1、在信息系統(tǒng)風(fēng)險評估的脆弱性評估環(huán)節(jié)引入滲透測試(Penetration Test)，能夠更加全面的識別和分析信息系統(tǒng)存在的脆弱性，并通過對漏洞的實際利用直觀反映出這些漏洞對系統(tǒng)造成的真實危害，為風(fēng)險評估的定量分析提供更具參考價值的測試結(jié)論。但現(xiàn)有滲透測試技術(shù)缺乏有效的手段來判斷安全掃描所獲取信息的準(zhǔn)確性和可利用性，雖然攻擊樹、攻擊圖等方法能夠?qū)δ繕?biāo)系統(tǒng)存在的安全問題進(jìn)行全面分析，發(fā)現(xiàn)因多個漏洞存在而導(dǎo)致的關(guān)聯(lián)脆弱性，但其分析過程與現(xiàn)場滲

2、透測試工作脫節(jié)，分析結(jié)果不能很好的應(yīng)用于在線滲透測試工作。
　　本文著眼于在線滲透測試工作所面臨的三個核心要素，即信息準(zhǔn)確性判定、漏洞可利用性篩選和漏洞關(guān)聯(lián)性分析問題，提出了一種基于本體和屬性攻擊圖的滲透測試模型。本體作為一種知識表示技術(shù)能夠嚴(yán)格定義概念與概念之間的關(guān)系，使用本體對滲透測試知識進(jìn)行描述，能有效地對分散的滲透測試知識進(jìn)行重新組織、理解和管理，實現(xiàn)滲透測試知識的共享和重用。本文依據(jù)本體技術(shù)的要求，從概念類、關(guān)系和推理三

3、個方面對滲透測試知識進(jìn)行分層的概念和屬性表示，使用OWL本體描述語言對滲透測試實例進(jìn)行描述，建立滲透測試領(lǐng)域本體；通過所建立的滲透測試本體，對信息準(zhǔn)確性和漏洞可利用性進(jìn)行甄別和篩選，并將漏洞及其關(guān)聯(lián)權(quán)限作為屬性攻擊圖的兩類節(jié)點，使用攻擊圖的分析方法分析漏洞間的關(guān)聯(lián)關(guān)系，生成滲透攻擊路徑。在上述理論模型研究的基礎(chǔ)上，本文對其進(jìn)行了原型系統(tǒng)實現(xiàn)，原型系統(tǒng)的應(yīng)用測試結(jié)果表明本文所建立的滲透測試模型能夠有效地實現(xiàn)信息準(zhǔn)確性判定，自動完成可利用漏