论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　摘要:针对当前攻击图模型中很少考虑攻击事件对所有属性节点置信度的动态影响，提出一种基于贝叶斯攻击图的动态风险评估(dynamicriskassessmentbasedonBayesianattackgraphs，DＲABAG)模型。该模型运用贝叶斯信念网络建立用于描述攻击行为中多步原子攻击间因果关系的概率攻击图，其中，采用通用漏洞评分系统指标计算漏洞利用成功概率，并利用局部条件概率分布表评估属性节点的静态安全风险;进而结合入侵检测系统观测到的实时攻击事件，运用贝叶斯推理方法对单步攻击行为的后验概率进行动态更新，最终实现对目标网络整体安全性的评估。实验结果表明，该模型可评估动态安全风险和推断攻击路径，为实施安全防护策略提供依据。

　　关键词:风险评估;攻击图;贝叶斯网络;攻击行为

　　计算机网络系统面临复杂的攻击事件，从本质上来说，是由于计算机及网络系统在设计、开发、运行、维护、配置过程中存在漏洞，而外部的威胁利用这些存在漏洞或脆弱性发动攻击，从而导致安全事件的发生。为了应对日益突出的网络安全问题，除了设计尽可能安全的系统，尽可能地识别攻击的发生，还需要对网络或信息系统进行风险评估，并根据评估结果进行风险控制。国家安全评估标准GB/T20984—2007将风险评估定义为，“评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响”。

　　目前，国内外基于攻击图的网络安全评估方法通过分析各漏洞之间的关系和由此产生的潜在威胁，评估这些潜在威胁造成的危害程度。Jajodia等设计了一种拓扑弱点分析工具，可以检测网络系统漏洞，并以攻击图的形式分析网络系统的安全风险。Ou等提出一个脆弱性分析工具(Multihost，multistagevulnerabilityanalysis，MulVAL)，该引擎使用逻辑语言描述系统的相关属性以及存在的漏洞，并使用逻辑推理分析网络的脆弱性，并且Ou等提供了基于该方法的攻击图生成工具。为了评估和加强整体网络的安全性，通过概率攻击图模型建立漏洞和利用的因果关系，已经变成主流的方式。Xie等利用贝叶斯网络对攻击发生的不确定性进行建模，但该方法并未引入攻击事件的后验概率计算。Homer等提出结合漏洞指标来量化网络的整体安全性。张少俊等提出了在满足攻击事件偏序条件的情况下，利用贝叶斯推理方法计算攻击图节点的置信度。而作者的研究工作则结合入侵检测系统给出的攻击事件的置信度，运用贝叶斯推理方法推导当前属性状态节点的真实发生概率。

　　Poolsappasit等提出了基于贝叶斯网络的多指标量化分析方法，取得了不错的效果。张瑜等提出了基于危险理论的APT多步攻击实时响应模型，克服了传统方法存在难以实时定量计算的问题。陈小军等提出了从攻击事件推导出某步攻击发生的概率，提出了一个面向内部攻击意图推断的概率攻击图模型，假设攻击事件的置信度与初始属性节点一一对应，没有考虑每个攻击事件对应的置信度对攻击图的所有属性节点的动态影响。

　　以往攻击图的研究成果无法很好地支持实时的网络风险评估工作，作者在前人工作的基础上提出了一种基于贝叶斯攻击图的动态风险评估(dynamicriskassessmentbasedonBayesianattackgraphs，DＲABAG)模型。该模型通过漏洞利用成功概率和攻击成功概率描述攻击行为的不确定性，利用通用漏洞评分系统(thecommonvulnerabilityscoringsystem，CVSS)来评估漏洞利用成功概率。在静态风险评估基础上，结合入侵检测系统观测到的实时攻击事件构建动态风险评估模型，使得网络攻击图可以动态评估目标网络的整体安全性。

　　1、贝叶斯攻击图

　　1．1贝叶斯攻击图定义

　　已有的贝叶斯攻击图模型描述了资源属性状态、攻击行为及相互因果关系，扩展了利用入侵检测系统观测到实时攻击事件的属性。其中，资源属性和原子攻击定义如下:

　　定义1(资源属性S)攻击者占据的攻击资源和访问权限，表示为一个贝努利随机二值变量。资源属性状态取值为真或假，表示为S=1orTrue或者S=0orFalse。P(S)为资源属性状态S=1的概率，P(?S)=1－P(S)为资源属性状态S=0的概率。

　　定义2(原子攻击a)一次原子攻击在从前提条件的资源属性状态Spre成功进入后继条件的资源属性状态Spost。描述了2种不同属性状态的因果关系，且和某个漏洞利用vi有关联。原子攻击表示为a:SpreaSpost，且满足以下条件:

　　1)Spre≠Spost;

　　2)当Spre=1且Spost=1，状态Spre成功进入状态Spost的概率P(Spre，Spost)＞0;

　　3)不存在S1，S2，…，Si∈S－{Spre，Spost}，且满足P(Spre，S1)＞0，P(S1，S2)＞0，…，P(Sj－1，Sj)＞0，…，P(Si，Spost)＞0。

　　定义3贝叶斯攻击图定义为一个有向无环图DＲABAG=(S，A，E，Ｒ，T，P，O，Po)，其中:

　　1)S=Nexternal∪Ninternal∪Nterminal，其中，Nexternal为外部攻击者初始属性状态节点集合，Ninternal为在攻击过程的内部属性状态节点集合，Nterminal为攻击目标的最终属性状态节点集合。

　　2)A={ai|i=1，…，n}为原子攻击节点集合，当前攻击行为可为已发生或未发生，分别对应ai=1或ai=0。

　　3)E∈(Spre，Spost)，表示攻击图的边，满足SpreaSpost∈A。定义属性状态节点Si的父节点集合为Pa［Si］={Sj∈S|(Sj，Si)∈E}。

　　4)Ｒ表示属性状态节点与其父亲节点集合之间的关系，分解为一个二元组〈Sj，dj〉，dj∈{AND，OＲ}。如果dj取值为AND，表示实施一次原子攻击成功到达属性状态节点Sj的条件是它的全部父节点为真，即Sj=1??Si∈Pa［Sj］，Si=1。如果dj取值为OＲ，表示实施一个原子攻击成功到达属性状态节点Sj的条件是存在某个父亲节点状态为真，即Sj=1??Si∈Pa［Sj］，Si=1。

　　5)T为离散的局部条件概率分布(localconditionalprobabilitydistribution，LCPD)表。

　　6)P为每个属性节点的先验概率。

　　7)O={Oi|i=1，…，m}为观测到的攻击事件节点集合。Oi表示原子攻击ai发生时被入侵检测系统观测到的攻击事件，定义观测攻击事件与原子攻击节点集合一一对应。

　　8)Po为每个属性节点的后验概率。

　　1．2基于贝叶斯攻击图的概率计算

　　1．2．1漏洞利用成功概率计算

　　为了计算每个节点的LCPD，安全管理员需要评估攻击过程中每个漏洞利用成功的概率。

　　定义4(漏洞利用成功概率P(vi))攻击者利用某个软件固有的漏洞进行原子攻击成功的概率。

　　漏洞利用成功概率与该漏洞被利用的难易程度相关。采用美国标准与技术研究院提供的通用CVSS来评估漏洞利用成功概率。一个CVSS评分是一个0～10范围的数字。每个漏洞由3组属性构成，分别是:base、temporal和environmental。其中，base属性跟漏洞利用成功概率相关。CVSS的子项exploitability定义为:exploitability=20×AV×AC×Au(1)其中，AV为访问向量值，AC为访问复杂度值，Au为认证值。它们的取值范围为0～10，因此，漏洞利用成功概率P(vi)可以从CVSS的子项exploitability计算获得，定义如下:P(vi)=2×AV×AC×Au(2)根据专家知识库对原子攻击的成功概率进行了设置，对容易攻击类型取值为0．8，一般攻击类型取值为0．6，难以攻击类型取值为0．2。

　　1．2．2LCPD函数计算

　　局部条件概率分布表可以反映某个状态节点受到威胁的可能性，描述了该节点在给定其父亲节点集合时的概率分布。

　　定义5(LCPD函数)假设贝叶斯攻击DＲABAG=(S，A，E，Ｒ，T，P，O，Po)，Sj∈Ninternal∪Nterminal，Si为Sj的一组父亲节点集合，表示为Si∈Pa(Sj)，漏洞利用vi与某步原子攻击SiaSj相关。节点Sj的LCPD函数表示为P(Sj|Pa(Sj))，定义如下:

　　1)dj=AND时，P(Sj|Pa(Sj))=0，Si∈Pa(Sj)|Si=0;ΠSi=1P(vi)，{其他(3)