基于主机安全组划分的网络安全性分析

四川职业技术学院 四川省遂宁市629000

摘要：目前的网络安全分析法当中，普遍存在生成算法效率低下，并且攻击图的规模较为庞大的问题。本文通过对主机安全组划分的网络安全性进行研究与分析，对其中存在的生成算法与攻击图规模的问题提出了一些建议，从这些问题中衍生出了主机攻击图的生成算法与模型，并对主机安全组的基本内容，以及划分网络安全性的方法进行了描述，从而能够准确直观地了解到整体网络的安全状况，在最大程度上，为网络安全管理员能够快速有效地找出网络的主机提供了最为有效的基础与保障。

关键词：网络安全 主机安全组 安全性分析 攻击图 生成算法

Abstract: the current network security analysis method, universal generation algorithm is inefficient, and attack graph scale is more complex problems. This article through to the computer security division of network security research and analysis, the present generation algorithm and attack graph scale problems and put forward some suggestions, from these issues derived from the host attack graph generation algorithm and model, and the host security group of the basic content, as well as the division of network security a method is described, which can accurately and intuitively understand that the overall network security condition, to the maximum extent, is a network security administrator can quickly and effectively find the web host provides the most effective basis and guarantee.

Key words: network security security group safety analysis attack graph generation algorithm

[中图分类号] TP393.08[文献标识码]A[文章编号]

引言：在网络安全分析法当中，普遍存在一些问题，例如生成算法效率低下，或者是攻击图的规模较为庞大等现象。本文通过对主机安全组划分的网络安全性进行研究与分析，对其中存在的生成算法与攻击图规模的问题提出了一些建议，并衍生出了主机攻击图的生成算法与模型，并对主机安全组的基本内容，以及划分网络安全性的方法进行了描述，从而能够准确直观地了解到整体网络的安全状况。

1.网络攻击图的介绍

网络攻击图能够对网络的安全状况进行有效的分析，它能够准确地将网络中存在的脆弱点和危险点检测出来，并且能够用具体的图像来有效地表达出网络中的攻击行为。在对网络安全性进行分析的时候，应该充分运用网络攻击图的技术，在最大程度上对网络信息安全起到保护作用。

鉴于网络攻击图的功效，一些外国研究者开始对网络中存在的攻击行为进行建模，并对其进行分析，通过一段时间的研究，实现了防御网络攻击行为的网络评估系统，这个网络评估系统就是根据权限攻击图的模型而建立的。同时，还有另外一批研究者开始对网络攻击图的生成算法和形态进行探究，通过计算分析，找出了最佳的攻击轨迹。在充分了解网络攻击行为的攻击路径与攻击方式之后，对网络攻击图的生成效率的提高有很大的帮助，从而能够有效地提高网络安全的防御效果。通过对生成算法与形态的研究，进而衍生出了主机攻击图的生成算法，对主机安全组划分内容与含义的探索就能够更深一层，从而能够准确直观地了解到整体网络的安全状况。

2.由网络攻击图衍生出的主机攻击图的生成算法探析

主机攻击图与之前的攻击图的网络行为有所不同，它是利用网络中的各个主机作为节点，结合从网络中搜集的有效信息，并生成有效的行为描述的一中攻击图。主机攻击图，是通过结合抽象的攻击行为规则，以及网络攻击者的行为属性，再经由攻击图生成器的信息重组，而最终形成的。其中，攻击行为规则所表达的是网络攻击行为对于主机的影响，以及在攻击过程中，目标主机所应该具备的防御条件等的描述。网络攻击者的行为属性，则可以用二元组( Host，Goal)来进行描述，所表达的是网络攻击者有效的攻击行为信息。

另外，为了能够更加直观准确地分析网络的安全状态，必须对网络中的所有主机的连接状态、硬件条件、主机操作系统等信息进行充分的了解。

3.基于主机安全组划分的网络安全性分析

3.1对于主机安全组内容的形成进行简单介绍。

在偌大的网络当中，如果某一台主机发生攻击行为，就会生成对应的主机攻击图，而所形成的主机攻击图只会包含某一小部分主机。当该网络中的其他主机也同样发生了攻击行为，就会生成另一包含其他部分主机的攻击图。这种攻击行为一直持续到将所有主机包含到所生成的主机攻击图中为止。这就使得网络中所涉及到的主机就会分为了不同的组，若是其中一台主机受到威胁，该小组内的其他主机也有可能受到牵连。鉴于这种情况，主机安全组的理念便开始受到关注。

3.2基于网络安全性的分析，对于主机安全组进行有效划分。

以某研究小组在对主机安全组进行划分时的结果作为研究对象。在主机安全组划分的过程中，出现了以下几种情况：

（1）当网络中的某一主机发生攻击行为，并产生主机攻击图之后，攻击图中所包含的主机均没有出现在其他攻击图当中。具体情况如下图所示。

（2）生成主机攻击图的时候，发现某些将要出现的节点已经在其他攻击图中以根节点的形态发生了。因此将包含该节点的攻击图纳入本攻击图的范围。具体情况如下图所示。

（3）当发生主机攻击行为，并生成主机攻击图的时候，发现某些将要出现的节点已经在其他攻击图中以非根节点的形态发生了。在这种情况下，不把该节点纳入本攻击图的范围。具体情况如下图所示。

4.结语

基于网络攻击图的功效，相关领域的学者开始对网络中存在的攻击行为进行建模，通过一段时间的研究，实现了防御网络攻击行为的网络评估系统，同时，还有另外一批研究者开始对网络攻击图的生成算法和形态进行探究。在充分了解网络攻击行为的攻击路径与攻击方式之后，对网络攻击图的生成效率的提高有很大的帮助，从而能够有效地提高网络安全的防御效果。通过对生成算法与形态的研究，进而衍生出了主机攻击图的生成算法，对主机安全组划分的探索就能够更深一层，从而能够准确直观地了解到整体网络的安全状况。

参考文献：

[1] 钟尚勤,徐国胜,姚文斌,杨义先.基于主机安全组划分的网络安全性分析[J].北京邮电大学学报，2012

[2] 刘竹涛.网络安全评估与攻击防范策略[J].计算机安全，2009

[3] 张保稳,罗铮,薛质,银鹰.基于全局权限图的网络风险评估模型[J].上海交通大学学报，2010