Professional Documents
Culture Documents
WD
WD
5卷 第9期 计 算 机 学 报 V
ol
.3
5No.
9
2
02年9月
1 C
HI
NES
EJO
URNA
LOFCOM
PUT
ERS Se
pt
.2
01
2
一种基于攻击图的安全威胁识别和分析方法
吴 迪 连
)
1,
2
一
)
,)
4
峰 陈
)
1
恺
,
3
中国科学院软件研究所 北京
(
)
)
刘玉岭 )
1 )
1,
2)
)
1 10
01
90
2)中国科学院研究生院 北京
( 10
00
4)
9
3(
)信息安全共性技术国家工程研究中心 北京
10
01
9)
0
)
4(信息网络安全公安部重点实验室(公安部第三研究所)上海
2
01
20
4)
摘 要 业务系统安全管理需要网络攻击图来评估系统整体安全性或态势, 同时又需要对那些可能严重危害系统
安全的脆弱性利用威胁进行重点分析和优先处置.现有安全威胁识别和分析方法无法兼顾这两个方面, 也无法处
理脆弱性利用威胁分析过程中的不确定性问题. 作者提出了一种安全威胁识别和分析方法. 利用颜色Pe
tr
i网
(
CP)
N定义网络攻击图,
并给出了网络攻击图生成N AGG算法,根据攻击模型分析结果生成网络攻击图;给出了
基于CN仿真的网络攻击图分解N
P AGD算法,可一次性分解出各脆弱性利用威胁对应的子攻击图,所述子攻击图
不存在循环路径且最长攻击路径不超过预设值.并给出了一种脆弱性利用威胁度评估V EE算法,
T 将子攻击图转
换为不确定性推理规则集,采用D
S证据推理计算各子攻 击图所对应安全威胁的威胁度,以确定安全威胁处置优
最后以一个典型W
先级. eb应用系统为例,验证了所述安全威胁识别和分析方法的有效性.
关键词 攻击模型;
网络攻击图;
子攻击图;颜色P
et
r网;
i 不确定性推理;
DS证据理论
中图法分类号TP3
93
犇犗号
犐1:0.
3
72/
4S
P.
J.
10
16
.2
01
2.
01
93
8
犃
犛犲
犮狌
狉
犻狋
狔犜
犺狉
犲
犪狋
狊犐
犱犲
狀
狋犻
犳
犻犮
犪
狋犻
狅狀
犪狀
犱犃狀
犪
犾狊
狔犻
狊犕犲
狋
犺狅
犱犅
犪狊
犲
犱狅狀
犃狋
狋犪
犮
犽犌狉
犪
狆犺
W
UDi1)
,
2),
4
)
L
IA
NYi
Fe
ng
1)
,
3)
C
HENK
ai
)
1 L
IUY
u
Li
n
g)
1,
2)
1(
) 犐
狀
狊狋
犻狋
狌
狋犲
狅犳犛
狅狋
犳狑
犪狉
犲,犆
犺犻
狀
犲狊
犲犃犮
犪犱
犲犿
狔狅犛
犳犮
犻犲
狀犮
犲,
狊犅犲
犻
犼犻
狀犵
10
01
9)
0
)
2(犌
狉犪
犱狌
犪狋
犲犝
狀犻
狏
犲狉
狊犻
狋
狔狅犳犆
犺犻
狀犲
狊
犲犃犮
犪犱
犲犿
狔狅犳犛
犮犻
犲
狀犮
犲,
狊犅犲
犻
犼犻
狀犵1
0
00
4)
9
)
3(犖
犪狋
犻
狅狀
犪犾
犈狀
犵犻
狀犲
犲狉
犻
狀犵犚
犲狊
犲犪
狉犮
犺犆犲
狀
狋犲
狉犳狅
狉犐
狀狅
犳狉
犿犪
狋犻
狅
狀犛犲
犮
狌狉
犻狋
狔,犅
犲
犻犻
犼狀
犵 1
00
19
0)
4)(
犓犲
狔犔
犪犫
狅狉
犪狋
狅
狉狔狅
犳犐狀
犳狅
狉犿
犪狋
犻
狅狀犖犲
狋狑
狅狉
犽犛
犲犮
狌狉
犻
狋狔狅
犳犕犻
狀
犻狊
狋
狉狔狅
犳犘狌
犫犾
犻
犮犛犲
犮
狌狉
犻狋
狔
(
犜犺
犲犜
犺犻
狉犱犚
犲
狊犲
犪狉
犮
犺犐狀
狊
狋犻
狋
狌狋
犲狅
犳犕犻
狀
犻狊
狋
狉狔狅
犳犘狌
犫
犾犻
犮犛
犲犮
狌
狉犻
狋)
狔,犛
犺犪
狀犺
犵犪
犻2
0
12
0)
4
犃
犫狊
狋狉
犪
犮狋
Bus
i
ne
sss
ys
t
em’
ss
ec
uri
t
yman
ae
gm
en
tne
ed
sto
as
se
ss
th
ess
yt
ems
ec
ur
it
ysi
t
ua
ti
on
b
yus
i
ngn
et
wo
rka
t
ta
ckr
a
gh
p.I
ta
ls
one
ed
st
oan
al
z
yet
he
th
re
at
se
xl
po
i
ti
ns
gec
ur
i
tyv
ul
ne
ra
bi
l
i
t
i
es
.Cu
rr
en
ts
ec
ur
i
tyt
hr
ea
ti
de
nt
if
i
ca
ti
o
nanda
na
l
ys
isme
th
od
sc
ann
o
tha
ndl
eth
eupe
r
ptwo
r
po
bl
em
sv
er
ywe
ll
at
th
es
ame
ti
me.
It
ca
nno
th
an
dl
eun
ce
rt
a
in
ti
e
soc
cu
r
re
di
n t
h
epr
oc
es
sof
vu
l
n
er
ab
i
li
t
yex
pl
o
it
i
ngt
hr
ea
ta
na
l
ys
i ,
sei
th
er
.Ase
cu
r
it
yth
re
a
tid
en
t
if
i
ca
t
io
nanda
na
l
ys
isme
t
hod
i
sro
ppo
se
di
nt
hi
s a
ppe
r.
The
ne
two
rka
t
tac
kra
gphi
sde
f
in
ed
vi
aCo
lo
r
edP
etr
iN
et(
CPN)
and
a
na
lo
gr
i
thmn
am
edNA
GGi
sr
po
pos
ed
toc
on
st
ru
c
tne
two
r
kat
t
ac
kgr
ah
pba
s
edon
th
es
imu
la
ti
on
r
e
su
lt
s.W
eal
s
ogi
vea
na
lo
gr
i
thmna
me
dNAGDt
osi
mu
lt
an
eo
us
ld
ye
com
pos
en
et
wor
kat
ta
c
k
r
ga
ph
in
tos
ev
er
a
lsu
b
at
t
ac
k
gr
a
phs,
ea
chc
or
re
so
pn
di
ngt
oase
pc
i
fi
cv
ul
ner
ab
i
li
t
yexl
po
i
ti
ng
t
hr
e
at.
Th
egr
ah
pi
sl
oo
p
fr
e
ean
dit
sl
on
ge
sta
t
ta
cka
pt
hi
sl
im
it
ed
toa
ce
rt
a
inr
pe
de
fi
ne
dva
lu
e.
I
no
rd
er
tor
pi
o
ri
t
iz
ea
ll
se
cu
ri
t
yth
re
at
sf
ord
is
po
s
a ,
lavu
ln
er
a
bi
l
it
yex
pl
o
it
i
ngth
re
a
teva
l
ua
ti
ng
收稿日期:
20
12
0
5
14最终修改稿收到日期:
; 20
12
0
7
11
.本课题得到国家“八六三”高技术研究发展计划项目基金(20
09
AA01Z
43
9,
2
01
1AA
01
A20
3)
、国家自然科学基金(6110
02
2)
6北京市自然科学基金(
、 4
12
20
85和信息网络安全公安部重点实验室(
) 公安部第三研究
所)
开放基金(C
10
606资助.
) 吴 迪,女,
197年生,
7 博士研究生,讲师,
主要研究方向为网络安全、 信息安全测评.E
m
ai
l:
wud
i_d
i
zi
@
1
63
.c
om连一峰,
. 男,
19
74年生,博士,副研究员,主要研究方向为网络与信息安全.陈 恺,男,
19
82年生,
博士,助理研究员,主要研究
方向为信息安全、软件漏洞分析与检测、 恶意代码分析与防范. 男,
刘玉岭,19
82年生,博士研究生,
主要研究方向为网络安全、绩效评估.
9期 吴 迪等:
一种基于攻击图的安全威胁识别和分析方法 1
93
9
m
et
ho
dna
me
dVET
Ei
si
gv
ent
oc
on
ve
rt
su
b
at
t
ac
kgr
ah
pi
nt
ou
nc
er
ta
i
ni
nf
er
en
c
eru
l
ese
t.
Th
is
m
et
ho
dus
e
sD
Sev
i
de
nc
ei
nf
e
re
nc
ee
ni
gn
eto
ca
lc
u
la
te
th
re
a
tde
r
ge
eof
ea
ch
th
re
at
co
rr
e
so
pn
di
ng
t
ot
he
su
b
at
t
ac
k
gr
a
ph.
Atl
a
s,
tat
yi
pc
a
lWeb
ap
pl
ic
a
ti
on
ss
yt
em
isu
se
da
sa
nex
aml
e
pto
va
li
d
a
tet
h
eef
f
ec
ti
v
en
es
so
ft
her
po
po
se
dme
th
od
.
犓犲狔狑狅
狉犱
狊 at
tackm od
el;n
et
workat t
ack r
a
gh
p;s
ub atta
ck
r
ga
ph;Col
oredPe
t
riN
et(CPN);
unce
rt
ai
n
tyre
asoni
ng;D
Sth
eo
ry
图生成算法只能生成网络攻击图[7,9]或者子攻击
1 引 言 图[1,10].
程中,
但在实际的脆弱性利用威胁识别和分析过
通常需要基于网络攻击图和安全属性识别出
业务系统不可避免地存在脆弱性, 因而使其面 所有影响业务系统安全性的脆弱性利用威胁, 再基
临各种脆弱性利用威胁. 从脆弱性利用角度剖析业 于子攻击图对所识别出的各脆弱性利用威胁进行深
务系统面临的安全威胁是一种有效的业务系统安全 入分析.
分析途径. 攻击图是一种广泛应用的脆弱性利用分析 近年来攻击图的研究工作主要集中在攻击图可
方法.它从攻击者角度出发, 基于系统网络配置和脆 视化11]和基于攻击图的安全分析
[ [
4,
1
2
1]
4上.文献[
11]
弱性信息, 分析脆弱性利用之间的依赖关系, 找出所 利用数据归约和攻击组合方法改善攻击图可视化方
有可能的攻击路径 ,[1
]
3 以便管理员采取必要措施抵 法, 更关注攻击图呈现问题, 不是完备的攻击图分析
御安全威胁, 以降低安全风险. 因此,
攻击图可为信息 方法. 文献[1
0]尝试基于网络攻击图裁剪出特定安
系统安全风险评估和绩效分析提供重要依据 . 全威胁所对应的子攻击图时,
[
4
5] 发现了网络攻击图中
按攻击图中节点和边表示的含义不同, 本文将 的循环攻击路径问题, 但并未给出有效去除循环攻
攻击图分为状态攻击图和因果关系图. 状态攻击 击路径的方法. 文献[12]给出从网络攻击图求取所
图 中的节点表示目标网络和攻击者的全局状 有狀
[
1,
6]
有效路径的后向迭代算法, 一次只能生成一个
态,有向边表示单一攻击行为引起的状态转换. 状态 与特定安全威胁相关的子攻击图. 文献[ 1
5
1]
6给出
攻击图由于存在状态空间爆炸问题, 不适用于大规 了基于P e
t
ri网的组合攻击模型, 但并未给出创建
模系统的安全性分析; 因果关系图 中,
[
7
9] 节点表示 P etri 网攻击模型的方法. 文献[
17应用贝叶斯网络
]
系统条件 属性
( )和原子攻击, 有向边表示节点间的因 评估网络脆弱性, 提出了量化评估计算方法, 但无法
果关系. 因果关系图克服了状态攻击图的状态组合爆 克服贝叶斯网计算过程中大量先验概率的获取问题.
炸问题, 具有更好的可扩展性, 能用于大规模网络安 文献 [
4 考虑攻击图中各个节点由于在攻击路径中所
]
全性分析. 目前的攻击图 大都属于因果关系图. 处位置不同而具有不同的重要性,
[7
10] 基于P a
ge
Ra
nk思
依据攻击图中攻击路径覆盖范围, 本文将攻击 想将状态攻击图转换为M ar
kv链,
o 来计算攻击图
图分为网络攻击图和子攻击图. 网络攻击图展示业 中各个节点的重要度, 但仍未解决状态攻击图组合
务系统中所有可能攻击路径, 子攻击图只展示与特 爆炸问题.
定安全威胁相关的攻击路径. 网络攻击图适用于识 在基于子攻击图分析特定脆弱性利用威胁的过
别系统中各种可能影响到业务系统安全属性的脆弱 程中, 往往需要处理大量的不确定性信息, 这些不确
性利用威胁, 有助于评估业务系统整体安全性或态 定性主要表现在模糊性和不一致性. 传统基于概率
势,但网络攻击图 往往非常庞大,
[
7,
9] 不适合对某一 的信息系统安全分析方法无法有效解决模糊性问
特定脆弱性利用威胁的分析; 子攻击图[1,10]适于对 题[4,1718].
基于DS证据理论的脆弱性利用威胁分
特定脆弱性利用威胁进行有针对性的分析和处置. 析方法可以有效处理信息安全分析过程中的不确定
在具体安全分析场景中, 鉴于系统业务重要性的不 性. 文献[ 1
9使用D
] S证据理论来处理网络风险评
同及资源有限和成本等因素影响, 往往需要进一步 估中的不确定性, 利用D S组合方法对风险评估指
分析所识别出的各种脆弱性利用威胁, 生成各脆弱 标相关的安全因子进行融合.
DS证据理论因其在
性利用威胁所对应的子攻击图, 确定脆弱性利用威 不确定信息表达和合成方面的明显优势, 近年来广
胁的优先处置顺序, 以合理分配安全资源. 以往攻击 泛应用于数据融合 , [
1
4,1
9]但在脆弱性利用威胁分析
1
94
0 计 算 机 学 报 2
02年
1
方面的应用尚处于探索阶段. 图1所述原子攻击其实是一个C PN网结构, 其
本文旨在基于网络攻击图识别业务系统中各脆 中,用来表示原子攻击前提条件和后果的椭圆形节
弱性利用威胁,并通过对网络攻击图进行分解以得 点等同于C PN网结构中的库所; 用来表示原子攻击
到各脆弱性利用威胁所对应的子攻击图, 并评估各 动作本身的矩形节点等同于C P N网结构中的变迁.
脆弱性利用威胁度,以便对各脆弱性利用威胁进行 下面基于C PN给出原子攻击形式化定义.
优先级排序和处置.本文采用文献[20中的攻击模
] 定义1. 原子攻击犃 犃犌是一个C PN网结构,
型建模方法构建业务系统攻击模型, 并基于攻击模 记为犃 犃犌=〈
犘犃狅,
狋,
犘 犱〉
犃 ,其中, 犘狅为
犃 所定义原子
型分析结果构建基于颜色P e
tr网
iC(PN的网络攻
) 攻击的输入库所集合, 每个库所代表一个攻击前提
击图,然后将网络攻击图进行分解,可一次性得到各 条件, 它可定义为攻击者在源主机或目标主机上的
脆弱性利用威胁所对应的子攻击图, 并采用不确定 初始权限、 源主机到目标主机的攻击可达性、 脆弱性
性DS证据推理方法,
将安全威胁所对应的子攻击 所依赖服务的可用性及脆弱性存在性; 狋为变迁, 它
图转换为不确定性DS推理规则集,采用DS推理
表示原子攻击的一个脆弱性利用行为; 犘犃犱为原子
引擎计算各脆弱性利用威胁的威胁度. 最后以一个 攻击的影响库所集合, 其中每个库所记录该原子攻
典型Web系统为例,
验证了本文所述安全威胁识别 击成功实施后的效果.
和分析方法的有效性. 图2为一个具体的原子攻击实例, 假设攻击者
要从其所控制的主机1利用主机2上的 I
ISW b服
e
安全威胁识别
2 务中的一个缓冲区溢出漏洞(
必须满足以下4个条件:
C
VE
200
2
攻击者在源主机H
036
4)
,则
(
1) 1的
2.
1 网络攻击图定义和生成算法 权限至少为U s
e
r 记为椭圆U
( _h
1);(
2)主机1可以
为叙述方便,
本文称单次脆弱性利用攻击为原 访问主机2的H TTP服务( 记为椭圆h t
tp_h_h
12);
子攻击.如图1所示,原子攻击包括三类要素,即原 (
3)主机2上的 IIS
5.0W b服务正在运行(
e 记为椭
子攻击成功实施所依赖的前提条件、 原子攻击动作 圆I
I _
Sh )
;()主机
24 2 I 上 的IS 5
.0服 务存在 一个编
本身以及攻击后果.其中,原子攻击前提条件包括攻 号为C VE
20
02
03
64的缓冲区溢出漏洞( 记为椭圆
击者权限、攻击可达性、服务活跃性和脆弱性存在 v
36
4_h2).
性.攻击者权限指攻击者在源主机和目标主机上获
得的权限级别,包括Non
e、
Us
er和Ro
ot权限;
攻击
可达性指攻击者从源主机发起的原子攻击能否抵达
目标主机;服务活跃性指原子攻击成功实施所依赖
的服务是否在目标主机上运行; 脆弱性存在性指攻
击所利用的脆弱性在目标主机的服务中是否存在.
在实际攻击中,只有满足这些前提条件的原子攻击
才可能成功实施.原子攻击成功实施的结果主要表
现为攻击者能力的提升,比如攻击者获得了目标主 图2
原子攻击实例
机上的use
r或ro
o
t权限.
只有当以上4个条件都满足时, 攻击者才可能
成功的从H1上发起对H 2上I
ISWb服务的攻击
e
(记为矩形v3
6_h
41_h
2)攻击结果是,
, 攻击者可能
获得了H2上的Ro
ot权限(记为椭圆R _h)
2.
本文采用文献[2]
0中的攻击建模方法构建攻击
模型,所创建的攻击模型为一个C PN系统. 所述攻
击模型基于攻击能力增长假设. 定理证明: 该攻击模
型所对应CPN系统在有限步仿真后一定进入死状
态,并且有且仅有一个死状态, 且在CP N系统进入
图1
原子攻击 死状态时,S
uc
ce
ss
Exl
o
pi
tLi
s
t库所包含了攻击者成
9期 吴 迪等:
一种基于攻击图的安全威胁识别和分析方法 1
94
1
功执行的所有脆弱性利用动作.由于可以采用C PN 6 . c
ve
e
n t
r
y(
vi
d,
s,
t
sn,
mm
t,
v,
to
r,
d,
rr
r)
=
仿真方法代替复杂度较高的可达图分析方法, 因此, (
sea
r
chC
VED
B(C
VED,
Bv
i
d))
;
所述攻击模型分析方法具有较好扩展性, 非常适合 7. a
t
omi
c_m
od
el
=
大规模网络的攻击建模. C
on
str
uc
tA
to
mi
cE
xl
po
i
tMo
du
l
e(
se
l,
c
vee
n
tr
y);
CN攻击模型仿真结束后,
P 融合库所S u
cce
s 8
s . 犃
犌=
中保存有本次攻击过程中所有可能成功 9 Ap
pe
ndA
tom
i
cMo
du
l
et
oC
PN(
犃犌,
a
to
mi
c_m
od
e)
l;
E
xl
po
it
Li
s
t .e
nd
执行的脆弱性利用攻击动作.
根据定义1可知, 每个 1 0.
r
et
u
rn犃
犌 .
脆弱性利用动作可用原子攻击C PN模型表示. 当各 算法1给出了基于C N攻击模型中融合库所
P
原子攻击建模结束后, 可以根据各原子攻击之间依赖 S ucce
ssE
xplo
it
Lis
t to
ken值的网络攻击图生成
关系构建网络攻击图. 下面给出网络攻击图的定义. ( N AGG)算法. 算法第1行和第2行将初始攻击图
定义2 . 网络攻击图犃 犌是一个C N网结 犃
P 犌 置为空 ,调用 Mak
epl
ae过程创建一个表示攻
c
构, 记为犃 犌 〈
=犘 0∪犘 ,
犱犜 0∪犜 ,
犱犈 〉,其中 ,初始 库 击者拥有h 0主机上r o
ot权限的库所, 并加入到初始
所集合犘 0中每 个 库 所代 表 网络 和 攻 击者 的 初始 状 攻击图犃 犌中. 第3行到第9行为一个循环, 它为
态, 表示原子攻击成功实施的前提条件; 可达库所集 S ucce
ssE
xplo
it
Lis
t 中记录的每个脆弱性利用动作
合犘 犱中 每个库所代表网络和攻击者的可达状态, 它 sel构造原子攻击C PN网结构, 然后追加到当前攻
记录原子攻击成功实施后的效果; 犜 0为 独立型变迁 击图犃 犌中. 其中, 第5行对s el进行分解;第6行根
集合, 对于犜 0中 各变迁, 其输入库所包含在初始库 据脆弱性利用漏洞编号检索C VEDB 库,
数据 得到
所集合犘 0中,因 此 ,犜
0 中各 变迁 所 代 表的 原 子攻 击 该脆弱性对应C V E条目c ve
en
try第7行利用s
; e
l
的实施不依赖于其它原子攻击; 犜犱为 依赖 型变迁 集 和cve
ent
ry输入数据, 根据原子攻击的C PN网结
合, 对于犜 犱 中各 变 迁,其 输 入库 所 集 合中 至 少有 一 构(如图5所示) 构造相应的C PN模块;第8行将构
个库所属于可达库所集合犘 犱,因 此, 成功 实施 犜犱中 造的原子攻击C PN模块追加到当前攻击图犃 犌中;
各变迁所代表的原子攻击必须依赖于其它原子攻 第1 0 行返 回 生成 的网 络攻击图 犃犌.
击;犈为连接C PN攻击图中库所和变迁的有向弧. 为确保网络攻击图犃 犌中脆弱 性利用的前提条
网络攻击图犃 犌满足如下约束: ①攻击图犃 犌中的 件和后果所对应库所及原子攻击所对应变迁的唯一
有向弧只能连接库所和变迁, 或者连接变迁和库所, 性, NAGG算法对脆弱性利用相关库所和变迁进行
即犈 犘 (
( 0∪犘 )
犱 ×犜( 0∪ 犜 ))
犱 ∪犜 (
( 0∪ 犜 )
犱× 规 范命名.N AGG算法采用如下规范命名规则来命
(
犘 0∪ 犘 )
);
犱 ② 对 于 独立 型变 迁集 合犜0中 任 一元素狋 , 名 各库 所和 变迁 :
狉
狆犲 (
狋)表示该变迁的输入库所集合, 狆狅狊
狋(狋)表示该 (
1)前提条件“ 攻击者权限” 包括攻击者在源
(
变迁的输出库所集合, 则(狆狉犲(
狋)犘 0)∧(狆狅
狊狋(
狋) 主机和目标主机上具有的权限) ,表示为“权限级别
犘犱);③对 于 依赖 型 变迁 集合犜 犱中 任一元素 ,
狋狆狉
犲(
狋)( 主机编号) ”
,其对应库所命名为“ 权限级别_主机” .
表示该变迁的输入库所集合, 狆狅狊
狋(狋)表示该变迁 如, 在构造攻击图时,攻击者在h 1上具有的权限
的输出库所集合, 则( 狆∈ 狆狉犲(
狋 ):狆∈犘 犱)∧ U s
e (
rh1)所 对应 的 库所名 为 _
Uh1 .
(
狆狅狊狋()
狋 犘 )
犱. (
2)前 提 条件 “攻击 可达性 ”表
, 示为“协议(源
算法1 . 网络攻击图生成算法( NAGG). 主机, 目标主机) ”,此前提条件对应库所命名为“ 协
输入:CPN攻击模型中记录着所有成功的脆弱性利用 议 _源主机_目标主机” .如,在构造攻击图时, 主机
动作列表的融合库所S ucce
s
sExpl
oi
tLi
s
t 值;根 1和h
h 2之间h ttp协议的可达性h t
t
p (
h
1,h
2)对应
据C VE定义的脆弱性利用信息数据库C VED
B ; 库所名为h tt _
ph1h_2.
攻击者在主机h o
s0上所需拥有的初始权限
t (
3)前 提 条件 “服 务活跃性” ,表示为“服务名
Roo
t,记为t o
ken“
roo
t(
host
0)” (主机名) ”
, 对应库所命名为“ 服务名_主机名” .如,
输出:网络攻击图犃 犌=〈犘0∪犘犱,
犜0∪犜犱,犈〉 在构造攻击图时, 主机h 1上的IIS服务II
S50(
h1)
1 犘
.0= {
Mar
kepl
ac
e(r
oo
t(ho
s
t0))}
,犘犱= ,
犜0=, 所 对应的库所名为 _h
犜犱= ,
犈 =; IIS
50 1.
2 犃
.犌=〈 犘
0∪犘 犱,
犜0∪犜犱,
犈〉 (
4)前 提 条件 “漏洞存 在性”,表示为“漏洞编号
3 .
fo
reac
hse
li nS
uc
ces
sExl
o
pi
tLi
st (主机名) ”
, 相应库所命名为“ 漏洞编号_主机名” .
4 .
bei
gn (
5)对 于 脆弱 性 利用 后果,本文 仅指攻 击者 获
5 . s
el(
s,
ndn,v
i)
d=sl
pi
t(s
e
l); 得的权限, 因此, 其命名方法和对应库所命名方法与
1
94
2 计 算 机 学 报 2
02年
1
前提条件“攻击者权限”相同. 定义5 . 子攻击图. 某脆弱性利用威胁犛 犚=
(6某一脆弱性利用动作表示为“
) 漏洞编号(源 〈
犘 所对应的子攻击图为满足下述条件的网络攻
犆〉
主机,目标主机)
”,其相应变迁命名为“
漏洞编号_源 击图犃犌 =〈犘 0∪犘犱,
犜0∪犜犱,
犈 〉
,记犃犌的所有攻
主机_目标主机”
.如在构造攻击图时,脆弱性利用动 击路径集合为犘 犃犜 :(
犎犃犌 1)不存在 循环 路径,即对
作CVE3
6(
4h
1,
h)
2对应的变迁名称为v
36
4_h
1_h
2. 狆
(狋
1,
狋,
2…,狋犾)犘
∈ 犃
犜 有
犎犃犌,犘狅狊
狋(
狋
犻)∩
犻
(
-
∪1
犘狉
犲(
犽 )
)=
犽=1
网络攻击图分解算法
3 ,
2犻 犾犽; (
2)任意攻击路径长度不超过指定
常数犖 (
犖 1),即狆(
狋1,
狋2,…,
狋犾)∈犘 犃犜
犎 犌,
犃
算法1所示网络攻击图生成N A
GG算法所构 犔
犲狀(
狆) 犖;(3)任一攻击路径抵达的目标必然为脆
造的网络攻击图犃 犌包含了系统所有可能的攻击路 弱性利用威胁犛 犚中的节点, 即狆(
狋1,
狋2,…,
狋犾)∈
径,以及攻击者所有可能获得的攻击权限. 为了对特 犘犃
犜犎 犌,
犃 犔犲狀(狆)犖,
犘狅狊
狋(
狋犾)
∩犘犆≠ .
定脆弱性利用威胁进行重点分析和优先处置, 需要 算法2为N A GD算法 其
, 中,代码 第1到第7
基于各脆弱性利用威胁, 对网络攻击图进行分解, 以 行将网络攻击图所对应的C PN网结构转换为可仿
获得各安全威胁对应的子攻击图. 子攻击图包含了 真CPN系统; 代码第8行对转换后的C PN系统进
攻击者从初始节点出发抵达指定威胁目标的所有可 行仿真,仿真必然在有限步停止; 代码第9到1 5行
能攻击路径. 这里给出一个基于C N的网络攻击图
P 根据仿真结束后各脆弱性利用威胁相关库所记录的
分解算法, 可一次性分解出各脆弱性利用威胁所对 攻击路径列表对网络攻击图进行分解, 得到各威胁
应的子攻击图, 所述子攻击图不存在循环路径且最 对应的子攻击图. NAGD算法可在只执行一次网络
长攻击路径不超过预设值. 攻击图相关定义和网络 攻击图转换和C PN系统仿真前提下, 一次性得到各
攻击图分解算法如下. 脆弱性利用威胁所对应的子攻击图.
3.
1 网络攻击图分解算法和相关定义 算法2 . 网络攻击图分解算法( NAGD )
.
输入:需分解的C PN网络攻击图犃 犌 =〈犘0∪犘犱,犜
0∪
定义3 . 攻击路径. 设犘犪
狋犺狋
= 狋
1→2→…→ 狋狀 犜 犱,犈〉;脆弱性利用威胁列表{ 〈
犘 犮〉
犻 }
犻
=1狀;
.
. 子攻
是给定网络攻击图犃 犌中的一个变迁序列, 其中 击图中允许的最大攻击路径长度犖
狋
犻(
1犻狀)为变迁, 它代表一个原子攻击, 则称满足 输出:〈犘 犮〉
犻 中各威胁相关子攻击图犃 犌犛犻= 〈
犘′
0∪犘犱,
′
下面约束条件的变迁序列为攻击路径: ①变迁 狋1为 犜′0∪犜犱,
′ 犈′〉的列表{ 犃犌犛犻}
犻=
1.狀,
. 其中每条攻击
独立型变迁; ②变迁 狋狀的输出库所集合犘狅
狋狊(
狋
狋狀)与 路径长度不大于犖
关键节点集合犘的交集不为空; ③变迁序列中前驱 1 .犘′0= , 犘′
犱=, 犜′
0= ,犜′
犱= , 犈=;
′
变迁的输出库所为后继变迁的输入库所. 攻击路径 .犃
2 犌′ 〈
=犘′0∪犘′,
犱犜′0∪ 犜
′ ,
犱犈′ 〉
;
长度为攻击路径所对应的变迁序列长度. 3
.fore a
ch狋 i
n 犜0∪犜 犱dobe
gin
.
4 犃 犃犌= Ob
ta
inA AG(
狋 );
定义4 . 脆弱性利用威胁定义为犛 犚犻=〈犘犻〉
犆, 5
. 犃 犃犌
′ =AAGtoC PN(犃犃犌,
犖 );
其中犘 犻为
犆 攻 击者在某关键节点上所获得的危害业 6
. 犃
p 犌
′= A pe
ndCP NM o
de
l(犃犃犌
′ ,
犃 犌
′);
务系统安全的权限集合, 脆弱性利用威胁所对应的 7
.end
子攻击图只包含了从初始节点出发抵达集合犘 犻中
犆 8
.CP N S
imula
te(
犃犌′ );
各元素所示权限的攻击路径. 本文所指威胁除特别 9
.for犻 =1 to狀dob ei
gn
说明外, 均为脆弱性利用威胁. 1
0. Val
idTra
nsS
et=
网络攻击图分解需要解决两个问题: ()
1循环 Obtai
nt
ran
siti
onSe
tf
romPc(犃犌′,
犘犮)
犻 ;
攻击路径问题; (
2)超长攻击路径问题.根据攻击者 1
1. 犃 犌犛犻= 犃犌;
能力单调增长特性可知, 实际攻击过程中攻击者没 1
2. for e
ach狋in犜 0∪犜 犱dobe
gi
n
1
3. I
f (
狋 V
al
idTrans
S e
t)
有必要重复获取已获得的攻击能力, 因此循环攻击 thenRemo
v et
ra
n s
i
ti
onf
romCP N(
犃犌犛犻,
狋)
路径没有实际意义, 并且循环攻击路径的存在会增 1
4. en d
加子攻击图分析复杂度. 根据以往对黑客攻击事件 1
5.e
nd
的研究显示, 实际网络攻击场景中, 并不存在超长的 1
6.r
eturn{犃犌犛犻}
犻=1.
.狀.
攻击路径 .
[1
2] 这里首先给出子攻击图定义, 然后给 在算法2所示的N A GD算法中, 函数A AG
出一个可以消除循环攻击路径和限制攻击路径长度 t oC
PN将 原 子攻 击犃 犃犌 〈
=犘 犃 ,
0狋,犘 犃
犱〉 转换 为 可仿
的网络攻击图分解( NAG
D 算法.
) 真CN子模块犃
P 犃犌′ ,它是N A GD算法实现的关
9期 吴 迪等:
一种基于攻击图的安全威胁识别和分析方法 1
94
3
键步骤.该函数所用到的颜色类型定义见表1 函数 解为攻击路径和攻击能力列表的脚本表达式;
. 代码
AA
Gt
oCPN伪代码如算法3所示,其中,代码1~4 第9~11行为(
狋×犘犱)
犃 中各输出弧附上可将变迁狋
行为犘犃
0中各输 入库所指定颜色类型APT并
,为属 所代表 的脆弱性利用行为追 加到当前攻击路径中以
,
于初始库所集合犘 0的各输入库所建立一个攻击路 及将变迁犜输出结果所代表的攻击者能力追加到当
径和攻击者能力列表都为空的t o
ke
n;代码第5行 前攻击者能力列表中的弧表达式; 代码第12行创建
为输出库所犘犃犱中各库所指定颜色类型APT代码 颜色类型为A
; L的库所犘
P 它记录了所有经过变迁
犺,
68行将(
~ 犘0×
犃 )
狋中各输入弧改为双向弧,以避免 狋 的攻击路径的列表,以防止仿真过程中变迁 狋的同
变迁狋与其它变 迁在输入库所代表的攻击条件上形 一绑定 被重复触发代
;码 第14行为变迁添 加
狋 gua
r
d
成竞争;同时为双向弧附上可将APT类型to
kn分 函数,
e 以去除攻击图中的循环路径和超长路径.
表1
函数犃
犃犌
狋狅
犆犖中用到的颜色类型定义说明列表
犘
序号 颜色类型名称 定义 记录内容
1 AP c
o
ls
etA
P=l
i
stS
TR
ING 脆弱性利用过程中已经成功执行的原子攻击序列
2 AT c
o
ls
etA
T=l
i
stS
TRI
NG 脆弱性利用过程中攻击者获得的能力或权限列表
3 AP
T c
o
ls
et
APT=
pr
od
uc
tAP
AT 包括AP和AT两部分
4 AP
L A
PL:
co
ls
et
APL=
li
s
tAP 经过各变迁的攻击路径的列表
算法3
. A
AGt
oC
PN函数伪代码. v
2_0
_3所代表的脆弱性利用行为追加到当前攻击路
输入:
网络攻击图犃 犌=〈犘0∪犘犱,
犜0∪犜犱,
犈〉
;需转 径中,同时将变迁v_0
2 _3成功执行后所获得的攻击
化的原子攻击图犃 犃犌 〈
=犘犃 ,
0狋,
犘犃
犱〉 权限(获得了ho
s3上的r
t o
ot权限)追加到当前攻击
输出:
犃犃犌相应的被转化的C N子模块犃
P 犃
犌′ 者能力列表中;创建一个颜色类型为A PL的历史库
1
.Fo
re
ac
h狆in犘狅d
犃 o 所PH,分别创建从PH到v2_0
_3和从v_0
2 _3到P H
2
. A
tt
ac
hC
ol
or
Tye
p(,
狆犃
犘 犜)
; 的有向 弧并
,分别附加 弧表达 式“ 和
”“ [
3
. i
f狆∈犘t
henA
tt
ac
hEmpt
yTok
e(
n狆) lp
p lp
! ! 1,
]”
4
.En
dfo
r
0
以记录经过变迁T的所有攻击路径的列表.
5
.Fo
rea
c
h狆 n犘
i 犪犱doA t
ta
chCol
orT(
狆,
犃犘
犜 );
En
dfo
r
6
.Fore
a
ch犲i
犻n(犘 0×
犃 狋)do
7
. 犲犻=Ma
keDu
ralAr
c (
犲)
犻,
犲犻∈(
犘 0×
犃 狋)
!犲犻∈ (
狋×犘犃0)
;
At
t
ach
Sl
pi
tAP TExp(
r犲)
犻
8
.Endf
or
.
9Fo
rea
c
h 犲
犻n(
i 狋× 犘犃犱)(
狋×犘 犱)
犃 d
o
1
0.
Att
a
chA
rcEx
pres
sion(
犲犻,
犕 犽
犈 狓狉
狆(
犘狉
犲(
犲)
犻,
犘狅狊
狋 (
犲犻)
))
1
1.
En
dfo
r
1
2犘
.犺=Ma
ke
Hist
oryP
lace(
犃 犘犜);
1
3.
At
ta
ch
Gur
ad(
狋);
1
4.
re
t
ur犃
n犃犌.
图3为一个利用A A
GtoCPN函数将与变迁
v_
203_ 相 关 的原子 攻击网结 构 转换为可执行C PN
子模块实例. 其中, 设置输入库所R _0,d
ns _0
_3,
b
nd_h3和v 2 _h
3的颜色类型为A PT ;设置输出库
所R _3的颜色类型为A PT;分别为4个输入库所
_
R0d,ns_ _
03b,n _
dh 和
3v _
2h 3附加初始t ok n值
e 图3
“(
[],[])”;将从输入库所到变迁v 2_0_3的4个输 利用A
AGt
oC
PN函数转换原子攻击例子
入弧设置为双向弧, 并定义弧表达式为( 狆,
犻狋)
犻 以表
; 图3中, 为变迁v2_0_3设置gua
rd函数
达式“ (p1!! [
“v
2_0_3
”]
,t
1!! [
“_3
R ”])”标识从变 “
g (
“_
dR3p”
,1,
t ,
1p
l)
”,以限定变迁203所代表
v_ _
迁v _ _
203 R3到 库所 _ 的输出 弧(表达 式 中 的!! 为 原子攻击的执行条件, 限定条件为3个条件的与:
CPN语言中l it元素追加运算符)
s ,从而将变迁 ①该变迁的执行不会导致循环攻击路径; ②该变迁
1
94
4 计 算 机 学 报 2
02年
1
的执行不会获取到重复的攻击权限; ③该变迁所在 态时, 各威胁节点对应库所t ok
en值包含了攻击者
攻击路径长度不超过指定值. 抵达脆弱性利用威胁节点的所有无环和最大长度不
3.
2 犖犃犌犇算法复杂度分析 超过犖的攻击路径集合.
NA GD 算法 包 括 转 换、 仿真 和 裁剪 3 个 步 骤 , 定理2证明与文献[ 20]中的定理1证明类似,
其算法复杂度主要由第8行的C PN系统仿真复杂 首先证明可采用C PN系统仿真代替C PN可达图分
度决定, 因此, 这里只分析C PN系统的仿真复杂度. 析法, 然后基于本文定理1可得定理2结论. 由于篇
为说明N A GD算法的正确性和有效性, 这里给出两 幅所限, 定理2证明过程从略.
个定理.
定理1 . NA GD算法中, 由网络攻击图转换而 4 脆弱性利用威胁度评估
来的C P N 系统 仿真 复 杂 度 为 (
犗犿犽 (t
o犽
u
t o
pu
t)犖),其
中,犿 为 网 络攻 击图 中 的 独 立 型变 迁 数量 ;
犽 po
u
t为库 本文采用D S证据不确定性推理方法评估各
所最大输出度; 犽t
ou
t为变迁最大输出度; 犖为子攻击 脆弱性利用威胁的威胁度. 这里首先给出脆弱性利
图中允许的攻击路径最大长度. 用威胁度和D S证据推理相关定义,
然后给出脆弱
证明. 采用数学归纳法证明. 假设网络攻击图 性利用威胁度评估V ETE算法.
所对应的C PN网结构中, 各库所犪 犻输出度最大为 定义6 . 脆弱性利用威胁度为从指定脆弱性
犽
po
u
t;各 变 迁 犜
犻输 出 度 最 大 为犽to
ut;网络攻 击 图中 存 利用威胁的子攻击图犃 犃 犌到区间[ 0,1]的映射犳 :
在犿个独立型变迁. 假设子攻击图中允许出现的最 犃 犃犌→[ 0,1],用来综合评估攻击者达到脆弱性利
大攻击路径长度为1 ,则只有犿个独立型变迁能被 用目标的成功率, 攻击者达到脆弱性利用目标成功
触发, 因此, CPN系统在犿步仿真后停止, 这犿个 率越大, 脆弱性利用威胁度越大, 反之越小.
独立型变迁将最多向犿 犽 t
o
ut个库所输出t oken;假设 定义7 . 具有不确定性的推理规则可表示为
子攻击图中允许出现的最大攻击路径长度为2 ,则 IF犈t h
en犎, 犆犉 ;其中犎为假设 ,表示为犎=
由第1步攻击所得到的最多犿 犽to
u 个
t to
ken 将 可 能 {
犪1,犪2,…,犪犿}
,犪犻∈Ω;犈为支持犎成立的假设集,
触发最多犿 犽
to
u犽
tpo
ut个 变 迁 ,这 些 变 迁 将 向 最 多 它们是命题的逻辑组合, 犆犉为可信度因子, 犆犉=
犿
犽2
to
u犽
tpo
ut个 库所 输 出 t
oken 假
; 设 子 攻击 图 中 允 许 {
犮1,
犮2,…,犮犿},
犮犻用来描述前提犈成立时 犪犻的 可信
出现的最大攻击路径长度为3 ,则第3步可能触发 度, 且犮 犻满 足 如 下 条 件:( )
1犮 犻 ,
01 犻 犿;
的变迁数最多为犿 犽2 犽2 个; 利用归纳法可知, 在 () 犿
to
utpo
ut
子攻击图中允许出现的最大攻击路径长度为犖的 犻 2 ∑=
犮
1
犻1.
情况下, 第犖步攻击可能触发的变迁数最多为 定义8 . 不确定性传递. 对于不确定性规则I F
犿
犽t
犖
o
ut犽
-1犖
p 个
t .
-
o
u
1 因 此 ,在连 续 犖 步 攻 击中 ,CPN 系 统 犈then犎犆, , 定
犉 犿犪 义 (
{ }
)
犻 = (
犳犈犮 ) (
犻犪 犻=1,
仿真所触发的变迁数最多为( 犿+犿 犽 犽 t+ 犿
犿
犽2
to
u犽
t
2
po
ut+…+犿 犽犖
t
ot犽
-
u
1 犖
p
-
o
ut)
1 =犿( 犽
犖
t
ou
t犽
t
o
犖
p
u
t
o
ut-
o
pu
1)/ 2,
… ,犿),并 规定 :① 犿(Ω)=1- ∑
犻
=1
犿( {
犪犻});②对
(
犽t
ou
t犽o
pu
t-1 )
.因此, 由网络攻击图转换而来的C P N 于Ω的所有其它子集犎, 均有犿 (犎) =0.
系统仿真复杂度为犗 (犿(犽t
ou
t犽o
pu
t))
犖 . 证毕. 定 义 9. 不 确 定性 组 合.当规 则 的 前提( 证据)
在网络攻击图中, 独立型变迁数犿一般为较小 犈是多个命题的合取或析取时, 定义:
值,变迁最大输出度犽 t
o
ut和 库所最大输出度犽 o
pt为 犳
u (
犈1∧犈2∧ …∧犈狀)=min(
犳 (
犈1),
犳(犈2 )
,…,犳(犈狀)
),
较小常数; 最大攻击路径犖一般长度为3或4 综上 犳
. (
犈1∨犈2∨ …∨犈狀)=max(犳(
犈1),
犳 (
犈 2)
,…,犳(犈狀)
).
所述, 算法2所示的网络攻击图分解N AGD算法计 当有狀条规则支持同一结论时, 即如果犎=
算复杂度与文献[ 12]中求取犖 有效攻击路径计算 { 犪1,犪2,…,犪犿}
, 则
方法相比复杂度更小, 且本文所述N A
GD算法可一 I F犈 犻t
hen犎, 犆犉(
犻犆犉犻={犆1,
犻 犆2,
犻 …,犆犻犿}),
次性求出各脆弱性利用威胁所对应的子攻击图, 比 1犻狀.
文献[ 1
2 ]中所述一次只能求取一个关键节点集合的 如 果 这些 规 则相 互 独立 的支持结论犎成立, 则
N 有效攻击路径灵活性更好. 可以先计算
定理2 . NA GD算法中, 由网络攻击图所对应 犿 (
犻{犪1},{
犪2}
, …,{
犪犿})=
的CP N网结构转换而来的C PN系统在有限步仿真 ( 犳 (
犈犻)犆
犻1,
犳 (
犈犻)犆2,
犻 …,犳(
犈犻)犆犻犿),
1 犻狀,
后一定进入死状态, 且有且仅有一个死状态; 在死状 犿 (
犻{犪1},{
犪2}
, …,{
犪犿})=
9期 吴 迪等: 一种基于攻击图的安全威胁识别和分析方法 19
45
(
犳(
犈)
犻·犆
犻1,
犳(
犈)
犻·犆
犻2,…,
犳(犈
犻)
·犆犿)
犻 ,1犻狀
. 4 . 〈
犘 狅,
犃 ,
狋犘
犃犱〉
=Dec
omo
ps
eA
AG(
犪犪)
犵;
然后根据证据合成法则对犿 犻进行证据合成, 得 5. 犚犻=Co
nv
ert
2
IF
Th
en
Ru
l
e(
犘犃
狅,,
狋犘
犃犱);
到所有规则对结论犎的支持. 6.E
nd
算法4给出基于D S证据推理的V ETE算法, 8 7.F
orea
ch狉in{
犚}
犻 d
o
它包括 .B
ei
gn
3组步骤: (
1)第 1行至第6行将子攻击图转 9 .犚
′
犻=Con
ve
rt2
DS
R u
l
e(
狉,
犇犛犞
犈);
换为如定义7所示的I F
thn规则集,
e 其中, 对于子 1 0.
e
nd
攻击图中每个变迁, 算法第3行抽取该变迁所对应的 1 1犞
.犈
犐 =DS
Rea
so
ni
ng(
{犚
′
犻}
);
原子攻击,第4行将原子攻击分解为原子攻击前提条 1 2.
r
et
ur (
n犞犈 )
犐.
件、
原子攻击动作和原子攻击后果,算法第5行根据
原子攻击分解结果生成IF
t
he规则
n ; (
2)第7行至 实验分析
5
第10行根据CVS发布的脆弱性利用难易程度评
S
估经验值和初始证据可信度等知识, 将IF
t
hn规
e 本文建立了一个典型W b应用业务系统实验环
e
则转换为D S证据推理规则;
(
3)第11行利用 境,用于验证基于攻击图的安全威胁识别和分析方法
DS证据理论推理引擎对所生成的DS证据推理规 的有效性. 实验系统拓扑结构如图4所示, 部署在网
则集进行不确定性推理, 最终得到脆弱性利用威 络信任域边界处的防火墙将系统网络分成内网、
胁度. DMZ区 和可访问互 联
网的 外网3个安全域 各安全域
,
算法4
. V
ETE算法. 之间的 安全策略如下 :(
1外
) 网用户只允 许访问DMZ
输入:脆弱性利用威胁相关子攻击图犛犃
犌=〈犘
0∪犱,
犘 区 H2上的Apac
heWe服
b H务和 3上 的D
NS域名
犜 犜
∪
0 犱,
犈〉;已知脆弱性利用和证据知识 库 服 务;(
2)DM
Z 区的H2允许访问 H3上的Se
ndm
ai
l
犇犛犞
犈 服务和内网H 4上的Po
s
tgr
eSL服务;
Q (
3)禁止H2
输出:子攻击图相关脆弱性利用威胁的威胁度犞犐 和H
犈 3直接访问内网中其它主机; (4)内网中的管理
1.
Fo
reac
h狋i
n犜 犜
0∪犱d
o 主 机H5允许直 接访问D M 的
ZH 和
2 H3及内网的
2.
Be
gi
n H 各应用终端的软件配置和脆弱性信息见表2
4. .
3 犪
. 犪犵=Ob
ta
i
nAA(
G)
狋;
图4
Web系统拓扑图
表2
犠犫业务系统软件配置及脆弱性信息
犲
主机 所在网段 提供服务 C
VE编号(
内部编号) 脆弱性利用条件 脆弱性利用 利用成功率
(
ty
pe,
s
pr,
d
pr) 结果权限
H0 外网 攻击工具 无 无 无 0
H2 DM
Z Aa
pc
he
2.0(H
TTP) CVE
20
11
3
60
7(
1) (
r
emo
t
e,
1,
0) 2 0.
50
B
IND8x(
. D
NS) CVE
20
01
0
01(
02) (
r
emo
t
e,,
10) 1 0.
40
H3 DM
Z S
end
mai
l(M
ai
l)
O
pe
nSSD(
H SS
H) CVE
20
02
1
33
7(
5) (
r
emo
t
e,
1,
0) 1 0.
5
H 内网 O
pe
nSSD(
H SS
H) CVE
20
02
0
00(
44) (
lo
ca
l,,
11) 2 0.
4
4 P
os
t
gr
eSQL8.
2(
SQ
L) C () ( ,,)
VE
20
10
4
01
57 r
emo
t
e10 1 0.
3
CVE
20
02
0
19(
36) (
r
emo
t
e,,
20) 1 0.
3
H
5 内网 I
E7.0(HT
TP) CVE
20
08
0
11(
08) (
r
emo
t
e,,
10) 2 0.
3
Ou
tl
oo
k20
07(M
ai
l)
CV
E
20
10
08
1 (
63
) (
r
emo
t
e,,
20) 2 0.
2
1
94
6 计 算 机 学 报 2
02年
1
应用文献[ 20]中给出的攻击建模方法为此 基于C PN的网络攻击图如图5所示. 从图5可以
Wb业务系
e 统建立攻击模型,
]对
然后利用标准工具 看出, 攻击者在初始状态拥有主机H 0上的Roo
t 权
C
PNToo
ls C
[
1
9 该 PN攻击 模型进行仿 真. 仿真 限(用库所 _
Rh0表示),它可以利 用 主机H3上 编
结束后,融合库所S uc
ce
s
sEx
pl
oi
tL
i
st的t
o k
en 数据 号为2(C
VE
2
001
0
01
0)的脆弱性 ,从 而获得 H3上
为1[
′(H0,
H 2,)
1,(H0,
H3,
2)
,(H2,H3,2, 的R
) o
ot权限,它由图5中名为v2_0_3的原子攻击
(
H2,
H3,
5),(H2,
H5,
6)
,(2,
H 4,
H7)
,(
H 3,
H 5,
3, 表示;
) 攻击者也可以利用主机H 2上编号为
(
H ,
5H ,),
47 H( ,
4H ,)
,(
44 H ,
4H ,)
,(
32 H ,
3H21,)
, (
1CV
E2
01
1
360
7的
)脆 弱性从
, 而 获 得H2上 的
(
H4,
H3,
5),(H5,
H2,
1)
,(5,
H 3,
H2)
,(
H 5,
H3,5)
,R o
o
t权限,它由图5中名为v 1_0_2的原子攻击
(
H4,
H2,
1 )
].应用2.1节给出的N AG算法构造 表示.
G
图5
由C
PN攻击模型结果生成的网络攻击图
基于W eb业务系统安全属性对图5所示的网 换后的C PN系统进行仿真, 仿真在有限步内结束
络攻击图进行分析, 可识别影响W eb业务系统安全 后, 各脆弱性利用威胁相关库所中包含了攻击者从
性的各种脆弱性利用安全威胁, 即攻击者可能获得 初始节点出发抵达目标节点所有可能的步长不超过
的影响业务系统网络节点安全属性的攻击权限. 根 3的脆弱性利用攻击路径, 因此,可以基于这些攻击
据Web系统业务流和安全属性分析可知, 影响到本 路径信息对网络攻击图进行分解, 一次性得到各种
业务系统安全的关键节点为H 2H, 和
3 H 4.易
容 从网 脆弱性利用威胁所对应的子攻击图.
络攻击图中识别出它们可能面临的脆弱性利用威胁 这里以节点H 4和 H5面临的脆弱性利用威胁
分别为{R_2
}、{
R_3
}、
{_4
U,R_4
}和{U_5,R_5}. {U_4 ,
R_4}和{U _5,
R_5}为例,给出相应的子攻击
下面利用N A D算法从网络攻击图分解出各
G 图. 网络攻击图仿真结束后, 库所U _4的to
kn值为
e
脆弱性利用威胁所对应的子攻击图. 这里假设在子 1(
′v[ 1_
0_ ,
2v _ _ ],
[ _
724 R2U4++,_ ]
) 1 (
[
′v2_0
_3
,
攻击图中允许出现的最长攻击路径为3 .
NAG D算 v
1_3 _2
, v
7_2_4
], [_3
R ,R_2,
U_4])
,表明存在两
法第1阶段将图5所示的网络攻击图转换为可仿真 条长度不超过3的攻击路径, 使攻击者可以获得节
C
PN系统; 第2阶段利用C P
NT o
ols工具[21]对转 点H 4上 的U sr权限;
e 库所R_4的t ok
en值为
9期 吴 迪等:
一种基于攻击图的安全威胁识别和分析方法 1
94
7
1
′([v1_0
_2,
v
7 _2_4,v
4_4 _4
],[R_2 ,
U _4,_4
R ])
, 在得到指定节点面临的各种脆弱性利用威胁所
这表明存在一条长度不超过3的攻击路径, 使得攻 对应子攻击图后, 下面根据VETE算法计算各脆弱
击者可以获得节点H 4上 的 Roo 权
t .限 性利用威胁度. 由于篇幅问题, 这里只给出脆弱性利
脆弱性利用威胁{ R_4 ,
U_4}所对应的子攻击图 用威胁{R_4
,U_4}的脆弱性利用威胁度计算过程.
如图6 ()
a所示. 类似地, 对于脆弱性利用威胁{ R_5
, 首先,将图6()
a 所示的子攻击图转换为如图7所示
U_5},库所R _5的 tokn值为1
e (
′ [v
1_0_2,
v5_2_3
, 的不确定性推理规则集; 然后,根据初始证据可信度
v _ _ ]
,[_ , _
335 R2U3R5 U5 t, _ ]
),库所 _ 的 o
ken 值 和脆弱性利用成功率经验值将不确定推理规则集转
为1′ ([v
1_0_2,v6 _2 _5],[R_2 ,U_5 ]
) ++ 换为DS不确定性推理规则集. 这里假设各初始证
1
′([v2_0
_3,
v
1 _3_2,v
6_2 _5
], [
R _3,R _2
,U_5])
, 据可信度为1 (即初始条件总成立) ,
DS证据样本
最后得到脆弱性利用威胁{ _ ,
R5U5 _ 对
} 应的子 攻 击 空间大小Ω= 基
,
6 C 于VSS知识库确定子攻击图
图如图6 (b所示.
) 由于篇幅问题, 其余脆弱性利用 中各脆弱性利用成功率和失败率( 参见表2中利用
威胁所对应的子攻击图说明从略. 成功率栏) 从而确定对应推理规则的C
, F因子.
图6
脆弱性利用威胁所对应的子攻击图实例
最后, 根据D S证据理论的不确定性推理算法
求出脆弱性利用威胁{ R _4,U _4}的威胁度.
(
1)根据r 1求R _3的确定性
犳(
R_0 !d
ns_0
_3!bn d_h3 !v
2_h
3)=
mi
n1( . ,
01.,
01 .01,. )
0= 1.0,
犿({
1R _ })
3=1(. 0× 0. )
4=0 (.4),
犅
犲犾(
R _3)=犿1(
{ R_3 })= 0.
4 ,
犘
犾(R_3 )
= 1-犅
犲犾( !R _3 )=1-0=
1,
图7
由图6
()
a转换而来的不确定性推理规则集 犳(
R_3 )=犅犲
犾(R_3) +({ R_3}/Ω)×
1
94
8 计 算 机 学 报 2
02年
1
(
犘
犾(_3
R)-犅
犲(
犾_3
R)) 犘
犾(R_4 )=1- 犅
犲犾(!R_4)
= 1-0
=1,
=
0.
4+/
16×(
1-
0.
4) ( _
犳R4= ) 犅犲 _
犾R4+ R4 Ω)
( ) ({ _ }/ ×
=
0.
5. (犘
犾 (R_4)-犅犲
犾(R_4
))
(
2)求R _2确定性 =0
.1 81+1/
6 ×(
1- 0.
18
1)=
0.
31
7.
根据规则r 2和r3 有
, 通过D S不 确 定 性推 理可知 ,在限定最长攻击
(
犳R3_ !ht_
p32_ !i
i
s_h
2!v
1_h
2)
= 路径为3的情形下, 节点H 4面临的脆弱性利用威胁
mi (
n0 . ,
51. ,
01 .,
01. )
0=0.
5, {
R_4
,U_4} 的威胁度为0 . 3
17.按照类似方法,可以
犿2(
{ R_2})
=( 0
. 5
×0.
5 )
=(0
.2
5)
, 求得其它节点面临的脆弱性利用威胁度, 分别为
犳(
R _0!ht
p_0_2!i
i
s_h
2!v
1_h
2)
= {
R_2
}=0.6 6,
5{ R_3}= 0
.413,R_4
{ U_4
, }
=
mi (
n1 . ,
01. ,
01 .,
01. )
0=1.
0, 0
.3
17,
{ R_5 ,
U _5}=0.215
.最后, 按照威胁度大
犿3(
{ R_2})
=( 1
. 0
×0.
5 )
=(0
.)
5, 小对各脆弱性利用威胁排序, 得到影响W b业务系
e
犿2(
Ω )=1 -0
. 2
5 =0
.7
5 , 统安全性的各脆弱性利用威胁优先级排序: {
R_2
},
犿 (
3Ω )=1 -0
. 5=0
.5. {
R_3
},{R _4,
U_4 }
, {
R _5,
U_5}结果表明,
, 脆弱
由D S证据组合公式得到 性利用威胁{ _
R2 }发 生 的 可能性 最大 脆
,弱性利用
威胁{_3
R } 次之.
犓= 狓∑
∩狔 ≠
犿 2(
狓 )× 犿 3(
狔 )
= 犿
犿
2
2
(
(
Ω
R
)
犿3(
_
2 )
犿
Ω
(
)
+
3Ω 2)
犿
+
2
犿
(
Ω
(
)
R
犿
_
3
2
(
R
)
犿
_2)
+
3 _
(R2) 结论和进一步工作
6
= 0. 75 × 0
. 5 + 0.7 5× 0.5+ 本文提出了一种基于攻击图的安全威胁识别和
0. 25 × 0
. 5 + 0.2 5× 0.5 分析方法,以分析和处置业务系统面临的各种脆弱
= 1. 00 , 性利用安全威胁;所述方法基于C PN攻击模型仿真
则有 分析结果构建基于C PN的网 络攻 击图,
以分析业务
犿2
3( {
R _2 }) =(犿 2(
Ω )
犿 3({R_2})+ 系统整体安全性;与现有网络攻击图生成算法相比,
犿2R({ _2犿}) (
3Ω ) +犿 (
2R { _ }
2犿)3(
R_2
))
/犓 本文所述方法可基于标准C PN分析工具实现,便于
=(0
. 75 × 0
. 5+ 0. 25 × 0.5 +0.25×0.)
5/
1.
0 利用成熟C P
N分析 工具,且所 构建的网络攻击图为
=0
. 625 , 一个CPN网结构,易于进一步分析. 本文给出了一
犅
犲 (
犾R2 _ ) = 犿2(
3 {R _2} )= 0.625, 个可实现网络攻击图分解的N AGD算法,以获取各
犘
犾(R _2 )= 1 - 犅犲
犾 ( !R _2)= 1-0 =1, 脆弱性利用威胁所对应的子攻击图; 与现有子攻击
犳(
R _2) = 犅犲 犾(R_2 ) +({ R _2} /Ω) × 图生成算法相比, 本文所述算法在不增加算法复杂
(
犘 犾(R _2) -犅 犲
犾( R_2)) 度情况下,可一次性得到各脆弱性利用威胁所对应
= 0. 6
2 5 (
+16×1/ ) ( - 0
. 6
25) 的子攻击图.最后,本文给出了一种实现脆弱性利用
= 0. 6
8 7. 威胁度评估的V E
TE算法, 将子攻击图转换为不确
(
3 )求U _4确定性 定性DS证据推理规则,利用D S证据推理引擎计
犳 (R _2 !sql_2_4 !m ql _h
4 !v7_h4)
= 算脆弱性利用威胁度; 与传统脆弱性利用分析方法相
min0( . 68 ,
81 .01 ,. ,
01 .0=) 0
.68
8, 本方法选择D
比, S证据来描述系统中的不确定性,
犿 4 (
{ U _4 })=( 0. 688 ×0 .5)=(0.
344)
, 因而更具有合理性. 本文最后以典型W b业务系统
e
犅犲 犾(U _4 )
= 犿 4({ U _4 }
) =0.344=0
.34
4, 为例,验证了本文所述安全威胁和识别方法有效性.
犘犾 (U _4 ) =1 - 犅犲犾 (U
! _4)=1 -0=1, 进一步研究工作包括: (1)考虑在基于C N的
P
(
犳U4= _ ) 犅犲 _
犾U4+ U4 Ω)
( ) ( { _ }/ × 网络攻击图和子攻击图上实现更多的攻击图分析方
(
犘犾 (
U _4) -犅 犲
犾 (U_4
)) 法,包括基于子攻击图的攻击预测等; (
2寻找一种
)
= 0.34 4+ 1/ 6×( 1-0.34
4) 更合理的D S初始证据的可信度赋值方法.
= 0.45 3. 参考文献
(
4 )求R _4确定性
f( U_4 !cli_4_4 !at c_h4!v 4_h
4 )
= [
1]R
i
tc
he
yR,Amm
an
nP.Us
i
ngmo
de
lch
e
ck
in
gt
oan
al
yz
e
min0( . 45 ,
31 .01 ,. ,
01 .0=) 0
.45
3, n
e
two
rkv
ul
ne
r
ab
il
i
t
ie
s/
/P
ro
c
eed
i
nso
g fth
e20
00IE
EE
犿 5 (
{ R _4 })=( 0.4 5
3 ×0.4 )=(0
.181)
, S
ym
po
si
umo
nRe
se
ar
c
honS
ec
ur
i
tya
ndP
ri
v
ac
y.O
ak
l
an
d,
犅犲 犾(R _4 )= 犿5 ({ R_4 })= 0.18,
1 C
al
i
fo
r
ni
a,U
SA,
20
00:
15
6
1
65
9期 吴 迪等:
一种基于攻击图的安全威胁识别和分析方法 1
94
9
[
2]A
mma
nnP,W
ie
s
je
ke
raD,K
au
sh
i
kS.S
ca
l
ab
l,
egr
a
ph
张少俊.
( 基于攻击图的网络安全综合管理关键技术的研究
b
a
se
dn
etw
or
kv
ul
ne
ra
b
il
it
ya
na
l
ys
i
s/
/P
ro
c
ee
di
n
gso
ft
he
9t
h 博士学位论文]
[ .上海交通大学, 上海,2
01
0)
A
CMCon
f
er
en
ceo
nCom
put
e
ran
d C
omm
uni
c
at
i
on
sSe
cu
ri
t
y. [
1]S
5 t
ef
fa
nJ,S
ch
umac
he
rM .Co
l
la
bo
ra
ti
v
e a
t
ta
ckmo
del
i
n/
g/
Wa
s
hi
nt
go
n,DC,
USA,2
00
2:2
17
2
24 P
ro
ce
ed
i
ns
gof
the20
02ACMSm
ypo
si
umo
nApl
pi
edCo
m
[
3]C
he
un
gS,L
in
dv
qi
st
U ,
Fon
gMW .M
od
el
in
gmu
lt
i
s
te
pc
y u
pt
i
ng(
SA)
C.Mad
ri
d,S
pa
i
n ,
20
02:
253
2
59
b
er
at
ta
c
ksf
ors
ce
na
r
ior
eco
gn
i
ti
o/
n/P
ro
ce
ed
in
gso
fth
e3
rd [
1]Z
6 ho
uSJ,Q
i
nZ G,Z
han
gF,Z
han
gXF,C
he
nW,Li
uJD.
D
ARPAI
n
for
ma
ti
on
Sur
vi
va
bi
l
it
yCo
nf
er
en
cea
ndE
xpo
s
it
i
on C
ol
or
ed
Pe
tr
in
et b
a
se
d a
t
ta
ckmo
de
li
n/
g/P
r
oc
eed
i
ns
g o
ft
he
(
DI
SCE
XI
II)
.Wa
sh
int
o
gn,D
C,USA,
200
3:2
84
292 9
t
hIn
te
rn
at
i
on
al C
on
f
ere
nc
eRou
ghS
et
s,Fu
z
zySe
t
s ,
Da
ta
[
4]M
eh
taV,Ba
r
tz
i
sC, Z
huHF. R
an
ki
nga
tt
ac
kgr
ah
p/
s/ M
in
in
g,a
ndG
ranu
l
arCo
mpu
ti
ng(
RSF
DGr
C).C
ho
ngi
qn
g,
Z
am
bon
iD,K
ru
ee
glCe
ds.RA
ID20
06
. L
ec
t
ur
eNot
es
in C
hi
n,
a20
03
.Lec
tu
reNo
t
esi
nComu
pt
e
rSc
ie
nc
e:pg,
Sr
ine
r
C
omu
pt
e
rSc
ie
nc
e4
219.
Be
rl
i
nHei
de
lb
e
rg:S
pr
i
ne
gr
Ve
r
la
g, 2
00:
3715
7
18
2
00
6:1
27
144 [
1]C
7 he
nSi
S,
iLi
anYi
F
en,
gJ
iaWe
i.Ane
tw
or
kvu
ln
era
b
il
i
ty
[
5]Wa
ngL
Y,No
el,
SJ
ao
jd
iaS.M
in
imu
m
cos
tn
et
wo
rkha
r
d e
va
l
ua
ti
onm
et
hodba
se
donBa
ye
si
ann
etw
or
ks.
Jo
urn
alo
f
e
n
in
gusi
ngat
t
ac
kgra
phs
.Comu
pt
erComm
un
ic
at
i
on
s, t
h
e G
ra
du
at
eSch
oo
loft
heCh
in
es
e A
ca
de
myofS
ci
en
ce
s,
2
00,
62 (
91 )
:
8381
2
382
4 2
00
8,2
5(
5)
:639
6
48(
in
Chi
ne
se)
[
6]S
he
yn
erO,H
ai
n
es,
JJh
aS,L
ip
pma
nnR,W
in
gJM.Au
t
o 陈思思,
( 连一峰, 贾炜.基于贝叶斯网络的脆弱性状态评估
m
at
ede
gn
er
at
i
ona
nda
na
ls
yi
so
fat
ta
ckr
ga
ph
s/
/Pr
o
cee
di
n
gs [] 方法.中国科学 院研究生院学报, 2
00
8,2
5(
5):6
39
648)
o
ft
he20
02IE
EESym
pos
i
umonSec
ur
it
yan
dPri
v
ac
y. 18 Y
eYu,
nXuXi
Sh
an,J
i
aYan,Q
iZh
i
Cha
ng.
An a
t
ta
ck
B
er
ke
l
ey,
Cal
i
fo
rn
i
a,US
A ,
20
02:2
73
284 r
a
gph
b
as
e
d r
poba
b
il
i
st
icc
ompu
t
in
g a
pr
po
ac
h o
fnet
wo
rk
[
7]J
a
jo
di
aS,N
oe
lS,O’
Be
rr
y pga
B.Tool
oi
clan
al
s
yi
sofn
et
s
e
cur
i
t.
yCh
in
eseJ
ou
rna
lofCo
mpu
te
r
s,20
10,3(
3 10)
:
w
or
kat
ta
ckvu
l
ne
ra
bi
li
t
y//
Pr
oc
ee
di
nso
g fth
e2ndACM 1
98
7
19
9(
6i
nCh
ine
s)
e
S
ym
pos
i
umonI
nf
or
ma
ti
on,C
omu
pt
era
ndCo
mmu
ni
ca
ti
o
ns 叶云,
( 徐锡山, 贾焰,齐治昌. 基于攻击图的网络安全概率
S
ec
ur
i
t.
ySi
na
go
pr
e,2
00
7:2
2 计算方法.计算 机学报,2
01 ,
033(
1)
0:1
98
7
19
96)
[
8]I
no
ls,
kLiman
nR,P
iwo
wa
rs
kiK.
Pr
act
i
ca
la
t
ta
ckra [
h 1]
9GaoHu
i
S
he
n ,
gZ hu
Jin,
gL i
Con
g
Co
ng.T
hean
a
lys
iso
f
g pp gp u
nc
er
t
ai
nt
yo
fnetw
or
kse
cu
r
itr
yi
ska
ss
es
sm
en
tus
in
g d
em
p
e
gn
er
a
ti
on
for
ne
tw
or
k d
e
fen
s
e//
Pr
oc
ee
di
ngs
of
th
e22
ndA
n /
/
nu
alCompu
te
rS e
cur
i
tyApl
pi
ca
ti
on
sCon
fe
re
nc
e.Mi
ami s
t
er
sh
af
erth
eor
yP r
oc
ee
di
nso
g fth
e12t
hIn
ter
na
ti
on
a
l
Be
ach,F
lo
ri
da,USA,2
006:
12
1
130 C
on
fer
en
ceont
heCo
mpu
te
rSu
ppo
rt
edC
ooe
pr
a
ti
veWor
ki
n
[]I , , , , D
es
ign
.Xia
n,Chi
n
a,2
008:
75
47
59
9 ngo
lsK ChuM Lip
pma
nnR Web
st
erSBo
ye
rS.Mo
d
[
2
0]WuD,
iFen
gDen
gG
uo,L
ia
nYi
Fe
n,
gChe
nKa
i.Ane
ff
i
e
li
ngmode
rnnetw
orka
tta
ck
sandc
oun
te
rm
ea
su
re
sus
in
g c
i
en
cyeva
lu
at
io
nm o
de
lofs
ys
te
msec
ur
i
tyme
as
ur
esi
nth
e
a
tt
ackgr
aph
s//P
ro
cee
di
nso
g fth
e25t
hAnn
ua
lCom
put
e
r iv
env
uln
er
ab
il
it
ie
ss
et
.Jo
urn
a
l o
fS
of
tw
ar,
e2
01
2 ,2
3(
7):
Se
cu
ri
tyApl
pi
ca
ti
onsCo
nf
er
en
ce.Ho
no
lu
l,
uHa
wa
i,
iUSA, g
: 1
18
80
11
898(
i
n Ch
in
es
e)
2
009 1
17
126 吴迪,
( 冯登国, 连一峰, 陈恺.一种给定脆弱性环境下的安
[
1
0]OuXM ,Bo
yerWF,McQu
ee
nMA .As
ca
l
ab
lea
pr
po
a
cht
o 全措施效用评估模型.软件学报, 2
01
2,23(
7):1
18
80
a
tt
ackgra
phgene
ra
ti
o/
n/Pr
oc
ee
di
nso
g fth
e13t
hACM 1
18
98)
Co
nfe
re
nceonC om
put
eran
dC om
mun
ic
at
i
on
sSec
ur
i
ty. [
2
1]K
is
a
jna
yoth
inP,He
we
ttR.Ana
l
yt
ic
a
lapr
po
ac
htoat
t
ac
k
Al
exa
ndr
i ,
aVir
gi
ni,
aU S ,
A200 :
633
63
45 r
ga
phan
al
ysi
sf
orn
etw
or
kse
cu
ri
t/
y/
Pr
oc
eed
i
ns
gofth
e2
01
0
[
1
1]Home
rJ,Var
iku
tiA,O
u XM,McQ
uee
nMA.Im
pr
ov
in
g I
nt
e
rna
ti
ona
lConf
er
en
ceonAva
i
la
bi
l
it
y,Re
li
ab
il
it
yan
d
a
tt
ackgr
aphv
is
ual
i
zat
io
nth
ro
ughd
at
are
du
ct
io
nan
da
tt
ac
k S
ec
ur
it
y.Kra
kow,P
ol
an
d,20
10.Wa
s
hi
ngt
o,
nDC,USA:
r
gou
pin
g//P
ro
cee
di
ngso
fth
e5t
hIn
te
rn
at
io
na
lWo
rk
sh
opo
n I
EEEComu
pt
erSo
ci
e
tyPr
es
s,
201
0:2
5
32
Vi
sua
li
z
at
ionforC omu
pt
erS e
cu
r
ity(Vi
zS
ec
20
08). [
2
2]Am
m a
nnP,W i
je
s
eke
r
aD ,Ka
ush
i
kS. S
ca
l
ab
le,gr
a
ph
Cam
bri
de
g,M A,USA,
2008
.Be
li
nHei
de
l
be
r,
gGe
rma
ny: b
as
edne
two
rkvu
ln
er
ab
il
i
tya
na
lys
i
s/
/P
ro
cee
d
in
gsoft
he
9t
h
Sr
pi
nge
rVe
rl
ag,2
008:
68
79 AC
MC o
nfe
re
nc
e o
nCo
mpu
te
ran
dComm
un
ic
at
i
on
s S
ec
ur
i
ty.
[
1
2]Ch
enFen
g ,
Zhan
gYi,S
uJi
n
Sh
u ,H
anWe
n
Ba
o.Tw
ofo
r
Ne
wYork,U
SA ,
20
02:2
17
2
24
ma
lana
ls
yi
s o
f a
tt
ac
kgra
phs
.Jou
rn
alo
fSo
f
twa
r,
e20
10, [
2
3]No
e
lS ,Jao
jd
iaS.Mana
gi
ngat
t
ac
kg r
a
phcoml
pe
xi
t
y
2(
148):38
84
8(i
nChi
ne
se) t
hr
ouh
gvi
sua
lhi
er
ar
ch
ic
ala
gre
gga
ti
o/
n/
Pro
ce
ed
i
ng e
sof
th
(陈锋, 张怡, 苏金树,韩文报. 攻击图的两种形式化分析. 2
00
4A CMCCSWor
ks
hopo
nVi
su
al
i
za
ti
ona
ndD
ataMi
n
in
g
软件学报, 2
010,2
1(4)
:83
8
84
8) f
or
Compu
ter
Sec
ur
it
y.F
ai
rf
a,
x V
A,US
A ,
20
04:10
9
1
18
[
1]
3W an
g L ,
YSinh
ga
l ,
AJa
jod
i
aS.Tow
ar
dme
as
ur
in
gne
tw
or
k [
2
4]J
haS,S
heyn
e
rO ,Wi
ngJ.T
wofo
rm
ala
na
ls
ye
s o
fat
t
ac
k
s
ecu
ri
tyus
in
gatt
ac
k r
ga
ph/
s/
Pr
oce
ed
in
gso
ft
he2
00
7ACM r
ga
ph/
s/P
roc
e
edi
nso
g fth
e15
thIEE
EComu
pt
erSe
cu
ri
t
y
Wor
ksh
oponQual
i
tyof
Pro
te
c
ti
on.A
le
xan
dr
i
a,V,
AUSA, F
ou
nda
ti
onsWor
ks
ho.
pCa
peB
ret
o,
nNo
vaS
co
ti
a,Ca
na
da,
2
00 :
7495
4 2
00
2 :
49
63
[
1
4]Zh
angSha
o
Jun.Re
sea
rc
honkeyt
ech
ni
qu
e
sinne
tw
or
k [
2
5]L
ab
ord
e R,N
ass
erB,
Gra
ss
et
F ,
Ba
rr
èr
eF,B
en
zek
riA
.A
s
ecu
ri
tyin
te
gra
tedman
agem
en
tbas
edonat
t
ac
kgra
ph
s f
or
mal
appr
oa
chfo
rt
hee
va
lu
at
i
onof
ne
two
rks
ec
u
rit
yme
ch
[P
h.D.d
i
sse
r
tat
io
n].S
ha
ngh
ai
Ji
ao
ton
gUn
iv
er
s
it
y,
Sh
an
gha
i, a
ni
smsb
ase
donRBA
Cpol
i
ci
es
.El
ec
t
ro
ni
cNo
te
si
n Th
eo
re
t
2
010(
inCh
in
ese) i
c
alCo
mput
erS
ci
en
ce(
ENTC)
S,2
00,
51
21(
4):
117
14
2
1
95
0 计 算 机 学 报 20
12年
犠犝犇
犻,b
or
ni
n 1
97
7,
Ph.
D.c
a
n 犔
犻犪
狀犢犻
犉
犲狀
犵,
bo
rni
n1
97
4,Ph.
D,
.a
ss
o
ci
a
ter
o
pf
es
s
or
.
d
i
da
te
.He
rre
se
ar
chi
nt
er
es
t
sin
cl
u
de Hi
s r
e
se
ar
c
hin
t
er
es
t
si
nc
lu
de
ne
two
r
kan
di
nf
or
ma
t
io
ns
ec
ur
i
t.
y
n
e
two
r
kse
cu
ri
t
y,t
e
sti
n
gan
dev
a
lu
at
i
on 犆犎
犈犖犓犪
犻,
bo
rni
n19
8,
2Ph.
D..H
is
re
se
ar
c
hin
t
er
o
fi
n
fo
rma
t
io
ns
ec
ur
i
ty. es
tsi
nc
lu
dei
nf
or
ma
ti
ons
ec
ur
it
y,s
of
tw
ar
evu
ln
er
ab
i
l
it
y
an
als
i
ys
andd
e
te
ct
i
on,
mal
wa
re
an
al
ys
is
an
dpr
ev
en
t
io
n.
犔
犐犝犢狌
犔
犻狀,
犵bo
rni
n19
8 ,
2Ph.
D.c
an
di
d
at
e.H
is
re
se
ar
chi
n
te
re
st
si
nc
l
ud
ene
tw
or
kse
cu
ri
t
yan
de
pr
fo
rm
an
ce
as
se
ssm
en
t.
犅
犪犮
犽狉
犵狅
狌狀
犱
A
tt
ac
kgr
aphi
sa
nef
f
ic
ie
ntm
et
ho
dto
ana
lz
yea
nde
va
lu
pos
ed
tor
et
r
ie
vea
ll
the
sub
at
t
ac
k
gr
aph
sco
rr
es
po
ndin
gt
o
a
t
evu
ln
er
ab
il
i
tyex
pl
oi
t
in
gth
re
at
sofi
nf
o
rmat
i
onss
yt
ems
.ea
cha
tt
a
ckt
hr
ea
tat
th
esamet
i
mewi
the
qu
i
val
en
tco
m u
pt
a
T
hei
d
en
ti
fi
ca
t
ion
and
an
al
ys
iso
fe
ach
vu
ln
er
ab
il
i
t exl
o
yp gi
t
in t
i
onc
oml
e
pyx
i
t .T
oas
se
s
s t
hed
ere
eo
g pf
asec
if
i
cvu
lne
rab
i
l
a
pt
hc
anh
el
padm
in
is
t
ra
to
rtoc
ho
os
ee
ff
ec
t
ives
e
cur
it
yme
as
it
yex
pl
o
it
i
ngt
hr
ea
t,
the
sub
at
t
ac
kgr
aph
co
rre
s
pon
di
ngtoa
u
re
st
oco
unt
e
r v
ul
ne
ra
b
il
it
yex
pl
o
it
in
gth
re
at
san
d d
ec
re
as
espe
c
if
i
cse
cu
r
it
y t
h
re
ati
scon
ve
rt
edt
oin
fe
re
nc
eru
leswi
t
h
s
e
cu
ri
tr
yi
sk.I
npra
c
ti
ca
lse
cu
r
it
yadm
in
i
str
at
i
onsc
en
ar
i,u
o nc
er
t
ai
nt
y,a
ndt
heD
Se v
id
en
cer
ea
so
ni
ngal
go
ri
thmis
w
ene
ed
bot
hne
two
rka
t
tac
kgr
ah
pto
as
se
sst
hes
ecu
r
it
ys
it
use
dt
oca
l
cu
la
t
e t
he
der
ge
e o
fs
ec
ur
it
yth
re
at.
Thi
stoi
c
pis
u
at
i
ono
ft
hes
yst
em,
sa
nda
ls
one
ede
ff
i
ci
en
t m
et
hod
tod
is
spo
ns
or
e
dbyt h
eNat
i
onalHi
ghTec
hn
olo
gyRese
ar
c
h
o
ps
eof
themos
tha
rm
ful
sec
ur
i
tyvu
l
ne
rab
i
li
t
ye x
pl
oi
t
in
gandD
ev
el
om
pe
ntPro
gr
am8 (6
3P r
or
ga )
mo fC hi
na
t
h
re
at
sa
tthe
samet
i
me.A
ls
o,wen
ee
dmet
ho
dstoh
an
de(
l No
s.
20
09AA
01Z
43
9,2
011AA
01A2
03)
,Nat
i
on
alNat
ur
al
u
nc
er
t
ai
nt
ie
si
nth
e r
o
pc
es
sofv
ul
ne
ra
bi
l
it
yexl
o
pi
ti
ngt
hr
ea
tSc
ie
nc
eFo
un
da
ti
ono
fCh
ina(N
o.
611
00
22
6),Be
i
ji
ngNat
u
a
na
l
ys
is
.Con
ve
nt
io
na
lme
th
ods
us
epr
or
pi
e
tar
ya
lgo
ri
t
hmsor
t a
lSc
i
en
ceF
ou
nda
t
in(
o No
.412
20
85)a
ndt
heOe
pn
ingPr
o
c
on
s
tr
uc
tnet
wor
kat
ta
ckgr
ah
p,whi
c
harec
ompl
exan
dje
ct
ofKe
yLa
bor
a
to
ryo
f I
nf
or
mat
io
nNe
two
rkSe
cur
it
yof
e
r
ro
r
pr
on
e.Ev
enwh
ent
hen
et
wo
rkat
t
ac
k r
ga
phof
the
in
M
in
is
t
ryo
fPu
bl
ic
Se
cur
i
ty(Th
eTh
ir
dRe
se
arc
hIn
st
i
tut
eof
f
o
rma
t
io
nsys
t
emis
co
ns
tr
uc
te,
dthe
re
iss
t
il
ll
ac
kofe
ff
ec
t
iv
e M
in
is
t
ryo
fPu
bl
ic
Se
cur
i
t )
yN(o
.C1
06
0 )
6.Thef
un
dedpr
o
m
et
ho
dtoge
ne
ra
tes
ub
at
t
ac
kgr
aph
sfo
r s
pe
c
if
ics
ecu
r
it
yje
ct
sa
ree
na
ge
gdi
ni
nf
orm
ati
ons
e
cur
i
tyme
as
ur
ere
la
tedr
e
t
h
re
at
s,
anda
ls
ola
cko
fa
ss
es
sme
ntme
t
ho
dsfo
rspe
c
if
i
cse
se
ar
ch.
Th
isa
ppe
rf
oc
us
esoni
de
nti
f
i
ca
ti
onan
dan
al
ysi
sof
c
ur
i
tt
yh
re
at
s.Th
isa
pe
pru
se
dCPNb
as
eda
tt
ac
kmod
els
im
th
eat
ta
ckpa
t
ha n
dth
ea s
se
ss
men
tofsys
t
emsecu
ri
t
y
u
l
at
io
nr
esu
l
tst
ogen
e
ra
ten
etw
or
kat
ta
ck
gra
ph,wh
ic
hca
nth
re
at
s.T
hea
uth
o’
rsma
inre
se
ar
chf
ie
l
dsar
efo
cu
sedo
n
l
e
ve
ra
get
hee
ff
ic
ie
nc
yoft
hec
ur
ren
tCPNan
al
ys
ist
oo
ls
.eva
l
ua
ti
on
oft
hen
et
wo
rkand
in
fo
rma
t
ion
se
cur
i
ty.
A
ls
oan
etw
or
kat
ta
ckr
ga
phde
c
ompo
s
it
io
nal
go
r
it
h m
isr
po