韓雪峰+宋名威

摘 要 隨著科技的發(fā)展，網(wǎng)絡(luò)對人們的影響是巨大的，它改變了我們的生活方式，無論是工作、還是購物甚至娛樂。大量的個人信息充斥著網(wǎng)絡(luò)，個人信息泄露事件屢見不鮮，網(wǎng)絡(luò)安全問題也越來越受到人們的關(guān)注，網(wǎng)絡(luò)安全性分析勢在必行，目前的網(wǎng)絡(luò)分析方法中存在攻擊圖規(guī)模龐大、生產(chǎn)算術(shù)法效率低等問題，針對這些問題主機攻擊圖的生產(chǎn)模型和算法被提出，在此方法的基礎(chǔ)上，主機安全組的概念及其劃分方法應(yīng)運而生，此方法的原理是通過對網(wǎng)絡(luò)中的主機劃分安全組，從而對網(wǎng)絡(luò)安全性進行分析，此方法使網(wǎng)絡(luò)安全情況更為清晰、明確，便于網(wǎng)絡(luò)管理員對整個網(wǎng)絡(luò)安全狀況的掌握，對提升網(wǎng)絡(luò)安全性大有裨益。

關(guān)鍵詞 主機攻擊圖；主機安全組；網(wǎng)絡(luò)安全；安全性分析

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1671-7597（2014）04-0042-01

網(wǎng)絡(luò)便捷了人們的生活，但隨之而來的一些問題也讓人們倍感壓力，如個人信息泄露、黑客入侵造成信息丟失或損毀等經(jīng)常見諸報端，給人們的生活帶來了極大的威脅，必須進行網(wǎng)絡(luò)安全性分析，對存在的風(fēng)險采取有效措施，降低網(wǎng)絡(luò)危險。一般來說，網(wǎng)絡(luò)本身能檢測出一些脆弱性信息，根據(jù)這些信息網(wǎng)絡(luò)攻擊圖可以對攻擊行為及攻擊行為之間的相互關(guān)系進行圖形化描述，從一定程度上也便捷了網(wǎng)絡(luò)安全性分析，目前，人們不斷對網(wǎng)絡(luò)攻擊圖進行深入研究，同時基于網(wǎng)絡(luò)攻擊圖也對網(wǎng)絡(luò)安全性進行分析和探究，以上兩方面的研究隨著人們對網(wǎng)絡(luò)安全性的重視度也逐漸升溫。

1 主機攻擊圖生成算法及主機安全組概述

主機安全組理論是在主機攻擊圖生成算法的基礎(chǔ)上提出的，主機攻擊圖是以網(wǎng)絡(luò)中的主機作為節(jié)點的攻擊圖，首先進行網(wǎng)絡(luò)信息采集，同時生成主機在網(wǎng)絡(luò)中的描述，加上已抽象的攻擊規(guī)則庫和網(wǎng)絡(luò)管理員指定的攻擊者的屬性，將以上所有相結(jié)合，根據(jù)生成算數(shù)法，攻擊圖片生成器會形成主機攻擊圖，這便是主機攻擊圖生成算法。

運用攻擊圖生成算法，假設(shè)在一個大型的網(wǎng)絡(luò)中有很多主機（分別標(biāo)注為A-L），如果指定A主機作為發(fā)起攻擊的主機，A主機生成的主機攻擊圖只可能包含網(wǎng)絡(luò)中的某一部分主機，我們再指定B主機為發(fā)起攻擊的主機，也會產(chǎn)生另一個攻擊圖，同樣攻擊圖中包含另外一組主機，C-L主機一直這樣下去，直到這個網(wǎng)絡(luò)中的所有主機都成為發(fā)起攻擊的主機，都生成了攻擊圖，所有攻擊圖包含了網(wǎng)絡(luò)中所有的主機。然后將A-L所有主機分成不同的小組，假設(shè)為M組、N組和O組，如果一個小組內(nèi)的一臺主機被攻擊，組內(nèi)其他主機也會存在被攻擊的威脅。

根據(jù)上面的分析，進行抽象和限定，整個網(wǎng)絡(luò)中存在某臺不能被其他主機攻擊到的主機，這臺主機能攻擊到的所有主機的集合便構(gòu)建成了主機安全組。

如果整個網(wǎng)絡(luò)中不存在某臺不被其他主機攻擊到的主機，那么整個網(wǎng)絡(luò)的所有主機就形成一個整體，即一個主機安全組。假設(shè)網(wǎng)絡(luò)中一臺主機被N組的Nb和O組的Oc攻擊，那么說明這臺主機不是屬于N組主機安全組就是屬于O組主機安全組。

2 主機安全組的劃分算法

實際上，連續(xù)的主機攻擊圖生成過程就是對主機安全組的劃分過程。一旦生成了攻擊圖后，攻擊圖內(nèi)的主機所組成的集合便形成一個主機安全組，再將整個網(wǎng)絡(luò)的主機劃分成不同的主機安全組，綜上所述，可以通過以下四個步驟描述主機安全組劃分算法。

1）先新建一個主機列表，列表中要包括整個網(wǎng)絡(luò)中的所有主機。還要建一個脆弱主機列表，最開始的時候脆弱主機列表是空白的。

2）從新建的主機列表中挑出一臺主機Oc，以主機Oc為頭節(jié)點創(chuàng)建一個鏈表。

3）用主機Oc主動攻擊其他主機，運用主機攻擊圖生成算法，生成攻擊圖，假如主機列表中存在主機Oc，每生成一個節(jié)點，就在主機列表中將主機Oc刪除，如果在主機列表中不存在主機Oc，查看所有已創(chuàng)建的鏈表，如果某鏈表的頭節(jié)點為主機Oc，那么將主機Oc加入到本鏈表，將原來的鏈表刪掉；反之，將其加入脆弱主機列表。

4）在攻擊圖算法結(jié)束后，如果主機列表不是空白的，那么繼續(xù)執(zhí)行第二個步驟，最終主機列表要為空，算法才結(jié)束。

3 基于主機安全組劃分的網(wǎng)絡(luò)安全性分析

由上面的描述我們可以看出，當(dāng)主機安全組劃分算法結(jié)束后，產(chǎn)生了多個鏈表，每個鏈表都對應(yīng)了一個網(wǎng)絡(luò)主機安全分組。就一個主機安全組而言，如果組內(nèi)一個主機被攻擊，那么這個組內(nèi)其他的主機也有可能受到攻擊，而其他主機安全組的主機不會受到任何攻擊?？v觀整個網(wǎng)絡(luò)，可以通過主機安全組數(shù)、平均安全耦合度和最大安全耦合度、關(guān)鍵主機三個方面體現(xiàn)出具有多臺主機網(wǎng)絡(luò)的網(wǎng)絡(luò)安全性，詳細(xì)闡述如下。

1）如果一個網(wǎng)絡(luò)有6臺主機，假設(shè)將其劃分為2組，每組主機為3臺；如果將其劃分為3組，每組的主機為2臺；將劃分為2組的和劃分為3組的進行比較，劃分為3組的網(wǎng)絡(luò)安全性更高?？梢?，主機安全組數(shù)劃分的越少，每個組內(nèi)主機之間攻擊的關(guān)聯(lián)性就越強，主機安全組數(shù)劃分的越多，則與之相反。所以我們應(yīng)該將主機安全組劃分的盡量多一些，更有利于網(wǎng)絡(luò)安全。

2）平均安全耦合度等于每個主機安全組內(nèi)的平均主機數(shù)和整個網(wǎng)絡(luò)所有的主機數(shù)的比值，最大安全耦合度則是最大的主機安全組內(nèi)的平均主機數(shù)和整個網(wǎng)絡(luò)所有的主機數(shù)的比值。采取不同的方法降低平均安全耦合度和最大安全耦合度，可以大大的提高網(wǎng)絡(luò)安全性。

3）在網(wǎng)絡(luò)中，某一主機本身的安全性對網(wǎng)絡(luò)中其他主機安全性有較大的影響，一旦這個主機被攻擊，其他主機也會面臨被攻擊的危險，這類主機稱為第一類主機。還有一類主機不但自身安全性差，存在網(wǎng)絡(luò)安全問題，而且網(wǎng)絡(luò)內(nèi)其他主機都能向其發(fā)起攻擊，這類主機稱之為第二類主機，以上兩類主機是網(wǎng)絡(luò)中的關(guān)鍵主機。

4 結(jié)束語

網(wǎng)絡(luò)已在不知不覺中滲透到我們生活的各個方面，影響和改變著我們的生活方式，同樣網(wǎng)絡(luò)在某些方面也存在隱患，給我們帶來困擾，網(wǎng)絡(luò)安全不容忽視。本文在攻擊圖生成算法的基礎(chǔ)上，得出主機安全組的概念，對主機安全組進行分析和不斷嘗試得出主機安全組劃分算法，通過此算法網(wǎng)絡(luò)管理員可以掌握整個網(wǎng)絡(luò)的安全狀況，對于安全系數(shù)低的地方可以及時采取改進措施進行補救，網(wǎng)絡(luò)管理員的工作更有的放矢，可以降低網(wǎng)絡(luò)危險，提高網(wǎng)絡(luò)安全性。

參考文獻

[1]鐘尚民，徐國升，楊毅.基于主機安全組劃分的網(wǎng)絡(luò)安全性分析[M].北京出版社，2013.

[2]彭莎莎，張紅艷.計算機網(wǎng)絡(luò)安全分析研究[M].空軍工程大學(xué)，2012.

[3]李菲菲，楊陽.淺析計算機網(wǎng)絡(luò)安全防范措施[M].北京出版社，2013.endprint