返回
信息系统应用脆弱性检测研究

信息系统应用脆弱性检测研究

ID:34456929

大小:304.51 KB

页数:8页

时间:2019-03-06

信息系统应用脆弱性检测研究_第1页
信息系统应用脆弱性检测研究_第2页
信息系统应用脆弱性检测研究_第3页
信息系统应用脆弱性检测研究_第4页
信息系统应用脆弱性检测研究_第5页
资源描述:

《信息系统应用脆弱性检测研究》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、http://www.paper.edu.cn1信息系统应用脆弱性检测研究孙婷婷,孙其博北京邮电大学计算机科学与技术系,北京(100876)E-mail:sunting_111@163.com摘要:本文给出了信息系统脆弱性分类中应用脆弱性检测的一些指导方法,适用于信息系统安全风险评估中的应用脆弱性检测与识别工作。本文主体分为两部分:应用脆弱性检测研究方法和具体应用脆弱性检测的方法。在具体应用脆弱性检测部分,针对Web应用服务风险、FTP服务风险、电子邮件服务风险、远程信息服务风险、远程维护服务风险、Windows网络服务风险

2、、UnixRPC服务风险、OSA应用风险、SIP应用风险、Camel服务环境的应用风险和应用程序风险这几个方面展开。关键词:信息系统,脆弱性,风险评估,脆弱性检测中图分类号:TP3931.引言脆弱性检测是信息安全风险评估的重点。脆弱性检测一般以信息系统脆弱性的分类为切入点,以脆弱性特征库的建立为工作的重点,以确定脆弱性采集方案为最终目标。脆弱性的分类方法为特征库中的脆弱性提供了组织形式,特征库中包含的脆弱性的粒度将决定脆弱性[1]的采集方案。在国际标准化组织(ISO)所制定的第13335号信息安全管理指南中,将脆弱性检测从资

3、产的角度进行分类,提出了物理层面、人员、管理等重要概念。在国家标准《信息安全风险评估指南》中,明确将脆弱性分成物理、网络、系统、应用与管理五大方面,并提出从这五个方面来识别脆弱性。本文对信息系统的应用脆弱性检测的方法进行研究,提出了应用脆弱性检测的一些指导方法。2.应用脆弱性检测研究方法由于应用的实现和使用都牵涉多个方面,因此脆弱性检测要考虑很多方面。应用服务种[3]类繁多,围绕应用脆弱性检测的研究工作分为以下几个方面:2.1基于已知脆弱性检测及局部分析方法SATAN是最早的网络脆弱性分析工具,也是该类研究的代表,由网络安全

4、专家DanFarmer和WietseVenema研制,其基本的设计思路是模拟攻击者来尝试进入自己防守的系统,SATAN具有一种扩充性好的框架,只要掌握了扩充规则,就可以把自己的检测程序和检测规则加入到这个框架中去,使它成为SATAN的一个有机成分。正因为如此,当SATAN的作者放弃继续开发新版本之后,它能被别的程序员接手过去,从魔鬼(SATAN)一跃变成了圣者(SAINT)。SAINT与SATAN相比,增加了许多新的检测方法,但丝毫没有改变SATAN的体系结构。SATAN系统只能运行在Unix系统上,远程用户无法使用SATA

5、N检测。SAINT解决了SATAN远程用户问题,但是SATAN和SAINT都无法对一些远程主机的本地脆弱性进行采集,而且两者的脆弱信息分析方法停留在低级别上,只能处理原始的脆弱信息。1本课题得到国家高技术研究发展计划(863计划)项目“面向下一代电信网的安全测试评估技术及工具”(课题编号:2006AA01Z448)的资助。-1-http://www.paper.edu.cnNessus是一款免费、开放源代码和最新的网络脆弱性分析工具,可运行在Linux、BSD、Solaris和其他平台上,实现多线程和插件功能,提供GTK界面

6、,目前可检查多种远程安全漏洞。但是,Nessus只能从远程进行扫描获取脆弱性。许多脆弱性是本地的,不能通过网络检测到或被利用,例如收集主机配置信息,信任关系和组的信息难以远程获取。2.2基于安全属性形式规范脆弱性检测方法自动和系统地进行脆弱性分析是目前的研究重点,C.R.Ramakri-shnan和R.Sekar提出了一种基于模型的配置脆弱性分析方法,其基本原理是:首先以形式来规范目标的安全属性,例如,普通用户不能够重写系统日志子文件;其次建立系统抽象模型描述安全相关行为,抽象模型由系统的组件模型来组成,例如,文件系统、特权

7、进程等;最后检查抽象模型是否满足安全属性,如果不满足,则生成一个脆弱性挖掘过程操作序列,用以说明导致这些安全属性冲突的实现过程。该方法的优点在于检测已知和新的脆弱点,而COPS和SATAN主要解决已知脆弱性的检查。但是运用该方法需要占用大量计算资源,目前还无法做到实际可用,另外,方法的可扩展性仍然是一个难题,实际模型要比实验大得多。模型的开发过程依赖于手工建立,模型自动生成技术尚需要解决。2.3基于关联的脆弱性分析与检测这类研究工作利用了第一、第二类研究成果,侧重脆弱性的关联分析,即从攻击者的角度描述脆弱点的挖掘过程。一款基

8、于网络拓扑结构的脆弱分析工具TVA(TopologicalVulnerabilityAnalysis)能够模拟渗透安全专家自动地进行高强度脆弱性分析,给出脆弱点挖掘过程,生成攻击图。TVA将攻击步骤及条件建立为状态迁移图,这种表示使得脆弱性分析具有好的扩充性,使得输入指定的计算资源算出安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。