徐恪/XU Ke，馮學(xué)偉 /FENG Xuewei，李琦/LI Qi，朱敏/ZHU Min

（清華大學(xué)，中國(guó) 北京 100084 ）

互聯(lián)網(wǎng)已經(jīng)成為國(guó)民經(jīng)濟(jì)賴以發(fā)展的重要信息基礎(chǔ)設(shè)施。與此同時(shí)，互聯(lián)網(wǎng)安全也是國(guó)家能源、交通、國(guó)防、教育等關(guān)鍵領(lǐng)域安全的重要保證。近些年，美國(guó)Colonial Pipeline輸油管道網(wǎng)絡(luò)勒索停服、委內(nèi)瑞拉電網(wǎng)異常斷電、烏克蘭電信運(yùn)營(yíng)商Ukrtelecom服務(wù)中斷、Log4j遠(yuǎn)程代碼執(zhí)行等大量網(wǎng)絡(luò)安全事件表明，當(dāng)前的互聯(lián)網(wǎng)存在嚴(yán)重的安全缺陷和風(fēng)險(xiǎn)，可被攻擊者所利用，從而對(duì)基礎(chǔ)設(shè)施服務(wù)造成破壞，嚴(yán)重影響人們的日常生活[1]。

總的來(lái)說(shuō)，網(wǎng)絡(luò)應(yīng)用的破壞和服務(wù)安全性的攻擊主要來(lái)自3個(gè)方面：首先，在分組生成過(guò)程中，利用協(xié)議棧漏洞實(shí)施攻擊破壞[2-6]；其次，在分組傳輸過(guò)程中，利用網(wǎng)絡(luò)路由協(xié)議與轉(zhuǎn)發(fā)機(jī)制設(shè)計(jì)的缺陷實(shí)施攻擊破壞[7-10]；最后，在分組應(yīng)用過(guò)程中，利用傳送連接不可信開展大規(guī)模隱蔽攻擊[11-12]。產(chǎn)生上述3個(gè)方面攻擊威脅的根本原因在于：互聯(lián)網(wǎng)體系結(jié)構(gòu)在設(shè)計(jì)之初假設(shè)了通信雙方和通信過(guò)程是真實(shí)可信的，無(wú)連接的網(wǎng)絡(luò)狀態(tài)也沒(méi)有設(shè)計(jì)保障端到端傳送安全可信的相關(guān)技術(shù)。這導(dǎo)致惡意攻擊者有機(jī)會(huì)針對(duì)網(wǎng)絡(luò)空間中的特定目標(biāo)發(fā)起地址欺騙、流量劫持、分布式拒絕服務(wù)等多種類型的網(wǎng)絡(luò)攻擊，最終嚴(yán)重破壞網(wǎng)絡(luò)中關(guān)鍵基礎(chǔ)設(shè)施、服務(wù)等的安全性[13]。

本文圍繞無(wú)連接網(wǎng)絡(luò)中安全可信的端到端傳送這一關(guān)鍵問(wèn)題，從互聯(lián)網(wǎng)的功能和原理出發(fā)，深入分析了分組數(shù)據(jù)生命周期中不同階段面臨的攻擊威脅，然后從網(wǎng)絡(luò)規(guī)范策略與端到端傳送行為一致性保證出發(fā)，提出了基于語(yǔ)義一致性的協(xié)議棧漏洞發(fā)現(xiàn)與修復(fù)機(jī)制、隨機(jī)協(xié)作的分組惡意轉(zhuǎn)發(fā)檢測(cè)機(jī)制、基于頻域特征和圖結(jié)構(gòu)的傳送連接可信機(jī)制，實(shí)現(xiàn)了分組數(shù)據(jù)的可靠生成、安全傳輸、可信應(yīng)用3個(gè)不同階段的安全閉環(huán)，增強(qiáng)了網(wǎng)絡(luò)向用戶提供正常、有序、可信的端到端傳送服務(wù)能力，有效提高了互聯(lián)網(wǎng)的整體安全性。

1 互聯(lián)網(wǎng)端到端傳送基本原理和關(guān)鍵安全問(wèn)題

網(wǎng)絡(luò)協(xié)議、系統(tǒng)及應(yīng)用服務(wù)在設(shè)計(jì)和實(shí)現(xiàn)過(guò)程中不可避免地存在缺陷。為了增強(qiáng)網(wǎng)絡(luò)的安全性，本文從互聯(lián)網(wǎng)的工作原理出發(fā)，依據(jù)分組數(shù)據(jù)的不同生命周期，將分組數(shù)據(jù)在端到端傳送過(guò)程中面臨的安全威脅，歸納為以下3個(gè)方面，具體如圖1所示。

▲圖1 互聯(lián)網(wǎng)端到端傳輸基本原理和關(guān)鍵安全問(wèn)題

（1）在分組數(shù)據(jù)生成過(guò)程中，協(xié)議棧交互安全問(wèn)題引起的攻擊威脅。終端協(xié)議棧承擔(dān)分組數(shù)據(jù)的可靠生成和安全接收任務(wù)。協(xié)議棧安全直接關(guān)系到分組數(shù)據(jù)源的安全。我們發(fā)現(xiàn)經(jīng)典的傳輸控制協(xié)議（TCP）/互聯(lián)網(wǎng)協(xié)議（IP）的協(xié)議棧模型存在著一種隱蔽的共性缺陷模式。協(xié)議棧在跨層交互過(guò)程中會(huì)產(chǎn)生安全問(wèn)題，這在當(dāng)前被嚴(yán)重忽略。諸如二義性、信息泄露、語(yǔ)義缺失、身份欺騙等安全漏洞可被攻擊者遠(yuǎn)程觸發(fā)利用，對(duì)分組數(shù)據(jù)的可靠生成造成嚴(yán)重威脅和破壞[2-6]。

（2）在分組數(shù)據(jù)傳輸過(guò)程中，路由轉(zhuǎn)發(fā)安全問(wèn)題引起的攻擊威脅。路由劫持、數(shù)據(jù)攔截和篡改、流量竊聽等攻擊行為會(huì)給分組數(shù)據(jù)的安全傳輸帶來(lái)極大威脅。因此，如何保證分組數(shù)據(jù)能夠按照預(yù)期的路由配置進(jìn)行正常轉(zhuǎn)發(fā)，使路由節(jié)點(diǎn)和目的節(jié)點(diǎn)能夠驗(yàn)證數(shù)據(jù)包的來(lái)源并過(guò)濾惡意流量，是保證分組數(shù)據(jù)安全轉(zhuǎn)發(fā)的關(guān)鍵[7-10]。

（3）在分組數(shù)據(jù)應(yīng)用過(guò)程中，傳送連接不可信問(wèn)題引起的攻擊威脅。隨著互聯(lián)網(wǎng)用戶規(guī)模和應(yīng)用復(fù)雜性的不斷上升，以及新型攻擊技術(shù)的不斷出現(xiàn)，保證海量異構(gòu)分組數(shù)據(jù)中沒(méi)有隱蔽惡意分組的混淆嵌入，實(shí)現(xiàn)高精度、低延遲的惡意分組識(shí)別和檢測(cè)，是實(shí)現(xiàn)傳送連接不可信條件下分組數(shù)據(jù)可信應(yīng)用的關(guān)鍵[11-12]。

為了提高整個(gè)網(wǎng)絡(luò)空間的協(xié)同防御能力，有效解決分組數(shù)據(jù)生命周期中3個(gè)階段的安全問(wèn)題，本文提出了無(wú)連接網(wǎng)絡(luò)中安全可信的端到端傳送體系結(jié)構(gòu)，具體包括：面向分組數(shù)據(jù)可靠生成的協(xié)議棧安全，提出基于語(yǔ)義一致性的終端協(xié)議棧漏洞發(fā)現(xiàn)與修復(fù)機(jī)制，整體上揭示并解決協(xié)議層間交互的深層安全問(wèn)題，增強(qiáng)了協(xié)議棧的魯棒性和安全性；面向分組數(shù)據(jù)安全傳輸?shù)穆酚赊D(zhuǎn)發(fā)安全，提出通過(guò)安全邊界網(wǎng)關(guān)協(xié)議（BGP）和真實(shí)路徑驗(yàn)證為互聯(lián)網(wǎng)提供數(shù)據(jù)轉(zhuǎn)發(fā)真實(shí)可信保障能力，從控制平面和數(shù)據(jù)平面杜絕流量被惡意劫持、重定向或惡意丟棄；面向分組數(shù)據(jù)可信應(yīng)用的傳送連接安全，提出基于頻域特征和圖結(jié)構(gòu)的惡意分組流量檢測(cè)識(shí)別技術(shù)，對(duì)抗加密低速等逃逸手段，實(shí)現(xiàn)泛化性，適應(yīng)多場(chǎng)景，為分組數(shù)據(jù)的可信應(yīng)用提供保證。

通過(guò)上述3個(gè)有機(jī)協(xié)作的組成部分，本文提出的無(wú)連接網(wǎng)絡(luò)中安全可信的端到端傳送體系結(jié)構(gòu)，整體上增強(qiáng)了互聯(lián)網(wǎng)的安全性和魯棒性，使分組數(shù)據(jù)具備了全生命周期的安全可信和主動(dòng)防御能力，從而有效對(duì)抗多樣化的攻擊威脅。

2 面向分組數(shù)據(jù)可靠生成的協(xié)議棧安全

協(xié)議棧是網(wǎng)絡(luò)空間數(shù)據(jù)生成的基礎(chǔ)。在生成和解析分組數(shù)據(jù)過(guò)程中，不同層次間的協(xié)議需要?jiǎng)討B(tài)跨層交互和協(xié)同。如圖2所示，在這一過(guò)程中，雖然單層協(xié)議足夠安全魯棒，但將它們組合在一起進(jìn)行跨層交互，則可能會(huì)出現(xiàn)嚴(yán)重的安全問(wèn)題，例如協(xié)議跨層交互二義性問(wèn)題、信息泄露問(wèn)題、語(yǔ)義缺失問(wèn)題、身份欺騙問(wèn)題等。這些問(wèn)題一旦被攻擊者觸發(fā)利用，將會(huì)對(duì)數(shù)據(jù)分組的可靠生成（即數(shù)據(jù)源）造成嚴(yán)重的破壞和威脅。當(dāng)前，協(xié)議跨層交互安全問(wèn)題并未引起足夠的重視。本文通過(guò)對(duì)網(wǎng)絡(luò)協(xié)議跨層交互的共享變量及資源進(jìn)行特征分析，發(fā)現(xiàn)并形式化定義了協(xié)議在交互過(guò)程中存在的5種典型安全問(wèn)題。在此基礎(chǔ)之上，我們還提出了鏈?zhǔn)津?yàn)證的防御機(jī)制，有效解決了協(xié)議層間交互安全問(wèn)題，并通過(guò)熱修復(fù)機(jī)制為異構(gòu)平臺(tái)提供統(tǒng)一的漏洞自動(dòng)修復(fù)方法，實(shí)現(xiàn)了漏洞發(fā)現(xiàn)、防御和修復(fù)的安全閉環(huán)。

▲圖2 分層網(wǎng)絡(luò)模型跨層交互安全問(wèn)題

2.1 TCP/IP分層網(wǎng)絡(luò)模型的交互式安全性分析方法

我們發(fā)現(xiàn)了TCP/IP協(xié)議棧模型中存在的5種典型跨層交互式安全問(wèn)題，并提出了形式化的方法以便對(duì)這5種安全問(wèn)題進(jìn)行歸納概括，抽象出各類安全問(wèn)題的共性范式。在TCP/IP網(wǎng)絡(luò)協(xié)議棧中，我們假設(shè)層A和層B在交換數(shù)據(jù)（以層B向?qū)覣 write數(shù)據(jù)為例），將這一過(guò)程簡(jiǎn)化為兩個(gè)實(shí)體間的數(shù)據(jù)傳遞模型。這里我們揭示了5種跨層交互式漏洞范式：

（1）同步問(wèn)題引起的二義性。B.write ! = A.read，即在層B對(duì)內(nèi)核中某字段進(jìn)行狀態(tài)更新后，層A并沒(méi)有完整讀取到該更新。這將導(dǎo)致層A讀取的字段值不完整或者不正確，致使層間由于狀態(tài)不同步而出現(xiàn)安全漏洞[5]。

（2）封裝不完備引起的信息泄露。A.field = f (B.key) and observable (A.field) == Ture，即層B中的關(guān)鍵字段key屬于隱私受保護(hù)信息，不可被攻擊者探測(cè)到。但層A中某個(gè)可觀測(cè)字段值field的計(jì)算方法依賴于層B中的關(guān)鍵字段key，它可以直接由層B中的關(guān)鍵字段key計(jì)算獲得，也可以根據(jù)層B中的關(guān)鍵字段key進(jìn)行判斷，然后篩選相應(yīng)的計(jì)算方法。封裝不完備將導(dǎo)致攻擊者通過(guò)A的字段值field推理出B的關(guān)鍵字段key，進(jìn)而導(dǎo)致信息泄露[2-3]。

（3）語(yǔ)義缺失引起的誤操作。A.write = f(B.payload) &&trace (B.payload) ==False，即層A將根據(jù)層B的載荷來(lái)執(zhí)行寫操作。但是由于層A無(wú)法對(duì)層B的載荷進(jìn)行溯源，即無(wú)法驗(yàn)證其是否偽造或者包含錯(cuò)誤，因此會(huì)默認(rèn)層B的載荷正確合法。這導(dǎo)致層A會(huì)潛在地執(zhí)行錯(cuò)誤操作，形成惡意攻擊[4]。

（4）輸入源缺乏驗(yàn)證引起的身份欺騙。A.read==X.write and X!=B，即層A所讀取到的字段來(lái)自X，而非來(lái)自其所期待的B。由于協(xié)議棧中層A的協(xié)議缺乏對(duì)其輸入來(lái)源進(jìn)行驗(yàn)證的安全措施，層A可能接收到偽造信息進(jìn)而引發(fā)身份欺騙漏洞[6]。

（5）語(yǔ)義過(guò)載引起的誤操作。A.read == B.write and A.write1= f1(A.read) and A.write2= f2(A.read )，即層A能夠正常讀取層B所寫內(nèi)容，同時(shí)層A的某個(gè)寫操作write1緊密依賴于從層B讀取到的內(nèi)容。但是，在進(jìn)行其他不同的寫操作write2時(shí)，該操作也會(huì)依賴從層B所讀取到的內(nèi)容。這將可能導(dǎo)致層B所寫的內(nèi)容語(yǔ)義過(guò)載，進(jìn)而導(dǎo)致內(nèi)核發(fā)生誤操作漏洞[2-3]。

描述每類安全問(wèn)題的共性特征和漏洞規(guī)則，然后借鑒經(jīng)典的程序分析方法，如污點(diǎn)分析、模型檢驗(yàn)、符號(hào)執(zhí)行等，能夠自動(dòng)化地挖掘協(xié)議?？鐚咏换ナ桨踩┒?，提高協(xié)議棧安全漏洞的分析效率和協(xié)議棧的魯棒性。

2.2 基于輕量級(jí)鏈?zhǔn)津?yàn)證的協(xié)議棧安全性增強(qiáng)

為了增強(qiáng)協(xié)議棧的安全性，我們提出了一種基于輕量級(jí)鏈?zhǔn)津?yàn)證的傳輸層安全性增強(qiáng)方法?；诠ｒ?yàn)證的方式，該方法使TCP連接雙方能夠?qū)鬏攲訄?bào)文形成彼此可驗(yàn)證的共識(shí)，避免攻擊者或中間人竊取和偽造類似敏感信息，從而消除網(wǎng)絡(luò)協(xié)議棧面臨的典型安全威脅。我們重新設(shè)計(jì)了傳輸層報(bào)文的校驗(yàn)和機(jī)制，采用鏈?zhǔn)焦Ｓ?jì)算的方式，生成報(bào)文中可驗(yàn)證的checksum字段。每一個(gè)傳輸層報(bào)文校驗(yàn)和的計(jì)算，是根據(jù)當(dāng)前報(bào)文數(shù)據(jù)和上一個(gè)報(bào)文的校驗(yàn)和計(jì)算獲得的。這有助于形成一個(gè)完整的校驗(yàn)鏈，從而能夠?qū)构粽叩膫卧旌推茐?。這種新型的傳輸層報(bào)文驗(yàn)證方式，使傳統(tǒng)報(bào)文的校驗(yàn)和字段信息不再孤立，具備了鏈?zhǔn)酵暾詡鬟f和驗(yàn)證的功能，可以有效抵御攻擊者針對(duì)報(bào)文的破解、偽造等威脅，實(shí)現(xiàn)了協(xié)議棧安全能力的增強(qiáng)。

2.3 基于語(yǔ)義的異構(gòu)平臺(tái)協(xié)議棧漏洞熱修復(fù)

為了有效應(yīng)對(duì)不同系統(tǒng)和平臺(tái)的異構(gòu)性，提高協(xié)議棧防御方法的自動(dòng)化部署能力和防御效果，我們提出并實(shí)現(xiàn)了一種通用的漏洞熱修復(fù)機(jī)制RapidPatch[14]。該機(jī)制支持在不修改原始代碼的情況下，通過(guò)實(shí)時(shí)注入擴(kuò)展的伯克利數(shù)據(jù)包過(guò)濾器（eBPF）字節(jié)碼實(shí)現(xiàn)通用的Patch。該P(yáng)atch可以適配所有不同軟件、硬件異構(gòu)系統(tǒng)上相同的漏洞，在不重啟系統(tǒng)的情況下進(jìn)行動(dòng)態(tài)加載并實(shí)現(xiàn)熱修復(fù)。同時(shí)，自動(dòng)驗(yàn)證和軟件錯(cuò)誤隔離機(jī)制可有效減少人工測(cè)試工作量，確保通過(guò)驗(yàn)證的Patch能在各個(gè)平臺(tái)上安全地運(yùn)行。

3 面向分組數(shù)據(jù)安全傳輸?shù)穆酚赊D(zhuǎn)發(fā)安全

協(xié)議棧安全保證了數(shù)據(jù)分組的可靠生成，確保了數(shù)據(jù)源的真實(shí)可信。但在分組傳輸過(guò)程中，攻擊者可能會(huì)在中間鏈路上進(jìn)行數(shù)據(jù)攔截與篡改、流量竊聽、分組惡意轉(zhuǎn)發(fā)和錯(cuò)誤路由等。如圖3所示，為應(yīng)對(duì)分組傳輸過(guò)程中的惡意攻擊行為，我們從網(wǎng)絡(luò)層控制面、數(shù)據(jù)面兩個(gè)層次設(shè)計(jì)安全檢測(cè)機(jī)制，實(shí)現(xiàn)了分組的路由轉(zhuǎn)發(fā)安全[15-16]。基于規(guī)則檢查的BGP路由信息驗(yàn)證機(jī)制能夠保障控制面真實(shí)有效。同時(shí)，針對(duì)數(shù)據(jù)面域間高吞吐、高擴(kuò)展性要求，我們?cè)O(shè)計(jì)了層次化的可擴(kuò)展路徑驗(yàn)證方法，實(shí)現(xiàn)了規(guī)?；窂津?yàn)證的技術(shù)基礎(chǔ)，保證了分組傳輸路徑的真實(shí)可信。使用隨機(jī)標(biāo)識(shí)方法可進(jìn)一步降低路徑驗(yàn)證開銷。為此，我們提出了更高效的基于隨機(jī)標(biāo)識(shí)的路徑驗(yàn)證機(jī)制，實(shí)現(xiàn)了靈活可擴(kuò)展、安全收益明確且可支持域間大吞吐的高效驗(yàn)證能力。

▲圖3 分組路由轉(zhuǎn)發(fā)安全

3.1 基于規(guī)則檢測(cè)的BGP路由信息驗(yàn)證

BGP易產(chǎn)生錯(cuò)誤配置或者受到路由攻擊。由于誤配置或者路由攻擊，任何自治系統(tǒng)（AS）都可以通告自己是每一個(gè)前綴源的所有者，即實(shí)施前綴劫持攻擊，或者通告一個(gè)不存在的AS路徑，即偽造路徑攻擊。因而，目的網(wǎng)絡(luò)會(huì)被劫持并產(chǎn)生路由黑洞。對(duì)此，我們提出了基于規(guī)則檢測(cè)的BGP（TBGP）路由驗(yàn)證方案，通過(guò)在路由器上檢測(cè)路由是否符合BGP路由通告的規(guī)范來(lái)驗(yàn)證路由，并實(shí)現(xiàn)了一種自動(dòng)路由過(guò)濾機(jī)制。在TBGP中，如果一個(gè)BGP路由器在出口過(guò)濾器中成功驗(yàn)證路由通告（即符合路由驗(yàn)證規(guī)則），則路由器簽名這個(gè)路由。鄰居路由器通過(guò)在入口過(guò)濾器驗(yàn)證路由簽名的有效性，可以確定這個(gè)路由通告是否符合BGP的路由通告規(guī)范。通過(guò)這個(gè)機(jī)制，TBGP路由器可以在每個(gè)路徑中建立一個(gè)可傳遞的信任關(guān)系[17]。

3.2 層次化的可擴(kuò)展轉(zhuǎn)發(fā)路徑驗(yàn)證機(jī)制設(shè)計(jì)

為了簡(jiǎn)化控制平面的設(shè)計(jì)，降低分組轉(zhuǎn)發(fā)路徑驗(yàn)證的復(fù)雜度，實(shí)現(xiàn)可擴(kuò)展的分段轉(zhuǎn)發(fā)路徑驗(yàn)證，我們通過(guò)在AS之間建立信任聯(lián)盟，實(shí)現(xiàn)了層次化的可擴(kuò)展分組轉(zhuǎn)發(fā)路徑驗(yàn)證機(jī)制。AS按照位置可以劃分為3種角色，即主域、邊界域以及非主非邊界域。這里的主域是指子信任聯(lián)盟的代表節(jié)點(diǎn)，用于同其他子信任聯(lián)盟的主域建立聯(lián)系。這樣信任聯(lián)盟之間最后形成的是樹狀關(guān)系，不在同一分支下的AS之間不會(huì)有直接建聯(lián)的關(guān)系。邊界域是位于子信任聯(lián)盟邊界的域。數(shù)據(jù)包從該域發(fā)出，即發(fā)往其他子信任聯(lián)盟或者發(fā)出信任聯(lián)盟。非主非邊界域是指既不是主域也不是邊界域的域。上述信任域的構(gòu)建能夠?qū)崿F(xiàn)層次化的分段轉(zhuǎn)發(fā)路徑驗(yàn)證，有助于將端到端的完整路徑驗(yàn)證拆分成分段的信任傳遞，達(dá)到基于層次化和分段機(jī)制的可擴(kuò)展路徑驗(yàn)證能力[7]。

3.3 基于數(shù)據(jù)包隨機(jī)標(biāo)識(shí)的高效真實(shí)性路徑驗(yàn)證

在層次化的路徑驗(yàn)證機(jī)制基礎(chǔ)之上，我們提出了數(shù)據(jù)包標(biāo)識(shí)的隨機(jī)添加及驗(yàn)證機(jī)制，進(jìn)一步實(shí)現(xiàn)低開銷、高效率的域間轉(zhuǎn)發(fā)路徑驗(yàn)證能力[8-9]。從流的角度出發(fā)，我們提出基于數(shù)據(jù)包隨機(jī)標(biāo)識(shí)的高效真實(shí)性路徑驗(yàn)證機(jī)制。該機(jī)制使源、目的節(jié)點(diǎn)能夠有效驗(yàn)證數(shù)據(jù)包經(jīng)過(guò)的自治域路由節(jié)點(diǎn)是否和預(yù)期一致?；趯哟位湃?，高效真實(shí)性路徑驗(yàn)證共享各自治域路由節(jié)點(diǎn)之間的動(dòng)態(tài)標(biāo)簽；使用動(dòng)態(tài)標(biāo)簽為每個(gè)數(shù)據(jù)包生成驗(yàn)證碼，并將其作為源、目的節(jié)點(diǎn)與路由節(jié)點(diǎn)驗(yàn)證數(shù)據(jù)包的標(biāo)識(shí)；結(jié)合隨機(jī)標(biāo)識(shí)技術(shù)降低路由節(jié)點(diǎn)開銷和網(wǎng)絡(luò)通信開銷，從而實(shí)現(xiàn)基于數(shù)據(jù)包隨機(jī)標(biāo)識(shí)的高效真實(shí)性路徑驗(yàn)證。

4 面向分組數(shù)據(jù)可信應(yīng)用的傳送連接安全

在協(xié)議實(shí)現(xiàn)與分組轉(zhuǎn)發(fā)安全可信的基礎(chǔ)上，攻擊者也可能會(huì)利用安全可信的基礎(chǔ)設(shè)施進(jìn)行攻擊，發(fā)送惡意的數(shù)據(jù)包到合法流量中，危害互聯(lián)網(wǎng)端到端通信安全，破壞應(yīng)用服務(wù)的可用性。因此，傳送連接不可信條件下的分組數(shù)據(jù)的可信應(yīng)用是另一個(gè)關(guān)鍵安全需求。然而，分組數(shù)據(jù)流中惡意分組的檢測(cè)與剔除目前仍存在很大的挑戰(zhàn)。主要原因在于傳統(tǒng)的惡意流量檢測(cè)方案通常僅針對(duì)少數(shù)已知的攻擊和低速網(wǎng)絡(luò)設(shè)計(jì)，而且無(wú)法應(yīng)對(duì)流量動(dòng)態(tài)變化的特征，即沒(méi)有考慮攻擊者的逃逸行為。如圖4所示，我們提出了基于頻域特征的惡意流量實(shí)時(shí)檢測(cè)方案和基于圖結(jié)構(gòu)的高效隱蔽惡意行為檢測(cè)方案，兩組檢測(cè)方案可以分別識(shí)別短期與長(zhǎng)期惡意數(shù)據(jù)行為。

▲圖4 傳送連接不可信條件下的惡意流量檢測(cè)

4.1 基于頻域特征的惡意流量實(shí)時(shí)檢測(cè)

基于頻域的檢測(cè)方案針對(duì)短時(shí)惡意行為，解決了傳統(tǒng)惡意流量檢測(cè)系統(tǒng)中檢測(cè)速度和魯棒性不可兼得的難題，最終實(shí)現(xiàn)了在高帶寬環(huán)境下對(duì)抗逃逸行為的實(shí)時(shí)魯棒性檢測(cè)。

基于頻域特征的惡意流量實(shí)時(shí)檢測(cè)主要包含兩個(gè)模塊：頻域特征抽取和輕量級(jí)的機(jī)器學(xué)習(xí)。頻域特征抽取模塊首先對(duì)觀測(cè)到的高速流量進(jìn)行解析，以獲取原始的細(xì)粒度逐包特征，對(duì)逐包特征進(jìn)行壓縮編碼；隨后對(duì)于編碼后的特征進(jìn)行頻域特征抽取，并將頻域變換作為特征增強(qiáng)方法來(lái)進(jìn)一步降低特征冗余性，提升特征有效性；最后利用對(duì)數(shù)變換，防止檢測(cè)過(guò)程中機(jī)器學(xué)習(xí)算法的數(shù)值出現(xiàn)不穩(wěn)定。該方法采用輕量級(jí)無(wú)監(jiān)督機(jī)器學(xué)習(xí)算法，來(lái)學(xué)習(xí)流量的頻域特征向量，在檢測(cè)階段將聚類損失率大的流量標(biāo)注為異常流量。通過(guò)真實(shí)世界實(shí)驗(yàn)證實(shí)，采用頻域分析的方法能精準(zhǔn)檢測(cè)拒絕服務(wù)（DoS）、側(cè)信道等42種典型惡意流量，并保證單核1.65 Gbit/s的吞吐量和毫秒級(jí)延遲[11]。

4.2 基于圖結(jié)構(gòu)的高效隱蔽惡意行為檢測(cè)

基于圖結(jié)構(gòu)的檢測(cè)方案針對(duì)長(zhǎng)期惡意行為，解決了傳統(tǒng)檢測(cè)方案不能應(yīng)對(duì)低速加密且隱蔽的惡意流量問(wèn)題，最終實(shí)現(xiàn)了多場(chǎng)景通用的低速隱蔽惡意流量檢測(cè)。流量交互圖可有效表示網(wǎng)絡(luò)用戶的長(zhǎng)期交互信息，能夠挖掘異常的交互模式，檢測(cè)出隱蔽的加密惡意流量。

在構(gòu)建出流量交互圖之后，我們使用四步輕量級(jí)圖學(xué)習(xí)方法，利用圖結(jié)構(gòu)上維護(hù)的豐富歷史交互信息來(lái)檢測(cè)加密的惡意流量。（1）通過(guò)提取強(qiáng)連通分量來(lái)分析圖的連通性，并通過(guò)對(duì)粗粒度統(tǒng)計(jì)特征進(jìn)行聚類來(lái)識(shí)別圖上異常的強(qiáng)聯(lián)通分量。其中，排除正常的聯(lián)通分量可顯著降低圖學(xué)習(xí)算法的開銷。（2）由于邊特征具備局部鄰接性，使用圖學(xué)習(xí)算法對(duì)邊進(jìn)行預(yù)先聚類，可以顯著降低特征處理開銷，保證檢測(cè)的效率。（3）使用Z3 SMT（指一種求解器）求解頂點(diǎn)覆蓋問(wèn)題，以提取關(guān)鍵頂點(diǎn)，然后逐一分析關(guān)鍵節(jié)點(diǎn)就可以分析全部的邊。（4）對(duì)連接到相同的關(guān)鍵節(jié)點(diǎn)的邊特征進(jìn)行聚類，從正常交互模式相關(guān)的邊當(dāng)中區(qū)分異常的交互模式相關(guān)的邊，即識(shí)別表示加密惡意流量的邊。在80個(gè)場(chǎng)景下，該方法能高精度地檢測(cè)各類異常流量，包括傳統(tǒng)暴力洪范攻擊流量、低速率探測(cè)流量、加密的洪范流量、代表性惡意軟件流量。相比于傳統(tǒng)方案，基于圖結(jié)構(gòu)的檢測(cè)方案可以實(shí)現(xiàn)17.5%～31.2%的檢測(cè)準(zhǔn)確度提升[12]。

5 結(jié)束語(yǔ)

針對(duì)無(wú)連接網(wǎng)絡(luò)中安全可信的端到端傳送這一關(guān)鍵問(wèn)題，我們基于互聯(lián)網(wǎng)的工作原理，從分組數(shù)據(jù)的可靠生成、安全傳輸和可信應(yīng)用3個(gè)階段出發(fā)，提出了基于語(yǔ)義一致性的協(xié)議棧漏洞發(fā)現(xiàn)與修復(fù)機(jī)制、隨機(jī)協(xié)作的分組惡意轉(zhuǎn)發(fā)檢測(cè)機(jī)制、基于頻域特征和圖結(jié)構(gòu)的傳送連接可信機(jī)制，改善了互聯(lián)網(wǎng)現(xiàn)有協(xié)議實(shí)現(xiàn)不安全、分組轉(zhuǎn)發(fā)不安全和傳送連接不可信的現(xiàn)狀，整體增強(qiáng)了互聯(lián)網(wǎng)提供正常、有序服務(wù)的能力。同時(shí)，本文所提出的技術(shù)方法已在奇安信、新華三等實(shí)現(xiàn)產(chǎn)業(yè)化和規(guī)?；瘧?yīng)用。