仇銘陽，賽 煜，王 剛*，孟慶微

（1.空軍工程大學(xué)信息與導(dǎo)航學(xué)院，西安 710077；2.濟南職業(yè)學(xué)院，濟南 250101）

0 引言

隨著網(wǎng)絡(luò)攻防對抗的日益加劇，針對重要工作部門、科研單位等重要企業(yè)級網(wǎng)絡(luò)的APT 攻擊也逐漸增加。但考慮時間、成本和管控水平差異等因素，難以修補所有可能被攻擊方利用的漏洞或后門做到萬無一失。合理地定性定量評估網(wǎng)絡(luò)的安全性能，能為網(wǎng)絡(luò)風(fēng)險可管可控提供理論支持，為防御技術(shù)的部署提供參考，對于保障網(wǎng)絡(luò)空間安全有著重要的理論與實踐意義。

目前針對漏洞攻擊研究主要分為兩種，一種是通過CVSS（Common Vulnerability Scoring System）評分體系將已知漏洞攻防過程量化并通過量化結(jié)果進行風(fēng)險評估從而進行有效防控。這類研究能夠從漏洞復(fù)雜性和可用性等角度對漏洞進行評估，能夠很好地反映漏洞可能造成的風(fēng)險。然而，攻擊過程中，漏洞的利用往往不是孤立的，不同網(wǎng)絡(luò)和不同攻擊模式下，漏洞利用次序和難度也不相同，同一漏洞可能造成的危害也不相同，因此，具體漏洞應(yīng)當(dāng)具體問題具體分析。

另一種則是通過研究攻擊者的攻擊意圖從而針對性地進行布防，目前應(yīng)用最為廣泛的方法是通過圖的形式建立單步攻擊之間的關(guān)系。該方法將攻擊過程抽象為有向圖，節(jié)點表示漏洞或者資源，邊表示漏洞利用次序或者相應(yīng)的權(quán)限控制。Dacier 等在文獻［5］首次提出特權(quán)圖的方法，通過特權(quán)圖將黑客獲取訪問權(quán)限的過程可視化，更加便于防御方掌握攻擊步驟從而有效應(yīng)對。高妮等利用CVSS 中的先驗知識，通過貝葉斯網(wǎng)絡(luò)，計算出訪問權(quán)限或者資源被成功獲取的后驗概率，從而更加精準地預(yù)測攻擊者可能的攻擊路徑。葉云等考慮到攻擊圖存在復(fù)雜且難以理解的問題，提出一種基于攻擊圖的風(fēng)險鄰接矩陣方法。該方法將風(fēng)險量化數(shù)值以矩陣的形式表示，很好地解決了攻擊意圖推斷中由環(huán)和回路帶來的重復(fù)計算問題。攻防博弈很大程度上在于雙方在時間上的爭奪，攻擊成功概率也取決于單位攻擊時間和掃描時間等因素。一方面現(xiàn)有概率攻擊圖模型為邊賦予單一的攻擊成功概率，無法直觀體現(xiàn)攻防時間的影響，另一方面不同的攻防實施者能力不同會導(dǎo)致攻防時間不同，進而導(dǎo)致攻擊成功概率不同，模型在不同網(wǎng)絡(luò)之間遷移困難。

考慮攻防過程中時間因素影響，以下主要在概率攻擊圖基礎(chǔ)上引入時間因素，研究病毒攻擊和防御問題。主要內(nèi)容包括：1）在概率攻擊圖的基礎(chǔ)上，引入漏洞掃描周期和原子攻擊時間，為攻擊圖中的有向邊賦予時間-概率雙重權(quán)重，構(gòu)建時間-概率攻擊圖；2）分析漏洞利用時間和掃描時間對攻擊和防御的影響，推導(dǎo)路徑攻擊成功概率；3）在時間-攻擊圖的基礎(chǔ)上，結(jié)合防御收益量化評估方法，分析漏洞利用時間和漏洞掃描時間對防御收益的影響。

1 時間-概率攻擊圖

概率攻擊圖是一種將網(wǎng)絡(luò)攻擊具象化的建模方法，能夠形象地表示攻擊者在攻擊過程中的漏洞利用次序，并且有利于防御方發(fā)現(xiàn)潛在的攻擊路徑以便實施針對性防御。網(wǎng)絡(luò)攻防不僅僅是漏洞的利用和修補，還是時間上的博弈，單一的成功概率無法有效體現(xiàn)這種時間上的競爭，以下主要結(jié)合時間因素改進概率攻擊圖。

在現(xiàn)有攻擊圖建模中，一般采用樹狀圖的形式表示漏洞利用關(guān)系，用節(jié)點表示特定漏洞、權(quán)限或者資源，用有向邊表示攻擊行為，其權(quán)值為漏洞利用成功率。事實上，時間博弈也是攻防對抗的重要組成部分，對攻擊方而言，攻擊過程中漏洞利用和提權(quán)往往需要一定時間，不同攻擊者往往在攻擊手法、熟練程度以及經(jīng)驗水平上有所差異。對防御方而言，往往會部署漏洞掃描系統(tǒng)或入侵檢測系統(tǒng)，定期檢測病毒文件或攻擊行為。因此，在攻擊圖傳播建模中，需要綜合考慮時間因素對網(wǎng)絡(luò)攻防的影響。以下，借鑒文獻［9］中的攻擊圖模型，結(jié)合上述漏洞利用時間和漏洞掃描周期，為攻擊圖中的有向邊賦予時間-概率復(fù)合權(quán)重，構(gòu)建時間-概率攻擊圖，相關(guān)定義如下。

5）T 為防御方的在針對漏洞S或其所在位置部署的漏洞掃描系統(tǒng)的掃描周期，一旦防御方在相應(yīng)位置掃描到攻擊行為（攻擊方正在攻擊該漏洞或者已經(jīng)攻擊成功），則攻擊方攻擊失敗。

下頁圖1 為一個概率攻擊圖，其中包含20 個節(jié)點，S和S為初始狀態(tài)，攻擊者可以從這兩個節(jié)點處發(fā)起攻擊，S和S為目標節(jié)點，攻擊者的最終目標即為獲取相應(yīng)節(jié)點位置的資源，其余節(jié)點為攻擊者從起始狀態(tài)到目標節(jié)點過程中可利用的漏洞。該事件概率攻擊途中，有向邊表示攻擊者發(fā)起的攻擊，邊的權(quán)值為發(fā)起一次攻擊的成功概率和耗時，攻擊者想要獲取目標節(jié)點位置的控制權(quán)限或者資源，必須從初始節(jié)點開始，逐級利用相應(yīng)漏洞獲取權(quán)限，將從任意節(jié)點開始到目標節(jié)點的一組節(jié)點序列稱為攻擊路徑并定義如下。

圖1 時間攻擊圖示例

攻擊路徑代表了一種潛在的攻擊方式，根據(jù)定義1 和定義2，如圖1 所示的時間-概率攻擊圖中，包含如表1 所示的4 條可用攻擊路徑。構(gòu)建時間-概率攻擊圖并發(fā)現(xiàn)其中的攻擊路徑有助于分析網(wǎng)絡(luò)潛在威脅，評估安全態(tài)勢。

表1 可能的攻擊路徑

2 安全評估方法

2.1 攻擊路徑成功率

在網(wǎng)絡(luò)攻防過程中，攻擊者可以對同一漏洞發(fā)起多次攻擊，直至成功，但是由于漏洞掃描系統(tǒng)或入侵檢測系統(tǒng)的周期性檢測，使得攻擊者無法無限發(fā)起攻擊，一旦被發(fā)現(xiàn)就會被打斷。以下考慮攻擊者利用時間和系統(tǒng)掃描時間，計算時間-概率攻擊圖中的攻擊路徑成功概率。

2.2 網(wǎng)絡(luò)損失分析

當(dāng)攻擊者沿特定路徑攻擊成功后，攻擊者即可獲得其需要的目標資源，竊取或破壞網(wǎng)絡(luò)中的重要信息甚至直接影響關(guān)鍵設(shè)備的運行，為了保障網(wǎng)絡(luò)信息安全和正常運轉(zhuǎn)，防御方往往會根據(jù)攻擊路徑進行布防，以下采用防御授予衡量一個網(wǎng)絡(luò)的安全狀況，防御收益越高代表網(wǎng)絡(luò)安全狀況越好。

引入防御回報（Defense Reward，DR）、防御成本（Defense Cost，DC）和防御收益（Defense Profit，DP）等概念。防御回報表示針對某一攻擊策略采取防御策略后防御者的回報情況，防御成本表示采用某一防御策略進行防御所耗費的代價，防御收益是防御回報減去防御成本所得到的結(jié)果。三者關(guān)系可表述為：

通過部署防御系統(tǒng)定期掃描檢測攻擊行為可對網(wǎng)絡(luò)進行保護，具體表現(xiàn)為降低特定攻擊路徑的攻擊成功概率，一般而言路徑攻擊成功概率，保護效果越好。部署防御系統(tǒng)對某條路徑防御成功后的防御收益可按下頁表2 所示量化。

表2 防御回報量化表

防御方針對某一攻擊路徑進行布防，所耗費的成本因布防節(jié)點在攻擊路徑中的位置不同而不同。防御方在攻擊路徑中的初始節(jié)點處進行防御所耗費的成本最高，在越接近目標節(jié)點防御成本越低，中間節(jié)點依次遞減，其到目標節(jié)點的最小距離越小，防御成本越低。令防御成本為在［20，40］之間，初始節(jié)點的防御成本為90，目標節(jié)點的防御成本為10，中間的節(jié)點等差分布。

3 實驗驗證

以圖1 所示的時間概率攻擊圖為例，進行了仿真實驗，1）模擬了實際攻擊情況下時間概率的實際值，驗證了時間概率的正確性，分析原子攻擊耗時對攻擊成功率的影響；2）對比了不同節(jié)點處部署防御系統(tǒng)時的防御收益，分析防御系統(tǒng)部署位置和掃描周期對網(wǎng)絡(luò)安全的影響。

3.1 路徑攻擊成功率

圖1 所示時間- 概率攻擊圖存在表1 所示的多條可能的攻擊路徑。根據(jù)文獻［9］及CVSS 評估準則，可得原子攻擊成功概率，如表3 所示。

表3 原子攻擊成功概率表

假設(shè)防御方在S和S部署了防御系統(tǒng)，安全系統(tǒng)掃描周期T=100，給出每一原子攻擊的攻擊時間，如表4 所示。

表4 原子攻擊時間

以攻擊路徑2 為例，其中可能的攻擊情況如表5 所示，經(jīng)計算，其最大成功概率（攻擊方正好在一次掃描結(jié)束后發(fā)起攻擊）為

表5 攻擊路徑2 攻擊情況表

在所有路徑上，通過蒙特卡洛方法模擬攻擊和掃描過程，每條路徑上模擬100 000 次攻擊，統(tǒng)計攻擊成功次數(shù)。圖2 所示為沿路徑2 擊成功的次數(shù)隨總攻擊次數(shù)的變化趨勢，顯然，隨著攻擊次數(shù)的增長，攻擊成功頻率逐漸接近式（5）所計算的結(jié)果。同理可得其他路徑的攻擊成功概率和成功頻率，結(jié)果如表6 所示，理論值與實際值能夠很好的吻合。結(jié)合時間概率攻擊圖及表6 結(jié)果，對比不同路徑權(quán)值，路徑1 上原子攻擊單次攻擊耗時最短，可在有限時間內(nèi)發(fā)起多次攻擊，但其單次成功概率較低，沿該路徑的攻擊成功率較低；路徑2 上的原子攻擊單次攻擊成功率高，但是其單次攻擊耗時較長，限定時間內(nèi)可發(fā)動的攻擊次數(shù)較少，成功概率也相對較低；路徑3 路徑最長，攻擊成功概率也最低；路徑4 中原子攻擊單次成功概率和單次攻擊耗時均較高，因此，該路徑成功概率較高。綜上，時間-概率攻擊圖中，沿任意路徑的攻擊成功概率主要受相應(yīng)原子攻擊的單次攻擊時間、單次攻擊成功概率和路徑長度的影響，一般說來，單次攻擊時間越短，單次攻擊成功概率越高、路徑越短，相應(yīng)路徑攻擊成功概率越高。單次攻擊成功概率越高，成功所需次數(shù)的期望值也越低；單次攻擊耗時越短，有限時間內(nèi)可發(fā)起的攻擊次數(shù)也越多。因此，單次成功概率越高，攻擊耗時越短，攻擊時間約充足，攻擊成功率越高。

圖2 實驗結(jié)果對比圖

表6 攻擊路徑成功攻擊概率表

3.2 防御收益對比

通過仿真實驗對比分析，在圖2 所示攻擊圖的不同位置部署防御系統(tǒng)及不同掃描周期時網(wǎng)絡(luò)的防御收益，分析防御系統(tǒng)部署位置及掃描周期對網(wǎng)絡(luò)安全狀況的影響。

設(shè)掃描周期為100，在不同節(jié)點部署防御系統(tǒng)時的不同路徑上的期望防御收益如表7 所示。分析表7 可知，不同路徑的最佳防御系統(tǒng)部署位置也不完全相同，其中，在路徑1、2、3 和5 上部署在起始節(jié)點位置時，防御收益最高。這是由于將防御系統(tǒng)部署在路徑起始位置時，攻擊者從一開始就可以被檢測到，在限定時間內(nèi)需要完成的攻擊步驟也最多，對路徑攻擊成功概率的降低效果最顯著，因此，部署在該位置效果較好。在路徑4 上部署在節(jié)點S時防御收益最高，在該位置部署防御系統(tǒng)時，在路徑4 上的攻擊成功概率為0.241 5，盡管相比于部署在路徑初始位置時的成功概率有大幅提升，但根據(jù)表2，該路徑仍然被判定為一條相對安全的路徑，防御回報較高，而且相對起始節(jié)點防御成本較低，因此，在該點部署可能獲得較高防御收益。在S、S和S等節(jié)點部署防御系統(tǒng)時，防御收益普遍不高，原因在于這些節(jié)點距離目標節(jié)點過近，在一個掃描周期內(nèi)，攻擊者只需完成一個原子攻擊，因此，防御效果較差，但由于其部署成本較低，整體損失也較小。在S、S和S等節(jié)點部署防御系統(tǒng)時，能提升多條路徑的防御收益。結(jié)合圖1 所示時間-概率攻擊圖分析可知，在網(wǎng)絡(luò)的樞紐位置（多條攻擊路徑交匯的地方，如S、S和S）不是防御系統(tǒng)，可提升較多路徑的防御收益，效果較好。

表7 攻擊路徑上的防御收益

在部署防御系統(tǒng)，分析不同掃描時間時對路徑1 和路徑2 的防御收益，結(jié)果如圖3 所示，仿真結(jié)果表明，時間-概率攻擊圖在其攻擊路徑上的防御收益與防御系統(tǒng)的掃描周期有關(guān)，一般來說，掃描周期越長，攻擊方可用時間越長，防御收益也越小網(wǎng)絡(luò)安全狀況越差；掃描周期越短，攻擊方可用時間越短，防御收益越高，網(wǎng)絡(luò)安全狀況越好。

圖3 不同掃描周期時的防御收益

綜上，網(wǎng)絡(luò)中防御系統(tǒng)的部署位置和掃描周期是影響網(wǎng)絡(luò)安全狀況的重要因素。掃描周期越短，相關(guān)路徑的防御收益越高，網(wǎng)絡(luò)安全狀況越好。而防御系統(tǒng)的部署位置則需要考慮需要保護的路徑和節(jié)點進行針對性部署。

4 結(jié)論

通過考慮實際攻防過程當(dāng)中時間因素的影響，構(gòu)建率時間-概率攻擊圖模型，分析了攻擊時間和掃描時間對攻擊成功率的影響，引入防御收益用于評估網(wǎng)絡(luò)安全情況。理論分析和仿真結(jié)果表明，對攻擊方而言，原子攻擊成功概率越高，原子攻擊時間越短，攻擊成功概率越高；對防御方而言，防御收益主要受防御系統(tǒng)部署位置和掃描周期影響。后續(xù)研究中將考慮結(jié)合其他防御技術(shù)，如動態(tài)目標防御等，深入研究網(wǎng)絡(luò)安全評估技術(shù)及防御方法。