基于贝叶斯网络的攻击图方法在网络安全评估中的应用

摘 要： 随着网络的发展，网络安全评估成为网络维护中不可或缺的组成部分，尽管攻击图、攻击树和其他技术已被广泛地用于预测所有漏洞，但仍然缺少一个有效的手段来量化地分析网络安全。介绍一个新方法构建一个带标记的攻击图，图中的每个节点都被标注了一个概率值用来说明该漏洞被成功利用的可能性，每条边都代表了漏洞间的关联。采用通用漏洞评分系统（CVSS）作为基础计算每个漏洞被利用的概率，采用贝叶斯网络计算累积的概率，并用一些典型场景评估了该方法的有效性和准确性。

关键字： 网络安全； 攻击图； 贝叶斯网络； 通用漏洞评分系统

中图分类号： TN915.08?34； TP393 文献标识码： A 文章编号： 1004?373X（2013）09?0084?04

0 引 言

网络如今运行在一个高科技和开放的环境中。企业越来越依靠他们的网络在本土和国际市场中竞争。世界范围的广泛连接既为企业提供了竞争力同时也将企业暴露在多种多样的攻击前。高科技犯罪和信息的误用和滥用给越来越多的企业带来巨大的损失[1]，随着网络的发展，自动化的评估网络的攻击漏洞已变得越来越重要。

许多研究者提出了使用攻击树和攻击图来建模网络安全的风险评估方法[2?3]。通过在模型中寻找攻击路径来确定可能导致损失的状况。但是，绝大多数模型并不能定量地分析漏洞的风险，忽略了漏洞之间的相互关系。

在本文中，介绍一种新方法来构建带标记的攻击图（AG），攻击图中的每个节点都标注了概率值来表示该漏洞被成功利用的概率，图中的边代表了漏洞之间的关联。采用通用漏洞评分系统（Common Vulnerability Scoring System，CVSS）作为计算每个漏洞概率的基础，并采用贝叶斯网络计算累积的概率。

1 攻击图的产生

攻击图用来建模如何将漏洞组成一次攻击的专家知识，攻击图通过使用与网络安全相关的条件表现系统的状态。通过攻击图，可以看出在那台主机上具有什么样的漏洞，主机之间的联系，以及漏洞被利用之后的状态转变，攻击图是一个有向无环图。

定义1 攻击图是一个有向无环图，[G（E?C，][ REC?RCE） ]，其中[E]是漏洞的集合，[C]是条件集合，且[REC?][E×C]，[RCE?C×E]。

图1列举了一个简单例子，主机1是一个服务器，提供了rsh，ssh和ftp服务，另一个服务器——主机2提供了rsh和ftp服务。防火墙允许远程用户（攻击者0）通过这些端口来访问服务器。于是这个场景的攻击图如图2所示。漏洞被表示为椭圆并有一个或两个参数写入在括号内，第一个参数标记了连接的起源，第二个参数标记了连接的终点。从图2中可以看到有三条路径从初始状态user（0）到达目标状态root（2）。构建攻击图采用的是TVA （Topological Vulnerability Analysis）系统[4]，这个系统可以预测所有漏洞的可能路径并可以从很多知名的系统获取漏洞的信息，例如Snort和CERT。