基于依赖关系图和通用漏洞评分系统的网络安全度量

王佳欣 冯毅 由睿

摘 要：管理人员通常使用一些网络安全指标作为度量网络安全的重要依据。通用漏洞评分系统（CVSS）是目前人们普遍认同的网络度量方式之一。针对现有的基于CVSS的网络安全度量无法精确测量网络受到攻击的概率和影响两方面得分的问题，提出一种基于依赖关系图和CVSS的改进基础度量算法。首先发掘攻击图中漏洞节点的依赖关系，构建依赖关系图;然后根据依赖关系修改CVSS中漏洞的基础度量算法;最后聚合整个攻击图中的漏洞得分，得到网络受到攻击的概率及影响两方面的得分。采用模拟攻击者进行仿真实验，结果表明，该算法在算法精确度和可信度方面明显优于汇总CVSS分数算法，更加接近实际仿真结果。

关键词：网络安全;通用漏洞评分系统（CVSS）;攻击成功率;基础度量;依赖关系

中图分类号： TP393.08计算机网络安全

文献标志码：A

Abstract： Administrators usually take some network security metrics as important bases to measure network security. Common Vulnerability Scoring System （CVSS） is one of the generally accepted network measurement method. Aiming at the problem that the existing network security measurement based on CVSS could not accurately measure the probability and the impact of network attack at the same time， an improved base metric algorithm based on dependency relationship graph and CVSS was proposed. Firstly， the dependency relationship of the vulnerability nodes in an attack graph was explored to build the dependency relationship graph. Then， the base metric algorithm of the vulnerability in CVSS was modified according to the dependency relationship. Finally， the vulnerability scores in the whole attack graph were aggregated to obtain the probability and the impact of network attack. The results of simulation with simulated attacker show that the proposed algorithm is superior to the algorithm of aggregating CVSS scores in terms of accuracy and credibility， and can get measurement results closer to the actual simulation results.

Key words： network security; Common Vulnerability Scoring System （CVSS）; attack success rate; base metric; dependency relationship

0 引言

安全問题是网络用户面临的主要问题，对于网络攻击者而言，常用软件（例如Microsoft Office或Adobe Flash）中未修补的漏洞成为他们对目标实施攻击的钥匙。例如，网络上著名的攻击事件“极光”行动，就是攻击者利用Hydraq Trojan漏洞以达到窃取几家公司重要信息的目的[1];网络上轰动一时的震网病毒Stuxnet，攻击者结合利用了四个零日漏洞最终实现了对目标工业控制系统的破坏，造成巨大的经济损失[2]。特别是在2013年，一些攻击者利用电子邮件和Web服务的漏洞获得访问FT.com企业电子邮件账户的权限，并将社会工程学攻击传播给更多的FT.com用户，最终危及该组织的网站和Twitter账户[3]。这些攻击实例表明网络攻击者利用现在网络的便利性，可以通过同类网络中的各种漏洞来危害其他用户的安全[4]。因此，可以通过对网络中存在的漏洞进行评估来实现测量网络安全性的目的。

通用漏洞评分系统（Common Vulnerability Scoring System， CVSS）提供了一种描述漏洞主要特征的方法，并生成反映其严重性的数字分数[5]。它是一个开放框架，主要为我们提供标准化漏洞评分和漏洞风险严重等级。它可以将数字分数转换为定性表示，以帮助组织正确评估其安全管理流程并确定优先级[6]。目前，已知漏洞的CVSS分数已经可以通过公共漏洞数据库（例如国家漏洞数据库（National Vulnerability Database， NVD））获得。事件响应和安全团队论坛（the Forum of Incident Response and Security Teams， FIRST）宣布推出CVSS 3.0，这是评估网络漏洞和确定响应紧迫性的通用开放和标准化方法的最新版本。但是，CVSS框架只能提供单个漏洞的严重性和影响分值，如果想要衡量整个网络安全性，就要提供一些方法将单个分数聚合成一个总体指标。在本文的研究之前，一些研究者已经提出了各种聚合分数的方法，例如取平均值[7]或使用贝叶斯网络[8-9]的方法，这些方法可以汇总网络中各个漏洞的得分，但其中一些得到的结果并不精确。文献[7]使用攻击图和贝叶斯网络来聚合得分，从而获得更好的结果。文献[10]提出了基于攻击依赖关系和三个不同方面聚合基础度量值的新方法。但他们的研究主要集中在如何在攻击图中聚合得分，没有提到如何从实际网络和攻击图中生成依赖关系图。另一方面，先前的研究通过聚合所有基础度量组分数以计算攻击概率，由于基础度量组分数中包括影响分数，使得其结果并不精确。最后，CVSS框架已经更新为3.0版本，此版本的一个关键特性是可以测量漏洞的影响得分。

在本文中，依然使用CVSS分数进行安全度量，并聚合攻击路径中单个漏洞的度量分数。与之前CVSS框架基本指标相比，本文更关注的是攻击概率和受到影响的网络资产的重要性。虽然本文的方法基于攻击路径中漏洞之间的复杂依赖关系，但与以前的研究相比，它具有以下优势：1）它允许根据特定的网络环境预先计算所有漏洞攻击概率分数，从而提供非常准确的聚合阶段;2）它平衡了受影响的网络资产在机密性、完整性和可用性之间的影响;3）它可以更好地评估攻击路径中攻击的环境影响;4）它可以扩展到多个网络环境，更具有普适性。

本文根据网络基础架构的不同自定义环境指标的分数，并汇总这些分数以衡量网络安全性。本文的方法基于漏洞之间的依赖关系来聚合修改的可利用性度量，以反映攻击的概率。另一方面，它还汇总了修改后的影响指标和安全要求，以反映成功攻击的直接后果。综上所述，本文具有以下三点特色：

1）本文提出了一种利用CVSS 3.0来衡量网络安全性的新方法，它通过从两个方面汇总CVSS分数：一个是攻击网络的概率，另一个是网络受到攻击后的影响。

2）为了更准确地计算CVSS分数，本文提出了一种方法来识别实际网络中攻击图上的节点之间的依赖关系。依赖关系可用于修改基于CVSS的基础度量标准并重新分配度量标准值。

3）基于依赖关系图，本文设计了一种算法来计算CVSS 3.0的改进后的基础度量值。该算法使本文能够根据具体网络环境获得更精确的分数。

1 相关工作

在过去几年中，研究人员基于CVSS评分或K-zero-safety[11]进行了大量的相关研究，这些研究进一步扩展了研究范围，降低了计算和汇总环境指标的困难度。

1.1 CVSS框架的更新版本3.0

通用漏洞評分系统（CVSS）是一个开放框架，用于描述软件漏洞的特征和严重性。它由三个度量标准组组成：基础度量组、时间度量组和环境度量组。基础度量组代表了一个漏洞的内在特性，时间度量组反映了随着时间而变化的漏洞特征， 环境度量组代表了一个特定于用户的环境。

自CVSS最初版本于2004年发布以来，一直被广泛采用。CVSS具有三个重要的优势：首先，它能够提供标准化的漏洞评分，可以利用单个漏洞管理策略来验证和修复给定的漏洞;第二，它提供了一个开放的框架，用于获得分数的漏洞特征是透明的;最后，它有助于组织更好地了解漏洞带来的风险。2007年，CVSS v2.0被采纳为支付卡行业数据安全标准（Payment Card Industry Data Security Standard， PCIDSS）的一部分，并作为美国国家标准与技术研究院（National Institute of Standards and Technology， NIST）安全内容自动化协议（Secure Content Automation Protocol， SCAP）的一部分。此后，它被正式采纳为漏洞评分的国际标准。在v2.0中，漏洞得分与主机操作系统有关，这导致应用程序供应商不得不接受“partial+”的影响度量约束[5]。因此，在2015年出现了许多改进方案，并促使CVSS从v2.0发展到v3.0。 CVSS v3.0[5]解决了如何重新定义环境指标的问题。因此，CVSS v3.0中一个重要的变化是能够对存在于一个软件组件中的漏洞进行评分，并且这些漏洞会影响单独的软件、硬件或网络组件。在本文中，使用CVSS v3.0的两个度量组：基础度量组和环境度量组。

基础度量标准组表示漏洞的固有特征，该漏洞在一段时间内和用户环境中保持不变。它由两组指标组成：可利用性指标和影响指标。其中可利用性指标包含四个指标：攻击向量（Access Vector， AV）、攻击复杂度（Access Complexity， AC）、所需权限（Privileges Required， PR）和用户交互（User Interaction， UI）。攻击向量（AV）指标反映了攻击者可以利用漏洞的方式;攻击复杂度（AC）指标表示要利用此漏洞必须满足的条件;所需权限（PR）指标描述了攻击者在成功利用此漏洞之前必须具有的权限级别; CVSS 2.0中未提及的用户交互（UI）指标反映了在成功攻击易受攻击组件时是否需要用户参与。影响指标包括保密性影响（Confidentiality impact， C）、完整性影响（Integrity impact， I）和可用性影响（Availability impact， A）。保密性影响（C）标准是衡量由于成功利用漏洞而使软件组件管理的信息资源的机密性造成的影响大小;完整性影响（I）标准是衡量成功利用漏洞对完整性的影响;可用性影响（A）度量标准衡量受成功利用漏洞导致的受影响组件的可用性的影响。影响范围（Scope， S）是CVSS v3.0提出的新属性，它描述了一个漏洞能够造成的影响是否超出其特权的能力。

环境度量组表示与特定用户环境相关的漏洞特征。在v3.0中，目标分布和附带损害潜在指标已被修改后的基础指标取代。这些指标使分析人员能够根据其所处的环境中来修改调整基础度量指标值。修改后的度量标准是基本度量标准的等效项，并且是基于组织基础结构中的组件位置的度量标准值。

1.2 基于CVSS的度量方法

对网络安全度量的研究引起了人们的广泛关注。起初，研究人员考虑了两种方法来聚合CVSS分数，即分别取平均值和最大值。在这些方法中，没有考虑漏洞在网络中的位置，也没有考虑它们彼此之间的关系，因此通常会导致不准确的结果。之后，一些研究人员根据攻击者达到攻击图中的各个状态的概率对这些状态进行了排列。在这种方法中，漏洞依赖关系可以在攻击图中建立。一个漏洞只有在其所有前提条件被满足时才能访问，而满足一个前提条件需要该条件作为一个可达漏洞的后置条件。

以前的工作重点是如何聚合漏洞的分数，并通过探索攻击图中漏洞利用之间的因果关系来解决这个问题。然而，漏洞和网络的演变性质在很大程度上被忽略了。此外，针对哪些建模方法能正确地描述这些不断变化的性质，以及如何构建实际有效的模型的研究很少。一些研究人员基于当前的安全图模型构建了贝叶斯网络，并在条件概率表（Conditional Probability Table， CPT）中使用修正的CVSS基础分数来准确地模拟这些性质[10]，修改后的分数由安全管理员随意定义。其他工作主要是进行实时网络安全分析并根据此建立动态的网络安全模型[8]。

基于贝叶斯网络的方法为在动态环境中持续测量网络安全性提供了理论基础和实用框架[6]。然而，这些方法没有说明如何确定CPT中的修改分数，并且导致在聚合结果中丢失单个分数的有用语义。 Cheng等[10]注意到，漏洞之间的依赖关系通常只能在基本指标层面上看到，这使得用以前的方法来找到依赖关系变得不可行。因此，Cheng等[10]深入到底层基础度量级别，并从三个不同方面聚合基础度量，以保留各个分数的相应语义，并消除现有方法的局限性。

图1显示了一个示例网络，其中主机位于不同的子网上，一个攻击者连接到Internet。本文考虑基于该网络的两种攻击场景。在一种情况下，使用暴力密钥猜测攻击利用SSH（Secure SHell）服务器上的CVE-2008-0166漏洞来获得root权限;在NFS（Network File System）服务器上，漏洞CVE-2010-2521允许攻击者通过精心设计的NFSv4复合WRITE请求执行任意代码并获得root权限;最后，攻击者利用CVE-2001-0439访问Workstation 2，它允许远程攻击者通过统一资源定位符（Uniform Resource Locator， URL）中的shell元字符执行任意命令。在另一种情况下，攻击者在SSH服务器上使用相同的漏洞获取root权限;攻击者利用NFS服务器上的漏洞CVE-2009-2296通过公共目录共享制作的特洛伊木马文件;一旦Workstation 1中的用户下载并安装包含漏洞CVE-2011-4089利用代码的特洛伊木马文件，则执行任意代码并设置后门。因此，存在两个攻击路径：p1{CVE-2008-0166，CVE-2010-2521，CVE-2001-0439}和p2{CVE-2008-0166，CVE-2009-2296，CVE-2011-4089}。

表1比较了不同方法产生的结果。在前三种方法中，两种攻击路径的计算方法是相同的，因为它们的方法都考虑了脆弱性和网络的演变性质。相比之下，基于贝叶斯网络的计算方法不同，其结果更准确，反映了漏洞之间的依赖关系。在这种方法中，Workstation 2（CVE-2011-4089）中的漏洞需要本地用户下载和安装特洛伊木马文件。在其攻击路径中，利用NFS服务器上的漏洞CVE-2009-2296可以帮助攻击者通过公共目录共享制作的特洛伊木马文件，该目录可以由Workstation 2中的本地用户访问，并且可以更轻松地利用Workstation 2。在攻击路径1中，由于CVE-2001-0439允许远程攻击者在没有身份验证的情况下执行任意命令，因此没有这种影响。显然，现有的方法无法显示这两种攻击路径之间的差异。

2 从攻击图中识别依赖关系

本章介绍了攻击图和漏洞之间的依赖关系。在本文中，重新设计了先前在文献[12]中提出的攻击图的版本。这个新版本将更加集中地对网络的基本方面和漏洞进行讨论，将在本章的后面部分介绍漏洞之间的依赖关系。

2.1 建立攻击路径和攻击图模型

攻击图可以展示漏洞，节点之间的依赖关系和网络信息的先验知识。将Ammann等[13]和Homer等[8]提出的攻击图的概念形式化，以模拟网络受到攻击时的不同安全条件和攻击利用漏洞带来的影响。

2.2 依赖关系的定义

实际上，攻击者通常会通过利用一系列漏洞来破坏网络以实现其最终目的[14]。这些攻击可以按攻击者完成它的时间顺序排列。因此，漏洞及其利用顺序组成了一个可以指示攻击者的序列，并被称为攻击路径。这些攻击路径组成了攻击图。在本文中，简单地将攻击路径定义为漏洞的利用顺序，但这可能导致网络的相同资产。由于本文的度量标准不要求攻击路径是唯一的，因此这不是局限性。

3 环境度量标准聚合

如CVSS v3.0中所示，度量标准由三个组组成[5]：基本度量标准组、时间度量标准组和环境度量标准组。每个度量标准组包括一组度量标准。基本度量组和时间度量组分别表示不断变化且随时间变化的漏洞特征。这两个度量标准组的数值由漏洞公告分析师、安全产品供应商或应用程序供应商指定。另一方面，环境度量标准组使分析人员能够根据受影响的网络资产对用户组织的重要性来自定义CVSS分数。因此，它的数字分数由最终用户组织指定，可以评估漏洞在其所处的计算环境中的潜在影响。在本章中，将说明如何计算环境度量组的数值，以及如何从不同方面聚合改进的基本度量来修改CVSS分数的方法。

3.1 改进后的基础度量指标计算

环境指标通过重新加权修改后的机密性、完整性和可用性影响度量来修改安全要求值，这些度量标准可由分析人员人为地分配三个可能的值：低，中或高。基于组织基础结构中的组件位置，为已修改的基本度量标准分配了基本度量标准值的修改等效值。每一个度量指标最初都具有与其对应的基础度量相同的值，然后基于攻击图中的依赖关系分配数值。因此，在本节中，提出了一个改进的基本度量计算算法，该算法有助于深入到底层基本度量标准级别以调整新的有效值。

从CVSS规范文档中，可以根据分析人员所处的环境来调整基本度量标准。如果受影响的软件或硬件对环境进行了一般性更改（可能会影响基本度量标准的可利用性，范圍或影响），则可以通过相应修改的环境评分来反映这一点，该评分由相应的修改后的基础度量标准确定。这些度量通过重新分配度量值来修改环境分数，因此可以使用bm（e）[m]和mbm（e）[m]来表示基本度量标准和修改后的基本度量标准中向量的每个对应元素。

算法2展示了计算改进的基本度量数值的方法。在本文的算法中，每个指标都通过适当修改的环境评分反映环境变化。因此，可以通过在攻击图中搜索修改的基本度量与依赖关系rd 〈ej，ei〉中漏洞j的后置条件之间的关系并且为相应的度量重新分配适当修改的值来确定度量值。特别的是，修改攻击复杂度（Modified Access Complexity， MAC）度量的计算过程不同于其他三个度量，其中如果其利用的前提条件e是其他攻击的后置条件，则可以将该度量重新分配为低。

3.2 两个方面的环境指标聚合

在CVSS v3.0规范文档中，环境度量标准组表示与漏洞的现有环境相关且唯一的漏洞指标的有效值。这些指标允许本文使用安全控制来定制CVSS评分，这取决于网络实际环境中漏洞之间的依赖关系，并可能提升或降低相应漏洞的分值。这些指标可以优化基础指标得分，更准确地反映漏洞对用户环境造成的风险。因此，CVSS v3.0表明基础度量指定了有关漏洞特征的最准确信息，而环境指标评估漏洞在实际计算环境中的潜在影响。在本文中，测量了实际环境的网络安全性，因此汇总了各个漏洞的环境度量评分，并提供了网络安全度量的实用方法。本文认为，环境指标的得分可以从两个方面来计算，即攻击概率和攻击的影响。

如3.1节所示，改进的基本度量的不同值可以指示不同的攻击概率。例如，分配给本地（Local）的MAV（Modified Access Vector）度量值的数值得分低于网络（Network）的数值得分，可以解释为需要本地访问设备的潜在攻击者数量少于来自跨设备的网络潜在攻击者的数量。这意味着需要本地访问的漏洞的攻击概率低于远程访问的漏洞。

对于第二个方面，可以解释修改后的漏洞影响指标的差异。例如，经过修改后的机密性要求和机密性影响评分为高的漏洞，意味着其与评分低的漏洞相比会导致受影响组件中的更多资源被泄露给攻击者。这意味着分配了高评分的修改机密性要求和机密性影响的漏洞比评分低的漏洞具有更高的影响。

从上述两个方面解释环境度量分数还需要两种不同的方法来汇总这些分数，通过下面两个定义来介绍这些方法。

为了汇总环境度量分数以计算攻击概率，还使用基于贝叶斯网络的方法。在定义7中，基于当前的攻击图模型构建贝叶斯网络，聚合度量分数，并计算攻击路径的概率。

定义7 给定攻击图G，攻击路径ap具有漏洞利用集E，每个漏洞e∈E的改进基础度量分数为mbm（e），计算方法如式（1）。在攻击图G中，每个顶点代表一个变量，取T（真）或F（假）。T表示攻击成功，F表示攻击失败。式（2）为路径ap被攻击成功的概率P（ap）。

为了汇总环境度量标准分数以计算攻击的影响，使用安全要求度量标准和影响度量标准。前者使分析人员能够根据网络资产对用户组织的影响来定制后者的分数。此外，使用了另一个重要属性，由CVSS v3.0获取并测量一个软件组件中的漏洞影响超出其资源或特权的能力。此属性由度量标准授权范围（简称范围S）表示，它指的是计算机构在授予对计算资源的访问权限时定义的特权集合。下面对汇总影响方面分数的具体方法进行介绍。此方法不仅考虑基本影响度量标准组，还使用安全要求度量标准和授权范围度量标准。在定义8中，基于CVSS v3.0提供的所有影响度量的数值，设计公式和常量来计算每个漏洞利用的修改影响分数，并将它们转换为与CVSS影响分数相同的值域以保持一致性。每个漏洞利用的修改影响度量標准向量是根据漏洞利用的安全要求定义的，因为要调整的影响度量标准得分取决于受影响的网络资产对用户组织的重要性。

4 实验结果及分析

在本章中，通过一系列模拟实验来验证本文的方法可以得到较好的结果。另一方面，本文的方法通过数值结果与现有其他方法进行比较，以验证本文方法的结果更接近模拟攻击者所代表的统计预期结果，分别应用了本文方法和其他方法计算一组随机选择的目标条件的攻击概率。实验结果表明，对于更大、更真实的网络，本文的网络安全度量方法具有更多优势。

4.1 示例网络和攻击图

本文使用的模拟网络拓扑测试图如图4所示。测试网络由位于2个子网内的8个主机组成。一个子网是DMZ（DeMilitarized Zone）网络，它通过防火墙与本地网络分开，包含Web服务器、邮件服务器和DNS（Domain Name System）服务器。位于DMZ之前的防火墙具有一组策略来控制对内部主机的远程访问。通常，DMZ网络中的所有主机（Web服务器除外）不主动连接到其他外部主机上，它们被动地接收服务请求并根据需要响应请求。Web服务器需要从受信任网络中的SQL（Structured Query Language）服务器获取信息，因此允许连接到SQL服务器并主动向其发送SQL查询。除了SQL服务器，NAT网关服务器、管理员服务器和一些本地机器也位于可信网络中。管理员服务器和本地计算机位于NAT网关服务器后面，所有与外部网络的通信都需要通过网关服务器。此外，管理员服务器和本地计算机具有远程桌面，公司员工使用远程桌面从远程站点进行远程操作。漏洞信息注入测试网络的情况如表2所示。攻击者可以使用这些漏洞来生成大量不同的攻击路径，从而危及网络安全。

为了模拟攻击过程，从CVSS中搜索每个漏洞的基本指标，根据网络拓扑和漏洞信息生成攻击图，并根据攻击图计算其中的依赖关系。为了计算模拟攻击者的概率，将每个模型建模为可利用漏洞的随机子集并计算成功百分比。如果一个攻击路径中使用的所有漏洞都包含在子集中，就说攻击者可以通过此路径成功破坏网络。然后，计算通过攻击路径攻击网络的成功攻击者的百分比作为模拟攻击者的概率。通过这种方法，可以模拟真实的攻击者的攻击场景并设置基线进行比较。图5显示了攻击图和测试网络漏洞之间的依赖关系。

4.2 网络安全评估

分別应用文献[10]方法和本文的方法计算攻击一组随机选择的目标条件的概率。之后，将这两种方法的概率与模拟攻击者的百分比进行比较。前两个模拟的目的是从攻击概率方面评估本文的方法。

在第一次模拟中，通过不同的方法计算每个攻击路径的攻击概率，并评估哪种方法更接近基线。在图6中，横轴是攻击路径中的攻击数（攻击路径长度），纵轴是成功攻击者的百分比或攻击概率，每个百分比或概率是不同长度的模拟攻击路径上的平均值。在图6中，曲线模拟显示了成功的模拟攻击者的百分比，并用作比较的基线，CVSS基础分数显示攻击路径中所有漏洞的基本指标的聚合分数。从图6中可以看出，本文方法的结果比其他方法更接近基线。

5 结语

本文提出了一种新的网络安全度量聚合方法，文中介绍了其计算过程并展示了其仿真结果。具体来说，本文已经解决了现有方法的局限性，并提出了一种从攻击图中识别漏洞依赖关系的方法。然后基于依赖关系，本文提出了计算改进的基础度量数值的有效算法。接下来，研究了CVSS v3.0的环境度量组，并分别从概率和影响方面汇总得分。最后，将所提出的方法应用于网络的实际问题，计算模拟攻击者的概率并显示评估结果，结果表明本文的方法可以得到更精确的结果。此外，文中还讨论了影响指标跟随实际情况的对比趋势。综合来说，本文的方法更适用于实际网络，具有准确灵活、适用度高的特点。

参考文献 （References）

[1] LELLI A. The Trojan.hydraq incident： analysis of the aurora 0-day exploit [EB/OL]. [2018-09-25]. http：//www.symantec.com/connect/blogs/trojanhydraq-inc.

[2] FALLIERE N， OMURCHU L， CHIEN E. W32.stuxnet dossier [EB/OL]. [2018-09-25]. http：//www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf.

[3] BETTS A. A sobering day [EB/OL]. [2018-09-25]. https：//labs.ft.com/2013/05/a-sobering-day/.

[4] ALBANESE M， JAJODIA S， SINGHAL A， et al. An efficient approach to assessing the risk of zero-day vulnerabilities [C]// Proceedings of the 2015 International Conference on Security & Cryptography. Piscataway， NJ： IEEE，2015： 203-218.

[5] CVSS. Common vulnerability scoring system v3.0： specification document [EB/OL]. [2018-09-25]. https：//www.first.org/cvss/cvss-v30-specification-v1.8.pdf

[6] JAQUITH A. Security Metrics Replacing Fear， Uncertainty， and Doubt [M]. Reading Town， MA： Addison-Wesley Professional， 2007： 156-164.

[7] FRIGAULT M， WANG L Y， SINGHAL A， et al. Measuring network security using dynamic Bayesian network [C]// QoP 2008： Proceedings of the 4th ACM Workshop on Quality of Protection. New York： ACM， 2008： 23-30.

[8] HOMER J， OU X M， SCHMIDT D， et al A sound and practical approach to quantifying security risk in enterprise networks [R]. Manhattan， KS： Kansas State University， 2009.

[9] XIE P， LI J H， OU X M， et al. Using Bayesian networks for cyber security analysis [C]// Proceedings of the 2010 IEEE/IFIP International Conference on Dependable Systems & Networks. Washington， DC： IEEE Computer Society， 2010： 211-220.

[10] CHENG P S， WANG L Y， JAJODIA S， et al. Aggregating CVSS base scores for semantics-rich network security metrics [C]// SRDS12： Proceedings of the 2012 IEEE 31st Symposium on Reliable Distributed Systems. Washington， DC： IEEE Computer Society， 2012： 31-40.

[11] WANG L Y， JAJODIA S， SINGHAL A， et al. K-zero day safety： a network security metric for measuring the risk of unknown vulnerabilities [J]. IEEE Transactions on Dependable and Secure Computing， 2014， 11（1）： 30-44.

[12] WANG L Y， ISLAM T， LONG T， et al. An attack graph-based probabilistic security metric [C] // Proceedings of the 22nd Annual IFIP WG 11.3 Working Conference on Data and Applications Security. Berlin： Springer， 2008： 283-296.

[13] AMMANN P， WIJESEKERA D， KAUSHIK S. Scalable graph-based network vulnerability analysis [C] //Proceedings of the 9th ACM Conference on Computer and Communications Security. New York： ACM， 2002： 217-224.

[14] PAMULA J， JAJODIA S， AMMANN P， et al. A weakest-adversary security metric for network configuration security analysis [C]// Proceedings of the 2nd ACM Workshop on Quality of Protection. New York： ACM， 2006： 31-38.