基于PANAG模型的攻擊路徑預測研究

王 輝,趙 雅,張 娟,劉 琨

(河南理工大學 計算機科學與技術學院,河南 焦作 454000)

0 概述

隨著互聯網的快速發展,網絡空間安全問題日益突出。2018年,CNCERT全年截獲計算機惡意程序超過1億個,其中包含計算機惡意程序家族超過51萬個,比2017年增加8 132個,全年計算機惡意程序傳播次數日均達500萬余次[1]。上述數據表明,網絡攻擊造成的安全問題已不容忽視,制定有效的安全防護措施尤為重要。攻擊路徑預測是當前主要的主動防御技術之一,其通過分析網絡中弱點關聯關系來發現攻擊者可能采取的攻擊路徑,從而為網絡防御提供理論依據[2-3]。目前,多數學者描述攻擊路徑時常使用的模型為攻擊樹和攻擊圖。攻擊樹具有直觀、可視化的層次結構,對攻擊行為具有較好的圖形化描述效果,但其存在擴展性較弱的問題,不適用于大規模復雜網絡[4]。攻擊圖具有良好的擴展性,能夠清晰地表達節點之間的依賴關系,為描繪攻擊路徑提供了一種可視化方法[5]。此外,網絡攻擊通常帶有主觀因素,具有不確定性,攻擊圖能夠描述攻擊者可能采取的所有攻擊行為,其具有處理不確定性關系的能力[6-7]。因此,利用攻擊圖預測攻擊者可能采取的攻擊路徑成為近年來學者們廣泛關注的一個研究熱點。

文獻[8]提出基于D-S證據理論的攻擊路徑預測方法,其應用概率推理計算攻擊路徑發生的可能性。文獻[9]通過分析攻擊行為發生的不確定性,提出一種綜合預測算法。文獻[10]通過概率攻擊圖推理攻擊節點的可達性,根據節點狀態及節點間的關聯關系預測可能發生的攻擊行為。文獻[11]分析網絡安全態勢要素,構建威脅狀態轉移圖用于實時預測網絡安全態勢,從而提高攻擊路徑預測的效果。上述方法主要依據當前網絡狀態對未來可能的攻擊行為進行預測,具有一定的可行性,然而卻忽略了攻擊者將目標節點的成本和收益作為攻擊依據的現象,從而導致路徑冗余問題,影響了攻擊路徑概率的準確計算。

文獻[12]針對攻擊發生的不確定性問題,將概率屬性添加到攻擊圖模型中,利用攻擊圖來推測關鍵攻擊路徑,但隨著網絡規模的不斷擴大,其生成的攻擊圖可能存在狀態爆炸問題。文獻[13]利用貝葉斯網絡將節點置信度轉化為對攻擊節點成本和收益的計算,對比不同節點的成本-收益來找出最可能的攻擊路徑,但其未對節點中的弱點進行屬性分析,導致預測準確度較低。文獻[14]構建模糊馬爾科夫鏈模型對網絡攻擊路徑進行預測,該模型的關鍵是確定適合的隸屬函數,當前常用的隸屬函數選取方法有模糊統計法、判別矩陣法以及例證法等,但上述方法都帶有主觀性,理論基礎較弱,存在預測通用性較低的問題。文獻[15]設計因果知識網絡描述網絡入侵過程,并給出改進的Dijkstra算法來識別入侵意圖和預測不同水平的攻擊者在攻擊路徑選擇上的差異性。該方法預測準確率較高但計算較為復雜,存在預測成本較高的問題。文獻[16]通過綜合分析攻擊者、防御者以及網絡環境三方面要素的相互關系,設計基于動態貝葉斯攻擊圖的攻擊路徑預測算法,但其網絡攻防具有動態性的特點,文中節點概率計算方式并不能實時描繪攻防雙方的對抗特征,導致預測效果不佳。

為避免攻擊圖生成的狀態爆炸問題,本文提出節點弱點聚類算法NVC和概率屬性網絡攻擊圖生成算法GeneratNAG。通過分析影響網絡攻擊行為的多方面因素,設計基于攻擊價值的攻擊路徑生成算法BuildNAP。利用優化后的攻擊路徑,應用概率推理思想計算基于入侵意圖的不同攻擊路徑的發生概率,以預測攻擊者最可能采取的攻擊路徑。

1 PANAG定義及NAP描述

攻擊路徑預測是以圖的形式尋找攻擊者為實現入侵意圖而可能采取的所有攻擊路徑。本文通過對網絡中的弱點屬性進行分析,構建概率屬性網絡攻擊圖模型,管理員能夠依據此模型分析出最大概率攻擊路徑,從而進行防御決策。給出概率屬性網絡攻擊圖、攻擊路徑定義如下:

定義1(概率屬性網絡攻擊圖) 設PANAG=(V,H,E,P,P′,T,W)為有向無環圖,其中:

1)V={?vi∈V,vi為一個弱點}為網絡中的弱點集合。若攻擊者能夠成功利用主機中的弱點,則會給網絡帶來安全隱患。

2)H={Hi|i=1,2,…,N}為攻擊圖中包含弱點的主機節點集合。其中,Hi={vj,vj+1,…,vm}(0

3)E={ek→r|k=1,2,…,N,r=1,2,…,N}為攻擊圖中節點之間存在關聯關系的有向邊集合,也即攻擊行為集合。有向邊〈Hk,Hr〉的攻擊行為可表示為ek→r。

4)P代表弱點被成功利用的概率,即節點可達概率,其由弱點的屬性決定,具體計算詳見2.1節。

5)P′代表攻擊者采取一系列相關攻擊行為后,實現入侵意圖的攻擊路徑相對概率。假設攻擊圖中包含L條實現入侵意圖的攻擊路徑,用Θ表示攻擊者的入侵意圖,則每條攻擊路徑的相對概率則表示為P′(NAPl|Θ),其中,NAPl為攻擊路徑,l=1,2,…,L。

6)T={tn→p|n=1,2,…,N,p=1,2,…,N}代表攻擊圖包含的節點狀態變遷集合,tn→p表示攻擊者在占有當前節點Hn的情況下成功占有下一個目標節點Hp并完成攻擊行為en→p的節點變遷。

7)W代表攻擊價值集合,?w∈W依附于攻擊圖的有向邊,其由攻擊成本與攻擊收益共同決定,計算公式詳見3.3節。

定義1主要綜合上述7種因素及相互關系給出概率屬性網絡攻擊圖模型。依照定義1,借助弱點掃描工具對目標網絡中的設備進行掃描,將具有弱點的主機作為攻擊圖節點,有向邊代表節點之間的關聯關系,生成如圖1所示的簡單攻擊圖。

圖1 簡單攻擊圖Fig.1 Simple attack graph

在圖1中,攻擊者從初始節點H0出發到成功占有H5最終實現入侵意圖,共包含8次不同的攻擊行為,分別為e0→1,e0→2,e1→3,e1→4,e2→3,e2→4,e3→5,e4→5,相應完成了8次狀態變遷,分別為t0→1,t0→2,t1→3,t1→4,t2→3,t2→4,t3→5,t4→5。攻擊者從當前所在節點到成功占據下一個關聯節點,必定利用了其含有的某一弱點,因此,依據弱點的屬性能夠衡量節點的可達性,便于預測攻擊者的可能攻擊路徑。

定義2(網絡攻擊路徑(Network Attack Path,NAP))對于入侵目標節點?HN∈H,攻擊者首先選擇初始節點?Hi∈H發起攻擊,其安全狀態發生改變后,對其他具有依賴關系的節點?Hm∈H進行攻擊。以此類推,直至最終占有HN,所經過的攻擊節點為Hi,Hm,…,HN,其中,任意2個相鄰的節點〈Hi,Hm〉滿足ti→m∈T,0

從定義2可以看出,網絡攻擊路徑描述了攻擊者實現入侵意圖而采取的一系列攻擊行為,體現了攻擊者對網絡中節點作不同選擇的可能性。以圖1為例,共包含如下4條攻擊路徑:

NAP1=〈H0,H1,H3,H5〉

NAP2=〈H0,H1,H4,H5〉

NAP3=〈H0,H2,H3,H5〉

NAP4=〈H0,H2,H4,H5〉

圖1中的攻擊者依次占有所有節點后到達H5,為準確直觀地描述概率屬性網絡攻擊圖與攻擊路徑的關聯性,對該攻擊過程進行如下分析:

1)在通常情況下,目標節點若含多個攻擊效果相同的弱點,則攻擊者會選擇容易利用的弱點,因此,弱點屬性影響節點的可達概率P。

2)在理論上,只需考慮節點的可達概率P,由于P>0,因此攻擊者可以從上述4條路徑中隨意挑選路徑發起攻擊,直至占有H5實現入侵意圖。但在實際中,若目標節點的攻擊成本高于收益,則攻擊者會放棄該節點,即攻擊價值在一定程度上決定了攻擊行為是否發生。假定w(e1→4)<0,攻擊者會放棄節點H4的攻擊,因此,NAP2為無效攻擊路徑。

3)若未有效分析攻擊圖中包含的弱點及攻擊路徑信息,會導致實現入侵意圖的有效攻擊路徑相對概率P′計算有偏差,即存在預測結果不準確的現象。

2 弱點概率屬性分析及PANAG生成算法

攻擊圖能夠方便管理員對網絡整體安全狀況進行分析決策,若攻擊圖過于復雜,則不利于管理員制定合理的防御策略。鑒于此,本文通過對弱點概率屬性進行分析,提出節點弱點聚類算法NVC和概率屬性網絡攻擊圖生成算法GeneratNAG,從而優化攻擊圖生成效果,增強其可讀性。

2.1 弱點概率屬性分析

在實際攻擊場景中,能夠被攻擊者利用的弱點通常含有某種漏洞。攻擊者能否實現節點狀態變遷與節點是否含有漏洞以及該節點的屬性有關。目前,被公認的能夠量化漏洞屬性的評分工具為通用漏洞評估系統(Common Vulerability Scoring System,CVSS)[17],漏洞屬性在攻擊路徑(Access Vector,AV)、攻擊復雜度(Access Complexity,AC)以及身份認證(Authentication,AU)三方面對應等級的具體取值如表1所示。

表1 漏洞屬性度量表Table 1 Vulnerability attribute measurement table

因為攻擊成功概率與所利用的漏洞屬性密切相關,所以本文使用CVSS對不同漏洞的屬性進行度量,判斷漏洞利用的難易程度,并以此為依據計算攻擊者的攻擊成功概率,即節點可達概率P,其計算公式如下:

P=AC×AV×AU

(1)

2.2 PANAG生成算法

在對網絡攻擊進行建模時,需要綜合分析網絡中的拓撲關系和弱點信息。當節點具有很多可以選擇利用的弱點時,就會存在多條攻擊路徑,因此,生成的攻擊圖會過于復雜。針對該現象,本文提出節點弱點聚類算法NVC來簡化節點中含有的弱點,然后利用概率屬性網絡攻擊圖生成算法GeneratNAG生成攻擊圖。

2.2.1 節點弱點聚類算法NVC

當攻擊者面臨目標節點內存在多個弱點可供選擇且攻擊效果相同時,往往會選擇最容易成功利用的弱點。為此,本文先綜合分析多種弱點被利用后產生的后果,將攻擊分為獲取信息(GI)、權限升級(PU)以及拒絕服務(DoS)3種類型,再采用節點弱點聚類算法NVC對節點弱點進行預處理。節點弱點聚類算法流程如圖2所示。

圖2 節點弱點聚類算法流程Fig.2 Procedure of node vulnerability clustering algorithm

在節點弱點聚類算法NVC中,首先利用掃描工具掃描網絡中節點含有的弱點信息并進行屬性分析;其次利用CVSS中對弱點的度量策略來計算攻擊圖中節點內每個弱點被攻擊成功的概率,對屬性相同的弱點進行聚類;最后對同種屬性的弱點,利用CVSS對弱點的度量策略選擇攻擊成功概率最高的弱點并作為聚類弱點的代表。NVC算法能夠起到減少弱點數目的作用。

2.2.2 概率屬性網絡攻擊圖生成算法GeneratNAG

隨著網絡規模的擴大,已有的攻擊圖生成方法已不能準確描述網絡安全狀況,為此,本文提出一種新的攻擊圖生成算法。根據單調性假設,攻擊者不會重復和放棄已攻擊占有的節點,因此,攻擊者必先成功占有前置狀態節點,后置狀態節點才可能出現,即前置狀態節點和后置狀態節點互為因果關系。因此,本文采用正向搜索的思想,首先搜索可能存在的攻擊實例,接著分析攻擊實例內節點間的相互關系,尋找并不斷創建網絡中新的攻擊節點,循環上述操作,直至無新的攻擊實例出現,最終生成概率屬性網絡攻擊圖。概率屬性網絡攻擊圖生成算法GeneratNAG具體描述如下:

算法1GeneratNAG算法

輸入初始化攻擊節點s0,攻擊實例集合S

輸出PANAG

1.while S≠?

2.SNode←SNode∪{s0}

3.for each s∈S

4.if Hj∈pre(s)?SNodethen

5.createNode(Hj)//創建攻擊節點Hj

6.A←A∪{Hj}//A為攻擊圖的節點集合

7.for each Hi∈pre(s)

8.E←E∪{〈Hi,Hj〉}//E為攻擊圖中的邊集合

9.for each Hm∈post(s)

10.if Hm?SNodethen

11.createNode(Hm)

12.A←A∪{Hm}

13.E←E∪{〈Hj,Hm〉}

14.SNode← SNode∪{Hm}//更新當前攻擊節點

15.S←S-{s}//將攻擊實例s從集合S中移除

16.GeneratNAG(PANAG,S)

在算法1中,首先收集歸納網絡攻擊狀態前置節點pre(s)和網絡攻擊狀態后置節點post(s),即模式化所有可能攻擊實例并存儲在集合S中,作為GeneratNAG的輸入。算法第1行～第4行將初始攻擊節點s0存儲在當前攻擊節點集合SNode中,并搜索S中的節點,判斷是否有以當前攻擊節點為pre(s)的攻擊實例;第5行～第15行進行判斷,若有攻擊實例滿足上述條件,則創建攻擊節點Hj,并建立該節點與其前置網絡狀態節點Hi的一條邊〈Hi,Hj〉,若該節點的網絡狀態后置節點Hm不屬于SNode,則建立Hm與其post(s)的一條邊〈Hj,Hm〉,并將Hm加入SNode中,同時將該攻擊實例從S中移除;第16行對于集合SNode中新的當前攻擊節點,循環執行第4行～第15行操作,直到S為空集。算法第10行加入對網絡狀態后置節點Hm與SNode的判斷,以避免攻擊圖生成環路。

3 攻擊可行性及NAP算法分析

隨著網絡規模的不斷上升,相應的主機節點數也會增多,攻擊圖會包含過多的攻擊路徑,影響攻擊路徑的有效預測。針對該問題,本文通過對攻擊圖中節點的單元攻擊成本(Unit Attack Cost,UAC)和單元攻擊收益(Unit Attack Revenue,UAR)進行分析,引入攻擊價值的概念,提出一種基于攻擊價值的攻擊路徑生成算法。

3.1 單元攻擊成本分析

UAC指攻擊者發動一次攻擊所消耗的成本,其由操作成本和風險成本組成。本文借鑒文獻[18]的思想,定義單元攻擊ei→j的操作成本由元操作成本cost(meta-operations)和操作序列成本cost(sequence)構成,計算公式如下:

cost(ei→j)operation=α×cost(meta-operations)+

β×cost(sequence)

(2)

其中,α、β為元操作成本和操作序列成本所對應的權重。

關于單元攻擊操作成本的詳細描述可參見文獻[18]。攻擊行為的風險成本應根據具體的攻擊場景進行量化,通常由風險系數和攻擊者累積的攻擊經驗決定。攻擊者每發動一次攻擊都會存在被發現的可能,為此定義風險系數(δ)描述單元攻擊被發現的可能性大小。若攻擊者認為目標節點對于實現入侵意圖具有重要性,則該節點就很容易被攻擊,也很容易檢測到該攻擊行為。因此,定義節點重要度(M)作為風險成本評估因素。此外,風險成本與攻擊者的攻擊行為復雜度(φ)也具有相關性,攻擊行為復雜度越高,越容易利用節點中的弱點,但面臨的風險也越大。因此,風險系數δ的數學模型如下:

δ(ei→j)=M(ei→j)×φ(ei→j)

(3)

由于攻擊者是理智的,當攻擊者采取的攻擊次數越多時,經驗就越豐富,其被發現的風險成本就越小。因此,定義風險成本的數學模型如下:

cost(ei→j)risk=η(ei→j)n-1×δ(ei→j)

(4)

其中,η(ei→j)為攻擊者經驗依賴系數,n為成功攻擊的次數。式(3)、式(4)中的相關變量具體取值均結合實際網絡攻擊場景并由專家經驗給出。經過分析,本文建立單元攻擊成本的計算模型如下:

UAC(ei→j)=ρ×cost(ei→j)operation+

ν×cost(ei→j)risk

(5)

其中,ρ、ν分別代表操作成本和風險成本的權重,且滿足ρ+ν=1。

3.2 單元攻擊收益分析

UAR是指攻擊者采取單元攻擊后獲得的收益。通常很難具體量化收益,本文用節點的資源損失(Resource Loss,RL)來表示UAR。

定義3(資源損失) 資源損失代表節點受到某類攻擊行為所遭受的損失大小。本文參考文獻[19],用攻擊致命度(Attack Fatality,AF)、危險度(Risk)以及安全屬性3個因素描述攻擊的節點資源損失。

定義4(攻擊致命度) 攻擊致命度代表節點受到某類攻擊行為所產生的危害水平,可以用0～N之間的數值來表示各類攻擊的相對危害大小。依據2.2.1節對攻擊的分類,相同類型的攻擊行為賦予相同的致命度等級,具體取值如表2所示。

表2 攻擊致命度等級表Table 2 Attack fatality rating table

目前被廣大研究人員認可的能反映節點資源的安全特性為完整性、保密性和可用性,因此,本文采用三元組(Li,Lc,La)分別表示單元攻擊行為對節點資源三方面安全特性的不同致命度偏重,取值范圍均為[0,1]。

定義5(危險度) 危險度表示攻擊者的目標攻擊節點所面臨的危險程度。節點的危險度可采用high、middle和low 3個等級來描述。攻擊者成功利用危險度越高的節點,相應的資源損失就越大,危險度等級具體取值由實際攻擊場景確定。

本文結合網絡具體環境,定義Basev為節點資源價值基數,用Risk和Basev表示網絡中各個節點的相對價值Value,即Value=Risk×Basev。此外,節點的資源價值相對于安全屬性往往具有一定偏重,用(Pi,Pc,Pa)描述對屬性的完整性、機密性和可用性的不同偏重,且滿足Pi+Pc+Pa=1。經上述分析,給出單元攻擊ei→j攻擊成功后對網絡中節點造成的資源損失計算模型如下:

RL(ei→j)=AF×Value×(Li×Pi+Lc×Pc+La×Pa)

(6)

可以認為單元攻擊ei→j對節點造成的資源損失就是本次攻擊的收益,即:

UAR(ei→j)=RL(ei→j)

(7)

3.3 攻擊可行性分析

在通常情況下,攻擊者對網絡中的目標節點實施攻擊時,會對該節點的攻擊價值w進行綜合考量,當攻擊者認為本次攻擊的攻擊價值在目標范圍內時才會采取攻擊行為。因此,本文給出式(8)計算攻擊價值w,從而判斷攻擊行為的可行性:

w=UAR(ei→j)-UAC(ei→j)

(8)

從式(8)可以看出,攻擊可行性由節點的單元攻擊成本和單元攻擊收益共同決定。從攻擊者的角度考慮,若攻擊者認為節點的單元攻擊成本高于收益(此時w<0),就會放棄對該節點的攻擊而尋找其他可行目標節點。對攻擊價值的分析在一定程度上能夠消除攻擊路徑冗余,提高攻擊預測的準確度。

3.4 攻擊路徑生成算法描述

定義6(偏序關系集(Partially Ordered Set,POS))PANAG中的2個任意相鄰節點Hi和Hm,如果Hi,Hm之間存在一條〈Hi,Hm〉有向邊,則稱〈Hi,Hm〉具有偏序關系。所有偏序關系構成的集合稱為偏序關系集,記作POS。

為詳細展示NAP的形成過程,用true代表狀態變遷和攻擊行為發生,false代表不可能發生。通過對某目標網絡中的節點進行弱點分析,得到其含有的攻擊圖,依據上文的攻擊可行性分析并結合專家經驗為攻擊圖賦予攻擊價值w,然后以H0為起始點,斷開以其為節點的一條邊,存放入POSi中,之后依照某一拓撲順序ei→j逐漸得到POS。賦予w后的攻擊圖如圖3所示。

圖3 賦予攻擊價值的攻擊圖Fig.3 Attack graph with attack value

在圖3中,拓撲序φ={e0→1,e0→2,e1→3,e1→4,e2→4,e2→5,e2→4,e2→3,e3→6,e4→6,e5→6},具體流程如下:

1)斷開e0→1,w=1.5>0,e0→1←true,t0→1←true,POS0={〈H0,H1〉}。

2)斷開e0→2,w=1.9>0,e0→2←true,t0→2←true,POS1=POS0∪{〈H0,H2〉}。

3)斷開e1→3,w=-0.7<0,e1→3←false,t1→3←false。

4)斷開e1→4,w=2.3>0,e1→4←true,t1→4←true,POS2=POS1∪{〈H1,H4〉}。

5)斷開e1→5,w=-3.6<0,e1→5←false,t1→5←false。

6)斷開e2→3,w=-1.2<0,e2→3←false,t2→3←false。

7)斷開e2→4,w=1.2>0,e2→4←true,t2→4←true,POS3=POS2∪{〈H2,H4〉}。

8)斷開e2→5,w=2.5>0,e2→5←true,t2→5←true,POS4=POS3∪{〈H2,H5〉}。

9)斷開e3→6,w=0.5>0,e3→6←true,t3→6←true,POS5=POS4∪{〈H3,H6〉}。

10)斷開e4→6,w=3.1>0,e4→6←true,t4→6←true,POS6=POS5∪{〈H4,H6〉}。

11)斷開e5→6,w=1.7>0,e5→6←true,t5→6←true,POS7=POS6∪{〈H5,H6〉}。

12)遍歷變遷關系集合T,查找標識為false的ti→j并將其從T中移除。

13)若T≠?,依據POS得到攻擊路徑NAPi:

NAP1=〈H0,H1,H4,H6〉

NAP2=〈H0,H2,H4,H6〉

NAP3=〈H0,H2,H5,H6〉

由上述結果可以看出,該方法通過對攻擊價值w的判斷,對攻擊行為和狀態變遷進行標識,舍棄標識為false的狀態變遷,有效減少了冗余路徑。基于攻擊價值的攻擊路徑生成算法BuildNAP具體描述如下:

算法2BuildNAP算法

輸入PANAG,偏序關系集POS,攻擊價值w,變遷關系集T,有向邊集合E,拓撲序φ,任意節點Hi、Hj

輸出攻擊路徑集合NAP

1.φ←PANAG,POSi←?,Ti←?

2.FOR(根據φ查找每一個節點變量Hi)

3.在PANAG中找出與Hi存在變遷關系的節點Hj

4.IF(ei→j∈E)

5.IF(w>0)

6.ei→j←true,ti→j←true

7.ELSE

8.ei→j←false,ti→j←false

9.END IF

10.POSi∪{}

11.END IF

12.END FOR

13.遍歷集合T,移除所有標志為false的ti→j

14.IF(T≠?)

15.NAPi←POS

16.RETURN NAPi

4 基于PANAG模型的入侵預測

攻擊者能否實現入侵意圖通常與網絡中節點之間的依賴關系以及節點包含的弱點屬性有關。然而,由于網絡規模的不斷擴大,攻擊者可以通過多條路徑實現其入侵意圖。因此,預先發現攻擊者的入侵意圖并及時掌握其可能實施的攻擊路徑,有助于防御網絡入侵。

4.1 入侵意圖的可達性分析

給定PANAG模型,如果存在任意節點Hi,Hj∈PANAG,Hi為攻擊者初始所在節點,Hj為攻擊者完成入侵意圖Θ的前置條件節點,若模型中含有以Hi為起始節點、Hj為最終節點的攻擊路徑〈Hi,Hi+1,…,Hj〉,則稱入侵意圖Θ可達。

4.2 入侵意圖的實現概率分析

在概率屬性網絡攻擊圖中,若攻擊者想要占有的目標節點h含有多個弱點,利用節點弱點聚類算法NVC能夠找出攻擊者最可能占有的弱點,根據該弱點屬性計算節點h的可達概率為P(h)。假設有L條NAP能夠實現入侵意圖,每條NAP的對應節點數為φ(不同的NAP其φ取值可能不同),則入侵意圖Θ的實現概率計算公式為:

(9)

根據貝葉斯公式可計算出每條NAP的入侵意圖Θ的相對實現概率,如下:

P′(NAPl|Θ)=P(NAPl)P(Θ|NAPl)

(10)

其中,l=1,2,…,L。依據式(10)可找出實現入侵意圖概率最大的攻擊路徑,即攻擊者最可能采取的攻擊路徑。

5 仿真驗證

5.1 仿真網絡環境

為驗證本文提出的模型和算法的有效性與適用性,搭建一個仿真網絡環境進行測試分析,其拓撲結構如圖4所示。

圖4 仿真網絡拓撲Fig.4 Simulation network topology

仿真網絡包括M1、M2、M3以及DMZ 4個安全區域,每個安全區域內節點之間可任意訪問。DMZ中包含Mail服務器、SMTP服務器以及DNS服務器,防火墻3保護DMZ區連接Internet。區域M2和M3內的主機均可與DMZ中的3臺服務器互相訪問,區域M1與DMZ不能互相訪問。區域M3中的主機H4能夠訪問區域M2中的服務器H12,同時H4和M2中的主機H9與區域M1中的DB服務器能夠互相訪問。攻擊者通過Internet訪問該網絡。

在網絡節點上配置的相關弱點信息如表3所示。假定攻擊者的入侵意圖是竊取區域M1中DB服務器H12的隱秘數據和敏感信息,為簡化攻擊行為的可行性分析,本文首先依據文中的單元攻擊成本、單元攻擊收益的數學模型并結合專家經驗,將節點H2的攻擊價值w賦值為-1.2,圖4中其他節點的攻擊價值w均大于0。

表3 節點弱點信息Table 3 Node vulnerability information

5.2 仿真結果及分析

首先利用節點弱點聚類算法NVC對該網絡中的弱點進行預處理,輸出每個節點聚類后的弱點,并依據式(1)計算出所有包含弱點的節點可達概率P,如表4所示。

表4 節點弱點聚類信息Table 4 Node vulnerability clustering information

根據網絡的節點弱點和拓撲結構信息,利用本文給出的概率屬性網絡攻擊圖生成算法GenerateNAG生成該網絡的攻擊圖,如圖5所示。

圖5 概率屬性網絡攻擊圖Fig.5 Probability attribute network attack graph

針對得出的PANAG模型,根據本文提出的攻擊可行性分析方法,利用攻擊路徑生成算法BuildNAP生成8條可行的攻擊路徑,如表5所示。在表5中,CP代表攻擊路徑的可達概率,其為每條攻擊路徑所經過的各節點可達概率之積。

表5 實現入侵意圖的路徑信息Table 5 Path information to achieve intrusion intent

利用式(9)計算攻擊者的入侵意圖Θ的實現概率為P(Θ)=0.423,通過式(10)計算得出攻擊者實現入侵意圖的每條攻擊路徑的相對概率P′,具體結果為表5中第4列所示。由此可以看出,P′(NAP1|Θ)的取值最大,因此,NAP1為最可能采取的攻擊路徑,管理員應對此進行重點防御。

5.3 仿真結果比較

本文利用節點弱點聚類算法以有效簡化網絡中的弱點,并給出攻擊可行性的判斷依據,消除了冗余攻擊路徑。經過對已有研究的對比分析得出,文獻[9,20]與本文研究方法有一定的相似性。為此,本文進行3組仿真實驗,在攻擊圖生成效果、執行時間以及預測有效性3個方面進行綜合對比,結果如下:

1)攻擊圖生成效果對比。為保證仿真結果的可比性,進行與本文算法相同的仿真環境配置,使用文獻[20]攻擊圖生成算法生成攻擊圖,結果如圖6所示。

圖6 文獻[20]算法攻擊圖生成效果Fig.6 Attack graph generation effect ofthe algorithm in reference[20]

從圖6可以看出,文獻[20]算法生成的攻擊圖中攻擊者利用節點的不同弱點實現入侵意圖,但存在過多的冗余路徑,可讀性差。本文算法從攻擊者角度考慮,對生成的概率屬性網絡攻擊圖和攻擊路徑進行有效簡化,能夠更加清楚地描述節點關系,有助于攻擊路徑預測。

2)執行時間對比。將本文算法與文獻[20]算法的攻擊圖生成時間進行對比,首先在網絡中隨機増加主機節點數、拓撲關系及弱點數,然后分別計算2種算法的執行時間,結果如圖7所示。

圖7 2種算法的攻擊圖生成時間對比Fig.7 Comparison of attack graph generation timeof two algorithms

從圖7可以看出,當主機節點數小于4 000時,2種算法的執行時間均低于10 s,隨著節點數的增多,2種算法的執行時間都明顯上升;當節點數不超過5 000時,2種算法所需執行時間基本上保持相同;當節點數大于5 000時,本文算法的時間消耗明顯少于文獻[20]算法,說明本文算法更適用于大規模復雜網絡。

3)預測性能對比。為驗證本文算法的有效性,將其與文獻[9,20]算法進行對比,預測準確率結果如表6所示。

表6 預測準確率對比Table 6 Comparison of prediction accuracy %

從表6可以看出,相比于文獻[9,20]算法,本文算法的準確率更高,主要是因為本文利用節點弱點聚類算法選出了攻擊者最可能利用的弱點,并以此為依據計算攻擊者的最大概率攻擊路徑。

6 結束語

面對復雜的網絡環境,進行攻擊路徑預測有助于管理員分析網絡安全狀況。針對現有攻擊圖生成方法復雜度高、可讀性差的問題,本文提出節點弱點聚類算法NVC和概率屬性網絡攻擊圖生成算法GeneratNAG。通過分析影響攻擊可行性的因素,設計基于攻擊價值的攻擊路徑生成算法BuildNAP。在此基礎上,應用概率推理預測攻擊者最可能采取的攻擊路徑。實驗結果驗證了本文算法較高的準確性。本文綜合分析影響網絡攻擊行為的多方面因素,給出了節點的攻擊價值計算方式,但其中涉及較多參數,且只能依據專家經驗給出取值。為提高算法執行效率,下一步將利用數學模型來計算具體的參數數值。