第1页 / 共82页
第2页 / 共82页
第3页 / 共82页
第4页 / 共82页
第5页 / 共82页
第6页 / 共82页
第7页 / 共82页
第8页 / 共82页
基于OVAL漏洞评估系统研究.pdf
封面
文摘
英文文摘
声明
第一章 引言
第二章 漏洞评估及关键技术
第三章 漏洞评估体系与模型研究
第四章 基于OVAL的漏洞评估系统设计
第五章 基于OVAL的漏洞评估系统实现与测试
第六章 总结与展望
致 谢
参考文献
攻读硕士学位期间已发表或录用的论文
上海交通大学硕士学位论文基于OVAL漏洞评估系统研究姓名:赵杰申请学位级别:硕士专业:电子与通信工程指导教师:蒋兴浩20080901
上海交通大学工程硕士学位论文 摘要 III摘 要 随着计算机网络技术的迅速发展,网络安全问题己成为当前网络技术研究的重点。漏洞评估技术能够检测网络系统潜在的安全漏洞和脆弱性,评估网络系统的安全状况,是实现网络安全的重要技术之一。 现有漏洞扫描、网络安全评估等安全工具已经渐渐的无法完全满足现在网络安全的需要,特别是还没有一种标准化的方法和符合标准的产品或服务。设计一种能够准确检测出系统存在的漏洞、补丁错误、配置错误等问题,很好地实现各种网络安全产品和服务间兼容和互操作,已经成为目前网络安全的重要课题。 针对这些现状,本文研究了基于国际OVAL(open vulnerability and assessment language开放漏洞评估语言)的漏洞评估系统。目的是研究标准化的漏洞描述方法,实现漏洞描述、漏洞检测过程、漏洞评估地标准化,以及网络的整体安全态势的评估;基于OVAL的漏洞评估系统也能很好的解决与其他安全产品的互操作问题。漏洞评估系统采用一个控制中心与多代理的系统架构。 本文研究了当前漏洞检测评估的现状与发展。主要分析了当前的一些洞检测产品,漏洞描述向规范化、结构化、标准化方向发展;研究了漏洞产生的原因,漏洞的危害, 漏洞的检测的原理,以及漏洞检测技术的发展。 本文研究了OVAL标准,对OVAL语言的定义,用OVAL定义漏洞,做了全面的研究。对单一漏洞安全级别,本文采用CVSS漏洞评估标准体系,本文对CVSS漏洞评分系统做了全面的研究,并用实例加以阐述。以OVAL漏洞定义和CVSS评分标准为基础,研究了基于安全案例的网络安全态势评估方法,对检测网络和系统的整体安全态势进行评估。 本文在前面的研究基础上,综合传统的漏洞检测评估技术以及最新的漏洞评估的技术和标准,分析和设计了基于OVAL的漏洞评估系统。对系统的设计目标、系统的流程、体系结构、基本的功能模块、各模块的逻辑关系等进行了详细的分析和设计。最后实现了基于OVAL的漏洞评估模型系统的主要功能模块,并做了测试,给出了测试报告。 关键词:OVAL;漏洞评估 ; 漏洞检测;网络安全
上海交通大学工程硕士学位论文 ABSTRACT IVABSTRACT With the rapid development of computer network technology, network security has becomed the focus of the current network technology. Vulnerabilitiy assessment technology can detect potential security vulnerabilities and assess the security situation of network .It is one of the most important network security technology. Now there are many vunerability scanners and network security assessment tools, but they could not satisfy the demand of network security. However, there is not one standardized method and product or the service which conforms to the standard. The product and the service cannot accurately dectect the existence vulnerability, patch mistake and configuration mistake of the system.And each kind of network security product and the service can not be well compatible and operate mutually. This causes the network security assessment to be still stern. In light of the status this paper has studied the vunerability assessment system based on the international open vulnerability and assessment language. The purpose is to study the standardized description method of the vulnerability and to realize the standardization of the vulnerability description and the process of the vulnerability detection and assessment and to assess the overall security situation of the network. The vunerability assessment system based on OVAL will be good to solve the problem of the compatibility. The vulnerability assessment system uses a control center with a multi-agent system architecture. The paper has studied the present situation and the development of the current vulnerability detection and assessment technology. Current popular vulnerability dectection products have been analyzed. The vulnerability detection technology develop ahead standardization .The paper has studied the reasons that the cause vulnerabilities, the harm of the vulnerability, the vulnerability detection principle as well as the development.of the vulnerability detection technology. The paper has studied the OVAL standard, the definition of the elements of the OVAL and the definition of the vulnerability with OVAL.To the single vulnerability security rank, this article uses the CVSS to assess it in the system.This article do the
上海交通大学工程硕士学位论文 ABSTRACT Vcomprehensive research to the CVSS. CVSS assesses the vulnerability security rank from the basic factor, the life cycle factor and the environment factor. And this was elaborated with the example. Taking the oval vulnerability definition and the CVSS grading standard as foundations, the paper has studied network security situation assessment method based on the security case to assess the overall security situation of the network and the system. Finaly the paper has combined the traditional technology of the vulnerability detection and the newest OVAL and analyzed and designed the vulnerability assessment system based on OVAL.The paper has analyzed the goal of the system design, the management process of the system, the system architecture, and the basic functional modules. Finally the paper implemented and tested the main modules of the vulnerability assessment system based on the OVAL. Keywords: OVAL; vulnerability assessment; vulnerability detection; network security
上海交通大学 学位论文原创性声明 本人郑重声明:所呈交的学位论文,是本人在导师的指导下,独立进行研究工作所取得的成果。除文中已经注明引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名:赵 杰 日期: 年 月 日
上海交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权上海交通大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密□,在 年解密后适用本授权书。 本学位论文属于 不保密□。 (请在以上方框内打“√”) 学位论文作者签名:赵 杰 指导教师签名:蒋兴浩 日期: 年 月 日 日期: 年 月 日
上海交通大学工程硕士学位论文 第一章 引言 1 第一章 引言 1.1 研究背景 随着Internet 的飞速发展,网络资源共享程度进一步加强,随之而来的信息安全问题日益突出,网络安全问题已经成为信息化社会的焦点。目前运行在网络上的各种计算机、服务器和网络设备,都可能存在明显的漏洞或安全隐患。根据国际权威应急组织 CERT/CC统计 ,2005年全年收到漏洞报告 5990个,平均每天超过 15个 1995年以来共计收到漏洞报告总数 22716个,具体统计结果如图 1-1[1]所示,从统计情况来看漏洞数量比 2003年和 2004年有了很大程度的增加。 图1-1 CERT/CC统计漏洞图CERT/CC statistics vulnerability chart 微软2004年正式公布了 34个安全漏洞, 2005年公布了48个安全漏洞,是 2004年的 1.4 倍除操作系统和浏览器外,应用软件出现的安全漏洞也在不断在增加, CNCERT/CC 2005年共整理发布漏洞公告75个。漏洞的大量存在是网络安全问题的总体形势趋于严峻的重要原因之一 系统漏洞不断涌现,入侵手段日益丰富,预先准确评估网络系统中存在的安全漏洞,采取有效的防范措施,提高网络系统的安全性,已经成为当前的迫切需要。当前软件漏洞、系统配置缺陷、补丁问题等漏洞的种类繁多,信息量大并且不规范,降低了预防漏洞的能力。现在漏洞扫描、网络安全评估等安全工具或软件不
上海交通大学工程硕士学位论文 第一章 引言 2少,各种产品使用的技术和方法各有优劣;然而没有一种规范化的方法和符合规范的产品或服务,不能准确检测出系统存在的漏洞、补丁错误、配置错误等问题,不能很好地实现各种网络安全产品和服务间兼容和互操作。这使得网络安全评估依然严峻。 2005年,CNCERT/CC共收到国内外通过应急热线、网站、电子邮件等报告的网络事件12万多件,平均每月1万多件,每月的具体事件报告数量见图1-2。需要说明的是,2005年收到的事件报告中约 93%为扫描类网络安全事件,除扫描外的国内外网络安全事件报告共 9112件。 图1-2 CERT/CC网络安全事件统计报告CERT/CC network security event statistical reports 2005年 CNCERT/CC接收的无论是非扫描类还是扫描类事件报告,与 2004年相比,数量都增长了一倍左右。与2003年相比,04年和05年事件报告数量的增长更加明显, 2003年至2005年事件报告数量比较情况如图1-3所示。 图1-3 CNCERT/CC事件比较报告The CNCERT/CC event quite reported
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
