擴(kuò)展馬爾科夫鏈在網(wǎng)絡(luò)安全評(píng)估中的應(yīng)用

連響

(重慶市九龍坡區(qū)精神衛(wèi)生中心， 重慶 400052)

0 引言

近幾年來，計(jì)算機(jī)網(wǎng)絡(luò)普遍應(yīng)用于人們生活和工作的方方面面。現(xiàn)代網(wǎng)絡(luò)安全評(píng)估模型成為計(jì)算安全領(lǐng)域研究的重點(diǎn)話題[1]。目前常見的網(wǎng)絡(luò)安全評(píng)估模型包括攻擊圖模型、特權(quán)圖模型、攻擊網(wǎng)模型、攻擊樹模型[2]。攻擊圖模型是最常使用的網(wǎng)絡(luò)安全分析和評(píng)估方法，可以很好地體現(xiàn)系統(tǒng)行為和攻擊行為的規(guī)律與變化趨勢(shì)[3]。鑒于馬爾科夫鏈在網(wǎng)絡(luò)安全評(píng)估方面取得的較大成就，且該理論結(jié)合攻擊圖是目前分析網(wǎng)絡(luò)安全的熱點(diǎn)方法。此次研究提出利用擴(kuò)展馬爾科夫鏈攻擊圖模型進(jìn)行網(wǎng)絡(luò)安全評(píng)估，引入狀態(tài)轉(zhuǎn)移的權(quán)重改進(jìn)優(yōu)化馬爾科夫鏈攻擊圖模型，并量化分析網(wǎng)絡(luò)系統(tǒng)損失風(fēng)險(xiǎn)和攻擊序列成功概率，旨在解決現(xiàn)如今網(wǎng)絡(luò)安全量化主觀特性顯著的問題。

1 面向網(wǎng)絡(luò)安全評(píng)估的攻擊圖模型

1.1 基于擴(kuò)展馬爾科夫鏈的攻擊圖模型構(gòu)建

攻擊圖依據(jù)不同模型可以分為屬性攻擊圖和狀態(tài)攻擊圖。狀態(tài)攻擊圖中每個(gè)狀態(tài)節(jié)點(diǎn)涵蓋全部的網(wǎng)絡(luò)安全信息，并不適用于狀態(tài)遷移次數(shù)增加等情況。屬性攻擊圖是指一種對(duì)攻擊者可能執(zhí)行的攻擊行為進(jìn)行預(yù)測(cè)的手段，該方法反映攻擊路徑的類型主要分為兩類，其一展現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的即時(shí)狀態(tài)，其二為判斷原子攻擊是否滿足其發(fā)生的需要[4]。攻擊圖模型以攻擊者為研究對(duì)象，在假定系統(tǒng)和網(wǎng)絡(luò)中均存在脆弱點(diǎn)的條件下，通過模擬攻擊者的行為，可將決定攻擊成功的先決條件與攻擊過程系統(tǒng)狀態(tài)合為一張有向圖。有向圖能夠展示網(wǎng)絡(luò)脆弱點(diǎn)和網(wǎng)絡(luò)狀態(tài)間的相互關(guān)系，有利于網(wǎng)絡(luò)安全的評(píng)估和預(yù)測(cè)。研究使用的攻擊圖自動(dòng)生成框架如圖1所示。網(wǎng)絡(luò)安全評(píng)估模型是指在完成系統(tǒng)漏洞掃描后將配置信息、主機(jī)和服務(wù)、網(wǎng)絡(luò)拓?fù)涞慕Y(jié)構(gòu)等數(shù)據(jù)作為信息輸入，在完成模型建設(shè)的基礎(chǔ)上進(jìn)行評(píng)估和分析。

圖1 攻擊圖的自動(dòng)生成框架

當(dāng)網(wǎng)絡(luò)通過脆弱點(diǎn)受到攻擊時(shí)，通常與攻擊者當(dāng)前狀態(tài)有關(guān)，這與馬爾科夫性質(zhì)存在一定的相似性。馬爾科夫鏈?zhǔn)侵鸽x散時(shí)間和空間狀態(tài)的馬爾科夫過程，一般可用條件分布函數(shù)指代。假定狀態(tài)空間為I={a1,a2,…}，n和r均為正整數(shù)且0≤t1

馬爾科夫鏈的構(gòu)建囊括系統(tǒng)狀態(tài)轉(zhuǎn)移概率矩陣P與系統(tǒng)狀態(tài)空間I，其中I是指構(gòu)造系統(tǒng)模型結(jié)構(gòu)，組成部分為系統(tǒng)狀態(tài)以及連接邊。系統(tǒng)狀態(tài)空間可以用指代I={Ii|i∈{1,2,…,n}}，n是指狀態(tài)的總數(shù)，狀態(tài)轉(zhuǎn)移矩陣可以用P={p(i,j)|i.j∈{1,2,…,n}}表示。

擴(kuò)展馬爾科夫鏈通過馬爾科夫鏈，來反映攻擊圖的原子攻擊方法和狀態(tài)轉(zhuǎn)移的相互關(guān)系，以便于分析攻擊圖[5]。研究建立擴(kuò)展馬爾科夫鏈攻擊圖模型進(jìn)行網(wǎng)絡(luò)安全分析，具體獲取步驟如下所示，首先確定網(wǎng)絡(luò)系統(tǒng)位于某種狀態(tài)，攻擊者將會(huì)通過一定概率對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行選性動(dòng)作攻擊，然后將狀態(tài)轉(zhuǎn)移概率值填寫到攻擊圖對(duì)應(yīng)的邊上。擴(kuò)展馬爾科夫鏈可用三元組MC_Ext=(I,P,A)表示。系統(tǒng)狀態(tài)轉(zhuǎn)移概率矩陣用P指代，系統(tǒng)狀態(tài)空間用I指代，原子攻擊集合用A指代，同時(shí)也可表示為有向圖。系統(tǒng)狀態(tài)空間中狀態(tài)表示節(jié)點(diǎn)，邊上的字母是指攻擊方法，邊上的權(quán)值是指系統(tǒng)狀態(tài)轉(zhuǎn)移概率矩陣的狀態(tài)轉(zhuǎn)移概率。在任一擴(kuò)展馬爾科夫鏈中，假定狀態(tài)空間與原子攻擊方法集合分別為I={1,2,3}與A={A1,A2,A3,A4,A5,A6,A7}，則狀態(tài)轉(zhuǎn)移概率矩陣可以用式(1)表示:

(1)

擴(kuò)展馬爾科夫鏈適應(yīng)的有向圖如圖2所示，每條邊上展示轉(zhuǎn)移概率和攻擊動(dòng)作，同時(shí)每個(gè)節(jié)點(diǎn)所有轉(zhuǎn)移狀態(tài)的概率之和為1，它也可以指擴(kuò)展馬爾科夫鏈攻擊圖模型的示意圖。

圖2 擴(kuò)展馬爾科夫鏈的攻擊圖模型

1.2 攻擊圖網(wǎng)絡(luò)安全評(píng)估方法中狀態(tài)轉(zhuǎn)移概率的確定

研究通過計(jì)算原子攻擊難度來獲取狀態(tài)轉(zhuǎn)移權(quán)重確定的轉(zhuǎn)移概率，進(jìn)而避免傳統(tǒng)主觀經(jīng)驗(yàn)確定狀態(tài)轉(zhuǎn)移的局限性。研究使用通用脆弱點(diǎn)評(píng)價(jià)體系(CVSS)判斷網(wǎng)絡(luò)系統(tǒng)漏洞嚴(yán)重情況，它可以量化安全漏洞的嚴(yán)重情況[6]。CVSS包括基本評(píng)價(jià)、時(shí)效性評(píng)價(jià)、環(huán)境評(píng)價(jià)，整體評(píng)分通過數(shù)值[1,10]表示，該值越大，則漏洞對(duì)系統(tǒng)造成的威脅越大?；驹u(píng)估指標(biāo)是評(píng)價(jià)網(wǎng)絡(luò)安全漏洞的本身屬性，這些屬性不會(huì)隨著用戶環(huán)境以及時(shí)間變化而發(fā)生變動(dòng)。該基本評(píng)估指標(biāo)具體涵蓋信息運(yùn)用價(jià)值(AI)、信息整體性對(duì)網(wǎng)絡(luò)安全的影響(II)、信息保密性(CI)、身份確認(rèn)(Au)、攻擊難易程度(AC)、攻擊線路(AV)。表1展示基本評(píng)估指標(biāo)以及相對(duì)應(yīng)的等級(jí)評(píng)分，網(wǎng)絡(luò)安全基本評(píng)估VB的計(jì)算表達(dá)式如式(2):

表1 基本評(píng)估指標(biāo)和相應(yīng)等級(jí)評(píng)分

VB=(0.6×M+0.4×BE-1.5)×f(M)

(2)

式(2)中，公式參數(shù)滿足以下條件。

(3)

式中，CI表示指標(biāo)的機(jī)密性，II表示指標(biāo)的完整性，AI則表示可用性，AV與AC分別表示攻擊的路徑與復(fù)雜度，Au表示身份認(rèn)證。

時(shí)效性評(píng)估指標(biāo)是評(píng)估與時(shí)間相關(guān)的漏洞屬性，涵蓋內(nèi)容包括運(yùn)用價(jià)值(TE)、維修方法的可靠性(RL)、報(bào)告可靠性(RC),見圖2。作為一種可選指標(biāo)，該評(píng)估指標(biāo)的等級(jí)具有未確定性。若選用該等級(jí)，則說明此項(xiàng)時(shí)效性評(píng)價(jià)指標(biāo)不會(huì)引起安全漏洞來影響最終評(píng)分值，取值為1。網(wǎng)絡(luò)時(shí)效性評(píng)估VT的計(jì)算表達(dá)式為

VT=VB×TE×RL×RC

(4)

表2 時(shí)效性評(píng)估指標(biāo)以及相應(yīng)等級(jí)評(píng)分

環(huán)境評(píng)估指標(biāo)是評(píng)估環(huán)境不同所造成具有差異的危害程度的漏洞屬性，涵蓋內(nèi)容包括潛在的損害潛力(CDP)、可用性需求(AR)目標(biāo)分布(TD)、保密性需求(CR)、整體性需求(IR)。網(wǎng)絡(luò)安全環(huán)境評(píng)估的計(jì)算表達(dá)式為

Vε=(AT+(10-AT)×CDP)×TD

(5)

式(5)中，參數(shù)滿足式(6)的要求。

(6)

式(6)中參數(shù)含義與式(3)中保持一致。環(huán)境評(píng)估指標(biāo)也是一種可選指標(biāo)，等級(jí)具有未確定性。除了不確定等級(jí)外，可用性需求、整體性需求、可用性需求均分為低中高，低中高等級(jí)取值均相同，依次為0.5、1、1.51。潛在的損害潛力指標(biāo)等級(jí)分為無、低、低—高、中—高、高，相應(yīng)的取值為0、0.1、0.3、0.4、0.5。

在確定脆弱點(diǎn)攻擊難度的情況后，利用攻擊難度計(jì)算某脆弱點(diǎn)利用原子e一次攻擊的難易程度Dif(e)，計(jì)算式為式(7)。

Dif(e)=AV×AC×Au

(7)

設(shè)定脆弱點(diǎn)的權(quán)重值為E(v)，攻擊選擇依據(jù)原則如下所示。攻擊者選擇脆弱點(diǎn)的依據(jù)為脆弱點(diǎn)的權(quán)重，該值越大，則攻擊選擇的概率越小。選擇概率的定義如下，設(shè)置狀態(tài)空間為I={I0,I1,…,In}，Aj為狀態(tài)Ii轉(zhuǎn)移至狀態(tài)Ij的方法，相應(yīng)的權(quán)重值為Ej，A1,A2,…,Am分別為Ii轉(zhuǎn)移至其他狀態(tài)的方法，相應(yīng)的權(quán)重的值為E1,E2,…,Em，則轉(zhuǎn)移概率的計(jì)算式為

(8)

依據(jù)上述得到的擴(kuò)展馬爾科夫鏈的巧擊圖模型，能評(píng)估潛在網(wǎng)絡(luò)的脆弱性情況，但不能定量評(píng)價(jià)網(wǎng)絡(luò)系統(tǒng)安全情況，研究?jī)?yōu)化網(wǎng)絡(luò)系統(tǒng)損失風(fēng)險(xiǎn)及攻擊序列成功概率化計(jì)算公式。假定攻擊序列Lk由個(gè)攻擊原子n組成，可以表示為A1→A2→…→An則攻擊序列的成功概率表達(dá)式為

(9)

式中，p(Ai)是Ai的自身概率。成功概率最高的攻擊序列即為最容易受到攻擊的序列，相關(guān)的脆弱點(diǎn)極易引發(fā)網(wǎng)絡(luò)安全事件。第i狀態(tài)節(jié)點(diǎn)的損失評(píng)分Θi的計(jì)算式為

Θi=10.41×(1-(1-CI)×(1-II)×(1-AI))

(10)

攻擊序列綜合評(píng)分值Θ為總損失總損失期望值，計(jì)算式為

(11)

p0,i是指初始狀態(tài)到第i狀態(tài)的成功概率。

2 擴(kuò)展馬爾科夫鏈攻擊圖模型的網(wǎng)絡(luò)安全分析

2.1 擴(kuò)展馬爾科夫鏈攻擊圖模型應(yīng)用分析

實(shí)驗(yàn)首先驗(yàn)證擴(kuò)展馬爾科夫鏈攻擊圖模型和改進(jìn)擴(kuò)展馬爾科夫鏈攻擊圖模型的性能，測(cè)試處理器為Intel(R)Core(TM)2DuoCPU，內(nèi)存大小為4 GB。在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中任意增加脆弱點(diǎn)數(shù)、連接性、主機(jī)數(shù)，對(duì)比生成攻擊圖的運(yùn)行時(shí)間和內(nèi)存占用比，結(jié)果如圖3(a)和3(b)所示。從圖3(a)可以看出，網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)低于20 000時(shí)，改進(jìn)前后擴(kuò)展馬爾科夫鏈生成攻擊圖的運(yùn)行時(shí)間均在350 s以內(nèi)，因此兩種方法在大規(guī)模網(wǎng)絡(luò)中均適用。兩種方法的運(yùn)行時(shí)間隨著節(jié)點(diǎn)數(shù)的增加而增加，主機(jī)數(shù)量低于6 000時(shí)，兩種方法的運(yùn)行時(shí)間沒有太大的區(qū)別，而主機(jī)數(shù)量高于6 000時(shí)，優(yōu)化后方法的運(yùn)行效率更高，其運(yùn)行時(shí)間比優(yōu)化前節(jié)省30 s左右。從圖3(b)可以看出，兩種方法的內(nèi)存占用數(shù)隨著節(jié)點(diǎn)數(shù)增加而增加，但優(yōu)化后的方法占用內(nèi)存空間更少。當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)得到14 000時(shí)，內(nèi)存占用數(shù)已經(jīng)和系統(tǒng)內(nèi)存數(shù)相同。即使持續(xù)增加節(jié)點(diǎn)數(shù)，系統(tǒng)所占用的內(nèi)存數(shù)也不會(huì)發(fā)生較大的改變。

圖3 擴(kuò)展馬爾科夫鏈攻擊圖模型性能優(yōu)勢(shì)

實(shí)驗(yàn)仿真網(wǎng)絡(luò)環(huán)境包括host0-host6七臺(tái)主機(jī)，分別為host0、Web服務(wù)器、DNS服務(wù)器、FTP服務(wù)器、數(shù)據(jù)庫服務(wù)器、Windows主機(jī)、Linux主機(jī)，攻擊者具備host0的用戶權(quán)限。經(jīng)Nessus漏洞掃描器獲取主機(jī)的漏洞信息。

擴(kuò)展馬爾科夫鏈狀態(tài)空間由I={I1,I2,I3,I4,I5,I6,I7}組成，分別指代主機(jī)0-主機(jī)6不安全。擴(kuò)展馬爾科夫鏈方法空間為A={A1,A2,A3,A4,A5,A6,A7,A8,A9}，分別指I1轉(zhuǎn)移到I2、I1轉(zhuǎn)移到I3、I3轉(zhuǎn)移到I2、I2轉(zhuǎn)移到I6、I3轉(zhuǎn)移到I7、I6轉(zhuǎn)移到I4、I7轉(zhuǎn)移到I4、I6轉(zhuǎn)移到I5、I7轉(zhuǎn)移到I5的九種方法，相應(yīng)的脆弱點(diǎn)為V1-V9。經(jīng)過脆弱點(diǎn)權(quán)重獲得轉(zhuǎn)移概率，最終得到狀態(tài)轉(zhuǎn)移矩陣如下表3所示。

表3 狀態(tài)轉(zhuǎn)移矩陣

2.2 擴(kuò)展馬爾科夫鏈攻擊圖模型應(yīng)用的量化評(píng)估結(jié)果

目標(biāo)主機(jī)4存在攻擊序列L1:A1→A4→A8;L2:A2→A5→A9;L3:A2→A3→A4→A8。目標(biāo)主機(jī)3存在L4:A1→A4→A6;L5:A2→A5→A7;L6:A2→A3→A4→A6。圖4(a)和圖4(b)分別展示每個(gè)原子攻擊自身的概率以及每個(gè)攻擊序列的成功概率。從數(shù)據(jù)可知，攻擊序列L4被攻擊者攻擊的概率最大，因此V1、V4、V6三個(gè)脆弱點(diǎn)被攻擊點(diǎn)攻擊的可能性相較于其他脆弱點(diǎn)更大，需要網(wǎng)絡(luò)安全管理人員格外保護(hù)。

(a) 不同原子攻擊自身概率

每個(gè)攻擊序列相應(yīng)的狀態(tài)轉(zhuǎn)移序列如下所示，SL1:I1→I2→I6→I5;SL2:I1→I3→I7→I5;SL3:I1→I3→I2→I6→I6;SL4:I1→I2→I6→I4;SL5:I1→I3→I7→I4;SL6:I1→I3→I2→I6→I4。SL1攻擊序列中，狀態(tài)節(jié)點(diǎn)I1、I2、I6、I5的損失評(píng)分分別為0、10、10、2.865，相應(yīng)的成功概率1、0.5、0.5、0.221 25，攻擊序列綜合評(píng)分值為10.63，結(jié)果如圖5(a)所示。SL2攻擊序列綜合評(píng)分值為7.868，SL3攻擊序列綜合評(píng)分值為10.89，SL4攻擊序列綜合評(píng)分值為11.8，SL5攻擊序列綜合評(píng)分值8.034，SL6攻擊序列綜合評(píng)分值11.53，如圖5(b)所示。因此，SL6攻擊序列的網(wǎng)絡(luò)系統(tǒng)損失最大，該序列格外重視。

(a) SL1攻擊序列損失評(píng)分和成功概率

3 總結(jié)

針對(duì)現(xiàn)階段網(wǎng)絡(luò)安全評(píng)估技術(shù)存在準(zhǔn)確性低、耗時(shí)長(zhǎng)等問題，此次研究引入擴(kuò)展馬爾科夫鏈攻擊圖模型評(píng)價(jià)計(jì)算機(jī)網(wǎng)絡(luò)安全，將原子攻擊難度作為狀態(tài)轉(zhuǎn)移的判斷標(biāo)準(zhǔn)，并利用CVSS計(jì)算攻巧序列成功概率和巧絡(luò)系統(tǒng)損失風(fēng)險(xiǎn)。改進(jìn)前后擴(kuò)展馬爾科夫鏈生成攻擊圖的運(yùn)行時(shí)間，均會(huì)隨著節(jié)點(diǎn)數(shù)的增加而增加。主機(jī)數(shù)量高于6 000時(shí)，優(yōu)化后方法的運(yùn)行時(shí)間比優(yōu)化前節(jié)省30 s左右。當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)達(dá)到14 000時(shí)，內(nèi)存占用數(shù)不會(huì)出現(xiàn)明顯的變化。這顯示出優(yōu)化后的拓展馬爾科夫鏈攻擊圖模型適用于主機(jī)數(shù)量較多的情況下，當(dāng)節(jié)點(diǎn)的數(shù)量更為龐大時(shí)，此次課題實(shí)驗(yàn)提出的模型表現(xiàn)出更高的評(píng)估效率。每個(gè)原子攻擊自身的概率以及每個(gè)攻擊序列的成功概率顯示，攻擊序列L4被攻擊者攻擊的概率最大，因此V1、V4、V6需要格外保護(hù)。SL1攻擊序列綜合評(píng)分值為10.63SL2攻擊序列綜合評(píng)分值為7.868，SL3攻擊序列綜合評(píng)分值為10.89，SL4攻擊序列綜合評(píng)分值為11.8，SL5攻擊序列綜合評(píng)分值8.034，SL6攻擊序列綜合評(píng)分值11.53。這證明了擴(kuò)展馬爾科夫鏈攻擊圖模型在網(wǎng)絡(luò)安全評(píng)估的各項(xiàng)指標(biāo)中，均表現(xiàn)出較為顯著的優(yōu)勢(shì)，具有優(yōu)越的評(píng)估效果。盡管此次課題實(shí)驗(yàn)有幸成功實(shí)現(xiàn)了對(duì)馬爾科夫鏈攻擊圖模型的優(yōu)化與擴(kuò)展，但其中仍然存在綜合評(píng)分值與成功概率較低的攻擊序列，要大幅提高該模型在網(wǎng)絡(luò)安全評(píng)估中的應(yīng)用價(jià)值，需要對(duì)相關(guān)序列進(jìn)行持續(xù)的優(yōu)化，這也是未來的主要研究方向之一。