基于可靠性理論的分布式系統(tǒng)脆弱性建模與評(píng)估

基于可靠性理論的分布式系統(tǒng)脆弱性建模與評(píng)估

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，用戶需求的不斷擴(kuò)張，新服務(wù)的不斷增加，分散的系統(tǒng)得到了廣泛應(yīng)用。分散系統(tǒng)的特點(diǎn)是資源分散、用戶分散、計(jì)算分布和管理分布，這給系統(tǒng)的設(shè)計(jì)、實(shí)施、評(píng)估、操作和安全維護(hù)帶來了不利因素。此外，分布式系統(tǒng)的安全性已成為一個(gè)必須盡快解決的問題。傳統(tǒng)上,人們使用防火墻、IDS和掃描器等工具來保護(hù)網(wǎng)絡(luò)安全.防火墻通過執(zhí)行訪問控制規(guī)則來限制網(wǎng)絡(luò)連接,但通常缺乏應(yīng)用級(jí)保護(hù)能力;IDS通過檢測(cè)攻擊特征和異常行為來發(fā)現(xiàn)安全問題,但普遍缺乏檢測(cè)隱秘攻擊的能力;掃描器通常針對(duì)單臺(tái)主機(jī)進(jìn)行掃描,而忽略了網(wǎng)絡(luò)拓?fù)?不能識(shí)別更具危害性的復(fù)合攻擊和協(xié)同攻擊.另外,由于缺乏統(tǒng)一的安全策略和對(duì)脆弱性的全面分析,這些工具不能在保護(hù)網(wǎng)絡(luò)資產(chǎn)安全性的同時(shí)確保網(wǎng)絡(luò)的正常運(yùn)行.因此,為了進(jìn)一步提高分布式系統(tǒng)的安全性,必須有完整的脆弱性模型和分析方法,只有在充分理解分布式系統(tǒng)脆弱性的基礎(chǔ)上,才能為分布式系統(tǒng)安全模型的設(shè)計(jì)和優(yōu)化提供保證.針對(duì)分布式計(jì)算環(huán)境,目前尚沒有完整的脆弱性模型的研究成果.國內(nèi)外研究工作主要集中在安全模型和分布式處理方面.近年來,研究人員開始關(guān)注脆弱性分析和安全量化評(píng)估等領(lǐng)域,主要研究方法如下:Dacier和Ortalo等人利用特權(quán)圖描述入侵者權(quán)限提升的過程,將通往攻擊目標(biāo)的不同路徑代表入侵者實(shí)施攻擊的不同過程,并采用經(jīng)驗(yàn)算法計(jì)算入侵行為的平均攻擊代價(jià).易見,這種方法是“以攻擊為中心”的,其平均攻擊代價(jià)的計(jì)算方法源于經(jīng)驗(yàn),缺乏理論基礎(chǔ),因此量化結(jié)果不能很好地反映系統(tǒng)的安全性.Phillips和Swiler使用攻擊圖描述入侵過程,根據(jù)攻擊者的特征、網(wǎng)絡(luò)配置和攻擊模板,從目標(biāo)狀態(tài)出發(fā)反向匹配攻擊模板.如果找到通往起始狀態(tài)的路徑,則表明存在隱患,并利用最短路徑算法計(jì)算最大入侵成功概率.其攻擊圖采用手工繪制,且最短路徑算法成立的前提是入侵者事先了解攻擊圖的結(jié)構(gòu),這有悖于常理.Sheyner和Jha等人使用改進(jìn)的模型檢驗(yàn)器NuSMV來構(gòu)建攻擊圖,并在攻擊圖的基礎(chǔ)上,利用平穩(wěn)狀態(tài)分布和Markov決策過程來計(jì)算攻擊者成功完成攻擊目標(biāo)的最大平均概率.易見,該方法也是“以攻擊為中心”的,而且對(duì)平穩(wěn)狀態(tài)分布的適用性缺乏論證,當(dāng)攻擊圖中有大量轉(zhuǎn)移概率未知時(shí),用Markov決策過程所得的結(jié)果將會(huì)遠(yuǎn)遠(yuǎn)偏離正確值.國內(nèi)主要是清華大學(xué)在研究基于Petri網(wǎng)的模型檢測(cè)的相關(guān)基礎(chǔ)理論,并利用Petri網(wǎng)的模型檢測(cè)技術(shù)來分析主機(jī)或網(wǎng)絡(luò)系統(tǒng)脆弱性的可行性,相關(guān)研究工作仍在進(jìn)行中.通觀上述方法,除了“以攻擊為中心”、缺乏對(duì)其他安全威脅源(例如用戶誤操作、系統(tǒng)故障等)的充分考慮以及量化評(píng)估方法存在缺陷之外,還有一個(gè)共同的缺點(diǎn)就是不能表示分布式系統(tǒng)所特有的一些攻擊,如需要獲得不同主機(jī)的不同權(quán)限才能完成的攻擊,包括分布式拒絕服務(wù)攻擊、網(wǎng)絡(luò)蠕蟲和協(xié)同攻擊等.針對(duì)上述問題,本文提出一種新的分布式系統(tǒng)脆弱性模型,對(duì)影響分布式系統(tǒng)安全性的各項(xiàng)因素進(jìn)行脆弱性建模,利用模型檢驗(yàn)方法構(gòu)造系統(tǒng)的脆弱性狀態(tài)圖,描述系統(tǒng)脆弱性的完整利用過程,并引入可靠性理論,對(duì)分布式系統(tǒng)的脆弱性進(jìn)行分析和量化評(píng)估,從而為增強(qiáng)分布式系統(tǒng)的安全性提供理論依據(jù).本文給出該脆弱性模型的詳細(xì)闡述.第1節(jié)介紹分布式系統(tǒng)的脆弱性建模.第2節(jié)描述脆弱性狀態(tài)圖的構(gòu)造過程及其特點(diǎn).第3節(jié)在脆弱性狀態(tài)圖的基礎(chǔ)上引入可靠性理論進(jìn)行脆弱性量化分析.第4節(jié)給出脆弱性模型的一個(gè)應(yīng)用實(shí)例.最后是全文的總結(jié).1主機(jī)的行為過程設(shè)計(jì)大型的分布式系統(tǒng)通常包含多個(gè)節(jié)點(diǎn)、平臺(tái)和應(yīng)用,并通過多種模式連接.在對(duì)分布式系統(tǒng)進(jìn)行脆弱性建模時(shí),除了考慮每臺(tái)主機(jī)的脆弱性之外,還必須了解整個(gè)分布式系統(tǒng)的網(wǎng)絡(luò)拓?fù)湫畔?找出由于相互連接和不合理的信任關(guān)系所引入的關(guān)聯(lián)漏洞.對(duì)整個(gè)分布式系統(tǒng)而言,這種漏洞往往比單個(gè)漏洞更具威脅性.系統(tǒng)的脆弱性利用過程可分解為系統(tǒng)狀態(tài)的一系列轉(zhuǎn)移步驟.導(dǎo)致這些狀態(tài)轉(zhuǎn)移的原因可能是黑客利用漏洞進(jìn)行攻擊、后門程序被觸發(fā)運(yùn)行、用戶的正常操作或系統(tǒng)本身硬件損壞等.這些行為得以實(shí)施有其一定的主體條件、客體條件和環(huán)境條件.行為的主體和客體可能是入侵者、普通用戶或后門程序等,主體條件和客體條件分別是行為主體和行為客體所應(yīng)滿足的條件;環(huán)境條件主要包括主機(jī)間的連接關(guān)系、信任關(guān)系和入侵檢測(cè)系統(tǒng)(IDS)的設(shè)置等.因此,在對(duì)分布式系統(tǒng)進(jìn)行脆弱性建模時(shí),主要考慮以下因素:·H:分布式系統(tǒng)的主機(jī)集合.分布式系統(tǒng)中的任何一臺(tái)主機(jī)h∈H,都用一個(gè)五元組(id,usr,svcs,sw,vuls)來表示,其中id是主機(jī)的唯一標(biāo)識(shí)符,可以是主機(jī)名或主機(jī)地址;usr是主機(jī)設(shè)置的用戶類型,如來賓、普通用戶、特權(quán)用戶、管理員等;svcs是主機(jī)上運(yùn)行的應(yīng)用服務(wù);sw是主機(jī)上安裝的軟件,例如操作系統(tǒng)類型和版本號(hào);vuls是主機(jī)上存在的漏洞,包括軟硬件漏洞、錯(cuò)誤配置、管理缺陷等.·I:入侵者模型,這里只簡(jiǎn)單考慮入侵者的權(quán)限,函數(shù)plvli(h)→{none,user,root}給出了入侵者i在主機(jī)h上的權(quán)限級(jí)別,它滿足全序關(guān)系:none<user<root.有時(shí),plvli(h)簡(jiǎn)寫成plvl(h).·R:主機(jī)間的連接關(guān)系,用三重關(guān)系來描述:R?Host×Host×Port,例如R(h1,h2,p)表示主機(jī)h1可以訪問到主機(jī)h2的端口p.·T:主機(jī)間的信任關(guān)系,用二元關(guān)系來描述:RshTrust?Host×Host.例如,RshTrust(h1,h2)表示用戶可以從主機(jī)h1登錄到主機(jī)h2上,而無須認(rèn)證(即主機(jī)h2“信任”主機(jī)h1).·IDS:入侵檢測(cè)系統(tǒng)模型,用函數(shù)ids:Host×Host×Action→{d,s,b}來表示,如果源主機(jī)h1與目標(biāo)主機(jī)h2之間的行為a是可檢測(cè)的,則ids(h1,h2,a)=d;如果a是隱秘的,則ids(h1,h2,a)=s;如果a既有可檢測(cè)部分又有隱秘部分,則ids(h1,h2,a)=b.·S:分布式系統(tǒng)的狀態(tài)集合,該集合中的任一狀態(tài)都表示為s=(sub,obj,env),其中,sub為主體條件;obj為客體條件;env為環(huán)境條件.它們是下一個(gè)行為得以執(zhí)行的前提條件.·A:行為集合,該集合中的每個(gè)行為由一個(gè)六元組來描述:a=(ID,Name,VulID,ss,sd,λ),其中,ID為該行為的唯一編號(hào);Name為該行為的名稱;VulID為該行為對(duì)應(yīng)的漏洞編號(hào),若無相應(yīng)的漏洞,則該值設(shè)為0;ss為行為的源狀態(tài);sd為行為的目標(biāo)狀態(tài);λ為衡量該行為難易程度的代價(jià)參數(shù).行為的執(zhí)行將使系統(tǒng)脆弱性進(jìn)入下一個(gè)狀態(tài),而下一個(gè)狀態(tài)則可能是再下一個(gè)行為得以執(zhí)行的前提.這里,我們建立了一個(gè)行為規(guī)則庫用來保存各個(gè)行為的相關(guān)信息.·G:系統(tǒng)的安全屬性集合,即分布式系統(tǒng)所要達(dá)到的安全防護(hù)目標(biāo),這里采用系統(tǒng)斷言語言CTL(computationaltreelogic)來描述.例如,某個(gè)分布式系統(tǒng)的安全屬性為:入侵者i在主機(jī)h上的權(quán)限級(jí)別應(yīng)始終低于根用戶權(quán)限,則該屬性可表示為AG(plvli[h]<root).2脆弱性圖vsg2.1不安全狀態(tài)p完成分布式系統(tǒng)的脆弱性建模之后,我們利用符號(hào)模型檢驗(yàn)器NuSMV來構(gòu)造反例.所謂反例,就是違背安全屬性的狀態(tài)轉(zhuǎn)移過程.NuSMV所使用的模型檢驗(yàn)是一項(xiàng)用于檢驗(yàn)系統(tǒng)的形式模型M是否滿足給定屬性p的方法.這里,M是有限的轉(zhuǎn)移系統(tǒng);p是由CTL語言描述的安全屬性,其形式為p=AGf,其中f為原子邏輯中的公式,如-unsafe表示不會(huì)出現(xiàn)不安全的狀態(tài).如果模型M滿足屬性p,則NuSMV報(bào)告“true”;反之,則給出違背屬性p的反例.脆弱性狀態(tài)圖(VSG)描述的是系統(tǒng)到達(dá)不安全狀態(tài)的各種可能的路徑.我們把系統(tǒng)不會(huì)到達(dá)不安全狀態(tài)的屬性表示為AG(-unsafe).當(dāng)該屬性為“false”時(shí),則存在從初始狀態(tài)出發(fā)可到達(dá)的不安全狀態(tài),不安全的確切含義依賴于具體應(yīng)用.下面簡(jiǎn)要描述違背安全屬性AG(-unsafe)的脆弱性狀態(tài)圖的構(gòu)建算法:·建立狀態(tài)集合S,初始狀態(tài)集合S0?S,狀態(tài)轉(zhuǎn)移關(guān)系R?S×S((s,s′)∈R表示存在從s到s′的轉(zhuǎn)移);·建立從某狀態(tài)出發(fā)可用的原子行為集合L:S→2A(A是所有原子行為的集合),設(shè)定系統(tǒng)的安全屬性p=AG(-unsafe);AG(-unsafe);·利用AG算子的定點(diǎn)特性,使用模型檢驗(yàn)迭代算法搜索通往不安全狀態(tài)的路徑中所有狀態(tài)的集合Sunsafe;·將狀態(tài)轉(zhuǎn)移關(guān)系R限制在Sunsafe包含的狀態(tài)集范圍內(nèi),得到轉(zhuǎn)移關(guān)系Rp=R∩(Sunsafe×Sunsafe);·采用圖形化工具Graphviz將NuSMV輸出的上述結(jié)果轉(zhuǎn)化為狀態(tài)轉(zhuǎn)移圖的形式.2.2多條件組合模型的特點(diǎn)采用脆弱性狀態(tài)圖描述分布式系統(tǒng)的脆弱性,相比特權(quán)圖和攻擊圖來說有以下3個(gè)優(yōu)點(diǎn):(1)采用系統(tǒng)狀態(tài)作為節(jié)點(diǎn)比“以攻擊為中心”的攻擊圖和特權(quán)圖更具有普適性,因?yàn)橐粋€(gè)系統(tǒng)的脆弱性并不僅僅源于攻擊,也有可能是由系統(tǒng)本身的錯(cuò)誤配置、用戶誤操作和硬件損壞等問題導(dǎo)致的.(2)與攻擊圖相比,更能節(jié)省狀態(tài)空間.如圖1(a)所示的攻擊圖表示原子行為a1,a2,…,an的執(zhí)行效果是一樣的,它們中任何一個(gè)行為的執(zhí)行結(jié)果都可以使行為as繼續(xù)執(zhí)行,這里需要用n+2個(gè)節(jié)點(diǎn)來表示.如果采用脆弱性狀態(tài)圖來描述(如圖1(b)所示)只需要3個(gè)節(jié)點(diǎn),比攻擊圖少了n-1個(gè)節(jié)點(diǎn).因此,對(duì)大型分布式系統(tǒng)采用脆弱性狀態(tài)圖進(jìn)行描述,將會(huì)大大節(jié)省狀態(tài)存儲(chǔ)空間,提高脆弱性狀態(tài)圖的構(gòu)建效率.(3)引入多條件組合模型來滿足分布式系統(tǒng)的需要.例如,對(duì)于分布式拒絕服務(wù)攻擊,需要首先獲得多臺(tái)主機(jī)的控制權(quán)限,然后分別安裝攻擊代理程序才能控制這些主機(jī)對(duì)目標(biāo)主機(jī)實(shí)施攻擊.如圖1(c)所示,若想達(dá)到狀態(tài)Ss,需要執(zhí)行從狀態(tài)S0出發(fā)的行為a0、從狀態(tài)S1出發(fā)的行為a1、…從狀態(tài)Sn出發(fā)的行為an.多條件組合模型在分布式系統(tǒng)中是很常見的.多條件組合節(jié)點(diǎn)Ss用矩形框來表示.3基于可靠性理論的脆弱性分析在脆弱性狀態(tài)圖的基礎(chǔ)上,我們引入可靠性理論,對(duì)分布式系統(tǒng)的脆弱性進(jìn)行量化分析.3.1代價(jià)分布的聚類分布模型表1給出了傳統(tǒng)元器件產(chǎn)品的可靠性參數(shù)和分布式系統(tǒng)脆弱性狀態(tài)圖中可靠性參數(shù)的對(duì)應(yīng)關(guān)系.表1中,原子行為的成功速率λ也稱為行為代價(jià)參數(shù),其取值依據(jù)該原子行為所要求的知識(shí)水平、所耗費(fèi)的計(jì)算資源、人力資源、時(shí)間等因素而定.目前,我們采用等價(jià)攻擊時(shí)間的方法來進(jìn)行選取,即假定攻擊者具有相同的知識(shí)水平、資源和對(duì)目標(biāo)網(wǎng)絡(luò)的了解程度.這里參考了可靠性理論的方法,采用指數(shù)分布函數(shù)來計(jì)算代價(jià)分布情況,其原因在于:·如果通往目標(biāo)節(jié)點(diǎn)的路徑存在,而且攻擊者付出了足夠的代價(jià)(11)即c→∞,則有F(c)|c→∞=1,表示攻擊者最終總可以達(dá)到攻擊目標(biāo);·當(dāng)c=0時(shí),F(c)|c=0=0.即攻擊者不進(jìn)行任何攻擊行為,則無法完成任何攻擊目標(biāo);·相對(duì)于其他有類似性質(zhì)的分布函數(shù)(如正態(tài)分布、對(duì)數(shù)正態(tài)分布和威布爾分布)來說,指數(shù)分布具有單參數(shù)的特性,有更好的適用性.3.2脆弱性狀態(tài)模型系統(tǒng)可靠度函數(shù)Rs(c)為該系統(tǒng)在規(guī)定條件、規(guī)定代價(jià)c下維持安全狀態(tài)的概率,Rs(c)值越大說明該系統(tǒng)的脆弱性越差.我們把脆弱性狀態(tài)圖分為如下4種模型,分別計(jì)算這4種模型所對(duì)應(yīng)的可靠度函數(shù).3.2.1聯(lián)通模式對(duì)于如圖2所示的串聯(lián)模型,設(shè)Ci和λi分別為第i步原子行為的代價(jià)和成功速率,系統(tǒng)可靠度函數(shù)為3.2.2聯(lián)合模型對(duì)于如圖3(a)所示的并聯(lián)模型,設(shè)Ci和λi分別為第i步原子行為的代價(jià)和成功速率,系統(tǒng)可靠度函數(shù)為3.2.3輸入節(jié)點(diǎn)可靠度函數(shù)對(duì)于如圖3(b)所示的串并聯(lián)復(fù)合模型,利用遞歸方法計(jì)算對(duì)應(yīng)的可靠度函數(shù).設(shè)狀態(tài)s為脆弱性狀態(tài)圖的目標(biāo)節(jié)點(diǎn),則該系統(tǒng)的可靠度函數(shù)為其中,集合in(s)為節(jié)點(diǎn)s的所有輸入節(jié)點(diǎn)集合;λk,s是指從輸入節(jié)點(diǎn)k到目標(biāo)節(jié)點(diǎn)s的有向邊所對(duì)應(yīng)的原子行為的成功速率;Rk(c)為輸入節(jié)點(diǎn)k對(duì)應(yīng)的可靠度函數(shù);(Rk(c),λk,s)為沿著輸入節(jié)點(diǎn)k到目標(biāo)節(jié)點(diǎn)s這條路徑所對(duì)應(yīng)的可靠度函數(shù).設(shè)3.2.4求各輸入節(jié)點(diǎn)的可靠度函數(shù)對(duì)于如圖3(c)所示的多條件組合模型,如果組合節(jié)點(diǎn)的各輸入節(jié)點(diǎn)相互獨(dú)立,則先計(jì)算各輸入節(jié)點(diǎn)的可靠度函數(shù),再按串聯(lián)模型計(jì)算;若其各輸入節(jié)點(diǎn)具有相關(guān)性,則其計(jì)算方法需視各節(jié)點(diǎn)的條件相關(guān)性而定.針對(duì)所分析的分布式系統(tǒng),應(yīng)綜合利用以上模型,對(duì)表征系統(tǒng)脆弱性的可靠度函數(shù)進(jìn)行計(jì)算.€b?A￠3.3系統(tǒng)攻擊成本期望值E(C)越大,說明該系統(tǒng)的脆弱性越差,攻擊者要完成攻擊目標(biāo)平均所要花費(fèi)的代價(jià)也就越àe@f?大?.h?CC￠￠4訪問內(nèi)部局域網(wǎng)圖4是實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D,由DMZ和內(nèi)部局域網(wǎng)兩個(gè)子網(wǎng)構(gòu)成.DMZ包含兩臺(tái)主機(jī):主機(jī)1為SS€gH?服務(wù)器,?D￠存在sshd緩沖區(qū)溢出漏洞;主機(jī)2為IISWeb服務(wù)器,存在IIS緩沖區(qū)溢出漏洞.內(nèi)部局域網(wǎng)中,主機(jī)3hg??運(yùn)行關(guān)鍵EèD￠￠數(shù)據(jù)庫,我們的安全目標(biāo)是保證該數(shù)據(jù)庫的正常運(yùn)行,防止出現(xiàn)拒絕服務(wù).防火墻負(fù)責(zé)網(wǎng)絡(luò)隔離,外部h?`f?主機(jī)只能?E￠hE￠訪問DMZ區(qū)域的主機(jī),不能直接訪問內(nèi)部局域網(wǎng);而DMZ區(qū)域的主機(jī)可以訪問內(nèi)部局域網(wǎng).(:￠èE￠假定外部攻擊者必須控制兩臺(tái)傀儡機(jī),才能對(duì)數(shù)據(jù)庫實(shí)施有效的分布式拒絕服務(wù)攻擊,因此主機(jī)A上的攻擊者必須先控制主機(jī)1和主機(jī)2.由于對(duì)DMZ區(qū)域設(shè)置了IDS進(jìn)行監(jiān)控,攻擊者如果直接攻擊主機(jī)2的IIS緩沖區(qū)溢出漏洞,HTTP明文數(shù)據(jù)流中包含的攻擊特征將被IDS檢測(cè)到;但如果攻擊者利用主機(jī)1的sshd緩沖區(qū)溢出漏洞獲取root權(quán)限,則雙方交換的數(shù)據(jù)流是經(jīng)過加密的,IDS無法檢測(cè)到這種隱秘攻擊.因此,為了對(duì)數(shù)據(jù)庫實(shí)施有效且隱秘的拒絕服務(wù)攻擊,攻擊者采取如下的攻擊過程:首先,利用sshd緩沖區(qū)溢出漏洞,獲取主機(jī)1的root權(quán)限;然后,從主機(jī)1發(fā)起針對(duì)主機(jī)2的IIS溢出攻擊,獲取主機(jī)2的管理員權(quán)限;分別在主機(jī)1和主機(jī)2上安裝代理,并控制它們同時(shí)向主機(jī)3的數(shù)據(jù)庫發(fā)送大量數(shù)據(jù)包,致使數(shù)據(jù)庫出現(xiàn)拒絕服務(wù).根據(jù)第1節(jié)介紹的脆弱性建模方法,表2給出了攻擊者實(shí)施分布式拒絕服務(wù)攻擊的各個(gè)行為的詳細(xì)描述其中,ip0,ip1,ip2和ip3分別為主機(jī)A、主機(jī)1、主機(jī)2和主機(jī)3的IP地址,sk表示主機(jī)h上運(yùn)行s(s為某個(gè)服務(wù)或程序).利用第2節(jié)描述的脆弱性狀態(tài)圖構(gòu)建流程,我們來繪制該實(shí)例所對(duì)應(yīng)的脆弱性狀態(tài)圖,如圖5所示.利用第3節(jié)介紹的基于可靠性理論的脆弱性分析方法,并根據(jù)上述脆弱性狀態(tài)圖,可以計(jì)算得到數(shù)據(jù)庫系統(tǒng)的可靠度函數(shù)