基于攻击树的网络弱点分析系统的设计与实现

摘要

网络安全评估对保障网络安全起着重要作用，是目前网络安全解决方案中必不呵少的部分。网络安全评估主要通过弱点扫描系统对网络进行检查，发现其中可能被黑客利用的漏洞或误配置，并对系统的安全状况进行分析、评估，对发现的问题提出解决建议，从而提高网络的安全性能。然而当前的网络弱点扫描器也有其局限性，本研究针对其局限性，在攻击树模型的基础上，提出了一个加入弱点分析技术的网络弱点分析系统的新模型，从而提高了其在网络安全评估中的效率和实用性。 本研究围绕弱点分析系统，开展了以下几个方面的工作： 1、在对当前弱点扫描器研究的基础上，指出当前弱点扫描技术在安全评估中存在的问题，并说明引入弱点分析技术的必要性。系统分析并总结了当前主要的弱点分析技术，其中详细分析了攻击树方法，阐述了其在弱点分析中的优势，并指出了攻击树技术在实际应用中存在可重用性和协作性差、概念容易混淆、结构的可扩展性差、不能描述攻击间的复杂关系、评估参数算过于简单等问题。 2、针对攻击树方法中存在的问题，提出了一个改进的模型。在新模型中建立了一个统一的、固定的、易于维护的攻击描述方法，采用了“图”的攻击描述方法等，从而较好地解决了攻击树方法所存在的问题。 3、在新模型的基础上，设计并实现了一个“网络弱点分析系统”的原型，并将其应用于实际工作中。原型系统初步实现了两个功能：(1)对导入的扫描器的结果进行分析，将所有可能形成威胁的攻击路径通过攻击图的形式表现出来，使管理员对整个系统的弱点以及相互之间的关联形成一个整体认识；同时通过对各个攻击路径的计算，使管理员理解哪里是最危险的弱点，哪里是最关键的弱点，从而能迅速做出相应的安全对策。(2)可以进行事前安全验证。使用者输入想要验证的系统的操作系统、开放的服务等参数，便可得到相应的所有可能攻击的一系列的攻击图，以及相应的评估参数，如攻击成功的可能性、对攻击者技能要求的高低等，这样，使用者可对所要准备构建的网络的安全形势有一个提前的预知。

目录

文摘

英文文摘

东南大学学位论文独创性声明及学位论文使用授权声明

第一章绪论

1.1研究背景

1.2网络弱点评估

1.3研究目标

1.4研究的主要内容

1.4.1构建一个适合弱点分析的模型

1.4.2根据模型实现一个弱点分析的原型系统

1.5文章结构

第二章网络弱点分析技术

2.1引言

2.2攻击树技术

2.2.1节点及其值

2.2.2一个PGP样例

2.2.3创建攻击树

2.3攻击网(Attack Net)方法

2.4其他技术

2.4.1故障树(FTA)方法

2.4.2攻击图(Attack Graph)方法

2.4.3攻击模式(Attack Pattern)方法

2.5攻击树技术的优点

2.6攻击树技术存在的问题

2.7网络弱点分类方法研究

2.7.1网络弱点分类方法

2.7.2 CVE

2.7.3按漏洞可能对系统造成的威胁分类

2.7.4 Landwher漏洞分类模型

2.7.5普渡大学COAST实验室的漏洞分类模型

2.7.6当前分类方法存在的问题

2.8小结

第三章网络弱点分析系统设计

3.1系统设计目标

3.2建立攻击描述模型

3.2.1访问等级的定义

3.2.2攻击应遵循的规则

3.2.3约束条件的描述

3.3系统设计

3.3.1引入“图”的描述

3.3.2节点值的计算

3.4小结

第四章网络弱点分析系统实现

4.1系统整体结构

4.2基于XML的攻击库的建立

4.2.1采用XML的优点

4.2.2攻击库样例

4.2.3攻击库的操作

4.3弱点分析算法

4.3.1算法流程图

4.3.2算法时间复杂度分析

4.4基于SVG的攻击图显示

4.4.1 SVG(Scalable Vector Graphic)简介

4.4.2 SVG的特点

4.4.3 SVG的语法

4.4.4生成SVG图

4.5系统界面

第五章系统测试

5.1测试环境

5.2测试步骤

5.3测试结果

5.3.1弱点分析部分测试

5.3.2事前安全验证部分测试

5.4 小结

第六章结论

参考文献

附录 生成攻击图的VB代码

作者在攻读硕士学位期间论文完成情况

致谢

作者简历