王金芳,郭淵博

(信息工程大學 密碼工程學院,鄭州 450001)

0 引 言

物理信息系統(tǒng)(Cyber Physical Systems,CPS)被定義為計算與通信系統(tǒng)之間的交互系統(tǒng),包括網(wǎng)絡部分和物理過程,具有非常緊密的互連性,其廣泛應用于電網(wǎng)、通信、交通、醫(yī)療和國防等關鍵基礎設施領域[1,2],這些應用場景要求物理信息系統(tǒng)具備穩(wěn)定性、高性能、可靠性以及魯棒性,這就需要計算、通信和控制系統(tǒng)的緊密集成[3].但由于網(wǎng)絡物理連接的復雜性,關鍵基礎設施一直是犯罪分子的重要攻擊目標,其安全性受到嚴重的威脅[4];因此,采取合理的安全措施,以最大限度地減少破壞對基礎設施造成的損失成為急需解決的問題.攻擊建模是一種建模和可視化事件序列的方法,其能夠識別主機和物理設備上的漏洞,可以有效地保證物理信息系統(tǒng)的安全.其中,攻擊圖是對網(wǎng)絡攻擊進行建模的一種重要手段,是一種圖形化的網(wǎng)絡脆弱性分析技術.攻擊圖通過對目標網(wǎng)絡和可能遭受的攻擊行為進行建模,展示攻擊者發(fā)動攻擊時可能選擇的攻擊路徑,該技術既可指導防御方采取針對性修復和防御措施,也可為攻擊者制定攻擊計劃提供依據(jù)[5-7].

現(xiàn)階段攻擊圖生成技術的研究一般有2種思路:1)采用已有技術(如模型檢測技術和邏輯推理等)對網(wǎng)絡和攻擊圖進行建模,并采用相關的成熟工具生成攻擊圖[8,9];2)是重新建立目標網(wǎng)絡和攻擊圖模型,并在此基礎上設計定制算法構(gòu)建攻擊圖[10-12].然而,以上兩種攻擊圖生成技術的應用場景局限于含有主機和服務器等的網(wǎng)絡環(huán)境中,不能對包含物理設備等的物理信息系統(tǒng)進行建模評估,且當物理信息系統(tǒng)中的設備數(shù)量、漏洞數(shù)量、漏洞軟件實例的可達性條件和漏洞建模的粒度變得很大時,上述攻擊圖生成技術存在狀態(tài)空間爆炸問題,這導致攻擊圖的生成效率大大降低.

因此,本文提出了一種分布式的攻擊圖生成方法.本文首先考慮物理網(wǎng)絡拓撲,對包含物理設備的物理信息系統(tǒng)進行攻擊建模,利用屬性標記實體的方法擴展設備漏洞信息,表示攻擊如何傳播;然后,使用超圖分區(qū)的方法為每個代理分配任務,并采用深度優(yōu)先搜索算法的改進并行版本,進而在多代理平臺上執(zhí)行分布式搜索快速構(gòu)建攻擊圖;在此期間,使用分布式共享存儲器來消除圖部分的重復遍歷,以避免在生成的攻擊圖中多次擴展結(jié)點,從而在最小化代理之間消息傳輸數(shù)量的前提下,提高攻擊圖的生成效率.

與現(xiàn)有攻擊圖生成的相關技術相比,本文提出的分布式攻擊圖生成方法的主要優(yōu)勢為:

1.適用于復雜的大規(guī)模物理信息系統(tǒng).本文提出的分布式攻擊圖生成方法在復雜大規(guī)模系統(tǒng)中依然具備高效性,從而可以解決現(xiàn)有物理信息系統(tǒng)中攻擊圖生成技術存在的狀態(tài)空間爆炸問題;

2.精確反映物理設備漏洞信息.提出了一種基于物理實體的網(wǎng)絡攻擊模型,結(jié)合物理網(wǎng)絡拓撲模擬對物理信息系統(tǒng)設備及工業(yè)組件等的網(wǎng)絡攻擊,并利用屬性標記實體的方法擴展物理信息系統(tǒng)中設備的漏洞信息.

1 相關工作

構(gòu)成物理信息系統(tǒng)的多個結(jié)構(gòu)單元存在弱點,因此網(wǎng)絡攻擊對物理信息系統(tǒng)構(gòu)成較嚴重的安全威脅,目前已有大量的研究探討物理信息系統(tǒng)安全的建模與分析問題.

現(xiàn)有研究表明,采用樹結(jié)構(gòu)的方式對物理信息系統(tǒng)進行建?？梢杂行У刈R別網(wǎng)絡中存在的安全威脅,Kholidy等[13]使用定量分層風險相關樹來模擬攻擊者可以達到某些目標的路徑,并衡量物理信息系統(tǒng)資產(chǎn)因網(wǎng)絡攻擊而面臨的風險.Hyder等[14]提出了一種利用攻防樹和博弈論優(yōu)化智能電網(wǎng)網(wǎng)絡安全基礎設施資源分配的方法,使用攻擊防御樹來分析網(wǎng)絡內(nèi)的攻擊路徑以及應對攻擊的可能防御策略.Ali等[15]提出了一種利用攻擊樹來建模攻擊者可能危及物理信息系統(tǒng)的潛在方式的方法,該方法定義了一組威脅環(huán)境(即系統(tǒng)脆弱性隨時間變化的情況),每個威脅環(huán)境由不同的漏洞集組成,并使用攻擊樹生成算法在每個威脅環(huán)境下生成一棵樹觀察系統(tǒng)的安全狀態(tài).

上述技術都是以樹結(jié)構(gòu)的方式對物理信息系統(tǒng)進行建模,此類技術在幫助感知網(wǎng)絡攻擊方面效果不佳.而以圖結(jié)構(gòu)的方式對物理信息系統(tǒng)進行建?？梢院芎玫慕鉀Q這一問題.為此,Barrère等[16]提出了一種具有獨立故障概率的 AND/OR 依賴圖來識別最可能的關鍵任務組件集,該圖將關鍵任務組件集問題作為最大可滿足性問題來解決,將概率轉(zhuǎn)換為負對數(shù)空間,以線性化最大可滿足性中的問題,但該圖在可視化方面存在優(yōu)化空間.Wang等[17]提出了一種改進的有向無環(huán)網(wǎng)絡攻概率攻擊圖,該圖通過關聯(lián)算法建立潛在的攻擊路徑,綜合考慮攻擊者的能力、攻擊行為的特征和目標網(wǎng)絡的特征,分析攻擊路徑的選擇概率,視覺效果更為直觀,但該方法需要在實際系統(tǒng)上進行實驗驗證.Sahu等[18]基于預定義的威脅模型和網(wǎng)絡物理電力系統(tǒng)的合成通信網(wǎng)絡構(gòu)建先驗貝葉斯攻擊圖,該圖評估了一些基于分數(shù)和基于約束的結(jié)構(gòu)學習算法,以基于實時警報、可擴展性、數(shù)據(jù)依賴性、時間復雜度和準確性標準來更新貝葉斯攻擊圖結(jié)構(gòu),但其不適用于大規(guī)模網(wǎng)絡攻擊場景.Li等[19]提出了一種采用并行編程和高性能計算的加速混合攻擊圖模型,該模型可用于物理信息系統(tǒng)和計算機網(wǎng)絡安全性分析中,但穩(wěn)定性較差且并行計算的效率較低.

綜上所述,雖然以圖結(jié)構(gòu)的方式對物理信息系統(tǒng)進行建模能夠更好地幫助感知網(wǎng)絡攻擊,但隨著物理信息系統(tǒng)規(guī)模的增大,以圖結(jié)構(gòu)的方式對物理信息系統(tǒng)進行建模會帶來狀態(tài)空間爆炸問題.為了解決這一問題,本文提出了一種分布式算法生成攻擊圖,利用分布式共享存儲器避免在生成的攻擊圖中多次擴展節(jié)點,從而在物理信息系統(tǒng)中實現(xiàn)高效的攻擊圖生成.實驗證明本方法效率高,適用于大規(guī)模物理信息系統(tǒng).

2 攻擊建模

本節(jié)主要是對攻擊圖和物理信息系統(tǒng)進行攻擊建模,攻擊圖建模確定攻擊圖中可以找到哪些類型的節(jié)點和邊,物理信息系統(tǒng)建模確定網(wǎng)絡資產(chǎn)類型、漏洞的前置條件和后置條件;其中網(wǎng)絡資產(chǎn)包括物理信息系統(tǒng)設備和網(wǎng)絡主機上運行的軟件應用程序;漏洞包括物理設備上存在的固件漏洞以及主機上存在的操作系統(tǒng)漏洞.

2.1 攻擊圖建模

攻擊圖建模確定了生成攻擊圖的節(jié)點和有向邊,物理信息系統(tǒng)使用的攻擊圖模型如圖1所示.

圖1 攻擊圖模型Fig.1 Attack graph model

定義1.攻擊圖可以表示為AG=(V,E),其中V表示節(jié)點集,E表示有向邊集.對于?v∈V,可以是漏洞節(jié)點或者特權(quán)節(jié)點.漏洞節(jié)點表示攻擊者利用物理設備上的固件漏洞或主機上存在的操作系統(tǒng)漏洞;特權(quán)節(jié)點指攻擊者在該物理實體上所擁有的權(quán)限,分為none、user、root 3種特權(quán),物理實體表示物理信息系統(tǒng)中的設備或主機應用程序,里面包含了與實體有關的一組屬性.

屬性標記實體確定了物理實體對不同類型攻擊的脆弱性以及攻擊者在成功獲得對實體的完全控制時所獲得的能力.例如,具有生成網(wǎng)絡流量能力的設備如果受到攻擊,可能會導致易受惡意流量攻擊的相鄰設備的性能下降[20].通過考慮物理信息系統(tǒng)中實體的某些屬性,可以表示攻擊如何傳播,如圖2所示.

圖2 攻擊傳播流程圖Fig.2 Attack propagation flowchart

一旦將屬性關聯(lián)到每個實體上,就可以完全指定實體之間的潛在交互,這些屬性確定了實體上的脆弱性以及攻擊如何危害其他實體.使用屬性為實體建模的好處有兩點:第1點是攻擊圖節(jié)點間的轉(zhuǎn)換需要利用漏洞,且攻擊者必須滿足利用該漏洞的條件,而通過漏洞掃描的方式不能發(fā)現(xiàn)物理信息系統(tǒng)中設備的漏洞,未發(fā)現(xiàn)的漏洞將會使得這種轉(zhuǎn)換變得無效,屬性標記實體的方法解決了物理信息系統(tǒng)中脆弱點的遺漏問題;第2點是屬性的使用可以以相同的方式對類似的實體進行建模,將需要獨立分析的實體數(shù)量減少到一定的組中,可應用于具有大量實體的系統(tǒng).

2.2 物理信息系統(tǒng)建模

物理信息系統(tǒng)模型主要是對網(wǎng)絡拓撲進行建模,包括物理信息系統(tǒng)架構(gòu)的分層信息和網(wǎng)絡實體元素信息,物理信息系統(tǒng)模型如圖3所示.

圖3 物理信息系統(tǒng)模型Fig.3 Cyber physical system model

定義2.物理信息系統(tǒng)是一個兩元素元組<網(wǎng)絡物理實體,漏洞>,其中,“網(wǎng)絡物理實體”表示物理信息系統(tǒng)中的物理設備或主機軟件應用程序,“漏洞”表示物理設備上的固件漏洞或主機軟件應用程序上的操作系統(tǒng)漏洞.漏洞信息定義為四元素元組<固件漏洞,操作系統(tǒng)漏洞,前置條件,后置條件>,“前置條件”表示利用該漏洞所需的先決條件,“后置條件”表示攻擊者成功利用該漏洞獲得的權(quán)限.

3 分布式攻擊圖生成算法

本節(jié)基于第3節(jié)的建模方法設計了分布式攻擊圖生成算法.基于Kaynar等在文獻[12]中的研究,本節(jié)將攻擊圖的生成視為一個圖遍歷或搜索問題,在分布式環(huán)境下進行求解,提出的分布式攻擊圖生成框架如圖4所示.

圖4 分布式攻擊圖生成框架Fig.4 Distributed attack graph generation framework

在攻擊圖生成部分,物理網(wǎng)絡拓撲、實體信息以及防火墻規(guī)則等是生成攻擊圖的基礎;屬性標記是對物理實體賦予一組關聯(lián)的屬性,確定了物理實體對攻擊的脆弱性以及攻擊者在成功獲得對實體的完全控制時獲得的能力,以便在后面檢查攻擊條件是否匹配;使用物理網(wǎng)絡拓撲、實體信息以及防火墻規(guī)則等計算網(wǎng)絡節(jié)點之間的可達性關系,形成可達性超圖,通過考慮超圖中存儲的可達性條件,判斷節(jié)點間是否存在攻擊行為,即發(fā)現(xiàn)攻擊路徑;通過多級k-路劃分算法,將計算出的分區(qū)結(jié)果作為子任務;采用經(jīng)典的深度優(yōu)先搜索算法的改進并行版本生成攻擊圖;可視化展示是將生成的攻擊圖以易于理解和觀察的方式進行展示.在分布式內(nèi)存環(huán)境中,并行搜索的主要問題之一是難以消除重復攻擊圖節(jié)點的擴展.為了解決這個問題,本文利用消息傳遞機制以在分布式搜索代理上提供內(nèi)存一致性.

3.1 可達性超圖劃分

可達性決定了物理信息系統(tǒng)中設備以及主機安裝的軟件應用程序之間的可達性條件.比如,防火墻上的過濾規(guī)則、路由器上的訪問控制列表、軟件應用程序之間的應用安全策略等都是決定可達性條件的因素之一.這些因素都要被考慮在內(nèi)創(chuàng)建可達性超圖,其中超頂點表示物理設備或主機軟件應用程序,超邊表示源和目標物理設備或主機軟件應用程序的集合,如果源物理設備或主機軟件應用程序滿足特定條件就可以直接訪問目標物理設備或目標主機軟件應用程序,這些條件可能包括網(wǎng)絡協(xié)議、端口號、用戶憑證等,允許物理設備或主機軟件應用程序之間直接可達,存儲在超邊中.

對可達性超圖進行分區(qū)的主要目的是確定負責生成攻擊圖的每個分布式搜索代理的初始任務.每個代理應負責攻擊者的權(quán)限、漏洞利用和多個物理設備以及主機軟件應用程序的利用情況.將物理設備和主機軟件應用程序分配給具有超圖分區(qū)的搜索代理,可以在生成攻擊圖的時候?qū)⒋碇g傳輸消息的數(shù)量降至最低.本文使用的是Karypis等[21]提出的基于貪心k-路劃分算法的超圖分區(qū)方法劃分可達性超圖,依次將給定的超圖粗化為較小的代表超圖,將最小的代表超圖劃分為k個大致相等的部分,然后通過將代表超圖遍歷回原始超圖來細化劃分,分區(qū)細化算法是通過遵循貪心算法來執(zhí)行的,該方法通過考慮頂點移動導致的目標函數(shù)最大正減少(增大)來選擇要跨分區(qū)移動的頂點.

3.2 消息傳遞機制

分布式共享存儲器(Distributed Shared Memory,DSM)是一種進程之間的通信模型,DSM系統(tǒng)邏輯上實現(xiàn)了一個物理分布式內(nèi)存系統(tǒng)上的共享內(nèi)存模型,它建立在消息傳遞系統(tǒng)之上,為用戶提供了一種虛擬的共享存儲器,所有代理都可以訪問一個共享地址空間.每個分布式搜索代理在其本地消息隊列中存儲分配給它的設備或主機軟件應用程序的攻擊者特權(quán)信息.這些信息包含了特權(quán)的擴展狀態(tài),即它們是否被用來利用一些漏洞從中獲益以生成額外的特權(quán).當一個分布式搜索代理正在執(zhí)行時,它可能需要擴展一個攻擊者特權(quán),并請求關于攻擊者特權(quán)的信息(擴展狀態(tài)),這些信息存儲在另一個代理的消息隊列中.在這種情況下,它必須將相應的信息傳輸?shù)较㈥犃兄?在搜索代理之間傳遞一些消息,將相應的信息傳輸?shù)秸埱笏阉鞔淼南㈥犃兄?如果相應的信息表明關聯(lián)的特權(quán)已經(jīng)被擴展,那么請求代理將不擴展它.否則,請求代理將該特權(quán)推送至消息隊列,以便稍后對該特權(quán)進行擴展,將該特權(quán)的擴展狀態(tài)設置為true,并通過向其他代理發(fā)送消息使其相應信息失效.

3.3 基于并行分布式消息傳遞機制的深度優(yōu)先搜索算法

為了在物理信息系統(tǒng)中生成大規(guī)模復雜網(wǎng)絡的攻擊圖,本文采用并行分布式計算方法,提出了一種基于消息傳遞機制的深度優(yōu)先搜索算法.每個分布式搜索代理執(zhí)行基于消息隊列的深度優(yōu)先搜索算法構(gòu)建攻擊圖,算法1給出了基于并行分布式消息傳遞機制的深度優(yōu)先搜索算法,它由每個分布式搜索代理在多代理平臺上執(zhí)行.在執(zhí)行搜索算法之前,已生成可達性超圖,并使用超圖分區(qū)結(jié)果初始化共享內(nèi)存頁.在分布式搜索算法期間,每個代理使用先前計算的可達性超圖來確定哪些目標實體可以從與當前處理的權(quán)限相關的實體中訪問.獲取每個目標實體上的漏洞,并通過調(diào)用函數(shù)CheckExploitability()檢查漏洞的可利用性.對于每個可利用的漏洞,調(diào)用函數(shù)GainedNewPrivileges()計算攻擊者獲得的新權(quán)限,檢查存儲在共享存儲器中的每個已獲得權(quán)限的擴展狀態(tài).如果獲得的權(quán)限尚未擴展,則將其擴展狀態(tài)在共享存儲器中更新為true,并將獲得的權(quán)限推送到消息隊列中.

算法1.基于并行分布式消息傳遞機制的深度優(yōu)先搜索算

輸入：可達性超圖(RHG)和初始攻擊者權(quán)限(IAPS)

輸出：部分攻擊圖(PAG)

1.MessageQueue←CreateMessageQueue()

2.forallap∈ IAPSdo

3.aps← newPrivilegeStatus()

4.aps.setExpanded(true)

5.WriteToMemory(ap,aps)

6.MessageQueue.push(ap)

7.foundPrivileges.add(ap)

8.endfor

9.whiletruedo

10.ifMessageQueue.size()> 0then

11.cp←MessageQueue.pop()

12.else

13.ops←GetPrivilegeFromOtherAgents()

14.ifops.size()==0then

15.break

16.else

17.MessageQueue.push(ops)

18.foundPrivileges.addAll(ops)

19.continue

20.endif

21.endif

22.hv←FindVertexForPri(cp,RHG)

23.ches←FindContainingEdges(hv,RHG)

24.forallhe∈ chesdo

25.TEs←FindTargetEntities(he)

26.forallTE∈ TEsdo

27.foralla∈ TE.Attributesdo

28.forallv∈ TE.vulnerabilities()do

29.RPS←CheckExploitability(v,cp,TE)

30.ifRPS!=nullthen

31.gnps←GainedNewPrivileges(v,cp,TE)

32.UpdatePartialAG(v,gnps,TE)

33.endif

34.endfor

35.endfor

36.endfor

37.endfor

38.endwhile

該算法中各行對應的操作說明如下:

步驟1～步驟8中,首先擴展最初滿足攻擊者分配的權(quán)限,如果代理生成權(quán)限,它首先查詢權(quán)限是否已經(jīng)被擴展.如果權(quán)限還沒有被擴展,代理會將其擴展狀態(tài)設置為true,并將權(quán)限推送到其消息隊列中,以便稍后進行擴展.

步驟9～步驟21中,當搜索代理在某一時刻其消息隊列沒有擴展的權(quán)限時,它就開始向其他搜索代理請求一個或多個權(quán)限,其他代理都沒有可擴展的權(quán)限時則搜索停止,否則將權(quán)限推送到消息隊列中.

步驟22～步驟25中,可達性超圖分區(qū)結(jié)果初始化共享存儲器,每個代理使用先前計算的可達性超圖來確定哪些目標實體可以從與當前處理的權(quán)限相關的實體中訪問.

步驟26～步驟38中,獲取每個目標實體上的屬性和漏洞,調(diào)用函數(shù)CheckExploitability()檢查漏洞的可利用性,對于每個可利用的漏洞,調(diào)用函數(shù)GainedNewPrivileges()計算攻擊者利用漏洞后獲得的新權(quán)限.

圖5給出了每個搜索代理執(zhí)行的基于并行分布式消息傳遞機制的深度優(yōu)先搜索算法的流程圖.

圖5 基于并行分布式消息傳遞機制的深度優(yōu)先搜索算法流程圖Fig.5 Flow chart of depth-first search algorithm based on parallel distributed message passing mechanism

在基于分布式消息傳遞機制的并行深度優(yōu)先搜索算法中,CheckExploitability()函數(shù)通過將共享存儲器中已擴展的權(quán)限與漏洞的前提條件相匹配,檢查攻擊者當前可訪問的實體中每個漏洞的可利用性,如算法2所示.

算法2.漏洞的可利用性函數(shù)算法

輸入：漏洞信息(VI)、當前權(quán)限(CP)和目標實體及其屬性(TE)

輸出：所需權(quán)限(RPS)

1.functionCheckExploitability(VI,CP,TE)

2. RPS ←GainedPrivileges(VI.preconditions(),CP.entities,TE)

3.ifnot(RPScontainsCP)then

4.returnnull;

5.endif

6.forallrqp∈ RPSdo

7.ifnot(foundPrivilegescontains rqp)then

8.Rqps←FindFromMemory(rqp)

9.ifrqps.expanded==falsethen

10.returnnull

11.endif

12.endif

13.endfor

14.returnRPS

15.endfunction

該算法中各行對應的操作說明如下:

步驟1～步驟5調(diào)用函數(shù)GainedPrivileges()找到利用漏洞進行攻擊所需的權(quán)限.如果當前遍歷的權(quán)限不是所需的權(quán)限,則CheckExploitability()函數(shù)返回null,表示當前遍歷的權(quán)限不滿足利用漏洞所需的條件,攻擊者無法利用漏洞.

步驟6～步驟15中,當且僅當在全局列表foundPrivileges中找到擴展狀態(tài)為true的權(quán)限時,證明滿足利用漏洞所需的條件,攻擊者可以利用該漏洞進行攻擊,調(diào)用算法1中的函數(shù)GainedNewPrivileges(),根據(jù)利用漏洞的后置條件計算出成功攻擊后獲得的新權(quán)限.

圖6給出了漏洞的可利用性函數(shù)算法的流程圖.

圖6 漏洞的可利用性函數(shù)算法流程圖Fig.6 Vulnerability exploitability function algorithm flowchart

在分布式搜索算法期間,通過調(diào)用UpdatePartialAG()函數(shù)中新獲得的權(quán)限和利用的漏洞更新搜索代理計算的部分攻擊圖,如算法3所示.

算法3.更新搜索代理部分攻擊圖函數(shù)算法

輸入：漏洞信息(VI)、獲得的權(quán)限(GPS)和目標實體信息(TE)

輸出：部分攻擊圖(PAG)

1.functionUpdatePartialAG(VI,GPS,TE)

2.ifVIinstanceof Vulnerabilitythen

3.exp←CreateVulnerabilityNode(VI,TE)

4.else

5.returnnull

6.forallgp∈ GPSdo

7.partialAG.addEdge(exp,gp)

8.endfor

9.endfunction

如果攻擊者利用該漏洞,將創(chuàng)建漏洞利用節(jié)點,并將其添加到部分攻擊圖中.所有搜索代理完成部分攻擊圖的計算后,將部分攻擊圖發(fā)送給指定的領導者代理,領導者代理通過合并部分攻擊圖來計算最終的攻擊圖.

3.4 時間復雜度

本文提出的分布式搜索算法的時間復雜度是根據(jù)消息傳輸和執(zhí)行時間的復雜度綜合考慮的.內(nèi)存頁錯誤數(shù)決定了搜索代理之間傳輸?shù)淖畲笙?shù),因為在分布式搜索算法執(zhí)行期間為每個代理提供可比較的任務數(shù),在物理實體上獲得的權(quán)限數(shù)是恒定的,如果在使用共享存儲器之前沒有使用超圖分區(qū)初始化內(nèi)存,則搜索代理遇到的最大內(nèi)存頁錯誤數(shù)為O(E),E為可直接訪問的實體邊的數(shù)量,最壞情況下復雜度為O(N2),N為系統(tǒng)中實體的數(shù)量;如果在使用共享存儲器之前使用超圖分區(qū)初始化內(nèi)存,則分布式搜索代理遇到的最大內(nèi)存頁錯誤數(shù)為O(N×H),H為可達性超圖劃分后的超邊數(shù),在這種情況下,搜索代理之間傳遞消息的最壞情況下復雜度為O(P+N×H×log(P)),P為分布式搜索代理的數(shù)量.由于共享存儲器應用于分布式代理,因此生成的攻擊圖中的每條邊只遍歷一次.假設搜索代理的數(shù)量為P,分布式搜索算法最壞情況下執(zhí)行時間的復雜度為O(N2/P).因此,整個分布式攻擊圖生成算法的時間復雜度為O(P+N×H×logP+N2/P).

4 實驗分析

以文獻[9,19,22]中的實驗場景為例,本節(jié)基于物理信息系統(tǒng)設計了實驗仿真環(huán)境,在仿真環(huán)境下與現(xiàn)有方法進行比較,驗證了本文方法的有效性和先進性.圖7展示了一個簡易的物理信息系統(tǒng)架構(gòu)模型,防火墻將互聯(lián)網(wǎng)與企業(yè)網(wǎng)絡隔離,該系統(tǒng)可以分為6層結(jié)構(gòu):網(wǎng)絡DMZ層包括郵件服務器和Web服務器,位于企業(yè)內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的小網(wǎng)絡區(qū)域內(nèi);企業(yè)IT層包括企業(yè)站點管理計算機,該計算機收集數(shù)據(jù)、發(fā)送結(jié)果并向決策者報告,而無線接入點用于外部互聯(lián)網(wǎng)連接;物理DMZ層包括流化媒體服務器、歷史數(shù)據(jù)和遠程訪問服務器;過程監(jiān)控層包括控制中心層和人機接口層,主要是對數(shù)據(jù)進行采集與監(jiān)控,并通過 HMI 系統(tǒng)給操作人員提供監(jiān)控和控制功能;現(xiàn)場控制層包括可編程邏輯控制器等各類控制單元,用于對各執(zhí)行實體進行控制,直接與現(xiàn)場實體連接;現(xiàn)場實體層包括各類過程傳感器實體和執(zhí)行器實體單元,用于對生產(chǎn)過程進行感知與操作,該層接收現(xiàn)場控制層的控制量,由執(zhí)行器實體執(zhí)行控制指令,對工藝流程進行操作,傳感器實體收集實時生產(chǎn)數(shù)據(jù),并上報現(xiàn)場控制層.郵件主機、Web主機、管理工作站Management Workstation(MW)、工程工作站Engineering Workstation(EW)以及監(jiān)測控制系統(tǒng)Supervisory Control System(SCS)等存在操作系統(tǒng)漏洞,PLC、傳感器以及執(zhí)行器存在固件漏洞.

圖7 物理信息系統(tǒng)架構(gòu)Fig.7 Cyber physical system architecture

圖8為基于本文方法生成的攻擊圖.由于主機應用程序可以用漏洞掃描,這里只展示其漏洞,而物理設備都分配與其相關聯(lián)的一組屬性,可以表示實體的脆弱性以及攻擊如何危害與其相關聯(lián)的實體.

圖8 分布式算法生成的攻擊圖Fig.8 Attack graph generated by distributed algorithm

在基于分布式算法生成的攻擊圖中,利用屬性標記實體的方法擴展實體的脆弱性信息,精準判斷攻擊的傳播路徑.例如:對于路由器→郵件服務器→管理工作站→工程工作站→PLC(可編程網(wǎng)絡堆棧)→DoS→網(wǎng)絡通信延遲和路由器→郵件服務器→管理工作站→工程工作站→PLC(內(nèi)存訪問)→更改設定值這兩條攻擊路徑,傳感器的攻擊行為是不同的,因為它們的屬性不同,所以產(chǎn)生的攻擊路徑以及造成的后果都是不一樣的.因此,采用屬性標記實體的方法判斷攻擊的傳播路徑對物理信息系統(tǒng)中的實體來說更加符合實際情況.

上述實驗分析了基于屬性標記實體的建模方法生成的攻擊圖相對于傳統(tǒng)攻擊圖,對網(wǎng)絡安全狀態(tài)的評估更加精確.為進一步測試本文提出的分布式算法生成攻擊圖的性能與基于串行搜索算法生成攻擊圖的性能進行比較,串行算法生成攻擊圖的性能最壞情況是O(N2),N是目標網(wǎng)絡中實體以及主機的數(shù)量.到目前為止,文獻所提攻擊圖生成算法最壞情況的時間復雜度都沒有比O(N2)更好,而目前還沒有提出在物理信息系統(tǒng)中使用分布式攻擊圖構(gòu)建算法.實驗環(huán)境為一臺裝有Intel 9700F八核處理器的計算機上運行4～6個代理執(zhí)行的,防火墻的配置在整個實驗迭代過程中保持不變,通過在每次實驗迭代中增加網(wǎng)絡中實體的數(shù)量,比較本文提出的分布式攻擊圖構(gòu)建算法的性能與基于串行的深度優(yōu)先搜索算法的性能.圖9描述了串行和分布式攻擊圖生成算法在執(zhí)行時間方面的性能.

圖9 串行和分布式算法攻擊圖生成時間對比Fig.9 Comparison of attack graph generation time between serial and distributed algorithms

從圖9中可以分析出,隨著系統(tǒng)中實體以及主機的數(shù)量增加,6個代理的執(zhí)行時間要低于5個代理的執(zhí)行時間,5個代理的執(zhí)行時間要低于4個代理的執(zhí)行時間,即當系統(tǒng)中實體以及主機的數(shù)量增加時,使用特定數(shù)量代理的性能要高于使用較少數(shù)量代理的性能.由此可見,分布式算法適用于大規(guī)模網(wǎng)絡系統(tǒng).在串行攻擊圖生成算法中以文獻[18]和文獻[23]為代表進行分析,但文獻[18]和文獻[23]的方法無法對攻擊圖進行局部更新,當有新的信息輸入時只能重新生成完整的攻擊圖,而本文方法可以僅對與新的輸入信息有關的部分進行更新.

文獻[18]和文獻[23]與本文研究內(nèi)容在脆弱性信息源、攻擊圖的局部更新能力等方面的比較如表1所示.

表1 各文獻研究內(nèi)容的對比Table 1 Comparison of research contents of various literatures

5 總 結(jié)

本文設計了基于屬性標記實體的攻擊建模方法,并提出了一種利用分布式算法在多代理平臺上生成攻擊圖的方法.本文通過對物理信息系統(tǒng)中的實體分配一組關聯(lián)的屬性來擴展漏洞信息,并生成攻擊傳播模型,從而描述系統(tǒng)中被攻擊的實體是如何影響與其連接的實體,實現(xiàn)對攻擊路徑的高效精準判斷.當物理信息系統(tǒng)中實體數(shù)量和漏洞數(shù)量增加時,攻擊圖的分布式計算方式可以克服攻擊圖構(gòu)建過程中出現(xiàn)的狀態(tài)空間爆炸問題.

下一步將主要研究如何在攻擊圖構(gòu)建過程中通過允許某些節(jié)點進行重復的權(quán)限擴展來避免搜索代理之間額外的消息傳輸產(chǎn)生的時間開銷.目前,主要是通過專家咨詢和對過去事件的分析來對屬性進行分配,未來應擴展屬性的列表以使其適用于更廣泛類別的實體.