基于攻擊圖的表述性狀態(tài)傳遞安全分析與評(píng)估

張游杰，張清萍，吳 偉，師 哲

(1.中國(guó)電子科技集團(tuán)公司第三十三研究所中電科華北網(wǎng)絡(luò)信息安全有限公司，太原030032;2.南京郵電大學(xué)計(jì)算機(jī)及軟件學(xué)院，南京210023)

(*通信作者電子郵箱zyoujie@163.com)

0 引言

表述性狀態(tài)傳遞(REpresentationalStateTransfer，REST)，是一組針對(duì)網(wǎng)絡(luò)應(yīng)用的架構(gòu)約束條件和原則，最初由Fielding［1］提出，主要用于基于網(wǎng)絡(luò)應(yīng)用的架構(gòu)設(shè)計(jì)，可以降低開(kāi)發(fā)的復(fù)雜性，提高系統(tǒng)的可伸縮性。在目前主流的Web服務(wù)實(shí)現(xiàn)方案中，由于REST模式相比簡(jiǎn)單對(duì)象訪(fǎng)問(wèn)協(xié)議(Simple Object Access Protocol，SOAP)和可擴(kuò)展標(biāo)記語(yǔ)言(eXtensible Markup Language，XML)遠(yuǎn)程過(guò)程調(diào)用(XML Remote Procedure Call，XML-RPC)更加簡(jiǎn)潔，越來(lái)越多的Web服務(wù)采用了REST架構(gòu)［2］。

然而，由于REST本身的安全機(jī)制不夠完善，導(dǎo)致基于REST架構(gòu)的Web服務(wù)面臨各種信息安全問(wèn)題的考驗(yàn)，如身份認(rèn)證、信息篡改、重放攻擊、資源訪(fǎng)問(wèn)、腳本注入等攻擊都可能對(duì)其構(gòu)成威脅［3－6］。

文獻(xiàn)［3－6］對(duì) REST的安全性進(jìn)行了分析，并提出了針對(duì)REST的安全策略和安全模型，其主要方法是加強(qiáng)通信過(guò)程中的安全性，如通過(guò)身份認(rèn)證、授權(quán)檢測(cè)等手段保障消息傳輸過(guò)程的安全。但是這些策略和模型未能給出量化評(píng)估指標(biāo)，對(duì)實(shí)際環(huán)境中Web服務(wù)的安全評(píng)估指導(dǎo)性不強(qiáng)。為此，本文在現(xiàn)有REST架構(gòu)安全研究的基礎(chǔ)上，提出了基于軟件攻擊圖模型的REST安全架構(gòu)和評(píng)估模型。

1 REST架構(gòu)攻擊圖模型構(gòu)造

1.1 攻擊圖

攻擊圖是評(píng)價(jià)網(wǎng)絡(luò)系統(tǒng)安全的一種常見(jiàn)模型，用來(lái)描述從攻擊起始點(diǎn)到目標(biāo)的所有攻擊路徑。它從攻擊者的角度出發(fā)，綜合分析所有配置信息和脆弱性信息，通過(guò)信息之間的全局依存關(guān)系，找出所有的可能攻擊路徑，并將其可視化，直觀(guān)展示目標(biāo)網(wǎng)絡(luò)內(nèi)各個(gè)脆弱性之間、脆弱性與網(wǎng)絡(luò)安全配置之間的關(guān)系以及所產(chǎn)生的潛在威脅。攻擊圖主要由攻擊狀態(tài)和攻擊行為組成［7－8］。

目前，國(guó)內(nèi)外已有許多研究者對(duì)基于攻擊圖模型的網(wǎng)絡(luò)安全進(jìn)行了研究［9－10］，并演變出很多類(lèi)型，如文獻(xiàn)［11］提出了狀態(tài)攻擊圖和屬性攻擊圖。狀態(tài)攻擊圖顯式地展示了所有可能的攻擊路徑，但攻擊路徑會(huì)隨著目標(biāo)規(guī)模和脆弱性數(shù)目的乘積呈指數(shù)增長(zhǎng)，存在狀態(tài)爆炸問(wèn)題，不適于大規(guī)模網(wǎng)絡(luò);屬性攻擊圖能夠更緊湊地展示所有的攻擊路徑，但只能隱式地展示攻擊路徑，不便于直觀(guān)理解。

鑒于基于REST架構(gòu)的Web服務(wù)規(guī)模有限，本文采用狀態(tài)攻擊圖來(lái)構(gòu)建攻擊模型。

以圖3為例。源節(jié)點(diǎn)s需向目的節(jié)點(diǎn)t傳輸一個(gè)數(shù)據(jù)包,且傳輸時(shí)延要求為15 s。即在15 s內(nèi)完成數(shù)據(jù)包的傳輸。圖3中的藍(lán)線(xiàn)表示從源節(jié)點(diǎn)s至目的節(jié)點(diǎn)t的HBSP路徑。假定這個(gè)路徑長(zhǎng)度為100 m。

1.2 REST架構(gòu)攻擊預(yù)測(cè)

本文研究的主要目標(biāo)是REST架構(gòu)安全模型，其所處環(huán)境(包括主機(jī)、操作系統(tǒng)、Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器及相關(guān)的支撐軟件等)的安全不在研究范圍之內(nèi)。借用文獻(xiàn)［9］所采用的網(wǎng)絡(luò)入侵目標(biāo)的可能性預(yù)測(cè)方法，基于REST架構(gòu)的Web服務(wù)可能受到的攻擊以下幾種:

1)SQL注入攻擊。

蔣雯麗拍《幸福來(lái)拍門(mén)》，演80年代特立獨(dú)行的時(shí)尚女人江路，燙大波卷，穿束腰花裙子，滿(mǎn)身綿軟，靠在收發(fā)室的外墻打手機(jī)，講著講著，抬手，打了個(gè)哈欠。

客戶(hù)端向服務(wù)端提交特定格式的數(shù)據(jù)，如果服務(wù)端未對(duì)數(shù)據(jù)進(jìn)行檢驗(yàn)，而直接將數(shù)據(jù)用于構(gòu)造結(jié)構(gòu)化查詢(xún)語(yǔ)言(Structured Query Language，SQL)語(yǔ)句，攻擊者則可未經(jīng)授權(quán)而訪(fǎng)問(wèn)一些敏感信息，或?qū)?shù)據(jù)庫(kù)執(zhí)行如update、insert、delete等敏感操作［12］，甚至可能取得系統(tǒng)管理權(quán)限。

2)跨站請(qǐng)求偽造(Cross-site Request Forgery，CSRF)攻擊。

The pair-matching procedure is eventually accomplished by repeatedly maximizing Eq.(39)forThereafter,the estimated centralazimuth and elevation DOAscan be expressed as

1)CSRF攻擊、網(wǎng)絡(luò)嗅探的難度大大增加，只存在理論上的可能，其對(duì)應(yīng)的權(quán)重值可按表1中的L0級(jí)取值。但是，一旦攻擊成功，對(duì)系統(tǒng)保密性和完整性的破壞與圖1相同，因此其后續(xù)攻擊行為的權(quán)重值與圖1相同。

3)網(wǎng)絡(luò)嗅探攻擊。

在環(huán)境保護(hù)督察方面，問(wèn)題主要表現(xiàn)在以下幾個(gè)方面：一是2016年1月以來(lái)，通過(guò)第一輪的督察，中央環(huán)境保護(hù)督察組形成了強(qiáng)大的震懾力。盡管如此，捂蓋子的事情在各地仍然杜絕不了，如浙江湖州隱瞞填埋死豬事件，就是在中央環(huán)境保護(hù)督察組的干預(yù)之下于2017年被揭開(kāi)蓋子。有些地方把群眾舉報(bào)的案件說(shuō)成是不屬實(shí)的比例太高，很多真相的暴露和責(zé)任的追究仍然依靠領(lǐng)導(dǎo)的重視和媒體的曝光。如何建立讓環(huán)境保護(hù)黨內(nèi)法規(guī)、國(guó)家法律法規(guī)自動(dòng)啟動(dòng)和全天候運(yùn)行的機(jī)制，是一個(gè)值得法學(xué)界、法律界深入研究的問(wèn)題。二是環(huán)境保護(hù)督察的作用如何常態(tài)化，克服一陣風(fēng)的缺陷，也是一個(gè)值得思考的問(wèn)題。

如果采用了明文傳輸，攻擊者可以通過(guò)網(wǎng)絡(luò)嗅探的方式查看傳輸?shù)男畔?。通過(guò)查看信息可能使其獲取敏感數(shù)據(jù)，也可能使攻擊者了解數(shù)據(jù)傳輸規(guī)則，進(jìn)而使用SQL注入、CSRF等手段進(jìn)行攻擊。

圖1中，攻擊者從“初始狀態(tài)”最多經(jīng)過(guò)4步可到達(dá)“攻擊成功”，因此其攻擊可能性指標(biāo)為V4(S0)，攻擊實(shí)現(xiàn)度指標(biāo)為W4(S0)。將表2中的數(shù)據(jù)代入式(1)～(3)中，經(jīng)迭代計(jì)算得出:

7)使用加密傳輸。

許多Web服務(wù)采用的是HTTP，在傳輸過(guò)程中可能會(huì)遭到HTTP劫持。攻擊者通過(guò)HTTP劫持，可以查看、篡改傳輸?shù)男畔ⅰＭㄟ^(guò)查看信息可能使其獲取敏感數(shù)據(jù)，也可能使攻擊者了解數(shù)據(jù)傳輸規(guī)則，進(jìn)而使用SQL注入、CSRF等手段進(jìn)行攻擊;通過(guò)篡改傳輸信息，可能實(shí)現(xiàn)信息欺騙、網(wǎng)站掛馬等攻擊。

5)重放攻擊［12］。

攻擊者發(fā)送大量重復(fù)的消息，超出服務(wù)器的處理能力，導(dǎo)致機(jī)器無(wú)法作出響應(yīng)，甚至系統(tǒng)崩潰。

6)分布式拒絕服務(wù)攻擊(Distributed Denial of Service，DDoS)。

攻擊者操縱大量的主機(jī)對(duì)Web服務(wù)進(jìn)行攻擊，消耗系統(tǒng)資源，使得其無(wú)法提供正常的服務(wù)。

7)特大型有效載荷攻擊［12］。

攻擊者構(gòu)造一個(gè)足夠大的請(qǐng)求報(bào)文發(fā)送給服務(wù)器，使服務(wù)器對(duì)報(bào)文的解析、處理消耗大量的內(nèi)存資源，甚至導(dǎo)致內(nèi)存溢出。

8)未知漏洞攻擊。

在沒(méi)有時(shí)間同步機(jī)制的情況，網(wǎng)絡(luò)運(yùn)行1小時(shí)后，簇頭和節(jié)點(diǎn)之間的最大累積誤差達(dá)到近25 ms，即每秒6.9 μs誤差。從圖8可以看出，單個(gè)節(jié)點(diǎn)與簇頭之間每隔兩分鐘的累積時(shí)鐘偏差維持在一個(gè)穩(wěn)定的范圍內(nèi)[14-16]。因此，節(jié)點(diǎn)可通過(guò)估算相對(duì)頻率偏差在槍聲事件發(fā)生后調(diào)整自身檢測(cè)時(shí)間。

圖1 中，橢圓用來(lái)表示攻擊狀態(tài);有向邊用來(lái)表示攻擊行為;有向邊上括號(hào)中的數(shù)字為攻擊行為編號(hào)。為計(jì)算和論述方便，圖1相對(duì)實(shí)際的攻擊行為和攻擊狀態(tài)作了如下調(diào)整:

1.3 REST架構(gòu)攻擊圖模型

根據(jù)對(duì)REST架構(gòu)可能的攻擊，可建立攻擊圖模型，如圖1所示。

圖1 REST架構(gòu)攻擊圖模型Fig.1 REST architecture attack graph model

由于程序設(shè)計(jì)的原因，Web服務(wù)還可能存在一些未知的漏洞，這些漏洞也可能被攻擊者利用。

1)由于未知漏洞可能對(duì)系統(tǒng)造成任何傷害，與木馬造成的傷害相似，將其攻擊行為指向了注入木馬。

2)為簡(jiǎn)化攻擊圖，按照對(duì)信息系統(tǒng)的破壞程度，將攻擊狀態(tài)分為四類(lèi):保密性破壞、完整性破壞、可用性破壞及攻擊跳板(以當(dāng)前主機(jī)或系統(tǒng)為跳板，對(duì)其他主機(jī)或系統(tǒng)發(fā)起攻擊)。

3)增加了“攻擊成功”狀態(tài)，只需計(jì)算從“初始狀態(tài)”到“攻擊成功”的各項(xiàng)安全性能指標(biāo)，即可認(rèn)為是REST架構(gòu)的安全性能指標(biāo)。

2 安全評(píng)估模型

文獻(xiàn)［10］提出了基于馬爾可夫鏈的攻擊可能性指標(biāo)和攻擊實(shí)現(xiàn)度指標(biāo)。攻擊可能性指標(biāo)，表示攻擊者達(dá)到攻擊目標(biāo)的可能性，其值越大，攻擊者到達(dá)攻擊目標(biāo)的可能性越大;攻擊實(shí)現(xiàn)度指標(biāo)，表示著成功實(shí)現(xiàn)攻擊的可能性，其值越大，攻擊者越容易實(shí)現(xiàn)攻擊。

本文引用這兩個(gè)指標(biāo)對(duì)REST架構(gòu)的安全性作評(píng)估，其主要計(jì)算公式有3個(gè)。

選擇概率［10］如式(1):

其中:P(S0Si)是攻擊者在狀態(tài)S0時(shí)選擇通過(guò)攻擊行為Ai到可到達(dá)下一個(gè)狀態(tài)Si的概率，Ai是指向第i個(gè)狀態(tài)Si的攻擊行為;i=1，2，…，n，n是S0的下一個(gè)狀態(tài)的數(shù)量;ωi是Ai對(duì)應(yīng)的攻擊實(shí)現(xiàn)度層次等級(jí)的權(quán)重值，引用文獻(xiàn)［10］的權(quán)重取值標(biāo)準(zhǔn)，可按弱點(diǎn)攻擊實(shí)現(xiàn)度分級(jí)取值，如表1所示。

表1 弱點(diǎn)攻擊實(shí)現(xiàn)度層次分級(jí)Tab.1 Level gradation of vulnerability attack realization

攻擊可能性指標(biāo)迭代公式［10］如式(2):

其中，Vn(Sm)是攻擊可能性，n=0，1，…，N，攻擊圖中從攻擊初始狀態(tài)最多經(jīng)過(guò)N步可到達(dá)攻擊目標(biāo)狀態(tài)，令V0(S0)=0，V0(Si)=1，i=1，2，…，M － 1，M是攻擊狀態(tài)的數(shù)量，S0是初始狀態(tài)，經(jīng)過(guò)多次迭代后可計(jì)算出VN(S0)，VN(S0)，即攻擊圖的攻擊可能性;P(SmSt)是攻擊者在狀態(tài)Sm時(shí)選擇通過(guò)攻擊行為Ai到可到達(dá)下一個(gè)狀態(tài)St的概率;SUBSEQ(Sm)是從狀態(tài)Sm出發(fā)經(jīng)過(guò)一步躍遷可到達(dá)的所有狀態(tài)的集合;RULES(Sm→St)是從狀態(tài)Sm躍遷到St可選攻擊行為的集合。

攻擊實(shí)現(xiàn)度指標(biāo)W4(S0)=0.064764

攻擊實(shí)現(xiàn)度指標(biāo)迭代公式［10］如式(3):

其中:Wn(S)是攻擊實(shí)現(xiàn)度，n=0，1，…，N，攻擊圖中從攻擊m初始狀態(tài)最多經(jīng)過(guò)N步可到達(dá)攻擊目標(biāo)狀態(tài)，令W0(S0)=0，W0(Si)=1，i=1，2，…，M － 1，M 是攻擊狀態(tài)的數(shù)量，S0是初始狀態(tài)，經(jīng)過(guò)多次迭代后可計(jì)算出WN(S0)，WN(S0)，即攻擊圖的攻擊實(shí)現(xiàn)度;P(SmSt)是攻擊者在狀態(tài)Sm時(shí)選擇通過(guò)攻擊行為 Ai到可到達(dá)下一個(gè)狀態(tài) St的概率;SUBSEQ(Sm)是從狀態(tài)Sm出發(fā)經(jīng)過(guò)一步躍遷可到達(dá)的所有狀態(tài)的集合;RULES(Sm→St)是從狀態(tài)Sm躍遷到St可選攻擊行為的集合;E(Ai)是攻擊行為Ai所對(duì)應(yīng)的攻擊實(shí)現(xiàn)度，在REST架構(gòu)未采取任何安全措施時(shí)，其值可取表1中的權(quán)重值，即式(1)中的ωi。

根據(jù)每種攻擊行為的難易程度，對(duì)照表1，圖1所示攻擊圖中所有攻擊行為的權(quán)重值如表2所示。

圖1中，達(dá)到竊取數(shù)據(jù)、攻擊跳板、損毀系統(tǒng)、拒絕服務(wù)四個(gè)狀態(tài)時(shí)已完成了攻擊的目標(biāo)，可認(rèn)為其100%可達(dá)到攻擊成功的狀態(tài)，因此攻擊行為28、29、30、31的權(quán)重值全部取1.0。

（2）企業(yè)經(jīng)營(yíng)業(yè)績(jī)，反映海外經(jīng)營(yíng)成效，具體指標(biāo)如：被國(guó)外當(dāng)?shù)叵M(fèi)者所消費(fèi)的海外銷(xiāo)售額、海外子公司的銷(xiāo)售總額、外國(guó)子公司運(yùn)營(yíng)收入總和等。

4)超文本傳輸協(xié)議(HyperText Transfer Protocol，HTTP)劫持攻擊。

攻擊可能性指標(biāo)V4(S0)=0.189720

從式(3)可知,變壓器效應(yīng)產(chǎn)生的感應(yīng)電動(dòng)勢(shì)對(duì)磁通門(mén)信號(hào)來(lái)說(shuō)是非常大的噪聲來(lái)源,所以在實(shí)際應(yīng)用中一般選擇如圖1所示的差分結(jié)構(gòu)磁通門(mén)傳感器,該結(jié)構(gòu)上下兩個(gè)鐵芯參數(shù)完全對(duì)稱(chēng),激勵(lì)線(xiàn)圈反向串聯(lián),因此激勵(lì)繞組在磁芯中產(chǎn)生的磁場(chǎng)大小相等方向相反。但是被測(cè)磁場(chǎng)在兩鐵芯中分量大小方向均相同。所以在檢測(cè)線(xiàn)圈上,激勵(lì)產(chǎn)生的感應(yīng)電動(dòng)勢(shì)互相抵消,而被測(cè)磁場(chǎng)呈兩倍效果,則檢測(cè)線(xiàn)圈上的感應(yīng)電動(dòng)勢(shì)可表示為:

表2 REST架構(gòu)攻擊圖攻擊行為權(quán)重值Tab.2 Attack behavior weight value of REST architecture attack graph

3 REST架構(gòu)安全設(shè)計(jì)

針對(duì)圖1中的攻擊狀態(tài)和攻擊行為，可采用多種措施進(jìn)行安全防護(hù)。

1)服務(wù)端單項(xiàng)數(shù)據(jù)校驗(yàn)。

對(duì)服務(wù)端提交的數(shù)據(jù)項(xiàng)分別進(jìn)行合規(guī)性校驗(yàn)，如通過(guò)正則表達(dá)式校驗(yàn)、長(zhǎng)度校驗(yàn)等方式，并且不允許出現(xiàn)單引號(hào)，以及SQL中的特殊符號(hào)如“－－”、“#”等。這種方法可有效防止SQL注入攻擊和特大載荷攻擊。

2)服務(wù)端整體數(shù)據(jù)校驗(yàn)。

以高分四號(hào)衛(wèi)星影像和HJ-1B衛(wèi)星影像重疊區(qū)作為實(shí)驗(yàn)驗(yàn)證區(qū)，采用分層隨機(jī)采樣的方式，隨機(jī)選擇512個(gè)驗(yàn)證點(diǎn)，基于臨近時(shí)期高分一號(hào)衛(wèi)星影像和圖像間對(duì)比解譯分析，逐點(diǎn)確定積雪覆蓋情況，計(jì)算積雪識(shí)別精度、Kappa系數(shù)等統(tǒng)計(jì)值，對(duì)積雪覆蓋精度進(jìn)行統(tǒng)計(jì)，結(jié)果如表2.基于多時(shí)相高分四號(hào)衛(wèi)星圖像積雪提取結(jié)果的Kappa系數(shù)達(dá)到0.84，表明該方法生產(chǎn)的積雪覆蓋產(chǎn)品與真值基準(zhǔn)數(shù)據(jù)間具有很強(qiáng)的一致性、精度高.

向服務(wù)端提交數(shù)據(jù)前先對(duì)數(shù)據(jù)作整體校驗(yàn)，生成校驗(yàn)數(shù)據(jù)，然后將校驗(yàn)數(shù)據(jù)也加入到提交的數(shù)據(jù)中。服務(wù)端接收到數(shù)據(jù)后可首先檢驗(yàn)數(shù)據(jù)的正確性。這種方法可有效防止HTTP劫持攻擊，也可防護(hù)未能正確生成校驗(yàn)數(shù)據(jù)的CSRF攻擊，從而增加CSRF攻擊難度。

3)服務(wù)端狀態(tài)檢驗(yàn)。

REST本身具有無(wú)狀態(tài)性，這就使得服務(wù)端難以發(fā)現(xiàn)重放攻擊與DDoS攻擊。為解決這兩項(xiàng)問(wèn)題，可以在服務(wù)端內(nèi)存中以盡量小的內(nèi)存占用量記錄每個(gè)用戶(hù)的狀態(tài)。針對(duì)每次提交的請(qǐng)求，服務(wù)端可利用用戶(hù)狀態(tài)，通過(guò)適當(dāng)?shù)囊?guī)則判斷是否為攻擊行為，從而減弱重放攻擊與DDoS攻擊對(duì)系統(tǒng)的影響。

NAT結(jié)果受脂肪血和溶血等干擾因素的影響[4]，但是通過(guò)本試驗(yàn)數(shù)據(jù)可以看出，一定濃度的脂肪血和溶血對(duì)聯(lián)檢及鑒別的定性檢測(cè)的干擾在一定程度上是可以接受的。在實(shí)際工作中，標(biāo)本的采集、離心處理保存不當(dāng)，均會(huì)造成核酸酶污染的假陽(yáng)性或病毒核酸降解的假陰性，從而影響NAT結(jié)果的真實(shí)性，故標(biāo)本的前處理關(guān)系到檢驗(yàn)結(jié)果的準(zhǔn)確與穩(wěn)定。

4)禁止動(dòng)態(tài)拼裝SQL語(yǔ)句。

禁止使用提交的數(shù)據(jù)拼裝SQL語(yǔ)句，而是使用參數(shù)化的SQL或者存儲(chǔ)過(guò)程進(jìn)行數(shù)據(jù)查詢(xún)和增刪改操作。這種方法可有效防止SQL注入攻擊。

5)使用盡量低的權(quán)限連接數(shù)據(jù)庫(kù)。

試驗(yàn)混凝土的水膠比統(tǒng)一為0.40，粗骨料和細(xì)骨料均分別為1 174 kg/m3及552 kg/m3。分別以粉煤灰摻量為水泥質(zhì)量的0 %、20 %、30%、40 %和50 %替代水泥，以研究粉煤灰摻量對(duì)混凝土水、氣體滲透性及其微觀(guān)結(jié)構(gòu)參數(shù)的影響。試驗(yàn)混凝土配合比見(jiàn)表2，粉煤灰的摻量百分比表示其替代水泥的質(zhì)量比。

由圖1可知，一旦系統(tǒng)被SQL注入成功，攻擊者將對(duì)系統(tǒng)造成非常嚴(yán)重的破壞。一些嚴(yán)重?fù)p害，如損毀系統(tǒng)，通常是竊取了系統(tǒng)管理權(quán)限后造成的。如果連接數(shù)據(jù)庫(kù)時(shí)使用了管理員權(quán)限，攻擊者在SQL注入成功后將很容易獲得系統(tǒng)權(quán)限。因此，在連接數(shù)據(jù)庫(kù)時(shí)應(yīng)使用盡量低的權(quán)限，以增加攻擊者獲取系統(tǒng)權(quán)限的難度，減少對(duì)系統(tǒng)的威脅。

6) 使用安全令牌［13］。

可以在執(zhí)行比較敏感的功能前要求客戶(hù)端先登錄，登錄時(shí)服務(wù)端隨機(jī)生成一個(gè)令牌發(fā)往客戶(hù)端。客戶(hù)端在執(zhí)行其他功能時(shí)必須提交該令牌。除合法的客戶(hù)端外，攻擊者很難獲得該令牌，因此這種方法可有效防止CSRF攻擊。

用來(lái)構(gòu)成特殊疑問(wèn)句的代詞叫疑問(wèn)代詞。常用的有：who， what，which，whose，whom，在句中常作主語(yǔ)、賓語(yǔ)、定語(yǔ)、表語(yǔ)。

根據(jù)計(jì)算結(jié)果可知，采用濕法回收技術(shù)處理每噸廢舊電池，LFP虧損 312.0元，三元材料則可盈利6 355.0元。因此，采用濕法回收技術(shù)處理三元材料動(dòng)力電池獲利更明顯。

使用加密傳輸，如采用以安全為目標(biāo)的 HTTP通道(HyperTextTransferProtocoloverSecure SocketLayer，HTTPS)，可以有效防止網(wǎng)絡(luò)網(wǎng)絡(luò)嗅探攻、HTTP劫持等攻擊。

8)分布式服務(wù)。

使服務(wù)端支持分布式應(yīng)用模式，配合多臺(tái)服務(wù)器主機(jī)，可有效減弱DDoS攻擊對(duì)系統(tǒng)的影響。

4 安全REST架構(gòu)評(píng)估

采用上述多種措施進(jìn)行安全防護(hù)后，可形成安全REST架構(gòu)?；诎踩玆EST架構(gòu)重新構(gòu)建攻擊圖模型，如圖2，其所有攻擊行為的權(quán)重值及實(shí)現(xiàn)度如表3所示。

圖2 安全REST架構(gòu)攻擊圖模型Fig.2 Secure REST architecture attack graph model

表3 安全REST架構(gòu)攻擊圖攻擊行為權(quán)重值Tab.3 Attack behavior weight values of secure REST architecture attack graph

圖2與圖1的區(qū)別如下:

當(dāng)正常用戶(hù)通過(guò)訪(fǎng)問(wèn)Web服務(wù)使服務(wù)器或數(shù)據(jù)庫(kù)改變其狀態(tài)后(如某用戶(hù)執(zhí)行權(quán)限校驗(yàn)功能)，非法用戶(hù)可能通過(guò)其他客戶(hù)端假冒該用戶(hù)，并構(gòu)造特定的數(shù)據(jù)提交給服務(wù)器，用以獲取信息或使用某些功能。如果服務(wù)器未能分辨此數(shù)據(jù)是否來(lái)源于非法用戶(hù)，就可能被竊取信息或受到其他損害。

重點(diǎn)水利項(xiàng)目建設(shè)加快推進(jìn)。三座店、哈拉沁、美岱等水庫(kù)工程基本完工，海勃灣水利樞紐初期下閘蓄水，揚(yáng)旗山水庫(kù)實(shí)現(xiàn)大壩截流，黃河近期防洪工程即將竣工，扎敦水庫(kù)開(kāi)工建設(shè)。黃河干流盟市間水權(quán)轉(zhuǎn)讓試點(diǎn)啟動(dòng)，一期工程開(kāi)工建設(shè)。Z866項(xiàng)目和尼爾基水庫(kù)下游灌區(qū)已報(bào)送國(guó)家發(fā)改委待核準(zhǔn)，“引綽濟(jì)遼”工程規(guī)劃已經(jīng)水利部批復(fù)，文得根水利樞紐及至烏蘭浩特輸水段工程項(xiàng)目建議書(shū)和綽勒水庫(kù)下游灌區(qū)可研通過(guò)水利部審查。

2)HTTP劫持的難度大大增加，只存在理論上的可能，其對(duì)應(yīng)的權(quán)重值可按表1中的L0級(jí)取值。即使HTTP劫持成功，其后將目標(biāo)主機(jī)作為攻擊跳板的難度也大大增加，只存在理論上的可能，因此攻擊行為12的權(quán)重值可按表1中的L0級(jí)取值。

3)SQL注入攻擊可被完全防范，在圖2中將不體現(xiàn)。

4)重放攻擊、特大載荷攻擊與DDoS攻擊對(duì)系統(tǒng)的影響被消弱，同等條件下通過(guò)這三個(gè)狀態(tài)實(shí)現(xiàn)拒絕服務(wù)(可用性破壞)的可能性變小，故其對(duì)應(yīng)的攻擊實(shí)現(xiàn)度取值應(yīng)減小。其中重放攻擊和特大載荷攻擊對(duì)系統(tǒng)的影響主要與主機(jī)性能有關(guān)，DDoS攻擊對(duì)系統(tǒng)的影響主要與主機(jī)數(shù)量有關(guān)，不同的硬件環(huán)境將造成其攻擊實(shí)現(xiàn)度的不同。在此將其攻擊行為(圖2中的攻擊行為(14)、(15)、(16))對(duì)應(yīng)的攻擊實(shí)現(xiàn)度取為原值的一半。但是，實(shí)現(xiàn)這三種攻擊并通過(guò)其達(dá)到可用性破壞所需的工具和方法并未改變，因此其對(duì)應(yīng)的權(quán)重值不變，與圖1相同。

根據(jù)圖2，將表3中的數(shù)據(jù)代入式(1)～(3)中，經(jīng)迭代計(jì)算得出:

攻擊可能性指標(biāo)V4(S0)=0.018519

攻擊實(shí)現(xiàn)度指標(biāo)W4(S0)=0.000750

與攻擊圖1相比，攻擊可能性指標(biāo)約為其1/10，攻擊實(shí)現(xiàn)度指標(biāo)約為其1/86，表明所提的安全防護(hù)措施起到了預(yù)想的作用。

5 結(jié)語(yǔ)

通過(guò)構(gòu)造REST架構(gòu)攻擊圖模型，可實(shí)現(xiàn)REST架構(gòu)安全性能的量化評(píng)估。對(duì)攻擊圖中的攻擊狀態(tài)和攻擊行為進(jìn)行針對(duì)性防護(hù)后，其攻擊可能性與攻擊實(shí)現(xiàn)度均明顯降低，表明了防護(hù)的有效性。在實(shí)際使用中，由于人力、資源、時(shí)間、環(huán)境等限制，可能只能采用本文所提出的部分防護(hù)措施，此時(shí)可通過(guò)重新構(gòu)建攻擊圖模型，計(jì)算攻擊可能性與攻擊實(shí)現(xiàn)度指標(biāo)，估算其安全性能。本文在構(gòu)造攻擊圖過(guò)程中，對(duì)一些攻擊狀態(tài)和攻擊行為作了簡(jiǎn)化;在評(píng)估過(guò)程中，對(duì)攻擊狀態(tài)的權(quán)重值與攻擊實(shí)現(xiàn)度等參數(shù)的取值主要依據(jù)經(jīng)驗(yàn)構(gòu)造，并且僅從攻擊可能性與攻擊實(shí)現(xiàn)度指標(biāo)兩方面對(duì)安全性作了量化。在未來(lái)的研究中，可考慮更精細(xì)地構(gòu)造攻擊圖，采用更科學(xué)的方式獲取參數(shù)，并從更多維度進(jìn)行量化評(píng)估，以更準(zhǔn)確地衡量REST架構(gòu)的安全性。