，

(浙江理工大學(xué)信息學(xué)院，杭州 310018)

0 引 言

隨著網(wǎng)絡(luò)安全威脅變得日趨復(fù)雜，單一或獨(dú)立的網(wǎng)絡(luò)安全防護(hù)措施無法從整體上對(duì)網(wǎng)絡(luò)當(dāng)前運(yùn)行狀態(tài)和未知安全威脅作出有效的感知與預(yù)測(cè)。為增強(qiáng)各種網(wǎng)絡(luò)防護(hù)措施的關(guān)聯(lián)性,對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行融合分析和協(xié)同管理的網(wǎng)絡(luò)安全態(tài)勢(shì)感知(Network security situation awareness)研究已成為新的研究熱點(diǎn)[1-3]。當(dāng)前提出的眾多網(wǎng)絡(luò)安全感知模型與方法，基本概念均源于1988年Endsley提出的態(tài)勢(shì)感知模型概念[4]，主要分為態(tài)勢(shì)要素覺察、態(tài)勢(shì)理解和態(tài)勢(shì)投射三個(gè)階段。在這三個(gè)階段中，完整的態(tài)勢(shì)要素覺察階段需要獲取特定的特征信息，此階段主要分為主動(dòng)信息探知和被動(dòng)融合分析[5-7]。在主動(dòng)信息探知中，脆弱性掃描是最為常見的感知信息提取手段，主要通過端口掃描獲得目標(biāo)主機(jī)的開放端口、提供服務(wù)的狀態(tài)、協(xié)議類型等狀態(tài)信息來提取態(tài)勢(shì)信息,為下一階段的態(tài)勢(shì)信息融合做準(zhǔn)備。比較常用的脆弱性掃描器有Nmap、Nessus、X-scan、Zmap和Masscan等[8]。

在網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)中，為保證感知信息的實(shí)效性，感知源會(huì)較為頻繁地對(duì)目標(biāo)進(jìn)行脆弱性掃描，而脆弱性掃描過程中掃描策略的選取關(guān)系著感知信息獲取的完整性、實(shí)效性等多項(xiàng)指標(biāo)。脆弱性掃描器中主流的掃描策略主要有隨機(jī)性掃描策略、IP地址段內(nèi)掃描策略。因安全感知式的脆弱性檢測(cè)與具有入侵性質(zhì)的掃描存在類似之處，而一般同一機(jī)構(gòu)下連續(xù)的IP地址段內(nèi)主機(jī)或節(jié)點(diǎn)基本共享一套檢測(cè)機(jī)制，段內(nèi)的集中突發(fā)式的脆弱性掃描容易將具有積極反饋的感知信用連接行為判定為非信用連接的異常行為類[9-11]，所以針對(duì)目前大規(guī)模網(wǎng)絡(luò)下高速的脆弱性檢測(cè)感知探測(cè)行為，上述感知策略存在各自的不足：隨機(jī)性掃描策略存在重復(fù)掃描、無法動(dòng)態(tài)調(diào)整掃描范圍等問題，影響整體的感知效率；IP地址段內(nèi)掃描策略存在易造成對(duì)目標(biāo)的高頻掃描問題，影響后續(xù)獲取感知信息的完整性。

為保留隨機(jī)掃描策略輸出的混沌特性與IP地址段內(nèi)掃描輸出結(jié)果采樣特性,同時(shí)彌補(bǔ)各自的不足，本文在收發(fā)感知報(bào)文速率不變的情況下，提出了一種利用(廣義)Arnold變換進(jìn)行脆弱性掃描的輸出策略。該策略不僅能提供易于動(dòng)態(tài)調(diào)整的實(shí)時(shí)混沌性輸出,而且在避免對(duì)同一IP或連續(xù)IP地址段內(nèi)目標(biāo)的高頻感知行為的同時(shí)，降低了對(duì)目標(biāo)的感知強(qiáng)度。本文的研究可為大規(guī)模網(wǎng)絡(luò)下高速的安全態(tài)勢(shì)感知探測(cè)提供了更為有效的脆弱性掃描策略。

1 策略構(gòu)建

1.1 置亂模型

為避免對(duì)同一IP或連續(xù)IP地址段內(nèi)目標(biāo)的高頻感知行為，本文以連續(xù)IP地址段為感知收發(fā)單位，進(jìn)行段間置亂的感知報(bào)文收發(fā)。

對(duì)于一般的服務(wù)器等網(wǎng)絡(luò)設(shè)備，其所占IP地址資源有限，即連續(xù)IP地址首尾跳變間隔較小。而相比于歸屬較為穩(wěn)定且同一IP地址段首尾IP地址跳變間隔較大、劃分種類豐富多變的高校IP地址段，后者更適宜作為感知收發(fā)單位的參考對(duì)象。

首先，本文把IP地址分為四個(gè)字段(以IPv4版本為例)，整體記為A.B.C.D(IPv6可分為八個(gè)字段，置亂原理與下文基本相同)。表1僅顯示數(shù)據(jù)庫(純真IP數(shù)據(jù)庫[12])中提取的927個(gè)地址段中部分高校IP地址段及其C字段寬度值。

表1 四省高校部分IP地址段及C字段寬度

如表1示，所有IP地址段跳變間隔的閾值大小均能用C字段寬度值表示。

其次，對(duì)927個(gè)IP地址段進(jìn)行加權(quán)均值預(yù)處理，來確定適宜IP地址段置亂的感知收發(fā)單位。本文對(duì)IP地址段中C字段的加權(quán)預(yù)處理提出如下定義：

定義1:在IP地址中，將C字段寬度值(即連續(xù)IP地址段首尾跳變間隔)的閾值需大于等于R的特性稱為IP地址置亂特性。

本文利用向上取整加權(quán)平均數(shù)計(jì)算公式(1)計(jì)算C字段寬度值閾值的均值R：

(1)

式(1)中：Xi表示第i網(wǎng)段下C字段寬度值，Ni對(duì)應(yīng)Xi下具有相同寬度值的字段個(gè)數(shù)，Ns表示表內(nèi)所示所計(jì)算范圍內(nèi)網(wǎng)段的總個(gè)數(shù)。

對(duì)所有927個(gè)地址段使用式(1)，向上取整得R=4。即需置亂后輸出IP地址字段中C字段的閾值大于等于4。

1.2 置亂算法

常用的置亂算法包括Arnold變換、騎士巡游變換、Hilbert曲線變換、幻方變換等[13]。上述變換多用于二維的圖像處理，由1.1節(jié)可知，本文將IP地址分為四個(gè)維度，故需將A、B、C、D四個(gè)字段進(jìn)行分組預(yù)處理，即每組的一對(duì)值分別對(duì)應(yīng)圖像置亂中的橫縱坐標(biāo)值。最后對(duì)兩組結(jié)果組合輸出IP地址。

1.2.1 廣義Arnold變換

廣義的Arnold變換[14]是在V. J. Arnold提出的經(jīng)典Arnold變換基礎(chǔ)上的改進(jìn)，其變換矩陣定義如下：

相較于其他置亂算法的時(shí)間復(fù)雜度，廣義Arnold變換兩個(gè)不同系數(shù)矩陣組合，不僅可按O(1)時(shí)間復(fù)雜度實(shí)現(xiàn)典型Arnold變換N次置亂后反向映射的取值效果，而且可靈活適應(yīng)R值的變化。置亂算法在IP地址變換輸出中的比較情況見表2。

表2 置亂算法比較

表2中，鄰差表示各置亂算法在初次置亂后矩陣內(nèi)原相鄰自然數(shù)點(diǎn)對(duì)應(yīng)的橫縱坐標(biāo)值的差值。其中幻方變換在256階矩陣下為雙偶變換[16]，置亂后矩陣內(nèi)每行均有128對(duì)相鄰自然序數(shù)對(duì)，故其鄰差多數(shù)為1。

綜上所述，(廣義)Arnold變換在保證輸出IP地址序列混沌性、靈活適應(yīng)R值變化特性的同時(shí)，又可以較為快速地輸出符合IP地址置亂特性的置亂結(jié)果。

1.3 輸出方案

1.3.1 最佳輸出周期

按自然數(shù)序存儲(chǔ)的初始矩陣經(jīng)置亂后矩陣內(nèi)的有序點(diǎn)會(huì)變得“雜亂無章”，取橫(縱)坐標(biāo)值的順序方式也就影響了最終輸出的結(jié)果，存在以下兩種反向映射取數(shù)方式：

a) 置亂后按初始矩陣內(nèi)的自然數(shù)序順序取對(duì)應(yīng)的橫縱坐標(biāo)值。該取值方式簡(jiǎn)稱自然序取值。

b) 按置亂后矩陣內(nèi)的整數(shù)序取對(duì)應(yīng)初始矩陣下同一點(diǎn)對(duì)應(yīng)的橫縱坐標(biāo)值。該取值方式簡(jiǎn)稱置亂序取值。

表3—表5為3×3方陣下以矩陣A為系數(shù)矩陣，初次置亂后的不同取數(shù)方式及二維矩陣輸出序列說明。

表3 IP地址對(duì)應(yīng)的初始矩陣

表4 自然序取值

表5 置亂序取值

每種映射取數(shù)方法、不同的系數(shù)矩陣下的輸出序列具有不同的周期特性。以A矩陣為系數(shù)矩陣，置亂次數(shù)為68次時(shí)，自然序取值下的周期為例，周期數(shù)統(tǒng)計(jì)結(jié)果見表6。

表6 周期數(shù)統(tǒng)計(jì)

表6中跳變輸出周期Tc，括號(hào)前面的數(shù)值表示括號(hào)內(nèi)輸出序列行中數(shù)值的周期，其數(shù)值關(guān)系是Arnold變換中點(diǎn)間拉伸和折疊紋理特性的映射表現(xiàn)；固定輸出周期Ts為變換矩陣的階數(shù)；跳變差值X為跳變周期下橫(縱)坐標(biāo)值變化至相同時(shí)的輸出間隔差，對(duì)變換矩陣階數(shù)進(jìn)行取模運(yùn)算。

1.3.2 最佳置亂次數(shù)

圖像置亂中最佳置亂度一般與置亂分布均勻性和隨機(jī)性有關(guān)[17-18]，而非與本文應(yīng)用中提出的與IP地址置亂特性有關(guān)。因此對(duì)IP地址最佳置亂次數(shù)提出如下定義：

定義2：

Dm=(|Vn-V2|

(2)

式(2)中：Dm表示第m次置亂下，輸出序列中橫(縱)坐標(biāo)差值大于等于R值的行(列)間距值；Vn表示輸出序列中第n行的橫(縱)坐標(biāo)值；n為大于2且小于等于256的自然數(shù)；其中置亂周期內(nèi)最大的Dm對(duì)應(yīng)的置亂次數(shù)m即為最佳置亂次數(shù)，而求出最佳置亂次數(shù)時(shí)使用的橫(縱)坐標(biāo)序列值(即V值)即作為IP地址里面的C字段輸出。

1.3.3 輸出格式

依置亂算法所確定的分組特性，本文將最終輸出格式定義如下：

定義3(置亂IP地址輸出格式)：輸出序列的行中對(duì)應(yīng)的橫縱坐標(biāo)值為一組，記為An°Bn，最后輸出的IP地址格式記為Am°Bm°An°Bn。

定義3中輸出格式的組合可分為同系數(shù)矩陣同置亂次數(shù)的組合、同系數(shù)矩陣不同置亂次數(shù)的組合和不同系數(shù)矩陣置亂組合三類。為保證輸出序列采樣感知的混沌性，即繼承隨機(jī)掃描策略的輸出優(yōu)點(diǎn)，生成An°Bn輸出序列的系數(shù)矩陣宜為A或P(a>0,b>0)的組合輸出。

2 結(jié)果及分析

圖1 輸出序列中相應(yīng)IP地址間隔

圖1中橫坐標(biāo)標(biāo)目表示IP地址置亂特性閾值R=4的情況下，同一IP地址段內(nèi)不同IP地址再次被感知的記錄數(shù)；縱坐標(biāo)標(biāo)目表示在同種情況下，同一IP地址段內(nèi)不同IP地址再次被感知時(shí)的公網(wǎng)IP地址間隔數(shù)；標(biāo)值線表示三個(gè)高校內(nèi)IP地址段(以C.D位表示)同段內(nèi)不同IP地址再次被感知時(shí)的IP地址間隔數(shù)變化情況，其中總平均表示每個(gè)IP地址段的間隔數(shù)均值。

本文掃描策略與隨機(jī)掃描策略和段內(nèi)掃描策略的均值比較情況見表7。

表7 感知策略比較

注：表中數(shù)據(jù)均以R=4即一個(gè)段內(nèi)1024個(gè)IP地址為標(biāo)準(zhǔn)。

表7中本文策略下的實(shí)驗(yàn)數(shù)據(jù)是在圖1總平均間隔數(shù)下的統(tǒng)計(jì)數(shù)據(jù)，策略列中單位時(shí)間段感知強(qiáng)度為本實(shí)驗(yàn)環(huán)境下單位時(shí)間內(nèi)掃描同一網(wǎng)段IP的平均次數(shù)；整體段間采樣時(shí)間是指在同一機(jī)構(gòu)下連續(xù)的IP地址段內(nèi)主機(jī)或節(jié)點(diǎn)基本共享一套檢測(cè)機(jī)制的情況下，以IP地址段為單位，完整感知一次網(wǎng)域的平均最短時(shí)間；同地址段掃描間隔為完成基本完整的態(tài)勢(shì)感知探測(cè)行為下，相同地址段內(nèi)不同IP地址相鄰感知平均最短時(shí)間間隔。因隨機(jī)策略的感知隨機(jī)性，該策略的統(tǒng)計(jì)數(shù)值極不穩(wěn)定，僅列出本實(shí)驗(yàn)環(huán)境下的邊界值，且邊界值僅為理論情況。通過比較表7中的數(shù)據(jù)，本文策略與隨機(jī)策略和段內(nèi)策略相比，I與Ta可以維持低水平穩(wěn)定狀態(tài)，Si可以維持較高水平的穩(wěn)定狀態(tài)。

3 結(jié) 論

本文主要提出了一種安全態(tài)勢(shì)感知下態(tài)勢(shì)要素主動(dòng)提取階段的一種IP地址段間隨機(jī)跳躍式的感知掃描策略，實(shí)驗(yàn)結(jié)果表明，該方法具有以下優(yōu)勢(shì)：

a) 在不影響網(wǎng)絡(luò)安全態(tài)勢(shì)感知整體速率的情況下能根據(jù)R值動(dòng)態(tài)調(diào)整掃描間隔，較好地降低對(duì)同一連續(xù)IP地址段的段內(nèi)感知強(qiáng)度，提高整體的感知效率。

b) 本文提出的輸出策略在繼承隨機(jī)掃描策略輸出結(jié)果混沌性的特點(diǎn)的同時(shí)，解決了單位時(shí)間內(nèi)IP地址段內(nèi)掃描策略下同IP地址段內(nèi)IP感知行為過于頻繁的問題。

本文的研究?jī)H在單一的安全感知信源節(jié)點(diǎn)處進(jìn)行，然而一個(gè)感知系統(tǒng)內(nèi)的安全感知的信源節(jié)點(diǎn)通常不止一處，如何有效在不同信源節(jié)點(diǎn)分布式的協(xié)同此策略將會(huì)是后續(xù)的工作。

[1] 席榮榮,云曉春,金舒原,等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究綜述[J].計(jì)算機(jī)應(yīng)用,2012,32(1):1-4.

[2] Singh M, Bhandari P. Building a framework for network security situation awareness[C]//International Conference on Computing for Sustainable Global Development. IEEE,2016:2578-2583.

[3] Li C Q, Qiu G W. Research on network security threat management base on situation awareness platform[J]. Cyberspace Security,2017,8(1):19-23.

[4] 龔儉,臧小東,蘇琪,等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知綜述[J].軟件學(xué)報(bào),2017,28(4):1010-1026.

[5] 李林.網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)設(shè)計(jì)與關(guān)鍵模塊實(shí)現(xiàn)[D].北京:北京郵電大學(xué),2015:5-15.

[6] Mathews M, Halvorsen P, Joshi A, et al. A collaborative approach to situational awareness for cybersecurity[C]//International Conference on Collaborative Computing: Networking, Applications and Worksharing. IEEE,2017:216-222.

[7] Cheng W Z, Chen Z G, Deng X H, et al. Network security situation awareness method based on multi-source and multi-level information fusion[J]. Journal of Shanghai Jiaotong University,2015,49(8):1144-1152.

[8] 張勇.網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型研究與系統(tǒng)實(shí)現(xiàn)[D].合肥:中國科學(xué)技術(shù)大學(xué),2010:2-6.

[9] 馬超,程力,孔玲玲.云環(huán)境下SDN的流量異常檢測(cè)性能分析[J].計(jì)算機(jī)與現(xiàn)代化,2015(10):92-97.

[10] Kuze N, Shu I, Yagi T, et al. Detection of vulnerability scanning using features of collective accesses based on information collected from multiple honeypots[C]//2016 IEEE/IFIP Network Operations and Management Symposium. IEEE,2016:1067-1072.

[11] Leau Y B, Khudher A A, Manickam S, et al. An adaptive assessment and prediction mechanism in network security situation awareness[J]. Journal of Computer Science,2017,13(5):114-129.

[12] 純真.IP地址數(shù)據(jù)庫[DB/OL].[2017-07-30].http://www.cz88.net/.

[13] 文昌辭,王沁,苗曉寧,等.數(shù)字圖像加密綜述[J].計(jì)算機(jī)科學(xué),2012,39(12):6-9.

[14] 李用江.數(shù)字圖像置亂算法的研究[D].西安:西安電子科技大學(xué),2011:62-68.

[15] 謝國波,丁煜明.基于Logistic映射的可變置亂參數(shù)的圖像加密算法[J].微電子學(xué)與計(jì)算機(jī),2015(4):111-115.

[16] Jacob G, Murugan A. On the construction of doubly even order magic squares[EB/OL].(2014/02/11)[2017-07-30]. https://hal.archives-ouvertes.fr/hal-00945129.

[17] 曹光輝,胡凱,張興.圖像置亂度評(píng)估的層次分析法[J].中國圖象圖形學(xué)報(bào),2014,19(6):868-874.

[18] 郭琳琴.圖像置亂及置亂度評(píng)價(jià)方法綜述[J].西安文理學(xué)院學(xué)報(bào):自然科學(xué)版,2013,16(3):49-52.