張必彥，王 孟

(1.中國人民解放軍91550部隊， 遼寧 大連 116023； 2.海軍工程大學(xué)， 武漢 430033)

針對日益復(fù)雜的網(wǎng)絡(luò)安全形勢，開展行之有效的網(wǎng)絡(luò)安全評估，是信息安全工作的客觀需求與迫切需要[1]。網(wǎng)絡(luò)安全評估的方法主要有定性評估與定量評估，定性評估所涉及的眾多參數(shù)的主觀性較強[2]，為得到權(quán)威的評估結(jié)論，所需滿足的前提條件較多且要求較為苛刻，因此當(dāng)前的研究重點為定量評估[3-4]。定量評估涉及對網(wǎng)絡(luò)攻防行為的量化，為網(wǎng)絡(luò)安全分析提供了較好的思路，但量化過程存在一定程度的隨意性[5]，同時攻防雙方的量化標(biāo)準(zhǔn)不一致，此外所采取的量化分析方法多為著眼其中一方，未能較好的體現(xiàn)網(wǎng)絡(luò)攻防的實質(zhì)[6]。為此，本文依托權(quán)威的CVSS評分標(biāo)準(zhǔn)，提出了一種標(biāo)準(zhǔn)統(tǒng)一、著眼攻防雙方的網(wǎng)絡(luò)攻防量化方法，為網(wǎng)絡(luò)安全評估工作提供了行之有效的量化基礎(chǔ)。

1 CVSS簡介

CVSS，英文全稱Common Vulerability Scoring System，即通用安全漏洞評估系統(tǒng)，是由NIAC發(fā)布、FIRST維護的開放式行業(yè)標(biāo)準(zhǔn)，CVSS的發(fā)布為信息安全產(chǎn)業(yè)從業(yè)人員交流網(wǎng)絡(luò)中所存在的系統(tǒng)漏洞的特點與影響提供了一個開放式的框架[7]。CVSS將每個漏洞量化為0～10間的具體分值，分?jǐn)?shù)越高，危險級別越高。CVSS的各項評分要素均由國際信息安全領(lǐng)域?qū)＜夜餐贫?，具有較強的專業(yè)性與說服力[8]。在確定系統(tǒng)漏洞后，依據(jù)其漏洞CVE編號可以通過官方網(wǎng)站查詢直接獲取該漏洞各要素評定情況及對其對應(yīng)的分值，同時CVSS評分標(biāo)準(zhǔn)給出的計算公式中，各要素評分值不存在相關(guān)性的計算關(guān)系，各指標(biāo)可以作為獨立的因素用于量化分析[9]。

2 基于CVSS的網(wǎng)絡(luò)攻防量化方法

為充分體現(xiàn)網(wǎng)絡(luò)攻防的實質(zhì)，本文從攻擊與防御兩個維度剖析網(wǎng)絡(luò)對抗行為，依托CVSS漏洞評分標(biāo)準(zhǔn)，將網(wǎng)絡(luò)攻防行為分解為攻擊成本(AC)、攻擊收益(AR)、防御成本(DC)、防御收益(DR)四個要素，其中，攻擊收益(AR)與防御收益(DR)都是指系統(tǒng)的損失，數(shù)值上相等。文中給出各要素的計算公式，公式中引用的指標(biāo)均源自CVSS漏洞評分標(biāo)準(zhǔn)，可在NVD官網(wǎng)中查詢獲取。在網(wǎng)絡(luò)攻防評估中，將CVSS漏洞評分標(biāo)準(zhǔn)中的相關(guān)置標(biāo)，代入4個要素的計算公式，獲取計算結(jié)果數(shù)值，實現(xiàn)統(tǒng)一標(biāo)準(zhǔn)下的攻防雙方行為量化。

1) 攻擊成本AC。攻擊成本由攻擊者所利用漏洞的特性確定，具體包括攻擊途徑、攻擊復(fù)雜度與認(rèn)證3個指標(biāo)。這3項指標(biāo)的制定是獨立的，不存在相互影響制約，所對應(yīng)的關(guān)系為“或”關(guān)系，在計算中對應(yīng)的運算為相加。具體的對應(yīng)關(guān)系如表2所示。

表1 CVSS評分要素及評分值分值

表2 攻擊成本評分

因此，對于一次攻擊，其成本AC為發(fā)動此次攻擊所利用的漏洞的攻擊途徑成本分值PAV、攻擊復(fù)雜度成本分值PAC、認(rèn)證分值成本PAU之和。

AC=PAC+PAV+PAU

(1)

其中，PAV，PAC，PAU通過查詢獲取漏洞要素的具體可選值，依據(jù)表2取相應(yīng)數(shù)值獲得。

2) 攻擊收益與防御收益。即系統(tǒng)損失SL，系統(tǒng)的損失既是攻擊者的攻擊收益AR，又是理想情況下防御者的防御收益DR。系統(tǒng)損失主要由兩方面決定：被攻擊主機的資產(chǎn)重要度(Property Importance，PI)和利用此漏洞所進(jìn)行的攻擊的固有致命度(IntrinsicLethality，IL)。二者的關(guān)系為“與”關(guān)系，對應(yīng)運算關(guān)系為相乘。

主機資產(chǎn)重要度由兩部分評價指標(biāo)組成：主機類型與主機操作系統(tǒng)類型。主機類型不同所對應(yīng)的資產(chǎn)重要度不同，較為直觀，容易理解。不同操作系統(tǒng)用戶數(shù)目不同，使用頻率不同。被使用頻率越高，此所對應(yīng)的重要度越高。主機類型與評分值對應(yīng)關(guān)系如表3所示。

表3 主機資產(chǎn)重要度評分

對應(yīng)公式為

PI=ST*OT

(2)

固有致命度(IntrinsicLethality，IL)可采用CVSS標(biāo)準(zhǔn)中給出的漏洞攻擊影響分值(impact)。在確定漏洞后，可依據(jù)漏洞編號在CVSS官方網(wǎng)站中直接獲取已計算好的impact值。

因此，

AR=DR=DL=PI·IL

(3)

3) 防御成本DC。對漏洞攻擊所做的防護稱為漏洞修復(fù)，基于CVSS評分體系關(guān)于漏洞屬性信息描述，從以下層面描述主機上單個漏洞的修復(fù)代價組成。

① 漏洞補丁修復(fù)等級。系統(tǒng)服務(wù)和應(yīng)用程序中漏洞被發(fā)現(xiàn)曝光后，相關(guān)廠家會給出相應(yīng)補丁進(jìn)行補救。

② 漏洞滲透代碼可利用性。漏洞曝光后，會產(chǎn)生利用該漏洞進(jìn)行攻擊的方法，具體形式一般為利用代碼進(jìn)行滲透。

③ 漏洞報告可信度。在漏洞出現(xiàn)之后，會出現(xiàn)關(guān)于漏洞的報告信息，報告信息可分為3個階段：傳言期、未完全確認(rèn)期、官方確認(rèn)期。

④ 漏洞攻擊復(fù)雜度。針對攻擊復(fù)雜度不同的漏洞進(jìn)行漏洞修復(fù)，其所對應(yīng)的修復(fù)工作量不同，利用攻擊復(fù)雜度高的漏洞完成攻擊所需步驟較多，在修復(fù)過程中使攻擊步驟某一步失效即可，相對應(yīng)的修復(fù)代價較低；反之，修復(fù)代價較高。

⑤ 漏洞破壞性。漏洞對系統(tǒng)的破壞主要體現(xiàn)在對信息資產(chǎn)的安全屬性的破壞，主要由機密性、完整性、可用性三方面衡量。

⑥ 主機類型。修復(fù)不同主機上同一漏洞付出的代價不同，假設(shè)修復(fù)普通主機時對系統(tǒng)未產(chǎn)生明顯影響，但在修復(fù)服務(wù)器中存在漏洞時需確保修復(fù)過程中仍能保證系統(tǒng)的正常運轉(zhuǎn)，因此修復(fù)代價較高。

給出基于CVSS評分標(biāo)準(zhǔn)的漏洞修復(fù)指標(biāo)與對應(yīng)評分值，如表4所示。

漏洞修復(fù)代價計算公式：

op=ep+rp+ac

(4)

式中，op為漏洞修復(fù)的操作代價,ep為針對漏洞可利用滲透代碼的修復(fù)評分，rp為針對漏洞報告可信度的修復(fù)評分，ac為針對攻擊復(fù)雜度的修復(fù)評分。

de=av+in+co

(5)

式中，de為漏洞修復(fù)的破壞修復(fù)代價,av為針對漏洞對可用性破壞的修復(fù)評分，in為針對漏洞對完整性破壞的修復(fù)評分，co為針對漏洞對機密性破壞的修復(fù)評分。

漏洞修復(fù)代價計算公式：

DC=(1+ε)*re*(op+de)

(6)

式中：re為漏洞補丁情況,re*(op+de)為在普通主機上修復(fù)該漏洞的修復(fù)代價,ε為系統(tǒng)資產(chǎn)重要度所產(chǎn)生的加權(quán)，以表3所給主機類型的評分值的比例關(guān)系可得。

表4 漏洞修復(fù)評分值

3 實例分析

以漏洞CVE-2014-0315為例，給出攻防量化的具體過程。

首先，在NVD(National Vulnerability Database，國家漏洞數(shù)據(jù)庫)官網(wǎng)中查詢獲取漏洞CVE-2014-0315的相關(guān)CVSS指標(biāo)，如圖1所示。

1) 攻擊成本：

AC=PAV+PAC+PAU

由圖1可知，AV為“本地”，AC為“中”，AU為“不需認(rèn)證”，查詢表2，分別取值1，0.61，0.45。

AC=PAV+PAC+PAU=1+0.61+0.45=2.06

2) 攻擊收益(防御收益)：

主機資產(chǎn)重要度：PI=ST*OT

假設(shè)漏洞CVE-2014-0315所在主機為數(shù)據(jù)庫服務(wù)器，操作系統(tǒng)為 Windows server 2008，查詢表3可知，ST取值為1,OT取值為1。

PI=ST*OT=1×1=1

攻擊固有致命度：

IL=impact=λ*(1-(1-IC)(1-II)(1-IA))=10

impact值由圖1可直接獲取，為10。

則：

AD=DR=DL=PI·IL=1×10=10

3) 防御成本(漏洞修復(fù)代價)：

操作代價：op=ep+rp+ac

由于漏洞為2014年4月8日公布的，據(jù)現(xiàn)在時間較長，利用滲透代碼的修復(fù)評分指標(biāo)為“完整實現(xiàn)”，漏洞報告可信度的修復(fù)評分指標(biāo)為“官方確認(rèn)”，ac(攻擊復(fù)雜度)由圖1可知為“medium(中)”，查詢表4可知，均取值為0.8。

op=ep+rp+ac=1+1+0.8=2.8

破壞修復(fù)代價：de=av+in+co

由圖1可知av、in、co均為“complete(完全)”，查詢表4可知，均取值為1。

de=av+in+co=1+1+1=3

由于漏洞CVE-2014-0315所在主機為數(shù)據(jù)庫服務(wù)器，對應(yīng)的防御成本加權(quán)ε為100%，由于漏洞存在官方補丁，查詢表4，re取值為0.2。

DC=(1+ε)*re*(op+de)=

2×0.2×(2.8+3)=2.32

綜上，漏洞CVE-2014-0315所對應(yīng)的攻擊成本為2.06，攻擊收益為10，防御成本為2.32，防御收益為10?？梢?，攻擊成本較防御成本低10%左右，攻“易”防“難”，同時攻防成本相差并不大，并沒有引發(fā)大規(guī)模攻擊，符合該漏洞的實際情況，可以作為一種攻防行為的量化基礎(chǔ)，支持網(wǎng)絡(luò)安全評估工作的進(jìn)一步開展。

4 結(jié)論

本文將CVSS漏洞評分指標(biāo)引入網(wǎng)絡(luò)安全評估中的量化過程，從攻擊與防御兩個維度剖析網(wǎng)絡(luò)對抗行為，并同時考慮網(wǎng)絡(luò)攻防行為的成本與收益。所提出的量化方法面向安全評估，各設(shè)定滿足安全評估需求，通過引入CVSS評分指標(biāo)與相關(guān)分值，在一定程度上降低了量化的主觀性與隨意性，所做量化均為相對量化，采用標(biāo)準(zhǔn)均為CVSS評分指標(biāo)，使量化指標(biāo)具有科學(xué)的參考依據(jù)，具有較好的理論價值與實踐意義，為網(wǎng)絡(luò)攻防對抗，提供了一種可行的量化方法。

參考文獻(xiàn)：

[1] 中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告[R].北京：CNNIC，2013．

[2] 王元卓，林闖，程學(xué)旗，等．基于隨機博弈模型的網(wǎng)絡(luò)攻防量化分析方法[J]．計算機學(xué)報，2010，33(9)：1748-1762．

[3] 張煥國，王麗娜，杜瑞穎，等．信息安全學(xué)科體系結(jié)構(gòu)研究[J]．武漢大學(xué)學(xué)報(理學(xué)版)，2010，56(5)：614-620．

[4] 高翔，祝躍飛，劉勝利．應(yīng)用三角模糊矩陣博弈的網(wǎng)絡(luò)安全評估研究[J]．西安交通大學(xué)學(xué)報，2013，47(8)：49-53．

[5] 朱建明，宋彪，黃啟發(fā)．基于系統(tǒng)動力學(xué)的網(wǎng)絡(luò)安全攻防演化博弈模型[J]．通信學(xué)報，2014，35(1)：54-61．

[6] 王如義．基于關(guān)聯(lián)分析的漏洞檢測與安全評估技術(shù)研究[D]．西安：西北大學(xué)，2012.

[7] 黎學(xué)斌．基于APH和CVSS的信息系統(tǒng)漏洞評估[J]．西安郵電大學(xué)學(xué)報，2016，49(18)： 75-82．

[8] 王強．一種融合CVSS的信息安全終端安全評估模型[J]．計算機與數(shù)字工程，2016，31(18)：39-42．

[9] 周詩洋．CVSS環(huán)境指標(biāo)變量對系統(tǒng)安全的影響[J]．計算機工程與科學(xué)，2016(9)：4-6．