基于模糊層次分析法的攻擊樹模型

呂宗平，戚 威,2+，顧兆軍,2

(1.中國民航大學(xué) 信息安全測評中心，天津 300300；2.中國民航大學(xué) 計算機(jī)科學(xué)與技術(shù)學(xué)院，天津 300300)

0 引 言

攻擊樹模型是Schneier提出的一種圖形化的風(fēng)險分析建模方法。攻擊樹使用樹狀結(jié)構(gòu)描述針對于某個系統(tǒng)的各種攻擊行為，是一種基于攻擊的、形式化分析系統(tǒng)和子系統(tǒng)安全風(fēng)險的方法，在當(dāng)前有關(guān)的安全分析技術(shù)領(lǐng)域中被廣泛應(yīng)用[1-4]。傳統(tǒng)的攻擊樹模型只能對系統(tǒng)風(fēng)險進(jìn)行定性的評估，難以量化。基于此，眾多國內(nèi)外學(xué)者采用不同方法改良攻擊樹模型。張凱倫等[5]結(jié)合攻擊樹模型評估了WAMS通信系統(tǒng)的脆弱性，通過提出脆弱性靈敏度指標(biāo)，能夠定量分析出終端服務(wù)器脆弱性狀況對系統(tǒng)整體脆弱性的影響，但該方法在計算葉節(jié)點脆弱性時未給出漏洞權(quán)值的計算方式。李慧等[6]利用攻擊樹模型對數(shù)傳電臺傳輸安全性進(jìn)行了評估，然而在計算葉節(jié)點概率時并沒有給出安全屬性權(quán)值的計算公式，而是直接賦予一組特定值，該方法主觀性較強(qiáng)，不夠?qū)嶋H。黃慧萍等[7]采用攻擊樹模型對工控系統(tǒng)進(jìn)行建模，通過結(jié)合概率風(fēng)險評估技術(shù)計算出了各葉節(jié)點和攻擊序列的發(fā)生概率，但是該方法并沒有給出安全屬性權(quán)值的計算方法。陳燕紅等[8]通過擴(kuò)展改造攻擊樹的節(jié)點信息，兼顧了不同層次目標(biāo)節(jié)點和葉節(jié)點權(quán)重、發(fā)生概率等的不同對模型的影響，最后對木馬程序加以識別判斷，該方法雖然列出了惡意性權(quán)值的計算公式，但并沒有給出具體的計算過程。何明亮等[9]采用層次分析法對傳統(tǒng)的攻擊樹模型加以改進(jìn)并對軍事信息系統(tǒng)進(jìn)行了威脅分析，該模型根據(jù)系統(tǒng)整體的特征結(jié)合層析分析法計算出了各安全屬性的權(quán)值，但該方法未充分考慮葉節(jié)點在安全屬性賦值時人的模糊性[10]，也未能充分考慮不同攻擊行為的特點對權(quán)重的影響，其對于判斷矩陣一致性的檢驗也不夠合理[11]。

針對上述研究現(xiàn)狀，本文采用模糊層次分析法(FAHP)對攻擊樹模型進(jìn)行改進(jìn)，計算葉節(jié)點安全屬性權(quán)值時構(gòu)造模糊一致判斷矩陣，在盡可能消除人的主觀性因素的同時考慮不同攻擊行為對安全屬性權(quán)值的影響，進(jìn)而較為實際、合理地計算出權(quán)值向量?；谀：龑哟畏治龇ǖ墓魳淠Ｐ湍苓M(jìn)一步提高風(fēng)險分析的科學(xué)性和準(zhǔn)確性。

1 攻擊樹模型基本概念

攻擊樹是多層的樹形結(jié)構(gòu)，包括了根節(jié)點、非葉節(jié)點、葉節(jié)點。在一棵攻擊樹中，樹的根節(jié)點表示攻擊者最終要實現(xiàn)的攻擊目標(biāo)；非葉節(jié)點表示要實現(xiàn)最終目標(biāo)須完成的中間步驟；葉節(jié)點表示具體的攻擊行為和方法。攻擊樹的每一條分支表示為達(dá)到最終目標(biāo)可能采取的一條路徑。攻擊樹的節(jié)點之間具有以下3種關(guān)系：“或(OR)”關(guān)系、“與(AND)”關(guān)系、“順序與(SAND)”關(guān)系。“或(OR)”關(guān)系表示任意子節(jié)點的攻擊目標(biāo)被實現(xiàn)，其父節(jié)點的目標(biāo)也會實現(xiàn)；“與(AND)”關(guān)系表示所有子節(jié)點的攻擊目標(biāo)被實現(xiàn)，其父節(jié)點的目標(biāo)才會實現(xiàn)；“順序與(SAND)”關(guān)系表示所有子節(jié)點的攻擊目標(biāo)按順序?qū)崿F(xiàn)，其父節(jié)點的目標(biāo)才會實現(xiàn)。如圖1所示為攻擊樹模型中的節(jié)點關(guān)系。

圖1 攻擊樹節(jié)點關(guān)系

一棵攻擊樹的構(gòu)建需要從發(fā)生的某項安全事件反向推理。首先由相關(guān)的技術(shù)人員對系統(tǒng)進(jìn)行細(xì)致分析，將攻擊事件中最終的攻擊目標(biāo)作為攻擊樹的根節(jié)點，將根節(jié)點實現(xiàn)所須完成的中間步驟作為其子節(jié)點并且用圖1所示的節(jié)點關(guān)系表示，隨后使用相同的方法對每個子節(jié)點進(jìn)行擴(kuò)展，直到無法繼續(xù)擴(kuò)展，不能繼續(xù)擴(kuò)展的葉節(jié)點代表具體的攻擊行為和方法。

本文利用攻擊樹模型和模糊層次分析法對系統(tǒng)進(jìn)行風(fēng)險分析的流程如圖2所示。

圖2 基于模糊層次分析法的攻擊樹模型風(fēng)險分析流程

2 基于模糊層次分析法的攻擊樹模型

在對系統(tǒng)進(jìn)行風(fēng)險分析的過程中，系統(tǒng)發(fā)生風(fēng)險的概率往往會受到多方面因素的影響。例如一名攻擊者試圖攻擊飛機(jī)的機(jī)載娛樂系統(tǒng)，就需要考慮攻擊目標(biāo)過程中所需的成本、難度和被發(fā)現(xiàn)的可能性3個方面。然而，如果要精確計算出攻擊事件發(fā)生的概率，就需要結(jié)合具體的攻擊行為對這幾種安全屬性的權(quán)重進(jìn)行評判、量化。本文采用模糊層次分析法(FAHP)對各葉節(jié)點安全屬性的權(quán)值進(jìn)行定量計算，在盡可能消除評判過程中模糊性的同時兼顧了不同攻擊行為和系統(tǒng)自身的特點。

2.1 攻擊樹葉節(jié)點的指標(biāo)量化

為求得攻擊樹葉節(jié)點的實現(xiàn)概率，需要對葉節(jié)點賦予一定的指標(biāo)并進(jìn)行量化。本文采用與文獻(xiàn)[9]相同的方法對每個葉節(jié)點賦予3個安全屬性：攻擊成本、攻擊難度和攻擊被發(fā)現(xiàn)的可能性。計算葉節(jié)點實現(xiàn)概率的公式為

Pi=Wcost×Ucosti+Wdiff×Udiffi+Wdet×Udeti

(1)

式中：每一項的具體含義請參見文獻(xiàn)[9]。而對于3個安全屬性的效用值，本文采用如表1所示的等級評分標(biāo)準(zhǔn)對其進(jìn)行評估。實際應(yīng)用過程中，專家組需對每個葉節(jié)點的3個安全屬性分別進(jìn)行評判并給出它們的等級得分。

表1 等級評分標(biāo)準(zhǔn)

通過分析可知，葉節(jié)點安全屬性的效用值與其自身的等級得分成反比例關(guān)系，即對應(yīng)關(guān)系為Ux=c/x，其中c為常數(shù)。

2.2 計算安全屬性權(quán)值

計算葉節(jié)點實現(xiàn)概率的關(guān)鍵在于其安全屬性權(quán)值的確定。由于攻擊成本、攻擊難度和攻擊被發(fā)現(xiàn)的可能性這3個安全屬性的權(quán)值不盡相同，因此就需要結(jié)合葉節(jié)點自身所代表的攻擊行為對這3個安全屬性的權(quán)重進(jìn)行評判、比較、量化。下面采用FAHP來計算葉節(jié)點的安全屬性權(quán)值。

FAHP使用特定的尺度表對元素兩兩比較構(gòu)造出模糊判斷矩陣，再將不符合一致性的模糊判斷矩陣轉(zhuǎn)化為模糊一致判斷矩陣，最后利用模糊一致判斷矩陣求出各元素相對重要性的權(quán)值。本文使用0.1-0.9比較尺度表對元素進(jìn)行兩兩比較，見表2。

表2 比較尺度

根據(jù)上面的尺度表，即可得到模糊判斷矩陣R

使用如下的性質(zhì)對模糊判斷矩陣進(jìn)行一致性檢驗

(2)

采用最小二乘法對模糊一致判斷矩陣R′進(jìn)行歸一化處理，得到各安全屬性的權(quán)值向量Wi

(3)

(4)

對于屬性效用值Ux=c/x，由于常數(shù)c的值對葉節(jié)點實現(xiàn)概率無直接影響，因此本文為方便計算，取c=1。將Wi與Ux的值代入式(1)即可求得葉節(jié)點實現(xiàn)概率Pi。

2.3 計算根節(jié)點實現(xiàn)概率

根節(jié)點的實現(xiàn)概率代表一次完整攻擊事件的實現(xiàn)概率，計算根節(jié)點的實現(xiàn)概率需要對攻擊樹模型進(jìn)行自下而上的推理，先計算出攻擊樹每一層各個節(jié)點的實現(xiàn)概率，最后計算出根節(jié)點的實現(xiàn)概率。有以下3種情況：

(1)對于具有或(OR)關(guān)系的節(jié)點，其父節(jié)點的實現(xiàn)概率為各個子節(jié)點實現(xiàn)概率中的最大值

Pn=max{Pn1,Pn2,…,Pnn}

(5)

(2)對于具有與(AND)關(guān)系的節(jié)點，其父節(jié)點的實現(xiàn)概率為各個子節(jié)點的實現(xiàn)概率之積

Pn=Pn1×Pn2×…×Pnn

(6)

(3)對于具有順序與(SAND)關(guān)系的節(jié)點，其父節(jié)點的實現(xiàn)概率可以表示為

Pn=Pn1×P(n2|n1)×P(n3|n1n2)×…×P(nn|n1n2…nn)

(7)

2.4 計算攻擊序列實現(xiàn)概率

攻擊序列表示一組攻擊行為的集合，即攻擊樹中一組葉節(jié)點的集合。當(dāng)這些葉節(jié)點所代表的攻擊行為被實現(xiàn)，攻擊樹根節(jié)點就會被實現(xiàn)，也就完成了一次攻擊事件。一個攻擊序列可以表示為：Si=(N1,N2,…,Nn)，其實現(xiàn)概率為

PSi=PN1×PN2×…×PNn

(8)

3 案例分析

本章采用上述方法對民航機(jī)載娛樂系統(tǒng)進(jìn)行風(fēng)險分析。

3.1 機(jī)載娛樂系統(tǒng)

機(jī)載娛樂系統(tǒng)(IFE)是航空公司為滿足乘客娛樂需求而配備在飛機(jī)客艙中的一種信息系統(tǒng)，它能為乘客提供包括音頻、視頻、WiFi等在內(nèi)的多種娛樂方式，也是飛機(jī)上最開放且直接面向普通乘客的信息系統(tǒng)。近年來，隨著民航客機(jī)電子化水平的不斷提高，機(jī)載娛樂系統(tǒng)逐步脫離了封閉的客艙網(wǎng)絡(luò)環(huán)境，在技術(shù)、功能等各個方面均發(fā)生了變化，甚至可以連接處于客艙外部的互聯(lián)網(wǎng)。這些信息化技術(shù)的運用也為飛機(jī)的飛行安全帶來了新的威脅，如果不法分子利用機(jī)載娛樂系統(tǒng)在設(shè)計、實現(xiàn)、配置、部署等各個環(huán)節(jié)的漏洞對系統(tǒng)發(fā)起攻擊，將可能導(dǎo)致飛機(jī)被劫持等嚴(yán)重的航空安全事件的發(fā)生。圖3是一種機(jī)載娛樂系統(tǒng)的網(wǎng)絡(luò)示意圖。

圖3 機(jī)載娛樂系統(tǒng)網(wǎng)絡(luò)拓?fù)?/p>

3.2 對機(jī)載娛樂系統(tǒng)進(jìn)行風(fēng)險分析

機(jī)載娛樂系統(tǒng)當(dāng)中，機(jī)載娛樂服務(wù)器是最核心的資產(chǎn)。由于機(jī)載娛樂系統(tǒng)通過總線控制單元與飛機(jī)其它系統(tǒng)產(chǎn)生交聯(lián)，因此一旦機(jī)載娛樂服務(wù)器被入侵，攻擊者就有可能向飛機(jī)其它信息系統(tǒng)橫向滲透，這也是最嚴(yán)重的攻擊行為。本文以獲取機(jī)載娛樂服務(wù)器訪問權(quán)限為例構(gòu)造攻擊樹模型。

獲取機(jī)載娛樂服務(wù)器訪問權(quán)限有以下幾種方式：①通過客艙座椅顯示單元進(jìn)行攻擊；②通過機(jī)組控制面板進(jìn)行攻擊；③通過機(jī)載無線網(wǎng)絡(luò)管理終端進(jìn)行攻擊；④通過接入客艙無線網(wǎng)絡(luò)進(jìn)行攻擊等。圖4為獲取機(jī)載娛樂服務(wù)器訪問權(quán)限的攻擊樹模型，表3為該攻擊樹根節(jié)點、非葉節(jié)點、葉節(jié)點所代表的含義。

圖4 獲取機(jī)載娛樂服務(wù)器訪問權(quán)限的攻擊樹模型

節(jié)點符號含義G獲取機(jī)載娛樂服務(wù)器訪問權(quán)限M1通過客艙座椅顯示單元進(jìn)行攻擊M2通過機(jī)組控制面板進(jìn)行攻擊M3通過無線管理終端進(jìn)行攻擊M4接入客艙無線網(wǎng)絡(luò)進(jìn)行攻擊M5獲取管理員賬戶口令M6獲取管理員賬戶口令E1利用應(yīng)用程序漏洞執(zhí)行系統(tǒng)命令E2利用應(yīng)用程序漏洞執(zhí)行系統(tǒng)命令E3利用應(yīng)用程序漏洞執(zhí)行系統(tǒng)命令E4對網(wǎng)絡(luò)進(jìn)行掃描探測E5暴力破解E6社會工程學(xué)攻擊E7暴力破解E8社會工程學(xué)攻擊

運用表1所示的等級評分標(biāo)準(zhǔn)對該攻擊樹中各葉節(jié)點的安全屬性值進(jìn)行打分，結(jié)果見表4。

表4 各葉節(jié)點屬性得分

采用模糊層次分析法對每個葉節(jié)點的安全屬性權(quán)重進(jìn)行評判、比較，得到它們的模糊判斷矩陣

不滿足一致性條件的模糊判斷矩陣使用式(2)轉(zhuǎn)換為模糊一致判斷矩陣，隨后根據(jù)式(4)計算得到所有葉節(jié)點的安全屬性權(quán)重向量為

i=1,2…,8.

將上述各值代入式(1)，得出各葉節(jié)點代表的攻擊行為實現(xiàn)概率，結(jié)果見表5。

表5 各葉節(jié)點實現(xiàn)概率

基于表5的數(shù)據(jù)，利用式(5)計算攻擊樹根節(jié)點的實現(xiàn)概率為PG=0.470。

由于該攻擊樹模型中只有“或(OR)”關(guān)系節(jié)點，因此每個葉節(jié)點即代表一組攻擊序列，共有8組：S1=(E1)，S2=(E2)，S3=(E3)，S4=(E4)，S5=(E5)，S6=(E6)，S7=(E7)，S8=(E8)。根據(jù)式(8)得到這8組攻擊序列的實現(xiàn)概率見表6。

表6 各攻擊序列實現(xiàn)概率

由表6可知，在獲取機(jī)載娛樂服務(wù)器訪問權(quán)限的攻擊樹模型中，攻擊序列S4和S1實現(xiàn)的概率較大，因此攻擊者極有可能通過客艙座椅顯示單元和客艙無線網(wǎng)絡(luò)對機(jī)載娛樂服務(wù)器發(fā)起攻擊，在制定機(jī)載網(wǎng)絡(luò)安保方案時應(yīng)給予重點關(guān)注。

3.3 對比分析

為驗證本文方法較文獻(xiàn)[9]的方法有較高的可信度，采用文獻(xiàn)[9]的方法同樣對機(jī)載娛樂系統(tǒng)進(jìn)行風(fēng)險分析。計算出攻擊樹各葉節(jié)點的實現(xiàn)概率和攻擊序列的實現(xiàn)概率，分別見表7、表8。

表7 各葉節(jié)點實現(xiàn)概率

表8 各攻擊序列實現(xiàn)概率

可以看出，利用文獻(xiàn)[9]的方法計算出的結(jié)果雖能找到可能性最高的攻擊行為和攻擊序列，但沒有考慮到系統(tǒng)的實際情況。例如攻擊序列S5和S7由于采用的攻擊方式被發(fā)現(xiàn)的可能性非常高，其實現(xiàn)概率應(yīng)當(dāng)較低，而表8中出現(xiàn)偏高的情況。同時，因該方法在確定葉節(jié)點安全屬性權(quán)值時人為的指定了攻擊成本、攻擊難度和攻擊被發(fā)現(xiàn)的可能性這3個安全屬性重要性的高低，具有較強(qiáng)的主觀性的因素，也未考慮不同攻擊行為對安全屬性權(quán)重的影響，這使得計算出的各葉節(jié)點實現(xiàn)概率和攻擊序列實現(xiàn)概率總體偏高，導(dǎo)致其結(jié)果可信度降低。

采用表6和表8的數(shù)據(jù)繪制出本文方法和文獻(xiàn)[9]方法的結(jié)果對比如圖5所示。綜合對比可知，本文提出的方法兼顧了系統(tǒng)自身和葉節(jié)點攻擊行為的特點，計算出的葉節(jié)點實現(xiàn)概率和攻擊序列實現(xiàn)概率總體呈現(xiàn)出平穩(wěn)的態(tài)勢，實現(xiàn)可能性較大的攻擊行為和攻擊序列均能被清晰反映出來，具備了較高的可信度，能真實反映出機(jī)載娛樂系統(tǒng)所面臨的風(fēng)險狀況。

圖5 本文方法與文獻(xiàn)[9]方法結(jié)果對比

4 結(jié)束語

本文研究了一種基于模糊層次分析法(FAHP)的攻擊樹模型，通過結(jié)合不同的攻擊行為構(gòu)造模糊一致判斷矩陣對攻擊樹各個葉節(jié)點的屬性權(quán)重進(jìn)行評判比較，在盡可能消除主觀性因素的同時保證了結(jié)果的高可信度。本方法能考慮到被評估系統(tǒng)的實際情況，計算出的攻擊事件實現(xiàn)概率也更加真實，能夠?qū)π畔⑾到y(tǒng)網(wǎng)絡(luò)安保方案的制定起到很大的幫助作用。但由于葉節(jié)點安全屬性值采用了專家打分的方法，本方法依然無法完全擺脫主觀因素的影響，下一步的工作重點是研究如何客觀地確定葉節(jié)點安全屬性值。例如針對不同的信息系統(tǒng)可以采取滲透測試、系統(tǒng)日志數(shù)據(jù)分析的方式確定攻擊行為的安全屬性值，以此來降低對攻擊事件實現(xiàn)概率的影響。

參考文獻(xiàn)：

[1]Peters W,Davarynejad M.Calculating adversarial risk from attack trees:Control strength and probabilistic attackers[M]//Data Privacy Managment,Autonomous Spontaneous Security,and Security Assurance.Springer,2015:201-215.

[2]Gadyatskaya O,Jhawar R,Kordy P,et al.Attack trees for practical security assessment:Ranking of attack scenarious with ADTool 2.0[M]//Quantitative Evaluation of Systems.Springer,2016,91(3):448-456.

[3]ZHAO Shuai.Research on attack tree based on Android malware detection with hybird analysis[D].Tianjin:Tianjin University,2014(in Chinese).[趙帥.基于攻擊樹的Android惡意軟件混合檢測方法研究[D].天津:天津大學(xué),2014.]

[4]JIA Wei.Research and implementation of WLAN attack effect evluvation[D].Beijing:Beijing University of Posts and Telecommunications,2015(in Chinese).[賈薇.無線局域網(wǎng)攻擊效果評估技術(shù)研究與實現(xiàn)[D].北京:北京郵電大學(xué),2015.]

[5]ZHANG Kailun,JIANG Quanyuan.Vulnerability assessment on WAMS communication system based on attack tree model[J].Power System Protection and Control,2013,41(7):116-122(in Chinese).[張凱倫,江全元.基于攻擊樹模型的WAMS通信系統(tǒng)脆弱性評估[J].電力系統(tǒng)保護(hù)與控制,2013,41(7):116-122.]

[6]LI Hui,ZHANG Ru,LIU Jianyi,et al.Safety assessment on digital radio transmission based on attack tree model[J].Ne-tinfo Security,2014(8):71-76(in Chinese).[李慧,張茹,劉建毅,等.基于攻擊樹模型的數(shù)傳電臺傳輸安全性評估[J].信息網(wǎng)絡(luò)安全,2014(8):71-76.]

[7]HUANG Huiping,XIAO Shide,MENG Xiangyin.Atack tree-based method for asesing cyber security risk of industrial control system[J].Aplication Research of Computers,2015,32(10):3032-3035(in Chinese).[黃慧萍,肖世德,孟祥印.基于攻擊樹的工業(yè)控制系統(tǒng)信息安全風(fēng)險評估[J].計算機(jī)應(yīng)用研究,2015,32(10):3032-3035.]

[8]CHEN Yanhong,OU Yuyi,LING Jie.An improved Trojans detection method based on extended attack tree model[J].Computer Applications and Softwares,2016,33(8):308-311(in Chinese).[陳燕紅,歐毓毅,凌捷.一種改進(jìn)的基于擴(kuò)展攻擊樹模型的木馬檢測方法[J].計算機(jī)應(yīng)用與軟件,2016,33(8):308-311.]

[9]HE Mingliang,CHEN Zemao,LONG Xiaodong.Improvement of attack tree model based on analytic hierarchy process[J].Application Research of Computers,2016,33(12):3755-3758(in Chinese).[何明亮,陳澤茂,龍小東.一種基于層次分析法的攻擊樹模型改進(jìn)[J].計算機(jī)應(yīng)用研究,2016,33(12):3755-3758.]

[10]ZHANG Li,PENG Jianfen,DU Yuge,et al.Information security risk assessment survey[J].Journal of Tsinghua University(Science and Technology),2012(10):1364-1369(in Chinese).[張利,彭建芬,杜宇鴿,等.信息安全風(fēng)險評估的綜合評估方法綜述[J].清華大學(xué)學(xué)報(自然科學(xué)版),2012(10):1364-1369.]

[11]JIANG Fan.Study on incosistency of fuzzy analytic hierarchy process[D].Beijing:North China Electric Power University,2015(in Chinese).[姜帆.模糊層次分析法不一致性問題研究[D].北京:華北電力大學(xué),2015.]