擴展馬爾科夫鏈在網絡安全評估中的應用

連響

(重慶市九龍坡區精神衛生中心， 重慶 400052)

0 引言

近幾年來，計算機網絡普遍應用于人們生活和工作的方方面面。現代網絡安全評估模型成為計算安全領域研究的重點話題[1]。目前常見的網絡安全評估模型包括攻擊圖模型、特權圖模型、攻擊網模型、攻擊樹模型[2]。攻擊圖模型是最常使用的網絡安全分析和評估方法，可以很好地體現系統行為和攻擊行為的規律與變化趨勢[3]。鑒于馬爾科夫鏈在網絡安全評估方面取得的較大成就，且該理論結合攻擊圖是目前分析網絡安全的熱點方法。此次研究提出利用擴展馬爾科夫鏈攻擊圖模型進行網絡安全評估，引入狀態轉移的權重改進優化馬爾科夫鏈攻擊圖模型，并量化分析網絡系統損失風險和攻擊序列成功概率，旨在解決現如今網絡安全量化主觀特性顯著的問題。

1 面向網絡安全評估的攻擊圖模型

1.1 基于擴展馬爾科夫鏈的攻擊圖模型構建

攻擊圖依據不同模型可以分為屬性攻擊圖和狀態攻擊圖。狀態攻擊圖中每個狀態節點涵蓋全部的網絡安全信息，并不適用于狀態遷移次數增加等情況。屬性攻擊圖是指一種對攻擊者可能執行的攻擊行為進行預測的手段，該方法反映攻擊路徑的類型主要分為兩類，其一展現出網絡系統的即時狀態，其二為判斷原子攻擊是否滿足其發生的需要[4]。攻擊圖模型以攻擊者為研究對象，在假定系統和網絡中均存在脆弱點的條件下，通過模擬攻擊者的行為，可將決定攻擊成功的先決條件與攻擊過程系統狀態合為一張有向圖。有向圖能夠展示網絡脆弱點和網絡狀態間的相互關系，有利于網絡安全的評估和預測。研究使用的攻擊圖自動生成框架如圖1所示。網絡安全評估模型是指在完成系統漏洞掃描后將配置信息、主機和服務、網絡拓撲的結構等數據作為信息輸入，在完成模型建設的基礎上進行評估和分析。

圖1 攻擊圖的自動生成框架

當網絡通過脆弱點受到攻擊時，通常與攻擊者當前狀態有關，這與馬爾科夫性質存在一定的相似性。馬爾科夫鏈是指離散時間和空間狀態的馬爾科夫過程，一般可用條件分布函數指代。假定狀態空間為I={a1,a2,…}，n和r均為正整數且0≤t1

馬爾科夫鏈的構建囊括系統狀態轉移概率矩陣P與系統狀態空間I，其中I是指構造系統模型結構，組成部分為系統狀態以及連接邊。系統狀態空間可以用指代I={Ii|i∈{1,2,…,n}}，n是指狀態的總數，狀態轉移矩陣可以用P={p(i,j)|i.j∈{1,2,…,n}}表示。

擴展馬爾科夫鏈通過馬爾科夫鏈，來反映攻擊圖的原子攻擊方法和狀態轉移的相互關系，以便于分析攻擊圖[5]。研究建立擴展馬爾科夫鏈攻擊圖模型進行網絡安全分析，具體獲取步驟如下所示，首先確定網絡系統位于某種狀態，攻擊者將會通過一定概率對網絡系統進行選性動作攻擊，然后將狀態轉移概率值填寫到攻擊圖對應的邊上。擴展馬爾科夫鏈可用三元組MC_Ext=(I,P,A)表示。系統狀態轉移概率矩陣用P指代，系統狀態空間用I指代，原子攻擊集合用A指代，同時也可表示為有向圖。系統狀態空間中狀態表示節點，邊上的字母是指攻擊方法，邊上的權值是指系統狀態轉移概率矩陣的狀態轉移概率。在任一擴展馬爾科夫鏈中，假定狀態空間與原子攻擊方法集合分別為I={1,2,3}與A={A1,A2,A3,A4,A5,A6,A7}，則狀態轉移概率矩陣可以用式(1)表示:

(1)

擴展馬爾科夫鏈適應的有向圖如圖2所示，每條邊上展示轉移概率和攻擊動作，同時每個節點所有轉移狀態的概率之和為1，它也可以指擴展馬爾科夫鏈攻擊圖模型的示意圖。

圖2 擴展馬爾科夫鏈的攻擊圖模型

1.2 攻擊圖網絡安全評估方法中狀態轉移概率的確定

研究通過計算原子攻擊難度來獲取狀態轉移權重確定的轉移概率，進而避免傳統主觀經驗確定狀態轉移的局限性。研究使用通用脆弱點評價體系(CVSS)判斷網絡系統漏洞嚴重情況，它可以量化安全漏洞的嚴重情況[6]。CVSS包括基本評價、時效性評價、環境評價，整體評分通過數值[1,10]表示，該值越大，則漏洞對系統造成的威脅越大。基本評估指標是評價網絡安全漏洞的本身屬性，這些屬性不會隨著用戶環境以及時間變化而發生變動。該基本評估指標具體涵蓋信息運用價值(AI)、信息整體性對網絡安全的影響(II)、信息保密性(CI)、身份確認(Au)、攻擊難易程度(AC)、攻擊線路(AV)。表1展示基本評估指標以及相對應的等級評分，網絡安全基本評估VB的計算表達式如式(2):

表1 基本評估指標和相應等級評分

VB=(0.6×M+0.4×BE-1.5)×f(M)

(2)

式(2)中，公式參數滿足以下條件。

(3)

式中，CI表示指標的機密性，II表示指標的完整性，AI則表示可用性，AV與AC分別表示攻擊的路徑與復雜度，Au表示身份認證。

時效性評估指標是評估與時間相關的漏洞屬性，涵蓋內容包括運用價值(TE)、維修方法的可靠性(RL)、報告可靠性(RC),見圖2。作為一種可選指標，該評估指標的等級具有未確定性。若選用該等級，則說明此項時效性評價指標不會引起安全漏洞來影響最終評分值，取值為1。網絡時效性評估VT的計算表達式為

VT=VB×TE×RL×RC

(4)

表2 時效性評估指標以及相應等級評分

環境評估指標是評估環境不同所造成具有差異的危害程度的漏洞屬性，涵蓋內容包括潛在的損害潛力(CDP)、可用性需求(AR)目標分布(TD)、保密性需求(CR)、整體性需求(IR)。網絡安全環境評估的計算表達式為

Vε=(AT+(10-AT)×CDP)×TD

(5)

式(5)中，參數滿足式(6)的要求。

(6)

式(6)中參數含義與式(3)中保持一致。環境評估指標也是一種可選指標，等級具有未確定性。除了不確定等級外，可用性需求、整體性需求、可用性需求均分為低中高，低中高等級取值均相同，依次為0.5、1、1.51。潛在的損害潛力指標等級分為無、低、低—高、中—高、高，相應的取值為0、0.1、0.3、0.4、0.5。

在確定脆弱點攻擊難度的情況后，利用攻擊難度計算某脆弱點利用原子e一次攻擊的難易程度Dif(e)，計算式為式(7)。

Dif(e)=AV×AC×Au

(7)

設定脆弱點的權重值為E(v)，攻擊選擇依據原則如下所示。攻擊者選擇脆弱點的依據為脆弱點的權重，該值越大，則攻擊選擇的概率越小。選擇概率的定義如下，設置狀態空間為I={I0,I1,…,In}，Aj為狀態Ii轉移至狀態Ij的方法，相應的權重值為Ej，A1,A2,…,Am分別為Ii轉移至其他狀態的方法，相應的權重的值為E1,E2,…,Em，則轉移概率的計算式為

(8)

依據上述得到的擴展馬爾科夫鏈的巧擊圖模型，能評估潛在網絡的脆弱性情況，但不能定量評價網絡系統安全情況，研究優化網絡系統損失風險及攻擊序列成功概率化計算公式。假定攻擊序列Lk由個攻擊原子n組成，可以表示為A1→A2→…→An則攻擊序列的成功概率表達式為

(9)

式中，p(Ai)是Ai的自身概率。成功概率最高的攻擊序列即為最容易受到攻擊的序列，相關的脆弱點極易引發網絡安全事件。第i狀態節點的損失評分Θi的計算式為

Θi=10.41×(1-(1-CI)×(1-II)×(1-AI))

(10)

攻擊序列綜合評分值Θ為總損失總損失期望值，計算式為

(11)

p0,i是指初始狀態到第i狀態的成功概率。

2 擴展馬爾科夫鏈攻擊圖模型的網絡安全分析

2.1 擴展馬爾科夫鏈攻擊圖模型應用分析

實驗首先驗證擴展馬爾科夫鏈攻擊圖模型和改進擴展馬爾科夫鏈攻擊圖模型的性能，測試處理器為Intel(R)Core(TM)2DuoCPU，內存大小為4 GB。在網絡拓撲結構中任意增加脆弱點數、連接性、主機數，對比生成攻擊圖的運行時間和內存占用比，結果如圖3(a)和3(b)所示。從圖3(a)可以看出，網絡節點數低于20 000時，改進前后擴展馬爾科夫鏈生成攻擊圖的運行時間均在350 s以內，因此兩種方法在大規模網絡中均適用。兩種方法的運行時間隨著節點數的增加而增加，主機數量低于6 000時，兩種方法的運行時間沒有太大的區別，而主機數量高于6 000時，優化后方法的運行效率更高，其運行時間比優化前節省30 s左右。從圖3(b)可以看出，兩種方法的內存占用數隨著節點數增加而增加，但優化后的方法占用內存空間更少。當網絡節點數得到14 000時，內存占用數已經和系統內存數相同。即使持續增加節點數，系統所占用的內存數也不會發生較大的改變。

圖3 擴展馬爾科夫鏈攻擊圖模型性能優勢

實驗仿真網絡環境包括host0-host6七臺主機，分別為host0、Web服務器、DNS服務器、FTP服務器、數據庫服務器、Windows主機、Linux主機，攻擊者具備host0的用戶權限。經Nessus漏洞掃描器獲取主機的漏洞信息。

擴展馬爾科夫鏈狀態空間由I={I1,I2,I3,I4,I5,I6,I7}組成，分別指代主機0-主機6不安全。擴展馬爾科夫鏈方法空間為A={A1,A2,A3,A4,A5,A6,A7,A8,A9}，分別指I1轉移到I2、I1轉移到I3、I3轉移到I2、I2轉移到I6、I3轉移到I7、I6轉移到I4、I7轉移到I4、I6轉移到I5、I7轉移到I5的九種方法，相應的脆弱點為V1-V9。經過脆弱點權重獲得轉移概率，最終得到狀態轉移矩陣如下表3所示。

表3 狀態轉移矩陣

2.2 擴展馬爾科夫鏈攻擊圖模型應用的量化評估結果

目標主機4存在攻擊序列L1:A1→A4→A8;L2:A2→A5→A9;L3:A2→A3→A4→A8。目標主機3存在L4:A1→A4→A6;L5:A2→A5→A7;L6:A2→A3→A4→A6。圖4(a)和圖4(b)分別展示每個原子攻擊自身的概率以及每個攻擊序列的成功概率。從數據可知，攻擊序列L4被攻擊者攻擊的概率最大，因此V1、V4、V6三個脆弱點被攻擊點攻擊的可能性相較于其他脆弱點更大，需要網絡安全管理人員格外保護。

(a) 不同原子攻擊自身概率

每個攻擊序列相應的狀態轉移序列如下所示，SL1:I1→I2→I6→I5;SL2:I1→I3→I7→I5;SL3:I1→I3→I2→I6→I6;SL4:I1→I2→I6→I4;SL5:I1→I3→I7→I4;SL6:I1→I3→I2→I6→I4。SL1攻擊序列中，狀態節點I1、I2、I6、I5的損失評分分別為0、10、10、2.865，相應的成功概率1、0.5、0.5、0.221 25，攻擊序列綜合評分值為10.63，結果如圖5(a)所示。SL2攻擊序列綜合評分值為7.868，SL3攻擊序列綜合評分值為10.89，SL4攻擊序列綜合評分值為11.8，SL5攻擊序列綜合評分值8.034，SL6攻擊序列綜合評分值11.53，如圖5(b)所示。因此，SL6攻擊序列的網絡系統損失最大，該序列格外重視。

(a) SL1攻擊序列損失評分和成功概率

3 總結

針對現階段網絡安全評估技術存在準確性低、耗時長等問題，此次研究引入擴展馬爾科夫鏈攻擊圖模型評價計算機網絡安全，將原子攻擊難度作為狀態轉移的判斷標準，并利用CVSS計算攻巧序列成功概率和巧絡系統損失風險。改進前后擴展馬爾科夫鏈生成攻擊圖的運行時間，均會隨著節點數的增加而增加。主機數量高于6 000時，優化后方法的運行時間比優化前節省30 s左右。當網絡節點數達到14 000時，內存占用數不會出現明顯的變化。這顯示出優化后的拓展馬爾科夫鏈攻擊圖模型適用于主機數量較多的情況下，當節點的數量更為龐大時，此次課題實驗提出的模型表現出更高的評估效率。每個原子攻擊自身的概率以及每個攻擊序列的成功概率顯示，攻擊序列L4被攻擊者攻擊的概率最大，因此V1、V4、V6需要格外保護。SL1攻擊序列綜合評分值為10.63SL2攻擊序列綜合評分值為7.868，SL3攻擊序列綜合評分值為10.89，SL4攻擊序列綜合評分值為11.8，SL5攻擊序列綜合評分值8.034，SL6攻擊序列綜合評分值11.53。這證明了擴展馬爾科夫鏈攻擊圖模型在網絡安全評估的各項指標中，均表現出較為顯著的優勢，具有優越的評估效果。盡管此次課題實驗有幸成功實現了對馬爾科夫鏈攻擊圖模型的優化與擴展，但其中仍然存在綜合評分值與成功概率較低的攻擊序列，要大幅提高該模型在網絡安全評估中的應用價值，需要對相關序列進行持續的優化，這也是未來的主要研究方向之一。