基于博弈模型的物聯網系統漏洞風險評估

韋早裕 吳鳴旦 馬 楠 雷 敏 畢 偉

1(北京郵電大學網絡空間安全學院 北京 100876)2(杭州安恒信息技術有限公司 杭州 310051)

3(中思博安科技有限公司 北京 100088)

(weizaoyu2017@bupt.edu.cn)

系統風險評估的主要目的是量化系統運行過程中可能發現的各類風險，估計風險的可能性和對系統正常工作的影響程度，進而劃分風險的優先級，為制定系統風險管理計劃及對系統風險進行監控提供依據和參考［1］.根據文獻［2］對風險評估體系的研究，風險評估的方法大致可分為三大類:定量的風險評估方法、定性的風險評估方法、定性與定量相結合的評估方法.本文采用定量的風險評估分析方法，以物聯網系統為研究對象，主要針對風險評估過程中的關鍵步驟——脆弱性和威脅分析、制定及評估控制措施——進行研究，首先對物聯網系統中的脆弱性要素進行分類識別，再通過博弈論等方法對攻防策略收益進行量化分析.

而脆弱性是信息系統本身的固有屬性，任何系統都有其脆弱性，物聯網系統也不例外.脆弱性是造成安全風險的內在原因和基本前提，脆弱性評估的目標是分析和度量信息系統存在的漏洞以及漏洞的嚴重程度，主要包括對漏洞的預期危害和利用難易度的評估［3］.目前漏洞利用難易度的評估技術已經相對成熟，國內外的評估標準已經形成體系，我國一般采用中國國家信息安全漏洞庫(China National Vulnerability Database，CNNVD)等機構發布的數據進行漏洞利用難易度的計算.同時物聯網系統與傳統網絡系統的漏洞利用難易度的評估方法很大程度是相似的，因此本文不再對漏洞利用難易度評估技術進行研究，而重點關注漏洞危害評估技術.

由于物聯網安全產業的發展仍處于起步階段，當前大部分物聯網的漏洞評估體系仍是采用由美國基礎設施顧問委員會(National Infrastructure Advisory Coucil，NIAC)開發的通用漏洞評分系統(common vulnerability scoring system，CVSS)或《信息安全技術安全漏洞等級劃分指南》規定的漏洞評級標準，在一定程度上忽視了物聯網系統復雜的架構，以及特有的安全威脅.除此之外，傳統的漏洞評估體系無法全面地體現攻防雙方在網絡節點上的對抗行為，忽略了攻擊者攻擊策略的復雜性以及防御者可能采取的防御措施，僅從漏洞利用難易度和單一漏洞危害對系統脆弱性進行評估，并不能完全準確地反映物聯網系統的安全狀況及節點的脆弱程度.

本文綜合考慮物聯網的架構，基于攻擊層、攻擊面和攻擊點3個方面對系統可能存在的安全風險進行識別，并通過建立物聯網攻防博弈模型，量化相關成本或收益參數，以研究物聯網系統下攻防對抗雙方的制約關系，選擇物聯網系統最優的防御策略，從而更準確地量化分析特定攻防策略下漏洞危害，完成對物聯網系統脆弱性的識別與評估，制定合理的安全風險控制措施.

1 物聯網安全概述

物聯網被人們視為是繼計算機、互聯網之后信息技術產業發展的第3次革命，其泛在化的網絡特性使得萬物互聯正在成為可能，已經逐漸應用到社會生活的各個領域［4］.

圖1 智能家居物聯網網絡架構

表1 智能家居物聯網系統安全漏洞分類

物聯網是在互聯網基礎上的延伸和拓展.但由于物聯網對于互聯網絡的天然繼承性，使得針對傳統網絡系統的各類攻擊也同樣適用于物聯網系統.然而在物聯網存在與互聯網類似的安全危險的同時，還會因為自身的特殊架構以及其他不斷出現的新特性，受到更多更復雜的安全威脅.

本文對物聯網安全問題的研究是以智能家居(smart home)物聯網為主要研究對象.智能家居，也稱家庭自動化、家庭網絡等，它是物聯網的重要應用之一.基于物聯網的智能家居，融合了自動化控制系統、計算機網絡系統和網絡通信技術于一體，構建有效、便捷的住宅設施與家庭日程事務的管理系統.它以電視、冰箱、空調等終端設備為主要承載，立足家庭應用環境，以人為中心，實現各終端間的廣泛互聯和智能協同.一般地，智能家居物聯系統由智能終端、云端、手機APP及相關通信網絡組成，其大致網絡架構如圖1所示.其網絡節點包括控制點、設備和云端.控制點是物聯網系統中的控制器，手機、PAD、機頂盒等人機交互設備都可以作為控制點.設備是服務提供者，電視、空調、冰箱、煙灶、開關、窗簾等都可以作為設備.云端是數據存儲和信息處理中心.

從攻擊者的角度按照攻擊層、攻擊面和攻擊點3個方面，對物聯網系統的脆弱性進行識別，如表1所示［5］.其中攻擊層為上述網絡架構中的3個網絡節點，即設備終端、手機端和云端.

2 物聯網攻防博弈模型

2.1 模型定義

關于博弈論的應用在網絡安全領域的相關研究如下:文獻［6］提出了基于網絡防御圖的攻防博弈模型和最優主動防御選取算法;文獻［7］提出了基于博弈論的安全問題分析方法，再通過均衡的計算找出攻防雙方的最優策略.但針對物聯網的博弈模型，根據相關網絡安全的博弈理論模型，本文提出物聯網基于完全信息的靜態貝葉斯博弈模型.

在攻防博弈模型的建立時，需要基于以下2個基本假設:

假設1.理性假設.攻擊者是理性的決策主體，不發動無利可圖的攻擊.

假設2.利益假設.攻擊者和防御者都是按照最大化自我利益的原則選取策略.

在物聯網系統中，如果攻擊者選擇攻擊層Li(如云端)進行攻擊，則攻防雙方在這一網絡節點形成博弈.顯然，攻擊者和防御者之間存在目標對立和關系非合作的特點［8］，并且攻防雙方的策略實施需要相應代價，即雙方收益之和不為0，因此本文根據2人非合作非零和博弈論建立物聯網攻防博弈模型IoTADG(Internet of things attack-defense game model).

定義1.物聯網攻防博弈模型IoTADG是描述針對物聯網系統攻擊層Li的攻防對抗行為的博弈模型，用五元組 IoTADG=(L，P，U，AS，DS)表示.

1)L是物聯網系統的攻擊層集合.根據表1，智能家居物聯網系統的具體攻擊層為:L1設備終端、L2控制APP和L3云端.

2)P=(PA，PD)是對攻擊層Li的攻防博弈參與者集合，代表攻防策略制定和選擇的主體.其中PA代表攻擊者，PD代表防御者.

3)AS，DS是攻擊者和防御者的策略空間，代表針對攻擊層Li的攻擊策略和防御策略.其中，攻擊策略集合為AS={Ai|1≤i≤n}，防御策略集合為 DS={Dj|1≤j≤m}.

4)U={UA，UD}是攻防對抗雙方的收益函數集合，當用不同的策略進行博弈時，攻防雙方的收益也會不同［9］.

為適應當前的網絡安全態勢及物聯網的特殊性，本文的攻擊策略是指針對特定攻擊層中不同的漏洞組合形成的攻擊策略，同時也包括單個漏洞組成的攻擊策略，而非指文獻［10］中針對單一漏洞的多種攻擊動作組合.例如，單一的弱口令漏洞幾乎是不能給攻擊者產生收益的，該漏洞需要配合用戶名暴力枚舉形成相應攻擊策略，攻擊者才能獲取用戶權限產生一定的收益.而防御策略是根據物聯網系統所能夠采取的多種防御動作組合形成的.

2.2 攻防策略收益分析與量化

網絡攻防策略的分析與量化是構建博弈模型的基礎.物聯網系統的各網絡節點的重要程度在不同的系統環境中是不同的，并且各種攻擊策略的固有危害也是不同的，因此系統損失的量化需要結合攻擊層及攻擊固有危害進行計算.

借鑒文獻［11-14］的量化思路及物聯網系統的架構，下面給出攻防策略收益量化相關定義.

定義2.攻擊回報AR(attack reward)表示攻擊者通過特定攻擊策略攻擊物聯網系統成功后獲得的收益，記作正值.

定義3.攻擊代價AC(attack cost)表示攻擊者使用的攻擊策略所耗費的經濟、時間、軟硬件資源和人工資源等，記作負值.

根據漏洞的利用難易度以及耗費的資源，將攻擊點的代價分為3個級別，并根據系統的要求定量賦值，表2是針對家居物聯網系統本文給出的量化信息.

表2 攻擊代價等級量化表

定義4.違法成本OC(offend cost)表示攻擊者發動攻擊后被發現時的違法成本，記作固定的負值，此處設OC=－10.

定義5.防御回報DR(defense reward)表示物聯網系統在特定攻擊層采取防御策略后，物聯網系統減少的信息資產損失，記作正值.

定義6.防御代價DC(defense cost)表示物聯網系統采用特定防御策略時所耗費的經濟、時間、軟硬件資源、人工資源以及防御策略導致的服務質量下降的影響等，記作負值.

根據防御操作的復雜程度及對計算資源的影響程度，將防御行為的代價分為3個級別.

表3 防御代價等級量化表

定義7.資產損失AD(asset damage)表示物聯網系統某一攻擊層在攻擊者攻擊成功后，信息資產遭受的損失，記作負值.

攻擊者收益一般小于網絡系統的損失，但本文為了簡便分析，把網絡系統的資產損失作為攻擊者的收益所得;防御回報一般也可用攻擊對網絡系統的資產損失來表示，即AR=DR=－AD.

此處使用危害系數θ，δ和安全屬性的損害來量化物聯網系統的資產損失.參考CNNVD的可影響性指標，將安全屬性的損害分為機密性損害confimpact、完整性損害integimpact和可用性損害availimpact.計算公式為

其中(Wc，Wi，Wa)代表每一種安全屬性的權重系數，不同物聯網系統的安全屬性權重可能不一致，但都需滿足Wc+Wi+Wa=1.每種安全屬性損害的值一般用高、中、低來進行分類，然后進行合適的賦值，再根據安全屬性的權重計算該攻擊策略的固有危害，表示漏洞對目標系統產生的危害評估.攻擊層危害系數θ依據不同的攻擊層進行取值，θ∈［0，10］;攻擊面危害系數δ同樣依據不同的攻擊面進行取值，δ∈［0，1］.以智能家居物聯網系統為例，由于云端是數據存儲及信息處理的中心，云端的危害系數θc最高;而控制APP可能控制多臺設備，因此控制APP的危害系數θa次之;設備終端的危害系數 θe最低，即 θc≥θa≥θe.而在云端的2個攻擊面中，云端數據存儲受到攻擊的損害一般也大于云端Web接口，即δd≥δw.機密性損害confimpact、完整性損害integimpact和可用性損害availimpact的量化取值如表4所示［15］:

表4 安全屬性評分量化表

定義8.防御成功率qij表示在物聯網系統某一攻擊層中，攻擊者和防御者采取攻防策略Ai和Dj時防御策略成功的概率，qij∈［0，1］.

針對2人非合作非零和博弈論推導攻防策略收益函數，假設攻擊者采用攻擊策略為Ai，防御者采用防御策略Dj，則防御成功率為qij，在不考慮博弈信息約束時，可推導出攻擊者的收益期望:

防御者的收益期望為:

令 UA(Ai，Dj)=aij，UD(Ai，Dj)=dij，可以列出攻防博弈的收益矩陣(UA，UD):

2.3 均衡分析和漏洞風險評估

依據博弈基本理論，由于純策略可以看作對應策略的選擇概率為1，其余策略選擇概率為0的混合策略.因此，使用混合策略進行IoTADG模型的博弈均衡分析.

設攻擊者和防御者分別依據概率向量x=(x1，x2，…，xn)，y=(y1，y2，…，ym)選擇攻擊策略和防御策略.根據布魯維爾不動點定理可知，每一個有限博弈都有一個均衡點.由于物聯網系統的攻防博弈是一個有限博弈，物聯網攻防博弈模型IoTADG必存在一個混合策略(x*，y*)構成納什均衡，且(x*，y*)滿足如下條件:

通過博弈均衡的定義可知，納什均衡解中的混合策略的收益期望值優于其他策略，因此對攻防博弈的收益矩陣(UA，UD)可得到攻擊者的最優攻擊混合策略x*和防御者的最優防御混合策略y*.通過分析最優防御混合策略y*，制定防御控制措施，選擇出最優防御策略.此時，在已知最優防御策略的情況下，再次結合收益矩陣(UA，UD)計算，可獲得各個攻擊策略在最優防御策略下的收益期望UA(Ai，D*)，作為該攻擊策略的漏洞綜合危害，完成脆弱性的量化分析，從而支撐后續風險評估過程.

3 應用實例分析

本文應用以圖2所示的某智能家居物聯網拓撲結構模擬物聯網攻防情景，以驗證前文提出的博弈模型和脆弱性量化分析方法.

圖2 某智能家居物聯網網絡拓撲

各網絡節點的防御強度及可采取的防御行為是不同的，云端的防御強度顯然要比設備終端和手機端高，可采取的防御行為更為多樣.假定上述物聯網系統可采取的防御行為如表5所示，同時對防御行為進行編號，并給出防御行為相應的防御代價.

表5 防御代價信息表

以攻擊層L3云端為例作漏洞綜合危害分析，即假設攻擊者選定IP3云端服務器為攻擊對象.云端可能采取的防御策略有D1(d31)，D2(d31，d32)，D3(d31，d33)，D4(d31，d34)，D5(d32，d33)，D6(d31，d32，d33)，D7(d31，d32，d34)，D8(d31，d32，d33，d34).

根據表1信息識別云端存在的脆弱性.若云端服務器存在的攻擊點如表6所示，同時給出各攻擊點的攻擊代價并對各漏洞進行編號.

表6 攻擊代價信息表

結合表6及一般攻擊思路，可得攻擊者的攻擊策略為 A1(a1)，A2(a2，a3)，A3(a4，a5)，A4(a6，a7)，并對各個攻擊策略的安全屬性進行評分，評分結果如表7所示:

表7 安全屬性信息表

根據本物聯網系統的拓撲結構，對各個參數進行賦值，令 θc=10，θa= θe=5;δd=1，δw=1;Wc=0.35，Wi=0.3，Wa=0.35.由式(1)可得 A1，A2，A3，A4的攻擊回報 AR 分別為 54，66，40，66.經過統計，得到針對各攻擊策略的防御成功率如表8所示:根據式(2)(3)可計算出攻防雙方博弈的收益矩陣(UA，UD):

表8 防御成功率表

通過2.3節給出的方法可計算出收益矩陣(UA，UD)的 Nash 均衡:x*=(0，0，0，1)，y*=(0，0，0，0，0，1，0，0).即在此物聯網系統下，攻防雙方的Nash均衡混合策略計算為純策略，攻擊者的最優攻擊策略是A4，云端的最優防御策略是D6.

因此對防御者來說，綜合分析物聯網系統的安全風險及防御成本，應在云端服務器及時進行系統的更新，并開啟行為過濾和異常字段識別的防御措施.

在防御方選擇了最優防御策略D6的情況下，結合攻防雙方博弈的收益矩陣(UA，UD)，得到A1，A2，A3，A4這4種攻擊策略對云端的漏洞綜合危害分別為 －0.42，1.12，－15.8，5.5.

通過比較這4種攻擊策略的綜合危害，可以對云端服務器的脆弱性進行安全風險評估.在啟用了合適的安全防御策略后，用戶名暴力枚舉和弱口令的攻擊對于云端服務器的威脅性最低，攻擊者幾乎無法通過字典攻擊等爆破行為非法進入云端的數據庫;而利用SQL注入、文件上傳、文件包含等傳統Web安全漏洞的攻擊也很容易被攔截，威脅程度不高;而針對數據庫的提權攻擊仍較難防御，對云端服務器有較高的威脅.

4 總 結

針對物聯網的漏洞風險識別和評估問題，本文采用定量的安全風險分析方法，提出了物聯網漏洞的分類、物聯網攻防模型的建立以及物聯網漏洞危害量化評估方法.

本文首先系統地整理了物聯網系統存在的安全威脅，從攻擊者的角度，按照攻擊層、攻擊面和攻擊點3個方面，給出識別物聯網漏洞的一種分類方法，完成風險評估體系中的資產與脆弱性識別.然后根據物聯網系統架構的特點，提出了一個新的基于物聯網攻擊層的五元組攻防博弈模型，該模型對攻防博弈雙方策略的收益與成本逐一進行量化賦值.再通過對收益矩陣進行均衡分析，計算出防御者的最優防御策略，在此基礎上，從防御者的角度計算基于多個漏洞組合的攻擊策略的綜合危害，從而使防御者能更準確地評估物聯網系統的脆弱點，并以最優的防御代價進行網絡安全加固.最后通過實例模擬智能家居物聯網系統云端的安全測評，證明本漏洞風險評估方法的可用性.

目前針對物聯網在安全風險評估技術方面并沒有統一規范的標準，本文關于物聯網安全的漏洞分類列表雖然有明確的層次結構，但仍需要大量實際物聯網漏洞案例進行完善，擴充其深度.其次，在物聯網攻防博弈模型中，架構體系已經較為完善，算法流程也簡潔清晰，但是其參數的量化賦值和公式推導等等細節還需要在更多大量的實際案例中驗證，作出更加準確和有效的調整.應用實例是以云端服務器為例進行分析計算，最后計算的漏洞綜合危害雖然能正確反映云端服務器各脆弱性的威脅程度，但結果出現負值，即參數的量化賦值仍需作出修改，使評估結果更為直觀.

后續的研究需要進一步在實踐中進行優化，從更多的實踐結果中構建更完善穩定的模型與算法，從而在更加準確和有效的脆弱性量化分析的基礎上支撐物聯網的安全風險評估體系.