基于主機安全組劃分的網絡安全性分析

韓雪峰+宋名威

摘 要 隨著科技的發展，網絡對人們的影響是巨大的，它改變了我們的生活方式，無論是工作、還是購物甚至娛樂。大量的個人信息充斥著網絡，個人信息泄露事件屢見不鮮，網絡安全問題也越來越受到人們的關注，網絡安全性分析勢在必行，目前的網絡分析方法中存在攻擊圖規模龐大、生產算術法效率低等問題，針對這些問題主機攻擊圖的生產模型和算法被提出，在此方法的基礎上，主機安全組的概念及其劃分方法應運而生，此方法的原理是通過對網絡中的主機劃分安全組，從而對網絡安全性進行分析，此方法使網絡安全情況更為清晰、明確，便于網絡管理員對整個網絡安全狀況的掌握，對提升網絡安全性大有裨益。

關鍵詞 主機攻擊圖；主機安全組；網絡安全；安全性分析

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-7597（2014）04-0042-01

網絡便捷了人們的生活，但隨之而來的一些問題也讓人們倍感壓力，如個人信息泄露、黑客入侵造成信息丟失或損毀等經常見諸報端，給人們的生活帶來了極大的威脅，必須進行網絡安全性分析，對存在的風險采取有效措施，降低網絡危險。一般來說，網絡本身能檢測出一些脆弱性信息，根據這些信息網絡攻擊圖可以對攻擊行為及攻擊行為之間的相互關系進行圖形化描述，從一定程度上也便捷了網絡安全性分析，目前，人們不斷對網絡攻擊圖進行深入研究，同時基于網絡攻擊圖也對網絡安全性進行分析和探究，以上兩方面的研究隨著人們對網絡安全性的重視度也逐漸升溫。

1 主機攻擊圖生成算法及主機安全組概述

主機安全組理論是在主機攻擊圖生成算法的基礎上提出的，主機攻擊圖是以網絡中的主機作為節點的攻擊圖，首先進行網絡信息采集，同時生成主機在網絡中的描述，加上已抽象的攻擊規則庫和網絡管理員指定的攻擊者的屬性，將以上所有相結合，根據生成算數法，攻擊圖片生成器會形成主機攻擊圖，這便是主機攻擊圖生成算法。

運用攻擊圖生成算法，假設在一個大型的網絡中有很多主機（分別標注為A-L），如果指定A主機作為發起攻擊的主機，A主機生成的主機攻擊圖只可能包含網絡中的某一部分主機，我們再指定B主機為發起攻擊的主機，也會產生另一個攻擊圖，同樣攻擊圖中包含另外一組主機，C-L主機一直這樣下去，直到這個網絡中的所有主機都成為發起攻擊的主機，都生成了攻擊圖，所有攻擊圖包含了網絡中所有的主機。然后將A-L所有主機分成不同的小組，假設為M組、N組和O組，如果一個小組內的一臺主機被攻擊，組內其他主機也會存在被攻擊的威脅。

根據上面的分析，進行抽象和限定，整個網絡中存在某臺不能被其他主機攻擊到的主機，這臺主機能攻擊到的所有主機的集合便構建成了主機安全組。

如果整個網絡中不存在某臺不被其他主機攻擊到的主機，那么整個網絡的所有主機就形成一個整體，即一個主機安全組。假設網絡中一臺主機被N組的Nb和O組的Oc攻擊，那么說明這臺主機不是屬于N組主機安全組就是屬于O組主機安全組。

2 主機安全組的劃分算法

實際上，連續的主機攻擊圖生成過程就是對主機安全組的劃分過程。一旦生成了攻擊圖后，攻擊圖內的主機所組成的集合便形成一個主機安全組，再將整個網絡的主機劃分成不同的主機安全組，綜上所述，可以通過以下四個步驟描述主機安全組劃分算法。

1）先新建一個主機列表，列表中要包括整個網絡中的所有主機。還要建一個脆弱主機列表，最開始的時候脆弱主機列表是空白的。

2）從新建的主機列表中挑出一臺主機Oc，以主機Oc為頭節點創建一個鏈表。

3）用主機Oc主動攻擊其他主機，運用主機攻擊圖生成算法，生成攻擊圖，假如主機列表中存在主機Oc，每生成一個節點，就在主機列表中將主機Oc刪除，如果在主機列表中不存在主機Oc，查看所有已創建的鏈表，如果某鏈表的頭節點為主機Oc，那么將主機Oc加入到本鏈表，將原來的鏈表刪掉；反之，將其加入脆弱主機列表。

4）在攻擊圖算法結束后，如果主機列表不是空白的，那么繼續執行第二個步驟，最終主機列表要為空，算法才結束。

3 基于主機安全組劃分的網絡安全性分析

由上面的描述我們可以看出，當主機安全組劃分算法結束后，產生了多個鏈表，每個鏈表都對應了一個網絡主機安全分組。就一個主機安全組而言，如果組內一個主機被攻擊，那么這個組內其他的主機也有可能受到攻擊，而其他主機安全組的主機不會受到任何攻擊?？v觀整個網絡，可以通過主機安全組數、平均安全耦合度和最大安全耦合度、關鍵主機三個方面體現出具有多臺主機網絡的網絡安全性，詳細闡述如下。

1）如果一個網絡有6臺主機，假設將其劃分為2組，每組主機為3臺；如果將其劃分為3組，每組的主機為2臺；將劃分為2組的和劃分為3組的進行比較，劃分為3組的網絡安全性更高?？梢?，主機安全組數劃分的越少，每個組內主機之間攻擊的關聯性就越強，主機安全組數劃分的越多，則與之相反。所以我們應該將主機安全組劃分的盡量多一些，更有利于網絡安全。

2）平均安全耦合度等于每個主機安全組內的平均主機數和整個網絡所有的主機數的比值，最大安全耦合度則是最大的主機安全組內的平均主機數和整個網絡所有的主機數的比值。采取不同的方法降低平均安全耦合度和最大安全耦合度，可以大大的提高網絡安全性。

3）在網絡中，某一主機本身的安全性對網絡中其他主機安全性有較大的影響，一旦這個主機被攻擊，其他主機也會面臨被攻擊的危險，這類主機稱為第一類主機。還有一類主機不但自身安全性差，存在網絡安全問題，而且網絡內其他主機都能向其發起攻擊，這類主機稱之為第二類主機，以上兩類主機是網絡中的關鍵主機。

4 結束語

網絡已在不知不覺中滲透到我們生活的各個方面，影響和改變著我們的生活方式，同樣網絡在某些方面也存在隱患，給我們帶來困擾，網絡安全不容忽視。本文在攻擊圖生成算法的基礎上，得出主機安全組的概念，對主機安全組進行分析和不斷嘗試得出主機安全組劃分算法，通過此算法網絡管理員可以掌握整個網絡的安全狀況，對于安全系數低的地方可以及時采取改進措施進行補救，網絡管理員的工作更有的放矢，可以降低網絡危險，提高網絡安全性。

參考文獻

[1]鐘尚民，徐國升，楊毅.基于主機安全組劃分的網絡安全性分析[M].北京出版社，2013.

[2]彭莎莎，張紅艷.計算機網絡安全分析研究[M].空軍工程大學，2012.

[3]李菲菲，楊陽.淺析計算機網絡安全防范措施[M].北京出版社，2013.endprint