摘要：隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，計算機網(wǎng)絡(luò)得以迅速普及應(yīng)用，在社會經(jīng)濟、政治文化等領(lǐng)域彰顯出重要的應(yīng)用價值。然而隨之而來的一個重要問題是網(wǎng)絡(luò)安全問題，造成網(wǎng)絡(luò)安全威脅的主要原因是網(wǎng)絡(luò)拓撲結(jié)構(gòu)自身的脆弱性。本文主要針對網(wǎng)絡(luò)拓撲結(jié)構(gòu)的脆弱特性進行分析和研究，提出了基于網(wǎng)絡(luò)拓撲勢的網(wǎng)絡(luò)節(jié)點重要性評估方法，建立了網(wǎng)絡(luò)攻擊圖模型，很好地實現(xiàn)了拓撲結(jié)構(gòu)的脆弱性評估。

當前，在計算機網(wǎng)絡(luò)領(lǐng)域出現(xiàn)了各種網(wǎng)絡(luò)威脅手段，其中網(wǎng)絡(luò)攻擊已經(jīng)成為威脅計算機信息安全的主要手段。保障網(wǎng)絡(luò)安全，提高網(wǎng)絡(luò)安全防范意識是擺在眼前的巨大挑戰(zhàn)。然而威脅網(wǎng)絡(luò)安全的主要因素是計算機網(wǎng)絡(luò)拓撲結(jié)構(gòu)本身的脆弱性，也即網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議、應(yīng)用程序和服務(wù)、網(wǎng)絡(luò)主機等基礎(chǔ)設(shè)施設(shè)備。目前，針對網(wǎng)絡(luò)安全問題進行的相關(guān)研究課題中，網(wǎng)絡(luò)拓撲結(jié)構(gòu)的脆弱性等問題是新的研究熱點。通過信息化管理方法以及各種技術(shù)可以對網(wǎng)絡(luò)入侵行為進行檢測和分析，找出網(wǎng)絡(luò)拓撲結(jié)構(gòu)的安全隱患和脆弱性;然后根據(jù)一定的評估模型對網(wǎng)絡(luò)安全進行安全狀態(tài)評估，并制定一序列的安全防護策略，從而為解決和完善網(wǎng)絡(luò)拓撲結(jié)構(gòu)的安全性能奠定基礎(chǔ)。文中，提出了一種改進的基于攻擊圖模型的網(wǎng)絡(luò)拓撲結(jié)構(gòu)脆弱性評估方法，具有良好的實用價值。 2. 研究基礎(chǔ)與網(wǎng)絡(luò)拓撲結(jié)構(gòu) 　　計算機網(wǎng)絡(luò)主要用于發(fā)送、傳輸、接收、處理數(shù)據(jù)信息，它是一個虛擬信息通道。網(wǎng)絡(luò)拓撲結(jié)構(gòu)是一種通過把點、線、面的數(shù)據(jù)信息連接在一起，實現(xiàn)數(shù)據(jù)信息資源共享和加工的網(wǎng)絡(luò)結(jié)構(gòu)模型。在圖論里面，圖表示有限點集以及映射關(guān)系的集合，它可以用于表示和分析網(wǎng)絡(luò)拓撲結(jié)構(gòu)。由于圖論相關(guān)理論的研究對象和網(wǎng)絡(luò)拓撲結(jié)構(gòu)的研究對象具有相似性，因此可以借助于圖論理論來研究計算機網(wǎng)絡(luò)拓撲結(jié)構(gòu)的脆弱性，相比其它研究模型的而言，大大提高了效率?！　∮嬎銠C網(wǎng)絡(luò)拓撲結(jié)構(gòu)可以看做是包含有N個節(jié)點和相互作用關(guān)系的網(wǎng)絡(luò)系統(tǒng)。和物理課程里面的場和場勢等概念類似，可以認為在每一個網(wǎng)絡(luò)節(jié)點的周邊具有一個作用場，而處于場中的每一個節(jié)點都受到其它節(jié)點的共同作用。因此，結(jié)合實際網(wǎng)絡(luò)環(huán)境的模塊化特性以及抱團特性，我們可以確定這些節(jié)點之間存在局域特性，而每一個節(jié)點的作用能力會隨著節(jié)點間的距離的增大產(chǎn)生衰減。因此，我們可以結(jié)合數(shù)學(xué)理論來分析和研究網(wǎng)絡(luò)拓撲結(jié)構(gòu)中的節(jié)點之間的相互作用關(guān)系，簡稱為拓撲場勢。 3. 建立網(wǎng)絡(luò)攻擊圖模型 3.1基本概念 　　攻擊圖主要用于描述入侵者(攻擊者)對計算機網(wǎng)絡(luò)進行入侵時可能經(jīng)過的入侵路徑集合或者是導(dǎo)致網(wǎng)絡(luò)系統(tǒng)產(chǎn)生狀態(tài)變遷的滲透途徑集合。而網(wǎng)絡(luò)攻擊時入侵者對目標網(wǎng)絡(luò)進行入侵攻擊時的攻擊動作的集合。通過建立攻擊圖模型可以表達網(wǎng)絡(luò)主機和計算機網(wǎng)絡(luò)的連接關(guān)系，它是一種描述計算機網(wǎng)絡(luò)拓撲結(jié)構(gòu)安全狀態(tài)的系統(tǒng)模型，綜合了網(wǎng)絡(luò)主機、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)弱點、漏洞、攻擊者、攻擊行為、攻擊目標等一序列因素，然后據(jù)此建立網(wǎng)絡(luò)拓撲結(jié)構(gòu)脆弱性評估系統(tǒng)。 3.2構(gòu)建攻擊圖模型 　　在攻擊圖模型中，主要包括幾個重要的部分，即：網(wǎng)絡(luò)主機HOST、網(wǎng)絡(luò)連接關(guān)系Realation、網(wǎng)絡(luò)弱點信息Information、網(wǎng)絡(luò)攻擊原型、攻擊路徑推理，以下詳細描述。 (1)網(wǎng)絡(luò)主機HOST 網(wǎng)絡(luò)主機HOST是網(wǎng)絡(luò)拓撲結(jié)構(gòu)中的組成部分之一，主要用于提供網(wǎng)絡(luò)服務(wù)，即處理網(wǎng)絡(luò)請求并提供服務(wù)功能等。而計算機網(wǎng)絡(luò)拓撲結(jié)構(gòu)也是由計算機網(wǎng)絡(luò)主機組成的集合。因此，網(wǎng)絡(luò)主機HOST描述結(jié)構(gòu)表表示為HOST(HOSTid,OSys,Svses,Vuls)。其中，HOSTid表示主機在網(wǎng)絡(luò)中的唯一標記代碼，通常是網(wǎng)絡(luò)IP地址或主機名稱;OSys表示網(wǎng)絡(luò)主機所使用的操作系統(tǒng);Svses表示網(wǎng)絡(luò)服務(wù)集合;Vuls表示主機的弱點清單。 (2)網(wǎng)絡(luò)拓撲結(jié)構(gòu)的連接關(guān)系 在計算機網(wǎng)絡(luò)中，主要使用TCP/IP網(wǎng)絡(luò)協(xié)議。因此，本文主要使用TCP/IP網(wǎng)絡(luò)協(xié)議來描述網(wǎng)絡(luò)拓撲結(jié)構(gòu)中的網(wǎng)絡(luò)連接關(guān)系。通常TCP/IP網(wǎng)絡(luò)協(xié)議是分層的，每一層的功能不一樣。文中的網(wǎng)絡(luò)拓撲結(jié)構(gòu)連接關(guān)系數(shù)據(jù)結(jié)構(gòu)描述為Conn(SRCid、DSTid、Prot)。其中，SRCid表示網(wǎng)絡(luò)源主機，DSTid表示網(wǎng)絡(luò)目的地主機，Prot表示網(wǎng)絡(luò)協(xié)議。 (3)網(wǎng)絡(luò)弱點信息描述 　　在網(wǎng)絡(luò)拓撲結(jié)構(gòu)中，網(wǎng)絡(luò)弱點通常包括應(yīng)用性弱點、網(wǎng)絡(luò)服務(wù)弱點以及系統(tǒng)弱點，其中包括應(yīng)用系統(tǒng)的弱點以及網(wǎng)絡(luò)主機運行服務(wù)的弱點。文中的網(wǎng)絡(luò)弱點信息數(shù)據(jù)結(jié)構(gòu)描述為Vulsinfo(HOSTn、Eff、Ran、Pgname、Vulsn、Prob)。其中，HOSTn表示存在弱點的網(wǎng)絡(luò)主機、Eff表示入侵者的攻擊目的、Ran表示弱點特性、Pgname表示應(yīng)用系統(tǒng)或者服務(wù)名稱、Vulsn表示應(yīng)用系統(tǒng)或者服務(wù)的弱點描述信息名、Prob表示入侵攻擊的復(fù)雜度。而系統(tǒng)設(shè)置弱點主要是指系統(tǒng)自身的配置特性存在的安全隱患，比如賬戶密碼簡單、安全控制策略等級較低、應(yīng)用系統(tǒng)自身的漏洞、各種系統(tǒng)漏洞等等。入侵攻擊者可能通過這些弱點提升

。

責任編輯:黃淑蓉