基于威胁传播的复杂信息系统安全风险评估
马刚1,2, 杜宇鸽3, 荣江1,2, 甘家瑞1,2, 史忠植1, 安波1
1. 中国科学院 计算技术研究所, 智能信息处理重点实验室, 北京 100190
2. 中国科学院大学, 北京 100049
3. 中国信息安全测评中心, 北京 100085
史忠植, 研究员,shizz@ics.ict.ac.cn

作者简介: 马刚(1986—), 男(汉), 四川, 博士研究生。

摘要

为评估复杂信息系统安全风险,该文提出了一种基于资产间威胁传播的风险评估方法。该方法将复杂信息系统各资产间的威胁传播路径定义为一棵威胁传播树,通过计算威胁传播树中各结点的期望损失以及威胁传播树出现的概率来对整个复杂信息系统进行风险安全评估。为验证本文所提方法的正确性、可行性,该文选取了一个具有代表性的实例阐述了所提方法在复杂信息系统安全风险评估中的应用。通过实例分析表明基于威胁传播的复杂信息系统安全风险评估方法强调不同结点受到威胁作用概率的不同性,威胁在结点之间的传播性,并且能够提示在不同时间段的重点保护结点。比起传统的孤立结点分析方法更具客观性与准确性,能够很好地指导安全风险管理者为复杂信息系统制定合理的安全保护策略。

关键词: 风险评估; 资产; 威胁传播树
中图分类号:TP309.2 文献标志码:A 文章编号:1000-0054(2014)01-0035-09
Risk assessment of complex information system security based on threat propagation
Gang MA1,2, Yuge DU3, Jiang RONG1,2, Jiarui GAN1,2, Zhongzhi SHI1, Bo AN1
1. The Key Laboratory of Intelligent Information Processing, Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100190, China
2. University of Chinese Academy of Sciences, Beijing 100049, China
3. China Information Technology Security Evaluation Center, Beijing 100085, China
Abstract

This paper presents a risk assessment method based on threat propagation between assets for assessing the risks related to complex information system security. This method describes the threat propagation route between assets as a threat propagation tree, with the risk to the complex information system security assessed by the expected value loss of each node in the threat propagation tree with the probability of each step in the threat propagation tree. The accuracy of this model is evaluated by applying the model to a representative complex information system. The analysis shows that this method represents the different probabilities for different threatened nodes and the threat propagation between nodes to identiby the key protected nodes during different periods. The system is more objective and accurate than the traditional isolated node analysis method and is able to guide security risk managers to formulate reasonable security protection strategies for complex information systems.

Keyword: risk assessment; asset; threat propagation tree

随着科学技术的发展以及信息时代的到来,出现了很多与复杂系统有关的问题。从食物网到生态网、从Internet到World Wide Web、 从生物体中的大脑到各种新陈代谢网络、从大型电力网络到全球交通网络、从科研合作网络到各种经济、政治、社会关系网络等,可以看出这是一个充满着各种各样复杂系统的世界[1,2]

一个典型的复杂系统是由许多结点与连接2个结点之间的边所组成的。其中,结点用来代表真实系统中不同的个体,而边则用来表示个体间的关系。通常2个结点之间具有某种特定的关系则连一条边,反之则不连边; 有边相连的2个结点被看作是相邻的[3]。例如,计算机网络(如图1所示)、 电力网络、社会关系网等等[4]

显然,在信息技术发展与信息网络系统广泛应用的同时,对复杂信息系统安全的风险评估变得尤为重要,是保障信息系统安全运行的关键[5]

现有的复杂信息系统安全风险评估方法比较多,但总的概括起来主要有如下3类[6]: 基于安全监测工具的评估方法,主要用于安全期望不高的评估对象; 基于风险评估技术的评估方法,主要有CORAS、 RSDS、 CRAMM和COBIT; 基于系统综合的评估方法,使用先进的评估理论方法建立风险评估模型进行评估,得出科学合理的评估结果。经过多年的探索与实践,风险评估理论和方法在其他领域已逐渐发展成一套较为成熟的手段和工具,但在信息安全领域,仍旧存在着许多困扰人们的问题[7]

从国内外的研究现状可以看出,一方面,信息系统安全评估标准与方法强调风险评估的必要性,通常采用一些问卷的方式,不能给出定量的分析,缺乏可操作的工程数学方法,导致评估结果存在较大的主观性[8]。另一方面,有些风险评估方法只给出了定量计算方法但实施过于繁琐,且理论研究与实践结合不够紧密,没有很好地与中国的信息化实践相结合[9]

针对以上问题,本文提出的是一种基于威胁传播的复杂信息系统风险评估定量分析方法,通过以图论为基础并结合概率论的相关知识,确定威胁在信息系统中传播时所形成威胁传播树,以计算每种传播树所带来的系统期望风险。

1 复杂信息系统

复杂信息系统是一类子系统数量大、种类多,相互之间有非常复杂的非线性关联关系的信息系统,它具有开放性、复杂性、非线性、层次性、进化涌现性等特点,且子系统之间存在着强耦合现象,不能够将系统分成几个单独部分进行研究[10]。复杂信息系统构成要素一般包括: 资产、威胁、脆弱性、系统拓扑结构。该类系统一般由一系列硬件和软件组成,各个构成要素的定义如下:

资产 对系统具有价值的事物,用 A表示资产的集合。以图1中的信息系统为例,主机(Host)、 服务器(Server)、 路由器(Router)为该系统中的资产。资产还可以根据需要在原有资产的基础上继续细化,如Host是由键盘、鼠标、硬盘和软件等组成的。

系统在运行过程中,一个资产可能处于不同的状态,例如正常状态、被感染病毒、管理员权限被非法获取、系统崩溃等。设 S为系统中资产所有状态的集合。定义映射 W: A×SaR, W( a, s)表示资产 a在状态 s时的价值,资产的价值表现在资产的实体价值与所能提供的服务价值这2方面。资产处于不同状态时实体价值和提供服务的价值有所不同,例如正常状态的路由器可以提供网络服务,而处于系统崩溃状态的路由器则不能提供网络服务,这2种状态下路由器实体价值不变,但其所能提供的服务的价值有所减少。本文假设对于任意 a A, s S, W( a, s)是已知的,这些值可以由系统管理者分析得出。

威胁 可能对资产造成损害的因素,利用 T表示所有威胁的集合。如图1中的复杂系统所面临的威胁可能有缓冲区溢出攻击、恶意代码、人员操作失误等。

处于某一状态 s的任一资产 a面临的威胁可能是由系统中的其他资产传播而来,也可能直接来自系统外部或者资产自身产生(如硬件故障,长时间运行导致内存崩溃,操作人员误运行了病毒代码等)[11]。将通过其他资产传播而来的威胁 t定义为资产的传播性威胁,将直接来自系统外部或者资产自身产生的威胁 t称为资产的原发性威胁。由于复杂信息系统中资产的数量通常较为庞大,而且在一定的时间段内,处于某状态的资产都有发生原发性威胁的可能性,因此在本文中令 η( t|a, s)来表示某一段时间内处于状态 s的资产 a爆发原发性威胁 t T的概率。该原发性威胁值可以根据系统以前运行时各资产在不同状态下爆发原发性威胁的历史记录统计得到。

脆弱性 能被威胁利用的、存在于资产上的弱点,用 V表示所有脆弱性的集合。如图1所示复杂信息系统的脆弱性可能包括操作系统漏洞、应用程序漏洞、硬件弱点、 start_art.html漏洞等[12]

由于资产处于某一状态时有可能暴露出多个不同的脆弱性,因此威胁 t作用于资产 a时, a所处状态不同,则 t可利用的脆弱性也不同。假设威胁 t作用在处于状态 s的资产 a时, t可以利用的脆弱性有多种,但是 t每次作用时仅能利用其中一个脆弱性。因此,记 β( v|a, s, t)表示威胁 t作用在处于状态 s的资产 a上时,利用资产 a的脆弱性 v的概率,且满足

式(1)表示威胁作用在处于状态 s的资产 a上时,利用该状态下所有脆弱性 v的概率之和不超过1。式(1)等于1的情况为状态 s的所有脆弱性都有可能作用成功; 式(1)小于1的情况为处于状态 s时存在不能作用成功的脆弱性。

系统拓扑结构 系统间的资产因访问关系而形成的网络结构,用TSG表示。如图1所示复杂信息系统中的4个资产相互连接而构成的网络结构。复杂信息系统里的资产因访问关系形成的网络结构(即拓扑结构)可用无向图TSG =G( A, E)来描述,其中 A为图的结点集合, A中的一个元素表示复杂信息系统中的一个资产, E=A×A为边的集合, E中的任一元素均为一个关于2个资产的二元组 <ai, aj>,其中 ai, aj A ai aj, 边 <ai, aj>用于表示2个资产 ai, aj( ai aj)间存在的访问关系,威胁就是通过这些关系在系统的各个资产间进行传播[13]

复杂信息系统各个构成要素之间的关系如图2所示。资产拥有脆弱性,脆弱性暴露资产缺点,脆弱性是资产本身的属性,威胁会利用资产的脆弱性对资产造成损害,单纯的脆弱性本身不会对资产造成损害,资产间相互连接构成系统拓扑结构[14]

图2 复杂信息系统构成要素及其相互关系

2 复杂信息系统威胁传播
2.1 资产状态转移

复杂信息系统在运行过程中,威胁 t作用在处于状态 s的资产 a后,使得资产 a以一定概率从原状态向其他状态 s'转变的过程称为资产的状态转移过程。威胁 t作用于资产 a后, a向哪些状态转移依赖于如下3个因素:

1) a的当前状态;

2) 作用于资产的威胁 t;

3) t作用于资产 a时所利用的脆弱性 v

设当威胁每次作用于资产时只能利用资产的一个脆弱性时,如果威胁对资产作用成功,那么资产的状态转移是一个逐步恶化的过程,而且转移到的下一状态一定是一个没有到达过的状态,即资产的状态转移过程不会出现环路。记 δ( s'|a, s, t, v)表示资产 a处于状态 s时, t利用 a的脆弱性 v作用于 a后, a的状态由 s转移到 s'的概率,满足 δ( s'|a, s, t, n) =1。

当一个威胁 t作用于资产 a后,首先判断 a当前所处状态 s, 然后确定当前状态下存在的脆弱性 v, 最后威胁 t以一定的威胁作用概率 β( v|a, s, t)利用资产的不同脆弱性对资产进行作用。若威胁 t对资产的脆弱性 v作用成功,则资产 a的状态 s将以一定的状态转移概率 δ( s'|a, s, t, v)转移到 s'。因此,一个威胁 t作用在处于状态 s的资产 a, 导致其状态转移到 s'的概率 ρ( s'|a, s, t)为: 资产 a处于状态 s时,威胁 t利用资产在该状态下的每一种脆弱性 v的概率 β( v|a, s, t)与威胁 t利用资产在该状态下的每一种脆弱性 v作用于 a导致其状态转移到 s'的概率 δ( s'|a, s, t, v)的乘积之和,也即:

2.2 威胁传播

系统中的资产转移到某个状态后引发新的威胁作用于相邻资产的过程称为威胁传播,如图3所示即为2个资产之间的一种威胁传播形式。

图3 威胁从资产a<sub>4</sub>传播到a<sub>1</sub>的详细过程

图3中,处于状态 s1的资产 a4受到威胁 t3作用后, a4的状态将有可能转移到状态 s2 s3, 如果 a4的状态转移到 s2后,则处于状态 s2的资产 a4将有可能向处于状态 s1的相邻资产 a1发出 t1 t2 t3这3种威胁, a1在受到不同的威胁后将会发生不同的状态转移。从图中可以看出,处于状态 s1的资产受到威胁 t1作用后,其状态将转移到 s2; 受到威胁 t2作用后,其状态将转移到 s3; 受到威胁 t3作用后,其状态将转移到 s2 s3

威胁的传播依赖于复杂系统的拓扑结构,且威胁在传播的过程中,一个威胁导致资产 a状态发生转移后,可能引发哪些威胁作用于相邻资产 a'与如下2个因素有关:

1) a转移后的状态 s';

2) a a'间具体的访问关系。

ξ( t|a, s)表示处于状态 s的资产 a向相邻资产发出威胁 t的概率,且 ξ( t|a, s)≤1。在实际中,一个资产能够向它的相邻资产发出威胁时,表明该资产已经发生了状态转移,而该资产能够发生状态转移也表明它已被其他相邻资产发来的威胁作用成功,也即整个过程是资产因为受到威胁作用而发生状态转移,紧接着该资产在状态转移后又发出新的威胁。

因此,当资产 a受到威胁 t作用,从初始状态 s以概率 ρ( s'|a, s, t)转移到状态 s'时,向相邻资产发出威胁 t'的概率记为 φ( t'|a, s, t), 它由该资产 a受到威胁 t作用时的状态转移概率 ρ( s'|a, s, t)与资产转移到状态 s'后向相邻资产发出威胁 t'的概率 ξ( t'|a, s')的乘积组成,即:

对于任一复杂信息系统,威胁在传播的过程中,都可以将系统里面的结点(资产) A={ a0, a1,…, an}划分为3类(为便于表示以下均将“资产”称作“结点”):

活动结点(active node, AN): 当前时刻受到了威胁作用,并且将产生的新威胁向外传播的结点。

死结点(inactive node, IAN): 已经被威胁作用过的结点,且不再被威胁再次作用。

可激活结点(activatable node, ATN): 网络中还未受到威胁作用过的结点。

此外,假设威胁在传播的过程中,复杂信息系统中的结点还应具有如下特征:

1) 每个资产所拥有的状态 S={ s0, s1,…, sm}种类有限,脆弱性 V={ v0, v1,…, vN}种类有限,且每种状态可以传播多种威胁 T={ t0, t1,…, tM}, 但每种威胁一次只能作用于资产的一个脆弱性。

2) 一个结点发生原发性威胁 tε后,由该原发威胁直接或间接引发的一系列其他威胁在网络的传播过程中,不会有其他原发性威胁发生。

3) 每时刻,活动结点只向相邻的可激活结点传播威胁,当威胁传播成功后,该活动结点立即变为死结点,将不再被威胁作用,而受到威胁作用的可激活结点成为了下一时刻的活动结点。

4) 处于状态 s的活动结点 a受到威胁 t作用后,将以相同概率 φ( t'|a, s, t)向所有相邻可激活结点传播威胁 t'

5) 同一时刻不存在多个威胁同时作用于同一个结点,但允许一个资产发出的威胁同时作用于多个相邻可激活结点。

6) 当系统中不存在活动结点时,威胁传播结束。

在复杂信息系统的工作过程中,原发性威胁 tε有可能以概率 η( tε|a, s)作用于任一结点 a(初始状态为 s), 若结点 a受到原发威胁 tε作用成功,那么该结点的状态 s将会以概率 ρ( s'|a, s, tε)转移到状态 s', 然后以概率 φ( t'|a, s, tε)向相邻可激活结点发出威胁 t', 在此过程中会有3种情况发生:

1) 威胁 t'发出失败,威胁传播到此终止。该情况表明此次爆发的原发威胁只导致了复杂信息系统中的一个资产受到威胁作用。

2) 威胁 t'发出成功,但对相邻可激活结点作用失败,威胁传播到此终止。该情况表明此次爆发的原发威胁 tε仍旧只导致了复杂信息系统中的一个资产受到威胁作用。

3) 威胁 t'发出成功,且对相邻可激活结点作用成功。该情况表明受到原发威胁 tε作用的结点 a状态转移后发出了新的威胁 t'并成功作用于相邻可激活结点,若受到威胁 t'作用成功的结点继续发出威胁作用于其他相邻结点,不断重复这一过程,直到威胁传播在某一结点终止,便形成了一条多结点威胁传播路径。

不失一般性,任一威胁作用在结点上,都会有上述3种情况中的一种情况发生,也即在复杂信息系统中威胁就是通过上述规则从一个结点发出并作用到另外一个结点,或者威胁为何在一个结点终止的情况。

在复杂信息系统拓扑结构(图4a)中,威胁从一个结点传递到另外一个结点,直到威胁传播结束时所形成的各死结点间的连续路径与路径上的不同威胁所组成的有向无环图称作威胁传播树,如图4b与图4c均为威胁 tε t1 t2在4结点网络(图4a)中传播所形成的2棵不同的威胁传播树。在威胁传播树中,原发性威胁 tε直接作用的结点称为树根(如图4b中的结点 a1图4c中的结点 a4均是树根), 受到威胁作用后没有发出新威胁作用于其他相邻结点的这一类结点称作树叶(如图4b中的结点 a3图4c中的结点 a2 a3均是树叶)。事实上,是先有威胁在复杂信息系统拓扑结构中传播,为了方便描述威胁传播和计算传播概率,才根据威胁传播的路径来定义一棵威胁传播树。因此,威胁在威胁树中传播,从树根开始,然后每个结点均是将威胁传递给自己的孩子结点,直到威胁传递到整棵树的叶子结点为止,整个传播过程才能终止。

图4 两种威胁在四结点复杂信息系统中的传播情况

由于原发性威胁 tε是以一定概率 η( tε|a, s)作用于复杂信息系统的任一结点 a(初始状态为 s), 因此复杂信息系统中的每个结点都有可能成为树根,而对于每个结点作为一次树根时又将衍生出多种威胁传播树,因此如何获得由威胁传播所形成的每一棵威胁传播树的概率,在整个复杂信息系统风险评估中显得极为重要。考虑一种策略,将连通图的连通子图生成算法与图的生成树算法相结合来获得复杂信息系统拓扑结构的所有类型的威胁传播树,然后再计算每棵威胁传播树形成的概率。

首先,分析复杂信息系统拓扑结构TSG =G( A, E)(结点 A的个数为 n)的所有连通子图的全部生成树(图5), 根据连通子图以及生成树的定义可知,拓扑结构TSG =G( A, E)的连通子图的全部生成树可以做如下分类: 0条边的生成树(单个结点), 1条边的生成树, …, n-1条边的生成树。

图5 TSG所有连通子图的全部生成树组合

记TSG的连通子图中所有边数为 i的生成树构成的集合为SPT i, 根据定义可知,除SPT0(含有0条边,即单个结点的生成树)之外的生成树均可用其边集来表示,因此在求SPT i+1的过程中,可用其边集来表示生成树,并求出该边集派生出的结点集。

算法1描述了含有 i+1条边的生成树集SPT i+1的生成算法[15]。在该算法中, e表示连接2个结点的边, E表示所有的边集合, SPT i表示含有 i条边的生成树。

然后,对每一棵生成树SPT i, 利用威胁 T={ t0, t1,…, tM}在其不同的边上进行传播即可得到不同的威胁传播树Tr i, 综合所有的威胁传播树便得到最终的威胁传播树集合 ψ={Tr1,Tr2,Tr3,…}。

定义结点序列 Λ与威胁序列 Γ所组成的二元组Tr( Λ, Γ)来表达一棵威胁传播树。Tr的结点序列为 Λ=Λi Λn, 其中 i( i<n)表示威胁作用的结点序列编号; Λi=( a1, a2,…, ai)为非叶结点序列; Λn为叶结点序列, a1为根结点。在Tr上传播的威胁序列为 Γ=Γi Γn, 其中 i<n表示威胁序列编号; Γi=( tε, t1, t2,…, ti)为原发威胁和非叶结点发出的威胁序列; Γn为叶结点发出的威胁序列, tε为原发性威胁且作用于根结点 a1。结点序列 Λ与威胁序列 Γ有着一一对应关系: 威胁 ti(≠ tε)是由结点 ai所发出的。威胁在传播过程中,设 Bi表示从结点 ai发出威胁并作用成功的相邻可激活结点集, Ci表示从结点 ai发出威胁但作用不成功的相邻可激活结点集, Λi( Λi=Bi Ci)表示结点 ai的所有相邻可激活结点集。因此,结合前面所讨论的威胁传播规则,即可得到形成任意一棵威胁传播树Tr j( Λ, Γ)的概率为:

在式(4)中, η( tε|ai, s)为威胁传播树Tr j( Λ, Γ)的根结点 aI爆发原发性威胁的概率; 为威胁传播树中所有非叶结点的威胁传播概率,即任一结点的发出威胁概率 φ乘以所有作用成功的相邻结点概率 与作用不成功的相邻结点概率 之积; 为威胁传播树中所有叶结点的威胁传播概率,由于叶结点为威胁传播的终止结点,威胁在每一个叶结点上终止传播有2种可能情况:

1) 威胁已向相邻可激活结点发出,但是没有作用成功,其概率为 ;

2) 威胁没有向相邻可激活结点发出,其概率为1 - φ, 因此每个叶结点的威胁传播概率 的乘积即为威胁传播树中所有叶结点的威胁传播概率。

在式(4)中,当 n=1, 也即威胁传播树 j只有一个结点时,该公式演化为:

在式(5)中,由于当前威胁传播树只有一个结点,即根结点 ai也是叶结点,在公式中不存在非叶结点的传播概率,因此威胁传播树的形成概率只需计算根结点的原发性威胁的发生概率与叶结点传播概率之积。

3 复杂信息系统风险评估
3.1 风险评估模型

一定时间内,系统中所有受到威胁作用的资产产生的期望损失称为系统风险。系统风险的计算包括两个方面: 威胁发生的概率、威胁作用于脆弱性上所造成的损失。威胁发生的概率也即是在威胁传播模型中所计算的威胁传播树Tr( Λ, Γ)所出现概率; 资产的损失与资产被威胁作用后的转移状态有关,在复杂信息系统建模中,对于任何一个资产,如果原发性威胁发生的结点不同或传播性威胁作用的顺序不同,资产的状态转移过程也将可能不同。

所以,在计算系统风险时,必须考虑根据威胁传播树Tr( Λ, Γ)中每个资产 a( a Λ)受到威胁 t作用时的状态转移( s s')概率 ρ( s'|a, s, t)来计算资产的期望损失,然后将威胁传播树Tr( Λ, Γ)中的所有资产的期望损失进行求和,即可得到威胁传播树Tr( Λ, Γ)的期望损失 L(Tr)。对于任意一棵威胁传播树Tr j( Λ, Γ), 期望损失 L(Tr j)计算如下:

复杂信息系统中资产数量庞大,由于原发性威胁在不同资产上的发生概率不尽相同,而且同一个资产上的原发性威胁也有可能产生不同的威胁传播树。因此,对于威胁 T={ t0, t1,…, tM}作用在任意一个复杂信息系统上时,都将产生出一组威胁传播树集合 ψ={Tr1,Tr2,Tr3,…}。

所以,每一棵威胁传播树Tr j( Λ, Γ)所产生的风险 R(Tr j)为该威胁传播树的期望损失 L(Tr j)与形成该威胁传播树产生概率 P(Tr j)之积,即 R(Tr j) =P(Tr j L(Tr j)。每棵威胁传播树所带来的期望损失 L(Tr j)可通过式(6)获得,而形成任意一棵威胁传播树Tr j( Λ, Γ)的概率 P(Tr j)则可根据2 .2节中的式(4)或式(5)得到。因此,复杂信息系统风险 R( A, T)即为所有威胁传播树的风险之和,即:

3.2 风险评估算法描述

由于复杂信息系统风险的计算包括威胁发生的概率和威胁作用于脆弱性上所造成的资产损失2个方面。事实上,威胁发生概率的计算主要体现在原发威胁作用于某一结点后,在将其所产生的传播性威胁依次传递给所有可达结点的过程中,计算其每一棵威胁传播树的产生概率; 资产损失主要是威胁在传播过程中受到威胁作用的结点状态转移后所产生的自身价值改变的期望。因此,复杂系统风险评估算法如算法2所示。

在算法2中, A表示复杂信息系统拓扑结构图 G的所有结点, SPT表示 G的所有连通子图的全部生成树, T是复杂信息系统的威胁集合, ψ是威胁传播树集合。

3.3 应用实例分析

为验证本文所提出的复杂信息系统安全风险评估方法的有效性,本节将以由3个结点所组成的复杂信息系统为实例,计算若其中某一个结点爆发原发性威胁时,可能对系统所造成的风险评估。具体评估过程如下:

步骤1 依据系统资产间的访问关系构建复杂信息系统的网络拓扑结构图TSG =G( A, E),如图6所示,其中 A={ a0, a1, a2}。

图6 三结点复杂信息系统拓扑结构图

步骤2 根据复杂信息系统的历史运行记录,确定每个结点所具有的状态集 S、 脆弱性集 V、 威胁集 T。在这里不妨设图6所示拓扑结构图中每个结点的状态集 S={ s0, s1}、 脆弱性集 V={ v0, v1}、 威胁集 T={ tε, t0, t1}, 其中 tε为原发性威胁。

步骤3 在每种概率的约束条件上初始化结点的状态转移概率、状态转移价值损失、原发威胁概率、发出威胁概率、威胁作用概率。如表1表5所示(所有表中的数据均是随机产生)。

表1 结点状态转移概率
表2 结点状态转移价值损失Δ W
表3 结点原发威胁概率 η
表4 结点发出威胁概率ξ
表5 结点脆弱性被威胁作用概率 β

步骤4 利用算法1所示算法并结合威胁集 T构建系统中某一结点受到原发威胁作用时的所有威胁传播树。在图6所示的复杂信息系统拓扑结构图中,若原发威胁 tε作用在结点 a0上,则根据2 .2节的论述,其所有连通子图的全部生成树以及对应的威胁传播树的组合情况如图7所示,威胁传播树集合 ψ={Tr1,Tr2,…,Tr15}。

图7 结点a<sub>0</sub>受到原发威胁作用时的所有威胁传播树

步骤5 当结点 a0受到原发威胁 tε( tε=t0)作用时,根据算法2所示算法计算每棵威胁传播树Tr j(1≤ j≤15)的产生概率 P(Tr j)及其威胁传播所带来的风险 R(Tr j), 计算结果如表6所示。

表6 威胁传播树概率及产生的风险

步骤6 计算复杂信息系统风险 R( A, T)。根据步骤5中表6的计算结果,并结合式(7)即可得到当结点 a0受到原发性威胁作用时的复杂信息系统的期望风险 R( A, T) = R(Tr j)为3 .464 733。

3.4 评估模型与传统方法的比较

为了验证本文所提出的风险评估模型的优势性,本节将从风险评估结果(系统期望风险)及安全建议这2个方面对基于威胁传播的复杂信息系统风险评估模型与传统的风险评估方法进行比较和分析,阐述该模型在复杂信息系统领域中的应用及优势。

传统的风险评估方法在对复杂信息系统进行风险评估时不考虑威胁的传播性,也即如果是系统中有多个结点发生威胁作用时,只会将这些结点所产生的风险损失累加求其平均值来作为系统受到威胁作用后的损失,并不能基于威胁传播而做出系统的预期风险评估。而本文基于威胁传播行为的系统风险评估恰能弥补传统方法的这一不足之处。

图8为本文方法与传统方法进行系统风险评估的对比。本文方法所用数据来源于表6中的风险 R(Tr j),传统方法所用数据是通过对威胁传播树中每个结点的风险损失累加求其平均值而得到。从图8可以看出,传统方法所得到的系统期望风险明显高于本文方法所得到的期望风险,这是因为传统方法并没有将结点之间的连接关系考虑进去,也没有考虑威胁是通过一定的概率在结点之间进行传播,而是将结点风险进行单方面的孤立分析,然后进行简单的综合,并以此作为整个复杂信息系统的风险,这是不切合实际的。

图8 本文方法与传统方法进行系统风险评估对比

在系统风险评估的过程中,通过分析系统最有可能发生的威胁传播形式(威胁传播树)来制定相应的安全保护策略,在保护系统资产时显得极为重要。在表6中可以得出,若威胁对资产 a0进行攻击,最有可能出现的威胁传播方式是Tr7, 而从图7中可以得到, Tr7的威胁传播方式是 a0向相邻资产 a1 a2同时传递威胁 t1。因此,在制定安全保护策略时需要重视 a0可能发出威胁 t1的转换状态以及 a1 a2可被威胁 t1攻破的脆弱性。

4 结 论

本文主要研究了威胁在复杂信息系统中传播时,可能对系统中的资产造成损失而带来的系统风险进行评估,提出了基于资产间威胁传播的风险评估模型。该模型通过考虑不同结点受到威胁作用概率的不同性、威胁在结点之间的传播性,将威胁传播路径定义为一棵威胁传播树,并通过计算威胁传播树中各结点的期望损失以及威胁传播树发生概率来对整个系统进行风险安全评估。通过实验验证,基于威胁传播的风险评估模型能够达到对一个复杂信息系统中的资产价值损失进行客观正确的评估。由于复杂系统威胁传播行为的研究已取得了大量成果,但是影响威胁传播的因素多而复杂,而且复杂系统本身也具有多样性、复杂性等特点,现有的研究成果还远没有达到完全揭示其传播规律,因此,还有许多方面需进一步的深入研究与探索。

The authors have declared that no competing interests exist.

参考文献
[1] Jamin S, Raz D, Shavitt Y, et al. Guest editorial Internet and WWW measurement, mapping, and modeling [J]. IEEE Journal on Selected Areas in Communications, 2003, 21(6): 877-878. [本文引用:1] [JCR: 4.138]
[2] Jeong H, Tonbor B, Albert R, et al. The large-scale organization of metabolic networks [J]. Nature, 2000, 407(6804): 651-654. [本文引用:1] [JCR: 42.351]
[3] 王占山, 王军义, 梁洪晶. 复杂网络的相关研究及其进展[J]. 自动化学会通讯, 2013, 34(170): 4-16.
WANG Zhanshan, WANG Junyi, LIANG Hongjing. Research and progress of complex networks[J]. Communications of CAA, 2013, 34(170): 4-16. (in Chinese) [本文引用:1]
[4] Watts D J, Strogatz S H. Collective dynamics of “small-world” networks[J]. Nature, 1998, 393(6684): 440-442. [本文引用:1] [JCR: 42.351]
[5] 何大韧, 刘宗华, 汪秉宏. 复杂系统与复杂网络 [M]. 北京: 高等教育出版社, 2009.
HE Daren, LIU Zonghua, WANG Binghong. Complex Systems and Complex Networks [M]. Beijing: Higher Education Press, 2009. (in Chinese) [本文引用:1]
[6] 吴晓平, 付钰. 信息安全风险评估教程 [M]. 武汉: 武汉大学出版社, 2011.
WU Xiaoping, FU Yu. Textbook for Information Security Risk Assessment [M]. Wuhan: Wuhan University Press, 2011. (in Chinese) [本文引用:1]
[7] 张利, 彭建芬, 杜宇鸽, . 信息安全风险评估的综合评估方法综述[J]. 清华大学学报: 自然科学版, 2012, 52(10): 1364-1368.
ZHANG Li, PENG Jianfen, DU Yuge, et al. Information security risk assessment survey[J]. Journal of Tsinghua University: Science and Technology, 2012, 52(10): 1364-1368. (in Chinese) [本文引用:1] [CJCR: 0.609]
[8] 张永铮, 方滨兴, 迟悦, . 用于评估网络信息系统的风险传播模型[J]. 软件学报, 2007, 18(1): 137-145.
ZHANG Yongzheng, FANG Bingxing, CHI Yue, et al. Risk propagation model for assessing network information systems[J]. Journal of Software, 2007, 18(1): 137-145. (in Chinese) [本文引用:1] [CJCR: 2.18]
[9] 李晓蓉, 庄毅, 许斌. 基于危险理论的信息安全风险评估模型[J]. 清华大学学报: 自然科学版, 2011, 51(10): 1231-1235.
LI Xiaorong, ZHUANG Yi, XU Bin. Risk assessment model for information security based on danger theory[J]. Journal of Tsinghua University: Science and Technology, 2011, 51(10): 1231-1235. (in Chinese) [本文引用:1] [CJCR: 0.609]
[10] 金鸿章, 韦琦, 郭建, . 复杂系统的脆性理论及应用 [M]. 西安: 西北工业大学出版社, 2010.
JIN Hongzhang, WEI Qi, GUO Jian, et al. Vulnerability Theory and Application of Complex System [M]. Xi'an: Northwestern Polytechnical University Press, 2010. (in Chinese) [本文引用:1]
[11] 穆成坡, 黄厚宽, 田盛丰. 入侵进程的层次化在线风险评估[J]. 计算机研究与发展, 2010, 47(10): 1724-1732.
MU Chengpo, HUANG Houkuan, TIAN Shengfeng. Hierarchical online risk assessment for intrusion scenarios[J]. Journal of Computer Research and Development, 2010, 47(10): 1724-1732. (in Chinese) [本文引用:1]
[12] 时云峰, 张金祥, 冯建华. 基于异常捕获的强脆弱性分析与利用[J]. 软件学报, 2010, 21(11): 2944-2958.
SHI Yunfeng, ZHANG Jinxiang, FENG Jianhua. Critical vulnerability analysis and exploitation based on exception capture[J]. Journal of Software, 2010, 21(11): 2944-2958. (in Chinese) [本文引用:1] [CJCR: 2.18]
[13] 赵刚, 况晓辉, 李津, . 一种基于权值的大规模分布式系统结构脆弱性分析算法[J]. 计算机研究与发展, 2011, 48(5): 906-912.
ZHAO Gang, KUANG Xiaohui, LI Jin, et al. A structural vulnerability analysis algorithm for large-scale distributed system[J]. Journal of Computer Research and Development, 2011, 48(5): 906-912. (in Chinese) [本文引用:1]
[14] 周亮, 李俊峨, 陆天波, . 信息系统漏洞风险定量评估模型研究[J]. 通信学报, 2009, 30(2): 71-76.
ZHOU Liang, LI June, LU Tianbo, et al. Research on quantitative assessment model on vulnerability risk for information system[J]. Journal on Communications, 2009, 30(2): 71-76. (in Chinese) [本文引用:1] [CJCR: 1.188]
[15] Gabow H N, Myers E W. Finding all spanning trees of directed and undirected graph[J]. Society for Industrial and Applied Mathematics, 1978, 7(3): 280-287. [本文引用:1]