基于攻擊圖的APT脆弱節(jié)點(diǎn)評(píng)估方法

黃永洪，吳一凡，楊豪璞，李 翠

(1.重慶郵電大學(xué) 網(wǎng)絡(luò)空間安全與信息法學(xué)院，重慶 400065； 2.重慶郵電大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，重慶 400065；3.中國(guó)人民解放軍信息工程大學(xué) 密碼工程學(xué)院，鄭州 450002)

基于攻擊圖的APT脆弱節(jié)點(diǎn)評(píng)估方法

黃永洪1，吳一凡2，楊豪璞3，李 翠1

(1.重慶郵電大學(xué) 網(wǎng)絡(luò)空間安全與信息法學(xué)院，重慶 400065； 2.重慶郵電大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，重慶 400065；3.中國(guó)人民解放軍信息工程大學(xué) 密碼工程學(xué)院，鄭州 450002)

高級(jí)可持續(xù)性威脅(advanced persistent threat，APT)具有行為隱蔽性強(qiáng)、攻擊周期持久的特點(diǎn)，增加了攻擊檢測(cè)的難度。據(jù)此，引入攻擊圖理論評(píng)估網(wǎng)絡(luò)系統(tǒng)在APT攻擊下的脆弱節(jié)點(diǎn)，提出了一種基于攻擊圖的APT脆弱節(jié)點(diǎn)評(píng)估方法，有效地提高了發(fā)現(xiàn)攻擊的概率。對(duì)APT攻擊行為的異常特征進(jìn)行提取和定義，對(duì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)建立風(fēng)險(xiǎn)屬性攻擊圖(risk attribute attack graph，RAAG)模型；基于APT攻擊行為特征的脆弱性對(duì)系統(tǒng)節(jié)點(diǎn)的行為脆弱性進(jìn)行評(píng)估，并以通用漏洞評(píng)分系統(tǒng)(common vulnerability scoring system，CVSS)標(biāo)準(zhǔn)做為參照評(píng)估系統(tǒng)節(jié)點(diǎn)的通聯(lián)脆弱性；基于上述2個(gè)方面的評(píng)估，計(jì)算系統(tǒng)中各節(jié)點(diǎn)的整體脆弱性，并發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)系統(tǒng)在面向APT攻擊時(shí)的脆弱節(jié)點(diǎn)。實(shí)驗(yàn)結(jié)果表明，所提方法能夠?qū)PT攻擊行為特征進(jìn)行合理量化，對(duì)系統(tǒng)節(jié)點(diǎn)的脆弱性進(jìn)行有效評(píng)估，在APT攻擊檢測(cè)率上有較好表現(xiàn)。

高級(jí)可持續(xù)性威脅(APT)攻擊；攻擊圖；攻擊特征；脆弱性評(píng)估

0 引 言

自2007年以來，一種特殊的網(wǎng)絡(luò)攻擊—高級(jí)持續(xù)性威脅(advanced persistent threat，APT攻擊)頻繁出現(xiàn)在各種網(wǎng)絡(luò)攻擊事件中，受到世界各國(guó)政府、組織及專家學(xué)者的高度重視。

APT攻擊具有個(gè)性化設(shè)計(jì)的特點(diǎn)，綜合利用目標(biāo)系統(tǒng)的自身缺陷以及系統(tǒng)用戶的人為不確定因素，對(duì)攻擊目標(biāo)實(shí)施精確化打擊。與普通網(wǎng)絡(luò)攻擊不同的是，APT攻擊者在進(jìn)入目標(biāo)系統(tǒng)后選擇長(zhǎng)期潛伏，逐步獲得系統(tǒng)的更高權(quán)限和更多資源，以此保證最大程度達(dá)成其攻擊目的[1]。以2010年爆發(fā)的震網(wǎng)病毒(stuxnet)為例，它利用微軟操作系統(tǒng)內(nèi)的漏洞，對(duì)伊朗布什爾核電站中的離心機(jī)進(jìn)行干擾，成功推遲了伊朗的核計(jì)劃。據(jù)悉，震網(wǎng)病毒于2006年前后已成功潛伏入該核電站的專用局域網(wǎng)，直到2010年造成嚴(yán)重破壞后才被發(fā)現(xiàn)。APT攻擊通過長(zhǎng)期的潛伏和滲透，對(duì)攻擊目標(biāo)實(shí)施精確打擊，對(duì)防御方的政治、經(jīng)濟(jì)、安全等造成嚴(yán)重威脅。因此，對(duì)APT攻擊的檢測(cè)與預(yù)防工作刻不容緩。

APT攻擊過程一般是循序漸進(jìn)的，大致可分為探測(cè)期、入侵期、滲透期和退出期[2]。在入侵期，攻擊方針對(duì)攻擊目標(biāo)編寫惡意程序?qū)嵤┤肭?；此?個(gè)時(shí)期需要與C&C服務(wù)器保持通信，傳送竊取的數(shù)據(jù)并接收攻擊方的指令。據(jù)此，現(xiàn)有的研究主要針對(duì)2個(gè)方面：①系統(tǒng)內(nèi)惡意程序的檢測(cè)與追蹤；②C&C服務(wù)器的挖掘。Masahiko Kato等[3]將APT攻擊的滲透過程簡(jiǎn)化為惡意代碼在系統(tǒng)內(nèi)的傳播過程，通過追蹤受惡意代碼感染的主機(jī)從而檢測(cè)APT的攻擊路徑；Shun-Te Liu等[4]研究C&C服務(wù)器的發(fā)現(xiàn)，提取系統(tǒng)內(nèi)通信數(shù)據(jù)中的HTTP請(qǐng)求并與已知的惡意請(qǐng)求包進(jìn)行比對(duì)，以此確定系統(tǒng)內(nèi)最有可能受到感染的主機(jī)；進(jìn)一步根據(jù)HTTP的日志記錄，對(duì)所有的網(wǎng)站進(jìn)行量化定值，評(píng)估判定最有可能為C&C服務(wù)器的網(wǎng)站。此外，Yong-Ho Kim等[5]基于入侵檢測(cè)事件建立一個(gè)理論的APT攻擊預(yù)測(cè)模型；Pieter Burghouwt等[6]通過尋找數(shù)據(jù)流的觸發(fā)原因從而發(fā)現(xiàn)系統(tǒng)內(nèi)的隱蔽通信信道；ZHAO Wentao等[7]則以RSA的APT攻擊為例，構(gòu)建了APT攻擊的Petri網(wǎng)。

上述研究針對(duì)APT攻擊檢測(cè)取得一定的成效，但仍存在較大的局限性：①研究基于單個(gè)已發(fā)生的攻擊案例，無法應(yīng)對(duì)APT攻擊“個(gè)性化設(shè)計(jì)”的特點(diǎn)，也無法為進(jìn)一步的APT預(yù)測(cè)工作提供指導(dǎo)；②研究的前提條件是至少已知一臺(tái)受感染的主機(jī)或服務(wù)器，這一要求在實(shí)際情況中難以滿足；③采取對(duì)數(shù)據(jù)流進(jìn)行解析的方法，效率低下，且算法復(fù)雜度高，無法適應(yīng)如今復(fù)雜大系統(tǒng)的現(xiàn)實(shí)環(huán)境。

歸根結(jié)底，APT屬于網(wǎng)絡(luò)攻擊的范疇，其實(shí)施需要基于目標(biāo)系統(tǒng)存在的脆弱性。網(wǎng)絡(luò)攻擊圖[8]是用于分析網(wǎng)絡(luò)系統(tǒng)中存在的脆弱性及其關(guān)聯(lián)性的有效辦法，因此，利用攻擊圖方法對(duì)APT攻擊進(jìn)行分析，具有一定的研究?jī)r(jià)值。在現(xiàn)有的研究中，攻擊圖主要有以下2種表示：①用頂點(diǎn)和有向邊表示，該類模型可以清晰地展現(xiàn)出系統(tǒng)中所有可能的脆弱節(jié)點(diǎn)及攻擊路徑，缺點(diǎn)是不適用于大型網(wǎng)絡(luò)；②用矩陣表示，該類模型克服了第一種方法的局限性，借助矩陣結(jié)構(gòu)描述網(wǎng)絡(luò)系統(tǒng)中的連接關(guān)系，方便對(duì)攻擊行為的后續(xù)分析。

本文提出一種基于攻擊圖的APT脆弱節(jié)點(diǎn)檢測(cè)方法。該方法首先對(duì)APT攻擊中呈現(xiàn)出的“細(xì)微異常行為”進(jìn)行提取和定義，并對(duì)目標(biāo)系統(tǒng)建立風(fēng)險(xiǎn)屬性攻擊圖模型(risk attribute attack graph, RAAG)，設(shè)計(jì)算法量化分析并檢測(cè)系統(tǒng)中存在的脆弱節(jié)點(diǎn)。最后，設(shè)計(jì)實(shí)驗(yàn)對(duì)該方法的可靠性進(jìn)行驗(yàn)證。

1 APT攻擊元特征的提取

APT攻擊侵入目標(biāo)系統(tǒng)后，為實(shí)現(xiàn)其長(zhǎng)期潛伏的目的，一般采取2種方法： ①獲取系統(tǒng)的高級(jí)權(quán)限；②用正常行為掩飾入侵行為。總的來說是希望“以時(shí)間換取空間”，即用較長(zhǎng)的攻擊時(shí)間為代價(jià)，以減少攻擊行為被常規(guī)檢測(cè)軟件發(fā)現(xiàn)的概率，這也是APT攻擊“高級(jí)性”的體現(xiàn)。

定義1 APT元特征。APT攻擊的元特征是指在實(shí)施攻擊的過程中，在某一個(gè)時(shí)間節(jié)點(diǎn)處系統(tǒng)所表現(xiàn)出的行為特征。

當(dāng)前常規(guī)防護(hù)軟件的檢測(cè)原理有2種，一是基于時(shí)間節(jié)點(diǎn)進(jìn)行檢測(cè)，另一種是基于行為特征進(jìn)行檢測(cè)。而APT攻擊的元特征在單個(gè)節(jié)點(diǎn)處出現(xiàn)不會(huì)被視為異常行為，同時(shí)這些元特征并沒有明顯的“異常性”，因此可以逃避防護(hù)軟件的檢測(cè)。如果能夠根據(jù)APT攻擊的實(shí)施過程特性，將一段較長(zhǎng)時(shí)間內(nèi)的所有元特征進(jìn)行收集和分析，那么可以提高APT攻擊的檢測(cè)率。

APT攻擊的過程大致可分為4個(gè)時(shí)期，每個(gè)時(shí)期內(nèi)的目的不同，所采取的措施也不同。具體如表1所示。

表1 APT攻擊過程及元特征分析Tab.1 APT attack process and analysis of meta features

2 基于系統(tǒng)RAAG模型的脆弱節(jié)點(diǎn)檢測(cè)

在網(wǎng)絡(luò)系統(tǒng)中，對(duì)單個(gè)節(jié)點(diǎn)的脆弱性進(jìn)行評(píng)估需要同時(shí)考慮節(jié)點(diǎn)自身所隱含的脆弱性以及與其他節(jié)點(diǎn)的通聯(lián)關(guān)系所傳遞的脆弱性2個(gè)方面。

定義2 節(jié)點(diǎn)脆弱性。在APT攻擊下，系統(tǒng)中節(jié)點(diǎn)的脆弱性由節(jié)點(diǎn)自身的行為脆弱性VI和節(jié)點(diǎn)在系統(tǒng)中的通聯(lián)脆弱性VO所決定。其中，行為脆弱性VI表示該節(jié)點(diǎn)處所出現(xiàn)的“細(xì)微異常行為”所具有的脆弱性，這些“細(xì)微異常行為”由上述攻擊元特征所決定；通聯(lián)脆弱性VO表示在依據(jù)系統(tǒng)通聯(lián)關(guān)系情況下，由其他節(jié)點(diǎn)給該節(jié)點(diǎn)帶來的脆弱性，與節(jié)點(diǎn)權(quán)限和其他節(jié)點(diǎn)的自身脆弱性相關(guān)。

2.1APT攻擊下節(jié)點(diǎn)的行為脆弱性

為實(shí)現(xiàn) “長(zhǎng)期潛伏”和“持續(xù)滲透”的目的，APT必須以細(xì)微的“類正?！毙袨閷?shí)施攻擊。常規(guī)的系統(tǒng)防護(hù)軟件基于時(shí)間節(jié)點(diǎn)或基于異常行為對(duì)系統(tǒng)進(jìn)行檢測(cè)，因此APT的這些行為通常不會(huì)被發(fā)現(xiàn)。但是如果在較長(zhǎng)時(shí)間內(nèi)對(duì)系統(tǒng)行為進(jìn)行統(tǒng)計(jì)分析，則可通過APT攻擊的元特征出現(xiàn)的頻次對(duì)該節(jié)點(diǎn)的行為脆弱性進(jìn)行量化。

APT在不同的階段表現(xiàn)出不同的元特征，隨著攻擊階段的推進(jìn)，其元特征所代表的節(jié)點(diǎn)行為脆弱性也會(huì)逐漸增大。APT攻擊各階段元特征的脆弱性可用向量VM表示

其中vS

根據(jù)表1所列舉的元特征，任意節(jié)點(diǎn)i在各階段元特征出現(xiàn)的頻率用向量表示為

則系統(tǒng)節(jié)點(diǎn)的行為脆弱性向量可通過以下公式得到

(1)

(1)式中：x代表系統(tǒng)中節(jié)點(diǎn)的個(gè)數(shù)；NM(i)代表第i個(gè)節(jié)點(diǎn)處元特征出現(xiàn)頻次的向量。

算法1 系統(tǒng)節(jié)點(diǎn)的行為脆弱性向量VI。

輸入：APT攻擊元特征脆弱性向量VM，系統(tǒng)元特征出現(xiàn)頻次矩陣NM。

輸出：系統(tǒng)節(jié)點(diǎn)的行為脆弱性向量VI。

1)初始化VI；

2)獲取系統(tǒng)APT攻擊元特征脆弱性向量VM；

3)獲取系統(tǒng)元特征出現(xiàn)頻次矩陣NM；

5)返回VI。

2.2 基于RAAG模型的通聯(lián)脆弱性

定義3 系統(tǒng)風(fēng)險(xiǎn)屬性攻擊圖。系統(tǒng)風(fēng)險(xiǎn)屬性攻擊圖RAAG以系統(tǒng)中單個(gè)設(shè)備為節(jié)點(diǎn)，以各節(jié)點(diǎn)之間的脆弱性傳播路徑為有向邊，將系統(tǒng)抽象為一個(gè)有向圖RAAG={N,L}，N={n(1),n(2),…,n(x)}是節(jié)點(diǎn)的集合，代表了系統(tǒng)中所有可能受到攻擊的設(shè)備，L={lij}0≤i,j≤x是邊的集合，代表了系統(tǒng)各節(jié)點(diǎn)之間脆弱性的相互影響。

定義4 通聯(lián)脆弱性矩陣。設(shè)RAAG是由x個(gè)節(jié)點(diǎn)組成的風(fēng)險(xiǎn)屬性攻擊圖，VO是RAAG的通聯(lián)脆弱性矩陣，則風(fēng)險(xiǎn)屬性攻擊圖RAAG與通聯(lián)脆弱性矩陣VO之間存在以下關(guān)系。

1)風(fēng)險(xiǎn)屬性攻擊圖RAAG與通聯(lián)脆弱性矩陣VO一一對(duì)應(yīng)；

2)在通聯(lián)脆弱性矩陣VO中，若存在除對(duì)角線上元素之外全為0的行或列，其所對(duì)應(yīng)的節(jié)點(diǎn)是系統(tǒng)中的孤立節(jié)點(diǎn)，對(duì)攻擊的傳播不產(chǎn)生影響；

3)在風(fēng)險(xiǎn)屬性攻擊圖中，從節(jié)點(diǎn)n(i)出發(fā)，經(jīng)過一條邊可到達(dá)節(jié)點(diǎn)n(j)，則稱n(i)到n(j)存在步長(zhǎng)為1的通路，則此時(shí)矩陣VO中對(duì)應(yīng)的第i行第j列元素為通聯(lián)脆弱值aij，否則為0。

通聯(lián)脆弱性矩陣VO表示為

(2)

(2)式中：對(duì)角線上的元素aii全為1；x為系統(tǒng)節(jié)點(diǎn)個(gè)數(shù)。

本文借鑒美國(guó)國(guó)家基礎(chǔ)設(shè)施顧問委員會(huì)提出的用于評(píng)估漏洞風(fēng)險(xiǎn)的通用漏洞評(píng)分系統(tǒng)(common vulnerability scoring system，CVSS)框架[9]，對(duì)系統(tǒng)通聯(lián)脆弱性進(jìn)行量化分析。在CVSS下，節(jié)點(diǎn)之間的連通度由信息可獲取性(access vector，AV)、主機(jī)可連接性(authentication，AU)和威脅可利用性(access complexity，AC)來衡量，因此，本文同樣采用這3個(gè)指標(biāo)來計(jì)算系統(tǒng)各節(jié)點(diǎn)之間的通聯(lián)脆弱性。為簡(jiǎn)化分析，我們假設(shè)系統(tǒng)中攻擊的威脅可利用性AC為定值1，則節(jié)點(diǎn)i到節(jié)點(diǎn)j的通聯(lián)脆弱性為

(3)

(3)式中：aij∈[0,1]；AUij表示節(jié)點(diǎn)i到節(jié)點(diǎn)j(i≠j)的通聯(lián)情況，取值為

AVij表示節(jié)點(diǎn)i到節(jié)點(diǎn)j的信息獲取能力，與節(jié)點(diǎn)i和節(jié)點(diǎn)j的權(quán)限有關(guān)，參考CVSS推薦分值，其取值情況為

顯然，若節(jié)點(diǎn)i與節(jié)點(diǎn)j之間無通聯(lián)關(guān)系，則aij=0，即節(jié)點(diǎn)的脆弱性之間相互無影響；若節(jié)點(diǎn)i與節(jié)點(diǎn)j(i≠j)之間有通聯(lián)關(guān)系，則aij的大小取決于節(jié)點(diǎn)i與節(jié)點(diǎn)j的權(quán)限大小，若節(jié)點(diǎn)i的權(quán)限大于節(jié)點(diǎn)j的權(quán)限，則aij>aji，若兩節(jié)點(diǎn)的權(quán)限相同，則aij=aji=1/2。

算法2 系統(tǒng)節(jié)點(diǎn)的通聯(lián)脆弱性矩陣VO。

輸入：系統(tǒng)風(fēng)險(xiǎn)屬性攻擊圖RAAG={N,L}，系統(tǒng)節(jié)點(diǎn)優(yōu)先級(jí)向量S。

輸出：系統(tǒng)節(jié)點(diǎn)通聯(lián)脆弱性矩陣VO。

1)初始化通聯(lián)脆弱性矩陣VO=O，節(jié)點(diǎn)通聯(lián)矩陣AU=O，信息獲取能力矩陣AV=O；

2)構(gòu)建系統(tǒng)風(fēng)險(xiǎn)屬性攻擊圖RAAG；

3)獲取系統(tǒng)節(jié)點(diǎn)優(yōu)先級(jí)向量S；

4)令j=1；

5)令i=1；

6)判斷l(xiāng)[i][j]∈L？若是，令A(yù)U[i][j]=1，轉(zhuǎn)至步驟7)；否則，轉(zhuǎn)至步驟9)；

7)判斷S[i]>S[j]？若是，令A(yù)V[i][j]=0.395；否則，轉(zhuǎn)至步驟8)；

8)判斷S[i]

10)令i=i+1。判斷是否i≤x，若是，轉(zhuǎn)至步驟6)；否則，轉(zhuǎn)至步驟11)；

11)令j=j+1,判斷是否j≤x，若是，轉(zhuǎn)至步驟5)；否則，轉(zhuǎn)至步驟12)；

12)返回VO。

2.3 系統(tǒng)脆弱節(jié)點(diǎn)的檢測(cè)

根據(jù)上述分析，系統(tǒng)節(jié)點(diǎn)的脆弱性由節(jié)點(diǎn)自身行為的脆弱性以及系統(tǒng)通聯(lián)關(guān)系所決定，對(duì)系統(tǒng)全部節(jié)點(diǎn)的脆弱性進(jìn)行量化分析，可直觀確定在APT攻擊下系統(tǒng)中的脆弱節(jié)點(diǎn)。系統(tǒng)節(jié)點(diǎn)脆弱性向量為

該向量的各項(xiàng)數(shù)值定量描述了系統(tǒng)中各節(jié)點(diǎn)的脆弱性，即各節(jié)點(diǎn)受到APT攻擊的可能性，因此，該向量中最大值所對(duì)應(yīng)的節(jié)點(diǎn)為系統(tǒng)脆弱節(jié)點(diǎn)。

算法3 判斷系統(tǒng)脆弱節(jié)點(diǎn)k。

輸入：行為脆弱性向量VI,通聯(lián)脆弱性矩陣VO。

輸出：系統(tǒng)脆弱節(jié)點(diǎn)k。

1)初始化k=1，V=O。

2)構(gòu)建系統(tǒng)通聯(lián)脆弱性矩陣VO；

3)獲得行為脆弱性向量VI；

4)令i=0；

5)計(jì)算i=i+1，判斷i≤x？若是，令V[i]=VI×VO[i]；否則，轉(zhuǎn)至步驟6)

6)令V=[V(1)，V(2)，…，V(x)]；

7)令V(k)=maxV(j)；

8)返回k。

3 實(shí)驗(yàn)驗(yàn)證

為綜合驗(yàn)證本文所提出檢測(cè)方法的有效性，設(shè)計(jì)如圖1所示的實(shí)驗(yàn)網(wǎng)絡(luò)作為實(shí)例，檢測(cè)網(wǎng)絡(luò)在APT攻擊下存在的脆弱節(jié)點(diǎn)。

3.1 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)拓?fù)淙鐖D2所示。實(shí)驗(yàn)網(wǎng)絡(luò)系統(tǒng)中共有7臺(tái)設(shè)備，分為隔離區(qū)(demilitarized zone，DMZ)與內(nèi)部網(wǎng)絡(luò)2部分。DMZ區(qū)域包括2臺(tái)服務(wù)器：Web服務(wù)器和Email服務(wù)器；內(nèi)部網(wǎng)絡(luò)中有4臺(tái)主機(jī)和1臺(tái)File服務(wù)器，其中，F(xiàn)ile服務(wù)器用于存儲(chǔ)重要的內(nèi)部數(shù)據(jù)。防火墻使外部主機(jī)只能訪問DMZ區(qū)域的主機(jī)；DMZ區(qū)域內(nèi)的Web服務(wù)器和Email服務(wù)器可以向內(nèi)部網(wǎng)絡(luò)中的全部設(shè)備提供服務(wù)，但不能訪問File服務(wù)器；內(nèi)部網(wǎng)絡(luò)中，只有主機(jī)4可以訪問整個(gè)系統(tǒng)中的所有設(shè)備，包括DMZ區(qū)域的服務(wù)器和內(nèi)部網(wǎng)絡(luò)中的任意主機(jī)，而剩余的3臺(tái)主機(jī)無法訪問主機(jī)4。防火墻的具體規(guī)則如表2所示。

圖1 實(shí)驗(yàn)網(wǎng)絡(luò)系統(tǒng)拓?fù)鋱DFig.1 Experimental network topology

源主機(jī)目的主機(jī)協(xié)議策略AllEmailServerSMTPAllowAllWebServerHTTPAllow主機(jī)4FileServerFTPAllow

數(shù)據(jù)來源：收集2015年3月12日到2015年3月14日的系統(tǒng)狀態(tài)，收集過程不連續(xù)，收集時(shí)間共計(jì)約12 h。

網(wǎng)絡(luò)系統(tǒng)中的設(shè)備統(tǒng)一為Windows7系統(tǒng)，IDS為Snort2.9。

3.2 數(shù)據(jù)分析

3.2.1 建立RAAG模型

根據(jù)實(shí)驗(yàn)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，為該網(wǎng)絡(luò)建立風(fēng)險(xiǎn)屬性攻擊圖模型，如圖2所示。

圖2 實(shí)驗(yàn)網(wǎng)絡(luò)的風(fēng)險(xiǎn)屬性攻擊圖Fig.2 Risk attribute attack of the experimental network

3.2.2 數(shù)據(jù)收集

實(shí)驗(yàn)中所用數(shù)據(jù)的統(tǒng)計(jì)信息詳見表3。

表3 各節(jié)點(diǎn)狀態(tài)信息Tab.3 Each node status information

3.2.3 數(shù)據(jù)分析

1)計(jì)算節(jié)點(diǎn)行為脆弱性向量。通過咨詢相關(guān)專家和研究相關(guān)文獻(xiàn)資料，對(duì)APT攻擊各階段元特征的脆弱性進(jìn)行評(píng)價(jià)，可以得到脆弱性向量為VM=[0.001,0.002,0.004,0.006] 將表2所統(tǒng)計(jì)的數(shù)據(jù)通過算法1，即可獲得系統(tǒng)各節(jié)點(diǎn)的行為脆弱性

[0.001 9,0.002 0,0.002 5,0.002 9,

0.002 2,0.002 3,0.002 2] 2)計(jì)算節(jié)點(diǎn)通聯(lián)脆弱性矩陣。從表3中可以看出，實(shí)驗(yàn)網(wǎng)絡(luò)設(shè)備有3個(gè)不同權(quán)限級(jí)別，其中Web Server和Email Server級(jí)別最低，F(xiàn)ile Server和主機(jī)4則具有最高權(quán)限。通過計(jì)算得到系統(tǒng)各節(jié)點(diǎn)之間的通聯(lián)脆弱性矩陣為

3)計(jì)算節(jié)點(diǎn)脆弱性向量。通過算法3，可以計(jì)算得到系統(tǒng)各節(jié)點(diǎn)的脆弱性向量

V=[0.008 7,0.010 1,0.003 6,0.008 6,

0.008 3,0.008 3,0.003 4]

容易看出，該系統(tǒng)各節(jié)點(diǎn)的脆弱程度為：

EmailServer>WebServer>主機(jī)1>主機(jī)2，3>FileServer>主機(jī)4。

4)結(jié)論分析。由上述計(jì)算結(jié)果可以看出，DMZ區(qū)域的Web服務(wù)器和Email服務(wù)器最有可能已受到APT攻擊。而實(shí)際上，這2臺(tái)設(shè)備是內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的接口，攻擊方若想進(jìn)入內(nèi)部網(wǎng)絡(luò)，必然需要經(jīng)過這2個(gè)服務(wù)器，其重要性不言而喻。主機(jī)4和File服務(wù)器擁有最高級(jí)別的權(quán)限，其訪問控制更加嚴(yán)格，因此脆弱性相對(duì)較低。對(duì)防御方而言，DMZ區(qū)域的2臺(tái)服務(wù)器應(yīng)當(dāng)做為防御攻擊的關(guān)鍵，加大對(duì)其保護(hù)措施和監(jiān)控力度，以此確保整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全。

4 結(jié)束語

本文主要研究了在APT攻擊下網(wǎng)絡(luò)系統(tǒng)脆弱節(jié)點(diǎn)的發(fā)現(xiàn)與檢測(cè)，該方法主要有3點(diǎn)優(yōu)勢(shì)。

1)針對(duì)APT攻擊的特點(diǎn)，提出能夠代表攻擊行為的元特征。從攻擊者的角度對(duì)攻擊行為進(jìn)行分析，得到APT攻擊行為的元特征，為發(fā)現(xiàn)APT攻擊的痕跡提供支持。

2)引入攻擊圖的理論進(jìn)行分析，提出系統(tǒng)風(fēng)險(xiǎn)屬性攻擊圖模型。針對(duì)APT攻擊所特有的“持續(xù)滲透”特性，對(duì)系統(tǒng)各節(jié)點(diǎn)之間的脆弱性影響進(jìn)行定量評(píng)價(jià)，合理利用CVSS的理論，計(jì)算各節(jié)點(diǎn)之間的通聯(lián)脆弱性。

3)在上述模型的基礎(chǔ)上，綜合分析系統(tǒng)節(jié)點(diǎn)自身的脆弱性以及系統(tǒng)拓?fù)浣Y(jié)構(gòu)所引起的通聯(lián)脆弱性，合理地評(píng)估計(jì)算系統(tǒng)各節(jié)點(diǎn)的脆弱性，從而發(fā)現(xiàn)最可能遭受攻擊的節(jié)點(diǎn)。

本文作為APT檢測(cè)與防御的基礎(chǔ)，對(duì)于系統(tǒng)歷史數(shù)據(jù)的依賴性較大，對(duì)實(shí)時(shí)數(shù)據(jù)處理效率不高，所以在復(fù)雜大系統(tǒng)的實(shí)際運(yùn)用上仍存在一定的問題。下一步的工作將圍繞以下兩方面進(jìn)行：①APT攻擊行為鏈的發(fā)現(xiàn)與關(guān)聯(lián)；②APT攻擊最優(yōu)主動(dòng)防御策略的研究。

[1] 杜躍進(jìn)，翟立東，李躍，等. 一種應(yīng)對(duì)APT攻擊的安全架構(gòu)：異常發(fā)現(xiàn)[J]. 計(jì)算機(jī)研究與發(fā)展,2014,51(7):1633-1645.DUYuejin，ZHAILidong，LIYue，etal.SecurityArchitecturetoDealwithAPTAttacks：AbnormalDiscovery[J].JournalofComputerResearchandDevelopment，2014，51(7)：1633-1645.

[2] 陳劍鋒,王強(qiáng),伍淼. 網(wǎng)絡(luò)APT攻擊及防范策略[J]. 信息安全與通信保密,2012,25(07):24-27.CHENJianfeng，WANGQiang，WUMiao.Network-basedAPTAttackandDefenseStrategies[J].InformationSecurityandCommunicationsPrivacy，2012，25(07)：24-27.

[3]KATOMasahiko,MATSUNAMITakumi,KANAOKAAkira,etal.TracingadvancedpersistentthreatsinnetworkedSystems[C]//AutomatedSecurityManagement.Switzerland:Springer,2013: 179-187.

[4]LIUShunte,CHENYiming,HUNGHuiching.N-victims:anapproachtodetermineN-victimsforAPTinvestigations[C]//13thInternationalWorkshop,WISA2012.Berlin:Springer,2012: 226-240.

[5]KIMYongho,PARKWonhyung.AstudyoncyberthreatpredictionbasedonintrusiondetectioneventforAPTattackdetection[C]//MultimedToolsApplication2014.NewYork:Springer. 2014(71): 685-698.

[6]BURGHOUWTPieter,SPRUITMarcel,SIPSHenk.Detectionofchannelsbycasualanalysisoftrafficflows[C]//The5thInternationalSymposiumonCyberspaceSafetyandSecurity.Zhangjiajie:Springer,2013:117-131.

[7]ZHAOWentao,WANGPengfei,ZHANGFan.Extendedpetrinet-basedadvancedpersistentthreatanalysismodel[C]//Proceedingsofthe2013InternationalConferenceonComputerEngineeringandNetwork.Switzerland:Springer,2014, 277:1297-1305.

[8] 王永杰,鮮明,劉進(jìn),等. 基于攻擊圖模型的網(wǎng)絡(luò)安全評(píng)估研究[J].通信學(xué)報(bào),2007,28(3):29-34.WANGYongjie，XIANMing，LIUJing.Studyofnetworksecurityevaluationbasedonattackgraphmodel[J].JournalonCommunications, 2007,28(3):29-34.

[9]MELPeter,SCARFONEKaren.Commonvulnerabilityscoringsystemversion2.0[EB/OL]. (2007-6-13)[2017-02-11].https://www.first.org/cvss/cvss-v2-guide.pdf.

(編輯：田海江)

s：The Chongqing Social Science Planning Project(2014SKZ26，2014YBFX103)；The National Science and Technology Support Project(2015BAH29F01)

The stealthy attack behaviors and long-term attack period of advanced persistent threats cause greater difficulty of attack detection. Based on that, the theory of attack graph is introduced into the research of anti-APT attack and the method for assessing vulnerable system nodes on the basis of attack graph is proposed. Firstly, the abnormal characteristics of APT attack is abstracted and defined to establish the Risk Attribute Attack Graph of targeted network system. Secondly, the behavior-vulnerability of system nodes are evaluated based on the characteristics of attack behaviors and the transmission-vulnerability of system nodes are evaluated based on the attack graph model. Finally, the overall-vulnerability is calculated to assess the vulnerable node. The experimental result shows that the proposed method can effectively quantify the characteristics of attack behavior and evaluate the vulnerability of system nodes.

advanced persistent threat(APT)attack; attack graph; attack features; vulnerability assessment

10.3979/j.issn.1673-825X.2017.04.017

2016-07-20

2017-02-28 通訊作者：黃永洪 flood_linux@163.com

重慶市社會(huì)科學(xué)規(guī)劃項(xiàng)目(2014SKZ26，2014YBFX103)；國(guó)家科技支撐計(jì)劃項(xiàng)目(2015BAH29F01)

TP393

A

1673-825X(2017)04-0535-07

Graph-based vulnerability assessment for APT attack

(1. School of Cyber Security and Information Law，Chongqing University of Posts and Telecommunications，Chongqing 400065，P.R. China；2. School of Computer Science and Technology，Chongqing University of Posts and Telecommunications，Chongqing 400065，P.R. China；3. Cryptography Engineering Institute，The PLA Information Engineering University，Zhengzhou 450002，P.R. China)

黃永洪(1974-)，男，重慶人，講師，碩士，主要研究方向?yàn)樾畔踩碗娮幼C據(jù)。E-mail：flood_linux@163.com。 吳一凡(1993-)，女，貴州凱里人，碩士研究生，主要研究方向?yàn)闄C(jī)器學(xué)習(xí)與可視計(jì)算。E-mail：629406177@qq.com。 楊豪璞(1993-)，女，湖北武漢人，碩士研究生，主要研究方向?yàn)樾畔踩?。E-mail：memo_yang@163.com。 李 翠(1993-)，女，山東菏澤人，碩士研究生，主要研究方向?yàn)殡娮幼C據(jù)。E-mail：369660533@qq.com。

HUANG Yonghong1, WU Yifan2, YANG Haopu3, LI Cui1