使用贝叶斯网络来识别0day攻击路径

作者： {Esi}@ArkTeam

原文作者：Xiaoyan Sun , Jun Dai, Peng Liu, Anoop Singhal, and John Yen

原文标题：Using Bayesian Networks for Probabilistic Identification of Zero-Day Attack Paths

原文出处：IEEE Transactions on Information Forensics and Security, 2018, 13(10): 2506-2521.

执行各种安全措施（例如入侵检测系统等）可以为计算机网络提供一定程度的保护。但是面对0day攻击，这种安全措施往往不尽如人意。由于攻击者和防御者之间的信息不对称，检测0day攻击仍然是一个挑战。为了更好的检测0day攻击，我们认为在攻击路径上进行检测是一种更加可行的策略，0day攻击路径可以认为是整个攻击路径中包含一个或多个0day攻击。这样认为的原因是攻击者很难确保攻击路径上的所有攻击都是0day攻击，因此可以做出以下假设：

1）可以通过某种方式检测非0day攻击，例如通过入侵检测系统等;

2）可检测的非0day攻击与0day攻击具有一定的链接关系。

在本文中，我们提出了一种概率方法，并实现了原型系统ZePro，用于0day攻击路径识别。在本文的方法中，0day攻击路径本质上是一个图。为了捕获零日攻击，首先通过分析系统调用使用对象实例来构建超图。为了进一步揭示隐藏在超图中的0day攻击路径，我们的系统基于实例图构建贝叶斯网络。通过将入侵证据作为输入，贝叶斯网络能够计算出被感染的对象实例的概率。通过依赖关系连接高概率的实例形成一条路径，即0day攻击路径。

图1系统架构

本文的主要贡献有以下四点：

• ZePro是第一个采用概率方法来进行0day攻击路径识别的研究。

• 提出了构建网络范围超图，然后确定隐藏在其中的零日攻击路径。

• 第一次通过引入对象实例图来构建OS级别的贝叶斯网络。

• 设计并实现了ZePro，可以有效地自动识别0day攻击路径。

为了进行实验评估，我们构建了一个网络商店测试平台，以模拟小规模的真实企业网络，如图2的攻击场景，整个实验分为了3步进行：

1. 攻击者利用漏洞CVE-2008-0166通过暴力密钥猜测攻击获得SSH服务器的root权限。

2. 由于NFS服务器上的导出表未正确设置，攻击者可以将恶意可执行文件上传到NFS上的公共目录。恶意文件包含可以利用特定工作站上的漏洞的特洛伊木马程序。公共目录在测试台网络中的所有主机之间共享，以便工作站可以访问和下载此恶意文件。

3. 一旦恶意文件被安装并安装在工作站上，攻击者就能够在工作站上执行任意代码。

图2 攻击场景

由于通常很难获得0day漏洞，我们用已知漏洞来进行模拟。例如，假设当前时间是2008年12月31日，CVE-2009-2692被视为0day漏洞。此外，其他安全漏洞（如NFS上的配置错误）也可视为一种特殊类型的未知漏洞，只要这些漏洞不被漏洞扫描程序扫描到即可。

实验结果表明ZePro能够重建攻击故事情节，例如攻击如何发生，访问了哪些文件，以及引发的警报是否具有相关性等，本文方法的一个优点是，即使没有为特定漏洞提供证据，所识别的路径也提供了揭示隐藏漏洞的上下文。