资源描述:
《一种基于图论的网络安全分析方法研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、国防科技大学学报第30卷第2期JOURNALOFNATIONALUNIVERSITYOFDEFENSETECHNOLOGYVol.30No.22008文章编号:1001-2486(2008)02-0097-05*一种基于图论的网络安全分析方法研究张维明,毛捍东,陈锋(国防科技大学信息系统与管理学院,湖南长沙410073)摘要:随着信息技术安全问题的日益突出,对网络系统进行安全分析日益重要。提出了一种基于图论的网络安全分析方法NEG-NSAM,在进行网络参数抽象和脆弱性关联分析的基础上,构造网络渗透图模型,刻画了
2、威胁主体逐步渗透安全目标的动态过程。针对大规模网络环境,提出了渗透图简化算法。最后,运用NEG-NSAM方法进行了实例分析,验证该方法的可行性和有效性。关键词:安全分析;网络渗透;渗透图;网络参数抽象中图分类号:TP393108文献标识码:AStudyonNetworkSecurityAnalysisMethodBasedonGraphZHANGWe-iming,MAOHan-dong,CHENFeng(CollegeofInformationSystemandManagement,NationalUniv.o
3、fDefenseTechnology,Changsha410073,China)Abstract:Asinformationtechnologysecurityissuesbecomemoreprominent,thenetworksystemsecurityanalysisisbecomingincreasinglyimportant.ThepaperpresentsNEG-NSAM,anetworksecurityanalysismethod.Basedonnetworkparametersabstract
4、andvulnerabilitycorrelationanalysis,thenetworkexploitationgraphmodelwasconstructed,andthedynamicprocessofagradualinfiltrationofthemainthreatstosecurityobjectiveswascharacterized.Forlarge-scalenetworkenvironment,thesimplifiedalgorithmofnetworkexploitationgrap
5、hmodelwasproposed.Finally,theNEG-NSAMwasusedtoexemplifythenetworkandverifythefeasibilityandeffectivenessofthemethod.Keywords:securityanalysis;networkexploit;exploitationgraph;networkparameterabstract目前,关于基于模型的网络安全分析方法的研究还处于起步阶段,尚未形成系统化的理论方法。主[1]要的研究工作包括:Schn
6、eier首先提出攻击树模型概念,用AND-OR形式的树结构对攻击行为进行建模,评估系统安全性,但由于树结构的内在限制,攻击树不能用于建模多重尝试攻击、时间依赖及访问控[2][3]制等场景。Dacier和Ortalo等运用权力提升图的概念,利用通往攻击目标的不同路径表示攻击者的不同攻击过程,以此反映出攻击者提升权限的过程,并依据经验来计算入侵行为的平均攻击代价,但该[4]方法在计算平均攻击代价时缺乏理论基础。Swiler等提出了一种攻击图模型,在安全分析过程中考虑到了网络拓扑信息,但其缺点是攻击图采用手工绘制,无
7、法适应中大规模网络环境。文献[5-6]使用改进的模型检测器(SMVPNuSMV)来构建攻击图。文献[7-16]也对基于模型的网络安全分析方法进行了一定的研究。上述分析方法都是单一地从攻击者的角度来考虑问题,而忽视了除了攻击者之外的其他一些导致网络系统安全性受损的因素,如网络拓扑结构等,不能很好地将系统脆弱性、网络拓扑结构、主机之间的信任关系、详细的系统配置信息、软件硬件的使用等信息融入到评估模型中。此外,这些方法都不能适应中大规模网络系统,随着规模的扩大,算法可能会导致/状态爆炸0现象。针对上述问题,本文提出一
8、种基于渗透图模型的网络安全分析方法NEG-NSAM,在对网络系统参数进行抽象和对脆弱性进行关联分析的基础上,构造网络渗透图模型,从而分析可能入侵安全目标的渗透路径。*收稿日期:2007-08-31基金项目:国家自然科学基金资助项目(70371008)作者简介:张维明(1962)),男,教授,博士生导师。98国防科技大学学报2008年第2期1网络渗透图模型的定义文献[12]提出了渗透图(