高安全等級(jí)系統(tǒng)抗攻擊能力測(cè)評(píng)研究

蔣建春 文偉平 胡陳勇

1(中國(guó)科學(xué)院軟件研究所 北京 100190)

2(北京大學(xué)軟件與微電子學(xué)院 北京 100871)

3(北京中科卓信軟件測(cè)評(píng)技術(shù)中心 北京 100193)

高安全等級(jí)保護(hù)對(duì)象[1]一般是三級(jí)以上的保護(hù)系統(tǒng)，典型系統(tǒng)為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施，其安全受損將對(duì)國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)秩序、公共利益等造成重大影響.目前，等級(jí)保護(hù)對(duì)象面臨著不同動(dòng)機(jī)的威脅者，承受不同類型的攻擊.網(wǎng)絡(luò)信息泄露、惡意代碼、垃圾郵件、網(wǎng)絡(luò)恐怖主義、網(wǎng)絡(luò)間諜、網(wǎng)絡(luò)戰(zhàn)等都將影響到等級(jí)保護(hù)對(duì)象安全.根據(jù)CNCERT[2]抽樣監(jiān)測(cè)數(shù)據(jù)顯示，針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的高級(jí)持續(xù)威脅(advanced persistent threat,APT)日趨常態(tài)化.2018年，全球?qū)I(yè)網(wǎng)絡(luò)安全機(jī)構(gòu)發(fā)布了各類高級(jí)威脅研究報(bào)告478份，同比增長(zhǎng)約3.6倍.已被確認(rèn)的APT攻擊組織包括APT28、Lazarus、Group 123、海蓮花、MuddyWater等53個(gè).網(wǎng)絡(luò)安全相關(guān)研究工作表明[3-5]，國(guó)外APT組織已經(jīng)針對(duì)我國(guó)的金融、政府、教育、科研等目標(biāo)系統(tǒng)持續(xù)發(fā)動(dòng)攻擊.高安全等級(jí)的保護(hù)對(duì)象具有重要的價(jià)值，因此成為高級(jí)持續(xù)威脅組織的關(guān)注點(diǎn).

針對(duì)高安全等級(jí)保護(hù)對(duì)象，國(guó)家相關(guān)部門已經(jīng)頒布了網(wǎng)絡(luò)安全法律法規(guī)和系列技術(shù)規(guī)范，從法律責(zé)任、系統(tǒng)建設(shè)、應(yīng)用開(kāi)發(fā)、運(yùn)行維護(hù)、安全管理等各方面提出具體性要求[6].同時(shí)，國(guó)家等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)按照測(cè)評(píng)標(biāo)準(zhǔn)，評(píng)估其是否符合網(wǎng)絡(luò)安全等級(jí)保護(hù)要求.但是，當(dāng)前高安全等級(jí)保護(hù)對(duì)象測(cè)評(píng)偏重于合規(guī)性安全評(píng)估，測(cè)評(píng)工作限于靜態(tài)性安全配置檢查，安全機(jī)制及安全產(chǎn)品的實(shí)際效用難以確認(rèn)，缺乏等保對(duì)象的抗攻擊能力評(píng)估.基于此，本文提出一種基于網(wǎng)絡(luò)安全威脅路徑想定抗攻擊能力測(cè)評(píng)方法，通過(guò)構(gòu)建高安全等級(jí)系統(tǒng)APT威脅能力庫(kù)，模擬不同類型的APT組織來(lái)分析等級(jí)保護(hù)對(duì)象的保護(hù)能力，驗(yàn)證保護(hù)對(duì)象相關(guān)安全機(jī)制的效用.

1 相關(guān)工作

MITRE機(jī)構(gòu)研究人員根據(jù)已發(fā)生的攻擊實(shí)例，提出了攻擊敵手模型框架MITRE ATT&CK[7]，并用此框架評(píng)估產(chǎn)品和系統(tǒng)安全.同時(shí)，構(gòu)建一種網(wǎng)絡(luò)敵手語(yǔ)言和檢測(cè)引擎CALDERA[8]，可以復(fù)制真實(shí)的網(wǎng)絡(luò)入侵行為.NVISO研究人員通過(guò)開(kāi)展網(wǎng)絡(luò)敵手仿真(adversary emulation)，以測(cè)試網(wǎng)絡(luò)彈性及高級(jí)持續(xù)威脅.美國(guó)CERT研究人員提出一種全球網(wǎng)絡(luò)敵手能力鏈模型(adversarial capability chain,ACC)[9]，ACC 基于漏洞生命期5階段能力鏈，即漏洞首次發(fā)現(xiàn)(discovery)、漏洞破壞力驗(yàn)證(validation)、漏洞利用攻擊可逃避防護(hù)(escalation)、漏洞利用攻擊低成本(democratization)、漏洞利用攻擊普適化(ubiquity).美國(guó)伊利諾伊大學(xué)提出了以敵手的視角評(píng)估安全方法ADVISE(adversary view security evaluation)[10]，該方法使用 M?bius模型工具形式化構(gòu)建敵手模型，并以此分析信息系統(tǒng)的安全屬性.國(guó)外公司提供130多種攻擊者模板，其中，包括國(guó)家級(jí)別黑客機(jī)構(gòu)、網(wǎng)絡(luò)犯罪分子組織、激進(jìn)的個(gè)人黑客等.文獻(xiàn)[11-12]提出網(wǎng)絡(luò)安全測(cè)量方法.

為驗(yàn)證網(wǎng)絡(luò)安全的實(shí)際保護(hù)能力.國(guó)內(nèi)外相關(guān)人員都陸續(xù)開(kāi)展了網(wǎng)絡(luò)安全測(cè)評(píng)工作.文獻(xiàn)[13]提出網(wǎng)絡(luò)敵手模型.文獻(xiàn)[14]對(duì)Windows 7操作系統(tǒng)的5種典型安全機(jī)制GSStackProtection，SafeSEH，HcapProtection，DEP，ASLR抵御攻擊的整體效果進(jìn)行了分析，通過(guò)實(shí)際的測(cè)試用例與獲得的測(cè)試數(shù)據(jù)證明Windows 7系統(tǒng)安全性改進(jìn).文獻(xiàn)[15]提出了網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0云計(jì)算安全合規(guī)能力模型，基于網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求，對(duì)云計(jì)算平臺(tái)及系統(tǒng)的保護(hù)對(duì)象、安全措施及安全能力進(jìn)行識(shí)別，構(gòu)建網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0云計(jì)算安全合規(guī)模型，分析得出云計(jì)算平臺(tái)及系統(tǒng)的安全技術(shù)能力.開(kāi)源網(wǎng)絡(luò)敵手模擬工具相繼出現(xiàn)，如Metta[16]，HackTheBox[17]，Red Team Automation[18]，BT3(blue team training toolkit)[19].

2 抗攻擊能力測(cè)評(píng)模型

2.1 抗攻擊能力測(cè)評(píng)需求分析

《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》GB/T 22239—2019[20]針對(duì)不同級(jí)別的等級(jí)保護(hù)對(duì)象，給出了5個(gè)能力保護(hù)級(jí)要求，具體分析如表1所示：

表1 網(wǎng)絡(luò)安全等級(jí)保護(hù)能力要求分析表

2.2 抗APT攻擊能力測(cè)評(píng)模型

抗APT攻擊能力測(cè)評(píng)模型由系統(tǒng)威脅者能力模型庫(kù)、等級(jí)評(píng)測(cè)對(duì)象威脅路徑、系統(tǒng)威脅用例生成、系統(tǒng)威脅能力執(zhí)行引擎、等級(jí)評(píng)測(cè)對(duì)象、抗攻擊能力評(píng)估構(gòu)成，如圖1所示.

圖1 抗攻擊能力測(cè)評(píng)模型

1) 等級(jí)評(píng)測(cè)對(duì)象.

等級(jí)評(píng)測(cè)對(duì)象，即高安全等級(jí)保護(hù)對(duì)象一般是指三級(jí)以上的保護(hù)系統(tǒng)，通常為關(guān)鍵信息基礎(chǔ)設(shè)施.這些系統(tǒng)的抗攻擊能力要求能夠抵御有組織的復(fù)雜攻擊.本文定義為以H為高安全等級(jí)保護(hù)對(duì)象節(jié)點(diǎn)集，N為節(jié)點(diǎn)集內(nèi)保護(hù)對(duì)象的數(shù)量，則等級(jí)保護(hù)系統(tǒng)對(duì)象S可表示如下：

S={hi|hi∈H，i=1,2,…,N}.

以O(shè)表示構(gòu)成任意節(jié)點(diǎn)組件集合，oi為O的第i元素，即oi∈O，則第k個(gè)等級(jí)保護(hù)節(jié)點(diǎn)的構(gòu)成組件集表示為Ohk={oi|oi∈O，i=1,2,…,N}，oi為構(gòu)成hk的組件元素.

2) 系統(tǒng)威脅者能力模型庫(kù).

本文定義C為能力集合，B為威脅行為集合，G為系統(tǒng)威脅組織集合.

定義1.系統(tǒng)威脅能力.

系統(tǒng)威脅能力為一個(gè)二元組，即c=〈b,o〉，其中，c表示威脅者對(duì)某個(gè)對(duì)象可以實(shí)施的威脅操作，b表示威脅者的行為，o表示b操作的對(duì)象.

定義2.系統(tǒng)威脅者組織能力模型.

定義〈gi,cj〉表示系統(tǒng)威脅者的組織gi擁有的能力為cj，則系統(tǒng)威脅者的組織gi能力模型可以表示為二元組〈gi,cj〉的集合，即

CGi={〈gi,cj〉|cj∈C,gi∈G，i,j=1,2,…,N}.

3) 等保評(píng)測(cè)對(duì)象威脅路徑想定生成.

給定等級(jí)保護(hù)對(duì)象hi∈H，有威脅組織gk∈G的能力cj，使得cj=(bj,oj)的oj∈Ohi，則gk威脅hi路徑描述如下：

此威脅路徑可記為三元組：〈gk，cj，hi〉.

4) 系統(tǒng)威脅測(cè)試用例生成.

給定等級(jí)保護(hù)對(duì)象hi∈H，對(duì)應(yīng)測(cè)試用例為威脅路徑的集合，即

TSi={〈gk，cj，hi〉|gk∈G,cj∈C,hi∈H},

其中TSi表示等級(jí)保護(hù)對(duì)象hi的測(cè)試用例集.

5) 系統(tǒng)威脅能力執(zhí)行引擎.

系統(tǒng)威脅能力執(zhí)行引擎模擬gk，對(duì)hi實(shí)施cj，即驗(yàn)證威脅路徑〈gk，cj，hi〉的可行性.

6) 保護(hù)對(duì)象抗攻擊能力分析與評(píng)估.

給定等級(jí)保護(hù)對(duì)象hi，含有g(shù)k的測(cè)試集為TSik?TSi，威脅路徑驗(yàn)證可行的集合為Pki，則等級(jí)保護(hù)對(duì)象hi對(duì)抗威脅組織gk的能力計(jì)算如下：

其中|TSik|表示集合TSik的元素?cái)?shù)量，|Pki|表示集合Pki的元素?cái)?shù)量,Δk的數(shù)值大小表示等級(jí)保護(hù)對(duì)象hi對(duì)抗威脅組織gk的能力.

3 模型實(shí)現(xiàn)與關(guān)鍵技術(shù)

3.1 系統(tǒng)組成結(jié)構(gòu)

本文抗攻擊能力測(cè)評(píng)系統(tǒng)由高安全等級(jí)測(cè)評(píng)對(duì)象庫(kù)、等級(jí)測(cè)評(píng)對(duì)象威脅路徑想定、威脅組織者模型、系統(tǒng)威脅能力執(zhí)行引擎、抗攻擊能力分析組成，如圖2所示.

圖2 抗攻擊能力測(cè)評(píng)系統(tǒng)框架

3.2 系統(tǒng)APT威脅組織者模型構(gòu)建

本文系統(tǒng)威脅組織能力庫(kù)構(gòu)建方法主要有基于APT網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)攻擊知識(shí)庫(kù)集成，如圖3所示.

圖3 系統(tǒng)威脅組織能力庫(kù)構(gòu)建方法

1) APT網(wǎng)絡(luò)安全事件數(shù)據(jù)挖掘.

通過(guò)收集APT網(wǎng)絡(luò)安全事件數(shù)據(jù)，抽取APT攻擊案例的威脅操作行為和目標(biāo)對(duì)象，構(gòu)建高安全等級(jí)保護(hù)對(duì)象的組織威脅者的能力算子.

2) 網(wǎng)絡(luò)攻擊知識(shí)庫(kù)集成.

目前，網(wǎng)絡(luò)上已公開(kāi)的網(wǎng)絡(luò)攻擊知識(shí)庫(kù)有MITRE ATT&CK，C2 Matrix.其中：MITRE ATT&CK是基于真實(shí)的觀察形成的網(wǎng)絡(luò)敵手知識(shí)庫(kù)；C2(command and control)是APT組織攻擊者常利用的戰(zhàn)術(shù)，用于控制端和受控目標(biāo)的之間聯(lián)系.開(kāi)源C2 Matrix包含35個(gè)命令和控制框架[21].

APT威脅組織能力庫(kù)以XY標(biāo)識(shí)，其數(shù)據(jù)格式表示為二元組〈x,y〉，其中，x為操作行為描述，y為操作對(duì)象.

3.3 等級(jí)評(píng)測(cè)對(duì)象威脅路徑想定生成

等級(jí)評(píng)測(cè)對(duì)象威脅路徑想定生成方法利用等級(jí)保護(hù)對(duì)象的組件、APT威脅組織能力庫(kù)，通過(guò)威脅數(shù)據(jù)分析自動(dòng)生成等級(jí)保護(hù)節(jié)點(diǎn)APT威脅路徑，如圖4所示：

圖4 等級(jí)保護(hù)對(duì)象APT威脅路徑分析

設(shè)Pi是等級(jí)保護(hù)節(jié)點(diǎn)hi威脅路徑集合，P是等級(jí)保護(hù)節(jié)點(diǎn)所有的威脅路徑集合.

算法1.等級(jí)保護(hù)對(duì)象高級(jí)威脅路徑分析算法.

輸入：H為等級(jí)保護(hù)節(jié)點(diǎn)hi集合、O為等級(jí)保護(hù)節(jié)點(diǎn)hi構(gòu)成的組件集、XY為APT威脅組織能力庫(kù)；

輸出：P.

步驟1.從H選取1個(gè)等級(jí)保護(hù)節(jié)點(diǎn)hi，直至集合H的元素遍歷完；

步驟2.獲取hi的組件oi∈O；

步驟3.從XY中遍歷取元素〈xj,yj〉；

步驟4.若yj=oi，則生成威脅路徑xj→yj；

步驟5.將〈xj,yj〉添加到Pi；

步驟6.重復(fù)步驟3，直至集合XY的元素取完；

步驟7.確定等級(jí)保護(hù)節(jié)點(diǎn)威脅路徑集合Pi.

APT組織的攻擊活動(dòng)通常表現(xiàn)為水平移動(dòng)，即通過(guò)等級(jí)保護(hù)節(jié)點(diǎn)的威脅關(guān)聯(lián)，構(gòu)成復(fù)雜的威脅路徑，形成APT組織的水平移動(dòng)攻擊.

設(shè)H為等級(jí)保護(hù)節(jié)點(diǎn)集，即H的集合元素為等級(jí)保護(hù)對(duì)象獨(dú)立節(jié)點(diǎn)；M為威脅關(guān)聯(lián)矩陣，M的集合元素是節(jié)點(diǎn)之間威脅關(guān)聯(lián)函數(shù)R(hi，hj)值，該值為1或0，1表示等級(jí)保護(hù)節(jié)點(diǎn)hi的威脅行為可以威脅到hj，0表示等級(jí)保護(hù)節(jié)點(diǎn)之間不存在威脅相互影響.

算法2.APT水平移動(dòng)威脅路徑分析算法.

輸入：H，M；

輸出：等級(jí)保護(hù)節(jié)點(diǎn)關(guān)聯(lián)威脅集.

步驟1.選擇待測(cè)評(píng)的等級(jí)保護(hù)節(jié)點(diǎn)hi∈H；

步驟2.選擇等級(jí)保護(hù)節(jié)點(diǎn)hi∈H的安全威脅集合Pi；

步驟3.確定hi∈H與hj∈H的R(hi，hj);

步驟4.如果R(hi，hj)=1，則生成等級(jí)保護(hù)節(jié)點(diǎn)hi和hj的威脅關(guān)聯(lián)〈Pi，Pj〉；

步驟5.重復(fù)步驟3，直到與hi有威脅關(guān)聯(lián)的等級(jí)保護(hù)節(jié)點(diǎn)分析完畢；

步驟6.輸出等級(jí)保護(hù)節(jié)點(diǎn)hi的關(guān)聯(lián)威脅集；

步驟7.重復(fù)步驟1，直到等級(jí)保護(hù)節(jié)點(diǎn)的分析完畢.

3.4 系統(tǒng)APT威脅能力模型執(zhí)行引擎

系統(tǒng)威脅能力模型執(zhí)行引擎的功能是模擬實(shí)現(xiàn)APT組織對(duì)等級(jí)保護(hù)節(jié)點(diǎn)的威脅操作.該引擎支持插件模式，按照APT組織的攻擊過(guò)程，集成各種工具或APT樣本數(shù)據(jù).具體實(shí)現(xiàn)方法如下：

1) 攻擊工具集成實(shí)現(xiàn).

如圖5所示，根據(jù)APT組織所利用的攻擊方法和對(duì)應(yīng)的操作，可以集成軟件工具實(shí)現(xiàn)威脅者的操作.

圖5 APT威脅操作集成示意圖

2) APT攻擊樣本數(shù)據(jù)重放.

將APT組織的攻擊樣本數(shù)據(jù)通過(guò)網(wǎng)絡(luò)流量重放、文件拷貝等工具，輸入到等級(jí)保護(hù)測(cè)評(píng)對(duì)象中，以驗(yàn)證等級(jí)保護(hù)的安全機(jī)制防護(hù)能力，如圖6所示：

圖6 APT攻擊樣本數(shù)據(jù)重放示意圖

4 模型應(yīng)用驗(yàn)證與分析

4.1 模型應(yīng)用方法

4.1.1 模型應(yīng)用

根據(jù)等級(jí)保護(hù)對(duì)象的能力保護(hù)要求，對(duì)于給定的高安全等級(jí)保護(hù)對(duì)象，抗攻擊能力測(cè)評(píng)過(guò)程如下：

1) 獲取等級(jí)保護(hù)對(duì)象的組件配置信息；

2) 選取APT威脅者的能力庫(kù)，想定生成等級(jí)保護(hù)對(duì)象威脅路徑集；

3) 測(cè)試驗(yàn)證等級(jí)保護(hù)對(duì)象的威脅路徑可行性；

4) 給出實(shí)際可行的威脅路徑數(shù)量與想定威脅路徑數(shù)的比值，記為α；

5) 計(jì)算抗APT攻擊能力的量化數(shù)值Δ=1-α.

4.1.2 模型實(shí)現(xiàn)

本文從已公開(kāi)的典型APT組織活動(dòng)報(bào)告中提取APT威脅組織能力庫(kù)，并生成威脅路徑測(cè)試用例集(APT攻擊樣本集)，最后在待測(cè)信息系統(tǒng)中重放APT攻擊樣本，計(jì)算并輸出待測(cè)信息系統(tǒng)抗攻擊能力.具體實(shí)現(xiàn)過(guò)程如下：

1) 構(gòu)建APT威脅者組織能力庫(kù).本文從近年來(lái)已公開(kāi)的網(wǎng)絡(luò)攻擊活動(dòng)報(bào)告中提取9個(gè)典型APT威脅者組織，并基于待測(cè)信息系統(tǒng)列舉出每個(gè)APT組織的典型威脅能力，如表2所示：

表2 APT典型威脅能力

為便于后文描述，對(duì)表2中的威脅能力進(jìn)行通用定義，如表3所示：

表3 通用威脅定義

2) APT威脅路徑想定.本文想定APT組織者能把攻擊載荷投送到目標(biāo)對(duì)象，形成點(diǎn)對(duì)點(diǎn)威脅路徑，即表示為二元組形式〈威脅行為，目標(biāo)對(duì)象〉.

3) APT威脅者能力實(shí)現(xiàn).本文通過(guò)文件拷貝的方式將APT攻擊樣本投送到目標(biāo)對(duì)象，然后觀察攻擊樣本在目標(biāo)對(duì)象的執(zhí)行情況，以驗(yàn)證相應(yīng)的APT威脅路徑是否可行.

4.2 模型應(yīng)用測(cè)評(píng)示例

4.2.1 測(cè)評(píng)環(huán)境構(gòu)建

為驗(yàn)證本文提出的抗攻擊能力測(cè)評(píng)模型，本文構(gòu)建了一個(gè)典型的待測(cè)網(wǎng)絡(luò)信息系統(tǒng)，如圖7所示.受控環(huán)境中部署一個(gè)典型的企業(yè)郵件系統(tǒng)、辦公終端作為測(cè)評(píng)對(duì)象.

圖7 抗APT攻擊能力測(cè)評(píng)網(wǎng)絡(luò)信息系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖

在待測(cè)網(wǎng)絡(luò)信息系統(tǒng)中，假定APT威脅者收集企業(yè)員工的郵箱信息，并將攻擊樣本(包括可執(zhí)行惡意代碼、惡意文檔、惡意腳本3種類型)發(fā)送給企業(yè)員工，網(wǎng)絡(luò)信息安全意識(shí)薄弱的員工在辦公終端中打開(kāi)并運(yùn)行郵件附件，從而APT威脅者可以獲得辦公終端的控制權(quán)進(jìn)而實(shí)施進(jìn)一步的惡意活動(dòng).在本文的測(cè)評(píng)中，考慮上述待測(cè)信息系統(tǒng)的節(jié)點(diǎn)信息如表4所示.

表4 抗APT攻擊能力測(cè)評(píng)網(wǎng)絡(luò)信息系統(tǒng)配置

4.2.2 測(cè)評(píng)數(shù)據(jù)集

本文實(shí)驗(yàn)枚舉了9個(gè)APT威脅者組織對(duì)測(cè)評(píng)對(duì)象的威脅路徑，并構(gòu)建520個(gè)威脅路徑測(cè)試用例，以測(cè)試和評(píng)估測(cè)評(píng)對(duì)象的抗攻擊能力.表5列舉了本文測(cè)評(píng)中所使用的測(cè)試用例數(shù).需要指出的是，并非所有APT威脅者組織均具備所有的威脅能力和威脅路徑.

表5 APT威脅路徑及測(cè)試用例

4.2.3 測(cè)評(píng)結(jié)果分析

根據(jù)4.2.1節(jié)所述的測(cè)評(píng)環(huán)境和4.2.2節(jié)所述的測(cè)評(píng)數(shù)據(jù)集，基于本文提出抗攻擊能力測(cè)評(píng)模型，對(duì)測(cè)評(píng)對(duì)象的3個(gè)節(jié)點(diǎn)E1，E2，M1按照威脅路徑重放測(cè)試用例，并計(jì)算每個(gè)節(jié)點(diǎn)的抗攻擊能力.

1) 辦公終端節(jié)點(diǎn)E1的抗攻擊能力測(cè)評(píng)結(jié)果分析.

從表6可以看出，節(jié)點(diǎn)E1對(duì)于著名的APT組織OceanLotus(海蓮花組織)抗攻擊能力最強(qiáng)，而對(duì)于Oilrig組織的抗攻擊能力最弱，甚至無(wú)法防御該APT威脅者的任何測(cè)試用例.

表6 辦公終端節(jié)點(diǎn)E1的抗APT攻擊能力測(cè)評(píng)結(jié)果

2) 辦公終端節(jié)點(diǎn)E2的抗攻擊能力測(cè)評(píng)結(jié)果分析.

從表7可以看出，由于E2的環(huán)境為Windows 10操作系統(tǒng)，因此總體上比E1的Windows 7操作系統(tǒng)的抗攻擊能力顯著提升.E2對(duì)于Equation組織(方程式)具有較好的抗攻擊能力，而對(duì)于來(lái)自南亞大陸的APT組織Bitter(蔓靈花)其抗攻擊能力相對(duì)較弱.

表7 辦公終端節(jié)點(diǎn)E2的抗APT攻擊能力測(cè)評(píng)結(jié)果

3) 企業(yè)郵件服務(wù)器M1的抗攻擊能力測(cè)評(píng)結(jié)果分析.

如表8所示，由于該服務(wù)器為L(zhǎng)inux系統(tǒng)，無(wú)法直接打開(kāi)和運(yùn)行郵件附件，因此威脅路徑僅為測(cè)試用例樣本的逃逸檢測(cè)能力.M1對(duì)于Oilrig組織具有很好的抗攻擊能力，而對(duì)于OceanLotus組織的抗攻擊能力最弱.

表8 郵件服務(wù)器抗APT攻擊能力測(cè)評(píng)結(jié)果

4) 系統(tǒng)抗攻擊能力整體測(cè)評(píng)結(jié)果分析.

由于APT攻擊通常為多階段活動(dòng)，為此，對(duì)測(cè)評(píng)對(duì)象應(yīng)整體分析抗攻擊能力.圖8示出了所有節(jié)點(diǎn)(E1，E2，M1)抗攻擊能力的綜合評(píng)價(jià).可以看出，盡管不同節(jié)點(diǎn)對(duì)于不同APT威脅者的抗攻擊能力有較大差異，但是對(duì)于待測(cè)信息系統(tǒng)(測(cè)評(píng)對(duì)象)整體而言，其具有相近的抗攻擊能力.圖8中橫坐標(biāo)為APT威脅者，直方圖中的不同顏色區(qū)塊分別表示節(jié)點(diǎn)E1，E2，M1的抗攻擊能力.其中，黃色區(qū)塊表示測(cè)評(píng)對(duì)象的整體抗攻擊能力，計(jì)算方法如下：

圖8 測(cè)評(píng)對(duì)象抗APT攻擊能力結(jié)果

其中Δk表示測(cè)評(píng)對(duì)象對(duì)于APT威脅者Gk的抗攻擊能力.

4.3 相關(guān)工作討論

網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0增加了新的安全控制域：安全運(yùn)營(yíng)中心(SOC).當(dāng)測(cè)評(píng)對(duì)象中的任一節(jié)點(diǎn)檢測(cè)到威脅時(shí)，安全運(yùn)營(yíng)中心所部署的安全信息事件與管理系統(tǒng)(SIEM)或態(tài)勢(shì)感知系統(tǒng)可以快速將威脅情報(bào)同步至測(cè)評(píng)對(duì)象的所有節(jié)點(diǎn).為此，測(cè)評(píng)對(duì)象在SOC環(huán)境下的抗攻擊能力測(cè)評(píng)方法有所變化，應(yīng)將測(cè)評(píng)對(duì)象的所有威脅路徑中的全部節(jié)點(diǎn)均驗(yàn)證通過(guò)的測(cè)試用例視為測(cè)評(píng)對(duì)象的整體威脅，其抗攻擊能力計(jì)算如下：

測(cè)評(píng)結(jié)果如表9所示：

5 結(jié)束語(yǔ)

本文研究分析高安全等級(jí)系統(tǒng)的抗攻擊能力測(cè)評(píng)需求，提出一種基于攻擊路徑的高安全等級(jí)保護(hù)的抗APT攻擊能力測(cè)評(píng)模型，給出了國(guó)家級(jí)別、敵對(duì)組織、擁有豐富資源等威脅者能力模型構(gòu)建方法，并提供了相關(guān)實(shí)現(xiàn)參考.后續(xù)的研究工作將進(jìn)一步完善威脅者能力模型和威脅知識(shí)庫(kù)自動(dòng)化構(gòu)建，以用于實(shí)際的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)，探索構(gòu)建基于APT攻擊能力驅(qū)動(dòng)網(wǎng)絡(luò)靶場(chǎng)服務(wù)平臺(tái)，開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻防演練.