网络系统脆弱性分析与评估关键技术研究∗

张佳佳 宋士涛 张 燕

（国家网络软件产品质量监督检验中心（济南） 济南 250000）

网络系统脆弱性分析与评估关键技术研究∗

张佳佳 宋士涛 张 燕

（国家网络软件产品质量监督检验中心（济南） 济南 250000）

网络脆弱性分析研究是信息安全研究的重要分支，网络系统的脆弱性扫描技术是网络系统安全性评估的关键因素，首先介绍了信息安全领域中的重要技术及分类；列举了网络脆弱性的主要来源；然后分析和讨论了网络脆弱性分析预评估技术过程模型；最后，作为网络脆弱性扫描技术的研究补充，简要讨论和总结了网络脆弱性扫描技术。

漏洞扫描；脆弱性；端口扫描；扫描策略

1 引言

计算机脆弱性的简单定义：计算机脆弱性是系统的一组特性，恶意的主体（攻击者或者攻击程序）能够利用这组特性。通过已授权的手段和方式获取对资源的未授权访问，或者对系统造成损害［3］。网络信息安全领域中，入侵检测、防火墙技术、病毒检测技术及漏洞扫描技术（也称脆弱性评估）构成网络安全四要素。前三种技术都是在攻击进行中或攻击形成事实后的被动检测，而漏洞扫描技术是在攻击事实形成前的主动性、预防性的检测。

2 脆弱性主要来源

造成网络系统脆弱性的来源有：网络系统的软硬件安全漏洞、网络系统架构的复杂性、网络用户行为的复杂性、不断增加的安全措施本身的脆弱性。

3 脆弱性扫描分析及评估

3.1 脆弱性扫描

脆弱性扫描是在本地或网络上通过向本地或远程主机发送探测数据包，获取主机响应后，拆解反馈数据包后，进行分析，从而检测目标主机或网络系统存在的漏洞的过程［1］。简要地讲，脆弱性扫描器的工作原理就是模拟模拟现实攻击者的方法，主动的探测目标网络系统，发现和分析系统中可能存在的各种安全隐患，将扫描结果报告给用户，并向用户提供相应漏洞的解决方法，从而保障网络系统的安全，避免网络遭受恶意攻击者通过漏洞实施攻击。

3.2 脆弱性扫描策略

网络脆弱性扫描一般有两种策略，一是主动扫描策略，二是被动扫描策略［2］；主动扫描策略是基于网络的，它通过执行一些脚本文件、模拟攻击系统的一些行为，并记录所有过程，从而发现其中的安全漏洞，它从外部攻击者的角度对网络系统进行扫描，主要用于查找目标提供的网络服务、协议中的漏洞、开放的端口等信息，同时能够有效地发现那些基于主机的扫描所不能发现的网络设备（如路由器、交换机、防火墙等）的漏洞；被动扫描策略即为扫描策略基于主机之上，从一个内部使用的角度来检测操作系统级别的漏洞，主要检测注册表和用户配置中的漏洞，基于主机的扫描优势在于它能直接获取主机操作系统的底层细节，例如特殊的服务和配置的细节等，缺点在于只有控制了主机，并将检测工具安装在目标主机，才能正常地实施扫描活动；利用被动式的策略的扫描成为系统安全扫描，利用主动式的策略扫描成为网络安全（脆弱性）扫描。

3.3 网络脆弱性分析

网络系统存在各种脆弱性，假如整个网络系统中的某个节点面临的安全隐患大，整个系统因为该节点遭受的损失大于预定的阈值，该节点就是整个网络系统的最薄弱环节。脆弱性分析有两种类型：基于规则的脆弱性分析和基于模型的脆弱性分析方法。

基于规则的分析方法，从已知的故障实例抽取特征，归纳这一组规则表达式，将被分析系统与已知的规则一一对比匹配，进而检出脆弱性。该过程中，规则的抽取生成是较为关键的。基于模型的脆弱性分析方法，首先为网络系统搭建脆弱性分析的模型，通过模型模拟系统的所有可能行为和状态，该类方法比规则的抽取更简单，适合整个系统的评估，而且能找到未知的系统脆弱性和对方攻击的模式［3～4］。其他脆弱性分析方法比如基于攻击图［5］的，基于故障树和攻击树的脆弱性分析方法等。这些方法还不足够，本文重点介绍节点的受信度分析网络脆弱性的分析方法，并根据不同类型的脆弱性，提出可行的安全控制建议。

网络系统是个互相关联的完整系统，信任以及信任的传递是实现数据包身份鉴别的基础，也是保护数据完整性、实现安全访问的基本手段［6］。CA（Certificate Authority）认证授权与当前的用户系统我们统称为一个节点，网络系统中，节点与节点之间是通过CA证书或者发行链的证书传递建立的信任关系，随着CA证书的传递，节点间的信任度会逐渐下降，当超过某一个阈值时，信任度会下降为完全不信任（即信任度为0）。

图1 网络节点受信度分析图

m为B节点为起始节点的最长信任链的长度，ni为位于i级与B有连通的节点的个数。TD值越大表示该节点的授信度越大，对网络整体信任度最关键，它的脆弱性越大。

图1中的所有节点ABCDEFGH…共同组成集合V（即V=｛ABCDEFGH…｝）；A→B表示有向边节点A指向节点B，E是图2中所有有向边的集合；图1即可用—→—G={V，E}表示。权值λ=—→—AB表示A节点对B节点的信任度（λ取值0～1之间，0表示完全不信任，1表示完全信任）计算节点B的受信任度其中，TDav表示网络的平均授信度，N为信任网络的节点的个数。图1中的节点很多出度或入度不为1，比如节点E入度为5，出度为1，因此网络结构不是树形的结构。假如直接相连的节点信任度为1，第二间接的节点递减率为λ，网络的攻击者获取的节点的信任度越大，它就能得到越多节点的信任，该攻击者对整个网络系统的威胁就越大。

4 网络脆弱性评估

一个网络系统的安全性取决于最薄弱的环节，犹如木桶原理。网络系统的攻击者不管选择内部攻击还是外部攻击，最终都是通过挖掘OS和应用程序的脆弱点来完成的。造成的根源是网络系统中存在被渗透的安全漏洞（securityhole）或脆弱性（vulnerability），因此通过脆弱性的评估可以对网络系统的脆弱性扫描并分析结果，发现已存在或潜在的威胁，协助系统管理者更准确有效的管理整个网络系统。

4.1 基于模型脆弱性评估

网络安全领域，评估方法发展方向是手动评估-自动评估；单机评估-分布式评估；局部评估-整体评估；基于规则的评估-基于模型的评估；目前主要是基于规则和基于模型的两种方式，基于规则的脆弱性评估方法主要是根据漏洞库，发现已在的脆弱性，如ISS、NESSUS等扫描工具；基于模型的方法通过渗透过程的建模探知漏洞，例如有限自动机、攻击图（如图2）等。投入现实产品中使用的主要是基于规则的脆弱性扫描评估方法。

图2 攻击图评估模型

脆弱性的评估主要是面对两类问题：探测系统是否存在已知的渗透及探测未知的渗透。前者使用漏洞库匹配技术，后者使用模型分析。

攻击图（Attack Graph）模型是Swiler等于1997年提出的模型［7］，在攻击图的模型方法中，节点包括主机名称、所有用户的权限、对外的接口等，连接线表示攻击行为，利用于模板相匹配的行为攻击，从目标状态反向生成系统的攻击图，如果生成顺利，则表示系统存在此模板的漏洞。显然人工生成攻击图的工作是不现实的。该理论为今后的模型评估提供宝贵参考。

4.2 基于模型检测方法

Ammann和Richey 20世纪提出了基于模型的脆弱性评估方法［3］。该模型由主机描述、主机连接、攻击起点、渗透方法组成。主机描述是主机存在的漏洞和访问控制权限；主机连接包含主机间的连接关系，由一个链接矩阵表示；攻击者的起点就是攻击者依附的主机；渗透方法是源主机、前提条件、访问权限、目的逐级的权限和渗透结果组成。探测从攻击主机开始，模型检测工具找到反例，则表明计算机网络存在漏洞，这一反例就是一个可行的攻击路径，可建立一个攻击模型。该检测方法的优点在于可以利用模型探测工具自动探测被攻击路径，同时建立起来的模型可以修改部分的属性，就可以模拟更多类似的情况。在文献［10］中Ritchey对该模型进行了扩展，命名为Topological Vulnerability Analysis（简称TVA拓扑脆弱分析）。前提包括脆弱性、连接性、用户权限；结果包括新发现的脆弱性、新增的连接性，提高的用户权限；渗透模型是指前提加结果。

起初连接性由yes和no表示，目前主机的连接性按照TCP/IP栈的多层结构进行划分。基于模型的脆弱性评估自动化工具的形成需要建立合适的模型、自动分析，自动生成。另外还需要大规模的渗透攻击技术进行自动建模的工具。

5 结语

计算机网络系统安全领域，经常需要对其进行安全评估，网络脆弱性分析及评估为安全性评估提供了科学的证据和方法。网络脆弱性分析及评估发展经历了手工向自动化，单机向网络化，简单网络向多阶段脆弱性建模发展。攻击图、攻击树、渗透图、特权图等都成功的运用到了网络脆弱性扫描检测领域中。这些技术都从不同的角度出发，在处理扫描脆弱性的问题中各有利弊。但还需解决或改进相关问题：

1）网络脆弱性的分析度量需要进一步的改进完善，为网络管理人员提供网络安全防护的可用性操作平台。

2）脆弱性科学分析和评估方法应更好地结合，使二者能够更加清晰地展示网络脆弱性扫描的原理过程及扫描结果的来源。

3）进一步研究新型模型的建立并完善现用模型及模型分析方法。

［1］Manes Gavin，W Schulte，Dominic Guenther Seth，Net-Glean.A methodology for distributed network security scanning［J］.Journal of Network and Systems Management,2005，13（3）：329-344.

［2］刘莉.网络漏洞扫描器的设计与实现［D］.西安：西安电子科技大学硕士学位论文，2007：12-30.LIU Li.Design and implementation of network vulnerability scanner［D］.Xi'anMaster Thesis of Xi'an Electronic and Science University，2007：12-30.

［3］邢栩嘉，林闯，蒋屹新.计算机系统脆弱性评估研究［J］.计算机学报，2004，27（1）：1-11.

XING Xujia，LIN Chuang，JIANG Yixin.Research on computer vulnerability assessment［J］.Journal of Computer，2004，27（1）：1-11.

［4］林闯，彭雪海.可信网络研究［J］.计算机学报，2005，28（5）：751-758.LIN Chuang，PENG Xuehai.Research on trusted network［J］.Journal of computer science，2005，28（5）：751-758.

［5］ Paul Anlnlann，Duminda Wijesekera Saket Kaushik．Scalable，graph-based network vulnerability analysis［C］//The CCS 2002：9thACM Cord on Computer and Communications Security，Washington，DC，2002.

［6］王宇，卢昱.信息网络安全脆弱性分析 计算机研究与发展［J］.装备指挥技术学院，2006：326-331.WANG Yu，LU Yu.information network security vulnerability analysis of computer research and development of the Academy of equipment command and Technology，2006：326-331.

［7］Tripunitara M V；Dutta P；Spafford G Security assessment of IP-based networks：A holistic approach 1999.

［8］鲁智勇，冯超，余辉，唐朝京.网络安全性定量评估模型研究［J］.计算机工程与科学，2009，31（10）：18-22.LU Zhiyong，FENG Chao，YU Hui，TANG Chaojing.Model of Network Security Quantitative Assesssment［J］.Computer Engineering and Science ，2009，31（10）：18-22.

［9］叶云，徐锡山，贾焰，齐治昌.基于攻击图的网络安全概率 计 算 方 法［J］.计 算 机 学 报 ，2010，33（10）：1987-1996.YE Yun，XU Xishan，QI Zhichang，QI Zhichang.Network security probability based on attack graph calculation method［J］.Journal of computer，2010，33（10）：1987-1996..

［10］Ritchey R，Berry B，Noel S.R.prepresenting TCP／1P connectivity for topological analy sis of network securlty［C］//Pru—ceedings of lhe 18th Annual Computer Security Applications Conference.San Diego，California，2002.

［11］梁志国，王猛，丁天昌，许榕生.基于规则脆弱性评估方法的研究［J］.计算机安全，2007（9）：28-30.LIANG Zhiguo，WANG Meng，DING Tiancang， XU Rongsheng.Vulnerability assessment method based on the rules［J］.Computer security，2007（9）：28-30.

［12］刘凯.基于MOBILE AGENT的智能入侵检测技术研究［D］.博士，2005：9-21.LIU Kai.Research on Intelligent Intrusion Detection Technology Based on AGENT MOBILE［D］.2005：9-21.

Research on Key Technologies of Network System Vulnerability Analysis and Evaluation

ZHANG JiajiaSONG ShitaoZHANG Yan
（National Network Software Product Quality Supervision and Inspection Center（Jinan），Jinan250000）

The research of network vulnerability analysis is an important branch of information security，vulnerability scanning technology of network system is the key factors to evaluate the safety of network system，first the important technology and classification in the field of information security are introduced，the major sources of vulnerability are listed，and then the network vulnerability analysis technology the pre-assessment process model are analyzed and discussed.Finally，as a research network vulnerability scanning technology，the network vulnerability scanning technology are discussed and summarized bnefly.

vulnerability scan，vulnerability，port scan，scan strategy

TP393

10.3969/j.issn.1672-9722.2017.11.035

Class Number TP393

2017年5月3日，

2017年6月24日

张佳佳，女，硕士研究生，高级工程师，研究方向：图像处理、软件检测、信息安全。宋士涛，男，硕士研究生，中级工程师，研究方向：软件检测、信息安全。张燕，女，硕士研究生，中级工程师，研究方向：软件检测、信息安全。