李立勛，張斌，董書(shū)琴

?

網(wǎng)絡(luò)動(dòng)態(tài)防御體系下主機(jī)安全威脅分析方法

李立勛1,2，張斌1,2，董書(shū)琴1,2

（1. 信息工程大學(xué)，河南 鄭州 450001； 2. 河南省信息安全重點(diǎn)實(shí)驗(yàn)室，河南 鄭州 450001）

分析網(wǎng)絡(luò)動(dòng)態(tài)防御體系下的主機(jī)安全威脅必須考慮動(dòng)態(tài)變換給主機(jī)脆弱性造成的不確定性。為此，首先，利用隨機(jī)抽樣模型對(duì)網(wǎng)絡(luò)動(dòng)態(tài)防御變換周期和變換空間給主機(jī)脆弱性造成的不確定性進(jìn)行量化，并結(jié)合通用漏洞評(píng)分系統(tǒng)CVSS (common vulnerability scoring system)計(jì)算入侵者針對(duì)單個(gè)脆弱性的入侵成功概率；其次，為避免多脆弱性情況下的入侵路徑搜索過(guò)程出現(xiàn)自環(huán)，引入節(jié)點(diǎn)訪問(wèn)隊(duì)列并提出改進(jìn)的遞歸深度優(yōu)先入侵路徑搜索算法；然后基于求得的脆弱性入侵成功概率計(jì)算多脆弱性多入侵路徑情況下的主機(jī)安全威脅度；最后，在典型網(wǎng)絡(luò)動(dòng)態(tài)防御環(huán)境中進(jìn)行實(shí)驗(yàn)，驗(yàn)證了方法的可用性和有效性。

網(wǎng)絡(luò)安全；網(wǎng)絡(luò)動(dòng)態(tài)防御；主機(jī)安全威脅分析；入侵成功概率；入侵者權(quán)限轉(zhuǎn)移圖

1 引言

網(wǎng)絡(luò)動(dòng)態(tài)防御（NDD, network dynamic defense）技術(shù)通過(guò)對(duì)安全目標(biāo)及其對(duì)外呈現(xiàn)形式實(shí)施空間和時(shí)間上的動(dòng)態(tài)變化來(lái)降低信息系統(tǒng)確定性、靜態(tài)性和同構(gòu)性，增大入侵者探測(cè)、利用主機(jī)脆弱性和維持已有滲透成果的成本和難度，進(jìn)而降低入侵成功概率[1,2]。分析NDD體系下主機(jī)面臨的安全威脅有助于準(zhǔn)確掌握主機(jī)安全狀態(tài)并合理制訂更為有效的NDD策略。

目前，通常從脆弱性利用角度剖析主機(jī)面臨的安全威脅[3]。傳統(tǒng)靜態(tài)網(wǎng)絡(luò)體系下主機(jī)脆弱性保持不變，可結(jié)合脆弱性的CVSS量化值計(jì)算主機(jī)安全威脅。然而在NDD體系下，主機(jī)脆弱性會(huì)由于NDD變換周期和變換空間的動(dòng)態(tài)變換而呈現(xiàn)不確定性，此時(shí)基于主機(jī)脆弱性實(shí)施安全威脅分析需要解決2個(gè)問(wèn)題：1) 量化NDD技術(shù)的變換周期和變換空間給單個(gè)主機(jī)脆弱性造成的不確定性；2) 量化NDD體系中多脆弱性和多入侵路徑對(duì)主機(jī)安全威脅造成的影響。

針對(duì)問(wèn)題1)，文獻(xiàn)[4,5]提出基于隨機(jī)抽樣的方法，利用隨機(jī)抽樣模型對(duì)網(wǎng)絡(luò)入侵過(guò)程建模，可用于量化變換周期和變換空間給主機(jī)脆弱性造成的不確定性，但是其方法只適用于分析主機(jī)僅存在單個(gè)脆弱性的情況。針對(duì)問(wèn)題2)，文獻(xiàn)[6~8]提出基于圖論的方法，利用有向圖對(duì)NDD體系下入侵者狀態(tài)轉(zhuǎn)移過(guò)程以及攻擊步驟間的依賴(lài)關(guān)系進(jìn)行建模，計(jì)算入侵成功概率和攻擊成本，此類(lèi)方法可分析NDD體系存在多個(gè)脆弱性時(shí)主機(jī)面臨的安全威脅，但是其主要關(guān)注變換周期對(duì)安全威脅的影響，未同時(shí)考慮變換空間因素。

本文首先利用隨機(jī)抽樣模型量化NDD技術(shù)的變換周期和變換空間給主機(jī)脆弱性造成的不確定性，并結(jié)合CVSS量化值計(jì)算入侵者利用單個(gè)脆弱性實(shí)施入侵時(shí)的入侵成功概率；然后構(gòu)建入侵者權(quán)限轉(zhuǎn)移圖用以搜索入侵者利用多個(gè)脆弱性實(shí)施入侵時(shí)的潛在入侵路徑；最后定義主機(jī)安全威脅度，并提出在多脆弱性多入侵路徑情況下利用入侵成功概率計(jì)算主機(jī)安全威脅度的方法。

2 單脆弱性入侵成功概率

NDD機(jī)制實(shí)施動(dòng)態(tài)變換的對(duì)象包括硬件平臺(tái)、軟件版本、服務(wù)端口等，而變換時(shí)機(jī)包括隨機(jī)變換、定時(shí)變換和驅(qū)動(dòng)性變換[1]。因此，為刻畫(huà)NDD機(jī)制的變換對(duì)象、變換時(shí)機(jī)與主機(jī)脆弱性的關(guān)系，給出NDD體系下的主機(jī)脆弱性定義如下。

3 多脆弱性入侵路徑

3.1 入侵者權(quán)限轉(zhuǎn)移圖

下面根據(jù)入侵者初始權(quán)限、連接關(guān)系和脆弱性權(quán)限構(gòu)造入侵者權(quán)限轉(zhuǎn)移圖。

else

3.2 入侵路徑搜索

算法2 IDFPS算法

else

end while

4 主機(jī)安全威脅度

文獻(xiàn)[3]將脆弱性利用威脅度定義為從攻擊圖到區(qū)間[0,1]的映射，入侵者達(dá)成脆弱性利用目標(biāo)成功率越大，脆弱性利用威脅度越大，反之越小。本文對(duì)該定義進(jìn)行擴(kuò)展，定義主機(jī)安全威脅度，并給出計(jì)算方法。

在單條路徑上，通過(guò)任意一種方法入侵成功均可視作通過(guò)該路徑入侵成功，所以該路徑的入侵成功概率為

5 實(shí)驗(yàn)測(cè)試與分析

5.1 環(huán)境設(shè)置

搭建如圖1所示的網(wǎng)絡(luò)環(huán)境，其中，企業(yè)網(wǎng)根據(jù)防火墻安全規(guī)則分為內(nèi)網(wǎng)辦公區(qū)和DMZ區(qū)。內(nèi)網(wǎng)辦公區(qū)設(shè)置1臺(tái)數(shù)據(jù)庫(kù)服務(wù)器和1臺(tái)辦公主機(jī)，模擬正常辦公環(huán)境。DMZ區(qū)設(shè)置1臺(tái)Web服務(wù)器和1臺(tái)郵件服務(wù)器。攻擊者主機(jī)位于外部網(wǎng)絡(luò)，可通過(guò)Internet對(duì)企業(yè)網(wǎng)進(jìn)行入侵。各主機(jī)脆弱性見(jiàn)表1。

表1中Telnet弱口令沒(méi)有對(duì)應(yīng)的CVE編號(hào)，但是根據(jù)CVSS標(biāo)準(zhǔn)，該脆弱性可以導(dǎo)致遠(yuǎn)程獲取目標(biāo)主機(jī)最高權(quán)限，且攻擊復(fù)雜度低，故將其利用成功概率定為0.8。

圖1 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)?/p>

表1 主機(jī)脆弱性

分別在Server1上應(yīng)用Web服務(wù)多態(tài)化[10]技術(shù)、Server3上應(yīng)用數(shù)據(jù)庫(kù)接口隨機(jī)化[11]技術(shù)、Switch2上應(yīng)用MTD-switch[12]技術(shù)用以構(gòu)建NDD環(huán)境。其中

5.2 主機(jī)安全威脅分析

由表2可知如下結(jié)論。

1) 在未采取任何防御措施時(shí)，入侵者可通過(guò)9條入侵路徑，共16種入侵方法對(duì)Host實(shí)施入侵。雖然單個(gè)入侵方法的入侵成功概率均在0.3以下，但是主機(jī)安全威脅度卻高達(dá)0.946 37。此時(shí)該網(wǎng)絡(luò)中脆弱性總數(shù)僅為8，然而在實(shí)際網(wǎng)絡(luò)環(huán)境中，由于0day漏洞等的存在，實(shí)際脆弱性數(shù)目將更多。因此，在未采取防御措施時(shí)，Host面臨極大的安全威脅。

2) 數(shù)據(jù)庫(kù)接口隨機(jī)化降低了入侵者對(duì)脆弱性5的探測(cè)成功概率，但是因?yàn)橹蛔饔糜赟erver3的數(shù)據(jù)庫(kù)服務(wù)，所以該技術(shù)對(duì)其他脆弱性的探測(cè)成功概率并沒(méi)有影響，進(jìn)而未明顯降低Host的安全威脅。與無(wú)防御措施時(shí)相比，Host的安全威脅降低幅度僅為1.5%。

3) Web服務(wù)多態(tài)化減小了脆弱性1和2的暴露時(shí)間，增加了主機(jī)脆弱性的不確定性。與數(shù)據(jù)庫(kù)接口隨機(jī)化相比，因?yàn)橥瑫r(shí)降低了2個(gè)脆弱性的探測(cè)成功概率，所以取得了更好的防御效果。與無(wú)防御措施相比，Host的安全威脅降低幅度為9.3%。

圖2 入侵者權(quán)限轉(zhuǎn)移圖APTG

表2 入侵成功概率和主機(jī)安全威脅

4) 與數(shù)據(jù)庫(kù)接口隨機(jī)化和Web服務(wù)多態(tài)化相比，Host在MTD-switch保護(hù)下的安全威脅降低為0.686 4。這是因?yàn)樵摷夹g(shù)部署于內(nèi)網(wǎng)辦公區(qū)，通過(guò)同時(shí)動(dòng)態(tài)變換Server3和Host的IP地址，增加了脆弱性4、5、6、7、8的不確定性，所以取得了更為顯著的防御效果。與無(wú)防御措施相比，主機(jī)安全威脅降低幅度為27.5%。

5) 若同時(shí)部署3類(lèi)NDD方案，會(huì)進(jìn)一步將Host面臨的安全威脅降低至0.515 68，與無(wú)防御措施相比，降低幅度為45.5%。

6 結(jié)束語(yǔ)

本文提出一種NDD體系的主機(jī)安全威脅分析方法，可用于分析NDD體系中多脆弱性多入侵路徑情況下主機(jī)面臨的安全威脅。首先利用隨機(jī)抽樣模型對(duì)動(dòng)態(tài)變換給主機(jī)脆弱性造成的不確定性進(jìn)行量化，并給出入侵者針對(duì)單個(gè)脆弱性的入侵成功概率計(jì)算方法；然后提出改進(jìn)的遞歸深度優(yōu)先入侵路徑搜索算法以避免路徑搜索過(guò)程中出現(xiàn)自環(huán)；最后基于脆弱性入侵成功概率計(jì)算多脆弱性多入侵路徑情況下的主機(jī)安全威脅。實(shí)驗(yàn)結(jié)果表明，所提方法可適用于多種類(lèi)型NDD技術(shù)防護(hù)下的主機(jī)安全威脅分析。未來(lái)將繼續(xù)研究如何根據(jù)主機(jī)安全威脅分析結(jié)果制訂最優(yōu)NDD策略。

[1] 蔡桂林, 王寶生, 王天佐, 等. 移動(dòng)目標(biāo)防御技術(shù)研究進(jìn)展[J]. 計(jì)算機(jī)研究與發(fā)展, 2016, 53(5):968-987.

CAI G L, WANG B S, WANG T Z, et al. Research and development of moving target defense technology[J]. Journal of Computer Research and Development, 2016, 53(5):968-987.

[2] 楊林, 于全. 動(dòng)態(tài)賦能網(wǎng)絡(luò)空間防御[M].北京：人民郵電出版社, 2016.

YANG L, YU Q. Dynamically-enabled cyber defense[M]. Beijing: Post & Telecom Press, 2016.

[3] 吳迪, 連一峰, 陳愷, 等. 一種基于攻擊圖的安全威脅識(shí)別和分析方法[J]. 計(jì)算機(jī)學(xué)報(bào), 2012, 35(9):1938-1950.

WU D, LIAN Y F, CHEN K, et al. A security threats identification and analysis method based on attack graph[J]. Chinese Journal of Computers, 2012, 35(9):1938-1950.

[4] CARROLL T E, CROUSE M, FULP E W, et al. Analysis of network address shuffling as a moving target defense[C]// IEEE International Conference on Communications. 2014:701-706.

[5] LUO Y B, WANG B S, CAI G L. Effectiveness of port hopping as a moving target defense[C]// International Conference on Security Technology. 2014:7-10.

[6] HAMLET J R, LAMB C C. Dependency graph analysis and moving target defense selection[C]// ACM Workshop on Moving Target Defense. 2016:105-116.

[7] 雷程, 馬多賀, 張紅旗, 等. 基于變點(diǎn)檢測(cè)的網(wǎng)絡(luò)移動(dòng)目標(biāo)防御效能評(píng)估方法[J]. 通信學(xué)報(bào), 2017, 38(1):126-140.

LEI C, MA D H, ZHANG H Q, et, al. Performance assessment approach based on change-point detection for network moving target defense[J]. Journal on Communications, 2017, 38(1):126-140.

[8] ZHUANG R, DELOACH S A, OU X. A model for analyzing the effect of moving target defenses on enterprise networks[C]// Cyber and Information Security Research Conference. 2014:73-76.

[9] 陳鋒, 張怡, 蘇金樹(shù),等. 攻擊圖的兩種形式化分析[J]. 軟件學(xué)報(bào), 2010, 21(4):838-848.

CHEN F, ZHANG Y, SU J S, et al. Two formal analyses of attack graphs[J]. Journal of Software, 2010, 21(4):838-848.

[10] YIH H, ANUP K G. Introducing diversity and uncertainty to create moving attack surfaces for Web services[M]// Moving Target Defense. Springer, 2011:131-151.

[11] CHRISTODORESCU M, FREDRIKSON M, JHA S, et al. End-to-end software diversification of internet services[M]// Moving Target Defense. Springer, 2011:117-130.

[12] 崔臣浩, 祝躍飛, 李偉, 等. 基于移動(dòng)目標(biāo)防御的內(nèi)網(wǎng)防滲透技術(shù)研究[J]. 計(jì)算機(jī)應(yīng)用研究, 2016, 33(4):1141-1144.

CUI C H, ZHU Y F, LI W, et al. Research on inner network permeating prevention based on moving target defense[J]. Application Research of Computers, 2016, 33(4):1141-1144.

Host security threat analysis approach for network dynamic defense

LI Lixun1,2, ZHANG Bin1,2, DONG Shuqin1,2

1. Information Engineering University, Zhengzhou 450001, China 2. Henan Province Information Security Key Laboratory, Zhengzhou 450001, China

Calculating the host security threat in network dynamic defense (NDD) situation has to consider the vulnerabilities’ uncertainty because of dynamic mutation. Firstly, the vulnerabilities’ uncertainty caused by the mutation space and the mutation period was calculated by random sampling model, and combined with the CVSS, the attack success probability formula of single vulnerability was derived. Secondly, to avoid self-loop during the path searching process in multiple vulnerabilities situation, an improved recursive depth first algorithm which combined with node visited queue was proposed. Then, the host security threat was calculated based on attack success probability in the situation of multiple vulnerabilities and paths. Finally, approach’s availability and effectiveness were verified by an experiment conducted in a typical NDD situation.

cyber security, network dynamic defense, host security threat analysis, attack success probability, attacker privilege transfer graph

TP393

A

10.11959/j.issn.2096-109x.2018031

2018-03-02；

2018-03-28

李立勛，lilixun_1994@126.com

河南省基礎(chǔ)與前沿技術(shù)研究計(jì)劃基金資助項(xiàng)目（No. 2014302903）；信息保障技術(shù)重點(diǎn)實(shí)驗(yàn)室開(kāi)放基金資助項(xiàng)目（No. KJ-15-109）；信息工程大學(xué)新興科研方向培育基金資助項(xiàng)目（No. 2016604703）

李立勛（1994-），男，四川都江堰人，信息工程大學(xué)碩士生，主要研究方向?yàn)閯?dòng)態(tài)目標(biāo)防御。

張斌（1969-），男，河南鄭州人，信息工程大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)空間安全。

董書(shū)琴（1990-），男，河北邢臺(tái)人，信息工程大學(xué)博士生，主要研究方向?yàn)榫W(wǎng)絡(luò)空間態(tài)勢(shì)感知。

The Foundation and Frontier Technology Research Project of Henan Province (No. 2014302903), Information Protection Technology Key Laboratory Open Fund Project (No. KJ-15-109), New Research Direction Cultivation Fund of Information Engineering University(No. 2016604703)