基于攻擊圖的表述性狀態傳遞安全分析與評估

張游杰，張清萍，吳 偉，師 哲

(1.中國電子科技集團公司第三十三研究所中電科華北網絡信息安全有限公司，太原030032;2.南京郵電大學計算機及軟件學院，南京210023)

(*通信作者電子郵箱zyoujie@163.com)

0 引言

表述性狀態傳遞(REpresentationalStateTransfer，REST)，是一組針對網絡應用的架構約束條件和原則，最初由Fielding［1］提出，主要用于基于網絡應用的架構設計，可以降低開發的復雜性，提高系統的可伸縮性。在目前主流的Web服務實現方案中，由于REST模式相比簡單對象訪問協議(Simple Object Access Protocol，SOAP)和可擴展標記語言(eXtensible Markup Language，XML)遠程過程調用(XML Remote Procedure Call，XML-RPC)更加簡潔，越來越多的Web服務采用了REST架構［2］。

然而，由于REST本身的安全機制不夠完善，導致基于REST架構的Web服務面臨各種信息安全問題的考驗，如身份認證、信息篡改、重放攻擊、資源訪問、腳本注入等攻擊都可能對其構成威脅［3－6］。

文獻［3－6］對 REST的安全性進行了分析，并提出了針對REST的安全策略和安全模型，其主要方法是加強通信過程中的安全性，如通過身份認證、授權檢測等手段保障消息傳輸過程的安全。但是這些策略和模型未能給出量化評估指標，對實際環境中Web服務的安全評估指導性不強。為此，本文在現有REST架構安全研究的基礎上，提出了基于軟件攻擊圖模型的REST安全架構和評估模型。

1 REST架構攻擊圖模型構造

1.1 攻擊圖

攻擊圖是評價網絡系統安全的一種常見模型，用來描述從攻擊起始點到目標的所有攻擊路徑。它從攻擊者的角度出發，綜合分析所有配置信息和脆弱性信息，通過信息之間的全局依存關系，找出所有的可能攻擊路徑，并將其可視化，直觀展示目標網絡內各個脆弱性之間、脆弱性與網絡安全配置之間的關系以及所產生的潛在威脅。攻擊圖主要由攻擊狀態和攻擊行為組成［7－8］。

目前，國內外已有許多研究者對基于攻擊圖模型的網絡安全進行了研究［9－10］，并演變出很多類型，如文獻［11］提出了狀態攻擊圖和屬性攻擊圖。狀態攻擊圖顯式地展示了所有可能的攻擊路徑，但攻擊路徑會隨著目標規模和脆弱性數目的乘積呈指數增長，存在狀態爆炸問題，不適于大規模網絡;屬性攻擊圖能夠更緊湊地展示所有的攻擊路徑，但只能隱式地展示攻擊路徑，不便于直觀理解。

鑒于基于REST架構的Web服務規模有限，本文采用狀態攻擊圖來構建攻擊模型。

以圖3為例。源節點s需向目的節點t傳輸一個數據包,且傳輸時延要求為15 s。即在15 s內完成數據包的傳輸。圖3中的藍線表示從源節點s至目的節點t的HBSP路徑。假定這個路徑長度為100 m。

1.2 REST架構攻擊預測

本文研究的主要目標是REST架構安全模型，其所處環境(包括主機、操作系統、Web服務器、數據庫服務器及相關的支撐軟件等)的安全不在研究范圍之內。借用文獻［9］所采用的網絡入侵目標的可能性預測方法，基于REST架構的Web服務可能受到的攻擊以下幾種:

1)SQL注入攻擊。

蔣雯麗拍《幸福來拍門》，演80年代特立獨行的時尚女人江路，燙大波卷，穿束腰花裙子，滿身綿軟，靠在收發室的外墻打手機，講著講著，抬手，打了個哈欠。

客戶端向服務端提交特定格式的數據，如果服務端未對數據進行檢驗，而直接將數據用于構造結構化查詢語言(Structured Query Language，SQL)語句，攻擊者則可未經授權而訪問一些敏感信息，或對數據庫執行如update、insert、delete等敏感操作［12］，甚至可能取得系統管理權限。

2)跨站請求偽造(Cross-site Request Forgery，CSRF)攻擊。

The pair-matching procedure is eventually accomplished by repeatedly maximizing Eq.(39)forThereafter,the estimated centralazimuth and elevation DOAscan be expressed as

1)CSRF攻擊、網絡嗅探的難度大大增加，只存在理論上的可能，其對應的權重值可按表1中的L0級取值。但是，一旦攻擊成功，對系統保密性和完整性的破壞與圖1相同，因此其后續攻擊行為的權重值與圖1相同。

3)網絡嗅探攻擊。

在環境保護督察方面，問題主要表現在以下幾個方面：一是2016年1月以來，通過第一輪的督察，中央環境保護督察組形成了強大的震懾力。盡管如此，捂蓋子的事情在各地仍然杜絕不了，如浙江湖州隱瞞填埋死豬事件，就是在中央環境保護督察組的干預之下于2017年被揭開蓋子。有些地方把群眾舉報的案件說成是不屬實的比例太高，很多真相的暴露和責任的追究仍然依靠領導的重視和媒體的曝光。如何建立讓環境保護黨內法規、國家法律法規自動啟動和全天候運行的機制，是一個值得法學界、法律界深入研究的問題。二是環境保護督察的作用如何常態化，克服一陣風的缺陷，也是一個值得思考的問題。

如果采用了明文傳輸，攻擊者可以通過網絡嗅探的方式查看傳輸的信息。通過查看信息可能使其獲取敏感數據，也可能使攻擊者了解數據傳輸規則，進而使用SQL注入、CSRF等手段進行攻擊。

圖1中，攻擊者從“初始狀態”最多經過4步可到達“攻擊成功”，因此其攻擊可能性指標為V4(S0)，攻擊實現度指標為W4(S0)。將表2中的數據代入式(1)～(3)中，經迭代計算得出:

7)使用加密傳輸。

許多Web服務采用的是HTTP，在傳輸過程中可能會遭到HTTP劫持。攻擊者通過HTTP劫持，可以查看、篡改傳輸的信息。通過查看信息可能使其獲取敏感數據，也可能使攻擊者了解數據傳輸規則，進而使用SQL注入、CSRF等手段進行攻擊;通過篡改傳輸信息，可能實現信息欺騙、網站掛馬等攻擊。

5)重放攻擊［12］。

攻擊者發送大量重復的消息，超出服務器的處理能力，導致機器無法作出響應，甚至系統崩潰。

6)分布式拒絕服務攻擊(Distributed Denial of Service，DDoS)。

攻擊者操縱大量的主機對Web服務進行攻擊，消耗系統資源，使得其無法提供正常的服務。

7)特大型有效載荷攻擊［12］。

攻擊者構造一個足夠大的請求報文發送給服務器，使服務器對報文的解析、處理消耗大量的內存資源，甚至導致內存溢出。

8)未知漏洞攻擊。

在沒有時間同步機制的情況，網絡運行1小時后，簇頭和節點之間的最大累積誤差達到近25 ms，即每秒6.9 μs誤差。從圖8可以看出，單個節點與簇頭之間每隔兩分鐘的累積時鐘偏差維持在一個穩定的范圍內[14-16]。因此，節點可通過估算相對頻率偏差在槍聲事件發生后調整自身檢測時間。

圖1 中，橢圓用來表示攻擊狀態;有向邊用來表示攻擊行為;有向邊上括號中的數字為攻擊行為編號。為計算和論述方便，圖1相對實際的攻擊行為和攻擊狀態作了如下調整:

1.3 REST架構攻擊圖模型

根據對REST架構可能的攻擊，可建立攻擊圖模型，如圖1所示。

圖1 REST架構攻擊圖模型Fig.1 REST architecture attack graph model

由于程序設計的原因，Web服務還可能存在一些未知的漏洞，這些漏洞也可能被攻擊者利用。

1)由于未知漏洞可能對系統造成任何傷害，與木馬造成的傷害相似，將其攻擊行為指向了注入木馬。

2)為簡化攻擊圖，按照對信息系統的破壞程度，將攻擊狀態分為四類:保密性破壞、完整性破壞、可用性破壞及攻擊跳板(以當前主機或系統為跳板，對其他主機或系統發起攻擊)。

3)增加了“攻擊成功”狀態，只需計算從“初始狀態”到“攻擊成功”的各項安全性能指標，即可認為是REST架構的安全性能指標。

2 安全評估模型

文獻［10］提出了基于馬爾可夫鏈的攻擊可能性指標和攻擊實現度指標。攻擊可能性指標，表示攻擊者達到攻擊目標的可能性，其值越大，攻擊者到達攻擊目標的可能性越大;攻擊實現度指標，表示著成功實現攻擊的可能性，其值越大，攻擊者越容易實現攻擊。

本文引用這兩個指標對REST架構的安全性作評估，其主要計算公式有3個。

選擇概率［10］如式(1):

其中:P(S0Si)是攻擊者在狀態S0時選擇通過攻擊行為Ai到可到達下一個狀態Si的概率，Ai是指向第i個狀態Si的攻擊行為;i=1，2，…，n，n是S0的下一個狀態的數量;ωi是Ai對應的攻擊實現度層次等級的權重值，引用文獻［10］的權重取值標準，可按弱點攻擊實現度分級取值，如表1所示。

表1 弱點攻擊實現度層次分級Tab.1 Level gradation of vulnerability attack realization

攻擊可能性指標迭代公式［10］如式(2):

其中，Vn(Sm)是攻擊可能性，n=0，1，…，N，攻擊圖中從攻擊初始狀態最多經過N步可到達攻擊目標狀態，令V0(S0)=0，V0(Si)=1，i=1，2，…，M － 1，M是攻擊狀態的數量，S0是初始狀態，經過多次迭代后可計算出VN(S0)，VN(S0)，即攻擊圖的攻擊可能性;P(SmSt)是攻擊者在狀態Sm時選擇通過攻擊行為Ai到可到達下一個狀態St的概率;SUBSEQ(Sm)是從狀態Sm出發經過一步躍遷可到達的所有狀態的集合;RULES(Sm→St)是從狀態Sm躍遷到St可選攻擊行為的集合。

攻擊實現度指標W4(S0)=0.064764

攻擊實現度指標迭代公式［10］如式(3):

其中:Wn(S)是攻擊實現度，n=0，1，…，N，攻擊圖中從攻擊m初始狀態最多經過N步可到達攻擊目標狀態，令W0(S0)=0，W0(Si)=1，i=1，2，…，M － 1，M 是攻擊狀態的數量，S0是初始狀態，經過多次迭代后可計算出WN(S0)，WN(S0)，即攻擊圖的攻擊實現度;P(SmSt)是攻擊者在狀態Sm時選擇通過攻擊行為 Ai到可到達下一個狀態 St的概率;SUBSEQ(Sm)是從狀態Sm出發經過一步躍遷可到達的所有狀態的集合;RULES(Sm→St)是從狀態Sm躍遷到St可選攻擊行為的集合;E(Ai)是攻擊行為Ai所對應的攻擊實現度，在REST架構未采取任何安全措施時，其值可取表1中的權重值，即式(1)中的ωi。

根據每種攻擊行為的難易程度，對照表1，圖1所示攻擊圖中所有攻擊行為的權重值如表2所示。

圖1中，達到竊取數據、攻擊跳板、損毀系統、拒絕服務四個狀態時已完成了攻擊的目標，可認為其100%可達到攻擊成功的狀態，因此攻擊行為28、29、30、31的權重值全部取1.0。

（2）企業經營業績，反映海外經營成效，具體指標如：被國外當地消費者所消費的海外銷售額、海外子公司的銷售總額、外國子公司運營收入總和等。

4)超文本傳輸協議(HyperText Transfer Protocol，HTTP)劫持攻擊。

攻擊可能性指標V4(S0)=0.189720

從式(3)可知,變壓器效應產生的感應電動勢對磁通門信號來說是非常大的噪聲來源,所以在實際應用中一般選擇如圖1所示的差分結構磁通門傳感器,該結構上下兩個鐵芯參數完全對稱,激勵線圈反向串聯,因此激勵繞組在磁芯中產生的磁場大小相等方向相反。但是被測磁場在兩鐵芯中分量大小方向均相同。所以在檢測線圈上,激勵產生的感應電動勢互相抵消,而被測磁場呈兩倍效果,則檢測線圈上的感應電動勢可表示為:

表2 REST架構攻擊圖攻擊行為權重值Tab.2 Attack behavior weight value of REST architecture attack graph

3 REST架構安全設計

針對圖1中的攻擊狀態和攻擊行為，可采用多種措施進行安全防護。

1)服務端單項數據校驗。

對服務端提交的數據項分別進行合規性校驗，如通過正則表達式校驗、長度校驗等方式，并且不允許出現單引號，以及SQL中的特殊符號如“－－”、“#”等。這種方法可有效防止SQL注入攻擊和特大載荷攻擊。

2)服務端整體數據校驗。

以高分四號衛星影像和HJ-1B衛星影像重疊區作為實驗驗證區，采用分層隨機采樣的方式，隨機選擇512個驗證點，基于臨近時期高分一號衛星影像和圖像間對比解譯分析，逐點確定積雪覆蓋情況，計算積雪識別精度、Kappa系數等統計值，對積雪覆蓋精度進行統計，結果如表2.基于多時相高分四號衛星圖像積雪提取結果的Kappa系數達到0.84，表明該方法生產的積雪覆蓋產品與真值基準數據間具有很強的一致性、精度高.

向服務端提交數據前先對數據作整體校驗，生成校驗數據，然后將校驗數據也加入到提交的數據中。服務端接收到數據后可首先檢驗數據的正確性。這種方法可有效防止HTTP劫持攻擊，也可防護未能正確生成校驗數據的CSRF攻擊，從而增加CSRF攻擊難度。

3)服務端狀態檢驗。

REST本身具有無狀態性，這就使得服務端難以發現重放攻擊與DDoS攻擊。為解決這兩項問題，可以在服務端內存中以盡量小的內存占用量記錄每個用戶的狀態。針對每次提交的請求，服務端可利用用戶狀態，通過適當的規則判斷是否為攻擊行為，從而減弱重放攻擊與DDoS攻擊對系統的影響。

NAT結果受脂肪血和溶血等干擾因素的影響[4]，但是通過本試驗數據可以看出，一定濃度的脂肪血和溶血對聯檢及鑒別的定性檢測的干擾在一定程度上是可以接受的。在實際工作中，標本的采集、離心處理保存不當，均會造成核酸酶污染的假陽性或病毒核酸降解的假陰性，從而影響NAT結果的真實性，故標本的前處理關系到檢驗結果的準確與穩定。

4)禁止動態拼裝SQL語句。

禁止使用提交的數據拼裝SQL語句，而是使用參數化的SQL或者存儲過程進行數據查詢和增刪改操作。這種方法可有效防止SQL注入攻擊。

5)使用盡量低的權限連接數據庫。

試驗混凝土的水膠比統一為0.40，粗骨料和細骨料均分別為1 174 kg/m3及552 kg/m3。分別以粉煤灰摻量為水泥質量的0 %、20 %、30%、40 %和50 %替代水泥，以研究粉煤灰摻量對混凝土水、氣體滲透性及其微觀結構參數的影響。試驗混凝土配合比見表2，粉煤灰的摻量百分比表示其替代水泥的質量比。

由圖1可知，一旦系統被SQL注入成功，攻擊者將對系統造成非常嚴重的破壞。一些嚴重損害，如損毀系統，通常是竊取了系統管理權限后造成的。如果連接數據庫時使用了管理員權限，攻擊者在SQL注入成功后將很容易獲得系統權限。因此，在連接數據庫時應使用盡量低的權限，以增加攻擊者獲取系統權限的難度，減少對系統的威脅。

6) 使用安全令牌［13］。

可以在執行比較敏感的功能前要求客戶端先登錄，登錄時服務端隨機生成一個令牌發往客戶端。客戶端在執行其他功能時必須提交該令牌。除合法的客戶端外，攻擊者很難獲得該令牌，因此這種方法可有效防止CSRF攻擊。

用來構成特殊疑問句的代詞叫疑問代詞。常用的有：who， what，which，whose，whom，在句中常作主語、賓語、定語、表語。

根據計算結果可知，采用濕法回收技術處理每噸廢舊電池，LFP虧損 312.0元，三元材料則可盈利6 355.0元。因此，采用濕法回收技術處理三元材料動力電池獲利更明顯。

使用加密傳輸，如采用以安全為目標的 HTTP通道(HyperTextTransferProtocoloverSecure SocketLayer，HTTPS)，可以有效防止網絡網絡嗅探攻、HTTP劫持等攻擊。

8)分布式服務。

使服務端支持分布式應用模式，配合多臺服務器主機，可有效減弱DDoS攻擊對系統的影響。

4 安全REST架構評估

采用上述多種措施進行安全防護后，可形成安全REST架構。基于安全REST架構重新構建攻擊圖模型，如圖2，其所有攻擊行為的權重值及實現度如表3所示。

圖2 安全REST架構攻擊圖模型Fig.2 Secure REST architecture attack graph model

表3 安全REST架構攻擊圖攻擊行為權重值Tab.3 Attack behavior weight values of secure REST architecture attack graph

圖2與圖1的區別如下:

當正常用戶通過訪問Web服務使服務器或數據庫改變其狀態后(如某用戶執行權限校驗功能)，非法用戶可能通過其他客戶端假冒該用戶，并構造特定的數據提交給服務器，用以獲取信息或使用某些功能。如果服務器未能分辨此數據是否來源于非法用戶，就可能被竊取信息或受到其他損害。

重點水利項目建設加快推進。三座店、哈拉沁、美岱等水庫工程基本完工，海勃灣水利樞紐初期下閘蓄水，揚旗山水庫實現大壩截流，黃河近期防洪工程即將竣工，扎敦水庫開工建設。黃河干流盟市間水權轉讓試點啟動，一期工程開工建設。Z866項目和尼爾基水庫下游灌區已報送國家發改委待核準，“引綽濟遼”工程規劃已經水利部批復，文得根水利樞紐及至烏蘭浩特輸水段工程項目建議書和綽勒水庫下游灌區可研通過水利部審查。

2)HTTP劫持的難度大大增加，只存在理論上的可能，其對應的權重值可按表1中的L0級取值。即使HTTP劫持成功，其后將目標主機作為攻擊跳板的難度也大大增加，只存在理論上的可能，因此攻擊行為12的權重值可按表1中的L0級取值。

3)SQL注入攻擊可被完全防范，在圖2中將不體現。

4)重放攻擊、特大載荷攻擊與DDoS攻擊對系統的影響被消弱，同等條件下通過這三個狀態實現拒絕服務(可用性破壞)的可能性變小，故其對應的攻擊實現度取值應減小。其中重放攻擊和特大載荷攻擊對系統的影響主要與主機性能有關，DDoS攻擊對系統的影響主要與主機數量有關，不同的硬件環境將造成其攻擊實現度的不同。在此將其攻擊行為(圖2中的攻擊行為(14)、(15)、(16))對應的攻擊實現度取為原值的一半。但是，實現這三種攻擊并通過其達到可用性破壞所需的工具和方法并未改變，因此其對應的權重值不變，與圖1相同。

根據圖2，將表3中的數據代入式(1)～(3)中，經迭代計算得出:

攻擊可能性指標V4(S0)=0.018519

攻擊實現度指標W4(S0)=0.000750

與攻擊圖1相比，攻擊可能性指標約為其1/10，攻擊實現度指標約為其1/86，表明所提的安全防護措施起到了預想的作用。

5 結語

通過構造REST架構攻擊圖模型，可實現REST架構安全性能的量化評估。對攻擊圖中的攻擊狀態和攻擊行為進行針對性防護后，其攻擊可能性與攻擊實現度均明顯降低，表明了防護的有效性。在實際使用中，由于人力、資源、時間、環境等限制，可能只能采用本文所提出的部分防護措施，此時可通過重新構建攻擊圖模型，計算攻擊可能性與攻擊實現度指標，估算其安全性能。本文在構造攻擊圖過程中，對一些攻擊狀態和攻擊行為作了簡化;在評估過程中，對攻擊狀態的權重值與攻擊實現度等參數的取值主要依據經驗構造，并且僅從攻擊可能性與攻擊實現度指標兩方面對安全性作了量化。在未來的研究中，可考慮更精細地構造攻擊圖，采用更科學的方式獲取參數，并從更多維度進行量化評估，以更準確地衡量REST架構的安全性。