0 引言

    20世纪90年代末，SCHNEIER B首先提出攻击树概念^[1]，因其层次清晰、直观形象等特点，后被广泛用于系统安全威胁分析和风险建模^[2-6]。但在定量分析方面，传统的攻击树建模存在不足，因而大量攻击树模型的改进方法被业界学者提出，用于提高网络安全风险评估的效果。张春明等^[7]提出了基于攻击树的网络安全事件评估方法，为制订安全防护策略提供了有力支持。王作广等^[8]基于攻击树和CVSS对工业控制系统进行风险量化评估，但在根据CVSS 3.0规范求解叶节点的概率时，并未对各节点的属性进行分析。李慧^[9]、黄慧萍^[10]、任丹丹^[11]等采用攻击树模型分别对数传电台传输安全、工业控制系统、车载自组织网络进行威胁建模或安全风险评估，但在各安全属性计算上还存在不足。基于上述文献可知，采用攻击树模型进行系统安全风险分析时，主要存在两个方面的不足：一是如何对各安全属性进行准确分析；二是如何定量分析各叶节点的发生概率，降低主观因素的影响。鉴于此，本文采用模糊层析分析法（Fuzzy Analytic Hierarchy Process，FAHP）对攻击树模型进行改进，首先赋予各叶节点特定的安全属性，然后基于评估对象的特点采用FAHP计算各安全属性的权值，同时利用基于区间变量的属性概率发生模型求解各属性的发生概率，最后计算各叶节点的发生概率。该模型充分考虑攻守双方的博弈过程，能够更加准确、合理地评估系统所存在安全风险，可为后续安全防护策略的制定提供技术支撑。

1 攻击树模型

    在攻击树模型中，根节点代表攻击目标；叶节点代表攻击过程中采用的各种攻击方法^[12-13]。叶节点之间的关系包括：与(AND)、或(OR)和顺序与(Sequence AND，SAND)3种^[7]。采用FAHP对攻击树模型进行改进，并将其用于系统安全风险分析，主要思路如图1所示。

2 基于FAHP的攻击树模型改进

2.1 叶节点的指标量化

    由于攻击的实现可能受多个因素的影响，为反映各因素对攻击事件的影响，给各叶节点赋予3个安全属性：实现攻击的难易程度(difficulty) 、实现攻击所需的攻击成本（cost）和攻击被发现的可能性(detection)。根据多属性效用理论，将以上3个属性转化为达成目标的效用值，进一步可计算叶节点的发生概率^[8，12]：

    在实际工程应用中，通常采用专家打分的方法对叶子节点各安全属性值进行赋值。分析之前可做如下假设：

2.2 安全属性权值

    采用FAHP对攻击成本、难易程度和攻击被发现的可能性这3个安全属性的权值W_dif、W_cos、W_det进行求解。根据该层各因素受攻击后对上一层因素造成的相对危害程度，来确定本层次各因素的相对重要性。本文采用0.1～0.9的标度，将相对重要性给予定量描述，比较尺度如表2所示^[12]。根据表2确定每个属性的重要程度，并构造判断矩阵C^[15]：

    a与权重的差异度成反比，即a越大，权重的差异度越小；a越小，权重的差异大越大。当a=(n-1)/2时，权重的差异度越大。本文取a=(n-1)/2，R_C为一个3阶矩阵，因此a=(n-1)/2=1，其中，n为模糊一致矩阵的阶数，得到w_c=[0.383 4，0.333 3，0.283 3]。由此，可以得到U_dif=0.383 4、U_det=0.333 3、U_cos=0.283 3，利用式(1)最终求得叶节点的发生概率。

2.3 根节点的发生概率

    计算根节点发生概率需首先确定攻击路径，攻击路径是一组叶节点的有序集合，完成这组攻击事件（叶节点）即可达成攻击目标。构造攻击路径的算法如下：

    （1）假设G为攻击树的根节点，n为根节点的度。

    （2）对可能的攻击路径R_i=(X₁，X₂，…，X_m)，i={1，2，…，n}进行分析：对G所有的子节点进行搜寻，如果该子节点为叶节点M_i，则确定其中一条可能的攻击路径，否则以各子节点为根，对下一级子节点进行搜寻，直至将所有可能的攻击路径确定为止。

    （3）求解每一条攻击路径可能发生的概率：采用自底向上的方式，由子节点求解父节点发生的概率，具体可参考文献[7]和文献[17]。

    假设安全事件有n种攻击路径，且攻击路径R_i=(X₁，X₂，…，X_m)，i={1，2，…，n}，其中X_i表示各叶节点。则路径Ri发生的概率为：P(R_i)=P(X₁)×P(X₂)×…×P(X_m)，i={1，2，…，n}，对比各攻击路径发生概率的计算结果，其数值大小可反映攻击者对攻击方式的选择倾向，应重点防御概率最大的攻击方式。

3 实例验证

    本文采用文献[12]实例进行应用验证分析与对比。仍以某军事业务系统内部人员窃取文件资料为例建立攻击树模型，如图2所示，各节点含义如表3所示。具体步骤和典型的内部人员攻击手段可参考文献[12]，本文不再赘述。

    利用表1的评分标准，对此攻击树中各叶节点的安全属性值打分。为了更好地验证本文方法的有效性，此处采用文献[12]的评分结果，具体如表4所示。

    假定表4中各叶节点的得分为得分区间值的中值，X的取值为评分等级最大值时，=X，其他情况=X_mid+αX_mid，X=X_mid-αX_mid。不失一般性，取置信水平α=0.1，则进一步可得各安全属性得分区间值。根据式(3)和式(6)分别求解各属性的效用值及对应的权值，最后根据式(1)，即可得各叶节点的发生概率，结果如图3所示。

    由图3可知，本文方法与文献[12]中各叶节点发生概率的最大差异在于叶节点X8的发生概率，本文中P₈(X₈)=0.746 9，文献[12]中P₈(X₈)=0.929 0，产生该情况的主要原因是各安全属性权值不同，本文方法和文献[12]中各属性权值如表5所示。

    在构造判断矩阵时，各属性的重要程度梯度较小，所求权值应当与重要程度相吻合，而文献[12]中各权值的取值差异较大，根本原因在于层次分析法主观性较强，而本文采用模糊层次分析法，一定程度上降低了主观因素的影响，进一步说明了本文方法的有效性。

    根据2.3节中的攻击路径算法，列出所有可能的攻击序列：R₁=(X₁)；R₂=(X₂)；R₃=(X₃)；R₄=(X₄)；R₅=(X₅)；R₆=(X₆)；R₇=(X₇)；R₈=(X₈，X₉)；R₉=(X₈，X₁₀)；R₁₀=(X₈，X₁₁)；R₁₁=(X₁₂)。

    根据式P(R_i)=P(X₁)×P(X₂)×…×P(X_m)，各攻击序列的发生概率如图4所示。

    由图4可知，R₁₁电磁泄漏发生概率最大，即攻击者极有可能利用电磁泄露等问题进行攻击；其次是内部人员窃取文件资料的攻击树模型中R₅、R₆、R₇攻击序列发生的概率较大，也即攻击者很有可能利用系统自身的漏洞实现窃密行为。而与文献[12]的结论相比，攻击树模型中R₅、R₆、R₇攻击序列发生的概率最大，其次是电磁泄漏发生概率，造成最终结论存在误差的根本原因是各安全属性权值不同，其原因与叶节点发生概率相同，此处不再赘述。基于上述分析，该军事业务系统需要针对攻击序列R₅、R₆、R₇、R₁₁采取相关的安全防护措施。

    上述分析是在置信水平α=0.1时给出的分析结论，为了进一步研究不同置信水平对安全风险评估结果的影响，下面给出不同置信水平下各攻击序列的发生概率，具体如表6所示。

    由表6可知，随着置信水平的增加，各攻击序列的发生概率呈递增的趋势，主要是由于随着置信水平的增加，将安全属性得分取平均的范围增大引起的；随着置信水平的增加，各攻击序列的发生概率大小的顺序不变，进一步说明置信水平的取值对最终一致性结论影响较小。

4 结论

    本文提出了一种基于FAHP和攻击树的信息系统安全评估方法，并通过实例进行了对比验证。首先，采用FAHP进行各安全属性权值求解，降低了评估过程中的主观因素；其次，在各叶节点发生概率求解时，将各属性得分假定为区间变量，一定程度上降低了专家认知不确定带来的影响，进一步增加了各属性的信息量，提高了各叶节点发生概率的精度；最后，通过实例给出了对信息系统进行安全评估的典型方法步骤，找出了攻击者最可能采取的攻击方式，可为系统的安全防护体系构建提供技术支撑。

参考文献

[1] SCHNEIER B.Attack trees：modeling security threats[J].Dr.Dobb′s Journal of Software Tools，1999，24(12)：21-29.

[2] BYRES E J，FRANZ M，MILLER D.The use of attack trees in assessing vulnerabilities in SCADA systems[C].Proceedings of International Infrastructure Survivability Workshop，2004.

[3] TEN C W，LIU C C，GOVINDARASU M.Vulnerability assessment of cyber security for SCADA system using attack trees[C].Proceedings of IEEE Conference on Power Engineering Society General Meeting，2007，23(4)：1-8.

[4] 谢乐川，袁平.改进攻击树的恶意代码检测方法[J].计算机工程与设计，2013(5)：1599-1603.

[5] 乐洪舟.基于扩展攻击树的木马检测技术研究[D].大连：大连海事大学，2013.

[6] 牛冰茹，刘培玉，段林珊.一种改进的基于攻击树的木马分析与检测[J].计算机应用与软件，2014，31(3)：277-280.

[7] 张春明，陈天平，张新源，等.基于攻击树的网络安全事件发生概率评估[J].火力与指挥控制，2010(11)：17-19.

[8] 王作广，强魏，刘雯雯.基于攻击树与CVSS的工业控制系统风险量化评估[J].计算机应用研究，2016，33(12)：3785-3790.

[9] 李慧，张茹，刘建毅，等.基于攻击树模型的数传电台传输安全性评估[J].信息网络安全，2014(8)：71-76.

[10] 黄慧萍，肖世德，孟祥印.基于攻击树的工业控制系统信息安全风险评估[J].计算机应用研究，2015，32(10)：3032-3035.

[11] 任丹丹，杜素果.一种基于攻击树的VANET位置隐私安全风险评估的新方法[J].计算机应用研究，2011，28(2)：728-732.

[12] 何明亮，陈泽茂，龙小东.一种基于层次分析法的攻击树模型改进[J].计算机应用研究，2016，33(12)：3755-3758.

[13] 张恺伦，江全元.基于攻击树模型的WAMS通信系统脆弱性评估[J].电力系统保护与控制，2013(7)：116-122.

[14] 黄慧萍，肖世德，孟祥印.基于攻击树的工业控制系统信息安全风险评估[J].计算机应用研究，2015，32(10)：3022-3025.

[15] 贾驰千，冯冬芹.基于模糊层次分析法的工控系统安全评估[J].浙江大学学报（工学版），2016，50(4)：759-765.

[16] 张吉军.模糊一致判断矩阵3种排序方法的比较研究[J].系统工程与电子技术，2003，25(11)：1370-1372.

[17] 甘早斌，吴平，路松峰，等.基于扩展攻击树的信息系统安全风险评估[J].计算机应用研究，2007，24(11)：153-160.

作者信息:

任秋洁1，潘  刚2，白永强2，米士超2

(1.洛阳理工学院，河南 洛阳471000；2.洛阳电子装备试验中心，河南 洛阳471003)