基于缺陷假設(shè)和有色Petri網(wǎng)的網(wǎng)絡(luò)滲透測(cè)試方法.pdf

1、滲透測(cè)試是指借助于值得信任的組織試圖對(duì)信息系統(tǒng)中的漏洞進(jìn)行探測(cè)和開(kāi)發(fā)的安全實(shí)踐活動(dòng)。滲透測(cè)試已經(jīng)從不同系統(tǒng)開(kāi)發(fā)階段的應(yīng)用測(cè)試發(fā)展到生產(chǎn)系統(tǒng)中的網(wǎng)絡(luò)安全測(cè)試。同時(shí)，可用于滲透測(cè)試的工具種類繁多，性能差別較大。并且，對(duì)于復(fù)雜的攻擊場(chǎng)景來(lái)說(shuō)，手動(dòng)測(cè)試技術(shù)不僅容易出錯(cuò)，還可能消耗滲透測(cè)試人員過(guò)多的資源。因此，急需一種科學(xué)合理的方法來(lái)規(guī)范網(wǎng)絡(luò)滲透測(cè)試過(guò)程。
　　缺陷假設(shè)方法是一種系統(tǒng)的細(xì)致的滲透測(cè)試方法，本文針對(duì)具體的SQL注入攻擊對(duì)這種方

2、法進(jìn)行改進(jìn)。而有色Petri網(wǎng)是一種規(guī)范的圖形化設(shè)計(jì)、規(guī)范、模擬以及驗(yàn)證系統(tǒng)攻擊的方法。本文對(duì)常見(jiàn)的攻擊模型進(jìn)行了深入系統(tǒng)的研究，這有助于滲透測(cè)試人員建立一些很難靠想象來(lái)假設(shè)的攻擊建模。使用這種滲透測(cè)試模型還可以在測(cè)試實(shí)行前建立客戶攻擊場(chǎng)景圖，利于設(shè)計(jì)攻擊假設(shè)的同時(shí)還有助于在真實(shí)系統(tǒng)中模擬攻擊假設(shè)。
　　本文將改進(jìn)的缺陷假設(shè)方法和有色Petri網(wǎng)相結(jié)合，使用有色Petri網(wǎng)來(lái)描述和分析案例。同時(shí)，為了驗(yàn)證提出建模方法的正確性和有效