韩雪峰+宋名威

摘 要 随着科技的发展，网络对人们的影响是巨大的，它改变了我们的生活方式，无论是工作、还是购物甚至娱乐。大量的个人信息充斥着网络，个人信息泄露事件屡见不鲜，网络安全问题也越来越受到人们的关注，网络安全性分析势在必行，目前的网络分析方法中存在攻击图规模庞大、生产算术法效率低等问题，针对这些问题主机攻击图的生产模型和算法被提出，在此方法的基础上，主机安全组的概念及其划分方法应运而生，此方法的原理是通过对网络中的主机划分安全组，从而对网络安全性进行分析，此方法使网络安全情况更为清晰、明确，便于网络管理员对整个网络安全状况的掌握，对提升网络安全性大有裨益。

关键词 主机攻击图；主机安全组；网络安全；安全性分析

中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2014）04-0042-01

网络便捷了人们的生活，但随之而来的一些问题也让人们倍感压力，如个人信息泄露、黑客入侵造成信息丢失或损毁等经常见诸报端，给人们的生活带来了极大的威胁，必须进行网络安全性分析，对存在的风险采取有效措施，降低网络危险。一般来说，网络本身能检测出一些脆弱性信息，根据这些信息网络攻击图可以对攻击行为及攻击行为之间的相互关系进行图形化描述，从一定程度上也便捷了网络安全性分析，目前，人们不断对网络攻击图进行深入研究，同时基于网络攻击图也对网络安全性进行分析和探究，以上两方面的研究随着人们对网络安全性的重视度也逐渐升温。

1 主机攻击图生成算法及主机安全组概述

主机安全组理论是在主机攻击图生成算法的基础上提出的，主机攻击图是以网络中的主机作为节点的攻击图，首先进行网络信息采集，同时生成主机在网络中的描述，加上已抽象的攻击规则库和网络管理员指定的攻击者的属性，将以上所有相结合，根据生成算数法，攻击图片生成器会形成主机攻击图，这便是主机攻击图生成算法。

运用攻击图生成算法，假设在一个大型的网络中有很多主机（分别标注为A-L），如果指定A主机作为发起攻击的主机，A主机生成的主机攻击图只可能包含网络中的某一部分主机，我们再指定B主机为发起攻击的主机，也会产生另一个攻击图，同样攻击图中包含另外一组主机，C-L主机一直这样下去，直到这个网络中的所有主机都成为发起攻击的主机，都生成了攻击图，所有攻击图包含了网络中所有的主机。然后将A-L所有主机分成不同的小组，假设为M组、N组和O组，如果一个小组内的一台主机被攻击，组内其他主机也会存在被攻击的威胁。

根据上面的分析，进行抽象和限定，整个网络中存在某台不能被其他主机攻击到的主机，这台主机能攻击到的所有主机的集合便构建成了主机安全组。

如果整个网络中不存在某台不被其他主机攻击到的主机，那么整个网络的所有主机就形成一个整体，即一个主机安全组。假设网络中一台主机被N组的Nb和O组的Oc攻击，那么说明这台主机不是属于N组主机安全组就是属于O组主机安全组。

2 主机安全组的划分算法

实际上，连续的主机攻击图生成过程就是对主机安全组的划分过程。一旦生成了攻击图后，攻击图内的主机所组成的集合便形成一个主机安全组，再将整个网络的主机划分成不同的主机安全组，综上所述，可以通过以下四个步骤描述主机安全组划分算法。

1）先新建一个主机列表，列表中要包括整个网络中的所有主机。还要建一个脆弱主机列表，最开始的时候脆弱主机列表是空白的。

2）从新建的主机列表中挑出一台主机Oc，以主机Oc为头节点创建一个链表。

3）用主机Oc主动攻击其他主机，运用主机攻击图生成算法，生成攻击图，假如主机列表中存在主机Oc，每生成一个节点，就在主机列表中将主机Oc删除，如果在主机列表中不存在主机Oc，查看所有已创建的链表，如果某链表的头节点为主机Oc，那么将主机Oc加入到本链表，将原来的链表删掉；反之，将其加入脆弱主机列表。

4）在攻击图算法结束后，如果主机列表不是空白的，那么继续执行第二个步骤，最终主机列表要为空，算法才结束。

3 基于主机安全组划分的网络安全性分析

由上面的描述我们可以看出，当主机安全组划分算法结束后，产生了多个链表，每个链表都对应了一个网络主机安全分组。就一个主机安全组而言，如果组内一个主机被攻击，那么这个组内其他的主机也有可能受到攻击，而其他主机安全组的主机不会受到任何攻击。纵观整个网络，可以通过主机安全组数、平均安全耦合度和最大安全耦合度、关键主机三个方面体现出具有多台主机网络的网络安全性，详细阐述如下。

1）如果一个网络有6台主机，假设将其划分为2组，每组主机为3台；如果将其划分为3组，每组的主机为2台；将划分为2组的和划分为3组的进行比较，划分为3组的网络安全性更高。可见，主机安全组数划分的越少，每个组内主机之间攻击的关联性就越强，主机安全组数划分的越多，则与之相反。所以我们应该将主机安全组划分的尽量多一些，更有利于网络安全。

2）平均安全耦合度等于每个主机安全组内的平均主机数和整个网络所有的主机数的比值，最大安全耦合度则是最大的主机安全组内的平均主机数和整个网络所有的主机数的比值。采取不同的方法降低平均安全耦合度和最大安全耦合度，可以大大的提高网络安全性。

3）在网络中，某一主机本身的安全性对网络中其他主机安全性有较大的影响，一旦这个主机被攻击，其他主机也会面临被攻击的危险，这类主机称为第一类主机。还有一类主机不但自身安全性差，存在网络安全问题，而且网络内其他主机都能向其发起攻击，这类主机称之为第二类主机，以上两类主机是网络中的关键主机。

4 结束语

网络已在不知不觉中渗透到我们生活的各个方面，影响和改变着我们的生活方式，同样网络在某些方面也存在隐患，给我们带来困扰，网络安全不容忽视。本文在攻击图生成算法的基础上，得出主机安全组的概念，对主机安全组进行分析和不断尝试得出主机安全组划分算法，通过此算法网络管理员可以掌握整个网络的安全状况，对于安全系数低的地方可以及时采取改进措施进行补救，网络管理员的工作更有的放矢，可以降低网络危险，提高网络安全性。

参考文献

[1]钟尚民，徐国升，杨毅.基于主机安全组划分的网络安全性分析[M].北京出版社，2013.

[2]彭莎莎，张红艳.计算机网络安全分析研究[M].空军工程大学，2012.

[3]李菲菲，杨阳.浅析计算机网络安全防范措施[M].北京出版社，2013.endprint