融合社交網絡威脅的攻擊圖生成方法

楊艷麗，宋禮鵬

（中北大學 大數據學院，太原 030051）

0 概述

攻擊圖技術通過圖形化的形式展示網絡中可能存在的攻擊路徑，幫助防御者直觀地理解目標網絡內各個脆弱性之間的關系，以便防御者采取相應的防御措施。PHILIPS［1］等人提出了攻擊圖的概念，并將其應用于網絡脆弱性分析。隨著攻擊圖技術的發展，攻擊圖作為關鍵技術被應用于告警信息關聯分析［2］、網絡風險評估［3］、網絡入侵意圖識別［4］等方面，但這些研究在攻擊圖構建過程中都未考慮社交網絡威脅對網絡安全狀況的影響。隨著網絡攻防對抗技術的不斷發展，攻擊者為達到入侵的目的，已不僅僅是依賴于網絡設備中存在的漏洞，而是更多地借助社交網絡發起社交工程攻擊。在社交網絡中，攻擊者利用社交網絡好友間的信任關系，模仿正常用戶與受害者進行互動，以達到竊取敏感信息的目的，而受害者難以發現［5］。因此，借助社交網絡和物理網絡入侵的兩網協作攻擊比單獨利用傳統網絡脆弱性的攻擊更具威脅性［6］。但由于社交工程攻擊隨生活方式的改變不斷產生新的攻擊方式，并且受非技術因素影響太大，目前鮮有研究將社交網絡威脅結合到傳統攻擊圖中。

知識圖譜具有組織、管理和理解互聯網海量信息的能力［7］。針對上述攻擊圖技術未將社交網絡威脅和傳統網絡脆弱性結合的問題，知識圖譜技術的知識組織和管理特性能夠為社交網絡和物理網絡的各類信息提供統一的知識表達方式，可以對現實網絡環境中的實體、概念、屬性以及它們之間的關系進行建模，盡可能直觀、真實地展現現實環境中的情況，利用其知識推理的能力可以對社交網絡數據和物理網絡數據進行關聯分析。知識圖譜的引入，可以將社交網絡和物理網絡有機地連接起來，從而豐富攻擊圖的輸入信息，提高攻擊圖分析的全面性和完備性。

本文提出一種基于知識圖譜生成融合社交網絡威脅的攻擊圖生成方法。通過構建融合社交網絡威脅的網絡安全本體模型和知識圖譜，整合社交網絡與物理網絡的相關數據，在此基礎上，利用廣度優先搜索算法和自定義的查詢推理規則生成融合社交網絡威脅的攻擊圖。

1 相關工作

1.1 攻擊圖技術

攻擊圖技術中的最小攻擊單位被稱為原子攻擊。由于攻擊圖的類型和需求不同，原子攻擊可以是一次漏洞利用攻擊、一次社交工程攻擊和一次非授權登錄行為，或僅表示網絡狀態發生了變化而不體現具體的攻擊細節［8］。

在攻擊圖生成方面，文獻［9］利用手工構建的安全規則和攻擊模式知識庫生成攻擊圖，該方法效率較低，且可能存在收集信息不全面、難以發現信息間的關聯關系等問題。文獻［10］提出了基于攻擊模式的廣度搜索攻擊圖的生成算法，該方法能有效減少冗余的攻擊路徑，但該方法中數據的存儲使用關系型數據庫，在存儲大規模數據時讀寫性能較差。文獻［11］以矩陣描述攻擊過程中攻擊者的權限提升過程，基于權限矩陣構建攻擊圖。上述研究成果存在的共同問題是忽略了社交工程對整個網絡帶來的威脅，導致防御者不能全面地掌握整個網絡狀況，一旦在內部社交網絡中發生社交工程攻擊，防御者難以及時采取有效措施。

在利用攻擊圖技術分析社交工程威脅方面，文獻［12］通過構建社交工程屬性攻擊圖，利用貝葉斯網絡實現社交網絡中社交工程對個人隱私威脅的評估，該研究主要是針對面向Internet 的社交賬號，并不完全適用于企業和組織內部的局域網社交網絡。文獻［13］提出一種社交工程框架，并用攻擊圖技術展示了社交工程攻擊各階段之間的相互關系。上述研究側重于利用攻擊圖技術分析社交工程造成的個人隱私數據泄露的問題，但未利用攻擊圖技術展示出社交工程攻擊對局域網終端設備的影響。另外，社交工程可以是網絡入侵過程中的一個階段性攻擊，單純利用社交網絡威脅構建的攻擊圖無法為防御者提供完整的攻擊鏈。

文獻［14］提出一種將社交工程威脅結合到傳統攻擊圖中的方法，其利用企業內部的訪問控制列表和通信圖來識別可能成為社交工程攻擊受害者的相關角色。該方法生成的攻擊圖在節點粒度上，沒有考慮詳細的網絡拓撲，一旦發生攻擊，無法準確地定位到受害者，在攻擊圖分析方面，沒有提供社交工程威脅利用成功率的評估模型。

1.2 網絡安全領域知識圖譜

在構建網絡安全領域知識圖譜方面，文獻［15］提出一種構建網絡安全本體的方法，并設計了STUCCO 網絡安全本體，該本體中涵蓋了15 種實體類型以及115 種屬性。文獻［16］提出一種構建網絡安全知識庫的方法，并設計了網絡安全知識庫架構，實現了網絡安全領域知識的抽取以及屬性和關系的推理。

隨著知識圖譜技術在醫療、金融等行業的廣泛應用，知識圖譜在網絡安全領域的研究也開始向應用方面發展。文獻［17］根據態勢感知的需求設計了物聯網網絡安全本體模型和用戶自定義推理規則，利用本體的推理能力實現了對復雜攻擊的推理和網絡態勢的推斷。文獻［18］提出利用原子攻擊知識圖譜生成擴展的攻擊圖，通過知識圖譜技術對多源信息融合的能力，為攻擊圖分析技術提供更加精確的攻擊成功率和攻擊收益評估，該方法提供了一種一般網絡通用的漏洞知識庫。

本文利用知識圖譜的方法關聯社交網絡和物理網絡的各類信息，將構建的知識圖譜應用于社交網絡威脅和傳統網絡脆弱性結合的屬性攻擊圖的生成與分析。本文將社交網絡威脅和漏洞作為攻擊圖的頂點，并以兩者為核心，根據搭建的內網環境和生成攻擊圖的需求，設置相關實體并與社交網絡威脅實體和漏洞實體進行關聯。上述構建網絡安全知識圖譜的研究成果主要以傳統網絡脆弱性為核心，其設計的網絡安全本體中未包含社交網絡的相關信息，因此不能直接用于指導本文攻擊圖的生成與分析，需要重新設計能輔助生成融合社交網絡威脅的攻擊圖的本體模型并構建知識圖譜。本文在參考上述研究成果的本體設計的基礎上，提出了“社交網絡+物理網絡”的本體模型。

2 “社交網絡+物理網絡”知識圖譜構建

知識圖譜的構建方法有自頂向下和自底向上兩種［7］。自頂向下是指預先定義領域內的本體模型，通過添加獲取的實體數據構建知識圖譜。自底向上是通過獲取到的數據抽象出領域內的概念，再將置信度較高的信息加入知識庫中，從而構建知識圖譜。本文采取自頂向下和自底向上相結合的方式構建知識圖譜。在預先定義好本體模型的基礎上，依據內網環境中收集到的數據，對本體模型中的類、關系和屬性進行補充。下文將介紹“社交網絡+物理網絡”的網絡安全本體模型的設計及知識圖譜構建。

2.1 本體模型設計

知識圖譜通常被劃分為模式層和數據層［7］。本體是結構化知識庫的概念模板，通過本體庫形成的知識庫不僅層次結構較強，而且冗余程度較小，所以本體庫通常作為知識圖譜的模式層。本文提出的“社交網絡+物理網絡”的本體模型的整體設計如圖1所示。

圖1 本體模型整體設計Fig.1 The overall design of the ontology model

本體模型主要包括以下8 種實體類型：

1）用戶：企業或組織內部對網絡中設備具有操作和訪問能力的人員。每個用戶實例包括資歷和身份兩種屬性。資歷用時間表示，以“年”為單位；身份指用戶在企業或組織內部承擔的角色或職位。在真實內網環境中，用戶和用戶之間存在具體的關系。用戶是物理網絡和社交網絡關聯的核心。

2）用戶名：企業或組織內部人員訪問網絡內設備需要登錄的用戶名。

3）權限：每個用戶名訪問設備時所具備的權限，主要包括管理員權限和用戶權限。

4）賬號：內部人員使用的內部通信軟件的賬號。所屬應用用以標識賬號所屬的具體通信軟件；賬號設置表示用戶設置的賬號登錄方式，例如記住密碼、自動登錄等。賬號之間通過好友關系建立起社交網絡。

5）資產：內部網絡中存在的各類設備，如服務器、計算機等。設備與設備之間存在連接關系（包括直連和遠程連接）。每個資產實例具備5 種屬性，分別為IP、MAC、操作系統、重要程度、區域。其中區域用以區分設備所處的網段。

6）攻擊：網絡中可能存在的威脅，包括社交網絡威脅和軟硬件漏洞利用攻擊等。每種攻擊實例包括攻擊條件和攻擊危害兩種屬性。

7）脆弱性：內部網絡中存在的已知漏洞。每個脆弱性實例包括脆弱性利用條件、脆弱性危害、CVSS（Common Vulnerability Scoring System）值、攻擊利用復雜度、利用路徑和認證方式6 種屬性。脆弱性利用條件是指脆弱性利用的訪問條件以及權限條件；脆弱性危害指脆弱性利用后可能產生的后果，例如信息泄露、系統破壞等；攻擊利用復雜度、利用路徑和認證方式是CVSS 中對脆弱性評分的3 個基礎指標，也是本文在計算脆弱性利用成功率中要用到的指標。

8）防御措施：能夠降低內部網絡威脅風險值的建議或措施。

基于以上本體模型構建的知識圖譜，能夠將物理網絡和社交網絡聯系在一起，為后續攻擊圖的生成和分析提供更加全面的數據。

2.2 知識圖譜構建

數據是知識圖譜構建中必不可少的部分，常見的網絡安全漏洞知識庫主要包括中國信息安全漏洞庫、CVE（Common Vulnerabilities and Exposures）漏洞庫和NVD（National Vulnerability Database）漏洞庫等各國政府建立的漏洞庫，以及知道創宇的Seebug漏洞平臺等由安全企業建立的漏洞庫。本文構建知識圖譜所用到的信息主要來自于搭建的內網環境中采集到的數據以及CVE、NVD 漏洞數據庫和安全論壇的網絡文本數據。

2.2.1 知識抽取

知識抽取是從半結構化和非結構化數據源中抽取實體、關系和屬性的過程，目前已有不少成熟的工具和方法［19-21］。

在網絡安全實體抽取方面，文獻［16］驗證了Stanford 的NER（Named Entities Recognition）工具提供的一些特征，能有效地識別網絡安全領域實體。本文中需要抽取2.1 節中提到的8 類實體，大部分實體可以從結構化數據中獲得。

關系抽取是從各類信息中抽取實體與實體、實體與屬性之間的關系，通常利用規則或機器學習的方法。本文需要抽取如圖1 所示的類與類之間存在的威脅、訪問、擁有、利用、修復、緩解等關系以及各類與其屬性之間存在的關系。對于半結構化或非結構化數據，利用已有的關系抽取技術實現。

屬性抽取是從信息源中獲取特定實體的相關屬性。本文中資產屬性通過網絡拓撲掃描可獲得結構化數據信息，其中區域以網段和各網段的設備類型劃分為外部服務器區、用戶區和內部服務器區，重要程度利用層次分析法對連接設備量、設備類型、設備訪問量、隱私數據量、設備使用人員身份5 個方面評估得出；從漏洞掃描報告和CVE 漏洞庫中可通過規則提取脆弱性屬性信息；攻擊屬性需要從非結構化的網絡文本數據中獲取。

利用采集的數據構建的局部知識圖譜如圖2所示。

圖2 局部知識圖譜Fig.2 Local of knowledge graph

2.2.2 知識推理

知識推理是對知識圖譜進行補全的一個過程，通過推理發現知識圖譜中實體間存在的隱藏關系或屬性。常見的推理方式有基于規則的推理、基于分布式表示的推理和基于神經網絡的推理［22］。本文通過自定義查詢和推理規則，實現在攻擊圖生成過程中對網絡節點連通性、社交賬號與網絡內設備之間映射等的查詢和推理。部分查詢和推理規則如下：

1）已知主機查找該主機上登錄的社交賬號：

sql="MATCH（n：賬號）←［r：擁有］-（u：用戶）-［r：擁有］→（m：用戶名）-［f：訪問］→（d：資產）WHERE d.uri='PC27'return n.uri"

2）節點連通性推理規則：

（A-［連接］-B）or（A.區域=B.區域）

2.2.3 知識存儲

常見的知識圖譜存儲方式包括圖數據庫和關系型數據庫。圖數據庫以圖的形式存儲數據，與傳統的關系型數據庫相比，圖數據庫查詢速度更快，并且能夠發現節點間隱藏的關系。目前常用的圖數據庫有Neo4j、OrientDB 和Titan 等，本文采用Neo4j 圖數據庫存儲知識圖譜數據。

3 基于知識圖譜的屬性攻擊圖生成與分析

3.1 攻擊圖生成過程

基于“社交網絡+物理網絡”知識圖譜生成攻擊圖的過程如圖3 所示。在攻擊圖生成過程中，數據處理是對知識圖譜中脆弱性和攻擊的利用條件以及危害信息進行提取標記，便于后期條件匹配時調用。查詢推理是通過自定義查詢規則獲取節點連接關系、訪問權限、節點漏洞、賬號與設備間映射關系等信息。條件匹配是指根據獲取的節點連通性、訪問權限、利用條件、危害、賬號間好友關系等信息來發現攻擊路徑。最后通過調用graphviz 實現攻擊圖的可視化。

圖3 基于“社交網絡+物理網絡”知識圖譜生成攻擊圖的過程Fig.3 Process of generating attack graph based on "social network+physical network" knowledge graph

3.2 攻擊圖生成算法

本文攻擊圖的生成分為兩個部分：一是利用社交工程手段的攻擊路徑的生成，便于第二部分的快速調用；二是社交網絡威脅和脆弱性利用攻擊相結合的攻擊圖的生成。社交網絡威脅攻擊路徑的生成方法如算法1 所示。

算法1社交攻擊路徑生成算法

算法1 生成社交網絡威脅攻擊路徑的集合，以便后續加入到攻擊圖中，生成過程采取了后向鏈接和廣度優先搜索的思想。首先從知識圖譜中查詢獲取社交賬號集和社交網絡威脅屬性，然后從社交賬號威脅屬性中提取利用條件和危害，分別作為其前置條件和后置條件；獲取目標賬號ai存在的威脅satti，若存在，則查找賬號ai具有好友關系的賬號列表；對于賬號列表中的每個賬號fj，若存在威脅sattj，且satti的后置條件滿足sattj的前置條件，則為其建立關系，同時為sattj與被其危害的設備建立連接關系；最后將從ai開始的所有攻擊路徑存入社交網絡威脅攻擊路徑集。重復以上過程直到遍歷完所有賬號。

在生成所有存在的社交網絡威脅攻擊路徑的基礎上，社交網絡威脅和漏洞利用攻擊相結合的攻擊圖的生成算法如算法2 所示。

算法2攻擊路徑生成算法

算法2 采用前向鏈接、廣度優先搜索的思想生成融合社交網絡威脅的攻擊圖。首先從圖數據庫中獲取設備節點集和脆弱性屬性，并從脆弱性屬性中提取利用條件和危害，分別作為其前置條件和后置條件；依次將node 中的節點作為目標節點，當nodei存在脆弱性vuli時，通過圖數據庫的查詢，找到nodei所有能訪問到的節點；對于鄰接節點集中的每個節點nj，如果nj存在vulj，并且vulj的后置條件滿足vuli的前置條件，則為其建立連接關系。在此基礎上，如果vuli的后置條件滿足其映射賬號的威脅的前置條件，則為其建立連接關系，并將該賬號的威脅攻擊路徑加入到攻擊圖鄰接表中。重復以上過程，直到遍歷所有的設備節點。

3.3 攻擊成功率與節點損失計算

攻擊成功率反映攻擊者成功入侵路徑上所有節點的概率。假設一條攻擊路徑R={n1，n2，…，nm}，則該路徑的攻擊成功率為：

3.3.1 傳統脆弱性利用成功率

CVSS 提供了一套通用的脆弱性評分機制，其度量指標中的攻擊路徑AV、攻擊復雜度AC、訪問認證條件AU 描述了漏洞利用的攻擊方式。因此，本文將這3 個指標作為漏洞利用攻擊成功率計算的指標，其中，AV、AC、AU 的概率賦值如表1 所示。

表1 攻擊路徑、攻擊復雜度和認證方式的概率Table 1 Probability of attack path，attack complexity and authentication method

由表1 可以看出，漏洞利用攻擊的入侵路徑條件越低，攻擊復雜度越低，對攻擊者的認證要求越低，一次漏洞利用攻擊的成功率越高。因此，本文定義一次漏洞利用攻擊成功概率為：

3.3.2 社交網絡威脅利用成功率

社交網絡中的社交工程攻擊通過收集用戶的信息發展和利用用戶間的信任關系，從而達到入侵網絡設備的目的。目前，大部分企業使用企業內部的通信工具軟件來提高工作效率［23］。因此，本文基于內部社交網絡的特征以及屬性攻擊圖的特點列出了3 種內部社交網絡可能存在的威脅，如表2 所示，其中誘餌計劃和網絡釣魚為社交工程攻擊。

表2 內部社交網絡可能存在的威脅Table 2 Possible threats to internal social networks

攻擊者在能訪問到通信軟件的環境條件下，利用社交賬號的登錄設置或通過一定技術盜取用戶的賬號及密碼，并偽裝成內網的正常用戶與受害者交互，這一過程稱為身份盜用。由于被盜取的賬號在內部社交網絡中與其他賬號之間存在一定的信任度，因此身份盜用攻擊為后續的誘餌計劃和網絡釣魚提供了攻擊基礎。

身份盜用成功率根據賬號登錄設置、用戶是否有使用弱密碼的習慣來定級。有弱密碼使用習慣的用戶可以猜測他的密碼復雜度不會太高，在密碼爆破時比較容易成功。弱密碼使用習慣可以從用戶對用戶名的密碼設置情況來檢測。當用戶未設置記住密碼或自動登錄，并且未檢測到用戶有弱密碼使用習慣時，暴力破解在密碼復雜度不確定的情況下，可能比較費時，所以概率取值比較低。身份盜用成功率P(n)取值如表3 所示。

表3 身份盜用成功率P(n)取值Table 3 Value of the success rate P(n)of identity theft

攻擊者通過身份盜用可獲得某一賬號的控制權，同時繼承該賬號在社交網絡中的信任度，從而利用用戶間信任發起社交工程攻擊。因此，誘餌計劃和網絡釣魚這兩種威脅的成功率根據賬號間信任度來度量。假設賬號a 被攻擊者控制，賬號b 對賬號a的信任度越高，社交工程攻擊成功率也越高。

在內網環境中，用戶和用戶之間彼此認識，所以賬號間的信任度可以轉化為現實環境中用戶間的信任度。本文利用用戶資歷和相處時間兩個因素來衡量用戶間的信任度。

在實際情況中，用戶資歷會對信任度產生影響。隨著資歷差值的增大，資歷淺的用戶對資歷深的用戶的信任度有所提升，但提升速度相對較緩。本文資歷表示用戶在企業或組織中工作或學習的時長，因此設置賬號a 對賬號b 基于資歷的信任度函數Re(ta，tb)：

其中，ta、tb表示賬號a 用戶和賬號b 用戶的資歷，tb-ta表示兩個用戶資歷差值。

在一般情況下，相處時間長的用戶值得相信。隨著相處時間的不斷變化，用戶間的信任度也動態地變化，且隨著相處時間的增長，信任度增長速度逐漸變緩，因此設置賬號a 對賬號b 基于相處時間的信任度函數Rt(ta，tb)：

其中，min(ta，tb)表示兩個用戶的相處時間，即資歷短的為兩人相處的時長。綜上所述，可得賬號a 對賬號b 的信任度R(a，b)：

其中，ta=0 和tb=0 表示兩個用戶為陌生關系，即相處時間很短，可根據實際情況確定時間界限值來定義陌生關系，C為常數，代表賬號a 用戶資歷深且兩個用戶為陌生關系時的信任度，即賬號a 對陌生人的信任度，α為權重，當賬號b 用戶資歷較深且兩個用戶為陌生關系時，相處時間對信任度的影響很小，即α取值較小，ρ為信任學習因子，其值越小，用戶資歷對信任度的影響越小。隨著相處時間的增加，用戶資歷對信任度的影響逐漸減小，ρ是動態變化的，因此將ρ值定義為：

綜上可知，誘餌計劃和網絡釣魚這兩種威脅的成功率P(n)：

其中，k為比例系數，代表社交工程成功率與用戶間信任度正相關。

3.3.3 節點和路徑損失計算

節點損失是指脆弱性利用或社交網絡威脅發生后對設備節點造成的影響。假設單個設備節點i被攻擊后產生了b種危害，則該節點i的損失為：

其中，wi為設備節點i的重要程度，是一個權重參數。因此，任意一條包含m個節點的攻擊路徑造成的路徑損失為：

圖4 網絡拓撲結構Fig.4 Network topology

3.4 結果分析

為驗證本文所提本體模型的可行性和生成攻擊圖的有效性，本文基于真實內部環境網絡進行實驗，所有實驗運算均在相同系統平臺（處理器Intel?Core?i7—8550U CPU 1.80 GHz，內存8.00 GB，操作系統Windows10）和編程環境（python 3.7）下進行。實驗環境的網絡拓撲如圖4 所示。

網絡中包含外部服務器區、用戶區和內部服務器區3 個區域。防火墻隔離外網和內網，攻擊者可通過遠程網絡連接對內部網絡系統發起攻擊。外部服務器區有一臺Web 服務器，為用戶區的用戶提供外網訪問的功能。內部服務器區包括通信服務器、FTP 服務器和SQL 服務器，為用戶區提供內部通信、文件傳輸和信息存儲的功能。由于內部網絡的配置，攻擊者從外部網絡只能訪問到外部服務器區，外部服務器區和內部服務器區不能訪問其他網段，用戶區主機可訪問外部服務器區和內部服務器區中的設備，用戶區有16 個用戶，每個用戶擁有自己的內網社交賬號。其中，有兩個用戶分別擁有訪問FTP 服務器和SQL 服務器的管理員賬號，有一個用戶為臨時人員且與其他用戶相處時間短。網絡中存在的脆弱性和社交網絡威脅如表4 所示。

表4 脆弱性及社交網絡威脅信息Table 4 Information of vulnerabilities and social network threats

為計算社交工程成功率，需確定式（5）和式（7）中C、α、k3 個參數，參數取值如表5 所示。根據CSS2015 調查報告顯示，在人際交往中對陌生人的信任度僅為0.056［24］，考慮到不同用戶可能對陌生人的信任度不同，因此將對陌生人的信任度C設置為［0.04，0.07］之間的值；α取值視用戶間的資歷差確定；本文將用戶間信任度視為社交工程攻擊成功率，因而k取值為1。

表5 參數取值Table 5 Parameter values

假設攻擊者在穿透防火墻后對內部網絡發起攻擊，在現有實驗環境下攻擊者可通過兩種方式入侵內網：一是通過漏洞利用攻擊實現對內部網絡的入侵，攻擊示意圖如圖5 所示；二是通過漏洞利用攻擊和社交工程攻擊相結合的方式達到入侵內網的目的，攻擊示意圖如圖6 所示，攻擊者通過漏洞利用攻擊獲得用戶區主機控制權后，盜用該主機上的社交賬號信息，冒充該用戶與正常用戶交互，利用用戶間的信任度獲取內部服務器的登錄賬號密碼或誘導正常用戶點擊惡意鏈接。

圖5 利用漏洞入侵內網的攻擊方式Fig.5 Attack methods to use loopholes to invade the intranet

圖6 利用漏洞和社交網絡威脅入侵內網的攻擊方式Fig.6 Attack methods that exploit vulnerabilities and social network threats to invade the intranet

為測試本文方法能夠提高攻擊圖分析的全面性，在現有網絡拓撲和脆弱性信息條件下，選擇文獻［10］中的方法得到傳統攻擊圖，與本文方法得到的攻擊圖進行對照分析。傳統攻擊圖如圖7 所示，使用本文方法得到的融合社交網絡威脅的攻擊圖如圖8 所示。從圖7 和圖8 兩個攻擊圖中可以看出，社交工程攻擊和利用傳統脆弱性的攻擊都能入侵到內網的FTP 服務器和SQL 服務器，從而竊取機密信息。在對網絡系統造成大規模破壞方面，攻擊者通過社交網絡可以使用誘餌計劃傳播木馬等惡意代碼，從而擴大攻擊范圍，但是僅利用軟硬件上存在的漏洞不足以對網絡系統造成大規模破壞。因此，本文方法得到的攻擊圖能使防御者更加全面地了解網絡安全狀況。

圖7 傳統攻擊圖Fig.7 Traditional attack graph

圖8 基于知識圖譜生成的融合社交網絡威脅攻擊圖Fig.8 Attack graph of fusion of social network threats generated based on knowledge graph

本文實驗中利用用戶間信任度度量社交工程的成功率。在實際攻擊中，當用戶間信任度較低時，社交工程容易失敗并且攻擊者會被發現，導致攻擊路徑無效。因此，對用戶間信任度進行約束，即用戶間信任度大于0.6 視為社交工程可成功發生，得到如圖9 所示的攻擊圖。另外，在實驗環境下得到的3 種攻擊圖的規模如表6 所示。

從表6 數據和3 種攻擊圖可以看出，在實驗環境下，約束用戶信任度后的攻擊圖的攻擊路徑數比不加約束的攻擊圖減少約15 個百分點，影響網絡內設備節點數減少約16 個百分點，由此可見：約束用戶信任度后的融合社交網絡威脅的攻擊圖能減少部分無效路徑；約束用戶信任度后的攻擊圖與傳統攻擊圖相比，有效攻擊路徑增加21 條，影響網絡內設備節點數增加6 個。在本文實驗環境中，網絡系統內有20 個節點，存在5 種不同漏洞和10 臺存在漏洞的設備，增加的6 個節點為不存在漏洞的設備。因此，借助社交網絡可入侵到不存在漏洞的設備，并且約束用戶信任度后的攻擊圖依然能為防御者提供相對全面的網絡威脅信息。

圖9 用戶間信任度大于0.6 的攻擊圖Fig.9 Attack graph with trust between users greater than 0.6

表6 攻擊圖規模對比Table 6 Comparison of attack graph scale

在內部網絡中，FTP 服務器上存放了重要內部資料，是網絡內部首要防御對象。為進一步說明引入社交網絡威脅能有效提高攻擊圖分析的全面性和準確性，根據圖7 和圖9 分別生成以FTP 服務器為攻擊目標，以attacker 為攻擊源的有效攻擊路徑，其路徑規模對比如表7 所示，根據圖7 傳統攻擊圖生成的有效攻擊路徑數據如表8 所示，根據圖9 攻擊圖生成的攻擊成功率前7的有效攻擊路徑數據如表9 所示。

表7 FTP 為攻擊目標的攻擊路徑規模對比Table 7 Comparison of attack path scale with FTP as the target

表8 根據圖7 生成的以FTP 服務器為攻擊目標且攻擊成功率前7 的攻擊路徑Table 8 Generate the attack path with the FTP server as the top7 attack success rate according to Fig.7

表9 根據圖9 生成的以FTP 服務器為攻擊目標且攻擊成功率前7 的攻擊路徑Table 9 Generate the attack path with the FTP server as the target and the top 7 attack success rate according to Fig.9

從表7 數據可看出，融合社交網絡威脅的攻擊圖生成的攻擊路徑比傳統攻擊圖增加5 條，且均為借助社交網絡入侵的路徑。由表9 可知，在攻擊成功率前7 的路徑中，3/7 的攻擊路徑為借助社交網絡入侵的路徑，且為表中攻擊成功率前3 的路徑，對網絡系統造成的損失也排在表中攻擊路徑的前4 位。由此可知，在以FTP 服務器為攻擊目標的攻擊路徑中，約42%的攻擊路徑為借助社交網絡入侵的路徑，其中，60%的攻擊路徑的攻擊成功率高于單純利用傳統網絡脆弱性進行攻擊的路徑。從防御角度來看，在防御資源有限的情況下，應當優先防御攻擊成功率最高和造成損失度最大的路徑節點。由表8 數據可知，攻擊成功率最高和造成損失度最大的路徑均為路徑1，因此優先防御的節點為Web 服務器，主機PC9 和FTP 服務器；由表9 數據可知，路徑1 借助社交網絡入侵，且攻擊成功率最高，比表8 路徑1 的攻擊成功率高出82.3%，表9 中路徑3 造成的損失度最高，因此優先防御路徑1 和路徑3 上的Web 服務器，主機PC27，社交賬號acc_num4，主機PC9，社交賬號acc_num7 和FTP 服務器。另外，社交工程攻擊需要利用社交網絡好友間信任度，所以在加強設備和賬號安全性的同時，需要加強對用戶網絡安全意識的培養。由以上分析可知，利用融合社交網絡威脅的攻擊圖進行網絡脆弱性分析時，比傳統攻擊圖的分析角度更全面，得到的威脅路徑更符合實際情況。

4 結束語

本文針對傳統攻擊圖中忽略社交網絡威脅的問題，設計一種融合社交網絡威脅的網絡安全本體模型并構建知識圖譜。通過對內部通信社交賬號使用特性的分析，列出3 種可能存在于局域網社交網絡的威脅，給出了社交網絡威脅的攻擊成功率的計算方法，并利用構建的知識圖譜生成社交網絡威脅和傳統網絡脆弱性相結合的攻擊圖。實驗結果表明，與傳統攻擊圖相比，本文生成的攻擊圖在對整個網絡的威脅分析上明顯比單純針對傳統網絡脆弱性生成的攻擊圖更加全面。后續將嘗試與入侵檢測相結合，優化攻擊圖生成算法，并檢測該算法在動態網絡中的實時性和準確率。