计算机网络脆弱性评估技术研究.docVIP

计算机网络脆弱性评估技术研究 摘要：随着计算机网络安全技术及相关产品的快速涌现，计算机网络脆弱性和安全性成为新的问题。本文简要介绍了几种计算机网络脆弱性的评估方法。 关键词：计算机网络；脆弱性；评估技术 随着计算机及通信技术的普及，计算机网络规模和应用急剧扩大。但是，计算机网络资源管理分散，用户缺乏安全意识和有效的防护手段，各类软硬件产品和网络信息系统普遍存在脆弱性。因此，计算机网络安全脆弱性评估在网络安全领域受到广泛研究。目前，在计算机网络脆弱性评估领域存在脆弱性提取、量化指标建立、评估方法确定等各方面都受到人们的关注。本文就以下几个方面进行分析、探讨。 1、基于规则的拓扑脆弱性分析 2005年，Vipin等提出提出一种基于规则的拓扑脆弱性分析方法。该方法定义了一种不干扰规则，单独攻击为一种基于规则系统的转移规则，用状态节点表示计算机网络的配置信息和攻击者的能力。根据规则集属性匹配关系，提供了一种有效的脆弱性分析算法，实现了网络中的攻击路径，具有较好的可扩展性。 2、基于模型的评估方法 基于模型的评估方法为整个网络建立评估模型，对整个网络进行形式化描述。Schneier等局域攻击树的安全模式对系统安全进行形式化分析。这种攻击树为系统所面l临的安全威胁和可能受到的攻击提供了一种条理清晰的分析方法。自下而上的结构清晰的描述了系统的攻击过程。为解决网络安全优化加固的问题，Dewri等提出了一种针对网络攻击树模型的多目标优化。通过定义属性模版对网络中的原子属性分类，根据攻击树而设定安全控制模型，通过修改攻击树属性达到阻止攻击的目的。Phillips等提出了一种基于图论分析网络安全漏洞和网络攻击行为的方法，根据攻击图的网络脆弱性评估方法，指出目前研究中存在的局限性。攻击图是反映网络安全状况的有效手段，是网络安全环境的直观表现，明确反映出了网络安全状况的薄弱环节，具有强大的数学处理能力，为网络安全提供分析依据。 3、基于入侵路径的网络安全性评估 大多数网络入侵事件是一个层次入侵的过程，虽然真正的目标主机难以直接攻破的，但是和它相关的其他机器由于配置不当或存在某种程度的不信任关系可能存在安全脆弱性。黑客从薄弱环节入手，基于层次入侵的思想逐步提高自己的权限，最终控制目标机器。0rtalo等给出了相关的评估算法，可以计算出从初始结点成功入侵到目标结点的代价值。该评估方法考虑了网络的拓扑结构以及主机间的依赖关系，也提出了相关的算法对网络脆弱性进行了一定的评估。一般情况下，从网络管理员的角度对已知网络进行脆弱性分析及量化评估，很难对评估一个不知道网络结构及其内部主机信息的敌方网络的安全性，只有以入侵者的身份逐步入侵敌方网络，逐步获取相关信息。但是这种评估很难进行，且准确性有待进一步验证。 4、运用层次分析法的网络脆弱性评估 刘怀亮等结合行业标准，根据Internet的特点，确定安全评价准则、威胁因子、评价指标，建立安全评价体系。并针对窃听、偷窃、废物搜寻、间谍行为、身份识别、安全服务、配置、木马、病毒、算法问题、随意口令等，将目标网络作为整体来考虑，将各因素施加在该整体上，建立层次评价结构，进行Internet安全性评估。 5、基于网络中心性的计算机网络脆弱性评估 贾炜等提出一种基于网络中心的计算机网络脆弱性评估方法，对攻击者利用脆弱性攻击所花费的代价进行量化评估，根据评估结果进行最小攻击代价路径分析。在文中引入网络中心理论，对攻击图节点关键程度进行量化分析，进而判断对网络安全产生的影响，为安全优化计算机网络提供依据。 6、基于贝叶斯网络的评估方法 贝叶斯网络是将多元知识图解可视化的一种概率知识表达与推理模型，可以判断网络节点变量间的因果关系及条件相关关系。Marcel等提出用贝叶斯网络和攻击图度量网络安全风险，精确推理计算了攻击路径成功的概率。Xie等通过对脆弱性利用和攻击者实施攻击行为的不确定性建模分析了评估网络系统的安全风险，提出了一种基于贝叶斯网络的系统安全评估方法。针对攻击结构的不确定性、攻击行为的不确定性和报警的不确定性进行分析，引入本地检测模型描述安全检测行为。 7、基于脆弱点依赖图的脆弱性评估 马俊春等为弥补目前网络脆弱性评估简单、评估结果不准确的缺陷，提出一种基于脆弱点依赖图的网络脆弱性评估方法，并开发了相应的评估系统。该方法将通用弱点评价体系和目标网络脆弱点依赖图结合起来，实现了对网络脆弱性的客观评价。此外，在计算时，脆弱性可利用性和脆弱性影响分别计算，与实际网络中的脆弱点依赖图结合，使计算值更有参考价值。