融合宏觀與微觀的雙層威脅分析模型

孫澄，胡浩，楊英杰，張紅旗

融合宏觀與微觀的雙層威脅分析模型

孫澄，胡浩，楊英杰，張紅旗

（信息工程大學，河南 鄭州 450001）

針對現有威脅分析模型無法兼顧高級安全威脅的宏觀發展趨勢及微觀傳播路徑的問題，建立了一種雙層威脅分析模型TL-TAM。模型上層刻畫嚴重程度由低到高的威脅發展趨勢，下層融合技術漏洞攻擊、社會工程攻擊及網絡掃描攻擊，刻畫威脅傳播路徑。據此，提出了威脅預測分析算法。實驗結果表明，模型能夠對威脅傳播進行多層面綜合分析，并且克服了基于攻擊圖的威脅分析模型局限于技術漏洞攻擊的缺陷，更加適用于高級安全威脅的動態跟蹤分析。

雙層模型；傳播路徑；社會工程；網絡掃描

1 引言

作為應對網絡安全威脅的有效手段，動態威脅分析技術是近年來網絡安全領域的研究重點，而針對APT等高級安全威脅的跟蹤分析既是當前的研究熱點，也是難點所在。威脅的動態跟蹤分析需以威脅分析模型為基礎，實時融合多源告警信息進行攻擊級聯，實現威脅的感知[1]及跟蹤，從而為防御決策的制定提供依據[2]。因此，提高模型刻畫威脅發展傳播過程的性能是提升威脅分析質量的關鍵。而高級安全威脅不僅在微觀行為層面綜合利用社會工程等手段，形成了復雜的傳播路徑，而且在宏觀發展趨勢上通過多階段攻擊逐步達成攻擊目的，體現出明顯的階段遞進特征，因此，要實現對高級安全威脅的動態跟蹤分析，需要建立能夠兼顧宏觀、微觀兩個層面威脅傳播特征的威脅分析模型，提高模型分析的全面性。

現有威脅分析模型大多只針對單個層面的威脅傳播特征進行分析和刻畫，按層次將其劃分為宏觀模型與微觀模型。其中，宏觀模型主要以威脅發展階段及階段遞進關系刻畫了威脅的宏觀發展趨勢。相關研究包括：Li等[3]利用統計分析法，提取89例APT攻擊事件在攻擊技術利用方面的特征，構建APT階段模型（APT stage model），然而，模型受樣本事件局限，普適性不強；Chen等[4-6]基于殺傷鏈（Kill-chain）[7]這一描述網絡入侵過程的一般模型，分別結合威脅特征、檢測能力對階段要素特征展開分析，通過優化一般模型，生成具有較好普適性的宏觀模型。然而，該類模型的重點在于攻擊技術特征的分析，忽視了階段遞進關系的提煉，無法較好地反映威脅嚴重程度逐步提升的發展趨勢，且模型以文字描述為主，未進行形式化表示，不利于進一步應用。

微觀模型主要對威脅在目標系統內的傳播路徑進行了刻畫。由于攻擊圖[8]能夠結合攻擊知識以及系統場景知識，實現威脅傳播路徑的細粒度分析，因此成為研究微觀層面威脅傳播的主要模型。吳迪[9]及Wu[10]分別提出了基于顏色Petri網及本體語義推理的攻擊圖構建技術，為基于攻擊圖的威脅分析模型構建提供了有效方法；Wang等[11-13]提出了基于攻擊圖的告警信息前后件級聯算法，對攻擊場景進行識別跟蹤，驗證了攻擊圖在動態威脅分析領域的效用。而冷強等[14]在屬性攻擊圖的構建過程中增加了網絡服務關聯關系引起的威脅傳播，使模型對威脅傳播路徑的刻畫更加完整，并依據權限提升原則，設計了告警前件推斷、后件預測等推斷算法[15]，為基于攻擊圖的動態威脅分析提供了新的有效方法。然而，以上微觀模型均未考慮社會工程攻擊等非技術手段引起的威脅傳播，路徑完整性有待提高。

除以上不足外，兩類模型單獨應用于威脅跟蹤分析時也存在局限性。其中，宏觀模型雖然能夠在全局層面直觀反映威脅的發展趨勢，但其結合目標系統場景能力弱，無法刻畫威脅在節點間的傳播細節，難以進行攻擊級聯。而微觀模型雖然對威脅傳播的細節具有較強的分析能力，但未能結合威脅的宏觀發展趨勢進行路徑預測，容易生成大量冗余的路徑。針對以上問題，本文首先利用混合原子攻擊本體建模了社會工程攻擊及網絡掃描攻擊，將兩類攻擊融入威脅傳播路徑的分析中，構建威脅微觀傳播層（micro transfer layer），提高模型刻畫威脅傳播路徑的完整性；在此基礎上，從設備威脅度出發，劃分威脅發展階段，并分析威脅在不同威脅度的設備間的發展動向，構建威脅宏觀發展層（macro development layer），為結合趨勢分析的威脅發展預測提供框架；最后基于雙層威脅分析模型（TL-TAM，two-layerthreat analysis model），提出了威脅發展趨勢預測算法，為高級安全威脅的動態跟蹤分析提供支持。

2 TL-TAM模型結構設計

雙層威脅分析模型TL-TAM是在總結當前宏觀及微觀模型研究成果的基礎上，針對不足進行優化改進，涉及概念較為廣泛，為便于下文論述，本節首先定義相關概念，然后對模型的總體結構進行介紹。

2.1 相關概念定義

定義1 原子攻擊[16]。指單步攻擊動作，威脅利用原子攻擊獲取權限，以此作為下一步傳播的條件，實現在目標系統中的持續傳播。

定義2 威脅度（dot，degree of threat）。指系統設備被攻陷對核心資產構成的威脅程度，設備被攻陷后產生的威脅度越高，表示威脅越容易由此為起點向核心資產進行傳播。

定義3 攻擊行為框架（af，attack framework）。指單個目標設備上的攻擊場景，本文基于殺傷鏈進行刻畫，af=(Recon, Weapon, Delivery, Exploit, Install, C&C, Obj-Action)，每個元素表示發生在該設備上的相應類型的原子攻擊。

定義4 設備訪問路徑（dp，device path）。一組由業務訪問關系鏈接而成的無環設備序列，表示為0d，記系統中業務訪問關系集為BR，brBR表示設備d1對設備d的業務訪問關系，，。

定義5 威脅傳播路徑（ap，attack path）。一組前后依賴的原子攻擊組成的無環序列，表示為0→a，且。定義pre(ap)pre(0)，post(ap)post(a)。

定義6 路徑映射：ap→dp。表示威脅傳播路徑與其依托的設備訪問路徑的映射關系，給定威脅傳播路徑ap，可通過映射提取并輸出其依托的設備訪問路徑。其逆向映射記為?1，需要注意的是，同一設備訪問路徑上可能存在多條威脅傳播路徑，因此給定dp的情況下，通過?1返回的是威脅傳播路徑集AP。

定義8 本體OT。由五元組（,,,,）表示，其中，表示類的集合，表示實例集合，表示關系的集合，包括類與類之間關系的集合R，類與實例之間的關系集合R-I以及實例與實例之間的關系集合R，表示規則集合，表示關系類型的集合。

2.2 模型總體結構

為兼顧高級安全威脅在宏觀、微觀兩個層面的發展傳播，TL-TAM模型總體結構分為兩個部分，如圖1所示，上層為威脅宏觀發展層，刻畫威脅嚴重程度逐步提升的發展趨勢，下層為威脅微觀傳播層，刻畫威脅利用原子攻擊產生的傳播路徑。模型具體說明如下。

模型整體以二元組（Ma，Mi）表示。其中，Ma為威脅宏觀發展層，以二元組（，BR）表示，其中為威脅發展階段集，BR為跨階段的業務訪問關系集，由低威脅度階段的設備指向高威脅度階段的設備，表示不同威脅發展階段間的遞進關系。Mi為威脅微觀傳播層，以四元組（,,,Pr）表示，其中為權限節點集，為原子攻擊節點集，={×}∪{×}為有向邊，表示權限節點與原子攻擊節點的前后置關系，Pr為原子攻擊成功概率的集合。單個權限p及原子攻擊a以OWL的對象屬性形式表示，下綴∈。函數pre(.)與post(.)分別為前置節點、后置節點提取函數。

圖1 TL-TAM模型總體結構

Figure 1 Overall structure of TL-TAM

3 威脅宏觀發展層

威脅宏觀發展層主要負責刻畫威脅的嚴重程度隨發展階段遞進而逐步提升的宏觀發展趨勢，為威脅發展現狀判定及發展趨勢預測提供框架。威脅的不同發展階段本質上代表了對核心資產不同程度的威脅，當前宏觀模型存在階段遞進與威脅嚴重程度提升趨勢契合度不高的問題，其主要原因在于階段劃分未從威脅度這一本質出發，轉而以攻擊技術等外在特征作為依據。針對這一問題，本文提出了基于威脅度的威脅宏觀發展層構建算法，通過聚合威脅度相近的目標設備構建威脅發展階段，并利用設備間業務訪問關系刻畫威脅由低威脅度設備向高威脅度設備發展的軌跡。

3.1 威脅度計算

（1）當dp={0}時，表示資產所在設備被攻陷，威脅度取值如下。

系統設備0至核心資產ass存在多條設備訪問路徑時，記路徑集為DP，設備0被攻陷對資產ass的威脅度取所有路徑中威脅度最大者，即

系統中存在多個核心資產時，記核心資產集合為ASS，則設備0綜合威脅度為其對全部資產的威脅度之和，即

3.2 威脅發展層構建

基于設備威脅度，用戶可根據自身需要設置合適的威脅度區間，劃分威脅發展階段，對威脅度同屬一個區間的設備進行聚類，并根據威脅度提升原則，利用低威脅度設備與高威脅度設備間單向的業務訪問關系刻畫威脅在不同階段、不同設備間的發展方向，具體算法如下。

算法1 威脅宏觀發展層構建算法

輸入 系統設備集，設備間業務訪問關系集BR，階段威脅度區間集INV

輸出 威脅宏觀發展=(BR)

2) ASS=AssetIdentification()；//資產識別，提取核心資產集

3) Classifyaccording to INV//按照既定威脅度區間劃分階段

6)'Asset Holder(ass)；//識別核心資產所在設備

7) DP=PathIdentification(,',,BR)；//提取設備到資產所在位置的訪問路徑

9)=1(dp)；//提取訪問路徑上存在的威脅傳播路徑

10) Calculating dotdp(,ass)；//計算設備沿該訪問路徑對該資產的威脅度

11) end for

12) dot=max(dotdp(ass))；//提取設備對該資產的最大威脅度

13)DOT←dot；

14)APargmax(dotdp: apAP,dp(ap))；

15) end for

19)←；//將設備聚類到對應威脅度區間的階段中

20) Break；

21) end if

22) end for

23) end for

26)(br.source).BR←；//刻畫階段內部威脅發展軌跡

28)S?S←；//刻畫階段間威脅發展軌跡

29)end if

30) end for

31) ReturnMa=(S?S)

以上算法的核心為步驟4)~步驟23)，通過計算獲取了系統中每個設備被攻陷后的綜合威脅度?；谠O備的威脅度及用戶既定的階段威脅度區間，步驟17)~步驟22)將目標設備聚合到相應威脅發展階段。最終，基于威脅度提升原則，步驟24)~步驟31)對設備間存在的業務訪問關系進行了過濾，保留低威脅度設備指向高威脅度設備的業務訪問關系，從而刻畫出威脅在不同設備、階段間的發展趨勢。

4 威脅微觀傳播層

威脅微觀傳播層負責刻畫威脅利用原子攻擊進行傳播的路徑。當前攻擊圖模型應用于分析高級安全威脅的傳播路徑時存在局限性，即攻擊模型單一，無法分析社會工程攻擊、網絡掃描攻擊等非技術漏洞攻擊產生的威脅傳播路徑。針對這一問題，本文利用本體論，以技術漏洞利用模型為參照，對社會工程攻擊以及網絡掃描攻擊進行了細粒度分析，構建囊括這3類攻擊的混合原子攻擊本體，并通過本體推理構建威脅微觀傳播層，提高刻畫威脅傳播路徑的完備性。

4.1 本體建模

本體是概念及概念間關系的抽象描述，當前網絡安全領域的相關研究常通過構建原子攻擊本體對原子攻擊進行細粒度分析及建模?；旌显庸舯倔w相較于常見的原子攻擊本體最大的區別在于增加了對社會工程攻擊及網絡掃描攻擊的本體建模。以下首先對這兩類攻擊進行要素分析，再對混合原子攻擊本體進行介紹。

本文主要從攻擊、脆弱性、脆弱性所在部位（組件）及攻擊前提條件等方面對社會工程攻擊及網絡掃描展開分析，結果如表1所示。

由表1可知，社會工程攻擊本質是利用人性弱點實施的攻擊，主要包括魚叉（spearing phishing）攻擊、水坑（Waterholing）攻擊等攻擊技術。此類攻擊前提是攻擊者需要與受害者建立某種信任關系，如控制受害者經常訪問的網站、竊取有業務往來的郵箱賬號等，利用信任關系，觸發受害者好奇、輕信等人性弱點，誘使其點擊惡意鏈接、下載惡意郵件，從而借助受害者的操作管理權限對相關設備實施攻擊。

表1 社會工程攻擊及網絡掃描攻擊分析

網絡掃描本質上是一種偵察行為，主要通過利用一系列腳本遠程檢測網絡或網絡設備的某些狀態，如網絡中存在的IP，設備開放的服務、端口等，未實質性地破壞系統安全規則。本文根據掃描對象，主要考慮兩類掃描攻擊，即服務掃描、業務掃描。其中，服務掃描是一種常用的掃描攻擊，用于探測目標節點可遠程訪問的服務；業務掃描并不特指某種具體的掃描攻擊，而是復合多種掃描技術的抽象概念，表示以業務關系導致的節點間特權為探測對象的掃描攻擊，如管理站對工作站的管理權限、工作站在服務器上的用戶權限等。

根據以上分析，構建混合原子攻擊本體HAOT，如圖2所示。HAOT可表示為（HHHHH），其中，類集H由設備（device）、組件（component）、脆弱性（vulnerability）、攻擊（attack）4個基礎類及其子類組成。關系類型集H主要包括類間包含關系subclass of、類與實例間的從屬關系type of、實例間關系以OWL（web ontology language）本體描述語言定義的對象屬性格式property(1,2)描述，1為對象屬性的定義域2為值域，具體如表2所示。關系集H中，類間包含關系如圖2所示，類與實例從屬關系、實例間關系及實例集A需結合具體場景進行提取。規則集H以SWRL（semantic Web rule language）構建了技術漏洞利用、社會工程攻擊以及網絡掃描攻擊等3類攻擊行為模型，以下分別舉例說明。

例1 以利用“CVE-2017-0290”漏洞發起的遠程代碼執行攻擊為例，其模型如下所示。

例2 以“hw-001”表示“輕信”的人性弱點實例，利用該脆弱性發起的魚叉攻擊的模型如下。

圖2 混合原子攻擊本體示意

Figure 2 Hybridatomicattackontology

例3 在完全控制掃描發起設備的條件下發起服務掃描，探測開放服務的模型如下所示，由于不同的掃描發起源獲取的結果可能不同，因此launchAttack的首個參數為源設備實例以示區分。

以上規則模型的條件部分稱為規則體（body），結果部分稱為規則頭（head）。

4.2 攻擊成功概率計算

攻擊成功概率的量化是威脅度計算的基礎，本體建模包括技術漏洞利用、社會工程攻擊以及網絡掃描攻擊3種攻擊行為，下面針對這3類攻擊的發生概率分別進行量化計算。

（1）技術漏洞攻擊

此類攻擊的成功率常用的量化計算方式是基于漏洞的CVSS評分，綜合漏洞可用性、影響等因素進行量化。CVSS3.1評分標準中漏洞的基本得分公式如下。

由于高級安全威脅通常將攻擊隱蔽性作為追求，而漏洞利用的代碼成熟度越高，越能夠支持或發展出各種代碼隱藏技術，從而滿足攻擊隱蔽性需求，因此將漏洞評分公式優化如下。

漏洞評分越高，利用該漏洞的攻擊成功概率越高，由于評分值域為[0,10]，因此技術漏洞攻擊成功概率計算公式給出如下。

（2）其他攻擊

社會工程攻擊及網絡掃描攻擊均以技術漏洞利用攻擊作為參照，進行量化。其中，社會工程攻擊利用人性弱點發起，相較于技術漏洞，人性弱點需通過廣泛的背景情報分析進行挖掘，且觸發及影響具有較大的不確定性，因而成功率相對較低，對標低危技術漏洞得分，pr設置為0.4；而網絡掃描攻擊不依賴漏洞發起，pr設置為1。

表2 混合原子攻擊本體主要對象屬性

注：“launch Attack”命名格式中，name為攻擊名稱，vul為脆弱性，技術漏洞以cve編號格式進行標識，人員弱點采取自編號模式，以“hw_code”格式標識，當攻擊屬于網絡掃描類時，vul以“null”標識。

4.3 傳播層構建

利用混合原子攻擊本體，筆者進一步提出微觀傳播層的構建方法，框架如圖3所示。

第一步，信息獲取，主要獲取目標系統場景知識及攻擊知識這兩方面信息，場景知識包括拓撲結構、業務關系、節點軟硬件配置、操作管理人員以及存在的技術漏洞、人員弱點評估數據等；攻擊知識包括攻擊模式、難度以及攻擊影響等，可通過檢索NVD漏洞庫以及CAPEC攻擊模式庫等公共數據庫以及社會工程及網絡掃描相關研究成果獲取。

第二步，知識庫構建，該部分利用混合原子攻擊本體定義的類及關系類型，從搜集的信息中，提取實例及關系，并生成推理規則，從而補全本體知識，構建完整的本體知識庫。

第三步，Mi生成，將知識庫與既設初始條件作為輸入，利用語義推理引擎進行攻擊推理，并通過可視化處理，生成模型TL-TAM的威脅微觀傳播層。具體生成算法如算法2所示。

圖3 基于混合原子攻擊本體的微觀傳播層構建框架

Figure 3 HAOT based Mi construction framework

算法2 威脅微觀傳播層生成算法

輸入 混合原子攻擊本體HAOT；攻擊者實例att；初始條件集P0

輸出 威脅微觀傳播層Mi=(P, A, E, Pr)

2) AttackReason(att,P0,HAOT)； //利用推理引擎執行多步攻擊連續推理

3) S=inferredFacts()； //提取推理結果

4) A=getAttacksProperties（S）； //提取原子攻擊集

7) Calculatingpr(a)； //計算原子攻擊成功概率

8) Pr←pr(a)；

9) r=getRules(a)；

10) Ppre=Mapping(Explanation(a),r.body)；//識別原子攻擊前置權限

11) Ppost=Mapping(P,r.head)；//識別原子攻擊后置權限

13) E=CreateDirectedEdge(p,a)E； //創建有向邊

14) end for

16) E=CreateDirectedEdge(a,p)E； //創建有向邊

17) end for

18) end for

19) Return Mi=（P,A,E,Pr）

以上算法核心為步驟2)~步驟5)，利用推理引擎對系統中可能發生的原子攻擊進行推理并從推理結果中提取原子攻擊集及權限集；在此基礎上，步驟6)~步驟18)，識別原子攻擊與權限的前后置關系并構建有向邊，其中，原子攻擊的前置權限通過匹配推理規則體（body）與引擎提供的推理解釋（explanation）進行確定，而后置權限則通過匹配推理規則頭（head）與權限集進行提取。需要注意的是，近年來HermiT等本體推理引擎能夠自動將推理獲取的事實作為新的推理條件執行多步連續推理，因此不再需要依靠逐輪更新攻擊條件的形式實現推理進程的持續推進。并且推理引擎為每條推理獲取的事實提供了詳細的推理解釋，極大地方便了節點前后置關系的識別。

5 威脅發展預測

威脅發展趨勢預測以威脅微觀傳播層為基礎，威脅宏觀發展層為框架，以被攻陷的目標設備為輸入，判定當前威脅發展狀態并根據相鄰目標設備威脅度，預測下一步可能選取的目標設備提取相應威脅傳播路徑，算法如下。

算法3 威脅發展預測算法

輸入 被攻陷設備；雙層威脅分析模型TL-TAM=(Ma, Mi)

輸出 威脅發展狀態；下一步目標設備'；威脅傳播路徑集AP

2)()；

3)DNeighborHost(,Ma)；

5) AP←AP'；//提取由設備指向各位置核心資產的威脅傳播路徑

6) dp←,'；

7) ap=?1(dp)； //提取由設備發起，設備'上的攻擊場景

9) if post(ap)< pre(ap')//判斷設備'上的攻擊場景獲取的權限能否支撐威脅進一步傳播

10) create UnknownAttack0；//創建未知攻擊

11) pre(0)= post(ap)；post(0)= pre(ap')；

12) ap'(ap→a→ap')； //鏈接威脅傳播路徑

13) else

14) ap'= (ap→ap')；

15) end if

16) end for

17) Return，'，AP

上述步驟9)~步驟15)在威脅傳播路徑預測中考慮了未知攻擊的影響，當被攻陷設備與被選取作為下一步攻擊目標的設備間的攻擊路徑ap獲取的權限不能支持由被選取設備指向核心資產的威脅傳播路徑ap時，預測兩段路徑間存在未知攻擊，未知攻擊的前置權限為post(ap)，后置權限為pre(ap')。

6 實驗

6.1 實驗環境

為驗證模型性能，以典型的企業信息系統作為實驗場景設計實驗，實驗環境如圖4所示。該信息系統由4個子網組成，每個子網均部署防火墻及入侵檢測系統以實現訪問控制及入侵檢測。其中，DMZ區域部署Web服務器及郵件服務器，可提供對外服務；子網1部署2臺工作站及1臺文件服務器，其中，工作站1擁有文件服務器用戶賬號，文件服務器存儲了企業關鍵辦公信息，防火墻僅允許工作站訪問郵件服務器；子網2部署數據服務器，為Web服務器提供數據服務，存儲重要業務數據，防火墻僅允許Web服務器與管理站訪問數據服務器；子網3部署管理站，負責數據服務器管理，具有控制能力。系統中脆弱性包括技術漏洞及操作管理人員存在的弱點，具體如表4所示。

6.2 模型構建

實驗使用Protege5.5.0構建混合原子攻擊本體，依據該本體定義的類，從場景知識及攻擊知識中提取實例，如表3所示。依據關系類型，提取實例間關系如表4所示，表4中僅展示業務訪問關系，其余關系通過表3中列間對應關系進行描述。為使表達簡便，對象屬性中實例均以簡稱代替，如Web Server 1寫作web_1。構建攻擊者實例type of (Adversary,att)，初始條件設置如表5所示。

Protege5.5.0集成了HermiT1.4.3推理引擎，可支持多步連續推理。首先，在SWRLTab中，為脆弱性實例以及服務掃描、業務關系掃描等兩類掃描攻擊構建本體推理規則，然后，使用推理引擎執行攻擊推理，提取原子攻擊集、權限集并通過解析HermiT1.4.3提供的推理解釋對攻擊動作與權限的前后置關系進行識別，構建有向邊集，最后，計算單步攻擊成功概率。以漏洞CVE-2018-8019為例對本體推理過程進行說明，首先本體推理規則構建如下。

圖4 實驗環境

Figure 4 Experiment environment

表3 實例提取

表4 業務訪問關系提取

表5 初始條件

Device(?a)∧Software(?b)∧Vulnerability (?c) ∧has(?a, ?b)∧exist(?b, ?c) ∧sameAs (?c, CVE- 2018-8019)∧AttackCert Abuse (?d) ∧exploit (?d, ?c)∧Adversary(?e)∧hasAccess (?e, ?b)

→launch Attack_CertAbuse_CVE-2018-8019 (?e, ?a) ∧hasCompromised(?e, ?b)∧hasPrivilege Root (?e, ?a)

執行推理，攻擊者實例att新增攻擊關系“launchAttack_CertAbuse_ CVE-2018-8019 (att, web_1)”，表明攻擊發生，該關系的推理解釋如圖5所示，紅線標注為推理使用的本體推理規則，規則中綠框標注為前置權限模式，根據模式中權限類型及參數檢索匹配推理解釋條目中符合該模式的權限實例，圖中條目8符合模式要求，提取為該攻擊的前置權限，后置權限以同樣的方式識別權限模式后在攻擊者實例att新增的權限實例中檢索匹配。根據4.2節計算方法，CVE-2018-8019漏洞評分為7.4，則該攻擊成功概率計算得0.74。

微觀傳播層Mi=（,,,Pr）構建如圖6所示，其中{p}，{a}，∈N且∈[0,17]，∈[0,18]，其中，藍、綠、棕色分別為技術漏洞利用、社會工程攻擊及網絡掃描攻擊產生的威脅傳播路徑。

以數據服務器的業務數據及文件服務器的機密文件作為實驗系統核心資產，利用算法1，基于威脅傳播路徑、計算系統設備的威脅度，構建威脅發展層如圖7所示。圖中圓形為目標設備，連接線為業務訪問關系，各設備的威脅度以及攻擊行為框架如矩形框中所示，實連接線刻畫了威脅由低威脅度設備、階段向高威脅度發展的軌跡。假設企業規定威脅度超過1時為高危狀態，0.7至1為中危狀態，不超過0.7為低危狀態，分別以綠、黃、紅三色標注低、中、高3種威脅發展階段。

6.3 實驗分析

當系統告警顯示某個設備被攻陷時，利用算法3可判定威脅的當前發展狀態并預測威脅的下一步攻擊目標及相應傳播路徑。表6展示了按威脅提升原則，不同設備被攻陷情況下的威脅發展趨勢預測結果。

其中，工作站2（WS_2）被攻陷時，與其存在業務訪問關系的鄰接設備中，文件服務器威脅度最高，然而攻陷工作站2后獲取的文件服務器訪問權限無可利用的漏洞，考慮到高級安全威脅可能具備未知攻擊能力，因此，預測工作站2與文件服務器間存在未知攻擊0：launchAttack_ UnknownAttack_0day(att, FS_1)，攻擊的前后置權限分別為pre(0)=has Access(att, FS_1)，post(0)= hasPrivilegeRoot(att,FS_1)。

圖5 前置權限識別示意

Figure 5 Identification of pre-privileges to atomic attack

圖6 實驗環境威脅傳播路徑

Figure 6 Micro trans ferlayer constructed by experiment

圖7 威脅宏觀發展層示意

Figure 7 Sample of threat development prediction

當郵件服務器（ES_1）被攻陷時，威脅向下一步目標設備工作站1（WS_1）進行轉移時，涉及社會工程攻擊，需要使用水坑攻擊9。

6.4 對比分析

為驗證TL-TAM模型分析刻畫威脅發展傳播的性能，以下將本模型分別與Chen等[4]、冷強等[14]以及樊雷等[17]提出的模型進行對比，結果如表7所示。

其中，Chen等[4]提出的APT宏觀分析模型基于殺傷鏈劃分階段，模型的各階段可反復出現在針對不同目標節點的攻擊過程中，因而無法有效刻畫威脅由低到高的發展趨勢。而TL-TAM模型的威脅宏觀發展層以威脅度為階段劃分的依據，能夠直觀反映相關設備被攻陷時威脅的發展現狀，并刻畫了威脅由低威脅度設備向高威脅度設備的發展動向，能夠有效支持結合發展趨勢的威脅傳播路徑預測。

表6 威脅發展趨勢預測

表7 對比分析

冷強等[14]提出的基于攻擊圖的動態威脅分析模型，雖然對網絡服務關系產生的威脅傳播進行了分析，但未涉及社會工程攻擊及網絡掃描攻擊。以本文實驗環境中的傳播路徑a1→a3→a6→a9→a11→a13→a15為例，利用文獻[14]方法生成結果為a1→a3，路徑出現缺失，由此可見，TL-TAM模型的威脅微觀傳播層對威脅傳播路徑刻畫準確度更高。

分層式模型APT-HRM[17]雖然同樣利用分層式結構分析刻畫了威脅在不同層次的發展特征，但其底層利用攻擊樹組合攻擊方案的形式描述攻擊路徑，無法結合具體系統場景實現攻擊預測。而TL-TAM模型不僅能夠支持攻擊預測，并且能夠對未知攻擊進行一定程度的預測分析。

7 結束語

本文針對現有威脅分析模型無法同時兼顧APT等高級安全威脅的宏觀發展趨勢及微觀傳播路徑，導致無法有效適用于動態威脅跟蹤分析的問題，提出了一種雙層威脅分析模型TL-TAM。模型首先基于混合原子本體，建模了社會工程攻擊、網絡掃描攻擊等以往攻擊圖模型欠缺的攻擊行為，并利用本體推理引擎實現攻擊的自動推理，構建威脅微觀傳播層，提高了威脅傳播路徑刻畫的完備性。在此基礎上，設計了設備威脅度計算方法，基于設備威脅度構建威脅宏觀發展層，通過劃分威脅發展階段直觀展示不同設備被攻陷時威脅的發展狀態，并通過由低到高鏈接不同威脅度的設備，刻畫威脅在設備間的發展走向，為結合趨勢分析的威脅發展預測提供了框架。最后，本文提出了基于雙層模型的威脅發展預測算法，結合威脅在設備層面的發展動向及在攻擊行為層面的傳播路徑，對給定系統設備被攻陷后，威脅可能選取的目標設備、傳播路徑以及目標資產進行了預測分析。

下一步，將在持續做好模型優化的基礎上，基于雙層威脅分析模型，對高級安全威脅的動態跟蹤分析方法展開更深入的研究。

[1] 趙志巖,紀小默.智能化網絡安全威脅感知融合模型研究[J].信息網絡安全,2020,20(4):87-93.

ZHAO Z Y, JI X M. Research on the intelligent fusion model of network security situation awareness[J]. Netinfo Security, 2020, 20(4): 87-93.

[2] 金輝, 張紅旗, 張傳富, 等. 復雜網絡中基于QRD的主動防御決策方法研究[J]. 信息網絡安全, 2020, 20(5): 72-82.

JIN H, ZHANG H Q, ZHANG C F, et al. Research on active defense decision-making method based on QRD in complex network[J]. Netinfo Security, 2020, 20(5): 72-82.

[3] LI M , HUANG W , WANG Y , et al. The study of APT attack stage model[C]//2016 IEEE/ACIS 15th International Conference on Computer and Information Science (ICIS). 2016.

[4] CHEN P, DESMET L, HUYGENS C. A study on advanced persistent threats[C]//IFIP International Conference on Communications and Multimedia Security. 2014: 63-72.

[5] USSATH M, JAEGER D, CHENG F, et al. Advanced persistent threats: behind the scenes[C]//2016 Annual Conference on Information Science and Systems (CISS). 2016: 181-186.

[6] 賀詩潔, 黃文培. APT攻擊詳解與檢測技術[J]. 計算機應用, 2018, 38(S2): 170-173.

HE S J, HUANG W P. APT attacks details and detection technology[J]. Journal of Computer Applications, 2018, 38(S2): 170-173

[7] HUTCHINS E M, CLOPPERT M J, AMIN R M. Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains[J]. Leading Issues in Information Warfare & Security Research, 2011, 1(1): 80.

[8] SWILER L P, PHILLIPS C. A graph-based system for network-vulnerability analysis[R]. 1998.

[9] 吳迪, 連一峰, 陳愷, 等. 一種基于攻擊圖的安全威脅識別和分析方法[J]. 計算機學報, 2012, 35(9): 1938-1950.

WU D, LIAN Y F, CHEN K, et al. A security threats identification and analysis method based on attack graph[J]. Chinese Journal of Computers, 2012, 35(9): 1938-1950.

[10] WU S, ZHANG Y, CAO W, et al. Network security assessment using a semantic reasoning and graph based approach[J]. Computers & Electrical Engineering, 2017: 96-109.

[11] WANG L, LIU A, JAJODIA S. Using attack graphs for correlating, hypothesizing, and predicting intrusion alerts[J]. Computer communications, 2006, 29(15): 2917-2933.

[12] AHAMADINEJAD S H, JALILI S, ABADI M. A hybrid model for correlating alerts of known and unknown attack scenarios and updating attack graphs[J]. Computer Networks, 2011, 55(9): 2221-2240.

[13] 劉威歆, 鄭康鋒, 武斌, 等. 基于攻擊圖的多源告警關聯分析方法[J]. 通信學報, 2015, 36(9): 135-144.

LIU W X, ZHENG K F, WU B, et al. Alert processing based on attack graph and multi-source analyzing[J]. Journal on Communica- tions, 2015, 36(9): 135-144.

[14] 楊英杰, 冷強, 常德顯, 等. 基于屬性攻擊圖的網絡動態威脅分析技術研究[J]. 電子與信息學報, 2019, 41(8): 1838-1846.

YANG Y J, LENG Q, CHANG D X, et al. Research on network dynamic threat analysis technology based on attribute attack graph[J]. Technology Based on Attribute Attack Graph Journal of Electronics & Information Technology, 2019, 41(8): 1838-1846.

[15] 楊英杰, 冷強, 潘瑞萱, 等. 基于屬性攻擊圖的動態威脅跟蹤與量化分析技術研究[J]. 電子與信息學報, 2019, 41(9): 2172-2179.

YANG Y J, LENG Q, PAN R X, et al. Research on dynamic threat tracking and quantitative analysis[J]. Technology Based on Attribute Attack Graph Journal of Electronics & Information Technology, 2019, 41(9): 2172-2179.

[16] 胡浩, 葉潤國, 張紅旗, 等. 基于攻擊預測的網絡安全態勢量化方法[J]. 通信學報, 2017, 38(10): 122-134.

HU H, YE R G, ZHANG H Q, et al. Quantitative method for net- work security situation based on attack prediction[J]. Journal on Communications, 2017, 38(10): 122-134.

[17] 樊雷, 余江明, 雷英杰. 面向APT攻擊的分層表示模型[J]. 計算機工程, 2018, 44(8): 155-160.

FAN L, YU J M, LEI Y J. Hierarchical representation model for APT attack[J]. ComputerEngineering, 2018, 44(8): 155-160.

Two-layer threat analysis model integrating macro and micro

SUN Cheng, HU Hao, YANG Yingjie, ZHANG Hongqi

Information Engineering University, Zhengzhou 450001, China

The existing threat analysis models failed to comprehensively analyze the propagation of advanced security threats integrating the threat development trend and propagation path. In order to solve the problem, a two-layer threat analysis model named TL-TAM was established. The upper layer of the model depicted the threat development trend. The lower layer depicted the threat propagation path consideringsocialengineeringandnetworkscan. Basedon the model, prediction algorithm of threat development was proposed. The experimental result shows that the model can comprehensively analyze the threat propagation at multiple levels,overcome the defect that the threat analysis model based on attack graph is limited to technical vulnerability attack, and is more suitable for dynamic tracking analysis of advanced security threats.

two-layermodel, propagation path,social engineering, network scan

TP393.08

A

10.11959/j.issn.2096?109x.2021015

2020?08?27；

2020?10?07

孫澄，suncheng1991@outlook.com

國家自然科學基金（61902427）

The National Natural ScienceFoundation of China (61902427)

孫澄, 胡浩, 楊英杰, 等. 融合宏觀與微觀的雙層威脅分析模型[J]. 網絡與信息安全學報, 2021, 7(1): 143-156.

YANG C, HU H, YANG Y J, et al. Two-layer threat analysis model integrating macro and micro[J]. Chinese Journal of Network and Information Security, 2021, 7(1): 143-156.

孫澄（1991? ），男，江蘇常州人，信息工程大學碩士生，主要研究方向為APT檢測跟蹤。

胡浩（1989? ），男，安徽池州人，博士，信息工程大學講師，主要研究方向為網絡態勢感知。

楊英杰（1971? ），男，河南鄭州人，博士，信息工程大學教授，主要研究方向為信息安全。

張紅旗（1962? ），男，河北遵化人，信息工程大學教授、博士生導師，主要研究方向為網絡安全、移動目標防御、等級保護和信息安全管理。