摘 要：近年來(lái)，物聯(lián)網(wǎng)涉及的網(wǎng)絡(luò)安全范圍越來(lái)越廣泛，網(wǎng)絡(luò)威脅也隨之迅速變化。網(wǎng)絡(luò)威脅嚴(yán)重影響了公司的業(yè)績(jī)，而公司網(wǎng)絡(luò)安全狀況很大程度上取決于底層網(wǎng)絡(luò)基礎(chǔ)設(shè)施的健康狀況。因此，文中從整體框架上介紹了網(wǎng)絡(luò)可能存在的安全暴露風(fēng)險(xiǎn)，并提出了一種分布式測(cè)量解決方案的設(shè)計(jì)和實(shí)現(xiàn)，用以評(píng)估信息通信技術(shù)（ICT）基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，通過(guò)提供自動(dòng)化和可重復(fù)的測(cè)量過(guò)程來(lái)定義網(wǎng)絡(luò)安全指標(biāo)。通過(guò)在現(xiàn)實(shí)世界的基礎(chǔ)設(shè)施上進(jìn)行測(cè)試來(lái)證明所提出方法的有效性，討論了在2種不同情況下獲得的信息：具有不同特征的網(wǎng)絡(luò)比較和定義指標(biāo)的實(shí)時(shí)監(jiān)控。經(jīng)驗(yàn)證，文中所提出的解決方法是一種有效的自動(dòng)網(wǎng)絡(luò)監(jiān)控工具，它針對(duì)于異常趨勢(shì)能夠提供更有用的信息，并能觸發(fā)網(wǎng)絡(luò)安全修復(fù)活動(dòng)。

關(guān)鍵詞：物聯(lián)網(wǎng)；網(wǎng)絡(luò)安全；分布式測(cè)量；網(wǎng)絡(luò)安全指標(biāo)；自動(dòng)化；ICT

中圖分類(lèi)號(hào)：TP391 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2024）08-00-04

DOI：10.16667/j.issn.2095-1302.2024.08.016

0 引 言

網(wǎng)絡(luò)安全又稱(chēng)為信息技術(shù)安全，是保護(hù)計(jì)算機(jī)、服務(wù)器、網(wǎng)絡(luò)、數(shù)據(jù)和設(shè)備免受惡意攻擊的技術(shù)[1]。網(wǎng)絡(luò)安全的主要目標(biāo)是保證信息系統(tǒng)的信息安全三要素（機(jī)密性、完整性、可用性）的安全。網(wǎng)絡(luò)攻擊通常包含訪問(wèn)、修改和破壞敏感信息，并借此向用戶(hù)勒索金錢(qián)或者中斷正常業(yè)務(wù)流程。

如今，數(shù)字國(guó)家的經(jīng)濟(jì)和福利服務(wù)都基于網(wǎng)絡(luò)基礎(chǔ)設(shè)施實(shí)現(xiàn)[2]。漏洞可能會(huì)嚴(yán)重影響個(gè)人、企業(yè)甚至整個(gè)國(guó)家。安全事件還可能涉及物理基礎(chǔ)設(shè)施，導(dǎo)致重要服務(wù)不可使用，并造成經(jīng)濟(jì)損失，甚至造成人員傷亡[3]。在這種情況下，一個(gè)普遍的假設(shè)是：所有基于失誤造成的損失都可以歸咎于惡意的攻擊意圖。每種類(lèi)型的攻擊都涉及一個(gè)受害者的存在，這個(gè)受害者可以是一個(gè)組織、一個(gè)國(guó)家或一個(gè)人。

如果網(wǎng)絡(luò)攻擊的受害者是一家企業(yè)，除了聲譽(yù)受損外，攻擊還會(huì)造成嚴(yán)重的財(cái)務(wù)損失，例如競(jìng)爭(zhēng)力喪失或戰(zhàn)略資產(chǎn)控制權(quán)的喪失。網(wǎng)絡(luò)攻擊可以針對(duì)現(xiàn)代社會(huì)的關(guān)鍵基礎(chǔ)設(shè)施（衛(wèi)生、能源和交通等基本服務(wù)的網(wǎng)絡(luò)架構(gòu)），從而波及到普通民眾。研究表明，網(wǎng)絡(luò)安全是歐洲的第二大緊急情況[1]。據(jù)估計(jì)，網(wǎng)絡(luò)犯罪使經(jīng)濟(jì)成本增加了5倍，造成的財(cái)產(chǎn)損失從2011年的1 000多億美元增加到2017年的超5 000億美元，影響了全球近十億人口。此外，據(jù)估計(jì)，87%的網(wǎng)絡(luò)攻擊是由組織內(nèi)經(jīng)驗(yàn)不足的員工造成的。

由于網(wǎng)絡(luò)安全范圍廣泛而復(fù)雜，并且威脅快速變化，所以很難對(duì)整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行量化和客觀的安全評(píng)估，導(dǎo)致評(píng)估過(guò)程的完全自動(dòng)化和擴(kuò)展性變得難以實(shí)現(xiàn)。正如開(kāi)源安全測(cè)試方法手冊(cè)中所建議的，“有能力的分析人員將需要充足的網(wǎng)絡(luò)知識(shí)、成熟的安全測(cè)試技能和批判性思維能力，以確保通過(guò)相關(guān)性分析來(lái)收集事實(shí)數(shù)據(jù)并產(chǎn)生實(shí)際結(jié)果”，這些技能在理解和實(shí)施安全準(zhǔn)則時(shí)都是必需的[4]。為了進(jìn)一步了解網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全性并更明確地控制，量化度量指標(biāo)是直接且有效的方法[4]。

1 相關(guān)工作

以往的文獻(xiàn)中已經(jīng)提出了許多用于度量信息和網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)。Pendleton等人[5]描述了系統(tǒng)安全度量的維度，包括漏洞、防御、攻擊等。文中的度量標(biāo)準(zhǔn)屬于測(cè)量“接口誘導(dǎo)”漏洞一類(lèi)，并考慮了軟件系統(tǒng)對(duì)某些攻擊的易感性。文中匯總了攻擊面和威脅暴露度的度量標(biāo)準(zhǔn)，用于評(píng)估系統(tǒng)的攻擊易感性。

Ramos等人[6]對(duì)基于模型的定量網(wǎng)絡(luò)安全度量（Network Security Metrics， NSM）進(jìn)行了綜述，但該技術(shù)仍處在發(fā)展中，基于模型的定量方法對(duì)決策有價(jià)值，但不能完美反映網(wǎng)絡(luò)的安全水平。

Munir等人[4]提出了另一種衡量IT網(wǎng)絡(luò)安全水平的方法，使用漏洞掃描工具確定節(jié)點(diǎn)的漏洞水平并分類(lèi)。該方法與文中的方法并不矛盾，但文中通過(guò)整合度量標(biāo)準(zhǔn)可以進(jìn)一步減少漏洞掃描工具提供的錯(cuò)誤警報(bào)?；ヂ?lián)網(wǎng)安全中心（Center for Internet Security， CIS）也面臨網(wǎng)絡(luò)安全領(lǐng)域缺乏廣泛認(rèn)可和明確度量標(biāo)準(zhǔn)的問(wèn)題。

Weintraub等人[7]進(jìn)行的研究旨在通過(guò)提供關(guān)于危害系統(tǒng)可用性事件的客觀、定量和實(shí)時(shí)信息，降低與風(fēng)險(xiǎn)評(píng)估相關(guān)的不確定性，但該研究存在局限性。如所提出的圖形管理方法不一定可行，用于描述每個(gè)組件的實(shí)時(shí)狀態(tài)及其與其他組件的相互關(guān)系可能并不包括所有的安全特征；兩個(gè)節(jié)點(diǎn)之間的各種可能連接：文中認(rèn)為，這種局限性是由于對(duì)該領(lǐng)域并未進(jìn)行徹底評(píng)估造成的。

從相關(guān)文獻(xiàn)可知，在網(wǎng)絡(luò)安全領(lǐng)域，任何可能影響網(wǎng)絡(luò)安全的因素都不能被忽視，而當(dāng)前尚未提供真正的標(biāo)準(zhǔn)來(lái)定義網(wǎng)絡(luò)安全姿態(tài)。此外，關(guān)于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的物理和邏輯暴露問(wèn)題的研究工作相對(duì)較少，并且沒(méi)有提出解決方案并給出統(tǒng)一的標(biāo)準(zhǔn)[8-9]。為此，文中提出了一種新的量化標(biāo)準(zhǔn)解決方案。

2 模型定義

文中提供了一個(gè)詳細(xì)的度量模型，該模型是設(shè)計(jì)分布式框架的基礎(chǔ)。設(shè)計(jì)該模型的目的是為企業(yè)的各種資產(chǎn)保管提供詳細(xì)指導(dǎo)，用于降低信息與通信技術(shù)基礎(chǔ)設(shè)施的暴露風(fēng)險(xiǎn)。為此，文中建議從評(píng)估攻擊面開(kāi)始，以提取最終滿(mǎn)足信息需求的度量標(biāo)準(zhǔn)。這些信息需求可以針對(duì)公司內(nèi)的多個(gè)接收者，定義要采取的安全對(duì)策。實(shí)際上，在公司內(nèi)部，不同層次的信息需求是必要的：（1）執(zhí)行層級(jí)；（2）業(yè)務(wù)/流程層級(jí)；

（3）實(shí)施/運(yùn)營(yíng)層級(jí)。

執(zhí)行層級(jí)向業(yè)務(wù)/流程層級(jí)提供任務(wù)優(yōu)先級(jí)、可用資源和整體風(fēng)險(xiǎn)容忍度，以更直接地感知系統(tǒng)的健康狀況。然而，這種方法對(duì)特定暴露配置相關(guān)風(fēng)險(xiǎn)的理解是有缺失的。為了解決該問(wèn)題，信息需求以風(fēng)險(xiǎn)評(píng)估的形式呈現(xiàn)，提供更細(xì)粒度的信息。

在業(yè)務(wù)/流程層級(jí)，信息需求是風(fēng)險(xiǎn)管理過(guò)程的輸入。通過(guò)與實(shí)施層級(jí)建立直接渠道，可以共享業(yè)務(wù)需求并建立檔案。這使得執(zhí)行層級(jí)能夠及時(shí)了解整體風(fēng)險(xiǎn)管理情況，并讓實(shí)施/運(yùn)營(yíng)層級(jí)了解業(yè)務(wù)影響[10]。

文中目標(biāo)是提供一組詳細(xì)的度量標(biāo)準(zhǔn)，反映對(duì)網(wǎng)絡(luò)威脅的暴露情況，即信息需求。引入的模型以概念定義的方式描述了如何量化實(shí)地探測(cè)獲得的相關(guān)屬性，并將其轉(zhuǎn)化為相關(guān)度量標(biāo)準(zhǔn)。該模型按照5個(gè)級(jí)別劃分，每個(gè)級(jí)別的特點(diǎn)是信息聚合程度逐漸增加，直到信息需求成為最終目標(biāo)。

在第一級(jí)別，使用工程工具來(lái)提取環(huán)境屬性，并獲取信息來(lái)源，包括基于簽名的入侵檢測(cè)系統(tǒng)、NetFlows以及目標(biāo)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的規(guī)格說(shuō)明。其中，基于簽名的入侵檢測(cè)系統(tǒng)和NetFlows以JSON格式提供數(shù)據(jù)，這些數(shù)據(jù)是文中測(cè)量模型的主要來(lái)源。通過(guò)對(duì)這些數(shù)據(jù)的收集和分析，能夠深入了解目標(biāo)網(wǎng)絡(luò)的通信模式、流量特征以及潛在的入侵行為。同時(shí)，結(jié)合基礎(chǔ)設(shè)施設(shè)計(jì)規(guī)格，能夠?qū)h(huán)境屬性與預(yù)期配置進(jìn)行對(duì)比，從而檢測(cè)出異?；顒?dòng)或配置偏差。

屬性層包括NetFlow.json和IDS.json文件中的相關(guān)信息。NetFlow.json包含IP地址、流狀態(tài)和端口號(hào)屬性，其中，IP地址包括有源地址和目標(biāo)地址。流狀態(tài)有3個(gè)值：“New”表示數(shù)據(jù)流剛剛開(kāi)始；“Established”表示正在運(yùn)行；“Closed”表示流已終止。端口號(hào)屬性是源端口和目標(biāo)端口。IDS.json文件是IDS服務(wù)的輸出，包含違規(guī)簽名的數(shù)據(jù)庫(kù)。選取的屬性包括簽名ID和警報(bào)嚴(yán)重性，范圍為1～5，分別為嚴(yán)重、危險(xiǎn)、中度危險(xiǎn)、低優(yōu)先級(jí)和非優(yōu)先級(jí)。實(shí)體和屬性劃分如圖1所示。

度量標(biāo)準(zhǔn)被分為兩組，如圖2所示?！肮裘妗苯M包括衡量可能被攻擊利用的物理和邏輯資產(chǎn)的度量標(biāo)準(zhǔn)。這些度量標(biāo)準(zhǔn)定義如下：

（1）檢測(cè)到的活動(dòng)主機(jī)（Detected Active Hosts， DAH）用于量化在一定時(shí)間范圍內(nèi)檢測(cè)到的活動(dòng)主機(jī)數(shù)量；

（2）主機(jī)之間的交互（Host-to-Host Interactions， HTHI）用于量化主機(jī)之間（IP-源、IP-目標(biāo)）的交互數(shù)量，并根據(jù)數(shù)據(jù)流狀態(tài)進(jìn)行區(qū)分；

（3）端口（Ports）用于量化在給定時(shí)間間隔內(nèi)檢測(cè)到的開(kāi)放端口總數(shù)。已知的端口被視為服務(wù)器端口，其余被視為客戶(hù)端口。

3 測(cè)量過(guò)程

測(cè)量過(guò)程主要分為3個(gè)階段，詳細(xì)說(shuō)明如下：

（1）抽取-轉(zhuǎn)換-加載：從管理分布式探針的系統(tǒng)中抽取必要的實(shí)體（NetFlow.json和IDS.json）。每個(gè)實(shí)體只取100 000行，每行代表一個(gè)流（Flow）以及時(shí)間戳信息，時(shí)間戳的間隔為30 min（測(cè)量的持續(xù)時(shí)間）。然后對(duì)文件進(jìn)行轉(zhuǎn)換，使其符合后續(xù)階段的要求。最終將文件加載到AME（Automatic Measurement and Evaluation）腳本中。

（2）自動(dòng)測(cè)量執(zhí)行：其中一個(gè)MATLAB腳本自動(dòng)化測(cè)量過(guò)程，顯示模型中定義的指標(biāo)值。

（3）存儲(chǔ)：結(jié)果被存儲(chǔ)并準(zhǔn)備用于測(cè)試計(jì)劃。

進(jìn)行測(cè)試時(shí)，完成兩種類(lèi)型的分析：一種是比較兩種網(wǎng)絡(luò)基礎(chǔ)設(shè)施在面臨威脅方面的情況；另一種是對(duì)指標(biāo)進(jìn)行時(shí)間序列分析，以監(jiān)測(cè)網(wǎng)絡(luò)應(yīng)對(duì)可能產(chǎn)生威脅的暴露情況。

在第一種情況下，對(duì)2個(gè)目標(biāo)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行N次測(cè)量過(guò)程迭代，并提取它們的平均指標(biāo)值，通過(guò)取平均值得到一個(gè)更全面的視角，了解系統(tǒng)在不同條件下的表現(xiàn)情況，并綜合考慮多次測(cè)量的結(jié)果。為了評(píng)估潛在威脅的程度，這些測(cè)量值被取平均并與另一基礎(chǔ)設(shè)施的值進(jìn)行比較。

文中采取了更頻繁的測(cè)試策略，每天進(jìn)行多次測(cè)試，并連續(xù)進(jìn)行k天，隨后在一周后重復(fù)。通過(guò)時(shí)間序列分析，可以監(jiān)測(cè)網(wǎng)絡(luò)指標(biāo)隨時(shí)間的變化趨勢(shì)，從而推斷網(wǎng)絡(luò)暴露狀態(tài)的可能性。特別要關(guān)注峰值時(shí)段，因?yàn)樗赡艽嬖诟叩耐{暴露風(fēng)險(xiǎn)，需要特別注意網(wǎng)絡(luò)安全性。

持續(xù)的測(cè)試和分析還有助于驗(yàn)證已采取的安全措施是否有效。通過(guò)觀察測(cè)量值的變化，可以評(píng)估這些措施對(duì)網(wǎng)絡(luò)性能和安全性的影響。如果發(fā)現(xiàn)措施沒(méi)有達(dá)到預(yù)期效果，可以對(duì)基礎(chǔ)設(shè)施配置進(jìn)行調(diào)整，填補(bǔ)差距或改進(jìn)結(jié)果，這種迭代過(guò)程可以持續(xù)優(yōu)化網(wǎng)絡(luò)的安全性和性能，并確保網(wǎng)絡(luò)在不斷變化的威脅環(huán)境中的適應(yīng)性。

測(cè)量測(cè)試每天重復(fù)進(jìn)行5次，分別在一天的不同時(shí)間段進(jìn)行（8：30—9：00，11：00—11：30，13：30—14：00，16：00—16：30，18：30—19：00），每次測(cè)試持續(xù)30 min。測(cè)量在連續(xù)三天內(nèi)重復(fù)進(jìn)行，在一周后的另外三天內(nèi)再次重復(fù)，共進(jìn)行了30次實(shí)驗(yàn)。

4 結(jié)果分析

對(duì)所提方法進(jìn)行詳細(xì)測(cè)試，以評(píng)估其有效性。通過(guò)測(cè)試結(jié)果，展示文中設(shè)計(jì)的測(cè)量模型能夠準(zhǔn)確識(shí)別潛在威脅的

原因。

測(cè)試活動(dòng)的主要目標(biāo)是比較2個(gè)具有不同特性的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。這種比較可以基于可計(jì)算的指標(biāo)，也可以考慮攻擊表面和網(wǎng)絡(luò)易感性這兩個(gè)宏觀類(lèi)別。后一種情況下，可以得到4種不同的結(jié)果組合，定義了完整的暴露概況：

（1）2個(gè)指標(biāo)都比較低：低或零值表示斷開(kāi)連接，這種情況是無(wú)效的，更完美的情況應(yīng)當(dāng)是在攻擊表面指標(biāo)方面取得較低值，而在網(wǎng)絡(luò)易感性方面為零或接近零。

（2）攻擊表面類(lèi)別指標(biāo)值較高，而網(wǎng)絡(luò)易感性相關(guān)指標(biāo)值較低或?yàn)榱?，這種情況并不是表現(xiàn)最優(yōu)秀的，但是結(jié)果相對(duì)來(lái)講可以接受。

（3）攻擊表面類(lèi)別指標(biāo)值較低但非零，而網(wǎng)絡(luò)易感性相關(guān)指標(biāo)值較高，這種情況對(duì)公司來(lái)說(shuō)相當(dāng)危險(xiǎn)，暴露風(fēng)險(xiǎn)程度極高。

（4）兩個(gè)類(lèi)別的指標(biāo)都取得較高值，表示在攻擊表面和網(wǎng)絡(luò)易感性方面都達(dá)到最大暴露，這種情況必須避免。

文中比較了從網(wǎng)絡(luò)1（工作站網(wǎng)絡(luò)）和網(wǎng)絡(luò)2（服務(wù)器網(wǎng)絡(luò)）獲得的指標(biāo)平均值。網(wǎng)絡(luò)1的平均結(jié)果見(jiàn)表1所列。網(wǎng)絡(luò)2的平均結(jié)果見(jiàn)表2所列。

工作站網(wǎng)絡(luò)的攻擊表面較大。關(guān)于網(wǎng)絡(luò)易感性組的指標(biāo)，可以觀察到警報(bào)數(shù)量多，平均嚴(yán)重性高。然而，涉及警報(bào)的級(jí)別信息以及涉及主機(jī)的百分比相對(duì)較低。這種情況在一個(gè)工作站網(wǎng)絡(luò)中可能是可以接受的，但在對(duì)企業(yè)業(yè)務(wù)至關(guān)重要的網(wǎng)絡(luò)中則應(yīng)避免。

圖3中呈現(xiàn)了網(wǎng)絡(luò)1和網(wǎng)絡(luò)2易感性之間的比較，結(jié)果突出顯示了這2個(gè)配置文件之間的實(shí)質(zhì)性差異。在圖3中，所有指標(biāo)都顯示出2個(gè)網(wǎng)絡(luò)之間有明顯區(qū)別。

通過(guò)分析各個(gè)圖表，圖3中報(bào)告的威脅級(jí)別3值得關(guān)注，事實(shí)上，2個(gè)網(wǎng)絡(luò)存在一些相同的均標(biāo)記為“威脅級(jí)別3”的危險(xiǎn)事件。通過(guò)文中描述的方法，能夠追蹤導(dǎo)致這種行為的交互作用，并了解到這些事件是端到端通信，其中，源IP地址屬于網(wǎng)絡(luò)1，目標(biāo)IP地址屬于網(wǎng)絡(luò)2。這不僅顯示了文中方法的有效性，更在經(jīng)過(guò)適當(dāng)深入的分析后，為安全人員提供了關(guān)于原因的詳細(xì)信息，便于他們采取正確的對(duì)策。對(duì)于嚴(yán)重性平均值和警報(bào)數(shù)量指標(biāo)，仍然可以注意到網(wǎng)絡(luò)1和網(wǎng)絡(luò)2之間的差異。

關(guān)于基于嚴(yán)重性類(lèi)型的威脅級(jí)別，值得注意的是，平均而言，網(wǎng)絡(luò)1的交互涉及的警報(bào)嚴(yán)重級(jí)別為1（嚴(yán)重）或3（中度危險(xiǎn)），并且處于封閉狀態(tài)，這表明當(dāng)前網(wǎng)絡(luò)暴露風(fēng)險(xiǎn)極大。而網(wǎng)絡(luò)2涉及的警報(bào)處于封閉狀態(tài)且嚴(yán)重級(jí)別為3，這明顯較不具備威脅性。從分析中可以得出結(jié)論，網(wǎng)絡(luò)1相對(duì)于網(wǎng)絡(luò)2的暴露風(fēng)險(xiǎn)更大。

由于服務(wù)器網(wǎng)絡(luò)具有明確定義的暴露概況，特點(diǎn)是資源數(shù)量有限，最低嚴(yán)重性的警報(bào)數(shù)量較少，且臨界水平較低，這個(gè)描述可以作為極低暴露網(wǎng)絡(luò)的基準(zhǔn)。因此，假設(shè)不了解目標(biāo)網(wǎng)絡(luò)的類(lèi)型，通過(guò)將2個(gè)目標(biāo)網(wǎng)絡(luò)與基準(zhǔn)進(jìn)行對(duì)比，可以很容易地識(shí)別服務(wù)器網(wǎng)絡(luò)。由此可以推斷，如果基礎(chǔ)設(shè)施符合典型的服務(wù)器網(wǎng)絡(luò)暴露概況，那么應(yīng)當(dāng)降低暴露風(fēng)險(xiǎn)。

5 結(jié) 語(yǔ)

文中提出了一種全新的框架，用于測(cè)量信息通信技術(shù)基礎(chǔ)設(shè)施對(duì)潛在安全威脅的暴露程度。該框架建立的基礎(chǔ)是：

（1）指標(biāo)的定義；（2）目標(biāo)測(cè)量過(guò)程的確定；（3）風(fēng)險(xiǎn)暴露的識(shí)別。

文中引入的測(cè)量過(guò)程從傳感器網(wǎng)絡(luò)中提取了數(shù)據(jù)定義，并考慮了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的結(jié)構(gòu)特性。通過(guò)在不同時(shí)間間隔內(nèi)對(duì)2個(gè)具有不同特性的網(wǎng)絡(luò)（工作站網(wǎng)絡(luò)和服務(wù)器網(wǎng)絡(luò)）進(jìn)行測(cè)量，可以確定暴露風(fēng)險(xiǎn)更高的網(wǎng)絡(luò)，并能夠幫助安全人員及時(shí)應(yīng)對(duì)風(fēng)險(xiǎn)暴露問(wèn)題。

總的來(lái)說(shuō)，所提出的解決方案是一種有效的自動(dòng)網(wǎng)絡(luò)監(jiān)控工具，因?yàn)樗c基線方法相比對(duì)于異常趨勢(shì)能夠提供更敏感和有用的信息，并能觸發(fā)網(wǎng)絡(luò)安全修復(fù)活動(dòng)。

參考文獻(xiàn)

[1] BAY M. What is cybersecurity [J]. French journal for media research，2016，6：1-28.

[2] MARCO A，GRAZIANO B，SIMONE L，et al. Visual exploration and analysis of the italian cybersecurity framework [C]// AVI '18：Proceedings of the 2018 International Conference on Advanced Visual Interfaces. [S.l.]：[s.n.]，2018：1-3.

[3] JOSE J G. Towards a cyber security reporting system - a quality improvement process [C]// Computer Safety，Reliability，and Security，24th International Conference. [S.l.]：[s.n.]，2005：368-380.

[4] MUNIR R，DISSO J P，AWAN I，et al. Quantitative enterprise network security risk assessment [C]// UK Performance Engineering Workshop. [S.l.]：[s.n.]，2013.

[5] PENDLETON M，GARCIA-LEBRON R，CHO J H，et al. A survey on systems security metrics [J]. ACM computing surveys，2016，49（4）：1-35.

[6] RAMOS A，LAZAR M，HOLANDA F R，et al. Model-based quantitative network security metrics： a survey [J]. IEEE communications survey tutorial，2017，19（4）：2704-2734.

[7] WEINTRAUB E，COHEN Y. Defining network exposure metrics in security risk scoring models [J]. International journal of advanced computer science and applications，2018，9，（4）：399-404.

[8] ISO I E C，IEC N. ISO/IEC [J]. IEEE international standard-systems and software engineering vocabulary，2017：1-541.

[9] MOURATIDIS H，ISLAM S，SANTOS-OLMO A，et al. Modelling language for cyber security incident handling for critical infrastructures [J]. Computers amp; security，2023，128：103139.

[10] BARRETT M P. Framework for improving critical infrastructure cybersecurity version 1.1 [J]. Decision support systems，2021，147（8）：113580.

收稿日期：2023-08-15 修回日期：2023-09-20

作者簡(jiǎn)介：劉 洋（1996—），男，工程師，研究方向?yàn)槲锫?lián)網(wǎng)、網(wǎng)絡(luò)安全。