基于攻击图模型的网络安全评估研究
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
为了降低状态空间数,采用二分决策图(BDD) 来描述攻击事件。BDD 是进行形式化验证的有效工
具,与模型检验技术相结合可以构成符号模型检验。 BDD 的实质就是在二分决策树中归并相同的子树, 消去相同的子节点,从而得到一个代表布尔函数的有 向非循环图。利用 BDD 可以有效压缩网络攻击状态 的存储空间。实现 BDD 的一个重要数据结构是唯一 表,它采用哈希压缩存储方式记录 BDD 节点,并用 链表结构解决哈希冲突。攻击图生成算法如下:
在由局部评估向整体评估发展,由基于规则的评估 方法向基于模型的评估方法发展,由单机评估向分 布式评估发展[1]。基于规则的方法是从已知的案例 中抽取特征,并将其归纳成规则表达,将目标系统 与已有的规则一一匹配。基于模型的方法为整个系 统建立模型,通过模型可获得系统所有可能的行为 和状态,利用模型分析工具产生测试用例,对系统 整体的安全性进行评估。
这里把攻击发生的前置条件和后置条件抽象 为 Büchi 自动机中的变迁,也就是状态转移的使能 条件。把网络的初始状态,如各主机在未被攻击时 的状态、攻击者还未实施攻击行为时的状态抽象为 Büchi 自动机中的初始状态。
Büchi 自动机从初始状态出发,在迁移过程中, 如满足某攻击的前置条件,则通过该攻击迁移到一 个新的状态,该状态满足该攻击的后置条件。通过 一步步的迁移,最终到达一个终止状态,也就是攻 击者实现其攻击目的的成功状态,就构成了一个状
第 28 卷第 3 期 2007 年 3 月
通信学报
Journal on Communications
Vol.28 No.3 March 2007
基于攻击图模型的网络安全评估研究
王永杰 1,鲜明 2,刘进 2,王国玉 2
(1. 解放军电子工程学院,安徽 合肥 230037;2. 国防科技大学 电子科学与工程学院,湖南 长沙 410073)
Input: M = (S ,τ , S0 ,S ,S ,D ) //网络攻击事件的 Büchi
摘 要:介绍了利用攻击图模型方法分析计算机网络攻击行为的基本原理,给出了攻击图生成算法。研究了利用
攻击图对网络系统安全性进行风险分析的方法。通过一个虚拟的网络环境对攻击图生成算法和网络系统的安全性
分析评估方法进行了验证。
关键词:网络安全;攻击图;算法模型;风险评估
中图分类号:TP393.8
文献标识码:A
出了一种网络安全评估试验模型框架[17]。基于攻击 图的数据结构已经在入侵检测系统 NetSTAT 中应 用[18]。NetSTAT 由分布式的检测代理和数据分析器 组成。数据分析器利用攻击场景数据库分析检测代 理产生的事件,并根据情况产生告警信息。攻击场 景数据库包含了用有向图表示的各种原子攻击。
3 攻击图建模方法
3.1 攻击图的基本概念 攻击图是一个五元组 G = (S ,τ , S0, SS, D) 。其中,
S 是状态的集合,τ ⊆ S × S 表示变迁关系(transition reaction), S0 ⊆ S 是初始状态的集合, SS ⊆ S 是成 功状态的集合, D : S → 2AP 是对状态的标记,在该 状态上是一些命题为真的集合[23]。
攻击网方法,攻击网是一类特殊类型的攻击 图,由位置、变迁、弧和令牌(token)构成,位置与 攻击图中的节点相对应,攻击行为通过令牌在位置 间变迁的转换来描述。攻击网模型中关于攻击方法 的描述主要解决一种攻击方法在何种条件下可以 成功实施的问题。攻击网模型主要描述了可以实施 的各种攻击方法的逻辑和时序关系。体现了网络攻 击的过程特性。模型运行时的令牌的分布则表征了 攻击过程动态运行的过程。在这方面开展的研究有 基于攻击网的渗透测试[19]、基于攻击网的联合攻击 建模[20]、基于着色 Petri 网的入侵检测系统[21,22]。
当前攻击图模型方法存在的主要问题是随着 网络系统规模的增大,攻击图算法的状态空间成指 数级增长,从而带来状态空间爆炸问题。当网络节 点数目较多时,使得搜索所有网络攻击路径的工作 变得非常困难,甚至不可行。如何降低攻击图算法 的时间、空间复杂度,提高算法的计算效率是当前 需要研究解决的主要问题。本文在文献[11]给出的 攻击图生成算法基础上提出了一种可以降低空间 复杂度的改进算法。
攻击图将网络拓扑信息考虑在网络的建模工作 中,为评估提供了全面的信息,而且模型检测器为攻 击图模型的生成提供了自动化的工作,使评估工作减 少了人的主观因素的影响,更加符合真实情况。 3.2 网络攻击事件的 Büchi 模型描述
ω -正规序列是描述并发进程和其他程序的一 种很自然的方式,具有描述 ω -正规序列的能力是程 序验证的前提条件。Büchi 自动机具有接收 ω -正规 序列的能力,因此在攻击图建模中,把网络攻击事 件抽象为 Büchi 自动机。
攻击图方法,攻击图是描述攻击者从攻击起始 点到达到其攻击目标的所有路径的简洁方法。攻击 图提供了一种表示攻击过程场景的可视化方法。攻 击图方法的主要难点在于攻击图的构造,早期研究 中攻击图都是手工分析完成的,随着网络拓扑结构 的膨胀和安全漏洞的增加,手工构造攻击图已经变 得不可行。Sheyner 等提出了一种利用模型检测器 自动生成攻击图的方法[11]。该攻击图生成方法的效 果 受 模 型 检 测 器 表 达 能 力 的 制 约 。 Ritchey 和 Ammann 使用模型检测器 SMV 构造了一个异构网 络的攻击图,并利用攻击图分析了该网络系统的安 全性[12] ,其建模方法每次只能得到一条攻击反例 (counterexample)。Phillips 和 Swiler[13]提出了攻击图 的概念,并给出了利用前向搜索得到攻击图的方 法。Paul Ammann 等根据单向性假设,提出了一种 更加紧凑的可扩展攻击图描述模型,该模型可以将 模型求解问题的复杂度由指数级降为多项式级[14]。 Dacier 提出了特权图的概念,用节点表示用户拥有 的特权,边表示安全漏洞,并通过特权图构造了攻 击状态图[15]。攻击状态图描述了攻击者达到其目标 的各种途径。Dacier 等进一步将图论分析方法应用 到网络安全评估中[16]。Ortalo 等基于特权图思想提
攻击树方法,攻击树模型是对故障树模型的扩 展,提供了一种面向攻击目标的描述系统漏洞的形 式化方法[2]。攻击树模型特别适合于描述多阶段的 网络攻击行为,总的攻击目标由一系列的子目标通 过“AND/OR”关系复合而成。攻击树的节点根据 研究目的的不同可以赋予代价、成功概率等不同的 属性。在这方面开展的研究有基于攻击树的 BNF 语言形式化描述[3]、基于攻击树的 Z 语言形式化描 述[4]、基于攻击树的大规模入侵检测[5]、基于攻击 树的系统安全性分析[6,7]、基于支持向量机和通用模 型的入侵检测[8]、基于攻击树的系统风险性评估工 具[9,10]。
万方数据
·30·
通信学报
第 28 卷
通过一个虚 拟的实验网络环境对算法的有效性进 行了分析验证。
2 相关的研究工作
对网络攻击行为进行建模,尤其是对组合型的 网络攻击行为进行建模是当前研究的一个难点。到目 前为止,大多数网络攻击模型领域的研究都集中在对 漏洞及漏洞利用工具的归类上。目前对组合型网络攻 击行为的建模方法及相关研究主要有如下 3 种。
1ቤተ መጻሕፍቲ ባይዱ概述
当前网络系统的复杂性越来越高,网络攻击技 术也在不断地发展和进化。在此背景下研究网络系 统安全评估方法,具有重要的现实意义,通过对网 络系统进行的定性和定量评估风险工作,可以有效 地指导网络系统生存能力的提升,从而提高网络系 统应对复杂网络环境下各种突发网络攻击事件的 能力。
网络系统的安全评估起始于计算机系统的安全 评估,最初是由黑客攻击技术发展而来,现在仍然 是一个新兴的研究领域。网络安全评估方法的发展 经历了从手动评估到自动评估的发展阶段,现在正
模型检测的描述规范由两部分组成:一是模 型,这是一个由变量、变量的初始值、变量的值发 生变化的条件的描述定义的状态机;二是关于状态 和执行路径的时序逻辑约束。模型检测器访问所有 可到达的状态,检验在每条可能的路径上时序逻辑 属性是否得到满足。如果属性没有得到满足,模型 检测器输出一条状态的轨迹或序列形式的反例,而 这个反例在攻击图模型中正是一个攻击路径。
态序列,也即 ω -序列。所有这些序列的集合构成
了 Büchi 自动机接收的语言。 事实上,这些状态序列就是攻击者发动的一系
列攻击步骤,是网络攻击事件所有可能的动作的子 集,也即 Büchi 自动机接收的语言是网络攻击事件 系统的可能的动作的子集。因此,该 Büchi 自动机 是网络攻击事件的 Büchi 模型。 3.3 攻击图生成算法
标记 D : S → 2AP 是一些 A 中的字的集合。 网络攻击事件的 Büchi 模型由以下因素构成: 1) 主机的状态,包括攻击者在该主机上获得的
权限、主机上存在的漏洞情况以及当前能被利用的 攻击方法等;
2) 攻击者的状态,也即攻击者发起攻击和攻击 过程中所在的主机;
3) 变迁关系,也即攻击者使用的攻击方法的前 置条件和后置条件。
万方数据
第3期
王永杰等:基于攻击图模型的网络安全评估研究
·31·
给定一个原子命题的集合 AP,关于字母表 A = 2AP 的 Büchi 自动机是一个六元组 B = (S ,τ ,S 0, Sa , Sf, D) ,其中,S 是状态的集合,τ ⊆ S × S 表示变 迁关系,S0 ⊆ S 是初始状态的集合, Sa ⊆ S 为接收 状态的集合,Sf ⊆ S 是成功状态的集合,对状态的
文章编号:1000-436X(2007)03-0029-06
Study of network security evaluation based on attack graph model
WANG Yong-jie1, XIAN Ming2, LIU Jin2, WANG Guo-yu2
(1. Electronic Engeering Institute, Hefei 2300037, China; 2.School of Electronic Science and Engineering , NUDT , Changsha 410073, China)
本文提出了一种基于攻击图(attack graph)模型 的网络安全评估模型。研究了网络攻击图模型的建 模方法,给出了一种攻击图生成算法。同时研究了 基于攻击图的网络安全评估方法,包括攻击序列成 功概率分析方法和网络系统损失风险分析方法。并
收稿日期:2005-05-17;修回日期:2007-02-04 基金项目:国家自然科学基金资助项目(60372039) Foundation Item: The National Natural Science Foundation of China (60372039)
Abstract: The principle by which to analyze computer network attacks using attack graph was introduced. An attack graph generating algorithm was proposed. The computer network system risk assessment methods were studied using the attack graph model. A virtual computer network environment was introduced by which the attack graph generating algorithm and computer network system security methods were validated. Key words: network security; attack graph; algorithm model; risk assessment
具,与模型检验技术相结合可以构成符号模型检验。 BDD 的实质就是在二分决策树中归并相同的子树, 消去相同的子节点,从而得到一个代表布尔函数的有 向非循环图。利用 BDD 可以有效压缩网络攻击状态 的存储空间。实现 BDD 的一个重要数据结构是唯一 表,它采用哈希压缩存储方式记录 BDD 节点,并用 链表结构解决哈希冲突。攻击图生成算法如下:
在由局部评估向整体评估发展,由基于规则的评估 方法向基于模型的评估方法发展,由单机评估向分 布式评估发展[1]。基于规则的方法是从已知的案例 中抽取特征,并将其归纳成规则表达,将目标系统 与已有的规则一一匹配。基于模型的方法为整个系 统建立模型,通过模型可获得系统所有可能的行为 和状态,利用模型分析工具产生测试用例,对系统 整体的安全性进行评估。
这里把攻击发生的前置条件和后置条件抽象 为 Büchi 自动机中的变迁,也就是状态转移的使能 条件。把网络的初始状态,如各主机在未被攻击时 的状态、攻击者还未实施攻击行为时的状态抽象为 Büchi 自动机中的初始状态。
Büchi 自动机从初始状态出发,在迁移过程中, 如满足某攻击的前置条件,则通过该攻击迁移到一 个新的状态,该状态满足该攻击的后置条件。通过 一步步的迁移,最终到达一个终止状态,也就是攻 击者实现其攻击目的的成功状态,就构成了一个状
第 28 卷第 3 期 2007 年 3 月
通信学报
Journal on Communications
Vol.28 No.3 March 2007
基于攻击图模型的网络安全评估研究
王永杰 1,鲜明 2,刘进 2,王国玉 2
(1. 解放军电子工程学院,安徽 合肥 230037;2. 国防科技大学 电子科学与工程学院,湖南 长沙 410073)
Input: M = (S ,τ , S0 ,S ,S ,D ) //网络攻击事件的 Büchi
摘 要:介绍了利用攻击图模型方法分析计算机网络攻击行为的基本原理,给出了攻击图生成算法。研究了利用
攻击图对网络系统安全性进行风险分析的方法。通过一个虚拟的网络环境对攻击图生成算法和网络系统的安全性
分析评估方法进行了验证。
关键词:网络安全;攻击图;算法模型;风险评估
中图分类号:TP393.8
文献标识码:A
出了一种网络安全评估试验模型框架[17]。基于攻击 图的数据结构已经在入侵检测系统 NetSTAT 中应 用[18]。NetSTAT 由分布式的检测代理和数据分析器 组成。数据分析器利用攻击场景数据库分析检测代 理产生的事件,并根据情况产生告警信息。攻击场 景数据库包含了用有向图表示的各种原子攻击。
3 攻击图建模方法
3.1 攻击图的基本概念 攻击图是一个五元组 G = (S ,τ , S0, SS, D) 。其中,
S 是状态的集合,τ ⊆ S × S 表示变迁关系(transition reaction), S0 ⊆ S 是初始状态的集合, SS ⊆ S 是成 功状态的集合, D : S → 2AP 是对状态的标记,在该 状态上是一些命题为真的集合[23]。
攻击网方法,攻击网是一类特殊类型的攻击 图,由位置、变迁、弧和令牌(token)构成,位置与 攻击图中的节点相对应,攻击行为通过令牌在位置 间变迁的转换来描述。攻击网模型中关于攻击方法 的描述主要解决一种攻击方法在何种条件下可以 成功实施的问题。攻击网模型主要描述了可以实施 的各种攻击方法的逻辑和时序关系。体现了网络攻 击的过程特性。模型运行时的令牌的分布则表征了 攻击过程动态运行的过程。在这方面开展的研究有 基于攻击网的渗透测试[19]、基于攻击网的联合攻击 建模[20]、基于着色 Petri 网的入侵检测系统[21,22]。
当前攻击图模型方法存在的主要问题是随着 网络系统规模的增大,攻击图算法的状态空间成指 数级增长,从而带来状态空间爆炸问题。当网络节 点数目较多时,使得搜索所有网络攻击路径的工作 变得非常困难,甚至不可行。如何降低攻击图算法 的时间、空间复杂度,提高算法的计算效率是当前 需要研究解决的主要问题。本文在文献[11]给出的 攻击图生成算法基础上提出了一种可以降低空间 复杂度的改进算法。
攻击图将网络拓扑信息考虑在网络的建模工作 中,为评估提供了全面的信息,而且模型检测器为攻 击图模型的生成提供了自动化的工作,使评估工作减 少了人的主观因素的影响,更加符合真实情况。 3.2 网络攻击事件的 Büchi 模型描述
ω -正规序列是描述并发进程和其他程序的一 种很自然的方式,具有描述 ω -正规序列的能力是程 序验证的前提条件。Büchi 自动机具有接收 ω -正规 序列的能力,因此在攻击图建模中,把网络攻击事 件抽象为 Büchi 自动机。
攻击图方法,攻击图是描述攻击者从攻击起始 点到达到其攻击目标的所有路径的简洁方法。攻击 图提供了一种表示攻击过程场景的可视化方法。攻 击图方法的主要难点在于攻击图的构造,早期研究 中攻击图都是手工分析完成的,随着网络拓扑结构 的膨胀和安全漏洞的增加,手工构造攻击图已经变 得不可行。Sheyner 等提出了一种利用模型检测器 自动生成攻击图的方法[11]。该攻击图生成方法的效 果 受 模 型 检 测 器 表 达 能 力 的 制 约 。 Ritchey 和 Ammann 使用模型检测器 SMV 构造了一个异构网 络的攻击图,并利用攻击图分析了该网络系统的安 全性[12] ,其建模方法每次只能得到一条攻击反例 (counterexample)。Phillips 和 Swiler[13]提出了攻击图 的概念,并给出了利用前向搜索得到攻击图的方 法。Paul Ammann 等根据单向性假设,提出了一种 更加紧凑的可扩展攻击图描述模型,该模型可以将 模型求解问题的复杂度由指数级降为多项式级[14]。 Dacier 提出了特权图的概念,用节点表示用户拥有 的特权,边表示安全漏洞,并通过特权图构造了攻 击状态图[15]。攻击状态图描述了攻击者达到其目标 的各种途径。Dacier 等进一步将图论分析方法应用 到网络安全评估中[16]。Ortalo 等基于特权图思想提
攻击树方法,攻击树模型是对故障树模型的扩 展,提供了一种面向攻击目标的描述系统漏洞的形 式化方法[2]。攻击树模型特别适合于描述多阶段的 网络攻击行为,总的攻击目标由一系列的子目标通 过“AND/OR”关系复合而成。攻击树的节点根据 研究目的的不同可以赋予代价、成功概率等不同的 属性。在这方面开展的研究有基于攻击树的 BNF 语言形式化描述[3]、基于攻击树的 Z 语言形式化描 述[4]、基于攻击树的大规模入侵检测[5]、基于攻击 树的系统安全性分析[6,7]、基于支持向量机和通用模 型的入侵检测[8]、基于攻击树的系统风险性评估工 具[9,10]。
万方数据
·30·
通信学报
第 28 卷
通过一个虚 拟的实验网络环境对算法的有效性进 行了分析验证。
2 相关的研究工作
对网络攻击行为进行建模,尤其是对组合型的 网络攻击行为进行建模是当前研究的一个难点。到目 前为止,大多数网络攻击模型领域的研究都集中在对 漏洞及漏洞利用工具的归类上。目前对组合型网络攻 击行为的建模方法及相关研究主要有如下 3 种。
1ቤተ መጻሕፍቲ ባይዱ概述
当前网络系统的复杂性越来越高,网络攻击技 术也在不断地发展和进化。在此背景下研究网络系 统安全评估方法,具有重要的现实意义,通过对网 络系统进行的定性和定量评估风险工作,可以有效 地指导网络系统生存能力的提升,从而提高网络系 统应对复杂网络环境下各种突发网络攻击事件的 能力。
网络系统的安全评估起始于计算机系统的安全 评估,最初是由黑客攻击技术发展而来,现在仍然 是一个新兴的研究领域。网络安全评估方法的发展 经历了从手动评估到自动评估的发展阶段,现在正
模型检测的描述规范由两部分组成:一是模 型,这是一个由变量、变量的初始值、变量的值发 生变化的条件的描述定义的状态机;二是关于状态 和执行路径的时序逻辑约束。模型检测器访问所有 可到达的状态,检验在每条可能的路径上时序逻辑 属性是否得到满足。如果属性没有得到满足,模型 检测器输出一条状态的轨迹或序列形式的反例,而 这个反例在攻击图模型中正是一个攻击路径。
态序列,也即 ω -序列。所有这些序列的集合构成
了 Büchi 自动机接收的语言。 事实上,这些状态序列就是攻击者发动的一系
列攻击步骤,是网络攻击事件所有可能的动作的子 集,也即 Büchi 自动机接收的语言是网络攻击事件 系统的可能的动作的子集。因此,该 Büchi 自动机 是网络攻击事件的 Büchi 模型。 3.3 攻击图生成算法
标记 D : S → 2AP 是一些 A 中的字的集合。 网络攻击事件的 Büchi 模型由以下因素构成: 1) 主机的状态,包括攻击者在该主机上获得的
权限、主机上存在的漏洞情况以及当前能被利用的 攻击方法等;
2) 攻击者的状态,也即攻击者发起攻击和攻击 过程中所在的主机;
3) 变迁关系,也即攻击者使用的攻击方法的前 置条件和后置条件。
万方数据
第3期
王永杰等:基于攻击图模型的网络安全评估研究
·31·
给定一个原子命题的集合 AP,关于字母表 A = 2AP 的 Büchi 自动机是一个六元组 B = (S ,τ ,S 0, Sa , Sf, D) ,其中,S 是状态的集合,τ ⊆ S × S 表示变 迁关系,S0 ⊆ S 是初始状态的集合, Sa ⊆ S 为接收 状态的集合,Sf ⊆ S 是成功状态的集合,对状态的
文章编号:1000-436X(2007)03-0029-06
Study of network security evaluation based on attack graph model
WANG Yong-jie1, XIAN Ming2, LIU Jin2, WANG Guo-yu2
(1. Electronic Engeering Institute, Hefei 2300037, China; 2.School of Electronic Science and Engineering , NUDT , Changsha 410073, China)
本文提出了一种基于攻击图(attack graph)模型 的网络安全评估模型。研究了网络攻击图模型的建 模方法,给出了一种攻击图生成算法。同时研究了 基于攻击图的网络安全评估方法,包括攻击序列成 功概率分析方法和网络系统损失风险分析方法。并
收稿日期:2005-05-17;修回日期:2007-02-04 基金项目:国家自然科学基金资助项目(60372039) Foundation Item: The National Natural Science Foundation of China (60372039)
Abstract: The principle by which to analyze computer network attacks using attack graph was introduced. An attack graph generating algorithm was proposed. The computer network system risk assessment methods were studied using the attack graph model. A virtual computer network environment was introduced by which the attack graph generating algorithm and computer network system security methods were validated. Key words: network security; attack graph; algorithm model; risk assessment