一、什么是網(wǎng)絡(luò)拓?fù)洌?/h1>
????????計(jì)算機(jī)連接的方式叫做“網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)”(Topology)。網(wǎng)絡(luò)拓?fù)涫侵赣脗鬏斆襟w互連各種設(shè)備的物理布局,特別是計(jì)算機(jī)分布的位置以及電纜如何通過它們。
二、網(wǎng)絡(luò)脆弱性分析必要性
????????網(wǎng)絡(luò)規(guī)模不斷增大、網(wǎng)絡(luò)速度飛速提高,網(wǎng)絡(luò)節(jié)點(diǎn)關(guān)系日益復(fù)雜。都給網(wǎng)絡(luò)安全的分析帶來巨大的困難。一般來講,網(wǎng)絡(luò)存在安全漏洞的內(nèi)在原因主要在于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)本身存在的脆弱性。通常來說,網(wǎng)絡(luò)的脆弱性是指網(wǎng)絡(luò)中的任何能夠被用來作為攻擊前提的特性。網(wǎng)絡(luò)通常是由主機(jī)、子網(wǎng)、協(xié)議集合及應(yīng)用軟件等組成的綜合系統(tǒng)。因此,網(wǎng)絡(luò)的脆弱性必然是來自于這些組件安全缺陷和不正確配置所造成的。
????????網(wǎng)絡(luò)的脆弱性分析是目前解決信息網(wǎng)絡(luò)安全問題的非常有效的手段之一。根據(jù)系統(tǒng)論,在一些情況下,某一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)也許是安全的,亦或某個(gè)單一行為也不構(gòu)成威脅。但是一旦進(jìn)人錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)連接的情況中,網(wǎng)絡(luò)的脆弱性情況就完全不同。網(wǎng)絡(luò)的脆弱性也不單單是網(wǎng)絡(luò)節(jié)點(diǎn)缺陷的反映,也是整個(gè)網(wǎng)絡(luò)系統(tǒng)整體脆弱程度的度量。通過網(wǎng)絡(luò)的脆弱性的分析可以評(píng)佶整個(gè)網(wǎng)絡(luò)整體安全性,是部署安全策略的基礎(chǔ)。
三、脆弱性與脆弱性分析
????????脆弱性,通常是針對(duì)于一個(gè)系統(tǒng)而言,因此有時(shí)候也叫做系統(tǒng)的安全性漏洞。具體到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng),就是指整個(gè)系統(tǒng)在硬件、軟件以及協(xié)議的設(shè)計(jì)和實(shí)現(xiàn)中存在的先天性缺陷,或者后期使用不當(dāng)造成的不足。此外,因?yàn)檎麄€(gè)系統(tǒng)在安全策略上的設(shè)置不合理造成的漏洞也是歸屬到脆弱性的范疇。
????????脆弱性分析,是指對(duì)系統(tǒng)的安全策略及其安全分量進(jìn)行檢查分析的過程,它是監(jiān)視系統(tǒng)運(yùn)行安全與否的一種靜態(tài)的分析方法。對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)而言,在進(jìn)行系統(tǒng)脆弱性分析時(shí),所依照的信息資源是根據(jù)時(shí)問間隔來抽樣的,以此來分析網(wǎng)絡(luò)的安全狀態(tài)。簡言之,就是說脆弱性分析是基于時(shí)間間隔抽樣的,這一點(diǎn)和一般的網(wǎng)絡(luò)入侵檢測(cè)所進(jìn)行的那種連續(xù)取樣分析有所區(qū)別。
四、脆弱性基本分析方法
(1)基于圖的分析方法。基于圖的網(wǎng)絡(luò)系統(tǒng)脆弱性分析方法是對(duì)目標(biāo)網(wǎng)絡(luò)的結(jié)構(gòu)作風(fēng)險(xiǎn)分析,分析思路是評(píng)估網(wǎng)絡(luò)系統(tǒng)被攻擊后所造成的結(jié)果。在執(zhí)行這種方法時(shí),需要把常見的攻擊方法、攻擊步驟、網(wǎng)絡(luò)參數(shù)以及網(wǎng)絡(luò)拓?fù)湫畔⒑凸魣D事先輸入到一個(gè)數(shù)據(jù)庫里面,網(wǎng)絡(luò)節(jié)點(diǎn)可以依照這個(gè)數(shù)據(jù)庫來對(duì)攻擊實(shí)施識(shí)別分析。
(2)基于可生存性的分析方法。這種網(wǎng)絡(luò)系統(tǒng)脆弱性分析方法的基本思想是采用一種規(guī)范化的系統(tǒng)架構(gòu)來操作的。該架構(gòu)是在一個(gè)規(guī)范的網(wǎng)絡(luò)系統(tǒng)中設(shè)置故障和入侵事件,并利用圖形化的方法進(jìn)行表示事件的影響程度。在這種方法中,可以運(yùn)用諸如貝葉斯定理、概率計(jì)算等相關(guān)數(shù)學(xué)方法。
(3)基于攻擊樹的分析方法。這種方法是將外部攻擊映射成樹,并將網(wǎng)絡(luò)系統(tǒng)的脆弱性進(jìn)行量化,思想是確定在當(dāng)前情況下何種攻擊最有可能發(fā)生,也是最可行的。攻擊樹是以所有的網(wǎng)絡(luò)系統(tǒng)脆弱性路徑都假設(shè)為可知的為前提,表示為可能與不可能兩種情況。在兩種狀態(tài)的變化上,是因?yàn)樾碌墓舯话l(fā)現(xiàn),原來狀態(tài)表示的不可能的攻擊變?yōu)榭赡埽瑥亩闆r發(fā)生改變。