楊宏宇，袁海航，張良

（1.中國民航大學安全科學與工程學院，天津 300300；2.中國民航大學計算機科學與技術學院，天津 300300；3.亞利桑那大學信息學院，圖森AZ 85721）

0 引言

網(wǎng)絡主機是網(wǎng)絡拓撲的重要組成部分，日益復雜的攻擊手段和方式對網(wǎng)絡主機造成的威脅日益增加，主機面臨的安全問題日趨突出。評估各主機面臨的安全情況是掌握網(wǎng)絡整體安全性的基礎，深入挖掘和分析主機潛在風險能夠為網(wǎng)絡安全防御提供有效指導，對于保護網(wǎng)絡重要主機、保障網(wǎng)絡安全平穩(wěn)運行具有重要意義[1]。

現(xiàn)有常見的網(wǎng)絡安全評估方法主要有博弈論[2]、基于攻擊圖模型[3]和層次分析法[4]等。相比于其他類型評估方法，基于攻擊圖的評估方法從攻擊角度出發(fā)，以節(jié)點和邊描述網(wǎng)絡系統(tǒng)各安全要素間的連接關系，通過攻擊路徑直觀有效地展示了所有可能的攻擊步驟，為主機安全管理和防御提供了強有力的分析方式和技術支撐。

文獻[5]以網(wǎng)絡資產(chǎn)間的互聯(lián)關系為基礎，識別威脅場景中的威脅事件，根據(jù)威脅事件發(fā)生的概率和損失，從攻擊路徑的角度分析各主機和網(wǎng)絡的安全情況，為主機防護提供了一定的理論依據(jù)。文獻[6]通過分析主機的漏洞利用關系，依據(jù)漏洞利用評分構建各主機間的狀態(tài)轉移矩陣，然后根據(jù)Markov過程評估主機安全。文獻[7]提出基于貝葉斯攻擊圖的網(wǎng)絡安全評估方法，該方法根據(jù)漏洞可利用概率計算各主機被攻擊的概率，依據(jù)主機資產(chǎn)價值計算主機和網(wǎng)絡被入侵的風險。文獻[8]提出一種定量的安全評估模型，該模型依據(jù)安全事件和告警數(shù)據(jù)構建貝葉斯攻擊圖并對網(wǎng)絡中的威脅場景進行預測，根據(jù)漏洞評分和主機資產(chǎn)度量網(wǎng)絡風險。文獻[9]提出一種基于邊權攻擊圖的風險評估方法，根據(jù)漏洞間的依賴性構建基于邊權的攻擊圖模型，通過攻擊目標的價值和利用概率對各漏洞進行了排序和分析，該方法為網(wǎng)絡安全防御策略的選取提供了有效支撐。文獻[10]通過分析漏洞在異構網(wǎng)絡環(huán)境下被利用的可能性和影響性，設計了漏洞風險排名算法，為量化漏洞在特定環(huán)境和組件下的風險和擴展模型的解決方案提供了新的思路。文獻[11]提出一種面向零日攻擊的概率計算方法，將系統(tǒng)實例圖轉換為貝葉斯網(wǎng)絡，依據(jù)貝葉斯網(wǎng)絡從路徑角度分析零日攻擊發(fā)生的概率，該方法在零日攻擊路徑識別方面具有一定的有效性。文獻[12]利用攻擊圖對主機和網(wǎng)絡進行安全評估，依據(jù)原子攻擊概率和鄰接矩陣求解主機安全狀況。

以上研究方法依據(jù)攻擊圖對網(wǎng)絡主機和漏洞進行了分析和評估，但均未考慮時間、漏洞所處主機環(huán)境和不同操作系統(tǒng)類型對原子攻擊概率的影響，且評估主機安全的方法未充分考慮主機資產(chǎn)重要性屬性權重的差異性和攻擊圖中主機間的關聯(lián)關系，評估結果并不合理。為解決上述研究中的不足，全面合理地分析主機安全性，本文提出一種基于攻擊圖的主機安全評估方法。

1 主機安全評估方法

基于攻擊圖的主機安全評估方法分為2 個階段：主機攻擊圖建立階段和主機安全值計算階段。

1) 主機攻擊圖建立階段。首先分析和探測目標網(wǎng)絡拓撲，依據(jù)主機中存在的漏洞和防火墻設定的各主機間通信規(guī)則生成主機攻擊圖。然后根據(jù)獲取到的漏洞信息量化原子攻擊概率并計算主機攻擊概率和漏洞影響值。

2) 主機安全值計算階段。首先依據(jù)先驗評分結果計算各主機資產(chǎn)重要性值。然后根據(jù)得到的主機攻擊圖分析主機間的攻擊利用關系并計算主機的拓撲結構重要性，由資產(chǎn)重要性和拓撲結構重要性共同表征主機重要性。最后，由攻擊概率、漏洞影響值和主機重要性計算主機安全值，主機安全評估方法總體架構如圖1 所示。

2 主機攻擊圖建立

根據(jù)攻擊圖中節(jié)點類型的不同，攻擊圖可以劃分為屬性和狀態(tài)攻擊圖；根據(jù)攻擊圖生成層次的不同，攻擊圖可以劃分為主機攻擊圖和漏洞層攻擊圖。其中主機攻擊圖中的節(jié)點表示網(wǎng)絡系統(tǒng)中的主機，主機攻擊圖能夠直觀展示主機間的關聯(lián)性和攻擊利用關系。為合理分析和評估主機安全狀況，本文選用主機攻擊圖從主機層面對主機進行安全評估。

2.1 主機攻擊圖定義

主機攻擊圖定義為三元組HAG=(N,E,P)。具體概念表示如下。

1)N表示主機攻擊圖中的節(jié)點集合且N=Nattack∪Nhost_i，其中Nattack表示初始攻擊主機，Nhost_i表示其他主機。

2)E={E1,E2,E3,…,En}表示邊集合，代表兩主機間的關聯(lián)關系，其中n表示攻擊圖中所有邊的數(shù)量。

3)P={P1,P2,P3,…,Pn}表示原子攻擊概率集合，原子攻擊概率表示攻擊圖中攻擊行為遷移的可能性大小，原子攻擊概率越大，表示兩主機間的攻擊行為越容易發(fā)生。

2.2 主機攻擊圖結構建立

根據(jù)目標網(wǎng)絡采集到的漏洞信息和主機通信訪問規(guī)則構建主機攻擊圖[12]，由于真實網(wǎng)絡環(huán)境下主機的漏洞可能并不唯一，為簡化攻擊圖規(guī)模，分析攻擊者最可能的攻擊意圖，當多條邊同時指向同一主機時，僅保留原子攻擊概率最大漏洞所在的邊，主機攻擊圖示例如圖2 所示。

圖2 主機攻擊圖示例

圖2 中，Nattack表示攻擊者所在的攻擊主機，Nhost_1～Nhost_5表示網(wǎng)絡拓撲中的正常主機，E1～E7表示主機攻擊圖中的邊，邊上的漏洞標注了攻擊者從前置主機到后置主機利用的漏洞。例如，邊E1表示攻擊者通過攻擊主機Nattack可以利用主機Nhost_1上的漏洞CVE-2017-12615 對主機Nhost_1發(fā)起攻擊并獲取權限。

2.3 主機攻擊圖中概率計算

2.3.1原子攻擊概率計算

漏洞的自身可利用性是影響原子攻擊概率取值的重要因素，通常根據(jù)通用漏洞評分系統(tǒng)（CVSS,common vulnerability scoring system）[13]進行量化計算。依據(jù)CVSS，漏洞的自身可利用性由攻擊途徑V、攻擊復雜度C及身份認證U量化，取值結果為

其中，VEi表示漏洞的自身可利用性；Vi按本地、鄰近拓撲、網(wǎng)絡劃分為3 個等級，取值分別為0.395、0.646、1；Ci按高、中、低劃分為3 個等級，取值分別為0.35、0.61、0.71；Ui按多重、單重和不需要認證劃分為3 個等級，取值分別為0.45、0.56、0.704。

漏洞的時間可利用性、環(huán)境可利用性和所在主機的操作系統(tǒng)類型同樣會影響原子攻擊概率大小。從時間角度分析，漏洞被發(fā)布的時間越長，漏洞被成功利用的可能性則越大。漏洞的時間可利用性（TE,time exploitability）由漏洞代碼被利用的可能用性和補丁修復程度共同決定，取值分別滿足Pareto 和Weibull 分布[14]，即

其中，l和r表示Pareto 分布系數(shù)，取值分別為0.26和0.001 61；q和u表示W(wǎng)eibull 分布系數(shù)，取值分別為0.209 和4.04；zi表示某一漏洞從公開日期至評估日期的天數(shù)。

從漏洞所處環(huán)境角度分析，漏洞所處主機的防御措施完備程度越高，對應原子攻擊概率取值越小。本文依據(jù)主機防御措施程度劃分為高、較高、中、較低和低5 個等級[15]，漏洞的環(huán)境可利用性（EE,environment exploitability）對應取值區(qū)間設定為0～0.2、0.2～0.4、0.4～0.6、0.6～0.8、0.8～1.0。取值越大表示漏洞越容易被利用，范圍區(qū)間內(nèi)的具體取值可由評估人員依據(jù)各主機實際情況賦值。

從漏洞所在主機的操作系統(tǒng)分析，主機的操作系統(tǒng)安全性越高，則對應原子攻擊概率的取值越低。參考文獻[16]，本文將主流操作系統(tǒng)劃分為Linux 類系統(tǒng)、蘋果主機系統(tǒng)和Windows 類系統(tǒng)，對應操作系統(tǒng)的可利用性（OSE,operating system exploitability）取值設定為0.5、0.8、1.0。

依據(jù)漏洞的自身可利用性、時間可利用性、環(huán)境可利用性和操作系統(tǒng)可利用性，原子攻擊概率Pi的計算式為

2.3.2主機攻擊概率計算

主機攻擊圖中的攻擊路徑直觀地表示了攻擊者可能采取的所有攻擊序列，路徑攻擊概率從整體角度計算從初始攻擊主機到其他主機攻擊發(fā)生的可能性。以初始攻擊主機為起點，各主機為終點，通過深度優(yōu)先查找所有攻擊路徑并由路徑上所有主機中漏洞的原子攻擊概率乘積計算攻擊概率，選取攻擊概率集合中的最大概率作為各主機的攻擊概率，即各主機的最大路徑攻擊概率為

2.4 主機漏洞影響值計算

主機上存在的漏洞會對主機產(chǎn)生影響，各主機的漏洞影響值為主機上全部漏洞產(chǎn)生的影響值之和。依據(jù)CVSS[13]，單個漏洞的影響值（VV,vulnerability impact value）為

其中，VCi、VIi、VAi分別為第i個漏洞對主機的機密性、完整性和可用性的影響值，VCi、VIi、VAi均按無、低、高劃分為3 個等級，取值分別為0、0.275、0.66。

各主機的漏洞影響值（HV,host node vulnerability impact）為

其中，n表示主機的漏洞個數(shù)。

3 主機安全值計算

主機的安全值由攻擊概率、漏洞影響值和主機重要性共同決定，其中主機重要性由主機的資產(chǎn)重要性和拓撲結構重要性共同表征。

3.1 主機資產(chǎn)重要性計算

主機的資產(chǎn)重要性通過主機的機密性、完整性和可用性量化，主機資產(chǎn)重要性計算過程設計如下。

步驟1依據(jù)不同主機的安全需求，根據(jù)國家標準《信息安全風險評估規(guī)范》[17]，將各主機的資產(chǎn)重要性屬性劃分為L1、L2、L3、L4、L5共5 個等級，更細粒度的劃分會增加先驗評分難度，導致資產(chǎn)重要性屬性等級難以界定，因此資產(chǎn)重要性屬性等級不再進一步劃分。資產(chǎn)重要性屬性取值評價如表1 所示。

表1 資產(chǎn)重要性屬性取值評價

步驟2由n位專家依據(jù)表1 對各主機資產(chǎn)重要性的屬性進行先驗賦值，由賦值結果構造第j個主機的資產(chǎn)重要性屬性評價矩陣Mj

步驟3對屬性評價矩陣中的各列元素歸一化處理，記處理后評價矩陣各元素為dik。由于相關性定權法[18]能夠綜合考慮屬性間的差異性和相關性，從相對客觀角度計算各屬性權重，因此本文采用相關性定權法求解資產(chǎn)重要性各屬性權重。

1) 第k列屬性d的平均值為

其中，n為矩陣行數(shù)。

2) 第k列資產(chǎn)重要性屬性的標準差為

3) 任意兩指標間的相關系數(shù)為

4) 第k列屬性所含的信息量為

5) 第j個主機的第k列資產(chǎn)重要性屬性的權重為

步驟4依據(jù)評價矩陣Mj，計算第j個主機資產(chǎn)重要性的第k個屬性的先驗評分取值ATTjk

步驟5計算第j個主機的資產(chǎn)重要性AI(Nhost_j)，如式(14)所示。

3.2 主機拓撲結構重要性計算

拓撲結構重要性從主機所在主機攻擊圖的結構角度分析主機的重要程度。其中拓撲結構重要性由主機的加權中介中心性和局部重要性組成。

加權中介中心性從主機攻擊圖的整體角度考慮主機的重要程度，在計算時需要計算任意兩節(jié)點間的最短路徑，而原子攻擊概率取值越大則表示兩節(jié)點間越容易到達，因此本文通過原子攻擊概率的倒數(shù)對主機攻擊圖加權，然后由式(15)計算各主機Nhost_i的加權中介中心性FI(Nhost_i)

其中，σ(Nhost_i)at表示從主機Nhost_a到Nhost_t的最短路徑中經(jīng)過主機Nhost_i的最短路徑數(shù)，σat表示所有從主機Nhost_a到Nhost_t的最短路徑數(shù)。

主機的局部重要性從局部角度分析主機的重要程度，根據(jù)主機攻擊圖中各主機和其他主機間的關聯(lián)關系，由式(16)計算主機Nhost_i的局部重要性LI(Nhost_i)

其中，gi表示攻擊圖中與主機Nhost_i相連的邊數(shù)，gj表示與主機Nhost_i直接相連的主機所連的邊數(shù)，b表示與主機Nhost_i直接相連的主機數(shù)，n表示主機攻擊圖主機數(shù)。

根據(jù)計算得到的主機的加權中介中心性和局部重要性，由式(17)計算主機拓撲結構重要性TI(Nhost_i)

3.3 主機重要性和主機安全值計算

主機重要性由主機資產(chǎn)重要性和主機拓撲結構重要性表征，計算出主機資產(chǎn)重要性和主機拓撲結構重要性后，由式(18)計算各主機的主機重要性NI(Nhost_i)

依據(jù)計算出的主機攻擊概率、漏洞影響值和主機重要性，由式(19)計算各主機的安全值NR(Nhost_i)

其中，n表示主機攻擊圖中的主機個數(shù)。

4 實驗與結果分析

4.1 實驗環(huán)境

為驗證本文方法的有效性，在民航機場某業(yè)務仿真系統(tǒng)的網(wǎng)絡環(huán)境中進行驗證實驗。該仿真系統(tǒng)由民航某研究所研發(fā)，其原型系統(tǒng)已在國內(nèi)數(shù)十家民航機場應用。該仿真系統(tǒng)的硬件平臺、網(wǎng)絡拓撲和核心功能與國內(nèi)數(shù)十家民航機場實際運行的真實業(yè)務系統(tǒng)完全一致。由于該仿真系統(tǒng)是針對目前民航機場廣泛運行的典型業(yè)務系統(tǒng)的模擬仿真，尚未涉及云計算、虛擬化和SDN 等應用場景。

該仿真系統(tǒng)的總體抽象層次結構分為數(shù)據(jù)層、業(yè)務邏輯層、消息中間層和業(yè)務應用層，各層間相互協(xié)作以保障系統(tǒng)正常運行，總體抽象層次結構如圖3 所示。其中，數(shù)據(jù)層對應系統(tǒng)數(shù)據(jù)存儲區(qū)的數(shù)據(jù)庫服務器，負責數(shù)據(jù)庫管理和業(yè)務數(shù)據(jù)支持；業(yè)務邏輯層對應系統(tǒng)業(yè)務調度區(qū)的業(yè)務主機等，負責航班業(yè)務邏輯抽象、實現(xiàn)和管理；消息中間層對應系統(tǒng)網(wǎng)絡布線和系統(tǒng)交互區(qū)中提供信息交互的應用服務器等，負責信息內(nèi)容過濾、系統(tǒng)數(shù)據(jù)共享和報文收發(fā)等；業(yè)務應用層對應系統(tǒng)業(yè)務調度區(qū)、系統(tǒng)監(jiān)控區(qū)和系統(tǒng)交互區(qū)中各主機的具體應用和服務等。

圖3 仿真系統(tǒng)的總體抽象層次結構

該仿真系統(tǒng)的網(wǎng)絡拓撲結構如圖4 所示，分為系統(tǒng)交互區(qū)、系統(tǒng)業(yè)務調度區(qū)、數(shù)據(jù)存儲區(qū)和系統(tǒng)監(jiān)控區(qū)。

圖4 仿真系統(tǒng)的網(wǎng)絡拓撲結構

各區(qū)域提供的功能及服務如下。

1) 系統(tǒng)交互區(qū)的主要功能為提供該業(yè)務系統(tǒng)與其他業(yè)務系統(tǒng)的數(shù)據(jù)交互服務。其中，管理控制主機Nhost_1提供基于Web的異常處理和內(nèi)容過濾服務，應用服務器Nhost_2提供多業(yè)務單位和部門間的信息交互與數(shù)據(jù)共享服務，應用服務器Nhost_3提供航班運行動態(tài)業(yè)務信息（如SITA 報、AFTN 報等）的發(fā)送與接收解析等服務。

2) 系統(tǒng)業(yè)務調度區(qū)的主要功能為處理航班運行業(yè)務并進行航班信息管理。其中，業(yè)務主機Nhost_4提供航班運行業(yè)務的基礎數(shù)據(jù)和動態(tài)航班等信息的發(fā)布服務，業(yè)務主機Nhost_5提供系統(tǒng)信息管理功能，對航班狀態(tài)、航班計劃和系統(tǒng)資源等信息進行更新和管理。

3) 數(shù)據(jù)存儲區(qū)的主要功能為存儲機場運行過程中的各類業(yè)務數(shù)據(jù)。其中，數(shù)據(jù)庫服務器Nhost_6存儲航班信息的基礎數(shù)據(jù)和動態(tài)航班信息及各類業(yè)務信息，備份數(shù)據(jù)庫服務器Nhost_7對機場各類業(yè)務數(shù)據(jù)和信息進行備份存儲和管理。

4) 系統(tǒng)監(jiān)控區(qū)的主要功能為監(jiān)控系統(tǒng)運行狀態(tài)。其中，配置管理主機Nhost_8對系統(tǒng)進行配置管理和航班信息維護，運行監(jiān)控主機Nhost_9通過運行監(jiān)控軟件監(jiān)控系統(tǒng)運行狀態(tài)以保障系統(tǒng)安全平穩(wěn)運行。

4.2 攻擊圖生成

首先，利用Nmap 工具探測上述網(wǎng)絡拓撲，獲取各主機間的連通關系和漏洞信息。其中各主機間的網(wǎng)絡連通關系如表2 所示。

表2 各主機間的網(wǎng)絡連通關系

然后，依據(jù)各主機的漏洞信息，由式(1)計算漏洞自身可利用性VE，主機漏洞信息如表3 所示。

最后，依據(jù)表2 和表3 生成主機攻擊圖，結果如圖5 所示。從圖5 可知，主機攻擊圖共包含10 個節(jié)點和15 條邊，分別表示網(wǎng)絡拓撲中的主機、主機間的關聯(lián)關系。

圖5 主機攻擊圖生成

表3 主機漏洞信息

4.3 主機攻擊概率和漏洞影響值計算

首先，計算各漏洞原子攻擊概率。依據(jù)漏洞公開時間，由式(2)計算漏洞時間可利用性。將漏洞自身可利用性、漏洞時間可利用性、漏洞環(huán)境可利用性和操作系統(tǒng)可利用性取值代入式(3)，計算得到各漏洞原子攻擊概率，結果如圖6 所示。

圖6 原子攻擊概率

然后，由圖5 查找所有攻擊路徑，依據(jù)圖5 中的原子攻擊概率，由式(4)計算得到各主機的最大攻擊概率，結果如表4 所示。

表4 主機攻擊概率

最后，依據(jù)表3 各主機漏洞信息，由式(5)和式(6)計算得到各主機的漏洞影響值，結果如表5 所示。

表5 主機漏洞影響值

4.4 主機重要性和安全值計算

首先，計算各主機的資產(chǎn)重要性和拓撲結構重要性。以主機Nhost_1為例說明主機資產(chǎn)重要性的計算流程。由5 位專家依據(jù)表1 對主機Nhost_1的資產(chǎn)重要性屬性進行先驗評分賦值，由先驗賦值結果構建主機Nhost_1的資產(chǎn)重要性屬性矩陣M1

將矩陣M1各列元素歸一化處理后，依據(jù)式(8)～式(12)計算主機Nhost_1的資產(chǎn)重要性屬性權重，分別為(0.309 2,0.326 0,0.364 7)。由式(13)計算得到主機Nhost_1的各資產(chǎn)重要性屬性評分取值分別為(2.2,2.4,3.8)，將計算得到的屬性權重和屬性評分取值代入式(14)計算得到主機Nhost_1的資產(chǎn)重要性為3.04。同理計算其余8 個主機的資產(chǎn)重要性屬性權重和資產(chǎn)重要性，得到9 個主機的資產(chǎn)重要性屬性權重和資產(chǎn)重要性如表6 所示。

表6 主機資產(chǎn)重要性屬性權重和資產(chǎn)重要性

然后，依據(jù)3.2 節(jié)中的方法得到加權后的主機攻擊圖，由式(15)和式(16)計算出各主機的加權中介中心性和局部重要性，代入式(17)得到各主機的拓撲結構重要性，結果如表7 所示。

表7 主機拓撲結構重要性

將表6 和表7 中的主機資產(chǎn)重要性和拓撲結構重要性代入式(18)，計算得到主機重要性，將表4中各主機攻擊概率和計算出的主機重要性代入式(19)，計算得到各主機的安全值，結果如圖7 所示。

圖7 主機重要性和主機安全值

由圖7 可知，1) 9 個主機的主機重要性排序結果為NI(Nhost_6)＞ NI(Nhost_7)＞NI(Nhost_4)＞ NI(Nhost3)＞NI(Nhost_5)＞ NI(Nhost_2)＞ NI(Nhost_1)＞ NI(Nhost_8)＞NI(Nhost_9)，表明在綜合考慮主機資產(chǎn)重要性和拓撲結構重要性后，主機Nhost_6相比于其他主機更重要；2) 9 個主機的安全值排序結果為 NR(Nhost_2)＜NR(Nhost_3) ＜NR(Nhost_6) ＜NR(Nhost_4) ＜NR(Nhost_1)＜NR(Nhost_5)＜ NR(Nhost_9)＜NR(Nhost_8)＜NR(Nhost_7)，表明在綜合考慮主機的主機重要性、漏洞影響值和攻擊概率后，主機Nhost_2的安全值最低。

上述結果與實驗所用仿真系統(tǒng)對應的機場某真實業(yè)務系統(tǒng)的網(wǎng)絡真實情況一致，且與真實系統(tǒng)的多次安全評估結果一致。因此本文方法能夠有效分析不同主機的重要性并對各主機的安全狀況進行量化評估。

4.5 原子攻擊概率對比

原子攻擊概率表示攻擊圖中攻擊行為遷移的可能性大小，為證明本文方法計算原子攻擊概率的合理性，將本文方法、CVSS 方法和文獻[7]方法中依照時間劃分得到的原子攻擊概率進行對比，如表8 所示。

由表8 可知，CVSS 方法和文獻[7]方法僅從單一角度考慮漏洞被利用的可能性，忽略了漏洞所處主機環(huán)境因素和主機操作系統(tǒng)類型對原子攻擊概率的影響，導致計算結果并不準確。例如，由CVSS方法計算得到的漏洞f2、f4、f5、f7、f11和f12的漏洞原子攻擊概率均為1，由文獻[7]方法計算得到的漏洞f1～f7、f11和f12的漏洞原子攻擊概率均為0.9。而在實際系統(tǒng)的網(wǎng)絡環(huán)境中，上述漏洞發(fā)布時間不同，且漏洞分別位于不同主機中，原子攻擊概率均相同，顯然不合理。本文方法綜合考慮漏洞自身可利用性、時間可利用性、環(huán)境可利用性和操作系統(tǒng)類型，計算出的漏洞原子攻擊概率值更符合真實網(wǎng)絡中漏洞被利用的情況。

表8 原子攻擊概率對比

4.6 主機資產(chǎn)重要性評估對比

為驗證本文方法計算主機資產(chǎn)重要性的合理性，在圖4 所示的網(wǎng)絡拓撲結構下，分別采用本文方法、層次分析法[4]和先驗評分法計算各主機資產(chǎn)重要性，結果如圖8 所示。

由圖8 可知，本文方法計算出的主機資產(chǎn)重要性值更合理，因為本文方法充分考慮主機資產(chǎn)重要性不同屬性所占權重，在先驗評分賦值的基礎上采用相關性定權法為各主機資產(chǎn)重要性的不同屬性權重賦值；層次分析法和先驗評分法為所有主機資產(chǎn)重要性的所有屬性采用相同權重計算，計算結果并不合理。

圖8 主機資產(chǎn)重要性對比

4.7 主機安全評估對比

主機安全值能夠反映主機當前的安全狀況，取值越小表明主機的安全狀況越差。為證明本文方法的優(yōu)越性，在相同實驗環(huán)境下，采用資產(chǎn)連通圖方法[5]、Markov 攻擊圖方法[6]和鄰接矩陣法[12]3 種主機安全評估方法計算主機安全值，4 種方法歸一化后的安全值如圖9 所示。

由圖9 可知，本文方法得到的各主機安全值更準確合理。原因分析如下。

圖9 不同方法的主機安全值對比

1) Markov 攻擊圖方法僅以迭代后的攻擊可能性作為評估各主機安全性的指標，無法準確區(qū)分各主機的安全和風險狀況。

2) 鄰接矩陣法和資產(chǎn)連通圖方法依據(jù)主機的攻擊概率和資產(chǎn)重要性計算主機安全值，但均未考慮主機資產(chǎn)重要性屬性的權重差異性和攻擊圖中各主機間的關系，安全值計算不夠準確。

3) 本文方法從主機攻擊概率、漏洞影響值、資產(chǎn)重要性和拓撲結構重要性方面對主機進行安全評估，能夠更全面、更準確地反映各主機的安全狀況。

標準差的大小反映了數(shù)據(jù)間的離散程度，安全值的標準差越大，表明數(shù)據(jù)離散程度越大，其益處是對安全等級的區(qū)分度越明顯，越易于區(qū)分并劃分主機的安全和風險等級。

為進一步證明本文方法的優(yōu)勢，在得到主機安全值的基礎上，分別計算4 種方法的主機安全值的標準差，結果如表9 所示。

表9 主機安全值的標準差

由表9 可知，本文方法得到的主機安全值的標準差比其他3 種方法得到的安全值標準差分別增加了85.7%、116.7%和110.8%，說明本文方法得到的主機安全值離散程度更大、區(qū)間分布也更大，可以更顯著地表征不同主機安全值的差異性，更便于劃分主機的安全等級，從而有利于高效處置主機風險和網(wǎng)絡風險。

5 結束語

為合理有效地評估網(wǎng)絡中主機的安全狀況，本文提出一種基于攻擊圖的主機安全評估方法。在構建主機攻擊圖的基礎上，依據(jù)漏洞的多個屬性值計算原子攻擊概率，依據(jù)攻擊圖、相關性定權法得到主機的攻擊概率、漏洞影響值、主機資產(chǎn)重要性和拓撲結構重要性，進而計算得到主機的安全值。

通過民航機場某業(yè)務仿真系統(tǒng)環(huán)境下的驗證實驗，驗證了本文方法在真實系統(tǒng)網(wǎng)絡環(huán)境下的可行性和有效性。與其他方法相比，本文方法能夠合理計算主機攻擊概率、漏洞影響值、資產(chǎn)重要性和拓撲結構重要性，可以全面、準確地反映主機的安全狀況。

未來，將進一步細化主機資產(chǎn)重要性評價指標，從主機安全管理角度進一步完善主機安全評估的針對性，提高該方法在復雜網(wǎng)絡環(huán)境中的適用性。此外，將針對云計算和虛擬化環(huán)境的特點，重點研究云計算和虛擬化應用場景下的網(wǎng)絡安全評估模型和基于SDN 環(huán)境的網(wǎng)絡主機安全評估方法，提出適用于云計算和SDN環(huán)境的安全評估解決方案。