本站小編為你精心準(zhǔn)備了安全評(píng)估論文：高效的網(wǎng)絡(luò)安全評(píng)定方式探微參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

作者：王春露王彥丞單位：北京郵電大學(xué)計(jì)算機(jī)學(xué)院北京郵電大學(xué)可信分布式計(jì)算與服務(wù)教育部重點(diǎn)實(shí)驗(yàn)室中國(guó)工商銀行數(shù)據(jù)中心網(wǎng)絡(luò)部

相比于分析單個(gè)弱點(diǎn)的脆弱性，基于模型的評(píng)估方法能更好的模擬攻擊者行為、表達(dá)弱點(diǎn)關(guān)聯(lián)性。盡管這些方法改善了網(wǎng)絡(luò)安全評(píng)估的效果，但當(dāng)前工作仍有以下缺陷：

（1）非自動(dòng)化。雖然攻擊圖生成已經(jīng)實(shí)現(xiàn)了自動(dòng)化，具備高可擴(kuò)展性，但是網(wǎng)絡(luò)安全評(píng)估的其他部分仍需手動(dòng)完成。評(píng)估依賴的數(shù)據(jù)庫(kù)（Bugtraq,/）并不包含弱點(diǎn)的“前提”和“結(jié)果”屬性，弱點(diǎn)關(guān)聯(lián)關(guān)系需要從弱點(diǎn)描述字段手動(dòng)提取。

（2）評(píng)估效率。當(dāng)前的網(wǎng)絡(luò)安全評(píng)估仍集中在機(jī)器數(shù)比較少的小規(guī)模網(wǎng)絡(luò)，為了獲取比較準(zhǔn)確的分析結(jié)果，必須使用較復(fù)雜的評(píng)估模型，計(jì)算復(fù)雜度也會(huì)隨之提高。在評(píng)估有效性和評(píng)估規(guī)模之間，大部分工作選擇的是前者。因而，如何簡(jiǎn)化評(píng)估模型，將評(píng)估方法推廣到大規(guī)模網(wǎng)絡(luò)是一個(gè)亟待解決的問題。本文提出了一種高效的網(wǎng)絡(luò)安全評(píng)估方法。在已有工作基礎(chǔ)上解決了三個(gè)關(guān)鍵問題：

(1)將變量消元算法應(yīng)用到貝葉斯網(wǎng)中，不構(gòu)建聯(lián)合概率分布表，直接計(jì)算評(píng)估結(jié)果。通過(guò)變量消元使提高了評(píng)估的效率，評(píng)估規(guī)模從原有的數(shù)十臺(tái)提升到數(shù)千臺(tái)。

(2)提取弱點(diǎn)信息，構(gòu)建弱點(diǎn)的前提和結(jié)果集，同時(shí)整合當(dāng)前主流的弱點(diǎn)數(shù)據(jù)庫(kù)，形成一個(gè)包含弱點(diǎn)詳細(xì)信息的量化關(guān)聯(lián)數(shù)據(jù)庫(kù)。

(3)提出一種基于原子域的攻擊圖計(jì)算方法，簡(jiǎn)化了攻擊圖生成和評(píng)估模型的計(jì)算。本文組織結(jié)構(gòu)如下：第2章介紹基本思想；第3章討論弱點(diǎn)關(guān)聯(lián)數(shù)據(jù)庫(kù)的構(gòu)建；第4章給出原子域的攻擊圖生成方法；第5章提出基于變量消元的貝葉斯網(wǎng)評(píng)估模型；第6章通過(guò)真實(shí)環(huán)境下大量實(shí)驗(yàn)，驗(yàn)證本方法的有效性；第7章是總結(jié)與進(jìn)一步工作。

基本思想

獲取當(dāng)前網(wǎng)絡(luò)脆弱性信息是安全評(píng)估的前提，在此基礎(chǔ)上利用攻擊圖模擬入侵者行為，進(jìn)而通過(guò)量化評(píng)估模型分析攻擊者在當(dāng)前安全策略下所有可能的行為和后果，評(píng)價(jià)網(wǎng)絡(luò)的脆弱性，提出加固建議。

圖1是本評(píng)估方法的簡(jiǎn)單流程。數(shù)據(jù)存儲(chǔ)池包括弱點(diǎn)數(shù)據(jù)庫(kù)和從網(wǎng)絡(luò)管理員獲得的配置信息（如網(wǎng)絡(luò)拓?fù)?、訪問控制策略等）。此部分信息是生成攻擊圖，構(gòu)建網(wǎng)絡(luò)評(píng)估模型的基礎(chǔ)。弱點(diǎn)掃描器包括控制服務(wù)器端和客戶端。客戶端安裝在每臺(tái)待評(píng)估機(jī)器上，由服務(wù)器端控制，對(duì)系統(tǒng)進(jìn)行掃描，獲得當(dāng)前網(wǎng)絡(luò)包含的所有弱點(diǎn)和它們的量化概率信息。之后，攻擊圖生成系統(tǒng)將弱點(diǎn)關(guān)聯(lián)，利用基于原子域的攻擊圖生成方法生成攻擊圖和貝葉斯網(wǎng)。以此為基礎(chǔ)，通過(guò)變量消元和貝葉斯推理，計(jì)算評(píng)估維度并顯示評(píng)估結(jié)果，給出安全加固策略。

弱點(diǎn)關(guān)聯(lián)數(shù)據(jù)庫(kù)

1弱點(diǎn)數(shù)據(jù)庫(kù)創(chuàng)建

計(jì)算機(jī)的弱點(diǎn)通常指軟硬件設(shè)計(jì)或策略上的缺陷，使得攻擊者可以在未授權(quán)的情況下訪問系統(tǒng)。一個(gè)好的弱點(diǎn)數(shù)據(jù)庫(kù)不僅能從多方面描述一個(gè)弱點(diǎn)的詳細(xì)信息，而且是攻擊圖生成和網(wǎng)絡(luò)安全評(píng)估的基礎(chǔ)。雖然有的研究工作根據(jù)經(jīng)驗(yàn)手動(dòng)構(gòu)建漏洞庫(kù)，能較準(zhǔn)確的反映弱點(diǎn)某一方面的特征。但是此類數(shù)據(jù)庫(kù)由于人力有限，不可能包含當(dāng)前所有弱點(diǎn)的詳細(xì)信息。同時(shí)，弱點(diǎn)信息不斷更新，新的弱點(diǎn)會(huì)不斷出現(xiàn)，如何保證數(shù)據(jù)庫(kù)的實(shí)時(shí)性是一個(gè)難點(diǎn)。

另一個(gè)構(gòu)建漏洞庫(kù)的難點(diǎn)是如何提取弱點(diǎn)的關(guān)聯(lián)信息。攻擊圖的生成是一個(gè)將網(wǎng)絡(luò)中一系列弱點(diǎn)進(jìn)行關(guān)聯(lián)的過(guò)程，通過(guò)攻擊路徑模擬攻擊者可能的攻擊行為。因此，為了自動(dòng)化生成攻擊圖，必須有一個(gè)能反映弱點(diǎn)關(guān)聯(lián)關(guān)系的數(shù)據(jù)庫(kù)。一個(gè)弱點(diǎn)的前提集是指攻擊者要利用這個(gè)弱點(diǎn)實(shí)施攻擊，必須滿足的前提條件。弱點(diǎn)的結(jié)果集是指攻擊者利用這個(gè)弱點(diǎn)成功完成攻擊后，所能取得的權(quán)限提升或?qū)χ鳈C(jī)和網(wǎng)絡(luò)造成的破壞。如果數(shù)據(jù)庫(kù)中的每一個(gè)記錄（弱點(diǎn)）都有前提和結(jié)果信息，就可稱之為關(guān)聯(lián)數(shù)據(jù)庫(kù)。

本文采用美國(guó)國(guó)家漏洞庫(kù)(NationalVulnerabilityDatabase,nvd.nist.gov/)作為數(shù)據(jù)庫(kù)的主要信息來(lái)源，在此基礎(chǔ)上結(jié)合其他弱點(diǎn)信息，構(gòu)建一個(gè)綜合的關(guān)聯(lián)弱點(diǎn)庫(kù)。同時(shí)使用一個(gè)器，每隔一段時(shí)間下載新出現(xiàn)的弱點(diǎn)。采用NVD的原因在于，它是迄今為止最完整的漏洞庫(kù)，與美國(guó)國(guó)家標(biāo)準(zhǔn)局(NIST)制定的CVE標(biāo)準(zhǔn)()兼容。以NVD為基礎(chǔ)，系統(tǒng)整合了其他數(shù)據(jù)庫(kù)的弱點(diǎn)信息(如攻擊腳本，加固策略等)。具體來(lái)說(shuō)，從NVD提取的弱點(diǎn)信息占50%，從Bugtraq提取的弱點(diǎn)攻擊腳本和解決方案占25%，CERT/CC(www.us-cert.gov/)包含的量化弱點(diǎn)信息占10%，其他信息占15%。表1表示該數(shù)據(jù)庫(kù)中弱點(diǎn)編號(hào)為CVE-2010-3847的部分信息。

2弱點(diǎn)關(guān)聯(lián)信息提取

前提結(jié)果集不僅反映了一個(gè)弱點(diǎn)潛在的威脅和攻擊復(fù)雜度，也是構(gòu)建攻擊圖、進(jìn)行網(wǎng)絡(luò)評(píng)估的基礎(chǔ)。為了簡(jiǎn)單起見，我們用權(quán)限表示弱點(diǎn)的關(guān)聯(lián)信息。這里的權(quán)限分三種:無(wú)(none)，用戶(user)，管理員(root)。圖2表示的是從NVD數(shù)據(jù)庫(kù)中提取的弱點(diǎn)信息。通過(guò)“攻擊向量”的描述，可以知道如果一臺(tái)主機(jī)有這個(gè)漏洞，攻擊者可以通過(guò)任何與它有網(wǎng)絡(luò)連接的機(jī)器發(fā)起攻擊。因此，該弱點(diǎn)的前提屬性是“無(wú)”(none)。通過(guò)“利用結(jié)果”屬性，得出攻擊此漏洞可以獲得管理員特權(quán)。所以，該弱點(diǎn)的結(jié)果集是“管理員”(root)。

接著通過(guò)一個(gè)java程序，將這些關(guān)聯(lián)信息導(dǎo)入到數(shù)據(jù)庫(kù)。除了關(guān)聯(lián)性，系統(tǒng)數(shù)據(jù)庫(kù)還包括弱點(diǎn)的量化信息。圖2中的“攻擊復(fù)雜度”屬性值為“低”，在通用漏洞評(píng)估系統(tǒng)（commonvulnerabilityscoringsystem,CVSS,/cvss/cvss-guide.html）中，攻擊復(fù)雜度是一個(gè)包含三個(gè)值的枚舉變量，即：0.31（H），0.61（M）和0.71（L）。所以，攻擊者成功利用該弱點(diǎn)的概率為0.71。

單個(gè)弱點(diǎn)的概率信息是進(jìn)行概率推理、計(jì)算評(píng)估結(jié)果的基礎(chǔ)，一些研究者利用經(jīng)驗(yàn)設(shè)定一個(gè)弱點(diǎn)被利用的概率。但是弱點(diǎn)數(shù)據(jù)庫(kù)可能包含上萬(wàn)條記錄并不斷更新，手動(dòng)部署量化信息比較困難。雖然本數(shù)據(jù)庫(kù)設(shè)定的弱點(diǎn)利用概率值只能是0.31、0.61或0.71，但弱點(diǎn)的重要程度是相對(duì)的。通過(guò)這種方式構(gòu)建量化數(shù)據(jù)庫(kù)不僅能使評(píng)估自動(dòng)化，而且能比較準(zhǔn)確得反映弱點(diǎn)的相對(duì)重要程度。基于以上技術(shù)，系統(tǒng)使用MySQL創(chuàng)建了包含46953條記錄的弱點(diǎn)數(shù)據(jù)庫(kù)，每條記錄包括弱點(diǎn)的基本信息、前提結(jié)果集和量化信息。

3基于弱點(diǎn)數(shù)據(jù)庫(kù)的掃描器

為了分析待評(píng)估網(wǎng)絡(luò)的脆弱性，系統(tǒng)以開源弱點(diǎn)評(píng)估語(yǔ)言(openvulnerabilityandsssessmentlanguage,OVAL,/）為核心構(gòu)建弱點(diǎn)掃描器。選擇開源弱點(diǎn)評(píng)估語(yǔ)言的原因在于它是通用的弱點(diǎn)描述語(yǔ)言，描述方式符合CVE標(biāo)準(zhǔn)，方便從數(shù)據(jù)庫(kù)中提取信息。其次，掃描客戶端安裝在每臺(tái)機(jī)器上，能以管理員身份查找漏洞?？紤]到評(píng)估網(wǎng)絡(luò)的重要性和安全性，安裝掃描器的代價(jià)是可接受的。除了主機(jī)掃描，系統(tǒng)還集成了網(wǎng)絡(luò)掃描器Nessus，從單個(gè)系統(tǒng)和整體網(wǎng)絡(luò)兩方面檢查漏洞信息，為網(wǎng)絡(luò)評(píng)估提供詳細(xì)的弱點(diǎn)列表。

攻擊圖生成

攻擊圖描述了入侵者利用弱點(diǎn)逐步達(dá)到目標(biāo)的過(guò)程。本文提出了一種原子域構(gòu)建攻擊圖的方法，簡(jiǎn)化了攻擊圖生成過(guò)程。該方法分兩步：原子域初始化和攻擊圖生成。

1原子域初始化

原子域指的是特定主機(jī)的特定權(quán)限。為了對(duì)網(wǎng)絡(luò)建模，首先設(shè)定每個(gè)原子域的可用弱點(diǎn)集合。通過(guò)分析與攻擊者相連的所有主機(jī)組成的小網(wǎng)絡(luò)，可以初始化攻擊者的原子域。接著按照同樣的步驟初始化其他原子域，通過(guò)把一個(gè)大網(wǎng)絡(luò)分解成一組原子域，實(shí)現(xiàn)攻擊圖生成的簡(jiǎn)化。當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)或配置發(fā)生改變時(shí)，只需要更改相應(yīng)的原子域，圖3是一個(gè)例子網(wǎng)絡(luò)[8]。表2是這個(gè)網(wǎng)絡(luò)包含的所有弱點(diǎn)信息，包括它們的利用條件和所在主機(jī)。表3顯示的是原子域初始化結(jié)果，也就是每個(gè)原子域的可用弱點(diǎn)集合。其中IpDUser表示了IpD機(jī)器的User權(quán)限。按照攻擊圖生成的單調(diào)性假設(shè)：攻擊者不會(huì)發(fā)動(dòng)不能使他權(quán)限提升的攻擊，因此ipWRoot的可用弱點(diǎn)集合不包含“ap”。

2攻擊圖生成

當(dāng)所有原子域初始化完畢，系統(tǒng)就可以通過(guò)原子域間的通信生成攻擊圖。首先從攻擊者所能訪問的原子域開始，分析攻擊者所能發(fā)起的攻擊，激活和當(dāng)前原子域相鄰的子網(wǎng)絡(luò)中包含的原子域。接著以相同的方式，按廣度優(yōu)先原則激活每個(gè)原子域和它相鄰的原子域組。當(dāng)所有的原子域激活，攻擊圖生成過(guò)程結(jié)束。圖4是該網(wǎng)絡(luò)的攻擊圖。每個(gè)節(jié)點(diǎn)代表一個(gè)原子域（ip3Root表示主機(jī)3上的Root權(quán)限），每條邊代表攻擊者利用弱點(diǎn)實(shí)施的一次權(quán)限提升攻擊。由于采用單調(diào)性假設(shè)，所以攻擊圖中沒有回邊。

基于優(yōu)化貝葉斯網(wǎng)的評(píng)估方法

1評(píng)估模型的建立

為了進(jìn)行網(wǎng)絡(luò)安全評(píng)估，需要一個(gè)定量分析模型計(jì)算當(dāng)前網(wǎng)絡(luò)的脆弱性，本文使用貝葉斯網(wǎng)結(jié)合貝葉斯推理完成這一任務(wù)。為了方便將攻擊圖和貝葉斯推理結(jié)合，引入貝葉斯攻擊圖的概念，并做如下定義：定義1設(shè)X表示一組離散變量集{X1,…,Xn}，集合中每個(gè)變量的祖先變量是Pa1,…,Pan。條件概率分布表（CPT）指明了每個(gè)變量所包含的條件概率分布（CPD）如果攻擊圖和用概率分布表表示的量化信息結(jié)合，就可稱為“貝葉斯攻擊圖”。圖中的每個(gè)變量代表一個(gè)伯努利隨機(jī)變量Xi，P(Xi=T)表示攻擊者成功達(dá)到目標(biāo)的概率，每條邊表示入侵者利用弱點(diǎn)發(fā)動(dòng)的攻擊，而概率分布表表示了節(jié)點(diǎn)之間的概率依賴關(guān)系。正如前面所述，本文使用通用弱點(diǎn)評(píng)分系統(tǒng)中的“攻擊復(fù)雜度”表示一個(gè)弱點(diǎn)被成功利用的概率。雖然這種方法只能表示0.31，0.61和0.71三個(gè)值，但這并不影響評(píng)估結(jié)果。因?yàn)槲覀兏P(guān)注一組弱點(diǎn)的相對(duì)威脅程度，而不是單個(gè)弱點(diǎn)的重要度。一些已有的工作使用通用弱點(diǎn)評(píng)分系統(tǒng)的“基本分”（BasicScore,BS）表示弱點(diǎn)被利用的難易度。他們將基本分除以10，用得到的0到1之間的值表示該弱點(diǎn)被攻擊者成功攻擊的概率。雖然此方法能從掃描結(jié)果中自動(dòng)提取量化信息，但弱點(diǎn)的基本分除了包含一個(gè)弱點(diǎn)被利用的難易程度，還表示該弱點(diǎn)被攻擊后可能造成的破壞程度和影響。很多弱點(diǎn)的基本分是10，并不表示這些弱點(diǎn)被成功利用的概率是1。

在構(gòu)建貝葉斯網(wǎng)過(guò)程中，應(yīng)用了一個(gè)通用的假設(shè)：給定一個(gè)變量X，X的祖先節(jié)點(diǎn)獨(dú)立影響X的狀態(tài)，即，每個(gè)節(jié)點(diǎn)的條件概率不受其他節(jié)點(diǎn)的影響。已有的工作通過(guò)修改概率信息消除上述假設(shè)，Bobbio等通過(guò)關(guān)聯(lián)條件概率分布表解決這一問題。為了方便起見，本文不討論這種情況。圖5是一個(gè)包含三個(gè)原子域A、B、C的貝葉斯攻擊圖，e1和e2表示原子域之間的依賴關(guān)系，每條邊對(duì)應(yīng)主機(jī)C上一個(gè)弱點(diǎn)。圖的右邊表示節(jié)點(diǎn)C的條件概率表，其中C=1表示該原子域激活成功，P(e1)和P(e2)是從數(shù)據(jù)庫(kù)中提取的弱點(diǎn)攻擊概率。當(dāng)每個(gè)節(jié)點(diǎn)部署完概率信息后，就可以通過(guò)貝葉斯推理計(jì)算評(píng)估維度。

2評(píng)估維度

評(píng)估維度決定了評(píng)估的方向和結(jié)果，為管理員加固網(wǎng)絡(luò)提供了重要的依據(jù)。由于網(wǎng)絡(luò)安全分析和故障分析有相同的目標(biāo)和類似的過(guò)程，所以借用故障分析理論提出兩個(gè)評(píng)估維度：頂事件不可靠度和底事件重要度。定義3（頂事件不可靠度）在一個(gè)貝葉斯網(wǎng)中，頂事件指一個(gè)與管理員規(guī)定的安全屬性有關(guān)的狀態(tài)，表示攻擊者成功達(dá)到目標(biāo)的可能性。給定一個(gè)貝葉斯頂事件不可靠度表示了當(dāng)前網(wǎng)絡(luò)的整體安全狀態(tài)。如果網(wǎng)絡(luò)管理員根據(jù)系統(tǒng)給出的安全建議，應(yīng)用了加固策略，再次運(yùn)行評(píng)估系統(tǒng)，將會(huì)發(fā)現(xiàn)頂事件不可靠度降低，系統(tǒng)整體安全性提高。

定義4（底事件關(guān)鍵度）底事件是造成網(wǎng)絡(luò)不安全狀態(tài)的根本原因。在一個(gè)貝葉斯攻擊圖（S,τ,S0,ss）中，底事件對(duì)應(yīng)于S0。不失一般性，我們假設(shè)系統(tǒng)中存在多個(gè)狀態(tài)s10,s20,…,sj0。底事件sk0的重要度是一個(gè)后驗(yàn)概率:本文提出的底事件計(jì)算方法不同于文獻(xiàn)。

Wang等人用邏輯表達(dá)式表示頂事件，式中的每個(gè)謂詞代表一個(gè)初始條件（即底事件）。雖然他們的評(píng)估方法能給出加固策略，但仍是一種定性評(píng)估。在貝葉斯評(píng)估模型中，底事件關(guān)鍵度是一個(gè)量化值，表達(dá)了對(duì)頂事件的影響程度。通過(guò)比較可知道如果攻擊者完成攻擊目標(biāo)，最有可能從哪個(gè)底事件發(fā)起攻擊。另一個(gè)不同點(diǎn)是本文提出的計(jì)算方法不是通過(guò)圖搜索而是貝葉斯推理。如果當(dāng)前網(wǎng)絡(luò)弱點(diǎn)信息發(fā)生改變，不需要重新生成攻擊圖，只需要改變相應(yīng)節(jié)點(diǎn)的條件概率表再進(jìn)行一次推理。相比于攻擊圖生成，貝葉斯推理代價(jià)更小，簡(jiǎn)化了評(píng)估維度的計(jì)算。

3基于變量消元的評(píng)估維度計(jì)算算法

本節(jié)首先介紹變量消元的原理和使用變量消元降低推理復(fù)雜度的原因，接著給出評(píng)估算法。

3.1消元運(yùn)算以圖6中的貝葉斯網(wǎng)為例，考慮計(jì)算P(D),有假設(shè)所有變量均為二值，則上式的計(jì)算復(fù)雜度如下：P(A)與P(B|A)需要做4次數(shù)字乘法，其結(jié)果與P(C|B)相乘需要做8次數(shù)字乘法，它的結(jié)果再與P(D|C)相乘需要做16次數(shù)字乘法。所以總共需做28次數(shù)字乘法。

為了利用聯(lián)合概率分布的分解來(lái)降低推理的計(jì)算復(fù)雜度，注意到在式4右邊的4個(gè)因子中，只有P(A)和P(B|A)與變量A有關(guān)，而變量C也只出現(xiàn)在因子P(C|B)和P(D|C)中，所以有式（5）的計(jì)算復(fù)雜度如下：P(A)與P(B|A)相乘需要做4次數(shù)字乘法，然后消去A需要做兩次數(shù)字加法，同樣的，消去變量B和變量C也分別需要4次乘法和兩次加法，所以乘法總次數(shù)為12，加法總次數(shù)為6。

比式4復(fù)雜度低。變量消元之所以能降低復(fù)雜度，主要是因?yàn)樗沟眠\(yùn)算可以局部化，每一步計(jì)算只關(guān)注單個(gè)變量和與它直接相連的變量。在上面的例子中，運(yùn)算局部化大約節(jié)省了一半的運(yùn)算量。在變量眾多的網(wǎng)絡(luò)中，節(jié)省可能是指數(shù)級(jí)的。

3.2評(píng)估算法

圖7給出的是基于變量消元的網(wǎng)絡(luò)安全評(píng)估算法。開始時(shí)為每個(gè)節(jié)點(diǎn)構(gòu)建條件概率分布表，接著利用變量消元計(jì)算底事件不可靠度，在計(jì)算過(guò)程中得到頂事件不可靠度。

3.3算法復(fù)雜度分析

變量消元的復(fù)雜度與消元順序有關(guān)，本文使用最小缺邊搜索確定消元順序。在變量消元算法中，最耗費(fèi)事件和空間的步驟是對(duì)消元操作的調(diào)用(圖7算法中第8到第13行)。從f中挑出所有涉及X的函數(shù){f1,f2,…,fk}，將它們相乘得到中間函數(shù)g,再將X從g中消去。設(shè)X1,…,Xl是g中除X之外的變量，如果把函數(shù)表示成多維表，則g所存儲(chǔ)的函數(shù)值的個(gè)數(shù)這便是變量X的消元成本。因此，算法的復(fù)雜度與當(dāng)前的貝葉斯網(wǎng)結(jié)構(gòu)有關(guān)。相比于通過(guò)聯(lián)合概率分布分析網(wǎng)絡(luò)脆弱性，這種局部化推理簡(jiǎn)化了計(jì)算過(guò)程。大量真實(shí)環(huán)境下的測(cè)試表明，基于變量消元的評(píng)估方法能使評(píng)估復(fù)雜度降低，評(píng)估規(guī)模從原有的數(shù)十臺(tái)提升到數(shù)千臺(tái)。

測(cè)試

本章通過(guò)一個(gè)真實(shí)環(huán)境下的實(shí)驗(yàn)，驗(yàn)證所提出的方法有效性。試驗(yàn)網(wǎng)絡(luò)環(huán)境如圖8所示，其中防火墻將網(wǎng)絡(luò)分為2個(gè)部分：攻擊者所在的網(wǎng)絡(luò)和運(yùn)行關(guān)鍵數(shù)據(jù)服務(wù)的局域網(wǎng)。假設(shè)攻擊者從防火墻外部發(fā)起攻擊，防火墻設(shè)定的訪問規(guī)則如下：攻擊者只能直接訪問四臺(tái)機(jī)器:Ip1,Ip2,Ip3和Ip4。Ip15是數(shù)據(jù)庫(kù)服務(wù)器，攻擊者最終的目標(biāo)是破壞作用數(shù)據(jù)庫(kù)，因此Ip15是目標(biāo)主機(jī)?；臼录南闰?yàn)概率設(shè)置如下時(shí)基于原子域的攻擊圖也隨著掃描進(jìn)行而產(chǎn)生。圖9顯示了該實(shí)驗(yàn)環(huán)境下的攻擊圖。它包含了4個(gè)底事件（圖中橢圓形陰影標(biāo)注）和1個(gè)頂事件（圖中最底部節(jié)點(diǎn)）。通過(guò)使用前面的算法，我們建立了貝葉斯攻擊圖。然后，使用貝葉斯推理來(lái)計(jì)算評(píng)估指標(biāo)。整個(gè)過(guò)程耗時(shí)29秒。實(shí)驗(yàn)結(jié)果如下：1）網(wǎng)絡(luò)的可靠度是0.4。

也就是說(shuō)，攻擊者能達(dá)到攻擊目標(biāo)的概率是0.4；2）最關(guān)鍵的主機(jī)是IP3（圖10）。修補(bǔ)這一主機(jī)上的漏洞將能有效地提升網(wǎng)絡(luò)安全性。我們?cè)诰W(wǎng)絡(luò)中增加了5臺(tái)主機(jī)，然后重復(fù)上述實(shí)驗(yàn)。圖10顯示的結(jié)果如下:1)頂事件的可靠度是0.31。

說(shuō)明當(dāng)主機(jī)數(shù)目增加時(shí)，攻擊者實(shí)現(xiàn)攻擊目標(biāo)的可能性隨之增大。2)最關(guān)鍵的底事件是ip3；和15臺(tái)機(jī)器的實(shí)驗(yàn)相比，底事件之間的重要度差距明顯增大了。

說(shuō)明隨著主機(jī)數(shù)的增加，底事件對(duì)頂事件的影響被弱化了。我們基于本方法開發(fā)了一個(gè)評(píng)估系統(tǒng)，在北京郵電大學(xué)校園網(wǎng)絡(luò)環(huán)境下對(duì)系統(tǒng)做了測(cè)試，測(cè)試結(jié)果如圖11所示。橫坐標(biāo)表示待評(píng)估網(wǎng)絡(luò)中包含的主機(jī)數(shù)，從300到3000?？v坐標(biāo)代表網(wǎng)絡(luò)評(píng)估階段所需時(shí)間，單位是秒。結(jié)果顯示系統(tǒng)整體性能符合線性增長(zhǎng)，評(píng)估時(shí)間隨主機(jī)數(shù)的增大而增加，3000臺(tái)機(jī)器需要16秒左右的評(píng)估時(shí)間。

總結(jié)與進(jìn)一步工作

本文在對(duì)網(wǎng)絡(luò)安全深入研究的基礎(chǔ)上，提出了一種量化的網(wǎng)絡(luò)脆弱性分析方法，解決了網(wǎng)絡(luò)安全評(píng)估中的若干關(guān)鍵問題。實(shí)驗(yàn)結(jié)果證明該方法能夠分析當(dāng)前網(wǎng)絡(luò)的脆弱性，評(píng)估結(jié)果能有效得幫助管理員改善當(dāng)前的網(wǎng)絡(luò)狀態(tài)。通過(guò)變量消元優(yōu)化了評(píng)估模型，提高了評(píng)估速度，使評(píng)估方法能夠適用于更大規(guī)模的網(wǎng)絡(luò)環(huán)境。未來(lái)的工作仍集中在對(duì)評(píng)估算法的優(yōu)化和改進(jìn)。除了變量消元，還有桶消元、團(tuán)樹傳播等貝葉斯推理優(yōu)化算法，將這些算法應(yīng)用到網(wǎng)絡(luò)安全評(píng)估領(lǐng)域，比較并選取最適合安全評(píng)估的一種算法將是非常有意義的研究課題。