一种基于FAHP和攻击树的信息系统安全评估方法
摘要:
为进一步提高信息系统安全风险评估结果的准确性和可用性,降低主观因素的影响,以模糊层次分析法和攻击树模型为基础,对信息系统的安全风险进行评估。首先,采用攻击树模型描述系统可能遭受的攻击;其次,假定各叶节点具有不同的安全属性,采用模糊层次分析法求解各安全属性的权值,为降低专家评分的主观因素影响,假定各属性得分为区间变量,建立基于区间变量的属性概率发生模型。最后,采用实例进行分析验证,结果表明该方法不仅进一步降低了风险评估时主观因素的影响,且思路清晰,方法简单,具有较强的通用性和工程应用价值。
❖
0 引言
20世纪90年代末,schneier b首先提出攻击树概念[1],因其层次清晰、直观形象等特点,后被广泛用于系统安全威胁分析和风险建模[2-6]。但在定量分析方面,传统的攻击树建模存在不足,因而大量攻击树模型的改进方法被业界学者提出,用于提高网络安全风险评估的效果。张春明等[7]提出了基于攻击树的网络安全事件评估方法,为制订安全防护策略提供了有力支持。王作广等[8]基于攻击树和cvss对工业控制系统进行风险量化评估,但在根据cvss 3.0规范求解叶节点的概率时,并未对各节点的属性进行分析。李慧[9]、黄慧萍[10]、任丹丹[11]等采用攻击树模型分别对数传电台传输安全、工业控制系统、车载自组织网络进行威胁建模或安全风险评估,但在各安全属性计算上还存在不足。基于上述文献可知,采用攻击树模型进行系统安全风险分析时,主要存在两个方面的不足:一是如何对各安全属性进行准确分析;二是如何定量分析各叶节点的发生概率,降低主观因素的影响。鉴于此,本文采用模糊层析分析法(fuzzy analytic hierarchy process,fahp)对攻击树模型进行改进,首先赋予各叶节点特定的安全属性,然后基于评估对象的特点采用fahp计算各安全属性的权值,同时利用基于区间变量的属性概率发生模型求解各属性的发生概率,最后计算各叶节点的发生概率。该模型充分考虑攻守双方的博弈过程,能够更加准确、合理地评估系统所存在安全风险,可为后续安全防护策略的制定提供技术支撑。
1 攻击树模型
在攻击树模型中,根节点代表攻击目标;叶节点代表攻击过程中采用的各种攻击方法[12-13]。叶节点之间的关系包括:与(and)、或(or)和顺序与(sequence and,sand)3种[7]。采用fahp对攻击树模型进行改进,并将其用于系统安全风险分析,主要思路如图1所示。
2 基于fahp的攻击树模型改进
2.1 叶节点的指标量化
由于攻击的实现可能受多个因素的影响,为反映各因素对攻击事件的影响,给各叶节点赋予3个安全属性:实现攻击的难易程度(difficulty) 、实现攻击所需的攻击成本(cost)和攻击被发现的可能性(detection)。根据多属性效用理论,将以上3个属性转化为达成目标的效用值,进一步可计算叶节点的发生概率[8,12]:
在实际工程应用中,通常采用专家打分的方法对叶子节点各安全属性值进行赋值。分析之前可做如下假设:
2.2 安全属性权值
采用fahp对攻击成本、难易程度和攻击被发现的可能性这3个安全属性的权值wdif、wcos、wdet进行求解。根据该层各因素受攻击后对上一层因素造成的相对危害程度,来确定本层次各因素的相对重要性。本文采用0.1~0.9的标度,将相对重要性给予定量描述,比较尺度如表2所示[12]。根据表2确定每个属性的重要程度,并构造判断矩阵c[15]:
a与权重的差异度成反比,即a越大,权重的差异度越小;a越小,权重的差异大越大。当a=(n-1)/2时,权重的差异度越大。本文取a=(n-1)/2,rc为一个3阶矩阵,因此a=(n-1)/2=1,其中,n为模糊一致矩阵的阶数,得到wc=[0.383 4,0.333 3,0.283 3]。由此,可以得到udif=0.383 4、udet=0.333 3、ucos=0.283 3,利用式(1)最终求得叶节点的发生概率。
2.3 根节点的发生概率
计算根节点发生概率需首先确定攻击路径,攻击路径是一组叶节点的有序集合,完成这组攻击事件(叶节点)即可达成攻击目标。构造攻击路径的算法如下:
(1)假设g为攻击树的根节点,n为根节点的度。
(2)对可能的攻击路径ri=(x1,x2,…,xm),i={1,2,…,n}进行分析:对g所有的子节点进行搜寻,如果该子节点为叶节点mi,则确定其中一条可能的攻击路径,否则以各子节点为根,对下一级子节点进行搜寻,直至将所有可能的攻击路径确定为止。
(3)求解每一条攻击路径可能发生的概率:采用自底向上的方式,由子节点求解父节点发生的概率,具体可参考文献[7]和文献[17]。
假设安全事件有n种攻击路径,且攻击路径ri=(x1,x2,…,xm),i={1,2,…,n},其中xi表示各叶节点。则路径ri发生的概率为:p(ri)=p(x1)×p(x2)×…×p(xm),i={1,2,…,n},对比各攻击路径发生概率的计算结果,其数值大小可反映攻击者对攻击方式的选择倾向,应重点防御概率最大的攻击方式。
3 实例验证
本文采用文献[12]实例进行应用验证分析与对比。仍以某军事业务系统内部人员窃取文件资料为例建立攻击树模型,如图2所示,各节点含义如表3所示。具体步骤和典型的内部人员攻击手段可参考文献[12],本文不再赘述。
利用表1的评分标准,对此攻击树中各叶节点的安全属性值打分。为了更好地验证本文方法的有效性,此处采用文献[12]的评分结果,具体如表4所示。
假定表4中各叶节点的得分为得分区间值的中值,x的取值为评分等级最大值时,mid+αxmid,x=xmid-αxmid。不失一般性,取置信水平α=0.1,则进一步可得各安全属性得分区间值。根据式(3)和式(6)分别求解各属性的效用值及对应的权值,最后根据式(1),即可得各叶节点的发生概率,结果如图3所示。
由图3可知,本文方法与文献[12]中各叶节点发生概率的最大差异在于叶节点x8的发生概率,本文中p8(x8)=0.746 9,文献[12]中p8(x8)=0.929 0,产生该情况的主要原因是各安全属性权值不同,本文方法和文献[12]中各属性权值如表5所示。
在构造判断矩阵时,各属性的重要程度梯度较小,所求权值应当与重要程度相吻合,而文献[12]中各权值的取值差异较大,根本原因在于层次分析法主观性较强,而本文采用模糊层次分析法,一定程度上降低了主观因素的影响,进一步说明了本文方法的有效性。
根据2.3节中的攻击路径算法,列出所有可能的攻击序列:r1=(x1);r2=(x2);r3=(x3);r4=(x4);r5=(x5);r6=(x6);r7=(x7);r8=(x8,x9);r9=(x8,x10);r10=(x8,x11);r11=(x12)。
根据式p(ri)=p(x1)×p(x2)×…×p(xm),各攻击序列的发生概率如图4所示。
由图4可知,r11电磁泄漏发生概率最大,即攻击者极有可能利用电磁泄露等问题进行攻击;其次是内部人员窃取文件资料的攻击树模型中r5、r6、r7攻击序列发生的概率较大,也即攻击者很有可能利用系统自身的漏洞实现窃密行为。而与文献[12]的结论相比,攻击树模型中r5、r6、r7攻击序列发生的概率最大,其次是电磁泄漏发生概率,造成最终结论存在误差的根本原因是各安全属性权值不同,其原因与叶节点发生概率相同,此处不再赘述。基于上述分析,该军事业务系统需要针对攻击序列r5、r6、r7、r11采取相关的安全防护措施。
上述分析是在置信水平α=0.1时给出的分析结论,为了进一步研究不同置信水平对安全风险评估结果的影响,下面给出不同置信水平下各攻击序列的发生概率,具体如表6所示。
由表6可知,随着置信水平的增加,各攻击序列的发生概率呈递增的趋势,主要是由于随着置信水平的增加,将安全属性得分取平均的范围增大引起的;随着置信水平的增加,各攻击序列的发生概率大小的顺序不变,进一步说明置信水平的取值对最终一致性结论影响较小。
4 结论
本文提出了一种基于fahp和攻击树的信息系统安全评估方法,并通过实例进行了对比验证。首先,采用fahp进行各安全属性权值求解,降低了评估过程中的主观因素;其次,在各叶节点发生概率求解时,将各属性得分假定为区间变量,一定程度上降低了专家认知不确定带来的影响,进一步增加了各属性的信息量,提高了各叶节点发生概率的精度;最后,通过实例给出了对信息系统进行安全评估的典型方法步骤,找出了攻击者最可能采取的攻击方式,可为系统的安全防护体系构建提供技术支撑。
嵌入式Linux:内核模块引用计数的实现(附源代码)
特斯拉发布2021年Q1财报:总营收103.89亿美元
新材料在线梳理了超具发展潜力的100种新材料
2020年台北电脑展暂不延期 举办时间依旧为6月2-6日
NASA高分辨率日冕成像仪任务数据发现细小热磁场线
一种基于FAHP和攻击树的信息系统安全评估方法
后备式ups主要优缺点
溶解氧监测水质智能型传感器的工作原理
对于电网储能中几种储能电池化学成分的评估
带你认识无线遥控开关原理功能这里全都有
一文知道什么是漏极开路
智能语音电话机器人是什么,它的作用有哪些
重磅!荣耀V40新机发布 联手京东小魔方推“保值换新”套餐
浪潮AI服务器,屠榜刷新全球18项性能测试记录
10.1.8 相变存储器(PCRAM)∈《集成电路产业全书》
医疗器械赛道巨头攒动 腾讯云正面迎战百度、华为
USB4使用的几个要点
2025年中国将有6亿的5G连接并成为全球规模最大的5G市场
台积电以实力证明一切
三种高速乘法器实现原理
为进一步提高信息系统安全风险评估结果的准确性和可用性,降低主观因素的影响,以模糊层次分析法和攻击树模型为基础,对信息系统的安全风险进行评估。首先,采用攻击树模型描述系统可能遭受的攻击;其次,假定各叶节点具有不同的安全属性,采用模糊层次分析法求解各安全属性的权值,为降低专家评分的主观因素影响,假定各属性得分为区间变量,建立基于区间变量的属性概率发生模型。最后,采用实例进行分析验证,结果表明该方法不仅进一步降低了风险评估时主观因素的影响,且思路清晰,方法简单,具有较强的通用性和工程应用价值。
❖
0 引言
20世纪90年代末,schneier b首先提出攻击树概念[1],因其层次清晰、直观形象等特点,后被广泛用于系统安全威胁分析和风险建模[2-6]。但在定量分析方面,传统的攻击树建模存在不足,因而大量攻击树模型的改进方法被业界学者提出,用于提高网络安全风险评估的效果。张春明等[7]提出了基于攻击树的网络安全事件评估方法,为制订安全防护策略提供了有力支持。王作广等[8]基于攻击树和cvss对工业控制系统进行风险量化评估,但在根据cvss 3.0规范求解叶节点的概率时,并未对各节点的属性进行分析。李慧[9]、黄慧萍[10]、任丹丹[11]等采用攻击树模型分别对数传电台传输安全、工业控制系统、车载自组织网络进行威胁建模或安全风险评估,但在各安全属性计算上还存在不足。基于上述文献可知,采用攻击树模型进行系统安全风险分析时,主要存在两个方面的不足:一是如何对各安全属性进行准确分析;二是如何定量分析各叶节点的发生概率,降低主观因素的影响。鉴于此,本文采用模糊层析分析法(fuzzy analytic hierarchy process,fahp)对攻击树模型进行改进,首先赋予各叶节点特定的安全属性,然后基于评估对象的特点采用fahp计算各安全属性的权值,同时利用基于区间变量的属性概率发生模型求解各属性的发生概率,最后计算各叶节点的发生概率。该模型充分考虑攻守双方的博弈过程,能够更加准确、合理地评估系统所存在安全风险,可为后续安全防护策略的制定提供技术支撑。
1 攻击树模型
在攻击树模型中,根节点代表攻击目标;叶节点代表攻击过程中采用的各种攻击方法[12-13]。叶节点之间的关系包括:与(and)、或(or)和顺序与(sequence and,sand)3种[7]。采用fahp对攻击树模型进行改进,并将其用于系统安全风险分析,主要思路如图1所示。
2 基于fahp的攻击树模型改进
2.1 叶节点的指标量化
由于攻击的实现可能受多个因素的影响,为反映各因素对攻击事件的影响,给各叶节点赋予3个安全属性:实现攻击的难易程度(difficulty) 、实现攻击所需的攻击成本(cost)和攻击被发现的可能性(detection)。根据多属性效用理论,将以上3个属性转化为达成目标的效用值,进一步可计算叶节点的发生概率[8,12]:
在实际工程应用中,通常采用专家打分的方法对叶子节点各安全属性值进行赋值。分析之前可做如下假设:
2.2 安全属性权值
采用fahp对攻击成本、难易程度和攻击被发现的可能性这3个安全属性的权值wdif、wcos、wdet进行求解。根据该层各因素受攻击后对上一层因素造成的相对危害程度,来确定本层次各因素的相对重要性。本文采用0.1~0.9的标度,将相对重要性给予定量描述,比较尺度如表2所示[12]。根据表2确定每个属性的重要程度,并构造判断矩阵c[15]:
a与权重的差异度成反比,即a越大,权重的差异度越小;a越小,权重的差异大越大。当a=(n-1)/2时,权重的差异度越大。本文取a=(n-1)/2,rc为一个3阶矩阵,因此a=(n-1)/2=1,其中,n为模糊一致矩阵的阶数,得到wc=[0.383 4,0.333 3,0.283 3]。由此,可以得到udif=0.383 4、udet=0.333 3、ucos=0.283 3,利用式(1)最终求得叶节点的发生概率。
2.3 根节点的发生概率
计算根节点发生概率需首先确定攻击路径,攻击路径是一组叶节点的有序集合,完成这组攻击事件(叶节点)即可达成攻击目标。构造攻击路径的算法如下:
(1)假设g为攻击树的根节点,n为根节点的度。
(2)对可能的攻击路径ri=(x1,x2,…,xm),i={1,2,…,n}进行分析:对g所有的子节点进行搜寻,如果该子节点为叶节点mi,则确定其中一条可能的攻击路径,否则以各子节点为根,对下一级子节点进行搜寻,直至将所有可能的攻击路径确定为止。
(3)求解每一条攻击路径可能发生的概率:采用自底向上的方式,由子节点求解父节点发生的概率,具体可参考文献[7]和文献[17]。
假设安全事件有n种攻击路径,且攻击路径ri=(x1,x2,…,xm),i={1,2,…,n},其中xi表示各叶节点。则路径ri发生的概率为:p(ri)=p(x1)×p(x2)×…×p(xm),i={1,2,…,n},对比各攻击路径发生概率的计算结果,其数值大小可反映攻击者对攻击方式的选择倾向,应重点防御概率最大的攻击方式。
3 实例验证
本文采用文献[12]实例进行应用验证分析与对比。仍以某军事业务系统内部人员窃取文件资料为例建立攻击树模型,如图2所示,各节点含义如表3所示。具体步骤和典型的内部人员攻击手段可参考文献[12],本文不再赘述。
利用表1的评分标准,对此攻击树中各叶节点的安全属性值打分。为了更好地验证本文方法的有效性,此处采用文献[12]的评分结果,具体如表4所示。
假定表4中各叶节点的得分为得分区间值的中值,x的取值为评分等级最大值时,mid+αxmid,x=xmid-αxmid。不失一般性,取置信水平α=0.1,则进一步可得各安全属性得分区间值。根据式(3)和式(6)分别求解各属性的效用值及对应的权值,最后根据式(1),即可得各叶节点的发生概率,结果如图3所示。
由图3可知,本文方法与文献[12]中各叶节点发生概率的最大差异在于叶节点x8的发生概率,本文中p8(x8)=0.746 9,文献[12]中p8(x8)=0.929 0,产生该情况的主要原因是各安全属性权值不同,本文方法和文献[12]中各属性权值如表5所示。
在构造判断矩阵时,各属性的重要程度梯度较小,所求权值应当与重要程度相吻合,而文献[12]中各权值的取值差异较大,根本原因在于层次分析法主观性较强,而本文采用模糊层次分析法,一定程度上降低了主观因素的影响,进一步说明了本文方法的有效性。
根据2.3节中的攻击路径算法,列出所有可能的攻击序列:r1=(x1);r2=(x2);r3=(x3);r4=(x4);r5=(x5);r6=(x6);r7=(x7);r8=(x8,x9);r9=(x8,x10);r10=(x8,x11);r11=(x12)。
根据式p(ri)=p(x1)×p(x2)×…×p(xm),各攻击序列的发生概率如图4所示。
由图4可知,r11电磁泄漏发生概率最大,即攻击者极有可能利用电磁泄露等问题进行攻击;其次是内部人员窃取文件资料的攻击树模型中r5、r6、r7攻击序列发生的概率较大,也即攻击者很有可能利用系统自身的漏洞实现窃密行为。而与文献[12]的结论相比,攻击树模型中r5、r6、r7攻击序列发生的概率最大,其次是电磁泄漏发生概率,造成最终结论存在误差的根本原因是各安全属性权值不同,其原因与叶节点发生概率相同,此处不再赘述。基于上述分析,该军事业务系统需要针对攻击序列r5、r6、r7、r11采取相关的安全防护措施。
上述分析是在置信水平α=0.1时给出的分析结论,为了进一步研究不同置信水平对安全风险评估结果的影响,下面给出不同置信水平下各攻击序列的发生概率,具体如表6所示。
由表6可知,随着置信水平的增加,各攻击序列的发生概率呈递增的趋势,主要是由于随着置信水平的增加,将安全属性得分取平均的范围增大引起的;随着置信水平的增加,各攻击序列的发生概率大小的顺序不变,进一步说明置信水平的取值对最终一致性结论影响较小。
4 结论
本文提出了一种基于fahp和攻击树的信息系统安全评估方法,并通过实例进行了对比验证。首先,采用fahp进行各安全属性权值求解,降低了评估过程中的主观因素;其次,在各叶节点发生概率求解时,将各属性得分假定为区间变量,一定程度上降低了专家认知不确定带来的影响,进一步增加了各属性的信息量,提高了各叶节点发生概率的精度;最后,通过实例给出了对信息系统进行安全评估的典型方法步骤,找出了攻击者最可能采取的攻击方式,可为系统的安全防护体系构建提供技术支撑。
嵌入式Linux:内核模块引用计数的实现(附源代码)
特斯拉发布2021年Q1财报:总营收103.89亿美元
新材料在线梳理了超具发展潜力的100种新材料
2020年台北电脑展暂不延期 举办时间依旧为6月2-6日
NASA高分辨率日冕成像仪任务数据发现细小热磁场线
一种基于FAHP和攻击树的信息系统安全评估方法
后备式ups主要优缺点
溶解氧监测水质智能型传感器的工作原理
对于电网储能中几种储能电池化学成分的评估
带你认识无线遥控开关原理功能这里全都有
一文知道什么是漏极开路
智能语音电话机器人是什么,它的作用有哪些
重磅!荣耀V40新机发布 联手京东小魔方推“保值换新”套餐
浪潮AI服务器,屠榜刷新全球18项性能测试记录
10.1.8 相变存储器(PCRAM)∈《集成电路产业全书》
医疗器械赛道巨头攒动 腾讯云正面迎战百度、华为
USB4使用的几个要点
2025年中国将有6亿的5G连接并成为全球规模最大的5G市场
台积电以实力证明一切
三种高速乘法器实现原理