王 忠 許峰赫

（火箭軍工程大學(xué) 西安 710000）

1 引言

分布式系統(tǒng)在信息技術(shù)基礎(chǔ)設(shè)施方面進(jìn)行了巨大的改造。他們的延續(xù)是云計(jì)算。盡管存在現(xiàn)代趨勢和新的經(jīng)濟(jì)模式，但云計(jì)算已將其聲明轉(zhuǎn)變?yōu)榇蠖鄶?shù)大公司和組織用于促進(jìn)其日常需求的技術(shù)模型。眾所周知，盡管提供了許多優(yōu)點(diǎn)，但每一個(gè)新穎性都帶來了一些缺點(diǎn)。它們可以分類為與服務(wù)提供商或基礎(chǔ)架構(gòu)或云系統(tǒng)主機(jī)相關(guān)。

本文介紹了一種在云基礎(chǔ)架構(gòu)中識(shí)別基于網(wǎng)絡(luò)的攻擊的新方法。在這方面，已經(jīng)采用了基于KVM 的系統(tǒng)，其主機(jī)OS Dom0 可以直接訪問系統(tǒng)的所有I/O 功能。通過監(jiān)視由Dom0 操作系統(tǒng)的內(nèi)核進(jìn)行的系統(tǒng)調(diào)用來實(shí)現(xiàn)此訪問。所提出的方法利用Smith-Waterman 算法［1］來證明通過監(jiān)視系統(tǒng)調(diào)用，可以檢測潛在云內(nèi)部人員的惡意行為。

2 相關(guān)工作和網(wǎng)絡(luò)攻擊

Spring 表示，阻止麻煩數(shù)據(jù)包的云邊界的防火墻可以限制但不能消除對已知惡意實(shí)體的訪問［2］。Alzain 等人建議，從單一云遷移到“多云”將大大減少惡意內(nèi)部人員的威脅［3］。Magklaras，F(xiàn)urnell 和Papadaki［4］提出了一種審計(jì)引擎，用于記錄關(guān)系模式下的用戶操作（LUARM），試圖解決內(nèi)部IT 濫用域的兩個(gè)基本問題。Tripathi和Mishra［5］堅(jiān)持認(rèn)為，云提供商應(yīng)該為客戶提供控制，這可以檢測和防止惡意內(nèi)部人員的威脅?！办F計(jì)算”［6］提出了一種與其他方法完全不同的方法。監(jiān)視每個(gè)云用戶的訪問操作，實(shí)現(xiàn)對每個(gè)用戶的一種分析。該分析有助于檢測異常行為。當(dāng)懷疑未經(jīng)授權(quán)的訪問然后進(jìn)行驗(yàn)證時(shí)，該方法通過向惡意內(nèi)部人員返回大量誘餌信息來使用虛假信息攻擊，從而保持真實(shí)用戶數(shù)據(jù)的隱私。另一種方法是Cuong Hoang H. Lee［7］，它通過捕獲超級調(diào)用來實(shí)現(xiàn)基于Xen 的管理程序的安全性，因?yàn)樗鼈儽认到y(tǒng)調(diào)用少。Kollam 和Sunnyvale［8］特別關(guān)注訪問控制機(jī)制，提出了一種機(jī)制，可以為客戶生成不可變的安全策略，并在提供商的基礎(chǔ)架構(gòu)中傳播和實(shí)施它們。這是針對惡意內(nèi)部人員，尤其是系統(tǒng)管理員的少數(shù)幾種方法之一。Ristenpart［9］介紹了對最大的云基礎(chǔ)設(shè)施之一Amazon EC2的“共駐”潛在攻擊。

通過采用入侵檢測系統(tǒng)（IDS），有許多嘗試來保護(hù)云基礎(chǔ)架構(gòu)，不僅來自“共駐”攻擊，還來自其他網(wǎng)絡(luò)壓力攻擊。他們中的大多數(shù)使用安裝在不同虛擬機(jī)中的多個(gè)代理，并將數(shù)據(jù)收集到一個(gè)集中點(diǎn)。缺點(diǎn)是它們會(huì)給云基礎(chǔ)架構(gòu)帶來相當(dāng)大的開銷，因?yàn)樗鼈兿牧舜罅抠Y源［10～15］。

在“共駐”攻擊的情況下，攻擊者在獲得其虛擬機(jī)的IP地址后，正在尋找域名系統(tǒng)（DNS）地址。這可以通過命令“nslookup”，然后是虛擬機(jī)（VM）的IP地址輕松檢索。在Kali Linux內(nèi)核中執(zhí)行的此命令將返回DNS 地址。獲取DNS 地址后，攻擊者可以使用“nmap”命令獲取利用特定DNS 的所有虛擬機(jī)（包括主機(jī)）的IP 地址。具體來說，執(zhí)行的命令是“nmap-sP DNS_Adress/24”。擁有使用相同DNS的所有虛擬機(jī)的IP 地址，攻擊者可以通過執(zhí)行命令“nmap-v-O Ip_address”來識(shí)別主機(jī)或其他虛擬機(jī)的操作系統(tǒng)。通過上述三個(gè)不同的步驟，可以識(shí)別所有共駐以及有關(guān)其操作系統(tǒng)的其他信息，這些信息可以允許攻擊者發(fā)起進(jìn)一步的攻擊，從而損害云基礎(chǔ)設(shè)施。

通過在特殊配置的虛擬網(wǎng)絡(luò)上啟動(dòng)smurf攻擊來執(zhí)行網(wǎng)絡(luò)壓力。為了執(zhí)行smurf 攻擊，攻擊者需要受害者的IPv6 地址。受害者可以是同一網(wǎng)絡(luò)上的主機(jī)或任何其他虛擬機(jī)。他的IPv6 地址可以使用兩種方法獲得。第一個(gè)是通過ifconfig 命令，可以在主機(jī)上執(zhí)行。第二種方法是通過ping6命令檢測同一網(wǎng)絡(luò)上的IPv6 活動(dòng)主機(jī)。攻擊者可以通過執(zhí)行命令“ping6-I＜interface＞ff02：：1”輕松地從任何虛擬機(jī)ping 鏈路本地全節(jié)點(diǎn)多播地址ff02：：1。獲取IPv6地址后，攻擊者可以使用smurf6工具執(zhí)行攻擊，執(zhí)行命令“smurf6 ＜interface＞victim_ipv6_address”。通過這種方法，攻擊者VM（或主機(jī)）將使用欺騙性ICMPv6 回應(yīng)請求數(shù)據(jù)包泛洪虛擬網(wǎng)絡(luò)，其源地址是受害者計(jì)算機(jī)的IPv6地址，目標(biāo)地址是鏈路本地全節(jié)點(diǎn)多播地址ff02：：1。然后，同一網(wǎng)絡(luò)上的其余計(jì)算機(jī)將使用ICMPv6回應(yīng)回復(fù)來充斥受害者，從而對虛擬網(wǎng)絡(luò)造成更大壓力。

3 檢測方法

所提出的檢測方案采用了標(biāo)準(zhǔn)的Smith-Waterman 算法，該算法最初是在分子序列分析的背景下引入的［16］。這是可能的，因?yàn)樗芯康臄?shù)據(jù)流包括從有限離散字母表中提取的符號。引入的微小修改與兩個(gè)參數(shù)有關(guān)，這兩個(gè)參數(shù)指的是允許掃描的水平和垂直前驅(qū)的數(shù)量，以便確定相似網(wǎng)格的每個(gè)節(jié)點(diǎn)處的累積成本。換句話說，這兩個(gè)參數(shù)定義了水平和垂直的最大允許間隙長度。這種類型的微小修改導(dǎo)致響應(yīng)時(shí)間的顯著改善，并且還與處理的數(shù)據(jù)的性質(zhì)一致。這兩個(gè)參數(shù)的值以及間隙罰分是廣泛實(shí)驗(yàn)的結(jié)果。接下來介紹采用的Smith-Waterman算法。

首先，必須定義兩個(gè)符號序列的各個(gè)元素之間的成對（局部）相似性。為此，讓A 和B 為兩個(gè)符號序列，A（i），i=1，…M，B（j），j=1，…N，是A 和j 的第i個(gè)符號B 的符號，分別。然后將A（i）和B（j）之間的局部相似性S（i，j）定義為

其中Gp 是不相似性的懲罰（我們的方法的參數(shù)）。

然后創(chuàng)建相似性網(wǎng)格H，其第一行和列被初始化為零，即，

H（0，j）=0，j=0，…N和H（i，0）=0，i=0，…，M

結(jié)果，相似網(wǎng)格的維度是（M+1）×（N+1），其行被索引為0，…，M并且其列被索引為0，…N。

對于網(wǎng)格的每個(gè)節(jié)點(diǎn)（i，j），i ≥1，j ≥1，根據(jù)以下等式計(jì)算累積的相似性成本：

其中Pv 和Ph 分別是允許的最大垂直和水平間隙（以符號數(shù)量表示），Gp 是先前引入的相異性懲罰（在這種情況下也用作間隙罰分）。對于網(wǎng)格的所有節(jié)點(diǎn)重復(fù)上述等式，從最低行（i=1）開始并從左向右移動(dòng)（增加索引j）?？梢钥闯?，垂直和水平過渡（等式的第三和第四分支）引入間隙罰分，即，將累積的相似度減少一個(gè)量，該量與被跳過的節(jié)點(diǎn)的數(shù)量成比例（間隙的長度）。

另外，如果累積的相似度H（i，j）為負(fù)，則將其設(shè)置為零（等式的第一分支），并且虛擬節(jié)點(diǎn)（0，0）變?yōu)椋╥，j）的前趨。另一方面，如果累積的相似性是正的，則（i，j）的前導(dǎo)是使H（i，j）最大化的節(jié)點(diǎn)。每個(gè)節(jié)點(diǎn)的最佳前驅(qū)者的坐標(biāo)存儲(chǔ)在單獨(dú)的矩陣中。關(guān)于網(wǎng)格的第一行和第一列，前一個(gè)始終是虛擬節(jié)點(diǎn)（0，0）。

在為所有節(jié)點(diǎn)計(jì)算累積成本之后，選擇對應(yīng)于最大檢測值的節(jié)點(diǎn)，并且遵循前導(dǎo)鏈，直到遇到（0，0）節(jié)點(diǎn)。此過程稱為回溯，并且得到的節(jié)點(diǎn)鏈?zhǔn)亲罴眩ㄗ罴褜R）路徑。

在所進(jìn)行的實(shí)驗(yàn)中，已經(jīng)使用了參數(shù)Pv，Ph 和Gp 的不同值，并且最終選擇了提供最令人滿意的性能的值。

在執(zhí)行“nslookup”命令（“共同駐留”攻擊的第一步），“nmap-sP DNS_Adress/24”命令（“共同駐留”攻擊的第二步），“nmap”期間，系統(tǒng)調(diào)用。-v-OIp_address“（”共存“攻擊的第三步）和smurf6＜interface＞victim_ipv6_address（smurf 攻 擊）被捕獲。

●捕獲在正常系統(tǒng)操作（未發(fā)起攻擊）的同一時(shí)間段內(nèi)進(jìn)行的系統(tǒng)調(diào)用。

●上述日志文件已使用正則表達(dá)式和“sed”命令進(jìn)行處理，只留下每個(gè)系統(tǒng)調(diào)用的ID。

●最后，使用Smith-Waterman 算法來比較日志（算法將每個(gè)系統(tǒng)調(diào)用ID用作DNA元素）。

●最初，使用自動(dòng)化系統(tǒng)計(jì)算每個(gè)攻擊步驟在不同時(shí)間段的多次執(zhí)行之間的相似性，該系統(tǒng)由于人類的響應(yīng)性而減少了錯(cuò)誤。然后導(dǎo)出攻擊步驟與正常操作的相應(yīng)時(shí)間段之間的相似性。理想情況下，這種方法有助于識(shí)別將形成攻擊特征的特定系統(tǒng)調(diào)用模式。

為了啟動(dòng)攻擊并監(jiān)控系統(tǒng)日志，使用一臺(tái)具有以下配置的Dell PowerEdge T410 服務(wù)器構(gòu)建了最小的云基礎(chǔ)架構(gòu)：Intel Xeon E5607 作為中央處理單元，8 GB 內(nèi)存運(yùn)行在1333 MHz 和300 GB SAS 硬盤@10000rpms。服務(wù)器運(yùn)行的是OpenSuse Linux 12.1。還安裝了Linux audit 工具；此工具有一個(gè)配置文件，用于存儲(chǔ)規(guī)則列表，指定將記錄哪種類型的系統(tǒng)調(diào)用。為避免在實(shí)驗(yàn)過程中丟失有價(jià)值的信息，所有系統(tǒng)調(diào)用都被捕獲。具體來說，使用的規(guī)則是“-a entry，always-s all”。最后，在服務(wù)器上設(shè)置了兩個(gè)使用Kali Linux 的虛擬機(jī)，其中包含用于滲透測試和攻擊的大多數(shù)工具（參見圖1）。

圖1 試驗(yàn)臺(tái)環(huán)境

在我們努力自動(dòng)化攻擊和系統(tǒng)調(diào)用審計(jì)程序期間，在Expect 中編寫了一個(gè)腳本。Expect 是Tcl腳本語言的擴(kuò)展，它用于自動(dòng)化與公開文本終端接口的程序的交互。可以通過expect 包安裝此功能。我們的腳本側(cè)重于使用“expect”命令等待預(yù)期輸出，使用“send”命令發(fā)送正確的輸入，并最終使用“system”命令執(zhí)行必要的bash 命令。最初，創(chuàng)建了將保存系統(tǒng)調(diào)用的目錄。接下來，執(zhí)行“spawn”命令以打開Virsh控制臺(tái)并通過配置的串行控制臺(tái)連接到虛擬機(jī)。 Virsh 是一個(gè)命令行界面工具，用于管理訪客和虛擬機(jī)管理程序。然后啟用Linux審核系統(tǒng)，并將攻擊命令發(fā)送到將要執(zhí)行的虛擬機(jī)。通過等待“expect”命令的特定輸出來獲取關(guān)于何時(shí)完成攻擊的知識(shí)。最后，禁用Linux審核系統(tǒng)，并提取保存的系統(tǒng)調(diào)用。

設(shè)置環(huán)境后，“共同駐留”攻擊的三個(gè)步驟中的每一步（“nslookup”，“nmap”和“nmap-v-OIp_address”命令；請參閱建議的方法部分）和smurf 攻擊的步驟（smurf6 ＜interface＞victim_ipv6_address）被執(zhí)行了六次，每次捕獲系統(tǒng)調(diào)用。

在每次執(zhí)行一個(gè)命令（攻擊步驟）之后，系統(tǒng)在正常狀態(tài)下工作一段時(shí)間，該時(shí)間段等于命令的執(zhí)行時(shí)間，再次捕獲在該時(shí)間段內(nèi)所有系統(tǒng)調(diào)用。攻擊的時(shí)間段和各個(gè)正常狀態(tài)時(shí)段在圖2 和3 中描述。

然后通過在Matlab 中使用Smith Waterman 實(shí)現(xiàn)（參見章節(jié)算法），使用等于1/3和1/5的Gp，Pv和Ph等于5，在它們之間比較以下對數(shù)集：

●第一個(gè)攻擊步驟的六個(gè)日志文件（每個(gè)執(zhí)行輪次一個(gè)）；“nslookup”命令。

●第二個(gè)攻擊步驟的六個(gè)日志文件（每個(gè)執(zhí)行輪次一個(gè)）；“nmap-sP DNS_address/24”命令。

●第三個(gè)攻擊步驟的六個(gè)日志文件（每個(gè)執(zhí)行輪次一個(gè)）；“nmap-v-O Ip_address”命令。

●smurf 攻擊步驟的六個(gè)日志文件（每個(gè)執(zhí)行輪次一個(gè)）。

●攻擊的二十四個(gè)日志文件（每個(gè)攻擊步驟和smurf 攻擊的所有執(zhí)行的六個(gè)日志文件）以及用于正常系統(tǒng)操作的相應(yīng)日志文件。

圖2 執(zhí)行三個(gè)攻擊步驟的時(shí)間段和系統(tǒng)保持正常狀態(tài)的各個(gè)時(shí)間段

圖3 執(zhí)行smurf攻擊的時(shí)間段以及系統(tǒng)保持正常狀態(tài)的相應(yīng)時(shí)間段

如下一節(jié)所示，結(jié)果符合我們的初步假設(shè)。在與攻擊步驟對應(yīng)的日志文件之間，而不是在攻擊日志與正常系統(tǒng)狀態(tài)的日志之間，發(fā)現(xiàn)了更大的相似性。

日志文件比較的結(jié)果顯示在下面的表1～9中。如圖2 和圖3 所示，第一個(gè)攻擊步驟的日志稱為firststep，第二次攻擊步驟的日志為secondstep，第三次攻擊的日志為thirdstep，smurf攻擊的日志為smurfstep。此外，對應(yīng)于正常系統(tǒng)操作的時(shí)間段等于第一次攻擊步驟的日志被稱為fnormal，第二次攻擊步驟被稱為snormal，第三次攻擊步驟被稱為tnormal 和smurf 攻擊如同常見。出現(xiàn)在Gp 列中的估計(jì)相似性數(shù)字表示使用Smith Waterman 算法發(fā)現(xiàn)的類似系統(tǒng)調(diào)用的最長子系列。從訓(xùn)練過程中可以預(yù)期，在比較攻擊步驟的日志時(shí)相似度值會(huì)更大，而在比較攻擊步驟的日志和正常系統(tǒng)操作的相應(yīng)日志時(shí)，相似值會(huì)更?。患?，對于相同的Gp，預(yù)計(jì)第一步1-2 將與firstep1-fnormal1 的相似性具有更大的相似性。表9 的結(jié)果加強(qiáng)了這一假設(shè)，我們將攻擊的每個(gè)步驟的執(zhí)行日志與執(zhí)行大量網(wǎng)絡(luò)操作的系統(tǒng)的日志進(jìn)行比較，這大大增加了系統(tǒng)調(diào)用的數(shù)量。所有結(jié)果都在圖4中可視化。

表1 Gp的第一個(gè)攻擊步驟的六個(gè)日志文件（每個(gè)執(zhí)行輪次一個(gè)）的比較等于1/3和1/5

表2 Gp的第一個(gè)攻擊步驟的六個(gè)日志文件（每個(gè)執(zhí)行輪次一個(gè)）的比較等于1/3和1/5

表3 Gp的第一個(gè)攻擊步驟的六個(gè)日志文件（每個(gè)執(zhí)行輪次一個(gè)）的比較等于1/3和1/5

表5 Gp的第一個(gè)攻擊步驟的六個(gè)日志文件（每個(gè)執(zhí)行輪次一個(gè)）的比較等于1/3和1/5

表6 Gp的第一個(gè)攻擊步驟的六個(gè)日志文件（每個(gè)執(zhí)行輪次一個(gè)）的比較等于1/3和1/5

表7 Gp的第一個(gè)攻擊步驟的六個(gè)日志文件（每個(gè)執(zhí)行輪次一個(gè)）的比較等于1/3和1/5

表8 Gp的第一個(gè)攻擊步驟的六個(gè)日志文件（每個(gè)執(zhí)行輪次一個(gè)）的比較等于1/3和1/5

表9 Gp的第一個(gè)攻擊步驟的六個(gè)日志文件（每個(gè)執(zhí)行輪次一個(gè)）的比較等于1/3和1/5

圖4 圖表描繪了攻擊之間以及攻擊之間的相似性以及分別為Gp 1/3和1/5的正常系統(tǒng)狀態(tài)。較低的Gp提供更大的相似性

4 結(jié)語

回顧我們的主要目標(biāo)，即通過系統(tǒng)調(diào)用序列識(shí)別攻擊的存在。上一節(jié)中介紹的結(jié)果驗(yàn)證了這種方法，因?yàn)樵诠舨襟E中觸發(fā)的系統(tǒng)調(diào)用的比較表現(xiàn)出比在比較某些攻擊步驟和相應(yīng)日志的日志時(shí)產(chǎn)生的相似性更大的相似性。正常的系統(tǒng)操作對于“共駐”攻擊和smurf攻擊的所有三個(gè)步驟都實(shí)現(xiàn)了這一假設(shè)。

結(jié)果是否準(zhǔn)確是一個(gè)常見的問題，我們?nèi)绾悟?yàn)證它們的正確性。通過使用的錯(cuò)誤參數(shù)Gp可以很容易地回答這個(gè)問題。具體而言，Gp 是一個(gè)變量，它為算法提供了靈活性，并定義了算法在比較數(shù)據(jù)集時(shí)的容忍程度。如果我們使用1/3 的誤差值，我們的算法比使用1/5值的算法要差。這個(gè)假設(shè)導(dǎo)致產(chǎn)生更大的相似性數(shù)字，其Gp 為1/5，而Gp 為1/3。當(dāng)然，我們的結(jié)果證明了這一點(diǎn)，這些結(jié)果已在前一節(jié)中介紹過。

除此之外，我們必須注意這樣一個(gè)事實(shí)，即算法越寬容，我們在攻擊步驟的日志中獲得的相似性越好。然而，對于在攻擊步驟期間產(chǎn)生的日志與相應(yīng)的正常操作的比較不是這種情況；具體地說，即使較大的Gp值的相似性更好，但縮放也不相同。

應(yīng)該考慮的另一個(gè)重要問題是系統(tǒng)的工作量。在我們的實(shí)驗(yàn)中，我們使用了三臺(tái)虛擬機(jī)，除了與攻擊步驟相對應(yīng)的任何虛擬機(jī)之外，它們都沒有任何永久性工作。在虛擬機(jī)上有額外負(fù)載的實(shí)時(shí)環(huán)境中，系統(tǒng)調(diào)用的數(shù)量會(huì)大得多，其結(jié)果是處理日志文件所需的時(shí)間（如本文前面所述）。此外，由于算法比較身份而不能識(shí)別特定元素是否有用，因此跟蹤此工作負(fù)載中的攻擊將更加困難。然而，在增加的工作量下進(jìn)行的初始實(shí)驗(yàn)集表明所提出的檢測方法的準(zhǔn)確性和有效性保持不變。