楊艷麗，宋禮鵬

（中北大學(xué) 大數(shù)據(jù)學(xué)院，太原 030051）

0 概述

攻擊圖技術(shù)通過圖形化的形式展示網(wǎng)絡(luò)中可能存在的攻擊路徑，幫助防御者直觀地理解目標(biāo)網(wǎng)絡(luò)內(nèi)各個脆弱性之間的關(guān)系，以便防御者采取相應(yīng)的防御措施。PHILIPS［1］等人提出了攻擊圖的概念，并將其應(yīng)用于網(wǎng)絡(luò)脆弱性分析。隨著攻擊圖技術(shù)的發(fā)展，攻擊圖作為關(guān)鍵技術(shù)被應(yīng)用于告警信息關(guān)聯(lián)分析［2］、網(wǎng)絡(luò)風(fēng)險評估［3］、網(wǎng)絡(luò)入侵意圖識別［4］等方面，但這些研究在攻擊圖構(gòu)建過程中都未考慮社交網(wǎng)絡(luò)威脅對網(wǎng)絡(luò)安全狀況的影響。隨著網(wǎng)絡(luò)攻防對抗技術(shù)的不斷發(fā)展，攻擊者為達到入侵的目的，已不僅僅是依賴于網(wǎng)絡(luò)設(shè)備中存在的漏洞，而是更多地借助社交網(wǎng)絡(luò)發(fā)起社交工程攻擊。在社交網(wǎng)絡(luò)中，攻擊者利用社交網(wǎng)絡(luò)好友間的信任關(guān)系，模仿正常用戶與受害者進行互動，以達到竊取敏感信息的目的，而受害者難以發(fā)現(xiàn)［5］。因此，借助社交網(wǎng)絡(luò)和物理網(wǎng)絡(luò)入侵的兩網(wǎng)協(xié)作攻擊比單獨利用傳統(tǒng)網(wǎng)絡(luò)脆弱性的攻擊更具威脅性［6］。但由于社交工程攻擊隨生活方式的改變不斷產(chǎn)生新的攻擊方式，并且受非技術(shù)因素影響太大，目前鮮有研究將社交網(wǎng)絡(luò)威脅結(jié)合到傳統(tǒng)攻擊圖中。

知識圖譜具有組織、管理和理解互聯(lián)網(wǎng)海量信息的能力［7］。針對上述攻擊圖技術(shù)未將社交網(wǎng)絡(luò)威脅和傳統(tǒng)網(wǎng)絡(luò)脆弱性結(jié)合的問題，知識圖譜技術(shù)的知識組織和管理特性能夠為社交網(wǎng)絡(luò)和物理網(wǎng)絡(luò)的各類信息提供統(tǒng)一的知識表達方式，可以對現(xiàn)實網(wǎng)絡(luò)環(huán)境中的實體、概念、屬性以及它們之間的關(guān)系進行建模，盡可能直觀、真實地展現(xiàn)現(xiàn)實環(huán)境中的情況，利用其知識推理的能力可以對社交網(wǎng)絡(luò)數(shù)據(jù)和物理網(wǎng)絡(luò)數(shù)據(jù)進行關(guān)聯(lián)分析。知識圖譜的引入，可以將社交網(wǎng)絡(luò)和物理網(wǎng)絡(luò)有機地連接起來，從而豐富攻擊圖的輸入信息，提高攻擊圖分析的全面性和完備性。

本文提出一種基于知識圖譜生成融合社交網(wǎng)絡(luò)威脅的攻擊圖生成方法。通過構(gòu)建融合社交網(wǎng)絡(luò)威脅的網(wǎng)絡(luò)安全本體模型和知識圖譜，整合社交網(wǎng)絡(luò)與物理網(wǎng)絡(luò)的相關(guān)數(shù)據(jù)，在此基礎(chǔ)上，利用廣度優(yōu)先搜索算法和自定義的查詢推理規(guī)則生成融合社交網(wǎng)絡(luò)威脅的攻擊圖。

1 相關(guān)工作

1.1 攻擊圖技術(shù)

攻擊圖技術(shù)中的最小攻擊單位被稱為原子攻擊。由于攻擊圖的類型和需求不同，原子攻擊可以是一次漏洞利用攻擊、一次社交工程攻擊和一次非授權(quán)登錄行為，或僅表示網(wǎng)絡(luò)狀態(tài)發(fā)生了變化而不體現(xiàn)具體的攻擊細節(jié)［8］。

在攻擊圖生成方面，文獻［9］利用手工構(gòu)建的安全規(guī)則和攻擊模式知識庫生成攻擊圖，該方法效率較低，且可能存在收集信息不全面、難以發(fā)現(xiàn)信息間的關(guān)聯(lián)關(guān)系等問題。文獻［10］提出了基于攻擊模式的廣度搜索攻擊圖的生成算法，該方法能有效減少冗余的攻擊路徑，但該方法中數(shù)據(jù)的存儲使用關(guān)系型數(shù)據(jù)庫，在存儲大規(guī)模數(shù)據(jù)時讀寫性能較差。文獻［11］以矩陣描述攻擊過程中攻擊者的權(quán)限提升過程，基于權(quán)限矩陣構(gòu)建攻擊圖。上述研究成果存在的共同問題是忽略了社交工程對整個網(wǎng)絡(luò)帶來的威脅，導(dǎo)致防御者不能全面地掌握整個網(wǎng)絡(luò)狀況，一旦在內(nèi)部社交網(wǎng)絡(luò)中發(fā)生社交工程攻擊，防御者難以及時采取有效措施。

在利用攻擊圖技術(shù)分析社交工程威脅方面，文獻［12］通過構(gòu)建社交工程屬性攻擊圖，利用貝葉斯網(wǎng)絡(luò)實現(xiàn)社交網(wǎng)絡(luò)中社交工程對個人隱私威脅的評估，該研究主要是針對面向Internet 的社交賬號，并不完全適用于企業(yè)和組織內(nèi)部的局域網(wǎng)社交網(wǎng)絡(luò)。文獻［13］提出一種社交工程框架，并用攻擊圖技術(shù)展示了社交工程攻擊各階段之間的相互關(guān)系。上述研究側(cè)重于利用攻擊圖技術(shù)分析社交工程造成的個人隱私數(shù)據(jù)泄露的問題，但未利用攻擊圖技術(shù)展示出社交工程攻擊對局域網(wǎng)終端設(shè)備的影響。另外，社交工程可以是網(wǎng)絡(luò)入侵過程中的一個階段性攻擊，單純利用社交網(wǎng)絡(luò)威脅構(gòu)建的攻擊圖無法為防御者提供完整的攻擊鏈。

文獻［14］提出一種將社交工程威脅結(jié)合到傳統(tǒng)攻擊圖中的方法，其利用企業(yè)內(nèi)部的訪問控制列表和通信圖來識別可能成為社交工程攻擊受害者的相關(guān)角色。該方法生成的攻擊圖在節(jié)點粒度上，沒有考慮詳細的網(wǎng)絡(luò)拓撲，一旦發(fā)生攻擊，無法準(zhǔn)確地定位到受害者，在攻擊圖分析方面，沒有提供社交工程威脅利用成功率的評估模型。

1.2 網(wǎng)絡(luò)安全領(lǐng)域知識圖譜

在構(gòu)建網(wǎng)絡(luò)安全領(lǐng)域知識圖譜方面，文獻［15］提出一種構(gòu)建網(wǎng)絡(luò)安全本體的方法，并設(shè)計了STUCCO 網(wǎng)絡(luò)安全本體，該本體中涵蓋了15 種實體類型以及115 種屬性。文獻［16］提出一種構(gòu)建網(wǎng)絡(luò)安全知識庫的方法，并設(shè)計了網(wǎng)絡(luò)安全知識庫架構(gòu)，實現(xiàn)了網(wǎng)絡(luò)安全領(lǐng)域知識的抽取以及屬性和關(guān)系的推理。

隨著知識圖譜技術(shù)在醫(yī)療、金融等行業(yè)的廣泛應(yīng)用，知識圖譜在網(wǎng)絡(luò)安全領(lǐng)域的研究也開始向應(yīng)用方面發(fā)展。文獻［17］根據(jù)態(tài)勢感知的需求設(shè)計了物聯(lián)網(wǎng)網(wǎng)絡(luò)安全本體模型和用戶自定義推理規(guī)則，利用本體的推理能力實現(xiàn)了對復(fù)雜攻擊的推理和網(wǎng)絡(luò)態(tài)勢的推斷。文獻［18］提出利用原子攻擊知識圖譜生成擴展的攻擊圖，通過知識圖譜技術(shù)對多源信息融合的能力，為攻擊圖分析技術(shù)提供更加精確的攻擊成功率和攻擊收益評估，該方法提供了一種一般網(wǎng)絡(luò)通用的漏洞知識庫。

本文利用知識圖譜的方法關(guān)聯(lián)社交網(wǎng)絡(luò)和物理網(wǎng)絡(luò)的各類信息，將構(gòu)建的知識圖譜應(yīng)用于社交網(wǎng)絡(luò)威脅和傳統(tǒng)網(wǎng)絡(luò)脆弱性結(jié)合的屬性攻擊圖的生成與分析。本文將社交網(wǎng)絡(luò)威脅和漏洞作為攻擊圖的頂點，并以兩者為核心，根據(jù)搭建的內(nèi)網(wǎng)環(huán)境和生成攻擊圖的需求，設(shè)置相關(guān)實體并與社交網(wǎng)絡(luò)威脅實體和漏洞實體進行關(guān)聯(lián)。上述構(gòu)建網(wǎng)絡(luò)安全知識圖譜的研究成果主要以傳統(tǒng)網(wǎng)絡(luò)脆弱性為核心，其設(shè)計的網(wǎng)絡(luò)安全本體中未包含社交網(wǎng)絡(luò)的相關(guān)信息，因此不能直接用于指導(dǎo)本文攻擊圖的生成與分析，需要重新設(shè)計能輔助生成融合社交網(wǎng)絡(luò)威脅的攻擊圖的本體模型并構(gòu)建知識圖譜。本文在參考上述研究成果的本體設(shè)計的基礎(chǔ)上，提出了“社交網(wǎng)絡(luò)+物理網(wǎng)絡(luò)”的本體模型。

2 “社交網(wǎng)絡(luò)+物理網(wǎng)絡(luò)”知識圖譜構(gòu)建

知識圖譜的構(gòu)建方法有自頂向下和自底向上兩種［7］。自頂向下是指預(yù)先定義領(lǐng)域內(nèi)的本體模型，通過添加獲取的實體數(shù)據(jù)構(gòu)建知識圖譜。自底向上是通過獲取到的數(shù)據(jù)抽象出領(lǐng)域內(nèi)的概念，再將置信度較高的信息加入知識庫中，從而構(gòu)建知識圖譜。本文采取自頂向下和自底向上相結(jié)合的方式構(gòu)建知識圖譜。在預(yù)先定義好本體模型的基礎(chǔ)上，依據(jù)內(nèi)網(wǎng)環(huán)境中收集到的數(shù)據(jù)，對本體模型中的類、關(guān)系和屬性進行補充。下文將介紹“社交網(wǎng)絡(luò)+物理網(wǎng)絡(luò)”的網(wǎng)絡(luò)安全本體模型的設(shè)計及知識圖譜構(gòu)建。

2.1 本體模型設(shè)計

知識圖譜通常被劃分為模式層和數(shù)據(jù)層［7］。本體是結(jié)構(gòu)化知識庫的概念模板，通過本體庫形成的知識庫不僅層次結(jié)構(gòu)較強，而且冗余程度較小，所以本體庫通常作為知識圖譜的模式層。本文提出的“社交網(wǎng)絡(luò)+物理網(wǎng)絡(luò)”的本體模型的整體設(shè)計如圖1所示。

圖1 本體模型整體設(shè)計Fig.1 The overall design of the ontology model

本體模型主要包括以下8 種實體類型：

1）用戶：企業(yè)或組織內(nèi)部對網(wǎng)絡(luò)中設(shè)備具有操作和訪問能力的人員。每個用戶實例包括資歷和身份兩種屬性。資歷用時間表示，以“年”為單位；身份指用戶在企業(yè)或組織內(nèi)部承擔(dān)的角色或職位。在真實內(nèi)網(wǎng)環(huán)境中，用戶和用戶之間存在具體的關(guān)系。用戶是物理網(wǎng)絡(luò)和社交網(wǎng)絡(luò)關(guān)聯(lián)的核心。

2）用戶名：企業(yè)或組織內(nèi)部人員訪問網(wǎng)絡(luò)內(nèi)設(shè)備需要登錄的用戶名。

3）權(quán)限：每個用戶名訪問設(shè)備時所具備的權(quán)限，主要包括管理員權(quán)限和用戶權(quán)限。

4）賬號：內(nèi)部人員使用的內(nèi)部通信軟件的賬號。所屬應(yīng)用用以標(biāo)識賬號所屬的具體通信軟件；賬號設(shè)置表示用戶設(shè)置的賬號登錄方式，例如記住密碼、自動登錄等。賬號之間通過好友關(guān)系建立起社交網(wǎng)絡(luò)。

5）資產(chǎn)：內(nèi)部網(wǎng)絡(luò)中存在的各類設(shè)備，如服務(wù)器、計算機等。設(shè)備與設(shè)備之間存在連接關(guān)系（包括直連和遠程連接）。每個資產(chǎn)實例具備5 種屬性，分別為IP、MAC、操作系統(tǒng)、重要程度、區(qū)域。其中區(qū)域用以區(qū)分設(shè)備所處的網(wǎng)段。

6）攻擊：網(wǎng)絡(luò)中可能存在的威脅，包括社交網(wǎng)絡(luò)威脅和軟硬件漏洞利用攻擊等。每種攻擊實例包括攻擊條件和攻擊危害兩種屬性。

7）脆弱性：內(nèi)部網(wǎng)絡(luò)中存在的已知漏洞。每個脆弱性實例包括脆弱性利用條件、脆弱性危害、CVSS（Common Vulnerability Scoring System）值、攻擊利用復(fù)雜度、利用路徑和認(rèn)證方式6 種屬性。脆弱性利用條件是指脆弱性利用的訪問條件以及權(quán)限條件；脆弱性危害指脆弱性利用后可能產(chǎn)生的后果，例如信息泄露、系統(tǒng)破壞等；攻擊利用復(fù)雜度、利用路徑和認(rèn)證方式是CVSS 中對脆弱性評分的3 個基礎(chǔ)指標(biāo)，也是本文在計算脆弱性利用成功率中要用到的指標(biāo)。

8）防御措施：能夠降低內(nèi)部網(wǎng)絡(luò)威脅風(fēng)險值的建議或措施。

基于以上本體模型構(gòu)建的知識圖譜，能夠?qū)⑽锢砭W(wǎng)絡(luò)和社交網(wǎng)絡(luò)聯(lián)系在一起，為后續(xù)攻擊圖的生成和分析提供更加全面的數(shù)據(jù)。

2.2 知識圖譜構(gòu)建

數(shù)據(jù)是知識圖譜構(gòu)建中必不可少的部分，常見的網(wǎng)絡(luò)安全漏洞知識庫主要包括中國信息安全漏洞庫、CVE（Common Vulnerabilities and Exposures）漏洞庫和NVD（National Vulnerability Database）漏洞庫等各國政府建立的漏洞庫，以及知道創(chuàng)宇的Seebug漏洞平臺等由安全企業(yè)建立的漏洞庫。本文構(gòu)建知識圖譜所用到的信息主要來自于搭建的內(nèi)網(wǎng)環(huán)境中采集到的數(shù)據(jù)以及CVE、NVD 漏洞數(shù)據(jù)庫和安全論壇的網(wǎng)絡(luò)文本數(shù)據(jù)。

2.2.1 知識抽取

知識抽取是從半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)源中抽取實體、關(guān)系和屬性的過程，目前已有不少成熟的工具和方法［19-21］。

在網(wǎng)絡(luò)安全實體抽取方面，文獻［16］驗證了Stanford 的NER（Named Entities Recognition）工具提供的一些特征，能有效地識別網(wǎng)絡(luò)安全領(lǐng)域?qū)嶓w。本文中需要抽取2.1 節(jié)中提到的8 類實體，大部分實體可以從結(jié)構(gòu)化數(shù)據(jù)中獲得。

關(guān)系抽取是從各類信息中抽取實體與實體、實體與屬性之間的關(guān)系，通常利用規(guī)則或機器學(xué)習(xí)的方法。本文需要抽取如圖1 所示的類與類之間存在的威脅、訪問、擁有、利用、修復(fù)、緩解等關(guān)系以及各類與其屬性之間存在的關(guān)系。對于半結(jié)構(gòu)化或非結(jié)構(gòu)化數(shù)據(jù)，利用已有的關(guān)系抽取技術(shù)實現(xiàn)。

屬性抽取是從信息源中獲取特定實體的相關(guān)屬性。本文中資產(chǎn)屬性通過網(wǎng)絡(luò)拓撲掃描可獲得結(jié)構(gòu)化數(shù)據(jù)信息，其中區(qū)域以網(wǎng)段和各網(wǎng)段的設(shè)備類型劃分為外部服務(wù)器區(qū)、用戶區(qū)和內(nèi)部服務(wù)器區(qū)，重要程度利用層次分析法對連接設(shè)備量、設(shè)備類型、設(shè)備訪問量、隱私數(shù)據(jù)量、設(shè)備使用人員身份5 個方面評估得出；從漏洞掃描報告和CVE 漏洞庫中可通過規(guī)則提取脆弱性屬性信息；攻擊屬性需要從非結(jié)構(gòu)化的網(wǎng)絡(luò)文本數(shù)據(jù)中獲取。

利用采集的數(shù)據(jù)構(gòu)建的局部知識圖譜如圖2所示。

圖2 局部知識圖譜Fig.2 Local of knowledge graph

2.2.2 知識推理

知識推理是對知識圖譜進行補全的一個過程，通過推理發(fā)現(xiàn)知識圖譜中實體間存在的隱藏關(guān)系或?qū)傩?。常見的推理方式有基于?guī)則的推理、基于分布式表示的推理和基于神經(jīng)網(wǎng)絡(luò)的推理［22］。本文通過自定義查詢和推理規(guī)則，實現(xiàn)在攻擊圖生成過程中對網(wǎng)絡(luò)節(jié)點連通性、社交賬號與網(wǎng)絡(luò)內(nèi)設(shè)備之間映射等的查詢和推理。部分查詢和推理規(guī)則如下：

1）已知主機查找該主機上登錄的社交賬號：

sql="MATCH（n：賬號）←［r：擁有］-（u：用戶）-［r：擁有］→（m：用戶名）-［f：訪問］→（d：資產(chǎn)）WHERE d.uri='PC27'return n.uri"

2）節(jié)點連通性推理規(guī)則：

（A-［連接］-B）or（A.區(qū)域=B.區(qū)域）

2.2.3 知識存儲

常見的知識圖譜存儲方式包括圖數(shù)據(jù)庫和關(guān)系型數(shù)據(jù)庫。圖數(shù)據(jù)庫以圖的形式存儲數(shù)據(jù)，與傳統(tǒng)的關(guān)系型數(shù)據(jù)庫相比，圖數(shù)據(jù)庫查詢速度更快，并且能夠發(fā)現(xiàn)節(jié)點間隱藏的關(guān)系。目前常用的圖數(shù)據(jù)庫有Neo4j、OrientDB 和Titan 等，本文采用Neo4j 圖數(shù)據(jù)庫存儲知識圖譜數(shù)據(jù)。

3 基于知識圖譜的屬性攻擊圖生成與分析

3.1 攻擊圖生成過程

基于“社交網(wǎng)絡(luò)+物理網(wǎng)絡(luò)”知識圖譜生成攻擊圖的過程如圖3 所示。在攻擊圖生成過程中，數(shù)據(jù)處理是對知識圖譜中脆弱性和攻擊的利用條件以及危害信息進行提取標(biāo)記，便于后期條件匹配時調(diào)用。查詢推理是通過自定義查詢規(guī)則獲取節(jié)點連接關(guān)系、訪問權(quán)限、節(jié)點漏洞、賬號與設(shè)備間映射關(guān)系等信息。條件匹配是指根據(jù)獲取的節(jié)點連通性、訪問權(quán)限、利用條件、危害、賬號間好友關(guān)系等信息來發(fā)現(xiàn)攻擊路徑。最后通過調(diào)用graphviz 實現(xiàn)攻擊圖的可視化。

圖3 基于“社交網(wǎng)絡(luò)+物理網(wǎng)絡(luò)”知識圖譜生成攻擊圖的過程Fig.3 Process of generating attack graph based on "social network+physical network" knowledge graph

3.2 攻擊圖生成算法

本文攻擊圖的生成分為兩個部分：一是利用社交工程手段的攻擊路徑的生成，便于第二部分的快速調(diào)用；二是社交網(wǎng)絡(luò)威脅和脆弱性利用攻擊相結(jié)合的攻擊圖的生成。社交網(wǎng)絡(luò)威脅攻擊路徑的生成方法如算法1 所示。

算法1社交攻擊路徑生成算法

算法1 生成社交網(wǎng)絡(luò)威脅攻擊路徑的集合，以便后續(xù)加入到攻擊圖中，生成過程采取了后向鏈接和廣度優(yōu)先搜索的思想。首先從知識圖譜中查詢獲取社交賬號集和社交網(wǎng)絡(luò)威脅屬性，然后從社交賬號威脅屬性中提取利用條件和危害，分別作為其前置條件和后置條件；獲取目標(biāo)賬號ai存在的威脅satti，若存在，則查找賬號ai具有好友關(guān)系的賬號列表；對于賬號列表中的每個賬號fj，若存在威脅sattj，且satti的后置條件滿足sattj的前置條件，則為其建立關(guān)系，同時為sattj與被其危害的設(shè)備建立連接關(guān)系；最后將從ai開始的所有攻擊路徑存入社交網(wǎng)絡(luò)威脅攻擊路徑集。重復(fù)以上過程直到遍歷完所有賬號。

在生成所有存在的社交網(wǎng)絡(luò)威脅攻擊路徑的基礎(chǔ)上，社交網(wǎng)絡(luò)威脅和漏洞利用攻擊相結(jié)合的攻擊圖的生成算法如算法2 所示。

算法2攻擊路徑生成算法

算法2 采用前向鏈接、廣度優(yōu)先搜索的思想生成融合社交網(wǎng)絡(luò)威脅的攻擊圖。首先從圖數(shù)據(jù)庫中獲取設(shè)備節(jié)點集和脆弱性屬性，并從脆弱性屬性中提取利用條件和危害，分別作為其前置條件和后置條件；依次將node 中的節(jié)點作為目標(biāo)節(jié)點，當(dāng)nodei存在脆弱性vuli時，通過圖數(shù)據(jù)庫的查詢，找到nodei所有能訪問到的節(jié)點；對于鄰接節(jié)點集中的每個節(jié)點nj，如果nj存在vulj，并且vulj的后置條件滿足vuli的前置條件，則為其建立連接關(guān)系。在此基礎(chǔ)上，如果vuli的后置條件滿足其映射賬號的威脅的前置條件，則為其建立連接關(guān)系，并將該賬號的威脅攻擊路徑加入到攻擊圖鄰接表中。重復(fù)以上過程，直到遍歷所有的設(shè)備節(jié)點。

3.3 攻擊成功率與節(jié)點損失計算

攻擊成功率反映攻擊者成功入侵路徑上所有節(jié)點的概率。假設(shè)一條攻擊路徑R={n1，n2，…，nm}，則該路徑的攻擊成功率為：

3.3.1 傳統(tǒng)脆弱性利用成功率

CVSS 提供了一套通用的脆弱性評分機制，其度量指標(biāo)中的攻擊路徑AV、攻擊復(fù)雜度AC、訪問認(rèn)證條件AU 描述了漏洞利用的攻擊方式。因此，本文將這3 個指標(biāo)作為漏洞利用攻擊成功率計算的指標(biāo)，其中，AV、AC、AU 的概率賦值如表1 所示。

表1 攻擊路徑、攻擊復(fù)雜度和認(rèn)證方式的概率Table 1 Probability of attack path，attack complexity and authentication method

由表1 可以看出，漏洞利用攻擊的入侵路徑條件越低，攻擊復(fù)雜度越低，對攻擊者的認(rèn)證要求越低，一次漏洞利用攻擊的成功率越高。因此，本文定義一次漏洞利用攻擊成功概率為：

3.3.2 社交網(wǎng)絡(luò)威脅利用成功率

社交網(wǎng)絡(luò)中的社交工程攻擊通過收集用戶的信息發(fā)展和利用用戶間的信任關(guān)系，從而達到入侵網(wǎng)絡(luò)設(shè)備的目的。目前，大部分企業(yè)使用企業(yè)內(nèi)部的通信工具軟件來提高工作效率［23］。因此，本文基于內(nèi)部社交網(wǎng)絡(luò)的特征以及屬性攻擊圖的特點列出了3 種內(nèi)部社交網(wǎng)絡(luò)可能存在的威脅，如表2 所示，其中誘餌計劃和網(wǎng)絡(luò)釣魚為社交工程攻擊。

表2 內(nèi)部社交網(wǎng)絡(luò)可能存在的威脅Table 2 Possible threats to internal social networks

攻擊者在能訪問到通信軟件的環(huán)境條件下，利用社交賬號的登錄設(shè)置或通過一定技術(shù)盜取用戶的賬號及密碼，并偽裝成內(nèi)網(wǎng)的正常用戶與受害者交互，這一過程稱為身份盜用。由于被盜取的賬號在內(nèi)部社交網(wǎng)絡(luò)中與其他賬號之間存在一定的信任度，因此身份盜用攻擊為后續(xù)的誘餌計劃和網(wǎng)絡(luò)釣魚提供了攻擊基礎(chǔ)。

身份盜用成功率根據(jù)賬號登錄設(shè)置、用戶是否有使用弱密碼的習(xí)慣來定級。有弱密碼使用習(xí)慣的用戶可以猜測他的密碼復(fù)雜度不會太高，在密碼爆破時比較容易成功。弱密碼使用習(xí)慣可以從用戶對用戶名的密碼設(shè)置情況來檢測。當(dāng)用戶未設(shè)置記住密碼或自動登錄，并且未檢測到用戶有弱密碼使用習(xí)慣時，暴力破解在密碼復(fù)雜度不確定的情況下，可能比較費時，所以概率取值比較低。身份盜用成功率P(n)取值如表3 所示。

表3 身份盜用成功率P(n)取值Table 3 Value of the success rate P(n)of identity theft

攻擊者通過身份盜用可獲得某一賬號的控制權(quán)，同時繼承該賬號在社交網(wǎng)絡(luò)中的信任度，從而利用用戶間信任發(fā)起社交工程攻擊。因此，誘餌計劃和網(wǎng)絡(luò)釣魚這兩種威脅的成功率根據(jù)賬號間信任度來度量。假設(shè)賬號a 被攻擊者控制，賬號b 對賬號a的信任度越高，社交工程攻擊成功率也越高。

在內(nèi)網(wǎng)環(huán)境中，用戶和用戶之間彼此認(rèn)識，所以賬號間的信任度可以轉(zhuǎn)化為現(xiàn)實環(huán)境中用戶間的信任度。本文利用用戶資歷和相處時間兩個因素來衡量用戶間的信任度。

在實際情況中，用戶資歷會對信任度產(chǎn)生影響。隨著資歷差值的增大，資歷淺的用戶對資歷深的用戶的信任度有所提升，但提升速度相對較緩。本文資歷表示用戶在企業(yè)或組織中工作或?qū)W習(xí)的時長，因此設(shè)置賬號a 對賬號b 基于資歷的信任度函數(shù)Re(ta，tb)：

其中，ta、tb表示賬號a 用戶和賬號b 用戶的資歷，tb-ta表示兩個用戶資歷差值。

在一般情況下，相處時間長的用戶值得相信。隨著相處時間的不斷變化，用戶間的信任度也動態(tài)地變化，且隨著相處時間的增長，信任度增長速度逐漸變緩，因此設(shè)置賬號a 對賬號b 基于相處時間的信任度函數(shù)Rt(ta，tb)：

其中，min(ta，tb)表示兩個用戶的相處時間，即資歷短的為兩人相處的時長。綜上所述，可得賬號a 對賬號b 的信任度R(a，b)：

其中，ta=0 和tb=0 表示兩個用戶為陌生關(guān)系，即相處時間很短，可根據(jù)實際情況確定時間界限值來定義陌生關(guān)系，C為常數(shù)，代表賬號a 用戶資歷深且兩個用戶為陌生關(guān)系時的信任度，即賬號a 對陌生人的信任度，α為權(quán)重，當(dāng)賬號b 用戶資歷較深且兩個用戶為陌生關(guān)系時，相處時間對信任度的影響很小，即α取值較小，ρ為信任學(xué)習(xí)因子，其值越小，用戶資歷對信任度的影響越小。隨著相處時間的增加，用戶資歷對信任度的影響逐漸減小，ρ是動態(tài)變化的，因此將ρ值定義為：

綜上可知，誘餌計劃和網(wǎng)絡(luò)釣魚這兩種威脅的成功率P(n)：

其中，k為比例系數(shù)，代表社交工程成功率與用戶間信任度正相關(guān)。

3.3.3 節(jié)點和路徑損失計算

節(jié)點損失是指脆弱性利用或社交網(wǎng)絡(luò)威脅發(fā)生后對設(shè)備節(jié)點造成的影響。假設(shè)單個設(shè)備節(jié)點i被攻擊后產(chǎn)生了b種危害，則該節(jié)點i的損失為：

其中，wi為設(shè)備節(jié)點i的重要程度，是一個權(quán)重參數(shù)。因此，任意一條包含m個節(jié)點的攻擊路徑造成的路徑損失為：

圖4 網(wǎng)絡(luò)拓撲結(jié)構(gòu)Fig.4 Network topology

3.4 結(jié)果分析

為驗證本文所提本體模型的可行性和生成攻擊圖的有效性，本文基于真實內(nèi)部環(huán)境網(wǎng)絡(luò)進行實驗，所有實驗運算均在相同系統(tǒng)平臺（處理器Intel?Core?i7—8550U CPU 1.80 GHz，內(nèi)存8.00 GB，操作系統(tǒng)Windows10）和編程環(huán)境（python 3.7）下進行。實驗環(huán)境的網(wǎng)絡(luò)拓撲如圖4 所示。

網(wǎng)絡(luò)中包含外部服務(wù)器區(qū)、用戶區(qū)和內(nèi)部服務(wù)器區(qū)3 個區(qū)域。防火墻隔離外網(wǎng)和內(nèi)網(wǎng)，攻擊者可通過遠程網(wǎng)絡(luò)連接對內(nèi)部網(wǎng)絡(luò)系統(tǒng)發(fā)起攻擊。外部服務(wù)器區(qū)有一臺Web 服務(wù)器，為用戶區(qū)的用戶提供外網(wǎng)訪問的功能。內(nèi)部服務(wù)器區(qū)包括通信服務(wù)器、FTP 服務(wù)器和SQL 服務(wù)器，為用戶區(qū)提供內(nèi)部通信、文件傳輸和信息存儲的功能。由于內(nèi)部網(wǎng)絡(luò)的配置，攻擊者從外部網(wǎng)絡(luò)只能訪問到外部服務(wù)器區(qū)，外部服務(wù)器區(qū)和內(nèi)部服務(wù)器區(qū)不能訪問其他網(wǎng)段，用戶區(qū)主機可訪問外部服務(wù)器區(qū)和內(nèi)部服務(wù)器區(qū)中的設(shè)備，用戶區(qū)有16 個用戶，每個用戶擁有自己的內(nèi)網(wǎng)社交賬號。其中，有兩個用戶分別擁有訪問FTP 服務(wù)器和SQL 服務(wù)器的管理員賬號，有一個用戶為臨時人員且與其他用戶相處時間短。網(wǎng)絡(luò)中存在的脆弱性和社交網(wǎng)絡(luò)威脅如表4 所示。

表4 脆弱性及社交網(wǎng)絡(luò)威脅信息Table 4 Information of vulnerabilities and social network threats

為計算社交工程成功率，需確定式（5）和式（7）中C、α、k3 個參數(shù)，參數(shù)取值如表5 所示。根據(jù)CSS2015 調(diào)查報告顯示，在人際交往中對陌生人的信任度僅為0.056［24］，考慮到不同用戶可能對陌生人的信任度不同，因此將對陌生人的信任度C設(shè)置為［0.04，0.07］之間的值；α取值視用戶間的資歷差確定；本文將用戶間信任度視為社交工程攻擊成功率，因而k取值為1。

表5 參數(shù)取值Table 5 Parameter values

假設(shè)攻擊者在穿透防火墻后對內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊，在現(xiàn)有實驗環(huán)境下攻擊者可通過兩種方式入侵內(nèi)網(wǎng)：一是通過漏洞利用攻擊實現(xiàn)對內(nèi)部網(wǎng)絡(luò)的入侵，攻擊示意圖如圖5 所示；二是通過漏洞利用攻擊和社交工程攻擊相結(jié)合的方式達到入侵內(nèi)網(wǎng)的目的，攻擊示意圖如圖6 所示，攻擊者通過漏洞利用攻擊獲得用戶區(qū)主機控制權(quán)后，盜用該主機上的社交賬號信息，冒充該用戶與正常用戶交互，利用用戶間的信任度獲取內(nèi)部服務(wù)器的登錄賬號密碼或誘導(dǎo)正常用戶點擊惡意鏈接。

圖5 利用漏洞入侵內(nèi)網(wǎng)的攻擊方式Fig.5 Attack methods to use loopholes to invade the intranet

圖6 利用漏洞和社交網(wǎng)絡(luò)威脅入侵內(nèi)網(wǎng)的攻擊方式Fig.6 Attack methods that exploit vulnerabilities and social network threats to invade the intranet

為測試本文方法能夠提高攻擊圖分析的全面性，在現(xiàn)有網(wǎng)絡(luò)拓撲和脆弱性信息條件下，選擇文獻［10］中的方法得到傳統(tǒng)攻擊圖，與本文方法得到的攻擊圖進行對照分析。傳統(tǒng)攻擊圖如圖7 所示，使用本文方法得到的融合社交網(wǎng)絡(luò)威脅的攻擊圖如圖8 所示。從圖7 和圖8 兩個攻擊圖中可以看出，社交工程攻擊和利用傳統(tǒng)脆弱性的攻擊都能入侵到內(nèi)網(wǎng)的FTP 服務(wù)器和SQL 服務(wù)器，從而竊取機密信息。在對網(wǎng)絡(luò)系統(tǒng)造成大規(guī)模破壞方面，攻擊者通過社交網(wǎng)絡(luò)可以使用誘餌計劃傳播木馬等惡意代碼，從而擴大攻擊范圍，但是僅利用軟硬件上存在的漏洞不足以對網(wǎng)絡(luò)系統(tǒng)造成大規(guī)模破壞。因此，本文方法得到的攻擊圖能使防御者更加全面地了解網(wǎng)絡(luò)安全狀況。

圖7 傳統(tǒng)攻擊圖Fig.7 Traditional attack graph

圖8 基于知識圖譜生成的融合社交網(wǎng)絡(luò)威脅攻擊圖Fig.8 Attack graph of fusion of social network threats generated based on knowledge graph

本文實驗中利用用戶間信任度度量社交工程的成功率。在實際攻擊中，當(dāng)用戶間信任度較低時，社交工程容易失敗并且攻擊者會被發(fā)現(xiàn)，導(dǎo)致攻擊路徑無效。因此，對用戶間信任度進行約束，即用戶間信任度大于0.6 視為社交工程可成功發(fā)生，得到如圖9 所示的攻擊圖。另外，在實驗環(huán)境下得到的3 種攻擊圖的規(guī)模如表6 所示。

從表6 數(shù)據(jù)和3 種攻擊圖可以看出，在實驗環(huán)境下，約束用戶信任度后的攻擊圖的攻擊路徑數(shù)比不加約束的攻擊圖減少約15 個百分點，影響網(wǎng)絡(luò)內(nèi)設(shè)備節(jié)點數(shù)減少約16 個百分點，由此可見：約束用戶信任度后的融合社交網(wǎng)絡(luò)威脅的攻擊圖能減少部分無效路徑；約束用戶信任度后的攻擊圖與傳統(tǒng)攻擊圖相比，有效攻擊路徑增加21 條，影響網(wǎng)絡(luò)內(nèi)設(shè)備節(jié)點數(shù)增加6 個。在本文實驗環(huán)境中，網(wǎng)絡(luò)系統(tǒng)內(nèi)有20 個節(jié)點，存在5 種不同漏洞和10 臺存在漏洞的設(shè)備，增加的6 個節(jié)點為不存在漏洞的設(shè)備。因此，借助社交網(wǎng)絡(luò)可入侵到不存在漏洞的設(shè)備，并且約束用戶信任度后的攻擊圖依然能為防御者提供相對全面的網(wǎng)絡(luò)威脅信息。

圖9 用戶間信任度大于0.6 的攻擊圖Fig.9 Attack graph with trust between users greater than 0.6

表6 攻擊圖規(guī)模對比Table 6 Comparison of attack graph scale

在內(nèi)部網(wǎng)絡(luò)中，F(xiàn)TP 服務(wù)器上存放了重要內(nèi)部資料，是網(wǎng)絡(luò)內(nèi)部首要防御對象。為進一步說明引入社交網(wǎng)絡(luò)威脅能有效提高攻擊圖分析的全面性和準(zhǔn)確性，根據(jù)圖7 和圖9 分別生成以FTP 服務(wù)器為攻擊目標(biāo)，以attacker 為攻擊源的有效攻擊路徑，其路徑規(guī)模對比如表7 所示，根據(jù)圖7 傳統(tǒng)攻擊圖生成的有效攻擊路徑數(shù)據(jù)如表8 所示，根據(jù)圖9 攻擊圖生成的攻擊成功率前7的有效攻擊路徑數(shù)據(jù)如表9 所示。

表7 FTP 為攻擊目標(biāo)的攻擊路徑規(guī)模對比Table 7 Comparison of attack path scale with FTP as the target

表8 根據(jù)圖7 生成的以FTP 服務(wù)器為攻擊目標(biāo)且攻擊成功率前7 的攻擊路徑Table 8 Generate the attack path with the FTP server as the top7 attack success rate according to Fig.7

表9 根據(jù)圖9 生成的以FTP 服務(wù)器為攻擊目標(biāo)且攻擊成功率前7 的攻擊路徑Table 9 Generate the attack path with the FTP server as the target and the top 7 attack success rate according to Fig.9

從表7 數(shù)據(jù)可看出，融合社交網(wǎng)絡(luò)威脅的攻擊圖生成的攻擊路徑比傳統(tǒng)攻擊圖增加5 條，且均為借助社交網(wǎng)絡(luò)入侵的路徑。由表9 可知，在攻擊成功率前7 的路徑中，3/7 的攻擊路徑為借助社交網(wǎng)絡(luò)入侵的路徑，且為表中攻擊成功率前3 的路徑，對網(wǎng)絡(luò)系統(tǒng)造成的損失也排在表中攻擊路徑的前4 位。由此可知，在以FTP 服務(wù)器為攻擊目標(biāo)的攻擊路徑中，約42%的攻擊路徑為借助社交網(wǎng)絡(luò)入侵的路徑，其中，60%的攻擊路徑的攻擊成功率高于單純利用傳統(tǒng)網(wǎng)絡(luò)脆弱性進行攻擊的路徑。從防御角度來看，在防御資源有限的情況下，應(yīng)當(dāng)優(yōu)先防御攻擊成功率最高和造成損失度最大的路徑節(jié)點。由表8 數(shù)據(jù)可知，攻擊成功率最高和造成損失度最大的路徑均為路徑1，因此優(yōu)先防御的節(jié)點為Web 服務(wù)器，主機PC9 和FTP 服務(wù)器；由表9 數(shù)據(jù)可知，路徑1 借助社交網(wǎng)絡(luò)入侵，且攻擊成功率最高，比表8 路徑1 的攻擊成功率高出82.3%，表9 中路徑3 造成的損失度最高，因此優(yōu)先防御路徑1 和路徑3 上的Web 服務(wù)器，主機PC27，社交賬號acc_num4，主機PC9，社交賬號acc_num7 和FTP 服務(wù)器。另外，社交工程攻擊需要利用社交網(wǎng)絡(luò)好友間信任度，所以在加強設(shè)備和賬號安全性的同時，需要加強對用戶網(wǎng)絡(luò)安全意識的培養(yǎng)。由以上分析可知，利用融合社交網(wǎng)絡(luò)威脅的攻擊圖進行網(wǎng)絡(luò)脆弱性分析時，比傳統(tǒng)攻擊圖的分析角度更全面，得到的威脅路徑更符合實際情況。

4 結(jié)束語

本文針對傳統(tǒng)攻擊圖中忽略社交網(wǎng)絡(luò)威脅的問題，設(shè)計一種融合社交網(wǎng)絡(luò)威脅的網(wǎng)絡(luò)安全本體模型并構(gòu)建知識圖譜。通過對內(nèi)部通信社交賬號使用特性的分析，列出3 種可能存在于局域網(wǎng)社交網(wǎng)絡(luò)的威脅，給出了社交網(wǎng)絡(luò)威脅的攻擊成功率的計算方法，并利用構(gòu)建的知識圖譜生成社交網(wǎng)絡(luò)威脅和傳統(tǒng)網(wǎng)絡(luò)脆弱性相結(jié)合的攻擊圖。實驗結(jié)果表明，與傳統(tǒng)攻擊圖相比，本文生成的攻擊圖在對整個網(wǎng)絡(luò)的威脅分析上明顯比單純針對傳統(tǒng)網(wǎng)絡(luò)脆弱性生成的攻擊圖更加全面。后續(xù)將嘗試與入侵檢測相結(jié)合，優(yōu)化攻擊圖生成算法，并檢測該算法在動態(tài)網(wǎng)絡(luò)中的實時性和準(zhǔn)確率。