第３

５卷　第９期 计　　算　　机　　学　　报 Ｖ
ｏｌ
．３
５Ｎｏ．
９
２
０２年９月
１ Ｃ
ＨＩ
ＮＥＳ
ＥＪＯ
ＵＲＮＡ
ＬＯＦＣＯＭ
ＰＵＴ
ＥＲＳ Ｓｅ
ｐｔ
．２
０１
２
　

一种基于攻击图的安全威胁识别和分析方法
吴　迪 　连
）
１，
２
一
）
，）
４
峰 　 陈 　
）
１
恺
，
３
中国科学院软件研究所　北京　
（
）
　
）
刘玉岭 ）
１ ）
１，
２）
）
１ １０
０１
９０
２）中国科学院研究生院　北京　
（ １０
００
４）
９
３（
）信息安全共性技术国家工程研究中心　北京　
１０
０１
９）
０
）
４（信息网络安全公安部重点实验室（公安部第三研究所）上海
　 　 ２
０１
２０
４）
摘　要　业务系统安全管理需要网络攻击图来评估系统整体安全性或态势， 同时又需要对那些可能严重危害系统
安全的脆弱性利用威胁进行重点分析和优先处置．现有安全威胁识别和分析方法无法兼顾这两个方面， 也无法处
理脆弱性利用威胁分析过程中的不确定性问题． 作者提出了一种安全威胁识别和分析方法． 利用颜色Ｐｅ
ｔｒ
ｉ网
（
ＣＰ）
Ｎ定义网络攻击图，
并给出了网络攻击图生成Ｎ ＡＧＧ算法，根据攻击模型分析结果生成网络攻击图；给出了
基于ＣＮ仿真的网络攻击图分解Ｎ
Ｐ ＡＧＤ算法，可一次性分解出各脆弱性利用威胁对应的子攻击图，所述子攻击图
不存在循环路径且最长攻击路径不超过预设值．并给出了一种脆弱性利用威胁度评估Ｖ ＥＥ算法，
Ｔ 将子攻击图转
换为不确定性推理规则集，采用Ｄ
Ｓ证据推理计算各子攻 击图所对应安全威胁的威胁度，以确定安全威胁处置优
最后以一个典型Ｗ
先级． ｅｂ应用系统为例，验证了所述安全威胁识别和分析方法的有效性．
关键词　攻击模型；
网络攻击图；
子攻击图；颜色Ｐ
ｅｔ
ｒ网；
ｉ 不确定性推理；
ＤＳ证据理论
中图法分类号ＴＰ３
９３
　　　犇犗号
犐１：０．
３
７２／
４Ｓ
Ｐ．
Ｊ．
１０
１６
．２
０１
２．
０１
９３
８
犃
犛犲
犮狌
狉
犻狋
狔犜
犺狉
犲
犪狋
狊犐
犱犲
狀
狋犻
犳
犻犮
犪
狋犻
狅狀
犪狀
犱犃狀
犪
犾狊
狔犻
狊犕犲
狋
犺狅
犱犅
犪狊
犲
犱狅狀
犃狋
狋犪
犮
犽犌狉
犪
狆犺
Ｗ
ＵＤｉ１）
，
２），
４　
）
Ｌ
ＩＡ
ＮＹｉ

Ｆｅ
ｎｇ
１）
，
３）
　Ｃ
ＨＥＮＫ
ａｉ
）
１　Ｌ
ＩＵＹ
ｕ
Ｌｉ
ｎ
ｇ）
１，
２）
１（
） 犐
狀
狊狋
犻狋
狌
狋犲
狅犳犛
狅狋
犳狑
犪狉
犲，犆
犺犻
狀
犲狊
犲犃犮
犪犱
犲犿
狔狅犛
犳犮
犻犲
狀犮
犲，
狊犅犲
犻
犼犻
狀犵
　１０
０１
９）
０
）
２（犌
狉犪
犱狌
犪狋
犲犝
狀犻
狏
犲狉
狊犻
狋
狔狅犳犆
犺犻
狀犲
狊
犲犃犮
犪犱
犲犿
狔狅犳犛
犮犻
犲
狀犮
犲，
狊犅犲
犻
犼犻
狀犵１
　０
００
４）
９
）
３（犖
犪狋
犻
狅狀
犪犾
犈狀
犵犻
狀犲
犲狉
犻
狀犵犚
犲狊
犲犪
狉犮
犺犆犲
狀
狋犲
狉犳狅
狉犐
狀狅
犳狉
犿犪
狋犻
狅
狀犛犲
犮
狌狉
犻狋
狔，犅
犲
犻犻
犼狀
犵　１
００
１９
０）
４）（
犓犲
狔犔
犪犫
狅狉
犪狋
狅
狉狔狅
犳犐狀
犳狅
狉犿
犪狋
犻
狅狀犖犲
狋狑
狅狉
犽犛
犲犮
狌狉
犻
狋狔狅
犳犕犻
狀
犻狊
狋
狉狔狅
犳犘狌
犫犾
犻
犮犛犲
犮
狌狉
犻狋
狔
（
犜犺
犲犜
犺犻
狉犱犚
犲
狊犲
犪狉
犮
犺犐狀
狊
狋犻
狋
狌狋
犲狅
犳犕犻
狀
犻狊
狋
狉狔狅
犳犘狌
犫
犾犻
犮犛
犲犮
狌
狉犻
狋）
狔，犛
犺犪
狀犺
犵犪
犻２
　０
１２
０）
４
犃
犫狊
狋狉
犪
犮狋
　Ｂｕｓ
ｉ
ｎｅ
ｓｓｓ
ｙｓ
ｔ
ｅｍ’
ｓｓ
ｅｃ
ｕｒｉ
ｔ
ｙｍａｎ
ａｅ
ｇｍ
ｅｎ
ｔｎｅ
ｅｄ
ｓｔｏ
ａｓ
ｓｅ
ｓｓ
ｔｈ
ｅｓｓ
ｙｔ
ｅｍｓ
ｅｃ
ｕｒ
ｉｔ
ｙｓｉ
ｔ
ｕａ
ｔｉ
ｏｎ
ｂ
ｙｕｓ
ｉ
ｎｇｎ
ｅｔ
ｗｏ
ｒｋａ
ｔ
ｔａ
ｃｋｒ
ａ
ｇｈ
ｐ．Ｉ
ｔａ
ｌｓ
ｏｎｅ
ｅｄ
ｓｔ
ｏａｎ
ａｌ
ｚ
ｙｅｔ
ｈｅ
ｔｈ
ｒｅ
ａｔ
ｓｅ
ｘｌ
ｐｏ
ｉ
ｔｉ
ｎｓ
ｇｅｃ
ｕｒ
ｉ
ｔｙｖ
ｕｌ
ｎｅ
ｒａ
ｂｉ
ｌ
ｉ
ｔ
ｉ
ｅｓ
．Ｃｕ
ｒｒ
ｅｎ
ｔｓ
ｅｃ
ｕｒ
ｉ
ｔｙｔ
ｈｒ
ｅａ
ｔｉ
ｄｅ
ｎｔ
ｉｆ
ｉ
ｃａ
ｔｉ
ｏ
ｎａｎｄａ
ｎａ
ｌ
ｙｓ
ｉｓｍｅ
ｔｈ
ｏｄ
ｓｃ
ａｎｎ
ｏ
ｔｈａ
ｎｄｌ
ｅｔｈ
ｅｕｐｅ
ｒ
ｐｔｗｏ
ｒ
ｐｏ
ｂｌ
ｅｍ
ｓｖ
ｅｒ
ｙｗｅ
ｌｌ
ａｔ
ｔｈ
ｅｓ
ａｍｅ
ｔｉ
ｍｅ．
Ｉｔ
ｃａ
ｎｎｏ
ｔｈ
ａｎ
ｄｌ
ｅｕｎ
ｃｅ
ｒｔ
ａ
ｉｎ
ｔｉ
ｅ
ｓｏｃ
ｃｕ
ｒ
ｒｅ
ｄｉ
ｎ ｔ
ｈ
ｅｐｒ
ｏｃ
ｅｓ
ｓｏｆ
ｖｕ
ｌ
ｎ
ｅｒ
ａｂ
ｉ
ｌｉ
ｔ
ｙｅｘ
ｐｌ
ｏ
ｉｔ
ｉ
ｎｇｔ
ｈｒ
ｅａ
ｔａ
ｎａ
ｌ
ｙｓ
ｉ ，
ｓｅｉ
ｔｈ
ｅｒ
．Ａｓｅ
ｃｕ
ｒ
ｉｔ
ｙｔｈ
ｒｅ
ａ
ｔｉｄ
ｅｎ
ｔ
ｉｆ
ｉ
ｃａ
ｔ
ｉｏ
ｎａｎｄａ
ｎａ
ｌ
ｙｓ
ｉｓｍｅ
ｔ
ｈｏｄ
ｉ
ｓｒｏ
ｐｐｏ
ｓｅ
ｄｉ
ｎｔ
ｈｉ
ｓ ａ
ｐｐｅ
ｒ．
Ｔｈｅ
ｎｅ
ｔｗｏ
ｒｋａ
ｔ
ｔａｃ
ｋｒａ
ｇｐｈｉ
ｓｄｅ
ｆ
ｉｎ
ｅｄ
ｖｉ
ａＣｏ
ｌｏ
ｒ
ｅｄＰ
ｅｔｒ
ｉＮ
ｅｔ（
ＣＰＮ）
ａｎｄ
ａ
ｎａ
ｌｏ
ｇｒ
ｉ
ｔｈｍｎ
ａｍ
ｅｄＮＡ
ＧＧｉ
ｓｒ
ｐｏ
ｐｏｓ
ｅｄ
ｔｏｃ
ｏｎ
ｓｔ
ｒｕ
ｃ
ｔｎｅ
ｔｗｏ
ｒ
ｋａｔ
ｔ
ａｃ
ｋｇｒ
ａｈ
ｐｂａ
ｓ
ｅｄｏｎ
ｔｈ
ｅｓ
ｉｍｕ
ｌａ
ｔｉ
ｏｎ
ｒ
ｅ
ｓｕ
ｌｔ
ｓ．Ｗ
ｅａｌ
ｓ
ｏｇｉ
ｖｅａ
ｎａ
ｌｏ
ｇｒ
ｉ
ｔｈｍｎａ
ｍｅ
ｄＮＡＧＤｔ
ｏｓｉ
ｍｕ
ｌｔ
ａｎ
ｅｏ
ｕｓ
ｌｄ
ｙｅ
ｃｏｍ
ｐｏｓ
ｅｎ
ｅｔ
ｗｏｒ
ｋａｔ
ｔａ
ｃ
ｋ
ｒ
ｇａ
ｐｈ
ｉｎ
ｔｏｓ
ｅｖ
ｅｒ
ａ
ｌｓｕ
ｂ
ａｔ
ｔ
ａｃ
ｋ
ｇｒ
ａ
ｐｈｓ，
ｅａ
ｃｈｃ
ｏｒ
ｒｅ
ｓｏ
ｐｎ
ｄｉ
ｎｇｔ
ｏａｓｅ
ｐｃ
ｉ
ｆｉ
ｃｖ
ｕｌ
ｎｅｒ
ａｂ
ｉ
ｌｉ
ｔ
ｙｅｘｌ
ｐｏ
ｉ
ｔｉ
ｎｇ
ｔ
ｈｒ
ｅ
ａｔ．
Ｔｈ
ｅｇｒ
ａｈ
ｐｉ
ｓｌ
ｏｏ
ｐ
ｆｒ
ｅ
ｅａｎ
ｄｉｔ
ｓｌ
ｏｎ
ｇｅ
ｓｔａ
ｔ
ｔａ
ｃｋａ
ｐｔ
ｈｉ
ｓｌ
ｉｍ
ｉｔ
ｅｄ
ｔｏａ
ｃｅ
ｒｔ
ａ
ｉｎｒ
ｐｅ
ｄｅ
ｆｉ
ｎｅ
ｄｖａ
ｌｕ
ｅ．
Ｉ
ｎｏ
ｒｄ
ｅｒ
ｔｏｒ
ｐｉ
ｏ
ｒｉ
ｔ
ｉｚ
ｅａ
ｌｌ
ｓｅ
ｃｕ
ｒｉ
ｔ
ｙｔｈ
ｒｅ
ａｔ
ｓｆ
ｏｒｄ
ｉｓ
ｐｏ
ｓ
ａ ，
ｌａｖｕ
ｌｎ
ｅｒ
ａ
ｂｉ
ｌ
ｉｔ
ｙｅｘ
ｐｌ
ｏ
ｉｔ
ｉ
ｎｇｔｈ
ｒｅ
ａ
ｔｅｖａ
ｌ
ｕａ
ｔｉ
ｎｇ
收稿日期：
２０
１２
０
５
１４最终修改稿收到日期：
； ２０
１２
０
７
１１
．本课题得到国家“八六三”高技术研究发展计划项目基金（２０
０９
ＡＡ０１Ｚ
４３
９，
２
０１
１ＡＡ
０１
Ａ２０
３）
、国家自然科学基金（６１１０
０２
２）
６北京市自然科学基金（
、 ４
１２
２０
８５和信息网络安全公安部重点实验室（
） 公安部第三研究
所）
开放基金（Ｃ
１０
６０６资助．
） 吴　迪，女，
１９７年生，
７ 博士研究生，讲师，
主要研究方向为网络安全、 信息安全测评．Ｅ
ｍ
ａｉ
ｌ：
ｗｕｄ
ｉ＿ｄ
ｉ
ｚｉ
＠
１
６３
．ｃ
ｏｍ连一峰，
． 男，
１９
７４年生，博士，副研究员，主要研究方向为网络与信息安全．陈　恺，男，
１９
８２年生，
博士，助理研究员，主要研究
方向为信息安全、软件漏洞分析与检测、 恶意代码分析与防范． 男，
刘玉岭，１９
８２年生，博士研究生，
主要研究方向为网络安全、绩效评估．
 ９期 吴　迪等：
一种基于攻击图的安全威胁识别和分析方法 １
９３
９
ｍ
ｅｔ
ｈｏ
ｄｎａ
ｍｅ
ｄＶＥＴ
Ｅｉ
ｓｉ
ｇｖ
ｅｎｔ
ｏｃ
ｏｎ
ｖｅ
ｒｔ
ｓｕ
ｂ
ａｔ
ｔ
ａｃ
ｋｇｒ
ａｈ
ｐｉ
ｎｔ
ｏｕ
ｎｃ
ｅｒ
ｔａ
ｉ
ｎｉ
ｎｆ
ｅｒ
ｅｎ
ｃ
ｅｒｕ
ｌ
ｅｓｅ
ｔ．
Ｔｈ
ｉｓ
ｍ
ｅｔ
ｈｏ
ｄｕｓ
ｅ
ｓＤ
Ｓｅｖ
ｉ
ｄｅ
ｎｃ
ｅｉ
ｎｆ
ｅ
ｒｅ
ｎｃ
ｅｅ
ｎｉ
ｇｎ
ｅｔｏ
ｃａ
ｌｃ
ｕ
ｌａ
ｔｅ
ｔｈ
ｒｅ
ａ
ｔｄｅ
ｒ
ｇｅ
ｅｏｆ
ｅａ
ｃｈ
ｔｈ
ｒｅ
ａｔ
ｃｏ
ｒｒ
ｅ
ｓｏ
ｐｎ
ｄｉ
ｎｇ
ｔ
ｏｔ
ｈｅ
ｓｕ
ｂ
ａｔ
ｔ
ａｃ
ｋ
ｇｒ
ａ
ｐｈ．
Ａｔｌ
ａ
ｓ，
ｔａｔ
ｙｉ
ｐｃ
ａ
ｌＷｅｂ
ａｐ
ｐｌ
ｉｃ
ａ
ｔｉ
ｏｎ
ｓｓ
ｙｔ
ｅｍ
ｉｓｕ
ｓｅ
ｄａ
ｓａ
ｎｅｘ
ａｍｌ
ｅ
ｐｔｏ
ｖａ
ｌｉ

ｄ
ａ
ｔｅｔ
ｈ
ｅｅｆ
ｆ
ｅｃ
ｔｉ
ｖ
ｅｎ
ｅｓ
ｓｏ
ｆｔ
ｈｅｒ
ｐｏ
ｐｏ
ｓｅ
ｄｍｅ
ｔｈ
ｏｄ
．
犓犲狔狑狅
狉犱
狊　ａｔ
ｔａｃｋｍ ｏｄ
ｅｌ；ｎ
ｅｔ
ｗｏｒｋａｔ ｔ
ａｃｋ ｒ
ａ
ｇｈ
ｐ；ｓ
ｕｂ ａｔｔａ
ｃｋ
ｒ
ｇａ
ｐｈ；Ｃｏｌ
ｏｒｅｄＰｅ
ｔ
ｒｉＮ
ｅｔ（ＣＰＮ）；
ｕｎｃｅ
ｒｔ
ａｉ
ｎ
ｔｙｒｅ
ａｓｏｎｉ
ｎｇ；Ｄ 
Ｓｔｈ
ｅｏ
ｒｙ
图生成算法只能生成网络攻击图［７，９］或者子攻击
１　引　言 图［１，１０］．
程中，
但在实际的脆弱性利用威胁识别和分析过
通常需要基于网络攻击图和安全属性识别出
业务系统不可避免地存在脆弱性， 因而使其面 所有影响业务系统安全性的脆弱性利用威胁， 再基
临各种脆弱性利用威胁． 从脆弱性利用角度剖析业 于子攻击图对所识别出的各脆弱性利用威胁进行深
务系统面临的安全威胁是一种有效的业务系统安全 入分析．
分析途径． 攻击图是一种广泛应用的脆弱性利用分析 近年来攻击图的研究工作主要集中在攻击图可
方法．它从攻击者角度出发， 基于系统网络配置和脆 视化１１］和基于攻击图的安全分析
［ ［
４，
１
２
１］
４上．文献［
１１］
弱性信息， 分析脆弱性利用之间的依赖关系， 找出所 利用数据归约和攻击组合方法改善攻击图可视化方
有可能的攻击路径 ，［１
］
３ 以便管理员采取必要措施抵 法， 更关注攻击图呈现问题， 不是完备的攻击图分析
御安全威胁， 以降低安全风险． 因此，
攻击图可为信息 方法． 文献［１
０］尝试基于网络攻击图裁剪出特定安
系统安全风险评估和绩效分析提供重要依据 ． 全威胁所对应的子攻击图时，
［
４
５］ 发现了网络攻击图中
按攻击图中节点和边表示的含义不同， 本文将 的循环攻击路径问题， 但并未给出有效去除循环攻
攻击图分为状态攻击图和因果关系图． 状态攻击 击路径的方法． 文献［１２］给出从网络攻击图求取所
图 中的节点表示目标网络和攻击者的全局状 有狀
［
１，
６］
 有效路径的后向迭代算法， 一次只能生成一个
态，有向边表示单一攻击行为引起的状态转换． 状态 与特定安全威胁相关的子攻击图． 文献［ １
５
１］
６给出
攻击图由于存在状态空间爆炸问题， 不适用于大规 了基于Ｐ ｅ
ｔ
ｒｉ网的组合攻击模型， 但并未给出创建
模系统的安全性分析； 因果关系图 中，
［
７
９］ 节点表示 Ｐ ｅｔｒｉ 网攻击模型的方法． 文献［
１７应用贝叶斯网络
］
系统条件 属性
（ ）和原子攻击， 有向边表示节点间的因 评估网络脆弱性， 提出了量化评估计算方法， 但无法
果关系． 因果关系图克服了状态攻击图的状态组合爆 克服贝叶斯网计算过程中大量先验概率的获取问题．
炸问题， 具有更好的可扩展性， 能用于大规模网络安 文献 ［
４ 考虑攻击图中各个节点由于在攻击路径中所
］
全性分析． 目前的攻击图 大都属于因果关系图． 处位置不同而具有不同的重要性，
［７

１０］ 基于Ｐ ａ
ｇｅ
Ｒａ
ｎｋ思
依据攻击图中攻击路径覆盖范围， 本文将攻击 想将状态攻击图转换为Ｍ ａｒ
ｋｖ链，
ｏ 来计算攻击图
图分为网络攻击图和子攻击图． 网络攻击图展示业 中各个节点的重要度， 但仍未解决状态攻击图组合
务系统中所有可能攻击路径， 子攻击图只展示与特 爆炸问题．
定安全威胁相关的攻击路径． 网络攻击图适用于识 在基于子攻击图分析特定脆弱性利用威胁的过
别系统中各种可能影响到业务系统安全属性的脆弱 程中， 往往需要处理大量的不确定性信息， 这些不确
性利用威胁， 有助于评估业务系统整体安全性或态 定性主要表现在模糊性和不一致性． 传统基于概率
势，但网络攻击图 往往非常庞大，
［
７，
９］ 不适合对某一 的信息系统安全分析方法无法有效解决模糊性问
特定脆弱性利用威胁的分析； 子攻击图［１，１０］适于对 题［４，１７１８］．
基于ＤＳ证据理论的脆弱性利用威胁分
特定脆弱性利用威胁进行有针对性的分析和处置． 析方法可以有效处理信息安全分析过程中的不确定
在具体安全分析场景中， 鉴于系统业务重要性的不 性． 文献［ １
９使用Ｄ
］ Ｓ证据理论来处理网络风险评
同及资源有限和成本等因素影响， 往往需要进一步 估中的不确定性， 利用Ｄ Ｓ组合方法对风险评估指
分析所识别出的各种脆弱性利用威胁， 生成各脆弱 标相关的安全因子进行融合． 
ＤＳ证据理论因其在
性利用威胁所对应的子攻击图， 确定脆弱性利用威 不确定信息表达和合成方面的明显优势， 近年来广
胁的优先处置顺序， 以合理分配安全资源． 以往攻击 泛应用于数据融合 ， ［
１
４，１
９］但在脆弱性利用威胁分析
１
９４
０ 计　　算　　机　　学　　报 ２
０２年
１
方面的应用尚处于探索阶段． 图１所述原子攻击其实是一个Ｃ ＰＮ网结构， 其
本文旨在基于网络攻击图识别业务系统中各脆 中，用来表示原子攻击前提条件和后果的椭圆形节
弱性利用威胁，并通过对网络攻击图进行分解以得 点等同于Ｃ ＰＮ网结构中的库所； 用来表示原子攻击
到各脆弱性利用威胁所对应的子攻击图， 并评估各 动作本身的矩形节点等同于Ｃ Ｐ Ｎ网结构中的变迁．
脆弱性利用威胁度，以便对各脆弱性利用威胁进行 下面基于Ｃ ＰＮ给出原子攻击形式化定义．
优先级排序和处置．本文采用文献［２０中的攻击模
］ 定义１．　原子攻击犃 犃犌是一个Ｃ ＰＮ网结构，
型建模方法构建业务系统攻击模型， 并基于攻击模 记为犃 犃犌＝〈
犘犃狅，
狋，
犘 犱〉
犃 ，其中， 犘狅为
犃 所定义原子
型分析结果构建基于颜色Ｐ ｅ
ｔｒ网
ｉＣ（ＰＮ的网络攻
） 攻击的输入库所集合， 每个库所代表一个攻击前提
击图，然后将网络攻击图进行分解，可一次性得到各 条件， 它可定义为攻击者在源主机或目标主机上的
脆弱性利用威胁所对应的子攻击图， 并采用不确定 初始权限、 源主机到目标主机的攻击可达性、 脆弱性
性ＤＳ证据推理方法，
 将安全威胁所对应的子攻击 所依赖服务的可用性及脆弱性存在性； 狋为变迁， 它
图转换为不确定性ＤＳ推理规则集，采用ＤＳ推理
 表示原子攻击的一个脆弱性利用行为； 犘犃犱为原子
引擎计算各脆弱性利用威胁的威胁度． 最后以一个 攻击的影响库所集合， 其中每个库所记录该原子攻
典型Ｗｅｂ系统为例，
验证了本文所述安全威胁识别 击成功实施后的效果．
和分析方法的有效性． 图２为一个具体的原子攻击实例， 假设攻击者
要从其所控制的主机１利用主机２上的 Ｉ
ＩＳＷ ｂ服
ｅ
　安全威胁识别
２ 务中的一个缓冲区溢出漏洞（
必须满足以下４个条件：
Ｃ
ＶＥ
２００
２
攻击者在源主机Ｈ
０３６
４）
，则
（
１） １的
２．
１　网络攻击图定义和生成算法 权限至少为Ｕ ｓ
ｅ
ｒ 记为椭圆Ｕ
（ ＿ｈ
１）；（
２）主机１可以
为叙述方便，
本文称单次脆弱性利用攻击为原 访问主机２的Ｈ ＴＴＰ服务（ 记为椭圆ｈ ｔ
ｔｐ＿ｈ＿ｈ
１２）；
子攻击．如图１所示，原子攻击包括三类要素，即原 （
３）主机２上的 ＩＩＳ
５．０Ｗ ｂ服务正在运行（
ｅ 记为椭
子攻击成功实施所依赖的前提条件、 原子攻击动作 圆Ｉ
Ｉ ＿
Ｓｈ ）
；（）主机
２４ ２ Ｉ 上 的ＩＳ ５
．０服 务存在 一个编
本身以及攻击后果．其中，原子攻击前提条件包括攻 号为Ｃ ＶＥ
２０
０２
０３
６４的缓冲区溢出漏洞（ 记为椭圆
击者权限、攻击可达性、服务活跃性和脆弱性存在 ｖ
３６
４＿ｈ２）．
性．攻击者权限指攻击者在源主机和目标主机上获
得的权限级别，包括Ｎｏｎ
ｅ、
Ｕｓ
ｅｒ和Ｒｏ
ｏｔ权限；
攻击
可达性指攻击者从源主机发起的原子攻击能否抵达
目标主机；服务活跃性指原子攻击成功实施所依赖
的服务是否在目标主机上运行； 脆弱性存在性指攻
击所利用的脆弱性在目标主机的服务中是否存在．
在实际攻击中，只有满足这些前提条件的原子攻击
才可能成功实施．原子攻击成功实施的结果主要表
现为攻击者能力的提升，比如攻击者获得了目标主 图２
　原子攻击实例
机上的ｕｓｅ
ｒ或ｒｏ
ｏ
ｔ权限．
只有当以上４个条件都满足时， 攻击者才可能
成功的从Ｈ１上发起对Ｈ ２上Ｉ
ＩＳＷｂ服务的攻击
ｅ
（记为矩形ｖ３
６＿ｈ
４１＿ｈ
２）攻击结果是，
， 攻击者可能
获得了Ｈ２上的Ｒｏ
ｏｔ权限（记为椭圆Ｒ ＿ｈ）
２．
本文采用文献［２］
０中的攻击建模方法构建攻击
模型，所创建的攻击模型为一个Ｃ ＰＮ系统． 所述攻
击模型基于攻击能力增长假设． 定理证明： 该攻击模
型所对应ＣＰＮ系统在有限步仿真后一定进入死状
态，并且有且仅有一个死状态， 且在ＣＰ Ｎ系统进入
图１
　原子攻击 死状态时，Ｓ
ｕｃ
ｃｅ
ｓｓ
Ｅｘｌ
ｏ
ｐｉ
ｔＬｉ
ｓ
ｔ库所包含了攻击者成
 ９期 吴　迪等：
一种基于攻击图的安全威胁识别和分析方法 １
９４
１
功执行的所有脆弱性利用动作．由于可以采用Ｃ ＰＮ ６ ．　　ｃ
ｖｅ
ｅ
ｎ ｔ
ｒ
ｙ（
ｖｉ
ｄ，
ｓ，
ｔ
ｓｎ，
ｍｍ
ｔ，
ｖ，
ｔｏ
ｒ，
ｄ，
ｒｒ
ｒ）
＝
仿真方法代替复杂度较高的可达图分析方法， 因此， 　（
ｓｅａ
ｒ
ｃｈＣ
ＶＥＤ
Ｂ（Ｃ
ＶＥＤ，
Ｂｖ
ｉ
ｄ））
；
所述攻击模型分析方法具有较好扩展性， 非常适合 ７．　ａ
ｔ
ｏｍｉ
ｃ＿ｍ
ｏｄ
ｅｌ
＝
大规模网络的攻击建模． 　Ｃ
ｏｎ
ｓｔｒ
ｕｃ
ｔＡ
ｔｏ
ｍｉ
ｃＥ
ｘｌ
ｐｏ
ｉ
ｔＭｏ
ｄｕ
ｌ
ｅ（
ｓｅ
ｌ，
ｃ
ｖｅｅ
ｎ
ｔｒ
ｙ）；
ＣＮ攻击模型仿真结束后，
Ｐ 融合库所Ｓ ｕ
ｃｃｅ
ｓ ８
ｓ ．　犃
犌＝
中保存有本次攻击过程中所有可能成功 ９ Ａｐ
ｐｅ
ｎｄＡ
ｔｏｍ
ｉ
ｃＭｏ
ｄｕ
ｌ
ｅｔ
ｏＣ
ＰＮ（
犃犌，
ａ
ｔｏ
ｍｉ
ｃ＿ｍ
ｏｄ
ｅ）
ｌ；
Ｅ
ｘｌ
ｐｏ
ｉｔ
Ｌｉ
ｓ
ｔ ．ｅ
ｎｄ
执行的脆弱性利用攻击动作．
根据定义１可知， 每个 １ ０．
ｒ
ｅｔ
ｕ
ｒｎ犃
犌 ．
脆弱性利用动作可用原子攻击Ｃ ＰＮ模型表示． 当各 算法１给出了基于Ｃ Ｎ攻击模型中融合库所
Ｐ
原子攻击建模结束后， 可以根据各原子攻击之间依赖 Ｓ ｕｃｃｅ
ｓｓＥ
ｘｐｌｏ
ｉｔ
Ｌｉｓ
ｔ ｔｏ
ｋｅｎ值的网络攻击图生成
关系构建网络攻击图． 下面给出网络攻击图的定义． （ Ｎ ＡＧＧ）算法． 算法第１行和第２行将初始攻击图
定义２ ．　网络攻击图犃 犌是一个Ｃ Ｎ网结 犃
Ｐ 犌 置为空 ，调用 Ｍａｋ
ｅｐｌ
ａｅ过程创建一个表示攻
ｃ
构， 记为犃 犌 〈
＝犘 ０∪犘 ，
犱犜 ０∪犜 ，
犱犈 〉，其中 ，初始 库 击者拥有ｈ ０主机上ｒ ｏ
ｏｔ权限的库所， 并加入到初始
所集合犘 ０中每 个 库 所代 表 网络 和 攻 击者 的 初始 状 攻击图犃 犌中． 第３行到第９行为一个循环， 它为
态， 表示原子攻击成功实施的前提条件； 可达库所集 Ｓ ｕｃｃｅ
ｓｓＥ
ｘｐｌｏ
ｉｔ
Ｌｉｓ
ｔ 中记录的每个脆弱性利用动作
合犘 犱中 每个库所代表网络和攻击者的可达状态， 它 ｓｅｌ构造原子攻击Ｃ ＰＮ网结构， 然后追加到当前攻
记录原子攻击成功实施后的效果； 犜 ０为 独立型变迁 击图犃 犌中． 其中， 第５行对ｓ ｅｌ进行分解；第６行根
集合， 对于犜 ０中 各变迁， 其输入库所包含在初始库 据脆弱性利用漏洞编号检索Ｃ ＶＥＤＢ 库，
数据 得到
所集合犘 ０中，因 此 ，犜
０ 中各 变迁 所 代 表的 原 子攻 击 该脆弱性对应Ｃ Ｖ Ｅ条目ｃ ｖｅ
ｅｎ
ｔｒｙ第７行利用ｓ
； ｅ
ｌ
的实施不依赖于其它原子攻击； 犜犱为 依赖 型变迁 集 和ｃｖｅ
ｅｎｔ
ｒｙ输入数据， 根据原子攻击的Ｃ ＰＮ网结
合， 对于犜 犱 中各 变 迁，其 输 入库 所 集 合中 至 少有 一 构（如图５所示） 构造相应的Ｃ ＰＮ模块；第８行将构
个库所属于可达库所集合犘 犱，因 此， 成功 实施 犜犱中 造的原子攻击Ｃ ＰＮ模块追加到当前攻击图犃 犌中；
各变迁所代表的原子攻击必须依赖于其它原子攻 第１ ０ 行返 回 生成 的网 络攻击图 犃犌．
击；犈为连接Ｃ ＰＮ攻击图中库所和变迁的有向弧． 为确保网络攻击图犃 犌中脆弱 性利用的前提条
网络攻击图犃 犌满足如下约束： ①攻击图犃 犌中的 件和后果所对应库所及原子攻击所对应变迁的唯一
有向弧只能连接库所和变迁， 或者连接变迁和库所， 性， ＮＡＧＧ算法对脆弱性利用相关库所和变迁进行
即犈 犘 （
（ ０∪犘 ）
犱 ×犜（ ０∪ 犜 ））
犱 ∪犜 （
（ ０∪ 犜 ）
犱× 规 范命名．Ｎ ＡＧＧ算法采用如下规范命名规则来命
（
犘 ０∪ 犘 ）
）；
犱 ② 对 于 独立 型变 迁集 合犜０中 任 一元素狋 ， 名 各库 所和 变迁 ：
狉
狆犲 （
狋）表示该变迁的输入库所集合， 狆狅狊
狋（狋）表示该 （
１）前提条件“ 攻击者权限” 包括攻击者在源
（
变迁的输出库所集合， 则（狆狉犲（
狋）犘 ０）∧（狆狅
狊狋（
狋） 主机和目标主机上具有的权限） ，表示为“权限级别
犘犱）；③对 于 依赖 型 变迁 集合犜 犱中 任一元素 ，
狋狆狉
犲（
狋）（ 主机编号） ”
，其对应库所命名为“ 权限级别＿主机” ．
表示该变迁的输入库所集合， 狆狅狊
狋（狋）表示该变迁 如， 在构造攻击图时，攻击者在ｈ １上具有的权限
的输出库所集合， 则（ 狆∈ 狆狉犲（
狋 ）：狆∈犘 犱）∧ Ｕ ｓ
ｅ （
ｒｈ１）所 对应 的 库所名 为 ＿
Ｕｈ１ ．
（
狆狅狊狋（）
狋 犘 ）
犱． （
２）前 提 条件 “攻击 可达性 ”表
， 示为“协议（源
算法１ ．　网络攻击图生成算法（ ＮＡＧＧ）． 主机， 目标主机） ”，此前提条件对应库所命名为“ 协
输入：ＣＰＮ攻击模型中记录着所有成功的脆弱性利用 议 ＿源主机＿目标主机” ．如，在构造攻击图时， 主机
动作列表的融合库所Ｓ ｕｃｃｅ
ｓ
ｓＥｘｐｌ
ｏｉ
ｔＬｉ
ｓ
ｔ 值；根 １和ｈ
ｈ ２之间ｈ ｔｔｐ协议的可达性ｈ ｔ
ｔ
ｐ （
ｈ
１，ｈ
２）对应
据Ｃ ＶＥ定义的脆弱性利用信息数据库Ｃ ＶＥＤ
Ｂ ； 库所名为ｈ ｔｔ ＿
ｐｈ１ｈ＿２．
攻击者在主机ｈ ｏ
ｓ０上所需拥有的初始权限
ｔ （
３）前 提 条件 “服 务活跃性” ，表示为“服务名
Ｒｏｏ
ｔ，记为ｔ ｏ
ｋｅｎ“
ｒｏｏ
ｔ（
ｈｏｓｔ
０）” （主机名） ”
， 对应库所命名为“ 服务名＿主机名” ．如，
输出：网络攻击图犃 犌＝〈犘０∪犘犱，
犜０∪犜犱，犈〉 在构造攻击图时， 主机ｈ １上的ＩＩＳ服务ＩＩ
Ｓ５０（
ｈ１）
１ 犘
．０＝ ｛
Ｍａｒ
ｋｅｐｌ
ａｃ
ｅ（ｒ
ｏｏ
ｔ（ｈｏ
ｓ
ｔ０））｝
，犘犱＝ ，
犜０＝， 所 对应的库所名为 ＿ｈ
犜犱＝ ，
犈 ＝； ＩＩＳ
５０ １．
２ 犃
．犌＝〈 犘
０∪犘 犱，
犜０∪犜犱，
犈〉 （
４）前 提 条件 “漏洞存 在性”，表示为“漏洞编号
３ ．
ｆｏ
ｒｅａｃ
ｈｓｅ
ｌｉ ｎＳ
ｕｃ
ｃｅｓ
ｓＥｘｌ
ｏ
ｐｉ
ｔＬｉ
ｓｔ （主机名） ”
， 相应库所命名为“ 漏洞编号＿主机名” ．
４ ．
ｂｅｉ
ｇｎ （
５）对 于 脆弱 性 利用 后果，本文 仅指攻 击者 获
５ ．　ｓ
ｅｌ（
ｓ，
ｎｄｎ，ｖ
ｉ）
ｄ＝ｓｌ
ｐｉ
ｔ（ｓ
ｅ
ｌ）； 得的权限， 因此， 其命名方法和对应库所命名方法与
 １
９４
２ 计　　算　　机　　学　　报 ２
０２年
１
前提条件“攻击者权限”相同． 定义５ ．　子攻击图． 某脆弱性利用威胁犛 犚＝
（６某一脆弱性利用动作表示为“
） 漏洞编号（源 〈
犘 所对应的子攻击图为满足下述条件的网络攻
犆〉
主机，目标主机）
”，其相应变迁命名为“
漏洞编号＿源 击图犃犌 ＝〈犘 ０∪犘犱，
犜０∪犜犱，
犈 〉
，记犃犌的所有攻
主机＿目标主机”
．如在构造攻击图时，脆弱性利用动 击路径集合为犘 犃犜 ：（
犎犃犌 １）不存在 循环 路径，即对
作ＣＶＥ３
６（
４ｈ
１，
ｈ）
２对应的变迁名称为ｖ
３６
４＿ｈ
１＿ｈ
２． 狆
（狋
１，
狋，
２…，狋犾）犘
∈ 犃
犜 有
犎犃犌，犘狅狊
狋（
狋
犻）∩
犻
（
－
∪１
犘狉
犲（
犽 ）
）＝
犽＝１
　网络攻击图分解算法
３ ，
２犻 犾犽； （
２）任意攻击路径长度不超过指定
常数犖 （
犖 １），即狆（
狋１，
狋２，…，
狋犾）∈犘 犃犜
犎 犌，
犃
算法１所示网络攻击图生成Ｎ Ａ
ＧＧ算法所构 犔
犲狀（
狆） 犖；（３）任一攻击路径抵达的目标必然为脆
造的网络攻击图犃 犌包含了系统所有可能的攻击路 弱性利用威胁犛 犚中的节点， 即狆（
狋１，
狋２，…，
狋犾）∈
径，以及攻击者所有可能获得的攻击权限． 为了对特 犘犃
犜犎 犌，
犃 犔犲狀（狆）犖，
犘狅狊
狋（
狋犾）
∩犘犆≠ ．
定脆弱性利用威胁进行重点分析和优先处置， 需要 算法２为Ｎ Ａ ＧＤ算法 其
， 中，代码 第１到第７
基于各脆弱性利用威胁， 对网络攻击图进行分解， 以 行将网络攻击图所对应的Ｃ ＰＮ网结构转换为可仿
获得各安全威胁对应的子攻击图． 子攻击图包含了 真ＣＰＮ系统； 代码第８行对转换后的Ｃ ＰＮ系统进
攻击者从初始节点出发抵达指定威胁目标的所有可 行仿真，仿真必然在有限步停止； 代码第９到１ ５行
能攻击路径． 这里给出一个基于Ｃ Ｎ的网络攻击图
Ｐ 根据仿真结束后各脆弱性利用威胁相关库所记录的
分解算法， 可一次性分解出各脆弱性利用威胁所对 攻击路径列表对网络攻击图进行分解， 得到各威胁
应的子攻击图， 所述子攻击图不存在循环路径且最 对应的子攻击图． ＮＡＧＤ算法可在只执行一次网络
长攻击路径不超过预设值． 攻击图相关定义和网络 攻击图转换和Ｃ ＰＮ系统仿真前提下， 一次性得到各
攻击图分解算法如下． 脆弱性利用威胁所对应的子攻击图．
３．
１　网络攻击图分解算法和相关定义 算法２ ．　网络攻击图分解算法（ ＮＡＧＤ ）
．
输入：需分解的Ｃ ＰＮ网络攻击图犃 犌 ＝〈犘０∪犘犱，犜
０∪
定义３ ．　攻击路径． 设犘犪
狋犺狋
＝ 狋
１→２→…→ 狋狀 犜 犱，犈〉；脆弱性利用威胁列表｛ 〈
犘 犮〉
犻 ｝
犻
＝１狀；
．
． 子攻
是给定网络攻击图犃 犌中的一个变迁序列， 其中 击图中允许的最大攻击路径长度犖
狋
犻（
１犻狀）为变迁， 它代表一个原子攻击， 则称满足 输出：〈犘 犮〉
犻 中各威胁相关子攻击图犃 犌犛犻＝ 〈
犘′
０∪犘犱，
′
下面约束条件的变迁序列为攻击路径： ①变迁 狋１为 犜′０∪犜犱，
′ 犈′〉的列表｛ 犃犌犛犻｝
犻＝
１．狀，
． 其中每条攻击
独立型变迁； ②变迁 狋狀的输出库所集合犘狅
狋狊（
狋
狋狀）与 路径长度不大于犖
关键节点集合犘的交集不为空； ③变迁序列中前驱 １ ．犘′０＝ ， 犘′
犱＝， 犜′
０＝ ，犜′
犱＝ ， 犈＝；
′
变迁的输出库所为后继变迁的输入库所． 攻击路径 ．犃
２ 犌′ 〈
＝犘′０∪犘′，
犱犜′０∪ 犜
′ ，
犱犈′ 〉
；
长度为攻击路径所对应的变迁序列长度． ３
．ｆｏｒｅ ａ
ｃｈ狋 ｉ
ｎ 犜０∪犜 犱ｄｏｂｅ
ｇｉｎ
．
４　　 犃 犃犌＝ Ｏｂ
ｔａ
ｉｎＡ ＡＧ（
狋 ）；
定义４ ．　脆弱性利用威胁定义为犛 犚犻＝〈犘犻〉
犆， ５
．　　 犃 犃犌
′ ＝ＡＡＧｔｏＣ ＰＮ（犃犃犌，
犖 ）；
其中犘 犻为
犆 攻 击者在某关键节点上所获得的危害业 ６
． 犃
　　 ｐ 犌
′＝ Ａ ｐｅ
ｎｄＣＰ ＮＭ ｏ
ｄｅ
ｌ（犃犃犌
′ ，
犃 犌
′）；
务系统安全的权限集合， 脆弱性利用威胁所对应的 ７
．ｅｎｄ
子攻击图只包含了从初始节点出发抵达集合犘 犻中
犆 ８
．ＣＰ Ｎ Ｓ
ｉｍｕｌａ
ｔｅ（
犃犌′ ）；
各元素所示权限的攻击路径． 本文所指威胁除特别 ９
．ｆｏｒ犻 ＝１ ｔｏ狀ｄｏｂ ｅｉ
ｇｎ
说明外， 均为脆弱性利用威胁． １
０．　 Ｖａｌ
ｉｄＴｒａ
ｎｓＳ
ｅｔ＝
网络攻击图分解需要解决两个问题： （）
１循环 　　 Ｏｂｔａｉ
ｎｔ
ｒａｎ
ｓｉｔｉ
ｏｎＳｅ
ｔｆ
ｒｏｍＰｃ（犃犌′，
犘犮）
犻 ；
攻击路径问题； （
２）超长攻击路径问题．根据攻击者 １
１．　犃 犌犛犻＝ 犃犌；
能力单调增长特性可知， 实际攻击过程中攻击者没 １
２．　ｆｏｒ ｅ
ａｃｈ狋ｉｎ犜 ０∪犜 犱ｄｏｂｅ
ｇｉ
ｎ
１
３．　 　 Ｉ
ｆ （
狋 Ｖ
ａｌ
ｉｄＴｒａｎｓ
Ｓ ｅ
ｔ）
有必要重复获取已获得的攻击能力， 因此循环攻击 　　　 ｔｈｅｎＲｅｍｏ
ｖ ｅｔ
ｒａ
ｎ ｓ
ｉ
ｔｉ
ｏｎｆ
ｒｏｍＣＰ Ｎ（
犃犌犛犻，
狋）
路径没有实际意义， 并且循环攻击路径的存在会增 １
４．　ｅｎ ｄ
加子攻击图分析复杂度． 根据以往对黑客攻击事件 １
５．ｅ
ｎｄ
的研究显示， 实际网络攻击场景中， 并不存在超长的 １
６．ｒ
ｅｔｕｒｎ｛犃犌犛犻｝
犻＝１．
．狀．
攻击路径 ．
［１
２］ 这里首先给出子攻击图定义， 然后给 在算法２所示的Ｎ Ａ ＧＤ算法中， 函数Ａ ＡＧ
出一个可以消除循环攻击路径和限制攻击路径长度 ｔ ｏＣ
ＰＮ将 原 子攻 击犃 犃犌 〈
＝犘 犃 ，
０狋，犘 犃
犱〉 转换 为 可仿
的网络攻击图分解（ ＮＡＧ
Ｄ 算法．
） 真ＣＮ子模块犃
Ｐ 犃犌′ ，它是Ｎ Ａ ＧＤ算法实现的关
 ９期 吴　迪等：
一种基于攻击图的安全威胁识别和分析方法 １
９４
３
键步骤．该函数所用到的颜色类型定义见表１ 函数 解为攻击路径和攻击能力列表的脚本表达式；
． 代码
ＡＡ
Ｇｔ
ｏＣＰＮ伪代码如算法３所示，其中，代码１～４ 第９～１１行为（
狋×犘犱）
犃 中各输出弧附上可将变迁狋
行为犘犃
０中各输 入库所指定颜色类型ＡＰＴ并
，为属 所代表 的脆弱性利用行为追 加到当前攻击路径中以
，
于初始库所集合犘 ０的各输入库所建立一个攻击路 及将变迁犜输出结果所代表的攻击者能力追加到当
径和攻击者能力列表都为空的ｔ ｏ
ｋｅ
ｎ；代码第５行 前攻击者能力列表中的弧表达式； 代码第１２行创建
为输出库所犘犃犱中各库所指定颜色类型ＡＰＴ代码 颜色类型为Ａ
； Ｌ的库所犘
Ｐ 它记录了所有经过变迁
犺，
６８行将（
～ 犘０×
犃 ）
狋中各输入弧改为双向弧，以避免 狋 的攻击路径的列表，以防止仿真过程中变迁 狋的同
变迁狋与其它变 迁在输入库所代表的攻击条件上形 一绑定 被重复触发代
；码 第１４行为变迁添 加
狋 ｇｕａ
ｒ
ｄ
成竞争；同时为双向弧附上可将ＡＰＴ类型ｔｏ
ｋｎ分 函数，
ｅ 以去除攻击图中的循环路径和超长路径．
表１
　函数犃
犃犌
狋狅
犆犖中用到的颜色类型定义说明列表
犘
序号 颜色类型名称 定义 记录内容
１ ＡＰ ｃ
ｏ
ｌｓ
ｅｔＡ
Ｐ＝ｌ
ｉ
ｓｔＳ
ＴＲ
ＩＮＧ 脆弱性利用过程中已经成功执行的原子攻击序列
２ ＡＴ ｃ
ｏ
ｌｓ
ｅｔＡ
Ｔ＝ｌ
ｉ
ｓｔＳ
ＴＲＩ
ＮＧ 脆弱性利用过程中攻击者获得的能力或权限列表
３ ＡＰ
Ｔ ｃ
ｏ
ｌｓ
ｅｔ
ＡＰＴ＝
ｐｒ
ｏｄ
ｕｃ
ｔＡＰ
ＡＴ 包括ＡＰ和ＡＴ两部分
４ ＡＰ
Ｌ Ａ
ＰＬ：
ｃｏ
ｌｓ
ｅｔ
ＡＰＬ＝
ｌｉ
ｓ
ｔＡＰ 经过各变迁的攻击路径的列表
算法３
．　Ａ
ＡＧｔ
ｏＣ
ＰＮ函数伪代码． ｖ
２＿０
＿３所代表的脆弱性利用行为追加到当前攻击路
输入：
网络攻击图犃 犌＝〈犘０∪犘犱，
犜０∪犜犱，
犈〉
；需转 径中，同时将变迁ｖ＿０
２ ＿３成功执行后所获得的攻击
化的原子攻击图犃 犃犌 〈
＝犘犃 ，
０狋，
犘犃
犱〉 权限（获得了ｈｏ
ｓ３上的ｒ
ｔ ｏ
ｏｔ权限）追加到当前攻击
输出：
犃犃犌相应的被转化的Ｃ Ｎ子模块犃
Ｐ 犃
犌′ 者能力列表中；创建一个颜色类型为Ａ ＰＬ的历史库
１
．Ｆｏ
ｒｅ
ａｃ
ｈ狆ｉｎ犘狅ｄ
犃 ｏ 所ＰＨ，分别创建从ＰＨ到ｖ２＿０
＿３和从ｖ＿０
２ ＿３到Ｐ Ｈ
２
．　Ａ
ｔｔ
ａｃ
ｈＣ
ｏｌ
ｏｒ
Ｔｙｅ
ｐ（，
狆犃
犘 犜）
； 的有向 弧并
，分别附加 弧表达 式“ 和
”“ ［
３
．　ｉ
ｆ狆∈犘ｔ
ｈｅｎＡ
ｔｔ
ａｃ
ｈＥｍｐｔ
ｙＴｏｋ
ｅ（
ｎ狆） ｌｐ
ｐ ｌｐ
! ! １，
］”
４
．Ｅｎ
ｄｆｏ
ｒ
０
以记录经过变迁Ｔ的所有攻击路径的列表．
５
．Ｆｏ
ｒｅａ
ｃ
ｈ狆 ｎ犘
ｉ 犪犱ｄｏＡ ｔ
ｔａ
ｃｈＣｏｌ
ｏｒＴ（
狆，
犃犘
犜 ）；
Ｅｎ
ｄｆｏ
ｒ
６
．Ｆｏｒｅ
ａ
ｃｈ犲ｉ
犻ｎ（犘 ０×
犃 狋）ｄｏ
７
．　犲犻＝Ｍａ
ｋｅＤｕ
ｒａｌＡｒ
ｃ （
犲）
犻，
犲犻∈（
犘 ０×
犃 狋）
!犲犻∈ （
狋×犘犃０）
；
　　　Ａｔ
ｔ
ａｃｈ
Ｓｌ
ｐｉ
ｔＡＰ ＴＥｘｐ（
ｒ犲）
犻
８
．Ｅｎｄｆ
ｏｒ
．
９Ｆｏ
ｒｅａ
ｃ
ｈ 犲
犻ｎ（
ｉ 狋× 犘犃犱）（
狋×犘 犱）
犃 ｄ
ｏ
１
０．
　Ａｔｔ
ａ
ｃｈＡ
ｒｃＥｘ
ｐｒｅｓ
ｓｉｏｎ（
犲犻，
犕 犽
犈 狓狉
狆（
犘狉
犲（
犲）
犻，
犘狅狊
狋 （
犲犻）
））
１
１．
Ｅｎ
ｄｆｏ
ｒ
１
２犘
．犺＝Ｍａ
ｋｅ
Ｈｉｓｔ
ｏｒｙＰ
ｌａｃｅ（
犃 犘犜）；
１
３．
Ａｔ
ｔａ
ｃｈ
Ｇｕｒ
ａｄ（
狋）；
１
４．
ｒｅ
ｔ
ｕｒ犃
ｎ犃犌．
图３为一个利用Ａ Ａ
ＧｔｏＣＰＮ函数将与变迁
ｖ＿
２０３＿ 相 关 的原子 攻击网结 构 转换为可执行Ｃ ＰＮ
子模块实例． 其中， 设置输入库所Ｒ ＿０，ｄ
ｎｓ ＿０
＿３，
ｂ
ｎｄ＿ｈ３和ｖ ２ ＿ｈ
３的颜色类型为Ａ ＰＴ ；设置输出库
所Ｒ ＿３的颜色类型为Ａ ＰＴ；分别为４个输入库所
＿
Ｒ０ｄ，ｎｓ＿ ＿
０３ｂ，ｎ ＿
ｄｈ 和
３ｖ ＿
２ｈ ３附加初始ｔ ｏｋ ｎ值
ｅ 图３
“（
［］，［］）”；将从输入库所到变迁ｖ ２＿０＿３的４个输 　利用Ａ
ＡＧｔ
ｏＣ
ＰＮ函数转换原子攻击例子
入弧设置为双向弧， 并定义弧表达式为（ 狆，
犻狋）
犻 以表
； 图３中， 为变迁ｖ２＿０＿３设置ｇｕａ
ｒｄ函数
达式“ （ｐ１!! ［
“ｖ
２＿０＿３
”］
，ｔ
１!! ［
“＿３
Ｒ ”］）”标识从变 “
ｇ （
“＿
ｄＲ３ｐ”
，１，
ｔ ，
１ｐ
ｌ）
”，以限定变迁２０３所代表
ｖ＿ ＿
迁ｖ ＿ ＿
２０３ Ｒ３到 库所 ＿ 的输出 弧（表达 式 中 的!! 为 原子攻击的执行条件， 限定条件为３个条件的与：
ＣＰＮ语言中ｌ ｉｔ元素追加运算符）
ｓ ，从而将变迁 ①该变迁的执行不会导致循环攻击路径； ②该变迁
 １
９４
４ 计　　算　　机　　学　　报 ２
０２年
１
的执行不会获取到重复的攻击权限； ③该变迁所在 态时， 各威胁节点对应库所ｔ ｏｋ
ｅｎ值包含了攻击者
攻击路径长度不超过指定值． 抵达脆弱性利用威胁节点的所有无环和最大长度不
３．
２　 犖犃犌犇算法复杂度分析 超过犖的攻击路径集合．
ＮＡ ＧＤ 算法 包 括 转 换、 仿真 和 裁剪 ３ 个 步 骤 ， 定理２证明与文献［ ２０］中的定理１证明类似，
其算法复杂度主要由第８行的Ｃ ＰＮ系统仿真复杂 首先证明可采用Ｃ ＰＮ系统仿真代替Ｃ ＰＮ可达图分
度决定， 因此， 这里只分析Ｃ ＰＮ系统的仿真复杂度． 析法， 然后基于本文定理１可得定理２结论． 由于篇
为说明Ｎ Ａ ＧＤ算法的正确性和有效性， 这里给出两 幅所限， 定理２证明过程从略．
个定理．
定理１ ．　ＮＡ ＧＤ算法中， 由网络攻击图转换而 ４ 　 脆弱性利用威胁度评估
来的Ｃ Ｐ Ｎ 系统 仿真 复 杂 度 为 （
犗犿犽 （ｔ
ｏ犽
ｕ
ｔ ｏ
ｐｕ
ｔ）犖），其
中，犿 为 网 络攻 击图 中 的 独 立 型变 迁 数量 ；
犽 ｐｏ
ｕ
ｔ为库 本文采用Ｄ Ｓ证据不确定性推理方法评估各
所最大输出度； 犽ｔ
ｏｕ
ｔ为变迁最大输出度； 犖为子攻击 脆弱性利用威胁的威胁度． 这里首先给出脆弱性利
图中允许的攻击路径最大长度． 用威胁度和Ｄ Ｓ证据推理相关定义，
 然后给出脆弱
证明． 　采用数学归纳法证明． 假设网络攻击图 性利用威胁度评估Ｖ ＥＴＥ算法．
所对应的Ｃ ＰＮ网结构中， 各库所犪 犻输出度最大为 定义６ ．　脆弱性利用威胁度为从指定脆弱性
犽
ｐｏ
ｕ
ｔ；各 变 迁 犜
犻输 出 度 最 大 为犽ｔｏ
ｕｔ；网络攻 击 图中 存 利用威胁的子攻击图犃 犃 犌到区间［ ０，１］的映射犳 ：
在犿个独立型变迁． 假设子攻击图中允许出现的最 犃 犃犌→［ ０，１］，用来综合评估攻击者达到脆弱性利
大攻击路径长度为１ ，则只有犿个独立型变迁能被 用目标的成功率， 攻击者达到脆弱性利用目标成功
触发， 因此， ＣＰＮ系统在犿步仿真后停止， 这犿个 率越大， 脆弱性利用威胁度越大， 反之越小．
独立型变迁将最多向犿 犽 ｔ
ｏ
ｕｔ个库所输出ｔ ｏｋｅｎ；假设 定义７ ．　具有不确定性的推理规则可表示为
子攻击图中允许出现的最大攻击路径长度为２ ，则 ＩＦ犈ｔ ｈ
ｅｎ犎， 犆犉 ；其中犎为假设 ，表示为犎＝
由第１步攻击所得到的最多犿 犽ｔｏ
ｕ 个
ｔ ｔｏ
ｋｅｎ 将 可 能 ｛
犪１，犪２，…，犪犿｝
，犪犻∈Ω；犈为支持犎成立的假设集，
触发最多犿 犽
ｔｏ
ｕ犽
ｔｐｏ
ｕｔ个 变 迁 ，这 些 变 迁 将 向 最 多 它们是命题的逻辑组合， 犆犉为可信度因子， 犆犉＝
犿
犽２
ｔｏ
ｕ犽
ｔｐｏ
ｕｔ个 库所 输 出 ｔ
ｏｋｅｎ 假
； 设 子 攻击 图 中 允 许 ｛
犮１，
犮２，…，犮犿｝，
犮犻用来描述前提犈成立时 犪犻的 可信
出现的最大攻击路径长度为３ ，则第３步可能触发 度， 且犮 犻满 足 如 下 条 件：（ ）
１犮 犻 ，
０１ 犻 犿；
的变迁数最多为犿 犽２ 犽２ 个； 利用归纳法可知， 在 （） 犿
ｔｏ
ｕｔｐｏ
ｕｔ
子攻击图中允许出现的最大攻击路径长度为犖的 犻 ２ ∑＝
犮
１
犻１．
情况下， 第犖步攻击可能触发的变迁数最多为 定义８ ．　不确定性传递． 对于不确定性规则Ｉ Ｆ
犿
犽ｔ
犖
ｏ
ｕｔ犽
－１犖
ｐ 个
ｔ ．
－
ｏ
ｕ
１ 因 此 ，在连 续 犖 步 攻 击中 ，ＣＰＮ 系 统 犈ｔｈｅｎ犎犆， ， 定
犉 犿犪 义 （
｛ ｝
）
犻 ＝ （
犳犈犮 ） （
犻犪 犻＝１，
仿真所触发的变迁数最多为（ 犿＋犿 犽 犽 ｔ＋ 犿
犿
犽２
ｔｏ
ｕ犽
ｔ
２
ｐｏ
ｕｔ＋…＋犿 犽犖
ｔ
ｏｔ犽
－
ｕ
１ 犖
ｐ
－
ｏ
ｕｔ）
１ ＝犿（ 犽
犖
ｔ
ｏｕ
ｔ犽
ｔ
ｏ
犖
ｐ
ｕ
ｔ
ｏ
ｕｔ－
ｏ
ｐｕ
１）／ ２，
… ，犿），并 规定 ：① 犿（Ω）＝１－ ∑
犻
＝１
犿（ ｛
犪犻｝）；②对
（
犽ｔ
ｏｕ
ｔ犽ｏ
ｐｕ
ｔ－１ ）
．因此， 由网络攻击图转换而来的Ｃ Ｐ Ｎ 于Ω的所有其它子集犎， 均有犿 （犎） ＝０．
系统仿真复杂度为犗 （犿（犽ｔ
ｏｕ
ｔ犽ｏ
ｐｕ
ｔ））
犖 ． 证毕． 定 义 ９．　不 确 定性 组 合．当规 则 的 前提（ 证据）
在网络攻击图中， 独立型变迁数犿一般为较小 犈是多个命题的合取或析取时， 定义：
值，变迁最大输出度犽 ｔ
ｏ
ｕｔ和 库所最大输出度犽 ｏ
ｐｔ为 犳
ｕ （
犈１∧犈２∧ …∧犈狀）＝ｍｉｎ（
犳 （
犈１），
犳（犈２ ）
，…，犳（犈狀）
），
较小常数； 最大攻击路径犖一般长度为３或４ 综上 犳
． （
犈１∨犈２∨ …∨犈狀）＝ｍａｘ（犳（
犈１），
犳 （
犈 ２）
，…，犳（犈狀）
）．
所述， 算法２所示的网络攻击图分解Ｎ ＡＧＤ算法计 当有狀条规则支持同一结论时， 即如果犎＝
算复杂度与文献［ １２］中求取犖  有效攻击路径计算 ｛ 犪１，犪２，…，犪犿｝
， 则
方法相比复杂度更小， 且本文所述Ｎ Ａ
ＧＤ算法可一 Ｉ Ｆ犈 犻ｔ
ｈｅｎ犎， 犆犉（
犻犆犉犻＝｛犆１，
犻 犆２，
犻 …，犆犻犿｝），
次性求出各脆弱性利用威胁所对应的子攻击图， 比 １犻狀．
文献［ １
２ ］中所述一次只能求取一个关键节点集合的 如 果 这些 规 则相 互 独立 的支持结论犎成立， 则

Ｎ 有效攻击路径灵活性更好． 可以先计算
定理２ ．　ＮＡ ＧＤ算法中， 由网络攻击图所对应 犿 （
犻｛犪１｝，｛
犪２｝
， …，｛
犪犿｝）＝
的ＣＰ Ｎ网结构转换而来的Ｃ ＰＮ系统在有限步仿真 （ 犳 （
犈犻）犆
犻１，
犳 （
犈犻）犆２，
犻 …，犳（
犈犻）犆犻犿），
１ 犻狀，
后一定进入死状态， 且有且仅有一个死状态； 在死状 犿 （
犻｛犪１｝，｛
犪２｝
， …，｛
犪犿｝）＝
９期 吴　迪等： 一种基于攻击图的安全威胁识别和分析方法 １９
４５
（
犳（
犈）
犻·犆
犻１，
犳（
犈）
犻·犆
犻２，…，
犳（犈
犻）
·犆犿）
犻 ，１犻狀
． ４ ．　〈
犘 狅，
犃 ，
狋犘
犃犱〉
＝Ｄｅｃ
ｏｍｏ
ｐｓ
ｅＡ
ＡＧ（
犪犪）
犵；
然后根据证据合成法则对犿 犻进行证据合成， 得 ５．　犚犻＝Ｃｏ
ｎｖ
ｅｒｔ
２
ＩＦ
Ｔｈ
ｅｎ
Ｒｕ
ｌ
ｅ（
犘犃
狅，，
狋犘
犃犱）；
到所有规则对结论犎的支持． ６．Ｅ
ｎｄ
算法４给出基于Ｄ  Ｓ证据推理的Ｖ ＥＴＥ算法， ８ ７．Ｆ
ｏｒｅａ
ｃｈ狉ｉｎ｛
犚｝
犻 ｄ
ｏ
它包括 ．Ｂ
ｅｉ
ｇｎ
３组步骤： （
１）第 １行至第６行将子攻击图转 ９ ．犚
　′
犻＝Ｃｏｎ
ｖｅ
ｒｔ２
ＤＳ
Ｒ ｕ
ｌ
ｅ（
狉，
犇犛犞
犈）；
换为如定义７所示的Ｉ Ｆ 
ｔｈｎ规则集，
ｅ 其中， 对于子 １ ０．
ｅ
ｎｄ
攻击图中每个变迁， 算法第３行抽取该变迁所对应的 １ １犞
．犈
犐 ＝ＤＳ
Ｒｅａ
ｓｏ
ｎｉ
ｎｇ（
｛犚
′
犻｝
）；
原子攻击，第４行将原子攻击分解为原子攻击前提条 １ ２．
ｒ
ｅｔ
ｕｒ （
ｎ犞犈 ）
犐．
件、
原子攻击动作和原子攻击后果，算法第５行根据
原子攻击分解结果生成ＩＦ
ｔ
ｈｅ规则
ｎ ； （
２）第７行至 　实验分析
５
第１０行根据ＣＶＳ发布的脆弱性利用难易程度评
Ｓ
估经验值和初始证据可信度等知识， 将ＩＦ
ｔ
ｈｎ规
ｅ 本文建立了一个典型Ｗ ｂ应用业务系统实验环
ｅ
则转换为Ｄ Ｓ证据推理规则；
 （
３）第１１行利用 境，用于验证基于攻击图的安全威胁识别和分析方法

ＤＳ证据理论推理引擎对所生成的ＤＳ证据推理规 的有效性． 实验系统拓扑结构如图４所示， 部署在网
则集进行不确定性推理， 最终得到脆弱性利用威 络信任域边界处的防火墙将系统网络分成内网、
胁度． ＤＭＺ区 和可访问互 联
网的 外网３个安全域 各安全域
，
算法４
．　Ｖ
ＥＴＥ算法． 之间的 安全策略如下 ：（
１外
） 网用户只允 许访问ＤＭＺ
输入：脆弱性利用威胁相关子攻击图犛犃
犌＝〈犘
０∪犱，
犘 区 Ｈ２上的Ａｐａｃ
ｈｅＷｅ服
ｂ Ｈ务和 ３上 的Ｄ
ＮＳ域名
犜 犜
∪
０ 犱，
犈〉；已知脆弱性利用和证据知识 库 服 务；（
２）ＤＭ
Ｚ 区的Ｈ２允许访问 Ｈ３上的Ｓｅ
ｎｄｍ
ａｉ
ｌ
犇犛犞
犈 服务和内网Ｈ ４上的Ｐｏ
ｓ
ｔｇｒ
ｅＳＬ服务；
Ｑ （
３）禁止Ｈ２
输出：子攻击图相关脆弱性利用威胁的威胁度犞犐 和Ｈ
犈 ３直接访问内网中其它主机； （４）内网中的管理
１．
Ｆｏ
ｒｅａｃ
ｈ狋ｉ
ｎ犜 犜
０∪犱ｄ
ｏ 主 机Ｈ５允许直 接访问Ｄ Ｍ 的
ＺＨ 和
２ Ｈ３及内网的
２．
Ｂｅ
ｇｉ
ｎ Ｈ 各应用终端的软件配置和脆弱性信息见表２
４． ．
３　犪
． 犪犵＝Ｏｂ
ｔａ
ｉ
ｎＡＡ（
Ｇ）
狋；

图４
　Ｗｅｂ系统拓扑图
表２
　犠犫业务系统软件配置及脆弱性信息
犲
主机 所在网段 提供服务 Ｃ
ＶＥ编号（
内部编号） 脆弱性利用条件 脆弱性利用 利用成功率
（
ｔｙ
ｐｅ，
ｓ
ｐｒ，
ｄ
ｐｒ） 结果权限
Ｈ０ 外网 攻击工具 无 无 无 ０　
Ｈ２ ＤＭ
Ｚ Ａａ
ｐｃ
ｈｅ
２．０（Ｈ
ＴＴＰ） ＣＶＥ

２０
１１
３
６０
７（
１） （
ｒ
ｅｍｏ
ｔ
ｅ，
１，
０） ２ ０．
５０
Ｂ
ＩＮＤ８ｘ（
． Ｄ
ＮＳ） ＣＶＥ

２０
０１
０
０１（
０２） （
ｒ
ｅｍｏ
ｔ
ｅ，，
１０） １ ０．
４０
Ｈ３ ＤＭ
Ｚ Ｓ
ｅｎｄ
ｍａｉ
ｌ（Ｍ
ａｉ
ｌ）
Ｏ
ｐｅ
ｎＳＳＤ（
Ｈ ＳＳ
Ｈ） ＣＶＥ

２０
０２
１
３３
７（
５） （
ｒ
ｅｍｏ
ｔ
ｅ，
１，
０） １ ０．
５
　
Ｈ 内网 Ｏ
ｐｅ
ｎＳＳＤ（
Ｈ ＳＳ
Ｈ） ＣＶＥ

２０
０２
０
００（
４４） （
ｌｏ
ｃａ
ｌ，，
１１） ２ ０．
４
　
４ Ｐ
ｏｓ
ｔ
ｇｒ
ｅＳＱＬ８．
２（
ＳＱ
Ｌ） Ｃ （） （ ，，）
ＶＥ

２０
１０
４
０１
５７ ｒ
ｅｍｏ
ｔ
ｅ１０ １ ０．
３
　
ＣＶＥ

２０
０２
０
１９（
３６） （
ｒ
ｅｍｏ
ｔ
ｅ，，
２０） １ ０．
３
　
Ｈ
５ 内网 Ｉ
Ｅ７．０（ＨＴ
ＴＰ） ＣＶＥ

２０
０８
０
１１（
０８） （
ｒ
ｅｍｏ
ｔ
ｅ，，
１０） ２ ０．
３
　
Ｏｕ
ｔｌ
ｏｏ
ｋ２０
０７（Ｍ
ａｉ
ｌ）
ＣＶ
Ｅ
２０
１０

０８
１ （
６３
　） （
ｒ
ｅｍｏ
ｔ
ｅ，，
２０） ２ ０．
２
　
１
９４
６ 计　　算　　机　　学　　报 ２
０２年
１
应用文献［ ２０］中给出的攻击建模方法为此 基于Ｃ ＰＮ的网络攻击图如图５所示． 从图５可以
Ｗｂ业务系
ｅ 统建立攻击模型，
］对
然后利用标准工具 看出， 攻击者在初始状态拥有主机Ｈ ０上的Ｒｏｏ
ｔ 权
Ｃ
ＰＮＴｏｏ
ｌｓ Ｃ
［
１
９ 该 ＰＮ攻击 模型进行仿 真． 仿真 限（用库所 ＿
Ｒｈ０表示），它可以利 用 主机Ｈ３上 编
结束后，融合库所Ｓ ｕｃ
ｃｅ
ｓ
ｓＥｘ
ｐｌ
ｏｉ
ｔＬ
ｉ
ｓｔ的ｔ
ｏ ｋ
ｅｎ 数据 号为２（Ｃ
ＶＥ
２
００１
０
０１
０）的脆弱性 ，从 而获得 Ｈ３上
为１［
′（Ｈ０，
Ｈ ２，）
１，（Ｈ０，
Ｈ３，
２）
，（Ｈ２，Ｈ３，２， 的Ｒ
） ｏ
ｏｔ权限，它由图５中名为ｖ２＿０＿３的原子攻击
（
Ｈ２，
Ｈ３，
５），（Ｈ２，
Ｈ５，
６）
，（２，
Ｈ ４，
Ｈ７）
，（
Ｈ ３，
Ｈ ５，
３， 表示；
） 攻击者也可以利用主机Ｈ ２上编号为
（
Ｈ ，
５Ｈ ，），
４７ Ｈ（ ，
４Ｈ ，）
，（
４４ Ｈ ，
４Ｈ ，）
，（
３２ Ｈ ，
３Ｈ２１，）
， （
１ＣＶ
Ｅ２
０１
１
３６０
７的
）脆 弱性从
， 而 获 得Ｈ２上 的
（
Ｈ４，
Ｈ３，
５），（Ｈ５，
Ｈ２，
１）
，（５，
Ｈ ３，
Ｈ２）
，（
Ｈ ５，
Ｈ３，５）
，Ｒ ｏ
ｏ
ｔ权限，它由图５中名为ｖ １＿０＿２的原子攻击
（
Ｈ４，
Ｈ２，
１ ）
］．应用２．１节给出的Ｎ ＡＧ算法构造 表示．
Ｇ

图５
　由Ｃ
ＰＮ攻击模型结果生成的网络攻击图
基于Ｗ ｅｂ业务系统安全属性对图５所示的网 换后的Ｃ ＰＮ系统进行仿真， 仿真在有限步内结束
络攻击图进行分析， 可识别影响Ｗ ｅｂ业务系统安全 后， 各脆弱性利用威胁相关库所中包含了攻击者从
性的各种脆弱性利用安全威胁， 即攻击者可能获得 初始节点出发抵达目标节点所有可能的步长不超过
的影响业务系统网络节点安全属性的攻击权限． 根 ３的脆弱性利用攻击路径， 因此，可以基于这些攻击
据Ｗｅｂ系统业务流和安全属性分析可知， 影响到本 路径信息对网络攻击图进行分解， 一次性得到各种
业务系统安全的关键节点为Ｈ ２Ｈ， 和
３ Ｈ ４．易
容 从网 脆弱性利用威胁所对应的子攻击图．
络攻击图中识别出它们可能面临的脆弱性利用威胁 这里以节点Ｈ ４和 Ｈ５面临的脆弱性利用威胁
分别为｛Ｒ＿２
｝、｛
Ｒ＿３
｝、
｛＿４
Ｕ，Ｒ＿４
｝和｛Ｕ＿５，Ｒ＿５｝． ｛Ｕ＿４ ，
Ｒ＿４｝和｛Ｕ ＿５，
Ｒ＿５｝为例，给出相应的子攻击
下面利用Ｎ Ａ Ｄ算法从网络攻击图分解出各
Ｇ 图． 网络攻击图仿真结束后， 库所Ｕ ＿４的ｔｏ
ｋｎ值为
ｅ
脆弱性利用威胁所对应的子攻击图． 这里假设在子 １（
′ｖ［ １＿
０＿ ，
２ｖ ＿ ＿ ］，
［ ＿
７２４ Ｒ２Ｕ４＋＋，＿ ］
） １ （
［
′ｖ２＿０
＿３
，
攻击图中允许出现的最长攻击路径为３ ．
ＮＡＧ Ｄ算 ｖ
１＿３ ＿２
， ｖ
７＿２＿４
］， ［＿３
Ｒ ，Ｒ＿２，
Ｕ＿４］）
，表明存在两
法第１阶段将图５所示的网络攻击图转换为可仿真 条长度不超过３的攻击路径， 使攻击者可以获得节
Ｃ
ＰＮ系统； 第２阶段利用Ｃ Ｐ
ＮＴ ｏ
ｏｌｓ工具［２１］对转 点Ｈ ４上 的Ｕ ｓｒ权限；
ｅ 库所Ｒ＿４的ｔ ｏｋ
ｅｎ值为
 ９期 吴　迪等：
一种基于攻击图的安全威胁识别和分析方法 １
９４
７
１
′（［ｖ１＿０
＿２，
ｖ
７ ＿２＿４，ｖ
４＿４ ＿４
］，［Ｒ＿２ ，
Ｕ ＿４，＿４
Ｒ ］）
， 在得到指定节点面临的各种脆弱性利用威胁所
这表明存在一条长度不超过３的攻击路径， 使得攻 对应子攻击图后， 下面根据ＶＥＴＥ算法计算各脆弱
击者可以获得节点Ｈ ４上 的 Ｒｏｏ 权
ｔ ．限 性利用威胁度． 由于篇幅问题， 这里只给出脆弱性利
脆弱性利用威胁｛ Ｒ＿４ ，
Ｕ＿４｝所对应的子攻击图 用威胁｛Ｒ＿４
，Ｕ＿４｝的脆弱性利用威胁度计算过程．
如图６ （）
ａ所示． 类似地， 对于脆弱性利用威胁｛ Ｒ＿５
， 首先，将图６（）
ａ 所示的子攻击图转换为如图７所示
Ｕ＿５｝，库所Ｒ ＿５的 ｔｏｋｎ值为１
ｅ （
′ ［ｖ
１＿０＿２，
ｖ５＿２＿３
， 的不确定性推理规则集； 然后，根据初始证据可信度
ｖ ＿ ＿ ］
，［＿ ， ＿
３３５ Ｒ２Ｕ３Ｒ５ Ｕ５ ｔ， ＿ ］
），库所 ＿ 的 ｏ
ｋｅｎ 值 和脆弱性利用成功率经验值将不确定推理规则集转
为１′ （［ｖ
１＿０＿２，ｖ６ ＿２ ＿５］，［Ｒ＿２ ，Ｕ＿５ ］
） ＋＋ 换为ＤＳ不确定性推理规则集． 这里假设各初始证
１
′（［ｖ２＿０
＿３，
ｖ
１ ＿３＿２，ｖ
６＿２ ＿５
］， ［
Ｒ ＿３，Ｒ ＿２
，Ｕ＿５］）
， 据可信度为１ （即初始条件总成立） ，
ＤＳ证据样本
最后得到脆弱性利用威胁｛ ＿ ，
Ｒ５Ｕ５ ＿ 对
｝ 应的子 攻 击 空间大小Ω＝ 基
，
６ Ｃ 于ＶＳＳ知识库确定子攻击图
图如图６ （ｂ所示．
） 由于篇幅问题， 其余脆弱性利用 中各脆弱性利用成功率和失败率（ 参见表２中利用
威胁所对应的子攻击图说明从略． 成功率栏） 从而确定对应推理规则的Ｃ
， Ｆ因子．

图６
　脆弱性利用威胁所对应的子攻击图实例
最后， 根据Ｄ Ｓ证据理论的不确定性推理算法

求出脆弱性利用威胁｛ Ｒ ＿４，Ｕ ＿４｝的威胁度．
（
１）根据ｒ １求Ｒ ＿３的确定性
犳（
Ｒ＿０ !ｄ
ｎｓ＿０
＿３!ｂｎ ｄ＿ｈ３ !ｖ
２＿ｈ
３）＝
　ｍｉ
ｎ１（ ． ，
０１．，
０１ ．０１，． ）
０＝ １．０，
犿（｛
１Ｒ ＿ ｝）
３＝１（． ０× ０． ）
４＝０ （．４），
犅
犲犾（
Ｒ ＿３）＝犿１（
｛ Ｒ＿３ ｝）＝ ０．
４ ，
犘
犾（Ｒ＿３ ）
＝ １－犅
犲犾（ !Ｒ ＿３ ）＝１－０＝
１，
图７
　由图６
（）
ａ转换而来的不确定性推理规则集 犳（
Ｒ＿３ ）＝犅犲
犾（Ｒ＿３） ＋（｛ Ｒ＿３｝／Ω）×
 １
９４
８ 计　　算　　机　　学　　报 ２
０２年
１
（
犘
犾（＿３
Ｒ）－犅
犲（
犾＿３
Ｒ）） 犘
犾（Ｒ＿４ ）＝１－ 犅
犲犾（!Ｒ＿４）
＝ １－０
＝１，
＝
０．
４＋／
１６×（
１－
０．
４） （ ＿
犳Ｒ４＝ ） 犅犲 ＿
犾Ｒ４＋ Ｒ４ Ω）
（ ） （｛ ＿ ｝／ ×
＝
０．
５． （犘
犾 （Ｒ＿４）－犅犲
犾（Ｒ＿４
））
（
２）求Ｒ ＿２确定性 ＝０
．１ ８１＋１／
６ ×（
１－ ０．
１８
１）＝
０．
３１
７．
根据规则ｒ ２和ｒ３ 有
， 通过Ｄ  Ｓ不 确 定 性推 理可知 ，在限定最长攻击
（
犳Ｒ３＿ !ｈｔ＿
ｐ３２＿ !ｉ
ｉ
ｓ＿ｈ
２!ｖ
１＿ｈ
２）
＝ 路径为３的情形下， 节点Ｈ ４面临的脆弱性利用威胁
　ｍｉ （
ｎ０ ． ，
５１． ，
０１ ．，
０１． ）
０＝０．
５， ｛
Ｒ＿４
，Ｕ＿４｝ 的威胁度为０ ． ３
１７．按照类似方法，可以
犿２（
｛ Ｒ＿２｝）
＝（ ０
． ５
×０．
５ ）
＝（０
．２
５）
， 求得其它节点面临的脆弱性利用威胁度， 分别为
犳（
Ｒ ＿０!ｈｔ
ｐ＿０＿２!ｉ
ｉ
ｓ＿ｈ
２!ｖ
１＿ｈ
２）
＝ ｛
Ｒ＿２
｝＝０．６ ６，
５｛ Ｒ＿３｝＝ ０
．４１３，Ｒ＿４
｛ Ｕ＿４
， ｝
＝
　ｍｉ （
ｎ１ ． ，
０１． ，
０１ ．，
０１． ）
０＝１．
０， ０
．３
１７，
｛ Ｒ＿５ ，
Ｕ ＿５｝＝０．２１５
．最后， 按照威胁度大
犿３（
｛ Ｒ＿２｝）
＝（ １
． ０
×０．
５ ）
＝（０
．）
５， 小对各脆弱性利用威胁排序， 得到影响Ｗ ｂ业务系
ｅ
犿２（
Ω ）＝１ －０
． ２
５ ＝０
．７
５ ， 统安全性的各脆弱性利用威胁优先级排序： ｛
Ｒ＿２
｝，
犿 （
３Ω ）＝１ －０
． ５＝０
．５． ｛
Ｒ＿３
｝，｛Ｒ ＿４，
Ｕ＿４ ｝
， ｛
Ｒ ＿５，
Ｕ＿５｝结果表明，
， 脆弱
由Ｄ  Ｓ证据组合公式得到 性利用威胁｛ ＿
Ｒ２ ｝发 生 的 可能性 最大 脆
，弱性利用
威胁｛＿３
Ｒ ｝ 次之．
犓＝ 狓∑
∩狔 ≠
犿 ２（
狓 ）× 犿 ３（
狔 ）
＝ 犿
犿
２
２
（
（
Ω
Ｒ
）
犿３（
＿
２ ）
犿
Ω
（
）
＋
３Ω ２）
犿
＋
２
犿
（
Ω
（
）
Ｒ
犿
＿
３
２
（
Ｒ
）
犿
＿２）
＋
３ ＿
（Ｒ２） 　结论和进一步工作
６
＝ ０． ７５ × ０
． ５ ＋ ０．７ ５× ０．５＋ 本文提出了一种基于攻击图的安全威胁识别和
０． ２５ × ０
． ５ ＋ ０．２ ５× ０．５ 分析方法，以分析和处置业务系统面临的各种脆弱
＝ １． ００ ， 性利用安全威胁；所述方法基于Ｃ ＰＮ攻击模型仿真
则有 分析结果构建基于Ｃ ＰＮ的网 络攻 击图，
以分析业务
犿２
３（ ｛
Ｒ ＿２ ｝） ＝（犿 ２（
Ω ）
犿 ３（｛Ｒ＿２｝）＋ 系统整体安全性；与现有网络攻击图生成算法相比，
犿２Ｒ（｛ ＿２犿｝） （
３Ω ） ＋犿 （
２Ｒ ｛ ＿ ｝
２犿）３（
Ｒ＿２
））
／犓 本文所述方法可基于标准Ｃ ＰＮ分析工具实现，便于
＝（０
． ７５ × ０
． ５＋ ０． ２５ × ０．５ ＋０．２５×０．）
５／
１．
０ 利用成熟Ｃ Ｐ
Ｎ分析 工具，且所 构建的网络攻击图为
＝０
． ６２５ ， 一个ＣＰＮ网结构，易于进一步分析． 本文给出了一
犅
犲 （
犾Ｒ２ ＿ ） ＝ 犿２（
３ ｛Ｒ ＿２｝ ）＝ ０．６２５， 个可实现网络攻击图分解的Ｎ ＡＧＤ算法，以获取各
犘
犾（Ｒ ＿２ ）＝ １ － 犅犲
犾 （ !Ｒ ＿２）＝ １－０ ＝１， 脆弱性利用威胁所对应的子攻击图； 与现有子攻击
犳（
Ｒ ＿２） ＝ 犅犲 犾（Ｒ＿２ ） ＋（｛ Ｒ ＿２｝ ／Ω） × 图生成算法相比， 本文所述算法在不增加算法复杂
（
犘 犾（Ｒ ＿２） －犅 犲
犾（ Ｒ＿２）） 度情况下，可一次性得到各脆弱性利用威胁所对应
＝ ０． ６
２ ５ （
＋１６×１／ ） （ － ０
． ６
２５） 的子攻击图．最后，本文给出了一种实现脆弱性利用
＝ ０． ６
８ ７． 威胁度评估的Ｖ Ｅ
ＴＥ算法， 将子攻击图转换为不确
（
３ ）求Ｕ ＿４确定性 定性ＤＳ证据推理规则，利用Ｄ Ｓ证据推理引擎计
犳 （Ｒ ＿２ !ｓｑｌ＿２＿４ !ｍ ｑｌ ＿ｈ
４ !ｖ７＿ｈ４）
＝ 算脆弱性利用威胁度； 与传统脆弱性利用分析方法相
　 ｍｉｎ０（ ． ６８ ，
８１ ．０１ ，． ，
０１ ．０＝） ０
．６８
８， 本方法选择Ｄ
比， Ｓ证据来描述系统中的不确定性，

犿 ４ （
｛ Ｕ ＿４ ｝）＝（ ０． ６８８ ×０ ．５）＝（０．
３４４）
， 因而更具有合理性． 本文最后以典型Ｗ ｂ业务系统
ｅ
犅犲 犾（Ｕ ＿４ ）
＝ 犿 ４（｛ Ｕ ＿４ ｝
） ＝０．３４４＝０
．３４
４， 为例，验证了本文所述安全威胁和识别方法有效性．
犘犾 （Ｕ ＿４ ） ＝１ － 犅犲犾 （Ｕ
! ＿４）＝１ －０＝１， 进一步研究工作包括： （１）考虑在基于Ｃ Ｎ的
Ｐ
（
犳Ｕ４＝ ＿ ） 犅犲 ＿
犾Ｕ４＋ Ｕ４ Ω）
（ ） （ ｛ ＿ ｝／ × 网络攻击图和子攻击图上实现更多的攻击图分析方
（
犘犾 （
Ｕ ＿４） －犅 犲
犾 （Ｕ＿４
）） 法，包括基于子攻击图的攻击预测等； （
２寻找一种
）
＝ ０．３４ ４＋ １／ ６×（ １－０．３４
４） 更合理的Ｄ Ｓ初始证据的可信度赋值方法．

＝ ０．４５ ３． 参考文献
（
４ ）求Ｒ ＿４确定性
ｆ（ Ｕ＿４ !ｃｌｉ＿４＿４ !ａｔ ｃ＿ｈ４!ｖ ４＿ｈ
４ ）
＝ ［
１］Ｒ
ｉ
ｔｃ
ｈｅ
ｙＲ，Ａｍｍ
ａｎ
ｎＰ．Ｕｓ
ｉ
ｎｇｍｏ
ｄｅ
ｌｃｈ
ｅ
ｃｋ
ｉｎ
ｇｔ
ｏａｎ
ａｌ
ｙｚ
ｅ
　 ｍｉｎ０（ ． ４５ ，
３１ ．０１ ，． ，
０１ ．０＝） ０
．４５
３， ｎ
ｅ
ｔｗｏ
ｒｋｖ
ｕｌ
ｎｅ
ｒ
ａｂ
ｉｌ
ｉ
ｔ
ｉｅ
ｓ／
／Ｐ
ｒｏ
ｃ
ｅｅｄ
ｉ
ｎｓｏ
ｇ ｆｔｈ
ｅ２０
００ＩＥ
ＥＥ
犿 ５ （
｛ Ｒ ＿４ ｝）＝（ ０．４ ５
３ ×０．４ ）＝（０
．１８１）
， Ｓ
ｙｍ
ｐｏ
ｓｉ
ｕｍｏ
ｎＲｅ
ｓｅ
ａｒ
ｃ
ｈｏｎＳ
ｅｃ
ｕｒ
ｉ
ｔｙａ
ｎｄＰ
ｒｉ
ｖ
ａｃ
ｙ．Ｏ
ａｋ
ｌ
ａｎ
ｄ，
犅犲 犾（Ｒ ＿４ ）＝ 犿５ （｛ Ｒ＿４ ｝）＝ ０．１８，
１ Ｃ
ａｌ
ｉ
ｆｏ
ｒ
ｎｉ
ａ，Ｕ
ＳＡ，
２０
００：
１５
６
１
６５
 ９期 吴　迪等：
一种基于攻击图的安全威胁识别和分析方法 １
９４
９
［
２］Ａ
ｍｍａ
ｎｎＰ，Ｗ
ｉｅ
ｓ
ｊｅ
ｋｅ
ｒａＤ，Ｋ
ａｕ
ｓｈ
ｉ
ｋＳ．Ｓ
ｃａ
ｌ
ａｂ
ｌ，
ｅｇｒ
ａ
ｐｈ
 张少俊．
（ 基于攻击图的网络安全综合管理关键技术的研究
ｂ
ａ
ｓｅ
ｄｎ
ｅｔｗ
ｏｒ
ｋｖ
ｕｌ
ｎｅ
ｒａ
ｂ
ｉｌ
ｉｔ
ｙａ
ｎａ
ｌ
ｙｓ
ｉ
ｓ／
／Ｐ
ｒｏ
ｃ
ｅｅ
ｄｉ
ｎ
ｇｓｏ
ｆｔ
ｈｅ
９ｔ
ｈ 博士学位论文］
［ ．上海交通大学， 上海，２
０１
０）
Ａ
ＣＭＣｏｎ
ｆ
ｅｒ
ｅｎ
ｃｅｏ
ｎＣｏｍ
ｐｕｔ
ｅ
ｒａｎ
ｄ Ｃ
ｏｍｍ
ｕｎｉ
ｃ
ａｔ
ｉ
ｏｎ
ｓＳｅ
ｃｕ
ｒｉ
ｔ
ｙ． ［
１］Ｓ
５ ｔ
ｅｆ
ｆａ
ｎＪ，Ｓ
ｃｈ
ｕｍａｃ
ｈｅ
ｒＭ ．Ｃｏ
ｌ
ｌａ
ｂｏ
ｒａ
ｔｉ
ｖ
ｅ ａ
ｔ
ｔａ
ｃｋｍｏ
ｄｅｌ
ｉ
ｎ／
ｇ／
Ｗａ
ｓ
ｈｉ
ｎｔ
ｇｏ
ｎ，ＤＣ，
ＵＳＡ，２
００
２：２
１７
２
２４ Ｐ
ｒｏ
ｃｅ
ｅｄ
ｉ
ｎｓ
ｇｏｆ
ｔｈｅ２０
０２ＡＣＭＳｍ
ｙｐｏ
ｓｉ
ｕｍｏ
ｎＡｐｌ
ｐｉ
ｅｄＣｏ
ｍ
［
３］Ｃ
ｈｅ
ｕｎ
ｇＳ，Ｌ
ｉｎ
ｄｖ
ｑｉ
ｓｔ
Ｕ ，
Ｆｏｎ
ｇＭＷ ．Ｍ
ｏｄ
ｅｌ
ｉｎ
ｇｍｕ
ｌｔ
ｉ
ｓ
ｔｅ
ｐｃ
ｙ ｕ
ｐｔ
ｉ
ｎｇ（
ＳＡ）
Ｃ．Ｍａｄ
ｒｉ
ｄ，Ｓ
ｐａ
ｉ
ｎ ，
２０
０２：
２５３
２
５９
ｂ
ｅｒ

ａｔ
ｔａ
ｃ
ｋｓｆ
ｏｒｓ
ｃｅ
ｎａ
ｒ
ｉｏｒ
ｅｃｏ
ｇｎ
ｉ
ｔｉ
ｏ／
ｎ／Ｐ
ｒｏ
ｃｅ
ｅｄ
ｉｎ
ｇｓｏ
ｆｔｈ
ｅ３
ｒｄ ［
１］Ｚ
６ ｈｏ
ｕＳＪ，Ｑ
ｉ
ｎＺ Ｇ，Ｚ
ｈａｎ
ｇＦ，Ｚ
ｈａｎ
ｇＸＦ，Ｃ
ｈｅ
ｎＷ，Ｌｉ
ｕＪＤ．
Ｄ
ＡＲＰＡＩ
ｎ
ｆｏｒ
ｍａ
ｔｉ
ｏｎ
Ｓｕｒ
ｖｉ
ｖａ
ｂｉ
ｌ
ｉｔ
ｙＣｏ
ｎｆ
ｅｒ
ｅｎ
ｃｅａ
ｎｄＥ
ｘｐｏ
ｓ
ｉｔ
ｉ
ｏｎ Ｃ
ｏｌ
ｏｒ
ｅｄ
Ｐｅ
ｔｒ
ｉｎ
ｅｔ ｂ
ａ
ｓｅ
ｄ ａ
ｔ
ｔａ
ｃｋｍｏ
ｄｅ
ｌｉ
ｎ／
ｇ／Ｐ
ｒ
ｏｃ
ｅｅｄ
ｉ
ｎｓ
ｇ ｏ
ｆｔ
ｈｅ
（
ＤＩ
ＳＣＥ
ＸＩ
ＩＩ）
．Ｗａ
ｓｈ
ｉｎｔ
ｏ
ｇｎ，Ｄ
Ｃ，ＵＳＡ，
２００
３：２
８４

２９２ ９
ｔ
ｈＩｎ
ｔｅ
ｒｎ
ａｔ
ｉ
ｏｎ
ａｌ Ｃ
ｏｎ
ｆ
ｅｒｅ
ｎｃ
ｅＲｏｕ
ｇｈＳ
ｅｔ
ｓ，Ｆｕ
ｚ
ｚｙＳｅ
ｔ
ｓ ，
Ｄａ
ｔａ
［
４］Ｍ
ｅｈ
ｔａＶ，Ｂａ
ｒ
ｔｚ
ｉ
ｓＣ， Ｚ
ｈｕＨＦ． Ｒ
ａｎ
ｋｉ
ｎｇａ
ｔｔ
ａｃ
ｋｇｒ
ａｈ
ｐ／
ｓ／ Ｍ
ｉｎ
ｉｎ
ｇ，ａ
ｎｄＧ
ｒａｎｕ
ｌ
ａｒＣｏ
ｍｐｕ
ｔｉ
ｎｇ（
ＲＳＦ
ＤＧｒ
Ｃ）．Ｃ
ｈｏ
ｎｇｉ
ｑｎ
ｇ，
Ｚ
ａｍ
ｂｏｎ
ｉＤ，Ｋ
ｒｕ
ｅｅ
ｇｌＣｅ
ｄｓ．ＲＡ
ＩＤ２０
０６
． Ｌ
ｅｃ
ｔ
ｕｒ
ｅＮｏｔ
ｅｓ
ｉｎ Ｃ
ｈｉ
ｎ，
ａ２０
０３
．Ｌｅｃ
ｔｕ
ｒｅＮｏ
ｔ
ｅｓｉ
ｎＣｏｍｕ
ｐｔ
ｅ
ｒＳｃ
ｉｅ
ｎｃ
ｅ：ｐｇ，
Ｓｒ
ｉｎｅ
ｒ
Ｃ
ｏｍｕ
ｐｔ
ｅ
ｒＳｃ
ｉｅ
ｎｃ
ｅ４
２１９．
Ｂｅ
ｒｌ
ｉ
ｎＨｅｉ
ｄｅ
ｌｂ
ｅ
ｒｇ：Ｓ
ｐｒ
ｉ
ｎｅ
ｇｒ
Ｖｅ
ｒ
ｌａ
ｇ， ２
００：
３７１５
７
１８
２
００
６：１
２７

１４４ ［
１］Ｃ
７ ｈｅ
ｎＳｉ

Ｓ，
ｉＬｉ
ａｎＹｉ
Ｆ
ｅｎ，
ｇＪ
ｉａＷｅ
ｉ．Ａｎｅ
ｔｗ
ｏｒ
ｋｖｕ
ｌｎ
ｅｒａ
ｂ
ｉｌ
ｉ
ｔｙ
［
５］Ｗａ
ｎｇＬ
Ｙ，Ｎｏ
ｅｌ，
ＳＪ
ａｏ
ｊｄ
ｉａＳ．Ｍ
ｉｎ
ｉｍｕ
ｍ
ｃｏｓ
ｔｎ
ｅｔ
ｗｏ
ｒｋｈａ
ｒ
ｄ ｅ
ｖａ
ｌ
ｕａ
ｔｉ
ｏｎｍ
ｅｔ
ｈｏｄｂａ
ｓｅ
ｄｏｎＢａ
ｙｅ
ｓｉ
ａｎｎ
ｅｔｗ
ｏｒ
ｋｓ．
Ｊｏ
ｕｒｎ
ａｌｏ
ｆ
ｅ
ｎ
ｉｎ
ｇｕｓｉ
ｎｇａｔ
ｔ
ａｃ
ｋｇｒａ
ｐｈｓ
．Ｃｏｍｕ
ｐｔ
ｅｒＣｏｍｍ
ｕｎ
ｉｃ
ａｔ
ｉ
ｏｎ
ｓ， ｔ
ｈ
ｅ Ｇ
ｒａ
ｄｕ
ａｔ
ｅＳｃｈ
ｏｏ
ｌｏｆｔ
ｈｅＣｈ
ｉｎ
ｅｓ
ｅ Ａ
ｃａ
ｄｅ
ｍｙｏｆＳ
ｃｉ
ｅｎ
ｃｅ
ｓ，
２
００，
６２ （
９１ ）
：
８３８１
２
３８２
４ ２
００
８，２
５（
５）
：６３９
６
４８（
ｉｎ
Ｃｈｉ
ｎｅ
ｓｅ）
［
６］Ｓ
ｈｅ
ｙｎ
ｅｒＯ，Ｈ
ａｉ
ｎ
ｅｓ，
ＪＪｈ
ａＳ，Ｌ
ｉｐ
ｐｍａ
ｎｎＲ，Ｗ
ｉｎ
ｇＪＭ．Ａｕ
ｔ
ｏ 陈思思，
（ 连一峰， 贾炜．基于贝叶斯网络的脆弱性状态评估
ｍ
ａｔ
ｅｄｅ
ｇｎ
ｅｒ
ａｔ
ｉ
ｏｎａ
ｎｄａ
ｎａ
ｌｓ
ｙｉ
ｓｏ
ｆａｔ
ｔａ
ｃｋｒ
ｇａ
ｐｈ
ｓ／
／Ｐｒ
ｏ
ｃｅｅ
ｄｉ
ｎ
ｇｓ ［］ 方法．中国科学 院研究生院学报， ２
００
８，２
５（
５）：６
３９

６４８）
ｏ
ｆｔ
ｈｅ２０
０２ＩＥ
ＥＥＳｙｍ
ｐｏｓ
ｉ
ｕｍｏｎＳｅｃ
ｕｒ
ｉｔ
ｙａｎ
ｄＰｒｉ
ｖ
ａｃ
ｙ． １８ Ｙ
ｅＹｕ，
ｎＸｕＸｉ
Ｓｈ
ａｎ，Ｊ
ｉ
ａＹａｎ，Ｑ
ｉＺｈ
ｉ
Ｃｈａ
ｎｇ．
Ａｎ ａ
ｔ
ｔａ
ｃｋ
Ｂ
ｅｒ
ｋｅ
ｌ
ｅｙ，
Ｃａｌ
ｉ
ｆｏ
ｒｎ
ｉ
ａ，ＵＳ
Ａ ，
２０
０２：２
７３

２８４ ｒ
ａ
ｇｐｈ
ｂ
ａｓ
ｅ
ｄ ｒ
ｐｏｂａ
ｂ
ｉｌ
ｉ
ｓｔ
ｉｃｃ
ｏｍｐｕ
ｔ
ｉｎ
ｇ ａ
ｐｒ
ｐｏ
ａｃ
ｈ ｏ
ｆｎｅｔ
ｗｏ
ｒｋ
［
７］Ｊ
ａ
ｊｏ
ｄｉ
ａＳ，Ｎ
ｏｅ
ｌＳ，Ｏ’
Ｂｅ
ｒｒ
ｙ ｐｇａ
Ｂ．Ｔｏｏｌ
ｏｉ
ｃｌａｎ
ａｌ
ｓ
ｙｉ
ｓｏｆｎ
ｅｔ
 ｓ
ｅ
ｃｕｒ
ｉ
ｔ．
ｙＣｈ
ｉｎ
ｅｓｅＪ
ｏｕ
ｒｎａ
ｌｏｆＣｏ
ｍｐｕ
ｔｅ
ｒ
ｓ，２０
１０，３（
３ １０）
：
ｗ
ｏｒ
ｋａｔ
ｔａ
ｃｋｖｕ
ｌ
ｎｅ
ｒａ
ｂｉ
ｌｉ
ｔ
ｙ／／
Ｐｒ
ｏｃ
ｅｅ
ｄｉ
ｎｓｏ
ｇ ｆｔｈ
ｅ２ｎｄＡＣＭ １
９８
７
１９
９（
６ｉ
ｎＣｈ
ｉｎｅ
ｓ）
ｅ
Ｓ
ｙｍ
ｐｏｓ
ｉ
ｕｍｏｎＩ
ｎｆ
ｏｒ
ｍａ
ｔｉ
ｏｎ，Ｃ
ｏｍｕ
ｐｔ
ｅｒａ
ｎｄＣｏ
ｍｍｕ
ｎｉ
ｃａ
ｔｉ
ｏ
ｎｓ 叶云，
（ 徐锡山， 贾焰，齐治昌． 基于攻击图的网络安全概率
Ｓ
ｅｃ
ｕｒ
ｉ
ｔ．
ｙＳｉ
ｎａ
ｇｏ
ｐｒ
ｅ，２
００
７：２
２ 计算方法．计算 机学报，２
０１ ，
０３３（
１）
０：１
９８
７
１９
９６）
［
８］Ｉ
ｎｏ
ｌｓ，
ｋＬｉｍａｎ
ｎＲ，Ｐ
ｉｗｏ
ｗａ
ｒｓ
ｋｉＫ．
Ｐｒ
ａｃｔ
ｉ
ｃａ
ｌａ
ｔ
ｔａ
ｃｋｒａ ［
ｈ １］
９ＧａｏＨｕ
ｉ
Ｓ
ｈｅ
ｎ ，
ｇＺ ｈｕ
Ｊｉｎ，
ｇＬ ｉ
Ｃｏｎ
ｇ
Ｃｏ
ｎｇ．Ｔ
ｈｅａｎ
ａ
ｌｙｓ
ｉｓｏ
ｆ
ｇ ｐｐ ｇｐ ｕ
ｎｃ
ｅｒ
ｔ
ａｉ
ｎｔ
ｙｏ
ｆｎｅｔｗ
ｏｒ
ｋｓｅ
ｃｕ
ｒ
ｉｔｒ
ｙｉ
ｓｋａ
ｓｓ
ｅｓ
ｓｍ
ｅｎ
ｔｕｓ
ｉｎ
ｇ ｄ
ｅｍ
ｐ
ｅ
ｇｎ
ｅｒ
ａ
ｔｉ
ｏｎ
ｆｏｒ
ｎｅ
ｔｗ
ｏｒ
ｋ ｄ
ｅ
ｆｅｎ
ｓ
ｅ／／
Ｐｒ
ｏｃ
ｅｅ
ｄｉ
ｎｇｓ
ｏｆ
ｔｈ
ｅ２２
ｎｄＡ
ｎ ／
／
ｎｕ
ａｌＣｏｍｐｕ
ｔｅ
ｒＳ ｅ
ｃｕｒ
ｉ
ｔｙＡｐｌ
ｐｉ
ｃａ
ｔｉ
ｏｎ
ｓＣｏｎ
ｆｅ
ｒｅ
ｎｃ
ｅ．Ｍｉ
ａｍｉ ｓ
ｔ
ｅｒ
ｓｈ
ａｆ
ｅｒｔｈ
ｅｏｒ
ｙＰ ｒ
ｏｃ
ｅｅ
ｄｉ
ｎｓｏ
ｇ ｆｔｈ
ｅ１２ｔ
ｈＩｎ
ｔｅｒ
ｎａ
ｔｉ
ｏｎ
ａ
ｌ
Ｂｅ
ａｃｈ，Ｆ
ｌｏ
ｒｉ
ｄａ，ＵＳＡ，２
００６：
１２
１
１３０ Ｃ
ｏｎ
ｆｅｒ
ｅｎ
ｃｅｏｎｔ
ｈｅＣｏ
ｍｐｕ
ｔｅ
ｒＳｕ
ｐｐｏ
ｒｔ
ｅｄＣ
ｏｏｅ
ｐｒ
ａ
ｔｉ
ｖｅＷｏｒ
ｋｉ
ｎ
［］Ｉ ， ， ， ， Ｄ
ｅｓ
ｉｇｎ
．Ｘｉａ
ｎ，Ｃｈｉ
ｎ
ａ，２
００８：
７５
４７
５９
９ ｎｇｏ
ｌｓＫ ＣｈｕＭ Ｌｉｐ
ｐｍａ
ｎｎＲ Ｗｅｂ
ｓｔ
ｅｒＳＢｏ
ｙｅ
ｒＳ．Ｍｏ
ｄ
 ［
２
０］ＷｕＤ，
ｉＦｅｎ
ｇＤｅｎ
ｇＧ
ｕｏ，Ｌ
ｉａ
ｎＹｉ
Ｆｅ
ｎ，
ｇＣｈｅ
ｎＫａ
ｉ．Ａｎｅ
ｆｆ
ｉ

ｅ
ｌｉ
ｎｇｍｏｄｅ
ｒｎｎｅｔｗ
ｏｒｋａ
ｔｔａ
ｃｋ
ｓａｎｄｃ
ｏｕｎ
ｔｅ
ｒｍ
ｅａ
ｓｕ
ｒｅ
ｓｕｓ
ｉｎ
ｇ ｃ
ｉ
ｅｎ
ｃｙｅｖａ
ｌｕ
ａｔ
ｉｏ
ｎｍ ｏ
ｄｅ
ｌｏｆｓ
ｙｓ
ｔｅ
ｍｓｅｃ
ｕｒ
ｉ
ｔｙｍｅ
ａｓ
ｕｒ
ｅｓｉ
ｎｔｈ
ｅ
ａ
ｔｔ
ａｃｋｇｒ
ａｐｈ
ｓ／／Ｐ
ｒｏ
ｃｅｅ
ｄｉ
ｎｓｏ
ｇ ｆｔｈ
ｅ２５ｔ
ｈＡｎｎ
ｕａ
ｌＣｏｍ
ｐｕｔ
ｅ
ｒ ｉｖ
ｅｎｖ
ｕｌｎ
ｅｒ
ａｂ
ｉｌ
ｉｔ
ｉｅ
ｓｓ
ｅｔ
．Ｊｏ
ｕｒｎ
ａ
ｌ ｏ
ｆＳ
ｏｆ
ｔｗ
ａｒ，
ｅ２
０１
２ ，２
３（
７）：
Ｓｅ
ｃｕ
ｒｉ
ｔｙＡｐｌ
ｐｉ
ｃａ
ｔｉ
ｏｎｓＣｏ
ｎｆ
ｅｒ
ｅｎ
ｃｅ．Ｈｏ
ｎｏ
ｌｕ
ｌ，
ｕＨａ
ｗａ
ｉ，
ｉＵＳＡ， ｇ
： １
１８
８０
１１
８９８（
ｉ
ｎ Ｃｈ
ｉｎ
ｅｓ
ｅ）
２
００９ １
１７
１２６ 吴迪，
（ 冯登国， 连一峰， 陈恺．一种给定脆弱性环境下的安
［
１
０］ＯｕＸＭ ，Ｂｏ
ｙｅｒＷＦ，ＭｃＱｕ
ｅｅ
ｎＭＡ ．Ａｓ
ｃａ
ｌ
ａｂ
ｌｅａ
ｐｒ
ｐｏ
ａ
ｃｈｔ
ｏ 全措施效用评估模型．软件学报， ２
０１
２，２３（
７）：１
１８
８０

ａ
ｔｔ
ａｃｋｇｒａ
ｐｈｇｅｎｅ
ｒａ
ｔｉ
ｏ／
ｎ／Ｐｒ
ｏｃ
ｅｅ
ｄｉ
ｎｓｏ
ｇ ｆｔｈ
ｅ１３ｔ
ｈＡＣＭ １
１８
９８）
Ｃｏ
ｎｆｅ
ｒｅ
ｎｃｅｏｎＣ ｏｍ
ｐｕｔ
ｅｒａｎ
ｄＣ ｏｍ
ｍｕｎ
ｉｃ
ａｔ
ｉ
ｏｎ
ｓＳｅｃ
ｕｒ
ｉ
ｔｙ． ［
２
１］Ｋ
ｉｓ
ａ
ｊｎａ
ｙｏｔｈ
ｉｎＰ，Ｈｅ
ｗｅ
ｔｔＲ．Ａｎａ
ｌ
ｙｔ
ｉｃ
ａ
ｌａｐｒ
ｐｏ
ａｃ
ｈｔｏａｔ
ｔ
ａｃ
ｋ
Ａｌ
ｅｘａ
ｎｄｒ
ｉ ，
ａＶｉｒ
ｇｉ
ｎｉ，
ａＵ Ｓ ，
Ａ２００ ：
６３３
６３
４５ ｒ
ｇａ
ｐｈａｎ
ａｌ
ｙｓｉ
ｓｆ
ｏｒｎ
ｅｔｗ
ｏｒ
ｋｓｅ
ｃｕ
ｒｉ
ｔ／
ｙ／
Ｐｒ
ｏｃ
ｅｅｄ
ｉ
ｎｓ
ｇｏｆｔｈ
ｅ２
０１
０
［
１
１］Ｈｏｍｅ
ｒＪ，Ｖａｒ
ｉｋｕ
ｔｉＡ，Ｏ
ｕ ＸＭ，ＭｃＱ
ｕｅｅ
ｎＭＡ．Ｉｍ
ｐｒ
ｏｖ
ｉｎ
ｇ Ｉ
ｎｔ
ｅ
ｒｎａ
ｔｉ
ｏｎａ
ｌＣｏｎｆ
ｅｒ
ｅｎ
ｃｅｏｎＡｖａ
ｉ
ｌａ
ｂｉ
ｌ
ｉｔ
ｙ，Ｒｅ
ｌｉ
ａｂ
ｉｌ
ｉｔ
ｙａｎ
ｄ
ａ
ｔｔ
ａｃｋｇｒ
ａｐｈｖ
ｉｓ
ｕａｌ
ｉ
ｚａｔ
ｉｏ
ｎｔｈ
ｒｏ
ｕｇｈｄ
ａｔ
ａｒｅ
ｄｕ
ｃｔ
ｉｏ
ｎａｎ
ｄａ
ｔｔ
ａｃ
ｋ Ｓ
ｅｃ
ｕｒ
ｉｔ
ｙ．Ｋｒａ
ｋｏｗ，Ｐ
ｏｌ
ａｎ
ｄ，２０
１０．Ｗａ
ｓ
ｈｉ
ｎｇｔ
ｏ，
ｎＤＣ，ＵＳＡ：
ｒ
ｇｏｕ
ｐｉｎ
ｇ／／Ｐ
ｒｏ
ｃｅｅ
ｄｉ
ｎｇｓｏ
ｆｔｈ
ｅ５ｔ
ｈＩｎ
ｔｅ
ｒｎ
ａｔ
ｉｏ
ｎａ
ｌＷｏ
ｒｋ
ｓｈ
ｏｐｏ
ｎ Ｉ
ＥＥＥＣｏｍｕ
ｐｔ
ｅｒＳｏ
ｃｉ
ｅ
ｔｙＰｒ
ｅｓ
ｓ，
２０１
０：２
５
３２
Ｖｉ
ｓｕａ
ｌｉ
ｚ
ａｔ
ｉｏｎｆｏｒＣ ｏｍｕ
ｐｔ
ｅｒＳ ｅ
ｃｕ
ｒ
ｉｔｙ（Ｖｉ
ｚＳ
ｅｃ
２０
０８）． ［
２
２］Ａｍ
ｍ ａ
ｎｎＰ，Ｗ ｉ
ｊｅ
ｓ
ｅｋｅ
ｒ
ａＤ ，Ｋａ
ｕｓｈ
ｉ
ｋＳ． Ｓ
ｃａ
ｌ
ａｂ
ｌｅ，ｇｒ
ａ
ｐｈ

Ｃａｍ
ｂｒｉ
ｄｅ
ｇ，Ｍ Ａ，ＵＳＡ，
２００８
．Ｂｅ
ｌｉ
ｎＨｅｉ
ｄｅ
ｌ
ｂｅ
ｒ，
ｇＧｅ
ｒｍａ
ｎｙ： ｂ
ａｓ
ｅｄｎｅ
ｔｗｏ
ｒｋｖｕ
ｌｎ
ｅｒ
ａｂ
ｉｌ
ｉ
ｔｙａ
ｎａ
ｌｙｓ
ｉ
ｓ／
／Ｐ
ｒｏ
ｃｅｅ
ｄ
ｉｎ
ｇｓｏｆｔ
ｈｅ
９ｔ
ｈ
Ｓｒ
ｐｉ
ｎｇｅ
ｒＶｅ
ｒｌ
ａｇ，２
００８：
６８
７９ ＡＣ
ＭＣ ｏ
ｎｆｅ
ｒｅ
ｎｃ
ｅ ｏ
ｎＣｏ
ｍｐｕ
ｔｅ
ｒａｎ
ｄＣｏｍｍ
ｕｎ
ｉｃ
ａｔ
ｉ
ｏｎ
ｓ Ｓ
ｅｃ
ｕｒ
ｉ
ｔｙ．
［
１
２］Ｃｈ
ｅｎＦｅｎ
ｇ ，
Ｚｈａｎ
ｇＹｉ，Ｓ
ｕＪｉ
ｎ
Ｓｈ
ｕ ，Ｈ
ａｎＷｅ
ｎ
Ｂａ
ｏ．Ｔｗ
ｏｆｏ
ｒ
 Ｎｅ
ｗＹｏｒｋ，Ｕ
ＳＡ ，
２０
０２：２
１７
２
２４
ｍａ
ｌａｎａ
ｌｓ
ｙｉ
ｓ ｏ
ｆ ａ
ｔｔ
ａｃ
ｋｇｒａ
ｐｈｓ
．Ｊｏｕ
ｒｎ
ａｌｏ
ｆＳｏ
ｆ
ｔｗａ
ｒ，
ｅ２０
１０， ［
２
３］Ｎｏ
ｅ
ｌＳ ，Ｊａｏ
ｊｄ
ｉａＳ．Ｍａｎａ
ｇｉ
ｎｇａｔ
ｔ
ａｃ
ｋｇ ｒ
ａ
ｐｈｃｏｍｌ
ｐｅ
ｘｉ
ｔ
ｙ
２（
１４８）：３８
８４
８（ｉ
ｎＣｈｉ
ｎｅ
ｓｅ） ｔ
ｈｒ
ｏｕｈ
ｇｖｉ
ｓｕａ
ｌｈｉ
ｅｒ
ａｒ
ｃｈ
ｉｃ
ａｌａ
ｇｒｅ
ｇｇａ
ｔｉ
ｏ／
ｎ／
Ｐｒｏ
ｃｅ
ｅｄ
ｉ
ｎｇ ｅ
ｓｏｆ
ｔｈ
（陈锋， 张怡， 苏金树，韩文报． 攻击图的两种形式化分析． ２
００
４Ａ ＣＭＣＣＳＷｏｒ
ｋｓ
ｈｏｐｏ
ｎＶｉ
ｓｕ
ａｌ
ｉ
ｚａ
ｔｉ
ｏｎａ
ｎｄＤ
ａｔａＭｉ
ｎ
ｉｎ
ｇ
软件学报， ２
０１０，２
１（４）
：８３
８
８４
８） ｆ
ｏｒ
Ｃｏｍｐｕ
ｔｅｒ
Ｓｅｃ
ｕｒ
ｉｔ
ｙ．Ｆ
ａｉ
ｒｆ
ａ，
ｘ Ｖ
Ａ，ＵＳ
Ａ ，
２０
０４：１０
９
１
１８
［
１］
３Ｗ ａｎ
ｇ Ｌ ，
ＹＳｉｎｈ
ｇａ
ｌ ，
ＡＪａ
ｊｏｄ
ｉ
ａＳ．Ｔｏｗ
ａｒ
ｄｍｅ
ａｓ
ｕｒ
ｉｎ
ｇｎｅ
ｔｗ
ｏｒ
ｋ ［
２
４］Ｊ
ｈａＳ，Ｓ
ｈｅｙｎ
ｅ
ｒＯ ，Ｗｉ
ｎｇＪ．Ｔ
ｗｏｆｏ
ｒｍ
ａｌａ
ｎａ
ｌｓ
ｙｅ
ｓ ｏ
ｆａｔ
ｔ
ａｃ
ｋ
ｓ
ｅｃｕ
ｒｉ
ｔｙｕｓ
ｉｎ
ｇａｔｔ
ａｃ
ｋ ｒ
ｇａ
ｐｈ／
ｓ／
Ｐｒ
ｏｃｅ
ｅｄ
ｉｎ
ｇｓｏ
ｆｔ
ｈｅ２
００
７ＡＣＭ ｒ
ｇａ
ｐｈ／
ｓ／Ｐ
ｒｏｃ
ｅ
ｅｄｉ
ｎｓｏ
ｇ ｆｔｈ
ｅ１５
ｔｈＩＥＥ
ＥＣｏｍｕ
ｐｔ
ｅｒＳｅ
ｃｕ
ｒｉ
ｔ
ｙ
Ｗｏｒ
ｋｓｈ
ｏｐｏｎＱｕａｌ
ｉ
ｔｙｏｆ
Ｐｒｏ
ｔｅ
ｃ
ｔｉ
ｏｎ．Ａ
ｌｅ
ｘａｎ
ｄｒ
ｉ
ａ，Ｖ，
ＡＵＳＡ， Ｆ
ｏｕ
ｎｄａ
ｔｉ
ｏｎｓＷｏｒ
ｋｓ
ｈｏ．
ｐＣａ
ｐｅＢ
ｒｅｔ
ｏ，
ｎＮｏ
ｖａＳ
ｃｏ
ｔｉ
ａ，Ｃａ
ｎａ
ｄａ，
２
００ ：
７４９５
４ ２
００
２ ：
４９
６３
［
１
４］Ｚｈ
ａｎｇＳｈａ
ｏ
Ｊｕｎ．Ｒｅ
ｓｅａ
ｒｃ
ｈｏｎｋｅｙｔ
ｅｃｈ
ｎｉ
ｑｕ
ｅ
ｓｉｎｎｅ
ｔｗ
ｏｒ
ｋ ［
２
５］Ｌ
ａｂ
ｏｒｄ
ｅ Ｒ，Ｎ
ａｓｓ
ｅｒＢ，
Ｇｒａ
ｓｓ
ｅｔ
Ｆ ，
Ｂａ
ｒｒ
èｒ
ｅＦ，Ｂ
ｅｎ
ｚｅｋ
ｒｉＡ
．Ａ
ｓ
ｅｃｕ
ｒｉ
ｔｙｉｎ
ｔｅ
ｇｒａ
ｔｅｄｍａｎ
ａｇｅｍ
ｅｎ
ｔｂａｓ
ｅｄｏｎａｔ
ｔ
ａｃ
ｋｇｒａ
ｐｈ
ｓ ｆ
ｏｒ
ｍａｌ
ａｐｐｒ
ｏａ
ｃｈｆｏ
ｒｔ
ｈｅｅ
ｖａ
ｌｕ
ａｔ
ｉ
ｏｎｏｆ
ｎｅ
ｔｗｏ
ｒｋｓ
ｅｃ
ｕ
ｒｉｔ
ｙｍｅ
ｃｈ

［Ｐ
ｈ．Ｄ．ｄ
ｉ
ｓｓｅ
ｒ
ｔａｔ
ｉｏ
ｎ］．Ｓ
ｈａ
ｎｇｈ
ａｉ
Ｊｉ
ａｏ
ｔｏｎ
ｇＵｎ
ｉｖ
ｅｒ
ｓ
ｉｔ
ｙ，
Ｓｈ
ａｎ
ｇｈａ
ｉ， ａ
ｎｉ
ｓｍｓｂ
ａｓｅ
ｄｏｎＲＢＡ
Ｃｐｏｌ
ｉ
ｃｉ
ｅｓ
．Ｅｌ
ｅｃ
ｔ
ｒｏ
ｎｉ
ｃＮｏ
ｔｅ
ｓｉ
ｎ Ｔｈ
ｅｏ
ｒｅ
ｔ

２
０１０（
ｉｎＣｈ
ｉｎ
ｅｓｅ） ｉ
ｃ
ａｌＣｏ
ｍｐｕｔ
ｅｒＳ
ｃｉ
ｅｎ
ｃｅ（
ＥＮＴＣ）
Ｓ，２
００，
５１
２１（
４）：
１１７
１４
２
 １
９５
０ 计　　算　　机　　学　　报 ２０
１２年
犠犝犇
犻，ｂ
ｏｒ
ｎｉ
ｎ １
９７
７，
Ｐｈ．
Ｄ．ｃ
ａ
ｎ 犔
犻犪
狀犢犻
犉
犲狀
犵，
ｂｏ
ｒｎｉ
ｎ１
９７
４，Ｐｈ．
Ｄ，
．ａ
ｓｓ
ｏ
ｃｉ
ａ
ｔｅｒ
ｏ
ｐｆ
ｅｓ
ｓ
ｏｒ
．
ｄ
ｉ
ｄａ
ｔｅ
．Ｈｅ
ｒｒｅ
ｓｅ
ａｒ
ｃｈｉ
ｎｔ
ｅｒ
ｅｓ
ｔ
ｓｉｎ
ｃｌ
ｕ
ｄｅ Ｈｉ
ｓ ｒ
ｅ
ｓｅ
ａｒ
ｃ
ｈｉｎ
ｔ
ｅｒ
ｅｓ
ｔ
ｓｉ
ｎｃ
ｌｕ
ｄｅ
ｎｅ
ｔｗｏ
ｒ
ｋａｎ
ｄｉ
ｎｆ
ｏｒ
ｍａ
ｔ
ｉｏ
ｎｓ
ｅｃ
ｕｒ
ｉ
ｔ．
ｙ
ｎ
ｅ
ｔｗｏ
ｒ
ｋｓｅ
ｃｕ
ｒｉ
ｔ
ｙ，ｔ
ｅ
ｓｔｉ
ｎ
ｇａｎ
ｄｅｖ
ａ
ｌｕ
ａｔ
ｉ
ｏｎ 犆犎
犈犖犓犪
犻，
ｂｏ
ｒｎｉ
ｎ１９
８，
２Ｐｈ．
Ｄ．．Ｈ
ｉｓ
ｒｅ
ｓｅ
ａｒ
ｃ
ｈｉｎ
ｔ
ｅｒ

ｏ
ｆｉ
ｎ
ｆｏ
ｒｍａ
ｔ
ｉｏ
ｎｓ
ｅｃ
ｕｒ
ｉ
ｔｙ． ｅｓ
ｔｓｉ
ｎｃ
ｌｕ
ｄｅｉ
ｎｆ
ｏｒ
ｍａ
ｔｉ
ｏｎｓ
ｅｃ
ｕｒ
ｉｔ
ｙ，ｓ
ｏｆ
ｔｗ
ａｒ
ｅｖｕ
ｌｎ
ｅｒ
ａｂ
ｉ
ｌ
ｉｔ
ｙ
ａｎ
ａｌｓ
ｉ
ｙｓ
ａｎｄｄ
ｅ
ｔｅ
ｃｔ
ｉ
ｏｎ，
ｍａｌ
ｗａ
ｒｅ
ａｎ
ａｌ
ｙｓ
ｉｓ
ａｎ
ｄｐｒ
ｅｖ
ｅｎ
ｔ
ｉｏ
ｎ．
犔
犐犝犢狌
犔
犻狀，
犵ｂｏ
ｒｎｉ
ｎ１９
８ ，
２Ｐｈ．
Ｄ．ｃ
ａｎ
ｄｉ
ｄ
ａｔ
ｅ．Ｈ
ｉｓ
ｒｅ

ｓｅ
ａｒ
ｃｈｉ
ｎ
ｔｅ
ｒｅ
ｓｔ
ｓｉ
ｎｃ
ｌ
ｕｄ
ｅｎｅ
ｔｗ
ｏｒ
ｋｓｅ
ｃｕ
ｒｉ
ｔ
ｙａｎ
ｄｅ
ｐｒ
ｆｏ
ｒｍ
ａｎ
ｃｅ
ａｓ

ｓｅ
ｓｓｍ
ｅｎ
ｔ．

犅
犪犮
犽狉
犵狅
狌狀
犱
Ａ
ｔｔ
ａｃ
ｋｇｒ
ａｐｈｉ
ｓａ
ｎｅｆ
ｆ
ｉｃ
ｉｅ
ｎｔｍ
ｅｔ
ｈｏ
ｄｔｏ
ａｎａ
ｌｚ
ｙｅａ
ｎｄｅ
ｖａ
ｌｕ
ｐｏｓ
ｅｄ
ｔｏｒ
ｅｔ
ｒ
ｉｅ
ｖｅａ
ｌｌ
ｔｈｅ
ｓｕｂ
ａｔ
ｔ
ａｃ
ｋ
ｇｒ
ａｐｈ
ｓｃｏ
ｒｒ
ｅｓ
ｐｏ
ｎｄｉｎ
ｇｔ
ｏ
ａ
ｔ
ｅｖｕ
ｌｎ
ｅｒ
ａｂ
ｉｌ
ｉ
ｔｙｅｘ
ｐｌ
ｏｉ
ｔ
ｉｎ
ｇｔｈ
ｒｅ
ａｔ
ｓｏｆｉ
ｎｆ
ｏ
ｒｍａｔ
ｉ
ｏｎｓｓ
ｙｔ
ｅｍｓ
．ｅａ
ｃｈａ
ｔｔ
ａ
ｃｋｔ
ｈｒ
ｅａ
ｔａｔ
ｔｈ
ｅｓａｍｅｔ
ｉ
ｍｅｗｉ
ｔｈｅ
ｑｕ
ｉ
ｖａｌ
ｅｎ
ｔｃｏ
ｍ ｕ
ｐｔ
ａ
Ｔ
ｈｅｉ
ｄ
ｅｎ
ｔｉ
ｆｉ
ｃａ
ｔ
ｉｏｎ
ａｎｄ
ａｎ
ａｌ
ｙｓ
ｉｓｏ
ｆｅ
ａｃｈ
ｖｕ
ｌｎ
ｅｒ
ａｂ
ｉｌ
ｉ
ｔ ｅｘｌ
ｏ
ｙｐ ｇｉ
ｔ
ｉｎ ｔ
ｉ
ｏｎｃ
ｏｍｌ
ｅ
ｐｙｘ
ｉ
ｔ ．Ｔ
ｏａｓ
ｓｅ
ｓ
ｓ ｔ
ｈｅｄ
ｅｒｅ
ｅｏ
ｇ ｐｆ
ａｓｅｃ
ｉｆ
ｉ
ｃｖｕ
ｌｎｅ
ｒａｂ
ｉ
ｌ
ａ
ｐｔ
ｈｃ
ａｎｈ
ｅｌ
ｐａｄｍ
ｉｎ
ｉｓ
ｔ
ｒａ
ｔｏ
ｒｔｏｃ
ｈｏ
ｏｓ
ｅｅ
ｆｆ
ｅｃ
ｔ
ｉｖｅｓ
ｅ
ｃｕｒ
ｉｔ
ｙｍｅ
ａｓ
ｉｔ
ｙｅｘ
ｐｌ
ｏ
ｉｔ
ｉ
ｎｇｔ
ｈｒ
ｅａ
ｔ，
ｔｈｅ
ｓｕｂ
ａｔ
ｔ
ａｃ
ｋｇｒ
ａｐｈ
ｃｏ
ｒｒｅ
ｓ
ｐｏｎ
ｄｉ
ｎｇｔｏａ
ｕ
ｒｅ
ｓｔ
ｏｃｏ
ｕｎｔ
ｅ
ｒ ｖ
ｕｌ
ｎｅ
ｒａ
ｂ
ｉｌ
ｉｔ
ｙｅｘ
ｐｌ
ｏ
ｉｔ
ｉｎ
ｇｔｈ
ｒｅ
ａｔ
ｓａｎ
ｄ ｄ
ｅｃ
ｒｅ
ａｓ
ｅｓｐｅ
ｃ
ｉｆ
ｉ
ｃｓｅ
ｃｕ
ｒ
ｉｔ
ｙ ｔ
ｈ
ｒｅ
ａｔｉ
ｓｃｏｎ
ｖｅ
ｒｔ
ｅｄｔ
ｏｉｎ
ｆｅ
ｒｅ
ｎｃ
ｅｒｕ
ｌｅｓｗｉ
ｔ
ｈ
ｓ
ｅ
ｃｕ
ｒｉ
ｔｒ
ｙｉ
ｓｋ．Ｉ
ｎｐｒａ
ｃ
ｔｉ
ｃａ
ｌｓｅ
ｃｕ
ｒ
ｉｔ
ｙａｄｍ
ｉｎ
ｉ
ｓｔｒ
ａｔ
ｉ
ｏｎｓｃ
ｅｎ
ａｒ
ｉ，ｕ
ｏ ｎｃ
ｅｒ
ｔ
ａｉ
ｎｔ
ｙ，ａ
ｎｄｔ
ｈｅＤ
Ｓｅ ｖ
ｉｄ
ｅｎ
ｃｅｒ
ｅａ
ｓｏ
ｎｉ
ｎｇａｌ
ｇｏ
ｒｉ
ｔｈｍｉｓ
ｗ
ｅｎｅ
ｅｄ
ｂｏｔ
ｈｎｅ
ｔｗｏ
ｒｋａ
ｔ
ｔａｃ
ｋｇｒ
ａｈ
ｐｔｏ
ａｓ
ｓｅ
ｓｓｔ
ｈｅｓ
ｅｃｕ
ｒ
ｉｔ
ｙｓ
ｉｔ
ｕｓｅ
ｄｔ
ｏｃａ
ｌ
ｃｕ
ｌａ
ｔ
ｅ ｔ
ｈｅ
ｄｅｒ
ｇｅ
ｅ ｏ
ｆｓ
ｅｃ
ｕｒ
ｉｔ
ｙｔｈ
ｒｅ
ａｔ．
Ｔｈｉ
ｓｔｏｉ
ｃ
ｐｉｓ
ｕ
ａｔ
ｉ
ｏｎｏ
ｆｔ
ｈｅｓ
ｙｓｔ
ｅｍ，
ｓａ
ｎｄａ
ｌｓ
ｏｎｅ
ｅｄｅ
ｆｆ
ｉ
ｃｉ
ｅｎ
ｔ ｍ
ｅｔ
ｈｏｄ
ｔｏｄ
ｉｓ
ｓｐｏ
ｎｓ
ｏｒ
ｅ
ｄｂｙｔ ｈ
ｅＮａｔ
ｉ
ｏｎａｌＨｉ
ｇｈＴｅｃ
ｈｎ
ｏｌｏ
ｇｙＲｅｓｅ
ａｒ
ｃ
ｈ
ｏ
ｐｓ
ｅｏｆ
ｔｈｅｍｏｓ
ｔｈａ
ｒｍ
ｆｕｌ
ｓｅｃ
ｕｒ
ｉ
ｔｙｖｕ
ｌ
ｎｅ
ｒａｂ
ｉ
ｌｉ
ｔ
ｙｅ ｘ
ｐｌ
ｏｉ
ｔ
ｉｎ
ｇａｎｄＤ
ｅｖ
ｅｌ
ｏｍ
ｐｅ
ｎｔＰｒｏ
ｇｒ
ａｍ８ （６
３Ｐ ｒ
ｏｒ
ｇａ ）
ｍｏ ｆＣ ｈｉ
ｎａ
ｔ
ｈ
ｒｅ
ａｔ
ｓａ
ｔｔｈｅ
ｓａｍｅｔ
ｉ
ｍｅ．Ａ
ｌｓ
ｏ，ｗｅｎ
ｅｅ
ｄｍｅｔ
ｈｏ
ｄｓｔｏｈ
ａｎ
ｄｅ（
ｌ Ｎｏ
ｓ．
２０
０９ＡＡ
０１Ｚ
４３
９，２
０１１ＡＡ
０１Ａ２
０３）
，Ｎａｔ
ｉ
ｏｎ
ａｌＮａｔ
ｕｒ
ａｌ
ｕ
ｎｃ
ｅｒ
ｔ
ａｉ
ｎｔ
ｉｅ
ｓｉ
ｎｔｈ
ｅ ｒ
ｏ
ｐｃ
ｅｓ
ｓｏｆｖ
ｕｌ
ｎｅ
ｒａ
ｂｉ
ｌ
ｉｔ
ｙｅｘｌ
ｏ
ｐｉ
ｔｉ
ｎｇｔ
ｈｒ
ｅａ
ｔＳｃ
ｉｅ
ｎｃ
ｅＦｏ
ｕｎ
ｄａ
ｔｉ
ｏｎｏ
ｆＣｈ
ｉｎａ（Ｎ
ｏ．
６１１
００
２２
６），Ｂｅ
ｉ
ｊｉ
ｎｇＮａｔ
ｕ
ａ
ｎａ
ｌ
ｙｓ
ｉｓ
．Ｃｏｎ
ｖｅ
ｎｔ
ｉｏ
ｎａ
ｌｍｅ
ｔｈ
ｏｄｓ
ｕｓ
ｅｐｒ
ｏｒ
ｐｉ
ｅ
ｔａｒ
ｙａ
ｌｇｏ
ｒｉ
ｔ
ｈｍｓｏｒ
ｔ ａ
ｌＳｃ
ｉ
ｅｎ
ｃｅＦ
ｏｕ
ｎｄａ
ｔ
ｉｎ（
ｏ Ｎｏ
．４１２
２０
８５）ａ
ｎｄｔ
ｈｅＯｅ
ｐｎ
ｉｎｇＰｒ
ｏ
ｃ
ｏｎ
ｓ
ｔｒ
ｕｃ
ｔｎｅｔ
ｗｏｒ
ｋａｔ
ｔａ
ｃｋｇｒ
ａｈ
ｐ，ｗｈｉ
ｃ
ｈａｒｅｃ
ｏｍｐｌ
ｅｘａｎ
ｄｊｅ
ｃｔ
ｏｆＫｅ
ｙＬａ
ｂｏｒ
ａ
ｔｏ
ｒｙｏ
ｆ Ｉ
ｎｆ
ｏｒ
ｍａｔ
ｉｏ
ｎＮｅ
ｔｗｏ
ｒｋＳｅ
ｃｕｒ
ｉｔ
ｙｏｆ
ｅ
ｒ
ｒｏ
ｒ
ｐｒ
ｏｎ
ｅ．Ｅｖ
ｅｎｗｈ
ｅｎｔ
ｈｅｎ
ｅｔ
ｗｏ
ｒｋａｔ
ｔ
ａｃ
ｋ ｒ
ｇａ
ｐｈｏｆ
ｔｈｅ
ｉｎ
 Ｍ
ｉｎ
ｉｓ
ｔ
ｒｙｏ
ｆＰｕ
ｂｌ
ｉｃ
Ｓｅ
ｃｕｒ
ｉ
ｔｙ（Ｔｈ
ｅＴｈ
ｉｒ
ｄＲｅ
ｓｅ
ａｒｃ
ｈＩｎ
ｓｔ
ｉ
ｔｕｔ
ｅｏｆ
ｆ
ｏ
ｒｍａ
ｔ
ｉｏ
ｎｓｙｓ
ｔ
ｅｍｉｓ
ｃｏ
ｎｓ
ｔｒ
ｕｃ
ｔｅ，
ｄｔｈｅ
ｒｅ
ｉｓｓ
ｔ
ｉｌ
ｌｌ
ａｃ
ｋｏｆｅ
ｆｆ
ｅｃ
ｔ
ｉｖ
ｅ Ｍ
ｉｎ
ｉｓ
ｔ
ｒｙｏ
ｆＰｕ
ｂｌ
ｉｃ
Ｓｅ
ｃｕｒ
ｉ
ｔ ）
ｙＮ（ｏ
．Ｃ１
０６
０ ）
６．Ｔｈｅｆ
ｕｎ
ｄｅｄｐｒ
ｏ
ｍ
ｅｔ
ｈｏ
ｄｔｏｇｅ
ｎｅ
ｒａ
ｔｅｓ
ｕｂ
ａｔ
ｔ
ａｃ
ｋｇｒ
ａｐｈ
ｓｆｏ
ｒ ｓ
ｐｅ
ｃ
ｉｆ
ｉｃｓ
ｅｃｕ
ｒ
ｉｔ
ｙｊｅ
ｃｔ
ｓａ
ｒｅｅ
ｎａ
ｇｅ
ｇｄｉ
ｎｉ
ｎｆ
ｏｒｍ
ａｔｉ
ｏｎｓ
ｅ
ｃｕｒ
ｉ
ｔｙｍｅ
ａｓ
ｕｒ
ｅｒｅ
ｌａ
ｔｅｄｒ
ｅ
ｔ
ｈ
ｒｅ
ａｔ
ｓ，
ａｎｄａ
ｌｓ
ｏｌａ
ｃｋｏ
ｆａ
ｓｓ
ｅｓ
ｓｍｅ
ｎｔｍｅ
ｔ
ｈｏ
ｄｓｆｏ
ｒｓｐｅ
ｃ
ｉｆ
ｉ
ｃｓｅ
ｓｅ
ａｒ
ｃｈ．
Ｔｈ
ｉｓａ
ｐｐｅ
ｒｆ
ｏｃ
ｕｓ
ｅｓｏｎｉ
ｄｅ
ｎｔｉ
ｆ
ｉ
ｃａ
ｔｉ
ｏｎａｎ
ｄａｎ
ａｌ
ｙｓｉ
ｓｏｆ
ｃ
ｕｒ
ｉ
ｔｔ
ｙｈ
ｒｅ
ａｔ
ｓ．Ｔｈ
ｉｓａ
ｐｅ
ｐｒｕ
ｓｅ
ｄＣＰＮｂ
ａｓ
ｅｄａ
ｔｔ
ａｃ
ｋｍｏｄ
ｅｌｓ
ｉｍ
ｔｈ
ｅａｔ
ｔａ
ｃｋｐａ
ｔ
ｈａ ｎ
ｄｔｈ
ｅａ ｓ
ｓｅ
ｓｓ
ｍｅｎ
ｔｏｆｓｙｓ
ｔ
ｅｍｓｅｃｕ
ｒｉ
ｔ
ｙ
ｕ
ｌ
ａｔ
ｉｏ
ｎｒ
ｅｓｕ
ｌ
ｔｓｔ
ｏｇｅｎ
ｅ
ｒａ
ｔｅｎ
ｅｔｗ
ｏｒ
ｋａｔ
ｔａ
ｃｋ
ｇｒａ
ｐｈ，ｗｈ
ｉｃ
ｈｃａ
ｎｔｈ
ｒｅ
ａｔ
ｓ．Ｔ
ｈｅａ
ｕｔｈ
ｏ’
ｒｓｍａ
ｉｎｒｅ
ｓｅ
ａｒ
ｃｈｆ
ｉｅ
ｌ
ｄｓａｒ
ｅｆｏ
ｃｕ
ｓｅｄｏ
ｎ
ｌ
ｅ
ｖｅ
ｒａ
ｇｅｔ
ｈｅｅ
ｆｆ
ｉｃ
ｉｅ
ｎｃ
ｙｏｆｔ
ｈｅｃ
ｕｒ
ｒｅｎ
ｔＣＰＮａｎ
ａｌ
ｙｓ
ｉｓｔ
ｏｏ
ｌｓ
．ｅｖａ
ｌ
ｕａ
ｔｉ
ｏｎ
ｏｆｔ
ｈｅｎ
ｅｔ
ｗｏ
ｒｋａｎｄ
ｉｎ
ｆｏ
ｒｍａ
ｔ
ｉｏｎ
ｓｅ
ｃｕｒ
ｉ
ｔｙ．
Ａ
ｌｓ
ｏａｎ
ｅｔｗ
ｏｒ
ｋａｔ
ｔａ
ｃｋｒ
ｇａ
ｐｈｄｅ
ｃ
ｏｍｐｏ
ｓ
ｉｔ
ｉｏ
ｎａｌ
ｇｏ
ｒ
ｉｔ
ｈ ｍ
ｉｓｒ
ｐｏ
