基于威胁传播的多节点网络安全态势量化评估方法

田建伟 田 峥 漆文辉 郝悍勇 李仁发 黎 曦 乔 宏 薛海伟

1(国网湖南省电力公司电力科学研究院 长沙 410007)

2(国家电网公司 北京 100031)

3 (湖南大学信息科学与工程学院 长沙 410082)

(tianjw0509@163.com)

随着化石能源的日渐枯竭和环境污染的逐步加剧，以输送清洁能源为目标的能源互联网概念被提出并逐渐受到业界认可[1-3].能源互联网是新能源技术与互联网技术相结合，实现电力流、信息流和业务流高度融合的共享网络[4-6].能源互联网中智能电网、物联网和互联网技术的深度融合，新能源、分布式能源、微电网和电动汽车充放电设施的接入，造成原有封闭隔离的网络边界模糊化，安全防护薄弱环节增多，为黑客提供了更多的攻击路径和攻击目标[7]，遭到破坏性攻击的后果十分严重，存在大规模甚至全球范围内的停电事件风险.如何准确地评估能源互联网信息安全态势，及时采取有效的安全控制措施，是保障能源互联网安全的重要研究课题.

安全态势评估是通过获取安全相关元素，分析和判断安全状况.刘玉岭等人[8]提出了基于时空维度分析的网络安全态势预测方法，从时间和空间维度上分析安全要素对安全态势的影响.张海霞等人[9]使用攻击能力增长表示攻击者的最终目标，并以此分析攻击路径，从而进行网络安全性的分析.田志宏等人[10]提出利用上下文验证的方法，过滤无关的虚假警报，使得安全评估更为准确.韦勇等人[11]利用漏洞信息和服务信息,经过态势要素融合和节点态势融合计算网络安全态势.国外的Mohamed等人[12-13]通过分析警报之间的逻辑关系对警报进行关联分析,评估网络的威胁态势.Brynielsson等人[14]通过博弈论的方法预测和分析安全态势.

能源互联网全球泛在和分布式接入的特性，以及信息系统和能源系统在量测、计算、传输和控制等环节的高度集成[15-16]，导致能源互联网的网络结构复杂、信息量大、安全态势影响因素多，存在“一点突破，影响全网”的风险.而现有的研究工作偏重于孤立信息系统或者小规模网络的安全态势评估，忽略了大规模网络中威胁的相互传播影响，评估要素不全面，使得评估结果不够准确，难以对网络结构复杂的能源互联网做出准确的信息安全态势评估.为此，本文提出了面向能源互联网的多节点网络安全态势量化评估方法.1)提出了能源互联网网络节点的概念和相关定义，并利用图理论对能源互联网的网络结构进行建模;2)通过基于威胁传播概率的安全态势量化方法，计算网络节点安全态势，进而综合考虑服务权重，计算整个网络的融合安全态势;3)提出一种基于最简威胁图的安全态势改进方法，为安全决策者提供合理的安全解决方案.

本文主要做出了3点贡献：

1) 面对能源互联网复杂的网络结构，构建连接关系图模型，能够准确地对影响网络安全态势的要素进行识别和分析.

2) 提出基于威胁传播概率的安全态势量化方法，能够反映节点间威胁的关联性，同时考虑了服务权重对安全态势的影响，提出了多节点的安全态势融合方法.

3) 提出了一种基于最简威胁图的安全态势改进方法，该方法通过构造最简威胁图，能够寻找解决目标网络安全威胁的关键措施集合.

1 网络节点安全态势评估模型

为便于讨论能源互联网的信息安全态势，本文首先给出网络节点等概念的相关定义.

定义1. 网络节点.将分布于能源互联网不同物理位置，通过信息网络互联起来，支撑分布式能源接入控制，实现信息流和控制流传输的一个信息系统集合称为一个网络节点.网络节点h可用一个五元组来表示h=(id,f,t,v,a).其中,id为网络节点的标识；f为该节点的权重；t为该节点检测到的攻击信息；v为该节点的脆弱性信息，包括漏洞、服务、安全配置等；a为该节点资产价值，包括保密性、完整性和可用性.H={h1,h2,…,hn}称为网络节点的全集.在网络节点中检测到攻击信息的节点称为威胁热源节点，表示为H′={hq,…,hm}⊆H.

如图1所示，网络节点h1～h10，其中h2，h4，h5为威胁热源节点.在图1中，网络节点内部功能各异的信息系统被用于传输数据和服务信息的网络链路互联起来，使得网络节点之间存在逻辑访问关系.

Fig. 1 Schematic diagram of energy Internet network node access relationship图1 能源互联网网络节点访问关系示意图

定义2. 连接关系.网络节点hi(1≤i≤n)通过网络链路，存在到网络节点hj(1≤j≤n,i≠j)中信息系统或设备的逻辑访问关系，称为网络节点hi到网络节点hj的连接关系li,j，所有连接关系的集合为L.

定义3. 连接关系图.能源互联网中各网络节点的连接关系构成了一个连接关系有向图G，G=(H,L).

图1的网络节点拓扑信息可以模型化为连接关系图，如图2所示.连接关系图中顶点为网络节点，边为连接关系，边上的权重值为网络节点间连接关系的数量.

Fig. 2 Corresponding connection relation graph of figure 1图2 图1对应的连接关系图

文献[17-18]提出了“风险关联性”的概念，描述不同信息系统和设备之间潜在的安全风险关联关系.同理，在连接关系图中，当攻击者成功入侵网络节点hi后,他不仅控制了hi的部分甚至全部资源，而且也通过连接关系拥有了对网络节点hj一定程度的访问特权,可见连接关系使得威胁具有传播性.因此,本文也引入“网络节点间威胁传播概率”的概念.

定义4. 威胁传播概率r.如果攻击t在成功入侵威胁热源节点hi后，利用网络节点间的连接关系〈hi,hj〉，继续攻击节点hj并造成安全事件的概率称为威胁传播概率ri,j.

网络节点安全态势不仅与攻击信息、脆弱性、节点资产有关，还与节点间的威胁传播概率有关.本文安全态势评估有3点：

1) 检测受到攻击的威胁热源节点hi，分析攻击t与脆弱性属性v的相关度来评估安全事件发生的概率pi.

2) 根据安全事件发生概率pi、威胁值k和节点之间的威胁传播概率ri,j，计算安全事件对其他节点hj造成的影响ui,j.

3) 安全事件的影响程度，并结合网络节点资产价值a，评估网络节点安全态势SA.

2 安全态势量化评估方法

2.1 基于威胁传播概率的安全态势计算方法

从攻击者的角度看，达到渗透目标的渗透路径可能有若干条，即当攻击者成功渗透一个网络节点后，由于节点间的连接关系，下一个攻击目标可能有多个，选择下一个目标的因素也存在多个方面，如攻击者对渗透技术的偏好和能力、攻击目标的脆弱性等.本文将获取一个网络节点控制权后，选择下一个网络节点作为攻击目标的可能性称为攻击选择概率pn.例如，在成功控制网络节点hi后，下一个有可能的攻击目标为hi,hm,hn中的任意一个，pn(i,j)表示选择网络节点hj作为下一个攻击目标的攻击选择概率.

本文假设攻击者具有超强的渗透能力，能够成功执行各种渗透行为，攻击选择概率仅与网络节点自身的脆弱性有关.参考文献[19]中脆弱信息的量化计算方法的攻击选择概率pn计算为

(1)

其中，W=(w1,w2,w3,w4)为权重归一化向量，表示各脆弱性信息对安全事件发生的影响程度.

基于安全防御体系中“木桶理论”的基本思想，攻击者总是选择脆弱性最高的网络节点发起攻击，即攻击者的“理性”渗透路径选择假设.

假设1. 理性的攻击路径选择.攻击者掌握了目标网络系统的所有信息，包括攻击选择概率和网络拓扑结构.当攻击者成功渗透一个网络节点后，面对多个连接关系，总会选择攻击选择概率最大的连接关系路径作为下一个攻击目标；同时攻击渗透过程中，不会重复攻击己经获得了的控制权限的网络节点，即攻击者的渗透行为是单调的.

基于假设1和连接关系有向图，可得出相关定理：

定理1. 在成功控制网络节点hi后，攻击者到网络节点hj的攻击路径为：以攻击选择概率pn为权值，在连接关系有向图中网络节点hi和hj之间经过的边权值之和最少的路径，该路径称为攻击选择路径lmin(i,j)=〈l(i,q)，l(q,s),…,l(s,j)〉，所有攻击选择路径组成的集合称为攻击选择路径集合Lmin.

根据定理1，威胁传播概率ri,j的计算方法如下：

ri,j=pn(i,d)×pn(d,l)×…×pn(k,j),
s.t.
〈l(i,d),l(d,l),…,l(k,j)〉=lmin(i,j),
i≠d≠l≠k≠j.

(2)

本文采用Dijkstra算法，通过以攻击选择概率为权重的连接关系有向图，计算威胁传播概率，算法的时间复杂度为O(n2×|H′|)，其中n为连接关系有向图的节点数量.

在节点hi(hi∈H′)上的网络攻击t，对节点hj威胁影响uj的计算为

(3)

其中,k为威胁值，即威胁针对某个漏洞的风险级别，根据威胁评分系统CVSS的评分标准[20]，k∈[0,10]，值越大，威胁程度越高;pi为安全事件发生的概率，即在网络节点hi上检测到攻击信息t后,利用网络节点脆弱性v信息，导致安全事件发生的可能性.

将每个攻击对该网络节点的威胁影响累加,作为该网络节点同一时段所受到的所有攻击的影响,即网络节点的安全态势ej可计算为

(4)

结合网络节点的资产价值，计算安全态势为

SAj=ej×aj.

(5)

2.2 基础数据的获取方法

1) 安全攻击检测方法

问题描述如下：给定攻击类型T={t1,t2,…,tu}，每类攻击ti涉及的日志属性字段为ATi={ati,1,ati,2,…,ati,m}，每个攻击ti对应的特征关键字为KEYi={keyi,1,keyi,2,…,keyi,v}，如何检测日志集合H中是否包含特征关键字keyi,j(1≤i≤u,1≤j≤v)，并把检测到的ti和Ai值存储到关系数据库，以用来统计网络节点遭到ti的攻击数量.

针对以上问题，本文基于大规模数据的Map-Reduce数据分析模型，将Hbase中的态势数据分片，每行为一片，在Map函数中检测网络日志数据是否包含攻击特征关键字，并按照指标进行分类排序并存储到数据中.具体步骤如下：

步骤1. 构建攻击类型数组T[u]、日志属性二维数组AT[u][m]及特征关键字二维数组KEY[u][n]，初始化环境变量；

步骤2. 对于指标的每个属性AT[i][j]，遍历Map函数输入变量中所对应的属性值，并组成属性字段值字符串DesStr，遍历AT[i]对应的每一个特征关键字K[i][l]，检测DesStr是否包含关键字K[i][l]，如果包含，则形成Pair(AT[i]，DesStr)为键值对，输出到Reduce函数中；

步骤3. 在Reduce函数中，将(AT[i]，DesStr)写入到关系数据库中.

2) 威胁热源节点的安全事件发生概率

根据参考文献[19]，检测到安全攻击后，安全事件发生的概率不仅跟节点的漏洞信息有关，还与节点内部的操作系统、应用服务、安全配置有关.基于以上考虑，威胁热源节点pi的安全事件发生概率为

pi=w1×VOS+w2×VSer+w3×VVul+
w4×VCon,

(6)

其中,VOS表示威胁信息与目标网络操作系统之间的相关度，VSer表示威胁信息与目标网络应用服务之间的相关度，VVul表示威胁信息与目标网络漏洞信息之间的相关度，VCon表示威胁信息与目标网络安全配置信息之间的相关度.

3) 网络节点资产价值量化方法

在安全态势评估中，资产价值不是以资产的经济价值来衡量，而是由资产面临的威胁，存在的脆弱性对网络节点的保密性、完整性和可用性造成的影响程度来决定.根据资产在保密性、完整性和可用性3个安全属性上的不同要求，将每个安全属性分为5个不同的等级，分别用1，2，3，4，5表示[21]，表示资产在该属性对整个网络节点安全性的影响，计算为

(7)

其中，Conf表示保密性等级，Int表示完整性等级，Avail表示可用性等级，W=(w1,w2,w3)为3个安全属性对安全资产价值影响程度的权重.在能源互联网中，在计算可用性权重时，需考虑不同用途信息设备出现安全问题后的影响面和影响程度，如保护设备出现安全问题后对整个网络的影响程度远远大于信息采集和传输类设备.

2.3 多节点安全态势融合方法

本文借鉴网页重要性排序算法PageRank[22]的思想，将其引入到多节点网络安全态势评估中，提出一种多节点复杂网络的权重计算方法LR-NodeRank.

首先，在具有n个网络节点的连接关系有向图G中，假设对于节点hi，存在来自节点h1,h2,…,hn的连接关系l(1,i),l(2,i),…,l(n,i)，对应的权重为pn(1,i),pn(2,i),…,pn(n,i)，则评估网络节点的重要性权值NNR(hi)的计算为

(8)

其中，σ为阻尼系数，NNR(hj)为网络节点hj的重要性权值，Out(hj,hi)为连接关系l(j,i)的出强度值.对于连接关系图G，可以组织一个N维矩阵：其中i行j列的值为Out(hj,hi)，该矩阵称为概率转移矩阵：

(9)

其中，

(10)

式(9)表明：1)到网络节点hi的连接关系越多，说明hi提供的访问服务数量越多，重要程度越高；2)攻击选择概率pn(j,i)越高，说明连接关系l(j,i)的脆弱性越大，对整体网络安全性影响程度越大.

进而利用各主机节点安全态势SAi和各节点权值NNR(hi)进行融合,得到多节点能源互联网的网络安全态势值.

(11)

3 基于最简威胁图的安全改进方法

通过第2节的安全态势量化评估方法，能够计算多节点网络的安全态势指数，使得安全管理员能够掌握整体网络的安全态势情况.当安全态势指数超过管理员设置的风险阈值时，需要进行安全改进活动，将风险控制在可接受范围内.面对能源互联网复杂的网络结构，一方面威胁热源动态变化，另一方面网络中可能存在大量的脆弱性，不可能对每个脆弱性进行加固，很难对动态的威胁热源做出及时合理的安全策略.为给管理员开展安全改进活动提供决策，本文通过构建最简威胁图，寻找最小成本的安全措施集合，降低威胁传播概率，将威胁源控制在最小范围内.

3.1 问题描述

Ch∩lmin(i,j)≠∅,H′⊆Ch.

(12)

式(12)说明所有的攻击选择路径中至少包括一个关键威胁节点，关键威胁节点集合Ch包含所有威胁热源节点.

对于任意的威胁传播关键节点ci,cj，如果在连接关系图中存在连接关系l(ci,cj)，同时l(ci,cj)∈Lmin，则称连接关系为关键连接关系，所有关键连接关系组成的集合称为关键连接关系集合，记为Lh，由最小关键威胁节点集合和关键连接关系集合组成的图称为最简威胁图Gh(Mh,Lh).

对于任意的连接关系l(p,q)，如果cp∈Mh,cq∉Mh,cq∈H，则称l(p,q)边界连接关系，记为lf(p,q)，所有的边界连接关系的集合记为Lf.对于安全改进活动，只需在边界连接关系所在的网络链路上增加安全改进措施，阻断通过该链路的攻击渗透.所以，复杂的网络结构的安全改进活动问题转化为：在连接关系图中计算最简威胁图Gh(Mh,Lh)，在此基础上求得边界连接关系集合Lf，从而根据Lf开展安全加固活动.

3.2 最简威胁图生成算法

最简威胁图生成算法如算法1所示，该算法首先遍历以热源节点为起点的攻击选择路径，在该攻击路径中找到最后一个威胁热源节点；其次，将开始威胁热源节点到结束热源节点之间所有的网络节点和连接关系分别加入到最小关键威胁节点集合和关键连接关系集合，从而构成最简威胁图.

算法1.BuildSimThreatGraph(Gh,Lmin,H′).

输入:攻击选择路径集合Lmin和威胁热源节点集合H′；

输出:最简威胁图Gh(Mh,Lh).

①Mh=∅,Lh=∅；

② ifLmin=∅ then；

③ return；

④ end if

⑤ for eachl∈Lmin

⑥p=l.next；

⑦ while (p.next)

⑧ if (p∈H′) then

⑨q=p；

⑩ end if

定理2. 给定攻击选择路径集合Lmin和威胁热源节点集合H′，构造最简威胁图算法的时间复杂度为O(n×|H′|)，其中n为连接关系图中网络节点的数量.

证明. 攻击选择路径的数量为|H′|，算法1在步骤5需循环|H′|次.每个攻击选择路径的最大长度为连接关系图中网络节点的数量n，算法1在步骤⑦和步骤最多循环n次,所以，算法复杂度为O(n×|H′|).

证毕.

边界连接关系集合生成算法如算法2所示，算法2首先遍历连接关系图的所有有向边，如果有向边的出节点在最简威胁图中，而入节点不在，则该有向边为边界连接关系，将该边加入到边界连接关系集合Lf.

算法2.BuildBorderRelation(G,Gh,Lf).

输入:连接关系图G(H,L)、最简威胁图Gh(Mh,Lh);

输出:边界连接关系集合Lf.

①Lf=∅；

② if |Gh|=0 then

③ return；

④ end if

⑤ for (i=0;i<|H|;i++)

⑥ for (j=0;j<|H|;j++)

⑦ if (G.arcs[i][j]>0∧hi∈Mh∧hj∉Mh) then

⑧Lf←Lf∪l(i,j)；

⑨ end if

⑩ end for

定理3. 给定连接关系图G(H,L)和最简威胁图Gh(Mh,Lh)，生成边界连接关系集合算法的时间复杂度为O(n2×|H′|2)，其中n为连接关系图中网络节点的数量.

证明. 基于邻接矩阵的连接关系图的遍历时间复杂度为O(n2).在循环内部，算法2步骤⑦遍历最简威胁图的时间复杂度为|H′|2，所以，算法复杂度为O(n2×|H′|2).

证毕.

4 实验分析

4.1 实验网络

目前还没有任何公开测试数据集评估多节点能源互联网的威胁态势.为了验证本文评估的有效性，本文构造了一个实验网络，如图3所示:

Fig. 3 Connection relation topology of test network图3 实验网络的连接关系拓扑图

各网络节点中的服务器和网络设备均使用虚拟机构建.参考文献[19]，脆弱性的权重归一化向量为W=(0.11,0.23,0.28,0.38)，如表1所示.根据威胁评分系统CVSS的评分标准，各漏洞的威胁值为：kCVE-2009-0783=4.4,kCVE-2014-0160=7.5,kCVE-2013-1937=7.5,kCVE-2013-0375=8.1,kCVE-2012-0384=8.8,kCVE-2014-4722=5.4.其中，CVE(common vulnerabilities and exposures)表示公共漏洞和暴露.CVE是一个漏洞字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称.

网络节点中资产信息保密性、完整性和可用性对于网络设备、安全设备、应用服务器、数据库服务器和中间件服务器的等级分别为(1,4,5)，(1,3,4)，(2,3,4)，(2,1,4)，(1,2,4).根据式(9)，资产价值如表2所示.

实验网络采集从2016-11-19T8:30—2016-11-20T18:30的日志数据作为测试数据，采样间隔为10 min，日志数据采集后存入Hbase数据库作.模拟攻击场景3个，具体信息如下：

1) 攻击场景1.在11月19日8:30～9:00使用Nmap对节点h2发起端口扫描，9:10～11:00使用RSAS对节点h2发起主机扫描,11:10～11:50使用APPSCAN对节点h2发起应用扫描.

2) 攻击场景2.在11月20日8:30～9:00使用Nmap对节点h6发起端口扫描，9:10～11:00使用RSAS对节点h6发起主机扫描,11:10～11:50使用APPSCAN对节点h6发起应用扫描.

3) 攻击场景3.在11月20日12:00～13:00使用Nmap对节点h2和h6发起端口扫描，13:10～14:30使用RSAS对h2和h6发起主机扫描，14:40～15:20使用Sqlmap对h6发起SQL注入攻击.

Table 1 Vulnerability Information of Network Nodes表1 网络节点脆弱性信息

Table 2 Asset Information of Network Nodes表2 网络节点资产信息

Fig. 4 Trend of network nodes security situation图4 网络节点的安全态势变化趋势

4.2 实验分析

1) 将本文的网络节点安全态势量化评估方法与文献[16]的方法进行了对比，分析在攻击场景1中网络节点h2和h3的安全态势变化趋势.根据式(1)，攻击选择概率如下：pn(1,2)=0.74,pn(2,3)=0.44,pn(2,4)=0.59,pn(2,6)=0.65,pn(3,5)=0.59,pn(3,6)=0.65,pn(3,7)=0.49,pn(4,6)=0.65,pn(4,8)=0.59,pn(6,7)=0.49,n(6,8)=0.59,pn(6,9)=0.48,pn(6,10)=0.48,pn(7,5)=0.49.在场景1中，网络节点h2遭受攻击时，威胁热源节点为h2，根据式(2)，攻击选择路径集合Lmin={〈l(2,3)〉,〈l(2,4)〉,〈l(2,3),l(3,5)〉,〈l(2,6)〉,〈l(2,6),l(6,7)〉,〈l(2,6),l(6,8)〉,〈l(2,6),l(6,9)〉,〈l(2,6),l(6,10)〉}.

根据式(5)，计算节点h2和h3在攻击场景1中的安全态势，在采样时间内其安全态势变化情况如图4所示.从图4(a)中可看出，基于威胁传播概率的方法与基于环境属性的方法求得的安全态势，具有一致的变化趋势，在9:20和10:00出现了安全态势的局部峰值，说明这些时刻安全态势严峻，而模拟攻击的主机扫描正好在这个时段.如图4(b)，由于h3没有遭受攻击，根据基于环境属性的方法，h3的安全态势为0，即没有安全风险.而根据本文的方法，由于h1和h3之间存在访问关系，其攻击选择概率为0.44，其一样具有安全风险，且其安全态势值得变化趋势与h1一致.上述分析表明，本文提出的基于威胁传播概率的网络节点安全态势评估方法能够准确刻画安全风险的关联性，同时也能动态反映安全态势的变化趋势.

2) 分析网络拓扑的整体安全态势，将本文的多节点安全态势融合方法SA与朴素的平均求和方法SA′进行对比.

(13)

根据式(9)，实验网络的概率转移矩阵为

根据式(11)，各节点的重要性权值为

f1=0.06,f2=0.11,
f3=0.06,f4=0.06,
f5=0.11,f6=0.37,
f7=0.06,f8=0.06,
f9=0.06,f10=0.06.

Fig. 5 Trend of network security situation图5 网络整体安全态势变化趋势

在攻击场景1和攻击场景2中，网络整体安全态势的变化趋势如图5所示.从图5(a)可看出，采用LR-NodeRank权重计算安全态势时，攻击场景2的整体安全态势相比攻击场景1的整体安全态势更为严峻，这是由于攻击场景1和攻击场景2中的攻击方法相同，攻击场景2中被攻击对象h6提供的服务更多，节点重要程度更高，对整改的网络态势影响更大.相反，从图5(b)中可以看出，朴素平均方法所计算的网络整体安全态势在9:20和11:20，攻击场景1的整体安全态势大于攻击场景2的整体安全态势，与实际存在误差.上述分析表明，本文提出的基于LR-NodeRank权重的安全态势融合方法能够更加准确地反映网络的整体安全态势.

3) 在攻击场景3中，根据本文提出的算法1，求得最简威胁图，如图6中虚线圆圈所包含的部分所示.边界连接关系集合Lf={l(3,5),l(3,7),l(4,8),l(6,7),l(6,8),l(6,9),l(6,10)}.

Fig. 6 Schematic diagram of simplest threat graph图6 最简威胁图的示意图

为了描述算法1对于安全改进方法的促进作用，本文提出了成本节约率(cost reduction ratio)指标CRR，其计算为

(14)

即考虑安全改进活动只需要在边界连接关系上的网络链路或者信息设备上开展，相比对所有的连接关系开展安全加固，能够节约了安全改进成本.根据式(14)，|L|=23，|Lf|=23，本文提出的安全改进方法的成本节约率CRR=48%.

以上实验结果表明:本文提出的能源互联网环境下多节点网络安全态势评估模型和量化算法，相比传统单节点网络安全态势评估方法，不仅可以更为准确地反映单个网络节点的安全态势，也能评估多节点的能源互联网整体融合安全态势.最后，本文提出的基于最简威胁图的安全改进方法，可以计算控制威胁传播所需要开展安全防护的边界连接关系，为网络管理员提供合理的安全解决方案，降低安全防护成本.

5 小 结

本文对已有的网络安全态势评估方法进行了分析和比较，针对能源互联网中网络结构复杂特点，提出了能源互联网网络节点的概念和相关定义，并利用图理论对能源互联网的网络结构进行建模.在此基础上，考虑风险关联性影响，提出基于威胁传播概率的安全态势量化方法，计算网络节点安全态势，并提出多节点复杂网络的权重计算方法LR-NodeRank，评估网络的融合安全态势.提出一种基于最简威胁图的安全态势改进方法，计算需要开展安全加固的网络边界，为管理员开展安全改进活动提供决策.最后在虚拟环境中搭建多节点网络拓扑模型，分析和验证了本文提出的评估模型和量化算法的有效性和准确性.

今后的研究工作包括：进一步完善多节点安全态势评估模型及其量化评估方法；研究更全面攻击检测方法和安全态势可视化展示方法；研究安全态势预测模型，从而预测未来的网络安全态势.