目录

摘要

I. 引言

二. 背景

A.XCDF规范

B.ConfigChecker引擎

三. xccdf分析引擎

A.XCCDF规则转换

B.查询层

C.基于Prolog的分析

四、 实现和应用程序

A.分类

B.攻击传播分析

C.路径合规性检查

五、相关工作

六、 结论

---

基于SCAP的配置分析用于全面的合规性检查-

SCAP based configuration analytics for comprehensive compliance checking

摘要

今天的计算机系统有大量的安全配置设置，旨在提供灵活和强大的服务。然而，不正确的配置增加了漏洞和攻击的可能性。安全内容自动化协议（SCAP）提供了一个统一的手段，使用标准接口自动检查桌面系统的合规性。然而，只有在进行包括网络和桌面配置的全局检查时，才能发现错误的配置，因为这些配置中有许多是高度相互依赖的。

在这项工作中，我们提出了一个基于SCAP的工具，它在一个模型中整合了主机和网络配置的合规性检查，并允许执行综合分析查询，以验证整个端到端网络作为一个单一系统的安全和风险要求。我们提出的工具将SCAP工具生成的XCCDF报告转化为逻辑对象，这些对象可以进一步组成，使用更高级的安全分析工具（如ConfigChecker和基于PROLOG的工具）创建全局逻辑分析。这个项目也显示了在标准工具的努力上提高技术水平的价值。

一. 引言

许多工具已经被提出来，可以根据标准的安全配置检查表进行符合性检查。这种检查通常是针对同一网络中的每个桌面独立进行的。为了统一许多不同合规性工具的信息内容，已经提出了SCAP规范[13]。基于SCAP的合规性工具验证了特定桌面的一些安全配置设置是否与推荐的标准设置一致。偏离推荐设置会增加该计算机被攻击者入侵和利用的可能性。然而，这种不一致可能不被认为是有害的，或不被认为是有害的，这取决于该桌面与网络其他部分的连接情况。例如，如果它与网络中的其他设备完全隔离，它可能不会被认为是一种威胁。因此，确定实际风险不仅取决于桌面的弱点，还取决于桌面在网络中的暴露程度，这就涉及到网络访问控制配置，如路由器、防火墙、IDS、IPSec等。在本文中，我们开发了一个框架，将桌面和网络配置的合规性检查同时作为一个系统来进行。它还提供了一个合适的查询语言接口，考虑到网络和桌面配置之间的依赖性，进行综合分析。

联邦桌面核心配置（FDCC）[6]代表了运行微软Windows Vista和XP操作系统的计算机的强制安全配置。由于FDCC是针对桌面系统和笔记本电脑的，其他组织为设备和平台提供了固件和操作系统级别的安全检查表，以及Internet Explorer等软件应用程序。SCAP是一套相互关联的规范，代表了安全软件交流已知软件缺陷和配置信息的标准格式和命名法。XCCDF是SCAP规范，定义了安全合规性检查表及其结果。不同桌面系统的XCCDF文档是断开的，在本文中，我们提出了将它们结合在一起进行统一分析的粘合剂。我们开发的工具可以读取网络中任何设备（包括台式机）的安全检查表（XCCDF）结果，然后将XCCDF翻译成逻辑对象，可以根据网络配置进行逻辑组合，创建一个代表整个网络的全球模型。这使得管理员可以进行查询，以验证全局网络属性，例如，由于桌面和网络配置的弱点，是否有可能同时发生信息泄露。只有当分析成为以网络为中心而不是以桌面为中心的合规性检查时，这种端到端的全局查询才有可能。攻击传播和剩余风险分析是全局安全分析的其他例子，需要将SCAP和网络配置分析整合到一个框架中。

管理和维护安全配置是一项非常艰巨的任务，尤其是在动态和不断发展的大规模网络中。我们在这项工作中的贡献是将XCCDF结果转换为逻辑对象，然后使用它们验证整个网络的需求。我们采用两种方法来实现这一点：（1）将它们转换为Prolog规则，用于基于Prolog的定理证明工具；（2）在ConfigChecker[1]中将它们编码为二叉决策树（BDD），后者提供了一种时态语言来表达和验证需求。

本文的剩余安排如下。第2节提供了有关SCAP规范和框架中使用的ConfigChecker引擎的背景信息。第3节介绍了我们提出的SCAP分析引擎。在第4节中，我们介绍了实现和一些应用示例。在第5节中，我们介绍了相关的工作，在最后一节中，我们总结并提供了未来的方向。

二. 背景

信息系统的各种安全组件（包括软件、固件和硬件）使得管理和确保其安全性成为一项艰巨的任务。此外，这些组件的配置是另一个关键问题，我们不仅可以单独考虑这些不同组件的缺陷，而且应该将正确的配置放置在正确的位置。为了自动化这些任务，我们需要一种标准的方法来表示和度量系统中的信息安全性。SCAP是实现这一目标的一种方法。SCAP由美国国家标准与技术研究所（NIST）开发，由国土安全部赞助。它是一组六个规范，代表标准格式和术语，安全软件通过这些规范以XML格式传递有关已知软件缺陷和配置的信息。根据SCAP的技术规范文件，这六个规范可分为以下三类：

• 语言。这些语言提供了在SCAP中表示安全信息的标准格式。它们被用来描述安全检查表、检查表的结果和评估检查表的程序；换句话说，我们可以说语言指定了WHAT和如何评估特定的安全检查表。SCAP包含两种语言规范。第一种是可扩展配置清单描述格式（eXtensible Configuration Checklist Description Format,XCCDF）[15]，它被用于我们的框架中，将在下面的小节中详细讨论。另一种语言是开放漏洞和评估语言（Open Vulnerability and Assessment Language，OVAL），它最初是为了指定技术细节和执行目标系统的漏洞和缺陷的安全检查所需的程序。虽然XCCDF规定了什么是需要评估的安全检查表，OVAL规定了如何评估这个检查表。然而，OVAL也可以用来表达机器的状态和配置，如机器上安装了哪些补丁，以及是否安装了某个特定的软件。
• 枚举。由于SCAP旨在成为交流安全信息的公共标准，安全组件（即平台、软件、漏洞和配置）可能被许多解决方案在多个XCCDF或OVAL文档中引用。SCAP枚举为这些安全组件提供了标准的字典，这样，一个特定的组件就可以在不同的工具之间共享。SCAP包含三个枚举规范。(1) 通用平台枚举(CPE)，它只是操作系统、硬件和软件应用程序的标准命名惯例；(2) 通用配置枚举(CCE)，它为不同的配置设置提供字典，如用户权限和密码策略设置；(3) 通用漏洞和暴露(CVE)，它是一个公开已知漏洞和软件缺陷名称的字典。如图1所述，这些枚举不是单独使用的，但它们被整合到其他SCAP规范中。XCCDF、OVAL和CVSS。
• 漏洞测量和评分系统（CVSS）。一个系统中可能存在的不同漏洞对该系统的影响是不同的，CVSS为常见的已知漏洞提供了一个标准的严重程度分数；这使得组织能够量化漏洞，以便比较不同的软件产品或系统，并相应地配置适当的设置。提供了三个指标来估计CVSS得分。(1) 基础指标，根据基本的漏洞特征提供一个通用的分数，这些特征是恒定的，不会随时间或不同的用户环境而变化，如漏洞对保密性、完整性或可用性的影响。(2) 时间性指标，根据随时间变化的特征提供分数，如可出口性。(3) 环境指标，在不同的用户环境中会有变化，如附带损害的可能性。第一个指标考虑的是固定的特性，而另外两个指标考虑的是易受攻击的软件或系统所处的环境，为了更好地估计特定环境中的潜在风险，强烈建议考虑这个指标。

A.XCDF规范

XCDF主要是一个机器可读的XML表示文档，用于适用于一组目标系统的结构化安全检查表。检查表是一组有组织的规则，系统将根据这些规则进行验证。通常有两种主要类型的XCDF文档。其中包括表示某些条件或设置的基准定义，以及除基准定义外包含实际测试结果的结果文档。基准测试中的条件称为规则（稍后将显示），可以进行定制以适应某些特定环境。XCCDF标准允许选择和取消选择要测试或不测试的基准中的某些规则。除了描述一些用于配置验证的安全检查表外，包含检查表结果的XCCDF文档还可用于漏洞评估。

每个XCCDF文档都包含一个基准，它表示文档中的根元素。它表示检查表的主容器，并指定可应用检查表的适用平台。基准中实际描述安全检查表的主要元素是<Rule>元素，它表示目标系统中应该满足的条件。其他元素主要用于组织基准的规则，用于各种目的。<Rule>元素可以直接包含在基准元素中，也可以包含在<Group>元素中。每个<Group>元素都有一个唯一的ID，并包含对其内容的描述，将规则分组可以更灵活地启用或禁用子规则。如果选择要检查的<Group>，则此选择将应用于其所有<Rule>元素。基准还可能包含一个或多个配置文件，用于在不同环境中修改基准的行为。基准测试中的每个组或规则都有一个属性，用于确定是否选中该组或规则，配置文件可以在该值生效时覆盖该值。轮廓是使用元素定义的。它使用组或规则的唯一ID引用多个组或规则，并为每个组或规则指定是否选中该组或规则。

如图1所示，不同的SCAP规范不是彼此分开使用的，启用SCAP的工具应利用所有这些规范，以获得全部好处；XCDF是连接所有其他五个规范以提供全面内容的规范。CPE名称在XCDF中用于标识应用了XCDF规则的硬件或软件平台，因为CCE可用于指定应在XCDF检查表中检查哪些安全配置设置。同样，CVE用于识别在评估XCCDF清单时应检查的软件缺陷或漏洞。XCCDF还引用一个或多个OVAL定义文件，这些文件指定如何扫描系统以查找某些特定漏洞或配置设置，最后，评估XCCDF检查列表中的每个规则后收集的结果可用于计算系统的总体CVSS分数。

B.ConfigChecker引擎

ConfigChecker是一种高效的工具，可对网络进行建模，并允许管理员验证标准CTL语言中表示的任何需求。ConfigChecker将网络建模为一个有限状态机，其中网络的状态由两个主要值确定：第一个是数据包，表示五个字段（源ip、源端口、目标ip、目标端口、协议）指定的网络中可能流动的所有不同数据包，第二个值是位置，该位置仅仅是特定分组处于当前状态的设备的地址。从一个状态到另一个状态的转换由网络设备控制，每个设备都有自己的转换关系，网络的整体转换关系是所有设备转换关系的析取，如下所示

其中，是具有网络中n个设备的索引i的设备的转移关系。装置的过渡关系取决于装置的功能。一些设备（如路由器）只能将数据包传输到新位置，而其他设备（如IPSec）可以在将数据包传输到下一个位置之前更改数据包的内容。以下是ConfigChecker中建模的主要网络设备及其转换关系的构建方式：

• 主机。此设备表示网络中的终端节点。可以在主机中生成的任何数据包都将传输到默认网关，不应根据目的地做出任何决定。假设我们有一个ip为的主机，其默认网关为，则此主机的转换关系可以表示为：
  
  其中是数据包的源IP，和分别是当前位置和新位置
• 路由器。根据路由表，路由器将把任何传入的数据包移动到适当的目的地，而不改变数据包内容。
• 防火墙。它有两个接口（入站和出站），每个接口都有一个策略。如果在这些接口中的任何一个接收到一个数据包，并且该数据包满足该接口的策略，则该数据包在不改变其内容的情况下被转发到下一个网关，否则该数据包将被丢弃。
• IPSec。与防火墙中一样，IPSec具有入站和出站接口，它对满足接口策略的数据包应用策略操作，但这种情况下的操作可能是加密或解密需要更改其内容的数据包。

除了这些主要设备外，ConfigChecker还为其他设备（如NAT、IDS、无线主机和接入点）建模，以提供网络的综合模型。将整个网络建模为单个状态机，可以验证端到端的可达性和安全性要求，以及特定设备的特定要求。ConfigChecker还提供了基于标准CTL语言的丰富灵活的查询语言，允许用户表示其需求。在这项工作中，我们通过提供新的命令来查询表示标准配置设置的规则，从而扩展了这种语言。

三. xccdf分析引擎

ConfigChecker在读取拓扑和配置文件后对网络进行建模。我们的引擎有两个输入，网络配置和XCCDF文档。网络配置文件包括（1）描述拓扑和网络内所有设备的主文件，以及（2）初始应用于每个设备的XCCDF文件。我们的工具还提供了在加载网络后应用新XCCDF文件的能力。每个设备都有另一个文件，其中包含特定设备的策略，如防火墙或IPSec访问列表策略和路由表，允许我们执行和验证可达性和安全性要求。此配置文件直接提供给ConfigChecker组件，该组件进而构建网络模型。每个设备还可能有一个或多个XCCDF文档，其中包含测试结果的基准。目前，我们只考虑可应用于主机的基准。然而，我们的框架还允许对针对特定类型的防火墙或路由器或网络中的任何其他设备测试的基准进行编码。

XCCDF转换器是负责解析XCCDF文档并将其转换为ConfigChecker可读格式的工具。为了做到这一点，FDCC文档中的每个规则在我们的模型中都分配了一个变量，该变量的索引范围为0到支持的规则总数。XCCDF转换器包含一个预生成的哈希表，其键是配置设置的CCE-v5标准名称，每个哈希项的值是变量的索引。将XCCDF文档中的每个规则映射到模型中适当变量的过程将在下面的小节中详细描述。

对于每个XCCDF文档，XCCDF转换器生成另一个包含0和1行的文档，其中0表示规则测试结果失败，1表示其他。输出文件中每个值的索引是与被测试规则对应的模型变量的索引。ConfigChecker将在前面讨论的BDD模型中对该信息进行编码。回想一下，在ConfigChecker中，每个状态都编码为数据包x位置。该位置过去是数据包所在设备的IP。在这项工作中，位置不仅仅是设备的IP。它还包括编码的符合性检查结果。下式显示了对XCCDF测试结果进行编码后，从式（2）延伸的过渡关系：

其中Indecies是分配用于编码XCCDF测试结果的一组变量，是与模型中变量对应的规则的XCCDF结果值。

A.XCCDF规则转换

XCCDF转换器组件负责解析XCCDF文件，以提取稍后将由ConfigChecker在网络模型中编码的信息，如图2所示。网络中的每个主机可能有一个或多个与之关联的XCCDF文件，其中包含符合性测试结果。基准定义可以在另一个XCCDF文件中与其测试结果分离。在我们的工具中，我们假设它们都在同一个XCCDF文件中。 <TestResult>元素用于表示XCCDF文档中的测试结果，它有许多属性和子元素。以下是我们在工具中处理的主要属性：

• 基准。这表示对记录其结果的基准的引用。只有<TestResult>当在单独的文档中时，它才是必需的。在我们的情况下，这不是必需的，因为我们对基准和结果使用相同的文件。
• 规则结果。对于在基准中测试的每个规则，我们都有一个<rule-result>元素，该元素主要指定两个重要内容：基准中显示的规则ID，以及测试该规则的结果，该结果可以是以下值之一：pass、fail、error、unknown、nonapplicative、bodychecked、notselected、informational或fixed。在我们的模型中，每个规则的结果应该映射到0或1的值。我们认为结果“失败”为0，而其他任何值被认为是1，这意味着它对系统没有任何检测效果。

如前所述，我们需要使用CCE名称将每个规则映射到模型中的相应变量。在基准中使用其ID引用<rule-result> 规则，但是为什么我们要使用CCE名称来查找变量索引，而不是直接在基准中使用规则ID？这是因为相同的配置设置在不同的XCCDF文档中可能具有不同的ID。例如，windows XP中与CCE名称“CCE-2847-2”相对应的“还原文件和目录用户权限应分配给正确的帐户（restore files and directories user right should be assigned to the correct accounts）”设置在NIST 800-68 windows XP XCCDF中的ID为“RestoreFilesAndDirectories”，而在FDCC windows XP XCCDF中的ID为“RestoreFilesAndDirectories Administrators”。为了解决这个问题，解析过程包括以下两个步骤。

第一步是解析XCCDF文件中的基准，以枚举基准中的所有规则，并将枚举规则的标识符（ID）映射到实际的CCE名称。XCCDF文件中的每个规则都应该有一个或两个<ident>元素，如下例所示：

上面示例中的第一个元素表示CCE版本5中的规则名称，该版本是目前的最后一个版本。另一行表示早期版本的CCE（版本4）中的名称。基准中的规则可能没有这些元素，在本例中，我们使用规则ID映射到变量。翻译器将遍历所有规则并读取它们的ID和CCE名称。无论选择与否，都将读取所有规则，并且无论选择哪个配置文件，因为此步骤的目的只是构建一个将ID链接到实际CCE名称的映射。

第二步是解析<TestResult>元素，而元素又可能包含许多<rule-result> 元素。它们中的每一个都表示基准中单个规则的结果。下面的代码段表示一个<rule-result> 元素的示例。idref属性的值表示基准中规则的ID。此值与前面描述的第一步中构建的映射一起用于查找此特定规则或配置设置的CCE名称。

B.查询层

ConfigChecker内置的网络模型是一个高效、可扩展和丰富的模型，允许对不同类型的需求进行深入分析和验证。为了最大限度地利用该工具的功能，我们需要一种灵活的查询语言，能够精确地表达我们的需求并提取所需的信息，以便诊断任何潜在的冲突。ConfigChecker查询接口提供了一种扩展计算树逻辑（CTL）的时态语言。除了新的操作符外，这种扩展语言还提供了标准的CTL操作符（EX、AX、EF、AF、EG、AG、EU和AU）。CTL的完整和正式描述见[5]。CTL通常用于查询未来状态，例如，如果将来的某些或所有状态满足某种逻辑表达式。然而，ConfigChecker中的扩展CTL语言也允许调查过去的状态。[1]中的作者介绍了新的操作符（EX_、AX_、EF_、AF_、EG_、AG_、EU_和AU_），它们与标准CTL操作符具有相同的含义，只是它们在过去的状态而不是未来的状态下运行。除了这些标准的和扩展的CTL操作符外，这种语言中的逻辑表达式还可以包括其他命令，用于查询数据包字段或位置，如sip，用于指定源IP地址，loc用于指定位置。

当我们在这项工作中扩展模型以对安全检查表的结果进行编码时，我们提供了查询这些结果的新命令。命令check（i,r）将索引 i 处的变量设置为值 r 。索引 i 是我们试图查询的XCCDF规则的索引。此索引是一个固定值，尝试编写查询的管理员知道该索引。值 r 是偶数0或1。例如，以下查询表示两台主机h1和h2之间的基本可达性查询：

上面的查询意味着“是否有任何流量可以在主机h1中，并最终将在主机h2中？”。如果我们将新命令（check）集成到上述查询中，如下所示：

本例中的查询意味着“主机h1中是否存在任何通信量，最终将在索引10失败的XCCDF规则测试的主机h2中？”。这可以概括为检查任何主机，而不仅仅是h2这样的特定主机，当然，我们可以在执行以下查询的同时检查许多XCCDF规则：

在更高级的语言中，上述查询意味着“主机h1能否到达XCCDF规则10和40测试失败的任何设备？”。我们假设尝试运行此类查询的管理员知道XCCDF文档，并确切知道正在测试的配置设置或漏洞的类型，但我们不要求他知道内部变量索引，以便查询特定的XCCDF规则。查询生成器工具提供了一个灵活的图形用户界面，以帮助管理员构建复杂的查询。如图3所示，查询生成器显示从XCCDF文档中读取的所有支持的XCCDF规则ID的列表，以及每个规则的相应描述。

图3。查询生成器用户界面：左侧窗格显示规则列表及其说明。右窗格允许使用逻辑操作组合不同的规则，并生成最终查询，如左下角所示。

只要使用描述性ID而不是索引提供一个可读的XCDF规则列表，查询生成器就会提供另外两个功能，帮助管理员将XCDF规则集成到他们的需求中：（1）第一个是通过使用运算符（and、or或NOT）将复杂表达式构建为多个规则的合取或析取，并以图形方式选择每个规则i所需的值。E屁股还是屁股。（2） 第二个是创建宏的能力，这些宏是预定义的用户表达式。管理员可以将表达式定义为一组XCCDF规则，并在以后的不同查询中通过引用宏的名称使用它，而无需重新组装表达式。

C.基于Prolog的分析

在前两小节中，我们介绍了XCCDF规则到BDD的转换，并将它们集成到ConfigChecker中。在本小节中，我们为管理员提供了另一种使用Prolog（一种逻辑编程语言）执行全面合规性检查的方法。在本例中，XCCDF转换器不是将XCCDF结果导出为布尔表达式，而是将其导出为Prolog事实。事实的统一名称是XCCDF Rule，其参数是主机名、XCCDF基准中的规则ID以及该规则的符合性检查结果。以下代码段显示了导出规则的示例：

翻译过程完成后，管理员可以在自己的Prolog规则中使用导出的事实，但这需要更多的Prolog声明性语言知识。以下示例显示了Prolog规则 isSimilar(A, B)，它根据导出的事实说明两个设备A和B是否具有相似的配置：

我们的转换器还可以将网络配置文件（如路由表和防火墙ACL）转换为Prolog事实和规则，以便我们可以验证可达性和网络相关需求。Prolog规则 isReachable（A，B）确定是否可以通过遍历解析的路由和ACL条目从主机B访问主机A。以下序言示例确定如果可以从另一个易受攻击的主机B访问主机A，则主机A是否可能受到感染：

四、 实现和应用程序

ConfigChecker是一个用C/C++实现的命令行工具，通过Java实现的灵活GUI获得最佳性能。它经过了大量的评估，并在[1]中被证明是一种在时间和内存使用方面非常有效的工具，并且可扩展到大量节点。我们已经将XCCDF转换器构建为一个.NET在C#中的应用。这是解析XCCDF文件、提取检查表结果并将其导出到ConfigChecker引擎可读的结构化文件中的第一步，ConfigChecker引擎依次读取文件并将其编码到BDD中。尽管我们工具的当前版本仅支持计算机的FDCC检查表，但该框架支持对不同类型设备的任何其他符合性检查表进行编码。

这项工作中提出的工具是一个灵活的工具，允许管理员表达他们的需求。我们想不出使用我们的框架可以实现的应用程序的限制。每个管理员都可以根据网络环境和要求创建自己的应用程序。我们在此列出了此框架应用的一些简单应用程序：

 A.分类

在此应用程序中，我们试图根据计算机的安全配置和暴露情况，将网络中的计算机划分为组或安全区域。从一台主机开始，我们可以发现具有相同配置设置的主机，然后应用一些暴露度量，例如该主机是否暴露于因特网或某个特定的主机组。如果我们有一个主机h，并且值是索引 i 处的XCCDF规则的值，那么我们可以使用以下查询在配置设置 I 集合上找到与h具有相同配置的设备：

我们可以扩展上面显示的等式，并包括暴露度量，以找到与主机h具有相同安全配置且暴露于互联网的设备组，如下所示：

可以对每个配置设置组和暴露度量执行此查询，以便枚举每个区域内的主机。管理员还可以使用更复杂的标准，并包括适合其需求的其他指标，如风险和威胁影响。

B.攻击传播分析

这是另一个有趣的应用程序，用于检测由于其他计算机被感染而可能被感染的计算机。如果一台机器受到某种病毒或蠕虫的危害，我们应该尝试隔离该机器，以阻止该病毒的传播。安全配置错误可帮助此蠕虫在整个网络中传播。在这个应用程序中，我们找到了所有这些蠕虫的潜在受害者。主机h被感染的可能性取决于：（1）网络拓扑和配置是否允许受感染的设备到达主机h，以及（2）主机h是否容易受到此类攻击或其安全设置配置不正确。假设主机h1感染了蠕虫，我们知道任何设置（3,20,100）配置不正确的主机都容易受到该特定蠕虫的攻击。例如，该计算机可能配置为允许来宾帐户或允许服务器操作员安排系统任务或任何其他安全设置，这些设置可能会增加系统对该特定蠕虫的脆弱性。我们可以运行以下查询，以确定主机是否可能被该蠕虫感染：

这可以对受感染主机域内的其他主机自动执行并重复执行，或者我们可以运行常规查询：

它检索除主机h1以外的所有主机，这些主机在当前网络配置下可能会受到感染，但在从结果中提取主机时，此查询需要比第一个查询更多的处理。

C.路径合规性检查

尽管某些关键流的终端主机可能符合强制安全检查表，但在安全端点之间流量流动的设备中可能存在一些违规行为。在我们的框架中，我们将符合性检查与ConfigChecker集成在一起，后者提供了使用前面描述的扩展CTL操作符执行临时查询的能力。这种时态语言使我们能够检测此类违规行为。在图4所示的简单示例中，业务通过路由器和防火墙从源流向目的，如图所示，路由器可能违反所需的符合性检查表，对于某些特定的关键业务，这可能是一个严重问题。假设我们想要验证从到路径中的所有路由器配置为在固定空闲时间后自动断开会话，以避免未经授权的访问，这可以通过基于Cisco IOS版本2.4.0 [3].的安全配置基准的规则“登录会话需要超时”进行验证。 我们可以通过执行以下查询来验证此要求：

其中 i 是与规则“登录会话需要超时”对应的变量的索引。当数据包在路由器上时，mark(R)命令被评估为true。接线员AU的意思是。查询可以用简单的语言重新表述为“对于从源流向目的的所有可能路径，流量应仅通过除路由器或路由器满足所需规则（check（i,1)）以外的设备，直到到达目的地”。同样，我们可以检查漏洞，并验证中间防火墙或任何其他设备的一些安全要求。

五、相关工作

在当前各种开发框架和信息系统下，错误配置和漏洞导致安全威胁不断增加。安全自动化标准和合规性检查为安全组织应对此类威胁提供了有希望的帮助。已经进行了大量研究，以解决此类标准的需求和潜在好处[11][8][4]。此外，许多商业产品采用了这些标准，并提供了自动验证主机是否符合标准检查表的工具[9]。B.Wu和A.J.A.Wang[14]提出了一种工具，用于量化风险管理组织的整体脆弱性得分。他们使用SCAP规范自动收集系统特征，以评估系统漏洞。Koschorreck[8]讨论了一些安全挑战，并提供了示例，演示了借助SCAP规范（包括XCCDF和OVAL）实现安全自动化如何帮助解决这些挑战。

部署和维护网络核心设备的最佳配置吸引了大量研究，因为这种配置并不总是保证满足端到端需求。研究人员调查了各种方法，如模拟[12]和形式化方法[1][10]，以对此类配置进行建模和验证，但许多建议的方法都是针对防火墙或BGP错误配置[2][7]的，他们不调查桌面合规性检查。我们的框架利用桌面合规性检查实现SCAP规范和网络级验证。据我们所知，这是第一个将SCAP扩展到桌面系统之外的工作。

六、 结论

本文提出了一个结合主机桌面合规性检查和以网络为中心的配置验证引擎的框架，以生成对任何合规性、可达性和安全潜在不一致性的统一分析结果。我们将展示如何使用高效和可扩展的技术构建一个全面的模型。我们还提供了一些基本示例，演示如何部署我们的模型来验证各种安全需求。在下一步中，我们计划对系统中的更多配置设置和漏洞进行编码，从而在表达需求时提供更大的灵活性，并包括更多的平台。我们还计划在ConfigChecker java GUI中集成XCCDF文档解析器和查询生成器。

【文献翻译】基于SCAP的配置分析用于全面的合规性检查相关推荐

1. 【文献翻译】网络设备默认配置背后的威胁：有线局域网攻击及其对策

   摘要 网络设备不仅允许用户建立强大的本地网络,还可以保护他们.他们的数据和他们的通信免受不必要的入侵者的攻击.但是,必须特别注意本地网络内的安全,因为内部攻击对用户来说可能是灾难性的.一旦人们相信所有 ...

2. matlab车牌识别的外文文献翻译,基于MATLAB的车牌识别系统研究(课设参考文献)

   上海交通大学硕士学位论文 绪论 1 绪论 1.1 研究 背景 1990 年,美国智能交通学会 CITS America 提出了智能交通系统(ITS )的概念. 目前,智能交通系统已经在世界上经济发达国 ...

3. 计算机虚拟仪器技术文献,文献翻译-基于虚拟仪器技术的温度测控系统设计.doc...

   附件A 英语原文 Design of PID Temperature Controlling System Based on Virtual Instrument Technique Author: ...

4. 【文献翻译】思科路由器安全配置合规性的SCAP基准-SCAP Benchmark for Cisco Router Security Configuration Compliance

   目录 思科路由器安全配置合规性的SCAP基准 SCAP Benchmark for Cisco Router Security Configuration Compliance 摘要 I. 引言 II ...

5. matlab图形设计界面 文献翻译,毕业设计基于matlab的数字图像识别的设计与实现文献翻译V8.1（资料4）...

   <[毕业设计]基于matlab的数字图像识别的设计与实现文献翻译.doc>由会员分享,可免费在线阅读全文,更多与<毕业设计基于matlab的数字图像识别的设计与实现文献翻译(V8.1 ...

6. 【文献翻译】MDC-Checker：一种新的多域配置网络风险评估框架

   摘要 在满足实际需求的同时,生成正确的网络配置以最小化攻击面是一项具有挑战性的任务,特别是当考虑到分散在物理.网络和信息领域的配置之间的相互依赖关系时.由于不同域中的配置通常是单独生成的,而它们之间的 ...

7. PHP与MySQL外文文献译文和原文_计算机外文翻译---基于PHP和MYSQL的网站设计和实现...

   计算机外文翻译---基于PHP和MYSQL的网站设计和实现 中文 2270 字 译文二 基于 PHP 和 MYSQL 的网站设计和实现 摘要 PHP 和 MYSQL 因为其免费以及开放源码已经成为主要 ...

8. 论文浅尝 | 嵌入常识知识的注意力 LSTM 模型用于特定目标的基于侧面的情感分析...

   MaY, Peng H, Cambria E. Targeted aspect-based sentiment analysis via embedding commonsense knowledge ...

9. 计算机文献双语外文,22中英文双语外文文献翻译成品：基于Unity3D的虚拟现实（VR）新方法...

   22中英文双语外文文献翻译成品:基于Unity3D的虚拟现实(VR)新方法 p外文标题 A New of Virtual Reality Based on Unity3D 外文作者 Sa Wang, ...

最新文章

1. 面试题leetcode 3. 无重复字符的最长子串 暴力法和滑动窗口解法
2. 用掘金－Markdown 编辑器写文章
3. java调用wcf控件的两种交互
4. 汇编语言-008（条件跳转应用 、loopnz 条件循环指令使用 、loopz 条件循环指令使用 、 if语句编写汇编时 、while语句编写汇编时 、循环内的if语句嵌套）
5. GO_10：GO语言基础之error
6. 杭电 1021 找规律
7. Eclipse创建Maven工程
8. Ubuntu编译安装Keepalived
9. 深入浅出通信原理笔记（1）
10. US1MF-ASEMI贴片薄体封装二极管US1M
11. 对接谷歌翻译接口的WordPressSEO插件
12. (计算机组成原理)第三章存储系统-第六节2：页式/段式虚拟存储器
13. aic准则和bic准则_如何编写敏捷的用户故事：7条准则
14. 互联网糖水营销策略-科学城篇
15. background 渐变背景
16. 一不留神进了银行黑名单！信用有污点，真的超严重！
17. Scard API 智能卡操作
18. 4K工业级高清2进1出DP自动USB KVM多电脑切换器（MT-PK201）
19. configure: error: GD build test failed. Please check the config.log
20. java 简单考试系统 ——java程序设计

热门文章

1. 学校学业水平测试软件,中小学生学业水平测试
2. SuperMap iDesktop .NET 9D(2019)产品白皮书
3. shell小实验详解1——for循环语句实现求奇数和与偶数和+小技巧使用！！！
4. python+django高校志愿者活动报名系统vue+elementui
5. 如何关闭苹果Mac开机启动声音
6. 1354：括弧匹配检验（C C++）
7. 大数据正式京淘附加爬虫
8. java-php-python-springboot志愿者服务平台计算机毕业设计
9. java8 协程_Java8 异步编程—CompletableFuture
10. 情感分析-英文电影评论