蟻佳才, 劉 斌, 姚 莉, 趙文濤

(1. 國防科技大學(xué)計算機學(xué)院, 湖南 長沙 410073;2. 國防科技大學(xué)信息系統(tǒng)工程重點實驗室, 湖南 長沙 410073)

0 引 言

太空資產(chǎn)是國家和國際基礎(chǔ)設(shè)施的重要組成部分。近年來,太空和網(wǎng)絡(luò)空間軍事化呈加劇的趨勢。天基計算平臺和軟件定義衛(wèi)星技術(shù)廣泛采用開放數(shù)據(jù)接口和通用網(wǎng)絡(luò)技術(shù),給衛(wèi)星應(yīng)用提供了可編程和網(wǎng)絡(luò)業(yè)務(wù)定制的便利,同時也帶來了網(wǎng)絡(luò)安全威脅。衛(wèi)星復(fù)雜的生產(chǎn)制造、運維和使用流程中存在多個網(wǎng)絡(luò)安全薄弱環(huán)節(jié),使得衛(wèi)星更易被敵人利用和破壞。如何做好態(tài)勢理解,及時發(fā)現(xiàn)可能存在的衛(wèi)星網(wǎng)絡(luò)安全漏洞,分析其影響并提出相應(yīng)的緩解措施,是對衛(wèi)星網(wǎng)絡(luò)安全進行全方位態(tài)勢感知的核心步驟,也是保障衛(wèi)星網(wǎng)絡(luò)安全待解決的首要問題。

衛(wèi)星涉及國家重大戰(zhàn)略,造價高,其關(guān)注度和價值相對更高,與一般網(wǎng)絡(luò)空間不同,衛(wèi)星網(wǎng)絡(luò)空間存在以下特點:從防御層面,攻擊者只要知道頻率和軌道等參數(shù),就可以通過一定的手段控制衛(wèi)星,因此,提出衛(wèi)星網(wǎng)絡(luò)安全防御的緩解措施更加困難;從漏洞發(fā)現(xiàn)和應(yīng)對層面,衛(wèi)星組件保密級別更高,漏洞較少、發(fā)現(xiàn)更困難;由于其自身特點,衛(wèi)星網(wǎng)絡(luò)安全防御除了要考慮攻擊者的攻擊手段造成網(wǎng)絡(luò)域的影響外,還需要分析對衛(wèi)星物理域可能造成的影響,如衛(wèi)星姿態(tài)和軌道控制的變化。

本文在衛(wèi)星網(wǎng)絡(luò)空間領(lǐng)域引入態(tài)勢理解的概念。態(tài)勢理解是態(tài)勢感知的核心,是在大量數(shù)據(jù)信息基礎(chǔ)上,通過多種方式,如本文提出的基于知識推理的方法,定性或定量分析當(dāng)前網(wǎng)絡(luò)的薄弱環(huán)節(jié),分析其影響,并提出相應(yīng)的緩解措施。

本文提出的態(tài)勢理解分析方法利用衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解本體(ontology of cyber situational understanding for satellite, OntoCSU4Sat)和構(gòu)建的規(guī)則,對衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解知識圖譜(knowledge graph of cyber situational understanding for satellite, KGCSU4Sat)進行推理,自動發(fā)現(xiàn)衛(wèi)星可能存在的網(wǎng)絡(luò)安全漏洞,分析影響,并提出有效的緩解措施。最后,通過一個案例驗證了該方法的正確性和有效性。

本文提出基于知識推理自動發(fā)現(xiàn)重點衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解分析方法,可為太空防御戰(zhàn)略提供重要的技術(shù)支撐,為我國天基資產(chǎn)保護提供決策參考。本文的貢獻主要包括3個方面:

(1) 提出衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解分析所要回答的問題,利用衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解本體,構(gòu)建了態(tài)勢理解推理規(guī)則,為衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解自動推理分析提供了領(lǐng)域知識;

(2) 提出基于知識圖譜和本體推理的衛(wèi)星網(wǎng)絡(luò)態(tài)勢理解分析方法,基于本體從知識圖譜大數(shù)據(jù)中推理發(fā)現(xiàn)重點衛(wèi)星的網(wǎng)絡(luò)安全漏洞和薄弱環(huán)節(jié),以及可能的影響和相應(yīng)的緩解措施;

(3) 通過一個案例,驗證該方法的正確性和有效性。本文的案例數(shù)據(jù)和知識庫可在如下鏈接獲取:https:∥github.com/Jiacai-Yi/SCSU-KR。

1 相關(guān)研究工作

衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解分析,主要包括網(wǎng)絡(luò)相關(guān)環(huán)境(如星載計算機、操作系統(tǒng)、CPU及其架構(gòu))的分析、攻擊鏈(如漏洞、弱點、攻擊模式、影響、緩解措施)的分析以及衛(wèi)星控制(如軌道和姿態(tài)控制)的分析?；谥R實現(xiàn)衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解分析,相關(guān)工作主要包括網(wǎng)絡(luò)態(tài)勢理解相關(guān)知識庫、基于知識的網(wǎng)絡(luò)態(tài)勢理解方法和空間態(tài)勢理解等方面,以下是對相關(guān)工作的調(diào)研分析。

1.1 網(wǎng)絡(luò)態(tài)勢理解相關(guān)知識庫

由于一些衛(wèi)星上的星載計算機使用通用網(wǎng)絡(luò)技術(shù),因此,有關(guān)通用的網(wǎng)絡(luò)安全態(tài)勢理解知識庫可作為分析衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解的知識支撐。

目前,針對網(wǎng)絡(luò)安全防御,出現(xiàn)了多個相關(guān)的知識圖譜和數(shù)據(jù)庫,如網(wǎng)絡(luò)空間對抗戰(zhàn)技術(shù)通用知識ATT&CK、網(wǎng)絡(luò)安全知識圖譜、通用攻擊模式枚舉和分類(common attack pattern enumeration and classification, CAPEC)、通用弱點枚舉(common weakness enumeration, CWE)、通用平臺枚舉(common platform enumeration, CPE)、通用漏洞評分系統(tǒng)(common vulnerability scoring system, CVSS)和通用漏洞披露(common vulnerabilities and exposures, CVE)等。將這些知識關(guān)聯(lián)起來,可以檢索平臺上可能存在的弱點和風(fēng)險、針對弱點的攻擊模式以及相應(yīng)的緩解措施。

對于網(wǎng)絡(luò)空間漏洞發(fā)現(xiàn),目前已有研究者構(gòu)建了基于知識的相關(guān)本體。Fenz等提出了信息安全領(lǐng)域的通用概念本體,為信息安全領(lǐng)域提供了一個模型和知識庫,但是該本體并沒有對漏洞等底層概念進行建模。統(tǒng)一網(wǎng)絡(luò)安全本體(unified cybersecurity ontology, UCO)建模了網(wǎng)絡(luò)安全分析的上層概念體系,集成了信息共享和交換的常用網(wǎng)絡(luò)安全標準,能表示來自不同網(wǎng)絡(luò)安全系統(tǒng)的異構(gòu)數(shù)據(jù)和知識,可為網(wǎng)絡(luò)空間態(tài)勢感知提供上層框架。除此之外,研究者開發(fā)了網(wǎng)絡(luò)安全核心概念本體和網(wǎng)絡(luò)安全本體關(guān)聯(lián)上下文觀察的態(tài)勢與威脅理解(situation and threat understanding by correlating contextual observations, STUCOO),將網(wǎng)絡(luò)安全領(lǐng)域內(nèi)的多源情報關(guān)聯(lián)起來。上述這些本體主要用于信息共享、交換以及統(tǒng)一標準,難以支撐自動化的網(wǎng)絡(luò)態(tài)勢分析,更難以直接應(yīng)用于衛(wèi)星網(wǎng)絡(luò)的態(tài)勢理解。

1.2 基于知識的網(wǎng)絡(luò)態(tài)勢理解

網(wǎng)絡(luò)態(tài)勢理解的核心環(huán)節(jié)是攻擊鏈分析。對于網(wǎng)絡(luò)空間攻擊鏈分析,比較成熟的標準包括結(jié)構(gòu)化威脅信息表達(structured threat information expression,STIX)和可信情報自動交換(trusted automated exchange of intelligence information,TAXII),其中就包括了攻擊、漏洞、弱點、攻擊模式、影響以及響應(yīng)措施等重要概念。但是這些模型依然沒有或缺少關(guān)鍵的規(guī)則進行關(guān)聯(lián),并且,因為衛(wèi)星網(wǎng)絡(luò)的獨特性,這些本體不可直接應(yīng)用于衛(wèi)星網(wǎng)絡(luò)態(tài)勢理解。針對現(xiàn)有研究工作的不足,本文在OntoCSU4Sat和KGCSU4Sat基礎(chǔ)上,結(jié)合衛(wèi)星特點,挖掘?qū)＜医?jīng)驗知識,重構(gòu)了態(tài)勢理解規(guī)則,使其更適應(yīng)衛(wèi)星網(wǎng)絡(luò)態(tài)勢理解。

近年來,Narayanan等基于UCO開發(fā)了一個基于本體的網(wǎng)絡(luò)攻擊檢測工具。該系統(tǒng)整合不同威脅情報源的知識和實時檢測數(shù)據(jù),以知識圖譜的形式進行管理和推理;Vale等提出了一種管理安全模式的本體方法,其中包括200多種詳細的安全模式,并使用Web本體語言(Web ontology language, OWL)實現(xiàn)了該本體;Brazhuk則基于文獻[19]實現(xiàn)了一個本體論驅(qū)動的威脅建?？蚣?ontology-driven threat modelling, OdTM),該框架可將不同領(lǐng)域知識形式化為特定領(lǐng)域的威脅模型,并通過推理找出對策;Syed提出了一個網(wǎng)絡(luò)安全漏洞本體(cybersecurity vulnerability ontology, CVO),并基于該本體設(shè)計了一個網(wǎng)絡(luò)情報警報(cyber intelligence alert, CIA)系統(tǒng),根據(jù)推理規(guī)則,CIA系統(tǒng)會生成有關(guān)漏洞和對策的信息。基于知識的方法結(jié)合特定規(guī)則能更有效更有針對性地進行輔助決策,并且有助于適應(yīng)情景的變化,如攻擊手段變化等。因此,本文將基于知識的方法引入衛(wèi)星網(wǎng)絡(luò)態(tài)勢理解,并驗證其有效性。

1.3 空間態(tài)勢理解

目前,太空領(lǐng)域物理域態(tài)勢理解已經(jīng)有較多的研究,相關(guān)研究主要關(guān)注衛(wèi)星物理環(huán)境的安全,包括空間目標的跟蹤、編目和監(jiān)視等,可為衛(wèi)星網(wǎng)絡(luò)態(tài)勢理解的物理域建模提供領(lǐng)域概念及概念間的關(guān)系。例如,空間目標識別本體OntoStar建模了衛(wèi)星分類、軌道、載荷、承包商等領(lǐng)域概念及概念間的關(guān)系,可為本文建?？臻g態(tài)勢理解和衛(wèi)星網(wǎng)絡(luò)態(tài)勢對物理域的影響提供了領(lǐng)域基本概念。

目前,對衛(wèi)星網(wǎng)絡(luò)安全問題的研究仍處于起步階段。Cao等從國家安全、網(wǎng)絡(luò)安全和設(shè)備安全3個方面總結(jié)了13項衛(wèi)星網(wǎng)絡(luò)安全問題,其中提出的許多安全問題,目前尚沒有明確的監(jiān)管體系和科學(xué)完善的檢測或預(yù)防措施。本文提出了衛(wèi)星網(wǎng)絡(luò)態(tài)勢理解的概念,探索了一種基于知識的衛(wèi)星網(wǎng)絡(luò)態(tài)勢理解分析方法并驗證了可行性,可實現(xiàn)衛(wèi)星網(wǎng)絡(luò)態(tài)勢理解并為預(yù)防衛(wèi)星網(wǎng)絡(luò)安全問題提供緩解措施。

2 基于知識的衛(wèi)星網(wǎng)絡(luò)態(tài)勢理解

本文提出基于知識的衛(wèi)星網(wǎng)絡(luò)態(tài)勢理解方法的總體框架如圖1所示。首先,該方法提出實現(xiàn)衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解需要回答的一些關(guān)鍵性問題;構(gòu)建了衛(wèi)星網(wǎng)絡(luò)態(tài)勢理解本體OntoCSU4Sat,其中包含空間態(tài)勢理解和網(wǎng)絡(luò)態(tài)勢理解兩大概念體系;然后,基于OntoCSU4Sat,從專家經(jīng)驗中抽取、構(gòu)建推理規(guī)則,其主要包括漏洞發(fā)現(xiàn)、影響分析和應(yīng)對措施3種規(guī)則;然后結(jié)合數(shù)據(jù)源,形成衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解知識圖譜KGCSU4Sat;最后,提出基于本體的衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解分析方法,在OntoCSU4Sat和KGCSU4Sat上進行知識推理,實現(xiàn)自動化的衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解,以發(fā)現(xiàn)可能存在的網(wǎng)絡(luò)安全漏洞和薄弱環(huán)節(jié),并獲得相應(yīng)的緩解措施。

圖1 基于知識的衛(wèi)星網(wǎng)絡(luò)態(tài)勢理解方法的總體框架Fig.1 General framework for a knowledge-based approach to satellite network situational understanding

2.1 面向衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解的能力問題

針對衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解,本文根據(jù)其定義,要求態(tài)勢理解系統(tǒng)具備回答如下關(guān)鍵性問題的能力(以下稱這些問題為能力問題)。

2.1.1 針對星載計算機,分析存在漏洞和弱點

星載計算機運行的軟硬件中漏洞發(fā)現(xiàn)問題。衛(wèi)星及其地面系統(tǒng)越來越多地使用特定專用軟件的計算機,一些星載計算機采用開源操作系統(tǒng)或基于Unix或Linux等操作系統(tǒng)開發(fā)的系統(tǒng),網(wǎng)絡(luò)通信也與其他一般的網(wǎng)絡(luò)系統(tǒng)相同。另外,一些衛(wèi)星制造商為降低制造成本,在一些組件中使用現(xiàn)成的技術(shù),例如,基于開源代碼開發(fā)衛(wèi)星操作系統(tǒng)或插件。

漏洞與漏洞之間的關(guān)聯(lián)性問題。漏洞與漏洞之間可能存在同源、因果等關(guān)聯(lián)關(guān)系。例如,一個漏洞可作為另一個漏洞的攻擊前提,如獲得某一個漏洞所需的特權(quán)。對漏洞關(guān)系的建模分析,有助于更全面地進行態(tài)勢理解。

2.1.2 針對網(wǎng)絡(luò)漏洞,分析和評估潛在絡(luò)攻擊的模式、流程、影響

對于特定網(wǎng)絡(luò)漏洞,與之相關(guān)聯(lián)的攻擊模式和影響問題。網(wǎng)絡(luò)漏洞會被攻擊者利用,破壞數(shù)據(jù)或?qū)е滦l(wèi)星失效,嚴重會使太空星網(wǎng)遭受毀滅性破壞。如奪取衛(wèi)星控制權(quán),改變衛(wèi)星姿態(tài)、軌道,撞擊星網(wǎng)中其他衛(wèi)星或空間目標,造成惡性循環(huán)。通過分析網(wǎng)絡(luò)漏洞潛在的攻擊模式以及該漏洞或攻擊可能造成的影響,為提出緩解措施提供參考,可進一步提高衛(wèi)星網(wǎng)絡(luò)的態(tài)勢理解能力。

攻擊模式之間的關(guān)聯(lián)性問題。CAPEC數(shù)據(jù)庫從攻擊機制和攻擊領(lǐng)域?qū)?24種攻擊模式分別分成9大類和6大類。對于某種攻擊模式的緩解措施,可參考其相關(guān)聯(lián)的攻擊模式的緩解措施,為決策提供知識基礎(chǔ)。

通過已有的攻擊記錄,推理出潛在的安全薄弱環(huán)節(jié)。對于已經(jīng)發(fā)生過的攻擊,應(yīng)該通過相應(yīng)的組件對其詳細信息以知識庫等形式進行記錄,分析漏洞、攻擊、影響和應(yīng)對的攻擊鏈,可持續(xù)豐富現(xiàn)有的態(tài)勢理解系統(tǒng)。

2.1.3 針對潛在攻擊,結(jié)合衛(wèi)星特點,制定可采取的緩解措施

對于潛在的漏洞,推理潛在的攻擊,進而制定緩解措施,這在一般的網(wǎng)絡(luò)空間也同樣適用,而對于衛(wèi)星網(wǎng)絡(luò)來說,還需結(jié)合衛(wèi)星的自身特點。不同于地面上一般的通用計算機網(wǎng)絡(luò)攻擊與防御,衛(wèi)星網(wǎng)絡(luò)系統(tǒng)由于其自身的特殊性,使得不同的漏洞導(dǎo)致的后果更加復(fù)雜和不可控。例如,一顆衛(wèi)星需要通過地面工作站進行軌道和姿態(tài)控制,對于某些國家來說,其地面控制中心只能在一天中某個時間窗口進行有效操作,那么如果在這個時間窗口內(nèi)某個漏洞造成控制系統(tǒng)癱瘓或啟動故障,則該衛(wèi)星可能導(dǎo)致一系列的影響:在一段時間后,軌道偏移,衛(wèi)星失控;衛(wèi)星姿態(tài)不能進行有效控制,導(dǎo)致太陽能板無法為衛(wèi)星繼續(xù)提供運行能量;漏洞被攻擊者利用,控制權(quán)喪失,該衛(wèi)星被攻擊者利用或破壞。

2.2 衛(wèi)星網(wǎng)絡(luò)態(tài)勢理解本體與知識圖譜

OntoCSU4Sat和KGCSU4Sat作為本文提出的衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解分析方法的基礎(chǔ),本節(jié)主要從概念體系、形式化描述等方面對兩者進行簡單描述。

OntoCSU4Sat建模了衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解分析所涉及的上層概念及其之間的關(guān)系,涉及空間態(tài)勢理解和網(wǎng)絡(luò)空間安全兩個領(lǐng)域,包括衛(wèi)星、軌道、衛(wèi)星的應(yīng)用、所有者、運營商、承包商、星載計算機及其軟硬件系統(tǒng)、網(wǎng)絡(luò)攻擊戰(zhàn)技術(shù)、漏洞等概念和這些概念間的關(guān)系。

從空間態(tài)勢理解角度,該本體包含衛(wèi)星目標識別,其中對衛(wèi)星系統(tǒng)的各項參數(shù)數(shù)據(jù)都進行了詳盡的描述,如衛(wèi)星的應(yīng)用類型、發(fā)射地點、發(fā)射時間、運載工具、形狀、姿態(tài)、供應(yīng)/承包商、運營商、使用者、凈重、預(yù)期壽命、所有者和功率等關(guān)系和屬性;對軌道等其他重要概念也進行了詳細的刻畫,包括周期、近地點高度、遠地點高度、傾角、偏心率和軌道經(jīng)度等,這些參數(shù)可從兩行軌道根數(shù)(two-line element set,TLEs)數(shù)據(jù)中提取;另外,該本體也對衛(wèi)星的載荷(衛(wèi)星的核心組件)、系統(tǒng)相關(guān)負責(zé)人進行詳細分類描述。

從網(wǎng)絡(luò)安全態(tài)勢理解的角度,該本體基于傳統(tǒng)互聯(lián)網(wǎng)網(wǎng)絡(luò)空間安全態(tài)勢感知模型,如ATT&CK和UCO,對衛(wèi)星和星載計算機之間的關(guān)系進行建模,包含網(wǎng)絡(luò)環(huán)境中的各種組件,如CPU及其架構(gòu)、操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)庫等。星載計算機的網(wǎng)絡(luò)安全相關(guān)概念建模主要涉及的概念包括攻擊模式CAPEC、漏洞CVE、弱點CWE和緩解措施等。

OntoCSU4Sat不僅是對衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢分析過程中涉及抽象概念的知識建模,還可用于構(gòu)建知識圖譜對具體的實例進行表示。知識圖譜基于圖模型形式化描述知識和刻畫事物之間關(guān)系,可方便對個性化、實例層的知識進行組織和管理。面向特定領(lǐng)域,領(lǐng)域知識圖譜多基于本體自頂向下構(gòu)建,需要有較高的知識質(zhì)量。基于OntoCSU4Sat,將空間態(tài)勢理解和網(wǎng)絡(luò)安全相關(guān)的多個知識庫和情報源關(guān)聯(lián)起來,可充分利用多源情報進行關(guān)聯(lián)分析獲得態(tài)勢分析結(jié)果,并且,利用多源情報,可將OntoCSU4Sat實例化,形成衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解知識圖譜KGCSU4Sat。

本文進行研究與分析的基礎(chǔ)數(shù)據(jù)信息主要基于CVE、CWE、CAPEC、CVSS、ATT&CK等相關(guān)知識圖譜和數(shù)據(jù)庫,具體信息如下:

(1) CVSS 提供了一種捕獲漏洞的主要特征并產(chǎn)生反映其嚴重性數(shù)值的評分方法。此數(shù)值還可以轉(zhuǎn)化成一個定性表示(如低、中、高和關(guān)鍵),如此便可以幫助我們定性或定量地正確評估其漏洞管理流程并確定優(yōu)先級。

(2) CVE 代表常見漏洞和披露,目前由MITRE公司維護,是國際著名的安全漏洞庫。CVE被廣泛應(yīng)用于世界各地的眾多網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)。CVE是目前漏洞和披露標識符的行業(yè)標準,目前數(shù)據(jù)庫已經(jīng)包含142 748個CVE條目,從多個權(quán)威數(shù)據(jù)源收集了DoS、XSS、CSRF 等13種不同類型的漏洞。

(3) CWE 代表常見弱點枚舉,目前由Mitre公司維護。它可以作為弱點識別、緩解和預(yù)防工作的基線。該數(shù)據(jù)庫目前包含超過600個弱點分類,如緩沖溢出、跨站腳本以及惡意嵌入代碼等。

(4) CAPEC 代表常見攻擊模式枚舉和分類,目前由Mitre公司維護。通過分析漏洞或弱點可能被何種攻擊方式利用,可以幫助我們更好地減少潛在的安全隱患。該數(shù)據(jù)庫目前包含524種攻擊模式,如泛洪攻擊、身份欺騙以及緩沖溢出等。

從權(quán)威性、準確性和多元性看,以上知識圖譜和數(shù)據(jù)庫都相對較高。從關(guān)聯(lián)性和可行性看,CVE條目中包含了CVSS評分和CWE弱點信息,而CWE條目中包含了CAPEC條目信息,部分CAPEC條目可在ATT&CK數(shù)據(jù)庫中查找到相應(yīng)的信息,進而可獲得該攻擊模式可作用的操作系統(tǒng)平臺等信息。因此,可以進一步形成一條簡單分析鏈:產(chǎn)品→漏洞→弱點→攻擊模式→可作用產(chǎn)品,并且該分析鏈可進一步細分出多個重要分支,如影響、漏洞評級、緩解措施等。

KGCSU4Sat的網(wǎng)絡(luò)安全態(tài)勢知識部分,表示了ATT&CK中所有攻擊模式CAPEC、緩解措施和影響的實例、CVE的實例、CWE和CPE(包括操作系統(tǒng)和其他軟硬件及其版本、型號)的實例,以及這些實例之間的關(guān)系。KGCSU4Sat除符合OntoCSU4Sat所定義的規(guī)范和公理系統(tǒng)外,還包含對具體的衛(wèi)星、網(wǎng)絡(luò)安全漏洞和網(wǎng)絡(luò)攻擊等實例的詳細文本描述,這些個性化知識使得對衛(wèi)星網(wǎng)絡(luò)的態(tài)勢分析過程能夠從KGCSU4Sat中獲得更多的細節(jié)信息。

2.3 衛(wèi)星網(wǎng)絡(luò)態(tài)勢理解推理規(guī)則

衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解中涉及的關(guān)系表示和推導(dǎo),需要借助規(guī)則表示,因為構(gòu)建的推理規(guī)則較多,本節(jié)主要介紹關(guān)鍵的衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解規(guī)則。

2.3.1 漏洞與漏洞之間的因果關(guān)系

KGCSU4Sat包含弱點CWE實例可能造成影響后果的信息,其中,一些弱點能夠通過一定的途徑獲得系統(tǒng)權(quán)限。如果一個弱點能獲得另一個弱點運行環(huán)境所需的特權(quán),那么隸屬于這兩個弱點的漏洞具有因果關(guān)系,即一個漏洞運行可作為另一個漏洞運行的先行步驟。上述分析過程可使用語義Web規(guī)則語言(semantic Web rule language, SWRL)規(guī)則表示如下:

漏洞(?V1),弱點(?W1),漏洞(?V2),弱點(?W2),特權(quán)(?P1),特權(quán)(?P2),belongTo(?V1,?W1), belongTo(?V2,?W2),SameAs(?P1,?P2),needPrivilege(?W2,?P2),getPrivilege(?W1,?P1)->causal(?V1,?V2)

上述規(guī)則的語義為漏洞V1屬于弱點W1,漏洞V2屬于弱點W2,W1能獲得特權(quán)P1,W2需要特權(quán)P2,P1和P2為同一實體,則V1與V2存在因果關(guān)系。

2.3.2 判斷衛(wèi)星是否存在網(wǎng)絡(luò)安全漏洞

在KGCSU4Sat中,可以找到漏洞CVE和產(chǎn)品的實例之間多對多關(guān)聯(lián)關(guān)系。因此,判斷衛(wèi)星是否存在網(wǎng)絡(luò)安全漏洞,可先判斷衛(wèi)星上運行的產(chǎn)品是否存在漏洞:如果衛(wèi)星上運行著存在漏洞的產(chǎn)品,那么衛(wèi)星存在漏洞威脅。在衛(wèi)星網(wǎng)絡(luò)安全威脅的其他環(huán)節(jié)中,該規(guī)則也成立,例如,地面工作站中上運行存在漏洞的產(chǎn)品,那么地面工作站也存在漏洞威脅。

由于衛(wèi)星上運行的產(chǎn)品可能存在產(chǎn)品鏈的情況,所以還需要添加規(guī)則以判斷產(chǎn)品關(guān)聯(lián)關(guān)系。例如,操作系統(tǒng)和CPU處理器之間存在support關(guān)系,CPU處理器和處理器架構(gòu)之間存在adopt關(guān)系,那么可以在這兩種關(guān)系上再抽象一層更廣泛的associatedTo關(guān)系,并且設(shè)置其具備傳遞性,從而,可以判斷產(chǎn)品鏈之間的產(chǎn)品是否存在漏洞。如果產(chǎn)品鏈下級產(chǎn)品存在漏洞,那么上級產(chǎn)品存在漏洞威脅;通過產(chǎn)品與產(chǎn)品之間的associatedTo關(guān)系,可以把衛(wèi)星上運行部署的所有產(chǎn)品找出來并進行分析。上述分析過程用SWRL規(guī)則表示如下:

漏洞(?Vul),產(chǎn)品(?P1),產(chǎn)品(?P2),exist(?P2,?Vul),associatedTo(?P1,?P2)->exist(?P1,?Vul)

衛(wèi)星(?Sat),產(chǎn)品(?P1),產(chǎn)品(?P2), running(?Sat,?P1),associatedTo(?P1,?P2)->running(?Sat,?P2)

衛(wèi)星(?Sat),漏洞(?Vul),產(chǎn)品(?P), exist(?P,?Vul),running(?Sat,?P)→exist(?Sat,?Vul)

上述規(guī)則中,規(guī)則2表示產(chǎn)品P2存在漏洞披露Vul,產(chǎn)品P1與P2相關(guān)聯(lián),則P1也存在Vul;規(guī)則3表示衛(wèi)星Sat運行著產(chǎn)品P1,P1與產(chǎn)品P2相關(guān)聯(lián),則Sat運行著P2;規(guī)則4表示衛(wèi)星運行著P,而P存在漏洞披露Vul,則衛(wèi)星存在Vul。

2.3.3 判斷衛(wèi)星是否存在弱點

判斷衛(wèi)星是否存在弱點,需先判斷衛(wèi)星上運行的產(chǎn)品是否存在弱點。產(chǎn)品是否存在弱點需要根據(jù)產(chǎn)品是否存在漏洞來確定,即根據(jù)漏洞和弱點的關(guān)聯(lián)信息推出二者之間的belongTo關(guān)系。CVE和CWE之間可通過cwe_id關(guān)聯(lián)。上述判斷過程用SWRL規(guī)則如下:

漏洞(?V),弱點(?Cwe),產(chǎn)品(?P), exist(?P,?V),belongTo(?V,?Cwe)→hasWeakness(?P,?Cwe)

衛(wèi)星(?Sat),產(chǎn)品(?P),弱點(?Cwe), running(?Sat,?P),hasWeakness(?P,?Cwe)→hasWeakness(?Sat,?Cwe)

上述規(guī)則中,規(guī)則5表示產(chǎn)品P存在漏洞披露V,而V屬于弱點Cwe,則產(chǎn)品P存在弱點Cwe;規(guī)則6表示衛(wèi)星Sat運行著產(chǎn)品P,產(chǎn)品P存在弱點Cwe,則衛(wèi)星存在弱點Cwe。

2.3.4 推斷漏洞可能造成的影響

將CVE、CWE、CAPEC三者關(guān)聯(lián)起來,基于CWE和CAPEC的后果信息,可推斷出漏洞可能造成的后果。這些信息可作為輔助決策的參考。除此之外,CVE漏洞條目本身所暴露出來的漏洞信息也可幫助我們進一步分析影響,本文認為漏洞信息更具有參考性。關(guān)鍵SWRL規(guī)則如下:

漏洞(?V),弱點(?W),攻擊模式(?Att),影響(?Con),relatedTo(?W,?Att),belongTo(?V,?W),hasConsequence(?Att,?Con)→hasConsequence(?V,?Con)

漏洞(?Vul),影響(?Con1),影響(?Con2),攻擊(?Atk),exploitedBy(?Vul,?Atk),inspiredBy(?Atk,?Con1),hasConsequence(?Vul,?Con1),resultIn(?Con1,?Con2)->hasConsequence(?Vul,?Con2)

上述規(guī)則意為,根據(jù)分析鏈:漏洞→弱點→攻擊模式,對于規(guī)則7,漏洞V屬于弱點W,弱點W與攻擊模式Att相關(guān)且Att存在某種影響Con,則Con可作為漏洞V的影響的參考;規(guī)則8表示攻擊Atk利用漏洞Vul產(chǎn)生了某種影響Con1,而Con1在這種情境下還會導(dǎo)致影響Con2,則認為漏洞Vul在特定情形下可能產(chǎn)生影響Con2。

2.3.5 基于弱點和星載計算機的配置分析能產(chǎn)生影響的攻擊模式

KGCSU4Sat建模了弱點及其相關(guān)的所有攻擊模式之間的關(guān)系。然而,針對具體的產(chǎn)品,并不是所有的攻擊模式都能根據(jù)產(chǎn)品上存在的弱點對產(chǎn)品產(chǎn)生影響。在網(wǎng)絡(luò)攻擊戰(zhàn)技術(shù)通用知識庫ATT&CK中,攻擊模式通過Platforms字段關(guān)聯(lián)到其能作用的操作系統(tǒng)。因此,需要根據(jù)星載計算機部署的操作系統(tǒng)以及存在的弱點,判斷攻擊模式能否作用于衛(wèi)星。判斷規(guī)則用SWRL表示如下:

弱點(?Cwe),操作系統(tǒng)(?Os1),操作系統(tǒng)(?Os2),攻擊模式(?Atkp),basedOn(?Os2,?Os1), relatedTo(?Cwe,?Atkp),hasWeakness(?Os2,?Cwe), actOn(?Atkp,?Os1)->actOn(?Atkp,?Os2)

規(guī)則9的語義為,操作系統(tǒng)Os2基于操作系統(tǒng)Os1開發(fā),攻擊模式Atkp可作用于Os1且弱點Cwe與Atkp相關(guān),而Os2上存在弱點Cwe,那么Atkp可作用于Os2。

2.3.6 基于攻擊模式及其影響,推斷出緩解措施

部分CWE和CAPEC條目提供了緩解措施的信息。CWE提供的潛在緩解措施可作為額外參考信息。而對于CAPEC提供的緩解措施并不能全部作為參考,我們只需要能作用于特定產(chǎn)品(如操作系統(tǒng))的攻擊模式對應(yīng)的緩解措施。將CAPEC條目和ATT&CK條目通過ATTID數(shù)據(jù)屬性關(guān)聯(lián)可得到更加具體的緩解措施條目信息。而對于CVE,我們根據(jù)其漏洞信息推理出漏洞的影響,包括直接影響和間接影響,進一步根據(jù)其影響的類型(如軌道或姿態(tài)),制定更具體的緩解措施。

具體地,可以通過以下關(guān)系鏈推斷出針對衛(wèi)星漏洞的相關(guān)攻擊模式的緩解措施:判斷衛(wèi)星運行的產(chǎn)品(包括通用平臺枚舉CPE)上存在的CWE信息;通過capec_id找到弱點相應(yīng)攻擊模式;獲取攻擊模式條目下的緩解措施信息,并且在多個緩解措施中選擇能作用于當(dāng)前衛(wèi)星上運行產(chǎn)品的緩解措施。相應(yīng)SWRL規(guī)則如下:

產(chǎn)品(?P),攻擊模式(?Atkp),緩解措施(?Mit), hasMitigation(?Atkp,?Mit),actOn(?Atkp,?P)→ hasSuggestedMitigation(?P, ?Mit)

規(guī)則10的語義為,攻擊模式Atkp與緩解措施Mit關(guān)聯(lián),且Atkp可以作用于產(chǎn)品P,則緩解措施Mit可建議作為產(chǎn)品p的緩解措施。

2.4 衛(wèi)星網(wǎng)絡(luò)態(tài)勢理解分析方法

OntoCSU4Sat和KGCSU4Sat是采用OWL+SWRL語言形式化表示的知識,本文使用Pellet推理機進行知識推理,自動推導(dǎo)OntoCSU4Sat和KGCSU4Sat中隱含的知識。特別是,衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解規(guī)則集建模了衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解能力問題的解決方案,即自動發(fā)現(xiàn)漏洞、影響分析、緩解措施推理。

3 案例分析

本節(jié)通過一個衛(wèi)星網(wǎng)絡(luò)安全態(tài)勢理解的案例,進行衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解分析實驗,驗證了基于OntoCSU4Sat和KGCSU4Sat推理發(fā)現(xiàn)衛(wèi)星網(wǎng)絡(luò)空間安全防御薄弱環(huán)節(jié)和漏洞,并提出相對有效緩解措施的可行性。

3.1 實驗案例背景和構(gòu)建

以StarLink、OneWeb、BlackJack和瓢蟲一號等衛(wèi)星作為藍本,本節(jié)以一個編號為2017-003H的衛(wèi)星,圍繞2017-003H的網(wǎng)絡(luò)態(tài)勢理解,在Protégé中構(gòu)建了KGCSU4Sat的子圖(關(guān)鍵部分)。如圖2所示,該子圖的知識庫大致可分為兩個部分:衛(wèi)星和產(chǎn)品、制造商以及漏洞之間的關(guān)系圖;漏洞、弱點、攻擊模式、影響后果以及緩解措施等之間的關(guān)系圖。

圖2 圍繞2017-003H的網(wǎng)絡(luò)態(tài)勢理解構(gòu)建的子圖Fig.2 Subgraphs built around the network situational understanding of 2017-003H

如圖2所示,關(guān)于2017-003H的子圖包含以下知識:

(1) 2017-003H是衛(wèi)星,該衛(wèi)星位于地心軌道leo-2030-076A,承包商包括NASA和SpaceX,發(fā)射火箭為獵鷹9號;

(2) 2017-003H上裝載有星載計算機OBCX,OBCX的操作系統(tǒng)及其開源代碼分別為Sylix、Sylix_Source_v1.8.3,OBCX采用的CPU及其架構(gòu)分別是cpe2_3h***、Cortex-A9,Sylix的廠商為RTOS_Corp,Sylix基于Linux開發(fā);

(3) Cortex-A9由Xilinx設(shè)計,存在漏洞CVE-2019-5478,CVE-2019-5478對應(yīng)的弱點是CWE-20;

(4) 2017-003H_系統(tǒng)檢測器記錄了一次攻擊atk-20311226-07C,攻擊者使用修改備用編碼的攻擊方式對Cortex-A9進行了攻擊,因此該攻擊模式相應(yīng)的弱點條目信息可作為未來輔助決策的參考;

(5) 由推理機推出,漏洞CVE-2019-5478可能導(dǎo)致CWE-20-C1、CAPEC-13-C1、衛(wèi)星失控、姿態(tài)無法調(diào)整以及BootFailure(啟動故障)等一系列后果,其中BootFailure是直接影響,該影響如果被攻擊者利用,使用特定的攻擊方法,如在有效控制時間段入侵,則可能造成姿態(tài)無法調(diào)整以及軌道偏移等間接影響；

(6) 根據(jù)CVE、CWE、CAPEC以及ATT&CK條目關(guān)聯(lián)得到的影響信息,可得到CWE-20-M1、M1028、CN101214861A等3種不同類型的緩解措施。其初始優(yōu)先級為:CVE緩解措施(由CVE影響推出)>CWE緩解措施(由CWE影響推出)>CAPEC緩解措施(由CAPEC影響推出)。該優(yōu)先級可用于輔助決策。

除圖中所展示的知識外,構(gòu)建案例時本文還設(shè)置了風(fēng)險類型推理、風(fēng)險等級評估、檢測方法、弱點和攻擊模式關(guān)聯(lián)推理以及太空領(lǐng)域概念等相關(guān)實例,并且構(gòu)建了相應(yīng)的規(guī)則集,因篇幅原因未全部列出。

3.2 實驗結(jié)果及分析

在第3.1節(jié)分析關(guān)于衛(wèi)星2017-003H子圖的基礎(chǔ)上,本節(jié)基于本體OntoCSU4Sat推理進行實驗,在Protégé中通過Pellet推理機對OntoCSU4Sat(TBox)和KGCSU4Sat(ABox)組成的知識庫推理,驗證知識庫的正確性,并且推導(dǎo)出隱含的知識。基于推理后的知識庫,發(fā)現(xiàn)和分析2017-003H的網(wǎng)絡(luò)安全漏洞、可能受到網(wǎng)絡(luò)攻擊的攻擊模式和相應(yīng)的緩解措施。

基于本文所提出的衛(wèi)星網(wǎng)絡(luò)態(tài)勢理解分析方法,關(guān)于衛(wèi)星2017-003H,其分析鏈可表示為衛(wèi)星→產(chǎn)品鏈→漏洞→弱點→攻擊模式/影響/特權(quán)獲取→影響/緩解措施。本小節(jié)基于態(tài)勢理解的定義,將衛(wèi)星網(wǎng)絡(luò)態(tài)勢理解分析鏈主干部分進行展示和分析,其他相關(guān)信息可作為后續(xù)工作的基礎(chǔ)。

3.2.1 漏洞弱點自動發(fā)現(xiàn)

基于第2.4節(jié)提出的分析方法,要分析漏洞和弱點,需要先分析衛(wèi)星上的產(chǎn)品鏈,具體實例知識圖如圖3所示。

圖3 分析鏈:漏洞、弱點發(fā)現(xiàn)Fig.3 Chain of analysis: vulnerability and weakness discovery

圖3中,實例與實例之間邊上的黑色文字表示已知信息,紅色文字表示推理發(fā)現(xiàn)的隱含信息,后文的標記與該圖相同。如圖3所示,衛(wèi)星2017-003H上運載了OBCX星載計算機,OBCX上運行著2017-003H軟件總體服務(wù)平臺和Sylix操作系統(tǒng),其中前者基于后者開發(fā),后者基于Linux開發(fā)。而OBCX由cpe2_3h***組成,cpe2_3h采用Cortex-A9架構(gòu),通過CVE數(shù)據(jù)庫可知,該架構(gòu)存在CVE-2019-5478漏洞披露。再由CVE與CWE關(guān)聯(lián)可得相應(yīng)弱點披露CWE-20。因此可以得到簡單的實例分析鏈:2017-003H→OBCX→(Sylix)→cpe2_3h***→Cortex-A9→CVE-2019-5478→CWE-20,其中Sylix操作系統(tǒng)采用了cpe2_3h***處理器。從圖中還可看出,推理機推出該衛(wèi)星具有處理器和操作系統(tǒng)風(fēng)險。

3.2.2 影響、緩解措施分析

基于第2.4節(jié)提出的分析方法和第3.2.1節(jié)提出的漏洞發(fā)現(xiàn)分析方法,本節(jié)根據(jù)CVE、CWE、CAPEC和ATT&CK分析影響和緩解措施。具體實例知識圖如圖4所示。

圖4 分析鏈:影響、緩解措施分析Fig.4 Chain of analysis: analysis of impacts and mitigation

如圖4所示,可得到分析鏈:CVE-2019-5478→CWE-20→CAPEC-13(CAPEC-267等)。其中的CVE、CWE、CAPEC以及ATT&CK(部分關(guān)聯(lián)于CAPEC條目)條目可能包含影響信息和緩解措施信息,這些緩解措施信息經(jīng)過推理后最終會展示在衛(wèi)星2017-003H的推理界面中,并且對每種不同的緩解措施進行類型區(qū)別。

本文將衛(wèi)星本身特點和漏洞影響結(jié)合起來,如圖4中所示,CVE-2019-5478可能導(dǎo)致啟動故障(BootFailure),如果攻擊者使用特定的攻擊模式,如圖4中的有效控制時間段入侵,即在每天的地面控制中心和衛(wèi)星通信的有效時間段進行攻擊,導(dǎo)致控制中心無法為衛(wèi)星提供命令,則衛(wèi)星將會喪失控制權(quán),甚至導(dǎo)致衛(wèi)星軌道偏移和姿態(tài)無法調(diào)整等后果。實驗利用推理機,給出了兩種相對可能的解決方案,分別為CN101214861A和CN101402398A。例如,方案CN101402398A由文獻[30]提出,是一種衛(wèi)星姿態(tài)快速挽救的方法。

3.2.3 關(guān)鍵實例推理結(jié)果

圖5展示了推導(dǎo)出的關(guān)于2017-003H網(wǎng)絡(luò)態(tài)勢理解等相關(guān)結(jié)果。

圖5 2017-003H推理結(jié)果Fig.5 2017-003H reasoning results

圖5中,淺黃色背景的條目為推理機的推理結(jié)果。圖5中的結(jié)果顯示,衛(wèi)星上存在漏洞披露CVE-2019-5478,并且根據(jù)第3.2節(jié)的分析,根據(jù)影響,推理機得到了所有的緩解措施,CVE、CWE和CAPEC對應(yīng)的緩解措施分別用圖5中綠色、藍色和紅色方框內(nèi)容表示。

4 結(jié) 論

針對太空網(wǎng)絡(luò)安全,本文首先構(gòu)建了態(tài)勢理解推理規(guī)則,為衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解自動推理分析提供了領(lǐng)域知識,然后提出基于知識的衛(wèi)星網(wǎng)絡(luò)空間態(tài)勢理解分析方法,基于本體從知識圖譜大數(shù)據(jù)中推理發(fā)現(xiàn)重點衛(wèi)星的網(wǎng)絡(luò)安全漏洞和薄弱環(huán)節(jié),以及相應(yīng)的緩解措施和可能的影響,最后,通過實驗案例,驗證了該方法能夠發(fā)現(xiàn)衛(wèi)星上存在的漏洞,并根據(jù)影響推理所有的緩解措施。

后續(xù)工作中,需要對OntoCSU4Sat和KGCSU4Sat進一步完善,同時,完善規(guī)則集并構(gòu)建更多的案例驗證知識庫的完備性和所提方法的有效性。后續(xù)還需要進一步開展衛(wèi)星網(wǎng)絡(luò)漏洞的數(shù)據(jù)收集和處理,將網(wǎng)絡(luò)空間領(lǐng)域和太空領(lǐng)域知識結(jié)合得更加緊密,得到更加具有針對性的緩解措施。