計算機網(wǎng)絡(luò)安全漏洞檢測與攻擊圖構(gòu)建的研究

李楠LI Nan

（大連東軟信息學(xué)院，大連 116023）

（Dalian Neusoft University of Information，Dalian 116023，China）

0 引言

當(dāng)今計算機網(wǎng)絡(luò)已經(jīng)完全普及，幾乎在每個角落，人們都能夠享受到網(wǎng)絡(luò)所帶來的便利，但也因其安全問題產(chǎn)生困擾。特別是在我國，計算機的主流操作系統(tǒng)并不能進行安全檢測驗證，所使用的計算機網(wǎng)絡(luò)通信協(xié)議也幾乎全是國外開發(fā)的產(chǎn)品，可靠性得不到很好的保證，安全漏洞隱患問題非常突出。因此，進行計算機網(wǎng)絡(luò)安全漏洞的檢測，是當(dāng)今保護人們的計算機信息安全的主要途徑。

1 計算機網(wǎng)絡(luò)安全漏洞檢測的主要方法

1.1 配置文件的安全漏洞檢測方法 配置文件太復(fù)雜，或采取了缺省值，是造成系統(tǒng)存在漏洞的主要原因。系統(tǒng)的運行環(huán)境不安全，有絕大部分的原因都是配置文件所造成的。進行配置文件的檢測，可以讀取系統(tǒng)配置信息，并解釋配置信息可能帶來的系統(tǒng)漏洞現(xiàn)象，讓用戶在系統(tǒng)發(fā)生配置錯誤，導(dǎo)致系統(tǒng)出錯或者影響了系統(tǒng)的性能表現(xiàn)時，能夠及時發(fā)現(xiàn)漏洞和降低系統(tǒng)安全性的一些錯誤配置并加以糾正。

1.2 文件內(nèi)容以及保護機制的安全漏洞檢測 系統(tǒng)中的命令文件以及系統(tǒng)工具是整個系統(tǒng)正常運行的關(guān)鍵，同樣也是許多木馬最容易入侵的地方。當(dāng)木馬入侵了命令文件之后，會對文件內(nèi)容進行篡改，從而影響了整個系統(tǒng)的正常運行。通常為了防止木馬對系統(tǒng)中命令文件的篡改，需要對文件保護機制中薄弱的地方進行檢測，對保護機制中存在的漏洞進行及時的處理，保證擁有權(quán)限的用戶才能夠更改命令文件的內(nèi)容。比如對命令文件進行訪問控制設(shè)置方面的檢測，就是進行文件內(nèi)容以及保護機制的安全漏洞檢測最為基礎(chǔ)的一步。

1.3 錯誤修正檢測方法 當(dāng)操作系統(tǒng)發(fā)生錯誤時，一些擅闖系統(tǒng)權(quán)限的外界攻擊就會乘虛而入，造成嚴(yán)重的計算機信息安全問題。在一般情況下，用戶可以通過安裝修正錯誤的補丁程序來達到防止攻擊的目的，但很多用戶通常并不會在第一時間安裝補丁程序，就使得外界攻擊侵入系統(tǒng)。而通過錯誤修正檢測，則可以較好地解決系統(tǒng)中因發(fā)生錯誤而存在的漏洞問題。進行錯誤修正檢測，可以直接通過計算機檢驗程序來自動完成，檢測效率非常高。通常錯誤修正檢測可以分為兩種類型，一種稱之為主動型檢測，找出系統(tǒng)中存在的錯誤，并對系統(tǒng)漏洞做出一定的應(yīng)對措施；另一種稱之為被動型檢測，這種檢測主要發(fā)生在安裝糾錯補丁程序時，作為判斷補丁程序是否安裝到位的一項依據(jù)。

1.4 差別檢測方法 差別檢測在系統(tǒng)中具有非常重要的作用，但也具有非常鮮明的特點。和其他檢測方法不同，差別檢測是一種被動型的檢測方法，對系統(tǒng)中的命令文件與工具起著監(jiān)控保護的作用。這種檢測方法一方面不能對外界攻擊進行阻止，另一方面也不能對已經(jīng)被修改的程序進行修正，但卻能夠非常準(zhǔn)確地反映出程序是否發(fā)生了改變，對于判斷系統(tǒng)是否受到攻擊非常有效。為了增加檢測的準(zhǔn)確度，可以將差別檢測相關(guān)的文件通過存放在脫離網(wǎng)絡(luò)的硬盤中，或者對其進行加密處理，代表性的文件包括校驗方法與結(jié)果等。

另外，在當(dāng)今的計算機系統(tǒng)中，漏洞掃描技術(shù)得到了較為廣泛的應(yīng)用。該技術(shù)通過對計算機中每一個部分的掃描，來達到及時發(fā)現(xiàn)漏洞，并修補漏洞的目的。目前進行漏洞掃描主要包括了兩種類型，一類是以計算機主機為基礎(chǔ)進行掃描，另一類是以計算機網(wǎng)絡(luò)為基礎(chǔ)進行掃描，用戶可以根據(jù)自身的需求以及計算機使用的實際情況來選擇不同的漏洞掃描方式。

2 攻擊圖構(gòu)建的分析

攻擊圖的構(gòu)建主要為了根據(jù)攻擊圖進行分析，判斷目標(biāo)網(wǎng)絡(luò)所面臨的主要安全問題，從而分析計算網(wǎng)絡(luò)中存在的主要安全漏洞，并對網(wǎng)絡(luò)的安全采取一定的彌補措施。目前的攻擊圖種類非常多樣，不同類型攻擊圖所具有的分析攻擊行為的能力也有所不同。比如在一次對計算機網(wǎng)絡(luò)的攻擊行為中，可將攻擊行為用具體的邏輯攻擊圖表示出來。邏輯攻擊圖包括了推導(dǎo)規(guī)則、推導(dǎo)事實、以及原始事實三個類型的節(jié)點。由原始事實，經(jīng)過推導(dǎo)規(guī)則，可以產(chǎn)生推導(dǎo)事實，由產(chǎn)生的推導(dǎo)事實，經(jīng)過推導(dǎo)規(guī)則，又可以產(chǎn)生新的推導(dǎo)規(guī)則，并進而產(chǎn)生一系列的連鎖改變。具體的攻擊行為可以表示為如圖1 所示的圖形。

圖1 計算機網(wǎng)絡(luò)攻擊的邏輯攻擊圖

在圖1 中，空心圓代表推導(dǎo)事實的節(jié)點，實心圓代表原始事實的節(jié)點，方框表示推導(dǎo)規(guī)則的節(jié)點。在整個邏輯攻擊圖中，推導(dǎo)規(guī)則其實也就是原子攻擊工具。該圖能夠非常具體地表示出各個原子攻擊之間的依賴關(guān)系，但卻不是非常直觀明了，不便于對攻擊行為進行形象的理解。因此，業(yè)界又研發(fā)了狀態(tài)攻擊圖、屬性攻擊圖、滲透依賴攻擊圖、屬性依賴攻擊圖、聚合攻擊圖等多個不同的攻擊圖。其中，最具代表性的是聚合攻擊圖（如圖2 所示）。這種攻擊圖構(gòu)建方法的核心思想是提出多個聚合規(guī)則，對攻擊圖用不同的粒度進行抽象的聚合與展示。

通過構(gòu)建攻擊圖，一方面可以對網(wǎng)絡(luò)安全的定量評估提供依據(jù)，另一方面，也可以應(yīng)用于網(wǎng)絡(luò)安全問題的優(yōu)化措施中，使網(wǎng)絡(luò)系統(tǒng)的抗攻擊能力得到改善。另外，構(gòu)建攻擊圖還可以對網(wǎng)絡(luò)入侵進行及時的預(yù)警，避免系統(tǒng)受到嚴(yán)重的篡改。

3 結(jié)束語

安全漏洞檢測是防范計算機網(wǎng)絡(luò)風(fēng)險的一項有效策略。目前除了一般的計算網(wǎng)絡(luò)安全漏洞檢測方法之外，構(gòu)建網(wǎng)絡(luò)攻擊圖對于分析網(wǎng)絡(luò)漏洞也具有非常重要的意義，網(wǎng)絡(luò)攻擊圖能夠更加清晰地表現(xiàn)復(fù)雜的攻擊行為。另外，人們在充分享受著計算機網(wǎng)絡(luò)所帶來的便利的同時，也應(yīng)該注意進行網(wǎng)絡(luò)安全的保護，才能夠使自身的利益不受到侵犯。

[1]吳金宇.網(wǎng)絡(luò)安全風(fēng)險評估關(guān)鍵技術(shù)研究[D].北京郵電大學(xué),2013.

[2]陳建麗.計算機網(wǎng)絡(luò)安全漏洞檢測及防護[J].漯河職業(yè)技術(shù)學(xué)院學(xué)報,2009,02:59-61.

[3]薄建業(yè).基于攻擊模式的攻擊圖生成技術(shù)研究[D].國防科學(xué)技術(shù)大學(xué),2009.