李 果

（湖南信息職業(yè)技術(shù)學(xué)院 湖南 長沙 410200）

0 引言

為了保障網(wǎng)絡(luò)環(huán)境的安全，網(wǎng)絡(luò)安全態(tài)勢評估相關(guān)研究成為了備受關(guān)注的內(nèi)容之一[1]?，F(xiàn)階段，對于網(wǎng)絡(luò)安全態(tài)勢的分析主要是從網(wǎng)絡(luò)攻擊的作用方式以及作用對象方面實現(xiàn)的[2]，這種方法雖然提高了分析結(jié)果的可靠性，但是需要大量的基礎(chǔ)數(shù)據(jù)，前期工作量較大[3]。除此之外，受網(wǎng)絡(luò)攻擊自身強度以及隱蔽性的影響[4]，網(wǎng)絡(luò)遭受到攻擊后的響應(yīng)強度也不同[5]，當(dāng)這種強度接近網(wǎng)絡(luò)噪聲的作用強度時，極易導(dǎo)致最終的評估結(jié)果與實際情況存在較大偏差[6]。針對網(wǎng)絡(luò)安全態(tài)勢評估的研究，楊宏宇等[7]通過提取網(wǎng)絡(luò)的并行運行特征，將其輸入到改進后的BiGRU中，實現(xiàn)了對網(wǎng)絡(luò)安全態(tài)勢的有效評估，但是這種評估方式在穩(wěn)定性上表現(xiàn)出了一定的不足。熊中浩等[8]借助DBN（Deep Belief Network，深度信念網(wǎng)絡(luò)）的特征分析優(yōu)勢，實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的評估，并構(gòu)建了態(tài)勢預(yù)測模型，在一定程度上提高了評估結(jié)果的可靠性，但是對于攻擊流量的敏感性還存在一定的提升空間。

在上述基礎(chǔ)上，本文充分考慮了攻擊流量對于網(wǎng)絡(luò)時延參數(shù)的影響，在引入時間因子的基礎(chǔ)上，設(shè)計了一種網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)，以MYC-CZU5EV核心板作為系統(tǒng)硬件裝置，具有存儲量大、運行速度快以及可靠性高的性能，在一定程度上可以保障系統(tǒng)的安全與穩(wěn)定運行。試驗測試驗證了所設(shè)計系統(tǒng)的應(yīng)用價值，為相同領(lǐng)域的持續(xù)研究提供一定的參考與借鑒。

1 硬件設(shè)計

為了確保系統(tǒng)能夠?qū)崿F(xiàn)快速分析網(wǎng)絡(luò)運行狀態(tài)信息，提高安全態(tài)勢評估準確性[9]，本文選用MYC-CZU5EV核心板作為系統(tǒng)硬件。作為一種基于XILINXMPSoC全可編程處理器的核心板，MYC-CZU5EV搭載了4核Cortex-A53（Upto1.5 GHz），并配置了FPGA+GPU+VideoCodec。不僅如此，MYC-CZU5EV還搭載了4 GB的DDR4 SDRAM（64 bit，2 400 MHz），通過分布式存儲方式為系統(tǒng)應(yīng)對復(fù)雜網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)運算提供可靠支持。借助板載的千兆以太網(wǎng)PHY和USB PHY，MYC-CZU5EV可以較快實現(xiàn)高速互聯(lián)，確保安全態(tài)勢評估的時效性，最大限度滿足網(wǎng)絡(luò)安全狀態(tài)評估需求。圖1為MYC-CZU5EV的接口設(shè)置，具體運行參數(shù)設(shè)置如表1所示。

圖1 MYC-CZU5EV接口設(shè)置

表1 MYC-CZU5EV運行參數(shù)設(shè)置

MYC-CZU5EV運行參數(shù)設(shè)置具體步驟為：首先，利用FPGA邏輯單元設(shè)計網(wǎng)絡(luò)時延參數(shù)最小單元，使網(wǎng)絡(luò)運行狀態(tài)信息分析邏輯更為緊密，為后續(xù)觸發(fā)器轉(zhuǎn)換提供數(shù)據(jù)支撐；其次，通過觸發(fā)器轉(zhuǎn)換MySQL基礎(chǔ)數(shù)據(jù)庫中的網(wǎng)絡(luò)運行數(shù)據(jù)，確保系統(tǒng)信息數(shù)據(jù)存儲的安全性；再次，將轉(zhuǎn)換后的網(wǎng)絡(luò)運行數(shù)據(jù)按照查找表的方式設(shè)定成數(shù)組形式，提高算法計算能力，減少后續(xù)狀態(tài)文本預(yù)處理工作量，能夠有效提高查詢速率；之后，將數(shù)組輸入至Block RAM中，采用偽雙口RAM實現(xiàn)高頻時鐘輸出，預(yù)處理網(wǎng)絡(luò)運行狀態(tài)文本；最后，根據(jù)網(wǎng)絡(luò)運行狀態(tài)對乘法器進行二進制數(shù)相乘設(shè)定，模擬網(wǎng)絡(luò)多路數(shù)據(jù)運行信號，減輕服務(wù)器端的壓力。

通過MYC-CZU5EV的高效運行，可以實現(xiàn)網(wǎng)絡(luò)多路數(shù)據(jù)信息的并行交互，有效提升安全態(tài)勢評估的穩(wěn)定性，為后續(xù)安全態(tài)勢評估提供可靠支撐。

2 軟件設(shè)計

在完成對系統(tǒng)硬件設(shè)計后，在不斷強化系統(tǒng)硬件性能的基礎(chǔ)上，對軟件進行改造研究。根據(jù)時間因子參數(shù)計算網(wǎng)絡(luò)時延參數(shù)，分析網(wǎng)絡(luò)攻擊作用強度，確定網(wǎng)絡(luò)安全態(tài)勢評估模式。通過計算網(wǎng)絡(luò)實際時延與理想值的差異，完成網(wǎng)絡(luò)安全態(tài)勢評估。

2.1 基于時間因子的網(wǎng)絡(luò)狀態(tài)分析

在對網(wǎng)絡(luò)安全態(tài)勢進行評估時，不僅需要分析當(dāng)前網(wǎng)絡(luò)基礎(chǔ)運行狀態(tài)，還需要充分考慮網(wǎng)絡(luò)攻擊作用強度[10-11]。為此，本文在設(shè)計網(wǎng)絡(luò)安全狀態(tài)評估系統(tǒng)軟件階段，通過設(shè)置時間因子參數(shù)的方式分析網(wǎng)絡(luò)運行狀態(tài)。假設(shè)在任意時刻t，網(wǎng)絡(luò)的傳輸時延為a，那么穩(wěn)態(tài)模式下的網(wǎng)絡(luò)狀態(tài)為

其中，ε表示網(wǎng)絡(luò)時序狀態(tài)允許時延波動閾值，a(t)和a(t+1)表示連續(xù)時間序列下網(wǎng)絡(luò)的時延參數(shù)。將式（1）作為MYC-CZU5EV實施網(wǎng)絡(luò)狀態(tài)劃分基準，當(dāng)輸入到MYCCZU5EV中的數(shù)據(jù)滿足式（1）時，則按照噪聲擾動模式實施網(wǎng)絡(luò)安全態(tài)勢評估；當(dāng)輸入到MYC-CZU5EV中的數(shù)據(jù)不滿足式（1）時，則按照網(wǎng)絡(luò)攻擊模式實施網(wǎng)絡(luò)安全態(tài)勢評估。

2.2 網(wǎng)絡(luò)安全態(tài)勢計算

按照2.1節(jié)所示的方式確定網(wǎng)絡(luò)安全態(tài)勢評估模式后，本文按照安全程度為100%狀態(tài)下的安全態(tài)勢值為1的條件完成網(wǎng)絡(luò)安全態(tài)勢計算。當(dāng)數(shù)據(jù)處理過程為噪聲擾動模式時，直接利用實際時延與理想值之間的差異實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢計算，對應(yīng)的計算方式可以表示為

其中，k表示噪聲擾動模式下的網(wǎng)絡(luò)安全態(tài)勢值。

當(dāng)數(shù)據(jù)處理過程處于網(wǎng)絡(luò)攻擊模式時，網(wǎng)絡(luò)安全態(tài)勢計算需要綜合考慮當(dāng)前網(wǎng)絡(luò)運行實際狀態(tài)和攻擊流量情況，對應(yīng)的計算方式可以表示為

按照模式計算的方式，實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢準確評估。但是需要注意的是，不同網(wǎng)絡(luò)的實際運行指標參數(shù)設(shè)置具有一定差異性，為了避免出現(xiàn)由于網(wǎng)絡(luò)攻擊強度較低導(dǎo)致評估模式分析異常的情況，需要對時間因子尺度單元進行適應(yīng)性調(diào)節(jié)，以此確保評估結(jié)果的準確性。

3 應(yīng)用測試與分析

為了有效驗證本文設(shè)計的基于時間因子的網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)應(yīng)用效果，本文在測試環(huán)境中對其展開測試分析，并設(shè)置了以楊宏宇等[7]建立在并行特征提取和改進BiGR基礎(chǔ)上的評估方法，熊中浩等[8]以DBN為基礎(chǔ)的評估方法為核心的對照組。通過分析三種不同方法對于網(wǎng)絡(luò)安全態(tài)勢的評估結(jié)果，驗證本文設(shè)計系統(tǒng)的應(yīng)用價值和有效性。

3.1 測試環(huán)境設(shè)置

通過仿真的形式對設(shè)計系統(tǒng)的應(yīng)用效果進行測試階段，對應(yīng)的測試環(huán)境為3.00 GHz Core(TM)2 Duo CPU，內(nèi)存大小為6.00 G，搭載的操作系統(tǒng)為Ubuntu12.10，使用的仿真工具為Mininet 2.0.5。在此基礎(chǔ)上，為了最大限度確保模擬環(huán)境與實際網(wǎng)絡(luò)環(huán)境相近，利用POX 0.1.0實現(xiàn)對整個網(wǎng)絡(luò)的控制。對于安全攻擊的生成，本文借助了Scapy，利用其在測試環(huán)境中導(dǎo)入背景流量，實現(xiàn)對不同網(wǎng)絡(luò)攻擊的模擬。對于測試具體網(wǎng)絡(luò)拓撲結(jié)構(gòu)的設(shè)置，本文利用SDN控制器實現(xiàn)對整個網(wǎng)絡(luò)的控制，并構(gòu)建包含6個Switch的轉(zhuǎn)發(fā)面。在此基礎(chǔ)上，網(wǎng)絡(luò)的鏈路帶寬可以達到10 Mbps。Switch不同連接段之間的背景數(shù)據(jù)交互形成信息流，對應(yīng)的發(fā)送速率分為1 200 pps、1 000 pps、800 pps和200 pps?？紤]到在攻擊狀態(tài)下網(wǎng)絡(luò)中會存在一定的噪聲，并且具有較為明顯的隨機性，本文通過建立發(fā)送源IP地址和端口號的變化屬性實現(xiàn)模擬。在Switch中輸入不同的速率的攻擊數(shù)據(jù)流，并測試相應(yīng)條件下網(wǎng)絡(luò)的安全狀態(tài)。將所設(shè)計的方法與楊宏宇等[7]提出的改進BiGRU評估方法（以下簡稱改進BiGRU評估方法）及熊中浩等[8]提出的DBN評估方法作為對比方法（以下簡稱DBN評估方法），測試不同方法得到的實驗結(jié)果。

3.2 測試結(jié)果與分析

在上述基礎(chǔ)上，本文分別在測試進行的第20 s、40 s、60 s以及80 s按照1 200 pps、1 000 pps、800 pps和200 pps的速率，向仿真網(wǎng)絡(luò)環(huán)境中輸入攻擊流量，對應(yīng)的持續(xù)時間均為0.5 s。以此為基礎(chǔ)，統(tǒng)計不同評估方法的評估結(jié)果，得到的數(shù)據(jù)信息如圖2所示。

圖2 網(wǎng)絡(luò)安全態(tài)勢評估結(jié)果對比圖

對圖2中的數(shù)據(jù)進行分析可以看出，三種評估方法均能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)安全攻擊下對應(yīng)安全態(tài)勢波動的分析，但是結(jié)合本文設(shè)置的攻擊流量速率，實施在20 s、40 s、60 s以及80 s的攻擊強度逐漸減弱，相應(yīng)時刻的網(wǎng)絡(luò)安全態(tài)勢值也是以逐漸增加的形式存在。以此為基礎(chǔ)對三種方法的評估結(jié)果進行分析，其中改進BiGR評估方法對20 s和40 s的網(wǎng)絡(luò)安全態(tài)勢呈現(xiàn)出與實驗設(shè)置相反的特征，對于60 s和80 s的評估結(jié)果發(fā)展趨勢與實驗設(shè)置一致。DBN評估方法對于20 s和40 s的評估結(jié)果并未表現(xiàn)出明顯的差異，雖然對于60 s的安全態(tài)勢值評估結(jié)果體現(xiàn)了攻擊強度的變化，但是80 s時刻的評估結(jié)果也同樣存在趨勢分析偏差的問題。相比之下，本文設(shè)計系統(tǒng)的評估結(jié)果中，對應(yīng)20 s、40 s、60 s以及80 s的安全態(tài)勢值表現(xiàn)出了明顯的遞增趨勢，這與實驗設(shè)置具有較高的一致性。測試結(jié)果表明，本文設(shè)計的基于時間因子的網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)可以實現(xiàn)對不同攻擊強度下網(wǎng)絡(luò)安全狀態(tài)發(fā)展趨勢的有效評估。

在此基礎(chǔ)上，為了進一步分析評估結(jié)果與網(wǎng)絡(luò)實際安全狀態(tài)之間的關(guān)系，借助Mininet 2.0.5計算了在不同攻擊流量下網(wǎng)絡(luò)的安全態(tài)勢值，并與三種方法對應(yīng)的評估結(jié)果進行比較，得到的數(shù)據(jù)結(jié)果如表2所示。

表2 安全態(tài)勢值評估數(shù)據(jù)對比表

對表2中的數(shù)據(jù)進行分析可以發(fā)現(xiàn)，三種方法對于網(wǎng)絡(luò)安全態(tài)勢值的評估結(jié)果均與實際值存在一定的偏差，但是對應(yīng)的偏差程度存在較為明顯的差異。其中，改進BiGR評估方法的最小誤差僅為0.01，但是最大值達到了0.08，穩(wěn)定性有待提升。DBN評估方法誤差的最大值達到了0.23，準確性存在一定的提升空間。相比之下，本文設(shè)計系統(tǒng)的評估結(jié)果與實際安全態(tài)勢值之間的誤差最小，且具有較高的穩(wěn)定性，始終穩(wěn)定在0.03以內(nèi)。測試結(jié)果表明，本文設(shè)計的基于時間因子的網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)安全狀態(tài)的準確分析，具有可靠的應(yīng)用效果。

3 結(jié)語

信息技術(shù)的發(fā)展在促進網(wǎng)絡(luò)應(yīng)用范圍不斷擴大的同時，也帶來了相應(yīng)的安全管理問題。本文提出基于時間因子的網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)研究，借助網(wǎng)絡(luò)在遭到攻擊時對應(yīng)的響應(yīng)時間變化情況，實現(xiàn)了對其安全狀態(tài)的準確分析，對于實際的網(wǎng)絡(luò)安全維護具有良好的應(yīng)用價值。但是，由于研究時間和研究條件有限，應(yīng)用測試仿真實驗選擇的網(wǎng)絡(luò)攻擊行為類型為流量型攻擊（網(wǎng)絡(luò)層攻擊和應(yīng)用層攻擊），未對單包攻擊進行仿真實驗。所以，在之后的研究會進一步延伸網(wǎng)絡(luò)攻擊行為的選擇，借助本文的研究，對畸形報文攻擊、特殊報文攻擊、掃描窺探攻擊的單包攻擊進行應(yīng)用測試，以期為網(wǎng)絡(luò)安全態(tài)勢監(jiān)測和管理工作的開展提供新思路。