摘要:针对现有模型在处理开源软件供应链中复杂依赖关系和潜在威胁路径时过于简化,难以应对大数据时代背景下网络系统中的开源风险问题,提出基于攻防博弈的网络系统动态风险评估模型。该模型首先整合系统拓扑结构信息、开源组件信息以及漏洞信息构建开源风险传播知识图谱;其次,基于知识图谱设计开源风险传播威胁路径生成算法获取威胁路径,并评估每条威胁路径的潜在风险,确定最大可能威胁路径;最后引入随机博弈的思想,建立基于风险博弈的网络系统风险评估模型NSRAM-RG,分析网络系统中攻防双方针对最大可能威胁路径的博弈行为,动态更新知识图谱,并依据双方效用函数来量化评估网络系统的风险,实现对网络系统的动态风险量化评估。实验结果表明,评估方法在考虑了开源风险传播后能够动态评估网络系统的安全风险值,准确的反应出系统的风险变化。