CN110995747A

CN110995747A - 一种分布式存储安全性分析方法

Info

Publication number: CN110995747A
Application number: CN201911301483.8A
Authority: CN
Inventors: 辛毅; 董剑; 张涛
Original assignee: Harbin Institute of Technology
Current assignee: Harbin Institute of Technology
Priority date: 2019-12-17
Filing date: 2019-12-17
Publication date: 2020-04-10

Abstract

一种分布式存储安全性分析方法，属于计算机网络信息安全技术领域。本发明包括步骤一、预定义安全评估策略；步骤二、找出相对应的安全故障树的基本事件集合；步骤三、以预分析的相关安全质量，作为顶事件，找出导致该事件发生的诸直接因素和中间事件，对比各个弱点的属性，筛选出对应的弱点集合，建立安全故障树；步骤四、对步骤三中获得的安全故障树进行分析，分析整个系统的失效率，求出顶事件发生的概率和频度。本发明直观地描述出安全属性之间的存在的弱点关联利用关系，并且通过对故障树的分析，可以从定性和定量两个方面反映分布式存储的综合安全态势。

Description

一种分布式存储安全性分析方法

技术领域

本发明涉及存储安全性分析方法，属于计算机网络信息安全技术领域。

背景技术

目前，随着网络技术的日益发展以及不同领域的业务种类的日益丰富，对用于安全性信息交互的数据存储系统及方法的需求日益增长，因此，安全性数据存储系统及方法变得越来越重要。

弱点扫描(VulnerabilityScanning)是使用一些软件或硬件工具来识别计算机系统的弱点的过程，在一个网络中为了确定一个系统是否和哪里能够被攻击和/或威胁。弱点扫描搜出基于一个已知缺陷数据库的安全缺陷，出现这些缺陷的测试系统和产生一个个体或一个企业能够使用来加强网络安全的发现报告。

弱点扫描是端口扫描和操作系统探测的后续，也是网络安全人员和黑客收集网络或主机信息的最后一步。从对黑客攻击行为的分析和收集的弱点类型来看，弱点扫描绝大多数都是针对特定操作系统所提供的特定的网络服务，也就是针对操作系统中某一个特定端口的。弱点扫描使用的技术主要有基于弱点数据库和基于插件两种。

传统的弱点扫描方法仅适合对系统进行定性的局部检测，为了保证存储系统能够安全的访问存储数据，任何访问命令都应该采用相应的安全措施。不仅对于存储系统中的物理设备，还应该对于存储系统中的每个对象都提供一种细粒度的安全访问控制评价，传统的方法由于它没有考虑到系统中各个弱点之间的关联利用和软件系统状态的变化，所以这种类型的工具不能完成一个完备的分布式存储系统安全分析，也就无法提供整体的安全状况描述。

发明内容

本发明研发目的是为了解决上述技术问题，在下文中给出了关于本发明的简要概述，以便提供关于本发明的某些方面的基本理解。应当理解，这个概述并不是关于本发明的穷举性概述。它并不是意图确定本发明的关键或重要部分，也不是意图限定本发明的范围。

本发明的技术方案：

一种分布式存储安全性分析方法，包括以下步骤：

步骤一、预定义安全评估策略

根据存储系统安全策略和安全需求，预定义安全评估策略为以下3种：

(1)基于不同操作系统平台的分布式文件系统在同一时期内安全质量比较；

(2)基于相同操作系统平台的分布式文件系统在不同时期内安全质量变化；

(3)分布式文件系统实时安全状态分析；

步骤二、找出相对应的安全故障树的基本事件集合

找出相对应的安全故障树的基本事件集合，就是找出相对应的弱点集合；

对于步骤一中，第(1)种预定义安全评估策略和第(2)种预定义安全评估策略，首先按照操作系统分类，在弱点库里面预定义操作系统类型，操作系统本身的组件中出现的弱点具有唯一性，作为服务程序和应用程序中出现的弱点由于其通用性往往会涉及不同的操作系统类型，由此分析操作系统的安全性时，通过遍历数据库，提取出相对应的弱点集合，然后根据评估策略按照时间阶段分类，软件自发布开始，就会有不同的漏洞被发现，比较具有相同功能软件在同一时期内的安全可靠性；

对于步骤一中，第(3)种预定义安全评估策略，基于对第(1)种预定义安全评估策略和第(2)种预定义安全评估策略的基础上，再次增加信息探测过程，通过主动探测、搭线监听手段，实时、准确获取评估目标的系统类型、开放服务、端口信息，使用基于插件的弱点检测平台实现对部分弱点的攻击尝试，实现实时对实际环境中的系统进行安全分析；

步骤三、以预分析的相关安全质量，作为顶事件，找出导致该事件发生的诸直接因素和中间事件，对比各个弱点的属性，筛选出对应的弱点集合，建立了一棵以给定顶事件为“根”，中间事件为“节”，基本事件为“叶”的倒置的n级软件测试用例安全故障树；

步骤四、对步骤三中获得的安全故障树进行分析，分析整个系统的失效率，求出顶事件发生的概率和频度。

优选地、步骤三中，故障树的生成步骤为：

步骤a、生成特权提升图

将系统弱点按照漏洞编号从弱点数据库中提取属性，使用v1，v2，v3，…v8分别从左到右标识图中的弱点实例，弱点按照前提特权集和结果特权集，构成一条条分布在不同特权等级之间的通道，将每一组关联弱点生成一条攻击路径，生成的特权提升图；

步骤b、将每一条特权提升路径v1，v2，…，v8依次整理为根节点为深度为二层的微型故障树ST1，ST2，…，ST8，故障树的根节点为与门，子节点由前提状态门和底事件组成，每一个弱点作为一个底事件，底事件个数由攻击路径vi中的弱点个数决定；

步骤c、组建以各个特权等级为状态门的故障树

对于特权等级P1，P2，P3，P4，以各特权等级作为根节点，查找ST1，ST2，…，ST8中结果特权为相应的特权等级的故障树作为子节点，用或门连接成树T1，T2，T3，T4；

步骤d、将步骤c中四棵故障树T1，T2，T3，T4连接，对于故障树Ti，在Ti+1，…，T4中查找，如果找到相应特权等级的子节点，将其与Ti为根节点的子树连接；

步骤e、假设P0表示的访问权限都已具备，为了表示方便，对故障树的表现形式进行优化处理，以P0为前提特权的故障省去二阶故障树，直接用底事件来表示，这样就生成了一棵描述系统安全状态的完整故障树。

进一步地、步骤四中，安全故障树具体分析方法采用安全故障树模型定性分析，定性分析，采用最小割集生成算法：

步骤Ⅰ、生成割集，从安全故障树的顶事件开始处理；如果顶事件是或门，则其子结点分别构成集合；如果顶事件是与门，则其子结点构成一个集合；

对于每个集合中的元素顺序地作如下处理：如果元素是或门，则其子结点分别与剩余的元素构成集合；如果元素是与门，则其子结点与剩余的元素构成集合；反复叠带，直到集合中的每个元素都是基本事件；

步骤Ⅱ、简化割集，如果一个割集包含两个以上相同的基本事件，则删除多余项；如果一个割集是另一个割集的子集，则删除后者；

通过上述方法，得到故障树最小割集，对最小割集逻辑和求逆，简化、吸收，整理得到最小径集。

本发明具有以下有益效果：

1.基于安全模型分析的方法可以有效发现系统中复杂的攻击路径或者引起系统状态变迁的渗透序列，可以把故障树理论及分析方法(FaultTreeAnalysis，FTA)引入到建立分布式存储系统安全分析中来，通过这种方法，直观地描述出安全属性之间的存在的弱点关联利用关系，并且通过对故障树的分析，可以从定性和定量两个方面反映分布式存储的综合安全态势；

2.相对于弱点扫描的方法，本方法能够根据评估对象特性建立一个描述的弱点利用的分布图和关联图，给出引起系统状态变化的各个因素，相对于已有的基于模型的方法，本发明能够按照不同的安全策略侧重给出不同下状态的安全状况变化，指出可能存在的攻击路径，并能够定量的表达系统的安全性；

3.故障树提供了导致系统失效的基本事件组合的数学和图形表示，通过图解说明哪些事件的组合会导致观察到的失效症状。它可以抽象而准确地描述系统的安全需求而不涉及到其实现细节，这使得安全管理人员能够全面而准确地理解系统的安全需求定义，并可通过形式化的分析方法找到系统在安全上的漏洞。

附图说明

图1是系统安全故障树生成过程图；

图2是故障树生成过程中生成的特权提升图；

图3是完整的故障树示意图；

图4是具体实施方式二中故障树示意图；

具体实施方式一

为使本发明的目的、技术方案和优点更加清楚明了，下面通过附图中示出的具体实施例来描述本发明。但是应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

具体实施方式：结合图1-图3说明本实施方式

安全故障树方法

故障树提供了导致系统失效的基本事件组合的数学和图形表示，通过图解说明哪些事件的组合会导致观察到的失效症状，它可以抽象而准确地描述系统的安全需求而不涉及到其实现细节，使得安全管理人员能够全面而准确地理解系统的安全需求定义，并可通过形式化的分析方法找到系统在安全上的漏洞；

分布式存储系统其实是将通过网络将数据分散不同的服务器中，其中网络与服务器的安全属性最后描述为一个安全状态空间SSP，即SSP＝(SS,AR)。

SS—针对服务器与网络的攻击过程中所有可达的安全状态构成的集合；若网络中共有m台主机，则SS＝{(p_l,h_i)，(h_j,h_k,protocols)},l＝0,1,…4；i,j,k＝1,2,…m

AR—攻击规则的集合，攻击者利用攻击规则的执行导致了安全状态的变迁，即安全状态的操作算子集合。

对于一个具体的分布式文件系统来讲，主体是确定的，主体之间的连接关系是基本不变的，所以其安全状态仅是上述安全状态SS的很小一部分，主要以弱点和访问权限为中心组成。同理，此时，针对弱点的攻击规则组成也相应减少。这种条件下安全性分析的对象具有很大的灵活性，因此，对原有安全状态空间的组成进行进一步精简，并引入故障树理论作为分析手段，构建了一个反映系统安全状态的安全故障树。

安全故障树的叶结点是基本事件，基本事件表达分布式文件系统中的一个弱点v；结果事件分为中间事件和顶事件两种；中间事件是表达了系统的一个中间状态，攻击者获取的权限C；顶事件即为系统的一个安全需求或者攻击者的一个攻击目标权限，可以表示成基本事件和中间事件通过与、或逻辑连接符连接成的逻辑表达式。

在利用弱点攻击规则的过程中，有两种基本的结构，一种是一个弱点在特权等级满足的条件下，可以直接利用，这样的多个具有相同特权属性的弱点构成了“OR”结构；另一种是弱点在相同的特权等级分布下，需要两个或者多个弱点相互配合，才能够达到特权提升的目的，这样的多个弱点构成了“AND”结构；在故障树里面分别用或门和与门表示。

安全故障树生成过程

分布式文件系统的安全需求定义了系统需要保障的目标，评估的目的是为了描述、预言或比较分布式文件系统与安全相关的质量，从不同的安全策略和安全需求来看，需要不同的评估策略，预定义的安全评估策略有以下3种：

1.基于不同操作系统平台的分布式文件系统在同一时期内安全质量比较。

2.基于相同操作系统平台的分布式文件系统在不同时期内安全质量变化。

3.分布式文件系统实时安全状态分析。

建树的第一步就是要找出相对应的弱点集合，即安全故障树的基本事件集合：

对于1、2种策略的实现可以通过如说明书图1中实线所示的过程实现，在实现对弱点知识的挖掘整理之后，首先按照操作系统分类，弱点库里面预定义了操作系统类型(os₁,os₂…os_m)，操作系统本身的组件中出现的弱点具有唯一性，作为服务程序和应用程序中出现的弱点由于其通用性往往会涉及不同的操作系统类型，由此若分析操作系统os_j的安全性，可以通过遍历数据库，提取出相对应的弱点集合(v₁,v₂…v_k)，通过此步的分类，减少了需要处理的数据量，并且保证了数据集的完备性。

然后根据评估策略按照时间阶段分类，各种软件自发布开始，就会有不同的漏洞被发现，比较具有相同功能软件在同一时期内的安全可靠性，或者同一系统在不同时期内的安全问题，需要把弱点的发布时间作为一个评估因素加以考虑，同时，弱点的攻击复杂性与弱点的发布时间长短也具有比较强的关联性。

对于第3种策略，在前面知识的基础上，增加了信息探测的过程，通过主动探测、搭线监听等多种手段，实时、准确获取评估目标的系统类型、开放服务、端口等信息，同时使用基于插件的弱点检测平台实现对部分弱点的攻击尝试，如说明书附图1所示虚线部分，结合说明书附图1中实线所表达的功能，实现实时对实际环境中的系统进行安全分析。

第二步是以安全需求定义r，即预分析的相关安全质量，作为顶事件，找出导致该事件发生的诸直接因素和中间事件，对比各个弱点的属性，筛选出对应的弱点集合。

将故障模式写在顶部矩形符号内，将引起故障发生的全部必要而又充分的直接故障参数类或参数置于相应的矩形符号或圆形符号中画出第二排，再根据故障模式与它们的逻辑关系用适当的逻辑门联结顶事件和这些直接故障参数类或参数。遵循此规则对参数类的判决也按此步骤进行，直到所有最低一排都是基本事件为止，这样，就建立了一棵以给定顶事件为“根”，中间事件为“节”，基本事件为“叶”的倒置的n级软件测试用例设计树。

公布的安全事件表明如何取得某台分布式文件系统的完全控制权限是具有代表性的攻击行为，在本实施方式中以此为顶事件，生成了一个系统的安全故障树实例。

安全评估策略：分布式文件系统实时安全状态；

安全需求：保护系统管理员权限P4；

安全描述方法：安全故障树；

涉及弱点：v1，v2，v3，v4，v5，v6，v7，v8；其中对应的漏洞编号如表1所示。

表1 弱点标识

Table 1 vulnerability List

中间事件：P₀，P₁，P₂，P₃；其中P₀，P₁，P₂，P₃，P₄分别按照等级低到高中间事件：其中P₀，P₁，P₂，P₃，P₄分别按照等级低到高对应了5个访问权限等级Access，Guest，User，Supuser，Root，在说明书附图2、说明书附图3中表示一个相对应的访问用户实例。

攻击者初始状态：P0；

故障树生成步骤如下：

1)生成特权提升图，将系统弱点按照漏洞编号从弱点数据库中提取属性，使用v₁，v₂，v₃，…v₈分别从左到右标识图中的弱点实例，弱点按照前提特权集和结果特权集，即简化后的攻击规则，构成了一条条分布在不同特权等级之间的通道。将每一组关联弱点生成一条攻击路径，生成的特权提升图，如图2所示。

2)将每一条特权提升路径(即攻击路径)v₁，v₂，…，v₈依次整理为根节点为深度为二层的微型故障树ST₁，ST₂，…，ST₈，故障树的根节点为与门，子节点由前提状态门和底事件组成，每一个弱点作为一个底事件，底事件个数由攻击路径vi中的弱点个数决定。

3)组建以各个特权等级为状态门的故障树。对于特权等级P₁,P₂,P₃,P₄，以各特权等级作为根节点，查找ST₁，ST₂，…，ST₈中结果特权为相应的特权等级的故障树作为子节点，用或门连接成树T₁，T₂，T₃，T₄。

4)将四棵故障树T₁，T₂，T₃，T₄连接。对于故障树T_i，在T_i+1，…，T₄中查找，如果找到相应特权等级的子节点，将其与T_i为根节点的子树连接。

5)由于已经假设P₀表示的访问权限都已具备，为了表示方便，对故障树的表现形式做一些优化处理。以P₀为前提特权的故障省去二阶故障树，直接用底事件来表示。

这样就生成了一棵描述系统安全状态的完整故障树，如说明书附图3所示。

安全故障树分析

安全故障树模型提供了包括定性分析和定量分析两个方法，定性分析的目的在于寻找顶事件发生的原因和原因组合，即识别导致顶事件发生的所有故障模式，获取与故障树有关的割集和最小割集。割集是导致故障树顶事件发生的底事件的组合，而最小割集是导致故障树顶事件发生的数目不可再少的底事件的组合。故障树的定量分析就是在给出各种基本事件的失效率的前提下，分析整个系统的失效率，求出顶事件发生的概率和频度。

1.定性分析

最小割集生成算法：

(1)生成割集

①从安全故障树的顶事件开始处理；

②如果顶事件是或门，则其子结点分别构成集合。

③如果顶事件是与门，则其子结点构成一个集合。

对于每个集合中的元素顺序地作：

①如果元素是或门，则其子结点分别与剩余的元素构成集合；

②如果元素是与门，则其子结点与剩余的元素构成集合。

③反复叠带，直到集合中的每个元素都是基本事件。

(2)简化割集

①如果一个割集包含两个以上相同的基本事件，则删除多余项；

②如果一个割集是另一个割集的子集，则删除后者。

可得到图3所示故障树最小割集有7个，分别是{v₁,v₃}，{v₁,v₄}，{v₂,v₃}，{v₂,v₄}，{v₅}，{v₆,v₈}，{v₇,v₈}。

对最小割集逻辑和求逆，简化、吸收，整理可得积之和形式，即可得最小径集，对于图3所示故障树，最小径集有4个，分别是{v₃,v₄,v₅,v₆,v₇}，{v₁,v₂,v₅,v₆,v₇}，{v₃,v₄,v₅,v₈}，{v₁,v₂,v₅,v₈}。

由此可得出系统的脆弱性分析结论：

1)攻击者在具有基本的访问权限前提下，能够通过弱点提升权限，从而到达最高权限(管理员权限)的所有可能途径共有7个，即{v₁,v₃}，{v₁,v₄}，{v₂,v₃}，{v₂,v₄}，{v₅}，{v₆,v₈}，{v₇,v₈}中的一组。

2)要使攻击者不能获得最高权限，有4种可能方案。只要采取适当的修补方式，根除{v₃,v₄,v₅,v₆,v₇}，{v₁,v₂,v₅,v₆,v₇}，{v₃,v₄,v₅,v₈}，{v₁,v₂,v₅,v₈}中任何一个最小径集中的所有弱点，顶事件就可以不发生，也就是说，最高权限就不会被窃取。

3)7个最小割集中，{v₅}为一阶，其余都为二阶。一般情况下，可以认为{v₅}最为重要，因为重要掌握一个弱点的攻击方法就可以得到最高权限，而其他最小割集则需要攻击所有2个弱点才可以；相应的，对于v5这个弱点就应该重点关注。

4)4个最小径集中，有2组为五阶，2组为四阶。应当首先考虑消除四阶最小径集中的一组。

2.定量分析

根据前述故障树计算方法，只要知道每个弱点的发生概率，就可以对故障树进行计算。弱点的发生概率就是弱点的失效率，反映了弱点的攻击复杂性。

综合分析以上对于分布式文件系统安全状况变化的分析可以找到几个规律，这些为提供安全改进和指导有着重要的意义。

1，分布式文件系统的安全状况是和其提供的应用服务密切相关的。由于很多弱点存在于应用服务软件之中，且有时应用软件服务和操作系统是由不同人员开发的，其中若出现问题，无法及时发现，造成了很多安全隐患。

2，分布式文件系统是一个系统不断更新、设置经常变化的动态系统，新弱点的出现，补丁的安装对系统的故障树结构变化产生影响。同时，弱点的攻击复杂性对顶事件发生的概率有着重要的影响。

3，分布式文件系统在安全保证方面的层次是和恶意访问者的攻击目标密切相关的。破坏不同的安全需求，攻击者往往具有多种不同手段，作为一个整体，单机的安全受整个网络的影响，同时整个网络的安全也会因为某台设备的弱点而受到威胁，因此应该从更高的层次来审视分布式文件系统的安全问题。

是通过缩减安全状态空间的组成，引入故障树方法。通过对故障树方法的分析，介绍了安全故障树的生成过程，以及应用到对系统的安全性的定性和定量分析。相对于弱点扫描的方法，本方法能够根据评估对象特性建立一个完备的弱点分布和关联图，给出引起系统状态变化的各个因素。相对于已有的基于模型的方法，本系统能够按照不同的安全策略侧重给出系统的安全状态，指出可能存在的攻击路径，并攻击成功概率表达系统的安全性。

具体实施方式二

一棵完整的故障树由顶事件、底事件、中间事件和逻辑门组成。

1)顶事件：故障树分析中，把系统最不希望发生的故障状态作为逻辑分析的目标，即顶事件。顶事件位于故障树的顶端，也称结果事件，是各种可能故障使系统所能达到的最终状态。一棵故障树中只能有一个顶事件。

2)底事件：也称原因事件，是逻辑门的输入事件，位于故障树的底端。底事件是导致顶事件发生的原因。

3)中间事件：位于顶事件和底事件之间的结果事件是中间事件。

4)逻辑门：用来连接各事件之间的部件。

一棵简单的故障树及符号表示如图3-1。

T代表顶事件，vi代表底事件，Ai代表中间事件。此系统中共有5个底事件，3个中间事件。其中v1和v2组成一个与门A1，v4和v5组成一个或门A3，v3和A3组成一个与门A2，A1和A2相与后到达顶事件T。

故障树建树时需对系统深刻认识，以系统失效判据的顶事件作为分析目标，首先寻找所有的引起顶事件的直接原因，然后寻找引起上述每一个直接原因的所有直接原因，并逐层向下推溯，直到不需要再进一步分析为止。

本实施方式只是对本专利的示例性说明，并不限定它的保护范围，本领域技术人员还可以对其局部进行改变，只要没有超出本专利的精神实质，都在本专利的保护范围内。

Claims

1.一种分布式存储安全性分析方法，其特征在于，包括以下步骤：

步骤一、预定义安全评估策略

(3)分布式文件系统实时安全状态分析；

步骤二、找出相对应的安全故障树的基本事件集合

对于步骤一中，第(3)种预定义安全评估策略，首先按照操作系统分类，在弱点库里面预定义操作系统类型，操作系统本身的组件中出现的弱点具有唯一性，作为服务程序和应用程序中出现的弱点由于其通用性往往会涉及不同的操作系统类型，由此分析操作系统的安全性时，通过遍历数据库，提取出相对应的弱点集合，其次根据评估策略按照时间阶段分类，软件自发布开始，就会有不同的漏洞被发现，比较具有相同功能软件在同一时期内的安全可靠性，再次增加信息探测过程，通过主动探测、搭线监听手段，实时、准确获取评估目标的系统类型、开放服务、端口信息，使用基于插件的弱点检测平台实现对部分弱点的攻击尝试，实现实时对实际环境中的系统进行安全分析；

2.根据权利要求1所述的一种分布式存储安全性分析方法，其特征在于：步骤三中，故障树的生成步骤为：

步骤a、生成特权提升图

步骤c、组建以各个特权等级为状态门的故障树

对于特权等级P1,P2,P3,P4，以各特权等级作为根节点，查找ST1，ST2，…，ST8中结果特权为相应的特权等级的故障树作为子节点，用或门连接成树T1，T2，T3，T4；

3.根据权利要求1所述的一种分布式存储安全性分析方法，其特征在于：步骤四中，安全故障树具体分析方法采用安全故障树模型定性分析，定性分析，采用最小割集生成算法：

步骤Ⅰ、生成割集

①从安全故障树的顶事件开始处理；

②如果顶事件是或门，则其子结点分别构成集合；

③如果顶事件是与门，则其子结点构成一个集合；

对于每个集合中的元素顺序地作如下处理：

如果元素是或门，则其子结点分别与剩余的元素构成集合；

如果元素是与门，则其子结点与剩余的元素构成集合；

反复叠带，直到集合中的每个元素都是基本事件；

步骤Ⅱ、简化割集

②如果一个割集是另一个割集的子集，则删除后者；