基于攻击路径的全局漏洞检测

发布时间：2017-03-20 05:06

  本文关键词：基于攻击路径的全局漏洞检测，由笔耕文化传播整理发布。

【摘要】：网络技术的迅速发展,使人们对网络的依赖性越来越强。同时,网络环境中的安全问题也日趋严重。因此,网络脆弱性分析便成为网络安全管理员的重要工作。攻击路径是模拟攻击者攻击步骤的一种展示,它反映出整个网络环境中漏洞间的关联关系,是网络管理员分析网络脆弱性的一种重要手段。在以往利用攻击图模型对网络脆弱性进行评估时,网络管理员一般得到的是一张复杂的属性攻击图或状态攻击图,并不能直观、简洁地分析出网络中漏洞的关联关系。管理员首先需要对攻击图进行分析,找出网络中存在的关键漏洞,然后对网络进行安全措施部署,时间成本将大幅增加。本文采用元素集合方式对攻击路径构建所需要的信息进行建模,阐述了拓扑关系、节点信息、漏洞属性、原子攻击中包含的元素内容。将属性攻击图和状态攻击图进行结合并简化,形成网络漏洞利用关系图,在该图中可以清楚看到漏洞节点及其关联的前序节点和后序节点,以及模拟的攻击路径。采用深度优先和后向搜索的算法,对漏洞利用关系图中所包含的攻击路径进行搜索,将攻击路径以全局漏洞的形式进行输出。网络安全管理员可以根据输出的全局漏洞列表,快速锁定需要修复的漏洞,提高网络安全部署效率。同时,本文对全局漏洞概念进行完善,根据全局漏洞定义及特征对单个漏洞和全局漏洞进行量化,得出单个漏洞在漏洞利用关系图中被成功利用的概率,由此计算出全局漏洞成功利用概率。全局漏洞列表按照被成功利用的概率大小进行输出。在量化的过程中,本文提出一种优化的漏洞可利用性评估方法,该方法在CVSS漏洞评估基础上,除去环境属性中的影响因子,添加操作系统和攻击技术公开度两个影响因素,并且给出评估过程中使用的计算公式。最后,本文模拟网络实验环境,对实验环境中节点信息、拓扑关系等进行分析,对网络中的漏洞进行扫描,给出漏洞在CVE中的描述以及属性信息。使用Graphviz技术生成可用漏洞利用关系图。取利用关系图中的某个漏洞为例,根据本文提出的量化方法,给出计算此漏洞的可利用性概率以及被成功利用的概率的详细步骤。给出漏洞关系图中的每个漏洞量化值,根据量化结果计算得出全局漏洞被成功利用概率,输出全局漏洞列表。根据输出结果对本文模拟网络环境中的安全部署进行分析。
【关键词】：漏洞可利用性 攻击路径 全局漏洞 CVSS
【学位授予单位】：中国海洋大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TP393.08
【目录】：

• 摘要5-7
• Abstract7-11
• 1 引言11-16
• 1.1 研究背景及意义11-12
• 1.2 国内外研究现状12-14
• 1.3 本文主要内容14
• 1.4 本文组织结构14-16
• 2 漏洞检测技术分析16-23
• 2.1 漏洞概述16-18
• 2.1.1 漏洞定义16
• 2.1.2 漏洞特征16-17
• 2.1.3 漏洞分类17-18
• 2.2 典型漏洞库简介18-20
• 2.2.1 国内外漏洞库18-19
• 2.2.2 CVSS19-20
• 2.3 漏洞检测方法20-21
• 2.4 OpenVAS漏洞检测21-23
• 3 攻击路径构建相关技术研究23-38
• 3.1 网络攻击信息建模23-26
• 3.1.1 网络拓扑信息23
• 3.1.2 节点属性23-24
• 3.1.3 本地漏洞属性24-25
• 3.1.4 原子攻击25-26
• 3.2 攻击路径构建26-33
• 3.2.1 攻击路径构建分类26-27
• 3.2.2 攻击路径特征27-28
• 3.2.3 前向搜索和后向搜索28-31
• 3.2.4 深度优先搜索算法和广度优先搜索算法31-33
• 3.3 攻击路径图生成33-38
• 3.3.1 传统攻击路径图简化33-36
• 3.3.2 Graphviz技术概述36-38
• 4 漏洞量化分析及全局漏洞检测38-50
• 4.1 一种优化的漏洞可利用性量化方法38-43
• 4.1.1 CVSS漏洞评估缺陷38-40
• 4.1.2 漏洞可利用性量化影响因素改进40-41
• 4.1.3 漏洞可利用性计算41-43
• 4.2 漏洞被成功利用概率量化方法43-45
• 4.3 全局漏洞分析45-50
• 4.3.1 全局漏洞45-46
• 4.3.2 全局漏洞检测及量化46-48
• 4.3.3 一个简单全局漏洞检测示例48-50
• 5 实验与结果分析50-60
• 5.1 实验环境分析50-51
• 5.2 攻击路径构建信息分析51-58
• 5.2.1 节点信息分析51-52
• 5.2.2 网络拓扑信息52
• 5.2.3 漏洞属性52-53
• 5.2.4 漏洞可利用性概率53-55
• 5.2.5 漏洞利用关系图55-57
• 5.2.6 漏洞成功利用概率计算57-58
• 5.3 全局漏洞检测结果分析58-60
• 6 工作总结与展望60-62
• 6.1 本文总结60-61
• 6.2 展望61-62
• 参考文献62-65
• 致谢65-67
• 个人简历67

【相似文献】

中国期刊全文数据库 前10条

1 张少俊;李建华;陈秀真;;一种基于渗透模型的网络攻击路径挖掘方法[J];上海交通大学学报;2008年07期

2 蔡林;刘学忠;;基于攻击路径图的威胁评估方法[J];计算机应用;2009年S1期

3 彭武;胡昌振;姚淑萍;;基于攻击路径图的入侵意图识别[J];北京理工大学学报;2010年09期

4 傅鹂;吴金鹏;周贤林;;基于攻击路径的业务影响分析[J];重庆工学院学报(自然科学版);2009年01期

5 刘志杰;王崇骏;;一个基于复合攻击路径图的报警关联算法[J];南京大学学报(自然科学版);2010年01期

6 周峥伟;陈秀真;林梦泉;薛质;;基于攻击路径的漏洞风险评估模型[J];信息安全与通信保密;2007年05期

7 于泠;陈波;肖军模;;一种网络攻击路径重构方案[J];电子科技大学学报;2006年03期

8 李庆朋;王布宏;王晓东;张春明;;基于最优攻击路径的网络安全增强策略研究[J];计算机科学;2013年04期

9 张凤斌;孙刚;张斌;;一种基于免疫入侵检测的攻击路径标志技术研究[J];计算机应用研究;2014年01期

10 赵涛;唐学文;张海龙;;基于IPv4选项包标记的路径重构策略[J];计算机工程;2011年13期

中国重要会议论文全文数据库 前2条

1 秦超;桂尼克;;基于攻击路径的信息系统安全脆弱性分析[A];全国计算机安全学术交流会论文集（第二十四卷）[C];2009年

2 揭摄;孙乐昌;;包标记IP追踪中最弱链对策问题研究[A];2005年“数字安徽”博士科技论坛论文集[C];2005年

中国硕士学位论文全文数据库 前6条

1 姜慧;基于攻击路径的全局漏洞检测[D];中国海洋大学;2015年

2 张祥;基于攻击路径图的渗透测试技术研究及应用[D];郑州大学;2011年

3 周峥伟;一种基于攻击路径的安全漏洞风险评估模型[D];上海交通大学;2007年

4 张海龙;基于拒绝服务攻击追踪的概率包标记研究[D];重庆大学;2010年

5 王钰;一种新的IP回溯方案CIPM[D];电子科技大学;2004年

6 李文兴;动—静态结合的概率包标记技术研究[D];中南大学;2010年

  本文关键词：基于攻击路径的全局漏洞检测，由笔耕文化传播整理发布。

，

本文编号：257196