基于攻击面的安全评估体系研究
郝伟 2021/11/04

0 论文简介

文章信息

基于攻击面的安全评估体系研究,
廉新科，闫卿, 中国人民解放军 91977 部队，北京
通信技术, 2020 年 10 月

摘要

随着信息技术的发展，网络系统面临的安全问题日趋严峻。信息系统的静态不变性使得攻击者能够根据信息系统的属性特点，多角度开展攻击。现有的标准规范以检验系统是否达到安全保密要求为主，缺少对信息系统安全程度的定性和定量测量。攻击面表示攻击者能够进入系统并造成破坏的方法集合，因此从攻击面着手对系统安全性开展度量，能够体现系统被破坏的潜在可能性和实施攻击所需付出的代价程度。鉴于此，提出了一种基于攻击面的安全威胁评估体系。该体系通过探索攻击面形式化表达方法及数学模型，梳理了网络空间系统攻击面度量指标体系，随后基于最大熵马尔科夫模型和条件随机场模型，研究基于动态攻击面的安全威胁评估方法。提出的基于攻击面安全威胁评估体系能够用于网络系统安全程度量化评估，评估结果既可作为网络系统优化设计的参考，又可作为安全防御体系的效能评估数据依据。

背景

对网络信息系统开展全面有效的安全度量评估，成为网络信息技术公司和信息安全厂商共同关注的问题。

现有的标准规范以检验系统是否达到安全保密要求为主，缺少对信息系统安全程度的定性和定量测量。

文章提出了一种基于攻击面的安全威胁评估体系，通过探索攻击面形式化表达方法和数学模型，梳理了网络空间系统攻击面度量指标体系，随后基于最大熵马尔科夫模型和条件随机场模型，研究基于动态攻击面的安全威胁评估方法。文章提出的基于攻击面安全威胁评估体系能够用于网络系统安全程度量化评估，评估结果既可作为网络系统优化设计的参考，又可作为安全防御体系效能评估的数据依据。

1 攻击面概述

攻击面是网络攻击攻陷信息系统的一系列可以利用的途径，即被攻击系统可被利用的软件、硬件、数据和网络等系统资源。

攻击面与系统安全性的关系：

攻击面越大，系统安全风险越大；
攻击面越小，系统安全性越高。

攻击面量化评估可以为进一步研究如何减小系统攻击面来增强系统安全性奠定基础。

2 基于攻击面的安全评估设计思路

主要包括三部分组成：

完成攻击面建模
确定攻击面的组成要素，包括函数、通道和数据项，并对这些组成要素进行形式化表示；描述它们在系统中的类型、地位和关联关系；确定量化函数，完成攻击面建模。攻击面量化能够反映系统安全风险，量化效果又与攻击面建模紧密相关，因此攻击面建模是基于攻击面的安全威胁评估体系的基础。
完成网络攻击面度量
网络攻击面度量包括攻击面识别和攻击面度量两个阶段。攻击面识别是针对目标系统将其属性和攻击面组成要素子集对应映射起来，构建具体的工具面；攻击面度量即对组成要素中所有元素测量元素贡献值，再根据量化函数计算攻击面度量值。
进行网络攻击效能评估
构建度量指标体系，开展网络空间系统攻击面度量指标体系研究，明确指导建立攻击面度量指标的原则与方法，通过分解、组合等建立指标体系，明确各类指标之间的关系；研究攻击面的安全威胁评估技术，提出基于动态攻击面的安全威胁评估模型。

以下 3，4，5分别就以上三点展开论述。

3 网络空间攻击面建模

3.1 攻击面形式化表达

基本假设：攻击者可用于发动攻击的系统资源。攻击者可利用内容：

出入口点集合为 $\mathbb{M}$ ，
通道集为 $\mathbb{C}$ ，
不可信数据项集为 $\mathbb{I}$

因此 $\mathbb{M}, \mathbb{C}, \mathbb{I}$ 即为攻击面相关资源的子集。对于给定系统 $S$ 及其环境，可定义其的攻击面为三元组 $<\mathbb{M}, \mathbb{C}, \mathbb{I}>$ 。

则 s 的攻击面度量值为： $(\sum_{m \in M} der(m), \sum_{m \in M} der(c), \sum_{m \in M} der(d))$ 其中， $der_i(i）= count(i) \times q_i/e_i$ (i=m,c,d)

其中， $der_i(i)$ 是攻击面3个维度中不同资源的度量值， $count(i)$ 为攻击面中资源 $i$ 的统计数量， $q_i$ 为攻击面中资源 $i$ 的潜在破坏能力指标， $e_i$ 为利用攻击面中资源 $i$ 实施攻击所需付出努力的程度的指标。 $q_i/e_i$ 是潜在破坏及努力率，是一个用于调整攻击面大小的比例。 $q_i$ 越大，资源的潜在破坏能力越高，攻击面越大。 $e_i$ 越大，表明实施攻击的努力程度越大，攻击面越小。

3.2 攻击面度量属性

4 基于最大熵马尔科夫模型的攻击面度量方法

核心思想：最大熵模型是概率模型学习中一个准则，思想为：在学习概率模型时，所有可能的模型中熵最大的模型是最好的模型；若概率模型需要满足一些约束，则最大熵原理是在满足已知约束的条件集合中选择熵最大模型。最大熵原理指出，对一个随机事件的概率分布进行预测时，预测应当满足全部已知的约束，而对未知的情况不要做任何主观假设。这种情况下，概率分布最均匀，预测的风险最小，因此得到的概率分布的熵最大。

计算公式为：
$H(X) = E(I(X)) = - \sum_{x \in X} P(x) log P(x)$
以下还有大量计算，基本核心思路为求攻击面概率与数据期望的关系，并联系马可夫计算概率分布。

5 基于攻击面的攻击效能评估方法

5.1 攻击效能评估方法概述

主要包括主观和客观两种方式各有优劣：

客观方法则是使用数据说话，减少人为干预的思路。通过对数据的分析和建模来对攻击效能进行评估，主要包括数据包络分析法、灰色关联度分析法、熵信息分析方法、最大离差法以及模糊聚类法等。
主观方法以人的偏好确定评价标准，容易受主观因素影响，造成结果因人的水平差异而偏差较大；客观方法则无法利用人的既有经验，完全依赖数据，不同的数据样本或数据量会对评估结果造成较大影响。

5.2 攻击效能评估指标体系

通常，网络攻击全过程包含以下步骤：一是对攻击目标进行探测，获取攻击目标的相关信息和防御薄弱点；二是基于攻击目标的防御薄弱点进行渗透，如取得攻击目标的操作权限等；三是对攻击目标实施破坏、信息窃取等操作。根据网络攻击的全过程，可将攻击分为设施和信息毁瘫、操作权限提升和信息窃取 3 类。这 3 类攻击的评估指标体系经层层细化，如图 3 所示。

5.3 基于条件随机场的攻击效能评估模型

从防御角度看，攻击效能越低，防御效能越好，反之亦然。因此，应最小化攻击效能，最大化防御效能。

文章核心使用条件随机场（Conditional Random Field，CRF）进行评估。介绍了维特比算法的思路：通过记录任意未知下 A 状态生成之前观测的最大概率为 Pm，产生此概率的前一个位置的状态值记为 S，可利用递推关系获得所有位置为 A 时的最大概率。当找到最后一个位置的概率最大的状态值后，利用前一步记录的前一个最优状态值依次计算出所有位置的最优评估值，即得到各个层级的指标得分，然后逐层计算能得到最终评价结果。

6 结语

文章提出了一种基于攻击面的安全威胁评估体系，通过探索攻击面形式化表达方法和数学模型，梳理了网络空间系统攻击面度量指标体系，随后基于最大熵马尔科夫模型和条件随机场模型，研究基于动态攻击面的安全威胁评估方法。本文提出的基于攻击面安全威胁评估体系能够用于网络系统安全程度量化评估，评估结果可作为网络系统优化设计的参考，亦可作为安全防御体系的效能评估的数据依据。

参考文献

[1] Manadhata P K,Wing J M.An Attack Surface Metric[J].IEEE Transaction on Software Engineering,2001,37(03):371-386.
[2] Howard M, Pincus J, Wing J M. Measuring relative attack surfaces[M]//Computer security in the 21st century. Springer, Boston, MA, 2005: 109-137.
[3] Manadhata P K.Game Theoretic Approaches to Attack Surface Shifting[M].New York:Moving Target Defense II Springer,2013:1-13.
[4] Zhuang R,Zhang S,Deloach S A,et al.Simulation-based Approaches to Studying Effectiveness of Moving-Target Network Defense[C].National Symposium on Moving Target Research,2013:15111-15126.
[5] 张璇 , 廖宏志 , 李彤 , 等 . 基于信息熵和攻击面的软件安全度量 [J]. 计算机应用 ,2013,33(01):19-22,48. ZHANG Xuan,LIAO Hong-zhi,LI Tong,et al.Software Security Metrics Based on Information Entropy and Attack Surface[J].Computer Applications,2013,33(01):19-22,48.