基于计算机网络拓扑结构脆弱性的分析与评估技术研究

基于计算机网络拓扑结构脆弱性的分析与评估技术研究

张国丽

张国丽

铁通内蒙古包头分公司内蒙古包头014040

摘要：随着互联网技术、信息技术的快速发展，计算机网络已经逐渐应用到人们日常生活工作中的各个领域，并在逐渐改变着人们的生活方式，但在计算机网络逐渐普及的过程中，其安全问题逐越来越受到人们的重视，网络拓扑结构的脆弱性给计算机网络的安全性造成了很大隐患，基于以上，本文对计算机网络拓扑结构脆弱性分析评估技术做了简要的研究，旨在为提升计算机网络的安全性做出贡献。

关键词：计算机网络；拓扑结构；脆弱性分析评估

前言：网络安全已经成为了制约计算机发展的重要因素，网络结构、应用程序服务、网络协议、网络主机等基础设备组成的拓扑结构有着脆弱性，这是威胁网络安全的重要原因。通过一定的方法和技术找出计算网络拓扑结构的脆弱性是十分必要的。本文讲述的是一种基于攻击图模型的脆弱性分析评估方法。

1建立网络攻击图

1.1网络主机

网络主机是计算机网络的重要组成部分，其承担着开放服务、保存数据、网络请求处理等功能。计算机网络中有许多不同功能的主机，如：路由器、防火墙、服务器、个人计算机等等，为了识别和表明身份，不同功能的主机在网络中有不同的标识，例如主机IP地址、主机名等。为了方便研究拓扑结构的脆弱性，本文将网络主机描述为：①HostId：HostId可以是主机的地址也可以是主机名，作为主机的唯一标识存在；②OS：指的是运行于主机的操作系统；③Svcs：指的是网络主机关于开放网络服务的具体列表；④Vul：Vul主要指的是用CVE标识的网络主机弱点列表[1]。

1.2网络连接关系描述

我们用一般计算机采用的TCP/IP网络协议描述网络连接关系。将网络协议分为数据链路层、网络层、传输层、和应用层。具体的连接关系如下：①数据链路层：ARP、RARP；②网络层：IP、ICMP、IGMP；③传输层：TCP、UDP；④应用层：FTP、HTTP、SMTP、SNMP。设计的数据表结构为Connect=（SrcId：源主机，DstId：目的主机，Protocol：协议组合集合）

1.3网络弱点

1.3.1网络程序及应用弱点

主机运行时，网络服务存在弱点，应用程序也存在弱点Vulnerability=（HostName：存在弱点的主机；Effect：攻击者为获得某个权限的目的；Range：利用弱点的某种方式，例如近端访问、远端访问等；ProgramNsme：表示应用程序或者具体网络程序的名字，VulName：指的是对应的弱点名称，Probability：攻击者具体攻击的复杂程度）

1.3.2网络配置弱点

系统配置弱点通常用Misconfiguration来表示。系统中的相对简单的口令密码、不当的文件目录存储控制方式以及应用程序自身携带的弱点等都可以称为系统配置弱点。攻击者能够通过这些系统配置弱点获取一些本不被允许的权限。以密码较弱弱点为例，攻击者就可以通过访问密码设定文件、猜测等方式获取密码，之后以不合法身法等入主机获取违法权限，进而进行入侵活动。

2计算机网络拓扑结构脆弱性分析评估研究

计算机网路拓扑结构脆弱性的产生因素有很多，例如网络环境、外部行为、网络对象等等。以攻击图为基础的，其脆弱性评价方法为：

2.1评估方法功能的要求

以网络图为基础，其评价方法功能需求为：①要求能够对网络主机的信息以及相关漏洞信息进行主动采集；②由于网络拓扑结构产生的弱点种类繁多，具有很大的不确定性，因此应当构建网络弱点信息数据库，以便于对产生弱点的分析和研究；③对主机配置信息、连接信息、网络攻击的弱点以及途径能信息进行采集；④根据评估结果生成攻击图的模型视图，便于制定相关防护策略以及弱点的修复工作；⑤根据收集信息对路径、弱点、最短路径等信息进行查询；⑥最后要对拓扑结构的脆弱性进行量化分析，包括攻击的危害程度、攻击成功率、强度、路径等等，根据这些量化分析来评估网络拓扑结构的脆弱性。

2.2评估方法功能的设计

①数据采集模块：承担对主机漏洞信息、主机信息等的采集工作，常用到安全分析扫描软件；②数据分析模块：对相关弱点信息等进行存储、管理和分析，对弱点信息库进行归纳，并做出对信息的初步分析；③攻击图生成模块：主要承担生成攻击图功能，其主要原理是对攻击原型的研究以及攻击路径的推理[2]。攻击图生成模块采用Prolog进行设计，基于PIE建立相应的逻辑规则，通过逻辑规则对攻击原型进行推理分析，同时利用检索分析功能对攻击路径进行检索分析，找出攻击路径，最后生成攻击图。

2.3分析模块的构建

①在查询路径后，用节点重要性评价方法来对路径的数据进行矩阵生成，矩阵中记录路径任意两个节点之间的信息，包括最短路径等；②攻击路径的危害：基于攻击图对拓扑结构弱点的分析，当攻击者入侵，取得主机访问权限，则访问权限相应的发生改变，这就可以看做对网络的危害。因此我们可以通过攻击者取得的权限来的分析和评估其具体的危害程度。

结论：综上所述，计算机网络拓扑结构脆弱性的分析包含了弱点信息的收集、弱点信息的存储管理、相关弱点数据的分析、攻击图生成、脆弱性的具体量化等5个步骤，通过以上5个步骤，我们就可以判断出计算机网络拓扑结构的脆弱性，当受到入侵时，可以根据入侵者对何种权限的获取来判断、分析、衡量具体的危害程度。

参考文献：

[1]王宁宁.计算机网络拓扑结构脆弱性的分析与评估技术研究[D].北京交通大学，2011.

[2]夏阳，陆余良，杨国正.计算机网络脆弱性评估技术研究[J].计算机工程，2007，19：143-146.