网络脆弱性研究现状及问题.docx

网络脆弱性研究现状及问题网络脆弱性的相关概念与研究方法分类计算机网络脆弱性(vulnerability)涉及一切信息系统或信息网络中可被非预期利用的方面。从整体上看，计算机网络系统在设计、实施、应用和控制过程中存在的一切可能被攻击者利用从而造成安全危害的缺陷都是网络的脆弱性。网络信息系统遭受损失，最根本的原因即在于其本身存在的脆弱性。网络系统的脆弱性主要来源于以下几个方面:(l)信息系统的软、硬件安全漏洞。由于计算机系统在硬件、软件、协议设计与实现等过程中以及系统安全策略上都不可避免存在缺陷和瑕疵从而造成了攻击者很容易利用它们实施攻击的事实。比如编程过程中由于疏忽而导致逻辑错误是很普遍的现象;数据处理也比数值计算更容易发生逻辑错误;软件模块的复杂调用关系也给软件维护带来困境;不同种类的软、硬件设备中，同种设备的不同版本，甚至不同设备构成的不同系统之间的相互协调等都会存在各自不同的安全问题。攻击者通过这些系统安全漏洞获得计算机系统的额外权限，获取系统的机密信息，破坏系统的保密性、完整性和可用性。(2)网络结构的复杂性与自组织性。计算机网络的根本职能一是提供网络通信，二是实现网络信息共享。由于互联网最初被设计为一个开放的接入模型，民主自由的设计观在带来网络繁荣的同时也使得网络的复杂性级数增长。时至今日，互联网已经成为全球最大的复杂系统，数以亿计的网络结点和网络链路导致其结构根本无法探明。网络连接结构也是随时动态变化的。各种脆弱因素因为网络关联在一起，使得对网络脆弱性分析变得更为困难。病毒、木马及网络蠕虫在互联网的传播具有明显的分岔、混沌等非线性复杂动力学行为特征。这些安全危害在网络中泛滥，导致有限资源下的网络免疫变得十分困难。(3)用户网络行为的复杂性。一般来说，互联网包含经济代理机构的基本概念，这有别于传统分布式计算:互联网的不同部分有不同的所有者，不同的经济动机，但他们合作，提供端到端的全面服务。互联网跨越了截然不同的法律，公约和习惯。能够构建网络的技术在人类的梦想和发明中不断变化着，是多元化的、充满潜在冲突的和私人行为。网络在设计之初是无法周全考虑到人们日后的复杂行为的。当前掌握网络知识的人数迅速增长，使得大量人员拥有攻击网络的技能。网络系统广泛采用标准协议，攻击者更容易获得系统或网络漏洞，攻击代价降低，更加容易实施。因此，一些网络的既定构件在新的用户行为下成为了新的脆弱性。因此，网络安全防范总是陷入到一个“道高一尺，魔高一丈”的循环对抗中。(4)增加的安全措施本身带来的脆弱性。脆弱性问题与时间紧密相关。随着时间的推移，旧的脆弱性会不断得到修补或纠正，新的脆弱性会不断出现，因而脆弱性问题长期存在。网络中的一些软件、硬件可能在尚未完善时就被应用。未克服系统中原始的脆弱性而采用的各种控制措施往往会带来新的脆弱性。一些新增加的安全措施本身也不安全，或者顾此失彼带来了新的安全问题。网络脆弱性研究本身是信息安全研究的一个重要分支。它与计算机信息技术中的一些相关领域存在紧密联系。主要包括:(l)信息系统脆弱性研究。应该说，网络脆弱性研究是主机系统脆弱性研究的延伸和扩展。网络环境一方面给信息系统带来了新的工作环境，引发了新的攻击途径，带来了新的脆弱性问题;另一方面，由于网络将各个信息终端联系在一起，导致了系统脆弱性相互关联，进一步复杂了系统脆弱性的分析和评估。同时也应该看到，传统信息系统脆弱性分析和评估的方法本身也大可为网络脆弱性分析和评估利用。相比之下，脆弱关联挖掘是二者研究的主要不同之处。(2)网络测量(NetworkMeasuremeni)技术。网络测量是指遵照一定的方法和技术，利用软件或硬件工具来测试或验证表征网络结构性能的一系列活动的总称。网络测量是研究网络行为、网络结构以及网络组织生成模型的重要手段。对于网络运营、设备协议研制和网络脆弱性分析都具有重要意义I4]。国外对网络测量进行了大量的研究，己经提出了包括主、被测量的各种测量体系。比较有名的网络测量项目包括:美国国家应用网络研究实验室(NationalLbaoratoofAppliedNetworkReseareh，NLA皿)开发的网络分析基础架构项目(Netwo水AnalysisInfrastructure，NAI)、_美国国家科学基金(usNationalSeieneeFoundation，NSF)和美国国防部高等研究计tIJ局(DefeneeAdvancedResearehProjeetsAgene%DAP以)资助的国家互联网测量基础框架(NationalIntemetMeasurementInfrastrueture，NIMx)、国际互联网数据分析合作组织(CooperativeAssoeiationforIntemetDataAnalysis，eAIoA)提出并实