基于貝葉斯攻擊圖的RFID系統(tǒng)安全評估模型

馬薈平,李 鵬,2,肖 航,朱 楓,2

(1.南京郵電大學(xué) 計(jì)算機(jī)學(xué)院,江蘇 南京 210023;2.江蘇省無線傳感網(wǎng)絡(luò)高技術(shù)研究重點(diǎn)實(shí)驗(yàn)室,江蘇 南京 210023)

0 引 言

隨著信息化的發(fā)展,基于RFID的信息系統(tǒng)大量出現(xiàn),RFID技術(shù)開始應(yīng)用在社會的各行各業(yè)中。然而使用RFID技術(shù)給人們的生活帶來便利的同時,RFID系統(tǒng)內(nèi)存在的諸多安全問題和安全隱患也日益突出。如何解決RFID系統(tǒng)的安全隱患[1],已經(jīng)成為目前研究的熱點(diǎn)。

目前大多數(shù)有關(guān)RFID安全的研究均圍繞著安全認(rèn)證協(xié)議這一領(lǐng)域進(jìn)行[2],但是由于RFID標(biāo)簽本身計(jì)算能力的限制,大多安全認(rèn)證協(xié)議不能實(shí)現(xiàn)大規(guī)模應(yīng)用。不斷改進(jìn)RFID的認(rèn)證協(xié)議是從防守的角度解決問題。除此之外,還可以嘗試從攻擊者的角度解決問題[3]:基于攻擊模型對RFID系統(tǒng)進(jìn)行安全性評估,通過主動地在威脅攻擊發(fā)生之前評估網(wǎng)絡(luò)或RFID信息系統(tǒng)中存在的安全隱患[4],提高RFID系統(tǒng)的安全性。例如,李景等[5]在文章中從標(biāo)簽端、閱讀器、中間件以及后臺服務(wù)器四個方面歸納了RFID的潛在安全問題,提出一種基于攻擊樹的RFID系統(tǒng)安全策略。楊曉明等[6]針對不同RFID通信協(xié)議進(jìn)行安全檢測,基于多決策樹構(gòu)建了RFID系統(tǒng)漏洞攻擊模型,依據(jù)發(fā)掘出的漏洞信息提出了多種RFID漏洞檢測算法。

同時,該文嘗試結(jié)合傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)中的安全評估方法,通過主動地在威脅攻擊發(fā)生之前評估RFID信息系統(tǒng)中存在的安全風(fēng)險和安全隱患攻擊,建立面向RFID的安全評估模型[7-9]。在傳統(tǒng)網(wǎng)絡(luò)中基于攻擊圖模型的安全評估方法較為成熟,攻擊圖是一種由節(jié)點(diǎn)和有向邊組成的有向圖,可以從攻擊者的角度直觀地、圖形化地展示攻擊行為[10-13]。楊英杰等[14]基于屬性攻擊圖理論構(gòu)建了一種針對傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)的動態(tài)威脅風(fēng)險分析模型,根據(jù)網(wǎng)絡(luò)中的漏洞信息和協(xié)議信息提出了動態(tài)威脅屬性攻擊圖生成算法,在復(fù)雜網(wǎng)絡(luò)中具有更好的適應(yīng)性。Wu Hua等[15]通過分析攻擊者的攻擊能力、網(wǎng)絡(luò)資源和脆弱性因素的相關(guān)性建立了貝葉斯攻擊圖,實(shí)現(xiàn)了對網(wǎng)絡(luò)攻擊有效性的評估和對后續(xù)攻擊路徑的推測。周余陽等[16]基于貝葉斯攻擊圖建立了一種動態(tài)網(wǎng)絡(luò)入侵意圖分析模型,用來應(yīng)對安全要素不斷變化的復(fù)雜網(wǎng)絡(luò),提高了風(fēng)險評估的準(zhǔn)確性。顧士星等[17]基于生成的貝葉斯攻擊圖模型,提出使用團(tuán)樹的方式對貝葉斯網(wǎng)絡(luò)進(jìn)行推理,降低了計(jì)算復(fù)雜度。

基于上述研究可以看出,目前針對RFID系統(tǒng)構(gòu)建的攻擊模型比較缺乏相應(yīng)的定量分析,也就是說不能較為明確和直觀地觀察系統(tǒng)脆弱性分析結(jié)果。同時部分研究中沒有體現(xiàn)出RFID系統(tǒng)中多種原子漏洞之間的因果聯(lián)系,忽視了漏洞攻擊事件對RFID系統(tǒng)安全狀態(tài)的動態(tài)影響。由于貝葉斯網(wǎng)絡(luò)結(jié)合了圖形結(jié)構(gòu)以及條件概率集合,因此使用該方法不僅能夠很好地描述RFID漏洞之間的依賴關(guān)系,同時也可以進(jìn)行后續(xù)的概率量化評估。因此,該文提出了一種基于貝葉斯攻擊圖的RFID系統(tǒng)脆弱性評估模型,主要工作如下:

(1)基于RFID系統(tǒng)中存在的漏洞和脆弱因素構(gòu)建RFID原子攻擊庫,確定原子攻擊庫中各脆弱性漏洞的依賴關(guān)系,建立基于貝葉斯攻擊圖的RFID系統(tǒng)攻擊模型。

(2)基于CVSS評分系統(tǒng)提出了針對RFID系統(tǒng)的量化評估模型,對RFID原子攻擊概率進(jìn)行估算,然后結(jié)合RFID系統(tǒng)攻擊模型計(jì)算屬性節(jié)點(diǎn)的可達(dá)概率,對RFID系統(tǒng)的風(fēng)險狀況進(jìn)行評估。

1 相關(guān)技術(shù)

1.1 貝葉斯攻擊圖

貝葉斯攻擊圖(Bayesian Attack Graph,BAG)是由節(jié)點(diǎn)和有向邊構(gòu)成的一個有向無環(huán)圖,可將貝葉斯攻擊圖表示為:BAG=(S,A,E,P)。其中S表示屬性節(jié)點(diǎn)集合,A表示原子攻擊集合,E表示攻擊圖的有向邊集合,P代表攻擊圖中各屬性節(jié)點(diǎn)的概率集合,具體定義如下:

(1)A={Ai|i=1,2,…,n}且A∈S×S,其中Ai代表攻擊者利用系統(tǒng)漏洞進(jìn)行的一次攻擊,由此導(dǎo)致了屬性節(jié)點(diǎn)的轉(zhuǎn)換和遷移,因此有?a∈A,a=Spre(a)→Spost(a),其中Spre(a)代表原子攻擊a的起始節(jié)點(diǎn),Spost(a)代表原子攻擊a的終止節(jié)點(diǎn)。

(2)S=Sstart∪Smid∪Sfinal,其中,Sstart代表攻擊者的初始狀態(tài)節(jié)點(diǎn)或是攻擊的起始節(jié)點(diǎn),Smid代表攻擊者的中間狀態(tài)節(jié)點(diǎn)或是攻擊的中間過程節(jié)點(diǎn),Sfinal代表攻擊者的目標(biāo)狀態(tài)節(jié)點(diǎn)或是攻擊的終止節(jié)點(diǎn)。對于任意的屬性節(jié)點(diǎn)Si均包含Si=1或Si=0兩種狀態(tài),Si=1代表攻擊者已經(jīng)成功實(shí)施相應(yīng)的原子攻擊占用了當(dāng)前屬性節(jié)點(diǎn),Si=0代表該節(jié)點(diǎn)還未被攻擊者成功利用。

(3)E={Ei|i=1,2,…,n}為攻擊圖的有向邊集合,?Si∈Smid∪Sfinal,有Sk∈S滿足(Sk,Si)∈E,表示存在一條以Sk為起點(diǎn),以Si為終點(diǎn)的有向邊。

(4)P代表攻擊圖中各屬性節(jié)點(diǎn)的可達(dá)概率集合,?Si∈S,P(Si)代表狀態(tài)節(jié)點(diǎn)Si=1時的可達(dá)概率。

1.2 貝葉斯攻擊圖結(jié)構(gòu)

貝葉斯攻擊圖的結(jié)構(gòu)類似于攻擊圖的結(jié)構(gòu),攻擊圖一般可以分為狀態(tài)攻擊圖和屬性攻擊圖。為避免了狀態(tài)攻擊圖狀態(tài)爆炸的問題,該文借鑒了屬性攻擊圖的結(jié)構(gòu)構(gòu)建貝葉斯攻擊圖。

屬性攻擊圖中通常包含兩種節(jié)點(diǎn):第一種節(jié)點(diǎn)為屬性節(jié)點(diǎn),代表系統(tǒng)中的具體資源屬性,在攻擊圖中表示為方形節(jié)點(diǎn);第二種為攻擊節(jié)點(diǎn),代表攻擊者的具體原子攻擊,在攻擊圖中用圓形節(jié)點(diǎn)。

1.3 RFID原子攻擊

為構(gòu)建針對RFID系統(tǒng)的貝葉斯攻擊圖,首先需調(diào)研現(xiàn)有的各種不同類型的RFID攻擊,構(gòu)建RFID系統(tǒng)的原子攻擊庫。該文總結(jié)各種RFID原子攻擊,包括竊聽、重放、鑒別數(shù)據(jù)包、克隆復(fù)制卡片、假冒攻擊、信息篡改、邊信道攻擊[18]。

在確定RFID系統(tǒng)中存在的各種攻擊手段后,可將單一的原子攻擊事件a∈A定義如下:

a=(Att_name,Att_pre,Att_next,Att_ability)

其中,Att_name代表該原子攻擊的名稱,Att_pre代表為實(shí)現(xiàn)該攻擊所需的前提條件或前序原子攻擊,Att_next代表只有在實(shí)現(xiàn)當(dāng)前攻擊后才能進(jìn)行的下一步攻擊,Att_ability代表攻擊者在成功實(shí)施該原子攻擊后所能達(dá)到的結(jié)果,可以視作該攻擊的結(jié)果屬性,即攻擊者在實(shí)現(xiàn)該原子攻擊后所獲得的新的攻擊能力。

基于RFID系統(tǒng)內(nèi)存在的各種攻擊手段和相關(guān)攻擊規(guī)則可構(gòu)建針對RFID系統(tǒng)的原子攻擊庫,根據(jù)攻擊庫中各攻擊之間的先后關(guān)系可以確定貝葉斯攻擊圖中原子攻擊節(jié)點(diǎn)和屬性節(jié)點(diǎn)之間的關(guān)系,從而確定貝葉斯攻擊圖的網(wǎng)絡(luò)結(jié)構(gòu)。

2 RFID安全評估模型

2.1 貝葉斯攻擊圖生成

假定攻擊者是聰明并且貪心的,因此攻擊者必然會利用目標(biāo)RFID系統(tǒng)中存在的漏洞發(fā)起攻擊,且在攻擊成功后必然會獲得一定的系統(tǒng)資源有助于發(fā)起下一次的攻擊。

將起始點(diǎn)設(shè)置為攻擊者的初始狀態(tài),攻擊者在此狀態(tài)時所具有的攻擊能力是最低級的攻擊能力。每當(dāng)攻擊者成功實(shí)施上述攻擊并獲得一定的計(jì)算資源提升其攻擊能力后,就把這個提升后的狀態(tài)看作新的狀態(tài)點(diǎn)。基于這種攻擊者實(shí)施各種攻擊并且提升其攻擊能力直至達(dá)到目標(biāo)的思想可以構(gòu)建出RFID系統(tǒng)的貝葉斯攻擊圖模型,攻擊者的狀態(tài)和攻擊行為構(gòu)成了貝葉斯攻擊圖模型中的節(jié)點(diǎn),攻擊者每實(shí)施一次實(shí)例攻擊行為都導(dǎo)致了攻擊者狀態(tài)的變遷,對應(yīng)了貝葉斯攻擊圖模型中的邊關(guān)系。

貝葉斯攻擊圖的構(gòu)建流程如下:

(1)依據(jù)RFID攻擊庫中的信息,獲取目標(biāo)RFID系統(tǒng)中的漏洞信息,初始攻擊者信息,將攻擊者可能的各種實(shí)例攻擊行為加入到攻擊隊(duì)列中;

(2)判斷攻擊隊(duì)列是否為空,若不空,則進(jìn)行下一步;若為空,生成最終的貝葉斯攻擊圖,轉(zhuǎn)第6步;

(3)掃描攻擊隊(duì)列,查看攻擊隊(duì)列中各個實(shí)例攻擊行為的前置條件或是發(fā)起該攻擊行為所需的計(jì)算資源;

(4)查看是否存在攻擊前提已經(jīng)被滿足的實(shí)例攻擊行為,若存在,則進(jìn)行下一步;若不存在則重新讀取RFID攻擊庫,更新攻擊隊(duì)列,轉(zhuǎn)第2步;

(5)攻擊者發(fā)起滿足條件的實(shí)例攻擊行為,將該實(shí)例攻擊行為作為新的原子攻擊節(jié)點(diǎn),將相應(yīng)獲得的計(jì)算資源作為節(jié)點(diǎn),將該攻擊事件作為邊更新;

(6)得出最終的貝葉斯攻擊圖。

2.2 RFID漏洞量化

2.2.1 原子攻擊節(jié)點(diǎn)概率

為利用貝葉斯攻擊圖實(shí)現(xiàn)對RFID系統(tǒng)的脆弱性評估,在構(gòu)建出針對RFID系統(tǒng)的貝葉斯攻擊圖的基礎(chǔ)上,需對貝葉斯攻擊圖中的各個原子攻擊進(jìn)行分級評估并量化。在傳統(tǒng)網(wǎng)絡(luò)中,一般采用美國國家通用漏洞數(shù)據(jù)庫(National Vulnerability Database,NVD)提供的通用漏洞評分系統(tǒng)(Common Vulnerability Scoring System,CVSS)進(jìn)行量化。CVSS能提供完整的評分參數(shù)和開放的評分框架,量化漏洞被利用的難易程度。該文借鑒CVSS評分系統(tǒng)的量化標(biāo)準(zhǔn),在參考文獻(xiàn)[19]的基礎(chǔ)上結(jié)合RFID漏洞利用所需權(quán)限的思想,從利用難易度和影響程度對RFID系統(tǒng)中的漏洞進(jìn)行量化。利用難易度可分為訪問途徑(AV)、訪問復(fù)雜度(AC)、權(quán)限(PR),影響度包括機(jī)密性(CI)、完整性(IN)和可用性(AI),如表1所示。

表1 指標(biāo)描述

基于上述指標(biāo)和評分計(jì)算漏洞價值的計(jì)算式如下所示:

BaseScore=min(Exp+Impact,10)

(1)

Impact=6.4×(1-(1-CI)×(1-IN)×(1-AI))

(2)

Exp=8.22×AC×AV×PR

(3)

漏洞價值表示攻擊者利用某一漏洞的可能性大小,即上述的BaseScore值,基于該值可計(jì)算出攻擊者利用某一屬性節(jié)點(diǎn)對其后續(xù)節(jié)點(diǎn)成功攻擊的概率,即某一原子攻擊節(jié)點(diǎn)的概率。由于按照上述評分系統(tǒng)計(jì)算出的值范圍是[0,10],為了后續(xù)的概率計(jì)算,需進(jìn)行一定的縮放,因此原子攻擊節(jié)點(diǎn)ai∈A的概率計(jì)算式為:

(4)

2.2.2 屬性節(jié)點(diǎn)可達(dá)概率

貝葉斯攻擊圖一般都描述了攻擊者通過多步攻擊最終實(shí)現(xiàn)目標(biāo)的攻擊行為,所以需要依據(jù)父節(jié)點(diǎn)與子節(jié)點(diǎn)之間的關(guān)系,計(jì)算某屬性節(jié)點(diǎn)在其父節(jié)點(diǎn)影響下被攻擊者成功利用的概率,即其對應(yīng)的條件概率,表示為P(Sj|Par(Sj))。由于子節(jié)點(diǎn)Sj與父節(jié)點(diǎn)Par(Sj)之間存在兩種關(guān)系:“或”關(guān)系和“與”關(guān)系,故分兩種情況討論。

(1)若為“或”關(guān)系,則有:

P(Sj|Par[Sj])=

(5)

(2)若為“與”關(guān)系,則有:

P(Sj|Par[Sj])=

(6)

依據(jù)父節(jié)點(diǎn)與子節(jié)點(diǎn)之間的關(guān)系,計(jì)算某屬性節(jié)點(diǎn)對應(yīng)的條件概率之后,就可得出該屬性節(jié)點(diǎn)的靜態(tài)可達(dá)概率,從該概率中可觀察到對應(yīng)RFID系統(tǒng)的靜態(tài)風(fēng)險情況,具體計(jì)算式如下:

(7)

假設(shè)攻擊者已經(jīng)成功實(shí)現(xiàn)了某一原子攻擊,即對應(yīng)的屬性節(jié)點(diǎn)Sj=1,則利用后驗(yàn)概率公式將屬性節(jié)點(diǎn)Si的動態(tài)到達(dá)概率表示為P(Si|Sj),計(jì)算式如下:

(8)

2.3 基于貝葉斯攻擊圖的RFID系統(tǒng)風(fēng)險評估

基于2.2節(jié)計(jì)算出的RFID原子攻擊節(jié)點(diǎn)量化概率和屬性節(jié)點(diǎn)的可達(dá)概率,在無額外推理?xiàng)l件的情況下可進(jìn)行靜態(tài)的RFID風(fēng)險狀況評估,主要過程如下:

(1)基于表1量化原子攻擊漏洞。

(2)基于式5和式6結(jié)合攻擊模型計(jì)算條件概率表,然后依據(jù)式7更新圖中各屬性節(jié)點(diǎn)的可達(dá)概率。

(3)得出目標(biāo)節(jié)點(diǎn)的可達(dá)概率,評估靜態(tài)狀況下的系統(tǒng)風(fēng)險狀況。

但是RFID系統(tǒng)的風(fēng)險狀態(tài)不會一直保持靜態(tài),當(dāng)系統(tǒng)中的任何漏洞被攻擊者成功利用后都會影響到模型中各屬性節(jié)點(diǎn)的靜態(tài)可達(dá)概率,因此當(dāng)管理員觀察到攻擊者的攻擊結(jié)果后需依據(jù)式8及時更新系統(tǒng)風(fēng)險狀況。

3 模型驗(yàn)證

3.1 實(shí)驗(yàn)設(shè)置

為了建立基于貝葉斯攻擊圖的RFID風(fēng)險評估模型,該文針對如圖1所示的某倉儲RFID信息管理系統(tǒng)進(jìn)行分析。

圖1 實(shí)驗(yàn)RFID系統(tǒng)結(jié)構(gòu)

3.2 貝葉斯攻擊圖生成

圖2為針對目標(biāo)RFID系統(tǒng)安全評估建立的貝葉斯攻擊圖。

圖2 RFID貝葉斯攻擊模型

(1)攻擊者可以通過未經(jīng)授權(quán)的RFID閱讀器強(qiáng)行讀取標(biāo)簽,造成標(biāo)簽ID信息泄露,并復(fù)制克隆標(biāo)簽隱私信息獲取目標(biāo)系統(tǒng)的訪問權(quán)限發(fā)起假冒攻擊,篡改系統(tǒng)隱私數(shù)據(jù)。攻擊者同樣可以通過監(jiān)聽信道竊取到標(biāo)簽的隱私信息,依據(jù)上述攻擊過程發(fā)起攻擊。

(2)若攻擊者可以監(jiān)聽信道,則可以通過竊聽標(biāo)簽讀寫器發(fā)送的命令,獲取到RFID讀寫器發(fā)送的各種命令包,然后可以按照標(biāo)準(zhǔn)協(xié)議命令包頭定義的格式用來辨別命令包的類型,實(shí)現(xiàn)對敏感數(shù)據(jù)包的竊取或是發(fā)起重放攻擊。

(3)攻擊者可以發(fā)起DOS攻擊,通過一些射頻信號裝置短時間內(nèi)向閱讀器端發(fā)送大量非法標(biāo)簽信息,導(dǎo)致RFID系統(tǒng)被大量信息淹沒,系統(tǒng)中的閱讀器無法與合法標(biāo)簽進(jìn)行正常讀寫操作,阻塞通信信道,破壞RFID系統(tǒng)的可用性。

3.3 風(fēng)險計(jì)算

依據(jù)2.2節(jié)所述的評分標(biāo)準(zhǔn),首先對上述RFID貝葉斯攻擊模型中的原子攻擊節(jié)點(diǎn)進(jìn)行概率量化。

依據(jù)表2所述的對各種原子攻擊的分級標(biāo)準(zhǔn)可計(jì)算出各個原子攻擊的概率,如圖3所示。

圖3 原子攻擊概率

表2 RFID原子攻擊分級

根據(jù)表2所給定各攻擊節(jié)點(diǎn)的成功利用概率可以對屬性節(jié)點(diǎn)進(jìn)行概率量化,首先計(jì)算攻擊者到某一屬性節(jié)點(diǎn)的靜態(tài)可達(dá)概率表,其中將外部屬性節(jié)點(diǎn)S1,S2,S3的靜態(tài)概率初始化為0.8。

基于圖2所示的圖形結(jié)構(gòu)和上述的可達(dá)概率計(jì)算過程,使用Netica工具集可構(gòu)建出如圖4所示的貝葉斯模型。

圖4 針對RFID系統(tǒng)的靜態(tài)貝葉斯評估模型

圖4可以直觀展示出在無額外推理?xiàng)l件的情況下,攻擊者可成功占用各個屬性節(jié)點(diǎn)的成功概率,即該系統(tǒng)的靜態(tài)風(fēng)險狀況。其中目標(biāo)節(jié)點(diǎn)為S10,S11,S12,攻擊者可以成功占領(lǐng)各目標(biāo)節(jié)點(diǎn)的概率分別為18.2%,13.9%,74.3%,可以看出攻擊者到達(dá)S12節(jié)點(diǎn)的概率最高,即攻擊者更易實(shí)現(xiàn)的攻擊結(jié)果為通過DOS攻擊或者重放攻擊阻塞RFID系統(tǒng)的通信信道。

RFID系統(tǒng)的風(fēng)險狀態(tài)不會一直保持靜態(tài),需要考慮到攻擊者的不同攻擊行為對RFID系統(tǒng)安全狀況造成的動態(tài)影響。在圖4所示推理模型的基礎(chǔ)上,若是系統(tǒng)管理員確認(rèn)了攻擊者的攻擊目標(biāo)或者觀測到系統(tǒng)中已經(jīng)發(fā)生的攻擊行為,可按照式8所述的后驗(yàn)概率計(jì)算公式對部分屬性節(jié)點(diǎn)概率進(jìn)行更新。結(jié)果如圖5所示。

圖5 基于攻擊者目標(biāo)節(jié)點(diǎn)的動態(tài)概率評估

也可結(jié)合系統(tǒng)的實(shí)時安全事件對模型及節(jié)點(diǎn)可達(dá)概率進(jìn)行動態(tài)更新,可以更好地反映RFID系統(tǒng)的風(fēng)險狀況。例如若是管理員觀測到圖2中的攻擊事件A3,則將節(jié)點(diǎn)S5的概率置為1,同時更新其余節(jié)點(diǎn)的可達(dá)概率,結(jié)果如圖6所示。

圖6 基于系統(tǒng)安全事件的動態(tài)概率評估

在圖5所示的情況下,在已知攻擊者目標(biāo)節(jié)點(diǎn)為S12時,可以看出屬性節(jié)點(diǎn)S3,S6,S9的攻擊者可達(dá)概率有明顯提升。在圖6所示的情況下,攻擊者已經(jīng)成功實(shí)施原子攻擊A3后,目標(biāo)節(jié)點(diǎn)S11和S12的安全風(fēng)險顯著增加,通過這種動態(tài)更新系統(tǒng)可達(dá)概率的方式,也可以為預(yù)測攻擊者的下一步攻擊或是攻擊目標(biāo)提供依據(jù)。

3.4 方法對比

在基于貝葉斯攻擊圖的脆弱性評估方式中,模型中各屬性節(jié)點(diǎn)的可達(dá)概率是反映RFID系統(tǒng)風(fēng)險的主要指標(biāo)。為了驗(yàn)證所提的RFID-BAG-ATT模型,在同樣的系統(tǒng)實(shí)驗(yàn)環(huán)境下,給出了與文獻(xiàn)[20]所提出的DRABAG模型的實(shí)驗(yàn)數(shù)據(jù)對比,如圖7所示。圖7給出了在圖1所示的RFID系統(tǒng)環(huán)境下,RFID-BAG-ATT模型和DRABAG模型對于貝葉斯攻擊圖中原子攻擊節(jié)點(diǎn)的量化結(jié)果。

圖7 原子攻擊概率量化對比

基于參考文獻(xiàn)所提出的DRABAG模型以及上述量化概率可以構(gòu)建出圖8所示的量化結(jié)果圖。

圖8 原子攻擊概率量化對比

對比圖4和圖8,觀察圖中所示的屬性節(jié)點(diǎn)可達(dá)概率,可以看出RFID-BAG-ATT模型優(yōu)于DRABAG模型,這是因?yàn)樵撃Ｐ驮诙鄠€方面對原子攻擊概率進(jìn)行量化,評估更加準(zhǔn)確。

4 結(jié)束語

針對目前RFID系統(tǒng)面臨的諸多安全問題和安全隱患,嘗試從攻擊者的角度建立起針對RFID系統(tǒng)的貝葉斯攻擊圖模型。首先,歸納總結(jié)了RFID系統(tǒng)內(nèi)常見的各種攻擊手段,建立RFID攻擊庫。然后,重點(diǎn)介紹了RFID貝葉斯攻擊圖模型的建立,在得出攻擊圖模型的基礎(chǔ)上提出了針對RFID攻擊的分級量化標(biāo)準(zhǔn),得到原子攻擊概率。通過原子攻擊概率計(jì)算出貝葉斯攻擊圖中屬性節(jié)點(diǎn)的靜態(tài)可達(dá)概率和動態(tài)可達(dá)概率,從而衡量出RFID系統(tǒng)的風(fēng)險狀況。

在實(shí)際的RFID系統(tǒng)中,系統(tǒng)管理者也可能會根據(jù)攻擊者的攻擊進(jìn)度選擇相應(yīng)的防御策略,所以如何優(yōu)化RFID系統(tǒng)風(fēng)險評估模型使其可以在復(fù)雜的情況下準(zhǔn)確地評估出系統(tǒng)的風(fēng)險狀況將成為下一步的研究重點(diǎn)。