恶意攻击传播与源识别

原创于 2025-10-20 09:58:50 发布 · 564 阅读

13 ·

CC 4.0 BY-SA版权

文章标签：

#恶意攻击 #传播机制 #源识别 #僵尸网络 #SI模型

第1章引言

1.1 恶意攻击

随着计算机技术的显著进步，我们的社会、金融和职业生活日益数字化，政府、医疗保健和军事基础设施越来越依赖于计算机技术。与此同时，这些领域也成为了恶意攻击更具规模且更诱人的目标[81]。恶意攻击是指试图强行滥用或利用计算机系统或网络资产的行为。这种攻击可能旨在窃取个人信息（如登录信息、金融数据甚至电子货币），或降低目标计算机的功能性。根据统计，1997年至2006[50]年间，全球因恶意攻击造成的经济损失平均每年达121.8亿美元，而在2011年7月至2012[167]年7月底之间，这一数字上升至1100亿美元。

典型的恶意攻击包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件、钓鱼、垃圾邮件、谣言以及其他类型的社会工程学攻击。自20世纪80年代初首个计算机病毒出现以来，恶意攻击已发展出数千种变体，这些变体在感染机制、传播机制、破坏性载荷以及其他特征上各不相同[51]。

根据导致安全漏洞的网络威胁类型，恶意攻击主要分为两类[100]：恶意软件和社会工程学。

恶意软件 是“恶意软件”（malicious software）的简称，是一个广义术语，指各种旨在以多种方式入侵计算机和设备、窃取数据、绕过访问控制或对宿主计算机造成损害的恶意程序。恶意软件有多种形式，包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件、rootkit等。
社会工程学 是一种诱使用户破坏信息系统的艺术，攻击者利用人际互动（即社交技巧）来获取或破坏有关组织或其计算机系统的信息。相反，技术攻击针对系统，而社会工程师则瞄准拥有信息访问权限的人员，通过影响和说服手段操纵他们泄露机密信息，甚至实施恶意攻击。针对此类攻击，技术防护措施通常无效。社会工程学攻击具有多面性，包含物理、社交和技术方面的要素，这些要素在实际攻击的不同阶段被使用。伪造借口、钓鱼和诱饵是最常见的社会工程学手段。

1.2 恶意攻击示例

受到巨大经济或政治利益的驱使，恶意软件所有者正竭尽全力入侵尽可能多的联网计算机，以实现其恶意目的。一台被攻陷的计算机会被称为僵尸主机，而由同一恶意软件控制的所有僵尸主机构成了一个僵尸网络。僵尸网络已成为恶意攻击的攻击引擎，给网络安全防御者带来了严峻挑战。正如许多安全报告所指出的那样——全球范围内的攻击数量正在迅速增加，达到前所未有的惊人峰值。以下是一些近年来重大的网络恶意攻击事件，以及我们可以从中吸取的经验教训。

ILOVEYOU 被认为是有史以来传播最广的计算机病毒之一。该病毒在全球范围内对计算机系统造成了严重破坏，造成的损失估计达100亿美元。据信，全球有10%的联网计算机被感染。情况严重到政府和大型公司不得不关闭其邮件系统以防止感染。该病毒利用社会工程学手段诱使人们点击附件，附件内容伪装成一封情书。该附件实际上是一个伪装成TXT文件的脚本。一旦被点击，病毒便会将自身发送给用户邮件列表中的所有人，并开始用自身覆盖文件，导致计算机无法启动。
CryptoLocker [119]是一种针对运行Windows操作系统的计算机的特洛伊木马勒索软件。它通过多种方式传播，例如电子邮件，一旦计算机被感染，就会使用RSA公钥密码学对硬盘驱动器和任何连接的挂载存储设备上的特定文件进行加密。图1.1展示了CryptoLocker的感染链。虽然从计算机中清除该恶意软件相对容易，但文件仍将保持加密状态。解锁文件的唯一方法是在截止日期前支付赎金。如果未在截止日期前支付，赎金将大幅增加，或解密密钥将被删除。赎金通常为400美元的预付现金或比特币。根据突袭行动收集的数据，估计感染数量达到50万，其中支付赎金的比例为1.3%，总计达300万美元[176]。

示意图0

红色代码 首次出现在2001年。该蠕虫针对安装了微软IIS网页服务器的计算机，利用系统中的缓冲区溢出问题。它在硬盘上留下的痕迹极少，因为它能够完全在内存中运行，大小为3569字节。一旦被感染，它会复制自身上百份，但由于编程中的一个漏洞，它会进行更多复制，最终消耗大量系统资源。随后，它会对多个IP地址发起拒绝服务攻击，其中最著名的是白宫的网站。它还允许对服务器的后门访问，从而实现对机器的远程控制。据估计，它造成了20亿美元的生产力损失。共有100万至200万台服务器受到影响。
Conficker 是一种针对Windows的蠕虫，首次出现于2008年。它利用操作系统中的漏洞感染计算机，从而创建僵尸网络。该恶意软件在全球范围内感染了超过900万台计算机，影响了政府、企业和个人。这是有史以来规模最大的已知蠕虫感染之一，造成了约90亿美元的损失。该蠕虫通过利用Windows中存在且未修补的网络服务漏洞进行传播。一旦计算机被感染，蠕虫便会重置账户锁定策略，阻止访问Windows更新和杀毒软件网站，关闭某些服务，并锁定用户账户等。随后，它会安装软件将计算机变成僵尸网络的从机，并安装恐吓软件以骗取用户钱财。
Mydoom 于2004年出现，是一种针对Windows的蠕虫，成为自ILOVEYOU以来传播速度最快的电子邮件蠕虫之一。该蠕虫通过伪装成电子邮件传输错误进行传播，并附带其自身的附件。一旦执行，它会将自身发送给用户通讯录中的电子邮件地址，并将自身复制到任何P2P程序的文件夹中，以通过该网络传播。其有效载荷具有双重目的：一是打开后门以允许远程访问，二是对颇具争议的SCO集团发起拒绝服务攻击。据信，该蠕虫的制造目的是由于对部分Linux代码所有权的争端而扰乱SCO集团。它造成了约385亿美元的损失，至今该蠕虫仍以某种形式活跃存在。
Flashback 是Mac恶意软件之一。该特洛伊木马于2011年首次被发现。用户只需启用Java即可感染。它通过利用包含JavaScript代码的受侵害网站传播，这些代码会下载有效载荷。一旦被安装，该程序会使Mac成为由其他被感染的Mac组成的僵尸网络的一部分。超过600,000台Mac被感染，其中包括位于苹果公司总部所在地库比蒂诺地区的274台Mac。

1.3 恶意攻击的传播机制

从上述恶意攻击的例子可以看出，恶意攻击传播通常从一个或少数几个主机开始，并迅速感染许多其他主机。例如，通过Outlook邮件发送的ILOVEYOU蠕虫会将自身发送给主机通讯录中的所有IP地址。红色代码则通过网络扫描，向与主机相连的IP地址进行传播。为了有效对抗恶意攻击，网络安全防御者必须了解恶意攻击行为，例如成员招募模式、僵尸网络规模、僵尸主机分布，特别是恶意攻击的传播机制。

图1.2所示的示意图展示了现实世界中特洛伊木马恶意软件[54, 103, 105, 169]的过程。该过程包括三个阶段：

在第一阶段，恶意软件开发者创建一个或多个虚假账号，并将其渗透到社交网络中。这些虚假账号的目的是与尽可能多的真实在线社交网络用户成为好友。研究表明，渗透是一种在Facebook等在线社交网络中传播恶意内容的有效技术。[22]
在第二阶段，恶意软件开发者利用社交工程技巧创建引人注目的网页链接，诱骗用户点击。该网页发布在虚假用户主页上的链接会将毫无戒心的用户引导至包含恶意内容的网页。用户只需访问或“路过式下载”该网页，恶意代码就可能在后台被下载并自动执行，而用户对此毫不知情。当安全漏洞不存在时，恶意软件创建者会转而利用社交工程技巧，诱使用户主动协助激活恶意代码。
在第三阶段，用户被感染后，恶意软件还会在该用户的个人主页上发布引人注目的网页链接以“招募”其朋友。如果朋友点击了这些链接并因此无意中执行了恶意软件，该朋友的计算机和个人资料将被感染，传播周期将继续在其自己的朋友中进行。

需要注意的是，恶意攻击在自我复制和传播行为方面与生物病毒相似。因此，研究生物传染病所开发的数学方法已被应用于恶意攻击传播的研究。

基本的流行病模型——易感‐感染（SI）模型，将群体随时间划分为两类节点：

易感节点 是指易受恶意攻击但其他方面“健康”的节点。我们用S(t)表示在时间t的易感节点数量。
一个被感染节点 是指已被感染并可能感染其他节点的节点。我们用I(t)表示在时间t时的感染节点数量。

在SI模型中，假设人口规模大规模且稳定，并包含n个节点。如果一个节点被感染，则不会变为未感染状态。1.3展示了红色代码蠕虫[141]的传播过程。关于红色代码蠕虫的数据集由摩尔等人在7月19日全天收集[127]。SI模型很好地拟合了红色代码蠕虫的传播[206]。

示意图1

许多其他模型都是这种基本SI形式的衍生。例如，易感‐感染‐恢复（SIR）模型描述了节点可以从感染状态恢复或获得免疫，一旦节点恢复，将不再变为易感状态。而易感‐感染‐易感（SIS）模型则描述了恢复后的节点可能再次变为易感状态的传播过程。

1.4 恶意攻击传播的源识别

从实际和技术角度来看，识别恶意攻击的传播源具有重要意义。实际上，为了取证目的，准确识别恶意攻击的“元凶”至关重要。此外，尽快追溯恶意攻击可以查明攻击的成因，从而减轻损失。从技术角度看，该领域的研究旨在基于对网络结构的有限了解以及部分节点状态的信息来识别恶意攻击的源头。在学术界，传统的识别技术，如IP追溯[156]和跳板检测[157]，在追溯恶意攻击源头方面存在不足，因为它们仅能确定目的地接收到的数据包的真实来源。而在恶意攻击传播过程中，数据包的来源几乎从来不是恶意攻击传播的真正源头，而只是众多传播参与者之一[191]。因此，需要能够在应用层和网络逻辑结构层面而非IP层和数据包层面，寻找更高层级的传播源头的方法。

识别恶意攻击的来源是一项非常理想但具有挑战性的任务，因为网络规模庞大，且对主机感染状态的了解有限。通常情况下，只有一小部分主机可以被观测到。因此，主要难点在于开发出可处理的估计器，这些估计器能够被高效地实现，并在多种拓扑结构上表现良好。

在过去几年中，研究人员提出了一系列方法来识别恶意攻击的扩散源。沙阿和扎曼[161]首次对该课题进行了广泛讨论的研究。在社交网络中，沙阿和扎曼将一个节点的谣言中心性定义为从该节点出发谣言在网络中传播的不同方式的数量。他们证明了，如果底层图是一棵规则树，则具有最大谣言中心性的节点即为谣言源的最大似然估计器。他们还研究了该方法在不规则几何树、小世界网络和无标度网络中的检测性能。该方法假设我们已知所有节点之间的连接关系，以及所有节点的感染状态。后来，研究人员[84, 85, 146, 200]放宽了其中一些约束条件，因为他们的算法并不要求获取每个节点的状态信息，而只需要部分被称为观察节点的节点状态即可。

1.5 章节概述与全书概览

在许多方面，当前分析恶意攻击传播和识别恶意攻击来源的方法正面临以下关键挑战。

网络描绘了网络资产之间的多种交互 。研究人员发现，未经请求的恶意攻击会通过有影响力的传播者迅速蔓延[42]。因此，分析网络主机的影响并识别网络中最有效的“传播者”，成为识别恶意攻击传播源头并抑制传播的重要步骤。事实上，恶意攻击的传播方式具有流行病特征（一台主机可同时感染多台其他主机）。然而，以往测量网络主机影响的方法主要关注信息从一台主机向另一台主机的传播。本书中，我们探讨不同的影响度量方法及其在捕获流行病传播中有影响力节点方面的应用。
在底层网络中抑制恶意攻击的传播 长期以来一直是一个重要但困难的问题。目前，主要存在两类方法：（1）在最有影响力的用户或社区桥梁处阻断恶意攻击；（2）传播相应的对策以抑制恶意攻击。在现实世界中给定固定预算的情况下，我们如何协调不同方法协同工作，以优化对恶意攻击传播的抑制？本书中，我们探讨了不同方法协同工作的策略及其等价性，以期找到更优的策略来抑制恶意攻击的传播。
底层网络通常具有时变拓扑 。例如，在人类接触网络中，个体在地理空间中移动时其邻域关系会随时间演变，且个体之间的交互在在线社交网站（如Facebook和Twitter）中会出现或消失。事实上，恶意攻击的传播受到持续时间的影响、序列以及节点[27, 170]之间的并发性。那么，我们能否对恶意攻击在时变网络中的传播方式进行建模？我们能否估计任意节点被恶意攻击感染的概率？我们如何在时变网络中检测恶意攻击的传播源？我们能否估计恶意攻击的感染规模和感染时间？
恶意攻击通常源自多个源 。然而，现有方法主要关注网络中单一攻击源的识别。尽管已提出一些用于识别多个攻击源的方法，但它们都存在极高的计算复杂度，难以在现实世界网络中实际应用。在本书中，我们将回答与多源识别相关的以下问题：有多少个源？扩散从何处开始？扩散何时开始？
该研究领域的另一个关键挑战是可扩展性问题 。现有方法通常需要扫描恶意攻击传播的整个底层网络以定位攻击源。然而，恶意攻击扩散的现实世界网络通常规模巨大且结构极为复杂。因此，扫描整个网络来定位攻击源是不现实的。我们通过考虑网络的结构特征和恶意攻击的扩散模式，开发了高效的攻击源识别方法，从而解决了可扩展性问题。