基于缺陷假設和有色Petri網(wǎng)的網(wǎng)絡滲透測試方法.pdf

1、滲透測試是指借助于值得信任的組織試圖對信息系統(tǒng)中的漏洞進行探測和開發(fā)的安全實踐活動。滲透測試已經(jīng)從不同系統(tǒng)開發(fā)階段的應用測試發(fā)展到生產(chǎn)系統(tǒng)中的網(wǎng)絡安全測試。同時，可用于滲透測試的工具種類繁多，性能差別較大。并且，對于復雜的攻擊場景來說，手動測試技術(shù)不僅容易出錯，還可能消耗滲透測試人員過多的資源。因此，急需一種科學合理的方法來規(guī)范網(wǎng)絡滲透測試過程。
　　缺陷假設方法是一種系統(tǒng)的細致的滲透測試方法，本文針對具體的SQL注入攻擊對這種方

2、法進行改進。而有色Petri網(wǎng)是一種規(guī)范的圖形化設計、規(guī)范、模擬以及驗證系統(tǒng)攻擊的方法。本文對常見的攻擊模型進行了深入系統(tǒng)的研究，這有助于滲透測試人員建立一些很難靠想象來假設的攻擊建模。使用這種滲透測試模型還可以在測試實行前建立客戶攻擊場景圖，利于設計攻擊假設的同時還有助于在真實系統(tǒng)中模擬攻擊假設。
　　本文將改進的缺陷假設方法和有色Petri網(wǎng)相結(jié)合，使用有色Petri網(wǎng)來描述和分析案例。同時，為了驗證提出建模方法的正確性和有效