《计算机网络安全漏洞检测与攻击图构建的研究》读书报告
随着Internet技术不断进步,计算机网络已经深入社会的各个领域,并且逐渐成为21世纪全球最重要的基础设施,它对政治、经济、军事、科技、教育以及人们的工作、学习和生活方式都产生了巨大影响。通过网络可以使分布在不同地理区域的信息实现共享,极大地提高了效率。根据CNNIC第 19 次调查报告,截至20186年 12月31日,我国网民数量达到83700万人,上网计算机数为35940万台,域名总数为4109020个。 然而信息资源共享与信息安全天生是一对矛盾,网络的开放性,尤其是Internet网的国际性、自由性、无主管性、缺少法律约束以及自身结构上的安全缺陷,给网络带来了巨大的风险和隐患,网络安全问题日益突出,黑客入侵、病毒和拒绝服务等类型的攻击找到了更多的攻击途径,致使网络安全事件屡屡发生。
随着计算机网络的发展和Internet 的迅速普及,网络信息安全已成为维护国家安全和社会稳定的焦点。而在网络安全事件中,黑客利用单个主机/服务往往无法对网络成功进行入侵,利用多个主机/多种服务内部存在的各种不同关系产生的“多点脆弱性”,则能够达到入侵网络的目的。因此考察网络安全的一个重要性的方面是在获得网络的漏洞信息后,考虑多个漏洞利用的组合问题,分析攻击者对网络进行渗透攻击时所可能采取的攻击路径。
本次阅读的文献针对漏洞检测的需要,首先介绍了基于C/S模式的OVAL漏洞检测器,确定系统上存在的漏洞信息,然后在获得网络漏洞信息的基础上,提出了一种高效的用于分析网络潜在路径的安全分析模型,进而给出了基于此模型的网络攻击图自动生成方法和网络攻击图生成系统。OVAL漏洞检测器扫描系统的软件、硬件和配置信息等,根据 XML 定义的OVAL大纲确定系统中存在的安全漏洞,然后通过 Socket 通信模块将收集到的信息发送到控制台。控制台处理这些数据信息,并利用它们来构建潜在攻击路径。该检测器支持Windows、Linux 等多种操作系统,该文以Linux下的漏洞检测器为例,详细描述了漏洞检测器具体的工作原理和方式。由于采用OVAL和CVE标准漏洞库,使得该检测器便于与其它漏洞检测工具和漏洞库兼容。 在此基础上该文提出了一种网络安全分析模型,该模型由主机描述、基于TCP/IP协议栈层次的网络连接关系、基于权限提升的利用规则三部分组成,其中利用规则是一系列利用前提到后果的映射,包括攻击者在源主机和目标主机上的最低权限、利用的漏洞、攻击成功后提升的权限等信息,而攻击者实施攻击的行为是一系列利用规则的转移序列,因此该文提出了自己的一种网络攻击图表示方法,同时利用SQL 数据库建模该网络安全模型,给出了一种基于权限提升的攻击/漏洞关联分析方法,根据广度优先前向搜索和后向搜索相结合的算法生成攻击事件图,并进行分析,生成的攻击图在发现所有潜在路径的前提下,每一条路径都是最小且没有重复路径,实现网络安全的整体分析。
最后该文实现了网络攻击图自动生成原型系统,可视化显示网络攻击图,并通过实验对作者提出的基于权限提升的网络攻击图生成方法进一步验证分析,并证明该系统在发现所有潜在路径的前提下,更加简洁和高效。
