秦振翔, 馬潤年

(空軍工程大學信息與導航學院，西安，710077)

近些年來，先進可持續(xù)性威脅(Advanced Persistent Threat,APT)的發(fā)展使網(wǎng)絡安全的形勢越來越嚴峻。傳統(tǒng)防御網(wǎng)絡所特有的確定性、相似性、靜態(tài)性及漏洞的持續(xù)性是現(xiàn)有網(wǎng)絡信息系統(tǒng)的致命安全缺陷[1]。這些缺陷將直接導致網(wǎng)絡信息系統(tǒng)始終處于被動挨打的局面。因此，完善防衛(wèi)系統(tǒng)的防御強度就十分必要。然而，無論防御強度有多高，只要主機處于靜止狀態(tài)，攻擊者總有辦法通過時間成本來換取攻擊效益。移動目標防御就是設法打破這種靜止狀態(tài)，從而可以增加攻擊成本，使攻擊者得不償失。目前，在對移動目標防御中軟件層、平臺層、網(wǎng)絡層和數(shù)據(jù)層進行的相關研究中，前人已取得了不少成果。

平臺層的移動目標防御通過構建多樣化的運行平臺，進而動態(tài)改變其運行環(huán)境，縮短應用在某平臺上的暴露時間。文獻[3]應用了相關Web服務多樣化技術，提出了虛擬服務器軟件棧的設計方案，卻未進一步對虛擬服務器的最大可暴露時間做定量分析；文獻[4]利用多樣化的軟件棧模板，設計了基于異構平臺的虛擬服務器池，未對虛擬服務器的最大可暴露時間進行定量分析；文獻[5]在平臺暴露時間和隨機遷移次序等因素影響下，提出了3種面向隔離區(qū)的主動遷移策略，未進一步對遷移時間做定量分析；文獻[6]基于前人移動目標防御的研究成果，進行了分類與總結，不需要定量分析虛擬服務器的最大可暴露時間；文獻[7]對動態(tài)平臺技術作為防御機制進行了定量評估，沒有進一步分析虛擬服務器的最大可暴露時間；文獻[8]基于云計算對Web防御系統(tǒng)進行了相關的研究，不需要對虛擬服務器的最大可暴露時間進行定量分析；文獻[9]針對傳統(tǒng) Web 服務可信性難以適應動態(tài)評估的問題, 提出了一種基于信息熵權重和帶修正指標的動態(tài)信任評估模型(Dynamic Trustworthy Evaluation based on Information Entropy and Correction Metrics,DTEIECM)，不需要對虛擬服務器的最大可暴露時間進行定量分析；文獻[10]針對傳統(tǒng)網(wǎng)絡的靜態(tài)等特性，提出了一種軟件定義APT攻擊移動防御網(wǎng)絡架構(Software Defined Moving Target Defense Ar-chitecture, SDMTDA)，不需要對虛擬服務器的最大可暴露時間進行定量分析；文獻[11]針對端信息跳變的有關問題，提出了一種基于非廣延熵和Sibson 熵融合的實時網(wǎng)絡異常度量算法，不需要對虛擬服務器的最大可暴露時間進行定量分析。而這些都未定量地對防御平臺中虛擬服務器的最大可暴露時間進行分析。

不同的虛擬服務器在平臺上的暴露時間會有所不同，可能是因為各服務器中的被攻擊面不同。目前，很少有文獻在保證系統(tǒng)不被攻破的前提下對服務器的最大可暴露時間進行定量的研究。本文假設防御者清楚狀態(tài)攻擊面，且攻擊者不能在某個時間段內攻破。那么，保證系統(tǒng)虛擬服務器安全的時間至少大于系統(tǒng)虛擬服務器的最大可暴露時間。因此本文試圖基于模糊控制相關理論與技術，以攻擊面的度量結果和漏洞評估結果為輸入，最終輸出服務器的最大可暴露時間，達到保證系統(tǒng)虛擬服務器不被攻破的目的。

1 模型描述

如圖1，基于模糊控制技術，對受到攻擊的虛擬服務器進行相關攻擊信息的采集，分析后得到攻擊面數(shù)學期望，再根據(jù)國家信息安全漏洞庫(China National Vulnerability Database of Information Security, CNNVD)中的漏洞分級規(guī)范對系統(tǒng)漏洞進行評估，得到一個評估分數(shù)，再將這2個指標輸入到模糊控制器中，得到該服務器最大暴露時間。再將暴露時間反饋到控制程序，作為確定切換到下一個服務器時間點的參考依據(jù)。

圖1 基于模糊控制確定平臺暴露時間體系結構

虛擬服務器一般由4個部分組成，每一個部分都有具體的構成形式，Web服務多樣化即是讓各部分的具體構成形式在兼容模式下進行任意組合。

1.1 攻擊面定量分析

攻擊面是攻擊者進入被攻擊系統(tǒng)的“橋梁”。一般來說，攻擊者可以通過一些系統(tǒng)的內部程序、系統(tǒng)通道(如套接字)等和系統(tǒng)中共享的數(shù)據(jù)項來對目標系統(tǒng)發(fā)起攻擊。這些資源在系統(tǒng)中某一時刻存在的可被攻擊點統(tǒng)稱為攻擊面[11]。在此，可以用Nessus對Web虛擬服務器進行漏洞掃描，將漏洞作為攻擊面。

為了方便研究，設定9個虛擬服務器。每個虛擬服務器均有3種模式，即在線模式、關閉模式和離線模式。在線模式下，接受攻擊并收集攻擊者信息；關閉模式下，將收集到的攻擊信息進行分析；離線模式下，對存儲的攻擊信息進行清零操作，為再次收集做好準備。

設Ai表示虛擬服務器i的在線模式,i=1,2,…,9。假定9個虛擬服務器只有一個處于在線模式，并且假設在平穩(wěn)狀態(tài)下虛擬服務器i處于在線模式的概率為xi，各個虛擬服務器的模式切換符合馬爾科夫鏈。規(guī)定服務器在完成切換的同時，在線模式會自動轉變成關閉模式，最后變成離線模式。設狀態(tài)Ai轉移到狀態(tài)Aj的轉移概率(各虛擬服務器間的切換概率)為pij，可得此系統(tǒng)狀態(tài)轉移矩陣為：

(1)

設各個狀態(tài)間轉移時間的間隔相等均為Δt∈[0,1]，隨機化程度R∈[0,1]，防御者對攻擊者探測報文的攔截率t∈[0,1]，pdi是攻擊者探測到漏洞的概率，滿足以下函數(shù)關系：

式中：T0表示為掃描到該虛擬服務器中所有攻擊面(在此指漏洞)所需時間的最大值。

本文假設防御者清楚狀態(tài)攻擊面，且攻擊者不能在某個時間段內攻破。在狀態(tài)空間A={A1，A2，…，A9}中，我們任意設定其中的狀態(tài)轉移(服務器切換)規(guī)則為：若轉移前它在A2，A3，…，A8,則它分別以1/3的概率向前、向后轉移或者保留原處；若轉移前，它在A1，則它以概率1轉移到A2；若轉移前，它在A9，則它以概率1轉移到A8。由此可得此系統(tǒng)的狀態(tài)轉移(服務器切換)概率矩陣為：

(2)

由馬爾科夫鏈的相關基礎知識可得：平穩(wěn)狀態(tài)X=(x1,x2,…,x9)可根據(jù)X=Xp可得：

(3)

解得：X=(1/23, 3/23,3/23,3/23,3/23,3/23,3/23,3/23,1/23)

不管初始狀態(tài)什么樣，系統(tǒng)在經過轉移后，達到一個馬爾科夫平衡狀態(tài)。據(jù)此，可算出攻擊面的數(shù)學期望值：

(4)

式中：ki表示第i個虛擬服務器中的可被攻擊點的個數(shù)，在此為Nessus掃描到的漏洞個數(shù)。

1.2 操作系統(tǒng)漏洞評估

本文基于CNNVD漏洞分級規(guī)范來對Nessus掃描到的線上虛擬服務器的漏洞進行相關評估。凡是被CNNVD收錄的漏洞，均適用此分級規(guī)范，包括采集的公開漏洞以及收錄的未公開漏洞，通用型漏洞及事件型漏洞[14]。該項評估主要基于可利用性指標組和影響性指標組來對其進行定量評估。

如表1、表2所示，根據(jù)以下7種指標來對系統(tǒng)漏洞進行評估，再根據(jù)CNNVD分級規(guī)范給定的評分表，即可得出2組指標的評分。2組指標的評分和為評估結果。如：攻擊途徑為網(wǎng)絡、攻擊復雜度低、無權限要求和不需要用戶交互的情況下，可用性指標組評分為3.89；在高機密性影響、高完整性影響和高可用性影響的情況下，影響性指標組評分為5.87。因此2組評分和9.76即為最終的評分結果。

表1 可攻擊性指標

表2 影響性指標

2 模糊控制系統(tǒng)

在目前的平臺層的移動目標防御研究中，很少有對服務器最大可暴露時間做出相關定量研究。因此，本文試圖運用模糊控制系統(tǒng)在仿真環(huán)境中對服務器可暴露時間做出定量分析。

圖2 模糊控制原理框圖

2.1 模糊化

在模糊控制系統(tǒng)中，為方便研究，將2個輸入量分別模糊化成3個子集、輸出量模糊化成5個子集，再選取三角形隸屬函數(shù)。

1)對于攻擊面數(shù)學期望，選定3個模糊子集：期望值小(ES)、期望值中(EM)、期望值大(EL)。為研究方便，假設輸入x的定義域為[0,6]，則可得其隸屬函數(shù):

(5)

2)對于系統(tǒng)漏洞評估分數(shù)，選定3個模糊子集：分數(shù)低(SS)、分數(shù)中(SM)、分數(shù)高(SL)。根據(jù)CNNVD的分級標準，可得評估分數(shù)在[0,10]內，大于10的以10來代替。因此，輸入y的定義域為[0,10]，則可得其隸屬函數(shù):

(6)

3)對于輸出量即服務器可暴露時間，選定5個模糊子集：很短(SV)、短(S)、中等(M)、長(L)、很長(LV)。為研究方便，假設輸出τ的值域為[0,12]，以min為時間單位，可得其隸屬函數(shù)如下:

(7)

2.2 模糊推理

根據(jù)已有的攻防先驗知識，系統(tǒng)越危險，在保證系統(tǒng)不被攻破的前提下，虛擬服務器完成切換越快，其暴露時間就會越短。因此，切換要盡快完成。據(jù)此有以下模糊規(guī)則：

1)攻擊面數(shù)學期望越大，漏洞評估分數(shù)越高，服務器可暴露時間就越短；

2)攻擊面數(shù)學期望適中，漏洞評估分數(shù)適中，服務器可暴露時間就適中；

3)攻擊面數(shù)學期望越小，漏洞評估分數(shù)越低，服務器可暴露時間就越長。

在此，假設漏洞評估分數(shù)對服務器可暴露時間影響更大且更顯著。對攻擊面數(shù)學期望和漏洞評估分數(shù)各3種情況進行組合，可得到具體的模糊規(guī)則，見表3。

表3 模糊控制的具體規(guī)則表

2.3 去模糊化

根據(jù)以上的模糊規(guī)則，在理想狀態(tài)下，總的集合應由上述所有的規(guī)則進行并集運算得到。然而在一般情況下，由于每次的輸入量不可能全部激活上述規(guī)則，因此根據(jù)這一特點，只取出激活了的規(guī)則相并作為研究對象即可，再進行近似推理。最后通過最大隸屬度的最小值法得到平臺暴露時間，完成系統(tǒng)輸出的去模糊化。

3 仿真分析

3.1 仿真環(huán)境及參數(shù)設置

首先利用Nessus對在線模式下的虛擬服務器進行漏洞掃描，并記錄下漏洞數(shù)量為ki，再利用國家信息安全漏洞庫中的漏洞分級規(guī)范逐一對漏洞進行定量評估。表4為Web虛擬服務器構成。

表4 Web虛擬服務器構成

按照表4，構造出9種不同的虛擬服務器后，逐一對在線模式下的虛擬服務器的攻擊面進行計量，同時對軟件棧中的漏洞進行評估。再將2個數(shù)據(jù)輸入到Matlab中的Fuzzy logic designer，經過仿真即可得到平臺暴露時間。

在Matlab中找到Fuzzy logic designer的應用程序，首先添加一個輸入量并對兩輸入進行重命名，再確定其各自的Range。分別對輸入/輸出量進行雙擊，按照上文既定的隸屬度函數(shù)進行設置，編譯模糊規(guī)則,最終得到仿真結果。

3.2 仿真結果分析

在仿真中，在攻擊面數(shù)學期望和漏洞評估分數(shù)的區(qū)間內，任意給定一組數(shù)據(jù)，可得到服務器的最大可暴露時間。如圖3所示，給定77組數(shù)據(jù)，繪制成三維散點圖。根據(jù)圖中點的分布情況，不難發(fā)現(xiàn)漏洞評估分數(shù)對虛擬服務器暴露時間的影響確實大于攻擊面數(shù)學期望的影響，攻擊面數(shù)學期望越大，漏洞評估分數(shù)越高，在盡量保證虛擬服務器不被攻破的情況下，最大可暴露時間越短。

圖3 最大隸屬度最小值法散點圖

通過仿真，可以先對攻擊面和漏洞評估做定量分析，再通過模糊控制器在保證系統(tǒng)安全的情況下計算出服務器的最大可暴露時間，最終保證系統(tǒng)在不消耗過多資源的情況下，防御收益盡可能大。

4 結語

本文在平臺層移動目標防御的背景下，利用模糊控制相關思想和方法，以虛擬服務器遭受攻擊時的攻擊面數(shù)學期望和操作系統(tǒng)漏洞的評估分數(shù)為輸入，輸出平臺最大暴露時間，從而為更好地進行網(wǎng)絡防御提供了相關的參考指標。下一步的工作主要是結合網(wǎng)絡中具體的情況，不斷改進完善模型，提高準確性與可操作性。