一、攻击图与网络脆弱性的关联关系
 攻击图由攻击者的攻击行为构成，属于描述网络系统脆弱性间关系的方法之一。攻击图描述了攻击者利用系统脆弱性渗透到网络系统，提升权限的过程，体现了系统脆弱性间的关联关系。攻击图分为两类：
1、状态列举表示法：攻击图结点代表网络系统可能的攻击状态。攻击图作为状态转移图，每条路径都是一个描述系统从初始状态进入被攻击状态过程的渗透序列，直接显示攻击者所有可能的渗透序列。攻击状态由系统当前安全属性（属性包括主机名、攻击者在主机上获取的权限、相关主机漏洞、开放服务等）组成，结点内容由组成对应攻击状态的所有属性构成；每条有向弧线代表攻击者利用单一脆弱性进行渗透引起的状态改变，由前一个状态指向后一个状态。
2、渗透依赖表示法：攻击图结点代表系统的安全属性，包括攻击者在系统主机获取的权限、系统主机漏洞及开放服务、系统中两台主机间的关联关系等；而网络系统攻击状态由多个结点构成，即由多个属性构成；有向弧线代表一个渗透。攻击图没有直接显示攻击者的攻击路径，注重显示渗透间的依赖关系。
基于状态列举表示法的攻击图描述攻击者所有可能的渗透序列，类似于状态转移图。而基于渗透依赖表示法的攻击图在不影响信息量的情况下大大减少了攻击图的规模，因此较状态列举表示法具有更广的适用性。
二、网络攻击图建模
1、访问权限。恶意用户的访问权限对系统设备及其安全性产生较大的直接影响。在系统设备应用过程中，访问者按照访问权限进行分类。
2、特权提升。得到更高的访问权限是攻击者发动网络入侵的主要动机。
定义1：主体（subject）：发出访问操作、存取要求的实体，指用户或某个进程。设主体集合为：S=（S1，S2，…Sn），其中Si（i=l，2，…n）表示单个主体。
表1 访问权限等级
访问者权限 角色描述
Root 系统管理员，管理系统设备、系统文件和系统进程等一切资源。
Supuser 该用户具有普通用户所没有的一些特殊权限，但是并不拥有系统管理员的所有权限。
User 任意一个系统普通用户，由系统初始化产生或系统管理员创建，有自己独立私有的资源。
Guest 匿名登陆访问计算机系统的来宾，该用户具有任意一个系统普通用户的部分权限。
Remote 可以访问网络服务的远程访问者，通常是信任的访问者，能和网络服务进程交互数据，可以扫描系统的信息等。
定义2：客体（object）：信息的载体、被调用的程序或欲存取的数据访问，如存储器、文件、接口等。设全体客体的集合为O=（O1，O2，…Oo），其中Oj（i=l，2，…O）表示单个客体。
定义3：特权（privilege）：特权是（o，m）对，其中o是客体，m是主体对客体o的非空访问模式集合。
定义4：特权集：Pset是特权集合，即Pset=（Oi，mj）是特权集，i=1，2，…n， j=1，2，…m}。
定义5：特权提升：如果用户User利用某弱点获得新特权集Pset'，且存在对象o'与非空访问模式集m'，使（o'，m'）εPset' ，则称User获得特权提升。
3、漏洞属性。漏洞利用、后果关与联问题通过分析多漏洞数据库，使用六元组（BID，NAME，OS，DATE，Ppre，Pcon）表示漏洞。BID指同步与兼容漏洞数据库中漏洞的通用标识；NAME指漏洞名称；OS指漏洞影响的系统对象类型，包括应用软件平台、操作系统平台与网络设施平台等；DATE指漏洞发布日期；Ppre指前提访问权限集，表示攻击者试图利用漏洞需具备的访问权限集合；Pcon指结果权限集，表示通过利用漏洞产生的直接权限提升后的访问权限集。
4、连接关系。Internet基于TCP/IP族议协构建。TCP/IP协议族分为不同层次，如图1所示。
图1 TCP/IP层次结构
 
6、攻击者。计算机网络的恶意主体，包括恶意用户、恶意访问者与恶意代码等。攻击者用五元组（Hostid，Aeeess_list，eonneslist，Attack_goal，Max_steps）表示。
三、基于攻击图的脆弱性评估与分析技术
（一）层次化分析法
1、信息安全风险分析原理。风险评估基本要素包括：信启、信息资产、资产脆弱性、安全防护措施、信息资产面临的威胁、可能风险等，每个要素具有自身属性：资产的属性是资产价值；脆弱性的属性是资产漏洞的严重程度；威胁的属性是影响对象、出现频率、威胁主体、动机等。风险评估围绕风险要素分析信息资产的脆弱性，近而确定威胁可能利用哪些漏洞破坏其安全性。
图2 风险分析原理
 
2、层次化分析模型。脆弱性评估包括：脆弱性识别及其严重程度量化。层次分析法属于相对量化方法。层次分析法思想：把问题分解为若干层次与因素，同层次各要素间进行比较、判断与计算，获得要素与备选方案权重。层次分析法的基本步骤包括：分解与判断。层次化网络系统安全威胁态势评估模型分为四个层次，分别包括网络系统、主机、服务与攻击/漏洞，以IDS报警与漏洞信息为原始数据，并采取“自下而上、先局部后整体”的评估策略，结合网络资源耗用，发现各主机的威胁情况，在攻击层分析攻击严重程度、发生次数及网络带宽占用率，评估各项服务的安全威胁状况。
图3 层次化网络系统安全威胁态势评估模型
 
（二）网络安全需求分析
信息系统安全以下安全属性定义：
1、机密性（Confidentiality）：系统的数据、程序等信息不泄露给非授权用户或实体的特性。
2、完整性（Integrity）：系统的数据、程序等信息未经授权保持不变的特性。
3、可用性（Availability）：系统的信息可被授权用户或实体访问，且根据需要使用的特性。
4、可靠性（Reliability）：系统在特定时间与条件下完成特定功能的特性。
5、可控性（controllability）：对系统信息传播与内容具有控制能力的特性。
6、不可抵赖性（Non-Repudiation）：在系统信息交互过程中，确认参与者身份的真实性。
安全需求是用户在系统信息完整性、可用性、机密性等方面的安全要求，使用一系列安全策略保证，如强制访问控制策略，自主访问控制策略，组织特定策略等。
（三）脆弱性评估量化算法
算法采取广度优先策略，计算每个状态节点的安全损失。安全损失计算算法的具体实现如表2所示。
表2安全损失计算算法
输入：攻击图状态节点集合及与对应的弱点、服务和主机等信息
输出：状态节点的安全损失
算法：
1.将初始状态可达概率设为1；
2.wllile（状态节点集合非空）
｛
3.从状态节点集合中取一个状态节点；
4.初始化状态节点的属性值；
5.状态节点的可达概率=其父节点的的可达概率*攻击复杂度；
6.while（状态节点的服务集合非空）
｛
7.从状态节点的服务集合中取一个服务；
8.该服务对可用性的影响=服务重要性权重*状态节点的可达概率*与状态节点相关的弱点对可用性的影响；
9.将该服务对可用性的影响累加到状态节点对可用性的影响中；
｝
10.状态节点对保密性的影响=状态节点的可达概率*与状态节点相关的弱点对保密性的影响；
11.状态节点对完整性的影响=状态节点的可达概率*与状态节点相关的弱点对完整性的影响；
12.计算状态节点的安全损失=状态节点对应主机的重要度*状态节点与对应主机在三种属性上的向量积；
13.取出状态节点集合中的下一个状态节点；
｝

（四）网络安全性增强策略制定算法
    本文设计了一种量化的网络安全性增强策略制定算法，基本思路：建立安全要素集合与队列，生成全局网络攻击图，从攻击图中提取安全要素，计算状态节点的损失与关键度，计算安全要素的关键度。
表3 网络安全性增强策略制定算法
输入：安全要素、服务和主机重要度等量化指标
输出：需要删除或修补的安全要素队列
算法：
1.清空安全要素集合；
2.清空安全要素队列；
3.调用攻击图生成算法生成全局网络攻击图；
4.将提取出的安全要素存入安全要素集合；
5.While（安全要素集合非空）
{
6.调用安全要素安全损失计算算法计算各状态节点的安全损失；
7.计算各状态节点的关键度；
8.计算安全要素集合中各安全要素的关键度；
9.对安全要素集合中的安全要素按照关键度大小进行排序，将关
键度最大的安全要素取出并存入安全要素队列；
10.调用攻击图生成算法生成全局网络攻击图；
11.将提取出的安全要素存入安全要素集合；
｝
12.输出安全要素队列；
参考文献
[1]夏阳.计算机网络脆弱性评估技术研究[J].计算机工程,2007.
[2]陈秀真.层次化网络安全威胁态势量化评估方法[J].软件学报,2006.