黃永洪，吳一凡，楊豪璞，李 翠

(1.重慶郵電大學(xué) 網(wǎng)絡(luò)空間安全與信息法學(xué)院，重慶 400065； 2.重慶郵電大學(xué) 計算機(jī)科學(xué)與技術(shù)學(xué)院，重慶 400065；3.中國人民解放軍信息工程大學(xué) 密碼工程學(xué)院，鄭州 450002)

基于攻擊圖的APT脆弱節(jié)點評估方法

黃永洪1，吳一凡2，楊豪璞3，李 翠1

(1.重慶郵電大學(xué) 網(wǎng)絡(luò)空間安全與信息法學(xué)院，重慶 400065； 2.重慶郵電大學(xué) 計算機(jī)科學(xué)與技術(shù)學(xué)院，重慶 400065；3.中國人民解放軍信息工程大學(xué) 密碼工程學(xué)院，鄭州 450002)

高級可持續(xù)性威脅(advanced persistent threat，APT)具有行為隱蔽性強(qiáng)、攻擊周期持久的特點，增加了攻擊檢測的難度。據(jù)此，引入攻擊圖理論評估網(wǎng)絡(luò)系統(tǒng)在APT攻擊下的脆弱節(jié)點，提出了一種基于攻擊圖的APT脆弱節(jié)點評估方法，有效地提高了發(fā)現(xiàn)攻擊的概率。對APT攻擊行為的異常特征進(jìn)行提取和定義，對目標(biāo)網(wǎng)絡(luò)系統(tǒng)建立風(fēng)險屬性攻擊圖(risk attribute attack graph，RAAG)模型；基于APT攻擊行為特征的脆弱性對系統(tǒng)節(jié)點的行為脆弱性進(jìn)行評估，并以通用漏洞評分系統(tǒng)(common vulnerability scoring system，CVSS)標(biāo)準(zhǔn)做為參照評估系統(tǒng)節(jié)點的通聯(lián)脆弱性；基于上述2個方面的評估，計算系統(tǒng)中各節(jié)點的整體脆弱性，并發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)系統(tǒng)在面向APT攻擊時的脆弱節(jié)點。實驗結(jié)果表明，所提方法能夠?qū)PT攻擊行為特征進(jìn)行合理量化，對系統(tǒng)節(jié)點的脆弱性進(jìn)行有效評估，在APT攻擊檢測率上有較好表現(xiàn)。

高級可持續(xù)性威脅(APT)攻擊；攻擊圖；攻擊特征；脆弱性評估

0 引 言

自2007年以來，一種特殊的網(wǎng)絡(luò)攻擊—高級持續(xù)性威脅(advanced persistent threat，APT攻擊)頻繁出現(xiàn)在各種網(wǎng)絡(luò)攻擊事件中，受到世界各國政府、組織及專家學(xué)者的高度重視。

APT攻擊具有個性化設(shè)計的特點，綜合利用目標(biāo)系統(tǒng)的自身缺陷以及系統(tǒng)用戶的人為不確定因素，對攻擊目標(biāo)實施精確化打擊。與普通網(wǎng)絡(luò)攻擊不同的是，APT攻擊者在進(jìn)入目標(biāo)系統(tǒng)后選擇長期潛伏，逐步獲得系統(tǒng)的更高權(quán)限和更多資源，以此保證最大程度達(dá)成其攻擊目的[1]。以2010年爆發(fā)的震網(wǎng)病毒(stuxnet)為例，它利用微軟操作系統(tǒng)內(nèi)的漏洞，對伊朗布什爾核電站中的離心機(jī)進(jìn)行干擾，成功推遲了伊朗的核計劃。據(jù)悉，震網(wǎng)病毒于2006年前后已成功潛伏入該核電站的專用局域網(wǎng)，直到2010年造成嚴(yán)重破壞后才被發(fā)現(xiàn)。APT攻擊通過長期的潛伏和滲透，對攻擊目標(biāo)實施精確打擊，對防御方的政治、經(jīng)濟(jì)、安全等造成嚴(yán)重威脅。因此，對APT攻擊的檢測與預(yù)防工作刻不容緩。

APT攻擊過程一般是循序漸進(jìn)的，大致可分為探測期、入侵期、滲透期和退出期[2]。在入侵期，攻擊方針對攻擊目標(biāo)編寫惡意程序?qū)嵤┤肭?；此?個時期需要與C&C服務(wù)器保持通信，傳送竊取的數(shù)據(jù)并接收攻擊方的指令。據(jù)此，現(xiàn)有的研究主要針對2個方面：①系統(tǒng)內(nèi)惡意程序的檢測與追蹤；②C&C服務(wù)器的挖掘。Masahiko Kato等[3]將APT攻擊的滲透過程簡化為惡意代碼在系統(tǒng)內(nèi)的傳播過程，通過追蹤受惡意代碼感染的主機(jī)從而檢測APT的攻擊路徑；Shun-Te Liu等[4]研究C&C服務(wù)器的發(fā)現(xiàn)，提取系統(tǒng)內(nèi)通信數(shù)據(jù)中的HTTP請求并與已知的惡意請求包進(jìn)行比對，以此確定系統(tǒng)內(nèi)最有可能受到感染的主機(jī)；進(jìn)一步根據(jù)HTTP的日志記錄，對所有的網(wǎng)站進(jìn)行量化定值，評估判定最有可能為C&C服務(wù)器的網(wǎng)站。此外，Yong-Ho Kim等[5]基于入侵檢測事件建立一個理論的APT攻擊預(yù)測模型；Pieter Burghouwt等[6]通過尋找數(shù)據(jù)流的觸發(fā)原因從而發(fā)現(xiàn)系統(tǒng)內(nèi)的隱蔽通信信道；ZHAO Wentao等[7]則以RSA的APT攻擊為例，構(gòu)建了APT攻擊的Petri網(wǎng)。

上述研究針對APT攻擊檢測取得一定的成效，但仍存在較大的局限性：①研究基于單個已發(fā)生的攻擊案例，無法應(yīng)對APT攻擊“個性化設(shè)計”的特點，也無法為進(jìn)一步的APT預(yù)測工作提供指導(dǎo)；②研究的前提條件是至少已知一臺受感染的主機(jī)或服務(wù)器，這一要求在實際情況中難以滿足；③采取對數(shù)據(jù)流進(jìn)行解析的方法，效率低下，且算法復(fù)雜度高，無法適應(yīng)如今復(fù)雜大系統(tǒng)的現(xiàn)實環(huán)境。

歸根結(jié)底，APT屬于網(wǎng)絡(luò)攻擊的范疇，其實施需要基于目標(biāo)系統(tǒng)存在的脆弱性。網(wǎng)絡(luò)攻擊圖[8]是用于分析網(wǎng)絡(luò)系統(tǒng)中存在的脆弱性及其關(guān)聯(lián)性的有效辦法，因此，利用攻擊圖方法對APT攻擊進(jìn)行分析，具有一定的研究價值。在現(xiàn)有的研究中，攻擊圖主要有以下2種表示：①用頂點和有向邊表示，該類模型可以清晰地展現(xiàn)出系統(tǒng)中所有可能的脆弱節(jié)點及攻擊路徑，缺點是不適用于大型網(wǎng)絡(luò)；②用矩陣表示，該類模型克服了第一種方法的局限性，借助矩陣結(jié)構(gòu)描述網(wǎng)絡(luò)系統(tǒng)中的連接關(guān)系，方便對攻擊行為的后續(xù)分析。

本文提出一種基于攻擊圖的APT脆弱節(jié)點檢測方法。該方法首先對APT攻擊中呈現(xiàn)出的“細(xì)微異常行為”進(jìn)行提取和定義，并對目標(biāo)系統(tǒng)建立風(fēng)險屬性攻擊圖模型(risk attribute attack graph, RAAG)，設(shè)計算法量化分析并檢測系統(tǒng)中存在的脆弱節(jié)點。最后，設(shè)計實驗對該方法的可靠性進(jìn)行驗證。

1 APT攻擊元特征的提取

APT攻擊侵入目標(biāo)系統(tǒng)后，為實現(xiàn)其長期潛伏的目的，一般采取2種方法： ①獲取系統(tǒng)的高級權(quán)限；②用正常行為掩飾入侵行為?？偟膩碚f是希望“以時間換取空間”，即用較長的攻擊時間為代價，以減少攻擊行為被常規(guī)檢測軟件發(fā)現(xiàn)的概率，這也是APT攻擊“高級性”的體現(xiàn)。

定義1 APT元特征。APT攻擊的元特征是指在實施攻擊的過程中，在某一個時間節(jié)點處系統(tǒng)所表現(xiàn)出的行為特征。

當(dāng)前常規(guī)防護(hù)軟件的檢測原理有2種，一是基于時間節(jié)點進(jìn)行檢測，另一種是基于行為特征進(jìn)行檢測。而APT攻擊的元特征在單個節(jié)點處出現(xiàn)不會被視為異常行為，同時這些元特征并沒有明顯的“異常性”，因此可以逃避防護(hù)軟件的檢測。如果能夠根據(jù)APT攻擊的實施過程特性，將一段較長時間內(nèi)的所有元特征進(jìn)行收集和分析，那么可以提高APT攻擊的檢測率。

APT攻擊的過程大致可分為4個時期，每個時期內(nèi)的目的不同，所采取的措施也不同。具體如表1所示。

表1 APT攻擊過程及元特征分析Tab.1 APT attack process and analysis of meta features

2 基于系統(tǒng)RAAG模型的脆弱節(jié)點檢測

在網(wǎng)絡(luò)系統(tǒng)中，對單個節(jié)點的脆弱性進(jìn)行評估需要同時考慮節(jié)點自身所隱含的脆弱性以及與其他節(jié)點的通聯(lián)關(guān)系所傳遞的脆弱性2個方面。

定義2 節(jié)點脆弱性。在APT攻擊下，系統(tǒng)中節(jié)點的脆弱性由節(jié)點自身的行為脆弱性VI和節(jié)點在系統(tǒng)中的通聯(lián)脆弱性VO所決定。其中，行為脆弱性VI表示該節(jié)點處所出現(xiàn)的“細(xì)微異常行為”所具有的脆弱性，這些“細(xì)微異常行為”由上述攻擊元特征所決定；通聯(lián)脆弱性VO表示在依據(jù)系統(tǒng)通聯(lián)關(guān)系情況下，由其他節(jié)點給該節(jié)點帶來的脆弱性，與節(jié)點權(quán)限和其他節(jié)點的自身脆弱性相關(guān)。

2.1APT攻擊下節(jié)點的行為脆弱性

為實現(xiàn) “長期潛伏”和“持續(xù)滲透”的目的，APT必須以細(xì)微的“類正常”行為實施攻擊。常規(guī)的系統(tǒng)防護(hù)軟件基于時間節(jié)點或基于異常行為對系統(tǒng)進(jìn)行檢測，因此APT的這些行為通常不會被發(fā)現(xiàn)。但是如果在較長時間內(nèi)對系統(tǒng)行為進(jìn)行統(tǒng)計分析，則可通過APT攻擊的元特征出現(xiàn)的頻次對該節(jié)點的行為脆弱性進(jìn)行量化。

APT在不同的階段表現(xiàn)出不同的元特征，隨著攻擊階段的推進(jìn)，其元特征所代表的節(jié)點行為脆弱性也會逐漸增大。APT攻擊各階段元特征的脆弱性可用向量VM表示

其中vS

根據(jù)表1所列舉的元特征，任意節(jié)點i在各階段元特征出現(xiàn)的頻率用向量表示為

則系統(tǒng)節(jié)點的行為脆弱性向量可通過以下公式得到

(1)

(1)式中：x代表系統(tǒng)中節(jié)點的個數(shù)；NM(i)代表第i個節(jié)點處元特征出現(xiàn)頻次的向量。

算法1 系統(tǒng)節(jié)點的行為脆弱性向量VI。

輸入：APT攻擊元特征脆弱性向量VM，系統(tǒng)元特征出現(xiàn)頻次矩陣NM。

輸出：系統(tǒng)節(jié)點的行為脆弱性向量VI。

1)初始化VI；

2)獲取系統(tǒng)APT攻擊元特征脆弱性向量VM；

3)獲取系統(tǒng)元特征出現(xiàn)頻次矩陣NM；

5)返回VI。

2.2 基于RAAG模型的通聯(lián)脆弱性

定義3 系統(tǒng)風(fēng)險屬性攻擊圖。系統(tǒng)風(fēng)險屬性攻擊圖RAAG以系統(tǒng)中單個設(shè)備為節(jié)點，以各節(jié)點之間的脆弱性傳播路徑為有向邊，將系統(tǒng)抽象為一個有向圖RAAG={N,L}，N={n(1),n(2),…,n(x)}是節(jié)點的集合，代表了系統(tǒng)中所有可能受到攻擊的設(shè)備，L={lij}0≤i,j≤x是邊的集合，代表了系統(tǒng)各節(jié)點之間脆弱性的相互影響。

定義4 通聯(lián)脆弱性矩陣。設(shè)RAAG是由x個節(jié)點組成的風(fēng)險屬性攻擊圖，VO是RAAG的通聯(lián)脆弱性矩陣，則風(fēng)險屬性攻擊圖RAAG與通聯(lián)脆弱性矩陣VO之間存在以下關(guān)系。

1)風(fēng)險屬性攻擊圖RAAG與通聯(lián)脆弱性矩陣VO一一對應(yīng)；

2)在通聯(lián)脆弱性矩陣VO中，若存在除對角線上元素之外全為0的行或列，其所對應(yīng)的節(jié)點是系統(tǒng)中的孤立節(jié)點，對攻擊的傳播不產(chǎn)生影響；

3)在風(fēng)險屬性攻擊圖中，從節(jié)點n(i)出發(fā)，經(jīng)過一條邊可到達(dá)節(jié)點n(j)，則稱n(i)到n(j)存在步長為1的通路，則此時矩陣VO中對應(yīng)的第i行第j列元素為通聯(lián)脆弱值aij，否則為0。

通聯(lián)脆弱性矩陣VO表示為

(2)

(2)式中：對角線上的元素aii全為1；x為系統(tǒng)節(jié)點個數(shù)。

本文借鑒美國國家基礎(chǔ)設(shè)施顧問委員會提出的用于評估漏洞風(fēng)險的通用漏洞評分系統(tǒng)(common vulnerability scoring system，CVSS)框架[9]，對系統(tǒng)通聯(lián)脆弱性進(jìn)行量化分析。在CVSS下，節(jié)點之間的連通度由信息可獲取性(access vector，AV)、主機(jī)可連接性(authentication，AU)和威脅可利用性(access complexity，AC)來衡量，因此，本文同樣采用這3個指標(biāo)來計算系統(tǒng)各節(jié)點之間的通聯(lián)脆弱性。為簡化分析，我們假設(shè)系統(tǒng)中攻擊的威脅可利用性AC為定值1，則節(jié)點i到節(jié)點j的通聯(lián)脆弱性為

(3)

(3)式中：aij∈[0,1]；AUij表示節(jié)點i到節(jié)點j(i≠j)的通聯(lián)情況，取值為

AVij表示節(jié)點i到節(jié)點j的信息獲取能力，與節(jié)點i和節(jié)點j的權(quán)限有關(guān)，參考CVSS推薦分值，其取值情況為

顯然，若節(jié)點i與節(jié)點j之間無通聯(lián)關(guān)系，則aij=0，即節(jié)點的脆弱性之間相互無影響；若節(jié)點i與節(jié)點j(i≠j)之間有通聯(lián)關(guān)系，則aij的大小取決于節(jié)點i與節(jié)點j的權(quán)限大小，若節(jié)點i的權(quán)限大于節(jié)點j的權(quán)限，則aij>aji，若兩節(jié)點的權(quán)限相同，則aij=aji=1/2。

算法2 系統(tǒng)節(jié)點的通聯(lián)脆弱性矩陣VO。

輸入：系統(tǒng)風(fēng)險屬性攻擊圖RAAG={N,L}，系統(tǒng)節(jié)點優(yōu)先級向量S。

輸出：系統(tǒng)節(jié)點通聯(lián)脆弱性矩陣VO。

1)初始化通聯(lián)脆弱性矩陣VO=O，節(jié)點通聯(lián)矩陣AU=O，信息獲取能力矩陣AV=O；

2)構(gòu)建系統(tǒng)風(fēng)險屬性攻擊圖RAAG；

3)獲取系統(tǒng)節(jié)點優(yōu)先級向量S；

4)令j=1；

5)令i=1；

6)判斷l(xiāng)[i][j]∈L？若是，令A(yù)U[i][j]=1，轉(zhuǎn)至步驟7)；否則，轉(zhuǎn)至步驟9)；

7)判斷S[i]>S[j]？若是，令A(yù)V[i][j]=0.395；否則，轉(zhuǎn)至步驟8)；

8)判斷S[i]

10)令i=i+1。判斷是否i≤x，若是，轉(zhuǎn)至步驟6)；否則，轉(zhuǎn)至步驟11)；

11)令j=j+1,判斷是否j≤x，若是，轉(zhuǎn)至步驟5)；否則，轉(zhuǎn)至步驟12)；

12)返回VO。

2.3 系統(tǒng)脆弱節(jié)點的檢測

根據(jù)上述分析，系統(tǒng)節(jié)點的脆弱性由節(jié)點自身行為的脆弱性以及系統(tǒng)通聯(lián)關(guān)系所決定，對系統(tǒng)全部節(jié)點的脆弱性進(jìn)行量化分析，可直觀確定在APT攻擊下系統(tǒng)中的脆弱節(jié)點。系統(tǒng)節(jié)點脆弱性向量為

該向量的各項數(shù)值定量描述了系統(tǒng)中各節(jié)點的脆弱性，即各節(jié)點受到APT攻擊的可能性，因此，該向量中最大值所對應(yīng)的節(jié)點為系統(tǒng)脆弱節(jié)點。

算法3 判斷系統(tǒng)脆弱節(jié)點k。

輸入：行為脆弱性向量VI,通聯(lián)脆弱性矩陣VO。

輸出：系統(tǒng)脆弱節(jié)點k。

1)初始化k=1，V=O。

2)構(gòu)建系統(tǒng)通聯(lián)脆弱性矩陣VO；

3)獲得行為脆弱性向量VI；

4)令i=0；

5)計算i=i+1，判斷i≤x？若是，令V[i]=VI×VO[i]；否則，轉(zhuǎn)至步驟6)

6)令V=[V(1)，V(2)，…，V(x)]；

7)令V(k)=maxV(j)；

8)返回k。

3 實驗驗證

為綜合驗證本文所提出檢測方法的有效性，設(shè)計如圖1所示的實驗網(wǎng)絡(luò)作為實例，檢測網(wǎng)絡(luò)在APT攻擊下存在的脆弱節(jié)點。

3.1 實驗環(huán)境

實驗拓?fù)淙鐖D2所示。實驗網(wǎng)絡(luò)系統(tǒng)中共有7臺設(shè)備，分為隔離區(qū)(demilitarized zone，DMZ)與內(nèi)部網(wǎng)絡(luò)2部分。DMZ區(qū)域包括2臺服務(wù)器：Web服務(wù)器和Email服務(wù)器；內(nèi)部網(wǎng)絡(luò)中有4臺主機(jī)和1臺File服務(wù)器，其中，F(xiàn)ile服務(wù)器用于存儲重要的內(nèi)部數(shù)據(jù)。防火墻使外部主機(jī)只能訪問DMZ區(qū)域的主機(jī)；DMZ區(qū)域內(nèi)的Web服務(wù)器和Email服務(wù)器可以向內(nèi)部網(wǎng)絡(luò)中的全部設(shè)備提供服務(wù)，但不能訪問File服務(wù)器；內(nèi)部網(wǎng)絡(luò)中，只有主機(jī)4可以訪問整個系統(tǒng)中的所有設(shè)備，包括DMZ區(qū)域的服務(wù)器和內(nèi)部網(wǎng)絡(luò)中的任意主機(jī)，而剩余的3臺主機(jī)無法訪問主機(jī)4。防火墻的具體規(guī)則如表2所示。

圖1 實驗網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱DFig.1 Experimental network topology

源主機(jī)目的主機(jī)協(xié)議策略AllEmailServerSMTPAllowAllWebServerHTTPAllow主機(jī)4FileServerFTPAllow

數(shù)據(jù)來源：收集2015年3月12日到2015年3月14日的系統(tǒng)狀態(tài)，收集過程不連續(xù)，收集時間共計約12 h。

網(wǎng)絡(luò)系統(tǒng)中的設(shè)備統(tǒng)一為Windows7系統(tǒng)，IDS為Snort2.9。

3.2 數(shù)據(jù)分析

3.2.1 建立RAAG模型

根據(jù)實驗網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，為該網(wǎng)絡(luò)建立風(fēng)險屬性攻擊圖模型，如圖2所示。

圖2 實驗網(wǎng)絡(luò)的風(fēng)險屬性攻擊圖Fig.2 Risk attribute attack of the experimental network

3.2.2 數(shù)據(jù)收集

實驗中所用數(shù)據(jù)的統(tǒng)計信息詳見表3。

表3 各節(jié)點狀態(tài)信息Tab.3 Each node status information

3.2.3 數(shù)據(jù)分析

1)計算節(jié)點行為脆弱性向量。通過咨詢相關(guān)專家和研究相關(guān)文獻(xiàn)資料，對APT攻擊各階段元特征的脆弱性進(jìn)行評價，可以得到脆弱性向量為VM=[0.001,0.002,0.004,0.006] 將表2所統(tǒng)計的數(shù)據(jù)通過算法1，即可獲得系統(tǒng)各節(jié)點的行為脆弱性

[0.001 9,0.002 0,0.002 5,0.002 9,

0.002 2,0.002 3,0.002 2] 2)計算節(jié)點通聯(lián)脆弱性矩陣。從表3中可以看出，實驗網(wǎng)絡(luò)設(shè)備有3個不同權(quán)限級別，其中Web Server和Email Server級別最低，F(xiàn)ile Server和主機(jī)4則具有最高權(quán)限。通過計算得到系統(tǒng)各節(jié)點之間的通聯(lián)脆弱性矩陣為

3)計算節(jié)點脆弱性向量。通過算法3，可以計算得到系統(tǒng)各節(jié)點的脆弱性向量

V=[0.008 7,0.010 1,0.003 6,0.008 6,

0.008 3,0.008 3,0.003 4]

容易看出，該系統(tǒng)各節(jié)點的脆弱程度為：

EmailServer>WebServer>主機(jī)1>主機(jī)2，3>FileServer>主機(jī)4。

4)結(jié)論分析。由上述計算結(jié)果可以看出，DMZ區(qū)域的Web服務(wù)器和Email服務(wù)器最有可能已受到APT攻擊。而實際上，這2臺設(shè)備是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的接口，攻擊方若想進(jìn)入內(nèi)部網(wǎng)絡(luò)，必然需要經(jīng)過這2個服務(wù)器，其重要性不言而喻。主機(jī)4和File服務(wù)器擁有最高級別的權(quán)限，其訪問控制更加嚴(yán)格，因此脆弱性相對較低。對防御方而言，DMZ區(qū)域的2臺服務(wù)器應(yīng)當(dāng)做為防御攻擊的關(guān)鍵，加大對其保護(hù)措施和監(jiān)控力度，以此確保整個網(wǎng)絡(luò)系統(tǒng)的安全。

4 結(jié)束語

本文主要研究了在APT攻擊下網(wǎng)絡(luò)系統(tǒng)脆弱節(jié)點的發(fā)現(xiàn)與檢測，該方法主要有3點優(yōu)勢。

1)針對APT攻擊的特點，提出能夠代表攻擊行為的元特征。從攻擊者的角度對攻擊行為進(jìn)行分析，得到APT攻擊行為的元特征，為發(fā)現(xiàn)APT攻擊的痕跡提供支持。

2)引入攻擊圖的理論進(jìn)行分析，提出系統(tǒng)風(fēng)險屬性攻擊圖模型。針對APT攻擊所特有的“持續(xù)滲透”特性，對系統(tǒng)各節(jié)點之間的脆弱性影響進(jìn)行定量評價，合理利用CVSS的理論，計算各節(jié)點之間的通聯(lián)脆弱性。

3)在上述模型的基礎(chǔ)上，綜合分析系統(tǒng)節(jié)點自身的脆弱性以及系統(tǒng)拓?fù)浣Y(jié)構(gòu)所引起的通聯(lián)脆弱性，合理地評估計算系統(tǒng)各節(jié)點的脆弱性，從而發(fā)現(xiàn)最可能遭受攻擊的節(jié)點。

本文作為APT檢測與防御的基礎(chǔ)，對于系統(tǒng)歷史數(shù)據(jù)的依賴性較大，對實時數(shù)據(jù)處理效率不高，所以在復(fù)雜大系統(tǒng)的實際運用上仍存在一定的問題。下一步的工作將圍繞以下兩方面進(jìn)行：①APT攻擊行為鏈的發(fā)現(xiàn)與關(guān)聯(lián)；②APT攻擊最優(yōu)主動防御策略的研究。

[1] 杜躍進(jìn)，翟立東，李躍，等. 一種應(yīng)對APT攻擊的安全架構(gòu)：異常發(fā)現(xiàn)[J]. 計算機(jī)研究與發(fā)展,2014,51(7):1633-1645.DUYuejin，ZHAILidong，LIYue，etal.SecurityArchitecturetoDealwithAPTAttacks：AbnormalDiscovery[J].JournalofComputerResearchandDevelopment，2014，51(7)：1633-1645.

[2] 陳劍鋒,王強(qiáng),伍淼. 網(wǎng)絡(luò)APT攻擊及防范策略[J]. 信息安全與通信保密,2012,25(07):24-27.CHENJianfeng，WANGQiang，WUMiao.Network-basedAPTAttackandDefenseStrategies[J].InformationSecurityandCommunicationsPrivacy，2012，25(07)：24-27.

[3]KATOMasahiko,MATSUNAMITakumi,KANAOKAAkira,etal.TracingadvancedpersistentthreatsinnetworkedSystems[C]//AutomatedSecurityManagement.Switzerland:Springer,2013: 179-187.

[4]LIUShunte,CHENYiming,HUNGHuiching.N-victims:anapproachtodetermineN-victimsforAPTinvestigations[C]//13thInternationalWorkshop,WISA2012.Berlin:Springer,2012: 226-240.

[5]KIMYongho,PARKWonhyung.AstudyoncyberthreatpredictionbasedonintrusiondetectioneventforAPTattackdetection[C]//MultimedToolsApplication2014.NewYork:Springer. 2014(71): 685-698.

[6]BURGHOUWTPieter,SPRUITMarcel,SIPSHenk.Detectionofchannelsbycasualanalysisoftrafficflows[C]//The5thInternationalSymposiumonCyberspaceSafetyandSecurity.Zhangjiajie:Springer,2013:117-131.

[7]ZHAOWentao,WANGPengfei,ZHANGFan.Extendedpetrinet-basedadvancedpersistentthreatanalysismodel[C]//Proceedingsofthe2013InternationalConferenceonComputerEngineeringandNetwork.Switzerland:Springer,2014, 277:1297-1305.

[8] 王永杰,鮮明,劉進(jìn),等. 基于攻擊圖模型的網(wǎng)絡(luò)安全評估研究[J].通信學(xué)報,2007,28(3):29-34.WANGYongjie，XIANMing，LIUJing.Studyofnetworksecurityevaluationbasedonattackgraphmodel[J].JournalonCommunications, 2007,28(3):29-34.

[9]MELPeter,SCARFONEKaren.Commonvulnerabilityscoringsystemversion2.0[EB/OL]. (2007-6-13)[2017-02-11].https://www.first.org/cvss/cvss-v2-guide.pdf.

(編輯：田海江)

s：The Chongqing Social Science Planning Project(2014SKZ26，2014YBFX103)；The National Science and Technology Support Project(2015BAH29F01)

The stealthy attack behaviors and long-term attack period of advanced persistent threats cause greater difficulty of attack detection. Based on that, the theory of attack graph is introduced into the research of anti-APT attack and the method for assessing vulnerable system nodes on the basis of attack graph is proposed. Firstly, the abnormal characteristics of APT attack is abstracted and defined to establish the Risk Attribute Attack Graph of targeted network system. Secondly, the behavior-vulnerability of system nodes are evaluated based on the characteristics of attack behaviors and the transmission-vulnerability of system nodes are evaluated based on the attack graph model. Finally, the overall-vulnerability is calculated to assess the vulnerable node. The experimental result shows that the proposed method can effectively quantify the characteristics of attack behavior and evaluate the vulnerability of system nodes.

advanced persistent threat(APT)attack; attack graph; attack features; vulnerability assessment

10.3979/j.issn.1673-825X.2017.04.017

2016-07-20

2017-02-28 通訊作者：黃永洪 flood_linux@163.com

重慶市社會科學(xué)規(guī)劃項目(2014SKZ26，2014YBFX103)；國家科技支撐計劃項目(2015BAH29F01)

TP393

A

1673-825X(2017)04-0535-07

Graph-based vulnerability assessment for APT attack

(1. School of Cyber Security and Information Law，Chongqing University of Posts and Telecommunications，Chongqing 400065，P.R. China；2. School of Computer Science and Technology，Chongqing University of Posts and Telecommunications，Chongqing 400065，P.R. China；3. Cryptography Engineering Institute，The PLA Information Engineering University，Zhengzhou 450002，P.R. China)

黃永洪(1974-)，男，重慶人，講師，碩士，主要研究方向為信息安全和電子證據(jù)。E-mail：flood_linux@163.com。 吳一凡(1993-)，女，貴州凱里人，碩士研究生，主要研究方向為機(jī)器學(xué)習(xí)與可視計算。E-mail：629406177@qq.com。 楊豪璞(1993-)，女，湖北武漢人，碩士研究生，主要研究方向為信息安全。E-mail：memo_yang@163.com。 李 翠(1993-)，女，山東菏澤人，碩士研究生，主要研究方向為電子證據(jù)。E-mail：369660533@qq.com。

HUANG Yonghong1, WU Yifan2, YANG Haopu3, LI Cui1