基于攻击面的安全评估体系研究*

廉新科，闫 卿

（中国人民解放军91977 部队，北京 100036）

0 引言

网络信息系统作为信息技术的基础设施，广泛应用于社会的各个领域。随着信息技术的发展，网络信息系统带来高效、便利的同时，也面临着日趋严峻的安全挑战。网络信息技术研发致力于如何研制、更新迭代出更加安全的系统，信息安全防护则侧重于努力构建更加完善的防御体系，形成对网络信息系统更加全面的防护能力。因此，对网络信息系统开展全面有效的安全度量评估，成为网络信息技术公司和信息安全厂商共同关注的问题。

现有的标准规范以检验系统是否达到安全保密要求为主，缺少对信息系统安全程度的定性和定量测量。Manadhata 等[1]提出以攻击面为指标对软件实施安全度量。攻击面表示攻击者能够进入系统并造成破坏的方法集合，因此从攻击面着手对系统安全性开展度量，能够体现系统被破坏的潜在可能性和实施攻击所需付出的代价程度。

本文提出了一种基于攻击面的安全威胁评估体系，通过探索攻击面形式化表达方法和数学模型，梳理了网络空间系统攻击面度量指标体系，随后基于最大熵马尔科夫模型和条件随机场模型，研究基于动态攻击面的安全威胁评估方法。本文提出的基于攻击面安全威胁评估体系能够用于网络系统安全程度量化评估，评估结果既可作为网络系统优化设计的参考，又可作为安全防御体系效能评估的数据依据。

1 攻击面概述

对于攻击面，目前尚无明确的统一定义。软件攻击面的概念首先由Michael Howar[2]等人提出，随后Manadhata[1,3]等人认为攻击面是网络攻击可以利用的信息系统各类资源的集合，包括所有函数、接口和交互数据的集合。通过该思路，可以比较两个信息系统的安全程度。Zhuang[4]等人认为，攻击面是信息系统暴露在外的各类软硬件资源（如计算机终端上安装的各类软件、计算机上开放的通信端口和未修补的系统漏洞等）和可被用作网络攻击的的网络资源。综上所述，攻击面是网络攻击攻陷信息系统的一系列可以利用的途径，即被攻击系统可被利用的软件、硬件、数据和网络等系统资源。

评估信息系统攻击面能更好地科学评估信息系统安全风险。攻击面与系统安全性的关系：攻击面越大，系统安全风险越大；攻击面越小，系统安全性越高。攻击面量化评估可以为进一步研究如何减小系统攻击面来增强系统安全性奠定基础。

2 基于攻击面的安全评估设计思路

基于攻击面的安全评估设计思路，如图1 所示。

图1 基于攻击面的安全威胁评估体系

（1）完成攻击面建模。确定攻击面的组成要素，包括函数、通道和数据项，并对这些组成要素进行形式化表示；描述它们在系统中的类型、地位和关联关系；确定量化函数，完成攻击面建模。攻击面量化能够反映系统安全风险，量化效果又与攻击面建模紧密相关，因此攻击面建模是基于攻击面的安全威胁评估体系的基础。

（2）完成网络攻击面度量。网络攻击面度量包括攻击面识别和攻击面度量两个阶段。攻击面识别是针对目标系统将其属性和攻击面组成要素子集对应映射起来，构建具体的工具面；攻击面度量即对组成要素中所有元素测量元素贡献值，再根据量化函数计算攻击面度量值。

（3）进行网络攻击效能评估。构建度量指标体系，开展网络空间系统攻击面度量指标体系研究，明确指导建立攻击面度量指标的原则与方法，通过分解、组合等建立指标体系，明确各类指标之间的关系；研究攻击面的安全威胁评估技术，提出基于动态攻击面的安全威胁评估模型。

3 网络空间攻击面建模

3.1 攻击面形式化表达

本节研究的攻击面形式化表示沿用Manadhata[1,3]等人提出的方法，即攻击者可用于发动攻击的系统资源。包括系统出入口点、通道和不可信数据项。记攻击者可利用出入口点集合为M，通道集为C，不可信数据项集为I，因此M、C、I即为攻击面相关资源的子集。对于给定系统s及其环境，可定义s的攻击面为三元组(M,C,I)。

张璇等人[5]根据方法、通道和数据3 个方面，可量化系统攻击面的度量值。设资源与其破坏潜力与攻击成本比的映射关系为方法der，系统s的攻击面为(M,C,I)，则s的攻击面度量值为：

式（1）中各攻击面度量值计算如式（2）所示。其中，deri(i)是攻击面3个维度中不同资源的度量值，count(i)为攻击面中资源i的统计数量，qi为攻击面中资源i的潜在破坏能力指标，ei为利用攻击面中资源i实施攻击所需付出努力的程度的指标。qi/ei是潜在破坏及努力率，是一个用于调整攻击面大小的比例。qi越大，资源的潜在破坏能力越高，攻击面越大。ei越大，表明实施攻击的努力程度越大，攻击面越小。

3.2 攻击面度量属性

根据攻击面的定义，攻击面度量模型的一级指标是攻击面的3 个维度，即函数M、通道集C和不可信数据项集为I。通过评估各类资源的安全威胁并将指标量化，计算攻击面的资源数量，就可对信息系统攻击面进行安全度量。在不同环境和要求下，可根据环境和需求情况设置具体的二级指标资源，因此攻击面度量属性如图2 所示。

可持续利用指数(ESI)为农业生态系统净能值产出率NEYR与环境负载率ELR之比，用来说明生态经济系统的可持续性，一般该指标数值处于1～10之间，数值过大说明对资源的利用不够，过小又预示着系统因环境负载率较高而处于耗竭状态。2001-2010年河南省农业生产可持续利用指数处于3.15～5.99之间，说明其农业生态经济系统具有较强的可持续发展能力。从时间变化趋势上看，近年来河南省可持续利用指数数值呈现显著下降趋势，说明其农业发展的可持续性有所降低，农业生产存在一定只用不养的掠夺式经营成分。

图2 攻击面度量要素

4 基于最大熵马尔科夫模型的攻击面度量方法

通过将攻击面的度量问题转化为攻击面资源符合最大熵的条件概率分布情况下的最优条件概率求解问题，即通过表征攻击面组成的各类要素对网络攻击概率的影响度的思路进行研究。为解决隐马尔科夫模型对样本独立性假设的缺陷，通过特征函数控制隐马尔科夫模型中已知样本对未知样本的拟合度和适应度。

隐马尔科夫模型由状态链（马尔可夫链）和观测链两个随机过程组成。观测链序列值可推测出马尔可夫链序列的状态。设y是攻击面状态序列（马尔可夫链），x是观测链序列，将相邻两个状态之间的迁移概率设为P(yi|yi-1)，yi状态产生的观测变量xi的概率设为P(xi|yi)，可以定义初始概率矩阵为P0(y)，则可计算观测链序列的概率为：

然而，隐马尔科夫模型假设观测序列中每个元素是彼此独立的，即某时刻之后的状态之与该时刻的状态有关，而与之前的状态无关。实际中，攻击面的各个状态之间可能存在长程相关性，一个状态的变化可能会引起另一个状态的变化。因此，本文采用最大熵马尔科夫模型对攻击面进行度量。

最大熵模型是概率模型学习中一个准则，思想为：在学习概率模型时，所有可能的模型中熵最大的模型是最好的模型；若概率模型需要满足一些约束，则最大熵原理是在满足已知约束的条件集合中选择熵最大模型。最大熵原理指出，对一个随机事件的概率分布进行预测时，预测应当满足全部已知的约束，而对未知的情况不要做任何主观假设。这种情况下，概率分布最均匀，预测的风险最小，因此得到的概率分布的熵最大。建立最大熵模型的第一步是先定义信息熵，表示信息的不确定性：

其次，定义特征函数f(x,y)来表示规则。f(x,y)为二元函数，表示当x、y满足其中任意一个事实时，函数值为1，否则为0，即：

因此，可以通过统计攻击面组成要素信息计算特征函数的期望值，并估计其条件概率参数的特征函数模型的模型数学期望：

调整条件概率的分布P，得到多种不同的模型数学期望。设C为存在经验期望与模型期望相等的条件概率分布组成集合：

在集合C中，找到最优分布（即使模型满足最大熵原理），将最大熵模型等价变换为凸函数的约束优化问题：

其中，λi（1 ≤i≤m）为第一个约束的拉格朗日系数，λm+1为第二个约束的拉格朗日系数。对p(y|x)求偏导，使其为0，则可求得最优解，即：

设最大熵模型中各特征函数fi(x,y)的参数向量为拉格朗日系数λi。该方法的现实作用是建立攻击面组成要素和攻击概率的相关性模型。设为最优解对应的期望，从网络防御角度出发，通过配置合适的安全策略，使得，（k0是系统攻击面的初始值），即使信息系统攻击面尽量往缩小趋势演进。

使用上述方法，不仅解决了隐马尔科夫模型对样本独立性假设缺陷，还建立了攻击面组成要素和网络攻击之间的相关性模型。

5 基于攻击面的攻击效能评估方法

5.1 攻击效能评估方法概述

攻击效能评估方法是通过将各类攻击效能指标进行综合计算，求得攻击效能的综合得分的过程。目前，攻击效能评估方法分为主观和客观两种类型。主观方法主要以人的经验作为评估标准，最后得到综合得分，主要包括主成分分析法、层次分析法、决策试验和评价试验等。客观方法则是使用数据说话，减少人为干预的思路。通过对数据的分析和建模来对攻击效能进行评估，主要包括数据包络分析法、灰色关联度分析法、熵信息分析方法、最大离差法以及模糊聚类法等。

然而，主观和客观两类方法各有优劣。主观方法以人的偏好确定评价标准，容易受主观因素影响，造成结果因人的水平差异而偏差较大；客观方法则无法利用人的既有经验，完全依赖数据，不同的数据样本或数据量会对评估结果造成较大影响。

通过将各类攻击效能指标作为随机变量进行基于条件随机场的数学建模，既可利用特征函数包含主观经验的评估过程，又可利用条件随机场模型描述各类效能指标之间的相关性。

5.2 攻击效能评估指标体系

通常，网络攻击全过程包含以下步骤：一是对攻击目标进行探测，获取攻击目标的相关信息和防御薄弱点；二是基于攻击目标的防御薄弱点进行渗透，如取得攻击目标的操作权限等；三是对攻击目标实施破坏、信息窃取等操作。根据网络攻击的全过程，可将攻击分为设施和信息毁瘫、操作权限提升和信息窃取3 类。这3 类攻击的评估指标体系经层层细化，如图3 所示。

图3 攻击效能评估指标体系

5.3 基于条件随机场的攻击效能评估模型

从防御角度看，攻击效能越低，防御效能越好，反之亦然。因此，应最小化攻击效能，最大化防御效能。

条件随机场（Conditional Random Field，CRF）是一种条件概率分布模型，表示的是给定一组输入随机变量X的条件下，另一组输出随机变量Y马尔可夫随机场。通过将该模型应用到攻击效能评估中，可表征出上下级评估规则和评估指标之间的相关性，得到已知下级指标的情况下，同时满足评估规则和同一级指标之间关系的最客观的上级评分。对每一层级利用条件随机场模型进行建模，然后逐层计算，即可得到各级结果和最终结果。

设X与Y是两个随机变量，P(Y|X)为给定X的条件下Y的条件概率分布，则条件随机场模型为：

6 结语

本文提出了一种基于攻击面的安全威胁评估体系，通过探索攻击面形式化表达方法和数学模型，梳理了网络空间系统攻击面度量指标体系，随后基于最大熵马尔科夫模型和条件随机场模型，研究基于动态攻击面的安全威胁评估方法。本文提出的基于攻击面安全威胁评估体系能够用于网络系统安全程度量化评估，评估结果可作为网络系统优化设计的参考，亦可作为安全防御体系的效能评估的数据依据。