目前,随着信息技术的发展和全球化,网络入侵等黑客事件频繁发生。网络安全形势日益严峻,各大机构都试图通过各种安全评估方式评估自身网络的安全性。攻击图技术基于整体网络漏洞,从攻击者的角度,发现攻击可能性,找出所有通向特定关键目标的攻击路径,有助于网络安全专家有针对性的采取防御措施。不过,当网络中主机数量增多时(超过10台),复杂度往往会指数级上升,而且目前的攻击图表现形式中往往缺乏逻辑形式,导致在实际应用的过程中收效甚微。因此本文基于Datalog逻辑查询语句,对目标网络安全要素进行建模,提出了一种逻辑攻击图的生成技术,然后针对攻击路径冗杂问题,设计了删减冗余路径的方法,提升了攻击图的可视化效果。本文主要的工作如下:(1)基于Datalog逻辑查询语言对目标网络的安全元素进行建模,包括漏洞声明、机器配置、网络配置以及用户主体信息。同时,定义了推导规则和安全策略,安全策略则是指管理员允许的数据访问和修改行为,而推导规则则对分析结果有直接影响。本文提出三种基于攻击谓词的攻击形式,涵盖了攻击者的大部分攻击行为。提出了主机访问控制列表概念,用于控制主机之间的连通性。通过定义安全策略,给出了判定用户行为是否为攻击行为的准则;(2)提出了逻辑攻击图的模型结构,以派生规则和事实作为节点,形成多漏洞利用和多级攻击的逻辑攻击图,能够形象的表达攻击者每个行为之间的联系。设计了攻击路径生成算法,定义该算法的输入数据结构AttackTrace,路径生成算法通过循环遍历AttackTrace集合,根据依赖关系生成攻击路径,有效降低了算法时间复杂度,通过实验验证了在中等规模网络中的适用性;(3)提出了基于聚合子网的双层级无用路径确定方法。通过给出控制节点定义,从子网间和子网内两个视角找出无用路径,进而提取出原逻辑攻击图中的关键路径。同时,提出抽象节点的创建策略。用它来代表一种攻击模式,将所有相同攻击模式的攻击路径指向同一节点。用户可通过此方法清晰地了解关键攻击所代表的攻击方式,提高了攻击图的可视化效果。