◆何韶軍孔 睿 劉江偉 姚 樂

基于原子動作的網(wǎng)絡(luò)惡意行為識別方法

◆何韶軍1孔 睿2通訊作者劉江偉1姚 樂3

（1.中國人民解放軍31003部隊 北京 100191；2.中國人民解放軍軍事科學(xué)院戰(zhàn)爭研究院 北京 100091；3.中國人民解放軍軍事科學(xué)院 北京 100091）

本文提出一種基于原子動作的網(wǎng)絡(luò)惡意行為識別方法，實現(xiàn)快速識別網(wǎng)絡(luò)惡意行為特征。首先，由于信息系統(tǒng)提供面向用戶的各種業(yè)務(wù)，其各類業(yè)務(wù)由服務(wù)資源和數(shù)據(jù)資源提供支撐，因此將信息系統(tǒng)基本資源的分為四層；其次，本質(zhì)上網(wǎng)絡(luò)惡意行為是通過影響系統(tǒng)基本資源屬性來達(dá)到影響系統(tǒng)的目的，基于此，將惡意原子動作分為對資源的增加、刪除、修改、竊取、解析、占用；最后，采用二元組將惡意動作表述為針對某個系統(tǒng)基本資源實施了某類惡意原子動作。該方法能夠描述網(wǎng)絡(luò)惡意行為全集，反映網(wǎng)絡(luò)惡意行為中包含的受惡意影響的資源序列信息，可以從保護(hù)受惡意行為影響的系統(tǒng)資源的角度著手防范該類惡意行為。

原子動作；網(wǎng)絡(luò)惡意行為；識別方法；基本資源

隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)安全威脅日益突出，網(wǎng)絡(luò)惡意行為也受到越來越多的關(guān)注。網(wǎng)絡(luò)惡意行為[1-2]，是為實現(xiàn)一定的目的針對某一目標(biāo)所采取的一系列操作的過程，是一個不斷向攻擊目的逼近的動態(tài)過程。通常采用掃描[3]、口令攻擊[4]、惡意代碼[5]、緩沖區(qū)溢出[6]、欺騙[7]、后門[8]、會話劫持[9]、網(wǎng)絡(luò)監(jiān)聽[10]、拒絕服務(wù)[11]等方法，對目標(biāo)網(wǎng)絡(luò)或系統(tǒng)產(chǎn)生影響和破壞，如篡改信息、騙取和假冒數(shù)據(jù)、盜取服務(wù)和資源、破壞系統(tǒng)可用性等。

大數(shù)據(jù)時代下，網(wǎng)絡(luò)安全事件呈現(xiàn)出數(shù)據(jù)多樣化、數(shù)據(jù)量快速遞增等特點(diǎn)，安全事件的事態(tài)與特性分析決策面臨巨大的挑戰(zhàn)。國家互聯(lián)網(wǎng)應(yīng)急中心[12]（CNCERT）僅在2018年就關(guān)閉了772個控制規(guī)模較大的僵尸網(wǎng)絡(luò)，切斷了黑客對境內(nèi)約390萬臺感染主機(jī)的控制，全年捕獲勒索軟件近14萬個，捕獲的計算機(jī)惡意程序樣本數(shù)量超過1億個。2018年，CNCERT抽樣監(jiān)測發(fā)現(xiàn)我國境內(nèi)峰值超過10Gbps的大流量分布式拒絕服務(wù)攻擊（DDoS攻擊）事件數(shù)量平均每月超過4000起。2019年網(wǎng)絡(luò)安全事件更是層出不窮。澳大利亞維多利亞州政府3萬名雇員個人信息外泄，萬豪酒店5億客戶數(shù)據(jù)泄漏，俄羅斯50多家大型企業(yè)遭到未知攻擊者勒索。如何高效、準(zhǔn)確識別網(wǎng)絡(luò)安全事件中的惡意行為的類型，并為事件處置決策提供幫助，已經(jīng)成為國家與網(wǎng)絡(luò)空間安全領(lǐng)域的關(guān)鍵性問題。

為了做到主動防御，爭取在網(wǎng)絡(luò)攻擊與防護(hù)的安全對抗中占據(jù)主動地位，我們需要深入研究并把握網(wǎng)絡(luò)惡意行為的規(guī)律。在研究和分析現(xiàn)有網(wǎng)絡(luò)惡意行為和事件的基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)惡意行為分析是研究、設(shè)計和實現(xiàn)黑客入侵防范體系的第一步，網(wǎng)絡(luò)惡意行為分析的一個有效方法是對網(wǎng)絡(luò)惡意行為進(jìn)行分類。

1 相關(guān)研究

對網(wǎng)絡(luò)惡意行為進(jìn)行分類識別是防范網(wǎng)絡(luò)攻擊、降低攻擊損失的重要工作內(nèi)容。目前，對網(wǎng)絡(luò)惡意行為有多種分類方法，不同的分類方法會得到不同的分類結(jié)果，要獲得一個理想的結(jié)果，需要一個好的分類方法和分類標(biāo)準(zhǔn)。下面就對網(wǎng)絡(luò)惡意行為的分類方法進(jìn)行討論。

基于經(jīng)驗術(shù)語的分類描述方法[13]利用網(wǎng)絡(luò)惡意行為中常見的技術(shù)術(shù)語、社會術(shù)語等對網(wǎng)絡(luò)惡意行為進(jìn)行描述。Lcove[14]按照該方法把攻擊類型分為病毒、蠕蟲、DDoS、網(wǎng)絡(luò)欺騙等20余類，但此種分類方法只能描述已知惡意行為，術(shù)語之間存在較大交叉，術(shù)語內(nèi)涵不明確。

基于單一屬性的描述方法[15]是指從某個特定屬性描述網(wǎng)絡(luò)惡意行為的方法。典型的將惡意行為實施手段分為5種：中斷、攔截、竊聽、篡改、偽造，或?qū)阂庑袨榉譃橥獠繛E用、硬件濫用、偽造、有害代碼、繞過認(rèn)證或授權(quán)、主動濫用、被動濫用、惡意濫用、間接濫用。此種方法只能籠統(tǒng)地反映出惡意行為屬性的特點(diǎn)。

基于多維屬性的描述方法指同時抽取惡意行為的多個屬性，并利用這些屬性組成的序列來表示一個惡意行為過程，具體屬性包括：實施者的類型、所使用的工具、過程信息、結(jié)果和目的。王昭等人[16]提出了一種基于多維屬性的網(wǎng)絡(luò)攻擊分類方法，將攻擊過程用技術(shù)手段、攻擊來源、攻擊入口等14個方面的屬性來進(jìn)行描述。這種方法能全面反映惡意行為的各個屬性，但較為復(fù)雜，適用于深入解讀惡意行為后對其進(jìn)行描述。

基于應(yīng)用的分類描述法是對特定類型應(yīng)用、特定系統(tǒng)而發(fā)起的惡意行為的屬性進(jìn)行分類描述的方法。Welch等人[17]對無線網(wǎng)絡(luò)的攻擊進(jìn)行了研究，從嗅探、中間人和重放攻擊等方面進(jìn)行了描述。該方法有利于描述惡意行為固有特點(diǎn)及其關(guān)鍵屬性，但也正是因為過多地考慮專用性的原因，這種方法在普適性方面的表現(xiàn)較差，難以適用于不同的應(yīng)用領(lǐng)域，無法窮盡惡意行為。

2 基于惡意原子動作的惡意行為描述方法

網(wǎng)絡(luò)惡意行為最終可描述為影響或破壞目標(biāo)網(wǎng)絡(luò)、系統(tǒng)的業(yè)務(wù)。為描述網(wǎng)絡(luò)惡意行為針對的系統(tǒng)業(yè)務(wù)，提出一種基于原子動作的網(wǎng)絡(luò)惡意行為分類描述方法，該方法提取惡意動作作用的系統(tǒng)業(yè)務(wù)基本資源，依據(jù)系統(tǒng)業(yè)務(wù)基本資源受到的影響提取惡意原子動作，形成對該惡意動作的描述，集合全部惡意動作的描述即形成對惡意行為的描述，最后受惡意動作影響的系統(tǒng)業(yè)務(wù)基本資源對惡意行為進(jìn)行分類識別。將具有同樣的受影響業(yè)務(wù)資源的惡意行為分為一類進(jìn)行識別，可以從保護(hù)受惡意行為影響的系統(tǒng)資源的角度著手防范該類惡意行為。

本方法采用二元組（y,d）描述網(wǎng)絡(luò)惡意動作g:g（y,d）描述網(wǎng)絡(luò)惡意行為的一個動作，y表示受影響的系統(tǒng)資源，d表示惡意原子動作，該二元組將網(wǎng)絡(luò)惡意行為動作表述為針對某個系統(tǒng)基本資源實施了某類惡意原子動作。一種網(wǎng)絡(luò)惡意行為可以由多個惡意動作組成，也可以只有一個惡意動作，表述為：G{ g1（y1,d1），g2（y2,d2），……，gn（yn,dn）}，n≥1。

作為最早使用的漆器胎骨，“刳器”的優(yōu)點(diǎn)和缺點(diǎn)都是顯而易見的。其優(yōu)點(diǎn)是結(jié)實耐用。因為“刳器”是整塊木料加工而成的，未經(jīng)拼接，且較為厚重，因而不易折損。缺點(diǎn)在于，加工時要挖去很多不必要的部分，因而費(fèi)工、費(fèi)料。而且，“刳器”一般比較厚重，有失輕巧。

圖1 基于惡意原子動作的惡意行為描述方法流程

3 受影響的信息系統(tǒng)基本資源

將信息系統(tǒng)視為面向用戶提供多項業(yè)務(wù)的整體，業(yè)務(wù)由運(yùn)行的硬件/軟件程序和數(shù)據(jù)共同支撐，因此每項業(yè)務(wù)包含服務(wù)資源和數(shù)據(jù)資源。動態(tài)運(yùn)行著的程序代碼提供服務(wù)，服務(wù)包括硬件服務(wù)、操作系統(tǒng)服務(wù)和用戶服務(wù)，其中，硬件面向系統(tǒng)程序代碼提供硬件服務(wù)，操作系統(tǒng)面向業(yè)務(wù)程序代碼提供操作系統(tǒng)服務(wù)，業(yè)務(wù)程序代碼面向用戶提供用戶服務(wù)；數(shù)據(jù)是指硬件/軟件程序運(yùn)行所需要的代碼、管理參數(shù)等運(yùn)行數(shù)據(jù)及其運(yùn)行中生成的數(shù)據(jù)。服務(wù)包括服務(wù)管理和服務(wù)應(yīng)用，相應(yīng)地，數(shù)據(jù)包括管理數(shù)據(jù)和生成數(shù)據(jù)。基于此，對信息系統(tǒng)基本資源進(jìn)行分層描述，如圖2。

3.1 服務(wù)資源

服務(wù)資源指動態(tài)運(yùn)行的代碼面向程序/用戶提供的應(yīng)用，包括硬件服務(wù)、操作系統(tǒng)服務(wù)和用戶服務(wù)。

（1）硬件服務(wù)資源

硬件服務(wù)資源指支撐信息系統(tǒng)運(yùn)行的各種物理設(shè)備資源，是硬件面向系統(tǒng)程序代碼提供的服務(wù)，包括主機(jī)設(shè)備、外圍設(shè)備、網(wǎng)絡(luò)設(shè)備。主機(jī)設(shè)備包括CPU、內(nèi)存、硬盤、光驅(qū)、電源、BIOS、網(wǎng)卡以及其他輸入輸出控制器和接口；外圍設(shè)備包括輸入/輸出設(shè)備、外存儲器、鍵盤、打印機(jī)、磁盤驅(qū)動器；網(wǎng)絡(luò)設(shè)備包括中繼器、路由器、網(wǎng)關(guān)、交換機(jī)、防火墻、網(wǎng)橋等設(shè)備。

（2）操作系統(tǒng)服務(wù)資源

操作系統(tǒng)服務(wù)資源指信息系統(tǒng)運(yùn)行所依賴的操作系統(tǒng)環(huán)境提供的各種系統(tǒng)應(yīng)用，是面向業(yè)務(wù)軟件代碼的操作系統(tǒng)服務(wù)，包括操作系統(tǒng)管理和操作系統(tǒng)應(yīng)用。其中操作系統(tǒng)管理包括設(shè)備管理、程序管理、組件與服務(wù)管理、網(wǎng)絡(luò)管理、用戶管理、存儲管理、文件管理、策略管理、任務(wù)管理、日志管理；操作系統(tǒng)應(yīng)用包括網(wǎng)絡(luò)傳輸、服務(wù)組件、文字處理、系統(tǒng)命令、圖像處理、打印輸出等。

圖2 信息系統(tǒng)基本資源結(jié)構(gòu)組成

（3）用戶服務(wù)資源

用戶服務(wù)資源指信息系統(tǒng)所提供的運(yùn)行于操作系統(tǒng)之上的用戶應(yīng)用和系統(tǒng)其他配套應(yīng)用，是面向用戶的應(yīng)用服務(wù)，包括服務(wù)管理和服務(wù)應(yīng)用。用戶服務(wù)資源包括用戶服務(wù)管理和用戶服務(wù)應(yīng)用；系統(tǒng)其他應(yīng)用是指附加于操作系統(tǒng)之上區(qū)別于信息系統(tǒng)主要業(yè)務(wù)的用戶服務(wù)，這些用戶服務(wù)是構(gòu)成整個操作系統(tǒng)運(yùn)行環(huán)境的一部分，例如系統(tǒng)安全應(yīng)用、游戲、音視頻應(yīng)用等，這些用戶服務(wù)也包括用戶服務(wù)管理和用戶服務(wù)應(yīng)用。

3.2 數(shù)據(jù)資源

數(shù)據(jù)資源指信息系統(tǒng)運(yùn)行所需的代碼、參數(shù)及運(yùn)行中生成的數(shù)據(jù)。包括硬件數(shù)據(jù)資源、操作系統(tǒng)數(shù)據(jù)資源和用戶服務(wù)數(shù)據(jù)資源。

硬件數(shù)據(jù)資源包括硬件管理數(shù)據(jù)和硬件生成數(shù)據(jù)。硬件管理數(shù)據(jù)指管理信息系統(tǒng)運(yùn)行的各種物理設(shè)備儲存的參數(shù)和代碼，包括BIOS運(yùn)行參數(shù)和運(yùn)行代碼、打印機(jī)運(yùn)行參數(shù)和運(yùn)行代碼、中繼器運(yùn)行參數(shù)和運(yùn)行代碼、路由器運(yùn)行參數(shù)和運(yùn)行代碼、網(wǎng)關(guān)運(yùn)行參數(shù)和運(yùn)行代碼、交換機(jī)運(yùn)行參數(shù)和運(yùn)行代碼、防火墻運(yùn)行參數(shù)和運(yùn)行代碼、網(wǎng)橋運(yùn)行參數(shù)和運(yùn)行代碼等；硬件生成數(shù)據(jù)是信息系統(tǒng)中各種物理設(shè)備運(yùn)行過程中產(chǎn)生的數(shù)據(jù)，包括BIOS、打印機(jī)、中繼器、路由器、網(wǎng)關(guān)、交換機(jī)、防火墻、網(wǎng)橋等在運(yùn)行過程中輸出的數(shù)據(jù)。

（2）操作系統(tǒng)數(shù)據(jù)資源

操作系統(tǒng)數(shù)據(jù)資源包括操作系統(tǒng)管理數(shù)據(jù)和操作系統(tǒng)生成數(shù)據(jù)。操作系統(tǒng)管理數(shù)據(jù)包括設(shè)備數(shù)據(jù)、程序數(shù)據(jù)、組件數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、用戶數(shù)據(jù)、存儲管理數(shù)據(jù)、文件管理數(shù)據(jù)、策略數(shù)據(jù)、任務(wù)數(shù)據(jù)、日志數(shù)據(jù)；操作系統(tǒng)生成數(shù)據(jù)包括網(wǎng)絡(luò)傳輸數(shù)據(jù)、服務(wù)組件生成數(shù)據(jù)、文字處理生成數(shù)據(jù)、圖像處理生成數(shù)據(jù)、系統(tǒng)安全應(yīng)用生成數(shù)據(jù)、打印輸出生成數(shù)據(jù)等。

（3）用戶服務(wù)數(shù)據(jù)資源

用戶服務(wù)數(shù)據(jù)資源包括用戶服務(wù)管理數(shù)據(jù)和用戶服務(wù)生成數(shù)據(jù)。用戶服務(wù)管理數(shù)據(jù)是指運(yùn)行于操作系統(tǒng)之上的業(yè)務(wù)所需要的代碼/管理數(shù)據(jù)，用戶服務(wù)生成數(shù)據(jù)是指運(yùn)行于操作系統(tǒng)之上的業(yè)務(wù)運(yùn)行中生成的數(shù)據(jù)。

資源可以通過可用性、占用率、響應(yīng)速率/時間、正確度、保密性等基本屬性進(jìn)行描述。本質(zhì)上，網(wǎng)絡(luò)惡意行為正是通過影響系統(tǒng)基本資源屬性來達(dá)到攻擊系統(tǒng)的目的。一個惡意動作可影響一個或多個系統(tǒng)業(yè)務(wù)，只要做好相關(guān)系統(tǒng)資源的防護(hù)即可達(dá)到對整個網(wǎng)絡(luò)惡意行為的防范。

4 惡意原子動作

惡意原子動作d的取值范圍包括增加、刪除、修改、竊取、解析、占用，其內(nèi)涵如下文所述。

增加是指惡意原子動作將不合法的資源插入到目標(biāo)系統(tǒng)中的行為，例如植入病毒、木馬、邏輯炸彈等屬于此類行為。刪除是指惡意原子動作去掉合法的系統(tǒng)資源的行為，例如刪除硬盤引導(dǎo)數(shù)據(jù)、刪除文件等屬于此類行為。修改是指惡意原子動作改變正確的系統(tǒng)資源內(nèi)涵的行為，例如修改用戶配置文件、修改操作提供安全配置策略等屬于此類行為。竊取是指惡意原子動作對系統(tǒng)資源實施不合法讀取的行為，例如網(wǎng)絡(luò)探測、信息竊取屬于此類動作。解析是指惡意原子動作對竊取的系統(tǒng)資源進(jìn)行分析理解有用信息的行為，例如密碼破譯、協(xié)議分析等屬于此類行為。占用是指惡意原子動作非法使用系統(tǒng)資源從而影響資源正常使用的行為，例如拒絕服務(wù)攻擊等屬于此類行為。

一種網(wǎng)絡(luò)惡意行為可能包含了若干惡意動作，按照時序集合這些惡意動作描述即可形成對完整網(wǎng)絡(luò)惡意行為的描述，將具有同樣的受影響業(yè)務(wù)資源的網(wǎng)絡(luò)惡意行為分為一類進(jìn)行識別，可以從保護(hù)受影響的系統(tǒng)資源的角度著手防范該類網(wǎng)絡(luò)惡意行為。

5 實例分析

中間人攻擊是網(wǎng)絡(luò)惡意行為的常見手段之一，本文結(jié)合基于原子動作的網(wǎng)絡(luò)惡意行為分類描述方法對基于ARP欺騙的中間人攻擊進(jìn)行分析。

由于ARP協(xié)議設(shè)計的初衷是為了方便數(shù)據(jù)傳輸，未考慮網(wǎng)絡(luò)安全因素，存在設(shè)計缺陷，主要表現(xiàn)為該協(xié)議未提供一種檢驗IP地址與MAC地址對應(yīng)關(guān)系真實性的機(jī)制，使所有ARP響應(yīng)均認(rèn)為合法，無須認(rèn)證。以上缺陷，使得ARP欺騙成為網(wǎng)絡(luò)中中間人攻擊的一種常用手段。

基于ARP欺騙的中間人攻擊包括網(wǎng)絡(luò)偵察、插入通信鏈路、截獲數(shù)據(jù)、轉(zhuǎn)發(fā)數(shù)據(jù)四個步驟。

5.1 網(wǎng)絡(luò)偵察

在對目標(biāo)進(jìn)行中間人攻擊前，通過使用“嗅探”獲取目標(biāo)網(wǎng)絡(luò)關(guān)鍵信息，“嗅探”的過程是對操作系統(tǒng)運(yùn)行/管理數(shù)據(jù)的網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)進(jìn)行竊取和解析的過程，表示如下：

網(wǎng)絡(luò)數(shù)據(jù)竊取：g1（網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)，竊取）；

網(wǎng)絡(luò)數(shù)據(jù)解析：g2（網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)，解析）。

5.2 插入通信鏈路

“嗅探”完成后，主機(jī)C插入合法主機(jī)A、B通信路徑之間，使主機(jī)A、B間通過C通信：A←→C←→B。為此，主機(jī)C向網(wǎng)絡(luò)廣播錯誤ARP響應(yīng)信息，使主機(jī)A、B更新ARP緩存（主機(jī)B的lP--主機(jī)C的MAC、主機(jī)A的IP--主機(jī)C的MAC），此后主機(jī)A會將主機(jī)C的MAC地址作為主機(jī)B的MAC地址，而主機(jī)B也會將主機(jī)C的MAC地址作為主機(jī)A的MAC地址。當(dāng)A、B之間通信時，數(shù)據(jù)幀均會發(fā)往主機(jī)C，通過定時廣播偽造ARP響應(yīng)，可將攻擊主機(jī)C插入到主機(jī)A、B通信路徑中。

以上修改ARP緩存的行為，可以視為對操作系統(tǒng)運(yùn)行/管理數(shù)據(jù)中網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)正確性的修改，可以表示為：g3（網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)正確性，修改）。

5.3 截獲數(shù)據(jù)

當(dāng)成功將主機(jī)C插入主機(jī)A、主機(jī)B的通信鏈路后，主機(jī)A、B的數(shù)據(jù)均發(fā)往主機(jī)C，運(yùn)行在混雜模式的網(wǎng)卡可以截獲這些數(shù)據(jù)。

截獲主機(jī)A、主機(jī)B通信數(shù)據(jù)的行為，可以視為對業(yè)務(wù)生成數(shù)據(jù)的竊取，具體何種業(yè)務(wù)生成數(shù)據(jù)，因被攻擊業(yè)務(wù)而異，表示為：g4（某業(yè)務(wù)生成數(shù)據(jù)，竊?。?。

5.4 轉(zhuǎn)發(fā)數(shù)據(jù)

為了保證主機(jī)A、主機(jī)B之間通信的連續(xù)性，主機(jī)C必須轉(zhuǎn)發(fā)所有截獲的數(shù)據(jù)包，主機(jī)C應(yīng)修改數(shù)據(jù)幀的目的MAC地址為主機(jī)A或B的真實MAC地址，例如，對主機(jī)B發(fā)給主機(jī)A的數(shù)據(jù)包，主機(jī)C需要將目的MAC地址由主機(jī)C的地址變更為主機(jī)A的MAC地址。此外，根據(jù)惡意行為目標(biāo)，可以更改數(shù)據(jù)包的業(yè)務(wù)內(nèi)容，達(dá)到欺騙主機(jī)A、主機(jī)B的目的。

轉(zhuǎn)發(fā)數(shù)據(jù)的過程，可以視為對業(yè)務(wù)生成數(shù)據(jù)正確性的修改，具體何種業(yè)務(wù)生成數(shù)據(jù)，因被攻擊業(yè)務(wù)而異，表示為：g5（某業(yè)務(wù)生成數(shù)據(jù)正確性，修改）。

在對基于ARP欺騙的中間人攻擊流程進(jìn)行梳理分析后，該網(wǎng)絡(luò)惡意行為可以表述為以下惡意動作的集合G：{g1（網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)，竊?。?，g2（網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)，解析），g3（網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)正確性，修改），g4（某業(yè)務(wù)生成數(shù)據(jù)，竊取），g5（某業(yè)務(wù)生成數(shù)據(jù)正確性，修改）}。

該方法可以描述網(wǎng)絡(luò)惡意行為全集，當(dāng)新的網(wǎng)絡(luò)攻擊出現(xiàn)時，可以采取本方法對尚未完全認(rèn)知的網(wǎng)絡(luò)惡意行為按照作用于系統(tǒng)資源屬性的效果進(jìn)行分類描述，如表1所示。

表1 典型網(wǎng)絡(luò)惡意行為的惡意動作表示

6 結(jié)束語

為描述網(wǎng)絡(luò)惡意行為針對的系統(tǒng)業(yè)務(wù)，提出一種基于原子動作的網(wǎng)絡(luò)惡意行為分類描述方法，該方法提取惡意動作作用的系統(tǒng)業(yè)務(wù)基本資源，依據(jù)系統(tǒng)業(yè)務(wù)基本資源受到的影響提取惡意原子動作，形成對該惡意動作的描述，集合全部惡意動作的描述即形成對惡意行為的描述，最后對惡意行為進(jìn)行分類識別。將具有同樣的受影響業(yè)務(wù)資源的惡意行為分為一類進(jìn)行識別，可以從保護(hù)受惡意行為影響的系統(tǒng)資源的角度著手防范該類惡意行為。

[1]熊澤明.計算機(jī)網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（03）：4-5.

[2]SELVAKUMAR B，MUNEESWARAN K. Firefly Algorithm Based Feature Selection for Network Intrusion Detection[J]. Computers & Security，2018.

[3]RING M，LANDES D，HOTHO A. Detection of Slow Port Scans in Flow-based Network Traffic.[J]. PloS one，2018，13（9）.

[4]ANOUD B H，MUNIR M，AISHA A. Online Authentication Methods Used in Banks and Attacks Against These Methods[J]. Procedia Computer Science，2019，151.

[5]孫澤浩.基于深度學(xué)習(xí)的惡意代碼檢測技術(shù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（02）：61-62+67.

[6]孫文豪.緩沖區(qū)溢出的安全隱患[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2010（05）：9-10.

[7]XIA Jing，CAI Zhiping，HU Gang，XU Ming. An Active Defense Solution for ARP Spoofing in OpenFlow Network[J].Chinese Journal of Electronics，2019，28（01）：172-178.

[8]馬顏軍.Web的安全威脅與安全防護(hù)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（11）：20-21.

[9]KRISHNAN V A，AMRITHA P P，SETHUMADHAVAN M .Sum Chain Based Approach against Session Hijacking in MPTCP[J]. Procedia Computer Science，2017，115：794-803.

[10]樊強(qiáng).網(wǎng)絡(luò)安全中網(wǎng)絡(luò)監(jiān)聽與防范技術(shù)探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（09）：53+56.

[11]LI Yuancheng，ZHANG Pan，MA Longqiang. Denial of Service Attack and Defense Method on Load FrequencyControl System[J]. Journal of the Franklin Institute，2019，356（15）.

[12]王小群，韓志輝，徐劍，等.2018年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述[J].保密科學(xué)技術(shù)，2019（05）：4-9.

[13]高見，王安.面向網(wǎng)絡(luò)攻擊的能力評估分類體系研究[J/OL].計算機(jī)應(yīng)用研究：1-7[2019-11-09].https：//doi.org/10.19734/j.issn.1001-3695.2019.01.0075.

[14]王萌，王亞剛，韓俊剛. 基于NDNN 的入侵檢測系統(tǒng)[J]. 微電子學(xué)與計算機(jī)，2018，35（7）：89-92.

[15]JAYARAM N D，MORSE P L R. Network Security-a Taxonomic View [C]//Proc of European Conference on Security & Detection. IET，2002.

[16]王昭，李翔宇，胡建斌. 一種基于多維屬性的網(wǎng)絡(luò)攻擊分類方法[J]. 微計算機(jī)應(yīng)用，2009，30 （6）：24-29.

[17]AYROUR Y，RAJI A，NASSAR M. Modelling Cyber-attacks：a Survey Study [J]. Network Security，2018，2018（3）：13-19.

鐵道部科技研究開發(fā)計劃[2012X004-A]