基于期望收益率攻擊圖的網絡風險評估研究

劉文甫，龐建民，周鑫，李男，岳峰

基于期望收益率攻擊圖的網絡風險評估研究

劉文甫1,2，龐建民1，周鑫1，李男1，岳峰1

（1. 信息工程大學，河南 鄭州 450001；2. 電子信息系統復雜電磁環境效應重點實驗室，河南 洛陽 471003）

隨著互聯網應用和服務越來越廣泛，層出不窮的網絡攻擊活動導致信息系統的安全面臨極大的風險挑戰。攻擊圖作為基于模型的網絡安全風險分析技術，有助于發現網絡節點間的脆弱性和評估被攻擊的危害程度，已被證實是發現和預防網絡安全問題的有效方法。攻擊圖主要分為狀態攻擊圖和屬性攻擊圖，由于狀態攻擊圖存在狀態爆炸的問題，研究者大多偏向于基于屬性攻擊圖的網絡風險評估研究。針對現有的屬性攻擊圖研究過度依賴網絡節點本身脆弱性和原子攻擊本質屬性進行量化分析，忽略了理性攻擊者通常以攻擊利益最大化來選擇具體的攻擊路徑，提出了基于期望收益率攻擊圖的網絡風險評估框架和攻擊收益率量化模型。所提網絡風險評估框架以公開的漏洞資源庫、漏洞挖掘系統發現的新漏洞以及與網絡攻防相關的大數據為基礎數據源，以開源大數據平臺為分析工具，挖掘計算攻擊成本和攻擊收益相關要素；借用經濟學中的有關成本、收益以及收益率等概念構建原子攻擊期望收益率計算模型；通過構建目標網絡的屬性攻擊圖，計算攻擊路徑上的原子攻擊期望收益率，生成所有可能攻擊路徑的期望收益率列表；以期望目標為出發點，依據特定的優化策略（回溯法、貪心算法、動態規劃）展開搜索，得到最大收益率的完整攻擊路徑，為網絡風險評估提供依據。仿真實驗結果表明了所提期望收益率攻擊圖網絡風險評估方法的有效性及合理性，能夠為發現和預防網絡安全問題提供支撐。

攻擊圖；風險評估；攻擊路徑；期望收益率；收益率攻擊圖

0 引言

隨著網絡技術的日新月異，以及基于互聯網的應用和服務越來越廣泛，網絡中的攻擊活動愈演愈烈，信息系統的安全風險面臨極大的挑戰。信息系統遭受網絡攻擊的主要原因是網絡及其服務應用系統在設計、開發、升級等過程中存在或衍生出安全缺陷或隱患，這些缺陷一旦被惡意入侵者成功利用，就會導致入侵者非法訪問系統，進而引發一系列安全事故，造成極大的危害。通常一個理性的攻擊者會有目的、有步驟、綜合權衡利弊后才決定從哪一網絡節點對目標網絡發起攻擊。因此，以網絡中的脆弱性利用為基本出發點、以攻擊期望收益率作為攻擊節點、攻擊路徑和攻擊目標選擇的重要依據，并結合屬性攻擊圖在網絡安全評估方面的方法和優勢，對評估網絡安全風險、構建安全的網絡環境以及提高信息安全性有著重要意義。

網絡安全風險評估研究主要分為3類：單個漏洞脆弱性評估、基于規則的網絡脆弱性評估和基于模型的網絡安全風險綜合評估[1-5]。基于攻擊圖的網絡安全風險評估方法能夠明確攻擊的危害程度以及節點與節點之間的危險關系，在基于模型的網絡安全風險綜合評估中應用最為廣泛[6-10]。攻擊圖研究主要分為狀態攻擊圖[11]和屬性攻擊圖，由于狀態攻擊圖存在狀態爆炸等問題，近年來的研究者大多偏向于采用屬性攻擊圖評估網絡風險[12-14]。在屬性攻擊圖的基礎上，Zhang等[15]改進了近似貝葉斯后驗算法（似然加權算法），解決了貝葉斯網絡中不允許有環、只能使用一個貝葉斯網絡來推斷網絡的當前和未來安全狀態等問題。Wang等[16]為了防御高速網絡中的多步驟入侵，提出了一種新穎的隊列圖方法，可以將任意距離的警報關聯起來，但該方法并未解決動態的網絡問題。文獻[17-19]利用攻擊圖雖然解決了網絡風險動態評估問題，但過于依賴網絡本身漏洞，而未考慮一次攻擊行動的發生往往是有意識或潛意識的綜合權衡利益得失之后再做的決定。

本文在研究屬性攻擊圖的基礎上，提出了一種基于期望收益率攻擊圖的模型。采用大數據分析與挖掘的方法挖掘影響攻擊收益率的因素，即攻擊成本和預期收益的主要組成要素，在此基礎上構建了期望收益率計算模型，并依據收益率計算結果將屬性攻擊圖轉換為期望收益率攻擊圖，最終實現對網絡系統的風險評估。

本文的主要工作和貢獻包括4個方面。

1) 提出了一個基于期望收益率攻擊圖的網絡風險評估框架。

2) 定義了網絡安全要素，設計了網絡主機畫像標簽并定義了期望收益率攻擊圖模型。

3) 量化了收益率影響因素，構建了原子攻擊期望收益率計算模型。

4) 驗證了基于期望收益率和屬性攻擊圖在網絡安全風險評估中的有效性和合理性。

1 網絡安全風險評估框架

本節在介紹網絡風險評估原理的基礎上，提出了一種基于期望收益率攻擊圖的網絡安全風險評估框架。

1.1 風險評估基本原理

風險評估的最基本要素是資產、威脅及脆弱性[6]。傳統的風險評估是通過識別外部威脅出現的概率、查找內部脆弱性的嚴重程度、判斷資產價值（機密性、完整性和可用性），進而得出安全事件發生的可能性以及可能造成的損失，最終得到安全風險情況。風險評估的基本原理如圖1所示。

圖1 風險評估的基本原理

Figure 1 Basic principle of risk assessment

從圖1可以發現，安全事件發生的可能性以及安全事件造成的損失都與脆弱性的嚴重程度有關。因此，傳統風險評估中如何識別脆弱性以及脆弱性的嚴重程度是風險評估研究中最重要的工作之一。大多數目標網絡節點多、拓撲結構復雜、提供服務豐富且可靠性要求高，這對預測、發現及消除目標網絡的威脅提出了更高要求。現實中大多數目標網絡的管理人員身兼數職，導致不能及時應對所有威脅。因此，依據網絡風險評估基本原理，以攻擊者的視角分析網絡威脅并進行風險評估具有一定的必要性和緊迫性。

1.2 基于期望收益率的網絡安全風險評估框架

定義1 攻擊期望收益率：一個理性攻擊者對某個目標網絡發起攻擊的過程中，期望從目標網絡節點中得到的價值與必要支出的比值。

本文在對攻擊期望收益率及其要素量化和模型構建研究的基礎上，結合屬性攻擊圖生成方法，提出了一種基于期望收益率攻擊圖的網絡安全風險評估框架，如圖2所示。

基于期望收益率攻擊圖的網絡安全風險評估框架以公開漏洞庫資源、漏洞挖掘系統發現的新漏洞以及與網絡攻防相關的大數據為基礎數據源，以基于Spark的大數據挖掘平臺為分析得到與攻擊成本和收益相關的要素，借用經濟學中的有關成本、收益以及收益率等概念設計攻擊期望收益率計算模型；在定義相關安全要素的基礎上，計算基于屬性攻擊圖生成的全部攻擊路徑上的期望收益率，用以生成期望收益率攻擊圖并最終服務于網絡安全風險分析。

2 期望收益率攻擊圖模型

本節以屬性攻擊圖為建模基礎，增加期望收益率作為攻擊者選擇攻擊路徑的衡量標準，用于構建期望收益率攻擊圖模型，進而為網絡攻擊帶來的風險評估提供支撐。

2.1 網絡安全要素定義

依據文獻[13]中屬性攻擊圖的網絡安全要素定義，本文將期望收益率攻擊圖的網絡安全要素擴展為：主機資產（host asset）、網絡服務（network service）、可利用元素（useful element）、網絡連接（network connection）、信任關系（trust relationship）、訪問權限（access privilege）和收益（expected benefit）。具體定義如下。

圖2 基于期望收益率攻擊圖的網絡安全風險評估框架

Figure 2 Network security risk assessment framework based on attack graph of expected benefits-rate

定義2 主機資產主要從機密性、完整性和可用性方面描述主機所具有的價值，用二元組表示為。

1) host表示被評估的主機，用IP地址描述。

2) value表示主機機密性、完整性和可用性方面的綜合價值。

定義3 網絡服務描述主機上運行的服務，用五元組表示為。

1) host表示服務所在主機，用IP地址描述。

2) service表示服務的名稱。

3) protocol表示服務使用的網絡協議，如TCP、UDP、ICMP等。

4) port表示服務監聽的端口。

5) generality表示該服務的通用性，即廣泛性。

定義4 可利用元素描述了網絡中固有的可供攻擊者利用的漏洞，用三元組表示為。

1) host表示服務所在主機，用IP地址描述。

2) service表示服務的名稱。

3) cveid表示服務中該漏洞被利用程度的唯一標識，用可利用性在CVE中對應的編號描述。

定義5 網絡連接描述攻擊者與主機間及主機與主機間的連接關系，這種連接關系可以表示物理上的連通關系，也可詳細描述在哪種協議哪個端口上連接，用四元組表示為。

1) start_host表示發起連接的源主機，用主機IP地址描述。

2) to_host表示連接的目的主機，用主機IP地址描述。

3) protocol表示源主機連接到目的主機所使用的網絡協議，如TCP、UDP、ICMP等。

4) port表示目的主機提供的連接端口，用實際端口號描述。

定義6 信任關系描述主機間可以不經過認證而直接訪問，用二元組表示為。

1) trusted_host表示受信任的主機，它可以在不經認證的情況下訪問目的主機，用IP地址描述。

2) coop_host表示目的主機，受信任主機可以不經認證訪問自己，采用主機IP地址描述。

定義7 訪問權限表示攻擊者在特定主機上所具有的權限，用二元組表示為。

1) host表示特定主機，可以采用主機IP地址描述。

2) privilege表示攻擊者在特定主機已具備的訪問權限，它的取值范圍定義為{none, user, root}。

定義8 收益表示攻擊者一次攻擊行為的預期收益，用三元組表示為。

1) attack_host表示攻擊發起主機，用主機IP地址描述。

2) attacked_host表示被攻擊主機，用主機IP地址描述。

3) benefit表示攻擊者一次攻擊行為所能獲取被攻擊主機的收益。

2.2 原子攻擊及其模式

原子攻擊指的是在滿足一定的網絡安全要素集合的前提下，對網絡中存在的脆弱性的一次具體利用，從而產生或獲取相應的安全要素結果。原子攻擊模式指的是對一類脆弱性的利用的描述，同時這些脆弱性利用有著類似的前提和結果。攻擊模式示例如圖3所示。

圖3 攻擊模式示例

Figure3 Examples of attack patterns

圖4 網絡主機畫像標簽

Figure 4 Portrait labels for network host

本文將原子攻擊模式表示為一個五元組。

1) name表示攻擊模式的名稱。

2) pre-conditions表示攻擊模式被利用所需的各類網絡安全要素前提條件，如網絡連接前提、脆弱性前提及訪問權限前提等。

3) post-conditions表示攻擊模式被利用后得到的新網絡安全要素，如信任關系、特權提升等。

4) cveidset表示適用于該攻擊模式的所有脆弱性cve編號的集合。

5) expected benefits-rate表示如果利用該攻擊模式進行攻擊所能獲取的期望收益和成本的比率，用百分比表示。

2.3 網絡主機畫像標簽設計

為了使網絡安全要素快速實例化，進而為攻擊圖構建提供必要的網絡安全要素支撐，本文為網絡主機設計了一組層次結構的畫像標簽集，如圖4所示。

網絡主機畫像標簽主要包括：基本屬性畫像標簽、連接關系畫像標簽、脆弱性畫像標簽和服務畫像標簽。其中，基本屬性畫像標簽用于描述該主機的基本信息，如IP地址、經過評估后的資產信息、主機系統信息等。連接關系畫像標簽描述該主機與其他主機相連的信息，如IP地址、連接協議、端口號、是否需要認證等。脆弱性畫像標簽描述該主機存在的已知漏洞信息以及帶來該漏洞的服務相關信息。服務畫像標簽描述該主機提供的服務信息，以及與該服務相關的一些基本信息。

2.4 期望收益率攻擊圖模型

2.4.1 模型定義

2.4.2 期望收益率攻擊圖分類

根據屬性攻擊圖中原子攻擊之間以及原子攻擊條件之間關系，可將屬性攻擊圖中的原子攻擊劃分為：“或”關系屬性攻擊圖（包括攻擊“或”和條件“或”）、“與”關系屬性攻擊圖（包括攻擊“與”和條件“與”）。

“或”關系屬性攻擊圖如圖5所示。圖中方框表示屬性節點，橢圓表示攻擊節點。

圖5 “或”關系屬性攻擊圖

Figure 5 “OR” relationship attribute-based attack graph

“與”關系屬性攻擊圖如圖6所示。

圖6 “與”關系屬性攻擊圖

Figure 6 “AND” relationship attribute-based attack graph

3 攻擊收益率量化及計算模型

3.1 原子攻擊成本及其量化

定義10 攻擊成本（AC，attack cost）指攻擊者為了成功入侵某一目標系統，所需要的平均時間、基本要素或工具以及攻擊者自身所具備的能力等。

圖7 “或”關系期望收益率攻擊圖

Figure 7 “OR” relationship attack graph of expected benefits-rate

圖8 “與”關系期望收益率攻擊圖

Figure 8 “AND” relationship attack graph of expected benefits-rate

借鑒經濟學中關于固定成本和變動成本的定義，將攻擊成本劃分為攻擊固定成本（AFC，attack fixed cost）、攻擊變動成本（AVC，attack variable cost）和攻擊時間成本（ATC，attack time cost）。參考馬春光等[13]提出的關于攻擊壓力要素的劃分及量化方法，本文將AFC劃分為攻擊損耗包括損耗系數（LF，loss factor）、攻擊代碼信息（SI，shellcode information）、攻擊代碼平臺（SP，shellcode platform）；AVC包括攻擊操作需求（OR，operation requirement）和攻擊信息需求（IR，information requirement）。AC層次化要素如圖9所示。AC要素量化如表1所示。

借鑒AC的定義，在其組成要素量化的基礎上，本文將AC的計算模型定義為AFC、AVC、ATC所有成本的總和。AC計算模型如式(1)所示。

其中，AFC的取值取決于SI、SP以及LF，并通過LF作為每次攻擊對SI、SP的折舊提取，這樣可以對不同的攻擊、不同階段的攻擊，靈活模擬攻擊固定成本。AFC的計算模型如式(2)所示。

Figure 9 AC hierarchical elements

表1 AC要素量化

3.2 原子攻擊收益分析及其量化

定義11 攻擊收益（AB，attack benefit）：攻擊收益指攻擊者通過投入一定的攻擊成本，以某種方式入侵某一目標系統，進而在該攻擊過程中所獲得的一系列收益。

根據攻擊收益的定義將其劃分為攻擊權限收益（APB，permission benefits by attack）、攻擊價值收益（AVB，value benefits by attack）和攻擊拓展收益（AEB，expansion benefits by attack）。其中APB指的是攻擊者在入侵目標網絡系統時能夠獲取的權限及其度量，根據權限從低到高劃分為遠程注冊（RR，remote registration）、認證繞過（CB，certified bypass）、有限訪問（LA，limited access）和完整權限（full access）。AVB指的是攻擊者在入侵目標網絡系統時能夠直接獲取或破壞的資產價值，主要包括CV（confidentiality value）、IV（integrity value）、AV（availability value），其取值分別由專家評價獲取。AEB表示攻擊目標的通用程度，進而影響對其他目標系統的收益情況。AB層次化要素如圖10所示。AB要素量化如表2所示。

圖10 AB層次化要素

Figure 10 AB hierarchical elements

表2 AB要素量化

注：“/”表示不適用。

AB計算模型如式(3)所示。

式(3)中AVB可通過CV、IV和AV綜合反映得到。根據實際經驗CV、IV和AV這3種價值中最高的一個對資產的價值影響最大，且不同行業由于業務、職能和行業背景差別較大，故安全風險評估和安全保障的要求也不同，本文的AVB計算模型增加了權重，用于區別不同行業的安全風險評估。

AVB計算模型如式(4)所示。

3.3 原子攻擊期望收益率計算模型

定義12 折現率（DR，discount rate）指的是攻擊者利用目標網絡脆弱性并最終獲取收益的程度，折現率與漏洞的可利用性直接相關，可利用性大則最終期望收益率大，反之則小。

根據DR的定義以及通用漏洞評分系統（CVSS）中關于漏洞可利用性的組成要素及其度量，可以發現DR與CVSS中可利用性正相關。因此，本文直接采信CVSS中可利用性的組成要素及其量化值，并在此基礎上構建DR的計算模型。DR組成要素及其量化如表3所示。

表3 DR組成要素及其量化

DR計算模型如式(5)所示。

定義13 原子攻擊期望收益率（ARB，atomic attack rate of benefit）指的是攻擊者依據攻擊節點將某一屬性節點轉換或獲取為另一屬性節點時期望的收益與付出的成本的比率。其基本計算模型如式(6)所示。

即

在基于期望收益率的攻擊圖中，原子攻擊期望收益率計算主要分為兩種情況，即“或”關系的基本期望收益率和“與”關系的基本期望收益率，也就是本文圖7和圖8所描述的情況。

（1）“或”關系的期望收益率計算

圖7描述的“或”關系期望收益率攻擊圖中，由于兩種攻擊的最終收益都取決于S3節點，故收益不變，而0→1→3和1→2→3的攻擊成本則很大可能不同。因此，可依據式(1)～式(6)，分別計算攻擊期望收益率，假設計算結果為

（2）“與”關系的期望收益率計算

式(7)、式(8)代入式(9)可得

在式(10)的基礎上延伸至“與”關系期望收益率攻擊圖中含個屬性（攻擊）“與”的情況，則期望收益率計算模型為

3.4 攻擊路徑確定

依據已知節點屬性和狀態、攻擊方法等構建屬性攻擊圖，在原子攻擊成本與收益量化的基礎上，計算各原子攻擊期望收益率及攻擊原子攻擊間的邏輯關系，生成期望收益率列表，最后將期望目標作為出發點，依據某一策略（如回溯法、貪心算法、動態規劃）展開搜索，最終得到收益率最大的路徑作為首選攻擊路徑。

4 仿真實驗及分析

本文研究的重點是在屬性攻擊圖的基礎上加入攻擊期望收益率，為了簡化和更好地理解本文提出的期望收益率攻擊圖及其相關研究，本節采用仿真實驗的方法。

實驗的主要方法為：設計一個包含多種“OR”和“AND”關系的屬性攻擊圖；轉換為期望收益率攻擊圖并進行收益率量化（賦值）；結合期望收益率量化情況，舍去期望收益率較低的攻擊路徑并生成最優收益率攻擊圖。

4.1 實驗假設

假設針對某網絡系統的安全分析所生成的屬性攻擊圖，如圖11所示。圖中8為網絡攻擊的最終節點，矩形方框代表屬性節點，橢圓代表攻擊節點，“OR”和“AND”分別代表“或”和“與”關系。

圖11 實驗網絡的屬性攻擊圖

Figure 11 Attribute attack diagram of experimental network

4.2 期望收益率攻擊圖

圖11所示的屬性攻擊圖添加期望收益率后可轉換為期望收益率攻擊圖，如圖12所示。

圖12 實驗網絡的期望收益率攻擊圖

Figure 12 Benefits-rate of the experimental network

為了便于分析，圖12中的各期望收益率結果如表4所示。

表4 期望收益率情況

4.3 期望收益率攻擊圖簡化

從圖12期望收益率攻擊圖中可以發現共兩處存在“OR”的情況，轉換為期望收益率“OR”的情況即(1) OR(2)，(3) OR(30)。依據表5期望收益率量化情況，顯然應該保留(1)= 65%（保留12→1→6，舍去23→2→6）和(30)=60%（保留4→3→7，舍去3→3→7）。

此外，設“與”關系攻擊路徑4→3→7和5→3→7攻擊期望收益率為B(A6)，依據式(11)，則(A6)計算結果為

即

簡化后的期望收益率攻擊圖如圖13所示。

圖13 簡化后的期望收益率攻擊圖

Figure 13 Simplified attack graph of benefits-rate

5 結束語

隨著網絡技術的快速發展，網絡面臨的攻擊威脅在不斷增加，特別是APT攻擊，具有極強的隱蔽性和針對性，能夠對目標網絡造成持久且有效的威脅。為了更好地保護重要的網絡節點，準確識別攻擊目標和攻擊路徑，為管理人員提供安全策略支撐，本文提出了一種基于期望收益率攻擊圖的網絡安全風險評估模型。首先，通過采集網絡漏洞信息、網絡攻防等相關網絡安全數據，依據Spark大數據分析評估平臺得到攻擊成本和攻擊收益的相關要素；其次，依據經濟學中相關概念構建攻擊成本、攻擊收益和原子攻擊期望收益率計算模型，提出屬性攻擊圖向期望收益率攻擊圖的轉換方法；最后，利用屬性攻擊圖生成目標網絡的全部攻擊路徑，并計算攻擊節點上的期望收益率大小，進而依據期望收益率簡化和預測最可能的攻擊路徑，為網絡安全風險分析提供重要依據。仿真實驗表明，將期望收益率模型和屬性攻擊圖相結合進行網絡風險評估具有可行性和可信性。

本文將期望收益率的概念應用到網絡風險評估中，提出基于期望收益率攻擊圖的網絡風險評估方法，該方法不但具備屬性攻擊圖的優點，而且在此基礎上構建的期望收益率攻擊圖，可以依據不同的策略優化攻擊路徑，進而為使用方提供優先防護/攻擊策略。此外，該方法的關鍵點和難點是攻擊成本和收益要素的分類、量化以及期望收益率模型構建，由于模型構建過程中涉及的要素較多，對要素的分類及其量化提出了較高的要求。期望收益率模型涉及的要素及其量化直接影響了模型計算的科學性和準確性，下一步需加強研究、優化模型。

[1] 吳迪,馮登國,連一峰,等. 一種給定脆弱性環境下的安全措施效用評估模型[J]. 軟件學報,2012,23(7): 1880-1898.

WU D,FENG D G, LIAN Y F, et al. Efficiency evaluation model of system security measures in the given vulnerabilities set[J]. Journal of Software. 2012,23(7): 1880-1898.

[2] MAIO F D,MASCHERONAZ E. Risk analysis of cyber-physical systems by GTST-MLD[J]. IEEE Systems Journal,2020,14(1): 1333-1340.

[3] LEE J,MOON D,KIM I,et al. A semantic approach to improving machine readability of a large-scale attack graph[J]. The Journal of Supercomputing,2018.

[4] SCARFONE K,MELL P. An analysis of CVSS version 2 vulnerability scoring[J]. IEEE Computer Society,2009.

[5] KERAMATI M,AKBARI A. CVSS-based security metrics for quantitative analysis of attack graphs[C]//2013 3th International Conference on Computer and Knowledge Engineering (ICCKE). 2013.

[6] KHOUZANI M,LIU Z,MALACARIA P. Scalable min-max multi-objective cyber-security optimisation over probabilistic attack graphs[J]. European Journal of Operational Research,2019.

[7] LIU X G. A network attack path prediction method using attack graph[J]. Journal of Ambient Intelligence and Humanized Computing,2020,(1): 1-8.

[8] ZANG T,GAO S,LIU B,et al. Integrated fault propagation model based vulnerability assessment of the electrical cyber-physical system under cyber attacks[J]. Reliability Engineering & System Safety,2019,189(SEP. ): 232-241.

[9] OBERT J,CHAVEZ A. Graph theory and classifying security events in grid security gateways[J]. International Journal of Semantic Computing,2020,14(1): 93-105.

[10] 陳鋒, 張怡, 蘇金樹, 等. 攻擊圖的兩種形式化分析[J]. 軟件學報,2010, 21(4): 838-848.

CHEN F,ZHANG Y,SU J S, et al. Two formal analyses of attack graphs[J]. Journal of Software,2010,21(4): 838-848.

[11] SHEYNER O,HAINES J,JHA S,et al. Automated generation and analysis of attack graphs[C]//IEEE Symposium on Security & Privacy. 2002.

[12] INGOLSK ,CHU M ,LIPPMANN R,et al. Modeling modern network attacks and countermeasures using attack graphs[R].2009.

[13] 馬春光, 汪誠弘, 張東紅, 等. 一種基于攻擊意愿分析的網絡風險動態評估模型[J]. 計算機研究與發展, 2015, 52(9): 2056-2068.

MA C G,WANG C H,ZHANG D H,et al. A dynamic network risk assessment model based on attacker’s inclination [J]. Journal of Computer Research and Development. 2015,52(9): 2056-2068.

[14] 閆峰. 基于攻擊圖的網絡安全風險評估技術研究[D]. 長春: 吉林大學,2014.

YAN F. The technology research of network security risk assessment based on attacks graphs[D]. Changchun: Jilin University,2014.

[15] ZHANG S,SONG S. A novel attack graph posterior inference model based on bayesian network[J]. Journal of Information Security,2011,2(1): 8-27.

[16] WANG L,LIU A, JAJODIA S. Using attack graphs for correlating,hypothesizing,and predicting intrusion alerts[J]. Computer Communications,2006,29(15): 2917-2933.

[17] 周余陽, 程光, 郭春生. 基于貝葉斯攻擊圖的網絡攻擊面風險評估方法[J]. 網絡與信息安全學報,2018,4(6): 11-22.

ZHOU Y Y,CHENG G,GUO C S. Risk assessment method for network attack surface based on Bayesian attack graph[J]. Chinese Journal of Network and Information Security,2018,4(6): 11-22.

[18] LALLIE H S,DEBATTISTAK,BAL J. Evaluating practitioner cyber-security attack graph configuration preferences[J]. Computers & Security,2018,79: 117-131.

[19] LIN P,CHEN Y. Dynamic network security situation prediction based on bayesian attack graph and big data[C]//2018 IEEE 4th Information Technology and Mechatronics Engineering Conference (ITOEC). 2018.

Research on network risk assessment based on attack graph of expected benefits-rate

LIU Wenfu1,2,PANG Jianmin1, ZHOU Xin1, LI Nan1, YUE Feng1

1. Information Engineering University, Zhengzhou 450001, China 2. State Key Laboratory of Complex Electromagnetic Environment Effects on Electronics and Information System, Luoyang 471003, China

As Internet applications and services become more and more extensive, the endless network attacks lead to great risks and challenges to the security of information systems. As a model-based network security risk analysis technology, attack graph is helpful to find the vulnerability between network nodes and the harm of being attacked. It has been proved to be an effective method to find and prevent network security risks. Attack graph is mainly divided into state-based attack graph and attribute-based attack graph. Due to the problem of state explosion in state-based attack graph, most researchers prefer the attribute-based attack graph for network risk assessment. In view of the existing researches on attribute-based attack graph, they excessively rely on the vulnerability of network nodes and the essential attributes of atomic attack. However, they ignore that rational attackers usually choose specific attack paths by maximizing attack benefits. Then, a network risk assessment framework and a quantification method of attack benefits-rate based on expected benefits-rate attack graph were proposed. The network risk assessment framework took the open vulnerability resource database, the new vulnerabilities found by the vulnerability mining system and the big data related to network attack and defense as the basic data source. The network risk assessment framework also took the open source big data platform as the analysis tool to mine and calculate the elements related to attack cost and attack benefit. Using the concepts of cost, benefit and benefit-rate in economics, the calculation model of expected benefit-rate of atomic attack was constructed. By constructing the attribute-based attack graph of the target network, the expected benefit-rate of atomic attack on the attack path was calculated, and the expected benefit-rate list of all possible attack paths was generated. Furthermore, taking the expected goal as the starting point, the search was carried out according to the specific optimization strategy (backtracking method, greedy algorithm, dynamic programming). And the complete attack path with the maximum benefit-rate was obtained, which provided the basis for network risk assessment. The simulation results show the effectiveness and rationality of the proposed expected benefit-rate attack graph network risk assessment method, which can provide support for discovering and preventing network security problems.

attack graph, risk assessment, attack path, expected benefits-rate, attack graph of benefits-rate

The National Natural Science Foundation of China (61802433), Zhijiang Laboratory Advanced Industrial Internet Security Platform(2018FD0ZX01)

劉文甫, 龐建民, 周鑫, 等. 基于期望收益率攻擊圖的網絡風險評估研究[J]. 網絡與信息安全學報, 2022, 8(4): 87-97.

TP309.1

A

10.11959/j.issn.2096?109x.2022047

劉文甫（1986?），男，河南衛輝人，信息工程大學博士生，主要研究方向為大數據分析、自然語言處理、信息安全。

龐建民（1964?），男，河北滄州人，博士，信息工程大學教授、博士生導師，主要研究方向為數據庫理論、數據挖掘、機器學習、高性能計算、信息安全。

周鑫（1994?），男，遼寧沈陽人，信息工程大學博士生，主要研究方向為人工智能、漏洞挖掘、信息安全。

李男（1977?），男，河北保定人，博士，信息工程大學副教授，主要研究方向為高性能計算和大數據隱私保護。

岳峰（1985?），男，山西長治人，博士，信息工程大學講師，主要研究方向為高性能計算、信息安全、大數據挖掘。

2021?03?19；

2021?07?28

龐建民，jianmin_pang@hotmail.com

國家自然科學基金（61802433）；之江實驗室“先進工業互聯網安全平臺”項目（2018FD0ZX01）

LIU W F, PANG J M, ZHOU X, et al. Research on network risk assessment based on attack graph of expected benefits-rate[J]. Chinese Journal of Network and Information Security, 2022, 8(4): 87-97.