信息系统漏洞风险定量评估模型研究.pdf

第 3 0 卷第 2期 2 0 o 9年 2月 通信学报 J 0 u ma l 0 n CO mmu n i c a d O n s 、，b 1 3 0 NO-2 Fe b nl a r v 2 o o 9 信息系统漏洞风险定量评估模型研究 周亮，-，李俊娥，陆天波，刘开培(1 武汉大学 电气工程学院，湖北 武汉 4 3 o 0 7 2；2 武汉大学 计算机中心，湖北 武汉 4 3 0 0 7 2；3 国家计算机网络应急技术处理协调中心，北京 1 O o 0 2 9：4 中国电力科学研究院 信息与安全技术研究所，北京 1 O 0 l 9 2)摘要：为解决信息系统漏洞风险的科学定量问题，针对当前漏洞风险评估忽略漏洞之间关联性的现状，提出了 一种信息系统漏洞风险评估的定量方法与实现步骤。首先，讨论了基于漏洞关联网络(Vc N，v u l n e r a b i l i t y c o 咖e c t i o n n e t W o r k 1 的漏洞风险评估模型，引入了路径风险与主体风险的概念；其次，提出了以层次分析法定量主体风险性 中的主体重要性要素，结合主观分析与攻击重现定量转移风险中的关联后果值的具体方法；最后，对电力调度管 理信息系统运用此漏洞风险定量方法进行评估，得出了客观的漏洞风险评估结果。评估示例表明，基于漏洞关联 网络的漏洞风险定量评估模型实现了漏洞风险科学、客观的定量评估。关键词：信息系统；安全风险；定量评估；漏洞关联 中图分类号：T P 3 9 3 0 8 文献标识码：A 文章编号：1 O 0 0-4 3 6 x(2 o o 9)0 2 0 0 7 l-0 6 Re s e a r c h 0 n q u a n t i t a t i V e a s s e s s m e n t m0 d e l 0 n V u l n e r a b i l i t y r i s k f 0 r i n f 0 r ma t i 0 n s y s t e m ZHOU Li a ng 1 ，LI J u n e 2，LU Ti a n-b O 3，LI U Ka i p e i l (1 S c h o 0 1 0 fE l e c mc a l En g i n e n 岛Wu h a I l Un i V e r s i t y Wu h a n 43 0 O 7 2，Ch i n a；2 Co lp u t e r Ce n t c L Wu h a I l Un j V e T s i t y，Wu h a l l 4 3 0 0 7 2，Ch i n a；3 Na t i O n a l Co mp u t e r Ne t wO r k Eme 曜e n c y Re s p 0 n s e 1 h n i c a 1 Ce n t e r o f Ch in a，Be i n g 1 0 o o 2 9，Ch i n a；4 D印a r tme n t 0 f I n f 0 m a t i 0 nS e c u r i t y，Ch i n aEl e c cP o we fRe s e a r c hI n s t it u【e，Be i n g l 0 01 9 2，Ch i n a)Ab s t r a c t：A q u a I l t i t a t i v e me t h o d o f v u l n e r a b i l i t y a s s e s s me n t wa s p u t f 0 n a r d o n t l l e f 0 u n d a t i o n o f r e s e a r c h o n c u r r e n t a s s e s s me n t me t h 0 d s h o m e a 1 d a b r o a d i n o r d e r t o e v a 1 u a t e v u l n e r a b i l i c y I i s k 0 b j e c t i V e l y V u l n e r a b i l i t y c o r u 1 e c t i o n n e t w o r k (VC N)w a s d i s c u s s e d f l r s t l y f 0 r m e p u r p o s e o f t a k i n g c o n n e c t i o n o f v u l I l e r a b i l i t y i n t 0 a c c 0 u m，wh i c h d i V i d e s V u l I l e r a b i l-i t y r i s k i n t o e n t i t y r i s k a n d p a m r i s k；S e c o n d l y，a d V a J 1 c e d m e t l l o d s o f q u a n t i f y i n g e n t i i n l p o r t a J 1 c e i n e n t i t y r i s k a I l d n e t wo r k n o d e c 0 n n e c d o n e 侬 lc t s i n p a m r i s k we r e p m p o s e d；La S y a l 1 e v a l u a t i 0 n e x a I n p l e o f v u l n e f a b i l r i s k o n d i s p a t c t l i n g ma J 1 a g e me n t i n f 0 m l a t i O n s y s t e m i n p o we r s y s t e m wa s g i V e n O u t CO r r e s p O n d i n g r e s u I t s s h o w t l l a t q u a J 1 d t a t i V e a s s e s s me n t m0 d e l b r i n g s o u t s c i e n t i f i c a n d c r e d i b l e e v a l u a t i o n o n v u 1 n e r a b i l i t y r i s k Ke y wo r t I s：i n f o 肿 a t i 0 n s y s t e m；s e c u r i t)r r i s k；q u a n t i t a t i v e a s s e s s me n t；v u l n e r a b i l i t y c o n n e c t i o n 1 引言 信息系统的安全评估模型是信息系统安全研究 的重要 内容 卜 引，当前的安全评估模型研 究忽略了 收稿 日期：2 0 0 8 1 l l 2；修回日期：2 0 0 9 0 l 一 0 5 网络关联性 问题。由网络节点间信任依赖关系而产 生的风险转移，是一个值得探讨的新课题。文献【9 提出了一种基于免疫的网络安全风险检测模型，但 是主要侧重 于对 网络系统面 临攻击 时的实 时风险 通信学报 第 3 0卷 评估；文献 1 0】提 出了一种 网络弱点的模型检测 法，并设计 了一种拓扑弱点分析工具 T VA用 以检 测网络系统的弱点，并以网络攻击图的形式分析 网络 系统 的安全风 险；文献【1 1 使用基于安全案 例推理的方法生成可能的攻击 图来分析网络安全 性；文献 1 2 提出一种 攻击树模型的改进风 险评 估方法。针对 当前信息系统安全评估研究 中存在的 问 题，本文在讨论基于漏洞关联网络的漏洞风险评估 模型的基础上，提 出了一种新 的信息系统漏洞风 险量 化方 法。以基 于 漏洞 关 联 网络(VC N，v u l n e r a b i l i t y c o n n e c t i o n n e t wo r k)的漏洞风 险评估信 息系统的主体风险和路径风 险，并通过层次分析法 定量主体重要性，通过攻击重现和定性分析结合的 方法 定量关联后 果风险，解 决了漏洞风险 的科学 定量问题。2 信息系统安全风险评估模型 2 1 基于 VC N的漏洞风险评估模型 文献 1 3】提出了安全依赖关系的概念，描述 了 网络节点间的依赖关系；文献 1 4 进一步将依赖关 系与网络节点的集合抽象成风险网络，本文在此基 础上，给出了漏洞关联网络的概念。定义 l 网络节点关联性(N NC，n e o r k n o d e c o n n e c t i o n)：如果一个攻击者在成功入侵 网络节点 A之后，能利用网络节点A上的某个部件(程序、服务等)对节点 B上部件的访 问关系，继续攻击节 点 B，那么这种可被利用的访问关系被称为网络节 点关联性。定义 2 漏洞关联 网络(V C N，v u 1 n e r a b i l i l y c o n n e c t i o n n e t w o r k)：物理网络经过 N NC关系挖掘 后形成的 由漏洞与攻击路径组成 的网络，记作 G (，E)。VC N中的结点 体现网络节点的漏洞存 在状态与属性，连接线 E体现 由 NN c产生的攻击 路径。在漏洞关联网络(vC N)中，攻击者能够从 漏洞起 点 经过不同的攻击路径，连接不 同的中 间漏洞点，最终到达 目的漏洞 E。不 同的攻击路 径经过不同的中间漏洞点，形成一个多攻击路径交 错的网络。对于要评估漏洞风险的目标漏洞来讲，计算 2 类风险：漏洞 自身带来的风险；由于其他相连 漏洞引入的安全风 巧】。按照上述思想将漏洞 的 总体风险评估值记作 ，那么 尺()应该由 2部分 风险评估值组成：漏洞的主体风险，记作E(；定义漏洞 所连接的前向漏洞所引入的路径风 险，记作 P(M。他们的关系可用式(1)表达。l一 尺(JV)=()+尸()(1)百 路径风险P表示攻击者在从攻击的起点到达欲 攻击点路径上的攻击行进过程中所遇到的风险。而 路径风险P(M 由2部分风险相乘得到：与漏洞J7v 相连的攻击路径 的转移风险 1，；与漏洞 相连 的漏洞(_ 1)的总体风险(-1)。因此有 P()=尺(一1)(一1，)(2)综合式(1)与式(2)，得到漏洞 的总体风 险评估 ()=()+(一1)(一l，)】(3)百 基于 V C N的漏洞风险评估最大的优点体现于：虽然待评估漏洞的主体安全风险值很小(如利用此 漏 洞 的威胁 行为或 攻击 看似 不可 能在 网络 中实 施)，但是 由于前置漏洞的风 险很大，很容易被攻 击者利用，因而待评估漏洞的安全风险便随路径风 险的增长而增大。文献【l 5 提 出一种对于转移风险 和主体风险 E的量化公式，如式(4)和式(5)：7 1=A+C (4)其中，表示攻击利用方式量化值，表示攻击方 式量化值，A表示访 问控制量化值，C表示关联后 果量化值。=(5)其中，、分别表示主体重要性、访问量、服务用户数和访问频率 4种 因素 引。对于风险组成要素的量化规则，文献【1 5】只提 出了一种解决方案：计算主体风险值时，当漏洞的 主体是专职服务器时，定义 l，否则，_ 0 7 5，其 他各值均取数值。计算转移风险时，攻击利用方式 如果是恶意代码，则=5，如果为木马，则=3：访 问控制量化值如果是使用 T C P、uD P协议，取值 为 l，使用一般的网络协议则为 2，较少见的协议 则为 4；关联后果值如果是提权，则 c l_ 5，运行任 意代码，则 C=6。上述漏洞风险 的量化规则，存在 以下 2方面 问 题。第 2期 周亮等：信息系统漏洞风险定量评估模型研究 7 3 1)量化主体风险时，主体重要性指标的量化存 在很大的问题。不仅对专职服务器与其他 网络设备 的重要性区分不够明确，而且这种量化方法未体现 专职服务器之间的主体重要性差别，更没有体现非 专职服务器设备 的重要性差异。2)量化转移风险时，未对关联后果值进行科 学的评估，漏洞关联性没有得到科学的定量。2 2 基于 AH P的主体重要性指标量化 在 主体 重 要性 的 定量 过程 中 引入层 次分 析 法，能解决主体风险中主题重要性指标 的科学量 化 问题。层次分析法(A H a J l a l y t i c h i e r a r c h y p r 0 c e s s)是 美 国 著 名 的 运 筹 学 专 家 匹 兹 堡 大 学 教 授 T L S a a t v提 出的一种简便、灵活而又实用的多准则 决策方法。它从系统的层次性出发，把系统与环境 分开，由高层次到低级再到次次级，如此逐级分解，从而把整个系统分解为一个金字塔式 的树状层次 结构。6 P法解决问题 的基本思路就是把系统各因 素之 间的隶属关系 由高到低排成若干层次，建立不 同层次元素之间的相互关系，根据对一定客观现实 的判断，就每一层次相对重要性给予定量的表示，再利用数学方法，确定表达每一层次的全部元素的 相对重要性次序 的权值，通过排序结果，对问题进 行分析和决策，这种方法的特点是在对复杂决策问 题的本质、影响因素及其 内在关系等进行深入分析 的基础上，利用较少 的定量信息使决策的思维过程 数学化，从而为多 目标、多准则或无结构特性的复 杂决策 问题提供简便的决策方法，尤其适合于对决 策结果难于直接准确计量的场 M】。运用层次分析法解决主体重要性指标 的量化问 题可构造如图 1的 3层评价模型。主体重要性量化 模型包含 3层：属性层、影响层和资产层。属性层 属性层 资产安全价值 保密性 l l 完整性 l l 可用性 影 响 层：I 曩 l I 羹 I I藿 I 曩 I 蚕 I I 耋 资产层：I，图 l 主体重要性的 A I 口 量化模型 包括保密性、完整性和可用性 3个评估项；影响层 为违反法律法规、造成名誉损失、侵犯个人隐私、造成经济损失、违反社会公则和危害公共安全 6个 评估项；资产层为信息系统的若干资产。其量化步 骤如下。1)确定各层比较判断矩阵。逐层成对比较，分 别构造 3层评估模型中属性层、影响层、资产层各 评估项的比较判断矩阵。2)层次单排序与致性检验。计算各比较判断 矩阵的主特征值与特征 向量，并进行层次单排序及 一致性检验。3)层次总排序与安全保护等级权值修正。安全 属性层包含 3 个因素，假设其层次排序权重分别为 x 1，x 3；影响层包含，z 个因素：6 l，易 2，且 关 于上层 各 安全 属性 的层 次 单排序 权 重分 别为 易 1 f，易 2 f，f(=1，2，3)。则影响层中各因素的权重 1，6 2，按式(6)求得 3 ：c ，l，2，3，J=l (6)类似地，假设资产层中包含 m项信息资产，它 们关于上一层各影响 因素 的层次单排序权重分别 为 n。，(七=1，2，1)，则各资产的主体重要性 总排序评估值按式(7)求得=，足=1，2，z f=1 (7)将各资产所属子系统 的安全保护等级作为权 重值，对层次总排序的评估结果进行修正，得到资 产最终的主体重要性量化评估结果。2 3 优化的关联后果值量化方法 本文提 出一种优化的关联后果定量方法，结合 主观分析与攻击重现 2种关联后果量化值的评估结 果，实现转移风险中关联后果的客观量化。其主要 思想 是 首先 主观 分 析攻 击造 成 的关 联后 果风 险(c 1)，其次通过攻击重现，计算攻击对于信息系统 安全熵值 的影响，定量关联后果风险(C 2)；最后，对 2种关联后果的量化结果加权优化，得出最终的 漏洞转移风险中的关联后果值 c】柏，其中，口，6【0，1 ，口+易=1。可主观地将漏洞关联性造成 的后果分为 7 类，并分别赋值(c 1)，如表 1 所示。通信学报 第 3 O卷 表 1 关联后果主观量化 为了更客观地评价攻击对信 息系统 引起的关 联后果，本文以基于攻击重现的关联后果定量方法(c 2)作为补充。其原理为信息系统受到攻击后，其安全性下降、稳定性变差，这种变化必然在与之 相关的安全性能指标上有所体现。从信息论的熵值 角度理解，即利用漏洞关联性的攻击将会影响网络 信息系统的安全熵值。因此可以在实验室建立仿真 平台重现特定的网络攻击，通过对攻击前后的系统 安全熵值进行定量 比较，描述漏洞关联性对信息系 统安全指标的客观影响。信息系统的安全性指标包括保密性、完整性和可 靠性 3 个方面，每个方面都有一些重要的性能指标，如信息的防篡改性、隔离性和容错性等。不同的攻击，对于系统信息保密性、完整性和可靠性的影响程度也 各有侧重。在关联后果评估中，没有必要对所有的系 统安全性能指标进行研究，而只应该在定性分析的基 础上，重点研究攻击影响较大的主要安全指标。假设某一攻击对于信息系统的，z 个安全指标产 生了影响，信息系统第 个安全指标 的熵为 f，为信息系统第 f 项指标的归一化参数，为第 f 个 安全指标在整个信息系统安全指标体系中的权重，在实际应用中，的取值可弓 l 入层次分析法，通过 建立各层各项指标的层次比较矩阵逐层计算得出。定义信息系统与特定攻击相关的熵值为，由 式(8)确定。=lb (8)f=1 f：1 在进行攻击实验前，分别确定信息系统相关安 全指标的熵值，并按式(8)计算系统攻击前的总 熵值，记为；进行攻击重现后，同样确定信息系 统的网络熵，记为 ：。日=：一 =l b(，)(9)【=1 根据式(9)计算攻击对于网络攻击前后的熵 值变化，其值越大，表明网络受攻击前后 的总体 安全性 能下降得越厉害，即漏洞关联性 的影响后 果更大。最后，再以权重矢量对 2 种关联后果的量化结 果进行优化结合，得 出最终的漏洞转移风险关联后 果量化值。3 漏洞风险评估 实例 依据本文提 出的漏洞风险量化方法对 国家 电 网某 省 电力 公司 调度 管理信 息系统(D MI S，d i s p a t c h i n g ma n a g e me n t i n f o m a t i o n s y s t e m)进行 了风 险评估，得出了客观评估结果。根据第 2 2 节基于AH P的主体重要性能指标量 化方法，对属性层、影响层和资产层进行各个评估 项判断矩阵的构造。以属性层为例，安全属性的判 断反映了在主体重要性评估过程中对保密性、完整 性和 可用性 在 资产值 中相对 重要 性的认 识。令 f l，=保密性，完整性，可用性，对 于保密性、完整性和可用性在 电力 D MI S中的相对 重要性判断如表 2所示。表 2 层 次分析法的属性层 比较矩阵 对判断矩阵计算其特征值与特征向量，并进行 一致性检验，可知属性层的权重 向量为(0 5 3 9 6，0 2 9 7，O 1 6 3 4)。同理，对每层每个评估项构建 比较 矩阵，并进行一致性检验，得到层次单排序与资产 主体重要性总排序如表 3 所示，A=A l，A 2，A 3，A 4，A 5，A6，A 7，A 8 =数据库服务器，文档服务器，w_e b服务 器，应用服务器，系统管理员工作站，调度员工作 站，防火墙，1 0 0 0 Mb i t s 交换机。第 2期 周亮等：信息系统漏洞风险定量评估模型研究 7 5 表 3 主体重要性评估结果 评估项 曰1占 2 曰 3 B 4 曰 5 l 资产重要(权值)(O 1 5 5 7)(0 1 7 5 2)(0 1 6 8 4)(0 1 2 4 5)(0 1 2 2 8)(0 2 5 3 4)性总排序 以能造成 p i n g o f d e a t h攻击的漏洞为例，根据 2 _ 3节关联性后果量化方法首先主观定量关联性后 果值=4；其次，量化利用漏洞实施 p i n g o f d e a m 攻击前后的系统安全熵值。考虑 p i n g o f d e a m攻击 对于 电力 D MI S的网络流量、延迟抖动和系统资源 利用率 3 个指标的影响，在此基础上得到如表 4的 关联性结果=O 8 7。最后再以适当权值对上述 2 项定量值加 以修正。表 4 关联后果的客观量化 p i n g o f d e a 山基于攻击重现的关联性量化结果：0 8 7 4 结束语 从评估示例的定量结果上看：数据库服务器的 主体重要性评估值为 0 1 9 0 7，系统员管理工作站和 应用服务器次之，1 0 0 0 Mb i s 交换机值最小，这与 电力调度管理信息系统 中的资产重要性排序相一 致。在对能造成 p i n g o f d e a t h攻击的漏洞风险评估 过程中，既考虑了 p i n g o f d e a m攻击导致网络节点 问 I P层连通的后果，又加入 了攻击成功后系统安全 熵值的变化，进一步提高了关联性后果值量化的准 确性。基于漏洞关联网络的漏洞风险评估模型及主 体重要性、关联后果值优化定量方法，实现 了漏洞 风险科学、客观的评估。参考文献：【1】G ABR ANTS W M，CER T S E A A c o mp a r a t i v e e V a lu o n me t l 1 o d f 0 r s k ma I la g 啪 c n t me t h o d 0 1 0 g i e s a n d t 0 0 l s【A】，P mc c c d i n g s 0 f me S i x m Ar In u a 1 c 0 呷 u t e r S e c Ap p l i c 撕o n C o n f e r e n c e【C】1 9 9 0 2 5 1 2 5 7 【2】H AN S E O NG S，P O O NG HY UN S A s o f a r c s a f t y e v a Iu a t i 0 n me t h 0 d b a s e d o n f u z z y c 0 l 0 r e d p e i n e t s【A】P r 0 c e e d i n g s o f I n a _ t i o n a l C o n f e r c n c e 0 n F u z z y S y s t e m C 1 9 9 9 8 3 O 一 8 3 4 【3 C A N N WA C C I U oL o A，C AP f DO G A f u z z y mo d e l o f e V a l u a t i 0 n p r 0 c e s s【A P r o c e c d i n g s o f me F i f t l l mE E I I l t 啪 撕 0 n a l C 0 n f e r e n c e o n F u z z y S y s t e m【C】1 9 9 6 8 2 8 8 3 4 4】王英梅，刘增良，基于 P R A 的网络安全风险评估模型【J】计算机 工程，2 0 o 6，2 3(1)：4 0 42 W A NG Y M，L I U Z L A r i s k a s s e s s me n t m0 de】f 0 r n e t wo 畦 s c c c y b a s e d o n P R A J 1 C o m p u t e r E n g i n e c r i n g，2 0 o 6，2 3(1)：4 O-4 2 【5】P 巳】皿R T R I n f(1册 a i t 0 n S e c u r i t y R i s k An a l y s i s M】F l o r i d a：C R C P r e s s LL C 2 0 0 1 6】B E D F 0 R D CO 0K E R P r 0 b a b i l i s t i c R i s k A n a l y s i s M】C锄 b r i d g e Ul l i V e r s i t y P r e s s，2 0 01 【7】K M c，s E O N G P H A呷 u o n a 1 r n 【h o df o r p I D b a b m s a 脚 a s s c s s r r Ie n t 0 f i 趾 s y s 啪 sa n dh u n 1 a n 0 I)e 幻f si nn u de a r p a we r p l 锄吲lJ J R 曲i l i l)，E 昌 g a n d S y s t e m s a 矗 e 吼2 0 0 6 9 1：5 8 0-5 9 3 8】z H O U Z，J G，DO NG D，口 f R e 1 i a b m a Il a l y s i s o f m l t i s s y s【e m b a s e d o n b a y e s i a I l n e t w o r k s【A 1 3 t l l 唧I n t e ma n o n a 1 C0 n f e r e n c e a I 1 d W D r k s h 0 p 0 n t t 1 e En g i n e c r i n g 0 f C0 mp u t e r Ba s e d S y s t e m【C】P 0 t s d a r I l，Ge m I皿y：mE E C 0 珂 _p u t e r S o c i e 吼 2 0 o 6 3 4 4 3 4 9 【9】李涛 基于免疫的网络安全风险检测 J 中国科学(E辑一 信息科学)，2 0 o 5，3 5(8)：7 9 8 81 5 L I An i mmu I li t y b a S e d n e t w0 r k s e c u r i t y r i s k e s t j m撕o n J S c i e n c e i n C h i n a S e r i e s(E I n f 0 珊 撕 o n S c i e n c e s)，2 0 0 5，3 5(8)：7 9 8 8 1 5 【1 0】Rr r CHEY R，AMMANN P _ Us i n glo d e l c h e c k i n g t 0 a l l a l y z e n e t w0 r k V u l n e r a b i l i t i e s【A】P r 0 c e e d i n g s o f t l l e I E E E S y I n p o s i u m O n S e c u r i t y a n d P r i v a c y【C】0 a I皿d，i f 0 m 2 0 0 O 1 5 6 一 l 6 5 【l 1 汪渊，蒋凡，陈国 良 基于安全案例推理的网络安全分析方法研究 与应用 J 小型微型计算机系统，2 o 0 3，2 4(1 2)：2 O 8 2 2 0 8 5 WANG Y J I ANG E CHE N G L_ A n e t wo r k s e c u r i t y I皿a l y s i s m t l l o d r e s e a r c h a l l d a p p h c a 廿 0 n b a s e d 0 n c a s e b a s e d r e a s 0 玎 j I l g J Mi n i Mi c m S y s t c ms，2 0 o 3，2 4(1 2)：2 0 8 2-2 0 8 5 【1 2 张永铮，方滨兴，迟悦等网络风险评估中网络节点关联性的研究叨 计算机学报，2 o o 7，3 O(2)：2 3 5 2 4 O Z HANG Y Z，B NG B X，Cm Y 口 Re s e a r c h o n n e t wo 出 n o d e c 0 r r e l a n 0 n i n n e t w o r k r i s k a s s e s s me n t【J】C t Ii n e s e J o u ma l o f C o m p u t e r s，2 0 0 7，3 0(2)：2 3 5 2 4 0 【1 3】Y A U S S，z HA N G X Y Co m p u t e r n e t w o r k i n u s i 0 n d 瞅t i o n，a s s e s s me n t a n d p r e V e f n j o n b I船e d o n s e c u r it y d e p e n d e n c y r e l o n【A P r o c c c d i n g s O f t h e 2 3 r d A曲 u a l I n t e ma t i o n a l CO mp u t e T S 0 f 1 wa r e&A p p h c a t io n s C o n f e r e n c c【C】P h 0 e n i x，U S A，l 9 9 9 8 6 9 0 7 6-通信学报 第 3 O卷【l 4 张永铮，方滨兴，迟悦等用于评估网络信息系统的风险传播模型 J 1 软件学报，2 0 0 7，l 8(1)：1 3 7 一 l 4 5 z HANG Y Z，F ANG B X，Cm e#d f k p r o p|d g o n mo d e lf o r a s s e s s i n g n e t w o r k i n f 0 m a【i o n s y s t e ms【J】J o u ma l o f S o f t w a r e，2 o o 7，l 8(1)：1 3 7 1 4 5 1 5】周峥伟 一种基于攻击路径的安全漏洞风险评估模型 D】上海交通 大学 2 o o 6 z H 0 U z R e s e a r c h 0 n A n A t t a c k-Gr a p h B a s c d Mo d e l 0 f V u l I l e r-a b i 1 i t y R i s k E v a 1 u a n 0 n【D s h a I 1 g h a i J i a 0 t 0 n g un i v e r s i 吼 2 o 0 6 1 6】彭泽伟 信息系统安全风险量化模型研究及风险评估系统的实现【D】重庆大学，2 0 o 6 P E N G Z w R e s e a r c h o n R i s k Q u I皿t mc a t io n Mo d e 1 o f I I L 皿a t i o n S y s 跏 l S e c 锄i R e a】j z a d o n 0 f 呔 E v a l u 撕0 n S y 咖D)c I l伽g q _m g Un i v e r s i t v 2 O 0 6 作者简介：(上接 第 7 O页)周亮(1 9 8 O 一)，男，湖北孝感人，博 士，中国电力科学研究院信息与安全研究所 工程师，主要研究方向为电力信息系统及安 全。【7 L ACE J 正NS EN M A Va l i d 撕o n o f p a r 枷 e t c d i r e c t i 0 n a 1 MI MO c h a I 1n e l m0 d e l s f r o m wi d e b r皿 d F DTD s i u 1 a t i o n s 0 f a s i mp 1 e i n d o o r e n V i f 0 n me n t A 皿E An【e n n a s I皿d P r 0 p rd g S o c i e t y I n t S y -p C 2 0 0 3 5 3 5 5 3 8 8】L I U L L，HO N G W C h a r a c t e r i z a t i o n o f l i n e o f-s i g h t M【MO c h a n n e 1 f 0 r x e d w l e s s c o mm u n i c a t i 0 n s J I 脚A n te n n a S r皿d Wi r e l e s s P r 0 p a g a t i o n Le t t e r s 2 o o 7，6：3 6 3 9 【9 GES B ER T D，BOL CSKE I H_Ou t d 0 0 r MI MO wt r c l e s s c h a n n e l s：mo d e l s T皿d p e r f 0 r r n a n c e p r e d i c t i o n J】E E T r|皿s C o mmu n，2 0 0 2，5 0(1 2)：1 9 2 6 1 9 3 4 1 O F OS CHI NI G J L a y e r e d s p a c e t ime a r c h it e c t u r e f 0 r wi r e 1 e s s c 0 mmu n i c a t i o n i n a f a d i n g e n V i r 0 n me n t wh e n u s i n g mu l 七 i e l e me n t a n t e n n a s f J B e U L a b s 1 h J，l 9 9 6 1(2)：4 l 5 9 1 1】C AR V E R K，M K J Mi c ms mp a l l t e n n a t e c h n 0 l o g y J E E 1 hn s An t e n n a s 皿d P r【】p a 邑，1 9 8 1，2 9(1)：2 2 4 【l 2】HA R R I NG T 0 N R F T i l e-h a m o I li c E l e c t r D ma g n c F i e 1 d s M】。I E EE Pr e s s 2 O 0 1 1 3】BA l 也 I，B H AR 1 1 A s T u c H I s D e s n o f J T l i c r 0 s 嘶a t e n n a s 李俊娥(1 9 6 6 )，女，河北怀安人，博士，武汉大学教授，主要研究方向为计算 机网络体系结构与网络安全。陆天波(1 9 7 7 一)，男，贵州毕节人，博士，国家计算机网络应急技术处理协调中 心高级工程师，主要研究方向为网络与信息 安全、P 2 P计算等。刘开培(1 9 6 2 一)，男，湖北荆门人，博士，武汉大学教授，主要研究方向为信号 分析与处理、电力信息系统及安全、电力 自 动化系统。c o v e r e d w i t l l a d i e l e c mc l a y e r【J I E 王 狙 1 r a n s An【e n n a s a I l d P mp d g，l 9 8 2，3 0(2)：3 l 4 3 l 8 作者简介：刘蕾蕾(1 9 8 0 )，女，山东潍坊人，东南大学博士生，主要研究方向为新一代无 线通信中的信道建模。洪伟(1 9 6 2 )，男，河北张家 口人，东南大学教授、博士生导师、长江学者特聘 教授，主要研究方向为无线通信射频与天线 技术、微波毫米波理论与技术和计算电磁学 等。