时间Petri网在渗透测试中的应用

计算机与现代化 ›› 2020, Vol. 0 ›› Issue (10): 110-115.

时间Petri网在渗透测试中的应用

(1.中国人民解放军91404部队，河北秦皇岛066000;2.江苏自动化研究所，江苏连云港222061)

出版日期:2020-10-14 发布日期:2020-10-14
作者简介:李海浩（1982—），男，河北保定人，工程师，硕士，研究方向：武器装备软件测评，自动化测试，E-mail: 93685670@qq.com; 吴亚锋（1990—），男，江苏宿迁人，助理工程师，硕士，研究方向：软件质量与可靠性，自动化测试，E-mail: 47214866@qq.com; 王晓强（1988—），男，河北承德人，工程师，硕士，研究方向：软件质量与可靠性，自动化测试，E-mail: 93767072@qq.com。
基金资助:
国家自然科学基金资助项目(61773384)

Application of Timed Petri Net in Penetration Testing

(1. Unit 91404 of the Chinese People’s Liberation Army, Qinhuangdao 066000, China;
2. Jiangsu Automation Research Institute, Lianyungang 222061, China)

Online:2020-10-14 Published:2020-10-14

摘要/Abstract

摘要： 渗透测试攻击模型作为渗透测试的重要环节，受到学术界和工业界的共同关注。现有的渗透测试攻击模型未考虑渗透测试攻击过程中的动态参数，无法描述漏洞的发生时间。本文以漏洞为基本单元，以时间Petri网中库所的时间区间表示漏洞的发生区间，构建以时间Petri网为基础模型的渗透测试攻击模型。首先，将漏洞列表作为输入来构建单漏洞模型；然后，将单漏洞模型集合通过模型整合算法形成完整的渗透测试攻击模型；最后，给出渗透攻击路径选择算法，并通过模拟实验验证本文所提渗透攻击路径选择算法的有效性。

关键词: 时间Petri网, 渗透测试, 单漏洞模型

Abstract: As an important part of penetration testing, the penetration test attack model has attracted the common attention of academia and industry. Existing penetration test attack models do not take into account the dynamic parameters in the penetration test attack process, and cannot describe when the vulnerability occurred. Taking the vulnerability as the basic unit, and the time interval of the place in the timed Petri net representing the occurrence interval of the vulnerability, this paper builds a penetration test attack model based on the timed Petri net. First, the vulnerability list is used as input to build a single vulnerability model. Then, the single vulnerability model collection is used to form a complete penetration test attack model through a model integration algorithm. Finally, the algorithm of penetration attack path selection is given, and the effectiveness of the algorithm of penetration attack path selection proposed in this paper is verified by simulation experiments.

Key words: timed Petri net, penetration test, vulnerability model

李海浩, 吴亚锋, 王晓强. 时间Petri网在渗透测试中的应用[J]. 计算机与现代化, 2020, 0(10): 110-115.

LI Hai-hao, WU Ya-feng, WANG Xiao-qiang. Application of Timed Petri Net in Penetration Testing[J]. Computer and Modernization, 2020, 0(10): 110-115.

参考文献［25］

［1］	KENNEDY D, O’GORMAN J, KEAMS D,等. Metasploit渗透测试指南［M］. 诸葛建伟,等译. 北京:电子工业出版社, 2012:1-25.
［2］	ENGEBRETSON P. 渗透测试实践指南:必知必会的工具与方法［M］. 缪纶,等译. 北京:机械工业出版社, 2013:22-35.
［3］	WEISS J D. A system security engineering process［C］// Proceedings of the 14th National Computer Security Conference. 1991:572-581.
［4］	SCHNEIER B. Attack trees: Modeling security threats［J］. Dr. Dobb’s Journal of Software Tools, 1999,24(12):21-29.
［5］	LV W P, LI W M. Space based information system security risk evaluation based on improved attack trees［C］// Proceedings of the 2011 3rd International Conference on Multimedia Information Networking and Security. 2011:480-483.
［6］	罗森林,张蕾,郭亮,等. 一种高效的攻击树串行建模方法［J］. 北京理工大学学报, 2013,33(5):500-504.
［7］	孙卓,刘东,肖安洪,等. 基于攻击树模型的数字化控制系统信息安全分析［J］. 上海交通大学学报, 2019,53(S1):68-73.
［8］	PHILLIPS C A, SWILER L P. A graph-based system for network-vulnerability analysis［C］// Proceedings of the 1998 Workshop on New Security Paradigms. 1998:71-79.
［9］	KOTENKO I, STEPASHKIN M. Attack graph based evaluation of network security［C］// Proceedings of the 10th IFIP TC-6 TC-11 International Conference on Communications and Multimedia Security. 2006:216-227.
［10］	崔颖,章丽娟,吴灏. 基于攻击图的渗透测试方案自动生成方法［J］. 计算机应用, 2010,30(8):2146-2150.
［11］	刘渊,李群,王晓锋. 基于攻击图和改进粒子群算法的网络防御策略［J］. 计算机工程与应用, 2016,52(8):120-124.
［12］	陈锋. 基于多目标攻击图的层次化网络安全风险评估方法研究［D］. 长沙:国防科技大学, 2009.
［13］	赵超,王慧强,林俊宇,等. 面向大规模网络安全加固的攻击图分析方法［J］. 计算机科学与探索, 2018,12(2):263-273.
［14］	曾赛文,文中华,戴良伟,等. 基于不确定攻击图的攻击路径的网络安全分析［J］. 计算机科学, 2017,44(S1):351-355.
［15］	何江湖,潘晓中. 基于漏洞关联攻击代价的攻击图生成算法［J］. 计算机应用研究, 2012,29(5):1907-1909.
［16］	谢冬青,李贵城. 基于最小化攻击图的自动化渗透测试模型［J］. 广州大学学报(自然科学版), 2012,11(3):70-74.
［17］	孙彦臣. 基于低代价攻击图的渗透测试方法研究［D］. 哈尔滨:哈尔滨工程大学, 2019.
［18］	徐丙凤,何高峰. 基于攻击图的信息物理融合系统渗透测试方法［J］. 计算机科学, 2018,45(11):143-148.
［19］	刘龙,陈秀真,李建华. 基于攻击模式的完备攻击图自动生成方法［J］. 计算机工程, 2013,39(10):127-132.
［20］	付亮. 基于概率攻击图模型的渗透测试方法研究［D］. 南昌:东华理工大学, 2019.
［21］	杨涛,郭义喜,张弘. 有色Petri网在渗透测试中的应用［J］. 计算机工程, 2009,35(1):156-158.
［22］	罗森林,张驰,周梦婷,等. 基于时间Petri网的渗透测试攻击模型研究［J］. 北京理工大学学报, 2015,35(1):92-96.
［23］	韩璐璐. 基于缺陷假设和有色Petri 网的网络渗透测试方法［D］. 沈阳:东北大学, 2011.
［24］	杜镇宇,刘方正,李翼宏. 基于Petri网的APT攻击模型生成方法［J］. 计算机应用研究, 2019,36(7):2134-2142.
［25］	栾俊超. 面向渗透测试的漏洞检测与攻击方法［D］. 南京:南京航空航天大学, 2017.