一種新型的脆弱性評(píng)估方法及其在IMS中應(yīng)用的研究.pdf

1、網(wǎng)絡(luò)安全一直是計(jì)算機(jī)科學(xué)中一個(gè)備受關(guān)注的問題。在探究網(wǎng)絡(luò)安全失敗根源的過程中，脆弱性分析逐漸成為一個(gè)重要的研究領(lǐng)域，而脆弱性評(píng)估是其中的核心問題。同時(shí)，IMS網(wǎng)絡(luò)的開放性必將使其面臨大量已存在于互聯(lián)網(wǎng)中的威脅，因此亟需開展IMS脆弱性評(píng)估方面的研究。
　　 然而，IMS脆弱性評(píng)估的研究尚處空白。現(xiàn)有脆弱性評(píng)估的一般方法因存在諸多不足，難以直接應(yīng)用于IMS。例如，所有評(píng)估方法只關(guān)注部分評(píng)估過程，缺乏從單點(diǎn)脆弱性賦值到整體脆弱程度計(jì)

2、算，再到脆弱性削減策略生成的整體解決方案；絕大部分評(píng)估方法是從攻擊角度提出的，將攻擊者能力、攻擊模式等威脅信息作為脆弱性評(píng)估的輸入，使得網(wǎng)絡(luò)脆弱程度過于依賴網(wǎng)絡(luò)所處環(huán)境，而非網(wǎng)絡(luò)自身；多數(shù)評(píng)估采用定性方法，雖然簡單易行，但是評(píng)估結(jié)果易受主觀判斷隨意性影響而大幅波動(dòng)，從而難以將其用于更高層次的評(píng)估，如安全風(fēng)險(xiǎn)計(jì)算中。
　　 本文以網(wǎng)絡(luò)脆弱性的定量評(píng)估問題為出發(fā)點(diǎn)，從分析網(wǎng)絡(luò)自身缺陷出發(fā)，對(duì)網(wǎng)絡(luò)服務(wù)單點(diǎn)脆弱性、關(guān)聯(lián)脆弱性和網(wǎng)絡(luò)結(jié)構(gòu)脆

3、弱性的評(píng)估方法及其在IMS中的應(yīng)用展開深入的研究。本文的研究工作主要包括以下幾個(gè)方面：
　　 1.用形式化方法建立了脆弱性工作機(jī)理模型
　　 通過對(duì)網(wǎng)絡(luò)運(yùn)行規(guī)則的分析，從脆弱性評(píng)估角度，利用謂詞邏輯對(duì)脆弱性、威脅、安全保護(hù)對(duì)象等概念進(jìn)行了嚴(yán)格定義。從宏觀角度，分析了脆弱性與網(wǎng)絡(luò)安全失敗的關(guān)系，建立了網(wǎng)絡(luò)脆弱性分析模型。從微觀角度，以Petri網(wǎng)為建模工具，定義了脆弱性及安全保護(hù)對(duì)象狀態(tài)變遷規(guī)則，在此基礎(chǔ)上借鑒病理學(xué)思想，

4、建立了脆弱性的因果交替模型和損傷抗損傷模型。從而對(duì)脆弱性機(jī)理進(jìn)行了深入的分析，為脆弱性定量評(píng)估奠定了堅(jiān)實(shí)的理論基礎(chǔ)。闡述了IMS面臨的潛在威脅并以案例說明了IMS中脆弱性的利用過程。
　　 2.提出一套評(píng)價(jià)“評(píng)估方法”的指標(biāo)和單點(diǎn)脆弱性評(píng)估指標(biāo)
　　 建立了從有效、完備、易用、準(zhǔn)確、有序五方面評(píng)價(jià)脆弱性基本指標(biāo)的方法。提出了評(píng)價(jià)脆弱性復(fù)合指標(biāo)優(yōu)劣的指標(biāo)：值多樣性（ScoreDiversity）和點(diǎn)平均性（Point Va

5、riance）。以指標(biāo)評(píng)價(jià)方法為指導(dǎo)，闡述了脆弱性指標(biāo)的生成方法，定義了基于機(jī)密性、完整性、可用性及資產(chǎn)價(jià)值損失的基本指標(biāo)。在基本指標(biāo)的基礎(chǔ)上，提出了基本安全損失BL和潛在價(jià)值損失VL兩級(jí)復(fù)合指標(biāo)，并從值多樣性和點(diǎn)平均性等方面與CVSS等指標(biāo)進(jìn)行了比較。通過對(duì)IMS脆弱性從網(wǎng)絡(luò)接入、會(huì)話控制和業(yè)務(wù)提供三方面進(jìn)行分類和評(píng)估，分析了IMS脆弱區(qū)域的分布。
　　 3.提出一套網(wǎng)絡(luò)服務(wù)整體脆弱性評(píng)估方法和脆弱性削減措施
　　 以

6、Petri網(wǎng)描述的脆弱性關(guān)聯(lián)圖為脆弱性關(guān)聯(lián)模型，通過分析脆弱性鏈的數(shù)量和長度以及單點(diǎn)脆弱性利用難度對(duì)網(wǎng)絡(luò)安全受損狀態(tài)可達(dá)度的影響，提出網(wǎng)絡(luò)服務(wù)脆弱度指標(biāo)SV。對(duì)SV的取值范圍、單調(diào)性以及脆弱性關(guān)聯(lián)關(guān)系對(duì)SV的影響進(jìn)行了理論分析。通過度量削減單點(diǎn)脆弱性對(duì)網(wǎng)絡(luò)服務(wù)整體脆弱程度的直接和間接影響，提出了關(guān)鍵脆弱性集合計(jì)算方法。結(jié)合量化后的脆弱性削減成本，提出了成本最小化的脆弱性削減策略。給出了上述方法在IMS中的應(yīng)用示例。
　　 4.提

7、出一個(gè)網(wǎng)絡(luò)結(jié)構(gòu)生成模型及網(wǎng)絡(luò)結(jié)構(gòu)脆弱性評(píng)估方法
　　 分析了網(wǎng)絡(luò)擴(kuò)增中結(jié)點(diǎn)度及接入策略對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的影響，建立了僅由新增結(jié)點(diǎn)度m和已有結(jié)點(diǎn)度的冪r決定的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)解析模型。提出了給定m和r下度分布的期望值計(jì)算方法。通過計(jì)算網(wǎng)絡(luò)遭受攻擊時(shí)結(jié)點(diǎn)的失效與網(wǎng)絡(luò)連通度之間的關(guān)系，建立了網(wǎng)絡(luò)結(jié)構(gòu)脆弱度指標(biāo)fc。使用解析方法，深入分析了網(wǎng)絡(luò)規(guī)模不斷增大時(shí)網(wǎng)絡(luò)結(jié)構(gòu)脆弱性的漸進(jìn)性質(zhì)。對(duì)由CSCF組成的IMS核心網(wǎng)絡(luò)在既定安全目標(biāo)下參數(shù)的選擇策