EVALUAREA SECURITII REELELOR I SISTEMELOR DE

COMUNICAII FOLOSIND GRAFURI DE ATAC

COMMUNICATION NETWORKS AND SYSTEMS SECURITY
EVALUATION THROUGH ATTACK GRAPHS
Drd. Ing. Sorin Soviany *, Ing. Mihaela Tache*
Rezumat: Articolul prezint o metod de analiz i evaluare a securitii reelor i
sistemelor de comunicaii, bazat pe grafuri de atac. Aceasta utilizeaz o reprezentare
vizual a relaiilor dintre resursele vulnerabile i incidentele de securitate produse n reele i
sisteme de comunicaii, i permite cuantificarea nivelului de securitate al acestora. Metoda
permite determinarea secvenelor de evenimente critice pentru infrastructura unui sistem de
comunicaii.
Cuvinte cheie: securitatea infrastructurii, graf de atac, cale de atac
Abstract: The paper presents an attack graphs-based method for communication networks
and systems security analysis and evaluation. This approach uses a visual representation of
the relationships between the vulnerable resources and the security events in communication
networks and systems; also it allows to assess their security level. The method enables to find
out the critical events sequences for a communication system infrastructure.
Keywords: infrastructure security, attack graph, attack path
1. INTRODUCERE
Sistemele de comunicaii actuale integreaz tehnologii multiple, capabile s asigure
suport pentru servicii de band larg i servicii orientate spre aplicaii particulare ale
utilizatorilor. Aceste servicii necesit interconectarea mai multor reele de comunicaii, cu
arhitecturi i topologii diferite. Complexitatea analizei i evalurii securitii sistemelor de
comunicaii actuale este determinat de multitudinea tehnologiilor, de natura resurselor
sistemelor, dar i de diversificarea tipurilor de ameninri. [2]
Metodele actuale de analiz i evaluare a securitii reelelor i a sistemelor de
comunicaii se bazeaz pe abordri cantitative i calitative. Abordrile cantitative utilizeaz
indicatori numerici pentru a cuantifica impactul ameninrilor de securitate la adresa
sistemelor de comunicaii. Abordrile calitative asociaz calificative diferitelor categorii de
incidente de securitate n sistemele de comunicaii; aceste calificative descriu amploarea
daunelor poteniale. [4]
Metoda grafului de atac este o metod de analiz i evaluare a securitii sistemelor de
comunicaii care utilizeaz reprezentri simbolice ale relaiile dintre ameninri, resursele
sistemelor de comunicaii i consecinele poteniale ale atacurilor; aceste reprezentri
simbolice se numesc grafuri de atac i permit inclusiv cuantificarea nivelului de securitate
pentru un sistem de comunicaii. [6] [7]

Institutul Naional de Studii i Cercetri pentru Comunicaii- INSCC

2. GRAFURI DE ATAC
O ameninare la adresa sistemului de comunicaii SC este un eveniment produs la
nivelul infrastructurii i care conduce la compromiterea cel puin a unei funcii a sistemului de
comunicaii. Un atac reprezint o mulime de ameninri care conduc la compromiterea
tuturor funciilor SC. [1][2] [7]
Un graf de atac Ga este un graf orientat aciclic care abstractizeaz caracteristicile
ameninrilor posibile la adresa resurselor unui sistem de comunicaii SC i este utilizat pentru
a stabili dac obiectivul unui atac este tangibil. Un graf de atac Ga este definit astfel: Ga = {V,
E}, n care: [1]

V = {s|s = stare_SC(var1, var2,..., varn)}: nodurile grafului de atac corespund strilor

sistemului de comunicaii SC. Fiecare stare a sistemului de comunicaii este descris
printr-un set de variabile de stare varj, j =1,2,...,n. Variabilele de stare sunt asociate
funciilor SC. Starea iniial, stare_SCiniial, este starea sistemului de comunicaii
nainte de producerea oricrui eveniment la nivelul infrastructurii acestuia. Starea
final, stare_SCfinal, este starea compromis a sistemului de comunicaii, stare n care
toate funciile SC sunt compromise;
E = {(s, t)| s,t V}: arcele orientate ale grafului corespund tranziiilor de stare ale
sistemului de comunicaii SC. Fiecare pereche ordonat (s, t) definete o tranziie de
stare a sistemului de comunicaii care se realizeaz atunci cnd un eveniment produs la
nivelul infrastructurii SC determin modificarea cel puin a unei variabile de stare.

Calea de atac reprezint orice cale din graful de atac n care nodul surs corespunde
strii iniiale a SC, iar nodul destinaie corespunde strii compromise.:
P = {(si,si+1) E, i =0,..,r -1 | s0 = stare_SCiniial, sr =stare_SCfinal, r |V| }
Graful de atac este construit pe baza scenariilor de atac posibile pentru sistemul de
comunicaii. Un scenariu de atac este o list de ameninri pentru sistemul de comunicaii
(calea de atac), mpreun cu resursele vizate i cu lista de condiii necesare execuiei
aciunilor respective. [1] [7]
3. METODA DE ANALIZ I EVALUARE A SECURITII
Metoda de analiz i evaluare a securitii sistemelor de comunicaii folosind grafuri de
atac se bazeaz pe scenarii i ci de atac definite n stadiul de proiectare i dezvoltare a
sistemului. Analiza i evaluarea securitii sistemelor de comunicaii se realizeaz n
urmtoarele etape: 1) specificarea componentelor scenariului de atac; 2) generarea grafului
de atac i 3) evaluarea nivelului de securitate pentru sistemul de comunicaii [1] [7]
3.1 Specificarea componentelor scenariului de atac
Componentele scenariului de atac sunt: lista resurselor sistemului de comunicaii i lista
evenimentelor care submineaz securitatea infrastructurii sistemului de comunicaii.[1]

Scenariu_de_atac_SC ={Resurse_SC, Evenimente}

(1)

a. Lista resurselor sistemului de comunicaii

Resursele unui sistem de comunicaii includ servere, echipamente de rutare, echipamente sau
noduri cu rol de procesare de semnal sau de conversie, staii de lucru ale utilizatorilor.
Mulimea resurselor unui sistem de comunicaii SC cu m componente este [1]
Resurse_SC = {res1, res2,.., resm}

(2)

b. Lista de evenimente
Incidentele de securitate sunt evenimente produse n sistemul de comunicaii i care
exploateaz vulnerabiliti existente la nivelul resurselor acestuia. Un eveniment Ev produs la
nivelul infrastructurii unui sistem de comunicaii este definit, formal, ca o relaie de mapare a
unui set de condiii pe un set de rezultate (consecine) ale evenimentului: [1] [7]
Ev =(Condiii, Rezultate)

(3)

n care:
Condiii reprezint mulimea condiiilor necesare pentru producerea incidentului de securitate
(vulnerabilitile resurselor sistemului de comunicaii), iar Rezultate reprezint mulimea
rezultatelor evenimentului produs la nivelul unei resurse a SC; orice eveniment produs la
nivelul sistemului de comunicaii are ca rezultat o nou stare a acestuia, prin compromiterea
cel puin a uneia dintre funciile sale. [1]
Mulimea evenimentelor care submineaz securitatea infrastructurii sistemului de
comunicaii este:
Evenimente = {Ev1, Ev2, ..., EvM}

(4)

3.2 Generarea grafului de atac

Graful de atac se genereaz manual sau automat, n funcie de complexitatea sistemului
de comunicaii pentru care se realizeaz analiza i evaluarea securitii. n ambele cazuri,
graful de atac este construit folosind scenariile de atac definite pentru sistemul de comunicaii
analizat.
Complexitatea generrii grafului de atac este determinat de complexitatea aciunilor de
atac sau a ameninrilor de securitate pentru sistemul de comunicaii. Aceasta depinde de
numrul resurselor sistemului de comunicaii, precum i de numrul i localizarea
vulnerabilitilor acestuia. [2][3] [7]
Complexitatea analizei grafului de atac este determinat de complexitatea traversrii
grafului de atac n adncime (depth-first) i este O(|V|+|E|). [3] [5] [7]

3.3 Evaluarea nivelului de securitate pentru sistemul de comunicaii

Evaluarea securitii sistemului de comunicaii se realizeaz prin intermediul
urmtorilor indicatori numerici: factorul de eficacitate al evenimentului, factorul de eficacitate
al cii de atac i nivelul de securitate a sistemului de comunicaii. [1] [7]
Fie N numrul total de clase de evenimente care submineaz securitatea sistemului de
comunicaii. Fiecare dintre aceste evenimente este descris formal utiliznd relaiile (3)-(6).
.
Evj reprezint evenimentul din clasa j, unde j =
Factorul de eficacitate al evenimentului din clasa j ej este un indicator cu valori n
intervalul [0,1] care evalueaz capabilitatea evenimentului de a compromite cel puin una
dintre funciile sistemului de comunicaii:
ej = 1 indic evenimentul cu capabilitatea cea mai ridicat de a compromite cel puin o funcie
a SC;
ej = 0 indic evenimentul cu capacibilitatea cea mai redus de compromitere a unei funcii a
sistemului de comunicaii.
Un graf de atac include mai multe ci de atac: {P1, P2,,Pk}. Presupunem c mulimea
evenimentelor care utilizeaz calea Pi pentru a aduce un sistem de comunicaii din starea
iniial n starea compromis este {Evi1, Evi2,, Evim}, unde im este numrul de clase de
evenimente care exploateaz calea Pi din graful de atac. De asemenea, evenimentele sunt
considerate ca fiind independente. n aceste condiii, factorul de eficacitate al cii de atac Pi
se evalueaz folosind relaia: [1] [7]
im

e( Pi ) = eij

(5)

j =1

n relaia (5), eij este factorul de eficacitate al evenimentului din

exploateaz calea de atac Pi, i =.
.
Securitatea sistemului de comunicaii este cu att mai ridicat cu ct
produse n cadrul SC au o capabilitate mai redus de a compromite funciile
comunicaii. Nivelul de securitate al unui sistem de comunicaii se definete
factorii de eficacitate ai tuturor cilor din graful de atac: [1]
k

im

i =1

i =1

i =1

Niv _ Sec( SC ) = (1 e( Pi )) = (1 eij )

Fie sistemul de comunicaii SC avnd infrastructura din figura 1.

Firewall 1

evenimentele
sistemului de
ca funcie de

(6)

4. ANALIZ DE CAZ

Terminal
client

clasa j care

Firewall 2

Figura 1: Infrastructura sistemului de comunicaii SC

Server

Lista resurselor SC este Resurse_SC ={res1, res2, res3, res4, res5, res6, res7} n care:
res1 este Terminal client; res2 este canalul de comunicaie dintre terminalul client i primul
firewall; res3 este Firewall 1; res4 este canalul de comunicaie dintre cele dou blocuri
firewall; res5 este Firewall 2; res6 este canalul de comunicaii dintre al doilea firewall i
server; res7 este serverul distant. Cele 7 resurse ale SC asigur ndeplinirea funciilor SC, care
sunt:
F1: acces la serverul distant;
F2: filtrarea traficului;
F3: transmisia de date pe legturile punct-la-punct din cadrul SC.
Lista evenimentelor care submineaz securitatea infrastructurii sistemului de
comunicaii este Evenimente = {Ev1, Ev2,Ev3,Ev4, Ev5, Ev6, Ev7}
n care evenimentul Evj (j =
) se produce la nivelul resursei resi. Se presupune ca la
nivelul fiecrei resurse a SC se produce un singur eveniment, iar evenimentele sunt
independente.
Pentru construirea grafului de atac n cazul sistemului de comunicaii SC se consider
valabile urmtoarele ipoteze:
1) fiecare eveniment compromite o singur funcie a sistemului de comunicaii SC;
2) compromiterea unei funcii a sistemului de comunicaii nu este reversibil.
Strile sistemului de comunicaii sunt cele din tabelul 1. Fiecare stare a SC este descris
prin 3 variabile de stare, variabile care sunt asociate celor 3 funcii ale sistemului de
.
comunicaii: Si =stare_SC(F1, F2, F3), i =
);
Fj = 0 dac funcia j a SC nu este compromis (j =
Fj = 1 dac funcia j a SC a fost compromis n urma producerii unui eveniment n cadrul SC.
Tabelul 1: Strile sistemului de comunicaii SC
Funcie
F1
F2
F3
Stare
S0
0
0
0
S1
0
0
1
S2
0
1
0
S3
0
1
1
S4
1
0
0
S5
1
0
1
S6
1
1
0
S7
1
1
1
Fiecare tranziie de stare a SC se realizeaz prin modificarea unei singure variabile de
stare a sistemului, modificare cauzat de producerea unui eveniment n cadrul sistemului.
Tranziiile posibile de stare sunt specificate n tabelul 2:

Tabelul 2: Tranziiile de stare ale SC

Stare
final
Stare
iniial
S0
S1
S2
S3
S4
S5
S6
S7

S0

S1

S2

S3

S4

S5

S6

S7

N/A
N/A
N/A
N/A
N/A
N/A
N/A
N/A

Ev2
N/A
N/A
N/A
N/A
N/A
N/A
N/A

Ev3
N/A
N/A
N/A
N/A
N/A
N/A
N/A

N/A
Ev3
Ev2
N/A
N/A
N/A
N/A
N/A

Ev4
N/A
N/A
N/A
N/A
N/A
N/A
N/A

N/A
Ev4
N/A
N/A
Ev2
N/A
N/A
N/A

N/A
N/A
Ev1
N/A
Ev5
N/A
N/A
N/A

N/A
N/A
N/A
Ev7
N/A
Ev5
Ev6
N/A

n tabelul 2, coninutul celulei (i,j) (i, j =

) reprezint evenimentul care determin
tranziia SC din starea i n starea j. Coninutul celulei (i,j) este N/A dac nu exist nici o
tranziie ntre strile i i j ale sistemului de comunicaii SC; acest lucru este valabil inclusiv
pentru cazurile n care i > j, deoarece tranziiile de stare nu sunt reversibile.
Graful de atac al sistemului SC este cel din figura 2. Starea iniial a SC (S0) este starea
S0

EV4

EV3
S4

S2

EV5

S1
EV2

EV2
S6

EV2

EV1

EV4

S5

EV3
S3

EV5
EV6

EV7
S7

Figura 2: Graful de atac pentru sistemul de comunicaii SC

n care nici una dintre funciile SC nu este compromis, iar starea final (S7) este starea SC n
care toate cele 3 funcii au fost compromise.
Cile de atac pentru sistemul de comunicaii SC sunt:
P1: (S0-S1, S1-S3, S3-S7);
P2: (S0-S1, S1-S5, S5-S7);
P3: (S0-S2, S2-S3, S3-S7);
P4: (S0-S2, S2-S6, S6-S7);
P5: (S0-S4, S4-S5, S5-S7)
P6: (S0-S4, S4-S6, S6-S7)

Cele 6 ci din graful de atac corespund succesiunilor de evenimente care conduc la

compromiterea tuturor funciilor SC.
Factorii de eficacitate ai celor 7 evenimente, obinui pe baza istoricului incidentelor de
securitate produse la nivelul SC, au valorile specificate n tabelul 3. n tabel sunt precizate i
cile de atac exploatate de fiecare dintre cele 7 evenimente posibile n sistemul SC.
Tabel 3: Factorii de eficacitate pentru evenimentele posibile la nivelul SC
Eveniment Evj
Factorul de eficacitate eij
Calea de atac exploatat Pi
Ev1
0,5
P4
Ev2
0,4
P1, P2, P3, P5
Ev3
0,8
P1, P3, P4
Ev4
0,6
P2, P5, P6
Ev5
0,5
P2, P5, P6
Ev6
0,8
P4, P6
Ev7
0,4
P1, P3
Nivelul de securitate al sistemului SC, pentru care sunt posibile 6 ci de atac
(corespunznd celor 6 posibiliti de compromitere a tuturor funciilor SC) este
6

Niv _ Sec( SC ) = (1 e( Pi ))
i =1

(7)

Factorii de eficacitate ai celor 6 ci de atac au expresiile:

e(P1) = e12e13e17

(8)

e(P2) = e22e24e25

(9)

e(P3)=e32e33e37

(10)

e(P4)=e41e43e46

(11)

e(P5)=e52e54e55

(12)

e(P6)=e64e65e66

(13)

Utiliznd valorile numerice ale factorilor de eficacitate a celor 7 evenimente, valori date
n tabelul 3, se obin urmtoarele valori ale factorilor de eficacitate a cilor de atac:
e(P1) = 0,128; e(P2) = 0,12; e(P3) = 0,128; e(P4) = 0,32; e(P5) = 0,12; e(P6) = 0,24
Valoarea rezultat a indicatorului pentru nivelul de securitate al sistemului de
comunicaii este Niv_Sec(SC) = 0,304.
Se observ c securitatea infrastructurii sistemului de comunicaii SC este afectat n
cea mai mare msur de secvena de evenimente (Ev3, Ev1, Ev6) care formeaz calea P4 n
graful de atac pentru sistemul de comunicaii analizat. Aceast succesiune de evenimente este
critic pentru sistem, dearece are cel mai ridicat factor de eficacitate, comparativ cu factorii de

eficacitate determinai pentru celelalte 5 secvene de evenimente. Aceast secven de

evenimente produse la nivelul componetelor sistemului de comunicaii are cea mai ridicat
capabilitate de a provoca compromiterea tuturor funciilor sistemului SC.

5. CONCLUZII
Metoda grafului de atac este o metod cantitativ de analiz i evaluare a securitii
infrastructurilor reelelor i sistemelor de comunicaii. Metoda este aplicabil pentru
determinarea vulnerabilitilor acestora, deoarece se bazeaz de relaiile dintre resursele
sistemelor de comunicaii, tipurile de evenimente produse la nivelul acestora i consecinele
poteniale pe care acestea le produc la nivelul sistemelor de comunicaii i al utilizatorilor
finali. [7]
Metoda de analiz i evaluare a securitii folosind grafuri de atac permite determinarea
secvenelor critice de evenimente pentru sistemele de comunicaii, deci a acelor evenimente
care prezint cel mai ridicat potenial de a compromite funciile acestora.
Complexitatea metodei este determinat de complexitatea generrii i analizei grafului
de atac, care este foarte ridicat n cazul sistemelor de comunicaii cu numr mare de resurse,
n care sunt interconectate reele cu topologii diferite. [7]
6. BIBLIOGRAFIE
[1] Zhang Lufeng, Tang Hong: Network Security Evaluation through Attack Graph
Generation, World Academy of Science Engineering and Technology 54 2009
[2] JohnSteven, Gunnar Peterson: Using Attack Graphs to Design Systems, IEEE
Computer Societym IEEE SECURITY & PRIVACY, 2007
[3] Xinming Ou, Wayne Boyer: A Scalable Approach to Attack Graph Generation, ACM
CCS06, 2006
[4] Cynthia Philips, Laura Suiler: A Graph-based System for Network-Vulnerability
Analysis, 2007
[5] Oleg Sheyner, Jeannette Wing: Tools for Generating and Analysing Attack Graphs,
Carnegie Mellon University, 2007
[6] Jeannette Wing: Scenario Graphs Applied to Network Security, Carnegie Mellon
University, 2008
[7] Sorin Soviany: Studiu privind metode moderne de securizare a accesului la sisteme de
comunicaii de band larg, proiect PN 09-08 03 04 INSCC (faza 2, decembrie 2010)