指挥和控制(C2)通道是许多类型网络攻击的重要组成部分,因为它们使攻击者能够远程控制受恶意软件感染的机器并执行有害行动,如在网络上传播恶意代码、外泄机密数据或发起分布式拒绝服务(DDoS)攻击。因此,识别这些 C2 渠道对于帮助减轻和预防网络攻击至关重要。然而,识别 C2 通道通常需要人工操作,需要深厚的网络战知识和专业技能。本文提出了一种基于强化学习(RL)的方法,利用普通(公共)网络和 Tor 网络自动模拟 C2 攻击活动。此外,还配置了有效载荷大小和网络防火墙,以模拟真实世界的攻击场景。典型网络配置的结果表明,智能体可以利用基于 Tor 的通信通道和传统通信通道自动发现有弹性的 C2 攻击路径,同时还能绕过网络防火墙。

关键词-强化学习、指挥与控制、渗透测试、网络战、网络地形

图 1:标有节点 ID 和服务的网络图。服务包括文件传输协议(ftp)、超文本传输协议(http)、虚拟专用网络(vpn)、标准查询语言(sql)、安全 shell(ssh)、Samba(samba)、公钥基础设施(pki)、简单邮件传输协议(smtp)和 MongoDB(mongodb)。在子网 1 的主机 (1,0)(绿色节点)上获得了初始立足点。确定了两个目标定位,并用橙色标出。

指挥和控制 (C2) 通道是攻击者用来远程控制受恶意软件感染的设备的通信通道,允许攻击者向设备发出命令或从设备接收信息。C2 通道使攻击者能够保持对被入侵机器的控制,并开展各种恶意活动,如窃取数据、发起勒索软件攻击和向其他系统传播恶意软件。此外,C2 并不仅限于单个攻击。高级持续威胁(APT)组织也可以使用它,这些组织由国家支持或资源充足,针对特定实体进行长期、复杂的攻击。APT 组织经常使用 C2 在目标定位的网络中保持持久性,并长期外流敏感信息[1]。

攻击者经常使用隐藏 C2 通信的技术来避免被发现。其中一种技术是使用 Tor(洋葱路由器)网络,它是一种分散式网络,通过多个节点路由流量,实现匿名和加密通信渠道。Tor 是一款免费的开源软件,可以轻松扩散志愿者服务器或节点,从而混淆恶意流量的来源。通过访问 Tor 服务器,攻击者可以操作一个无属性的 C2 服务器,并向执法人员或安全研究人员隐瞒自己的位置。

本文扩展了将强化学习(RL)应用于不同渗透测试任务的研究成果 [2]-[6]。具体来说,本文沿用了 [2] 首次提出的基于 RL 的方法,将网络地形纳入马尔可夫决策过程 (MDP)。它还扩展了 [6] 中引入的 C2 仿真模型,考虑了通过标准和基于 Tor 的信道进行通信。据我们所知,这项工作是使用 RL 模拟通过 Tor 和公共网络进行 C2 通信的首批研究之一。基于 RL 的方法为自动发现 C2 途径提供了一个可行的选择,从而减少了人工检查的时间和精力。这将有助于在实施适当的安全措施以防止或减轻网络攻击方面做出更有效、更高效的决策。本研究的主要贡献如下:

  • 论文提出并开发了一种强化学习模型,该模型结合了防火墙等网络防御地形的具体特征,可通过公共和基于 Torb 的通信渠道自动发现 C2 攻击路径。

  • 实验证明,所提出的 RL 方法能有效帮助识别 C2 攻击路径中的战略要点,并在常用网络环境中躲避防火墙。

本文的其余部分安排如下。首先,我们在第二部分回顾了相关工作,并在第三部分提供了有关强化学习的背景信息。然后,我们在第四部分介绍了 C2 攻击模拟模型及其 RL 表述的细节。第五节报告并讨论实验结果。最后,第六部分对本文进行了总结,并提出了未来的研究方向。

成为VIP会员查看完整内容
26

相关内容

人工智能在军事中可用于多项任务,例如目标识别、大数据处理、作战系统、网络安全、后勤运输、战争医疗、威胁和安全监测以及战斗模拟和训练。
《边界监视多传感器融合系统中的目标跟踪》
专知会员服务
40+阅读 · 2023年6月11日
《网络拦截--博弈论方法》美国MITRE公司
专知会员服务
32+阅读 · 2022年8月19日
《边缘计算网络安全最佳实践概述》
专知会员服务
34+阅读 · 2022年7月6日
图对抗防御研究进展
专知会员服务
37+阅读 · 2021年12月13日
【KDD2020】动态知识图谱的多事件预测
专知
88+阅读 · 2020年8月31日
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
4+阅读 · 2015年12月31日
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
2+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
3+阅读 · 2015年12月31日
国家自然科学基金
4+阅读 · 2015年12月31日
国家自然科学基金
3+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
2+阅读 · 2015年12月31日
Arxiv
157+阅读 · 2023年4月20日
A Survey of Large Language Models
Arxiv
399+阅读 · 2023年3月31日
Arxiv
139+阅读 · 2023年3月24日
Arxiv
20+阅读 · 2023年3月17日
VIP会员
相关VIP内容
《边界监视多传感器融合系统中的目标跟踪》
专知会员服务
40+阅读 · 2023年6月11日
《网络拦截--博弈论方法》美国MITRE公司
专知会员服务
32+阅读 · 2022年8月19日
《边缘计算网络安全最佳实践概述》
专知会员服务
34+阅读 · 2022年7月6日
图对抗防御研究进展
专知会员服务
37+阅读 · 2021年12月13日
相关基金
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
4+阅读 · 2015年12月31日
国家自然科学基金
1+阅读 · 2015年12月31日
国家自然科学基金
2+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
3+阅读 · 2015年12月31日
国家自然科学基金
4+阅读 · 2015年12月31日
国家自然科学基金
3+阅读 · 2015年12月31日
国家自然科学基金
0+阅读 · 2015年12月31日
国家自然科学基金
2+阅读 · 2015年12月31日
微信扫码咨询专知VIP会员