攻击者可通过渗透网络中的某台主机并以其为跳板，逐步渗透，最终实现损害网络中重要资产的目的。到达攻击目标的所有可能的攻击路径形成了攻击图。研究攻击图对网络防护具有重要意义。　　 本文对网络攻击图生成及其应用技术进行了研究，取得以下研究成果：　　 1)通过对漏洞描述信息中的关键字进行模糊匹配，实现对原子攻击的自动化建模，克服了以往单纯通过人工分析对原子攻击进行建模存在枯燥、易出错的缺点。　　 2)实现了网络可达信息计算引擎Reach Computig，它通过导入防火墙规则文件计算网络中的主机可达信息，克服了现有攻击图生成方法中普遍通过网络扫描获得网络可达性信息存在信息不完整、耗时长、存在网络干扰等不足。　　 3)提出了一种基于单调性假设的完全攻击图生成算法。同现有算法相比，它不但考虑了客户端漏洞，防止丢失攻击路径，而且具有O(N2)的时间复杂度，适用于大规模网络攻击图的生成。　　 4)设计了一个具有线性复杂度的Greedy-MCSE算法计算最小关键渗透集，通过修复最小关键渗透集中的漏洞实现对网络的最小化代价加固。在漏洞无法修复而又不得不开放服务时，部署最少量的IDS设备覆盖残留攻击路径。　　 5)提出不回溯性假设，并基于该假设提出一种计算有环攻击图中节点风险概率的算法。该算法通过临时移除循环路径中的节点在环路中的出口边及随后产生的不可达节点来打破环路，避免节点风险概率重复计算。同现有算法相比，该算法计算的节点概率精度更高，具有线性时间复杂度，适用于大规模网络。