随着互联网的快速发展,网络已渗透人们生活的各个领域。它不仅给我们的工作、学习带来了便利,同时也带来了诸多安全问题。如今攻击手段日趋增多,安全问题不容忽视。现阶段在网络安全领域中,一项重要的工作是关于网络全局漏洞检测分析,其中用攻击路径来模拟攻击者进行攻击是常用的分析手段,也是研究的重点和难点。该方法能反映整个漏洞的关联性,网络安全管理员能依据此进行一些安全部署。以往通过攻击路径对网络进行安全分析时,研究员一般得到的是全局节点信息攻击图和节点属性攻击图。经研究分析,这两种图的结构较为复杂,信息量大,并不能简单、直观地描述漏洞之间的关联性。研究员需要先分析这种复杂的状态图,才可以对网络进行一些安全部署,效率比较低下。同时,单个漏洞可利用性量化值是基于攻击路径计算攻击成功概率的数学依据,而现阶段对漏洞可利用性量化的研究也较少。针对上述两个问题,本文进行了一系列的工作,创新点和主要工作如下:通过对网络节点的分析以及对状态攻击图和属性攻击图进行简化,提出了一种较为直观的漏洞利用关系图。将漏洞关系利用图中主要需要的节点属性、网络拓扑信息、本地漏洞属性、单元攻击前后条件进行建模。通过这些信息分析生成的攻击图能简单、直观地描述漏洞之间的关系并利用攻击路径来模拟攻击。最后对攻击图的所有的有效路径进行成功攻击的概率运算,根据分析的数据结果来快速确定漏洞的修复顺序,进行网络安全防范。分析了目前运用最广泛的通用漏洞评分系统（CVSS）,通过对CVSS评估的54331个漏洞可利用性量化值的数据统计分析,发现CVSS的评分值只有23种,分值的多样性不够,且大部分漏洞可利用性分值集中在少数几个评估分值上,较为集中。针对CVSS的不足,本文首先通过数据统计发现漏洞类型可影响漏洞可利用性,但现有标准没有将其作为评估要素之一。因此,我们将漏洞类型作为评估要素之一,采用层次分析法将漏洞类型进行量化,提出了新的评估方式EOVSS,对CVSS进行了优化。搭建模拟网络环境,对建立漏洞利用关系图的信息节点进行建模,生成漏洞关系利用图。为了对比EOVSS的准确性,通过EOVSS、CVSS、WIVSS三种方式得出单个漏洞的可利用性量化指标,计算单个漏洞被成功利用以及单条有效攻击路径被成功利用的概率,计算出最终结果并进行对比分析。最后对网络环境进行了全局漏洞检测,实验证明,EOVSS具有较高的准确率以及多样性。

• 单位
  西安电子科技大学