《网络空间欺骗：构筑欺骗防御的科学基石》一3.2 防御模型

3.2　防御模型

本文讲的是网络空间欺骗：构筑欺骗防御的科学基石一3.2　防御模型,尽管大量研究对恶意软件检测技术进行了改进，但大多数政府和私人组织使用标准的商业化恶意软件检测产品，比如网络流量分析平台[17]、基于分组分析的入侵检测系统[18]、传统病毒扫描器[19]和文件完整性校验[20]。此外，来自防火墙、Web服务器、数据库服务器和操作系统的各种日志文件被集中维护并进行数据聚合，从而用于存档、分析和融合，以支持组织的网络空间舆情感知和风险评估。
在一般模型中，防御者能够将网络、主机和应用传感器放置在他们所期望的网络空间位置上。假设传感器报告实际观测到的内容，并且这些观测不会被攻击者篡改。网络传感器可以放置在终端节点或者网络资源上。传感器的观测结果与企业SIM、SEM或者SIEM的任何日志文件（比如ArcSight、Splunk [15，16]）集中在一起。这样的产品可以在IT基础设施中“分析和管理每个事件”[21]。核心产品执行的分析和融合通常由触发警报的规则实现。防御方构造的规则是基于事件的类型和频率，并且能够被组合成逻辑的连接和中断的。
例如，管理员如果希望检测域内流量攻击[22]，他们可以创建一个如下的规则：
如果系统生成大量网络流量，并且该系统在端口53（DNS）上的流量百分比异常高，则触发警报。
该警报逻辑可表示为布尔表达式，或者表示为如图3.2所示的CBD。不同于经典的可靠性框图[13，14]，它说明了哪些组件是系统正常运行所必需的，CBD只是生成警报所需的条件。如果存在从左节点（开始状态）到右节点（结束状态）的路径，则触发警报。

图3.3中描述了更为复杂的示例。从开始节点到结束节点的任何从左到右的路径都是单个规则的，它表示触发路径上传感器的连接关系。多个路径表示这种连接是分离关系。这个例子将在本章后续进行更为详细的讨论，但是为了帮助读者理解这些CBD语义，将图3.3的逻辑表达式表示如下：

图3.3　由5个单独逻辑测试组成的更复杂的基本防御逻辑实例，描述为CBD，从左到右的单项路径表示两条并行路径的逻辑加和。即使该逻辑及相应的CBD现在有二进制传感器，随机传感器的扩展版本（如使用阈值）会很快开发出来。如这个例子所示，一个CBD比逻辑规则（如布尔表达式）更能有效理解警报逻辑
防御方可以知道其系统防御实施的情况，攻击者通常在最初的时候并不能拥有相同的信息，但是他们的目的是发现并且颠覆这些防御手段。因此，为了使用这样的结构来开发攻击者的态势感知，有必要让其发现存在一些防御。同时，这个发现的过程不应该暴露给攻击者防御的意图。比如，实际任务的有效载荷必须保留，直到攻击者可以自认为完成了对防御的全部探索，并最大化其恶意软件的隐蔽性。
虽然这是一个正在进行的研究，但已经有了初步的想法。我们对这种可能的技术进行命名，称为“数字病毒载体”发现技术。为了利用这种技术，攻击者在部署之前，会度量其恶意软件将在目标网络中产生的可观测量。它使用防御方的网络和系统中的正常可观测量作为基线实施评估，并隔离最可能引起怀疑的可观测量，具体的设备和实例将在3.3节中予以说明。
首先，攻击者生成这些可观测量，每个可观测量依据生成可观测量的临界值加权获得。例如，考虑一个具有攻击性的恶意软件，其任务是扫描目标系统的文件。在这种情况下，对逻辑磁盘的读取是完成任务至关重要的可观测性指标，并且将被高度加权。使用可观测和关键性的信息，攻击者生成探测器，即特制的恶意软件实例，并生成可观测量，但是这不包括他们希望部署的实际恶意软件的有效载荷。
其次，攻击者将这些探测器部署到防御方的目标网络上。如果检测到探测器，则探测本身会向攻击者泄露防御者的逻辑信息，攻击者会通过这种反馈信息制定新的探测器。一旦探测器未被检测到，攻击者就可以根据掌握的信息部署隐蔽性载荷，并且根据掌握的防御逻辑信息设计未来的隐蔽性恶意软件。
例如，考虑攻击者在一个简单的可观测量{A,B,C,D}中设计恶意软件，为了完成任务（比如获得效用），攻击者必须展示可观测量（（A∨B）∧（C∨D））。生成观测量或者观测量集合的能力将直接影响攻击者依据收益函数在效用方面的评估，具体如图3.4所示。在尝试完成任务之前，攻击方必须确定防御方的逻辑，以最大化他的隐蔽性。攻击方最初不知道防御方的逻辑，即（A∧B）∨C。满足此逻辑方程的可观测量将使得防御系统生成警报。如图3.5所示，它展示了CBD描绘的防御逻辑。

如果攻击者设计使用朴素贪婪策略的探测器，在逻辑组合中展示的可观测量为A∧B∧C∧D。因为这样会为攻击者产生的收益最高。所有组合的效用是不相交子集组合最大效用的总和。如果没有列出某种组合，比如C∧D，这说明它是没有任何实际效用。遵循这种贪婪策略，图3.6给出了可以按递减效用顺序使用的迭代设计步骤。最终，攻击者确定它可以设计一个有效的恶意软件，它的运行能让可观测量显示在安全阈值内。由于每个探测器会消耗攻击的时间和资源，并且使攻击者暴露于额外的审查，因此，实际条件下根据发送的探测器所能获得的净效用十分有限。这种反馈的降低可以作为攻击者制定扫描策略的一个依据。

这个例子总结了攻击者可以用它作为获得和感知防御方未来防御逻辑的一种方法。

原文标题：网络空间欺骗：构筑欺骗防御的科学基石一3.2　防御模型