【摘 要】科學技術日新月異，計算機已經深入到了各行各業(yè)，為人們多元化的學習、生活、工作帶來了更多的樂趣，同時也促進了我國國民經濟的增長。隨著計算機技術、計算機網絡技術的飛速發(fā)展，計算機系統(tǒng)和網絡完全漏洞在網絡環(huán)境下的安全性越來越嚴重，時常受到計算機病毒和網絡黑客的攻擊，造成了計算機用戶的極大困擾，安全隱患令人十分擔憂。目前我國所采用的計算機主流操作系統(tǒng)平臺實現(xiàn)功能十分復雜，源代碼并未完全開放，難以進行一定的安全檢測，另外計算機網絡通信協(xié)議基本上采用的是國外開發(fā)的協(xié)議，大大降低了我國計算機網絡的安全性和可靠性。那么如何有效地解決嚴重的計算機網絡安全問題，對網絡安全漏洞進行必要的檢測十分重要。因此相關部門必須根據(jù)我國計算機網絡安全的特點，采取合適的漏洞檢測技術，并通過攻擊圖的構建，進一步增強計算機的安全性，避免不法分子利用這些漏洞對計算機進行非法入侵，確保用戶數(shù)據(jù)的安全性。

【關鍵詞】計算機；網絡安全；漏洞檢測；攻擊圖構建

0.引言

計算機信息技術作為衡量一個國家先進科學技術的標準，已經逐漸滲透到人們生活的每個角落，使我國提前進入信息化時代。計算機是人類精神文明的產物，但是，在復雜的網絡環(huán)境下，計算機操作系統(tǒng)難免會遭受攻擊，這就給計算機網絡安全構成了嚴重威脅，主要體現(xiàn)在信息安全、物理安全兩個方面，其中，信息安全就是網絡安全。在計算機系統(tǒng)實際運行過程中，由于一些不利因素的干擾，使得計算機系統(tǒng)使用過程中黑客及病毒的入侵，尤其是網絡黑客攻擊，其是影響計算機網絡安全的最主要因素。加上計算機網絡通信協(xié)議可靠性低的問題，使得我國安全漏洞隱患問題十分突出。為避免漏洞帶來的計算機網絡安全問題，就必須引入先進的漏洞檢測技術和手段，積極學習計算機安全防范技術，構建完善的計算機網絡攻擊圖，從而確保計算機網絡的安全性。

1.計算機網絡安全漏洞的特點及主要表現(xiàn)

1.1計算機漏洞的特點

1.1.1易被攻擊性

之所以計算機系統(tǒng)容易被攻擊，主要是黑客對計算機系統(tǒng)都有一定的了解，即使是安全級別高的計算機系統(tǒng)，由于黑客對系統(tǒng)存在的漏洞有足夠的了解，這給黑客攻擊提供了良好的條件，導致黑客通過攻擊，獲取重要的數(shù)據(jù)信息。從某種意義上講，廣泛的攻擊性必然導致計算機系統(tǒng)漏洞被發(fā)現(xiàn)。

1.1.2長久性

隨著計算機系統(tǒng)在各個領域中的廣泛應用，在復雜的網絡環(huán)境下，系統(tǒng)中的漏洞必然會不斷暴露出來。然而，對于系統(tǒng)漏洞的修復，往往是通過系統(tǒng)供應商提供的補丁軟件對漏洞進行修補，或者發(fā)布新系統(tǒng)對存在的漏洞得以糾正。但是，新系統(tǒng)應用的同時，也會引發(fā)出一些新的漏洞，隨著新系統(tǒng)漏洞的不斷出現(xiàn)，造成計算機系統(tǒng)的問題長期存在。

1.1.3威脅性

由于計算機系統(tǒng)本身存在的不足，加上攻擊者對計算機系統(tǒng)的足夠了解，計算機系統(tǒng)漏洞的存在，導致攻擊者有機可乘。然而，計算機系統(tǒng)漏洞產生的原因，主要是計算機在使用過程中產生的，并不是系統(tǒng)存在的錯誤都是漏洞，往往只有對系統(tǒng)安全產生威脅的錯誤才稱得上漏洞。一般情況下，系統(tǒng)漏洞的存在，并不會對系統(tǒng)安全產生影響，只有在特定條件下，被攻擊者使用，系統(tǒng)漏洞才會對系統(tǒng)造成危害。

1.2計算機漏洞的主要表現(xiàn)

1.2.1操作系統(tǒng)漏洞

計算機操作系統(tǒng)在使用過程中發(fā)揮著舉足輕重的作用，電腦上所有的軟件和應用程序都是基于計算機操作系統(tǒng)進行的，計算機操作系統(tǒng)的安全性直接關系著整個計算機信息的安全。然而，計算機操作系統(tǒng)漏洞的出現(xiàn)，如輸入/輸出的非法訪問及系統(tǒng)本身存在的缺陷，無不對計算機網絡安全構成威脅。

1.2.2應用軟件漏洞

應用軟件是計算機用戶進行相關操作的載體，但由于應用軟件在代碼編寫和邏輯設計上存在的的錯誤與不足，往往成為了黑客的攻擊點，不法分子通過漏洞向計算機中植入病毒、木馬等來控制整個計算機系統(tǒng)，從而達到盜取信息的目的，這給系統(tǒng)造成了嚴重的破壞。

1.2.3遠程登錄漏洞

隨著遠程登錄的實現(xiàn)，計算機遠程登錄給人們帶來便利的同時，也存在著較大的網絡安全風險。主要因為計算機進行相關遠程命令時，需要進行一些計算機傳輸口令的輸入，如TCP/IP協(xié)議等，但這些傳輸信息未進行加密，這就給攻擊者提供了良好的機會，通過黑客攻擊目標主機的IP數(shù)據(jù)包及獲取相關口令，這就降低了數(shù)據(jù)的安全性。

1.2.4電子郵件

電子郵件在日常生活、學習及工作領域中發(fā)揮著重要作用，但是，用戶在接受或發(fā)送郵件過程中，因惡意程序的攻擊，加上計算機用戶安全意識的缺乏，導致一些病毒直接入侵計算機系統(tǒng)，給計算機網絡安全構成了嚴重威脅。

1.2.5 Finger漏洞

在TCP/IP傳輸協(xié)議中，F(xiàn)inger在為主機提供信息的時往往只需要一個IP地址即可實現(xiàn)，比如登錄用戶、登錄時間以及地點等。這就給黑客以可乘之機，能比較輕松地入侵到計算機，破壞計算機系統(tǒng)。

2.計算機網絡安全漏洞檢測技術手段分析

在計算機網絡運行過程中，漏洞檢測主要是針對系統(tǒng)各種安全漏洞進行分類，并深入分析各種安全漏洞的前因后果，從而根據(jù)漏洞的特點和發(fā)展趨勢，選擇科學合理的漏洞檢測技術手段，針對具體的安全漏洞制定出相應的安全對策。

2.1配置文件的安全漏洞檢測方法

在計算機系統(tǒng)運行過程中，往往配置文件復雜度較高，偶爾會采取缺省值，這將會導致計算機系統(tǒng)存在一些安全漏洞，直接威脅著整個計算機的安全。計算機系統(tǒng)運行環(huán)境的不安全，多數(shù)是由于配置文件引起的，因此對配置文件進行必要的檢測顯得尤為重要。因此在實際檢測中，通過配置文件能輕松地獲取到系統(tǒng)配置的信息，并根據(jù)配置信息預測和判斷可能出現(xiàn)的系統(tǒng)安全漏洞問題，使計算機用戶在系統(tǒng)配置文件出現(xiàn)錯誤之前，及時找出安全漏洞，并及時糾正降低系統(tǒng)安全性的錯誤配置，從而降低配置文件錯誤的幾率，確保整個計算機系統(tǒng)正常運行。

2.2錯誤修正的安全漏洞檢測方法

通常情況下，網絡黑客或者一些外界攻擊者會利用計算機操作系統(tǒng)發(fā)生錯誤時，擅闖計算機系統(tǒng)權限，趁虛而入，直接影響著計算機信息安全，可能給計算機用戶帶來較大的經濟損失。針對這種網絡安全漏洞，計算機用戶往往是通過安裝修正錯誤補丁程序或者殺毒軟件等實現(xiàn)防止攻擊的目的。但多數(shù)用戶不會第一時間安裝補丁程序，只有出現(xiàn)外界攻擊現(xiàn)象之后安裝，這種事后彌補的方式最容易造成計算機信息安全問題。那么采用錯誤修正檢測技術和方法，通過計算機檢驗程序來自動完成，不僅檢測速度十分快，并且檢測精度很高，能快速地解決系統(tǒng)中因發(fā)生錯誤而存在的安全漏洞問題。錯誤修正檢測技術一般包括兩種類型，一是主動型檢測，能自動找出系統(tǒng)中存在的問題，并對系統(tǒng)漏洞做出一定的解決措施；二是被動型檢測，主要針對安裝糾錯補丁程序時，作為判斷補丁程序是否安裝到位的重要依據(jù)?？梢婂e誤修正檢測方法對計算機安全漏洞檢測和處理的效果十分顯著。

2.3文件內容和保護機制的安全漏洞檢測方法

在整個計算機系統(tǒng)中，命令文件和系統(tǒng)工具是系統(tǒng)運行的關鍵和基礎，也是病毒、木馬以及黑客最容易入侵的部位。一旦木馬程序攻入命令文件，將會篡改文件內容，直接影響整個系統(tǒng)的安全和穩(wěn)定。為避免木馬病毒等對系統(tǒng)中命令程序進行篡改，需要對文件保護機制中最薄弱的地方進行必要的檢測，并及時分析和處理保護機制存在的漏洞，確保擁有一定權限的用戶才能更改命令文件的內容，提高命令文件及其內容的完整性和安全性。對命令文件及其內容進行訪問控制方面的檢測，實質就是進行文件內容和保護機制安全漏洞檢測的首要步驟。

2.4差別檢測安全漏洞的方法

差別檢測方法是一種被動式審計檢測技術手段，主要是從某個基準時間開始，在文件沒有被修改的前提下，往往實際中忽略了文件的日期、時間等，原因是它們可能被造假或者毀壞，同時依賴于冗余校驗或者基于加密技術的特殊算法。差別檢測方法并不能阻止程序的改變或者糾正被修改的部分，但其可以用于程序是否被修改過情況的判斷和確定，且效果十分顯著，也能用來檢測系統(tǒng)有沒有被植入特洛木馬。與配置文件或者文件內容檢測手段相比，差別檢測更需要經常性的檢查，檢修的準確度與基準的有效性密切相關。為增加檢查的準確度，可以在脫離網絡的硬盤上存放差別檢測的相關文件，也可以對其進行加密處理，代表性的文件有檢驗方法和結果等。

3.計算機網絡攻擊圖構建分析

3.1計算機網絡攻擊邏輯圖分析

在計算機系統(tǒng)運行過程中，由于安全漏洞的存在，導致計算機運行出現(xiàn)了一些問題，直接影響著計算機用戶相關信息數(shù)據(jù)的安全。構建計算機安全攻擊圖是根據(jù)對攻擊圖的分析和研究，判斷目標網絡所面臨的主要安全問題，并對計算機網絡中存在的安全漏洞進行判斷和計算，從而根據(jù)計算結果采取一定的安全彌補措施，有效地提高計算機系統(tǒng)運行的安全性和可靠性。

目前我國計算機網絡受到的攻擊行為種類使很多，那么攻擊圖種類也形式多樣，往往不同類型攻擊圖所具有的攻擊行為分析和處理能力也不盡相同。比如在對計算機網絡攻擊行為分析過程中，將攻擊行為用具體的邏輯攻擊圖進行表示，邏輯攻擊圖通常由推導規(guī)則、推導事實、原始事實等三個類型的節(jié)點組成。在推導規(guī)則的前提下，由原始事實產生推導事實，將產生的推導事實經過推導規(guī)則外，產生新的推導規(guī)則，從而發(fā)生一系列的連鎖反映和改變?？梢詫⒐粜袨橛眠壿嫻魣D表示，如圖1所示，其中原始事實的節(jié)點用實心圓代表，推導規(guī)則節(jié)點用方框表示，而推導事實的節(jié)點由空心圓表示等。在該計算機網絡攻擊的邏輯攻擊圖中，推導規(guī)則作為原子攻擊的主要工具，在整個攻擊圖中起著舉足輕重的地位和作用。邏輯攻擊圖非常清楚和具體的表示出了各個原子攻擊之間的依賴關系，但仍然缺乏一定的直觀性，不利于相關部門對攻擊行為進行具體而形象的描述，容易引發(fā)更多的計算機安全漏洞，導致計算機系統(tǒng)處于十分危險的狀態(tài)。

3.2計算機安全攻擊圖的發(fā)展

近年來，我國科學技術日新月異，傳統(tǒng)單一的攻擊圖已經難以滿足當今社會經濟和該行業(yè)的發(fā)展需求，必須不斷引入先進的科學技術和設備，深入分析計算機網絡安全漏洞的特點和發(fā)展趨勢，為構建完善的計算機安全攻擊圖奠定堅實的基礎。因此相關部門相繼開發(fā)了狀態(tài)攻擊圖、屬性攻擊圖、屬性依賴攻擊圖、滲透依賴攻擊圖以及聚合攻擊圖等多個不同的攻擊圖，其中聚居攻擊圖是代表性較強的攻擊圖，該攻擊圖構建方法的核心理念是多個聚合規(guī)則，對攻擊圖用不同的粒度進行抽象和聚合和展示，從而實現(xiàn)更加直觀、清楚、明了地描述攻擊行為，有效地避免因安全漏洞帶來的攻擊行為，降低系統(tǒng)故障發(fā)生率。

通過攻擊圖的構建，不僅可以對網絡安全定量評估提供依據(jù)，還能進一步優(yōu)化計算機網絡安全問題的解決方案和措施，有利于改善網絡系統(tǒng)的抗攻擊能力，從而提高我國計算機系統(tǒng)整體抗攻擊能力。同時構建攻擊圖還能及時預警網絡入侵行為，避免系統(tǒng)及其文件內容遭受到嚴重的篡改，確保計算機信息的安全性和完整性，為用戶營造一個安全、健康、穩(wěn)定的計算機網絡環(huán)境。

4.結束語

隨著計算機技術的發(fā)展，為各行各業(yè)帶來了諸多便利，但由于計算機存在的安全漏洞，造成了計算機用戶的極大困擾，直接威脅著計算機信息安全。為避免安全漏洞的產生，相關部門和企業(yè)應清楚地認識到計算機安全漏洞的特點和表現(xiàn)形式，積極采取科學合理的漏洞檢測技術和措施，盡可能降低安全漏洞帶來的危害。同時，構建計算機網絡攻擊圖對分析網絡安全漏洞的意義十分大，能更加直觀、清晰地描述和理解復雜的攻擊行為，提高計算機系統(tǒng)整體的抗攻擊能力，有意識地培養(yǎng)計算機用戶網絡安全保護的良好習慣，從而使其擁有一個安全、健康的計算機網絡環(huán)境。

【參考文獻】

[1]吳金宇.網絡安全風險評估關鍵技術研究[D].北京郵電大學，2013.

[2]葉云.基于攻擊圖的網絡安全風險計算研究[D].國防科學技術大學，2012.

[3]閆峰.基于攻擊圖的網絡安全風險評估技術研究[D].吉林大學，2014.

[4]胡兵.基于本體和屬性攻擊圖的滲透測試模型研究與系統(tǒng)實現(xiàn)[D].重慶大學，2013.

[5]徐立.基于攻擊圖模型的網絡安全分析方法研究[D].上海交通大學，2011.

[6]葉云，徐錫山，齊治昌，吳雪陽.大規(guī)模網絡中攻擊圖自動構建算法研究[J].計算機研究與發(fā)展，2013，10：2133-2139.

[7]李建軍.基于邏輯的網絡安全漏洞分析研究[D].解放軍信息工程大學，2012.

[8]王希忠，郭軼，黃俊強，宋超臣.計算機網絡安全漏洞及防范措施解析[J].計算機安全，2014，08：48-50.

[9]李永華，竇春軼.談計算機安全漏洞動態(tài)檢測的原理方法與實踐[J].數(shù)字技術與應用，2010，07：153-154.

[10]謝麗霞，仇曉銳，李學菲.基于攻擊圖模型的網絡安全風險評估研究[J].微電子學與計算機，2014，07：77-83.