計算機網絡拓撲結構脆弱性及量化評估方案范文
本站小編為你精心準備了計算機網絡拓撲結構脆弱性及量化評估方案參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
摘要:隨著網絡規模的不斷擴大,網絡穩定性的提升成為網絡運維的核心考量之一,往往通過比較網絡拓撲以及網絡節點的變化來判斷當前網絡結構是否損壞,利用網絡攻擊圖的方式實現網絡拓撲結構脆弱性的評量。本文從整個評估方法的數據收集、信息存儲、攻擊圖生成以及評估等幾個方面進行介紹,并通過設置幾個關鍵指標對網絡性能進行量化,給用戶提供合理、準確的評估結果。
關鍵詞:網絡規模;網絡拓撲;網絡攻擊圖;量化評估
0引言
隨著信息化的快速發展,網絡安全性成為CIO以及企業高管們重點關注領域之一,而網絡安全的主要原因是由于網絡結構的脆弱性造成,包含網絡相關協議、軟件、服務以及操作系統等造成的各類隱患以及缺陷。利用相關專業方法對網絡結構進行探測性測試—研究網絡安全脆弱性評估已成為當前業界研究熱點之一[1-2]。所謂網絡脆弱性評估,利用各類相關的管理以及技術手段對網絡系統進行檢測,通過各類檢測算法尋找網絡中存在的安全隱患,并且根據其檢測結果對系統的安全結果進行分析、評估。同時根據最終評估結果為網絡系統選取合適的安全策略完成對用戶決策的支持。網絡安全的主要不確定性的源泉在于網絡的脆弱性,本文建立了一種網絡脆弱性檢測模型,對計算機網絡結構進行量化評估,從而為網絡運維人員提供網絡安全隱患的依據,為后期解決問題提供合理的渠道。
當前國內外對于網絡拓撲結構脆弱性研究主要從網絡安全標準、弱點檢測、安全模型、財產價值等幾類。其中網絡安全標準主要以美歐等科技強國作為標準制定方[3],如1996年美歐提出的“通用準則”,即CC標準,該準則一直作為信息安全通用的評估標準[4],目前仍是業界最權威的評估標準;基于弱點的檢測方法是業內通用的安全評估方法,分為基于主機(單機)和基于網絡的兩種方式,分別以目標機和目標系統(集群/多機)進行探測性檢測,其中基于網絡的探測性檢測主要通過各類探測工具(主動探測(Nmap)、被動探測(sniffer))對網絡流量異常進行實時監測,該方法在檢測效率上存在一定的瓶頸,同時對漏洞定位的準確性較差;基于安全模型的研究是通過公開的網絡安全事件進行模型化,利用層次分析法、攻擊樹、攻擊圖、攻擊網等手段針對不同的對象構建不同的安全模型;財產價值方法是基于財產、威脅、弱點等關鍵因素來綜合分析網絡風險,其中風險可被視為一個不良事件影響和事件發生概率的函數,各個關鍵因素視為函數因子,該方法是一種量化的風險評估手段[6]。本文利用攻擊圖的手段對網絡拓撲結構變化進行判別,量化網絡結構的脆弱性指標。關于攻擊圖的研究國內外學者主要通過模型檢測器或邏輯編程系統檢測針對某一個攻擊目標形成攻擊路徑—攻擊圖或者通過利用圖論的相關理論算法形成相應的攻擊圖。Swiler等人利用攻擊圖解決網絡結構脆弱性。
1基于攻擊圖的網絡結構脆弱性研究
圖論的應用已經在計算機領域內得到了廣泛的應用,并且已衍生在計算機操作系統、形式語言、數據結構等方面得到了充分的應用,基礎圖論定義如如下所述。設有一個有限非空頂點集V={v1,v2,...,vn}和一個有限邊集合E={e1,e2,...,em},若對于集合E中的任意一條邊es,那么在頂點集合V中均存在一個節點對(vi,vj)與之對應,那么由E和V構成的集合即可稱為圖G=(V(G),E(G)),利用圖論的相關理論,學者們又提出了攻擊圖的概念[7-8]。網絡攻擊原型的建立包含網絡主機、網絡連接關系、網絡弱點信息等部分,按照如圖1所示的攻擊策略進行對目標單元的攻擊—目標信息收集->弱點挖掘->模擬攻擊(實施打擊)->消除痕跡。
由表1所示,攻擊圖在現有的攻擊模式中具備明顯的優勢,所謂攻擊圖是通過攻擊者在對攻擊目標進行攻擊時可能發生的攻擊路徑的集合或者可以引起系統狀態變遷的滲透序列。而攻擊路徑時圖論中攻擊者既定的攻擊動作的序列,由這些主機、網絡的鏈接關系以及各類系統(網絡)弱點、漏洞構成的圖結構就可視為一個攻擊圖。它是對網絡攻擊策略的一種形式化的描述,通過記錄攻擊者從開始攻擊到完成攻擊的所有行為的集合,通過攻擊圖可形象地描繪出各類網絡攻擊的動作過程,便于網絡安全管理人員對當前網絡結構的分析及改造。本文提出了一種基于攻擊圖的網絡結構脆弱性的量化評估規則,按照圖1所示的攻擊流程,描述如下:(1)信息收集:信息收集階段主要通過各類安全探測工具對目標主機進行漏洞掃描,用戶可按照實際系統選取不同的掃描工具,本文采用Nessus掃描軟件,采用主動掃描技術;(2)信息整理存儲:該階段主要完成對系統弱點分析及數據存儲,本文通過基于文本的模式對目標系統的漏洞進行探測;(3)攻擊圖生成:該階段主要建立攻擊模型以及對攻擊路徑的推理。本文采用Prolog邏輯設計編程語言實現;(4)拓撲結構脆弱性分析:通過Prolog語句對攻擊路徑進行查詢,并用矩陣表示所有攻擊路徑集合。規定只有攻擊者在被攻擊主機上的權限得到了提升,這次攻擊才是有效的[6],因此一條攻擊路徑是否對網絡產生危害取決于是否獲取了所需的權限。
2網絡結構脆弱性實驗驗證
2.1網絡環境搭建
如圖2所示為驗證網絡結構脆弱性所搭建的網絡環境,由7臺主機、1臺防火墻、1個路由器以及攻擊單元構成,攻擊者處于網絡結構之外,其攻擊的流程首先攻擊防火墻進入目標主機所在的子網,通過對各個目標機弱點收集形成攻擊模型,并且系統自動選取判斷最為脆弱的主機進行首次攻擊,其中目標主機分別配置當前主流的各類操作系統。
2.2攻擊圖生成
根據實際攻擊過程,記錄各個攻擊路徑,形成攻擊原型[9,15]。
3結論
本文研究了基于攻擊圖的網絡脆弱性分析及評估。通過信息收集、信息整理-存儲、攻擊圖生成、攻擊圖繪制及可視化、拓撲結構脆弱性評估等業務流程進行設計,并利用主動掃描工具Nessus進行主機和弱點掃描,收集各類弱點進行弱點分析,基于以上基礎形成對網絡拓撲結構脆弱性的量化評估。通過搭建適當的網絡拓撲結構對所提出的策略進行驗證,結果顯示根據本文所提出的攻擊策略可有效地完成對網絡拓撲結構弱點的探測,為網絡安全人員提供可靠的判斷依據。
參考文獻
[1]第27次中國互聯網絡發展狀況統計報告[R].中國互聯網絡信息中心(CNNIC),2011.
[2]中國互聯網網絡安全報告(2010年上半年)[R].國家互聯網應急中心(CNCERT/CC),2010.
[3]袁正強.探析計算機網絡拓撲結構的脆弱性與評估[J].電腦知識與技術,2015,(06):41-42.
[4]王向輝.計算機網絡安全攻擊的手段和安全防范措施[J].計算機光盤軟件與應用,2013,(08):177-178.
[5]王寧寧.計算機網絡拓撲結構脆弱性的分析與評估技術研究[D].北京交通大學,2011.
[6]王雙橋.計算機網絡拓撲結構脆弱性的分析與評估技術研究[J].信息與電腦(理論版),2015,(22):155-156.
[7]李文博,邢志遠.基于計算機網絡安全防ARP攻擊的研究[J].信息與電腦(理論版),2014,(05):133-134.
[8]李楠.計算機網絡安全漏洞檢測與攻擊圖構建的研究[J].價值工程,2014,(05):189-190.
[9]黃墨燃,王春林.計算機網絡攻擊與安全防范技術[J].信息與電腦(理論版),2015,(04):34-35.
[10]卓家.信息化建設中網絡安全漏洞掃描技術的研究[J].信息安全與技術,2013,(08):30-31+35.
[11]商建成.淺談解決現代計算機網絡安全漏洞的應對策略[J].商,2016,(15):218.
[12]張勇,孫棟,劉亞東,楊宏偉,郭智慧.基于復雜網絡的裝備保障網絡結構脆弱性分析[J].火力與指揮控制,2015,(01):92-95+99.
[13]丁滟,王懷民,史佩昌,吳慶波,戴華東,富弘毅.可信云服務[J].計算機學報,2015,(01):133-149.
[14]王帥.計算機網絡拓撲結構脆弱性分析[J].信息與電腦(理論版),2012,(10):120-121.
[15]張濤,胡銘曾,云曉春,張永錚.計算機網絡安全性分析建模研究[J].通信學報,2005,(12):100-109.
作者:王宏旭;向文欣單位:四川信息職業技術學院
