仇铭阳,赛 煜,王 刚*,孟庆微
(1.空军工程大学信息与导航学院,西安 710077;2.济南职业学院,济南 250101)
随着网络攻防对抗的日益加剧,针对重要工作部门、科研单位等重要企业级网络的APT 攻击也逐渐增加。但考虑时间、成本和管控水平差异等因素,难以修补所有可能被攻击方利用的漏洞或后门做到万无一失。合理地定性定量评估网络的安全性能,能为网络风险可管可控提供理论支持,为防御技术的部署提供参考,对于保障网络空间安全有着重要的理论与实践意义。
目前针对漏洞攻击研究主要分为两种,一种是通过CVSS(Common Vulnerability Scoring System)评分体系将已知漏洞攻防过程量化并通过量化结果进行风险评估从而进行有效防控。这类研究能够从漏洞复杂性和可用性等角度对漏洞进行评估,能够很好地反映漏洞可能造成的风险。然而,攻击过程中,漏洞的利用往往不是孤立的,不同网络和不同攻击模式下,漏洞利用次序和难度也不相同,同一漏洞可能造成的危害也不相同,因此,具体漏洞应当具体问题具体分析。
另一种则是通过研究攻击者的攻击意图从而针对性地进行布防,目前应用最为广泛的方法是通过图的形式建立单步攻击之间的关系。该方法将攻击过程抽象为有向图,节点表示漏洞或者资源,边表示漏洞利用次序或者相应的权限控制。Dacier 等在文献[5]首次提出特权图的方法,通过特权图将黑客获取访问权限的过程可视化,更加便于防御方掌握攻击步骤从而有效应对。高妮等利用CVSS 中的先验知识,通过贝叶斯网络,计算出访问权限或者资源被成功获取的后验概率,从而更加精准地预测攻击者可能的攻击路径。叶云等考虑到攻击图存在复杂且难以理解的问题,提出一种基于攻击图的风险邻接矩阵方法。该方法将风险量化数值以矩阵的形式表示,很好地解决了攻击意图推断中由环和回路带来的重复计算问题。攻防博弈很大程度上在于双方在时间上的争夺,攻击成功概率也取决于单位攻击时间和扫描时间等因素。一方面现有概率攻击图模型为边赋予单一的攻击成功概率,无法直观体现攻防时间的影响,另一方面不同的攻防实施者能力不同会导致攻防时间不同,进而导致攻击成功概率不同,模型在不同网络之间迁移困难。
考虑攻防过程中时间因素影响,以下主要在概率攻击图基础上引入时间因素,研究病毒攻击和防御问题。主要内容包括:1)在概率攻击图的基础上,引入漏洞扫描周期和原子攻击时间,为攻击图中的有向边赋予时间-概率双重权重,构建时间-概率攻击图;2)分析漏洞利用时间和扫描时间对攻击和防御的影响,推导路径攻击成功概率;3)在时间-攻击图的基础上,结合防御收益量化评估方法,分析漏洞利用时间和漏洞扫描时间对防御收益的影响。
概率攻击图是一种将网络攻击具象化的建模方法,能够形象地表示攻击者在攻击过程中的漏洞利用次序,并且有利于防御方发现潜在的攻击路径以便实施针对性防御。网络攻防不仅仅是漏洞的利用和修补,还是时间上的博弈,单一的成功概率无法有效体现这种时间上的竞争,以下主要结合时间因素改进概率攻击图。
在现有攻击图建模中,一般采用树状图的形式表示漏洞利用关系,用节点表示特定漏洞、权限或者资源,用有向边表示攻击行为,其权值为漏洞利用成功率。事实上,时间博弈也是攻防对抗的重要组成部分,对攻击方而言,攻击过程中漏洞利用和提权往往需要一定时间,不同攻击者往往在攻击手法、熟练程度以及经验水平上有所差异。对防御方而言,往往会部署漏洞扫描系统或入侵检测系统,定期检测病毒文件或攻击行为。因此,在攻击图传播建模中,需要综合考虑时间因素对网络攻防的影响。以下,借鉴文献[9]中的攻击图模型,结合上述漏洞利用时间和漏洞扫描周期,为攻击图中的有向边赋予时间-概率复合权重,构建时间-概率攻击图,相关定义如下。
5)T 为防御方的在针对漏洞S或其所在位置部署的漏洞扫描系统的扫描周期,一旦防御方在相应位置扫描到攻击行为(攻击方正在攻击该漏洞或者已经攻击成功),则攻击方攻击失败。
下页图1 为一个概率攻击图,其中包含20 个节点,S和S为初始状态,攻击者可以从这两个节点处发起攻击,S和S为目标节点,攻击者的最终目标即为获取相应节点位置的资源,其余节点为攻击者从起始状态到目标节点过程中可利用的漏洞。该事件概率攻击途中,有向边表示攻击者发起的攻击,边的权值为发起一次攻击的成功概率和耗时,攻击者想要获取目标节点位置的控制权限或者资源,必须从初始节点开始,逐级利用相应漏洞获取权限,将从任意节点开始到目标节点的一组节点序列称为攻击路径并定义如下。
图1 时间攻击图示例
攻击路径代表了一种潜在的攻击方式,根据定义1 和定义2,如图1 所示的时间-概率攻击图中,包含如表1 所示的4 条可用攻击路径。构建时间-概率攻击图并发现其中的攻击路径有助于分析网络潜在威胁,评估安全态势。
表1 可能的攻击路径
在网络攻防过程中,攻击者可以对同一漏洞发起多次攻击,直至成功,但是由于漏洞扫描系统或入侵检测系统的周期性检测,使得攻击者无法无限发起攻击,一旦被发现就会被打断。以下考虑攻击者利用时间和系统扫描时间,计算时间-概率攻击图中的攻击路径成功概率。
当攻击者沿特定路径攻击成功后,攻击者即可获得其需要的目标资源,窃取或破坏网络中的重要信息甚至直接影响关键设备的运行,为了保障网络信息安全和正常运转,防御方往往会根据攻击路径进行布防,以下采用防御授予衡量一个网络的安全状况,防御收益越高代表网络安全状况越好。
引入防御回报(Defense Reward,DR)、防御成本(Defense Cost,DC)和防御收益(Defense Profit,DP)等概念。防御回报表示针对某一攻击策略采取防御策略后防御者的回报情况,防御成本表示采用某一防御策略进行防御所耗费的代价,防御收益是防御回报减去防御成本所得到的结果。三者关系可表述为:
通过部署防御系统定期扫描检测攻击行为可对网络进行保护,具体表现为降低特定攻击路径的攻击成功概率,一般而言路径攻击成功概率,保护效果越好。部署防御系统对某条路径防御成功后的防御收益可按下页表2 所示量化。
表2 防御回报量化表
防御方针对某一攻击路径进行布防,所耗费的成本因布防节点在攻击路径中的位置不同而不同。防御方在攻击路径中的初始节点处进行防御所耗费的成本最高,在越接近目标节点防御成本越低,中间节点依次递减,其到目标节点的最小距离越小,防御成本越低。令防御成本为在[20,40]之间,初始节点的防御成本为90,目标节点的防御成本为10,中间的节点等差分布。
以图1 所示的时间概率攻击图为例,进行了仿真实验,1)模拟了实际攻击情况下时间概率的实际值,验证了时间概率的正确性,分析原子攻击耗时对攻击成功率的影响;2)对比了不同节点处部署防御系统时的防御收益,分析防御系统部署位置和扫描周期对网络安全的影响。
图1 所示时间- 概率攻击图存在表1 所示的多条可能的攻击路径。根据文献[9]及CVSS 评估准则,可得原子攻击成功概率,如表3 所示。
表3 原子攻击成功概率表
假设防御方在S和S部署了防御系统,安全系统扫描周期T=100,给出每一原子攻击的攻击时间,如表4 所示。
表4 原子攻击时间
以攻击路径2 为例,其中可能的攻击情况如表5 所示,经计算,其最大成功概率(攻击方正好在一次扫描结束后发起攻击)为
表5 攻击路径2 攻击情况表
在所有路径上,通过蒙特卡洛方法模拟攻击和扫描过程,每条路径上模拟100 000 次攻击,统计攻击成功次数。图2 所示为沿路径2 击成功的次数随总攻击次数的变化趋势,显然,随着攻击次数的增长,攻击成功频率逐渐接近式(5)所计算的结果。同理可得其他路径的攻击成功概率和成功频率,结果如表6 所示,理论值与实际值能够很好的吻合。结合时间概率攻击图及表6 结果,对比不同路径权值,路径1 上原子攻击单次攻击耗时最短,可在有限时间内发起多次攻击,但其单次成功概率较低,沿该路径的攻击成功率较低;路径2 上的原子攻击单次攻击成功率高,但是其单次攻击耗时较长,限定时间内可发动的攻击次数较少,成功概率也相对较低;路径3 路径最长,攻击成功概率也最低;路径4 中原子攻击单次成功概率和单次攻击耗时均较高,因此,该路径成功概率较高。综上,时间-概率攻击图中,沿任意路径的攻击成功概率主要受相应原子攻击的单次攻击时间、单次攻击成功概率和路径长度的影响,一般说来,单次攻击时间越短,单次攻击成功概率越高、路径越短,相应路径攻击成功概率越高。单次攻击成功概率越高,成功所需次数的期望值也越低;单次攻击耗时越短,有限时间内可发起的攻击次数也越多。因此,单次成功概率越高,攻击耗时越短,攻击时间约充足,攻击成功率越高。
图2 实验结果对比图
表6 攻击路径成功攻击概率表
通过仿真实验对比分析,在图2 所示攻击图的不同位置部署防御系统及不同扫描周期时网络的防御收益,分析防御系统部署位置及扫描周期对网络安全状况的影响。
设扫描周期为100,在不同节点部署防御系统时的不同路径上的期望防御收益如表7 所示。分析表7 可知,不同路径的最佳防御系统部署位置也不完全相同,其中,在路径1、2、3 和5 上部署在起始节点位置时,防御收益最高。这是由于将防御系统部署在路径起始位置时,攻击者从一开始就可以被检测到,在限定时间内需要完成的攻击步骤也最多,对路径攻击成功概率的降低效果最显著,因此,部署在该位置效果较好。在路径4 上部署在节点S时防御收益最高,在该位置部署防御系统时,在路径4 上的攻击成功概率为0.241 5,尽管相比于部署在路径初始位置时的成功概率有大幅提升,但根据表2,该路径仍然被判定为一条相对安全的路径,防御回报较高,而且相对起始节点防御成本较低,因此,在该点部署可能获得较高防御收益。在S、S和S等节点部署防御系统时,防御收益普遍不高,原因在于这些节点距离目标节点过近,在一个扫描周期内,攻击者只需完成一个原子攻击,因此,防御效果较差,但由于其部署成本较低,整体损失也较小。在S、S和S等节点部署防御系统时,能提升多条路径的防御收益。结合图1 所示时间-概率攻击图分析可知,在网络的枢纽位置(多条攻击路径交汇的地方,如S、S和S)不是防御系统,可提升较多路径的防御收益,效果较好。
表7 攻击路径上的防御收益
在部署防御系统,分析不同扫描时间时对路径1 和路径2 的防御收益,结果如图3 所示,仿真结果表明,时间-概率攻击图在其攻击路径上的防御收益与防御系统的扫描周期有关,一般来说,扫描周期越长,攻击方可用时间越长,防御收益也越小网络安全状况越差;扫描周期越短,攻击方可用时间越短,防御收益越高,网络安全状况越好。
图3 不同扫描周期时的防御收益
综上,网络中防御系统的部署位置和扫描周期是影响网络安全状况的重要因素。扫描周期越短,相关路径的防御收益越高,网络安全状况越好。而防御系统的部署位置则需要考虑需要保护的路径和节点进行针对性部署。
通过考虑实际攻防过程当中时间因素的影响,构建率时间-概率攻击图模型,分析了攻击时间和扫描时间对攻击成功率的影响,引入防御收益用于评估网络安全情况。理论分析和仿真结果表明,对攻击方而言,原子攻击成功概率越高,原子攻击时间越短,攻击成功概率越高;对防御方而言,防御收益主要受防御系统部署位置和扫描周期影响。后续研究中将考虑结合其他防御技术,如动态目标防御等,深入研究网络安全评估技术及防御方法。