一種基于攻擊圖的5G網絡安全風險評估方法

王賽娥 劉彩霞 劉樹新

(中國人民解放軍戰略支援部隊信息工程大學 河南 鄭州 450001)

0 引 言

第五代移動通信技術(5G)已經開始正式商用,其傳輸速率更快、網絡延遲更小,能夠滿足不同場景的業務需求。未來5G將與經濟社會各領域如醫療、交通等深度融合,開啟萬物互聯時代。5G網絡既是基礎設施的重要部分,也是國家優先發展的戰略性領域。其安全問題不僅涉及到個人生活,也會影響各行各業,甚至是國家安全。因此對5G網絡的安全風險進行評估顯得尤為重要,既能全面了解5G網絡的安全狀況,及時發現網絡中的風險因素,也能為部署網絡安全防護措施提供方案。

IMT2020發布的5G網絡安全需求與架構白皮書[1]詳細分析了5G網絡面臨的安全挑戰,給出了5G標準化建議。3GPP(第3代合作伙伴計劃)發布了R15[2]和R16[3]標準,制定了5G的安全標準體系和詳細的安全架構。為了滿足安全性要求,5G網絡采用新的網絡設計,實行一系列安全機制,如使用統一的認證框架,使用新的通信協議AKA、HTTP/2等。同時5G提供隱私保護機制,對用戶數據進行端到端的保護。雖然5G在設計初始從全方位考慮網絡的安全性,但實際部署后仍面臨嚴重的安全風險,安全性受到新的挑戰[4]。Basin等[5]通過形式化分析發現了5G網絡中的漏洞,并驗證了攻擊的可行性,來獲取用戶隱私信息。

對此,部分國家和組織發布了相關的安全風險報告,歐盟發布的《EU coordinated risk assessment of the cybersecurity of 5G networks》基于成員國的安全風險評估結果,指出了現有的安全挑戰,確定了5G面臨的威脅因素和風險場景。此類的安全風險評估報告只是政策性的定性評價,很難具體估量5G網絡的風險等級,量化網絡的風險程度。當前對移動通信網絡的安全風險評估研究較少,Luo等[6]提出了一種對移動通信網絡中SDN技術進行安全風險評估的方法,根據節點最小成本派生出系統安全級別,但是該方法不具有通用性。傳統網絡的安全風險評估方法發展成熟、體系復雜,有定性評估和定量評估、基于掃描工具的評估、基于資產價值的評估等。但是這些方法都不能直接應用到5G網絡,首先電信網絡特性不同于傳統互聯網,其次5G網絡采用了新技術、新架構,面臨的業務場景更多,使得傳統方法不能適配5G網絡。

針對上述問題,本文選取攻擊圖模型,定義5G網絡的拓撲模型和攻擊模板,采用廣度優先算法生成攻擊圖。網絡拓撲模型和攻擊模板定義的要素既有通用性,也有5G網絡具體部署的差異性,可以靈活適應網絡的多樣化。對攻擊圖評估時,提出關聯性評估思路,在量化時考慮脆弱點和攻擊行為間的相互影響,使評估結果更準確。本文研究可以有效發現網絡脆弱性和面對的威脅,量化網絡的風險程度,有助于調整防護措施,提高網絡整體的安全性能。

1 5G網絡架構

5G具有很強的靈活性,可以采用非獨立組網(Non Stand-Alone,NSA)方式或獨立組網(Stand-Alone,SA)方式進行部署。前期5G商用主要是采用的非獨立組網演進,利用現有4G基礎設施,部署速度更快。

5G的邏輯結構采用SBA服務化架構(Service-based Architecture),由接入網AN(Access Network)和核心網5GC(5G Core Network)組成,如圖1所示。5GC中控制面與用戶面完全分離,同時將網絡功能拆分成單獨的模塊,通過接口提供服務。

圖1 5G網絡架構模型

接入網AN有兩種,gNB和ng-eNB。gNB提供NR(New Radio)用戶面和控制面協議終結點,ng-eNB則提供E-TURAN用戶面和控制面協議終結點。

核心網5GC中包含的網元較多,其中用戶面實體主要是UPF(User Plane Function),是外部PDU與數據網絡的連接點,負責數據的路由和轉發等。控制面實體較多,接入和移動性管理(Access and Mobility Function,AMF)負責用戶的注冊、連接、移動性管理等,會話管理功能(Session Management Function,SMF)主要包含會話建立、修改、釋放和用戶IP管理等,認證服務器(Authentication Server Function,AUSF)負責用戶的鑒權,統一數據管理(Unified Data Management,UDM)提供訂閱信息管理、計算鑒權參數等功能,策略與計費功能(Policy and Charging Function,PCF)為用戶提供策略規則。網元的詳細功能可以參考3GPP標準。

2 安全風險評估方法

自Phillips等[7]和Swiler等[8]提出了攻擊圖的概念起,攻擊圖技術被廣泛使用,尤其在網絡安全分析領域。攻擊圖是由系統狀態和攻擊行為組成的一幅有向圖,描述的是系統脆弱點及其關聯關系。常見的攻擊圖種類有狀態攻擊圖[9]、屬性攻擊圖[10]、屬性依賴攻擊圖[11]。攻擊圖技術將網絡的配置信息、脆弱性和攻擊者能力都考慮在內,使得評估結果更加全面準確。

基于攻擊圖的網絡安全風險評估主要分為兩個步驟:攻擊圖的構造生成技術和基于攻擊圖的分析技術。攻擊圖構造生成包含以下三部分內容:網絡拓撲模型、攻擊模板和攻擊圖生成算法。網絡拓撲模型是對目標系統的詳細描述(包括網絡的連接情況、配置參數、漏洞信息等),通過建立抽象模型對系統進行刻畫,模型中定義的要素越多,抽象后的網絡拓撲越精確。攻擊模板是對脆弱信息的動態表示,通常由脆弱點本身、利用該脆弱點所要滿足的條件及執行的后果三部分構成,模板中的條件和結果與網絡拓撲模型匹配。攻擊圖生成算法一般有兩種形式:(1) 利用自動構建引擎生成;(2) 采用定制算法編寫代碼生成。基于攻擊圖的分析技術,主要是選取適當的參數體系和評估算法量化系統的安全風險。

2.1 5G網絡攻擊圖構造

狀態攻擊圖中包含系統所有可能的狀態,節點數量巨大,在生成攻擊圖時會存在狀態空間爆炸的問題,尤其是面對大規模復雜網絡,難以滿足實際需求。屬性攻擊圖將安全要素作為節點,其復雜度為多項式級,因此選擇構造5G網絡屬性攻擊圖,減少節點規模。攻擊圖構造方法主要有三種:模型檢測法、圖論法和邏輯推理法。模型檢測法需要對網絡要素進行抽象和編碼,利用有限狀態機表現狀態轉移過程,通過模型檢測工具查找反例,并給出攻擊路徑,生成最終的攻擊圖。該方法可以使用工具自動生成攻擊圖,但可擴展性不強,適合小規模的簡單網絡。常用的攻擊圖生成工具有MulVAL、NetSPA、TVA[12]等。邏輯推理法基于邏輯編程,使用成熟的形式化描述語言(如Prolog、AGML)反映系統的相關信息,通過一定的規則和邏輯推理工具生成攻擊圖。Ou等[13]利用邏輯編程語言Datalog形式化描述網絡要素,而后輸入攻擊圖生成引擎。圖論法應用圖的相關理論,自主設計生成算法,可以充分考慮算法的復雜度和生成圖的規模。本文采用圖論法生成屬性攻擊圖,并在算法中融合了邏輯推理的形式化描述。

2.1.1 網絡拓撲模型

網絡拓撲模型從攻擊者角度出發,采集目標系統的兩類信息:(1) 系統信息,其中包括網絡架構、設備信息、連接關系、配置信息、開放服務等;(2) 脆弱性信息,主要是系統中存在的漏洞。可以借助專業的工具收集相關信息,如Nessus、OVAL獲取系統漏洞信息,Nmap獲取系統的端口情況和服務類型等。

這里將網絡拓撲模型定義為一個二元組G=(V,E),其中V是節點集合,代表網絡中的所有設備。對于任意的v∈V,用七元組加以描述,其中:id表示設備名稱是設備的唯一標識;ip表示設備的IP地址;domain表示設備所在的域;type表示設備類型;vuls表示設備存在的漏洞,是漏洞名稱的集合;servs表示設備提供的服務;auth表示設備的訪問權限,這里分為4種:管理員權限root、普通用戶權限user、訪客權限guest和未授權null。E是所有邊的集合,表示網絡的拓撲關系。對于任意的e∈E,用四元組來描述。其中:sip和dip表示關系的兩端;cont表示連接類型;auth表示訪問權限。連接類型cont主要是域內和域間,域內表示兩個設備在同一個域內,域間表示兩個設備雖有連接關系但分屬不同的域,從攻擊者角度出發,域間的操作性和利用難度會增大。

對于5G移動通信網絡來說,網絡拓撲模型的具體內容隨運營商的部署方式不同而有所變化。采用電信專有設備時,拓撲模型中type為設備的廠家和型號,vuls為電信網絡的漏洞信息,servs為該設備實現的網元功能。隨著通信技術的發展,采用網絡功能虛擬化(NFV)和軟件定義網絡(SDN)等技術實現架構虛擬化、通用化時,拓撲模型的內容則傾向于互聯網形式,type表示虛擬化網元的系統類型(Windows 7、Linux等),vuls包含互聯網漏洞的信息,servs則為系統開放的傳統網絡服務(如http、ftp等)。

2.1.2 攻擊模板

攻擊模板是對脆弱性的抽象描述,是漏洞庫的歸納整理,每一個漏洞對應一個攻擊模板。忽略漏洞利用過程中攻擊者的主觀部分,可以將利用過程分為兩個部分:前提集和后果集。前提集是系統的狀態,是當前系統的具體環境和信息,例如系統開放的ftp服務。后果集是狀態的改變,例如獲取了更高的訪問權限。

定義攻擊模板為Vul=(ID,pre,post),其中:ID表示漏洞的名稱,與網絡拓撲模型中vuls對應;pre表示漏洞的前提集;post表示漏洞的后果集。pre、post都用三元組表示,具體含義同網絡拓撲模型。攻擊模板中前提集和后果集都做了必要的簡化,僅包含與系統直接相關的內容,省略了其他附屬的部分,例如前提集中不涉及攻擊者需要具備的能力,后果集中不涉及數據泄露、下載用戶文件等結果。

攻擊模板的內容同樣需要參考5G網絡的部署方式。采用NFV和SDN等技術時,網絡可能存在互聯網有關的漏洞,此時ID為漏洞的CVE編號。CVE是通用的漏洞庫,給每個漏洞一個唯一的編號,并與大多數漏洞掃描工具共享數據,同時給出了漏洞的具體描述和修補索引,可以參考CVE漏洞描述給出攻擊模板。描述電信網絡特有漏洞時,ID為CVD編號,由GSMA(全球移動通信系統協會)移動安全名人堂提供,可以據此查找相關信息,構建攻擊模板。

2.1.3 攻擊圖生成算法

將攻擊圖定義為AG=(S,A),其中:S是屬性節點集合,S0是目標網絡和攻擊者的初始屬性,Si是攻擊過程中的屬性;A是有向邊集合,表示一次漏洞利用過程,即一次原子攻擊行為。對于任意的e∈E表示屬性節點的因果關系。

本文采用廣度優先算法構造攻擊圖,輸入相關參數模型和攻擊者的初始節點后,遍歷相鄰節點,搜索節點存在的漏洞,根據攻擊模板判斷可利用性,如果可利用則將其加入到攻擊圖中,連接相應的邊,并根據攻擊模板的狀態變化生成下一層節點,最終輸出攻擊圖。攻擊圖生成算法如算法1所示。

算法1攻擊圖生成算法

輸入:網絡拓撲模型G=(V,E),V=,E=,攻擊模板Vul=(ID,pre,post),pre=,post=,攻擊圖attackerNodes={initialofattacker}。

輸出:AG=(S,A)。

1. WHILE attackerNodes IS NOT EMPTY DO

2. newNode=attackerNodes.pop()

3. FOREACH v IN newNode.V.vuls DO

4. IF newNode.V.type/servs/auth<=v.pre THEN

5. ADD newNode.V.type/servs/auth=v.post

6. nextNode={newNode.e.dip}

7. addEdg(newNode,nextNode)

8. attackerNodes.add(nextNode)

9. END

10. END

11. END

2.2 攻擊圖的風險評估算法

精確的量化評估是風險評估的關鍵,通過定量評估,可以對系統的安全風險劃分等級,針對不同等級采取不同的安全防護措施。Saaty等[14]提出的層次分析法被廣泛應用于評估中。戴方芳[15]提出了基于攻擊圖的模糊風險評估,運用網絡流的方式計算風險飽和度,對系統進行模糊評估。李凌峰[16]將模糊層次分析方法應用在無線傳感網絡的評估中,構建了安全性模糊判別矩陣,其收斂性更好,誤差也能控制在一定范圍。閆峰[17]、鐘尚勤[18]、葉云[19]構建鄰接矩陣代表系統中的屬性節點,從更細的粒度分析風險情況。高妮等[20]利用貝葉斯推理進行評估,結合事件的置信度,依據先驗概率和后驗概率進行安全風險分析。

量化評估需要標準化的指標體系,指標選擇需要有客觀性、確定性和權威性,本文借鑒通用漏洞評分系統(CVSS),結合攻擊關聯性,能更加準確地計算系統的風險值。

2.2.1 單一漏洞評估

CVSS(Common Vulnerability Scoring System)[21]是一個公開的評測標準,用來評估漏洞的嚴重程度,通常由美國國家漏洞庫(NVD)發布,并得到了眾多廠家的承認,現今已經發布了3.0版本,更新了部分評估標準。CVSS給每一個已知的漏洞打分,分值范圍為0～10分,分數越高代表漏洞越嚴重,通常7～10分被認為是高危漏洞。CVSS給出了一套評估漏洞嚴重程度的標準,使廠家和用戶能夠直觀地了解漏洞風險等級,但其只是針對單一漏洞的評估。CVSS的評價指標為基礎評估、生命周期評估和環境評估,如表1所示。

表1 CVSS評價指標

本文在評估單一漏洞時借鑒CVSS的基礎評估,從可利用性(Exploitability)和影響性(Impact)兩個方面進行量化[22]。基礎評估表示漏洞的本質特征,其不隨時間和系統環境的變化而變化,是漏洞的本質。可利用性是漏洞利用方式的描述,反映漏洞利用的條件,包括4個內容:攻擊復雜度AC(Attack Complexity)、攻擊途徑AV(Attack Vector)、權限要求PR(Privilege Required)和用戶交互UI(User Interaction)。影響性是漏洞利用成功后的結果,描述受到影響的情況,包括3個內容:保密性C(Confidentiality)、完整性I(Integrity)和可用性A(Availability)。表2給出了評估的具體內容和分值情況。

表2 單一漏洞評估

續表2

表2中,可利用性評估指標分數越高,說明攻擊的技術要求越低,即攻擊的可行性越高。影響性評估指標分數越高,則說明利用成功后,造成的后果越嚴重。其中評估影響性的三個內容保密性、完整性和可用性既是信息安全的三個基本屬性,也是信息安全的目標,從這三方面可以有效地評估漏洞的破壞程度。根據表2內容,由:

ExpScore=8.22×AV×AC×PR×UI

(1)

可得單一漏洞的可利用性量化評估ExpScore,其中AV、AC、PR、UI分別代表該漏洞在攻擊途徑、攻擊復雜度、權限要求和用戶交互指標上的量化分數。漏洞的影響性量化評估ImpScore可由式(2)和式(3)計算。

ImpScore=6.42×ISCbase

(2)

ISCbase=1-((1-C)×(1-I)×(1-A))

(3)

式中:ISCbase為臨時變量;C、I、A分別為漏洞在保密性、完整性和可用性指標上的量化分數。由此,可以得出單一漏洞的基礎評估BaseScore為:

BaseScore=min((ExpScore+ImpScore),10)

(4)

式中:min表示兩者取小值,因為CVSS將漏洞分值限定在10分以內。BaseScore分值越高,說明漏洞的危險性越高,即系統的風險等級越高。

借鑒上述評估方法,對于移動通信網絡中的漏洞,可以參考GSMA公布的信息,對每一項評估指標進行量化,評估指標中如攻擊復雜度、保密性等程度評估可以選擇專家評定的方式,進而得到相應的量化分數。

2.2.2 關聯性評估

在實際的漏洞利用過程中,漏洞之間并不是孤立的,而是相互影響彼此關聯的,因此關聯性評估是確保網絡評估準確性的重要部分。在攻擊行為中,攻擊者通常結合多個漏洞的脆弱性,選擇最有利、最容易或者破壞性最強的方式。漏洞之間的關聯關系,體現在成功利用某漏洞,會提高后續攻擊的成功概率。如在由n個原子攻擊構成的攻擊序列A1→A2→…→An中,后續節點的實際發生概率受到前序節點的影響。因此實際發生概率由兩部分組成,關聯概率和孤立概率,即:

P=Prelevance×Pindependent

(5)

式中:P為實際概率;Prelevance為受關聯影響的概率;Pindependent為孤立概率,即理想條件下的概率。Pindependent可以理解為當Prelevance=1時的實際概率P,即沒有關聯行為時,孤立概率就是漏洞的實際發生概率,這意味著攻擊者不需要借助其他漏洞作為跳板和前提,可以直接利用該漏洞進行攻擊。

2.2.1節對單一漏洞的評估中,可利用性評估是對漏洞利用條件的綜合評估,其直接影響到漏洞的孤立概率Pindependent,漏洞可利用性越高,其孤立發生的可能性也越高,因此:

Pindependent=λ×ExpScore

(6)

式中:λ為轉換參數,取值為0.2。關聯概率Prelevance要對應具體的攻擊序列,只針對單一漏洞來探討關聯概率是沒有意義的。以A1→A2→…→An為例,Ai的關聯概率受前序i-1個原子攻擊的實際概率約束,即:

(7)

式中:Pi表示實際概率。由式(7)可知,處于攻擊序列遠端的漏洞更難以利用,這與實際情況中,越深層次的漏洞越難被發現和攻陷相符。由上述分析可知,對于攻擊序列的首位,其Prelevance=1,因此P1=Pindependent(1),結合式(5)、式(6)和遞歸算法,可以得到攻擊序列中每個原子攻擊的實際概率P。

漏洞之間的關聯性僅僅是對操作難度和可行性產生約束,給攻擊者在實際選擇攻擊路徑時提供一定的參考思路,但并不改變漏洞被利用后造成的后果和對系統的影響。因此整個攻擊序列的影響性包含所有原子攻擊本身的結果,即:

(8)

屬性攻擊圖中原子攻擊節點可以采取上述的評估方法進行量化。而另一類屬性節點,因為與攻擊節點有因果關系,評估以攻擊節點量化值為參數。攻擊圖中,屬性節點可能存在一個或多個入度,如圖2所示。

(a) (b)圖2 屬性節點的兩種情況

當屬性節點只有一個入度,即只有一個攻擊節點指向它時,攻擊節點的實際概率Pi就是該屬性節點的發生概率,因此屬性節點的綜合評估為:

StateScore=Pi×ImpScore(i)

(9)

當有多個入度,即多個攻擊節點B1,B2,…,Bn指向它時,該屬性節點的發生概率受到所有攻擊節點實際概率的影響,其結果為:

(10)

式中:Pi表示攻擊節點Bi的實際概率;Ps是屬性節點的概率。則該屬性節點的綜合評估為:

StateScore=Ps×min(ImpScore(i))

(11)

式中:min(ImpScore(i))為取所有可導致該屬性節點的漏洞的最低影響性。

綜上所述,該評估算法可以對屬性攻擊圖中的兩種節點分別進行評估量化,從多角度分析5G網絡的風險狀況,既可以評估攻擊者最有可能的攻擊路徑,也可以評估系統最脆弱的屬性狀態,進而選擇最有效的防護措施和補救方案。

3 5G網絡仿真實驗

為了驗證本文評估方法的可行性和有效性,在實驗室Free5GC環境中部署了簡單的5G網絡架構,如圖3所示。實驗底層環境包含11臺華為2288H V5機架服務器,服務器內存64 GB,硬盤8 TB,基于Ubuntu 17.04搭建OpenStack云平臺,共包含1個控制節點、6個計算節點,4個塊存儲節點。在OpenStack平臺上加載網絡功能鏡像,以虛擬機承載的方式創建網元功能實例。

圖3 5G網絡實驗

3.1 環境介紹

圖3中Ubuntu虛擬機包含兩個漏洞:LINUX內核本地提權漏洞CVE-2019-13272和LINUX緩沖區溢出漏洞CVE-2017-9445,從CVE庫中獲取漏洞信息生成攻擊模板如下:

Vul1=(CVE-2019-13272,

pkexec,user>,)

Vul2=(CVE-2017-9445,

systemd,user>,)

CVE-2019-13272提權漏洞,受影響的系統是linux內核5.1.17版本以下。攻擊者可以利用該漏洞獲取root權限。CVE-2017-9445緩沖區溢出漏洞,可以用來遠程攻擊,觸發漏洞后通過惡意的DNS響應來執行惡意代碼,影響Ubuntu 17.04和16.10等版本。

實驗中5G網絡包含的電信網漏洞主要有兩個:CVD-2019-0018和CVD-2019-0029。CVD-2019-0018漏洞是Borgaonkar等[23]發現的、存在于AKA認證協議中的邏輯漏洞,利用該漏洞可以破壞SQN的機密性,從而獲取用戶位置信息。CVD-2019-0029是由Hussain等[24]提供的針對尋呼協議的漏洞,通過用戶的尋呼時機可以獲取IMSI值,導致用戶信息泄露。

采集模擬網絡中各網元信息,匯總成抽象模型,例如節點AMF。

CVD-2019-0029/CVD-2019-0018,

AKA/Paging,guest>

3.2 攻擊圖生成

將實驗的5G網絡拓撲模型和攻擊模板作為輸入,結合攻擊圖生成算法,構造5G實驗網絡的攻擊圖,如圖4所示。

圖4 5G實驗網絡攻擊圖

圖4中有向邊A表示一次漏洞利用,為了方便區分,相同樣式的邊表示攻擊所利用的漏洞相同,A1利用CVE-2017-9445漏洞,A2和A3利用CVE-2019-13272漏洞,A4、A6及A8利用CVD-2019-0018漏洞,A5、A7及A9利用CVD-2019-0029漏洞。可以看出,自攻擊者初始狀態出發,有多種不同的攻擊路徑,最終導致系統擁有不同的屬性狀態,即攻擊者獲取的用戶信息量不同,對系統的破壞性也不同。

3.3 評估結果與分析

根據第3節提出的風險評估算法,對上述攻擊圖進行評估。首先,實驗環境中CVE漏洞的單一評估可以參考CVSS評分系統,CVD漏洞則由專家結合實際情況給出。最終根據式(4)計算得出漏洞的量化分數為:CVE-2017-9445的BaseScore分數為7.5,CVE-2019-13272的BaseScore分數為7.7,CVD-2019-0018得分為6.6,CVD-2019-0029評估為7.4,其中各評估子項的具體評分如表3所示。

表3 漏洞量化評估

圖4中共有4個屬性節點Si,其中S1只有一個入度,可以由式(9)得出其風險狀況,其余節點則由式(11)進行風險量化,評估結果如表4所示。

表4 屬性節點評估分數

由表4可知,通常情況下,屬性節點的入度越多,可利用的漏洞越多,節點的風險越大,因此評估分數就越高。

以攻擊序列D1{A4}、D2{A1,A6}、D3{A1,A2,A8}、D4{A3,A8}為例,序列D1中A4的實際發生概率為0.38,序列D2中A6的實際概率為0.30、序列D3中A8的實際概率為0.08,序列D4中A8的實際概率為0.14。A4、A6、A8利用的是同一個漏洞CVD-2019-0018,但因為攻擊行為之間存在關聯性,導致在不同序列中的實際發生概率不同,離攻擊者越遠的漏洞實際概率越低,即越深層的漏洞越難以被利用,這一點也符合人們的認知。

從攻擊者初始狀態S0出發,有4條攻擊路徑,分別引起不同的狀態變化。對這4條路徑進行評估,A1、A3、A4、A5的評估結果AttackSeqScore分別為2.8、2.1、1.8、2.0。綜合可知,A1的風險性最高,對系統的影響最嚴重,因此修復CVE-2017-9445漏洞能夠顯著增強實驗網絡的安全性。

在評估方法上,文獻[10]沒有考慮關聯性因素,評估基于漏洞的孤立性,結合本文實驗,采用文獻[10]的方法對5G網絡進行風險評估,屬性節點評估結果如表5所示。選取相同的攻擊序列D1{A4}、D2{A1,A6}、D3{A1,A2,A8}、D4{A3,A8},兩種方法的評估結果如表6所示。

表5 文獻[10]屬性節點評估結果

表6 攻擊序列評估結果對比

兩類評估分別與本文方法進行對比,其結果如圖5所示。

由圖5(a)可知,同一個5G實驗網絡中,文獻[10]的評估方法不考慮關聯性影響,使得屬性節點的評估結果偏高,即評估系統面臨的風險比實際情況要高。由圖5(b)可知,對于相同的攻擊路徑,忽略關聯性時,文獻[10]的評估提高了攻擊行為的可能性,進而過高估計了攻擊對系統的影響。隨著攻擊行為復雜性的提高和利用漏洞數的增多,文獻[10]的評估結果偏差就越大。由經驗可知,攻擊行為本身越復雜,其難度越高,攻擊成功的可能性更受限制,威脅性也不會簡單地呈線性增長趨勢。因此本文提出的關聯性評估方法,能夠有效地反映實際情況,較為真實地評估5G網絡風險等級,具有較好的可信度。根據評估結果可以明確知道系統最危險的屬性狀態,采取針對性的防御措施,在成本有限的情形下選擇最有利的防護方式。

(a) 屬性節點評估結果

4 結 語

5G網絡已開始商用,隨之而來的是用戶和運營商對網絡安全性的要求。為了對5G網絡的風險狀況進行量化評估,本文在攻擊圖模型的基礎上,提出5G網絡攻擊圖的構造方法。方法以網絡拓撲模型和攻擊模板作為基礎輸入,通過廣度優先算法生成攻擊圖,能夠探索攻擊的所有路徑,全面分析系統的漏洞。之后結合CVSS評分項提出關聯性評估方法,在量化漏洞本身屬性的同時兼顧漏洞之間的關聯性,使評估結果更真實合理。最后在實驗環境下,驗證了本文方法的有效性,并通過對比顯示出方法的準確性。通過評估,可以全面了解系統的風險狀況,搜索可能的攻擊路徑,進而采取有效的防護手段,提高系統的安全性。