資源描述:
《網(wǎng)絡(luò)攻擊圖生成方法分析》由會員上傳分享����,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫���。
1���、2010年7月安徽大學(xué)學(xué)報(自然科學(xué)版)July2010第34卷第4期JournalofAnhuiUniversity(NaturalScienceEdition)Vo.l34No.4網(wǎng)絡(luò)攻擊圖生成方法分析11211陸余良,宋舜宏,程微微,劉金紅,施�凡(1.電子工程學(xué)院網(wǎng)絡(luò)系,安徽合肥�230037;2江南技術(shù)研究所,江蘇無錫�214083)摘�要:網(wǎng)絡(luò)攻擊圖已成為網(wǎng)絡(luò)安全分析的重要工具.論文對網(wǎng)絡(luò)攻擊圖生成方法進(jìn)行深入剖析,得到網(wǎng)絡(luò)攻擊圖生成方法的重要特征屬性和通用功能的實(shí)現(xiàn)框架,并應(yīng)用部分屬性對網(wǎng)絡(luò)攻擊圖生成方法分類,總結(jié)了當(dāng)前網(wǎng)絡(luò)攻
2、擊圖生成方法存在的問題及進(jìn)一步研究的方向.關(guān)鍵詞:網(wǎng)絡(luò)攻擊圖;分類;安全評估中圖分類號:TN393.08����文獻(xiàn)標(biāo)志碼:A����文章編號:1000-2162(2010)04-0023-08Analysisofthegenerationapproachestonetworkattackgraphs11211LUYu�liang,SONGShun�hong,CHENGWei�wei,LIUJin�hong,SHIFan(1.DepartmentofNetworkEngineering,ElectronicEngineeringInstit
3�����、ute,Hefei�230037,China;2.JiangnanInstituteofComputingTechnology,Wuxi�214083,China)Abstract:Networkattackgraphhasbecomeoneofthekeytoolsfornetworksecurityanalysis.Basedontheanatomyofgenerationapproachestoattackgraphs,thispaperproposedimportantattributesandcommonfunctionalfra
4�、meworkforalltheseapproaches.Withsomeoftheattributesasthemetric,theapproacheswereclassified.Weconcludedthecurrentapproachesandtheresearchdirectioninthefuture.Keywords:networkattackgraphs;classification;securityevaluation網(wǎng)絡(luò)中總是存在一定的安全漏洞,同時這些漏洞之間可能存在一定的關(guān)聯(lián)關(guān)系,即當(dāng)一個漏洞被成功利用后,可能為另一漏
5、洞的利用創(chuàng)造有利條件.為了能夠徹底找出所有關(guān)聯(lián)關(guān)系,最有效的方法就是通過模擬攻擊者對存在安全漏洞的網(wǎng)絡(luò)的攻擊過程,找到所有能夠到達(dá)目標(biāo)的攻擊路徑,同時將這些路[1]徑以圖的形式表示,這種圖就是網(wǎng)絡(luò)攻擊圖,以下簡稱攻擊圖.與攻擊樹或Petri網(wǎng)相比,攻擊圖對網(wǎng)[2]絡(luò)攻擊過程的描述能力更強(qiáng),應(yīng)用范圍也更加廣泛.攻擊圖是一種非常重要的工具,已廣泛應(yīng)用于網(wǎng)絡(luò)安全分析與評估的研究.從安全生命周期PDR[3][4][5](防護(hù)�、檢測、響應(yīng))來看,可以應(yīng)用于網(wǎng)絡(luò)安全設(shè)計(jì)�、網(wǎng)絡(luò)安全與漏洞管理�、入侵檢測系統(tǒng)����、入侵[6][7][8]響應(yīng)等.從應(yīng)用領(lǐng)域來說,不
6、僅應(yīng)用于普通的互聯(lián)網(wǎng)絡(luò),還可應(yīng)用于無線網(wǎng)絡(luò)�、工業(yè)控制網(wǎng)絡(luò),特[9][6,10]別是電力網(wǎng)絡(luò)以及對網(wǎng)絡(luò)依賴性非常高的其他行業(yè)或領(lǐng)域.從應(yīng)用角度來說,網(wǎng)絡(luò)攻擊圖可以應(yīng)[1][6][11]用于網(wǎng)絡(luò)滲透測試、網(wǎng)絡(luò)安全防御�����、網(wǎng)絡(luò)攻擊模擬仿真等.為了生成攻擊圖,首先需要對網(wǎng)絡(luò)建模,建模過程中需要大量關(guān)于網(wǎng)絡(luò)中的與安全相關(guān)的信息,如主機(jī)配置信息�、主機(jī)漏洞信息、網(wǎng)絡(luò)拓?fù)湫畔?���、網(wǎng)絡(luò)配置信息等.在生成網(wǎng)絡(luò)攻擊圖的過程中,需要應(yīng)用[1]相關(guān)漏洞庫的知識確定網(wǎng)絡(luò)中存在的各個漏洞之間的關(guān)系.網(wǎng)絡(luò)建模與攻擊圖生成需要充分考慮所收稿日期:2010-04-24作者簡介:陸
7、余良(1964�),男,江蘇宜興人,電子工程學(xué)院教授,博士生導(dǎo)師.引文格式:陸余良,宋舜宏,程微微,等.網(wǎng)絡(luò)攻擊圖生成方法分析[J].安徽大學(xué)學(xué)報:自然科學(xué)版,2010,34(4):23-30.24安徽大學(xué)學(xué)報(自然科學(xué)版)第34卷[11]生成的攻擊圖的最終應(yīng)用,進(jìn)行滲透測試時需要找出到達(dá)所有攻擊目標(biāo)的全部攻擊路徑,用于風(fēng)險分析或?qū)ふ易疃坦袈窂綍r可能需要考慮各個原子攻擊的復(fù)雜度或成功概率以及漏洞被成功利用后所[12][13]帶來的危害程度等,而用于指導(dǎo)漏洞補(bǔ)丁管理時則需要計(jì)算每個漏洞補(bǔ)丁的代價.因此,攻擊圖的最終應(yīng)用在一定程度上決定了需要
8����、建立的模型與生成方法.攻擊圖生成方法將網(wǎng)絡(luò)模型及漏洞庫信息作為輸入,根據(jù)需要對這些數(shù)據(jù)進(jìn)行處理后,按照一定的計(jì)算方法產(chǎn)生大量攻擊路徑,并且用圖這種數(shù)據(jù)結(jié)構(gòu)來表示.目前攻擊圖生成方
