李立勛，張斌，董書琴

?

網(wǎng)絡(luò)動態(tài)防御體系下主機安全威脅分析方法

李立勛1,2，張斌1,2，董書琴1,2

（1. 信息工程大學，河南 鄭州 450001； 2. 河南省信息安全重點實驗室，河南 鄭州 450001）

分析網(wǎng)絡(luò)動態(tài)防御體系下的主機安全威脅必須考慮動態(tài)變換給主機脆弱性造成的不確定性。為此，首先，利用隨機抽樣模型對網(wǎng)絡(luò)動態(tài)防御變換周期和變換空間給主機脆弱性造成的不確定性進行量化，并結(jié)合通用漏洞評分系統(tǒng)CVSS (common vulnerability scoring system)計算入侵者針對單個脆弱性的入侵成功概率；其次，為避免多脆弱性情況下的入侵路徑搜索過程出現(xiàn)自環(huán)，引入節(jié)點訪問隊列并提出改進的遞歸深度優(yōu)先入侵路徑搜索算法；然后基于求得的脆弱性入侵成功概率計算多脆弱性多入侵路徑情況下的主機安全威脅度；最后，在典型網(wǎng)絡(luò)動態(tài)防御環(huán)境中進行實驗，驗證了方法的可用性和有效性。

網(wǎng)絡(luò)安全；網(wǎng)絡(luò)動態(tài)防御；主機安全威脅分析；入侵成功概率；入侵者權(quán)限轉(zhuǎn)移圖

1 引言

網(wǎng)絡(luò)動態(tài)防御（NDD, network dynamic defense）技術(shù)通過對安全目標及其對外呈現(xiàn)形式實施空間和時間上的動態(tài)變化來降低信息系統(tǒng)確定性、靜態(tài)性和同構(gòu)性，增大入侵者探測、利用主機脆弱性和維持已有滲透成果的成本和難度，進而降低入侵成功概率[1,2]。分析NDD體系下主機面臨的安全威脅有助于準確掌握主機安全狀態(tài)并合理制訂更為有效的NDD策略。

目前，通常從脆弱性利用角度剖析主機面臨的安全威脅[3]。傳統(tǒng)靜態(tài)網(wǎng)絡(luò)體系下主機脆弱性保持不變，可結(jié)合脆弱性的CVSS量化值計算主機安全威脅。然而在NDD體系下，主機脆弱性會由于NDD變換周期和變換空間的動態(tài)變換而呈現(xiàn)不確定性，此時基于主機脆弱性實施安全威脅分析需要解決2個問題：1) 量化NDD技術(shù)的變換周期和變換空間給單個主機脆弱性造成的不確定性；2) 量化NDD體系中多脆弱性和多入侵路徑對主機安全威脅造成的影響。

針對問題1)，文獻[4,5]提出基于隨機抽樣的方法，利用隨機抽樣模型對網(wǎng)絡(luò)入侵過程建模，可用于量化變換周期和變換空間給主機脆弱性造成的不確定性，但是其方法只適用于分析主機僅存在單個脆弱性的情況。針對問題2)，文獻[6~8]提出基于圖論的方法，利用有向圖對NDD體系下入侵者狀態(tài)轉(zhuǎn)移過程以及攻擊步驟間的依賴關(guān)系進行建模，計算入侵成功概率和攻擊成本，此類方法可分析NDD體系存在多個脆弱性時主機面臨的安全威脅，但是其主要關(guān)注變換周期對安全威脅的影響，未同時考慮變換空間因素。

本文首先利用隨機抽樣模型量化NDD技術(shù)的變換周期和變換空間給主機脆弱性造成的不確定性，并結(jié)合CVSS量化值計算入侵者利用單個脆弱性實施入侵時的入侵成功概率；然后構(gòu)建入侵者權(quán)限轉(zhuǎn)移圖用以搜索入侵者利用多個脆弱性實施入侵時的潛在入侵路徑；最后定義主機安全威脅度，并提出在多脆弱性多入侵路徑情況下利用入侵成功概率計算主機安全威脅度的方法。

2 單脆弱性入侵成功概率

NDD機制實施動態(tài)變換的對象包括硬件平臺、軟件版本、服務(wù)端口等，而變換時機包括隨機變換、定時變換和驅(qū)動性變換[1]。因此，為刻畫NDD機制的變換對象、變換時機與主機脆弱性的關(guān)系，給出NDD體系下的主機脆弱性定義如下。

3 多脆弱性入侵路徑

3.1 入侵者權(quán)限轉(zhuǎn)移圖

下面根據(jù)入侵者初始權(quán)限、連接關(guān)系和脆弱性權(quán)限構(gòu)造入侵者權(quán)限轉(zhuǎn)移圖。

else

3.2 入侵路徑搜索

算法2 IDFPS算法

else

end while

4 主機安全威脅度

文獻[3]將脆弱性利用威脅度定義為從攻擊圖到區(qū)間[0,1]的映射，入侵者達成脆弱性利用目標成功率越大，脆弱性利用威脅度越大，反之越小。本文對該定義進行擴展，定義主機安全威脅度，并給出計算方法。

在單條路徑上，通過任意一種方法入侵成功均可視作通過該路徑入侵成功，所以該路徑的入侵成功概率為

5 實驗測試與分析

5.1 環(huán)境設(shè)置

搭建如圖1所示的網(wǎng)絡(luò)環(huán)境，其中，企業(yè)網(wǎng)根據(jù)防火墻安全規(guī)則分為內(nèi)網(wǎng)辦公區(qū)和DMZ區(qū)。內(nèi)網(wǎng)辦公區(qū)設(shè)置1臺數(shù)據(jù)庫服務(wù)器和1臺辦公主機，模擬正常辦公環(huán)境。DMZ區(qū)設(shè)置1臺Web服務(wù)器和1臺郵件服務(wù)器。攻擊者主機位于外部網(wǎng)絡(luò)，可通過Internet對企業(yè)網(wǎng)進行入侵。各主機脆弱性見表1。

表1中Telnet弱口令沒有對應(yīng)的CVE編號，但是根據(jù)CVSS標準，該脆弱性可以導致遠程獲取目標主機最高權(quán)限，且攻擊復雜度低，故將其利用成功概率定為0.8。

圖1 實驗網(wǎng)絡(luò)拓撲

表1 主機脆弱性

分別在Server1上應(yīng)用Web服務(wù)多態(tài)化[10]技術(shù)、Server3上應(yīng)用數(shù)據(jù)庫接口隨機化[11]技術(shù)、Switch2上應(yīng)用MTD-switch[12]技術(shù)用以構(gòu)建NDD環(huán)境。其中

5.2 主機安全威脅分析

由表2可知如下結(jié)論。

1) 在未采取任何防御措施時，入侵者可通過9條入侵路徑，共16種入侵方法對Host實施入侵。雖然單個入侵方法的入侵成功概率均在0.3以下，但是主機安全威脅度卻高達0.946 37。此時該網(wǎng)絡(luò)中脆弱性總數(shù)僅為8，然而在實際網(wǎng)絡(luò)環(huán)境中，由于0day漏洞等的存在，實際脆弱性數(shù)目將更多。因此，在未采取防御措施時，Host面臨極大的安全威脅。

2) 數(shù)據(jù)庫接口隨機化降低了入侵者對脆弱性5的探測成功概率，但是因為只作用于Server3的數(shù)據(jù)庫服務(wù)，所以該技術(shù)對其他脆弱性的探測成功概率并沒有影響，進而未明顯降低Host的安全威脅。與無防御措施時相比，Host的安全威脅降低幅度僅為1.5%。

3) Web服務(wù)多態(tài)化減小了脆弱性1和2的暴露時間，增加了主機脆弱性的不確定性。與數(shù)據(jù)庫接口隨機化相比，因為同時降低了2個脆弱性的探測成功概率，所以取得了更好的防御效果。與無防御措施相比，Host的安全威脅降低幅度為9.3%。

圖2 入侵者權(quán)限轉(zhuǎn)移圖APTG

表2 入侵成功概率和主機安全威脅

4) 與數(shù)據(jù)庫接口隨機化和Web服務(wù)多態(tài)化相比，Host在MTD-switch保護下的安全威脅降低為0.686 4。這是因為該技術(shù)部署于內(nèi)網(wǎng)辦公區(qū)，通過同時動態(tài)變換Server3和Host的IP地址，增加了脆弱性4、5、6、7、8的不確定性，所以取得了更為顯著的防御效果。與無防御措施相比，主機安全威脅降低幅度為27.5%。

5) 若同時部署3類NDD方案，會進一步將Host面臨的安全威脅降低至0.515 68，與無防御措施相比，降低幅度為45.5%。

6 結(jié)束語

本文提出一種NDD體系的主機安全威脅分析方法，可用于分析NDD體系中多脆弱性多入侵路徑情況下主機面臨的安全威脅。首先利用隨機抽樣模型對動態(tài)變換給主機脆弱性造成的不確定性進行量化，并給出入侵者針對單個脆弱性的入侵成功概率計算方法；然后提出改進的遞歸深度優(yōu)先入侵路徑搜索算法以避免路徑搜索過程中出現(xiàn)自環(huán)；最后基于脆弱性入侵成功概率計算多脆弱性多入侵路徑情況下的主機安全威脅。實驗結(jié)果表明，所提方法可適用于多種類型NDD技術(shù)防護下的主機安全威脅分析。未來將繼續(xù)研究如何根據(jù)主機安全威脅分析結(jié)果制訂最優(yōu)NDD策略。

[1] 蔡桂林, 王寶生, 王天佐, 等. 移動目標防御技術(shù)研究進展[J]. 計算機研究與發(fā)展, 2016, 53(5):968-987.

CAI G L, WANG B S, WANG T Z, et al. Research and development of moving target defense technology[J]. Journal of Computer Research and Development, 2016, 53(5):968-987.

[2] 楊林, 于全. 動態(tài)賦能網(wǎng)絡(luò)空間防御[M].北京：人民郵電出版社, 2016.

YANG L, YU Q. Dynamically-enabled cyber defense[M]. Beijing: Post & Telecom Press, 2016.

[3] 吳迪, 連一峰, 陳愷, 等. 一種基于攻擊圖的安全威脅識別和分析方法[J]. 計算機學報, 2012, 35(9):1938-1950.

WU D, LIAN Y F, CHEN K, et al. A security threats identification and analysis method based on attack graph[J]. Chinese Journal of Computers, 2012, 35(9):1938-1950.

[4] CARROLL T E, CROUSE M, FULP E W, et al. Analysis of network address shuffling as a moving target defense[C]// IEEE International Conference on Communications. 2014:701-706.

[5] LUO Y B, WANG B S, CAI G L. Effectiveness of port hopping as a moving target defense[C]// International Conference on Security Technology. 2014:7-10.

[6] HAMLET J R, LAMB C C. Dependency graph analysis and moving target defense selection[C]// ACM Workshop on Moving Target Defense. 2016:105-116.

[7] 雷程, 馬多賀, 張紅旗, 等. 基于變點檢測的網(wǎng)絡(luò)移動目標防御效能評估方法[J]. 通信學報, 2017, 38(1):126-140.

LEI C, MA D H, ZHANG H Q, et, al. Performance assessment approach based on change-point detection for network moving target defense[J]. Journal on Communications, 2017, 38(1):126-140.

[8] ZHUANG R, DELOACH S A, OU X. A model for analyzing the effect of moving target defenses on enterprise networks[C]// Cyber and Information Security Research Conference. 2014:73-76.

[9] 陳鋒, 張怡, 蘇金樹,等. 攻擊圖的兩種形式化分析[J]. 軟件學報, 2010, 21(4):838-848.

CHEN F, ZHANG Y, SU J S, et al. Two formal analyses of attack graphs[J]. Journal of Software, 2010, 21(4):838-848.

[10] YIH H, ANUP K G. Introducing diversity and uncertainty to create moving attack surfaces for Web services[M]// Moving Target Defense. Springer, 2011:131-151.

[11] CHRISTODORESCU M, FREDRIKSON M, JHA S, et al. End-to-end software diversification of internet services[M]// Moving Target Defense. Springer, 2011:117-130.

[12] 崔臣浩, 祝躍飛, 李偉, 等. 基于移動目標防御的內(nèi)網(wǎng)防滲透技術(shù)研究[J]. 計算機應(yīng)用研究, 2016, 33(4):1141-1144.

CUI C H, ZHU Y F, LI W, et al. Research on inner network permeating prevention based on moving target defense[J]. Application Research of Computers, 2016, 33(4):1141-1144.

Host security threat analysis approach for network dynamic defense

LI Lixun1,2, ZHANG Bin1,2, DONG Shuqin1,2

1. Information Engineering University, Zhengzhou 450001, China 2. Henan Province Information Security Key Laboratory, Zhengzhou 450001, China

Calculating the host security threat in network dynamic defense (NDD) situation has to consider the vulnerabilities’ uncertainty because of dynamic mutation. Firstly, the vulnerabilities’ uncertainty caused by the mutation space and the mutation period was calculated by random sampling model, and combined with the CVSS, the attack success probability formula of single vulnerability was derived. Secondly, to avoid self-loop during the path searching process in multiple vulnerabilities situation, an improved recursive depth first algorithm which combined with node visited queue was proposed. Then, the host security threat was calculated based on attack success probability in the situation of multiple vulnerabilities and paths. Finally, approach’s availability and effectiveness were verified by an experiment conducted in a typical NDD situation.

cyber security, network dynamic defense, host security threat analysis, attack success probability, attacker privilege transfer graph

TP393

A

10.11959/j.issn.2096-109x.2018031

2018-03-02；

2018-03-28

李立勛，lilixun_1994@126.com

河南省基礎(chǔ)與前沿技術(shù)研究計劃基金資助項目（No. 2014302903）；信息保障技術(shù)重點實驗室開放基金資助項目（No. KJ-15-109）；信息工程大學新興科研方向培育基金資助項目（No. 2016604703）

李立勛（1994-），男，四川都江堰人，信息工程大學碩士生，主要研究方向為動態(tài)目標防御。

張斌（1969-），男，河南鄭州人，信息工程大學教授、博士生導師，主要研究方向為網(wǎng)絡(luò)空間安全。

董書琴（1990-），男，河北邢臺人，信息工程大學博士生，主要研究方向為網(wǎng)絡(luò)空間態(tài)勢感知。

The Foundation and Frontier Technology Research Project of Henan Province (No. 2014302903), Information Protection Technology Key Laboratory Open Fund Project (No. KJ-15-109), New Research Direction Cultivation Fund of Information Engineering University(No. 2016604703)