基于攻擊圖的主機安全評估方法

楊宏宇，袁海航，張良

（1.中國民航大學安全科學與工程學院，天津 300300；2.中國民航大學計算機科學與技術學院，天津 300300；3.亞利桑那大學信息學院，圖森AZ 85721）

0 引言

網絡主機是網絡拓撲的重要組成部分，日益復雜的攻擊手段和方式對網絡主機造成的威脅日益增加，主機面臨的安全問題日趨突出。評估各主機面臨的安全情況是掌握網絡整體安全性的基礎，深入挖掘和分析主機潛在風險能夠為網絡安全防御提供有效指導，對于保護網絡重要主機、保障網絡安全平穩運行具有重要意義[1]。

現有常見的網絡安全評估方法主要有博弈論[2]、基于攻擊圖模型[3]和層次分析法[4]等。相比于其他類型評估方法，基于攻擊圖的評估方法從攻擊角度出發，以節點和邊描述網絡系統各安全要素間的連接關系，通過攻擊路徑直觀有效地展示了所有可能的攻擊步驟，為主機安全管理和防御提供了強有力的分析方式和技術支撐。

文獻[5]以網絡資產間的互聯關系為基礎，識別威脅場景中的威脅事件，根據威脅事件發生的概率和損失，從攻擊路徑的角度分析各主機和網絡的安全情況，為主機防護提供了一定的理論依據。文獻[6]通過分析主機的漏洞利用關系，依據漏洞利用評分構建各主機間的狀態轉移矩陣，然后根據Markov過程評估主機安全。文獻[7]提出基于貝葉斯攻擊圖的網絡安全評估方法，該方法根據漏洞可利用概率計算各主機被攻擊的概率，依據主機資產價值計算主機和網絡被入侵的風險。文獻[8]提出一種定量的安全評估模型，該模型依據安全事件和告警數據構建貝葉斯攻擊圖并對網絡中的威脅場景進行預測，根據漏洞評分和主機資產度量網絡風險。文獻[9]提出一種基于邊權攻擊圖的風險評估方法，根據漏洞間的依賴性構建基于邊權的攻擊圖模型，通過攻擊目標的價值和利用概率對各漏洞進行了排序和分析，該方法為網絡安全防御策略的選取提供了有效支撐。文獻[10]通過分析漏洞在異構網絡環境下被利用的可能性和影響性，設計了漏洞風險排名算法，為量化漏洞在特定環境和組件下的風險和擴展模型的解決方案提供了新的思路。文獻[11]提出一種面向零日攻擊的概率計算方法，將系統實例圖轉換為貝葉斯網絡，依據貝葉斯網絡從路徑角度分析零日攻擊發生的概率，該方法在零日攻擊路徑識別方面具有一定的有效性。文獻[12]利用攻擊圖對主機和網絡進行安全評估，依據原子攻擊概率和鄰接矩陣求解主機安全狀況。

以上研究方法依據攻擊圖對網絡主機和漏洞進行了分析和評估，但均未考慮時間、漏洞所處主機環境和不同操作系統類型對原子攻擊概率的影響，且評估主機安全的方法未充分考慮主機資產重要性屬性權重的差異性和攻擊圖中主機間的關聯關系，評估結果并不合理。為解決上述研究中的不足，全面合理地分析主機安全性，本文提出一種基于攻擊圖的主機安全評估方法。

1 主機安全評估方法

基于攻擊圖的主機安全評估方法分為2 個階段：主機攻擊圖建立階段和主機安全值計算階段。

1) 主機攻擊圖建立階段。首先分析和探測目標網絡拓撲，依據主機中存在的漏洞和防火墻設定的各主機間通信規則生成主機攻擊圖。然后根據獲取到的漏洞信息量化原子攻擊概率并計算主機攻擊概率和漏洞影響值。

2) 主機安全值計算階段。首先依據先驗評分結果計算各主機資產重要性值。然后根據得到的主機攻擊圖分析主機間的攻擊利用關系并計算主機的拓撲結構重要性，由資產重要性和拓撲結構重要性共同表征主機重要性。最后，由攻擊概率、漏洞影響值和主機重要性計算主機安全值，主機安全評估方法總體架構如圖1 所示。

2 主機攻擊圖建立

根據攻擊圖中節點類型的不同，攻擊圖可以劃分為屬性和狀態攻擊圖；根據攻擊圖生成層次的不同，攻擊圖可以劃分為主機攻擊圖和漏洞層攻擊圖。其中主機攻擊圖中的節點表示網絡系統中的主機，主機攻擊圖能夠直觀展示主機間的關聯性和攻擊利用關系。為合理分析和評估主機安全狀況，本文選用主機攻擊圖從主機層面對主機進行安全評估。

2.1 主機攻擊圖定義

主機攻擊圖定義為三元組HAG=(N,E,P)。具體概念表示如下。

1)N表示主機攻擊圖中的節點集合且N=Nattack∪Nhost_i，其中Nattack表示初始攻擊主機，Nhost_i表示其他主機。

2)E={E1,E2,E3,…,En}表示邊集合，代表兩主機間的關聯關系，其中n表示攻擊圖中所有邊的數量。

3)P={P1,P2,P3,…,Pn}表示原子攻擊概率集合，原子攻擊概率表示攻擊圖中攻擊行為遷移的可能性大小，原子攻擊概率越大，表示兩主機間的攻擊行為越容易發生。

2.2 主機攻擊圖結構建立

根據目標網絡采集到的漏洞信息和主機通信訪問規則構建主機攻擊圖[12]，由于真實網絡環境下主機的漏洞可能并不唯一，為簡化攻擊圖規模，分析攻擊者最可能的攻擊意圖，當多條邊同時指向同一主機時，僅保留原子攻擊概率最大漏洞所在的邊，主機攻擊圖示例如圖2 所示。

圖2 主機攻擊圖示例

圖2 中，Nattack表示攻擊者所在的攻擊主機，Nhost_1～Nhost_5表示網絡拓撲中的正常主機，E1～E7表示主機攻擊圖中的邊，邊上的漏洞標注了攻擊者從前置主機到后置主機利用的漏洞。例如，邊E1表示攻擊者通過攻擊主機Nattack可以利用主機Nhost_1上的漏洞CVE-2017-12615 對主機Nhost_1發起攻擊并獲取權限。

2.3 主機攻擊圖中概率計算

2.3.1原子攻擊概率計算

漏洞的自身可利用性是影響原子攻擊概率取值的重要因素，通常根據通用漏洞評分系統（CVSS,common vulnerability scoring system）[13]進行量化計算。依據CVSS，漏洞的自身可利用性由攻擊途徑V、攻擊復雜度C及身份認證U量化，取值結果為

其中，VEi表示漏洞的自身可利用性；Vi按本地、鄰近拓撲、網絡劃分為3 個等級，取值分別為0.395、0.646、1；Ci按高、中、低劃分為3 個等級，取值分別為0.35、0.61、0.71；Ui按多重、單重和不需要認證劃分為3 個等級，取值分別為0.45、0.56、0.704。

漏洞的時間可利用性、環境可利用性和所在主機的操作系統類型同樣會影響原子攻擊概率大小。從時間角度分析，漏洞被發布的時間越長，漏洞被成功利用的可能性則越大。漏洞的時間可利用性（TE,time exploitability）由漏洞代碼被利用的可能用性和補丁修復程度共同決定，取值分別滿足Pareto 和Weibull 分布[14]，即

其中，l和r表示Pareto 分布系數，取值分別為0.26和0.001 61；q和u表示Weibull 分布系數，取值分別為0.209 和4.04；zi表示某一漏洞從公開日期至評估日期的天數。

從漏洞所處環境角度分析，漏洞所處主機的防御措施完備程度越高，對應原子攻擊概率取值越小。本文依據主機防御措施程度劃分為高、較高、中、較低和低5 個等級[15]，漏洞的環境可利用性（EE,environment exploitability）對應取值區間設定為0～0.2、0.2～0.4、0.4～0.6、0.6～0.8、0.8～1.0。取值越大表示漏洞越容易被利用，范圍區間內的具體取值可由評估人員依據各主機實際情況賦值。

從漏洞所在主機的操作系統分析，主機的操作系統安全性越高，則對應原子攻擊概率的取值越低。參考文獻[16]，本文將主流操作系統劃分為Linux 類系統、蘋果主機系統和Windows 類系統，對應操作系統的可利用性（OSE,operating system exploitability）取值設定為0.5、0.8、1.0。

依據漏洞的自身可利用性、時間可利用性、環境可利用性和操作系統可利用性，原子攻擊概率Pi的計算式為

2.3.2主機攻擊概率計算

主機攻擊圖中的攻擊路徑直觀地表示了攻擊者可能采取的所有攻擊序列，路徑攻擊概率從整體角度計算從初始攻擊主機到其他主機攻擊發生的可能性。以初始攻擊主機為起點，各主機為終點，通過深度優先查找所有攻擊路徑并由路徑上所有主機中漏洞的原子攻擊概率乘積計算攻擊概率，選取攻擊概率集合中的最大概率作為各主機的攻擊概率，即各主機的最大路徑攻擊概率為

2.4 主機漏洞影響值計算

主機上存在的漏洞會對主機產生影響，各主機的漏洞影響值為主機上全部漏洞產生的影響值之和。依據CVSS[13]，單個漏洞的影響值（VV,vulnerability impact value）為

其中，VCi、VIi、VAi分別為第i個漏洞對主機的機密性、完整性和可用性的影響值，VCi、VIi、VAi均按無、低、高劃分為3 個等級，取值分別為0、0.275、0.66。

各主機的漏洞影響值（HV,host node vulnerability impact）為

其中，n表示主機的漏洞個數。

3 主機安全值計算

主機的安全值由攻擊概率、漏洞影響值和主機重要性共同決定，其中主機重要性由主機的資產重要性和拓撲結構重要性共同表征。

3.1 主機資產重要性計算

主機的資產重要性通過主機的機密性、完整性和可用性量化，主機資產重要性計算過程設計如下。

步驟1依據不同主機的安全需求，根據國家標準《信息安全風險評估規范》[17]，將各主機的資產重要性屬性劃分為L1、L2、L3、L4、L5共5 個等級，更細粒度的劃分會增加先驗評分難度，導致資產重要性屬性等級難以界定，因此資產重要性屬性等級不再進一步劃分。資產重要性屬性取值評價如表1 所示。

表1 資產重要性屬性取值評價

步驟2由n位專家依據表1 對各主機資產重要性的屬性進行先驗賦值，由賦值結果構造第j個主機的資產重要性屬性評價矩陣Mj

步驟3對屬性評價矩陣中的各列元素歸一化處理，記處理后評價矩陣各元素為dik。由于相關性定權法[18]能夠綜合考慮屬性間的差異性和相關性，從相對客觀角度計算各屬性權重，因此本文采用相關性定權法求解資產重要性各屬性權重。

1) 第k列屬性d的平均值為

其中，n為矩陣行數。

2) 第k列資產重要性屬性的標準差為

3) 任意兩指標間的相關系數為

4) 第k列屬性所含的信息量為

5) 第j個主機的第k列資產重要性屬性的權重為

步驟4依據評價矩陣Mj，計算第j個主機資產重要性的第k個屬性的先驗評分取值ATTjk

步驟5計算第j個主機的資產重要性AI(Nhost_j)，如式(14)所示。

3.2 主機拓撲結構重要性計算

拓撲結構重要性從主機所在主機攻擊圖的結構角度分析主機的重要程度。其中拓撲結構重要性由主機的加權中介中心性和局部重要性組成。

加權中介中心性從主機攻擊圖的整體角度考慮主機的重要程度，在計算時需要計算任意兩節點間的最短路徑，而原子攻擊概率取值越大則表示兩節點間越容易到達，因此本文通過原子攻擊概率的倒數對主機攻擊圖加權，然后由式(15)計算各主機Nhost_i的加權中介中心性FI(Nhost_i)

其中，σ(Nhost_i)at表示從主機Nhost_a到Nhost_t的最短路徑中經過主機Nhost_i的最短路徑數，σat表示所有從主機Nhost_a到Nhost_t的最短路徑數。

主機的局部重要性從局部角度分析主機的重要程度，根據主機攻擊圖中各主機和其他主機間的關聯關系，由式(16)計算主機Nhost_i的局部重要性LI(Nhost_i)

其中，gi表示攻擊圖中與主機Nhost_i相連的邊數，gj表示與主機Nhost_i直接相連的主機所連的邊數，b表示與主機Nhost_i直接相連的主機數，n表示主機攻擊圖主機數。

根據計算得到的主機的加權中介中心性和局部重要性，由式(17)計算主機拓撲結構重要性TI(Nhost_i)

3.3 主機重要性和主機安全值計算

主機重要性由主機資產重要性和主機拓撲結構重要性表征，計算出主機資產重要性和主機拓撲結構重要性后，由式(18)計算各主機的主機重要性NI(Nhost_i)

依據計算出的主機攻擊概率、漏洞影響值和主機重要性，由式(19)計算各主機的安全值NR(Nhost_i)

其中，n表示主機攻擊圖中的主機個數。

4 實驗與結果分析

4.1 實驗環境

為驗證本文方法的有效性，在民航機場某業務仿真系統的網絡環境中進行驗證實驗。該仿真系統由民航某研究所研發，其原型系統已在國內數十家民航機場應用。該仿真系統的硬件平臺、網絡拓撲和核心功能與國內數十家民航機場實際運行的真實業務系統完全一致。由于該仿真系統是針對目前民航機場廣泛運行的典型業務系統的模擬仿真，尚未涉及云計算、虛擬化和SDN 等應用場景。

該仿真系統的總體抽象層次結構分為數據層、業務邏輯層、消息中間層和業務應用層，各層間相互協作以保障系統正常運行，總體抽象層次結構如圖3 所示。其中，數據層對應系統數據存儲區的數據庫服務器，負責數據庫管理和業務數據支持；業務邏輯層對應系統業務調度區的業務主機等，負責航班業務邏輯抽象、實現和管理；消息中間層對應系統網絡布線和系統交互區中提供信息交互的應用服務器等，負責信息內容過濾、系統數據共享和報文收發等；業務應用層對應系統業務調度區、系統監控區和系統交互區中各主機的具體應用和服務等。

圖3 仿真系統的總體抽象層次結構

該仿真系統的網絡拓撲結構如圖4 所示，分為系統交互區、系統業務調度區、數據存儲區和系統監控區。

圖4 仿真系統的網絡拓撲結構

各區域提供的功能及服務如下。

1) 系統交互區的主要功能為提供該業務系統與其他業務系統的數據交互服務。其中，管理控制主機Nhost_1提供基于Web的異常處理和內容過濾服務，應用服務器Nhost_2提供多業務單位和部門間的信息交互與數據共享服務，應用服務器Nhost_3提供航班運行動態業務信息（如SITA 報、AFTN 報等）的發送與接收解析等服務。

2) 系統業務調度區的主要功能為處理航班運行業務并進行航班信息管理。其中，業務主機Nhost_4提供航班運行業務的基礎數據和動態航班等信息的發布服務，業務主機Nhost_5提供系統信息管理功能，對航班狀態、航班計劃和系統資源等信息進行更新和管理。

3) 數據存儲區的主要功能為存儲機場運行過程中的各類業務數據。其中，數據庫服務器Nhost_6存儲航班信息的基礎數據和動態航班信息及各類業務信息，備份數據庫服務器Nhost_7對機場各類業務數據和信息進行備份存儲和管理。

4) 系統監控區的主要功能為監控系統運行狀態。其中，配置管理主機Nhost_8對系統進行配置管理和航班信息維護，運行監控主機Nhost_9通過運行監控軟件監控系統運行狀態以保障系統安全平穩運行。

4.2 攻擊圖生成

首先，利用Nmap 工具探測上述網絡拓撲，獲取各主機間的連通關系和漏洞信息。其中各主機間的網絡連通關系如表2 所示。

表2 各主機間的網絡連通關系

然后，依據各主機的漏洞信息，由式(1)計算漏洞自身可利用性VE，主機漏洞信息如表3 所示。

最后，依據表2 和表3 生成主機攻擊圖，結果如圖5 所示。從圖5 可知，主機攻擊圖共包含10 個節點和15 條邊，分別表示網絡拓撲中的主機、主機間的關聯關系。

圖5 主機攻擊圖生成

表3 主機漏洞信息

4.3 主機攻擊概率和漏洞影響值計算

首先，計算各漏洞原子攻擊概率。依據漏洞公開時間，由式(2)計算漏洞時間可利用性。將漏洞自身可利用性、漏洞時間可利用性、漏洞環境可利用性和操作系統可利用性取值代入式(3)，計算得到各漏洞原子攻擊概率，結果如圖6 所示。

圖6 原子攻擊概率

然后，由圖5 查找所有攻擊路徑，依據圖5 中的原子攻擊概率，由式(4)計算得到各主機的最大攻擊概率，結果如表4 所示。

表4 主機攻擊概率

最后，依據表3 各主機漏洞信息，由式(5)和式(6)計算得到各主機的漏洞影響值，結果如表5 所示。

表5 主機漏洞影響值

4.4 主機重要性和安全值計算

首先，計算各主機的資產重要性和拓撲結構重要性。以主機Nhost_1為例說明主機資產重要性的計算流程。由5 位專家依據表1 對主機Nhost_1的資產重要性屬性進行先驗評分賦值，由先驗賦值結果構建主機Nhost_1的資產重要性屬性矩陣M1

將矩陣M1各列元素歸一化處理后，依據式(8)～式(12)計算主機Nhost_1的資產重要性屬性權重，分別為(0.309 2,0.326 0,0.364 7)。由式(13)計算得到主機Nhost_1的各資產重要性屬性評分取值分別為(2.2,2.4,3.8)，將計算得到的屬性權重和屬性評分取值代入式(14)計算得到主機Nhost_1的資產重要性為3.04。同理計算其余8 個主機的資產重要性屬性權重和資產重要性，得到9 個主機的資產重要性屬性權重和資產重要性如表6 所示。

表6 主機資產重要性屬性權重和資產重要性

然后，依據3.2 節中的方法得到加權后的主機攻擊圖，由式(15)和式(16)計算出各主機的加權中介中心性和局部重要性，代入式(17)得到各主機的拓撲結構重要性，結果如表7 所示。

表7 主機拓撲結構重要性

將表6 和表7 中的主機資產重要性和拓撲結構重要性代入式(18)，計算得到主機重要性，將表4中各主機攻擊概率和計算出的主機重要性代入式(19)，計算得到各主機的安全值，結果如圖7 所示。

圖7 主機重要性和主機安全值

由圖7 可知，1) 9 個主機的主機重要性排序結果為NI(Nhost_6)＞ NI(Nhost_7)＞NI(Nhost_4)＞ NI(Nhost3)＞NI(Nhost_5)＞ NI(Nhost_2)＞ NI(Nhost_1)＞ NI(Nhost_8)＞NI(Nhost_9)，表明在綜合考慮主機資產重要性和拓撲結構重要性后，主機Nhost_6相比于其他主機更重要；2) 9 個主機的安全值排序結果為 NR(Nhost_2)＜NR(Nhost_3) ＜NR(Nhost_6) ＜NR(Nhost_4) ＜NR(Nhost_1)＜NR(Nhost_5)＜ NR(Nhost_9)＜NR(Nhost_8)＜NR(Nhost_7)，表明在綜合考慮主機的主機重要性、漏洞影響值和攻擊概率后，主機Nhost_2的安全值最低。

上述結果與實驗所用仿真系統對應的機場某真實業務系統的網絡真實情況一致，且與真實系統的多次安全評估結果一致。因此本文方法能夠有效分析不同主機的重要性并對各主機的安全狀況進行量化評估。

4.5 原子攻擊概率對比

原子攻擊概率表示攻擊圖中攻擊行為遷移的可能性大小，為證明本文方法計算原子攻擊概率的合理性，將本文方法、CVSS 方法和文獻[7]方法中依照時間劃分得到的原子攻擊概率進行對比，如表8 所示。

由表8 可知，CVSS 方法和文獻[7]方法僅從單一角度考慮漏洞被利用的可能性，忽略了漏洞所處主機環境因素和主機操作系統類型對原子攻擊概率的影響，導致計算結果并不準確。例如，由CVSS方法計算得到的漏洞f2、f4、f5、f7、f11和f12的漏洞原子攻擊概率均為1，由文獻[7]方法計算得到的漏洞f1～f7、f11和f12的漏洞原子攻擊概率均為0.9。而在實際系統的網絡環境中，上述漏洞發布時間不同，且漏洞分別位于不同主機中，原子攻擊概率均相同，顯然不合理。本文方法綜合考慮漏洞自身可利用性、時間可利用性、環境可利用性和操作系統類型，計算出的漏洞原子攻擊概率值更符合真實網絡中漏洞被利用的情況。

表8 原子攻擊概率對比

4.6 主機資產重要性評估對比

為驗證本文方法計算主機資產重要性的合理性，在圖4 所示的網絡拓撲結構下，分別采用本文方法、層次分析法[4]和先驗評分法計算各主機資產重要性，結果如圖8 所示。

由圖8 可知，本文方法計算出的主機資產重要性值更合理，因為本文方法充分考慮主機資產重要性不同屬性所占權重，在先驗評分賦值的基礎上采用相關性定權法為各主機資產重要性的不同屬性權重賦值；層次分析法和先驗評分法為所有主機資產重要性的所有屬性采用相同權重計算，計算結果并不合理。

圖8 主機資產重要性對比

4.7 主機安全評估對比

主機安全值能夠反映主機當前的安全狀況，取值越小表明主機的安全狀況越差。為證明本文方法的優越性，在相同實驗環境下，采用資產連通圖方法[5]、Markov 攻擊圖方法[6]和鄰接矩陣法[12]3 種主機安全評估方法計算主機安全值，4 種方法歸一化后的安全值如圖9 所示。

由圖9 可知，本文方法得到的各主機安全值更準確合理。原因分析如下。

圖9 不同方法的主機安全值對比

1) Markov 攻擊圖方法僅以迭代后的攻擊可能性作為評估各主機安全性的指標，無法準確區分各主機的安全和風險狀況。

2) 鄰接矩陣法和資產連通圖方法依據主機的攻擊概率和資產重要性計算主機安全值，但均未考慮主機資產重要性屬性的權重差異性和攻擊圖中各主機間的關系，安全值計算不夠準確。

3) 本文方法從主機攻擊概率、漏洞影響值、資產重要性和拓撲結構重要性方面對主機進行安全評估，能夠更全面、更準確地反映各主機的安全狀況。

標準差的大小反映了數據間的離散程度，安全值的標準差越大，表明數據離散程度越大，其益處是對安全等級的區分度越明顯，越易于區分并劃分主機的安全和風險等級。

為進一步證明本文方法的優勢，在得到主機安全值的基礎上，分別計算4 種方法的主機安全值的標準差，結果如表9 所示。

表9 主機安全值的標準差

由表9 可知，本文方法得到的主機安全值的標準差比其他3 種方法得到的安全值標準差分別增加了85.7%、116.7%和110.8%，說明本文方法得到的主機安全值離散程度更大、區間分布也更大，可以更顯著地表征不同主機安全值的差異性，更便于劃分主機的安全等級，從而有利于高效處置主機風險和網絡風險。

5 結束語

為合理有效地評估網絡中主機的安全狀況，本文提出一種基于攻擊圖的主機安全評估方法。在構建主機攻擊圖的基礎上，依據漏洞的多個屬性值計算原子攻擊概率，依據攻擊圖、相關性定權法得到主機的攻擊概率、漏洞影響值、主機資產重要性和拓撲結構重要性，進而計算得到主機的安全值。

通過民航機場某業務仿真系統環境下的驗證實驗，驗證了本文方法在真實系統網絡環境下的可行性和有效性。與其他方法相比，本文方法能夠合理計算主機攻擊概率、漏洞影響值、資產重要性和拓撲結構重要性，可以全面、準確地反映主機的安全狀況。

未來，將進一步細化主機資產重要性評價指標，從主機安全管理角度進一步完善主機安全評估的針對性，提高該方法在復雜網絡環境中的適用性。此外，將針對云計算和虛擬化環境的特點，重點研究云計算和虛擬化應用場景下的網絡安全評估模型和基于SDN 環境的網絡主機安全評估方法，提出適用于云計算和SDN環境的安全評估解決方案。