劉浩

摘要：隨著計算機網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)信息安全性問題變得愈來愈受到重視。網(wǎng)絡(luò)攻擊者不但利用單個弱點來對網(wǎng)絡(luò)系統(tǒng)進行攻擊，甚至還會將多個主機弱點進行結(jié)合來對網(wǎng)絡(luò)進行攻擊，這對網(wǎng)絡(luò)安全而言是極大的威脅。該文基于弱點相關(guān)矩陣的網(wǎng)絡(luò)安全威脅指數(shù)進行分析。

關(guān)鍵詞：弱點;相關(guān)矩陣;網(wǎng)絡(luò)安全;威脅指數(shù)

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）13-0051-02

隨著“互聯(lián)網(wǎng)+”時代的來臨，網(wǎng)絡(luò)已成為人們?nèi)粘Ｉ钪斜夭豢缮俚慕M成部分，逐漸滲透到人們生活的方方面面，而網(wǎng)絡(luò)安全則成為關(guān)注的重點[1]。不法攻擊者將會通過單個弱點或多個主機弱點來對網(wǎng)絡(luò)系統(tǒng)進行攻擊，這對網(wǎng)絡(luò)系統(tǒng)安全埋下了重大隱患。隨著我國科技的穩(wěn)步發(fā)展，對網(wǎng)絡(luò)安全也越來越重視，為了能夠?qū)W(wǎng)絡(luò)信息安全情況給予更準確的評估，則需要對網(wǎng)絡(luò)安全性進行更加深入的研究分析，通過綜合利用多弱點、多主機聯(lián)合的方式對網(wǎng)絡(luò)安全進行有效評估對目前網(wǎng)絡(luò)系統(tǒng)安全有著積極作用。弱點相關(guān)矩陣的安全模型能夠通過對弱點相關(guān)性的計算，更為有效的應(yīng)對網(wǎng)絡(luò)攻擊，準確快速的識別到網(wǎng)絡(luò)系統(tǒng)中的安全漏洞，對網(wǎng)絡(luò)安全威脅指數(shù)進行分析，從而保障網(wǎng)絡(luò)系統(tǒng)的安全系數(shù)。

1網(wǎng)絡(luò)弱點相關(guān)性

弱點相關(guān)性主要是指：在特定的環(huán)境中，網(wǎng)絡(luò)攻擊者通過利用節(jié)點上的弱點來獲取權(quán)限，將非法獲取的權(quán)限作為基礎(chǔ)，通過其他的弱點對其進行攻擊，反復(fù)多次，直至達到其目的。使用一個弱點和另外的弱點進行聯(lián)合，創(chuàng)造出攻擊環(huán)境，讓弱點在同一主機上運行多個不同的軟件，運用多個的網(wǎng)絡(luò)節(jié)點[2]。由于不同的弱點在攻擊者不同的操作中具有不同的作用，若多個弱點同時在網(wǎng)絡(luò)中受到攻擊將會有更大的影響。在過去進行弱點研究還主要集中在弱點的分類以及弱點的安全評估上，很少對不同弱點之間的關(guān)聯(lián)性進行關(guān)注，從而導(dǎo)致出現(xiàn)網(wǎng)絡(luò)系統(tǒng)防護漏洞。為了解決這個問題，網(wǎng)絡(luò)安全技術(shù)研究人員提出了軟件系統(tǒng)弱點相關(guān)性概念，通過弱點相關(guān)性這一概念來分析攻擊者在攻擊過程中弱點的相互聯(lián)系，更準確地監(jiān)測網(wǎng)絡(luò)系統(tǒng)的安全性，更快速地對漏洞采取修補。因此網(wǎng)絡(luò)系統(tǒng)中弱點相關(guān)性不僅是攻擊者對網(wǎng)絡(luò)系統(tǒng)進行攻擊的突破口，也成為系統(tǒng)管理員來保障網(wǎng)絡(luò)系統(tǒng)安全的關(guān)鍵[3]。

2弱點相關(guān)矩陣

網(wǎng)絡(luò)安全技術(shù)研究人員對弱點相關(guān)性進行研究過程中弱點相關(guān)矩陣的方法受到廣泛運用，即運用函數(shù) c（v1，v2）代表任意兩個弱點之間的相關(guān)性，函數(shù)取布爾值（0或1）。采用之前理論分析出的其中一個弱點v1可以直接成為攻擊另一個弱點的條件v2的前提條件，則c（v1，v2）=1;若弱點v1不可以直接成為攻擊另一個弱點的條件v2的前提條件則c（v1，v2）=0。c（v1，v2）=1意味著v1存在在不同主機A和B，攻擊者在主機A的弱點v對主機B的弱點采取攻擊。將目前已掌握的弱點利用條件于攻擊結(jié)果進行比對，可以分析出任意兩個弱點之間的關(guān)聯(lián)性。然后，將有關(guān)聯(lián)性的弱點進行匯總，就可以構(gòu)成一個以0和1為元素的矩陣。弱點相關(guān)矩陣是網(wǎng)絡(luò)安全技術(shù)研究中的重點之一，通過弱點相關(guān)性的網(wǎng)絡(luò)技術(shù)利用弱點相關(guān)矩陣對區(qū)域網(wǎng)中主機所存在的弱點有一個更為清晰的認識，并對可能會出現(xiàn)的漏洞或已經(jīng)出現(xiàn)的漏洞進行及時的修補，更好地保障了網(wǎng)絡(luò)系統(tǒng)的安全性[4]。

根據(jù)現(xiàn)在廠家以及安全機構(gòu)公布的弱點，結(jié)合國內(nèi)外優(yōu)秀的網(wǎng)絡(luò)安全知識和網(wǎng)絡(luò)安全專家的經(jīng)驗，成立弱點相關(guān)矩陣。當前在國際上最為權(quán)威的弱點數(shù)據(jù)庫有：CVE、BUGTRAQ以及OSVDB等。從數(shù)據(jù)庫中可以看到，目前已知的弱點有10000個左右，根據(jù)已知弱點構(gòu)建出相關(guān)的矩陣的方案是可行的。由于他們大部分是本地弱點，無法被遠程操控，具有相對較小的關(guān)注度，相關(guān)性也比較單一。同時，構(gòu)造弱點相關(guān)矩陣還可以通過弱點的分類來完成。大多數(shù)特權(quán)提升累弱點都具有相對較大的相關(guān)度，他們以拒絕服務(wù)、特權(quán)提升累弱點作為攻擊前提，從而失去機密性、完整性。因此，他們的相關(guān)性小，也比較單一[5-6]。

3基于弱點相關(guān)矩陣的網(wǎng)絡(luò)安全技術(shù)

在進行弱點相關(guān)性網(wǎng)絡(luò)安全問題分析之前，首先需要明確分析問題的假設(shè)條件，這主要是指：單調(diào)性要求。展開而言則是指，網(wǎng)絡(luò)攻擊以正向與反向兩種模式生成，正向搜索主要是直接針對攻擊者，對攻擊者未來將可能會實施的攻擊行為進行模擬分析，而反向搜索則是針對的攻擊目標，從目標向后推相關(guān)的攻擊行為，直至推到網(wǎng)絡(luò)初始狀態(tài)為止。將弱點相關(guān)矩陣作為基礎(chǔ)，利用正反搜索生成弱點相關(guān)圖[7]。安全分析中的單調(diào)性假設(shè)能夠從某種方面將分析簡單化，它是在滿足條件下對網(wǎng)絡(luò)系統(tǒng)進行攻擊，這種方式大多是針對較為大型的復(fù)雜網(wǎng)絡(luò)。單調(diào)性假設(shè)會利用資源進行轉(zhuǎn)換，為攻擊找尋更有利的方式，獲得更有效的途徑，以達到攻擊的目的[8]。

在網(wǎng)絡(luò)系統(tǒng)遭受惡意網(wǎng)絡(luò)攻擊者攻擊時，通常都會先從自身主機開始，隨機對能夠到底的某一個主機弱點進行攻擊，然后在基于弱點相關(guān)性，對該臺主機其他有所關(guān)聯(lián)性的主機漏洞進行反復(fù)攻擊，這種連續(xù)攻擊行為將持續(xù)到計劃中的主機漏洞為止。通過這種攻擊行為將所以弱點序列組成了一個網(wǎng)絡(luò)系統(tǒng)弱點相關(guān)矩陣VCG。而網(wǎng)絡(luò)安全管理員則可以以VCG為基礎(chǔ)，建立一個正向的弱點相關(guān)圖，主要方式為以下幾步：

（1）在初始狀態(tài)下，攻擊者首先要進入一臺能夠抵達的主機hh。

（2）在主機hh中尋找到一個未曾被使用同時與前一個弱點有相關(guān)性的弱點Vi;若為攻擊者最終攻擊的目標弱點為Vi，則將攻擊鏈存在的目標記錄在VCG，從而可以避免攻擊者再利用弱點相關(guān)性攻擊其他主機。而若是沒有記錄到攻擊鏈，就需要根據(jù)弱點Vi的相關(guān)性，從攻擊者可以到達的主機hh向前再尋找到一臺沒有被使用過的主機hh+1，也可以繼續(xù)使用當前主機hh中其他相關(guān)性弱點進行攻擊。

（3）若是尋找到能夠滿足要求的hh+1則再次重復(fù)步驟2。若選擇在主機hh上繼續(xù)的，則需要在主機hh對另外一個沒有被使用過的弱點進行步驟2重復(fù)，直到將主機hh的所有弱點都進行一次查找。

由于在對攻擊鏈進行分析時，搜索的方向一直向前，各個弱點就只會出現(xiàn)一個狀態(tài)，那么VCG的節(jié)點就不會變多，給予弱點相關(guān)矩陣的VCG搜索深度同樣如此。綜上所述，VCG分析在有效避免出現(xiàn)應(yīng)用原有模型檢查網(wǎng)絡(luò)攻擊圖的同時，因為冗余會造成指數(shù)狀態(tài)保障的情況。正向搜索也更能保障VCG的完善性。

4基于弱點相關(guān)矩陣的網(wǎng)絡(luò)安全威脅指數(shù)的實驗結(jié)果

本文以某網(wǎng)絡(luò)安全檢查平臺為依托，時間跨度2020年3月1日～2020年 3月21日基于弱點相關(guān)矩陣的介入，通過對該時段的網(wǎng)絡(luò)威脅指數(shù)變化進行情況，來對弱點相關(guān)矩陣的應(yīng)用進行觀察。詳見圖1。

5 針對弱點相關(guān)性產(chǎn)生的網(wǎng)絡(luò)問題處理方案

5.1 物理措施

針對弱點相關(guān)性的網(wǎng)絡(luò)安全系統(tǒng)維護，可首先采用物理方式進行解決。如對大型交換機、大型計算機等關(guān)鍵設(shè)備，針對其設(shè)置一套完整的網(wǎng)絡(luò)安全制度，使用防輻射裝置、防火裝置等維護措施。

5.2 數(shù)據(jù)加密

網(wǎng)絡(luò)數(shù)據(jù)資料是數(shù)據(jù)機密中最為重要的工作內(nèi)容之一，如何有效地對數(shù)據(jù)采取加密則尤為重要。數(shù)據(jù)加密操作可以避免信息外泄，對惡意攻擊者盜取重要信息提供有力保障，同時，還可降低病毒傳播的概率。

5.3 訪問控制措施

對不同類型的用戶訪問要建立起相對應(yīng)的訪問權(quán)限，并對其進行認證，以保障使用人員不會影響到網(wǎng)絡(luò)系統(tǒng)正常的運行。如，可在用戶對網(wǎng)站進行訪問之前彈出對話框來提示用戶該網(wǎng)頁的安全性，這樣可以進一步的保障網(wǎng)絡(luò)系統(tǒng)的安全性。

5.4 網(wǎng)絡(luò)隔離

網(wǎng)絡(luò)隔離可以有效地保障網(wǎng)絡(luò)系統(tǒng)的安全。安全隔離措施的范圍較廣，可覆蓋整個網(wǎng)絡(luò)系統(tǒng)。

5.5 其他網(wǎng)絡(luò)安全措施

除了已經(jīng)提到的網(wǎng)絡(luò)安全措施以外，還有許多措施，如信息過濾、信息備份與信息容錯等措施都在保障網(wǎng)絡(luò)安全中可起到有效作用。

6 小結(jié)

網(wǎng)絡(luò)系統(tǒng)雖然給人們帶來了極大的便利，消除了許多以往人工工作帶來的不便。但是網(wǎng)絡(luò)系統(tǒng)是機器運行，不可避免地會受到外部因素的影響，伴隨著許多不可預(yù)測的風險，為不法攻擊者盜取信息系統(tǒng)數(shù)據(jù)提供了溫床。網(wǎng)絡(luò)系統(tǒng)中弱點的相關(guān)性不僅是惡意攻擊者對網(wǎng)絡(luò)安全攻擊的手段，也成為系統(tǒng)管理人員對網(wǎng)絡(luò)安全管理的重要方法。本文中對弱點相關(guān)性以及弱點相關(guān)矩陣進行了介紹，并對網(wǎng)絡(luò)安全威脅指數(shù)進行分析，弱點相關(guān)矩陣在網(wǎng)絡(luò)安全技術(shù)中目前已經(jīng)應(yīng)用廣泛，能夠更好地幫助網(wǎng)絡(luò)管理人員更好、更快速地應(yīng)對網(wǎng)絡(luò)攻擊，針對其進行修復(fù)工作，確保計算機網(wǎng)絡(luò)的安全性。隨著互聯(lián)網(wǎng)時代的到來，網(wǎng)絡(luò)安全對人們的生活、工作等都有著重要意義，隨著網(wǎng)絡(luò)安全技術(shù)在網(wǎng)絡(luò)發(fā)展進程中越來越重要的地位，基于弱點相關(guān)矩陣的網(wǎng)絡(luò)安全技術(shù)也一定會得到進一步的發(fā)展。

參考文獻：

[1] 匡鳳飛.分布式光纖網(wǎng)絡(luò)中層級化安全威脅指數(shù)分析[J].科學(xué)技術(shù)與工程，2018，18（11）：117-122.

[2] 楊改貞.基于置信度的網(wǎng)絡(luò)攻擊圖節(jié)點回流建模仿真[J].計算機仿真，2019，36（9）：338-341，401.

[3] 任曉賢，陳潔，李晨陽，等.基于風險矩陣的物聯(lián)網(wǎng)系統(tǒng)漏洞關(guān)聯(lián)性危害評估[J].信息網(wǎng)絡(luò)安全，2018（11）：81-88.

[4] 張弢，王金波，張濤.基于相關(guān)矩陣與概率模型的故障模糊診斷[J].系統(tǒng)工程與電子技術(shù)，2018，40（2）：346-352.

[5] 王月，呂光宏，曹勇.軟件定義網(wǎng)絡(luò)安全研究[J].計算機技術(shù)與發(fā)展，2018，28（4）：128-132.

[6] 唐贊玉，劉宏.多階段大規(guī)模網(wǎng)絡(luò)攻擊下的網(wǎng)絡(luò)安全態(tài)勢評估方法研究[J].計算機科學(xué)，2018，45（1）：245-248.

[7] 楊豪璞，邱輝，王坤.面向多步攻擊的網(wǎng)絡(luò)安全態(tài)勢評估方法[J].通信學(xué)報，2017，38（1）：187-198.

[8] Yuan J W，Malin B，ModaveF，et al.Towards a privacy preserving cohort discovery framework for clinical research networks[J].JournalofBiomedicalInformatics，2017，66：42-51.

【通聯(lián)編輯：代影】