美国态势感知之HACCS项目

DARPA开展的“利用自主系统对抗网络对手”（HACCS，Harnessing Autonomy for Countering Cyberadversary Systems）项目，目标是开发“自主软件代理”，从而抵抗僵尸网络植入程序以及大规模恶意软件活动的针对性网络攻击。

 

1

一、项目内容简介

美国国防高级研究计划局（DARPA）的HACCS项目于2017年启动。该项目将网络空间中脆弱的和已被恶意控制的节点集合统称为灰色地带，灰色地带的节点可能表现为僵尸程序、后门和跳板等形态，可能被多个攻击者利用。

该项目旨在通过技术和算法，测量识别僵尸网络感染的网络，识别驻留在网络中的设备类型以及潜在访问媒介的稳定性。其目的是准确识别僵尸网络，并对其进行“指纹识别”，以确定僵尸网络是否存在，并记录此类网络上设备的数量、类型以及在这些设备上运行的软件；通过技术集成到一个系统中，该系统可以发现、突袭及中和被僵尸网络感染的设备，而无需任何人工干预。

DARPA官员曾称，将与国防部联合人工智能中心开展合作，对日渐交叉融合的人工智能、网络安全以及网络作战进行研究，HACCS是该局的重点项目之一，正迅速将人工智能技术应用到网络作战中。

 

1

二、详细介绍

 什么是僵尸网络？什么是僵尸网络攻击？

僵尸网络建立在分布式拒绝服务攻击之上。DDoS攻击是一种网络攻击，其中多个受感染的系统攻击给定目标，例如服务器或网站，以拒绝用户访问该目标。攻击者经常使用受感染的设备——台式机、笔记本电脑、智能手机或物联网设备——来命令生成网站流量以禁用它，而用户甚至无法检测到。并非所有僵尸网络都是恶意的；僵尸网络只是一组相互连接的计算机，它们一起工作以执行重复性任务，它们可以保持网站正常运行。但是，恶意僵尸网络使用恶意软件控制联网设备，然后将它们作为一个群体进行攻击。恶意僵尸网络通常用于放大DDoS攻击，以及发送垃圾邮件、产生流量以获取经济利益和欺骗受害者。 

据2021年2月资料显示，DARPA的HACCS项目通过开发自主软件代理，将AI用于网络安全，这将渗透对手的网络，检测僵尸网络，并使其无效化。

随着软件复杂性的增加，软件漏洞也在增加。据两家跟踪漏洞披露的美国组织称，软件漏洞的数量在逐年增长。

恶意行为者能够破坏和使用第三方拥有和运营的大量设备而不受惩罚。此类受感染和征用设备的集合通常称为僵尸网络，用于犯罪、间谍活动和计算机网络攻击（通常是三者的组合），僵尸网络和类似恶意代码的例子包括mirai、hidden cobra、wannacry和petya/notpetya。为了构建僵尸网络，黑客用恶意软件感染互联网连接的设备，使他们能够执行来自远程服务器的命令。由于病毒大部分时间都处于休眠状态，因此受感染设备的所有者很少知道他们的计算机、智能手机等已经被入侵。但其影响的潜在规模，使此类恶意软件成为国家安全威胁。

2017年5月，在关于加强联邦网络和关键基础设施网络安全的总统行政命令中，明确将僵尸网络确定为高度优先的国家安全问题。美国称，如果仅改善美国防部（DOD）网络的安全态势，不足以应对此类对国家安全的威胁。因为大多数僵尸网络节点位于中立网络（灰色空间）中。有的事件响应方法过于耗费资源和时间，无法大规模解决问题，主动防御方法的行为不够精确和可预测，存在风险。需要以可扩展、及时、安全和可靠的方式，形成能力，从受感染的设备和网络中识别和消除僵尸网络和其他大型恶意软件。为了达到必要的规模和及时性，即使僵尸网络的所有者不知道感染，并且没有积极参与，这种能力也必须有效。

 

 

DARPA于2017年启动了HACCS计划，旨在开发安全、可靠和有效的能力，以开展互联网规模的反网络行动，阻止对手使用中立（灰色）系统和网络（例如僵尸网络）。

DARPA与五角大楼的联合人工智能中心（JAIC）一起寻求扩大人工智能与网络安全和网络战行动的交叉点，作为该机构长期战略的一部分，开发用于网络领域的人工智能工具和应用程序。

DARPA官员表示这是进一步深入研究的几个重点领域之一，当研究人工智能与网络的融合时，对于先进技术的发展来说是一个非常丰富的空间。

 

HACCS项目旨在研究创建安全可靠的自主软件代理的可行性，这些代理可以有效的对抗恶意僵尸网络植入和类似的大型恶意软件，该项目将通过制定量化框架和建立参数来实现安全、可靠和有效的使用。

 

执行者需开发必要的技术和算法，以测量识别受僵尸网络感染的网络的准确性，识别网络中设备类型的准确性以及潜在访问向量的稳定性。该项目将采用实验性方法来验证此类自主代理的实施及其运行规则，并衡量在不影响其所在系统和网络的情况下，拒绝、降级和破坏僵尸网络和单个僵尸网络植入物的有效性。该项目正在投资三项主要技术：在互联网上发现和指纹识别僵尸网络的系统；通过已知安全漏洞，将软件上传到受感染设备的工具；以及一旦上传就禁用僵尸网络恶意软件的软件。

网络安全公司Packet forensics于2018年9月赢得了一份HACCShaccs合同，之后又获得了追加。弗吉尼亚州的Kudu dynamics LLC、Sotera defense solutions Inc和马萨诸塞州的 Aarno Labs LLC也参与了该项目。

DARPA称，Packet forensics公司的技术属于第一类；DARPA将最终把这些技术中的每一项都集成到一个系统中，该系统可以在没有任何人工参与的情况下发现、突袭及中和受僵尸网络感染的设备；由于该工具仅针对僵尸网络恶意软件，人们可以像以前一样继续使用这些设备。

                    图片来自于外媒。

 

Haccs项目旨在

*准确识别僵尸网络，确定僵尸网络植入物的存在、所述网络上存在的设备的数量和类型，以及在这些设备上运行的软件服务，以足够精确的推断已知漏洞的存在（这也被称为“n—day”漏洞）。僵尸网络通常包含规避和/或隐蔽的命令和控制通道。这个阶段面临的主要挑战是僵尸网络识别和设备表征的准确性、规模和速度。

*针对大量已知漏洞生成无中断软件攻击，这些漏洞可用于在每个僵尸网络中建立初始存在，而不会影响合法系统功能。主要挑战是将漏洞发现和漏洞利用生成扩展到在真实操作系统上运行的复杂软件，扩展软件推理系统和技术，以支持分析内存损坏之外的漏洞类别，并准确描述稳定性和潜在副作用产生的漏洞。

*创建高度可靠的软件代理，在僵尸网络强制网络中以安全可靠和自主导航，识别僵尸网络植入物，消除它们或以其他方式削弱它们的操作能力，同时最大限度的减少对这些中立系统和基础设施的副作用。这个阶段的主要挑战将是实现代理的安全和有效自治，并为代理生成和操作提供正确的构造或等效保证。

Packet forensics公司将测量拒绝降级和破坏僵尸网络和单个僵尸网络植入物的有效性，而不会影响它们所在的系统和网络。Packet forensics公司不仅会识别僵尸网络以确定僵尸网络植入物的存在，而且还会识别所述网络上存在的设备数量和类型，以及在这些网络上运行的软件服务，将为许多已知漏洞生成非破坏性软件利用，这些漏洞可以在每个僵尸网络中建立初始存在，而不会影响合法系统功能。

HACCS分为3个16个月的阶段，第一阶段，Packetforensics公司构建一种能够扫描大约5%的全球IP地址，并以80%的准确率检测僵尸网络的技术；到第三阶段结束时，各种目标如下：以95%的准确率表征80%的IP地址空间、找到1000个可供利用的n-day僵尸网络漏洞、在10000个计算机模拟拓扑中展示有效性、最后参与防御练习等。

（来源：综合外网外媒等。本文参考内容均来源于网络，仅供读者了解和掌握相关情况参考，不用于任何商业用途。侵删）

原文始发于微信公众号（祺印说信安）：美国态势感知之HACCS项目