于英濤,吳明虎

(1．華北計(jì)算技術(shù)研究所太極股份，北京 100083；2．軍事科學(xué)院軍事醫(yī)學(xué)研究院，北京 100850)

1 引言

網(wǎng)絡(luò)漏洞就是網(wǎng)絡(luò)信息受到破壞的一個(gè)途徑之一，在不同的軟硬件設(shè)備內(nèi)，都有極大的可能，存在不同的安全漏洞。而漏洞主要是由于設(shè)計(jì)者與實(shí)施者出現(xiàn)疏忽或者是失誤以及對(duì)于網(wǎng)絡(luò)環(huán)境的不熟悉，造成網(wǎng)絡(luò)功能和安全策略之間發(fā)生的沖突所出現(xiàn)的，即而造成信息完整性、保密性以及可獲得性受到損失，同時(shí)還有可能是不法分子或者是自動(dòng)惡意代碼故意造成的[1-2]。整個(gè)系統(tǒng)或者網(wǎng)絡(luò)內(nèi)某一個(gè)單一的漏洞，都極大可能會(huì)造成一個(gè)機(jī)構(gòu)的安全態(tài)勢(shì)出現(xiàn)問(wèn)題。從網(wǎng)絡(luò)漏洞攻擊原理以及攻擊步驟上觀察，能夠知道要想減少或者防止網(wǎng)絡(luò)漏洞的攻擊，最好的辦法在于盡量避免主機(jī)端口被掃描與監(jiān)聽(tīng)，比攻擊者先一步發(fā)現(xiàn)漏洞，采取有效的措施，提升網(wǎng)絡(luò)安全。文獻(xiàn)[3]提出基于協(xié)議狀態(tài)圖遍歷的RTSP協(xié)議漏洞挖掘方法，利用協(xié)議狀態(tài)間的約束關(guān)系和狀態(tài)轉(zhuǎn)移的關(guān)聯(lián)關(guān)系構(gòu)造協(xié)議狀態(tài)圖，并基于協(xié)議狀態(tài)圖進(jìn)行深度遍歷的方法，該方法減少了測(cè)試用例的生成，并提高了生成的有效性。但是該方法的網(wǎng)絡(luò)信息安全漏洞挖掘效率較低，挖掘效果不佳。為此本文提出一種欺騙攻擊環(huán)境下網(wǎng)絡(luò)信息安全漏洞深度挖掘方法，該方法能夠很好的對(duì)欺騙攻擊環(huán)境下所產(chǎn)生的網(wǎng)絡(luò)信息漏洞進(jìn)行挖掘，且挖掘效率較高，效果良好。

2 欺騙攻擊環(huán)境分析

2.1 信息分布形式系統(tǒng)

數(shù)據(jù)信息的網(wǎng)絡(luò)，能夠看出是利用N個(gè)分布式網(wǎng)絡(luò)，所構(gòu)成離散分線性數(shù)據(jù)網(wǎng)絡(luò)，具體公式為：

上式中：x(k)Rn代表系統(tǒng)狀態(tài)向量，f(x(k))Rn代表非線性向量，代表信息的測(cè)量輸出，z(k)Rq代表估計(jì)的輸出向量，、代表已知的常數(shù)矩陣，ω(k)Rl與v(k)Rp分別代表系統(tǒng)的噪聲以及測(cè)量的噪聲，其均值是0，同時(shí)還需要滿足公式為：

在式(1)內(nèi)的非線性的函數(shù)f(x(k))代表可以滿足全局的Lipschitz的條件非線性變量，具體公式為：

上式中：G代表常數(shù)矩陣。

2.2 數(shù)據(jù)的欺騙攻擊

信息數(shù)據(jù)在網(wǎng)絡(luò)通道內(nèi)進(jìn)行傳輸時(shí)，極大可能會(huì)受到欺騙攻擊，欺騙攻擊的方式會(huì)以竊取控制器節(jié)點(diǎn)、劫持傳感器節(jié)點(diǎn)或者是竊取密匙的方式來(lái)截取數(shù)據(jù)信息[4]。假如一旦控制器被劫持，那么該攻擊就會(huì)把錯(cuò)誤數(shù)據(jù)加入至控制器節(jié)點(diǎn)，選擇最初的傳輸數(shù)據(jù)信息，將此數(shù)據(jù)作為虛假的數(shù)據(jù)，就是在網(wǎng)絡(luò)遭受欺騙攻擊以后，接收到的信息數(shù)據(jù)是。

為了對(duì)欺騙攻擊進(jìn)行簡(jiǎn)化，利用以下形式對(duì)攻擊以及不攻擊進(jìn)行同時(shí)表達(dá)，具體公式為：

其中，標(biāo)量αi(k)是任意Bernoulli 的序列，并且要滿足公式為：

3 網(wǎng)絡(luò)數(shù)據(jù)信息安全漏洞深度挖掘方法

3.1 數(shù)據(jù)信息靜態(tài)分析

靜態(tài)分析的形式框架，可以抽象的進(jìn)行解釋，而靜態(tài)分析只是跟蹤用戶所關(guān)注的程序?qū)傩?，因此靜態(tài)分析對(duì)于程序語(yǔ)義的解釋，與程序真實(shí)語(yǔ)義近似。假如程序在執(zhí)行時(shí)的狀態(tài)序列是v0～→v1=fc(v0)～→…～→…～→vi=(v0)～→…，在式中viV，V代表程序所執(zhí)行任務(wù)時(shí)真實(shí)的狀態(tài)集合，fc代表真實(shí)的解釋函數(shù)，則程序?qū)傩约礊閒c最小的不動(dòng)點(diǎn)[6]。因?yàn)樵闯绦蛉魏蔚姆瞧椒矊傩裕幱诓豢膳卸ǖ臓顟B(tài)，采用抽象解釋設(shè)計(jì)的程序語(yǔ)義函數(shù)為fa，接著利用fa最小不動(dòng)點(diǎn)，來(lái)近似fc最小的不動(dòng)點(diǎn)。這時(shí)，程序抽象的執(zhí)行序列是l0|→l1=fa(l0)|→…|→li=(l0)|→…，其中l(wèi)iL，而L代表抽象狀態(tài)的集合。相對(duì)于抽象域L的構(gòu)造完全格＜L，，，，⊥，＞，解釋了抽象狀態(tài)與真實(shí)狀態(tài)二者間的正確關(guān)系，而RV×L代表正確關(guān)系。在R滿足下列的兩個(gè)條件時(shí)：

只要是滿足下列的兩個(gè)條件的靜態(tài)分析，就全是正確的。l0為v0安全近似，就是v0Rl0；其中每次遷移都要保持正確的關(guān)系R，就是v1，v2V，l1，l2L，(v1→v2)(v1Rl1)(l2=fa(l1))→v2Rl2。

在fa不動(dòng)點(diǎn)很難進(jìn)行計(jì)算時(shí)，例如收斂的速度太慢或者是L具有無(wú)限上升鏈，那么抽象解釋可以允許用戶構(gòu)建一個(gè)更加近似抽象域M以及全新抽象函數(shù)fm：M→M，以此來(lái)近似之前抽象域L以及抽象函數(shù)fa：L→L，不過(guò)需要fm滿足fmfm。若新關(guān)系SV×M被定義為vSm，并且vRγ(m)，那么就能夠說(shuō)明S為正確關(guān)系。在＜L，a，γ，M＞是一個(gè)Galois的連接時(shí)，能夠說(shuō)明fm每一次計(jì)算都可以保持準(zhǔn)確關(guān)系S。

而在進(jìn)行Widening/narrowing操作時(shí)，同樣能夠得到和Galois 連接的方式，它具有相似的收斂速度以及精度，就算不能對(duì)無(wú)限L抽象值有限域Calois進(jìn)行連接，也能夠找到適合的Widening/narrowing操作，確保抽象解釋函數(shù)快速的收斂。而Widening和narrowing操作的函數(shù)能夠分別標(biāo)記成：L×L→L與：L×L→L。在給定完全格L上單調(diào)的函數(shù)f：L→L，若定義函數(shù)，并且，則一定具有一個(gè)最小的不動(dòng)點(diǎn)，若定義函數(shù)，并且，則同樣具有最小的不動(dòng)點(diǎn)，且序列與元素全是lfp(f)安全近似[7]，不過(guò)要比更加的準(zhǔn)確。

3.2 安全漏洞挖掘

將移動(dòng)網(wǎng)絡(luò)數(shù)據(jù)信息作為一個(gè)偵查移動(dòng)網(wǎng)絡(luò)的混合安全漏洞樣本，構(gòu)建一個(gè)自回歸的模型。對(duì)模型內(nèi)數(shù)據(jù)利用零均值化的方式進(jìn)行處理，選取一個(gè)合適自回歸的模型階數(shù)，擬合時(shí)間序列，依據(jù)得到的時(shí)間序列，對(duì)二階自回歸模型進(jìn)行擬合，以此就能夠應(yīng)用在移動(dòng)網(wǎng)絡(luò)數(shù)據(jù)信息的挖掘中，再結(jié)合異常數(shù)據(jù)信息的判斷條件，來(lái)對(duì)移動(dòng)網(wǎng)絡(luò)數(shù)據(jù)信息樣本的挖掘進(jìn)行判定，就能夠完成移動(dòng)網(wǎng)絡(luò)的混合安全漏洞挖掘[8]。

首先對(duì)滑動(dòng)窗口作零均值化處理，該方法從總體上來(lái)說(shuō)，就是經(jīng)過(guò)過(guò)濾之后移動(dòng)網(wǎng)絡(luò)數(shù)據(jù)信息觀測(cè)值序列，全局上是處于不平穩(wěn)的狀態(tài)，不過(guò)從局部的統(tǒng)計(jì)上進(jìn)行觀察，卻是近似于平穩(wěn)的狀態(tài)，把這個(gè)局部當(dāng)成一個(gè)滑動(dòng)的時(shí)間窗，而時(shí)間窗的大小要設(shè)置成N′+1，然后每一次取出N′+1 個(gè)數(shù)，那么滑動(dòng)窗N′+1的個(gè)數(shù)，就可以表示成y1，y2，…，yN+1，然后利用之前建立的自回歸模型AR，對(duì)第N′+1 個(gè)數(shù)是否發(fā)生過(guò)異常進(jìn)行判斷，在構(gòu)建自回歸的模型前，要通過(guò)零均值的方式對(duì)前N′個(gè)數(shù)據(jù)進(jìn)行處理。最后設(shè)為y1，y2，…，yN+1平均值，具體計(jì)算的公式為：

選取一個(gè)合適的AR階數(shù)q′，設(shè)置一個(gè)滑動(dòng)的時(shí)間窗近似于平穩(wěn)的狀態(tài)，那么窗口大小的N′應(yīng)該相對(duì)較小，而利用AR(q′)進(jìn)行時(shí)間序列擬合時(shí)，可以精確的利用FPE完成衡量，則相應(yīng)最小FPE的AR階數(shù)q′就是最優(yōu)模型階數(shù)。具體N′與q′約束的條件公式為：

上式中：φ1和φ2代表AR(2)系數(shù)，et代表白噪聲，主要遵從的均值為0，而方差為分布的形式。

而et方差計(jì)算公式為：

并且：

AR(2)參數(shù)估計(jì)公式為：

而AR(2)參數(shù)是利用時(shí)間序列的數(shù)據(jù)線性進(jìn)行估計(jì)而獲得的。

采用AR(2)對(duì)移動(dòng)網(wǎng)絡(luò)信息樣本挖掘，假如B代表后移算子，則具體公式為：

上式中：L′和U的設(shè)定，是大于0的常數(shù)值。

4 仿真實(shí)驗(yàn)分析

4.1 實(shí)驗(yàn)環(huán)境

為了驗(yàn)證本文方法的有效性，實(shí)驗(yàn)數(shù)據(jù)集為KDD99，其中訓(xùn)練數(shù)據(jù)大約有60多萬(wàn)條，測(cè)試數(shù)據(jù)大約有1萬(wàn)多條，測(cè)試的數(shù)據(jù)集中正常的數(shù)據(jù)占據(jù)76．1%、而漏洞數(shù)據(jù)占據(jù)23．9%。

4.2 挖掘精度分析

隨著網(wǎng)絡(luò)信息的數(shù)據(jù)量逐漸增加，分別利用本文方法與基于協(xié)議狀態(tài)圖遍歷的RTSP 協(xié)議漏洞挖掘方法挖掘數(shù)據(jù)集內(nèi)漏洞的數(shù)據(jù)，對(duì)比挖掘的精度以及誤挖掘率。具體的對(duì)比結(jié)果如表1所示。

表1 兩種方法挖掘精度對(duì)比結(jié)果

通過(guò)表1能夠看出，隨著數(shù)據(jù)量逐漸的增加，本文方法與基于協(xié)議狀態(tài)圖遍歷的RTSP 協(xié)議漏洞挖掘方法的挖掘精度都在一定程度上有所下降，而誤挖掘率確有所上升，不過(guò)本文方法挖掘精度以及誤挖掘率一直要優(yōu)于基于協(xié)議狀態(tài)圖遍歷的RTSP協(xié)議漏洞挖掘方法，以此說(shuō)明本文方法的挖掘精度較高，效果良好。

4.3 挖掘效率分析

隨著數(shù)據(jù)量逐漸增加情況下，對(duì)本文方法與基于協(xié)議狀態(tài)圖遍歷的RTSP 協(xié)議漏洞挖掘方法挖掘同樣數(shù)據(jù)所需要的時(shí)間進(jìn)行對(duì)比，具體對(duì)比的結(jié)果如圖1所示。

圖1 挖掘時(shí)間對(duì)比結(jié)果圖

圖2 規(guī)定時(shí)間處理數(shù)據(jù)對(duì)比圖

通過(guò)圖1能夠看出，在數(shù)據(jù)量逐漸增加的過(guò)程中，基于協(xié)議狀態(tài)圖遍歷的RTSP 協(xié)議漏洞挖掘方法運(yùn)行的時(shí)間也迅速增加，該過(guò)程一直要比本文方法高，而本文方法處理的時(shí)間同樣在逐漸增加，不過(guò)始終要低于線性的速率，并且逐漸的趨向于穩(wěn)定，以此說(shuō)明本文方法存在較高的處理效率。

分別采用本文方法與基于協(xié)議狀態(tài)圖遍歷的RTSP 協(xié)議漏洞挖掘方法挖掘網(wǎng)絡(luò)數(shù)據(jù)信息漏洞，一共進(jìn)行20 次測(cè)試，具體的單位時(shí)間所處理數(shù)據(jù)量對(duì)比結(jié)果，如圖2所示。

通過(guò)圖2能夠看出，同等時(shí)間段中，本文方法數(shù)據(jù)處理量要一直比基于協(xié)議狀態(tài)圖遍歷的RTSP 協(xié)議漏洞挖掘方法大，這是因?yàn)楸疚睦昧遂o態(tài)分析的方法，在一定程度上降低了計(jì)算量。以此可以說(shuō)明本文方法，存在極高的挖掘效率。

5 結(jié)束語(yǔ)

為了保證網(wǎng)絡(luò)信息安全，提出欺騙攻擊環(huán)境下網(wǎng)絡(luò)信息安全漏洞深度挖掘方法。本文方法能夠很好的對(duì)網(wǎng)絡(luò)漏洞進(jìn)行挖掘，且挖掘精度較高，誤挖掘情況較少，以此可以證明方法效果良好，不過(guò)由于能夠造成系統(tǒng)漏洞的方式有很多種，而且攻擊的手段方式都不一樣，所以還需要進(jìn)一步深入研究，爭(zhēng)取可以對(duì)更多漏洞挖掘，同時(shí)最大程度提升挖掘效率以及挖掘的精度。