网络脆弱性研究

首先介绍了实时分析网络脆弱性的一种框架，它能够被用于实时发现攻击点(或网络的脆弱性)，描述网络在攻击情况下的状况。为了证明其有效性，对该方法在DDoS上的应用结果进行了分析。     

计算机主机及网络脆弱性量化评估研究

在计算机网络安全领域,针对计算机主机及网络的脆弱性量化评估是目前的研究热点。本文提出了一种网络脆弱性量化评估方法,并在该评估方法的基础上开发出了相应的评估系统。系统通过对主机漏洞存在可能性以及漏洞利用可能性进行量化评估,得到目标主机的脆弱性度量值。在此基础上,结合网络拓扑结构,利用优化的最短路径算法,分析网络中存在的危险路径和关键结点,从而可以有针对性地进行网络脆弱性修补,增强网络的总体安全性能。     

几种网络脆弱性分析方法探析

网络脆弱性分析方法总的目标是为了阐明全局度量结构的理论基础,而这种度量能被用来分析、管理和控制复杂网络系统。本文浅析了几种网络脆弱性分析方法的特点。准确的脆弱性分析要求对攻击模型以及它们对网络的影响要有很深的理解。     

计算机网络脆弱性评估技术研究

计算机网络安全脆弱性评估是网络安全领域的研究热点。该文提出了计算机网络脆弱性评估的研究目标,指出了在研究过程中存在的若干问题。从总体上分析了近年来针对计算机网络脆弱性评估的若干研究方法和技术,包括从网络连通性进行网络评估、基于入侵路径的网络安全性评估、基于图的网络脆弱性分析、网络脆弱性分析工具、基于Agent的网络脆弱性分析、运用层次分析法的网络脆弱性评估以及基于漏洞依赖关系图的网络脆弱性评估等,同时指出了每种方法的可取之处及存在问题。     

攻击图技术研究进展

目前网络攻击技术逐步多样化和智能化,攻击者对目标网络内存在的脆弱性会采取多步骤的组合攻击方式进行逐步渗透。攻击图是一种新型的网络脆弱性分析技术,它在对目标网络和攻击者建模的基础上,根据二者之间的相互作用关系计算产生攻击图,展示攻击者利用目标网络脆弱性实施网络攻击的各种可能攻击路径。该技术能够自动发现未知的系统脆弱性以及脆弱性之间的关系,因此是目前研究的热点之一。攻击图技术经历了从面向小型网络的手工分析到自动分析的发展,目前正在向面向大规模网络的自动分析发展。总结了攻击图技术的发展现状,阐述了它的巨大应用前景,最后分析了该技术目前所面临的主要挑战。     

基于BNAG模型的脆弱性评估算法

为准确评估计算机网络的脆弱性,结合贝叶斯网络与攻击图提出一种新的评估算法。构建攻击图模型RSAG,在消除攻击图中环路的基础上,将模型转换成贝叶斯网络攻击图模型BNAG,引入节点攻击难度和节点状态变迁度量指标计算节点可达概率。实例分析结果表明,该算法对网络脆弱性的评估结果真实有效,能够体现每个节点被攻击的差异性,并且对于混合结构攻击图的计算量较少,可准确凸显混乱关系下漏洞的危害程度。     

基于通用攻击树的脆弱性评估与风险概率研究

通用攻击树模型以各分支节点为单位对网络安全脆弱性进行层次分析并计算其风险概率。文章采用通用攻击树模型描述网络攻击各节点,分析各节点的脆弱性评估要素,计算各节点的风险概率,并结合实例分析模型在网络攻击事件中的脆弱性评估与风险概率的应用过程。     

基于攻击图和安全度量的网络脆弱性评价

研究计算机网络安全领域的网络脆弱性评价,提出一种基于攻击图和安全度量的网络脆弱性评价方法。该方法对可能存在的网络攻击行为建模并构造攻击图,并以此为分析模型,借助风险评估技术确定安全度量的指标和计算方法,实现对网络脆弱性的评价。     

基于信任关系的脆弱性扫描系统的设计与实现

从分析黑客攻击过程着手,设计了一个权限状态转换模型,采用基于目标权限的搜索树描述了信任关系导致的脆弱性.在此模型基础上,设计并实现了一个基于信任关系的脆弱性扫描系统.该系统具有分布式结构,结合主机扫描与网络扫描技术.测试结果表明,系统能够检测到主机间信任关系导致的脆弱性路径,为网络的整体安全评估提供了依据.     

一种新的基于Agent的入侵检测系统模型

在CIDF(Common Intrusion Detection Franlework，通用入侵检测框架)的基础上，引入了Agent技术，提出了一种新的基于Agent的入侵检测系统模型。该模型通过静态智能Agent和移动Agent技术实现了分布式的基于主机和基于网络相结合的入侵检测，在技术上采用模式匹配和协议分析，并且采用了PGP技术和数字签名方案进一步实现了入侵检测系统自身的安全性。     

计算机网络脆弱性浅析

针对Internet日益增多的攻击现状,防火墙、入侵检侧系统等网络安全技术发展日益成熟。但是现实中总有一些攻击能够成功,我们就有必要研究在遭受攻击情况下分析网络的脆弱性技术及及时的恢复技术,最小化对于网络不利影响。本文提出了计算机网络脆弱性的概念。分析脆弱性存在的深层原因,对网络脆弱性提供了初步的了解。     

基于攻击图的网络安全评估方法研究*

为了提高网络的整体安全性,提出了基于攻击图的网络安全评估方法。首先,在攻击图的基础上提出了脆弱点依赖图的定义;其次,将影响评估的因素分为脆弱性自身特点、网络环境因素和脆弱性关联关系三部分;最后,按照网络拓扑的规模,采用自下向上、先局部后整体的思想,直观地给出了漏洞、主机和整个网络系统三个层次的脆弱性指数评估值。通过大量反复的实验测试,该方法可以对网络系统存在的脆弱性进行定期的、全面的量化评估,及时发现并弥补网络系统中存在的安全隐患,有效地提升网络系统的生存能力,从而提高网络系统应对各种突发攻击事件的能力,具有重大的理论价值、经济效益和社会意义。     

格式串脆弱性的原理、利用、检测和预防

利用格式串脆弱性进行攻击是网络攻击中新起的和危险的攻击方法.为解决格式串脆弱性问题,在研究和商业领域提出了各种各样的方案.从格式串函数堆栈布局等角度剖析了格式串脆弱性的原理;研究了利用格式串脆弱性进行任意读写等技巧;系统地分析了各种格式串脆弱性检测和预防技术的机制、特性、优点和不足.     

效率优先的主机安全属性漏洞树建模研究

攻击图、攻击树与攻击网是网络安全测试和评估的重要建模方法,但这些方法在建模过程中存在无序性以及在攻击选择上缺乏针对性。为克服以上不足,本文以目标网络中存在的漏洞为树的叶节点,以漏洞利用攻击方式为节点之间的边,对各个节点主机的安全属性分别进行攻击建模,并在综合分析攻击的成果效率和时间效率的基础上,提出了效率优先的主机安全属性漏洞树建模方法。最后,通过举例分析证实了所提方法的可行性和有效性。     

网络脆弱性建模方法研究

在计算机安全领域,特别是网络安全领域,对网络系统脆弱性进行建模十分重要,其最终目的就是指导安全管理员仿真攻击场景、分析网络脆弱性之间的关联关系以及建立防御机制。阐述了网络脆弱性的概念及其建模方法发展历程,介绍了攻击树、攻击图、渗透图、特权提升图、Petri net、状态图、需求/产出模型等几种典型的脆弱性建模方法,最后总结了今后的发展方向。     

Evaluating the Vulnerability of Network Traffic Using Joint Security and Routing Analysis

Joint analysis of security and routing protocols in wireless networks reveals vulnerabilities of secure network traffic that remain undetected when security and routing protocols are analyzed independently. We formulate a class of continuous metrics to evaluate the vulnerability of network traffic as a function of security and routing protocols used in wireless networks. We develop two complementary vulnerability definitions using set theoretic and circuit theoretic interpretations of the security of network traffic, allowing a network analyst or an adversary to determine weaknesses in the secure network. We formalize node capture attacks using the vulnerability metric as a nonlinear integer programming minimization problem and propose the GNAVE algorithm, a Greedy Node capture Approximation using Vulnerability Evaluation. We discuss the availability of security parameters to the adversary and show that unknown parameters can be estimated using probabilistic analysis. We demonstrate vulnerability evaluation using the proposed metrics and node capture attacks using the GNAVE algorithm through detailed examples and simulation.     

脚本程序安全漏洞的动态防御方法

脚本程序漏洞经常引起安全问题,导致出现网络攻击.对常见脚本程序漏洞进行了分类研究,分析了漏洞产生机理,总结出参数引用(参数未过滤、数据未判断、数据未过滤)和逻辑考虑不足(逻辑推理缺陷、逻辑运算符滥用)两类主要的脚本安全问题.在此基础上,提出一种针对脚本源代码漏洞的动态防御方法,阐明了防御原理及方法,设计了攻击字符库.实验表明,该方法可以有效地防范脚本漏洞攻击,提高了Web系统的安全性.     

对等网络的网络弹性分析

网络弹性研究的是网络在节点失效或被有意攻击下所表现出来的特征。分析Gnutella网络的网络弹性，包括对于随机攻击的容错性和对于选择性攻击的抗攻击性，并与ER模型和EBA模型进行了对比。Gnutella网络对于随机攻击具有很好的容错性，但是对于选择性攻击却显得脆弱。最后对网络弹性进行了理论分析，给出了网络在出现最大集团临界点之前的平均集团大小的公式解。     

Vulnerability of Regional Aviation Networks Based on DBSCAN and Complex Networks

To enhance the accuracy of performance analysis of regional airline network, this study applies complex network theory and Density-Based Spatial Clustering of Applications with Noise (DBSCAN) algorithm to investigate the topology of regional airline network, constructs node importance index system, and clusters 161 airport nodes of regional airline network. Besides, entropy power method and approximating ideal solution method (TOPSIS) is applied to comprehensively evaluate the importance of airport nodes and complete the classification of nodes and identification of key points; adopt network efficiency, maximum connectivity subgraph and network connectivity as vulnerability measurement indexes, and observe the changes of vulnerability indexes of key nodes under deliberate attacks and 137 nodes under random attacks. The results demonstrate that the decreasing trend of the maximum connectivity subgraph indicator is slower and the decreasing trend of the network efficiency and connectivity indicators is faster when the critical nodes of the regional airline network are deliberately attacked. Besides, the decreasing trend of the network efficiency indicator is faster and the decreasing trend of the maximum connectivity subgraph indicator is slower when the nodes of four different categories are randomly attacked. Finally, it is proposed to identify and focus on protecting critical nodes in order to better improve the security level of regional airline system.