0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

一种基于FAHP和攻击树的信息系统安全评估方法

SwM2_ChinaAET 来源:未知 作者:李倩 2018-09-02 10:37 次阅读

摘要:

为进一步提高信息系统安全风险评估结果的准确性和可用性,降低主观因素的影响,以模糊层次分析法和攻击树模型为基础,对信息系统的安全风险进行评估。首先,采用攻击树模型描述系统可能遭受的攻击;其次,假定各叶节点具有不同的安全属性,采用模糊层次分析法求解各安全属性的权值,为降低专家评分的主观因素影响,假定各属性得分为区间变量,建立基于区间变量的属性概率发生模型。最后,采用实例进行分析验证,结果表明该方法不仅进一步降低了风险评估时主观因素的影响,且思路清晰,方法简单,具有较强的通用性和工程应用价值。

0 引言

20世纪90年代末,SCHNEIER B首先提出攻击树概念[1],因其层次清晰、直观形象等特点,后被广泛用于系统安全威胁分析和风险建模[2-6]。但在定量分析方面,传统的攻击树建模存在不足,因而大量攻击树模型的改进方法被业界学者提出,用于提高网络安全风险评估的效果。张春明等[7]提出了基于攻击树的网络安全事件评估方法,为制订安全防护策略提供了有力支持。王作广等[8]基于攻击树和CVSS对工业控制系统进行风险量化评估,但在根据CVSS 3.0规范求解叶节点的概率时,并未对各节点的属性进行分析。李慧[9]、黄慧萍[10]、任丹丹[11]等采用攻击树模型分别对数传电台传输安全、工业控制系统、车载自组织网络进行威胁建模或安全风险评估,但在各安全属性计算上还存在不足。基于上述文献可知,采用攻击树模型进行系统安全风险分析时,主要存在两个方面的不足:一是如何对各安全属性进行准确分析;二是如何定量分析各叶节点的发生概率,降低主观因素的影响。鉴于此,本文采用模糊层析分析法(Fuzzy Analytic Hierarchy Process,FAHP)对攻击树模型进行改进,首先赋予各叶节点特定的安全属性,然后基于评估对象的特点采用FAHP计算各安全属性的权值,同时利用基于区间变量的属性概率发生模型求解各属性的发生概率,最后计算各叶节点的发生概率。该模型充分考虑攻守双方的博弈过程,能够更加准确、合理地评估系统所存在安全风险,可为后续安全防护策略的制定提供技术支撑。

1 攻击树模型

在攻击树模型中,根节点代表攻击目标;叶节点代表攻击过程中采用的各种攻击方法[12-13]。叶节点之间的关系包括:与(AND)、或(OR)和顺序与(Sequence AND,SAND)3种[7]。采用FAHP对攻击树模型进行改进,并将其用于系统安全风险分析,主要思路如图1所示。

2 基于FAHP的攻击树模型改进

2.1 叶节点的指标量化

由于攻击的实现可能受多个因素的影响,为反映各因素对攻击事件的影响,给各叶节点赋予3个安全属性:实现攻击的难易程度(difficulty) 、实现攻击所需的攻击成本(cost)和攻击被发现的可能性(detection)。根据多属性效用理论,将以上3个属性转化为达成目标的效用值,进一步可计算叶节点的发生概率[8,12]:

在实际工程应用中,通常采用专家打分的方法对叶子节点各安全属性值进行赋值。分析之前可做如下假设:

2.2 安全属性权值

采用FAHP对攻击成本、难易程度和攻击被发现的可能性这3个安全属性的权值Wdif、Wcos、Wdet进行求解。根据该层各因素受攻击后对上一层因素造成的相对危害程度,来确定本层次各因素的相对重要性。本文采用0.1~0.9的标度,将相对重要性给予定量描述,比较尺度如表2所示[12]。根据表2确定每个属性的重要程度,并构造判断矩阵C[15]:

a与权重的差异度成反比,即a越大,权重的差异度越小;a越小,权重的差异大越大。当a=(n-1)/2时,权重的差异度越大。本文取a=(n-1)/2,RC为一个3阶矩阵,因此a=(n-1)/2=1,其中,n为模糊一致矩阵的阶数,得到wc=[0.383 4,0.333 3,0.283 3]。由此,可以得到Udif=0.383 4、Udet=0.333 3、Ucos=0.283 3,利用式(1)最终求得叶节点的发生概率。

2.3 根节点的发生概率

计算根节点发生概率需首先确定攻击路径,攻击路径是一组叶节点的有序集合,完成这组攻击事件(叶节点)即可达成攻击目标。构造攻击路径的算法如下:

(1)假设G为攻击树的根节点,n为根节点的度。

(2)对可能的攻击路径Ri=(X1,X2,…,Xm),i={1,2,…,n}进行分析:对G所有的子节点进行搜寻,如果该子节点为叶节点Mi,则确定其中一条可能的攻击路径,否则以各子节点为根,对下一级子节点进行搜寻,直至将所有可能的攻击路径确定为止。

(3)求解每一条攻击路径可能发生的概率:采用自底向上的方式,由子节点求解父节点发生的概率,具体可参考文献[7]和文献[17]。

假设安全事件有n种攻击路径,且攻击路径Ri=(X1,X2,…,Xm),i={1,2,…,n},其中Xi表示各叶节点。则路径Ri发生的概率为:P(Ri)=P(X1)×P(X2)×…×P(Xm),i={1,2,…,n},对比各攻击路径发生概率的计算结果,其数值大小可反映攻击者对攻击方式的选择倾向,应重点防御概率最大的攻击方式。

3 实例验证

本文采用文献[12]实例进行应用验证分析与对比。仍以某军事业务系统内部人员窃取文件资料为例建立攻击树模型,如图2所示,各节点含义如表3所示。具体步骤和典型的内部人员攻击手段可参考文献[12],本文不再赘述。

利用表1的评分标准,对此攻击树中各叶节点的安全属性值打分。为了更好地验证本文方法的有效性,此处采用文献[12]的评分结果,具体如表4所示。

假定表4中各叶节点的得分为得分区间值的中值,X的取值为评分等级最大值时,mid+αXmid,X=Xmid-αXmid。不失一般性,取置信水平α=0.1,则进一步可得各安全属性得分区间值。根据式(3)和式(6)分别求解各属性的效用值及对应的权值,最后根据式(1),即可得各叶节点的发生概率,结果如图3所示。

由图3可知,本文方法与文献[12]中各叶节点发生概率的最大差异在于叶节点X8的发生概率,本文中P8(X8)=0.746 9,文献[12]中P8(X8)=0.929 0,产生该情况的主要原因是各安全属性权值不同,本文方法和文献[12]中各属性权值如表5所示。

在构造判断矩阵时,各属性的重要程度梯度较小,所求权值应当与重要程度相吻合,而文献[12]中各权值的取值差异较大,根本原因在于层次分析法主观性较强,而本文采用模糊层次分析法,一定程度上降低了主观因素的影响,进一步说明了本文方法的有效性。

根据2.3节中的攻击路径算法,列出所有可能的攻击序列:R1=(X1);R2=(X2);R3=(X3);R4=(X4);R5=(X5);R6=(X6);R7=(X7);R8=(X8,X9);R9=(X8,X10);R10=(X8,X11);R11=(X12)。

根据式P(Ri)=P(X1)×P(X2)×…×P(Xm),各攻击序列的发生概率如图4所示。

由图4可知,R11电磁泄漏发生概率最大,即攻击者极有可能利用电磁泄露等问题进行攻击;其次是内部人员窃取文件资料的攻击树模型中R5、R6、R7攻击序列发生的概率较大,也即攻击者很有可能利用系统自身的漏洞实现窃密行为。而与文献[12]的结论相比,攻击树模型中R5、R6、R7攻击序列发生的概率最大,其次是电磁泄漏发生概率,造成最终结论存在误差的根本原因是各安全属性权值不同,其原因与叶节点发生概率相同,此处不再赘述。基于上述分析,该军事业务系统需要针对攻击序列R5、R6、R7、R11采取相关的安全防护措施。

上述分析是在置信水平α=0.1时给出的分析结论,为了进一步研究不同置信水平对安全风险评估结果的影响,下面给出不同置信水平下各攻击序列的发生概率,具体如表6所示。

由表6可知,随着置信水平的增加,各攻击序列的发生概率呈递增的趋势,主要是由于随着置信水平的增加,将安全属性得分取平均的范围增大引起的;随着置信水平的增加,各攻击序列的发生概率大小的顺序不变,进一步说明置信水平的取值对最终一致性结论影响较小。

4 结论

本文提出了一种基于FAHP和攻击树的信息系统安全评估方法,并通过实例进行了对比验证。首先,采用FAHP进行各安全属性权值求解,降低了评估过程中的主观因素;其次,在各叶节点发生概率求解时,将各属性得分假定为区间变量,一定程度上降低了专家认知不确定带来的影响,进一步增加了各属性的信息量,提高了各叶节点发生概率的精度;最后,通过实例给出了对信息系统进行安全评估的典型方法步骤,找出了攻击者最可能采取的攻击方式,可为系统的安全防护体系构建提供技术支撑。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3126

    浏览量

    59595
  • 系统安全
    +关注

    关注

    0

    文章

    44

    浏览量

    14498
  • FAHP
    +关注

    关注

    0

    文章

    2

    浏览量

    6748

原文标题:【学术论文】基于FAHP和攻击树的信息系统安全风险评估

文章出处:【微信号:ChinaAET,微信公众号:电子技术应用ChinaAET】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    VPN在信息系统安全等级保护中的应用

    等级保护中边界防护和通信传输安全需求,结合VPN技术和产品特点,提出一种信息系统安全等级防护设计中基于VPN的网络安全解决方案。
    发表于 03-12 10:40 2467次阅读
    VPN在<b class='flag-5'>信息系统安全</b>等级保护中的应用

    请教大神怎样去设计一种DBAS应用系统安全架构?

    软件体系结构是由哪些部分组成的?设计过程包括哪些部分?怎样去设计一种DBAS应用系统安全架构?
    发表于 07-22 08:16

    基于Petri网的指挥信息系统死锁防治算法

    多兵种联合作战指挥信息系统死锁防治是保障系统安全可靠的根本问题,也是有待解决的难点之。该文提出一种描述指挥信息系统的形式化
    发表于 04-03 08:39 12次下载

    基于免疫网络的信息安全风险评估模型

    风险评估是评价网络信息系统安全的有效措施之。该文基于免疫网络可动态实时诊断的特性,提出一种新的信息安全
    发表于 04-10 08:44 14次下载

    一种网络安全评估算法

    对网络系统安全评估问题进行了研究,提出了一种评估网络系统安全的新算法。该算法基于代码分析、协议分析、脆弱性检测、认证检1测等四
    发表于 08-06 11:35 25次下载

    基于Web的信息系统安全风险评估工具的设计

    本文作者在对信息系统安全风险评估理论和方法进行深入研究的基础上,根据自身参与信息系统安全风险评估的工作实践,提出了
    发表于 08-11 10:45 25次下载

    网络信息系统安全评价体系研究

    网络安全评估模型研究是本着以实现系统安全为目的,按照科学的程序和方法,对系统中危险要素进行充分的定性、定量分析,并做出综合评价。
    发表于 08-25 08:46 13次下载

    移动智能终端操作系统安全评估方法

    移动智能终端操作系统安全评估方法
    发表于 10-31 09:17 3次下载
    移动智能终端操作<b class='flag-5'>系统安全</b>的<b class='flag-5'>评估</b><b class='flag-5'>方法</b>

    基于攻击防御和博弈论的评估方法

    信息安全评估是保障SCADA系统正常工作的基础性工作。现有各类评估方法都未考虑
    发表于 11-21 15:43 2次下载
    基于<b class='flag-5'>攻击</b>防御<b class='flag-5'>树</b>和博弈论的<b class='flag-5'>评估</b><b class='flag-5'>方法</b>

    基于模糊层次分析法的安全态势评估

    对已有的安全态势评估方法进行了详细分析和比较,针对现有态势评估方法中存在的主观随机性,结合信息系统
    发表于 11-24 10:27 0次下载
    基于模糊层次分析法的<b class='flag-5'>安全</b>态势<b class='flag-5'>评估</b>中

    一种EPCBC密码代数侧信道攻击方法

    密码是信息安全的基础,传统的密码分析方法从密码算法理论上设计安全性分析密码。但是,该设计的安全性不等价于实践中的实现
    发表于 01-30 11:37 0次下载
    <b class='flag-5'>一种</b>EPCBC密码代数侧信道<b class='flag-5'>攻击</b><b class='flag-5'>方法</b>

    一种基于攻击模型的4G网络评估方法

    针对4G网络的安全风险评估问题,提出一种基于攻击模型的评估
    发表于 03-21 09:27 4次下载
    <b class='flag-5'>一种</b>基于<b class='flag-5'>攻击</b><b class='flag-5'>树</b>模型的4G网络<b class='flag-5'>评估</b><b class='flag-5'>方法</b>

    一种可行的分布式存储系统安全构造方法

    核心薄弱点,结合防护的代价与有效性提出一种可行的系统安全构造方法。以大数据 Hadoop分布式文件系统为目标对象,设计面向元数据服务的拟态化架构,利用搭建元数据服务的动态异构冗余结构保
    发表于 04-02 11:01 21次下载
    <b class='flag-5'>一种</b>可行的分布式存储<b class='flag-5'>系统安全</b>构造<b class='flag-5'>方法</b>

    基于生物免疫原理的信息系统免疫安全防护架构

    本文利用生物免疫自适应、自学习的特点,结合信息系统部署应用模式,从系统、网络、终端侧分别进行安全防护设计,并进行各类安全防护资源的体系化管理运用,实现
    发表于 11-30 16:18 583次阅读

    攻击者角度浅谈系统安全

    攻击者主要的目标围绕着破坏系统安全性问题,通过深入了解系统安全攻击者,从攻击者的视角上来考虑设计系统安
    发表于 12-21 15:05 565次阅读