基于PANAG模型的攻擊路徑預(yù)測(cè)研究

王 輝,趙 雅,張 娟,劉 琨

(河南理工大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院,河南 焦作 454000)

0 概述

隨著互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)空間安全問題日益突出。2018年,CNCERT全年截獲計(jì)算機(jī)惡意程序超過1億個(gè),其中包含計(jì)算機(jī)惡意程序家族超過51萬個(gè),比2017年增加8 132個(gè),全年計(jì)算機(jī)惡意程序傳播次數(shù)日均達(dá)500萬余次[1]。上述數(shù)據(jù)表明,網(wǎng)絡(luò)攻擊造成的安全問題已不容忽視,制定有效的安全防護(hù)措施尤為重要。攻擊路徑預(yù)測(cè)是當(dāng)前主要的主動(dòng)防御技術(shù)之一,其通過分析網(wǎng)絡(luò)中弱點(diǎn)關(guān)聯(lián)關(guān)系來發(fā)現(xiàn)攻擊者可能采取的攻擊路徑,從而為網(wǎng)絡(luò)防御提供理論依據(jù)[2-3]。目前,多數(shù)學(xué)者描述攻擊路徑時(shí)常使用的模型為攻擊樹和攻擊圖。攻擊樹具有直觀、可視化的層次結(jié)構(gòu),對(duì)攻擊行為具有較好的圖形化描述效果,但其存在擴(kuò)展性較弱的問題,不適用于大規(guī)模復(fù)雜網(wǎng)絡(luò)[4]。攻擊圖具有良好的擴(kuò)展性,能夠清晰地表達(dá)節(jié)點(diǎn)之間的依賴關(guān)系,為描繪攻擊路徑提供了一種可視化方法[5]。此外,網(wǎng)絡(luò)攻擊通常帶有主觀因素,具有不確定性,攻擊圖能夠描述攻擊者可能采取的所有攻擊行為,其具有處理不確定性關(guān)系的能力[6-7]。因此,利用攻擊圖預(yù)測(cè)攻擊者可能采取的攻擊路徑成為近年來學(xué)者們廣泛關(guān)注的一個(gè)研究熱點(diǎn)。

文獻(xiàn)[8]提出基于D-S證據(jù)理論的攻擊路徑預(yù)測(cè)方法,其應(yīng)用概率推理計(jì)算攻擊路徑發(fā)生的可能性。文獻(xiàn)[9]通過分析攻擊行為發(fā)生的不確定性,提出一種綜合預(yù)測(cè)算法。文獻(xiàn)[10]通過概率攻擊圖推理攻擊節(jié)點(diǎn)的可達(dá)性,根據(jù)節(jié)點(diǎn)狀態(tài)及節(jié)點(diǎn)間的關(guān)聯(lián)關(guān)系預(yù)測(cè)可能發(fā)生的攻擊行為。文獻(xiàn)[11]分析網(wǎng)絡(luò)安全態(tài)勢(shì)要素,構(gòu)建威脅狀態(tài)轉(zhuǎn)移圖用于實(shí)時(shí)預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì),從而提高攻擊路徑預(yù)測(cè)的效果。上述方法主要依據(jù)當(dāng)前網(wǎng)絡(luò)狀態(tài)對(duì)未來可能的攻擊行為進(jìn)行預(yù)測(cè),具有一定的可行性,然而卻忽略了攻擊者將目標(biāo)節(jié)點(diǎn)的成本和收益作為攻擊依據(jù)的現(xiàn)象,從而導(dǎo)致路徑冗余問題,影響了攻擊路徑概率的準(zhǔn)確計(jì)算。

文獻(xiàn)[12]針對(duì)攻擊發(fā)生的不確定性問題,將概率屬性添加到攻擊圖模型中,利用攻擊圖來推測(cè)關(guān)鍵攻擊路徑,但隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,其生成的攻擊圖可能存在狀態(tài)爆炸問題。文獻(xiàn)[13]利用貝葉斯網(wǎng)絡(luò)將節(jié)點(diǎn)置信度轉(zhuǎn)化為對(duì)攻擊節(jié)點(diǎn)成本和收益的計(jì)算,對(duì)比不同節(jié)點(diǎn)的成本-收益來找出最可能的攻擊路徑,但其未對(duì)節(jié)點(diǎn)中的弱點(diǎn)進(jìn)行屬性分析,導(dǎo)致預(yù)測(cè)準(zhǔn)確度較低。文獻(xiàn)[14]構(gòu)建模糊馬爾科夫鏈模型對(duì)網(wǎng)絡(luò)攻擊路徑進(jìn)行預(yù)測(cè),該模型的關(guān)鍵是確定適合的隸屬函數(shù),當(dāng)前常用的隸屬函數(shù)選取方法有模糊統(tǒng)計(jì)法、判別矩陣法以及例證法等,但上述方法都帶有主觀性,理論基礎(chǔ)較弱,存在預(yù)測(cè)通用性較低的問題。文獻(xiàn)[15]設(shè)計(jì)因果知識(shí)網(wǎng)絡(luò)描述網(wǎng)絡(luò)入侵過程,并給出改進(jìn)的Dijkstra算法來識(shí)別入侵意圖和預(yù)測(cè)不同水平的攻擊者在攻擊路徑選擇上的差異性。該方法預(yù)測(cè)準(zhǔn)確率較高但計(jì)算較為復(fù)雜,存在預(yù)測(cè)成本較高的問題。文獻(xiàn)[16]通過綜合分析攻擊者、防御者以及網(wǎng)絡(luò)環(huán)境三方面要素的相互關(guān)系,設(shè)計(jì)基于動(dòng)態(tài)貝葉斯攻擊圖的攻擊路徑預(yù)測(cè)算法,但其網(wǎng)絡(luò)攻防具有動(dòng)態(tài)性的特點(diǎn),文中節(jié)點(diǎn)概率計(jì)算方式并不能實(shí)時(shí)描繪攻防雙方的對(duì)抗特征,導(dǎo)致預(yù)測(cè)效果不佳。

為避免攻擊圖生成的狀態(tài)爆炸問題,本文提出節(jié)點(diǎn)弱點(diǎn)聚類算法NVC和概率屬性網(wǎng)絡(luò)攻擊圖生成算法GeneratNAG。通過分析影響網(wǎng)絡(luò)攻擊行為的多方面因素,設(shè)計(jì)基于攻擊價(jià)值的攻擊路徑生成算法BuildNAP。利用優(yōu)化后的攻擊路徑,應(yīng)用概率推理思想計(jì)算基于入侵意圖的不同攻擊路徑的發(fā)生概率,以預(yù)測(cè)攻擊者最可能采取的攻擊路徑。

1 PANAG定義及NAP描述

攻擊路徑預(yù)測(cè)是以圖的形式尋找攻擊者為實(shí)現(xiàn)入侵意圖而可能采取的所有攻擊路徑。本文通過對(duì)網(wǎng)絡(luò)中的弱點(diǎn)屬性進(jìn)行分析,構(gòu)建概率屬性網(wǎng)絡(luò)攻擊圖模型,管理員能夠依據(jù)此模型分析出最大概率攻擊路徑,從而進(jìn)行防御決策。給出概率屬性網(wǎng)絡(luò)攻擊圖、攻擊路徑定義如下:

定義1(概率屬性網(wǎng)絡(luò)攻擊圖) 設(shè)PANAG=(V,H,E,P,P′,T,W)為有向無環(huán)圖,其中:

1)V={?vi∈V,vi為一個(gè)弱點(diǎn)}為網(wǎng)絡(luò)中的弱點(diǎn)集合。若攻擊者能夠成功利用主機(jī)中的弱點(diǎn),則會(huì)給網(wǎng)絡(luò)帶來安全隱患。

2)H={Hi|i=1,2,…,N}為攻擊圖中包含弱點(diǎn)的主機(jī)節(jié)點(diǎn)集合。其中,Hi={vj,vj+1,…,vm}(0

3)E={ek→r|k=1,2,…,N,r=1,2,…,N}為攻擊圖中節(jié)點(diǎn)之間存在關(guān)聯(lián)關(guān)系的有向邊集合,也即攻擊行為集合。有向邊〈Hk,Hr〉的攻擊行為可表示為ek→r。

4)P代表弱點(diǎn)被成功利用的概率,即節(jié)點(diǎn)可達(dá)概率,其由弱點(diǎn)的屬性決定,具體計(jì)算詳見2.1節(jié)。

5)P′代表攻擊者采取一系列相關(guān)攻擊行為后,實(shí)現(xiàn)入侵意圖的攻擊路徑相對(duì)概率。假設(shè)攻擊圖中包含L條實(shí)現(xiàn)入侵意圖的攻擊路徑,用Θ表示攻擊者的入侵意圖,則每條攻擊路徑的相對(duì)概率則表示為P′(NAPl|Θ),其中,NAPl為攻擊路徑,l=1,2,…,L。

6)T={tn→p|n=1,2,…,N,p=1,2,…,N}代表攻擊圖包含的節(jié)點(diǎn)狀態(tài)變遷集合,tn→p表示攻擊者在占有當(dāng)前節(jié)點(diǎn)Hn的情況下成功占有下一個(gè)目標(biāo)節(jié)點(diǎn)Hp并完成攻擊行為en→p的節(jié)點(diǎn)變遷。

7)W代表攻擊價(jià)值集合,?w∈W依附于攻擊圖的有向邊,其由攻擊成本與攻擊收益共同決定,計(jì)算公式詳見3.3節(jié)。

定義1主要綜合上述7種因素及相互關(guān)系給出概率屬性網(wǎng)絡(luò)攻擊圖模型。依照定義1,借助弱點(diǎn)掃描工具對(duì)目標(biāo)網(wǎng)絡(luò)中的設(shè)備進(jìn)行掃描,將具有弱點(diǎn)的主機(jī)作為攻擊圖節(jié)點(diǎn),有向邊代表節(jié)點(diǎn)之間的關(guān)聯(lián)關(guān)系,生成如圖1所示的簡(jiǎn)單攻擊圖。

圖1 簡(jiǎn)單攻擊圖Fig.1 Simple attack graph

在圖1中,攻擊者從初始節(jié)點(diǎn)H0出發(fā)到成功占有H5最終實(shí)現(xiàn)入侵意圖,共包含8次不同的攻擊行為,分別為e0→1,e0→2,e1→3,e1→4,e2→3,e2→4,e3→5,e4→5,相應(yīng)完成了8次狀態(tài)變遷,分別為t0→1,t0→2,t1→3,t1→4,t2→3,t2→4,t3→5,t4→5。攻擊者從當(dāng)前所在節(jié)點(diǎn)到成功占據(jù)下一個(gè)關(guān)聯(lián)節(jié)點(diǎn),必定利用了其含有的某一弱點(diǎn),因此,依據(jù)弱點(diǎn)的屬性能夠衡量節(jié)點(diǎn)的可達(dá)性,便于預(yù)測(cè)攻擊者的可能攻擊路徑。

定義2(網(wǎng)絡(luò)攻擊路徑(Network Attack Path,NAP))對(duì)于入侵目標(biāo)節(jié)點(diǎn)?HN∈H,攻擊者首先選擇初始節(jié)點(diǎn)?Hi∈H發(fā)起攻擊,其安全狀態(tài)發(fā)生改變后,對(duì)其他具有依賴關(guān)系的節(jié)點(diǎn)?Hm∈H進(jìn)行攻擊。以此類推,直至最終占有HN,所經(jīng)過的攻擊節(jié)點(diǎn)為Hi,Hm,…,HN,其中,任意2個(gè)相鄰的節(jié)點(diǎn)〈Hi,Hm〉滿足ti→m∈T,0

從定義2可以看出,網(wǎng)絡(luò)攻擊路徑描述了攻擊者實(shí)現(xiàn)入侵意圖而采取的一系列攻擊行為,體現(xiàn)了攻擊者對(duì)網(wǎng)絡(luò)中節(jié)點(diǎn)作不同選擇的可能性。以圖1為例,共包含如下4條攻擊路徑:

NAP1=〈H0,H1,H3,H5〉

NAP2=〈H0,H1,H4,H5〉

NAP3=〈H0,H2,H3,H5〉

NAP4=〈H0,H2,H4,H5〉

圖1中的攻擊者依次占有所有節(jié)點(diǎn)后到達(dá)H5,為準(zhǔn)確直觀地描述概率屬性網(wǎng)絡(luò)攻擊圖與攻擊路徑的關(guān)聯(lián)性,對(duì)該攻擊過程進(jìn)行如下分析:

1)在通常情況下,目標(biāo)節(jié)點(diǎn)若含多個(gè)攻擊效果相同的弱點(diǎn),則攻擊者會(huì)選擇容易利用的弱點(diǎn),因此,弱點(diǎn)屬性影響節(jié)點(diǎn)的可達(dá)概率P。

2)在理論上,只需考慮節(jié)點(diǎn)的可達(dá)概率P,由于P>0,因此攻擊者可以從上述4條路徑中隨意挑選路徑發(fā)起攻擊,直至占有H5實(shí)現(xiàn)入侵意圖。但在實(shí)際中,若目標(biāo)節(jié)點(diǎn)的攻擊成本高于收益,則攻擊者會(huì)放棄該節(jié)點(diǎn),即攻擊價(jià)值在一定程度上決定了攻擊行為是否發(fā)生。假定w(e1→4)<0,攻擊者會(huì)放棄節(jié)點(diǎn)H4的攻擊,因此,NAP2為無效攻擊路徑。

3)若未有效分析攻擊圖中包含的弱點(diǎn)及攻擊路徑信息,會(huì)導(dǎo)致實(shí)現(xiàn)入侵意圖的有效攻擊路徑相對(duì)概率P′計(jì)算有偏差,即存在預(yù)測(cè)結(jié)果不準(zhǔn)確的現(xiàn)象。

2 弱點(diǎn)概率屬性分析及PANAG生成算法

攻擊圖能夠方便管理員對(duì)網(wǎng)絡(luò)整體安全狀況進(jìn)行分析決策,若攻擊圖過于復(fù)雜,則不利于管理員制定合理的防御策略。鑒于此,本文通過對(duì)弱點(diǎn)概率屬性進(jìn)行分析,提出節(jié)點(diǎn)弱點(diǎn)聚類算法NVC和概率屬性網(wǎng)絡(luò)攻擊圖生成算法GeneratNAG,從而優(yōu)化攻擊圖生成效果,增強(qiáng)其可讀性。

2.1 弱點(diǎn)概率屬性分析

在實(shí)際攻擊場(chǎng)景中,能夠被攻擊者利用的弱點(diǎn)通常含有某種漏洞。攻擊者能否實(shí)現(xiàn)節(jié)點(diǎn)狀態(tài)變遷與節(jié)點(diǎn)是否含有漏洞以及該節(jié)點(diǎn)的屬性有關(guān)。目前,被公認(rèn)的能夠量化漏洞屬性的評(píng)分工具為通用漏洞評(píng)估系統(tǒng)(Common Vulerability Scoring System,CVSS)[17],漏洞屬性在攻擊路徑(Access Vector,AV)、攻擊復(fù)雜度(Access Complexity,AC)以及身份認(rèn)證(Authentication,AU)三方面對(duì)應(yīng)等級(jí)的具體取值如表1所示。

表1 漏洞屬性度量表Table 1 Vulnerability attribute measurement table

因?yàn)楣舫晒Ω怕逝c所利用的漏洞屬性密切相關(guān),所以本文使用CVSS對(duì)不同漏洞的屬性進(jìn)行度量,判斷漏洞利用的難易程度,并以此為依據(jù)計(jì)算攻擊者的攻擊成功概率,即節(jié)點(diǎn)可達(dá)概率P,其計(jì)算公式如下:

P=AC×AV×AU

(1)

2.2 PANAG生成算法

在對(duì)網(wǎng)絡(luò)攻擊進(jìn)行建模時(shí),需要綜合分析網(wǎng)絡(luò)中的拓?fù)潢P(guān)系和弱點(diǎn)信息。當(dāng)節(jié)點(diǎn)具有很多可以選擇利用的弱點(diǎn)時(shí),就會(huì)存在多條攻擊路徑,因此,生成的攻擊圖會(huì)過于復(fù)雜。針對(duì)該現(xiàn)象,本文提出節(jié)點(diǎn)弱點(diǎn)聚類算法NVC來簡(jiǎn)化節(jié)點(diǎn)中含有的弱點(diǎn),然后利用概率屬性網(wǎng)絡(luò)攻擊圖生成算法GeneratNAG生成攻擊圖。

2.2.1 節(jié)點(diǎn)弱點(diǎn)聚類算法NVC

當(dāng)攻擊者面臨目標(biāo)節(jié)點(diǎn)內(nèi)存在多個(gè)弱點(diǎn)可供選擇且攻擊效果相同時(shí),往往會(huì)選擇最容易成功利用的弱點(diǎn)。為此,本文先綜合分析多種弱點(diǎn)被利用后產(chǎn)生的后果,將攻擊分為獲取信息(GI)、權(quán)限升級(jí)(PU)以及拒絕服務(wù)(DoS)3種類型,再采用節(jié)點(diǎn)弱點(diǎn)聚類算法NVC對(duì)節(jié)點(diǎn)弱點(diǎn)進(jìn)行預(yù)處理。節(jié)點(diǎn)弱點(diǎn)聚類算法流程如圖2所示。

圖2 節(jié)點(diǎn)弱點(diǎn)聚類算法流程Fig.2 Procedure of node vulnerability clustering algorithm

在節(jié)點(diǎn)弱點(diǎn)聚類算法NVC中,首先利用掃描工具掃描網(wǎng)絡(luò)中節(jié)點(diǎn)含有的弱點(diǎn)信息并進(jìn)行屬性分析;其次利用CVSS中對(duì)弱點(diǎn)的度量策略來計(jì)算攻擊圖中節(jié)點(diǎn)內(nèi)每個(gè)弱點(diǎn)被攻擊成功的概率,對(duì)屬性相同的弱點(diǎn)進(jìn)行聚類;最后對(duì)同種屬性的弱點(diǎn),利用CVSS對(duì)弱點(diǎn)的度量策略選擇攻擊成功概率最高的弱點(diǎn)并作為聚類弱點(diǎn)的代表。NVC算法能夠起到減少弱點(diǎn)數(shù)目的作用。

2.2.2 概率屬性網(wǎng)絡(luò)攻擊圖生成算法GeneratNAG

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大,已有的攻擊圖生成方法已不能準(zhǔn)確描述網(wǎng)絡(luò)安全狀況,為此,本文提出一種新的攻擊圖生成算法。根據(jù)單調(diào)性假設(shè),攻擊者不會(huì)重復(fù)和放棄已攻擊占有的節(jié)點(diǎn),因此,攻擊者必先成功占有前置狀態(tài)節(jié)點(diǎn),后置狀態(tài)節(jié)點(diǎn)才可能出現(xiàn),即前置狀態(tài)節(jié)點(diǎn)和后置狀態(tài)節(jié)點(diǎn)互為因果關(guān)系。因此,本文采用正向搜索的思想,首先搜索可能存在的攻擊實(shí)例,接著分析攻擊實(shí)例內(nèi)節(jié)點(diǎn)間的相互關(guān)系,尋找并不斷創(chuàng)建網(wǎng)絡(luò)中新的攻擊節(jié)點(diǎn),循環(huán)上述操作,直至無新的攻擊實(shí)例出現(xiàn),最終生成概率屬性網(wǎng)絡(luò)攻擊圖。概率屬性網(wǎng)絡(luò)攻擊圖生成算法GeneratNAG具體描述如下:

算法1GeneratNAG算法

輸入初始化攻擊節(jié)點(diǎn)s0,攻擊實(shí)例集合S

輸出PANAG

1.while S≠?

2.SNode←SNode∪{s0}

3.for each s∈S

4.if Hj∈pre(s)?SNodethen

5.createNode(Hj)//創(chuàng)建攻擊節(jié)點(diǎn)Hj

6.A←A∪{Hj}//A為攻擊圖的節(jié)點(diǎn)集合

7.for each Hi∈pre(s)

8.E←E∪{〈Hi,Hj〉}//E為攻擊圖中的邊集合

9.for each Hm∈post(s)

10.if Hm?SNodethen

11.createNode(Hm)

12.A←A∪{Hm}

13.E←E∪{〈Hj,Hm〉}

14.SNode← SNode∪{Hm}//更新當(dāng)前攻擊節(jié)點(diǎn)

15.S←S-{s}//將攻擊實(shí)例s從集合S中移除

16.GeneratNAG(PANAG,S)

在算法1中,首先收集歸納網(wǎng)絡(luò)攻擊狀態(tài)前置節(jié)點(diǎn)pre(s)和網(wǎng)絡(luò)攻擊狀態(tài)后置節(jié)點(diǎn)post(s),即模式化所有可能攻擊實(shí)例并存儲(chǔ)在集合S中,作為GeneratNAG的輸入。算法第1行～第4行將初始攻擊節(jié)點(diǎn)s0存儲(chǔ)在當(dāng)前攻擊節(jié)點(diǎn)集合SNode中,并搜索S中的節(jié)點(diǎn),判斷是否有以當(dāng)前攻擊節(jié)點(diǎn)為pre(s)的攻擊實(shí)例;第5行～第15行進(jìn)行判斷,若有攻擊實(shí)例滿足上述條件,則創(chuàng)建攻擊節(jié)點(diǎn)Hj,并建立該節(jié)點(diǎn)與其前置網(wǎng)絡(luò)狀態(tài)節(jié)點(diǎn)Hi的一條邊〈Hi,Hj〉,若該節(jié)點(diǎn)的網(wǎng)絡(luò)狀態(tài)后置節(jié)點(diǎn)Hm不屬于SNode,則建立Hm與其post(s)的一條邊〈Hj,Hm〉,并將Hm加入SNode中,同時(shí)將該攻擊實(shí)例從S中移除;第16行對(duì)于集合SNode中新的當(dāng)前攻擊節(jié)點(diǎn),循環(huán)執(zhí)行第4行～第15行操作,直到S為空集。算法第10行加入對(duì)網(wǎng)絡(luò)狀態(tài)后置節(jié)點(diǎn)Hm與SNode的判斷,以避免攻擊圖生成環(huán)路。

3 攻擊可行性及NAP算法分析

隨著網(wǎng)絡(luò)規(guī)模的不斷上升,相應(yīng)的主機(jī)節(jié)點(diǎn)數(shù)也會(huì)增多,攻擊圖會(huì)包含過多的攻擊路徑,影響攻擊路徑的有效預(yù)測(cè)。針對(duì)該問題,本文通過對(duì)攻擊圖中節(jié)點(diǎn)的單元攻擊成本(Unit Attack Cost,UAC)和單元攻擊收益(Unit Attack Revenue,UAR)進(jìn)行分析,引入攻擊價(jià)值的概念,提出一種基于攻擊價(jià)值的攻擊路徑生成算法。

3.1 單元攻擊成本分析

UAC指攻擊者發(fā)動(dòng)一次攻擊所消耗的成本,其由操作成本和風(fēng)險(xiǎn)成本組成。本文借鑒文獻(xiàn)[18]的思想,定義單元攻擊ei→j的操作成本由元操作成本cost(meta-operations)和操作序列成本cost(sequence)構(gòu)成,計(jì)算公式如下:

cost(ei→j)operation=α×cost(meta-operations)+

β×cost(sequence)

(2)

其中,α、β為元操作成本和操作序列成本所對(duì)應(yīng)的權(quán)重。

關(guān)于單元攻擊操作成本的詳細(xì)描述可參見文獻(xiàn)[18]。攻擊行為的風(fēng)險(xiǎn)成本應(yīng)根據(jù)具體的攻擊場(chǎng)景進(jìn)行量化,通常由風(fēng)險(xiǎn)系數(shù)和攻擊者累積的攻擊經(jīng)驗(yàn)決定。攻擊者每發(fā)動(dòng)一次攻擊都會(huì)存在被發(fā)現(xiàn)的可能,為此定義風(fēng)險(xiǎn)系數(shù)(δ)描述單元攻擊被發(fā)現(xiàn)的可能性大小。若攻擊者認(rèn)為目標(biāo)節(jié)點(diǎn)對(duì)于實(shí)現(xiàn)入侵意圖具有重要性,則該節(jié)點(diǎn)就很容易被攻擊,也很容易檢測(cè)到該攻擊行為。因此,定義節(jié)點(diǎn)重要度(M)作為風(fēng)險(xiǎn)成本評(píng)估因素。此外,風(fēng)險(xiǎn)成本與攻擊者的攻擊行為復(fù)雜度(φ)也具有相關(guān)性,攻擊行為復(fù)雜度越高,越容易利用節(jié)點(diǎn)中的弱點(diǎn),但面臨的風(fēng)險(xiǎn)也越大。因此,風(fēng)險(xiǎn)系數(shù)δ的數(shù)學(xué)模型如下:

δ(ei→j)=M(ei→j)×φ(ei→j)

(3)

由于攻擊者是理智的,當(dāng)攻擊者采取的攻擊次數(shù)越多時(shí),經(jīng)驗(yàn)就越豐富,其被發(fā)現(xiàn)的風(fēng)險(xiǎn)成本就越小。因此,定義風(fēng)險(xiǎn)成本的數(shù)學(xué)模型如下:

cost(ei→j)risk=η(ei→j)n-1×δ(ei→j)

(4)

其中,η(ei→j)為攻擊者經(jīng)驗(yàn)依賴系數(shù),n為成功攻擊的次數(shù)。式(3)、式(4)中的相關(guān)變量具體取值均結(jié)合實(shí)際網(wǎng)絡(luò)攻擊場(chǎng)景并由專家經(jīng)驗(yàn)給出。經(jīng)過分析,本文建立單元攻擊成本的計(jì)算模型如下:

UAC(ei→j)=ρ×cost(ei→j)operation+

ν×cost(ei→j)risk

(5)

其中,ρ、ν分別代表操作成本和風(fēng)險(xiǎn)成本的權(quán)重,且滿足ρ+ν=1。

3.2 單元攻擊收益分析

UAR是指攻擊者采取單元攻擊后獲得的收益。通常很難具體量化收益,本文用節(jié)點(diǎn)的資源損失(Resource Loss,RL)來表示UAR。

定義3(資源損失) 資源損失代表節(jié)點(diǎn)受到某類攻擊行為所遭受的損失大小。本文參考文獻(xiàn)[19],用攻擊致命度(Attack Fatality,AF)、危險(xiǎn)度(Risk)以及安全屬性3個(gè)因素描述攻擊的節(jié)點(diǎn)資源損失。

定義4(攻擊致命度) 攻擊致命度代表節(jié)點(diǎn)受到某類攻擊行為所產(chǎn)生的危害水平,可以用0～N之間的數(shù)值來表示各類攻擊的相對(duì)危害大小。依據(jù)2.2.1節(jié)對(duì)攻擊的分類,相同類型的攻擊行為賦予相同的致命度等級(jí),具體取值如表2所示。

表2 攻擊致命度等級(jí)表Table 2 Attack fatality rating table

目前被廣大研究人員認(rèn)可的能反映節(jié)點(diǎn)資源的安全特性為完整性、保密性和可用性,因此,本文采用三元組(Li,Lc,La)分別表示單元攻擊行為對(duì)節(jié)點(diǎn)資源三方面安全特性的不同致命度偏重,取值范圍均為[0,1]。

定義5(危險(xiǎn)度) 危險(xiǎn)度表示攻擊者的目標(biāo)攻擊節(jié)點(diǎn)所面臨的危險(xiǎn)程度。節(jié)點(diǎn)的危險(xiǎn)度可采用high、middle和low 3個(gè)等級(jí)來描述。攻擊者成功利用危險(xiǎn)度越高的節(jié)點(diǎn),相應(yīng)的資源損失就越大,危險(xiǎn)度等級(jí)具體取值由實(shí)際攻擊場(chǎng)景確定。

本文結(jié)合網(wǎng)絡(luò)具體環(huán)境,定義Basev為節(jié)點(diǎn)資源價(jià)值基數(shù),用Risk和Basev表示網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)的相對(duì)價(jià)值Value,即Value=Risk×Basev。此外,節(jié)點(diǎn)的資源價(jià)值相對(duì)于安全屬性往往具有一定偏重,用(Pi,Pc,Pa)描述對(duì)屬性的完整性、機(jī)密性和可用性的不同偏重,且滿足Pi+Pc+Pa=1。經(jīng)上述分析,給出單元攻擊ei→j攻擊成功后對(duì)網(wǎng)絡(luò)中節(jié)點(diǎn)造成的資源損失計(jì)算模型如下:

RL(ei→j)=AF×Value×(Li×Pi+Lc×Pc+La×Pa)

(6)

可以認(rèn)為單元攻擊ei→j對(duì)節(jié)點(diǎn)造成的資源損失就是本次攻擊的收益,即:

UAR(ei→j)=RL(ei→j)

(7)

3.3 攻擊可行性分析

在通常情況下,攻擊者對(duì)網(wǎng)絡(luò)中的目標(biāo)節(jié)點(diǎn)實(shí)施攻擊時(shí),會(huì)對(duì)該節(jié)點(diǎn)的攻擊價(jià)值w進(jìn)行綜合考量,當(dāng)攻擊者認(rèn)為本次攻擊的攻擊價(jià)值在目標(biāo)范圍內(nèi)時(shí)才會(huì)采取攻擊行為。因此,本文給出式(8)計(jì)算攻擊價(jià)值w,從而判斷攻擊行為的可行性:

w=UAR(ei→j)-UAC(ei→j)

(8)

從式(8)可以看出,攻擊可行性由節(jié)點(diǎn)的單元攻擊成本和單元攻擊收益共同決定。從攻擊者的角度考慮,若攻擊者認(rèn)為節(jié)點(diǎn)的單元攻擊成本高于收益(此時(shí)w<0),就會(huì)放棄對(duì)該節(jié)點(diǎn)的攻擊而尋找其他可行目標(biāo)節(jié)點(diǎn)。對(duì)攻擊價(jià)值的分析在一定程度上能夠消除攻擊路徑冗余,提高攻擊預(yù)測(cè)的準(zhǔn)確度。

3.4 攻擊路徑生成算法描述

定義6(偏序關(guān)系集(Partially Ordered Set,POS))PANAG中的2個(gè)任意相鄰節(jié)點(diǎn)Hi和Hm,如果Hi,Hm之間存在一條〈Hi,Hm〉有向邊,則稱〈Hi,Hm〉具有偏序關(guān)系。所有偏序關(guān)系構(gòu)成的集合稱為偏序關(guān)系集,記作POS。

為詳細(xì)展示NAP的形成過程,用true代表狀態(tài)變遷和攻擊行為發(fā)生,false代表不可能發(fā)生。通過對(duì)某目標(biāo)網(wǎng)絡(luò)中的節(jié)點(diǎn)進(jìn)行弱點(diǎn)分析,得到其含有的攻擊圖,依據(jù)上文的攻擊可行性分析并結(jié)合專家經(jīng)驗(yàn)為攻擊圖賦予攻擊價(jià)值w,然后以H0為起始點(diǎn),斷開以其為節(jié)點(diǎn)的一條邊,存放入POSi中,之后依照某一拓?fù)漤樞騟i→j逐漸得到POS。賦予w后的攻擊圖如圖3所示。

圖3 賦予攻擊價(jià)值的攻擊圖Fig.3 Attack graph with attack value

在圖3中,拓?fù)湫颚?{e0→1,e0→2,e1→3,e1→4,e2→4,e2→5,e2→4,e2→3,e3→6,e4→6,e5→6},具體流程如下:

1)斷開e0→1,w=1.5>0,e0→1←true,t0→1←true,POS0={〈H0,H1〉}。

2)斷開e0→2,w=1.9>0,e0→2←true,t0→2←true,POS1=POS0∪{〈H0,H2〉}。

3)斷開e1→3,w=-0.7<0,e1→3←false,t1→3←false。

4)斷開e1→4,w=2.3>0,e1→4←true,t1→4←true,POS2=POS1∪{〈H1,H4〉}。

5)斷開e1→5,w=-3.6<0,e1→5←false,t1→5←false。

6)斷開e2→3,w=-1.2<0,e2→3←false,t2→3←false。

7)斷開e2→4,w=1.2>0,e2→4←true,t2→4←true,POS3=POS2∪{〈H2,H4〉}。

8)斷開e2→5,w=2.5>0,e2→5←true,t2→5←true,POS4=POS3∪{〈H2,H5〉}。

9)斷開e3→6,w=0.5>0,e3→6←true,t3→6←true,POS5=POS4∪{〈H3,H6〉}。

10)斷開e4→6,w=3.1>0,e4→6←true,t4→6←true,POS6=POS5∪{〈H4,H6〉}。

11)斷開e5→6,w=1.7>0,e5→6←true,t5→6←true,POS7=POS6∪{〈H5,H6〉}。

12)遍歷變遷關(guān)系集合T,查找標(biāo)識(shí)為false的ti→j并將其從T中移除。

13)若T≠?,依據(jù)POS得到攻擊路徑NAPi:

NAP1=〈H0,H1,H4,H6〉

NAP2=〈H0,H2,H4,H6〉

NAP3=〈H0,H2,H5,H6〉

由上述結(jié)果可以看出,該方法通過對(duì)攻擊價(jià)值w的判斷,對(duì)攻擊行為和狀態(tài)變遷進(jìn)行標(biāo)識(shí),舍棄標(biāo)識(shí)為false的狀態(tài)變遷,有效減少了冗余路徑。基于攻擊價(jià)值的攻擊路徑生成算法BuildNAP具體描述如下:

算法2BuildNAP算法

輸入PANAG,偏序關(guān)系集POS,攻擊價(jià)值w,變遷關(guān)系集T,有向邊集合E,拓?fù)湫颚?任意節(jié)點(diǎn)Hi、Hj

輸出攻擊路徑集合NAP

1.φ←PANAG,POSi←?,Ti←?

2.FOR(根據(jù)φ查找每一個(gè)節(jié)點(diǎn)變量Hi)

3.在PANAG中找出與Hi存在變遷關(guān)系的節(jié)點(diǎn)Hj

4.IF(ei→j∈E)

5.IF(w>0)

6.ei→j←true,ti→j←true

7.ELSE

8.ei→j←false,ti→j←false

9.END IF

10.POSi∪{}

11.END IF

12.END FOR

13.遍歷集合T,移除所有標(biāo)志為false的ti→j

14.IF(T≠?)

15.NAPi←POS

16.RETURN NAPi

4 基于PANAG模型的入侵預(yù)測(cè)

攻擊者能否實(shí)現(xiàn)入侵意圖通常與網(wǎng)絡(luò)中節(jié)點(diǎn)之間的依賴關(guān)系以及節(jié)點(diǎn)包含的弱點(diǎn)屬性有關(guān)。然而,由于網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,攻擊者可以通過多條路徑實(shí)現(xiàn)其入侵意圖。因此,預(yù)先發(fā)現(xiàn)攻擊者的入侵意圖并及時(shí)掌握其可能實(shí)施的攻擊路徑,有助于防御網(wǎng)絡(luò)入侵。

4.1 入侵意圖的可達(dá)性分析

給定PANAG模型,如果存在任意節(jié)點(diǎn)Hi,Hj∈PANAG,Hi為攻擊者初始所在節(jié)點(diǎn),Hj為攻擊者完成入侵意圖Θ的前置條件節(jié)點(diǎn),若模型中含有以Hi為起始節(jié)點(diǎn)、Hj為最終節(jié)點(diǎn)的攻擊路徑〈Hi,Hi+1,…,Hj〉,則稱入侵意圖Θ可達(dá)。

4.2 入侵意圖的實(shí)現(xiàn)概率分析

在概率屬性網(wǎng)絡(luò)攻擊圖中,若攻擊者想要占有的目標(biāo)節(jié)點(diǎn)h含有多個(gè)弱點(diǎn),利用節(jié)點(diǎn)弱點(diǎn)聚類算法NVC能夠找出攻擊者最可能占有的弱點(diǎn),根據(jù)該弱點(diǎn)屬性計(jì)算節(jié)點(diǎn)h的可達(dá)概率為P(h)。假設(shè)有L條NAP能夠?qū)崿F(xiàn)入侵意圖,每條NAP的對(duì)應(yīng)節(jié)點(diǎn)數(shù)為φ(不同的NAP其φ取值可能不同),則入侵意圖Θ的實(shí)現(xiàn)概率計(jì)算公式為:

(9)

根據(jù)貝葉斯公式可計(jì)算出每條NAP的入侵意圖Θ的相對(duì)實(shí)現(xiàn)概率,如下:

P′(NAPl|Θ)=P(NAPl)P(Θ|NAPl)

(10)

其中,l=1,2,…,L。依據(jù)式(10)可找出實(shí)現(xiàn)入侵意圖概率最大的攻擊路徑,即攻擊者最可能采取的攻擊路徑。

5 仿真驗(yàn)證

5.1 仿真網(wǎng)絡(luò)環(huán)境

為驗(yàn)證本文提出的模型和算法的有效性與適用性,搭建一個(gè)仿真網(wǎng)絡(luò)環(huán)境進(jìn)行測(cè)試分析,其拓?fù)浣Y(jié)構(gòu)如圖4所示。

圖4 仿真網(wǎng)絡(luò)拓?fù)銯ig.4 Simulation network topology

仿真網(wǎng)絡(luò)包括M1、M2、M3以及DMZ 4個(gè)安全區(qū)域,每個(gè)安全區(qū)域內(nèi)節(jié)點(diǎn)之間可任意訪問。DMZ中包含Mail服務(wù)器、SMTP服務(wù)器以及DNS服務(wù)器,防火墻3保護(hù)DMZ區(qū)連接Internet。區(qū)域M2和M3內(nèi)的主機(jī)均可與DMZ中的3臺(tái)服務(wù)器互相訪問,區(qū)域M1與DMZ不能互相訪問。區(qū)域M3中的主機(jī)H4能夠訪問區(qū)域M2中的服務(wù)器H12,同時(shí)H4和M2中的主機(jī)H9與區(qū)域M1中的DB服務(wù)器能夠互相訪問。攻擊者通過Internet訪問該網(wǎng)絡(luò)。

在網(wǎng)絡(luò)節(jié)點(diǎn)上配置的相關(guān)弱點(diǎn)信息如表3所示。假定攻擊者的入侵意圖是竊取區(qū)域M1中DB服務(wù)器H12的隱秘?cái)?shù)據(jù)和敏感信息,為簡(jiǎn)化攻擊行為的可行性分析,本文首先依據(jù)文中的單元攻擊成本、單元攻擊收益的數(shù)學(xué)模型并結(jié)合專家經(jīng)驗(yàn),將節(jié)點(diǎn)H2的攻擊價(jià)值w賦值為-1.2,圖4中其他節(jié)點(diǎn)的攻擊價(jià)值w均大于0。

表3 節(jié)點(diǎn)弱點(diǎn)信息Table 3 Node vulnerability information

5.2 仿真結(jié)果及分析

首先利用節(jié)點(diǎn)弱點(diǎn)聚類算法NVC對(duì)該網(wǎng)絡(luò)中的弱點(diǎn)進(jìn)行預(yù)處理,輸出每個(gè)節(jié)點(diǎn)聚類后的弱點(diǎn),并依據(jù)式(1)計(jì)算出所有包含弱點(diǎn)的節(jié)點(diǎn)可達(dá)概率P,如表4所示。

表4 節(jié)點(diǎn)弱點(diǎn)聚類信息Table 4 Node vulnerability clustering information

根據(jù)網(wǎng)絡(luò)的節(jié)點(diǎn)弱點(diǎn)和拓?fù)浣Y(jié)構(gòu)信息,利用本文給出的概率屬性網(wǎng)絡(luò)攻擊圖生成算法GenerateNAG生成該網(wǎng)絡(luò)的攻擊圖,如圖5所示。

圖5 概率屬性網(wǎng)絡(luò)攻擊圖Fig.5 Probability attribute network attack graph

針對(duì)得出的PANAG模型,根據(jù)本文提出的攻擊可行性分析方法,利用攻擊路徑生成算法BuildNAP生成8條可行的攻擊路徑,如表5所示。在表5中,CP代表攻擊路徑的可達(dá)概率,其為每條攻擊路徑所經(jīng)過的各節(jié)點(diǎn)可達(dá)概率之積。

表5 實(shí)現(xiàn)入侵意圖的路徑信息Table 5 Path information to achieve intrusion intent

利用式(9)計(jì)算攻擊者的入侵意圖Θ的實(shí)現(xiàn)概率為P(Θ)=0.423,通過式(10)計(jì)算得出攻擊者實(shí)現(xiàn)入侵意圖的每條攻擊路徑的相對(duì)概率P′,具體結(jié)果為表5中第4列所示。由此可以看出,P′(NAP1|Θ)的取值最大,因此,NAP1為最可能采取的攻擊路徑,管理員應(yīng)對(duì)此進(jìn)行重點(diǎn)防御。

5.3 仿真結(jié)果比較

本文利用節(jié)點(diǎn)弱點(diǎn)聚類算法以有效簡(jiǎn)化網(wǎng)絡(luò)中的弱點(diǎn),并給出攻擊可行性的判斷依據(jù),消除了冗余攻擊路徑。經(jīng)過對(duì)已有研究的對(duì)比分析得出,文獻(xiàn)[9,20]與本文研究方法有一定的相似性。為此,本文進(jìn)行3組仿真實(shí)驗(yàn),在攻擊圖生成效果、執(zhí)行時(shí)間以及預(yù)測(cè)有效性3個(gè)方面進(jìn)行綜合對(duì)比,結(jié)果如下:

1)攻擊圖生成效果對(duì)比。為保證仿真結(jié)果的可比性,進(jìn)行與本文算法相同的仿真環(huán)境配置,使用文獻(xiàn)[20]攻擊圖生成算法生成攻擊圖,結(jié)果如圖6所示。

圖6 文獻(xiàn)[20]算法攻擊圖生成效果Fig.6 Attack graph generation effect ofthe algorithm in reference[20]

從圖6可以看出,文獻(xiàn)[20]算法生成的攻擊圖中攻擊者利用節(jié)點(diǎn)的不同弱點(diǎn)實(shí)現(xiàn)入侵意圖,但存在過多的冗余路徑,可讀性差。本文算法從攻擊者角度考慮,對(duì)生成的概率屬性網(wǎng)絡(luò)攻擊圖和攻擊路徑進(jìn)行有效簡(jiǎn)化,能夠更加清楚地描述節(jié)點(diǎn)關(guān)系,有助于攻擊路徑預(yù)測(cè)。

2)執(zhí)行時(shí)間對(duì)比。將本文算法與文獻(xiàn)[20]算法的攻擊圖生成時(shí)間進(jìn)行對(duì)比,首先在網(wǎng)絡(luò)中隨機(jī)増加主機(jī)節(jié)點(diǎn)數(shù)、拓?fù)潢P(guān)系及弱點(diǎn)數(shù),然后分別計(jì)算2種算法的執(zhí)行時(shí)間,結(jié)果如圖7所示。

圖7 2種算法的攻擊圖生成時(shí)間對(duì)比Fig.7 Comparison of attack graph generation timeof two algorithms

從圖7可以看出,當(dāng)主機(jī)節(jié)點(diǎn)數(shù)小于4 000時(shí),2種算法的執(zhí)行時(shí)間均低于10 s,隨著節(jié)點(diǎn)數(shù)的增多,2種算法的執(zhí)行時(shí)間都明顯上升;當(dāng)節(jié)點(diǎn)數(shù)不超過5 000時(shí),2種算法所需執(zhí)行時(shí)間基本上保持相同;當(dāng)節(jié)點(diǎn)數(shù)大于5 000時(shí),本文算法的時(shí)間消耗明顯少于文獻(xiàn)[20]算法,說明本文算法更適用于大規(guī)模復(fù)雜網(wǎng)絡(luò)。

3)預(yù)測(cè)性能對(duì)比。為驗(yàn)證本文算法的有效性,將其與文獻(xiàn)[9,20]算法進(jìn)行對(duì)比,預(yù)測(cè)準(zhǔn)確率結(jié)果如表6所示。

表6 預(yù)測(cè)準(zhǔn)確率對(duì)比Table 6 Comparison of prediction accuracy %

從表6可以看出,相比于文獻(xiàn)[9,20]算法,本文算法的準(zhǔn)確率更高,主要是因?yàn)楸疚睦霉?jié)點(diǎn)弱點(diǎn)聚類算法選出了攻擊者最可能利用的弱點(diǎn),并以此為依據(jù)計(jì)算攻擊者的最大概率攻擊路徑。

6 結(jié)束語

面對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境,進(jìn)行攻擊路徑預(yù)測(cè)有助于管理員分析網(wǎng)絡(luò)安全狀況。針對(duì)現(xiàn)有攻擊圖生成方法復(fù)雜度高、可讀性差的問題,本文提出節(jié)點(diǎn)弱點(diǎn)聚類算法NVC和概率屬性網(wǎng)絡(luò)攻擊圖生成算法GeneratNAG。通過分析影響攻擊可行性的因素,設(shè)計(jì)基于攻擊價(jià)值的攻擊路徑生成算法BuildNAP。在此基礎(chǔ)上,應(yīng)用概率推理預(yù)測(cè)攻擊者最可能采取的攻擊路徑。實(shí)驗(yàn)結(jié)果驗(yàn)證了本文算法較高的準(zhǔn)確性。本文綜合分析影響網(wǎng)絡(luò)攻擊行為的多方面因素,給出了節(jié)點(diǎn)的攻擊價(jià)值計(jì)算方式,但其中涉及較多參數(shù),且只能依據(jù)專家經(jīng)驗(yàn)給出取值。為提高算法執(zhí)行效率,下一步將利用數(shù)學(xué)模型來計(jì)算具體的參數(shù)數(shù)值。