劉文彥，霍樹民，仝青，張淼，齊超

?

網(wǎng)絡(luò)安全評估與分析模型研究

劉文彥，霍樹民，仝青，張淼，齊超

（國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，河南 鄭州 450002）

網(wǎng)絡(luò)安全評估有助于清楚掌握其網(wǎng)絡(luò)信息系統(tǒng)目前與未來的風(fēng)險所在，并給出相應(yīng)的安全建議和對策。網(wǎng)絡(luò)安全評估與分析模型是其中重要的研究方向和內(nèi)容，當(dāng)前尚無對此進行全面總結(jié)和分析的綜述文章。對常用的網(wǎng)絡(luò)安全評估與分析模型進行綜述，首先介紹了以攻擊為中心的模型，如攻擊樹、攻擊圖、攻擊鏈等；然后闡述以防御或攻防交互為中心的模型，如攻擊面、網(wǎng)絡(luò)傳染病、Petri網(wǎng)、自動機等，對這些模型，分別介紹了其基本概念、適用領(lǐng)域、建模分析過程以及優(yōu)勢和不足，同時給出數(shù)個典型案例說明模型在網(wǎng)絡(luò)防御技術(shù)評估分析中的應(yīng)用。

網(wǎng)絡(luò)安全；模型；有效性；評估與分析

1 引言

網(wǎng)絡(luò)安全評估對建立安全的網(wǎng)絡(luò)信息系統(tǒng)是一種非常有價值的方法，也是網(wǎng)絡(luò)安全主動防御中的一項重要基礎(chǔ)支撐技術(shù)，可以有效地發(fā)現(xiàn)系統(tǒng)中的安全缺陷，對網(wǎng)絡(luò)安全技術(shù)的研究具有重要的意義，是目前的研究熱點和難題之一，而網(wǎng)絡(luò)安全評估模型并基于該模型進行安全分析是其中重要的研究內(nèi)容。雖然網(wǎng)絡(luò)安全技術(shù)已經(jīng)有幾十年的發(fā)展歷程，但無論是學(xué)術(shù)界還是產(chǎn)業(yè)界尚沒有統(tǒng)一的方法對各類安全技術(shù)進行安全評估和分析。目前，網(wǎng)絡(luò)安全評估主要有4類方法[1]：基于安全評估標(biāo)準(zhǔn)、資產(chǎn)價值、弱點檢測和網(wǎng)絡(luò)安全模型的評估方法。其中，在學(xué)術(shù)研究領(lǐng)域用得比較多的是基于網(wǎng)絡(luò)安全模型的評估方法?；谀Ｐ偷姆椒梢愿由钊氲乩斫饩W(wǎng)絡(luò)中防御的行為特征、攻防過程，為網(wǎng)絡(luò)系統(tǒng)安全體系的構(gòu)建提供科學(xué)依據(jù)，進而提升網(wǎng)絡(luò)系統(tǒng)應(yīng)對復(fù)雜網(wǎng)絡(luò)環(huán)境下各種突發(fā)網(wǎng)絡(luò)攻擊事件的生存能力。即基于模型的評估分析方法中的安全模型可以表達系統(tǒng)行為和狀態(tài)，可根據(jù)模型產(chǎn)生測試?yán)?，從而達到對系統(tǒng)整體的安全進行評估的目的。本文從學(xué)術(shù)研究的角度重點介紹基于模型的評估與分析方法及其使用。

本文通過分析大量的學(xué)術(shù)論文和著作，調(diào)研已有研究，給出了一些常用的評估分析模型。目前，對網(wǎng)絡(luò)安全進行分析的主要模型有攻擊樹（attack tree）、攻擊圖（attack graph）、攻擊鏈（kill chain）、攻擊面（attack surface）、網(wǎng)絡(luò)傳染病模型（cyber epidemic model）、Petri網(wǎng)（Petri net）、自動機（automation machine）等，這些方法有助于分析網(wǎng)絡(luò)攻防過程及在攻防過程中的系統(tǒng)變化和系統(tǒng)安全性能，對網(wǎng)絡(luò)防御具有較好的指導(dǎo)作用。例如，給定一個網(wǎng)絡(luò)防御系統(tǒng)，從某一角度或利用某一手段對其進行定性或定量的計算得到系統(tǒng)的安全性，即抵抗網(wǎng)絡(luò)攻擊的能力以及攻擊者可能的攻擊途徑，同時基于模型分析的結(jié)果指導(dǎo)防御系統(tǒng)的設(shè)計和改進。這些模型常見于各類論文中，也有不少研究者以此為方向開展課題研究，同時也有一些文章對部分模型進行簡單的分析。如高翔[2]在其博士論文中簡單介紹了攻擊樹模型、攻擊圖模型、有限狀態(tài)機模型、Petri網(wǎng)模型和博弈論模型，《信息網(wǎng)絡(luò)安全測試與評估》[3]一書對網(wǎng)絡(luò)攻擊建模中的攻擊樹、攻擊圖和攻擊網(wǎng)進行了分析和總結(jié)，類似的研究還有文獻[1,4,5]。但目前已有文獻對上述模型的分析存上一定的局限性。因此本文以此為切入點，在已有文獻的基礎(chǔ)上介紹網(wǎng)絡(luò)安全評估與分析常用模型，及其簡單應(yīng)用。

2 網(wǎng)絡(luò)安全目標(biāo)（屬性）和指標(biāo)

在介紹具體的模型之前，首先介紹網(wǎng)絡(luò)安全評估的屬性和指標(biāo)?；谀Ｐ偷木W(wǎng)絡(luò)安全評估首先要明確分析目的。網(wǎng)絡(luò)安全目標(biāo)（屬性）及指標(biāo)在網(wǎng)絡(luò)信息系統(tǒng)設(shè)計中具有重要的指導(dǎo)意義。其中，網(wǎng)絡(luò)安全目標(biāo)（屬性）是網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)的出發(fā)點，而網(wǎng)絡(luò)安全評價指標(biāo)是網(wǎng)絡(luò)安全（風(fēng)險）評價的工具，是反映評價對象安全目標(biāo)（屬性）的指示標(biāo)志，評價指標(biāo)的選取和建立是進行綜合評價的前提和基礎(chǔ)[3,6]。

網(wǎng)絡(luò)安全基本目標(biāo)就是保證網(wǎng)絡(luò)系統(tǒng)的3個基本安全屬性得以實現(xiàn)，即機密性（confidentiality）、完整性（integrity）和可用性（availability），簡稱為CIA三合一基本原則。CIA是所有組織在制定信息安全標(biāo)準(zhǔn)時的出發(fā)點。通俗地講，安全目標(biāo)就是實現(xiàn)網(wǎng)絡(luò)信息的可信、可控、可用，這些也是網(wǎng)絡(luò)安全的基本特征。根據(jù)有關(guān)網(wǎng)絡(luò)安全的文獻和著作，除上述3個屬性外，網(wǎng)絡(luò)安全目標(biāo)還有其他一些屬性，如可靠性、可控性、不可抵賴性、可審查性等[2]。

但是，簡單直接地以網(wǎng)絡(luò)安全目標(biāo)（屬性）來評估網(wǎng)絡(luò)安全十分困難。網(wǎng)絡(luò)安全評估指標(biāo)是對網(wǎng)絡(luò)安全目標(biāo)的內(nèi)涵進行分析和量化的結(jié)果，更具可操作性，在不同的角度有不同的指標(biāo)[7]。常用的一些網(wǎng)絡(luò)安全評估指標(biāo)有攻擊成功率（如概率）、攻擊（防御）代價（如成本、損失等）、防御有效性、網(wǎng)絡(luò)熵、安全增益、攻擊檢測率等，上述指標(biāo)中用的比較多的是攻擊成功率、防御有效性、攻防代價。除此之外，研究者往往會依據(jù)不同的場景下自身需求提出更為合理的評價指標(biāo)，如王國良等[3]提出了直接依據(jù)專家評估的三性量化指標(biāo)體系。但是，目前尚無統(tǒng)一的網(wǎng)絡(luò)安全評估指標(biāo)。

3 常用網(wǎng)絡(luò)安全評估模型及分析

常用的網(wǎng)絡(luò)安全評估與分析模型分類方法是從定量或定性或二者結(jié)合的角度來展開，這種方法從結(jié)果的性質(zhì)上進行直觀的分析和分類，方法簡單直接，但卻缺乏對模型內(nèi)在的分析和反映。本文從一個新的角度，即根據(jù)側(cè)重于攻防的程度及建模對象的不同，將網(wǎng)絡(luò)安全評估常用模型進行如下劃分：攻擊樹、攻擊圖、攻擊鏈模型等側(cè)重于以攻擊者或者攻擊為中心進行建模分析，如攻擊圖、攻擊樹往往基于假設(shè)已知系統(tǒng)中存在的漏洞，且常以攻擊者為中心進行度量，以攻擊者為中心的方法需要對攻擊者能力和資源做出假設(shè)，而這些信息防御者及系統(tǒng)是不知道的，在實際應(yīng)用中有局限；攻擊面、網(wǎng)絡(luò)傳染病、Petri網(wǎng)、自動機側(cè)重于從防御或攻防交互的角度評估分析，攻擊和防御手段則是其中狀態(tài)變化的影響因素，此類方法需要同時對攻擊和防御及系統(tǒng)本身進行一定的抽象。上述分類方法在應(yīng)用中不是絕對的，如Petri網(wǎng)等同樣可以直接用于分析網(wǎng)絡(luò)攻擊過程。同時，Petri網(wǎng)和自動機2個模型本身并不是為網(wǎng)絡(luò)攻防而設(shè)計的，它們的應(yīng)用領(lǐng)域非常廣泛，也有研究者用這2個模型分析進行網(wǎng)絡(luò)安全評估[7~12]，這些研究多是基于經(jīng)典的模型改進以對特定攻防情形進行分析。

3.1 以攻擊為中心的模型

3.1.1 攻擊樹

攻擊樹模型是一種圖形化的描述方式，采用樹結(jié)構(gòu)的形式描述系統(tǒng)攻擊過程，能夠很直觀地表明和輔助分析系統(tǒng)存在的風(fēng)險，并可定量評估系統(tǒng)風(fēng)險。其中，樹的根節(jié)點表示攻擊者希望達到的目標(biāo)節(jié)點，而葉節(jié)點表示為實現(xiàn)該攻擊目的而可能采取的攻擊手段[13]。每一條從根節(jié)點到葉節(jié)點的路徑表示完成攻擊目標(biāo)所要進行的一次具體的完整攻擊過程。有時能影響系統(tǒng)運行的攻擊不止一種，此時系統(tǒng)的攻擊樹不止一棵，而是由多棵攻擊樹組成的攻擊森林[14]。攻擊樹模型適合于描述多階段的網(wǎng)絡(luò)攻擊行為，總的攻擊目標(biāo)由一系列的子目標(biāo)通過“與/或”關(guān)系復(fù)合而成。

攻擊樹可以抽象為一個具有根節(jié)點的無環(huán)有向圖。它的構(gòu)造過程是一個后向推理的過程。首先，確定針對系統(tǒng)的一個入侵目標(biāo)，并將入侵目標(biāo)作為攻擊樹的根節(jié)點。然后，回溯分析出促使根節(jié)點事件發(fā)生的前提條件或事件組合，將它們作為根節(jié)點的子節(jié)點。在下一層攻擊樹中通過“與”或者“或”關(guān)系表示出來；再類似地對攻擊樹中的每一個節(jié)點進行拆分。直到攻擊樹中的葉節(jié)點不能再進行拆分操作，或者已經(jīng)是某具體實現(xiàn)中的原子攻擊（最基本的攻擊操作）。

基于攻擊樹的評估方法比較簡單，得到攻擊樹后，可依據(jù)較權(quán)威的相關(guān)評分標(biāo)準(zhǔn)對葉子節(jié)點和系統(tǒng)風(fēng)險值計算[15]，進而可評估系統(tǒng)整體安全性能和分析攻擊者最易采用的攻擊手段和場景。例如，為了計算攻陷目標(biāo)節(jié)點的概率，可給樹的節(jié)點賦予不同的屬性，如攻擊成功率、攻擊代價等。假定攻擊者可從系統(tǒng)的任意一層發(fā)起攻擊，且攻擊目標(biāo)所在層數(shù)越高，攻擊難度越大，攻擊成功率越低。最終計算得到的根節(jié)點出現(xiàn)的概率就是攻擊者實現(xiàn)最終目標(biāo)的概率。攻擊樹除了能對系統(tǒng)面臨的整體風(fēng)險大小進行度量，還可對攻擊場景展開分析，如哪種攻擊場景下攻擊者最容易達成目標(biāo)。這能更加全面地揭示和認識攻擊者的攻擊選擇，然后針對性地進行防御部署。

3.1.2 攻擊圖

攻擊圖模型由Cunningham等于1985年提出[16]，是描述網(wǎng)絡(luò)或信息系統(tǒng)中存在的脆弱點以及脆弱點之間的關(guān)聯(lián)關(guān)系最有效的模型之一，可很好地描述攻擊行為以及系統(tǒng)行為的變化趨勢和規(guī)律，被廣泛應(yīng)用于網(wǎng)絡(luò)的安全分析與評估中。攻擊圖是攻擊者實施攻擊過程中所經(jīng)歷的多條攻擊路徑所形成的圖結(jié)構(gòu)[17]。攻擊圖方法是從攻擊者的角度出發(fā)，根據(jù)網(wǎng)絡(luò)和系統(tǒng)中的脆弱點情況模擬推測攻擊者的攻擊行為，按照攻擊的步驟將攻擊的過程逐步分解，將攻擊過程中的系統(tǒng)狀態(tài)變化或者攻擊成功的必要條件組成一張有向圖[1]。其中，每一條攻擊路徑是攻擊者為達到相應(yīng)的攻擊目標(biāo)所經(jīng)歷的一系列攻擊活動序列。攻擊者在對網(wǎng)絡(luò)進行攻擊時首先攻擊目標(biāo)主機網(wǎng)絡(luò)中具有弱點的主機，當(dāng)攻擊成功之后，其在被攻擊的主機就具有了一定的權(quán)限，在訪問能力允許的條件下，攻擊者可能從已經(jīng)攻克的主機上再次發(fā)起攻擊，如此往復(fù)，直到攻擊者達到其攻擊的最終目的。這樣就構(gòu)成了一條條攻擊路徑。在攻擊圖模型中，一個節(jié)點代表一個可能的攻擊狀態(tài)或條件，節(jié)點內(nèi)容通常包括主機名、用戶權(quán)限、攻擊的因果等，每條邊代表一個單一行為引起的狀態(tài)改變，行為的執(zhí)行者可能是攻擊者、后門程序等。

從攻擊有向圖中可分析出如何利用其中若干個脆弱點達到某個攻擊目標(biāo)，即將網(wǎng)絡(luò)配置信息和脆弱性信息作為輸入，依托脆弱性知識庫，分析在攻擊發(fā)生時，目標(biāo)網(wǎng)絡(luò)中的漏洞將如何被利用并造成何種后果，然后模擬攻擊者的行為步驟以分析網(wǎng)絡(luò)中所有可能的攻擊路徑。這是一種采用正向搜索的建模方法，可使用模型檢測工具生成此類攻擊圖；另外一種是采用反向搜索方法，即首先指定一個攻擊目標(biāo)，然后從指定的攻擊目標(biāo)出發(fā)，遞歸尋找相關(guān)的攻擊動作，直到找到在初始網(wǎng)絡(luò)狀態(tài)下攻擊者就可以發(fā)動的攻擊動作。

利用攻擊圖分析網(wǎng)絡(luò)系統(tǒng)的安全性主要分為3個階段：首先，依據(jù)建模方法針對特定網(wǎng)絡(luò)系統(tǒng)和攻擊類型生成攻擊圖；其次，為圖中的各節(jié)點賦值；最后，通過推導(dǎo)計算得到定性或定量的安全指標(biāo)，如攻擊成功率和脆弱節(jié)點可達性。當(dāng)然，防御者同樣可以基于攻擊圖分析攻擊目標(biāo)與網(wǎng)絡(luò)固有屬性之間的依賴關(guān)系，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的潛在威脅攻擊路徑及其概率大小，此即為安全評估，同時找到網(wǎng)絡(luò)中的薄弱點進行針對性防御，如動態(tài)改變網(wǎng)絡(luò)或主機的固有屬性。

3.1.3 攻擊鏈

攻擊鏈?zhǔn)侨肭终唠S著時間的推移穿透信息系統(tǒng)對目標(biāo)進行攻擊所采取的路徑及手段的集合[18]，是對攻擊者入侵行動和預(yù)期效果的建模和分析。需要注意的是，攻擊鏈?zhǔn)且粋€過程、模型而非技術(shù)。攻擊鏈概念最早由洛克希德公司于2011年提出[19]。攻擊鏈模型提供了一個描述網(wǎng)絡(luò)攻擊的模型，其將復(fù)雜的攻擊分解為相互非獨有的階段或?qū)?。通過調(diào)研在國內(nèi)外相關(guān)已公開研究文獻和資料發(fā)現(xiàn)很多研究均采用由洛克希德公司提出的攻擊鏈模型描述攻擊[19]，同時該攻擊鏈模型也是美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST, National Institute of Standards and Technology）的官方模型，NIST稱之為網(wǎng)絡(luò)攻擊生命周期[17~19]（二者的階段劃分完全相同，只是名稱不同），所以本文稱之為經(jīng)典攻擊鏈。經(jīng)典攻擊鏈?zhǔn)前?個攻擊階段的模型；通常，攻擊者不可避免地遵循這些階段來規(guī)劃和執(zhí)行入侵[17~19]。

目標(biāo)偵察（reconnaissance）：選擇目標(biāo)，收集有關(guān)目標(biāo)的信息，如目標(biāo)使用的技術(shù)、社會關(guān)系、潛在的漏洞等。

武器化（weaponize）：開發(fā)惡意代碼以嘗試?yán)靡炎R別的漏洞，將開發(fā)的代碼與可交付有效載荷（如pdf、doc和ppt）相結(jié)合。

交付（delivery）：將武器化的有效載荷傳送到目標(biāo)環(huán)境。常見交付手段如電子郵件附件、釣魚攻擊、下載、USB /傳輸介質(zhì)、DNS緩存攻擊等。

漏洞利用（exploitation）：基于目標(biāo)系統(tǒng)的漏洞執(zhí)行惡意代碼。

安裝（installation）：遠程訪問控制通常需要安裝控制（木馬）程序等惡意軟件，使攻擊者可以長期潛伏在目標(biāo)系統(tǒng)中。

命令和控制（C2, command and control）：攻擊者需要一個通信通道來控制其惡意軟件并繼續(xù)其操作。因此，需要連接到C2服務(wù)器。

行動（act on objective）：它是攻擊鏈的最后一個階段，攻擊者執(zhí)行所需要的攻擊行為，如通過數(shù)據(jù)竊取和篡改、控制鏈接等操作實現(xiàn)其目標(biāo)。

為了攻破更復(fù)雜的防御系統(tǒng)，攻擊者可能需要執(zhí)行一個或多個鏈來規(guī)避不同的防御策略。通過了解對手的攻擊鏈，防御者有更多的機會發(fā)現(xiàn)和回應(yīng)攻擊。表1描述了DoD信息操作指南中的檢測、拒絕、中斷、降級、欺騙和摧毀等行動矩陣[18]，在不同攻擊階段的不同防御階段使用了不同的具體防御方法。例如，該矩陣在漏洞利用階段使用主機入侵檢測系統(tǒng)（HIDS, host intrusion detection system）被動地檢測攻擊，同時通過打補丁拒絕攻擊。該矩陣顯示了防御者可以使用的防御能力范圍。矩陣包括了傳統(tǒng)的防御者法，如網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS, network intrusion detection system）、防火墻訪問控制列表（ACL, access control list）、系統(tǒng)強化措施（日志審計、蜜罐等）。同時，在矩陣中，本文還加進了新型主動防御技術(shù)，這些技術(shù)具有更多的功能，如移動目標(biāo)防御（moving target defense）[20]、擬態(tài)防御[21]，防御效果更佳。

3.2 以防御或攻防交互為中心的模型

如前文所言，以防御或攻防交互為中心的模型也可以描述攻擊，但更多是從系統(tǒng)整體的角度描述網(wǎng)絡(luò)攻防以及系統(tǒng)防御效果。

表1 行動矩陣

3.2.1 攻擊面

為了更直觀地刻畫系統(tǒng)安全性能，從系統(tǒng)本身資源等考慮，其攻擊面大小也可作為一個參考指標(biāo)[22]。即一個系統(tǒng)的攻擊面越大，一般其脆弱點越多，被攻陷的可能性越高，安全性也會越差。系統(tǒng)攻擊面是系統(tǒng)受攻擊的風(fēng)險指標(biāo)。根據(jù)對以往攻擊類型的總結(jié)，大多數(shù)攻擊，如緩沖區(qū)溢出攻擊，都是攻擊者通過系統(tǒng)操作環(huán)境向系統(tǒng)發(fā)送數(shù)據(jù)或從系統(tǒng)發(fā)送到環(huán)境中造成的，有兩類典型的攻擊場景。一類攻擊者通過系統(tǒng)通道（如sockets）連接到系統(tǒng)，而后調(diào)用系統(tǒng)方法（如API）將數(shù)據(jù)項（如輸入字符串）發(fā)送到系統(tǒng)或者從系統(tǒng)中接收數(shù)據(jù)項。方法包括系統(tǒng)入口點和出口點，系統(tǒng)入口點指系統(tǒng)中代碼的函數(shù)方法，該方法可從系統(tǒng)環(huán)境中直接或間接地接收數(shù)據(jù)。如果系統(tǒng)方法可將數(shù)據(jù)發(fā)送到環(huán)境中，則稱其為系統(tǒng)的出口點。另一類攻擊者可以通過借用共享的對系統(tǒng)和用戶均可見的持久性數(shù)據(jù)項（如文件、cookies、數(shù)據(jù)庫記錄和注冊表項等），間接地發(fā)送（接收）數(shù)據(jù)到（從）系統(tǒng)中。因此，攻擊者可以通過使用系統(tǒng)方法、通道以及保存在系統(tǒng)環(huán)境中的數(shù)據(jù)項等資源與系統(tǒng)進行連接交互，從而達到破壞系統(tǒng)的目的。所以，可以將系統(tǒng)方法、通道和數(shù)據(jù)項看成系統(tǒng)資源，并將可用于系統(tǒng)攻擊的系統(tǒng)資源的子集定義為攻擊面[23]。需要注意的是，并非所有資源都是攻擊面的一部分，只有攻擊者利用某種資源攻擊系統(tǒng)時，該資源才算攻擊面的一部分。

與攻擊圖等模型側(cè)重于攻擊不同，攻擊面的概念獨立于攻擊者的能力，僅取決于系統(tǒng)的設(shè)計和固有屬性，與系統(tǒng)中出現(xiàn)的任何漏洞無關(guān)，攻擊面對所有入口點和出口點的檢視包括所有已知漏洞以及尚未發(fā)現(xiàn)和利用的潛在漏洞。對于具體的系統(tǒng)，可明確其方法、通道和數(shù)據(jù)，并從這3個維度對攻擊面展開量化度量，同時考慮各類資源對攻擊面的貢獻。對于2個系統(tǒng)的攻擊面比較而言，攻擊面越大，該系統(tǒng)安全性越差。

3.2.2 網(wǎng)絡(luò)傳染病模型

傳播行為在許多實際網(wǎng)絡(luò)中都廣泛存在，如社會網(wǎng)絡(luò)中的疾病傳播、信息傳播，電力網(wǎng)絡(luò)的相繼故障等。一些相關(guān)研究者發(fā)現(xiàn)疾病傳播和謠言傳播行為的研究可以借鑒到Internet網(wǎng)絡(luò)中病毒傳播行為分析中（如傳播特點、傳播過程），即計算機網(wǎng)絡(luò)中的傳染病模型，研究如何更有效地降低病毒的擴散范圍。通過研究計算機網(wǎng)絡(luò)中病毒或攻擊的傳播行為，從而提出相對應(yīng)的策略控制或消除網(wǎng)絡(luò)中的攻擊，使網(wǎng)絡(luò)達到安全的狀態(tài)。這對于降低病毒或攻擊對網(wǎng)絡(luò)的損害具有重要意義。計算機網(wǎng)絡(luò)中傳染病模型的基礎(chǔ)是復(fù)雜網(wǎng)絡(luò)，把網(wǎng)絡(luò)中的節(jié)點看成圖中的頂點，節(jié)點間的關(guān)系用圖中的邊表示。目前，學(xué)術(shù)界對于復(fù)雜網(wǎng)絡(luò)中的傳染病傳播動力學(xué)研究較為深入，這些模型可以分析網(wǎng)絡(luò)上病毒的傳播建模。迄今為止，已有多種傳染病模型被提出，其中SI、SIS、SIR和SIRS這4種經(jīng)典模型應(yīng)用最廣[24]，模型中字母S（susceptible）表示易感染狀態(tài)、I（infected）表示受感染狀態(tài)、R（removed）表示免疫狀態(tài)或被移除狀態(tài)。不同模型的假設(shè)和使用范圍不同，這方面資料很多，不再介紹。

使用傳染病模型的關(guān)鍵在于傳播控制策略方面，其中免疫策略和隔離策略是2種基本的控制策略，分別從控制傳播節(jié)點（消除解決病毒節(jié)點）和控制傳播路徑（阻止病毒擴散）的角度應(yīng)對病毒傳播。不同網(wǎng)絡(luò)結(jié)構(gòu)有可能會導(dǎo)致截然相反的網(wǎng)絡(luò)傳播，如計算機病毒更新補丁屬于免疫策略，主要是通過保護網(wǎng)絡(luò)中部分節(jié)點進而切斷病毒傳播途徑。免疫策略中有一個重點概念，即感染臨界值σ。如果有效感染率大于等于該臨界值，則病毒可以傳播擴散，并使全網(wǎng)感染節(jié)點數(shù)量達到動態(tài)平穩(wěn)狀態(tài)；反之，若小于該值，則感染節(jié)點數(shù)量將大幅衰減，無法大范圍擴散。最基本的免疫策略有3種：隨機免疫、目標(biāo)免疫和熟人免疫。隔離策略是受自然界中傳染病的啟發(fā)提出來的，為了消除由于檢測系統(tǒng)產(chǎn)生的誤警所帶來的負面影響，抑制病毒、蠕蟲等的快速傳播，當(dāng)一臺主機的行為（如流量）可疑時，先把它隔離（如封掉其通信端口、斷開網(wǎng)絡(luò)連接等），網(wǎng)絡(luò)管理人員檢查，經(jīng)過一定時間后，如果沒有問題，再釋放回網(wǎng)絡(luò)中。在實際中，可以根據(jù)不同的情況選擇不同的免疫策略，同時選擇確定不同的參數(shù)，如隔離時間、免疫比例等。

結(jié)合網(wǎng)絡(luò)傳染病模型的網(wǎng)絡(luò)防御分析一般過程為：首先分析網(wǎng)絡(luò)防御系統(tǒng)的特點，選擇適合的傳染病模型或者對已有模型進行改進；然后結(jié)合實際系統(tǒng)進行建模，確定各參數(shù)（建立網(wǎng)絡(luò)與實際網(wǎng)絡(luò)系統(tǒng)的對應(yīng)關(guān)系，如復(fù)雜網(wǎng)絡(luò)圖中的頂點對應(yīng)于網(wǎng)絡(luò)中的節(jié)點，圖的邊對應(yīng)于節(jié)點之間的連接關(guān)系或?qū)傩裕蠼鈧鞑ラ撝禇l件以及不同狀態(tài)間的最終平衡狀態(tài)，同時可采取防御策略使最終達到安全狀態(tài)，即無感染節(jié)點。

3.2.3 Petri網(wǎng)

Petri網(wǎng)是一種用于描述和分析具有并發(fā)、同步和沖突等特性系統(tǒng)的建模機制，由于其具有直觀的圖形表現(xiàn)能力和嚴(yán)密的數(shù)學(xué)基礎(chǔ)，利用Petri網(wǎng)的各種拓展形式，不僅有助于定性地理解系統(tǒng)的動態(tài)行為，還可以定量地計算各種性能指標(biāo)，為檢驗系統(tǒng)可靠性和安全性等提供依據(jù)，在多個領(lǐng)域得到廣泛應(yīng)用[2]。有研究者將Petri網(wǎng)及其改進形式應(yīng)用于網(wǎng)絡(luò)安全評估與分析中，如分析網(wǎng)絡(luò)攻擊、入侵檢測、入侵容忍和MTD等[7]，實現(xiàn)了對網(wǎng)絡(luò)防御系統(tǒng)的建模和分析[2,7~10]。如Mcdermott在滲透測試過程中使用Petri網(wǎng)對網(wǎng)絡(luò)攻擊過程建模，并將其提出的模型命名為攻擊網(wǎng)[25]。

經(jīng)典Petri網(wǎng)在實際應(yīng)用中存在許多局限性，例如，沒有明確考慮時間因素并定量化分析，以及描述復(fù)雜系統(tǒng)時模型繁瑣等問題，因此后續(xù)研究者對經(jīng)典Petri網(wǎng)模型進行了拓展，如隨機Petri網(wǎng)、廣義隨機Petri網(wǎng)、有色Petri網(wǎng)、模糊Petri網(wǎng)等[2,26]，其中應(yīng)用比較多的是隨機Petri網(wǎng)（SPN, stochastic Petri net）和有色Petri網(wǎng)（CPN, colored Petri net）。隨機Petri網(wǎng)[27]是在經(jīng)典Petri網(wǎng)中引入時間概念，而有色Petri網(wǎng)[28]則是引入了“顏色”（顏色可以被認為是數(shù)據(jù)類型）表示方法。這些擴展有的通過與矩陣方法結(jié)合在一起建立系統(tǒng)狀態(tài)方程、代數(shù)方程，有的與隨機過程論、信息論中的方法結(jié)合在一起描述和分析系統(tǒng)運行的不確定性或隨機性，如對SPN的性能分析建立在其狀態(tài)空間與馬爾可夫鏈同構(gòu)的基礎(chǔ)之上。SPN為系統(tǒng)的性能模型提供了良好的描述手段，隨機馬爾可夫過程為模型的評價提供了堅實的數(shù)學(xué)基礎(chǔ)。下面主要對基于隨機Petri網(wǎng)的網(wǎng)絡(luò)防御系統(tǒng)性能評估過程進行簡單介紹[2]。

1) 分析網(wǎng)絡(luò)防御系統(tǒng)，對應(yīng)到SPN的各個元素，給出系統(tǒng)的SPN模型。

2) 構(gòu)造與SPN模型同構(gòu)等價的馬爾可夫鏈。

3) 基于馬爾可夫鏈的穩(wěn)態(tài)狀態(tài)概率進行網(wǎng)絡(luò)防御系統(tǒng)性能評估，當(dāng)穩(wěn)態(tài)概率難以求解時，可使用隨機Petri網(wǎng)仿真軟件，獲得系統(tǒng)可能的行為和狀態(tài)變化以及系統(tǒng)的可用性、安全性和可靠性等。

3.2.4 自動機

自動機闡述了計算的數(shù)學(xué)模型的定義與性質(zhì)，廣泛應(yīng)用于形式語言、計算機編譯和操作系統(tǒng)等各個方面[29]。自動機是有限狀態(tài)機（FSM, finite-state machine）的數(shù)學(xué)模型，亦稱有限自動機，它具有有限數(shù)目的內(nèi)部狀態(tài)，在不同輸入序列的作用下，系統(tǒng)內(nèi)部的狀態(tài)不斷地轉(zhuǎn)換[30]。鑒于其對狀態(tài)和轉(zhuǎn)移過程和條件的刻畫能力，不少研究者將其應(yīng)用于描述網(wǎng)絡(luò)攻防系統(tǒng)[12,30,31]。網(wǎng)絡(luò)空間中的攻擊和防御是一個動態(tài)變化的對抗過程，雙方通過實施各種行為或控制手段推動安全平衡狀態(tài)的不斷變化，攻擊者試圖破壞安全平衡，防御者則努力保持安全平衡，可使用自動機對網(wǎng)絡(luò)攻防進行狀態(tài)變化描述，并構(gòu)造網(wǎng)絡(luò)防御系統(tǒng)的自動機模型，以模擬網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)及其動態(tài)遷移的條件和過程，尤其是由各種安全事件導(dǎo)致的安全狀態(tài)轉(zhuǎn)移。對網(wǎng)絡(luò)攻防系統(tǒng)而言，狀態(tài)表示攻防雙方的安全形勢，用狀態(tài)遷移表征攻防雙方各種行為帶來的安全形勢變化，通過對安全狀態(tài)的調(diào)節(jié)和控制實現(xiàn)安全形勢穩(wěn)定。

有限自動機是實際系統(tǒng)的抽象模型，因而可以用來對網(wǎng)絡(luò)防御系統(tǒng)或攻防過程進行建模，只要將系統(tǒng)的各個狀態(tài)、轉(zhuǎn)移條件等對應(yīng)到有限自動機的各個元素即可，要明確系統(tǒng)的狀態(tài)（含初試狀態(tài)及終止?fàn)顟B(tài)）以及導(dǎo)致系統(tǒng)發(fā)生狀態(tài)轉(zhuǎn)移的方向和原因，將系統(tǒng)建模為一個FSM，依據(jù)模型用狀態(tài)轉(zhuǎn)換圖表達[32]，并對其進行安全分析，如基于自動機對網(wǎng)絡(luò)攻擊模型的基本過程進行描述[12]，對攻擊者入侵Web服務(wù)器時系統(tǒng)的狀態(tài)轉(zhuǎn)換過程進行描述[33]等。

除了上述典型常用的風(fēng)險評估模型外，還有研究者采用故障樹模型、層次化分析法（AHP）、特權(quán)圖模型、滲透圖模型和貝葉斯網(wǎng)絡(luò)模型等方法展開分析。這些模型相對于前述的幾個模型，使用較少，不再分析。

4 應(yīng)用舉例

4.1 基于攻擊面模型的MTD評估分析

文獻[21]結(jié)合基于配置參數(shù)的攻擊面轉(zhuǎn)移模型說明如何基于攻擊面對MTD進行性能分析。該模型從系統(tǒng)描述入手，使用配置參數(shù)刻畫MTD系統(tǒng)，進而MTD系統(tǒng)狀態(tài)可用與系統(tǒng)運行息息相關(guān)的混合配置參數(shù)集合表示。以主機為例，其配置參數(shù)可用主機的內(nèi)存大小、硬盤大小、CPU類型、運行系統(tǒng)版本和IP地址等描述。此時，每次系統(tǒng)運行所采用的配置參數(shù)即為其攻擊面大小，而攻擊面轉(zhuǎn)移則通過系統(tǒng)在不同配置參數(shù)間切換實現(xiàn)。當(dāng)?shù)玫組TD系統(tǒng)的配置參數(shù)空間后，如何評價不同MTD系統(tǒng)間的有效性差異。例如，A系統(tǒng)的配置空間為{IP:10.10.0.1, OS: Window XP; IP:10.10.0.2, OS: Window7; IP:10.10.0.3, OS: Window8}，而B系統(tǒng)的配置空間為{IP:10.10.0.1, OS: Window XP; IP:10.10.0.2, OS: Linux; IP:10.10.0.3, OS: Mac}。為比較A和B這2個MTD系統(tǒng)的安全性，文獻[21]引入了系統(tǒng)配置熵H的概念刻畫攻擊面大小，而配置熵取得最大值的條件是子配置需要相互獨立，即在不影響系統(tǒng)正常工作的情況下，當(dāng)系統(tǒng)調(diào)整前后所呈現(xiàn)的攻擊面完全獨立時，MTD帶給系統(tǒng)的安全防護性能最佳，即使不能保證系統(tǒng)調(diào)整前后所呈現(xiàn)的攻擊面完全獨立，也要盡量多樣化擴大差異。基于上述分析，系統(tǒng)B將比系統(tǒng)A具有更大的系統(tǒng)配置熵，因為系統(tǒng)B中的3個OS較為獨立，而系統(tǒng)A中OS之間的相關(guān)性較強。

4.2 基于網(wǎng)絡(luò)傳染病模型的MTD評估分析

文獻[34]利用復(fù)雜網(wǎng)絡(luò)的網(wǎng)絡(luò)病毒動力學(xué)理論的SIS模型，給出了MTD的有效性評估和最佳配置調(diào)度優(yōu)化方法，驗證MTD對攻擊持續(xù)和傳播的阻止或延緩作用，其背景是網(wǎng)絡(luò)攻擊常從受到損害的計算機發(fā)起，然后攻擊易受攻擊的計算機。這意味著存在一個（攻擊者，受害者）關(guān)系，其中攻擊者（如受感染的計算機）可以直接攻擊受害者（如易受傷害的）計算機。在任何計算機可以攻擊任何其他計算機的極端情況下，這種關(guān)系可以對應(yīng)到一個完整的圖形結(jié)構(gòu)。所得到的圖形結(jié)構(gòu)稱為攻擊防御結(jié)構(gòu)，其中被修復(fù)的受損計算機/節(jié)點也可能會再次受到攻擊，防御的最終目的是希望所有節(jié)點都不受攻擊或?qū)裘庖?。這種模式可以自然地將攻擊和防御能力抽象為與攻擊防御結(jié)構(gòu)的節(jié)點和邊緣相關(guān)聯(lián)的參數(shù)。網(wǎng)絡(luò)傳染病模型的核心概念是傳播閾值，即疫情動態(tài)收斂于無病毒狀態(tài)的充分條件。這樣就可以把該情景與SIS模型對應(yīng)起來，進而用SIS分析MTD效能。

4.3 基于攻擊鏈模型的Wannacry攻擊分析

基于攻擊鏈模型可對“WannaCry”勒索攻擊過程進行分析。

1) 目標(biāo)偵察：攻擊節(jié)點或者被感染節(jié)點對公網(wǎng)隨機IP地址主機445端口進行掃描；而對于局域網(wǎng)，則直接掃描當(dāng)前計算機所在的網(wǎng)段上的所有主機，查看其445端口是否開放服務(wù)等信息。

2) 武器制作（離線已完成）：該勒索軟件來自“永恒之藍”（EternalBlue）漏洞利用工具，主要利用微軟Windows操作系統(tǒng)的MS17-010漏洞進行自動傳播。“永恒之藍”利用Windows系統(tǒng)在445端口的MS17-010安全漏洞潛入計算機對多種文件類型加密并添加.onion后綴，使用戶無法打開。

3) 交付、漏洞利用及安裝：攻擊者連接445端口，成功后通過網(wǎng)絡(luò)對未打補丁的主機進行漏洞攻擊，目標(biāo)被成功攻陷后會從攻擊機下載WannaCry木馬、安裝并進行感染。木馬程序包含2個部分，分別是母體mssecsvc.exe和敲詐者程序tasksche.exe。

4) 命令和控制：勒索軟件進行攻擊后，會自動釋放TOR網(wǎng)絡(luò)組件，用于敲詐者程序與攻擊者的網(wǎng)絡(luò)通信；同時贖金使用比特幣支付，使勒索過程難以追蹤溯源。TOR組件為匿名代理，該組件啟動后會監(jiān)聽本地9050端口，木馬通過本地代理通信實現(xiàn)與服務(wù)器連接。受害者在單擊“Check Payment”按鈕后，由服務(wù)端判斷是否下發(fā)解密所需私鑰。若私鑰下發(fā)，則會在本地生成解密所需要的dky文件。

5) 行動：對被感染的主機，木馬程序母體mssecsvc.exe運行后會掃描隨機IP的互聯(lián)網(wǎng)機器，嘗試感染，也會掃描局域網(wǎng)相同網(wǎng)段的機器進行感染傳播，此外會釋放敲詐者程序tasksche.exe，對磁盤文件進行遍歷搜索，對多種文件類型加密并添加.onion后綴。敲詐程序使用AES128加密文件，使用RSA2048公鑰加密AES密鑰。加密后系統(tǒng)會不斷彈出勒索聲明以及交付贖金的窗口。

基于上述分析，可以對攻擊進行針對性防御，以斬斷攻擊鏈。從攻擊鏈角度，可在偵察階段切斷內(nèi)外網(wǎng)連接、關(guān)閉445端口等，同時通過抓包分析及時定位掃描發(fā)起點，對掃描設(shè)備進行病毒木馬查殺，一旦發(fā)現(xiàn)被感染主機，立即斷網(wǎng)防止擴散；在交付、漏洞利用及安裝階段，可通過及時打補丁阻止漏洞利用，同時也可將所有445端口的流量暫時引導(dǎo)到一個清洗中心，隔離感染；在命令控制階段，可通過將其域名進行接管，打破C2連接，但這僅是一個臨時措施，因為該攻擊軟件的變體可以更改域名突破封鎖。

5 結(jié)束語

對網(wǎng)絡(luò)信息系統(tǒng)及防御技術(shù)進行評估和分析是網(wǎng)絡(luò)安全領(lǐng)域的重要研究內(nèi)容之一。通過評估可以獲悉系統(tǒng)的安全性能及防御手段的防御效果，評估結(jié)果還可用于指導(dǎo)設(shè)計防御策略?；谀Ｐ偷木W(wǎng)絡(luò)安全評估與分析已經(jīng)成為評估和分析網(wǎng)絡(luò)防御者法及系統(tǒng)必不可少的有效手段，在以阻止網(wǎng)絡(luò)攻擊為目的或者以網(wǎng)絡(luò)安全性評估為目的的網(wǎng)絡(luò)防御領(lǐng)域都有廣泛的應(yīng)用。表2對每個模型的適用領(lǐng)域和不足之處進行簡單總結(jié)。

表2 網(wǎng)絡(luò)安全評估與分析常用模型總結(jié)

當(dāng)前網(wǎng)絡(luò)安全評估與分析仍在不斷發(fā)展之中，理論和實踐研究都非常活躍，新的模型不斷涌現(xiàn)，在未來一段時間內(nèi)其仍將是網(wǎng)絡(luò)安全領(lǐng)域的重點發(fā)展方向之一。

1) 統(tǒng)一的評估分析指標(biāo)和通用的評估分析模型。關(guān)于網(wǎng)絡(luò)安全性評估分析研究的大部分工作針對網(wǎng)絡(luò)局部或特定系統(tǒng)，還沒有形成一套通用的理論方法，即目前尚無較為通用的網(wǎng)絡(luò)信息系統(tǒng)攻防評估分析模型；同時，盡管目前很多模型或方法都給出了相關(guān)評估與分析數(shù)值。但是，由于缺乏統(tǒng)一的安全性度量指標(biāo)，因而難以對各種結(jié)果進行分析與比較，即不同方法分析的結(jié)果之間無法進行橫向的比較。因此需要建立通用的評估分析模型，并制定統(tǒng)一的度量指標(biāo)。

2) 理論分析與實驗分析相結(jié)合。理論模型要結(jié)合實驗進行驗證分析，對系統(tǒng)進行廣泛的攻防測試以改進理論。很多理論模型僅基于仿真進行測試，缺少具體的攻防場景測試。當(dāng)前的大多數(shù)非實驗類評估模型均過于抽象，對實際的指導(dǎo)意義有限；而純粹實驗的評估分析方法針對的目標(biāo)系統(tǒng)又過于具體，難以直接擴展應(yīng)用到其他系統(tǒng)中。因此，需要二者相結(jié)合、相適應(yīng)，用模型指導(dǎo)實驗分析，同時結(jié)合實驗分析的數(shù)據(jù)改進建模過程及分析結(jié)果。

3) 評估與分析中考慮人的因素的影響。在網(wǎng)絡(luò)安全評估與分析中要考慮人的因素。網(wǎng)絡(luò)攻擊是一種人為行為，不管其形式如何多樣、隨機，其形成的根本原因與人的利益驅(qū)動有很大關(guān)系。單靠防御技術(shù)無法徹底解決網(wǎng)絡(luò)安全問題，解決此類問題可能會和法規(guī)政策、法律、管理等多方面相關(guān)。所以，在評估與分析模型中也應(yīng)考慮攻防的人為影響，特別是攻擊者的作用，以更好地采取防御措施，提高防御性能。

[1] 井維亮. 基于攻擊圖的網(wǎng)絡(luò)安全評估技術(shù)研究[D]. 哈爾濱: 哈爾濱工程大學(xué), 2008.

JING W L. Research on network security assessment based on attack graph[D]. Harbin: Harbin Engineering University, 2008.

[2] 高翔. 網(wǎng)絡(luò)安全評估理論及其關(guān)鍵技術(shù)研究[D]. 鄭州: 信息工程大學(xué), 2014.

GAO X. Research on the theory of network security and its key technology[D]. Zhengzhou: Information Engineering University, 2014.

[3] 王國良, 魯智勇. 信息網(wǎng)絡(luò)安全測試與評估[M]. 北京: 國防工業(yè)出版社, 2015.

WANG G L, LU Z Y. Testing and evaluation of information network security[M]. Beijing: National Defense Industry Press, 2015.

[4] 代廷合, 吳開貴. 攻擊樹在多層網(wǎng)絡(luò)攻擊模型中的應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2009(1):75-76.

DAI T H, WU K G. Application of attack tree in multi level network attack model [J]. Network security technology and Application, 2009(1):75-76..

[5] 苘大鵬,周淵,楊武, 等.用于評估網(wǎng)絡(luò)整體安全性的攻擊圖生成方法[J].通信學(xué)報,2009,(3):1-5.

QIONG D P, ZHOU Y, YANG W. Method to generate attack graphs for assessing the overall security of networks[J]. Journal on Communications, 2009,(3):1-5..

[6] 魯智勇, 馮超, 余輝, 等. 網(wǎng)絡(luò)安全性定量評估模型研究[J]. 計算機工程與科學(xué), 2009, 31(10):18-22.

LU Z Y, FENG C, YU H, et al. A study of the quantitative evaluation model for network security[J]. Computer Engineering & Science, 2009,31(10):18-22.

[7] SANDOVAL J E, HASSELL S P. Measurement, identification and calculation of cyber defense metrics[C]//IEEE Military Communications Conference. 2010:2174-2179.

[8] CAI G, WANG B, LUO Y, et al. A model for evaluating and comparing moving target defense techniques based on generalized stochastic Petri net[M]. Springer Singapore, 2016: 184-197.

[9] JASIUL B, SZPYRKA M, LIWA J. Detection and modeling of cyber attacks with Petri nets[J]. Entropy, 2014,16(12):6602-6623.

[10] JASIUL B, SZPYRKA M, ?LIWA J. Malware behavior modeling with colored Petri nets[C]//The International Conference Computer Information Systems and Industrial Management. 2014, 8838: 667-679.

[11] 楊艷峰, 李潔. 基于有限狀態(tài)自動機的安全評估模型分析[J]. 企業(yè)家天地, 2013(6):125-126.

YANG Y F, LI J. Analysis of safety assessment model based on finite state automata[J]. Entrepreneurs World, 2013(6):125-126.

[12] 張峰, 秦志光. 基于有限自動機的網(wǎng)絡(luò)攻擊系統(tǒng)研究[J]. 計算機科學(xué), 2002,29(21):160-162.

ZHANG F, QIN Z G. Research on network attack system based on finite-state automata[J]. Computer Science, 2002,29(21):160-162.

[13] 盧繼軍, 黃劉生, 吳樹峰. 基于攻擊樹的網(wǎng)絡(luò)攻擊建模方法[J]. 計算機工程與應(yīng)用, 2003,39(27):160-163.

LU J J, HUANG L S, WU S F. Network attack modeling method based on attack tree[J]. Computer Engineering and Applications, 2003, 39(27): 160-163.

[14] 陳建明, 龔堯莞. 基于SSE-CMM的信息系統(tǒng)安全工程模型[J]. 計算機工程, 2003,29(16):35-36.

CHEN J M, GONG Y W. Security engineering model of information system based on SSE-CMM[J]. Computer Engineering, 2003, 29(16): 35-36.

[15] DANIEL GEER J, HOO K S, JAQUITH A. Information security: why the future belongs to the quants[J]. IEEE Security & Privacy Magazine, 2003,1(4):24-32.

[16] CUNNINGHAM W H. Optimal attack and reinforcement of a network[J]. Journal of the ACM, 1985,32(3):549-561.

[17] BRYANT B, SAIEDIAN H. A novel kill-chain framework for remote security log analysis with SIEM software[J]. Computers & Security, 2017.

[18] YADAV T, RAO A M. Technical aspects of cyber kill chain[C]//The International Symposium on Security in Computing and Communication. 2015: 438-452.

[19] HUTCHINS E M, CLOPPERT M J, AMIN R M. Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains[J]. Leading Issues in Information Warfare & Security Research, 2011, 1(1): 80.

[20] 蔡桂林, 王寶生, 王天佐, 等. 移動目標(biāo)防御技術(shù)研究進展[J]. 計算機研究與發(fā)展, 2016, 53(5):968-987.

CAI G L, WANG B S, WANG T Z, et al. Research and development of moving target defense technology[J]. Journal of Computer Research and Development, 2016, 53(5): 968-987.

[21] 鄔江興. 網(wǎng)絡(luò)空間擬態(tài)防御研究[J]. 信息安全學(xué)報, 2016,1(4):1-10.

WU J X. Research on cyber mimic defense[J]. Journal of Cyber Security, 2016,1(4):1-10.

[22] MANADHATA P K, WING J M. An attack surface metric[J]. IEEE Transactions on Software Engineering, 2011, 37(3): 371-386.

[23] MANADHATA P, WING J, FLYNN M, et al. Measuring the attack surfaces of two FTP daemons[C]// ACM Workshop on Quality of Protection. ACM, 2006:3-10..

[24] Vargasdeleón C. On the global stability of SIS, SIR and SIRS epidemic models with standard incidence[J]. Chaos Solitons & Fractals, 2011, 44(12):1106-1110.

[25] MCDERMOTT J P. Attack net penetration testing[C]//The Workshop on New Security Paradigms. 2001: 15-21.

[26] PAN P, ZHU X, MAO X. Research on security test for application software based on SPN[J]. Procedia Engineering, 2017, 174: 1140-1147.

[27] MARSAN M A. Stochastic Petri nets: an elementary introduction[C]//European Workshop on Applications and Theory in Petri Nets. 1988: 1-29.

[28] JENSEN K, KRISTENSEN L M, WELLS L. Coloured petri nets and CPN tools for modelling and validation of concurrent systems[J]. International Journal on Software Tools for Technology Transfer, 2007, 9(3-4):213-254.

[29] MAJI P, GANGULY N, SAHA S, et al. Cellular automata machine for pattern recognition[J]. Lecture Notes in Computer Science, 2002, 2493:270-281

[30] 秦志光, 劉錦德. 安全系統(tǒng)的有限自動機[J]. 電子科技大學(xué)學(xué)報, 1996(1):72-75.

QIN Z G, LIU J D. Finite automata of security system[J]. Journal of University of Electronic Science and Technology of China, 1996(1): 72-75.

[31] 郭威, 鄔江興, 張帆, 等. 基于自動機理論的網(wǎng)絡(luò)攻防模型與安全性能分析[J]. 信息安全學(xué)報, 2016,1(4):29-39.

GUO W, WU J X, ZHANG F, et al. A cyberspace attack and defense model with security performance analysis based on automata theory[J]. Journal of Cyber Security, 2016,1(4):29-39.

[32] 張峰, 秦志光. 基于有限自動機的網(wǎng)絡(luò)攻擊系統(tǒng)研究[J]. 計算機科學(xué), 2002,29(z1):160-162.

ZHANG F, QIN Z G. Research on network attack system based on finite automata[J]. Computer Science, 2002,29(z1):160-162.

[33] 彭文靈, 王麗娜, 張煥國. 基于有限自動機的網(wǎng)絡(luò)入侵容忍系統(tǒng)研究[J]. 小型微型計算機系統(tǒng), 2005,26(8):1296-1300.

PENG W L, WANG L N, ZHANG H G. Research on network intrusion tolerance system based on finite automata[J]. Journal of Chinese Computer Systems, 2005,26(8):1296-1300.

[34] HAN Y, LU W, XU S. Characterizing the power of moving target defense via cyber epidemic dynamics[C]//The 2014 Symposium and Bootcamp on the Science of Security. 2014: 10.

Research on models of network security evaluation and analysis

LIU Wenyan, HUO Shumin, TONG Qing, ZHANG Miao, QI Chao

National Digital Switching Engineering & Technological R&D Center, Zhengzhou 450002, China

Network security assessment helps to grasp the current and future risks of the network information system clearly, and gives corresponding security suggestions and countermeasures. Model of network security assessment and analysis is an important research direction and content, for which there is no review to give a comprehensive summary or analysis. A review of common network security evaluation and analysis model was given. The model that focus on attack was introduced, such as the attack tree, attack graph and kill chain, then the model that focus on network defense or offensive and defensive interaction was explained, such as attack surface, cyber epidemic model, Petri nets and automation machine, giving introduction to the basic concept, application field, modeling analysis process, advantages and disadvantages of the models. Then, typical examples were given to illustrate the application of the models in network defense technology evaluation and analysis.

network security, model, effectiveness, assessment and analysis

TP393.08

A

10.11959/j.issn.2096-109x.2018019

2017-12-07；

2018-01-09

劉文彥，lwyndsc@163.com

國家自然科學(xué)基金資助項目（No.61602509）；國家自然科學(xué)創(chuàng)新群體基金資助項目（No.61521003）；國家重點研發(fā)計劃基金資助項目（No.2016YFB0800100, No.2016YFB0800101）

劉文彥（1986-），男，河南周口人，博士，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心助理研究員，主要研究方向為網(wǎng)絡(luò)空間安全、云安全。

霍樹民（1985-），男，山西長治人，博士，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心助理研究員，主要研究方向為網(wǎng)絡(luò)空間安全、SDN安全。

仝青（1992-），女，河南鄭州人，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心博士生，主要研究方向為網(wǎng)絡(luò)空間安全防御技術(shù)、主動防御技術(shù)。

張淼（1994-），男，湖北孝感人，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心碩士生，主要研究方向為網(wǎng)絡(luò)安全防御。

齊超（1991-），男，江西南昌人，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心博士生，主要研究方向為網(wǎng)絡(luò)空間擬態(tài)防御技術(shù)。

The National Natural Science Foundation of China (No.61602509), The Innovative Research Group of the National Natural Science Foundation of China (No.61521003), The National Key R&D Program of China (No.2016YFB0800100, No.2016YFB0800101)