基于攻防博弈的網(wǎng)絡系統(tǒng)動態(tài)風險評估模型

中圖分類號：TP393.0 文獻標識碼：A DO1：10.7535/hbkd.2025yx03012

A dynamic risk assessment model for network systems based on attack and defense game theory

ZHANGHongbin1，MIJiamei1，ZUOJun2，LIUBin3 （1.SchoolofInformationScienceandEnginering，Hebei UniversityofScienceandTechnology，Shijazhuang，HebeiO5Ol8，China; 2.Department of Business Administration，Hebei Vocational University of Industry and Technology， Shijiazhuang，Hebei 050091，China； 3.Schoolof Economicsand Management，Hebei Universityof Scienceand Technology，Shijazhuang，Hebei O5oo18，China）

Abstract：A dynamic risk asessment model fornetwork systemsbasedonatack and defense gametheory was proposed to addresstheproblemthattheexisting modelsareoverlysimplifiedindealingwiththecomplexdependenciesandpotentialthreat pathsintheopensourcesoftware supplychain，anditis dificult tocope with the problem ofopen source risks in network systemsunder thebackgroundofthebigdata era.Firstly，systemtopologyinformation，opensourcecomponentinformation， andvulnerabilityinformation were integratedtobuildaknowledge graphofopensourcerisk propagation；Secondly，athreat pathgenerationalgorithm wasdesigned basedon knowledge graphstoacquirethreat paths，andthepotential risksof each threatpathwere evaluatedtoidentifythe mostlikelythreatpath；Finaly，the ideaof stochastic gametheory wasintroducedto establishNSRAM-RG，ariskassssment modelof network system basedonrisk game，toanalyzethegame behaviorsof the atacker and defender regarding the most likelythreat path.The knowledge graph was dynamically updated，and the risk of the network system wasquantitativelyevaluatedaccording totheutityfunction.Theexperimentalresultsshowthatfiting degree of the asessment results tothetrue values is beter than theHMMand AHP methods，which can more accurately respondto the risk changes of thesystem.The proposed model can effectively quantifyand asess the open source risk in the system，which provides a new idea for the security management of the open source software supply chain.

Keywords：network；open source software supply chain security; knowledge graph； stochastic game;risk assessment

伴隨著大數(shù)據(jù)時代的到來，軟件技術以及信息技術產業(yè)飛速發(fā)展，網(wǎng)絡系統(tǒng)安全管理日益重要[1]。開源組件的應用為軟件開發(fā)帶來了便利，但開源組件常依賴大量的其他第三方開源組件，此類依賴關系形成了復雜的開源軟件供應鏈[2]，當某一開源組件爆發(fā)漏洞時，受供應鏈的影響，漏洞可能通過組件的依賴傳播影響下游組件，進而擴展攻擊范圍，增加系統(tǒng)安全管理的復雜性[3]。因此，需要一種考慮系統(tǒng)存在開源軟件供應鏈安全問題并能夠動態(tài)評估網(wǎng)絡系統(tǒng)風險的方法，對系統(tǒng)的安全狀態(tài)進行及時精準的檢測。

當前，基于開源軟件供應鏈威脅模型，設計開源軟件供應鏈治理框架以及針對開源組件風險評估是開源軟件供應鏈安全研究的主要內容。TENG等[4設計了一種基于流量分析的漏洞自動檢測和驗證方法，旨在解決開源軟件供應鏈中軟件下載更新環(huán)節(jié)的安全問題。SINGI等[5]提出了一個可信的開源軟件供應鏈治理框架，利用區(qū)塊鏈和智能合約來監(jiān)控和監(jiān)管開源軟件供應過程。在開源組件風險量化評估的研究中，MADAEHOH等提出了一個開源質量模型來評估開源組件，選取了許可證、承包商數(shù)量和開發(fā)語言流行度等評估指標，實現(xiàn)開源組件質量測量的自動化。王朝暉等[7]通過層次分析法（analytic hier-archy process，AHP）和專家評分法構建了一個安全性綜合評估模型，實現(xiàn)對開源組件安全性的量化評估。但這些方法對開源組件復雜的依賴關系、傳播機制和開源組件動態(tài)風險的關注不足，缺乏實時的調整機制，導致對網(wǎng)絡系統(tǒng)所面臨的開源風險評估不夠及時和準確。網(wǎng)絡安全風險評估是指運用科學方法對系統(tǒng)的安全狀況、脆弱性及潛在風險進行分析，全面評估系統(tǒng)內的安全威脅[8]。SEMERTZIS等[9]通過攻擊圖對系統(tǒng)的攻擊行為進行定量分析，對網(wǎng)絡威脅場景發(fā)生的可能性和攻擊行為組合的風險度進行建模。高翔等[10]結合Petri網(wǎng)與模糊推理對網(wǎng)絡系統(tǒng)風險定級。ZHAO等[11]結合層次分析法和灰色關聯(lián)分析方法對系統(tǒng)安全評估，提高安全評估的準確性和全面性。王增光等[12]提出了一種基于隱馬爾可夫模型（hiddenMarkovmodel，HMM）的評估框架，定義系統(tǒng)狀態(tài)、觀測值以及轉移概率，利用HMM進行狀態(tài)預測和風險評估。王晉東等[13」提出了基于靜態(tài)貝葉斯博弈的最佳防御策略選擇方法，分析不同攻擊者和防御者類型的博弈均衡情況，指導防御者選擇最優(yōu)策略。張勇等[14]建立了威脅、管理員和用戶行為三方參與的馬爾可夫博弈模型以實現(xiàn)網(wǎng)絡安全風險評估。雖然利用博弈模型和其他方法進行網(wǎng)絡系統(tǒng)風險評估已經(jīng)有所研究，但對于開源軟件供應鏈中的復雜依賴關系和潛在的威脅路徑，多數(shù)模型過于簡化，面對當前開源風險急劇上升的情況，無法有效解決由開源引發(fā)的安全風險問題。

為了解決上述問題，本文提出了基于攻防博弈的網(wǎng)絡系統(tǒng)動態(tài)風險評估模型。選取開源組件信息作為開源風險數(shù)據(jù)源，將攻擊者與網(wǎng)絡安全監(jiān)控方之間的沖突建模為一個風險博弈模型。該模型將全局博弈縮小為針對最大可能威脅路徑的局部博弈，并提供收益量化的判定方法，以評估和量化網(wǎng)絡系統(tǒng)的安全風險，從而為系統(tǒng)提供針對性的安全防護。

1網(wǎng)絡系統(tǒng)動態(tài)風險評估

在開源網(wǎng)絡安全環(huán)境中，網(wǎng)絡系統(tǒng)中的網(wǎng)絡監(jiān)控方和攻擊方之間呈現(xiàn)出一種持續(xù)的攻防博弈關系。為了有效評估和管理系統(tǒng)面臨的開源風險，本文提出基于攻防博弈的網(wǎng)絡系統(tǒng)動態(tài)風險評估模型，模型框架如圖1所示。首先利用知識圖譜擴展性強、關聯(lián)性強、具備推理能力等特點，將網(wǎng)絡拓撲結構信息、開源組件依賴信息以及開源組件漏洞信息進行處理后構建成為開源風險傳播知識圖譜，將開源風險傳播關系建模，并設置動態(tài)更新機制，隨時反映組件的狀態(tài)和對應的漏洞風險。其次，基于知識圖譜生成威脅路徑，并對路徑中的開源組件進行風險量化來識別最大可能威脅路徑。最后，深入分析攻防雙方圍繞最大可能威脅路徑進行持續(xù)博弈的行為，動態(tài)更新知識圖譜，依據(jù)博弈過程中攻防雙方策略的動態(tài)調整，構建風險博弈模型，并對攻防雙方效用進行量化式處理，以動態(tài)量化評估網(wǎng)絡系統(tǒng)的風險。網(wǎng)絡系統(tǒng)動態(tài)風險評估能夠幫助系統(tǒng)管理員評估和調整其安全防護措施，確保系統(tǒng)在面對被動引入的開源風險時依然能夠保持有效的安全防護。

1.1開源風險傳播知識圖譜的構建

知識圖譜是一種用于表示知識的圖形化結構，其中包含了實體及它們之間的關系，并通過描述實體之間的關系來表達知識[15]。知識圖譜的構建可根據(jù)知識獲取過程分為3類：信息抽取、知識融合和知識加工。其中，信息抽取主要有2種方法：自頂向下和自底向上。自頂向下方法是指從結構化或半結構化數(shù)據(jù)中提取實體和關系等信息，而自底向上的方法則是通過實體抽取、關系抽取和屬性抽取等技術，處理大規(guī)模的半結構化或非結構化數(shù)據(jù)，以篩選更高可信度的信息存儲于知識庫[16]。在本文中，構建開源風險傳播知識圖譜主要收集3類數(shù)據(jù)：探測得來的系統(tǒng)拓撲結構信息和開源組件信息，在開源社區(qū)收集得來的開源組件依賴信息，以及在NVD漏洞庫、開源漏洞庫等收集的開源組件漏洞信息。因為基本都是結構化和半結構化數(shù)據(jù)，所以本文利用自頂向下的方式構建知識圖譜，構建流程包括：數(shù)據(jù)采集、知識抽取、知識融合和圖譜構建，如圖2所示。

自頂向下構建知識圖譜首先需要提取實體，然后各個實體通過不同的關系建立聯(lián)系。本文將知識圖譜的基本組成單位定義為一個三元組：

KG=（E，R，S）

E 代表實體集合。選取實體時，既要防止引入過多實體導致圖譜過于復雜，又要注意不能過于簡單，體現(xiàn)不出網(wǎng)絡存在的開源風險。因此選取的實體用集合表示為 E={Host ，Component，Vulnerability}。其中：Host是系統(tǒng)中主機的標識;開源組件標記為Component;Vulnerability為開源組件存在的漏洞。

R 代表關系集合， R={r₁，r₂，…} ，實體之間的關系 r_i 可以由一個三元組（Start，End，Rel）來表示。在三元組中，Start代表起始實體，End代表目標實體，而Rel則表示它們之間的關系。例如，如果Host_A是起始實體，Host_B是目標實體，它們的連接關系為Connected，表明這2個設備在邏輯上相互連通，可以進行訪問。開源組件復雜的依賴關系會導致潛在的風險在層層傳遞時被放大，形成“開源風險傳播\"現(xiàn)象：設定Component_1為起始實體，Component_2為目標實體，通過連接關系“Effects\"來描述二者的風險傳播關系；Component_1為起始實體，Vulnerability_1為目標實體，連接關系為“Has_risk”，表示組件存在的漏洞風險。實體及其關系信息如圖3所示。

因此，知識圖譜的三元組集合可以表示為 S?E×R×E ，將實體和關系與知識圖譜的節(jié)點和邊形成映射，以Neo4j圖數(shù)據(jù)庫進行存儲，生成開源風險傳播知識圖譜KG。

1.2開源風險傳播威脅路徑風險評估

受開源生態(tài)的影響，攻擊者可以通過利用一個組件的漏洞，進一步利用依賴于該組件的其他組件中的漏洞。這種傳播效應會增加開源風險傳播威脅路徑，導致系統(tǒng)的整體威脅面顯著擴大。本文將開源風險傳播威脅路徑定義為從攻擊起點達到其目標之間的鏈條，包括攻擊者可能利用的開源組件、組件的漏洞。在開源風險傳播知識圖譜中已將系統(tǒng)的不同實體以及它們之間的關系表示成圖，為生成開源風險傳播威脅路徑，本文引入深度優(yōu)先搜索（DFS）算法[17遍歷知識圖譜獲取可能的威脅路徑，并對威脅路徑進行風險評估。具體步驟如算法1所示。

算法1

輸入：開源風險傳播知識圖譜KG，開源組件的風險值和傳播概率。

輸出：開源風險傳播威脅路徑TP和最大可能威脅路徑風險評估值。

1.BEGIN

2.步驟1 初始化

3. 設定開源風險傳播知識圖譜KG，包含節(jié)點Node和邊Edge

4. 確定開源風險傳播起點s

5. 定義目標風險R為開源組件存在漏洞

6. 初始化空集合P用于存儲所有有效的開源風險傳播威脅路徑TP

7. 初始化空集合VN用于記錄已訪問的節(jié)點

8. 初始化空列表CP用于記錄當前遍歷的路徑

9．步驟2定義遞歸函數(shù) DFS（Nodeu）：將節(jié)點u標記為“已訪問\"后加人VN中，并添加到CP中

10.步驟3檢查節(jié)點u是否包含目標風險R：如果包含，將CP中當前路徑記錄為有效的風險傳播路徑，并將其加人集合P

11.步驟4對節(jié)點u的每一個相鄰節(jié)點v進行遍歷，如果相鄰節(jié)點v未被訪問，遞歸調用DFS（Nodev）。完成相鄰節(jié)點的遍歷后，在VN和CP中移除除節(jié)點u的標記和路徑記錄

12.步驟5執(zhí)行DFS：從起始節(jié)點s調用DFS（s）函數(shù)，開始深度優(yōu)先搜索

13.步驟6輸出：返回集合P，其中包含了所有從起始節(jié)點s出發(fā)，經(jīng)過的有效開源風險傳播威脅路徑

14.步驟7獲取威脅路徑TP中的開源組件信息，利用式（2）—（4）計算其風險和傳播概率

15.步驟8利用式（5）計算威脅路徑的風險值，對風險值進行排序，可以獲得最大可能威脅路徑的風險值 max（Val（TP） ）

16.END

算法步驟1首先進行初始化操作；步驟2—6依據(jù)DFS識別從起始節(jié)點出發(fā)的所有有效的開源風險傳播威脅路徑；依據(jù)步驟7對開源組件風險量化;依據(jù)步驟8得到最大可能威脅路徑的風險值。

開源組件的自身風險為

式中： τσ_i（τσ_igt;0） 是基于歷史數(shù)據(jù)和專家評估分配給每個風險因子的權重，次要版本數(shù)量、許可證、收藏度、漏洞可利用性和漏洞影響力的權重分別為 0. 1、0. 2、0. 1、0. 3、0. 3;O_i 是每個風險因子的具體風險量化值，開源組件的自身風險評分在 0～1 之間。

其次，定義開源組件的傳播概率。因組件中的漏洞在開源生態(tài)中可能會通過依賴鏈逐級傳播，所以利用組件中所含漏洞的信息構建實數(shù)向量 Z_i ，并利用Softmax函數(shù)將實數(shù)向量 Z_i 轉換為一個概率分布[19]，表示開源組件的傳播概率 P ：

Z_i=f（C_i，S_i，D_i）/10，

式中： C_i 表示組件的漏洞數(shù)量； S_i 表示組件存在的漏洞最大可利用性得分； D_i 表示組件存在的漏洞最大影響力得分； f（C_i，S_i，D_i） 表示三者之和，漏洞可利用性得分與漏洞影響力得分分別根據(jù)表1中 O₄ 和 O₅ 計算方法得到，再進行得分排序獲得漏洞最大可利用性得分 S_i 和漏洞最大影響力得分 D_i 。

最后，將開源風險傳播威脅路徑的風險值用 ΔVal （TP）表示，可由路徑中所有組件的風險和傳播概率的乘積之和計算得到：

按照風險值大小排序得到最大可能威脅路徑風險值 max（Val（TP） ），從而幫助理解攻擊者如何在系統(tǒng)中進行攻擊，為后續(xù)的攻防博弈決策提供基礎數(shù)據(jù)。

開源風險傳播威脅路徑風險評估過程如下。

首先，對開源組件風險量化評估。開源組件風險受多方面的影響，又因開源組件的版本不同，其風險因子也會存在差異，為了保持評估的準確性，選取開源組件的風險因子為次要版本數(shù)量（MV）、許可證（L）、收藏度（C）、漏洞可利用性（ES）和漏洞影響力（Impact）[18]，具體風險因子計算方法如表1所示。

1.3 風險評估

在網(wǎng)絡系統(tǒng)中，攻擊者會尋找并利用開源組件中的漏洞并通過最大可能威脅路徑實施攻擊，而監(jiān)控方會實時監(jiān)控系統(tǒng)，檢測異常行為或攻擊跡象，迅速響應和修復?；诖?，設計本文場景為安全監(jiān)控方通過告警策略識別攻擊者最容易利用的開源組件，以優(yōu)化對最大威脅路徑的響應。告警策略包括：網(wǎng)絡監(jiān)控方，監(jiān)控開源組件，并整合網(wǎng)絡系統(tǒng)的拓撲結構信息、開源組件依賴信息以及漏洞信息構建開源風險傳播知識圖譜?；谥R圖譜獲取威脅路徑，并評估每條威脅路徑的潛在風險，確定最大可能威脅路徑，提出告警策略：更換組件或更新組件版本修復漏洞。而攻擊者發(fā)現(xiàn)監(jiān)控方要更換組件，會提高其行動效率，兩者之間形成攻防博弈。在博弈過程中，組件狀態(tài)和漏洞風險不斷變化，網(wǎng)絡監(jiān)控方對知識圖譜動態(tài)更新，進而獲得新的最大可能威脅路徑，攻擊方也會不斷地研究目標系統(tǒng)，適應新的最大可能威脅路徑實施攻擊。攻擊者和監(jiān)控方的決策都受對方行為的不確定性影響，且雙方所采取的措施將影響整個網(wǎng)絡系統(tǒng)的狀態(tài)轉移，促使參與者根據(jù)新的系統(tǒng)狀態(tài)調整各自策略，這一動態(tài)調整過程體現(xiàn)了隨機博弈的核心思想。因此，本文將隨機博弈的理論應用于網(wǎng)絡攻防行為的建模。

在攻防博弈中，參與者無論選擇何種策略，都會產生相應的成本和收益，將這兩者之間的差值稱為效用，并利用效用來量化網(wǎng)絡系統(tǒng)的風險值。

1.3.1 風險博弈模型的定義

基于風險博弈的網(wǎng)絡系統(tǒng)風險評估模型（network system risk assessment model-risk game，NSRAM-RG）包含博弈的參與者、目標網(wǎng)絡的風險狀態(tài)、博弈雙方的策略集合、時間變量、效用函數(shù)，即NSRAM-RG=（N，S，P（t），t，U） ，如圖4所示。

NSRAM-RG各元組的含義表示如下。

N ：參與博弈的雙方 N=（N_a，N_d），N_a 表示攻擊者， N_d 表示安全監(jiān)控方。

s ：目標網(wǎng)絡安全狀態(tài)構成的集合， S=（S₀，S₁，…，S_n），S_i 表示該網(wǎng)絡在 i （0?i?n ）時刻所處的安全狀態(tài)。

P（t） ：博弈雙方的策略空間 P（t）=（P_a（t），P_d（t）） ，定義攻方策略為選擇要實施的威脅路徑，包括決定利用的開源組件和組件的哪些具體漏洞。監(jiān)控方策略為發(fā)現(xiàn)潛在的威脅路徑和高危組件。

t：表示攻防博弈中的時間變量。 χ_t 隨著網(wǎng)絡系統(tǒng)的風險變化而在 [t₀，T] 內連續(xù)演化，實際網(wǎng)絡環(huán)境中的攻防對抗是一個實時且動態(tài)的過程，網(wǎng)絡安全狀態(tài)的變化、攻防雙方的策略選擇以及攻防收益函數(shù)都與時間t密切相關。

U ：表示博弈雙方的效用函數(shù)集合。 U=（U_a，U_d） 分別表示攻擊方的效用函數(shù)和監(jiān)控方的效用函數(shù)。

1.3.2 風險量化

網(wǎng)絡攻防雙方作為博弈的2個參與者，選擇不同的策略會影響各自的效用[20]。雙方的效用取決于各自選擇策略帶來的效益和成本，將其作為NSRAM-RG的輸入，進而對網(wǎng)絡系統(tǒng)的風險進行動態(tài)量化評估。攻防雙方的成本和效益的定義如下。

1）攻方成本。因為本文使用的網(wǎng)絡安全風險要素為開源組件的相關信息和組件的漏洞信息，所以定義攻方策略成本為開源組件的漏洞被利用的可能性，同時攻擊成本與開源組件的次要版本數(shù)量有關，次要版本數(shù)量越多，可選擇攻擊路徑越多，成本也就越低。因此攻擊成本 cost_a 函數(shù)定義為

式中 ES（v） 表示開源組件的漏洞被利用的可能性，量化信息見表 1：μ 表示開源組件的次要版本數(shù)量。

2）攻方收益。即攻擊方在發(fā)現(xiàn)安全監(jiān)控告警信號后，在組件更新前成功利用漏洞并沿著當前最大可能威脅路徑完成攻擊的總利益。本文認為攻擊收益與成功利用組件的概率以及利用后產生的最大威脅路徑風險和漏洞風險有關：

benefit_a=P×{max（Val（TP））+Impact（υ）}，

式中： max（Val（TP） 為最大威脅路徑風險； Impact（τ） 為攻擊者成功利用漏洞后產生的危害，量化信息見表1。

3）監(jiān)控收益。定義監(jiān)控收益為網(wǎng)絡安全監(jiān)控方通過告警策略實現(xiàn)的實際收益：

benefit_d=R_before-R_after，

式中： R_before 為開源組件更新前沿著當前最大威脅路徑實施攻擊系統(tǒng)面臨的風險； R_after 為開源組件更新后沿著新的最大威脅路徑實施攻擊系統(tǒng)面臨的風險。系統(tǒng)風險值與系統(tǒng)的響應時間、開源風險傳播最大威脅路徑的風險值、漏洞被利用后產生的危害有關，定義如下：

式中：t為監(jiān)控方連續(xù)2次對開源組件漏洞掃描的時間間隔； T 為系統(tǒng)響應時間，為從發(fā)現(xiàn)高危組件到更新組件所需的時間，即最大可能威脅路徑變換的時間； N 為組件的全部漏洞數(shù)量； n 為掃描開源組件檢測到的漏洞數(shù)量。

4）監(jiān)控成本。安全監(jiān)控方的成本與其告警策略的有效性密切相關，與掃描強度成正比，掃描強度越高，成本越高，并與更新組件的消耗密切相關。定義安全監(jiān)控方成本為

式中update表示安全監(jiān)控方更新組件時所消耗的成本，包括獲取、測試和部署新版本的開銷。

基于上述計算，可以得出博弈雙方的效用函數(shù)如式（11）、（12）所示。

根據(jù)博弈雙方的效益值，計算得到目標網(wǎng)絡系統(tǒng)的風險值 s 為

S=U_d-U_a

在網(wǎng)絡系統(tǒng)中，攻防雙方圍繞最大可能威脅路徑進行持續(xù)博弈。隨著安全監(jiān)控方對開源組件的不斷更新或更換，知識圖譜進行動態(tài)更新，從而不斷地獲取最大可能威脅路徑，迫使攻擊者調整其策略以適應新的安全環(huán)境。這種動態(tài)的策略調整使得雙方的效用函數(shù)不斷演變，將雙方的效用函數(shù)差值作為網(wǎng)絡系統(tǒng)的風險值，從而得到隨著環(huán)境變化而動態(tài)波動的網(wǎng)絡系統(tǒng)風險值。

2 實驗設計

2.1 實驗環(huán)境

本文搭建了一個小型的局域網(wǎng)作為應用開源組件的網(wǎng)絡系統(tǒng)以展開相關的實驗。系統(tǒng)拓撲結構如圖5所示，一共包含6臺設備，部分設備安裝開源組件，并記錄其版本信息。在本實驗中，攻擊者Attacker試圖攻擊位于組織內部網(wǎng)絡上的數(shù)據(jù)庫服務器。

本文研究的核心在于分析從Attacker到目標設備H6的最大可能威脅路徑，目標是識別出威脅路徑中最容易被攻擊者利用的漏洞和設備。使用Nmap 網(wǎng)絡掃描工具和OpenVAS漏洞掃描工具對圖5實驗網(wǎng)絡系統(tǒng)進行掃描，結果顯示，H2、H3、H5設備中存在開源風險，因此攻擊者會利用存在開源風險的設備 H2、H3、H5作為跳板對H6 實施攻擊。通過開源網(wǎng)站、開源社區(qū)、NVD漏洞庫等漏洞管理平臺查找、補充、完善存在開源風險設備中的開源組件信息與漏洞信息，如表2所示。本文研究了開源風險傳播對系統(tǒng)安全的影響，因此需依據(jù)開源組件的依賴關系，拓展組件傳播的情況，并收集所有開源組件相關信息、組件版本信息、組件中的漏洞信息等，如表3所示。利用表1信息計算得到漏洞可利用性和漏洞影響力，見表2和表3。

2.2 實驗分析

2.2.1威脅路徑生成與風險評估

依據(jù)圖5系統(tǒng)拓撲結構信息和表3拓展的開源組件風險傳播信息，將所有信息保存為CSV文件形式并導人到Neo4j圖數(shù)據(jù)庫中，使其映射為知識圖譜的節(jié)點和邊。生成的開源風險傳播知識圖譜KG（含系統(tǒng)拓撲結構和開源組件依賴關系）如圖6所示，程序運行環(huán)境為Windows10，Neo4j版本為社區(qū)版4.4.6。

將開源風險傳播知識圖譜KG依據(jù)算法1生成開源風險傳播威脅路徑TP如表4所示，計算所有開源組件風險Val（OSC）如表5所示。

開源組件版本不同其風險也不同，則最大可能威脅路徑的量化風險值 max（Val（TP） ）也不同。分析圖5所示網(wǎng)絡環(huán)境下系統(tǒng)的攻擊行為，得到不同時間節(jié)點的最大可能威脅路徑的風險值變化趨勢如圖7所示。

由圖7可知，在攻擊發(fā)生初期，攻擊者會首先利用風險最大的開源組件中的漏洞并沿著當前最大可能威脅路徑實施攻擊。根據(jù)表4和表5信息， TP₁ 為最大

0.608：4008：50 09：00 09：10 09：20 09：30 09：40攻擊時間節(jié)點

威脅路徑，系統(tǒng)管理員應更新威脅路徑中高危的開源組件。隨著組件更新，其風險也會隨著變化——對 cusy/plone-js組件更換后，其1.4.0版本風險減弱。攻擊者會尋找新的最大可能威脅路徑，此時 TP₁₃ 成為新的最大威脅路徑，管理員應繼續(xù)更新威脅路徑中高危組件。在組件不斷更新過程中，攻擊者會不斷地尋找最大可能威脅路徑實施攻擊，所以對最大威脅路徑進行風險評估能夠識別因更新組件給系統(tǒng)帶來的新威脅，為攻防博弈決策提供基礎數(shù)據(jù)。

2.2.2網(wǎng)絡系統(tǒng)風險動態(tài)量化評估

在圖5所示的網(wǎng)絡環(huán)境下進行攻防實驗，利用各區(qū)域中設置的IDS系統(tǒng)監(jiān)測和告警異常行為。根據(jù)本文所定義的攻防收益函數(shù)公式，計算NSRAM-RG模型中攻防雙方各自的收益，可得到各采樣時刻處于均衡狀態(tài)的攻防雙方收益，以此構成該時間段內的雙方收益函數(shù)值，如圖8所示。

基于知識圖譜有效分析了系統(tǒng)中復雜的組件依賴關系及其動態(tài)變化，結合攻防博弈方法構建博弈模型。攻防雙方圍繞最大可能威脅路徑展開博弈，從而使得網(wǎng)絡系統(tǒng)的風險值隨之變化。在圖5所示的網(wǎng)絡環(huán)境中，通過量化博弈雙方的效用函數(shù)，計算出應用本文方法后的網(wǎng)絡系統(tǒng)風險值。隨后，采用本文方法、HMM方法和AHP方法進行對比實驗，計算出各自的網(wǎng)絡風險值，并將其繪制成動態(tài)風險變化曲線，如圖9所示。

由圖9可知，使用本文方法評估出的風險值與其他方法評估后的結果基本一致，但是由于本文方法頻繁檢測高危開源組件，不斷獲取最大可能威脅路徑，因而在檢測過程中會發(fā)現(xiàn)更多的潛在風險，導致網(wǎng)絡系統(tǒng)的評估風險值較高。實驗證明，本文方法在聚焦開源風險傳播的同時，能夠準確反映系統(tǒng)的風險變化。

為驗證評估結果的可靠性，將評估結果與實際網(wǎng)絡安全風險進行比較，并計算3種評估方法的均方根誤差（RMSE）

和平均絕對誤差（MAE）。RMSE值越高，表示評估結果與實際情況的偏差越大，評估的可靠性越低；而MAE值則反映了評估結果與實際值之間的平均絕對誤差，有助于進一步提升評估結果的可靠性。

式中： S_i^′ 為真實值； S_i 為預測值。

3種評估方法評估精度結果如表6所示。由表可知，本文方法在MAE評估指標上優(yōu)于HMM和AHP方法，主要原因在于本文方法更適合處理復雜的開源組件依賴關系，對開源組件風險數(shù)據(jù)的適應能力較強，能夠有效應對該類數(shù)據(jù)的特殊性和復雜性。本文方法在RMSE的表現(xiàn)居中，這是由于其對數(shù)據(jù)波動的敏感性較低。綜合而言，本文方法評估穩(wěn)定性更高，且評估結果與真實數(shù)據(jù)的擬合程度也更高，證明了該評估方法的可靠性。

3結語

在大數(shù)據(jù)發(fā)展的背景下，建構了系統(tǒng)化的安全風險評估模型以提高網(wǎng)絡系統(tǒng)運行的安全性。從開源軟件供應鏈安全角度出發(fā)，構建開源風險傳播知識圖譜，運用深度優(yōu)先搜索算法生成開源風險傳播威脅路徑，并對其進行風險評估，然后基于風險博弈模型實現(xiàn)對網(wǎng)絡系統(tǒng)的動態(tài)風險量化評估，使安全監(jiān)控方在考慮開源風險的前提下，根據(jù)威脅評估結果及時調整安全策略。該方法計算得到的風險變化曲線能夠準確地評估網(wǎng)絡系統(tǒng)的風險變化情況，可為及時做出安全響應提供參考依據(jù)。未來擬進一步優(yōu)化本文方法的誤差控制機制，特別是在處理高波動性數(shù)據(jù)時，以提高整體預測精度，并將其應用于開源軟件應用系統(tǒng)的大型網(wǎng)絡中，進一步優(yōu)化評估模型。

參考文獻/References：

[1]徐慧瓊.有關大數(shù)據(jù)時代背景下網(wǎng)絡安全風險評估關鍵技術研究[J].網(wǎng)絡安全技術與應用，2017（7）：72.

[2]高愷，何昊，謝冰，等.開源軟件供應鏈研究綜述[J].軟件學報，2024，35（2）：581-603.GAO Kai，HEHao，XIEBingetal.Survey onopensourcesoftwaresuplychainsJ].JournalofSoftware，2024，35（2）：581-603.

[3]梁冠宇，武延軍，吳敬征，等.面向操作系統(tǒng)可靠性保障的開源軟件供應鏈[J].軟件學報，2020，31（10）：3056-3073.LIANGGuanu，WUYanjun，WUJingzheng，etal.OpensourcesoftwaresupplychainforreliabilityassuranceofoperatingsystemsJ].Journal of Software，2020，31（10）：3056-3073.

[4]TENGJinhui，GUANGYan，SHUHui，etal.Automaticdetectionmethodofsoftwareugradevulnerabitbasedonnetworktraficanal-ysis[J]. Chinese Journal of Network and Information Security，2O2o，6（1） ：94-108.

[5]SINGI K，BOSERPJC，PODDERS，etal.Trusted softwaresupplychainC/201934th IEEE/ACMInternationalConferenceonAutomated Software Engineering（ASE）.San Diego：IEEE，2019：1212-1213.

[6]MADAEHOHA，SENIVONGSET.Anopen-source softwarequaltymodelforautomatedquality measurement[C]//022 InterationalConference on Data and Software Engineering（ICoDSE）.Denpasar：IEEE，2O22：126-131.

[7]王朝暉，殷哲，劉娟.軟件供應鏈開源組件安全風險評估[J].電子技術與軟件工程，2022（22）：80-84.

[8]王賽娥，劉彩霞，俞定玖，等.網(wǎng)絡安全風險評估模型研究綜述[J].無線電通信技術，2020，46（4）：377-384.WANG Saie，IUCaixia，YUDingjiu，etal.OverviewofnetworksecurityriskasessmentmodelJ].RadioCommunications Techolog，2020，46（4）：377-384.

[9]SEMERTZIS1，RAJKUMAR VS，STEFANOVA，et al.Quantiative rsk asessment of cyber attcks oncyberphysical systems usingatack graphsC/20210thWorkshoponModelingandSimulationofCyber-PhsicalEnergySystems（MSCPES）.Milan;EEE，2：1-6.

[10]高翔，祝躍飛，劉勝利，等.基于模糊 Petri網(wǎng)的網(wǎng)絡風險評估模型[J].通信學報，2013，34（sup1）：126-132.GAOXiang，ZHUYuefeiUSengietalRiskassessmentmodelbasedonfuzzPetretsJJournalonCommunicatios1，34（supl）：126-132.

[11]ZHOXion，XUHaoWANGTingetal.ResearhonultidimensalstesecuitsessmentasedoAHandgraion[C]//Chinese Conference on Trusted Computing and Information Security.Singapore：Springer，202o：177-192.

[12]王增光，盧昱，趙東昊．基于隱馬爾科夫模型的網(wǎng)絡安全風險評估方法[J].空軍工程大學學報（自然科學版），2019，20（3）：71-76.WANG Zengguang，LU Yu，ZHAO Donghao.Network securityrisk assssment method basedon hidden Markov modelJ].JournalofAirForce EngineeringUniversity（（Natural Science Edition），2Ol9，2O（3）：71-76.

[13]王晉東，余定坤，張恒巍，等.靜態(tài)貝葉斯博弈主動防御策略選取方法[J].西安電子科技大學學報，2016，43（1）：144-150.WANG Jidong，YUDingkunZHANG Hengwei，etal.ActivedefensestrategyseletionbasedonthestaticBayesiangameJ].JoualfXidian University，2016，43（1）：144-150.

[14]張勇，譚小彬，崔孝林，等.基于 Markov博弈模型的網(wǎng)絡安全態(tài)勢感知方法[J].軟件學報，2011，22（3）：495-508.ZHANGYongobinCUioin，etaltworkscurityituatiawarenessaproachasedonarkogamemodelJoualof Software，2011，22（3）：495-508.

[15]GAOZepu，LOUYongjianXUZiweietalKnowledgegabsedmetodforidentifigtopologicalstructureofowvoagition network[J].The Journal of Engineering，2020（12）：1177-1184.

[16］王一凡，孫治，和達，等.基于知識圖譜的網(wǎng)絡系統(tǒng)安全風險評估方法[J].計算機應用與軟件，2023，40（11）：312-320.WANG Yifan，SUNZhi，HEDa，etal.Network systemsecurityasessment methodbasedonknowedge graphJ].ComputerAplicationsand Software，2023，40（11）：312-320.

[17]王勇睿.深度優(yōu)先搜索算法的應用研究[J].網(wǎng)絡安全和信息化，2022（11）：95-97.

[18］葉子維，郭淵博，琚安康.動靜態(tài)特征結合的漏洞風險評估及緩解方法[J].計算機應用研究，2020，37（4）：1161-1165.YEZiwei，GUOYuanbo，JUAnkang.Vulnerabilityriskasessmentandmitigation methodcombiningdynamicandstaticfeatures[J].Application Research of Computers，2020，37（4）：1161-1165.

[19]LUJiachn，YOJinghua，ZHANGJungeetal.SOFT：Softmax-fre transfomerwithlinearcomplexityDB/OL].（22-04-32024-10-18].https：//arxiv.org/abs/21lo.11945.

[20]張紅斌，尹彥，趙冬梅，等.基于威脅情報的網(wǎng)絡安全態(tài)勢感知模型[J].通信學報，2021，42（6）：182-194.ZHANGHongbinanZHngmei，etaltworkcurityitatalwarenessodeledoeatitellgnceJoualonCommunications，2021，42（6）：182-194.