孫澄，胡浩，楊英杰，張紅旗

融合宏觀與微觀的雙層威脅分析模型

孫澄，胡浩，楊英杰，張紅旗

（信息工程大學(xué)，河南 鄭州 450001）

針對現(xiàn)有威脅分析模型無法兼顧高級安全威脅的宏觀發(fā)展趨勢及微觀傳播路徑的問題，建立了一種雙層威脅分析模型TL-TAM。模型上層刻畫嚴(yán)重程度由低到高的威脅發(fā)展趨勢，下層融合技術(shù)漏洞攻擊、社會工程攻擊及網(wǎng)絡(luò)掃描攻擊，刻畫威脅傳播路徑。據(jù)此，提出了威脅預(yù)測分析算法。實驗結(jié)果表明，模型能夠?qū)ν{傳播進行多層面綜合分析，并且克服了基于攻擊圖的威脅分析模型局限于技術(shù)漏洞攻擊的缺陷，更加適用于高級安全威脅的動態(tài)跟蹤分析。

雙層模型；傳播路徑；社會工程；網(wǎng)絡(luò)掃描

1 引言

作為應(yīng)對網(wǎng)絡(luò)安全威脅的有效手段，動態(tài)威脅分析技術(shù)是近年來網(wǎng)絡(luò)安全領(lǐng)域的研究重點，而針對APT等高級安全威脅的跟蹤分析既是當(dāng)前的研究熱點，也是難點所在。威脅的動態(tài)跟蹤分析需以威脅分析模型為基礎(chǔ)，實時融合多源告警信息進行攻擊級聯(lián)，實現(xiàn)威脅的感知[1]及跟蹤，從而為防御決策的制定提供依據(jù)[2]。因此，提高模型刻畫威脅發(fā)展傳播過程的性能是提升威脅分析質(zhì)量的關(guān)鍵。而高級安全威脅不僅在微觀行為層面綜合利用社會工程等手段，形成了復(fù)雜的傳播路徑，而且在宏觀發(fā)展趨勢上通過多階段攻擊逐步達(dá)成攻擊目的，體現(xiàn)出明顯的階段遞進特征，因此，要實現(xiàn)對高級安全威脅的動態(tài)跟蹤分析，需要建立能夠兼顧宏觀、微觀兩個層面威脅傳播特征的威脅分析模型，提高模型分析的全面性。

現(xiàn)有威脅分析模型大多只針對單個層面的威脅傳播特征進行分析和刻畫，按層次將其劃分為宏觀模型與微觀模型。其中，宏觀模型主要以威脅發(fā)展階段及階段遞進關(guān)系刻畫了威脅的宏觀發(fā)展趨勢。相關(guān)研究包括：Li等[3]利用統(tǒng)計分析法，提取89例APT攻擊事件在攻擊技術(shù)利用方面的特征，構(gòu)建APT階段模型（APT stage model），然而，模型受樣本事件局限，普適性不強；Chen等[4-6]基于殺傷鏈（Kill-chain）[7]這一描述網(wǎng)絡(luò)入侵過程的一般模型，分別結(jié)合威脅特征、檢測能力對階段要素特征展開分析，通過優(yōu)化一般模型，生成具有較好普適性的宏觀模型。然而，該類模型的重點在于攻擊技術(shù)特征的分析，忽視了階段遞進關(guān)系的提煉，無法較好地反映威脅嚴(yán)重程度逐步提升的發(fā)展趨勢，且模型以文字描述為主，未進行形式化表示，不利于進一步應(yīng)用。

微觀模型主要對威脅在目標(biāo)系統(tǒng)內(nèi)的傳播路徑進行了刻畫。由于攻擊圖[8]能夠結(jié)合攻擊知識以及系統(tǒng)場景知識，實現(xiàn)威脅傳播路徑的細(xì)粒度分析，因此成為研究微觀層面威脅傳播的主要模型。吳迪[9]及Wu[10]分別提出了基于顏色Petri網(wǎng)及本體語義推理的攻擊圖構(gòu)建技術(shù)，為基于攻擊圖的威脅分析模型構(gòu)建提供了有效方法；Wang等[11-13]提出了基于攻擊圖的告警信息前后件級聯(lián)算法，對攻擊場景進行識別跟蹤，驗證了攻擊圖在動態(tài)威脅分析領(lǐng)域的效用。而冷強等[14]在屬性攻擊圖的構(gòu)建過程中增加了網(wǎng)絡(luò)服務(wù)關(guān)聯(lián)關(guān)系引起的威脅傳播，使模型對威脅傳播路徑的刻畫更加完整，并依據(jù)權(quán)限提升原則，設(shè)計了告警前件推斷、后件預(yù)測等推斷算法[15]，為基于攻擊圖的動態(tài)威脅分析提供了新的有效方法。然而，以上微觀模型均未考慮社會工程攻擊等非技術(shù)手段引起的威脅傳播，路徑完整性有待提高。

除以上不足外，兩類模型單獨應(yīng)用于威脅跟蹤分析時也存在局限性。其中，宏觀模型雖然能夠在全局層面直觀反映威脅的發(fā)展趨勢，但其結(jié)合目標(biāo)系統(tǒng)場景能力弱，無法刻畫威脅在節(jié)點間的傳播細(xì)節(jié)，難以進行攻擊級聯(lián)。而微觀模型雖然對威脅傳播的細(xì)節(jié)具有較強的分析能力，但未能結(jié)合威脅的宏觀發(fā)展趨勢進行路徑預(yù)測，容易生成大量冗余的路徑。針對以上問題，本文首先利用混合原子攻擊本體建模了社會工程攻擊及網(wǎng)絡(luò)掃描攻擊，將兩類攻擊融入威脅傳播路徑的分析中，構(gòu)建威脅微觀傳播層（micro transfer layer），提高模型刻畫威脅傳播路徑的完整性；在此基礎(chǔ)上，從設(shè)備威脅度出發(fā)，劃分威脅發(fā)展階段，并分析威脅在不同威脅度的設(shè)備間的發(fā)展動向，構(gòu)建威脅宏觀發(fā)展層（macro development layer），為結(jié)合趨勢分析的威脅發(fā)展預(yù)測提供框架；最后基于雙層威脅分析模型（TL-TAM，two-layerthreat analysis model），提出了威脅發(fā)展趨勢預(yù)測算法，為高級安全威脅的動態(tài)跟蹤分析提供支持。

2 TL-TAM模型結(jié)構(gòu)設(shè)計

雙層威脅分析模型TL-TAM是在總結(jié)當(dāng)前宏觀及微觀模型研究成果的基礎(chǔ)上，針對不足進行優(yōu)化改進，涉及概念較為廣泛，為便于下文論述，本節(jié)首先定義相關(guān)概念，然后對模型的總體結(jié)構(gòu)進行介紹。

2.1 相關(guān)概念定義

定義1 原子攻擊[16]。指單步攻擊動作，威脅利用原子攻擊獲取權(quán)限，以此作為下一步傳播的條件，實現(xiàn)在目標(biāo)系統(tǒng)中的持續(xù)傳播。

定義2 威脅度（dot，degree of threat）。指系統(tǒng)設(shè)備被攻陷對核心資產(chǎn)構(gòu)成的威脅程度，設(shè)備被攻陷后產(chǎn)生的威脅度越高，表示威脅越容易由此為起點向核心資產(chǎn)進行傳播。

定義3 攻擊行為框架（af，attack framework）。指單個目標(biāo)設(shè)備上的攻擊場景，本文基于殺傷鏈進行刻畫，af=(Recon, Weapon, Delivery, Exploit, Install, C&C, Obj-Action)，每個元素表示發(fā)生在該設(shè)備上的相應(yīng)類型的原子攻擊。

定義4 設(shè)備訪問路徑（dp，device path）。一組由業(yè)務(wù)訪問關(guān)系鏈接而成的無環(huán)設(shè)備序列，表示為0d，記系統(tǒng)中業(yè)務(wù)訪問關(guān)系集為BR，brBR表示設(shè)備d1對設(shè)備d的業(yè)務(wù)訪問關(guān)系，，。

定義5 威脅傳播路徑（ap，attack path）。一組前后依賴的原子攻擊組成的無環(huán)序列，表示為0→a，且。定義pre(ap)pre(0)，post(ap)post(a)。

定義6 路徑映射：ap→dp。表示威脅傳播路徑與其依托的設(shè)備訪問路徑的映射關(guān)系，給定威脅傳播路徑ap，可通過映射提取并輸出其依托的設(shè)備訪問路徑。其逆向映射記為?1，需要注意的是，同一設(shè)備訪問路徑上可能存在多條威脅傳播路徑，因此給定dp的情況下，通過?1返回的是威脅傳播路徑集AP。

定義8 本體OT。由五元組（,,,,）表示，其中，表示類的集合，表示實例集合，表示關(guān)系的集合，包括類與類之間關(guān)系的集合R，類與實例之間的關(guān)系集合R-I以及實例與實例之間的關(guān)系集合R，表示規(guī)則集合，表示關(guān)系類型的集合。

2.2 模型總體結(jié)構(gòu)

為兼顧高級安全威脅在宏觀、微觀兩個層面的發(fā)展傳播，TL-TAM模型總體結(jié)構(gòu)分為兩個部分，如圖1所示，上層為威脅宏觀發(fā)展層，刻畫威脅嚴(yán)重程度逐步提升的發(fā)展趨勢，下層為威脅微觀傳播層，刻畫威脅利用原子攻擊產(chǎn)生的傳播路徑。模型具體說明如下。

模型整體以二元組（Ma，Mi）表示。其中，Ma為威脅宏觀發(fā)展層，以二元組（，BR）表示，其中為威脅發(fā)展階段集，BR為跨階段的業(yè)務(wù)訪問關(guān)系集，由低威脅度階段的設(shè)備指向高威脅度階段的設(shè)備，表示不同威脅發(fā)展階段間的遞進關(guān)系。Mi為威脅微觀傳播層，以四元組（,,,Pr）表示，其中為權(quán)限節(jié)點集，為原子攻擊節(jié)點集，={×}∪{×}為有向邊，表示權(quán)限節(jié)點與原子攻擊節(jié)點的前后置關(guān)系，Pr為原子攻擊成功概率的集合。單個權(quán)限p及原子攻擊a以O(shè)WL的對象屬性形式表示，下綴∈。函數(shù)pre(.)與post(.)分別為前置節(jié)點、后置節(jié)點提取函數(shù)。

圖1 TL-TAM模型總體結(jié)構(gòu)

Figure 1 Overall structure of TL-TAM

3 威脅宏觀發(fā)展層

威脅宏觀發(fā)展層主要負(fù)責(zé)刻畫威脅的嚴(yán)重程度隨發(fā)展階段遞進而逐步提升的宏觀發(fā)展趨勢，為威脅發(fā)展現(xiàn)狀判定及發(fā)展趨勢預(yù)測提供框架。威脅的不同發(fā)展階段本質(zhì)上代表了對核心資產(chǎn)不同程度的威脅，當(dāng)前宏觀模型存在階段遞進與威脅嚴(yán)重程度提升趨勢契合度不高的問題，其主要原因在于階段劃分未從威脅度這一本質(zhì)出發(fā)，轉(zhuǎn)而以攻擊技術(shù)等外在特征作為依據(jù)。針對這一問題，本文提出了基于威脅度的威脅宏觀發(fā)展層構(gòu)建算法，通過聚合威脅度相近的目標(biāo)設(shè)備構(gòu)建威脅發(fā)展階段，并利用設(shè)備間業(yè)務(wù)訪問關(guān)系刻畫威脅由低威脅度設(shè)備向高威脅度設(shè)備發(fā)展的軌跡。

3.1 威脅度計算

（1）當(dāng)dp={0}時，表示資產(chǎn)所在設(shè)備被攻陷，威脅度取值如下。

系統(tǒng)設(shè)備0至核心資產(chǎn)ass存在多條設(shè)備訪問路徑時，記路徑集為DP，設(shè)備0被攻陷對資產(chǎn)ass的威脅度取所有路徑中威脅度最大者，即

系統(tǒng)中存在多個核心資產(chǎn)時，記核心資產(chǎn)集合為ASS，則設(shè)備0綜合威脅度為其對全部資產(chǎn)的威脅度之和，即

3.2 威脅發(fā)展層構(gòu)建

基于設(shè)備威脅度，用戶可根據(jù)自身需要設(shè)置合適的威脅度區(qū)間，劃分威脅發(fā)展階段，對威脅度同屬一個區(qū)間的設(shè)備進行聚類，并根據(jù)威脅度提升原則，利用低威脅度設(shè)備與高威脅度設(shè)備間單向的業(yè)務(wù)訪問關(guān)系刻畫威脅在不同階段、不同設(shè)備間的發(fā)展方向，具體算法如下。

算法1 威脅宏觀發(fā)展層構(gòu)建算法

輸入 系統(tǒng)設(shè)備集，設(shè)備間業(yè)務(wù)訪問關(guān)系集BR，階段威脅度區(qū)間集INV

輸出 威脅宏觀發(fā)展=(BR)

2) ASS=AssetIdentification()；//資產(chǎn)識別，提取核心資產(chǎn)集

3) Classifyaccording to INV//按照既定威脅度區(qū)間劃分階段

6)'Asset Holder(ass)；//識別核心資產(chǎn)所在設(shè)備

7) DP=PathIdentification(,',,BR)；//提取設(shè)備到資產(chǎn)所在位置的訪問路徑

9)=1(dp)；//提取訪問路徑上存在的威脅傳播路徑

10) Calculating dotdp(,ass)；//計算設(shè)備沿該訪問路徑對該資產(chǎn)的威脅度

11) end for

12) dot=max(dotdp(ass))；//提取設(shè)備對該資產(chǎn)的最大威脅度

13)DOT←dot；

14)APargmax(dotdp: apAP,dp(ap))；

15) end for

19)←；//將設(shè)備聚類到對應(yīng)威脅度區(qū)間的階段中

20) Break；

21) end if

22) end for

23) end for

26)(br.source).BR←；//刻畫階段內(nèi)部威脅發(fā)展軌跡

28)S?S←；//刻畫階段間威脅發(fā)展軌跡

29)end if

30) end for

31) ReturnMa=(S?S)

以上算法的核心為步驟4)~步驟23)，通過計算獲取了系統(tǒng)中每個設(shè)備被攻陷后的綜合威脅度?；谠O(shè)備的威脅度及用戶既定的階段威脅度區(qū)間，步驟17)~步驟22)將目標(biāo)設(shè)備聚合到相應(yīng)威脅發(fā)展階段。最終，基于威脅度提升原則，步驟24)~步驟31)對設(shè)備間存在的業(yè)務(wù)訪問關(guān)系進行了過濾，保留低威脅度設(shè)備指向高威脅度設(shè)備的業(yè)務(wù)訪問關(guān)系，從而刻畫出威脅在不同設(shè)備、階段間的發(fā)展趨勢。

4 威脅微觀傳播層

威脅微觀傳播層負(fù)責(zé)刻畫威脅利用原子攻擊進行傳播的路徑。當(dāng)前攻擊圖模型應(yīng)用于分析高級安全威脅的傳播路徑時存在局限性，即攻擊模型單一，無法分析社會工程攻擊、網(wǎng)絡(luò)掃描攻擊等非技術(shù)漏洞攻擊產(chǎn)生的威脅傳播路徑。針對這一問題，本文利用本體論，以技術(shù)漏洞利用模型為參照，對社會工程攻擊以及網(wǎng)絡(luò)掃描攻擊進行了細(xì)粒度分析，構(gòu)建囊括這3類攻擊的混合原子攻擊本體，并通過本體推理構(gòu)建威脅微觀傳播層，提高刻畫威脅傳播路徑的完備性。

4.1 本體建模

本體是概念及概念間關(guān)系的抽象描述，當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的相關(guān)研究常通過構(gòu)建原子攻擊本體對原子攻擊進行細(xì)粒度分析及建模?；旌显庸舯倔w相較于常見的原子攻擊本體最大的區(qū)別在于增加了對社會工程攻擊及網(wǎng)絡(luò)掃描攻擊的本體建模。以下首先對這兩類攻擊進行要素分析，再對混合原子攻擊本體進行介紹。

本文主要從攻擊、脆弱性、脆弱性所在部位（組件）及攻擊前提條件等方面對社會工程攻擊及網(wǎng)絡(luò)掃描展開分析，結(jié)果如表1所示。

由表1可知，社會工程攻擊本質(zhì)是利用人性弱點實施的攻擊，主要包括魚叉（spearing phishing）攻擊、水坑（Waterholing）攻擊等攻擊技術(shù)。此類攻擊前提是攻擊者需要與受害者建立某種信任關(guān)系，如控制受害者經(jīng)常訪問的網(wǎng)站、竊取有業(yè)務(wù)往來的郵箱賬號等，利用信任關(guān)系，觸發(fā)受害者好奇、輕信等人性弱點，誘使其點擊惡意鏈接、下載惡意郵件，從而借助受害者的操作管理權(quán)限對相關(guān)設(shè)備實施攻擊。

表1 社會工程攻擊及網(wǎng)絡(luò)掃描攻擊分析

網(wǎng)絡(luò)掃描本質(zhì)上是一種偵察行為，主要通過利用一系列腳本遠(yuǎn)程檢測網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的某些狀態(tài)，如網(wǎng)絡(luò)中存在的IP，設(shè)備開放的服務(wù)、端口等，未實質(zhì)性地破壞系統(tǒng)安全規(guī)則。本文根據(jù)掃描對象，主要考慮兩類掃描攻擊，即服務(wù)掃描、業(yè)務(wù)掃描。其中，服務(wù)掃描是一種常用的掃描攻擊，用于探測目標(biāo)節(jié)點可遠(yuǎn)程訪問的服務(wù)；業(yè)務(wù)掃描并不特指某種具體的掃描攻擊，而是復(fù)合多種掃描技術(shù)的抽象概念，表示以業(yè)務(wù)關(guān)系導(dǎo)致的節(jié)點間特權(quán)為探測對象的掃描攻擊，如管理站對工作站的管理權(quán)限、工作站在服務(wù)器上的用戶權(quán)限等。

根據(jù)以上分析，構(gòu)建混合原子攻擊本體HAOT，如圖2所示。HAOT可表示為（HHHHH），其中，類集H由設(shè)備（device）、組件（component）、脆弱性（vulnerability）、攻擊（attack）4個基礎(chǔ)類及其子類組成。關(guān)系類型集H主要包括類間包含關(guān)系subclass of、類與實例間的從屬關(guān)系type of、實例間關(guān)系以O(shè)WL（web ontology language）本體描述語言定義的對象屬性格式property(1,2)描述，1為對象屬性的定義域2為值域，具體如表2所示。關(guān)系集H中，類間包含關(guān)系如圖2所示，類與實例從屬關(guān)系、實例間關(guān)系及實例集A需結(jié)合具體場景進行提取。規(guī)則集H以SWRL（semantic Web rule language）構(gòu)建了技術(shù)漏洞利用、社會工程攻擊以及網(wǎng)絡(luò)掃描攻擊等3類攻擊行為模型，以下分別舉例說明。

例1 以利用“CVE-2017-0290”漏洞發(fā)起的遠(yuǎn)程代碼執(zhí)行攻擊為例，其模型如下所示。

例2 以“hw-001”表示“輕信”的人性弱點實例，利用該脆弱性發(fā)起的魚叉攻擊的模型如下。

圖2 混合原子攻擊本體示意

Figure 2 Hybridatomicattackontology

例3 在完全控制掃描發(fā)起設(shè)備的條件下發(fā)起服務(wù)掃描，探測開放服務(wù)的模型如下所示，由于不同的掃描發(fā)起源獲取的結(jié)果可能不同，因此launchAttack的首個參數(shù)為源設(shè)備實例以示區(qū)分。

以上規(guī)則模型的條件部分稱為規(guī)則體（body），結(jié)果部分稱為規(guī)則頭（head）。

4.2 攻擊成功概率計算

攻擊成功概率的量化是威脅度計算的基礎(chǔ)，本體建模包括技術(shù)漏洞利用、社會工程攻擊以及網(wǎng)絡(luò)掃描攻擊3種攻擊行為，下面針對這3類攻擊的發(fā)生概率分別進行量化計算。

（1）技術(shù)漏洞攻擊

此類攻擊的成功率常用的量化計算方式是基于漏洞的CVSS評分，綜合漏洞可用性、影響等因素進行量化。CVSS3.1評分標(biāo)準(zhǔn)中漏洞的基本得分公式如下。

由于高級安全威脅通常將攻擊隱蔽性作為追求，而漏洞利用的代碼成熟度越高，越能夠支持或發(fā)展出各種代碼隱藏技術(shù)，從而滿足攻擊隱蔽性需求，因此將漏洞評分公式優(yōu)化如下。

漏洞評分越高，利用該漏洞的攻擊成功概率越高，由于評分值域為[0,10]，因此技術(shù)漏洞攻擊成功概率計算公式給出如下。

（2）其他攻擊

社會工程攻擊及網(wǎng)絡(luò)掃描攻擊均以技術(shù)漏洞利用攻擊作為參照，進行量化。其中，社會工程攻擊利用人性弱點發(fā)起，相較于技術(shù)漏洞，人性弱點需通過廣泛的背景情報分析進行挖掘，且觸發(fā)及影響具有較大的不確定性，因而成功率相對較低，對標(biāo)低危技術(shù)漏洞得分，pr設(shè)置為0.4；而網(wǎng)絡(luò)掃描攻擊不依賴漏洞發(fā)起，pr設(shè)置為1。

表2 混合原子攻擊本體主要對象屬性

注：“l(fā)aunch Attack”命名格式中，name為攻擊名稱，vul為脆弱性，技術(shù)漏洞以cve編號格式進行標(biāo)識，人員弱點采取自編號模式，以“hw_code”格式標(biāo)識，當(dāng)攻擊屬于網(wǎng)絡(luò)掃描類時，vul以“null”標(biāo)識。

4.3 傳播層構(gòu)建

利用混合原子攻擊本體，筆者進一步提出微觀傳播層的構(gòu)建方法，框架如圖3所示。

第一步，信息獲取，主要獲取目標(biāo)系統(tǒng)場景知識及攻擊知識這兩方面信息，場景知識包括拓?fù)浣Y(jié)構(gòu)、業(yè)務(wù)關(guān)系、節(jié)點軟硬件配置、操作管理人員以及存在的技術(shù)漏洞、人員弱點評估數(shù)據(jù)等；攻擊知識包括攻擊模式、難度以及攻擊影響等，可通過檢索NVD漏洞庫以及CAPEC攻擊模式庫等公共數(shù)據(jù)庫以及社會工程及網(wǎng)絡(luò)掃描相關(guān)研究成果獲取。

第二步，知識庫構(gòu)建，該部分利用混合原子攻擊本體定義的類及關(guān)系類型，從搜集的信息中，提取實例及關(guān)系，并生成推理規(guī)則，從而補全本體知識，構(gòu)建完整的本體知識庫。

第三步，Mi生成，將知識庫與既設(shè)初始條件作為輸入，利用語義推理引擎進行攻擊推理，并通過可視化處理，生成模型TL-TAM的威脅微觀傳播層。具體生成算法如算法2所示。

圖3 基于混合原子攻擊本體的微觀傳播層構(gòu)建框架

Figure 3 HAOT based Mi construction framework

算法2 威脅微觀傳播層生成算法

輸入 混合原子攻擊本體HAOT；攻擊者實例att；初始條件集P0

輸出 威脅微觀傳播層Mi=(P, A, E, Pr)

2) AttackReason(att,P0,HAOT)； //利用推理引擎執(zhí)行多步攻擊連續(xù)推理

3) S=inferredFacts()； //提取推理結(jié)果

4) A=getAttacksProperties（S）； //提取原子攻擊集

7) Calculatingpr(a)； //計算原子攻擊成功概率

8) Pr←pr(a)；

9) r=getRules(a)；

10) Ppre=Mapping(Explanation(a),r.body)；//識別原子攻擊前置權(quán)限

11) Ppost=Mapping(P,r.head)；//識別原子攻擊后置權(quán)限

13) E=CreateDirectedEdge(p,a)E； //創(chuàng)建有向邊

14) end for

16) E=CreateDirectedEdge(a,p)E； //創(chuàng)建有向邊

17) end for

18) end for

19) Return Mi=（P,A,E,Pr）

以上算法核心為步驟2)~步驟5)，利用推理引擎對系統(tǒng)中可能發(fā)生的原子攻擊進行推理并從推理結(jié)果中提取原子攻擊集及權(quán)限集；在此基礎(chǔ)上，步驟6)~步驟18)，識別原子攻擊與權(quán)限的前后置關(guān)系并構(gòu)建有向邊，其中，原子攻擊的前置權(quán)限通過匹配推理規(guī)則體（body）與引擎提供的推理解釋（explanation）進行確定，而后置權(quán)限則通過匹配推理規(guī)則頭（head）與權(quán)限集進行提取。需要注意的是，近年來HermiT等本體推理引擎能夠自動將推理獲取的事實作為新的推理條件執(zhí)行多步連續(xù)推理，因此不再需要依靠逐輪更新攻擊條件的形式實現(xiàn)推理進程的持續(xù)推進。并且推理引擎為每條推理獲取的事實提供了詳細(xì)的推理解釋，極大地方便了節(jié)點前后置關(guān)系的識別。

5 威脅發(fā)展預(yù)測

威脅發(fā)展趨勢預(yù)測以威脅微觀傳播層為基礎(chǔ)，威脅宏觀發(fā)展層為框架，以被攻陷的目標(biāo)設(shè)備為輸入，判定當(dāng)前威脅發(fā)展?fàn)顟B(tài)并根據(jù)相鄰目標(biāo)設(shè)備威脅度，預(yù)測下一步可能選取的目標(biāo)設(shè)備提取相應(yīng)威脅傳播路徑，算法如下。

算法3 威脅發(fā)展預(yù)測算法

輸入 被攻陷設(shè)備；雙層威脅分析模型TL-TAM=(Ma, Mi)

輸出 威脅發(fā)展?fàn)顟B(tài)；下一步目標(biāo)設(shè)備'；威脅傳播路徑集AP

2)()；

3)DNeighborHost(,Ma)；

5) AP←AP'；//提取由設(shè)備指向各位置核心資產(chǎn)的威脅傳播路徑

6) dp←,'；

7) ap=?1(dp)； //提取由設(shè)備發(fā)起，設(shè)備'上的攻擊場景

9) if post(ap)< pre(ap')//判斷設(shè)備'上的攻擊場景獲取的權(quán)限能否支撐威脅進一步傳播

10) create UnknownAttack0；//創(chuàng)建未知攻擊

11) pre(0)= post(ap)；post(0)= pre(ap')；

12) ap'(ap→a→ap')； //鏈接威脅傳播路徑

13) else

14) ap'= (ap→ap')；

15) end if

16) end for

17) Return，'，AP

上述步驟9)~步驟15)在威脅傳播路徑預(yù)測中考慮了未知攻擊的影響，當(dāng)被攻陷設(shè)備與被選取作為下一步攻擊目標(biāo)的設(shè)備間的攻擊路徑ap獲取的權(quán)限不能支持由被選取設(shè)備指向核心資產(chǎn)的威脅傳播路徑ap時，預(yù)測兩段路徑間存在未知攻擊，未知攻擊的前置權(quán)限為post(ap)，后置權(quán)限為pre(ap')。

6 實驗

6.1 實驗環(huán)境

為驗證模型性能，以典型的企業(yè)信息系統(tǒng)作為實驗場景設(shè)計實驗，實驗環(huán)境如圖4所示。該信息系統(tǒng)由4個子網(wǎng)組成，每個子網(wǎng)均部署防火墻及入侵檢測系統(tǒng)以實現(xiàn)訪問控制及入侵檢測。其中，DMZ區(qū)域部署Web服務(wù)器及郵件服務(wù)器，可提供對外服務(wù)；子網(wǎng)1部署2臺工作站及1臺文件服務(wù)器，其中，工作站1擁有文件服務(wù)器用戶賬號，文件服務(wù)器存儲了企業(yè)關(guān)鍵辦公信息，防火墻僅允許工作站訪問郵件服務(wù)器；子網(wǎng)2部署數(shù)據(jù)服務(wù)器，為Web服務(wù)器提供數(shù)據(jù)服務(wù)，存儲重要業(yè)務(wù)數(shù)據(jù)，防火墻僅允許Web服務(wù)器與管理站訪問數(shù)據(jù)服務(wù)器；子網(wǎng)3部署管理站，負(fù)責(zé)數(shù)據(jù)服務(wù)器管理，具有控制能力。系統(tǒng)中脆弱性包括技術(shù)漏洞及操作管理人員存在的弱點，具體如表4所示。

6.2 模型構(gòu)建

實驗使用Protege5.5.0構(gòu)建混合原子攻擊本體，依據(jù)該本體定義的類，從場景知識及攻擊知識中提取實例，如表3所示。依據(jù)關(guān)系類型，提取實例間關(guān)系如表4所示，表4中僅展示業(yè)務(wù)訪問關(guān)系，其余關(guān)系通過表3中列間對應(yīng)關(guān)系進行描述。為使表達(dá)簡便，對象屬性中實例均以簡稱代替，如Web Server 1寫作web_1。構(gòu)建攻擊者實例type of (Adversary,att)，初始條件設(shè)置如表5所示。

Protege5.5.0集成了HermiT1.4.3推理引擎，可支持多步連續(xù)推理。首先，在SWRLTab中，為脆弱性實例以及服務(wù)掃描、業(yè)務(wù)關(guān)系掃描等兩類掃描攻擊構(gòu)建本體推理規(guī)則，然后，使用推理引擎執(zhí)行攻擊推理，提取原子攻擊集、權(quán)限集并通過解析HermiT1.4.3提供的推理解釋對攻擊動作與權(quán)限的前后置關(guān)系進行識別，構(gòu)建有向邊集，最后，計算單步攻擊成功概率。以漏洞CVE-2018-8019為例對本體推理過程進行說明，首先本體推理規(guī)則構(gòu)建如下。

圖4 實驗環(huán)境

Figure 4 Experiment environment

表3 實例提取

表4 業(yè)務(wù)訪問關(guān)系提取

表5 初始條件

Device(?a)∧Software(?b)∧Vulnerability (?c) ∧has(?a, ?b)∧exist(?b, ?c) ∧sameAs (?c, CVE- 2018-8019)∧AttackCert Abuse (?d) ∧exploit (?d, ?c)∧Adversary(?e)∧hasAccess (?e, ?b)

→launch Attack_CertAbuse_CVE-2018-8019 (?e, ?a) ∧hasCompromised(?e, ?b)∧hasPrivilege Root (?e, ?a)

執(zhí)行推理，攻擊者實例att新增攻擊關(guān)系“l(fā)aunchAttack_CertAbuse_ CVE-2018-8019 (att, web_1)”，表明攻擊發(fā)生，該關(guān)系的推理解釋如圖5所示，紅線標(biāo)注為推理使用的本體推理規(guī)則，規(guī)則中綠框標(biāo)注為前置權(quán)限模式，根據(jù)模式中權(quán)限類型及參數(shù)檢索匹配推理解釋條目中符合該模式的權(quán)限實例，圖中條目8符合模式要求，提取為該攻擊的前置權(quán)限，后置權(quán)限以同樣的方式識別權(quán)限模式后在攻擊者實例att新增的權(quán)限實例中檢索匹配。根據(jù)4.2節(jié)計算方法，CVE-2018-8019漏洞評分為7.4，則該攻擊成功概率計算得0.74。

微觀傳播層Mi=（,,,Pr）構(gòu)建如圖6所示，其中{p}，{a}，∈N且∈[0,17]，∈[0,18]，其中，藍(lán)、綠、棕色分別為技術(shù)漏洞利用、社會工程攻擊及網(wǎng)絡(luò)掃描攻擊產(chǎn)生的威脅傳播路徑。

以數(shù)據(jù)服務(wù)器的業(yè)務(wù)數(shù)據(jù)及文件服務(wù)器的機密文件作為實驗系統(tǒng)核心資產(chǎn)，利用算法1，基于威脅傳播路徑、計算系統(tǒng)設(shè)備的威脅度，構(gòu)建威脅發(fā)展層如圖7所示。圖中圓形為目標(biāo)設(shè)備，連接線為業(yè)務(wù)訪問關(guān)系，各設(shè)備的威脅度以及攻擊行為框架如矩形框中所示，實連接線刻畫了威脅由低威脅度設(shè)備、階段向高威脅度發(fā)展的軌跡。假設(shè)企業(yè)規(guī)定威脅度超過1時為高危狀態(tài)，0.7至1為中危狀態(tài)，不超過0.7為低危狀態(tài)，分別以綠、黃、紅三色標(biāo)注低、中、高3種威脅發(fā)展階段。

6.3 實驗分析

當(dāng)系統(tǒng)告警顯示某個設(shè)備被攻陷時，利用算法3可判定威脅的當(dāng)前發(fā)展?fàn)顟B(tài)并預(yù)測威脅的下一步攻擊目標(biāo)及相應(yīng)傳播路徑。表6展示了按威脅提升原則，不同設(shè)備被攻陷情況下的威脅發(fā)展趨勢預(yù)測結(jié)果。

其中，工作站2（WS_2）被攻陷時，與其存在業(yè)務(wù)訪問關(guān)系的鄰接設(shè)備中，文件服務(wù)器威脅度最高，然而攻陷工作站2后獲取的文件服務(wù)器訪問權(quán)限無可利用的漏洞，考慮到高級安全威脅可能具備未知攻擊能力，因此，預(yù)測工作站2與文件服務(wù)器間存在未知攻擊0：launchAttack_ UnknownAttack_0day(att, FS_1)，攻擊的前后置權(quán)限分別為pre(0)=has Access(att, FS_1)，post(0)= hasPrivilegeRoot(att,FS_1)。

圖5 前置權(quán)限識別示意

Figure 5 Identification of pre-privileges to atomic attack

圖6 實驗環(huán)境威脅傳播路徑

Figure 6 Micro trans ferlayer constructed by experiment

圖7 威脅宏觀發(fā)展層示意

Figure 7 Sample of threat development prediction

當(dāng)郵件服務(wù)器（ES_1）被攻陷時，威脅向下一步目標(biāo)設(shè)備工作站1（WS_1）進行轉(zhuǎn)移時，涉及社會工程攻擊，需要使用水坑攻擊9。

6.4 對比分析

為驗證TL-TAM模型分析刻畫威脅發(fā)展傳播的性能，以下將本模型分別與Chen等[4]、冷強等[14]以及樊雷等[17]提出的模型進行對比，結(jié)果如表7所示。

其中，Chen等[4]提出的APT宏觀分析模型基于殺傷鏈劃分階段，模型的各階段可反復(fù)出現(xiàn)在針對不同目標(biāo)節(jié)點的攻擊過程中，因而無法有效刻畫威脅由低到高的發(fā)展趨勢。而TL-TAM模型的威脅宏觀發(fā)展層以威脅度為階段劃分的依據(jù)，能夠直觀反映相關(guān)設(shè)備被攻陷時威脅的發(fā)展現(xiàn)狀，并刻畫了威脅由低威脅度設(shè)備向高威脅度設(shè)備的發(fā)展動向，能夠有效支持結(jié)合發(fā)展趨勢的威脅傳播路徑預(yù)測。

表6 威脅發(fā)展趨勢預(yù)測

表7 對比分析

冷強等[14]提出的基于攻擊圖的動態(tài)威脅分析模型，雖然對網(wǎng)絡(luò)服務(wù)關(guān)系產(chǎn)生的威脅傳播進行了分析，但未涉及社會工程攻擊及網(wǎng)絡(luò)掃描攻擊。以本文實驗環(huán)境中的傳播路徑a1→a3→a6→a9→a11→a13→a15為例，利用文獻[14]方法生成結(jié)果為a1→a3，路徑出現(xiàn)缺失，由此可見，TL-TAM模型的威脅微觀傳播層對威脅傳播路徑刻畫準(zhǔn)確度更高。

分層式模型APT-HRM[17]雖然同樣利用分層式結(jié)構(gòu)分析刻畫了威脅在不同層次的發(fā)展特征，但其底層利用攻擊樹組合攻擊方案的形式描述攻擊路徑，無法結(jié)合具體系統(tǒng)場景實現(xiàn)攻擊預(yù)測。而TL-TAM模型不僅能夠支持攻擊預(yù)測，并且能夠?qū)ξ粗暨M行一定程度的預(yù)測分析。

7 結(jié)束語

本文針對現(xiàn)有威脅分析模型無法同時兼顧APT等高級安全威脅的宏觀發(fā)展趨勢及微觀傳播路徑，導(dǎo)致無法有效適用于動態(tài)威脅跟蹤分析的問題，提出了一種雙層威脅分析模型TL-TAM。模型首先基于混合原子本體，建模了社會工程攻擊、網(wǎng)絡(luò)掃描攻擊等以往攻擊圖模型欠缺的攻擊行為，并利用本體推理引擎實現(xiàn)攻擊的自動推理，構(gòu)建威脅微觀傳播層，提高了威脅傳播路徑刻畫的完備性。在此基礎(chǔ)上，設(shè)計了設(shè)備威脅度計算方法，基于設(shè)備威脅度構(gòu)建威脅宏觀發(fā)展層，通過劃分威脅發(fā)展階段直觀展示不同設(shè)備被攻陷時威脅的發(fā)展?fàn)顟B(tài)，并通過由低到高鏈接不同威脅度的設(shè)備，刻畫威脅在設(shè)備間的發(fā)展走向，為結(jié)合趨勢分析的威脅發(fā)展預(yù)測提供了框架。最后，本文提出了基于雙層模型的威脅發(fā)展預(yù)測算法，結(jié)合威脅在設(shè)備層面的發(fā)展動向及在攻擊行為層面的傳播路徑，對給定系統(tǒng)設(shè)備被攻陷后，威脅可能選取的目標(biāo)設(shè)備、傳播路徑以及目標(biāo)資產(chǎn)進行了預(yù)測分析。

下一步，將在持續(xù)做好模型優(yōu)化的基礎(chǔ)上，基于雙層威脅分析模型，對高級安全威脅的動態(tài)跟蹤分析方法展開更深入的研究。

[1] 趙志巖,紀(jì)小默.智能化網(wǎng)絡(luò)安全威脅感知融合模型研究[J].信息網(wǎng)絡(luò)安全,2020,20(4):87-93.

ZHAO Z Y, JI X M. Research on the intelligent fusion model of network security situation awareness[J]. Netinfo Security, 2020, 20(4): 87-93.

[2] 金輝, 張紅旗, 張傳富, 等. 復(fù)雜網(wǎng)絡(luò)中基于QRD的主動防御決策方法研究[J]. 信息網(wǎng)絡(luò)安全, 2020, 20(5): 72-82.

JIN H, ZHANG H Q, ZHANG C F, et al. Research on active defense decision-making method based on QRD in complex network[J]. Netinfo Security, 2020, 20(5): 72-82.

[3] LI M , HUANG W , WANG Y , et al. The study of APT attack stage model[C]//2016 IEEE/ACIS 15th International Conference on Computer and Information Science (ICIS). 2016.

[4] CHEN P, DESMET L, HUYGENS C. A study on advanced persistent threats[C]//IFIP International Conference on Communications and Multimedia Security. 2014: 63-72.

[5] USSATH M, JAEGER D, CHENG F, et al. Advanced persistent threats: behind the scenes[C]//2016 Annual Conference on Information Science and Systems (CISS). 2016: 181-186.

[6] 賀詩潔, 黃文培. APT攻擊詳解與檢測技術(shù)[J]. 計算機應(yīng)用, 2018, 38(S2): 170-173.

HE S J, HUANG W P. APT attacks details and detection technology[J]. Journal of Computer Applications, 2018, 38(S2): 170-173

[7] HUTCHINS E M, CLOPPERT M J, AMIN R M. Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains[J]. Leading Issues in Information Warfare & Security Research, 2011, 1(1): 80.

[8] SWILER L P, PHILLIPS C. A graph-based system for network-vulnerability analysis[R]. 1998.

[9] 吳迪, 連一峰, 陳愷, 等. 一種基于攻擊圖的安全威脅識別和分析方法[J]. 計算機學(xué)報, 2012, 35(9): 1938-1950.

WU D, LIAN Y F, CHEN K, et al. A security threats identification and analysis method based on attack graph[J]. Chinese Journal of Computers, 2012, 35(9): 1938-1950.

[10] WU S, ZHANG Y, CAO W, et al. Network security assessment using a semantic reasoning and graph based approach[J]. Computers & Electrical Engineering, 2017: 96-109.

[11] WANG L, LIU A, JAJODIA S. Using attack graphs for correlating, hypothesizing, and predicting intrusion alerts[J]. Computer communications, 2006, 29(15): 2917-2933.

[12] AHAMADINEJAD S H, JALILI S, ABADI M. A hybrid model for correlating alerts of known and unknown attack scenarios and updating attack graphs[J]. Computer Networks, 2011, 55(9): 2221-2240.

[13] 劉威歆, 鄭康鋒, 武斌, 等. 基于攻擊圖的多源告警關(guān)聯(lián)分析方法[J]. 通信學(xué)報, 2015, 36(9): 135-144.

LIU W X, ZHENG K F, WU B, et al. Alert processing based on attack graph and multi-source analyzing[J]. Journal on Communica- tions, 2015, 36(9): 135-144.

[14] 楊英杰, 冷強, 常德顯, 等. 基于屬性攻擊圖的網(wǎng)絡(luò)動態(tài)威脅分析技術(shù)研究[J]. 電子與信息學(xué)報, 2019, 41(8): 1838-1846.

YANG Y J, LENG Q, CHANG D X, et al. Research on network dynamic threat analysis technology based on attribute attack graph[J]. Technology Based on Attribute Attack Graph Journal of Electronics & Information Technology, 2019, 41(8): 1838-1846.

[15] 楊英杰, 冷強, 潘瑞萱, 等. 基于屬性攻擊圖的動態(tài)威脅跟蹤與量化分析技術(shù)研究[J]. 電子與信息學(xué)報, 2019, 41(9): 2172-2179.

YANG Y J, LENG Q, PAN R X, et al. Research on dynamic threat tracking and quantitative analysis[J]. Technology Based on Attribute Attack Graph Journal of Electronics & Information Technology, 2019, 41(9): 2172-2179.

[16] 胡浩, 葉潤國, 張紅旗, 等. 基于攻擊預(yù)測的網(wǎng)絡(luò)安全態(tài)勢量化方法[J]. 通信學(xué)報, 2017, 38(10): 122-134.

HU H, YE R G, ZHANG H Q, et al. Quantitative method for net- work security situation based on attack prediction[J]. Journal on Communications, 2017, 38(10): 122-134.

[17] 樊雷, 余江明, 雷英杰. 面向APT攻擊的分層表示模型[J]. 計算機工程, 2018, 44(8): 155-160.

FAN L, YU J M, LEI Y J. Hierarchical representation model for APT attack[J]. ComputerEngineering, 2018, 44(8): 155-160.

Two-layer threat analysis model integrating macro and micro

SUN Cheng, HU Hao, YANG Yingjie, ZHANG Hongqi

Information Engineering University, Zhengzhou 450001, China

The existing threat analysis models failed to comprehensively analyze the propagation of advanced security threats integrating the threat development trend and propagation path. In order to solve the problem, a two-layer threat analysis model named TL-TAM was established. The upper layer of the model depicted the threat development trend. The lower layer depicted the threat propagation path consideringsocialengineeringandnetworkscan. Basedon the model, prediction algorithm of threat development was proposed. The experimental result shows that the model can comprehensively analyze the threat propagation at multiple levels,overcome the defect that the threat analysis model based on attack graph is limited to technical vulnerability attack, and is more suitable for dynamic tracking analysis of advanced security threats.

two-layermodel, propagation path,social engineering, network scan

TP393.08

A

10.11959/j.issn.2096?109x.2021015

2020?08?27；

2020?10?07

孫澄，suncheng1991@outlook.com

國家自然科學(xué)基金（61902427）

The National Natural ScienceFoundation of China (61902427)

孫澄, 胡浩, 楊英杰, 等. 融合宏觀與微觀的雙層威脅分析模型[J]. 網(wǎng)絡(luò)與信息安全學(xué)報, 2021, 7(1): 143-156.

YANG C, HU H, YANG Y J, et al. Two-layer threat analysis model integrating macro and micro[J]. Chinese Journal of Network and Information Security, 2021, 7(1): 143-156.

孫澄（1991? ），男，江蘇常州人，信息工程大學(xué)碩士生，主要研究方向為APT檢測跟蹤。

胡浩（1989? ），男，安徽池州人，博士，信息工程大學(xué)講師，主要研究方向為網(wǎng)絡(luò)態(tài)勢感知。

楊英杰（1971? ），男，河南鄭州人，博士，信息工程大學(xué)教授，主要研究方向為信息安全。

張紅旗（1962? ），男，河北遵化人，信息工程大學(xué)教授、博士生導(dǎo)師，主要研究方向為網(wǎng)絡(luò)安全、移動目標(biāo)防御、等級保護和信息安全管理。