基于PANAG模型的攻擊路徑預(yù)測研究

王 輝,趙 雅,張 娟,劉 琨

(河南理工大學(xué) 計算機科學(xué)與技術(shù)學(xué)院,河南 焦作 454000)

0 概述

隨著互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)空間安全問題日益突出。2018年,CNCERT全年截獲計算機惡意程序超過1億個,其中包含計算機惡意程序家族超過51萬個,比2017年增加8 132個,全年計算機惡意程序傳播次數(shù)日均達500萬余次[1]。上述數(shù)據(jù)表明,網(wǎng)絡(luò)攻擊造成的安全問題已不容忽視,制定有效的安全防護措施尤為重要。攻擊路徑預(yù)測是當(dāng)前主要的主動防御技術(shù)之一,其通過分析網(wǎng)絡(luò)中弱點關(guān)聯(lián)關(guān)系來發(fā)現(xiàn)攻擊者可能采取的攻擊路徑,從而為網(wǎng)絡(luò)防御提供理論依據(jù)[2-3]。目前,多數(shù)學(xué)者描述攻擊路徑時常使用的模型為攻擊樹和攻擊圖。攻擊樹具有直觀、可視化的層次結(jié)構(gòu),對攻擊行為具有較好的圖形化描述效果,但其存在擴展性較弱的問題,不適用于大規(guī)模復(fù)雜網(wǎng)絡(luò)[4]。攻擊圖具有良好的擴展性,能夠清晰地表達節(jié)點之間的依賴關(guān)系,為描繪攻擊路徑提供了一種可視化方法[5]。此外,網(wǎng)絡(luò)攻擊通常帶有主觀因素,具有不確定性,攻擊圖能夠描述攻擊者可能采取的所有攻擊行為,其具有處理不確定性關(guān)系的能力[6-7]。因此,利用攻擊圖預(yù)測攻擊者可能采取的攻擊路徑成為近年來學(xué)者們廣泛關(guān)注的一個研究熱點。

文獻[8]提出基于D-S證據(jù)理論的攻擊路徑預(yù)測方法,其應(yīng)用概率推理計算攻擊路徑發(fā)生的可能性。文獻[9]通過分析攻擊行為發(fā)生的不確定性,提出一種綜合預(yù)測算法。文獻[10]通過概率攻擊圖推理攻擊節(jié)點的可達性,根據(jù)節(jié)點狀態(tài)及節(jié)點間的關(guān)聯(lián)關(guān)系預(yù)測可能發(fā)生的攻擊行為。文獻[11]分析網(wǎng)絡(luò)安全態(tài)勢要素,構(gòu)建威脅狀態(tài)轉(zhuǎn)移圖用于實時預(yù)測網(wǎng)絡(luò)安全態(tài)勢,從而提高攻擊路徑預(yù)測的效果。上述方法主要依據(jù)當(dāng)前網(wǎng)絡(luò)狀態(tài)對未來可能的攻擊行為進行預(yù)測,具有一定的可行性,然而卻忽略了攻擊者將目標(biāo)節(jié)點的成本和收益作為攻擊依據(jù)的現(xiàn)象,從而導(dǎo)致路徑冗余問題,影響了攻擊路徑概率的準(zhǔn)確計算。

文獻[12]針對攻擊發(fā)生的不確定性問題,將概率屬性添加到攻擊圖模型中,利用攻擊圖來推測關(guān)鍵攻擊路徑,但隨著網(wǎng)絡(luò)規(guī)模的不斷擴大,其生成的攻擊圖可能存在狀態(tài)爆炸問題。文獻[13]利用貝葉斯網(wǎng)絡(luò)將節(jié)點置信度轉(zhuǎn)化為對攻擊節(jié)點成本和收益的計算,對比不同節(jié)點的成本-收益來找出最可能的攻擊路徑,但其未對節(jié)點中的弱點進行屬性分析,導(dǎo)致預(yù)測準(zhǔn)確度較低。文獻[14]構(gòu)建模糊馬爾科夫鏈模型對網(wǎng)絡(luò)攻擊路徑進行預(yù)測,該模型的關(guān)鍵是確定適合的隸屬函數(shù),當(dāng)前常用的隸屬函數(shù)選取方法有模糊統(tǒng)計法、判別矩陣法以及例證法等,但上述方法都帶有主觀性,理論基礎(chǔ)較弱,存在預(yù)測通用性較低的問題。文獻[15]設(shè)計因果知識網(wǎng)絡(luò)描述網(wǎng)絡(luò)入侵過程,并給出改進的Dijkstra算法來識別入侵意圖和預(yù)測不同水平的攻擊者在攻擊路徑選擇上的差異性。該方法預(yù)測準(zhǔn)確率較高但計算較為復(fù)雜,存在預(yù)測成本較高的問題。文獻[16]通過綜合分析攻擊者、防御者以及網(wǎng)絡(luò)環(huán)境三方面要素的相互關(guān)系,設(shè)計基于動態(tài)貝葉斯攻擊圖的攻擊路徑預(yù)測算法,但其網(wǎng)絡(luò)攻防具有動態(tài)性的特點,文中節(jié)點概率計算方式并不能實時描繪攻防雙方的對抗特征,導(dǎo)致預(yù)測效果不佳。

為避免攻擊圖生成的狀態(tài)爆炸問題,本文提出節(jié)點弱點聚類算法NVC和概率屬性網(wǎng)絡(luò)攻擊圖生成算法GeneratNAG。通過分析影響網(wǎng)絡(luò)攻擊行為的多方面因素,設(shè)計基于攻擊價值的攻擊路徑生成算法BuildNAP。利用優(yōu)化后的攻擊路徑,應(yīng)用概率推理思想計算基于入侵意圖的不同攻擊路徑的發(fā)生概率,以預(yù)測攻擊者最可能采取的攻擊路徑。

1 PANAG定義及NAP描述

攻擊路徑預(yù)測是以圖的形式尋找攻擊者為實現(xiàn)入侵意圖而可能采取的所有攻擊路徑。本文通過對網(wǎng)絡(luò)中的弱點屬性進行分析,構(gòu)建概率屬性網(wǎng)絡(luò)攻擊圖模型,管理員能夠依據(jù)此模型分析出最大概率攻擊路徑,從而進行防御決策。給出概率屬性網(wǎng)絡(luò)攻擊圖、攻擊路徑定義如下:

定義1(概率屬性網(wǎng)絡(luò)攻擊圖) 設(shè)PANAG=(V,H,E,P,P′,T,W)為有向無環(huán)圖,其中:

1)V={?vi∈V,vi為一個弱點}為網(wǎng)絡(luò)中的弱點集合。若攻擊者能夠成功利用主機中的弱點,則會給網(wǎng)絡(luò)帶來安全隱患。

2)H={Hi|i=1,2,…,N}為攻擊圖中包含弱點的主機節(jié)點集合。其中,Hi={vj,vj+1,…,vm}(0

3)E={ek→r|k=1,2,…,N,r=1,2,…,N}為攻擊圖中節(jié)點之間存在關(guān)聯(lián)關(guān)系的有向邊集合,也即攻擊行為集合。有向邊〈Hk,Hr〉的攻擊行為可表示為ek→r。

4)P代表弱點被成功利用的概率,即節(jié)點可達概率,其由弱點的屬性決定,具體計算詳見2.1節(jié)。

5)P′代表攻擊者采取一系列相關(guān)攻擊行為后,實現(xiàn)入侵意圖的攻擊路徑相對概率。假設(shè)攻擊圖中包含L條實現(xiàn)入侵意圖的攻擊路徑,用Θ表示攻擊者的入侵意圖,則每條攻擊路徑的相對概率則表示為P′(NAPl|Θ),其中,NAPl為攻擊路徑,l=1,2,…,L。

6)T={tn→p|n=1,2,…,N,p=1,2,…,N}代表攻擊圖包含的節(jié)點狀態(tài)變遷集合,tn→p表示攻擊者在占有當(dāng)前節(jié)點Hn的情況下成功占有下一個目標(biāo)節(jié)點Hp并完成攻擊行為en→p的節(jié)點變遷。

7)W代表攻擊價值集合,?w∈W依附于攻擊圖的有向邊,其由攻擊成本與攻擊收益共同決定,計算公式詳見3.3節(jié)。

定義1主要綜合上述7種因素及相互關(guān)系給出概率屬性網(wǎng)絡(luò)攻擊圖模型。依照定義1,借助弱點掃描工具對目標(biāo)網(wǎng)絡(luò)中的設(shè)備進行掃描,將具有弱點的主機作為攻擊圖節(jié)點,有向邊代表節(jié)點之間的關(guān)聯(lián)關(guān)系,生成如圖1所示的簡單攻擊圖。

圖1 簡單攻擊圖Fig.1 Simple attack graph

在圖1中,攻擊者從初始節(jié)點H0出發(fā)到成功占有H5最終實現(xiàn)入侵意圖,共包含8次不同的攻擊行為,分別為e0→1,e0→2,e1→3,e1→4,e2→3,e2→4,e3→5,e4→5,相應(yīng)完成了8次狀態(tài)變遷,分別為t0→1,t0→2,t1→3,t1→4,t2→3,t2→4,t3→5,t4→5。攻擊者從當(dāng)前所在節(jié)點到成功占據(jù)下一個關(guān)聯(lián)節(jié)點,必定利用了其含有的某一弱點,因此,依據(jù)弱點的屬性能夠衡量節(jié)點的可達性,便于預(yù)測攻擊者的可能攻擊路徑。

定義2(網(wǎng)絡(luò)攻擊路徑(Network Attack Path,NAP))對于入侵目標(biāo)節(jié)點?HN∈H,攻擊者首先選擇初始節(jié)點?Hi∈H發(fā)起攻擊,其安全狀態(tài)發(fā)生改變后,對其他具有依賴關(guān)系的節(jié)點?Hm∈H進行攻擊。以此類推,直至最終占有HN,所經(jīng)過的攻擊節(jié)點為Hi,Hm,…,HN,其中,任意2個相鄰的節(jié)點〈Hi,Hm〉滿足ti→m∈T,0

從定義2可以看出,網(wǎng)絡(luò)攻擊路徑描述了攻擊者實現(xiàn)入侵意圖而采取的一系列攻擊行為,體現(xiàn)了攻擊者對網(wǎng)絡(luò)中節(jié)點作不同選擇的可能性。以圖1為例,共包含如下4條攻擊路徑:

NAP1=〈H0,H1,H3,H5〉

NAP2=〈H0,H1,H4,H5〉

NAP3=〈H0,H2,H3,H5〉

NAP4=〈H0,H2,H4,H5〉

圖1中的攻擊者依次占有所有節(jié)點后到達H5,為準(zhǔn)確直觀地描述概率屬性網(wǎng)絡(luò)攻擊圖與攻擊路徑的關(guān)聯(lián)性,對該攻擊過程進行如下分析:

1)在通常情況下,目標(biāo)節(jié)點若含多個攻擊效果相同的弱點,則攻擊者會選擇容易利用的弱點,因此,弱點屬性影響節(jié)點的可達概率P。

2)在理論上,只需考慮節(jié)點的可達概率P,由于P>0,因此攻擊者可以從上述4條路徑中隨意挑選路徑發(fā)起攻擊,直至占有H5實現(xiàn)入侵意圖。但在實際中,若目標(biāo)節(jié)點的攻擊成本高于收益,則攻擊者會放棄該節(jié)點,即攻擊價值在一定程度上決定了攻擊行為是否發(fā)生。假定w(e1→4)<0,攻擊者會放棄節(jié)點H4的攻擊,因此,NAP2為無效攻擊路徑。

3)若未有效分析攻擊圖中包含的弱點及攻擊路徑信息,會導(dǎo)致實現(xiàn)入侵意圖的有效攻擊路徑相對概率P′計算有偏差,即存在預(yù)測結(jié)果不準(zhǔn)確的現(xiàn)象。

2 弱點概率屬性分析及PANAG生成算法

攻擊圖能夠方便管理員對網(wǎng)絡(luò)整體安全狀況進行分析決策,若攻擊圖過于復(fù)雜,則不利于管理員制定合理的防御策略。鑒于此,本文通過對弱點概率屬性進行分析,提出節(jié)點弱點聚類算法NVC和概率屬性網(wǎng)絡(luò)攻擊圖生成算法GeneratNAG,從而優(yōu)化攻擊圖生成效果,增強其可讀性。

2.1 弱點概率屬性分析

在實際攻擊場景中,能夠被攻擊者利用的弱點通常含有某種漏洞。攻擊者能否實現(xiàn)節(jié)點狀態(tài)變遷與節(jié)點是否含有漏洞以及該節(jié)點的屬性有關(guān)。目前,被公認的能夠量化漏洞屬性的評分工具為通用漏洞評估系統(tǒng)(Common Vulerability Scoring System,CVSS)[17],漏洞屬性在攻擊路徑(Access Vector,AV)、攻擊復(fù)雜度(Access Complexity,AC)以及身份認證(Authentication,AU)三方面對應(yīng)等級的具體取值如表1所示。

表1 漏洞屬性度量表Table 1 Vulnerability attribute measurement table

因為攻擊成功概率與所利用的漏洞屬性密切相關(guān),所以本文使用CVSS對不同漏洞的屬性進行度量,判斷漏洞利用的難易程度,并以此為依據(jù)計算攻擊者的攻擊成功概率,即節(jié)點可達概率P,其計算公式如下:

P=AC×AV×AU

(1)

2.2 PANAG生成算法

在對網(wǎng)絡(luò)攻擊進行建模時,需要綜合分析網(wǎng)絡(luò)中的拓撲關(guān)系和弱點信息。當(dāng)節(jié)點具有很多可以選擇利用的弱點時,就會存在多條攻擊路徑,因此,生成的攻擊圖會過于復(fù)雜。針對該現(xiàn)象,本文提出節(jié)點弱點聚類算法NVC來簡化節(jié)點中含有的弱點,然后利用概率屬性網(wǎng)絡(luò)攻擊圖生成算法GeneratNAG生成攻擊圖。

2.2.1 節(jié)點弱點聚類算法NVC

當(dāng)攻擊者面臨目標(biāo)節(jié)點內(nèi)存在多個弱點可供選擇且攻擊效果相同時,往往會選擇最容易成功利用的弱點。為此,本文先綜合分析多種弱點被利用后產(chǎn)生的后果,將攻擊分為獲取信息(GI)、權(quán)限升級(PU)以及拒絕服務(wù)(DoS)3種類型,再采用節(jié)點弱點聚類算法NVC對節(jié)點弱點進行預(yù)處理。節(jié)點弱點聚類算法流程如圖2所示。

圖2 節(jié)點弱點聚類算法流程Fig.2 Procedure of node vulnerability clustering algorithm

在節(jié)點弱點聚類算法NVC中,首先利用掃描工具掃描網(wǎng)絡(luò)中節(jié)點含有的弱點信息并進行屬性分析;其次利用CVSS中對弱點的度量策略來計算攻擊圖中節(jié)點內(nèi)每個弱點被攻擊成功的概率,對屬性相同的弱點進行聚類;最后對同種屬性的弱點,利用CVSS對弱點的度量策略選擇攻擊成功概率最高的弱點并作為聚類弱點的代表。NVC算法能夠起到減少弱點數(shù)目的作用。

2.2.2 概率屬性網(wǎng)絡(luò)攻擊圖生成算法GeneratNAG

隨著網(wǎng)絡(luò)規(guī)模的擴大,已有的攻擊圖生成方法已不能準(zhǔn)確描述網(wǎng)絡(luò)安全狀況,為此,本文提出一種新的攻擊圖生成算法。根據(jù)單調(diào)性假設(shè),攻擊者不會重復(fù)和放棄已攻擊占有的節(jié)點,因此,攻擊者必先成功占有前置狀態(tài)節(jié)點,后置狀態(tài)節(jié)點才可能出現(xiàn),即前置狀態(tài)節(jié)點和后置狀態(tài)節(jié)點互為因果關(guān)系。因此,本文采用正向搜索的思想,首先搜索可能存在的攻擊實例,接著分析攻擊實例內(nèi)節(jié)點間的相互關(guān)系,尋找并不斷創(chuàng)建網(wǎng)絡(luò)中新的攻擊節(jié)點,循環(huán)上述操作,直至無新的攻擊實例出現(xiàn),最終生成概率屬性網(wǎng)絡(luò)攻擊圖。概率屬性網(wǎng)絡(luò)攻擊圖生成算法GeneratNAG具體描述如下:

算法1GeneratNAG算法

輸入初始化攻擊節(jié)點s0,攻擊實例集合S

輸出PANAG

1.while S≠?

2.SNode←SNode∪{s0}

3.for each s∈S

4.if Hj∈pre(s)?SNodethen

5.createNode(Hj)//創(chuàng)建攻擊節(jié)點Hj

6.A←A∪{Hj}//A為攻擊圖的節(jié)點集合

7.for each Hi∈pre(s)

8.E←E∪{〈Hi,Hj〉}//E為攻擊圖中的邊集合

9.for each Hm∈post(s)

10.if Hm?SNodethen

11.createNode(Hm)

12.A←A∪{Hm}

13.E←E∪{〈Hj,Hm〉}

14.SNode← SNode∪{Hm}//更新當(dāng)前攻擊節(jié)點

15.S←S-{s}//將攻擊實例s從集合S中移除

16.GeneratNAG(PANAG,S)

在算法1中,首先收集歸納網(wǎng)絡(luò)攻擊狀態(tài)前置節(jié)點pre(s)和網(wǎng)絡(luò)攻擊狀態(tài)后置節(jié)點post(s),即模式化所有可能攻擊實例并存儲在集合S中,作為GeneratNAG的輸入。算法第1行～第4行將初始攻擊節(jié)點s0存儲在當(dāng)前攻擊節(jié)點集合SNode中,并搜索S中的節(jié)點,判斷是否有以當(dāng)前攻擊節(jié)點為pre(s)的攻擊實例;第5行～第15行進行判斷,若有攻擊實例滿足上述條件,則創(chuàng)建攻擊節(jié)點Hj,并建立該節(jié)點與其前置網(wǎng)絡(luò)狀態(tài)節(jié)點Hi的一條邊〈Hi,Hj〉,若該節(jié)點的網(wǎng)絡(luò)狀態(tài)后置節(jié)點Hm不屬于SNode,則建立Hm與其post(s)的一條邊〈Hj,Hm〉,并將Hm加入SNode中,同時將該攻擊實例從S中移除;第16行對于集合SNode中新的當(dāng)前攻擊節(jié)點,循環(huán)執(zhí)行第4行～第15行操作,直到S為空集。算法第10行加入對網(wǎng)絡(luò)狀態(tài)后置節(jié)點Hm與SNode的判斷,以避免攻擊圖生成環(huán)路。

3 攻擊可行性及NAP算法分析

隨著網(wǎng)絡(luò)規(guī)模的不斷上升,相應(yīng)的主機節(jié)點數(shù)也會增多,攻擊圖會包含過多的攻擊路徑,影響攻擊路徑的有效預(yù)測。針對該問題,本文通過對攻擊圖中節(jié)點的單元攻擊成本(Unit Attack Cost,UAC)和單元攻擊收益(Unit Attack Revenue,UAR)進行分析,引入攻擊價值的概念,提出一種基于攻擊價值的攻擊路徑生成算法。

3.1 單元攻擊成本分析

UAC指攻擊者發(fā)動一次攻擊所消耗的成本,其由操作成本和風(fēng)險成本組成。本文借鑒文獻[18]的思想,定義單元攻擊ei→j的操作成本由元操作成本cost(meta-operations)和操作序列成本cost(sequence)構(gòu)成,計算公式如下:

cost(ei→j)operation=α×cost(meta-operations)+

β×cost(sequence)

(2)

其中,α、β為元操作成本和操作序列成本所對應(yīng)的權(quán)重。

關(guān)于單元攻擊操作成本的詳細描述可參見文獻[18]。攻擊行為的風(fēng)險成本應(yīng)根據(jù)具體的攻擊場景進行量化,通常由風(fēng)險系數(shù)和攻擊者累積的攻擊經(jīng)驗決定。攻擊者每發(fā)動一次攻擊都會存在被發(fā)現(xiàn)的可能,為此定義風(fēng)險系數(shù)(δ)描述單元攻擊被發(fā)現(xiàn)的可能性大小。若攻擊者認為目標(biāo)節(jié)點對于實現(xiàn)入侵意圖具有重要性,則該節(jié)點就很容易被攻擊,也很容易檢測到該攻擊行為。因此,定義節(jié)點重要度(M)作為風(fēng)險成本評估因素。此外,風(fēng)險成本與攻擊者的攻擊行為復(fù)雜度(φ)也具有相關(guān)性,攻擊行為復(fù)雜度越高,越容易利用節(jié)點中的弱點,但面臨的風(fēng)險也越大。因此,風(fēng)險系數(shù)δ的數(shù)學(xué)模型如下:

δ(ei→j)=M(ei→j)×φ(ei→j)

(3)

由于攻擊者是理智的,當(dāng)攻擊者采取的攻擊次數(shù)越多時,經(jīng)驗就越豐富,其被發(fā)現(xiàn)的風(fēng)險成本就越小。因此,定義風(fēng)險成本的數(shù)學(xué)模型如下:

cost(ei→j)risk=η(ei→j)n-1×δ(ei→j)

(4)

其中,η(ei→j)為攻擊者經(jīng)驗依賴系數(shù),n為成功攻擊的次數(shù)。式(3)、式(4)中的相關(guān)變量具體取值均結(jié)合實際網(wǎng)絡(luò)攻擊場景并由專家經(jīng)驗給出。經(jīng)過分析,本文建立單元攻擊成本的計算模型如下:

UAC(ei→j)=ρ×cost(ei→j)operation+

ν×cost(ei→j)risk

(5)

其中,ρ、ν分別代表操作成本和風(fēng)險成本的權(quán)重,且滿足ρ+ν=1。

3.2 單元攻擊收益分析

UAR是指攻擊者采取單元攻擊后獲得的收益。通常很難具體量化收益,本文用節(jié)點的資源損失(Resource Loss,RL)來表示UAR。

定義3(資源損失) 資源損失代表節(jié)點受到某類攻擊行為所遭受的損失大小。本文參考文獻[19],用攻擊致命度(Attack Fatality,AF)、危險度(Risk)以及安全屬性3個因素描述攻擊的節(jié)點資源損失。

定義4(攻擊致命度) 攻擊致命度代表節(jié)點受到某類攻擊行為所產(chǎn)生的危害水平,可以用0～N之間的數(shù)值來表示各類攻擊的相對危害大小。依據(jù)2.2.1節(jié)對攻擊的分類,相同類型的攻擊行為賦予相同的致命度等級,具體取值如表2所示。

表2 攻擊致命度等級表Table 2 Attack fatality rating table

目前被廣大研究人員認可的能反映節(jié)點資源的安全特性為完整性、保密性和可用性,因此,本文采用三元組(Li,Lc,La)分別表示單元攻擊行為對節(jié)點資源三方面安全特性的不同致命度偏重,取值范圍均為[0,1]。

定義5(危險度) 危險度表示攻擊者的目標(biāo)攻擊節(jié)點所面臨的危險程度。節(jié)點的危險度可采用high、middle和low 3個等級來描述。攻擊者成功利用危險度越高的節(jié)點,相應(yīng)的資源損失就越大,危險度等級具體取值由實際攻擊場景確定。

本文結(jié)合網(wǎng)絡(luò)具體環(huán)境,定義Basev為節(jié)點資源價值基數(shù),用Risk和Basev表示網(wǎng)絡(luò)中各個節(jié)點的相對價值Value,即Value=Risk×Basev。此外,節(jié)點的資源價值相對于安全屬性往往具有一定偏重,用(Pi,Pc,Pa)描述對屬性的完整性、機密性和可用性的不同偏重,且滿足Pi+Pc+Pa=1。經(jīng)上述分析,給出單元攻擊ei→j攻擊成功后對網(wǎng)絡(luò)中節(jié)點造成的資源損失計算模型如下:

RL(ei→j)=AF×Value×(Li×Pi+Lc×Pc+La×Pa)

(6)

可以認為單元攻擊ei→j對節(jié)點造成的資源損失就是本次攻擊的收益,即:

UAR(ei→j)=RL(ei→j)

(7)

3.3 攻擊可行性分析

在通常情況下,攻擊者對網(wǎng)絡(luò)中的目標(biāo)節(jié)點實施攻擊時,會對該節(jié)點的攻擊價值w進行綜合考量,當(dāng)攻擊者認為本次攻擊的攻擊價值在目標(biāo)范圍內(nèi)時才會采取攻擊行為。因此,本文給出式(8)計算攻擊價值w,從而判斷攻擊行為的可行性:

w=UAR(ei→j)-UAC(ei→j)

(8)

從式(8)可以看出,攻擊可行性由節(jié)點的單元攻擊成本和單元攻擊收益共同決定。從攻擊者的角度考慮,若攻擊者認為節(jié)點的單元攻擊成本高于收益(此時w<0),就會放棄對該節(jié)點的攻擊而尋找其他可行目標(biāo)節(jié)點。對攻擊價值的分析在一定程度上能夠消除攻擊路徑冗余,提高攻擊預(yù)測的準(zhǔn)確度。

3.4 攻擊路徑生成算法描述

定義6(偏序關(guān)系集(Partially Ordered Set,POS))PANAG中的2個任意相鄰節(jié)點Hi和Hm,如果Hi,Hm之間存在一條〈Hi,Hm〉有向邊,則稱〈Hi,Hm〉具有偏序關(guān)系。所有偏序關(guān)系構(gòu)成的集合稱為偏序關(guān)系集,記作POS。

為詳細展示NAP的形成過程,用true代表狀態(tài)變遷和攻擊行為發(fā)生,false代表不可能發(fā)生。通過對某目標(biāo)網(wǎng)絡(luò)中的節(jié)點進行弱點分析,得到其含有的攻擊圖,依據(jù)上文的攻擊可行性分析并結(jié)合專家經(jīng)驗為攻擊圖賦予攻擊價值w,然后以H0為起始點,斷開以其為節(jié)點的一條邊,存放入POSi中,之后依照某一拓撲順序ei→j逐漸得到POS。賦予w后的攻擊圖如圖3所示。

圖3 賦予攻擊價值的攻擊圖Fig.3 Attack graph with attack value

在圖3中,拓撲序φ={e0→1,e0→2,e1→3,e1→4,e2→4,e2→5,e2→4,e2→3,e3→6,e4→6,e5→6},具體流程如下:

1)斷開e0→1,w=1.5>0,e0→1←true,t0→1←true,POS0={〈H0,H1〉}。

2)斷開e0→2,w=1.9>0,e0→2←true,t0→2←true,POS1=POS0∪{〈H0,H2〉}。

3)斷開e1→3,w=-0.7<0,e1→3←false,t1→3←false。

4)斷開e1→4,w=2.3>0,e1→4←true,t1→4←true,POS2=POS1∪{〈H1,H4〉}。

5)斷開e1→5,w=-3.6<0,e1→5←false,t1→5←false。

6)斷開e2→3,w=-1.2<0,e2→3←false,t2→3←false。

7)斷開e2→4,w=1.2>0,e2→4←true,t2→4←true,POS3=POS2∪{〈H2,H4〉}。

8)斷開e2→5,w=2.5>0,e2→5←true,t2→5←true,POS4=POS3∪{〈H2,H5〉}。

9)斷開e3→6,w=0.5>0,e3→6←true,t3→6←true,POS5=POS4∪{〈H3,H6〉}。

10)斷開e4→6,w=3.1>0,e4→6←true,t4→6←true,POS6=POS5∪{〈H4,H6〉}。

11)斷開e5→6,w=1.7>0,e5→6←true,t5→6←true,POS7=POS6∪{〈H5,H6〉}。

12)遍歷變遷關(guān)系集合T,查找標(biāo)識為false的ti→j并將其從T中移除。

13)若T≠?,依據(jù)POS得到攻擊路徑NAPi:

NAP1=〈H0,H1,H4,H6〉

NAP2=〈H0,H2,H4,H6〉

NAP3=〈H0,H2,H5,H6〉

由上述結(jié)果可以看出,該方法通過對攻擊價值w的判斷,對攻擊行為和狀態(tài)變遷進行標(biāo)識,舍棄標(biāo)識為false的狀態(tài)變遷,有效減少了冗余路徑?；诠魞r值的攻擊路徑生成算法BuildNAP具體描述如下:

算法2BuildNAP算法

輸入PANAG,偏序關(guān)系集POS,攻擊價值w,變遷關(guān)系集T,有向邊集合E,拓撲序φ,任意節(jié)點Hi、Hj

輸出攻擊路徑集合NAP

1.φ←PANAG,POSi←?,Ti←?

2.FOR(根據(jù)φ查找每一個節(jié)點變量Hi)

3.在PANAG中找出與Hi存在變遷關(guān)系的節(jié)點Hj

4.IF(ei→j∈E)

5.IF(w>0)

6.ei→j←true,ti→j←true

7.ELSE

8.ei→j←false,ti→j←false

9.END IF

10.POSi∪{}

11.END IF

12.END FOR

13.遍歷集合T,移除所有標(biāo)志為false的ti→j

14.IF(T≠?)

15.NAPi←POS

16.RETURN NAPi

4 基于PANAG模型的入侵預(yù)測

攻擊者能否實現(xiàn)入侵意圖通常與網(wǎng)絡(luò)中節(jié)點之間的依賴關(guān)系以及節(jié)點包含的弱點屬性有關(guān)。然而,由于網(wǎng)絡(luò)規(guī)模的不斷擴大,攻擊者可以通過多條路徑實現(xiàn)其入侵意圖。因此,預(yù)先發(fā)現(xiàn)攻擊者的入侵意圖并及時掌握其可能實施的攻擊路徑,有助于防御網(wǎng)絡(luò)入侵。

4.1 入侵意圖的可達性分析

給定PANAG模型,如果存在任意節(jié)點Hi,Hj∈PANAG,Hi為攻擊者初始所在節(jié)點,Hj為攻擊者完成入侵意圖Θ的前置條件節(jié)點,若模型中含有以Hi為起始節(jié)點、Hj為最終節(jié)點的攻擊路徑〈Hi,Hi+1,…,Hj〉,則稱入侵意圖Θ可達。

4.2 入侵意圖的實現(xiàn)概率分析

在概率屬性網(wǎng)絡(luò)攻擊圖中,若攻擊者想要占有的目標(biāo)節(jié)點h含有多個弱點,利用節(jié)點弱點聚類算法NVC能夠找出攻擊者最可能占有的弱點,根據(jù)該弱點屬性計算節(jié)點h的可達概率為P(h)。假設(shè)有L條NAP能夠?qū)崿F(xiàn)入侵意圖,每條NAP的對應(yīng)節(jié)點數(shù)為φ(不同的NAP其φ取值可能不同),則入侵意圖Θ的實現(xiàn)概率計算公式為:

(9)

根據(jù)貝葉斯公式可計算出每條NAP的入侵意圖Θ的相對實現(xiàn)概率,如下:

P′(NAPl|Θ)=P(NAPl)P(Θ|NAPl)

(10)

其中,l=1,2,…,L。依據(jù)式(10)可找出實現(xiàn)入侵意圖概率最大的攻擊路徑,即攻擊者最可能采取的攻擊路徑。

5 仿真驗證

5.1 仿真網(wǎng)絡(luò)環(huán)境

為驗證本文提出的模型和算法的有效性與適用性,搭建一個仿真網(wǎng)絡(luò)環(huán)境進行測試分析,其拓撲結(jié)構(gòu)如圖4所示。

圖4 仿真網(wǎng)絡(luò)拓撲Fig.4 Simulation network topology

仿真網(wǎng)絡(luò)包括M1、M2、M3以及DMZ 4個安全區(qū)域,每個安全區(qū)域內(nèi)節(jié)點之間可任意訪問。DMZ中包含Mail服務(wù)器、SMTP服務(wù)器以及DNS服務(wù)器,防火墻3保護DMZ區(qū)連接Internet。區(qū)域M2和M3內(nèi)的主機均可與DMZ中的3臺服務(wù)器互相訪問,區(qū)域M1與DMZ不能互相訪問。區(qū)域M3中的主機H4能夠訪問區(qū)域M2中的服務(wù)器H12,同時H4和M2中的主機H9與區(qū)域M1中的DB服務(wù)器能夠互相訪問。攻擊者通過Internet訪問該網(wǎng)絡(luò)。

在網(wǎng)絡(luò)節(jié)點上配置的相關(guān)弱點信息如表3所示。假定攻擊者的入侵意圖是竊取區(qū)域M1中DB服務(wù)器H12的隱秘數(shù)據(jù)和敏感信息,為簡化攻擊行為的可行性分析,本文首先依據(jù)文中的單元攻擊成本、單元攻擊收益的數(shù)學(xué)模型并結(jié)合專家經(jīng)驗,將節(jié)點H2的攻擊價值w賦值為-1.2,圖4中其他節(jié)點的攻擊價值w均大于0。

表3 節(jié)點弱點信息Table 3 Node vulnerability information

5.2 仿真結(jié)果及分析

首先利用節(jié)點弱點聚類算法NVC對該網(wǎng)絡(luò)中的弱點進行預(yù)處理,輸出每個節(jié)點聚類后的弱點,并依據(jù)式(1)計算出所有包含弱點的節(jié)點可達概率P,如表4所示。

表4 節(jié)點弱點聚類信息Table 4 Node vulnerability clustering information

根據(jù)網(wǎng)絡(luò)的節(jié)點弱點和拓撲結(jié)構(gòu)信息,利用本文給出的概率屬性網(wǎng)絡(luò)攻擊圖生成算法GenerateNAG生成該網(wǎng)絡(luò)的攻擊圖,如圖5所示。

圖5 概率屬性網(wǎng)絡(luò)攻擊圖Fig.5 Probability attribute network attack graph

針對得出的PANAG模型,根據(jù)本文提出的攻擊可行性分析方法,利用攻擊路徑生成算法BuildNAP生成8條可行的攻擊路徑,如表5所示。在表5中,CP代表攻擊路徑的可達概率,其為每條攻擊路徑所經(jīng)過的各節(jié)點可達概率之積。

表5 實現(xiàn)入侵意圖的路徑信息Table 5 Path information to achieve intrusion intent

利用式(9)計算攻擊者的入侵意圖Θ的實現(xiàn)概率為P(Θ)=0.423,通過式(10)計算得出攻擊者實現(xiàn)入侵意圖的每條攻擊路徑的相對概率P′,具體結(jié)果為表5中第4列所示。由此可以看出,P′(NAP1|Θ)的取值最大,因此,NAP1為最可能采取的攻擊路徑,管理員應(yīng)對此進行重點防御。

5.3 仿真結(jié)果比較

本文利用節(jié)點弱點聚類算法以有效簡化網(wǎng)絡(luò)中的弱點,并給出攻擊可行性的判斷依據(jù),消除了冗余攻擊路徑。經(jīng)過對已有研究的對比分析得出,文獻[9,20]與本文研究方法有一定的相似性。為此,本文進行3組仿真實驗,在攻擊圖生成效果、執(zhí)行時間以及預(yù)測有效性3個方面進行綜合對比,結(jié)果如下:

1)攻擊圖生成效果對比。為保證仿真結(jié)果的可比性,進行與本文算法相同的仿真環(huán)境配置,使用文獻[20]攻擊圖生成算法生成攻擊圖,結(jié)果如圖6所示。

圖6 文獻[20]算法攻擊圖生成效果Fig.6 Attack graph generation effect ofthe algorithm in reference[20]

從圖6可以看出,文獻[20]算法生成的攻擊圖中攻擊者利用節(jié)點的不同弱點實現(xiàn)入侵意圖,但存在過多的冗余路徑,可讀性差。本文算法從攻擊者角度考慮,對生成的概率屬性網(wǎng)絡(luò)攻擊圖和攻擊路徑進行有效簡化,能夠更加清楚地描述節(jié)點關(guān)系,有助于攻擊路徑預(yù)測。

2)執(zhí)行時間對比。將本文算法與文獻[20]算法的攻擊圖生成時間進行對比,首先在網(wǎng)絡(luò)中隨機増加主機節(jié)點數(shù)、拓撲關(guān)系及弱點數(shù),然后分別計算2種算法的執(zhí)行時間,結(jié)果如圖7所示。

圖7 2種算法的攻擊圖生成時間對比Fig.7 Comparison of attack graph generation timeof two algorithms

從圖7可以看出,當(dāng)主機節(jié)點數(shù)小于4 000時,2種算法的執(zhí)行時間均低于10 s,隨著節(jié)點數(shù)的增多,2種算法的執(zhí)行時間都明顯上升;當(dāng)節(jié)點數(shù)不超過5 000時,2種算法所需執(zhí)行時間基本上保持相同;當(dāng)節(jié)點數(shù)大于5 000時,本文算法的時間消耗明顯少于文獻[20]算法,說明本文算法更適用于大規(guī)模復(fù)雜網(wǎng)絡(luò)。

3)預(yù)測性能對比。為驗證本文算法的有效性,將其與文獻[9,20]算法進行對比,預(yù)測準(zhǔn)確率結(jié)果如表6所示。

表6 預(yù)測準(zhǔn)確率對比Table 6 Comparison of prediction accuracy %

從表6可以看出,相比于文獻[9,20]算法,本文算法的準(zhǔn)確率更高,主要是因為本文利用節(jié)點弱點聚類算法選出了攻擊者最可能利用的弱點,并以此為依據(jù)計算攻擊者的最大概率攻擊路徑。

6 結(jié)束語

面對復(fù)雜的網(wǎng)絡(luò)環(huán)境,進行攻擊路徑預(yù)測有助于管理員分析網(wǎng)絡(luò)安全狀況。針對現(xiàn)有攻擊圖生成方法復(fù)雜度高、可讀性差的問題,本文提出節(jié)點弱點聚類算法NVC和概率屬性網(wǎng)絡(luò)攻擊圖生成算法GeneratNAG。通過分析影響攻擊可行性的因素,設(shè)計基于攻擊價值的攻擊路徑生成算法BuildNAP。在此基礎(chǔ)上,應(yīng)用概率推理預(yù)測攻擊者最可能采取的攻擊路徑。實驗結(jié)果驗證了本文算法較高的準(zhǔn)確性。本文綜合分析影響網(wǎng)絡(luò)攻擊行為的多方面因素,給出了節(jié)點的攻擊價值計算方式,但其中涉及較多參數(shù),且只能依據(jù)專家經(jīng)驗給出取值。為提高算法執(zhí)行效率,下一步將利用數(shù)學(xué)模型來計算具體的參數(shù)數(shù)值。