隨著計算機(jī)的廣泛應(yīng)用,互聯(lián)網(wǎng)已經(jīng)從封閉的、專用的網(wǎng)絡(luò)逐步變?yōu)殚_放的、公用的網(wǎng)絡(luò),其應(yīng)用范圍逐漸變得越來越廣泛。網(wǎng)絡(luò)中弱點(diǎn)也會急劇増多,這就加大了攻擊者成功非法占有資源的機(jī)會,大大損害了計算機(jī)網(wǎng)絡(luò)安全性。網(wǎng)絡(luò)攻擊預(yù)測主要通過相關(guān)安全技術(shù)監(jiān)測出網(wǎng)絡(luò)中包含的弱點(diǎn),并依據(jù)理論分析找出風(fēng)險較大的弱點(diǎn)即為攻擊者可能的攻擊目標(biāo),網(wǎng)絡(luò)管理員對此應(yīng)該重點(diǎn)防御。本文針對網(wǎng)絡(luò)中存在的弱點(diǎn)進(jìn)行分析,提出了有效的攻擊圖模型,并構(gòu)建攻擊路徑預(yù)測方案,對可能發(fā)生的攻擊路徑進(jìn)行預(yù)測。通過對弱點(diǎn)屬性分析,設(shè)計了節(jié)點(diǎn)弱點(diǎn)聚類算法簡化弱點(diǎn)數(shù)目,有效簡化了攻擊圖。依據(jù)通用漏洞評分系統(tǒng),同時以攻擊難度作為判斷標(biāo)準(zhǔn),給出了節(jié)點(diǎn)的可達(dá)概率計算方式,解決了以專家打分的方式進(jìn)行主觀量化評估導(dǎo)致預(yù)測不準(zhǔn)確問題。綜合分析了網(wǎng)絡(luò)攻擊的各方面因素,引入了攻擊價值概念,并構(gòu)建包含多個因素,且具有通用性的攻擊價值計算模型,為攻擊路徑預(yù)測奠定了基礎(chǔ)。由于攻擊者是理性的,依據(jù)攻擊價值的分析,淘汰了攻擊者不可能采取的攻擊行為,有效消除了路徑冗余。基于上述分析,文中定量給出了基于入侵意圖的不同路徑入侵的可能性。最后,指明了論文研究不足之處,并給出了下一步...

【文章頁數(shù)】：77 頁

【學(xué)位級別】：碩士

【部分圖文】：

圖1簡單攻擊圖

定義1主要綜合上述7種因素及相互關(guān)系給出概率屬性網(wǎng)絡(luò)攻擊圖模型。依照定義1,借助弱點(diǎn)掃描工具對目標(biāo)網(wǎng)絡(luò)中的設(shè)備進(jìn)行掃描,將具有弱點(diǎn)的主機(jī)作為攻擊圖節(jié)點(diǎn),有向邊代表節(jié)點(diǎn)之間的關(guān)聯(lián)關(guān)系,生成如圖1所示的簡單攻擊圖。在圖1中,攻擊者從初始節(jié)點(diǎn)H0出發(fā)到成功占有H5最終實(shí)現(xiàn)入侵意圖,共包....

圖2節(jié)點(diǎn)弱點(diǎn)聚類算法流程

當(dāng)攻擊者面臨目標(biāo)節(jié)點(diǎn)內(nèi)存在多個弱點(diǎn)可供選擇且攻擊效果相同時,往往會選擇最容易成功利用的弱點(diǎn)。為此,本文先綜合分析多種弱點(diǎn)被利用后產(chǎn)生的后果,將攻擊分為獲取信息(GI)、權(quán)限升級(PU)以及拒絕服務(wù)(DoS)3種類型,再采用節(jié)點(diǎn)弱點(diǎn)聚類算法NVC對節(jié)點(diǎn)弱點(diǎn)進(jìn)行預(yù)處理。節(jié)點(diǎn)弱點(diǎn)聚類算....

圖3賦予攻擊價值的攻擊圖

為詳細(xì)展示NAP的形成過程,用true代表狀態(tài)變遷和攻擊行為發(fā)生,false代表不可能發(fā)生。通過對某目標(biāo)網(wǎng)絡(luò)中的節(jié)點(diǎn)進(jìn)行弱點(diǎn)分析,得到其含有的攻擊圖,依據(jù)上文的攻擊可行性分析并結(jié)合專家經(jīng)驗(yàn)為攻擊圖賦予攻擊價值w,然后以H0為起始點(diǎn),斷開以其為節(jié)點(diǎn)的一條邊,存放入POSi中,之后依....

圖4仿真網(wǎng)絡(luò)拓?fù)?br>
為驗(yàn)證本文提出的模型和算法的有效性與適用性,搭建一個仿真網(wǎng)絡(luò)環(huán)境進(jìn)行測試分析,其拓?fù)浣Y(jié)構(gòu)如圖4所示。仿真網(wǎng)絡(luò)包括M1、M2、M3以及DMZ4個安全區(qū)域,每個安全區(qū)域內(nèi)節(jié)點(diǎn)之間可任意訪問。DMZ中包含Mail服務(wù)器、SMTP服務(wù)器以及DNS服務(wù)器,防火墻3保護(hù)DMZ區(qū)連接Inte....

本文編號：3956486