基于图论的网络脆弱性评估系统的研究与实现-计算机系统结构专业论文.docxVIP

东南大学学位论文独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究1作及取得的研究成果。尽 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究1作及取得的研究成果。尽 我所知，陈r文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研 究成果，也不包含为获得东南大学或其它教育机构的学位或证书而，吏用过的材料。与我一同工 作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 研究生签名：锰避 日 期：—— 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复印件 和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质论文 的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阋，可以公御(包括刊登) 论文的全部或部分内容。论文的公布(包括刊登)授权东南大学研究生院办理。 研究生签名：监垫凌 导师签名： 纽日 期： 基于图论的网络脆弱性评估系统的研究与实现摘要 基于图论的网络脆弱性评估系统的研究与实现 摘要 基于图论的网络脆弱性评估系统的研究与实现 徐晓琴，龚俭东南大学 随着互联网技术的不断发展，网络攻击技术也在不断进步，网络攻击者经常在整个网 络中利用“多点脆弱性”来逐步提高自身的权限，最终达到控制目标机器的目的。脆弱性评 估能对网络安全状况进行评估和预警，因此显得越来越重要。然而目前的脆弱性评估系统主 要偏重于单机检查，整体分析功能较弱，即从网络整体的角度对网络中存在的脆弱性之间的 关系进行关联分析的功能少。因此，本文以华东(北)地区网络中心为实验背景，从研究攻 击者攻击过程的角度出发，利用扫描工具对网络中可能存在的脆弱性进行收集，然后对脆弱 性之间的相互关系进行关联分析，采用图论的方法将多点脆弱性转换为系统攻击图，在此基 础上对攻击路径进行搜索、分析，并采用模糊综合评判的方法对网络系统中各主机的安全状 态进行评估。 对于华东(北)地区网络中心这个规模的网络系统，攻击图的构造是一个非常耗时的 过程。攻击图构造过程的主要时间花费在“规则的可满足性判断”操作上，因此论文采用快 速匹配算法RETE来处理“规则的可满足性判断”问题，从而保证了攻击图的构造效率。然 而，RETE算法的效率又由其对应的规则模式排列次序决定的。论文借鉴Ishida提出的代价 模型思想，针对RETE连接结构提出了一种将一致性测试操作代价和查询操作代价结合在一 起的代价模型，并基于该代价模型设计了对应的针对RETE算法的规则模式排列次序优化算 法CBOR，其主要思想为：针对每条渗透规则列举可能的模式排列次序，并计算对应的RETE 连接网络结构的代价，然后选取代价最小的结构对应的规则模式排列次序作为最终结果。该 优化算法使得优化后的连接网络对应的操作次数明显小于优化之前，运行速度也提高了 47．3％。 论文第一章对网络攻击状况和脆弱性评估系统的研究现状进行简单的分析，提出了设 计一种具有“多点脆弱性”分析功能的脆弱性评估系统的必要性和追切性；第二章首先对网 络攻击和攻击图模型进行分析；接着对渗透及网络系统进行模拟并引入了描述渗透及网络系 统的语言，在此基础上分析了攻击图的构造过程；最后阐述了基于攻击图的决策分析，包括 攻击路径的搜索，攻击路径危害程度分析以及攻击路径成功概率的分析；第三章介绍了应用 于“规则的可满足性判断”的快速匹配算法RETE，并对传统的针对RETE算法的规则模式排 列次序优化方法进行了分析，同时借鉴Ishida的代价模型思想提出了适用于本论文系统的 代价模型，并基于该代价模型设计了相应的针对RETE算法的规则模式排列次序优化算法 CBOR：第四章在前三章的基础上，对基于图论的脆弱性评估系统进行了设计并实现。第五章 对GVA系统的功能、性能以及CBOR算法的效果进行了测试和分析．第六章总结了论文的主 要成果，并对未来进一步的工作和发展提出了一些建议。 【关键字】脆弱性评估攻击图RETE代价模型模式排列优化 基于图论的网络脆弱性评估系统的研究与实现Abstract 基于图论的网络脆弱性评估系统的研究与实现 Abstract Research and Implementation ofA Graph-based Network VulnerabilityAssessment System Xu Xiaoqin,Gong Jian Southeast University With the continuous development of IntemeI’network attack techniques also keeping evolving．By utilizing relations