基于圖論的網(wǎng)絡(luò)安全分析方法研究與應(yīng)用

周利琴

紹興市柯橋區(qū)婦幼保健院，浙江紹興，312000

0 引言

現(xiàn)階段，人們對(duì)于信息技術(shù)的依賴(lài)逐步增加，互聯(lián)網(wǎng)已經(jīng)成為人們?nèi)粘Ｉ町?dāng)中不可或缺的一部分，而在信息技術(shù)飛速發(fā)展的過(guò)程中，網(wǎng)絡(luò)安全工作越來(lái)越受到人們的重視。當(dāng)前，許多專(zhuān)家學(xué)者針對(duì)網(wǎng)絡(luò)安全這一話題已經(jīng)開(kāi)展了一些研究，從網(wǎng)絡(luò)漏洞（或者是網(wǎng)絡(luò)安全脆弱性）這一角度出發(fā)得到了許多提升網(wǎng)絡(luò)安全性的措施；也有部分專(zhuān)家學(xué)者結(jié)合網(wǎng)絡(luò)程序代碼這一內(nèi)容，系統(tǒng)性地分析了網(wǎng)絡(luò)運(yùn)行過(guò)程中相關(guān)錯(cuò)誤代碼和執(zhí)行錯(cuò)誤情況，并且借助軟件錯(cuò)誤注入的方式提升網(wǎng)絡(luò)整體安全性[1]。不過(guò)值得注意的是，上述方法大多與新的網(wǎng)絡(luò)脆弱性相關(guān)，盡管能夠起到一定的效果，但是卻往往存在著難度較大且數(shù)量有限的缺陷，無(wú)法從根本上提升網(wǎng)絡(luò)整體的安全性能。

結(jié)合現(xiàn)有調(diào)查和分析數(shù)據(jù)發(fā)現(xiàn)，大多數(shù)網(wǎng)絡(luò)安全事故都是由已知的安全脆弱性所引發(fā)的。鑒于此，本文創(chuàng)造性地從入侵者的角度對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行了系統(tǒng)性分析，通過(guò)相應(yīng)的掃描程序，收集了現(xiàn)有網(wǎng)絡(luò)安全中可能存在的安全脆弱信息，并且對(duì)這些信息之間的關(guān)聯(lián)性進(jìn)行了分析，隨后依托圖論的方法把這些具有關(guān)聯(lián)性的信息制作成了入侵關(guān)系圖。在此基礎(chǔ)上，本文還通過(guò)相應(yīng)的措施系統(tǒng)性地分析和評(píng)估了網(wǎng)絡(luò)系統(tǒng)的安全性，構(gòu)筑了一個(gè)量化的現(xiàn)有網(wǎng)絡(luò)安全漏洞分析模型。調(diào)研顯示，當(dāng)前盡管有部分研究實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)的層級(jí)研究，但是這些研究卻沒(méi)有結(jié)合當(dāng)前網(wǎng)絡(luò)安全的整體狀況，并且相關(guān)模型的構(gòu)建也較為理想化和淺層性，在研究廣度和深度方面存在著一定的不足之處[2]。

另外，當(dāng)前人們一般借助SAINT以及ISS等軟件進(jìn)行網(wǎng)絡(luò)漏洞的檢測(cè)和評(píng)估，盡管這些軟件具有較強(qiáng)的單機(jī)檢查功能，但是其在整體的能力分析上面卻存在一定的問(wèn)題，無(wú)法結(jié)合網(wǎng)絡(luò)運(yùn)行的實(shí)際狀況，對(duì)相應(yīng)的配件漏洞、軟件漏洞和這些漏洞之間的關(guān)系進(jìn)行系統(tǒng)整合。除此之外，這些軟件也無(wú)法實(shí)現(xiàn)對(duì)新漏洞的分析和檢測(cè)，存在著一定的局限性。因此，本文融合了現(xiàn)有的網(wǎng)絡(luò)安全機(jī)制和技術(shù)，并且在此基礎(chǔ)上提出了一個(gè)能夠?qū)W(wǎng)絡(luò)安全狀況進(jìn)行整體收集與分析的系統(tǒng)模型。

1 網(wǎng)絡(luò)多點(diǎn)入侵關(guān)系圖模型

在互聯(lián)網(wǎng)信息技術(shù)飛速發(fā)展的今天，人們除了需要做好各種網(wǎng)絡(luò)安全問(wèn)題的防范工作之外，還需要實(shí)現(xiàn)對(duì)現(xiàn)有網(wǎng)絡(luò)安全問(wèn)題的整體預(yù)警與分析。當(dāng)前許多專(zhuān)家和學(xué)者已經(jīng)構(gòu)造了諸如非干擾模型以及訪問(wèn)控制模型等的模型，盡管其在網(wǎng)絡(luò)安全設(shè)計(jì)方面有著一定的優(yōu)勢(shì)，但是卻不能夠在網(wǎng)絡(luò)安全的系統(tǒng)分析過(guò)程中發(fā)揮作用[3]。

通過(guò)對(duì)現(xiàn)有大量的網(wǎng)絡(luò)安全事故進(jìn)行分析發(fā)現(xiàn)，網(wǎng)絡(luò)入侵呈現(xiàn)出如下特點(diǎn)：?jiǎn)我坏臋C(jī)器無(wú)法實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的入侵，必須結(jié)合多個(gè)服務(wù)內(nèi)在的相應(yīng)邏輯聯(lián)系來(lái)出現(xiàn)“多點(diǎn)脆弱性”，即通過(guò)多種漏洞來(lái)暴露網(wǎng)絡(luò)系統(tǒng)的問(wèn)題所在，入侵者進(jìn)而以此為基礎(chǔ)提高自己的權(quán)限，從而實(shí)現(xiàn)入侵目的。針對(duì)這一特點(diǎn)，我們?cè)诜治鼍W(wǎng)絡(luò)安全脆弱性時(shí)，就可以結(jié)合信息采集系統(tǒng)對(duì)現(xiàn)有網(wǎng)絡(luò)安全信息的收集，建立一個(gè)網(wǎng)絡(luò)安全脆弱性量化庫(kù)以及入侵的關(guān)系圖，其具體內(nèi)容表達(dá)如下。

定義1：在計(jì)算機(jī)系統(tǒng)中，所謂的優(yōu)先權(quán)主要包括指數(shù)對(duì)（x,m）。其中，x為計(jì)算機(jī)系統(tǒng)當(dāng)中包含的對(duì)象，而m為該系統(tǒng)中的一個(gè)非空訪問(wèn)權(quán)集合。

定義2：所謂的角色主要包含帶有標(biāo)識(shí)的優(yōu)先權(quán)集合，一般來(lái)說(shuō)可以用數(shù)對(duì)表示。

定義3：事實(shí)上，從本質(zhì)上看，脆弱性指的是違反了網(wǎng)絡(luò)中相關(guān)的角色規(guī)則，通常用（host、privilege）表示。其中，前者主要是網(wǎng)絡(luò)中的主機(jī)標(biāo)識(shí)，后者則可以指由脆弱性而引發(fā)的主機(jī)權(quán)利。

定義4：在信息系統(tǒng)中，不同的主機(jī)能夠被一個(gè)包含有不同維度向量的集合所表示，這是多點(diǎn)脆弱性傳播的主要邏輯。

定義5：一般來(lái)說(shuō)可以用ekj=(gkj,tkj)來(lái)表示網(wǎng)絡(luò)系統(tǒng)中的邊，在此處，前者表示k主機(jī)侵入到j(luò)主機(jī)可能獲得的利益，而后者則能夠反映出入侵對(duì)主機(jī)所造成的威脅程度。

定義6：前者表示k主機(jī)侵入到j(luò)主機(jī)可能獲得的利益，而后者則能夠反映出入侵對(duì)主機(jī)所造成的威脅程度。

定義7：一般來(lái)說(shuō)，邊主要有如下三個(gè)種類(lèi)。①在系統(tǒng)中由于某一網(wǎng)絡(luò)安全漏洞而引起入侵，例如口令較為簡(jiǎn)單或?qū)τ谙到y(tǒng)的權(quán)限沒(méi)有進(jìn)行合理控制等。②信息系統(tǒng)所使用的網(wǎng)絡(luò)較為方便，而系統(tǒng)與入侵系統(tǒng)共用一套信任關(guān)系準(zhǔn)則，由此引發(fā)了主機(jī)入侵。③系統(tǒng)借助自身可以使用的權(quán)利進(jìn)行了入侵。

定義8：從粒度上看，網(wǎng)絡(luò)多點(diǎn)入侵還具有如下內(nèi)容。從網(wǎng)絡(luò)多點(diǎn)入侵的實(shí)質(zhì)和實(shí)際情況來(lái)看，通過(guò)邊來(lái)表示入侵，可以看作是相關(guān)信息逐步累加以及其權(quán)限逐步獲得提升的一個(gè)過(guò)程。這個(gè)過(guò)程具有不同的分段條件與分段步驟，可以借助數(shù)據(jù)融合分析尋找到其在關(guān)聯(lián)性方面的特點(diǎn)[4]。

定義9：對(duì)于信任關(guān)系的脆弱性，需要切實(shí)分析網(wǎng)絡(luò)入侵過(guò)程中主機(jī)借助信任關(guān)系而開(kāi)展的入侵過(guò)程，要將能夠檢測(cè)到的、信任關(guān)系層次各不相同的主機(jī)擴(kuò)展形成一個(gè)關(guān)聯(lián)樹(shù)，從而能夠?qū)崿F(xiàn)網(wǎng)絡(luò)安全分析過(guò)程的嚴(yán)謹(jǐn)性和科學(xué)性。

定義10：所謂的入侵目標(biāo)主要指的是網(wǎng)絡(luò)入侵所要到達(dá)的主機(jī)以及主機(jī)群體，這一目標(biāo)在數(shù)量上沒(méi)有明確的規(guī)定，只要是處于相同條件的主機(jī)即可。

定義11：所謂的入侵起始主要指的是網(wǎng)絡(luò)入侵所起始的主機(jī)以及主機(jī)群體，這一目標(biāo)在數(shù)量上沒(méi)有明確的規(guī)定，只要是處于相同條件的主機(jī)即可。

定義12：割集指的是在網(wǎng)絡(luò)系統(tǒng)中，部分主機(jī)的合集，只有將這一合集當(dāng)中所有的主機(jī)都進(jìn)行入侵，那么入侵者才能實(shí)現(xiàn)其既定的入侵目標(biāo)。

定義13：所謂的路集，主要指的是在網(wǎng)絡(luò)系統(tǒng)中，部分主機(jī)的合集，只有將這一合集當(dāng)中所有的主機(jī)都進(jìn)行了入侵，入侵者才能實(shí)現(xiàn)其既定的入侵目標(biāo)。

除此之外，在網(wǎng)絡(luò)入侵關(guān)系中多點(diǎn)脆弱性主要有如下幾個(gè)方面的特征。

（1）動(dòng)態(tài)性。因?yàn)槌跏贾R(shí)較為片面，在入侵目標(biāo)逐步達(dá)成的情況下，入侵者能夠獲取更加充足的主機(jī)信息，從而能夠更加全面低了解網(wǎng)絡(luò)系統(tǒng)的資源和配置情況。因此在入侵模型中，必須確立動(dòng)態(tài)的點(diǎn)和邊。

（2）邊信息具有多樣性。介于兩個(gè)頂點(diǎn)中的邊，一般來(lái)說(shuō)需要具有一定的方法、收益、風(fēng)險(xiǎn)以及代價(jià)信息等。

（3）具有多聯(lián)通邊的特點(diǎn)。這一特點(diǎn)主要指的是在兩個(gè)頂點(diǎn)位置可以存在不止一條邊，從開(kāi)始點(diǎn)到其他節(jié)點(diǎn)能夠檢測(cè)到多條路徑。

2 安全脆弱性威脅量化的層次分析模型

為了對(duì)網(wǎng)絡(luò)系統(tǒng)開(kāi)展較為全面和準(zhǔn)確的分析與評(píng)價(jià)，現(xiàn)階段已經(jīng)建立了相應(yīng)的安全脆弱性數(shù)據(jù)庫(kù)，同時(shí)結(jié)合網(wǎng)絡(luò)安全決策這一問(wèn)題提供了相應(yīng)的模塊接口。分析網(wǎng)絡(luò)系統(tǒng)已有的安全事故情況以及安全機(jī)制運(yùn)行狀況，可以將網(wǎng)絡(luò)系統(tǒng)中的安全脆弱性特點(diǎn)進(jìn)行系統(tǒng)總結(jié)，同時(shí)也可以結(jié)合一定的方法定量評(píng)估相關(guān)安全脆弱性的風(fēng)險(xiǎn)等級(jí)。在這其中，層次分析法是一種較為常用的分析方法，該法能夠?qū)崿F(xiàn)定性和定量分析的有機(jī)結(jié)合，并且能將安全脆弱性中的相關(guān)威脅要素進(jìn)行層次分析[5]。實(shí)際上，層次分析法的利用也與網(wǎng)絡(luò)安全決策較為吻合，其在實(shí)施過(guò)程中需要遵循以下幾個(gè)步驟：

（1）建立一個(gè)層次結(jié)構(gòu)模型；

（2）建立一個(gè)判斷矩陣；

（3）對(duì)系統(tǒng)中的層次進(jìn)行單排序，并且計(jì)算其一致性；

（4）對(duì)系統(tǒng)中的層次進(jìn)行總排序，并且計(jì)算其一致性；

（5）在特殊情況下，還需要對(duì)判斷矩陣和層次模型進(jìn)行及時(shí)的修正與調(diào)節(jié)。

值得注意的是，在各模型中包含著一定的底層要素，這些底層要素具體有：

（1）條件關(guān)聯(lián)性，這一要素主要指的是入侵時(shí)所需滿足的條件以及相關(guān)條件的確定性；

（2）入侵的可檢測(cè)性，這一要素主要指入侵者所采取的入侵方式能否實(shí)現(xiàn)檢測(cè)，以及在檢測(cè)過(guò)程中所出現(xiàn)的漏檢率；

（3）入侵的可處理性，這一要素主要指的是在解決入侵者所造成的問(wèn)題時(shí)所產(chǎn)生的資源消耗量；

（4）入侵存在的條件普遍性，這一要素主要指的是入侵者實(shí)施入侵行為時(shí)，在網(wǎng)絡(luò)系統(tǒng)中發(fā)生的具體概率；

（5）入侵條件存在的時(shí)間，這一要素主要指的是結(jié)合現(xiàn)有網(wǎng)絡(luò)漏洞庫(kù)，分析入侵行為的存在時(shí)間；

（6）入侵的可操作性，這些要素主要指的是分析入侵者產(chǎn)生入侵行為時(shí)的技術(shù)特點(diǎn)與操作難度的大小；

（7）入侵的可持續(xù)性，這一要素主要指的是入侵者在實(shí)現(xiàn)其入侵目標(biāo)之前所消耗的時(shí)間；

（8）入侵所產(chǎn)生的后果，這一要素主要指的是入侵對(duì)系統(tǒng)所產(chǎn)生的破壞程度；

（9）入侵對(duì)象的重要程度，這些要素主要指的是入侵者所攻擊的對(duì)象在角色量級(jí)上的重要程度。

3 基于入侵關(guān)系圖的網(wǎng)絡(luò)安全決策分析方法

在對(duì)所建立的基于圖論的安全決策進(jìn)行分析時(shí)，首先需要對(duì)相應(yīng)的網(wǎng)絡(luò)安全信息進(jìn)行預(yù)處理，一般來(lái)說(shuō)，包含以下幾個(gè)方面的內(nèi)容。

步驟一：通過(guò)信息采集系統(tǒng)來(lái)對(duì)所使用的主機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)內(nèi)部和外部的全方位掃描，以此來(lái)得到網(wǎng)絡(luò)中操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)器端口等方面的信息[6]。

步驟二：將上述步驟中獲取的掃描信息進(jìn)行格式轉(zhuǎn)換，并且統(tǒng)一置于安全漏洞信息庫(kù)中，其中所包含的主要內(nèi)容有操作系統(tǒng)的版本號(hào)以及操作系統(tǒng)與服務(wù)之間的關(guān)系等。

步驟三：實(shí)現(xiàn)對(duì)不同安全漏洞之間的邏輯分析，融合其信任度，這一過(guò)程一般需要利用到證據(jù)理論，能夠解決不同信息之間的沖突。

步驟四：將上述步驟中的處理結(jié)果構(gòu)造成一個(gè)完整的網(wǎng)絡(luò)入侵關(guān)系圖。

現(xiàn)階段，筆者團(tuán)隊(duì)通過(guò)原型系統(tǒng)建立了一個(gè)安全漏洞庫(kù)，該漏洞庫(kù)除了現(xiàn)有的近300條漏洞信息之外，還能夠依托網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)漏洞庫(kù)內(nèi)容的實(shí)時(shí)更新。在此基礎(chǔ)上，網(wǎng)絡(luò)安全決策分析方法的主要實(shí)施步驟如下。

（1）路徑分析方法的實(shí)施步驟：①選擇合適的入侵起始和目標(biāo)集；②搜索現(xiàn)有的入侵關(guān)系圖，尋找可能性最大的入侵路徑；③對(duì)上述步驟中可能出現(xiàn)的路徑開(kāi)展價(jià)值分析和標(biāo)記；④使用表格以及圖形顯示分析結(jié)果[7]。

（2）威脅分析的實(shí)施步驟：①分析并且記錄不同的邊在可能出現(xiàn)的路徑中出現(xiàn)的次數(shù)；②定量計(jì)算不同路徑中不同邊的威脅程度，把最低值作為該邊入侵路徑的威脅等級(jí)；③對(duì)計(jì)算出的威脅值大小進(jìn)行比較，把最大值作為入侵起始集到目標(biāo)集過(guò)程中的最大威脅等級(jí)；④統(tǒng)計(jì)不同邊在相應(yīng)路徑當(dāng)中出現(xiàn)的頻率，按照由大到小的順序排列，該順序就是網(wǎng)絡(luò)脆弱環(huán)節(jié)[8]。

（3）態(tài)勢(shì)分析的實(shí)施步驟：①統(tǒng)計(jì)所有路徑中的邊數(shù)，并且將該數(shù)值記錄為n；②統(tǒng)計(jì)并計(jì)算上述邊中可能會(huì)被入侵的主機(jī)數(shù)量，并且將該數(shù)值記錄為m；③n和m比值的大小，即為整個(gè)系統(tǒng)網(wǎng)絡(luò)的威脅程度；④在入侵關(guān)系圖中，路集元素?cái)?shù)量表示為a，可以用來(lái)指代系統(tǒng)的脆弱程度；⑤在入侵關(guān)系圖中，割集元素?cái)?shù)量表示為b，可以用來(lái)指代系統(tǒng)的堅(jiān)固程度[9]。

（4）防御分析的實(shí)施步驟：該步驟需要結(jié)合網(wǎng)絡(luò)入侵的實(shí)際情況，判斷對(duì)網(wǎng)絡(luò)整體以及局部入侵的危險(xiǎn)等級(jí)，提出具有針對(duì)性的防御措施和建議，并且可以智能化地實(shí)現(xiàn)對(duì)相關(guān)建議和措施的付出和收益的量化分析。

4 系統(tǒng)實(shí)現(xiàn)原型分析

在實(shí)驗(yàn)室中，基于圖論的網(wǎng)絡(luò)安全分析包含如下幾個(gè)方面的內(nèi)容以及具體功能：信息采集系統(tǒng)主要包括對(duì)相關(guān)硬件的端口掃描、操作系統(tǒng)的識(shí)別以及相關(guān)主機(jī)的內(nèi)部掃描功能。漏洞庫(kù)系統(tǒng)能夠?qū)崿F(xiàn)對(duì)現(xiàn)有各種安全脆性的實(shí)時(shí)查詢與分析，并且能夠結(jié)合網(wǎng)絡(luò)安全的變化，實(shí)現(xiàn)對(duì)漏洞信息的實(shí)時(shí)更新。決策分析系統(tǒng)能夠結(jié)合漏洞的特性以及其中的關(guān)聯(lián)度來(lái)進(jìn)行整體分析，進(jìn)而為安全管理員的操作行為提供準(zhǔn)確的數(shù)據(jù)支撐。圖形顯示系統(tǒng)主要能夠借助表格或圖形等形式，將系統(tǒng)的決策分析內(nèi)容進(jìn)行及時(shí)發(fā)布[10]。除此之外，盡管該系統(tǒng)模型能夠起到一定程度的網(wǎng)絡(luò)安全效果，但是客觀來(lái)看，仍然存在一些不足之處，例如整個(gè)系統(tǒng)的智能化程度有待提升、系統(tǒng)中相關(guān)細(xì)節(jié)仍然需要完善等。

5 結(jié)論

綜上所述，借助圖論的方法，對(duì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行系統(tǒng)分析，能夠突破傳統(tǒng)網(wǎng)絡(luò)安全分析過(guò)程中的不足之處，全面高效低尋找到網(wǎng)絡(luò)系統(tǒng)中的多點(diǎn)脆弱性，從而減輕管理員在安全分析過(guò)程中的工作壓力，提升安全管理的質(zhì)量和效果。不過(guò)，本研究同樣也存在一定的不足之處，今后可以從不斷完善和補(bǔ)充網(wǎng)絡(luò)脆弱性庫(kù)、提升網(wǎng)絡(luò)系統(tǒng)參數(shù)抽象的準(zhǔn)確性以及進(jìn)一步簡(jiǎn)化該模型的圖形等方面改進(jìn)。