一種基于FAHP和攻擊樹的信息系統(tǒng)安全評估方法

摘要：

為進(jìn)一步提高信息系統(tǒng)安全風(fēng)險評估結(jié)果的準(zhǔn)確性和可用性，降低主觀因素的影響，以模糊層次分析法和攻擊樹模型為基礎(chǔ)，對信息系統(tǒng)的安全風(fēng)險進(jìn)行評估。首先，采用攻擊樹模型描述系統(tǒng)可能遭受的攻擊；其次，假定各葉節(jié)點(diǎn)具有不同的安全屬性，采用模糊層次分析法求解各安全屬性的權(quán)值，為降低專家評分的主觀因素影響，假定各屬性得分為區(qū)間變量，建立基于區(qū)間變量的屬性概率發(fā)生模型。最后，采用實(shí)例進(jìn)行分析驗(yàn)證，結(jié)果表明該方法不僅進(jìn)一步降低了風(fēng)險評估時主觀因素的影響，且思路清晰，方法簡單，具有較強(qiáng)的通用性和工程應(yīng)用價值。

?

0 引言

20世紀(jì)90年代末，SCHNEIER B首先提出攻擊樹概念[1]，因其層次清晰、直觀形象等特點(diǎn)，后被廣泛用于系統(tǒng)安全威脅分析和風(fēng)險建模[2-6]。但在定量分析方面，傳統(tǒng)的攻擊樹建模存在不足，因而大量攻擊樹模型的改進(jìn)方法被業(yè)界學(xué)者提出，用于提高網(wǎng)絡(luò)安全風(fēng)險評估的效果。張春明等[7]提出了基于攻擊樹的網(wǎng)絡(luò)安全事件評估方法，為制訂安全防護(hù)策略提供了有力支持。王作廣等[8]基于攻擊樹和CVSS對工業(yè)控制系統(tǒng)進(jìn)行風(fēng)險量化評估，但在根據(jù)CVSS 3.0規(guī)范求解葉節(jié)點(diǎn)的概率時，并未對各節(jié)點(diǎn)的屬性進(jìn)行分析。李慧[9]、黃慧萍[10]、任丹丹[11]等采用攻擊樹模型分別對數(shù)傳電臺傳輸安全、工業(yè)控制系統(tǒng)、車載自組織網(wǎng)絡(luò)進(jìn)行威脅建模或安全風(fēng)險評估，但在各安全屬性計算上還存在不足?；谏鲜鑫墨I(xiàn)可知，采用攻擊樹模型進(jìn)行系統(tǒng)安全風(fēng)險分析時，主要存在兩個方面的不足：一是如何對各安全屬性進(jìn)行準(zhǔn)確分析；二是如何定量分析各葉節(jié)點(diǎn)的發(fā)生概率，降低主觀因素的影響。鑒于此，本文采用模糊層析分析法（Fuzzy Analytic Hierarchy Process，F(xiàn)AHP）對攻擊樹模型進(jìn)行改進(jìn)，首先賦予各葉節(jié)點(diǎn)特定的安全屬性，然后基于評估對象的特點(diǎn)采用FAHP計算各安全屬性的權(quán)值，同時利用基于區(qū)間變量的屬性概率發(fā)生模型求解各屬性的發(fā)生概率，最后計算各葉節(jié)點(diǎn)的發(fā)生概率。該模型充分考慮攻守雙方的博弈過程，能夠更加準(zhǔn)確、合理地評估系統(tǒng)所存在安全風(fēng)險，可為后續(xù)安全防護(hù)策略的制定提供技術(shù)支撐。

1 攻擊樹模型

在攻擊樹模型中，根節(jié)點(diǎn)代表攻擊目標(biāo)；葉節(jié)點(diǎn)代表攻擊過程中采用的各種攻擊方法[12-13]。葉節(jié)點(diǎn)之間的關(guān)系包括：與(AND)、或(OR)和順序與(Sequence AND，SAND)3種[7]。采用FAHP對攻擊樹模型進(jìn)行改進(jìn)，并將其用于系統(tǒng)安全風(fēng)險分析，主要思路如圖1所示。

2 基于FAHP的攻擊樹模型改進(jìn)

2.1 葉節(jié)點(diǎn)的指標(biāo)量化

由于攻擊的實(shí)現(xiàn)可能受多個因素的影響，為反映各因素對攻擊事件的影響，給各葉節(jié)點(diǎn)賦予3個安全屬性：實(shí)現(xiàn)攻擊的難易程度(difficulty) 、實(shí)現(xiàn)攻擊所需的攻擊成本（cost）和攻擊被發(fā)現(xiàn)的可能性(detection)。根據(jù)多屬性效用理論，將以上3個屬性轉(zhuǎn)化為達(dá)成目標(biāo)的效用值，進(jìn)一步可計算葉節(jié)點(diǎn)的發(fā)生概率[8，12]：

在實(shí)際工程應(yīng)用中，通常采用專家打分的方法對葉子節(jié)點(diǎn)各安全屬性值進(jìn)行賦值。分析之前可做如下假設(shè)：

2.2 安全屬性權(quán)值

采用FAHP對攻擊成本、難易程度和攻擊被發(fā)現(xiàn)的可能性這3個安全屬性的權(quán)值Wdif、Wcos、Wdet進(jìn)行求解。根據(jù)該層各因素受攻擊后對上一層因素造成的相對危害程度，來確定本層次各因素的相對重要性。本文采用0.1～0.9的標(biāo)度，將相對重要性給予定量描述，比較尺度如表2所示[12]。根據(jù)表2確定每個屬性的重要程度，并構(gòu)造判斷矩陣C[15]：

a與權(quán)重的差異度成反比，即a越大，權(quán)重的差異度越??；a越小，權(quán)重的差異大越大。當(dāng)a=(n-1)/2時，權(quán)重的差異度越大。本文取a=(n-1)/2，RC為一個3階矩陣，因此a=(n-1)/2=1，其中，n為模糊一致矩陣的階數(shù)，得到wc=[0.383 4，0.333 3，0.283 3]。由此，可以得到Udif=0.383 4、Udet=0.333 3、Ucos=0.283 3，利用式(1)最終求得葉節(jié)點(diǎn)的發(fā)生概率。

2.3 根節(jié)點(diǎn)的發(fā)生概率

計算根節(jié)點(diǎn)發(fā)生概率需首先確定攻擊路徑，攻擊路徑是一組葉節(jié)點(diǎn)的有序集合，完成這組攻擊事件（葉節(jié)點(diǎn)）即可達(dá)成攻擊目標(biāo)。構(gòu)造攻擊路徑的算法如下：

（1）假設(shè)G為攻擊樹的根節(jié)點(diǎn)，n為根節(jié)點(diǎn)的度。

（2）對可能的攻擊路徑Ri=(X1，X2，…，Xm)，i={1，2，…，n}進(jìn)行分析：對G所有的子節(jié)點(diǎn)進(jìn)行搜尋，如果該子節(jié)點(diǎn)為葉節(jié)點(diǎn)Mi，則確定其中一條可能的攻擊路徑，否則以各子節(jié)點(diǎn)為根，對下一級子節(jié)點(diǎn)進(jìn)行搜尋，直至將所有可能的攻擊路徑確定為止。

（3）求解每一條攻擊路徑可能發(fā)生的概率：采用自底向上的方式，由子節(jié)點(diǎn)求解父節(jié)點(diǎn)發(fā)生的概率，具體可參考文獻(xiàn)[7]和文獻(xiàn)[17]。

假設(shè)安全事件有n種攻擊路徑，且攻擊路徑Ri=(X1，X2，…，Xm)，i={1，2，…，n}，其中Xi表示各葉節(jié)點(diǎn)。則路徑Ri發(fā)生的概率為：P(Ri)=P(X1)×P(X2)×…×P(Xm)，i={1，2，…，n}，對比各攻擊路徑發(fā)生概率的計算結(jié)果，其數(shù)值大小可反映攻擊者對攻擊方式的選擇傾向，應(yīng)重點(diǎn)防御概率最大的攻擊方式。

3 實(shí)例驗(yàn)證

本文采用文獻(xiàn)[12]實(shí)例進(jìn)行應(yīng)用驗(yàn)證分析與對比。仍以某軍事業(yè)務(wù)系統(tǒng)內(nèi)部人員竊取文件資料為例建立攻擊樹模型，如圖2所示，各節(jié)點(diǎn)含義如表3所示。具體步驟和典型的內(nèi)部人員攻擊手段可參考文獻(xiàn)[12]，本文不再贅述。

利用表1的評分標(biāo)準(zhǔn)，對此攻擊樹中各葉節(jié)點(diǎn)的安全屬性值打分。為了更好地驗(yàn)證本文方法的有效性，此處采用文獻(xiàn)[12]的評分結(jié)果，具體如表4所示。

假定表4中各葉節(jié)點(diǎn)的得分為得分區(qū)間值的中值，X的取值為評分等級最大值時，mid+αXmid，X=Xmid-αXmid。不失一般性，取置信水平α=0.1，則進(jìn)一步可得各安全屬性得分區(qū)間值。根據(jù)式(3)和式(6)分別求解各屬性的效用值及對應(yīng)的權(quán)值，最后根據(jù)式(1)，即可得各葉節(jié)點(diǎn)的發(fā)生概率，結(jié)果如圖3所示。

由圖3可知，本文方法與文獻(xiàn)[12]中各葉節(jié)點(diǎn)發(fā)生概率的最大差異在于葉節(jié)點(diǎn)X8的發(fā)生概率，本文中P8(X8)=0.746 9，文獻(xiàn)[12]中P8(X8)=0.929 0，產(chǎn)生該情況的主要原因是各安全屬性權(quán)值不同，本文方法和文獻(xiàn)[12]中各屬性權(quán)值如表5所示。

在構(gòu)造判斷矩陣時，各屬性的重要程度梯度較小，所求權(quán)值應(yīng)當(dāng)與重要程度相吻合，而文獻(xiàn)[12]中各權(quán)值的取值差異較大，根本原因在于層次分析法主觀性較強(qiáng)，而本文采用模糊層次分析法，一定程度上降低了主觀因素的影響，進(jìn)一步說明了本文方法的有效性。

根據(jù)2.3節(jié)中的攻擊路徑算法，列出所有可能的攻擊序列：R1=(X1)；R2=(X2)；R3=(X3)；R4=(X4)；R5=(X5)；R6=(X6)；R7=(X7)；R8=(X8，X9)；R9=(X8，X10)；R10=(X8，X11)；R11=(X12)。

根據(jù)式P(Ri)=P(X1)×P(X2)×…×P(Xm)，各攻擊序列的發(fā)生概率如圖4所示。

由圖4可知，R11電磁泄漏發(fā)生概率最大，即攻擊者極有可能利用電磁泄露等問題進(jìn)行攻擊；其次是內(nèi)部人員竊取文件資料的攻擊樹模型中R5、R6、R7攻擊序列發(fā)生的概率較大，也即攻擊者很有可能利用系統(tǒng)自身的漏洞實(shí)現(xiàn)竊密行為。而與文獻(xiàn)[12]的結(jié)論相比，攻擊樹模型中R5、R6、R7攻擊序列發(fā)生的概率最大，其次是電磁泄漏發(fā)生概率，造成最終結(jié)論存在誤差的根本原因是各安全屬性權(quán)值不同，其原因與葉節(jié)點(diǎn)發(fā)生概率相同，此處不再贅述?；谏鲜龇治觯撥娛聵I(yè)務(wù)系統(tǒng)需要針對攻擊序列R5、R6、R7、R11采取相關(guān)的安全防護(hù)措施。

上述分析是在置信水平α=0.1時給出的分析結(jié)論，為了進(jìn)一步研究不同置信水平對安全風(fēng)險評估結(jié)果的影響，下面給出不同置信水平下各攻擊序列的發(fā)生概率，具體如表6所示。

由表6可知，隨著置信水平的增加，各攻擊序列的發(fā)生概率呈遞增的趨勢，主要是由于隨著置信水平的增加，將安全屬性得分取平均的范圍增大引起的；隨著置信水平的增加，各攻擊序列的發(fā)生概率大小的順序不變，進(jìn)一步說明置信水平的取值對最終一致性結(jié)論影響較小。

4 結(jié)論

本文提出了一種基于FAHP和攻擊樹的信息系統(tǒng)安全評估方法，并通過實(shí)例進(jìn)行了對比驗(yàn)證。首先，采用FAHP進(jìn)行各安全屬性權(quán)值求解，降低了評估過程中的主觀因素；其次，在各葉節(jié)點(diǎn)發(fā)生概率求解時，將各屬性得分假定為區(qū)間變量，一定程度上降低了專家認(rèn)知不確定帶來的影響，進(jìn)一步增加了各屬性的信息量，提高了各葉節(jié)點(diǎn)發(fā)生概率的精度；最后，通過實(shí)例給出了對信息系統(tǒng)進(jìn)行安全評估的典型方法步驟，找出了攻擊者最可能采取的攻擊方式，可為系統(tǒng)的安全防護(hù)體系構(gòu)建提供技術(shù)支撐。