社会工程学攻击为攻击者利用欺骗的手段创建吸引受害者的诱饵，使其泄露敏感信息或者和恶意第三方进行交互的攻击方式. 社会工程学攻击对政府、组织、公司和个人都构成巨大的隐私威胁，其中，社交网站已经成为攻击者最常利用的攻击目标之一^[1]. 在社交网站中，用户常常通过社交网络平台分享大量信息，攻击者通过收集社交网络账号隐私信息，发动社会工程学攻击，从而对目标用户造成巨大的隐私安全威胁. Sharma等^[2-4]总结社交网络中社会工程学攻击方法，并提出相应的保护措施，但鲜有研究针对社交网络中社会工程学威胁提出具体的定量评估模型. 本研究重点对社交网络中社会工程学造成的隐私安全问题进行深入探讨.

在社交网络中，攻击者通常模拟正常用户行为与受害者进行互动. 源于人为因素的复杂性，即便受害者隐私信息已经泄露，受害者也难以发觉^[5]. 因此，大量文献^[6-10]对社会工程学攻击中人为因素的复杂性进行深入的探讨与研究. 康海燕等^[6]通过利用社会工程学突破现实生活中的安全漏洞，详解利用社会工程学窃取社交网络用户财产的过程；Algarni 等^[7]基于Facebook平台上的社会工程学攻击，提出影响用户判断攻击者的维度特征，并认证这些维度特征带来的社会工程学危害；Bakhshi^[8]通过模拟钓鱼攻击的方式，研究目标企业用户遭受社会工程学攻击的易感性水平，该研究抽象地描述了社会工程学攻击造成的隐私威胁，但缺乏应用性；Abramov等^[9]基于贝叶斯网络模型分析目标用户心理特征、脆弱性、攻击行为和社会工程学成功率之间的关系，但没有对社会工程学威胁进行定量评估；Gupta等^[10]针对钓鱼攻击进行深入分析并提出不同的检测方法；Beckers等^[11]基于传统网络脆弱性以及社会工程学攻击构建攻击图，但对于社交网络背景下隐私威胁问题并没有提出具体的安全风险评估模型；Jaafor等^[12]针对社交网络异常账号基于攻击者攻击行为提出多层图模型的社会工程学威胁评估方法，构建社会工程学攻击图，但没有针对具体的社会工程学威胁进行建模评估.

本研究通过总结社交网络中社会工程学攻击模式，针对典型的钓鱼攻击、跨站身份克隆攻击建立攻击图，基于提出的脆弱性可利用概率量化方法，采用贝叶斯网络对每种攻击路径造成的社会工程学威胁进行量化评估，得到社交网络中个人账号的隐私威胁风险.

攻击图是采用“图”的方式对网络攻击进行描述，通过研究网络中各节点相互关系来判断网络安全性. 攻击图可以分为2类：状态攻击图和属性攻击图. 本研究重点介绍属性攻击图. 属性攻击图具有2类节点：原子攻击节点和属性节点. 原子攻击节点表示攻击者利用单一脆弱性进行的攻击行为；属性节点表示这些原子攻击的利用前提或后果. 属性攻击图为 ${\rm{AG}}(A,T,E)$，其中，A为属性节点集合，包括初始属性和可达属性；T为攻击节点集合；E为有向边集合， $E \in ((A \times T) \cup (T \times A))$，并满足以下约束条件：对 $\forall p \in T$，令 ${\rm{Pre}}(p)$为 $p$的前提节点集合， ${\rm{Post}}(p)$为 $p$的结果节点集合，前提节点间为与关系，有 $ \wedge {\rm{Pre}}(p) \to {\rm{Post}}(p)$，表示当全部前提属性被满足时，可成功完成攻击，从而使其后果属性被满足. 对 $\forall q \in A$，令 ${\rm{Parent}}(q)$为 $q$的父节点集合，父节点间为或关系，满足 $ \vee {\rm{Parent}}(q) \to q$，表示只要任何一个父节点被执行，都会使 $q$属性节点被满足. 如果 $q$为初始属性节点，则它的父节点为Ø.

如图1所示为属性攻击图. 图中，T₁、T₂、T₃为攻击节点； $C_1$、 $C_2$、 $C_3$、 $C_4$、 $C_5$表示脆弱性，即为属性集A中元素. 当 $C_1$、 $C_2$均满足时，可成功执行T₁，同理，当T₁或T₂成功执行且 $C_4$可利用时，可成功执行T₃. 其中，T₁、T₂为 $C_4$的父节点， $C_1$、 $C_2$为T₁的前提节点.

参考文献[13]，属性攻击图生成算法如下所示.

BG(AG，EP，q)//构建攻击图递归函数BG

输入：新增属性节点v以及实例化攻击模式集合　　EP

输出：攻击图 ${\rm{AG}}(A,T,E)$

//算法每使用一个攻击实例后，会将该攻击实例　　从EP中删除，最终将成为空集

　if EP = Ø then

return

　for each $p \in {\rm{EP}}$ // ${\rm{Pre(}}p{\rm{)}}$为攻击实例 $p$的前提集合

if $(v \in {\rm{Pre(}}p{\rm{)}} \wedge ( {\rm{Pre(}}p{\rm{)}} - \{ v\} )) \subset A$ then

//创建攻击节点 $u$

$T \leftarrow T \cup \{ u\} $

　for each $c \in {\rm{Pre(}}p{\rm{)}}$

$E \leftarrow E \cup \{ < c,u > \} $

　 $S \leftarrow $Ø// $ {\rm{Post(}}p{\rm{)}}$为攻击实例 $p$的后果集合

　for each $d \in {\rm{Post(}}d{\rm{)}}$

if $d \notin A$ then

$A \leftarrow A \cup \{ d\} $

$S \leftarrow S \cup \{ d\} $

$E \leftarrow E \cup \{ < u,d > \} $

$EP \leftarrow EP - \{ p\} $

　for each $q \in S$

${\rm{BG}}(AG,EP,q)$

　return

算法首先判断是否有可用的攻击实例，如果有，则在可用的攻击实例集EP中搜索是否有以v为前提，且该攻击实例的其他前提已全部被满足的攻击实例（此时，该攻击实例可以被攻击者执行），生成攻击节点加入T中，并建立该攻击节点到前提属性节点的边加入E中. 若攻击产生的后果属性节点不在A中，则将其加入A及临时集合S中. 将该攻击点到后果属性节点的边加入E中. 从EP中删除该攻击实例，对S中存放的每个属性节点递归调用 ${\rm{BG}}$函数，直至EP为空集，没有可用的攻击实例，或者不再产生新的属性.

在攻击图中，攻击目标的实现是多个攻击节点联合合作的结果，这些攻击节点并不孤立存在，相互间存在一定依赖关系，因此在计算目标的发生概率时要考虑联合概率，从而采用贝叶斯网络进行定量评估. 贝叶斯网络是基于概率推理的图形化网络，是一系列随机变量的联合概率分布的图形表示. 贝叶斯网络如图2所示，假设 $P{_S}_4$为攻击成功概率，有

式中：S₁、S₂、S₃、S₄表示不同的攻击场景.

社会工程学主要包括钓鱼攻击和跨站身份克隆攻击等. 社会工程学攻击步骤通常为收集目标用户信息，发展和利用信任关系，利用获得的信息^[11]. 具体的攻击过程如表1所示.

根据社交网络中社会工程学攻击模式，可利用的脆弱性语义定义如表2所示.

脆弱性可利用概率计算如下.

1） $C_1\text{或}C_3$的可利用概率通过隐私设置类型计算，比如Facebook每种简介信息有4种设置类型，一般的社交网络隐私信息可分为公开和不公开2种. 用户 $u$的隐私设置为 ${S_u} = \{ {s_{u,j}}|j = 1,2, \cdots ,J\} $，其中 ${s_{u,j}}$为用户 $u$账号属性A_j的隐私设置，j表示隐私类型的序号. 通常隐私设置有{self，public，friends of friends，friends}4种选择，对应{1，2，3，4}等级，则C₁或C₃脆弱性可利用概率为

2） $C_2\text{或}C_4$可利用概率 $P(C_2/C_4) $主要根据用户的好友列表是否公开来度量. 若公开， $P(C_2/C_4) \!=\! 0.9$；若不公开， $P(C_2/C_4) = 0.1$.

3） $C_5\text{或}C_6$的可利用概率 $P(C_5/C_6) $根据接受好友申请脆弱性程度来度量. 根据接受好友申请情况，定义脆弱性等级，基于通用漏洞评估方法（common vulnerability scoring system，CVSS）的脆弱性可利用概率^[15]，得到脆弱性等级所对应的可利用概率，如表3所示.

4） $C_7$的可利用概率P(C₇)基于文献[13]中的隐私脆弱性定义，涉及到关系隐私泄露概率（relational privacy leakage probability， ${\rm{RPLP}}$）和个人隐私泄露概率（individual privacy leakage probability， ${\rm{IPLP}}$）. ${\rm{RPLP}}$越大，表示目标用户与好友关系越亲密，目标用户的隐私信息越容易被好友泄露，RPLP基于关系强度评估模型进行计算得到. IPLP表示由于个人隐私保护意识不足造成的泄露好友隐私的可能性，IPLP基于用户的隐私设置类型以及好友的主观评分计算得到. 目标用户t与好友u的交互行为脆弱性可利用概率为

式中：c₁为目标用户与好友之间的关系，c₂为好友和攻击者之间的关系. ${\rm{RPLP}}$、 ${\rm{IPLP}}$分别基于文献[13]中的式（22）、（4）计算得到.

根据社会工程学攻击过程，攻击节点语义定义如表4所示.

根据属性攻击图生成算法构建社会工程学属性攻击图，如图3所示. 图中攻击图模拟钓鱼攻击和跨站身份克隆攻击. 4条攻击路径（路径1~4）分别为C₁→T₁→T₂→C₂→T₃→C₆→T₈→T₉、C₁→T₄→C₅→T₆→T₇、C₂→C₃→T₅→T₄→T₈→T₉、C₂→C₃→T₅→T₄→C₆→T₈→C₇→T₇. 路径1表示跨站身份克隆攻击，攻击者利用目标用户 $t$在社交网络Net1上的公开信息，伪装成 $t$在社交网络Net2上建立虚假账号，通过t公开的好友列表信息，跨站向 $t$的好友发送添加好友请求，在用户好友接受请求时，窃取目标用户好友的隐私信息. 路径2、3、4表示攻击者向目标用户发起钓鱼攻击，其中路径2表示攻击者向目标用户发送添加好友请求，路径3、4表示攻击者向目标用户好友发送添加好友请求.

由图3可知，路径2、4最终攻击节点语义为请求访问目标用户隐私信息，从而成功窃取目标用户隐私信息. 路径1、3最终攻击节点语义为请求访问目标用户好友的隐私信息，从而成功窃取目标用户好友的隐私信息. 以路径2为例，T₄可成功执行的前提是脆弱性C₁可利用，T₆可成功执行的前提是C₁、C₅可利用，在T₆成功执行后，T₇通过访问目标用户主页获取用户个人信息. 因此当路径2上C₁、C₅同时可利用时，该攻击成功. 同理，当路径4上C₂、C₃、C₆、C₇可利用时，该攻击成功. 针对目标用户，采用社会工程学攻击窃取其隐私信息，从而造成的威胁表达式为

式中：t为社会工程学攻击；P(T₄)为攻击方式T₄成功的概率； $P(T_6|T_4)$为在目标用户的好友公开其好友信息的情况下，攻击者能成功添加目标用户为好友的可能性，其他类似； $P(C_1)$为目标用户社交网络账户属性公开造成的脆弱性的可利用概率. 社会工程学攻击威胁为[0，1.0]，值越大表示社会工程学攻击造成的隐私威胁越大.

实验数据来自Facebook通过在线发放问卷调查以及在线搜索的方式，从Facebook中获取的1 704个用户的账号属性隐私设置以及交互行为（转发、评论、点赞）数据. 跨站身份克隆攻击需要2个或以上社交网络用户信息，因此本实验仅基于Facebook网站模拟钓鱼攻击.

恶意账号通过添加目标用户或其好友为好友来发动钓鱼攻击，从而直接或间接地访问目标用户的隐私信息. 首先在Facebook上通过使用虚假头像和账号信息新建4个异常账号 $V = \{ {v_1},{v_2},{v_3},$ ${v_4}\} $，同时选取10个目标用户 $T = \{ {t_1},{t_2}, \cdots ,{t_{10}}\} $，4个同所有目标用户皆为好友的正常账号 $N = \{ {n_1},{n_2},$ ${n_3},{n_4}\} $以及4个和目标用户存在共同好友的正常账号 $M = \{ {m_1},{m_2},{m_3},{m_4}\} $. 记目标用户的好友为F = $\{ {f_1},{f_2}, \cdots ,{f_k}\} $.

模拟钓鱼攻击过程：1）随机选取10个目标用户T；2）用 $V$、 $N$同时向F发送添加好友请求；3）用V、M同时向 $T$发送添加好友请求；4）若目标用户T及其好友F接受异常账号 $V$的添加好友请求且攻击者通过访问目标用户或其好友的主页窃取与目标用户相关的隐私信息，则钓鱼攻击成功.

如图4所示为目标用户T的关系拓扑图以及添加好友情况. 实验向10个目标用户T的所有好友 $F$发送添加好友请求. 如表3所示，当F不接受任何人的添加好友请求时，记为Q₁；当仅接受 $N$的添加好友请求时，记为Q₂；当 $F$接受 $V$的添加好友请求时，记为Q₃. 统计结果如表5所示. 表中，编号为1的用户，其好友中满足Q₂或Q₃的有11个，即存在11条可能攻击路径. 构建如图3所示的攻击图，根据第2节中的计算方法，得到脆弱性可利用概率和量化后的威胁，如表6所示. 这里，设RPLP $(c_2) = 1.0$，即认为存在最大关系隐私泄露风险.

由表6可以看出，社会工程学威胁最大的是编号为4的用户，分析可知，其P（C₁）最大，即个人信息公开度最大，且P（C₅）最大，即该用户最易接受恶意账号的添加好友请求，因此该用户的隐私信息更容易被攻击者窃取，具有更大的隐私泄露风险. 相反，编号为8的目标用户的P（C₁）、P（C₅）均为最小，尽管其P（C₃）较大，也即目标用户好友账号属性信息公开度较大，但是和目标用户自身账号信息公开造成的影响相比较弱，因此其社会工程学威胁最小，面临的隐私泄露风险最小.

基于社交网络中存在的社会工程学威胁，通过大量文献总结出社交网络中社会工程学的主要攻击模式；基于账号隐私设置以及隐私泄露风险因子提出相关脆弱性语义定义以及相应的脆弱性可利用概率计算方法；根据社会工程学攻击模式构建攻击图；根据贝叶斯网络，计算每条攻击路径的威胁，从而得到目标用户的社会工程学威胁. 通过实验验证了本研究提出的评估方法的有效性. 本研究模拟的社会工程学方法有限，未来可模拟更复杂的社会工程学攻击，并提出更加科学有效的量化方法，加强社会工程学威胁评估方法的普适性.