长春大学计算机科学技术学院 王绍强 邵 丹

1 引言

随着因特网技术的飞速发展，网络应用已深入各个领域，政府部门、军队、企事业单位和个人已经无时无刻离不开网络。然而，互联网技术革命为人们带来巨大好处的同时，黑客入侵、病毒和木马等网络安全问题也层出不穷，给社会、单位和个人带来了巨大的经济损失。网络安全技术的研究和发展也显得越发重要。黑客入侵通常都是围绕网络系统中的安全漏洞展开攻击的。安全漏洞是指计算机操作系统或应用程序等存在的可被利用攻击的入口，是软硬件和协议在具体实现或系统安全策略上的缺陷，使攻击者能够在未获得授权的情况下访问或破坏系统。更严重的是这些安全漏洞之间可能存在某种联系，一个漏洞被攻击利用后可能成为攻击另外一个漏洞的跳板。为了找出这些漏洞之间的关联关系，一种非常有效的方法就是使用网络攻击图技术，即模拟黑客利用漏洞攻击网络的过程，找出能到达最终目标的攻击路径，并把这些攻击路径用有向图的形式表示出来。

2 典型攻击图生成方法

攻击图可以分为状态攻击图和属性攻击图两类。状态攻击图中每个节点代表一个安全状态，攻击状态可由一系列安全属性组成，如主机名、权限、漏洞、服务等，有向边表示安全状态的改变。属性攻击图的每个节点代表一个安全属性，有向边表示属性之间的依赖关系。

最早的攻击图由Cunningham提出，其认为网络由各种组件构成，组件通过物理或逻辑方式连接。攻击图中的有向边表示需要付出的代价，攻击者通过攻击网络组件获取“收益”。Swiler提出的攻击图方法在安全分析中把网络拓扑结构信息也考虑在内。Ritchey等提出了采用模型检测器的方法，这种方法能够自动生成攻击图，但却由于模型包含所有的状态极易导致状态爆炸问题不适应于大规模网络。为此，Ammann提出了网络攻击的单调性假设，对攻击图生成过程予以限制的方法简化攻击图。Tao Zhang提出通过分析主机、链路关系和攻击特征构建安全状态模型，然后通过前向搜索、广度优先、深度限制来生成攻击路径的方法。Kyle Ingols提出基于多前置条件的网络攻击图生成方法，随着网络规模的增大，攻击图成近似线性增加。DapengMan提出基于宽度优先搜索的全局攻击图生成算法，通过限制攻击步骤和攻击路径的成功概率来减少攻击图的复杂性。李玲娟等提出一种基于代价分析和控制攻击深度的状态转移的攻击模型。何江湖等提出一种基于漏洞关联攻击代价的攻击图生成方法，该方法考虑到了结合漏洞间的相关性问题。赵芳芳等提出一种基于权限提升的网络攻击图生成方法。

3 攻击图生成方法研究

3.1 通用弱点评价体系（CVSS）评估指标

CVSS（Common Vulnerability Scoring System），即“通用弱点评价体系”，是由NIAC开发，由FIRST（事件反应和安全小组论坛）维护的一个开放的并且能够被产品厂商免费使用的标准。利用该标准，可以对弱点进行评分，进而确定修复不同弱点的优先等级。CVSS由美国国家漏洞库(NVD)发布并保持数据的更新。CVSS是2005年2月在美国国土安全部网站上最初公布的，旨在为软件安全漏洞的严重等级提供一个开放的和通用的标准。CVSS网站称，CVSS的目标是为所有软件安全漏洞提供一个严重程度的评级。2007年6月，FIRST发布了这个标准的第二版即CVSS 2.0。目前CVSS3.0业已发布，本文中涉及内容以CVSS2.0为准。CVSS评估系统Base Metric（基本评价）、Temporal Metrics（时效评价）、Environmental Metrics（环境评价）三部分组成，如图1所示。

图1 CVSS评估度量分类

Base Metric描述的是该安全漏洞本身固有的属性特点，并将这些特点可能造成的影响评估成分值，该评价与时间和用户环境无关。Base Metric包括Exploitability（利用评价）和Impact（影响评价）。Exploitability描述漏洞被利用的难易程度，包括Access Vector（攻击途径）、Access Complexity（攻击复杂度）、Authentication（认证）三个指标。Impact描述漏洞的危害性，包括Confidentiality（机密性）、Integrity（完整性）、Availability（可用性）三个指标。计算公式如下：

BaseScore = round_to_1_decimal(((0.6*Impact)+(0.4*Exploitability)-1.5)*f(Impact))

Impact = 10.41*(1-(1-ConfImpact)*(1-IntegImpact)*(1-AvailImpact))

Exploitability = 20* AccessVector*AccessComplexity*Authentication

f(impact)= 0 if Impact=0, 1.176 otherwise

Temporal Metrics描述的是漏洞与时间紧密相关的属性。因为漏洞与时间是有紧密联系的，评估值随时间的变化而改变。Temporal Metrics包括Exploitability（利用代码）、Remediation Level（修正措施）、Report Confidence（确认程度）三个时间评估指标。计算公式如下：

TemporalScore = round_to_1_decimal(BaseScore *Exploitability * Remediation Level* Report Confidence)

Environmental Metrics是可选指标，因为漏洞造成影响大小与用户自身实际环境密切相关，因此该指标由用户自评。由于该项与本文研究关系不大，不过多表述。

3.2 攻击图生成算法原理与实现

从以上评估指标可以看出Base Metric中的Exploitability与Temporal Metrics的评估值与漏洞攻击的复杂度（代价）密切相关，代价与Exploitability和Temporal Metrics成反比关系。根据对CVSS的计算公式进行适当修改后，节点漏洞的攻击代价计算公式为：

P=100/(Exploitability* TemporalScore)= round_to_1_decimal(100 / (20* AccessVector * AccessComplexity * Authentication *Exploitability * Remediation Level * Report Confidence))

一条路径的攻击代价为：

（i为当前攻击路径深度，n为总的攻击路径深度）。

本文拟采取正向广度优先搜索方法，即从攻击者的位置出发模拟攻击路径，基于路径节点漏洞的攻击代价来选出最优攻击路径。为了避免攻击图规模过大，应该在路径深度上进行限制。算法语言描述：①建立网络状态队列。②将初始状态加入队列。③从队列中取出一个节点状态。④若该节点深度小于最大深度限制则对当前状态的弱点考察攻击知识库，否则转到③。⑤如果条件满足则生成新状态节点并加入队列。⑥计算当前节点深度和代价。⑧从队列中再取新节点，直到队列为空结束循环。

4 仿真实验

本文构造的网络实验环境如图2所示。网络环境中同一网段内有4台主机H1、H2、H3、H4，它们与路由器相连，通过防火墙与外网隔开。H1、H2、H4是Windows主机，H3是linux主机。

图2 实验网络环境

表1 漏洞攻击代价情况

表2 攻击路径代价表

攻击者在外网中，对自己的主机H0拥有root权限。H1主机开放了IIS服务，H2开放了HTTP服务，H3开放了SMTP和FTP服务，H4开放了Telnet服务。防火墙只允许外部主机访问H1上的IIS服务，内网之间主机互访没有限制。攻击者的攻击目标是主机H4，要获得H4的root权限。利用前面定义的计算节点漏洞攻击代价的公式整理出主机漏洞与代价值如表1所示。

利用文中设计的算法，设定最大攻击深度为4，得出的路径及代价如表2所示。

由表2可知，路径（H0,H1,CVE-2002-0364）-＞(H1,H4,CVE-2005-0768)代价最小，攻击者最容易从此路径进行渗透，管理员可以有针对性地优先修补相应漏洞，提高网络安全性。

5 结束语

本文以通用弱点评价体系（CVSS）为基础，从中选取适当指标计算漏洞攻击代价，提出了一种基于代价的攻击图生成方法，简化了攻击图的生成，并找到最优路径，提高了网络渗透测试效率。

[1]A Complete Guide to the Common Vulnerability Scoring System Version 2.0.http://www.first.org/cvss/v2/guide.

[2]李玲娟,孙光辉.网络攻击图生成算法研究[J].计算机技术与发展,2010(10).

[3]张玺,黄曙光,夏阳,宋舜宏.一种基于攻击图的漏洞风险评估方法[J].计算机应用研究,2010(01).

[4]陆余良,宋舜宏,等.网络攻击图生成方法分析[J].安徽大学学报,2010(07).

[5]王国玉,王会梅,等.基于攻击图的计算机网络攻击建模方法[J].国防科技大学学报,2009(04).

[6]李锐.通用安全漏洞评估系统(CVSS)简介及应用建议[J].计算机安全,2011(05).