資源描述:
《用于評估網絡整體安全性的攻擊圖生成方法》由會員上傳分享��,免費在線閱讀,更多相關內容在教育資源-天天文庫�。
1���、第3期苘大鵬等:用于評估網絡整體安全性的攻擊圖生成方法·5·用于評估網絡整體安全性的攻擊圖生成方法苘大鵬1�����,周淵2�����,楊武1��,楊永田1(1.哈爾濱工程大學信息安全研究中心���,黑龍江哈爾濱150001;2.國家計算機網絡應急技術處理協(xié)調中心���,北京100029)摘要:為了評估網絡的整體安全性�,提出了一種新的攻擊圖生成方法。該方法采用正向��、廣度優(yōu)先的策略搜索網絡弱點間的依賴關系��。利用限制攻擊步驟數和狀態(tài)節(jié)點可達性的策略來解決攻擊圖生成過程中存在的狀態(tài)爆炸問題�。實驗結果表明�����,利用該方法生成的攻擊圖能夠用于評估網絡的整體安全性���,采用的限制策略可以有
2、效地去除攻擊圖中的冗余節(jié)點和邊�,并且降低了攻擊圖生成時的系統(tǒng)資源消耗�����。關鍵詞:網絡安全��;安全評估�����;脆弱性分析�����;攻擊圖中圖分類號:TP393.08文獻標識碼:A文章編號:1000-436X(2009)03-0001-05MethodtogenerateattackgraphsforassessingtheoverallsecurityofnetworksMANDa-peng1,ZHOUYuan2,YANGWu1,YANGYong-tian1(1.InformationSecurityResearchCenter,HarbinEngine
3、eringUniversity,Harbin150001,China;2.NationalComputerNetworkEmergencyResponseTechnicalTeam/CoordinationCenterofChina,Beijing100029,China)Abstract:Inordertoevaluatetheoverallsecurityofnetworks,anewmethodforgeneratingattackgraphswasproposed.Themethodusedbreadth-firstalgor
4���、ithmtosearchthedependenceofnetworkvulnerabilities.Tosolvethestateexplosionproblem,thestrategiesthatlimitedthenumberofattackstepsandthereachabilityofstatenodeswereadoptedingeneratingattackgraphs.Theexperimentalresultsshowthatthegeneratedattackgraphscanhelpsecurityadminis
5�、tratorstoevaluatetheoverallsecurityofnetworks,andtheadoptedoptimizationstrategiesareeffectivetoremoveredundantedgesandnodesinattackgraphsanddecreasethesystemoverheadduringgeneratingattackgraphs.Keywords:networksecurity;securityassessment;vulnerabilityanalysis;attackgrap
6��、h第3期苘大鵬等:用于評估網絡整體安全性的攻擊圖生成方法·5·1引言收稿日期:2008-03-28���;修回日期:2008-12-15基金項目:國家重點基礎研究發(fā)展計劃(“973”計劃)基金資助項目(2007CB311100);國家高技術研究發(fā)展計劃(“863”計劃)基金資助項目(2007AA01Z473)FoundationItems:TheNationalBasicResearchProgramofChina(973Program)(2007CB311100);TheNationalHighTechnologyResearchandD
7��、evelopmentProgramofChina(863Program)(2007AA01Z473)網絡攻擊圖的建模方法一直是網絡脆弱性分析領域的研究熱點之一��,但是采用已有方法生成的攻擊圖只能用于分析單一目標的安全性�,而網絡安全管理人員不僅需要知道攻擊者可能從哪些路徑入侵目標主機���,還應該了解攻擊者能夠入侵網絡內的哪些主機����,這就要求生成的攻擊圖能夠表達出所有受攻擊的網絡狀態(tài)。另外�,攻擊圖生成過程中存在的網絡狀態(tài)組合爆炸問題�����,導致攻擊圖生成時的系統(tǒng)資源消耗較大�,并且增加了攻擊圖分析工作的難度����。第3期苘大鵬等:用于評估網絡整體安全性的攻擊圖
8��、生成方法·5·為了解決上述問題�,本文提出了一種面向網絡整體安全性的攻擊圖生成方法。該方法將所有存在弱點的主機視為攻擊者的攻擊目標,正向、廣度優(yōu)先地搜索弱點之間的依賴關系�,利用限制攻擊步驟數和狀態(tài)節(jié)點可達概率的優(yōu)化策略來降
