基于攻击图的漏洞可利用性量化评估研究

来源 :西安电子科技大学 | 被引量 : 0次 | 上传用户:freeman110_wh
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
随着互联网的快速发展,网络已渗透人们生活的各个领域。它不仅给我们的工作、学习带来了便利,同时也带来了诸多安全问题。如今攻击手段日趋增多,安全问题不容忽视。现阶段在网络安全领域中,一项重要的工作是关于网络全局漏洞检测分析,其中用攻击路径来模拟攻击者进行攻击是常用的分析手段,也是研究的重点和难点。该方法能反映整个漏洞的关联性,网络安全管理员能依据此进行一些安全部署。以往通过攻击路径对网络进行安全分析时,研究员一般得到的是全局节点信息攻击图和节点属性攻击图。经研究分析,这两种图的结构较为复杂,信息量大,并不能简单、直观地描述漏洞之间的关联性。研究员需要先分析这种复杂的状态图,才可以对网络进行一些安全部署,效率比较低下。同时,单个漏洞可利用性量化值是基于攻击路径计算攻击成功概率的数学依据,而现阶段对漏洞可利用性量化的研究也较少。针对上述两个问题,本文进行了一系列的工作,创新点和主要工作如下:通过对网络节点的分析以及对状态攻击图和属性攻击图进行简化,提出了一种较为直观的漏洞利用关系图。将漏洞关系利用图中主要需要的节点属性、网络拓扑信息、本地漏洞属性、单元攻击前后条件进行建模。通过这些信息分析生成的攻击图能简单、直观地描述漏洞之间的关系并利用攻击路径来模拟攻击。最后对攻击图的所有的有效路径进行成功攻击的概率运算,根据分析的数据结果来快速确定漏洞的修复顺序,进行网络安全防范。分析了目前运用最广泛的通用漏洞评分系统(CVSS),通过对CVSS评估的54331个漏洞可利用性量化值的数据统计分析,发现CVSS的评分值只有23种,分值的多样性不够,且大部分漏洞可利用性分值集中在少数几个评估分值上,较为集中。针对CVSS的不足,本文首先通过数据统计发现漏洞类型可影响漏洞可利用性,但现有标准没有将其作为评估要素之一。因此,我们将漏洞类型作为评估要素之一,采用层次分析法将漏洞类型进行量化,提出了新的评估方式EOVSS,对CVSS进行了优化。搭建模拟网络环境,对建立漏洞利用关系图的信息节点进行建模,生成漏洞关系利用图。为了对比EOVSS的准确性,通过EOVSS、CVSS、WIVSS三种方式得出单个漏洞的可利用性量化指标,计算单个漏洞被成功利用以及单条有效攻击路径被成功利用的概率,计算出最终结果并进行对比分析。最后对网络环境进行了全局漏洞检测,实验证明,EOVSS具有较高的准确率以及多样性。
其他文献
目的探讨精细缝合与局部皮瓣在修复面部外伤中的疗效,总结分析其应用效果。方法面部外伤患者80例,分为观察组(40例)与对照组(40例),观察组采用精细缝合与局部皮瓣方式进行修
与生理勇气和道义勇气相区别,心理勇气在Putman的定义中,主要是对“心理死亡”的威胁的克服。本研究主要探究了心理勇气的维度,并探究其与心理健康水平和人格倾向水平之间的关系,由于心理勇气与生理勇气和道义勇气相互交织,共同构成了勇气的三种类型,因此本研究还通过探讨个体早期成长经历与勇气水平及特点的关系,以期得到对勇气概念更加深入的理解。研究一完成了对《心理勇气量表》的编制,并对其信效度进行了检验;研
桥梁是道路交通的重要节点,在陆地交通运输体系中具有重要的作用和地位。因当初设计荷载要求偏低、施工规划不合理和超载等原因,我国上世纪修建的部分桥梁正慢慢变成危桥,桥
组合汉字的电妙神秘,让人常会生出无法言说的敬世来,譬如“王羲之”,譬如“李世民”,都是平平常常的三个字,却神鬼莫测地组合在了一起,这便大不平常了,因为他们两个人的生命,在他们生
铝合金作为高性能建筑材料,具有密度小、强重比高、耐腐蚀、焊接性能好、易于装配、维护费用低及可循环利用等诸多优点。在桥梁工程领域,国外已有不少成功的应用实例,对铝合
"新病入络"和"久病入络",初看矛盾,实则统一。两者的理论基础都根源于《黄帝内经》,"新病入络"发病时间短,辨证容易,服药重在辛散走表;"久病入络"不易辨证,且有的需要让患者
精细化工、制药等行业排放的NOx中90%以上为NO,研究发现,NO2/NOx在50%-60%时,用湿法碱液(NaOH、NaCO3)吸收效果最佳,因此寻找一种有效的催化剂,能利用废气中的O2将部分NO氧化为
污泥是污水中的悬浮物、微生物、微生物所吸附的有机物以及微生物代谢活动产物所形成的聚集体。污泥中有机质、氮、磷含量很高,重金属含量也很高,污泥中还含有大量的病源微生
春秋战国时期产生的《黄帝内经》,奠定了中医学理论体系,也确立了心主神明的经典地位。但是,先秦就有的"以脑髓为脏"说学术流派逐渐佚失,现只能从《内经》等相关记载中窥其一
知识对于企业来说变得越来越重要,企业内部的知识既有隐性知识,也有显性知识。显性知识在知识总量中的占比仅是“冰山一角”,大部分知识为隐性知识,它们构成企业持续创新的动