电子说
摘要:
为进一步提高信息系统安全风险评估结果的准确性和可用性,降低主观因素的影响,以模糊层次分析法和攻击树模型为基础,对信息系统的安全风险进行评估。首先,采用攻击树模型描述系统可能遭受的攻击;其次,假定各叶节点具有不同的安全属性,采用模糊层次分析法求解各安全属性的权值,为降低专家评分的主观因素影响,假定各属性得分为区间变量,建立基于区间变量的属性概率发生模型。最后,采用实例进行分析验证,结果表明该方法不仅进一步降低了风险评估时主观因素的影响,且思路清晰,方法简单,具有较强的通用性和工程应用价值。
❖
0 引言
20世纪90年代末,SCHNEIER B首先提出攻击树概念[1],因其层次清晰、直观形象等特点,后被广泛用于系统安全威胁分析和风险建模[2-6]。但在定量分析方面,传统的攻击树建模存在不足,因而大量攻击树模型的改进方法被业界学者提出,用于提高网络安全风险评估的效果。张春明等[7]提出了基于攻击树的网络安全事件评估方法,为制订安全防护策略提供了有力支持。王作广等[8]基于攻击树和CVSS对工业控制系统进行风险量化评估,但在根据CVSS 3.0规范求解叶节点的概率时,并未对各节点的属性进行分析。李慧[9]、黄慧萍[10]、任丹丹[11]等采用攻击树模型分别对数传电台传输安全、工业控制系统、车载自组织网络进行威胁建模或安全风险评估,但在各安全属性计算上还存在不足。基于上述文献可知,采用攻击树模型进行系统安全风险分析时,主要存在两个方面的不足:一是如何对各安全属性进行准确分析;二是如何定量分析各叶节点的发生概率,降低主观因素的影响。鉴于此,本文采用模糊层析分析法(Fuzzy Analytic Hierarchy Process,FAHP)对攻击树模型进行改进,首先赋予各叶节点特定的安全属性,然后基于评估对象的特点采用FAHP计算各安全属性的权值,同时利用基于区间变量的属性概率发生模型求解各属性的发生概率,最后计算各叶节点的发生概率。该模型充分考虑攻守双方的博弈过程,能够更加准确、合理地评估系统所存在安全风险,可为后续安全防护策略的制定提供技术支撑。
1 攻击树模型
在攻击树模型中,根节点代表攻击目标;叶节点代表攻击过程中采用的各种攻击方法[12-13]。叶节点之间的关系包括:与(AND)、或(OR)和顺序与(Sequence AND,SAND)3种[7]。采用FAHP对攻击树模型进行改进,并将其用于系统安全风险分析,主要思路如图1所示。
2 基于FAHP的攻击树模型改进
2.1 叶节点的指标量化
由于攻击的实现可能受多个因素的影响,为反映各因素对攻击事件的影响,给各叶节点赋予3个安全属性:实现攻击的难易程度(difficulty) 、实现攻击所需的攻击成本(cost)和攻击被发现的可能性(detection)。根据多属性效用理论,将以上3个属性转化为达成目标的效用值,进一步可计算叶节点的发生概率[8,12]:
在实际工程应用中,通常采用专家打分的方法对叶子节点各安全属性值进行赋值。分析之前可做如下假设:
2.2 安全属性权值
采用FAHP对攻击成本、难易程度和攻击被发现的可能性这3个安全属性的权值Wdif、Wcos、Wdet进行求解。根据该层各因素受攻击后对上一层因素造成的相对危害程度,来确定本层次各因素的相对重要性。本文采用0.1~0.9的标度,将相对重要性给予定量描述,比较尺度如表2所示[12]。根据表2确定每个属性的重要程度,并构造判断矩阵C[15]:
a与权重的差异度成反比,即a越大,权重的差异度越小;a越小,权重的差异大越大。当a=(n-1)/2时,权重的差异度越大。本文取a=(n-1)/2,RC为一个3阶矩阵,因此a=(n-1)/2=1,其中,n为模糊一致矩阵的阶数,得到wc=[0.383 4,0.333 3,0.283 3]。由此,可以得到Udif=0.383 4、Udet=0.333 3、Ucos=0.283 3,利用式(1)最终求得叶节点的发生概率。
2.3 根节点的发生概率
计算根节点发生概率需首先确定攻击路径,攻击路径是一组叶节点的有序集合,完成这组攻击事件(叶节点)即可达成攻击目标。构造攻击路径的算法如下:
(1)假设G为攻击树的根节点,n为根节点的度。
(2)对可能的攻击路径Ri=(X1,X2,…,Xm),i={1,2,…,n}进行分析:对G所有的子节点进行搜寻,如果该子节点为叶节点Mi,则确定其中一条可能的攻击路径,否则以各子节点为根,对下一级子节点进行搜寻,直至将所有可能的攻击路径确定为止。
(3)求解每一条攻击路径可能发生的概率:采用自底向上的方式,由子节点求解父节点发生的概率,具体可参考文献[7]和文献[17]。
假设安全事件有n种攻击路径,且攻击路径Ri=(X1,X2,…,Xm),i={1,2,…,n},其中Xi表示各叶节点。则路径Ri发生的概率为:P(Ri)=P(X1)×P(X2)×…×P(Xm),i={1,2,…,n},对比各攻击路径发生概率的计算结果,其数值大小可反映攻击者对攻击方式的选择倾向,应重点防御概率最大的攻击方式。
3 实例验证
本文采用文献[12]实例进行应用验证分析与对比。仍以某军事业务系统内部人员窃取文件资料为例建立攻击树模型,如图2所示,各节点含义如表3所示。具体步骤和典型的内部人员攻击手段可参考文献[12],本文不再赘述。
利用表1的评分标准,对此攻击树中各叶节点的安全属性值打分。为了更好地验证本文方法的有效性,此处采用文献[12]的评分结果,具体如表4所示。
假定表4中各叶节点的得分为得分区间值的中值,X的取值为评分等级最大值时,mid+αXmid,X=Xmid-αXmid。不失一般性,取置信水平α=0.1,则进一步可得各安全属性得分区间值。根据式(3)和式(6)分别求解各属性的效用值及对应的权值,最后根据式(1),即可得各叶节点的发生概率,结果如图3所示。
由图3可知,本文方法与文献[12]中各叶节点发生概率的最大差异在于叶节点X8的发生概率,本文中P8(X8)=0.746 9,文献[12]中P8(X8)=0.929 0,产生该情况的主要原因是各安全属性权值不同,本文方法和文献[12]中各属性权值如表5所示。
在构造判断矩阵时,各属性的重要程度梯度较小,所求权值应当与重要程度相吻合,而文献[12]中各权值的取值差异较大,根本原因在于层次分析法主观性较强,而本文采用模糊层次分析法,一定程度上降低了主观因素的影响,进一步说明了本文方法的有效性。
根据2.3节中的攻击路径算法,列出所有可能的攻击序列:R1=(X1);R2=(X2);R3=(X3);R4=(X4);R5=(X5);R6=(X6);R7=(X7);R8=(X8,X9);R9=(X8,X10);R10=(X8,X11);R11=(X12)。
根据式P(Ri)=P(X1)×P(X2)×…×P(Xm),各攻击序列的发生概率如图4所示。
由图4可知,R11电磁泄漏发生概率最大,即攻击者极有可能利用电磁泄露等问题进行攻击;其次是内部人员窃取文件资料的攻击树模型中R5、R6、R7攻击序列发生的概率较大,也即攻击者很有可能利用系统自身的漏洞实现窃密行为。而与文献[12]的结论相比,攻击树模型中R5、R6、R7攻击序列发生的概率最大,其次是电磁泄漏发生概率,造成最终结论存在误差的根本原因是各安全属性权值不同,其原因与叶节点发生概率相同,此处不再赘述。基于上述分析,该军事业务系统需要针对攻击序列R5、R6、R7、R11采取相关的安全防护措施。
上述分析是在置信水平α=0.1时给出的分析结论,为了进一步研究不同置信水平对安全风险评估结果的影响,下面给出不同置信水平下各攻击序列的发生概率,具体如表6所示。
由表6可知,随着置信水平的增加,各攻击序列的发生概率呈递增的趋势,主要是由于随着置信水平的增加,将安全属性得分取平均的范围增大引起的;随着置信水平的增加,各攻击序列的发生概率大小的顺序不变,进一步说明置信水平的取值对最终一致性结论影响较小。
4 结论
本文提出了一种基于FAHP和攻击树的信息系统安全评估方法,并通过实例进行了对比验证。首先,采用FAHP进行各安全属性权值求解,降低了评估过程中的主观因素;其次,在各叶节点发生概率求解时,将各属性得分假定为区间变量,一定程度上降低了专家认知不确定带来的影响,进一步增加了各属性的信息量,提高了各叶节点发生概率的精度;最后,通过实例给出了对信息系统进行安全评估的典型方法步骤,找出了攻击者最可能采取的攻击方式,可为系统的安全防护体系构建提供技术支撑。
全部0条评论
快来发表一下你的评论吧 !