基于逻辑的网络安全漏洞分析研究

论文摘要

对于一个网络来说，只要它运行就不可避免地存在漏洞。这是因为网络主要是通过服务器和终端为用户提供服务，而它们的运行需要依赖服务软/硬件，而服务软/硬件可能因存在缺陷而易受攻击。因此，探测独立主机上的漏洞结构并不能完全保证网络的安全，更不能保证网络中的服务顺利进行。此外，要想消除软/硬件的所有漏洞是不可能的，特别是那些提供网络服务的大型软件，升级打补丁可以消除已知的漏洞，但可能也会带来更多未知的漏洞。网络安全的目标是在提供网络服务的同时保持足够的安全。为了达到这个目标，必须从分析漏洞入手联系整个网络结构和配置来分析网络的安全性。然而，目前网络漏洞分析的方法主要集中于对已知漏洞的描述与分析，对于未知漏洞的研究相对较少，更没有将两者统一进行描述和分析的方法。而且随着网络结构越来越复杂，对于大型网络，网络中的设备数量庞大，其生成的攻击图的信息量也是非常巨大的，如何从这些海量信息中找到关键资源，协助网络管理员能够顺利完成网络安全增强的工作，是目前网络漏洞分析需要研究的一个重要问题。与此同时对于网络漏洞的分析大多只是停留在理论研究之上，特别是在国内没有一个完整的网络漏洞分析工具，因此开发一个友好的，自动化的网络漏洞分析系统，也是一个需要解决的问题。本文采用形式化的描述方法和基于逻辑的推理技术，对网络配置信息和网络中的漏洞进行了描述并随后推理得到网络攻击图，并对攻击图中的节点和弧设置权重，对攻击图中攻击资源进行了排序，使网络管理员能够快捷找到关键资源进行安全增强，主要工作如下：（1）在分析了已知和未知漏洞描述方法不足之处的基础上，采用形式化技术抽象漏洞的细节，对网络配置、已知漏洞和未知漏洞进行了统一的描述。（2）采用基于逻辑的分析方法，运用Horn子句对形式化后的网络配置和漏洞信息进行分析，定义了攻击图的生成方式，在攻击图中加入了弧的概念，明确了攻击图中顶点之间的各种关系，最后给出相应的实例，按照提出的方法分析实例中的漏洞，并提出了基于攻击序列长度的安全增强方案。（3）在生成的攻击图的基础上，对攻击图进行了修改，为图中的顶点赋予适当的权值用于表示漏洞发掘的可能性，并设计了攻击序列中攻击资源的重要性的计算方式，对最终得到的攻击资源的重要性进行排序，找到网络漏洞发掘中的关键资源。（4）开发了一个网络漏洞分析原型系统，成功对网络的配置信息进行了形式化描述并通过漏洞分析方法进行了分析，最终生成攻击图。一方面为网络漏洞分析的研究提供了实验平台，另一方面也验证了之前提出的漏洞分析方法的合理性。

论文目录

摘要

Abstract

第一章绪论

1.1 研究背景

1.2 国内外研究现状

1.2.1 网络漏洞分析原理与研究历史

1.2.2 攻击图的产生方法

1.2.3 基于攻击图的漏洞分析方法

1.2.4 总结和对比

1.3 本文的研究内容和意义

1.3.1 研究内容

1.3.2 研究意义

1.4 论文的组织结构

第二章基于逻辑的漏洞形式化描述

2.1 基本思想

2.2 网络漏洞发掘中相关术语和定义

2.2.1 漏洞

2.2.2 漏洞的发掘

2.2.3 发掘漏洞的条件

2.3 网络配置形式化描述

2.3.1 形式化描述

2.3.2 网络示例

2.4 漏洞形式化描述

2.5 漏洞发掘条件形式化描述

2.6 本章小结

第三章基于逻辑的攻击图生成方法

3.1 攻击图的定义

3.2 攻击序列的定义

3.2.1 攻击序列的定义

3.2.2 Horn 子句的推理方法

3.2.3 攻击序列推理过程

3.3 攻击图实例

3.4 基于攻击路径长度的安全增强方案

3.5 本章小结

第四章基于权重的攻击图分析方法

4.1 问题的提出

4.2 基于权重的攻击图依赖关系

4.2.1 攻击图重定义

4.2.2 顶点的分类

4.2.3 弧的分类

4.3 权重的设置和计算

4.3.1 弧权重的设置

4.3.2 发掘顶点权重的设置

4.3.3 条件顶点权重的分配

4.4 基于权重的攻击图度量方法

4.4.1 攻击序列的度量

4.4.2 攻击资源的度量

4.4.3 度量实例

4.5 本章小结

第五章网络漏洞分析原型系统

5.1 系统设计框架

5.1.1 用户界面

5.1.2 底层分析模块

5.2 系统功能实现

5.2.1 网络配置信息描述

5.2.2 网络漏洞分析算法

5.2.3 攻击图的显示

5.3 攻击图分析比较

5.4 本章小结

第六章总结

参考文献

作者简历：攻读硕士学位期间完成的主要工作

致谢

基于逻辑的网络安全漏洞分析研究

论文摘要

论文目录

相关论文文献

猜你喜欢