基于模糊层次分析的木马攻击效果评估技术研究

doi:10.11959/j.issn.2096-109x.2016.00073

网络与信息安全学报 ›› 2016, Vol. 2 ›› Issue (7): 49-58.doi: 10.11959/j.issn.2096-109x.2016.00073

基于模糊层次分析的木马攻击效果评估技术研究

曾辰熙,吴泉源,李爱平,江荣()

国防科学技术大学计算机学院，湖南长沙 410073

修回日期:2016-06-24 出版日期:2016-07-15 发布日期:2020-03-26
作者简介:曾辰熙（1987-），男，湖南长沙人，国防科学技术大学硕士生，主要研究方向为网络安全。|吴泉源（1942-），男，上海人，博士，国防科学技术大学教授，主要研究方向为人工智能与分布计算。|李爱平（1974-），男，山东诸城人，博士，国防科学技术大学研究员，主要研究方向为语义网络、数据挖掘和网络空间安全。|江荣（1984-），男，福建连城人，博士，国防科学技术大学助理研究员，主要研究方向为隐私保护和网络空间安全。
基金资助:
国家重点研发计划网络空间安全专项基金资助项目(2016YFB0800803);国家重点研发计划网络空间安全专项基金资助项目(2016YFB0800804);国家重点研发计划网络空间安全专项基金资助项目(2016YFB0800303)

Research on FAHP based Trojan attack effect evaluation

Chen-xi ZENG,Quan-yuan WU,Ai-ping LI,Rong JIANG()

School of Computer Science,National University of Defense Technology,Changsha 410073,China

Revised:2016-06-24 Online:2016-07-15 Published:2020-03-26
Supported by:
The National Key Research and Development Program of China(2016YFB0800803);The National Key Research and Development Program of China(2016YFB0800804);The National Key Research and Development Program of China(2016YFB0800303)

摘要/Abstract

摘要：

现有的网络攻击效果评估系统主要针对DDoS和蠕虫进行分析，缺乏对木马病毒的针对性。少数针对木马的危害度测量系统的指标值由人工标注，且都为定性值，稍欠客观性和全面性。基于该现状，从木马特性分析出发，建立针对木马病毒的层次化指标体系，设计指标值可定性也可定量，可人工标注也可系统采集。提出基于模糊层次分析的评估模型对木马攻击效果进行评估。同时，提出一种多对一的权重综合技术，对多组权重进行了合理的综合。最后，通过对比已有评估系统的评估结果，验证了所提评估技术的合理性。

关键词: 木马, 攻击效果评估, 模糊层次分析, 指标权重

Abstract:

The particular characters of Trojan are not fully taken into consideration by existed network attack effect evaluation systems which mainly focus on DDoS and Warm.A few Trojan harm measurement systems is somewhat short for objectivity and completeness as the result of that its indicator values is confined to manually marked and qualitative values.Under the circumstances,the analysis of Trojan's features were started from,and a hierarchical index system which accepted both quantitative and qualitative values,and both manually marked and system col-lected values was built.Then,a FAHP based evaluation model was proposed to evaluate the Trojan attack effect.Meanwhile,a many-to-one method to ensemble multiple weight vectors was proposed.Finally,the rationality of proposed evaluation system was verified by comparison with others.

Key words: Trojan, attack effect evaluation, fuzzy analytic hierarchy process, indicator weight

中图分类号:

TN915.08

曾辰熙,吴泉源,李爱平,江荣. 基于模糊层次分析的木马攻击效果评估技术研究[J]. 网络与信息安全学报, 2016, 2(7): 49-58.

Chen-xi ZENG,Quan-yuan WU,Ai-ping LI,Rong JIANG. Research on FAHP based Trojan attack effect evaluation[J]. Chinese Journal of Network and Information Security, 2016, 2(7): 49-58.

图/表 13

表1

图1

表2

表3

表4

表5

表6

表7

图2

图3

图4

表8

表9

参考文献 12

[1]	XcodeGhost 入侵，大量 iOS 知名应用中招[J]. 中国信息安全， 2015(10): 14.
	XcodeGhost invades a large number of well-known IOS applica-tions[J]. China Information Security, 2015(10): 14.
[2]	韩兰胜，郑聪，邹梦松，等 . 计算机病毒危害性的模糊评价模型[J]. 小型微型计算机系统， 2010,31(7): 1297-1301.
	HAN L S , ZHENG C , ZOU M S , et al. Fuzzy evaluation model for harms of computer virus[J]. Mini-Micro Systems, 2010,31(7): 1297-1301.
[3]	李渊 . 基于层次分析法的木马危害测量分析系统[D]. 武汉：华中科技大学， 2012.
	LI Y . AHP based evaluation model for harms of Trojan[D]. Wuhan: Huazhong University of Science and Technology, 2012.
[4]	张建锋 . 网络安全态势评估若干关键技术研究[D]. 长沙：国防科学技术大学， 2013.
	ZHANG J F . Key technologies research on large scale network se-curity evaluation[D]. Changsha: National University of Defense Technology, 2013.
[5]	CUI X , TAN X , ZHANG Y , et al. A Markov game theory-based risk assessment model for network information system[C]//Interna-tional Conference on Computer Science and Software Engineering. c2008:1057-1061.
[6]	张勇，谭小彬，崔孝林，等 . 基于Markov博弈模型的网络安全态势感知方法[J]. 软件学报， 2011,22(3): 495-508.
	ZHANG Y , TAN X B , CUI X L , et al. Network security situation awareness approach based on markov game model[J]. Journal of Software, 2011,22(3): 495-508.
[7]	鲜明 . 网络攻击效果评估导论[M]. 长沙：国防科技大学出版社， 2007:172-173.
	XIAN M . Introduction to network attack effect evaluation[M]. Chang-sha: National University of Defense Technology, 2007:172-173.
[8]	SATTY T L . How to make a decision:the analy-tic hierarchy proc-ess[J]. European Joumal of Operational Research, 1990,1(48): 9-26.
[9]	CHANG D Y . Applications of the extent analysis method on fuzzy AHP[J]. European Journal of Operational Research, 1996,95(3): 649-655.
[10]	张吉军 . 模糊层次分析法(FAHP)[J]. 模糊系统与数学， 2000,14(2): 80-88.
	ZHANG J J . Fuzzy analytic hierarchy process(FAHP)[J]. Fuzzy Systems and Mathematics, 2000,14(2): 80-88.
[11]	谭学瑞，邓聚龙 . 灰色关联分析：多因素统计分析新方法[J]. 统计研究， 1995(03):46-48.
	TAN X R , DENG J L . Grey relational analysis:a new method of multivariate analysis[J]. Statistical Research, 1995(3):46-48.
[12]	钱吴永，党耀国，熊萍萍，等. 基于灰色关联定权的Topsis法及其应用[J]. 系统工程， 2009(8):124-126.
	QIN W Y , DANG Y G , XIONG P P , et al. Topsis based on grey correlation method and its application[J]. System Engineering, 2009(8):124-126.

类型	说明
Backdoor	后门木马，恶意用户可通过后门程序远程控制感染机器
Exploit	漏洞木马，专指利用系统或用户软件漏洞进行感染的木马
Rootkit	该木马使用Rootkit工具设计，具有非常强的隐藏能力
Trojan-Downloader	木马下载器，主要用来下载并安装新的恶意软件
Trojan-Dropper	木马携带者，能够阻止安全软件的探测，安装新的恶意软件
Trojan-Spy	间谍型木马，通过监视屏幕、键盘等盗取系统或用户信息
Trojan-Psw	盗号木马
Trojan-Gamethief	专指盗取在线游戏账号信息的木马
Tojan-Banker	专指盗取在线金融系统账号信息的木马
Trojan-Mailfinder	收集感染机器中的邮箱地址
Trojan-Clicker	机器感染该木马后，在用户不知情的情况下对网页广告或恶意网页进行点击
Adware	在用户未允许的情况下，以弹窗形式弹出广告
Trojan-Proxy	恶意用户通过感染机器作为匿名代理访问网络
Trojan	综合性木马，包含多种攻击手段

性能	说明	对攻击效果的重要度
传播能力	决定是否被感染	稍微重要
攻击能力	木马病毒的核心	非常重要
隐藏能力	攻击成功与否的前提	最重要
防御能力	攻击持久化的保证	非常重要
通信能力	攻击质量的保证	一般重要

要素	说明	对传播能力的重要度
感染平台种数	传播的最大半径	一般重要
对用户行为的依赖程度	最基本感染度指标	非常重要
伪装性	用诱导能力描述易感染度	稍微重要
漏洞利用能力	用漏洞的广度描述传播广度	最重要

要素	说明	对攻击能力的重要度
下载软件数量	提升了攻击效果的深度	最重要
二次传播能力	提升了攻击效果的广度	最重要
远程控制能力	能够最大限度窃取数据	非常重要
监视信息能力	通用窃取数据的手段	非常重要
盗取信息能力	专用窃取数据的手段	非常重要
携带软件能力	由于具有强隐藏性，攻击性能比较稳定	稍微重要
泛洪攻击能力	高危害的新型攻击	稍微重要
恶意点击能力	低危害的新型攻击	一般重要
恶意广告能力	低危害的新型攻击	一般重要
网络代理能力	低危害的新型攻击	一般重要

要素	说明	对防御能力的重要度	对保护性的重要度	对顽固度的重要度	对副本能力的重要度	对恢复能力的重要度
保护性	保护静态的文件和动态的程序	最重要	/	/	/	/
静态防御能力	保护静态的文件	/	最重要	/	/	/
动态防御能力	保护动态的程序	/	一般重要	/	/	/
攻击性	攻击安全软件、防火墙等	最重要	/	/	/	/
顽固度	被监测或查杀后的顽固性	一般重要	/	/	/	/
副本能力	副本多态	/	/	最重要	/	/
静态副本数	静态的文件副本数	/	/	/	一般重要	/
动态副本数	动态的程序副本数	/	/	/	最重要	/
恢复能力	被查杀后恢复	/	/	非常重要	/	/
动态恢复能力	恢复动态的进程、线程等	/	/	/	/	非常重要
静态恢复能力	恢复静态的文件	/	最重要	/	/	一般重要
更新能力	对自身进行更新	最重要	一般重要	一般重要	/	/

基于模糊层次分析的木马攻击效果评估技术研究

Research on FAHP based Trojan attack effect evaluation

在线阅读

pdf下载

可视化

被引次数

摘要/Abstract

引用本文

使用本文

图/表 13

参考文献 12

相关文章 5

Metrics

推荐阅读 0

要素	说明	对隐藏能力的重要度	对动态隐藏能力的重要度	对通信隐藏能力的重要度
静态隐藏能力	隐藏静态的文件	稍微重要	/	/
动态隐藏能力	隐藏加载过程和运行过程	最重要	/	/
加载隐藏能力	隐藏加载过程	/	最重要	/
运行隐藏能力	隐藏运行过程	/	非常重要	/
通信隐藏能力	隐藏通信方式和通信内容	一般重要	/	/
通信方式隐藏能力	隐藏通信方式	/	/	最重要
通信内容隐藏能力	隐藏通信内容	稍微重要	/	一般重要

目标	一级准则	二级准则	三级准则	四级准则
		可感染平台种数	/	/
	传播能力	对用户行为的依赖程度	/	/
		伪装性	/	/
		漏洞利用能力	/	/
		下载软件数量	/	/
		二次传播能力	/	/
		远程控制能力	/	/
		监视信息能力	/	/
	攻击能力	盗取信息能力	/	/
		携带软件能力	/	/
		泛洪攻击能力	/	/
		恶意点击能力	/	/
		恶意广告能力	/	/
木马攻击效果评估		网络代理能力	/	/
木马攻击效果评估		保护性	静态防御能力	/
	防御能力		动态防御能力	/
		攻击性	/	/
			副本能力	静态副本数动态副本数
		顽固度	恢复能力	静态恢复能力动态恢复能力
			更新能力	/
		静态隐藏能力	/	/
		动态隐藏能力	加载隐藏能力	/
			运行隐藏能力	/
		通信隐藏能力	通信方式隐藏能力	/
			通信内容隐藏能力	/
	通信能力	/	/	/

序号	木马名称	说明	本文提出的模型的评估结果	木马危害测量模型的评估结果
A	Trojan-GameThief.Win32.Magania.dlip	以设备驱动、文件劫持等多种方式加载启动，破坏多种安全软件，盗取游戏账号	0.462 3	1.847 0
B	Trojan-GameThief.Win32.OnLineGames.tnys	无加载隐藏能力，低防御能力，盗取指定游戏账号	-0.381 0	1.032 8
C	Trojan-GameThief.Win32.Ganhame.cn	修改注册表方式启动，攻击安全软件，盗取多种账号	0.082 9	1.318 4
D	Trojan-Downloader.Win32.Nurech.bg	修改注册表方式启动，攻击安全软件，下载多种恶意软件	-0.058 1	1.038 7
E	Trojan-Dropper.Win32.Delf.grq	修改注册表方式启动，盗取多种账号	-0.022 4	1.447 1
F	Trojan-Banker.Win32.Delf.bz	修改注册表方式启动，攻击安全软件，盗取指定金融系统账号	-0.150 5	1.280 4
G	Trojan-Mailfinder.Win32.MagPlayer.a	修改注册表方式启动，低防御能力，盗取邮件地址信息	-0.326 0	1.197 0

木马名称	未经权重综合的评估结果	经权重综合的评估结果
Trojan-Dropper.Win32.Flystud.d	0.155 4	0.104 3
Trojan-Downloader.Win32.Antiav.f	0.210 5	0.109 9

[1]	武玲娟, 朱嘉诚, 唐时博, 谭静, 胡伟. 基于可满足性无关项的硬件木马设计与检测[J]. 网络与信息安全学报, 2021, 7(2): 35-42.
[2]	唐永康, 胡星, 苏颋, 李少青. 用于硬件木马检测的电磁辐射分析方法研究[J]. 网络与信息安全学报, 2021, 7(2): 43-56.
[3]	张启智, 赵毅强, 高雅, 马浩诚. 基于模型检测的硬件木马检测技术研究[J]. 网络与信息安全学报, 2021, 7(2): 57-63.
[4]	王侃,陈浩,管旭光,顾勇. 硬件木马防护技术研究[J]. 网络与信息安全学报, 2017, 3(9): 1-12.
[5]	许强,蒋兴浩,姚立红,张志强,张诚. 硬件木马检测与防范研究综述[J]. 网络与信息安全学报, 2017, 3(4): 1-13.