長春大學(xué)計算機(jī)科學(xué)技術(shù)學(xué)院 王紹強(qiáng) 邵 丹

1 引言

隨著因特網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)應(yīng)用已深入各個領(lǐng)域，政府部門、軍隊、企事業(yè)單位和個人已經(jīng)無時無刻離不開網(wǎng)絡(luò)。然而，互聯(lián)網(wǎng)技術(shù)革命為人們帶來巨大好處的同時，黑客入侵、病毒和木馬等網(wǎng)絡(luò)安全問題也層出不窮，給社會、單位和個人帶來了巨大的經(jīng)濟(jì)損失。網(wǎng)絡(luò)安全技術(shù)的研究和發(fā)展也顯得越發(fā)重要。黑客入侵通常都是圍繞網(wǎng)絡(luò)系統(tǒng)中的安全漏洞展開攻擊的。安全漏洞是指計算機(jī)操作系統(tǒng)或應(yīng)用程序等存在的可被利用攻擊的入口，是軟硬件和協(xié)議在具體實(shí)現(xiàn)或系統(tǒng)安全策略上的缺陷，使攻擊者能夠在未獲得授權(quán)的情況下訪問或破壞系統(tǒng)。更嚴(yán)重的是這些安全漏洞之間可能存在某種聯(lián)系，一個漏洞被攻擊利用后可能成為攻擊另外一個漏洞的跳板。為了找出這些漏洞之間的關(guān)聯(lián)關(guān)系，一種非常有效的方法就是使用網(wǎng)絡(luò)攻擊圖技術(shù)，即模擬黑客利用漏洞攻擊網(wǎng)絡(luò)的過程，找出能到達(dá)最終目標(biāo)的攻擊路徑，并把這些攻擊路徑用有向圖的形式表示出來。

2 典型攻擊圖生成方法

攻擊圖可以分為狀態(tài)攻擊圖和屬性攻擊圖兩類。狀態(tài)攻擊圖中每個節(jié)點(diǎn)代表一個安全狀態(tài)，攻擊狀態(tài)可由一系列安全屬性組成，如主機(jī)名、權(quán)限、漏洞、服務(wù)等，有向邊表示安全狀態(tài)的改變。屬性攻擊圖的每個節(jié)點(diǎn)代表一個安全屬性，有向邊表示屬性之間的依賴關(guān)系。

最早的攻擊圖由Cunningham提出，其認(rèn)為網(wǎng)絡(luò)由各種組件構(gòu)成，組件通過物理或邏輯方式連接。攻擊圖中的有向邊表示需要付出的代價，攻擊者通過攻擊網(wǎng)絡(luò)組件獲取“收益”。Swiler提出的攻擊圖方法在安全分析中把網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息也考慮在內(nèi)。Ritchey等提出了采用模型檢測器的方法，這種方法能夠自動生成攻擊圖，但卻由于模型包含所有的狀態(tài)極易導(dǎo)致狀態(tài)爆炸問題不適應(yīng)于大規(guī)模網(wǎng)絡(luò)。為此，Ammann提出了網(wǎng)絡(luò)攻擊的單調(diào)性假設(shè)，對攻擊圖生成過程予以限制的方法簡化攻擊圖。Tao Zhang提出通過分析主機(jī)、鏈路關(guān)系和攻擊特征構(gòu)建安全狀態(tài)模型，然后通過前向搜索、廣度優(yōu)先、深度限制來生成攻擊路徑的方法。Kyle Ingols提出基于多前置條件的網(wǎng)絡(luò)攻擊圖生成方法，隨著網(wǎng)絡(luò)規(guī)模的增大，攻擊圖成近似線性增加。DapengMan提出基于寬度優(yōu)先搜索的全局攻擊圖生成算法，通過限制攻擊步驟和攻擊路徑的成功概率來減少攻擊圖的復(fù)雜性。李玲娟等提出一種基于代價分析和控制攻擊深度的狀態(tài)轉(zhuǎn)移的攻擊模型。何江湖等提出一種基于漏洞關(guān)聯(lián)攻擊代價的攻擊圖生成方法，該方法考慮到了結(jié)合漏洞間的相關(guān)性問題。趙芳芳等提出一種基于權(quán)限提升的網(wǎng)絡(luò)攻擊圖生成方法。

3 攻擊圖生成方法研究

3.1 通用弱點(diǎn)評價體系（CVSS）評估指標(biāo)

CVSS（Common Vulnerability Scoring System），即“通用弱點(diǎn)評價體系”，是由NIAC開發(fā)，由FIRST（事件反應(yīng)和安全小組論壇）維護(hù)的一個開放的并且能夠被產(chǎn)品廠商免費(fèi)使用的標(biāo)準(zhǔn)。利用該標(biāo)準(zhǔn)，可以對弱點(diǎn)進(jìn)行評分，進(jìn)而確定修復(fù)不同弱點(diǎn)的優(yōu)先等級。CVSS由美國國家漏洞庫(NVD)發(fā)布并保持?jǐn)?shù)據(jù)的更新。CVSS是2005年2月在美國國土安全部網(wǎng)站上最初公布的，旨在為軟件安全漏洞的嚴(yán)重等級提供一個開放的和通用的標(biāo)準(zhǔn)。CVSS網(wǎng)站稱，CVSS的目標(biāo)是為所有軟件安全漏洞提供一個嚴(yán)重程度的評級。2007年6月，F(xiàn)IRST發(fā)布了這個標(biāo)準(zhǔn)的第二版即CVSS 2.0。目前CVSS3.0業(yè)已發(fā)布，本文中涉及內(nèi)容以CVSS2.0為準(zhǔn)。CVSS評估系統(tǒng)Base Metric（基本評價）、Temporal Metrics（時效評價）、Environmental Metrics（環(huán)境評價）三部分組成，如圖1所示。

圖1 CVSS評估度量分類

Base Metric描述的是該安全漏洞本身固有的屬性特點(diǎn)，并將這些特點(diǎn)可能造成的影響評估成分值，該評價與時間和用戶環(huán)境無關(guān)。Base Metric包括Exploitability（利用評價）和Impact（影響評價）。Exploitability描述漏洞被利用的難易程度，包括Access Vector（攻擊途徑）、Access Complexity（攻擊復(fù)雜度）、Authentication（認(rèn)證）三個指標(biāo)。Impact描述漏洞的危害性，包括Confidentiality（機(jī)密性）、Integrity（完整性）、Availability（可用性）三個指標(biāo)。計算公式如下：

BaseScore = round_to_1_decimal(((0.6*Impact)+(0.4*Exploitability)-1.5)*f(Impact))

Impact = 10.41*(1-(1-ConfImpact)*(1-IntegImpact)*(1-AvailImpact))

Exploitability = 20* AccessVector*AccessComplexity*Authentication

f(impact)= 0 if Impact=0, 1.176 otherwise

Temporal Metrics描述的是漏洞與時間緊密相關(guān)的屬性。因為漏洞與時間是有緊密聯(lián)系的，評估值隨時間的變化而改變。Temporal Metrics包括Exploitability（利用代碼）、Remediation Level（修正措施）、Report Confidence（確認(rèn)程度）三個時間評估指標(biāo)。計算公式如下：

TemporalScore = round_to_1_decimal(BaseScore *Exploitability * Remediation Level* Report Confidence)

Environmental Metrics是可選指標(biāo)，因為漏洞造成影響大小與用戶自身實(shí)際環(huán)境密切相關(guān)，因此該指標(biāo)由用戶自評。由于該項與本文研究關(guān)系不大，不過多表述。

3.2 攻擊圖生成算法原理與實(shí)現(xiàn)

從以上評估指標(biāo)可以看出Base Metric中的Exploitability與Temporal Metrics的評估值與漏洞攻擊的復(fù)雜度（代價）密切相關(guān)，代價與Exploitability和Temporal Metrics成反比關(guān)系。根據(jù)對CVSS的計算公式進(jìn)行適當(dāng)修改后，節(jié)點(diǎn)漏洞的攻擊代價計算公式為：

P=100/(Exploitability* TemporalScore)= round_to_1_decimal(100 / (20* AccessVector * AccessComplexity * Authentication *Exploitability * Remediation Level * Report Confidence))

一條路徑的攻擊代價為：

（i為當(dāng)前攻擊路徑深度，n為總的攻擊路徑深度）。

本文擬采取正向廣度優(yōu)先搜索方法，即從攻擊者的位置出發(fā)模擬攻擊路徑，基于路徑節(jié)點(diǎn)漏洞的攻擊代價來選出最優(yōu)攻擊路徑。為了避免攻擊圖規(guī)模過大，應(yīng)該在路徑深度上進(jìn)行限制。算法語言描述：①建立網(wǎng)絡(luò)狀態(tài)隊列。②將初始狀態(tài)加入隊列。③從隊列中取出一個節(jié)點(diǎn)狀態(tài)。④若該節(jié)點(diǎn)深度小于最大深度限制則對當(dāng)前狀態(tài)的弱點(diǎn)考察攻擊知識庫，否則轉(zhuǎn)到③。⑤如果條件滿足則生成新狀態(tài)節(jié)點(diǎn)并加入隊列。⑥計算當(dāng)前節(jié)點(diǎn)深度和代價。⑧從隊列中再取新節(jié)點(diǎn)，直到隊列為空結(jié)束循環(huán)。

4 仿真實(shí)驗

本文構(gòu)造的網(wǎng)絡(luò)實(shí)驗環(huán)境如圖2所示。網(wǎng)絡(luò)環(huán)境中同一網(wǎng)段內(nèi)有4臺主機(jī)H1、H2、H3、H4，它們與路由器相連，通過防火墻與外網(wǎng)隔開。H1、H2、H4是Windows主機(jī)，H3是linux主機(jī)。

圖2 實(shí)驗網(wǎng)絡(luò)環(huán)境

表1 漏洞攻擊代價情況

表2 攻擊路徑代價表

攻擊者在外網(wǎng)中，對自己的主機(jī)H0擁有root權(quán)限。H1主機(jī)開放了IIS服務(wù)，H2開放了HTTP服務(wù)，H3開放了SMTP和FTP服務(wù)，H4開放了Telnet服務(wù)。防火墻只允許外部主機(jī)訪問H1上的IIS服務(wù)，內(nèi)網(wǎng)之間主機(jī)互訪沒有限制。攻擊者的攻擊目標(biāo)是主機(jī)H4，要獲得H4的root權(quán)限。利用前面定義的計算節(jié)點(diǎn)漏洞攻擊代價的公式整理出主機(jī)漏洞與代價值如表1所示。

利用文中設(shè)計的算法，設(shè)定最大攻擊深度為4，得出的路徑及代價如表2所示。

由表2可知，路徑（H0,H1,CVE-2002-0364）-＞(H1,H4,CVE-2005-0768)代價最小，攻擊者最容易從此路徑進(jìn)行滲透，管理員可以有針對性地優(yōu)先修補(bǔ)相應(yīng)漏洞，提高網(wǎng)絡(luò)安全性。

5 結(jié)束語

本文以通用弱點(diǎn)評價體系（CVSS）為基礎(chǔ)，從中選取適當(dāng)指標(biāo)計算漏洞攻擊代價，提出了一種基于代價的攻擊圖生成方法，簡化了攻擊圖的生成，并找到最優(yōu)路徑，提高了網(wǎng)絡(luò)滲透測試效率。

[1]A Complete Guide to the Common Vulnerability Scoring System Version 2.0.http://www.first.org/cvss/v2/guide.

[2]李玲娟,孫光輝.網(wǎng)絡(luò)攻擊圖生成算法研究[J].計算機(jī)技術(shù)與發(fā)展,2010(10).

[3]張璽,黃曙光,夏陽,宋舜宏.一種基于攻擊圖的漏洞風(fēng)險評估方法[J].計算機(jī)應(yīng)用研究,2010(01).

[4]陸余良,宋舜宏,等.網(wǎng)絡(luò)攻擊圖生成方法分析[J].安徽大學(xué)學(xué)報,2010(07).

[5]王國玉,王會梅,等.基于攻擊圖的計算機(jī)網(wǎng)絡(luò)攻擊建模方法[J].國防科技大學(xué)學(xué)報,2009(04).

[6]李銳.通用安全漏洞評估系統(tǒng)(CVSS)簡介及應(yīng)用建議[J].計算機(jī)安全,2011(05).