探析計算機網(wǎng)絡拓撲結構的脆弱性與評估

袁正強

摘要：伴隨著計算機技術和網(wǎng)絡技術的飛速發(fā)展，其逐漸開始向著越來越多的領域拓展和滲透，在社會發(fā)展中發(fā)揮著不容忽視的作用。與此同時，各種各樣的網(wǎng)絡安全問題也日益凸顯，給網(wǎng)絡信息安全帶來了很大的影響，造成這些安全問題的根源，是網(wǎng)絡拓撲結構的脆弱性，無法有效應對安全隱患和安全風險。該文結合計算機網(wǎng)絡拓撲結構的脆弱特性，提出了一種基于網(wǎng)絡拓撲勢的網(wǎng)絡節(jié)點重要性評估方法，對拓撲結構的脆弱性進行了評估和分析。

關鍵詞：計算機；網(wǎng)絡拓撲結構；脆弱性；評估

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）06-0041-02

計算機網(wǎng)絡技術的發(fā)展和普及，為社會生產(chǎn)和人們的日常生活提供了很大的便利，利用計算機網(wǎng)絡，人們可以實現(xiàn)數(shù)據(jù)信息的即時傳輸和遠程交流，但是，在當前的信息化時代，各種各樣的網(wǎng)絡風險威脅著計算機信息安全，如何保障網(wǎng)絡安全，是需要相關技術人員重點研究的問題。從根本上講，影響計算機網(wǎng)絡安全的主要原因，是由于計算機網(wǎng)絡拓撲結構的脆弱性，無法有效抵抗網(wǎng)絡攻擊，因此，找到計算機網(wǎng)絡拓撲結構的脆弱性和安全隱患，對其安全狀態(tài)進行評估，是解決網(wǎng)絡安全問題的重要措施和前提條件。

1 計算機網(wǎng)絡與網(wǎng)絡拓撲結構

計算機網(wǎng)絡是伴隨著計算機技術、網(wǎng)絡技術、電力電子技術以及現(xiàn)代通信技術等先進技術的發(fā)展而發(fā)展起來的，屬于一個虛擬的信息通道，能夠?qū)崿F(xiàn)對數(shù)據(jù)信息的發(fā)送、接收和處理。計算機網(wǎng)絡的飛速發(fā)展，帶動了信息傳播速度的加快和傳播效率的提高，也使得社會逐漸步入了信息化、網(wǎng)絡化的時代。而網(wǎng)絡拓撲結構是一種將點、線、面中所蘊含的數(shù)據(jù)信息連接在一起，實現(xiàn)數(shù)據(jù)信息的共享與加工，是一種網(wǎng)絡結構模型。

可以將計算機網(wǎng)絡拓撲結構看做是一個存在多個節(jié)點以及相互作用關系的網(wǎng)絡系統(tǒng)，與物理概念上的場、場勢等類似，在其每一個網(wǎng)絡節(jié)點的周邊，都存在著一個作用場，處于場中的所有節(jié)點都會受到其它節(jié)點的共同作用。由實際網(wǎng)絡中存在的抱團特性以及模塊化特性，可以判斷在網(wǎng)絡節(jié)點之間存在著局域特性，每一個節(jié)點對于其它節(jié)點的作用能力會隨著距離的增大而逐漸衰減。針對這種情況，可以利用相應的數(shù)學理論，對網(wǎng)絡拓撲結構中網(wǎng)絡節(jié)點之間相互作用關系進行研究，即所謂的拓撲場勢[1]。

2 計算機網(wǎng)絡拓撲結構的脆弱性

2.1 脆弱性定義

所謂脆弱性，是指網(wǎng)絡攻擊者或者攻擊程序利用計算機網(wǎng)絡中存在的某種固有特性，利用經(jīng)過授權的方式和方法，對超出自身權限的網(wǎng)絡資源進行訪問，或者對系統(tǒng)造成損害。計算機網(wǎng)絡的脆弱性可以說無處不在，是網(wǎng)絡攻擊發(fā)生的前提和根源。而從狹義方面講，網(wǎng)絡的脆弱性實際上就是網(wǎng)絡中存在的缺陷和漏洞。

2.2 脆弱性分類

計算機網(wǎng)絡的脆弱性可以分為瞬時生效和延時生效兩大類，其中，瞬時生效包括了邏輯錯誤和社會工程影響，延時生效則包括了系統(tǒng)弱點以及管理策略失誤，這里對其進行分別分析。

1）邏輯錯誤：邏輯錯誤也被認為是網(wǎng)絡脆弱性的直接誘因，對于計算機網(wǎng)絡安全有著非常直觀的影響。通常來講，邏輯錯誤主要是指存在于硬件或者軟件程序中的“bug”，多是由于不規(guī)范的編碼或者低質(zhì)量的代碼所引起的。邏輯錯誤可以細分為環(huán)境錯誤、編程錯誤和配置錯誤。

2）社會工程影響：主要是利用一些非技術手段，對計算機系統(tǒng)進行攻擊。社會工程的影響是多方面的，包括了內(nèi)部間諜、信息獵取、偷盜等，可能是由于系統(tǒng)內(nèi)部工作人員惡意破壞，利用權限騙取進入計算機系統(tǒng)的途徑，也可能是從系統(tǒng)的一些廢棄文件中，尋找有用的信息。

3）系統(tǒng)弱點：系統(tǒng)弱點主要是指在現(xiàn)有技術條件下，計算機網(wǎng)絡系統(tǒng)難以克服的缺陷或者錯誤。一般情況下，在系統(tǒng)的設計、編碼以及調(diào)試過程中，一些隱含的安全隱患是很難被察覺的，而且這類隱患往往都是在經(jīng)過較長的時間后才會逐漸顯現(xiàn)，而且當原本的弱點得到解決后，又會出現(xiàn)新的弱點。從這個角度分析，系統(tǒng)的安全只能是暫時的，相對的。

4）管理策略失誤：管理策略失誤主要是指缺乏對于計算機系統(tǒng)的日常管理和維護，或者在遭遇突發(fā)性事故時，缺乏有效的應對能力，如沒有定期對系統(tǒng)數(shù)據(jù)進行備份，沒有設置相應的安全防護措施和警報裝置等。管理策略的失誤并不一定會導致網(wǎng)絡入侵事件，而一些“天災人禍”，包括硬件故障、氣象災害等，都可能會引發(fā)此類脆弱性。通常來講，可以將管理策略失誤細分為數(shù)據(jù)安全策略、物理安全策略以及人員安全策略等。

2.3脆弱性評估方法

從目前來看，對于計算機網(wǎng)絡拓撲結構脆弱性的評估，主要方法包括定性評估、定量評估以及定性定量綜合評估三種。其中，定性評估主要是參考相關研究人員的經(jīng)驗教訓，結合相應的理論知識和特殊變例等非量化資料，對計算機網(wǎng)絡的脆弱性進行分析和判斷。在實際操作中，通過與調(diào)查對象的深入探討，做出相應的個案記錄，并以此為基礎，結合相關理論，推導出切實有效的分析框架，對資料進行編碼處理，然后得到相關結論；定量評估則是利用相關數(shù)量指標，實現(xiàn)對網(wǎng)絡脆弱性的評估，與定性分析相比，能夠以直觀的數(shù)據(jù)，對網(wǎng)絡的脆弱性進行描述，研究更加嚴謹，更加深刻，評估的結果客觀存在，非常清晰明了。

3 基于攻擊圖的網(wǎng)絡拓撲結構脆弱性評估

通過對計算機網(wǎng)絡拓撲結構的脆弱性評估，能夠了解網(wǎng)絡脆弱性的原因和類型，從而為有效解決網(wǎng)絡安全問題提供了良好的參考依據(jù)，幫助網(wǎng)絡管理人員與相關技術人員了解網(wǎng)絡的安全狀態(tài)，制定出切實有效的網(wǎng)絡安全策略，保障計算機網(wǎng)絡安全。本文提出了一種改進的，基于攻擊圖模型的網(wǎng)絡拓撲結構脆弱性評估方法，具有良好的實用價值。

3.1 構建網(wǎng)絡攻擊圖模型

網(wǎng)絡攻擊圖模型的主要作用，是當攻擊者對計算機網(wǎng)絡做出相應的入侵和攻擊時，結合相應的數(shù)據(jù)資料，對可能存在的入侵路徑集合或者可能導致網(wǎng)絡系統(tǒng)出現(xiàn)狀態(tài)點前的滲透途徑集合進行描述。通過構建網(wǎng)絡攻擊圖模型，可以對計算機網(wǎng)絡與網(wǎng)絡主機的相互關系進行反映和表達，對計算機網(wǎng)絡拓撲結構的安全狀態(tài)進行描述。在模型中，包括了網(wǎng)絡結構、系統(tǒng)漏洞、攻擊行為、攻擊目標等因素，可以以此為依據(jù)，建立起相應的計算機網(wǎng)絡拓撲結構脆弱性評估系統(tǒng)。

攻擊圖模型的構建，需要從以下幾個方面著手：

1）網(wǎng)絡主機HOST：網(wǎng)絡主機是計算機網(wǎng)絡拓撲結構中一個非常重要的組成部分，能夠為用戶提供相應的網(wǎng)絡服務，對其網(wǎng)絡請求進行處理和回應，而計算機網(wǎng)絡主機相互集合在一起，就構成了計算機網(wǎng)絡拓撲結構。網(wǎng)絡主機HOST描述結構表可以表示為HOST（HOSTid，OSys，Svses，Vuls），其中，HOSTid指存在于網(wǎng)絡中的主機的唯一標記代碼，一般是指主機的名稱或者網(wǎng)路IP地址；OSys表示網(wǎng)絡主機所使用的操作系統(tǒng)；Svses代表網(wǎng)絡服務的集合；Vuls則表示網(wǎng)絡主機的弱點清單。

2）網(wǎng)絡弱點信息：網(wǎng)絡弱點可以分為幾個方面的內(nèi)容，包括系統(tǒng)弱點、應用性弱點、網(wǎng)絡服務弱點等。通過這些弱點，入侵者可以提升自身對于計算機系統(tǒng)的訪問權限，從而入侵并控制網(wǎng)絡主機。

3）網(wǎng)絡連接關系：現(xiàn)有計算機網(wǎng)絡中采用的網(wǎng)絡協(xié)議多為TCP/IP協(xié)議，這里以此對網(wǎng)絡拓撲結構中存在的網(wǎng)絡連接關系進行描述。一般情況下，上述網(wǎng)絡協(xié)議是分層的，每一層都有其獨特的功能，在網(wǎng)絡拓撲結構中，網(wǎng)絡連接關系的數(shù)據(jù)結構可以描述為Conn（SRCid、DSTid、Prot），其中，SRCid代表網(wǎng)絡源主機，DSTid表示目的地主機，Prot則表示網(wǎng)絡協(xié)議。

3.2 脆弱性評估模型

通過構建相應的脆弱性評估模型，可以對計算機網(wǎng)絡拓撲結構的脆弱程度進行分析和判斷，為網(wǎng)絡安全防護策略的制定提供必要的參考依據(jù)。

對于計算機網(wǎng)絡而言，引發(fā)拓撲結構脆弱性的原因是多方面的，如網(wǎng)絡對象、網(wǎng)絡環(huán)境、外部行為等。在基于攻擊圖模型的網(wǎng)絡拓撲結構脆弱性評估方法中，需要關注的問題包括：

1）功能需求：在利用上述評估方法時，首先，應該采取切實可行的措施，對網(wǎng)絡主機的相關信息以及存在的系統(tǒng)漏洞信息進行采集和整理，然后構建起相應的網(wǎng)絡弱點信息數(shù)據(jù)庫，對信息進行分析、整理和深入研究，結合研究成果，建立起攻擊圖模型，依照脆弱性評估的結果，系統(tǒng)能夠自動生成直觀的數(shù)據(jù)視圖，從而為安全防護策略的制定以及網(wǎng)絡弱點的修復提供必要的參考依據(jù)。

2）功能設計：在脆弱性評估模型中，采用的是模塊化的結構，主要的功能模塊包括：數(shù)據(jù)采集模塊，主要是結合專業(yè)的安全分析軟件，對網(wǎng)絡主機的信息以及系統(tǒng)漏洞信息進行采集；數(shù)據(jù)分析模塊，可以對采集模塊采集到的各種數(shù)據(jù)信息進行存儲、整理分析和深入研究，從而得出初步的結論；攻擊圖生成模塊，其主要功能是基于攻擊原型以及攻擊路徑推理的邏輯模塊，對攻擊圖進行生成，支持相應的攻擊路徑分析功能[2]。

3）分析模塊：該模塊可以實現(xiàn)對于網(wǎng)絡拓撲結構脆弱性的分析，一方面，可以利用Prolog編程技術，對攻擊路徑進行查詢，依照網(wǎng)絡節(jié)點重要性評價方法，生成相應的攻擊路徑矩陣，對任意兩個節(jié)點之間的最短路徑信息進行記錄；另一方面，結合弱點分析模型，可以認為只要入侵者取得了網(wǎng)絡主機的訪問權限，對權限進行了更改，就可以認為其對網(wǎng)路造成了危害，在這種情況下，根據(jù)入侵途徑的不同以及入侵者所取得的權限，可以分析其對網(wǎng)絡的危害程度。

4 結束語

綜上所述，計算機網(wǎng)路拓撲結構的脆弱性是客觀存在的，通過對脆弱性的評估和分析，能夠?qū)赡苡绊懹嬎銠C網(wǎng)絡安全的因素進行明確，在完善計算機網(wǎng)絡，提升網(wǎng)絡安全性等方面有著重要的意義和作用。

參考文獻：

[1] 王寧寧. 計算機網(wǎng)絡拓撲結構脆弱性的分析與評估技術研究[D]. 北京： 北京交通大學， 2011.

[2] 王帥. 計算機網(wǎng)絡拓撲結構脆弱性分析[J]. 信息與電腦， 2012（10）： 121.