安全評(píng)價(jià)論文高效的網(wǎng)絡(luò)安全評(píng)定方式探微

1、安全評(píng)估論文：高效的網(wǎng)絡(luò)安全評(píng)定方式探微相比于分析單個(gè)弱點(diǎn)的脆弱性，基于模型的評(píng)估方法能更好的模擬 攻擊者行為、表達(dá)弱點(diǎn)關(guān)聯(lián)性。即使這些方法改善了網(wǎng)絡(luò)安全評(píng)估的 效果，但當(dāng)前工作仍有以下缺陷：(1) 非自動(dòng)化。雖然攻擊圖生成已經(jīng)實(shí)現(xiàn)了自動(dòng)化，具備高可擴(kuò)展 性，但是網(wǎng)絡(luò)安全評(píng)估的其他部分仍需手動(dòng)完成。評(píng)估依賴的數(shù)據(jù)庫(kù) (Bugtraq,/ )并不包含弱點(diǎn)的“前提”和“結(jié)果”屬性，弱點(diǎn)關(guān)聯(lián)關(guān) 系需要從弱點(diǎn)描述字段手動(dòng)提取。(2) 評(píng)估效率。當(dāng)前的網(wǎng)絡(luò)安全評(píng)估仍集中在機(jī)器數(shù)比較少的小規(guī) 模網(wǎng)絡(luò)，為了獲取比較準(zhǔn)確的分析結(jié)果，必須使用較復(fù)雜的評(píng)估模型， 計(jì)算復(fù)雜度也會(huì)隨之提升。在評(píng)估有效性和評(píng)估規(guī)模之間

2、，絕大多數(shù) 工作選擇的是前者。因而，如何簡(jiǎn)化評(píng)估模型，將評(píng)估方法推廣到大 規(guī)模網(wǎng)絡(luò)是一個(gè)亟待解決的問題。本文提出了一種高效的網(wǎng)絡(luò)安全評(píng) 估方法。在已有工作基礎(chǔ)上解決了三個(gè)關(guān)鍵問題：(1) 將變量消元算法應(yīng)用到貝葉斯網(wǎng)中，不構(gòu)建聯(lián)合概率分布表，直 接計(jì)算評(píng)估結(jié)果。通過變量消元使提升了評(píng)估的效率，評(píng)估規(guī)模從原 有的數(shù)十臺(tái)提升到數(shù)千臺(tái)。(2) 提取弱點(diǎn)信息，構(gòu)建弱點(diǎn)的前提和結(jié)果集，同時(shí)整合當(dāng)前主流的 弱點(diǎn)數(shù)據(jù)庫(kù)，形成一個(gè)包含弱點(diǎn)詳細(xì)信息的量化關(guān)聯(lián)數(shù)據(jù)庫(kù)。(3) 提出一種基于原子域的攻擊圖計(jì)算方法，簡(jiǎn)化了攻擊圖生成和評(píng) 估模型的計(jì)算。本文組織結(jié)構(gòu)如下：第 2 章介紹基本思想；第 3章討 論弱點(diǎn)關(guān)聯(lián)數(shù)據(jù)

3、庫(kù)的構(gòu)建；第 4 章給出原子域的攻擊圖生成方法；第 5 章提出基于變量消元的貝葉斯網(wǎng)評(píng)估模型；第 6 章通過真實(shí)環(huán)境下大 量實(shí)驗(yàn)，驗(yàn)證本方法的有效性；第 7 章是總結(jié)與進(jìn)一步工作?；舅枷氆@取當(dāng)前網(wǎng)絡(luò)脆弱性信息是安全評(píng)估的前提，在此基礎(chǔ)上利用攻擊圖 模擬入侵者行為，進(jìn)而通過量化評(píng)估模型分析攻擊者在當(dāng)前安全策略 下所有可能的行為和后果，評(píng)價(jià)網(wǎng)絡(luò)的脆弱性，提出加固建議。圖 1 是本評(píng)估方法的簡(jiǎn)單流程。數(shù)據(jù)存儲(chǔ)池包括弱點(diǎn)數(shù)據(jù)庫(kù)和從網(wǎng)絡(luò) 管理員獲得的配置信息（如網(wǎng)絡(luò)拓?fù)?、訪問控制策略等）。此部分信 息是生成攻擊圖，構(gòu)建網(wǎng)絡(luò)評(píng)估模型的基礎(chǔ)。弱點(diǎn)掃描器包括控制服 務(wù)器端和客戶端?？蛻舳税惭b在每臺(tái)待評(píng)估機(jī)器

4、上，由服務(wù)器端控制， 對(duì)系統(tǒng)實(shí)行掃描，獲得當(dāng)前網(wǎng)絡(luò)包含的所有弱點(diǎn)和它們的量化概率信 息。之后，攻擊圖生成系統(tǒng)將弱點(diǎn)關(guān)聯(lián)，利用基于原子域的攻擊圖生 成方法生成攻擊圖和貝葉斯網(wǎng)。以此為基礎(chǔ)，通過變量消元和貝葉斯 推理，計(jì)算評(píng)估維度并顯示評(píng)估結(jié)果，給出安全加固策略。弱點(diǎn)關(guān)聯(lián)數(shù)據(jù)庫(kù)1 弱點(diǎn)數(shù)據(jù)庫(kù)創(chuàng)建計(jì)算機(jī)的弱點(diǎn)通常指軟硬件設(shè)計(jì)或策略上的缺陷，使得攻擊者能夠在 未授權(quán)的情況下訪問系統(tǒng)。一個(gè)好的弱點(diǎn)數(shù)據(jù)庫(kù)不但能從多方面描述 一個(gè)弱點(diǎn)的詳細(xì)信息，而且是攻擊圖生成和網(wǎng)絡(luò)安全評(píng)估的基礎(chǔ)。雖 然有的研究工作根據(jù)經(jīng)驗(yàn)手動(dòng)構(gòu)建漏洞庫(kù)，能較準(zhǔn)確的反映弱點(diǎn)某一 方面的特征。但是此類數(shù)據(jù)庫(kù)因?yàn)槿肆τ邢?，不可能包含?dāng)前所有弱

5、 點(diǎn)的詳細(xì)信息。同時(shí)，弱點(diǎn)信息持續(xù)更新，新的弱點(diǎn)會(huì)持續(xù)出現(xiàn)，如 何保證數(shù)據(jù)庫(kù)的實(shí)時(shí)性是一個(gè)難點(diǎn)。另一個(gè)構(gòu)建漏洞庫(kù)的難點(diǎn)是如何提取弱點(diǎn)的關(guān)聯(lián)信息。攻擊圖的生成 是一個(gè)將網(wǎng)絡(luò)中一系列弱點(diǎn)實(shí)行關(guān)聯(lián)的過程，通過攻擊路徑模擬攻擊 者可能的攻擊行為。所以，為了自動(dòng)化生成攻擊圖，必須有一個(gè)能反 映弱點(diǎn)關(guān)聯(lián)關(guān)系的數(shù)據(jù)庫(kù)。一個(gè)弱點(diǎn)的前提集是指攻擊者要利用這個(gè) 弱點(diǎn)實(shí)施攻擊，必須滿足的前提條件。弱點(diǎn)的結(jié)果集是指攻擊者利用 這個(gè)弱點(diǎn)成功完成攻擊后，所能取得的權(quán)限提升或?qū)χ鳈C(jī)和網(wǎng)絡(luò)造成 的破壞。如果數(shù)據(jù)庫(kù)中的每一個(gè)記錄（弱點(diǎn)）都有前提和結(jié)果信息， 就可稱之為關(guān)聯(lián)數(shù)據(jù)庫(kù)。本文采用美國(guó)國(guó)家漏洞庫(kù) (NationalVul

6、nerabilityDatabase,http ： //) 作為數(shù)據(jù)庫(kù)的主要信息來源，在此基礎(chǔ)上結(jié)合其他 弱點(diǎn)信息，構(gòu)建一個(gè)綜合的關(guān)聯(lián)弱點(diǎn)庫(kù)。同時(shí)使用一個(gè)代理器，每隔 一段時(shí)間下載新出現(xiàn)的弱點(diǎn)。采用NVD的原因在于，它是迄今為止最完整的漏洞庫(kù)，與美國(guó)國(guó)家標(biāo)準(zhǔn)局(NIST)制定的CVE標(biāo)準(zhǔn)()兼容。以 NVD為基礎(chǔ)，系統(tǒng)整合了其他數(shù)據(jù)庫(kù)的弱點(diǎn)信息(如攻擊腳本，加固策 略等)。具體來說，從NVD提取的弱點(diǎn)信息占50%從Bugtraq提取的 弱點(diǎn)攻擊腳本和解決方案占 25%，CERT/CC(http：//) 包含的量化弱點(diǎn)信息占 10%，其他信息

7、占 15%。表 1 表示該數(shù)據(jù)庫(kù)中弱 點(diǎn)編號(hào)為CVE-2010-3847的部分信息。2 弱點(diǎn)關(guān)聯(lián)信息提取前提結(jié)果集不但反映了一個(gè)弱點(diǎn)潛在的威脅和攻擊復(fù)雜度，也是構(gòu)建 攻擊圖、實(shí)行網(wǎng)絡(luò)評(píng)估的基礎(chǔ)。為了簡(jiǎn)單起見，我們用權(quán)限表示弱點(diǎn) 的關(guān)聯(lián)信息。這里的權(quán)限分三種：無 (none) ，用戶 (user) ，管理員 (root)。圖2表示的是從NVD數(shù)據(jù)庫(kù)中提取的弱點(diǎn)信息。通過“攻擊 向量”的描述，能夠知道如果一臺(tái)主機(jī)有這個(gè)漏洞，攻擊者能夠通過 任何與它有網(wǎng)絡(luò)連接的機(jī)器發(fā)起攻擊。所以，該弱點(diǎn)的前提屬性是“無”(none)。通過“利用結(jié)果”屬性，得出攻擊此漏洞能夠獲得管 理員特權(quán)。所以，該弱點(diǎn)的結(jié)果集是“

8、管理員” (root) 。接著通過一個(gè) java 程序，將這些關(guān)聯(lián)信息導(dǎo)入到數(shù)據(jù)庫(kù)。除了關(guān)聯(lián) 性，系統(tǒng)數(shù)據(jù)庫(kù)還包括弱點(diǎn)的量化信息。圖 2中的“攻擊復(fù)雜度”屬 性值為“低”，在通用漏洞評(píng)估系統(tǒng)( commonvulnerabilityscoringsystem,CVSS,/cvss/cvss-guide.html)中，攻擊復(fù)雜度是一個(gè)包含三個(gè)值的枚舉變量，即：0.31 (H)， 0.61(M和0.71 ( L)。所以，攻擊者成功利用該弱點(diǎn)的概率為0.71。單個(gè)弱點(diǎn)的概率信息是實(shí)行概率推理、計(jì)算評(píng)估結(jié)果的基礎(chǔ)，一些研 究者利用經(jīng)驗(yàn)設(shè)定一個(gè)弱點(diǎn)被利用的概率。但是弱點(diǎn)數(shù)據(jù)庫(kù)可能包含 上萬條記錄并持續(xù)更

9、新，手動(dòng)部署量化信息比較困難。雖然本數(shù)據(jù)庫(kù) 設(shè)定的弱點(diǎn)利用概率值只能是 0.31 、0.61 或 0.71 ，但弱點(diǎn)的重要水準(zhǔn)是相對(duì)的。通過這種方式構(gòu)建量化數(shù)據(jù)庫(kù)不但能使評(píng)估自動(dòng)化，而且 能比較準(zhǔn)確得反映弱點(diǎn)的相對(duì)重要水準(zhǔn)?；谝陨霞夹g(shù)，系統(tǒng)使用 MySQ創(chuàng)建了包含46953條記錄的弱點(diǎn)數(shù)據(jù)庫(kù)，每條記錄包括弱點(diǎn)的基 本信息、前提結(jié)果集和量化信息。3 基于弱點(diǎn)數(shù)據(jù)庫(kù)的掃描器為了分析待評(píng)估網(wǎng)絡(luò)的脆弱性，系統(tǒng)以開源弱點(diǎn)評(píng)估語(yǔ)言 (openvulnerabilityandsssessmentlanguage,OVAL,/ )為核心構(gòu)建弱 點(diǎn)掃描器。選擇開源弱點(diǎn)評(píng)估語(yǔ)言的原因在于它是通用的弱點(diǎn)描述語(yǔ) 言

10、，描述方式符合CVE標(biāo)準(zhǔn)，方便從數(shù)據(jù)庫(kù)中提取信息。其次，掃描 客戶端安裝在每臺(tái)機(jī)器上，能以管理員身份查找漏洞?？紤]到評(píng)估網(wǎng) 絡(luò)的重要性和安全性，安裝掃描器的代價(jià)是可接受的。除了主機(jī)掃描， 系統(tǒng)還集成了網(wǎng)絡(luò)掃描器Nessus,從單個(gè)系統(tǒng)和整體網(wǎng)絡(luò)兩方面檢查 漏洞信息，為網(wǎng)絡(luò)評(píng)估提供詳細(xì)的弱點(diǎn)列表。攻擊圖生成攻擊圖描述了入侵者利用弱點(diǎn)逐步達(dá)到目標(biāo)的過程。本文提出了一種 原子域構(gòu)建攻擊圖的方法,簡(jiǎn)化了攻擊圖生成過程。該方法分兩步： 原子域初始化和攻擊圖生成。1 原子域初始化原子域指的是特定主機(jī)的特定權(quán)限。為了對(duì)網(wǎng)絡(luò)建模,首先設(shè)定每個(gè) 原子域的可用弱點(diǎn)集合。通過度析與攻擊者相連的所有主機(jī)組成的小 網(wǎng)絡(luò)

11、,能夠初始化攻擊者的原子域。接著按照同樣的步驟初始化其他 原子域,通過把一個(gè)大網(wǎng)絡(luò)分解成一組原子域,實(shí)現(xiàn)攻擊圖生成的簡(jiǎn) 化。當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)或配置發(fā)生改變時(shí),只需要更改相對(duì)應(yīng)的原子域,圖 3 是一個(gè)例子網(wǎng)絡(luò) 8。表 2是這個(gè)網(wǎng)絡(luò)包含的所有弱點(diǎn)信息,包括它們的 利用條件和所在主機(jī)。表 3 顯示的是原子域初始化結(jié)果,也就是每個(gè) 原子域的可用弱點(diǎn)集合。其中IpDUser表示了 IpD機(jī)器的User權(quán)限。 按照攻擊圖生成的單調(diào)性假設(shè)：攻擊者不會(huì)發(fā)動(dòng)不能使他權(quán)限提升的 攻擊,所以 ipWRoot 的可用弱點(diǎn)集合不包含“ ap”。2 攻擊圖生成當(dāng)所有原子域初始化完畢，系統(tǒng)就能夠通過原子域間的通信生成攻擊 圖。首

12、先從攻擊者所能訪問的原子域開始，分析攻擊者所能發(fā)起的攻 擊，激活和當(dāng)前原子域相鄰的子網(wǎng)絡(luò)中包含的原子域。接著以相同的 方式，按廣度優(yōu)先原則激活每個(gè)原子域和它相鄰的原子域組。當(dāng)所有 的原子域激活，攻擊圖生成過程結(jié)束。圖 4 是該網(wǎng)絡(luò)的攻擊圖。每個(gè) 節(jié)點(diǎn)代表一個(gè)原子域( ip3Root 表示主機(jī) 3上的 Root 權(quán)限)，每條邊 代表攻擊者利用弱點(diǎn)實(shí)施的一次權(quán)限提升攻擊。因?yàn)椴捎脝握{(diào)性假設(shè)， 所以攻擊圖中沒有回邊。基于優(yōu)化貝葉斯網(wǎng)的評(píng)估方法1 評(píng)估模型的建立為了實(shí)行網(wǎng)絡(luò)安全評(píng)估，需要一個(gè)定量分析模型計(jì)算當(dāng)前網(wǎng)絡(luò)的脆弱 性，本文使用貝葉斯網(wǎng)結(jié)合貝葉斯推理完成這個(gè)任務(wù)。為了方便將攻 擊圖和貝葉斯推理結(jié)

13、合，引入貝葉斯攻擊圖的概念，并做如下定義： 定義1設(shè)X表示一組離散變量集X1,Xn，集合中每個(gè)變量的祖先 變量是Pal,Pan。條件概率分布表(CPT指明了每個(gè)變量所包含的 條件概率分布(CPD如果攻擊圖和用概率分布表表示的量化信息結(jié)合， 就可稱為“貝葉斯攻擊圖”。圖中的每個(gè)變量代表一個(gè)伯努利隨機(jī)變 量 Xi ， P(Xi=T) 表示攻擊者成功達(dá)到目標(biāo)的概率，每條邊表示入侵者利 用弱點(diǎn)發(fā)動(dòng)的攻擊，而概率分布表表示了節(jié)點(diǎn)之間的概率依賴關(guān)系。 正如前面所述，本文使用通用弱點(diǎn)評(píng)分系統(tǒng)中的“攻擊復(fù)雜度”表示 一個(gè)弱點(diǎn)被成功利用的概率。雖然這種方法只能表示 0.31 ， 0.61 和 0.71 三個(gè)值，

14、但這并不影響評(píng)估結(jié)果。因?yàn)槲覀兏⒅匾唤M弱點(diǎn)的相 對(duì)威脅水準(zhǔn)，而不是單個(gè)弱點(diǎn)的重要度。一些已有的工作使用通用弱 點(diǎn)評(píng)分系統(tǒng)的“基本分”( BasicScore,BS )表示弱點(diǎn)被利用的難易度 他們將基本分除以 10，用得到的 0到 1 之間的值表示該弱點(diǎn)被攻擊者 成功攻擊的概率。雖然此方法能從掃描結(jié)果中自動(dòng)提取量化信息，但 弱點(diǎn)的基本分除了包含一個(gè)弱點(diǎn)被利用的難易水準(zhǔn)，還表示該弱點(diǎn)被攻擊后可能造成的破壞水準(zhǔn)和影響。很多弱點(diǎn)的基本分是10，并不表示這些弱點(diǎn)被成功利用的概率是 1。在構(gòu)建貝葉斯網(wǎng)過程中，應(yīng)用了一個(gè)通用的假設(shè)：給定一個(gè)變量X， X的祖先節(jié)點(diǎn)獨(dú)立影響 X 的狀態(tài)，即，每個(gè)節(jié)點(diǎn)的條件概率

15、不受其他節(jié) 點(diǎn)的影響。已有的工作通過修改概率信息消除上述假設(shè)， Bobbio 等通 過關(guān)聯(lián)條件概率分布表解決這個(gè)問題。為了方便起見，本文不討論這 種情況。圖5是一個(gè)包含三個(gè)原子域 A B、C的貝葉斯攻擊圖，el和 e2表示原子域之間的依賴關(guān)系，每條邊對(duì)應(yīng)主機(jī)C上一個(gè)弱點(diǎn)。圖的右邊表示節(jié)點(diǎn)C的條件概率表，其中C=1表示該原子域激活成功， P(e1)和P(e2)是從數(shù)據(jù)庫(kù)中提取的弱點(diǎn)攻擊概率。當(dāng)每個(gè)節(jié)點(diǎn)部署完 概率信息后，就能夠通過貝葉斯推理計(jì)算評(píng)估維度。2 評(píng)估維度評(píng)估維度決定了評(píng)估的方向和結(jié)果，為管理員加固網(wǎng)絡(luò)提供了重要的 依據(jù)。因?yàn)榫W(wǎng)絡(luò)安全分析和故障分析有相同的目標(biāo)和類似的過程，所 以借用故

16、障分析理論提出兩個(gè)評(píng)估維度：頂事件不可靠度和底事件重 要度。定義 3(頂事件不可靠度)在一個(gè)貝葉斯網(wǎng)中，頂事件指一個(gè)與 管理員規(guī)定的安全屬性相關(guān)的狀態(tài)，表示攻擊者成功達(dá)到目標(biāo)的可能 性。給定一個(gè)貝葉斯頂事件不可靠度表示了當(dāng)前網(wǎng)絡(luò)的整體安全狀態(tài)。 如果網(wǎng)絡(luò)管理員根據(jù)系統(tǒng)給出的安全建議，應(yīng)用了加固策略，再次運(yùn) 行評(píng)估系統(tǒng)，將會(huì)發(fā)現(xiàn)頂事件不可靠度降低，系統(tǒng)整體安全性提升。定義 4(底事件關(guān)鍵度)底事件是造成網(wǎng)絡(luò)不安全狀態(tài)的根本原因。在一個(gè)貝葉斯攻擊圖(S, t ,SO,ss )中，底事件對(duì)應(yīng)于SO。不失一般 性，我們假設(shè)系統(tǒng)中存有多個(gè)狀態(tài) s10,s20,sjO。底事件skO的重 要度是一個(gè)后驗(yàn)概率

17、：本文提出的底事件計(jì)算方法不同于文獻(xiàn)。Wang等人用邏輯表達(dá)式表示頂事件，式中的每個(gè)謂詞代表一個(gè)初始條 件(即底事件)。雖然他們的評(píng)估方法能給出加固策略，但仍是一種 定性評(píng)估。在貝葉斯評(píng)估模型中，底事件關(guān)鍵度是一個(gè)量化值，表達(dá) 了對(duì)頂事件的影響水準(zhǔn)。通過比較可知道如果攻擊者完成攻擊目標(biāo)， 最有可能從哪個(gè)底事件發(fā)起攻擊。另一個(gè)不同點(diǎn)是本文提出的計(jì)算方 法不是通過圖搜索而是貝葉斯推理。如果當(dāng)前網(wǎng)絡(luò)弱點(diǎn)信息發(fā)生改變， 不需要重新生成攻擊圖，只需要改變相對(duì)應(yīng)節(jié)點(diǎn)的條件概率表再實(shí)行 一次推理。相比于攻擊圖生成，貝葉斯推理代價(jià)更小，簡(jiǎn)化了評(píng)估維 度的計(jì)算。3 基于變量消元的評(píng)估維度計(jì)算算法本節(jié)首先介紹變量

18、消元的原理和使用變量消元降低推理復(fù)雜度的原因， 接著給出評(píng)估算法。3.1 消元運(yùn)算以圖 6 中的貝葉斯網(wǎng)為例，考慮計(jì)算 P(D), 有假設(shè)所有 變量均為二值，則上式的計(jì)算復(fù)雜度如下：P(A)與P(B|A)需要做4次數(shù)字乘法，其結(jié)果與P(C|B)相乘需要做8次數(shù)字乘法，它的結(jié)果再與 P(D|C)相乘需要做16次數(shù)字乘法。所以總共需做28次數(shù)字乘法。為了利用聯(lián)合概率分布的分解來降低推理的計(jì)算復(fù)雜度，注意到在式4右邊的4個(gè)因子中，只有P(A)和P(B|A)與變量A相關(guān)，而變量C也 只出現(xiàn)在因子P(C|B)和P(D|C)中，所以有式(5)的計(jì)算復(fù)雜度如下: P(A)與P(B|A)相乘需要做4次數(shù)字乘法

19、，然后消去 A需要做兩次數(shù)字 加法，同樣的，消去變量 B和變量C也分別需要4次乘法和兩次加法, 所以乘法總次數(shù)為 12，加法總次數(shù)為 6。比式 4 復(fù)雜度低。變量消元之所以能降低復(fù)雜度，主要是因?yàn)樗沟?運(yùn)算能夠局部化，每一步計(jì)算只注重單個(gè)變量和與它直接相連的變量。 在上面的例子中，運(yùn)算局部化大約節(jié)省了一半的運(yùn)算量。在變量眾多 的網(wǎng)絡(luò)中，節(jié)省可能是指數(shù)級(jí)的。3.2 評(píng)估算法圖 7 給出的是基于變量消元的網(wǎng)絡(luò)安全評(píng)估算法。開始時(shí)為每個(gè)節(jié)點(diǎn) 構(gòu)建條件概率分布表，接著利用變量消元計(jì)算底事件不可靠度，在計(jì) 算過程中得到頂事件不可靠度。3.3 算法復(fù)雜度分析變量消元的復(fù)雜度與消元順序相關(guān)，本文使用最小缺

20、邊搜索確定消元 順序。在變量消元算法中，最耗費(fèi)事件和空間的步驟是對(duì)消元操作的 調(diào)用（圖7算法中第8到第13行）。從f中挑出所有涉及X的函數(shù) f1,f2,fk，將它們相乘得到中間函數(shù)g,再將X從g中消去。設(shè) X1,XI是g中除X之外的變量，如果把函數(shù)表示成多維表，貝yg所存儲(chǔ)的函數(shù)值的個(gè)數(shù)這便是變量 X的消元成本。所以，算法的復(fù)雜度 與當(dāng)前的貝葉斯網(wǎng)結(jié)構(gòu)相關(guān)。相比于通過聯(lián)合概率分布分析網(wǎng)絡(luò)脆弱 性，這種局部化推理簡(jiǎn)化了計(jì)算過程。大量真實(shí)環(huán)境下的測(cè)試表明， 基于變量消元的評(píng)估方法能使評(píng)估復(fù)雜度降低，評(píng)估規(guī)模從原有的數(shù) 十臺(tái)提升到數(shù)千臺(tái)。測(cè)試本章通過一個(gè)真實(shí)環(huán)境下的實(shí)驗(yàn)，驗(yàn)證所提出的方法有效性。試驗(yàn)網(wǎng) 絡(luò)環(huán)境如圖 8所示，其中防火墻將網(wǎng)絡(luò)分為 2個(gè)部分：攻擊者所在的 網(wǎng)絡(luò)和運(yùn)行關(guān)鍵數(shù)據(jù)服務(wù)的局域網(wǎng)。假設(shè)攻擊者從防火墻外部發(fā)起攻 擊，防火墻設(shè)定的訪問規(guī)貝如下：攻擊者只能直接訪問四臺(tái)機(jī)器： Ip1,Ip2,Ip3 和 Ip4。 Ip15 是數(shù)據(jù)庫(kù)服務(wù)器，攻擊者最終的目標(biāo)是破壞 作用數(shù)據(jù)庫(kù)，所以 Ip15 是目標(biāo)主機(jī)。基本事件的先驗(yàn)概率設(shè)置如下時(shí) 基于原子域的攻擊圖也隨著掃描實(shí)行而產(chǎn)生。圖 9 顯示了該實(shí)驗(yàn)環(huán)境 下的攻擊圖。它包含了 4 個(gè)底事件（圖中橢圓形陰影標(biāo)注）和 1 個(gè)頂 事件（圖中最底部節(jié)點(diǎn)）。通過使用前面的算法，我們建立了貝葉斯 攻擊圖。然后，使用貝葉斯推理來計(jì)算