复杂信息系统网络脆弱性分析与仿真验证技术研究

来源 :北京邮电大学 | 被引量 : 15次 | 上传用户:txiujykyu6
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
随着社会信息网络化程度的提高,云平台、网格等大规模分布式网络技术不断涌现,信息基础设施面临着日益增多的安全威胁。为了加强对信息基础设施的安全保障,各国政府和安全组织都在加强对复杂信息系统网络脆弱性的研究。但目前针对一般信息系统风险评估的研究较多,对增大规模和复杂度之后的复杂信息系统网络脆弱性发掘、识别、评估、验证的研究尚处于探索阶段,许多相关问题有待解决。为此,本文基于网络化的思维,从复杂网络拓扑结构和行为脆弱性分析技术、关键协议脆弱性分析技术、以及仿真验证技术三方面展开研究,力求为复杂信息系统网络脆弱性分析和安全评估提供系统化的支持。论文的主要成果及研究内容如下:1.针对网络拓扑相关脆弱性的识别和评估问题,提出了基于复杂网络理论的静态和动态结合的分析方法。在静态脆弱性研究中,使用度、介数、紧密度、聚集系数、熵等多种参数对示例网络进行了仿真计算和比较,得到了网络静态抗毁性和容错性综合评估结果。在动态级联故障研究中,通过容量-负载模型对示例网络在不同攻击策略下的级联故障过程进行了仿真分析,为网络级联失效脆弱性的识别、预警和处理提供了理论参考。2.针对网络级联故障脆弱性的控制和防御问题,提出了一种基于流量控制的应急防御模型。首先对已有的增大容忍因子和删除最小中心性组件的方案进行建模仿真分析,然后提出本文方案,并基于示例网络进行了仿真分析和比较。结果证明本方案适用所有网络类型,可在较小资源消耗下对信息网络级联故障进行有效防控,解决了前两种方案对某些均质网络级联故障控制效果不佳和代价较大的问题。3.在关键网络协议脆弱性研究方面,提出了一套基于DLDoS(Distributed Low-rate Denial of Service)攻击的TCP和BGP拥塞控制脆弱性的发掘、利用、防护方案。首先分析了TCP和BGP的相关脆弱性,归纳和剖析了DLDoS攻击BGP网络的实现步骤,设计了高精度分布式攻击节点时间同步方案;然后分类总结了LDoS攻击的多种防御机制,并对LDoS和FDoS (Flooding DoS)的攻防方案进行了比较。在网络脆弱性的发掘利用方面,提出了基于一维随机游走算法的DLDoS攻击方案,使攻击流脉冲分布更加接近正常网络流量的幂率分布特征,隐蔽性更强,为检验基于时域和频域分析的DLDoS防御机制提供了参照。4.针对BGP网络在DLDoS攻击下出现路由震荡和级联崩溃的问题,提出了流模型和生灭模型的分析方法。首先对LDoS攻击造成的BGP路由震荡进行了实验验证和结果分析,然后通过流模型和生灭模型对BGP网络的拥塞和级联故障进行描述,解决了负载一容量模型对BGP路由器恢复机制刻画不足的问题。模型仿真结果显示BGP网络中存在着与网络规模和节点容量相关的级联故障相变点,一旦失效节点数超过相变点,网络就会加速完全崩溃,否则就会逐步恢复,更加贴近实际BGP网络的动力学特征。5.针对复杂信息系统网络脆弱性评估验证的需求,设计实现了一个基于网络靶场(Cyber Test Range)技术的脆弱性仿真验证平台。首先归纳并提出了面向网络脆弱性分析的通用网络靶场架构,设计了一套满足网络靶场可控性安全性要求的控制系统方案,以及基于灰色聚类方法的CTR能力成熟度量化评估模型。在此基础上,设计实现了基于Emulab的复杂信息系统脆弱性仿真验证平台,结合了基于复杂网络的验证技术和传统信息系统脆弱性评估技术,测试和比较证明本平台在安全实验能力和保真度方面能够满足网络脆弱性仿真验证的需要。
其他文献
缓冲区溢出漏洞是一种常见的程序漏洞.在所有的操作系统平台上或多或少都存在着这样的漏洞.该文深入研究了缓冲区漏洞产生的根源和机理,从最典型的堆栈型缓冲区溢出开始详细
CONFIG程序是支持飞机设计的工程信息集成管理系统中的一个主要组成部分,主要对飞机设计过程中产生的计算机文件进行管理。它向用户提供文件的发放、提取、校验、批准、版本管
随着政府和企业越来越依赖于计算机网络所存储的数据信息,计算机网络的安全也就日益显示出了其的重要性.尽管人们多年来一直把计算机安全作为活跃的研究领域,但是直到现在,随
事件是数据库主动机制的关键部分,而现有的事件在结构上对刻画事件发生时的粒度过于粗糙,因而若原子事件发生,将引发包含此原子事件的复合事件之间时的冲突,严重影响了ARTDB
该文开篇先介绍该论文研究的问题的意义,然后第二章介绍相关技术.第三章对系统架构从功能层面和代理分组层面上进行介绍.第四章对系统架构的几个关键性技术进行补充性介绍,并
文本分类(Text Classification, TC)是指把文本归到预定义的一个或多个类别中,这一任务在众多信息管理系统具有广泛的需求。目前已经出现了许多分类算法,如支持向量机、朴素
随着多媒体和网络通信技术的发展,视频点播逐渐成为一个具有广泛市场潜力的应用技术。一个视频点播系统能够根据用户请求向用户提供实时的高清晰度的多媒体节目。它的特点就是
该文通过对详细布线技术特别是单元内布线技术的分析和总结的基础上提出了一个库单元内布线的总的算法流程,并针对为提高电路性能,在库单元布线中一般尽可能少用多晶硅布线,
随着VLSI技术的迅速发展及广泛应用,VLSI系统对设计的复杂性、设计的可靠性和开发周期都提出了更高的要求。硬件描述语言为数字系统的设计和存档提供了一种具备形式化、层次化
该文深入研究模拟技术,将编译型实现算法与事件驱动调度算法结合在一起,构造了一个面向对象的VHDL模拟器,有效地提高了模拟的效率,所提出的新思想和新方法主要有如下几个方面