一種基于攻擊樹的4G 網(wǎng)絡安全風險評估方法

王賽娥，劉彩霞，劉樹新，柏 溢

（中國人民解放軍戰(zhàn)略支援部隊信息工程大學，鄭州 450001）

0 概述

網(wǎng)絡安全風險評估是利用一定的評估方法對系統(tǒng)的脆弱性以及面臨的安全威脅進行綜合分析，預測可能產生的后果并整體評價網(wǎng)絡的安全風險，以便根據(jù)評估結果實施相應的安全策略，從而降低甚至消除風險。安全風險評估有利于了解系統(tǒng)的風險狀況，發(fā)現(xiàn)潛在的安全缺陷，是制定防御策略并確保系統(tǒng)安全穩(wěn)定的基礎和前提。第四代移動通信技術（4G）自2010 年發(fā)展至今，通信和傳輸速度更快，兼容性更好，應用也更廣泛，截至2019 年6 月，4G 用戶數(shù)量達到12.3 億，占移動用戶總數(shù)的77.6%，4G 網(wǎng)絡流量極速增加，成為移動互聯(lián)網(wǎng)流量的主要來源。4G 網(wǎng)絡數(shù)據(jù)中涉及的用戶隱私繁多，蘊含的價值豐富，是各種威脅行為的主要目標，一旦發(fā)生安全問題，造成的后果不僅是用戶個人數(shù)據(jù)泄露，還可能對社會經濟等產生影響。對4G 網(wǎng)絡進行安全風險評估，能夠分析網(wǎng)絡面臨的風險因素和脆弱信息，了解風險所在，評估網(wǎng)絡的安全性和防御性，該過程是選取恰當?shù)姆烙侄我约安渴鹩行Х雷o策略的重要依據(jù)，也是確保4G 網(wǎng)絡安全的首要條件，具有一定的實際意義。

4G 網(wǎng)絡面臨的安全威脅較多，既有傳統(tǒng)的竊聽、電信詐騙，還包含針對終端的惡意代碼攻擊、針對用戶服務的DoS 攻擊等融合式威脅手段?，F(xiàn)有的4G 網(wǎng)絡安全風險研究主要集中于探索系統(tǒng)未知的脆弱性和挖掘可利用的漏洞信息，主要分為協(xié)議分析法、模型檢測法和經驗分析法等。

協(xié)議分析法以協(xié)議本身作為風險研究核心，從協(xié)議標準、通信流程和協(xié)議內容等方面尋找不安全因素。協(xié)議分析可以利用安全協(xié)議驗證工具輔助分析，文獻［1］用形式化工具Tamarin 分析5G AKA 協(xié)議，將安全目標形式化，構建威脅模型，全面、系統(tǒng)地評估協(xié)議，分析結果確定了每個安全目標所需的最低安全假設并指出未滿足的安全目標。文獻［2］基于Lowe 分類法對5G 網(wǎng)絡EAP-AKA′協(xié)議進行分析，發(fā)現(xiàn)了隱式鑒權方式下的安全問題和攻擊路徑。此外，可以使用數(shù)學邏輯對協(xié)議進行推理證明，常用的是BAN 邏輯和類BAN 邏輯。BAN 邏輯是基于信仰的形式邏輯分析方法，后來發(fā)展出AUTLOG 邏輯、SVO 邏輯等類BAN 邏輯。將要分析的協(xié)議改寫成BAN 邏輯或類BAN 邏輯形式并作為既定條件，證明的假設前提是對協(xié)議雙方的狀態(tài)描述，結論是協(xié)議期望達到的安全目標，運用既定條件、假設前提和邏輯的推理規(guī)則進行證明，如果可以推導出結論則說明協(xié)議滿足相應的安全目標。

模型檢測法也稱狀態(tài)檢測法，其運用有限狀態(tài)機理論為系統(tǒng)建立模型，遍歷狀態(tài)空間，查找系統(tǒng)是否存在特殊狀態(tài)或到達特殊狀態(tài)的路徑，由此檢測系統(tǒng)是否違反了某些安全屬性。文獻［3］利用LTE Inspector 檢測4G LTE 的附著、尋呼和去附著3 個關鍵程序，發(fā)現(xiàn)了10 個新的可用攻擊和9 個已知攻擊，并在實驗中驗證了攻擊的可行性和有效性。

經驗分析法利用已知的攻擊方法，逐一測試系統(tǒng)，根據(jù)攻擊中系統(tǒng)的反饋不斷調整攻擊手段，通過攻擊結果檢驗系統(tǒng)是否具有抵抗攻擊的能力。該方法在原有偽基站攻擊、協(xié)議攻擊等的基礎上進行改進，效率更高，但攻擊結果可能會因為使用者的能力水平而稍有不同。

上述方法均以系統(tǒng)為中心，側重于脆弱性研究從而挖掘可被利用的漏洞，但針對的安全威脅類型比較單一，缺少面對已知威脅的綜合評估，沒有涉及系統(tǒng)整體的安全風險狀況。傳統(tǒng)網(wǎng)絡的安全風險評估發(fā)展已經成熟，有定性和定量的評估（如基于漏洞掃描和入侵檢測的評估［4］）、基于知識推理的評估、基于資產價值的評估以及應用最廣泛的基于模型的安全風險評估等。攻擊樹模型從攻擊者角度出發(fā)，用圖形化方式展現(xiàn)攻擊流程，結合系統(tǒng)架構詳細分析攻擊方式并定量評估系統(tǒng)風險，其適合描述多階段的復雜攻擊行為，因此，在實際中得到廣泛應用。文獻［5］利用攻擊樹模型分析風電工業(yè)控制系統(tǒng)，對新能源行業(yè)控制系統(tǒng)進行評估，指導部署等級防護措施。4G 通信網(wǎng)絡架構清晰，面臨的安全威脅多樣，利用攻擊樹建模既能量化評估系統(tǒng)風險，又能顯示攻擊者最有可能的攻擊路徑，從而指出系統(tǒng)的薄弱處以便管理人員重點防控。

本文提出一種基于攻擊樹的4G 網(wǎng)絡安全風險評估方法，改進攻擊樹模型以適配4G 網(wǎng)絡架構，運用多屬性理論和模糊層次分析法（Fuzzy Analytical Hierarchy Process，F(xiàn)AHP）評估4G 網(wǎng)絡面臨已知安全威脅時的風險等級，對系統(tǒng)脆弱性及可能產生的后果進行預測和定量分析，根據(jù)評估結果提出有效的防護措施，從而降低網(wǎng)絡安全風險。

1 研究背景

1.1 4G 網(wǎng)絡架構

相比傳統(tǒng)的2G、3G網(wǎng)絡，4G網(wǎng)絡架構有較大改變，其分為接入網(wǎng)E-UTRAN（Evolved Universal Terrestrial Radio Access Network）和核心網(wǎng)EPC（Evolved Packet Core）2 個部分，如圖1 所示。

圖1 4G 網(wǎng)絡架構Fig.1 4G network architecture

在E-UTRAN 中，采用更扁平化的網(wǎng)絡結構，網(wǎng)元種類減少，取消3G 中的無線網(wǎng)絡控制器（Radio Network Controller，RNC），只包含基站eNodeB（Evolved Node B）。eNodeB 是無線接入網(wǎng)網(wǎng)元，負責空中接口相關的功能，部分RNC 功能也集成到了eNodeB中，主要包括物理層功能、無線資源管理、無線接入控制、承載控制和移動管理等。eNodeB 直接接入EPC 中，能夠降低通信時延，提高通信速率。

核心網(wǎng)EPC 主要包括移動管理實體（MME）、服務網(wǎng)關（SGW）、分組數(shù)據(jù)網(wǎng)關（PGW）、歸屬簽約數(shù)據(jù)庫（HSS）以及策略控制和計費規(guī)則單元（PCRF）。

MME 是接入網(wǎng)絡的關鍵點，主要負責用戶接入控制、安全控制、信令處理、移動性管理等。SGW 是用戶面接入服務網(wǎng)關，負責用戶面數(shù)據(jù)處理，在MME 的控制下進行數(shù)據(jù)包路由和轉發(fā)、傳輸層上下行數(shù)據(jù)標記以及下行數(shù)據(jù)包緩存等。PGW 也是用戶面的網(wǎng)元，是EPC 的邊界網(wǎng)關，主要完成會話和承載管理以及IP 地址分配的功能。HSS 是存儲用戶簽約信息的數(shù)據(jù)庫，其存儲用戶數(shù)據(jù)、位置信息和標識信息等，同時也是網(wǎng)絡的鑒權中心，執(zhí)行身份驗證和授權操作。PCRF 負責策略控制和計費，其提供可用的策略和控制決策，主要進行規(guī)則制定，不具備具體計費功能，可根據(jù)用戶提供的信息進行決策，確定業(yè)務和計費策略。

在EPC 網(wǎng)絡中，取消電路域CS（Circuit Switched），采用單一網(wǎng)絡架構，各網(wǎng)元間使用IP 傳輸，實現(xiàn)全網(wǎng)IP化，同時控制與承載分離，信令面功能由MME 負責，用戶面功能由SGW 承擔。

LTE 在安全方面采取分層機制，將接入層和非接入層分離，兩層有各自的密鑰和機制。接入層確保用戶和基站之間的安全，非接入層確保用戶和MME 之間的安全。分層設計使得兩層之間相互影響較小，從而提高了系統(tǒng)整體的安全性。

1.2 4G 網(wǎng)絡典型安全威脅

盡管4G 網(wǎng)絡架構考慮了安全性問題，但是在實際中仍面臨很多安全威脅，根據(jù)威脅利用的主要位置可以分為用戶設備威脅、接入網(wǎng)威脅和核心網(wǎng)威脅，它們的目的是竊取用戶隱私數(shù)據(jù)、造成用戶服務中斷等。

造成用戶信息泄露的威脅具體如下：

1）竊聽，又稱流量分析，其可以利用無線信道的開放性，通過空口協(xié)議存在的漏洞直接獲取所傳輸?shù)男畔ⅲ绻荒苤苯咏獯a消息內容，可以依據(jù)消息的源地址和目的地址，通過消息流來推斷內容。

2）偽基站攻擊［6］，其通過設立惡意基站增強信號強度，使目標用戶主動附著，用戶所有數(shù)據(jù)均經過偽基站中轉，從而獲取和篡改其中所傳輸?shù)男畔?。偽基站攻擊可以實現(xiàn)多種攻擊效果，獲取合法用戶身份信息、竊取目標用戶位置信息以及中斷用戶合法服務請求等。在實際中，偽基站攻擊因為攻擊成本低、簡便易操作等原因，成為很多攻擊者首選的威脅手段。

3）惡意代碼威脅［7］，其與傳統(tǒng)互聯(lián)網(wǎng)領域的攻擊方式極為相似，利用用戶設備端操作系統(tǒng)或者應用軟件的漏洞控制用戶設備，搜集用戶數(shù)據(jù)，獲取用戶權限等。該威脅在移動通信網(wǎng)中通常與偽基站相結合，在用戶設備接入偽基站后向用戶發(fā)送偽造的虛假短信、釣魚鏈接等，誘騙用戶點擊觸發(fā)惡意代碼，從而竊取用戶信息。

4）位置追蹤攻擊。文獻［8］發(fā)現(xiàn)運營商實際部署中GUTI 重分配規(guī)則存在固定字節(jié)以及重分配規(guī)律可預測的漏洞。攻擊者對用戶進行多次靜默呼叫，觸發(fā)尋消息，監(jiān)聽并記錄消息中的GUTI 值，根據(jù)重分配規(guī)則來推測用戶是否在該區(qū)域。

致使用戶服務中斷或者擾亂用戶正常通信的常見威脅具體如下：

1）假冒攻擊［9］，指攻擊者獲知目標用戶手機號或其他身份信息后，假冒用戶身份在網(wǎng)絡中注冊，以目標用戶身份合法使用網(wǎng)絡服務，造成受害者不能正常接入網(wǎng)絡。

2）基站資源消耗攻擊［10］。攻擊者利用基站有最大活動用戶連接量的特性，使用惡意軟件等技術手段假冒不同身份的用戶發(fā)起連接請求，消耗基站資源，達到最大連接量后基站拒絕所有合法用戶的連接請求。

3）Blind DoS 攻擊［10］，該攻擊方式和假冒攻擊有相似之處，與基站通信時都需要假冒目標用戶的身份，不同的是，該攻擊更具針對性，能夠有選擇地中斷目標用戶的特定服務，其可以假冒用戶特定服務的通信流程，只針對特定服務進行干擾，隱蔽性更強，不易察覺。

4）同步驗證失敗攻擊［3］，其利用用戶與基站通信過程中的序列號（SQN）一致性檢查，攻擊者假冒用戶身份，在連續(xù)的連接請求中采用不同的安全選項（選擇不同的加密或完整性保護算法），使HSS 認為是多個不同請求，處理時增加自身的SQN 值，造成用戶端和HSS 端的SQN 值不同步。當用戶端對SQN 檢查時，如果超出規(guī)定范圍，則校驗與連接建立均失敗。

5）信令協(xié)議攻擊，其利用通信流程中信令協(xié)議的脆弱性，攔截正常的通信消息，修改消息內容進行通信擾亂，如利用4G 核心網(wǎng)中的DIAMETER 信令干擾通信。

4G 網(wǎng)絡面臨的安全威脅還有很多，其具體攻擊方法與傳統(tǒng)互聯(lián)網(wǎng)攻擊有所不同，但攻擊效果類似，其中部分攻擊方法從互聯(lián)網(wǎng)攻擊手段中發(fā)展而來?；ヂ?lián)網(wǎng)對類似的安全威脅進行評估，大多需要借助專業(yè)工具，結合不同工具的評估結果給出系統(tǒng)整體的安全風險值?；谙到y(tǒng)漏洞的評估使用漏洞掃描工具，根據(jù)通用漏洞評估方法（CVSS）等評價標準給出系統(tǒng)漏洞的危險等級，從而評估系統(tǒng)風險?；谌肭謾z測的評估方式分析攻擊行為的特征并設立知識庫，通過研究網(wǎng)絡中數(shù)據(jù)與知識庫的匹配度來評估網(wǎng)絡安全風險。此類方法都是從系統(tǒng)層面出發(fā)，以工具為基礎，依賴相應的知識庫或漏洞庫，缺少全面的評估標準，而且不能完整地分析攻擊流程，評估結果依賴于知識庫的完善度和及時更新。本文提出的基于攻擊樹的評估方法，從攻擊層面出發(fā)，包含完整的攻擊流程分析且具有一定的通用性，在風險評估的同時還可以分析攻擊場景，從而使防御更有針對性。

2 基于攻擊樹的安全風險評估

基于攻擊樹模型的安全風險評估主要分為2 個階段：第一階段分析系統(tǒng)面臨的安全威脅，根據(jù)節(jié)點關系構建層次化的攻擊樹模型；第二階段計算風險，根據(jù)威脅行為特點賦予葉節(jié)點相應的屬性并進行量化，從而計算根節(jié)點的風險概率。

2.1 攻擊樹模型

攻擊樹是對目標基礎設施可能遭受的攻擊的層次化描述，其從故障樹［11］演變而來，被SCHNEIER［12］廣泛推廣。SCHNEIER 將攻擊樹作為一種安全威脅的建模方法，利用層次化進行表示，通過自下而上的單參數(shù)擴散來進行定量的安全評估。攻擊樹模型［13］構建簡單，易于理解，圖形化方式較為直觀，適合描述詳細的攻擊過程并評估系統(tǒng)面臨的安全風險。

樹的根節(jié)點表示攻擊的最終目標，子節(jié)點表示實現(xiàn)該目標的子目標，層層細化，最后的葉節(jié)點表示不可分解的原子攻擊，從根節(jié)點到葉節(jié)點的路徑表示實現(xiàn)目標的一個完整攻擊流程，攻擊樹表示實現(xiàn)目標的所有可能的攻擊路徑。節(jié)點之間的基本關系有“與”“或”兩種，“與”表示節(jié)點代表的手段和方法要同時完成才可以實現(xiàn)父節(jié)點，“或”表示只要完成一個子節(jié)點就可以實現(xiàn)父節(jié)點。

在實際應用中，子目標或者行為之間通常存在嚴格的順序約束關系，打亂順序則不能實現(xiàn)特定目標，而攻擊樹的“與”“或”關系不能被準確描述，因此引入擴展節(jié)點，其依賴關系為“順序與”，即節(jié)點必須按照順序關系依次完成才能實現(xiàn)父節(jié)點目標。擴展后的攻擊樹節(jié)點表示如圖2 所示，擴展攻擊樹模型能夠準確描述子攻擊行為之間的相關性，構建完成后對節(jié)點的屬性（攻擊成本、攻擊難度等）賦值，計算子節(jié)點的風險值，然后根據(jù)節(jié)點之間的依賴關系得到目標的風險值。

圖2 攻擊樹的節(jié)點表示方法Fig.2 Node representation methods of attack tree

2.2 4G 網(wǎng)絡的擴展攻擊樹模型構建

攻擊樹可以看作具有根節(jié)點的圖，能夠通過向后推理的過程來構建。首先，確定一個目標作為根節(jié)點，本文將4G 網(wǎng)絡面臨的安全威脅作為目標；然后，分析能夠造成威脅的前提或事件的組合，將其作為子節(jié)點，通過“與”“或”“順序與”的關系表示，將子節(jié)點層層拆分，直到成為不可拆分的原子攻擊，將其作為葉節(jié)點。從根節(jié)點到葉節(jié)點的一條路徑是一個攻擊序列，代表一次完整的攻擊流程。

攻擊樹模型在面向復雜的大型網(wǎng)絡時，建模效率較低，且隨著系統(tǒng)規(guī)模的增加，分支數(shù)呈指數(shù)級增長，可能帶來空間爆炸的問題，攻擊路徑的搜索難度大幅提升，因此，攻擊樹不具有通用性?，F(xiàn)有研究多數(shù)是針對簡單網(wǎng)絡或單一安全威脅，文獻［14］使用攻擊樹對車載自組織網(wǎng)絡的位置隱私泄露風險進行建模，文獻［15］將攻擊樹模型用于木馬檢測，但針對的是惡意代碼攻擊這種單一威脅手段。文本提出的4G 網(wǎng)絡擴展攻擊樹模型，針對多種安全風險，具備數(shù)據(jù)重用性，同時，為降低樹的復雜度，本文在構建擴展攻擊樹的過程中，引入STRIDE［16］威脅分類模型，其可以限制一級節(jié)點數(shù)量，從而有效減少分支數(shù)并壓縮樹的寬度。

STRIDE 模型將常見的安全威脅分成身份欺騙、數(shù)據(jù)篡改、抵賴、信息泄露、拒絕服務和權限提升6 個維度，可以涵蓋目前絕大部分的安全威脅，同時，這6 個維度與信息安全屬性相關。信息安全的3個基本屬性［17］是機密性、完整性和可用性，除此之外還包括可靠性、不可抵賴性和可控性等其他屬性。STRIDE 模型與信息安全屬性的對應關系如表1 所示。

表1 STRIDE 模型及安全屬性Table 1 STRIDE model and security attributes

STRIDE 模型的6 個維度將安全威脅進一步細化，因此，STRIDE 模型可以作為第一級節(jié)點。結合典型的攻擊方式，將4G 網(wǎng)絡可能面臨的安全威脅整理成攻擊樹，如圖3 所示。

圖3 4G 網(wǎng)絡攻擊樹Fig.3 Attack tree of 4G network

在攻擊樹中，第一級節(jié)點為STRIDE 模型，本文攻擊樹暫不涉及權限提升和抵賴2 種安全威脅。能夠到達根節(jié)點的路徑（即對4G 網(wǎng)絡造成安全威脅的事件組合）稱為攻擊序列，如S1｛E1，E2｝。一個攻擊樹中存在多個攻擊序列，它們都對根節(jié)點造成安全威脅。

2.3 風險評估算法研究

2.3.1 葉節(jié)點風險概率

本文對攻擊樹模型的評估采用屬性的觀點，根據(jù)4G 網(wǎng)絡攻擊行為特點，賦予每個葉節(jié)點3 個屬性：實現(xiàn)攻擊的花銷cost，技術難度dif，發(fā)現(xiàn)難度det。運用多屬性效用論［18-20］可以計算得到葉節(jié)點的風險概率，具體如下：

其中，a表示一個任意的葉節(jié)點，Pa表示葉節(jié)點的風險概率，costa、difa、deta分別表示節(jié)點a的攻擊花銷、技術難度和發(fā)現(xiàn)難度，U表示對應屬性的效用值，W表示對應參數(shù)的權重，3 個權重之和為1。

葉節(jié)點的3 個屬性可以采用等級評分的方法量化，評分標準如表2 所示。將3 個屬性劃分為5 個等級，依據(jù)評估標準對葉節(jié)點的屬性進行評級。

表2 安全屬性等級評分標準Table 2 Safety attributes rating standard

攻擊花銷以購買設備或軟件等花費為參考，技術難度以攻擊實施的復雜性為參考，發(fā)現(xiàn)難度以漏洞等級為參考。在實際應用中，可以采取專家打分的方式賦值，也可以借鑒通用的漏洞庫和漏洞評分系統(tǒng)，如CVE、CVSS 等。

分析可知，屬性的等級與其效用值成反比，因此，U(x)=c/x，其中，c為常數(shù)，為了方便后續(xù)計算，通常取c值為1，即U(x)=1/x，由此可以得到各節(jié)點屬性的效用值。各屬性的權重有不同的計算方法，文獻［20］使用數(shù)學歸納法，根據(jù)實際情況推導出權重；文獻［21］使用層次分析法，將權重按照屬性分解成多個層次，從而較好地衡量指標的相對重要性。但是，上述2 種方法主觀性較強，結果差異性較大。本文采用模糊層次分析法（FAHP）［22-24］對指標進行比較和模糊性處理［25］，從而降低主觀因素對評估結果的影響。首先，根據(jù)葉節(jié)點所在層級被攻擊后各元素對上一層的影響確定其相對重要性，然后，將重要性進行兩兩比較，建立模糊判斷矩陣。建立矩陣時的比較尺度表選用0.1～0.9 標度，如表3 所示。

表3 比較尺度表Table 3 Comparison scales table

根據(jù)上述尺度表，可以得到模糊判斷矩陣如下：

根據(jù)模糊一致矩陣［26］的定義，?k有rij=rik-rjk+0.5，對矩陣R進行一致性檢驗［27］，如果矩陣不滿足一致性，則要根據(jù)：

將R轉變?yōu)槟：恢戮仃嘡′，歸一化處理后，得到各屬性的權重Wi：

其中，n是構造的矩陣階數(shù)，a為權重影響因子，其與權重的差異成反比，即a越大，差異越小，且a≥(n-1)/2。在計算中，取a=(n-1)/2，即取權重差異最大的情況，將求得的Wi和Ui代入式（1）即可得到葉節(jié)點的風險概率Pa。

2.3.2 根節(jié)點風險概率

根節(jié)點的實現(xiàn)是攻擊序列完整執(zhí)行的結果，因此，計算根節(jié)點首先需要整理出所有的攻擊序列，計算出序列中所有葉節(jié)點的風險概率，然后再依據(jù)節(jié)點之間的依賴關系計算父節(jié)點概率，自下而上分層計算，最終得到根節(jié)點的風險概率。父節(jié)點的風險概率計算與子節(jié)點的“與”“或”和“順序與”3 種依賴關系有關：

1）在“與”關系中，父節(jié)點風險概率等于各子節(jié)點風險概率之積：

2）在“或”關系中，父節(jié)點風險概率取各子節(jié)點風險概率中的最大值：

3）在“順序與”關系中，父節(jié)點風險概率符合條件概率的情況：

由此，自下而上可以逐級推斷出每層節(jié)點的風險概率，最終得到根節(jié)點風險概率，即4G 網(wǎng)絡的安全風險評估結果，在過程中也可以得到單一安全威脅事件的風險概率，即對應的攻擊序列的發(fā)生概率。

3 實驗結果與分析

3.1 環(huán)境介紹

為避免影響真實用戶，本文在實驗室搭建的4G 網(wǎng)絡環(huán)境下進行測試，所有設備均來自中興公司，網(wǎng)絡拓撲如圖4 所示。模擬用戶號段CS：1619800XXXX，VoLTE：1619900XXXX。

圖4 4G 網(wǎng)絡拓撲Fig.4 4G network topology

3.2 威脅分析

在實驗中模擬攻擊方時，硬件采用USRP B210，軟件使用愛爾蘭SRS（Software Radio Systems）公司開發(fā)的免費開源LTE 框架srsLTE，支持srsUE 和eNodeB，可以模擬惡意UE 或LTE 網(wǎng)絡。本文以STRIDE 模型中拒絕服務為攻擊目標，即以模擬用戶服務被拒絕或網(wǎng)絡不能正常提供服務為攻擊目標，構建攻擊樹模型，如圖5 所示。圖5 中各節(jié)點符號的具體含義如表4 所示。按照攻擊可能發(fā)生的位置將威脅分為3 種：針對終端發(fā)起的攻擊，針對網(wǎng)元發(fā)起的攻擊，針對通信流程發(fā)起的攻擊，它們是第一級節(jié)點。在實驗中，終端用的是智能手機，因此，第一種威脅主要是針對智能手機的惡意代碼攻擊，又可以細分為用戶被動觸發(fā)和攻擊者主動控制兩類。針對網(wǎng)元發(fā)起的攻擊包括基站受到的威脅、核心網(wǎng)作為整體受到的威脅和物理層面遭到的破壞。針對通信流程發(fā)起的攻擊主要利用信令協(xié)議，更改協(xié)議中消息內容或延遲響應等，破壞正常的通信進程，擾亂會話從而造成安全威脅。

圖5 實驗室環(huán)境下4G 網(wǎng)絡拒絕服務攻擊樹Fig.5 4G network denial of service attack tree in laboratory environment

表4 攻擊樹中各節(jié)點的符號含義Table 4 Symbolic meaning of each node in attack tree

在生成的攻擊樹模型中，共包含11 組可以造成拒絕服務的攻擊序列Si，分別為S1｛E1，E2｝、S2｛E3｝、S3｛E4｝、S4｛E5｝、S5｛E6，E7｝、S6｛E8，E9｝、S7｛E10，E11｝、S8｛E12｝、S9｛E6，E13｝、S10｛E14，E15｝和S11｛E10，E16｝。執(zhí)行任一攻擊序列都能使模擬用戶服務失常，多節(jié)點的序列中節(jié)點之間的依賴關系是“順序與”，其先后不能被打亂，否則無法正確執(zhí)行。

3.3 評估結果與對比

對生成的攻擊樹模型按照安全風險評估算法進行評估，利用表2 的評估標準對各節(jié)點的攻擊花銷、技術難度和發(fā)現(xiàn)難度屬性進行打分［28］，具體如表5 所示。

表5 葉節(jié)點的安全屬性等級得分Table 5 The security attributes rating scores of leaf nodes

根據(jù)相對重要性，將各屬性的權重值進行兩兩比較得到模糊判斷矩陣：

對矩陣進行一致性檢驗，發(fā)現(xiàn)不具有一致性，根據(jù)式（2）將其轉換為模糊一致矩陣，隨后用式（3）進行歸一化處理，因為要賦予葉節(jié)點3 個安全屬性，所以式（3）中n取值為3，a取值為1，計算可得權重Wcost值為0.22，Wdif值為0.35，Wdet值為0.43。最后，根據(jù)節(jié)點間的依賴關系，得出11 組攻擊序列的風險概率如表6 所示。為了驗證評估方法的有效性，對已生成的攻擊樹模型采用文獻［29］方法進行評估，結果如表7 所示。

表6 攻擊序列的風險概率Table 6 Risk probability of attack sequences

表7 文獻［29］方法評估結果Table 7 Evaluation results of the method in literature［29］

從圖6 可以看出，2 種方法攻擊序列的風險概率有一定差異，主要原因是兩者的屬性權值計算方法不同。文獻［29］方法使用算術平均法對矩陣進行處理，最終Wcost值為0.1，Wdif值為0.37，Wdet值為0.53，攻擊序列S5、S6 的可能性仍舊最高，但實際中這2 種攻擊方式也是最容易被察覺的，因此，發(fā)生概率較低。本文方法所得結果更貼合實際情況，同時文獻［29］方法中攻擊花銷的權重值極小，降低了攻擊花銷屬性對攻擊方式選擇結果的影響，可信度不高。

圖6 本文方法與文獻［29］方法評估結果對比Fig.6 Comparison of the evaluation results between the method in this paper and the method in literature［29］

綜上，本文方法所得概率較為平穩(wěn)，能夠清晰反映最有威脅性的攻擊行為，具備較高的可信度，構造的攻擊樹模型也有一定的通用性，能真實反映4G 網(wǎng)絡的風險狀況，根據(jù)評估結果部署防御措施能夠在有限的范圍內選擇最有利的防御行為，大幅提高系統(tǒng)的安全性。由評估結果可知，實驗室環(huán)境中網(wǎng)絡最有可能受到的安全威脅是由攻擊序列S5 和S6 造成的，即偽基站攻擊和基站資源消耗攻擊。在實際情況中，偽基站攻擊和基站資源消耗攻擊也是移動通信網(wǎng)面臨的最常見、最通用的威脅手段。

目前，運營商和公安系統(tǒng)聯(lián)手加大了對各種攻擊手段的打擊力度，但是仍有部分不法分子不斷升級攻擊技術和隱蔽性，這類攻擊可以造成用戶在較短時間內與正常的運營商網(wǎng)絡斷開連接，然后結合惡意代碼對用戶造成威脅。評估結果中惡意代碼系列的攻擊概率較高，這需要用戶增強防范意識，切勿隨意點擊不明來源的鏈接，不輕易掃描不明二維碼，仔細辨別信息內容，防止泄露個人信息。智能終端上也可以使用安全軟件，監(jiān)控系統(tǒng)的敏感數(shù)據(jù)，及時發(fā)現(xiàn)危險操作，阻止惡意代碼入侵。

4 結束語

安全風險評估是保障系統(tǒng)安全穩(wěn)定的基礎，只有全面、系統(tǒng)地掌握網(wǎng)絡狀態(tài)及其面臨的安全風險，才能更好地實施防御策略。本文在梳理4G 網(wǎng)絡安全威脅的基礎上，提出4G 網(wǎng)絡攻擊樹構造方法，使用擴展節(jié)點融合STIDE 模型，以真實反映系統(tǒng)情況并限制攻擊樹的規(guī)模，然后通過模糊層次分析法進行安全風險評估。實驗結果驗證了該方法的有效性。對4G 網(wǎng)絡建模、構造攻擊樹以及量化評估風險發(fā)生概率，有利于分析網(wǎng)絡的安全狀況和攻擊者可能采取的攻擊路徑，從而有針對性地進行防御，提高系統(tǒng)安全等級。但在面對大規(guī)模網(wǎng)絡時人工建模效率低、耗費時間長，因此，下一步將減少人為因素的干擾并實現(xiàn)一種自動化風險評估方式，以提高評估結果的客觀性、準確性以及通用性。