计算机网络拓扑构造脆弱性及量化评估方案（精品）.docx

《计算机网络拓扑构造脆弱性及量化评估方案（精品）.docx》由会员分享，可在线阅读，更多相关《计算机网络拓扑构造脆弱性及量化评估方案（精品）.docx（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机网络拓扑构造脆弱性及量化评估方案摘要:随着网络规模的不断扩大，网络稳定性的提升成为网络运维的核心考量之一，往往通过比拟网络拓扑以及网络节点的变化来判定当前网络构造能否损坏，利用网络攻击图的方式实现网络拓扑构造脆弱性的评量。本文从整个评估方法的数据收集、信息存储、攻击图生成以及评估等几个方面进行介绍，并通过设置几个关键指标对网络性能进行量化，给用户提供合理、准确的评估结果。关键词:网络规模;网络拓扑;网络攻击图;量化评估随着信息化的快速发展，网络安全性成为CIO以及企业高管们重点关注领域之一，而网络安全的主要原因是由于网络构造的脆弱性造成，包含网络相关协议、软件、服务以及操作系统等造成的各

2、类隐患以及缺陷。利用相关专业方法对网络构造进行探测性测试研究网络安全脆弱性评估已成为当前业界研究热门之一12。所谓网络脆弱性评估，利用各类相关的管理以及技术手段对网络系统进行检测，通过各类检测算法寻找网络中存在的安全隐患，并且根据其检测结果对系统的安全结果进行分析、评估。同时根据最终评估结果为网络系统选取适宜的安全策略完成对用户决策的支持。网络安全的主要不确定性的源泉在于网络的脆弱性，本文建立了一种网络脆弱性检测模型，对计算机网络构造进行量化评估，进而为网络运维人员提供网络安全隐患的根据，为后期解决问题提供合理的渠道。当前国内外对于网络拓扑构造脆弱性研究主要从网络安全标准、弱点检测、安全模型、

3、财产价值等几类。其中网络安全标准主要以美欧等科技强国作为标准制定方3，如1996年美欧提出的“通用准则，即CC标准，该准则一直作为信息安全通用的评估标准4，目前还是业界最权威的评估标准;基于弱点的检测方法是业内通用的安全评估方法，分为基于主机(单机)和基于网络的两种方式，分别以目的机和目的系统(集群/多机)进行探测性检测，其中基于网络的探测性检测主要通过各类探测工具(主动探测(Nmap)、被动探测(sniffer)对网络流量异常进行实时监测，该方法在检测效率上存在一定的瓶颈，同时对漏洞定位的准确性较差;基于安全模型的研究是通过公开的网络安全事件进行模型化，利用层次分析法、攻击树、攻击图、攻击网

4、等手段针对不同的对象构建不同的安全模型;财产价值方法是基于财产、威胁、弱点等关键因从来综合分析网络风险，其中风险可被视为一个不良事件影响和事件发生概率的函数，各个关键因素视为函数因子，该方法是一种量化的风险评估手段6。本文利用攻击图的手段对网络拓扑构造变化进行判别，量化网络构造的脆弱性指标。关于攻击图的研究国内外学者主要通过模型检测器或逻辑编程系统检测针对某一个攻击目的构成攻击途径攻击图或者通过利用图论的相关理论算法构成相应的攻击图。Swiler等人利用攻击图解决网络构造脆弱性。1基于攻击图的网络构造脆弱性研究图论的应用已经在计算机领域内得到了广泛的应用，并且已衍生在计算机操作系统、形式语言、

5、数据构造等方面得到了充分的应用，基础图论定义如如下所述。设有一个有限非空顶点集V=v1，v2，vn和一个有限边集合E=e1，e2，em，若对于集合E中的任意一条边es，那么在顶点集合V中均存在一个节点对(vi，vj)与之对应，那么由E和V构成的集合即可称为图G=(V(G)，E(G)，利用图论的相关理论，学者们又提出了攻击图的概念78。网络攻击原型的建立包含网络主机、网络连接关系、网络弱点信息等部分，根据如图1所示的攻击策略进行对目的单元的攻击目的信息收集弱点挖掘模拟攻击(施行打击)消除痕迹。由表1所示，攻击图在现有的攻击形式中具备明显的优势，所谓攻击图是通过攻击者在对攻击目的进行攻击时可能发生

6、的攻击途径的集合或者能够引起系统状态变迁的浸透序列。而攻击途径时图论中攻击者既定的攻击动作的序列，由这些主机、网络的链接关系以及各类系统(网络)弱点、漏洞构成的图构造就可视为一个攻击图。它是对网络攻击策略的一种形式化的描绘，通过记录攻击者从开场攻击到完成攻击的所有行为的集合，通过攻击图可形象地描绘出各类网络攻击的动作经过，便于网络安全管理人员对当前网络构造的分析及改造。本文提出了一种基于攻击图的网络构造脆弱性的量化评估规则，根据图1所示的攻击流程，描绘如下:(1)信息收集:信息收集阶段主要通过各类安全探测工具对目的主机进行漏洞扫描，用户可根据实际系统选取不同的扫描工具，本文采用Nessus扫描

7、软件，采用主动扫描技术;(2)信息整理存储:该阶段主要完成对系统弱点分析及数据存储，本文通过基于文本的形式对目的系统的漏洞进行探测;(3)攻击图生成:该阶段主要建立攻击模型以及对攻击途径的推理。本文采用Prolog逻辑设计编程语言实现;(4)拓扑构造脆弱性分析:通过Prolog语句对攻击途径进行查询，并用矩阵表示所有攻击途径集合。规定只要攻击者在被攻击主机上的权限得到了提升，这次攻击才是有效的6，因而一条攻击途径能否对网络产生危害取决于能否获取了所需的权限。2网络构造脆弱性实验验证2.1网络环境搭建如图2所示为验证网络构造脆弱性所搭建的网络环境，由7台主机、1台防火墙、1个路由器以及攻击单元构

8、成，攻击者处于网络构造之外，其攻击的流程首先攻击防火墙进入目的主机所在的子网，通过对各个目的机弱点收集构成攻击模型，并且系统自动选取判定最为脆弱的主机进行初次攻击，其中目的主机分别配置当前主流的各类操作系统。2.2攻击图生成根据实际攻击经过，记录各个攻击途径，构成攻击原型9，15。本文研究了基于攻击图的网络脆弱性分析及评估。通过信息收集、信息整理存储、攻击图生成、攻击图绘制及可视化、拓扑构造脆弱性评估等业务流程进行设计，并利用主动扫描工具Nessus进行主机和弱点扫描，收集各类弱点进行弱点分析，基于以上基础构成对网络拓扑构造脆弱性的量化评估。通过搭建适当的网络拓扑构造对所提出的策略进行验证，结果显示根据本文所提出的攻击策略可有效地完成对网络拓扑构造弱点的探测，为网络安全人员提供可靠的判定根据。