韓雪峰+宋名威

摘 要 隨著科技的發(fā)展，網(wǎng)絡(luò)對人們的影響是巨大的，它改變了我們的生活方式，無論是工作、還是購物甚至娛樂。大量的個人信息充斥著網(wǎng)絡(luò)，個人信息泄露事件屢見不鮮，網(wǎng)絡(luò)安全問題也越來越受到人們的關(guān)注，網(wǎng)絡(luò)安全性分析勢在必行，目前的網(wǎng)絡(luò)分析方法中存在攻擊圖規(guī)模龐大、生產(chǎn)算術(shù)法效率低等問題，針對這些問題主機(jī)攻擊圖的生產(chǎn)模型和算法被提出，在此方法的基礎(chǔ)上，主機(jī)安全組的概念及其劃分方法應(yīng)運(yùn)而生，此方法的原理是通過對網(wǎng)絡(luò)中的主機(jī)劃分安全組，從而對網(wǎng)絡(luò)安全性進(jìn)行分析，此方法使網(wǎng)絡(luò)安全情況更為清晰、明確，便于網(wǎng)絡(luò)管理員對整個網(wǎng)絡(luò)安全狀況的掌握，對提升網(wǎng)絡(luò)安全性大有裨益。

關(guān)鍵詞 主機(jī)攻擊圖；主機(jī)安全組；網(wǎng)絡(luò)安全；安全性分析

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-7597（2014）04-0042-01

網(wǎng)絡(luò)便捷了人們的生活，但隨之而來的一些問題也讓人們倍感壓力，如個人信息泄露、黑客入侵造成信息丟失或損毀等經(jīng)常見諸報端，給人們的生活帶來了極大的威脅，必須進(jìn)行網(wǎng)絡(luò)安全性分析，對存在的風(fēng)險采取有效措施，降低網(wǎng)絡(luò)危險。一般來說，網(wǎng)絡(luò)本身能檢測出一些脆弱性信息，根據(jù)這些信息網(wǎng)絡(luò)攻擊圖可以對攻擊行為及攻擊行為之間的相互關(guān)系進(jìn)行圖形化描述，從一定程度上也便捷了網(wǎng)絡(luò)安全性分析，目前，人們不斷對網(wǎng)絡(luò)攻擊圖進(jìn)行深入研究，同時基于網(wǎng)絡(luò)攻擊圖也對網(wǎng)絡(luò)安全性進(jìn)行分析和探究，以上兩方面的研究隨著人們對網(wǎng)絡(luò)安全性的重視度也逐漸升溫。

1 主機(jī)攻擊圖生成算法及主機(jī)安全組概述

主機(jī)安全組理論是在主機(jī)攻擊圖生成算法的基礎(chǔ)上提出的，主機(jī)攻擊圖是以網(wǎng)絡(luò)中的主機(jī)作為節(jié)點(diǎn)的攻擊圖，首先進(jìn)行網(wǎng)絡(luò)信息采集，同時生成主機(jī)在網(wǎng)絡(luò)中的描述，加上已抽象的攻擊規(guī)則庫和網(wǎng)絡(luò)管理員指定的攻擊者的屬性，將以上所有相結(jié)合，根據(jù)生成算數(shù)法，攻擊圖片生成器會形成主機(jī)攻擊圖，這便是主機(jī)攻擊圖生成算法。

運(yùn)用攻擊圖生成算法，假設(shè)在一個大型的網(wǎng)絡(luò)中有很多主機(jī)（分別標(biāo)注為A-L），如果指定A主機(jī)作為發(fā)起攻擊的主機(jī)，A主機(jī)生成的主機(jī)攻擊圖只可能包含網(wǎng)絡(luò)中的某一部分主機(jī)，我們再指定B主機(jī)為發(fā)起攻擊的主機(jī)，也會產(chǎn)生另一個攻擊圖，同樣攻擊圖中包含另外一組主機(jī)，C-L主機(jī)一直這樣下去，直到這個網(wǎng)絡(luò)中的所有主機(jī)都成為發(fā)起攻擊的主機(jī)，都生成了攻擊圖，所有攻擊圖包含了網(wǎng)絡(luò)中所有的主機(jī)。然后將A-L所有主機(jī)分成不同的小組，假設(shè)為M組、N組和O組，如果一個小組內(nèi)的一臺主機(jī)被攻擊，組內(nèi)其他主機(jī)也會存在被攻擊的威脅。

根據(jù)上面的分析，進(jìn)行抽象和限定，整個網(wǎng)絡(luò)中存在某臺不能被其他主機(jī)攻擊到的主機(jī)，這臺主機(jī)能攻擊到的所有主機(jī)的集合便構(gòu)建成了主機(jī)安全組。

如果整個網(wǎng)絡(luò)中不存在某臺不被其他主機(jī)攻擊到的主機(jī)，那么整個網(wǎng)絡(luò)的所有主機(jī)就形成一個整體，即一個主機(jī)安全組。假設(shè)網(wǎng)絡(luò)中一臺主機(jī)被N組的Nb和O組的Oc攻擊，那么說明這臺主機(jī)不是屬于N組主機(jī)安全組就是屬于O組主機(jī)安全組。

2 主機(jī)安全組的劃分算法

實(shí)際上，連續(xù)的主機(jī)攻擊圖生成過程就是對主機(jī)安全組的劃分過程。一旦生成了攻擊圖后，攻擊圖內(nèi)的主機(jī)所組成的集合便形成一個主機(jī)安全組，再將整個網(wǎng)絡(luò)的主機(jī)劃分成不同的主機(jī)安全組，綜上所述，可以通過以下四個步驟描述主機(jī)安全組劃分算法。

1）先新建一個主機(jī)列表，列表中要包括整個網(wǎng)絡(luò)中的所有主機(jī)。還要建一個脆弱主機(jī)列表，最開始的時候脆弱主機(jī)列表是空白的。

2）從新建的主機(jī)列表中挑出一臺主機(jī)Oc，以主機(jī)Oc為頭節(jié)點(diǎn)創(chuàng)建一個鏈表。

3）用主機(jī)Oc主動攻擊其他主機(jī)，運(yùn)用主機(jī)攻擊圖生成算法，生成攻擊圖，假如主機(jī)列表中存在主機(jī)Oc，每生成一個節(jié)點(diǎn)，就在主機(jī)列表中將主機(jī)Oc刪除，如果在主機(jī)列表中不存在主機(jī)Oc，查看所有已創(chuàng)建的鏈表，如果某鏈表的頭節(jié)點(diǎn)為主機(jī)Oc，那么將主機(jī)Oc加入到本鏈表，將原來的鏈表刪掉；反之，將其加入脆弱主機(jī)列表。

4）在攻擊圖算法結(jié)束后，如果主機(jī)列表不是空白的，那么繼續(xù)執(zhí)行第二個步驟，最終主機(jī)列表要為空，算法才結(jié)束。

3 基于主機(jī)安全組劃分的網(wǎng)絡(luò)安全性分析

由上面的描述我們可以看出，當(dāng)主機(jī)安全組劃分算法結(jié)束后，產(chǎn)生了多個鏈表，每個鏈表都對應(yīng)了一個網(wǎng)絡(luò)主機(jī)安全分組。就一個主機(jī)安全組而言，如果組內(nèi)一個主機(jī)被攻擊，那么這個組內(nèi)其他的主機(jī)也有可能受到攻擊，而其他主機(jī)安全組的主機(jī)不會受到任何攻擊?？v觀整個網(wǎng)絡(luò)，可以通過主機(jī)安全組數(shù)、平均安全耦合度和最大安全耦合度、關(guān)鍵主機(jī)三個方面體現(xiàn)出具有多臺主機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全性，詳細(xì)闡述如下。

1）如果一個網(wǎng)絡(luò)有6臺主機(jī)，假設(shè)將其劃分為2組，每組主機(jī)為3臺；如果將其劃分為3組，每組的主機(jī)為2臺；將劃分為2組的和劃分為3組的進(jìn)行比較，劃分為3組的網(wǎng)絡(luò)安全性更高?？梢姡鳈C(jī)安全組數(shù)劃分的越少，每個組內(nèi)主機(jī)之間攻擊的關(guān)聯(lián)性就越強(qiáng)，主機(jī)安全組數(shù)劃分的越多，則與之相反。所以我們應(yīng)該將主機(jī)安全組劃分的盡量多一些，更有利于網(wǎng)絡(luò)安全。

2）平均安全耦合度等于每個主機(jī)安全組內(nèi)的平均主機(jī)數(shù)和整個網(wǎng)絡(luò)所有的主機(jī)數(shù)的比值，最大安全耦合度則是最大的主機(jī)安全組內(nèi)的平均主機(jī)數(shù)和整個網(wǎng)絡(luò)所有的主機(jī)數(shù)的比值。采取不同的方法降低平均安全耦合度和最大安全耦合度，可以大大的提高網(wǎng)絡(luò)安全性。

3）在網(wǎng)絡(luò)中，某一主機(jī)本身的安全性對網(wǎng)絡(luò)中其他主機(jī)安全性有較大的影響，一旦這個主機(jī)被攻擊，其他主機(jī)也會面臨被攻擊的危險，這類主機(jī)稱為第一類主機(jī)。還有一類主機(jī)不但自身安全性差，存在網(wǎng)絡(luò)安全問題，而且網(wǎng)絡(luò)內(nèi)其他主機(jī)都能向其發(fā)起攻擊，這類主機(jī)稱之為第二類主機(jī)，以上兩類主機(jī)是網(wǎng)絡(luò)中的關(guān)鍵主機(jī)。

4 結(jié)束語

網(wǎng)絡(luò)已在不知不覺中滲透到我們生活的各個方面，影響和改變著我們的生活方式，同樣網(wǎng)絡(luò)在某些方面也存在隱患，給我們帶來困擾，網(wǎng)絡(luò)安全不容忽視。本文在攻擊圖生成算法的基礎(chǔ)上，得出主機(jī)安全組的概念，對主機(jī)安全組進(jìn)行分析和不斷嘗試得出主機(jī)安全組劃分算法，通過此算法網(wǎng)絡(luò)管理員可以掌握整個網(wǎng)絡(luò)的安全狀況，對于安全系數(shù)低的地方可以及時采取改進(jìn)措施進(jìn)行補(bǔ)救，網(wǎng)絡(luò)管理員的工作更有的放矢，可以降低網(wǎng)絡(luò)危險，提高網(wǎng)絡(luò)安全性。

參考文獻(xiàn)

[1]鐘尚民，徐國升，楊毅.基于主機(jī)安全組劃分的網(wǎng)絡(luò)安全性分析[M].北京出版社，2013.

[2]彭莎莎，張紅艷.計算機(jī)網(wǎng)絡(luò)安全分析研究[M].空軍工程大學(xué)，2012.

[3]李菲菲，楊陽.淺析計算機(jī)網(wǎng)絡(luò)安全防范措施[M].北京出版社，2013.endprint