馬曉

(長安大學 信息與網絡管理處，陜西 西安 710064)

當前網絡框架存在較大漏洞，網絡安全防御中被動式的安全防御理念也逐漸不能適應大規(guī)模網絡。構建包含防火墻、訪問控制等多層次攻擊防御方式，無法更好地增強網絡應用過程的安全性[1-2]。一些大型網絡安全事件層出不窮，如何利用動態(tài)化和主動化的技術手段，改善網絡操作環(huán)境，加速打破傳統(tǒng)網絡攻擊防御方式所處的思維困境，將傳統(tǒng)亡羊補牢形式的被動防御轉換成較難偵測的主動防御，成為了亟待解決的問題。

網絡空間攻擊主動防御的思路，可以憑借主動形式防御網絡攻擊，但網絡元素處于頻繁變化的狀態(tài)，主動防御代價較為昂貴。網絡空間攻擊主動防御的難點在于需要提前預支整個網絡空間安全態(tài)勢，依據網絡空間安全態(tài)勢分析，結合攻擊圖實現網絡空間攻擊主動防御手段的選取。但是，這種行為需要較大的預判計算成本。相關學者也進行了深入研究。

文獻[3]在傳統(tǒng)網絡框架下，設計了基于拜占庭容錯的軟件定義網絡控制面的抗攻擊性研究方法。但是，該算法容錯計算成本太高,存在較大缺陷。張恒巍等[4]從網絡攻擊防御的實際情況出發(fā)，針對多階段動態(tài)防御過程信息約束不完全的特點，設計并構建了多階段防御信號博弈模型。對于多階段攻擊防御中存在的信號衰減問題，結合信號衰減因子對衰減程度進行量化。給出多階段攻擊防御博弈均衡求解方程，提供了最佳主動防御策略選擇算法。但是，博弈模型博弈過程代價較大。張連成等[5]依據SDN網絡攻擊主動防御技術，在處理網絡空間攻擊情況過程中，對路徑的跳變問題進行建模，使其轉換成約束求解問題，通過求解器得到滿足約束條件的多條路徑，根據指定的跳變時隙，向所有跳變路徑上的OpenFlow交換機發(fā)布相應端址跳變流表項，修正其端口和地址信息，以此實現網絡攻擊主動防御。雖然約束過程可以讓攻擊防御成本降低，但是，約束轉換過程存在較大代價計算。針對當前網絡攻擊主動防御研究成果存在的攻擊防御成功率低、能耗高等問題，提出一種代價最小的網絡空間攻擊主動防御算法。

1 網絡攻擊主動防御算法的設計

1.1 信息熵計算

以提升主動防御針對性和成功率為目的，通過掃描流量熵的方式，掃描網絡空間，實現網絡空間安全態(tài)勢感知。網絡空間掃描是各種攻擊形式的先導技術與初始環(huán)節(jié)，通過分析不同掃描方式的行為感知特征，能夠高效感知網絡空間安全態(tài)勢，得出攻擊行為的大體導向。針對網絡空間的流量樣本，流量包的某些屬性概率分布能夠反映出流量的特點，信息熵度量任意變量期望[6]，定量則表示變量的不確定程度，是一種特征量化方式。在真實網絡空間攻擊中，惡意敵手掃描一般是對某個IP地址塊中的全部地址進行逐一掃描，且會在較短的時間內向網絡空間傳輸大規(guī)模IP流量包[7]?；谏鲜鎏攸c，當網絡空間攻擊主動防御中的蜜罐網絡接收到流量包時，會將其傳輸至主動防御中心。假設流量包的目的IP不在窗口期，那么將該IP地址稱作非活躍IP，并將該數據包歸納為可疑流量包。

網絡攻擊防御中心的掃描攻擊方案分析模塊，根據掃描流量熵的網絡空間安全態(tài)勢感知方式，實現對惡意攻擊的實時掃描，完成對網絡空間安全態(tài)勢實時感知。具體實現方法如下。

(1)

相對熵等價于2個概率分布的信息熵，能夠表征2個概率分布存在的相似性[8-10]。針對2個離散概率的分布P={p1,p2,…,pn}與Q={q1,q2,…,qn}，式中：

(2)

綜上，P、Q相對熵計算公式為：

(3)

式中：D代表P、Q概率分布差距值；當D為0，表示P、Q屬于同一分布。因D(P‖Q)≠D(Q‖P)，為了可以更加精準、穩(wěn)定地刻畫P、Q分布，擴展相對熵成為掃描流量熵：

(4)

(5)

通過上述網絡空間安全態(tài)勢感知，能夠較好地幫助工作人員檢驗網絡運行狀況與環(huán)境，檢測出僵尸網絡、惡意網站等各類攻擊者及其攻擊活動，結合知識庫以及網絡情報庫，快速準確發(fā)現本地網絡中的威脅和異常，按照時間維度形成攻擊證據鏈，實現安全智能防御功能。

1.2 基于熵的可能攻擊方式策略集合

假設是盲掃描方式，那么理想情況下，在完成信息熵計算的基礎上，各劃分地址空間在指定時間周期中平均被掃描次數為Nfail/ns。但因在劃分的時間周期范圍內，能夠完成一次隨機掃描的可能性較小，在一個時間周期范圍內申請失敗報文中，直接計算獲得的IP地址概率分布和Nfail/ns次掃描流量熵較為簡易。由此，通過式(6)準則對此種情況進行調整。

以此為依據，采用式(7)對第t個時間周期范圍內申請失敗報文中IP地址概率分布和修正之后的平均概率分布掃描流量熵進行計算，與設定閾值進行比較，判斷攻擊者是否列入安全態(tài)勢圖例。假設閾值在δ范圍，那么攻擊者被列入圖中；反之，不列入，以所有列入攻擊方式作為集合，形成高度疑似攻擊方式集合。

(6)

(7)

其中，被例如集合里的熵計算結果，被標記成順序表，在盲掃描方式攻擊位置不定的情況下，可以結合標記結果，對盲掃描方式下的安全態(tài)勢進行分析。

1.3 防御方式的指標對應

網絡的防御方式是一個宏觀概念，在選取合理的防御方式時，必須結合實際問題，設計合理的指標[11-12]。選取網絡防御方式的主要指標有：

1)可靠度的忽然大幅度變化，可靠度R(t)，表示網絡忽然不能正常運行的概率，計算方法為：

(8)

2)網絡的失效概率大幅度變化，網絡失效分布函數F(t)，在固定時間[0,t]內，網絡失效概率計算方法為：

F(t)=p(T≤t)=1-R(t)

(9)

3)網絡的失效密度忽然發(fā)生大幅度變化，設該指標為f(t)，在特定時間t內，其計算方法為：

(10)

4)網絡的失效率發(fā)生大幅度變化，設置該指標函數為λ(t)，在(t,t+Δt)時間內，其計算方法為：

(11)

5)網絡的平均失效間隔時間發(fā)生較大幅度變化，該指標可以用MTBF表示，計算你仿佛為2次失效間的平均運行時間。防御攻擊的指標和對應的具體方式如下圖1所示。

圖1 防御方式選取Fig.1 Defense mode selection

1.4 最小代價下網絡空間攻擊主動防御方式選取

1.4.1 最小代價防御集合

在計算得到防御方式指標后，為解決盲掃描方式下的惡意攻擊主動防御問題，需將攻擊圖和防御行為相結合，實現網絡空間攻擊主動防御選取。依據當前攻擊防御評估結果，生成最小代價的集合。引入綜合防御權重策略集合M，結合上文獲取的防御策略圖指標G′，其依據七元組構成：G′=(S′,H′,C′,E′,M,R′)。其中，S′代表可靠度集合；H′代表網絡失效率集合，根據h′∈H′的四元組(ID，運行服務，入侵者權限，網絡漏洞集合)構成；C′代表主機之間失效密度集合；R′代表攻擊者；E′代表網絡空間失效時間集合，根據e∈E的四元組(攻擊先驗條件、源主機、目的主機和惡意攻擊效果)構成；M代表網絡空間攻擊防御策略集合。以最小代價阻止入侵者攻擊為目的，網絡安全管理相關人員必須采取高效策略，攻擊防御策略圖即為利用攻擊防御策略集合，依照實施難度對其進行權值等級劃分，形成防御代價，給各個策略賦予不同權值，針對不同程度的攻擊采取不同防御策略，降低防御能耗。

假設對目標網絡實施策略集合中的全部策略，即可有效防御所有攻擊場景產生，以此可以使網絡空間處在某一安全狀態(tài)[13-15]。針對策略集合Mc∈M，假設Mc中涵蓋的策略可以在所有攻擊場景內進行防御，則Mc為關鍵策略。假設Mc中含有的策略權值之和最小，則Mc為攻擊防御最小代價關鍵策略集合。

1.4.2 基于粒子群算法的最小代價防御方式選取

引入粒子群算法，根據攻擊圖中各攻擊動作，以最小代價防御策略集合為基礎，突出攻擊主動防御策略產生的代價。將最小代價主動防御網絡空間攻擊作為目標，利用粒子群算法，通過不斷迭代尋優(yōu)，找到攻擊圖的最小關鍵策略集合，實現網絡空間攻擊主動防御。

以下為利用粒子群算法尋找最小關鍵策略集合過程：

1)將防御集合中的防御代價指標全部場景轉換為粒子。

2)初始化粒子運行參數，同時將各個粒子速度定義為0。

3)假設迭代次數未達到最大，利用式(12)對粒子群中的最小代價目標進行更新yi：

(12)

式中f代表適應度函數。

4)根據式(13)對粒子全局最優(yōu)位置進行更新：

(13)

5)根據式(14)對粒子搜索速度進行更新：

vij(t+1)=vij(t)+c1r1(t)(yi(t)-xi(t))+

(14)

6)根據式(15)對粒子最小代價集合位置進行更新：

xi(t+1)=xi(t)+vij(t+1)

(15)

式中：c1、c2代表粒子的認知因子與鄰域學習因子，通常情況下2個值的取值區(qū)間為[0,2]；r1、r2代表時間維度上的隨機數。

利用上述過程不斷更新最優(yōu)解，直到達到最大迭代次數或者搜索到最小關鍵策略集合，算法結束。將最小代價策略集合輸出，將其當作網絡空間攻擊主動防御策略集合，實現最小代價下的攻擊防御算法選取。

2 實驗結果與分析

為了驗證提出的網絡空間攻擊主動防御方法的可行性及有效性，構建模擬實驗網絡拓撲結構，設置轉換的端信息根據一個IP地址池與大小是216的端口池構建而成。構建初始攻擊防御圖如圖2所示。

圖2 攻擊防御圖Fig.2 Attack defense map

在加入隨機攻擊數據后，結合權重計算結果，重新計算攻擊圖，結果如下圖3所示。

圖3 不同方法下網絡攻擊防御變化Fig.3 Change diagram of network attack defense under different methods

圖4是結合圖3，模擬不同方法現實主動防御中，節(jié)點分布的數據包抵抗過程。節(jié)點連線表示抵抗中的成本，色彩越濃說明抵抗成本越高。連線上的數值表示在主動抵抗測量下，鏈路的代價(包括此節(jié)點所產生的數據包和此節(jié)點轉發(fā)的子節(jié)點的數據包)。紅曲線表示PC剛剛收到的數據包的路由路線。

圖4 主動防御策略模擬Fig.4 Simulation diagram of active defense strategy

通過圖4可以看出，與文獻[4]和文獻[5]的方法對比，本文方法的代價明顯變小，這是由于在選取不同防御策略下，本文方法的代價最小。

多個信息的融合有助于提高評估的客觀性和準確度。因而選取AV、AS作為判斷攻擊防御效果的指標。其中AV表示攻擊途徑，AS表示入侵告警的嚴重程度，具體實驗結果如下：由圖5可以看出，在AV、AS這2個指標變化的過程中，文獻方法預測效果均呈現下降的趨勢，而所提方法的預測效果則穩(wěn)步上升，由此可見，所提網絡攻擊防御算法結合粒子群算法，通過不斷迭代尋優(yōu)，找到攻擊圖的最小關鍵策略，可高效預測網絡安全態(tài)勢，防御性能較高。

利用TinyOS軟件，設計具體應用中能量損耗計量模式，利用本文算法可以盡可能的降低主動防御環(huán)境中的能量消耗。在主動防御的情況下，測量路由節(jié)點電流消耗，得到消耗模型圖。

圖5 不同方法對攻擊防御效果的影響分析Fig.5 Analysis of the effect of different methods on attack defense

在圖6中，圖6(a)表示在主動防御沒有進行最優(yōu)選擇的策略下，所有電源模塊開啟，即掃描過程與防御過程一直工作，不進入選擇性的抵抗策略狀態(tài)，對網絡空間的掃描進行不間斷監(jiān)聽，此時路由節(jié)點消耗能量最大，平均電流消耗達到12 mA。圖6(b)表示經過文獻[4]方法后，節(jié)點能夠做出最優(yōu)抵抗策略，即無需實時掃描，節(jié)點有時可進入休眠狀態(tài)，由于采用文獻[4]方法后，減少了節(jié)點的能量消耗，可以看到總的平均電流通消耗有所減少，達到了11.46 mA。但也可以看出減少并不明顯。圖6(c)是當采用文獻[5]方法后的能量消耗，由于采用間隔時間片掃描，可以有效的減少網絡被攻擊后，節(jié)點做出反擊的能量消耗。消耗下降到了4.26 mA。圖6(d)是本文方法之后能量消耗進一步減小，達到了1.04 mA，從而達到有效的節(jié)能效果。

圖6 能量消耗對比圖Fig.6 Comparison of energy consumption

3 結論

1)防御過程中，利用網絡安全態(tài)勢感知作為網絡攻擊主動防御奠定基礎，結合攻擊圖與粒子群算法實現攻擊防御。

2)通過實驗驗證所提方法，實驗結果表明，所提方法魯棒性與可實踐性能均較強。

下一步的研究方向為對于能夠涵蓋所有攻擊場景的最小代價防御策略，是否在每一類攻擊場景下都滿足代價最小、防御效果最優(yōu)，是否可以采用動態(tài)、實時的防御策略。