扩展马尔科夫链在网络安全评估中的应用

连响

(重庆市九龙坡区精神卫生中心， 重庆 400052)

0 引言

近几年来，计算机网络普遍应用于人们生活和工作的方方面面。现代网络安全评估模型成为计算安全领域研究的重点话题[1]。目前常见的网络安全评估模型包括攻击图模型、特权图模型、攻击网模型、攻击树模型[2]。攻击图模型是最常使用的网络安全分析和评估方法，可以很好地体现系统行为和攻击行为的规律与变化趋势[3]。鉴于马尔科夫链在网络安全评估方面取得的较大成就，且该理论结合攻击图是目前分析网络安全的热点方法。此次研究提出利用扩展马尔科夫链攻击图模型进行网络安全评估，引入状态转移的权重改进优化马尔科夫链攻击图模型，并量化分析网络系统损失风险和攻击序列成功概率，旨在解决现如今网络安全量化主观特性显著的问题。

1 面向网络安全评估的攻击图模型

1.1 基于扩展马尔科夫链的攻击图模型构建

攻击图依据不同模型可以分为属性攻击图和状态攻击图。状态攻击图中每个状态节点涵盖全部的网络安全信息，并不适用于状态迁移次数增加等情况。属性攻击图是指一种对攻击者可能执行的攻击行为进行预测的手段，该方法反映攻击路径的类型主要分为两类，其一展现出网络系统的即时状态，其二为判断原子攻击是否满足其发生的需要[4]。攻击图模型以攻击者为研究对象，在假定系统和网络中均存在脆弱点的条件下，通过模拟攻击者的行为，可将决定攻击成功的先决条件与攻击过程系统状态合为一张有向图。有向图能够展示网络脆弱点和网络状态间的相互关系，有利于网络安全的评估和预测。研究使用的攻击图自动生成框架如图1所示。网络安全评估模型是指在完成系统漏洞扫描后将配置信息、主机和服务、网络拓扑的结构等数据作为信息输入，在完成模型建设的基础上进行评估和分析。

图1 攻击图的自动生成框架

当网络通过脆弱点受到攻击时，通常与攻击者当前状态有关，这与马尔科夫性质存在一定的相似性。马尔科夫链是指离散时间和空间状态的马尔科夫过程，一般可用条件分布函数指代。假定状态空间为I={a1,a2,…}，n和r均为正整数且0≤t1

马尔科夫链的构建囊括系统状态转移概率矩阵P与系统状态空间I，其中I是指构造系统模型结构，组成部分为系统状态以及连接边。系统状态空间可以用指代I={Ii|i∈{1,2,…,n}}，n是指状态的总数，状态转移矩阵可以用P={p(i,j)|i.j∈{1,2,…,n}}表示。

扩展马尔科夫链通过马尔科夫链，来反映攻击图的原子攻击方法和状态转移的相互关系，以便于分析攻击图[5]。研究建立扩展马尔科夫链攻击图模型进行网络安全分析，具体获取步骤如下所示，首先确定网络系统位于某种状态，攻击者将会通过一定概率对网络系统进行选性动作攻击，然后将状态转移概率值填写到攻击图对应的边上。扩展马尔科夫链可用三元组MC_Ext=(I,P,A)表示。系统状态转移概率矩阵用P指代，系统状态空间用I指代，原子攻击集合用A指代，同时也可表示为有向图。系统状态空间中状态表示节点，边上的字母是指攻击方法，边上的权值是指系统状态转移概率矩阵的状态转移概率。在任一扩展马尔科夫链中，假定状态空间与原子攻击方法集合分别为I={1,2,3}与A={A1,A2,A3,A4,A5,A6,A7}，则状态转移概率矩阵可以用式(1)表示:

(1)

扩展马尔科夫链适应的有向图如图2所示，每条边上展示转移概率和攻击动作，同时每个节点所有转移状态的概率之和为1，它也可以指扩展马尔科夫链攻击图模型的示意图。

图2 扩展马尔科夫链的攻击图模型

1.2 攻击图网络安全评估方法中状态转移概率的确定

研究通过计算原子攻击难度来获取状态转移权重确定的转移概率，进而避免传统主观经验确定状态转移的局限性。研究使用通用脆弱点评价体系(CVSS)判断网络系统漏洞严重情况，它可以量化安全漏洞的严重情况[6]。CVSS包括基本评价、时效性评价、环境评价，整体评分通过数值[1,10]表示，该值越大，则漏洞对系统造成的威胁越大。基本评估指标是评价网络安全漏洞的本身属性，这些属性不会随着用户环境以及时间变化而发生变动。该基本评估指标具体涵盖信息运用价值(AI)、信息整体性对网络安全的影响(II)、信息保密性(CI)、身份确认(Au)、攻击难易程度(AC)、攻击线路(AV)。表1展示基本评估指标以及相对应的等级评分，网络安全基本评估VB的计算表达式如式(2):

表1 基本评估指标和相应等级评分

VB=(0.6×M+0.4×BE-1.5)×f(M)

(2)

式(2)中，公式参数满足以下条件。

(3)

式中，CI表示指标的机密性，II表示指标的完整性，AI则表示可用性，AV与AC分别表示攻击的路径与复杂度，Au表示身份认证。

时效性评估指标是评估与时间相关的漏洞属性，涵盖内容包括运用价值(TE)、维修方法的可靠性(RL)、报告可靠性(RC),见图2。作为一种可选指标，该评估指标的等级具有未确定性。若选用该等级，则说明此项时效性评价指标不会引起安全漏洞来影响最终评分值，取值为1。网络时效性评估VT的计算表达式为

VT=VB×TE×RL×RC

(4)

表2 时效性评估指标以及相应等级评分

环境评估指标是评估环境不同所造成具有差异的危害程度的漏洞属性，涵盖内容包括潜在的损害潜力(CDP)、可用性需求(AR)目标分布(TD)、保密性需求(CR)、整体性需求(IR)。网络安全环境评估的计算表达式为

Vε=(AT+(10-AT)×CDP)×TD

(5)

式(5)中，参数满足式(6)的要求。

(6)

式(6)中参数含义与式(3)中保持一致。环境评估指标也是一种可选指标，等级具有未确定性。除了不确定等级外，可用性需求、整体性需求、可用性需求均分为低中高，低中高等级取值均相同，依次为0.5、1、1.51。潜在的损害潜力指标等级分为无、低、低—高、中—高、高，相应的取值为0、0.1、0.3、0.4、0.5。

在确定脆弱点攻击难度的情况后，利用攻击难度计算某脆弱点利用原子e一次攻击的难易程度Dif(e)，计算式为式(7)。

Dif(e)=AV×AC×Au

(7)

设定脆弱点的权重值为E(v)，攻击选择依据原则如下所示。攻击者选择脆弱点的依据为脆弱点的权重，该值越大，则攻击选择的概率越小。选择概率的定义如下，设置状态空间为I={I0,I1,…,In}，Aj为状态Ii转移至状态Ij的方法，相应的权重值为Ej，A1,A2,…,Am分别为Ii转移至其他状态的方法，相应的权重的值为E1,E2,…,Em，则转移概率的计算式为

(8)

依据上述得到的扩展马尔科夫链的巧击图模型，能评估潜在网络的脆弱性情况，但不能定量评价网络系统安全情况，研究优化网络系统损失风险及攻击序列成功概率化计算公式。假定攻击序列Lk由个攻击原子n组成，可以表示为A1→A2→…→An则攻击序列的成功概率表达式为

(9)

式中，p(Ai)是Ai的自身概率。成功概率最高的攻击序列即为最容易受到攻击的序列，相关的脆弱点极易引发网络安全事件。第i状态节点的损失评分Θi的计算式为

Θi=10.41×(1-(1-CI)×(1-II)×(1-AI))

(10)

攻击序列综合评分值Θ为总损失总损失期望值，计算式为

(11)

p0,i是指初始状态到第i状态的成功概率。

2 扩展马尔科夫链攻击图模型的网络安全分析

2.1 扩展马尔科夫链攻击图模型应用分析

实验首先验证扩展马尔科夫链攻击图模型和改进扩展马尔科夫链攻击图模型的性能，测试处理器为Intel(R)Core(TM)2DuoCPU，内存大小为4 GB。在网络拓扑结构中任意增加脆弱点数、连接性、主机数，对比生成攻击图的运行时间和内存占用比，结果如图3(a)和3(b)所示。从图3(a)可以看出，网络节点数低于20 000时，改进前后扩展马尔科夫链生成攻击图的运行时间均在350 s以内，因此两种方法在大规模网络中均适用。两种方法的运行时间随着节点数的增加而增加，主机数量低于6 000时，两种方法的运行时间没有太大的区别，而主机数量高于6 000时，优化后方法的运行效率更高，其运行时间比优化前节省30 s左右。从图3(b)可以看出，两种方法的内存占用数随着节点数增加而增加，但优化后的方法占用内存空间更少。当网络节点数得到14 000时，内存占用数已经和系统内存数相同。即使持续增加节点数，系统所占用的内存数也不会发生较大的改变。

图3 扩展马尔科夫链攻击图模型性能优势

实验仿真网络环境包括host0-host6七台主机，分别为host0、Web服务器、DNS服务器、FTP服务器、数据库服务器、Windows主机、Linux主机，攻击者具备host0的用户权限。经Nessus漏洞扫描器获取主机的漏洞信息。

扩展马尔科夫链状态空间由I={I1,I2,I3,I4,I5,I6,I7}组成，分别指代主机0-主机6不安全。扩展马尔科夫链方法空间为A={A1,A2,A3,A4,A5,A6,A7,A8,A9}，分别指I1转移到I2、I1转移到I3、I3转移到I2、I2转移到I6、I3转移到I7、I6转移到I4、I7转移到I4、I6转移到I5、I7转移到I5的九种方法，相应的脆弱点为V1-V9。经过脆弱点权重获得转移概率，最终得到状态转移矩阵如下表3所示。

表3 状态转移矩阵

2.2 扩展马尔科夫链攻击图模型应用的量化评估结果

目标主机4存在攻击序列L1:A1→A4→A8;L2:A2→A5→A9;L3:A2→A3→A4→A8。目标主机3存在L4:A1→A4→A6;L5:A2→A5→A7;L6:A2→A3→A4→A6。图4(a)和图4(b)分别展示每个原子攻击自身的概率以及每个攻击序列的成功概率。从数据可知，攻击序列L4被攻击者攻击的概率最大，因此V1、V4、V6三个脆弱点被攻击点攻击的可能性相较于其他脆弱点更大，需要网络安全管理人员格外保护。

(a) 不同原子攻击自身概率

每个攻击序列相应的状态转移序列如下所示，SL1:I1→I2→I6→I5;SL2:I1→I3→I7→I5;SL3:I1→I3→I2→I6→I6;SL4:I1→I2→I6→I4;SL5:I1→I3→I7→I4;SL6:I1→I3→I2→I6→I4。SL1攻击序列中，状态节点I1、I2、I6、I5的损失评分分别为0、10、10、2.865，相应的成功概率1、0.5、0.5、0.221 25，攻击序列综合评分值为10.63，结果如图5(a)所示。SL2攻击序列综合评分值为7.868，SL3攻击序列综合评分值为10.89，SL4攻击序列综合评分值为11.8，SL5攻击序列综合评分值8.034，SL6攻击序列综合评分值11.53，如图5(b)所示。因此，SL6攻击序列的网络系统损失最大，该序列格外重视。

(a) SL1攻击序列损失评分和成功概率

3 总结

针对现阶段网络安全评估技术存在准确性低、耗时长等问题，此次研究引入扩展马尔科夫链攻击图模型评价计算机网络安全，将原子攻击难度作为状态转移的判断标准，并利用CVSS计算攻巧序列成功概率和巧络系统损失风险。改进前后扩展马尔科夫链生成攻击图的运行时间，均会随着节点数的增加而增加。主机数量高于6 000时，优化后方法的运行时间比优化前节省30 s左右。当网络节点数达到14 000时，内存占用数不会出现明显的变化。这显示出优化后的拓展马尔科夫链攻击图模型适用于主机数量较多的情况下，当节点的数量更为庞大时，此次课题实验提出的模型表现出更高的评估效率。每个原子攻击自身的概率以及每个攻击序列的成功概率显示，攻击序列L4被攻击者攻击的概率最大，因此V1、V4、V6需要格外保护。SL1攻击序列综合评分值为10.63SL2攻击序列综合评分值为7.868，SL3攻击序列综合评分值为10.89，SL4攻击序列综合评分值为11.8，SL5攻击序列综合评分值8.034，SL6攻击序列综合评分值11.53。这证明了扩展马尔科夫链攻击图模型在网络安全评估的各项指标中，均表现出较为显著的优势，具有优越的评估效果。尽管此次课题实验有幸成功实现了对马尔科夫链攻击图模型的优化与扩展，但其中仍然存在综合评分值与成功概率较低的攻击序列，要大幅提高该模型在网络安全评估中的应用价值，需要对相关序列进行持续的优化，这也是未来的主要研究方向之一。