基于动态攻击图的复杂计算机系统脆弱性影响评估方法

基于动态攻击图的复杂计算机系统脆弱性影响评估方法安托万·布德尔明引用此版本：安托万·布德明基于动态攻击图的复杂计算机系统可靠性影响评估方法计算机科学巴黎理工学院，2022年。英语NNT：2022IPPAT046。电话：03947453HAL Id：tel-03947453https://theses.hal.science/tel-039474532023年1月19日提交HAL是一个多学科的开放获取档案馆，用于存放和传播科学研究文件，无论它们是否已这些文件可能来自法国或国外的教学和研究机构，或来自公共或私人研究中心。L’archive ouverte pluridisciplinaire626基于动态攻击图的复杂计算机系统Thee` se de doctor at depre' pare' ea`Te'le' comP ar isE'cole docto ralen 626E' cole docto rale deSpe'cialite'de doctor at：In forr matique2022年10月19日，第19段，A NTOINEB欧德明评审团组成：帕斯卡尔·洛伦茨上阿尔萨斯大学教授索朗热·盖尔纳杰洛桑大学教授利斯·库希教授，我不知道你会怎么做谢拉利·泽达利考官专业，Uni versite'duKentucky Exa minateur让·勒纳特尔Ma itredeconfe′rences，Te′le′ comPar is Examin ateurYoussef LaarouchiSPE' cialisteencyberse'cur ite'，EDFR D Examin ateurRida KhatounProf esseur，Te'le' comPar is Directeurdethe' se让-亨利·舒瓦耶CERT，NAV ALGR OUP朱利安·弗朗克Responsab leRechercheInnov ationenCyberse'cur ite'，NAVALGROUPIn vite'NNT：2022IPPAT046IIRE'SUME'这些系统的信息，所以ntdevenusomnip r'ese ntsdansnossoci'e tm odernes。同样，信息系统也必须支持那些从事信息收集、储存、销售和分销的知名企业这些系统确保了我们的产品质量，包括产品的生产条件和质量。这种系统的复杂性不在于它是如何影响其他人的，也不在于它是如何影响其他人的，而是在于 它 是 如 何 影 响 其 他 人 的 ， 以 及 它 是 如 何 影 响 其 他 人 的 。Lesattaquesciblantcessyst`emessesontellesaussicomplex ifi'eesetpeuventsed'eroulerenplusieurs这是在一个很长的时间里。当然，这个国家的人是一个有组织的人，他们可以参加美国的统一运动，这是一个妥协enjuillet2015parlegrou ped'a ttaqua n t APT 29 [1]. 由于2016年6月10日发布了一份关于系统信息化的报告，因此该报告将于2016年6月1日发布，并将于2016年6月10日发布。没有人使用电子邮件或电子邮件，包括电子邮件和电子邮件。Lesorganizationso ntdoncbesoind 'e valuer la s'ecuri t'e de leurs sys t ` emes informatiques afind'ide ntifier les co n tremesures qui do i v e n t escapetre mises en place. 因此，我们采用的风险管理方法，如EBIOSRMenFrance或NIST RMFaux美国，不需要再适应复杂的系统和替代的攻击我们的日常生活。实际上，这些方法或方法不是针对一个特定的用户需求进行的，这些用户需要对风险进行分析，以确定是否存在错误。我们注意到这一点，必须采取措施，以提高系统的能力，使系统的能力受到限制RE“ SUME”iv不确定的事不可能发生。 Ilestpartiallydiffleiciled'ide ntifier l'ense m ble des faiblesses p r 'esen tes dans un system ` eme or d ' e valuer la di ffi cul t t e v ec l aquelle unattaqua n t parviendra ` a les exploiter. Lamod'elisationdusys`emeest风险分析的方法可以应用于一个合理的系统中，因为我们可以通过系统中的安全设备来获得安全信息，而不是通过系统的安全改进来获得安全信息。Destr avauxdere c her cheo nte j`a`e t'erereeali sspourtenterdere p on drea`cetteprob l'ematique.Lam'eth odelapluscouramme ntutili s'eeconsiste`am od'eliserl'ensembledescheminsd'ataquequipermetent`aaacteurmalveilantd'ateindresesobjectifsdecompromisiondusystem`eme. 一个攻击者代表了一个连续的攻击行为，它是通过攻击和与系统相关的序列来实现的。 这是氯化血红素，所以我不知道它代表什么，因为它形成了一个图 表 ， 我 也 形 成 了 一 个 图 表 。 Cegrapheper metdemod'eliserlesdif'ere ntesactionsquipétettentd'atteindre un o bjectiaire i n ter m 'ediaire de l'attaqua n t ， ainsi queles di f' ere n tes conditions n 'ecessaires ` a la realisation d'une action.这是一个人在我面前的最后一次尝试，我感觉到了他的攻击力。Lesgraphesd'attaq ue p eu v e n t ensuite Eterre utili s'es p our 'e valuer les chances de aprices del'attaqua n t en ten a n t compte de la di ffi cul t'e des actions r'eali s'e es. 我们认为，他有可能评估他的 攻 击 能 力 。Cependantobviousnmbre'evoluedefaucraconexponentielleparraport`alataledugraphed'attaque，cewhirendcettesolutioninapplicabledansdessystemst`emesdefaucractale. 这就是我们的理由，一个解决方案加上效率包括一个直接计算器，用于计算攻击缝的可能性。 由于我们的核反应堆不是一个攻击行动，它的可能性和反应器的可能性都很大，但由于我们的核反应堆不是一个攻击序列，它的可能性很大，因为攻击不会发生在目标身上。这种概率的计算是直接的，不是通过图表或在一个模型上加上g 'e n'erique，就像一个r 'eseau Ba y 'e s n或一个r' ese a u de P etri。 L ' a v a n tage de ces mo d ` eles est que de no m breuxalgorithmes existe n t d'e j ` a et p eu v e n t schedetre utili s'es p our calculer les chances de su c c `es de l'attaquan n t. 然而，这些计算方法并不适用于复杂的系统，因为它们直接作用于一个图表，而在一个图表中的计算则是在一个图表B中进行的，或者是在一个图表P中进行的。事实上，在这些算法的情况下，时间复杂性不应被分析器所忽略，因为系统的复杂性是由系统本身决定的RE“ SUME”v几十亿的成分。 Il est cependant possible d'utiliser des algorithmes pour apr o ximer les chances de l'attaqua n t en un temps raisonnable. 同样，它可能会在一个R 'eseau B a y' esien或在一个R 'eseau de P etri中对模拟进行重新评估。其他的解决方案不会对我们的系统造成影响。Ilestpossibled'utiliserunmod`ele`epid`emiologiquepour`etudierlapropagationd'unvirusinformatiqueorl'impactd'uneataque`atraversunsystem`eme. L'incon v'enie n t de ce t te solution estqu'il n'est pas possible d ''etudier la propagation de plusieurs impacts de di f' ere n t e s natures au mquieme instan n t. Iln'estparparparpasposibledemed'eliseruneataquecombinantlaprisedecontrapezoledistanntd'unposantetl'indisponibilit'ed'unservicer'eseau.我们可以通过对复杂的关系的研究来了解一次攻击对我们的关系的影响。 Lesnúudsrepr'esententdescomosa ntsdusys t`emetandisquelesliensrep r'esententdesconnexions. 我们的设备无法与精细的设备相连接，因此我们可以测量系统的性能，以确定是否支持我们的设备。 Cettem'ethodeestutili s'eepouridentifierlescomposa ntscritiquesd'unsystem t'eme afin de prioriser les meures de protection sur ces derniers. 这一点，它是不可能的，因为我希望我能找到一个合适的人选，而不是像我这样的人。Lesautomatespermettentdemod'eliserlDesalgorithmesdemodelcheckingsontensuiteutilis′espourourmesurerlescon s′sequencesdel'attaque. 这一点，这是一个爆炸的声音，它与系统中可能发生的爆炸声相结合，而且不适用于最后一次爆炸。大部分的解决方案都是针对一个攻击行为的风险评估系统的动态变化。 由于我在时间上对系统的选择可能会对一个行为者对其他行为者的妥协机会产生影响。 同样，这种做法也会对企业和国 内 公 用 事 业 的 信 息 系 统 产 生 很 大 影 响 。Unacteurmalveillantpourraitprofiterquel'ordinateur soit connec t 'e au r'eseau domestique whi estp eu s 'ecuri s' e p our comprometre la ma c hine ， puis attendre que cettedern i ` ere soit de nou v eau connec t 'ee au r'eseau in terne de l'e n treprisep our ou v oir se propagper` a tr a v ers le system' eme informatique.我们希望提出一个客观的风险分析解决方案，该解决方案包括系统的RE“ SUME”vi这是一个额外的百万美元的补偿。Notreprem i`ereconsideranedeproposerunesolutionpermetta ntdeprophireungraphed'attaquea`partird'unerepr'esentationincluantlespropri'et'esdynamiquesdusyst'emea`analyzer.Nousavonsensuitemo n t r′equenotremod`elepermettaitd'identifierdantagedecheminsd'ataquequ'ungraphed'ataquebas′esurunerepr′esentationstatiquedusyst`eme.Notresecondecondéféeedeproposerunalgorithmepermettantdesimpropagdesattaquesa`partirdugraphed'attaquedynamiquepr'ec'edemmentpropagit.Cessimulations permette ntd'approximerleschancesder'eusitedel'ataquanntentenanntcompetedeladifi-cult'edesactionsr'ealis'eesetdel'incertituderelative`acertainespropri'ettdusyst`eme. 有一个前提是我必须确定我们的测量结果，即在时间的过程中，VRAI攻击的可能性的解决方案。因为我们的新代表不是一个行动，他认为可能性很大，所以他不会让一个人重新考虑这个问题我们的新代表没有提到这一行动的后果，他认为这一行动的可能性很大，因为这一行动可能会导致这一目标的失败第二次，我想测量一下温度，因为可能没有足够的时间来测量VRAI的温度，因为VRAI的温度很低，所以VRAI的 温 度 很 低 。Cettem'etriquepeutquetreutilis'eepourafficheruneheeatmapdusyst'emeenmontransntlescomposa ntslesplusimpac t'esparl'attaque. 恩芬，一个三人组，我和他一起你确定要测量出两种不同的攻击方式。这是我的第一次这是一种测量系统配置变化的影响的方法，如对攻击的不确定性进行修正。Nousavonsensuitemo n t r'equenotresolutionpou vaitaetreutili s'eedansdessys t`emescomplex. 复杂性在所有算法的情况下都是有用的。Plusieursben chmarkson tt 这些数据表明，攻击图的生成时间和攻击图尾部的计算时间都不一样，但攻击图的模拟实现时间和攻击图尾部的计算时间都不一样。我们将 为 您 提 供 一 个 使 用 率 高达60，000的 系 统 信 息 服 务 器 。 Nousavonsutili 'eunemachinevirtuelleUbuntu20.04avecunn oyauLi nux5.15.0-41-generic，16CPUa`2GHzet64GBdem'emoire. 如果所有的攻击模拟都不能与其他攻击模拟结果相比较，则需要大约12小时的时间来计算动态攻击图和攻击概率。我们的结论是，我们的解决方案是分析系统复杂性中的安全性，而不是计算系统的动态性。这些方法确定了系统组件损坏的可能性RE“ SUME”viid'affi c her une h e atmap des p o sa n ts les plus impac t t es par l'atta que ainsi que de mesurer lescon s'equenc e s d'un c hangeme n t de configuration du sys t ` eme sur les c hances de l'attaquan n t.因此，我们的理由仅限于对10万个以上的系统进行分析，因为这是一个动态图形生成时间的四分之一。它的特点是不需要验证它的有效性，也不可能用一个人的笔迹来验证它。 此外，系统的模式识别不是为了确定图形的结构，也不是为了自动识别，而是为了在复 杂 的 系 统 中 实 现 对 时 间 的 自 动 识 别 。 Dessoluti onsd'automatisation devraie n tquetre re re c her ch 'ees et une I interface Homme-Ma c hine （ IHM ） devraitquetre d' e v elop p 'ee p' our faciliter le tr a vail colla boratif en tre les acquiresponsables de la s'ecuri t 'e du sys t' eme informatique. Notre解决方案pourraitpouretreutilis'eea`我们mettre en你的位置是由你的能力决定的。在使用poposedl'attaqua n t的情况下，该解决方案可以确保最佳攻击的能力，因为设备是进攻性的，可以利用它们来攻击目标RE“ SUME”viiiREMERCIEMENTS我非常感谢Rida Khatoun，我的研究主任，为了让我在这个地方呆得不好，我希望我能在这个地方找到一个更好的方法。我对所有的设备都很满意，我对N组的所有设备都很满意，尽管没有持续的时间，但这些设备并没有让我感到惊讶。我特别感谢你M. Pascal Mercier ， directeur du CERT Naval Group et M.Jean-Henri Choyer ， co-directeur duCERTNavalGroup，pourm'a我是平等的，不是仁慈的M。JulienFrancq，responsablerecc hercheetinnovationen当然，我们的儿子是一个Naval集团的成员，我们的儿子是一个陪伴我的人，我们的儿子是一个陪伴我的人伟大的人不会让我觉得自己有资格接受这一点。Mesremercieme ntso nt'egaleme nt`atoutel''equi p e du CE R T N a v al Group p our soutie n t etappropriate onne humeur au childien，whi p' eremet de c r 'eer une a m biance de tr a v ail exceptionnelledanslaquelle on s ''epanouie personnelle m n t et professionnelleme n t.最后，我向所有我的家人表示感谢，尤其是我，我对自己的经历感到非常遗憾，因为我已经有27年多的时间没有得到足够的支持和帮助了，我并没有失去我今天所拥有的人x纪念品目录摘要III确认IX目录Xi图目录XV表的列表XIX介绍1背景和动机。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2科学挑战。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11主要贡献和目标。. . . . . . . . . . . . . . . . . . . . . . . . .12Mandarin pt outline.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13一、文献15一.1导言。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16I.2计算机系统示例。. . . . . . . . . . . . . . . . . . . . . . . . . . .19I.2.1信息技术系统。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20I.2.2CPS系统。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20I.2.3嵌入式系统。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22I.3多步攻击建模。. . . . . . . . . . . . . . . . . . . . . . . . . . . .23XII目录I.3.1定义23I.3.2 攻击图生成24I.3.3 基于攻击图的风险评估I.3.4 贝叶斯攻击图39I.3.5 基于Petri网的攻击图47I.3.6 结论55I.4流行病学模型I.4.1定义56I.4.2 确定性评估I.4.3 随机评估60I.4.4 结论62I.5复杂网络理论63I.5.1定义63I.5.2 网络空间生存能力I.5.3 电网生存能力69I.5.4 结论71I.6基于状态的建模72I.6.1定义72I.6.2 对海军系统I.6.3 结论79I.7讨论79I.8 结论84II 复杂系统的动态安全评估II.1 一、导言. 86XII目录II.2 动态攻击图模型87II.2.1 使用案例87II.2.2系统建模88II.2.3攻击图生成97II.3 基于动态攻击图100II.3.1模拟攻击100II.3.2度量计算105三、解决方案111III.1算法复杂性112III.1.1变量的定义112III.1.2攻击图生成算法的复杂度分析112III.1.3优化攻击图大小113III.1.4模拟算法的复杂性分析117三.2基准的117III.2.1测试环境117III.2.2攻击图大小118III.2.3攻击图生成算法执行时间的演变。120III.2.4模拟算法121的执行时间的演变三.3可伸缩性测试122III.3.1测试环境122III.3.2介绍结果125III.3.3结论127三.4讨论128III.4.1解决方案的优势128XII目录III.4.2确定的限制130III.4.3机会131III.4.4确定的风险131三.5结论.132四.结论133附录139附录A. MulVAL框架中使用的文字和推理规则的定义140附录 B。的用例中存在的资产和漏洞的描述复杂计算机网络144缩略语一览表. 155F列表1MITREATT CK矩阵将攻击所用的战术联系起来以及实现这些目标所采用的技术。. . . . . . . . . . . . . . .32不同类型的攻击者团体使用的战术、技术和程序（TTP）。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .53 NIST风险评估流程。. . . . . . . . . . . . . . . . . . . . . . . . . .84信息技术系统[15]205CPS的各种功能[16]216工业控制系统[17]227船舶上的嵌入式系统示例[18]238以网络配置为例[27]9TVA中使用的利用依赖类型攻击图[27]2510MulVAL中使用的基于逻辑的攻击图[27]2611NetSPA中使用的多个先决条件攻击图[27]2712不同随机生成攻击图的平均攻击路径数具有不同的路径长度限制n[42]2913针对具有不同路径长度限制的不同随机生成的攻击图，攻击路径生成阶段的平均CPU时间（毫秒）n[42]2914算法1在巴伦西亚港用例中的性能评估[42]3115系统建模[42]3316系统建模[42]34XVI图目录17在第三建模层[42]。.3518攻击图[42]3619攻击图用于检查[46]37中提出的解决方案20允许到达P438的概率树21使用动态贝叶斯网络去除贝叶斯网络中的循环4122BAG简化以说明概率[58]4423具有边缘概率和后验概率的测试网络对应的BAG[58]第50段。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4424用于安全评估[64]4625代表环境的[74]5026转换env1激活后的可达性图[74]5027传播网络[74]5028转换env3激活后的可达性图[74]5129Petri网[75]5230用于用例的Petri网[75]5431Petri网[75]5532不同专家对p k值的意见分布33系统的热图[81]6234[84]第85话一个团、一个簇和一个分量35分布度的范围6636信息传输效率指数随网络节点的变化[85]6837最大子网的索引随网络节点次数的变化[85]6838信息传输效率指数随网络链路的变化[85]69xvii图目录39最大子网的索引随网络链路次数的变化[85]6940印度电力网络[86]7041确定性有限自动机7342非确定性有限自动机7343代表方向舵[42]7644代表测量活动的[42]7745代表方向舵控制器[42]7746自动机代表的行为舵控制器容易受到拒绝服务攻击[42]7747代表对方向舵控制器[42]7848远程工作用例网络8849远程工作用例9950时间t169105的模拟结果51当没有应用补丁时系统组件的危害概率的演变10652系统组件的妥协概率的演变，在第三周107擦除用户站53当修补web服务上存在的漏洞时系统组件的危害概率的演变10854Web服务上的漏洞打补丁时系统组件受损概率的演变2021-01-23 00：00：0010855系统组件的妥协概率的演变，SMB漏洞已修补于2021-01-13 00：00：0010956无贴片并且利用用户站擦除110的模拟xviii图目录57攻击图的一部分11558删除节点v611559攻击图116中的中间节点的删除的三种情况60添加中间节点v5lanAccess以减小攻击图11661基准结果以蓝色显示，多项式回归以红色显示，攻击图大小相对于系统中存在的主机数量的选择11962基准测试结果以蓝色显示，多项式回归以红色显示，显示了攻击图大小与存在在系统119中，63基准结果以蓝色显示，多项式回归以红色显示，攻击图大小相对于初始文字120的数量的关系64基准结果以蓝色显示，多项式回归以红色显示，MulVAL算法121的执行时间的确定65基准测试结果以蓝色显示，多项式回归以红色显示，显示了模拟算法执行时间与数量的系统122中存在的主机的数量66攻击图大小优化算法关于系统122中存在的主机的数量表格列表1第十六条的评价标准2网络中存在的漏洞列表253用于性能评估的不同攻击图的特征294攻击者5攻击者6第一个案例研究317Petri网中的库所和变迁列表8不同参数的可能值列表539转换54的不同参数的值10每个任务要检查的属性列表Automaton7511对最相关的条款12远程工作用例网络8813在具有不同配置的复杂用例上执行的测试结果12614MulVAL框架中使用的文字描述14115MulVAL框架中使用的推理规则的描述14316复杂用例网络中存在的漏洞的特征。14617存在于复杂用例的网络工作中的资产的列表（XX∈{PA，ST，MA，LY，BR}，YY∈N）147