資訊中心機率型安全塑模與分析

資訊中心機率型安全塑模與分析

王學亮，陳軍達

國立高雄大學資訊管理學系

[email protected]，

[email protected]

洪宗貝

國立高雄大學資訊工程學系

[email protected]

摘要

由於資訊威脅逐年增加，近年來資訊安全已成為各大企業與組織之重要課題之一。

如何塑模資訊系統之安全性是一個探討已久之研究主題。而目前之分析資訊系統安全性

的方法大都是從攻擊者的角度出發，模擬各個可能的攻擊路徑，直到成功的入侵到攻擊

目標為止。此種分析方式雖然很實際，但其計算卻相當複雜。本研究則提出一個從保護

資訊資源的角度來探討資訊中心之安全性機率。我們假設一個資訊中心是由兩種元件組

成–“資源”與“過濾器”。資源是指攻擊者之攻擊目標，而過濾器則為防禦設施。與[8]不

同的是，在本研究中，我們假設攻擊者入侵某一資源後，會繼續攻擊其他資源。我們提

出一個簡單的模型及演算法計算資訊中心每一資源的累進不安全性機率。數值模擬結果

顯示，在單層的資訊中心結構下，資源之不安全性機率取決於可能的攻擊路徑數。但在

多層的資訊中心架構下，資源之不安性機率則取決於路徑數及過濾器之不安全性之組

合。同時，我們所計算出之資源間相對不安全性機率之交錯值亦可協助資訊中心架構之

設計與管理之參考。

關鍵字：不安全性機率、攻擊圖

資訊中心機率型安全塑模與分析

摘要

由於資訊威脅逐年增加，近年來資訊安全已 成為各大企業與組織之重要課題之一。如何塑模資 訊系統之安全性是一個探討已久之研究主題。而目 前之分析資訊系統安全性的方法大都是從攻擊者 的角度出發，模擬各個可能的攻擊路徑，直到成功 的入侵到攻擊目標為止。此種分析方式雖然很實 際，但其計算卻相當複雜。本研究則提出一個從保 護資訊資源的角度來探討資訊中心之安全性機 率。我們假設一個資訊中心是由兩種元件組成–“資 源”與“過濾器”。資源是指攻擊者之攻擊目標，而 過濾器則為防禦設施。與[8]不同的是，在本研究 中，我們假設攻擊者入侵某一資源後，會繼續攻擊 其他資源。我們提出一個簡單的模型及演算法計算 資訊中心每一資源的累進不安全性機率。數值模擬 結果顯示，在單層的資訊中心結構下，資源之不安 全性機率取決於可能的攻擊路徑數。但在多層的資 訊中心架構下，資源之不安性機率則取決於路徑數 及過濾器之不安全性之組合。同時，我們所計算出 之資源間相對不安全性機率之交錯值亦可協助資 訊中心架構之設計與管理之參考。 關鍵字：不安全性機率、攻擊圖

1. 緒論

邁入21世紀，隨著資訊科技的發展，伴隨著 資訊系統的脆弱性也越來越多，而所面臨的各種資 訊威脅也越來越嚴重，因此資訊安全的重要性也越 來越受重視。 經過三十多年的發展，對於如何加強資訊系 統的安全性已有相當多的研究成果。在如何提昇資 訊系統的安全性上，主要有兩大類的處理方式。第 一種方式是要求所建置之資訊系統在使用時必須 滿足某些預設之安全規定。例如Bell和LaPadula model [2] 所 提 的 存 取 安 全 模 式 (access security model) ， Sutherland [7] 所 提 的 基 於 資 訊 流 模 式 (infomation flow model) 的 非 演 譯 性 模 式 (nondeducibility)，和Goguen與Messeguer [3]所提的 非干涉模式(noninterference model)等。所謂存取安 全模式是指系統所執行的指令必須滿足一組預先 設定之存取控制條件，例如，多層次安全(multilevel security)。所謂資訊流模式是指將系統行為視為資 訊流，而當系統出現無預期之資訊流時，即造成系 統之不安全性。 另一類的資訊安全處理方式是嚐試建構資訊 系 統 使 得 其 不 安 全 或 脆 弱 性 降 至 最 低 。 例 如 Moskowitz 與 Kang [4] 所 提 的 不 安 全 流 模 式 (insecurity flow model)，即試圖分析系統不安全性 之 機 率 。 Sheyner 等 人 [6], Ammann 等 人 [1], Phillips[5] 等 則 提 出 以 攻 擊 圖 模 式 (attack graph models)來分析系統的脆弱性。一但系統脆弱點能 夠確認，則可針對其弱點提出安全措施以提昇系統 安全。 但是上述大部分之分析系統安全性及脆弱性 之技巧都是從攻擊者的位置作為分析起始點。此種 分析完成時，一般都會產生一種攻擊路徑圖，而產 生此類圖型之計算複雜度相當高。因此，本研究提 出採取不同的起始點來分析系統之不安全性。我們 提出從系統中之“資源”開始來產生攻擊路徑圖。基 於系統中每個資源與過濾器之原始不安全性機率 及前述不安全流模式[4]，我們提出一個建構式的 模式，來表達資訊中心之結構並且可以計算每一個 資源的累進不安全性機率(成功攻擊機率)之演算 法。為了簡化起見，我們只處理單一形態的資訊威 脅。

以下是本論文之架構。第二節介紹資訊中心 建構式塑模之基本模組與其計算不安全性機率之 方式。第三節敘述所提議之計算不安全性機率之演 算法。第四節敘述數值模擬及分析結果。第五節則 敘述本工作之結論與未來工作。

2. 資訊中心安全模型

在一個網路的計算環境中，Moskowitz與Kang [4]定義了一個所謂的保護域(protection domain)。 基本上保護域是指一組受到相同保護的相關資訊 資產。例如，網路伺服器、應用系統伺服器和資料 庫伺服器都可以認為是組織內的資訊資產。而保護 域可以是實體的或邏輯上的系統元件。每個保護域 可包括安全規定及有關的安全機制，如防火牆，存 取控制清單和入侵偵測系統來保護他們之資產。 圖1 單層資訊中心架構 圖2 雙層資訊中心架構 基於此資訊資產(本文稱為“資源”)及保護機 制(本文稱為“過濾器”)的概念，我們提出一個基於 資源與過濾器的模式將資訊中心的拓撲架構對映 到一個圖型上(例如圖一與圖二所示)。圖中之攻擊 (attack)節點代表一般連接到資料中心或網路之外 界環境。 對於一種攻擊，一個單獨過濾器之不安全機 率(或成功的攻擊機率)可定義為成功的通過該過 濾器之機率。同樣的，一個單獨資源之不安全機率 (或成功的攻擊)可定義為成功的控制並通過該資 源之機率。為簡化起見，在本文中我們假設各個過 濾器之不安全機率是互相獨立並且與時間無關 的。如此，一個資訊系統中一個資源的不安全性機 率則可定義為通過所有可能的攻擊路徑到達該資 源之累進不安全機率(accumulative probability of insecurity)。例如，以圖一中之資源R1為例，共有6 條可能之攻擊路徑{< A, F1, R1>, < A, F2, R1>,< A, F1, F2, R1>,< A, F2, F1, R1>,< A, F1, R2, F2, R1>,< A, F2, R2, F1, R1>}。與[8]不同的是，在本文中我們假 設攻擊者入侵某一資源後，會繼續攻擊其他資源， 因此，我們假設單獨資源的不安全性機率不為零。 假若單獨資源的不安全性機率為零，則正如[8]， 資源R1只有4條路徑{< A, F1, R1>, < A, F2, R1>,< A, F1, F2, R1>,< A, F2, F1, R1>}。 為了要表達不同的資訊中心架構，我們提出 四種基本的建構模組及其計算累進不安全機率的 方法下：單一過濾器(1F)、串聯過濾器(mSF)、並 聯過濾器(mPF)、及平行過濾器(mIF)。 F₁ R₁ Attack v₁ v₁ 1 圖3 單一過濾器 (1F) 圖4 串聯過濾器 (mSF) 圖5 並聯過濾器 (mPF) F R₁ Attack ... v₁ v₂ v_m v 1- (1-vv_i)..(1-vv_m) 圖6 平行過濾器 (mIF)

圖3為一個攻擊、一個過濾器、一個資源，單 獨過濾器的不安全機率為v1 ，所以資源R1的累進 不安全機率v1。圖4有多個不同的單獨過濾器串聯 在一起，每一個過濾器的不安全機率分別為v1、 v2、…、 vj，所以R1的累進不安全機率為v1． v2．．． vj。圖5為多個不同的單獨過濾器並聯在一起，每 一個過濾器的不安全機率分別為v1、 v2、…、 vj， 我們先計算每一個過濾器安全的機率，分別為 (1-v1)、(1- v2)、…、(1- vj)，並相乘，得到(1-v1)(1- v2)…(1- vj)，最後再用1去減掉安全的機率，即為R1 的累進不安全機率，所得到的結果是1-(1-v1)(1- v2)…(1- vj)。圖6為平行過濾器，我們假設過濾器的 不安全機率為v，每一條攻擊路徑的機率為v1． v2．．． vm，算法與圖5類似，均為並聯的算法， 因 此 我 們 得 到 R1的 不 安 全 機 率 為 1-(1-vv1)(1- vv2)…(1- vvm)。

3. 演算法

要計算一個資訊中心的任意一個資源之不安 全機率，我們提出一個兩階段的演算法。在第一個 階段，對於指定的資源，我們從該資源倒推到攻擊 起始點來產生一顆搜尋樹。搜尋樹從根節點到每一 個葉節點即為一條可能的攻擊路徑。基本上我們採 取的是廣度優先由上而下的搜尋方式來產生攻擊 樹。在此處之攻擊路徑則規定是單純路徑，亦即每 一條路徑的節點不能重覆出現。對於一個資訊中心 中的每一個資源，我們的演算法都會產生一個攻擊 圖，而每一個攻擊圖的葉節點即為攻擊的起始點。 在所提演算法的第二個階段，我們將計算每 一個資源的累進不安全機率，基本上我們採取的是 由下而上的遞迴方式來計算。從每個葉節點開始， 根據相鄰過濾器的聯結方式，呼叫對應之基本模 組，計算其目前之累進不安全機率，由下而上匯集 到根節點，以取得該資源之累進不安全機率。詳細 的演算法步驟敘述如下： 累進不安全機率演算法 輸入： （1）資訊中心拓撲架構 （2）每一個過濾器的不安全機率 輸出： 每一個資源不安全的累加機率 Function BFS(G;R;A;T) //在拓撲架構G下，從攻擊者A到資源R，建置一顆 攻擊樹T 1. 初始化佇列BFQ為R，T為CurrNode 2. While (BFQ不為空值){ 3. CurrNode = BFQ.dequeue(); 4. NextNodeSet={可連結到CurrNode的所有節 點，但不包括已出現過的父節點}; 5. If (NextNodeSet為空值) 刪除 CurrNode ; 6. For (在NextNodeSet下，對於每一個 NextNode){ 7. 增加CurrNode到NextNode的邊; 8. If (NextNode 不是A) NextNode加

入到佇列BFQ;} // 結束for迴圈 9. };//結束while迴圈 Function AP(T;P) // 在攻擊樹下，利用遞迴的方式，計算累進攻擊機 率 1. p = 0; //初始化 2. If T = node A, return p = 1; 3. (如果T有一個子節點){ 4. If 1F or mSF then //一個或沒有子節點 5. p = v *AP(T.child);

6. else if mIF then { //超過一個子節點 7. let c =T.child; 8. p = 1-(1-v*AP(c.child(1)))...(1-v* AP(c.child(m))); 9. }; 10. }; 11. else 12. p = 1-(1-v*AP(c.child(1)))...(1-v* AP(c.child(m))); 13. Return p;

4. 實驗與分析

本節報告本文所提演算法的數值模擬及分析 結果。我們以圖一及圖二的兩種資訊中心拓撲架構 為基準，去分析過濾器在不同的單獨不安全機率 下，對各個資源的累進不安全機率的影響。 圖七顯示對單層架構(圖一)中資源R1的累進 不安全機率在過濾器不安全機率變化下的結果。此 圖很明顯的印證R1的累進不安全機率與過濾器不 安全機率成正比。 圖7 F1=F2，的累加機率 圖八、九、十顯示雙層架構(圖二)中資源R1 與R3間的累進不安全機率的比較。以圖八為例，假 設四個過濾器的機率都一樣(F1=F2=F3=F4)，一般 在我們的認知中，攻擊路徑越多條，也就越不安 全，照常理判斷，R3比R1更不安全，因為對R1的可 能攻擊路徑有38條，而對R2的可能攻擊路徑有88 條，但實際計算出來的結果與我們原先預測的不 同，並非完全由路徑數量決定。除了路徑之外，還 必須探討每一條攻擊路徑的機率，R1每一條路徑的 機率都較高，因此，即使路徑較少，仍然較不安全。 R3每一條攻擊路徑的機率都較低，即使路徑多，仍 然比R1安全。 圖8 F1=F2=F3=F4，R1和R3的累加機率 另一個我們觀察到的現象是所謂的累進不安 全機率交錯特性。如圖九所示，假設在F1與F2的單 獨不安全機率固定為0.1的情況下，變動F3與F4的 單獨不安全機率且F3=F4。從圖中可以明顯的看 出，F3與F4的不安全機率愈高，R1與R3的不安全性 亦愈高。但在大約F3=F4 =0.3的時候，會出現交錯 的現象，也就是說若F3與F4的不安全機率小於 0.3，則R3較R1安全。反之，若F3與F4的不安全機率 大於0.3，則R3較R1不安全。此現象意謂著若要使 R3比R1更安全，則在資訊中心的架構設計上心需考 慮F1(及F2)與F3(及F4)之間的關係。 圖9 F1=F2=0.1，R1和R3交錯的現象 圖十顯示類似的交錯特性。假設F3與F4的單 獨不安全機率階固定為0.4，而F1與F2的不安全機 率變動。如圖十所示若F1與F2的不安全機率小於或 等於0.3時，則R1(及R2)比R3(及R4)較安全。若大於 0.3時，則R1(及R2)比R3(及R4)較不安全。因此，資 源累進不安全機率可作為資訊中心拓撲架構設計 時的一個參考。

圖10 F3=F4=0.4，R1和R3交錯的現象

5. 結論

本工作基本上研究當一個資訊中心遭遇可能 的攻擊時，所造成的不安全性的問題。我們提出一 組簡單的基本模組，以描述整個資訊中心的架構。 同時我們提出一個新的演算法，來計算資訊中心內 各個資源的累進不安全性機率。我們也對所提出之 建構模式及演算法在一般常見的單層及雙層資訊 中心拓撲結構上做數值模擬與分析。結果顯示資源 之累進不安全機率大致與預期符合。同時我們也發 現了一個所謂的交錯現象，可用來作為資訊中心架 構設計的參考。 但是本報告只是一個初步的工作，若要將本 文所提之方法付諸實用，還有相當多的問題要解 決。例如，如何制定各過濾器的單獨初始不安全機 率，如何處理同時間多種形態的可能攻擊，以及如 何與風險管理結合，以有效的管理整個資訊中心。 我們將進一步研究上述問題以改善我們所提之模 型。

參考文獻

[1] P. Ammann, D. Wijesekera, S. Kaushik, “Scalable, Graph-Based Network Vulnerability Analysis”, Proceedings of the 9th ACM Conference of Computer and Communications Security (CCS’02), 217-224, 2002.

[2]

D. Bell and L. LaPadula, “Secure Computer Systems: Unified Exposition and multics Interpretation”, Technical Report, MTR-2997, MITRE, Bedford, Mass, 1975.

[3]

J.A. Goguen and J. Meseguer, “Security Policies and Security Models”, Proc. of the 1982 IEEE Symposium on Security and Privacy, 11-20, Oakland, CA, April 1982.

[4]

I.S. Moskowitz and M.H. Kang, “An Insecurity Flow Model”, In New Security Paradigms Workshop, Langdale, Cumbria, UK, 1997.

[5]

C. Phillips and L.P. Swiler, “A Graph-Based System for Network-Vulnerability Analysis”, In New Security Paradigms Workshop, 71-79, 1998.

[6]

O. Sheyner and J. Wing, “Tools for Generating and Analyzing Attack Graphs”, Proceedings of Formal Methods for Components and Objects, Lecture Notes in Computer Science, 2005.

[7]

D. Sutherland, “A Model of Information”, Proc. of the 9th National Computer Security Conference, NSA/NIST, Gaithersburg, MD, September 1986.

[8]

S.L. Wang, P.A. Stirpe, and T.P. Hong, “Modeling Optimal Security Investment of Information Centers”, DMDRM workshop in PAKDD, Osaka, Japan, May 2008.