RiskRank：一種網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播分析方法

張之剛，常朝穩(wěn)，韓培勝，侯 湘

(1.戰(zhàn)略支援部隊(duì)信息工程大學(xué) 密碼工程學(xué)院，鄭州 450000；2.大唐中南電力試驗(yàn)研究院，鄭州 450006；3.重慶大學(xué) 期刊社，重慶 400044)

隨著互聯(lián)網(wǎng)應(yīng)用深化，中國(guó)面臨的網(wǎng)絡(luò)安全問(wèn)題日益復(fù)雜。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估技術(shù)通過(guò)感知并預(yù)測(cè)網(wǎng)絡(luò)系統(tǒng)中的安全風(fēng)險(xiǎn)，通過(guò)遏制網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播以控制網(wǎng)絡(luò)安全態(tài)勢(shì)，對(duì)于改善網(wǎng)絡(luò)安全現(xiàn)狀有著十分重要的意義。目前已有一些學(xué)者提出網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估方法：如基于層次分析法的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法，根據(jù)專家主觀經(jīng)驗(yàn)為每個(gè)安全要素加權(quán)，并基于線性或非線性函數(shù)進(jìn)行加權(quán)求和。但這類方法過(guò)于依賴專家主觀經(jīng)驗(yàn)，缺乏統(tǒng)一量化評(píng)估標(biāo)準(zhǔn)；如基于線性或非線性時(shí)序分析的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)測(cè)方法，依據(jù)前一時(shí)隙內(nèi)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，分析安全風(fēng)險(xiǎn)短期時(shí)序變化規(guī)律。但該方法僅適用于短時(shí)宏觀風(fēng)險(xiǎn)變化分析。

不僅如此，上述網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估方法均未考慮網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播帶來(lái)的影響。由于網(wǎng)絡(luò)風(fēng)險(xiǎn)并非靜態(tài)的，而是以威脅源為中心向周邊節(jié)點(diǎn)投射[1]。網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播受網(wǎng)絡(luò)拓?fù)?、威脅源分布等因素的影響，并且單次網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播行為存在一定隨機(jī)性，使得網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播行為在時(shí)空上難以預(yù)測(cè)，給網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估帶了挑戰(zhàn)。雖然已有一些方法在宏觀層面量化評(píng)估當(dāng)前的網(wǎng)絡(luò)風(fēng)險(xiǎn)，并預(yù)測(cè)未來(lái)短時(shí)風(fēng)險(xiǎn)變化規(guī)律，但這類方法難以細(xì)粒度地分析網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播及其分布。

針對(duì)上述問(wèn)題，提出一種RiskRank網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播分析方法?；贒NS日志數(shù)據(jù)，計(jì)算網(wǎng)絡(luò)節(jié)點(diǎn)間的相似關(guān)系和臨近關(guān)系，以構(gòu)建網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播圖譜，通過(guò)標(biāo)記圖譜中已知風(fēng)險(xiǎn)的網(wǎng)絡(luò)節(jié)點(diǎn)，基于隨機(jī)游走方法迭代計(jì)算網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播模型，以分析網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播，并量化評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)程度，最后采用密度聚類算法識(shí)別高風(fēng)險(xiǎn)簇，通過(guò)隔離高風(fēng)險(xiǎn)簇從而控制網(wǎng)絡(luò)安全態(tài)勢(shì)。

研究的貢獻(xiàn)包括：1)構(gòu)建網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播圖譜，以表示2種網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播途徑：相似網(wǎng)絡(luò)節(jié)點(diǎn)間傳播和臨近網(wǎng)絡(luò)節(jié)點(diǎn)間傳播；2)基于網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播圖譜，提出一種基于隨機(jī)游走方法的網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播模型，量化評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)程度；3)實(shí)驗(yàn)結(jié)果表明，提出的RiskRank網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播模型的準(zhǔn)確率為97.4%、精度為98.1%、召回率為86.4%。

1 國(guó)內(nèi)外研究現(xiàn)狀

1.1 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估與預(yù)測(cè)

Cai等[2]通過(guò)提取網(wǎng)絡(luò)安全關(guān)鍵要素，并基于層次分析法對(duì)網(wǎng)絡(luò)安全關(guān)鍵要素進(jìn)行加權(quán)，以綜合評(píng)估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)程度，但在評(píng)估過(guò)程中該方法過(guò)于依賴主觀經(jīng)驗(yàn)，缺乏統(tǒng)一量化評(píng)估標(biāo)準(zhǔn)。Ghosh等[3]從損失成本和響應(yīng)成本的角度分析了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。Almohri等[4]基于概率圖模型分析網(wǎng)絡(luò)中發(fā)生攻擊的概率。Wang等[5]提出一種網(wǎng)絡(luò)安全性評(píng)估模型用于分析網(wǎng)絡(luò)系統(tǒng)脆弱性帶來(lái)的風(fēng)險(xiǎn)。潘順榮等[6]對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播過(guò)程等進(jìn)行了探討。田飛等[7-8]分析網(wǎng)絡(luò)病毒傳播規(guī)律。

1.2 隨機(jī)游走方法

張良富等[9]綜述了隨機(jī)游動(dòng)方法的時(shí)間復(fù)雜度、空間復(fù)雜度、計(jì)算精確度以及可擴(kuò)展性并在此基礎(chǔ)上總結(jié)了這些算法所對(duì)應(yīng)的計(jì)算場(chǎng)景。Alamgir等[10]采用隨機(jī)游走方法實(shí)現(xiàn)基于興趣點(diǎn)的局部聚類，該方法從興趣點(diǎn)開(kāi)始隨機(jī)游走，訪問(wèn)其他可達(dá)頂點(diǎn)，直到滿足停止條件。郭景峰等[11]在轉(zhuǎn)移概率模型的基礎(chǔ)上提出了一種基于兩類節(jié)點(diǎn)的隨機(jī)游走算法,以得到較高質(zhì)量的隨機(jī)游走序列。馬慧芳等[12]在關(guān)鍵詞提取中基于隨機(jī)游走算法計(jì)算節(jié)點(diǎn)的重要性分?jǐn)?shù)。Su等[13-14]通過(guò)描述高斯反向傳播的消息傳遞過(guò)程，提出了新的置信度初始化設(shè)置方法。

2 RiskRank網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播分析方法

筆者提出的RiskRank網(wǎng)絡(luò)傳播分析方法，從DNS日志數(shù)據(jù)中提取網(wǎng)絡(luò)節(jié)點(diǎn)間的連接，采用杰卡德距離計(jì)算節(jié)點(diǎn)間相似關(guān)系，并結(jié)合網(wǎng)絡(luò)拓?fù)渲泄?jié)點(diǎn)間臨近關(guān)系，構(gòu)建網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播圖譜，如圖1所示，圖中的節(jié)點(diǎn)表示網(wǎng)絡(luò)節(jié)點(diǎn)，圖中的邊表示兩兩網(wǎng)絡(luò)節(jié)點(diǎn)之間的相似關(guān)系和臨近關(guān)系[15]。通過(guò)標(biāo)記已知風(fēng)險(xiǎn)的網(wǎng)絡(luò)節(jié)點(diǎn)以初始化風(fēng)險(xiǎn)值，并基于隨機(jī)游走方法迭代計(jì)算網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播模型，最后基于收斂穩(wěn)定的模型評(píng)估圖譜中所有節(jié)點(diǎn)的風(fēng)險(xiǎn)程度。

圖1 網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播分析方法

2.1 網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播模型

網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播主要是指網(wǎng)絡(luò)中的威脅源向周邊鄰接節(jié)點(diǎn)投射風(fēng)險(xiǎn)，如利用惡意網(wǎng)站、攻擊服務(wù)器、移動(dòng)介質(zhì)等，通過(guò)誘導(dǎo)或主動(dòng)等方式，向周邊鄰接節(jié)點(diǎn)實(shí)施攻擊行為，包括植入惡意軟件、控制受控主機(jī)、拒絕服務(wù)攻擊等，使得網(wǎng)絡(luò)風(fēng)險(xiǎn)從威脅源投射至周邊鄰接節(jié)點(diǎn)。由于越脆弱的網(wǎng)絡(luò)節(jié)點(diǎn)和越有價(jià)值的網(wǎng)絡(luò)節(jié)點(diǎn)，越容易遭受攻擊，因此高風(fēng)險(xiǎn)的節(jié)點(diǎn)在網(wǎng)絡(luò)拓?fù)渲谐尸F(xiàn)密集連接現(xiàn)象。

網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播途徑主要包括相似節(jié)點(diǎn)間傳播和臨近節(jié)點(diǎn)間傳播：1)網(wǎng)絡(luò)風(fēng)險(xiǎn)之所以在相似節(jié)點(diǎn)間傳播是由于相似節(jié)點(diǎn)會(huì)具有相似的網(wǎng)絡(luò)行為，它們關(guān)聯(lián)著共同的域節(jié)點(diǎn)和服務(wù)器等，如果這些域節(jié)點(diǎn)和服務(wù)器等是威脅源，那么威脅源會(huì)向這些相似的網(wǎng)絡(luò)節(jié)點(diǎn)傳播風(fēng)險(xiǎn)。2)網(wǎng)絡(luò)風(fēng)險(xiǎn)之所以在臨近節(jié)點(diǎn)間傳播是由于臨近節(jié)點(diǎn)在網(wǎng)絡(luò)拓?fù)渲写嬖谳^短連接路徑，容易通過(guò)網(wǎng)絡(luò)通信或移動(dòng)介質(zhì)傳播風(fēng)險(xiǎn)。

根據(jù)DNS數(shù)據(jù)中的節(jié)點(diǎn)間通信，計(jì)算相似網(wǎng)絡(luò)節(jié)點(diǎn)與相近網(wǎng)絡(luò)節(jié)點(diǎn)，對(duì)其進(jìn)行關(guān)聯(lián)，以構(gòu)建網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播圖譜，該圖譜描述了相近和相似節(jié)點(diǎn)之間的關(guān)聯(lián)關(guān)系。定義無(wú)向圖G=(V,E,S0)為網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播圖譜，其中V={v1,v2,……,vn}表示網(wǎng)絡(luò)節(jié)點(diǎn)，E={e1,e2,……,en}表示連接相似和相近網(wǎng)絡(luò)節(jié)點(diǎn)之間的邊(關(guān)系)，分為兩種，一種相似關(guān)系、一種臨近關(guān)系。相似關(guān)系是指兩網(wǎng)絡(luò)節(jié)點(diǎn)和其他網(wǎng)絡(luò)節(jié)點(diǎn)之間的連接關(guān)系存在相似性，臨近關(guān)系是指兩網(wǎng)絡(luò)節(jié)點(diǎn)存在直接的通信連接。采用杰拉德距離計(jì)算網(wǎng)絡(luò)節(jié)點(diǎn)間的相似性，相似度公式如公式(1)所示，其中，vi和vj分別表示網(wǎng)絡(luò)節(jié)點(diǎn)i和網(wǎng)絡(luò)節(jié)點(diǎn)j所關(guān)聯(lián)的其他網(wǎng)絡(luò)節(jié)點(diǎn)集合。vi和vj的交集vi∩vj表示兩網(wǎng)絡(luò)節(jié)點(diǎn)共同連接的其他網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)，vi和vj的并集vi∪vj表示2網(wǎng)絡(luò)節(jié)點(diǎn)連接的其他網(wǎng)絡(luò)節(jié)點(diǎn)總數(shù)。vi和vj的相似度sim(vi,vj)表示兩網(wǎng)絡(luò)節(jié)點(diǎn)共同連接的其他網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)在連接的其他網(wǎng)絡(luò)節(jié)點(diǎn)總數(shù)中的占比，如果sim(vi,vj)大于閾值0.5(sim(vi,vj)>0.5)，那么說(shuō)明vi和vj具有相似性。

(1)

表1 網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播圖譜構(gòu)建算法

通過(guò)構(gòu)建網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播圖譜，基于隨機(jī)游走方法提出一種RiskRank網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播模型，通過(guò)分析網(wǎng)絡(luò)風(fēng)險(xiǎn)在網(wǎng)絡(luò)空間中隨機(jī)動(dòng)態(tài)傳播過(guò)程，以評(píng)估網(wǎng)絡(luò)中的潛在安全風(fēng)險(xiǎn)。對(duì)于未知風(fēng)險(xiǎn)的網(wǎng)絡(luò)節(jié)點(diǎn)，通過(guò)初始化部分已知節(jié)點(diǎn)風(fēng)險(xiǎn)值，基于隨機(jī)游走迭代計(jì)算圖譜中所有節(jié)點(diǎn)的風(fēng)險(xiǎn)值，待風(fēng)險(xiǎn)傳播圖譜迭代收斂后，所有未知風(fēng)險(xiǎn)的節(jié)點(diǎn)均被標(biāo)記上風(fēng)險(xiǎn)值，該風(fēng)險(xiǎn)值作為這些節(jié)點(diǎn)的潛在風(fēng)險(xiǎn)值。根據(jù)公式(2)迭代計(jì)算未知節(jié)點(diǎn)的風(fēng)險(xiǎn)值，其中score(xi)為節(jié)點(diǎn)xi的風(fēng)險(xiǎn)值，α=0.85為阻尼系數(shù)，In(xi)是xi的入度，Out(xi)是xi的出度。網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播圖譜各節(jié)點(diǎn)的風(fēng)險(xiǎn)值經(jīng)初始化后，根據(jù)公式(2)迭代其他節(jié)點(diǎn)的風(fēng)險(xiǎn)值，每次迭代計(jì)算完成，計(jì)算所有節(jié)點(diǎn)迭代前和迭代后2次風(fēng)險(xiǎn)值之間的平均差作為收斂誤差，當(dāng)收斂誤差小于一定閾值(如小于0.05)時(shí)，則說(shuō)明網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播模型收斂，迭代計(jì)算結(jié)束。

(2)

通過(guò)設(shè)定閾值以區(qū)分高風(fēng)險(xiǎn)節(jié)點(diǎn)和低風(fēng)險(xiǎn)節(jié)點(diǎn)，由于閾值的設(shè)定會(huì)影響風(fēng)險(xiǎn)評(píng)估的精度和召回率，設(shè)置合理的閾值以獲得較高精度和召回率。設(shè)置風(fēng)險(xiǎn)臨界閾值的原則為：提升精度的條件下同時(shí)盡可能不降低召回率。經(jīng)實(shí)驗(yàn)分析，當(dāng)閾值為0.8時(shí)，方法具有高精度和較高的召回率。

2.2 高風(fēng)險(xiǎn)簇檢測(cè)方法

圖2 高風(fēng)險(xiǎn)簇聚類算法

3 實(shí)驗(yàn)分析

利用真實(shí)環(huán)境中的DNS數(shù)據(jù)進(jìn)行實(shí)驗(yàn)，以驗(yàn)證所提出方法的有效性。首先介紹實(shí)驗(yàn)環(huán)境和實(shí)驗(yàn)數(shù)據(jù)，并分析風(fēng)險(xiǎn)傳播模型的準(zhǔn)確性，同時(shí)分析閾值選取對(duì)準(zhǔn)確性的影響，最后討論該模型的時(shí)間開(kāi)銷。

實(shí)驗(yàn)中涉及的方法均采用相同的編譯環(huán)境和配置環(huán)境中，其中，計(jì)算機(jī)CPU為2 Xeon 4116 12C/85W/2.1GHz，內(nèi)存為256 G DDR4 2 666 MHz，硬盤(pán)為2×480G SSD，操作系統(tǒng)為Ubuntu 16.04，編譯器采用Eclipse 3.5/JRE 1.8。

采用的DNS數(shù)據(jù)來(lái)源于國(guó)網(wǎng)河南省電力公司數(shù)據(jù)中心，數(shù)據(jù)規(guī)模超過(guò)230萬(wàn)條，包含源地址、目的地址、端口號(hào)、域名、時(shí)間等字段。安全中心標(biāo)記了其中1 767個(gè)異常節(jié)點(diǎn)作為黑名單，包括1 623個(gè)惡意域節(jié)點(diǎn)以及144個(gè)異常主機(jī)節(jié)點(diǎn)，同時(shí)標(biāo)記了8 556個(gè)正常網(wǎng)絡(luò)節(jié)點(diǎn)作為白名單。進(jìn)行10組實(shí)驗(yàn)，測(cè)試驗(yàn)證方法采用K(K=10)折交驗(yàn)證法，每組實(shí)驗(yàn)都在黑名單中隨機(jī)選取50%黑和50%白樣本作為已知的高風(fēng)險(xiǎn)和低風(fēng)險(xiǎn)網(wǎng)絡(luò)節(jié)點(diǎn)用于迭代計(jì)算，剩下50%黑和50%白樣本作為驗(yàn)證集中“未知”的網(wǎng)絡(luò)節(jié)點(diǎn)用于測(cè)試。

3.1 準(zhǔn)確性分析

采用準(zhǔn)確度(ACC)、精度(PRE)、召回率(REC)來(lái)評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播模型的預(yù)測(cè)效果，如公式(3)、公式(4)和公式(5)所示。其中，TP(true positive)表示驗(yàn)證集中被模型正確識(shí)別的高風(fēng)險(xiǎn)網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量，F(xiàn)P(false positive)表示驗(yàn)證集中被模型錯(cuò)誤識(shí)別的高風(fēng)險(xiǎn)網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量，TN(true negative)表示驗(yàn)證集中被模型正確識(shí)別的低風(fēng)險(xiǎn)網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量，F(xiàn)N(false negative)表示驗(yàn)證集中被模型錯(cuò)誤識(shí)別的低風(fēng)險(xiǎn)網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量。根據(jù)TP、FP、TN、FN，計(jì)算準(zhǔn)確度(ACC)、精度(PRE)、召回率(REC)。

(3)

(4)

(5)

從數(shù)據(jù)集中隨機(jī)選取部分已知高風(fēng)險(xiǎn)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行初始化，高風(fēng)險(xiǎn)網(wǎng)絡(luò)節(jié)點(diǎn)的風(fēng)險(xiǎn)值初始化為1.0，其他網(wǎng)絡(luò)節(jié)點(diǎn)初始化風(fēng)險(xiǎn)值為0.0，作為“未知”風(fēng)險(xiǎn)的網(wǎng)絡(luò)節(jié)點(diǎn)。通過(guò)構(gòu)建網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播圖譜，迭代計(jì)算RiskRank網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播模型，該模型計(jì)算所有未知節(jié)點(diǎn)的風(fēng)險(xiǎn)值。通過(guò)設(shè)置風(fēng)險(xiǎn)閾值(設(shè)置0.8)，提取所有風(fēng)險(xiǎn)值大于閾值的節(jié)點(diǎn)并潘定為高風(fēng)險(xiǎn)網(wǎng)絡(luò)節(jié)點(diǎn)，并與驗(yàn)證集中的標(biāo)簽進(jìn)行比對(duì)，從而評(píng)估預(yù)測(cè)網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播模型的準(zhǔn)確率、精度和召回率。實(shí)驗(yàn)結(jié)果表明，提出的基于RiskRank的網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播模型的準(zhǔn)確度為97.4%，精度為98.1%，召回率為86.4%。

3.2 閾值分析

由于不同的閾值會(huì)影響風(fēng)險(xiǎn)傳播模型的準(zhǔn)確性，因此通過(guò)設(shè)置不同的閾值，以比較分析出較優(yōu)的風(fēng)險(xiǎn)閾值。不同閾值下精度和召回率實(shí)驗(yàn)結(jié)果如圖3所示，從中看出：總體趨勢(shì)上，隨著閾值不斷增大，精度隨之提升，召回率隨之下降，反之，隨著閾值不斷減小，精度隨之下降，召回率隨之提升。當(dāng)精度趨近于穩(wěn)定時(shí)，即閾值為0.8時(shí)，盡管閾值不斷增大，由于精度趨近100%，提升幅度有限，而召回率急劇下降。因此，當(dāng)閾值大于0.8時(shí)，雖然精度有較小提升，但召回率急劇下降，當(dāng)閾值小于0.8時(shí)，雖然召回率較高，但精度明顯不足。因此，設(shè)定閾值為0.8，在確保精度的情況下，盡可能不降低召回率，即當(dāng)精度趨近于穩(wěn)定且召回率仍較高時(shí)的臨界閾值。

圖3 不同閾值下的精度和召回率曲線

3.3 計(jì)算時(shí)間開(kāi)銷和收斂性分析

提出RiskRank網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播分析方法是基于隨機(jī)游走進(jìn)行收斂的，收斂過(guò)程需要多次迭代計(jì)算。實(shí)驗(yàn)如圖4所示，網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播模型收斂時(shí)的平均迭代次數(shù)為48次，平均時(shí)間開(kāi)銷為62.3 s。結(jié)果表明：隨著迭代次數(shù)的增加，風(fēng)險(xiǎn)傳播模型的損失在不斷減小，說(shuō)明風(fēng)險(xiǎn)傳播圖譜中網(wǎng)絡(luò)節(jié)點(diǎn)的風(fēng)險(xiǎn)值趨近于穩(wěn)定，收斂時(shí)的風(fēng)險(xiǎn)傳播模型處于動(dòng)態(tài)平衡狀態(tài)，該狀態(tài)下網(wǎng)絡(luò)節(jié)點(diǎn)的風(fēng)險(xiǎn)值即為預(yù)測(cè)的風(fēng)險(xiǎn)值。進(jìn)行第一次迭代后，風(fēng)險(xiǎn)傳播模型收斂速率較大，反映出風(fēng)險(xiǎn)傳播模型可以快速收斂，同時(shí)表明提出的風(fēng)險(xiǎn)傳播理論依據(jù)合理，即網(wǎng)絡(luò)風(fēng)險(xiǎn)在相似節(jié)點(diǎn)和相近節(jié)點(diǎn)間進(jìn)行傳播，如果一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)關(guān)聯(lián)更多高風(fēng)險(xiǎn)節(jié)點(diǎn)，則說(shuō)明該網(wǎng)絡(luò)節(jié)點(diǎn)存在較高的安全風(fēng)險(xiǎn)，反之，如果一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)關(guān)聯(lián)更少高風(fēng)險(xiǎn)節(jié)點(diǎn)，則說(shuō)明該網(wǎng)絡(luò)節(jié)點(diǎn)存在較低的安全風(fēng)險(xiǎn)。

圖4 風(fēng)險(xiǎn)傳播模型收斂過(guò)程

4 總 結(jié)

針對(duì)傳統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估方法缺乏考慮網(wǎng)絡(luò)風(fēng)險(xiǎn)動(dòng)態(tài)傳播影響的問(wèn)題，提出一種RiskRank網(wǎng)絡(luò)安全風(fēng)險(xiǎn)傳播模型，以預(yù)測(cè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)傳播態(tài)勢(shì)。通過(guò)采集網(wǎng)絡(luò)DNS數(shù)據(jù)，基于相似網(wǎng)絡(luò)節(jié)點(diǎn)和相近網(wǎng)絡(luò)節(jié)點(diǎn)構(gòu)建網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播圖譜，以分析網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播行為，基于隨機(jī)游走理論，構(gòu)建網(wǎng)絡(luò)風(fēng)險(xiǎn)傳播模型，迭代計(jì)算潛在網(wǎng)絡(luò)風(fēng)險(xiǎn)分布。并提出一種基于密度聚類的高風(fēng)險(xiǎn)簇識(shí)別方法，用于隔離高風(fēng)險(xiǎn)簇以控制安全態(tài)勢(shì)。實(shí)驗(yàn)測(cè)試結(jié)果表明，提出RiskRank網(wǎng)絡(luò)安全風(fēng)險(xiǎn)傳播模型具有97.4%的準(zhǔn)確率、98.1%的精度和86.4%的召回率。