前言
计算机工程
作者:夏阳
指导老师:陆余良
2007/10(发表时间距今过久只做脆弱性评估技术发展背景参考)
脆弱性研究目标
- 评估的目标
- 评估的标准
- 评估的规范流程
- 评估技术及评估模型
- 评估辅助决策
细致的分析包括有:
(1)网络评估中脆弱性影响因素的提取,这不仅包括主机脆弱性因素,还包括网络脆弱性因素;
(2)网络评估中量化评估指标的建立,依据不同算法从网络脆弱性因素中提取量化指标;
(3)确定网络评估模式,建立网络评估框架;
(4)对目标网络拓扑结构进行分析;
(5)对目标网络主机的依赖关系进行分析;
(6)通过对目标网络的评估,找出目标网络的脆弱结点及关键结点;
(7)对目标网络进行路径分析;
(8)充分考虑目标网络中的各种影响因素,建立合理的数学模型;
(9)通过网络评估,形成评估辅助决策;
(10)目前未知的其他难点……。
主要内容
网络脆弱性评估技术
从网络连通性进行网络评估
总体上来说,网络连通性越差(越容易断裂),网络越脆弱,脆弱性越强;若网络连通性越强,则网络的脆弱性越低。
基于网络入侵路径的网络安全性评估
有文献认为大多数网络入侵事件的发生是一个层次入侵的过程,真正的目标主机可能是难以直接攻破的,但是和它相关的其他机器可能存在安全脆弱性,这往往是由于配置不当或存在不同程度的信任关系所造成,黑客可以从薄弱环节入手,基于层次入侵的思想逐步提高自己的权限,最终达到控制目标机器的目的。作者以层次入侵的思想来评估攻击目标网络主机的可能性。
这种评估方法(在当时)存在不足:目标主机和网络脆弱性考虑的情况较少;
基于层次入侵思想进行网络评估时,一旦目标网络设置保护,评估将无法进行;
人为的因素较多,不容易形成系统自动化,结点攻击成功率不好确定;
对目标网络的安全评估可以在已知网络拓扑及其他相关信息的基础上进行。从网络管理员的角度对已知网络进行脆弱性分析及量化评估。一般情沉下,很难对一个不知道网络结构及其内部主机信息的敌方网络进行安全评估,只有以入侵者的身份逐步入侵敌方网络,逐步获取相关信息,这种评估很难进行,且准确性需要进一步的验证。基于图的脆弱性进行评估
作者提出了一种基于攻击图的网络脆弱性评估方法,该方法可以把网络拓扑结构与攻击集合结合起来考虑。攻击图中的结点包含信息有:机器名,用户权限,用户能力等;边代表攻击者采取动作所引起的状态改变。自动产生攻击图需要3种类型的输入:攻击模板,网络配置及攻击者描述。
基于层次分析法的网络脆弱性评估
扫描二维码关注公众号,回复: 1740603 查看本文章
利用层次分析法对目标网络建立层次结构图,以及AHP算法的原理最终可以计算出目标层的Internet的安全性。
该方法将目标网络作为整体来考虑,将各因素施加在该整体上,建立层次评价结构,进行Internet安全性评估。该方法不适合应用在对整个网络的安全评估上,因为网络不可能作为一个整体来看待,它是由各个网络结点和网络联接路径组成的,不能脱离具体的评估实体而虚构一个独立的网络并对其进行评估,这样意义不太大。不过,AHP可以应用在针对目标主机的安全性评估上,对目标主机漏洞攻击成功率进行评估,评估结果比较切合实际。基于漏洞依赖关系图进行网络脆弱性评估
该评估方法中没有给出如何绘制网络利用依赖关系图的具体方法,而且当网络主机数量增多时,利用依赖关系图非常复杂,分析起来也比较困难。
结束语
该文章主要介绍了07年之前研究网络脆弱性的评估技术,这里列出了5种方式,现如今大部分技术都已经被淘汰,从上一篇文献中可以得知,主要攻击图的技术来进行网络脆弱性的评估,最新应用广泛的技术在往后的文献中会慢慢学习到~~