刘浩

摘要：随着计算机网络的高速发展，网络信息安全性问题变得愈来愈受到重视。网络攻击者不但利用单个弱点来对网络系统进行攻击，甚至还会将多个主机弱点进行结合来对网络进行攻击，这对网络安全而言是极大的威胁。该文基于弱点相关矩阵的网络安全威胁指数进行分析。

关键词：弱点;相关矩阵;网络安全;威胁指数

中图分类号：TP393      文献标识码：A

文章编号：1009-3044（2021）13-0051-02

随着“互联网+”时代的来临，网络已成为人们日常生活中必不可少的组成部分，逐渐渗透到人们生活的方方面面，而网络安全则成为关注的重点[1]。不法攻击者将会通过单个弱点或多个主机弱点來对网络系统进行攻击，这对网络系统安全埋下了重大隐患。随着我国科技的稳步发展，对网络安全也越来越重视，为了能够对网络信息安全情况给予更准确的评估，则需要对网络安全性进行更加深入的研究分析，通过综合利用多弱点、多主机联合的方式对网络安全进行有效评估对目前网络系统安全有着积极作用。弱点相关矩阵的安全模型能够通过对弱点相关性的计算，更为有效的应对网络攻击，准确快速的识别到网络系统中的安全漏洞，对网络安全威胁指数进行分析，从而保障网络系统的安全系数。

1网络弱点相关性

弱点相关性主要是指：在特定的环境中，网络攻击者通过利用节点上的弱点来获取权限，将非法获取的权限作为基础，通过其他的弱点对其进行攻击，反复多次，直至达到其目的。使用一个弱点和另外的弱点进行联合，创造出攻击环境，让弱点在同一主机上运行多个不同的软件，运用多个的网络节点[2]。由于不同的弱点在攻击者不同的操作中具有不同的作用，若多个弱点同时在网络中受到攻击将会有更大的影响。在过去进行弱点研究还主要集中在弱点的分类以及弱点的安全评估上，很少对不同弱点之间的关联性进行关注，从而导致出现网络系统防护漏洞。为了解决这个问题，网络安全技术研究人员提出了软件系统弱点相关性概念，通过弱点相关性这一概念来分析攻击者在攻击过程中弱点的相互联系，更准确地监测网络系统的安全性，更快速地对漏洞采取修补。因此网络系统中弱点相关性不仅是攻击者对网络系统进行攻击的突破口，也成为系统管理员来保障网络系统安全的关键[3]。

2弱点相关矩阵

网络安全技术研究人员对弱点相关性进行研究过程中弱点相关矩阵的方法受到广泛运用，即运用函数 c（v1，v2）代表任意两个弱点之间的相关性，函数取布尔值（0或1）。采用之前理论分析出的其中一个弱点v1可以直接成为攻击另一个弱点的条件v2的前提条件，则c（v1，v2）=1;若弱点v1不可以直接成为攻击另一个弱点的条件v2的前提条件则c（v1，v2）=0。c（v1，v2）=1意味着v1存在在不同主机A和B，攻击者在主机A的弱点v对主机B的弱点采取攻击。将目前已掌握的弱点利用条件于攻击结果进行比对，可以分析出任意两个弱点之间的关联性。然后，将有关联性的弱点进行汇总，就可以构成一个以0和1为元素的矩阵。弱点相关矩阵是网络安全技术研究中的重点之一，通过弱点相关性的网络技术利用弱点相关矩阵对区域网中主机所存在的弱点有一个更为清晰的认识，并对可能会出现的漏洞或已经出现的漏洞进行及时的修补，更好地保障了网络系统的安全性[4]。

根据现在厂家以及安全机构公布的弱点，结合国内外优秀的网络安全知识和网络安全专家的经验，成立弱点相关矩阵。当前在国际上最为权威的弱点数据库有：CVE、BUGTRAQ以及OSVDB等。从数据库中可以看到，目前已知的弱点有10000个左右，根据已知弱点构建出相关的矩阵的方案是可行的。由于他们大部分是本地弱点，无法被远程操控，具有相对较小的关注度，相关性也比较单一。同时，构造弱点相关矩阵还可以通过弱点的分类来完成。大多数特权提升累弱点都具有相对较大的相关度，他们以拒绝服务、特权提升累弱点作为攻击前提，从而失去机密性、完整性。因此，他们的相关性小，也比较单一[5-6]。

3基于弱点相关矩阵的网络安全技术

在进行弱点相关性网络安全问题分析之前，首先需要明确分析问题的假设条件，这主要是指：单调性要求。展开而言则是指，网络攻击以正向与反向两种模式生成，正向搜索主要是直接针对攻击者，对攻击者未来将可能会实施的攻击行为进行模拟分析，而反向搜索则是针对的攻击目标，从目标向后推相关的攻击行为，直至推到网络初始状态为止。将弱点相关矩阵作为基础，利用正反搜索生成弱点相关图[7]。安全分析中的单调性假设能够从某种方面将分析简单化，它是在满足条件下对网络系统进行攻击，这种方式大多是针对较为大型的复杂网络。单调性假设会利用资源进行转换，为攻击找寻更有利的方式，获得更有效的途径，以达到攻击的目的[8]。

在网络系统遭受恶意网络攻击者攻击时，通常都会先从自身主机开始，随机对能够到底的某一个主机弱点进行攻击，然后在基于弱点相关性，对该台主机其他有所关联性的主机漏洞进行反复攻击，这种连续攻击行为将持续到计划中的主机漏洞为止。通过这种攻击行为将所以弱点序列组成了一个网络系统弱点相关矩阵VCG。而网络安全管理员则可以以VCG为基础，建立一个正向的弱点相关图，主要方式为以下几步：

（1）在初始状态下，攻击者首先要进入一台能够抵达的主机hh。

（2）在主机hh中寻找到一个未曾被使用同时与前一个弱点有相关性的弱点Vi;若为攻击者最终攻击的目标弱点为Vi，则将攻击链存在的目标记录在VCG，从而可以避免攻击者再利用弱点相关性攻击其他主机。而若是没有记录到攻击链，就需要根据弱点Vi的相关性，从攻击者可以到达的主机hh向前再寻找到一台没有被使用过的主机hh+1，也可以继续使用当前主机hh中其他相关性弱点进行攻击。

（3）若是寻找到能够满足要求的hh+1则再次重复步骤2。若选择在主机hh上继续的，则需要在主机hh对另外一个没有被使用过的弱点进行步骤2重复，直到将主机hh的所有弱点都进行一次查找。

由于在对攻击链进行分析时，搜索的方向一直向前，各个弱点就只会出现一个状态，那么VCG的节点就不会变多，给予弱点相关矩阵的VCG搜索深度同样如此。综上所述，VCG分析在有效避免出现应用原有模型检查网络攻击图的同时，因为冗余会造成指数状态保障的情况。正向搜索也更能保障VCG的完善性。

4基于弱点相关矩阵的网络安全威胁指数的实验结果

本文以某网络安全检查平台为依托，时间跨度2020年3月1日～2020年 3月21日基于弱点相关矩阵的介入，通过对该时段的网络威胁指数變化进行情况，来对弱点相关矩阵的应用进行观察。详见图1。

5 针对弱点相关性产生的网络问题处理方案

5.1 物理措施

针对弱点相关性的网络安全系统维护，可首先采用物理方式进行解决。如对大型交换机、大型计算机等关键设备，针对其设置一套完整的网络安全制度，使用防辐射装置、防火装置等维护措施。

5.2 数据加密

网络数据资料是数据机密中最为重要的工作内容之一，如何有效地对数据采取加密则尤为重要。数据加密操作可以避免信息外泄，对恶意攻击者盗取重要信息提供有力保障，同时，还可降低病毒传播的概率。

5.3 访问控制措施

对不同类型的用户访问要建立起相对应的访问权限，并对其进行认证，以保障使用人员不会影响到网络系统正常的运行。如，可在用户对网站进行访问之前弹出对话框来提示用户该网页的安全性，这样可以进一步的保障网络系统的安全性。

5.4 网络隔离

网络隔离可以有效地保障网络系统的安全。安全隔离措施的范围较广，可覆盖整个网络系统。

5.5 其他网络安全措施

除了已经提到的网络安全措施以外，还有许多措施，如信息过滤、信息备份与信息容错等措施都在保障网络安全中可起到有效作用。

6 小结

网络系统虽然给人们带来了极大的便利，消除了许多以往人工工作带来的不便。但是网络系统是机器运行，不可避免地会受到外部因素的影响，伴随着许多不可预测的风险，为不法攻击者盗取信息系统数据提供了温床。网络系统中弱点的相关性不仅是恶意攻击者对网络安全攻击的手段，也成为系统管理人员对网络安全管理的重要方法。本文中对弱点相关性以及弱点相关矩阵进行了介绍，并对网络安全威胁指数进行分析，弱点相关矩阵在网络安全技术中目前已经应用广泛，能够更好地帮助网络管理人员更好、更快速地应对网络攻击，针对其进行修复工作，确保计算机网络的安全性。随着互联网时代的到来，网络安全对人们的生活、工作等都有着重要意义，随着网络安全技术在网络发展进程中越来越重要的地位，基于弱点相关矩阵的网络安全技术也一定会得到进一步的发展。

参考文献：

[1] 匡凤飞.分布式光纤网络中层级化安全威胁指数分析[J].科学技术与工程，2018，18（11）：117-122.

[2] 杨改贞.基于置信度的网络攻击图节点回流建模仿真[J].计算机仿真，2019，36（9）：338-341，401.

[3] 任晓贤，陈洁，李晨阳，等.基于风险矩阵的物联网系统漏洞关联性危害评估[J].信息网络安全，2018（11）：81-88.

[4] 张弢，王金波，张涛.基于相关矩阵与概率模型的故障模糊诊断[J].系统工程与电子技术，2018，40（2）：346-352.

[5] 王月，吕光宏，曹勇.软件定义网络安全研究[J].计算机技术与发展，2018，28（4）：128-132.

[6] 唐赞玉，刘宏.多阶段大规模网络攻击下的网络安全态势评估方法研究[J].计算机科学，2018，45（1）：245-248.

[7] 杨豪璞，邱辉，王坤.面向多步攻击的网络安全态势评估方法[J].通信学报，2017，38（1）：187-198.

[8] Yuan J W，Malin B，ModaveF，et al.Towards a privacy preserving cohort discovery framework for clinical research networks[J].JournalofBiomedicalInformatics，2017，66：42-51.

【通联编辑：代影】