基于攻击树的网络攻击综合效能评估方法研究*

秦富童 刘迎龙 吴 迪 袁学军

（中国人民解放军63891部队 洛阳 471000）

1 引言

随着信息技术的迅速发展，网电空间已经逐渐成为未来信息化战争中的新作战领域［1］。在信息化战争条件下，确保和提高武器装备的抗网电攻击能力，对于实施有效的作战行动至关重要。面对诸多潜在的网络攻击造成的风险，摸清武器装备抗网电攻击能力底数的要求与日俱增。网络攻击综合效能评估技术通过具体的网络攻击建模手段，将武器装备系统在遭受外界网络攻击时的损伤程度给出定性、定量或者定性定量相结合的评估结果，以此度量系统的安全性，从而获取武器装备的抗网电攻击安全底数［2］。

当前，国内对网络攻击效果评估技术的研究工作主要是基于指标体系提出评估模型［3～7］。这些评估方法对网络攻击行为自身的复杂度与攻击的有效性之间的关联关系研究不足，注重攻击结果多于攻击过程，忽略了过程的决策性。针对武器装备的网络攻击测试，具有网络攻击测试预案已知、试验环境可控、评估指标数据易获取等特点。针对武器装备网络攻击测试的效果评估则更加注重攻击过程以及攻击自身的有效性。

因此本文在对网络攻击建模方法进行分析研究的基础上，结合武器装备网络攻击测试过程性的特点，提出基于攻击树的网络攻击建模及综合效能评估方法，并结合具体实例对本文提出的攻击树建模和评估方法进行验证，以期能更好地指导武器装备的抗网电攻击能力评估。

2 网络攻击任务建模方法研究

当前，网络攻击大多是复杂组合攻击［8］，且可采取的攻击手段复杂多样，要想把握其攻击特点并对其效果进行评估就必须采取与之相适应的描述模型直观反映攻击过程，体现攻击步骤及其导致的后果。本文中的网络攻击建模就是从网络攻击测试的角度出发，依据网络攻击测试预案提供的网络攻击步骤和方法，建立网络攻击任务的攻击树模型，进而为网络攻击综合效能评估提供支撑。

2.1 攻击树建模方法研究

攻击树模型是为了针对系统的威胁和攻击进行建模而设计的一种模型，攻击树可以结构化地表现出网络攻击的特征并很好地刻画攻击任务的全过程。每一个网络攻击都沿着攻击树上的某一路径逐步演化和发展，至成功结束或者被迫终止。在复杂网络攻击中，将网络攻击的相关属性和攻击树模型的要素对应起来，可设计出攻击树模型。具体对应关系如表1所示。

表1 网络攻击和攻击树模型的要素对应表

通过将网络攻击的各要素映射到攻击树模型，可建立基于攻击树的网络攻击模型，图1为模型示意图。

图1 攻击树模型示意图

1）攻击目标

攻击目标是指网络攻击要达到的效果，攻击者在达到攻击目标后可能会造成不良影响，例如信息窃取、恶意篡改数据、设备或系统瘫痪等。在一个网络攻击场景中可存在多个攻击目标，本文中将最终攻击目标称为攻击目标，中间的攻击目标称为攻击子目标。

2）攻击事件

攻击事件是指在一定时间范围内主机或网络中发生的特定攻击行为，可用下式表示攻击事件a。

式中，attackID表示攻击事件ID，srcIP表示源IP，dstIP表示目的IP，srcPort表示源端口号，dstPort表示目的端口号，timestamp表示攻击发生时间，type表示攻击类型，level表示攻击威胁程度，description表示对该攻击事件的描述。

3）攻击事件的转换

A攻击事件转换到B攻击事件的条件：

（1）攻击者已完成A攻击事件；

（2）若A为或节点，条件满足，若A为（顺序）与节点，攻击者还需完成与A配对的其它（顺序）与节点攻击事件。

4）节点

节点表示攻击事件或攻击子目标，攻击树的边是由子节点指向父节点的有向边，表示攻击事件（或子目标）的转换，由于在攻击树中，所有的边均是从子节点指向父节点，为简化分析，本文在后续攻击树的图形表示中未加方向箭头。

攻击树是以攻击目标为中心进行建模的，且节点之间存在不同的逻辑关系。在攻击树模型中，使用树状结构描述系统受到的网络攻击，根节点是攻击目标，达到目标的不同方法则用叶节点表示，非叶节点表示攻击的各子目标，包括“与”、“或”、“顺序与”三种类型（如图2所示），分别表示要达到攻击目标所需要满足的子目标之间的逻辑关系。

图2 攻击树模型中的节点表示方法

“与”节点所表示的目标的条件是其相关的子节点对应的子目标都要满足，“或”节点则是满足任意一个子目标即可，“顺序与”为真的条件是其子结点必须都为真，并且子结点为真满足特定的先后顺序。

2.2 复杂网络攻击任务建模方法

2.2.1 基于攻击树的复杂网络攻击任务建模方法

在网络攻击中，为了达到最终的攻击目的，一个完整的攻击过程总是由许多相对独立的组成元素所构成的。每一个攻击的组成元素有其明确的攻击目标，一个攻击过程的成功取决于各个攻击元素的效果［7］。为此，我们借鉴洛克希德·马丁公司计算机事件响应小组提出的经典攻击链模型［8］，将复杂的网络攻击划分成目标侦查、武器化、交付、漏洞利用、安装、命令和控制以及行动这七个阶段。基于攻击树对复杂网络攻击任务进行建模，即是将最终攻击目的作为攻击树的根节点，复杂网络攻击的各个阶段分别建立攻击树，作为整个复杂网络攻击任务攻击树的子节点。具体算法步骤如下：

Step 1：根据网络攻击机理和经典攻击链模型，将复杂网络攻击划分为N个阶段（N=1，…，7）。

Step 2：针对各个阶段的攻击目标，依据网络攻击任务预案枚举出攻击事件，确定攻击事件之间的“与”、“或”、“顺序与”关系，建立各阶段的攻击子树。

Step 3：根据复杂网络攻击任务各阶段攻击子树间的顺序关系，以及各阶段攻击子目标和整体攻击目标的关系，合并各阶段攻击子树，构建网络攻击整体的攻击树。

2.2.2 典型DDoS（Distributed denial of service attack）阻瘫攻击任务建模

为更好地阐述复杂网络攻击任务攻击树建模方法，本节以典型DDoS阻瘫攻击任务建模为例进行说明。

1）阻瘫攻击预案

攻击测试人员首先扫描目标网络中的活动主机，搜寻每个活动主机的授权用户和开放的服务。然后，利用相关服务的漏洞或破解ssh服务的用户密码，远程登录至傀儡主机，在傀儡主机上执行攻击命令。最后，分别尝试采用SYN-Flooding攻击、ICMP包攻击和UDP包攻击等直接DDoS攻击，采用TCP SYN包攻击和Smurf攻击等反射DDoS攻击，对目标主机发起DDoS阻瘫攻击。

2）复杂网络攻击任务攻击树建模

根据经典攻击链模型和阻瘫攻击预案，可将DDoS阻瘫攻击划分为三个阶段，分别是目标侦查、命令和控制以及行动。

DDoS阻瘫攻击在目标侦查阶段的攻击子目标是发现目标主机和傀儡主机，并对目标主机和傀儡主机进行勘查，主要包括三个攻击事件：搜寻活动主机、搜寻授权用户、搜寻开放的服务，三个攻击事件之间是“或”关系。此阶段的攻击子树如图3所示。

图3 DDoS阻瘫攻击目标侦查阶段攻击子树

DDoS阻瘫攻击在命令和控制阶段的攻击子目标是控制傀儡主机，利用傀儡主机的资源对目标主机发起攻击，主要包括两个攻击事件：远程登录至傀儡主机、执行攻击命令。两个事件之间是“顺序与”关系，首先登录至傀儡主机，然后才能执行攻击命令。此阶段的攻击子树如图4所示。

图4 DDoS阻瘫攻击命令和控制阶段攻击子树

DDoS阻瘫攻击在行动阶段的攻击子目标是进行DDoS攻击，通过在傀儡主机上执行不同的攻击命令，实现不同方式的DDoS攻击，主要包括“直接DDoS攻击”和“反射DDoS攻击”两个攻击场景。“直接DDoS攻击”攻击场景下包括SYN-Flooding攻击、ICMP包攻击和UDP包攻击三个攻击事件，各攻击事件之间是“或”关系。“反射DDoS攻击”攻击场景下包括TCP SYN包攻击和Smurf攻击两个攻击事件，各攻击事件之间是“或”关系。此阶段的攻击子树如图5所示。

图5 DDoS阻瘫攻击行动阶段攻击子树

最后，根据DDoS阻瘫攻击各阶段攻击子树间的顺序关系，以及各阶段的攻击子目标和整体攻击目标的关系，合并各阶段攻击子树，构建DDoS攻击整体的攻击树，如图6所示。

图6 DDoS阻瘫攻击整体攻击树

3 基于攻击树的网络攻击综合效能评估方法研究

网络攻击综合效能评估方法研究一般包括三个方面的内容：一是网络攻击效果评估指标体系研究；二是网络攻击效果评估模型研究；三是网络攻击综合效能评估模型研究。其中，网络攻击效果评估指标体系、网络攻击效果评估模型已经有很多成熟的研究成果［3～7，9～13］可以借鉴，本文重点研究网络攻击综合效能评估模型。

3.1 基于攻击树的网络攻击综合效能评估框架

对于网络攻击效果进行研究就是通过分析攻击者的攻击过程，体现攻击步骤，并对其造成的结果进行评估。本文设计的网络攻击效能综合评估框架如图7所示。基于预设的攻击任务执行相应的网络攻击并获取到攻击数据，得到原始的攻击结果指标数据。由于网络攻击是分阶段进行的，在攻击树模型中表现为不同阶段的攻击子树。因此，需要对攻击子树对应的指标数据进行提取，利用主观赋权与客观赋权相结合的方法对各个指标的权重赋值，并根据指标类型选择相应的评估模型，包括灰色关联评估模型、逼近理想解评估模型以及模糊综合评估模型等，通过评估模型获得攻击子树节点的评估结果。通过判断子树之间的与/或关系，结合各个子树的评估结果进行综合的量化评估，最终得到整棵攻击树的综合效能评估结果。

图7 网络攻击综合效能评估框架

3.2 基于递归层次分析法的攻击效果综合量化评估方法

一次完整的复杂网络攻击，一般均由多个攻击阶段组成，如何将多个攻击阶段的攻击效果进行综合以反映整个网络攻击任务的攻击效果，即是网络攻击综合效能评估的最终目的。由攻击树建模方法可知，攻击树的根节点代表攻击的最终目标，子节点表示实现该目标的子目标，层层细化，从叶节点到根节点的路径表示实现对目标进行攻击的一个完整攻击过程。在实际应用中，子目标之间通常存在严格的顺序约束关系，攻击树中包含“与”、“或”、“顺序与”三种节点关系。“与”表示节点代表的手段和方法要同时完成才可以实现父节点，“或”表示只要完成其中一个子节点就可以实现父节点，“顺序与”表示节点必须按照顺序依次完成才能实现父节点目标。

为充分体现网络攻击过程的决策性，依据攻击树节点关系设计网络攻击效果的综合量化评估方法，具体计算步骤如下。

Step 1：计算攻击树中各叶子节点的攻击效果值。

Step 2：根据攻击树节点深度和节点之间关系，从低到高依次计算各节点的攻击效果值。具体算法如下。

以R表示目标网络被攻击后的破坏程度，破坏程度越大，攻击效果越好。

假设两个子节点的攻击效果分别为R1和R2，根据节点间的关系，按照如下的计算方法得到父节点的综合攻击效果R。

若两个子节点之间为“与”关系，则父节点的综合攻击效果R为各子节点攻击效果之积的均方根值：

若两个子节点之间为“或”关系，则父节点的综合攻击效果R为各子节点中攻击效果的最大值：

若两个子节点之间为“顺序与”关系，当子节点执行顺序无误时，父节点的综合攻击效果R为各子节点攻击效果之积的均方根值；当子节点执行顺序有误时，父节点的综合攻击效果R为0。

Step 3：根据步骤2计算所得的攻击树根节点的攻击效果值即为网络攻击任务的综合效能评估结果。

3.3 典型DDoS阻瘫攻击综合效能评估

在上文对典型DDoS阻瘫攻击任务建模的基础上，本节以具体数据验证综合效能评估方法的可行性。基于递归层次分析法的攻击效果综合量化评估方法，对于网络攻击综合效果的评估，具体实施步骤如下。

Step 1：计算攻击树中各叶子节点的攻击效果值，如表2为图6攻击树中各叶子节点的攻击效果值。由于网络攻击效果评估指标体系和评估方法已经有很多成熟的研究成果可以借鉴，对于各叶子节点的攻击效果评估值计算方法在此不再赘述。

表2 攻击树各叶子节点攻击效果评估值

Step 2：根据攻击树节点深度和节点之间关系，从低到高依次计算各节点的攻击效果值。

Step 2.1：“SYN-Flooding攻击”、“ICMP包攻击”和“UDP包攻击”子节点之间为“或”关系，则“直接DDoS攻击”节点的综合攻击效果R为各子节点中评估结果量化值的最大值，即“直接DDoS攻击”节点的综合量化评估结果数值为0.42469。

Step 2.2：“TCP SYN包攻击”和“Smurf攻击”子节点之间为“或”关系，则“反射DDoS攻击”节点的综合攻击效果R为各子节点中评估结果量化值的最大值，即“反射DDoS攻击”节点的综合量化评估结果数值为0.42756。

Step 2.3：“直接 DDoS 攻击”和“反射 DDoS 攻击”子节点之间为“或”关系，则“执行攻击命令”节点的综合攻击效果R为各子节点中评估结果量化值的最大值，即“执行攻击命令”节点的综合量化评估结果数值为0.42756。

Step 2.4：“搜寻活动主机”、“搜寻授权用户”和“搜寻已开放服务”子节点之间为“或”关系，则“主机勘查”节点的综合攻击效果R为各子节点中评估结果量化值的最大值，即“主机勘查”节点的综合量化评估结果数值为0.40961。

Step 2.5：“远程登录至傀儡主机”和“执行攻击命令”子节点之间为“顺序与”关系，则“控制傀儡主机”节点的综合攻击效果R为各子节点综合评估结果之积的均方根值，即“控制傀儡主机”节点的综合量化评估结果数值为0.42264。

Step 2.6：“主机勘查”和“控制傀儡主机”子节点之间为“顺序与”关系，则“DDoS攻击”节点的综合攻击效果R为各子节点综合评估结果之积的均方根值，即“DDoS攻击”节点的综合量化评估结果数值为0.41607。

Step 3：结合上述评估步骤可知，DDoS阻瘫攻击任务的综合量化评估结果数值为0.41607。

4 结语

本文面向武器装备系统抗网络攻击测试需求，主要研究了基于攻击树的网络攻击建模方法和网络攻击综合效能评估方法。结合洛克希德·马丁公司计算机事件响应小组提出的经典攻击链模型，提出基于攻击事件关系和攻击阶段的攻击树建模方法，可有效体现网络攻击的阶段性、过程性。借鉴前人的经验，对攻击树中各叶子节点的攻击效果进行评估，并提出基于递归层次分析法的攻击效果综合量化评估方法，该综合效能评估方法体现了攻击过程的决策性。本文提出的攻击树建模方法和网络攻击综合效能评估方法，能够充分体现网络攻击的过程性，弥补了以往网络攻击效果评估只重结果忽视过程的不足，可以为武器装备的抗网络攻击能力评估提供借鉴。