计算机安全性分析建模,计算机网络安全性分析建模研究

第12期张涛等：计算机网络安全性分析建模研究·107·

图1 系统安全故障树

1) P0, P1, P2, P3, P4分别按照等级由低到高对应了表3中所定义的5个特权等级Access，Guest，User，Supuser，Root，在图1中表示一个相对应的特权集用户实例。

2) 图1中，为简化表示，P0作为默认共有权限，未做标明。

3) 弱点v4, v5需要相互借助才能完成从特权集P3到特权集P4的提升，两者构成了一个与门。加上(v6, v7，P2)，(v3，P1)这两对，图1中一共有3个与门。

4) 能够获取P4权限的输入有2个，分别对应了(v1，P0)，(v4,v5，P3)，2个输入，构成了一个或门，图1中共存在3个或门。

5) 图1所示故障树的最小割集为有(v1)，(v2，v4，v5)，(v4，v5，v8)，(v3，v4，v5，v6，v7，v9)。最小割集对应了攻击者可选择的攻击路径。

安全故障树模型提供了定性和定量两种分析方法。定性分析的目的在于寻找顶事件发生的原因和原因组合，即导致顶事件发生的所有故障模式，获取与故障树有关的割集和最小割集。定量分析是在给出各种基本事件失效率的前提下，分析整个系统的失效率，求出顶事件发生的概率和频度。

5.2 网络信息系统的攻击图

攻击图是研究人员综合攻击、漏洞、目标、主机和网络连接关系等因素，为发现网络中复杂的攻击路径或者引起系统状态变迁的渗透序列而提出的一种描述网络安全状态的表示方法。

攻击者在对网络进行攻击时首先是从攻击者所在的主机攻击网络中具有弱点的主机，当攻击成功之后就在被攻击主机上获得了一定的权限。在能力允许的条件下，攻击者可以从已经攻克的主机上再次发起攻击，如此往复，直到攻击者达到其攻击的最终目的。本文使用网络状态表示在攻击工程中攻击者具有的网络资源和网络连接关系，则攻击者实施攻击的过程就是从前提网络状态到结果网络状态的跃迁。

(1) 网络环境

实验网络的拓扑结构如图2所示。网络为交换网络，其中共有4台计算机，其中IP1、IP2为Windows主机，IP3、IP4为Linux主机，防火墙将目标网络与外部网络分开。目标网络中的主机信息如表6所示。

图2 网络的拓扑结构

表6主机描述

HOSTID OS SVCS VULS

IP1 Windows

XP

{Netbios Remote procedure call, Netbios name} {10108,

10181}

IP2 Windows

2000

{Netbios session} {10212}

IP3 Red Hat Linux8.0 {ftp , ssh} {6410}

IP4 Red Hat Linux7.2 {http , ssh} {10201,

10212}