基于圖論的網(wǎng)絡(luò)脆弱性評估系統(tǒng)的研究與實現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)攻擊技術(shù)也在不斷進步，網(wǎng)絡(luò)攻擊者經(jīng)常在整個網(wǎng)絡(luò)中利用“多點脆弱性”來逐步提高自身的權(quán)限，最終達到控制目標機器的目的。脆弱性評估能對網(wǎng)絡(luò)安全狀況進行評估和預警，因此顯得越來越重要。然而目前的脆弱性評估系統(tǒng)主要偏重于單機檢查，整體分析功能較弱，即從網(wǎng)絡(luò)整體的角度對網(wǎng)絡(luò)中存在的脆弱性之間的關(guān)系進行關(guān)聯(lián)分析的功能少。因此，本文以華東(北)地區(qū)網(wǎng)絡(luò)中心為實驗背景，從研究攻擊者攻擊過程的角度出發(fā)，利用掃描工具對網(wǎng)絡(luò)中可

2、能存在的脆弱性進行收集，然后對脆弱性之間的相互關(guān)系進行關(guān)聯(lián)分析，采用圖論的方法將多點脆弱性轉(zhuǎn)換為系統(tǒng)攻擊圖，在此基礎(chǔ)上對攻擊路徑進行搜索、分析，并采用模糊綜合評判的方法對網(wǎng)絡(luò)系統(tǒng)中各主機的安全狀態(tài)進行評估。 對于華東(北)地區(qū)網(wǎng)絡(luò)中心這個規(guī)模的網(wǎng)絡(luò)系統(tǒng)，攻擊圖的構(gòu)造是一個非常耗時的過程。攻擊圖構(gòu)造過程的主要時間花費在“規(guī)則的可滿足性判斷”操作上，因此論文采用快速匹配算法RETE來處理“規(guī)則的可滿足性判斷”問題，從而保證了攻擊

3、圖的構(gòu)造效率。然而，RETE算法的效率又由其對應(yīng)的規(guī)則模式排列次序決定的。論文借鑒Ishida提出的代價模型思想，針對RETE連接結(jié)構(gòu)提出了一種將一致性測試操作代價和查詢操作代價結(jié)合在一起的代價模型，并基于該代價模型設(shè)計了對應(yīng)的針對RETE算法的規(guī)則模式排列次序優(yōu)化算法CBOR，其主要思想為：針對每條滲透規(guī)則列舉可能的模式排列次序，并計算對應(yīng)的RETE連接網(wǎng)絡(luò)結(jié)構(gòu)的代價，然后選取代價最小的結(jié)構(gòu)對應(yīng)的規(guī)則模式排列次序作為最終結(jié)果。該優(yōu)化算

4、法使得優(yōu)化后的連接網(wǎng)絡(luò)對應(yīng)的操作次數(shù)明顯小于優(yōu)化之前，運行速度也提高了47.3﹪。 論文第一章對網(wǎng)絡(luò)攻擊狀況和脆弱性評估系統(tǒng)的研究現(xiàn)狀進行簡單的分析，提出了設(shè)計一種具有“多點脆弱性”分析功能的脆弱性評估系統(tǒng)的必要性和迫切性；第二章首先對網(wǎng)絡(luò)攻擊和攻擊圖模型進行分析；接著對滲透及網(wǎng)絡(luò)系統(tǒng)進行模擬并引入了描述滲透及網(wǎng)絡(luò)系統(tǒng)的語言，在此基礎(chǔ)上分析了攻擊圖的構(gòu)造過程；最后闡述了基于攻擊圖的決策分析，包括攻擊路徑的搜索，攻擊路徑危害程

5、度分析以及攻擊路徑成功概率的分析；第三章介紹了應(yīng)用于“規(guī)則的可滿足性判斷”的快速匹配算法RETE，并對傳統(tǒng)的針對RETE算法的規(guī)則模式排列次序優(yōu)化方法進行了分析，同時借鑒Ishida的代價模型思想提出了適用于本論文系統(tǒng)的代價模型，并基于該代價模型設(shè)計了相應(yīng)的針對RETE算法的規(guī)則模式排列次序優(yōu)化算法CBOR；第四章在前三章的基礎(chǔ)上，對基于圖論的脆弱性評估系統(tǒng)進行了設(shè)計并實現(xiàn)。第五章對GVA系統(tǒng)的功能、性能以及CBOR算法的效果進行了測試