面向進(jìn)程多變體軟件系統(tǒng)的攻擊面定性建模分析

邢?？?，張錚，隋然，曲晟，季新生

面向進(jìn)程多變體軟件系統(tǒng)的攻擊面定性建模分析

邢?？?，張錚1，隋然2，曲晟1，季新生1

（1. 信息工程大學(xué)，河南 鄭州 450001；2. 中央軍委后勤保障部信息中心，北京 100089）

攻擊面是衡量軟件系統(tǒng)安全性的一個(gè)重要指標(biāo)，采用攻擊面描述可以通過(guò)集合的方式描述軟件系統(tǒng)的安全性并對(duì)其進(jìn)行度量。一般的攻擊面模型基于I/O自動(dòng)機(jī)模型對(duì)軟件系統(tǒng)進(jìn)行建模，其一般采用非冗余的架構(gòu)，難以應(yīng)用于類似多變體系統(tǒng)這類異構(gòu)冗余的系統(tǒng)架構(gòu)。Manadhatad等提出了一種在非相似余度系統(tǒng)中進(jìn)行攻擊面度量的方式，但其采用的系統(tǒng)架構(gòu)表決粒度和表決方式與多變體系統(tǒng)不同，無(wú)法準(zhǔn)確度量多變體系統(tǒng)的攻擊面。因此，在傳統(tǒng)攻擊面模型基礎(chǔ)上，結(jié)合多變體系統(tǒng)異構(gòu)冗余架構(gòu)的特點(diǎn)，對(duì)傳統(tǒng)攻擊面模型進(jìn)行擴(kuò)展，并構(gòu)建多變體系統(tǒng)的攻擊面模型；使用形式化方式表示多變體系統(tǒng)的攻擊面，根據(jù)多變體系統(tǒng)在系統(tǒng)出口點(diǎn)處的表決機(jī)制對(duì)傳統(tǒng)攻擊面模型進(jìn)行改進(jìn)，以使其能解釋多變體系統(tǒng)攻擊面縮小的現(xiàn)象，通過(guò)該建模方式，能夠說(shuō)明采用多變體架構(gòu)的多變體系統(tǒng)在運(yùn)行過(guò)程中攻擊面的變化。采用了兩組多變體執(zhí)行架構(gòu)的軟件系統(tǒng)進(jìn)行實(shí)例分析，分別通過(guò)與未采用多變體架構(gòu)的功能相同的軟件系統(tǒng)在未受攻擊和遭受攻擊兩種情境下進(jìn)行攻擊面的對(duì)比分析，體現(xiàn)多變體系統(tǒng)在攻擊面上的變化。結(jié)合攻擊面理論與多變體執(zhí)行系統(tǒng)的特點(diǎn)提出了一種面向多變體執(zhí)行系統(tǒng)的攻擊面建模方法，目前可以定性分析多變體執(zhí)行系統(tǒng)攻擊面的變化，未來(lái)將在定量分析多變體執(zhí)行系統(tǒng)攻擊面的方向繼續(xù)進(jìn)行深入研究。

多變體；攻擊面；攻擊面度量；網(wǎng)絡(luò)安全

0 引言

隨著信息技術(shù)的高速發(fā)展，越來(lái)越多的軟件系統(tǒng)出現(xiàn)，軟件系統(tǒng)服務(wù)于社會(huì)的各個(gè)層面，為人們的日常生活工作提供了極大的便利。然而，隨著軟件系統(tǒng)深入人們的生活，軟件系統(tǒng)的功能和保存的數(shù)據(jù)信息越來(lái)越重要，針對(duì)軟件系統(tǒng)進(jìn)行的攻擊日益增多，保護(hù)軟件安全已成為保護(hù)網(wǎng)絡(luò)空間安全[1]的重要一環(huán)。1988年，Morries利用軟件系統(tǒng)的緩沖區(qū)溢出漏洞破壞了大量的計(jì)算機(jī)[2]。近年來(lái)，隨著軟件系統(tǒng)的發(fā)展，軟件漏洞層出不窮，如Bletsch等[3]提出了面向跳轉(zhuǎn)的攻擊，Levy[4]提出了代碼注入攻擊，而目前常見(jiàn)的攻擊方式為面向返回的攻擊，由Shacham于2007年提出[5]。

為了應(yīng)對(duì)這些層出不窮的攻擊行為，很多相應(yīng)的防御措施被提出。這些防御措施依據(jù)引入時(shí)間的不同被分為運(yùn)行前的靜態(tài)防御以及運(yùn)行時(shí)的動(dòng)態(tài)防御[6]。靜態(tài)防御方式，如StackGuard[7]在gcc編譯時(shí)增加canary機(jī)制防止攻擊。Cowan等[8]通過(guò)在編譯時(shí)替換易受攻擊的庫(kù)進(jìn)行軟件的靜態(tài)防護(hù)。但是，由于Bittau等提出的無(wú)源碼的面向返回攻擊[9]可以在不依賴源碼的情況下獲得軟件的敏感信息，從而進(jìn)行控制流劫持，靜態(tài)防御措施的作用越來(lái)越小。在動(dòng)態(tài)防御的措施中，控制流完整性技術(shù)[10]通過(guò)檢測(cè)程序的執(zhí)行流程是否被篡改來(lái)防御攻擊，然而由于其性能較差，目前階段較難應(yīng)用于實(shí)際生產(chǎn)中的軟件系統(tǒng)。馬博林等[11]提出了基于指令集隨機(jī)化的抗代碼注入攻擊方法，該方法基于指令集隨機(jī)化防御未知代碼注入攻擊。多變體執(zhí)行技術(shù)由Cox[12]提出，其根據(jù)兩個(gè)功能相同的進(jìn)程在內(nèi)存分布上的隨機(jī)化以及監(jiān)控器保證軟件運(yùn)行的安全性。在此基礎(chǔ)上，Salamat[13]提出了監(jiān)控器獨(dú)立運(yùn)行的多變體架構(gòu)，而Koning等[14]提出了MvArmor多變體系統(tǒng)架構(gòu)，該架構(gòu)基于對(duì)系統(tǒng)調(diào)用進(jìn)行表決，采用該架構(gòu)的用戶可以在安全性和性能兩個(gè)維度上進(jìn)行選擇，以在保護(hù)軟件安全性的前提下保證其性能。

攻擊面是衡量軟件系統(tǒng)安全性的一個(gè)重要指標(biāo)，攻擊面描述可以通過(guò)集合的方式來(lái)描述軟件系統(tǒng)的安全性并對(duì)其進(jìn)行度量。傳統(tǒng)的攻擊面模型基于I/O自動(dòng)機(jī)模型對(duì)軟件系統(tǒng)進(jìn)行建模，其一般采用非冗余的架構(gòu)，難以應(yīng)用于類似多變體系統(tǒng)這類異構(gòu)冗余的系統(tǒng)架構(gòu)。文獻(xiàn)[15]提出了一種在非相似余度系統(tǒng)中進(jìn)行攻擊面度量的方式，但其進(jìn)行攻擊面建模的系統(tǒng)架構(gòu)在異構(gòu)冗余粒度、表決粒度等方面與多變體系統(tǒng)不同。該方式針對(duì)的系統(tǒng)為異構(gòu)冗余架構(gòu)的Web應(yīng)用系統(tǒng)，一般通過(guò)服務(wù)器軟件、應(yīng)用層腳本等Web應(yīng)用的組件的異構(gòu)冗余提升系統(tǒng)的安全性，并針對(duì)異構(gòu)組件產(chǎn)生的輸出進(jìn)行表決。進(jìn)程多變體軟件系統(tǒng)主要針對(duì)進(jìn)程的內(nèi)存空間進(jìn)行異構(gòu)冗余，同時(shí)對(duì)進(jìn)程運(yùn)行中產(chǎn)生的系統(tǒng)調(diào)用進(jìn)行表決，其異構(gòu)冗余粒度和表決粒度要遠(yuǎn)小于異構(gòu)冗余架構(gòu)的Web應(yīng)用系統(tǒng)，并且其表決方式與異構(gòu)冗余架構(gòu)的Web應(yīng)用系統(tǒng)有較大差異，因此文獻(xiàn)[15]提出的方式無(wú)法準(zhǔn)確度量多變體系統(tǒng)的攻擊面。本文在傳統(tǒng)攻擊面模型的基礎(chǔ)上，提出一種能夠描述多變體系統(tǒng)攻擊面的攻擊面建模方式，從而說(shuō)明采用多變體架構(gòu)的多變體系統(tǒng)在運(yùn)行過(guò)程中攻擊面的變化，并通過(guò)實(shí)際的攻擊展示多變體系統(tǒng)攻擊面的變化。

1 相關(guān)工作

1.1 多變體系統(tǒng)

與傳統(tǒng)的軟件系統(tǒng)相比，多變體系統(tǒng)的設(shè)計(jì)引入了異構(gòu)冗余的思想，其利用多個(gè)功能等價(jià)但存在異構(gòu)性的變體進(jìn)程對(duì)使用者透明地提供與傳統(tǒng)的軟件系統(tǒng)相同的服務(wù)。由于變體之間存在內(nèi)存空間的異構(gòu)性，當(dāng)攻擊者進(jìn)行攻擊時(shí)，很難對(duì)全部變體攻擊成功，對(duì)變體執(zhí)行流程中的系統(tǒng)調(diào)用進(jìn)行監(jiān)控，能夠?qū)ο到y(tǒng)中各個(gè)變體執(zhí)行流程中表現(xiàn)出的不一致進(jìn)行表決，從而阻止攻擊者的攻擊行為。而傳統(tǒng)的軟件系統(tǒng)由于沒(méi)有異構(gòu)冗余，無(wú)法進(jìn)行執(zhí)行流程的表決，更易被攻擊者攻擊成功。圖1為典型的多變體系統(tǒng)架構(gòu)模型。

多變體系統(tǒng)的核心模塊主要包括輸入模塊、多變體模塊和監(jiān)控表決模塊。各模塊的作用如下。

輸入模塊：將系統(tǒng)輸入進(jìn)行分發(fā)，交給各個(gè)多變體進(jìn)程進(jìn)行執(zhí)行。

多變體模塊：含有多個(gè)功能等價(jià)的進(jìn)程，進(jìn)程均采取地址空間配置隨機(jī)加載（ASLR）、地址無(wú)關(guān)可執(zhí)行文件（PIE）等地址隨機(jī)化技術(shù)，使得各個(gè)進(jìn)程的內(nèi)存分布不相同。

圖1 典型的多變體系統(tǒng)架構(gòu)模型

Figure 1 Architecture model of typical multi-variant execution software system

監(jiān)控表決模塊：監(jiān)控每個(gè)進(jìn)程的執(zhí)行，在進(jìn)程需要調(diào)用系統(tǒng)時(shí)進(jìn)行攔截，比較各個(gè)多變體進(jìn)程的內(nèi)存內(nèi)容和系統(tǒng)是否一致，若一致則繼續(xù)執(zhí)行，否則視為監(jiān)測(cè)到攻擊，結(jié)束多變體系統(tǒng)的執(zhí)行。

文獻(xiàn)[16]結(jié)合動(dòng)態(tài)、異構(gòu)、冗余的擬態(tài)防御思想，提出能夠防御進(jìn)程控制流劫持攻擊的多變體系統(tǒng)MimicBox，文獻(xiàn)[17]通過(guò)在傳統(tǒng)數(shù)據(jù)庫(kù)系統(tǒng)中引入多變體架構(gòu)和數(shù)據(jù)庫(kù)代理表決，實(shí)現(xiàn)了數(shù)據(jù)庫(kù)系統(tǒng)對(duì)于SQL注入攻擊的運(yùn)行時(shí)防御。

1.2 攻擊面理論

文獻(xiàn)[19]根據(jù)采用特殊架構(gòu)時(shí)系統(tǒng)攻擊面會(huì)產(chǎn)生轉(zhuǎn)移的特點(diǎn)提出了攻擊面轉(zhuǎn)移。文獻(xiàn)[15]提出攻擊面模型的構(gòu)建是攻擊面理論研究的重點(diǎn)，是準(zhǔn)確評(píng)估系統(tǒng)安全性的關(guān)鍵，同時(shí)提出了一種對(duì)非相似余度信息系統(tǒng)進(jìn)行建模的方法。非相似余度信息系統(tǒng)架構(gòu)如圖2所示。

圖2 非相似余度信息系統(tǒng)架構(gòu)

Figure 2 Architecture of dissimilar redundant information system

可以看出，改進(jìn)后的模型在進(jìn)行攻擊面表決后，系統(tǒng)攻擊面顯著減小，與實(shí)際情況相符。然而，采用多變體進(jìn)程架構(gòu)的軟件系統(tǒng)與傳統(tǒng)的非相似余度架構(gòu)Web應(yīng)用系統(tǒng)相比，異構(gòu)冗余粒度和表決粒度較小，并且采用多變體進(jìn)程架構(gòu)的軟件系統(tǒng)主要針對(duì)系統(tǒng)出口點(diǎn)即系統(tǒng)調(diào)用進(jìn)行表決，在多變體進(jìn)程系統(tǒng)正常運(yùn)行時(shí)，其攻擊面并不會(huì)改變，但當(dāng)遭受攻擊時(shí)，觸發(fā)表決會(huì)導(dǎo)致系統(tǒng)攻擊面的動(dòng)態(tài)變化。此過(guò)程無(wú)法通過(guò)簡(jiǎn)單取交集的方式進(jìn)行抽象，因此采用多變體進(jìn)程架構(gòu)的系統(tǒng)不能使用文獻(xiàn)[15]中提出的非相似余度信息系統(tǒng)架構(gòu)的建模方式。

2 攻擊面模型

2.1 傳統(tǒng)攻擊面模型

對(duì)軟件系統(tǒng)進(jìn)行攻擊面建模是度量軟件系統(tǒng)安全性的重要步驟，文獻(xiàn)[18]給出的傳統(tǒng)攻擊面的建模方式如下。

其中，為攻擊者集合，為不含的系統(tǒng)集合，為數(shù)據(jù)集集合，如圖3所示。

Figure 3 System environment

定義系統(tǒng)s的攻擊面資源集合R由式(7)表示。

2.2 多變體系統(tǒng)攻擊面模型

本文對(duì)傳統(tǒng)攻擊面模型進(jìn)行擴(kuò)展，并構(gòu)建多變體系統(tǒng)的攻擊面模型；使用形式化方式表示多變體系統(tǒng)的攻擊面，根據(jù)多變體系統(tǒng)在系統(tǒng)出口點(diǎn)處的表決機(jī)制對(duì)傳統(tǒng)攻擊面模型進(jìn)行改進(jìn)，以使其能解釋多變體系統(tǒng)攻擊面縮小的現(xiàn)象。

在多變體系統(tǒng)中，多變體進(jìn)程的異構(gòu)性體現(xiàn)了異構(gòu)冗余的思想，由于多個(gè)多變體進(jìn)程之間采用了地址隨機(jī)化技術(shù)，攻擊者難以同時(shí)采用緩沖區(qū)溢出攻擊對(duì)所有多變體進(jìn)程進(jìn)行控制流劫持，因此當(dāng)攻擊者通過(guò)控制流劫持某一進(jìn)程多變體進(jìn)行惡意系統(tǒng)調(diào)用時(shí)，其他未被攻擊成功的多變體進(jìn)程仍維持正常的系統(tǒng)調(diào)用，表決模塊攔截到各個(gè)多變體進(jìn)程的系統(tǒng)調(diào)用并進(jìn)行對(duì)比，從而阻止攻擊。多變體系統(tǒng)中存在一致表決、近似表決等多種表決策略，本文的多變體系統(tǒng)表決策略采取一致表決，即所有多變體進(jìn)程的系統(tǒng)調(diào)用一致時(shí)才表決通過(guò)，否則表決不通過(guò)。

傳統(tǒng)攻擊面理論中并未引入異構(gòu)冗余的概念，而多變體系統(tǒng)安全性的提升主要是因?yàn)槎嘧凅w系統(tǒng)采取了異構(gòu)冗余的架構(gòu)，該特性可以使多變體系統(tǒng)在系統(tǒng)出口點(diǎn)進(jìn)行一致性表決。因此，本文在傳統(tǒng)攻擊面理論的基礎(chǔ)上引入系統(tǒng)出口表決機(jī)制，相關(guān)定義如下。

則系統(tǒng)S的攻擊面描述如式(11)所示。

可見(jiàn)經(jīng)過(guò)系統(tǒng)出口點(diǎn)表決后多變體系統(tǒng)的攻擊面縮小。

3 實(shí)例分析

本文采用兩組多變體執(zhí)行架構(gòu)的軟件系統(tǒng)進(jìn)行實(shí)例分析，分別通過(guò)與未采用多變體架構(gòu)的功能相同的軟件系統(tǒng)進(jìn)行攻擊面的對(duì)比分析，體現(xiàn)多變體系統(tǒng)在攻擊面上的變化。

實(shí)例采用的兩種軟件系統(tǒng)均使用了危險(xiǎn)函數(shù)gets()，攻擊者能夠通過(guò)緩沖區(qū)溢出漏洞對(duì)程序的控制流進(jìn)行篡改，從而威脅系統(tǒng)的安全。

對(duì)正常運(yùn)行時(shí)的多變體系統(tǒng)和普通系統(tǒng)進(jìn)行建模比較，由于未受到攻擊，多變體系統(tǒng)的各個(gè)進(jìn)程在表決時(shí)系統(tǒng)調(diào)用序列相同，故此時(shí)多變體系統(tǒng)和普通系統(tǒng)的攻擊面保持一致，如下所示：

在正常運(yùn)行時(shí)，多變體系統(tǒng)和普通系統(tǒng)產(chǎn)生的系統(tǒng)調(diào)用如表1和表2所示。

表1 第一組軟件系統(tǒng)未受攻擊的系統(tǒng)調(diào)用

可以看出，當(dāng)未受到攻擊時(shí)，多變體系統(tǒng)和普通軟件系統(tǒng)的系統(tǒng)調(diào)用一致，兩者在系統(tǒng)出口點(diǎn)的攻擊面相同，這與建模分析結(jié)果一致。

當(dāng)軟件系統(tǒng)受到攻擊時(shí)，普通軟件系統(tǒng)會(huì)遭到控制流劫持，而多變體系統(tǒng)由于系統(tǒng)出口點(diǎn)表決的存在，會(huì)中斷軟件的運(yùn)行，阻斷攻擊者的攻擊行為。在這種情況下，多變體系統(tǒng)會(huì)產(chǎn)生不同的系統(tǒng)調(diào)用，導(dǎo)致表決生效，使得采用多變體架構(gòu)的軟件系統(tǒng)攻擊面變小，對(duì)多變體系統(tǒng)和普通系統(tǒng)進(jìn)行建模分析對(duì)比如下所示：

當(dāng)軟件系統(tǒng)受到攻擊時(shí)，兩者的系統(tǒng)調(diào)用如表3和表4所示。

表2 第二組軟件系統(tǒng)未受攻擊的系統(tǒng)調(diào)用

表3 第一組軟件系統(tǒng)受攻擊的系統(tǒng)調(diào)用

注：表中的空白表示該時(shí)間進(jìn)程已結(jié)束，不再產(chǎn)生系統(tǒng)調(diào)用。

表4 第二組軟件系統(tǒng)受攻擊的系統(tǒng)調(diào)用

分析兩組實(shí)例可知，攻擊者進(jìn)行攻擊后，普通軟件系統(tǒng)由于沒(méi)有系統(tǒng)出口點(diǎn)的表決，在read系統(tǒng)調(diào)用處被攻擊，攻擊者之后可以進(jìn)行控制流劫持操作。而多變體系統(tǒng)在read系統(tǒng)調(diào)用處的表決結(jié)果不一致，從而強(qiáng)制中斷程序的運(yùn)行，避免了攻擊者的劫持。多變體系統(tǒng)由于受到攻擊，只執(zhí)行了部分系統(tǒng)調(diào)用，系統(tǒng)的攻擊面在遭受攻擊時(shí)減小，這與前面的建模分析結(jié)果一致。

4 結(jié)束語(yǔ)

本文根據(jù)多變體系統(tǒng)的表決特點(diǎn)，在傳統(tǒng)攻擊面模型的基礎(chǔ)上提出了多變體進(jìn)程系統(tǒng)的攻擊面模型，形式化地描述了多變體系統(tǒng)在遭受攻擊時(shí)攻擊面的動(dòng)態(tài)變化過(guò)程。闡明了多變體系統(tǒng)在系統(tǒng)出口點(diǎn)的表決方式對(duì)攻擊面變化的影響，解釋了多變體系統(tǒng)受到攻擊時(shí)系統(tǒng)攻擊面動(dòng)態(tài)變化的原理。通過(guò)兩組實(shí)例分析，對(duì)比未遭受攻擊時(shí)及遭受攻擊時(shí)普通系統(tǒng)與多變體系統(tǒng)的攻擊面，證明了對(duì)于多變體系統(tǒng)攻擊面建模的合理性。

本文對(duì)多變體系統(tǒng)的攻擊面建模進(jìn)行了初步研究，理論部分仍不完善，未來(lái)的工作將集中于多變體系統(tǒng)攻擊面的量化分析以及對(duì)采用不同表決方式的多變體系統(tǒng)的攻擊面變化的分析。

[1] 方濱興. 定義網(wǎng)絡(luò)空間安全[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2018, 4(1): 1-5.

FANG B X. Define cyberspace security[J]. Chinese Journal of Network and Information Security, 2018, 4(1): 1-5.

[2] 邵思豪, 高慶, 馬森, 等. 緩沖區(qū)溢出漏洞分析技術(shù)研究進(jìn)展[J].軟件學(xué)報(bào), 2018, 29(5): 1179-1198.

SHAO S H, GAO Q, MA S, et al. Progress in research on buffer overflow vulnerability analysis technologies[J]. Journal of Software, 2018, 29(5): 1179-1198.

[3] BLETSCH T, JIANG X X, FREEH V W, et al. Jump-oriented programming: a new class of code-reuse attack[C]//Proceedings of the 6th ACM Symposium on Information, Computer and Communications Security - ASIACCS '11. 2011: 30-40.

[4] LEVY E. Smashing the stack for fun and profit[J]. Phrack Maga-zine, 1996, 8(49): 1-25.

[5] SHACHAM H. The geometry of innocent flesh on the bone: return-into-libc without function calls (on the x86)[C]//Proceedings of the 14th ACM conference on Computer and communications security. 2007: 552-561.

[6] 王豐峰, 張濤, 徐偉光, 等. 進(jìn)程控制流劫持攻擊與防御技術(shù)綜述[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2019, 5(6): 10-20.

WANG F F, ZHANG T, XU W G, et al. Overview of control-flow hijacking attack and defense techniques for process[J]. Chinese Journal of Network and Information Security, 2019, 5(6): 10-20.

[7] COWAN C, PU C, MAIER D, et al. StackGuard: automatic adaptive detection and prevention of buffer-overflow attacks[C]//Proceedings of 7th USENIX Security Conference. 1998: 63-78.

[8] COWAN C, BARRINGER M, BEATTIE S, et al. FormatGuard: automatic protection from printf format string vulnerabilities[C]//Proceedings of 10th USENIX Security Symposium. 2001: 13-17.

[9] BITTAU A, BELAY A, MASHTIZADEH A, et al. Hacking blind[C]//Proceedings of 2014 IEEE Symposium on Security and Privacy. 2014: 227-242.

[10] WANG Z, JIANG X X. HyperSafe: a lightweight approach to provide lifetime hypervisor control-flow integrity[C]//Proceedings of 2010 IEEE Symposium on Security and Privacy. 2010: 380-395.

[11] 馬博林, 張錚, 陳源, 等. 基于指令集隨機(jī)化的抗代碼注入攻擊方法[J]. 信息安全學(xué)報(bào), 2020, 5(4): 30-43.

MA B L, ZHANG Z, CHEN Y, et al. The defense method for code-injection attacks based on instruction set randomization[J]. Journal of Cyber Security, 2020, 5(4): 30-43.

[12] COX B, EVANS D, FILIPI A, et al. N-variant systems a secretless framework for security through diversity[J]. 15th USENIX Security Symposium, 2006: 105-120.

[13] SALAMAT B, JACKSON T, GAL A, et al. Orchestra: intrusion detection using parallel execution and monitoring of program variants in user-space[C]//Proceedings of the 4th ACM European conference on Computer systems. 2009: 33-46.

[14] KONING K, BOS H, GIUFFRIDA C. Secure and efficient multi-variant execution using hardware-assisted process virtualization[C]//Proceedings of 2016 46th Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN). 2016: 431-442.

[15] 張錚, 王立群, 李衛(wèi)超. 面向非相似余度信息系統(tǒng)的攻擊面模型[J]. 通信學(xué)報(bào), 2018, 39(S2): 223-230.

ZHANG Z, WANG L Q, LI W C. Research on formal model for an information system's attack surface with dissimilar redundant architecture[J]. Journal on Communications, 2018, 39(S2): 223-230.

[16] 潘傳幸, 張錚, 馬博林, 等. 面向進(jìn)程控制流劫持攻擊的擬態(tài)防御方法[J]. 通信學(xué)報(bào), 2021, 42(1): 37-47.

PAN C X, ZHANG Z, MA B L, et al. Method against process control-flow hijacking based on mimic defense[J]. Journal on Communications, 2021, 42(1): 37-47.

[17] 馬博林, 張錚, 劉浩, 等. SQLMVED：基于多變體執(zhí)行的SQL注入運(yùn)行時(shí)防御系統(tǒng)[J]. 通信學(xué)報(bào), 2021, 42(4): 127-138.

MA B L, ZHANG Z, LIU H, et al. SQLMVED: SQL injection runtime prevention system based on multi-variant execution[J]. Journal on Communications, 2021, 42(4): 127-138.

[18] MANADHATA P K, WING J M. A formal model for a system's attack surface[M]//Advances in Information Security. New York, NY: Springer New York, 2011: 1-28.

[19] MANADHATA P K. Game theoretic approaches to attack surface shifting[M]//Moving Target Defense II. New York, NY: Springer New York, 2012: 1-13.

Qualitative modeling and analysis of attack surface for process multi-variant execution software system

XING Fukang1, ZHANG Zheng1, SUI Ran2, QU Sheng1, JI Xinsheng1

1. Information Engineering University, Zhengzhou 450001, China 2. Information Center of Logistics Support Department of Central Military Commission, Beijing 100089, China

Attack surface is an important index to measure security of software system. The general attack surface model is based on the I/O automata model to model the software system, which generally uses a non-redundant architecture and it is difficult to apply to heterogeneous redundant system architectures such as multi variant systems. Manadhatad et al. proposed a method to measure the attack surface in a dissimilar redundancy system. However, the voting granularity and voting method of the system architecture adopted by Manadhatad are different from those of the multi-variant system, which cannot accurately measure the attack surface of the multi variant system. Therefore, based on the traditional attack surface model, combined with the characteristics of heterogeneous redundant architecture of multi variant systems, the traditional attack surface model was extended and the attack surface model of multivariant systems was constructed. The attack surface of the multi variant system was represented in a formal way, and the traditional attack surface model was improved according to the voting mechanism of the multi variant system at the exit point of the system, so that it can explain the phenomenon that the attack surface of the multi variant system shrinks. Through this modeling method, the change of the attack surface of the multi variant system adopting the multi variant architecture can be explained in the running process. Then, two groups of software systems with multi variant execution architecture were used as analyzing examples. The attack surface of the software systems with the same functions as those without multi variant architecture were compared and analyzed in two situations of being attacked and not being attacked, reflecting the changes of the multi variant system in the attack surface. Combining the attack surface theory and the characteristics of the multi variant execution system, an attack surface modeling method for the multi variant execution system was proposed. At present, the changes of the attack surface of the multi variant execution system can be qualitatively analyzed. In-depth research in the quantitative analysis of the attack surface of the multi variant execution system will be continually conducted.

multi-variant execution, attack surface, attack surface metric, network security

TP393

A

10.11959/j.issn.2096?109x.2022059

2022?01?18；

2022?04?25

張錚，ponyzhang@126.com

國(guó)家自然科學(xué)基金（61521003）；國(guó)家重點(diǎn)研發(fā)計(jì)劃（2018YF0804003，2017YFB0803204）

The National Natural Science Foundation of China (61521003), The National Key R&D Program of China (2018YF0804003, 2017YFB0803204)

邢福康, 張錚, 隋然, 等. 面向進(jìn)程多變體軟件系統(tǒng)的攻擊面定性建模分析[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2022, 8(5): 121-128.

Format: XING F K, ZHANG Z, SUI R, et al. Qualitative modeling and analysis of attack surface for process multi-variant execution software system[J]. Chinese Journal of Network and Information Security, 2022, 8(5): 121-128.

邢?？担?997? ），男，山東聊城人，信息工程大學(xué)博士生，主要研究方向?yàn)榫W(wǎng)絡(luò)空間安全、Web應(yīng)用安全。

張錚（1976? ），男，湖北黃岡人，博士，信息工程大學(xué)副教授，主要研究方向?yàn)榫W(wǎng)絡(luò)空間安全、主動(dòng)防御技術(shù)。

隋然（1974? ），男，山東青島人，博士，中央軍委后勤保障部信息中心研究員，主要研究方向?yàn)榫W(wǎng)絡(luò)空間安全。

曲晟（1996? ），男，山西忻州人，信息工程大學(xué)博士生，主要研究方向?yàn)榫W(wǎng)絡(luò)空間安全、主動(dòng)防御技術(shù)。

季新生（1968? ），男，河南駐馬店人，博士，信息工程大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)空間安全、無(wú)線通信。