丁群

摘 ?要： 傳統(tǒng)的抗惡意軟件攻擊測(cè)試系統(tǒng)存在攻擊效果檢測(cè)效率低、抗攻擊能力評(píng)估準(zhǔn)確性差的缺陷，為了解決上述問(wèn)題，引入?yún)f(xié)議分析技術(shù)對(duì)抗惡意軟件攻擊測(cè)試系統(tǒng)進(jìn)行設(shè)計(jì)。依據(jù)抗惡意軟件攻擊測(cè)試系統(tǒng)的需求，搭建抗惡意軟件攻擊測(cè)試系統(tǒng)框架，以此為基礎(chǔ)對(duì)系統(tǒng)硬件與軟件進(jìn)行詳細(xì)設(shè)計(jì)。系統(tǒng)硬件由流量采集器、協(xié)議分析器與數(shù)據(jù)存儲(chǔ)器組成;系統(tǒng)軟件由流量捕獲模塊、協(xié)議分析模塊、惡意軟件攻擊效果檢測(cè)模塊與抗惡意軟件攻擊能力評(píng)估模塊組成。通過(guò)系統(tǒng)硬件與軟件的設(shè)計(jì)實(shí)現(xiàn)了抗惡意軟件攻擊測(cè)試系統(tǒng)的運(yùn)行。由測(cè)試結(jié)果得到，與傳統(tǒng)的抗惡意軟件攻擊測(cè)試系統(tǒng)相比，設(shè)計(jì)的抗惡意軟件攻擊測(cè)試系統(tǒng)極大地提升了攻擊效果檢測(cè)效率與抗攻擊能力評(píng)估準(zhǔn)確性，充分說(shuō)明設(shè)計(jì)的抗惡意軟件攻擊測(cè)試系統(tǒng)具有更好的測(cè)試效果。

關(guān)鍵詞： 協(xié)議分析技術(shù); 惡意軟件攻擊; 測(cè)試系統(tǒng); 網(wǎng)絡(luò)流量; 評(píng)估準(zhǔn)確性; 抗攻擊能力

中圖分類號(hào)： TN915.08?34; G255 ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼： A ? ? ? ? ? ? ? ? ? ?文章編號(hào)： 1004?373X（2020）23?0054?04

Abstract： The traditional anti?malware attack test system has the defects of low detection efficiency of attack result and poor accuracy of anti?attack ability evaluation. In view of the above， protocol analysis technology is introduced to design an anti?malware attack test system. According to the requirement of anti?malware attack test system， the framework of anti?malware attack test system is built. On the basis of this， the hardware and software of the system are designed in detail. The system hardware consists of flow collector， protocol analyzer and data memory， while the system software consists of flow capture module， protocol analysis module， malware attack result detection module and anti?malware attack ability evaluation module. The operation of anti?malware attack test system is realized by the design of system hardware and software. The test results show that， in comparison with the traditional anti?malware attack test system， the designed anti?malware attack test system greatly improves the efficiency of attack result detection and the accuracy of anti?attack ability evaluation， which fully demonstrates that the designed anti?malware attack test system has a better test effect.

Keywords： protocol analysis technology; malware attack; test system; network flow; evaluation accuracy; anti?attack ability

0 ?引 ?言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，由于網(wǎng)絡(luò)開放性的影響，使得網(wǎng)絡(luò)經(jīng)常受到惡意軟件的攻擊，惡意軟件主要指的是計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的病毒、蠕蟲與特洛伊木馬等程序，主要通過(guò)破壞軟件進(jìn)程實(shí)施控制，輕則導(dǎo)致網(wǎng)絡(luò)某部分發(fā)生故障，重則導(dǎo)致整個(gè)網(wǎng)絡(luò)發(fā)生癱瘓，產(chǎn)生較大的影響。因此，網(wǎng)絡(luò)安全問(wèn)題逐漸受到人們的重視，其是影響網(wǎng)絡(luò)發(fā)展的重要問(wèn)題，如何在開放式的環(huán)境下構(gòu)建安全網(wǎng)絡(luò)系統(tǒng)已經(jīng)成為現(xiàn)今研究的重點(diǎn)課題之一[1]。目前抗惡意軟件攻擊測(cè)試成為構(gòu)建安全網(wǎng)絡(luò)的有效手段，通過(guò)這種方式可以預(yù)測(cè)網(wǎng)絡(luò)系統(tǒng)受到惡意軟件攻擊的可能性，還可以預(yù)測(cè)受到惡意軟件攻擊后產(chǎn)生的后果，以此為基礎(chǔ)對(duì)網(wǎng)絡(luò)安全隱患進(jìn)行消除，保障網(wǎng)絡(luò)系統(tǒng)的安全。因此，對(duì)抗惡意軟件攻擊測(cè)試進(jìn)行研究具有現(xiàn)實(shí)意義[2]。

就現(xiàn)有的研究來(lái)看，傳統(tǒng)的抗惡意軟件攻擊測(cè)試系統(tǒng)存在攻擊效果檢測(cè)效率低、抗攻擊能力評(píng)估準(zhǔn)確性差的缺陷，無(wú)法滿足現(xiàn)今網(wǎng)絡(luò)系統(tǒng)安全的需求。為了解決上述問(wèn)題，引入?yún)f(xié)議分析技術(shù)對(duì)抗惡意軟件攻擊測(cè)試系統(tǒng)進(jìn)行設(shè)計(jì)。協(xié)議分析技術(shù)指的是對(duì)程序或者設(shè)備進(jìn)行解碼的網(wǎng)絡(luò)協(xié)議，以此了解程序或者設(shè)備的數(shù)據(jù)以及信息的過(guò)程。通過(guò)協(xié)議分析技術(shù)的應(yīng)用改善抗惡意軟件攻擊測(cè)試系統(tǒng)的性能，并設(shè)計(jì)仿真對(duì)比實(shí)驗(yàn)對(duì)其性能進(jìn)行測(cè)試與分析[3]。

1 ?抗惡意軟件攻擊測(cè)試系統(tǒng)框架設(shè)計(jì)

抗惡意軟件攻擊測(cè)試系統(tǒng)主要分為抗惡意軟件攻擊測(cè)試平臺(tái)與惡意軟件攻擊效果檢測(cè)兩個(gè)部分[4]。根據(jù)抗惡意軟件攻擊測(cè)試系統(tǒng)的需求，對(duì)抗惡意軟件攻擊測(cè)試系統(tǒng)框架進(jìn)行搭建，如圖1所示。

以上述設(shè)計(jì)的抗惡意軟件攻擊測(cè)試系統(tǒng)框架圖為基礎(chǔ)，對(duì)系統(tǒng)的硬件與軟件進(jìn)行詳細(xì)設(shè)計(jì)。

2 ?抗惡意軟件攻擊測(cè)試系統(tǒng)硬件設(shè)計(jì)

系統(tǒng)硬件由流量采集器、協(xié)議分析器與數(shù)據(jù)存儲(chǔ)器組成，具體設(shè)計(jì)過(guò)程如下。

2.1 ?流量采集器

當(dāng)網(wǎng)絡(luò)受到惡意軟件的攻擊時(shí)，會(huì)消耗較大的流量，導(dǎo)致網(wǎng)絡(luò)流量出現(xiàn)較大的波動(dòng)。因此，主要通過(guò)流量對(duì)是否存在惡意軟件攻擊進(jìn)行判斷[5]。

流量采集器主要對(duì)網(wǎng)絡(luò)流量進(jìn)行采集與捕獲，為抗惡意軟件攻擊測(cè)試提供了數(shù)據(jù)支撐[6]。流量采集器參數(shù)設(shè)置如表1所示。

2.2 ?協(xié)議分析器

協(xié)議分析器主要是通過(guò)程序?qū)W(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議頭與尾進(jìn)行分析，以此為基礎(chǔ)了解數(shù)據(jù)包在傳輸過(guò)程中的行為[7]。

協(xié)議分析器結(jié)構(gòu)如圖2所示。

2.3 ?數(shù)據(jù)存儲(chǔ)器

為了對(duì)惡意軟件攻擊效果進(jìn)行檢測(cè)，并對(duì)抗惡意軟件攻擊能力進(jìn)行評(píng)估，需要對(duì)測(cè)試過(guò)程的數(shù)據(jù)進(jìn)行存儲(chǔ)與應(yīng)用[8]。因此，采用數(shù)據(jù)存儲(chǔ)器對(duì)測(cè)試數(shù)據(jù)進(jìn)行存儲(chǔ)。

數(shù)據(jù)存儲(chǔ)器工作原理如圖3所示。

通過(guò)上述過(guò)程完成了系統(tǒng)硬件的設(shè)計(jì)，但是硬件無(wú)法實(shí)現(xiàn)抗惡意軟件攻擊的測(cè)試，因此，對(duì)系統(tǒng)軟件進(jìn)行設(shè)計(jì)[9]。

3 ?抗惡意軟件攻擊測(cè)試系統(tǒng)軟件設(shè)計(jì)

系統(tǒng)軟件由流量捕獲模塊、協(xié)議分析模塊、惡意軟件攻擊效果檢測(cè)模塊與抗惡意軟件攻擊能力評(píng)估模塊組成，具體設(shè)計(jì)過(guò)程如下。

3.1 ?流量捕獲模塊

流量捕獲模塊主要通過(guò)流量采集器對(duì)網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行采集，并將其發(fā)送到協(xié)議分析模塊[10]。

將流量采集器與網(wǎng)絡(luò)監(jiān)聽技術(shù)結(jié)合，以此為基礎(chǔ)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行截獲。通信數(shù)據(jù)包獲取過(guò)程為：

3.2 ?協(xié)議分析模塊

以上述得到的去除干擾數(shù)據(jù)后的通信數(shù)據(jù)包為基礎(chǔ)，采用協(xié)議解析器對(duì)惡意軟件攻擊程序進(jìn)行解析，該方法具有簡(jiǎn)單、快速的特性[11]。協(xié)議分析層次結(jié)構(gòu)如圖4所示。

依據(jù)上述設(shè)計(jì)的協(xié)議分析層次結(jié)構(gòu)對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行分析，為下述惡意軟件攻擊效果檢測(cè)提供數(shù)據(jù)支撐。

3.3 ?惡意軟件攻擊效果檢測(cè)模塊

以上述協(xié)議分析結(jié)果為基礎(chǔ)，對(duì)惡意軟件攻擊效果進(jìn)行檢測(cè)。惡意軟件攻擊效果檢測(cè)模塊主要對(duì)已知攻擊進(jìn)行檢測(cè)，該模塊主要從協(xié)議分析模塊中讀取數(shù)據(jù)，作為參數(shù)傳入，然后在數(shù)據(jù)存儲(chǔ)器中對(duì)攻擊模式進(jìn)行讀取，對(duì)參數(shù)與攻擊模式進(jìn)行匹配，若匹配成功，則表示發(fā)現(xiàn)惡意軟件攻擊，將其相關(guān)信息傳輸?shù)綌?shù)據(jù)存儲(chǔ)器中進(jìn)行存儲(chǔ)與分析[12]。

惡意軟件攻擊效果檢測(cè)流程如圖5所示。

3.4 ?抗惡意軟件攻擊能力評(píng)估模塊

以上述存儲(chǔ)的惡意軟件攻擊信息為基礎(chǔ)，對(duì)網(wǎng)絡(luò)抗惡意軟件攻擊能力進(jìn)行相應(yīng)的評(píng)估?？箰阂廛浖裟芰χ饕ㄟ^(guò)網(wǎng)絡(luò)響應(yīng)時(shí)間來(lái)體現(xiàn)，響應(yīng)指的是惡意軟件攻擊網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)做出的反應(yīng)[13]。網(wǎng)絡(luò)響應(yīng)主要分為兩種，分別為主動(dòng)響應(yīng)與被動(dòng)響應(yīng)。

通過(guò)系統(tǒng)硬件與軟件的設(shè)計(jì)，實(shí)現(xiàn)抗惡意軟件攻擊測(cè)試系統(tǒng)的運(yùn)行，為網(wǎng)絡(luò)安全提供更加有效的保障[14]。

4 ?系統(tǒng)性能仿真測(cè)試

上述過(guò)程實(shí)現(xiàn)了抗惡意軟件攻擊測(cè)試系統(tǒng)的設(shè)計(jì)與運(yùn)行，但其是否能夠解決傳統(tǒng)系統(tǒng)存在的難題還無(wú)法確定，因此設(shè)計(jì)仿真對(duì)比實(shí)驗(yàn)對(duì)設(shè)計(jì)的抗惡意軟件攻擊測(cè)試系統(tǒng)性能進(jìn)行測(cè)試與分析。

在實(shí)驗(yàn)過(guò)程中，為了保障實(shí)驗(yàn)結(jié)果的準(zhǔn)確性，對(duì)實(shí)驗(yàn)外部參數(shù)進(jìn)行統(tǒng)一設(shè)置，通過(guò)攻擊效果檢測(cè)效率與抗攻擊能力評(píng)估準(zhǔn)確性對(duì)系統(tǒng)性能進(jìn)行評(píng)價(jià)，具體實(shí)驗(yàn)分析過(guò)程如下。

4.1 ?攻擊效果檢測(cè)效率對(duì)比分析

通過(guò)實(shí)驗(yàn)得到攻擊效果檢測(cè)效率對(duì)比情況，如表2所示。

如表2數(shù)據(jù)所示，本文設(shè)計(jì)系統(tǒng)與傳統(tǒng)系統(tǒng)攻擊效果檢測(cè)效率數(shù)據(jù)具有明顯的差距，說(shuō)明數(shù)據(jù)有效。設(shè)計(jì)系統(tǒng)的攻擊效果檢測(cè)效率遠(yuǎn)遠(yuǎn)高于傳統(tǒng)系統(tǒng)，其最大值可以達(dá)到94%。

4.2 ?抗攻擊能力評(píng)估準(zhǔn)確性對(duì)比分析

抗攻擊能力在一定程度上體現(xiàn)著網(wǎng)絡(luò)的安全性能，因此，若是能對(duì)抗攻擊能力進(jìn)行準(zhǔn)確評(píng)估，可以極大地提升網(wǎng)絡(luò)的安全性，一般情況下認(rèn)為抗攻擊能力評(píng)估準(zhǔn)確性越高，系統(tǒng)的性能越好。通過(guò)實(shí)驗(yàn)得到抗攻擊能力評(píng)估準(zhǔn)確性對(duì)比情況如圖6所示。

由圖6可知，設(shè)計(jì)系統(tǒng)的抗攻擊能力評(píng)估準(zhǔn)確性遠(yuǎn)遠(yuǎn)高于傳統(tǒng)系統(tǒng)，其最大值可以達(dá)到80%。

通過(guò)測(cè)試結(jié)果顯示，本文設(shè)計(jì)的抗惡意軟件攻擊測(cè)試系統(tǒng)極大地提升了攻擊效果檢測(cè)效率與抗攻擊能力評(píng)估準(zhǔn)確性，充分說(shuō)明設(shè)計(jì)的抗惡意軟件攻擊測(cè)試系統(tǒng)具有更好的測(cè)試效果。

5 ?結(jié) ?語(yǔ)

本文設(shè)計(jì)的抗惡意軟件攻擊測(cè)試系統(tǒng)極大地提升了攻擊效果檢測(cè)效率與抗攻擊能力評(píng)估準(zhǔn)確性，可以為網(wǎng)絡(luò)的安全提供更加有效的保障。但是由于實(shí)驗(yàn)采用仿真對(duì)比實(shí)驗(yàn)形式，導(dǎo)致實(shí)驗(yàn)環(huán)境與實(shí)際環(huán)境具有一定的差距，實(shí)驗(yàn)結(jié)果與真實(shí)情況也存在著些許的差距，但是這并不影響實(shí)驗(yàn)結(jié)論的正確性，為了得到更加精準(zhǔn)的實(shí)驗(yàn)數(shù)據(jù)，需要對(duì)抗惡意軟件攻擊測(cè)試系統(tǒng)進(jìn)行進(jìn)一步的研究與優(yōu)化。

參考文獻(xiàn)

[1] 王澤東.基于行為分析的惡意軟件防護(hù)系統(tǒng)設(shè)計(jì)[J].數(shù)字技術(shù)與應(yīng)用，2018，36（3）：198?199.

[2] 胡敬文，王柏清，楊文茵，等.基于行為分析方法的主動(dòng)防御系統(tǒng)設(shè)計(jì)[J].佛山科學(xué)技術(shù)學(xué)院學(xué)報(bào)（自然科學(xué)版），2019，37（1）：44?49.

[3] 刁紅艷.Windows環(huán)境下基于協(xié)議分析的入侵檢測(cè)程序分析與實(shí)現(xiàn)[J].電子元器件與信息技術(shù)，2018（11）：17?19.

[4] 姜建國(guó)，常子敬，呂志強(qiáng)，等.USB HID攻擊與防護(hù)技術(shù)綜述[J].信息安全研究，2017，3（2）：129?138.

[5] 李炳彰，李雨菡，趙海強(qiáng)，等.一種基于對(duì)等體認(rèn)證的OSPF協(xié)議安全增強(qiáng)方法[J].無(wú)線電工程，2018，48（7）：525?530.

[6] 周振飛，方濱興，崔翔，等.基于相似性分析的WordPress主題惡意代碼檢測(cè)[J].信息網(wǎng)絡(luò)安全，2017，46（12）：47?53.

[7] 楊帆，楊國(guó)武，郝玉潔.基于模型檢測(cè)的半量子密碼協(xié)議的安全性分析[J].電子科技大學(xué)學(xué)報(bào)，2017，46（5）：716?721.

[8] 戴海燕.一種聚合式持續(xù)分析自動(dòng)發(fā)現(xiàn)惡意攻擊源的方法[J].電子技術(shù)與軟件工程，2017，44（24）：230.

[9] 杜小龍，孟久翔，陳磊.面向線下學(xué)習(xí)的協(xié)議分析器設(shè)計(jì)與實(shí)現(xiàn)[J].福建電腦，2017，33（11）：126.

[10] 盧穎，鐘聯(lián)炯，康鳳舉，等.無(wú)線自組網(wǎng)競(jìng)爭(zhēng)類MAC協(xié)議分析及研究[J].電子設(shè)計(jì)工程，2011，19（7）：84?87.

[11] 黃偉慶，丁昶，崔越，等.基于惡意讀寫器發(fā)現(xiàn)的RFID空口入侵檢測(cè)技術(shù)[J].軟件學(xué)報(bào)，2018，29（7）：1922?1936.

[12] 王繼業(yè)，孫利民，李曄，等.電力工控系統(tǒng)攻擊仿真驗(yàn)證關(guān)鍵技術(shù)研究[J].電力信息與通信技術(shù)，2017，15（6）：9?14.

[13] 徐佳佳，白光偉，沈航.鏈路相關(guān)性欺騙攻擊與檢測(cè)機(jī)制[J].計(jì)算機(jī)科學(xué)，2018，45（12）：104?110.

[14] 吳傳貴.基于FC?AE?ASM協(xié)議仿真測(cè)試系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)測(cè)量與控制，2018，26（4）：35?38.

[15] 寧卓，邵達(dá)成，陳勇，等.基于簽名與數(shù)據(jù)流模式挖掘的Android惡意軟件檢測(cè)系統(tǒng)[J].計(jì)算機(jī)科學(xué)，2017，44（z2）：317?321.