基于知識推理的衛星網絡態勢理解

蟻佳才, 劉 斌, 姚 莉, 趙文濤

(1. 國防科技大學計算機學院, 湖南 長沙 410073;2. 國防科技大學信息系統工程重點實驗室, 湖南 長沙 410073)

0 引 言

太空資產是國家和國際基礎設施的重要組成部分。近年來,太空和網絡空間軍事化呈加劇的趨勢。天基計算平臺和軟件定義衛星技術廣泛采用開放數據接口和通用網絡技術,給衛星應用提供了可編程和網絡業務定制的便利,同時也帶來了網絡安全威脅。衛星復雜的生產制造、運維和使用流程中存在多個網絡安全薄弱環節,使得衛星更易被敵人利用和破壞。如何做好態勢理解,及時發現可能存在的衛星網絡安全漏洞,分析其影響并提出相應的緩解措施,是對衛星網絡安全進行全方位態勢感知的核心步驟,也是保障衛星網絡安全待解決的首要問題。

衛星涉及國家重大戰略,造價高,其關注度和價值相對更高,與一般網絡空間不同,衛星網絡空間存在以下特點:從防御層面,攻擊者只要知道頻率和軌道等參數,就可以通過一定的手段控制衛星,因此,提出衛星網絡安全防御的緩解措施更加困難;從漏洞發現和應對層面,衛星組件保密級別更高,漏洞較少、發現更困難;由于其自身特點,衛星網絡安全防御除了要考慮攻擊者的攻擊手段造成網絡域的影響外,還需要分析對衛星物理域可能造成的影響,如衛星姿態和軌道控制的變化。

本文在衛星網絡空間領域引入態勢理解的概念。態勢理解是態勢感知的核心,是在大量數據信息基礎上,通過多種方式,如本文提出的基于知識推理的方法,定性或定量分析當前網絡的薄弱環節,分析其影響,并提出相應的緩解措施。

本文提出的態勢理解分析方法利用衛星網絡空間態勢理解本體(ontology of cyber situational understanding for satellite, OntoCSU4Sat)和構建的規則,對衛星網絡空間態勢理解知識圖譜(knowledge graph of cyber situational understanding for satellite, KGCSU4Sat)進行推理,自動發現衛星可能存在的網絡安全漏洞,分析影響,并提出有效的緩解措施。最后,通過一個案例驗證了該方法的正確性和有效性。

本文提出基于知識推理自動發現重點衛星網絡空間態勢理解分析方法,可為太空防御戰略提供重要的技術支撐,為我國天基資產保護提供決策參考。本文的貢獻主要包括3個方面:

(1) 提出衛星網絡空間態勢理解分析所要回答的問題,利用衛星網絡空間態勢理解本體,構建了態勢理解推理規則,為衛星網絡空間態勢理解自動推理分析提供了領域知識;

(2) 提出基于知識圖譜和本體推理的衛星網絡態勢理解分析方法,基于本體從知識圖譜大數據中推理發現重點衛星的網絡安全漏洞和薄弱環節,以及可能的影響和相應的緩解措施;

(3) 通過一個案例,驗證該方法的正確性和有效性。本文的案例數據和知識庫可在如下鏈接獲取:https:∥github.com/Jiacai-Yi/SCSU-KR。

1 相關研究工作

衛星網絡空間態勢理解分析,主要包括網絡相關環境(如星載計算機、操作系統、CPU及其架構)的分析、攻擊鏈(如漏洞、弱點、攻擊模式、影響、緩解措施)的分析以及衛星控制(如軌道和姿態控制)的分析。基于知識實現衛星網絡空間態勢理解分析,相關工作主要包括網絡態勢理解相關知識庫、基于知識的網絡態勢理解方法和空間態勢理解等方面,以下是對相關工作的調研分析。

1.1 網絡態勢理解相關知識庫

由于一些衛星上的星載計算機使用通用網絡技術,因此,有關通用的網絡安全態勢理解知識庫可作為分析衛星網絡空間態勢理解的知識支撐。

目前,針對網絡安全防御,出現了多個相關的知識圖譜和數據庫,如網絡空間對抗戰技術通用知識ATT&CK、網絡安全知識圖譜、通用攻擊模式枚舉和分類(common attack pattern enumeration and classification, CAPEC)、通用弱點枚舉(common weakness enumeration, CWE)、通用平臺枚舉(common platform enumeration, CPE)、通用漏洞評分系統(common vulnerability scoring system, CVSS)和通用漏洞披露(common vulnerabilities and exposures, CVE)等。將這些知識關聯起來,可以檢索平臺上可能存在的弱點和風險、針對弱點的攻擊模式以及相應的緩解措施。

對于網絡空間漏洞發現,目前已有研究者構建了基于知識的相關本體。Fenz等提出了信息安全領域的通用概念本體,為信息安全領域提供了一個模型和知識庫,但是該本體并沒有對漏洞等底層概念進行建模。統一網絡安全本體(unified cybersecurity ontology, UCO)建模了網絡安全分析的上層概念體系,集成了信息共享和交換的常用網絡安全標準,能表示來自不同網絡安全系統的異構數據和知識,可為網絡空間態勢感知提供上層框架。除此之外,研究者開發了網絡安全核心概念本體和網絡安全本體關聯上下文觀察的態勢與威脅理解(situation and threat understanding by correlating contextual observations, STUCOO),將網絡安全領域內的多源情報關聯起來。上述這些本體主要用于信息共享、交換以及統一標準,難以支撐自動化的網絡態勢分析,更難以直接應用于衛星網絡的態勢理解。

1.2 基于知識的網絡態勢理解

網絡態勢理解的核心環節是攻擊鏈分析。對于網絡空間攻擊鏈分析,比較成熟的標準包括結構化威脅信息表達(structured threat information expression,STIX)和可信情報自動交換(trusted automated exchange of intelligence information,TAXII),其中就包括了攻擊、漏洞、弱點、攻擊模式、影響以及響應措施等重要概念。但是這些模型依然沒有或缺少關鍵的規則進行關聯,并且,因為衛星網絡的獨特性,這些本體不可直接應用于衛星網絡態勢理解。針對現有研究工作的不足,本文在OntoCSU4Sat和KGCSU4Sat基礎上,結合衛星特點,挖掘專家經驗知識,重構了態勢理解規則,使其更適應衛星網絡態勢理解。

近年來,Narayanan等基于UCO開發了一個基于本體的網絡攻擊檢測工具。該系統整合不同威脅情報源的知識和實時檢測數據,以知識圖譜的形式進行管理和推理;Vale等提出了一種管理安全模式的本體方法,其中包括200多種詳細的安全模式,并使用Web本體語言(Web ontology language, OWL)實現了該本體;Brazhuk則基于文獻[19]實現了一個本體論驅動的威脅建模框架(ontology-driven threat modelling, OdTM),該框架可將不同領域知識形式化為特定領域的威脅模型,并通過推理找出對策;Syed提出了一個網絡安全漏洞本體(cybersecurity vulnerability ontology, CVO),并基于該本體設計了一個網絡情報警報(cyber intelligence alert, CIA)系統,根據推理規則,CIA系統會生成有關漏洞和對策的信息。基于知識的方法結合特定規則能更有效更有針對性地進行輔助決策,并且有助于適應情景的變化,如攻擊手段變化等。因此,本文將基于知識的方法引入衛星網絡態勢理解,并驗證其有效性。

1.3 空間態勢理解

目前,太空領域物理域態勢理解已經有較多的研究,相關研究主要關注衛星物理環境的安全,包括空間目標的跟蹤、編目和監視等,可為衛星網絡態勢理解的物理域建模提供領域概念及概念間的關系。例如,空間目標識別本體OntoStar建模了衛星分類、軌道、載荷、承包商等領域概念及概念間的關系,可為本文建模空間態勢理解和衛星網絡態勢對物理域的影響提供了領域基本概念。

目前,對衛星網絡安全問題的研究仍處于起步階段。Cao等從國家安全、網絡安全和設備安全3個方面總結了13項衛星網絡安全問題,其中提出的許多安全問題,目前尚沒有明確的監管體系和科學完善的檢測或預防措施。本文提出了衛星網絡態勢理解的概念,探索了一種基于知識的衛星網絡態勢理解分析方法并驗證了可行性,可實現衛星網絡態勢理解并為預防衛星網絡安全問題提供緩解措施。

2 基于知識的衛星網絡態勢理解

本文提出基于知識的衛星網絡態勢理解方法的總體框架如圖1所示。首先,該方法提出實現衛星網絡空間態勢理解需要回答的一些關鍵性問題;構建了衛星網絡態勢理解本體OntoCSU4Sat,其中包含空間態勢理解和網絡態勢理解兩大概念體系;然后,基于OntoCSU4Sat,從專家經驗中抽取、構建推理規則,其主要包括漏洞發現、影響分析和應對措施3種規則;然后結合數據源,形成衛星網絡空間態勢理解知識圖譜KGCSU4Sat;最后,提出基于本體的衛星網絡空間態勢理解分析方法,在OntoCSU4Sat和KGCSU4Sat上進行知識推理,實現自動化的衛星網絡空間態勢理解,以發現可能存在的網絡安全漏洞和薄弱環節,并獲得相應的緩解措施。

圖1 基于知識的衛星網絡態勢理解方法的總體框架Fig.1 General framework for a knowledge-based approach to satellite network situational understanding

2.1 面向衛星網絡空間態勢理解的能力問題

針對衛星網絡空間態勢理解,本文根據其定義,要求態勢理解系統具備回答如下關鍵性問題的能力(以下稱這些問題為能力問題)。

2.1.1 針對星載計算機,分析存在漏洞和弱點

星載計算機運行的軟硬件中漏洞發現問題。衛星及其地面系統越來越多地使用特定專用軟件的計算機,一些星載計算機采用開源操作系統或基于Unix或Linux等操作系統開發的系統,網絡通信也與其他一般的網絡系統相同。另外,一些衛星制造商為降低制造成本,在一些組件中使用現成的技術,例如,基于開源代碼開發衛星操作系統或插件。

漏洞與漏洞之間的關聯性問題。漏洞與漏洞之間可能存在同源、因果等關聯關系。例如,一個漏洞可作為另一個漏洞的攻擊前提,如獲得某一個漏洞所需的特權。對漏洞關系的建模分析,有助于更全面地進行態勢理解。

2.1.2 針對網絡漏洞,分析和評估潛在絡攻擊的模式、流程、影響

對于特定網絡漏洞,與之相關聯的攻擊模式和影響問題。網絡漏洞會被攻擊者利用,破壞數據或導致衛星失效,嚴重會使太空星網遭受毀滅性破壞。如奪取衛星控制權,改變衛星姿態、軌道,撞擊星網中其他衛星或空間目標,造成惡性循環。通過分析網絡漏洞潛在的攻擊模式以及該漏洞或攻擊可能造成的影響,為提出緩解措施提供參考,可進一步提高衛星網絡的態勢理解能力。

攻擊模式之間的關聯性問題。CAPEC數據庫從攻擊機制和攻擊領域將524種攻擊模式分別分成9大類和6大類。對于某種攻擊模式的緩解措施,可參考其相關聯的攻擊模式的緩解措施,為決策提供知識基礎。

通過已有的攻擊記錄,推理出潛在的安全薄弱環節。對于已經發生過的攻擊,應該通過相應的組件對其詳細信息以知識庫等形式進行記錄,分析漏洞、攻擊、影響和應對的攻擊鏈,可持續豐富現有的態勢理解系統。

2.1.3 針對潛在攻擊,結合衛星特點,制定可采取的緩解措施

對于潛在的漏洞,推理潛在的攻擊,進而制定緩解措施,這在一般的網絡空間也同樣適用,而對于衛星網絡來說,還需結合衛星的自身特點。不同于地面上一般的通用計算機網絡攻擊與防御,衛星網絡系統由于其自身的特殊性,使得不同的漏洞導致的后果更加復雜和不可控。例如,一顆衛星需要通過地面工作站進行軌道和姿態控制,對于某些國家來說,其地面控制中心只能在一天中某個時間窗口進行有效操作,那么如果在這個時間窗口內某個漏洞造成控制系統癱瘓或啟動故障,則該衛星可能導致一系列的影響:在一段時間后,軌道偏移,衛星失控;衛星姿態不能進行有效控制,導致太陽能板無法為衛星繼續提供運行能量;漏洞被攻擊者利用,控制權喪失,該衛星被攻擊者利用或破壞。

2.2 衛星網絡態勢理解本體與知識圖譜

OntoCSU4Sat和KGCSU4Sat作為本文提出的衛星網絡空間態勢理解分析方法的基礎,本節主要從概念體系、形式化描述等方面對兩者進行簡單描述。

OntoCSU4Sat建模了衛星網絡空間態勢理解分析所涉及的上層概念及其之間的關系,涉及空間態勢理解和網絡空間安全兩個領域,包括衛星、軌道、衛星的應用、所有者、運營商、承包商、星載計算機及其軟硬件系統、網絡攻擊戰技術、漏洞等概念和這些概念間的關系。

從空間態勢理解角度,該本體包含衛星目標識別,其中對衛星系統的各項參數數據都進行了詳盡的描述,如衛星的應用類型、發射地點、發射時間、運載工具、形狀、姿態、供應/承包商、運營商、使用者、凈重、預期壽命、所有者和功率等關系和屬性;對軌道等其他重要概念也進行了詳細的刻畫,包括周期、近地點高度、遠地點高度、傾角、偏心率和軌道經度等,這些參數可從兩行軌道根數(two-line element set,TLEs)數據中提取;另外,該本體也對衛星的載荷(衛星的核心組件)、系統相關負責人進行詳細分類描述。

從網絡安全態勢理解的角度,該本體基于傳統互聯網網絡空間安全態勢感知模型,如ATT&CK和UCO,對衛星和星載計算機之間的關系進行建模,包含網絡環境中的各種組件,如CPU及其架構、操作系統、應用程序和數據庫等。星載計算機的網絡安全相關概念建模主要涉及的概念包括攻擊模式CAPEC、漏洞CVE、弱點CWE和緩解措施等。

OntoCSU4Sat不僅是對衛星網絡空間態勢分析過程中涉及抽象概念的知識建模,還可用于構建知識圖譜對具體的實例進行表示。知識圖譜基于圖模型形式化描述知識和刻畫事物之間關系,可方便對個性化、實例層的知識進行組織和管理。面向特定領域,領域知識圖譜多基于本體自頂向下構建,需要有較高的知識質量。基于OntoCSU4Sat,將空間態勢理解和網絡安全相關的多個知識庫和情報源關聯起來,可充分利用多源情報進行關聯分析獲得態勢分析結果,并且,利用多源情報,可將OntoCSU4Sat實例化,形成衛星網絡空間態勢理解知識圖譜KGCSU4Sat。

本文進行研究與分析的基礎數據信息主要基于CVE、CWE、CAPEC、CVSS、ATT&CK等相關知識圖譜和數據庫,具體信息如下:

(1) CVSS 提供了一種捕獲漏洞的主要特征并產生反映其嚴重性數值的評分方法。此數值還可以轉化成一個定性表示(如低、中、高和關鍵),如此便可以幫助我們定性或定量地正確評估其漏洞管理流程并確定優先級。

(2) CVE 代表常見漏洞和披露,目前由MITRE公司維護,是國際著名的安全漏洞庫。CVE被廣泛應用于世界各地的眾多網絡安全產品和服務。CVE是目前漏洞和披露標識符的行業標準,目前數據庫已經包含142 748個CVE條目,從多個權威數據源收集了DoS、XSS、CSRF 等13種不同類型的漏洞。

(3) CWE 代表常見弱點枚舉,目前由Mitre公司維護。它可以作為弱點識別、緩解和預防工作的基線。該數據庫目前包含超過600個弱點分類,如緩沖溢出、跨站腳本以及惡意嵌入代碼等。

(4) CAPEC 代表常見攻擊模式枚舉和分類,目前由Mitre公司維護。通過分析漏洞或弱點可能被何種攻擊方式利用,可以幫助我們更好地減少潛在的安全隱患。該數據庫目前包含524種攻擊模式,如泛洪攻擊、身份欺騙以及緩沖溢出等。

從權威性、準確性和多元性看,以上知識圖譜和數據庫都相對較高。從關聯性和可行性看,CVE條目中包含了CVSS評分和CWE弱點信息,而CWE條目中包含了CAPEC條目信息,部分CAPEC條目可在ATT&CK數據庫中查找到相應的信息,進而可獲得該攻擊模式可作用的操作系統平臺等信息。因此,可以進一步形成一條簡單分析鏈:產品→漏洞→弱點→攻擊模式→可作用產品,并且該分析鏈可進一步細分出多個重要分支,如影響、漏洞評級、緩解措施等。

KGCSU4Sat的網絡安全態勢知識部分,表示了ATT&CK中所有攻擊模式CAPEC、緩解措施和影響的實例、CVE的實例、CWE和CPE(包括操作系統和其他軟硬件及其版本、型號)的實例,以及這些實例之間的關系。KGCSU4Sat除符合OntoCSU4Sat所定義的規范和公理系統外,還包含對具體的衛星、網絡安全漏洞和網絡攻擊等實例的詳細文本描述,這些個性化知識使得對衛星網絡的態勢分析過程能夠從KGCSU4Sat中獲得更多的細節信息。

2.3 衛星網絡態勢理解推理規則

衛星網絡空間態勢理解中涉及的關系表示和推導,需要借助規則表示,因為構建的推理規則較多,本節主要介紹關鍵的衛星網絡空間態勢理解規則。

2.3.1 漏洞與漏洞之間的因果關系

KGCSU4Sat包含弱點CWE實例可能造成影響后果的信息,其中,一些弱點能夠通過一定的途徑獲得系統權限。如果一個弱點能獲得另一個弱點運行環境所需的特權,那么隸屬于這兩個弱點的漏洞具有因果關系,即一個漏洞運行可作為另一個漏洞運行的先行步驟。上述分析過程可使用語義Web規則語言(semantic Web rule language, SWRL)規則表示如下:

漏洞(?V1),弱點(?W1),漏洞(?V2),弱點(?W2),特權(?P1),特權(?P2),belongTo(?V1,?W1), belongTo(?V2,?W2),SameAs(?P1,?P2),needPrivilege(?W2,?P2),getPrivilege(?W1,?P1)->causal(?V1,?V2)

上述規則的語義為漏洞V1屬于弱點W1,漏洞V2屬于弱點W2,W1能獲得特權P1,W2需要特權P2,P1和P2為同一實體,則V1與V2存在因果關系。

2.3.2 判斷衛星是否存在網絡安全漏洞

在KGCSU4Sat中,可以找到漏洞CVE和產品的實例之間多對多關聯關系。因此,判斷衛星是否存在網絡安全漏洞,可先判斷衛星上運行的產品是否存在漏洞:如果衛星上運行著存在漏洞的產品,那么衛星存在漏洞威脅。在衛星網絡安全威脅的其他環節中,該規則也成立,例如,地面工作站中上運行存在漏洞的產品,那么地面工作站也存在漏洞威脅。

由于衛星上運行的產品可能存在產品鏈的情況,所以還需要添加規則以判斷產品關聯關系。例如,操作系統和CPU處理器之間存在support關系,CPU處理器和處理器架構之間存在adopt關系,那么可以在這兩種關系上再抽象一層更廣泛的associatedTo關系,并且設置其具備傳遞性,從而,可以判斷產品鏈之間的產品是否存在漏洞。如果產品鏈下級產品存在漏洞,那么上級產品存在漏洞威脅;通過產品與產品之間的associatedTo關系,可以把衛星上運行部署的所有產品找出來并進行分析。上述分析過程用SWRL規則表示如下:

漏洞(?Vul),產品(?P1),產品(?P2),exist(?P2,?Vul),associatedTo(?P1,?P2)->exist(?P1,?Vul)

衛星(?Sat),產品(?P1),產品(?P2), running(?Sat,?P1),associatedTo(?P1,?P2)->running(?Sat,?P2)

衛星(?Sat),漏洞(?Vul),產品(?P), exist(?P,?Vul),running(?Sat,?P)→exist(?Sat,?Vul)

上述規則中,規則2表示產品P2存在漏洞披露Vul,產品P1與P2相關聯,則P1也存在Vul;規則3表示衛星Sat運行著產品P1,P1與產品P2相關聯,則Sat運行著P2;規則4表示衛星運行著P,而P存在漏洞披露Vul,則衛星存在Vul。

2.3.3 判斷衛星是否存在弱點

判斷衛星是否存在弱點,需先判斷衛星上運行的產品是否存在弱點。產品是否存在弱點需要根據產品是否存在漏洞來確定,即根據漏洞和弱點的關聯信息推出二者之間的belongTo關系。CVE和CWE之間可通過cwe_id關聯。上述判斷過程用SWRL規則如下:

漏洞(?V),弱點(?Cwe),產品(?P), exist(?P,?V),belongTo(?V,?Cwe)→hasWeakness(?P,?Cwe)

衛星(?Sat),產品(?P),弱點(?Cwe), running(?Sat,?P),hasWeakness(?P,?Cwe)→hasWeakness(?Sat,?Cwe)

上述規則中,規則5表示產品P存在漏洞披露V,而V屬于弱點Cwe,則產品P存在弱點Cwe;規則6表示衛星Sat運行著產品P,產品P存在弱點Cwe,則衛星存在弱點Cwe。

2.3.4 推斷漏洞可能造成的影響

將CVE、CWE、CAPEC三者關聯起來,基于CWE和CAPEC的后果信息,可推斷出漏洞可能造成的后果。這些信息可作為輔助決策的參考。除此之外,CVE漏洞條目本身所暴露出來的漏洞信息也可幫助我們進一步分析影響,本文認為漏洞信息更具有參考性。關鍵SWRL規則如下:

漏洞(?V),弱點(?W),攻擊模式(?Att),影響(?Con),relatedTo(?W,?Att),belongTo(?V,?W),hasConsequence(?Att,?Con)→hasConsequence(?V,?Con)

漏洞(?Vul),影響(?Con1),影響(?Con2),攻擊(?Atk),exploitedBy(?Vul,?Atk),inspiredBy(?Atk,?Con1),hasConsequence(?Vul,?Con1),resultIn(?Con1,?Con2)->hasConsequence(?Vul,?Con2)

上述規則意為,根據分析鏈:漏洞→弱點→攻擊模式,對于規則7,漏洞V屬于弱點W,弱點W與攻擊模式Att相關且Att存在某種影響Con,則Con可作為漏洞V的影響的參考;規則8表示攻擊Atk利用漏洞Vul產生了某種影響Con1,而Con1在這種情境下還會導致影響Con2,則認為漏洞Vul在特定情形下可能產生影響Con2。

2.3.5 基于弱點和星載計算機的配置分析能產生影響的攻擊模式

KGCSU4Sat建模了弱點及其相關的所有攻擊模式之間的關系。然而,針對具體的產品,并不是所有的攻擊模式都能根據產品上存在的弱點對產品產生影響。在網絡攻擊戰技術通用知識庫ATT&CK中,攻擊模式通過Platforms字段關聯到其能作用的操作系統。因此,需要根據星載計算機部署的操作系統以及存在的弱點,判斷攻擊模式能否作用于衛星。判斷規則用SWRL表示如下:

弱點(?Cwe),操作系統(?Os1),操作系統(?Os2),攻擊模式(?Atkp),basedOn(?Os2,?Os1), relatedTo(?Cwe,?Atkp),hasWeakness(?Os2,?Cwe), actOn(?Atkp,?Os1)->actOn(?Atkp,?Os2)

規則9的語義為,操作系統Os2基于操作系統Os1開發,攻擊模式Atkp可作用于Os1且弱點Cwe與Atkp相關,而Os2上存在弱點Cwe,那么Atkp可作用于Os2。

2.3.6 基于攻擊模式及其影響,推斷出緩解措施

部分CWE和CAPEC條目提供了緩解措施的信息。CWE提供的潛在緩解措施可作為額外參考信息。而對于CAPEC提供的緩解措施并不能全部作為參考,我們只需要能作用于特定產品(如操作系統)的攻擊模式對應的緩解措施。將CAPEC條目和ATT&CK條目通過ATTID數據屬性關聯可得到更加具體的緩解措施條目信息。而對于CVE,我們根據其漏洞信息推理出漏洞的影響,包括直接影響和間接影響,進一步根據其影響的類型(如軌道或姿態),制定更具體的緩解措施。

具體地,可以通過以下關系鏈推斷出針對衛星漏洞的相關攻擊模式的緩解措施:判斷衛星運行的產品(包括通用平臺枚舉CPE)上存在的CWE信息;通過capec_id找到弱點相應攻擊模式;獲取攻擊模式條目下的緩解措施信息,并且在多個緩解措施中選擇能作用于當前衛星上運行產品的緩解措施。相應SWRL規則如下:

產品(?P),攻擊模式(?Atkp),緩解措施(?Mit), hasMitigation(?Atkp,?Mit),actOn(?Atkp,?P)→ hasSuggestedMitigation(?P, ?Mit)

規則10的語義為,攻擊模式Atkp與緩解措施Mit關聯,且Atkp可以作用于產品P,則緩解措施Mit可建議作為產品p的緩解措施。

2.4 衛星網絡態勢理解分析方法

OntoCSU4Sat和KGCSU4Sat是采用OWL+SWRL語言形式化表示的知識,本文使用Pellet推理機進行知識推理,自動推導OntoCSU4Sat和KGCSU4Sat中隱含的知識。特別是,衛星網絡空間態勢理解規則集建模了衛星網絡空間態勢理解能力問題的解決方案,即自動發現漏洞、影響分析、緩解措施推理。

3 案例分析

本節通過一個衛星網絡安全態勢理解的案例,進行衛星網絡空間態勢理解分析實驗,驗證了基于OntoCSU4Sat和KGCSU4Sat推理發現衛星網絡空間安全防御薄弱環節和漏洞,并提出相對有效緩解措施的可行性。

3.1 實驗案例背景和構建

以StarLink、OneWeb、BlackJack和瓢蟲一號等衛星作為藍本,本節以一個編號為2017-003H的衛星,圍繞2017-003H的網絡態勢理解,在Protégé中構建了KGCSU4Sat的子圖(關鍵部分)。如圖2所示,該子圖的知識庫大致可分為兩個部分:衛星和產品、制造商以及漏洞之間的關系圖;漏洞、弱點、攻擊模式、影響后果以及緩解措施等之間的關系圖。

圖2 圍繞2017-003H的網絡態勢理解構建的子圖Fig.2 Subgraphs built around the network situational understanding of 2017-003H

如圖2所示,關于2017-003H的子圖包含以下知識:

(1) 2017-003H是衛星,該衛星位于地心軌道leo-2030-076A,承包商包括NASA和SpaceX,發射火箭為獵鷹9號;

(2) 2017-003H上裝載有星載計算機OBCX,OBCX的操作系統及其開源代碼分別為Sylix、Sylix_Source_v1.8.3,OBCX采用的CPU及其架構分別是cpe2_3h***、Cortex-A9,Sylix的廠商為RTOS_Corp,Sylix基于Linux開發;

(3) Cortex-A9由Xilinx設計,存在漏洞CVE-2019-5478,CVE-2019-5478對應的弱點是CWE-20;

(4) 2017-003H_系統檢測器記錄了一次攻擊atk-20311226-07C,攻擊者使用修改備用編碼的攻擊方式對Cortex-A9進行了攻擊,因此該攻擊模式相應的弱點條目信息可作為未來輔助決策的參考;

(5) 由推理機推出,漏洞CVE-2019-5478可能導致CWE-20-C1、CAPEC-13-C1、衛星失控、姿態無法調整以及BootFailure(啟動故障)等一系列后果,其中BootFailure是直接影響,該影響如果被攻擊者利用,使用特定的攻擊方法,如在有效控制時間段入侵,則可能造成姿態無法調整以及軌道偏移等間接影響；

(6) 根據CVE、CWE、CAPEC以及ATT&CK條目關聯得到的影響信息,可得到CWE-20-M1、M1028、CN101214861A等3種不同類型的緩解措施。其初始優先級為:CVE緩解措施(由CVE影響推出)>CWE緩解措施(由CWE影響推出)>CAPEC緩解措施(由CAPEC影響推出)。該優先級可用于輔助決策。

除圖中所展示的知識外,構建案例時本文還設置了風險類型推理、風險等級評估、檢測方法、弱點和攻擊模式關聯推理以及太空領域概念等相關實例,并且構建了相應的規則集,因篇幅原因未全部列出。

3.2 實驗結果及分析

在第3.1節分析關于衛星2017-003H子圖的基礎上,本節基于本體OntoCSU4Sat推理進行實驗,在Protégé中通過Pellet推理機對OntoCSU4Sat(TBox)和KGCSU4Sat(ABox)組成的知識庫推理,驗證知識庫的正確性,并且推導出隱含的知識。基于推理后的知識庫,發現和分析2017-003H的網絡安全漏洞、可能受到網絡攻擊的攻擊模式和相應的緩解措施。

基于本文所提出的衛星網絡態勢理解分析方法,關于衛星2017-003H,其分析鏈可表示為衛星→產品鏈→漏洞→弱點→攻擊模式/影響/特權獲取→影響/緩解措施。本小節基于態勢理解的定義,將衛星網絡態勢理解分析鏈主干部分進行展示和分析,其他相關信息可作為后續工作的基礎。

3.2.1 漏洞弱點自動發現

基于第2.4節提出的分析方法,要分析漏洞和弱點,需要先分析衛星上的產品鏈,具體實例知識圖如圖3所示。

圖3 分析鏈:漏洞、弱點發現Fig.3 Chain of analysis: vulnerability and weakness discovery

圖3中,實例與實例之間邊上的黑色文字表示已知信息,紅色文字表示推理發現的隱含信息,后文的標記與該圖相同。如圖3所示,衛星2017-003H上運載了OBCX星載計算機,OBCX上運行著2017-003H軟件總體服務平臺和Sylix操作系統,其中前者基于后者開發,后者基于Linux開發。而OBCX由cpe2_3h***組成,cpe2_3h采用Cortex-A9架構,通過CVE數據庫可知,該架構存在CVE-2019-5478漏洞披露。再由CVE與CWE關聯可得相應弱點披露CWE-20。因此可以得到簡單的實例分析鏈:2017-003H→OBCX→(Sylix)→cpe2_3h***→Cortex-A9→CVE-2019-5478→CWE-20,其中Sylix操作系統采用了cpe2_3h***處理器。從圖中還可看出,推理機推出該衛星具有處理器和操作系統風險。

3.2.2 影響、緩解措施分析

基于第2.4節提出的分析方法和第3.2.1節提出的漏洞發現分析方法,本節根據CVE、CWE、CAPEC和ATT&CK分析影響和緩解措施。具體實例知識圖如圖4所示。

圖4 分析鏈:影響、緩解措施分析Fig.4 Chain of analysis: analysis of impacts and mitigation

如圖4所示,可得到分析鏈:CVE-2019-5478→CWE-20→CAPEC-13(CAPEC-267等)。其中的CVE、CWE、CAPEC以及ATT&CK(部分關聯于CAPEC條目)條目可能包含影響信息和緩解措施信息,這些緩解措施信息經過推理后最終會展示在衛星2017-003H的推理界面中,并且對每種不同的緩解措施進行類型區別。

本文將衛星本身特點和漏洞影響結合起來,如圖4中所示,CVE-2019-5478可能導致啟動故障(BootFailure),如果攻擊者使用特定的攻擊模式,如圖4中的有效控制時間段入侵,即在每天的地面控制中心和衛星通信的有效時間段進行攻擊,導致控制中心無法為衛星提供命令,則衛星將會喪失控制權,甚至導致衛星軌道偏移和姿態無法調整等后果。實驗利用推理機,給出了兩種相對可能的解決方案,分別為CN101214861A和CN101402398A。例如,方案CN101402398A由文獻[30]提出,是一種衛星姿態快速挽救的方法。

3.2.3 關鍵實例推理結果

圖5展示了推導出的關于2017-003H網絡態勢理解等相關結果。

圖5 2017-003H推理結果Fig.5 2017-003H reasoning results

圖5中,淺黃色背景的條目為推理機的推理結果。圖5中的結果顯示,衛星上存在漏洞披露CVE-2019-5478,并且根據第3.2節的分析,根據影響,推理機得到了所有的緩解措施,CVE、CWE和CAPEC對應的緩解措施分別用圖5中綠色、藍色和紅色方框內容表示。

4 結 論

針對太空網絡安全,本文首先構建了態勢理解推理規則,為衛星網絡空間態勢理解自動推理分析提供了領域知識,然后提出基于知識的衛星網絡空間態勢理解分析方法,基于本體從知識圖譜大數據中推理發現重點衛星的網絡安全漏洞和薄弱環節,以及相應的緩解措施和可能的影響,最后,通過實驗案例,驗證了該方法能夠發現衛星上存在的漏洞,并根據影響推理所有的緩解措施。

后續工作中,需要對OntoCSU4Sat和KGCSU4Sat進一步完善,同時,完善規則集并構建更多的案例驗證知識庫的完備性和所提方法的有效性。后續還需要進一步開展衛星網絡漏洞的數據收集和處理,將網絡空間領域和太空領域知識結合得更加緊密,得到更加具有針對性的緩解措施。