网络脆弱性研究现状及问题.docx

网络脆弱性研究现状及问题网络脆弱性的相关概念与研究方法分类计算机网络脆弱性(vulnerability)涉及一切信息系统或信息网络中可被非预期利用的方面。从整体上看，计算机网络系统在设计、实施、应用和控制过程中存在的一切可能被攻击者利用从而造成安全危害的缺陷都是网络的脆弱性。网络信息系统遭受损失，最根本的原因即在于其本身存在的脆弱性。网络系统的脆弱性主要来源于以下几个方面:(l)信息系统的软、硬件安全漏洞。由于计算机系统在硬件、软件、协议设计与实现等过程中以及系统安全策略上都不可避免存在缺陷和瑕疵从而造成了攻击者很容易利用它们实施攻击的事实。比如编程过程中由于疏忽而导致逻辑错误是很普遍的现象;数据处理也比数值计算更容易发生逻辑错误;软件模块的复杂调用关系也给软件维护带来困境;不同种类的软、硬件设备中，同种设备的不同版本，甚至不同设备构成的不同系统之间的相互协调等都会存在各自不同的安全问题。攻击者通过这些系统安全漏洞获得计算机系统的额外权限，获取系统的机密信息，破坏系统的保密性、完整性和可用性。(2)网络结构的复杂性与自组织性。计算机网络的根本职能一是提供网络通信，二是实现网络信息共享。由于互联网最初被设计为一个开放的接入模型，民主自由的设计观在带来网络繁荣的同时也使得网络的复杂性级数增长。时至今日，互联网已经成为全球最大的复杂系统，数以亿计的网络结点和网络链路导致其结构根本无法探明。网络连接结构也是随时动态变化的。各种脆弱因素因为网络关联在一起，使得对网络脆弱性分析变得更为困难。病毒、木马及网络蠕虫在互联网的传播具有明显的分岔、混沌等非线性复杂动力学行为特征。这些安全危害在网络中泛滥，导致有限资源下的网络免疫变得十分困难。(3)用户网络行为的复杂性。一般来说，互联网包含经济代理机构的基本概念，这有别于传统分布式计算:互联网的不同部分有不同的所有者，不同的经济动机，但他们合作，提供端到端的全面服务。互联网跨越了截然不同的法律，公约和习惯。能够构建网络的技术在人类的梦想和发明中不断变化着，是多元化的、充满潜在冲突的和私人行为。网络在设计之初是无法周全考虑到人们日后的复杂行为的。当前掌握网络知识的人数迅速增长，使得大量人员拥有攻击网络的技能。网络系统广泛采用标准协议，攻击者更容易获得系统或网络漏洞，攻击代价降低，更加容易实施。因此，一些网络的既定构件在新的用户行为下成为了新的脆弱性。因此，网络安全防范总是陷入到一个“道高一尺，魔高一丈”的循环对抗中。(4)增加的安全措施本身带来的脆弱性。脆弱性问题与时间紧密相关。随着时间的推移，旧的脆弱性会不断得到修补或纠正，新的脆弱性会不断出现，因而脆弱性问题长期存在。网络中的一些软件、硬件可能在尚未完善时就被应用。未克服系统中原始的脆弱性而采用的各种控制措施往往会带来新的脆弱性。一些新增加的安全措施本身也不安全，或者顾此失彼带来了新的安全问题。网络脆弱性研究本身是信息安全研究的一个重要分支。它与计算机信息技术中的一些相关领域存在紧密联系。主要包括:(l)信息系统脆弱性研究。应该说，网络脆弱性研究是主机系统脆弱性研究的延伸和扩展。网络环境一方面给信息系统带来了新的工作环境，引发了新的攻击途径，带来了新的脆弱性问题;另一方面，由于网络将各个信息终端联系在一起，导致了系统脆弱性相互关联，进一步复杂了系统脆弱性的分析和评估。同时也应该看到，传统信息系统脆弱性分析和评估的方法本身也大可为网络脆弱性分析和评估利用。相比之下，脆弱关联挖掘是二者研究的主要不同之处。(2)网络测量(NetworkMeasuremeni)技术。网络测量是指遵照一定的方法和技术，利用软件或硬件工具来测试或验证表征网络结构性能的一系列活动的总称。网络测量是研究网络行为、网络结构以及网络组织生成模型的重要手段。对于网络运营、设备协议研制和网络脆弱性分析都具有重要意义I4。国外对网络测量进行了大量的研究，己经提出了包括主、被测量的各种测量体系。比较有名的网络测量项目包括:美国国家应用网络研究实验室(NationalLbaoratoofAppliedNetworkReseareh，NLA皿)开发的网络分析基础架构项目(Netwo水AnalysisInfrastructure，NAI)、_美国国家科学基金(usNationalSeieneeFoundation，NSF)和美国国防部高等研究计tIJ局(DefeneeAdvancedResearehProjeetsAgene%DAP以)资助的国家互联网测量基础框架(NationalIntemetMeasurementInfrastrueture，NIMx)、国际互联网数据分析合作组织(CooperativeAssoeiationforIntemetDataAnalysis，eAIoA)提出并实现的:kitter等等。哈尔滨工业大学设计了多点测量国家级ISP拓扑的分布式体系结构(DistributedRouter-levelLnternetM叩pi雌Architeeture，n班MA)，并对中国教育与科研网cERNET拓扑进行了多点测量实践ls。网络测量的成果加深了人们对互联网形态的认识。本文采用了上述部分工程提供的研究数据。(3)风险评估。网络脆弱性研究的一个主要目的就是对网络信息系统进行风险评估。确定一个网络信息系统的信息资产价值，识别与这些信息资产有关的威胁及漏洞大小，确定总的风险对该组织的重要性。风险分析是评估的重要手段。风险分析是对需要保护的资产及其受到的潜在威胁进行鉴别的过程。正确的风险分析是保证信息安全极其重要的一步，一旦识别和量化了风险，就可以选择有效的、代价小的预防措施以降低这些风险。网络脆弱性分析可以看作是风险评估的一个组成部分。完整的风险评估不仅包括信息系统组织的物理安全度量、现有策略安全度量，也包括组织内己有的预防措施、员工对安全的重视程度、员工的工作负载、员工的工作态度、员工对现有策略过程的执行情况的分析等。(4)网络免疫策略。计算机网络病毒、蠕虫等大规模爆发给网络的正常运行构成了严重威胁。现有的计算机病毒防治技术主要关注个体对象，缺乏对网络本身的认识和保护。因此，部分学者开始从网络整体角度研究网络病毒传播行为特征的病毒传播模型和相应的病毒免疫策略。网络免疫策略的根本目标是尽可能减少代价以阻碍网络恶意攻击的传播和扩散。网络脆弱性研究从发掘网络关键脆弱部件这一角度出发，其研究成果将对有限资源下的网络免疫策略制定提供强有力的支撑。(5)网络可生存性(Survivability)研究。以往的网络安全研究更为注重讨论网络环境下信息系统的可靠可用性(如病毒检测等)、网络协议的完整保密性、互操作安全验证等问题，本身不涉及网络宏观体系结构与网络行为的研究。这些研究成果可以在一定程度上解决网络环境下信息系统的安全问题，也有助于提高网络服务能力。但这些基于信息隔离和信息保障的第一、二代网络安全技术都不能很好地应对层出不穷的网络入侵和攻击手段。由此则产生了基于可生存性的第三代网络安全技术。它的核心思想是希望在现有的攻击检测和攻击响应措施都不能发现并阻止入侵行为的情况下，能通过一系列关键技术去保证服务的连续性。网络可生存性(SIJrvivallility)是指网络在遭受攻击、故障和意外事故的时候仍然能够完成其主要任务的能力。研究网络可生存性应该体现以下三个方面的特点:与传统网络可靠、可用性研究相比，后者更为关注一般情况下网络能否良好地运行;而可生存性研究则更为注重在特殊环境下网络提供服务的能力。换句话说，网络在正常环境下运行是可靠的不一定意味着其生存性良好。只有在恶劣的环境下(典型的如网络攻击)网络还能可靠运行，才能说明其生存性是良好的;研究网络可生存性应该关注其性能的保持性，即当网络遭受攻击的时候它还能以多大的能力维持其基本功能;研究可生存性还应该关注其面向恢复(Recovery一Orienied)的能力。从广义上说，网络能面向恢复也就意味着其拥有了自检测(self-test)、自诊断(self-diagnose)、自恢复(self-reeove卿)以及自组织(self-o飞anization)等能力。脆弱性分析是生存性分析的组成部分。生存性问题产生的本质原因是网络存在脆弱性，攻击行为要与网络系统的脆弱点相配合才能顺利实施;反之，只有准确定位了网络的脆弱点，生存性增强措施才能有效地实施，从而以最小的代价最大程度地增强网络的可生存性。因此生存性分析过程的实施要靠脆弱性分析来引导，生存性增强手段实施的有效性取决于脆弱性分析结果的精确性。综上，根据研究对象和保护目标的不同，本文将网络脆弱性研究大体分为三个方面(如图1一l):一是以漏洞扫描为主要手段的脆弱性诊断技术研究。这类研究偏重于工程技术研发，强调在已探明的信息系统漏洞基础上，为目标系统实施诊断;二是以系统漏洞为主要知识的信息系统脆弱性模型建模研究。这类研究着重模拟网络攻击的因果联系，用数学模型来推测网络系统最薄弱的环节;三是以网络传播动力学特征分析为主要方法的网络结构脆弱性研究，这类研究将视角放在抽象网络层面，着重网络结构本身的脆弱挖掘和安全免疫。(l)以漏洞扫描为主要手段的网络系统脆弱性诊断技术研究。网络脆弱性扫描是网络安全防御中的一项重要技术，其原理是采用模拟攻击的形式对目标可能存在的己知网络脆弱性进行逐项检查，确定存在的安全隐患和风险级别。使用网络脆弱性扫描产品可自动对计算机系统进行安全评估分析，对网络进行检查，发现其中可能被利用的脆弱性，并提出解决的建议或自动进行修复，提高网络系统的安全性能，达到在入侵发生之前及时弥补系统及网络安全脆弱性，消除入侵隐患的目的，保证网络安全的运行。这其中常见的方法包括:基于主动扫描的检测方法和基于被动监听的检测方法。基于主动扫描的技术模拟攻击脚本对系统进行攻击，并记录系统对攻击行为的反应，从而检测出当前系统存在哪些漏洞。常用的脆弱性检测系统包括基于网络的脆弱性扫描系统和基于主机的脆弱性扫描系统。基于网络的脆弱性扫描系统主要通过网络，从外部发现计算机网络系统存在安全漏洞及其他相关信息，以获得与攻击者可得到信息相类似的信息，其典型的脆弱性扫描系统主要有Nessus、xscan、satan等。基于主机的脆弱性扫描系统，在网络内部主机上对计算机网络系统的安全漏洞进行扫描探测，可以得到更加详尽的信息，其典型的计算机网络脆弱性扫描系统包括ISS、Retina、Nssl等。在主动扫描的检测方法中，模拟攻击脚本大多采用人工构建的方法实现。最新漏洞的发布与构建相对应的攻击脚本存在着时间上的延迟。因而导致这种检测方法对未知攻击无能为力。基于被动监听的检测方法，是通过监听网络上的数据报文，实现对目标系统的脆弱性检测。在监听测试中，测试程序扮演类似于审计员或系统管理员的角色，来检测它们所在的系统，通过查看系统的状态来发现隐藏的漏洞。被动测试方法并不需要主动发送探测数据包，而是被动地捕获对方所发送和接收的报文，通过检测相应的协议字段值，再查询数据库找出相匹配的类型。这类方法的可靠性相对较差。此外，在这类技术工具的研究中，也体现了明显的集成化特点。其中网络脆弱性工具(Network而InerbalityTool，NvT)是典型代表。NvT框架和互联应用若干己有的脆弱性分析评估技术结合，产生一个综合脆弱析工具，能够提供一个灵活的、有标准组件的、可扩展的脆弱性分析途径。NVT允许若千工具共享数据，然后集中它们的分析结果，最终提供给用户一个网络安全性状态的简明可视化图。(2)以系统漏洞为主要知识，面向未知攻击的网络环境下信息系统脆弱性模型分析研究。这类网络脆弱性建模工作很大程度上与黑客攻击技术密切相关，其研究思路主要是归纳网络环境下信息系统的安全属性，利用对各种攻击场景的模拟仿真，构造网络风险，从而支持系统的安全加固和维护。它们从主机的脆弱性出发，在网络环境下进行关联性挖掘，着重分析安全威胁的渗透路径及构造其关联关系。考虑到脆弱性建模的最终目的是能够提供一份可行的解决方案，为网络管理员在系统服务性能和系统可信性之间取得平衡。这其中又包括以下几个典型的研究途径122:基于攻击树的建模方法。这种方法以AND一OR形式的树型结构来描述网络攻击的因果联系，确定在当前网络环境下最可能出现的攻击方式及其所利用的系统漏洞。攻击树模型要求所有的脆弱性路径都是可知的，攻击结果被定义为可能或不可能。当原先表现不可能的结点变为了可能，则新的攻击被发现。这种方法能够模拟较为复杂的攻击场景，通过概率推算能够在很大程度上判断出当前系统的关键脆弱因素。但这种模型相对于反馈式的网络服务系统则明显不适应，也不易被用来进行大规模分析。基于攻击图(attackgraPh)的建模方法。攻击图是一种近年来使用较多的分析模型。它是描述攻击者从攻击起点到达其攻击目标的所有路径的有向图，为攻击过程场景提供了一种可视化的方法。攻击图从攻击的角度间接地展示了目标网络中各个脆弱性之间的关系、脆弱性与网络配置之间的关系以及由此产生的潜在威胁，为目标网络的安全分析提供了途径。攻击图模型最初被提出时并不具备自动生成的功能。到目前，通过诸如模型检测器方法己经能够实现攻击图的自动构造。基于渗透图(exPloitationgraph)的建模方法。该方法从以获得的系统脆弱性出发建立图模型，包含了为进行特定脆弱性渗透必需的前提条件和渗透结果。在图模型的基础上，收集系统配置信息，对当前系统脆弱性之间进行关联和映射，从而产生网络渗透图。该类方法对脆弱性关联关系分析提供了较强支持基于状态的建模方法。该类方法通过Petri网或状态机来刻画系统的状态转移，分析系统的入侵模式。它们将入侵行为看作一个行为序列，行为序列的变迁导致系统状态的变换。攻击者的攻击过程可以被看作从有限权限开始逐步提升自身权限的一个状态机。使用状态转移图提取攻击序列时，那些导致系统状态变化的关键行为被记录，从而分析系统的脆弱性。这些建模方法研究为网络环境下信息系统的脆弱性评估以及安全防范措施制定都提供了强有力的理论支撑。(3)以网络传播动力学特征分析为主要方法的网络结构脆弱性研究。这类研究以图论和复杂性理论为指导，通过揭示网络结构特性进行网络脆弱性挖掘，进而提出网络免疫策略。随着上世纪90年代末无标度(seaie一Free，sF)网络29和小世界(smallworld)网络30这两个重要标志的出现，网络结构的演化及其脆弱性挖掘工作取得了很多研究成果。同时许多实证性工作表明，Intemet具有一定无标度和小世界特性ls.3。在这一领域中研究者普遍认为，复杂网络(尤其是Intemet)是鲁棒且脆弱(Robust砚tFr眼ile，RYF)_的，2。网络结构中重要性高的结点或链路，一旦遭受攻击或出现故障，将给网络服务带来巨大的负面影响。网络脆弱性很大程度依赖于各个网络组件在危害传播中所起的作用，以及该组件失效给网络造成的负面影响程度。如果一种网络危害(病毒或蠕虫)在一部分结点上发起传播比在另一部分结点上发起传播获得的传播效益更大(比如可以在更短的时间内传播更多的结点)，则显然前者对于网络安全防控而言将更为重要和关键，是网络的脆弱性结点。本文的研究主要针对上述分类的第三个方面展开。我们认为，在网络脆弱性挖据领域，结合传播模型的网络复杂结构脆弱性分析研究开展得相对较少，而这一领域涉及许多网络安全中的基础数学问题，堕待人们研究。1.2.2网络脆弱性研究面临的主要问题社会对互联网的依赖与互联网本身的可靠需求越来越不相称。通常情况下互联网能正常工作，但又几乎每个用户都经历过网络服务降级甚至失效。目前互联网没有提供任何的可见性对端用户，或有限的可见性对网络管理和操作者使其理解、适应和维护网络可靠性问题。这些限制要求人们花费大量时间去处理他们家庭或单位中的网络问题。此外，缺乏可靠性的表现阻碍互联网成为一个真正可信赖的、可靠和可预期的关键基础设施。互联网脆弱性研究取得了一系列成果，为网络安全带来了美好的前景。但同时也应该注意到，这其中也面临一些深层次的理论问题鱼待我们思考:(1)网络是如何生长和演化的?复杂系统的生长演化过程本身是非常值得观察和分析的。目前已探明的互联网诸多特性如无尺度、小世界、富人俱乐部(形ch一club)和异配性(Assortativity)等，是如何形成的?其内在规律是什么?认识这些规律才可能了解网络脆弱性形成的根本原因。同时，互联网的生长演化也涉及到政治、商业以及技术经济等各方面的制约，如何统一这些因素，采用非线性优先概率控制网络的交互生长(inieractivegrowth)过程，体现社会普遍的偏好依附性(Preferentialattachrneni)，是一个难题。此外，“开放”的互联网意味着任何人可通过公共IP网络协议加入到网络中。原则上，用户可以运行Intemet上的任何应用程序而不受到网络协议的任何限制。这种开放性使得网络有机增长，同时也使得安全威胁日益突出。信任和个体责任的问题正在被关注。如何最好地定位网络的安全威胁不仅仅是一个技术难题也存在着高度争议。一个能够在其设计中适当反映个人及社会关注的互联网会更可信。(2)涉及网络传播的关键理论。计算机病毒如何在万维网上传播而导致流行?病毒如何通过电子邮件传播?人们应该如何控制病毒传播?面对黑客的攻击应该采取何种有效对策?怎样设计具有强抵抗意外故障和攻击的网络?为了有效地防止黑客侵入互联网、阻止病毒在万维网上传播蔓延，需要继续深入研究这类与应用密切相关的课题。研究网络脆弱