周　未　 張　宏　 李博涵

(1南京理工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院, 南京 210094)(2南京航空航天大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院, 南京 211106)

?

基于攻防狀態(tài)圖模型的網(wǎng)絡(luò)風(fēng)險(xiǎn)評估方法

周未1張宏1李博涵2

(1南京理工大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院, 南京 210094)(2南京航空航天大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院, 南京 211106)

采用自底向上的分析方法,提出了一種層次化的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估框架.該框架將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分為脆弱點(diǎn)安全風(fēng)險(xiǎn)和攻擊安全風(fēng)險(xiǎn)2部分,按照網(wǎng)絡(luò)的層次結(jié)構(gòu)逐層評估計(jì)算機(jī)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn).在此基礎(chǔ)上,進(jìn)一步引入攻防圖脆弱點(diǎn)置信度概念來衡量脆弱點(diǎn)存在攻防狀態(tài)圖中的可信程度.綜合考慮多種脆弱點(diǎn)掃描器的掃描結(jié)果,提出一種基于攻防狀態(tài)圖模型的網(wǎng)絡(luò)風(fēng)險(xiǎn)評估方法.該方法通過計(jì)算單個(gè)脆弱點(diǎn)的置信度,結(jié)合每種脆弱點(diǎn)的危害指數(shù)和攻擊危害指數(shù),推算出節(jié)點(diǎn)的脆弱點(diǎn)安全風(fēng)險(xiǎn)和攻擊安全風(fēng)險(xiǎn),評估單個(gè)節(jié)點(diǎn)的安全風(fēng)險(xiǎn)值.根據(jù)網(wǎng)絡(luò)中各節(jié)點(diǎn)自身的權(quán)重,量化全網(wǎng)的安全風(fēng)險(xiǎn).實(shí)驗(yàn)結(jié)果表明,該評估方法可有效、合理地評估指定網(wǎng)絡(luò)的風(fēng)險(xiǎn)和安全狀況.

信息網(wǎng)絡(luò);風(fēng)險(xiǎn)評估;攻防狀態(tài)圖

網(wǎng)絡(luò)安全已經(jīng)成為國家戰(zhàn)略安全的重要組成部分,吸引了大量研究人員對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估進(jìn)行研究.目前,評估方法主要可分為2類:靜態(tài)評估法和動(dòng)態(tài)評估法.靜態(tài)評估法利用一些評估標(biāo)準(zhǔn)進(jìn)行評估[1-3],如TCSEC,ITSEC,CC,IOS/IEC 17799,BS 7799,ISO 13335等.靜態(tài)評估法缺乏實(shí)時(shí)性,只能粗略地估計(jì)網(wǎng)絡(luò)長期所處的安全風(fēng)險(xiǎn)等級,對于網(wǎng)絡(luò)正在遭受的攻擊缺乏實(shí)時(shí)的風(fēng)險(xiǎn)檢測.因此,動(dòng)態(tài)評估法成為該領(lǐng)域研究的熱點(diǎn)[4-5].

Philips等[6]提出了一種M-Correlator報(bào)警處理模型,該模型使用樹形結(jié)構(gòu)的Bayes信念傳播方法,將報(bào)警同目標(biāo)的相關(guān)性以及目標(biāo)資源的重要性相結(jié)合,對安全事件進(jìn)行處理,得到報(bào)警所對應(yīng)的攻擊對目標(biāo)的威脅程度,評估其所處的高、中、低三個(gè)等級.但該方法涉及的評判對象都是孤立的報(bào)警,無法對一個(gè)完整的攻擊過程進(jìn)行評估.Boyer等[7]提出了一個(gè)Stellar評估模型,該模型由攻擊過程重建模塊和安全風(fēng)險(xiǎn)評估模塊組成,其中攻擊過程風(fēng)險(xiǎn)評估通過專家事先編制好的一系列規(guī)則來完成.不足之處在于這些規(guī)則的制定完全依賴于專家經(jīng)驗(yàn),且規(guī)則的編寫費(fèi)時(shí)、費(fèi)力,主觀性較強(qiáng).Gehani[8]基于實(shí)時(shí)風(fēng)險(xiǎn)評估的自動(dòng)入侵模型,提出了RheoStat實(shí)時(shí)風(fēng)險(xiǎn)管理模型.該模型從攻擊威脅、目標(biāo)資產(chǎn)和目標(biāo)脆弱點(diǎn)3方面來進(jìn)行風(fēng)險(xiǎn)評估,使用威脅發(fā)生概率、脆弱點(diǎn)暴露率和攻擊對資產(chǎn)的影響程度之積來計(jì)算風(fēng)險(xiǎn).但該模型只適用于評估單個(gè)主機(jī)的風(fēng)險(xiǎn)情況,不能評估網(wǎng)絡(luò)層風(fēng)險(xiǎn).Hariri等[9]基于網(wǎng)絡(luò)性能度量指標(biāo),評估分析網(wǎng)絡(luò)攻擊對系統(tǒng)安全的影響,此方法僅適用于分析拒絕服務(wù)類攻擊,不能評估其他類別的攻擊對系統(tǒng)安全的威脅.

本文針對目前網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估中存在的問題,采用自底向上的層次化分析方法,提出了一種基于攻防狀態(tài)圖的層次化風(fēng)險(xiǎn)評估模型和方法.本文從網(wǎng)絡(luò)節(jié)點(diǎn)的脆弱點(diǎn)和節(jié)點(diǎn)可能遭受的攻擊出發(fā),從脆弱點(diǎn)風(fēng)險(xiǎn)和攻擊風(fēng)險(xiǎn)2個(gè)層面分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn);引入攻防圖脆弱點(diǎn)置信度概念,衡量脆弱點(diǎn)存在攻防狀態(tài)圖中的可信程度,綜合考慮多種脆弱點(diǎn)掃描器的掃描結(jié)果,提出一種基于攻防狀態(tài)圖模型的網(wǎng)絡(luò)風(fēng)險(xiǎn)評估方法.

1　基于攻防狀態(tài)圖的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)量化評估框架

本文根據(jù)攻防狀態(tài)圖的層次結(jié)構(gòu)以及攻擊和脆弱點(diǎn)的邏輯關(guān)系,提出了一種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)量化評估框架,如圖1所示.

圖1　網(wǎng)絡(luò)安全風(fēng)險(xiǎn)量化評估框架

該框架采用自底向上結(jié)構(gòu),首先根據(jù)攻防狀態(tài)圖,通過多種脆弱點(diǎn)掃描器確定各節(jié)點(diǎn)中存在的脆弱點(diǎn)集.對于每個(gè)節(jié)點(diǎn),進(jìn)一步計(jì)算出該節(jié)點(diǎn)中所有脆弱點(diǎn)的置信度和原子攻擊成功發(fā)生的概率,結(jié)合每種脆弱點(diǎn)的危害指數(shù)和原子攻擊頻率及其危害指數(shù),計(jì)算出該節(jié)點(diǎn)的脆弱點(diǎn)風(fēng)險(xiǎn)和攻擊風(fēng)險(xiǎn),進(jìn)而評估單個(gè)節(jié)點(diǎn)的安全風(fēng)險(xiǎn)值.最后根據(jù)網(wǎng)絡(luò)中各節(jié)點(diǎn)的權(quán)重,量化整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)值.

由于攻防狀態(tài)圖本身具有不確定性,本文引入攻防圖脆弱點(diǎn)置信度概念,用于表示節(jié)點(diǎn)中單個(gè)脆弱點(diǎn)存在的支持度或可信程度,記作f.脆弱點(diǎn)危害指數(shù)是節(jié)點(diǎn)中單個(gè)脆弱點(diǎn)對其的危害程度,記作e.脆弱點(diǎn)危害指數(shù)是該脆弱點(diǎn)嚴(yán)重性的直接表現(xiàn),因此可以用脆弱點(diǎn)的嚴(yán)重程度來衡量其危害指數(shù).美國國家脆弱點(diǎn)數(shù)據(jù)庫 (National Vulnerability Database)是目前最為權(quán)威的脆弱點(diǎn)信息數(shù)據(jù)庫之一.該數(shù)據(jù)庫從脆弱點(diǎn)的利用方式、利用復(fù)雜度、目標(biāo)認(rèn)證次數(shù)以及對信息機(jī)密性、完整性和可用性的影響大小等幾個(gè)方面給出了脆弱點(diǎn)的嚴(yán)重性度量,其值介于0～10之間.可以根據(jù)通用脆弱點(diǎn)風(fēng)險(xiǎn)披露(CVE)的標(biāo)識(shí),從美國國家脆弱點(diǎn)數(shù)據(jù)庫中查詢其對應(yīng)的嚴(yán)重度,作為脆弱點(diǎn)的危害指數(shù).

節(jié)點(diǎn)中單個(gè)脆弱點(diǎn)存在時(shí)的風(fēng)險(xiǎn)大小Rv可表示為

Rv=fe

(1)

目前針對網(wǎng)絡(luò)的攻擊行為大多為多步驟組合攻擊,即通過多個(gè)原子攻擊協(xié)同實(shí)施完成.所謂原子攻擊是指攻擊者利用節(jié)點(diǎn)上的單個(gè)脆弱點(diǎn)而實(shí)施的攻擊行為.因此,一個(gè)攻擊行為是由一系列原子攻擊構(gòu)成的.

定義1(原子攻擊頻率)一段時(shí)間內(nèi),節(jié)點(diǎn)中單個(gè)原子攻擊發(fā)生的次數(shù),記作c.可通過攻擊日志數(shù)據(jù)庫進(jìn)行統(tǒng)計(jì)得到.

定義2(原子攻擊成功概率)節(jié)點(diǎn)中單個(gè)原子攻擊成功發(fā)生的可能性,記作P.從網(wǎng)絡(luò)系統(tǒng)整體來分析,原子攻擊的成功實(shí)施帶有隨機(jī)性,受脆弱點(diǎn)掃描結(jié)果可置信度、脆弱點(diǎn)利用的難易程度等因素的影響.

在以往研究中,原子攻擊成功的概率往往通過專家打分來得到,主觀性較強(qiáng).為了避免這種缺點(diǎn),本文根據(jù)原子攻擊的攻防圖中所利用的脆弱點(diǎn)的置信度,并結(jié)合安全脆弱點(diǎn)評估系統(tǒng)(CVSS)對單個(gè)脆弱點(diǎn)的屬性量化值,將原子攻擊成功概率P定義為

P=fIexp

(2)

式中,Iexp為該脆弱點(diǎn)被利用的難易程度.為了滿足P的計(jì)算結(jié)果小于1,將CVSS中脆弱點(diǎn)被利用難易程度的計(jì)算公式修正為

Iexp=2AvAcAt

(3)

式中,Av表示脆弱點(diǎn)被利用的方式,其可能的取值為L(Local),A(Adjacent)和N(Network);Ac表示利用該脆弱點(diǎn)的攻擊復(fù)雜度,其可能的取值為H(High),M(Medium)和L(Low);At為利用該脆弱點(diǎn)時(shí),攻擊目標(biāo)對攻擊者進(jìn)行身份認(rèn)證的次數(shù),其可能的取值為M(Multiple),S(Single)和N(None),對應(yīng)的量化值如下:

定義3(原子攻擊危害指數(shù))節(jié)點(diǎn)中單個(gè)原子攻擊成功發(fā)生后對其造成的危害程度,記作r.本文用攻防圖中所利用的脆弱點(diǎn)對網(wǎng)絡(luò)系統(tǒng)安全屬性的損害來描述原子攻擊的危害指數(shù).借鑒文獻(xiàn)[10]中信息安全屬性可計(jì)算性思想,將脆弱點(diǎn)的安全屬性損害分為機(jī)密性損害Ci、完整性損害Ii和可用性損害Ai.根據(jù)CVSS中脆弱點(diǎn)損害的計(jì)算方法,定義單個(gè)原子攻擊成功后對其節(jié)點(diǎn)的危害指數(shù)為

r=P×[10.41×(1-(1-Ci)(1-Ii)(1-Ai))]

(4)

式中,Ci,Ii和Ai分別反映了第i個(gè)脆弱點(diǎn)成功被利用后所造成的機(jī)密性、完整性和可用性損害,其可能的取值為None(N),Partial(P)和Complete(C),對應(yīng)的量化值如下:

定義4(原子攻擊安全風(fēng)險(xiǎn))利用網(wǎng)絡(luò)節(jié)點(diǎn)中的脆弱點(diǎn), 外部攻擊成功發(fā)生時(shí)所致的風(fēng)險(xiǎn)大小.由于一次高危害指數(shù)攻擊的風(fēng)險(xiǎn)可能要比多次中、低危害指數(shù)攻擊的風(fēng)險(xiǎn)更大,因此原子攻擊安全風(fēng)險(xiǎn)Ra可用下式計(jì)算:

Ra=10rc

(5)

定義5(節(jié)點(diǎn)安全風(fēng)險(xiǎn))單個(gè)節(jié)點(diǎn)的安全風(fēng)險(xiǎn)Rh由其所有的脆弱點(diǎn)安全風(fēng)險(xiǎn)和原子攻擊安全風(fēng)險(xiǎn)2部分組成,即

(6)

式中,m為單個(gè)節(jié)點(diǎn)中所存在的脆弱點(diǎn)總數(shù);n為單個(gè)節(jié)點(diǎn)中成功發(fā)生的原子攻擊總數(shù);Rvi為根據(jù)式(1)計(jì)算得到的單個(gè)脆弱點(diǎn)安全風(fēng)險(xiǎn);Raj為根據(jù)式(5)計(jì)算得到的單個(gè)原子攻擊安全風(fēng)險(xiǎn).

定義6(網(wǎng)絡(luò)安全風(fēng)險(xiǎn))外部攻擊通過網(wǎng)絡(luò)各節(jié)點(diǎn)對其造成的影響.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)RN用所有節(jié)點(diǎn)安全風(fēng)險(xiǎn)的加權(quán)和來表示,即

(7)

式中,p為網(wǎng)絡(luò)中節(jié)點(diǎn)的總數(shù);ωk為第k個(gè)節(jié)點(diǎn)占網(wǎng)絡(luò)的權(quán)重,該權(quán)重是由系統(tǒng)管理員根據(jù)節(jié)點(diǎn)中服務(wù)的重要程度、節(jié)點(diǎn)的拓?fù)溥B接、服務(wù)的訪問次數(shù)等因素給出網(wǎng)絡(luò)中各節(jié)點(diǎn)的重要度(見表1),并對其進(jìn)行歸一化處理得到,在實(shí)際操作過程中可根據(jù)系統(tǒng)的不同做相應(yīng)的調(diào)整;Rhk為根據(jù)式(6)計(jì)算得到的單個(gè)節(jié)點(diǎn)安全風(fēng)險(xiǎn).

表1　節(jié)點(diǎn)重要度

根據(jù)圖1的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)量化評估框架可知,評估整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)值,首先要計(jì)算出單個(gè)節(jié)點(diǎn)上所有脆弱點(diǎn)的安全風(fēng)險(xiǎn)值和原子攻擊的安全風(fēng)險(xiǎn)值.而單個(gè)脆弱點(diǎn)安全風(fēng)險(xiǎn)值Rv和單個(gè)原子攻擊安全風(fēng)險(xiǎn)值Ra的計(jì)算又要先確定各脆弱點(diǎn)的置信度f,脆弱點(diǎn)危害指數(shù)e,原子攻擊成功概率P和原子攻擊危害指數(shù)r.

2　基于攻防狀態(tài)圖模型的網(wǎng)絡(luò)風(fēng)險(xiǎn)評估方法

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估過程中,需要利用脆弱點(diǎn)掃描器來發(fā)現(xiàn)節(jié)點(diǎn)的脆弱點(diǎn).由于脆弱點(diǎn)掃描器實(shí)現(xiàn)技術(shù)的缺陷,使得其具有不同程度的錯(cuò)報(bào)率和漏報(bào)率,給掃描結(jié)果帶來了不確定性,從而影響網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評估結(jié)果.為了使評估結(jié)果更加準(zhǔn)確、可靠,本文綜合考慮多種脆弱點(diǎn)掃描器的掃描結(jié)果,引入攻防圖脆弱點(diǎn)置信度概念來衡量脆弱點(diǎn)存在于攻防狀態(tài)圖中的可信程度，提出了一種基于攻防狀態(tài)圖模型的網(wǎng)絡(luò)風(fēng)險(xiǎn)評估方法.

證據(jù)指人們分析命題、求其基本可信數(shù)所依據(jù)的事物的屬性與客觀環(huán)境(實(shí)證據(jù)),同時(shí)還包括人們的經(jīng)驗(yàn)、人們的知識(shí)和人們對該問題所作的觀察和研究.人們通過對證據(jù)的分析,得到命題的基本可信數(shù)m(A),這里基本可信數(shù)就是人們相信命題A為真的置信度,如圖2所示.

圖2　證據(jù)與置信度可信數(shù)

對于一個(gè)判決問題,設(shè)人們所能夠認(rèn)識(shí)的可能結(jié)果用集合Θ表示,那么人們所關(guān)心的任一命題都對應(yīng)于Θ的某一個(gè)子集.Θ稱為基于攻防狀態(tài)圖模型的識(shí)別框架.

基本可信數(shù)m(A)反映了對命題A本身的置信度大小,但是由于證據(jù)不充分,不能進(jìn)一步賦予A的任何真子集的信任程度,m(A)表示在主體看來證據(jù)支持A,但不支持A真子集的程度.為了計(jì)算原子焦元基本可信數(shù),提出一個(gè)基于攻防狀態(tài)圖模型的網(wǎng)絡(luò)風(fēng)險(xiǎn)評估方法.

在證據(jù)理論中,基于攻防狀態(tài)圖模型的識(shí)別框架Θ被定義為所有可能結(jié)論的集合,并且各種結(jié)論之間相互排斥,互補(bǔ)包含,因此可以用歐式空間的思想來解釋和定義證據(jù)理論中的某些概念.

設(shè)Θ為一包含N個(gè)兩兩不同命題的基于攻防狀態(tài)圖模型的識(shí)別框架,則把N個(gè)不同命題看作是兩兩互相垂直的坐標(biāo)軸,把Θ看作是包含N個(gè)坐標(biāo)軸的坐標(biāo)系,即N維向量空間.記m′為m向各個(gè)坐標(biāo)軸投影后得到的一個(gè)近似概率分配函數(shù),通過對所有焦元在不同坐標(biāo)軸上的投影進(jìn)行歸一化得到.

由于該結(jié)果是通過焦元不斷地向各個(gè)坐標(biāo)軸投影而得到的,證據(jù)經(jīng)過投影分解后可以用一個(gè)N維向量表示,因此上述過程稱為置信度向量攻防狀態(tài)圖分析.經(jīng)過歸一化后得到的近似概率分配函數(shù)m′中,所有焦元都僅含有一個(gè)元素的原子焦元.

基于上述方法,在計(jì)算節(jié)點(diǎn)中單個(gè)脆弱點(diǎn)的置信度時(shí),為了降低脆弱點(diǎn)掃描器的不確定性,本文用多種脆弱點(diǎn)掃描器對網(wǎng)絡(luò)中的節(jié)點(diǎn)進(jìn)行掃描,掃描結(jié)果集看作一個(gè)命題A,脆弱點(diǎn)掃描器的準(zhǔn)確率看作命題A的基本可信數(shù)即m(A),多種掃描器結(jié)果集的并集看作基于攻防狀態(tài)圖模型的識(shí)別框架Θ.對掃描結(jié)果進(jìn)行置信度向量攻防狀態(tài)圖分析,進(jìn)而得到單個(gè)脆弱點(diǎn)的置信度.

以t種脆弱點(diǎn)掃描器對單個(gè)節(jié)點(diǎn)Hk掃描為例,節(jié)點(diǎn)中單個(gè)脆弱點(diǎn)的置信度算法步驟如下:

輸入:每種脆弱點(diǎn)掃描器的掃描結(jié)果集合.

輸出:節(jié)點(diǎn)Hk中每個(gè)脆弱點(diǎn)的置信度.

④ 計(jì)算置信度向量vs在各坐標(biāo)軸xi(i=1,2,…,m)上的攻防狀態(tài)圖分析值,即

π=rscosαvsxi

(8)

⑤ 將每個(gè)置信度向量vs向同一個(gè)坐標(biāo)軸上的攻防狀態(tài)圖分析值累加求和,即

(9)

將所有fxi歸一化,得

(10)

算法中脆弱點(diǎn)掃描器種數(shù)t可根據(jù)網(wǎng)絡(luò)的規(guī)模、評估的實(shí)際需要和以往的經(jīng)驗(yàn)來選擇.但t值過大會(huì)導(dǎo)致評估成本和計(jì)算時(shí)間過長,t值過小又會(huì)使得漏報(bào)率和錯(cuò)報(bào)率過高.因此根據(jù)經(jīng)驗(yàn),其值宜取為3或4.

3　實(shí)驗(yàn)驗(yàn)證與分析

3.1實(shí)驗(yàn)環(huán)境設(shè)置

為驗(yàn)證本文提出的基于攻防狀態(tài)圖模型的網(wǎng)絡(luò)風(fēng)險(xiǎn)評估方法的可行性和有效性,設(shè)計(jì)如下網(wǎng)絡(luò)實(shí)驗(yàn),網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)如圖3所示.實(shí)驗(yàn)平臺(tái)包括3臺(tái)服務(wù)器:1臺(tái)Web服務(wù)器、1臺(tái)用于重要文件和數(shù)據(jù)備份的FTP服務(wù)器、1臺(tái)為Web服務(wù)器提供數(shù)據(jù)庫服務(wù)的Oracle數(shù)據(jù)庫服務(wù)器.攻擊者可以對網(wǎng)絡(luò)系統(tǒng)內(nèi)的3臺(tái)服務(wù)器直接訪問,訪問權(quán)限為User權(quán)限.3臺(tái)服務(wù)器之間也可互相以User權(quán)限訪問.各節(jié)點(diǎn)間的可達(dá)關(guān)系如表2所示.

圖3　網(wǎng)絡(luò)拓?fù)鋱D

可達(dá)關(guān)系源節(jié)點(diǎn)地址目標(biāo)節(jié)點(diǎn)地址協(xié)議開放端口A→B172.16.2.2172.16.2.3FTP21A→C172.16.2.2172.16.2.4HTTP80A→D172.16.2.2172.16.2.5TNS1521B→C172.16.2.3172.16.2.4HTTP80B→D172.16.2.3172.16.2.5TNS1521C→B172.16.2.4172.16.2.3FTP21C→D172.16.2.4172.16.2.5TNS1521D→B172.16.2.5172.16.2.3FTP21D→C172.16.2.5172.16.2.4HTTP80

3.2掃描器掃描結(jié)果

利用Nessus,X-Scan和ISS三種脆弱點(diǎn)掃描器,對網(wǎng)絡(luò)中3個(gè)服務(wù)器節(jié)點(diǎn)進(jìn)行脆弱點(diǎn)掃描,掃描結(jié)果如表3所示.3種脆弱點(diǎn)掃描器的準(zhǔn)確率分別為0.980 0,0.900 0和0.940 0.

3.3攻防圖脆弱點(diǎn)分析

令x1,x2和x3分別代表CVE-2010-4562,CVE-2011-1871,CVE-2007-0066,并作為置信度向量空間Θ內(nèi)的3個(gè)坐標(biāo)軸.由Nessus掃描結(jié)果所構(gòu)成的置信度向量v1={x1,x2,x3},由ISS掃描結(jié)果所

表3　脆弱點(diǎn)掃描結(jié)果

構(gòu)成的置信度向量v2={x2},由X-Scan掃描結(jié)果所構(gòu)成的置信度向量v3={x1,x2}.根據(jù)基于攻防狀態(tài)圖模型的網(wǎng)絡(luò)風(fēng)險(xiǎn)評估方法,計(jì)算得到Web服務(wù)器上脆弱點(diǎn)CVE-2010-4562,CVE-2011-1871,CVE-2007-0066存在的置信度分別為0.313 0,0.543 0和0.144 0.

由表3可看出,3種掃描器均檢測到脆弱點(diǎn)CVE-2011-1871,因此它的置信度最高;脆弱點(diǎn)CVE-2010-4562被2種掃描器檢測到,故其置信度居中;脆弱點(diǎn)CVE-2007-0066僅被Nessus掃描器檢測到,雖然Nessus掃描器的準(zhǔn)確率是3種掃描器中最高的,但由于證據(jù)數(shù)量最少,缺乏充分性,因此其置信度最低,上述計(jì)算結(jié)果也與現(xiàn)實(shí)情況一致.

同理,可以計(jì)算出FTP服務(wù)器節(jié)點(diǎn)上脆弱點(diǎn)CVE-2004-2111,CVE-2011-4800,CVE-2009-1439和CVE-2012-0450的置信度分別為0.441 0,0.192 0,0.184 0和0.184 0;Oracle服務(wù)器節(jié)點(diǎn)上脆弱點(diǎn)CVE-2002-0060和CVE-2000-0800的置信度均為0.500 0.

3.3.1脆弱點(diǎn)安全風(fēng)險(xiǎn)分析

各服務(wù)器節(jié)點(diǎn)的脆弱點(diǎn)安全風(fēng)險(xiǎn)如表4所示.

表4　脆弱點(diǎn)安全風(fēng)險(xiǎn)

3.3.2脆弱點(diǎn)攻擊安全風(fēng)險(xiǎn)分析

在08:00—9:00,09:00—10:00,10:00—11:00 三個(gè)時(shí)間段內(nèi),模擬黑客對Web服務(wù)器、FTP服務(wù)器和Oracle服務(wù)器發(fā)起拒絕服務(wù)(DoS)攻擊、FTP緩沖區(qū)溢出攻擊和Root權(quán)限提升攻擊.各攻擊的脆弱點(diǎn)利用規(guī)則如表5所示.

表5　脆弱點(diǎn)利用規(guī)則

在第1時(shí)段,即08:00—09:00期間,對Web服務(wù)器C發(fā)起DoS攻擊,狀態(tài)攻防圖如圖4所示.各服務(wù)器節(jié)點(diǎn)遭受的攻擊次數(shù)如表6所示.

圖4　第1時(shí)段狀態(tài)攻防圖

原子攻擊Web服務(wù)器FTP服務(wù)器Oracle服務(wù)器FTP緩沖區(qū)溢出000Root權(quán)限提升000DoS500

由表6可知,該時(shí)段只有Web服務(wù)器發(fā)生了DoS攻擊,DoS攻擊所利用的脆弱點(diǎn)為CVE-2011-1871.

在第2時(shí)段,即09:00—10:00期間,繼續(xù)加強(qiáng)對Web服務(wù)器C的DoS攻擊,同時(shí)向FTP服務(wù)器B發(fā)起FTP緩沖區(qū)溢出攻擊,狀態(tài)攻防圖如圖5所示.節(jié)點(diǎn)遭受的攻擊次數(shù)如表7所示.

圖5　第2時(shí)段狀態(tài)攻防圖

原子攻擊Web服務(wù)器FTP服務(wù)器Oracle服務(wù)器FTP緩沖區(qū)溢出010Root權(quán)限提升000DoS1000

此時(shí)段Web服務(wù)器發(fā)生了DoS攻擊,FTP服務(wù)器發(fā)生了FTP緩沖區(qū)溢出攻擊.按照上述計(jì)算方法,DoS攻擊所利用的脆弱點(diǎn)為CVE-2011-1871,FTP緩沖區(qū)溢出攻擊所利用的脆弱點(diǎn)為CVE-2004-2111.此時(shí)段Oracle服務(wù)器沒有發(fā)生任何攻擊.

在第3時(shí)段,即10:00—11:00期間,繼續(xù)對FTP服務(wù)器B發(fā)起FTP緩沖區(qū)溢出攻擊,同時(shí)向Oracle服務(wù)器D發(fā)起Root權(quán)限提升攻擊,但停止對Web服務(wù)器B的DoS攻擊,狀態(tài)攻防圖如圖6所示.各服務(wù)器節(jié)點(diǎn)遭受的攻擊次數(shù)如表8所示.

圖6　第3時(shí)段狀態(tài)攻防圖

原子攻擊Web服務(wù)器FTP服務(wù)器Oracle服務(wù)器FTP緩沖區(qū)溢出010Root權(quán)限提升001DoS000

3.3.3網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

上述實(shí)驗(yàn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)趨勢如圖7所示.實(shí)驗(yàn)結(jié)果表明,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要來自于攻擊安全風(fēng)險(xiǎn),脆弱點(diǎn)在沒有被攻擊者成功利用時(shí),其潛在的安全風(fēng)險(xiǎn)相對來說非常小.從圖7可看出,第1時(shí)段網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)最低,第2時(shí)段居中,第3時(shí)段的安全風(fēng)險(xiǎn)最高.和第1時(shí)段相比,第2時(shí)段由于對Web服務(wù)器DoS攻擊次數(shù)的增加,且增加了一次對FTP服務(wù)器的FTP緩沖區(qū)溢出攻擊,因此網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)相比第1時(shí)段有了顯著的增加.在第3時(shí)段,雖然停止了對Web服務(wù)器的DoS攻擊,僅對FTP服務(wù)器發(fā)動(dòng)了1次FTP緩沖區(qū)溢出攻擊和對Oracle服務(wù)器發(fā)動(dòng)了1次Root權(quán)限提升攻擊,總攻擊次數(shù)相比前2個(gè)時(shí)段有了明顯下降,但由于

圖7　網(wǎng)絡(luò)安全風(fēng)險(xiǎn)趨勢

所發(fā)動(dòng)的攻擊危害指數(shù)較大,因此第3時(shí)段的風(fēng)險(xiǎn)反而增大,進(jìn)一步驗(yàn)證了一次高危害指數(shù)攻擊的安全風(fēng)險(xiǎn)要比多次中、低危害指數(shù)攻擊的風(fēng)險(xiǎn)大得多.同時(shí)該實(shí)驗(yàn)也驗(yàn)證了本文所提出網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估方法的有效性和合理性.

4　結(jié)語

本文提出了一種基于攻防狀態(tài)圖模型的網(wǎng)絡(luò)風(fēng)險(xiǎn)評估方法.該方法以多種脆弱點(diǎn)掃描器的結(jié)果為數(shù)據(jù)源,將單個(gè)脆弱點(diǎn)掃描器的準(zhǔn)確率作為可置信度,掃描結(jié)果集看作一個(gè)置信度向量,對每個(gè)置信度向量進(jìn)行攻防狀態(tài)圖分析,進(jìn)而計(jì)算出單個(gè)攻防圖脆弱點(diǎn)置信度.本文在3個(gè)不同時(shí)段的攻擊場景下,利用所提方法對一個(gè)小型局域網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評估.實(shí)驗(yàn)表明使用本文的風(fēng)險(xiǎn)評估方法能夠正確評估網(wǎng)絡(luò)的安全風(fēng)險(xiǎn),評估結(jié)果更加符合實(shí)際情況,能直觀地給出量化風(fēng)險(xiǎn)值.下一步的研究方向是進(jìn)一步細(xì)化威脅攻擊的種類,用于實(shí)驗(yàn)測試該模型的合理性,并繼續(xù)進(jìn)行模型優(yōu)化與測試.

References)

[1]Porras P A, Fong M W, Valdes A. A mission-impact-based approach to INFOSEC alarm correlation [J].LectureNotesinComputerScience, 2002, 2516: 95-114. DOI:10.1007/3-540-36084-0_6.

[2]房沛榮,唐剛,程曉妮.WPA/WPA2協(xié)議安全性分析[J].軟件,2014,35(8):42-45. DOI:10.3969/j.issn.1003-6970.2014.08.009.

Fang Peirong, Tang Gang, Cheng Xiaoni. Safety analysis of the WPA/WPA2 protocol [J].Software, 2014, 35(8): 42-45. DOI:10.3969/j.issn.1003-6970.2014.08.009. (in Chinese)

[3]姜偉,方濱興,田志宏,等.基于攻防博弈模型的網(wǎng)絡(luò)安全測評和最優(yōu)主動(dòng)防御[J].計(jì)算機(jī)學(xué)報(bào),2009,32(4):817-827. DOI:10.3724/SP.J.1016.2009.00817.

Jiang Wei, Fang Binxing, Tian Zhihong, et al. Evaluating network security and optimal active defense based on attack-defense game model [J].ChineseJournalofComputers, 2009, 32(4): 817-827. DOI: 10.3724/SP.J.1016.2009.00817.(in Chinese)

[4]Li Q M, Li J. Rough outlier detection based security risk analysis methodology [J].ChinaCommunication, 2012, 9(7): 14-21.

[5]吳茜媛,鄭慶華,王萍.一種可擴(kuò)展的網(wǎng)絡(luò)用戶行為日志獲取方法[J].軟件,2014,35(10):21-25. DOI:10.3969/j.issn.1003-6970.2014.10.004.

Wu Xiyuan, Zheng Qinghua, Wang Ping. A scalable approach on collecting web user behavior log[J].Software, 2014, 35(10): 21-25. DOI:10.3969/j.issn.1003-6970.2014.10.004.(in Chinese)

[6]Phillips C, Swiler L P. A graph-based system for network-vulnerability analysis[C]//Proceedingsofthe1998WorkshoponNewSecurityParadigms. New York: ACM,1998: 71-79. DOI:10.1145/310889.310919.

[7]Boyer S, Dain O, Cunningham R. Stellar: A fusion system for scenario construction and security risk assessment[C]//ThirdIEEEInternationalWorkshoponInformationAssurance. IEEE, 2015: 105-116. DOI:10.1109/iwia.2005.16.

[8]Gehani A. Support for automated passive host-based intrusion response[D]. Durham, NC, USA: Department of Computer Science, Duke University, 2013.

[9]Hariri S, Qu G Z, Dharmagadda T, et al. Impact analysis of faults and attacks in large-scale networks[J].IEEESecurity&Privacy, 2013, 1(5): 49-54. DOI:10.1109/msecp.2003.1236235.

[10]Wyss G D, Schriner H K, Gaylor T R. Probabilistic logic modeling of network reliability for hybrid network architectures[C]//Proceedingsofthe21stIEEEConferenceonLocalComputerNetworks. Minneapolis, MN, USA, 1996: 404-413. DOI:10.1109/lcn.1996.558169.

Network risk assessment method based on attack-defense graph model

Zhou Wei1Zhang Hong1Li Bohan2

(1School of Computer Science and Engineering, Nanjing University of Science and Technology, Nanjing 210094, China)(2School of Computer Science and Technology, Nanjing University of Aeronautics and Astronautics, Nanjing 211106, China)

Using the bottom-up analysis method, a hierarchical network security risk assessment framework is proposed. The framework includes two parts: vulnerability risk and attack security risk. In accordance with the framework, the network security risk is assessed layer by layer in terms of the network hierarchy. On this basis, the vulnerability reputation in attack-defense graph is further put forward in order to evaluate the reliability of each node. Combining results from various vulnerability scanning tools, a network risk assessment method based on attack-defense graph model is explored. Through computing the reputation of single vulnerable node, with vulnerability and attack hazard indices, the vulnerability and attack security risks of a node are calculated and then applied to assess the security risk value of single node. Moreover, with weights of nodes, the security risk of the whole network is scored. Experimental results show that the proposed method can reasonably evaluate the network risk.

information network; risk assessment; attack-defense graph

10.3969/j.issn.1001-0505.2016.04.003

2016-01-15.作者簡介: 周未(1979—),男,博士生;張宏(聯(lián)系人),男,博士,教授,博士生導(dǎo)師,zhhong@mail.njust.edu.cn.

10.3969/j.issn.1001-0505.2016.04.003.

TP391.41

A

1001-0505(2016)04-0688-07

引用本文: 周未,張宏,李博涵.基于攻防狀態(tài)圖模型的網(wǎng)絡(luò)風(fēng)險(xiǎn)評估方法[J].東南大學(xué)學(xué)報(bào)(自然科學(xué)版),2016,46(4):688-694.