攻击模型(精选6篇)
攻击模型 篇1
0 引言
模糊Petri网作为基于模糊产生式规则知识库系统的良好的建模工具, 它既结合了Petri网描述异步并发和图形表示的能力, 使得知识表示简单而又清晰;又具有模糊系统的模糊推理能力, 便于知识的分析、推理、测试以及决策支持等, 但是其缺乏较强的自学习能力, 该缺点也严重制约了模糊Petri网在各个领域的应用。以模糊Petri网为理论基础的新型网络攻击模型BBFPAN, 不可避免的也具有自学习能力差的缺点。而对于用于网络系统安全检测和预警的攻击模型来说, 具有自学习能力无疑将大大减少其对专家经验的依赖, 也将有利于其对网络系统安全漏洞进行实时分析和安全预警。
神经网络 (Neural Network) 具有很强的自适应和学习能力, 将其与模糊Petri网相结合, 将会对模糊Petri网的构建产生积极作用。近年来, 在模糊Petri网和神经网络相结合的研究已经取得了一定的成果。其中, 文献[3]为把模糊Petri网应用到模糊控制稳定性分析当中, 将模糊Petri网和它的神经网络表示综合到一个模型中, 建立了模糊神经Petri网模型;文献[4]在文献[3]的基础之上, 再次提出了一种基于神经网络的模糊Petri网模型 (NNFPN) , 并将其应用于电梯故障诊断系统;文献[5]给出了基于人工神经网络的模糊Petri网表示方法, 并针对工程机械故障诊断异步、离散等特点, 提出并建立了故障诊断的模糊神经Petri网模型及其改进模型;文献[7]提出了基于模糊Petri网的误用入侵检测方法, 并将类似于神经网络的学习引入模糊Petr网, 以调整攻击知识模型参数, 仿真结果表明, 在大多数情况下, 学习调整后的知识模型能够提高误用检测系统的检测率。
纵观以上研究可以发现, 在将神经网络应用于模糊Petr网的研究中, 首先所要解决的就是模型结构的层次式划分问题。文献[7]曾通过对没有回路的FPN模型结构进行层次式划分以及建立变迁点燃和模糊推理的近似连续函数, 提出了适合模糊Petri网模型自学习的FPN分层算法、模糊推理算法和自学习算法, 从而把神经网络中的BP网络算法自然地引入到FPN模型中。
但是经实验验证, 文献[7]所提出的FPN分层算法并不能对BBFPAN进行很好的分层处理。在文献[7]的FPN分层算法中, 若一个库所是多个变迁的输出库所, 则这些变迁分在同一个层中。这对于描述复杂网络攻击过程的攻击模型BBFPAN来说, 是不适用的。若在BBFPAN中存在, p1, p2, p3, t1, t2, 其中, p1∈t1;p2∈t2;p2, p3∈t1;p3∈t2。则按照文献[7]的FPN分层算法, 变迁t1, t2, 将被置于同一层中。但是变迁t2的触发是以变迁t1的触发为前提的, 若将他们置于同一层中, 他们在触发时必将发生冲突。为了能够将神经网络应用于攻击模型BBFPAN的应用研究中, 本文将提出一种适合于对攻击模型BBFPAN进行层次式划分的分层算法。
1 分层算法
针对文献[7]中分层算法无法解决攻击模型BBFPAN层次式划分的问题, 本文将提出一种适用于对攻击模型BBFPAN进行层次式划分的分层算法。在该分层算法中, 将把同一个库所的输出变迁尽可能的置于同一层次结构之中, 同时在必要时增加相应的虚库所和虚变迁。
在模糊Petri网增加的虚库所和虚变迁只是起到一个中间过渡作用, 并不会对模糊规则库系统产生影响, 因此也不会改变攻击模型中攻击因素对于攻击效果的作用。按照攻击模型BBFPAN的定义, 在分层BBFPAN中, 将虚库所对应的θ0设为0, 虚变迁的置信度设为1。攻击模型BBFPAN分层算法如下所示:
Step1:建立起始库所集Pset:若θi0≠0, 则pi∈Pset。设循环变量k, 初始值为1, 用以标记模型的分层数。
Step2:建立变迁集合:Tk={t∈T│Ap∈·t, p∈Pset};∥Tk表示处于同一层的变迁集合。若T中的变迁t的所有输入库所都属于起始库所集Pset, 则将该变迁t置于变迁集合Tk中。
Step3:若Et∈Tk, Ep∈t·, Etl∈T-Tk, Ep∈tl·则, 为模型添加虚库所ps和虚变迁tr, 其中s=n+1, r=m+1:
t∈·ps∥将变迁t置于新增虚库所ps的输入变迁集中ps∈·tr∥将新增虚库所ps作为虚变迁ts的输入库所tr∈·p∥新增虚变迁tr的输出库所为库所p同时, 令:
p=p+{ps}, n=n+1;∥将新增虚库所ps加入模型库所集p中T=T+{tr}, m=m+1;∥将新增虚变迁tr加入模型变迁集T中θs0=0;∥新增虚库所ps所对应θs0的设为0
μr=1;∥新增虚变迁tr的置信度设为1
Step4:Pset=Pset∪{p∈t·│At∈Tk};∥将Tk中所有变迁的输出库所都添加到起始库所集Pset中
Step5:T=T-Tk;∥从模型变迁集T中删除Tk中的变迁
Step6:若T=Φ, 则算法结束, 模型层数为k。否则, k=k+1, 转Step2。
2 结束语
本文提出了一种新的适用于对攻击模型BBFPAN进行层次式划分的分层算法, 为将神经网络理论引入攻击模型的研究奠定了基础。至于神经网络和新型网络攻击模型BBFPAN相结合研究, 还包括诸如变迁触发连续函数、权值调整等诸多的问题, 限于篇幅, 本文在此不再做过多的讨论研究。
摘要:针对以模糊Petri网为理论基础的网络攻击模型BBFPAN自学习能力差的缺点, 提出了一种新的适用于对攻击模型BBFPAN进行层次式划分的分层算法, 为将神经网络理论引入攻击模型的研究奠定了基础。
关键词:分层,网络安全,攻击建模
参考文献
[1]黄光球, 任大勇.基于双枝模糊决策和模糊Petri网的攻击模型[J].计算机应用, 2007 (11) .
[2]魏海坤.神经网络结构设计的理论与方法[M].北京:国防工业出版社, 2005.
[3]TAKESHI FURUHASHI, HIDEHIRO YAMAMOTO.Fuzzy Control Stability Analysis Using a Generalized Fuzzy Petri Net Model[J].Journal of Advanced Computational Intelligence and Intelligent In-formatics, 1999 (2) .
[4]宋群, 马宏波, 王中海.基于NNFPN模型的电梯故障诊断方法的研究[J].控制与决策, 2005 (3) .
[5]胡志刚, 马好, 廖麟.基于模糊神经Petri网的故障诊断模型[J].小型微型计算机系统, 2005 (11) .
[6]危胜军, 胡昌振, 孙明谦.基于学习Petri网的网络入侵检测方法[J].北京理工大学学报, 2007 (4) .
[7]鲍培明.基于BP网络的模糊Petri网的学习能力[J].计算机学报, 2004 (5) .
攻击模型 篇2
信任对电子商务至关重要。近年电子商务蓬勃发展,使人类社会经济生活方式发生翻天覆地变化,但同时也产生大量问题———欺诈、身份盗用、虚假信息等,对电子商务热潮产生极大的冷却效应。电子商务信任管理体系和制度的建设相对滞后,与其急速发展间存在巨大不协调和矛盾。在整个经济环境缺乏诚信保证的条件下,信任管理的匮乏制约着电子商务健康、快速地发展。目前,无论电子商务的理论研究人员还是实践者,均认为信任缺失是电子商务发展的主要阻碍。
在众多电子商务信任模型中,可发现影响人们信任的有众多信任属性,人们对电子商务平台、卖家、商品产生信任的因素和焦点各不相同。如,有些买家关注物流速度,有些买家只关注商品质量,不一而足。但肯定的是欺诈会直接导致信任破裂和不信任[1,2],更严重的是,欺诈会削弱电子市场的基础,并危及电子商务经济。
近年,据国内外Internet犯罪报告 ( Internet Crime Complaint Center,2009,2010) 和在线购物报告 ( 艾瑞网iResearch,2009,2010) ,电子商务相关欺诈导致十亿美元计 / 年的损失; 国内在线拍卖相关欺诈占总投诉的1 /4。与传统商务倾向于关注面对面的人际关系不同,电子商务倾向于关注交易过程[3],其中的诸多特性,如交易与支付分离等特征[4],使得买家追讨权益比较困难,加上信任管理不完善,诱发大量欺诈行为产生[2]。
已在众多电子商务平台广泛应用的声誉模型,很多情况下能有效预测交易实体( 包括卖家和买家) 行为,预防在线拍卖欺诈,但对于它们的攻击是永恒的[5]。如e Bay等电子商务平台中的声誉系统长期饱受Shilling等攻击的困扰。
1 信任管理研究现状
本文按以下思路进行综述:
( 1) 什么是信任,不同学科如何理解信任; ( 2) 现有的电子商务信任模型( 从多个学科进行综述) 及特点; ( 3) 各种声誉模型的特点及理论基础; ( 4) 面向声誉模型的攻击、抗攻击方法及效果; ( 5) 对研究现状进行评述。
1. 1 信 任
信任是很复杂的概念,长期以来被认为是主观的、精确的、不可靠的,甚至不可信的,缺乏科学、系统研究,尤其缺乏形式化定量研究。对信任精确地形式化描述,可追溯到1994年Marsh的研究。但有趣的是,计算机及数学专业的作者在其论文中大量引用哲学、社会学等理论,说明信任涉及领域众多,非一门或几门学科能完全覆盖。
对信任的研究起步于德国社会学家齐美尔对信任的专门论述。信任从被研究始,受到心理学、社会学、社会心理学、经济学、哲学、管理学和计算机科学等众多学科的广泛关注:
( 1) 社会学信任是一种“社会维度”,是社会制度和文化规范的产物; 社会学既研究社会个体之间的人际信任,也研究大规模社会群体间的社会信任,关注信任的功能和作用,重视社会制度和文化规范情境对信任产生的影响。
( 2) 心理学以微观社会个体的心理为基础,认为信任是个人的心理实践、人格特质和行为,心理学关注信任的认知内容或行为表现。
( 3) 社会心理学结合社会学和心理学的特点,认为信任是一个在互动中对其他人行为的期望,研究重点应放在加强和阻碍信任发展与维持的相关因素上。社会心理学中对信任研究始于二十世纪50年代美国心理学家Deutsch及Hovland等的研究。
( 4) 经济学信任被描述为一种社会资本,对一国或地区经济发展模式与速度所产生的影响; 是理性计算后的期望收益。
( 5) 管理学信任常与企业绩效、风险、交易成本联系在一起,认为信任能提高满意度与企业绩效,减少不确定性及降低组织内和组织间的交易成本。
( 6) 营销学在买卖关系或分销渠道背景下,信任包含信念和行为意愿两个维度,指不确定交易环境下,交易一方对交易可靠性和诚实性有信任时的一种存在的心理与行为状态。
( 7) 交易信任研究领域信任是源于对他人会保护所有( 交易) 相关人员权利的乐观期望,而将自身( 某种利益) 置于他人行为的影响之下的一种意图。
多学科关注使信任研究百花齐放,但同时带来巨大分歧和理解不一致性[5,6,7,8],目前学术界无公认定义。总结相关文献,信任具以下性质:
( 1) 信任总在两个实体间发生称为信任主体( 信任者)和信任客体( 被信任者) 。电子商务中,买方通常被认为是易受伤害的一方,是信任主体; 卖方是信任客体,是信任附着的,并有机会利用信任主体弱点的一方。
( 2) 信任可描述和度量如用模糊的语义变量( 可信,不可信,不确定) ,用[0,1]间实数表示,或用数学概率表示。
( 3) 信任具上下文相关性上下文指信任范围,即信任只在特定环境下才实现和成立。
( 4) 信任具传递性信任有条件地( 例如可通过推荐( recommendation) 扩散或传递,并在传递过程中不断衰减,同时传播路径越长衰减程度越深。传递推荐的机制即信誉机制,可辅助其他节点决策。
( 5) 信任具主观性不同节点对同一节点的衡量标准不同,信任程度也不同。电子商务中不同实体间进行的交易在数量和质量上有所不同,因此对于交易结果是否满意,并无统一标准,由交易者感知决定,缺乏足够客观根据是导致信任主观性的重要原因。
( 6) 信任具有不确定性不确定性来自于对其他主体及其所要采取行动的不了解或不完全了解,如灰色不确定性和未确知不确定性。
( 7) 信任建立在历史经验上实体可根据相似条件下的经验评估信任。熟悉度对信任有重要作用,随历史交互经验增多,信任值会越来越稳定。
( 8) 信任具动态性首先,信任关系始终变化,受多种因素影响,是不断学习的结果; 其次,信任有脆弱一面,难以建立而易于破裂。
( 9) 信任具不对称性节点A和B之间存在信任,但A对B的信任不意味B对A也信任,同时,即使双方相互信任,信任程度也不一样。
( 10) 信任具异步性信任始于对即将开始的交互行为的预期,是一种具有不确定性和风险的判断。同时,信任要经不断学习和经验积累形成,是事后评估,评估更新后的信任度只能在下次使用。
信任分类无统一标准,如按信任建立时间长短划分,可分为初始信任和成熟信任。顾客对于电子商务平台的信任循序渐进,在无任何交互经验时,顾客会对网站卖家进行观察,双方开始初次进入信任关系[7,8],此阶段涵盖了外表信任。一般认为,从初次接触网站到第一次购买是初始信任时期,随双方交互经验增加变为经验信任,慢慢进入成熟信任,成熟信任包含经验信任。
以被信任对象为分类标准: 人际信任、系统信任和制度信任。由于电子商务中不确定性的存在,包括系统不确定性、特定交易不确定性,信任显得格外重要。与之相对的是系统信任和特定交易信任[9]。按照交易过程,可分四个角色: 买方、卖方、第三方机构和技术。电子商务环境下消费者对于互联网交易所采用的各项技术的信任属于系统信任的范畴。制度因素对电子商务信任的形成十分重要。社会学观点认为,制度信任是对整个互联网的信任,也包括对技术的信任,即信任属于制度信任的范畴。
1. 2 电子商务信任模型研究现状
信任模型是指建立信任关系并对其进行管理的架构,或称作信任度评估模型。信任的描述、信任的量化度量以及信任的评估是信任模型关注的重点。信任评估是信任模型的核心,主要功能包括个体信任信息收集与传递、信任评估的实现,可反映网络环境的不确定性和动态性[10]。
以社会学、心理学关注影响人们信任的因素及其对信任的影响程度,强调理论和模型的构建,对现实具有良好的解释性。往前追溯信任模型,有学者认为如TRA、TPB和TAM就是信任模型[11],也有学者认为它们是信任研究的先驱[12]。后来多位学者提出具有代表性的模型包括初始信任模型[7],电子商务信任整合模型,信任和TAM的整合模型[13],基于社会呈现理论的信任模型[14,15]和维度信任模型。
除了上述理论,其他一些著名理论也大量地应用在各种信任模型中,包括社会交换理论SET( Social Exchange Theory) ,交易成本经济理论TCE( Transaction Cost Economic Theory) ,感知风险理论TPR( Theory of Perceived Risk) ,社会网络等。
与上述信任模型形成鲜明对比的是以计算机科学为代表的多种信任模型,具有强实用性、执行性,强调通过可量化的证据来判断开放网络中的实体是否可信。Blaze[16]等人在1996年首次提出了“信任管理”。Azzedin[17]等将开放网络环境中间的信任关系分为身份信任和行为信任。相关文献指出[18],在以Internet为代表的开放网络环境中,传统的安全机制用于提供用户的授权和认证,可解决实体的身份信任问题,但不能处理实体的行为信任问题。
从管理的机制方面,信任模型总的可以分为两大类: 基于政策和基于声誉的信任模型。从信任模型的整体架构上来看,也可以分成集中式和分布式的信任模型[19]。基于政策的信任模型中较有代 表性的包 括PolicyM aker; Key Note; REFEREE;Peer Trust。基于声誉的信任模型已在电子商务、P2P领域中广泛应用。如e Bay,Amazon,淘宝等。此类声誉系统属于集中式信任模型,需要可信第三方。与之相反的是分布式的信任模型,在P2P系统中大量应用。
1. 3 声誉模型研究现状
声誉是和信任密切相关的一个术语( 很多文献中也称为信誉、名声) ,来自于社会网络[17]。声誉与信任密切相关,但他们并不等价。Jsang[5]给出的两句话道出了个中的奥妙:
I trust you because of your good reputation( 因为你有很好的声誉,所以我信任你) 。
I trust you despite your bad reputation( 尽管你的声誉不好,但是我仍然信任你) 。
声誉可分为个人声誉、社会声誉和上下文相关的声誉[5]。如今,声誉系统在电子商务中被广泛应用,扮演了重要的角色,是建立在线信任的一个有效途径。
系统有助于建立基于制度的信任,而社会学理论指出,基于制度的结构可以建立信任并有效预测参与者的未来行为[20]。声誉评估方法很多,包括二元评价的简单加或者平均,如e Bay,Amazon,淘宝均采用此类方法; 基于贝叶斯网络[21,22]; 基于PKI的信任模型; 离散的信任模型[23,24]; 基于模糊逻辑的信任模型[25]; 基于DS证据的信任模型[26,27]; 基于链状的信任模型,例如pagerank算法; 基于信息墒的信任模型[28]。You等[4]基于经济理论研究淘宝的“刷信用”问题,通过真实数据验证其提出的假设,其本质是通过对攻击者行为特征的分析来发现攻击者所产生的交易。相对电子商务而言,P2P中信任问题多为计算机科学等学科研究,成果丰硕[26],该领域成果不能直接应用于电子商务领域,但可供借鉴[19]。
众多学者指出了当前信誉系统中存在的问题[5,29,30,31,32]:
( 1) 缺少对交易上下文描述如成交价格、交易时间等,无法准确预测、判断交易实体行为,易滋生信誉欺诈、信誉波动行为;
( 2) 无考察评分用户的信誉状况无法消除信誉诋毁等恶意行为;
( 3) 考察信誉的维度欠全面难以实现信任的个性化评估;
( 4) 信任模型欠缺对欺诈行为的防范与政治机制容易受到恶意用户欺诈行为的攻击;
( 5) 模型中对信任因素的权重一致化易诱发声誉波动行为,难以准确反映交易双方的真实信誉情况;
( 6) 交易评分等级设计简单不仅使反馈信息模糊,更可能丢失重要评价信息;
( 7) 声誉整合算法简单目前常用的算法包括累加法和平均值法,优点是易于应用,缺点是信息表达能力差,且无法抵御欺诈性反馈,例如摇摆攻击等;
( 8) 声誉模型实用性较低目前众多学者研究的声誉模型,从多个维度对交易实体进行评价,使用更为复杂的算法,但是无法以真实商业平台为基础,因此缺乏实用性;
( 9) 奖惩机制不够完善当前的信用评价模型由于采用简单累积的方式,当卖家积累一定声誉值后,少量负面评价对其的影响明显降低,这时卖家易产生投机心理,现有声誉系统的扣分机制对投机交易的抑制作用明显不足。如今电子商务系统重点在于打击各类欺诈行为,如检测合谋行为,而对于激励交易实体提供诚实反馈及推荐的研究甚少。
1. 4 对声誉模型的攻击及抗攻击方法
虽然声誉系统的广泛使用及巨大的成功,但对于它们的新型、不可预知的攻击永远存在,因此需要发现并抵御这些新攻击的方法[5]。抵御方法总是在攻击之后[1]。较多研究面向推荐系统的攻击,基于已发生交易数据的分析,假设攻击数据是少量的,有一定局限性[33,34,35]。社会网络、图论等方法也大量地被应用,但有明显的效率低下的问题,而且效果有待考证。
下面重点对几种攻击及抵御方法进行总结:
1) whitewashing行为与防御
Friedman和Resnick两人[36]研究了Cheap Pseudonyms现象,恶意用户轻易以新的身份重新加入系统,出现“重新洗牌”[37]( whitewashing) 现象,即离开系统的恶意用户可轻易注册新身份重新加入系统,避免惩罚,这类行为的恶意用户称为“whitewasher”。
对于“重新洗牌”行为的防御,可以通过增加注册成本来进行防御。例如用户注册时将ID与IP地址绑定,或者是用户免费注册时,信誉分为零,但可通过第三方进行实名认证来获取一定的信誉分; 也可以限定信誉分的最低值,从而使得信誉分即使下降到底限值后也能略高于新注册用户的最初信誉分值[31]。
2) traitor攻击与防御
Perrone和Samuel[38]发现on-off attack,在此类攻击中,恶意用户交替进行良好或恶劣的行为,以逃避检测。而traitor攻击的表现行为也类似于on-off攻击,恶意用户先通过良好行为累积信誉,然后采取投机行为,信誉分下降后,又履行良好行为,定期的重复上述过程。这与李瑞轩等[39]所关注的周期性欺骗类似。
为了预防traitor攻击,许多信誉系统通过遗忘体制控制历史行为影响。Trustguard[40]中只把最近反馈算入信誉。此体制引起广泛关注,因为好的和坏的行为被遗忘得同样快,可能帮助攻击者恢复信誉[38]。Jφsang和Ismail[41]引进衰减因子在Beta声誉系统中,逐渐减少前提获得的反馈评分的权重,同时该系统能计算用户不对称的好行为和坏行为。Sun等[42]提出自适应遗忘方案使得好信誉可以通过一致的良好行为建立起来,但是可以仅仅通过一些坏行为轻易被毁坏。李瑞轩等[39]采用商品价格的区间分布来对成功交易进行加分,采用信用等级的扣分系数来对不同信用等级的失败交易进行扣分,来解决信用炒作和周期欺骗问题。
3) dishonest feedback攻击与防御
不诚实反馈的攻击中,攻击者可以注册多个用户ID,即小号,控制小号对声誉系统进行攻击。不诚实反馈攻击一般可以分为两类[43]:
( 1) 诽谤攻击( nuke)[33]即通过给目标用户提供消极反馈来降低其信誉,此攻击也称Slandering( 不合理降低声誉)攻击[44],unfair low ratings ( 不合理地 低分评价)[45],诬蔑( bad-mouthing)[46]; 这种攻击也间接提升了攻击者本身的信誉。
( 2) 提升攻击( push)[33]即通过为目标用户提供积极的反馈来提升其信誉。通常有两种方式: 一种是自买自卖的“自我提升”方法; 另一种是通过与其他卖家联合“互买互评”的方法; 或者两种方式一同进行。push攻击也称为promoting[47],shilling[33]攻击,又或是unfair high ratings[45],ballot stuffing[45,46,48]。后一种“互买 互评”的方法 也称为共 谋You等( 2011)[4],勾结等。这与Jsang[5]所指出的通过虚假交易的攻击方法类似。而在现实中,shilling在很多现实中的企业、电子商务系统均有出现,包括著名的sony picture和e Bay。
对于不诚实反馈的检测和处理方法可来自以下三个方面:
( 1) 增加不诚实反馈的成本设置一种政策,即要求用户提供反馈时必须要有某一证书。此类证书可以是一份真实的交易记录,比如e Bay、Amazon和App Stores。
( 2) 检测不诚实反馈基于反馈特征的防御方法,此方法基于大多数规则来检测不诚实反馈。例如,基于熵的方法识别不诚实反馈在反馈分布中的不确定性带来的显著变化。聚类技术[45]、背书方法[49],基于eta-function过滤[50]、基于熵[51]等方法大量地被使用在此类研究中。大部分检测方案均依赖少数服从多数的原则,原理是检测与大部分意见不一致的评价。信号模型也被应用于解决不公正评价问题,如文献[52]认为评分值为一种随机过程,通过信号理论检测不公正评价。
( 3) 缓和不诚实反馈的影响通过评价者的可靠性 /诚实性来衡量反馈的可靠性,称为“用户反馈信誉”。被评价者声誉由所有反馈的加权平均来计算( 即评分) ,权重即为评价者的用户反馈信誉。易见,低反馈声誉评价者所提供的反馈将对被评价者的声誉质量产生较小的影响。众多学者对类似反馈信誉的措施进行了深入研究,Laureti等[53]提出的迭代细化方法计算用户的判断能力( 即,在反馈聚合算法中设置用户的反馈权重) 作为他/她的所有反馈的方差的逆。Zhang和Cohen[54]提出个性化的方法中引入个性化的信任来衡量反馈的可靠性。
以上的防御方法对简单的不诚实反馈是有效的。然而,聪明的攻击者会发现这些防御方法的漏洞,并且找到方法来误导评价实体反馈信誉的计算和不诚实反馈的检测,使用各种方法增加自己的信誉度,例如为一些不相关的用户提供诚实的反馈以积累高反馈信誉,然后对目标提供不诚实反馈。当反馈信誉非常低时,他们会以类似whitwashing攻击的方法重 新进入系统。
4) 共谋攻击及防御
Lian和Zhang等人[55]将共谋定义为产生不是为个人可用的组成员利益的用户小组的协作活动。通俗而言,也就是攻击者控制着多个恶意用户ID,为了骗取信誉来提升一群卖家的信誉度或为了降低共同竞争者的信誉而联合起来进行欺诈的行为。You等[4],Jsang[5]和Despotovic等[56]均对共谋进行了深入研究。
简单的共谋行为具有较大的相似性,比较容易被识别。如简单的摇摆攻击,即恶意用户ID要么只提供push类型的反馈,要么只提供nuck类型的反馈,此类行为的攻击方向是一致的,较容易被系统识别。而复杂的共谋欺诈被识别的难度很大。如复杂的摇摆攻击[40],恶意用户ID被分成不同的组,在不同时刻每组在执行任务时扮演不同角色,在时刻t1,A的角色是提升目标实体的信誉,同时也提升自己的可信度; 在时刻t2,A将扮演诽谤行为的用户角色,通过这种随机分配执行不同角色,可避免声誉系统对具有相似性的共谋行为的识别检测。很多情况下,共谋行动造成的影响会远远大于独自攻击所产生的影响,并且能引起比简单共谋更大的破坏力。因此,共谋攻击是目前声誉系统研究中的难题之一。
时域分析法[57]、时间和用户相关性分析法[58]能较为有效地处理复杂的共谋攻击,因为声誉系统的反馈都是基于声誉的,评价者的声誉反馈与时间点紧密联系,所以将声誉的整体变化跟时间因素的有机结合,能够有效地处理复杂共谋攻击。时域分析法[57]主要是通过四个检测器( 到达率改变探测器、平均改变探测器、直方图改变探测器、信号模式改变探测器) 来检测可能存在共谋攻击的可疑时间间隔,从而确定可能参与共谋的评价者。
相对时域分析法,时间和用户相关性分析法[58]具有更高的准确性。因为该方法在确定可疑时间间隔后,对区间的用户进行相关性分析,从而具有高相关性的评价者才更可能是参与共谋的,因为在即使在可疑的时间间隔内仍可能存在一部分用户提供诚实反馈。
也有不少学者使用实证方法研究此类问题,如You等[4]提出针对共谋欺诈的交易模式,提出了基于多种交易因素的识别方法,包括时间、价格等,应用社会网络方法,并应用淘宝的真实数据验证其识别方法。
5) 欺诈及相关分析
与针对信任管理系统攻击有密切联系的是“欺诈”。Le[59]等人认为对于信任模型德恶意攻击主要就是欺诈。近年来,对于电子商务中欺诈成为一个研究热点。欺诈的类型包括Web网络、内部、保险、顾客、信用卡、计算机入侵、电话等类型,上述类型下又细分了若干子类[60]。专门针对电子商务中产品相关的欺诈揭示出很多在电子商务中常见的现象,文献[2]通过形成“隐藏”、“模糊”、“夸大”与“对信息内容的操纵”、“对信息呈现的操纵”、“对信息产生的操纵”,形成3×3的产品相关的欺诈类型。上述所说的shilling或者self-promoting落在“夸大”“对信息内容的操纵”类型内。可见,这类型的攻击是一种欺诈,而且是群体欺诈,波及范围更大,负面影响更广、更深。
对于欺诈,学者研究了各种的方法来进行发现、甄别和抵御[33,35,61]。
其他常用攻击方法包括: 负歧视; 正歧视[45]; 及拒绝服务等等( denial-of-service,是系统错 误的起诉 诚实的用 户或者物体)[47]。
2 结 语
研究现状总结: 信任管理是一个较新的研究领域,自提出以来不过10多年,目前已经成为研究热点。作为新兴的研究领域,现有的信任管理研究仍存在以下的不足与挑战:
( 1) 针对电子商务信任模型的恶意攻击的研究还比较薄弱
对声誉系统进行攻击、抵御的研究相对不成熟,对恶意推荐缺乏行之有效的过滤方法,对策略型欺骗行为缺乏有效的识别和抑制,面对环境日益复杂的电子商务环境,现有的信任模型对各种攻击显得无能为力。现在针对电子商务信任管理系统的攻击有哪些? 这些攻击有什么特征? 现有的抗攻击方法还存在哪些不足? 这些问题非常值得思考和深入研究。
( 2) 信任模型对现实信任关系描述能力不足
目前研究中,社会学、管理学等学科的信任模型止于信任属性/因素的问卷验证,其宏观性与现实应用具有较大的距离,如果把这些抽象的构念进行合理的量化,从而解决电子商务中微观、实际的问题? 而工科的量化模型始于抽象的多属性变量,缺少理论依据; 工科学者较多的研究集中在微观的声望 /信誉计算方法、信任传递、合并计算等方面,严谨的数学理论之下的信任模型有什么现实意义? 有什么理论依据? 这些问题都有很大的研究价值。
( 3) 现有信任模型粒度单一
绝大多数研究着眼在事务级别粒度( 实际已发生的交易)的研究,由于攻击极具伪装性,仅对事务级别数据的分析无法对恶意攻击进行甄别; 通过何种方式、何种工具获取成本较低的信任证据? 这些证据是否能够充分描述用户行为特征,包括恶意攻击的特征? 这些问题的研究也极为重要。
( 4) 现有的信任模型对信任关系深层次研究比较欠缺
攻击模型 篇3
木马检测一般分为静态和动态检测技术,然而这两类检测技术都有其不足:静态检测技术在面对已知木马程序的隐藏和变化时略显不足,对于未知木马程序亦是无能为力;而动态检测技术不仅因为占用较多的系统资源导致效率不高,对于已经发现的木马程序,其运行造成的危害已是事实。
攻击树模型有着直观的结构,能够较好地反映系统威胁路径,在木马程序入侵检测应用方面的研究相对较多。文献[1]在传统攻击树模型上,对每个节点加入属性信息实现了对模型的扩展,不足之处在于其对节点间关系定义不全面、危险指数算法过于简单,将影响检测的准确度;文献[2]提出的一种改进攻击树结构,并设计了危害权值算法,不仅更直观地体现了攻击路径,而且达到了更好的描述和判断程序的恶意性的目的。其不足在于未能考虑攻击树中不同层次节点对PE文件危险值比重的差异;文献[3]中改进的攻击树模型是在传统攻击树的基础上加入参数集合较好地描述了API调用序列情况,但是其对节点权重信息描述不明确;文献[4]提出一种通过静态分析PE文件获取API短序列与攻击树进行匹配,提高了匹配效率,然而当前很多木马程序通过动态加载DLL获得函数地址完成系统调用以躲避静态扫描[5],静态分析API序列方法的不足将日益凸显。
本文在分析了PE文件头部特征信息[6]的基础上,重点研究了攻击树模型的扩展,API调用序列的提取、分析以及算法的改进等,提出一种改进的基于扩展攻击树模型的木马检测方法。首先搜集总结了大量木马程序,并对其API调用序列进行提取、划分以及筛选作为构建模型的特征库;同时对攻击树模型节点信息进行改造扩展,基于扩展的模型,根据不同层次目标节点和叶子节点的权重、发生概率以及程序调用API短序列匹配度等的不同,改进了相应算法,再通过计算程序的危险指数与预先设置好的阈值进行比较,以判断程序是否为木马程序;最后给出实现攻击树模型的调整与优化的方法。
1 扩展攻击树模型
攻击树模型是一种采用树形结构来描述攻击者对目标系统进行攻击的方法、路径。在一棵攻击树的树形结构中,可以分为“或”(Or)、“与”(And)、“顺序与”(Sand)三种关系。现假设G,a,b三个节点分别代表父节点、左子节点、右子节点,则上述三种关系的图形表示如图1所示。
其中,‘Or’关系表示只要有包含一个以上的子节点都将导致父节点的完成;‘And’关系表示当且仅当所有子节点的完成才能导致父节点的完成;‘Sand’关系表示父节点的完成必须是所有子节点按相应顺序完成方可,这里指子节点从左到右的顺序。
扩展攻击树T=(V,E,Attribute,Parameter),其中V(T)是上述三种关系的非叶子节点及叶子节点为集合元素的非空并且有限的集合,根节点记为‘ROOT’,用以表示攻击者要达成的最终攻击目标。自上而下,子节点代表攻击的子目标,逐步细分到叶节点代表危险API调用短序列。E(T)中的元素是V×V的子集,用来代表树中的每条边,即攻击的路径。Attribute(T)是节点属性集合,由七元组(S,C,L,P,R,W,D)组成,与每个节点相关联。S是布尔型变量,表示节点在匹配过程中的状态:得到匹配的节点的S为TRUE,记为“高亮节点”,反之记为“非高亮节点”。C表示为API的名称或者目标的文本描述。L表示节点所在攻击树中的层次,其中L(ROOT)=0,ROOT子节点的L值为1,依次向下类推。P指节点代表的事件发生的可能性。R为三态变量(与/或/顺序与),表示子节点之间的关系,对于叶子节点无意义。W和D是数值型变量,W表示节点代表的事件发生后对系统产生的威胁,为恶意性权值;D表示综合计算得到的节点的危险指数。Parameter(T)是参数信息集合,由time、paramlist两个变量组成,用以记录API调用时的参数信息,time表示节点内部的时间序编号,paramlist变量则用来记录参数调用链表。对于非叶子节点该值为NULL。初始状态下,模型中所有节点都处于‘非高亮’状态,Parameter(T)为空状态,而非叶子节点的D暂时也为空。
2 相关技术的研究
2.1 API调用序列的提取以及木马库的生成
本文在分析了PE文件的特征字符串、API调用的数量等头部特征信息的基础上,结合静态和动态方法获取API调用序列(包含调用API的参数信息),大致流程如图2所示。
在程序运行前,首先判断PE文件是否经过加壳、变形等,若无则通过静态解析PE文件的方法提取API调用序列以尽可能地提高检测效率;若是则将程序置于沙箱中运行以避免其对系统的危害,通过行为监控技术[7,8]拦截程序执行过程中的API调用以提高检测准确率。再将提取到的API调用序列,采用K=6长度的滑动窗口生成API短序列,如图3所示。
针对部分木马短序列无法有效区分木马程序与正常程序,同时造成不必要的信息冗余,采用信息增益筛选出高识别度、高准确度的关键API短序列集合A(F)={F1,F2,…,Fm}作为构建模型的特征库。信息增益公式见下:
其中,Q为标记类的训练集,包括:木马程序(C1)、正常程序(C2)。Info(Q)即表示对Q进行分类所需要的期望信息,而InfoA(Q)表示按A划分后再对Q进行分类所需的期望信息,A为木马调用的API短序列,公式具体为:
其中,|C1|、|C2|分别表示Q训练集中木马和正常程序的数量,|Q|=|C1|+|C2|表示程序的总数量。
其中,|Qj|即为按A划分Q得到的子集的数量,有|Q1|和|Q0|分别表示Q训练集中程序调用、未调用A短序列得到的子集数量。Grain(A)值越大,表示对应API短序列对木马程序的检测影响就会越大,反之相反。
2.2 原始扩展攻击树的构建
通过分析木马常见的恶意行为,将原始扩展攻击树划分为8个部分,如图4所示。
具体地,根据对上述恶意行为的划分,将木马特征库A(F)中的API短序列按照序列达成的目标、目标间的依赖关系构建出若干最大木马扩展攻击树,再将这些树以或的关系合并在一起作为ROOT根节点的子节点,即完成原始扩展攻击树的构建,如图5所示(图中省略了部分目标节点、叶子节点)。
对于攻击树中节点的命名采用<T+父节点编号+子节点顺序号>的方法,不仅可以直观地体现攻击过程,还能准确地定位节点所在的层次位置,便于节点权重计算等。
2.3 相关算法研究
1)节点发生的可能性P的推算方法[9]
其中F表示父节点,Kn表示子节点。
(1)对于“Or关系”的子节点,其父节点的发生可能性等于各子节点发生可能性的最大值。
(2)对于“And关系”的子节点,其父节点的发生可能性等于各子节点发生可能性的乘积。
(3)对于“Sand关系”的子节点,其父节点的发生可能性需要借助条件概率来计算。
(4)对于叶子节点leaf采用多属性效用理论[10]计算其发生的可能性,给每个叶子节点附上三个基本属性,cost、det、diff分别用来表示完成该叶子节点所需要的成本、可能被检测到的等级和难易度,算法如下。
其中:leaf表示任意的一个叶子节点;P(leaf)表示该叶子节点发生的可能性;Wcost、Wdet、Wdiff用以表示对应参数的权重系数;而U(cost)、U(diff)、U(det)则用以表示相应参数的效用性。
2)恶意性权值W
叶子节点是由具体API函数代表的一个行为事件,通过行为要素得出单个叶子节点的恶意性权值[11]。主体U为调用API函数的进程或线程,客体O为API函数的操作对象,动作B为API函数代表的操作,API部分参数值作为行为的备注部分N。设Wu、Wo、Wb、Wn分别代表主体、客体、行为操作以及附加参数值代表的权重,L为当前节点所在的层数,为不同层节点设置权值可以更好地体现危害差异性。对于匹配的叶子节点,其所在层次离总目标越远其权重相应越低,本文采用如下公式计算其恶意性权值。
对于非叶子节点,其恶意性权值W由其所有子节点的危险指数及包含的叶子点间的相互关系综合决定。
为‘Or’节点时,W取子节点中最大的危险指数为值;为‘And’或者‘Sand’节点时,将子节点危险指数求和作为W值,以体现子节点共同作用导致父节点目标的达成,公式如下:
3)危险指数D
危险指数标识危险级别,表示节点与木马程序的相似程度,由自身权值及发生概率计算而得。所有最大高亮子树根节点的危险指数D值的和为对应木马程序的危险指数D(F)。为了有效地降低漏报率和误报率,文献[12]在计算程序危险指数的时候将程序调用API集合的规模考虑在内,本文考虑API序列间的依赖关系,通过计算API短序列匹配度的方法以更准确地描述程序的恶意性:假设目标API调用短序列的总数为n,在扩展攻击树中匹配到的短序列个数为m,那么m/n的即为目标短序列集合中API序列的匹配度,记为P(H)。通过这种方法可以有效地降低正常程序调用API过多引起的高匹配度从而产生误报,以及木马程序调用API较少造成低匹配度从而产生漏报。式(1)、式(2)分别表示计算子目标和最终目标的危险指数。
3 基于扩展攻击树的木马检测方法
3.1 匹配分析
将待检测程序中提取、划分的目标API短序列集合G(A)={A1,A2,…,Am}以短序列为单位同扩展攻击树模型进行匹配,同时把相应API调用参数信息记录在Parameter(T)中,再对攻击树模型进行叶子节点及非叶子节点按照相应规则(与/或/顺序与)作高亮标记。设置一个阈值作为判断标准,最后计算危险指数的值来判断程序是否为木马程序。
例如某可疑木马程序部分的调用序列及参数调用记录如如下:
(1)可疑木马程序代码片段
(2)提取的API调用序列
将上述可疑API调用序列通过滑动窗口划分成短序列,按相应规则匹配攻击树后得到的高亮节点扩展攻击树,如图6所示。
3.2 动态调整扩展攻击树方法
原始扩展攻击树作为木马检测的核心特征库,需要不断地更新和补充使得检测更加准确有效。检测过程中,将程序中出现的未被匹配的敏感API调用序列按照一定的规则添到新的模型分支中:对于相同的操作对象而动作不同,归为‘And’或者‘Sand’关系,并通过参数信息进行区分;对于相同动作而操作对象不同,归为‘Or’关系。同时,采用如下方法对扩展攻击树模型进行调整优化:
1)或节点合并法
针对今后出现的新的攻击方式实现的相同攻击目标,使用或节点进行合并,例如:完成攻击树中T21目标需要调用API序列(A1,A2,A3),若发现不同的API调用(A4,A5)序列亦可完成T21目标,则将序列(A1,A2,A3)和序列(A4,A5)分别置于T21新的子节点T211,T212下实现合并。
2)节点精简法
通过舍去扩展攻击树模型中无作用或作用不大的节点以实现展攻击树模型的优化。即保证完成攻击目标序列的任意子序列无法达成该攻击目标。
3)相似攻击树统一法
对于树中出现的相似的攻击树,按结构从简的原则选择其一,从而提高程序运行效率并节省存储空间,如图7所示。
通过分析得到这两颗攻击树中达成目标T3具有相同的API调用序列,都是{(A1,A3)(A2,A3)}和(A1,A2,A3),因此它们是相似的,通过分析选左图作为模型子树。
4 实验结果与分析
(1)通过分析“红狼远控”和“灰鸽子黑防”这两种远程控制木马程序,对其进行升级都附上新的攻击目标:获取目标机上的.jpg图像文件之后将其删除的功能作为新的攻击目标。通过匹配之后,再计算危险指数得到实验结果如表1所示。
实验结果表明,本文方法可以有效地检测出经过升级后的木马。
(2)从网上下载了639个木马文件以及Windows XP系统目录下的纯净PE文件。以2:8的比例将这些文件分别作为测试集和训练数据。将本文方法与文献[1]、文献[4]方法进行分析比较FN(木马被识别为正常程序)和FP(正常程序被识别为木马)指数得到如表2所示。
通过表2的实验数据比较分析看到,改进后的方法较大地降低了了FN和FP指数,提高了检测的准确度。
5 结语
本文提出一种基于攻击树模型的木马检测方法,先通过扩展攻击树节点信息等实现更精确的匹配模型;再采用静态分析和动态行为监控技术相结合的方法可以比较有效而准确地提取到程序的API调用序列,并对相关算法进行研究,改进了权值、危险指数的算法。最后给出扩展攻击树模型调整与优化的方法以实现模型特征库的更新与补充。实验结果表明,改进后的方法在兼顾木马检测效率、准确度方面有较好表现的同时,还可以检测出经过升级变种的木马。
参考文献
[1]杨彦,黄皓.基于攻击树的木马检测方法[J].计算机工程与设计,2008,29(11):2711-2714.
[2]谢乐川,袁平.改进攻击树恶意代码检测方法[J].计算机工程与设计,2013,34(5):1599-1604.
[3]陈丹伟,唐平,周书桃.基于沙盒技术的恶意程序检测模型[J].计算机科学,2012,39(6A):12-14.
[4]牛冰茹,刘培玉,段林珊.一种改进的基于攻击树的木马分析与检测[J].计算机应用与软件,2014,31(3):277-280,330.
[5]张程,马兆丰,钮心忻,等.一种API动态序列分析和DAG-SVM多类支持向量机的未知病毒检测方法[J].小型微型计算机系统,2012,12(12):2724-2728.
[6]Schultz M G,Eskin E,Zadok F,et al.Proceedings of the 2001 IEEESymposium on Security and Privacy[C]//Washington:IEEE Computer Society,2001:38-49.
[7]谢燕江.一种基于轻量级虚拟化的沙盒机制[D].湖南:湖南大学软件学院,2012.
[8]张永超.基于虚拟执行技术的恶意程序监测系统研究与实现[D].国防科学技术大学,2011.
[9]甘早斌,吴平,路松峰,等.基于扩展攻击树的信息系统安全风险评估[J].计算机应用研究,2007,24(11):153-160.
[10]钟倩,方勇,刘亮,等.基于攻击树的文件风险评估方法[J].通信技术,2011,5(44):77-79.
[11]Xia Jiang,Weiwei Qi.An Improved Attack Tree Algorithm Based on Android[J].Journal of Software Engineering,2014,34(1):1-8.
攻击模型 篇4
判定一个安全模型是否满足安全要求,比较好的手段之一就是运用形式化的数学工具去验证。Pi演算就是一种很有力的形式化工具。Pi演算是由英国剑桥大学教授、图灵奖得主罗宾·米尔纳(Robin Milner)建立的一套理论,它是一种移动进程代数,它作为移动计算的基础,引入了通道的概念。通道具有确定的作用域,作用域以外的进程不能对该通道进行存取,这在一定程度上确保了通道通信的安全性。Pi演算在描述并发、同步、通信等方面有很大的优势,同时,它还提供了各种强弱不同的等价定义,因此,可以用来很准确地描述和验证协议的安全性。
1XML重写攻击及其防御模型(CXMLRAM)
所谓XML重写攻击[2]就是指对截获的SOAP消息内容做未授权的添加、修改或删除,从而破坏SOAP消息的完整性且不被侦测出来。
如表1中所示的SOAP消息,〈Signature/Reference〉中指向〈Body〉,以确定〈Body〉中的内容不被篡改。然而,恶意中间点可以将〈Body〉植入一个假冒头标签〈BogusHeader〉中,来保证原有数字签名的有效性,达到预期的欺骗目的,并重新书写新的〈Body〉内容。
通过上述例子,可以发现,此类攻击虽然避开了数字签名的验证,但必然会改变SOAP消息中标签与标签之间的拓扑关系(修改后〈Header〉由1个子标签变为2个)。在SOAP头标签〈Security〉中没有描述SOAP消息的结构问题,因此,可以通过扩展相应的标签来防御XML重写攻击,同时在网络体系中建立新的SOAP消息拓扑验证模型,杜绝不可信中间点的威胁。
基于这种思想,在原有网络安全模型的基础上,设计出了CXMLRAM(Counter XML Rewriting Attacks Model)模型。首先需要在网络中建立一个可信的SOAP Topology信息注册服务,用于验证SOAP消息拓扑的关键信息,其次在每个终端的打包协议中加入“SOAP Topology 模块”用来计算SOAP消息拓扑信息。如图1所示:
为了便于描述CXMLRAM模型,本文使用了一些缩写,如表2所列:
CXMLRAM模型的工作机理如下:
(1)请求方通过本地的SOAP-Topology模块计算得出SOAP消息的拓扑信息STM(M)并发送至Topology信息注册服务;
(2)Topology信息注册服务保存STM(M)并生成一个T码(唯一标识码)和时间戳t回复给请求方:(T,t);
(3)Web Service请求方将(T,t)加密后加入SOAP消息:(M,{(T,t)K),经诸多中间点,发送至提供方;
(4)提供方提取M,对(T,t)解密,将(STM(M),(T,t))发送至Topology信息注册服务;
(5)Topology信息注册服务确认时间戳有效性,接着根据码提取SOAP消息的拓扑信息返还给提供方;
(6)提供方确认拓扑信息与SOAP消息拓扑结构一致后,完成SOAP消息的一次传递。
2Pi演算简介
Pi演算以进程间移动通信为研究重点,是对CCS并发计算模型的发展。作为移动计算的基础,引入了“名字(names)”的概念,忽略了信道与变量之间的差别,更利于揭示进程(processes)之间信息传递过程的本质。同时,Pi演算提供了各种强弱不同的等价定义,使得Pi演算在描述验证并发、同步和通信系统等方面有很大的优势。
以下是Pi演算的基本定义:
设X={x,y,z,a,b,c,…}(τ,v∉X)是名字(names)的可数集;P,Q,R::undefined,分别表示输出、输入、复合、限制、复制、匹配和空等常见进程。
在M(x).P和(vx)P中定义x在P中出现是“受限的”;相反,其他名字则是“自由的(free)”。因此记fn(P)表示进程P的自由名集,fv(P)表示进程P的自由变量集。
称一个进程是封闭的,表示它没有自由变量,即属于集合proc={P|fv(p)=∅}。对于Pi演算的语义,定义了闭进程上的三种关系:
(1)封闭进程上的归约关系(reduction relation):
(2)封闭进程上的等价关系(equivalence relation):
(3)封闭进程上的交互关系(reaction relation)满足undefined和下面三个规则的至少一个
undefined
3CXMLRAM模型的形式化表示
定义请求方向Topology信息注册服务发送信息的通道为cC,STIRS,请求方的形式化描述如下:
undefined
同样的,Topology信息注册服务与提供方的形式化描述分别为:
undefined
由此,得到了形式化的CXMLRAM模型:
Sys(M)(vK)(C(M)|STIRS|S)
4CXMLRAM模型验证
根据PI演算的语义,推导CXMLRAM模型的有效性。具体步骤如下:
undefined
由此得到Sys(M)≡F(M)。可以断定,此模型可以达到预期目的,是有效的。
根据PI演算理论,协议(或模型)具有真实性(authenticity)的充分必要条件为 ,Sys(M)Sysspec(M),for any M。因此还需要定义CXMLRAM模型的规范来验证其真实性。
对于STIRS来说,它只负责认证的作用,并没有信息的传递。因此规范与形式化描述相同:
STIRSspceSTIRS
而Web服务请求方和提供方是有信息传递的,可按下面方式定义两者的规范:请求方并没有发送M到提供方,它只是发送了一个私有通道P;提供方收到信息以后,从该通道发送一个信号TRI[3],请求方接收此信号后就作F(M)。这样,提供方和请求方的规范描述如下:
undefined
对于任意的测试(R,β),如果有(Sys(M)|R)⇓β,则β通道必定属于Sys(M)或R,而不是两者作内部动作以后出现的新通道。这是因为有时间戳的验证[zt=tv],任何非合法请求方利用公有通道发出的消息都不能通过时间戳的检验,而使进程阻塞。由于Sysspec(M)可以和Sys(M)有相同的外部通道,则(Sysspec(M)|R)⇓β。反之亦然,因此有Sys(M)Sysspec(M)。
最后,利用MWB(Mobility Workbench)对安全性进行验证。安全性是指不希望发生的事情从来不发生。判断一个系统是否安全,就要检查它所有的执行路径是否安全。所以安全性的检验需要对执行树的每个状态进行检查,故我们使用最大不动点描述,它表示在任意时刻都必须被满足并且无论作任何动作后依然满足此性质。
首先,按照MWB规则[4],用MWB语言CXMLRAM模型的描述出来(见代码段1),并以“CXMLRAM.ag”文件名保存。
代码段1:CXMLRAM模型的MWB语言描述代码:
然后运行代码文件,调试结果如下(见图2)。可以看出该模型具备安全性。
5结束语
本文提出了一个反XML重写攻击的安全模型-CXMLRAM模型,运用PI演算这种移动进程代数进行了形式化的描述,对模型的有效性、真实性和安全性进行了验证。可以看出Pi演算在协议(或模型)的描述和论证方面具有的独特优势。结合model checking的思想进一步完善模型,并进行复杂的协议验证是下一步要开展的工作。
摘要:设计出一个安全模型后,要严格验证其是否满足安全需求是非常重要和必要的。利用形式化方法来检验模型是否满足了安全协议是一种有效的手段。本文针对XML重写攻击,设计出了一个反XML重写攻击的安全模型,然后运用Pi演算形式化方法验证了其有效性、真实性和安全性。
关键词:Pi演算,SOAP,XML重写攻击,验证
参考文献
[1]崔妍卿,杨德华.Web Services与传统Web应用.微计算机应用,2005.
[2]Maarten Rits,Mohammad Ashiqur Rahaman.Secure SOAP Requests in Enterprise SOA.http://www.acsac.org/2006/wip/AC-SAC-WiP06-01-Rits-Secure%20SOAP%20Requests%20in%20Enterprise%20SOA.pdf.
[3]李国强,顾永跟,傅育熙.基于Spi演算的Kerberos认证协议形式化研究.计算机科学,2004.
攻击模型 篇5
1命题的研究背景
卫生部、公安部曾联合印发《关于维护医疗机构秩序的通告》;2013 年公安部、卫计委又联合下发《关于加强医院安全防范系统建设的指导意见》, 旨在构建和谐医疗秩序。但是医院暴力事件仍然以相当高的频率不断发生, 尤其是恶性伤医事件愈演愈烈, 严重干扰医院的正常诊疗秩序, 不仅对医务人员的身心造成伤害, 也给社会带来极端恶劣的影响。根据WHO对医院工作场所暴力的定义:医院工作场所暴力是卫生从业人员在其工作场所受到的辱骂、威胁或袭击, 从而造成对其安全、幸福和健康明确或含蓄的挑战。医院工作场所暴力分为心理暴力和身体暴力, 心理暴力包括口头辱骂、威胁和言语的性骚扰;身体暴力包括打、踢、拍、扎、推、咬等暴力行为[1]。
2暴力攻击行为的心理学基础
20世纪20年代, 社会心理学家开始研究人类的攻击行为, 从早期的生物决定论到以多拉德、米德为代表的挫折-攻击理论、以班杜拉为代表的社会学习理论, 再到如今比较全面的一般情绪-攻击理论。一般情绪- 攻击模型 (GeneralAffectiveAg-gressionModel, GAAM) 由Anderson等提出, 该模型整合了前人研究的理论基础, 认为攻击行为的产生主要受到个体的生理、心理、社会、环境等因素影响, 并强调其是一个动态循环的过程。如图1所示, GAAM理论包含四个要点:输入变量-当前内部状态-评估过程-行为结果[2]。 (1) 输入变量:包括人格和情境变量。人格变量包括生物因素、态度、信念等固有的人格特征;情境变量是指当前情景中那些有影响作用的情景特征, 包括他人挑衅、挫折体验、厌恶性刺激等。 (2) 当前内部状态:包括认知、情绪和唤醒, 受到输入变量直接或间接的影响, 如图1所示, “人格+情景→认知”、“人格+情景→情绪”、“人格+情景→唤醒”三条路径可同时起作用, 也可只通过其中一条产生影响。 (3) 评估过程:包括自动评估和控制再评估:前者是根据内部状态或经验自动进行评价或反应 (如“攻击”或“逃跑”) , 这个过程可以是无意识的;后者比前者反应速度更慢且需要更多认知资源和过程, 因此个体产生攻击行为时可能会因为缺乏再评估的过程而冲动行事, 导致不良后果。 (3) 行为结果:是前三个过程的直接后果, 同样它又能作为新的输入变量从而影响接下来的行为, 形成一个动态循环的过程。
3一般情绪-攻击模型 (GAAM) 下的医院工作场所暴力行为分析
我国的医药卫生体制改革已经进入了深水区, 尽管“医改”已经取得了一定效果, 但“看病难、看病贵”的问题仍然没有得到解决。在扭曲的医疗服务体系下, 恶劣的医患关系是由多重复杂原因造成的。一般情绪-攻击模型从个体内部信息加工过程角度出发, 探讨医院工作场所暴力行为的影响因素及其作用过程。
3.1输入变量
3.1.1人格变量:不同人格特质的个体行为特点有所不同, 具有冲动性攻击倾向特质的人群是实施暴力行为的主要群体。 对于那些较冲动、易激惹的患者或家属来说, 在就诊过程中, 即使受到微小的刺激也容易产生愤怒, 且难以自控以至于产生暴力行为。
3.1.2情景变量: (1) 就医过程中的挫折体验:攻击行为是由愤怒情绪引发的, 而愤怒通常是挫折体验所导致的。患者就医体验差是暴力行为的直接诱发因素。由于卫生筹资上的问题, 医院不得不通过“开大处方”、“诱导需求”或“过度检查”来达到“创收”的目的, 患者面对的是沉重的费用负担。医疗市场是特殊的市场, 在医患双方信息不对称的情况下, 患方支付了高额的医疗费用, 自然对诊疗效果抱有很高的期望值, 当效果不尽人意尤其是出现病危、死亡时, 患者或家属体验到的是强烈的挫折感。此外, 医护人员冷漠或不耐烦的恶劣态度造成医患双方沟通不畅, 也会给患者带来极大的挫折体验。 (2) 就医环境中的厌恶性刺激:我国医疗资源分配不均, 公立医院占主导地位, 往往是大医院人满为患, 小医院门可罗雀。患者就诊流程中充斥着会带来不良体验的厌恶性刺激, 如:候诊时间过长但是诊断时间却很短;候诊区人潮拥挤、闷热、异味、吼叫声;医护人员缺乏耐心、态度冷漠等。这些厌恶性刺激会引发人的不适感, 当患者产生愤怒情绪时, 提高生理唤醒水平, 也就是心理学上常被提到的“易激惹”状态。 (3) 媒体错误渲染带来的“榜样效应”:Anderson和Dill通过实验发现, 长时间暴露在暴力情境中将导致攻击行为的增加, 暴露在暴力情境中的时长与现实生活中出现攻击行为的发生时间呈显著的正相关[4]。社会媒体是大众日常接收信息的一个重要渠道, 经由媒体传播的暴力行径可能会成为个体潜意识当中的攻击行为榜样。如果媒体报道的重点集中在暴力伤医的过程以及死伤结果, 对暴力行为的反复描述会成为攻击倾向者的学习材料。媒体长期的片面报道, 加上现阶段我国医疗机构工作场所暴力预警机制尚未建立, 会使部分施暴者认为暴力攻击医护人员是一条实施成功率高且能快速得到各界关注的捷径, 甚至是得到社会声援的捷径。
3.2当前内部状态
3.2.1认知状态:医疗服务市场具有其特殊性, 作为“商品”的医疗服务具有不可预测性和不确定性, 难以用货币来衡量。但是对于患者来说, “就医”被当作一种购买行为, 认为付出相应的代价就必须获得相同的健康产出, 使患者进入这样的认知误区, 这是医院追求经济利益最大化的弊端之一[5]。此外, 媒体长期的负向渲染也容易使患者产生负面的认知。调查显示, 社会媒体主要依靠间接途径 (如患者单方面自述、记者到医院暗访或到有关部门走访) 来获取医疗纠纷事件的相关信息, 医疗纠纷事件报道的客观真实性受媒体方的主观因素影响, 会存在一定的偏差[6]。从而导致了公众对医疗机构、医护人员长期持有存在偏差的负面认知。加之当产生医疗纠纷时, 医院方面对患者“缠”、“闹”、“逼”等非常规手段, 为了维护正常医疗秩序, 往往采取“息事宁人”的态度选择妥协。久而久之, 患者会形成“采取极端方法比诉诸法律更有效”的错误认知。
3.2.2情绪状态和唤醒水平:当诊疗结果不能满足患者或者家属的期望时, 就具备了挫折的就医体验, 加之以厌恶性刺激等诱发因素和长期以来对医生的负面认知, 此时个体容易被激起愤怒情绪。通常出现医疗事故、医疗差错、死亡结果时, 愤怒情绪都伴随着高生理唤醒水平, 此时, 即便是轻微的刺激都能使其体验到强烈的愤怒感。
3.3评估过程和行为结果在不良认知、愤怒情绪、高唤醒水平的相互作用下, 评估过程分为自动评估和控制再评估。暴力攻击行为通常是自动评估的产物, 当出现不尽如人意的诊疗结果时, 患者或家属即刻将之评估为医生的过错, 随即产生暴力伤医的行为。但是如果再摄入更多考量, 或者认知资源较多、愤怒情绪和唤醒水平低的状态下, 个体经过理智分析“前因”或者“后果”, 可能会产生与暴力攻击不同的行为, 如理解医生或劝解家人。
在GAAM模型中, 从 “输入变量”到 “行为结果”是动态循环的过程, 患者或家属实施暴力行为的情景、行为结果又成为新的输入变量影响新的评估过程。
4对策与建议
医院工作场所暴力是一种复杂的心理行为现象, 受生理、心理、社会、环境因素的制约。医院工作场所暴力的出现根源于我国医疗卫生体制问题, 要想减少甚至杜绝医院工作场所暴力的发生, 就必须从根本上解决我国医疗体制的“痼疾”, 进一步深化医药卫生体制改革, 改变大众对医院、对医护人员的不良认知。改变不良的负面认知是较理想的途径, 但是诸如人格、认知等属于个体稳定的内部状态, 在短期内通过施加外部影响来改变是比较困难的, 这取决于我国新医改成效如何、“看病难”和“看病贵”的问题能否得到解决。就现阶段而言, 干预的重点可以放在改变输入变量上面。
4.1建立健全医疗机构暴力风险预警机制早在2000年, WHO就已申明暴力是可以预防和被控制的, 如果能做到及时预警、及早防范, 可以减少暴力伤医事件的发生。然而目前我国对医疗风险的管理重点仍是事后处置而非前瞻性预防管理, 基于法律制度和监管机制的医疗风险管理和预警体系并未真正建立[7]。目前一些医疗机构已经开始尝试开发医疗安全风险预警信息化系统, 旨在建立医疗安全风险预警机制信息化平台模型[8]。在新医改环境下, 建立健全具有我国特色的医疗机构暴力风险预警机制迫在眉睫。
4.2减少医院工作场所暴力的诱发因素公立医院改革是医改的重中之重, 在全面推进内部运行机制改革的同时, 应该回归公益性目标, 注重医院的人本主义管理。医院方注重提高医护的人文素养、给予患者更多的人文关怀, 会大大降低医护人员因为沟通或态度问题而被暴力攻击的可能性。再者, 医院还可以优化就诊流程, 缩短候诊时间;扩大候诊区域面积, 美化环境, 减缓病患拥挤情况;在候诊区设导医人员维持秩序, 避免有人大吼大叫, 安抚久等患者的情绪等, 以上措施都能减少就医环境中的厌恶性刺激, 起到抑制不安、焦虑、愤怒情绪和降低生理唤醒水平的作用。
4.3通过暴力风险评估防范高风险对象暴力风险评估始于精神科医生对病人暴力行为的评估, 现已发展成为一项比较成熟的专门技术, 应用于临床治疗、干预和司法实践。如果能对患者就医前、中、后期的心理状况进行专业评估, 了解其是否处于抑郁、焦虑甚至是易激惹的情绪状态, 不仅有利于医生全面了解病情, 还能及时评估自我遭受暴力攻击的潜在风险。但是目前临床上的暴力风险评估更多应用于精神科病人的暴力行为预测, 适用于我国的普适性评估工具还不是很成熟, 其应用和普及还有待进一步研究。
4.4加强对媒体舆论的正向引导为了避免媒体的错误渲染带来“榜样效应”, 应该对社会媒体进行政策引导, 使之报道真实客观的内容。据此有学者提出, 应该寻求医方与媒体方之间的博弈对策, 寻找二者的利益契合点, 形成解决医疗纠纷的合力[7]。另外, 报道的重点不应该过度渲染行凶过程, 而应放在对暴力实施者的法律问责上, 可以避免潜在攻击者习得“泄愤”的“榜样行为”, 且起到一定威慑预警作用。
摘要:医院工作场所暴力行为不仅严重干扰正常诊疗秩序, 对医务人员造成身心伤害, 也对社会造成严重的不良影响。一般情绪-攻击模型对攻击行为的解释受到广泛认可, 本文应用此理论, 分析医院工作场所暴力的影响因素及其作用过程, 提出现阶段存在的问题和相应的对策建议。
关键词:一般情绪-攻击理论,GAAM,医院工作场所暴力
参考文献
[1]贾晓莉, 周洪柱, 赵越, 等.2003年-2012年全国医院场所暴力伤医情况调查研究〔J〕.中国医院, 2014, 18 (3) :1-3.
[2]James JL, Craig A.From Antecedent Conditions to Violent Actions:A General Affective Aggression Model〔J〕.Personality and Social Psychology Bulletin, 2000, 26 (5) :533-548.
[3]王蕾, 唐利平.一般情绪攻击性模型述评〔J〕.宁波大学学报:教育科学版, 2005, 27 (6) :24-26.
[4]Anderson CA, Dill KE.Video Games and Aggressive Thoughts, Feelings behavior in Laboratory and Life〔J〕.Journal of Personality and Social Psychology, 2000, 78 (4) :772-790.
[5]梁子君, 吴超, 郭洪宇, 等.我国暴力伤医事件成因的政策分析及应对〔J〕.中国医院管理, 2014, 34 (11) :59-61.
[6]孙璐露, 杨淑娟, 李森, 等.医疗纠纷中医院与媒体博弈关系调查研究〔J〕.中国医院管理, 2014, 34 (3) :66-68.
[7]孙纽云.我国患者安全管理与医疗风险预警监测体系建设的思考与设想〔J〕.中国医院, 2012, 16 (10) :2-6.
攻击模型 篇6
1 需要分析
目前,常见的校园网安全威胁主要包括了以下几点:(1)计算机系统本身存在漏洞。计算机系统往往存在着安全漏洞,如操作系统、网络结构、服务器、防火墙与TCP/IP协议等,这些安全漏洞的存在,使非授权的用户能够任意地对系统进行访问,影响网络安全。(2)受到了计算机蠕虫与并入的入侵。由于校园网与互联网相连接,从而享受方便快捷的服务,因此也同样面临着由互联网所带来的安全风险。(3)内部用户攻击。随着校园网络的广泛应用,校园网节点数量也随之增加,由于校园网节点无法做到完全的安全防护,因此极易导致病毒泛滥、网络被攻击、信息的丢失、数据的损坏以及系统瘫痪等。(4)校园网遭到来自网络外部的入侵与恶意攻击等。当校园网络某一台电脑遭到恶意的入侵与攻击后,网络黑客就能够以此对校园网络展开再次攻击,危害网络安全。(5)校园网内部用户滥用网络资源,包括共享软件、娱乐资源等,进而可能将蠕虫、木马等病毒带入校园内网,此外,还包括垃圾邮件、不良信息的传播威胁等等。
2 DDoS攻击
DDoS攻击被称为分布式拒绝服务攻击,是一种分布、协作的大规模拒绝服务的攻击形式。DDoS攻击的主要对象为商业公司政府部门与搜索引擎较大的站点等。攻击特点在于,往往只需要对1台单机进行攻击,那么就能够实现1个mo dem,而DDoS攻击则能够通过对一大批受控制的“僵尸机”的利用来对某一台计算机进行攻击,因此这种DDoS攻击的破坏性往往较大,很难防备。DDoS攻击可分为3个层次,一是攻击者层,二是主控端层,三是攻击机层,这3种攻击扮演的角色并不相同,而现阶段,DDoS攻击已经成为了网络安全领域最严重的一个问题,这主要是因为DDoS攻击具有易实施、多样性、多样性、分布式、资源多、IP伪造,并且开始向基础设施转移,具有非常大的危害,难恢复[1]。
DDoS攻击类型主要为两大类,即直接DDoS攻击与反射型DDoS攻击。第一,直接攻击。直接攻击指的是攻击者采用攻击机将大量的攻击数据包直接发送到攻击目标,通过攻击数据包(TCP、ICMP、UDP等)攻击目标对象,第二,反射式攻击。反射式攻击指的是攻击者将大量的需要响应的,而源地址早已被攻击者伪造成受害者IP地址的数据包发送到反射主机上,进而最终导致受害主机的网络链接阻塞,如图所示。
目前对防御DDoS攻击的解决方案并不完善,主要针对的是对不同的DDoS攻击进行的针对性防御。为寻求新的解决方案,良好地解决DDoS攻击问题,研究者集中在防御、检测和追踪方面的对策进行了研究。
3 PKI技术与VPN技术
此设计中,基于NS2网络是将PKI植入到VPN中,进而获得一个“增强型VPN”,并在此基础上对校园安全网络进行架构,因此这里对PKI技术与VPN技术与应用目的进行简单介绍。PKI,全称为公钥基础设施,是遵循既定标准的一个密朗管理平台,PKI的使用性强,所有的网络应用均能够很好地进行应用,提供加密与数字签名等密码服务,是现阶段最流行的、最有诱惑力的安全基础设施。VPN虚拟专用网络是一种连接,位于两个通常无需直连的实体之间,通常是被保护的。通过VPN设备建立起的逻辑通道,公网上用户内部网络数据能够在使用相应加密技术、认证技术下,得到有效的安全传输保障,并对数据实现专有性的传输[2]。
由于传统的IP协议中,IP包并不具有任何的安全特性,加上IP层没有得到相应的安全保证,因此导致数据传输的整个网络传输通道面临着较大的安全威胁,而随着PKI技术的发展与应用则很好地弥补了这方面的缺陷。PKI技术的优势在于其擅长于对身份的鉴别,所以该技术的应用能够对网络传输中角色访问实现有效的控制。因此,在VPN技术中将PKI技术进行植入应用,则保证了在通信双方的传输隧道建立完成前,由CA确认数据传输双方的合法性,同时由角色属性证书对数据传输双方的访问权限进行控制,最终由IPSec来确保通信安全,防止恶意攻击或者入侵,从而大幅度地提高VPN的通信安全[3]。
4 设计与实现
4.1 扩展NS2
NS2是一种面向对象的网络模拟器,本身包含了一个虚拟时钟,而由离散事件来驱动所有的模拟[4]。在进行网络模拟前,需要对模拟涉及的层次进行分析,一是基于OTcl编程层次的分析,二是基于C++和OTcl编程层次的分析。此设计中,NS2的扩展设计主要是用来对网络协议性能继续拧模拟验证的模拟器,加上DDoS攻防模拟的特点,在设计过程中需要通过多对NS2模拟器的一定修改与扩展来满足模拟的要求,实现模拟速度的提升,并确保模拟结果的准确度。NS2模拟器的扩展步骤为:(1)将其定义为C++类,或者继承C++类,并对该类成员函数、协议算法进行编写;(2)对“TCL”相关的变量与类型进行定义,并将C++代码绑定到“TCL”上;(3)对makefile文件进行修改或者重新编译,使其生成为“ns.exe”文件。
4.2 PKI植入VPN
此设计中将PKI植入到VPN中,进而获得一个“增强型VPN”,并在此基础上对校园安全网络进行架构,其主要植入过程为:(1)在服务器专用网络中置入存储数据的服务器,同时应保证该服务器与其他网络的有效物理隔离,确保任何工具的使用都不能扫描服务器的地址和端口,让未授权用户和攻击者无法进入这一专用网络篡改信息,从而保证完整性。(2)设计VPN网关:设置的VPN网关应为同时连接内网和外网的网关,从而确保合法校园网用户对校园网的访问不受地点的限制,在需要时,经VPN网关和服务器建立其专门的连接,访问服务器数据。(3)置入PKI:将PKI技术植入VPN,使得所有用户都必须通过入侵检测系统的检测、VPN网关的认证,以及防火墙来对服务器进行访问,同时拒绝未经授权用户的访问。除此之外,VPN主机本身需要将不需要的服务和端口关闭,安装最新的补丁程序来提高通信信息的安全性。(4)在数据的传输过程中,利用VPN技术中的IPSec安全协议为数据传输的安全性提供保障,防止数据被修改、重播、伪造和拦截情况的发生,防止用户否认自己的操作行为,实现信息的可控性。在服务器Windows Server2003中实现PKI和VPN,如图2所示。
4.3 DDoS攻防模拟系统
此设计中的整个模拟系统软件包括了用户参数配置、分析转换、DDoS攻防模拟与结果显示4个模块,首先由用户参数配置模块将需要模拟的各种网络参数、DDoS攻防参数进行设置;然后通过分析转换模块的相应转换,生成可供NS2模拟器能够识别的“TCL”文件;然后再将转换好的“TCL”文件提交到模拟器进行模拟;最后用户就能够通过结果显示模块了解模拟结果,并提供给用户进行分析和使用,如图3所示。
整个模拟系统的核心在于“模拟模块”,而整个模拟系统的性能也是由其运行效率决定的,模拟模块可分为4部分,包括攻击、防御、跟踪以及NS2网络环境模拟子模块(图3),其中前3个共能够模块均是通过扩展NS2模拟器来实现的。根据设计模拟的要求,将DDoS攻击分为“网络资源消耗型”和“主机资源型”攻击两种类型加以模拟,进行两者的DDo攻防模拟实验。在网络资源消耗型攻击的模拟实验中,模拟
5 结语
通过PKI植入VPN能够有效地确保数据访问与传输的安全性,通过仿真实验结果,与真实网络中的DDoS攻防情况基本符合,设计并提出的基于NS2网络仿真防御DDoS攻击模拟系统,对各种类型的DDoS攻防过程进行了模拟,具有高效性与真实性。
摘要:通过校园网安全的需求分析,基于NS2构建了一个将PKI技术植入VPN的网络安全网络架构模型,并进行了实验论证,结果发现在不更换原有数据库系统、应用软件的条件下能够有效地提高校园网的安全性,降低校园网络被DDoS攻击的可能性,同时网络的稳定性也得到了提高。
关键词:NS2网络,DDoS攻击,PKI技术,VPN网
参考文献
[1]王伟.基于NS2网络仿真防御DDo S攻击研究[J].长江大学学报(自然科学版),2012,(7):114-116.
[2]孙向阳.基于NS2的DDo S攻防模拟系统研究与实现[D].国防科学技术大学,2008.
[3]李俊.大规模DDo S攻击的防御研究[D].华东师范大学,2007.