◆張漢卿

（河北外國(guó)語(yǔ)職業(yè)學(xué)院 河北 066311）

評(píng)估單目標(biāo)的攻擊圖自動(dòng)構(gòu)建方法SGA-AGC

◆張漢卿

（河北外國(guó)語(yǔ)職業(yè)學(xué)院 河北 066311）

本文提出了評(píng)估單目標(biāo)的攻擊圖自動(dòng)構(gòu)建方法SGA-AGC（Single Goal Assessment-Attack Graph Construction）。實(shí)驗(yàn)結(jié)果表明：搜索深度最大值對(duì)算法的影響最大，然后依次是目標(biāo)網(wǎng)絡(luò)系統(tǒng)中主機(jī)數(shù)量、每臺(tái)主機(jī)最多擁有的脆弱性數(shù)量和原子攻擊數(shù)量，本文算法的性能優(yōu)于文獻(xiàn)[4]和文獻(xiàn)[5]中的算法。

計(jì)算機(jī)網(wǎng)絡(luò)；單目標(biāo)；攻擊圖

0 引言

通過(guò)分析現(xiàn)有構(gòu)建方法的不足，根據(jù)現(xiàn)實(shí)應(yīng)用的安全需求，本文給出了一種自動(dòng)構(gòu)建攻擊圖的方法：評(píng)估單目標(biāo)的攻擊圖自動(dòng)構(gòu)建方法SGA-AGC。SGA-AGC方法將正向攻擊圖生成算法和反向攻擊圖生成算法結(jié)合起來(lái)，采用多線程的方法，同時(shí)從攻擊者的初始位置和攻擊者的攻擊目標(biāo)出發(fā)進(jìn)行分析，即正向搜索和反向搜索同時(shí)進(jìn)行，大大提高了搜索的速度，從而減小了算法的時(shí)間復(fù)雜度。

1 問(wèn)題的提出

定義1：資產(chǎn)。目標(biāo)網(wǎng)絡(luò)系統(tǒng)中具有價(jià)值的資源，包括數(shù)據(jù)庫(kù)、文檔信息、軟件服務(wù)等，是網(wǎng)絡(luò)安全管理者保護(hù)的對(duì)象。

定義2：關(guān)鍵資產(chǎn)。由于不同的資產(chǎn)對(duì)全局目標(biāo)網(wǎng)絡(luò)系統(tǒng)所起的作用是不同的，因此資產(chǎn)的重要程度是不同的，本文將重要程度高的資產(chǎn)稱(chēng)為關(guān)鍵資產(chǎn)。

在現(xiàn)實(shí)的應(yīng)用中，重要程度低的資產(chǎn)盡管也存在著脆弱性，但其對(duì)全局目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全性的影響微乎其微，相反，若關(guān)鍵資產(chǎn)的脆弱性被攻擊者利用，其對(duì)全局目標(biāo)網(wǎng)絡(luò)系統(tǒng)的影響將是巨大的、致命的[1]。因此，有的網(wǎng)絡(luò)安全管理者將脆弱性評(píng)估的重點(diǎn)放在對(duì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行起著舉足輕重的關(guān)鍵資產(chǎn)上[5]，基于此，本文提出了一種基于正反雙向搜索策略的、評(píng)估單目標(biāo)的攻擊圖自動(dòng)構(gòu)建方法SGA-AGC。

2 SGA-AGC算法及其優(yōu)化策略

定義3：攻擊對(duì)隊(duì)列。只有當(dāng)前提屬性集合中的屬性都滿(mǎn)足時(shí)，原子攻擊才能被攻擊者實(shí)施，從而獲得后果屬性。其中，前提屬性集合中的權(quán)限屬性反映了攻擊者擁有的權(quán)限，包括Root、User和None；后果屬性反映了攻擊者實(shí)施攻擊后，所獲得的新屬性，包括RunCode、DOS等。為了準(zhǔn)確地描述具體的攻擊過(guò)程，本文定義了攻擊對(duì)隊(duì)列，該隊(duì)列中元素的格式為（權(quán)限屬性：后果屬性）。

定義 4：攻擊屬性對(duì)隊(duì)列。為了使用Graphviz工具繪制攻擊圖，本文定義了攻擊屬性對(duì)隊(duì)列，該隊(duì)列反映了原子攻擊的前提屬性集合和后果屬性集合，隊(duì)列中元素的格式為（權(quán)限屬性：后果屬性：攻擊屬性集）[2]。其中權(quán)限屬性與后果屬性同定義3，攻擊屬性集合包含了原子攻擊前提屬性集合中除權(quán)限屬性外的其它屬性，如主機(jī)可達(dá)性關(guān)系和存在的脆弱性等。

定義5：間隔元素。在攻擊對(duì)隊(duì)列中，為了將不同搜索深度的攻擊對(duì)間隔開(kāi)，本文定義了形式為（c：c）的間隔元素，其中c為任意符號(hào)。

定義6：在攻擊對(duì)隊(duì)列中，若元素（1c：2c）滿(mǎn)足2c為最終攻擊目標(biāo)，則稱(chēng)鈣元素為終端元素。

SGA-AGC算法的基本思想：首先將正向攻擊圖生成算法和反向攻擊圖生成算法集合起來(lái)，采用雙線程的方法，同時(shí)從起始攻擊點(diǎn)和攻擊目標(biāo)出發(fā)進(jìn)行分析，即使正向搜索和反向搜索同時(shí)進(jìn)行[3]；然后利用間隔元素和終端元素生成攻擊路徑；最后結(jié)合攻擊路徑，利用繪圖軟件（Graphviz、Visio）生成攻擊圖。SGA-AGC算法流程圖如圖1所示。

圖1 SGA-AGC算法流程圖

SGA-AGC算法的優(yōu)化策略：一方面，攻擊者不會(huì)采用很復(fù)雜的攻擊手段，即攻擊者不會(huì)以太多的主機(jī)為跳板進(jìn)行攻擊；另一方面，在正向搜索過(guò)程中，有的攻擊路徑不會(huì)出現(xiàn)攻擊目標(biāo)，或者在反向搜索過(guò)程中，有的攻擊路徑不會(huì)出現(xiàn)起始攻擊點(diǎn)，對(duì)這樣的攻擊路徑進(jìn)行更深層次的搜索是沒(méi)有意義的。因此，SGA-AGC算法采用限制搜索深度的優(yōu)化策略，在具體的實(shí)現(xiàn)過(guò)程中，用戶(hù)可以設(shè)定搜索深度的最大值。

3 實(shí)驗(yàn)結(jié)果與分析

為了驗(yàn)證SGA-AGC算法的可行性、有效性和可擴(kuò)展性，本文從不同的角度進(jìn)行實(shí)驗(yàn)分析。實(shí)驗(yàn)環(huán)境如下：服務(wù)器PowerEdge R710，操作系統(tǒng)RetHat v5.4，內(nèi)存32G，CPU 2.26GHz。

由SGA-AGC算法性能分析可知，該算法性能與目標(biāo)網(wǎng)絡(luò)系統(tǒng)中主機(jī)數(shù)量H、搜索深度最大值N、每臺(tái)主機(jī)最多擁有的脆弱性數(shù)量Nvul、原子攻擊數(shù)量Nexploit等參數(shù)有關(guān)[4]。為了驗(yàn)證不同網(wǎng)絡(luò)環(huán)境下這些參數(shù)對(duì)算法性能的影響，分別設(shè)計(jì)了如下四組實(shí)驗(yàn)。

第一組實(shí)驗(yàn)驗(yàn)證網(wǎng)絡(luò)系統(tǒng)中主機(jī)數(shù)量對(duì)算法性能的影響。令每臺(tái)主機(jī)最多擁有的脆弱性數(shù)量為1，原子攻擊數(shù)量為1，搜索深度最大值為5，當(dāng)目標(biāo)網(wǎng)絡(luò)系統(tǒng)中主機(jī)數(shù)量不同時(shí)。算法CPU消耗時(shí)間隨著H的增加呈多項(xiàng)式增加趨勢(shì)。

第二組實(shí)驗(yàn)驗(yàn)證搜索深度最大值對(duì)算法性能的影響。令每臺(tái)主機(jī)最多擁有的脆弱性數(shù)量為1，原子攻擊數(shù)量為1，主機(jī)數(shù)量為300，當(dāng)搜索深度最大值不同時(shí)，算法CPU消耗時(shí)間隨著N的增加呈指數(shù)增加趨勢(shì)。

第三組實(shí)驗(yàn)驗(yàn)證每臺(tái)主機(jī)最多擁有的脆弱性數(shù)量對(duì)算法性能的影響。令主機(jī)數(shù)量為300，搜索深度最大值為5，原子攻擊數(shù)量為1，當(dāng)主機(jī)最多擁有的脆弱性數(shù)量不同時(shí)，算法CPU消耗時(shí)間隨著Nvul的增加呈線性增加趨勢(shì)。

第四組實(shí)驗(yàn)驗(yàn)證原子數(shù)量對(duì)算法性能的影響。令主機(jī)數(shù)量為300，搜索深度最大值為5，原子攻擊數(shù)量為1，當(dāng)原子數(shù)量不同時(shí)，算法CPU消耗時(shí)間隨著Nexploit的增加呈線性增加趨勢(shì)。

由上述四組實(shí)驗(yàn)結(jié)果可知，在SGA-AGC算法中，搜索深度最大值N對(duì)算法性能的影響最大，然后依次是目標(biāo)網(wǎng)絡(luò)系統(tǒng)中主機(jī)數(shù)量H、每臺(tái)主機(jī)最多擁有的脆弱性數(shù)量Nvul和原子攻擊數(shù)量Nexploit，該實(shí)驗(yàn)結(jié)果與算法性能分析結(jié)果一致。

目前，與SGA-AGC算法比較相近并且做了類(lèi)似實(shí)驗(yàn)分析的主要有文獻(xiàn)[4]和文獻(xiàn)[5]。其中，文獻(xiàn)[4]所提算法（算法1）是一種迭代算法，從攻擊圖出發(fā)，采用深度優(yōu)先的搜索策略，反向搜索攻擊路徑；文獻(xiàn)[5]提出了DFAGG算法（算法2），從初始狀態(tài)出發(fā)，采用深度優(yōu)先的搜索策略搜索能夠到達(dá)攻擊目標(biāo)的攻擊路徑。

4 結(jié)論

本文通過(guò)深入分析現(xiàn)有攻擊圖構(gòu)建方法的不足，針對(duì)評(píng)估單目標(biāo)安全性的需求，提出了評(píng)估單目標(biāo)的攻擊圖自動(dòng)構(gòu)建方法SGA-AGC。SGA-AGC算法采用正反雙向的搜索策略，首先將正向攻擊圖生成算法和反向攻擊圖生成算法結(jié)合起來(lái)；然后利用間隔元素和終端元素生成只與攻擊目標(biāo)有關(guān)的攻擊路徑；最后結(jié)合攻擊路徑，利用Graphviz、Visio軟件生成攻擊圖。為了驗(yàn)證算法的可行性、有效性和可擴(kuò)展性，從不同的分析角度做了驗(yàn)證實(shí)驗(yàn)，實(shí)驗(yàn)表明本文算法大大減小了時(shí)間復(fù)雜度，從而顯著提高了其性能。

[1]張海霞, 連一峰, 蘇璞睿等.基于安全狀態(tài)域的網(wǎng)絡(luò)評(píng)估模型[J].軟件學(xué)報(bào), 2009.

[2]VARDI Y, ZHANG Cunhui. Measures of network vulnerability[J]. IEEE Signal Processing Letters, 2007.

[3]陳峰.基于多口標(biāo)攻擊圖的層次化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法研究[M].長(zhǎng)沙: 國(guó)防科技大學(xué)出版社, 2009.

[4]MELL P. The common vulnerability scoring system (CVSS)and its applicability to federal agency systems[R]. NIST Interagency Report 7435, 2007.

[5]Xinming Ou. A logic-programming approach to network security analysis[D]. Princeton: Princeton University, 2005.