基于網絡漏洞分析的安全設備部署設計研究

◆高 健

（中國人民解放軍信息工程大學 河南 450000）

基于網絡漏洞分析的安全設備部署設計研究

◆高 健

（中國人民解放軍信息工程大學 河南 450000）

本系統的使用方法是：通過系統繪制被分析單位的網絡結構拓撲圖，并輸入網絡配置信息，隨后系統將結合網絡漏洞特性，通過邏輯推理發掘漏洞之間的相互聯系，生成網絡中所有潛在的攻擊路徑，并生成可視化的攻擊圖，找出網絡的關鍵節點和關鍵路徑；根據單位實際需求選擇網絡安全設備數據庫，系統提取關鍵節點或關鍵路徑中傳輸速率、網絡標準、端口描述、交換方式等參數，通過這些參數與安全設備數據庫中的設備進行匹配，選擇合理的擬部署設備，隨后將這些設備擬部署在關鍵節點上或關鍵路徑中，并主動整合出部署后的網絡拓撲圖；最后將所有信息和最終匹配結果生成一套基于漏洞分析的安全設備部署方案。

攻擊圖；關鍵節點；匹配；安全設備；部署方案

0 引言

公司單位、政府機關、高校院所等機構中均構建了大量的網絡系統，用于內部保密通信、外部互聯互通。但由于在使用運行、安裝服務等過程中，存在產生缺陷的風險，網絡漏洞以多種規則存在于信息系統之中。通過利用這些漏洞，可以實現對其網絡系統的攻擊侵入，提升網絡系統的安全風險。而市場上擁有種類繁多的網絡安全設備。但是在部署時缺少對網絡系統所面臨風險的全面分析，缺乏一個系統的、合理的依據。針對某個網絡系統的安全性，進行風險分析時,要考慮所在單位的網絡環境、需求特點等因素，用多種因素進行綜合分析與研究，并進行嚴謹的計算和推理。而攻擊圖可以在分析網絡拓撲結構、配置信息、安全需求等信息的基礎上，結合網絡漏洞特性，通過邏輯推理發掘漏洞之間的相互聯系，描述網絡中潛在攻擊路徑，為進一步網絡安全風險分析打下良好基礎。

1 相關工作

1.1 網絡漏洞

漏洞如果被惡意主體所利用，就會對信息系統的安全造成損害，從而影響構建于信息系統之上的正常服務運行，損壞信息系統及信息的安全性。

1.2 攻擊圖

攻擊者通過不斷的對不同主機進行攻擊，能夠發現很多新的漏洞，并找到主機中另外存在的漏洞，這樣能夠通過不同的方式來發掘漏洞，最后達到攻擊整個網絡的目標。

攻擊者在進行網絡攻擊時，首先需要知道如何發掘漏洞，然后在攻擊前還要了解攻擊的前提條件，必須滿足這幾個條件，才能對網絡進行攻擊，其中包括：源主機和目標主機之間存在連接、目標主機上至少存在一個帶有漏洞的服務、攻擊者在源主機上擁有一定的用戶權限。

網絡檢測整個網絡中的漏洞，才能發現網絡中存在的潛在威脅，然后通過對這些發現的漏洞進行分析，采取一定的措施來糾正這些漏洞和其中的結構性錯誤。

而攻擊圖技術就是把目標網絡中所有主機之間的漏洞綜合檢測分析，尋找網絡攻擊中的攻擊路徑，然后通過生成攻擊圖來表現綜合檢測分析的結果。在攻擊圖中，各個攻擊節點都表示設備的某個狀態。列舉所有可能的攻擊路徑，清楚地表示出網絡中所有漏洞存在的關系、網絡配置和漏洞間的關系，以及因此出現的安全威脅。

1.3 建立數據庫與網絡安全設備部署

1.3.1 安全設備數據庫

安全設備數據庫分類整理收集了大量的安全設備，包含市面上多種安全設備，基于客戶端的有：生物識別技術、口令卡等；基于服務器端的有防火墻、隔離卡、網閘、vpn、ids/ips、防病毒網關、抗DDoS設備、web防火墻、SSL設備、SVS設備、負載均衡設備等等。分類建立包含多種屬性參數、不同種類安全設備的設備數據庫。

安全設備數據庫可以進行及時的增添、刪除、更改、搜索等操作。并包含設備的傳輸速率、工作電壓、用層級、包轉發率、網絡標準、端口描述、背板帶寬、產品類型、設備類型、交換方式等參數。

1.3.2 智能匹配算法

根據網絡結構信息、配置信息、實際需求，得出與關鍵節點相對應的安全參數指標，之后在安全設備數據庫中進行搜索匹配，選出滿足網絡結構的安全設備，再結合安全需求，網絡建設成本等人為因素進行選擇，得到最合適的安全設備，最后輸出所選擇的安全設備列表。

1.4 安全保障方案的生成

通過 Word與 C#編程實現表格圖片文字的自動指定位置添加。綜合以上的分析結果并以文檔的形式給出一個安全設備部署方案。在相對標準化的網絡安全保障方案的基礎上進行修改完善，結合機構事業企業單位的現狀進行分析，部署安全設備。文檔中包括：網絡信息系統的現狀、安全風險與需求分析、設計原則、思路及安全設備的選擇和部署、方案的組織與實施辦法、結論。保障方案方案為整個系統最終的目標。

2 系統實現

基本思路：

利用形式化語言描述待分析網絡的網絡結構、網絡配置、安全需求等相關信息，在抽象漏洞特性和單調性假設的基礎上由分析引擎經邏輯推理得出攻擊路徑，構建可視化邏輯攻擊圖，分析攻擊圖并結合網絡配置找出網絡關鍵節點，然后根據關鍵節點、關鍵節點設備屬性（傳輸速率、吞吐量、價格等），采用匹配算法在安全設備數據庫中匹配查找擬部署的安全性設備，將匹配的設備及其參數與網路結構合并生成安全設備擬部署后的網絡結構拓撲圖，最后總結設備參數、網絡結構拓撲圖、安全需求等內容生成安全設備部署方案。其設計思路如下圖所示：

圖1 設計基本思路

3 方案構造

通過對網絡系統漏洞、網絡攻擊的深入研究，在收集完備安全設備屬性數據庫基礎上，設計了數據分析引擎，系統全面地分析了網絡系統中潛在的攻擊路徑并生成可視化攻擊圖的工具，并在此基礎上根據編寫的智能匹配算法通過與建立的數據庫進行智能匹配，分析選出適合的安全設備建立完整的網絡拓撲圖，最后結合網絡拓撲圖、安全需求、設備參數等信息生成網絡安全設備部署方案。

采用形式化描述語言，描述了網絡結構、網絡配置、安全需求、漏洞特性信息，利用數據分析引擎分析得出了網絡中的關鍵路徑、關鍵節點、生成了邏輯攻擊圖。

創建了安全設備數據庫。安全設備數據庫分類整理收集了大量的安全設備，分類建立包含屬性參數的不同種類安全設備的設備表。

設計實現了安全設備的智能匹配。本作品使用建立的安全設備數據庫，采用智能匹配算法，在數據庫中匹配高性價比，滿足安全需求的設備。

設計實現了安全性增強方案的自動生成。根據網絡結構和安全需求，通過數據分析與智能匹配自動生成安全性增強方案。

4 總結分析

形式化描述模塊將現實中的網絡以形式化的語言表述描述漏洞規格，網絡配置，推理規則和特權模型，并生成網絡結構拓撲圖。

網絡結構分析模塊對網絡拓撲圖進行分析，模擬攻擊者的攻擊方式，將網絡中的漏洞和數據庫中的已知的漏洞數據進行比較，從而獲得其他主體的更高權限，不斷迭代此過程，最終達到攻擊目的，將最終所有的結果生成攻擊路徑圖。

安全設備匹配模塊根據得到的關鍵節點，結合網絡結構，網絡配置，設備屬性采用智能匹配算法在安全設備數據庫中匹配選擇合適的設備。輸出所選擇的安全設備的目錄和設備的參數。其中嵌套的數據庫管理模塊有效地管理安全設備，存檔了海量信息，提高了記錄和檢索信息的效率。

安全性增強方案生成模塊將綜合以上的分析結果并以文檔的形式給出一個安全設備部署方案。將本系統原有的標準化方案中修改整合信息，并添加系統優化后的網絡結構拓撲圖，在關鍵節點，路徑出對其進行語言表述及解釋，以具體數據的形式給出前后比較的結果。最后給使用者展現一套較為完整規范的安全設備部署方案。

[1]司群.信息安全漏洞分類研究[J].鐵路計算機應用，2015.

[2]李剛.漏洞：虛擬世界的“缺陷美”[J].中國信息安全，2010.