工具：MulVAL

攻击图表示了被评估的网络或信息系统中存在的脆弱点以及攻击者利用这些脆弱点进行一步或多步攻击的各种可能的攻击路径。学术界对攻击图的自动化生成方法进行了充分的研究，并且得到了有效的研究成果和实际应用的工具，使得攻击图的生成复杂度以及攻击图的规模能够控制在 \(O(n^2)\) 之内，因此，攻击图模型相对其他脆弱性评估模型而言，有巨大的优势。

网络安全态势预测中，一个重要的指标是攻击发生的可能性大小，即攻击概率。攻击概率反映了网络的安全状况，并预测将会发生的攻击及其可能性大小，这是后续安全态势计算的基础。

状态攻击图存在状态爆炸问题，无法适用于大规模网络。而属性攻击图则避免了状态爆炸现象。

大部分论文，都是通过对网络或信息系统中的脆弱点利用的不确定性以及脆弱点利用的关联性来计算攻击概率（或类似的指标），但忽略了网络或信息系统中资产分布和威胁分布状况等重要环境因素对攻击发生可能性的影响¹。

由于基于贝叶斯网络的方法能够充分利用攻击图的结构和脆弱点利用复杂度等信息，从而不需要对结构和参数进行学习，加上贝叶斯网络在概率逻辑关系推理方面的优势，使其适用于网络安全态势感知。

1. 攻击条件 \(S\)

攻击条件指的是访问权限、网络连通性、系统状态、网络状态等攻击者可以获得或利用的网络或信息系统属性。

1. 原子攻击 \(A(S_{pre}, S_{post})\)

原子攻击指的是攻击者的一次基本攻击，对应于一次脆弱点利用。对于每一个原子攻击 \(a \in A\) ，只有满足其前提条件集合 \(S_{pre}\) ，才可能成功发动该原子攻击。而当该原子攻击成功发生之后，攻击者将会获得其后置条件集合 \(S_{post}\) 。

1. 攻击难度 \(D(a)\)

在实际情况中，不能脆弱点的利用难度是不同的。有些脆弱点的利用不需要借助其他额外条件，而有些则必须依赖其他行为。CVSS给出了脆弱点的攻击难度度量的依据。

1. 资产 \(H\)

资产是网络中存在价值的信息和资源，是网络中需要保护的对象。包括网络中的硬件、软件、文档、数据等。

在分析攻击概率的时候，不能忽略资产对攻击发生可能性的影响。为了分析资产的价值和重要度对攻击发生可能性的影响，定义了攻击收益的概念。

1. 攻击收益 \(G\)

资产被成功攻击后攻击者获得的收益的度量指标。

1. 攻击成功概率 \(P\)

\(BAG=(S, A, E, P)\)

攻击图中的节点除了各种状态，还包括攻击。而转化为贝叶斯攻击图后，连接状态之间的边就是攻击。