王文飛，張志峰

?

基于多維攻防博弈機制的LTE-5G網(wǎng)絡防御算法研究

*王文飛1，張志峰2

（1.滁州職業(yè)技術(shù)學院，安徽，滁州 239000；2.內(nèi)蒙古民族大學計算機科學與技術(shù)學院，內(nèi)蒙古，通遼 028000）

針對當前LTE-5G網(wǎng)絡防御算法需要預設先決條件，且在多維攻擊環(huán)境下難以實現(xiàn)防御行為自收斂等難題，提出了一種基于多維攻防博弈機制的LTE-5G網(wǎng)絡防御算法。首先，對攻擊行為進行大數(shù)據(jù)建模，綜合考慮攻擊行為數(shù)學分布特性，即DDos攻擊特性，并精確匹配DDos攻擊帶寬，實現(xiàn)對攻擊危害行為的確定性分析，提高網(wǎng)絡主動防御性能，達到對攻擊行為預分析的目的；隨后，考慮到傳統(tǒng)算法的網(wǎng)絡收斂概率評估較差的問題，采取Q分析方式進行隨機博弈，構(gòu)建了Q博弈-單向數(shù)據(jù)攻擊模型，成功獲取單向數(shù)據(jù)攻擊集合，并進行了攻擊行為持續(xù)期間的納什均衡，改善算法的網(wǎng)絡防御效果。仿真實驗證明：與當前LTE-5G網(wǎng)絡中廣泛使用的次高頻載波指紋網(wǎng)絡過濾防御算法（Secondary High Frequency Carrier Fingerprint Network Filtering Defense Algorithm，SHFCF-FD算法）、帶寬峰值匹配過濾防御算法（Bandwidth Peak Matching Filtering Defense Algorithm，BPMFD算法）相比，所提算法具有更大的抗攻擊帶寬強與網(wǎng)絡傳輸帶寬，以及更低的裁決錯誤率低與信道誤碼率，具有很強的實際部署價值。

LTE-5G網(wǎng)絡；多維攻防；博弈機制； Q分析；DDos攻擊帶寬；納什均衡

0 引言

隨著以區(qū)塊鏈2.0為代表的LTE-5G新興技術(shù)正在得到大規(guī)模應用，其價值鏈的商業(yè)風險與價值也隨之提升。由于基于區(qū)塊鏈2.0為代表的LTE-5G新興技術(shù)的商業(yè)資產(chǎn)均分散部署于網(wǎng)絡終端中，實現(xiàn)了迄今為止最大規(guī)模的“去中心化”的部署應用，相應安全事件的發(fā)生也呈現(xiàn)爆炸式增加的態(tài)勢[1]?？紤]到當前信息存儲終端具有帶寬、存儲、芯片計算受限的特性，攻擊者均處于絕對的優(yōu)勢地位，因此需要針對攻擊者具有的多維攻擊特性進行大規(guī)模云建模，使得防御方能夠在一定資金成本條件下實現(xiàn)對攻擊源的有效管控。通過一定博弈論及關系建模思想取得基于納什均衡條件下的策略均衡，成為當前LTE-5G安全防護層面的研究熱點之一[2]。

為進一步提高網(wǎng)絡防御方的抗攻擊效率，增強網(wǎng)絡安全系數(shù)，當前研究者提出了若干基于完全信息假設理論的解決方案，在一定程度上減少了網(wǎng)絡安全事件發(fā)生的頻率。Zhang[3]等提出了一種基于特權(quán)等級劃分機制的LTE-5G網(wǎng)絡防御算法，該算法通過將網(wǎng)絡入侵攻擊強度等特征維度進行等級劃分方式，計算出防御方所需的納什平衡方程，并依據(jù)該方程解的等級強度作為資源調(diào)度依據(jù)，能夠?qū)崿F(xiàn)常規(guī)條件下安全防御資源最佳調(diào)度利用。但是，該算法在LTE-5G場景中未考慮網(wǎng)絡攻擊方及防守方所具有的高流動性特點，實現(xiàn)過程具有復雜度高的不足，應用效果不佳。Liu[4]等提出了一種基于完全隨機博弈匹配機制的LTE-5G網(wǎng)絡防御算法，通過構(gòu)建完全節(jié)點攻擊對稱映射模型的方式，實現(xiàn)了攻擊行為-防御策略的實時匹配，且具有良好的數(shù)據(jù)彈性。然而，該算法需要針對全部LTE-5G節(jié)點進行自適應匹配，且采取基于遍歷機制的匹配算法，因此該算法的收斂性能較差，難以勝任高流動性條件下的LTE-5G網(wǎng)絡環(huán)境。Yu[5]等提出了一種基于動態(tài)單維度指紋匹配機制的LTE-5G網(wǎng)絡防御算法，該方案通過追蹤大規(guī)模DDos攻擊源的方式，實現(xiàn)了LTE-5G網(wǎng)絡異常流量的清洗，清洗過程具有便捷性和易操作性，實踐意義較好，不過該算法僅能針對DDos一種攻擊方式，且清洗過程對網(wǎng)絡傳輸性能具有較大的影響，極易導致傳輸鏈路出現(xiàn)抖動現(xiàn)象。

為了解決上述問題，本文提出了一種新的基于多維攻防博弈機制，該機制主要通過大數(shù)據(jù)建模方式實現(xiàn)對網(wǎng)絡攻擊危害行為的一次定位，且能夠?qū)粜袨檫M行預分析，實現(xiàn)對網(wǎng)絡異常攻擊源的精確解析；此外，本文算法考慮到實踐中LTE-5G網(wǎng)絡具有的魯棒性特點，采取博弈的方式實現(xiàn)了網(wǎng)絡性能的迅速收斂，且納什均衡解能夠側(cè)重于防御方的利益，實踐意義較強。最后通過NS2仿真實驗證明了本文算法的優(yōu)越性能。

1 本文大數(shù)據(jù)模型概述

針對LTE-5G網(wǎng)絡固有的高流動性、低拓撲確定性等特點，且網(wǎng)絡架構(gòu)具有隨機流動性，因此，對網(wǎng)絡防御-攻擊模型做如下的假設[6]：

1）LTE-5G網(wǎng)絡具有攻擊-防御數(shù)據(jù)流高流動性特性，當前數(shù)據(jù)模型生存周期內(nèi)進行網(wǎng)絡攻擊的異常數(shù)據(jù)源與網(wǎng)絡中負責進行防御的數(shù)據(jù)服務機制在下一個周期內(nèi)至少更換50%，且異常數(shù)據(jù)源出現(xiàn)時機呈現(xiàn)明顯的隨機分布特性[7]；

2）防御策略的啟動具有隨機特性，即任意某時刻啟動防御策略的時候均是隨機調(diào)取防御資源，按照一定的匹配機制與攻擊行為進行匹配交互，從而實現(xiàn)對攻擊行為的有效抑制[8]；

3）LTE-5G網(wǎng)絡攻擊數(shù)據(jù)具有云化特性，即任意節(jié)點均可能成為攻擊對象，節(jié)點需要綜合整個網(wǎng)絡中的防御資源進行匹配防御，從而實現(xiàn)對整個防御流程的自適應匹配[9]。

由于LTE-5G網(wǎng)絡節(jié)點具有高流動特性，因此節(jié)點需要調(diào)集防御帶寬進行DDos對沖操作，且該操作過程中調(diào)集的防御帶寬可以在下一個傳輸周期中重復使用，其防御成本滿足[10]：

當N路DDos同時進行網(wǎng)絡攻擊時，防御成本遵循如下的模型：

根據(jù)式（1）~（2）可知：LTE-5G網(wǎng)絡在進行安全防御過程中，需要針對DDos攻擊源帶寬及相關參數(shù)進行針對性匹配，且剩余節(jié)點需要存儲必要的防御帶寬，以便隨時應付下一時刻突發(fā)DDos流量攻擊。

2 基于多維攻防博弈機制的LTE-5G網(wǎng)絡防御算法

由上文可知，LTE-5G網(wǎng)絡需要進行網(wǎng)絡安全防御過程時，限制其防御能力最大化的制約因素為其對抗網(wǎng)絡攻擊所付出的節(jié)點成本及帶寬成本，此外在實踐過程中需要考慮到搜尋過程的收斂特性等因素；若這些因素出現(xiàn)異常，則會發(fā)生嚴重的網(wǎng)絡抖動，甚至出現(xiàn)不可預測的安全問題[11]?？紤]到當前實踐過程中相關機制存在的問題，本文綜合考慮節(jié)點防御行為、模型歸納、流量清洗等清洗，整套算法由攻擊模型-集合收斂解析、Q博弈-單向數(shù)據(jù)攻擊模兩個部分構(gòu)成，詳情如下所述。

2.1 根據(jù)攻擊行為數(shù)學分布和當前DDos分布列構(gòu)建攻擊模型-集合收斂解析

模型（3）、（4）的參數(shù)等同。

2.2 Q博弈-單向數(shù)據(jù)攻擊模的構(gòu)建與解析

式（9）中的參數(shù)同式（3）~（8）

本文算法的詳細流程如下：

Step 2：發(fā)現(xiàn)DDos攻擊，則轉(zhuǎn)Step 3，反之則繼續(xù)處于待命狀態(tài)；

Step 5 ：算法結(jié)束。

算法流程圖如圖1所示：

圖 1 算法流程圖

4 仿真實驗

4.1 仿真環(huán)境設置

為證明本文算法的有效性，本文設置NS2仿真實驗環(huán)境，仿真對比方案為當前LTE-5G網(wǎng)絡中廣泛使用的次高頻載波指紋網(wǎng)絡過濾防御算法[13]（Secondary High Frequency Carrier Fingerprint Network Filtering Defense Algorithm，SHFCF-FD算法）、帶寬峰值匹配過濾防御算法[14]（Bandwidth Peak Matching Filtering Defense Algorithm，BPMFD算法）。為便于進行性能對比，LTE-5G網(wǎng)絡采取常用的512QPSK調(diào)制方式，仿真指標采取抗攻擊帶寬強度、網(wǎng)絡傳輸帶寬、裁決錯誤率、信道誤碼率等指標，參數(shù)表如下：

表1 仿真參數(shù)

Table 1 Simulation parameters

4.2 仿真性能對比

（1）抗攻擊帶寬強度

圖2為本文算法與SHFCF-FD算法、BPMFD算法在DDos攻擊帶寬不斷增強時，LTE-5G網(wǎng)絡的抗攻擊帶寬強度測試結(jié)果。由圖可知，本文算法在DDos攻擊帶寬不斷增強時，抗攻擊帶寬強度始終要顯著高于對照組算法，抗DDos攻擊效果良好；SHFCF-FD算法及BPMFD算法對應的抗攻擊帶寬強度始終低于本文算法，且性能曲線上升幅度較小，抗攻擊性能較差。這是由于本文算法采取多維攻防博弈機制，能夠針對網(wǎng)絡中隨機出現(xiàn)的攻擊行為進行攻擊模型-集合收斂解析，第一時間即可進行流量清洗，實現(xiàn)對網(wǎng)絡攻擊行為的精確匹配，大大提高了算法對攻擊帶寬的適應性能；SHFCF-FD算法、BPMFD算法均采取簡單過濾機制，僅根據(jù)網(wǎng)絡現(xiàn)存的防御資源進行流量過濾清洗，難以適應隨機變化的實際攻擊行為，因此抗攻擊帶寬強度要顯著低于本文算法。

圖2 抗攻擊帶寬強度的測試結(jié)果

（2）網(wǎng)絡傳輸帶寬

圖3顯示了本文算法與SHFCF-FD算法、BPMFD算法在抗攻擊帶寬強度不斷增大時，LTE-5G網(wǎng)絡的網(wǎng)絡傳輸帶寬的測試結(jié)果。由圖可知，隨著抗攻擊帶寬強度的不斷增加，本文算法與對照組算法均呈現(xiàn)網(wǎng)絡傳輸帶寬不斷下降的態(tài)勢，顯示了LTE-5G網(wǎng)絡針對網(wǎng)絡攻擊耗費了更多的防御資源，不過本文算法的網(wǎng)絡傳輸帶寬始終處于較高的水平，且波動幅度要顯著低于對照組算法；這是由于本文算法采取Q博弈-單向數(shù)據(jù)攻擊模解析的方式，能夠針對DDos行為發(fā)生的時間及相應攻擊特征進行精確匹配，能夠大大降低抗攻擊的成本，顯著提升網(wǎng)絡傳輸性能，具有顯著的優(yōu)勢。PIMF算法及ND-SES算法針對攻擊帶寬均采取一次清洗機制，無法復用冗余帶寬，且在遭受網(wǎng)絡攻擊時存在嚴重的帶寬抖動現(xiàn)象，因此網(wǎng)絡傳輸帶寬均要差于本文算法。

圖3 網(wǎng)絡傳輸帶寬測試結(jié)果

（3）錯誤裁決率

圖3顯示了本文與SHFCF-FD算法、BPMFD算法在信道信噪比不斷提高的前提下，錯誤裁決率的測試結(jié)果。由圖可知，隨著信道信噪比性能的不斷提高，本文算法與SHFCF-FD算法、BPMFD算法均呈現(xiàn)裁決錯誤率不斷提高的趨勢，然而，本文算法的裁決錯誤率始終要低于對照組算法，這是由于本文算法能夠通過Q博弈-單向數(shù)據(jù)攻擊模的解析，實現(xiàn)對DDos攻擊流量的提前預警，且隨著DDos攻擊流量的不斷提高，本文算法通過攻擊模型-集合收斂解析流程能夠顯著提升網(wǎng)絡傳輸帶寬，降低攻擊流量所帶來的網(wǎng)絡抖動現(xiàn)象，大大強化納什均衡防御過程中的解向量收斂，因此在一定信道信噪比性能的條件下可顯著減少裁決錯誤頻率，且攻擊過程越持久，本文算法的裁決錯誤率越低，性能也越優(yōu)越，要比SHFCF-FD算法、BPMFD算法采取的單純過濾機制有優(yōu)勢。這表明本文算法攻擊模型-集合收斂解析過程具有顯著的主動防御特性，可適應復雜的網(wǎng)絡抖動環(huán)境。

圖3 錯誤裁決率測試結(jié)果

（4）信道誤碼率

圖4顯示了本文與SHFCF-FD算法、BPMFD算法在信道信噪比不斷提高的前提下，信道誤碼率的測試結(jié)果。由圖可知，隨著信道信噪比性能的不斷降低，本文算法與SHFCF-FD算法、BPMFD算法均出現(xiàn)了信道誤碼率不斷降低的現(xiàn)象。這是由于本文算法通過攻擊模型-集合收斂解析流程能夠顯著提高算法執(zhí)行過程中的正確裁決比例；且傳輸過程中鏈路穩(wěn)定性能具有顯著的優(yōu)勢，能夠適應突發(fā)的大規(guī)模DDos攻擊時的帶寬激增情況，因而信道誤碼率水平較低；SHFCF-FD算法、BPMFD算法主要針對異常流量進行簡單清洗，其中SHFCF-FD算法主要通過閾值方式進行流量清洗，當僅當DDos流量達到閾值時方啟動防御流程，且實際中容易產(chǎn)生嚴重的誤判，一旦DDos流量超過閾值時將由于鏈路負載過重而產(chǎn)生嚴重的誤判及誤碼現(xiàn)象；此外，BPMFD算法雖在閾值方式基礎上增強了DDos流量捕捉機制，然而該算法未考慮DDos帶寬具有時變特性，網(wǎng)絡鏈路穩(wěn)定性能隨著DDos帶寬呈現(xiàn)波動狀態(tài)，容易導致誤碼現(xiàn)象的發(fā)生，并未深入到流量產(chǎn)生機理等層次進行有針對性的響應，因而信道誤碼率性能較差。

圖4 信道誤碼率測試結(jié)果

5 結(jié)束語

本文提出了一種基于多維攻防博弈機制的LTE-5G網(wǎng)絡防御算法，主要通過構(gòu)建攻擊模型-集合收斂解析、Q博弈-單向數(shù)據(jù)攻擊模兩個部分，顯著增強LTE-5G網(wǎng)絡面對網(wǎng)絡攻擊時的反應強度，提高防御行為的有效命中率，改善網(wǎng)絡遭受大規(guī)模DDos攻擊情況下的傳輸性能，促進傳輸帶寬的提升。最后通過NS2仿真實驗環(huán)境，證明本文算法具有顯著的優(yōu)越性，實踐性能較強。

下一步考慮本文算法針對流動性較低環(huán)境適應性不足的特點，通過增強防御行為與攻擊行為匹配度預測的方式，強化本文算法的網(wǎng)絡防御性能，提升本文算法在實際領域的部署范圍。

[1] Mads L, Lucas C G, Ignacio R.From LTE to 5G for Connected Mobility [J].IEEE Communications Magazine, 2017, 55(3): 156-162.

[2] 王元卓,于建業(yè),邱雯.網(wǎng)絡群體行為的演化博弈模型與分析方法[J].計算機學報, 2015, 38(2): 282-300.

[3] Zhang H W, Li T.Optimal Active Defense Based on Multi-Stage Attack-Defense Signaling Game[J].Acta ElectronicaSinica, 2017, 45(2):431-439.

[4] Liu J, Zhang H Q, Liu Y.Research on Optimal Selection of Moving Target Defense Policy Based on Dynamic Game with Incomplete Information[J].Acta Electronica Sinica, 2018, 46(1): 82-89.

[5] Yu Y, Xia C, Li SY.Trust Type Based Trust Bootstrapping Model of Computer Network Collaborative Defense[J].China Communications, 2015, 12(12): 133-146.

[6] Ding Z G, Liu Y W, Choi J.Application of Non-Orthogonal Multiple Access in LTE and 5G Networks [J].IEEE Communications Magazine, 2017, 55(2): 185-191.

[7] Holfeld B, Wieruch D, Wirth T.Wireless Communication for Factory Automation: an opportunity for LTE and 5G systems[J].IEEE Communications Magazine, 2016, 54(6): 36-43.

[8] Yehezkel A, Cohen R.Degree-Based Attacks and Defense Strategies in Complex Networks [J].Physical Review.2012, 86(8): 1-6.

[9] Kostas K, Navid N, Eryk S.Network Slices Toward 5G Communications: Slicing the LTE Network[J].IEEE Communications Magazine, 2017, 55(8): 146-154.

[10] Gordon L, Loeb M.2015 CSI/FBI Computer Crime and Security Survey[C]//The 2014 Computer Security Institute.2015: 48-64.

[11] Holfeld B, Wieruch D, Wirth T.Wireless Communication for Factory Automation: an opportunity for LTE and 5G systems[J].IEEE Communications Magazine, 2016, 54(6): 36-43.

[12] 龔貽華,杜華,李石兵,等.超短波電臺通信網(wǎng)絡中的自組網(wǎng)路由協(xié)議應用研究[J].井岡山大學學報:自然科學版, 2017, 38(4):57-61.

[13] Yan J, He H, Zhong X L.Q-Learning-Based Vulnerability Analysis of Smart Grid Against Sequential Topology Attacks[J].IEEE Transactions on Information Forensics & Security, 2017, 12(1): 200-210.

[14] Hu H, Zhang H, Liu Y.Quantitative Method for Network Security Situation Based on Attack Prediction[J].Security & Communication Networks, 2017(4): 1-19.

The Research on LTE-5G network defense Algorithm Based on multi-dimensional attack defense game mechanism

*WANG Wen-fei1, ZHANG Zhi-feng2

（1.Chuzhou Vocational and Technical College, Chuzhou, Anhui 239000, China;2.College of Computer Science and Technology, Inner Mongolia University for the Nationalities, Tongliao, Inner Mongolia 028000, China）

In order to solve the problem that current LTE-5G network defense algorithms need presupposition preconditions, and it is difficult to achieve self-convergence of defense behavior under multi-dimensional attack environment, a LTE-5G network defense algorithm based on multi-dimensional attack-defense game mechanism was proposed.Firstly, the large data model of the attack behavior was built, and the mathematical distribution of the attack behavior, i.e.DDos attack characteristic was considered and matched accurately.Then the deterministic analysis of the attack damage behavior was realized, which greatly improves the network active defense performance and achieves the purpose of pre-analysis of the attack behavior.In order to solve the problem of poor network convergence probability evaluation, a Q-game-one-way data attack model was constructed by using Q-analysis method.The set of one-way data attack modes was successfully obtained and Nash equilibrium was carried out for the duration of the attack, which further enhances the network defense effect of this algorithm.Simulation results show that,compared with the secondary high frequency carrier fingerprint network filtering defense algorithm, and the bandwidth peak matching filtering defense algorithm, this algorithm has larger anti-attack bandwidth, network transmission bandwidth, as well as lower decision error rate and channel error rate, which has good practical deployment value.

LTE-5G network; multidimensional attack and defense; game mechanism; q-analysis; ddos attack bandwidth; nash equilibrium

TP393

A

10.3969/j.issn.1674-8085.2018.06.009

2018-08-22；

2018-09-29

安徽省高等學校省級質(zhì)量工程資助項目(2017mooc293)；2018年度院級教學質(zhì)量立項課題(2018jpkc005)

*王文飛(1983-)，男，安徽馬鞍山人，講師，碩士，主要從事計算機網(wǎng)絡、計算機應用、信息安全等研究(E-mail:wangwfei1983ms@sina.com);

張智峰(1976-)，男，內(nèi)蒙古赤峰人，副教授，碩士，主要從事計算機圖形圖像、網(wǎng)絡通信、數(shù)據(jù)挖掘等研究(E-mail:Zhangzfg1976ng@163.com).

1674-8085(2018)06-0049-07