基于攻击路径的全局漏洞检测
本文关键词:基于攻击路径的全局漏洞检测,由笔耕文化传播整理发布。
【摘要】:网络技术的迅速发展,使人们对网络的依赖性越来越强。同时,网络环境中的安全问题也日趋严重。因此,网络脆弱性分析便成为网络安全管理员的重要工作。攻击路径是模拟攻击者攻击步骤的一种展示,它反映出整个网络环境中漏洞间的关联关系,是网络管理员分析网络脆弱性的一种重要手段。在以往利用攻击图模型对网络脆弱性进行评估时,网络管理员一般得到的是一张复杂的属性攻击图或状态攻击图,并不能直观、简洁地分析出网络中漏洞的关联关系。管理员首先需要对攻击图进行分析,找出网络中存在的关键漏洞,然后对网络进行安全措施部署,时间成本将大幅增加。本文采用元素集合方式对攻击路径构建所需要的信息进行建模,阐述了拓扑关系、节点信息、漏洞属性、原子攻击中包含的元素内容。将属性攻击图和状态攻击图进行结合并简化,形成网络漏洞利用关系图,在该图中可以清楚看到漏洞节点及其关联的前序节点和后序节点,以及模拟的攻击路径。采用深度优先和后向搜索的算法,对漏洞利用关系图中所包含的攻击路径进行搜索,将攻击路径以全局漏洞的形式进行输出。网络安全管理员可以根据输出的全局漏洞列表,快速锁定需要修复的漏洞,提高网络安全部署效率。同时,本文对全局漏洞概念进行完善,根据全局漏洞定义及特征对单个漏洞和全局漏洞进行量化,得出单个漏洞在漏洞利用关系图中被成功利用的概率,由此计算出全局漏洞成功利用概率。全局漏洞列表按照被成功利用的概率大小进行输出。在量化的过程中,本文提出一种优化的漏洞可利用性评估方法,该方法在CVSS漏洞评估基础上,除去环境属性中的影响因子,添加操作系统和攻击技术公开度两个影响因素,并且给出评估过程中使用的计算公式。最后,本文模拟网络实验环境,对实验环境中节点信息、拓扑关系等进行分析,对网络中的漏洞进行扫描,给出漏洞在CVE中的描述以及属性信息。使用Graphviz技术生成可用漏洞利用关系图。取利用关系图中的某个漏洞为例,根据本文提出的量化方法,给出计算此漏洞的可利用性概率以及被成功利用的概率的详细步骤。给出漏洞关系图中的每个漏洞量化值,根据量化结果计算得出全局漏洞被成功利用概率,输出全局漏洞列表。根据输出结果对本文模拟网络环境中的安全部署进行分析。
【关键词】:漏洞可利用性 攻击路径 全局漏洞 CVSS
【学位授予单位】:中国海洋大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08
【目录】:
- 摘要5-7
- Abstract7-11
- 1 引言11-16
- 1.1 研究背景及意义11-12
- 1.2 国内外研究现状12-14
- 1.3 本文主要内容14
- 1.4 本文组织结构14-16
- 2 漏洞检测技术分析16-23
- 2.1 漏洞概述16-18
- 2.1.1 漏洞定义16
- 2.1.2 漏洞特征16-17
- 2.1.3 漏洞分类17-18
- 2.2 典型漏洞库简介18-20
- 2.2.1 国内外漏洞库18-19
- 2.2.2 CVSS19-20
- 2.3 漏洞检测方法20-21
- 2.4 OpenVAS漏洞检测21-23
- 3 攻击路径构建相关技术研究23-38
- 3.1 网络攻击信息建模23-26
- 3.1.1 网络拓扑信息23
- 3.1.2 节点属性23-24
- 3.1.3 本地漏洞属性24-25
- 3.1.4 原子攻击25-26
- 3.2 攻击路径构建26-33
- 3.2.1 攻击路径构建分类26-27
- 3.2.2 攻击路径特征27-28
- 3.2.3 前向搜索和后向搜索28-31
- 3.2.4 深度优先搜索算法和广度优先搜索算法31-33
- 3.3 攻击路径图生成33-38
- 3.3.1 传统攻击路径图简化33-36
- 3.3.2 Graphviz技术概述36-38
- 4 漏洞量化分析及全局漏洞检测38-50
- 4.1 一种优化的漏洞可利用性量化方法38-43
- 4.1.1 CVSS漏洞评估缺陷38-40
- 4.1.2 漏洞可利用性量化影响因素改进40-41
- 4.1.3 漏洞可利用性计算41-43
- 4.2 漏洞被成功利用概率量化方法43-45
- 4.3 全局漏洞分析45-50
- 4.3.1 全局漏洞45-46
- 4.3.2 全局漏洞检测及量化46-48
- 4.3.3 一个简单全局漏洞检测示例48-50
- 5 实验与结果分析50-60
- 5.1 实验环境分析50-51
- 5.2 攻击路径构建信息分析51-58
- 5.2.1 节点信息分析51-52
- 5.2.2 网络拓扑信息52
- 5.2.3 漏洞属性52-53
- 5.2.4 漏洞可利用性概率53-55
- 5.2.5 漏洞利用关系图55-57
- 5.2.6 漏洞成功利用概率计算57-58
- 5.3 全局漏洞检测结果分析58-60
- 6 工作总结与展望60-62
- 6.1 本文总结60-61
- 6.2 展望61-62
- 参考文献62-65
- 致谢65-67
- 个人简历67
【相似文献】
中国期刊全文数据库 前10条
1 张少俊;李建华;陈秀真;;一种基于渗透模型的网络攻击路径挖掘方法[J];上海交通大学学报;2008年07期
2 蔡林;刘学忠;;基于攻击路径图的威胁评估方法[J];计算机应用;2009年S1期
3 彭武;胡昌振;姚淑萍;;基于攻击路径图的入侵意图识别[J];北京理工大学学报;2010年09期
4 傅鹂;吴金鹏;周贤林;;基于攻击路径的业务影响分析[J];重庆工学院学报(自然科学版);2009年01期
5 刘志杰;王崇骏;;一个基于复合攻击路径图的报警关联算法[J];南京大学学报(自然科学版);2010年01期
6 周峥伟;陈秀真;林梦泉;薛质;;基于攻击路径的漏洞风险评估模型[J];信息安全与通信保密;2007年05期
7 于泠;陈波;肖军模;;一种网络攻击路径重构方案[J];电子科技大学学报;2006年03期
8 李庆朋;王布宏;王晓东;张春明;;基于最优攻击路径的网络安全增强策略研究[J];计算机科学;2013年04期
9 张凤斌;孙刚;张斌;;一种基于免疫入侵检测的攻击路径标志技术研究[J];计算机应用研究;2014年01期
10 赵涛;唐学文;张海龙;;基于IPv4选项包标记的路径重构策略[J];计算机工程;2011年13期
中国重要会议论文全文数据库 前2条
1 秦超;桂尼克;;基于攻击路径的信息系统安全脆弱性分析[A];全国计算机安全学术交流会论文集(第二十四卷)[C];2009年
2 揭摄;孙乐昌;;包标记IP追踪中最弱链对策问题研究[A];2005年“数字安徽”博士科技论坛论文集[C];2005年
中国硕士学位论文全文数据库 前6条
1 姜慧;基于攻击路径的全局漏洞检测[D];中国海洋大学;2015年
2 张祥;基于攻击路径图的渗透测试技术研究及应用[D];郑州大学;2011年
3 周峥伟;一种基于攻击路径的安全漏洞风险评估模型[D];上海交通大学;2007年
4 张海龙;基于拒绝服务攻击追踪的概率包标记研究[D];重庆大学;2010年
5 王钰;一种新的IP回溯方案CIPM[D];电子科技大学;2004年
6 李文兴;动—静态结合的概率包标记技术研究[D];中南大学;2010年
本文关键词:基于攻击路径的全局漏洞检测,由笔耕文化传播整理发布。
,本文编号:257196
本文链接:https://www.wllwen.com/shoufeilunwen/xixikjs/257196.html