一種面向異構復雜網絡的安全風險評估模型

吳 晨

（西安郵電大學現代郵政學院 陜西 西安 710061）

0 引言

隨著虛擬化和Docker技術的普及，在一些大型數據中心產生了物理集群和虛擬化集群共存的情況，這種技術升級帶來了一種現狀，即異構復雜網絡環(huán)境。在異構互聯(lián)的網絡環(huán)境中保證不同保密等級的信息安全可控是當下急需解決的難點，這種環(huán)境具備高維異構性、實時動態(tài)性、關系稀疏性、業(yè)務交叉復雜、信息敏感度高的特點，傳統(tǒng)的網絡安全評估方法已經不適用這種情況，因此，研究其暴露在相對開放網絡環(huán)境下的安全風險評估模型具有很大的意義。

1 研究現狀

在網絡風險安全建模方面，很多學者已經進行了大量的基礎研究。羅運來等[1]提出了一種基于攻擊圖和模糊綜合分析的網絡動態(tài)威脅評估方法。該方法過于依賴于CVSS指標中的AV、AC、PR、UI進行模糊關系矩陣的計算，但是未考慮到漏洞的量級和真實對系統(tǒng)造成的破壞程度，所以在非實驗環(huán)境下的可應用性有限。楊英杰等[2]提出了一種基于網絡系統(tǒng)多警報信息的動態(tài)威脅跟蹤與定量分析機制。該方法特別依賴報警信息的時效性和連續(xù)性，如果某些中間信息有誤報或漏報現象，將造成模型無法向前溯源及向后預測，影響效果。李彤等[3]一行作者提出了一種初始與攻擊樹和STRIDE的安全威脅研究方法。該方法使用的STRIDE模型是微軟提出的，但是主要偏向應用層，不支持大規(guī)模網絡的映射，因此該方法不適合大規(guī)模網絡系統(tǒng)的整體威脅建模。呂宗平等[4]一行作者提出了FAHP，即一種在模糊層次分析法之上改進型的攻擊樹模型。該方法使用人為的方法確定了攻擊付出的重要性，主觀性非常強，沒有考慮不同攻擊行為對安全屬性的影響。以人工智能和大數據等新技術為基礎威脅模型研究近些年也嶄露頭角，例如段明琪[5]提出直接使用用戶行為作為特征的思路，利用DNN神經網絡自動發(fā)掘刻畫各類網絡威脅的特征，并設計了基于高維稀疏特征的降維和降參辦法；黃璇麗[6]提出了一種基于CNN網絡和遞歸神經網絡的深度學習威脅檢測方法等。現階段使用神經網絡自適應學習開展威脅建模的研究主要從用戶日志記錄和網絡流量數據中獲取特征源，因此訓練模型的數據源廣度和清晰度都大大影響模型的精度。因此，機器學習技術建立的威脅模型，是一個很好的研究方向，但是從目前的實用性來說，還未到能替代人工建模的程度。

考慮到異構復雜網絡的特殊性，當前針對網絡威脅的檢測模型研究和描述分析方法均具有一定的不足。因此本文從攻擊和防御視角出發(fā)，以多維度、時空性、適配整體網絡方面考量，提出一種基于空間威脅持續(xù)鏈模型STPC（space threat persistence chain）的評估風險評估算法，適用于異構復雜網絡面臨的多元化威脅。

2 基于多層次異構復雜網絡威脅建模

2013年，美國團體組織 MITRE首次提出ATT&CK模型[7]，ATT&CK將已知的歷史實踐的高級威脅攻擊戰(zhàn)術和技術整合，形成了針對黑客行為描述的通用語言和黑客攻擊抽象的知識庫框架。ATT&CK知識庫雖然包含了全部已知的威脅行為和檢查點，但是其中一些指標不適合國內的軟硬件環(huán)境，此外還缺乏對于虛擬化的支持，因此我們在此基礎上進行改進。

2.1 威脅建模

通過分析異構網絡面臨的威脅來源、攻擊路徑和威脅程度，分析其網絡接入模式和流量傳播特點，提出基于ATT&CK知識庫改進的空間威脅持續(xù)鏈模型STPC。依據國內主流的異構網絡環(huán)境和應用層特性，我們重構了12種威脅行為，分別是初始訪問、執(zhí)行、持久化、權限升級、防御逃逸、憑據訪問、發(fā)現、橫向移動、采集、命令與控制、數據滲漏、惡劣影響，特別加入了對虛擬化和云計算場景下的威脅項。

按此可以得出一個12*N的變長威脅矩陣模型，模型覆蓋了現有已知的威脅類別，從信息發(fā)現跨度到數據竊取及惡意破壞，維度廣、分類細。

STPC威脅模型可表達的威脅范圍不僅僅限制于某一個系統(tǒng)或者設備，即便是一個復雜的網絡環(huán)境，都可以通過該模型來表示其面臨或已遭受的威脅風險。

2.2 構建威脅特征

通過https://feed.watcherlab.com獲取大量的國內外已公布或商業(yè)化的APT情報，依據所建立的威脅矩陣模型體系將情報內容填充在矩陣體系內，就得到了一組時空序列。例如：現獲取到一份關于某APT組織最新的研究情報，里面描述了一個APT組織從信息搜集到擷取數據整個過程中所使用的工具類型，操作手法和步驟，那么就可以按照我們之前的威脅分類將整個過程映射在12*N威脅矩陣中，具體操作步驟（以3389遠程端口入侵為例）如下。

（1）分析報告/情報中的關鍵技術點，如情報中涉及的APT組織操作痕跡、滯留物、目標效果，侵入的門路把這些信息標注起來。

（2）找出獲得的分析報告/情報的主要部分，一般指的是描述方法、手段、工具使用的部分。

（3）深入理解分析報告/情報的整體結構，按照時空循序先建立一個完整的攻擊生命周期，主要是為了整理邏輯，加快后續(xù)映射速度。

（4）找出行為（比如“建立RPC端口連接”)。

（5）研究行為（RPC是第5層<會話層>協(xié)議）。

（6）將行為映射到威脅矩陣模型（上述行為屬于初始訪問－外部遠程服務、執(zhí)行－Windows遠程管理）。

（7）找出后續(xù)的行為技術繼續(xù)映射（如反向RC代理，對應在持久化－啟用代理）。

（8）完成所有行為的矩陣映射。

（9）將分析結果與其他分析師的映射比較，然后找出一個最優(yōu)化的映射。

2.3 威脅特征庫建立

通過前兩個步驟，我們可以按照之前的威脅分類將整個過程映射在威脅矩陣中，我們將有映射的地區(qū)標記為1，未填充的地區(qū)標記為0，得到一個12*N的變長二維矩陣。再將二維矩陣降維，得到一個由0、1構成的一維特征向量，該向量即為高風險網絡的特征向量之一。重復上述步驟對搜集到的威脅情報轉化為威脅特征向量處理入庫，就得到了高風險網絡的威脅特征庫。

目前我們已通過威脅映射的方式建立了107個APT組織和477個惡意工具的威脅特征庫。

3 異構網絡安全風險評估算法

目前網絡安全風險評估方法是從風險管理的角度，主要局限于資產識別、脆弱性分析、識別風險等要素開展評估工作，數據來源單一，評估對象割裂，對防護措施和應用場景的研究得不夠充分。

本文將綜合考慮應用、平臺、運行環(huán)境、數據安全等實體因素和應急響應、管理措施等因素結合起來，綜合考慮威脅值、破壞強度、威脅范圍和影響程度等維度，構建指標體系，完成指標建模，優(yōu)化設計綜合評估算法。

采用定性分析和定量分析相結合的方法對網絡安全評估技術進行研究，在前述威脅建模基礎上，建立基于攻防對抗的多層次線性加權評估模型，結合《信息安全技術網絡安全等級保護基本要求》，將運行維護制度、應急響應方案、風險預警體系等管理因素結合起來，評估指標體系設計由威脅度、發(fā)現能力、響應機制3個大類權重指標項組成，綜合AHP方法[8]、熵權法[9]等方法確定指標矩陣和權重，最后形成一套完整、可信、落地、實操性強的網絡安全風險評估方法。

3.1 威脅度評估

威脅度評估主要是檢測目標網絡安全等級和已經確認為高威脅網絡特征的匹配關系，滿分100分。具體操作和計算方法如下。

根據目標系統(tǒng)的網絡環(huán)境、系統(tǒng)組成、中間件種類、業(yè)務使用邏輯和通信線路，從這幾個維度查找可能的入侵痕跡。

將搜查到的痕跡對應在STPC威脅模型中進行映射，識別出的填充為1，未識別的填充為0。

填充過后，我們得到一個12*N的變長二維矩陣，再將二維矩陣降維，得到一個由0、1構成的一維特征向量。

D1=（w11，w12，w13..w1n）

使用該特征向量與特征庫的某一特征向量

D1=（w21，w22，w23..w2n）

進行以下運算：

公式（1）結果可得出一個0～100之間的特征值Sim，數據越大表示和該特征越符合。最終被測網絡的威脅等級等于：

其中n的值大于等于2，小于等于特征庫總特征數。

3.2 響應機制評估

響應機制評估用于評價目標網絡運維、管理和人員技術的綜合能力，滿分為100分，采用打分制評估。

因為響應機制評估中涉及大量的評估表和評估指標，無法使用傳統(tǒng)的AHP來為得出每一項評估指標的權重，而不得出權重又無法將總分歸一化到0～100的范圍內，所以我們提出一種基于信息熵的動態(tài)賦權算法。

計算方法的核心原理是根據信息熵計算各指標，進而得出指標的權重值。首先確定所有三大類指標中每一二級指標的信息熵，然后根據熵的大小確定指標權重，這一系列的計算權重的方法和步驟如下。

（1）構造原始數據矩陣M。假定共有m個評估表，n個指標，根據觀測得出各評估指標的初始數據，可以構造原始數據矩陣M = (xji)m×n。

其中，xji表示第j個評估表中第i個指標下的評估值。

（2）計算第i個指標下第j個評估表的特征權重。

（3）計算各個評估指標的熵值Si。

（4）歸一化計算各指標權重?i。

因此，可以得到基于信息熵的指標客觀權重為?=(?1, ?2,… ,?n)。

（5）根據各指標項的權重，得出的響應機制運維和管理部分的賦值如下。

其中Zi是每個一類指標最終得分，δi為每個一類指標的權重。

3.3 發(fā)現能力評估

發(fā)現能力用于檢測目標網絡系統(tǒng)識別來自外部及內部攻擊的能力，滿分100分。方法如下。

（1）通過構建一個場景來測試攻擊者戰(zhàn)術、技術和步驟的某些方面。防御方通過已知的攻擊線路和手段在目標網絡上測試防御系統(tǒng)能否有效識別。

（2）構建的攻擊場景使用偽代碼實現，不對目標實體造成任何的損害。

（3）通過執(zhí)行測試，就可以看到我們期望檢測到的內容是否和我們實際檢測到的一樣。例如，我們在防火墻設置了一旦發(fā)現某行為進行報警，但實際情況并沒有報警，那么該單元測試中防御檢測手段就是無效的。

因為發(fā)現能力評估的指標項是我們構造的偽代碼，而各種偽代碼是可以根據威脅性進行優(yōu)劣比較的，所示非常適合使用AHP法來進行賦值。

利用 AHP 確定評估指標權重能夠從多層次多角度分析各指標重要程度，確定其權重，使得權重判定更具準確性和可操作性。判定具體過程和步驟如下。

（1）構造判定矩陣。根據層次分析法思想，將處于同一層次的不同指標兩兩對比其相對重要性，采用9量化標度方法，對指標比較情況給出相應的數學標量，標構造判定矩陣A = (aij)n×n。

其中，判定矩陣A的每個元素aij表示各評估層次上第i個指標與第j個指標的相對優(yōu)劣情況，滿足aij＞0且當i≠j時，aij=1/aji。

（2）確定各層次指標權重，第一步先對判定矩陣A的各列向量進行歸一化處理，即：

接著，將歸一化后的矩陣按行求和得到各層次指標的初始權重向量w′= (w1′,w2′,… ,wn′)。其中：

最終，將初始權重向量歸一化處理得出各層次指標權重w= (w1,w2,… ,wn)，其中：

（3）最終根據各指標項的權重，得出的發(fā)現能力賦值為：

3.4 總體風險計算

總體評估中3個一級權重計算使用AHP的算法，得出網絡整體安全風險評估得分為：

其中T、R、D分別代表威脅度、響應機制、發(fā)現能力評估結果，得分越高風險值越大。

4 實驗驗證與分析

4.1 實驗環(huán)境設置

驗證本文提出的基于STPC模型的網絡風險評估方法的可行性和有效性，設計如下網絡實驗，網絡的拓撲結構見圖1。實驗平臺包括：服務器主機操作系統(tǒng)、虛擬機主機操作系統(tǒng)、網絡及其主要基礎設施（如路由器、交換機等）、安全保護措施和設備（如防火墻、IDS、隔離網閘）、stack基礎設施云環(huán)境、kybernetes容器云、MySQL數據庫。

混合云網區(qū)由10臺服務器、3臺交換機、1臺檢測入侵系統(tǒng)、1臺內網防火墻、1臺三層路由器和1臺隔離網閘組成。10臺服務器搭建了兩個集群，其中6臺搭建stack集群，4臺搭建了容器云集群，組成了混合云平臺，平臺集群搭建時采用業(yè)務、管理、存儲網絡分網方式，有利于還原真實場景。其中交換機和路由器配置路由模式，通過防火墻做端口映射和評估操作區(qū)的數據進行交互。

4.2 痕跡檢查

因為被測目標環(huán)境是模擬創(chuàng)建的，無法獲取真實的入侵痕跡，故在此人為設置了一些痕跡。

設置的痕跡為：在一個Microsoft Word文檔中插入了一個宏，實現本地內網反彈連接遠程服務器的效果。具體方式如下。

（1）生成一個空白的word文件，開啟宏。

（2）宏名隨便輸入，然后點擊創(chuàng)建，輸入一個惡意宏指令，然后點擊保存。

（3）然后我們拷貝圖2內容，貼到word文檔的正文里面，然后保存關閉。

（4）一旦這個word被運行，就開啟了一個本地反向代理服務。經過上述的步驟，我們基本偽造了一些攻擊者在剛入侵系統(tǒng)未完成提權場景下的痕跡。

4.3 威脅矩陣映射

將上一步我們設置的痕跡情況映射到STPC威脅模型中。威脅映射的過程可以參考威脅知識庫中威脅指標的定義來進行分類。映射的結果見表1。

表1 威脅映射結果表

4.4 威脅值計算

將上述威脅映射的結果進行編碼后降維，使用公式（1）（2）算法與威脅特征庫進行兩兩比對計算，最終結果威脅值T=93分，說明該網絡系統(tǒng)已明顯表現出遭受入侵的痕跡，風險很高。

4.5 響應機制計算

根據網絡和系統(tǒng)特點，選取了等級保護2.0基礎表[10]來開展評估。

使用評估表和公式（3）～（7）對風險評估目標系統(tǒng)進行打分，被測網絡環(huán)境在可信驗證、安全審計、身份鑒別3處有重大扣分項，最終打分成績?yōu)?7分，故評估項得分R=100-67=33分。

4.6 發(fā)現能力計算

測試目標機器選取stack環(huán)境下的虛擬機Windows 7Sp1專業(yè)版，地址為192.168.110.195。

因為實現條件有限，提供的設備只具備宏觀級別的安全防御，對于終端環(huán)境的防護基本沒有，我們只使用了Windows自帶的安全策略和殺毒軟件來防御。

我們使用了開源批處理執(zhí)行工具運行了30個偽代碼腳本程序。每一項測試滿分分值為100，若安全設備發(fā)現了行為但未阻止得50分，發(fā)現并阻止了行為得0分，未發(fā)現行為得100分。運用公式（8）～（12）可得，發(fā)現能力D=36.655 24。

4.7 風險總分計算

總體評估中3個一級權重計算使用AHP的算法，按照公式（13）得出網絡整體安全風險評估得分為：

Risk（T,R,D）=0.42*93+0.29*36.65524+0.29*33= 59.26

5 結語

本文提出了一種基于空間威脅持續(xù)鏈模型STPC（space threat persistence chain）的評估風險評估算法，從攻擊和防御視角出發(fā)，以多維度、時空性、適配整體網絡方面考量，適用于異構復雜網絡面臨的多元化威脅評估。利用所提方法對一個中型異構復雜網絡進行風險評估。實驗表明使用本文的風險評估方法能夠正確評估網絡的安全風險，評估結果更加符合實際情況，能直觀地給出量化風險值。