基于贝叶斯网络近似推理的网络脆弱性评估方法.doc

2008 年 10 月Journal on CommunicationsOctober 2008 第 29 卷第 10 期通 信 学 报Vol.29 No.10 基于贝叶斯网络近似推理的网络脆弱性评估方法 贾炜 1,2，连一峰2，冯登国2，陈思思3 (1. 中国科学技术大学 电子工程与信息科学系，安徽 合肥 230060； 2. 中国科学院 软件研究所 信息安全国家重点实验室，北京 100080； 3. 中国科学院 研究生院，北京 100048) 摘 要：针对大规模计算机网络的脆弱性评估，提出了一种基于贝叶斯网络近似推理的评估方法，对网络各组 件和影响网络安全的因素进行建模，采用模型检测工具生成攻击状态转移图，描述网络脆弱性的利用过程，通 过采用随机采样的方法对网络的攻击状态转移图进行近似推理，经过对采样样本的统计分析得到网络脆弱性评 估的量化结果，为提升网络的安全性能提供理论依据。 关键词：计算机网络；贝叶斯网络近似推理；随机采样；攻击状态转移图；脆弱性 中图分类号：TP393.08 文献标识码：B 文章编号：1000-436X(2008)10-0191- 08 Bayesian-network-approximate-reasoning-based method for network vulnerabilities evaluation JIA Wei1,2, LIAN Yi-feng2, FENG Deng-guo2, CHEN Si-si3 (1. Electronic Engineering 2. State Key Laboratory of Information Security, Institute of Software, Chinese Academy of Science, Beijing 100080, China; 3. Graduate University of Chinese Academy of Science, Beijing 100048, China) Abstract: To evaluate the large-scale computer networks, a Bayesian-network-approximate-reasoning-based method for vulnerabilities evaluation was proposed. First, it models the elements which compose the network and the factors which affect the network security. Second, it builds the attack state graph (ASG) of the computer network to describe the process of vulnerability exploitation. Then, it makes the approximate reasoning to the ASG by stochastic sampling. At last, after the samples analysis and statistic, it achieves the quantitative evaluation result and will provide the theoretical evidence to improve the network security. Key words: computer network; Bayesian network approximate reasoning; stochastic sampling; attack state graph; vulnerabilities 1 引言 随着计算机和通信技术的不断发展，科研和 生产需要的不断增长，计算机网络的规模在全球 迅速扩大，计算机网络面临越来越严重的安全问 题逐渐成为人类关注的焦点。旨在对计算机网络 的安全问题进行评判的安全评估技术成为目前研 究的热点，通过安全评估可以反映计算机网络整 收稿日期：2008-05-30；修回日期：2008-09-27 基金项目：国家高技术研究发展计划（“863”计划）基金资助项目(2006AA01Z437，2006AA01Z412，2006AA01Z433) Foundation Item: The National High Technology Research and Development Program of China(863 Program) (2006AA01Z437, 2006AA01Z412 , 2006AA01Z433) 192通 信 学 报第 29 卷 体的安全情况，如已经存在的漏洞、潜在的威胁、 可能受到的攻击、整体系统的安全等级等，为科 研人员解决计算机网络安全问题提供理论指导。 然而庞大的网络结构、分散的资源、分布式系统 急速增长的应用都为计算机网络安全评估带来了 巨大的困难，面对巨大的计算机网络和复杂的网 络情况，如何找到一种有效的安全评估方法成为 目前亟待解决的问题。近些年，该领域成为科学 研究的热点，不少国内外的科学家都投身研究， 并取得了一定的成果。 Dacier M，Deswarte Y 等在文献1中利用特 权图来构建攻击状态图，描述入侵者权限提升的 过程，并基于 Markov 模型计算攻击者攻击行为的 平均代价，但是其计算方法和参数取值源于经验， 没有理论基础，量化的结果比较片面，并不能反 映系统完整的安全状况。 Swiler 和 Phillips 在文献2中提出了基于图的 网络安全分析模型，并在此基础上提出了最小攻 击代价分析和最短路径分析。通过对攻击图的分 析可以了解攻击者可能的攻击路径，从而通过改 变网络配置达到网络防御的目的。他们的工作在 相关领域是第一次，然而由于分析方法过于简单， 其准确性有待进一步考察。 Ritchey 和 Ammann 在文献3中提出了基于模 型校验的网络脆弱性分析方法，通过模型校验的 反例生成思想构建与安全属性相违反的攻击路径， 但是一次仅能生成一条攻击路径不能满足实际的 需要。后来，Sheyner 和 Jha 等对模型检测器进行 改进，提出了一种自动产生攻击图的算法，使用 NuSMV 来制造完整的攻击图，并利用随机过程的 平稳分布概念和 Markov 决策过程来计算攻击者成 功完成攻击目标的概率。但是该方法对平稳分布 的适用性缺乏论证，计算结果会有所偏差。 Oleg Sheyner 等在文献4, 5中提出了自动化生 成攻击图的方法，并在此基础上提出了最小安全 措施分析。生成的攻击图多为树状结构，并不能 很好地表现分布式系统协同攻击的情况。 国内方面，研究人员在文献6中提出了并串 联可靠性分析模型，该模型基于攻击图对网络可 靠性进行了量化评价。文献7提出了一种基于攻 击能力增长的网络安全分析模型，该模型使用攻 击能力增长表示攻击者的最终目标并引入最小攻 击代价分析相似攻击对攻击代价的影响，计算各 条路径的攻击代价。但是这两种方法都是针对于 网络脆弱性的整体量化评估，对于局部网络中某 一项或几项脆弱性对整个攻击过程的不确定性影 响评估还需要进一步的工作。 计算机网络结构复杂，资源分散，影响其安 全问题的因素多种多样，从而导致对其进行脆弱 性评估存在更多的不确定性，针对上述已有工作 中在脆弱性评估中的局限性，特别是网络脆弱性 的不确定性分析和量化评估方法需要更进一步的 工作。而贝叶斯网络作为一种处理不确定性知识 的工具，更易于进行不确定性推理，将计算机网 络与贝叶斯网络相对应，通过不确定性推理对网 络的脆弱性进行量化评估，是一种很好的脆弱性 量化评估的方法。本文通过将网络利用脆弱性进 行攻击状态转移与贝叶斯网络相结合，提出一种 基于贝叶斯网络近似推理的方法对网络的脆弱性 评估进行量化分析。通过利用贝叶斯网络对不确 定网络强大的处理能力，提出基于随机采样的近 似推理算法，对攻击状态转移图中各节点状态进 行采样推理，分析网络的脆弱性状态转移过程， 为网络脆弱性分析提供一种量化评估方法，同时 还可以反映网络已知脆弱性之间隐含的相互影响 关系，为减少网络脆弱性，提高网络安全性能提 供量化结果和理论依据。 2 攻击状态转移图 2.1 基于贝叶斯网络的攻击状态转移图 在本节中将介绍攻击状态转移图的概念，并 引入贝叶斯网络理论，分析贝叶斯网络与攻击状 态转移图的对应关系，在此基础上生成符合贝叶 斯网络特性的攻击状态转移图。首先介绍贝叶斯 网络的定义。贝叶斯网络是用来表示变量间连接 概率的图形模式，它是一系列变量的联合概率分 布的图形表示，它提供了一种自然的表示因果信 息的方法，用来发现数据间的潜在关系。贝叶斯 网络模型包括两个部分：贝叶斯网络结构图和节 点与节点之间的条件概率表。贝叶斯网络结构图 是一个有向无环图，反映贝叶斯网络的拓扑结构 和各节点的连接关系，节点与节点间的条件概率 表是一系列概率值，反映节点之间的相互影响。 贝叶斯网络可以使用一个二元组来表示，其PG, 中：G=1,2,M,表示贝叶斯网络的结构图， 其节点为 U=N1, N2, NM，其中 i 2U, i=1, 第 10 期贾炜等：基于贝叶斯网络近似推理的网络脆弱性评估方法193 2, M。 P=P(Ni | parent(Ni)表示每个节点的条件概 率表，parent(Ni)表示节点 Ni的父节点，i=1, 2,M。 要生成的攻击状态转移图 (ASG)描述的是系 统在遭受攻击时到达不安全状态的各种可能的路 径。攻击状态转移图也是一个因果关系网络，它 反映了攻击过程中利用脆弱性攻击与状态转移之 间的因果关系，而且它与贝叶斯网络有类似的有 向无环的网络结构和节点间的条件独立关系，因 此它可以被认为是一个贝叶斯网络。攻击状态转 移图与贝叶斯网络的结构对应关系如表 1 所示。 表 1 攻击状态转移图与贝叶斯网络结构对应关系 贝叶斯网络攻击状态转移图 有向无环图结构有向无环图结构 因果关系网脆弱性攻击与状态转移存在因果关系 网络节点网络系统状态 节点之间的有向边利用已知脆弱性进行的攻击过程 节点间的条件概率表状态间因攻击发生转移的概率 节点的条件独立关系状态节点对其他节点的影响相比于它与其 父节点和子节点的影响可以忽略不计 2.2 攻击状态转移图的生成方法 攻击状态转移图的生成需要两个步骤：网络 的脆弱性建模和通过模型检测工具构建状态图。 计算机网络拓扑结构庞大，构造复杂，包含 多个节点、平台和应用。在对网络进行脆弱性建 模时，除了考虑每台主机的脆弱性之外，还需要 对主机之间的连接，主机间相互的信任关系等因 素进行考虑，分析出由于连接关系和不合理的信 任关系所导致的关联脆弱性。此外攻击者也应该 成为考虑的因素，攻击者所具有的攻击知识，对 脆弱性利用的能力等因素都会影响到网络的安全。 网络已有的防护措施也是必须考虑的因素。因此 综合以上影响网络脆弱性的因素，采用文献 6 中脆弱性模型的构造方法，构造网络脆弱性模型 M 为：M=(A,S,R,S0),其中： 1) S0为系统的初始状态。 2) R 为状态之间的转移。 3) A 为攻击的行为集合，即攻击模型，表示攻 击者利用已知漏洞进行攻击的行为集合，可以用4 元函数来描述 A(Aid , vul , ss, st), Aid 表示攻击行为 的标识，vul 表示已知的脆弱性编号，可以采用 CVE ID 进行标识，ss表示攻击行为的初始状态， st表示攻击行为需要达到目标的状态。 4) S 为状态空间集合，表示为 S=(I，D，N)， 它包含三个模型：入侵者模型(I)，防护模型(D)和 处于攻击下的网络系统模型(N)。其中： I：主要反映攻击过程中入侵者状态的变化， 可以通过入侵者获取的用户权限来表示 I=none, user, root； D：主要反映系统中的安全防护设备对系统的 保护状态； N：采用三元关系来描述 N HCT，其中： H：表示网络中的主机集合，单台主机 hH 可以 用一个 4 元函数表示为（id, svcs, sw, vul） ，id 为主 机标识，可以是主机名或者主机的 IP 地址；svcs 为主机运行的服务；sw 为主机安装的软件，包括 主机的操作系统、数据库、应用软件等；vul 为主 机上存在的已知漏洞，包括主机的软硬件漏洞和 管理缺陷等；C：表示网络主机的连接关系，用三 元关系来描述 C HHP。 P 表示连接端口； T：表示主机之间的信任关系，用二元关系来描述： T HH。 完成网络的脆弱性建模后，使用模型检测工 具 SPIN8对建立的模型进行攻击过程仿真并生成 攻击状态转移图。SPIN 是基于进程的模型检测工 具，其重点是进程间的信息能否正确交互。将建 好的模型按照表 2 的关系对应为 SPIN 中的各种 条件。 表 2脆弱性模型与 SPIN 对应关系 网络脆弱性模型SPIN 网络系统模型 N多个网络组件进程 攻击模型 A进程间通过管道传递的攻击者利用网络存 在的脆弱性进行攻击的信息 入侵模型 I进程转移时的判断条件 防护模型 D进程转移时的判断条件 初始状态 S0进程的初始状态 状态转移 R进程标签之间的转移 按照表 2 设定好脆弱性模型在 SPIN 工具中 各对应的条件后，就可以使用 SPIN 工具生成攻 击流程图和攻击状态转移图。具体的流程如图 1 所示。 在生成攻击状态转移图的开始，需要单独设 194通 信 学 报第 29 卷 定一个进程 0，并为每个进程设定标签，在这个单 独进程中按照仿真攻击的流程设定各标签的顺序， 在生成攻击流程图后，通过 SPIN 工具对单独进程 0 以有限自动机的形式生成整个攻击流程的攻击状 态 图 1 攻击状态转移图生成流程 转移图。它表示在整个攻击流程中，整个网络系 统的状态转移过程，每一个节点表示系统在攻击 过程中所处的一个状态，节点之间的连线表示由 于攻击系统状态的转移。生成的状态转移图可以 用于下一步的贝叶斯网络推理，通过贝叶斯网络 的推理过程，对网络的脆弱性进行量化评估。 3 基于随机采样的近似推理评估算法 在生成符合贝叶斯网络的攻击状态转移图之 后，将使用贝叶斯网络的推理方法通过对状态转 移图的分析实现网络脆弱性的量化评估，本节将 提出一种基于随机采样的近似推理算法对攻击状 态转移图进行推理评估。 3.1 贝叶斯网络推理方法及对比 贝叶斯网络推理是贝叶斯网络研究的主要任 务之一，也是贝叶斯网络面向应用首先要解决的 问题。贝叶斯网络的推理主要可以分为精确推理 和近似推理，精确推理实际上是进行概率计算， 在给定的贝叶斯网络模型下，通过贝叶斯网络中 各节点已知的条件概率表，经过数学计算获得随 机变量的条件概率的方法。对于网络结构简单， 节点数目比较少的网络，精确推理过程严谨，结 果准确，常用的推理算法有：多树传播算法、团 树传播算法、图约减算法等，可以根据实际情况 选择恰当的算法。但是随着网络结构的不断扩大， 网络节点的急剧增加，精确推理在对大规模网络 的应用处理无论是在时间复杂度和空间复杂度上 都是很难实现的，Cooper 证明了无约束贝叶斯网 络上的精确推理是一个 NP 难问题，因此贝叶斯网 络精确推理方法并不适合于大型计算机网络的应 用。而近似推理在很大程度上避免了这个问题， 通过对贝叶斯网络的节点状态进行采样，对采样 样本进行统计分析得到一个近似的推理结果。近 似推理算法所使用的采样方法在耗费时间和计算 复杂程度上都比精确推理的计算过程小很多，特 别是应用到大型网络，近似推理的优越性更加明 显。近似推理的关键在于如何寻找到一个更加快 速有效的算法以及尽可能减小近似推理结果与实 际结果的误差。目前发展贝叶斯网络推理的快速 近似算法是一个非常活跃的领域，不少优秀的近 似推理算法已经被提出。Max Henrion 最早将拒绝 采样方法应用于贝叶斯网络。Fung 和 Chang 以及 Shachter 和 Peot 提出了似然加权的采样方法。 Metropolis 等提出了 Metropolis 算法，在该算法的 基础上产生了著名的马尔科夫链蒙特卡洛 （MCMC）算法，国内研究人员也提出了近似推 理的仿真算法9等。本文提出一种基于随机采样的 近似推理方法用于贝叶斯网络的近似推理。 通过贝叶斯网络的推理可以在已知节点条件 概率的情况下获取贝叶斯网络中其他节点间的关 系，发现它们之间的潜在联系，对整个不确定性 网络做出相应的评估。应用到网络的脆弱性评估 方面，可以通过网络中存在的各已知脆弱性以及 已经受到的攻击事件来推理出隐含的脆弱性之间 的关系，发现网络可能存在的潜在威胁，并对攻 击事件发生的可能性做出量化的评估。从而有助 于通过采取相应的安全措施，降低脆弱性之间的 相互影响，减小网络潜在的威胁，提高网络的安 全性能。 3.2 基于随机采样的近似推理算法 本文提出的基于随机采样的近似推理算法， 首先按照网络攻击状态转移图为节点编号确定节 点之间的关系。然后对每个网络节点按照该节点 因脆弱性发生攻击事件的概率值进行节点状态采 样，采样的过程中利用生成随机数与节点条件概 率值的比较来选择节点的状态，最后通过节点遍 历，对网络中每个节点状态都进行一次采样，所 得的各节点状态集合记为一个采样样本序列。后 第 10 期贾炜等：基于贝叶斯网络近似推理的网络脆弱性评估方法195 续的样本序列使用迭代赋值采样，即以上一次采 样的结果作为下一轮需要采样所有节点的初始状 态，每个节点的新状态作为其子节点采样时的条 件依据，对所有节点采样完成后，生成的样本作 为下一次采样的初始状态进行迭代。不断迭代采 样推理算法，对整个网络进行多次采样，收集所 有的采样样本进行数据结果的统计分析。具体算 法如图 2 所示。 Input: 攻击状态图 Gv 各节点条件概率表 P 网络节点状态初始赋值 Initial0 TO M-1.status Ouptup: 推理网络节点状态 N0 TO M-1(t). staus Algorithm: ITERATIVE-SAMPLING-REASONING(G,P) 1. Gv为网络的攻击状态转移图，表示状态节点之间的连接关系 2. P 为状态转移图中各节点的条件概率表 3. for t1 to n 4. NodeiGv 5. for NodeiTonNode to LastLeafNode 6. Nodei(t-i).Initiali.status 7. if (Nodei. parents=NULL) 8. then pP(Nodei(t-i).status) 9. srand (time(NULL) 10. rrand() 11. r(r%100)/100 12. if r=p 13. then Nodei(t). statusTrue 14. slse Nodei(t). statusFalse 15. else if (Nodei. sons=NULL) 16. pP(Nodei(t-1).status | Nodei(t). parents. status) 17. srand(time(NULL) 18. rrand() 19. r(r%100)/100 20. if r=p 21. then Nodei(t). statusTrue 22. else Nodei(t). statusfalse 23. else 24. pP(Nodei(t-1).status | Nodei(t). parents. Status, Node i(t-1). Sons.status) 25. srand(time(NULL) 26. rrand() 27. r(r%100)/100 28. if r=p 29. then Node i(t). status True 30. else Node i(t). status False 31. Initial 0 TO M-1. status Node0 TO M-1(t). status 32. Output Node0 TO M-1(t).status 图 2 迭代采样推理算法 3.3 采样样本的统计分析 根据 N 次采样得到的样本，对这些样本进行 统计分析，将已知证据节点和推理目标节点的采 样样本进行联合统计，从而可以得到给定证据后， 推理目标节点的条件概率和联合概率的近似值。 1) 给定证据节点条件下目标节点的条件概率 计算方法。 计算目标节点的条件概率 P(Ni|E)，E 为已知 的证据节点，条件概率 P(Ni|E)反映了在给定的证 据 E 下，Ni节点为指定某个状态时的概率，当给 定的证据 E 为某些已知脆弱性作用下的系统节点 的状态时，条件概率 P(Ni|E)可以直接反映出这些 已知的脆弱性对系统后续状态的影响，也可以作 为已知脆弱性和作用在 Ni节点的脆弱性之间隐含 关系的量化反映。对第 3.2 节中经过采样的样本进 行分析，统计得到满足给定证据节点 E 状态的所 有样本集合，记为集合 S，样本的数目记为 Sum(E)， 在满足给定证据节点 E 状态的样本集合 S 中再统 计满足需要推理目标节点 Ni状态的样本集合，记 为集合 S,样本的数目为 Sum（Ni） ，则在给定证据 节点条件下所求的目标节点的条件概率为 )( )( )|( ESum NSum S S ENP i i 2) 多个目标节点的联合概率计算方法。 多个目标节点的联合概率 P(N1, N2, , Ni)表示 这些目标节点同时为某些状态时，事件发生的概 率，在网络的脆弱性评估中可以用来表示一次完 整攻击过程发生的可能性，可以作为网络整体安 全性评估的一个量化指标。利用第 3.2 节的一次 采样推理算法进行 N 次采样得到样本集合，记为 集合 SN对采样的样本进行分析，统计得到满足所 求联合概率中每个目标节点状态的所有样本集合， 记为集合 S，样本的数目为 Sum(N1, N2, Ni), 则根据联合概率的定义，所求多个目标节点的联 合概率近似值为 N NNNSum S S NNNP i N i ),( ),( 21 21 3.4 近似推理评估方法的误差分析 近似推理后，可以将近似推理结果与精确推 理的结果进行比较来反映近似推理的可行性和准 确性。以 k 个目标节点的联合概率 P(N1, N2, , Nk)为例，计算其精确推理结果与近似推理结 果。 这里计算所有节点状态都为真的情况，即： 196通 信 学 报第 29 卷 P(N1=T, N2=T, , Nk=T)，它表示一次完整攻击 发生的概率。 采用精确推理计算概率 P(N1=T, N2=T, , Nk=T)，根据联合概率的定义，可以用一个条件概 率链来表示 k i ii k TNTNTNTNP TNTNTNP 1 121 21 ),|( ),( 而根据贝叶斯网络隐含的独立关系，每个节 点除它的父节点与后继节点外，和其他节点都是 条件独立的，即 121 (|,) (|parent() ii ii P NT NT NTNT P NTNT 因此，上述联合概率的精确推理计算过程可 以表示为 12 1 (,) (|parent() k k ii i PP NT NTNT P NTNT 精确推理 采用近似推理计算，利用第 3.2 节中基于随机 采样的近似推理算法，选取适当的采样次数，进 行近似推理，选取样本中所有节点状态为 T 的样 本，统计其数目，使用第 3.3 节中多个目标节点的 联合概率计算方法，求得近似推理的概率值 P近似 推理。 近似推理获得的结果与真实结果之间的差异 大小可以采用误差分析，体现出近似推理算法的 可行性和准确性。近似推理的误差可以分为：确 定性绝对误差、确定性相对误差、概率性绝对误 差和概率性相对误差。本文采用计算近似推理结 果和精确推理结果的相对误差来反映通过相对误 差计算，可以采用如下公式计算 %100 精确推理 精确推理近似推理 P PP 如果需要多次推理结果，并对近似推理结果 的误差有严格的范围控制，则可以采用概率性相 对误差，假设要求的误差最大值为，则概率性 0 相对误差常采用如下公式表示 0 1()P 其中，。100% PP P 精确推理近似推理 精确推理 称为失败概率，表示近似推理结果与精确 推理结果之间的误差不满足误差限定值的概率。 0 上述两个误差的区别在于：确定性误差要求 近似推理结果一定要 100%满足误差限定，而概 0 率性误差允许近似推理结果可以不满足误差限定 ，但是不满足的概率不能大于失败概率。后 0 面的实验中只采用确定性相对误差来反映近似推 理结果和精确推理结果的差异大小。 4 实验分析 4.1 实验说明 实验网络拓扑如图 3 所示。 图 3 实验网络拓扑 实验数据采用Lincoln 实验室在2000 年采集的 攻击数据集LLDOS1.010。受 DARPA（defense advanced research projects agency）的委托，麻省理 工大学的Lincoln 实验室于1998 年和 1999 年对 DARPA 支持的 IDS 项目进行了两次IDS 离线评估， LLDOS1.0 是 Lincoln 实验室在这两次攻击测试的 基础上设计的一套多步攻击测试方案。实验网络被 划分为外网、DMZ 和内网三个区域，处于外网的 攻击者通过对内网的三台主机进行入侵并操控进行 DDoS 攻击。攻击详细过程介绍如表3 所示。 表 3攻击过程说明 攻击步骤攻击过程说明 1)扫描 攻击者通过 IPsweep 对实验网络进行扫描，根据 是否有主机返回响应数据包判断主机是否运行 2)探测 攻击者使用攻击脚本11对扫描到运行的主机进行 第 10 期贾炜等：基于贝叶斯网络近似推理的网络脆弱性评估方法197 探测，发现运行 sadmind 服务的主机 3)入侵 攻击者使用攻击脚本对探测到运行 sadmind 服务 的 3 台主机进行 sadmind 缓冲区溢出攻击，通过 使用新增账户 Telnet 登录入侵主机来检测攻击是 否成功 4) 安装 DDoS 攻击代理 攻击者利用 Telnet 远程登录攻击成功的主机，并 在主机上安装 DDoS 攻击代理程序，在一台主机 上安装控制程序，来控制其他主机发动 DDoS 攻 击 5) 启动 DDoS 攻击 攻击者登录控制端主机，控制其他主机产生大量 伪造的 IP 地址对攻击目标发动 DDoS 攻击，攻击 间隔为 5s 4.2 攻击仿真及状态转移图生成 通过对实验网络建模，利用模型检测工具 SPIN 对攻击过程进行仿真，生成攻击流程图描述 攻击的过程，攻击过程图如图 4(a)所示，在此基础 上，利用第 2 节描述的攻击状态转移图构建流程， 经过手工优化绘制实例的攻击状态转移图如图 4(b) 所示。 (a) 攻击过程 (b) 攻击状态转移 图 4 DDoS 攻击过程仿真图和攻击状态转移 4.3 近似推理及统计结果分析 首先对 LLDOS1.0 的攻击数据进行分析，获 取状态转移图中每个节点的条件概率。表 4 介绍 了每一个攻击步骤中分析得到的攻击成功的概率。 表 4攻击结果说明及成功概率 攻击步骤攻击结果说明成功概率 1) 扫描 向实验网络中的20 台主机发送 ICMP-echo-request 包，收到其中10 台主机返回的ICMP-echo-replies 包响 应 P=10/20=0.5 2) 探测 探测步骤 1 中有响应的 10 台主机， 3 台 solaris 主机返回运行 sadmind 服务的响应，主机名分别为： Pascal、Locke 和 Mill P=3/10=0.3 3) 入侵 对 3 台主机 Mill、Pascal 和 Locke 进行 sadmind 缓冲区溢出攻击。对 Mill 进行 3 次攻击尝试，前两次攻 击失败，第三次攻击后可以使用增 加的新账号 Telnet 登录。Psacal 和 Locke 两台主机各进行了 2 次攻击 尝试，第一次攻击失败，第二次攻 击成功 PMill=1/3=0.33 PPascal=1/2=0.5 PLocke=1/2=0.5 4) 安装 DDoS 攻击 代理 这一步攻击是建立在第三步攻击成 功的基础上，由于已经成功获取各 台主机的root 权限，该步攻击一次 成功 P =1 5) 启动 DDoS 攻击 攻击一次成功P=1 根据生成的状态转移图和表4 中每个攻击阶段 的条件概率值，使用第3.4 节介绍的精确推理计算 198通 信 学 报第 29 卷 方法，可以计算出整个攻击过程发生的精确推理概 率为 127 7 1 (Node,Node,Node) (|parent() 1 0.50.3 0.33 0.50.5 1 1 10.0125 ii i PTTT P NTNT 选取不同的采样次数进行近似推理，计算状 态转移图中所有节点状态都为真时的结果，并计 算近似推理结果与精确推理结果的相对误差，具 体的推理结果和相对误差值如表 5 所示。 表 5不同采样次数的推理结果和相对误差 采样推理次数节点状态都为 T 的样本数近似概率相对误差 100 次20.0260% 500 次100.0230% 1 000 次180.01844% 2 000 次290.014516% 3 000 次440.014314.4% 5 000 次700.01412% 10 000 次1350.01358% 20 000 次2650.013256% 30 000 次4000.01336.4% 50 000 次6620.013245.92% 根据表 5 的数据，做出推理结果和相对误差 值随采样次数的变化趋势曲线如图 5 所示。 图 5 近似推理结果分析 通过图 5 中相对误差随采样次数的变化趋势 曲线可以看出，当采样的样本数目较小时，相对 误差极大，随着采样样本数的不断增大，误差急 剧减小，逐渐逼近精确推理结果，当样本数目增 大到 10 000 后，近似推理与精确推理结果的相对 误差减小到 8%左右，这个误差是可以接受的，从 而也再次说明了基于随机采样的近似推理的可行 性。 5 结束语 本文提出了一种利用贝叶斯网络近似推理进 行网络脆弱性评估的方法，与以往其他脆弱性评 估方法不同，该方法将贝叶斯网络引入网络攻击 状态转移图中，采用贝叶斯网络近似推理的思路， 对网络每个节点进行采样，通过对采样样本的统 计分析得到近似推理的结果，反映网络中各种脆 弱性之间的相互影响以及多步攻击实现一次成功 攻击的概率。对于结构复杂庞大的网络，这种方 法可以解决精确推理难以实现的困难，获得与精 确推理近似的结果。 今后的研究工作包括对推理算法进行优化， 进一步提高算法的效率，丰富攻击方法的种类， 以便近似推理评估方法适用于更加复杂的网络情 况和更多种类攻击方法的推理评估。 参考文献： 1DACIER M, DESWARTE Y, KAANICHE M. Quantitative Assessment of Operational Security Models and ToolsR. 96493, LAAS, May 1996. 2PHILLIPS C, SWILER J. A graph-based system for network- vulnerability analysisA. Proceedings of the New Security Paradigms WorkshopC. Charlottesville, VA, 1998.