王　輝　王云峰　閆璽璽

(河南理工大學計算機科學與技術學院　河南 焦作 454000)

?

基于貝葉斯攻擊圖的層次化威脅度HTV分析方法

王輝王云峰閆璽璽

(河南理工大學計算機科學與技術學院河南 焦作 454000)

摘要現(xiàn)有脆弱性分析方法難以兼顧評估目標系統(tǒng)整體安全性和脆弱點的嚴重程度， 同時評估過程需要處理大量的不確定信息。為此，提出一種層次化威脅度的HTV分析方法。首先，通過分析原子攻擊和攻擊證據(jù)的關聯(lián)性，提出一種因果關系檢測算法CRDA,以確定二者因果關系；其次，依據(jù)攻擊模型的系統(tǒng)架構,給出貝葉斯攻擊圖BAG定義，并給出對應的生成算法BAGA，以及時有效地識別脆弱點；最后，給出脆弱點威脅度定義和計算模型，并以攻擊者所獲脆弱點權限為基準，將威脅度劃分不同層次，以有效評估脆弱點的嚴重程度和目標系統(tǒng)整體安全性。實驗結果表明，所提方法評估系統(tǒng)整體安全性以及脆弱點的嚴重程度是完全可行且有效的。

關鍵詞貝葉斯攻擊圖攻擊模型因果關系脆弱點威脅度

0引言

伴隨著網絡系統(tǒng)的復雜化，由安全漏洞(或者稱作脆弱點)引發(fā)的網絡安全問題日益受到關注。出現(xiàn)這種現(xiàn)象，一個重要的原因是現(xiàn)有脆弱性掃描技術難以有效評估脆弱點相互作用帶來的威脅。一方面，這些技術只是孤立地分析脆弱性信息，不能綜合評估系統(tǒng)整體安全威脅[1]；另一方面，如Nessus、X-Scan等脆弱點掃描技術，容易受到軟件發(fā)布及硬件升級等因素影響[2]，無法及時有效地識別系統(tǒng)脆弱點。因此，需要尋求一種有效方法評估系統(tǒng)安全態(tài)勢，為管理員提供決策支持。

近年來，研究人員開始應用貝葉斯網絡和攻擊圖于安全態(tài)勢評估[3-7]。作為一種脆弱性分析工具，攻擊圖能夠基于系統(tǒng)網絡配置和脆弱性信息，自動識別可能的脆弱點；能夠通過分析脆弱點依賴關系，展示所有攻擊路徑，綜合評估系統(tǒng)安全態(tài)勢。但是，攻擊圖對脆弱點依賴關系的描述，僅表示一種理論可能性，無法有效地描述實際的非確定性依賴關系[8]。實際的脆弱點識別和評估過程，需要處理大量的不確定性信息[9]。這些不確定性信息的一個主要表現(xiàn)是攻擊行為和攻擊證據(jù)的因果關系存在不確定性。這種不確定性影響了脆弱點評估結果的準確性。相較于攻擊圖，貝葉斯網絡用節(jié)點和有向弧描述攻擊行為和攻擊證據(jù)的因果依賴關系，用概率描述節(jié)點間不確定性關系，具備處理非確定性關系的能力[10,11]。同時，其本身是一種屬性攻擊圖[1,12]。因而，貝葉斯網絡成為系統(tǒng)安全態(tài)勢評估的有效方法。但是，這種評估方法需要解決脆弱點屬性值的標準化問題[8]。

目前，這種標準化工作的一個較為成熟的成果是通用脆弱點評估系統(tǒng)(CVSS)[13]。它的一個主要功能是將與脆弱點有關的因素量化為對應的屬性值，為安全態(tài)勢評估提供基礎數(shù)據(jù)?？紤]到資源、成本等因素，脆弱點的嚴重程度不同，可能對目標系統(tǒng)造成的危害也不同。因而，如何基于貝葉斯網絡和CVSS評估脆弱點的嚴重程度，以確定它們的優(yōu)先處置順序就成為需要解決的問題[9]。本文提出了一種層次化脆弱點威脅度HTV(the hierarchical threat of vulnerability)的評估方法。這種方法能夠依據(jù)攻擊者獲取的目標權限，將脆弱點威脅劃分為嚴重程度不同的幾個層次，從而解決脆弱點的嚴重程度評估問題。

1相關工作

目前，一些研究工作開始嘗試基于貝葉斯網絡和CVSS，解決系統(tǒng)安全評估問題。文獻[8]嘗試基于貝葉斯網絡和CVSS計算脆弱點被成功利用的概率；文獻[14]提出了一種利用日志審計評估脆弱點威脅的安全態(tài)勢評估模型；文獻[2,15]將攻擊圖和CVSS結合成貝葉斯模型，提出了利用條件概率計算滲透節(jié)點概率值的方法。這些評估方法主要通過計算節(jié)點概率分析網絡安全態(tài)勢。

然而，貝葉斯網絡中，節(jié)點概率只表示脆弱點被成功利用的難易程度[8]，不能評估其本身的嚴重程度。文獻[2,8,14,15]卻未考慮到這點。文獻[9]提出了基于攻擊圖和顏色Petri網評估脆弱點威脅度的方法。通過將子攻擊圖轉換為不確定性推理規(guī)則集，并基于D-S證據(jù)理論計算單個脆弱點的嚴重程度，但是未考慮單個脆弱點對網絡整體安全造成的威脅。文獻[16]嘗試基于貝葉斯網絡動態(tài)評估網絡安全風險。通過將貝葉斯網絡邏輯用于脆弱性威脅分析，文獻提出了計算多目標安全概率的量化評估模型，但是未給出評估目標網絡整體安全的具體方法。文獻[17]提出了基于攻擊圖的單個脆弱點威脅量化方法，通過將脆弱點被利用的可能性量化為一個威脅區(qū)間，有效地評估了目標網絡整體安全態(tài)勢。但是它未能提出有效的方法評估脆弱點本身的嚴重程度。

針對上述不足，本文提出一種層次化脆弱點威脅度的分析方法。在借鑒原有評估方法和思想的基礎上，本文進一步提出了一種新穎的脆弱點威脅分析方法，并定義了貝葉斯攻擊圖BAG和脆弱點威脅度，提出了因果關系檢測算法CRDA，改進了攻擊圖生成算法。方法通過定義脆弱點威脅度，并以一次成功的脆弱性利用可能獲取的權限為基準，將脆弱點分為不同層次，實現(xiàn)了對脆弱點的嚴重程度及目標系統(tǒng)安全態(tài)勢的評估。與前述方法相比，通過提出檢測算法CRDA，不僅實現(xiàn)了對評估過程中不確定信息的處理，使評估結果更加合理，而且通過調用這一算法于BAGA算法，可以有效地避免攻擊圖生成算法存在的循環(huán)路徑問題，使其可以應用于生成貝葉斯網絡。同時，通過分析脆弱點威脅度，將脆弱點威脅分為不同層次，實現(xiàn)了對系統(tǒng)整體安全性和脆弱點嚴重程度的兼顧評估。

2概述與定義

攻擊行為和攻擊證據(jù)因果關系的不確定性是目標網絡存在不確定性信息的一個重要體現(xiàn)。為了描述這種不確定性，本節(jié)給出了一些基本定義，并提出了檢測這種因果關系的算法。

定義1(脆弱點)令V指代脆弱點集,元素vi∈V指代脆弱點項。

計算機系統(tǒng)中的脆弱點泛指計算機硬件、軟件等存在的安全技術缺陷或管理上存在的策略缺陷。本文所探討的脆弱點僅包括網絡系統(tǒng)存在的操作系統(tǒng)漏洞、MoS/DoS攻擊點等安全技術缺陷。它們能夠被攻擊者利用，威脅網絡系統(tǒng)安全。

定義2(原子攻擊)令A指代原子攻擊集，元素aj∈A指代原子攻擊項。

為方便敘述，本文將攻擊者對單個脆弱點的一次利用稱為原子攻擊。原子攻擊對脆弱點的利用是通過一系列指令或操作實現(xiàn)的。因此，本質上，原子攻擊是這些命令或操作依照一定順序組成的集合。本文將這些命令和操作統(tǒng)稱為基本操作，用mi表示?；静僮骷八鼈兊慕M合順序不同，由它們所組成的原子攻擊也不同。如圖1所示，{m1→m2→m3→m4}和{m1→m2→m3→m4}分別表示兩個不同的原子攻擊。

圖1　原子攻擊

定義3(攻擊證據(jù))令O指代攻擊證據(jù)集，元素ol∈O指代攻擊證據(jù)項。

攻擊證據(jù)是系統(tǒng)日志根據(jù)監(jiān)測系統(tǒng)的觀測數(shù)據(jù)所記錄的一系列基本操作的集合?？紤]到系統(tǒng)癱瘓、UDP數(shù)據(jù)包欺騙等影響因素，監(jiān)測系統(tǒng)在觀測原子攻擊時，不可避免地會遺漏一些基本操作。鑒于此，本文對那些包含的基本操作相同但是順序不同的原子攻擊不作區(qū)分，即認為它們產生的攻擊證據(jù)是相同的。同一原子攻擊能夠產生不同的攻擊證據(jù)，同一攻擊證據(jù)的產生也可能依賴于多個原子攻擊的共同影響。它們因果關系的不確定性可以用圖2表示。

圖2　因果關系貝葉斯模型

圖2中，原子攻擊a1可能產生的攻擊證據(jù)為o1、o2、o3,原子攻擊a2可能產生的攻擊證據(jù)為o2、o3、o4，由原子攻擊a1、a2共同產生的攻擊證據(jù)為o2、o3。a1、a2和o2、o3的這種依賴關系就是攻擊行為和攻擊證據(jù)因果關系的不確定性，即我們無法確定產生o2和o3的真正的原子攻擊。

為解決這種不確定性，需要度量原子攻擊產生攻擊證據(jù)的可能性，即P(o1,o2,…,ol|a1,a2,…,aj)，首先給出如下定義：

定義4設X1, X2,…,Xn為組成集合X的元素，Y1, Y2,…,Ym為組成集合Y的元素，Z為Y的子集，即Z?Y。若對任意的r(1≤r≤n)及任意的1≤ i1

假設攻擊證據(jù)集合O和原子攻擊集合A是組成貝葉斯網絡ζ的節(jié)點集合，O={o1,o2,…,ol},A={a1,a2,…,aj},集合O中各元素在集合A發(fā)生條件下相互獨立，由定義4有：

(1)

更進一步，記A={A1,A2,…,Al}。對于任意ol∈O,如果存在Al?A，使得ol與{A1,A2,…,Al-1}中各變量集合所包含的原子攻擊元素相互獨立，則：

(2)

通常情況下，P(ol|Al)并不易求得，為此，本文用攻擊證據(jù)ol中相同于原子攻擊aj的基本操作數(shù)與攻擊證據(jù)中基本操作的個數(shù)表示P(ol|Al)。

假設組成ol的基本操作個數(shù)為nl,相同于Al中各原子攻擊的基本操作數(shù)為{k1,k2,…,ks},則：

(3)

從而最終得到：

(4)

假設圖2中a1={m1,m2,m3,m4},a2={m5, m6,m7, m8},o1={m1,m2,m4},o2={m1,m2,m7}。依據(jù)式(4)，則P(o1| a1)=1(o1| a2)=0，P(o2| a1)=2/3, P(o2| a2)=1/3。

定義5(因果關系檢測)用向量δl=(αl1，αl2，…,αlj)描述原子攻擊及其攻擊證據(jù)之間的因果關系。其中αlj表示原子攻擊aj和攻擊證據(jù)ol之間的因果關系。用RDS(αlj)承載原子攻擊aj和攻擊證據(jù)ol之間的因果關系。若二者之間存在因果關系，則RDS(αlj)=1，否則RDS(αlj)=0。用向量φlj=(λl1,λl2,…,λlj)表示與δl相對應的原子攻擊的后驗概率。λlj承載觀測到攻擊證據(jù)ol后，原子攻擊aj的后驗概率。由式(4)有P(ol|aj)=n/s(n,s為ol所對應的基本操作數(shù))。因此，由貝葉斯定理有：

(5)

計算λlj時，P(aj)為原子攻擊aj的先驗概率(可由第4節(jié)計算公式求得)，P(ol)為觀測到的攻擊證據(jù)oj的概率，由于ol已經發(fā)生，因此，P(ol)=1。如果max(φ)= λlm,此時，就可以認為原子攻擊am產生了攻擊證據(jù)ol,記為R(ol-am)。據(jù)此，本文給出了算法1所示的原子攻擊檢測算法，并給出表1所示的原子攻擊檢測示例(表1中假設P(a1)= P(a2)=0.5)。

算法1因果關系檢測算法CRDA(Θ)

輸入：因果貝葉斯網Θ。

輸出：因果關系αlj集合Ψ。

1)Ψ←?

2)FOR l=1 TO k

3)δl=(αl1，αl2，…,αlj)

4) Ml←?

5)FOR j=1 TO m

6)IF RDS(αlj=1) THEN

8)END IF

9)Ml= Ml∪{λlj}

10)END FOR

11)max(Ml)= λlj

12)END FOR

13)Ψ=Ψ∪{ R(ol-aj) }

算法1從5)開始計算與ol存在因果關系的原子攻擊aj后驗概率，并在11)選擇擁有最大后驗概率的原子攻擊作為檢測結果，最后將該原子攻擊及對應的攻擊證據(jù)存儲到集合Ψ中。觀測到攻擊證據(jù)后，就可以通過集合Ψ找到相應的原子攻擊。

表1　因果關系檢測示例

由表1可以看出，當給定因果貝葉斯模型和先驗概率P(a1)和 P(a2)，即可檢測到攻擊證據(jù)o1和o2是由原子攻擊a1產生的，因而該算法能實現(xiàn)對模型中不確定關系的處理。

3脆弱點識別

脆弱點的存在是網絡系統(tǒng)遭受安全威脅的最根本原因。本節(jié)從分析目標系統(tǒng)狀態(tài)變遷出發(fā)，構建網絡攻擊模型生成系統(tǒng)架構，并在此基礎上給出貝葉斯攻擊圖定義，改進了文獻[9]的攻擊圖生成算法，以識別目標網絡中可能存在的脆弱點。

3.1網絡攻擊模型生成系統(tǒng)架構

一次成功的原子攻擊表現(xiàn)為對系統(tǒng)狀態(tài)的一次改變。因此，可視網絡攻擊為逐步實現(xiàn)系統(tǒng)狀態(tài)變遷的過程。在具備網絡攻擊的前提條件下，攻擊者只有通過攻擊目標主機脆弱點，并獲得相應的權限，才能實現(xiàn)系統(tǒng)狀態(tài)變遷。這一過程會伴隨產生攻擊證據(jù)。因此，狀態(tài)變遷可以用5元組STS=(preconditions,aj,postconditions,vi,ol)表示。其中preconditions表示網絡攻擊(原子攻擊)發(fā)生的前提條件，包括攻擊源主機上的訪問權限sr_access,目標主機上的訪問權限dst_access，sr_l_dst表示攻擊源主機與目標主機上的連接關系；postconditions表示狀態(tài)變遷的結果，表現(xiàn)為原子攻擊成功實施后攻擊者能力的提升。本文用攻擊權限表示攻擊者能力，包括None、User、Root三個級別。系統(tǒng)狀態(tài)變遷可以用圖3所示的模型來表示。

圖3　系統(tǒng)狀態(tài)變遷

網絡攻擊過程包含一系列復雜的系統(tǒng)狀態(tài)變遷。通過對目標主機脆弱點實施一次原子攻擊，攻擊者最終獲得該主機某些權限，完成一次狀態(tài)變遷。在實現(xiàn)系統(tǒng)狀態(tài)變遷的基礎上，攻擊者對目標網絡繼續(xù)展開攻擊，直至獲得目標主機的最高權限。這一過程中，每次原子攻擊的實施都會產生攻擊證據(jù)。因此，可以根據(jù)觀測到的攻擊證據(jù)建立網絡攻擊模型。其基本思想為：首先，收集攻擊過程中原子攻擊、攻擊證據(jù)以及目標網絡中存在的脆弱點信息，并建立對應的列表；其次，通過分析脆弱點，找出攻擊者獲得某個權限后可能實施的原子攻擊，并在此基礎上分析上述原子攻擊產生的攻擊證據(jù)，確定產生這一攻擊證據(jù)的原子攻擊和對應的脆弱點；最后，將這一原子攻擊過程加入到網絡攻擊模型，以此形成反映網絡攻擊的模型。其具體生成架構如圖4所示。

圖4　攻擊模型生成系統(tǒng)架構

首先利用各種掃描、探測、信息挖掘等技術對目標網絡進行信息收集，得到脆弱點列表、原子攻擊列表、攻擊證據(jù)列表；其次，在上述基礎上，分別從脆弱點列表、原子攻擊列表、攻擊證據(jù)列表中提取出脆弱點、原子攻擊、攻擊證據(jù)，找出攻擊該脆弱點的原子攻擊集合A，并由攻擊證據(jù)對這些原子攻擊進行最終確定，得到原子攻擊aj；最后，將上述脆弱點、原子攻擊aj、攻擊證據(jù)加入到網絡攻擊模型生成器，得到網絡攻擊模型。

3.2貝葉斯攻擊圖定義與生成算法

定義6貝葉斯攻擊圖BAG為一個五元組,即BAG=(T，W，Π，E，C)。其中,T為組成貝葉斯的不同類型節(jié)點集合,W為原子攻擊權集合，Π為概率集合,E為各節(jié)點依賴關系集合,C為約束條件集合。各變量具體含義如下：

? T=V∪A∪O。其中V、A、O為組成貝葉斯攻擊圖的三種不同類型節(jié)點集合；V=V0∪Vd, V0為目標網絡初始狀態(tài)節(jié)點集合，Vd為目標網絡可達狀態(tài)節(jié)點集合。對于?t∈V∪A，t具有二態(tài)性，即t=true或false。另規(guī)定?t∈T,Pre(t)為t的父節(jié)點集合，Post(t)為t的子節(jié)點集合。

? W表示原子攻擊aj引發(fā)攻擊證據(jù)ol的概率。?w∈W,由二元組(n,m)表示。其中n表示由監(jiān)測系統(tǒng)所記錄的攻擊證據(jù)中元操作個數(shù)，m表示由監(jiān)測系統(tǒng)所記錄的攻擊證據(jù)中元操作個數(shù)與相應的原子攻擊中元操作個數(shù)相同的數(shù)目。以圖2所示a1和o2為例，則n(o2)=3,m(a1,o2)=2,從而w(a1,o2)= m(a1,o2)/ n(o2)=2/3。

? Π(BAG)?{P(t)∪P(t|Pre(t))},為貝葉斯攻擊圖節(jié)點概率及對應的條件概率。

? E為關聯(lián)貝葉斯攻擊圖各類節(jié)點的有向邊,E?([(V0∪Vd)(A]∪[A((V0∪Vd)]∪[A(O])。

? C為貝葉斯攻擊圖滿足的約束條件，如下：

a) 對?t∈A,其父節(jié)點Pre(t)之間存在“與”關系,且滿足(Pre(t)?V0)((Post(t)?Vd);

b) 對?t∈V,其父節(jié)點Pre(t)之間存在“或”關系,且滿足(?t? A)((Post(t)?A);

c) 對?t∈T，Π(BAG)?{P(t)∪P(t|Pre(t))→[0,1]},滿足概率測度的規(guī)范性。

算法2貝葉斯攻擊圖生成算法(BAGA)

輸入：網絡初始狀態(tài)init_state。

檢測系統(tǒng)記錄的原子攻擊列表A_list,攻擊證據(jù)列表O_list,脆弱性利用信息數(shù)據(jù)庫CVEDB;攻擊者在主機host0上所需擁有的初始權限Root。

輸出：BAG=(T，W，Π，E，C)。

1. V0={MARKPLACE(Root(host0))},T←?,W←?,Π←?,E←?;

2. Queue State_queue=new Queue;

3. State_queue<-ENQueue(init_state);

4. FOR each vi∈V in init_state;

5.FOR aj∈A in A_list;

6.IF (CVEDB.Preconditions=TRUE);

7.SEARCH O_list(O_list,ol);

8.W(n,m)=COUNT(ol);

9.GRAPH.ADDEDGE{(vi,aj),(aj, ol)};

10.ENDIF;

11.Π←Π+{P(aj),P(aj|Pre(aj))};

12.A←A+{aj};O←O+{ol};E←E+{(vi,aj),(aj,ol)}

13.ENDFOR;

14.E←CRDA(Θ)

15.Π←Π+{P(vi) ,P(vi|Pre(vi))}; V←V+{vi};

16. ENDFOR;

17. BAG=(V∪A∪O,E,W, Π,C);

18. RETURN BAG。

算法2給出了一個用于自動生成貝葉斯攻擊圖的算法(BAGA)。第1～3行是初始化貝葉斯攻擊圖的過程。第1行通過調用MARKPLACE過程創(chuàng)建一個權限列表，用來表示攻擊者擁有h0主機上的root權限,并將初始BAG置為空；第2、3行通過創(chuàng)建一個網絡狀態(tài)隊列(第2行)，并將初始狀態(tài)init_state加入該隊列(第3行)，完成攻擊圖的初始化。第4～16行為一個循環(huán)，用于生成節(jié)點T和邊E，并賦予相應的概率值Π給各節(jié)點。第4行為一外層循環(huán)，用于從狀態(tài)隊列中取出一種狀態(tài)節(jié)點。第5～13行為一內循環(huán)。對于每個狀態(tài)節(jié)點，遍歷A_list中各原子攻擊(第5行)，符合CVEDB數(shù)據(jù)庫脆弱性利用動作的原子攻擊(第6行)，則從O_list中找出相對應攻擊證據(jù)(第7、8行)，并生成節(jié)點T(第11、12行)和邊E(第9行)，直到init_state隊列為空。第17行將構造的節(jié)點和邊添加到貝葉斯攻擊圖BAG中；第18行返回生成的貝葉斯攻擊圖BAG。

算法2能夠根據(jù)觀測到的實時攻擊證據(jù)，自動生成以原子攻擊、攻擊證據(jù)、脆弱點為節(jié)點的貝葉斯網絡，展現(xiàn)網絡中存在的脆弱點，從而及時有效地識別網絡中可能的脆弱點。

算法2生成攻擊圖時，在表述方面會出現(xiàn)兩個問題：① User等攻擊權限只是原子攻擊產生的一個結果，附帶于脆弱點本身，并不能作為一個單獨節(jié)點；② 脆弱點、原子攻擊和攻擊證據(jù)存在一一對應關系，但是貝葉斯攻擊圖在命名時無法體現(xiàn)這種關系。為此，制定如下命名規(guī)則：

① 將脆弱點節(jié)點命名為“漏洞編號(脆弱點)”。如CVE575(v1)表示脆弱點v1代表的漏洞為緩沖區(qū)溢出漏洞。

② 將攻擊者獲得的權限命名為“權限級別(主機編號)”。如R(H0)表示攻擊者獲得了主機Host0上的Root權限。

③ 攻擊者權限作為單獨節(jié)點在攻擊圖中顯示，并命名為“權限級別(主機編號)_原子攻擊_漏洞編號(脆弱點)”，表示對脆弱點發(fā)動原子攻擊時，獲得了該權限。如R(H0)_a2_ CVE575(v1)表示攻擊者利用緩沖區(qū)溢出漏洞獲得了host0主機的Root權限后，對下一個脆弱點發(fā)動a2攻擊。

④ 將攻擊證據(jù)節(jié)點命名為“原子攻擊_脆弱點_攻擊證據(jù)”，表示對脆弱點發(fā)動攻擊時產生了攻擊證據(jù)。如a2_ v1_o1原子攻擊a2攻擊目的主機緩沖區(qū)溢出漏洞時，產生了攻擊證據(jù)o1。

4脆弱性威脅評估

考慮到成本因素以及脆弱點在目標系統(tǒng)中嚴重程度不同，我們必須有針對性地對那些嚴重威脅系統(tǒng)安全的脆弱點進行優(yōu)先處置?；谶@一考慮，本節(jié)首先給出了脆弱點威脅度的定義以及計算威脅度所需的基礎數(shù)據(jù)，然后給出了在此基礎上的威脅度模型，以量化脆弱點的嚴重程度。

4.1基礎數(shù)據(jù)的獲取

定義7脆弱點威脅度指從指定貝葉斯攻擊圖脆弱點集合V到概率區(qū)間[0,1]的一個映射p: V→[0,1],用來度量攻擊者利用脆弱點獲得目標主機權限的級別。威脅度越大，所獲得權限級別越高，從而該脆弱點的威脅程度越嚴重。

貝葉斯攻擊圖BAG=(T，W，Π，E，C)能夠評估目標網絡脆弱點的嚴重程度，為了確定?vi∈V的威脅度，必須首先獲取原子攻擊節(jié)點aj∈A的自身概率s(aj)和脆弱點節(jié)點自身概率s(vi)。

對于原子攻擊節(jié)點，自身概率s(aj)取自CVSS基本評價分值中“AccessComplexity”屬性值，它表征脆弱點被利用的復雜程度，具體取值如表2所示。

表2　CVSS基本評價分值

對于脆弱點節(jié)點，由于其本身不存在是否被執(zhí)行成功的難易程度，因此設定其自身概率s(vi)為1.0(也可以為0～1.0中的任何固定數(shù)值)。

4.2脆弱點威脅度的層次化

通常情況下，貝葉斯網絡節(jié)點概率只和該節(jié)點的父節(jié)點及自身相關聯(lián)。假設貝葉斯網絡中節(jié)點t,其父節(jié)點pr(t)集合包含k個相互獨立的節(jié)點，用節(jié)點數(shù)組d[i]表示(1≤i≤k)表示。依據(jù)貝葉斯理論：

P(t)=P(t|pr(t))=P(t|pr(t),pr(t)→t)

(6)

考慮到pr(t)中各元素之間的“或”或“與”關系，節(jié)點t的計算公式如下：

①pr(t)中各元素之間關系為“或”時：

(7)

②pr(t)中各元素之間關聯(lián)關系為“與”時：

(8)

由于貝葉斯攻擊圖節(jié)點之間存在關聯(lián)性，并不能由基礎數(shù)據(jù)直接得到脆弱點威脅度。以圖5為例，a為不考慮攻擊證據(jù)時節(jié)點a1條件概率，b為考慮攻擊證據(jù)時節(jié)點a1條件概率，其中p(v1)、p(v2)、p(o1,o2|a1)分別為0.6，0.7，0.5。從而a中p(a1)=p(a1|v1,v2)=0.42,b中p(a1)=p(a1|v1,v2,o1,o2)=0.21。

圖5　貝葉斯攻擊圖條件概率計算示例

上述計算結果表明，攻擊證據(jù)的存在改變了原子攻擊節(jié)點的信度。這種改變影響了脆弱點威脅度的計算。之所以出現(xiàn)這種情況，其原因在于貝葉斯網絡中攻擊證據(jù)和原子攻擊具有一定的關聯(lián)性，對一些變量的了解會對另一些變量的信度產生影響。為此，我們給出各節(jié)點概率分布的數(shù)學模型。

定義8對于?t∈T(BAG)來說，節(jié)點變量t的節(jié)點概率p(t)為：

(1) 如果t節(jié)點為根節(jié)點(t為初始狀態(tài)節(jié)點)，則p(t)=1.0。

(2) 如果t節(jié)點為非根節(jié)點，其有k個相互獨立的父節(jié)點，用節(jié)點數(shù)組d[i]表示(1≤i≤k),則：

① 如果t∈A且其產生的攻擊證據(jù)為ol,則：

(9)

② 如果t∈ V0∪Vd，則：

(10)

攻擊者對目標節(jié)點的攻擊，并不會同時沿所有路徑實施，被管理員發(fā)現(xiàn)的風險和網絡犯罪成本等因素決定了攻擊者最終會通過選擇擁有最大成功率的路徑到達目標節(jié)點。根據(jù)定義5和定義7，我們給出下面的脆弱點威脅度模型。

5實驗設計與分析

5.1實驗網絡配置

為驗證本文所提方法的有效性，設計了模擬網絡圖6。實驗網絡以信任域邊界處防火墻Firewall1為界，分為內部網絡和可訪問互聯(lián)網的外部網絡。其中內部網絡由M1、M2、M3 3個安全區(qū)域構成,各區(qū)域通過防火墻與其它區(qū)域相隔離外部網絡由互聯(lián)網和位于其邊界處的攻擊主機構成。攻擊主機Attacker通過Internet訪問內部網絡。

圖6　實驗網絡拓撲圖

內部網絡中，M1區(qū)域設置有Mail服務器、Web服務器和DNS服務器，分別提供SMTP、HTTP和DNS服務；M2區(qū)域設置有負責提供SQL服務的SQL服務器和用于數(shù)據(jù)備份的DATA數(shù)據(jù)庫，同時該區(qū)域還設置有一臺目標主機Host0，用于存儲有重要數(shù)據(jù)，并開放FTP和SSH服務；M3區(qū)域中，設置有一臺Administrative服務器，負責向用戶提供一般管理服務，兩臺普通用戶主機Host1、Host2。

主機Attacker首先通過Host1 和Host2的HTTP和DNS服務訪問內部網絡，并獲得權限；然后通過Host1 和Host2獲得M1區(qū)域的Mail服務器、Web服務器等訪問權限；最后通過獲得的M1以及M3區(qū)域的權限去獲得SQL服務器的訪問權限；并最終通過SQL獲得DATA數(shù)據(jù)庫的訪問權限，竊取存儲于Host0的重要資料。因此，各主機訪問策略設置如下：Firewall1只允許外部網絡主機Attacker訪問Host1 和Host2的HTTP和DNS服務；普通用戶主機Host1 和Host2只允許訪問M1區(qū)域相關服務; M1區(qū)域服務器只允許訪問M2區(qū)域的SQL服務；M2區(qū)域的服務器和主機可以訪問任意主機。

5.2實驗結果與分析

試驗網絡中各主機漏洞及漏洞信息如表3所示，依據(jù)算法2生成的貝葉斯攻擊如圖7所示。

表3　實驗網絡各主機漏洞信息

圖7　貝葉斯攻擊圖

部署在Switch鏡像端口的入侵檢測系統(tǒng)，可以檢測網絡中的攻擊行為，分析攻擊行為給目標網絡系統(tǒng)帶來的安全威脅，即攻擊者可能獲得的影響網絡節(jié)點安全屬性的目的主機權限。隨著網絡節(jié)點遭受的攻擊不斷增多，攻擊者權限不斷提升。為了分析不同脆弱點的嚴重程度，本文在實驗過程中引入了表4所示參數(shù)，保證了在每次測試過程中，對實驗測試參數(shù)均不相同。

表4　實驗測試參數(shù)

? 原子攻擊次數(shù)，指每次實驗過程中由入侵檢測系統(tǒng)檢測到的攻擊行為次數(shù)。

? 攻擊比率qR指攻擊者為獲得目的主機Root權限而實施的攻擊行為與原子攻擊次數(shù)的比，即qR=n(Root)/[n(Root)+ n(User)+ n(None)]，從而其威脅度區(qū)間為[qU+qN, qU+qN+qR],即目的主機脆弱點威脅度pmax∈[qU+qN, qU+qN+qR]時，才能威脅目的主機的Root權限。同樣地，地可以定義qU、qN及相應的威脅度區(qū)間。

圖8顯示了目標系統(tǒng)中各脆弱點嚴重程度的評估結果。圖中，攻擊比率qR、qU、qN分別由A、B、C三線表示，它們表示各級別權限的威脅度界限。如qR和qU表示Root權限的界限，威脅度介于它們之間的脆弱點將會對目的主機的Root權限產生威脅；威脅度由D曲線表示。

圖8　系統(tǒng)各脆弱點的嚴重程度

圖8中，D曲線表示的脆弱點威脅度曲線上，威脅度位于區(qū)間[ qU, qR]的脆弱點為v1、v2、v6。同樣地，威脅度位于區(qū)間[ qN, qU]和[ 0, qN]的脆弱點分別為v3、v5和v4。通過分析，我們得到如下評估結果:(1) 脆弱點v1、v2、v6的存在將會對目的主機的Root權限產生威脅，脆弱點v3、v5的存在將會對目的主機的User權限產生威脅;(2) 縱向對比，即攻擊者利用脆弱點獲得的權限級別不同時，各脆弱點威脅的嚴重程度對比：v1、v2、v6的安全威脅較v3、v5嚴重，v3、v5的安全威脅較v4嚴重;(3) 橫向對比,即攻擊者利用脆弱點獲得的權限級別相同時，各脆弱點威脅的嚴重程度對比:威脅Root權限的脆弱點的嚴重程度由大到小依次為:v1、v6、v2,威脅User權限的脆弱點的嚴重程度由大到小依次為: v3、v5。由此，我們得到目標系統(tǒng)各脆弱點的處置順序優(yōu)先級依次為：v1、v2、v6、v3、v5、v4。

圖9顯示了系統(tǒng)遭受到的原子攻擊次數(shù)不同時，網絡系統(tǒng)整體安全態(tài)勢的評估結果。圖中曲線B表示Host0作為目的主機時，網絡節(jié)點v6的威脅度隨原子攻擊次數(shù)變化而出現(xiàn)的變化；曲線A表示Host0作為非目的主機時，網絡節(jié)點v6的威脅度隨原子攻擊次數(shù)變化而出現(xiàn)的變化。

圖9　網絡整體安全態(tài)勢評估

圖9中的A曲線顯示，隨著原子攻擊的增多，脆弱點v6的威脅度首先呈增大趨勢，最終趨于穩(wěn)定。這表明，對于非目的主機，攻擊者在達到目的后，并未試圖去獲得更高的攻擊權限。因此，此種情況下，網絡系統(tǒng)的整體安全威脅將逐漸增加，并最終趨于穩(wěn)定。B曲線顯示，隨著原子攻擊的增強，脆弱點v6的威脅度持續(xù)增大，并達到警戒閾值。這表明，目的主機被攻擊者獲取最高權限的威脅始終存在。因此，我們可以分析脆弱點威脅度，并設立警戒閾值，實現(xiàn)對系統(tǒng)的預警，隨時提醒管理人員做出明確的決策。

對比文獻[9]，本文所提方法不僅實現(xiàn)了對脆弱點嚴重程度的評估，而且將處置重點集中于那些能夠被用來獲得更高級別權限的脆弱點。因而，在重點分析和優(yōu)先處置脆弱點威脅方面，更有針對性。同時，通過展示脆弱點隨原子攻擊不同而對網絡整體安全產生的威脅的變化，實現(xiàn)了對網絡整體安全態(tài)勢的有效評估。從而相較于文獻[9,16,17]，有效地實現(xiàn)了對評估系統(tǒng)整體安全性和脆弱點的嚴重程度的兼顧評估。

6結語

為解決系統(tǒng)整體安全和目標網絡中脆弱點嚴重程度的兼顧評估問題，本文提出了一種層次化脆弱點威脅度的分析方法。圍繞該方法，本文建立了貝葉斯攻擊圖模型，定義了脆弱點威脅度及其數(shù)學模型，同時提出了CRDA因果關系檢測算法和BAGA貝葉斯攻擊圖生成算法。通過從基本操作角度分析原子攻擊和攻擊證據(jù)的關聯(lián)性，增強了對二者因果關系的理解，并有助于有效處理評估過程中不確定性信息。通過改進文獻[9] 的建模方法而得到的BAGA算法，克服了攻擊圖生成算法存在的循環(huán)路徑問題，能用于貝葉斯網絡建模以及脆弱點及時有效地識別。通過計算威脅度，本文將脆弱點威脅劃分為不同層次，實現(xiàn)了其嚴重程度評估。通過分析實驗結果，本文提出的方法有效地解決了系統(tǒng)整體安全性和脆弱點嚴重程度的兼顧評估問題。

參考文獻

[1] 陳鋒,張怡,蘇金樹,等.攻擊圖的兩種形式化分析[J].軟件學報,2010,21(4):838-848.

[2] 葉云,徐錫山,賈焰,等.基于攻擊圖的網絡安全概率計算方法[J].計算機學報,2010,33(10):1987-1996.

[3] Frigault M,Wang L,Singhal A,et al.Measuring network security using dynamic bayesian network[C]//Proceedings of the 4th ACM workshop on Quality of protection.ACM,2008:23-30.

[4] Frigault M,Wang L.Measuring network security using Bayesian network-based attack graphs[C]//Proceedings of the 3rd IEEE International workshop on Security,Trust,and Privacy for Software Applications,2008:698-703.

[5] Saha D.Extending logical attack graphs for efficient vulnerability analysis[C]//Proceedings of the 15th ACM conference on Computer and communications security.ACM,2008:63-74.

[6] Ahmed M S,AlShaer E,Khan L.A novel quantitative approach for measuring network security[C]//Proceedings of the 27th Conference on Computer Communications.INFOCOM,2008:13-18.

[7] Williams L,Lippmann R,Ingols K.Garnet: A graphical attack graph and reachability network evaluation tool[C]//Proceedings of the 5th International Workshop on Visualization for Cyber Security.VizSEC,2008:44-59.

[8] Homer J,Ou X,Schmidt D.A sound and practical approach to quantifying security risk in enterprise networks[R].Kansas State University Technical Report,2009.

[9] 吳迪,連一峰,陳愷,等.一種基于攻擊圖的安全威脅識別與分析方法[J].計算機學報,2012,35(9):1938-1950.

[10] Changhe Yuan,Malone B.Learning optimal bayesian networks:a shortest path perspective[J].Journal of Artificial Intelligence Research,2013,48(1):23-65.

[11] Silander T,Roos T,Myllym?ki P.Learning locally minimax optimal Bayesian networks[J].International Journal of Approximate Reasoning,2010,51 (5):544-557.

[12] 陳鋒,毛捍東,張維明,等.攻擊圖技術研究進展[J].計算機科學,2011,38(11):12-18.

[13] Mell P,Scarfone K,Romanosky S.A complete guide to the common vulnerability scoring system version 2.0[C]//Proceedings of the Forum of Incident Response and Security Teams.FIRST,2007:1-23.

[14] 韋勇,連一峰.基于日志審計與性能修正算法的網絡安全態(tài)勢評估模型[J].計算機學報,2009,32(4):763-772.

[15] 葉云,徐錫山,齊治昌.大規(guī)模網絡中攻擊圖的節(jié)點概率計算方法[J].計算機應用與軟件,2011,28(11):136-139,192.

[16] Poolsappasit N,Dewri R,Ray I.Dynamic security risk management using bayesian attack graphs[J].Dependable and Secure Computing,IEEE Transactions on,2012,9(1):61-74.

[17] Ou X,Singhal A.Security Risk Analysis of Enterprise Networks Using Attack Graphs[C]//Proceedings of the /Quantitative Security Risk Assessment of Enterprise Networks.Springer New York,2011:13-23.

收稿日期：2015-01-24。國家自然科學基金項目(61300216)；教育部博士點基金項目(20124116120004)；河南省教育廳科學技術研究重點項目(13A510325)。王輝，副教授，主研領域：網絡信息安全。王云峰，碩士生。閆璽璽，講師。

中圖分類號TP393.08

文獻標識碼A

DOI:10.3969/j.issn.1000-386x.2016.07.065

HTV ANALYSIS METHOD FOR HIERARCHICAL THREATS DEGREE USING BAYESIAN ATTACK GRAPH

Wang HuiWang YunfengYan Xixi

(SchoolofComputerScienceandTechnology,HenanPolytechnicUniversity,Jiaozuo454000,Henan,China)

AbstractExisting vulnerability analysis approach is hard to assess both the overall security of target systems and the severity of their vulnerabilities, meanwhile the assessment process has to deal with a great number of undetermined information. Therefore, we proposed a HTV method for the hierarchical threats degree. First, by analysing the correlation between atomic attack and attack evidence, we presented a causation detection algorithm named CRDA to determine the causation between them. Then, based on the system architecture of attack model, we suggested the definition of Bayesian attack graph (BAG) and proposed its corresponding generation algorithm BAGA to timely and effectively identify the vulnerabilities. Finally, we presented the definition of vulnerability threats degree and its calculation model, and divided threats degree into different levels according to the benchmark of the privilege of vulnerabilities the attackers obtained so as to effectively assess their severity and the overall security of the target systems. Experimental results showed that the proposed method is provably feasible and effective in evaluating both the overall security of the target systems and the severity of vulnerabilities.

KeywordsBayesian attack graphAttack modelCausationThreat degree of vulnerability