0 引言

    20世紀(jì)90年代末，SCHNEIER B首先提出攻擊樹概念^[1]，因其層次清晰、直觀形象等特點(diǎn)，后被廣泛用于系統(tǒng)安全威脅分析和風(fēng)險(xiǎn)建模^[2-6]。但在定量分析方面，傳統(tǒng)的攻擊樹建模存在不足，因而大量攻擊樹模型的改進(jìn)方法被業(yè)界學(xué)者提出，用于提高網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的效果。張春明等^[7]提出了基于攻擊樹的網(wǎng)絡(luò)安全事件評(píng)估方法，為制訂安全防護(hù)策略提供了有力支持。王作廣等^[8]基于攻擊樹和CVSS對(duì)工業(yè)控制系統(tǒng)進(jìn)行風(fēng)險(xiǎn)量化評(píng)估，但在根據(jù)CVSS 3.0規(guī)范求解葉節(jié)點(diǎn)的概率時(shí)，并未對(duì)各節(jié)點(diǎn)的屬性進(jìn)行分析。李慧^[9]、黃慧萍^[10]、任丹丹^[11]等采用攻擊樹模型分別對(duì)數(shù)傳電臺(tái)傳輸安全、工業(yè)控制系統(tǒng)、車載自組織網(wǎng)絡(luò)進(jìn)行威脅建?；虬踩L(fēng)險(xiǎn)評(píng)估，但在各安全屬性計(jì)算上還存在不足?；谏鲜鑫墨I(xiàn)可知，采用攻擊樹模型進(jìn)行系統(tǒng)安全風(fēng)險(xiǎn)分析時(shí)，主要存在兩個(gè)方面的不足：一是如何對(duì)各安全屬性進(jìn)行準(zhǔn)確分析；二是如何定量分析各葉節(jié)點(diǎn)的發(fā)生概率，降低主觀因素的影響。鑒于此，本文采用模糊層析分析法（Fuzzy Analytic Hierarchy Process，F(xiàn)AHP）對(duì)攻擊樹模型進(jìn)行改進(jìn)，首先賦予各葉節(jié)點(diǎn)特定的安全屬性，然后基于評(píng)估對(duì)象的特點(diǎn)采用FAHP計(jì)算各安全屬性的權(quán)值，同時(shí)利用基于區(qū)間變量的屬性概率發(fā)生模型求解各屬性的發(fā)生概率，最后計(jì)算各葉節(jié)點(diǎn)的發(fā)生概率。該模型充分考慮攻守雙方的博弈過(guò)程，能夠更加準(zhǔn)確、合理地評(píng)估系統(tǒng)所存在安全風(fēng)險(xiǎn)，可為后續(xù)安全防護(hù)策略的制定提供技術(shù)支撐。

1 攻擊樹模型

    在攻擊樹模型中，根節(jié)點(diǎn)代表攻擊目標(biāo)；葉節(jié)點(diǎn)代表攻擊過(guò)程中采用的各種攻擊方法^[12-13]。葉節(jié)點(diǎn)之間的關(guān)系包括：與(AND)、或(OR)和順序與(Sequence AND，SAND)3種^[7]。采用FAHP對(duì)攻擊樹模型進(jìn)行改進(jìn)，并將其用于系統(tǒng)安全風(fēng)險(xiǎn)分析，主要思路如圖1所示。

2 基于FAHP的攻擊樹模型改進(jìn)

2.1 葉節(jié)點(diǎn)的指標(biāo)量化

    由于攻擊的實(shí)現(xiàn)可能受多個(gè)因素的影響，為反映各因素對(duì)攻擊事件的影響，給各葉節(jié)點(diǎn)賦予3個(gè)安全屬性：實(shí)現(xiàn)攻擊的難易程度(difficulty) 、實(shí)現(xiàn)攻擊所需的攻擊成本（cost）和攻擊被發(fā)現(xiàn)的可能性(detection)。根據(jù)多屬性效用理論，將以上3個(gè)屬性轉(zhuǎn)化為達(dá)成目標(biāo)的效用值，進(jìn)一步可計(jì)算葉節(jié)點(diǎn)的發(fā)生概率^[8，12]：

    在實(shí)際工程應(yīng)用中，通常采用專家打分的方法對(duì)葉子節(jié)點(diǎn)各安全屬性值進(jìn)行賦值。分析之前可做如下假設(shè)：

2.2 安全屬性權(quán)值

    采用FAHP對(duì)攻擊成本、難易程度和攻擊被發(fā)現(xiàn)的可能性這3個(gè)安全屬性的權(quán)值W_dif、W_cos、W_det進(jìn)行求解。根據(jù)該層各因素受攻擊后對(duì)上一層因素造成的相對(duì)危害程度，來(lái)確定本層次各因素的相對(duì)重要性。本文采用0.1～0.9的標(biāo)度，將相對(duì)重要性給予定量描述，比較尺度如表2所示^[12]。根據(jù)表2確定每個(gè)屬性的重要程度，并構(gòu)造判斷矩陣C^[15]：

    a與權(quán)重的差異度成反比，即a越大，權(quán)重的差異度越??；a越小，權(quán)重的差異大越大。當(dāng)a=(n-1)/2時(shí)，權(quán)重的差異度越大。本文取a=(n-1)/2，R_C為一個(gè)3階矩陣，因此a=(n-1)/2=1，其中，n為模糊一致矩陣的階數(shù)，得到w_c=[0.383 4，0.333 3，0.283 3]。由此，可以得到U_dif=0.383 4、U_det=0.333 3、U_cos=0.283 3，利用式(1)最終求得葉節(jié)點(diǎn)的發(fā)生概率。

2.3 根節(jié)點(diǎn)的發(fā)生概率

    計(jì)算根節(jié)點(diǎn)發(fā)生概率需首先確定攻擊路徑，攻擊路徑是一組葉節(jié)點(diǎn)的有序集合，完成這組攻擊事件（葉節(jié)點(diǎn)）即可達(dá)成攻擊目標(biāo)。構(gòu)造攻擊路徑的算法如下：

    （1）假設(shè)G為攻擊樹的根節(jié)點(diǎn)，n為根節(jié)點(diǎn)的度。

    （2）對(duì)可能的攻擊路徑R_i=(X₁，X₂，…，X_m)，i={1，2，…，n}進(jìn)行分析：對(duì)G所有的子節(jié)點(diǎn)進(jìn)行搜尋，如果該子節(jié)點(diǎn)為葉節(jié)點(diǎn)M_i，則確定其中一條可能的攻擊路徑，否則以各子節(jié)點(diǎn)為根，對(duì)下一級(jí)子節(jié)點(diǎn)進(jìn)行搜尋，直至將所有可能的攻擊路徑確定為止。

    （3）求解每一條攻擊路徑可能發(fā)生的概率：采用自底向上的方式，由子節(jié)點(diǎn)求解父節(jié)點(diǎn)發(fā)生的概率，具體可參考文獻(xiàn)[7]和文獻(xiàn)[17]。

    假設(shè)安全事件有n種攻擊路徑，且攻擊路徑R_i=(X₁，X₂，…，X_m)，i={1，2，…，n}，其中X_i表示各葉節(jié)點(diǎn)。則路徑Ri發(fā)生的概率為：P(R_i)=P(X₁)×P(X₂)×…×P(X_m)，i={1，2，…，n}，對(duì)比各攻擊路徑發(fā)生概率的計(jì)算結(jié)果，其數(shù)值大小可反映攻擊者對(duì)攻擊方式的選擇傾向，應(yīng)重點(diǎn)防御概率最大的攻擊方式。

3 實(shí)例驗(yàn)證

    本文采用文獻(xiàn)[12]實(shí)例進(jìn)行應(yīng)用驗(yàn)證分析與對(duì)比。仍以某軍事業(yè)務(wù)系統(tǒng)內(nèi)部人員竊取文件資料為例建立攻擊樹模型，如圖2所示，各節(jié)點(diǎn)含義如表3所示。具體步驟和典型的內(nèi)部人員攻擊手段可參考文獻(xiàn)[12]，本文不再贅述。

    利用表1的評(píng)分標(biāo)準(zhǔn)，對(duì)此攻擊樹中各葉節(jié)點(diǎn)的安全屬性值打分。為了更好地驗(yàn)證本文方法的有效性，此處采用文獻(xiàn)[12]的評(píng)分結(jié)果，具體如表4所示。

    假定表4中各葉節(jié)點(diǎn)的得分為得分區(qū)間值的中值，X的取值為評(píng)分等級(jí)最大值時(shí)，=X，其他情況=X_mid+αX_mid，X=X_mid-αX_mid。不失一般性，取置信水平α=0.1，則進(jìn)一步可得各安全屬性得分區(qū)間值。根據(jù)式(3)和式(6)分別求解各屬性的效用值及對(duì)應(yīng)的權(quán)值，最后根據(jù)式(1)，即可得各葉節(jié)點(diǎn)的發(fā)生概率，結(jié)果如圖3所示。

    由圖3可知，本文方法與文獻(xiàn)[12]中各葉節(jié)點(diǎn)發(fā)生概率的最大差異在于葉節(jié)點(diǎn)X8的發(fā)生概率，本文中P₈(X₈)=0.746 9，文獻(xiàn)[12]中P₈(X₈)=0.929 0，產(chǎn)生該情況的主要原因是各安全屬性權(quán)值不同，本文方法和文獻(xiàn)[12]中各屬性權(quán)值如表5所示。

    在構(gòu)造判斷矩陣時(shí)，各屬性的重要程度梯度較小，所求權(quán)值應(yīng)當(dāng)與重要程度相吻合，而文獻(xiàn)[12]中各權(quán)值的取值差異較大，根本原因在于層次分析法主觀性較強(qiáng)，而本文采用模糊層次分析法，一定程度上降低了主觀因素的影響，進(jìn)一步說(shuō)明了本文方法的有效性。

    根據(jù)2.3節(jié)中的攻擊路徑算法，列出所有可能的攻擊序列：R₁=(X₁)；R₂=(X₂)；R₃=(X₃)；R₄=(X₄)；R₅=(X₅)；R₆=(X₆)；R₇=(X₇)；R₈=(X₈，X₉)；R₉=(X₈，X₁₀)；R₁₀=(X₈，X₁₁)；R₁₁=(X₁₂)。

    根據(jù)式P(R_i)=P(X₁)×P(X₂)×…×P(X_m)，各攻擊序列的發(fā)生概率如圖4所示。

    由圖4可知，R₁₁電磁泄漏發(fā)生概率最大，即攻擊者極有可能利用電磁泄露等問(wèn)題進(jìn)行攻擊；其次是內(nèi)部人員竊取文件資料的攻擊樹模型中R₅、R₆、R₇攻擊序列發(fā)生的概率較大，也即攻擊者很有可能利用系統(tǒng)自身的漏洞實(shí)現(xiàn)竊密行為。而與文獻(xiàn)[12]的結(jié)論相比，攻擊樹模型中R₅、R₆、R₇攻擊序列發(fā)生的概率最大，其次是電磁泄漏發(fā)生概率，造成最終結(jié)論存在誤差的根本原因是各安全屬性權(quán)值不同，其原因與葉節(jié)點(diǎn)發(fā)生概率相同，此處不再贅述。基于上述分析，該軍事業(yè)務(wù)系統(tǒng)需要針對(duì)攻擊序列R₅、R₆、R₇、R₁₁采取相關(guān)的安全防護(hù)措施。

    上述分析是在置信水平α=0.1時(shí)給出的分析結(jié)論，為了進(jìn)一步研究不同置信水平對(duì)安全風(fēng)險(xiǎn)評(píng)估結(jié)果的影響，下面給出不同置信水平下各攻擊序列的發(fā)生概率，具體如表6所示。

    由表6可知，隨著置信水平的增加，各攻擊序列的發(fā)生概率呈遞增的趨勢(shì)，主要是由于隨著置信水平的增加，將安全屬性得分取平均的范圍增大引起的；隨著置信水平的增加，各攻擊序列的發(fā)生概率大小的順序不變，進(jìn)一步說(shuō)明置信水平的取值對(duì)最終一致性結(jié)論影響較小。

4 結(jié)論

    本文提出了一種基于FAHP和攻擊樹的信息系統(tǒng)安全評(píng)估方法，并通過(guò)實(shí)例進(jìn)行了對(duì)比驗(yàn)證。首先，采用FAHP進(jìn)行各安全屬性權(quán)值求解，降低了評(píng)估過(guò)程中的主觀因素；其次，在各葉節(jié)點(diǎn)發(fā)生概率求解時(shí)，將各屬性得分假定為區(qū)間變量，一定程度上降低了專家認(rèn)知不確定帶來(lái)的影響，進(jìn)一步增加了各屬性的信息量，提高了各葉節(jié)點(diǎn)發(fā)生概率的精度；最后，通過(guò)實(shí)例給出了對(duì)信息系統(tǒng)進(jìn)行安全評(píng)估的典型方法步驟，找出了攻擊者最可能采取的攻擊方式，可為系統(tǒng)的安全防護(hù)體系構(gòu)建提供技術(shù)支撐。

參考文獻(xiàn)

[1] SCHNEIER B.Attack trees：modeling security threats[J].Dr.Dobb′s Journal of Software Tools，1999，24(12)：21-29.

[2] BYRES E J，F(xiàn)RANZ M，MILLER D.The use of attack trees in assessing vulnerabilities in SCADA systems[C].Proceedings of International Infrastructure Survivability Workshop，2004.

[3] TEN C W，LIU C C，GOVINDARASU M.Vulnerability assessment of cyber security for SCADA system using attack trees[C].Proceedings of IEEE Conference on Power Engineering Society General Meeting，2007，23(4)：1-8.

[4] 謝樂(lè)川，袁平.改進(jìn)攻擊樹的惡意代碼檢測(cè)方法[J].計(jì)算機(jī)工程與設(shè)計(jì)，2013(5)：1599-1603.

[5] 樂(lè)洪舟.基于擴(kuò)展攻擊樹的木馬檢測(cè)技術(shù)研究[D].大連：大連海事大學(xué)，2013.

[6] 牛冰茹，劉培玉，段林珊.一種改進(jìn)的基于攻擊樹的木馬分析與檢測(cè)[J].計(jì)算機(jī)應(yīng)用與軟件，2014，31(3)：277-280.

[7] 張春明，陳天平，張新源，等.基于攻擊樹的網(wǎng)絡(luò)安全事件發(fā)生概率評(píng)估[J].火力與指揮控制，2010(11)：17-19.

[8] 王作廣，強(qiáng)魏，劉雯雯.基于攻擊樹與CVSS的工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)量化評(píng)估[J].計(jì)算機(jī)應(yīng)用研究，2016，33(12)：3785-3790.

[9] 李慧，張茹，劉建毅，等.基于攻擊樹模型的數(shù)傳電臺(tái)傳輸安全性評(píng)估[J].信息網(wǎng)絡(luò)安全，2014(8)：71-76.

[10] 黃慧萍，肖世德，孟祥印.基于攻擊樹的工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估[J].計(jì)算機(jī)應(yīng)用研究，2015，32(10)：3032-3035.

[11] 任丹丹，杜素果.一種基于攻擊樹的VANET位置隱私安全風(fēng)險(xiǎn)評(píng)估的新方法[J].計(jì)算機(jī)應(yīng)用研究，2011，28(2)：728-732.

[12] 何明亮，陳澤茂，龍小東.一種基于層次分析法的攻擊樹模型改進(jìn)[J].計(jì)算機(jī)應(yīng)用研究，2016，33(12)：3755-3758.

[13] 張愷倫，江全元.基于攻擊樹模型的WAMS通信系統(tǒng)脆弱性評(píng)估[J].電力系統(tǒng)保護(hù)與控制，2013(7)：116-122.

[14] 黃慧萍，肖世德，孟祥印.基于攻擊樹的工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估[J].計(jì)算機(jī)應(yīng)用研究，2015，32(10)：3022-3025.

[15] 賈馳千，馮冬芹.基于模糊層次分析法的工控系統(tǒng)安全評(píng)估[J].浙江大學(xué)學(xué)報(bào)（工學(xué)版），2016，50(4)：759-765.

[16] 張吉軍.模糊一致判斷矩陣3種排序方法的比較研究[J].系統(tǒng)工程與電子技術(shù)，2003，25(11)：1370-1372.

[17] 甘早斌，吳平，路松峰，等.基于擴(kuò)展攻擊樹的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估[J].計(jì)算機(jī)應(yīng)用研究，2007，24(11)：153-160.

作者信息:

任秋潔1，潘  剛2，白永強(qiáng)2，米士超2

(1.洛陽(yáng)理工學(xué)院，河南 洛陽(yáng)471000；2.洛陽(yáng)電子裝備試驗(yàn)中心，河南 洛陽(yáng)471003)