基于攻击图模型的多目标网络安全评估技术研究

1896192019872006演讲人：程叶霞上海交通大学信息安全工程学院2012.7目录研究相关背景研究背景国内外研究现状研究意义主要创新点研究背景随着网络技术的飞速发展，信息资源的共享程度不断提高，人们的工作、生活和学习方式正在发生变化，对网络的依赖性越来越大。对国家而言，计算机网络在政治、经济和军事等方面起到越来越重要的作用。研究背景由于网络系统存在着安全漏洞，网络攻击的种类和数量成倍增加，网络安全问题越来越严重。网络安全已成为影响国家和社会经济发展的重要因素。为解决网络安全问题，进行安全管理和控制，网络安全评估已经成为信息安全领域的一个研究热点。国内外研究现状国内外的研究机构和专家们针对网络安全评估已经开展了许多评估模型与方法的研究工作，开发了多种定量或定性的安全评估模型。比较成熟的有访问控制模型、信息流模型、基于角色的访问控制模型等。但是这些模型皆因其自身局限性而不能得到广泛应用。国内外研究现状局限性表现为：•定量或定性分析结果不够准确•评估模型计算复杂度高、不能适应大规模网络应用•侧重点单一，不能满足多层次、多角度、量性结合的分析评估要求等研究意义研究出一种具有广泛适用性、综合性和准确性的安全评估技术方法，具有重要的理论意义和实际应用价值。鉴于此，提出了一种新型的基于攻击图模型的网络安全评估技术，即攻击图的多目标网络安全评估技术。主要创新点主要创新点在于：•基于攻击图的马尔可夫链和贝叶斯网络的特性，研究了攻击图的4个安全评估指标；•并在此基础上，提出了一种应用遗传算法对网络安全评估进行多目标优化与分析的算法，以生成最优化评估方案。目录技术研究内容和过程攻击图模型攻击图的安全评估指标及算法网络安全评估的多目标优化算法攻击图模型攻击图是一种用图形的方式来描述攻击者从攻击起点到达攻击目标的所有攻击路径的方法。它在分析网络的所有配置信息和弱点信息之后，通过信息之间的全局依存关系，寻找出所有的可能攻击路径。攻击图模型网络攻击建模模型有4个基本组成部分：主机信息、拓扑信息、漏洞信息以及攻击者信息。攻击图的很多生成算法存在状态空间爆炸问题。为了降低状态空间数，本文采用二叉决策图（BinaryDecisionDiagram，BDD）来描述攻击事件。BDD是进行形式化验证的有效工具，与模型检验技术相结合可以构成符号模型检验。攻击图模型符号模型检验算法构建攻击图过程：•第一，对攻击图进行建模。把网络攻击事件抽象为Büchi模型，把网络攻击事件中发生变化的各种因素抽象为Büchi自动机中的状态。这些因素包括：主机的状态、攻击者的状态、变迁关系。因此，攻击图表示为一个五元组。•第二，指定网络的安全属性。采用CTL（ComputerTreeLogic）描述，通常表达式为：。关于“unsafe”的定义取决于要研究的网络。•第三，生成攻击图。对最大攻击步骤数加以限制。生成算法如图1所示。),,,,(0DSSSGs)(unsafeAG攻击图模型技术研究内容和过程攻击图模型攻击图的安全评估指标及算法网络安全评估的多目标优化算法攻击图的安全评估指标及算法基于马尔可夫链的指标及算法攻击图的马尔可夫链特性攻击图的攻击可能性指标及其计算方法攻击图的攻击实现度指标及其计算方法基于贝叶斯网络的指标及算法攻击图的贝叶斯网络特性攻击图的脆弱性程度指标及其计算方法攻击图的脆弱点关键度指标及其计算方法攻击图的马尔可夫链特性攻击图是由攻击者所处的攻击状态和攻击动作组成，攻击动作使得攻击者能够从一个状态跃迁到另一个状态，攻击者在某一个状态下可能采取的攻击动作只与攻击者当前的状态有关。攻击图在已知“现在”的条件下，其“将来”不依赖于“过去”，攻击图具有马尔可夫链特性。同时，综合考虑到原子攻击方法导致攻击图状态的跃迁，因此，将马尔可夫链进行扩展，并加以定义。攻击图的马尔可夫链特性定义1（扩展马尔可夫链）一个扩展马尔可夫链是指将攻击图中的状态变迁和原子攻击方法对应关系，使用马尔可夫链表示出来，定义为一个三元组，其中，为系统状态空间，为转移概率矩阵，为所有可用方法的集合。定义2（攻击实现度）攻击实现度是指不同的弱点所对应的成功实现程度，它与弱点描述中攻击方法、攻击步骤等信息的详细程度、现有攻击工具的开发状况等因素相关。),,(_APIExtMCIAP攻击图的马尔可夫链特性攻击实现度的层次分级和相应的权重值标识实现度等级层次权重值L6现成可用的攻击图工具与详细的攻击步骤0.9L5定制可用的攻击图工具与详细的攻击步骤0.8L4无现成攻击图工具但有较详细的攻击步骤0.6L3公开报告且粗略描述攻击方法0.5L2公开报告并提及可能的攻击方法0.2L1公开报告但未给出攻击方法0.1L0公开报告但攻击仅在理论上可能或为公开报告0.05指标1：攻击图的攻击可能性指标定义3（攻击图的攻击可能性指标）攻击图的攻击可能性指标是指对于一个网络攻击图所对应的扩展马尔可夫链，攻击者从攻击起点状态出发选择到达攻击目标状态集合的概率。攻击可能性指标，其取值越大，则攻击者达到攻击目标的可能性越大。因此，安全评估时，要增强网络安全措施，比如拓扑改变，漏洞修补等。指标1：攻击图的攻击可能性指标规则1（选择依据规则）以攻击动作所对应的攻击实现度层次等级作为攻击者选择下一个攻击动作时的依据。攻击实现度层次等级越高，则选择的可能性越大。定义4（选择概率）假设攻击者在状态S0时可选择通过攻击动作Ai到达下一个状态Si，其中i=1,2,…，n；且攻击动作Ai对应的攻击实现度层次等级的权重值为wi，则定义攻击者在状态S0时选择通过攻击动作Ai到达下一个状态Si的概率为。niiiiAwwSSPi10)(指标1：攻击图的攻击可能性指标对于一个节点，若把从出发经过一步跃迁可到达的所有状态记作，对于，把从跃迁到可选攻击规则集合记作，则在扩展马尔可夫链的某个阶段，从状态出发选择到达目标状态的攻击可能性指标计算方法如公式1所示。（1）假设攻击图中从攻击初始状态最多经过N步可到达攻击目标状态，则经过N+1次迭代后，迭代过程必然收敛,。mSmS)(mSSUBSEQ)(mtSSUBSEQSmStS)(tmSSRULES}{\FISum)()(1)()()(mttmiiSSUBSEQSSSRULESAtntAmmnSVSSPSVNNVVV1指标2：攻击图的攻击实现度指标定义5（攻击图的攻击实现度指标）攻击图的攻击实现度指标是指对网络攻击图所对应的扩展马尔可夫链，攻击者从起始状态出发成功攻击到达目标状态的概率。攻击图的攻击实现度指标，表征着攻击成功实现的可能性。其取值越大，则攻击者越容易成功达到攻击目标。因此，安全评估时，应该作为重点进行加强安全。该指标的计算方法及过程如下所示。指标2：攻击图的攻击实现度指标对于一个节点，若将从出发经过一步跃迁可到达的所有状态记作，对于，将从跃迁到可选攻击规则集合记作，则对应了一条攻击规则，令为该攻击规则对应的攻击实现度。则攻击图的攻击实现度指标计算方法如公式2所示。（2）假设攻击图中从攻击初始状态最多经过N步可到达攻击目标状态，则经过N+1次迭代后，迭代过程必然收敛，。mSmS)(mSSUBSEQ)(mtSSUBSEQSmStS)(tmSSRULES)(tmiSSRULESA)(iAE)()(1)()()()(mttmiiSSUBSEQSSSRULESAtnitAmmnSWAESSPSWNN1攻击图的贝叶斯网络特性攻击图是一个含有因果关系的网络，攻击规则的前提条件和影响结果，反映了攻击过程中攻击者利用弱点与状态转移之间的因果关系。攻击图与贝叶斯网络（BayesianNetwork）有类似的有向无环的网络结构以及节点间的条件独立关系，因此攻击图可看为一个贝叶斯网络。指标3：攻击图的脆弱性程度指标定义6（攻击图的脆弱性程度指标）攻击图的脆弱性程度指标是指实施攻击行动的难易程度，体现为攻击者实现攻击目标所需的总平均攻击代价。它受攻击者的知识水平、攻击工具、资源和权限等因素影响。规则2脆弱性程度指标服从指数分布。单步攻击行为如果失败，则节点保持以前状态不变，具有无记忆性。具体的定义见下一页。指标3：攻击图的脆弱性程度指标定义7任意攻击行为a∈A，攻击状态Ss跃迁到Sd的概率即为脆弱性程度指标。其中，c代表攻击的平均代价；C表示实现攻击目标所需的总平均攻击代价；λ表示成功攻击的难易度，λ越小，则状态跃迁越难，越不容易。脆弱性程度指标，其取值越大，则脆弱性程度越大，攻击成功概率越大。在安全评估时，应当建议安全加固。cvecCPcP1)()(指标3：攻击图的脆弱性程度指标该指标的计算方法，依据攻击图结构分为串联、并联、混联3种情况。设攻击步骤i攻击成功，令Ci表示平均攻击代价，λi表示攻击难易度。(1)串联结构•各节点是逻辑“与（AND）”关系，其脆弱性程度指标算法如公式3所示：•当，（3）ninijjijnijjcjnsjecCCCPcP11121)(1)()(jiji2n指标3：攻击图的脆弱性程度指标（2）并联结构节点间是逻辑“或（OR）”关系，其脆弱性程度指标计算为公式4：（4）（3）混联结构该结构是一个复合、协同的攻击过程，攻击成功与否与攻击行为发生的先后顺序无关，只与所有攻击条件是否满足有关。各攻击图状态间为逻辑“与（AND）”关系，各攻击代价之间为逻辑“或（OR）”关系。计算如公式5：当，（5）niicnsecCCCPcP11)),,,(min()(21ninijjijnijjcjnsjecCCCPcP11121)(1)()(jiji2n指标4：攻击图的脆弱点关键度指标定义8（攻击图的脆弱点关键度指标）攻击图的脆弱点关键度指标是指脆弱点存在与否对整个网络环境的影响程度。对于脆弱点关键度的安全评估，可以直接应用于网络的优化与修复中。指标值越大，则该脆弱点越重要，越应修复。指标4：攻击图的脆弱点关键度指标在脆弱性程度指标的基础之上，我们定义为可靠性程度，即：。在贝叶斯网络中，底事件概率的重要度是指某底事件发生与否时，顶事件发生概率的差值.攻击图中脆弱点的关键度指标定义为脆弱点Vi被利用与否时，违反安全策略的顶事件T发生概率的差值，计算公式为公式6：（6）)(1cPs)(cRs)(1)(cPcRss)1|1()0|1(isisiVTRVTRI技术研究内容和过程攻击图模型攻击图的安全评估指标及算法网络安全评估的多目标优化算法网络安全评估的多目标优化算法基于上述4个指标，可提出一定的安全加固措施，使得4个安全评估指标最优化。那么安全加固措施的选择，就转换多目标优化问题。其中，安全加固的措施包括多方面因素，如节点防御的加强，漏洞的修补，主机间可达性的改变等等。优化目标为：使得安全评估的4个指标——攻击可能性指标、攻击实现度指标、脆弱性程度指标、脆弱点关键度指标，它们的取值越小越好。因为取值越小，攻击的可能性越小，安全性越高；攻击实现度越小，安全性越高；脆弱性程度越小，攻击代价越大，安全性越高；脆弱点关键度越小，安全性相对越高。当4个指标都取得最小值时，是最优化的方案。限制条件为：4个指标值不能大于原攻击图所对应的指标值。同时，相应的4个指标值要小于对应的最大阈值标准。网络安全评估的多目标优化算法即求解加固措施变量，使得目标函数为：同时必须满足的约束条件为：H)};(,2,1{,)(_min;)(_)(min;)(_)(min;)(_)(minIcardiHnewIHnewcPHnewSWHnewSVismnmn)};(,2,1{,)(_)};(,2,1{,)(_;)(_)();()(_)(;)(_)();()(_)(;)(_)();()(_)(