基于全局权限图的网络风险评估模型.pdf

? 第 44 卷 第 9 期 ? 2010 年 9 月 上 海 交 通 大 学 学 报 jou rnal of shanghai jiaotong university vol. 44 no. 9? sep. 2010? 收稿日期: 2009?11 ?02 基金项目: 国家高技术研究发展计划( 863) 项目( 2006aa01z450) , 国防? 十一五 规划项目( c1420061353) , 公安部信息网络安全重点实验 室开放课题( c09603) 作者简介: 张保稳( 1975 ?) , 男,山东省菏泽市人, 博士, 副研究员, 研究方向为网络安全和风险评估及业务连续性管理. 电话( t el. ) : 021?34205982; e ?mail: zhangbw sjtu. edu. cn. ? ? 文章编号: 1006?2467( 2010) 09?1197?04 基于全局权限图的网络风险评估模型 张保稳 1, ? 罗 ? 铮2, ? 薛 ? 质1, ? 银 ? 鹰1 ( 1. 上海交通大学 信息安全工程学院, 上海 200240; 2. 公安部第三研究所, 上海 201204) 摘? 要: 提出一种全局网络权限图的概念和生成方法, 基于网络权限图建立了一种新的网络风险 评估模型, 结合虚构的网络环境, 对上述生成算法和网络评估模型加以验证. 结果表明: 与常规评估 方法相比, 由于引入了漏洞的量化数据等网络安全配置信息, 该方法的评估结果更为精确. 关键词: 网络安全; 风险评估; 权限图 中图分类号: tp 309. 09 ? ? 文献标志码: a a network risk assessment model based on network global privilege graph zha ng bao?wen1, ? l uo zheng 2, ? x ue zhi1, ? yin ying1 ( 1. school of information security, shanghai jiaotong university, shanghai 200240, china; 2. t hird institute of the ministry of public security of china, shanghai 201204, china) abstract: a concept of global network privilege graph and its generation method were proposed. t hen a novel network risk assessment model based on privilege graph was proposed. the algorithm and model were verified using a demonstrative network. t he results show that the assessment achieved by the model is more exact than common methods because the model considers the quantitative data of vulnerabilities and other security configuration information. key words: network security; risk assessment; privilege graph ? ? 随着互联网技术的快速发展, 信息系统的安全 性变得越发重要. 传统的网络安全评估方法是通过 扫描网络中存在的安全漏洞但不考虑漏洞之间的关 联性, 并使用风险= 脆弱性? 威胁 资产的方法来评 估网络风险. 然而, 网络攻击往往是通过利用分布在 网络中漏洞之间的关联关系而对网络和主机进行逐 步渗透、 实施多步权限提升来实现的. 因此, 亟需系 统地查找攻击者可能采取的渗透路径, 并结合网络 渗透路径而更客观地进行网络风险评估. 目前, 网络渗透路径生成算法是基于攻击者假 定或者防护目标假定而进行的 1 . 基于攻击者假定 的方法是将假定攻击者所在的主机和权限集合作为 算法输入, 据此生成所能渗透的路径、 主机和权限集 合; 基于防护目标假定的方法是将假定需要保护的 目标主机或者权限的集合作为算法输入, 据此生成 所有可能到达该目标的攻击路径的集合. 在上述方法中, 下述问题还值得商榷: ! 对同 一个目标网络给予不同的攻击者假定和目标假定, 每次均需要重新运行整个生成过程而影响了网络安 全性分析的效率; 在一定的环境配置下, 存在网 络中的漏洞及其逻辑关联网, 且不依赖于上述的攻 击者假定或目标假定, 使用攻击者假定或目标假定 所生成的攻击图仅为上述逻辑关联网的子图; # 在 现实中, 来自于网络内部的攻击是信息系统安全的 主要威胁, 且难以给出合理的攻击者假定. 在基于网络脆弱性的评估方面, liu 等 2提出 了一种基于贝叶斯网的网络脆弱性评估模型并用于 网络中的安全风险分析; igor 等 3 提出了一种基于 攻击图的网络安全评估框架, 并通过网络攻击图的 安全属性进行定性分析和安全评估; 王永杰等 4 给 出了一个基于攻击图的网络安全评估模型, 并通过 攻击损失期望刻画了网络风险. 在前期工作的基础上 5, 本文提出了一种全局 网络权限图的概念并介绍其生成方法. 该方法并不 预先假定攻击者或防护目标, 所生成的网络权限图 为全局性视图, 可以描述在一定配置下, 网络漏洞之 间可被利用发起跳板攻击的关联关系. 同时, 基于网 络权限图, 提出了一种网络风险评估模型. 1 ? 网络权限图 在生成网络权限图之前, 需按照级别对网络中 的权限进行分类. 本文将权限分为 4 个级别, 根据其 在主机的权限定义如下偏序关系: pnone pnetac puser proot 其中: pnone为该主机系统中的最低权限, 表示禁止访 问的访客; pnetac表示能够访问主机的网络服务的远 程用户; proot为最高权限, 即系统管理员权限; puser 表示 proot管理员创建的各种普通用户. 围绕网络权限图定义如下: 定义 1? 一个主机的权限集 phost由其中所有等 级的访问权限构成. 若按照以上权限划分关系, 可得 phost= proot, puser, pnetac, pnone ? ? 定义 2? 一个网络的网络权限集 pnet是网络中 所有 m 个phost的并集, 即 pnet= m i= 1 pi ? ? 定义 3? 一个利用( exploitation) 为 4 元组, 即 explt( explt, c, ppre, ppost) 其中: explt 为安全漏洞; c 为网络状况属性, 包括连 接属性和服务等; ppre为完成该脆弱性利用而发起攻 击所需最低使用权限; ppost为通过该脆弱性利用可 获取的最高使用权限. 例如, 一个 alice 主机的互联网信息服务( iis) 溢出可产生一次漏洞利用: explt ( iis overflow, c, pnetac( alice) , proot( alice) ) 定义4? 全局权限图 pg 为有向非循环图, 可表 示为一个 2 元组: pg = (p, ?) 其中: p 为一个网络中所有权限集合的子集; ?为利 用安全漏洞可实现的权限转换关系的集合. 全局网络权限图可以通过合并网络中存在的非 法权限提升路径来构建, 其定义为: 定义 5? 网络中长度为 l 的权限提升路径 pt 为序列(p1, p2, %, pi, pi+ 1, %, pl) , 且 ?i 输入: 目标网络安全配置状况 con, 网络安全脆弱性集 合 e 输出: 可利用的脆弱性集合 pe 程序: e= ; pe= ; scan network vulnerabilities and put them into e in the ? form of explt; for each explt(explt, c, ppre, ppost) in e check the conditions c, if c is true, then ? put explt( explt, ppre, ppost) into pe; return pe 在算法 1 中, 首先收集网络中计算机之间的脆 弱性, 并以 explt 形式重写; 然后, 检查网络条件并 将可被利用的脆弱性放入 pe 中. 2. 2? 全局网络权限图生成过程 在生成权限图之前, 假定一次脆弱性利用仅需 一个最小的权限. 根据定义 5 可得如下命题: 长度为 i 的权限提升路径是长度为 i + 1 的提 升路径存在的必要条件. 依据此命题, 可得到以下网络提升路径的挖掘 算法: 算法 2 ? ? generation?pg; 1198上 ? 海 ? 交 ? 通 ? 大 ? 学 ? 学? 报第 44 卷? 输入: 可利用脆弱性集合 pe 输出: 全局网络权限图 pg 程序: pg= ; for explt(explt, ppre, ppost) in pe put( ppre, ppost) in ? pt( 2) ; i= 2; while( pt (i) is not null) do ? pg= pg pt( i) ; ? insert into pt(i+ 1) ? select p(1), p( 2) , %, p( k), q( k- 1) from pt( i)p , ? pt( i)q ? where p (2), %, p( k) q(1), %, q( k- 1);(1) ? delete the joined path p and q in the operation (1) ? from pt( i); ? checkloops( ? ); ? i+ + ; return pg 在算法 2中: pt( i) 表示网络中长度为 i 的权限 提升路径的集合; sql 语句? insert 连接 2 个长度 为 i 的权限提升路径 p 和 q, 生成一个长度为 i+ 1 的路径; ? deletion 操作用于删除权限图中的冗余. 其基本原理是递归性使用关系代数中的连接运算符 join 而生成权限提升路径. 2. 3? 基于权限图的网络安全评估模型 在上述全局网络权限图的基础上, 针对目标网 络的漏洞所带来的网络安全风险, 提出如下网络风 险评估模型: 设给定目标网络 s, 其网络节点数为 n, 在当前 的安全部署下, 所生成的网络权限图为 pg = l l= 2 pt(l) 其中, l 为权限图中提升路径长度的最大值, 且对于 任意网络节点 ni, ni 客户机 2 可以作为本地的客户机, 也兼具 ft p 服务器的作 用; 应用服务器负责提供应用访问服务; 数据库服务 器和应用服务器相连, 负责数据库的管理. 另外, 应 用服务器的管理员帐户为数据库服务器信任, 持有 访问数据库服务器的 user 级别访问权限. ? 针对图 1 中的网络结构配置所生成的网络权限 图见图 2. 为了方便表述, 图 2 中分别采用 h1, h2, h3, h4 代替客户机 1、 客户机 2、 应用服务器和数据 库服务器. ? 参照通用漏洞评分系统( cvss) 的评分机制 6 , 各漏洞的可利用难易程度得分见表1. 在实验中, 通 1199? 第 9 期张保稳, 等: 基于全局权限图的网络风险评估模型? 图 1? 网络拓扑结构 fig. 1? the demonstrative network topology 图 2? 对应生成的全局网络权限图 fig. 2? t he global pg of demonstrative network 过十分制转换后, 将可利用得分程度等同于利用该 漏洞的成功概率. 为了简化计算, 假定攻击者拥有 4 台主机根权限的概率均为 25% , 且不考虑本地用户 权限提升对管理员权限的影响. 根据经验, 对数据库 服务器的权重评为 0. 4, 应用服务器 0. 3, 客户机 2 为 0. 2, 最边缘的客户机 1为 0. 1. 通过上述算法, 可 得表 2 所列最终结果. 表 1? 实验网络中的漏洞信息 tab. 1? vulnerabilities information of the demonstrative network 编? 号名? 称 可利用 得分 成功概 率/ % cve ?2001?0506iss 缓冲区溢出漏洞3. 939 cve ?2001?2120 windows pnp 缓冲区溢出漏洞8. 080 cve ?2005?1263linux 内核 elf 存储器清除3. 939 cve ?1999?0878wu?ftpd 缓冲区溢出漏洞10. 0100 ? ? 由定义 6可得, 该网络的网络安全风险为 risk = 0. 557. 如果不考虑网络中的权限提升关系, 则系 统的网络综合风险为 risk= 0. 25. 由此可以看出, 考虑利用漏洞发起跳板攻击而实现权限提升的可能 性后, 网络中存在的真实风险比孤立对待漏洞而实 现简单叠加后的网络风险高得多. 表 2? 主机根权限的被攻击成功可能性 tab. 2? exploitable probabilities of root privileges 主机根权限初始概率/%最终概率/ %权重贡献边 客户机 12525. 00. 1- 客户机 22550. 00. 21, 2 应用服务器2554. 20. 33, 4 数据库服务器2568. 40. 46 4 ? 结 ? 语 本文提出了一种全局网络权限图的概念并给出 了其生成方法. 同时, 基于网络权限图, 提出了一种 网络风险评估模型. 结果表明: 在一定的配置下, 全 局网络权限图可以体现出网络漏洞之间存在而可被 利用发起跳板攻击的关联关系; 同孤立对待漏洞的 风险评估形式相比, 所提出的网络风险评估方法所 得效果更精确. 参考文献: 1 ? man da ?peng, zhang bing, yang wu, et al. a meth? od for globalattack graph generationc/ /networking, sensing and control. washington: ieee computer so? ciety, 2008: 236?241. 2 ? liu yu, m an hong. network vulnerability assessment using bayesian networks c/ /proceedings of spie ? volume 5812, data mining, intrusion detection, infor? mation assurance, and data networks security. belling? ham wa: spie, 2005: 61?71. 3 ? igorkotenko,mikhail stepashkin.attackgraph based evaluation ofnetwork security c/ /lecture notes in computer science. berlin: springer ?ver? lag, 2006: 216 ?227. 4 ? 王永杰, 鲜? 明, 刘? 进, 等. 基于攻击图模型的网络 安全评估研究j. 通信学报, 2007, 28( 3) :