摘要：

為進一步提高信息系統安全風險評估結果的準確性和可用性，降低主觀因素的影響，以模糊層次分析法和攻擊樹模型為基礎，對信息系統的安全風險進行評估。首先，采用攻擊樹模型描述系統可能遭受的攻擊；其次，假定各葉節點具有不同的安全屬性，采用模糊層次分析法求解各安全屬性的權值，為降低專家評分的主觀因素影響，假定各屬性得分為區間變量，建立基于區間變量的屬性概率發生模型。最后，采用實例進行分析驗證，結果表明該方法不僅進一步降低了風險評估時主觀因素的影響，且思路清晰，方法簡單，具有較強的通用性和工程應用價值。

?

0 引言

20世紀90年代末，SCHNEIER B首先提出攻擊樹概念[1]，因其層次清晰、直觀形象等特點，后被廣泛用于系統安全威脅分析和風險建模[2-6]。但在定量分析方面，傳統的攻擊樹建模存在不足，因而大量攻擊樹模型的改進方法被業界學者提出，用于提高網絡安全風險評估的效果。張春明等[7]提出了基于攻擊樹的網絡安全事件評估方法，為制訂安全防護策略提供了有力支持。王作廣等[8]基于攻擊樹和CVSS對工業控制系統進行風險量化評估，但在根據CVSS 3.0規范求解葉節點的概率時，并未對各節點的屬性進行分析。李慧[9]、黃慧萍[10]、任丹丹[11]等采用攻擊樹模型分別對數傳電臺傳輸安全、工業控制系統、車載自組織網絡進行威脅建模或安全風險評估，但在各安全屬性計算上還存在不足。基于上述文獻可知，采用攻擊樹模型進行系統安全風險分析時，主要存在兩個方面的不足：一是如何對各安全屬性進行準確分析；二是如何定量分析各葉節點的發生概率，降低主觀因素的影響。鑒于此，本文采用模糊層析分析法（Fuzzy Analytic Hierarchy Process，FAHP）對攻擊樹模型進行改進，首先賦予各葉節點特定的安全屬性，然后基于評估對象的特點采用FAHP計算各安全屬性的權值，同時利用基于區間變量的屬性概率發生模型求解各屬性的發生概率，最后計算各葉節點的發生概率。該模型充分考慮攻守雙方的博弈過程，能夠更加準確、合理地評估系統所存在安全風險，可為后續安全防護策略的制定提供技術支撐。

1 攻擊樹模型

在攻擊樹模型中，根節點代表攻擊目標；葉節點代表攻擊過程中采用的各種攻擊方法[12-13]。葉節點之間的關系包括：與(AND)、或(OR)和順序與(Sequence AND，SAND)3種[7]。采用FAHP對攻擊樹模型進行改進，并將其用于系統安全風險分析，主要思路如圖1所示。

2 基于FAHP的攻擊樹模型改進

2.1 葉節點的指標量化

由于攻擊的實現可能受多個因素的影響，為反映各因素對攻擊事件的影響，給各葉節點賦予3個安全屬性：實現攻擊的難易程度(difficulty) 、實現攻擊所需的攻擊成本（cost）和攻擊被發現的可能性(detection)。根據多屬性效用理論，將以上3個屬性轉化為達成目標的效用值，進一步可計算葉節點的發生概率[8，12]：

在實際工程應用中，通常采用專家打分的方法對葉子節點各安全屬性值進行賦值。分析之前可做如下假設：

2.2 安全屬性權值

采用FAHP對攻擊成本、難易程度和攻擊被發現的可能性這3個安全屬性的權值Wdif、Wcos、Wdet進行求解。根據該層各因素受攻擊后對上一層因素造成的相對危害程度，來確定本層次各因素的相對重要性。本文采用0.1～0.9的標度，將相對重要性給予定量描述，比較尺度如表2所示[12]。根據表2確定每個屬性的重要程度，并構造判斷矩陣C[15]：

a與權重的差異度成反比，即a越大，權重的差異度越小；a越小，權重的差異大越大。當a=(n-1)/2時，權重的差異度越大。本文取a=(n-1)/2，RC為一個3階矩陣，因此a=(n-1)/2=1，其中，n為模糊一致矩陣的階數，得到wc=[0.383 4，0.333 3，0.283 3]。由此，可以得到Udif=0.383 4、Udet=0.333 3、Ucos=0.283 3，利用式(1)最終求得葉節點的發生概率。

2.3 根節點的發生概率

計算根節點發生概率需首先確定攻擊路徑，攻擊路徑是一組葉節點的有序集合，完成這組攻擊事件（葉節點）即可達成攻擊目標。構造攻擊路徑的算法如下：

（1）假設G為攻擊樹的根節點，n為根節點的度。

（2）對可能的攻擊路徑Ri=(X1，X2，…，Xm)，i={1，2，…，n}進行分析：對G所有的子節點進行搜尋，如果該子節點為葉節點Mi，則確定其中一條可能的攻擊路徑，否則以各子節點為根，對下一級子節點進行搜尋，直至將所有可能的攻擊路徑確定為止。

（3）求解每一條攻擊路徑可能發生的概率：采用自底向上的方式，由子節點求解父節點發生的概率，具體可參考文獻[7]和文獻[17]。

假設安全事件有n種攻擊路徑，且攻擊路徑Ri=(X1，X2，…，Xm)，i={1，2，…，n}，其中Xi表示各葉節點。則路徑Ri發生的概率為：P(Ri)=P(X1)×P(X2)×…×P(Xm)，i={1，2，…，n}，對比各攻擊路徑發生概率的計算結果，其數值大小可反映攻擊者對攻擊方式的選擇傾向，應重點防御概率最大的攻擊方式。

3 實例驗證

本文采用文獻[12]實例進行應用驗證分析與對比。仍以某軍事業務系統內部人員竊取文件資料為例建立攻擊樹模型，如圖2所示，各節點含義如表3所示。具體步驟和典型的內部人員攻擊手段可參考文獻[12]，本文不再贅述。

利用表1的評分標準，對此攻擊樹中各葉節點的安全屬性值打分。為了更好地驗證本文方法的有效性，此處采用文獻[12]的評分結果，具體如表4所示。

假定表4中各葉節點的得分為得分區間值的中值，X的取值為評分等級最大值時，mid+αXmid，X=Xmid-αXmid。不失一般性，取置信水平α=0.1，則進一步可得各安全屬性得分區間值。根據式(3)和式(6)分別求解各屬性的效用值及對應的權值，最后根據式(1)，即可得各葉節點的發生概率，結果如圖3所示。

由圖3可知，本文方法與文獻[12]中各葉節點發生概率的最大差異在于葉節點X8的發生概率，本文中P8(X8)=0.746 9，文獻[12]中P8(X8)=0.929 0，產生該情況的主要原因是各安全屬性權值不同，本文方法和文獻[12]中各屬性權值如表5所示。

在構造判斷矩陣時，各屬性的重要程度梯度較小，所求權值應當與重要程度相吻合，而文獻[12]中各權值的取值差異較大，根本原因在于層次分析法主觀性較強，而本文采用模糊層次分析法，一定程度上降低了主觀因素的影響，進一步說明了本文方法的有效性。

根據2.3節中的攻擊路徑算法，列出所有可能的攻擊序列：R1=(X1)；R2=(X2)；R3=(X3)；R4=(X4)；R5=(X5)；R6=(X6)；R7=(X7)；R8=(X8，X9)；R9=(X8，X10)；R10=(X8，X11)；R11=(X12)。

根據式P(Ri)=P(X1)×P(X2)×…×P(Xm)，各攻擊序列的發生概率如圖4所示。

由圖4可知，R11電磁泄漏發生概率最大，即攻擊者極有可能利用電磁泄露等問題進行攻擊；其次是內部人員竊取文件資料的攻擊樹模型中R5、R6、R7攻擊序列發生的概率較大，也即攻擊者很有可能利用系統自身的漏洞實現竊密行為。而與文獻[12]的結論相比，攻擊樹模型中R5、R6、R7攻擊序列發生的概率最大，其次是電磁泄漏發生概率，造成最終結論存在誤差的根本原因是各安全屬性權值不同，其原因與葉節點發生概率相同，此處不再贅述。基于上述分析，該軍事業務系統需要針對攻擊序列R5、R6、R7、R11采取相關的安全防護措施。

上述分析是在置信水平α=0.1時給出的分析結論，為了進一步研究不同置信水平對安全風險評估結果的影響，下面給出不同置信水平下各攻擊序列的發生概率，具體如表6所示。

由表6可知，隨著置信水平的增加，各攻擊序列的發生概率呈遞增的趨勢，主要是由于隨著置信水平的增加，將安全屬性得分取平均的范圍增大引起的；隨著置信水平的增加，各攻擊序列的發生概率大小的順序不變，進一步說明置信水平的取值對最終一致性結論影響較小。

4 結論

本文提出了一種基于FAHP和攻擊樹的信息系統安全評估方法，并通過實例進行了對比驗證。首先，采用FAHP進行各安全屬性權值求解，降低了評估過程中的主觀因素；其次，在各葉節點發生概率求解時，將各屬性得分假定為區間變量，一定程度上降低了專家認知不確定帶來的影響，進一步增加了各屬性的信息量，提高了各葉節點發生概率的精度；最后，通過實例給出了對信息系統進行安全評估的典型方法步驟，找出了攻擊者最可能采取的攻擊方式，可為系統的安全防護體系構建提供技術支撐。