一、什么是网络拓扑?
计算机连接的方式叫做“网络拓扑结构”(Topology)。网络拓扑是指用传输媒体互连各种设备的物理布局,特别是计算机分布的位置以及电缆如何通过它们。
二、网络脆弱性分析必要性
网络规模不断增大、网络速度飞速提高,网络节点关系日益复杂。都给网络安全的分析带来巨大的困难。一般来讲,网络存在安全漏洞的内在原因主要在于计算机网络系统本身存在的脆弱性。通常来说,网络的脆弱性是指网络中的任何能够被用来作为攻击前提的特性。网络通常是由主机、子网、协议集合及应用软件等组成的综合系统。因此,网络的脆弱性必然是来自于这些组件安全缺陷和不正确配置所造成的。
网络的脆弱性分析是目前解决信息网络安全问题的非常有效的手段之一。根据系统论,在一些情况下,某一个网络节点也许是安全的,亦或某个单一行为也不构成威胁。但是一旦进人错综复杂的网络连接的情况中,网络的脆弱性情况就完全不同。网络的脆弱性也不单单是网络节点缺陷的反映,也是整个网络系统整体脆弱程度的度量。通过网络的脆弱性的分析可以评佶整个网络整体安全性,是部署安全策略的基础。
三、脆弱性与脆弱性分析
脆弱性,通常是针对于一个系统而言,因此有时候也叫做系统的安全性漏洞。具体到计算机网络系统,就是指整个系统在硬件、软件以及协议的设计和实现中存在的先天性缺陷,或者后期使用不当造成的不足。此外,因为整个系统在安全策略上的设置不合理造成的漏洞也是归属到脆弱性的范畴。
脆弱性分析,是指对系统的安全策略及其安全分量进行检查分析的过程,它是监视系统运行安全与否的一种静态的分析方法。对于计算机网络系统而言,在进行系统脆弱性分析时,所依照的信息资源是根据时问间隔来抽样的,以此来分析网络的安全状态。简言之,就是说脆弱性分析是基于时间间隔抽样的,这一点和一般的网络入侵检测所进行的那种连续取样分析有所区别。
四、脆弱性基本分析方法
(1)基于图的分析方法。基于图的网络系统脆弱性分析方法是对目标网络的结构作风险分析,分析思路是评估网络系统被攻击后所造成的结果。在执行这种方法时,需要把常见的攻击方法、攻击步骤、网络参数以及网络拓扑信息和攻击图事先输入到一个数据库里面,网络节点可以依照这个数据库来对攻击实施识别分析。
(2)基于可生存性的分析方法。这种网络系统脆弱性分析方法的基本思想是采用一种规范化的系统架构来操作的。该架构是在一个规范的网络系统中设置故障和入侵事件,并利用图形化的方法进行表示事件的影响程度。在这种方法中,可以运用诸如贝叶斯定理、概率计算等相关数学方法。
(3)基于攻击树的分析方法。这种方法是将外部攻击映射成树,并将网络系统的脆弱性进行量化,思想是确定在当前情况下何种攻击最有可能发生,也是最可行的。攻击树是以所有的网络系统脆弱性路径都假设为可知的为前提,表示为可能与不可能两种情况。在两种状态的变化上,是因为新的攻击被发现,原来状态表示的不可能的攻击变为可能,从而情况发生改变。
