李紅嬌, 何文豪, 李晉國

(上海電力大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院, 上海 200090)

風(fēng)險(xiǎn)評(píng)估在于識(shí)別潛在的威脅,通常以定量的方式描述風(fēng)險(xiǎn)并適當(dāng)?shù)乇硎静淮_定性,最終目標(biāo)是提高網(wǎng)絡(luò)的完整性和穩(wěn)定性[1]。漏洞風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)評(píng)估中的關(guān)鍵技術(shù)之一。HACKMAGEDDON[2]公布的數(shù)據(jù)顯示,漏洞攻擊是10大主要網(wǎng)絡(luò)攻擊手段之一。因此,提升并完善漏洞風(fēng)險(xiǎn)評(píng)估技術(shù)勢在必行?？紤]到漏洞之間的依賴關(guān)系以及網(wǎng)絡(luò)狀況的可視化,目前的研究主要是將攻擊圖應(yīng)用于漏洞風(fēng)險(xiǎn)評(píng)估中,即通過模擬網(wǎng)絡(luò)攻擊過程來找出所有可能到達(dá)攻擊目標(biāo)的路徑。

1 MulVAL簡介

攻擊圖用于通過模擬網(wǎng)絡(luò)攻擊過程來找到所有可以到達(dá)攻擊目標(biāo)的攻擊路徑。除了通常默認(rèn)提供的網(wǎng)絡(luò)連接以外,要構(gòu)建攻擊圖,還需要網(wǎng)絡(luò)中每臺(tái)主機(jī)的開放服務(wù)。攻擊者通常首先使用漏洞掃描工具對(duì)這些開放服務(wù)進(jìn)行掃描,然后利用存在的漏洞攻擊目標(biāo)來達(dá)到相應(yīng)的攻擊意圖。

攻擊圖示例如圖1所示。每個(gè)節(jié)點(diǎn)表示主機(jī)的狀態(tài),其中,Sg表示要達(dá)到的目標(biāo)狀態(tài),Si表示要達(dá)到目標(biāo)之前的狀態(tài),i=1,2,3,…,n。每條邊代表狀態(tài)轉(zhuǎn)換所需的條件。

圖1 攻擊圖示例

基于攻擊圖的已知漏洞風(fēng)險(xiǎn)評(píng)估(Known Vulnerability Risk Assessment,KVRA)過程如圖2所示。

圖2 基于攻擊圖的KVRA

早期階段攻擊圖主要通過手動(dòng)構(gòu)建生成,導(dǎo)致較高的錯(cuò)誤率和較差的可擴(kuò)展性。如今,已有工具支持攻擊圖的自動(dòng)生成,幾種常用的攻擊圖生成工具如表1所示。

表1 攻擊圖生成工具

MulVAL[3]是用于漏洞評(píng)估的攻擊圖生成工具。該軟件的優(yōu)點(diǎn)是可與漏洞掃描工具Nessus和國家漏洞數(shù)據(jù)庫(NVD)結(jié)合使用;缺點(diǎn)在于有兩個(gè)難以實(shí)現(xiàn)的假設(shè):一是默認(rèn)網(wǎng)絡(luò)中的設(shè)備、規(guī)則以及漏洞的可利用性都為100%,二是假設(shè)每個(gè)漏洞都是獨(dú)立的。為了解決上述兩個(gè)問題,本文提出了基于MulVAL改進(jìn)的漏洞風(fēng)險(xiǎn)評(píng)估框架。由于NVD官方網(wǎng)站對(duì)漏洞信息的保存使用JSON而不是XML,因此在本文提出的框架中,從NVD獲取到的漏洞信息的原始數(shù)據(jù)將會(huì)被保存在MongoDB中。然后,從原始數(shù)據(jù)中提取需要的內(nèi)容保存至MySQL。接下來,通過通用漏洞評(píng)分系統(tǒng)(Common Vulnerability Scoring System,CVSS)計(jì)算漏洞的可利用性。之后,將貝葉斯理論引入攻擊圖來量化漏洞之間的相關(guān)性。最后,結(jié)合達(dá)到攻擊目標(biāo)所需的資源數(shù)量這一指標(biāo),進(jìn)一步篩選最可能被攻擊者采用的攻擊路徑。

MulVAL目前僅面向Linux和Mac操作系統(tǒng),未包含Windows版本。相較于其他攻擊圖生成工具而言,MulVAL最大的優(yōu)勢在于它是開源的,可以對(duì)源代碼進(jìn)行一定的修改來滿足自身的實(shí)際需求。MulVAL依賴于XSB,GraphViz,MySQL 3款軟件,所以為了能夠正常運(yùn)行MulVAL,需要完成依賴軟件的安裝。其中:XSB面向Unix和Windows系統(tǒng),是一種用于邏輯編程和演繹數(shù)據(jù)庫系統(tǒng);GraphViz是實(shí)現(xiàn)攻擊圖生成的核心組件;MySQL用來存儲(chǔ)NVD中的已有的全部漏洞信息。

2 MulVAL相關(guān)研究

MulVAL由OU X等人[3]在2005年提出,用于對(duì)軟件與系統(tǒng)配置的交互進(jìn)行建模,并且作為入侵檢測系統(tǒng)的輔助工具來實(shí)現(xiàn)更有效的網(wǎng)絡(luò)安全分析。SEMBIRING J等人[4]針對(duì)MulVAL的固有缺陷進(jìn)行了改進(jìn)。首先,使用CVSS和通用配置評(píng)分系統(tǒng)(Common Configuration Scoring System,CCSS)分別量化每個(gè)漏洞的可利用性和系統(tǒng)配置的漏洞。再使用貝葉斯網(wǎng)絡(luò)來發(fā)現(xiàn)漏洞之間的關(guān)系。AKINYEMI B O等人[5]用Nessus和MulVAL分別收集網(wǎng)絡(luò)信息和生成攻擊圖。為了解決MulVAL攻擊圖可能包含循環(huán)的缺點(diǎn),提出新算法以消除攻擊者可以利用其中的節(jié)點(diǎn)的周期。這種方法的優(yōu)點(diǎn)是具有可伸縮性,但生成的攻擊圖缺乏可理解性。PUPPALA G和PASUPULETI S K[6]使用內(nèi)置的擴(kuò)展MulVAL工具來構(gòu)建攻擊圖,優(yōu)化生成攻擊圖時(shí)的可擴(kuò)展性;同時(shí),將貝葉斯定理應(yīng)用于攻擊圖,以進(jìn)行動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估。 SUN X等人[7]提出了一個(gè)新的框架,以彌補(bǔ)現(xiàn)有任務(wù)影響評(píng)估與云計(jì)算中網(wǎng)絡(luò)彈性之間的差距。

3 改進(jìn)的MulVAL框架

本文構(gòu)建的基于MulVAL改進(jìn)的漏洞風(fēng)險(xiǎn)評(píng)估框架如圖3所示。該框架為一個(gè)自下而上的運(yùn)行過程。

圖3 基于MulVAL改進(jìn)的漏洞風(fēng)險(xiǎn)評(píng)估框架

第1層顯示網(wǎng)絡(luò)信息的來源。托管網(wǎng)絡(luò)是指漏洞評(píng)估所需的網(wǎng)絡(luò)。NVD提供了每個(gè)已知漏洞的詳細(xì)信息。漏洞的發(fā)現(xiàn)可以依賴于漏洞掃描程序,如Nessus以及針對(duì)Wordpress漏洞的kali wpscan工具。

第2層是基于第1層信息生成攻擊圖。其核心組件是MulVAL框架。MongoDB用于存儲(chǔ)來自NVD的漏洞信息,Robo3T是MongoDB的可視化工具。該框架用于生成攻擊圖。原始和改進(jìn)的MulVAL框架如圖4所示。兩者之間的主要區(qū)別是NVD的數(shù)據(jù)格式和用于存儲(chǔ)數(shù)據(jù)的數(shù)據(jù)庫。此外,Nessus雖然是綜合性較強(qiáng)的漏洞掃描工具,但是對(duì)于具體Web應(yīng)用存在的漏洞可能會(huì)出現(xiàn)遺漏。Python用于數(shù)據(jù)收集和數(shù)據(jù)庫操作的編程語言。

圖4 MulVAL框架的原始以及改進(jìn)框架

第3層用于完成漏洞評(píng)估的定量任務(wù)。具體來說,CVSS用于計(jì)算每個(gè)漏洞的內(nèi)在屬性(即可利用性)。為了克服攻擊圖忽略漏洞之間的相關(guān)性的問題,將貝葉斯理論應(yīng)用于攻擊圖[8]。此外,考慮到修復(fù)漏洞的成本和時(shí)間,系統(tǒng)管理員必須選擇攻擊圖中的關(guān)鍵路徑。因此,有必要計(jì)算每個(gè)可以到達(dá)目標(biāo)的攻擊路徑的概率。因?yàn)楦怕氏嗤墓袈窂剿璧馁Y源數(shù)不一定相同,因此資源數(shù)為指標(biāo)。在可利用性概率相同的情況下,某條攻擊路徑所需的資源數(shù)越少,那么該條攻擊路徑在理論上更容易達(dá)到攻擊目標(biāo)。

4 實(shí)驗(yàn)環(huán)境及風(fēng)險(xiǎn)評(píng)估細(xì)節(jié)

實(shí)驗(yàn)的網(wǎng)絡(luò)配置如圖5所示。在內(nèi)網(wǎng)中,設(shè)備包括工作站、Web服務(wù)器、文件服務(wù)器以及路由器。文件服務(wù)器向工作站提供網(wǎng)絡(luò)文件服務(wù)(NFS),共享文件目錄設(shè)置為/home/server/share。Web服務(wù)器開放tcp和http協(xié)議。工作站將文件服務(wù)器提供的共享文件目錄掛載于/mnt/share下。其中,Web服務(wù)器的操作系統(tǒng)為Windows 10。文件服務(wù)器的操作系統(tǒng)為ubuntu 16.04。工作站的操作系統(tǒng)為Windows 7。文件服務(wù)器與工作站的模擬通過VMware Workstation創(chuàng)建的虛擬機(jī)實(shí)現(xiàn)。

圖5 實(shí)驗(yàn)網(wǎng)絡(luò)配置

圖6顯示了攻擊者位于外網(wǎng)中,并試圖滲透到內(nèi)網(wǎng)中以獲得工作站的root權(quán)限。該圖使用MulVAL生成的原始攻擊圖,還未進(jìn)行量化。

圖6 針對(duì)工作站的單目標(biāo)原始攻擊

為了對(duì)單個(gè)漏洞的危害性進(jìn)行評(píng)估,使用CVSS[9]對(duì)其進(jìn)行量化。CVSS有3個(gè)版本,分別為CVSS v1.0,CVSS v2.0,CVSS v3.0,皆包含基礎(chǔ)指標(biāo)、時(shí)間指標(biāo)及環(huán)境指標(biāo)等3種指標(biāo)。目前主要使用的是CVSS v2.0和CVSS v3.0。本文采用CVSS v2.0計(jì)算漏洞的基礎(chǔ)評(píng)分。

SB=(0.6SI+0.4×1.5E)×f(SI)

(1)

SI=10.41×[1-(1-C)(1-I)(1-A)]

(2)

E=20×VA×CA×Au

(3)

(4)

式中:SB——基礎(chǔ)評(píng)分;

SI——影響評(píng)分;

E——可利用性;

C,I,A——機(jī)密性、完整性、可用性;

VA——訪問向量;

CA——訪問復(fù)雜度;

Au——認(rèn)證方式。

考慮到漏洞之間可能存在依賴性,因此將貝葉斯理論引入攻擊圖中來解決評(píng)估時(shí)漏洞相互獨(dú)立的缺陷。計(jì)算條件概率分布p(Xi|pai)[10]。該概率分布表示,當(dāng)獲得一組前提條件pai的觀測值時(shí),達(dá)到安全狀態(tài)Xi。應(yīng)該考慮兩種可能情況,包括邏輯與(AND)和邏輯或(OR)。這類似于攻擊圖中累積分?jǐn)?shù)[11-12]的概念。式(5)為邏輯與的計(jì)算表達(dá)式,式(6)為邏輯或的計(jì)算表達(dá)式。其中,pvj表示攻擊者成功利用漏洞vj的概率。

(5)

(6)

經(jīng)過量化后的實(shí)際結(jié)果如圖7所示。

圖7 針對(duì)工作站的單目標(biāo)量化攻擊圖

其中,圖7中所有規(guī)則的概率默認(rèn)值都為0.8,灰色標(biāo)注的地方是通過使用CVSS以及貝葉斯理論后的實(shí)際結(jié)果。在未經(jīng)過處理前,p(vulExists(NFS Server,CVE-1990-0710,ubuntu_linux,remoteClient,privEscalation))=1.0,修改后該節(jié)點(diǎn)的概率變成了漏洞CVE-1990-0170的CVSS基礎(chǔ)評(píng)分。由于該節(jié)點(diǎn)的改變,引發(fā)了后續(xù)相關(guān)節(jié)點(diǎn)概率的變化,節(jié)點(diǎn)的計(jì)算主要?dú)w屬于邏輯與一類。

假設(shè)攻擊圖中2條以上的攻擊路徑能達(dá)到最終的目標(biāo)。在這種情況下,考慮到網(wǎng)絡(luò)安全修復(fù)及加固的成本,需要對(duì)這些攻擊路徑做進(jìn)一步的篩選,找到最有可能被攻擊者采用的攻擊路徑。因此,可以將每條攻擊路徑達(dá)到攻擊目標(biāo)所需的不同類型的資源數(shù)R作為另一個(gè)指標(biāo),結(jié)合綜合評(píng)估方法獲得更準(zhǔn)確的結(jié)果。

(7)

式中:pi——相應(yīng)攻擊路徑僅基于CVSS的基礎(chǔ)評(píng)分得到的評(píng)估結(jié)果;

wpi,wR——pi和R的權(quán)重,默認(rèn)為0.5。

如兩條攻擊路徑的風(fēng)險(xiǎn)概率都為0.75,兩者都包含3個(gè)資源(諸如http,ssh,rsh等)。但是第1條攻擊路徑中3個(gè)資源中包含2個(gè)相同類型的資源,則資源數(shù)R=2/3 ；而第2條攻擊路徑中的3個(gè)資源類型皆不同,則R=1。在這樣的情況下,最后的評(píng)估結(jié)果為

從上述評(píng)估結(jié)果可知,第1條攻擊路徑比第2條攻擊路徑更需要被關(guān)注,達(dá)到了篩選的效果。

5 問題及解決方案

在使用MulVAL源代碼時(shí),可能碰到的問題以及解決方案如下。

(1) 內(nèi)存不足 由于漏洞數(shù)量逐年遞增,所以在寫入MySQL時(shí),可能會(huì)因?yàn)閿?shù)據(jù)量過大而出現(xiàn)內(nèi)存不足問題。解決方案是修改nvd_sync.sh文件中的內(nèi)存最小值以及最大值。

(2) 無法使用nvd_sync.sh來獲取國家漏洞數(shù)據(jù)庫信息 解決方案是修改nvd_sync.sh中NVD的URL。

(3) 解析漏洞數(shù)據(jù)(XML格式)失敗 解決方案是將XML中的&轉(zhuǎn)換為&,原因是dom4j無法解析XML中的轉(zhuǎn)義字符。

(4) 可解析XML格式的漏洞數(shù)據(jù)文件,但MySQL中沒有存儲(chǔ)任何數(shù)據(jù) 造成該問題的原因是國家漏洞數(shù)據(jù)庫的官網(wǎng)采用JSON格式來代替XML格式對(duì)漏洞數(shù)據(jù)進(jìn)行存儲(chǔ)。因此,解決方案是首先修改nvd_sync.sh中的國家漏洞數(shù)據(jù)庫的URL,然后對(duì)JSON格式的漏洞數(shù)據(jù)文件進(jìn)行解析,提取需要的數(shù)據(jù)保存至MongoDB或MySQL中。從實(shí)現(xiàn)的難易度角度來說,可以采用MongoDB存取原始數(shù)據(jù),然后提取關(guān)鍵數(shù)據(jù)存放至MySQL中。這是因?yàn)镸ulVAL默認(rèn)使用的是MySQL,如果僅使用MongoDB,可能需要從代碼層面進(jìn)行大幅度的修改。

在漏洞掃描方面,雖然Nessus能給出網(wǎng)絡(luò)主機(jī)總體漏洞的詳細(xì)信息,但是它對(duì)一些特定Web的應(yīng)用漏洞不具針對(duì)性。為了解決這個(gè)問題,可以使用一些特定的工具彌補(bǔ)。如在實(shí)驗(yàn)環(huán)境中的Web Server上安裝了Wordpress應(yīng)用,向外界展示博客。在這種情況下,處于外網(wǎng)的攻擊者如果獲取到了Web Server映射到公網(wǎng)的域名,則可以通過kali wpscan工具結(jié)合字典攻擊來暴力破解Wordpress的賬號(hào)。具體的代碼為

·wpscan-url xxx-e u

·wpscan-url xxx-U username-P wordlist.txt

第1條代碼的作用是用來獲取對(duì)應(yīng)url下的Wordpress的用戶名;第2條代碼是暴力破解用戶名對(duì)應(yīng)的密碼。

6 結(jié) 語

攻擊圖是訪問網(wǎng)絡(luò)安全性并提供網(wǎng)絡(luò)強(qiáng)化決策的強(qiáng)大工具,既可用于識(shí)別攻擊者引起的不良活動(dòng),還可幫助安全管理員了解是否可以通過多步驟攻擊來破壞給定的關(guān)鍵資源。MulVAL作為生成攻擊圖的開源軟件,滿足了當(dāng)前網(wǎng)絡(luò)安全的可視化需求。為了解決MulVAL攻擊圖的固有缺陷,本文提出了基于CVSS計(jì)算漏洞的可利用性,將貝葉斯理論引入攻擊圖來評(píng)估漏洞之間的依賴性,同時(shí)結(jié)合達(dá)到攻擊目標(biāo)所需的資源數(shù)量這一指標(biāo)進(jìn)一步篩選出更可能被攻擊者采用的攻擊路徑。