基于主機安全組劃分的網(wǎng)絡安全性分析

【摘要】目前的網(wǎng)絡環(huán)境中，網(wǎng)絡安全分析方法中存在有攻擊圖規(guī)模龐大和生成算法效率低等問題，針對這些問題，我們提出了主機攻擊圖的生成模型和算法，在這種算法的基礎上，又有了關(guān)于主機安全組劃分的網(wǎng)絡安全性分析的問題及其劃分算法，基于主機安全組的劃分，完成對網(wǎng)絡安全性的分析。通過大量的試驗和公式計算，我們基本可以得出：這種方法是切實有效的，能夠從整體上對網(wǎng)絡安全環(huán)境進行分析，便于找出網(wǎng)絡中的關(guān)鍵主機，是一種行之有效而又準確直觀的方法。下面我們就這種分析方法的概念、具體劃分方法和網(wǎng)絡安全性分析做出簡要的闡述。

【關(guān)鍵詞】主機 安全組劃分 網(wǎng)絡安全性

我們要就相關(guān)問題進行闡述，就要先了解到一個問題，那就是網(wǎng)絡攻擊圖是可以根據(jù)網(wǎng)絡中檢測出來的脆弱性信息，然后通過圖形的方式，描述這些信息中所透露的攻擊與被攻擊行為之間的關(guān)系，從而給后期的網(wǎng)絡安全性分析提供數(shù)據(jù)依據(jù)和證據(jù)。因此，網(wǎng)絡攻擊圖可以說是安全性分析的重中之重，有了它，才可以進行后期的網(wǎng)絡安全性分析，是當前網(wǎng)絡信息安全領(lǐng)域里的熱點和重點。具體來講就是要對攻擊進行建模分析，在這個生成的模型基礎上進行系統(tǒng)評估，進而形成真正有效的網(wǎng)絡安全性分析。

另一方面，很多科研人員經(jīng)過大量的數(shù)據(jù)分析和錯誤總結(jié)，以攻擊圖生成算法和表現(xiàn)形式的改進為重點研究對象，提出了一些相關(guān)的算法，以期找到攻擊的最短路徑，同時，根據(jù)聚合規(guī)劃，將攻擊圖聚合為不同層次的抽象的攻擊圖。在分析網(wǎng)絡安全屬性和其攻擊行為的時候，一般使用廣度正向搜索算法生成攻擊路徑，這種方法在很大程度上提高了生成攻擊圖的效率。另外，在生成攻擊圖的時候，要限制攻擊步驟和節(jié)點的可達性，從而使得生成的攻擊圖保證在一定的范圍內(nèi)，也可以提高攻擊圖的生成效率。在生成過程中所提出的主機攻擊圖生成算法是一種非常直觀有效的方法，基于這種方法所提出了主機安全組概念和劃分方法，通過對主機劃分安全組，真正實現(xiàn)了對網(wǎng)絡安全性的有效分析。

一、主機安全組的概念

主機安全組的概念并不是一開始就成型的，它是在實踐過程中有科研人員不斷摸索和總結(jié)形成的，一般來講，是基于攻擊圖生成算法，在一個大型的網(wǎng)絡中，由其中的一臺主機發(fā)起攻擊，所生成的主機攻擊圖可能并不能包含網(wǎng)絡中的所有主機。如果我們可以從網(wǎng)絡的其他主機中繼續(xù)指令一臺主機發(fā)起攻擊，那么其所形成的攻擊圖就可以包含其他主機。如此下去，直到所有主機都生成了攻擊圖，這整個網(wǎng)絡中的所有主機會因此被自動分成不同的組別，一旦組別中的一臺主機被攻擊，就很容易觀察出其他主機是否有被攻擊的危險和攻擊圖。

基于以上的理論分析，我們基本可以得出關(guān)于主機安全組的分析，網(wǎng)絡中某臺不能被其他主機攻擊到的主機，它所能攻擊到的所有主機的集合，就構(gòu)成了一個主機安全組，如果網(wǎng)絡中并不存在這樣的一個主機，那么整個網(wǎng)絡中的主機就形成了唯一的一個主機安全組。

二、主機安全組的劃分方法

上面我們基本了解到了主機安全組劃分的概念，那么其具體劃分方法是怎樣的呢？簡單來講，一個主機安全組的劃分，就是一系列主機攻擊圖形成的過程，這些攻擊圖又是由單個的攻擊圖組成的，其形成過程中會遇到以下三種情況，對其分析和判斷就可以代表主機安全組的劃分：

在某一個攻擊圖形成的過程中，如果圖中出現(xiàn)的所有主機都是獨一無二的，并沒有在其他攻擊圖中出現(xiàn)過，那么這個攻擊圖就是直接形成的。

在某一個攻擊圖形成的過程中，要生成的某個節(jié)點在之前的攻擊圖中出現(xiàn)過，那么這個節(jié)點將被納入到即將形成的攻擊圖中，并且繼續(xù)生成沒有完成的那部分。

在某一個攻擊圖形成的過程中，將要生成的某一個節(jié)點已經(jīng)在之前的攻擊圖中以非節(jié)點的方式出現(xiàn)過，此時這個節(jié)點將不被納入到正在形成的攻擊圖中，不參與生成本攻擊圖的余下部分。

三、 網(wǎng)絡安全性分析

通過上文我們了解到了主機安全組的劃分方法，這種劃分結(jié)束后，其形成的是攻擊圖才是網(wǎng)絡安全性分析的最重要部分，這些攻擊圖分別對應了網(wǎng)絡的不同主機的不同安全分組。就一個主機安全組來講，組內(nèi)的某一臺主機遭到了攻擊，組內(nèi)的其他主機就都有被攻擊的可能性，而其讓的安全組內(nèi)則不存在這樣的風險。因此，我們基于以上理論，就網(wǎng)絡安全性提出了以下分析：

主機安全組數(shù)。在一個比較大的網(wǎng)絡中，劃分的安全組數(shù)越少，各個分組內(nèi)的平均主機數(shù)就越來越多，這樣一臺主機收到攻擊，其他主機被攻擊的可能性就越來越大，網(wǎng)絡安全性就會很低；反之，如果安全組數(shù)比較多，那么就表明這個平均數(shù)很小，各個主機之間基本是屬于一種相對獨立的關(guān)系，網(wǎng)絡也就因此更加安全。由此我們基本可以得出，一個安全的網(wǎng)絡，應該盡可能擁有更多的安全機組。

平均安全耦合度和最大安全耦合度。平均耦合度簡單來講就是指各個主機分組內(nèi)的平均主機數(shù)與網(wǎng)絡中所有主機數(shù)的比值，而最大安全耦合度則是指最大分組主機數(shù)與網(wǎng)絡中所有主機數(shù)的比值。要最大限度提高網(wǎng)絡的安全性，就必須要采取一切措施，降低平均安全耦合度和最大安全耦合度的值。關(guān)鍵主機。關(guān)鍵主機是網(wǎng)絡安全主機中需要著重考慮的部分，一般分為三類主機：第一類主機對于主機安全組和整個網(wǎng)絡安全的影響很大，如果它被攻破，那么組內(nèi)的其他主機不可避免地會受到攻擊；第二類主機的安全性很差，網(wǎng)絡中的多個主機都有可能對其發(fā)起攻擊，是很危險的一種主機；第三類主機有同時被多個主機攻擊的可能性。

本文從三個主要方面：主機安全組的概念、主機安全組的劃分和網(wǎng)絡安全性分析三個主要方面，對這個問題進行了淺顯的闡述?？偨Y(jié)來講，我們通過主機攻擊圖的生成，對網(wǎng)絡主機進行安全組的劃分，從而可以了解到整個網(wǎng)絡的安全狀況，并且從中找到最關(guān)鍵的主機并加以把握，采取相應的措施減少主機被攻擊的可能性，進而提升網(wǎng)絡安全性。

參考文獻：

[1]張弛，侯靜.網(wǎng)絡安全態(tài)勢量化評估算法研究[J].河南科技，2013（03）．

[2]魯智勇.效率優(yōu)先的主機安全屬性漏洞樹建模研究[J].計算機工程與科學，2013（09）．