《Future Generation Computer Systems》:MTD in Depth: Multi-phased Moving Target Defense Techniques against Cyber-Attacks based on Cyber Kill Chain
Minjune Kim|Jin-Hee Cho|Hyuk Lim|Tina Moghaddam|Terrence J. Moore|Frederica F. Nelson|Dan Dongseong Kim
CSIRO的Data61团队,澳大利亚新南威尔士州悉尼
摘要
网络攻击的风险一直在不断增加,仅使用传统的静态防御机制来保护系统变得越来越困难。与不对称的防御策略设计相比,移动目标防御(MTD)通过不断改变攻击面来主动保护系统,因为动态防御系统的特性会增加攻击者需要投入的成本。然而,单一的MTD技术在防御智能或持久性网络攻击方面存在局限性。因此,本研究提出了一种多阶段的MTD技术框架,称为“MTD in Depth”,以提高安全性。工业框架如Cyber Kill Chain(CKC)和MITRE框架有助于分阶段理解网络攻击的技术和策略。基于这些框架,本研究首先提出了一个概念性框架,然后通过物理测试平台中的案例研究对其进行评估。所提出的框架不仅有助于防御者理解攻击者的策略,还有助于确定针对网络攻击的主动安全控制措施。我们的工作包括:(1)基于虚拟化架构或TCP/IP堆栈扩展数字工件;(2)“MTD in Depth”框架,该框架可以根据数字工件将MTD子技术分类到MITRE ATT&CK攻击技术中;(3)评估采用一组MTD子技术的SDN在应对CKC中定义的网络攻击时的性能下降和安全收益。
引言
随着网络攻击的数量和复杂性的增加,使用传统防御服务来保护网络系统也变得越来越具有挑战性。传统的被动防御系统在面对持续攻击时有时可能无法最大限度地减少系统损失。另一方面,移动目标防御(MTD)作为一种主动防御措施出现,用于保护系统免受潜在的网络攻击。MTD可以增加系统的复杂性和不确定性,从而提高攻击者的攻击成本,因为他们必须付出更高的代价来试图入侵目标。
然而,即使有主动防御措施,也没有一种单一的MTD技术能够完美地防御多种网络攻击。许多与MTD相关的研究仅限于提出一种MTD技术并展示其针对单一网络攻击的安全收益。在某些情况下,攻击者会耐心地继续攻击目标,直到实现他们的目标,例如未经授权的访问或拒绝服务(DoS)攻击。
因此,本文提出了一种新颖的多阶段MTD框架,用于主动防御多阶段网络攻击。“多阶段”指的是涉及多个阶段或步骤的网络攻击或防御策略,如CKC模型中所述。该框架提供了从侦察到对目标采取行动的网络攻击动态的全面理解。我们首先提出了一个领域知识模型,称为“MTD in Depth (MTDID)”框架,它是针对攻击技术的对应物。与MITRE框架[1]、[2]保持一致,以层次化的方式描述了攻击和防御子技术之间的关联。除了仅包含静态防御机制的MITRE框架外,我们的框架还旨在提供在SDN环境中更改数字工件配置的主动防御解决方案。MTDID是一种概念性方法,它定义了数字工件并根据这些工件对MTD子技术进行分类。现有的知识领域框架(如MITRE D3FEND框架)并未明确分类主动防御措施的子集。与MITRE框架相比,本研究将具有某些类型攻击共同关系的MTD子技术的特征进行了分类。在这项工作中,我们提出了一个结合MTD技术并基于虚拟化架构和TCP/IP堆栈模型扩展数字工件的新颖主动防御框架。为了识别SDN网络中现有的MTD子技术,我们分析了50多篇相关文献,并根据数字工件对它们进行了分类。
其次,我们开发了一个基于软件定义网络(SDN)的物理测试平台,该平台结合了三种潜在的MTD技术,如虚拟IP(vIP)洗牌、软件多样性和冗余。根据我们提出的MTD框架,我们选择了一对MTD子技术来保护SDN环境免受多阶段网络攻击。许多先前的研究[3]、[4]、[5]、[6]表明,网络洗牌技术可以在网络攻击链(CKC)的侦察阶段[7]提高安全性,因为它们增加了网络组件和资源(如IP地址)的不确定性。其他相关研究[8]、[9]、[10]也表明,软件多样性会增加系统复杂性,从而可能暴露给攻击者。与以往的研究相比,我们的工作新颖之处在于:1)我们提出了一些代表性的MTD组合以增强安全性;2)只有少数相关工作提出了在实际环境中可行的MTD操作组合。我们提出的系统、攻击和防御模型可以在真实的企业网络系统中展示我们概念框架的可行性。
最后,我们评估了由于主动防御概念而采用MTDID的优缺点。作为最先进的防御解决方案,MTD系统的动态变化可以持续提供针对网络攻击的安全优势。然而,由于MTD的频繁变化,可能会导致一些缺点,如性能下降或开销增加。大多数先前的相关研究[5]、[11]、[12]、[13]、[14]、[15]、[16]使用分析模型、仿真或模拟来评估采用MTD技术的系统的性能或安全性。只有少数工作同时评估了性能和安全性,例如[17]中的Mininet仿真。因此,本研究旨在通过使用物理SDN测试平台的多个MTD技术案例研究来评估性能和安全性。性能和安全性指标是通过在物理SDN测试平台中使用的实际Web服务来测量的。虽然我们的评估是在SDN环境中进行的,但MTDID背后的发现可以应用于其他常见或异构的网络架构(例如云基础设施),其中可以适应MTD技术[18]。理论模型展示了它们的潜在安全优势[19]、[20]、[21]。
据我们所知,这是第一项提出MTDID并系统地评估MTDID针对多阶段网络攻击有效性的工作。本研究的主要贡献总结如下:
•我们提出了一个名为“MTD in Depth (MTDID)”的新框架,该框架将一组MTD子技术分层,并根据CKC的阶段对相关MTD子技术进行分类;
•我们在SDN环境中开发了MTD组合,包括vIP洗牌、软件多样性和冗余,以提高安全性;
•我们使用实际Web服务(即Apache httpd、Nginx、Litespeed)在物理SDN测试平台上进行定量分析,以评估性能和安全性,并展示了我们提出的框架和技术的有效性。
本文的其余部分结构如下。第2节介绍了相关工作,第3节概述了我们提出的MTDID框架方法。第4节描述了我们的MTDID概念框架并对MTD子技术进行了分类。第5节介绍了在SDN网络上应用一组MTD子技术的案例研究。作为MTDID系统的一个例子,本研究提出了针对多阶段网络攻击的MTD技术组合。第6节展示了我们的MTDID框架在性能和安全性方面的实验结果。我们在第7节总结了本文。
相关工作
相关工作
移动目标防御(MTD): MTD是一种有前途的防御技术,通过不断改变系统配置来增加系统的复杂性和不确定性,从而使攻击者感到困惑[22]、[23]、[24]、[25]、[26]。MTD技术使系统能够执行随机重新排列[3]、[27]、[28]、[29]、[30]或多样性[9]、[32]攻击面。在MTD的对称性质下,攻击者需要花费更多的时间和资源来进行侦察。
提出的方法
本节介绍了我们在图1中展示的新框架“MTD in Depth (MTDID)”。我们首先基于网络攻击链(CKC)概述了一个多阶段MTD框架的概念性框架。其次,我们使用案例研究设计了系统模型、攻击模型和防御模型进行评估。最后,我们评估了所提出模型针对多阶段网络攻击的性能和安全性。
MTD in Depth: 我们提出了一个基于知识的框架,用于对MTD进行分类
MTD in Depth
本节描述了我们的MTDID框架,旨在将MTD技术与网络攻击链的阶段联系起来。我们首先介绍了可以在SDN网络环境中应用的额外数字工件。然后,我们根据所提出的数字工件对MTD技术(即洗牌、多样性和冗余)进行分类。最后,我们构建了一个概念框架,将MTD技术与CKC阶段联系起来。
案例研究
我们构建了系统、攻击和防御模型,以评估采用多阶段MTD技术的系统的性能和安全性。使用基于SDN的网络,我们为系统模型设置了一个娱乐网络环境,并为攻击模型提出了多阶段真实攻击场景。为了构建防御模型,我们设计了多组洗牌、多样性和冗余组合。
评估与结果
为了对MTD的采用进行定量分析,我们分别使用良性负载和攻击负载在网络系统中测量性能和安全性。在本节中,我们首先介绍了评估的实验设置,包括输入、系统和输出,然后在基于物理SDN的测试平台中展示了实验结果。
结论
我们提出了“MTD in Depth (MTDID)”作为针对多阶段网络攻击的多阶段MTD技术框架。从自上而下的方法出发,我们首先表示了我们的概念框架的关键概念和矩阵,然后通过在SDN环境中的用例来评估我们的方法。为了有效地提出可行的框架概念,我们首先根据数字工件对MTD子技术进行了分类和分类,并将它们与CKC阶段联系起来。数字工件
CRediT作者贡献声明
Minjune Kim:写作——审阅与编辑、撰写原始草稿、可视化、验证、方法论、形式分析、数据整理、概念化。Jin-Hee Cho:写作——审阅与编辑、验证、监督。Hyuk Lim:写作——审阅与编辑、验证、监督。Tina Moghaddam:验证、数据整理。Terrence J. Moore:写作——审阅与编辑、验证。Frederica F. Nelson:写作——审阅与编辑、验证、项目管理。Dan Dongseong Kim:
利益冲突声明
作者声明他们没有已知的竞争性财务利益或个人关系可能会影响本文报告的工作。
