仇銘陽，賽 煜，王 剛*，孟慶微

（1.空軍工程大學信息與導航學院，西安 710077；2.濟南職業(yè)學院，濟南 250101）

0 引言

隨著網(wǎng)絡攻防對抗的日益加劇，針對重要工作部門、科研單位等重要企業(yè)級網(wǎng)絡的APT 攻擊也逐漸增加。但考慮時間、成本和管控水平差異等因素，難以修補所有可能被攻擊方利用的漏洞或后門做到萬無一失。合理地定性定量評估網(wǎng)絡的安全性能，能為網(wǎng)絡風險可管可控提供理論支持，為防御技術的部署提供參考，對于保障網(wǎng)絡空間安全有著重要的理論與實踐意義。

目前針對漏洞攻擊研究主要分為兩種，一種是通過CVSS（Common Vulnerability Scoring System）評分體系將已知漏洞攻防過程量化并通過量化結果進行風險評估從而進行有效防控。這類研究能夠從漏洞復雜性和可用性等角度對漏洞進行評估，能夠很好地反映漏洞可能造成的風險。然而，攻擊過程中，漏洞的利用往往不是孤立的，不同網(wǎng)絡和不同攻擊模式下，漏洞利用次序和難度也不相同，同一漏洞可能造成的危害也不相同，因此，具體漏洞應當具體問題具體分析。

另一種則是通過研究攻擊者的攻擊意圖從而針對性地進行布防，目前應用最為廣泛的方法是通過圖的形式建立單步攻擊之間的關系。該方法將攻擊過程抽象為有向圖，節(jié)點表示漏洞或者資源，邊表示漏洞利用次序或者相應的權限控制。Dacier 等在文獻［5］首次提出特權圖的方法，通過特權圖將黑客獲取訪問權限的過程可視化，更加便于防御方掌握攻擊步驟從而有效應對。高妮等利用CVSS 中的先驗知識，通過貝葉斯網(wǎng)絡，計算出訪問權限或者資源被成功獲取的后驗概率，從而更加精準地預測攻擊者可能的攻擊路徑。葉云等考慮到攻擊圖存在復雜且難以理解的問題，提出一種基于攻擊圖的風險鄰接矩陣方法。該方法將風險量化數(shù)值以矩陣的形式表示，很好地解決了攻擊意圖推斷中由環(huán)和回路帶來的重復計算問題。攻防博弈很大程度上在于雙方在時間上的爭奪，攻擊成功概率也取決于單位攻擊時間和掃描時間等因素。一方面現(xiàn)有概率攻擊圖模型為邊賦予單一的攻擊成功概率，無法直觀體現(xiàn)攻防時間的影響，另一方面不同的攻防實施者能力不同會導致攻防時間不同，進而導致攻擊成功概率不同，模型在不同網(wǎng)絡之間遷移困難。

考慮攻防過程中時間因素影響，以下主要在概率攻擊圖基礎上引入時間因素，研究病毒攻擊和防御問題。主要內容包括：1）在概率攻擊圖的基礎上，引入漏洞掃描周期和原子攻擊時間，為攻擊圖中的有向邊賦予時間-概率雙重權重，構建時間-概率攻擊圖；2）分析漏洞利用時間和掃描時間對攻擊和防御的影響，推導路徑攻擊成功概率；3）在時間-攻擊圖的基礎上，結合防御收益量化評估方法，分析漏洞利用時間和漏洞掃描時間對防御收益的影響。

1 時間-概率攻擊圖

概率攻擊圖是一種將網(wǎng)絡攻擊具象化的建模方法，能夠形象地表示攻擊者在攻擊過程中的漏洞利用次序，并且有利于防御方發(fā)現(xiàn)潛在的攻擊路徑以便實施針對性防御。網(wǎng)絡攻防不僅僅是漏洞的利用和修補，還是時間上的博弈，單一的成功概率無法有效體現(xiàn)這種時間上的競爭，以下主要結合時間因素改進概率攻擊圖。

在現(xiàn)有攻擊圖建模中，一般采用樹狀圖的形式表示漏洞利用關系，用節(jié)點表示特定漏洞、權限或者資源，用有向邊表示攻擊行為，其權值為漏洞利用成功率。事實上，時間博弈也是攻防對抗的重要組成部分，對攻擊方而言，攻擊過程中漏洞利用和提權往往需要一定時間，不同攻擊者往往在攻擊手法、熟練程度以及經驗水平上有所差異。對防御方而言，往往會部署漏洞掃描系統(tǒng)或入侵檢測系統(tǒng)，定期檢測病毒文件或攻擊行為。因此，在攻擊圖傳播建模中，需要綜合考慮時間因素對網(wǎng)絡攻防的影響。以下，借鑒文獻［9］中的攻擊圖模型，結合上述漏洞利用時間和漏洞掃描周期，為攻擊圖中的有向邊賦予時間-概率復合權重，構建時間-概率攻擊圖，相關定義如下。

5）T 為防御方的在針對漏洞S或其所在位置部署的漏洞掃描系統(tǒng)的掃描周期，一旦防御方在相應位置掃描到攻擊行為（攻擊方正在攻擊該漏洞或者已經攻擊成功），則攻擊方攻擊失敗。

下頁圖1 為一個概率攻擊圖，其中包含20 個節(jié)點，S和S為初始狀態(tài)，攻擊者可以從這兩個節(jié)點處發(fā)起攻擊，S和S為目標節(jié)點，攻擊者的最終目標即為獲取相應節(jié)點位置的資源，其余節(jié)點為攻擊者從起始狀態(tài)到目標節(jié)點過程中可利用的漏洞。該事件概率攻擊途中，有向邊表示攻擊者發(fā)起的攻擊，邊的權值為發(fā)起一次攻擊的成功概率和耗時，攻擊者想要獲取目標節(jié)點位置的控制權限或者資源，必須從初始節(jié)點開始，逐級利用相應漏洞獲取權限，將從任意節(jié)點開始到目標節(jié)點的一組節(jié)點序列稱為攻擊路徑并定義如下。

圖1 時間攻擊圖示例

攻擊路徑代表了一種潛在的攻擊方式，根據(jù)定義1 和定義2，如圖1 所示的時間-概率攻擊圖中，包含如表1 所示的4 條可用攻擊路徑。構建時間-概率攻擊圖并發(fā)現(xiàn)其中的攻擊路徑有助于分析網(wǎng)絡潛在威脅，評估安全態(tài)勢。

表1 可能的攻擊路徑

2 安全評估方法

2.1 攻擊路徑成功率

在網(wǎng)絡攻防過程中，攻擊者可以對同一漏洞發(fā)起多次攻擊，直至成功，但是由于漏洞掃描系統(tǒng)或入侵檢測系統(tǒng)的周期性檢測，使得攻擊者無法無限發(fā)起攻擊，一旦被發(fā)現(xiàn)就會被打斷。以下考慮攻擊者利用時間和系統(tǒng)掃描時間，計算時間-概率攻擊圖中的攻擊路徑成功概率。

2.2 網(wǎng)絡損失分析

當攻擊者沿特定路徑攻擊成功后，攻擊者即可獲得其需要的目標資源，竊取或破壞網(wǎng)絡中的重要信息甚至直接影響關鍵設備的運行，為了保障網(wǎng)絡信息安全和正常運轉，防御方往往會根據(jù)攻擊路徑進行布防，以下采用防御授予衡量一個網(wǎng)絡的安全狀況，防御收益越高代表網(wǎng)絡安全狀況越好。

引入防御回報（Defense Reward，DR）、防御成本（Defense Cost，DC）和防御收益（Defense Profit，DP）等概念。防御回報表示針對某一攻擊策略采取防御策略后防御者的回報情況，防御成本表示采用某一防御策略進行防御所耗費的代價，防御收益是防御回報減去防御成本所得到的結果。三者關系可表述為：

通過部署防御系統(tǒng)定期掃描檢測攻擊行為可對網(wǎng)絡進行保護，具體表現(xiàn)為降低特定攻擊路徑的攻擊成功概率，一般而言路徑攻擊成功概率，保護效果越好。部署防御系統(tǒng)對某條路徑防御成功后的防御收益可按下頁表2 所示量化。

表2 防御回報量化表

防御方針對某一攻擊路徑進行布防，所耗費的成本因布防節(jié)點在攻擊路徑中的位置不同而不同。防御方在攻擊路徑中的初始節(jié)點處進行防御所耗費的成本最高，在越接近目標節(jié)點防御成本越低，中間節(jié)點依次遞減，其到目標節(jié)點的最小距離越小，防御成本越低。令防御成本為在［20，40］之間，初始節(jié)點的防御成本為90，目標節(jié)點的防御成本為10，中間的節(jié)點等差分布。

3 實驗驗證

以圖1 所示的時間概率攻擊圖為例，進行了仿真實驗，1）模擬了實際攻擊情況下時間概率的實際值，驗證了時間概率的正確性，分析原子攻擊耗時對攻擊成功率的影響；2）對比了不同節(jié)點處部署防御系統(tǒng)時的防御收益，分析防御系統(tǒng)部署位置和掃描周期對網(wǎng)絡安全的影響。

3.1 路徑攻擊成功率

圖1 所示時間- 概率攻擊圖存在表1 所示的多條可能的攻擊路徑。根據(jù)文獻［9］及CVSS 評估準則，可得原子攻擊成功概率，如表3 所示。

表3 原子攻擊成功概率表

假設防御方在S和S部署了防御系統(tǒng)，安全系統(tǒng)掃描周期T=100，給出每一原子攻擊的攻擊時間，如表4 所示。

表4 原子攻擊時間

以攻擊路徑2 為例，其中可能的攻擊情況如表5 所示，經計算，其最大成功概率（攻擊方正好在一次掃描結束后發(fā)起攻擊）為

表5 攻擊路徑2 攻擊情況表

在所有路徑上，通過蒙特卡洛方法模擬攻擊和掃描過程，每條路徑上模擬100 000 次攻擊，統(tǒng)計攻擊成功次數(shù)。圖2 所示為沿路徑2 擊成功的次數(shù)隨總攻擊次數(shù)的變化趨勢，顯然，隨著攻擊次數(shù)的增長，攻擊成功頻率逐漸接近式（5）所計算的結果。同理可得其他路徑的攻擊成功概率和成功頻率，結果如表6 所示，理論值與實際值能夠很好的吻合。結合時間概率攻擊圖及表6 結果，對比不同路徑權值，路徑1 上原子攻擊單次攻擊耗時最短，可在有限時間內發(fā)起多次攻擊，但其單次成功概率較低，沿該路徑的攻擊成功率較低；路徑2 上的原子攻擊單次攻擊成功率高，但是其單次攻擊耗時較長，限定時間內可發(fā)動的攻擊次數(shù)較少，成功概率也相對較低；路徑3 路徑最長，攻擊成功概率也最低；路徑4 中原子攻擊單次成功概率和單次攻擊耗時均較高，因此，該路徑成功概率較高。綜上，時間-概率攻擊圖中，沿任意路徑的攻擊成功概率主要受相應原子攻擊的單次攻擊時間、單次攻擊成功概率和路徑長度的影響，一般說來，單次攻擊時間越短，單次攻擊成功概率越高、路徑越短，相應路徑攻擊成功概率越高。單次攻擊成功概率越高，成功所需次數(shù)的期望值也越低；單次攻擊耗時越短，有限時間內可發(fā)起的攻擊次數(shù)也越多。因此，單次成功概率越高，攻擊耗時越短，攻擊時間約充足，攻擊成功率越高。

圖2 實驗結果對比圖

表6 攻擊路徑成功攻擊概率表

3.2 防御收益對比

通過仿真實驗對比分析，在圖2 所示攻擊圖的不同位置部署防御系統(tǒng)及不同掃描周期時網(wǎng)絡的防御收益，分析防御系統(tǒng)部署位置及掃描周期對網(wǎng)絡安全狀況的影響。

設掃描周期為100，在不同節(jié)點部署防御系統(tǒng)時的不同路徑上的期望防御收益如表7 所示。分析表7 可知，不同路徑的最佳防御系統(tǒng)部署位置也不完全相同，其中，在路徑1、2、3 和5 上部署在起始節(jié)點位置時，防御收益最高。這是由于將防御系統(tǒng)部署在路徑起始位置時，攻擊者從一開始就可以被檢測到，在限定時間內需要完成的攻擊步驟也最多，對路徑攻擊成功概率的降低效果最顯著，因此，部署在該位置效果較好。在路徑4 上部署在節(jié)點S時防御收益最高，在該位置部署防御系統(tǒng)時，在路徑4 上的攻擊成功概率為0.241 5，盡管相比于部署在路徑初始位置時的成功概率有大幅提升，但根據(jù)表2，該路徑仍然被判定為一條相對安全的路徑，防御回報較高，而且相對起始節(jié)點防御成本較低，因此，在該點部署可能獲得較高防御收益。在S、S和S等節(jié)點部署防御系統(tǒng)時，防御收益普遍不高，原因在于這些節(jié)點距離目標節(jié)點過近，在一個掃描周期內，攻擊者只需完成一個原子攻擊，因此，防御效果較差，但由于其部署成本較低，整體損失也較小。在S、S和S等節(jié)點部署防御系統(tǒng)時，能提升多條路徑的防御收益。結合圖1 所示時間-概率攻擊圖分析可知，在網(wǎng)絡的樞紐位置（多條攻擊路徑交匯的地方，如S、S和S）不是防御系統(tǒng)，可提升較多路徑的防御收益，效果較好。

表7 攻擊路徑上的防御收益

在部署防御系統(tǒng)，分析不同掃描時間時對路徑1 和路徑2 的防御收益，結果如圖3 所示，仿真結果表明，時間-概率攻擊圖在其攻擊路徑上的防御收益與防御系統(tǒng)的掃描周期有關，一般來說，掃描周期越長，攻擊方可用時間越長，防御收益也越小網(wǎng)絡安全狀況越差；掃描周期越短，攻擊方可用時間越短，防御收益越高，網(wǎng)絡安全狀況越好。

圖3 不同掃描周期時的防御收益

綜上，網(wǎng)絡中防御系統(tǒng)的部署位置和掃描周期是影響網(wǎng)絡安全狀況的重要因素。掃描周期越短，相關路徑的防御收益越高，網(wǎng)絡安全狀況越好。而防御系統(tǒng)的部署位置則需要考慮需要保護的路徑和節(jié)點進行針對性部署。

4 結論

通過考慮實際攻防過程當中時間因素的影響，構建率時間-概率攻擊圖模型，分析了攻擊時間和掃描時間對攻擊成功率的影響，引入防御收益用于評估網(wǎng)絡安全情況。理論分析和仿真結果表明，對攻擊方而言，原子攻擊成功概率越高，原子攻擊時間越短，攻擊成功概率越高；對防御方而言，防御收益主要受防御系統(tǒng)部署位置和掃描周期影響。后續(xù)研究中將考慮結合其他防御技術，如動態(tài)目標防御等，深入研究網(wǎng)絡安全評估技術及防御方法。