基于網(wǎng)絡(luò)漏洞分析的安全設(shè)備部署設(shè)計研究

◆高 健

（中國人民解放軍信息工程大學(xué) 河南 450000）

基于網(wǎng)絡(luò)漏洞分析的安全設(shè)備部署設(shè)計研究

◆高 健

（中國人民解放軍信息工程大學(xué) 河南 450000）

本系統(tǒng)的使用方法是：通過系統(tǒng)繪制被分析單位的網(wǎng)絡(luò)結(jié)構(gòu)拓撲圖，并輸入網(wǎng)絡(luò)配置信息，隨后系統(tǒng)將結(jié)合網(wǎng)絡(luò)漏洞特性，通過邏輯推理發(fā)掘漏洞之間的相互聯(lián)系，生成網(wǎng)絡(luò)中所有潛在的攻擊路徑，并生成可視化的攻擊圖，找出網(wǎng)絡(luò)的關(guān)鍵節(jié)點和關(guān)鍵路徑；根據(jù)單位實際需求選擇網(wǎng)絡(luò)安全設(shè)備數(shù)據(jù)庫，系統(tǒng)提取關(guān)鍵節(jié)點或關(guān)鍵路徑中傳輸速率、網(wǎng)絡(luò)標(biāo)準(zhǔn)、端口描述、交換方式等參數(shù)，通過這些參數(shù)與安全設(shè)備數(shù)據(jù)庫中的設(shè)備進行匹配，選擇合理的擬部署設(shè)備，隨后將這些設(shè)備擬部署在關(guān)鍵節(jié)點上或關(guān)鍵路徑中，并主動整合出部署后的網(wǎng)絡(luò)拓撲圖；最后將所有信息和最終匹配結(jié)果生成一套基于漏洞分析的安全設(shè)備部署方案。

攻擊圖；關(guān)鍵節(jié)點；匹配；安全設(shè)備；部署方案

0 引言

公司單位、政府機關(guān)、高校院所等機構(gòu)中均構(gòu)建了大量的網(wǎng)絡(luò)系統(tǒng)，用于內(nèi)部保密通信、外部互聯(lián)互通。但由于在使用運行、安裝服務(wù)等過程中，存在產(chǎn)生缺陷的風(fēng)險，網(wǎng)絡(luò)漏洞以多種規(guī)則存在于信息系統(tǒng)之中。通過利用這些漏洞，可以實現(xiàn)對其網(wǎng)絡(luò)系統(tǒng)的攻擊侵入，提升網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險。而市場上擁有種類繁多的網(wǎng)絡(luò)安全設(shè)備。但是在部署時缺少對網(wǎng)絡(luò)系統(tǒng)所面臨風(fēng)險的全面分析，缺乏一個系統(tǒng)的、合理的依據(jù)。針對某個網(wǎng)絡(luò)系統(tǒng)的安全性，進行風(fēng)險分析時,要考慮所在單位的網(wǎng)絡(luò)環(huán)境、需求特點等因素，用多種因素進行綜合分析與研究，并進行嚴(yán)謹?shù)挠嬎愫屯评?。而攻擊圖可以在分析網(wǎng)絡(luò)拓撲結(jié)構(gòu)、配置信息、安全需求等信息的基礎(chǔ)上，結(jié)合網(wǎng)絡(luò)漏洞特性，通過邏輯推理發(fā)掘漏洞之間的相互聯(lián)系，描述網(wǎng)絡(luò)中潛在攻擊路徑，為進一步網(wǎng)絡(luò)安全風(fēng)險分析打下良好基礎(chǔ)。

1 相關(guān)工作

1.1 網(wǎng)絡(luò)漏洞

漏洞如果被惡意主體所利用，就會對信息系統(tǒng)的安全造成損害，從而影響構(gòu)建于信息系統(tǒng)之上的正常服務(wù)運行，損壞信息系統(tǒng)及信息的安全性。

1.2 攻擊圖

攻擊者通過不斷的對不同主機進行攻擊，能夠發(fā)現(xiàn)很多新的漏洞，并找到主機中另外存在的漏洞，這樣能夠通過不同的方式來發(fā)掘漏洞，最后達到攻擊整個網(wǎng)絡(luò)的目標(biāo)。

攻擊者在進行網(wǎng)絡(luò)攻擊時，首先需要知道如何發(fā)掘漏洞，然后在攻擊前還要了解攻擊的前提條件，必須滿足這幾個條件，才能對網(wǎng)絡(luò)進行攻擊，其中包括：源主機和目標(biāo)主機之間存在連接、目標(biāo)主機上至少存在一個帶有漏洞的服務(wù)、攻擊者在源主機上擁有一定的用戶權(quán)限。

網(wǎng)絡(luò)檢測整個網(wǎng)絡(luò)中的漏洞，才能發(fā)現(xiàn)網(wǎng)絡(luò)中存在的潛在威脅，然后通過對這些發(fā)現(xiàn)的漏洞進行分析，采取一定的措施來糾正這些漏洞和其中的結(jié)構(gòu)性錯誤。

而攻擊圖技術(shù)就是把目標(biāo)網(wǎng)絡(luò)中所有主機之間的漏洞綜合檢測分析，尋找網(wǎng)絡(luò)攻擊中的攻擊路徑，然后通過生成攻擊圖來表現(xiàn)綜合檢測分析的結(jié)果。在攻擊圖中，各個攻擊節(jié)點都表示設(shè)備的某個狀態(tài)。列舉所有可能的攻擊路徑，清楚地表示出網(wǎng)絡(luò)中所有漏洞存在的關(guān)系、網(wǎng)絡(luò)配置和漏洞間的關(guān)系，以及因此出現(xiàn)的安全威脅。

1.3 建立數(shù)據(jù)庫與網(wǎng)絡(luò)安全設(shè)備部署

1.3.1 安全設(shè)備數(shù)據(jù)庫

安全設(shè)備數(shù)據(jù)庫分類整理收集了大量的安全設(shè)備，包含市面上多種安全設(shè)備，基于客戶端的有：生物識別技術(shù)、口令卡等；基于服務(wù)器端的有防火墻、隔離卡、網(wǎng)閘、vpn、ids/ips、防病毒網(wǎng)關(guān)、抗DDoS設(shè)備、web防火墻、SSL設(shè)備、SVS設(shè)備、負載均衡設(shè)備等等。分類建立包含多種屬性參數(shù)、不同種類安全設(shè)備的設(shè)備數(shù)據(jù)庫。

安全設(shè)備數(shù)據(jù)庫可以進行及時的增添、刪除、更改、搜索等操作。并包含設(shè)備的傳輸速率、工作電壓、用層級、包轉(zhuǎn)發(fā)率、網(wǎng)絡(luò)標(biāo)準(zhǔn)、端口描述、背板帶寬、產(chǎn)品類型、設(shè)備類型、交換方式等參數(shù)。

1.3.2 智能匹配算法

根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)信息、配置信息、實際需求，得出與關(guān)鍵節(jié)點相對應(yīng)的安全參數(shù)指標(biāo)，之后在安全設(shè)備數(shù)據(jù)庫中進行搜索匹配，選出滿足網(wǎng)絡(luò)結(jié)構(gòu)的安全設(shè)備，再結(jié)合安全需求，網(wǎng)絡(luò)建設(shè)成本等人為因素進行選擇，得到最合適的安全設(shè)備，最后輸出所選擇的安全設(shè)備列表。

1.4 安全保障方案的生成

通過 Word與 C#編程實現(xiàn)表格圖片文字的自動指定位置添加。綜合以上的分析結(jié)果并以文檔的形式給出一個安全設(shè)備部署方案。在相對標(biāo)準(zhǔn)化的網(wǎng)絡(luò)安全保障方案的基礎(chǔ)上進行修改完善，結(jié)合機構(gòu)事業(yè)企業(yè)單位的現(xiàn)狀進行分析，部署安全設(shè)備。文檔中包括：網(wǎng)絡(luò)信息系統(tǒng)的現(xiàn)狀、安全風(fēng)險與需求分析、設(shè)計原則、思路及安全設(shè)備的選擇和部署、方案的組織與實施辦法、結(jié)論。保障方案方案為整個系統(tǒng)最終的目標(biāo)。

2 系統(tǒng)實現(xiàn)

基本思路：

利用形式化語言描述待分析網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)配置、安全需求等相關(guān)信息，在抽象漏洞特性和單調(diào)性假設(shè)的基礎(chǔ)上由分析引擎經(jīng)邏輯推理得出攻擊路徑，構(gòu)建可視化邏輯攻擊圖，分析攻擊圖并結(jié)合網(wǎng)絡(luò)配置找出網(wǎng)絡(luò)關(guān)鍵節(jié)點，然后根據(jù)關(guān)鍵節(jié)點、關(guān)鍵節(jié)點設(shè)備屬性（傳輸速率、吞吐量、價格等），采用匹配算法在安全設(shè)備數(shù)據(jù)庫中匹配查找擬部署的安全性設(shè)備，將匹配的設(shè)備及其參數(shù)與網(wǎng)路結(jié)構(gòu)合并生成安全設(shè)備擬部署后的網(wǎng)絡(luò)結(jié)構(gòu)拓撲圖，最后總結(jié)設(shè)備參數(shù)、網(wǎng)絡(luò)結(jié)構(gòu)拓撲圖、安全需求等內(nèi)容生成安全設(shè)備部署方案。其設(shè)計思路如下圖所示：

圖1 設(shè)計基本思路

3 方案構(gòu)造

通過對網(wǎng)絡(luò)系統(tǒng)漏洞、網(wǎng)絡(luò)攻擊的深入研究，在收集完備安全設(shè)備屬性數(shù)據(jù)庫基礎(chǔ)上，設(shè)計了數(shù)據(jù)分析引擎，系統(tǒng)全面地分析了網(wǎng)絡(luò)系統(tǒng)中潛在的攻擊路徑并生成可視化攻擊圖的工具，并在此基礎(chǔ)上根據(jù)編寫的智能匹配算法通過與建立的數(shù)據(jù)庫進行智能匹配，分析選出適合的安全設(shè)備建立完整的網(wǎng)絡(luò)拓撲圖，最后結(jié)合網(wǎng)絡(luò)拓撲圖、安全需求、設(shè)備參數(shù)等信息生成網(wǎng)絡(luò)安全設(shè)備部署方案。

采用形式化描述語言，描述了網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)配置、安全需求、漏洞特性信息，利用數(shù)據(jù)分析引擎分析得出了網(wǎng)絡(luò)中的關(guān)鍵路徑、關(guān)鍵節(jié)點、生成了邏輯攻擊圖。

創(chuàng)建了安全設(shè)備數(shù)據(jù)庫。安全設(shè)備數(shù)據(jù)庫分類整理收集了大量的安全設(shè)備，分類建立包含屬性參數(shù)的不同種類安全設(shè)備的設(shè)備表。

設(shè)計實現(xiàn)了安全設(shè)備的智能匹配。本作品使用建立的安全設(shè)備數(shù)據(jù)庫，采用智能匹配算法，在數(shù)據(jù)庫中匹配高性價比，滿足安全需求的設(shè)備。

設(shè)計實現(xiàn)了安全性增強方案的自動生成。根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)和安全需求，通過數(shù)據(jù)分析與智能匹配自動生成安全性增強方案。

4 總結(jié)分析

形式化描述模塊將現(xiàn)實中的網(wǎng)絡(luò)以形式化的語言表述描述漏洞規(guī)格，網(wǎng)絡(luò)配置，推理規(guī)則和特權(quán)模型，并生成網(wǎng)絡(luò)結(jié)構(gòu)拓撲圖。

網(wǎng)絡(luò)結(jié)構(gòu)分析模塊對網(wǎng)絡(luò)拓撲圖進行分析，模擬攻擊者的攻擊方式，將網(wǎng)絡(luò)中的漏洞和數(shù)據(jù)庫中的已知的漏洞數(shù)據(jù)進行比較，從而獲得其他主體的更高權(quán)限，不斷迭代此過程，最終達到攻擊目的，將最終所有的結(jié)果生成攻擊路徑圖。

安全設(shè)備匹配模塊根據(jù)得到的關(guān)鍵節(jié)點，結(jié)合網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)配置，設(shè)備屬性采用智能匹配算法在安全設(shè)備數(shù)據(jù)庫中匹配選擇合適的設(shè)備。輸出所選擇的安全設(shè)備的目錄和設(shè)備的參數(shù)。其中嵌套的數(shù)據(jù)庫管理模塊有效地管理安全設(shè)備，存檔了海量信息，提高了記錄和檢索信息的效率。

安全性增強方案生成模塊將綜合以上的分析結(jié)果并以文檔的形式給出一個安全設(shè)備部署方案。將本系統(tǒng)原有的標(biāo)準(zhǔn)化方案中修改整合信息，并添加系統(tǒng)優(yōu)化后的網(wǎng)絡(luò)結(jié)構(gòu)拓撲圖，在關(guān)鍵節(jié)點，路徑出對其進行語言表述及解釋，以具體數(shù)據(jù)的形式給出前后比較的結(jié)果。最后給使用者展現(xiàn)一套較為完整規(guī)范的安全設(shè)備部署方案。

[1]司群.信息安全漏洞分類研究[J].鐵路計算機應(yīng)用，2015.

[2]李剛.漏洞：虛擬世界的“缺陷美”[J].中國信息安全，2010.