基于主機安全組劃分的網(wǎng)絡(luò)安全性分析

1、<p>　　基于主機安全組劃分的網(wǎng)絡(luò)安全性分析</p><p>　　四川職業(yè)技術(shù)學(xué)院 四川省遂寧市629000 </p><p>　　摘要：目前的網(wǎng)絡(luò)安全分析法當(dāng)中，普遍存在生成算法效率低下，并且攻擊圖的規(guī)模較為龐大的問題。本文通過對主機安全組劃分的網(wǎng)絡(luò)安全性進行研究與分析，對其中存在的生成算法與攻擊圖規(guī)模的問題提出了一些建議，從這些問題中衍生出了主機攻擊圖的生成算法與模型，并對

2、主機安全組的基本內(nèi)容，以及劃分網(wǎng)絡(luò)安全性的方法進行了描述，從而能夠準(zhǔn)確直觀地了解到整體網(wǎng)絡(luò)的安全狀況，在最大程度上，為網(wǎng)絡(luò)安全管理員能夠快速有效地找出網(wǎng)絡(luò)的主機提供了最為有效的基礎(chǔ)與保障。 </p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)安全 主機安全組 安全性分析 攻擊圖 生成算法 </p><p>　　Abstract: the current network security analysis m

3、ethod, universal generation algorithm is inefficient, and attack graph scale is more complex problems. This article through to the computer security division of network security research and analysis, the present generat

4、ion algorithm and attack graph scale problems and put forward some suggestions, from these issues derived from the host attack graph generation algorithm and model, and the host security group of the basic content, as we

5、ll as the d</p><p>　　Key words: network security security group safety analysis attack graph generation algorithm </p><p>　　[中圖分類號] TP393.08[文獻標(biāo)識碼]A[文章編號] </p><p>　　引言：在網(wǎng)絡(luò)安全分析法當(dāng)中，普遍

6、存在一些問題，例如生成算法效率低下，或者是攻擊圖的規(guī)模較為龐大等現(xiàn)象。本文通過對主機安全組劃分的網(wǎng)絡(luò)安全性進行研究與分析，對其中存在的生成算法與攻擊圖規(guī)模的問題提出了一些建議，并衍生出了主機攻擊圖的生成算法與模型，并對主機安全組的基本內(nèi)容，以及劃分網(wǎng)絡(luò)安全性的方法進行了描述，從而能夠準(zhǔn)確直觀地了解到整體網(wǎng)絡(luò)的安全狀況。 </p><p>　　1.網(wǎng)絡(luò)攻擊圖的介紹 </p><p>　　網(wǎng)絡(luò)

7、攻擊圖能夠?qū)W(wǎng)絡(luò)的安全狀況進行有效的分析，它能夠準(zhǔn)確地將網(wǎng)絡(luò)中存在的脆弱點和危險點檢測出來，并且能夠用具體的圖像來有效地表達(dá)出網(wǎng)絡(luò)中的攻擊行為。在對網(wǎng)絡(luò)安全性進行分析的時候，應(yīng)該充分運用網(wǎng)絡(luò)攻擊圖的技術(shù)，在最大程度上對網(wǎng)絡(luò)信息安全起到保護作用。 </p><p>　　鑒于網(wǎng)絡(luò)攻擊圖的功效，一些外國研究者開始對網(wǎng)絡(luò)中存在的攻擊行為進行建模，并對其進行分析，通過一段時間的研究，實現(xiàn)了防御網(wǎng)絡(luò)攻擊行為的網(wǎng)絡(luò)評估系統(tǒng)，這

8、個網(wǎng)絡(luò)評估系統(tǒng)就是根據(jù)權(quán)限攻擊圖的模型而建立的。同時，還有另外一批研究者開始對網(wǎng)絡(luò)攻擊圖的生成算法和形態(tài)進行探究，通過計算分析，找出了最佳的攻擊軌跡。在充分了解網(wǎng)絡(luò)攻擊行為的攻擊路徑與攻擊方式之后，對網(wǎng)絡(luò)攻擊圖的生成效率的提高有很大的幫助，從而能夠有效地提高網(wǎng)絡(luò)安全的防御效果。通過對生成算法與形態(tài)的研究，進而衍生出了主機攻擊圖的生成算法，對主機安全組劃分內(nèi)容與含義的探索就能夠更深一層，從而能夠準(zhǔn)確直觀地了解到整體網(wǎng)絡(luò)的安全狀況。 <

9、;/p><p>　　2.由網(wǎng)絡(luò)攻擊圖衍生出的主機攻擊圖的生成算法探析 </p><p>　　主機攻擊圖與之前的攻擊圖的網(wǎng)絡(luò)行為有所不同，它是利用網(wǎng)絡(luò)中的各個主機作為節(jié)點，結(jié)合從網(wǎng)絡(luò)中搜集的有效信息，并生成有效的行為描述的一中攻擊圖。主機攻擊圖，是通過結(jié)合抽象的攻擊行為規(guī)則，以及網(wǎng)絡(luò)攻擊者的行為屬性，再經(jīng)由攻擊圖生成器的信息重組，而最終形成的。其中，攻擊行為規(guī)則所表達(dá)的是網(wǎng)絡(luò)攻擊行為對于主機的影

10、響，以及在攻擊過程中，目標(biāo)主機所應(yīng)該具備的防御條件等的描述。網(wǎng)絡(luò)攻擊者的行為屬性，則可以用二元組( Host，Goal)來進行描述，所表達(dá)的是網(wǎng)絡(luò)攻擊者有效的攻擊行為信息。 </p><p>　　另外，為了能夠更加直觀準(zhǔn)確地分析網(wǎng)絡(luò)的安全狀態(tài)，必須對網(wǎng)絡(luò)中的所有主機的連接狀態(tài)、硬件條件、主機操作系統(tǒng)等信息進行充分的了解。 </p><p>　　3.基于主機安全組劃分的網(wǎng)絡(luò)安全性分析 <

11、;/p><p>　　3.1對于主機安全組內(nèi)容的形成進行簡單介紹。 </p><p>　　在偌大的網(wǎng)絡(luò)當(dāng)中，如果某一臺主機發(fā)生攻擊行為，就會生成對應(yīng)的主機攻擊圖，而所形成的主機攻擊圖只會包含某一小部分主機。當(dāng)該網(wǎng)絡(luò)中的其他主機也同樣發(fā)生了攻擊行為，就會生成另一包含其他部分主機的攻擊圖。這種攻擊行為一直持續(xù)到將所有主機包含到所生成的主機攻擊圖中為止。這就使得網(wǎng)絡(luò)中所涉及到的主機就會分為了不同的組，

12、若是其中一臺主機受到威脅，該小組內(nèi)的其他主機也有可能受到牽連。鑒于這種情況，主機安全組的理念便開始受到關(guān)注。 </p><p>　　3.2基于網(wǎng)絡(luò)安全性的分析，對于主機安全組進行有效劃分。 </p><p>　　以某研究小組在對主機安全組進行劃分時的結(jié)果作為研究對象。在主機安全組劃分的過程中，出現(xiàn)了以下幾種情況： </p><p>　　（1）當(dāng)網(wǎng)絡(luò)中的某一主機發(fā)生攻

13、擊行為，并產(chǎn)生主機攻擊圖之后，攻擊圖中所包含的主機均沒有出現(xiàn)在其他攻擊圖當(dāng)中。具體情況如下圖所示。 </p><p>　　（2）生成主機攻擊圖的時候，發(fā)現(xiàn)某些將要出現(xiàn)的節(jié)點已經(jīng)在其他攻擊圖中以根節(jié)點的形態(tài)發(fā)生了。因此將包含該節(jié)點的攻擊圖納入本攻擊圖的范圍。具體情況如下圖所示。 </p><p>　?。?）當(dāng)發(fā)生主機攻擊行為，并生成主機攻擊圖的時候，發(fā)現(xiàn)某些將要出現(xiàn)的節(jié)點已經(jīng)在其他攻擊圖中以

14、非根節(jié)點的形態(tài)發(fā)生了。在這種情況下，不把該節(jié)點納入本攻擊圖的范圍。具體情況如下圖所示。 </p><p><b>　　4.結(jié)語 </b></p><p>　　基于網(wǎng)絡(luò)攻擊圖的功效，相關(guān)領(lǐng)域的學(xué)者開始對網(wǎng)絡(luò)中存在的攻擊行為進行建模，通過一段時間的研究，實現(xiàn)了防御網(wǎng)絡(luò)攻擊行為的網(wǎng)絡(luò)評估系統(tǒng)，同時，還有另外一批研究者開始對網(wǎng)絡(luò)攻擊圖的生成算法和形態(tài)進行探究。在充分了解網(wǎng)絡(luò)攻

15、擊行為的攻擊路徑與攻擊方式之后，對網(wǎng)絡(luò)攻擊圖的生成效率的提高有很大的幫助，從而能夠有效地提高網(wǎng)絡(luò)安全的防御效果。通過對生成算法與形態(tài)的研究，進而衍生出了主機攻擊圖的生成算法，對主機安全組劃分的探索就能夠更深一層，從而能夠準(zhǔn)確直觀地了解到整體網(wǎng)絡(luò)的安全狀況。 </p><p><b>　　參考文獻： </b></p><p>　　[1] 鐘尚勤,徐國勝,姚文斌,楊義先.