基于貝葉斯攻擊圖的網(wǎng)絡(luò)入侵意圖分析模型

羅智勇，楊旭，劉嘉輝，許瑞

（哈爾濱理工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，黑龍江 哈爾濱 150080）

1 引言

信息技術(shù)的飛速發(fā)展，使現(xiàn)代社會(huì)對(duì)互聯(lián)網(wǎng)更加依賴，但是也使網(wǎng)絡(luò)攻擊更加復(fù)雜，更具有危害性。傳統(tǒng)的入侵檢測(cè)系統(tǒng)（IDS,intrusion detection system）只能在攻擊發(fā)生后對(duì)節(jié)點(diǎn)漏洞間的依賴關(guān)系進(jìn)行分析，進(jìn)而監(jiān)控攻擊行為，這屬于被動(dòng)防御[1]。因此IDS無(wú)法對(duì)網(wǎng)絡(luò)進(jìn)行系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估，針對(duì)未知網(wǎng)絡(luò)中潛在的風(fēng)險(xiǎn)，如軌跡隱蔽的多部攻擊進(jìn)行有效防護(hù)[2]。20世紀(jì)90年代，Phillips等[3]最早提出了攻擊圖的概念，利用受攻擊節(jié)點(diǎn)的配置信息、節(jié)點(diǎn)間的因果關(guān)系和攻擊者的能力生成攻擊圖，并將其應(yīng)用于對(duì)網(wǎng)絡(luò)脆弱性的分析。攻擊圖是一種由頂點(diǎn)和有向邊組成的有向圖，根據(jù)模型的不同，頂點(diǎn)可以表示主機(jī)、服務(wù)、漏洞、權(quán)限、網(wǎng)絡(luò)安全狀態(tài)的要素，有向邊表示攻擊者攻擊路徑的攻擊順序[4]。攻擊圖可以直觀地圖形化地展示攻擊行為的細(xì)節(jié)，如目標(biāo)網(wǎng)絡(luò)、漏洞、攻擊路徑等[5]，為預(yù)測(cè)攻擊者的攻擊意圖和后續(xù)攻擊行為提供支撐，便于管理員及時(shí)應(yīng)對(duì)突發(fā)的網(wǎng)絡(luò)入侵事件[6]。

胡浩等[7]提出的狀態(tài)轉(zhuǎn)移概率歸一化算法將攻擊圖映射為吸收馬爾可夫鏈，利用馬爾可夫鏈的馬爾可性和漏洞評(píng)分系統(tǒng)計(jì)算狀態(tài)轉(zhuǎn)移概率，對(duì)各個(gè)節(jié)點(diǎn)的可能訪問(wèn)次數(shù)和通向目標(biāo)節(jié)點(diǎn)的路徑長(zhǎng)度做出預(yù)測(cè)。雷程等[8]為了對(duì)網(wǎng)絡(luò)中的移動(dòng)目標(biāo)進(jìn)行防御并計(jì)算出成本和收益，利用攻擊圖建立分層網(wǎng)絡(luò)資源圖，結(jié)合變點(diǎn)檢測(cè)方法，提出了一種基于變點(diǎn)檢測(cè)的網(wǎng)絡(luò)移動(dòng)目標(biāo)防御效能評(píng)估方法，有效提高了網(wǎng)絡(luò)資源圖的構(gòu)建效率。Hu等[9]利用不同維度的告警信息和實(shí)時(shí)攻擊行為，計(jì)算出漏洞利用率，評(píng)估攻擊者的能力，提出基于動(dòng)態(tài)貝葉斯攻擊圖的威脅預(yù)測(cè)算法，實(shí)現(xiàn)量化網(wǎng)絡(luò)威脅和遭受持續(xù)攻擊的風(fēng)險(xiǎn)。王輝等[10]利用貝葉斯理論計(jì)算各節(jié)點(diǎn)的可達(dá)概率，描述單步攻擊發(fā)生概率，動(dòng)態(tài)預(yù)測(cè)網(wǎng)絡(luò)中潛在的風(fēng)險(xiǎn)，結(jié)合攻擊圖提出一種基于改進(jìn)型攻擊圖的入侵預(yù)測(cè)算法，簡(jiǎn)化告警證據(jù)和攻擊行為的聯(lián)系，提高預(yù)測(cè)的準(zhǔn)確性。秦虎等[11]用矩陣描述主機(jī)間的關(guān)系和狀態(tài)轉(zhuǎn)移過(guò)程中攻擊者權(quán)限的提升，提出一種基于權(quán)限提升矩陣的攻擊圖生成方法，該方法對(duì)于復(fù)雜網(wǎng)絡(luò)的攻擊圖生成問(wèn)題具有更好的適應(yīng)性。

上述研究基于攻擊圖建立了不同的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型，但對(duì)于原子攻擊概率的評(píng)估指標(biāo)過(guò)于單一，無(wú)法真實(shí)地反映攻擊者對(duì)目標(biāo)網(wǎng)絡(luò)和攻擊路徑選擇的可能性，且沒(méi)有針對(duì)攻擊者的意圖量化網(wǎng)絡(luò)節(jié)點(diǎn)的風(fēng)險(xiǎn)情況。本文基于貝葉斯攻擊圖建立了一種動(dòng)態(tài)網(wǎng)絡(luò)入侵意圖分析模型，主要工作和創(chuàng)新如下。

1)考慮到影響攻擊者攻擊行為的復(fù)雜因素，從漏洞價(jià)值、攻擊成本和攻擊收益3個(gè)指標(biāo)對(duì)原子攻擊概率進(jìn)行計(jì)算，更真實(shí)地反映了漏洞在實(shí)際網(wǎng)絡(luò)中被利用的情況。

2)將貝葉斯信念網(wǎng)絡(luò)和攻擊圖結(jié)合，針對(duì)攻擊者的攻擊意圖，建立動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估模型應(yīng)對(duì)安全要素不斷變化的復(fù)雜網(wǎng)絡(luò)，提高了風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性。

3)生成攻擊路徑并計(jì)算出路徑總體可達(dá)概率，實(shí)現(xiàn)對(duì)攻擊路徑的預(yù)測(cè)，避免了單個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)漏洞對(duì)路徑選擇的影響，提高了預(yù)測(cè)的準(zhǔn)確性。

2 貝葉斯攻擊圖建立

攻擊圖可以分為狀態(tài)攻擊圖和屬性攻擊圖。狀態(tài)攻擊圖中頂點(diǎn)表示網(wǎng)絡(luò)狀態(tài)信息，邊表示狀態(tài)的遷移方向和過(guò)程，但是狀態(tài)攻擊圖無(wú)法應(yīng)對(duì)快速增長(zhǎng)的狀態(tài)節(jié)點(diǎn)，并且結(jié)構(gòu)上不夠直觀，因此不適用于大規(guī)模網(wǎng)絡(luò)。屬性攻擊圖中每個(gè)屬性頂點(diǎn)代表一個(gè)獨(dú)立的安全要素，避免了狀態(tài)攻擊圖的狀態(tài)爆炸問(wèn)題[12]，因此，屬性攻擊圖對(duì)復(fù)雜的大規(guī)模網(wǎng)絡(luò)具有更好的適應(yīng)性。為了計(jì)算出攻擊圖中頂點(diǎn)到達(dá)概率和可能的攻擊路徑，本文利用貝葉斯信念網(wǎng)絡(luò)來(lái)描述攻擊間的因果關(guān)系，結(jié)合攻擊圖的圖形化結(jié)構(gòu)，生成貝葉斯攻擊圖對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估。

2.1 貝葉斯攻擊圖定義

貝葉斯攻擊圖（BAG,Bayesian attack graph）是一個(gè)有向無(wú)環(huán)圖，可以表示為BAG=(S,A,E,R,P)，具體定義如下。

1)S為屬性節(jié)點(diǎn)集合，分為三類，即S=Sstart∪Stransition∪Starget，其中，Sstart為網(wǎng)絡(luò)攻擊的發(fā)起節(jié)點(diǎn)，Stransition為攻擊行為的過(guò)程節(jié)點(diǎn)，Starget為攻擊者的目標(biāo)節(jié)點(diǎn)。其中，Si={0,1}，1表示攻擊者已經(jīng)成功利用該屬性節(jié)點(diǎn)漏洞占用該節(jié)點(diǎn)，0表示該節(jié)點(diǎn)未被占用。

2)A={Ai|i=1,2,…,n}為原子攻擊集合，表示攻擊者對(duì)節(jié)點(diǎn)漏洞的攻擊行為，即屬性節(jié)點(diǎn)的遷移方式，可表示為Ai:Spre→Snext。

3)E={Ei|i=1,2,…,n}為攻擊圖中的有向邊集合，表示屬性節(jié)點(diǎn)間攻擊行為的因果關(guān)系，其中(Spre，Snext)∈Ei表示從Spre攻擊Snext的一條有向邊。

4)R表示父子屬性節(jié)點(diǎn)間的關(guān)系，可用二元組表示，其中dj∈{AND,OR}。AND表示只有到達(dá)Sj的所有父節(jié)點(diǎn)狀態(tài)為真，攻擊才能完成；OR表示只要其中一個(gè)父節(jié)點(diǎn)狀態(tài)為真即可。

5)P為攻擊圖中屬性節(jié)點(diǎn)的可達(dá)概率；P1為攻擊圖中節(jié)點(diǎn)屬性的靜態(tài)可達(dá)概率；P2為攻擊圖中節(jié)點(diǎn)屬性的動(dòng)態(tài)可達(dá)概率。

2.2 貝葉斯攻擊圖結(jié)構(gòu)建立

貝葉斯攻擊圖的結(jié)構(gòu)與一般攻擊圖的結(jié)構(gòu)類似，本文采用模型化方法生成攻擊圖的主要結(jié)構(gòu)，示例如圖1所示。

圖1中，S0為攻擊的發(fā)起節(jié)點(diǎn)，S1和S2為過(guò)程屬性節(jié)點(diǎn)，S3和S4為攻擊者的目標(biāo)網(wǎng)絡(luò)節(jié)點(diǎn)，A1、A2、A3、A4、A5、A6為原子攻擊。AND表示原子攻擊A5和A6到達(dá)S4的攻擊策略全部為真，攻擊才可實(shí)現(xiàn)；OR表示原子攻擊A3和A4到達(dá)S3的攻擊策略只要有一個(gè)為真，攻擊就可實(shí)現(xiàn)，即圖例所示2條攻擊路徑完成其中任意一個(gè)，就可完成對(duì)目標(biāo)節(jié)點(diǎn)S3的攻擊。

圖1 貝葉斯攻擊圖示例

2.3 貝葉斯攻擊圖量化

2.3.1漏洞價(jià)值

漏洞價(jià)值與該屬性節(jié)點(diǎn)漏洞被利用的難易程度和影響大小有關(guān)，一般采用美國(guó)國(guó)家通用漏洞數(shù)據(jù)庫(kù)（NVD,national vulnerability database）提供的通用漏洞評(píng)分系統(tǒng)（CVSS,common vulnerability scoring system）[13]進(jìn)行量化。CVSS能提供完整的評(píng)分參數(shù)和開(kāi)放的評(píng)分框架，將動(dòng)態(tài)評(píng)估和屬性節(jié)點(diǎn)間漏洞的依賴關(guān)系結(jié)合，量化漏洞被利用的難易程度。本文根據(jù)CVSS量化標(biāo)準(zhǔn)，從可利用性、影響度和范圍3個(gè)指標(biāo)進(jìn)行量化，其中，可利用性包括攻擊途徑（AV,access vector）、攻擊復(fù)雜度（AC,access complexity）、權(quán)限要求（PR,privileges required）和用戶驗(yàn)證（UI,user interaction）；影響度包括機(jī)密性（C,confidentiality）、完整性（I,integrity）和可用性（A,availability）；范圍表示漏洞的影響是否會(huì)擴(kuò)大到其他組件。CVSS指標(biāo)評(píng)分如表1所示。

攻擊者攻擊漏洞時(shí)會(huì)依據(jù)漏洞的可利用性和影響度兩方面來(lái)考慮漏洞價(jià)值，所以為了量化漏洞價(jià)值，首先計(jì)算出代表漏洞價(jià)值的漏洞評(píng)分Score，其計(jì)算式為

其中，Impact表示漏洞影響因子，Exp表示漏洞利用因子，ISC表示中間變量，常數(shù)10表示Score的最大取值為10，其他常系數(shù)取值由CVSS根據(jù)安全策略進(jìn)行設(shè)置。

表1 CVSS指標(biāo)評(píng)分

定義1漏洞價(jià)值表示攻擊者利用某漏洞的可能性對(duì)于漏洞vi，用value(vi)表示其漏洞價(jià)值，大小與漏洞評(píng)分有關(guān)。由于CVSS標(biāo)準(zhǔn)的漏洞評(píng)分取值范圍是[0,10]，為了方便后續(xù)概率的計(jì)算，value(vi)的計(jì)算式為

2.3.2攻擊成本與收益

攻擊者對(duì)某網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)起攻擊時(shí)，不僅會(huì)考慮該節(jié)點(diǎn)漏洞的價(jià)值，還會(huì)考慮攻擊該節(jié)點(diǎn)的成本與攻擊完成后所帶來(lái)的收益。攻擊的成本與收益不會(huì)影響節(jié)點(diǎn)間原本的狀態(tài)轉(zhuǎn)移性質(zhì)，但是會(huì)影響攻擊者對(duì)攻擊節(jié)點(diǎn)的選擇，一個(gè)理性的攻擊者會(huì)選擇攻擊成本低、收益高的節(jié)點(diǎn)。本文參考馬春光等[14]的方法對(duì)攻擊成本與收益進(jìn)行定義。

定義2攻擊者在發(fā)起一次攻擊行為時(shí)，會(huì)投入人力資源、物力資源、攻擊代價(jià)等必要的成本，對(duì)于原子攻擊Ai，用cost(Ai)表示該次攻擊所消耗的成本，即攻擊成本。

本文從攻擊代碼信息（SI,shellcode information）、攻擊代碼對(duì)應(yīng)平臺(tái)（SP,shellcode platform）、攻擊操作需求（Or,operation requirement）、信息收集需求（IR,information requirement）4個(gè)指標(biāo)對(duì)攻擊成本進(jìn)行評(píng)估，具體評(píng)分如表2所示。

表2 攻擊成本評(píng)分指標(biāo)

利用SI、SP、Or、IR這4個(gè)指標(biāo)的評(píng)分可以對(duì)攻擊成本進(jìn)行量化，計(jì)算式為

定義3對(duì)于某一原子攻擊Ai，攻擊者通過(guò)該攻擊完成對(duì)節(jié)點(diǎn)的攻擊時(shí)，所能獲得的收益稱為攻擊收益，用income(Ai)表示，具體評(píng)分如表3所示。

表3 攻擊收益評(píng)分指標(biāo)

攻擊完成后的屬性節(jié)點(diǎn)最終狀態(tài)價(jià)值等同于該次攻擊的收益income(Ai)，本文給出的每個(gè)最終狀態(tài)價(jià)值評(píng)分是一個(gè)范圍值，在不同實(shí)際運(yùn)行的網(wǎng)絡(luò)環(huán)境中，具體的值可由管理員根據(jù)經(jīng)驗(yàn)來(lái)賦值。

2.3.3原子攻擊概率

綜合對(duì)節(jié)點(diǎn)漏洞價(jià)值、攻擊成本與收益的量化，可以計(jì)算出攻擊者在當(dāng)前屬性節(jié)點(diǎn)對(duì)其子節(jié)點(diǎn)發(fā)起攻擊的概率，即某一原子攻擊的概率，取值范圍為[0,1]。當(dāng)攻擊概率為0時(shí)表示該次攻擊對(duì)于攻擊者無(wú)收益，攻擊者不會(huì)發(fā)動(dòng)攻擊；攻擊概率為1時(shí)表示該次攻擊可獲得的收益遠(yuǎn)遠(yuǎn)大于成本，攻擊者必定會(huì)發(fā)起攻擊。

定義4攻擊者通過(guò)漏洞vi完成一次原子攻擊Aj的概率稱為原子攻擊概率，用P(Aj)表示，計(jì)算式為

2.3.4條件概率

在攻擊圖中，屬性節(jié)點(diǎn)并非是獨(dú)立的，能否被占用還受其父節(jié)點(diǎn)的影響，所以需要計(jì)算該節(jié)點(diǎn)在整個(gè)攻擊圖中的條件概率。

定義5條件概率表示某屬性節(jié)點(diǎn)在其父節(jié)點(diǎn)的影響下被攻擊的可能性，對(duì)于屬性節(jié)點(diǎn)Sj，條件概率用P(Sj|Par(Sj))表示，其中Par(Sj)表示Sj的父節(jié)點(diǎn)集合。根據(jù)dj的不同，條件概率的計(jì)算式分別如式(5)和式(6)所示。

1)當(dāng)dj=AND時(shí)，有

2)當(dāng)dj=OR時(shí)，有

2.3.5靜態(tài)可達(dá)概率

利用貝葉斯攻擊圖中全部屬性節(jié)點(diǎn)的條件概率，可計(jì)算出每個(gè)節(jié)點(diǎn)的可達(dá)概率，即靜態(tài)可達(dá)概率。靜態(tài)可達(dá)概率可以對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行靜態(tài)評(píng)估，展示網(wǎng)絡(luò)的靜態(tài)風(fēng)險(xiǎn)情況。

定義6靜態(tài)可達(dá)概率表示靜態(tài)網(wǎng)絡(luò)中各個(gè)屬性節(jié)點(diǎn)的可達(dá)概率，是當(dāng)前節(jié)點(diǎn)與其祖先節(jié)點(diǎn)的聯(lián)合條件概率，即對(duì)于Sj∈Stransition∪Starget，用P1(Sj)表示該節(jié)點(diǎn)的靜態(tài)可達(dá)概率，計(jì)算式為

在圖1中，屬性節(jié)點(diǎn)S1、S2的靜態(tài)可達(dá)概率由其條件概率結(jié)合S0靜態(tài)可達(dá)概率計(jì)算得出。屬性節(jié)點(diǎn)S3的靜態(tài)可達(dá)概率同樣依賴S1、S2的靜態(tài)可達(dá)概率，具體如圖2所示。

圖2 貝葉斯攻擊圖漏洞利用概率

S1、S2、S3的靜態(tài)可達(dá)概率為

2.3.6動(dòng)態(tài)可達(dá)概率

網(wǎng)絡(luò)并非是靜態(tài)的，任何網(wǎng)絡(luò)安全要素的變化都會(huì)影響到靜態(tài)可達(dá)概率，當(dāng)攻擊者的攻擊意圖已知（即Starget=1）時(shí)，整個(gè)攻擊圖中屬性節(jié)點(diǎn)的可達(dá)概率都可能隨之發(fā)生改變，所以為了針對(duì)攻擊者的意圖量化網(wǎng)絡(luò)風(fēng)險(xiǎn)，需要結(jié)合已知目標(biāo)屬性節(jié)點(diǎn)來(lái)更新其他節(jié)點(diǎn)的可達(dá)概率。

定義7將貝葉斯攻擊圖中屬性節(jié)點(diǎn)集合S={Si|i=1,2,…,n}分為目標(biāo)節(jié)點(diǎn)集合Supdate={Sj∈S|Sj=0}和需要更新的節(jié)點(diǎn)集合Starget=S-Supdate。動(dòng)態(tài)可達(dá)概率表示已知目標(biāo)節(jié)點(diǎn)為Sa(Sa∈Starget)后，對(duì)更新集中節(jié)點(diǎn)Sb(Sb∈Supdate)的可達(dá)概率進(jìn)行動(dòng)態(tài)更新后的概率，用P2(Sb|Starget)表示，計(jì)算式為

在圖1中，假設(shè)已知攻擊者的目標(biāo)屬性節(jié)點(diǎn)為S3，則屬性節(jié)點(diǎn)S2的動(dòng)態(tài)可達(dá)概率為

3 貝葉斯攻擊圖風(fēng)險(xiǎn)分析方法

3.1 靜態(tài)風(fēng)險(xiǎn)評(píng)估

計(jì)算出屬性節(jié)點(diǎn)的條件概率和靜態(tài)可達(dá)概率后，可在原始攻擊圖的基礎(chǔ)上構(gòu)建靜態(tài)風(fēng)險(xiǎn)評(píng)估模型，靜態(tài)風(fēng)險(xiǎn)評(píng)估可以評(píng)估網(wǎng)絡(luò)中的潛在風(fēng)險(xiǎn)，構(gòu)建算法如算法1所示。

3.2 動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估

現(xiàn)實(shí)的復(fù)雜網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全要素會(huì)隨著網(wǎng)絡(luò)的運(yùn)行不斷發(fā)生變化，在知道攻擊者的攻擊目標(biāo)時(shí)，靜態(tài)風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確率會(huì)降低。因此，必須結(jié)合根據(jù)貝葉斯理論計(jì)算出的動(dòng)態(tài)可達(dá)概率不斷更新屬性節(jié)點(diǎn)的可達(dá)概率，構(gòu)建動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估模型。構(gòu)建算法如算法2所示。

3.3 攻擊路徑生成

對(duì)網(wǎng)絡(luò)進(jìn)行入侵風(fēng)險(xiǎn)評(píng)估時(shí)，需要針對(duì)攻擊者的意圖預(yù)測(cè)出攻擊者可能發(fā)起攻擊的攻擊路徑。依據(jù)3.2節(jié)和3.3節(jié)中的攻擊圖算法，以目標(biāo)節(jié)點(diǎn)為起點(diǎn)，自下向上查找，得到可對(duì)此目標(biāo)節(jié)點(diǎn)發(fā)起攻擊的攻擊路徑。需要注意的是，對(duì)于某一目標(biāo)節(jié)點(diǎn)Si，如果其有3個(gè)父節(jié)點(diǎn)且父子間得依賴關(guān)系是OR時(shí)，需要再生成2條攻擊路徑來(lái)容納另外2個(gè)父節(jié)點(diǎn)，即通向該節(jié)點(diǎn)的路徑至少有3個(gè)。

定義8攻擊路徑表示在生成的貝葉斯攻擊圖中，入侵者可由初始屬性節(jié)點(diǎn)Sstart沿著一組屬性節(jié)點(diǎn)入侵至目標(biāo)節(jié)點(diǎn)Starget，則該組節(jié)點(diǎn)組成的路徑為貝葉斯攻擊圖的一條攻擊路徑APi，攻擊圖中的攻擊路徑集合記為Attack Path，具體算法如算法3所示。

定義9為了比較不同路徑被攻擊者攻擊的概率，將某條路徑上所有節(jié)點(diǎn)的可達(dá)概率進(jìn)行乘積運(yùn)算，其積為該路徑的總體可達(dá)概率，即對(duì)于APi，總體可達(dá)概率計(jì)算式為

4 實(shí)驗(yàn)分析與優(yōu)化評(píng)估

4.1 實(shí)驗(yàn)建立

為了驗(yàn)證基于貝葉斯攻擊圖的入侵意圖分析模型的準(zhǔn)確率，本文建立了如圖3所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。該結(jié)構(gòu)主要包含D1域、D2域、D3域和DMZ域，通過(guò)安裝防火墻劃分網(wǎng)絡(luò)區(qū)域，并制定子網(wǎng)間的通信規(guī)則，保證外部訪問(wèn)無(wú)法到達(dá)內(nèi)網(wǎng)區(qū)域。具體訪問(wèn)規(guī)則介紹如下。

圖3 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

1)D1域內(nèi)只有主機(jī)H6可以訪問(wèn)SQL數(shù)據(jù)庫(kù)。

2)D2域內(nèi)只有主機(jī)H9可以訪問(wèn)SQL數(shù)據(jù)庫(kù)。

3)D1域和D2域的主機(jī)可以與DMZ域內(nèi)的服務(wù)器相互訪問(wèn)。

4)D1域訪問(wèn)D2域只能通過(guò)主機(jī)H6訪問(wèn)主機(jī)H7。

5)域內(nèi)主機(jī)可以相互訪問(wèn)，禁止其他跨域訪問(wèn)。

4.2 攻擊圖生成

利用OVAL漏洞掃描器對(duì)實(shí)驗(yàn)網(wǎng)絡(luò)進(jìn)行掃描，得到各主機(jī)與服務(wù)器存在的漏洞信息，并利用式(1)和式(2)計(jì)算出漏洞價(jià)值，如表4所示。

表4 漏洞信息和漏洞價(jià)值

在圖3的實(shí)驗(yàn)網(wǎng)絡(luò)中，SQL數(shù)據(jù)庫(kù)服務(wù)器存在著重要數(shù)據(jù)，可以將H12看作攻擊者的入侵意圖，利用掃描到的漏洞信息、漏洞間的關(guān)系、主機(jī)與服務(wù)器信息、網(wǎng)絡(luò)配置等數(shù)據(jù)生成并輸出圖形化的攻擊圖，如圖4所示。

圖4 實(shí)驗(yàn)環(huán)境下的攻擊圖

圖4所示的攻擊圖中，屬性節(jié)點(diǎn)表示主機(jī)信息或者漏洞信息，原子攻擊表示屬性節(jié)點(diǎn)狀態(tài)遷移的方式。當(dāng)某一節(jié)點(diǎn)擁有多個(gè)父節(jié)點(diǎn)時(shí)，父子節(jié)點(diǎn)間的關(guān)系全為OR，即dj=OR。

4.3 風(fēng)險(xiǎn)評(píng)估

為了計(jì)算出不同原子攻擊的概率，首先要計(jì)算出對(duì)應(yīng)的攻擊成本。根據(jù)表2的評(píng)分標(biāo)準(zhǔn)，利用式(3)可以計(jì)算出攻擊圖中每次原子攻擊的消耗成本，如圖5所示。

圖5 原子攻擊成本

將計(jì)算出的攻擊成本與表4所示漏洞價(jià)值以及實(shí)驗(yàn)攻擊圖中原子攻擊的收益代入式(4)，計(jì)算出各個(gè)原子攻擊概率，如圖6所示。

圖6 原子攻擊概率

結(jié)合圖6中獲得的攻擊圖上每個(gè)原子攻擊的概率，計(jì)算出每個(gè)屬性節(jié)點(diǎn)的條件概率，再利用條件概率聯(lián)合攻擊軌跡依據(jù)算法1得出各個(gè)節(jié)點(diǎn)的靜態(tài)可達(dá)概率，對(duì)實(shí)驗(yàn)網(wǎng)絡(luò)進(jìn)行靜態(tài)風(fēng)險(xiǎn)評(píng)估。其中，節(jié)點(diǎn)S0的靜態(tài)可達(dá)概率初始化為P(S0)=0.7。確定攻擊目標(biāo)為S8后，按照3.3節(jié)提出的算法2和式(8)對(duì)攻擊圖中各個(gè)屬性節(jié)點(diǎn)的可達(dá)概率進(jìn)行更新，得到動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估攻擊圖中各個(gè)節(jié)點(diǎn)的動(dòng)態(tài)可達(dá)概率。其中，每個(gè)節(jié)點(diǎn)的靜態(tài)可達(dá)概率和動(dòng)態(tài)可達(dá)概率分布如圖7所示。

圖7 屬性節(jié)點(diǎn)可達(dá)概率

在知道攻擊者的目標(biāo)節(jié)點(diǎn)后，實(shí)驗(yàn)網(wǎng)絡(luò)中各個(gè)屬性節(jié)點(diǎn)的可達(dá)概率都呈現(xiàn)上升趨勢(shì)，即網(wǎng)絡(luò)的入侵風(fēng)險(xiǎn)有明顯的提升，目標(biāo)節(jié)點(diǎn)S8的可達(dá)概率也由47%上升到62%，中間屬性節(jié)點(diǎn)S2、S7的被入侵風(fēng)險(xiǎn)最高，需要采取措施更新主機(jī)補(bǔ)丁。所以在真實(shí)的網(wǎng)絡(luò)環(huán)境中，動(dòng)態(tài)評(píng)估方法對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性明顯高于靜態(tài)評(píng)估，可以為管理員進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)管理提供良好的支撐。

4.4 攻擊路徑

利用算法3對(duì)圖4所示的攻擊圖進(jìn)行查找，得到7條攻擊路徑，如表5所示。

表5 攻擊路徑

利用式(9)計(jì)算出每條路徑在靜態(tài)攻擊圖和動(dòng)態(tài)攻擊圖中的總體可達(dá)概率，如圖8所示。從圖8可以看到，無(wú)論在靜態(tài)模型還是動(dòng)態(tài)模型中，攻擊路徑AP2被入侵的風(fēng)險(xiǎn)最高。當(dāng)明確攻擊者的目標(biāo)后，各條路徑的總體可達(dá)概率均有所提高，特別是攻擊路徑AP4，通過(guò)該條路徑入侵節(jié)點(diǎn)S8的風(fēng)險(xiǎn)已經(jīng)接近AP2。數(shù)據(jù)表明，在確定攻擊者的意圖后，網(wǎng)絡(luò)風(fēng)險(xiǎn)發(fā)生了變化，動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估能夠更加準(zhǔn)確地分析網(wǎng)絡(luò)風(fēng)險(xiǎn)。

圖8 攻擊路徑總體可達(dá)概率

4.5 方法對(duì)比

攻擊圖中各屬性節(jié)點(diǎn)的可達(dá)概率是對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的主要指標(biāo)，攻擊路徑的預(yù)測(cè)可以為網(wǎng)絡(luò)管理員提供入侵防御依據(jù)。為了驗(yàn)證本文模型的優(yōu)越性，在同樣的網(wǎng)絡(luò)環(huán)境下，分別給出文獻(xiàn)[15]方法、文獻(xiàn)[16]方法與本文方法的實(shí)驗(yàn)數(shù)據(jù)對(duì)比。

圖9給出了同樣在圖5所示的網(wǎng)絡(luò)環(huán)境下，3種方法中不同屬性節(jié)點(diǎn)的動(dòng)態(tài)可達(dá)概率分布。文獻(xiàn)[15]和文獻(xiàn)[16]的評(píng)估模型也是采用貝葉斯信念網(wǎng)絡(luò)來(lái)描述網(wǎng)絡(luò)攻擊行為間的因果關(guān)系，但是由于其對(duì)漏洞的評(píng)估指標(biāo)過(guò)于單一，且沒(méi)有考慮到攻擊的成本與收益，導(dǎo)致二者的漏洞利用率并沒(méi)有真實(shí)地反映網(wǎng)絡(luò)中漏洞的被利用情況。由圖9可以看出，本文評(píng)估模型的準(zhǔn)確性明顯優(yōu)于二者，因?yàn)楸疚膹亩鄠€(gè)指標(biāo)對(duì)原子攻擊概率進(jìn)行計(jì)算，評(píng)估更加準(zhǔn)確。

預(yù)測(cè)攻擊者實(shí)施攻擊行為的攻擊路徑選擇是對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的進(jìn)一步分析。本文分別利用3種方法進(jìn)行攻擊路徑的預(yù)測(cè)，在相同網(wǎng)絡(luò)環(huán)境下，預(yù)測(cè)攻擊者對(duì)目標(biāo)節(jié)點(diǎn)所選擇的攻擊路徑。圖10展示了3種方法分別在靜態(tài)網(wǎng)絡(luò)和動(dòng)態(tài)網(wǎng)絡(luò)下對(duì)目標(biāo)節(jié)點(diǎn)S8預(yù)測(cè)被攻擊路徑的總體可達(dá)概率對(duì)比。

圖10 預(yù)測(cè)路徑可達(dá)概率對(duì)比

雖然3種方法都對(duì)攻擊者可能利用的攻擊路徑進(jìn)行了預(yù)測(cè)，但是很明顯，本文方法預(yù)測(cè)的路徑總體可達(dá)概率高于另外二者。這是因?yàn)椋紫龋邔?duì)于原子攻擊概率的量化過(guò)于單一，導(dǎo)致屬性節(jié)點(diǎn)的可達(dá)概率計(jì)算并不準(zhǔn)確。其次，二者預(yù)測(cè)攻擊路徑的方法是從目標(biāo)節(jié)點(diǎn)開(kāi)始，不斷向上查找可達(dá)概率最大的屬性節(jié)點(diǎn)，但是忽略了單個(gè)節(jié)點(diǎn)對(duì)攻擊路徑預(yù)測(cè)的影響。例如，通向某目標(biāo)節(jié)點(diǎn)有2條攻擊路徑，其中各屬性節(jié)點(diǎn)可達(dá)概率分別是(0.9,0.9,0.5,0.4,0.3)和(0.7,0.7,0.6,0.4,0.3)，如果按照文獻(xiàn)[15]和文獻(xiàn)[16]方法預(yù)測(cè)的結(jié)果應(yīng)該為后者，但是從整體性上考慮，攻擊者對(duì)攻擊路徑的選擇應(yīng)該更傾向于前者。

5 結(jié)束語(yǔ)

為了保護(hù)重要的網(wǎng)絡(luò)節(jié)點(diǎn)，針對(duì)攻擊意圖量化網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，給網(wǎng)絡(luò)安全管理員提供安全策略支撐，提出了一種基于貝葉斯攻擊圖的網(wǎng)絡(luò)入侵意圖分析方法。首先，利用漏洞價(jià)值、攻擊成本和收益3個(gè)評(píng)估指標(biāo)計(jì)算出原子攻擊概率，通過(guò)原子攻擊概率得到靜態(tài)可達(dá)概率和動(dòng)態(tài)可達(dá)概率量化攻擊圖，構(gòu)建基于入侵意圖的風(fēng)險(xiǎn)分析模型；其次，利用構(gòu)建的風(fēng)險(xiǎn)分析模型計(jì)算出每條攻擊路徑總體可達(dá)概率，預(yù)測(cè)可能的攻擊路徑；最后，從屬性節(jié)點(diǎn)的可達(dá)概率和預(yù)測(cè)路徑的總體可達(dá)概率2個(gè)方面和其他文獻(xiàn)的評(píng)估方法進(jìn)行對(duì)比，驗(yàn)證本文方法的優(yōu)越性。在實(shí)際網(wǎng)絡(luò)中，漏洞間的關(guān)聯(lián)性也會(huì)影響原子攻擊的概率，下一步將對(duì)此展開(kāi)研究，優(yōu)化網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)評(píng)估模型。