论文部分内容阅读
网络系统中的安全漏洞是网络企业和普通用户面临的主要安全威胁之一。在网络漏洞评估领域中,虽然已有很多研究成果,但随着网络攻击技术的提升和人们对更高层次网络安全的迫切需要,近年来又出现了不少新的研究点。特别是零日漏洞攻击的出现,对网络漏洞评估提出了新的要求。基于这一现状,本文从空间和时间两个方面对漏洞的分布情况展开研究,综合利用漏洞在空间和时间中的分布信息定量评估网络漏洞带来的风险,最后设计并实现了网络漏洞评估原型系统。本文工作的主要贡献和创新点总结如下:(1)提出了一种基于贪心策略的多目标攻击图生成方法。该方法采用在服务层进行漏洞融合的方法降低攻击图的规模,生成由攻击者以最大概率获取节点权限的攻击路径构成的攻击图。算法分析和实验结果表明基于贪心策略的多目标攻击图生成方法的时间复杂度是网络中节点数和边数的多项式级别,较好地解决了攻击图生成过程中的状态组合爆炸问题。生成的攻击图覆盖了攻击者可达的所有节点,能够用于多个目标的网络漏洞分析。(2)提出了一种利用BP神经网络模型预测未来一段时间间隔内可能发现的漏洞数量和平均严重程度的方法。实验结果表明,使用本章方法预测的漏洞发现数量和严重程度均值具有较高的正确率,能够帮助网络管理员提前获知未来网络漏洞的发展趋势,从而采取预防措施,防范网络攻击。(3)提出了一种基于前瞻的网络漏洞风险量化评估方法。该方法将网络漏洞风险分为已检测出的漏洞带来的当前漏洞风险和未来可能发现的漏洞带来的前瞻漏洞风险两个方面;利用攻击图分析检测出的漏洞得到网络的当前漏洞风险;利用漏洞发现预测技术得到网络的前瞻漏洞风险。实验结果表明,本章提出的基于前瞻的网络漏洞风险量化评估方法所得结果具有较高的预测准确性,能够反映出漏洞风险的发展趋势,可以帮助网络管理员制定优化的安全策略防范网络攻击,提高网络安全。(4)设计并实现了网络漏洞评估原型系统。该系统采用模块化结构设计,具有良好的可扩展性;使用Java语言采用RCP框架实现,具有良好地界面表现能力。论文实验用到的漏洞数据来自美国国家标准技术研究院(NIST)提供的美国国家漏洞数据库(NVD)。