时代在发展,信息在爆炸,知识以前所未有的速度在更新,随着网络技术的不断进步,计算机网络规模和应用急剧扩大,但是计算机网络资源管理分散,用户缺乏安全意识和有效的防护手段,各类软硬件产品和网络信息系统普遍存在脆弱性。由于存在各种网络系统漏洞、潜在的错误操作以及网络犯罪等危险因素,因此对网络安全评价技术的需求也愈发迫切。
作为当前网络安全领域的研究热点之一,网络脆弱性评价不同于其他一般的性能评价技术。例如,入侵检测、防火墙和病毒扫描等技术都是在攻击进行时发生或发生后的被动检测,而网络脆弱性评价是由黑客攻击和防范技术发展而来的,是一种在攻击发生前的主动探测。因此在对网络脆弱性进行评价时,针对攻击行为构建安全模型是一个关键步骤。另一方面,根据安全模型可以获得系统可能的行为和状态,以此为基础展开进一步的分析和计算,为完善系统安全策略提供帮助。而攻击图是网络脆弱性评价的重要手段。
本文综合论述计算机网络攻击建模的研究概况,剖析网络攻击图的定义,讨论现有的网络攻击图的主要生成方法,归纳总结目前网络攻击图的应有,最后给出网络攻击图研究的若干热点问题及展望。
网络中总是存在一定的安全漏洞,同时这些漏洞之间可能存在一定的关联关系,即当一个漏洞被成功利用后,可能为另一漏洞的利用创造有利条件。虽然说消除所有的漏洞是不切实际的,但在网络环境中对遗留的漏洞置之不理,可能会对关键资源造成重大危害。为了能够彻底找出所有关联关系,最有效的方法就是通过模拟攻击者对存在安全漏洞的网络攻击过程,找到所有能够到达目标的攻击路径,同时将这些路径以图的形式表现,这种图就是网络攻击图,简称攻击图。与攻击树和Petri网相比,攻击图对网络攻击过程的描述能力更强,应用范围也更加广泛。
攻击图是一种基于模型的网络脆弱性评估方法。攻击图技术能够把网络中各主机上的脆弱性关联起来进行深入地分析,发现威胁网络安全的攻击路径并用图的方式展现出来。安全管理人员利用攻击图可以直观地观察到网络中各脆弱性之间的关系,选择最小的代价对网络脆弱性进行弥补。攻击图技术主要有两个方面:攻击图生成技术和攻击图分析技术。攻击图生成技术是指利用目标网络信息和攻击模式生成攻击图的方法,是攻击图技术中的基础。攻击图分析技术是指分析攻击图,得到关键节点和路径或者对脆弱性进行量化的方法。
目前,计算机网络已然构成了诸多信息技术基础设施的核心组成部分,这些设施包括电网、金融数据系统和应急通信系统领域等。及时发现和消除计算机网络系统中存在的安全隐患,杜绝恶意的攻击行为,是网络安全管理的一项重要的任务。我们常常能够在被利用来攻击这些系统的软件/应用中发现脆弱性,而攻击者就是利用这些被公布或者没有被公布的脆弱性方才得以实施攻击。
但是就目前而言,组织网络的安全风险管理与其说是科学,不如说是一门艺术。系统管理员通过直觉和丰富的经验来操作,而不是依靠客观指标来指导和证明决策的制订。
攻击图技术旨在用于解决此类场景的问题,其包括可用于客观的模型和指标,评估企业网络中的安全风险的分析技术,以及指导管理员使用模型和指标帮助进行网络防御决策的理论和方法。
为了提高组织网络的安全性,提出了基于攻击图的网络安全评估方法,测量由不同网络配置提供的安全性。随着大数据网络的发展,网络攻击手段呈现出多样化与复杂化,网络安全分析的要求也是越来越高,而网络攻击图作为分析网络状况的一个重要方法,对防止网络攻击,实施网络安全防护有一定的现实指导意义。
攻击图研究的目的是开发一个标准模型,用于测量计算机网络的安全性。标准模型将使我们能够回答诸如“我们比昨天更安全吗?”或“一个网络配置的安全性如何与另一个进行比较?”这样的问题。另外,有一个标准模型来衡量网络安全可以使用户,软件供应商和研究人员能够一起评估网络安全的方法和产品。
对于组织网络的安全风险分析主要有如下挑战:
安全漏洞非常泛滥 CERT每周会报告约100个新的安全漏洞,这使得对于企业网络的安全管理(包括数百主机、每个主机上不同操作系统和应用程序以及它们上存在的可被利用的漏洞)非常困难。
攻击者发起的多步骤攻击 相比以前攻击者仅能发起简单的原子攻击而言,现在的攻击者为了能够突破各类防火墙/网关的防御,往往会采用多步骤、多宿主的攻击,逐渐渗透进整个网络,最终危及到关键系统。但是其每一步骤却又不足以引起防护系统的警报,这使得对于关键系统的保护具有挑战性。
现有防御手段不能处理攻击的复杂性 计算机系统遭受的攻击逐渐增多,当一个新的漏洞被报告出来后,攻击者可以非常快速的开始使用这个漏洞。传统的攻击检测方式(如入侵检测系统IDS)具有太多诸如误报、低可拓展性和检测攻击的限制方面的问题。
良好的评价指标应当具有如下性质:其是一致的、收集成本低、数字表示、有度量单位和具体的上下文。攻击图技术通过捕获漏洞之间的相关性,并以实际攻击者渗透网络的方式来测量安全性,从而应对这一挑战。通过网络分析所有攻击路径,提供整体系统的风险指标。通过这个指标,可以分析安全成本和安全利益之间的权衡。因此,决策者可以避免过度投资无法产生实际效果的安全措施,或避免投资和风险造成毁灭性后果。攻击图技术的度量是一致、明确的,并为理解计算机网络的安全风险提供了上下文。
攻击图是由Cuningham等人于1985年提出,他们认为是由各种通过物理的或者逻辑的方法相互相连的组件构成。典型的网络攻击图由节点和连接节点的有向边组成。其中节点表示网络所处的状态,节点间的有向边表示网络状态间的转移关系。
为了生成攻击图,首先需要对网络建模、建模过程中需要大量关于网络中的与安全相关的信息,如主机配置信息、主机漏洞信息、网络拓扑信息、网络配置信息等。在生成网络攻击图的过程中,需要应用相关漏洞库的知识确定网络中存在的各个漏洞之间的关系。
网络建模与攻击图生成需要充分考虑所生成的攻击图的最终应用,进行渗透测试时需要找出到达所有攻击路径,用于风险分析或寻找最短攻击路径时可能需要考虑各个原子攻击的复杂度或成功概率以及漏洞被成功利用后所带来的危害程度等,而用于指导漏洞补丁管理时则需要计算每个漏洞补丁的代价。
因此,攻击图的最终应用在一定程度上决定了需要建立的模型与生成方法。攻击图的生成方法将网络模型及漏洞库信息数据结构来表示。目前攻击图生成方法很多,为了便于对这些方法进行分析、比较及评价其优劣,需要对攻击图生成机制进行分析,找出可以用于对其分析比较的属性,并对生成方法进行分类,找出存在的问题,发现可能的研究发现。
典型的模型逻辑工具有:MulVAL和麻省理工学院实现的NetSPA系统。
(1)MulVAL(多主机、多阶段的脆弱性分析)
2005年Ou等人提出了MulVAL。MulVAL具有强大的网络数据采集能力和性能优势。在研究中,实验者描述了一种基于Datelog的网络安全分析器。脆弱性数据库中的信息、每台主机的配置信息和其他的一些相关信息都能通过程序的加工处理编码成为Datelog中的事实,从而供推理引擎分析,计算出网络中各种组件之间的交互。MulVAL最后生成的逻辑攻击图(Logical Attack Graph)的规模随着网络规模大小的变化为O(n2)
基于MulVAL生成的攻击图
(2)NetSPA
2006年,麻省理工学院提出NetSPA(网络安全计划架构)。在实验中,实验者使用攻击图来模拟对手和简单反制措施的效果。它使用防火墙规则和网络漏洞扫描工具创建组织网络的模型。然后,它使用该模型来计算网络可达性和多先决条件攻击图(Multiple-Prerequisite Attack Graph),以表示对手利用已知的漏洞发起攻击的潜在路径。这会发现所有攻击者从一个或多个位置开始并最终能够入侵的主机。NetSPA生成的攻击图规模通常随着典型网络中主机数量的增加而缩放为O(nlogn)。它解决了以往攻击图研究中的网络数据自动采集问题和攻击图生成算法扩展性的问题,定义了更为简单的网络模型,方便系统自动采集网络数据。而通过测量攻击者可以攻陷的总资产(数量、价值),可以评估不同攻击者的风险。
基于NetSPA方法生成的攻击图
虽然方法不同,但是这两种攻击图生成方法从效率和能力上来说的差距其实是不大的,事实上,在近年的攻击图研究发展中,有关攻击图生成方向的研究不再主要以尝试发明新的攻击图元模型,而是更多的集中于研究如何提高攻击图的生成效率。最近两年的研究资料,均提出了在构建攻击图的过程中,利用并行化解决攻击图规模巨大的一种思路。
在构建攻击图的过程中,随着机器、服务以及其上的漏洞等元素数量的增加,攻击图的规模也逐步增加,而对攻击图的计算(NP-Hard)也会随之增加,从而使得对于大规模网络的计算非常困难。所以,对于攻击图构建的并行算法就变的很重要。所以这篇文章提出了一种基于分布式内存的并行算法,用来在分布式的代理平台上搭建攻击图的分布式计算。为了实现这个算法,要求对平台所使用的内存进行抽象,成为一个虚拟的、共享的内存,并通过分割网络互相可达的信息来对内存进行初始化。随后文章对这个算法进行了评估,发现即使是较小程度的并行,在生成算法复杂度较高的情况下也会为计算性能带来非常大的提升。
攻击图元模型和攻击图生成技术其实都仅仅是将组织网络、脆弱性、攻击模式等安全相关信息使用建模的方式进行表示,并且关联了起来。虽然更加直观的展示组织网络中存在的各类信息以及他们的之间的关系,但是么有提供任何评估、分析方面的内容,而这就是攻击图分析技术研究所进行的工作。
(1)、对于攻击图的分析主要是基于贝叶斯理论进行的,NayotPoolsappasit、RinkuDewri、Indrajit Ray(IEEE机构成员)提出了一个使用贝叶斯网络的风险管理框架,使系统管理员可以量化各个级别的网络妥协机会。
他们认为,安全风险评估和减轻是需要执行以维持高效IT的两个重要过程基础设施。一方面,已经提出了诸如攻击图和攻击树等模型来评估各种网络状态之间的关系的原因和后果,另一方面,已经探索出不同的决策问题来识别最低成本加固措施。然而,这些风险模型并不能帮助网络之间因果关系的原因状态。此外,优化配方在分析风险模型时忽略资源可用性的问题。由此,他们提出使用贝叶斯网络的风险管理框架,使系统管理员能够量化机会各级网络妥协。他们展示如何使用这些信息来制定安全缓解和管理计划。在与其他类似模型形成对照,该风险模型适用于网络部署阶段的动态分析。一个多目标优化平台为管理员提供在资源中作出决策所需的所有折衷信息受限的环境。
(2)、Cauldron的作者Noel S.和Jajodia S.在2014年一篇文献中对攻击图度量的指标进行了分簇,如下图所示:
基于这样的一些安全度量指标,我们就能够对整个组织网络的安全态势,给出基本的判断——“一个网络到底有多安全?”
(3)、除开单纯数值上的分析,我们还可以对图结构进行更多的分析,其中最为主要的就是攻击面分析。攻击面分析的本质在于求解所有攻击路径,直观展示攻击者可以采用的攻击路线,便于后续对这些攻击路线的深层分析。
路径的深层分析一方面包括路径代价分析,即首先确定每条路径的长度(或者说原子攻击的数量),然后就可以结合原子攻击的代价/成功率信息,计算整条攻击路径的代价/成功率。另一方面则是对结点进行分析,包括“关键结点”的计算,即一定存在于攻击路径上的点,修复任何一个关键结点则所有的攻击路径失效。由于关键结点并不一定存在,所以可以进一步对结点权值进行计算,通过途径此结点所有攻击路径的代价、成功率以及目标价值,计算这个结点的收益权值,提供给决策者进行修复决策。
下图为一个典型的路径分析结果展示:
攻击图是种非常重要的工具,已广泛应用于网络安全分析与评估的研究。从安全生命周期PDR(防护、检测、响应)来看,可以应用于网络安全设计、网络安全与漏洞管理、入侵检测系统、入侵响应等。从应用领域来说,不仅应用于普通的互联网络,还可以应用于无线网络、工业控制网络,特别是电力网络以及对网络依赖性非常高的其他行业或领域。从应用角度来说,网络攻击图可以应用于网络渗透测试、网络安全防御、网络攻击模拟仿真等。
基于攻击图的计算机网络攻击建模研究是随着计算机网络技术的发展逐步深入的,建模的对象从只含有几个主机的简单网络发展到了大规模网络,建模的手段从最初的手动向自动化的方向发展。基于攻击图的计算机网络攻击建模已获得较广泛的应用。但是,还是存在以下几个问题,揭示了未来的发展方向。
虽然已提出抽象类模型、以主机为中心的模型等攻击图生成方法,但对于大规模网络的攻击图建模方法,应根据建模目的合理调整建模方法,以减少时间、空间复杂性。
网络管理员可以利用攻击图发现网络中存在潜在危险,在不影响网络中主机正常运作的情况下消除网络中重要的危险,为决策提供更多包括安全投入、收益平衡以及安全措施优化等的辅助信息。
攻击者通过社会工程、扫描、入侵等攻击技术科得到攻击网络的信息,根据这些信息建立简略攻击图,从中找出最佳攻击路径,达到攻击权益最大化。
上一篇:整个世界都需要一次网络安全升级