網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述(一)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述席榮榮云曉春金舒原文章概述基于態(tài)勢(shì)感知的概念模型，詳細(xì)闡述了態(tài)勢(shì)感知的三個(gè)主要研究?jī)?nèi)容：網(wǎng)絡(luò)安全態(tài)勢(shì)要素提取、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測(cè)，重點(diǎn)論述了各個(gè)研究點(diǎn)需解決的核心問(wèn)題、主要算法以及各種算法的優(yōu)缺點(diǎn)，最后對(duì)未來(lái)的發(fā)展進(jìn)行了分析和展望。概念概述1988年，Endsley首先提出了態(tài)勢(shì)感知的定義：在一定的時(shí)空范圍內(nèi)，認(rèn)知、理解環(huán)境因素，并且對(duì)未來(lái)的發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)。概念概述1999年，TimBass提出：下一代網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)應(yīng)該融合從大量的異構(gòu)分布式網(wǎng)絡(luò)傳感器采集的數(shù)據(jù)，實(shí)現(xiàn)網(wǎng)絡(luò)空間的態(tài)勢(shì)感知。基于數(shù)據(jù)融合的JDL模型，提出了基于多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)態(tài)勢(shì)感知功能模型。基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的功能，本文將其研究?jī)?nèi)容歸結(jié)為3個(gè)方面:網(wǎng)絡(luò)安全態(tài)勢(shì)要素的提取;網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估；網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)1、網(wǎng)絡(luò)安全態(tài)勢(shì)要素的提取網(wǎng)絡(luò)安全態(tài)勢(shì)要素主要包括靜態(tài)的配置信息、動(dòng)態(tài)的運(yùn)行信息以及網(wǎng)絡(luò)的流量信息。靜態(tài)的配置信息：網(wǎng)絡(luò)的拓?fù)湫畔ⅲ嗳跣孕畔⒑蜖顟B(tài)信息等基本配置信息動(dòng)態(tài)的運(yùn)行信息：從各種防護(hù)措施的日志采集和分析技術(shù)獲取的威脅信息等。2、網(wǎng)絡(luò)安全態(tài)勢(shì)的理解在獲取海量網(wǎng)絡(luò)安全信息的基礎(chǔ)上，解析信息之間的關(guān)聯(lián)性，對(duì)其進(jìn)行融合，獲取宏觀的網(wǎng)絡(luò)安全態(tài)勢(shì)，本文稱為態(tài)勢(shì)評(píng)估。數(shù)據(jù)融合式態(tài)勢(shì)評(píng)估的核心。應(yīng)用于態(tài)勢(shì)評(píng)估的數(shù)據(jù)融合算法，分為以下幾類(lèi)：基于邏輯關(guān)系的融合方法基于數(shù)學(xué)模型的融合方法基于概率統(tǒng)計(jì)的融合方法基于規(guī)則推理的融合方法基于邏輯關(guān)系的融合方法依據(jù)信息之間的內(nèi)在邏輯，對(duì)信息進(jìn)行融和，警報(bào)關(guān)聯(lián)是典型的基于邏輯關(guān)系的融合方法。警報(bào)關(guān)聯(lián)是指基于警報(bào)信息之間的邏輯關(guān)系對(duì)其進(jìn)行融合，從而獲取宏觀的攻擊態(tài)勢(shì)警報(bào)之間的邏輯關(guān)系：警報(bào)屬性特征的相似性預(yù)定義攻擊模型中的關(guān)聯(lián)性攻擊的前提和后繼條件之間的相關(guān)性基于數(shù)學(xué)模型的融合方法綜合考慮影響態(tài)勢(shì)的各項(xiàng)態(tài)勢(shì)因素，構(gòu)造評(píng)定函數(shù)，建立態(tài)勢(shì)因素集合到態(tài)勢(shì)空間的映射關(guān)系。加權(quán)平均法是最常用、最有代表性、最簡(jiǎn)單的基于數(shù)學(xué)模型的融合方法。加權(quán)平均法的融合函數(shù)通常由態(tài)勢(shì)因素和其重要性權(quán)值共同確定優(yōu)點(diǎn)：直觀缺點(diǎn)：權(quán)值的選擇沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)，大多是根據(jù)經(jīng)驗(yàn)確定?；诟怕式y(tǒng)計(jì)的融合方法基于概率統(tǒng)計(jì)的融合方法，充分利用先驗(yàn)知識(shí)的統(tǒng)計(jì)特性，結(jié)合信息的不確定性，建立態(tài)勢(shì)評(píng)估的模型，然后通過(guò)模型評(píng)估網(wǎng)絡(luò)的安全態(tài)勢(shì)。常見(jiàn)基于概率統(tǒng)計(jì)的融合方法：貝葉斯網(wǎng)絡(luò)隱馬爾可夫模型貝葉斯網(wǎng)絡(luò)貝葉斯公式：P(B)=貝葉斯網(wǎng)絡(luò)：一個(gè)貝葉斯網(wǎng)絡(luò)是一個(gè)有向無(wú)環(huán)圖（DAG），其節(jié)點(diǎn)表示一個(gè)變量，邊代表變量之間的聯(lián)系，節(jié)點(diǎn)存儲(chǔ)本節(jié)點(diǎn)相當(dāng)于其父節(jié)點(diǎn)的條件概率分布。貝葉斯斯網(wǎng)絡(luò)絡(luò)X1,X2......X7的聯(lián)合合概率率分布布：隱馬爾爾可夫夫模型型隱馬爾爾可夫夫模型型是馬爾可可夫鏈鏈的一種種，它它的狀狀態(tài)不不能直直接觀觀察到到，但但能通通過(guò)觀測(cè)向向量序序列觀察到到，每每一個(gè)個(gè)觀測(cè)測(cè)向量量是由由一個(gè)個(gè)具有有相應(yīng)應(yīng)概率率密度度分布布的狀狀態(tài)序序列產(chǎn)產(chǎn)生。。所以以，隱隱馬爾爾可夫夫模型型是一一個(gè)雙重隨隨機(jī)過(guò)過(guò)程隱馬爾爾可夫夫模型型隱馬爾爾可夫夫模型型假設(shè)我我們開(kāi)開(kāi)始擲擲骰子子，我我們先先從三三個(gè)骰骰子里里挑一一個(gè)，，挑到到每一一個(gè)骰骰子的的概率率都是是1/3。。然后后我們們擲骰骰子，，得到到一個(gè)個(gè)數(shù)字字，1，2，3，4，5，6，7，8中的的一個(gè)個(gè)。不不停的的重復(fù)復(fù)上述述過(guò)程程，我我們會(huì)會(huì)得到到一串串?dāng)?shù)字字，每每個(gè)數(shù)數(shù)字都都是1，2，3，4，5，6，7，8中的的一個(gè)個(gè)。例例如我我們可可能得得到這這么一一串?dāng)?shù)數(shù)字（（擲骰骰子10次次）：：1635273524隱含狀狀態(tài)鏈鏈有可能能是：：D6D8D8D6D4D8D6D6D4D8轉(zhuǎn)換概概率(隱含狀狀態(tài)））輸出概概率：：可見(jiàn)見(jiàn)狀態(tài)態(tài)之間間沒(méi)有有轉(zhuǎn)換換概率率，但但是隱隱含狀狀態(tài)和和可見(jiàn)見(jiàn)狀態(tài)態(tài)之間間有一一個(gè)概概率叫叫做輸出概概率可見(jiàn)狀狀態(tài)鏈鏈隱馬爾爾可夫夫模型型隱馬爾爾可夫夫模型型隱馬爾爾科夫夫的基本要要素，即一一個(gè)五五元組組{S,N,A,B,PI}；S：隱隱藏狀狀態(tài)集集合；；N：觀觀察狀狀態(tài)集集合；；A：隱隱藏狀狀態(tài)間間的轉(zhuǎn)轉(zhuǎn)移概概率矩矩陣；；B：輸輸出矩矩陣（（即隱隱藏狀狀態(tài)到到輸出出狀態(tài)態(tài)的概概率））；PI：：初始始概率率分布布（隱隱藏狀狀態(tài)的的初始始概率率分布布）；；優(yōu)缺點(diǎn)點(diǎn)評(píng)價(jià)價(jià)優(yōu)點(diǎn)：：可以以融合合最新新的證證據(jù)信信息和和先驗(yàn)驗(yàn)知識(shí)識(shí)，過(guò)過(guò)程清清晰，，易于于理解解缺點(diǎn)：：要求數(shù)數(shù)據(jù)源源大，，同時(shí)時(shí)需要要的存存儲(chǔ)量量和匹匹配計(jì)計(jì)算的的運(yùn)算算量也也大，，容易易造成成位數(shù)數(shù)爆炸炸，影影響實(shí)實(shí)時(shí)性性特征提提取、、模型型構(gòu)建建和先先驗(yàn)知知識(shí)的的獲取取有一一定困困難。?；谝?guī)規(guī)則推推理的的融合合方法法基于規(guī)規(guī)則推推理的的融合合方法法，首首先模模糊量量化多多源多多屬性性信息息的不不確定定性;然然后利利用規(guī)規(guī)則進(jìn)進(jìn)行邏邏輯推推理，，實(shí)現(xiàn)現(xiàn)網(wǎng)絡(luò)絡(luò)安全全態(tài)勢(shì)勢(shì)的評(píng)評(píng)估。。D-S證據(jù)組組合方方法和和模糊糊邏輯輯是研研究熱熱點(diǎn)D-S證據(jù)理理論是一種種不確確定推推理方方法，，證據(jù)據(jù)理論論的主主要特特點(diǎn)是是：滿滿足比比貝葉葉斯概概率論論更弱弱的條條件；；具有有直接接表達(dá)達(dá)“不不確定定”和和“不不知道道”的的能力力·。。概率分分配函函數(shù)：：設(shè)ＤＤ為為樣樣本空空間，，其中中具有有ｎｎ個(gè)元元素，，則ＤＤ中中元素素所構(gòu)構(gòu)成的的子集集的個(gè)個(gè)數(shù)為為２ｎ個(gè)。概概率分分配函函數(shù)的的作用用是把把ＤＤ上的的任意意一個(gè)個(gè)子集集ＡＡ都映映射為為[0，1]上的一一個(gè)數(shù)數(shù)ＭＭ（ＡＡ）。。信任函函數(shù)：：似然函函數(shù)：：D-S證據(jù)理理論信任區(qū)區(qū)間：：[Bel(A)，pl(A)]表表示命命題A的信信任區(qū)區(qū)間，，Bel(A)表示示信任任函數(shù)數(shù)為下下限，，pl(A)表表示似似真函函數(shù)為為上上限模糊集集合處理某某一問(wèn)問(wèn)題時(shí)時(shí)對(duì)有有關(guān)議議題的的限制范范圍稱為該該問(wèn)題題的論論域。。1、論域域2、集合合在論域域中，，具有有某種種屬性性的事事物的的全體體稱為為集合合。3、特征征函數(shù)數(shù)設(shè)A是論域域U上的一一個(gè)集集合，，對(duì)任任何u∈U，令則稱CA(u)為集合合A的特征征函數(shù)數(shù)。顯顯然有有：A={u|CA(u)=1}模糊集集合4、隸屬屬函數(shù)數(shù)設(shè)U是論域域，μA是將任任何u∈U映射為為[0，1]上某個(gè)個(gè)值的的函數(shù)數(shù)，即即：μA：U→[0，1]u→μμA(u)則稱μA為定義義在U上的一一個(gè)隸屬函函數(shù)模糊集集合5、模糊糊集設(shè)A={μμA(u)|u∈U},則稱A為論域域U上的一一個(gè)模糊集集。當(dāng)隸屬屬函數(shù)數(shù)只取取0,1時(shí)，隸隸屬函函數(shù)就就是特特征函函數(shù)。。μA(u)稱為u對(duì)模糊集集A的隸屬度。模糊集的的表示方方法模糊集合合可以有有以下兩兩種表示示方法：：1.扎德（Zadeh）表示法法(1)當(dāng)論域U為離散集集合時(shí)，，一個(gè)模模糊集可可以表示示為：(2)當(dāng)論域U為連續(xù)集集合時(shí)，，一個(gè)模模糊集可可以表示示為：注：此處處的積分分和求和和符號(hào)都都不代表表實(shí)際運(yùn)運(yùn)算，只只是一種種表示方方法而已已。模糊集的的表示方方法2.序?qū)Ρ硎臼痉：兄械拿總€(gè)個(gè)元素都都可以表表示成（元素、、隸屬度度）這樣一個(gè)個(gè)序?qū)?，，基于這這種思想想，模糊糊集可表表示如下下：模糊關(guān)系系1.關(guān)系的定定義關(guān)系是客客觀世界界存在的的普遍現(xiàn)現(xiàn)象。如如父子關(guān)關(guān)系、大大小關(guān)系系、屬于于關(guān)系、、二元關(guān)關(guān)系、多多元關(guān)系系、多邊邊關(guān)系等等等直積（笛笛卡爾積積）體現(xiàn)了兩兩個(gè)集合合之間的的關(guān)系。。在普通通集合中中，設(shè)論論域U和V，從U到V的一個(gè)關(guān)關(guān)系定義義為直積積U×V的一個(gè)子子集R，記作：：例7設(shè)有集合合A={1,2,5}，B={3,2}，求A、B的二元關(guān)關(guān)系R解：模糊關(guān)系系此處的關(guān)關(guān)系R同樣為二二元關(guān)系系。隸屬函數(shù)數(shù)表示形式式為：其隸屬函函數(shù)的映映射：元素(u0,v0)的隸屬度度為μR(u0,v0)，表示u0和v0具有關(guān)系系R的程度2.模糊關(guān)系系設(shè)論域U和V，則U×V的一個(gè)子子集R，就是U到V的模糊關(guān)關(guān)系，同同樣記作作：3、網(wǎng)絡(luò)安安全態(tài)勢(shì)勢(shì)的預(yù)測(cè)測(cè)網(wǎng)絡(luò)安全全態(tài)勢(shì)的的預(yù)測(cè)是是指根據(jù)據(jù)網(wǎng)絡(luò)安安全態(tài)勢(shì)勢(shì)的歷史史信息和和當(dāng)前狀狀態(tài)對(duì)網(wǎng)網(wǎng)絡(luò)未來(lái)來(lái)一段時(shí)時(shí)間的發(fā)發(fā)展趨勢(shì)勢(shì)進(jìn)行預(yù)預(yù)測(cè)。目前網(wǎng)絡(luò)絡(luò)安全態(tài)態(tài)勢(shì)預(yù)測(cè)測(cè)一般采采用神經(jīng)經(jīng)網(wǎng)絡(luò)、、時(shí)間序序列預(yù)測(cè)測(cè)法和支支持向量量機(jī)等方方法基于Markov博博弈模模型的網(wǎng)網(wǎng)絡(luò)安全全態(tài)勢(shì)感感知方法法張勇譚譚小彬彬崔崔孝林本文提出出一種基基于Markov博博弈分分析的網(wǎng)網(wǎng)絡(luò)安全全態(tài)勢(shì)感感知方法法，分析了威威脅傳播播對(duì)網(wǎng)絡(luò)絡(luò)系統(tǒng)的的影響,準(zhǔn)確全全面地評(píng)評(píng)估系統(tǒng)統(tǒng)的安全全性。對(duì)多傳感感器檢測(cè)測(cè)到的安安全數(shù)據(jù)據(jù)進(jìn)行融融合,得得到資產(chǎn)產(chǎn)、威脅脅和脆弱弱性的規(guī)規(guī)范化數(shù)數(shù)據(jù);對(duì)對(duì)每個(gè)威威脅,分分析其傳傳播規(guī)律律,建立立相應(yīng)的的威脅傳傳播網(wǎng)絡(luò)絡(luò);通過(guò)過(guò)對(duì)威脅脅、管理理員和普普通用戶戶的行為為進(jìn)行博博弈分析析,建立立三方參參與的Markov博弈弈模型，，從而實(shí)實(shí)時(shí)動(dòng)態(tài)態(tài)的評(píng)估估網(wǎng)絡(luò)安安全態(tài)勢(shì)勢(shì)，并給給出最佳佳加固方方案網(wǎng)絡(luò)態(tài)勢(shì)勢(shì)是指由由各種網(wǎng)網(wǎng)絡(luò)設(shè)備備運(yùn)行狀狀況、網(wǎng)網(wǎng)絡(luò)行為為以及用用戶行為為等因素素所構(gòu)成成的整個(gè)個(gè)網(wǎng)絡(luò)當(dāng)當(dāng)前狀態(tài)態(tài)和變化化趨勢(shì)威脅傳播播分析網(wǎng)絡(luò)系統(tǒng)統(tǒng)的各個(gè)個(gè)節(jié)點(diǎn)相相互連接接,當(dāng)系系統(tǒng)中某某個(gè)節(jié)點(diǎn)點(diǎn)被成功功攻擊后后,威脅脅可以傳傳播到與與該節(jié)點(diǎn)點(diǎn)相關(guān)聯(lián)聯(lián)的其他他節(jié)點(diǎn),從而使使這些節(jié)節(jié)點(diǎn)遭受受安全威威脅.資產(chǎn)：對(duì)對(duì)系統(tǒng)有有價(jià)值的的資源資產(chǎn)類(lèi)型型：主機(jī)機(jī)、服務(wù)務(wù)器、路路由器、、網(wǎng)關(guān)、、防火墻墻、IDS......資產(chǎn)價(jià)值值：包含含資產(chǎn)保保密性價(jià)價(jià)值、完完整性價(jià)價(jià)值、可可用性價(jià)價(jià)值性能利用用率：分分5個(gè)等級(jí)，，隨著等等級(jí)的增增長(zhǎng),性性能利用用率指數(shù)數(shù)增長(zhǎng).威脅：對(duì)對(duì)資產(chǎn)造造成損害害的外因因威脅類(lèi)型型：病毒毒、蠕蟲(chóng)蟲(chóng)、木馬馬等惡意意代碼和和網(wǎng)絡(luò)攻攻擊,根根據(jù)對(duì)系系統(tǒng)的損損害方式式將威脅脅分為兩兩類(lèi)：占網(wǎng)絡(luò)資資源少的的威脅,包括木木馬、病病毒和網(wǎng)網(wǎng)絡(luò)攻擊擊等,對(duì)對(duì)系統(tǒng)節(jié)節(jié)點(diǎn)的保保密性、、完整性性和可用用性均有有影響,大量耗費(fèi)費(fèi)系統(tǒng)資資源的威威脅,以以蠕蟲(chóng)和和DDoS攻攻擊為為代表,主要對(duì)對(duì)系統(tǒng)的的可用性性造成影影響脆弱性：：可以被被威脅利利用的薄薄弱環(huán)節(jié)節(jié)通過(guò)對(duì)檢檢測(cè)數(shù)據(jù)據(jù)的融合合,得到到系統(tǒng)中中所有的的資產(chǎn)、、威脅和和脆弱性性數(shù)據(jù),構(gòu)成資資產(chǎn)集合合、威脅脅集合和和脆弱性性集合.威脅傳播播網(wǎng)絡(luò)威脅傳播播節(jié)點(diǎn)：：系統(tǒng)中中受威脅脅影響的的節(jié)點(diǎn),Node=(ida,valuea,pa,tf,vf)威脅傳播播路徑:系統(tǒng)統(tǒng)中傳播播威脅的的鏈路Path=（idas，idad,valuee,Pe,pe)Pe指路徑被被切斷后后對(duì)系統(tǒng)統(tǒng)造成的的損失,是路徑徑帶寬利利用率,與資產(chǎn)產(chǎn)的性能能利用率率類(lèi)似,分為5個(gè)個(gè)等級(jí);pe表示威脅脅通過(guò)該該路徑成成功擴(kuò)散散的概率率,分為為5個(gè)個(gè)等級(jí)級(jí),每提提高一個(gè)個(gè)等級(jí),威脅成成功傳播播概率線線性增加加.威脅傳播播網(wǎng)絡(luò)TPN:包含t所所有的傳傳播節(jié)點(diǎn)點(diǎn)和傳播播路徑,用TPN（t）={Nodes,Paths}表示?；贛arkov博弈分析析的態(tài)勢(shì)勢(shì)量化評(píng)評(píng)估基于時(shí)間間序列分分析的態(tài)態(tài)勢(shì)預(yù)測(cè)測(cè)Markov博博弈模型型的建立立博弈三方方:攻擊方：：威脅防守方：：管理員員中立方：：用戶狀態(tài)空間間：TPN(t)的所所有可能能狀態(tài)組組成狀態(tài)態(tài)空間k時(shí)刻狀態(tài)態(tài)空間為為T(mén)PN(t,k)={si(k),ej(k)},i=1,2,.....Mj=1,2,.......N行為空間間：博弈弈三方所所有可能能的行為為集合攻擊方：：ut防守方：：uv，修補(bǔ)補(bǔ)某個(gè)脆脆弱性、、切斷某某條傳播播路徑或或關(guān)閉某某個(gè)網(wǎng)絡(luò)絡(luò)節(jié)點(diǎn)用戶：uc，簡(jiǎn)化為為網(wǎng)絡(luò)訪訪問(wèn)率提提高10%和和降低10%轉(zhuǎn)移概率率：隨著著博弈各各方的行行為選擇擇,系統(tǒng)統(tǒng)的狀態(tài)態(tài)不斷變變化p(TPN(t,k+1)|TPN(t,k),utk,uvk,uck)描述系統(tǒng)統(tǒng)狀態(tài)變變化規(guī)律律報(bào)酬函數(shù)數(shù)：博弈弈結(jié)束后后各方的的得失攻擊方：：用對(duì)系系統(tǒng)的損損害表示示防守方：：用管理理員采取取安全措措施后所所能減少少的損害害表示中立方：：用所有有普通用用戶對(duì)系系統(tǒng)服務(wù)務(wù)的利用用程度表表示博弈過(guò)程博弈過(guò)程是是各方參與與者根據(jù)系系統(tǒng)當(dāng)前狀狀態(tài)從行為為空間中選選取一個(gè)行行為,然后后系統(tǒng)轉(zhuǎn)移移到新的狀狀態(tài),參與與者再根據(jù)據(jù)新?tīng)顟B(tài)做做決策,依依此反復(fù)進(jìn)進(jìn)行。參與與者根據(jù)己己方報(bào)酬函函數(shù)的最大大化選擇策策略對(duì)于攻擊方方：t為第一類(lèi)威脅時(shí),t對(duì)節(jié)節(jié)點(diǎn)i的的保密性性、完整性性和可用性性均有損害害,記為Vt(si(k))=pt*pv*(u*valueai),對(duì)TPN(t,k)中所有節(jié)節(jié)點(diǎn)按同樣樣的方式計(jì)計(jì)算t為第二類(lèi)攻攻擊時(shí)，t對(duì)節(jié)點(diǎn)點(diǎn)i及及其相關(guān)路路徑的可用用性造成損損害,對(duì)i可用用性造成的的損害為Vt(si(k))=pt*pv*Δρa(bǔ)i*valueai，valueai取節(jié)點(diǎn)可用用性價(jià)值分分量Vt(ej(k))=pt*pv*Δρej*valueej為t對(duì)對(duì)第j條條路徑的的可用性損損害對(duì)于防守方方：管理員員對(duì)節(jié)點(diǎn)i實(shí)施施安全措施施會(huì)帶來(lái)兩兩方面的影影響:減少少威脅t的損害害和影響網(wǎng)網(wǎng)絡(luò)性能安全措施對(duì)對(duì)i節(jié)點(diǎn)可可用性的影影響：對(duì)i相相關(guān)路徑的的性能影響響為：其中,Vv(ej(k))=Δρej*valueej為對(duì)第j條路徑徑的影響安全措施減減少t的的損害與與威脅類(lèi)型型有關(guān):t為一類(lèi)類(lèi)威脅時(shí),減少t的損害害為?Vt(si(k)),從而,防防守方的一一步報(bào)酬用用公式(2a)表示示:t為二類(lèi)類(lèi)威脅時(shí),減少t的損害害為對(duì)于中立方方,普通用用戶根據(jù)網(wǎng)網(wǎng)絡(luò)的延遲遲、服務(wù)的的可訪問(wèn)性性等改變?cè)L訪問(wèn)率.中中立方的一一步報(bào)酬為為N個(gè)個(gè)節(jié)點(diǎn)和M條路徑徑的利用率率之和,用用公式(3)表示:威脅通過(guò)TPN(t,k)向未感染染的節(jié)點(diǎn)傳傳播，根據(jù)據(jù)以上對(duì)于于兩類(lèi)威脅脅統(tǒng)一用公公式(4)表示：中立方：例子博弈過(guò)過(guò)程k時(shí)刻,只在節(jié)點(diǎn)點(diǎn)1上上檢測(cè)到t,系統(tǒng)統(tǒng)處于狀態(tài)態(tài)A;k+1時(shí)時(shí)刻,t向向節(jié)點(diǎn)3傳播播,管理員員加固節(jié)點(diǎn)點(diǎn)3,普普通用戶訪訪問(wèn)率不變變.系統(tǒng)如如果跳轉(zhuǎn)到到狀態(tài)B,表示加加固方案執(zhí)執(zhí)行沒(méi)有成成功并且威威脅成功傳傳播;如果果跳轉(zhuǎn)到狀狀態(tài)C,表示加固固方案執(zhí)行行成功或t在該該方向傳播播失敗;k+2時(shí)時(shí)刻,以狀狀態(tài)B為為例,t向節(jié)點(diǎn)點(diǎn)2、節(jié)節(jié)點(diǎn)4、、節(jié)點(diǎn)1傳播,管理員加加固節(jié)點(diǎn)1,普通通用戶訪問(wèn)問(wèn)率不變.系統(tǒng)如果果跳轉(zhuǎn)到狀狀態(tài)D,表示威脅脅成功傳播播到節(jié)點(diǎn)2和節(jié)節(jié)點(diǎn)4,節(jié)點(diǎn)1加固方方案執(zhí)行成成功或t在該方方向傳播失失敗.系統(tǒng)k時(shí)時(shí)刻,t為一類(lèi)類(lèi)威脅時(shí),t的保保密性態(tài)勢(shì)勢(shì)和完整性性態(tài)勢(shì)的評(píng)評(píng)估方法類(lèi)類(lèi)似,不計(jì)計(jì)中立方行行為的影響響,用公式式(6a)表示,相相應(yīng)的加固固方案用公公式(7a)表示:系統(tǒng)k時(shí)時(shí)刻,在在對(duì)t的的可用性性態(tài)勢(shì)評(píng)估估時(shí),需要要考慮中立立方行為的的影響,并并且需要區(qū)區(qū)分t屬屬于不同同類(lèi)型的威威脅,可用用性態(tài)勢(shì)用用公式(6b)表示示,相應(yīng)的的加固方案案用公式(7b)表表示.其中中,*表示示1或或者2:態(tài)勢(shì)評(píng)量化化估算法網(wǎng)絡(luò)安全態(tài)態(tài)勢(shì)評(píng)估算算法主要包包括3個(gè)個(gè)步驟:檢測(cè)數(shù)據(jù)據(jù)融合、威威脅傳播網(wǎng)網(wǎng)絡(luò)(TPN)建立立、Markov博博弈模型型評(píng)估。算法1.網(wǎng)絡(luò)絡(luò)安全態(tài)勢(shì)勢(shì)量化評(píng)估估算法.輸入:數(shù)據(jù)據(jù)采集模塊塊檢測(cè)到的的各類(lèi)安全全數(shù)據(jù);輸出:網(wǎng)絡(luò)絡(luò)安全態(tài)勢(shì)勢(shì).1.對(duì)對(duì)檢測(cè)模塊塊測(cè)得得安安全數(shù)據(jù)進(jìn)進(jìn)行融合,得到資產(chǎn)產(chǎn)集合、威威脅集合、、脆弱性集集合和網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)信息息;2.根根據(jù)檢測(cè)模模塊得到的的網(wǎng)絡(luò)信息息,綜合資資產(chǎn)集合、、威脅集合合和脆弱性性集合,對(duì)對(duì)威脅集合合中每個(gè)威威脅t建建立該威威脅的威脅脅傳播網(wǎng)絡(luò)絡(luò)TPN(t);3.根根據(jù)TPN(t),對(duì)t建立Markov博博弈模型,計(jì)算t的保密密性損害,評(píng)估t的保密密性態(tài)勢(shì);4.根根據(jù)TPN(t),對(duì)t建立Markov博博弈模型,分析管理理員應(yīng)對(duì)t保密密性損害的的最佳加固固方案;5.按按照步驟(3)、步步驟(4)類(lèi)似的方方法,評(píng)估估t的的完整性態(tài)態(tài)勢(shì)和可用用性態(tài)勢(shì),并分析相相應(yīng)的最佳佳加固方案案；6.將將威脅集合合中所有威威脅保密性性損害求和