攻击文法与攻击图模型的对比

第37卷第6期2010年6月计算机科学Comp uter Science Vol.37No.6J une 2010到稿日期:2009207225返修日期:2009209225本文受军队2110工程项目(07010205资助。

王前(1978-,女,博士,讲师,主要研究方向为网络安全与网络生存技术等,E2mail:******************;冯亚军(1977-,男,硕士,讲师,主要研究方向为计算机网络应用等。

基于本体的网络攻击模型及其应用王前冯亚军杨兆民姚磊(空军雷达学院武汉430019摘要在对攻击理论进行深入研究的基础上,构造了一个多维分类模型,并利用本体构造攻击本体中概念之间的逻辑关系和层次结构,建立攻击本体模型,从而利用攻击原子本体构造攻击场景,对目标系统实施攻击。

关键词网络攻击,攻击分类,本体,攻击模型,攻击场景中图法分类号TP393.08文献标识码 AN et w ork Attack Model B ased on Ontology and its ApplicationWAN G Qian FEN G Ya 2jun YAN G Zhao 2min YAO Lei(Air Force Radar Academy ,Wuhan 430019,ChinaAbstract The paper ,which is based on attack theory ,presented an architecture of multi 2dimensional attack classifica 2tion.According to attack classification ,attack ontology model was built ,and the logical relationship and hierarchy struc 2ture betweenthe ontology of attack concepts were described.Finally according to attack scenario based on atomic ontolo 2gy of attack ,the attack on the target was realized.K eyw ords Network attack ,Attack classification ,Ontology ,Attack model ,Attack scenario1引言攻击模型是攻击技术发展的知识需求的重要来源,它有助于深入理解攻击的本质及其特点,分析整个攻击过程中攻击行为之间的相互关系。

天计算机系统活动的评估报告。

对攻击的实时检测系统的工作原理是基于对用户历史行为的建模以及在早期的证据或者模型的基础。

审计系统实时地检测用户对系统的使用情况，根据系统内部保持的用户行为的概率统计模型进行监测，当发现有可疑的用户行为发生时，保持跟踪并监测，记录该用户的行为。

IDES(Intrusion-Detection Expert System)，攻击检测专家系统，就是采用基于审计统计数据的技术，它具有一些天生的弱点，因为用户的行为可以是非常复杂的，所以想要准确匹配一个用户的历史行为和当前的行为相当困难。

错发的警报往往来自对审计数据的统计算法所基于的不准确或不贴切的假设。

基于神经网络的攻击检测技术为改进基于统计数据的技术，SRI(Stanford Research Institute，斯坦福研究所)的研究小组利用和发展了神经网络技术来进行攻击检测。

基于专家系统的攻击检测技术进行安全检测工作自动化的另一个值得重视的研究方向就是，基于专家系统的攻击检测技术，即根据安全专家对可疑行为的分析经验来形成一套推理规则，然后在此基础上构成相应的专家系统。

专家系统可以自动进行对所涉及的攻击操作的分析工作。

基于模型推理的攻击检测技术攻击者在攻击一个系统时，往往采用一定的行为程序，如猜测口令的程序，这种行为程序构成了某种具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图。

虽然攻击者并不一定都是恶意的。

用基于模型的推理方法，人们能够为某些行为建立特定的模型，从而，能够监视具有特定行为特征的某些活动。

根据假设的攻击脚本，这种系统就能检测出非法的用户行为。

一般为了准确判断，要为不同的攻击者和不同的系统建立特定的攻击脚本。

当有证据表明某种特定的攻击模型发生时，系统应当收集其它证据来证实或者否定其攻击的真实，既不能漏报攻击，对信息系统造成实际的损害，又要尽可能的避免错报。

参考资料[1] 刘启原，攻击检测技术漫谈，国际电子报，第35期B版，网络世界，1998年9月14日，第B16页RPC受到Snork拒绝服务攻击受影响的系统Windows NT的各个版本概要IIS的X-Force研究发现，Windows NT RPC服务在遭遇DoS攻击时，攻击者利用最小的资源使得一台远端的NT系统达到100%的CPU使用率，并可持续任意长的时间。

网络安全中的大数据分析方法与攻击检测技术对比研究网络安全是当前互联网时代中的一项重要议题，因为随着信息技术的发展，网络攻击与恶意行为也日益增加。

为了解决这一问题，大数据分析方法与攻击检测技术被广泛应用于网络安全领域，以帮助企业和组织发现并阻止网络攻击。

本文将对比研究这两种方法，探讨它们各自的优势和不足之处。

首先，我们先来了解大数据分析方法在网络安全中的应用。

大数据分析通过收集和分析庞大的网络数据流，可以帮助企业和组织发现潜在的网络风险和恶意行为。

例如，大数据分析可以识别出异常的网络流量模式，以便迅速发现可能的攻击。

此外，大数据分析还可以进行行为分析，通过比对用户的正常行为模式和异常行为模式，以及对网络行为趋势的分析，来发现隐秘的网络威胁。

另一方面，攻击检测技术在网络安全中的应用也具有重要意义。

攻击检测技术主要通过监控网络流量，识别和分析潜在的攻击行为。

例如，入侵检测系统（IDS）可以实时监测网络流量，并识别出可能的入侵行为。

此外，入侵防御系统（IPS）可以自动地对被检测到的攻击进行阻断或防护。

大数据分析方法与攻击检测技术在网络安全中都扮演着重要的角色，但它们也各自存在一些限制和不足之处。

大数据分析方法在处理庞大的网络数据时，可能会面临存储和计算能力的挑战。

此外，大数据分析方法需要更多的时间来分析和产生结果，因此对于实时响应的需求可能稍显不足。

相比之下，攻击检测技术更加实时和高效，但它在检测和识别新型攻击方面可能相对滞后。

为了解决上述问题，研究人员也尝试将大数据分析方法与攻击检测技术相结合，以提高网络安全的能力。

例如，可以利用大数据分析方法来预测攻击行为，从而提前部署相应的防御措施。

此外，可以通过将攻击检测与大数据分析相结合，实现对网络流量的实时监测和分析，同时发现新型攻击。

在使用大数据分析方法和攻击检测技术时，还需要注意隐私和合规性问题。

大数据分析方法可能需要处理大量的用户数据，这可能引发隐私问题。

网络攻击与防御对抗模型分析网络攻击与防御一直是互联网安全领域的热点问题，随着网络技术的不断发展和应用，网络攻击手段也在不断升级和演变，给网络安全带来了新的挑战。

网络攻击与防御对抗模型的分析对于有效应对这些威胁至关重要。

首先，我们需要了解网络攻击的种类和特点。

网络攻击可以分为多种类型，包括但不限于DDoS攻击、SQL注入、木马病毒、钓鱼攻击等。

每种攻击手段都有其独特的特点和危害程度，需要采取相应的防御措施。

例如，DDoS攻击可以通过大规模的恶意请求压倒目标服务器，导致其无法正常提供服务；SQL注入则是通过在Web应用程序中植入恶意SQL代码来获取数据库信息。

了解不同类型攻击的特点和工作原理是制定有效防御策略的基础。

其次，网络防御的关键在于建立多层次的安全防护体系。

单一的防御手段往往难以应对多样化的攻击威胁，因此建立多层次的安全措施至关重要。

比如，网络入侵检测系统（IDS）可以及时发现网络中的异常流量和攻击行为；防火墙则可以对网络流量进行过滤和监控，阻止恶意访问。

此外，加密技术、访问控制、漏洞修复等手段也都是构建安全防护体系的重要组成部分。

通过多层次的安全措施，可以提高网络的整体安全性和抗攻击能力。

另外，网络攻击与防御对抗模型的分析也需要考虑攻击者与防御者之间的博弈关系。

攻击者不断寻找新的漏洞和攻击手段，而防御者则需要不断提升自身的安全水平和应对能力。

攻击者通常会利用未知漏洞或零日漏洞来进行攻击，因此及时更新漏洞补丁和开展安全漏洞扫描是有效防范攻击的重要举措。

同时，防御者也可以通过模拟攻击、漏洞挖掘等手段主动寻找漏洞并及时补救，提高网络的安全性。

最后，网络攻击与防御对抗模型的分析还需要考虑人为因素和社会工程学攻击。

人为因素是网络安全中一个重要的薄弱环节，攻击者往往通过社会工程学手段获取用户的个人信息或密码，从而实施攻击。

因此，用户教育和意识提升也是网络安全工作中至关重要的一环。

通过加强用户的安全意识培训，提高其对各类网络攻击的警惕性，可以有效减少社会工程学攻击的风险。

Advances in Psychology 心理学进展, 2023, 13(10), 4389-4402Published Online October 2023 in Hans. https:///journal/aphttps:///10.12677/ap.2023.1310553电信网络诈骗易感性的理论模型综述：心理学视角王浩宇中国人民公安大学犯罪学学院，北京收稿日期：2023年8月24日；录用日期：2023年10月7日；发布日期：2023年10月18日摘要电信网络诈骗易感性是指个体在面临特定电信网络诈骗情境下成为受害者的倾向性。

目前国内外学者已经针对电信网络诈骗易感性的影响因素开展了一定的研究和探索，并构建了相应的理论模型。

本文对前人发展的理论模型和研究结果进行梳理和比较，并对未来研究进行展望。

未来研究有必要立足我国电信网络诈骗的现实状况，开展系统化、精细化、本土化研究，并加强研究成果向公安实践的反诈宣传、预警、监测等方面工作的转化。

关键词电信网络诈骗，诈骗易感性，影响因素A Review of Telecom and Online FraudSusceptibility Theories: A PsychologicalPerspectiveHaoyu WangDepartment of Criminology, People’s Public Security University of China, BeijingReceived: Aug. 24th, 2023; accepted: Oct. 7th, 2023; published: Oct. 18th, 2023AbstractTelecom and online fraud susceptibility refers to the tendency of being victimized in the context of the telecom and online fraud. Domestic and foreign studies have investigated the influencing fac-tors of telecom and online fraud susceptibility. The article sorted out and compared previous王浩宇theoretical models, and discussed the future research directions. Grounded in the Chinese context, future research is needed to develop a measurement system of the telecom and online fraud sus-ceptibility, and to conduct systematic, refined and localized research, aiming at helping Public Se-curity Authority to screen and educate potential victims, and construct early warning system.KeywordsTelecom and Online Fraud, Fraud Susceptibility, Influencing Factors Array Copyright © 2023 by author(s) and Hans Publishers Inc.This work is licensed under the Creative Commons Attribution International License (CC BY 4.0)./licenses/by/4.0/1. 引言电信网络诈骗，是指以非法占有为目的，利用电信网络技术手段，通过远程、非接触等方式，诈骗公私财物的行为。

攻击图分析技术在网络安全中的应用网络安全一直以来都是个热门话题，随着互联网应用的不断普及，人们对网络安全的重视程度也越来越高。

攻击图分析技术是一种新兴的安全分析技术，可以帮助我们更好地保护网络安全。

本篇文章将从攻击图分析技术的基本概念、应用场景、算法原理等方面，对该技术进行介绍。

一、攻击图分析技术的基本概念攻击图分析技术是一种网络安全分析技术，旨在帮助用户发现网络安全漏洞，理解安全威胁，以及评估事件的发生可能性和影响程度。

攻击图分析技术透过图形表示漏洞和威胁之间的逻辑和拓扑关系，来辅助用户进行安全分析。

攻击图是一种用来描述攻击者能够实施的攻击场景的图形表示方法，其中攻击者利用漏洞、技术和攻击路径等方式，从而达到入侵系统或得到系统敏感信息的目的。

例如，攻击者可能会通过暴力破解密码，从而获得系统管理员的权限，然后进一步控制整个系统。

攻击图通常包括三个元素：节点、边和变量。

节点代表系统中的各个组成部分，边代表不同系统部分之间的连接和逻辑关系，变量代表系统的状态和攻击者的行为。

攻击图可以用来表示不同的攻击场景，并分析它们的可能性和影响程度。

攻击图分析技术的目的是发现漏洞，识别潜在的威胁，以及评估可能的影响。

攻击图分析可以用来评估网络安全策略和漏洞修复措施的有效性，并提供对网络安全策略做出决策所需的信息。

攻击图分析技术已被广泛应用于网络安全领域，例如对电子商务系统的安全分析、对金融系统的安全分析等。

它已成为网络安全专业人士进行安全分析的必备工具之一。

二、攻击图分析技术的应用场景攻击图分析技术主要应用于以下场景：1. 对系统进行安全评估攻击图分析技术可用于对系统进行安全评估和漏洞发现，从而确保系统的安全性。

它可以帮助专业人员预测网络攻击的可能性和影响程度，并以此为基础，制定相应的安全措施。

2. 对安全策略进行评估攻击图分析技术可用于评估不同安全策略的效果，并确定在攻击发生时应该采取的措施。

根据攻击图分析的结果，可以制定针对性的安全措施，并执行相应的防御方案。

ISSN 1000-9825, CODEN RUXUEW E-mail: jos@Journal of Software, Vol.21, No.4, April 2010, pp.838−848 doi: 10.3724/SP.J.1001.2010.03584 Tel/Fax: +86-10-62562563© by Institute of Software, the Chinese Academy of Sciences. All rights reserved.∗攻击图的两种形式化分析陈锋1,2+, 张怡1, 苏金树1, 韩文报31(国防科学技术大学计算机学院,湖南长沙 410073)2(第二军医大学网络信息中心,上海 200433)3(解放军信息工程大学信息工程学院,河南郑州 450002)Two Formal Analyses of Attack GraphsCHEN Feng1,2+, ZHANG Yi1, SU Jin-Shu1, HAN Wen-Bao31(School of Computer Science, National University of Defense Technology, Changsha 410073, China)2(Network Information Center, Second Military Medical University, Shanghai 200433, China)3(Institute of Information Engineering, PLA Information Engineering University, Zhengzhou 450002, China)+ Corresponding author: E-mail: chenfeng@Chen F, Zhang Y, Su JS, Han WB. Two formal analyses of attack graphs. Journal of Software, 2010,21(4):838−848. /1000-9825/3584.htmAbstract: An attack graph is a model-based vulnerability analysis technology, which can automatically analyzethe interrelation among vulnerabilities in the network and the potential threats resulting from the vulnerabilities.Since the state-based attack graphs can not be applied to the real large networks for the combinatorial explosion inthe number of attack paths, the study is now shifted to attribute-based. Based on attribute-based attack graphs, thispaper discusses the loop attack paths and the optimization security measures. For the former, an iterative algorithmis presented to find all the non-loop attack paths to the key attributes with their depth less than the given number n.For the latter, it is proved to be an NP-complete problem, and the greedy algorithm is proposed to solve the problemwith polynomial time complexity.Key words: vulnerability; attack graph; valid attack path; optimization security measures; greedy algorithm摘要: 攻击图是一种基于模型的网络脆弱性分析技术,可以自动分析目标网络内脆弱性之间的关系和由此产生的潜在威胁.攻击图主要有状态攻击图和属性攻击图两类.前者由于存在状态爆炸问题不适应于大规模网络,目前主要的研究大多是基于后者.基于属性攻击图研究了含圈攻击路径问题和最优弥补集问题.针对含圈攻击路径问题,定义了反映真实攻击想定的n-有效攻击路径,提出了一种计算关键属性集所有n-有效攻击路径的迭代算法;针对最优弥补集问题,在定义了所有的风险源为属性攻击图的初始属性的基础上,将该问题转化为带权重的集合覆盖问题,从而归结为NP完全性问题,提出了可应用于大规模攻击图的具有多项式时间复杂度的近似算法.关键词: 脆弱性;攻击图;有效攻击路径;最优弥补集;贪婪算法∗ Supported by the National Natural Science Foundation of China under Grant No.90604006 (国家自然科学基金); the NationalHigh-Tech Research and Development Plan of China under Grant No.2008AA01A325 (国家高技术研究发展计划(863)); the NationalBasic Research Program of China under Grant No.2009CB320503 (国家重点基础研究发展计划(973))Received 2008-08-03; Revised 2008-11-23; Accepted 2009-01-20陈锋等:攻击图的两种形式化分析839 中图法分类号: TP393文献标识码: A传统的脆弱性扫描技术是一种基于规则的脆弱性评估方法,它孤立地分析目标网络中存在的脆弱性,不能综合评估这些脆弱性相互作用所产生的潜在威胁.攻击图是一种基于模型的脆弱性评估方法,它从攻击者的角度出发,在综合分析多种网络配置和脆弱性信息的基础上,枚举所有可能的攻击路径,从而帮助防御者直观地理解目标网络内各个脆弱性之间的关系、脆弱性与网络安全配置之间的关系,以及由此产生的潜在威胁.在研究攻击图自动创建问题的过程中,基于全局状态的建模方法可以产生状态攻击图[1−6].在状态攻击图中,节点表示目标网络和攻击者的状态,有向边表示单一攻击行为引起的状态转换.状态攻击图显式地展示了攻击者从初始状态出发逐步利用目标网络中的脆弱性进行攻击的所有可能的攻击路径,但是由于攻击路径随目标网络的主机规模与脆弱性数目的乘积呈指数增长,它无法应用于大规模网络.为了解决状态攻击图中的组合爆炸问题,Ammann等人首次将攻击者能力的“单调性”假设引入到分析模型中[9],即攻击者在攻击过程中不断地扩大自己的能力而不会失去已有的能力.该假设提出后,研究者转向采用基于属性的建模方法产生属性攻击图[7−12].在属性攻击图中,节点表示系统条件(属性)和原子攻击,有向边表示节点间的因果关系,属性攻击图能够更紧凑地展示所有的攻击路径.研究者利用该方法实现了多个原型系统,如TVA[10]和MulVAL[7,8]等.实践表明,属性攻击图具有良好的可扩展性,可以应用于大规模网络.目前,我们已实现的脆弱性综合分析原型系统CVAM (comprehensive vulnerability assessment model)也是基于属性攻击图的[13].但是,属性攻击图隐式地展示攻击路径方式给网络安全分析提出了挑战.文献[7]首先提出了属性攻击图中的含圈攻击路径问题并经研究发现,属性攻击图中含圈攻击路径不能简单地通过删除某些原子攻击来解决,否则会丢失一些重要的无圈攻击路径,但没有提出寻找所有无圈攻击路径的方法.文献[6]基于状态攻击图首次提出和解决了最小优弥补集问题,即以最少的安全弥补措施保障目标网络中关键资源的安全,但状态攻击图难以适应大规模网络.文献[11]基于属性状态攻击图提出和解决了最优弥补集问题,即以最少的成本保障目标网络中关键资源的安全,但是该方法没有解决含圈攻击路径问题.文献[12]提出基于逻辑推理的方法,首先把该问题转化为布尔表达式,然后通过求该表达式的析取范式计算出所有的弥补措施集合,在此基础上求最优弥补集.该方法在最坏情况下具有不可避免的指数时间复杂度,无法应用于网络规模较大的真实目标网络.本文基于属性攻击图研究了含圈攻击路径问题和最优弥补集问题.针对第1个问题,本文提出了反映真实攻击想定的n-有效攻击路径概念,即路径长度不大于常量n的无圈攻击路径,并且提出了迭代算法计算破坏关键属性集安全性的所有n-有效攻击路径.针对第2个问题,本文在定义了所有的风险源为属性攻击图的初始属性的基础上,将最优弥补集问题转化为带权重的集合覆盖问题,从而归结为NP完全性问题;提出了多项式时间复杂度的近似算法,可以应用于对大规模攻击图的分析.1 攻击图的定义属性攻击图隐式地描述了攻击者利用目标网络中各脆弱点进行逐步入侵的所有攻击路径[7−13],它可以形式化描述如下:定义1(属性攻击图). 属性攻击图AG=(A0∪A d,T,E),其中:A0表示初始节点集合,对应网络和攻击者的初始属性集合;A d表示可达节点集合,对应网络和攻击者在攻击被逐步实施后可达的属性集合;T表示原子攻击节点集合;E为有向边集合.AG满足下列约束:(1) E⊂((T×A d)∪((A0∪A d)×T)),即攻击图的两个节点之间的关系仅包含A0→T,A d→T,T→A d,其中:T→A d为原子攻击的后果边;A0→T,A d→T为原子攻击的前提边;(2) 对∀τ∈T,令Pre(τ)表示τ的父节点集合,Post(τ)表示τ的子节点集合,则父节点之间存在“与”关系,且满足(∧Pre(τ))⇒(∧Post(τ)),表示当原子攻击的所有前提都被满足后,该原子攻击成功,从而使其后果被满足;840Journal of Software 软件学报 V ol.21, No.4, April 2010(3) 对∀a ∈A d ,令Parent (a )是a 的父节点集合,则父节点之间存在“或”关系,且满足(∨Parent (a ))⇒a ,表示Parent (a )中任何一个原子攻击成功实施都会使属性a 被满足.简单起见,本文后续将属性攻击图简称为攻击图.从定义1可以看出,攻击图中包含两类节点:属性节点和原子攻击节点.属性节点代表目标网络和攻击者能力的条件,原子攻击节点代表攻击者利用单个脆弱性进行的一次攻击.图1展示了一个目标网络对应的攻击图.该目标网络存在2台主机,分别编号为1和2;在目标网络外部有一台恶意主机且与该网络相连,编号为0.在该攻击图中,文本文字表示目标网络和攻击者的属性,详细描述见表1,椭圆表示原子攻击,详细描述见表2.Fig.1 Example of attack graph图1 攻击图实例Table 1 Attributes in the example of attack graph表1 攻击图实例中的属性Attribute Descriptionftp (a ,b ) The service ftpd on host b is accessible from host a .trust (a ,b ) Host a trusts host b.user (a ) Attacker has the user privilege on host a.root (a ) Attacker has the root privilege on host a.Table 2 Atomic attacks in the example of attack graph表2 攻击图实例中的原子攻击Atomic attackDescription Ftp _rhosts (a ,b )Attacker establishes a remote login trust relationship from host a to host b via the ftp _rhosts vulnerability on host b. sshd _bof (a ,b )Attacker gains the user privilege on host b from host a using a remote buffer overflow attack on the sshd vulnerability of host b . rsh (a ,b )Using an existing remote login trust relationship between two hosts, the attacker logs in from host a to host b , getting the user privilege on host b without supplying a password. local _bof (a ) Attacker achieves the root privilege on host a using a local buffer overflow attack on host auser (0)Ftp -rhosts (0,2)Ftp -rhosts (0,1)ftp (0,1)trust (1,0)sshd (0,1)rsh (0,1)sshd -bof (0,1)ftp (0,2)user (1)user (2)ftp (1,2)Ftp -rhosts (1,2)local -bof (2)trust (2,1)rsh (1,2)sshd (2,1)rsh (0,2)trust (2,0)sshd -bof (2,1)陈锋 等:攻击图的两种形式化分析8412 基于攻击图的安全分析2.1 n -有效攻击路径根据容侵的网络安全保障思想,安全管理员可以在攻击图中指定重要的属性集合A c ⊆A d ,重点考虑保障这些属性不被攻击者破坏.我们称A c 为关键属性集,A c 是安全的当且仅当∀a c ∈A c 不被攻击者破坏.定义2(攻击路径). 设path =⊥→τ1→τ2→…→τl 是给定攻击图AG 中的原子攻击序列,其中,符号“⊥”是该序列的起始标识符,τi ∈T (1≤i ≤l )是原子攻击.若该序列满足下面约束,则称它为A c 的一条攻击路径,该攻击路径的长度记为L (path )=l :(1) 后面任意原子攻击的前提条件都是前面原子攻击的后果或是初始属性,即∀a ∈Pre (τi ),101()i k k a Post A τ−=∈∪U ,其中,τi ∈T ,1≤i ≤l ; (2) 前面任意原子攻击的后果是后面原子攻击的前提,即∃b ∈Post (τi ),1()l k k i b Pre τ=+∈U ,其中,τi ∈T ,1≤i <l ; (3) 该序列中最后一个原子攻击产生的后果集与关键属性集A c 存在非空交集,即Post (τl )∩A c ≠∅. 在图1的攻击图实例中,令A c ={user (1)},原子攻击序列path 1=⊥→Ftp _rhost (0,1)→rsh (0,1)和path 2=⊥→ sshd _bof (0,1)是A c 的两条攻击路径.path 3=⊥→Ftp _rhost (0,1)→rsh (0,1)→Ftp _rhost (1,2)→rsh (1,2)→sshd _bof (2,1)也是A c 的一条攻击路径,它是一条含圈的攻击路径.但在实际的攻击过程中,该攻击路径不会发生,因为攻击者的攻击过程具有单调性,即不会再去获取已经具有的能力.因此在图1的例子中,攻击者获得主机1的user 权限后,不会再通过获取主机2的user 权限重复地去获取主机1的user 权限.但在分析攻击图时,不能删除sshd _bof (2,1),否则就会删除A c 的合理攻击路径path 4=⊥→Ftp _rhost (0,2)→rsh (0,2)→sshd _bof (2,1).攻击图中含圈路径的存在,大大增加了攻击图分析的复杂性.定义3(有效攻击路径). 设path =⊥→τ1→τ2→…→τl 是给定攻击图AG 中的一条攻击路径,若该攻击路径不 含圈,即∀τi ,τj ∈T (1≤i <j ≤l ),1()(())l i j j i Pre Post ττ=+∩=∅U ,则称该攻击路径是有效攻击路径.有效攻击路径中,任意原子攻击的前提不是它后面原子攻击的后果,反映了攻击者真实可能的攻击路线.要准确识别攻击者的意图,必须识别出所有的有效攻击路径.研究中发现,在一般的攻击图中有大量的有效攻击路径包含了完全相同的原子攻击,虽然这些攻击的顺序不同,但反映了相同的原子攻击之间的依赖关系.为了简化和方便理解,我们定义这类有效攻击路径是等价的.例如在图2的攻击图中,原子攻击τ3依赖于τ1,而τ2与τ3和τ1都不存在依赖关系,故⊥→τ1→τ2→τ3→τ4,⊥→τ1→ τ3→τ2→τ4和⊥→τ2→τ1→τ3→τ4等都是等价的有效攻击路径.不失一般性,在下面的研究中,对于这一类有效攻击路径只选取其中的一条作为代表.在进一步的研究中发现,利用攻击图生成工具为真实的较大规模目标网络生成的攻击图中,可能存在超长的有效攻击路径(长度超过20);但是经过统计大量真实攻击事件发现,真实攻击者实施的有效攻击路径的长度绝大部分在3以内,且没有发现长度超过10以上的.因此,分析不超过指定长度n 的有效攻击路径,对识别和分析攻击者真实、可能的攻击路线更具实际意义.7a 2Fig.2 Example of equivalent attack paths 图2 等价攻击路径的例子842 Journal of Software软件学报 V ol.21, No.4, April 2010定义4(n-有效攻击路径). 设path=⊥→τ1→τ2→…→τl是给定攻击图AG中的一条有效攻击路径,n∈N是给定的常数,若攻击路径的长度l≤n,则称该有效攻击路径为n-有效攻击路径.对于攻击图AG,若a∈Post(τl),我们称path(i)(a)=⊥→τ1→τ2→…→τl是可达a的第i条攻击路径;令PATHS(a)= {path(i)(a)}是所有可达a的攻击路径集合.若τ=τm,称path(j)(τ)=⊥→τ1→τ2→…→τm是可达τ的第j条攻击路径.令PATHS(τ)={path(j)(τ)}是所有可达τ的攻击路径集合.定义5(函数⊕). 对于任意两条攻击路径path1和path2,定义函数path1⊕path2:path2中的每个原子攻击τi,若对path1中的任意原子攻击τj,满足τi≠τj,则把τi增加到path1的尾部,最后返回path1作为该函数的结果.定义6(函数⊗). 对于属性节点a,b∈A0∪A d,定义函数PATHS(a)⊗PATHS(b)={path(i)(a)⊕path(j)(b)|path(i)(a)∈PATHS(a),path(j)(b)∈PATHS(b)}.为了计算可达指定节点v的所有n-有效攻击路径,我们提出了迭代算法obtain_path(v,n),算法细节如图3所示.该算法的主要思想是,从指定的节点v出发,采取前向搜索的方式和深度优先的搜索策略迭代计算v的所有可达其父节点的(n−1)-有效攻击路径(若v为属性节点,则计算v的所有可达其父节点的n-有效攻击路径),然后,在此基础上计算可达v的n-有效攻击路径.在计算过程中,为了保证产生的攻击路径不含圈,引入了节点集合trace来存放已搜索的属性节点的轨迹.从v节点出发,在深度搜索迭代之前,如果该节点是属性节点,则加入到该轨迹中,迭代结束后,将该节点从轨迹中擦除.迭代前若该节点已在轨迹中,则说明继续该次迭代会产生含圈的攻击路径,故终止该次迭代.Input: The given node v in the attack graph AG;Output: the set of n-valid attack paths reachable to v.Procedure obtain_path(v,n)(1) If v∈A0Then(2) Return PATHS(v)={⊥};(3) If v∈A d Then(4) If n==0 Then(5)Return PATHS(v)=∅;(6) If v∈trace Then(7)Return PATHS(v)=∅;(8) trace=trace∪{v};//{τ1,…,τm} is the set of v’s parent nodes(9) For each τi Do(10) PATHS(τi)=obtain_path(τi,n);(11) PATHS(v)=(∪PATHS(τi));(12) trace=trace\{v};(13)If v∈T Then//{a1,…,a n} is the set of v’s parent nodes(14) For each a i Do(15) PATHS(a i)=obtain_path(a i,n−1);(16) PATHS(v)={path→v|path∈PATHS(a1)⊗…⊗PATHS(a n),L(path→v)≤n};(17)Return PATHS(v);Fig.3 Detailed description for the algorithm obtain_path(v,n)图3 obtain_path(v,n)算法的详细描述定理1. 算法obtain_path(v,n)产生可达v的所有n-有效攻击路径.证明:若v为原子攻击τ,假设a1,…,a n是它的所有父节点,即a i∈Pre(τ),其中0≤i≤n,则根据定义1中的约束2可知,可达τ的n-有效攻击路径是由它与可达其父节点的所有(n−1)-有效攻击路径组合构成,即PATHS(τ)= {path→τ|path∈PATHS(a1)⊗…⊗PATHS(a n),且L(path→τ)≤n}.若v为属性节点a,假设τ1,…,τm是它的所有父节点,即a∈(∩Post(τi)),其中0≤i≤m,则trace存放了a的所有后继原子攻击的后果.根据定义3,若a∈trace,则说明把τi 的有效攻击路径加入到该路径中会产生圈,故终止该迭代;否则,根据定义1中的约束3可知,可达τi的n-有效攻击路径都是可达a的n-有效攻击路径,即PATHS(a)=(∪PATHS(τi)). □下面说明如何利用算法迭代算法obtain_path计算关键属性集A c的所有n-有效攻击路径.在攻击图AG=A=A d∪{ε},T0=T∪{δi},E0={δi→ε,a i→δi|a i∈A c},其中(A0∪A d,T,E)中,引入伪原子攻击δi和伪可达属性节点ε.令0d陈锋 等:攻击图的两种形式化分析 843 1≤i ≤|A c |,则新的攻击图AG 0={A 0∪0dA ,T 0,E 0}.显然,攻击图AG 0中每条可达ε的(n +1)-有效攻击路径删除δi 后,就是 攻击图AG 中关键属性集A c 的n -有效攻击路径.因此,通过在攻击图AG 0中应用obtain _path (ε,n +1)可以获得A c 的所有n -有效攻击路径.当取n 为足够大时,该算法可以计算出A c 的所有有效攻击路径.2.2 最优弥补集为了保障关键属性集A c 的安全性,管理员可以采取各种安全弥补措施通过消除某些初始属性节点来阻断n -有效攻击路径,如改变网络连接、为某些脆弱性打补丁等.每种安全弥补措施都需要付出一定成本代价.例如,给Web 服务器打补丁时可能需要中断服务,而购买或制作补丁本身也需要经济成本.因此,我们考虑最优弥补集问题,即如何用最小的代价来保障关键属性集A c 的安全性.定义7(风险源). 设path =⊥→τ1→τ2→…→τl 是攻击图的一条n -有效攻击路径(l ≤n ),称该路径上出现的所有初始属性集合为path 的风险源,即A r =(∪Pre (τi ))∩A 0,其中1≤i ≤l .定义8(弥补集). 设12,,...,r r r l A A A 是关键属性集A c 的所有风险源,称A m 是弥补集当且仅当m r i A A ∩≠∅(0≤i ≤l ).显然,任意攻击图的A 0都是弥补集,消除该弥补集中的所有初始属性节点将消除所有的风险源,即阻断所有的n -有效攻击路径.定义9(最优弥补集). 成本函数Cost :A 0→+ℜ标识了管理员采取安全弥补措施移除每个初始属性花费的成 本,对任意弥补集合A m ,令cost =()i Cost a ∑是该弥补集的总成本,其中a i ∈A m .我们称弥补集A m 是最优的当且仅 当在所有的弥补集中它的总成本最小.定理2. 最优弥补集A m 问题是NP 完全性问题.证明:数学描述最优弥补集A m 问题如下:设|A 0|=k ,令12,,...,r r r l A A A 是关键属性集A c 的全部风险源.设变量x j ∈{0,1},若a j ∈A m ,则x j =1;否则,x j =0.为了使A m 是最优弥补集,最终的总成本需要最小化,即*1Min ()k j j j cost x cost a =⎛⎞=⎜⎟⎜⎟⎝⎠∑ (1) 并且满足下面的约束: (a) 1r j i j a A x ∈≥∑,其中,0≤i ≤l ;(b) x j ∈{0,1}.约束(a)说明,每个风险源与弥补集有交集.该问题的数学描述与带权重的集合覆盖问题(set cover problem- weighted version)的数学描述相同,而带权重的集合覆盖问题是NP 完全性完全问题,故最优弥补集A m 问题也是NP 完全性完全问题. □由于最优弥补集问题是NP 完全性问题,精确求解算法的时间复杂度为指数级.而真实目标网络的攻击图一般都很庞大,因此需要有多项式时间复杂度的近似算法.本文设计了贪婪算法weighted-Greedy 来计算近似最优弥补集A m .令A R 是风险源集合,A (a j ,A R )是A R 中包含a j 的风险源集合;函数w (a j ,A R )=|A (a j ,A R )|表示a j 在风险源集合A R 中出现的次数;函数γ(a j ,A R )=Cost (a j )/w (a j ,A R )表示A (a j ,A R )中每个风险源的均摊成本.图4给出了算法weighted- Greedy 的详细描述.由于贪婪算法计算出的结果是近似最优弥补集,下面讨论近似最优弥补集所需成本与最优弥补集所需成本的性能之比.844Journal of Software 软件学报 V ol.21, No.4, April 2010Input: All the risk sources{r i A |(0≤i ≤l )}, cost function Cost (a j )(0≤j ≤k );Output: Approximative optimization security measures A m .Procedure weighted-Greedy(1) A m =∅;(2) A R ={r i A |0≤i ≤l };(3) While (A R ≠∅)(4) Find a j in A 0−A m , which lets the value of γ(a j ,A R )(0≤j ≤k ) be minimal;(5) A m =A m ∪{a j };(6) A R =A R −A (a j ,A R );Fig.4 Detailed description for the algorithm weighted-Greedy图4 Weighted-Greedy 算法的详细描述设cost g 为由贪婪算法计算出的近似弥补集对应的总成本,t =|A m |为最优安全弥补措施的个数;记y i (0≤i ≤l )为 风险源r i A 的贪婪成本,它为算法的第(4)行计算所得的最小均摊成本,即y i =Min(γ(a j ,A R )),r R i A A ∈.由此可知,下面的等式成立:11()l ti j g i j y cost a cost ====∑∑ (2)令*{R r i A A =|0≤i ≤l },记A *(a j )=*(,)R j A a A 是算法初始化时弥补措施a j 所能消除的所有风险源,函数w *(a j )= |*(,)R j A a A |表示a j 所能消除的风险源最大个数.引理1. a j 所能消除的所有风险源的贪婪成本之和不大于Cost (a j )的H (d )倍,即*()()()r i jj i A A a Cost a H d y ∈⋅≥∑, 其中,d =w *(a j ),H (d )=(1+1/2+…+1/d ).证明:令(0)**()()j j A a A a =且d (0)=d ,a r −1是贪婪算法第r −1次迭代后选择的弥补措施.在第r 次迭代开始时, ()(1)***1()()(,)r r R j j r A a A a A a A −−=−,此时|()*()r j A a |=d (r ).令y (r )=Cost (a r )/|A (r )(a r )|是此次迭代时产生的贪婪成本,若Cost (a j )/d (r )>y (r )且()()**|()(,)|r r R j r A a A a A ∩=l (r )≠0,则y (r )是交集中各个风险源的贪婪成本,且满足l (r )×y (r )≤l (r )× ()()()()()()()...1j j j r r r r Cost a Cost a Cost a d d d l ≤++−+;若Cost (a j )/d (r )=y (r ),则l (r )×y (r )=Cost (a j ),且(1)*()r j A a +=∅.由于d (r )= d (r −1)−l (r −1),故*()r i j i A A a y ∈≤∑(1+1/2+…+1/d )Cost (a j )=Cost (a j )⋅H (d ). □定理3. 算法weighted-Greedy 的理论最差性能比为H (g ),即H (g )≥cost g /cost *,其中,g =1*Max (())kj j w a =,H (g )=1+1/2+…+1/g .证明:由引理1和公式(1)的约束(a)以及公式(2)可知,**()()()()(())()()r r i j j i j j j j j i j j i i A A a a ACost a H g x Cost a H w a x y x x y y ∈∈⋅=⋅=⋅=⋅≥∑∑∑∑∑∑∑=cost g . 因为cost *=Min(())j j Cost a x ∑,故H (g )≥cost g /cost *. □ 定理3表明,由weighted-Greedy 计算所得的近似最优弥补集的总成本不超过实际最优弥补集总成本的 H (g )倍,其中,g 为单个弥补措施所能消除的风险源最大个数.当g =1时,可知H (g )=1,即r ri j A A ∩=∅(1≤i <j ≤l ),此时,贪婪算法所得结果为最优弥补集.2.3 算法时间复杂度分析定理4. 给定攻击图AG =(A 0∪A d ,T ,E )以及常数n ∈N ,假设每个节点u ∈A d ∪T 最多具有M 个父节点,即 Max (|()|)d u A T M Parent u ∈∪=,则计算所有可达v ∈A d 的n -有效攻击路径算法obtain _path (v ,n )的时间复杂度为 O (M 2n +1).证明:对于算法obtain _path (v ,n ),若v 为属性节点a ,假设τ1,…,τm 是它的所有父节点,即a ∈(∩Post (τi )),其中陈锋等:攻击图的两种形式化分析8450≤i≤m≤M,最多需要调用M次obtain_path(τi,n)计算所有可达τi的n-有效攻击路径.若v为原子攻击τ,假设a1,…,a n 是它的所有父节点,即a i∈Pre(τ),其中0≤i≤n≤M,则最多需要调用M次obtain_path(a i,n−1)计算所有可达a i的(n−1)-有效攻击路径.由于n≥0且v∈A d,故上述迭代次数最多为2n+1,因此,该算法的时间复杂度为O(M2n+1). □由于n是指定的常数,故该算法具有多项式时间复杂度.下面证明近似最优弥补集算法weighted-Greedy的时间复杂度.定理5. 给定攻击图AG=(A0∪A d,T,E),假设风险源的个数为l,则计算最优弥补集算法weighted-Greedy的时间复杂度为O(|A0|⋅l).证明:算法weighted-Greedy在A0\A m中寻找a j满足γ(a j,A R)最小(第4行)需要花费O(|A0|)时间.算法输入共有l个风险源,每次迭代操作(第3行~第6行)至少消除一个风险源,故其时间复杂度为O(|A0|⋅l). □2.4 实例我们将算法应用于图1的攻击图实例来验证算法的正确性.令关键属性集A c={user(1),user(2)},n=4.运行算法obtain_path来计算所有可达A c的4-有效攻击路径,并根据定义6得到各个4-有效路径对应的风险源,结果见表3.假设缺少脆弱性的补丁包,管理员只能通过设置防火墙安全策略阻止为编号为0,1,2的主机提供相关服务的方式来保证关键属性集A c的安全性.令a1=user(0),a2=ftp(0,1),a3=ftp(0,2),a4=ftp(1,2),a5=sshd(0,1),a6= sshd(2,1).设采取这些安全弥补措施移除各个初始属性A0={a1,a2,a3,a4,a5,a6}对应所需成本为{∞,5,2,8,11,7}.其中,由于管理员无法阻止攻击者具有目标网络外部恶意主机0的user访问权限,即a1=user(0),故消除该属性所花费成本为无穷大.表4给出了运行算法weighted-Greedy计算最优弥补集的过程,可以得到最近最优弥补集为{a2,a3,a5},它的总成本cost g=18,而通过文献[12]中的算法得到实际最优弥补集总成本cost*=18.由于采取消除a1的弥补措施能够消除全部风险源,故g=6,H(g)=1+…+1/6.经计算验证它们满足定理3,即H(g)≥cost g/cost*.Table 3Risk sources corresponding to 4-valid attack paths表34-有效路径及其对应的风险源No. 4-Valid attack path Risk source1 ⊥→Ftp_rhost(0,1)→rsh(0,1) user(0), ftp(0,1)2 ⊥→sshd_bof(0,1) user(0), sshd(0,1)3 ⊥→Ftp_rhost(0,2)→rsh(0,2)→sshd_bof(2,1) user(0), ftp(0,2), sshd(2,1)4 ⊥→Ftp_rhost(0,2)→rsh(0,2) user(0), ftp(0,2)5 ⊥→Ftp_rhost(0,1)→rsh(0,1)→Ftp_rhost(1,2)→rsh(1,2)user(0), ftp(0,1), ftp(0,2)6 ⊥→sshd_bof(0,1)→Ftp_rhost(1,2)→rsh(1,2) user(0), sshd(0,1), ftp(1,2)Table 4Procedure of the algorithm weighted-Greedy computing optimization security measures表4 Weighted-Greedy计算最优弥补集的过程The i th iteration Set of risk resource A RMinimum cost sharedequally Min(γ(a j,A R))Choice a jOptimization securitymeasures A m1 {a1,a2}, {a1,a5}, {a1,a3,a6}, {a1,a3}, {a1,a2,a3}, {a1,a5,a4}2/3 a3a32 {a1,a2}, {a1,a5}, {a1,a5,a4} 5a2a3, a23 {a1,a5}, {a1,a5,a4} 11/2a5a3, a2, a53 实验与分析我们通过两组模拟实验来分析本文所提算法的性能并验证其正确性.模拟实验所在的主机环境如下:Intel Core Duo T7500 2.2GHz CPU,2GBRAM,Windows XP操作系统.3.1 应用于小规模攻击图在实验1中,分别将本文中算法与文献[12]中算法应用于小规模攻击图,分析它们在计算最优弥补集时CPU 运行时间的变化趋势,以及本文算法所得结果的实际性能之比.实验模拟产生了5个具有含圈攻击路径的小规模攻击图,分别编号为A,B,C,D,E;它们的复杂度逐渐递增,具体统计特征见表5.其中:列|A0|表示它的初始属性节点数;|A d|表示它的可达属性节点数;|T|表示它的原子攻击节点数;|E|表示它的边数,且每个节点最多具有4个父846 Journal of Software 软件学报 V ol.21, No.4, April 2010 节点.假设各攻击图的关键属性集A c 是它们叶节点属性构成的集合,成本函数Cost (a i )=i ,i ∈N ,a i ∈A 0.ValidPath 表示各攻击图的有效攻击路径条数,并且这些有效攻击路径的长度都低于10.Table 5 Statistical characteristics of attack graphs in Experiment 1表5 实验1中攻击图的统计特征AG |A 0| |A d | |T | |E | ValidPathA 18 24 28 59 14B 21 50 67 159 108C 24 54 68 167 159D 51 66 86 221 695E 76 85 97 254 786图5给出了算法的性能实验结果,其中,L 1是obtain _path 算法的CPU 运行时间曲线,它表明,该算法产生所有10-有效攻击路径的CPU 运行时间随着攻击图的复杂度增大而以多项式方式逐渐增加.L 2是weighted-Greedy 算法性能曲线,它表明,该算法产生近似最优弥补集的CPU 运行时间随着攻击图的复杂度增大而以多项式方式逐渐增加.L 3是采用文献[12]中算法产生精确最优弥补集的CPU 运行时间曲线,它表明,其CPU 运行时间随着攻击图的复杂度增大而以指数方式增加.令h =cost g /cost *表示贪婪算法的实际性能之比,图6显示了贪婪算法的实际性能比和它的理论最差性能比,并验证了定理3,即该算法的实际性能比低于它的理论最差性能比.Fig.5 Performance trendlines of Fig.6 Theoretical and practical performance ratio ofeach algorithm the algorithm weighted-Greedy图5 算法性能趋势线 图6 算法weighted-Greedy 的实际性能比及其理论最差性能比该实验结果表明,文献[12]的算法虽然能够产生精确的最优弥补集,但是它具有指数时间复杂度,故存在可扩展性的局限性,不能应用于大规模的攻击图.本文算法能够以低于其理论最差性能比快速计算出近似最优弥补集.3.2 应用于大规模攻击图在实验2中,我们将本文算法应用于大规模攻击图来分析它的可扩展性.实验模拟产生了5个具有含圈攻击路径的大规模攻击图,分别编号为F ,G ,H ,I ,J ;攻击图中每个节点最多具有4个父节点,有效攻击路径的长度都低于30.它们的复杂度逐渐递增,具体统计特征见表6.假设各攻击图的关键属性集A c 是由其叶节点属性构成的集合,成本函数Cost (a i )=i ,i ∈N ,a i ∈A 0.运行文献[12]中算法为这些攻击图计算精确最优弥补集,在1 800s 内都没有产生结果.Table 6 Statistical characteristics of attack graphs in Experiment 2表6 实验2中攻击图的统计特征AG|A 0| |A d | |T | |E | ValidPath G272 289 245 981 2 876 H321 387 418 1 167 3 281 I452 496 486 2 021 4 095 J 676 785 597 2 854 5 986L 3Complexity C P U t i m e (s ) L 2L 1A B C D E H (g )H。

网络安全是当今社会不可忽视的重要议题。

随着互联网的发展，网络安全威胁也日益增多，给个人和组织带来了巨大的风险和挑战。

在这样的背景下，建立有效的网络安全威胁建模成为了保护网络安全的重要手段之一。

本文将从网络安全威胁的定义、建模方法、应用及挑战等方面进行深入探讨。

网络安全威胁是指可能对网络系统造成危害的各种潜在威胁，包括计算机病毒、网络蠕虫、黑客攻击等。

这些威胁可能会导致系统瘫痪、数据泄露、信息篡改等严重后果。

因此，建立网络安全威胁建模是非常必要的。

网络安全威胁建模是指对网络安全威胁进行分析、抽象和建立模型，以便更好地理解和应对各种威胁。

网络安全威胁建模的方法有很多种，其中比较常用的包括攻击树、攻击图、威胁建模语言等。

攻击树是一种用于描述攻击路径和攻击步骤的图形化建模方法，通过分析攻击者可能采取的行动路径，可以帮助系统管理员更好地理解潜在的威胁。

攻击图则是一种用图形化方式描述系统漏洞和攻击路径的方法，通过对系统进行建模，可以更好地识别系统的薄弱环节。

威胁建模语言是一种用于描述和分析威胁的形式化语言，可以帮助系统管理员更好地理解各种威胁的本质和特征。

网络安全威胁建模的应用非常广泛，不仅可以帮助组织建立有效的网络安全策略，还可以帮助系统管理员更好地监测和应对各种威胁。

通过对网络安全威胁进行建模，可以更好地识别和分析各种威胁，为组织制定有效的安全策略提供重要参考。

同时，网络安全威胁建模还可以帮助系统管理员更好地监测和检测各种潜在的威胁，及时采取措施防范风险。

然而，网络安全威胁建模也面临着一些挑战。

首先，网络安全威胁的形式和特征非常复杂，建模过程需要充分考虑各种不确定性因素，这对系统管理员的能力和技术水平提出了较高的要求。

其次，网络安全威胁的建模需要充分考虑系统的整体性和一致性，需要跨越多个领域和层次进行分析和建模，这需要系统管理员具备较强的综合分析能力。

最后，网络安全威胁建模还需要充分考虑实际应用的场景和环境，需要充分考虑各种实际约束条件和限制条件，这对系统管理员的实践经验和专业知识提出了较高的要求。