一种基于攻击路径的安全漏洞风险评估模型

【摘要】： 计算机网络的安全检测与评估已经成为网络安全防御中一项关键的技术。事先分析并发现网络系统中的安全漏洞,客观准确的评估漏洞的安全风险,快速有效地找到影响整个网络安全最大的漏洞集并给出修补方案,这些都已成为信息安全领域的迫切需求。 本文概述了现今网络中的安全现状,概要介绍了信息安全检测与评估的基本情况。作者分析了当前市面上存在的安全检测评估工具的功能与效率,并针对当前检测评估系统的片面性、速度慢等不足,提出了一种基于网络中攻击路径的安全漏洞风险评估模型。 本文中作者首先介绍了OVAL漏洞扫描器,利用OVAL扫描器来收集网络中主机的漏洞信息、主机配置信息等。利用这些信息来构建攻击路径。其后作者总结了构建攻击路径所需的网络与漏洞信息,包括漏洞的攻击方式与攻击结果、网络连通性信息、网络开放的服务信息、数据绑定信息与安全策略等,将这些构建攻击路径的必要信息通过Datalog建模语言构建成具有逻辑关系的前提与结果来构建网络中的攻击路径。 在此基础上作者给出了一种基于网络中攻击路径的漏洞风险评估模型并构建了相应的数学模型。由于风险大的漏洞均是基于网络服务的,评估模型设计目的是通过评估该漏洞对承载其服务产生的风险结合该漏洞本身的安全风险来定位该漏洞最终对该网络可能造成的安全风险。该评估模型分为漏洞主体风险评估与路径转移风险评估两部分,主体风险是对安全漏洞本身的属性与其所在的服务因素进行抽象得到相关参数数据,再由设计的数学公式计算并得到主体风险值;路径转移风险则根据收集到的攻击路径本身属性、攻击路径上的漏洞节点的攻击前提与结果属性、漏洞攻击的难易度等属性,将他们抽象成参数数据,再结合Markov过程与Poisson过程性质等得到数学公式计算其路径转移风险。结合这两个风险形成了安全漏洞最终的风险值。根据安全漏洞风险的高低可以来判断漏洞被利用的可能性,从而判断漏洞所在主机被攻击的可能性。通过对网络中关键

【学位授予单位】：上海交通大学
【学位级别】：硕士
【学位授予年份】：2007
【分类号】：TP393.08