网络技术加速了社会信息化进程。但是网络安全形势日趋严峻,网络攻击技术正在不断地向隐蔽、高效和智能化方向发展。攻击者往往会采取多步骤网络攻击的方式对网内多个脆弱点实施逐步击破,进行威胁传播。针对这种多步骤网络攻击造成的潜在威胁进行有效识别,实施科学地网络安全风险计算,指导网络系统安全技术体系的建设,达到网络系统的“适度安全”,是当前网络安全风险评估研究的焦点。本文通过对网络安全特征的深入分析,结合网络系统安全风险评估工作的实践,定义了多目标攻击图来揭示目标网络内潜在威胁的传播路径,在此基础上提出了基于多目标攻击图的层次化网络安全风险评估框架MAG-SRE,它包含潜在威胁识别、网络安全风险计算和安全防护3项评估内容,目标网络和攻击者建模、多目标攻击图自动构建、多目标攻击图复杂度管理、网络安全风险计算和最优弥补集计算等5个评估阶段以及13个评估步骤。本文深入研究了每个评估阶段所对应的关键技术。对于目标网络和攻击者建模阶段,首先根据网络系统的层次化特点,提出了面向属性的层次化目标网络模型;其次,在深入研究开放脆弱性数据库的基础上,提出了利用攻击模式知识库对攻击者的攻击能力建模;然后,为了能够形式化描述目标网络和攻击者模型,提出了AGML建模语言;最后,提出了两种模型参数自动获取技术,有效支持大规模目标网络建模的自动化。对于多目标攻击图自动构建阶段,针对攻击图构建算法的可扩展性这个挑战问题,通过深入分析攻击者和目标网络模型的特点,以及传统构建算法的不足,提出了攻击模式过滤、属性压缩和实例化检查三种优化技术;然后基于这三种优化技术,提出了多目标攻击图构建算法;最后,对该算法的时间复杂度进行了分析,并通过模拟实验验证了该算法具有良好的可扩性,能够为具有复杂网络拓扑结构的大规模目标网络自动构建多目标攻击图。对于多目标攻击图复杂度管理阶段,针对降低大规模攻击图复杂度这个挑战问题,从反映真实攻击想定的角度,提出了有效攻击路径分析技术;从反映网络中不同抽象构件间攻击依赖关系的角度,提出了层次化聚合技术;从反映目标网络中脆弱点间依赖关系的角度,提出了脆弱点依赖关系提取技术。同时,为了实现多目标攻击图复杂度管理的自动化,提出了各复杂度管理技术的相关算法。实践表明,通过这些复杂度管理技术有效降低了攻击图的复杂度,方便了安全评估者直观理解和有效分析大规模复杂多目标攻击图。对于网络安全风险计算阶段,提出了面向多目标攻击图的层次化网络安全风险计算方法。它利用多目标攻击图有效识别目标网络所面临的潜在威胁,利用威胁发生概率计算模型、影响分析模型以及网络安全风险指数计算模型,从服务、主机和系统三个层次来评价目标网络内各对象的安全风险指数。与传统网络安全风险计算方法相比,该方法具有客观性、可重复性和可对比性三个特点。对于最优弥补集计算阶段,首先通过对最优弥补集问题形式化描述,证明了该问题是NP完全性问题;然后提出了两种方法求解该问题。其一是精确求解算法,它可以应用在小规模攻击图上产生最优弥补集问题的精确解,但是它的时间复杂度为指数级,不能应用于大规模攻击图;其二是近似求解算法,它具有多项式时间复杂度,并且理论上推算了该算法的最差性能,结果表明能够应用于大规模攻击图。这两种算法互为补充。在实际运用中,可针对具体情况选择不同的求解算法。总之,通过对关键技术的深入研究,不仅有效支撑和完善了基于多目标攻击图的层次化网络安全风险评估方法,也对攻击图技术的完善和发展起到了积极推动作用。