卜哲　叶帅辰

摘要：日益复杂的网络环境对网络安全风险评估甚至是风险预测提出了更高的要求。文章选取防御薄弱性、资产脆弱性、威胁严重性、使用风险性、运行异常性5个维度18项典型指标建立了网络安全风险贝叶斯评价模型，结合实际业务逻辑对该模型合理性進行了验证，通过算例仿真对某网络空间的安全风险状态进行了定量评估，对防御加固后的预期网络风险值进行了快速预测。该方法具有效率高、易执行、适应性强等优势，可对网络安全风险治理提供一定的参考。

关键词：网络安全；贝叶斯网络；风险评估；风险预测

中图分类号：TP309文献标志码：A0引言随着信息化与数字化技术的高速发展，计算机网络通信已融入国防工业、社会民生、经济发展等各个领域，为人们的日常生活带来了极大的便利。不过，随着社会资源、生产资料的大量虚拟化，网络空间面临的安全威胁也日趋严峻［1］。近年来，各行业大量出现遭受网络攻击的事件，其中一些造成了严重的经济损失和社会危害［2］。这些事件的发生原因通常是多方面的，可以是外部攻击者针对特定网络目标有组织、有预谋的攻击入侵，也可能是越复杂的软硬件系统本身存在一定的安全漏洞，或是网络运营开发人员的不当操作。因此，为尽量避免此类问题的继续发生，在完成网络空间构建后，有必要对该状态下的网络安全风险进行一定的评估，以确定网络架构的可靠性，甚至要对未来网络安全态势进行预测，从而给出对网络空间防御的持续优化方案来抵御未知威胁［3］。

目前，大量国内外学者在网络安全风险评估及预测领域开展了丰富的研究工作。在网络安全风险评估方面，张炳等［4］对2008至2018十年间业界常用的风险评估方法进行了整理汇总，比对分析了各方法的应用场景及优势，提炼了评估结果准确性的影响因素；黄波［5］，周安顺［6］等分别利用较为直观的攻击树及攻击图方法对某实战攻击下的网络安全风险进行了评判；Yu［7］，Zhao［8］，李玲娟［9］等分别提出了基于D-S证据论、粗糙集理论、灰色理论的网络安全风险评估方法，这类方法是基于数学模型的定量评估方法，主要优势为能够容忍具有不完备、不确定信息要素的网络系统；此外，还有支持向量机［10］、贝叶斯网络［11］、隐马尔可夫［12］等具有自迭代能力的机器学习方法用于对不断延展的网络空间安全风险进行评估。在网络安全风险预测方面，由于其需要根据现有网络状态及演进趋势来判断网络空间的潜在风险，风险评估时使用的常规数学模型或图模型方法便不再适用，而是大多采用具有自学习能力的人工智能算法来实现，肖喜生等［13］结合大量已有网络安全风险预测研究，将预测方法分为传统机器学习方法和深度学习方法两大类；传统机器学习方法包含风险评估中同样具有广泛应用的贝叶斯网络［14］、隐马尔可夫［15］、神经网络［16］等方法，而深度学习方法主要采用近年新提出的循环神经网络［17］、生成对抗网络［18］、深度自编码器［19］等方法。

通过分析已有研究可以看出，贝叶斯网络在风险评估及预测方面都有较强的适用性。该方法是一种基于概率关系的图像描述，对于不确定、不完整数据输入具有较好的容忍度，有一定的扩展能力，相比于较为复杂的深度学习风险预测模型更易于构建，因此在众多领域都有着广泛的应用［20-22］。不过，目前针对网络安全领域贝叶斯风险评估相关研究主要面临以下问题：（1）所选择网络安全评价维度较为单一且多为外部因素，较少能考虑包括系统运维、使用等内在风险多重影响下的整体网络安全态势；（2）仅考虑了模型针对当前网络风险状态评估的适用性，无法证明在进行防御加固或网络风险隐患进一步加剧情况下的模型适用情况。为解决上述问题，本文首先针对某实际网络架构建立了包含内外风险要素的5维指标评价体系，构建了包含18个父节点的3级贝叶斯网络模型，根据现网长期运行情况数据及专家经验依次确定了各节点的先验概率以及节点间的条件概率，通过模型仿真计算得到了当前状态下网络安全风险值，根据实际业务逻辑通过模拟网络状态变化验证了模型的普适性。进一步模拟了对网络攻击的防御措施升级，利用同一模型对改善后的网络空间风险进行了定量预测，相关方法对网络安全风险管理具有一定的参考意义。

1贝叶斯网络构建

2网络风险评估及预测模型构建在进行网络安全风险评估及预测前，首先要构建以“网络安全评价”为子节点的贝叶斯网络图，但网络安全风险是一个比较复杂的综合性概念，其受到网络拓扑结构、防御措施、运维方式、内部脆弱性、外部威胁等多重因素的影响。因此，单一指标难以对网络风险态势进行全局性评价，必须选取多个具有完备性、独立性、可配置性并易于理解的因素对其开展多维描述。在本文中，选取“防御薄弱性”“资产脆弱性”“威胁严重性”“使用风险性”“运行异常性”5个评价维度，构建了5维网络安全评价体系。相应的这5个评价维度是“网络安全评价”的5个父节点。这5个父节点可作为子节点继续向上追溯，下面将逐一介绍。

防御薄弱性指的是所关注网络对象在网络空间边缘处部署的安全设备防御能力强弱，其根据设备功能不同又可继续下分为“监测类防御”“处置类防御”和“监测+处置类防御”3个父节点。其中，监测类防御是指网络空间边缘的交换机、路由器等资产设备与外部通联时旁路部署了IDS，NTA等无威胁处置能力的告警设备，这种防御方式在发现威胁时无法及时阻止其渗透进入内部网络；而处置类是指通过部署WAF、防火墙等设备，能够在一定程度上阻断指定的网络资源相关流量进入该网络空间；监测+处置类防御是指部署了IPS、NDR等设备，其能够在综合安全威胁监测发现的基础上，对外部入侵流量直接丢包或回注reset包进行阻断［24］。

资产脆弱性是通过量化构成网络空间的各种软硬件资产漏洞数量、漏洞类型以及漏洞威胁程度的评价指标。因计算机系统及网络架构的复杂性，在软硬件设计、开发、升级、维护等过程中，难以做到完全严谨。因此，大规模网络不可避免地存在一定脆弱因素。该指标根据漏洞所在位置不同可分为“软件漏洞”“硬件漏洞”和“业务逻辑漏洞”3个父节点。

威胁严重性主要指外部攻击的性质及严重程度，其根据攻击阶段的不同可分为“扫描探测”“攻击载荷投递”“植入与控制”和“横向渗透”4个父节点。其中，扫描探测是指外部攻击者对所关注网络空间暴露在互联网上的资产进行试探性发包等操作，主要目的为发现防御薄弱点，这类威胁主要是处于攻击的初始阶段，为攻击者进一步开展渗透创造条件；攻击载荷投递是指攻击者通过扫描确定攻击目标后向目标投递木马、移动恶意程序等网络攻击武器，从而达到控制目的；植入与控制是指某些网络资产下载攻击者投递的载荷后被控制形成傀儡甚至组成僵尸网络的情况；横向渗透是指攻击者完成对某内部网络资产的控制后再继续向其他设备或系统开展新一轮的攻击，这是大多数网络攻击者的最终目的，同时也说明网络安全状态恶劣到了亟须治理的程度。

使用风险性指的是被允许访问、使用、管理该网络空间的用户对于其访问行为未严格规范而造成的安全风险隐患，例如：某些低权限用户利用技术手段绕过权限检查，访问或者操作原本无法访问的高权限功能，或是长期使用默认密码的弱口令登录行为，为短时间获取大量信息的自动化高频访问下载操作等。因此，该指标可细分为“弱口令登录”“越权访问”“频繁操作”“未定期维护”4个父节点。

运行异常性通常指某些网络资源的运行指数偏离日常业务行为基线，但仍然在系统额定运行能力的承载范围内，因此防御设备无法针对这种异常输出威胁告警，从而引发潜在风险。例如：在非業务时间范围内，网络空间中某些设备仍与外部系统存在流量交互，这种情况可能是系统内的某些资产已经失陷，与外部控制源进行隐蔽隧道通信导致；或是某主机在业务量不变的情况下内存使用率突然大幅提升，这可判断为是后台木马等恶意程序异常运行占用资源所致。运行异常性指标可细分为“CPU资源异常”“内存资源异常”“存储资源异常”“流量异常”4个父节点。

基于以上“网络安全评价”的5个一级子节点和18个父节点，可针对其演进关系，将各节点用有向边相连，绘制如图2所示的网络安全风险评估贝叶斯网络图。

3算例分析

3.1父节点状态赋值利用所构建的网络安全风险评价贝叶斯模型进行风险评估与预测的首要步骤是确定父节点的先验概率值。如表1所示是以某企业大型网络系统为例，18个父节点的先验概率及其所对应的符号表达。

3.2依据专家经验确定后验概率

3.3网络安全风险评估

3.4评估模型合理性验证在对当前状态网络安全风险值进行评估后，需要从实际业务角度来验证该评估方式是否合理，即当某评价指标状态发生改变时，其对最终网络安全风险的预期定性影响应与定量计算结果变化趋势一致，例如：当父节点“植入与控制”或“横向渗透”的发生概率增大时，那么网络安全风险发生预期概率应当也是增加的，或者当一级子节点“资产脆弱性”评级为S的概率增加时，网络安全整体风险也应相应减小。图4和图5分别给出了当父节点C、C和一级子节点B状态变化时，网络安全风险值的定量变化情况，可以看出其符合上述定性分析结果。从图4可以看出，C节点的增长对网络安全风险值的影响相比于C更为明显，这与预先设定的业务逻辑一致。因此，该贝叶斯网络模型的构建具有一定合理性。

3.5网络安全风险预测在网络系统的实际运行中，其状态无时无刻不在发生变化，例如：引入新的网络单元从而增加网络安全风险发生的可能性，或是优化防御策略而降低潜在的网络威胁。因此，风险评估和预测是不可分割的。以本文所构建模型为例，若对现有网络空间的风险防御措施进行优化，将原仅部署监测类防御设备的网络节点增加部署“监测+处置”类防御设备，这便使父节点A先验概率降低至0，而父节点A先验概率增加至60%；对网络空间内部具备“横向渗透”攻击威胁的主机IP进行处置，使“横向渗透”的先验概率降低至0，“扫描探测”“攻击载荷投递”和“植入与控制”

3个父节点的先验概率也相应地变为79.6%，15.3%和5.1%。假设其他父节点状态值和经专家经验获取的后验概率值不变的前提下，利用更新后的节点值来模拟预测网络状态调整后的风险评价，结果如图6所示。可以看出，相比于图3的评估结果，网络安全评价指标为“极危”的发生概率降低至了16%，网络安全风险值降低至40.3，在一定程度上提升了网络的可靠性。因此，贝叶斯网络模型不仅能够评估当前状态下的网络风险，而且可对特定条件变化时的网络风险趋势进行初步预测，为网络安全加固手段的选择提供参考。

4结语网络安全风险评估是判断一个网络空间运行可靠性的重要方法，而风险预测又是选择安全防御措施的主要依据，在网络空间延展的过程中二者互为补充，缺一不可。在本文中，从“防御薄弱性”“资产脆弱性”“威胁严重性”“使用风险性”和“运行异常性”5个维度选取18项指标对当下某网络空间进行定量风险评估，通过调整先验概率模拟网络空间状态的预期变化，从而对改善后的网络风险值进行预测。从仿真结果可以看出，所提出贝叶斯网络模型虽然具有适应性强、计算效率高、易于理解等优势，具备一定的网络安全风险评估及预测能力，但是仍存在以下局限性有待在后续工作中深入研究：（1）贝叶斯网络中后验概率的选取受限于专家经验的主观推断，只有在对模型输入大量实例数据长期训练后，所描述的条件概率才能在一定程度上排除主观因素的干扰。（2）多维评价指标的选取无法做到穷尽，例如：在本文中“使用风险性”和“运行异常性”父节点只考虑几个本系统中常见的网络安全威胁来源，忽略了其他次要风险因素。“资产脆弱性”只对漏洞进行了定性划分，并没有依据CVE标准或CVSS标准对不同类型漏洞的评分开展细化考虑。这些因素会在一定程度上影响风险评估及预测的准确性。因此，在利用贝叶斯算法进行网络安全风险评估及预测中，应充分考虑既往威胁数据，尽可能地选取多维威胁影响因素，最大限度地排除人工主观干预，才能够获取准确度较高的计算结果。

参考文献

［1］李华清.网络安全威胁和网络监管的现状、问题及对策研究［D］.上海：上海交通大学，2007.

［2］汤奕，王琦，倪明，等.电力信息物理融合系统中的网络攻击分析［J］.电力系统自动化，2016（6）：148-151.

［3］孟锦.网络安全态势评估与预测关键技术研究［D］.南京：南京理工大学，2012.

［4］张炳，任家东，王苧.网络安全风险评估分析方法研究综述［J］.燕山大学学报，2020（3）：290-305.

［5］黄波，秦玉海，刘旸，等.基于通用攻击树的脆弱性评估与风险概率研究［J］.信息网络安全，2022（10）：39-44.

［6］周安顺，王绥民.基于攻击图模型的网络安全态势评估方法［J］.移动通信，2021（2）：104-108.

［7］YU J，HU M，WANG P.Evaluation and reliability analysis of network security risk factors based on D-S evidence theory［J］.Journal of Intelligent & Fuzzy Systems，2018（2）：861-869.

［8］ZHAO D，SONG H，LI H.Fuzzy integrated rough set theory situation feature extraction of network security［J］.Journal of Intelligent & Fuzzy Systems，2021（4）：8439-8450.

［9］李玲娟，孔凡龙.基于灰色理论的层次化网络安全态势评估方法［J］.计算机技术与发展，2010（8）：163-166.

［10］HU J，MA D，LIU C，et al.Network security situation prediction based on MR-SVM［J］.IEEE Access，2019（7）：130937-130945.

［11］WEI L.Application of bayesian algorithm in risk quantification for network security［J］.Computational Intelligence and Neuroscience，2022（7）：1-10.

［12］LIAO Y，ZHAO G，WANG J，et al.Network security situation assessment model based on extended hidden markov［J］.Mathematical Problems in Engineering，2020（8）：1-13.

［13］肖喜生，龙春，彭凯飞，等.基于人工智能的安全态势预测技术研究综述［J］.信息安全研究，2020（6）：506-513.

［14］肖艳萍，楚晓丽，伍岳.贝叶斯算法在网络安全预测中的运用研究［J］.电脑知识与技术，2014（27）：6356-6357.

［15］LIANG W，LONG J，CHEN Z.A Security situation prediction algorithm based on HMM in mobile network［J］.Wireless Communications and Mobile Computing，2018（8）：1-11.

［16］羅昭.基于神经网络的网络安全态势评估与预测技术研究［D］.西安：西北大学，2018.

［17］胡昕.基于RNN的网络安全态势预测方法［J］.现代计算机（专业版），2017（6）：14-16.

［18］王婷婷，朱江.基于差分WGAN的网络安全态势预测［J］.计算机科学，2019（增刊2）：433-437.

［19］张生顺.基于深度自编码器的网络安全态势预测［J］.信息安全研究，2019（7）：644-648.

［20］ZHANG C，WU J，HU X，et al.A Probabilistic analysis model of oil pipeline accidents based on an integrated event evolution-bayesian （EEB） model［J］.Process Safety and Environmental Protection，2018（7）：694-703.

［21］ZHU R，LI X，HU X，et al.Risk analysis of chemical plant explosion accidents based on bayesian network［J］.Sustainability，2019（1）：1-20.

［22］ZHANG Y，HU X，BAI Y，et al.Risk assessment of gas leakage from school laboratories based on the bayesian network［J］.International Journal of Environmental Research and Public Health，2020（2）：426-436.

［23］王鹏，徐建良.基于贝叶斯网络的信息系统风险评估研究［J］.中国海洋大学学报（自然科学版），2022（5）：131-138.

［24］叶帅辰，卢泓宇，周成胜.网络安全防护设备应用研究［J］.信息与电脑（理论版），2022（17）：213-216.

（編辑 王永超）

Network security risk assessment and prediction based on five-dimensional index systemBu  Zhe， Ye  Shuaichen*

（Security Research Institute， China Academy of Information and Communications Technology，

Beijing 100191， China）Abstract：  The increasingly complex network environment puts forward higher requirements for the network security risk assessment and prediction. This paper selects 18 typical indicators in five dimensions， namely， defense weakness， asset vulnerability， threat severity， usage risk and operation abnormality， to establish a Bayesian evaluation model for network security risk. The rationality of the model is verified based on the actual operation scenario. Then， quantitative assessment and prediction of the network security risk are conducted through numerical simulation. It is proved that the proposed method has advantages of high efficiency， easy implementation and strong adaptability， which can provide reference for network security risk management.

Key words： network security; Bayesian network; risk assessment; risk prediction