網(wǎng)絡系統(tǒng)脆弱性分析與評估關鍵技術研究?

張佳佳 宋士濤 張 燕

（國家網(wǎng)絡軟件產品質量監(jiān)督檢驗中心（濟南） 濟南 250000）

網(wǎng)絡系統(tǒng)脆弱性分析與評估關鍵技術研究?

張佳佳 宋士濤 張 燕

（國家網(wǎng)絡軟件產品質量監(jiān)督檢驗中心（濟南） 濟南 250000）

網(wǎng)絡脆弱性分析研究是信息安全研究的重要分支，網(wǎng)絡系統(tǒng)的脆弱性掃描技術是網(wǎng)絡系統(tǒng)安全性評估的關鍵因素，首先介紹了信息安全領域中的重要技術及分類；列舉了網(wǎng)絡脆弱性的主要來源；然后分析和討論了網(wǎng)絡脆弱性分析預評估技術過程模型；最后，作為網(wǎng)絡脆弱性掃描技術的研究補充，簡要討論和總結了網(wǎng)絡脆弱性掃描技術。

漏洞掃描；脆弱性；端口掃描；掃描策略

1 引言

計算機脆弱性的簡單定義：計算機脆弱性是系統(tǒng)的一組特性，惡意的主體（攻擊者或者攻擊程序）能夠利用這組特性。通過已授權的手段和方式獲取對資源的未授權訪問，或者對系統(tǒng)造成損害［3］。網(wǎng)絡信息安全領域中，入侵檢測、防火墻技術、病毒檢測技術及漏洞掃描技術（也稱脆弱性評估）構成網(wǎng)絡安全四要素。前三種技術都是在攻擊進行中或攻擊形成事實后的被動檢測，而漏洞掃描技術是在攻擊事實形成前的主動性、預防性的檢測。

2 脆弱性主要來源

造成網(wǎng)絡系統(tǒng)脆弱性的來源有：網(wǎng)絡系統(tǒng)的軟硬件安全漏洞、網(wǎng)絡系統(tǒng)架構的復雜性、網(wǎng)絡用戶行為的復雜性、不斷增加的安全措施本身的脆弱性。

3 脆弱性掃描分析及評估

3.1 脆弱性掃描

脆弱性掃描是在本地或網(wǎng)絡上通過向本地或遠程主機發(fā)送探測數(shù)據(jù)包，獲取主機響應后，拆解反饋數(shù)據(jù)包后，進行分析，從而檢測目標主機或網(wǎng)絡系統(tǒng)存在的漏洞的過程［1］。簡要地講，脆弱性掃描器的工作原理就是模擬模擬現(xiàn)實攻擊者的方法，主動的探測目標網(wǎng)絡系統(tǒng)，發(fā)現(xiàn)和分析系統(tǒng)中可能存在的各種安全隱患，將掃描結果報告給用戶，并向用戶提供相應漏洞的解決方法，從而保障網(wǎng)絡系統(tǒng)的安全，避免網(wǎng)絡遭受惡意攻擊者通過漏洞實施攻擊。

3.2 脆弱性掃描策略

網(wǎng)絡脆弱性掃描一般有兩種策略，一是主動掃描策略，二是被動掃描策略［2］；主動掃描策略是基于網(wǎng)絡的，它通過執(zhí)行一些腳本文件、模擬攻擊系統(tǒng)的一些行為，并記錄所有過程，從而發(fā)現(xiàn)其中的安全漏洞，它從外部攻擊者的角度對網(wǎng)絡系統(tǒng)進行掃描，主要用于查找目標提供的網(wǎng)絡服務、協(xié)議中的漏洞、開放的端口等信息，同時能夠有效地發(fā)現(xiàn)那些基于主機的掃描所不能發(fā)現(xiàn)的網(wǎng)絡設備（如路由器、交換機、防火墻等）的漏洞；被動掃描策略即為掃描策略基于主機之上，從一個內部使用的角度來檢測操作系統(tǒng)級別的漏洞，主要檢測注冊表和用戶配置中的漏洞，基于主機的掃描優(yōu)勢在于它能直接獲取主機操作系統(tǒng)的底層細節(jié)，例如特殊的服務和配置的細節(jié)等，缺點在于只有控制了主機，并將檢測工具安裝在目標主機，才能正常地實施掃描活動；利用被動式的策略的掃描成為系統(tǒng)安全掃描，利用主動式的策略掃描成為網(wǎng)絡安全（脆弱性）掃描。

3.3 網(wǎng)絡脆弱性分析

網(wǎng)絡系統(tǒng)存在各種脆弱性，假如整個網(wǎng)絡系統(tǒng)中的某個節(jié)點面臨的安全隱患大，整個系統(tǒng)因為該節(jié)點遭受的損失大于預定的閾值，該節(jié)點就是整個網(wǎng)絡系統(tǒng)的最薄弱環(huán)節(jié)。脆弱性分析有兩種類型：基于規(guī)則的脆弱性分析和基于模型的脆弱性分析方法。

基于規(guī)則的分析方法，從已知的故障實例抽取特征，歸納這一組規(guī)則表達式，將被分析系統(tǒng)與已知的規(guī)則一一對比匹配，進而檢出脆弱性。該過程中，規(guī)則的抽取生成是較為關鍵的?；谀Ｐ偷拇嗳跣苑治龇椒ǎ紫葹榫W(wǎng)絡系統(tǒng)搭建脆弱性分析的模型，通過模型模擬系統(tǒng)的所有可能行為和狀態(tài)，該類方法比規(guī)則的抽取更簡單，適合整個系統(tǒng)的評估，而且能找到未知的系統(tǒng)脆弱性和對方攻擊的模式［3～4］。其他脆弱性分析方法比如基于攻擊圖［5］的，基于故障樹和攻擊樹的脆弱性分析方法等。這些方法還不足夠，本文重點介紹節(jié)點的受信度分析網(wǎng)絡脆弱性的分析方法，并根據(jù)不同類型的脆弱性，提出可行的安全控制建議。

網(wǎng)絡系統(tǒng)是個互相關聯(lián)的完整系統(tǒng)，信任以及信任的傳遞是實現(xiàn)數(shù)據(jù)包身份鑒別的基礎，也是保護數(shù)據(jù)完整性、實現(xiàn)安全訪問的基本手段［6］。CA（Certificate Authority）認證授權與當前的用戶系統(tǒng)我們統(tǒng)稱為一個節(jié)點，網(wǎng)絡系統(tǒng)中，節(jié)點與節(jié)點之間是通過CA證書或者發(fā)行鏈的證書傳遞建立的信任關系，隨著CA證書的傳遞，節(jié)點間的信任度會逐漸下降，當超過某一個閾值時，信任度會下降為完全不信任（即信任度為0）。

圖1 網(wǎng)絡節(jié)點受信度分析圖

m為B節(jié)點為起始節(jié)點的最長信任鏈的長度，ni為位于i級與B有連通的節(jié)點的個數(shù)。TD值越大表示該節(jié)點的授信度越大，對網(wǎng)絡整體信任度最關鍵，它的脆弱性越大。

圖1中的所有節(jié)點ABCDEFGH…共同組成集合V（即V=｛ABCDEFGH…｝）；A→B表示有向邊節(jié)點A指向節(jié)點B，E是圖2中所有有向邊的集合；圖1即可用—→—G={V，E}表示。權值λ=—→—AB表示A節(jié)點對B節(jié)點的信任度（λ取值0～1之間，0表示完全不信任，1表示完全信任）計算節(jié)點B的受信任度其中，TDav表示網(wǎng)絡的平均授信度，N為信任網(wǎng)絡的節(jié)點的個數(shù)。圖1中的節(jié)點很多出度或入度不為1，比如節(jié)點E入度為5，出度為1，因此網(wǎng)絡結構不是樹形的結構。假如直接相連的節(jié)點信任度為1，第二間接的節(jié)點遞減率為λ，網(wǎng)絡的攻擊者獲取的節(jié)點的信任度越大，它就能得到越多節(jié)點的信任，該攻擊者對整個網(wǎng)絡系統(tǒng)的威脅就越大。

4 網(wǎng)絡脆弱性評估

一個網(wǎng)絡系統(tǒng)的安全性取決于最薄弱的環(huán)節(jié)，猶如木桶原理。網(wǎng)絡系統(tǒng)的攻擊者不管選擇內部攻擊還是外部攻擊，最終都是通過挖掘OS和應用程序的脆弱點來完成的。造成的根源是網(wǎng)絡系統(tǒng)中存在被滲透的安全漏洞（securityhole）或脆弱性（vulnerability），因此通過脆弱性的評估可以對網(wǎng)絡系統(tǒng)的脆弱性掃描并分析結果，發(fā)現(xiàn)已存在或潛在的威脅，協(xié)助系統(tǒng)管理者更準確有效的管理整個網(wǎng)絡系統(tǒng)。

4.1 基于模型脆弱性評估

網(wǎng)絡安全領域，評估方法發(fā)展方向是手動評估-自動評估；單機評估-分布式評估；局部評估-整體評估；基于規(guī)則的評估-基于模型的評估；目前主要是基于規(guī)則和基于模型的兩種方式，基于規(guī)則的脆弱性評估方法主要是根據(jù)漏洞庫，發(fā)現(xiàn)已在的脆弱性，如ISS、NESSUS等掃描工具；基于模型的方法通過滲透過程的建模探知漏洞，例如有限自動機、攻擊圖（如圖2）等。投入現(xiàn)實產品中使用的主要是基于規(guī)則的脆弱性掃描評估方法。

圖2 攻擊圖評估模型

脆弱性的評估主要是面對兩類問題：探測系統(tǒng)是否存在已知的滲透及探測未知的滲透。前者使用漏洞庫匹配技術，后者使用模型分析。

攻擊圖（Attack Graph）模型是Swiler等于1997年提出的模型［7］，在攻擊圖的模型方法中，節(jié)點包括主機名稱、所有用戶的權限、對外的接口等，連接線表示攻擊行為，利用于模板相匹配的行為攻擊，從目標狀態(tài)反向生成系統(tǒng)的攻擊圖，如果生成順利，則表示系統(tǒng)存在此模板的漏洞。顯然人工生成攻擊圖的工作是不現(xiàn)實的。該理論為今后的模型評估提供寶貴參考。

4.2 基于模型檢測方法

Ammann和Richey 20世紀提出了基于模型的脆弱性評估方法［3］。該模型由主機描述、主機連接、攻擊起點、滲透方法組成。主機描述是主機存在的漏洞和訪問控制權限；主機連接包含主機間的連接關系，由一個鏈接矩陣表示；攻擊者的起點就是攻擊者依附的主機；滲透方法是源主機、前提條件、訪問權限、目的逐級的權限和滲透結果組成。探測從攻擊主機開始，模型檢測工具找到反例，則表明計算機網(wǎng)絡存在漏洞，這一反例就是一個可行的攻擊路徑，可建立一個攻擊模型。該檢測方法的優(yōu)點在于可以利用模型探測工具自動探測被攻擊路徑，同時建立起來的模型可以修改部分的屬性，就可以模擬更多類似的情況。在文獻［10］中Ritchey對該模型進行了擴展，命名為Topological Vulnerability Analysis（簡稱TVA拓撲脆弱分析）。前提包括脆弱性、連接性、用戶權限；結果包括新發(fā)現(xiàn)的脆弱性、新增的連接性，提高的用戶權限；滲透模型是指前提加結果。

起初連接性由yes和no表示，目前主機的連接性按照TCP/IP棧的多層結構進行劃分?；谀Ｐ偷拇嗳跣栽u估自動化工具的形成需要建立合適的模型、自動分析，自動生成。另外還需要大規(guī)模的滲透攻擊技術進行自動建模的工具。

5 結語

計算機網(wǎng)絡系統(tǒng)安全領域，經(jīng)常需要對其進行安全評估，網(wǎng)絡脆弱性分析及評估為安全性評估提供了科學的證據(jù)和方法。網(wǎng)絡脆弱性分析及評估發(fā)展經(jīng)歷了手工向自動化，單機向網(wǎng)絡化，簡單網(wǎng)絡向多階段脆弱性建模發(fā)展。攻擊圖、攻擊樹、滲透圖、特權圖等都成功的運用到了網(wǎng)絡脆弱性掃描檢測領域中。這些技術都從不同的角度出發(fā)，在處理掃描脆弱性的問題中各有利弊。但還需解決或改進相關問題：

1）網(wǎng)絡脆弱性的分析度量需要進一步的改進完善，為網(wǎng)絡管理人員提供網(wǎng)絡安全防護的可用性操作平臺。

2）脆弱性科學分析和評估方法應更好地結合，使二者能夠更加清晰地展示網(wǎng)絡脆弱性掃描的原理過程及掃描結果的來源。

3）進一步研究新型模型的建立并完善現(xiàn)用模型及模型分析方法。

［1］Manes Gavin，W Schulte，Dominic Guenther Seth，Net-Glean.A methodology for distributed network security scanning［J］.Journal of Network and Systems Management,2005，13（3）：329-344.

［2］劉莉.網(wǎng)絡漏洞掃描器的設計與實現(xiàn)［D］.西安：西安電子科技大學碩士學位論文，2007：12-30.LIU Li.Design and implementation of network vulnerability scanner［D］.Xi'anMaster Thesis of Xi'an Electronic and Science University，2007：12-30.

［3］邢栩嘉，林闖，蔣屹新.計算機系統(tǒng)脆弱性評估研究［J］.計算機學報，2004，27（1）：1-11.

XING Xujia，LIN Chuang，JIANG Yixin.Research on computer vulnerability assessment［J］.Journal of Computer，2004，27（1）：1-11.

［4］林闖，彭雪海.可信網(wǎng)絡研究［J］.計算機學報，2005，28（5）：751-758.LIN Chuang，PENG Xuehai.Research on trusted network［J］.Journal of computer science，2005，28（5）：751-758.

［5］ Paul Anlnlann，Duminda Wijesekera Saket Kaushik．Scalable，graph-based network vulnerability analysis［C］//The CCS 2002：9thACM Cord on Computer and Communications Security，Washington，DC，2002.

［6］王宇，盧昱.信息網(wǎng)絡安全脆弱性分析 計算機研究與發(fā)展［J］.裝備指揮技術學院，2006：326-331.WANG Yu，LU Yu.information network security vulnerability analysis of computer research and development of the Academy of equipment command and Technology，2006：326-331.

［7］Tripunitara M V；Dutta P；Spafford G Security assessment of IP-based networks：A holistic approach 1999.

［8］魯智勇，馮超，余輝，唐朝京.網(wǎng)絡安全性定量評估模型研究［J］.計算機工程與科學，2009，31（10）：18-22.LU Zhiyong，F(xiàn)ENG Chao，YU Hui，TANG Chaojing.Model of Network Security Quantitative Assesssment［J］.Computer Engineering and Science ，2009，31（10）：18-22.

［9］葉云，徐錫山，賈焰，齊治昌.基于攻擊圖的網(wǎng)絡安全概率 計 算 方 法［J］.計 算 機 學 報 ，2010，33（10）：1987-1996.YE Yun，XU Xishan，QI Zhichang，QI Zhichang.Network security probability based on attack graph calculation method［J］.Journal of computer，2010，33（10）：1987-1996..

［10］Ritchey R，Berry B，Noel S.R.prepresenting TCP／1P connectivity for topological analy sis of network securlty［C］//Pru—ceedings of lhe 18th Annual Computer Security Applications Conference.San Diego，California，2002.

［11］梁志國，王猛，丁天昌，許榕生.基于規(guī)則脆弱性評估方法的研究［J］.計算機安全，2007（9）：28-30.LIANG Zhiguo，WANG Meng，DING Tiancang， XU Rongsheng.Vulnerability assessment method based on the rules［J］.Computer security，2007（9）：28-30.

［12］劉凱.基于MOBILE AGENT的智能入侵檢測技術研究［D］.博士，2005：9-21.LIU Kai.Research on Intelligent Intrusion Detection Technology Based on AGENT MOBILE［D］.2005：9-21.

Research on Key Technologies of Network System Vulnerability Analysis and Evaluation

ZHANG JiajiaSONG ShitaoZHANG Yan
（National Network Software Product Quality Supervision and Inspection Center（Jinan），Jinan250000）

The research of network vulnerability analysis is an important branch of information security，vulnerability scanning technology of network system is the key factors to evaluate the safety of network system，first the important technology and classification in the field of information security are introduced，the major sources of vulnerability are listed，and then the network vulnerability analysis technology the pre-assessment process model are analyzed and discussed.Finally，as a research network vulnerability scanning technology，the network vulnerability scanning technology are discussed and summarized bnefly.

vulnerability scan，vulnerability，port scan，scan strategy

TP393

10.3969/j.issn.1672-9722.2017.11.035

Class Number TP393

2017年5月3日，

2017年6月24日

張佳佳，女，碩士研究生，高級工程師，研究方向：圖像處理、軟件檢測、信息安全。宋士濤，男，碩士研究生，中級工程師，研究方向：軟件檢測、信息安全。張燕，女，碩士研究生，中級工程師，研究方向：軟件檢測、信息安全。