基于時間-概率攻擊圖的網絡安全評估方法

仇銘陽，賽 煜，王 剛*，孟慶微

（1.空軍工程大學信息與導航學院，西安 710077；2.濟南職業學院，濟南 250101）

0 引言

隨著網絡攻防對抗的日益加劇，針對重要工作部門、科研單位等重要企業級網絡的APT 攻擊也逐漸增加。但考慮時間、成本和管控水平差異等因素，難以修補所有可能被攻擊方利用的漏洞或后門做到萬無一失。合理地定性定量評估網絡的安全性能，能為網絡風險可管可控提供理論支持，為防御技術的部署提供參考，對于保障網絡空間安全有著重要的理論與實踐意義。

目前針對漏洞攻擊研究主要分為兩種，一種是通過CVSS（Common Vulnerability Scoring System）評分體系將已知漏洞攻防過程量化并通過量化結果進行風險評估從而進行有效防控。這類研究能夠從漏洞復雜性和可用性等角度對漏洞進行評估，能夠很好地反映漏洞可能造成的風險。然而，攻擊過程中，漏洞的利用往往不是孤立的，不同網絡和不同攻擊模式下，漏洞利用次序和難度也不相同，同一漏洞可能造成的危害也不相同，因此，具體漏洞應當具體問題具體分析。

另一種則是通過研究攻擊者的攻擊意圖從而針對性地進行布防，目前應用最為廣泛的方法是通過圖的形式建立單步攻擊之間的關系。該方法將攻擊過程抽象為有向圖，節點表示漏洞或者資源，邊表示漏洞利用次序或者相應的權限控制。Dacier 等在文獻［5］首次提出特權圖的方法，通過特權圖將黑客獲取訪問權限的過程可視化，更加便于防御方掌握攻擊步驟從而有效應對。……