基于弱點相關矩陣的網絡安全威脅指數分析

劉浩

摘要：隨著計算機網絡的高速發展，網絡信息安全性問題變得愈來愈受到重視。網絡攻擊者不但利用單個弱點來對網絡系統進行攻擊，甚至還會將多個主機弱點進行結合來對網絡進行攻擊，這對網絡安全而言是極大的威脅。該文基于弱點相關矩陣的網絡安全威脅指數進行分析。

關鍵詞：弱點;相關矩陣;網絡安全;威脅指數

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）13-0051-02

隨著“互聯網+”時代的來臨，網絡已成為人們日常生活中必不可少的組成部分，逐漸滲透到人們生活的方方面面，而網絡安全則成為關注的重點[1]。不法攻擊者將會通過單個弱點或多個主機弱點來對網絡系統進行攻擊，這對網絡系統安全埋下了重大隱患。隨著我國科技的穩步發展，對網絡安全也越來越重視，為了能夠對網絡信息安全情況給予更準確的評估，則需要對網絡安全性進行更加深入的研究分析，通過綜合利用多弱點、多主機聯合的方式對網絡安全進行有效評估對目前網絡系統安全有著積極作用。弱點相關矩陣的安全模型能夠通過對弱點相關性的計算，更為有效的應對網絡攻擊，準確快速的識別到網絡系統中的安全漏洞，對網絡安全威脅指數進行分析，從而保障網絡系統的安全系數。

1網絡弱點相關性

弱點相關性主要是指：在特定的環境中，網絡攻擊者通過利用節點上的弱點來獲取權限，將非法獲取的權限作為基礎，通過其他的弱點對其進行攻擊，反復多次，直至達到其目的。使用一個弱點和另外的弱點進行聯合，創造出攻擊環境，讓弱點在同一主機上運行多個不同的軟件，運用多個的網絡節點[2]。由于不同的弱點在攻擊者不同的操作中具有不同的作用，若多個弱點同時在網絡中受到攻擊將會有更大的影響。在過去進行弱點研究還主要集中在弱點的分類以及弱點的安全評估上，很少對不同弱點之間的關聯性進行關注，從而導致出現網絡系統防護漏洞。為了解決這個問題，網絡安全技術研究人員提出了軟件系統弱點相關性概念，通過弱點相關性這一概念來分析攻擊者在攻擊過程中弱點的相互聯系，更準確地監測網絡系統的安全性，更快速地對漏洞采取修補。因此網絡系統中弱點相關性不僅是攻擊者對網絡系統進行攻擊的突破口，也成為系統管理員來保障網絡系統安全的關鍵[3]。

2弱點相關矩陣

網絡安全技術研究人員對弱點相關性進行研究過程中弱點相關矩陣的方法受到廣泛運用，即運用函數 c（v1，v2）代表任意兩個弱點之間的相關性，函數取布爾值（0或1）。采用之前理論分析出的其中一個弱點v1可以直接成為攻擊另一個弱點的條件v2的前提條件，則c（v1，v2）=1;若弱點v1不可以直接成為攻擊另一個弱點的條件v2的前提條件則c（v1，v2）=0。c（v1，v2）=1意味著v1存在在不同主機A和B，攻擊者在主機A的弱點v對主機B的弱點采取攻擊。將目前已掌握的弱點利用條件于攻擊結果進行比對，可以分析出任意兩個弱點之間的關聯性。然后，將有關聯性的弱點進行匯總，就可以構成一個以0和1為元素的矩陣。弱點相關矩陣是網絡安全技術研究中的重點之一，通過弱點相關性的網絡技術利用弱點相關矩陣對區域網中主機所存在的弱點有一個更為清晰的認識，并對可能會出現的漏洞或已經出現的漏洞進行及時的修補，更好地保障了網絡系統的安全性[4]。

根據現在廠家以及安全機構公布的弱點，結合國內外優秀的網絡安全知識和網絡安全專家的經驗，成立弱點相關矩陣。當前在國際上最為權威的弱點數據庫有：CVE、BUGTRAQ以及OSVDB等。從數據庫中可以看到，目前已知的弱點有10000個左右，根據已知弱點構建出相關的矩陣的方案是可行的。由于他們大部分是本地弱點，無法被遠程操控，具有相對較小的關注度，相關性也比較單一。同時，構造弱點相關矩陣還可以通過弱點的分類來完成。大多數特權提升累弱點都具有相對較大的相關度，他們以拒絕服務、特權提升累弱點作為攻擊前提，從而失去機密性、完整性。因此，他們的相關性小，也比較單一[5-6]。

3基于弱點相關矩陣的網絡安全技術

在進行弱點相關性網絡安全問題分析之前，首先需要明確分析問題的假設條件，這主要是指：單調性要求。展開而言則是指，網絡攻擊以正向與反向兩種模式生成，正向搜索主要是直接針對攻擊者，對攻擊者未來將可能會實施的攻擊行為進行模擬分析，而反向搜索則是針對的攻擊目標，從目標向后推相關的攻擊行為，直至推到網絡初始狀態為止。將弱點相關矩陣作為基礎，利用正反搜索生成弱點相關圖[7]。安全分析中的單調性假設能夠從某種方面將分析簡單化，它是在滿足條件下對網絡系統進行攻擊，這種方式大多是針對較為大型的復雜網絡。單調性假設會利用資源進行轉換，為攻擊找尋更有利的方式，獲得更有效的途徑，以達到攻擊的目的[8]。

在網絡系統遭受惡意網絡攻擊者攻擊時，通常都會先從自身主機開始，隨機對能夠到底的某一個主機弱點進行攻擊，然后在基于弱點相關性，對該臺主機其他有所關聯性的主機漏洞進行反復攻擊，這種連續攻擊行為將持續到計劃中的主機漏洞為止。通過這種攻擊行為將所以弱點序列組成了一個網絡系統弱點相關矩陣VCG。而網絡安全管理員則可以以VCG為基礎，建立一個正向的弱點相關圖，主要方式為以下幾步：

（1）在初始狀態下，攻擊者首先要進入一臺能夠抵達的主機hh。

（2）在主機hh中尋找到一個未曾被使用同時與前一個弱點有相關性的弱點Vi;若為攻擊者最終攻擊的目標弱點為Vi，則將攻擊鏈存在的目標記錄在VCG，從而可以避免攻擊者再利用弱點相關性攻擊其他主機。而若是沒有記錄到攻擊鏈，就需要根據弱點Vi的相關性，從攻擊者可以到達的主機hh向前再尋找到一臺沒有被使用過的主機hh+1，也可以繼續使用當前主機hh中其他相關性弱點進行攻擊。

（3）若是尋找到能夠滿足要求的hh+1則再次重復步驟2。若選擇在主機hh上繼續的，則需要在主機hh對另外一個沒有被使用過的弱點進行步驟2重復，直到將主機hh的所有弱點都進行一次查找。

由于在對攻擊鏈進行分析時，搜索的方向一直向前，各個弱點就只會出現一個狀態，那么VCG的節點就不會變多，給予弱點相關矩陣的VCG搜索深度同樣如此。綜上所述，VCG分析在有效避免出現應用原有模型檢查網絡攻擊圖的同時，因為冗余會造成指數狀態保障的情況。正向搜索也更能保障VCG的完善性。

4基于弱點相關矩陣的網絡安全威脅指數的實驗結果

本文以某網絡安全檢查平臺為依托，時間跨度2020年3月1日～2020年 3月21日基于弱點相關矩陣的介入，通過對該時段的網絡威脅指數變化進行情況，來對弱點相關矩陣的應用進行觀察。詳見圖1。

5 針對弱點相關性產生的網絡問題處理方案

5.1 物理措施

針對弱點相關性的網絡安全系統維護，可首先采用物理方式進行解決。如對大型交換機、大型計算機等關鍵設備，針對其設置一套完整的網絡安全制度，使用防輻射裝置、防火裝置等維護措施。

5.2 數據加密

網絡數據資料是數據機密中最為重要的工作內容之一，如何有效地對數據采取加密則尤為重要。數據加密操作可以避免信息外泄，對惡意攻擊者盜取重要信息提供有力保障，同時，還可降低病毒傳播的概率。

5.3 訪問控制措施

對不同類型的用戶訪問要建立起相對應的訪問權限，并對其進行認證，以保障使用人員不會影響到網絡系統正常的運行。如，可在用戶對網站進行訪問之前彈出對話框來提示用戶該網頁的安全性，這樣可以進一步的保障網絡系統的安全性。

5.4 網絡隔離

網絡隔離可以有效地保障網絡系統的安全。安全隔離措施的范圍較廣，可覆蓋整個網絡系統。

5.5 其他網絡安全措施

除了已經提到的網絡安全措施以外，還有許多措施，如信息過濾、信息備份與信息容錯等措施都在保障網絡安全中可起到有效作用。

6 小結

網絡系統雖然給人們帶來了極大的便利，消除了許多以往人工工作帶來的不便。但是網絡系統是機器運行，不可避免地會受到外部因素的影響，伴隨著許多不可預測的風險，為不法攻擊者盜取信息系統數據提供了溫床。網絡系統中弱點的相關性不僅是惡意攻擊者對網絡安全攻擊的手段，也成為系統管理人員對網絡安全管理的重要方法。本文中對弱點相關性以及弱點相關矩陣進行了介紹，并對網絡安全威脅指數進行分析，弱點相關矩陣在網絡安全技術中目前已經應用廣泛，能夠更好地幫助網絡管理人員更好、更快速地應對網絡攻擊，針對其進行修復工作，確保計算機網絡的安全性。隨著互聯網時代的到來，網絡安全對人們的生活、工作等都有著重要意義，隨著網絡安全技術在網絡發展進程中越來越重要的地位，基于弱點相關矩陣的網絡安全技術也一定會得到進一步的發展。

參考文獻：

[1] 匡鳳飛.分布式光纖網絡中層級化安全威脅指數分析[J].科學技術與工程，2018，18（11）：117-122.

[2] 楊改貞.基于置信度的網絡攻擊圖節點回流建模仿真[J].計算機仿真，2019，36（9）：338-341，401.

[3] 任曉賢，陳潔，李晨陽，等.基于風險矩陣的物聯網系統漏洞關聯性危害評估[J].信息網絡安全，2018（11）：81-88.

[4] 張弢，王金波，張濤.基于相關矩陣與概率模型的故障模糊診斷[J].系統工程與電子技術，2018，40（2）：346-352.

[5] 王月，呂光宏，曹勇.軟件定義網絡安全研究[J].計算機技術與發展，2018，28（4）：128-132.

[6] 唐贊玉，劉宏.多階段大規模網絡攻擊下的網絡安全態勢評估方法研究[J].計算機科學，2018，45（1）：245-248.

[7] 楊豪璞，邱輝，王坤.面向多步攻擊的網絡安全態勢評估方法[J].通信學報，2017，38（1）：187-198.

[8] Yuan J W，Malin B，ModaveF，et al.Towards a privacy preserving cohort discovery framework for clinical research networks[J].JournalofBiomedicalInformatics，2017，66：42-51.

【通聯編輯：代影】