基于知识库的渗透测试评估方法研究与实现

基于知识库的渗透测试评估方法研究与实现

作者:师大云端图书馆 时间:2018-07-19 分类:参考文献 喜欢:4819
师大云端图书馆

【摘要】如今各个领域都已与网络有着千丝万缕的联系,网络的发展给大家带来便利的同时,行走在网络空间中的“黑客”已成为严重威胁网络安全的问题,渗透测试技术就是这些行走在网络空间中的“黑客”安身立命的本领所在。早至凯文·米特尼克这样的第一批“黑客”,近至牟取非法利益而从事地下黑色产业链的“黑帽子黑客”,他们通常都对自身的渗透测试技术守口如瓶,或者只在一个利益共同体中进行交流与切磋。然而“白帽子黑客”打破了这种旧有的格局,在取得授权的先决前提下,对目标系统或网络进行渗透测试的实践评估。随着一些对安全性需求很高的企业开始采纳这种方式来对自己的业务、网络及系统进行评估,渗透测试安全评估方法逐渐发展成为一个热门的领域。本文对渗透测试技术和安全评估方法进行研究,渗透测试是一种实际环境的攻击模拟,通过它能发现影响业务的安全隐患。而安全评估方法是一种安全风险分析方法,它的任务是评估业务的安全隐患及给出相应的升级策略。通过调研发现其实两者有很多共性点,如前期对系统脆弱性分析、系统威胁的建模等,同时两者也存在以下几个方面的问题:(1)渗透测试的对抗性和定制性一般要求很高,需要渗透测试团队在不断的渗透操作中进行分析,自动化的渗透测试工具只有商业化版本;(2)安全评估方法中有很多不确定性的参数,如一个特定企业的网络系统中发现一处漏洞,但并不能确定是否有攻击能对其造成影响,或者不能确定企业防御措施是否能抵御漏洞的威胁;(3)国内渗透测试领域、安全评估领域都与国外有较大差距。基于以上几个问题为出发点,本文通过构建知识库的方式来实现渗透测试过程的自动化执行及通过渗透测试结果来增加安全评估的准确性,结合这两方面内容,研究基于知识库的渗透测试评估方法。首先,在深入研究渗透测试技术的基础上,结合规则树方法,构建知识库的信息,知识库中每条链存储了一个完整的渗透攻击过程,通过前期目标与脆弱性信息收集,调用知识库中内容,实现了渗透测试的自动化执行。其次,深入研究了安全评估方法,基于渗透测试的返回结果,在满足NIST指南的情况下,重新设计了安全评估过程,使安全评估的某些脆弱性的评估值确定化。同时应用了漏洞生命周期思想,理论上加强了评估值的正确性,安全评估的正确性也能随着知识库的不断扩充而得到加强。
【作者】吴方明;
【导师】胡亮;
【作者基本信息】吉林大学,网络与信息安全,2014,硕士
【关键词】渗透测试;安全风险评估;风险分析;知识库;网络安全;

【参考文献】
[1]谢向宇.我国企业人力资源薪酬管理研究[D].华中师范大学,工商管理(专业学位),2013,硕士.
[2]张青川.膀胱癌顺铂耐药与其基因甲基化相关性研究[D].苏州大学,外科学,2013,博士.
[3]肖晨晨.SiO_2纳米微球修饰的PDMS微芯片在氯苯酚分离检测中的应用[D].苏州大学,2014.
[4]王丽娟.基于隐藏导频超宽带无线通信系统的信道估计[D].河南科技大学,检测技术与自动化装置,2013,硕士.
[5]张沐光,宋执环.LPMVP算法及其在故障检测中的应用[J].自动化学报,2009,06:766-772.
[6]范宇中.智能信息系统中的知识获取研究[D].武汉大学,2004.
[7]汪洋.H大学纵向科研经费管理研究[D].湖南大学,会计,2014,硕士.
[8]胡朋.浙江省制造业产业集聚影响因素研究[D].宁波大学,产业经济学,2013,硕士.
[9]韩林飞,刘义钰.对新型城镇化中“新”的解读[J].北京规划建设,2014,05:17-21.
[10]丁晓剑,赵银亮.偏置b对支持向量机分类问题泛化性能的影响[J].自动化学报,2011,09:1105-1113.
[11]王迪.北京市海淀区老年人体育消费现状的研究[D].北京体育大学,体育人文社会学,2013,硕士.
[12]付志义.伊文思纪录片中的“中国符号”研究[D].东北师范大学,新闻学,2012,硕士.
[13]王楼.桂林市公园鸟类群落结构及其空间生态位的研究[D].广西师范大学,生态学,2013,硕士.
[14]卢东东.先秦齐鲁地区城市发展的历史审视[D].华中师范大学,区域文化史,2012,硕士.
[15]刘春宇.微博客平台上的社会资本研究[D].南京师范大学,新闻学,2012,硕士.
[16]王文思.积极心理学对大学生思想政治教育的启示[D].南京师范大学,思想政治教育,2012,硕士.
[17]朱喜峰.市场经济下红色文化传承研究[D].南昌航空大学,思想政治教育,2012,硕士.
[18]何艾玲.基于生理特征的无线体域网数据安全传输研究[D].宁夏大学,电子与通信工程(专业学位),2014,硕士.
[19]安军,穆钢,郑太一,王明星,刘柏林,姜旭.改善电网电压水平的发电机励磁系统调差系数优化策略[J].电力系统自动化,2013,23:97-101.
[20]丁翔.“以人为本”—马克思人学理论的现实意义研究[D].成都理工大学,马克思主义基本原理,2013,硕士.
[21]邢津.河北省邯郸市丛台区社区矫正调查报告[D].兰州大学,刑法(专业学位),2013,硕士.
[22]梁亮.美国汉学家夏含夷的《周易》研究[D].华东师范大学,中国古代文学,2013,硕士.
[23]周新来.电容式碳纳米管气湿敏传感器敏感机理研究[D].哈尔滨工业大学,2010.
[24]刘承军,姚鹏.首钢球团厂成功实施上料系统计控改造[J].冶金自动化,2008,06:21.
[25]杨持,叶波,邢铁鹏.草原区区域气候变化对物种多样性的影响[J].植物生态学报,1996,01:35-40.
[26]吴微,苑玮琦,林森,孔德奇,张洪涛.手掌静脉识别典型波长选择[J].光学学报,2012,12:140-146.
[27]李平.基于BP神经网络的高新技术企业财务预警研究[D].广西师范大学,企业管理,2013,硕士.
[28]黄小丹.A Cp-based Model for Assessing the Quality of Public Sign Translations[D].西安外国语大学,MTI翻译,2014,硕士.
[29]古禹.天津优秀女子游泳运动员自由泳动作技术分析[D].天津体育学院,体育教学(专业学位),2014,硕士.
[30]李清梅.前列地尔预处理对犬失血性休克肺损伤的保护作用[D].遵义医学院,麻醉学,2013,硕士.
[31]李聪,梁昌勇,马丽.基于领域最近邻的协同过滤推荐算法[J].计算机研究与发展,2008,09:1532-1538.
[32]雷宋琼.我国大型煤炭企业IT能力与企业绩效关系研究[D].西安科技大学,企业管理,2013,硕士.
[33]文宁.水利水电工程砂石料场优化选择研究[D].西安理工大学,水利工程,2003,硕士.
[34]李金升.中老年人OAB患病率调查及危险因素分析[D].郑州大学,外科学,2013,硕士.
[35]张立存.高速汽车弯道前方碰撞预警算法的研究[D].吉林大学,车辆工程,2004,硕士.
[36]袁向平安.Jacob蛋白在活性依赖突触可塑性的突触—核信号传递过程中的作用研究[D].复旦大学,神经生物学,2012,博士.
[37]周光斌.2005,全球电信业再奏凯歌[J].中国电信业.2005(03)
[38]王晓晚.我国寿险产品的险种策略研究[D].中南林学院,2003.
[39]曹梦雅.小学数学教科书插图使用的研究[D].河北师范大学,课程与教学论,2014,硕士.
[40]汤然.干扰素γ介导噬血细胞综合征血细胞减少的研究[D].首都医科大学,内科学,2014,硕士.
[41]鲍健强,苗阳,陈锋.低碳经济:人类经济发展方式的新变革[J].中国工业经济,2008,04:153-160.
[42]刘昶.基于数据挖掘的J高校图书馆图书管理创新研究[D].南昌大学,工商管理(专业学位),2014,硕士.
[43]江伟.沪深300指数效应实证研究及其异常收益套利分析[D].复旦大学,世界经济,2012,硕士.
[44]王琼,李建革.节能服务业之国际经验[J].能源与节能,2014,03:76-78.
[45]钟勇才.多信道无线Mesh网络中基于链路质量的信道分配研究[D].湖南大学,软件工程,2012,硕士.
[46]刘松.基于忆阻器件的滤波器和PID控制器研究[D].西南大学,信号与信息处理,2013,硕士.
[47]池明茹.安康水电站生态径流调控研究[D].南京信息工程大学,自然地理学,2012,硕士.
[48]恩和朝伦.蒙古国功勋画家冬布热艺术研究[D].内蒙古大学,美术学,2013,硕士.
[49]王超,李继红,李颖毅,孙维真,倪秋龙,张静.淮沪特高压投产后的华东电网低频振荡特性分析[J].电力系统自动化,2013,18:120-125.
[50]赵平.我国花卉产业发展现状及前景研究[D].华中农业大学,农业经济管理,2001,硕士.

相关推荐
更多