計算機網絡系統脆弱性評估分析

韓雪飛

（黑河市委黨校，黑龍江 黑河 164300）

1 何為脆弱性評估

電腦體系在設計以及開展活動的時候，會面對一些不利現象，機或許會被進攻人使用，進而導致體系面對非常多的危險。我們將這種現象稱之為脆弱性。因為我們是無法避免網絡出現小的問題的，此時入侵者會通過體系中的不利點而開展攻擊活動，進而獲取體系中的重要的內容，有時候還獲取被攻擊體系的權限。目前的脆弱性是導致攻擊問題出現的背景，假如不具有這個特征的話，就不會面對攻擊問題了。由于漏洞彼此是存在聯系的，同時主機也有顯著的依靠性特征，同時還存在非常多的其他的一些關聯，此時就導致該項評估活動十分的繁瑣。

該項評估是說借助于很多的管控和技術方法對于體系開展檢測活動，明確其中存在的不安全的現象，以及那些容易被不良者利用的一些不利點，結合檢測信息發內需體系的安全模式，同時在這個前提之下，結合測評的信息明確合理的安全方法，進而確保體系的運作能夠有綜合化的參考信息，此時保證體系能夠結合變動而進行一些調節工作，進而設置安全方法，保證體系的運行是穩定的。該項活動的意義是經由分析體系的不利點，明確體系中比較弱勢的內容，為安全方法的明確等提供精準的信息參考內容。

2 關于該項評估措施

2.1 模型檢測法

具體的說是在設定的自動設備的模型之中，分析器是不是具有所論述的特性，假如具有的話就回應是，假如不具有的話，就回應否，而且指出反例。紐約州立大學的Ramakrishnan和Sekar首先提出將模型檢測的方法應用在主機弱點綜合分析上。GMU的研究人員Ritchey和Ammann在其攻擊圖生成方法研究的最初階段使用了模型檢測方法及模型檢測工具SMV。CMU的系統安全分析課題組改進了模型檢測工具Mums,用來生成評估目標的網絡攻擊圖,Sheyner通過這種方法構造出攻擊圖后,應用在了入侵檢測系統（IDS）的警報關聯,以及從單個攻擊行為來預警攻擊。該項措施面對一個現象，即體系的狀態氛圍非常寬。信息所有的狀況是經有很多的實體以及安全要素等組合而得到的，在運行檢測措施的分析時期，需要考察的信息數不斷的增多，進而使得存儲空間變大。

2.2 基于圖論的方法

Sandia National Laboratories的Phillips和Swiler在1998年首先用圖論的思想生成了網絡攻擊圖,后來在DARPA的資助下完成了對攻擊圖的分析和去除冗余節點和邊的工作。Ammann及其同事放棄了模型檢測方法而使用基于圖論的方法生成攻擊圖,而且開展了安全單調性的分析，通過正向搜索的措施而獲取了攻擊圖。哈爾濱工業大學的張濤博士也用類似的方法實現了一個安全性分析系統。

3 對當前的體系開展的綜合比對

3.1 以單機位前提的部分脆弱性分析

（1）SAINT。全稱安全管理員集成網絡工具,其是由SATAN不斷的演化進步而得到的。

它可以配合體系的管控工作者搜集體系的相關信息，明確面對的體系中的不利現象，供應評估報告，開展安全性的測試活動。它還有十分優秀的界面模式，使用人能夠在所在區域或者是通過遠程要素來對其開展綜合化的管控活動。

（2）ISS的 SAFEsuite產品族。SAFE－sulte主要包括三部分功能:安全評價、入侵檢測和安全管理方案,幫助用戶設計合理的安全策略。

安全評價平臺由三個安全評價應用程序組成:Internet Scanner,Database Scanner和 System Scanner。Internet Scanner鑒別和定位技術弱點,提供自動的、基于網絡的安全評價和策略一致性評估,通過定時或事件驅動探測網絡通信服務、OS、路由器、E-mail、Web服務器、防火墻和應用程序,從而鑒別可能導致未授權網絡訪問的系統虛弱性,并提供關于風險預測、風險量化和風險管理的信息。Database Scanner自動鑒別數據庫系統中的從弱口令到Trojan horse這些弱點,帶內置的弱點知識庫,可用于Oracle,MS SQL Server,Sybase數據庫。System Scanner是一個可擴展的基于主機manager/agent的系統,用來分析安全方法是不是相同的，其檢測安全不利點和有關的配置和方法等是不是一樣的，可用于單個服務器到大規模分布式網絡的系統的邏輯安全和系統完整性,對于弱點提供非常細致的應對方法。

入侵檢測平臺Real secure包括Sensors和Managers組成,可檢測網絡中的攻擊和濫用。攻擊包括Dos、未授權的訪問企圖（如Back Orifice訪問和Brute Force登錄）、可疑活動（如TFTP包）、安全后門程序的企圖（如BO）、修改數據或Web內容的企圖等。濫用檢測包括濫用管理特權、HTTP活動、Windows共享分析等。安全管理方案SAFEsuite Decisions集成上面組件生成的安全數據,簡化網絡安全管理。

3.2 基于網絡系統的整體脆弱性評估

該項內容是將部分的評估信息當成是前提，融合體系從總體的層次上對于其中的所有的配置較差的脆弱性等等的關聯要素開展的分析探索。

最早的整體評估思想是由Zerkle和Levitt提出的,其相應工具為NetKuan,NetKuang分析不同UNIX主機上各種配置脆弱性之間的關聯關系,不過無法論述別的體系和種類的脆弱性特征。換句話講，此模型并不細致，不過其思想很合理，值得認真地分析論述。

1997年Swiler等人提出了基于攻擊圖的整體評估模型。在這個模型之中，經由攻擊圖的一個具體的信息點，我們可以知道它的情形，結點涵蓋的要素非常多，比如主機的名號以及使用者的權利和受到的干擾等，所有的弧線便是這攻擊人的具體的活動而引發的情形的變化。對于模型來講，使用的是攻擊模塊描述的所有的攻擊活動，在開始的時候，設置一個初始信息，進而經由自身的攻擊要素，從該目的狀態中反向變為體系的攻擊大圖，假如是合理的話，就表示體系具有一定的脆弱性特征。

[1]栗勇兵，董啟雄，龔瀛.網絡系統脆弱性評估[J].魅力中國，2009.