CN110472419A - 一种基于损失效应的网络安全风险评估方法 - Google Patents

Abstract

本发明公开了一种基于损失效应的网络安全风险评估方法，该方法对信息系统进行资产识别，计算每个资产节点的服务价值；获得资产节点之间的关联性度量，包括由于资产之间的信任关系产生的关联度和由于资产自身的脆弱性引起的关联度；对效用函数取得反函数得到损失函数，利用损失函数和节点发生损失的概率构建损失不满意度计算公式；基于重要资产生成资产关联图，该资产关联图的路径代价与资产关联度、资产损失价值和损失不满意度有关；在资产关联图中找到从攻击者到重要资产节点的最小代价风险路径；将最小代价风险路径的损失不满意度之和作为网络安全风险评估结果。本发明降低了图模型的空间复杂度，从而降低了评估计算量。

Description

一种基于损失效应的网络安全风险评估方法

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于损失效应的网络安全风险评估方法。

背景技术

网络安全度量问题是通过构建一个风险度量的方法，来计算当前信息系统中的安全状况。因此找到一个效率高，且对网络安全描述准确的方法近年来已经成为网络安全领域研究的热点之一。

定性的度量评估方法操作相对比较简洁，但是要求评估人员对专业知识了解程度较高，而且主观意识较强，不确定性较高。评估结果主观性较强，评估的时间也比较长。层次分析法(AHP)是一种定量评估方法在明确了多目标，各决策因素之间相对决策目标的总体优劣情况，将带决策的因素按照决策标准的优劣状况进行两两比较，可以得出总体优劣情况为评估目标在指标的相对权重上做出准确的判断。该方法采用指标来对网络系统进行更客观的评价，得出的数据更加客观准确，但是由于对指标的选取以及指标的标度等一些细节上的问题的存在，可能使得最终的结果简单化。同时也存在对于一些问题的评价的粒度较大等问题。基于模型的评估方法使用相关工具获得网络的拓扑图，以点和线表示出来。其中攻击图模型作为网络空间安全中最热门也是效率比较高的一种模型。攻击图最早是由swiler等人体提出来，以节点和边对应攻击状态和攻击者的攻击动作，通过计算攻击成功概率来获得攻击过程中的关键节点，最后找出整个局域网中薄弱的节点。但是该方法的模型生成难度大、计算量大。对于具有一定规模的复杂网络来说，其运算量是难以估计的。而且考虑的方面较为片面，只从攻击者的角度来看待问题。防御者本身的工作没有考虑进去，较为片面。

发明内容

有鉴于此，本发明提供了一种基于损失效应的网络安全风险评估方法，采用资产关联图作为寻找风险路径的基础，该资产关联图剔除可与重要资产节点间无关联的冗余边，降低了图模型的空间复杂度，从而降低本方案的计算量；而且风险评估基于资产节点之间的关联性考量，其中包含防御者本身的脆弱性，因此得到的风险评估结果更为全面、准确。

为了解决上述技术问题，本发明是这样实现的：

一种基于损失效应的网络安全风险评估方法，包括：

步骤一、对信息系统进行资产识别，同一设备上承载的每个服务作为一个资产节点，计算每个资产节点的服务价值v_i及信息系统的总服务价值Val；

步骤二、获得资产节点之间的关联性度量，包括由于资产之间的信任关系产生的关联度W_ij和由于资产i自身的脆弱性引起的关联度L_i；所述关联度W_ij是指两个具有调用关系的资产节点之间，调用者i对被调用资源节点j访问的权限等级对应的考量值；所述关联度L_i是指资源节点i自身漏洞对应的风险值，即节点发生损失的概率；

步骤三、对效用函数取得反函数得到损失函数其中，x_i为资产节点i的服务价值v_i占总服务价值Val的比例，m为设定的常数值；计算资产节点i的损失不满意度U_i＝μ(x_i)L_i；

步骤四、基于重要资产生成资产关联图：从信息系统的资产节点中筛选出重要资产节点，绘制包含信息系统所有资产节点的资产关联图；其中，重要资产节点之间以及重要资产节点和非重要资产节点之间的边，根据资产之间的信任关系绘制成实线；对于与重要资产节点无信任关系的孤立节点，将该孤立节点与和重要资产节点有信任关系的非重要资产节点以虚线相连，表示可能采用渗透的方式攻击重要资产节点；

步骤五、在资产关联图中找到从攻击者到重要资产节点的最小代价风险路径；其中，路径的代价是指路径所有边的代价之和；资产节点i、j之间的代价即为资产节点i、j之间的路径长度：对于实线边，其代价与资产节点i、j之间的关联度W_ij、资产节点i的资产损失价值μ(x_j)以及资产节点j的损失不满意度U_j相关；对于虚线边，其代价仅与资产节点j的损失不满意度U_j相关；

步骤六、将最小代价风险路径的损失不满意度之和作为网络安全风险评估结果。

优选地，所述步骤一所述资产节点的服务价值v_i为：资产节点保密性、可用性、完整性、业务重要性四种属性的加权和。

优选地，步骤四所述从信息系统的资产节点中筛选出重要资产节点为：计算系统中每个节点的节点防护强度，并排序；根据设定比例，选取节点防护强度在前的部分节点，作为重要资产节点。

优选地，步骤四所述在资产关联图中找到最小代价风险路径采用蚁群算法实现。

优选地，采用蚁群算法寻找最小代价风险路径时，基于节点防护强度构建局部信息素更新规则为：

τ_ij(t+T)＝(1-ρ-R_i)τ_ij(t)+ρΔτ_ij(t)

其中，R_i为资产节点i的防护强度，ρ为信息素的挥发因子，τ_ij(t)为第t次迭代路径ij的信息素浓度，Δτ_ij(t)为第t次迭代路径ij上的信息素增量，T为经过的迭代次数。

优选地，所述节点防护强度的获取方式为：

给定节点的物理层面指标、网络层面指标、管理层面指标；针对每一类指标，分别计算节点满足指标的数量占类指标总数量的比例，分别记为q、w和e；对三类指标进行加权计算获得节点防护强度。

优选地，网络层面指标的加权权值大于物理层面指标和管理层面指标的权值。

优选地，物理层面指标包括物理访问控制指标、防盗窃和防破坏指标、电力防护指标和火灾与水灾的防护指标；

网络层面指标包括身份鉴别指标、访问控制指标、入侵防范指标、恶意代码防范指标和资源控制指标；

管理层面指标包括管理制度指标和人员岗位指标。

优选地，资产关联图中实线边和虚线边的代价确定方式为：

给定A、B为资产关联图上某一条边的两端点，则A、B两点基于信任关系的距离为d₁：

其中，W_AB为A、B之间由于信任关系产生的关联度，μ(x_A)为A的资产损失价值；

AB两点基于漏洞渗透关系的距离为d₂：

其中，U_B为B的损失不满意度；

A、B两点若以实线相连，则实线边距离为：2×d₁+d₂；

A、B两点若以虚线相连，则虚线边距离为：d₂。

优选地，m＝0.75。

有益效果：

(1)采用资产关联图作为寻找风险路径的基础，该资产关联图剔除可与重要资产节点间无关联的冗余边，所生成的节点数更少，资产之间的关联边的数量更少，因此降低了图模型的空间复杂度，从而降低本方案的计算量。而且单纯计算每个节点的风险概率之上又给出了风险路径，从整体上给出了网络系统的安全值。

(2)本发明对效用函数进行取反操作，来描述发生损失后的不满意度，以此改进了计算期望损失的不足的问题。

(3)本发明在利用蚁群算法求取最优路径时，对局部信息素更新规则进行优化，加入了资产节点的防护强度，防护强度越强，清理遗留信息的能力越强，则遗留的信息素就越少，从而将信息素的衰减与防护强度紧密联系起来，使得获得的最优路径更加准确。

附图说明

图1为本发明流程图。

图2为本发明一实例的网络拓扑图。

图3为本发明一实例的资产关联图。

图4为本发明一实例的路径矩阵。

具体实施方式

下面结合附图并举实施例，对本发明进行详细描述。

本发明提供了一种基于损失效应的网络安全风险评估方法，该方法以资产关联图作为寻找风险路径的基础，该资产关联图剔除了与重要资产节点间无关联的冗余边，降低了图模型的空间复杂度，从而降低本方案的计算量；而且风险评估基于资产节点之间的关联性考量，其中包含资产之间的信任关系以及防御者本身的脆弱性，因此得到的风险评估结果更为全面、准确。

如图1所示，该基于损失效应的网络安全风险评估方法包括如下步骤：

步骤一、资产识别。

本步骤包括如下子步骤：

步骤11、对信息系统进行资产识别，同一设备上承载的每个服务作为一个资产节点。

本发明所谓资产是指主机上一种服务。因此，一个物理资产，根据其提供的服务个数，视为多个节点。例如，一台数据服务器存在着Linux系统与数据库的服务，则被视作两个节点。

步骤12、计算每个资产节点的服务价值v_i。其中，i表示第i个资产节点。

节点价值从保密性、可用性、完整性和业务重要性四方面考虑。四个属性通过相对应的评分表由人工给出评分，例如保密性PC＝0.125，可用性PA＝0.375，完整性PI＝0.1875，业务重要性PB＝0.25。之后根据以上四种属性对于最终价值影响比例并考虑归一化，采用加权的方式获得总和。

其中，本优选实施例所采用的属性权重向量为w＝(0.13，0.2，0.4，0.27)。该权重可以通过Pawlak属性决策重要度方法获得。

步骤13、计算信息系统的总服务价值Val。

总服务价值Val为系统中所有资源节点的价值v_i之和。

步骤二、获得资产节点之间的关联性度量。

资产节点的关联性采用两个方面的参数来度量：

关联性度量参数之一：由于资产之间的信任关系产生的关联。信任关系在这里是指两个资产之间的调用关系，例如A对B的访问。由于这种调用关系的存在，使得攻击者在使用当前资产的漏洞信息攻击并获取一个资产的操控权限之后，就可以根据资产之间的信任关系得到与该节点相关联的资产信息，这种获取关联性节点成功的概率与节点之间的关联性强弱有关。

本发明采用关联度W表达信任关系，调用者为i，被调用资源为j，则W_ij为资源节点i对被调用资源节点j访问的权限等级对应的考量值。

下表1是节点权限等级对应的考量值。例如对于系统管理员Admin来说，其权限等级最高，因此权限等级考量值为1。权限等级考量值可以人为设定，权限越高，考量值越大。

表1节点之间信任关系表

关联性度量参数之二：是由于资产自身的脆弱性引起的关联。这种关联采用关联度L_i表达，其是指资源节点i自身漏洞对应的风险值，即节点发生损失的概率。该度量参数的计算方式为：

采用漏洞扫描软件Nessus对整个系统中的所有节点进行扫描，得到每一个节点的n个漏洞，参考CVE漏洞库评分对n个漏洞进行评分量化，并求和并归一化，得到节点自身漏洞对应风险值计算公式1所示：

其中，score为对漏洞的评分，10为用于归一化的参数。

步骤三、计算每个资产节点i的损失不满意度U_i。

本发明引入了经济学概念效用函数，来分析计算资产价值与发生风险的损失效应，对资产发生风险的后的损失使用不满意度来描述与量化。具体来说是对效用函数进行取反操作，来描述发生损失后的不满意度，以此改进了计算期望损失的不足的问题。

对效用函数取得反函数得到损失函数(2)为：

其中，x_i为资产节点i的服务价值v_i占总服务价值Val的比例，m为设定的常数值m>0且m为常数，通过试验证明m＝0.75效果较好。

使用节点的发生损失的不满意度代替节点的期望损失，计算资产节点i的损失不满意度：

U_i＝μ(x_i)L_i (3)

步骤四、基于重要资产生成资产关联图。

本步骤从信息系统的资产节点中筛选出重要资产，绘制包含信息系统所有资产节点的资产关联图。该图中虽然包括所有节点，但是绘制边时，首先只考虑与重要资源节点有信任关系即直接调用关系的节点，即对于重要资产节点之间以及重要资产节点和非重要资产节点之间的边，根据资产之间的信任关系绘制成实线，没有信任关系则无实线边的绘制；那么就有可能出现孤立节点，这些节点与重要资产节点无信任关系即无直接调用关系，但是有可能通过其他节点采用渗透的方式攻击重要资产节点，则本发明进一步分析与孤立节点有调用关系的非重要资产节点，如果该非重要资产节点与重要资产节点有调用关系，则将孤立节点与非重要资产节点以虚线相连，表示可能采用渗透的方式攻击重要资产节点。

本步骤具体包括如下步骤：

(1).寻找到当前网络中的重要资产节点。

计算当前系统的每一个节点自身的防护强度。将节点的防护强度取值在前20％的节点，加入到关键集合中去，作为重要资产节点，建立重要资产节点的集合。

其中，节点i的防护强度R_i的计算方式为：

给定节点的物理层面指标、网络层面指标、管理层面指标；针对每一类指标，分别计算节点满足指标的数量占类指标总数量的比例，分别记为q、w和e；对三类指标进行加权计算获得节点防护强度。

下面给出了三种指标的示例。

·物理层面指标

(1).物理访问控制：a)机房出入口是否有专人控制出入；b)来访人员进入机房是否经过登记。

(2).防盗窃和防破坏：a.关键设备是否在机房内b.机房主要部件是否上锁以及固定措施c.系统内设备是否有明显的不易去除标记d.系统内物理设备是否进行等级与编号并有专人管理。

(3).电力防护：a.机房内部是否存在防雷击设备，并通过相关验收；b.机房所在建筑物是否有设置避雷装置说明书；c.机房内部是否具有电压防护设备，且功能完整。

(4).火灾与水灾的防护：a.机房是否存在灭火设备，并可用b.机房关联的墙壁是否具有防水设施c.当前机房是否存在漏水等现象。

通过对以上指标的描述，信息系统资产物理层面的防护强度为：

其中，q为当前节点的物理防护强度，n1为以上满足指标条数，Q物理层为总指标数。

·网络层面指标

(1)身份鉴别：a.关键服务器操作和数据库管理系统是否提供身份鉴别措施。

(2)访问控制：a.当前负服务器是否随重要文件进行访问权限设置b.当前服务器是否对匿名访问进行限制；c.关键服务器是否对过期账号进行删除；d.服务器是否按照安全策略对使用者进行一定程度的限制。

(3)入侵防范：a.系统内安装的系统组建是否都是必须；b.服务器上的补丁是否及时更新。

(4)恶意代码防范：a.关键服务器是否安装了查杀恶意代码软件。

(5)资源控制：a.是否对网路设备进行了一定程度的备份；b.是否具有发生风险之后的灾后恢复功能。

通过对以上指标的描述，信息系统资产网络的防护强度为：

其中，w为当前节点的网络防护强度，n2为以上满足指标条数。W为网络层总指标数。

·管理层面指标

(1).管理制度：a.各项管理制度是否对整个系统进行全覆盖。

(2).人员岗位：a.是否针对信息系统设立了不同岗位，分工是否明确；b.相关的管理制度是否传达到相应的人员；c.各个岗位是否配备一定数量的人员；d.信息系统的主要服务是否获得一定的审批。

通过对以上指标的描述，信息系统管理层面的防护强度为：

其中，e为当前节点的管理层防护强度，n3为以上满足指标条数。E为管理层总指标数。

结合上述定义得出节点最终的防护强度R为：

R＝(q+2*w+e)*5

其中，q表示物理层防护强度，w表示网络层防护强度，e表示管理层防护强度。网络层面指标的加权权值(＝2)大于物理层面指标和管理层面指标的权值(＝1)，因为网络层指标更重要，网络行为对于安全的影响更大，因此赋予更高的权重。公式中的数字5为归一化参数。

(2).分析重要资产间的联系，检查重要节点之间是否存在着调用关系，即首先得到这些重要资产的关联关系，绘制资产关联图的核心部分。需要注意本步骤(2)分析的都是重要节点，而节点之间的边根据其调用方向绘制为有向边。

(3).加入攻击者：搜索网络信息拓扑图，寻找攻击者入侵的起点，并检查该节点是否在步骤(2)确定的关联图中，若不存在，则将该节点加入到关联图中。以图中节点编号的顺序正向搜索节点的出度边和入度节点，指若该边和节点不存在，则将出度边和入度节点加入到资产关联图中。逆向搜索，以该节点为入度节点的边，以及该边的出度节点间加入到图中，若已经存在则继续搜索。直到算法运行结束。此时，形成包含攻击者节点与重要资产节点联通子图。

(4).将所有不在上述联通子图中的节点，与攻击者节点和与重要资产节点的直接关联节点用虚线相连，作为一条以攻击者通过脆弱性攻击的路径。

(5).步骤(1)到(4)中围绕着重要节点将节点间的信任关系以实线有向边表示出来，步骤(5)中主要将其他无关的孤立节点以基于漏洞的渗透方法与步骤(1)到(4)中建立的图关联起来，其关系用虚线有向边表示。将拓扑图图上其他节点加入到关联图中，使攻击节点与该节点以虚线连接，并将该节点依次连接到与关键节点相关联的节点之上。完成资产关联图的绘制。

步骤五、在资产关联图中找到从攻击者到重要资产的最小代价风险路径。

其中，路径的代价是指路径所有边的代价之和。

本发明中，路径的代价是这样定义的。资产节点i、j之间的代价即为资产节点i、j之间的路径长度。对于实线边，其代价与资产节点i、j之间的关联度W_ij、资产节点i的资产损失价值μ(x_j)以及资产节点j的损失不满意度U_j相关；对于虚线边，其代价仅与资产节点j的损失不满意度U_j相关。具体来说：

给定A、B为资产关联图上某一条边的两端点，则A、B两点基于信任关系的距离d₁：

其中W_AB是上文步骤二中提到的从信任关系表提取的访问权限等级对应的考量值，μ(x_A)代表着节点A的资产损失价值。

AB两点基于漏洞渗透关系的距离d₂：

其中，U_B为节点B的损失不满意度。

则AB两点若以实线相连则实线边距离为：

2×d₁+d₂

其中，数字2是为了突出实线边比重的权值。

若AB两点以虚线边相连则虚线边的距离：

d_AB＝d₂

本发明采用蚁群算法在资产关联图中查找最小代价风险路径，具体过程如下：

(1).初始化参数，使用节点间距离公式计算节点之间的距离，将重要资产关联图节点之间的边长转化为节点之间的距离矩阵。启动蚁群在图中运动，对每一只蚂蚁按照一定的概率选择通往下一个资产节点的路径。

(2).经过一段时间，一只蚂蚁到达了目标资产节点，按照局部更新规则对重要资产关联图上的边上信息素浓度进行更新，若此蚂蚁的行走路径长度小于当前最小代价风险路径长度更新代价风险路径节点，与信息系统的网络安全综合的评价量化值。

(3).当所有蚂蚁运动结束后，按照全局更新规则，更新当前代价最小风险路径上的信息素浓度。进入(2)中进行下一次迭代。

(4).算法达到结束条件，终止整个算法，输出最小代价风险路径与信息系统的风险值。

对发明对传统的蚁群算法了如下两方面的改进：

其一是：加入了蚂蚁的方向性，即每只蚂蚁的贪心规则。每只蚂蚁在每一次的路口选择时，总是较大概率的选择节点损失不满意度较大的那一个。设q₀为蚂蚁选择信息素浓度较大路径的概率，每只蚂蚁以1-q₀的概率选择非代价最小的节点集中的CIA一个节点，在这些节点中采用轮盘赌的方式进行选择。这样使得算法在二次选择时蚂蚁失去了方向性，事实上攻击者在做其他路径选择尝试时，也是为了将攻击受益扩大到最大。因此为了提高当前算法的运行速度，结合每只蚂蚁为一个原子攻击的映射，按照禁忌集合中节点发生风险的不满意度大小进行选择概率的加权，总是优先选择节点不满意度大的进行下一步的行动。如公式4所示。

其中，p_i为当前蚂蚁选择除信息素浓度最大节点之外其他节点的概率，K为系统中所有的节点数目。

(2).考虑到每个节点防护强度问题，即将蚂蚁在图上行走模拟为一个原子攻击的过程，那么遗留的信息素则可以对应为再一次攻击后，攻击者所留下的后门信息。因此，节点的存在着杀毒软件，防火墙等设备，一定程度上会对这中“信息素”进行清除。所以在信息素衰减不仅仅与蚂蚁是否走过当前节点的路径长度相关，更与防护强度密切相关。当节点的防护强度较高时，其相对应清楚信息素的能力就相对应的加强。即局部信息素更新规则与节点本身防护强度相关联。因此定义每条边上的信息素衰减系数为R_i，其中R_i为当前节点i的防护强度。则将局部信息素更新规则变为公式5所示。

τ_ij(t+T)＝(1-ρ-R_i)τ_ij(t)+ρΔτ_ij(t) (5)

其中，τ_ij(t)是第t次迭代边ij上遗留的信息素浓度。ρ为信息素的挥发因子，t为第t次迭代，Δτ_ij(t)为第t次迭代路径ij上的信息素增量，T为经过的迭代次数。

步骤六、将最小代价风险路径的损失不满意度U_i之和作为网络安全风险评估结果。

下面举一个实例

搭建如图2所示的网络进行实验。

网络的拓扑结构中包括6个主机节点，以及2台路由器。其中H0为攻击者节点，是整个图的初始节点，位于外网。防火墙1和防火墙2均为硬件防火墙，上面配有相应的防护措施防火墙1与外网连接，是整个系统的第一道屏障。路由器1是整个系统负责个人PC为用户计算机，其中Web服务器为整个系统提供HTTP的网络服务，FTP服务器负责整个系统内部资源的传输，防火墙2将上下两个内部网络分割开来，在下部存在着文件服务器负责中央存储和数据文件管理，数据库服务器为中央存储和数据文件管理负责。

各个节点的主要功能以及上面安装的软件服务如表2所示。

表2各节点功能安装服务表

针对上述节点进行资产的识别，获得每个节点的资产信息为表3所示:

表3资产识别表

因为节点之间存在的关联性与服务层面，因此当一个节点搭载的资产信息超过一个的话在建立资产关联图时，就将该节点的根据其搭载的服务的多少，就将其看作相应的节点数量。资产搭载的服务如表4所示:

表4资产搭载的服务表

对当前节点的资产进行赋值如表5所示，并进行加权求得资产的综合评分为表5所示

表5资产赋值表

采用资产的防护强度的计算方法对每一个节点进行防护强度的度量其结果如表6所示。

表6资产防护强度赋值表

【实验数据收集与处理】

使用漏洞扫描工具Nessus对当前所有节点进行扫描，获得网络中节点的脆弱性信息，得到每个脆弱性的维度指标使用CVE数据库网站上的漏洞评分计算每个漏洞的评分如表7所示。0->1表示0节点调用1节点。

表7资产之间信任关系表

根据节点的漏洞评分节点自身脆弱性，以及节点之间的关联关系，其中未扫描出脆弱性的节点不包括进图中。

基于重要资产的资产关联图生成算法生成基于重要节点的资产关联图为图4所示。其中节点5和9为重要节点，边上的数值代表两个节点之间的路径长度。根据前文定义的两节点之间的信任关系，以及节点自身脆弱性指标进行计算，并将该拓扑图转化为一条路径矩阵其矩阵如图4所示。其中每一个数字代表着由行序号指向列序号的一条有向边，数值为两个节点之间边的长度。

将此矩阵作为蚁群算法的输入矩阵，根据前人经验所给出的蚁群算法的经验选取实验参数进行实验其中,β＝1.5,α＝2.5，蚂蚁数量取值为5，Q＝100。其中5，9节点为重要风险节点，将其设为最终目标进行实验。

进行实验后以重要资产编号为5的节点最终风险路径如表8所示。

表8 5号节点实验结果表

以资产编号为9的节点进行实验所得最终风险路径如表9所示。

表9 9号节点实验结果表

从上述结果可以看出采用了基于损失效应与防护强度的网络安全度量方法来度量网络安全情况时，可以较为准确的给出整个网络中到达关键节点以及关键的路径，更为精确与直观。

综上所述，以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种基于损失效应的网络安全风险评估方法，其特征在于，包括：

步骤一、对信息系统进行资产识别，同一设备上承载的每个服务作为一个资产节点，计算每个资产节点的服务价值v_i及信息系统的总服务价值Val；

步骤二、获得资产节点之间的关联性度量，包括由于资产之间的信任关系产生的关联度W_ij和由于资产i自身的脆弱性引起的关联度L_i；所述关联度W_ij是指两个具有调用关系的资产节点之间，调用者i对被调用资源节点j访问的权限等级对应的考量值；所述关联度L_i是指资源节点i自身漏洞对应的风险值，即节点发生损失的概率；

步骤三、对效用函数取得反函数得到损失函数其中，x_i为资产节点i的服务价值v_i占总服务价值Val的比例，m为设定的常数值；计算资产节点i的损失不满意度U_i＝μ(x_i)L_i；

步骤四、基于重要资产生成资产关联图：从信息系统的资产节点中筛选出重要资产节点，绘制包含信息系统所有资产节点的资产关联图；其中，重要资产节点之间以及重要资产节点和非重要资产节点之间的边，根据资产之间的信任关系绘制成实线；对于与重要资产节点无信任关系的孤立节点，将该孤立节点与和重要资产节点有信任关系的非重要资产节点以虚线相连，表示可能采用渗透的方式攻击重要资产节点；

步骤五、在资产关联图中找到从攻击者到重要资产节点的最小代价风险路径；其中，路径的代价是指路径所有边的代价之和；资产节点i、j之间的代价即为资产节点i、j之间的路径长度：对于实线边，其代价与资产节点i、j之间的关联度W_ij、资产节点i的资产损失价值μ(x_j)以及资产节点j的损失不满意度U_j相关；对于虚线边，其代价仅与资产节点j的损失不满意度U_j相关；

步骤六、将最小代价风险路径的损失不满意度之和作为网络安全风险评估结果。

2.如权利要求1所述的方法，其特征在于，所述步骤一所述资产节点的服务价值v_i为：资产节点保密性、可用性、完整性、业务重要性四种属性的加权和。

3.如权利要求1所述的方法，其特征在于，步骤四所述从信息系统的资产节点中筛选出重要资产节点为：计算系统中每个节点的节点防护强度，并排序；根据设定比例，选取节点防护强度在前的部分节点，作为重要资产节点。

4.如权利要求1所述的方法，其特征在于，步骤四所述在资产关联图中找到最小代价风险路径采用蚁群算法实现。

5.如权利要求4所述的方法，其特征在于，采用蚁群算法寻找最小代价风险路径时，基于节点防护强度构建局部信息素更新规则为：

τ_ij(t+T)＝(1-ρ-R_i)τ_ij(t)+ρΔτ_ij(t)

其中，R_i为资产节点i的防护强度，ρ为信息素的挥发因子，τ_ij(t)为第t次迭代路径ij的信息素浓度，Δτ_ij(t)为第t次迭代路径ij上的信息素增量，T为经过的迭代次数。

6.如权利要求3或5所述的方法，其特征在于，所述节点防护强度的获取方式为：

给定节点的物理层面指标、网络层面指标、管理层面指标；针对每一类指标，分别计算节点满足指标的数量占类指标总数量的比例，分别记为q、w和e；对三类指标进行加权计算获得节点防护强度。

7.如权利要求6所述的方法，其特征在于，网络层面指标的加权权值大于物理层面指标和管理层面指标的权值。

8.如权利要求6所述的方法，其特征在于，物理层面指标包括物理访问控制指标、防盗窃和防破坏指标、电力防护指标和火灾与水灾的防护指标；

网络层面指标包括身份鉴别指标、访问控制指标、入侵防范指标、恶意代码防范指标和资源控制指标；

管理层面指标包括管理制度指标和人员岗位指标。

9.如权利要求1所述的方法，其特征在于，资产关联图中实线边和虚线边的代价确定方式为：

给定A、B为资产关联图上某一条边的两端点，则A、B两点基于信任关系的距离为d₁：

其中，W_AB为A、B之间由于信任关系产生的关联度，μ(x_A)为A的资产损失价值；

AB两点基于漏洞渗透关系的距离为d₂：

其中，U_B为B的损失不满意度；

A、B两点若以实线相连，则实线边距离为：2×d₁+d₂；

A、B两点若以虚线相连，则虚线边距离为：d₂。

10.如权利要求1所述的方法，其特征在于，m＝0.75。