羅智勇，楊旭，劉嘉輝，許瑞

（哈爾濱理工大學計算機科學與技術(shù)學院，黑龍江 哈爾濱 150080）

1 引言

信息技術(shù)的飛速發(fā)展，使現(xiàn)代社會對互聯(lián)網(wǎng)更加依賴，但是也使網(wǎng)絡(luò)攻擊更加復雜，更具有危害性。傳統(tǒng)的入侵檢測系統(tǒng)（IDS,intrusion detection system）只能在攻擊發(fā)生后對節(jié)點漏洞間的依賴關(guān)系進行分析，進而監(jiān)控攻擊行為，這屬于被動防御[1]。因此IDS無法對網(wǎng)絡(luò)進行系統(tǒng)的安全風險評估，針對未知網(wǎng)絡(luò)中潛在的風險，如軌跡隱蔽的多部攻擊進行有效防護[2]。20世紀90年代，Phillips等[3]最早提出了攻擊圖的概念，利用受攻擊節(jié)點的配置信息、節(jié)點間的因果關(guān)系和攻擊者的能力生成攻擊圖，并將其應用于對網(wǎng)絡(luò)脆弱性的分析。攻擊圖是一種由頂點和有向邊組成的有向圖，根據(jù)模型的不同，頂點可以表示主機、服務、漏洞、權(quán)限、網(wǎng)絡(luò)安全狀態(tài)的要素，有向邊表示攻擊者攻擊路徑的攻擊順序[4]。攻擊圖可以直觀地圖形化地展示攻擊行為的細節(jié)，如目標網(wǎng)絡(luò)、漏洞、攻擊路徑等[5]，為預測攻擊者的攻擊意圖和后續(xù)攻擊行為提供支撐，便于管理員及時應對突發(fā)的網(wǎng)絡(luò)入侵事件[6]。

胡浩等[7]提出的狀態(tài)轉(zhuǎn)移概率歸一化算法將攻擊圖映射為吸收馬爾可夫鏈，利用馬爾可夫鏈的馬爾可性和漏洞評分系統(tǒng)計算狀態(tài)轉(zhuǎn)移概率，對各個節(jié)點的可能訪問次數(shù)和通向目標節(jié)點的路徑長度做出預測。雷程等[8]為了對網(wǎng)絡(luò)中的移動目標進行防御并計算出成本和收益，利用攻擊圖建立分層網(wǎng)絡(luò)資源圖，結(jié)合變點檢測方法，提出了一種基于變點檢測的網(wǎng)絡(luò)移動目標防御效能評估方法，有效提高了網(wǎng)絡(luò)資源圖的構(gòu)建效率。Hu等[9]利用不同維度的告警信息和實時攻擊行為，計算出漏洞利用率，評估攻擊者的能力，提出基于動態(tài)貝葉斯攻擊圖的威脅預測算法，實現(xiàn)量化網(wǎng)絡(luò)威脅和遭受持續(xù)攻擊的風險。王輝等[10]利用貝葉斯理論計算各節(jié)點的可達概率，描述單步攻擊發(fā)生概率，動態(tài)預測網(wǎng)絡(luò)中潛在的風險，結(jié)合攻擊圖提出一種基于改進型攻擊圖的入侵預測算法，簡化告警證據(jù)和攻擊行為的聯(lián)系，提高預測的準確性。秦虎等[11]用矩陣描述主機間的關(guān)系和狀態(tài)轉(zhuǎn)移過程中攻擊者權(quán)限的提升，提出一種基于權(quán)限提升矩陣的攻擊圖生成方法，該方法對于復雜網(wǎng)絡(luò)的攻擊圖生成問題具有更好的適應性。

上述研究基于攻擊圖建立了不同的網(wǎng)絡(luò)安全風險評估模型，但對于原子攻擊概率的評估指標過于單一，無法真實地反映攻擊者對目標網(wǎng)絡(luò)和攻擊路徑選擇的可能性，且沒有針對攻擊者的意圖量化網(wǎng)絡(luò)節(jié)點的風險情況。本文基于貝葉斯攻擊圖建立了一種動態(tài)網(wǎng)絡(luò)入侵意圖分析模型，主要工作和創(chuàng)新如下。

1)考慮到影響攻擊者攻擊行為的復雜因素，從漏洞價值、攻擊成本和攻擊收益3個指標對原子攻擊概率進行計算，更真實地反映了漏洞在實際網(wǎng)絡(luò)中被利用的情況。

2)將貝葉斯信念網(wǎng)絡(luò)和攻擊圖結(jié)合，針對攻擊者的攻擊意圖，建立動態(tài)風險評估模型應對安全要素不斷變化的復雜網(wǎng)絡(luò)，提高了風險評估的準確性。

3)生成攻擊路徑并計算出路徑總體可達概率，實現(xiàn)對攻擊路徑的預測，避免了單個網(wǎng)絡(luò)節(jié)點漏洞對路徑選擇的影響，提高了預測的準確性。

2 貝葉斯攻擊圖建立

攻擊圖可以分為狀態(tài)攻擊圖和屬性攻擊圖。狀態(tài)攻擊圖中頂點表示網(wǎng)絡(luò)狀態(tài)信息，邊表示狀態(tài)的遷移方向和過程，但是狀態(tài)攻擊圖無法應對快速增長的狀態(tài)節(jié)點，并且結(jié)構(gòu)上不夠直觀，因此不適用于大規(guī)模網(wǎng)絡(luò)。屬性攻擊圖中每個屬性頂點代表一個獨立的安全要素，避免了狀態(tài)攻擊圖的狀態(tài)爆炸問題[12]，因此，屬性攻擊圖對復雜的大規(guī)模網(wǎng)絡(luò)具有更好的適應性。為了計算出攻擊圖中頂點到達概率和可能的攻擊路徑，本文利用貝葉斯信念網(wǎng)絡(luò)來描述攻擊間的因果關(guān)系，結(jié)合攻擊圖的圖形化結(jié)構(gòu)，生成貝葉斯攻擊圖對目標網(wǎng)絡(luò)進行風險評估。

2.1 貝葉斯攻擊圖定義

貝葉斯攻擊圖（BAG,Bayesian attack graph）是一個有向無環(huán)圖，可以表示為BAG=(S,A,E,R,P)，具體定義如下。

1)S為屬性節(jié)點集合，分為三類，即S=Sstart∪Stransition∪Starget，其中，Sstart為網(wǎng)絡(luò)攻擊的發(fā)起節(jié)點，Stransition為攻擊行為的過程節(jié)點，Starget為攻擊者的目標節(jié)點。其中，Si={0,1}，1表示攻擊者已經(jīng)成功利用該屬性節(jié)點漏洞占用該節(jié)點，0表示該節(jié)點未被占用。

2)A={Ai|i=1,2,…,n}為原子攻擊集合，表示攻擊者對節(jié)點漏洞的攻擊行為，即屬性節(jié)點的遷移方式，可表示為Ai:Spre→Snext。

3)E={Ei|i=1,2,…,n}為攻擊圖中的有向邊集合，表示屬性節(jié)點間攻擊行為的因果關(guān)系，其中(Spre，Snext)∈Ei表示從Spre攻擊Snext的一條有向邊。

4)R表示父子屬性節(jié)點間的關(guān)系，可用二元組表示，其中dj∈{AND,OR}。AND表示只有到達Sj的所有父節(jié)點狀態(tài)為真，攻擊才能完成；OR表示只要其中一個父節(jié)點狀態(tài)為真即可。

5)P為攻擊圖中屬性節(jié)點的可達概率；P1為攻擊圖中節(jié)點屬性的靜態(tài)可達概率；P2為攻擊圖中節(jié)點屬性的動態(tài)可達概率。

2.2 貝葉斯攻擊圖結(jié)構(gòu)建立

貝葉斯攻擊圖的結(jié)構(gòu)與一般攻擊圖的結(jié)構(gòu)類似，本文采用模型化方法生成攻擊圖的主要結(jié)構(gòu)，示例如圖1所示。

圖1中，S0為攻擊的發(fā)起節(jié)點，S1和S2為過程屬性節(jié)點，S3和S4為攻擊者的目標網(wǎng)絡(luò)節(jié)點，A1、A2、A3、A4、A5、A6為原子攻擊。AND表示原子攻擊A5和A6到達S4的攻擊策略全部為真，攻擊才可實現(xiàn)；OR表示原子攻擊A3和A4到達S3的攻擊策略只要有一個為真，攻擊就可實現(xiàn)，即圖例所示2條攻擊路徑完成其中任意一個，就可完成對目標節(jié)點S3的攻擊。

圖1 貝葉斯攻擊圖示例

2.3 貝葉斯攻擊圖量化

2.3.1漏洞價值

漏洞價值與該屬性節(jié)點漏洞被利用的難易程度和影響大小有關(guān)，一般采用美國國家通用漏洞數(shù)據(jù)庫（NVD,national vulnerability database）提供的通用漏洞評分系統(tǒng)（CVSS,common vulnerability scoring system）[13]進行量化。CVSS能提供完整的評分參數(shù)和開放的評分框架，將動態(tài)評估和屬性節(jié)點間漏洞的依賴關(guān)系結(jié)合，量化漏洞被利用的難易程度。本文根據(jù)CVSS量化標準，從可利用性、影響度和范圍3個指標進行量化，其中，可利用性包括攻擊途徑（AV,access vector）、攻擊復雜度（AC,access complexity）、權(quán)限要求（PR,privileges required）和用戶驗證（UI,user interaction）；影響度包括機密性（C,confidentiality）、完整性（I,integrity）和可用性（A,availability）；范圍表示漏洞的影響是否會擴大到其他組件。CVSS指標評分如表1所示。

攻擊者攻擊漏洞時會依據(jù)漏洞的可利用性和影響度兩方面來考慮漏洞價值，所以為了量化漏洞價值，首先計算出代表漏洞價值的漏洞評分Score，其計算式為

其中，Impact表示漏洞影響因子，Exp表示漏洞利用因子，ISC表示中間變量，常數(shù)10表示Score的最大取值為10，其他常系數(shù)取值由CVSS根據(jù)安全策略進行設(shè)置。

表1 CVSS指標評分

定義1漏洞價值表示攻擊者利用某漏洞的可能性對于漏洞vi，用value(vi)表示其漏洞價值，大小與漏洞評分有關(guān)。由于CVSS標準的漏洞評分取值范圍是[0,10]，為了方便后續(xù)概率的計算，value(vi)的計算式為

2.3.2攻擊成本與收益

攻擊者對某網(wǎng)絡(luò)節(jié)點發(fā)起攻擊時，不僅會考慮該節(jié)點漏洞的價值，還會考慮攻擊該節(jié)點的成本與攻擊完成后所帶來的收益。攻擊的成本與收益不會影響節(jié)點間原本的狀態(tài)轉(zhuǎn)移性質(zhì)，但是會影響攻擊者對攻擊節(jié)點的選擇，一個理性的攻擊者會選擇攻擊成本低、收益高的節(jié)點。本文參考馬春光等[14]的方法對攻擊成本與收益進行定義。

定義2攻擊者在發(fā)起一次攻擊行為時，會投入人力資源、物力資源、攻擊代價等必要的成本，對于原子攻擊Ai，用cost(Ai)表示該次攻擊所消耗的成本，即攻擊成本。

本文從攻擊代碼信息（SI,shellcode information）、攻擊代碼對應平臺（SP,shellcode platform）、攻擊操作需求（Or,operation requirement）、信息收集需求（IR,information requirement）4個指標對攻擊成本進行評估，具體評分如表2所示。

表2 攻擊成本評分指標

利用SI、SP、Or、IR這4個指標的評分可以對攻擊成本進行量化，計算式為

定義3對于某一原子攻擊Ai，攻擊者通過該攻擊完成對節(jié)點的攻擊時，所能獲得的收益稱為攻擊收益，用income(Ai)表示，具體評分如表3所示。

表3 攻擊收益評分指標

攻擊完成后的屬性節(jié)點最終狀態(tài)價值等同于該次攻擊的收益income(Ai)，本文給出的每個最終狀態(tài)價值評分是一個范圍值，在不同實際運行的網(wǎng)絡(luò)環(huán)境中，具體的值可由管理員根據(jù)經(jīng)驗來賦值。

2.3.3原子攻擊概率

綜合對節(jié)點漏洞價值、攻擊成本與收益的量化，可以計算出攻擊者在當前屬性節(jié)點對其子節(jié)點發(fā)起攻擊的概率，即某一原子攻擊的概率，取值范圍為[0,1]。當攻擊概率為0時表示該次攻擊對于攻擊者無收益，攻擊者不會發(fā)動攻擊；攻擊概率為1時表示該次攻擊可獲得的收益遠遠大于成本，攻擊者必定會發(fā)起攻擊。

定義4攻擊者通過漏洞vi完成一次原子攻擊Aj的概率稱為原子攻擊概率，用P(Aj)表示，計算式為

2.3.4條件概率

在攻擊圖中，屬性節(jié)點并非是獨立的，能否被占用還受其父節(jié)點的影響，所以需要計算該節(jié)點在整個攻擊圖中的條件概率。

定義5條件概率表示某屬性節(jié)點在其父節(jié)點的影響下被攻擊的可能性，對于屬性節(jié)點Sj，條件概率用P(Sj|Par(Sj))表示，其中Par(Sj)表示Sj的父節(jié)點集合。根據(jù)dj的不同，條件概率的計算式分別如式(5)和式(6)所示。

1)當dj=AND時，有

2)當dj=OR時，有

2.3.5靜態(tài)可達概率

利用貝葉斯攻擊圖中全部屬性節(jié)點的條件概率，可計算出每個節(jié)點的可達概率，即靜態(tài)可達概率。靜態(tài)可達概率可以對網(wǎng)絡(luò)風險進行靜態(tài)評估，展示網(wǎng)絡(luò)的靜態(tài)風險情況。

定義6靜態(tài)可達概率表示靜態(tài)網(wǎng)絡(luò)中各個屬性節(jié)點的可達概率，是當前節(jié)點與其祖先節(jié)點的聯(lián)合條件概率，即對于Sj∈Stransition∪Starget，用P1(Sj)表示該節(jié)點的靜態(tài)可達概率，計算式為

在圖1中，屬性節(jié)點S1、S2的靜態(tài)可達概率由其條件概率結(jié)合S0靜態(tài)可達概率計算得出。屬性節(jié)點S3的靜態(tài)可達概率同樣依賴S1、S2的靜態(tài)可達概率，具體如圖2所示。

圖2 貝葉斯攻擊圖漏洞利用概率

S1、S2、S3的靜態(tài)可達概率為

2.3.6動態(tài)可達概率

網(wǎng)絡(luò)并非是靜態(tài)的，任何網(wǎng)絡(luò)安全要素的變化都會影響到靜態(tài)可達概率，當攻擊者的攻擊意圖已知（即Starget=1）時，整個攻擊圖中屬性節(jié)點的可達概率都可能隨之發(fā)生改變，所以為了針對攻擊者的意圖量化網(wǎng)絡(luò)風險，需要結(jié)合已知目標屬性節(jié)點來更新其他節(jié)點的可達概率。

定義7將貝葉斯攻擊圖中屬性節(jié)點集合S={Si|i=1,2,…,n}分為目標節(jié)點集合Supdate={Sj∈S|Sj=0}和需要更新的節(jié)點集合Starget=S-Supdate。動態(tài)可達概率表示已知目標節(jié)點為Sa(Sa∈Starget)后，對更新集中節(jié)點Sb(Sb∈Supdate)的可達概率進行動態(tài)更新后的概率，用P2(Sb|Starget)表示，計算式為

在圖1中，假設(shè)已知攻擊者的目標屬性節(jié)點為S3，則屬性節(jié)點S2的動態(tài)可達概率為

3 貝葉斯攻擊圖風險分析方法

3.1 靜態(tài)風險評估

計算出屬性節(jié)點的條件概率和靜態(tài)可達概率后，可在原始攻擊圖的基礎(chǔ)上構(gòu)建靜態(tài)風險評估模型，靜態(tài)風險評估可以評估網(wǎng)絡(luò)中的潛在風險，構(gòu)建算法如算法1所示。

3.2 動態(tài)風險評估

現(xiàn)實的復雜網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全要素會隨著網(wǎng)絡(luò)的運行不斷發(fā)生變化，在知道攻擊者的攻擊目標時，靜態(tài)風險評估的準確率會降低。因此，必須結(jié)合根據(jù)貝葉斯理論計算出的動態(tài)可達概率不斷更新屬性節(jié)點的可達概率，構(gòu)建動態(tài)風險評估模型。構(gòu)建算法如算法2所示。

3.3 攻擊路徑生成

對網(wǎng)絡(luò)進行入侵風險評估時，需要針對攻擊者的意圖預測出攻擊者可能發(fā)起攻擊的攻擊路徑。依據(jù)3.2節(jié)和3.3節(jié)中的攻擊圖算法，以目標節(jié)點為起點，自下向上查找，得到可對此目標節(jié)點發(fā)起攻擊的攻擊路徑。需要注意的是，對于某一目標節(jié)點Si，如果其有3個父節(jié)點且父子間得依賴關(guān)系是OR時，需要再生成2條攻擊路徑來容納另外2個父節(jié)點，即通向該節(jié)點的路徑至少有3個。

定義8攻擊路徑表示在生成的貝葉斯攻擊圖中，入侵者可由初始屬性節(jié)點Sstart沿著一組屬性節(jié)點入侵至目標節(jié)點Starget，則該組節(jié)點組成的路徑為貝葉斯攻擊圖的一條攻擊路徑APi，攻擊圖中的攻擊路徑集合記為Attack Path，具體算法如算法3所示。

定義9為了比較不同路徑被攻擊者攻擊的概率，將某條路徑上所有節(jié)點的可達概率進行乘積運算，其積為該路徑的總體可達概率，即對于APi，總體可達概率計算式為

4 實驗分析與優(yōu)化評估

4.1 實驗建立

為了驗證基于貝葉斯攻擊圖的入侵意圖分析模型的準確率，本文建立了如圖3所示的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。該結(jié)構(gòu)主要包含D1域、D2域、D3域和DMZ域，通過安裝防火墻劃分網(wǎng)絡(luò)區(qū)域，并制定子網(wǎng)間的通信規(guī)則，保證外部訪問無法到達內(nèi)網(wǎng)區(qū)域。具體訪問規(guī)則介紹如下。

圖3 實驗網(wǎng)絡(luò)拓撲結(jié)構(gòu)

1)D1域內(nèi)只有主機H6可以訪問SQL數(shù)據(jù)庫。

2)D2域內(nèi)只有主機H9可以訪問SQL數(shù)據(jù)庫。

3)D1域和D2域的主機可以與DMZ域內(nèi)的服務器相互訪問。

4)D1域訪問D2域只能通過主機H6訪問主機H7。

5)域內(nèi)主機可以相互訪問，禁止其他跨域訪問。

4.2 攻擊圖生成

利用OVAL漏洞掃描器對實驗網(wǎng)絡(luò)進行掃描，得到各主機與服務器存在的漏洞信息，并利用式(1)和式(2)計算出漏洞價值，如表4所示。

表4 漏洞信息和漏洞價值

在圖3的實驗網(wǎng)絡(luò)中，SQL數(shù)據(jù)庫服務器存在著重要數(shù)據(jù)，可以將H12看作攻擊者的入侵意圖，利用掃描到的漏洞信息、漏洞間的關(guān)系、主機與服務器信息、網(wǎng)絡(luò)配置等數(shù)據(jù)生成并輸出圖形化的攻擊圖，如圖4所示。

圖4 實驗環(huán)境下的攻擊圖

圖4所示的攻擊圖中，屬性節(jié)點表示主機信息或者漏洞信息，原子攻擊表示屬性節(jié)點狀態(tài)遷移的方式。當某一節(jié)點擁有多個父節(jié)點時，父子節(jié)點間的關(guān)系全為OR，即dj=OR。

4.3 風險評估

為了計算出不同原子攻擊的概率，首先要計算出對應的攻擊成本。根據(jù)表2的評分標準，利用式(3)可以計算出攻擊圖中每次原子攻擊的消耗成本，如圖5所示。

圖5 原子攻擊成本

將計算出的攻擊成本與表4所示漏洞價值以及實驗攻擊圖中原子攻擊的收益代入式(4)，計算出各個原子攻擊概率，如圖6所示。

圖6 原子攻擊概率

結(jié)合圖6中獲得的攻擊圖上每個原子攻擊的概率，計算出每個屬性節(jié)點的條件概率，再利用條件概率聯(lián)合攻擊軌跡依據(jù)算法1得出各個節(jié)點的靜態(tài)可達概率，對實驗網(wǎng)絡(luò)進行靜態(tài)風險評估。其中，節(jié)點S0的靜態(tài)可達概率初始化為P(S0)=0.7。確定攻擊目標為S8后，按照3.3節(jié)提出的算法2和式(8)對攻擊圖中各個屬性節(jié)點的可達概率進行更新，得到動態(tài)風險評估攻擊圖中各個節(jié)點的動態(tài)可達概率。其中，每個節(jié)點的靜態(tài)可達概率和動態(tài)可達概率分布如圖7所示。

圖7 屬性節(jié)點可達概率

在知道攻擊者的目標節(jié)點后，實驗網(wǎng)絡(luò)中各個屬性節(jié)點的可達概率都呈現(xiàn)上升趨勢，即網(wǎng)絡(luò)的入侵風險有明顯的提升，目標節(jié)點S8的可達概率也由47%上升到62%，中間屬性節(jié)點S2、S7的被入侵風險最高，需要采取措施更新主機補丁。所以在真實的網(wǎng)絡(luò)環(huán)境中，動態(tài)評估方法對網(wǎng)絡(luò)風險評估的準確性明顯高于靜態(tài)評估，可以為管理員進行網(wǎng)絡(luò)風險管理提供良好的支撐。

4.4 攻擊路徑

利用算法3對圖4所示的攻擊圖進行查找，得到7條攻擊路徑，如表5所示。

表5 攻擊路徑

利用式(9)計算出每條路徑在靜態(tài)攻擊圖和動態(tài)攻擊圖中的總體可達概率，如圖8所示。從圖8可以看到，無論在靜態(tài)模型還是動態(tài)模型中，攻擊路徑AP2被入侵的風險最高。當明確攻擊者的目標后，各條路徑的總體可達概率均有所提高，特別是攻擊路徑AP4，通過該條路徑入侵節(jié)點S8的風險已經(jīng)接近AP2。數(shù)據(jù)表明，在確定攻擊者的意圖后，網(wǎng)絡(luò)風險發(fā)生了變化，動態(tài)風險評估能夠更加準確地分析網(wǎng)絡(luò)風險。

圖8 攻擊路徑總體可達概率

4.5 方法對比

攻擊圖中各屬性節(jié)點的可達概率是對網(wǎng)絡(luò)安全風險評估的主要指標，攻擊路徑的預測可以為網(wǎng)絡(luò)管理員提供入侵防御依據(jù)。為了驗證本文模型的優(yōu)越性，在同樣的網(wǎng)絡(luò)環(huán)境下，分別給出文獻[15]方法、文獻[16]方法與本文方法的實驗數(shù)據(jù)對比。

圖9給出了同樣在圖5所示的網(wǎng)絡(luò)環(huán)境下，3種方法中不同屬性節(jié)點的動態(tài)可達概率分布。文獻[15]和文獻[16]的評估模型也是采用貝葉斯信念網(wǎng)絡(luò)來描述網(wǎng)絡(luò)攻擊行為間的因果關(guān)系，但是由于其對漏洞的評估指標過于單一，且沒有考慮到攻擊的成本與收益，導致二者的漏洞利用率并沒有真實地反映網(wǎng)絡(luò)中漏洞的被利用情況。由圖9可以看出，本文評估模型的準確性明顯優(yōu)于二者，因為本文從多個指標對原子攻擊概率進行計算，評估更加準確。

預測攻擊者實施攻擊行為的攻擊路徑選擇是對網(wǎng)絡(luò)風險的進一步分析。本文分別利用3種方法進行攻擊路徑的預測，在相同網(wǎng)絡(luò)環(huán)境下，預測攻擊者對目標節(jié)點所選擇的攻擊路徑。圖10展示了3種方法分別在靜態(tài)網(wǎng)絡(luò)和動態(tài)網(wǎng)絡(luò)下對目標節(jié)點S8預測被攻擊路徑的總體可達概率對比。

圖10 預測路徑可達概率對比

雖然3種方法都對攻擊者可能利用的攻擊路徑進行了預測，但是很明顯，本文方法預測的路徑總體可達概率高于另外二者。這是因為，首先，二者對于原子攻擊概率的量化過于單一，導致屬性節(jié)點的可達概率計算并不準確。其次，二者預測攻擊路徑的方法是從目標節(jié)點開始，不斷向上查找可達概率最大的屬性節(jié)點，但是忽略了單個節(jié)點對攻擊路徑預測的影響。例如，通向某目標節(jié)點有2條攻擊路徑，其中各屬性節(jié)點可達概率分別是(0.9,0.9,0.5,0.4,0.3)和(0.7,0.7,0.6,0.4,0.3)，如果按照文獻[15]和文獻[16]方法預測的結(jié)果應該為后者，但是從整體性上考慮，攻擊者對攻擊路徑的選擇應該更傾向于前者。

5 結(jié)束語

為了保護重要的網(wǎng)絡(luò)節(jié)點，針對攻擊意圖量化網(wǎng)絡(luò)安全風險，給網(wǎng)絡(luò)安全管理員提供安全策略支撐，提出了一種基于貝葉斯攻擊圖的網(wǎng)絡(luò)入侵意圖分析方法。首先，利用漏洞價值、攻擊成本和收益3個評估指標計算出原子攻擊概率，通過原子攻擊概率得到靜態(tài)可達概率和動態(tài)可達概率量化攻擊圖，構(gòu)建基于入侵意圖的風險分析模型；其次，利用構(gòu)建的風險分析模型計算出每條攻擊路徑總體可達概率，預測可能的攻擊路徑；最后，從屬性節(jié)點的可達概率和預測路徑的總體可達概率2個方面和其他文獻的評估方法進行對比，驗證本文方法的優(yōu)越性。在實際網(wǎng)絡(luò)中，漏洞間的關(guān)聯(lián)性也會影響原子攻擊的概率，下一步將對此展開研究，優(yōu)化網(wǎng)絡(luò)入侵風險評估模型。