网络安全评估系统中攻击图生成的设计与实现

作     者：陈芳芳 

作者单位：北京邮电大学 

学位级别：硕士

导师姓名：王春露

授予年度：2011年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：攻击图 原子域 网络安全评估 弱点数据库 

摘      要：攻击图在网络安全评估系统中,占有非常重要的地位。通过对攻击图的分析,网络管理者可以了解当前网络的安全状态,有针对性的采取相应安全措施,使网络安全性得到增强。 目前攻击图生成已具备成熟的数据处理流程,各个模块具有明确的功能,模块之间的数据流程也基本定型。攻击图生成的研究难点和重点集中在降低攻击图生成复杂度与建立关联弱点数据库方面。针对攻击图生成算法复杂度问题,在对攻击图生成领域进行大量研究的基础上,本文提出了一种具有可扩展性的基于原子域的攻击图生成算法。算法依据网络安全评估的要求,以广度优先的思想为出发点,一方面将网络攻击图的生成复杂度降低到主机数目的平方级别,具有可扩展性;另外,生成整个网络的全局攻击图,为网络安全评估提供更充分的数据支持。 针对关联弱点数据库问题,我们通过信息收集与数据挖掘的方式,建立了关联弱点数据库,为攻击图生成提供数据支持。在此基础上,我们完成了网络安全评估系统,基于原子域的攻击图生成子系统为整个网络数据处理的核心部分。子系统的实现应用struts框架;采用分层模块化的思想,以MVC(Model-View-Controller)模式为基础;系统的发布基于B/S结构,大大简化了客户端电脑载荷,减轻了系统维护与升级的成本和工作量,降低了用户的总体成本;子系统自带的弱点关联数据库实现了对弱点信息的数据挖掘,以表现攻击者权限提升的思想为依据,将弱点的使用前提和作用结果进行了量化。 对攻击图生成子系统的测试表明,弱点关联数据库为攻击图生成提供了数据支持,生成了体现攻击者权限提升过程的网络攻击图;攻击图生成时间随着网络规模的增大,表现为主机数目平方级别的增长水平。