0 引言

    20世紀90年代末，SCHNEIER B首先提出攻擊樹概念^[1]，因其層次清晰、直觀形象等特點，后被廣泛用于系統(tǒng)安全威脅分析和風險建模^[2-6]。但在定量分析方面，傳統(tǒng)的攻擊樹建模存在不足，因而大量攻擊樹模型的改進方法被業(yè)界學者提出，用于提高網絡安全風險評估的效果。張春明等^[7]提出了基于攻擊樹的網絡安全事件評估方法，為制訂安全防護策略提供了有力支持。王作廣等^[8]基于攻擊樹和CVSS對工業(yè)控制系統(tǒng)進行風險量化評估，但在根據CVSS 3.0規(guī)范求解葉節(jié)點的概率時，并未對各節(jié)點的屬性進行分析。李慧^[9]、黃慧萍^[10]、任丹丹^[11]等采用攻擊樹模型分別對數傳電臺傳輸安全、工業(yè)控制系統(tǒng)、車載自組織網絡進行威脅建?；虬踩L險評估，但在各安全屬性計算上還存在不足?；谏鲜鑫墨I可知，采用攻擊樹模型進行系統(tǒng)安全風險分析時，主要存在兩個方面的不足：一是如何對各安全屬性進行準確分析；二是如何定量分析各葉節(jié)點的發(fā)生概率，降低主觀因素的影響。鑒于此，本文采用模糊層析分析法（Fuzzy Analytic Hierarchy Process，FAHP）對攻擊樹模型進行改進，首先賦予各葉節(jié)點特定的安全屬性，然后基于評估對象的特點采用FAHP計算各安全屬性的權值，同時利用基于區(qū)間變量的屬性概率發(fā)生模型求解各屬性的發(fā)生概率，最后計算各葉節(jié)點的發(fā)生概率。該模型充分考慮攻守雙方的博弈過程，能夠更加準確、合理地評估系統(tǒng)所存在安全風險，可為后續(xù)安全防護策略的制定提供技術支撐。

1 攻擊樹模型

    在攻擊樹模型中，根節(jié)點代表攻擊目標；葉節(jié)點代表攻擊過程中采用的各種攻擊方法^[12-13]。葉節(jié)點之間的關系包括：與(AND)、或(OR)和順序與(Sequence AND，SAND)3種^[7]。采用FAHP對攻擊樹模型進行改進，并將其用于系統(tǒng)安全風險分析，主要思路如圖1所示。

2 基于FAHP的攻擊樹模型改進

2.1 葉節(jié)點的指標量化

    由于攻擊的實現可能受多個因素的影響，為反映各因素對攻擊事件的影響，給各葉節(jié)點賦予3個安全屬性：實現攻擊的難易程度(difficulty) 、實現攻擊所需的攻擊成本（cost）和攻擊被發(fā)現的可能性(detection)。根據多屬性效用理論，將以上3個屬性轉化為達成目標的效用值，進一步可計算葉節(jié)點的發(fā)生概率^[8，12]：

    在實際工程應用中，通常采用專家打分的方法對葉子節(jié)點各安全屬性值進行賦值。分析之前可做如下假設：

2.2 安全屬性權值

    采用FAHP對攻擊成本、難易程度和攻擊被發(fā)現的可能性這3個安全屬性的權值W_dif、W_cos、W_det進行求解。根據該層各因素受攻擊后對上一層因素造成的相對危害程度，來確定本層次各因素的相對重要性。本文采用0.1～0.9的標度，將相對重要性給予定量描述，比較尺度如表2所示^[12]。根據表2確定每個屬性的重要程度，并構造判斷矩陣C^[15]：

    a與權重的差異度成反比，即a越大，權重的差異度越小；a越小，權重的差異大越大。當a=(n-1)/2時，權重的差異度越大。本文取a=(n-1)/2，R_C為一個3階矩陣，因此a=(n-1)/2=1，其中，n為模糊一致矩陣的階數，得到w_c=[0.383 4，0.333 3，0.283 3]。由此，可以得到U_dif=0.383 4、U_det=0.333 3、U_cos=0.283 3，利用式(1)最終求得葉節(jié)點的發(fā)生概率。

2.3 根節(jié)點的發(fā)生概率

    計算根節(jié)點發(fā)生概率需首先確定攻擊路徑，攻擊路徑是一組葉節(jié)點的有序集合，完成這組攻擊事件（葉節(jié)點）即可達成攻擊目標。構造攻擊路徑的算法如下：

    （1）假設G為攻擊樹的根節(jié)點，n為根節(jié)點的度。

    （2）對可能的攻擊路徑R_i=(X₁，X₂，…，X_m)，i={1，2，…，n}進行分析：對G所有的子節(jié)點進行搜尋，如果該子節(jié)點為葉節(jié)點M_i，則確定其中一條可能的攻擊路徑，否則以各子節(jié)點為根，對下一級子節(jié)點進行搜尋，直至將所有可能的攻擊路徑確定為止。

    （3）求解每一條攻擊路徑可能發(fā)生的概率：采用自底向上的方式，由子節(jié)點求解父節(jié)點發(fā)生的概率，具體可參考文獻[7]和文獻[17]。

    假設安全事件有n種攻擊路徑，且攻擊路徑R_i=(X₁，X₂，…，X_m)，i={1，2，…，n}，其中X_i表示各葉節(jié)點。則路徑Ri發(fā)生的概率為：P(R_i)=P(X₁)×P(X₂)×…×P(X_m)，i={1，2，…，n}，對比各攻擊路徑發(fā)生概率的計算結果，其數值大小可反映攻擊者對攻擊方式的選擇傾向，應重點防御概率最大的攻擊方式。

3 實例驗證

    本文采用文獻[12]實例進行應用驗證分析與對比。仍以某軍事業(yè)務系統(tǒng)內部人員竊取文件資料為例建立攻擊樹模型，如圖2所示，各節(jié)點含義如表3所示。具體步驟和典型的內部人員攻擊手段可參考文獻[12]，本文不再贅述。

    利用表1的評分標準，對此攻擊樹中各葉節(jié)點的安全屬性值打分。為了更好地驗證本文方法的有效性，此處采用文獻[12]的評分結果，具體如表4所示。

    假定表4中各葉節(jié)點的得分為得分區(qū)間值的中值，X的取值為評分等級最大值時，=X，其他情況=X_mid+αX_mid，X=X_mid-αX_mid。不失一般性，取置信水平α=0.1，則進一步可得各安全屬性得分區(qū)間值。根據式(3)和式(6)分別求解各屬性的效用值及對應的權值，最后根據式(1)，即可得各葉節(jié)點的發(fā)生概率，結果如圖3所示。

    由圖3可知，本文方法與文獻[12]中各葉節(jié)點發(fā)生概率的最大差異在于葉節(jié)點X8的發(fā)生概率，本文中P₈(X₈)=0.746 9，文獻[12]中P₈(X₈)=0.929 0，產生該情況的主要原因是各安全屬性權值不同，本文方法和文獻[12]中各屬性權值如表5所示。

    在構造判斷矩陣時，各屬性的重要程度梯度較小，所求權值應當與重要程度相吻合，而文獻[12]中各權值的取值差異較大，根本原因在于層次分析法主觀性較強，而本文采用模糊層次分析法，一定程度上降低了主觀因素的影響，進一步說明了本文方法的有效性。

    根據2.3節(jié)中的攻擊路徑算法，列出所有可能的攻擊序列：R₁=(X₁)；R₂=(X₂)；R₃=(X₃)；R₄=(X₄)；R₅=(X₅)；R₆=(X₆)；R₇=(X₇)；R₈=(X₈，X₉)；R₉=(X₈，X₁₀)；R₁₀=(X₈，X₁₁)；R₁₁=(X₁₂)。

    根據式P(R_i)=P(X₁)×P(X₂)×…×P(X_m)，各攻擊序列的發(fā)生概率如圖4所示。

    由圖4可知，R₁₁電磁泄漏發(fā)生概率最大，即攻擊者極有可能利用電磁泄露等問題進行攻擊；其次是內部人員竊取文件資料的攻擊樹模型中R₅、R₆、R₇攻擊序列發(fā)生的概率較大，也即攻擊者很有可能利用系統(tǒng)自身的漏洞實現竊密行為。而與文獻[12]的結論相比，攻擊樹模型中R₅、R₆、R₇攻擊序列發(fā)生的概率最大，其次是電磁泄漏發(fā)生概率，造成最終結論存在誤差的根本原因是各安全屬性權值不同，其原因與葉節(jié)點發(fā)生概率相同，此處不再贅述。基于上述分析，該軍事業(yè)務系統(tǒng)需要針對攻擊序列R₅、R₆、R₇、R₁₁采取相關的安全防護措施。

    上述分析是在置信水平α=0.1時給出的分析結論，為了進一步研究不同置信水平對安全風險評估結果的影響，下面給出不同置信水平下各攻擊序列的發(fā)生概率，具體如表6所示。

    由表6可知，隨著置信水平的增加，各攻擊序列的發(fā)生概率呈遞增的趨勢，主要是由于隨著置信水平的增加，將安全屬性得分取平均的范圍增大引起的；隨著置信水平的增加，各攻擊序列的發(fā)生概率大小的順序不變，進一步說明置信水平的取值對最終一致性結論影響較小。

4 結論

    本文提出了一種基于FAHP和攻擊樹的信息系統(tǒng)安全評估方法，并通過實例進行了對比驗證。首先，采用FAHP進行各安全屬性權值求解，降低了評估過程中的主觀因素；其次，在各葉節(jié)點發(fā)生概率求解時，將各屬性得分假定為區(qū)間變量，一定程度上降低了專家認知不確定帶來的影響，進一步增加了各屬性的信息量，提高了各葉節(jié)點發(fā)生概率的精度；最后，通過實例給出了對信息系統(tǒng)進行安全評估的典型方法步驟，找出了攻擊者最可能采取的攻擊方式，可為系統(tǒng)的安全防護體系構建提供技術支撐。

參考文獻

[1] SCHNEIER B.Attack trees：modeling security threats[J].Dr.Dobb′s Journal of Software Tools，1999，24(12)：21-29.

[2] BYRES E J，FRANZ M，MILLER D.The use of attack trees in assessing vulnerabilities in SCADA systems[C].Proceedings of International Infrastructure Survivability Workshop，2004.

[3] TEN C W，LIU C C，GOVINDARASU M.Vulnerability assessment of cyber security for SCADA system using attack trees[C].Proceedings of IEEE Conference on Power Engineering Society General Meeting，2007，23(4)：1-8.

[4] 謝樂川，袁平.改進攻擊樹的惡意代碼檢測方法[J].計算機工程與設計，2013(5)：1599-1603.

[5] 樂洪舟.基于擴展攻擊樹的木馬檢測技術研究[D].大連：大連海事大學，2013.

[6] 牛冰茹，劉培玉，段林珊.一種改進的基于攻擊樹的木馬分析與檢測[J].計算機應用與軟件，2014，31(3)：277-280.

[7] 張春明，陳天平，張新源，等.基于攻擊樹的網絡安全事件發(fā)生概率評估[J].火力與指揮控制，2010(11)：17-19.

[8] 王作廣，強魏，劉雯雯.基于攻擊樹與CVSS的工業(yè)控制系統(tǒng)風險量化評估[J].計算機應用研究，2016，33(12)：3785-3790.

[9] 李慧，張茹，劉建毅，等.基于攻擊樹模型的數傳電臺傳輸安全性評估[J].信息網絡安全，2014(8)：71-76.

[10] 黃慧萍，肖世德，孟祥印.基于攻擊樹的工業(yè)控制系統(tǒng)信息安全風險評估[J].計算機應用研究，2015，32(10)：3032-3035.

[11] 任丹丹，杜素果.一種基于攻擊樹的VANET位置隱私安全風險評估的新方法[J].計算機應用研究，2011，28(2)：728-732.

[12] 何明亮，陳澤茂，龍小東.一種基于層次分析法的攻擊樹模型改進[J].計算機應用研究，2016，33(12)：3755-3758.

[13] 張愷倫，江全元.基于攻擊樹模型的WAMS通信系統(tǒng)脆弱性評估[J].電力系統(tǒng)保護與控制，2013(7)：116-122.

[14] 黃慧萍，肖世德，孟祥印.基于攻擊樹的工業(yè)控制系統(tǒng)信息安全風險評估[J].計算機應用研究，2015，32(10)：3022-3025.

[15] 賈馳千，馮冬芹.基于模糊層次分析法的工控系統(tǒng)安全評估[J].浙江大學學報（工學版），2016，50(4)：759-765.

[16] 張吉軍.模糊一致判斷矩陣3種排序方法的比較研究[J].系統(tǒng)工程與電子技術，2003，25(11)：1370-1372.

[17] 甘早斌，吳平，路松峰，等.基于擴展攻擊樹的信息系統(tǒng)安全風險評估[J].計算機應用研究，2007，24(11)：153-160.

作者信息:

任秋潔1，潘  剛2，白永強2，米士超2

(1.洛陽理工學院，河南 洛陽471000；2.洛陽電子裝備試驗中心，河南 洛陽471003)