王增光， 盧 昱， 李進(jìn)東

(1. 陸軍工程大學(xué)石家莊校區(qū)裝備指揮與管理系， 河北 石家莊 050003； 2. 69225部隊， 新疆 和靜 841300 )

隨著信息技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)攻擊手段日益多樣化，各種安全問題層出不窮，如何確保網(wǎng)絡(luò)安全是當(dāng)前備受關(guān)注的問題。傳統(tǒng)基于檢測的網(wǎng)絡(luò)安全防護(hù)手段僅能在攻擊發(fā)生后進(jìn)行被動防御，無法從根源上解決網(wǎng)絡(luò)安全問題[1]。網(wǎng)絡(luò)安全風(fēng)險評估能夠主動評估目標(biāo)網(wǎng)絡(luò)中的安全風(fēng)險和安全威脅，為實施網(wǎng)絡(luò)安全防護(hù)提供有力保障[2]。

為了準(zhǔn)確評估網(wǎng)絡(luò)中的安全風(fēng)險，學(xué)者們基于不同的理論對網(wǎng)絡(luò)安全風(fēng)險評估方法進(jìn)行了研究:魯穎欣等[3]通過模糊隸屬度理論選取網(wǎng)絡(luò)脆弱性指標(biāo)，實現(xiàn)了對網(wǎng)絡(luò)安全風(fēng)險的定量評估，但在評估過程中沒有考慮網(wǎng)絡(luò)攻擊行為;謝麗霞等[4]在考慮網(wǎng)絡(luò)攻擊行為的情況下，提出了基于攻擊圖的網(wǎng)絡(luò)安全風(fēng)險評估方法，但在評估過程中沒有考慮攻擊者的攻擊意圖;馬春光等[5]將攻擊意愿融入到貝葉斯攻擊圖的動態(tài)推理模型中，通過攻擊意愿的計算解決了評估過程中攻擊路徑選擇的問題，但在計算網(wǎng)絡(luò)節(jié)點(diǎn)概率時只考慮了屬性節(jié)點(diǎn)存在“與”的情況，與網(wǎng)絡(luò)實際運(yùn)行情況不符。

以上網(wǎng)絡(luò)安全風(fēng)險評估方法在一定程度上解決了網(wǎng)絡(luò)安全風(fēng)險量化評估的問題，但存在評估過程中考慮網(wǎng)絡(luò)實際運(yùn)行情況不全面的問題。為此，筆者在前人研究工作的基礎(chǔ)上，提出一種基于貝葉斯攻擊圖的網(wǎng)絡(luò)安全風(fēng)險評估方法，為網(wǎng)絡(luò)安全風(fēng)險評估研究提供一種新的思路。

1 貝葉斯攻擊圖建模

攻擊圖可以分為狀態(tài)攻擊圖和屬性攻擊圖2種。屬性攻擊圖能夠從攻擊者的角度展示網(wǎng)絡(luò)受到組合攻擊的情況，能夠避免狀態(tài)攻擊圖研究過程中的狀態(tài)爆炸問題[6]。因此，本文將貝葉斯理論與屬性攻擊圖相結(jié)合，形成貝葉斯攻擊圖對目標(biāo)網(wǎng)絡(luò)進(jìn)行建模。

貝葉斯攻擊圖是一個無環(huán)有向圖，可以定義為一個七元組BAG=(S,A,E,T,?,P1,P2)，具體如下：

1)S=Sextenal∪Sinternal∪Sterminal，為貝葉斯攻擊圖中節(jié)點(diǎn)屬性的集合。其中：Sextenal={Sj∈S|?Si∈S,P(Si,Sj)>0}，為外部攻擊者攻擊起始屬性狀態(tài)節(jié)點(diǎn)的集合，P(Si,Sj)為節(jié)點(diǎn)屬性Si成功轉(zhuǎn)移到節(jié)點(diǎn)屬性Sj的概率；Sinternal={Sj∈S|?Si,Sk∈S,P(Si,Sj)>0∧P(Sj,Sk)>0}，為攻擊過程中屬性狀態(tài)節(jié)點(diǎn)的集合；Sterminal={Si∈S|?Sj∈S,P(Si,Sj)>0}，為最終攻擊目標(biāo)的最終屬性狀態(tài)節(jié)點(diǎn)的集合。節(jié)點(diǎn)屬性的取值具有二態(tài)性，即Si的取值為0或1：當(dāng)Si=0時，表示攻擊者不具備某種攻擊資源或訪問權(quán)限；當(dāng)Si=1時，表示攻擊者具備某種攻擊資源或訪問權(quán)限。

2)A={Ai|i=1,2,…,n}，為攻擊圖中原子攻擊的集合。原子攻擊反映了資源屬性之間的關(guān)系，是指利用網(wǎng)絡(luò)漏洞從前驅(qū)節(jié)點(diǎn)屬性狀態(tài)Spre成功進(jìn)入后繼節(jié)點(diǎn)屬性狀態(tài)Snext的轉(zhuǎn)移方式。

3)E={Ei|i=1,2,…,n},且Ei∈(Spre,Snext)，為攻擊者所選擇的攻擊策略，對應(yīng)攻擊圖中邊的集合。

4)T表示屬性狀態(tài)節(jié)點(diǎn)與父節(jié)點(diǎn)之間的關(guān)系。根據(jù)網(wǎng)絡(luò)運(yùn)行的實際情況，父子節(jié)點(diǎn)之間的依賴關(guān)系可以分為AND和OR兩種，如圖1所示[7]。

5) ?為攻擊者的攻擊意圖，用于表示攻擊者選擇某種攻擊策略的可能性。

6)P1為攻擊圖中節(jié)點(diǎn)屬性的先驗概率，每個節(jié)點(diǎn)屬性的先驗概率可以通過當(dāng)前節(jié)點(diǎn)與其父節(jié)點(diǎn)的條件概率之積進(jìn)行計算。

7)P2為攻擊圖中節(jié)點(diǎn)屬性的后驗概率。

2 貝葉斯攻擊圖中概率計算

2.1 原子攻擊成功的概率

原子攻擊成功的可能性與進(jìn)行原子攻擊時漏洞被利用的難易程度有關(guān)。原子攻擊成功的概率可以通過漏洞被成功利用的概率來體現(xiàn)，一般采用美國標(biāo)準(zhǔn)與技術(shù)研究院提供的漏洞評分系統(tǒng)(Common Vulnerability Scoring System，CVSS)來進(jìn)行量化，主要依據(jù)攻擊途徑(Access Vector,AV)、攻擊復(fù)雜度(Access Complexity,AC)和身份認(rèn)證(AUthentication,AU)3個方面來實現(xiàn)[8]。根據(jù)CVSS評分體系，原子攻擊成功的概率P(Ei)定義如下：

P(Ei)=PAV×PAC×PAU。

(1)

式中：PAV、PAC、PAU分別為AV、AC、AU評分值。

2.2 攻擊意圖的量化

在對目標(biāo)網(wǎng)絡(luò)進(jìn)行攻擊時，不同攻擊方式所獲得的攻擊收益具有很大的差別。因此，在攻擊者完全理性的情況下，總會選擇最有利的攻擊方式對目標(biāo)網(wǎng)絡(luò)實施攻擊[5,9]。攻擊者的攻擊意圖?(Ei)可以通過所選擇的攻擊策略Ei面臨的攻擊壓力Apress(Ei)和獲得的攻擊收益Aprofit(Ei)來體現(xiàn)。

Apress(Ei)是指攻擊者執(zhí)行攻擊策略Ei進(jìn)行一次原子攻擊時所面臨的風(fēng)險，主要包括執(zhí)行攻擊策略所付出的代價和成本2個方面。其中：執(zhí)行攻擊策略所付出的代價與原子攻擊本身的價值和攻擊損失有關(guān)；執(zhí)行攻擊策略的成本與執(zhí)行攻擊時的操作代價和攻擊執(zhí)行成功所需的時間有關(guān)。以上影響攻擊代價和成本的因素統(tǒng)稱為攻擊壓力影響因子，其量化可以參照CVSS中對弱點(diǎn)的量化標(biāo)準(zhǔn)進(jìn)行。根據(jù)攻擊壓力影響因子所處的等級以及對應(yīng)的權(quán)值進(jìn)行綜合，最終得到攻擊壓力的量化值。

Aprofit(Ei)是指執(zhí)行一次攻擊策略Ei所獲得的收益。攻擊收益只與執(zhí)行完攻擊策略后的最終狀態(tài)有關(guān)，并不能重復(fù)獲得相同的攻擊收益。根據(jù)網(wǎng)絡(luò)的實際運(yùn)行情況，對執(zhí)行完攻擊策略后的最終狀態(tài)進(jìn)行分級，形成具有偏序關(guān)系的不同等級，結(jié)合專家意見，對每個等級賦予不同的權(quán)值，該值即為攻擊者能獲得的終態(tài)屬性所對應(yīng)的收益。

攻擊者的攻擊意圖可以通過攻擊壓力與攻擊成功情況下獲得收益的比值來體現(xiàn)，比值越大，則該策略被執(zhí)行的可能性越?。环粗?，則該策略被執(zhí)行的可能性越大。綜上所述，攻擊策略的壓力與收益比值λ定義如下：

(2)

攻擊者以攻擊策略Ei進(jìn)行攻擊的攻擊意圖?(Ei)定義如下：

(3)

當(dāng)?(Ei)=0時，攻擊壓力不小于攻擊成功所獲得的收益，攻擊者不可能選擇該攻擊策略；當(dāng)?(Ei)=1時，攻擊壓力為0，即攻擊者執(zhí)行該攻擊策略時不會帶來任何攻擊損失，則攻擊者應(yīng)優(yōu)先選擇該攻擊策略；當(dāng)0

2.3 局部條件概率

局部條件概率體現(xiàn)了某個屬性狀態(tài)節(jié)點(diǎn)受到攻擊威脅的可能性，與其父節(jié)點(diǎn)到該節(jié)點(diǎn)的原子攻擊有關(guān)。攻擊者采用攻擊策略Ei由父節(jié)點(diǎn)向子節(jié)點(diǎn)進(jìn)行攻擊時，狀態(tài)成功發(fā)生轉(zhuǎn)移的概率Pstatus(Ei)與攻擊者的攻擊意圖?(Ei)和原子攻擊成功的概率P(Ei)有關(guān)，即

Pstatus(Ei)=P(Ei)×?(Ei)。

(4)

Par(Sj)表示屬性節(jié)點(diǎn)Sj的父節(jié)點(diǎn)集合，根據(jù)父子節(jié)點(diǎn)的依賴關(guān)系不同，局部條件概率的計算可以分為以下2種情況：

1) 當(dāng)父子節(jié)點(diǎn)的依賴關(guān)系為AND時，

(5)

2) 當(dāng)父子節(jié)點(diǎn)的依賴關(guān)系為OR時，

(6)

2.4 先驗概率

為了準(zhǔn)確地評估網(wǎng)絡(luò)的安全狀況，需要求出貝葉斯攻擊圖中各個屬性狀態(tài)節(jié)點(diǎn)的可達(dá)概率，即根據(jù)父節(jié)點(diǎn)的情況推算出子節(jié)點(diǎn)的先驗概率。先驗概率的計算主要用于網(wǎng)絡(luò)風(fēng)險的靜態(tài)評估。對于?Sj∈Sinternal∪Sterminal，節(jié)點(diǎn)Sj的先驗概率

(7)

2.5 后驗概率

在貝葉斯攻擊圖中，結(jié)合入侵檢測系統(tǒng)檢測到的攻擊事件，屬性節(jié)點(diǎn)可以分為證據(jù)集和更新集2類。證據(jù)集表示已被檢測到的被攻陷的屬性狀態(tài)集，即Sevidence={Si∈S|Si=1}；更新集表示需要基于貝葉斯推理公式進(jìn)行更新的屬性狀態(tài)集，即Supdate=S-Sevidence。對于?Sk∈Supdate,Sm∈Sevidence，更新集中屬性狀態(tài)節(jié)點(diǎn)的可達(dá)概率通過

(8)

進(jìn)行更新。其中，

(9)

(10)

3 基于貝葉斯攻擊圖的風(fēng)險評估

基于貝葉斯攻擊圖的風(fēng)險評估的總體架構(gòu)如圖2所示，主要包括靜態(tài)風(fēng)險評估和動態(tài)風(fēng)險評估2部分。在靜態(tài)風(fēng)險評估中，根據(jù)目標(biāo)網(wǎng)絡(luò)的實際情況，生成初始攻擊圖，而后根據(jù)原子攻擊成功的概率和攻擊者的攻擊意圖來計算屬性狀態(tài)節(jié)點(diǎn)的狀態(tài)轉(zhuǎn)移概率，結(jié)合屬性狀態(tài)節(jié)點(diǎn)的父子節(jié)點(diǎn)的關(guān)系，通過先驗概率評估目標(biāo)網(wǎng)絡(luò)的靜態(tài)安全風(fēng)險。在靜態(tài)風(fēng)險評估的基礎(chǔ)上，通過后驗概率對靜態(tài)貝葉斯攻擊圖中的屬性狀態(tài)進(jìn)行更新，從而實現(xiàn)動態(tài)風(fēng)險評估。

3.1 靜態(tài)風(fēng)險評估

靜態(tài)風(fēng)險評估是對目標(biāo)網(wǎng)絡(luò)的潛在風(fēng)險進(jìn)行評估，一般適用于未投入使用的網(wǎng)絡(luò)系統(tǒng)，算法1展示了其攻擊圖生成過程。

算法1：SRAM_BAI(AG，q)。

輸入：攻擊圖AG=(S，A，E，T)，攻擊圖中初始節(jié)點(diǎn)S1的先驗概率q根據(jù)專家意見進(jìn)行賦值。

輸出：靜態(tài)風(fēng)險評估攻擊圖SBAI=(S，A，E，T，P1)。

Step1：初始化靜態(tài)風(fēng)險評估攻擊圖SBAI中的參數(shù)；將攻擊圖AG中屬性節(jié)點(diǎn)、攻擊節(jié)點(diǎn)、邊及其關(guān)系復(fù)制到靜態(tài)風(fēng)險評估攻擊圖SBAI中。

Step2：利用式(1)計算SBAI中每條邊對應(yīng)的原子攻擊成功的概率P(Ei)，根據(jù)式(2)、(3)計算攻擊者的攻擊意圖?(Ei)。

Step3：對于SBAI中的每個節(jié)點(diǎn)，當(dāng)節(jié)點(diǎn)為攻擊初始節(jié)點(diǎn)時，P(S1=1)=q或P(S1=0)=1-q；當(dāng)節(jié)點(diǎn)為其他節(jié)點(diǎn)時，通過式(4)計算基于攻擊策略Ei進(jìn)行攻擊時的狀態(tài)轉(zhuǎn)移概率Pstatus(Ei)。

Step4：根據(jù)狀態(tài)轉(zhuǎn)移概率，結(jié)合父子節(jié)點(diǎn)的依賴關(guān)系，計算節(jié)點(diǎn)的局部條件概率，當(dāng)父子節(jié)點(diǎn)的依賴關(guān)系為AND時，利用式(5)進(jìn)行計算；當(dāng)父子節(jié)點(diǎn)的依賴關(guān)系為OR時，利用式(6)進(jìn)行計算。

Step5：利用式(7)計算屬性節(jié)點(diǎn)Sj的先驗概率P(Sj)，并復(fù)制到P1中。

Step6：重復(fù)Step1-5，直至得到完整的攻擊圖。

3.2 動態(tài)風(fēng)險評估

在實際運(yùn)行的網(wǎng)絡(luò)系統(tǒng)中，網(wǎng)絡(luò)的安全條件和安全因素隨著時間的推移會不斷發(fā)生變化。因此，在對其進(jìn)行網(wǎng)絡(luò)安全風(fēng)險評估時，必須考慮到網(wǎng)絡(luò)中的動態(tài)因素[10]。在這種情形下，基于先驗概率的風(fēng)險評估的準(zhǔn)確性會降低。因此，需要對靜態(tài)貝葉斯攻擊圖中屬性狀態(tài)節(jié)點(diǎn)的可達(dá)概率進(jìn)行更新，以便更加準(zhǔn)確地評估動態(tài)條件下的網(wǎng)絡(luò)安全風(fēng)險。算法2展示了動態(tài)攻擊圖的生成過程。

算法2：DRAM_BAI(SBAI)。

輸入：靜態(tài)風(fēng)險評估攻擊圖SBAI=(S，A，E，T，P1)。

輸出：動態(tài)風(fēng)險評估的貝葉斯攻擊圖DBAI=(S，A，E，T，P1，P2)。

Step1：初始化動態(tài)風(fēng)險評估攻擊圖DBAI中的參數(shù)，將靜態(tài)風(fēng)險評估攻擊圖SBAI中屬性節(jié)點(diǎn)、攻擊節(jié)點(diǎn)、邊及其關(guān)系、先驗概率復(fù)制到動態(tài)風(fēng)險評估攻擊圖DBAI中。

Step2：結(jié)合檢測到的某次攻擊事件，找出靜態(tài)風(fēng)險評估攻擊圖中屬性狀態(tài)為0的所有屬性節(jié)點(diǎn)，即篩選出貝葉斯攻擊圖中的更新集。

Step3：對于靜態(tài)風(fēng)險評估攻擊圖中的每個屬性節(jié)點(diǎn)Sj，如果該節(jié)點(diǎn)沒有父節(jié)點(diǎn)，則P(Sj)=1，由此找出靜態(tài)風(fēng)險評估攻擊圖中屬性狀態(tài)為1的所有屬性節(jié)點(diǎn)。

Step4：對于屬性節(jié)點(diǎn)Sj的父節(jié)點(diǎn)Sk∈Par(Sj)，當(dāng)Sk的屬性狀態(tài)為0時，通過式(8)對Sk的可達(dá)概率進(jìn)行更新，并將計算結(jié)果復(fù)制到P2中，將Sk的屬性狀態(tài)更新為1，重復(fù)此步驟，直至每個父節(jié)點(diǎn)的屬性狀態(tài)為1。

Step5：將Sk從父節(jié)點(diǎn)集合Par(Sj)中移出，并作為子節(jié)點(diǎn)，重復(fù)Step4對Sk的父節(jié)點(diǎn)進(jìn)行屬性狀態(tài)更新。

Step6：更新父節(jié)點(diǎn)集合Par(Sj)，直至計算到根父節(jié)點(diǎn)。

Step7：對于更新集中的每個屬性節(jié)點(diǎn)，重復(fù)Step3-6，對靜態(tài)風(fēng)險評估攻擊圖進(jìn)行更新。

Step8：重復(fù)Step2-7，結(jié)合不同的攻擊事件，達(dá)到實時評估網(wǎng)絡(luò)安全風(fēng)險的目的。

4 試驗驗證

4.1 試驗網(wǎng)絡(luò)場景

筆者通過搭建簡單的試驗網(wǎng)絡(luò)場景來驗證本文方法的可行性，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示。該網(wǎng)絡(luò)中包含了Internet區(qū)域、內(nèi)網(wǎng)和隔離區(qū)3個部分，其中：內(nèi)網(wǎng)由FTP服務(wù)器、數(shù)據(jù)庫服務(wù)器和工作站組成；隔離區(qū)由郵件服務(wù)器和Web服務(wù)器組成；外網(wǎng)中攻擊者通過Internet試圖訪問內(nèi)網(wǎng)和隔離區(qū)。

采用OVAL漏洞掃描器對試驗網(wǎng)絡(luò)中節(jié)點(diǎn)進(jìn)行漏洞掃描，同時結(jié)合CVSS評估系統(tǒng)對節(jié)點(diǎn)中漏洞被成功利用的概率進(jìn)行計算；采用MulVAL工具生成攻擊圖，將網(wǎng)絡(luò)中所有的漏洞信息、漏洞之間的關(guān)聯(lián)關(guān)系、網(wǎng)絡(luò)的連通性和配置情況等信息輸入到MulVAL工具中，通過AttackGraph.pdf文件輸出攻擊圖。試驗網(wǎng)絡(luò)的攻擊圖如圖4所示，由攻擊者、屬性節(jié)點(diǎn)和攻擊方式組成。

攻擊圖中各個節(jié)點(diǎn)的語義如表1所示。其中：Hasprivilege(192.168.1.70,user)表示攻擊者具有192.168.1.70上的user權(quán)限；Vulnerability(192.168.1.70,CVE-015-1635)表示攻擊者能夠利用192.168.1.70上編號為CVE-2015-1635的漏洞；Attack(192.168.1.70,0-day)表示攻擊者對192.168.1.70發(fā)起0-day攻擊。其他節(jié)點(diǎn)的語義與之類似，在此不做贅述。

4.2 試驗結(jié)果分析

根據(jù)貝葉斯攻擊圖所展示的節(jié)點(diǎn)之間的關(guān)系，結(jié)合試驗環(huán)境中的漏洞情況，根據(jù)靜態(tài)風(fēng)險評估算法計算各個屬性節(jié)點(diǎn)的先驗概率。采用Snort入侵檢測系統(tǒng)實時捕獲試驗網(wǎng)絡(luò)中發(fā)生的攻擊事件，當(dāng)FTP服務(wù)器上已檢測到攻擊事件A3發(fā)生時，根據(jù)動態(tài)風(fēng)險評估算法對靜態(tài)風(fēng)險評估攻擊圖中屬性節(jié)點(diǎn)的概率進(jìn)行更新，得到后驗概率。攻擊圖中屬性節(jié)點(diǎn)的概率如表2所示。

表1 攻擊圖中各個節(jié)點(diǎn)的語義

分析試驗結(jié)果可知：節(jié)點(diǎn)S2,S3，…,S7的后驗概率相對于靜態(tài)風(fēng)險評估時的先驗概率明顯增大，這是因為攻擊事件發(fā)生在這些節(jié)點(diǎn)所在分支，導(dǎo)致節(jié)點(diǎn)風(fēng)險增大；節(jié)點(diǎn)S11、S12的后驗概率相對于靜態(tài)風(fēng)險評估時的先驗概率稍微增大，這是因為這2個節(jié)點(diǎn)的風(fēng)險值受到節(jié)點(diǎn)S5的影響，而S5在攻擊路徑上；節(jié)點(diǎn)S9、S10、S13、S14、S15、S16的后驗概率相對于靜態(tài)風(fēng)險評估時的先驗概率明顯減小，這是因為這些節(jié)點(diǎn)所在分支沒有攻擊事件發(fā)生，導(dǎo)致節(jié)點(diǎn)風(fēng)險降低；當(dāng)攻擊圖中存在攻擊事件時，必定存在初始的攻擊者和攻擊依賴節(jié)點(diǎn)，因此節(jié)點(diǎn)S1和S8的后驗概率均為1；同時，由圖4可知，節(jié)點(diǎn)S10的父子節(jié)點(diǎn)之間的依賴關(guān)系為AND，必須在S9和S16上的漏洞同時被攻擊者利用的情況下，攻擊事件A5才能對節(jié)點(diǎn)S10發(fā)動攻擊，因此S10的先驗概率和后驗概率較其他節(jié)點(diǎn)偏小。

表2 攻擊圖中屬性節(jié)點(diǎn)的概率

由此可見：本文提出的網(wǎng)絡(luò)安全風(fēng)險評估方法的試驗結(jié)果與網(wǎng)絡(luò)實際運(yùn)行情況相符，能夠?qū)δ繕?biāo)網(wǎng)絡(luò)安全風(fēng)險進(jìn)行有效的評估。

5 結(jié)論

在充分考慮網(wǎng)絡(luò)實際運(yùn)行情況的基礎(chǔ)上，筆者提出了一種基于貝葉斯攻擊圖的網(wǎng)絡(luò)安全風(fēng)險評估方法，通過搭建試驗網(wǎng)絡(luò)場景驗證了該方法的可行性，結(jié)果表明：該方法能夠?qū)δ繕?biāo)網(wǎng)絡(luò)安全風(fēng)險進(jìn)行有效的評估，試驗結(jié)果與網(wǎng)絡(luò)實際運(yùn)行情況相符，可為高效實施網(wǎng)絡(luò)安全防護(hù)策略提供依據(jù)。但該方法在評估過程中沒有考慮節(jié)點(diǎn)之間的關(guān)聯(lián)性對網(wǎng)絡(luò)安全風(fēng)險的影響，下一步將對此展開研究。