欢迎来到天天文库
浏览记录
ID:23750057
大小:1.45 MB
页数:62页
时间:2018-11-10
《面向渗透测试的漏洞检测与攻击方法》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、中图分类号:TP393.08论文编号:102871617-S076学科分类号:083700硕士学位论文面向渗透测试的漏洞检测与攻击方法研究生姓名栾俊超学科、专业安全科学与工程研究方向信息安全指导教师王箭教授南京航空航天大学研究生院计算机科学与技术学院二О一七年三月NanjingUniversityofAeronauticsandAstronauticsTheGraduateSchoolCollegeofComputerScienceandTechnologyVulnerabilityDetectionandAttackMethodforPenetr
2、ationTestingAThesisinSecurityScienceandEngineeringbyLuanJunchaoAdvisedbyProf.WangJianSubmittedinPartialFulfillmentoftheRequirementsfortheDegreeofMasterofEngineeringMarch,2017承诺书本人声明所呈交的硕士学位论文是本人在导师指导下进行的研究工作及取得的研究成果。除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得南京航空航天大学或其他教育
3、机构的学位或证书而使用过的材料。本人授权南京航空航天大学可以将学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。(保密的学位论文在解密后适用本承诺书)作者签名:日期:南京航空航天大学硕士学位论文摘要渗透测试作为评估网络环境以及关键信息系统安全性的重要一环,已经成为许多行业安全标准的一部分。当前由已知或未知的安全漏洞引发的安全风险和攻击事件长期存在,因此,采取渗透测试的方法降低安全风险和危害十分必要。围绕渗透测试中的漏洞检测与分析以及渗透攻击等环节的研究也成为当前的热点问题。本文主要对现有的漏洞检测
4、和渗透攻击方法进行了研究和总结,分析了现有方案的不足,提出了面向XSS漏洞检测的Web应用逆向方法和基于Petri网的单目标自动化渗透攻击方案。主要工作如下:1、提出了层次化的Web应用模型和模型推导算法,提高了XSS漏洞检测的效率。改进的Web应用模型增加了微观态的概念,同时,基于层次化的Web应用模型提出了改进的Web应用模型推导方法,在推导过程中引入状态变迁函数和导航函数进行决策,以及通过页面聚类和状态简化的方法降低模型的复杂度。实验证明该方案与现有的XSS漏洞检测工具相比,有较高的检测率。2、针对渗透测试的漏洞分析和渗透攻击阶段,提出了基于
5、Petri网的单目标自动化渗透攻击方法,基于攻击图产生实际的攻击过程,不仅能自动完成攻击图的生成、攻击路径的规划,还能进行渗透攻击和漏洞验证以及威胁评估。该方案首次引入了跨网段攻击路径的概念,提出了更加高效的攻击图生成方法;在此基础上,给出了漏洞验证的方案,结合攻击图实现了攻击过程的自动化。实验证明本方案能够完成对网络环境的自动化建模和攻击,并通过与已有算法的对比表明了该攻击图生成算法的高效性。关键词:渗透测试,漏洞检测,渗透攻击,Web应用逆向,攻击图i面向渗透测试的漏洞检测与攻击方法ABSTRACTPenetrationtesting,whic
6、hplaysanimportantroleinassessingsecurityofnetworkenvironmentandcrucialinformationsystems,hasbeenanessentialpartofalotofindustrialsecuritystandards.Nowadays,therearestillmanysecurityrisksandattackeventsbyemployingknownorunknownvulnerabilities,thusit’snecessarytolaunchpenetratio
7、ntestingandithasbeenahotspottostudyvulnerabilitydetection,vulnerabilityanalysisandpenetrationattackinpenetrationtesting.Thispaperstudiesandsummarizesexistingvulnerabilitydetectionmethodsandattackmethods,andthenproposereverseengineeringmethodofwebapplicationforXSSdetectionaswel
8、lasPetrinetbasedautomaticsingletargetpenetrationattackscheme.
此文档下载收益归作者所有