基于攻擊圖的主機安全評估方法分析

李黎濱，王 宇，馬 凱，楊婷婷，王詩楠

（國網吉林省電力有限公司信息通信公司，長春 130000）

對網絡主機進行威脅迫害安全評估，能夠幫助管理人員掌握設備安全運行狀態，并以此為基礎構建防御體系，對保障主機安全運行而言具有重要意義。現有研究未對主機漏洞和威脅關聯性進行研究，導致對主機的安全評估仍存在精度誤差問題，影響對主機安全運行的判斷。對此，本文將借助貝葉斯攻擊圖對主機威脅漏洞和威脅關聯性進行分析，并探究融入上述影響因子后的評估分值，以期優化評估方法，提高評估準確性。

1 主機安全評估方法

1.1 主機攻擊圖定義

用“N”代表主機攻擊圖下存在的節點，且N=N主∪N次主。其中，N主代表初始攻擊主機，N次主代表其他主機。用“E”表示邊的集合，E={E1，E2，…，EN}可表示2個主機之間存在的關聯關系，用“n”代表攻擊圖所有邊數。

1.2 主機攻擊圖結構建立

采集目標網絡的漏洞與通信的訪問規則信息，并以此為基礎建立主機攻擊圖，因現階段真實的網絡環境中主機存在漏洞并不唯一[1]，因此為方便表述和研究將簡化所建攻擊圖的規模，以此弱化攻擊者攻擊意圖的分析工作，主機攻擊圖結構如圖1所示。當攻擊圖多條邊最終指向同一主機時，需要剔除原子攻擊概率最大主機漏洞周邊外的邊。

圖1中，“N主”代表攻擊者的攻擊主機；“N次主1～N次主5”皆代表組成網絡拓撲的其他主機；E1～E7代表主機攻擊圖存在的邊，各主機之間的連接段為攻擊方所利用的漏洞。例如在E1邊記錄的CVE-2019-12615代表攻擊者借助攻擊主機N主利用N次主1上的漏洞對N次主1發起攻擊。

1.3 主機攻擊概率計算

從主機攻擊圖獲取攻擊路徑能夠明確攻擊者所使用的攻擊序列，并從宏觀角度觀察攻擊路徑及攻擊概率，從而預測出攻擊主機間的關聯性[2]。對此，可從初始攻擊主機角度出發，面向各次主機為攻擊終點，利用深度優先排除原則對所有攻擊路徑下的主機及其漏洞的攻擊概率進行計算，以所得攻擊概率計算值中最大概率當做各主機受到攻擊主機攻擊的概率，即各次主機間存在的最大攻擊路徑概率，其表達式為

式中：Pi為原子攻擊的概率。

1.4 主機漏洞影響值計算

各級主機的漏洞會對主機自身產生不同程度的影響，組成網絡結構主機的漏洞威脅值為所有漏洞產生影響值的和。結合CVSS可將主機單個漏洞產生的影響值表示為[3]

式中：VVi表示主機單個漏洞產生的影響值；VCi表示主機第i個漏洞對主機機密性的影響；VIi表示主機第i個漏洞對主機完整性的影響；VAi表示主機第i個漏洞對主機可用性的影響。

將VCi、VIi和VAi均按照無影響、低影響和高影響等3個等級進行劃分，并將取值分別設為0、0.274和0.65。則可將各主機的漏洞影響值“HV”表示為

式中：VVj表示單個主機的漏洞影響值。

2 主機安全值計算

2.1 主機資產重要性計算

從資產角度出發可將網絡主機的資產重要性分為機密性、完整性及可用性，對其的計算過程可分為以下5個階段。

階段一，結合網絡主機結構下不同主機對安全環境的需求，融合GB/T 20984—2007《信息安全風險評估規范》中的相關標準，將待評估主機的資產重要性進行分級，用L1表示非常高、L2表示高、L3表示一般、L4表示低及L5表示非常低。細化后的評估細粒度在提高評估值精確度的同時還會增加先驗評分的難度，進而影響對資產重要性等級區分的界定，因此本文將選擇5個等級作為評估資產重要性屬性的等級標準，等級L1至L5依次賦值5、4、3、2、1[4]。

階段二，結合多名專家學者對階段一各主機的資產重要性等級進行賦值，并融合賦值結果構建第r個攻擊主機資產重要性分級的評價矩陣“Mr”，即

階段三，對上述評價矩陣中所有元素進行歸一化處理，并將處理后得到矩陣中各元素記為“dik”。考慮到各主機間權重的差異性和相關性，將引入相關性定權法對分級后的權重進行計算，保障能夠從客觀的角度獲得更加貼合實際的權重值[5]。

對此可將矩陣中第k列分級屬性d的均值表述為

式中：n表述矩陣的行數。

由此可得出矩陣下第k列的資產重要性分級屬性標準差，即

將所得任意2個指標間存在的相關系數設為“vXY”，則vXY為

此時矩陣下第k列的分級屬性所涵蓋的信息量為

由此可得出第r個主機構建矩陣第k列所含資產重要性分級屬性的權重為

階段四，結合Mr可計算出主機r資產重要性分級中第k個屬性賦予的評分取值“ATTjk”，即

階段五，得出主機r的資產重要性，即

2.2 動態風險評估

從動態威脅角度出發，當網絡主機受到攻擊之前可通過各級主機動態更新與先前風險經驗生成攻擊的先驗概率。通過分析先驗概率可實現對靜態概率的完善，并結合每次攻擊的特征對風險概率進行調整修正。借助貝葉斯公式實現對攻擊圖主機安全的動態風險評估，貝葉斯公式會沿著攻擊者的攻擊路徑進行反向計算，并檢驗攻擊者攻擊主機i的概率，以此方式實現對攻擊主機上一節點風險概率的修正，并借助隨時間變化而變化的主機漏洞CVSS評分實現對目標節點攻擊概率的計算，該方法雖可以實現反向計算，但是不會利用攻擊主機產生攻擊信息沿攻擊路徑進行更新。對事前預防相比，事后對過往節點進行概率校正，且直接沿攻擊主機的攻擊路徑進行正向更新能夠更加顯著看出攻擊者攻擊所帶來的威脅信息，進而在極短時間內明確攻擊后可能對主機帶來的安全擾動，方便管理員可以結合攻擊者潛在的攻擊行為做出下次攻擊的應急反應。因此，通過對攻擊圖主機的動態風險評估，可轉變原有評估方法的評估思路，并提高對網絡當前狀態的掌握和預測，通過前向與后向節點更新相結合的方式，在提高直接反映狀態速率與預測攻擊者下次攻擊動作的同時，實現對攻擊概率覆蓋下所有主機節點進行概率修正，由此得出攻擊圖主機安全的風險擾動評估信息可更加貼合實際，且基于此做出的風險應急措施會更加有效[6-7]。

3 實驗與結果分析

3.1 實驗環境

為對上述所提方法的可行性與實用性進行驗證，本文將以某銀行業務仿真系統下網絡環境為實驗基礎環境進行實驗。因該系統的仿真設計完全參照現行其他系統而構建，因此在硬件、網絡拓撲、核心功能及組成框架等結構上與實際銀行業務系統相同[8]。此外，因該仿真系統主要用于對銀行業務流的模擬，所以在主體架構上并未考慮云計算、虛擬化及SDN等功能的設計與應用。在網絡層方面，數據層與數據存儲區的數據庫相對應，主要承擔對數據庫及數據業務的管理；業務邏輯層與系統的功能調度區主機相對應，主要承擔銀行業務邏輯命令的執行與反饋；消息中間層主要與系統交互區下應用服務器相對應，承擔銀行日常業務信息的過濾、數據共享及報文的收發等工作；業務應用層與系統下監控區、調度區及交互區的主機相對應，承擔仿真系統的應用與服務等功能[9]。

3.2 主機攻擊概率和漏洞影響值計算

首先需要對主機各漏洞的原子攻擊概率進行計算，結合主機漏洞的公開時間獲得漏洞時間的可利用性，從漏洞自身存在的特征得出各漏洞原子攻擊概率，其計算結果如圖2所示。

圖2 原子攻擊概率

結合仿真系統的架構實現對所有攻擊的路徑查找，并結合原子攻擊概率得出組成網絡結構各主機的最大攻擊概率，其結果見表1。

由表1信息可得出仿真系統攻擊圖主機的漏洞影響值，即N次主1至N次主9的影響值分別為6.4、10、9.8、10、10、26.4、6.4、6.4和10。

表1 主機攻擊概率

3.3 主機資產重要性評估對比

為證實本文所提方法對主機資產重要性計算的科學性，需要在實驗環境下使用本文所提方法、先驗評分法及層次分析法對相同主機的資產重要性進行計算，計算結果如圖3所示。

結合圖3數據可知，本文所提方法獲得主機資產重要性數據更加合理，造成該現象的主要因為在于，本文所提方法對各主機資產重要性進行等級劃分，同時明確不同屬性在資產重要性中的所占權重，并以先驗評分賦值為基礎通過相關性定權法對網絡結構下各主機的資產重要性進行權重賦值，而對比的其他2種方法沒有對該因素進行分析，所以得出結果與實際情況差距較大。

圖3 主機資產重要性對比

3.4 主機安全評估對比

因主機的評估安全值可以反映出當前主機所處的安全狀態，評估取值越小則表示主機現階段的安全狀況越差。為此，為進一步證實本文所提方法的可行性與實用性，將在完全相同的實驗環境下與鄰接矩陣法、Markov攻擊圖方法和資產連通圖方法等主機安全評估方法進行比對，比對結果的安全值數據如圖4所示。

由圖4中數據可知，本文所提方法獲得的主機威脅安全值更加貼近實際情況，造成該現象的主要原因如下。

圖4 不同方法的主機安全值對比

（1）Markov攻擊圖方法只能對迭代后的攻擊狀態進行安全性的指標評價，因此無法對各主機攻擊時的安全與風險狀況進行辨識。

（2）資產連通圖與鄰接矩陣法皆需要結合主機的資產重要性和攻擊概率得出主機的威脅安全值，并未對權重差異性以及攻擊圖各主機之間的關系進行考慮，造成安全值收斂程度較低。

3.5 離散程度

可用標準差的大小表示評估數據間的離散程度，即威脅安全值的標準差越大，則表示所得數據的離散程度越大，溢出情況會對安全等級劃分產生影響，降低主機風險等級的區分和劃分難度。因此，同樣以上述幾種方法為對比項，驗證本文所提方法的計算優勢，并在得到各主機安全值的基礎上，計算對比項的標準差，計算結果見表2。

表2 主機安全值的標準差

由表2數據可知，本文所提方法獲得的主機安全值遠高于其他3種方法，由此可證明本文所提方法獲得的各主機威脅安全值離散程度更大，便于管理人員對攻擊主機威脅進行評級，并做出相應的解決措施，提高網絡主機的安全性。

4 結束語

綜上所述，本文從主機漏洞和主機關聯性角度出發，融合貝葉斯算法構建攻擊圖主機的威脅安全評估模型，通過該模型實現對主機漏洞、資產重要性和關聯性的分析，進一步細化評估的精度。從仿真實驗結果中可知，所提方法與其他方法相比具有較高的實用性，可為相關人員或單位提供參考幫助。