)k服從泊松隨機(jī)過(guò)程,傳播的速率為λk′.

3 攻擊實(shí)例

本節(jié)基于上述模型,構(gòu)建攻擊場(chǎng)景,分析和評(píng)估攻擊和修復(fù)狀態(tài)的傳播過(guò)程.

攻擊場(chǎng)景的示意圖如圖4所示.該網(wǎng)絡(luò)系統(tǒng)由核心網(wǎng)和接入子網(wǎng)組成.接入子網(wǎng)由接入路由器接入核心網(wǎng)中,為簡(jiǎn)化分析和評(píng)估過(guò)程,假定只有兩個(gè)接入子網(wǎng),每個(gè)子網(wǎng)中的終端數(shù)量分別為N1和N2.初始狀態(tài),假設(shè)接入子網(wǎng)1遭受攻擊,緊接著攻擊傳播至接入子網(wǎng)2.

3.1 傳統(tǒng)攻擊模式

在上述攻擊場(chǎng)景的傳統(tǒng)攻擊模式下,狀態(tài)空間S={S0,…,Sθ}(θ=22-1)有四種不同狀態(tài),其傳播狀態(tài)可以用(X1,X2)表示,其中子網(wǎng)狀態(tài)Xi∈{0,1}.可能存在的傳播狀態(tài)為：

S0= (11),S1= (10),S2= (01),S3= (00).

如圖5所示,假設(shè)接入子網(wǎng)1被攻擊,子網(wǎng)1所有的終端都將與接入路由器斷開(kāi)連接.此時(shí),接入子網(wǎng)空間的狀態(tài)為(01).在該狀態(tài),若接入子網(wǎng)2繼續(xù)被攻擊,且攻擊傳播速率為λ2,子網(wǎng)進(jìn)入(00)狀態(tài)；若接入子網(wǎng)1被修復(fù),且修復(fù)速率為μ1,子網(wǎng)恢復(fù)至健康狀態(tài)(11).同樣,如果初始時(shí)刻,子網(wǎng)2遭受攻擊,子網(wǎng)空間狀態(tài)則為(10)；在該狀態(tài),若子網(wǎng)1被攻擊,則進(jìn)入(00)狀態(tài)；若子網(wǎng)2被修復(fù),則進(jìn)入健康狀態(tài)(11).

當(dāng)子網(wǎng)狀態(tài)為(00),它只能進(jìn)入修復(fù)過(guò)程；當(dāng)修復(fù)速率為μ1,子網(wǎng)狀態(tài)恢復(fù)至(10)；當(dāng)修復(fù)速率為μ2,子網(wǎng)狀態(tài)恢復(fù)至(01).

在時(shí)刻t的傳輸狀態(tài)概率為

π(t)=[π(0,1)(t)…π(X1,X2)(t)…π(1,1)(t)]

(13)

根據(jù)狀態(tài)轉(zhuǎn)移圖我們?nèi)菀椎玫?傳統(tǒng)攻擊模式下的狀態(tài)轉(zhuǎn)移矩陣為：

(14)

(15)

3.2 APT攻擊模式

在APT攻擊模式下,子網(wǎng)空間狀態(tài)有正常、休眠和活躍三種.基于上述攻擊場(chǎng)景的連續(xù)馬爾科夫鏈的狀態(tài)轉(zhuǎn)移圖如圖6所示,該轉(zhuǎn)移圖有9個(gè)節(jié)點(diǎn).因此,轉(zhuǎn)移矩陣為9*9向量空間,初始概率向量R=(1,0,0,0,0,0,0,0,0).

定義向量空間S={S0,…,Sθ}(θ=32-1),每個(gè)狀態(tài)空間可以由(X1,X2)表示,其中Xi∈{0,0′,1}.狀態(tài)空間的九個(gè)狀態(tài)分別為：

S0=(11)S1=(01)S2=(10)S3=(0′1)S4=(00),

接入子網(wǎng)初始處于正常狀態(tài)(11),當(dāng)遭受APT攻擊后,攻擊源潛入子網(wǎng)中,此時(shí),接入子網(wǎng)進(jìn)入(10)或者(01)狀態(tài).以狀態(tài)(01)為例,在此狀態(tài),攻擊源可從子網(wǎng)1傳播至子網(wǎng)2,并在子網(wǎng)2中潛伏,此時(shí)子網(wǎng)狀態(tài)為(00),攻擊傳播速率為λ2；若攻擊源在(01)狀態(tài)被激活,此時(shí)對(duì)子網(wǎng)1發(fā)起APT攻擊,則子網(wǎng)狀態(tài)為(0’1),攻擊傳播速率為λ1′.

在狀態(tài)(00),兩個(gè)子網(wǎng)均被APT攻擊潛伏,在此狀態(tài)下,若攻擊傳播速率為λ1′,則表示子網(wǎng)1被攻擊,子網(wǎng)狀態(tài)進(jìn)入(0′0)；若攻擊傳播速率為λ2′,則表示子網(wǎng)2被攻擊,子網(wǎng)狀態(tài)進(jìn)入(00′).

在狀態(tài)(00′),若子網(wǎng)1被激活成活躍攻擊狀態(tài),則進(jìn)入(0′0′)狀態(tài),攻擊傳播速率為λ1′；若子網(wǎng)2被修復(fù),修復(fù)速率為μ2,則子網(wǎng)狀態(tài)進(jìn)入(01).同樣,在狀態(tài)(0′0),子網(wǎng)狀態(tài)既可進(jìn)入(0′0′),也可修復(fù)為(10).

在狀態(tài)(0′0′),子網(wǎng)只可進(jìn)入修復(fù)過(guò)程.但其修復(fù)過(guò)程有兩種不同路徑,一種先修復(fù)完成子網(wǎng)1,經(jīng)過(guò)修復(fù)速率μ1子網(wǎng)狀態(tài)進(jìn)入(10′),最終到達(dá)完全正常狀態(tài)(11)；另一種是先修復(fù)完成子網(wǎng)2,經(jīng)過(guò)修復(fù)速率μ2子網(wǎng)狀態(tài)進(jìn)入(0′1),最終到達(dá)完全正常狀態(tài)(11).

在時(shí)刻t的傳輸狀態(tài)概率為

π(t)=[π(0,1)(t)…π(X1,X2)(t)…π(1,1)(t)]

(16)

根據(jù)圖6我們?nèi)菀椎玫?APT攻擊模式下的狀態(tài)轉(zhuǎn)移矩陣為：

(17)

(18)

4 仿真與分析

為了進(jìn)一步揭示網(wǎng)絡(luò)攻擊時(shí)的網(wǎng)絡(luò)可生存性傳播模型及規(guī)律,通過(guò)MATLAB軟件仿真,取得了該模型的傳播曲線,并設(shè)定不同參數(shù)驗(yàn)證了該模型的正確性.同時(shí),為了方便比較,突出APT攻擊時(shí)網(wǎng)絡(luò)可生存的特點(diǎn),將傳統(tǒng)攻擊和APT攻擊時(shí)的傳播曲線放在同一張圖中對(duì)比.

在這里,我們考慮用網(wǎng)絡(luò)中活躍用戶數(shù)百分比作為網(wǎng)絡(luò)生存性的一個(gè)標(biāo)準(zhǔn)化性能指標(biāo)[19],這個(gè)指標(biāo)可以準(zhǔn)確反映網(wǎng)絡(luò)中終端被中斷服務(wù)的比例.該百分比可以用公式(7)的預(yù)期瞬時(shí)回報(bào)率表示.因而,預(yù)期的瞬時(shí)回報(bào)率可以描述在t時(shí)刻網(wǎng)絡(luò)中的終端被攻擊的情況.

假定子網(wǎng)i的用戶數(shù)為Ni,可以得到每個(gè)狀態(tài)的回報(bào)率.例如,傳統(tǒng)攻擊模式下的回報(bào)率為：

考慮到每個(gè)C類IP地址最多可連接254臺(tái)主機(jī),因而我們?cè)O(shè)置子網(wǎng)1連接的終端數(shù)N1=150,子網(wǎng)2連接的終端數(shù)N2=200.根據(jù)文獻(xiàn)[20],我們可以得到網(wǎng)絡(luò)攻擊的傳播速率和修復(fù)速率.通常,網(wǎng)絡(luò)的修復(fù)速率會(huì)比網(wǎng)絡(luò)攻擊速率低一個(gè)數(shù)量級(jí).因而,設(shè)定的網(wǎng)絡(luò)攻擊傳播速率和修復(fù)速率如表1和表2所示.

下面從兩個(gè)維度來(lái)檢驗(yàn)本文提出的網(wǎng)絡(luò)可生存性模型.首先假設(shè)子網(wǎng)初始狀態(tài)的攻擊傳播速率均為2hours-1,修復(fù)速率均為0.2hours-1,如表1所示.通過(guò)增大子網(wǎng)攻擊傳播速率,如圖7所示.從圖中可以看出,網(wǎng)絡(luò)在遭受攻擊時(shí),子網(wǎng)中活躍用戶數(shù)明顯下降.但隨著時(shí)間的推移,子網(wǎng)中的終端逐漸被修復(fù),直至完全被修復(fù)(子網(wǎng)的活躍用戶百分比為1).根據(jù)表2中的參數(shù),當(dāng)保持子網(wǎng)中修復(fù)速率不變,增大子網(wǎng)的攻擊傳播速率,可以看出,子網(wǎng)中初始活躍用戶數(shù)不斷下降,同時(shí),子網(wǎng)達(dá)到完全被修復(fù)狀態(tài)所需要的時(shí)間也不斷增加.在150hour時(shí)刻,初始狀態(tài)已完全修復(fù),但狀態(tài)4只修復(fù)至0.8.

表1 子網(wǎng)攻擊傳播速率參數(shù)

根據(jù)表2中的參數(shù),當(dāng)子網(wǎng)的攻擊傳播速率保持不變,通過(guò)增大子網(wǎng)的修復(fù)速率,如圖8所示,子網(wǎng)中初始活躍用戶數(shù)不斷增加,由初始狀態(tài)0.2增加至狀態(tài)4的0.4.同時(shí),初始狀態(tài)需要經(jīng)過(guò)100hour才可完全修復(fù),然而狀態(tài)4在經(jīng)過(guò)10hour,已經(jīng)修復(fù)至0.9,可見(jiàn)子網(wǎng)修復(fù)速率的提升.

表2 子網(wǎng)修復(fù)速率參數(shù)

由此可知,網(wǎng)絡(luò)的可生存性性能不僅取決于網(wǎng)絡(luò)攻擊的傳播速率,還與網(wǎng)絡(luò)的修復(fù)速率相關(guān).

在APT攻擊模式下,將網(wǎng)絡(luò)攻擊傳播速率和修復(fù)速率參數(shù)設(shè)置一致,與傳統(tǒng)攻擊模式的可生存性曲線比較.如圖9所示,APT攻擊模式下的網(wǎng)絡(luò)修復(fù)速率比傳統(tǒng)模式下稍低.這是因?yàn)樵贏PT攻擊模式下,網(wǎng)絡(luò)中的攻擊具有潛伏性,這樣在潛伏期網(wǎng)絡(luò)攻擊不容易被發(fā)現(xiàn),致使網(wǎng)絡(luò)的可生存性比傳統(tǒng)模式要差.但隨著時(shí)間的推移,網(wǎng)絡(luò)的活躍用戶數(shù)也修復(fù)至正常水平,從而驗(yàn)證了模型的正確性.但總體上,APT攻擊對(duì)網(wǎng)絡(luò)的可生存性是有影響的.綜上所述,本文提出的模型有效的刻畫(huà)了基于APT攻擊的網(wǎng)絡(luò)可生存性特點(diǎn),具有一定的現(xiàn)實(shí)指導(dǎo)意義.

5 結(jié)論

本文基于連續(xù)馬爾科夫鏈,建立網(wǎng)絡(luò)可生存性模型,并通過(guò)攻擊實(shí)例,驗(yàn)證了模型的正確性.總結(jié)了影響網(wǎng)絡(luò)可生存性的兩個(gè)重要因素,網(wǎng)絡(luò)攻擊傳播速率和網(wǎng)絡(luò)修復(fù)速率.更進(jìn)一步,通過(guò)仿真驗(yàn)證APT攻擊模式下,網(wǎng)絡(luò)可生存性的特點(diǎn).可以看出,網(wǎng)絡(luò)修復(fù)速率是影響APT攻擊模式下的網(wǎng)絡(luò)可生存性性能關(guān)鍵指標(biāo),是防御APT攻擊的重要保證.下一步,需要繼續(xù)研究攻擊潛伏周期長(zhǎng)短對(duì)網(wǎng)絡(luò)可生存性的具體影響,以及針對(duì)多個(gè)子網(wǎng)發(fā)動(dòng)同時(shí)攻擊的模型構(gòu)建和安全策略.

[1]Jeun I,Lee Y,Won D.A practical study on advanced persistent threats[J].Computer Applications for Security,Control and System Engineering,2012,11:144-152.

[2]Zetter K.Google hack attack was ultra sophisticated,new details show[J].Wired Magazine,2010,14:33-36.

[3]Langner R.Stuxnet: dissecting a cyberwarfare weapon[J].IEEE Security & Privacy,2011,9(3): 49-51.

[4]肖新光.惡意代碼對(duì)抗體系演進(jìn)的四部曲[EB/OL].http:// www.antiy.net/papers/.

Xiao X G.The tetralogy of defending malicious code[EB/OL].http:// www.antiy.net/papers/.(in Chinese)

[5]Bencsáth B,Pék G,Buttyán L,et al.The cousins of stuxnet: duqu,flame,and gauss[J].Future Internet,2012,4(4): 971-1003.

[6]Lee J D.Targeted cyberattacks: a superset of advanced persistent threats[J].IEEE security & privacy,2013,11(3): 54-61.

[7]Giura P,Wang W.A context-based detection framework for advanced persistent threats[A].International Conference on Cyber Security [C],Washington,2012.69-74.

[8]Dube T E,Raines R A,Grimaila M R,et al.Malware target recognition of unknown threats[J].IEEE Systems Journal,2013,7(3): 467-477.

[9]Johnson J R,Hogan E A.A graph analytic metric for mitigating advanced persistent threat[A].IEEE International Conference on Intelligence and Security Informatics[C],Seattle,2013.129-133.

[10]Sterbenz J P G,Hutchison D,?etinkaya E K,et al.Resilience and survivability in communication networks: Strategies,principles,and survey of disciplines[J].Computer Networks,2010,54(8): 1245-1265.

[11]ANSI T1A1.2 Working Group on Network Survivability Performance.Technical Report on Enhanced Network Survivability Performance[S],ANSI,Tech.Rep.TR No.68,2001.

[12]Heegaard P E,Trivedi K S.Network survivability modeling[J].Computer Networks,2009,53(8): 1215-1234.

[13]Xie L,Heegaard P E,Jiang Y.Network survivability under disaster propagation: Modeling and analysis[A].Wireless Communications and Networking Conference (WCNC)[C],Shanghai,2013.4730-4735.

[14]Xie L,Jiang Y,Heegaard P E.Modelling and analysis of the survivability of telecommunication networks[A].15th International Symposium on Software Reliability Engineering[C],2004,367 - 377.

[15]趙二虎,陽(yáng)小龍,彭云峰,隆克平.CPSM：一種增強(qiáng)IP網(wǎng)絡(luò)生存性的客戶端主動(dòng)服務(wù)漂移模型[J].電子學(xué)報(bào),2010,38(9):2134-2139.

Zhao E H,Yang X L,Peng Y F,Long K P.CPSM: client-side proactive service migration model for enhancing IP network survivability[J].Acta Electronica Sinica,2010,38(9):2134-2139.(in Chinese)

[16]Izaddoost A,Heydari S S.Enhancing network service survivability in large-scale failure scenarios[J].Journal of Communications & Networks,2014,16(5):534-547.

[17]王鵬飛,趙文濤,張帆,鄒榮念.網(wǎng)絡(luò)系統(tǒng)可生存能力量化評(píng)估的指標(biāo)體系研究[J].計(jì)算機(jī)工程與科學(xué),2014,36(6):1050-1056.

Wang P F,Zhao W T,Zhang F,Zou R N.Research on index system of quantitative evaluation for network systems viability[J].Computer Engineering&Science,2014,36(6):1050-1056.(in Chinese)

[18]Wen S,Zhou W,Zhang J,et al.Modeling propagation dynamics of social network worms[J].IEEE Transactions on Parallel and Distributed Systems,2013,24(8): 1633-1643.

[19]Zolfaghari A,Kaudel F J.Framework for network survivability performance[J].IEEE Journal on Selected Areas in Communications,1994,12(1): 46-51.

[20]Camtepe S A,Yener B.Modeling and detection of complex attacks[A].Third International Conference on.IEEE Security and Privacy in Communications Networks and the Workshops[C].Nice,2007.234-243.

姚 蘇 男，1986年12月出生，安徽舒城人，中國(guó)航空綜合技術(shù)研究所工程師，現(xiàn)為北京交通大學(xué)在讀博士.目前主要從事網(wǎng)絡(luò)安全標(biāo)準(zhǔn)應(yīng)用技術(shù)的研究工作.獲中航工業(yè)集團(tuán)獎(jiǎng)勵(lì)多項(xiàng)，參與多項(xiàng)國(guó)家和軍隊(duì)技術(shù)基礎(chǔ)研究項(xiàng)目.

E-mail: yaosu@bjtu.edu.cn.

關(guān)建峰 男，1982年2月出生，河南鞏義人.2004、2010年分別畢業(yè)于東北大學(xué)、北京交通大學(xué)獲得學(xué)士、博士學(xué)位.2010年進(jìn)入北京郵電大學(xué)網(wǎng)絡(luò)技術(shù)研究院，主要從事移動(dòng)互聯(lián)網(wǎng)、網(wǎng)絡(luò)安全等方面的研究工作.

E-mail: jfguan@bupt.edu.cn.

潘 華 女，1965年10月出生，安徽界首人；1988、1991年分別于北京航空航天大學(xué)獲得學(xué)士、碩士學(xué)位，現(xiàn)為中國(guó)航空綜合技術(shù)研究所研究員，主要從事信息技術(shù)標(biāo)準(zhǔn)化的研究工作，主編多項(xiàng)國(guó)家軍用標(biāo)準(zhǔn)，并多次獲得軍隊(duì)和中航工業(yè)集團(tuán)獎(jiǎng)勵(lì).

張宏科 男，1957年9月出生，山西大同人，北京交通大學(xué)教授，博士生導(dǎo)師.目前主要從事下一代信息網(wǎng)絡(luò)關(guān)鍵理論與技術(shù)的研究工作，作為首席科學(xué)家主持國(guó)家973項(xiàng)目"智慧協(xié)同網(wǎng)絡(luò)理論基礎(chǔ)研究"的研究工作.

Modeling and Analysis for Network Survivability of APT Latent Attack

YAO Su1,2,GUAN Jian-feng3,PAN Hua2,ZHANG Hong-ke1

(1.SchoolofElectronicsandInformationEngineering,BeijingJiaotongUniversity,Beijing100044,China;2.ChinaAero-PolytechnologyEstablishment,Beijing100028,China;3.BeijingUniversityofPostsandTelecommunications,Beijing100876,China)

The paper proposes the model of network survivability based on the patterns of normal network attack and APT attack.The model is demonstrated by constructing the simulation scenarios of network attack to analyze their performances.The results show that this evaluation model can effectively reflect two parameters: the speeds of network attack propagation and network recovery,and the performance of network survivability of APT attack pattern is lower than that of normal attack pattern.

APT；network survivability；evaluating model；Markov chain

4-10-28；

2015-10-30；責(zé)任編輯：郭游

國(guó)家973重點(diǎn)基礎(chǔ)研究發(fā)展規(guī)劃(No.2013CB329101)；國(guó)家自然科學(xué)基金(No.61232017,61003283)；國(guó)家科技重大專項(xiàng)(No.2013ZX03006002)

TP393.0

A

0372-2112 (2016)10-2415-08

??學(xué)報(bào)URL:http://www.ejournal.org.cn

10.3969/j.issn.0372-2112.2016.10.020