论文摘要
网络防护设备或防御措施在被部署到网络系统之前,需要对其防护功能进行足够的测试并评估出其防御有效性,从而为防御决策提供科学依据。但在真实网络环境中进行这样的测试是困难且危险的,而单纯的仿真又存在安全功能建模困难、缺乏攻防模型库等问题,半实物网络仿真方法则是一种新的思路。本文将研究和探索基于半实物网络仿真的网络防御测试方法,以及如何根据测试结果评估防御的有效性。第一,在分析网络防御有效性相关因素的基础上,制订了包含网络防御测试和网络防御有效性评估两个环节的基于半实物仿真的网络防御有效性研究方案。第二,围绕构建网络防御的半实物仿真测试环境,解决“如何测”和“测什么”两个关键问题。提出了一种基于半实物的网络防御仿真测试模型;结合OPNET仿真器对测试中所用攻击的特殊要求,提出了一种基于攻击目标影响结果的多维度攻击分类方法,并建立了相应的网络防御仿真测试的指标体系。第三,在确定网络防御有效性与其相关因素之间关系的基础上,给出了包含“影响因素到风险值的映射”与“风险值到防御有效性的映射”两个组成部分的网络防御有效性评估过程,以及评估过程的实现方法。第四,在形式化描述Synflood攻击及Smurf攻击的基础上,设计并实现了Cisco PIX防火墙对两种攻击的半实物仿真测试实验,对统计数据进行防御有效性评估结果表明:基于半实物仿真的网络防御有效性研究方案是可行的,文中给出的实现方法是正确的、有效的。