摘" 要: 為減輕靜態(tài)漏洞體對計算機片上網(wǎng)絡(luò)造成的序列化運行危害,設(shè)計一種基于大數(shù)據(jù)技術(shù)的片上網(wǎng)絡(luò)靜態(tài)漏洞檢測系統(tǒng)。利用Hadoop檢測框架,定向規(guī)劃片上網(wǎng)絡(luò)漏洞處理模塊、靜態(tài)漏洞評估模塊的物理運行位置,實現(xiàn)新型檢測系統(tǒng)的硬件運行環(huán)境搭建。在此基礎(chǔ)上,采集漏洞信息的入侵行為,并以此為標準編寫大數(shù)據(jù)檢測函數(shù),在相關(guān)組織設(shè)備的促進下,構(gòu)建片上網(wǎng)絡(luò)的靜態(tài)漏洞行為鏈,實現(xiàn)新型檢測系統(tǒng)的軟件運行環(huán)境搭建。結(jié)合基礎(chǔ)硬件條件,完成基于大數(shù)據(jù)技術(shù)的片上網(wǎng)絡(luò)靜態(tài)漏洞檢測系統(tǒng)研究。對比實驗結(jié)果顯示,與hook系統(tǒng)相比,應(yīng)用新型漏洞檢測系統(tǒng)后,計算機片上網(wǎng)絡(luò)的平均容錯率達到90%,單位時間內(nèi)出現(xiàn)的漏洞總量不超過3.0×109 TB,序列化運行危害得到有效緩解。
關(guān)鍵詞: 大數(shù)據(jù)技術(shù); 網(wǎng)絡(luò)漏洞; 檢測系統(tǒng); 漏洞行為鏈; 入侵信息采集; 檢測函數(shù)
中圖分類號: TN915.08?34; TP309" " " " " " " " "文獻標識碼: A" " " " " " " " " " 文章編號: 1004?373X(2019)21?0077?05
Abstract: In order to reduce the serialization running harm caused by static vulnerability to computer network?on?chip (NoC), a static vulnerability detection system based on big data technology is designed. The physical operation location of the NoC vulnerability processing module and the static vulnerability assessment module is planned, and the hardware operation environment of the new detection system is built by means of Hadoop detection framework. On this basis, the vulnerability intrusion behavior information is acquired as a standard to compile big data detection functions. With the promotion of related equipments, the NoC static vulnerability behavior chain and software running environment of the new detection system are constructed, and the research of NoC static vulnerability detection system based on the big data technology is completed in combination with the basic hardware conditions. The experimental results show that, in comparison with Hook system, the new vulnerability detection system′s average fault tolerance rate of the computer NoC reaches 90%, the total number of vulnerabilities in unit time does not exceed 3.0×109 TB, and the serialization operation hazard is effectively alleviated.
Keywords: big data technology; network vulnerability; detection system; vulnerability behavior chain; intrusion information acquisition; detection function
0" 引" 言
網(wǎng)絡(luò)漏洞是一種真實存在的系統(tǒng)執(zhí)行缺陷,可在物理運行環(huán)境下對軟、硬件系統(tǒng)設(shè)備造成嚴重的危害影響,進而使漏洞的生成端即攻擊者能夠在未經(jīng)授權(quán)的情況下直接接入系統(tǒng)環(huán)境對其造成破壞性訪問。通俗來講,存在于計算機網(wǎng)絡(luò)中的、可對系統(tǒng)數(shù)據(jù)造成危害的一切物理因素都可稱為網(wǎng)絡(luò)漏洞。通常情況下,計算機系統(tǒng)執(zhí)行狀態(tài)由授權(quán)模式、未授權(quán)模式兩部分組成。其中,未授權(quán)模式也叫易受攻擊模式,可轉(zhuǎn)接來自于網(wǎng)絡(luò)環(huán)境中的所有物理數(shù)據(jù),并將其完全轉(zhuǎn)化成可供系統(tǒng)利用的信息分子,漏洞恰好利用了片上網(wǎng)絡(luò)的這種物理性質(zhì),對其進行深入的攻擊占用[1?2]。
現(xiàn)有技術(shù)手段為解決攻擊漏洞對片上網(wǎng)絡(luò)造成的安全威脅,利用Web插件記錄反序列化漏洞的發(fā)生位置,再借助相應(yīng)的還原展示機制對這些漏洞體數(shù)據(jù)進行定向分析研究。但隨著科學(xué)技術(shù)手段的進步,這種hook系統(tǒng)對序列化運行危害的緩解程度始終不能達到預(yù)期水平。為避免上述情況的發(fā)生,引入大數(shù)據(jù)技術(shù),在Hadoop框架建立、檢測函數(shù)編寫等手段的支持下,建立一種基于大數(shù)據(jù)技術(shù)的新型片上網(wǎng)絡(luò)靜態(tài)漏洞檢測系統(tǒng),并通過對比實驗的方式突出說明該新型系統(tǒng)的實際應(yīng)用價值。
1" 片上網(wǎng)絡(luò)靜態(tài)漏洞檢測系統(tǒng)硬件設(shè)計
新型漏洞檢測系統(tǒng)的硬件運行結(jié)構(gòu)包含Hadoop框架、處理模塊、評估模塊三個主要組成部分,其具體搭建方法可按如下步驟進行。
1.1" Hadoop檢測框架建立
新型漏洞檢測系統(tǒng)以Hadoop框架作為整個硬件執(zhí)行環(huán)境的搭建基礎(chǔ),從職權(quán)劃分角度來看,Hadoop框架的處理作用包含片上網(wǎng)絡(luò)漏洞位置確定、靜態(tài)信息挖掘、漏洞量分析三項主要物理功能。網(wǎng)絡(luò)漏洞位置的確定是基于大數(shù)據(jù)技術(shù)片上網(wǎng)絡(luò)信息數(shù)據(jù)處理的核心環(huán)節(jié),可根據(jù)系統(tǒng)中網(wǎng)絡(luò)節(jié)點所處的連接情況判斷攻擊漏洞的嚴重程度,進而對系統(tǒng)自身的安全承載能力進行有效評估。靜態(tài)信息挖掘是隸屬于Hadoop框架的系統(tǒng)主要檢測步驟,可全面探索片上網(wǎng)絡(luò)環(huán)境中隱藏的靜態(tài)漏洞數(shù)據(jù),并對其進行明確的標注記錄[3?4]。
漏洞量分析是一種單向數(shù)據(jù)處理能力,可根據(jù)系統(tǒng)中現(xiàn)行的漏洞容錯能力確定單位時間內(nèi)片上網(wǎng)絡(luò)能承擔漏洞量的上、下限數(shù)值水平,并以此作為控制系統(tǒng)序列化運行危害的主要依據(jù)。完整的系統(tǒng)Hadoop檢測框架結(jié)構(gòu)如圖1所示。
1.2" 片上網(wǎng)絡(luò)漏洞處理模塊設(shè)計
片上網(wǎng)絡(luò)漏洞處理模塊隸屬于Hadoop檢測框架,該模塊以SQL設(shè)備作為核心搭建裝置,且隨著系統(tǒng)運行時間的不斷延長,SQL設(shè)備外接的URL控制器可自行感知系統(tǒng)內(nèi)流通的數(shù)據(jù)信息,并將其按照系統(tǒng)對于靜態(tài)漏洞的檢測需求進行重新排列[5]。SQL設(shè)備中包含大量的FORM表單,可跟隨靜態(tài)網(wǎng)絡(luò)漏洞節(jié)點的真實位置情況,向下級系統(tǒng)執(zhí)行設(shè)備傳輸既定的待評估數(shù)據(jù)信息,以促進系統(tǒng)檢測操作的順利進行。URL控制器作為SQL設(shè)備的輔助裝置,可直接掌握片上網(wǎng)絡(luò)體中的靜態(tài)漏洞量,并將這些數(shù)據(jù)信息平均分配至各級檢測節(jié)點中。
總的來說,片上網(wǎng)絡(luò)漏洞處理模塊相當于系統(tǒng)的核心功能分配組織,可在滿足大數(shù)據(jù)技術(shù)需求的前提下,為下級評估模塊布置定量的漏洞檢測任務(wù)[6?7]。完整的片上網(wǎng)絡(luò)漏洞處理模塊結(jié)構(gòu)如圖2所示。
1.3" 靜態(tài)漏洞評估模塊設(shè)計
靜態(tài)漏洞評估模塊是新型檢測系統(tǒng)硬件執(zhí)行環(huán)境中的尾級運行單元,可全面適應(yīng)Hadoop檢測框架的調(diào)配需求,并根據(jù)片上網(wǎng)絡(luò)漏洞處理模塊的連接現(xiàn)狀,對系統(tǒng)中的靜態(tài)漏洞信息進行選擇性驅(qū)使。系統(tǒng)處于正常運行狀態(tài)時,片上網(wǎng)絡(luò)體結(jié)構(gòu)中的漏洞節(jié)點量會出現(xiàn)明顯升高,且在不發(fā)生外力干擾的情況下,這些節(jié)點一部分始終保持靜態(tài)連接形式,另一部分則會在靜態(tài)、動態(tài)形式中不斷切換,并以此加速系統(tǒng)的序列化運行,造成網(wǎng)絡(luò)平均容錯率的大幅下降[8?9]。為解決上述問題,靜態(tài)漏洞評估模塊中的三個檢測群組織會自發(fā)進入并列連接狀態(tài),并對切換形式的漏洞節(jié)點進行穩(wěn)定處置,使單位時間內(nèi)接入系統(tǒng)的靜態(tài)連接節(jié)點量達到最大值,并以此時系統(tǒng)對靜態(tài)漏洞的承載能力作為標準,評估片上網(wǎng)絡(luò)體的平均容錯率水平。詳細的靜態(tài)漏洞評估模塊搭建原理如圖3所示。
2" 片上網(wǎng)絡(luò)靜態(tài)漏洞檢測系統(tǒng)軟件設(shè)計
按照漏洞信息入侵行為采集、大數(shù)據(jù)檢測函數(shù)編寫、漏洞行為鏈構(gòu)建的物理操作流程,完成新型檢測系統(tǒng)的軟件運行環(huán)境搭建,結(jié)合相關(guān)硬件設(shè)備結(jié)構(gòu),實現(xiàn)基于大數(shù)據(jù)技術(shù)片上網(wǎng)絡(luò)靜態(tài)漏洞檢測系統(tǒng)的順利運行。
2.1" 漏洞信息的入侵行為采集
漏洞信息入侵行為指代一切對片上網(wǎng)絡(luò)體造成安全威脅的數(shù)據(jù)意圖,為保證系統(tǒng)對靜態(tài)漏洞成分檢測結(jié)果的真實性,在進行大數(shù)據(jù)函數(shù)編寫等操作前,必須按照既定的系統(tǒng)執(zhí)行需求,對所有入侵行為參量進行采集處理。在不發(fā)生強烈外界干擾的情況下,片上網(wǎng)絡(luò)體中的漏洞信息會按照既定檢測方向進行傳導(dǎo)分解,并向中間執(zhí)行組織傳遞大量的可連接節(jié)點[10?11]。對于系統(tǒng)中間執(zhí)行組織來說,漏洞信息連接節(jié)點既是入侵行為發(fā)生的重點位置條件,也是加速相鄰組織通信快速進行的物理催化劑。而漏洞信息入侵行為采集則是在維系系統(tǒng)原始傳輸速率的前提下,利用各級組織信道對靜態(tài)漏洞評估模塊、片上網(wǎng)絡(luò)漏洞處理模塊等硬件結(jié)構(gòu)中的節(jié)點占用率進行物理統(tǒng)計,并總結(jié)系統(tǒng)中的現(xiàn)行漏洞數(shù)量級水平,將其數(shù)值結(jié)果與系統(tǒng)的承載權(quán)限值進行對比,在不超過額定物理標準的前提下,完成漏洞信息入侵行為的采集操作,如圖4所示。
2.2" 大數(shù)據(jù)檢測函數(shù)編寫
大數(shù)據(jù)檢測函數(shù)是片上網(wǎng)絡(luò)體處理靜態(tài)漏洞回執(zhí)的主要物理依據(jù),包含數(shù)據(jù)信息頭節(jié)點參量、漏洞數(shù)據(jù)內(nèi)置系數(shù)、信息靜態(tài)行為擴展量等多項影響數(shù)據(jù)條件。數(shù)據(jù)信息頭節(jié)點參量直接影響片上網(wǎng)絡(luò)靜態(tài)漏洞的存在位置,通常情況下,隨著節(jié)點參量數(shù)值的不斷提升,靜態(tài)漏洞存在范圍會出現(xiàn)微擴張趨勢,直至系統(tǒng)檢查環(huán)境中的漏洞量達到理論承載極限[12?13]。漏洞數(shù)據(jù)內(nèi)置系數(shù)是片上網(wǎng)絡(luò)體中的物理屬性權(quán)限,不會隨系統(tǒng)運行時間的延長而出現(xiàn)變化,為方便后續(xù)函數(shù)的編寫應(yīng)用,人為定義[yδ]代表漏洞數(shù)據(jù)內(nèi)置系數(shù)的平均值,[δ]代表獲得該數(shù)值時的網(wǎng)絡(luò)靜態(tài)漏洞數(shù)據(jù)總量。信息靜態(tài)行為擴展量直接影響片上網(wǎng)絡(luò)體對靜態(tài)漏洞的物理承載量,與漏洞數(shù)據(jù)內(nèi)置系數(shù)屬性相同,都是檢測系統(tǒng)中的物理屬性權(quán)限量。設(shè)信息靜態(tài)行為擴展量為[wδ],數(shù)據(jù)信息頭節(jié)點參量為[qδ],聯(lián)立內(nèi)置系數(shù)平均值[yδ],可將系統(tǒng)大數(shù)據(jù)檢測函數(shù)表示為:
2.3" 片上網(wǎng)絡(luò)靜態(tài)漏洞行為鏈構(gòu)建
片上網(wǎng)絡(luò)的靜態(tài)漏洞行為鏈是與入侵操作相關(guān)的執(zhí)行權(quán)限,可在保障網(wǎng)絡(luò)體結(jié)構(gòu)檢測能力的基礎(chǔ)上,根據(jù)鏈結(jié)構(gòu)的走向形式確定系統(tǒng)對靜態(tài)漏洞數(shù)據(jù)的檢測頻度。簡單來說,片上網(wǎng)絡(luò)靜態(tài)漏洞行為鏈是以大數(shù)據(jù)節(jié)點作為連結(jié)依據(jù)的數(shù)據(jù)檢測單元,同時具備傳輸促進、定頻檢測等多項物理功能[14?15]。在已知系統(tǒng)大數(shù)據(jù)檢測函數(shù)的前提下,片上網(wǎng)絡(luò)體被人工劃分為漏洞頻發(fā)與基本穩(wěn)定兩個組成部分。其中,漏洞頻發(fā)網(wǎng)絡(luò)體結(jié)構(gòu)中的大數(shù)據(jù)節(jié)點數(shù)量相對較多,可對待檢測數(shù)據(jù)信息進行快速傳輸處理。靜態(tài)漏洞行為鏈正是利用片上網(wǎng)絡(luò)體的不平衡結(jié)構(gòu),對所有可能引發(fā)漏洞數(shù)據(jù)的節(jié)點進行檢測排查。至此,完成一切前期搭建準備,結(jié)合所有軟、硬件執(zhí)行結(jié)構(gòu),實現(xiàn)基于大數(shù)據(jù)技術(shù)片上網(wǎng)絡(luò)靜態(tài)漏洞檢測系統(tǒng)的順利運行。
3" 實驗結(jié)果與分析
為突出說明基于大數(shù)據(jù)技術(shù)片上網(wǎng)絡(luò)靜態(tài)漏洞檢測系統(tǒng)的實效性,設(shè)計如下對比實驗。在Port Physical Layer平臺的支持下,以2臺配置完全相同的物理計算機作為實驗對象,其中實驗組計算機搭載新型漏洞檢測系統(tǒng),對照組計算機搭載hook系統(tǒng)。在確保外界影響因素不發(fā)生改變的前提下,分別記錄在一段時間內(nèi),實驗組、對照組相關(guān)實驗數(shù)據(jù)的具體變化情況。
3.1" 標準參數(shù)設(shè)置
出于真實性考慮,可根據(jù)表1中的數(shù)值情況搭建實驗操作環(huán)境。
3.2" 計算機片上網(wǎng)絡(luò)平均容錯率對比
在片上網(wǎng)絡(luò)負載系數(shù)等于0.35的條件下,以50 min作為實驗時間,分別記錄在該段時間內(nèi)應(yīng)用實驗組、對照組檢測系統(tǒng)后,計算機片上網(wǎng)絡(luò)平均容錯率的變化情況,實驗結(jié)果如圖5所示。
分析圖5可知,實驗組、對照組計算機片上網(wǎng)絡(luò)平均容錯率呈現(xiàn)明顯的上、下分層狀態(tài),整個實驗過程中,實驗組數(shù)值最小值僅能達到70%左右,超過極值上限數(shù)值65%;對照組數(shù)值的最大值雖然處于理想極值區(qū)間內(nèi),但與實驗組數(shù)值水平相比,依然存在較大物理差距。綜上可知,在片上網(wǎng)絡(luò)負載系數(shù)等于0.35的條件下,基于大數(shù)據(jù)技術(shù)片上網(wǎng)絡(luò)靜態(tài)漏洞檢測系統(tǒng)具備提升網(wǎng)絡(luò)基礎(chǔ)容錯水平的能力。
3.3" 單位時間內(nèi)的漏洞總量對比
以10 min作為一個單位時間長度,分別記錄在5個單位時間長度內(nèi),應(yīng)用實驗組、對照組檢測系統(tǒng)后,漏洞總量的變化情況,實驗詳情如表2所示。
對比表1,表2可知,實驗組漏洞總量在每一個單位時間內(nèi)都保持下降趨勢,但從極大值角度來看,第1~第5個單位時間內(nèi),實驗組漏洞總量始終不斷增加,但整個實驗過程中平均值水平較低,僅能達到2.1×109 TB,遠低于理想極值5.2×109 TB;對照組漏洞總量在整個實驗過程中始終不斷增加,直至實驗結(jié)束最大值已經(jīng)達到5.3×109 TB,超過理想極值5.2×109 TB,更遠超實驗組數(shù)值結(jié)果。綜上可知,在定量的單位時間內(nèi),基于大數(shù)據(jù)技術(shù)片上網(wǎng)絡(luò)靜態(tài)漏洞檢測系統(tǒng)可遏制漏洞總量的上升趨勢。
4" 結(jié)" 語
在保留hook系統(tǒng)應(yīng)用優(yōu)勢的基礎(chǔ)上,針對漏洞處理模塊、漏洞行為鏈等軟硬件結(jié)構(gòu)組織進行改進設(shè)計,建立一種基于大數(shù)據(jù)技術(shù)的新型片上網(wǎng)絡(luò)靜態(tài)漏洞檢測系統(tǒng)。從實用性角度來看,網(wǎng)絡(luò)體自身容錯率得到顯著提升,單位時間內(nèi)的漏洞總量也不再無限攀升,序列化運行問題對計算機片上網(wǎng)絡(luò)造成的應(yīng)用危害得到有效緩解。
參考文獻
[1] 底興芳,馬超,關(guān)淯尹.基于無弦圈的覆蓋漏洞邊界檢測算法研究[J].計算機仿真,2017,34(2):309?313.
DI Xingfang, MA Chao, GUAN Yuyin. Research on edge detection of covering vulnerabilities based on chord?free circle [J]. Computer simulation, 2017, 34(2): 309?313.
[2] 劉小燕,閆振宇,韓嘯,等.嵌入式裝置內(nèi)存泄漏檢測系統(tǒng)的設(shè)計與實現(xiàn)[J].電子設(shè)計工程,2018,26(8):188?193.
LIU Xiaoyan, YAN Zhenyu, HAN Xiao, et al. Design and implementation of memory leak detection system for embedded devices [J]. Electronic design engineering, 2018, 26(8): 188?193.
[3] 韓心慧,魏爽,葉佳奕,等.二進制程序中的use?after?free漏洞檢測技術(shù)[J].清華大學(xué)學(xué)報(自然科學(xué)版),2017,57(10):1022?1029.
HAN Xinhui, WEI Shuang, YE Jiayi, et al. Use?after?free vulnerability detection technology in binary programs [J]. Journal of Tsinghua University (Natural science edition), 2017, 57(10): 1022?1029.
[4] 靖二霞,應(yīng)凌云,路曄綿,等.基于Dalvik寄存器污點分析的Android漏洞檢測方法[J].計算機應(yīng)用研究,2018,35(3):916?921.
JING Erxia, YING Lingyun, LU Yemian, et al. Android vulnerability detection method based on Dalvik register taint analysis [J]. Application research of computers, 2018, 35(3): 916?921.
[5] 單純,荊高鵬,胡昌振,等.基于漏洞知識庫的8031單片機系統(tǒng)軟件漏洞檢測算法[J].北京理工大學(xué)學(xué)報,2017,37(4):371?375.
SHAN Chun, JING Gaopeng, HU Changzhen, et al. 8031 microcontroller software vulnerability detection algorithm based on vulnerability knowledge database [J]. Transactions of Beijing Institute of Technology, 2017, 37(4): 371?375.
[6] 肖衛(wèi),張源,楊珉.安卓應(yīng)用軟件中Intent數(shù)據(jù)驗證漏洞的檢測方法[J].小型微型計算機系統(tǒng),2017,38(4):813?819.
XIAO Wei, ZHANG Yuan, YANG Min. Find intent data validation vulnerability in Android application automatically and efficiently [J]. Journal of Chinese computer systems, 2017, 38(4): 813?819.
[7] 李暉,王斌,張文,等.X?Decaf:Android平臺社交類應(yīng)用的緩存文件泄露檢測[J].電子與信息學(xué)報,2017, 39(1):66?74.
LI Hui, WANG Bin, ZHANG Wen, et al. X?Decaf:detection of cache file leaks in Android social apps [J]. Journal of electronics amp; information technology, 2017, 39(1): 66?74.
[8] 雷柯楠,張玉清,吳晨思,等.基于漏洞類型的漏洞可利用性量化評估系統(tǒng)[J].計算機研究與發(fā)展,2017,54(10):2296?2309.
LEI Kenan, ZHANG Yuqing, WU Chensi, et al. A System for scoring the exploitability of vulnerability based types [J]. Journal of computer research and development, 2017, 54(10): 2296?2309.
[9] 曾賽文,文中華,戴良偉,等.基于不確定攻擊圖的攻擊路徑的網(wǎng)絡(luò)安全分析[J].計算機科學(xué),2017,44(21):351?355.
ZENG Saiwen, WEN Zhonghua, DAI Liangwei, et al. Analysis of network security based on uncertain attack graph path [J]. Computer science, 2017, 44(21): 351?355.
[10] 譚韌,殷肖川,焦賢龍,等.一種軟件定義APT攻擊移動目標防御網(wǎng)絡(luò)架構(gòu)[J].山東大學(xué)學(xué)報(理學(xué)版),2018,53(1):38?45.
TAN Ren, YIN Xiaochuan, JIAO Xianlong, et al. Software defined APT attack moving target defense network architecture [J]. Journal of Shandong University (Natural science), 2018, 53(1): 38?45.
[11] 胡寶,張文,李先彬,等.智能變電站嵌入式平臺測試系統(tǒng)設(shè)計及應(yīng)用[J].電力系統(tǒng)保護與控制,2017,45(10):129?133.
HU Bao, ZHANG Wen, LI Xianbin, et al. Design and application of embedded platform test system in smart substation [J]. Power system protection and control, 2017, 45(10): 129?133.
[12] JIANG H, GUO Y, CHEN H, et al. Unauthorized access vulnerability detection method based on finite state machines for mobile applications [J]. Journal of Nanjing University of Science amp; Technology, 2017, 41(4): 434?441.
[13] CHEN Deng, ZHANG Yanduo, WEI Wei, et al. Efficient vulnerability detection based on an optimized rule?checking static analysis technique [J]. Frontiers of information technology amp; electronic engineering, 2017, 18(3): 332?345.
[14] 吳勇靈,楊娜,潘曉慧,等.基于LabVIEW和Team Viewer濕度遠程檢測系統(tǒng)的設(shè)計[J].科技通報,2017,33(11):87?89.
WU Yongling, YANG Na, PAN Xiaohui, et al. Design on remote detection system of humidity based on LabVIEW and team viewer [J]. Bulletin of science and technology, 2017, 33(11): 87?89.
[15] 周成,吳海,胡國,等.基于IEC61850第二版非侵入式自動測試系統(tǒng)的研制[J].電力系統(tǒng)保護與控制,2017,45(14):143?147.
ZHOU Cheng, WU Hai, HU Guo, et al. Non?intruding deve?lopment of automatic test system based on IEC61850 edition 2.0 [J]. Power system protection and control, 2017, 45(14): 143?147.