USBKey脆弱性分析的事件分解模型

发布时间：2018-11-24 18:11

【摘要】：该文提出了一种基于事件分解的威胁建模方法,并对该方法在网银盾USBKey的脆弱性分析中的应用进行了分析。从应用需要保护的资产出发,此建模方法先标识出资产可能面临的威胁,通过将威胁视为事件,对事件进行逐步分解直至原子事件,以此简化威胁分析过程。该方法以事件树的方式来组织分解过程,通过该树状结构,可获得产生威胁的所有可能的攻击路径,以便检查威胁分析的完备性。对选取的攻击路径,还提出了计算威胁成功概率的方法。结合事件分解模型和通用评估准则中攻击潜力的计算方法,以USBKey中的PIN码安全为例,对USBKey产品进行了脆弱性分析。分析表明:事件分解模型为脆弱性分析提供了一套合理可行的方法,可用于提升信息产品安全评估过程的完备性。
[Abstract]:In this paper, a threat modeling method based on event decomposition is proposed, and its application in vulnerability analysis of silver shield USBKey is analyzed. Starting from the assets that need to be protected, this modeling method first identifies the threats that the assets may face. By treating the threats as events, the events are decomposed step by step until the atomic events, so as to simplify the process of threat analysis. In this method, the decomposition process is organized by event tree. By using the tree structure, all possible attack paths to generate threats can be obtained in order to check the completeness of threat analysis. A method to calculate the probability of threat success is also proposed for the selected attack path. Based on the event decomposition model and the calculation method of attack potential in general evaluation criteria, the vulnerability analysis of USBKey products is carried out by taking the security of PIN code in USBKey as an example. The analysis shows that the event decomposition model provides a set of reasonable and feasible methods for vulnerability analysis and can be used to improve the completeness of information product security assessment process.
【作者单位】： 中国信息安全测评中心;
【基金】：国家自然科学基金资助项目(61202493)
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 蔡洪亮;卢昱;;基于拓扑结构的空间信息网络脆弱性分析[J];军械工程学院学报;2010年05期

2 韩颖;张鉴;;互联网脆弱性分析和安全保障体系的思考[J];信息网络安全;2008年09期

3 王刚;杨任农;;战术数据链网络脆弱性分析方法研究[J];计算机工程与应用;2008年31期

4 张凯;;小议IP路由协议及其脆弱性分析[J];今日科苑;2010年02期

5 李宏宇;;几种网络互连设备的脆弱性分析[J];通信技术;2008年03期

6 李永明;;基于攻击图的网络安全脆弱性分析技术研究[J];华章;2010年18期

7 李菁;刘嘉勇;胡勇;;几种网络互连设备的脆弱性分析[J];网络安全技术与应用;2006年10期

8 李海强;;网络安全及网络安全评估的脆弱性分析[J];硅谷;2008年01期

9 章轶;刘皖;陈琳;;RFID系统脆弱性分析及其攻击者模型设计[J];微计算机信息;2008年05期

10 吕镇邦,张军才,张军;网络安全漏洞扫描与脆弱性分析研究[J];航空计算技术;2005年02期

相关会议论文 前9条

1 李波;伊瑞海;卢昱;;空间信息网络拓扑结构脆弱性分析系统设计与实现[A];2006通信理论与技术新进展——第十一届全国青年通信学术会议论文集[C];2006年

2 张熙;谷利泽;李忠献;;基于USBKEY的Kerberos认证协议的研究与实现[A];中国电子学会第十五届信息论学术年会暨第一届全国网络编码学术年会论文集（上册）[C];2008年

3 胡鸿鹄;谷利泽;杨榆;钮心忻;;基于USBKey和ICE的局域网文件安全传输方案的设计与实现[A];2009通信理论与技术新发展——第十四届全国青年通信学术会议论文集[C];2009年

4 刘克胜;;Windows 2000安全帐号的加密技术及脆弱性分析[A];2005年“数字安徽”博士科技论坛论文集[C];2005年

5 季辉;;人民检察院网络信息安全体系建设思考[A];第十八次全国计算机安全学术交流会论文集[C];2003年

6 曲成义;;计算机网络数据安全系统[A];第五次全国计算机安全技术交流会论文集[C];1990年

7 石磊;王勇军;;面向攻击图的攻击模式研究[A];第十六届全国青年通信学术会议论文集（上）[C];2011年

8 许榕生;刘宝旭;;入侵取证的国际技术动态[A];第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C];2002年

9 曹岳;尤扬;;浅析网上银行客户身份鉴别安全[A];第26次全国计算机安全学术交流会论文集[C];2011年

相关重要报纸文章 前6条

1 ;脆弱性扫描产品功能指标说明[N];网络世界;2001年

2 刘宏伟;IMS统一IDS[N];中国计算机报;2004年

3 本报记者 边歆;管理漏洞 拥有安全[N];网络世界;2008年

4 天融信公司副总裁 陈爱锋;全网安全要完全[N];中国计算机报;2004年

5 ;安全威胁管理技术（Security Threat Management)[N];网络世界;2005年

6 陈飞雪;浅谈网银大盗及其防范措施[N];中国计算机报;2005年

相关博士学位论文 前7条

1 王W，

本文编号：2354544