学位论文 > 优秀研究生学位论文题录展示
基于风险评估的渗透测试方案的研究与实施
作 者: 胡甜
导 师: 罗守山
学 校: 北京邮电大学
专 业: 软件工程
关键词: 风险评估 渗透测试 网络安全 安全测试 安全漏洞
分类号: TP393.08
类 型: 硕士论文
年 份: 2009年
下 载: 213次
引 用: 4次
阅 读: 论文下载
内容摘要
随着计算机网络技术的飞速发展,尤其是互联网的应用变得越来越广泛,在带来了前所未有的海量信息的同时,网络的开放性和自由性面临着更大的威胁,网络信息的安全性变得日益重要起来,如何了解和评价信息安全现状,提出信息系统的安全需求,选择最佳的风险控制措施,建立信息安全管理体系,制订有效的安全策略成为了迫切的需求。风险评估正成为了解网络安全现状、明确未来需求的重要部分。同时如何检验软件工程中软件生命周期(需求、设计、编码、测试、维护)的各个流程的有效性以及产品的安全性,弥补漏洞带来的威胁和影响变得更加严峻,渗透测试作为真实了解网络现状和弱点的最有效方式,能有效的检测漏洞和威胁,同时与风险相关联,能有效真实反映网络现状,减少设计、开发、测试、运营过程中带来的风险。本文正是针对上述问题,把渗透测试与风险评估相结合,从风险角度来看渗透测试,以风险评估中的渗透测试为重点,重要讨论了渗透测试的主要技术,优化了渗透测试流程和方案,并研究了渗透测试过程中可能存在的风险以及风险应对措施,最后并总结了渗透测试主要的工具。本文主要工作如下:1)深入分析了隐藏规避技术,安全扫描技术,拒绝服务技术,缓冲区溢出技术,账号口令破解技术,网络监听技术,ARP欺骗技术,SQL注入技术以及跨站脚本,社会工程学,无线破解等常见渗透测试技术。2)参考国际标准,认真分析了目前的渗透测试流程,本文将渗透测试方案分为5个阶段10个步骤:计划和准备阶段、侦查阶段(信息搜集、目标判别、漏洞扫描)、攻击阶段(获取权限、权限提升、设置后门、环境清理)、风险分析阶段以及报告阶段。并分别讨论每个阶段的任务、目标以及实现手段,同时渗透测试过程中要注意可能产生的风险并采用风险规避措施。3)对实际渗透测试中的风险—技术、管理、人员进行了分析,并分别针对这些情况的风险规避措施。需要注意的是风险规避的结果可能会对渗透测试结果产生影响,在撰写渗透测试报告时需要注明。4)认真搜集、总结、整理、归类分析了不同的渗透测试平台,不同的渗透阶段、不同系统、不同应用要用到不同的工具,有效的使用工具可以达到事倍功半的效果。渗透测试工具层出不穷,需要有正确的态度对待工具的使用。由于渗透测试的对象较为复杂,渗透测试的技术方法较多,而且渗透测试的结果与渗透测试人员的水平有很大关系,所以要正确解读渗透测试结果。此外,对渗透测试测试用例的说明,对避免渗透测试结果误差的控制也是未来探讨的范围。总之,渗透测试由于其特殊的地位,紧贴客户的攻击和防护最前沿,是对客户网络防护水平的最直接、最有效的检验,必然会受到更多的关注。
|
全文目录
摘要 4-6 ABSTRACT 6-10 第一章 绪论 10-16 1.1 课题背景 10 1.2 计算机网络安全现状 10-11 1.3 风险评估介绍 11-12 1.4 渗透测试的介绍 12-13 1.5 基于风险评估的渗透测试的必要性 13-15 1.6 论文结构 15-16 第二章 渗透测试主要技术分析 16-33 2.1 隐藏规避技术 16-19 2.2 安全扫描技术分析 19-22 2.3 拒绝服务攻击分析 22-24 2.4 缓冲区溢出攻击分析 24-26 2.5 帐号口令破解分析 26-27 2.6 网络监听技术分析 27 2.7 ARP欺骗技术分析 27-29 2.8 SQL注入攻击分析 29-30 2.9 其他渗透测试手段 30-32 2.9.1 跨站脚本攻击 30-31 2.9.2 社会工程学 31 2.9.3 非法接入和无线泄露测试 31-32 2.10 本章小结 32-33 第三章 渗透测试方案分析 33-54 3.1 计划和准备 34-36 3.1.1 渗透测试计划 34-35 3.1.2 渗透测试准备 35-36 3.2 侦查分析 36-45 3.2.1 信息搜集 37-39 3.2.2 目标判别 39-42 3.2.3 漏洞扫描 42-44 3.2.4 常见漏洞 44-45 3.3 攻击阶段 45-49 3.3.1 获取权限 45-47 3.3.2 权限提升 47 3.3.3 安置后门 47-48 3.3.4 环境清理 48-49 3.4 风险分析阶段 49-52 3.4.1 风险识别 49-50 3.4.2 风险判定 50-52 3.5 形成报告阶段 52-53 3.6 方案效果分析 53 3.7 本章小结 53-54 第四章 渗透测试中的风险控制 54-57 4.1 可能存在的风险 54 4.2 风险规避措施 54-56 4.3 本章小结 56-57 第五章 渗透测试工具 57-63 5.1 工具对渗透结果的影响 57 5.2 主要渗透测试平台 57-58 5.3 常用渗透测试工具 58-62 5.4 本章小结 62-63 结束语 63-64 参考文献 64-65 附录英文缩略语表 65-66 致谢 66
|
相似论文
- 基于主动方式的恶意代码检测技术研究,TP393.08
- 面向Gnutella和eMule网络拓扑测量和安全性分析,TP393.08
- 基于功能节点的无线传感器网络多对密钥管理协议研究,TP212.9
- 基于LEACH的安全建簇无线传感器网络路由协议研究,TP212.9
- 基于比对技术的非法网站探测系统的实现与研究,TP393.08
- 甜菜夜蛾和斜纹夜蛾对氯虫苯甲酰胺的抗性风险评估,S433
- 外来入侵植物黄顶菊在中国潜在适生区预测及其风险评估,S451
- 新疆烟粉虱生物型及B型烟粉虱对吡丙醚抗药性风险评估,S433
- 他方背信对风险决策的影响,B84
- 基于区域的无线传感器网络密钥管理方案研究,TP212.9
- 典型石油开采区生态风险评估与预警管理系统研究与构建,X826
- 土壤污染场地调查与评估信息系统研究,X825
- 忻州挠羊赛事风险管理研究,G852.9
- 大学生野外生存训练风险管理理论与实证研究,G807.4
- 海洋石油平台建造阶段作业风险管理研究,F426.22
- 科技型企业并购的文化风险评估研究,F276.44;F224
- 我国保险公司保险网络营销研究,F724.6
- 矿山竖井提升系统安全风险评估研究,TD53
- FPSO在石油卸载过程中的风险评估,U698
- 数字信息资源安全风险评估体系的构建,G353.1
- 基于VaR的上市公司财务风险评估指标体系构建及有效性分析,F832.51;F224
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|