本站小编为你精心准备了计算机网络拓扑结构脆弱性及量化评估方案参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
摘要:随着网络规模的不断扩大,网络稳定性的提升成为网络运维的核心考量之一,往往通过比较网络拓扑以及网络节点的变化来判断当前网络结构是否损坏,利用网络攻击图的方式实现网络拓扑结构脆弱性的评量。本文从整个评估方法的数据收集、信息存储、攻击图生成以及评估等几个方面进行介绍,并通过设置几个关键指标对网络性能进行量化,给用户提供合理、准确的评估结果。
关键词:网络规模;网络拓扑;网络攻击图;量化评估
0引言
随着信息化的快速发展,网络安全性成为CIO以及企业高管们重点关注领域之一,而网络安全的主要原因是由于网络结构的脆弱性造成,包含网络相关协议、软件、服务以及操作系统等造成的各类隐患以及缺陷。利用相关专业方法对网络结构进行探测性测试—研究网络安全脆弱性评估已成为当前业界研究热点之一[1-2]。所谓网络脆弱性评估,利用各类相关的管理以及技术手段对网络系统进行检测,通过各类检测算法寻找网络中存在的安全隐患,并且根据其检测结果对系统的安全结果进行分析、评估。同时根据最终评估结果为网络系统选取合适的安全策略完成对用户决策的支持。网络安全的主要不确定性的源泉在于网络的脆弱性,本文建立了一种网络脆弱性检测模型,对计算机网络结构进行量化评估,从而为网络运维人员提供网络安全隐患的依据,为后期解决问题提供合理的渠道。
当前国内外对于网络拓扑结构脆弱性研究主要从网络安全标准、弱点检测、安全模型、财产价值等几类。其中网络安全标准主要以美欧等科技强国作为标准制定方[3],如1996年美欧提出的“通用准则”,即CC标准,该准则一直作为信息安全通用的评估标准[4],目前仍是业界最权威的评估标准;基于弱点的检测方法是业内通用的安全评估方法,分为基于主机(单机)和基于网络的两种方式,分别以目标机和目标系统(集群/多机)进行探测性检测,其中基于网络的探测性检测主要通过各类探测工具(主动探测(Nmap)、被动探测(sniffer))对网络流量异常进行实时监测,该方法在检测效率上存在一定的瓶颈,同时对漏洞定位的准确性较差;基于安全模型的研究是通过公开的网络安全事件进行模型化,利用层次分析法、攻击树、攻击图、攻击网等手段针对不同的对象构建不同的安全模型;财产价值方法是基于财产、威胁、弱点等关键因素来综合分析网络风险,其中风险可被视为一个不良事件影响和事件发生概率的函数,各个关键因素视为函数因子,该方法是一种量化的风险评估手段[6]。本文利用攻击图的手段对网络拓扑结构变化进行判别,量化网络结构的脆弱性指标。关于攻击图的研究国内外学者主要通过模型检测器或逻辑编程系统检测针对某一个攻击目标形成攻击路径—攻击图或者通过利用图论的相关理论算法形成相应的攻击图。Swiler等人利用攻击图解决网络结构脆弱性。
1基于攻击图的网络结构脆弱性研究
图论的应用已经在计算机领域内得到了广泛的应用,并且已衍生在计算机操作系统、形式语言、数据结构等方面得到了充分的应用,基础图论定义如如下所述。设有一个有限非空顶点集V={v1,v2,...,vn}和一个有限边集合E={e1,e2,...,em},若对于集合E中的任意一条边es,那么在顶点集合V中均存在一个节点对(vi,vj)与之对应,那么由E和V构成的集合即可称为图G=(V(G),E(G)),利用图论的相关理论,学者们又提出了攻击图的概念[7-8]。网络攻击原型的建立包含网络主机、网络连接关系、网络弱点信息等部分,按照如图1所示的攻击策略进行对目标单元的攻击—目标信息收集->弱点挖掘->模拟攻击(实施打击)->消除痕迹。
由表1所示,攻击图在现有的攻击模式中具备明显的优势,所谓攻击图是通过攻击者在对攻击目标进行攻击时可能发生的攻击路径的集合或者可以引起系统状态变迁的渗透序列。而攻击路径时图论中攻击者既定的攻击动作的序列,由这些主机、网络的链接关系以及各类系统(网络)弱点、漏洞构成的图结构就可视为一个攻击图。它是对网络攻击策略的一种形式化的描述,通过记录攻击者从开始攻击到完成攻击的所有行为的集合,通过攻击图可形象地描绘出各类网络攻击的动作过程,便于网络安全管理人员对当前网络结构的分析及改造。本文提出了一种基于攻击图的网络结构脆弱性的量化评估规则,按照图1所示的攻击流程,描述如下:(1)信息收集:信息收集阶段主要通过各类安全探测工具对目标主机进行漏洞扫描,用户可按照实际系统选取不同的扫描工具,本文采用Nessus扫描软件,采用主动扫描技术;(2)信息整理存储:该阶段主要完成对系统弱点分析及数据存储,本文通过基于文本的模式对目标系统的漏洞进行探测;(3)攻击图生成:该阶段主要建立攻击模型以及对攻击路径的推理。本文采用Prolog逻辑设计编程语言实现;(4)拓扑结构脆弱性分析:通过Prolog语句对攻击路径进行查询,并用矩阵表示所有攻击路径集合。规定只有攻击者在被攻击主机上的权限得到了提升,这次攻击才是有效的[6],因此一条攻击路径是否对网络产生危害取决于是否获取了所需的权限。
2网络结构脆弱性实验验证
2.1网络环境搭建
如图2所示为验证网络结构脆弱性所搭建的网络环境,由7台主机、1台防火墙、1个路由器以及攻击单元构成,攻击者处于网络结构之外,其攻击的流程首先攻击防火墙进入目标主机所在的子网,通过对各个目标机弱点收集形成攻击模型,并且系统自动选取判断最为脆弱的主机进行首次攻击,其中目标主机分别配置当前主流的各类操作系统。
2.2攻击图生成
根据实际攻击过程,记录各个攻击路径,形成攻击原型[9,15]。
3结论
本文研究了基于攻击图的网络脆弱性分析及评估。通过信息收集、信息整理-存储、攻击图生成、攻击图绘制及可视化、拓扑结构脆弱性评估等业务流程进行设计,并利用主动扫描工具Nessus进行主机和弱点扫描,收集各类弱点进行弱点分析,基于以上基础形成对网络拓扑结构脆弱性的量化评估。通过搭建适当的网络拓扑结构对所提出的策略进行验证,结果显示根据本文所提出的攻击策略可有效地完成对网络拓扑结构弱点的探测,为网络安全人员提供可靠的判断依据。
参考文献
[1]第27次中国互联网络发展状况统计报告[R].中国互联网络信息中心(CNNIC),2011.
[2]中国互联网网络安全报告(2010年上半年)[R].国家互联网应急中心(CNCERT/CC),2010.
[3]袁正强.探析计算机网络拓扑结构的脆弱性与评估[J].电脑知识与技术,2015,(06):41-42.
[4]王向辉.计算机网络安全攻击的手段和安全防范措施[J].计算机光盘软件与应用,2013,(08):177-178.
[5]王宁宁.计算机网络拓扑结构脆弱性的分析与评估技术研究[D].北京交通大学,2011.
[6]王双桥.计算机网络拓扑结构脆弱性的分析与评估技术研究[J].信息与电脑(理论版),2015,(22):155-156.
[7]李文博,邢志远.基于计算机网络安全防ARP攻击的研究[J].信息与电脑(理论版),2014,(05):133-134.
[8]李楠.计算机网络安全漏洞检测与攻击图构建的研究[J].价值工程,2014,(05):189-190.
[9]黄墨燃,王春林.计算机网络攻击与安全防范技术[J].信息与电脑(理论版),2015,(04):34-35.
[10]卓家.信息化建设中网络安全漏洞扫描技术的研究[J].信息安全与技术,2013,(08):30-31+35.
[11]商建成.浅谈解决现代计算机网络安全漏洞的应对策略[J].商,2016,(15):218.
[12]张勇,孙栋,刘亚东,杨宏伟,郭智慧.基于复杂网络的装备保障网络结构脆弱性分析[J].火力与指挥控制,2015,(01):92-95+99.
[13]丁滟,王怀民,史佩昌,吴庆波,戴华东,富弘毅.可信云服务[J].计算机学报,2015,(01):133-149.
[14]王帅.计算机网络拓扑结构脆弱性分析[J].信息与电脑(理论版),2012,(10):120-121.
[15]张涛,胡铭曾,云晓春,张永铮.计算机网络安全性分析建模研究[J].通信学报,2005,(12):100-109.
作者:王宏旭;向文欣单位:四川信息职业技术学院