周余陽，程光，郭春生

?

基于貝葉斯攻擊圖的網(wǎng)絡(luò)攻擊面風(fēng)險(xiǎn)評估方法

周余陽1,2,3，程光1,2,3，郭春生1,2,3

（1. 東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，江蘇 南京 211189；2. 東南大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，江蘇 南京 211189； 3. 教育部計(jì)算機(jī)網(wǎng)絡(luò)和信息集成重點(diǎn)實(shí)驗(yàn)室（東南大學(xué)），江蘇 南京 211189）

針對移動(dòng)目標(biāo)防御中網(wǎng)絡(luò)攻擊面缺少客觀風(fēng)險(xiǎn)評估的不足，為了有效地實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)評估，實(shí)現(xiàn)對潛在的攻擊路徑進(jìn)行推算，提出一種基于貝葉斯攻擊圖的網(wǎng)絡(luò)攻擊面風(fēng)險(xiǎn)評估方法。通過對網(wǎng)絡(luò)系統(tǒng)中資源、脆弱性漏洞及其依賴關(guān)系建立貝葉斯攻擊圖，考量節(jié)點(diǎn)之間的依賴關(guān)系、資源利用之間的相關(guān)性以及攻擊行為對攻擊路徑的影響，推斷攻擊者到達(dá)各個(gè)狀態(tài)的概率以及最大概率的攻擊路徑。實(shí)驗(yàn)結(jié)果表明了所提網(wǎng)絡(luò)攻擊面風(fēng)險(xiǎn)評估方法的可行性和有效性，能夠?yàn)楣裘鎰?dòng)態(tài)防御措施的選擇提供很好的支撐。

移動(dòng)目標(biāo)防御；安全風(fēng)險(xiǎn)評估；貝葉斯攻擊圖；攻擊面；攻擊路徑

1 引言

隨著信息技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)開始在社會(huì)的各行各業(yè)有所應(yīng)用，國家電力、交通、金融、能源等領(lǐng)域的有效運(yùn)作都離不開互聯(lián)網(wǎng)的支撐，人們的生產(chǎn)生活方式也與互聯(lián)網(wǎng)息息相關(guān)?；ヂ?lián)網(wǎng)一方面給人們帶來了諸多的便利和好處，而另一方面，互聯(lián)網(wǎng)存在著巨大的安全隱患。社會(huì)對互聯(lián)網(wǎng)的依賴性越強(qiáng)，網(wǎng)絡(luò)攻擊帶來的危害就越嚴(yán)重，因此，網(wǎng)絡(luò)空間的安全尤為重要。

有研究表明，互聯(lián)網(wǎng)安全的最大問題在于整體態(tài)勢的易攻難守[1]。攻擊者具備足夠的時(shí)間進(jìn)行攻擊準(zhǔn)備并組織進(jìn)攻，能夠長期針對攻擊目標(biāo)（網(wǎng)絡(luò)設(shè)備、通信鏈路、基礎(chǔ)協(xié)議等）的固有脆弱性進(jìn)行反復(fù)的漏洞分析和滲透測試，直至達(dá)成最終目標(biāo)[2]。移動(dòng)目標(biāo)防御（MTD, moving target defense）是美國提出的“改變游戲規(guī)則”防御研究方向，通過不斷、持續(xù)地轉(zhuǎn)移攻擊面，減少系統(tǒng)的靜態(tài)性、同構(gòu)性和確定性，迷惑或誤導(dǎo)攻擊者，增加攻擊者實(shí)施攻擊的成本和難度，以此挫敗攻擊者的攻擊。

而作為移動(dòng)目標(biāo)防御中的重要一環(huán)，網(wǎng)絡(luò)攻擊面的動(dòng)態(tài)轉(zhuǎn)移一直是研究者持續(xù)關(guān)注的研究重點(diǎn)。傳統(tǒng)的網(wǎng)絡(luò)防御通常采用防火墻、入侵檢測系統(tǒng)、用戶認(rèn)證、數(shù)據(jù)加密和解密、漏洞掃描、防病毒軟件等，但單一的安全防護(hù)技術(shù)已經(jīng)不能確保網(wǎng)絡(luò)和系統(tǒng)的安全，而且大部分安全防御技術(shù)是被動(dòng)、滯后的。由于網(wǎng)絡(luò)架構(gòu)和配置的靜態(tài)性，這些方法在檢測攻擊時(shí)依賴先驗(yàn)知識，通過靜態(tài)特征對攻擊進(jìn)行匹配，而攻擊者可以持續(xù)地收集和分析網(wǎng)絡(luò)和系統(tǒng)的信息，使其有充分的時(shí)間找到目標(biāo)中存在的缺陷和漏洞，從而對目標(biāo)發(fā)動(dòng)攻擊?；诰W(wǎng)絡(luò)攻擊面動(dòng)態(tài)轉(zhuǎn)移的移動(dòng)目標(biāo)防御方法，主要目的是切斷攻擊者實(shí)施網(wǎng)絡(luò)偵查和探測目標(biāo)漏洞這一環(huán)節(jié)，迫使攻擊者不斷追逐攻擊目標(biāo)，阻止攻擊者連接到目標(biāo)系統(tǒng)或引導(dǎo)攻擊者連接到虛假、錯(cuò)誤的目標(biāo)，從而消除攻擊者攻擊時(shí)間、空間上的優(yōu)勢。

然而，現(xiàn)有網(wǎng)絡(luò)攻擊面的動(dòng)態(tài)轉(zhuǎn)移大多為基于時(shí)間驅(qū)動(dòng)的網(wǎng)絡(luò)資源隨機(jī)轉(zhuǎn)移或基于簡單事件的動(dòng)態(tài)轉(zhuǎn)移方式，由于沒有對安全狀態(tài)的整體認(rèn)知，故其并不具有廣泛的針對性和目的性；同時(shí)，對于網(wǎng)絡(luò)攻擊面動(dòng)態(tài)轉(zhuǎn)移前后的安全狀況以及風(fēng)險(xiǎn)狀況，目前還不存在客觀的風(fēng)險(xiǎn)評估分析方法。在目前眾多網(wǎng)攻擊的模型描述方法中，最常見的就是攻擊樹和攻擊圖方法，其通過模擬不同節(jié)點(diǎn)之間的因果依賴關(guān)系，研究復(fù)雜的多步攻擊行為。攻擊樹具有直觀性、可視化等特點(diǎn)，能夠很好地用圖形化語言描述網(wǎng)絡(luò)攻擊。但由于樹狀模型存在擴(kuò)展性不強(qiáng)的缺陷，因此，攻擊樹在描述復(fù)雜的網(wǎng)絡(luò)攻擊時(shí)，效果將大打折扣，同時(shí)，復(fù)雜網(wǎng)絡(luò)系統(tǒng)建模時(shí)的復(fù)雜度和工作量也在很大程度上制約了攻擊樹方法的使用[3-4]。而相比于攻擊樹，攻擊圖方法由于基于單調(diào)性假設(shè)，具有良好的可擴(kuò)展性，能夠很好地對復(fù)雜的網(wǎng)絡(luò)攻擊進(jìn)行描述[5-6]。

Poolsappasit等[7]于2012年提出了基于貝葉斯攻擊圖的動(dòng)態(tài)安全風(fēng)險(xiǎn)管理方法，評估安全管控方法的收益與開銷，奠定了基于攻擊圖的安全評估與管控的研究方向；Miehling等[8]在攻防雙方信息部分可見的博弈情況下，基于貝葉斯攻擊圖利用開銷函數(shù)制定最優(yōu)的防御策略；類似地，Nguyen等[9]在貝葉斯攻擊圖的基礎(chǔ)上提出一種多階攻擊圖，定量對比與評估不同防御策略的開銷；Bopche等[10]在動(dòng)態(tài)網(wǎng)絡(luò)中構(gòu)建貝葉斯攻擊圖，基于圖相似性理論在時(shí)域上定量測量攻擊面的轉(zhuǎn)移，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評估。

在國內(nèi)的研究中，陳小軍等[11]利用概率攻擊圖，結(jié)合節(jié)點(diǎn)置信概率，對內(nèi)部攻擊者的攻擊意圖和攻擊路徑進(jìn)行推算；高妮等[12]采用攻擊圖描述攻擊間因果關(guān)系，結(jié)合通用漏洞評分和局部條件概率分布，推理并動(dòng)態(tài)更新單步攻擊的后驗(yàn)概率；劉威歆等[13]針對現(xiàn)有攻擊圖方法存在冗余路徑誤報(bào)的問題，提出基于攻擊圖的多源告警關(guān)聯(lián)分析方法，結(jié)合圖關(guān)系與閾值進(jìn)行聯(lián)動(dòng)預(yù)測，借此提升關(guān)聯(lián)分析的有效性；雷程等[14]提出的移動(dòng)目標(biāo)防御效能評估方法中，以攻擊圖為基礎(chǔ)建立分層網(wǎng)絡(luò)資源圖，結(jié)合圖中變點(diǎn)檢測與標(biāo)準(zhǔn)化度量方法，對移動(dòng)目標(biāo)防御的成本與收益進(jìn)行了動(dòng)態(tài)度量。

在上述研究的基礎(chǔ)上，本文提出一種基于貝葉斯攻擊圖的網(wǎng)絡(luò)攻擊面風(fēng)險(xiǎn)評估方法，通過動(dòng)態(tài)構(gòu)建貝葉斯攻擊圖，綜合考量節(jié)點(diǎn)之間的依賴關(guān)系、相關(guān)性與可達(dá)概率分布情況，能夠有效地評估網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)情況，并對潛在的攻擊路徑進(jìn)行推算，能夠?yàn)楣裘鎰?dòng)態(tài)防御措施的選擇提供很好的支撐。

2 網(wǎng)絡(luò)攻擊建模

2.1 攻擊面及其相關(guān)定義

目前，學(xué)術(shù)界對攻擊面尚無一個(gè)明確的、統(tǒng)一的定義。Howard等[15]最早將攻擊面描述為系統(tǒng)的承受攻擊能力，其中包含攻擊目標(biāo)與促成因素、通道與協(xié)議、訪問權(quán)限3個(gè)維度；Manadhata等[16]正式提出了系統(tǒng)攻擊面的概念，其針對大量攻擊案例分析后，總結(jié)歸納出攻擊者可以利用系統(tǒng)函數(shù)、通道和系統(tǒng)環(huán)境中的數(shù)據(jù)項(xiàng)對系統(tǒng)進(jìn)行攻擊，并據(jù)此將系統(tǒng)攻擊面定義為系統(tǒng)函數(shù)、通道和數(shù)據(jù)三元組的子集；Peng等[17]在云服務(wù)安全的研究中，將虛擬機(jī)實(shí)例的攻擊面歸結(jié)為所有外部可訪問資源的總和；而在網(wǎng)絡(luò)攻擊面的相關(guān)研究[18-20]中，研究者將網(wǎng)絡(luò)攻擊面定義為暴露在攻擊者面前的網(wǎng)絡(luò)資源（端口、IP地址等）以及已被攻破、可利用的脆弱性漏洞。

結(jié)合上述研究可以發(fā)現(xiàn)，攻擊面實(shí)質(zhì)上屬于系統(tǒng)資源，是系統(tǒng)的重要組成部分。然而，并不是全部的系統(tǒng)資源都可以稱為攻擊面，只有攻擊者能夠利用某種資源攻擊系統(tǒng)時(shí)，該資源才成為攻擊面的一部分。于是，本文將攻擊面歸結(jié)為系統(tǒng)中可被利用、遭受攻擊的資源集合，攻擊者可通過攻擊面實(shí)施攻擊，達(dá)到竊取系統(tǒng)資源、破壞系統(tǒng)的目的。

雖然現(xiàn)有的移動(dòng)目標(biāo)防御研究已經(jīng)廣泛使用了攻擊面的概念，但目前在攻擊面定義及其外延概念的表述上還存在精確性與通俗性的不足。因此，為了進(jìn)一步對攻擊面的特性進(jìn)行刻畫以及后續(xù)闡述網(wǎng)絡(luò)攻擊的建模方法，本文在此基礎(chǔ)上給出了以下若干定義。

定義1 （資源）對于系統(tǒng)，將可訪問、可接入的系統(tǒng)組成統(tǒng)稱為系統(tǒng)資源，并定義為全體系統(tǒng)資源的全集。對任意資源?，其可配置參數(shù)集為C；對任意可配置參數(shù)?C，其取值集合為

定義2 （攻擊面）對于系統(tǒng)，定義系統(tǒng)的攻擊面為攻擊者當(dāng)前可用于發(fā)動(dòng)攻擊的系統(tǒng)資源的集合。若攻擊者當(dāng)前時(shí)刻能夠利用種資源1,2,…,res實(shí)施攻擊，則1,2,…,res構(gòu)成攻擊面，即={1,2,…,res}，并滿足是全體系統(tǒng)資源的子集，即í。

定義3 （攻擊面轉(zhuǎn)移）對于攻擊面，若攻擊面上資源數(shù)量發(fā)生變化或資源可配置參數(shù)取值發(fā)生變化，則表示攻擊面發(fā)生了轉(zhuǎn)移。即1時(shí)刻1={1,2,…,res}，C1={1,2,…,c}；2時(shí)刻2={1,2,…,res}，C={1,2,…,c}。若1或C11C2，表明攻擊面112，則稱該系統(tǒng)從1時(shí)刻到2時(shí)刻發(fā)生了攻擊面轉(zhuǎn)移。

定義4 （風(fēng)險(xiǎn)系數(shù)）對于系統(tǒng)資源，若攻擊者成功攻陷該資源的概率為，則稱為資源的風(fēng)險(xiǎn)系數(shù)。

2.2 貝葉斯攻擊圖定義

攻擊圖將網(wǎng)絡(luò)資源形式化，反映了網(wǎng)絡(luò)內(nèi)可能存在的攻擊路徑，并能根據(jù)圖中所示情況對攻擊者攻擊時(shí)更有可能采用的路徑進(jìn)行評估與判斷。作為一種非常有效的概率推理模型，貝葉斯網(wǎng)絡(luò)由Pearl[21]于1988年率先提出。在貝葉斯網(wǎng)絡(luò)中，初始節(jié)點(diǎn)將會(huì)賦予初始概率值，而有向邊則反映了節(jié)點(diǎn)之間的因果關(guān)系，從而可以根據(jù)初始節(jié)點(diǎn)概率以及節(jié)點(diǎn)間的因果關(guān)系，對后續(xù)所有節(jié)點(diǎn)的條件概率進(jìn)行相應(yīng)推導(dǎo)。

因此，目前的學(xué)者也大多基于貝葉斯網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)資源上攻擊路徑發(fā)生概率和節(jié)點(diǎn)被攻陷概率計(jì)算的研究。通常，會(huì)將基于貝葉斯網(wǎng)絡(luò)的攻擊圖稱作貝葉斯攻擊圖。類似于Poolsappasit等[7]提出的方法，本文假定貝葉斯攻擊圖中各個(gè)節(jié)點(diǎn)采用伯努利隨機(jī)變量表示當(dāng)前的屬性狀態(tài)，屬性主要包含以下4種實(shí)例：系統(tǒng)漏洞、系統(tǒng)特性、網(wǎng)絡(luò)特性和訪問權(quán)限。

定義5 （節(jié)點(diǎn)屬性狀態(tài)）對任意節(jié)點(diǎn)的屬性，其包含=1/True與=0/False這2個(gè)狀態(tài)。=1/True時(shí)，表示屬性當(dāng)前已被攻擊者攻破，節(jié)點(diǎn)到達(dá)該狀態(tài)；相應(yīng)地，=0/False時(shí)表示屬性當(dāng)前尚未被攻擊者攻破。

攻擊圖中代表攻擊者攻擊行為的最小單位稱為原子攻擊。根據(jù)攻擊圖的種類和應(yīng)用場景的不同，原子攻擊可以是一次漏洞利用、一次社會(huì)工程攻擊或一次未授權(quán)的登錄行為，或僅表示網(wǎng)絡(luò)狀態(tài)發(fā)生了改變而沒有呈現(xiàn)出具體攻擊行為的細(xì)節(jié)。在貝葉斯攻擊圖中，原子攻擊以有向邊表示，根據(jù)初始狀態(tài)，有向邊以及節(jié)點(diǎn)間的依賴關(guān)系和狀態(tài)概率形成的四元組集合構(gòu)成了貝葉斯攻擊圖，其具體定義如下。

2.3 貝葉斯攻擊圖構(gòu)建

首先，為了生成貝葉斯攻擊圖，需要分別輸入個(gè)初始節(jié)點(diǎn)的初始狀態(tài)ini以及其直接后續(xù)的有向邊集合0、依賴關(guān)系集合0和概率集合P0，應(yīng)用貝葉斯攻擊圖生成算法，遍歷完整的節(jié)點(diǎn)狀態(tài)以及攻擊路徑，實(shí)現(xiàn)攻擊圖的構(gòu)建，如算法1所示。

算法1 貝葉斯攻擊圖生成（Bayesian attack graph generate）算法

輸入 初始狀態(tài)序列ini={ini1,ini2,…,inin}及對應(yīng)的后續(xù)有向邊集合0、依賴關(guān)系集合0和概率集合0

輸出 攻擊圖(,,,)

1)(,,,)?(ini,0,0,0)

2)?0

3) WHILES1finDO //判斷是否到達(dá)最終態(tài)

4) FOR EACHA,,PrIN(,,,)

5) CalculateS1//計(jì)算下一階段節(jié)點(diǎn)狀態(tài)

6)?+1

7) InferA,,Pr//推斷

8) IFA,,Pr不為空 THEN

9) Add (S, A,,Pr) to

//更新后續(xù)一階段攻擊圖

10) ELSE

11) Add(S,0,0, 0) to//到達(dá)最終態(tài)

12) END WHILE

13) RETURN(,,,)

其次，由于單調(diào)性假設(shè)，攻擊者在攻擊過程中不斷地提高自己的能力且不會(huì)失去已有的能力，那么攻擊者重復(fù)索取已擁有的權(quán)限將不滿足利益最大的原則。同樣地，由于貝葉斯攻擊圖屬于有向無環(huán)圖，所以需要對攻擊圖中出現(xiàn)的環(huán)路即含圈攻擊路徑進(jìn)行剔除。將算法1生成的攻擊圖作為輸入，遍歷全圖，剔除環(huán)路后，生成新圖，如算法2所示。

算法2 環(huán)路剔除（loop remove）算法

輸入 原始攻擊圖

輸出 新攻擊圖

1) (,,,)?Traversal() //遍歷攻擊圖

2)?Stage()

3) FOR EACHS?,a?,?,Pr?

4) FOR EACHS?,a?,?,Pr?

5) IF EXISTS=(a) INWITHPr

ANDS=(a) INWITHPrTHEN

//判斷是否屬于環(huán)路

6) IF

7) Remove(a,,Pr)FROM(,,,)

8) ELSE

9) Remove(a,,Pr)FROM(,,,)

10)?Update (,,,) //更新攻擊圖

11) RETURN

2.4 節(jié)點(diǎn)條件概率計(jì)算

為了能夠計(jì)量各個(gè)節(jié)點(diǎn)的條件概率分布情況，需要首先評估攻擊者成功利用漏洞，攻破某個(gè)資源的成功概率。因此，本文引入了通用脆弱性評分系統(tǒng)[22]（CVSS, common vulnerability scoring system），CVSS能夠提供完整的評分參數(shù)，開放評分框架，使評分者直接了解總體評分的由來；采用相同框架對全體脆弱性進(jìn)行評分，評分標(biāo)準(zhǔn)規(guī)范統(tǒng)一；采用動(dòng)態(tài)評估與脆弱性所在資源之間依賴關(guān)系相結(jié)合的方式，量化資源脆弱性利用的難易程度。

本文參照Zangeneh等[23]提出的方法，基于攻擊途徑（access vector）、攻擊復(fù)雜度（access complexity）、身份認(rèn)證（authentication instances）這3個(gè)測度，對漏洞利用的成功率進(jìn)行測算。在一次原子攻擊過程中，節(jié)點(diǎn)狀態(tài)由S轉(zhuǎn)移到S，假定其中某一脆弱性漏洞與該狀態(tài)轉(zhuǎn)移過程相關(guān)，將其記作e，那么該漏洞的成功利用率為

由于父節(jié)點(diǎn)與子節(jié)點(diǎn)之間存在“與”關(guān)系和“或”關(guān)系，即?{AND,OR}，故在此分以下2種情況進(jìn)行討論。

1) 當(dāng)=AND，表示任意父節(jié)點(diǎn)的狀態(tài)均為1時(shí)，子節(jié)點(diǎn)才有概率可達(dá)；否則，子節(jié)點(diǎn)不可達(dá)。

2) 當(dāng)=OR，表示僅存在一個(gè)父節(jié)點(diǎn)的狀態(tài)為1時(shí)，該子節(jié)點(diǎn)便有概率可到達(dá)；而當(dāng)任意父節(jié)點(diǎn)狀態(tài)均為0時(shí)，則表示該子節(jié)點(diǎn)必定不可到達(dá)。

3 安全風(fēng)險(xiǎn)評估

3.1 風(fēng)險(xiǎn)評估框架

在設(shè)計(jì)風(fēng)險(xiǎn)評估框架時(shí)，需考慮到網(wǎng)絡(luò)風(fēng)險(xiǎn)的三要素，即資源、脆弱性、威脅。本文基于此建立了如圖1所示的風(fēng)險(xiǎn)評估框架。

首先，需要對系統(tǒng)資源、系統(tǒng)脆弱性以及系統(tǒng)所受威脅有一個(gè)整體認(rèn)知，鑒于貝葉斯攻擊圖的組成元素包含資源節(jié)點(diǎn)狀態(tài)以及節(jié)點(diǎn)之間的因果關(guān)系，本文所構(gòu)建框架將通過網(wǎng)絡(luò)系統(tǒng)的資源信息及專家知識對網(wǎng)絡(luò)系統(tǒng)中所存在資源的狀態(tài)屬性進(jìn)行識別，對資源之間的狀態(tài)轉(zhuǎn)換以及依賴關(guān)系進(jìn)行確認(rèn)。

其次，在貝葉斯攻擊圖的構(gòu)建過程中，節(jié)點(diǎn)在狀態(tài)轉(zhuǎn)移過程中需要條件概率的測算才能對后續(xù)狀態(tài)進(jìn)行推導(dǎo)，故圖1框架中引入了脆弱性檢測組件，從而檢測出整個(gè)網(wǎng)絡(luò)系統(tǒng)的脆弱性漏洞，并結(jié)合文獻(xiàn)[7]提出的方法引入對脆弱性漏洞的可利用率進(jìn)行度量的測算，此外還額外結(jié)合父子節(jié)點(diǎn)之間存在的依賴關(guān)系對計(jì)算到達(dá)后續(xù)狀態(tài)的條件概率進(jìn)行完善，使攻擊圖更加精確和有效地反映網(wǎng)絡(luò)系統(tǒng)各資源的實(shí)際狀態(tài)轉(zhuǎn)移情況。

最后，在構(gòu)建的貝葉斯攻擊圖基礎(chǔ)之上，為了進(jìn)一步細(xì)化風(fēng)險(xiǎn)評估，使評估結(jié)果更加簡潔、直觀，本框架參照文獻(xiàn)[14,23]所提出的方法，對脆弱性可利用率進(jìn)行定量度量，并根據(jù)本文提出的狀態(tài)可達(dá)概率的概念，獲取各個(gè)節(jié)點(diǎn)狀態(tài)的可達(dá)情況，實(shí)現(xiàn)對每個(gè)節(jié)點(diǎn)狀態(tài)總體可達(dá)概率的測算，并基于此由最終狀態(tài)對前向狀態(tài)進(jìn)行反向查找，從而推導(dǎo)得出最大概率的攻擊路徑。

該風(fēng)險(xiǎn)評估框架綜合考慮了系統(tǒng)資源屬性與脆弱性漏洞利用之間的關(guān)系，以狀態(tài)節(jié)點(diǎn)和有向轉(zhuǎn)移概率的形式構(gòu)成了貝葉斯攻擊圖。既考慮了節(jié)點(diǎn)之間的依賴關(guān)系，又引入測量標(biāo)準(zhǔn)對脆弱性漏洞利用率進(jìn)行數(shù)學(xué)計(jì)算。同時(shí)，為了直觀清晰地描述系統(tǒng)當(dāng)前的威脅情況，通過脆弱性可利用率、狀態(tài)可達(dá)概率以及最大概率攻擊路徑的形式表示整體的安全風(fēng)險(xiǎn)狀況，能夠?yàn)榉烙吆罄m(xù)的攻擊面動(dòng)態(tài)轉(zhuǎn)移策略的制訂與執(zhí)行提供基礎(chǔ)與支撐。

3.2 風(fēng)險(xiǎn)的相關(guān)性

為了更精確地有效評估網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)，本文在前述CVSS的基礎(chǔ)上，考量資源相互之間的關(guān)系對資源脆弱性的影響因素，以保證評估數(shù)據(jù)的有效性。資源之間的相互關(guān)系主要體現(xiàn)在資源脆弱性的依賴關(guān)系和關(guān)聯(lián)性對攻擊者實(shí)施攻擊的影響，即不同類型資源間的依賴關(guān)系和相同類型資源間的關(guān)聯(lián)關(guān)系對攻擊者實(shí)施攻擊、漏洞利用的影響。其中，不同類型資源之間的依賴關(guān)系對攻擊實(shí)施的影響已經(jīng)在2.4節(jié)條件概率計(jì)算中進(jìn)行了討論，故本節(jié)重點(diǎn)討論相同類型資源之間的相關(guān)性。

圖1 風(fēng)險(xiǎn)評估框架

由于不同網(wǎng)絡(luò)資源節(jié)點(diǎn)之間可能存在相同的資源類型，如不同網(wǎng)絡(luò)資源可能都采用了TCP，如果攻擊者在某一節(jié)點(diǎn)上成功通過TCP的某個(gè)脆弱性漏洞將該節(jié)點(diǎn)攻破，那么攻擊者在后續(xù)的攻擊路徑上需要再次利用該類資源脆弱性時(shí)，將很大程度上提高脆弱性利用的成功率?？梢哉J(rèn)為，對于相同類型的資源脆弱性，雖然在不同網(wǎng)絡(luò)資源中的配置參數(shù)可能并不完全一致，但是其脆弱性具有相似的屬性，存在一定的相關(guān)性。因此，攻擊者一旦成功利用了某類資源的脆弱性，那么在其后續(xù)的攻擊行為中，利用同類資源脆弱性的成功率將提高。為此，本文參照雷程等[14]提出的方法，對同類資源的相關(guān)性進(jìn)行了定義，其形式化描述如下。

定義7 （相關(guān)性）給定系統(tǒng)，對于"1，2?，若1，2屬于相同類型的資源，該類型可配置參數(shù)集為C，那么定義1，2的相關(guān)性為(1，2): C′C?[0,1]。

當(dāng)為0時(shí)，表示1，2完全不相關(guān)，屬于兩類資源，此時(shí)(e2| e1) =(e2)；而當(dāng)為1時(shí)，表示1，2完全相同，屬于同一資源，那么攻擊者在已能成功利用1的前提下必然能攻破2。由此，可以衍生出相同類型資源脆弱性漏洞利用的條件概率為

3.3 攻擊路徑推斷

攻擊圖的生成和分析主要服務(wù)于準(zhǔn)確地預(yù)測攻擊以及推測攻擊者的后續(xù)攻擊行為。于是，能否推斷出攻擊者的攻擊意圖以及攻擊路徑成了攻擊圖技術(shù)是否具有現(xiàn)實(shí)意義的重要評估內(nèi)容。近年來，如何根據(jù)攻擊圖高效地對攻擊路徑進(jìn)行推測，并及時(shí)采取相應(yīng)的安全防護(hù)措施，減少因網(wǎng)絡(luò)攻擊造成的危害，也已成為網(wǎng)絡(luò)安全防護(hù)領(lǐng)域的一項(xiàng)研究熱點(diǎn)。

因此，本文首先定義了總體可達(dá)概率，其次給出了全節(jié)點(diǎn)概率推導(dǎo)算法，最后給出了最大概率攻擊路徑推導(dǎo)算法。

3.3.1 總體可達(dá)概率

在給定攻擊圖以及脆弱性可利用概率的前提下，將狀態(tài)的總體可達(dá)概率定義為發(fā)生一系列攻擊行為到達(dá)當(dāng)前節(jié)點(diǎn)狀態(tài)的總體可能性。其具體定義如下。

定義8 （總體可達(dá)概率）給定貝葉斯攻擊圖以及脆弱性漏洞可利用概率集合{(1),(2),…，(e)}，總體可達(dá)概率()定義如下。

1) 初始狀態(tài)必然可達(dá)，即(ini)=1。

3.3.2 全節(jié)點(diǎn)概率推導(dǎo)算法

根據(jù)3.3.1節(jié)中關(guān)于總體可達(dá)概率的定義，給出如下全節(jié)點(diǎn)概率推導(dǎo)算法，實(shí)現(xiàn)了對攻擊圖整體全部節(jié)點(diǎn)的可達(dá)概率評估，較為全面地評估攻擊者的攻擊意圖，為后續(xù)攻擊路徑的推導(dǎo)提供數(shù)據(jù)基礎(chǔ)。

算法3 全節(jié)點(diǎn)概率推導(dǎo)（whole node probability derivation）算法

輸入 攻擊圖(,,,)

輸出 攻擊圖上各個(gè)節(jié)點(diǎn)的總體可達(dá)概率

1) InitQueue() //初始化隊(duì)列

2)PushQueue(,S) //壓入初始節(jié)點(diǎn)

3) WHILE (EmptyQueue()) DO

4)= PopQueue()

5) FOR EACHS?

6) IF?[S] THEN //判斷是否父節(jié)點(diǎn)

7) PushQueue(,S) //壓入其子節(jié)點(diǎn)

8) IF NOT EXIST[] THEN

9)()=1

10) ELSE

11)()=()

12) END WHILE

13) RETURN 各個(gè)節(jié)點(diǎn)的總體可達(dá)概率

3.3.3 最大概率攻擊路徑推導(dǎo)算法

根據(jù)3.3.2節(jié)中全節(jié)點(diǎn)概率推導(dǎo)算法上，以最終狀態(tài)為起點(diǎn)，反向查找，尋找總體可達(dá)概率最大的節(jié)點(diǎn)，依次將其添加至攻擊路徑上，直到尋找到初始節(jié)點(diǎn)，則能推導(dǎo)出一條最大概率的攻擊路徑，具體算法如下。

算法4 最大概率攻擊路徑推導(dǎo)（maximum probability attack path derivation）算法

輸入 攻擊圖(,,,)；各個(gè)節(jié)點(diǎn)的總體可達(dá)概率集合

輸出 最大概率攻擊路徑

1) InitQueue() //初始化隊(duì)列

2)=argmax((S)) //在最終狀態(tài)中查找總體可達(dá)概率最大的節(jié)點(diǎn)

3)Addto//加入攻擊路徑

4) PushQueue(,)

5) WHILE (EmptyQueue()) DO

6)= PopQueue()

7) IF NOT EXIST[] THEN //是否初始節(jié)點(diǎn)

8) Addto

9) ELSE IF([],)?AND THEN

10) PushQueue(,[]) //將的全部父節(jié)點(diǎn)壓入隊(duì)列

11) Add[]to

12) ELSE IF([],)?OR THEN

13)=argmax(([])) //查找父節(jié)點(diǎn)中總體可達(dá)概率最大節(jié)點(diǎn)

14) PushQueue(,)

15) Addto

16) END WHILE

17) RETURN

4 實(shí)驗(yàn)驗(yàn)證分析

為了驗(yàn)證基于貝葉斯攻擊圖的網(wǎng)絡(luò)攻擊面風(fēng)險(xiǎn)評估方法的可行性與有效性，本節(jié)首先利用如圖2所示的網(wǎng)絡(luò)拓?fù)?，?gòu)建了小型的實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境，并對此網(wǎng)絡(luò)環(huán)境中的安全漏洞和潛在攻擊手段進(jìn)行了檢測。然后利用第2節(jié)介紹的網(wǎng)絡(luò)攻擊建模方法實(shí)現(xiàn)攻擊圖的構(gòu)建和對應(yīng)的有向邊之間的條件概率表。最后通過第3節(jié)介紹的安全風(fēng)險(xiǎn)評估方法，實(shí)現(xiàn)風(fēng)險(xiǎn)的前后關(guān)聯(lián)，相應(yīng)調(diào)整對應(yīng)資源的可利用率，從而計(jì)算出全節(jié)點(diǎn)的總體可達(dá)概率，最終實(shí)現(xiàn)最大概率攻擊路徑的推測。

4.1 實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境

在圖2所示的實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)渲?，網(wǎng)絡(luò)被劃分為2個(gè)部分：外網(wǎng)部分和內(nèi)部工作網(wǎng)絡(luò)。外網(wǎng)與內(nèi)網(wǎng)之間用防火墻進(jìn)行邏輯隔離，在內(nèi)部工作網(wǎng)絡(luò)中有3臺(tái)主機(jī)1、2、3，其中，1為一臺(tái)互聯(lián)網(wǎng)信息服務(wù)（IIS, Internet information services）服務(wù)器，2為一臺(tái)文件服務(wù)器，3為一臺(tái)數(shù)據(jù)服務(wù)器，具體的配置信息如表1所示。

圖2 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)涫疽鈭D

表1 主機(jī)節(jié)點(diǎn)配

表2 防火墻策略

同時(shí)，防火墻將整體實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境劃分為3個(gè)網(wǎng)段，其中，外網(wǎng)為網(wǎng)段0，1屬于網(wǎng)段1，2、3同屬于網(wǎng)段2，防火墻具體實(shí)施策略如表2所示，對于同網(wǎng)段主機(jī)之間的訪問遵循該網(wǎng)段所開放端口的訪問，而對于不在防火墻策略中的其他訪問則視為非法訪問，一律禁止。

4.2 實(shí)驗(yàn)準(zhǔn)備工作

首先，在實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境中運(yùn)用Nessus對實(shí)驗(yàn)網(wǎng)絡(luò)中的主機(jī)進(jìn)行脆弱性檢測，再對檢測到的節(jié)點(diǎn)資源脆弱性信息進(jìn)行匯總，同時(shí)結(jié)合表2防火墻的配置規(guī)則，提取出可能被攻擊者利用的脆弱性資源，如表3所示。由于本文主要考察資源脆弱性對網(wǎng)絡(luò)服務(wù)造成的影響，所以對掃描得到的脆弱性所對應(yīng)的網(wǎng)絡(luò)服務(wù)資產(chǎn)，按照如表3所示的CVSS基本度量組指標(biāo)分值，結(jié)合如表4所示的節(jié)點(diǎn)資源脆弱性的信息列表，再通過式(1)對攻擊途徑、攻擊復(fù)雜度、身份認(rèn)證進(jìn)行測算，可得出相應(yīng)的脆弱性成功利用率，其結(jié)果如表5所示。

表3 CVSS基本度量指標(biāo)分值

表4 節(jié)點(diǎn)資源脆弱性信息

4.3 攻擊圖構(gòu)建與總體可達(dá)概率分布

根據(jù)實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境的拓?fù)浣Y(jié)構(gòu)、利用Nessus掃描獲得的節(jié)點(diǎn)脆弱性結(jié)果，得到如圖3所示的貝葉斯攻擊圖。其中，橢圓形標(biāo)記代表節(jié)點(diǎn)狀態(tài)，數(shù)字代表主機(jī)標(biāo)號，而無圈文字代表攻擊，需要特別說明的是，在攻擊圖中僅有攻擊LICQ_ remote_to_user(1,3)與攻擊LICQ_remote_to_user(2,3)指向狀態(tài)User(3)的兩條有向邊屬于“或”關(guān)系，其余的有向邊指向同一狀態(tài)的依賴關(guān)系均屬于“與”關(guān)系。

根據(jù)2.4節(jié)中的相關(guān)定義以及表5中脆弱性利用成功率的情況，可以得出各個(gè)狀態(tài)之間的條件概率分布情況；再根據(jù)3.2節(jié)中風(fēng)險(xiǎn)相關(guān)性的定義以及3.3節(jié)中關(guān)于總體可達(dá)概率的定義，最終得出了如表6所示的總體可達(dá)概率分布情況。值得說明的是，對于圖3中的通信交互狀態(tài)，如ftp(1,2)、ssh(1,2)等，由于其屬于表2防火墻策略中所允許的正常訪問，故將其狀態(tài)可達(dá)概率認(rèn)定為1，即表明其必定可達(dá)；而對于脆弱性狀態(tài)，如CVE-2009-1012、CVE-2011-4800等，由于已在表5中詳細(xì)說明了其可利用成功率，故也不在總體可達(dá)概率情況表中額外說明。此外，對于攻擊圖中的攻擊squid_port_scan(1,3)與squid_port_scan(2,3)，LICQ_remote_to_user (1, 3)與LICQ_remote_to_user (2, 3)，發(fā)動(dòng)攻擊的資源與狀態(tài)存在相關(guān)性，于是根據(jù)3.2節(jié)中相關(guān)內(nèi)容對其后狀態(tài)可達(dá)概率進(jìn)行相應(yīng)修正。

表5 脆弱性成功利用率

表6 總體可達(dá)概率情況

圖3 實(shí)驗(yàn)網(wǎng)絡(luò)構(gòu)建的貝葉斯攻擊圖

4.4 最大概率攻擊路徑的推導(dǎo)

根據(jù)前述的貝葉斯攻擊圖以及總體可達(dá)概率分布情況，計(jì)算得到的攻擊路徑以及其可到達(dá)率如表7所示。

根據(jù)表7，可以發(fā)現(xiàn)路徑3的可到達(dá)率顯著高于路徑1與路徑2，說明攻擊者的狀態(tài)可到達(dá)率隨著攻擊路徑的增長、脆弱性數(shù)量的增加而降低。但是，值得注意的是，路徑3的最終狀態(tài)僅僅到達(dá)User(2)，并不是一條成功的攻擊路徑。同時(shí)，當(dāng)對攻擊路徑2進(jìn)行拆解后，可以發(fā)現(xiàn)攻擊User(1)?A?Root(1)?D?Root(2)的可到達(dá)率為0.017，也從側(cè)面說明Root權(quán)限獲取的攻擊難度明顯高于User權(quán)限。

上述的攻擊路徑以及可到達(dá)率結(jié)果建立在實(shí)驗(yàn)環(huán)境中無觀測的情況下，可發(fā)現(xiàn)最終的可到達(dá)率均相對較低，而在實(shí)驗(yàn)中為了實(shí)現(xiàn)安全風(fēng)險(xiǎn)的監(jiān)控，部署了Snort進(jìn)行各類脆弱性利用攻擊行為或網(wǎng)絡(luò)異常行為事件的捕獲，根據(jù)不同的監(jiān)測結(jié)果對最大概率攻擊路徑以及其成功率進(jìn)行相應(yīng)修正和調(diào)整，即監(jiān)測到某一脆弱性被利用后，表示該脆弱性利用后的狀態(tài)必定可達(dá)，具體情況如表8所示。

表7 攻擊路徑及其可到達(dá)率

根據(jù)表8，同樣可以發(fā)現(xiàn)，由于路徑3的最終狀態(tài)并沒有到達(dá)Root(3)，所以即使監(jiān)測到該路徑上發(fā)生了脆弱性利用，也可以認(rèn)為攻擊者實(shí)行了無效攻擊，導(dǎo)致攻擊成功率為0；而對于相同的攻擊路徑，觀測到的脆弱性利用越接近最終狀態(tài)，其攻擊的成功率越高，尤其當(dāng)監(jiān)測到編號G的脆弱性利用時(shí)，表明攻擊者已經(jīng)成功利用Local-setuid-bof對3實(shí)施攻擊，那么攻擊者已經(jīng)順利獲取Root(3)的權(quán)限，表明攻擊成功。

表8 最大概率攻擊路徑及其成功率

4.5 實(shí)驗(yàn)分析

為驗(yàn)證本文風(fēng)險(xiǎn)評估方法的準(zhǔn)確性與先進(jìn)性，同樣依據(jù)圖3所示實(shí)驗(yàn)網(wǎng)絡(luò)的貝葉斯攻擊圖，采用文獻(xiàn)[23]提出的風(fēng)險(xiǎn)評估方法得出了總體可達(dá)概率與不同攻擊路徑的可到達(dá)率。同時(shí)，為了更直觀地顯示本文方法的準(zhǔn)確性，繪制出了圖4與圖5的總體可達(dá)概率對比圖與攻擊路徑可到達(dá)率對比圖。

由圖4與圖5可以看出，本文提出的風(fēng)險(xiǎn)評估方法，節(jié)點(diǎn)狀態(tài)LICQ_port(1,3)、LICQ_port(2,3)、User(3)與Root(3)的總體可達(dá)概率顯著高于文獻(xiàn)[23]所提方法，這是由于3.2節(jié)中對風(fēng)險(xiǎn)的相關(guān)性進(jìn)行了較深入的討論與分析，認(rèn)為攻擊者一旦成功利用了某類資源的脆弱性，那么在其后續(xù)的攻擊行為中，利用同類資源脆弱性的成功率將會(huì)提高。因此，在上述節(jié)點(diǎn)狀態(tài)時(shí)，由于其受到攻擊時(shí)所利用的脆弱性漏洞之間存在相關(guān)性，那么總體可達(dá)概率也將會(huì)相應(yīng)升高；相應(yīng)地，由于總體可達(dá)概率的提升，導(dǎo)致本文方法中這些狀態(tài)所在的攻擊路徑1與攻擊路徑2的可到達(dá)率也高于文獻(xiàn)[23]方法所得結(jié)果。由此可以看出，本文的風(fēng)險(xiǎn)評估方法能夠更加精確地對網(wǎng)絡(luò)系統(tǒng)的整體風(fēng)險(xiǎn)情況進(jìn)行有效評估，能夠更加可靠地為網(wǎng)絡(luò)攻擊面的轉(zhuǎn)移提供有力的依據(jù)。

圖4 總體可達(dá)概率對比

圖5 攻擊路徑可到達(dá)率對比

除此以外，圖6還對2種風(fēng)險(xiǎn)評估方法中攻擊路徑的推導(dǎo)效率進(jìn)行了對比，從圖中可以看出，本文方法攻擊路徑的推導(dǎo)時(shí)間明顯少于文獻(xiàn)[23]的推導(dǎo)時(shí)間，這是由于本文3.3.3節(jié)中提出的最大概率攻擊路徑推導(dǎo)算法中利用反向查找的方式，優(yōu)先從最終狀態(tài)入手，可以有效地避開冗余路徑和無效路徑（如攻擊路徑3），能夠很大程度地提升攻擊路徑的推導(dǎo)效率。

圖6 攻擊路徑推導(dǎo)時(shí)間對比

5 結(jié)束語

為了有效地評估網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)情況，并能夠?qū)撛诘墓袈窂竭M(jìn)行推算，本文提出一種基于貝葉斯攻擊圖的網(wǎng)絡(luò)攻擊面風(fēng)險(xiǎn)評估方法，通過對網(wǎng)絡(luò)系統(tǒng)中資源、脆弱性漏洞及其依賴關(guān)系建立貝葉斯攻擊圖，進(jìn)行安全風(fēng)險(xiǎn)的評估，推斷攻擊者到達(dá)各個(gè)狀態(tài)的概率以及最大概率的攻擊路徑。本文提出的模型和算法考慮了節(jié)點(diǎn)之間的依賴關(guān)系、資源利用之間的相關(guān)性以及攻擊行為對攻擊路徑的影響，提高了風(fēng)險(xiǎn)評估的準(zhǔn)確性。實(shí)驗(yàn)結(jié)果表明，本文的工作可以有效地推導(dǎo)出各個(gè)狀態(tài)的可達(dá)概率，并給出了不同情況下攻擊者的最大概率攻擊路徑，能夠?yàn)榉烙邔?shí)施攻擊面的動(dòng)態(tài)轉(zhuǎn)移提供很好的支撐。

對于未來可開展的工作，一方面目前的建模工作主要還是基于小型的實(shí)驗(yàn)網(wǎng)絡(luò)，在大規(guī)模網(wǎng)絡(luò)中推廣時(shí)還存在問題，如何實(shí)現(xiàn)大規(guī)模的自動(dòng)攻擊圖構(gòu)建將是后續(xù)研究的一個(gè)方向；另一方面，本文的風(fēng)險(xiǎn)評估基于脆弱性利用率、資源可被攻破概率以及攻擊者攻擊成功率，而在實(shí)際的攻擊中，攻擊者也會(huì)根據(jù)系統(tǒng)防護(hù)情況、攻擊開銷等其他因素進(jìn)行攻擊選擇，而防御者在進(jìn)行攻擊面轉(zhuǎn)移方案的選擇時(shí)，也會(huì)考慮防御性能與防御開銷的權(quán)衡，這些都將成為未來的研究重點(diǎn)。

[1] JAJODIA S, GHOSH A K, SWARUP V, et al. Moving target defense: creating asymmetric uncertainty for cyber threats[J]. Springer Ebooks, 2011: 54.

[2] 蔡桂林, 王寶生, 王天佐, 等. 移動(dòng)目標(biāo)防御技術(shù)研究進(jìn)展[J]. 計(jì)算機(jī)研究與發(fā)展, 2016, 53(5): 968-987.

CAI G L, WANG B S, WANG T Z, et al. Research and development of moving target defense technology[J]. Journal of Computer Research and Development, 2016, 53(5): 968-987.

[3] WHITLEY J N, PHAN R C W, WANG J, et al. Attribution of attack trees[J]. Computers & Electrical Engineering, 2011, 37(4): 624-628.

[4] DALTON II G C, EDGE K S, MILLS R F, et al. Analysing security risks in computer and radio frequency identification (RFID) networks using attack and protection trees[J]. International Journal of Security and Networks, 2010, 5(2/3): 87-95.

[5] AMMANN P, PAMULA J, RITCHEY R, et al. A host-based approach to network attack chaining analysis[C]// Computer Security Applications Conference. 2005: 72-84.

[6] 葉子維, 郭淵博, 王宸東, 等. 攻擊圖技術(shù)應(yīng)用研究綜述[J]. 通信學(xué)報(bào), 2017, 38(11): 121-132.

YE Z W, GUO Y B, WANG C D, et al. Survey on application of attack graph technology[J]. Journal on Communications, 2017, 38(11): 121-132.

[7] POOLSAPPASIT N, DEWRI R, RAY I. Dynamic security risk management using Bayesian attack graphs[J]. IEEE Transactions on Dependable and Secure Computing, 2012, 9(1): 61-74.

[8] MIEHLING E, RASOULI M, TENEKETZIS D. Optimal defense policies for partially observable spreading processes on bayesian attack graphs[C]// ACM Workshop on Moving Target Defense. 2015: 67-76.

[9] NGUYEN T H, WRIGHT M, WELLMAN M P, et al. Multi-stage attack graph security games: heuristic strategies, with empirical game-theoretic analysis[C]//ACM Workshop on Moving Target Defense. 2017: 87-97.

[10] BOPCHE G S, MEHTRE B M. Graph similarity metrics for assessing temporal changes in attack surface of dynamic networks[J]. Computers & Security, 2017, 64: 16-43.

[11] 陳小軍, 方濱興, 譚慶豐, 等. 基于概率攻擊圖的內(nèi)部攻擊意圖推斷算法研究[J]. 計(jì)算機(jī)學(xué)報(bào), 2014, 37(1): 62-72.

CHEN X J, FANG B X, TAN Q F, et al. Inferring attack intent of malicious insider based on probabilistic attack graph model[J]. Chinese Journal of Computers, 2014, 37(1): 62-72.

[12] 高妮, 高嶺, 賀毅岳, 等. 基于貝葉斯攻擊圖的動(dòng)態(tài)安全風(fēng)險(xiǎn)評估模型[J]. 四川大學(xué)學(xué)報(bào)(工程科學(xué)版), 2016, 48(1): 111-118.

GAO N, GAO L, HE Y Y, et al. Dynamic security risk assessment model based on Bayesian attack graph[J]. Journal of Sichuan University(Engineering Science Editon), 2016, 48(1): 111-118.

[13] 劉威歆, 鄭康鋒, 武斌, 等. 基于攻擊圖的多源告警關(guān)聯(lián)分析方法[J]. 通信學(xué)報(bào), 2017, 36(9): 135-144.

LIU W X, ZHENG K F, WU B, et al. Alert processing based on attack graph and multi-source analyzing[J]. Journal on Communications, 2017, 36(9): 135-144.

[14] 雷程, 馬多賀, 張紅旗, 等. 基于變點(diǎn)檢測的網(wǎng)絡(luò)移動(dòng)目標(biāo)防御效能評估方法[J]. 通信學(xué)報(bào), 2017, 38(1): 126-140.

LEI C, MA D H, ZHANG H Q, et al. Performance assessment approach based on change-point detection for network moving target defense[J]. Journal on Communications, 2017, 38(1): 126-140.

[15] HOWARD M, PINCUS J, WING J M. Measuring relative attack surfaces[J]. Computer Security in the 21st Century, 2003: 109-137.

[16] MANADHATA P K, WING J M. An attack surface metric[J]. IEEE Transactions on Software Engineering, 2011, 37(3): 371-386.

[17] PENG W, LI F, HUANG C T, et al. A moving-target defense strategy for cloud-based services with heterogeneous and dynamic attack surfaces[C]// IEEE International Conference on Communications. 2014: 804-809.

[18] SUN K, JAJODIA S. Protecting enterprise networks through attack surface expansion[C]//Workshop on Cyber Security Analytics, Intelligence and Automation. 2014: 29-32.

[19] CYBENKO G, JAJODIA S, WELLMAN M P, et al. Adversarial and uncertain reasoning for adaptive cyber defense: building the scientific foundation[C]//International Conference on Information Systems Security. 2014: 1-8.

[20] FOREMAN J C, GURUGUBELLI D. Identifying the cyber attack surface of the advanced metering infrastructure[J]. The Electricity Journal, 2015, 28(1): 94-103.

[21] PEARL J. Probabilistic reasoning in intelligent system[M]. Morgan Kaufinann: Network of Plausible Inference, 1988: 1-86.

[22] MELL P M, KENT K A, ROMANOSKY S. The common vulnerability scoring system (CVSS) and its applicability to federal agency systems[J]. NIST Interagency/Internal Report (NISTIR) - 7435, 2007, 1(1): 119-127.

[23] ZANGENEH V, SHAJARI M. A cost-sensitive move selection strategy for moving target defense[J]. Computers & Security, 2018(75): 72-91.

Risk assessment method for network attacksurface based on Bayesian attack graph

ZHOU Yuyang1,2,3, CHENG Guang1,2,3, GUO Chunsheng1,2,3

1. School of Cyber Science and Technology, Southeast University, Nanjing 211189, China 2. School of Computer Science and Engineering, Southeast University, Nanjing 211189, China 3. Key Laboratory of Computer Network and Information Integration of Ministry of Education (Southeast University), Nanjing 211189, China

Aiming at the lack of objective risk assessment for the network attack surface on moving target defense, in order to realize the security risk assessment for the network system, and calculate the potential attack paths, a risk assessment method for network attack surface based on Bayesian attack graph was proposed. The network system resources, vulnerability and dependencies between them were used to establish Bayesian attack graph. Considering dependencies between nodes, the correlation between the resource and the influence of attacks on the attack path, the probability of each state that attackers can reach and the maximum probability attack path can be inferred. The experimental results prove the feasibility and effectiveness of the proposed network attack surface risk assessment method, which can provide a good support for the selection of dynamic defensive measures of attack surface.

moving target defense, security risk assessment, Bayesian attack graph, attack surface, attack path

The National Natural Science Foundation of China (No.61602114), The National Key R&D Plan Program of China (No.2017YFB0801703)

TP393

A

10.11959/j.issn.2096-109x.2018053

2018-05-03；

2018-06-02

程光，gcheng@njnet.edu.cn

國家自然科學(xué)基金資助項(xiàng)目（No.61602114）；國家重點(diǎn)研發(fā)計(jì)劃基金資助項(xiàng)目（No. 2017YFB0801703）

周余陽（1994-），男，江蘇泰州人，東南大學(xué)博士生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、移動(dòng)目標(biāo)防御。

程光（1973-），男，安徽黃山人，博士，東南大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)測量、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理。

郭春生（1994-），男，河南南陽人，東南大學(xué)碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全。