基于缺陷假設和有色Petri網的網絡滲透測試方法.pdf

1、滲透測試是指借助于值得信任的組織試圖對信息系統(tǒng)中的漏洞進行探測和開發(fā)的安全實踐活動。滲透測試已經從不同系統(tǒng)開發(fā)階段的應用測試發(fā)展到生產系統(tǒng)中的網絡安全測試。同時，可用于滲透測試的工具種類繁多，性能差別較大。并且，對于復雜的攻擊場景來說，手動測試技術不僅容易出錯，還可能消耗滲透測試人員過多的資源。因此，急需一種科學合理的方法來規(guī)范網絡滲透測試過程。
　　缺陷假設方法是一種系統(tǒng)的細致的滲透測試方法，本文針對具體的SQL注入攻擊對這種方

2、法進行改進。而有色Petri網是一種規(guī)范的圖形化設計、規(guī)范、模擬以及驗證系統(tǒng)攻擊的方法。本文對常見的攻擊模型進行了深入系統(tǒng)的研究，這有助于滲透測試人員建立一些很難靠想象來假設的攻擊建模。使用這種滲透測試模型還可以在測試實行前建立客戶攻擊場景圖，利于設計攻擊假設的同時還有助于在真實系統(tǒng)中模擬攻擊假設。
　　本文將改進的缺陷假設方法和有色Petri網相結合，使用有色Petri網來描述和分析案例。同時，為了驗證提出建模方法的正確性和有效