论文部分内容阅读
摘要:伴随着计算机技术和网络技术的飞速发展,其逐渐开始向着越来越多的领域拓展和渗透,在社会发展中发挥着不容忽视的作用。与此同时,各种各样的网络安全问题也日益凸显,给网络信息安全带来了很大的影响,造成这些安全问题的根源,是网络拓扑结构的脆弱性,无法有效应对安全隐患和安全风险。该文结合计算机网络拓扑结构的脆弱特性,提出了一种基于网络拓扑势的网络节点重要性评估方法,对拓扑结构的脆弱性进行了评估和分析。
关键词:计算机;网络拓扑结构;脆弱性;评估
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)06-0041-02
计算机网络技术的发展和普及,为社会生产和人们的日常生活提供了很大的便利,利用计算机网络,人们可以实现数据信息的即时传输和远程交流,但是,在当前的信息化时代,各种各样的网络风险威胁着计算机信息安全,如何保障网络安全,是需要相关技术人员重点研究的问题。从根本上讲,影响计算机网络安全的主要原因,是由于计算机网络拓扑结构的脆弱性,无法有效抵抗网络攻击,因此,找到计算机网络拓扑结构的脆弱性和安全隐患,对其安全状态进行评估,是解决网络安全问题的重要措施和前提条件。
1 计算机网络与网络拓扑结构
计算机网络是伴随着计算机技术、网络技术、电力电子技术以及现代通信技术等先进技术的发展而发展起来的,属于一个虚拟的信息通道,能够实现对数据信息的发送、接收和处理。计算机网络的飞速发展,带动了信息传播速度的加快和传播效率的提高,也使得社会逐渐步入了信息化、网络化的时代。而网络拓扑结构是一种将点、线、面中所蕴含的数据信息连接在一起,实现数据信息的共享与加工,是一种网络结构模型。
可以将计算机网络拓扑结构看做是一个存在多个节点以及相互作用关系的网络系统,与物理概念上的场、场势等类似,在其每一个网络节点的周边,都存在着一个作用场,处于场中的所有节点都会受到其它节点的共同作用。由实际网络中存在的抱团特性以及模块化特性,可以判断在网络节点之间存在着局域特性,每一个节点对于其它节点的作用能力会随着距离的增大而逐渐衰减。针对这种情况,可以利用相应的数学理论,对网络拓扑结构中网络节点之间相互作用关系进行研究,即所谓的拓扑场势[1]。
2 计算机网络拓扑结构的脆弱性
2.1 脆弱性定义
所谓脆弱性,是指网络攻击者或者攻击程序利用计算机网络中存在的某种固有特性,利用经过授权的方式和方法,对超出自身权限的网络资源进行访问,或者对系统造成损害。计算机网络的脆弱性可以说无处不在,是网络攻击发生的前提和根源。而从狭义方面讲,网络的脆弱性实际上就是网络中存在的缺陷和漏洞。
2.2 脆弱性分类
计算机网络的脆弱性可以分为瞬时生效和延时生效两大类,其中,瞬时生效包括了逻辑错误和社会工程影响,延时生效则包括了系统弱点以及管理策略失误,这里对其进行分别分析。
1)逻辑错误:逻辑错误也被认为是网络脆弱性的直接诱因,对于计算机网络安全有着非常直观的影响。通常来讲,逻辑错误主要是指存在于硬件或者软件程序中的“bug”,多是由于不规范的编码或者低质量的代码所引起的。逻辑错误可以细分为环境错误、编程错误和配置错误。
2)社会工程影响:主要是利用一些非技术手段,对计算机系统进行攻击。社会工程的影响是多方面的,包括了内部间谍、信息猎取、偷盗等,可能是由于系统内部工作人员恶意破坏,利用权限骗取进入计算机系统的途径,也可能是从系统的一些废弃文件中,寻找有用的信息。
3)系统弱点:系统弱点主要是指在现有技术条件下,计算机网络系统难以克服的缺陷或者错误。一般情况下,在系统的设计、编码以及调试过程中,一些隐含的安全隐患是很难被察觉的,而且这类隐患往往都是在经过较长的时间后才会逐渐显现,而且当原本的弱点得到解决后,又会出现新的弱点。从这个角度分析,系统的安全只能是暂时的,相对的。
4)管理策略失误:管理策略失误主要是指缺乏对于计算机系统的日常管理和维护,或者在遭遇突发性事故时,缺乏有效的应对能力,如没有定期对系统数据进行备份,没有设置相应的安全防护措施和警报装置等。管理策略的失误并不一定会导致网络入侵事件,而一些“天灾人祸”,包括硬件故障、气象灾害等,都可能会引发此类脆弱性。通常来讲,可以将管理策略失误细分为数据安全策略、物理安全策略以及人员安全策略等。
2.3脆弱性评估方法
从目前来看,对于计算机网络拓扑结构脆弱性的评估,主要方法包括定性评估、定量评估以及定性定量综合评估三种。其中,定性评估主要是参考相关研究人员的经验教训,结合相应的理论知识和特殊变例等非量化资料,对计算机网络的脆弱性进行分析和判断。在实际操作中,通过与调查对象的深入探讨,做出相应的个案记录,并以此为基础,结合相关理论,推导出切实有效的分析框架,对资料进行编码处理,然后得到相关结论;定量评估则是利用相关数量指标,实现对网络脆弱性的评估,与定性分析相比,能够以直观的数据,对网络的脆弱性进行描述,研究更加严谨,更加深刻,评估的结果客观存在,非常清晰明了。
3 基于攻击图的网络拓扑结构脆弱性评估
通过对计算机网络拓扑结构的脆弱性评估,能够了解网络脆弱性的原因和类型,从而为有效解决网络安全问题提供了良好的参考依据,帮助网络管理人员与相关技术人员了解网络的安全状态,制定出切实有效的网络安全策略,保障计算机网络安全。本文提出了一种改进的,基于攻击图模型的网络拓扑结构脆弱性评估方法,具有良好的实用价值。
3.1 构建网络攻击图模型
网络攻击图模型的主要作用,是当攻击者对计算机网络做出相应的入侵和攻击时,结合相应的数据资料,对可能存在的入侵路径集合或者可能导致网络系统出现状态点前的渗透途径集合进行描述。通过构建网络攻击图模型,可以对计算机网络与网络主机的相互关系进行反映和表达,对计算机网络拓扑结构的安全状态进行描述。在模型中,包括了网络结构、系统漏洞、攻击行为、攻击目标等因素,可以以此为依据,建立起相应的计算机网络拓扑结构脆弱性评估系统。 攻击图模型的构建,需要从以下几个方面着手:
1)网络主机HOST:网络主机是计算机网络拓扑结构中一个非常重要的组成部分,能够为用户提供相应的网络服务,对其网络请求进行处理和回应,而计算机网络主机相互集合在一起,就构成了计算机网络拓扑结构。网络主机HOST描述结构表可以表示为HOST(HOSTid,OSys,Svses,Vuls),其中,HOSTid指存在于网络中的主机的唯一标记代码,一般是指主机的名称或者网路IP地址;OSys表示网络主机所使用的操作系统;Svses代表网络服务的集合;Vuls则表示网络主机的弱点清单。
2)网络弱点信息:网络弱点可以分为几个方面的内容,包括系统弱点、应用性弱点、网络服务弱点等。通过这些弱点,入侵者可以提升自身对于计算机系统的访问权限,从而入侵并控制网络主机。
3)网络连接关系:现有计算机网络中采用的网络协议多为TCP/IP协议,这里以此对网络拓扑结构中存在的网络连接关系进行描述。一般情况下,上述网络协议是分层的,每一层都有其独特的功能,在网络拓扑结构中,网络连接关系的数据结构可以描述为Conn(SRCid、DSTid、Prot),其中,SRCid代表网络源主机,DSTid表示目的地主机,Prot则表示网络协议。
3.2 脆弱性评估模型
通过构建相应的脆弱性评估模型,可以对计算机网络拓扑结构的脆弱程度进行分析和判断,为网络安全防护策略的制定提供必要的参考依据。
对于计算机网络而言,引发拓扑结构脆弱性的原因是多方面的,如网络对象、网络环境、外部行为等。在基于攻击图模型的网络拓扑结构脆弱性评估方法中,需要关注的问题包括:
1)功能需求:在利用上述评估方法时,首先,应该采取切实可行的措施,对网络主机的相关信息以及存在的系统漏洞信息进行采集和整理,然后构建起相应的网络弱点信息数据库,对信息进行分析、整理和深入研究,结合研究成果,建立起攻击图模型,依照脆弱性评估的结果,系统能够自动生成直观的数据视图,从而为安全防护策略的制定以及网络弱点的修复提供必要的参考依据。
2)功能设计:在脆弱性评估模型中,采用的是模块化的结构,主要的功能模块包括:数据采集模块,主要是结合专业的安全分析软件,对网络主机的信息以及系统漏洞信息进行采集;数据分析模块,可以对采集模块采集到的各种数据信息进行存储、整理分析和深入研究,从而得出初步的结论;攻击图生成模块,其主要功能是基于攻击原型以及攻击路径推理的逻辑模块,对攻击图进行生成,支持相应的攻击路径分析功能[2]。
3)分析模块:该模块可以实现对于网络拓扑结构脆弱性的分析,一方面,可以利用Prolog编程技术,对攻击路径进行查询,依照网络节点重要性评价方法,生成相应的攻击路径矩阵,对任意两个节点之间的最短路径信息进行记录;另一方面,结合弱点分析模型,可以认为只要入侵者取得了网络主机的访问权限,对权限进行了更改,就可以认为其对网路造成了危害,在这种情况下,根据入侵途径的不同以及入侵者所取得的权限,可以分析其对网络的危害程度。
4 结束语
综上所述,计算机网路拓扑结构的脆弱性是客观存在的,通过对脆弱性的评估和分析,能够对可能影响计算机网络安全的因素进行明确,在完善计算机网络,提升网络安全性等方面有着重要的意义和作用。
参考文献:
[1] 王宁宁. 计算机网络拓扑结构脆弱性的分析与评估技术研究[D]. 北京: 北京交通大学, 2011.
[2] 王帅. 计算机网络拓扑结构脆弱性分析[J]. 信息与电脑, 2012(10): 121.
关键词:计算机;网络拓扑结构;脆弱性;评估
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)06-0041-02
计算机网络技术的发展和普及,为社会生产和人们的日常生活提供了很大的便利,利用计算机网络,人们可以实现数据信息的即时传输和远程交流,但是,在当前的信息化时代,各种各样的网络风险威胁着计算机信息安全,如何保障网络安全,是需要相关技术人员重点研究的问题。从根本上讲,影响计算机网络安全的主要原因,是由于计算机网络拓扑结构的脆弱性,无法有效抵抗网络攻击,因此,找到计算机网络拓扑结构的脆弱性和安全隐患,对其安全状态进行评估,是解决网络安全问题的重要措施和前提条件。
1 计算机网络与网络拓扑结构
计算机网络是伴随着计算机技术、网络技术、电力电子技术以及现代通信技术等先进技术的发展而发展起来的,属于一个虚拟的信息通道,能够实现对数据信息的发送、接收和处理。计算机网络的飞速发展,带动了信息传播速度的加快和传播效率的提高,也使得社会逐渐步入了信息化、网络化的时代。而网络拓扑结构是一种将点、线、面中所蕴含的数据信息连接在一起,实现数据信息的共享与加工,是一种网络结构模型。
可以将计算机网络拓扑结构看做是一个存在多个节点以及相互作用关系的网络系统,与物理概念上的场、场势等类似,在其每一个网络节点的周边,都存在着一个作用场,处于场中的所有节点都会受到其它节点的共同作用。由实际网络中存在的抱团特性以及模块化特性,可以判断在网络节点之间存在着局域特性,每一个节点对于其它节点的作用能力会随着距离的增大而逐渐衰减。针对这种情况,可以利用相应的数学理论,对网络拓扑结构中网络节点之间相互作用关系进行研究,即所谓的拓扑场势[1]。
2 计算机网络拓扑结构的脆弱性
2.1 脆弱性定义
所谓脆弱性,是指网络攻击者或者攻击程序利用计算机网络中存在的某种固有特性,利用经过授权的方式和方法,对超出自身权限的网络资源进行访问,或者对系统造成损害。计算机网络的脆弱性可以说无处不在,是网络攻击发生的前提和根源。而从狭义方面讲,网络的脆弱性实际上就是网络中存在的缺陷和漏洞。
2.2 脆弱性分类
计算机网络的脆弱性可以分为瞬时生效和延时生效两大类,其中,瞬时生效包括了逻辑错误和社会工程影响,延时生效则包括了系统弱点以及管理策略失误,这里对其进行分别分析。
1)逻辑错误:逻辑错误也被认为是网络脆弱性的直接诱因,对于计算机网络安全有着非常直观的影响。通常来讲,逻辑错误主要是指存在于硬件或者软件程序中的“bug”,多是由于不规范的编码或者低质量的代码所引起的。逻辑错误可以细分为环境错误、编程错误和配置错误。
2)社会工程影响:主要是利用一些非技术手段,对计算机系统进行攻击。社会工程的影响是多方面的,包括了内部间谍、信息猎取、偷盗等,可能是由于系统内部工作人员恶意破坏,利用权限骗取进入计算机系统的途径,也可能是从系统的一些废弃文件中,寻找有用的信息。
3)系统弱点:系统弱点主要是指在现有技术条件下,计算机网络系统难以克服的缺陷或者错误。一般情况下,在系统的设计、编码以及调试过程中,一些隐含的安全隐患是很难被察觉的,而且这类隐患往往都是在经过较长的时间后才会逐渐显现,而且当原本的弱点得到解决后,又会出现新的弱点。从这个角度分析,系统的安全只能是暂时的,相对的。
4)管理策略失误:管理策略失误主要是指缺乏对于计算机系统的日常管理和维护,或者在遭遇突发性事故时,缺乏有效的应对能力,如没有定期对系统数据进行备份,没有设置相应的安全防护措施和警报装置等。管理策略的失误并不一定会导致网络入侵事件,而一些“天灾人祸”,包括硬件故障、气象灾害等,都可能会引发此类脆弱性。通常来讲,可以将管理策略失误细分为数据安全策略、物理安全策略以及人员安全策略等。
2.3脆弱性评估方法
从目前来看,对于计算机网络拓扑结构脆弱性的评估,主要方法包括定性评估、定量评估以及定性定量综合评估三种。其中,定性评估主要是参考相关研究人员的经验教训,结合相应的理论知识和特殊变例等非量化资料,对计算机网络的脆弱性进行分析和判断。在实际操作中,通过与调查对象的深入探讨,做出相应的个案记录,并以此为基础,结合相关理论,推导出切实有效的分析框架,对资料进行编码处理,然后得到相关结论;定量评估则是利用相关数量指标,实现对网络脆弱性的评估,与定性分析相比,能够以直观的数据,对网络的脆弱性进行描述,研究更加严谨,更加深刻,评估的结果客观存在,非常清晰明了。
3 基于攻击图的网络拓扑结构脆弱性评估
通过对计算机网络拓扑结构的脆弱性评估,能够了解网络脆弱性的原因和类型,从而为有效解决网络安全问题提供了良好的参考依据,帮助网络管理人员与相关技术人员了解网络的安全状态,制定出切实有效的网络安全策略,保障计算机网络安全。本文提出了一种改进的,基于攻击图模型的网络拓扑结构脆弱性评估方法,具有良好的实用价值。
3.1 构建网络攻击图模型
网络攻击图模型的主要作用,是当攻击者对计算机网络做出相应的入侵和攻击时,结合相应的数据资料,对可能存在的入侵路径集合或者可能导致网络系统出现状态点前的渗透途径集合进行描述。通过构建网络攻击图模型,可以对计算机网络与网络主机的相互关系进行反映和表达,对计算机网络拓扑结构的安全状态进行描述。在模型中,包括了网络结构、系统漏洞、攻击行为、攻击目标等因素,可以以此为依据,建立起相应的计算机网络拓扑结构脆弱性评估系统。 攻击图模型的构建,需要从以下几个方面着手:
1)网络主机HOST:网络主机是计算机网络拓扑结构中一个非常重要的组成部分,能够为用户提供相应的网络服务,对其网络请求进行处理和回应,而计算机网络主机相互集合在一起,就构成了计算机网络拓扑结构。网络主机HOST描述结构表可以表示为HOST(HOSTid,OSys,Svses,Vuls),其中,HOSTid指存在于网络中的主机的唯一标记代码,一般是指主机的名称或者网路IP地址;OSys表示网络主机所使用的操作系统;Svses代表网络服务的集合;Vuls则表示网络主机的弱点清单。
2)网络弱点信息:网络弱点可以分为几个方面的内容,包括系统弱点、应用性弱点、网络服务弱点等。通过这些弱点,入侵者可以提升自身对于计算机系统的访问权限,从而入侵并控制网络主机。
3)网络连接关系:现有计算机网络中采用的网络协议多为TCP/IP协议,这里以此对网络拓扑结构中存在的网络连接关系进行描述。一般情况下,上述网络协议是分层的,每一层都有其独特的功能,在网络拓扑结构中,网络连接关系的数据结构可以描述为Conn(SRCid、DSTid、Prot),其中,SRCid代表网络源主机,DSTid表示目的地主机,Prot则表示网络协议。
3.2 脆弱性评估模型
通过构建相应的脆弱性评估模型,可以对计算机网络拓扑结构的脆弱程度进行分析和判断,为网络安全防护策略的制定提供必要的参考依据。
对于计算机网络而言,引发拓扑结构脆弱性的原因是多方面的,如网络对象、网络环境、外部行为等。在基于攻击图模型的网络拓扑结构脆弱性评估方法中,需要关注的问题包括:
1)功能需求:在利用上述评估方法时,首先,应该采取切实可行的措施,对网络主机的相关信息以及存在的系统漏洞信息进行采集和整理,然后构建起相应的网络弱点信息数据库,对信息进行分析、整理和深入研究,结合研究成果,建立起攻击图模型,依照脆弱性评估的结果,系统能够自动生成直观的数据视图,从而为安全防护策略的制定以及网络弱点的修复提供必要的参考依据。
2)功能设计:在脆弱性评估模型中,采用的是模块化的结构,主要的功能模块包括:数据采集模块,主要是结合专业的安全分析软件,对网络主机的信息以及系统漏洞信息进行采集;数据分析模块,可以对采集模块采集到的各种数据信息进行存储、整理分析和深入研究,从而得出初步的结论;攻击图生成模块,其主要功能是基于攻击原型以及攻击路径推理的逻辑模块,对攻击图进行生成,支持相应的攻击路径分析功能[2]。
3)分析模块:该模块可以实现对于网络拓扑结构脆弱性的分析,一方面,可以利用Prolog编程技术,对攻击路径进行查询,依照网络节点重要性评价方法,生成相应的攻击路径矩阵,对任意两个节点之间的最短路径信息进行记录;另一方面,结合弱点分析模型,可以认为只要入侵者取得了网络主机的访问权限,对权限进行了更改,就可以认为其对网路造成了危害,在这种情况下,根据入侵途径的不同以及入侵者所取得的权限,可以分析其对网络的危害程度。
4 结束语
综上所述,计算机网路拓扑结构的脆弱性是客观存在的,通过对脆弱性的评估和分析,能够对可能影响计算机网络安全的因素进行明确,在完善计算机网络,提升网络安全性等方面有着重要的意义和作用。
参考文献:
[1] 王宁宁. 计算机网络拓扑结构脆弱性的分析与评估技术研究[D]. 北京: 北京交通大学, 2011.
[2] 王帅. 计算机网络拓扑结构脆弱性分析[J]. 信息与电脑, 2012(10): 121.