0 引言

    20世紀(jì)90年代末,，SCHNEIER B首先提出攻擊樹概念^[1]，因其層次清晰,、直觀形象等特點(diǎn),，后被廣泛用于系統(tǒng)安全威脅分析和風(fēng)險(xiǎn)建模^[2-6]。但在定量分析方面,，傳統(tǒng)的攻擊樹建模存在不足,，因而大量攻擊樹模型的改進(jìn)方法被業(yè)界學(xué)者提出，用于提高網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估的效果,。張春明等^[7]提出了基于攻擊樹的網(wǎng)絡(luò)安全事件評估方法,，為制訂安全防護(hù)策略提供了有力支持。王作廣等^[8]基于攻擊樹和CVSS對工業(yè)控制系統(tǒng)進(jìn)行風(fēng)險(xiǎn)量化評估,，但在根據(jù)CVSS 3.0規(guī)范求解葉節(jié)點(diǎn)的概率時,，并未對各節(jié)點(diǎn)的屬性進(jìn)行分析。李慧^[9],、黃慧萍^[10],、任丹丹^[11]等采用攻擊樹模型分別對數(shù)傳電臺傳輸安全、工業(yè)控制系統(tǒng),、車載自組織網(wǎng)絡(luò)進(jìn)行威脅建?；虬踩L(fēng)險(xiǎn)評估，但在各安全屬性計(jì)算上還存在不足,?；谏鲜鑫墨I(xiàn)可知，采用攻擊樹模型進(jìn)行系統(tǒng)安全風(fēng)險(xiǎn)分析時,，主要存在兩個方面的不足：一是如何對各安全屬性進(jìn)行準(zhǔn)確分析,；二是如何定量分析各葉節(jié)點(diǎn)的發(fā)生概率,，降低主觀因素的影響。鑒于此,，本文采用模糊層析分析法（Fuzzy Analytic Hierarchy Process,，F(xiàn)AHP）對攻擊樹模型進(jìn)行改進(jìn)，首先賦予各葉節(jié)點(diǎn)特定的安全屬性,，然后基于評估對象的特點(diǎn)采用FAHP計(jì)算各安全屬性的權(quán)值,，同時利用基于區(qū)間變量的屬性概率發(fā)生模型求解各屬性的發(fā)生概率，最后計(jì)算各葉節(jié)點(diǎn)的發(fā)生概率,。該模型充分考慮攻守雙方的博弈過程，能夠更加準(zhǔn)確,、合理地評估系統(tǒng)所存在安全風(fēng)險(xiǎn),，可為后續(xù)安全防護(hù)策略的制定提供技術(shù)支撐。

1 攻擊樹模型

    在攻擊樹模型中,，根節(jié)點(diǎn)代表攻擊目標(biāo),；葉節(jié)點(diǎn)代表攻擊過程中采用的各種攻擊方法^[12-13]。葉節(jié)點(diǎn)之間的關(guān)系包括：與(AND),、或(OR)和順序與(Sequence AND,，SAND)3種^[7]。采用FAHP對攻擊樹模型進(jìn)行改進(jìn),，并將其用于系統(tǒng)安全風(fēng)險(xiǎn)分析,，主要思路如圖1所示。

2 基于FAHP的攻擊樹模型改進(jìn)

2.1 葉節(jié)點(diǎn)的指標(biāo)量化

    由于攻擊的實(shí)現(xiàn)可能受多個因素的影響,，為反映各因素對攻擊事件的影響,，給各葉節(jié)點(diǎn)賦予3個安全屬性：實(shí)現(xiàn)攻擊的難易程度(difficulty) 、實(shí)現(xiàn)攻擊所需的攻擊成本（cost）和攻擊被發(fā)現(xiàn)的可能性(detection),。根據(jù)多屬性效用理論,，將以上3個屬性轉(zhuǎn)化為達(dá)成目標(biāo)的效用值，進(jìn)一步可計(jì)算葉節(jié)點(diǎn)的發(fā)生概率^[8,，12]：

    在實(shí)際工程應(yīng)用中,，通常采用專家打分的方法對葉子節(jié)點(diǎn)各安全屬性值進(jìn)行賦值。分析之前可做如下假設(shè)：

2.2 安全屬性權(quán)值

    采用FAHP對攻擊成本,、難易程度和攻擊被發(fā)現(xiàn)的可能性這3個安全屬性的權(quán)值W_dif,、W_cos、W_det進(jìn)行求解,。根據(jù)該層各因素受攻擊后對上一層因素造成的相對危害程度,，來確定本層次各因素的相對重要性。本文采用0.1～0.9的標(biāo)度,，將相對重要性給予定量描述,，比較尺度如表2所示^[12],。根據(jù)表2確定每個屬性的重要程度，并構(gòu)造判斷矩陣C^[15]：

    a與權(quán)重的差異度成反比,，即a越大,，權(quán)重的差異度越小,；a越小,，權(quán)重的差異大越大。當(dāng)a=(n-1)/2時,，權(quán)重的差異度越大,。本文取a=(n-1)/2，R_C為一個3階矩陣,，因此a=(n-1)/2=1,，其中，n為模糊一致矩陣的階數(shù),，得到w_c=[0.383 4,，0.333 3，0.283 3],。由此,，可以得到U_dif=0.383 4、U_det=0.333 3,、U_cos=0.283 3,，利用式(1)最終求得葉節(jié)點(diǎn)的發(fā)生概率。

2.3 根節(jié)點(diǎn)的發(fā)生概率

    計(jì)算根節(jié)點(diǎn)發(fā)生概率需首先確定攻擊路徑,，攻擊路徑是一組葉節(jié)點(diǎn)的有序集合,，完成這組攻擊事件（葉節(jié)點(diǎn)）即可達(dá)成攻擊目標(biāo)。構(gòu)造攻擊路徑的算法如下：

    （1）假設(shè)G為攻擊樹的根節(jié)點(diǎn),，n為根節(jié)點(diǎn)的度,。

    （2）對可能的攻擊路徑R_i=(X₁，X₂,，…,，X_m)，i={1,，2,，…，n}進(jìn)行分析：對G所有的子節(jié)點(diǎn)進(jìn)行搜尋,，如果該子節(jié)點(diǎn)為葉節(jié)點(diǎn)M_i,，則確定其中一條可能的攻擊路徑，否則以各子節(jié)點(diǎn)為根,，對下一級子節(jié)點(diǎn)進(jìn)行搜尋,，直至將所有可能的攻擊路徑確定為止,。

    （3）求解每一條攻擊路徑可能發(fā)生的概率：采用自底向上的方式，由子節(jié)點(diǎn)求解父節(jié)點(diǎn)發(fā)生的概率,，具體可參考文獻(xiàn)[7]和文獻(xiàn)[17],。

    假設(shè)安全事件有n種攻擊路徑，且攻擊路徑R_i=(X₁,，X₂,，…，X_m),，i={1,，2，…,，n},，其中X_i表示各葉節(jié)點(diǎn)。則路徑Ri發(fā)生的概率為：P(R_i)=P(X₁)×P(X₂)×…×P(X_m),，i={1,，2,，…,，n}，對比各攻擊路徑發(fā)生概率的計(jì)算結(jié)果,，其數(shù)值大小可反映攻擊者對攻擊方式的選擇傾向,，應(yīng)重點(diǎn)防御概率最大的攻擊方式。

3 實(shí)例驗(yàn)證

    本文采用文獻(xiàn)[12]實(shí)例進(jìn)行應(yīng)用驗(yàn)證分析與對比,。仍以某軍事業(yè)務(wù)系統(tǒng)內(nèi)部人員竊取文件資料為例建立攻擊樹模型,，如圖2所示，各節(jié)點(diǎn)含義如表3所示,。具體步驟和典型的內(nèi)部人員攻擊手段可參考文獻(xiàn)[12],，本文不再贅述。

    利用表1的評分標(biāo)準(zhǔn),，對此攻擊樹中各葉節(jié)點(diǎn)的安全屬性值打分,。為了更好地驗(yàn)證本文方法的有效性，此處采用文獻(xiàn)[12]的評分結(jié)果,，具體如表4所示,。

    假定表4中各葉節(jié)點(diǎn)的得分為得分區(qū)間值的中值，X的取值為評分等級最大值時,，=X,，其他情況=X_mid+αX_mid，X=X_mid-αX_mid,。不失一般性,，取置信水平α=0.1,，則進(jìn)一步可得各安全屬性得分區(qū)間值。根據(jù)式(3)和式(6)分別求解各屬性的效用值及對應(yīng)的權(quán)值,，最后根據(jù)式(1),，即可得各葉節(jié)點(diǎn)的發(fā)生概率，結(jié)果如圖3所示,。

    由圖3可知,，本文方法與文獻(xiàn)[12]中各葉節(jié)點(diǎn)發(fā)生概率的最大差異在于葉節(jié)點(diǎn)X8的發(fā)生概率，本文中P₈(X₈)=0.746 9,，文獻(xiàn)[12]中P₈(X₈)=0.929 0,，產(chǎn)生該情況的主要原因是各安全屬性權(quán)值不同，本文方法和文獻(xiàn)[12]中各屬性權(quán)值如表5所示,。

    在構(gòu)造判斷矩陣時,，各屬性的重要程度梯度較小，所求權(quán)值應(yīng)當(dāng)與重要程度相吻合,，而文獻(xiàn)[12]中各權(quán)值的取值差異較大,，根本原因在于層次分析法主觀性較強(qiáng)，而本文采用模糊層次分析法,，一定程度上降低了主觀因素的影響,，進(jìn)一步說明了本文方法的有效性。

    根據(jù)2.3節(jié)中的攻擊路徑算法,，列出所有可能的攻擊序列：R₁=(X₁),；R₂=(X₂)；R₃=(X₃),；R₄=(X₄),；R₅=(X₅)；R₆=(X₆),；R₇=(X₇),；R₈=(X₈，X₉),；R₉=(X₈,，X₁₀)；R₁₀=(X₈,，X₁₁),；R₁₁=(X₁₂)。

    根據(jù)式P(R_i)=P(X₁)×P(X₂)×…×P(X_m),，各攻擊序列的發(fā)生概率如圖4所示,。

    由圖4可知，R₁₁電磁泄漏發(fā)生概率最大,，即攻擊者極有可能利用電磁泄露等問題進(jìn)行攻擊,；其次是內(nèi)部人員竊取文件資料的攻擊樹模型中R₅,、R₆、R₇攻擊序列發(fā)生的概率較大,，也即攻擊者很有可能利用系統(tǒng)自身的漏洞實(shí)現(xiàn)竊密行為,。而與文獻(xiàn)[12]的結(jié)論相比，攻擊樹模型中R₅,、R₆,、R₇攻擊序列發(fā)生的概率最大，其次是電磁泄漏發(fā)生概率,，造成最終結(jié)論存在誤差的根本原因是各安全屬性權(quán)值不同,，其原因與葉節(jié)點(diǎn)發(fā)生概率相同，此處不再贅述,?；谏鲜龇治觯撥娛聵I(yè)務(wù)系統(tǒng)需要針對攻擊序列R₅,、R₆,、R₇、R₁₁采取相關(guān)的安全防護(hù)措施,。

    上述分析是在置信水平α=0.1時給出的分析結(jié)論,，為了進(jìn)一步研究不同置信水平對安全風(fēng)險(xiǎn)評估結(jié)果的影響，下面給出不同置信水平下各攻擊序列的發(fā)生概率,，具體如表6所示,。

    由表6可知,，隨著置信水平的增加,，各攻擊序列的發(fā)生概率呈遞增的趨勢，主要是由于隨著置信水平的增加,，將安全屬性得分取平均的范圍增大引起的,；隨著置信水平的增加，各攻擊序列的發(fā)生概率大小的順序不變,，進(jìn)一步說明置信水平的取值對最終一致性結(jié)論影響較小,。

4 結(jié)論

    本文提出了一種基于FAHP和攻擊樹的信息系統(tǒng)安全評估方法，并通過實(shí)例進(jìn)行了對比驗(yàn)證,。首先,，采用FAHP進(jìn)行各安全屬性權(quán)值求解，降低了評估過程中的主觀因素,；其次,，在各葉節(jié)點(diǎn)發(fā)生概率求解時，將各屬性得分假定為區(qū)間變量,，一定程度上降低了專家認(rèn)知不確定帶來的影響,，進(jìn)一步增加了各屬性的信息量,，提高了各葉節(jié)點(diǎn)發(fā)生概率的精度；最后,，通過實(shí)例給出了對信息系統(tǒng)進(jìn)行安全評估的典型方法步驟,，找出了攻擊者最可能采取的攻擊方式，可為系統(tǒng)的安全防護(hù)體系構(gòu)建提供技術(shù)支撐,。

參考文獻(xiàn)

[1] SCHNEIER B.Attack trees：modeling security threats[J].Dr.Dobb′s Journal of Software Tools,，1999，24(12)：21-29.

[2] BYRES E J,，F(xiàn)RANZ M,，MILLER D.The use of attack trees in assessing vulnerabilities in SCADA systems[C].Proceedings of International Infrastructure Survivability Workshop，2004.

[3] TEN C W,，LIU C C,，GOVINDARASU M.Vulnerability assessment of cyber security for SCADA system using attack trees[C].Proceedings of IEEE Conference on Power Engineering Society General Meeting，2007,，23(4)：1-8.

[4] 謝樂川,，袁平.改進(jìn)攻擊樹的惡意代碼檢測方法[J].計(jì)算機(jī)工程與設(shè)計(jì)，2013(5)：1599-1603.

[5] 樂洪舟.基于擴(kuò)展攻擊樹的木馬檢測技術(shù)研究[D].大連：大連海事大學(xué),，2013.

[6] 牛冰茹,，劉培玉，段林珊.一種改進(jìn)的基于攻擊樹的木馬分析與檢測[J].計(jì)算機(jī)應(yīng)用與軟件,，2014,，31(3)：277-280.

[7] 張春明，陳天平,，張新源,，等.基于攻擊樹的網(wǎng)絡(luò)安全事件發(fā)生概率評估[J].火力與指揮控制，2010(11)：17-19.

[8] 王作廣,，強(qiáng)魏,，劉雯雯.基于攻擊樹與CVSS的工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)量化評估[J].計(jì)算機(jī)應(yīng)用研究，2016,，33(12)：3785-3790.

[9] 李慧,，張茹，劉建毅,，等.基于攻擊樹模型的數(shù)傳電臺傳輸安全性評估[J].信息網(wǎng)絡(luò)安全,，2014(8)：71-76.

[10] 黃慧萍，肖世德,，孟祥印.基于攻擊樹的工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評估[J].計(jì)算機(jī)應(yīng)用研究,，2015，32(10)：3032-3035.

[11] 任丹丹，杜素果.一種基于攻擊樹的VANET位置隱私安全風(fēng)險(xiǎn)評估的新方法[J].計(jì)算機(jī)應(yīng)用研究,，2011,，28(2)：728-732.

[12] 何明亮，陳澤茂,，龍小東.一種基于層次分析法的攻擊樹模型改進(jìn)[J].計(jì)算機(jī)應(yīng)用研究,，2016，33(12)：3755-3758.

[13] 張愷倫,，江全元.基于攻擊樹模型的WAMS通信系統(tǒng)脆弱性評估[J].電力系統(tǒng)保護(hù)與控制,，2013(7)：116-122.

[14] 黃慧萍，肖世德,，孟祥印.基于攻擊樹的工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)評估[J].計(jì)算機(jī)應(yīng)用研究,，2015，32(10)：3022-3025.

[15] 賈馳千,，馮冬芹.基于模糊層次分析法的工控系統(tǒng)安全評估[J].浙江大學(xué)學(xué)報(bào)（工學(xué)版）,，2016，50(4)：759-765.

[16] 張吉軍.模糊一致判斷矩陣3種排序方法的比較研究[J].系統(tǒng)工程與電子技術(shù),，2003,，25(11)：1370-1372.

[17] 甘早斌，吳平,，路松峰,，等.基于擴(kuò)展攻擊樹的信息系統(tǒng)安全風(fēng)險(xiǎn)評估[J].計(jì)算機(jī)應(yīng)用研究，2007,，24(11)：153-160.

作者信息:

任秋潔1,，潘  剛2，白永強(qiáng)2,，米士超2

(1.洛陽理工學(xué)院,，河南 洛陽471000；2.洛陽電子裝備試驗(yàn)中心,，河南 洛陽471003)