基于攻擊圖的主機(jī)安全評(píng)估方法分析

李黎濱，王 宇，馬 凱，楊婷婷，王詩(shī)楠

（國(guó)網(wǎng)吉林省電力有限公司信息通信公司，長(zhǎng)春 130000）

對(duì)網(wǎng)絡(luò)主機(jī)進(jìn)行威脅迫害安全評(píng)估，能夠幫助管理人員掌握設(shè)備安全運(yùn)行狀態(tài)，并以此為基礎(chǔ)構(gòu)建防御體系，對(duì)保障主機(jī)安全運(yùn)行而言具有重要意義。現(xiàn)有研究未對(duì)主機(jī)漏洞和威脅關(guān)聯(lián)性進(jìn)行研究，導(dǎo)致對(duì)主機(jī)的安全評(píng)估仍存在精度誤差問(wèn)題，影響對(duì)主機(jī)安全運(yùn)行的判斷。對(duì)此，本文將借助貝葉斯攻擊圖對(duì)主機(jī)威脅漏洞和威脅關(guān)聯(lián)性進(jìn)行分析，并探究融入上述影響因子后的評(píng)估分值，以期優(yōu)化評(píng)估方法，提高評(píng)估準(zhǔn)確性。

1 主機(jī)安全評(píng)估方法

1.1 主機(jī)攻擊圖定義

用“N”代表主機(jī)攻擊圖下存在的節(jié)點(diǎn)，且N=N主∪N次主。其中，N主代表初始攻擊主機(jī)，N次主代表其他主機(jī)。用“E”表示邊的集合，E={E1，E2，…，EN}可表示2個(gè)主機(jī)之間存在的關(guān)聯(lián)關(guān)系，用“n”代表攻擊圖所有邊數(shù)。

1.2 主機(jī)攻擊圖結(jié)構(gòu)建立

采集目標(biāo)網(wǎng)絡(luò)的漏洞與通信的訪問(wèn)規(guī)則信息，并以此為基礎(chǔ)建立主機(jī)攻擊圖，因現(xiàn)階段真實(shí)的網(wǎng)絡(luò)環(huán)境中主機(jī)存在漏洞并不唯一[1]，因此為方便表述和研究將簡(jiǎn)化所建攻擊圖的規(guī)模，以此弱化攻擊者攻擊意圖的分析工作，主機(jī)攻擊圖結(jié)構(gòu)如圖1所示。當(dāng)攻擊圖多條邊最終指向同一主機(jī)時(shí)，需要剔除原子攻擊概率最大主機(jī)漏洞周邊外的邊。

圖1中，“N主”代表攻擊者的攻擊主機(jī)；“N次主1～N次主5”皆代表組成網(wǎng)絡(luò)拓?fù)涞钠渌鳈C(jī)；E1～E7代表主機(jī)攻擊圖存在的邊，各主機(jī)之間的連接段為攻擊方所利用的漏洞。例如在E1邊記錄的CVE-2019-12615代表攻擊者借助攻擊主機(jī)N主利用N次主1上的漏洞對(duì)N次主1發(fā)起攻擊。

1.3 主機(jī)攻擊概率計(jì)算

從主機(jī)攻擊圖獲取攻擊路徑能夠明確攻擊者所使用的攻擊序列，并從宏觀角度觀察攻擊路徑及攻擊概率，從而預(yù)測(cè)出攻擊主機(jī)間的關(guān)聯(lián)性[2]。對(duì)此，可從初始攻擊主機(jī)角度出發(fā)，面向各次主機(jī)為攻擊終點(diǎn)，利用深度優(yōu)先排除原則對(duì)所有攻擊路徑下的主機(jī)及其漏洞的攻擊概率進(jìn)行計(jì)算，以所得攻擊概率計(jì)算值中最大概率當(dāng)做各主機(jī)受到攻擊主機(jī)攻擊的概率，即各次主機(jī)間存在的最大攻擊路徑概率，其表達(dá)式為

式中：Pi為原子攻擊的概率。

1.4 主機(jī)漏洞影響值計(jì)算

各級(jí)主機(jī)的漏洞會(huì)對(duì)主機(jī)自身產(chǎn)生不同程度的影響，組成網(wǎng)絡(luò)結(jié)構(gòu)主機(jī)的漏洞威脅值為所有漏洞產(chǎn)生影響值的和。結(jié)合CVSS可將主機(jī)單個(gè)漏洞產(chǎn)生的影響值表示為[3]

式中：VVi表示主機(jī)單個(gè)漏洞產(chǎn)生的影響值；VCi表示主機(jī)第i個(gè)漏洞對(duì)主機(jī)機(jī)密性的影響；VIi表示主機(jī)第i個(gè)漏洞對(duì)主機(jī)完整性的影響；VAi表示主機(jī)第i個(gè)漏洞對(duì)主機(jī)可用性的影響。

將VCi、VIi和VAi均按照無(wú)影響、低影響和高影響等3個(gè)等級(jí)進(jìn)行劃分，并將取值分別設(shè)為0、0.274和0.65。則可將各主機(jī)的漏洞影響值“HV”表示為

式中：VVj表示單個(gè)主機(jī)的漏洞影響值。

2 主機(jī)安全值計(jì)算

2.1 主機(jī)資產(chǎn)重要性計(jì)算

從資產(chǎn)角度出發(fā)可將網(wǎng)絡(luò)主機(jī)的資產(chǎn)重要性分為機(jī)密性、完整性及可用性，對(duì)其的計(jì)算過(guò)程可分為以下5個(gè)階段。

階段一，結(jié)合網(wǎng)絡(luò)主機(jī)結(jié)構(gòu)下不同主機(jī)對(duì)安全環(huán)境的需求，融合GB/T 20984—2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中的相關(guān)標(biāo)準(zhǔn)，將待評(píng)估主機(jī)的資產(chǎn)重要性進(jìn)行分級(jí)，用L1表示非常高、L2表示高、L3表示一般、L4表示低及L5表示非常低。細(xì)化后的評(píng)估細(xì)粒度在提高評(píng)估值精確度的同時(shí)還會(huì)增加先驗(yàn)評(píng)分的難度，進(jìn)而影響對(duì)資產(chǎn)重要性等級(jí)區(qū)分的界定，因此本文將選擇5個(gè)等級(jí)作為評(píng)估資產(chǎn)重要性屬性的等級(jí)標(biāo)準(zhǔn)，等級(jí)L1至L5依次賦值5、4、3、2、1[4]。

階段二，結(jié)合多名專(zhuān)家學(xué)者對(duì)階段一各主機(jī)的資產(chǎn)重要性等級(jí)進(jìn)行賦值，并融合賦值結(jié)果構(gòu)建第r個(gè)攻擊主機(jī)資產(chǎn)重要性分級(jí)的評(píng)價(jià)矩陣“Mr”，即

階段三，對(duì)上述評(píng)價(jià)矩陣中所有元素進(jìn)行歸一化處理，并將處理后得到矩陣中各元素記為“dik”?？紤]到各主機(jī)間權(quán)重的差異性和相關(guān)性，將引入相關(guān)性定權(quán)法對(duì)分級(jí)后的權(quán)重進(jìn)行計(jì)算，保障能夠從客觀的角度獲得更加貼合實(shí)際的權(quán)重值[5]。

對(duì)此可將矩陣中第k列分級(jí)屬性d的均值表述為

式中：n表述矩陣的行數(shù)。

由此可得出矩陣下第k列的資產(chǎn)重要性分級(jí)屬性標(biāo)準(zhǔn)差，即

將所得任意2個(gè)指標(biāo)間存在的相關(guān)系數(shù)設(shè)為“vXY”，則vXY為

此時(shí)矩陣下第k列的分級(jí)屬性所涵蓋的信息量為

由此可得出第r個(gè)主機(jī)構(gòu)建矩陣第k列所含資產(chǎn)重要性分級(jí)屬性的權(quán)重為

階段四，結(jié)合Mr可計(jì)算出主機(jī)r資產(chǎn)重要性分級(jí)中第k個(gè)屬性賦予的評(píng)分取值“ATTjk”，即

階段五，得出主機(jī)r的資產(chǎn)重要性，即

2.2 動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估

從動(dòng)態(tài)威脅角度出發(fā)，當(dāng)網(wǎng)絡(luò)主機(jī)受到攻擊之前可通過(guò)各級(jí)主機(jī)動(dòng)態(tài)更新與先前風(fēng)險(xiǎn)經(jīng)驗(yàn)生成攻擊的先驗(yàn)概率。通過(guò)分析先驗(yàn)概率可實(shí)現(xiàn)對(duì)靜態(tài)概率的完善，并結(jié)合每次攻擊的特征對(duì)風(fēng)險(xiǎn)概率進(jìn)行調(diào)整修正。借助貝葉斯公式實(shí)現(xiàn)對(duì)攻擊圖主機(jī)安全的動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估，貝葉斯公式會(huì)沿著攻擊者的攻擊路徑進(jìn)行反向計(jì)算，并檢驗(yàn)攻擊者攻擊主機(jī)i的概率，以此方式實(shí)現(xiàn)對(duì)攻擊主機(jī)上一節(jié)點(diǎn)風(fēng)險(xiǎn)概率的修正，并借助隨時(shí)間變化而變化的主機(jī)漏洞CVSS評(píng)分實(shí)現(xiàn)對(duì)目標(biāo)節(jié)點(diǎn)攻擊概率的計(jì)算，該方法雖可以實(shí)現(xiàn)反向計(jì)算，但是不會(huì)利用攻擊主機(jī)產(chǎn)生攻擊信息沿攻擊路徑進(jìn)行更新。對(duì)事前預(yù)防相比，事后對(duì)過(guò)往節(jié)點(diǎn)進(jìn)行概率校正，且直接沿攻擊主機(jī)的攻擊路徑進(jìn)行正向更新能夠更加顯著看出攻擊者攻擊所帶來(lái)的威脅信息，進(jìn)而在極短時(shí)間內(nèi)明確攻擊后可能對(duì)主機(jī)帶來(lái)的安全擾動(dòng)，方便管理員可以結(jié)合攻擊者潛在的攻擊行為做出下次攻擊的應(yīng)急反應(yīng)。因此，通過(guò)對(duì)攻擊圖主機(jī)的動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估，可轉(zhuǎn)變?cè)性u(píng)估方法的評(píng)估思路，并提高對(duì)網(wǎng)絡(luò)當(dāng)前狀態(tài)的掌握和預(yù)測(cè)，通過(guò)前向與后向節(jié)點(diǎn)更新相結(jié)合的方式，在提高直接反映狀態(tài)速率與預(yù)測(cè)攻擊者下次攻擊動(dòng)作的同時(shí)，實(shí)現(xiàn)對(duì)攻擊概率覆蓋下所有主機(jī)節(jié)點(diǎn)進(jìn)行概率修正，由此得出攻擊圖主機(jī)安全的風(fēng)險(xiǎn)擾動(dòng)評(píng)估信息可更加貼合實(shí)際，且基于此做出的風(fēng)險(xiǎn)應(yīng)急措施會(huì)更加有效[6-7]。

3 實(shí)驗(yàn)與結(jié)果分析

3.1 實(shí)驗(yàn)環(huán)境

為對(duì)上述所提方法的可行性與實(shí)用性進(jìn)行驗(yàn)證，本文將以某銀行業(yè)務(wù)仿真系統(tǒng)下網(wǎng)絡(luò)環(huán)境為實(shí)驗(yàn)基礎(chǔ)環(huán)境進(jìn)行實(shí)驗(yàn)。因該系統(tǒng)的仿真設(shè)計(jì)完全參照現(xiàn)行其他系統(tǒng)而構(gòu)建，因此在硬件、網(wǎng)絡(luò)拓?fù)洹⒑诵墓δ芗敖M成框架等結(jié)構(gòu)上與實(shí)際銀行業(yè)務(wù)系統(tǒng)相同[8]。此外，因該仿真系統(tǒng)主要用于對(duì)銀行業(yè)務(wù)流的模擬，所以在主體架構(gòu)上并未考慮云計(jì)算、虛擬化及SDN等功能的設(shè)計(jì)與應(yīng)用。在網(wǎng)絡(luò)層方面，數(shù)據(jù)層與數(shù)據(jù)存儲(chǔ)區(qū)的數(shù)據(jù)庫(kù)相對(duì)應(yīng)，主要承擔(dān)對(duì)數(shù)據(jù)庫(kù)及數(shù)據(jù)業(yè)務(wù)的管理；業(yè)務(wù)邏輯層與系統(tǒng)的功能調(diào)度區(qū)主機(jī)相對(duì)應(yīng)，主要承擔(dān)銀行業(yè)務(wù)邏輯命令的執(zhí)行與反饋；消息中間層主要與系統(tǒng)交互區(qū)下應(yīng)用服務(wù)器相對(duì)應(yīng)，承擔(dān)銀行日常業(yè)務(wù)信息的過(guò)濾、數(shù)據(jù)共享及報(bào)文的收發(fā)等工作；業(yè)務(wù)應(yīng)用層與系統(tǒng)下監(jiān)控區(qū)、調(diào)度區(qū)及交互區(qū)的主機(jī)相對(duì)應(yīng)，承擔(dān)仿真系統(tǒng)的應(yīng)用與服務(wù)等功能[9]。

3.2 主機(jī)攻擊概率和漏洞影響值計(jì)算

首先需要對(duì)主機(jī)各漏洞的原子攻擊概率進(jìn)行計(jì)算，結(jié)合主機(jī)漏洞的公開(kāi)時(shí)間獲得漏洞時(shí)間的可利用性，從漏洞自身存在的特征得出各漏洞原子攻擊概率，其計(jì)算結(jié)果如圖2所示。

圖2 原子攻擊概率

結(jié)合仿真系統(tǒng)的架構(gòu)實(shí)現(xiàn)對(duì)所有攻擊的路徑查找，并結(jié)合原子攻擊概率得出組成網(wǎng)絡(luò)結(jié)構(gòu)各主機(jī)的最大攻擊概率，其結(jié)果見(jiàn)表1。

由表1信息可得出仿真系統(tǒng)攻擊圖主機(jī)的漏洞影響值，即N次主1至N次主9的影響值分別為6.4、10、9.8、10、10、26.4、6.4、6.4和10。

表1 主機(jī)攻擊概率

3.3 主機(jī)資產(chǎn)重要性評(píng)估對(duì)比

為證實(shí)本文所提方法對(duì)主機(jī)資產(chǎn)重要性計(jì)算的科學(xué)性，需要在實(shí)驗(yàn)環(huán)境下使用本文所提方法、先驗(yàn)評(píng)分法及層次分析法對(duì)相同主機(jī)的資產(chǎn)重要性進(jìn)行計(jì)算，計(jì)算結(jié)果如圖3所示。

結(jié)合圖3數(shù)據(jù)可知，本文所提方法獲得主機(jī)資產(chǎn)重要性數(shù)據(jù)更加合理，造成該現(xiàn)象的主要因?yàn)樵谟?，本文所提方法?duì)各主機(jī)資產(chǎn)重要性進(jìn)行等級(jí)劃分，同時(shí)明確不同屬性在資產(chǎn)重要性中的所占權(quán)重，并以先驗(yàn)評(píng)分賦值為基礎(chǔ)通過(guò)相關(guān)性定權(quán)法對(duì)網(wǎng)絡(luò)結(jié)構(gòu)下各主機(jī)的資產(chǎn)重要性進(jìn)行權(quán)重賦值，而對(duì)比的其他2種方法沒(méi)有對(duì)該因素進(jìn)行分析，所以得出結(jié)果與實(shí)際情況差距較大。

圖3 主機(jī)資產(chǎn)重要性對(duì)比

3.4 主機(jī)安全評(píng)估對(duì)比

因主機(jī)的評(píng)估安全值可以反映出當(dāng)前主機(jī)所處的安全狀態(tài)，評(píng)估取值越小則表示主機(jī)現(xiàn)階段的安全狀況越差。為此，為進(jìn)一步證實(shí)本文所提方法的可行性與實(shí)用性，將在完全相同的實(shí)驗(yàn)環(huán)境下與鄰接矩陣法、Markov攻擊圖方法和資產(chǎn)連通圖方法等主機(jī)安全評(píng)估方法進(jìn)行比對(duì)，比對(duì)結(jié)果的安全值數(shù)據(jù)如圖4所示。

由圖4中數(shù)據(jù)可知，本文所提方法獲得的主機(jī)威脅安全值更加貼近實(shí)際情況，造成該現(xiàn)象的主要原因如下。

圖4 不同方法的主機(jī)安全值對(duì)比

（1）Markov攻擊圖方法只能對(duì)迭代后的攻擊狀態(tài)進(jìn)行安全性的指標(biāo)評(píng)價(jià)，因此無(wú)法對(duì)各主機(jī)攻擊時(shí)的安全與風(fēng)險(xiǎn)狀況進(jìn)行辨識(shí)。

（2）資產(chǎn)連通圖與鄰接矩陣法皆需要結(jié)合主機(jī)的資產(chǎn)重要性和攻擊概率得出主機(jī)的威脅安全值，并未對(duì)權(quán)重差異性以及攻擊圖各主機(jī)之間的關(guān)系進(jìn)行考慮，造成安全值收斂程度較低。

3.5 離散程度

可用標(biāo)準(zhǔn)差的大小表示評(píng)估數(shù)據(jù)間的離散程度，即威脅安全值的標(biāo)準(zhǔn)差越大，則表示所得數(shù)據(jù)的離散程度越大，溢出情況會(huì)對(duì)安全等級(jí)劃分產(chǎn)生影響，降低主機(jī)風(fēng)險(xiǎn)等級(jí)的區(qū)分和劃分難度。因此，同樣以上述幾種方法為對(duì)比項(xiàng)，驗(yàn)證本文所提方法的計(jì)算優(yōu)勢(shì)，并在得到各主機(jī)安全值的基礎(chǔ)上，計(jì)算對(duì)比項(xiàng)的標(biāo)準(zhǔn)差，計(jì)算結(jié)果見(jiàn)表2。

表2 主機(jī)安全值的標(biāo)準(zhǔn)差

由表2數(shù)據(jù)可知，本文所提方法獲得的主機(jī)安全值遠(yuǎn)高于其他3種方法，由此可證明本文所提方法獲得的各主機(jī)威脅安全值離散程度更大，便于管理人員對(duì)攻擊主機(jī)威脅進(jìn)行評(píng)級(jí)，并做出相應(yīng)的解決措施，提高網(wǎng)絡(luò)主機(jī)的安全性。

4 結(jié)束語(yǔ)

綜上所述，本文從主機(jī)漏洞和主機(jī)關(guān)聯(lián)性角度出發(fā)，融合貝葉斯算法構(gòu)建攻擊圖主機(jī)的威脅安全評(píng)估模型，通過(guò)該模型實(shí)現(xiàn)對(duì)主機(jī)漏洞、資產(chǎn)重要性和關(guān)聯(lián)性的分析，進(jìn)一步細(xì)化評(píng)估的精度。從仿真實(shí)驗(yàn)結(jié)果中可知，所提方法與其他方法相比具有較高的實(shí)用性，可為相關(guān)人員或單位提供參考幫助。