资源描述:
《一种深度优先的攻击图生成方法》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、第39卷第2期吉林大学学报(工学版)Vol.39No.22009年3月JournalofJilinUniversity(EngineeringandTechnologyEdition)Mar.2009一种深度优先的攻击图生成方法12211苘大鹏,张冰,周渊,杨武,杨永田(1.哈尔滨工程大学信息安全研究中心,哈尔滨150001;2.国家计算机网络应急技术协调中心,北京100029)摘要:已有的攻击图生成方法存在状态爆炸的问题,导致生成的攻击图规模庞大。为了解决这个问题,在形式化描述网络安全要素的基础上,提出了一种深度优先的攻击图生成方法。利用深度优先的搜索算法寻找网络中的攻击
2、路径,采用限制攻击步骤数和攻击路径成功概率的策略降低攻击图的规模。实验结果表明,该方法能够有效地去除攻击图中冗余的边和节点,从而降低了攻击图的规模。关键词:计算机应用;网络安全;安全评估;脆弱性分析;攻击图中图分类号:TP393.08文献标识码:A文章编号:16715497(2009)02044607Depthfirstmethodforattackgraphgeneration12211MANDapeng,ZHANGBing,ZHOUYuan,YANGWu,YANGYongtian(1.InformationSecurityResearchCenter,HarbinE
3、ngineeringUniversity,Harbin150001,China;2.NationalComputerNetworkEmergencyResponseTechnicalTeam/CoordinationCenterofChina,Beijing100029,China)Abstract:Existingattackgraphgenerationmethodshavetheproblemofstateexplosion,whichresultsinthescaleofthegeneratedgraphstobelarge.Tosolvethisproblem,adepthfi
4、rstattackgraphgenerationmethodwasproposedonthebasisoftheformaldescriptionofnetworksecurityelements.Adepthfirstsearchalgorithmwasemployedtofindtheattackpathsinthenetwork.Thestrategiestorestrainthenumberoftheattackstepsandthesuccessprobabilityofattackpathswereadaptedtoreducethescaleofattackgraphs.E
5、xperimentresultsshowthattheproposedmethodcanefficientlyremoveredundantedgesandnodsintheattackgraphs,consequentlydecreasesthescaleoftheattackgraphs.Keywords:computerapplication;networksecurity;riskassessment;vulnerabilityanalysis;attackgraph在网络脆弱性分析领域,已有的漏洞扫描器洞、跨越多个主机边界来完成。为了更客观地对(如Nessus、ISSInte
6、rnetScanner等)仅仅从孤立网络脆弱性进行分析和评估,需要分析工具能够的视角检查安全漏洞,缺少对弱点的关联分析。根据目标网络存在的漏洞、网络服务、物理链接以而现实中的网络攻击行为往往需要利用多个漏及访问权限等信息自动建立系统性的攻击场景。收稿日期:20070829.基金项目:863国家高技术研究发展计划项目(2006AA01Z451);973国家重点基础研究发展规划项目(2007CB311100);国家242信息安全计划项目(2005A33).作者简介:苘大鹏(1980),男,博士研究生.研究方向:网络安全评估.Email:mandapeng@hotmail.com通
7、信作者:杨永田(1939),男,教授,博士生导师.研究方向:计算机网络安全.Email:yangyongtian@hrbeu.edu.cn第2期苘大鹏,等:一种深度优先的攻击图生成方法!447!为此,研究人员形式化了网络攻击的前提条件、过性空间到低维属性空间的映射。研究人员通过对程和结果,提出了攻击图模型。目前,攻击图的生大量安全事件的调查和统计发现,弱点的发掘利成方法可以划分为两类。第一类方法采用模型检用周期与弱点