基于攻擊樹和CVSS 的網(wǎng)絡(luò)攻擊效果評估方法*

潘 剛，米士超，郭榮華，黃麗剛，王金鎖，李 凱

(光電對抗測試評估技術(shù)重點實驗室，河南 洛陽 471003)

0 引言

網(wǎng)絡(luò)攻擊效果評估就是對處于復(fù)雜網(wǎng)絡(luò)環(huán)境下系統(tǒng)的安全性給出定性或定量的評價，并提出針對性的防護建議，促進系統(tǒng)安全性和可靠性的提升。當前研究成果主要通過攻擊效果指標量化和相關(guān)評估算法構(gòu)建來開展網(wǎng)絡(luò)攻擊效果評估研究，具體表現(xiàn)為：(1)基于層次分析法的網(wǎng)絡(luò)攻擊效果評估方法[1-2]，該方法可通過定性和定量相結(jié)合的決策方法實現(xiàn)對復(fù)雜目標評估的系統(tǒng)性分析方法，且所需的定量數(shù)據(jù)信息較少。但分析過程過多依賴于專家的經(jīng)驗，評估結(jié)果主觀性較強，當指標過多時，數(shù)據(jù)統(tǒng)計量較大，致使權(quán)重難以確定。(2)基于模糊綜合評判的網(wǎng)絡(luò)攻擊效果評估方法[3-6]，該方法的不足在于模糊綜合評價過程本身并不能解決評價指標間相關(guān)造成的評價信息重復(fù)問題，此外，對各被評價對象的指標信息量考慮不全，有可能影響評價結(jié)果的區(qū)分度。(3)基于模糊層次分析法的網(wǎng)絡(luò)攻擊效果評估方法[7-8]，該方法是對層次分析法的一種改進，可以量化不確定性因素，能夠一定程度上彌補層次分析法存在的不足，但是比較適合于定性評估分析。(4)基于粗糙集理論的網(wǎng)絡(luò)攻擊效果評估方法[9-11]，該方法的不足之處在于評估選取的樣本數(shù)據(jù)必須具有一定代表性，否則隨著樣本量的增加，評估結(jié)果的偏差可能較大。(5)基于灰色理論的網(wǎng)絡(luò)攻擊效果評估方法[10，12-13]，該方法在處理評估數(shù)據(jù)少、信息不完備等問題上具有一定優(yōu)勢，但是存在聚類系數(shù)差異不顯著時，無法對評估對象進行準確評估的問題。

基于上述文獻可知，對基于指標量化的網(wǎng)絡(luò)攻擊效果評估方法主要存在以下方面不足：(1)對指標體系的建立通常會存在一些主觀因素的影響；(2)對于一些攻擊效果數(shù)據(jù)很難直接測量的情況則難以適用。為此，文獻[14]提出了一種基于攻擊樹的無線局域網(wǎng)攻擊效果評估方法。受該文獻研究成果的啟發(fā)，本文首先根據(jù)系統(tǒng)特征采用FAHP 計算各葉節(jié)點的屬性權(quán)值，通過定量分析的方法確定葉節(jié)點的發(fā)生概率，而后基于CVSS 漏洞信息和模糊層次分析法，提出了一種新的攻擊效果量化評估模型，并以某典型工控系統(tǒng)進行實例驗證，可為后續(xù)安全防護策略的制定提供技術(shù)支撐。

1 攻擊樹模型

攻擊樹是多層樹型結(jié)構(gòu)，樹的根節(jié)點表示攻擊者的最終攻擊目標；葉節(jié)點表示具體的攻擊事件，即攻擊者有可能采取的各種攻擊手段；子節(jié)點表示要達到最終目標所必須完成的一些中間步驟[15-16]。節(jié)點之間的關(guān)系包括(與)AND、或(OR)和順序與(Sequence AND，SAND)3 種[17]。

基于攻擊樹和CVSS 的網(wǎng)絡(luò)攻擊效果量化評估的主要思路如圖1 所示。

圖1 基于攻擊樹和CVSS 的網(wǎng)絡(luò)攻擊效果量化評估思路

2 基于FAHP 的葉節(jié)點發(fā)生概率求解

2.1 葉節(jié)點的指標量化

本文從攻擊者角度出發(fā)，建立攻擊分析模型，通過屬性的概念給每個葉節(jié)點賦予攻擊成本、攻擊難度和被發(fā)現(xiàn)的可能性3 個安全屬性，并采用多屬性效用理論，將上述屬性轉(zhuǎn)換為實現(xiàn)目標的效用值。計算葉節(jié)點發(fā)生概率的公式為[18]：

其中，Ei表示第i 個葉節(jié)點，即攻擊事件；分別表示攻擊成本、難度及被發(fā)現(xiàn)可能性的效用值；cost_Ei、diff_Ei、det_Ei分別表示實現(xiàn)該葉節(jié)點所代表事件的攻擊成本、難易程度及被發(fā)現(xiàn)的可能性；Wcost、Wdiff、Wdet分別表示攻擊成本參數(shù)、難度參數(shù)及被發(fā)現(xiàn)可能性參數(shù)的權(quán)重，且三者之和為1。在實際應(yīng)用中，葉子節(jié)點的屬性值通常通過專家評估的方法給出，其中攻擊成本由專家大概給出具體值，而攻擊難度和被發(fā)現(xiàn)的可能性由專家作出判斷。在對葉節(jié)點的指標量化過程存在諸多主觀因素的影響，為盡可能降低各主觀因素的影響，本文引用文獻[19]中方法對有關(guān)葉節(jié)點的指標進行量化。

2.2 葉節(jié)點發(fā)生概率求解

模糊層次分析法是將模糊數(shù)學與層次分析法相結(jié)合，充分考慮人思考的模糊性的一種理論方法[20]，是一種典型的主觀權(quán)值確定方法。為此，本文采用模糊層次分析法對主觀權(quán)值進行求解。通過兩兩比較各屬性對攻擊事件發(fā)生概率的影響程度，確定攻擊難度、攻擊被發(fā)現(xiàn)的可能性和攻擊成本的權(quán)重。

根據(jù)文獻[8]有關(guān)模糊層次分析法的效果評估方法，通過兩兩比較攻擊難度、攻擊被發(fā)現(xiàn)的可能性和攻擊成本對攻擊事件發(fā)生概率的影響程度，得到以下判斷矩陣Ωleaf：

3 攻擊序列的安全損失求解

3.1 設(shè)備節(jié)點的安全損失算法

假定葉節(jié)點Ei，l對應(yīng)設(shè)備節(jié)點Hosti的第l 個漏洞的攻擊事件，其中，Hosti用三元組(typei，impi，)i=1，2，…，n 表示。其中，typei為設(shè)備類型，工控系統(tǒng)的設(shè)備類型包括交換機、工程師站、操作員站、PLC、服務(wù)器及現(xiàn)場設(shè)備等；impi為設(shè)備的重要程度；=(ai，s，ai，l，ai，A)表示設(shè)備的保密性、完整性和可用性上的需求權(quán)值，可通過模糊層次分析法進行具體求解。表1 給出了控制系統(tǒng)網(wǎng)絡(luò)環(huán)境中各設(shè)備類型重要度的量化標準。

表1 控制系統(tǒng)各設(shè)備重要度量化標準

實現(xiàn)葉節(jié)點Ei，l對應(yīng)所需利用的弱點信息為Vuli，l，其中，Vuli，l用三元組(Vidi，l，v_typei，l，)表示，Vidi，l為第i 個設(shè)備的第l 個弱點在CVE 漏洞庫中的編號(i=1，2，…，n；l=1，2，…，L)；v_typei，l為第i 個設(shè)備的第l個 弱點的類型；=(wi，l，s，wi，l，I，wi，l，A)表示第i 個設(shè)備的第l 個弱點對主機保密性、完整性和可用性的影響系數(shù)，可通過CVSS 查詢賦值。

第i 個設(shè)備的第l 個弱點對應(yīng)葉節(jié)點Ei，l發(fā)生后對應(yīng)的安全損失Lost_Ei，l。依據(jù)葉節(jié)點Ei，l發(fā)生對相應(yīng)設(shè)備節(jié)點Hosti的重要度及安全需求計算安全損失Lost_Ei，l。

其中，P_Ei，l表示葉節(jié)點Ei，l的發(fā)生概率，impi表示設(shè)備節(jié)點Hosti的重要度，表示設(shè)備的保密性、完整性和可用性上的需求權(quán)值，表示第i個設(shè)備的第l 個弱點對設(shè)備節(jié)點Hosti保密性、完整性和可用性的影響系數(shù)。

如果利用同一設(shè)備節(jié)點的多個(l=1，2，…，L)漏洞進行攻擊，則該設(shè)備節(jié)點的產(chǎn)生的損失為：

3.2 攻擊效果量化評估算法

不失一般性，假定攻擊序列Sj={E1，l，…，Ei，l，…，Em，l}，j={1，2，…，J}，i∈{1，2，…，m}，m∈{1，2，…，n}，l=1，2，…，L。

4 實例分析

為便于對比驗證分析本文方法的有效性，采用文獻[21]中實例進行分析說明，系統(tǒng)架構(gòu)如圖2 所示。為對目標系統(tǒng)的攻擊效果進行分析，在分析了系統(tǒng)的脆弱性和攻擊面的基礎(chǔ)上，給出如圖3 所示攻擊樹模型，其中各節(jié)點含義在文獻[21]已詳細說明，本文不再贅述，各設(shè)備與弱點漏洞對應(yīng)關(guān)系及各設(shè)備的重要度對應(yīng)關(guān)系如表2、表3 所示。

表2 各設(shè)備與弱點漏洞對應(yīng)關(guān)系

圖2 某工控系統(tǒng)架構(gòu)

根據(jù)文獻[19]中屬性評分標準對該攻擊樹中各個葉節(jié)點的安全屬性值進行打分，同時采用本文給出的葉節(jié)點發(fā)生概率求解方法可得各葉節(jié)點的安全屬性得分及發(fā)生概率，具體如表4 所示。

表4 中各葉節(jié)點的得分為得分區(qū)間值的中值，X 的取值為評分等級最大值時，=X，其他情況=Xmid+αXmid，=Xmid-αXmid，不失一般性，取置信水平α=0.05。

表4 各葉節(jié)點的安全屬性得分及發(fā)生概率

通過模糊層次分析法對表3 中各設(shè)備的保密性、完整性和可用性上的需求權(quán)值進行求解，具體步驟如下：

表3 各設(shè)備的重要度對應(yīng)關(guān)系

(1)首先確定各設(shè)備在保密性、完整性和可用性上的判斷矩陣Ω：

(2)根據(jù)模糊層次分析屬性權(quán)值求解方法，可以得到表4 中各設(shè)備的保密性、完整性和可用性上的需求權(quán)值：

(3)根據(jù)CVSS 評價字符串可得各葉節(jié)點漏洞對設(shè)備節(jié)點保密性、完整性和可用性的影響系數(shù)，具體如表5所示。

表5 各葉節(jié)點對應(yīng)漏洞的保密性、完整性和可用性的影響系數(shù)

根據(jù)式(3)、式(4)分別求出對應(yīng)的葉節(jié)點安全損失和設(shè)備節(jié)點安全損失，最后根據(jù)式(5)求得各攻擊序列對應(yīng)的攻擊效果量化評估結(jié)果，如表6 所示。

對表6 中各攻擊序列的攻擊效果評估結(jié)果分析可知，S3＞S4＞S2＞S1＞S5，其中攻擊效果較大的攻擊方法是通過網(wǎng)絡(luò)攻擊目標系統(tǒng)中的控制器和上位機自動化集成系統(tǒng)，其中，S3、S4為通過現(xiàn)場無線熱點和PLC 網(wǎng)絡(luò)訪問的方式開展攻擊。為此，應(yīng)針對上述攻擊方式對系統(tǒng)進行有針對性的防護。此外，本文所得攻擊效果評估結(jié)果與文獻[21]對應(yīng)的安全風險評估結(jié)果排序一致，進一步驗證本文所提方法的正確性和有效性。

表6 各攻擊序列攻擊效果評估結(jié)果

5 結(jié)論

為了對網(wǎng)絡(luò)攻擊效果進行有效評估，明確系統(tǒng)存在的安全風險，本文提出了一種基于攻擊樹和CVSS 的網(wǎng)絡(luò)攻擊效果評估方法。所提網(wǎng)絡(luò)攻擊效果評估方法有效解決了評估過程中對評估指標數(shù)據(jù)的依賴性；同時，本文給出了對網(wǎng)絡(luò)攻擊效果評估的方法步驟，對網(wǎng)絡(luò)攻擊的效果進行了準確有效評估，為制定相應(yīng)的安全防護策略提供依據(jù)和指導(dǎo)，從而更好地應(yīng)對不同的網(wǎng)絡(luò)攻擊威脅。