基于攻擊圖的網絡安全度量研究綜述

2018-10-13 01:01:40胡浩劉玉嶺張玉臣張紅旗

網絡與信息安全學報 2018年9期

胡浩，劉玉嶺，張玉臣，張紅旗

基于攻擊圖的網絡安全度量研究綜述

胡浩1,2，劉玉嶺3，張玉臣1,2，張紅旗1,2

（1. 信息工程大學三院，河南鄭州 450001； 2. 河南省信息安全重點實驗室，河南鄭州 450001； 3. 中國科學院軟件研究所可信計算與信息保障實驗室，北京 100190）

網絡安全度量面臨的主要挑戰之一，即如何準確地識別目標網絡系統中入侵者利用脆弱性之間的依賴關系進行威脅傳播，量化對網絡系統的潛在影響。攻擊圖由于具備優越的可視化展示能力，是解決該問題的有效途徑之一。首先，介紹了安全度量的概念、發展歷程和通用測度模型；然后，闡述攻擊圖構建、分類和應用的相關研究；其次，提出一種基于攻擊圖的層次化安全度量框架，從關鍵“點”、攻擊“線”和態勢“面”3個層次總結歸納了現有網絡安全度量方法；最后，闡述了目前研究面臨的難點問題與發展趨勢。

網絡安全度量；攻擊圖；安全漏洞；告警分析；量化評估

1 引言

近年來，隨著物聯網、云計算、大數據等新興技術的不斷發展，計算機網絡已經成為信息化建設的支撐性基礎設施，深入滲透到政治、經濟、軍事、民生等各個方面，許多網絡協議并不安全，軟件應用多數存在安全漏洞，網絡攻擊事件頻發，給政府、企業和個人帶來潛在的安全威脅。

在我國，網絡攻擊的種類與數量也在持續增長，網絡安全面臨嚴峻挑戰。2017年4月，國家互聯網應急中心（CNCERT）公布的《國家互聯網網絡安全態勢報告》，通過對Gafgyt僵尸網絡抽樣檢測，在第一季度，42.5萬臺物聯網智能設備被惡意服務器操控，總計發起DDoS攻擊超過1.8萬次，其中有72次DDoS攻擊的峰值流量在5 Gbit/s以上。國家信息安全漏洞共享平臺（CNVD）發布的全年安全漏洞累積超過1萬個，較上年度增幅為33.9%，包括4 000多個高危漏洞，其中“零日”漏洞為2 203個，增長率高達82.5%，漏洞主要涵蓋Google、Oracle、Adobe、Microsoft、IBM、Apple、Cisco、Wordpress、Linux、Mozilla、Huawei等諸多知名軟件廠商，由于我國工業控制系統規模龐大，惡意探測和基于漏洞利用的定向攻擊，大量的安全漏洞帶來了嚴重安全隱患。漏洞發現不及時，漏洞風險監控不準確，使用戶持續遭受攻擊威脅，因此我國互聯網安全狀況不容樂觀。

網絡攻擊由以往的孤立事件，演變為大規模、多階段、協調攻擊，實施多步攻擊已成為當前的主流攻擊行為。例如，Zeus僵尸網絡[1]，防御網絡多步攻擊已刻不容緩。因此亟需研究面向多步攻擊的網絡安全度量及防御策略選取方法，以提高對多步攻擊的識別與防護能力，增強對網絡攻擊行為的認知、理解和度量。

網絡安全事件層出不窮，攻擊滲透日益猖獗，亟需科學全面地度量網絡安全狀況。2002年，ACSA與MITRE Corporation聯合開展了關于信息系統安全度量的研討，指出信息系統的安全度量通過一系列評估過程，從一個偏序集中選取與系統安全質量相關的值，用于表征、描述或預言系統安全的信任程度。一般而言，信息安全相關的質量涉及信息的機密性（confidentiality）、可用性（availability）和完整性（integrity）這3方面，安全度量是通過收集、分析與信息安全管理相關的數據，并給出報告以協助信息安全決策、改善信息安全狀況的過程。

目前，越來越多的國內外學者從事面向多步攻擊的網絡安全度量研究，其研究機構主要包括麻省理工學院林肯實驗室、堪薩斯州大學、科羅拉多州大學、喬治梅森大學、加利福尼亞州立大學、卡內基梅隆大學、中國科學院信息安全國家重點實驗室、清華大學、北京大學、哈爾濱工業大學、北京郵電大學、國防科學技術大學、上海交通大學等國內外知名科研院所。其研究成果頻現于《IEEE Transactions on Information Forensics and Security》《IEEE Transactions on Dependable and Secure Computing》《ACM Transactions on Information and System Security》和《ACM Conference on Computer and Communications Security》等國際高水平期刊會議上，取得了顯著的研究成果，但仍存在一些問題，表現在管理人員缺乏對網絡攻擊行為刻畫及風險狀況進行科學定量分析的方法，同時，攻擊行為分析及安全度量的科學性、準確性、規范性、全面性有待進一步提高。

攻擊圖通過枚舉所有可能的攻擊路徑，直觀地描述多步攻擊過程，具備優越的可視化展示能力，是解決該問題的有效途徑之一。基于攻擊圖的網絡安全度量指從攻擊圖中提取與攻擊行為相關的安全信息。目前研究者已開發多種攻擊圖自動生成工具，興起了基于攻擊圖的安全度量研究的新一輪熱潮。綜上，開展面向多步攻擊的網絡安全度量研究具有重要的理論意義和廣闊的應用前景。

2 安全度量

安全度量模型和方法的研究主要分為兩大類：一是基于標準體系的安全度量模型和方法研究，該類研究的優點是范圍更廣；二是學者歸納提煉的安全度量模型和方法研究，該類研究的優點是針對性更強。基于攻擊圖的網絡安全度量則屬于第二類，它從攻擊者視角出發，可視化地展示了所有可能的入侵路徑，對于測度攻擊行為，重構攻擊場景，分析安全威脅具有重要意義。

本節首先介紹安全度量的概念，然后分析了信息安全度量的發展歷程，并給出基于標準體系的信息安全度量的和模型。

2.1 安全度量概述

度量一詞源于自然科學，也被稱為測量，有較長的發展歷史，常用于描述度量的詞有measure、metric、score、rating、estimate、evaluate、assessment等。Roberts[2]指出：事物可被度量的程度，決定了發展不完備和完備的科學差距，正如管理學常言，不能被度量就不能被管理，這一說法來源于管理學之父Lord Kelvin的“If you can’t measure it, you can’t improve it”。經典的度量研究領域包含質量管理、軟件度量、工程能力成熟度度量等。對于信息安全也同樣成立，“沒有規矩，不成方圓”，安全度量為信息系統的安全性提供了量化準則。

2.2 信息安全度量的發展

在信息安全管理領域，信息安全度量是指“一個行為或一組行為，利用測量形式對一個實體的屬性進行測度，獲取量化值”。針對信息安全度量，Sademies[3]認為，如果沒有度量，信息安全保障水平就只能靠猜測和估計。近些年，信息安全量化模型、方法和指標體系引起了學者的廣泛關注。通用的信息安全度量方面的研究包括：美國國家標準和技術學會（NIST）的SP800-55《信息技術系統安全度量指南》，國際標準化組織ISO的SC27分委會的IS027004《信息安全管理測量》等。

圖1 信息安全測評認證的發展歷程

國際上，信息安全標準化工作起源于20世紀70年代中期，其發展歷程如圖1所示，作為計算機系統安全度量的首個正式標準，美國國防部于1985年頒布可信計算機系統評價標準（TCSEC，Trusted Computer System Evaluation Criteria）意義重大，TCSEC標準定性地將安全程度劃分為D、C1、C2、B1、B2、B3、A1這7個安全級別。1991年，歐洲共同體發布了信息安全技術安全度量準則（ITSEC，Information Technology Security Evaluation Criteria）。1991年，美國對TCSEC進行修改，并在補充吸收ITSEC優點的基礎上，發布了美國信息技術安全度量聯系標準FC，在美國政府、民間和商業領域得到廣泛應用。1993年6月，美國、加拿大、英國、法國4國共同起草了信息技術安全度量公共標準（CCITSE，Common Criteria of Information Technical Security Evaluation），簡稱CC，是目前國際上最通行的信息安全技術產品及系統安全性評估標準，也是信息安全度量結果國際互認的基礎。

我國在信息安全度量領域的研究開展較晚，當前仍處于起步發展階段，國內信息安全標準化工作多借鑒國際標準。1998年10月，由國家質監總局牽頭成立了中國國家信息安全測評認證中心，是我國專門從事信息技術安全度量和風險評估的權威職能機構。公安部主持制定、國家質量技術監督局頒布的國家標準GB17895-1999《計算機信息系統安全等級劃分準則》已正式頒布并實施，定性地將信息系統安全劃分為5個等級。隨后，2002年4月，國家信息安全標準化技術委員會正式成立，同年頒布了GB18336《信息技術安全技術評估準則》，作為度量信息技術產品與信息安全特征的基礎準則。2009年，開始正式實施《信息安全風險評估規范GB20984》。近些年，伴隨著信息化驅動引領經濟社會發展作用的凸顯，國家逐步重視和支持網絡安全工作，網絡安全已上升到國家戰略層面，2014年2月，著眼國家安全和長遠發展，中央網絡安全和信息化領導小組成立，負責統籌協調國家網絡安全和信息化重大問題，顯著提高了國家的信息安全保障能力。

2.3 信息安全度量模型

信息安全度量模型是一個將信息需求與相關屬性關聯起來的結構，描述了如何量化有關安全屬性，并轉變能為決策提供基礎的指標，參照國際標準ISO/IEC27004:2009，文獻[4]給出的一種信息安全測量模型，如圖2所示。

圖2 信息安全度量標準模型

模型包括以下要素：度量方法、基本度量、度量函數、導出函數、分析模型、指標、決策準則和度量結果。對度量對象的多種安全屬性實施度量方法，得到基本度量，單個度量目標可能包含多個安全屬性，需要提取對基本度量有用的屬性作為模型輸入。度量方法是以規定標準量化屬性的邏輯操作集合。度量函數是為輸出度量結果而組合基本測試執行的計算，度量函數包括多種，如對基本度量計算平均值，或者對基本度量取方差和標準差，抑或加權后求和，度量函數是一個或多個基本度量的組合。指標是對模型輸出度量結果進行評估的測量標準，并將它們與決策準則相結合。分析模型是將多個導出度量與決策進行結合的算法。決策準則衡量度量結果置信度的閾值，決定下一步的行動方案。

3 攻擊圖技術

網絡安全度量作為信息安全度量中的一個研究分支，受到學術界和工業界的廣泛關注，而實施網絡系統安全度量的一個重要工具是攻擊圖，目前研究者已開發多種攻擊圖自動生成工具，興起了基于攻擊圖的安全度量研究的新一輪熱潮。攻擊圖借鑒圖論的相關知識分析網絡中的脆弱性利用關系，是當前研究多步攻擊的重要工具，它從入侵者視角出發，通過分析網絡環境和漏洞信息，在圖中枚舉全部入侵路徑，直觀地展示不同攻擊步驟間的因果關系，以及漏洞利用造成的潛在威脅。下面分別從攻擊圖構建、攻擊圖分類和攻擊圖應用3個方面進行介紹。

3.1 攻擊圖構建

在攻擊圖技術的發展過程中，攻擊圖的構造是基礎和核心，經過不斷的發展和改進，攻擊圖構造方法由手工向自動構建逐步推進，由僅適用于小型網絡向大規模網絡不斷發展。

1) 手工構建

表1給出典型攻擊圖手工構建方法的分析與比較。

利用模型檢測手段生成攻擊圖時，包括基于網絡狀態和主機狀態2種方式。基本原理是首先對網絡或主機中的關聯要素進行編碼，利用有限狀態機模型刻畫狀態變遷過程，并通過檢測工具搜索反例，每個反例對應一條攻擊路徑，將全部反例對應的路徑進行整合生成攻擊圖。

基于邏輯推理的攻擊圖生成方法中，通過形式化描述網絡配置信息、主機信息和安全策略等要素信息，建立規則刻畫原子攻擊，并應用邏輯推理工具還原攻擊場景，如Ou等[5]利用形式化描述語言Prolog設計攻擊圖生成方法。

表1 攻擊圖手工構建方法比較

表2 攻擊自動構建工具比較

基于圖論的攻擊圖構建，以網絡連通性、網絡配置、主機信息以及網絡漏洞信息為輸入，利用圖論的理論知識，通過設計攻擊圖生成算法，輸出由初始狀態到目標狀態的可能攻擊路徑信息。

2) 自動構建

為提升攻擊圖的構造效率，開發人員已研制了多種攻擊圖的自動生成軟件，如MulVAL、NetSPA、TVA等[6]，常見的攻擊圖自動構建工具比較如表2所示。

Skybox View也是一款商用軟件[10]，通過對網絡建模，并模擬攻擊后生成報告，與NetSPA類似，通過Nessus掃描漏洞，能夠實現攻擊圖的自動化構建。AGT（attack graph toolkit）由Sheyner等[11]設計，基于Linux操作平臺，利用該工具可生成狀態攻擊圖，狀態節點表示系統全局狀態，節點連接邊表示狀態轉移，但構建算法的復雜度為指數級。2009年，加利福尼亞州立大學的Danforth等[12]提出了一種改進的基于策略驅動的脆弱性分析工具EVA（evolutionary vulnerability analysis），該工具支持多種網絡安全分析，允許管理人員依據指定的使用規則和需求進行安全分析，采用滲透類的抽象模型顯著降低了攻擊模板的匹配速度，通過對相似主機進行聚類，構建meta-machine，有效減小了攻擊圖規模，提高了攻擊圖的構建效率。

3.2 攻擊圖分類

1) 狀態攻擊圖

法國國家科學研究中心的Dacier等[13]首先提出了特權圖（priviege graph），利用特權圖描述攻擊狀態，故又稱為狀態攻擊圖，描述了入侵者在攻擊過程中的權限提升過程，在特權圖中，節點代表攻擊者獲取的權限，邊代表網絡系統中存在可被攻擊利用的漏洞，其中，特權指攻擊者為實現既定攻擊意圖，所需要獲取的權限集合。隨后，Phillips等[14]用節點表示網絡狀態變量集合，邊表示攻擊者的原子攻擊動作集合，通過從目標節點單向回溯搜索路徑并生成攻擊圖，該方法的時間復雜度呈指數級增長。

卡內基梅隆大學的Cimatti等[15]在分析不同網絡組件和脆弱性關聯關系的基礎上，提出使用模型檢測器NuSMV產生入侵反例，生成違背安全屬性的攻擊路徑，在此基礎上構建狀態攻擊圖，包括主機描述、網絡連通性、入侵起點和攻擊方法等要素信息，在一次運行中可以找出多個違反安全性的反例。

此外，其他學者提出了多種狀態攻擊圖生成方法，加州大學的Templeton等[16]提出了需求（require）和供給（provider）的攻擊鏈設計模型，需求代表攻擊產生的前因，供給表示攻擊導致的后果，攻擊表示攻擊者具有的能力集合，基于利用能力集合構建攻擊模板，滿足相應網絡組件需求，攻擊形式化描述借用編程語言JIGSAW。

為了提升大規模目標網絡中攻擊圖的構建效率，葉云等[17]采用攻擊圖建模語言AGML形式化描述漏洞知識庫和目標環境，通過對目標環境進行預處理，并建立安全屬性索引，最后結合攻擊模式實例化技術構建攻擊圖，提高了攻擊圖構建方法的可擴展性。

圖3 狀態攻擊圖

從狀態攻擊圖的構建過程可知，由于可包含重復的狀態節點，隨著目標網絡中主機和漏洞數量的增加，攻擊圖規模呈現指數級遞增，難以滿足實際大規模網絡的應用需求。

2) 屬性攻擊圖

為了解決狀態攻擊圖的狀態爆炸問題，Ammann等[18]提出了攻擊單調性假設，即入侵者在滲透過程中不會針對已有權限發起重復攻擊，基于該假設，可以將狀態攻擊圖的規模由指數級降低為多級式級別，學者相繼提出了多種屬性攻擊圖生成方法，增強了應用的可操作性。

屬性攻擊圖中，存在兩類頂點和連接邊，兩類頂點分別是條件和脆弱性，其中，條件頂點表示攻擊者具備的前提權限，脆弱性頂點表示主機配置錯誤和軟件漏洞等，表征通過該脆弱性能獲取的權限，兩類邊分別為：由條件頂點指向脆弱性頂點的邊指代脆弱性利用的前提，由脆弱性頂點指向條件頂點的邊指代脆弱性利用的后果。

圖5 攻擊圖在安全領域的應用

圖4 屬性攻擊圖

3.3 攻擊圖應用

由于攻擊圖結構靈活，適用于多層面的網絡安全分析和評估，給出最小化的網絡加固方案，其應用拓展如圖5所示，包括查找攻擊路徑、取證分析、安全度量、基于IDS的告警關聯、優化防御措施等，尤其在網絡安全分析、入侵告警關聯、網絡安全加固3個方面成果突出。

1) 網絡安全分析

對于網絡安全度量而言，其研究的困難性在于如何精準地分析、鑒別目標網絡系統中，不同脆弱性被攻擊者利用的依賴關系，以及威脅傳播帶來的影響，直觀的可視化功能是攻擊圖的最突出特點，也是解決上述問題的有效方法之一。攻擊圖枚舉了所有可能的脆弱性利用關系，通過在攻擊圖中模擬攻擊步驟，重現攻擊場景，能夠為安全防御提供更有效的策略指導。

2) 入侵告警關聯

告警關聯是指攻擊過程中，采集入侵檢測系統（IDS）的告警數據，利用攻擊圖模擬脆弱性利用關系，通過已知告警推斷后續可能的攻擊路徑。傳統的IDS告警關聯僅分析了漏洞利用間的依賴關系，缺少對具體網絡環境信息的考慮，導致誤報和漏洞較多。由于攻擊圖描述了系統漏洞利用的因果關系，能夠反映威脅的傳播過程，因此，結合攻擊圖對IDS告警數據進行關聯，能夠提高多步攻擊預測的準確性，還原真實的攻擊場景，同時減小IDS漏洞和誤報。例如，發現某條攻擊路徑中存在一個原子攻擊未產生告警，而攻擊者已具備后續攻擊狀態，則認定此處可能存在漏報，通過提高告警關聯的準確性能夠有效評估攻擊者的可能意圖。

3) 網絡安全加固

安全加固是在安全度量的基礎上，針對度量后的主機漏洞和脆弱性制定有效的安全策略和加固方案，由于攻擊圖的結構靈活性，既能展示整體又能反映局部安全狀態的變遷過程。

考慮安全加固具有相對性，當彌補某個漏洞所要支付的成本高于對網絡安全性的提升價值時，此類彌補不具有實際意義，因此脆弱性加固的意義如下。

①安全威脅排序，網絡中需要著重保護的安全目標是什么？辨別需要首先修復的脆弱性節點？哪條路徑最有可能被攻擊者利用？

②威脅影響度量，即網絡配置更新，防護措施增強能在多大程度上降低安全風險，如何量化防御效果，進而選擇最優防御策略是一個“what if”類型的問題。

不僅如此，隨著信息安全形勢的日益嚴峻，軟件更新升級加速，惡意軟件和后門程序泛濫，大量系統脆弱性和軟件缺陷暴露，脆弱性修復的重要性日益突顯，安全加固涉及網絡布局、安全策略調整、配置更新和補丁管理等多個方面。例如，在實施補丁管理時，需要從系統整體安全出發，鑒別關鍵漏洞，并決定修復的優先次序。特別地，對于大規模網絡，孤立地考察單個主機的脆弱性意義不大。需要著重分析漏洞之間被利用次數以及補丁間的依賴關系，如被利用次數最多的漏洞的修復優先權重高，即使與該漏洞所在主機相連的其他主機數量不多，如何在存在多個脆弱性主機的前提下選擇最優加固措施，綜合考慮加固成本和防御效果成為安全加固的研究重點。

4 基于攻擊圖的網絡安全度量框架

本節首先定義了相關網絡安全要素的形式化表示；其次通過分析攻擊過程，描述攻擊行為，定義攻擊圖模型；最后從攻擊圖中的“點”“線”“面”3個不同層面出發，建立層次化的網絡安全度量模型。

4.1 網絡元素模型化

網絡系統上布置了大量的主機和網絡組件，運行著復雜多樣的應用軟件和服務程序，隨著網絡結構和布局變化，網絡拓撲和連通關系動態變化，因此首先需要對網絡建模，即形式化描述網絡元素，包括主機及服務信息、網絡結構、網絡配置和脆弱性信息以及網絡攻擊信息等，通用的描述方法如下。

表示主機地址信息。

表示主機開放的服務和端口信息，通常用服務名稱或者服務開放的端口號表示，如Apache、TCP、Radius、UDP等。

是主機上的軟件列表，包括操作系統的類型和版本號，如Windows XP SP2、Red Hat Linux 7.2等。

是該主機上的脆弱性與漏洞列表，可以用統一脆弱性標識符CVE表示，如CVE-2014-0063表示一種執行任意代碼漏洞。

是該主機在網絡中的重要程度，當主機包含的資產價值高時，對應重要性權重越高。

表示該脆弱性的唯一標識，可以用其在CVE中對應的編號表示。

指存在脆弱性的主機網絡地址。

()指脆弱性被入侵者成功利用的概率。

指脆弱性被利用給網絡資產帶來的危害性，通用漏洞評分標準（CVSS）給出了威脅影響得分，得分范圍為（0, 10），得分越高，表明該漏洞的危害越嚴重。

指脆弱性信息的具體描述。

定義3 拓撲結構。表示網絡中主機間的連接關系，形式化表示為<,>。

是主機節點集合。

是節點間連接邊的集合。

4.2 攻擊圖模型

在網絡發展初期，由于攻擊技術和工具的限制，多以無明顯目的的零散攻擊為主，主要包括破解口令和利用操作系統的一些簡單漏洞，攻擊的持續性和關聯性不強。隨著網絡結構的復雜化和攻擊手段的不斷發展，如今的網絡攻擊已普遍發展為多步驟的復雜攻擊。

由于網絡結構日趨復雜，網絡入侵者通常難以直接攻入其感興趣的目標，如網絡隔離區（DMZ）的后臺數據庫，因此往往采用“迂回”路徑，如先攻入DMZ區域內的文件服務器，獲得其Root權限，再以此為跳板嘗試攻擊內部主機，因此，理論上一次攻擊需要通過多個步驟完成。近年來，APT（advanced persistent threat）攻擊已成為當前網絡系統遭受最嚴重的攻擊之一，具有攻擊目標性強、漏洞利用潛伏周期長的特點。例如，一個針對Soloris平臺的Sadmind漏洞的DDoS攻擊，攻擊者利用Soloris平臺的Sadmind程序的緩沖區溢出缺陷，經過探測、非法入侵、安裝Mstream DDoS傀儡軟件和實施DDoS攻擊等多個步驟實現整體攻擊。其攻擊步驟如圖6所示，前一個步驟的成功實施往往是后一個步驟開始的前提條件。

圖6 多步攻擊的5個步驟流程

4.3 層次化的安全度量框架

作為網絡安全保障不可缺少的部分，網絡安全度量以網絡系統為度量對象，針對網絡可能受到攻擊的概率、意圖、路徑、風險以及策略等進行多角度、全方位的量化測評，為防御決策提供指導。層次化的安全度量框架如圖8所示，隨著網絡安全要素的不同拓展、安全數據的不斷豐富、攻防手段的不斷演進，研究人員對于網絡安全的認知按照“點—線—面”的趨勢逐級深入展開，第5節將以此為脈絡介紹各層次典型安全度量方法。

5 基于攻擊圖的網絡安全度量方法

本節以攻擊圖為依托，首先圍繞安全脆弱性這一關鍵“點”；然后依據攻擊“線”程開展縱向的安全建模分析，從“點”和“線”2個視角都很難看到網絡系統整體的安全狀況；最后開展網絡系統安全態勢“面”評價，通過總結歸納現有攻擊圖中的安全度量方法，對比分析了各方法的特點和不足。

圖7 攻擊圖示例

圖8 網絡系統安全度量框架

5.1 關鍵“點”安全度量

網絡系統的脆弱性來源于自身設計上的缺陷，脆弱性被惡意攻擊者利用后，可能導致系統異常甚至癱瘓，進而導致更嚴重的后果，從這一點出發，網絡系統脆弱“點”安全性度量是整個研究的基礎，分析基于脆弱性利用的攻擊圖中單個節點的轉移概率，特別地，研究安全脆弱性模型、脆弱性利用規律、脆弱性安全風險，能夠為主動防御提供理論基礎和技術支撐，下面分別進行介紹。

在脆弱性分析模型研究方面，陳愷等[19]構建了多周期的軟件漏洞發布模型，從整體出發，推斷安全漏洞的數目與軟件程序開發時間上的聯系；相反，聶楚江等[20]從微觀層面出發，通過構建安全漏洞數量推測模型，研究了程序代碼等微觀參數的影響，通過關聯舊版本軟件程序包含的漏洞數量，推斷新版本的漏洞數量。類似地，高志偉等[21]依據漏洞嚴重程度對漏洞進行分類，設計的預測模型不僅能測度生命周期過程中，軟件包含的漏洞數目和漏洞產生時間間隔，而且能分析漏洞的類型及每一種類型漏洞的數目。

美國CERT計算機應急響應組織的Arbaugh等[22]首先引入了漏洞生命周期概念，研究了安全漏洞從誕生到消亡過程中所處的不同狀態，通過分析美國CERT/CC報告，揭示了近年來處于不同生命周期狀態的漏洞數量分布。Frej[23]借鑒系統動力學理論構建了漏洞生命周期模型，然而受實驗數據集規模的限制，未深入探討不同軟件廠商的漏洞數量分布情況。法國國家科研中心的Kaaniche等[24]通過研究開源的OSVDB漏洞數據庫，發現漏洞處于不同生命周期過程的時間長度與其操作系統類型相關，并在Windows、Unix和Mobile OS操作系統中進行了對比驗證。通過引入攻擊熱度和攻擊技術，宋明秋等[25]在時間維度上對漏洞生命周期進行建模，通過構建Mamdani模型量化測度漏洞的時間維度風險。可以看出，現有成果集中于探索漏洞數量在軟件開發階段、部署操作系統和生命周期時間維上的分布情況。如何關聯漏洞數量、生命周期、可利用性、威脅影響與風險等多重度量要素，構建全面可靠的漏洞分析模型是后續研究的重點。

在脆弱性利用規律研究方面，文獻[26]分析了零日漏洞的生命周期過程，通過枚舉Linux和Microsft系統漏洞信息，探討攻擊腳本和脆弱性補丁擴散對脆弱性利用概率的影響。美國科羅拉多州大學Joh等[27]將漏洞生命周期劃分為產生、發現、公布、利用和修復5個階段，分析了不同階段的安全風險程度。作為脆弱性評價行業的公開標準，美國國家基礎設施咨詢委員會發布的通用脆弱性評分系統準確測度了漏洞的脆弱性利用和威脅影響得分，通過查詢美國國家漏洞數據庫（NVD）得到具體值。國際權威漏洞披露組織CVE公布了漏洞字典，實現了對漏洞的統一命名，依據軟件廠商、威脅影響及漏洞數目對漏洞進行分類統計。NVD依據CVSS對超過7.5萬個已知漏洞進行了評分。OSVDB提供了開源的漏洞數據集，用于查詢包括漏洞生命周期、發布時間、廠商和補丁等信息。密歇根州立大學Shahzad等[28]針對包含4萬多個漏洞的開源數據集OSVDB進行了統計分析，展示了近20年不同軟件廠商漏洞在生命周期各階段的數目分布狀況，并預測補丁發布周期以及脆弱性利用平均耗時的變化趨勢，結果表明，脆弱性利用平均耗時小于補丁開發的平均耗時。該類研究成果側重于統計學分析，通過大量數據揭示脆弱性利用概率和耗時受軟件廠商、補丁發布時間等因素的潛在影響。未來研究可以嘗試歷史數據分析，提取先驗知識，提煉脆弱性利用規律，推測后續發展趨勢，對增強研究的實際性具有重要意義。

在脆弱性風險評價方面，Cox等[29]考慮漏洞利用產生的威脅影響和利用發生的可能性，依據威脅嚴重性將漏洞劃分多個級別，構建了漏洞風險評估矩陣，利用綜合評估法量化信息系統的風險級別。Mkpong等[30]通過專家評估法測度漏洞屬性對系統的安全影響，構建了基于屬性評估的漏洞風險度量模型。上述方法操作方便，但嚴重依賴領域知識，側重于已知漏洞評價，評估結果具有一定的主觀性。為此，付志耀等[31]在漏洞屬性評估時，借鑒粗糙集理論對關聯屬性進行約簡，提升了評估結果的客觀性和準確性，且保證了操作的簡便性。Houmb等[32]利用已知漏洞數據集訓練Bayesian信念網絡，推斷脆弱性被利用的概率及威脅度，并預測未知漏洞的風險等級。在實際應用中，周亮等[33]借鑒層次分析法，評估了智能電網中調試管理子系統安全漏洞的風險等級，相關研究已廣泛應用于安卓移動應用終端、Web應用程序、電信通用設備以及工業控制系統等相關行業。

綜上，現有網絡系統脆弱“點”安全度量集中于靜態評估，具備算法復雜度低、操作簡便的優勢，然而，隨著網絡系統規模的不斷增大和復雜異構網絡的融合，單個漏洞節點風險在生命周期內動態變化，伴隨漏洞信息發布和攻擊工具的快速傳播，網絡風險持續增加，針對單個脆弱“點”，實現在時間維度上動態測度風險，為進一步測度整個網絡的宏觀風險提供了理論參考。

5.2 攻擊“線”安全度量

網絡系統單個脆弱“點”的危害有限，通過對一系列脆弱點的利用形成攻擊“線”滲透，直至完成攻擊目標，會產生更為嚴重的后果，因此實現入侵意圖和路徑等攻擊“線”信息的評估，分析可能的攻擊路徑，預測潛在的攻擊行為，挖掘關鍵威脅節點，對于安全管理員深入理解攻擊者可能的威脅行為具有重要意義。

在攻擊意圖評價方面，意圖推斷是網絡管理人員實施安全防護的重要手段之一，入侵意圖可能性度量為網絡安全態勢量化提供了數據基礎，通過降低攻擊發生概率，為進一步實施網絡加固和入侵響應提供方法指導，使網絡狀態向安全方向轉移。愛達荷大學的Yu等[34]利用隱彩色Petri網對多種攻擊行為節點進行區分，通過告警關聯預測可能的入侵路徑。MIT林肯實驗室的Sheyner等[35]通過馬爾可夫決策推理，基于條件轉移概率分析非確定性攻擊節點。北京理工大學的彭武等[36]結合時間自動機分析節點狀態和節點間的依賴關系，并推算攻擊成功概率，精準分析攻擊意圖的成功概率。

鮑旭華等[37]利用擴展的有向圖描述單步攻擊的類別及其邏輯關系，依據攻擊鏈的累計權值計算攻擊的可能性，通過對告警信息關聯匹配來識別攻擊意圖。為了提高預測結果的準確性，中科院計算技術研究所的陳小軍等[38]在攻擊圖模型的基礎上構建攻擊狀態轉移概率表，計算多個攻擊步驟間的累積成功概率，用累積概率表征攻擊意圖實現的最大概率，并推斷最大概率攻擊路徑。北京大學的諸葛建偉等[39]借鑒人工智能領域的規劃識別方法，設計基于擴展目標規劃圖的攻擊規劃識別算法，挖掘海量告警信息背后蘊藏的攻擊意圖及規劃。上述研究的重點是如何客觀衡量攻擊狀態間的轉移概率，在此基礎上分析最有可能的攻擊意圖，但實驗攻擊場景僅包含一個攻擊目標，當攻擊場景中包含多個可能的攻擊目標時，研究如何量化不同攻擊目標的期望成功概率，識別最大可能攻擊意圖還有待進一步探究。

在攻擊路徑度量方面，呂慧穎等[40]構建威脅狀態轉移圖描述威脅事件的時空聯系，實時挖掘威脅狀態信息，動態測度入侵路徑。信息工程大學的王碩等[41]和阿根廷國家核心安全研究中心的Sarraute等[42]分別利用改進的Dijkstra算法和Floyd算法分析最短攻擊路徑，有效降低了路徑搜索的時間復雜度。Ortalo等[43]結合攻擊圖分析入侵路徑數量，總數越多表明攻擊意圖的實現手段越豐富。美國諾瓦東南大學Li等[44]利用路徑長度的算術平均值推斷最可能的攻擊路徑長度。為了全面評估路徑長度信息，麻省理工學院的Idika[45]提出一整套基于攻擊圖的多維路徑度量方法，進一步分析了路徑長度的中位值、標準差和模式，通過計算平均值和中位值的差值，發現短攻擊路徑并及時修復，對長度低于2個標準差數量級的路徑提前防范，統計不同路徑長度模式的出現頻率，掌握全網不同攻擊路徑長度的概率分布。Bopche等[46]綜合比較上述度量方法，進一步分析了動態網絡環境中度量結果隨時間的變化規律。北京郵電大學的Dai等[47]利用模糊綜合評估法，通過量化路徑數量和長度，挖掘風險流路徑，但未研究節點的威脅性排序。

IBM公司的Abraham等[48]引入漏洞生命周期刻畫入侵路徑長度隨漏洞發布時間的變化規律，更貼合實際網絡環境。國防科技大學的劉強等[49]通過構造最佳漏洞利用鏈，推測最大可能入侵路徑。加拿大紐布倫斯威克大學的Zhu等[50]通過告警聚類與關聯分析，利用神經網絡技術復原攻擊場景，分析可能的攻擊策略，類似研究還包括路徑數量的評估、平均路徑長度的度量、最短耗時路徑的推測等。Bopche等[51]在上述研究的基礎上，進一步分析了動態網絡環境中度量隨時間的變化規律。密蘇里科技大學的Nayot等[52]通過量化不同攻擊路徑的安全風險，優先阻斷高威脅路徑，但未給出路徑不同主機節點的威脅性排序。

5.3 態勢“面”安全度量

將復雜的攻擊行為信息映射為簡單直觀的安全威脅態勢，于是平“面”化的安全態勢度量應運而生，該類方法通過分析系統的資產、脆弱性、威脅得出其安全風險，從而可以迭代性（以評估輪次為代表）地針對網絡系統開展全方位體檢，進而對其中的高等級安全風險進行預警，提高安全管理員操作的針對性。現有安全態勢度量方法主要可以劃分以下3類。

1) 基于時空序列的方法

該類方法假設網絡面臨的安全威脅變化遵循一定的周期性和規律，通過分析時空維度上安全態勢變化的前因后果，預測后續變化趨勢。Qu等[53]基于多源告警信息融合，分析網絡安全態勢，并運用D-S證據理論量化測度安全態勢，但多證據融合時存在悖論問題。在上述研究中，若攻擊圖節點的發生概率度量不準確，則可能影響攻擊路徑預測的準確性。

為此，中科院信息工程研究所的席榮榮等[54]通過分析告警特征，改進了告警數據源證據的有效性，增強了預測精度，但該方法主要適用于短期預測。楊豪璞等[55]設計了面向網絡多步攻擊的安全態勢評估方法，通過分析攻擊階段，識別攻擊軌跡，重構攻擊場景，量化評估攻擊場景的威脅影響，但未給出網絡安全狀態變化趨勢的分析。中科院軟件研究所劉玉嶺等[56]全面融合網絡環境信息、攻擊方和防護方態勢要素，但未給出態勢變化階段的起止時間節點。自回歸移動平均模型（ARIMA）[57]和指數平滑模型（ES）[58]是2種常用的時間序列預測模型，能夠應用于隨時間平穩變化序列的分析，由于實際網絡中安全事件突發，應用于網絡安全態勢預測時難免產生偏差。

2) 基于圖論的方法

此類方法通過分析網絡脆弱性信息，構建攻擊狀態轉移圖，從入侵者視角出發，結合當前攻擊者狀態信息對未來狀態遷移進行預測。Liu等[59]通過挖掘告警序列，結合隱Markov模型，利用Viterbi算法推測最大可能狀態遷移序列，識別攻擊意圖，但該方法未具體量化網絡風險值。Fredj等[60]應用吸收Markov鏈描述攻擊狀態轉移過程，基于告警關聯分析，識別攻擊意圖，預測攻擊行為，但未考慮歷史攻擊行為信息，其有效性還有待進一步論證。Ghasemigol等[61]研究了安全事件發生的不確定性，提升了預測精度。上述方法從不同維度度量了攻擊行為的特征，但都缺乏對網絡整體安全態勢的量化評估。

3) 基于博弈論的方法

此類方法著重考慮攻防對抗網絡環境，借鑒博弈理論推斷攻防雙方最可能采取的行為策略，在此基礎上綜合分析網絡安全的態勢變化，其優勢在于態勢要素選取最為全面。中國科學院計算技術研究所的Wang等[62]基于網絡拓撲和系統漏洞信息，利用隨機Pertri網設計攻防博弈模型，實現了對攻擊發生概率、平均耗時和可能路徑的評估。中國科學技術大學的張勇等[63]構建了用戶、管理員和威脅三方參與的博弈分析模型，通過構建威脅傳播網絡，總結威脅傳播規律，展示安全威脅的演變趨勢。Chen等[64]設計了Markov博弈模型，基于數據融合方法預測威脅，并感知安全態勢變化。針對電網系統，上海交通大學的Wu等[65]基于大數據分析，結合模糊聚類和博弈論，提出的態勢感知機制顯著提升了預測效果。上述方法未量化態勢變化的具體時間，且未對不同類型的攻擊者進行區分。

6 結束語

隨著攻擊圖技術應用的逐步成熟，基于攻擊圖的網絡安全度量已取得初步研究成果，但如何借鑒攻擊圖科學、準確、全面地度量網絡安全狀態，并為防御決策提供實際指導還有待進一步研究，歸納起來，進一步的研究可以考慮以下幾個問題。

1) 系統脆弱性度量，當前針對脆弱性節點的安全性度量未深入討論脆弱性利用概率隨時間的變化規律，以軟件漏洞為例，現有研究缺乏對漏洞生命周期整體的考慮，后續可以在以下3方面進行改進：①安全漏洞模型側重于漏洞數量預測和漏洞挖掘；②需考慮存在漏洞的軟件廠商，結合該廠商的歷史漏洞發布信息，探索漏洞整個生命周期中的利用概率變化，以便更科學、真實地反映時間維度上的漏洞利用規律；③精難度量漏洞利用對網絡系統造成的威脅影響，結合漏洞生命周期過程，量化評估時間維度上的動態風險，給出更客觀精確的漏洞風險度量方法。

2) 攻擊行為度量，目前的研究側重于豐富度量指標層面，隨著度量維度的不斷細化，度量不準確的問題逐漸顯現，原因在于理論模型基于攻擊者的“單調性”假設，即攻擊者一旦獲取某一攻擊能力將不會再次獲取，因而攻擊路徑不會被重復利用，本質上是一種理想的攻擊場景，事實上，由于攻擊者對網絡結構不熟悉，攻擊者往往選擇最有可能實現的攻擊目標作為入侵意圖，且實際攻擊場景中可能存在重復的狀態轉移行為，產生有向有環攻擊圖，迫切需要對更能反映現實網絡的實際攻擊行為進行建模與度量分析。

3) 攻擊威脅度量，通過對攻擊方、防護方和網絡環境態勢要素的動態關聯，實現多角度、全方位的攻擊行為度量。具體地，在以下3方面有待改進：①考慮不同入侵者的實際漏洞利用能力不同，威脅度量過程應對攻擊者進行有效區分；②現有面向攻擊的安全度量側重于分析攻擊意圖、成功概率和入侵路徑，缺乏入侵各階段發生時間的測度；③如何客觀地度量攻擊對網絡系統產生的潛在影響，設計面向攻擊的安全態勢量化方法還有待進一步探究。

[1] 江健, 諸葛建偉, 段海新,等. 僵尸網絡機理與防御技術[J]. 軟件學報, 2012, 23(1): 82-96.

JIAN J J, ZHUGE J W, DUAN H X, et al. Research on Botnet mechanisms and defenses[J]. Journal of Software, 2012, 23(1): 82-96.

[2] ROBERTS F S. Measurement theory with applications to decisionmaking, utility, and the social sciences[M]. Addison-Wesley Advanced Book Program, 1979.

[3] SADEMIES A. Process approach to information security metrics in Finnish industry and state institutions.[C]//Intrinsic Multiscale Structure and Dynamics in Complex Electronic Oxides. 2004.

[4] 陳長松. 信息安全測量與態勢分析關鍵技術研究[D]. 上海: 上海交通大學, 2012.

CHEN C S. Research on key technologies of information security measurement and situation analysis[D]. Shanghai: Shanghai Jiaotong University, 2012.

[5] OU X, BOYER W F, MCQUEEN M A. A scalable approach to attack graph generation.[C]//ACM Conference on Computer and Communications Security (CCS 2006). 2006:336-345.

[6] SHEYNER O, WING J. Tools for generating and analyzing attack graphs[J]. Lecture Notes in Computer Science, 2003, 3188: 344-372.

[7] OU X, GOVINDAVAJHALA S, APPEL A W. MulVAL: a logic-based network security analyzer[J]. Usenix Security Symposium, 2005: 8.

[8] JAJODIA S, NOEL S. Topological vulnerability analysis: apowerful new approach for network attack prevention, detection, and response[J]. Algorithms, Architectures And Information Systems Security, 2005:285-305.

[9] BEALE J, DERAISON R, MEER H, et al. Nessus network auditing[M]. Elsevier, 2004.

[10] HUSTON B. Skybox view 3.0[J]. Information Security, 2006.

[11] SHEYNER, MIKHAIL O. Scenario graphs and attack graphs[J]. Dissertation Abstracts International, 2004: 65-03.

[12] DANFORTH M. Scalable patch management using evolutionary analysis of attack graphs[C]//Seventh International Conference on Machine Learning and Applications. 2008: 300-307.

[13] DACIER M, DESWARTE Y. Privilege graph: an extension to the typed access matrix model[C]//Computer Security - ESORICS 94, Third European Symposium on Research in Computer Security. 1994:319-334.

[14] PHILLIPS C, SWILER L P. A graph-based system for nework-vulnerability analysis[C]//The 1998 Workshop on New Secruity Paradigms. 1998: 71-79.

[15] CIMATTI A, CLARKE E, GIUNCHIGLIA F, et al. NUSMV: a new symbolic model checker[J]. International Journal on Software Tools for Technology Transfer, 2000, 2(4):410-425.

[16] TEMPLETON S J, LEVITT K. A requires/provides model for computer attacks[C]//The ACM Workshop on New Security Paradigms. 2001:31-38.

[17] 葉云, 徐錫山, 齊治昌, 等. 大規模網絡中攻擊圖自動構建算法研究[J]. 計算機研究與發展, 2013, 50(10):2133-2139.

YE Y, XU X S, QI Z C, et al. Attack graph generation algorithm for large-scale network system[J]. Journal of Computer Research and Development, 2013, 50(10): 2133-2139.

[18] AMMANN P, WIJESEKERA D, KAUSHIK S. Scalable, graph-based network vulnerability analysis[C]//ACM Conference on Computer and Communications Security (CCS 2002). 2002: 217-224.

[19] 陳愷, 馮登國, 蘇璞睿, 等. 一種多周期漏洞發布預測模型[J]. 軟件學報, 2010, 21(9):2367-2375.

CHEN K, FENG D G, SU P R, et al. Multi-cycle vulnerability discovery model for prediction[J]. Journal of Software, 2010, 21(9): 2367-2375.

[20] 聶楚江, 趙險峰, 陳愷, 等. 一種微觀漏洞數量預測模型[J]. 計算機研究與發展, 2011, 48(7):1279-1287.

NIER C J, ZHAO X F, CHEN K, et al. An software vulnerability number prediction model based on micro-parameters[J]. Journal of Computer Research and Development, 2011, 48(7):1279-1287.

[21] 高志偉, 姚堯, 饒飛, 等. 基于漏洞嚴重程度分類的漏洞預測模型[J]. 電子學報, 2013, 41(9):1784-1787.

GAO Z W, YAO Y, RAO F, et al. Predicting model of vulnerabilities based on the type of vulnerability severity[J]. Acta Electronica Sinica, 2013, 41(9):1784-1787.

[22] ARBAUGH WA, FITHEN WL, MCHUGH J. Windows of vulnerability: a case study analysis[J]. Computer, 2000,33(12):52-59.

[23] FREI S. Security econometrics: the dynamics of (in) security[D]. Sissach, Switzerland: ETH Zurich, 2009.

[24] KAANICHE M, MARCONATO GV, NICOMETTE V. Security-related vulnerability life cycle analysis[C]//The 2013 IEEE International Conference on Risk and Security of Internet and Systems. 2013: 1-8.

[25] 宋明秋, 王磊磊, 于博. 基于生命周期理論的安全漏洞時間風險研究[J]. 計算機工程, 2011, 37(1):131-133.

SONG M Q, WANG L L, YU B. Research on time risk of security vulnerability based on lifecycle theory[J]. Computer Engineering, 2011, 37(1):131-133.

[26] JUMRATJAROENVANIT A, TENG-AMNUAY Y. Probability of attack based on system vulnerability life cycle[C]//The 2008 IEEE International Symposium on Electronic Commerce & Security, 2008: 531-535.

[27] JOH H, MALAIYA YK. A framework for software security risk evaluation using the vulnerability lifecycle and CVSS metrics[C]//The 2010 International Workshop on Risk & Trust in Extended Enterprises.2010: 430-434.

[28] SHAHZAD M, SHAFIQ MZ, LIU AX. A large scale exploratory analysis of software vulnerability life cycles[C]//The 2012 IEEE International Conference on Software Engineering. 2012: 771-781.

[29] COX JLAT. Some limitations of “risk= threat× vulnerability× consequence” for risk analysis of terrorist attacks[J]. Risk Analysis, 2008, 28(6):1749-1761.

[30] MKPONG-Ruffin I, UMPHRESS D, HAMILTON J, et al. Quantitative software security risk assessment model[C]//The ACM Workshop on Quality of Protection. 2007: 31-33.

[31] 付志耀, 高嶺, 孫騫, 等. 基于粗糙集的漏洞屬性約簡及嚴重性評估[J]. 計算機研究與發展, 2016, 53(5):1009-1017.

FU ZY, GAO L, SUN Q, et al. Evaluation of vulnerability severity based on rough sets and attributes reduction[J]. Journal of Computer Research and Development, 2016,53(5):1009-1017.

[32] HOUMB SH, FRANQUEIRA VNL, ENGUM EA. Quantifying security risk level from CVSS estimates of frequency and impact[J]. Journal of Systems & Software, 2010,83(9):1622-1634.

[33] 周亮, 李俊娥, 陸天波, 等. 信息系統漏洞風險定量評估模型研究[J]. 通信學報, 2009, 30(2):71-76.

ZAO L, LI J E, LU T B, et al. Research on quantitative assessment model on vulnerability risk for information system[J]. Journal on Communication, 2009,30(2): 71-76

[34] YU D, FRINCKE D. Improving the quality of alerts and predicting intruder’s next goal with hidden colored Petri-net[J]. Computer Networks, 2007, 51(3): 632-654.

[35] SHEYNER O, HAINES J, JHA S, et al. Automated generation and analysis of attack graphs[C]//The 2002 IEEE Symposium on Security and Privacy. 2002: 273-284.

[36] 彭武, 胡昌振, 姚淑萍, 等. 基于時間自動機的入侵意圖動態識別方法[J]. 計算機研究與發展, 2011, 48(7): 1288-1297.

PENG W, HU C Z, YAO S P, et al. A dynamic intrusive intention recognition method based on timed automata[J]. Journal of Computer Research and Development, 2011, 48(7): 1288-1297.

[37] 鮑旭華，戴英俠，馮萍慧, 等. 基于入侵意圖的復合攻擊檢測和預測算法[J]. 軟件學報, 2005, 16(12): 2132-2138.

BAO X H, DAI Y X, FENG P H, et al. A detection and forecast algorithm for multi-step attack based on intrusion intention[J]. Journal of Software, 2005, 16(12): 2132-2138.

[38] 陳小軍, 方濱興, 譚慶豐, 等. 基于概率攻擊圖的內部攻擊意圖推斷算法研究[J]. 計算機學報, 2014, 37(1): 62-72.

CHEN X J, FANG B X, TAN Q F, et al. Inferring attack intent of malicious insider based on probabilistic attack graph model[J]. Chinese Journal of Computers, 2014, 37(1): 62-72.

[39] 諸葛建偉, 韓心慧, 葉志遠, 等．基于擴展目標規劃圖的網絡攻擊規劃識別算法[J]．計算機學報, 2006, 29(8) :1356-1366.

ZHUGE J W, HAN X H, YE Z Y, et al. A network attack plan recognition algorithm based on the extended goal graph[J]. Journal of Computers, 2006, 29(8) :1356-1366.

[40] 呂慧穎, 彭武, 王瑞梅, 等. 基于時空關聯分析的網絡實時威脅識別與評估[J]. 計算機研究與發展, 2014, 51(5): 1039-1049.

LV H Y, PENG W, WANG R M, et al. A real-time network threat recognition and assessment method based on association analysis of time and space[J]. Journal of Computer Research and Development, 2014, 51(5): 1039-1049.

[41] 王碩, 湯光明, 寇廣, 等. 基于因果知識網絡的攻擊路徑預測方法[J]. 通信學報, 2016, 37(10): 188-198.

WANG S, TANG G, KOU G, et al. Attack route prediction method based on causal knowledge[J]. Journal on Communications, 2016, 37(10): 188-198.

[42] SARRAUTE C, RICHARTE G, LUCáNGELI OBES J. An algorithm to find optimal attack routes in nondeterministic scenarios[C]//The 4th ACM Workshop on Security and Artificial Intelligence. 2011: 71-80.

[43] ORTALO R, DESWARTE Y, KAANICHE M. Experimenting with quantitative evaluation tools for monitoring operational security[J]. IEEE Transactions on Software Engineering, 1999, 25(5):633-50.

[44] LI W, VAUGHN R B. Cluster security research involving the modeling of network exploitations using exploitation graphs[C]//IEEE International Symposium on CLUSTER Computing and the Grid. 2006:26.

[45] IDIKA N, BHARGAVA B. Extending attack graph-based security metrics and aggregating their application[J]. IEEE Transactions on Dependable & Secure Computing, 2012, 9(1):75-85.

[46] BOPCHE G S, MEHTRE B M. Graph similarity metrics for assessing temporal changes in attack surface of dynamic networks[J]. Computers & Security, 2016, 64:16-43.

[47] DAI F, HU Y, ZHENG K, et al. Exploring risk flow attack graph for security risk assessment[J]. IET Information Security, 2015, 9(6):344-353.

[48] ABRAHAM S, NAIR S. a predictive framework for cyber security analytics using attack graphs[J]. International Journal of Computer Networks & Communications, 2015, 7(1).

[49] 劉強, 殷建平, 蔡志平, 等. 基于不確定圖的網絡漏洞分析方法[J]. 軟件學報. 2011, 22(6): 1398-1412.

LIU Q, YIN J P, CAI Z P, et al. Uncertain-graph based method for network vulnerability analysis [J]. Journal of Software, 2011, 22(6): 1398-1412.

[50] ZHU B, GHORBANI A A. Alert correlation for extracting attack strategies[J]. International Journal of Network Security, 2006, 3(3): 244-258.

[51] BOPCHE G S, MEHTRE B M. Graph similarity metrics for assessing temporal changes in attack surface of dynamic networks[J]. Computers & Security, 2016, 64:16-43.

[52] NAYOT P, RINKU D, INDRAJIT R. Dynamic security risk management using Bayesian attack graphs[J]. IEEE Trans on Dependable &Secure Computing, 2012, 9(1): 61-74

[53] QU Z Y, LI Y Y, LI P. A network security situation evaluation method based on D-S evidence theory[C]//2010 International Conference on Environmental science and information application technology (ESIAT). 2010: 496-499.

[54] 席榮榮, 云曉春, 張永錚, 等.一種改進的網絡安全態勢量化評估方法[J]. 計算機學報. 2015, 38(4): 749-758.

XI R R, YUN X C, ZHANG Y Z, et al. An improved quantitative evaluation method for network security[J]. Journal of Computers, 2015, 38(4): 749-758.

[55] 楊豪璞，邱輝，王坤. 面向多步攻擊的網絡安全態勢評估方法[J]. 通信學報, 2017, 38(1): 187-198.

YANG H P, QIU H, WANG K, Network security situation evaluation method for multi-step attack[J]. Journal on Communications, 2017, 38(1): 187-198

[56] 劉玉嶺, 馮登國, 連一峰, 等. 基于時空維度分析的網絡安全態勢預測方法[J]. 計算機研究與發展, 2014, 51(8): 1681-1694.

LIU Y L, FENG D G, LIAN Y F, et al. Network situation prediction method based on spatial-time dimension analysis[J]. Journal of Computer Research and Development, 2014, 51(8): 1681-1694.

[57] LINGL J, SUL, WANG H F, et al. An ARIMA-ANN hybrid model for time series forecasting[J]. Systems Research and Behavioral Science, 2013, 30(3): 1092-7026.

[58] GE P, WAMG J, REN P, et al. A new improved forecasting method integrated fuzzy time series with the exponential smoothing method[J]. International Journal of Environment and Pollution, 2013, 51(3/4): 206-221.

[59] LIU S, LIU Y. Network security risk assessment method based on HMM and attack graph model[C]//IEEE/ACIS International Conference on Software Engineering, Artificial Intelligence, Networking and Parallel/Distributed Computing. 2016:517-522.

[60] FREDJ O B. A realistic graph based alert correlation system[J]. Security & Communication Networks, 2015, 8(15):2477-2493.

[61] GHASEMIGOL M, GHAEMI B A, TAKABI H. A comprehensive approach for network attack forecasting[J]. Computers & Security, 2016, 58:83-105.

[62] WANG Y, LI J, MENG K, et al. Modeling and security analysis of enterprise network using attack-defense stochastic game Petri nets[J]. Security & Communication Networks, 2013, 6(1):89-99.

[63] 張勇,譚小彬,崔孝林, 等.基于Markov博弈模型的網絡安全態勢感知方法[J]. 軟件學報, 2011, 22(3): 495-508.

ZHANG Y, TAN X B, CUI X L, et al. Network security situation awareness approach based on Markov game model[J]. Journal of Software, 2011, 22(3): 495-508.

[64] CHEN G, SHEN D, KWAN C, et al. Game theoretic approach to threat prediction and situation awareness[C]//IEEE International Conference on Information Fusion. 2006:1-8.

[65] WU J, OTA K, DONG M, et al. Big data analysis based security situational awareness for smart grid[J]. IEEE Transactions on Big Data, 2016.

Survey of attack graph based network security metric

HU Hao1,2, LIU Yuling3, ZHANGYuchen1,2, ZHANG Hongqi1,2

1. The Third Institute, Information Engineering University, Zhengzhou 450001, China 2. Henan Key Laboratory of Information Security, Zhengzhou 450001, China 3. Trusted Computing and Information Assurance Laboratory, Institute of Software, Chinese Academy of Sciences, Beijing 100190, China

One of the main challenges of network security metrics is how to accurately identify the intrusion of the intruders exploiting the dependence between the vulnerabilities for threat propagation in the target network system as well as to quantify the potential impact on the network system. Because of its superior performance of visual display, the attack graph becomes one of the effective ways to solve the problem. Firstly, the concept, development and general metric models of security metrics were introduced. Secondly, the related researches with respect to attack graph construction, classification and application were discussed. Thirdly, a hierarchical framework for security metric using attack graph was proposed, and then existing methods of network security metric were summarized from three levels (key “point”, attack “line” and situation “plane”). Finally, the difficult issues and development trends for the current research were discussed.

network security metric, attack graph, security vulnerability, alert analysis, quantitative assessment

TP393.8

10.11959/j.issn.2096-109x.2018072

胡浩（1989-），男，安徽池州人，信息工程大學博士生，主要研究方向為網絡安全態勢感知和圖像秘密共享。

劉玉嶺（1982-），男，山東濟陽人，博士，中國科學院軟件研究所副研究員，主要研究方向為網絡安全態勢感知。

張玉臣（1977-），男，河南鄭州人，博士，信息工程大學副教授、碩士生導師，主要研究方向為風險評估、態勢感知和密碼管理。

張紅旗（1962-），男，河北遵化人，博士，信息工程大學教授、博士生導師，主要研究方向為網絡安全、風險評估、等級保護和信息安全管理。

2018-06-15；

2018-08-10

胡浩，wjjhh_908@163.com

國家高技術研究發展計劃（“863”計劃）基金資助項目（No.2015AA016006）；國家重點研發計劃基金資助項目（No.2016YFF0204002, No.2016YFF0204003）；鄭州市科技領軍人才基金資助項目（No.131PLJRC644）；“十三五”裝備預研領域基金資助項目（No.6140002020115）；CCF-啟明星辰“鴻雁”科研計劃基金資助項目（No.2017003）

The National High Technology Research and Development Program of China (863 Program) (No.2015AA016006), The National Key Research and Development Program of China (No.2016YFF0204002, No.2016YFF0204003), The Science and Technology Leading Talent Project of Zhengzhou (No.131PLJRC644), The Equipment Pre-research Foundation During the 13th Five-Year Plan Period (No.6140002020115), The CCF-Venus Hongyan Research Plan (No.2017003)