3.4　隐蔽微积分

本文讲的是网络空间欺骗：构筑欺骗防御的科学基石一3.4　隐蔽微积分,隐蔽算法通过结合攻击者使用的特定恶意软件模型和防御者的检测能力得出隐蔽性度量。特定恶意软件的隐蔽性是指无法由恶意软件的可观测量和防御的警报逻辑，或者等效的隐蔽性框图测量的概率。假设攻防双方能够度量和评估攻击者使用恶意软件生成的可观测量。这个假设取决于所寻求的态势感知是属于防御者的还是属于攻击者的。
防御方虽然能够意识并修改他们的探测器规则，然而，鉴于这些系统的复杂性以及由于误报造成的停机时间所带来的巨大成本消耗，防御方通常调整其系统，使其仅在高阈值或者适当规则子集的情况下触发。正如在近期报告中所详细记载的那样，防御者经常被警报淹没，从而导致错过真正的攻击。这是因为他们并未对误报情况进行筛选[28，29]。因此，我们认为，攻击者几乎总是有办法以低检测概率实施攻击行为，继而达到其目标。
更具体地说，在攻击者的恶意软件完成任务时，所有观测量集合中存在使得防御者系统上仅以最小概率检测到的可观测量组合。攻击者的关键是发现一种突破防御方警报逻辑的方式，从而最小化被检测到的概率。与此同时，以这样的方式最大化攻击者的效用。防御方或者部分组件可能会意识到攻击者将采用的规避方法，从而通过自动化技术模拟攻击者的规避方式，并进行改善。
隐蔽微积分通过利用防御方的CBD计算警报逻辑与恶意软件进行交互生成的可观测量，进而获得触发的概率。在测试中，每个基本组件的成功率等于该元素在恶意软件运行时被触发的成功率。图3.10比较了所度量的网络流量中DNS数据包大小的“正态”分布，以及使用DNS解析的恶意软件在尝试与远程命令和控制主机通信时的DNS数据包的大小分布。



每个传感器的触发概率是通过使用Mann-Whitney测试[30]计算得到的。该测试将网络上的基线测量分布结果与从恶意软件样本中获得的策略分布进行了比较。对于DNS数据包的大小分布，我们确定了一个阈值，在正常流量情况下可以正确识别99%的异常DNS流量。通过比对测试平台中基线度量值和恶意软件分析获得的量化结果的差异，从而刻意选择可观测量。
如图3.11所示的CBD，给其中的每个传感器分配了一个触发概率，从而通过对正常活动和恶意软件活动的相似性比较进行触发。CBD中的某些规则将以一种高代价的方式直接触发总体概率。

对于传感器“触发”或者“不触发”的可能性概率进行分配，并通过对各个传感器分配的概率进行乘积计算，从而分配概率。例如，图3.12中描述的分配概率是通过如下的方式计算的：

事实上，存在从开始状态到结束状态的路径意味着有由整体警报逻辑触发的报警。
由CBD表示的警报逻辑将通过触发/检测25种可能的恶意软件实例分配概率Pdetect。计算每个分配的检测概率，并在所有分配上对概率求和。对于恶意软件实例，所得到的总和为Pdetect。值得注意的是，存在传感器彼此独立触发的情况，该假设需要对每个特定情况和传感器条件进行验证。
我们已经将报警逻辑触发的概率定义为检测到恶意软件的概率Pdetect，在该特定防御基础设施中，恶意软件的隐蔽性量化结果为1-Pdetect，即恶意软件不被检测到的概率。
在图3.3展示的第一个例子中，恶意软件被检测到的概率为0.995或者99.5%，因此是不隐蔽的，因为其隐蔽性得分非常低，为1-0.995 = 0.005。鉴于这种情况，智能攻击者将尝试调整其恶意软件生成的可观测量，以便在防御者的网络中被检测到之前能够实施更长时间的攻击。
我们对这种计算隐蔽性得分的方法进行了一系列的观察。首先应当指出的是，对于n个不同的传感器，所有可能的传感器分配情况是2n，即呈n的指数级。使用一般性的可靠性框图进行评估的相关研究使用了类似的形式化方法，然而它是NP-完全问题[31]。这说明对于隐蔽性得分问题，没有比利用蒙特卡罗方法进行近似更为有效的方法。当n≤30个传感器时，利用这种方法进行计算是绝对可行的。
此外，值得注意的是，可假设一系列单独的传感器能够计算隐蔽得分。也就是说，我们可以改变任何一个传感器0～1的触发概率，从而获取每个传感器对隐蔽性灵敏度的评估。事实上，从检测隐蔽性得分的公式可知，如果所有其他传感器的性能是固定的，那么传感器的性能在分数上呈线性关系。这为防御传感器条件中的每个传感器产生了简单的“微分隐蔽性灵敏度”分述。具有高概率分数的传感器将是攻击者和防御者调谐的关键。
为了说明这个架构，我们做出了如下介绍。如图3.13所示，说明了先前使用的CBD可分配给传感器一个数字，它包括开始和结束状态。图3.14给出了传感器2～6的隐蔽得分概率是0～1可变的。值得注意的是，与一个轴平行的图形切线是线性函数。但是，如果两个函数结合在一起，则是非线性的。

我们还提出了其他方法来评估防御基础设施对恶意软件观测的敏感性，包括整体警报逻辑结构的敏感性。
最后，我们观察到，虽然在本工作中“隐蔽”的概念量化了攻击性恶意软件相对于防御基础设施的可见性要素，但是由于防御方可以观测的恶意软件泄露的信息各不相同，所以对于隐蔽性概念的解释也可能各不相同。一言以蔽之，就是防御者可以从攻击者所用的恶意软件中学到什么？

例如，当恶意软件展现不同于基线的分布或者行为时（诸如图3.10中描绘的针对DNS的请求频率）偏差的大小可以作为度量恶意软件泄露的信息量大小。这种偏差可以通过Kullback-Liebler散度或者其他概率分布之间的差异进行度量[32]。

原文标题：网络空间欺骗：构筑欺骗防御的科学基石一3.4　隐蔽微积分