王賽娥，劉彩霞，劉樹新，柏 溢

（中國(guó)人民解放軍戰(zhàn)略支援部隊(duì)信息工程大學(xué)，鄭州 450001）

0 概述

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是利用一定的評(píng)估方法對(duì)系統(tǒng)的脆弱性以及面臨的安全威脅進(jìn)行綜合分析，預(yù)測(cè)可能產(chǎn)生的后果并整體評(píng)價(jià)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)，以便根據(jù)評(píng)估結(jié)果實(shí)施相應(yīng)的安全策略，從而降低甚至消除風(fēng)險(xiǎn)。安全風(fēng)險(xiǎn)評(píng)估有利于了解系統(tǒng)的風(fēng)險(xiǎn)狀況，發(fā)現(xiàn)潛在的安全缺陷，是制定防御策略并確保系統(tǒng)安全穩(wěn)定的基礎(chǔ)和前提。第四代移動(dòng)通信技術(shù)（4G）自2010 年發(fā)展至今，通信和傳輸速度更快，兼容性更好，應(yīng)用也更廣泛，截至2019 年6 月，4G 用戶數(shù)量達(dá)到12.3 億，占移動(dòng)用戶總數(shù)的77.6%，4G 網(wǎng)絡(luò)流量極速增加，成為移動(dòng)互聯(lián)網(wǎng)流量的主要來(lái)源。4G 網(wǎng)絡(luò)數(shù)據(jù)中涉及的用戶隱私繁多，蘊(yùn)含的價(jià)值豐富，是各種威脅行為的主要目標(biāo)，一旦發(fā)生安全問題，造成的后果不僅是用戶個(gè)人數(shù)據(jù)泄露，還可能對(duì)社會(huì)經(jīng)濟(jì)等產(chǎn)生影響。對(duì)4G 網(wǎng)絡(luò)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，能夠分析網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)因素和脆弱信息，了解風(fēng)險(xiǎn)所在，評(píng)估網(wǎng)絡(luò)的安全性和防御性，該過(guò)程是選取恰當(dāng)?shù)姆烙侄我约安渴鹩行Х雷o(hù)策略的重要依據(jù)，也是確保4G 網(wǎng)絡(luò)安全的首要條件，具有一定的實(shí)際意義。

4G 網(wǎng)絡(luò)面臨的安全威脅較多，既有傳統(tǒng)的竊聽、電信詐騙，還包含針對(duì)終端的惡意代碼攻擊、針對(duì)用戶服務(wù)的DoS 攻擊等融合式威脅手段?，F(xiàn)有的4G 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)研究主要集中于探索系統(tǒng)未知的脆弱性和挖掘可利用的漏洞信息，主要分為協(xié)議分析法、模型檢測(cè)法和經(jīng)驗(yàn)分析法等。

協(xié)議分析法以協(xié)議本身作為風(fēng)險(xiǎn)研究核心，從協(xié)議標(biāo)準(zhǔn)、通信流程和協(xié)議內(nèi)容等方面尋找不安全因素。協(xié)議分析可以利用安全協(xié)議驗(yàn)證工具輔助分析，文獻(xiàn)［1］用形式化工具Tamarin 分析5G AKA 協(xié)議，將安全目標(biāo)形式化，構(gòu)建威脅模型，全面、系統(tǒng)地評(píng)估協(xié)議，分析結(jié)果確定了每個(gè)安全目標(biāo)所需的最低安全假設(shè)并指出未滿足的安全目標(biāo)。文獻(xiàn)［2］基于Lowe 分類法對(duì)5G 網(wǎng)絡(luò)EAP-AKA′協(xié)議進(jìn)行分析，發(fā)現(xiàn)了隱式鑒權(quán)方式下的安全問題和攻擊路徑。此外，可以使用數(shù)學(xué)邏輯對(duì)協(xié)議進(jìn)行推理證明，常用的是BAN 邏輯和類BAN 邏輯。BAN 邏輯是基于信仰的形式邏輯分析方法，后來(lái)發(fā)展出AUTLOG 邏輯、SVO 邏輯等類BAN 邏輯。將要分析的協(xié)議改寫成BAN 邏輯或類BAN 邏輯形式并作為既定條件，證明的假設(shè)前提是對(duì)協(xié)議雙方的狀態(tài)描述，結(jié)論是協(xié)議期望達(dá)到的安全目標(biāo)，運(yùn)用既定條件、假設(shè)前提和邏輯的推理規(guī)則進(jìn)行證明，如果可以推導(dǎo)出結(jié)論則說(shuō)明協(xié)議滿足相應(yīng)的安全目標(biāo)。

模型檢測(cè)法也稱狀態(tài)檢測(cè)法，其運(yùn)用有限狀態(tài)機(jī)理論為系統(tǒng)建立模型，遍歷狀態(tài)空間，查找系統(tǒng)是否存在特殊狀態(tài)或到達(dá)特殊狀態(tài)的路徑，由此檢測(cè)系統(tǒng)是否違反了某些安全屬性。文獻(xiàn)［3］利用LTE Inspector 檢測(cè)4G LTE 的附著、尋呼和去附著3 個(gè)關(guān)鍵程序，發(fā)現(xiàn)了10 個(gè)新的可用攻擊和9 個(gè)已知攻擊，并在實(shí)驗(yàn)中驗(yàn)證了攻擊的可行性和有效性。

經(jīng)驗(yàn)分析法利用已知的攻擊方法，逐一測(cè)試系統(tǒng)，根據(jù)攻擊中系統(tǒng)的反饋不斷調(diào)整攻擊手段，通過(guò)攻擊結(jié)果檢驗(yàn)系統(tǒng)是否具有抵抗攻擊的能力。該方法在原有偽基站攻擊、協(xié)議攻擊等的基礎(chǔ)上進(jìn)行改進(jìn)，效率更高，但攻擊結(jié)果可能會(huì)因?yàn)槭褂谜叩哪芰λ蕉杂胁煌?/p>

上述方法均以系統(tǒng)為中心，側(cè)重于脆弱性研究從而挖掘可被利用的漏洞，但針對(duì)的安全威脅類型比較單一，缺少面對(duì)已知威脅的綜合評(píng)估，沒有涉及系統(tǒng)整體的安全風(fēng)險(xiǎn)狀況。傳統(tǒng)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)評(píng)估發(fā)展已經(jīng)成熟，有定性和定量的評(píng)估（如基于漏洞掃描和入侵檢測(cè)的評(píng)估［4］）、基于知識(shí)推理的評(píng)估、基于資產(chǎn)價(jià)值的評(píng)估以及應(yīng)用最廣泛的基于模型的安全風(fēng)險(xiǎn)評(píng)估等。攻擊樹模型從攻擊者角度出發(fā)，用圖形化方式展現(xiàn)攻擊流程，結(jié)合系統(tǒng)架構(gòu)詳細(xì)分析攻擊方式并定量評(píng)估系統(tǒng)風(fēng)險(xiǎn)，其適合描述多階段的復(fù)雜攻擊行為，因此，在實(shí)際中得到廣泛應(yīng)用。文獻(xiàn)［5］利用攻擊樹模型分析風(fēng)電工業(yè)控制系統(tǒng)，對(duì)新能源行業(yè)控制系統(tǒng)進(jìn)行評(píng)估，指導(dǎo)部署等級(jí)防護(hù)措施。4G 通信網(wǎng)絡(luò)架構(gòu)清晰，面臨的安全威脅多樣，利用攻擊樹建模既能量化評(píng)估系統(tǒng)風(fēng)險(xiǎn)，又能顯示攻擊者最有可能的攻擊路徑，從而指出系統(tǒng)的薄弱處以便管理人員重點(diǎn)防控。

本文提出一種基于攻擊樹的4G 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法，改進(jìn)攻擊樹模型以適配4G 網(wǎng)絡(luò)架構(gòu)，運(yùn)用多屬性理論和模糊層次分析法（Fuzzy Analytical Hierarchy Process，F(xiàn)AHP）評(píng)估4G 網(wǎng)絡(luò)面臨已知安全威脅時(shí)的風(fēng)險(xiǎn)等級(jí)，對(duì)系統(tǒng)脆弱性及可能產(chǎn)生的后果進(jìn)行預(yù)測(cè)和定量分析，根據(jù)評(píng)估結(jié)果提出有效的防護(hù)措施，從而降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

1 研究背景

1.1 4G 網(wǎng)絡(luò)架構(gòu)

相比傳統(tǒng)的2G、3G網(wǎng)絡(luò)，4G網(wǎng)絡(luò)架構(gòu)有較大改變，其分為接入網(wǎng)E-UTRAN（Evolved Universal Terrestrial Radio Access Network）和核心網(wǎng)EPC（Evolved Packet Core）2 個(gè)部分，如圖1 所示。

圖1 4G 網(wǎng)絡(luò)架構(gòu)Fig.1 4G network architecture

在E-UTRAN 中，采用更扁平化的網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)元種類減少，取消3G 中的無(wú)線網(wǎng)絡(luò)控制器（Radio Network Controller，RNC），只包含基站eNodeB（Evolved Node B）。eNodeB 是無(wú)線接入網(wǎng)網(wǎng)元，負(fù)責(zé)空中接口相關(guān)的功能，部分RNC 功能也集成到了eNodeB中，主要包括物理層功能、無(wú)線資源管理、無(wú)線接入控制、承載控制和移動(dòng)管理等。eNodeB 直接接入EPC 中，能夠降低通信時(shí)延，提高通信速率。

核心網(wǎng)EPC 主要包括移動(dòng)管理實(shí)體（MME）、服務(wù)網(wǎng)關(guān)（SGW）、分組數(shù)據(jù)網(wǎng)關(guān)（PGW）、歸屬簽約數(shù)據(jù)庫(kù)（HSS）以及策略控制和計(jì)費(fèi)規(guī)則單元（PCRF）。

MME 是接入網(wǎng)絡(luò)的關(guān)鍵點(diǎn)，主要負(fù)責(zé)用戶接入控制、安全控制、信令處理、移動(dòng)性管理等。SGW 是用戶面接入服務(wù)網(wǎng)關(guān)，負(fù)責(zé)用戶面數(shù)據(jù)處理，在MME 的控制下進(jìn)行數(shù)據(jù)包路由和轉(zhuǎn)發(fā)、傳輸層上下行數(shù)據(jù)標(biāo)記以及下行數(shù)據(jù)包緩存等。PGW 也是用戶面的網(wǎng)元，是EPC 的邊界網(wǎng)關(guān)，主要完成會(huì)話和承載管理以及IP 地址分配的功能。HSS 是存儲(chǔ)用戶簽約信息的數(shù)據(jù)庫(kù)，其存儲(chǔ)用戶數(shù)據(jù)、位置信息和標(biāo)識(shí)信息等，同時(shí)也是網(wǎng)絡(luò)的鑒權(quán)中心，執(zhí)行身份驗(yàn)證和授權(quán)操作。PCRF 負(fù)責(zé)策略控制和計(jì)費(fèi)，其提供可用的策略和控制決策，主要進(jìn)行規(guī)則制定，不具備具體計(jì)費(fèi)功能，可根據(jù)用戶提供的信息進(jìn)行決策，確定業(yè)務(wù)和計(jì)費(fèi)策略。

在EPC 網(wǎng)絡(luò)中，取消電路域CS（Circuit Switched），采用單一網(wǎng)絡(luò)架構(gòu)，各網(wǎng)元間使用IP 傳輸，實(shí)現(xiàn)全網(wǎng)IP化，同時(shí)控制與承載分離，信令面功能由MME 負(fù)責(zé)，用戶面功能由SGW 承擔(dān)。

LTE 在安全方面采取分層機(jī)制，將接入層和非接入層分離，兩層有各自的密鑰和機(jī)制。接入層確保用戶和基站之間的安全，非接入層確保用戶和MME 之間的安全。分層設(shè)計(jì)使得兩層之間相互影響較小，從而提高了系統(tǒng)整體的安全性。

1.2 4G 網(wǎng)絡(luò)典型安全威脅

盡管4G 網(wǎng)絡(luò)架構(gòu)考慮了安全性問題，但是在實(shí)際中仍面臨很多安全威脅，根據(jù)威脅利用的主要位置可以分為用戶設(shè)備威脅、接入網(wǎng)威脅和核心網(wǎng)威脅，它們的目的是竊取用戶隱私數(shù)據(jù)、造成用戶服務(wù)中斷等。

造成用戶信息泄露的威脅具體如下：

1）竊聽，又稱流量分析，其可以利用無(wú)線信道的開放性，通過(guò)空口協(xié)議存在的漏洞直接獲取所傳輸?shù)男畔ⅲ绻荒苤苯咏獯a消息內(nèi)容，可以依據(jù)消息的源地址和目的地址，通過(guò)消息流來(lái)推斷內(nèi)容。

2）偽基站攻擊［6］，其通過(guò)設(shè)立惡意基站增強(qiáng)信號(hào)強(qiáng)度，使目標(biāo)用戶主動(dòng)附著，用戶所有數(shù)據(jù)均經(jīng)過(guò)偽基站中轉(zhuǎn)，從而獲取和篡改其中所傳輸?shù)男畔?。偽基站攻擊可以?shí)現(xiàn)多種攻擊效果，獲取合法用戶身份信息、竊取目標(biāo)用戶位置信息以及中斷用戶合法服務(wù)請(qǐng)求等。在實(shí)際中，偽基站攻擊因?yàn)楣舫杀镜汀⒑?jiǎn)便易操作等原因，成為很多攻擊者首選的威脅手段。

3）惡意代碼威脅［7］，其與傳統(tǒng)互聯(lián)網(wǎng)領(lǐng)域的攻擊方式極為相似，利用用戶設(shè)備端操作系統(tǒng)或者應(yīng)用軟件的漏洞控制用戶設(shè)備，搜集用戶數(shù)據(jù)，獲取用戶權(quán)限等。該威脅在移動(dòng)通信網(wǎng)中通常與偽基站相結(jié)合，在用戶設(shè)備接入偽基站后向用戶發(fā)送偽造的虛假短信、釣魚鏈接等，誘騙用戶點(diǎn)擊觸發(fā)惡意代碼，從而竊取用戶信息。

4）位置追蹤攻擊。文獻(xiàn)［8］發(fā)現(xiàn)運(yùn)營(yíng)商實(shí)際部署中GUTI 重分配規(guī)則存在固定字節(jié)以及重分配規(guī)律可預(yù)測(cè)的漏洞。攻擊者對(duì)用戶進(jìn)行多次靜默呼叫，觸發(fā)尋消息，監(jiān)聽并記錄消息中的GUTI 值，根據(jù)重分配規(guī)則來(lái)推測(cè)用戶是否在該區(qū)域。

致使用戶服務(wù)中斷或者擾亂用戶正常通信的常見威脅具體如下：

1）假冒攻擊［9］，指攻擊者獲知目標(biāo)用戶手機(jī)號(hào)或其他身份信息后，假冒用戶身份在網(wǎng)絡(luò)中注冊(cè)，以目標(biāo)用戶身份合法使用網(wǎng)絡(luò)服務(wù)，造成受害者不能正常接入網(wǎng)絡(luò)。

2）基站資源消耗攻擊［10］。攻擊者利用基站有最大活動(dòng)用戶連接量的特性，使用惡意軟件等技術(shù)手段假冒不同身份的用戶發(fā)起連接請(qǐng)求，消耗基站資源，達(dá)到最大連接量后基站拒絕所有合法用戶的連接請(qǐng)求。

3）Blind DoS 攻擊［10］，該攻擊方式和假冒攻擊有相似之處，與基站通信時(shí)都需要假冒目標(biāo)用戶的身份，不同的是，該攻擊更具針對(duì)性，能夠有選擇地中斷目標(biāo)用戶的特定服務(wù)，其可以假冒用戶特定服務(wù)的通信流程，只針對(duì)特定服務(wù)進(jìn)行干擾，隱蔽性更強(qiáng)，不易察覺。

4）同步驗(yàn)證失敗攻擊［3］，其利用用戶與基站通信過(guò)程中的序列號(hào)（SQN）一致性檢查，攻擊者假冒用戶身份，在連續(xù)的連接請(qǐng)求中采用不同的安全選項(xiàng)（選擇不同的加密或完整性保護(hù)算法），使HSS 認(rèn)為是多個(gè)不同請(qǐng)求，處理時(shí)增加自身的SQN 值，造成用戶端和HSS 端的SQN 值不同步。當(dāng)用戶端對(duì)SQN 檢查時(shí)，如果超出規(guī)定范圍，則校驗(yàn)與連接建立均失敗。

5）信令協(xié)議攻擊，其利用通信流程中信令協(xié)議的脆弱性，攔截正常的通信消息，修改消息內(nèi)容進(jìn)行通信擾亂，如利用4G 核心網(wǎng)中的DIAMETER 信令干擾通信。

4G 網(wǎng)絡(luò)面臨的安全威脅還有很多，其具體攻擊方法與傳統(tǒng)互聯(lián)網(wǎng)攻擊有所不同，但攻擊效果類似，其中部分攻擊方法從互聯(lián)網(wǎng)攻擊手段中發(fā)展而來(lái)。互聯(lián)網(wǎng)對(duì)類似的安全威脅進(jìn)行評(píng)估，大多需要借助專業(yè)工具，結(jié)合不同工具的評(píng)估結(jié)果給出系統(tǒng)整體的安全風(fēng)險(xiǎn)值。基于系統(tǒng)漏洞的評(píng)估使用漏洞掃描工具，根據(jù)通用漏洞評(píng)估方法（CVSS）等評(píng)價(jià)標(biāo)準(zhǔn)給出系統(tǒng)漏洞的危險(xiǎn)等級(jí)，從而評(píng)估系統(tǒng)風(fēng)險(xiǎn)?；谌肭謾z測(cè)的評(píng)估方式分析攻擊行為的特征并設(shè)立知識(shí)庫(kù)，通過(guò)研究網(wǎng)絡(luò)中數(shù)據(jù)與知識(shí)庫(kù)的匹配度來(lái)評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。此類方法都是從系統(tǒng)層面出發(fā)，以工具為基礎(chǔ)，依賴相應(yīng)的知識(shí)庫(kù)或漏洞庫(kù)，缺少全面的評(píng)估標(biāo)準(zhǔn)，而且不能完整地分析攻擊流程，評(píng)估結(jié)果依賴于知識(shí)庫(kù)的完善度和及時(shí)更新。本文提出的基于攻擊樹的評(píng)估方法，從攻擊層面出發(fā)，包含完整的攻擊流程分析且具有一定的通用性，在風(fēng)險(xiǎn)評(píng)估的同時(shí)還可以分析攻擊場(chǎng)景，從而使防御更有針對(duì)性。

2 基于攻擊樹的安全風(fēng)險(xiǎn)評(píng)估

基于攻擊樹模型的安全風(fēng)險(xiǎn)評(píng)估主要分為2 個(gè)階段：第一階段分析系統(tǒng)面臨的安全威脅，根據(jù)節(jié)點(diǎn)關(guān)系構(gòu)建層次化的攻擊樹模型；第二階段計(jì)算風(fēng)險(xiǎn)，根據(jù)威脅行為特點(diǎn)賦予葉節(jié)點(diǎn)相應(yīng)的屬性并進(jìn)行量化，從而計(jì)算根節(jié)點(diǎn)的風(fēng)險(xiǎn)概率。

2.1 攻擊樹模型

攻擊樹是對(duì)目標(biāo)基礎(chǔ)設(shè)施可能遭受的攻擊的層次化描述，其從故障樹［11］演變而來(lái)，被SCHNEIER［12］廣泛推廣。SCHNEIER 將攻擊樹作為一種安全威脅的建模方法，利用層次化進(jìn)行表示，通過(guò)自下而上的單參數(shù)擴(kuò)散來(lái)進(jìn)行定量的安全評(píng)估。攻擊樹模型［13］構(gòu)建簡(jiǎn)單，易于理解，圖形化方式較為直觀，適合描述詳細(xì)的攻擊過(guò)程并評(píng)估系統(tǒng)面臨的安全風(fēng)險(xiǎn)。

樹的根節(jié)點(diǎn)表示攻擊的最終目標(biāo)，子節(jié)點(diǎn)表示實(shí)現(xiàn)該目標(biāo)的子目標(biāo)，層層細(xì)化，最后的葉節(jié)點(diǎn)表示不可分解的原子攻擊，從根節(jié)點(diǎn)到葉節(jié)點(diǎn)的路徑表示實(shí)現(xiàn)目標(biāo)的一個(gè)完整攻擊流程，攻擊樹表示實(shí)現(xiàn)目標(biāo)的所有可能的攻擊路徑。節(jié)點(diǎn)之間的基本關(guān)系有“與”“或”兩種，“與”表示節(jié)點(diǎn)代表的手段和方法要同時(shí)完成才可以實(shí)現(xiàn)父節(jié)點(diǎn)，“或”表示只要完成一個(gè)子節(jié)點(diǎn)就可以實(shí)現(xiàn)父節(jié)點(diǎn)。

在實(shí)際應(yīng)用中，子目標(biāo)或者行為之間通常存在嚴(yán)格的順序約束關(guān)系，打亂順序則不能實(shí)現(xiàn)特定目標(biāo)，而攻擊樹的“與”“或”關(guān)系不能被準(zhǔn)確描述，因此引入擴(kuò)展節(jié)點(diǎn)，其依賴關(guān)系為“順序與”，即節(jié)點(diǎn)必須按照順序關(guān)系依次完成才能實(shí)現(xiàn)父節(jié)點(diǎn)目標(biāo)。擴(kuò)展后的攻擊樹節(jié)點(diǎn)表示如圖2 所示，擴(kuò)展攻擊樹模型能夠準(zhǔn)確描述子攻擊行為之間的相關(guān)性，構(gòu)建完成后對(duì)節(jié)點(diǎn)的屬性（攻擊成本、攻擊難度等）賦值，計(jì)算子節(jié)點(diǎn)的風(fēng)險(xiǎn)值，然后根據(jù)節(jié)點(diǎn)之間的依賴關(guān)系得到目標(biāo)的風(fēng)險(xiǎn)值。

圖2 攻擊樹的節(jié)點(diǎn)表示方法Fig.2 Node representation methods of attack tree

2.2 4G 網(wǎng)絡(luò)的擴(kuò)展攻擊樹模型構(gòu)建

攻擊樹可以看作具有根節(jié)點(diǎn)的圖，能夠通過(guò)向后推理的過(guò)程來(lái)構(gòu)建。首先，確定一個(gè)目標(biāo)作為根節(jié)點(diǎn)，本文將4G 網(wǎng)絡(luò)面臨的安全威脅作為目標(biāo)；然后，分析能夠造成威脅的前提或事件的組合，將其作為子節(jié)點(diǎn)，通過(guò)“與”“或”“順序與”的關(guān)系表示，將子節(jié)點(diǎn)層層拆分，直到成為不可拆分的原子攻擊，將其作為葉節(jié)點(diǎn)。從根節(jié)點(diǎn)到葉節(jié)點(diǎn)的一條路徑是一個(gè)攻擊序列，代表一次完整的攻擊流程。

攻擊樹模型在面向復(fù)雜的大型網(wǎng)絡(luò)時(shí)，建模效率較低，且隨著系統(tǒng)規(guī)模的增加，分支數(shù)呈指數(shù)級(jí)增長(zhǎng)，可能帶來(lái)空間爆炸的問題，攻擊路徑的搜索難度大幅提升，因此，攻擊樹不具有通用性。現(xiàn)有研究多數(shù)是針對(duì)簡(jiǎn)單網(wǎng)絡(luò)或單一安全威脅，文獻(xiàn)［14］使用攻擊樹對(duì)車載自組織網(wǎng)絡(luò)的位置隱私泄露風(fēng)險(xiǎn)進(jìn)行建模，文獻(xiàn)［15］將攻擊樹模型用于木馬檢測(cè)，但針對(duì)的是惡意代碼攻擊這種單一威脅手段。文本提出的4G 網(wǎng)絡(luò)擴(kuò)展攻擊樹模型，針對(duì)多種安全風(fēng)險(xiǎn)，具備數(shù)據(jù)重用性，同時(shí)，為降低樹的復(fù)雜度，本文在構(gòu)建擴(kuò)展攻擊樹的過(guò)程中，引入STRIDE［16］威脅分類模型，其可以限制一級(jí)節(jié)點(diǎn)數(shù)量，從而有效減少分支數(shù)并壓縮樹的寬度。

STRIDE 模型將常見的安全威脅分成身份欺騙、數(shù)據(jù)篡改、抵賴、信息泄露、拒絕服務(wù)和權(quán)限提升6 個(gè)維度，可以涵蓋目前絕大部分的安全威脅，同時(shí)，這6 個(gè)維度與信息安全屬性相關(guān)。信息安全的3個(gè)基本屬性［17］是機(jī)密性、完整性和可用性，除此之外還包括可靠性、不可抵賴性和可控性等其他屬性。STRIDE 模型與信息安全屬性的對(duì)應(yīng)關(guān)系如表1 所示。

表1 STRIDE 模型及安全屬性Table 1 STRIDE model and security attributes

STRIDE 模型的6 個(gè)維度將安全威脅進(jìn)一步細(xì)化，因此，STRIDE 模型可以作為第一級(jí)節(jié)點(diǎn)。結(jié)合典型的攻擊方式，將4G 網(wǎng)絡(luò)可能面臨的安全威脅整理成攻擊樹，如圖3 所示。

圖3 4G 網(wǎng)絡(luò)攻擊樹Fig.3 Attack tree of 4G network

在攻擊樹中，第一級(jí)節(jié)點(diǎn)為STRIDE 模型，本文攻擊樹暫不涉及權(quán)限提升和抵賴2 種安全威脅。能夠到達(dá)根節(jié)點(diǎn)的路徑（即對(duì)4G 網(wǎng)絡(luò)造成安全威脅的事件組合）稱為攻擊序列，如S1｛E1，E2｝。一個(gè)攻擊樹中存在多個(gè)攻擊序列，它們都對(duì)根節(jié)點(diǎn)造成安全威脅。

2.3 風(fēng)險(xiǎn)評(píng)估算法研究

2.3.1 葉節(jié)點(diǎn)風(fēng)險(xiǎn)概率

本文對(duì)攻擊樹模型的評(píng)估采用屬性的觀點(diǎn)，根據(jù)4G 網(wǎng)絡(luò)攻擊行為特點(diǎn)，賦予每個(gè)葉節(jié)點(diǎn)3 個(gè)屬性：實(shí)現(xiàn)攻擊的花銷cost，技術(shù)難度dif，發(fā)現(xiàn)難度det。運(yùn)用多屬性效用論［18-20］可以計(jì)算得到葉節(jié)點(diǎn)的風(fēng)險(xiǎn)概率，具體如下：

其中，a表示一個(gè)任意的葉節(jié)點(diǎn)，Pa表示葉節(jié)點(diǎn)的風(fēng)險(xiǎn)概率，costa、difa、deta分別表示節(jié)點(diǎn)a的攻擊花銷、技術(shù)難度和發(fā)現(xiàn)難度，U表示對(duì)應(yīng)屬性的效用值，W表示對(duì)應(yīng)參數(shù)的權(quán)重，3 個(gè)權(quán)重之和為1。

葉節(jié)點(diǎn)的3 個(gè)屬性可以采用等級(jí)評(píng)分的方法量化，評(píng)分標(biāo)準(zhǔn)如表2 所示。將3 個(gè)屬性劃分為5 個(gè)等級(jí)，依據(jù)評(píng)估標(biāo)準(zhǔn)對(duì)葉節(jié)點(diǎn)的屬性進(jìn)行評(píng)級(jí)。

表2 安全屬性等級(jí)評(píng)分標(biāo)準(zhǔn)Table 2 Safety attributes rating standard

攻擊花銷以購(gòu)買設(shè)備或軟件等花費(fèi)為參考，技術(shù)難度以攻擊實(shí)施的復(fù)雜性為參考，發(fā)現(xiàn)難度以漏洞等級(jí)為參考。在實(shí)際應(yīng)用中，可以采取專家打分的方式賦值，也可以借鑒通用的漏洞庫(kù)和漏洞評(píng)分系統(tǒng)，如CVE、CVSS 等。

分析可知，屬性的等級(jí)與其效用值成反比，因此，U(x)=c/x，其中，c為常數(shù)，為了方便后續(xù)計(jì)算，通常取c值為1，即U(x)=1/x，由此可以得到各節(jié)點(diǎn)屬性的效用值。各屬性的權(quán)重有不同的計(jì)算方法，文獻(xiàn)［20］使用數(shù)學(xué)歸納法，根據(jù)實(shí)際情況推導(dǎo)出權(quán)重；文獻(xiàn)［21］使用層次分析法，將權(quán)重按照屬性分解成多個(gè)層次，從而較好地衡量指標(biāo)的相對(duì)重要性。但是，上述2 種方法主觀性較強(qiáng)，結(jié)果差異性較大。本文采用模糊層次分析法（FAHP）［22-24］對(duì)指標(biāo)進(jìn)行比較和模糊性處理［25］，從而降低主觀因素對(duì)評(píng)估結(jié)果的影響。首先，根據(jù)葉節(jié)點(diǎn)所在層級(jí)被攻擊后各元素對(duì)上一層的影響確定其相對(duì)重要性，然后，將重要性進(jìn)行兩兩比較，建立模糊判斷矩陣。建立矩陣時(shí)的比較尺度表選用0.1～0.9 標(biāo)度，如表3 所示。

表3 比較尺度表Table 3 Comparison scales table

根據(jù)上述尺度表，可以得到模糊判斷矩陣如下：

根據(jù)模糊一致矩陣［26］的定義，?k有rij=rik-rjk+0.5，對(duì)矩陣R進(jìn)行一致性檢驗(yàn)［27］，如果矩陣不滿足一致性，則要根據(jù)：

將R轉(zhuǎn)變?yōu)槟：恢戮仃嘡′，歸一化處理后，得到各屬性的權(quán)重Wi：

其中，n是構(gòu)造的矩陣階數(shù)，a為權(quán)重影響因子，其與權(quán)重的差異成反比，即a越大，差異越小，且a≥(n-1)/2。在計(jì)算中，取a=(n-1)/2，即取權(quán)重差異最大的情況，將求得的Wi和Ui代入式（1）即可得到葉節(jié)點(diǎn)的風(fēng)險(xiǎn)概率Pa。

2.3.2 根節(jié)點(diǎn)風(fēng)險(xiǎn)概率

根節(jié)點(diǎn)的實(shí)現(xiàn)是攻擊序列完整執(zhí)行的結(jié)果，因此，計(jì)算根節(jié)點(diǎn)首先需要整理出所有的攻擊序列，計(jì)算出序列中所有葉節(jié)點(diǎn)的風(fēng)險(xiǎn)概率，然后再依據(jù)節(jié)點(diǎn)之間的依賴關(guān)系計(jì)算父節(jié)點(diǎn)概率，自下而上分層計(jì)算，最終得到根節(jié)點(diǎn)的風(fēng)險(xiǎn)概率。父節(jié)點(diǎn)的風(fēng)險(xiǎn)概率計(jì)算與子節(jié)點(diǎn)的“與”“或”和“順序與”3 種依賴關(guān)系有關(guān)：

1）在“與”關(guān)系中，父節(jié)點(diǎn)風(fēng)險(xiǎn)概率等于各子節(jié)點(diǎn)風(fēng)險(xiǎn)概率之積：

2）在“或”關(guān)系中，父節(jié)點(diǎn)風(fēng)險(xiǎn)概率取各子節(jié)點(diǎn)風(fēng)險(xiǎn)概率中的最大值：

3）在“順序與”關(guān)系中，父節(jié)點(diǎn)風(fēng)險(xiǎn)概率符合條件概率的情況：

由此，自下而上可以逐級(jí)推斷出每層節(jié)點(diǎn)的風(fēng)險(xiǎn)概率，最終得到根節(jié)點(diǎn)風(fēng)險(xiǎn)概率，即4G 網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)評(píng)估結(jié)果，在過(guò)程中也可以得到單一安全威脅事件的風(fēng)險(xiǎn)概率，即對(duì)應(yīng)的攻擊序列的發(fā)生概率。

3 實(shí)驗(yàn)結(jié)果與分析

3.1 環(huán)境介紹

為避免影響真實(shí)用戶，本文在實(shí)驗(yàn)室搭建的4G 網(wǎng)絡(luò)環(huán)境下進(jìn)行測(cè)試，所有設(shè)備均來(lái)自中興公司，網(wǎng)絡(luò)拓?fù)淙鐖D4 所示。模擬用戶號(hào)段CS：1619800XXXX，VoLTE：1619900XXXX。

圖4 4G 網(wǎng)絡(luò)拓?fù)銯ig.4 4G network topology

3.2 威脅分析

在實(shí)驗(yàn)中模擬攻擊方時(shí)，硬件采用USRP B210，軟件使用愛爾蘭SRS（Software Radio Systems）公司開發(fā)的免費(fèi)開源LTE 框架srsLTE，支持srsUE 和eNodeB，可以模擬惡意UE 或LTE 網(wǎng)絡(luò)。本文以STRIDE 模型中拒絕服務(wù)為攻擊目標(biāo)，即以模擬用戶服務(wù)被拒絕或網(wǎng)絡(luò)不能正常提供服務(wù)為攻擊目標(biāo)，構(gòu)建攻擊樹模型，如圖5 所示。圖5 中各節(jié)點(diǎn)符號(hào)的具體含義如表4 所示。按照攻擊可能發(fā)生的位置將威脅分為3 種：針對(duì)終端發(fā)起的攻擊，針對(duì)網(wǎng)元發(fā)起的攻擊，針對(duì)通信流程發(fā)起的攻擊，它們是第一級(jí)節(jié)點(diǎn)。在實(shí)驗(yàn)中，終端用的是智能手機(jī)，因此，第一種威脅主要是針對(duì)智能手機(jī)的惡意代碼攻擊，又可以細(xì)分為用戶被動(dòng)觸發(fā)和攻擊者主動(dòng)控制兩類。針對(duì)網(wǎng)元發(fā)起的攻擊包括基站受到的威脅、核心網(wǎng)作為整體受到的威脅和物理層面遭到的破壞。針對(duì)通信流程發(fā)起的攻擊主要利用信令協(xié)議，更改協(xié)議中消息內(nèi)容或延遲響應(yīng)等，破壞正常的通信進(jìn)程，擾亂會(huì)話從而造成安全威脅。

圖5 實(shí)驗(yàn)室環(huán)境下4G 網(wǎng)絡(luò)拒絕服務(wù)攻擊樹Fig.5 4G network denial of service attack tree in laboratory environment

表4 攻擊樹中各節(jié)點(diǎn)的符號(hào)含義Table 4 Symbolic meaning of each node in attack tree

在生成的攻擊樹模型中，共包含11 組可以造成拒絕服務(wù)的攻擊序列Si，分別為S1｛E1，E2｝、S2｛E3｝、S3｛E4｝、S4｛E5｝、S5｛E6，E7｝、S6｛E8，E9｝、S7｛E10，E11｝、S8｛E12｝、S9｛E6，E13｝、S10｛E14，E15｝和S11｛E10，E16｝。執(zhí)行任一攻擊序列都能使模擬用戶服務(wù)失常，多節(jié)點(diǎn)的序列中節(jié)點(diǎn)之間的依賴關(guān)系是“順序與”，其先后不能被打亂，否則無(wú)法正確執(zhí)行。

3.3 評(píng)估結(jié)果與對(duì)比

對(duì)生成的攻擊樹模型按照安全風(fēng)險(xiǎn)評(píng)估算法進(jìn)行評(píng)估，利用表2 的評(píng)估標(biāo)準(zhǔn)對(duì)各節(jié)點(diǎn)的攻擊花銷、技術(shù)難度和發(fā)現(xiàn)難度屬性進(jìn)行打分［28］，具體如表5 所示。

表5 葉節(jié)點(diǎn)的安全屬性等級(jí)得分Table 5 The security attributes rating scores of leaf nodes

根據(jù)相對(duì)重要性，將各屬性的權(quán)重值進(jìn)行兩兩比較得到模糊判斷矩陣：

對(duì)矩陣進(jìn)行一致性檢驗(yàn)，發(fā)現(xiàn)不具有一致性，根據(jù)式（2）將其轉(zhuǎn)換為模糊一致矩陣，隨后用式（3）進(jìn)行歸一化處理，因?yàn)橐x予葉節(jié)點(diǎn)3 個(gè)安全屬性，所以式（3）中n取值為3，a取值為1，計(jì)算可得權(quán)重Wcost值為0.22，Wdif值為0.35，Wdet值為0.43。最后，根據(jù)節(jié)點(diǎn)間的依賴關(guān)系，得出11 組攻擊序列的風(fēng)險(xiǎn)概率如表6 所示。為了驗(yàn)證評(píng)估方法的有效性，對(duì)已生成的攻擊樹模型采用文獻(xiàn)［29］方法進(jìn)行評(píng)估，結(jié)果如表7 所示。

表6 攻擊序列的風(fēng)險(xiǎn)概率Table 6 Risk probability of attack sequences

表7 文獻(xiàn)［29］方法評(píng)估結(jié)果Table 7 Evaluation results of the method in literature［29］

從圖6 可以看出，2 種方法攻擊序列的風(fēng)險(xiǎn)概率有一定差異，主要原因是兩者的屬性權(quán)值計(jì)算方法不同。文獻(xiàn)［29］方法使用算術(shù)平均法對(duì)矩陣進(jìn)行處理，最終Wcost值為0.1，Wdif值為0.37，Wdet值為0.53，攻擊序列S5、S6 的可能性仍舊最高，但實(shí)際中這2 種攻擊方式也是最容易被察覺的，因此，發(fā)生概率較低。本文方法所得結(jié)果更貼合實(shí)際情況，同時(shí)文獻(xiàn)［29］方法中攻擊花銷的權(quán)重值極小，降低了攻擊花銷屬性對(duì)攻擊方式選擇結(jié)果的影響，可信度不高。

圖6 本文方法與文獻(xiàn)［29］方法評(píng)估結(jié)果對(duì)比Fig.6 Comparison of the evaluation results between the method in this paper and the method in literature［29］

綜上，本文方法所得概率較為平穩(wěn)，能夠清晰反映最有威脅性的攻擊行為，具備較高的可信度，構(gòu)造的攻擊樹模型也有一定的通用性，能真實(shí)反映4G 網(wǎng)絡(luò)的風(fēng)險(xiǎn)狀況，根據(jù)評(píng)估結(jié)果部署防御措施能夠在有限的范圍內(nèi)選擇最有利的防御行為，大幅提高系統(tǒng)的安全性。由評(píng)估結(jié)果可知，實(shí)驗(yàn)室環(huán)境中網(wǎng)絡(luò)最有可能受到的安全威脅是由攻擊序列S5 和S6 造成的，即偽基站攻擊和基站資源消耗攻擊。在實(shí)際情況中，偽基站攻擊和基站資源消耗攻擊也是移動(dòng)通信網(wǎng)面臨的最常見、最通用的威脅手段。

目前，運(yùn)營(yíng)商和公安系統(tǒng)聯(lián)手加大了對(duì)各種攻擊手段的打擊力度，但是仍有部分不法分子不斷升級(jí)攻擊技術(shù)和隱蔽性，這類攻擊可以造成用戶在較短時(shí)間內(nèi)與正常的運(yùn)營(yíng)商網(wǎng)絡(luò)斷開連接，然后結(jié)合惡意代碼對(duì)用戶造成威脅。評(píng)估結(jié)果中惡意代碼系列的攻擊概率較高，這需要用戶增強(qiáng)防范意識(shí)，切勿隨意點(diǎn)擊不明來(lái)源的鏈接，不輕易掃描不明二維碼，仔細(xì)辨別信息內(nèi)容，防止泄露個(gè)人信息。智能終端上也可以使用安全軟件，監(jiān)控系統(tǒng)的敏感數(shù)據(jù)，及時(shí)發(fā)現(xiàn)危險(xiǎn)操作，阻止惡意代碼入侵。

4 結(jié)束語(yǔ)

安全風(fēng)險(xiǎn)評(píng)估是保障系統(tǒng)安全穩(wěn)定的基礎(chǔ)，只有全面、系統(tǒng)地掌握網(wǎng)絡(luò)狀態(tài)及其面臨的安全風(fēng)險(xiǎn)，才能更好地實(shí)施防御策略。本文在梳理4G 網(wǎng)絡(luò)安全威脅的基礎(chǔ)上，提出4G 網(wǎng)絡(luò)攻擊樹構(gòu)造方法，使用擴(kuò)展節(jié)點(diǎn)融合STIDE 模型，以真實(shí)反映系統(tǒng)情況并限制攻擊樹的規(guī)模，然后通過(guò)模糊層次分析法進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。實(shí)驗(yàn)結(jié)果驗(yàn)證了該方法的有效性。對(duì)4G 網(wǎng)絡(luò)建模、構(gòu)造攻擊樹以及量化評(píng)估風(fēng)險(xiǎn)發(fā)生概率，有利于分析網(wǎng)絡(luò)的安全狀況和攻擊者可能采取的攻擊路徑，從而有針對(duì)性地進(jìn)行防御，提高系統(tǒng)安全等級(jí)。但在面對(duì)大規(guī)模網(wǎng)絡(luò)時(shí)人工建模效率低、耗費(fèi)時(shí)間長(zhǎng)，因此，下一步將減少人為因素的干擾并實(shí)現(xiàn)一種自動(dòng)化風(fēng)險(xiǎn)評(píng)估方式，以提高評(píng)估結(jié)果的客觀性、準(zhǔn)確性以及通用性。