葉 雯，李蘭友

(1.南京工程學院網(wǎng)絡與信息中心，江蘇 南京 211167；2.杭州職業(yè)技術學院汽車學院)

0 引言

DDoS 攻擊是一種常見的網(wǎng)絡攻擊，由來已久。Dahiya Amrita 和Gupta Brij B在最新的研究中指出DDoS 攻擊因無需基于特定的服務器配置、特殊的網(wǎng)絡狀態(tài)或者終端設備的任何操作等前提條件就可以進行或者迅捷完成攻擊行為，并且也無需耗時費力或者巨額的投入支出開銷，互聯(lián)網(wǎng)攻擊者就能制造令被攻擊對象或受害者良久難以填付的損失，而且不僅限于經(jīng)濟方面的損失。此外，日新月異高速發(fā)展的互聯(lián)網(wǎng)中的資源分布不均衡問題日益凸顯，也為攻擊者的攻擊行為提供了“解釋”渠道，大大便利了攻擊行為的發(fā)生與實現(xiàn)，互聯(lián)網(wǎng)攻擊者往往輕輕松松就能達到攻擊的目的，而正常合法的網(wǎng)絡用戶及網(wǎng)絡供應商卻措手不及，并且損失慘重。

從上個世紀八九十年代，“防控治”三相結(jié)合的蜜罐概念形成了，網(wǎng)絡安全態(tài)勢感知的概念也相繼應運而生，網(wǎng)絡安全相關科研工作者和使用者就一直在致力于研究如何在頻受網(wǎng)絡攻擊的復雜網(wǎng)絡中對抗變幻莫測的網(wǎng)絡攻擊，維穩(wěn)良好暢通的網(wǎng)絡安全秩序，保障合法商家和用戶的網(wǎng)絡權(quán)益，也希冀結(jié)合涉及多種融合安全因素的錯綜復雜的網(wǎng)絡環(huán)境推測預演未來互聯(lián)網(wǎng)的安全發(fā)展勢態(tài)。

1 無標度網(wǎng)絡

1.1 復雜網(wǎng)絡

當今的互聯(lián)網(wǎng)實屬一個說不清道不明的復雜網(wǎng)絡，其中，節(jié)點度是復雜網(wǎng)絡的核心關鍵屬性。復雜網(wǎng)絡又分為有向網(wǎng)絡和無向網(wǎng)絡。在無向網(wǎng)絡中，節(jié)點度表示與該節(jié)點相關聯(lián)的網(wǎng)線的總數(shù)量，記()為節(jié)點的度數(shù)。()越大，表示節(jié)點越重要，即節(jié)點的度中心性越高，其中度的中心性指的是以節(jié)點度為指標定義的節(jié)點重要程度。

復雜網(wǎng)絡最關鍵屬性是節(jié)點度，其次就是網(wǎng)絡的連通性。復雜網(wǎng)絡的連通性往往用介數(shù)來表達。其中介數(shù)又分為節(jié)點介數(shù)和邊介數(shù)兩類。節(jié)點介數(shù)表示的是經(jīng)過節(jié)點的最短路徑的數(shù)目，邊介數(shù)表示包含邊π在內(nèi)的最短路徑的數(shù)目。其關鍵就在于求取復雜網(wǎng)絡中任意兩個節(jié)點μ和μ之間的最短路徑。

1.2 無標度網(wǎng)絡

復雜網(wǎng)絡就隨機方面而言，可分為隨即網(wǎng)絡和非隨機網(wǎng)絡。隨機網(wǎng)絡中大部分節(jié)點是均勻地連在一起的。因此在隨機網(wǎng)絡中，很難定位中心節(jié)點，即節(jié)點度()非常大的節(jié)點。隨機網(wǎng)絡的節(jié)點度()通常都是較小的，沒有或者很少有()非常大的節(jié)點。

無標度網(wǎng)絡中存在度值相差很大的點，而在不同的無標度網(wǎng)絡中，節(jié)點度值又會呈現(xiàn)特定的分布特征。在隨機網(wǎng)絡中，線路的連接完全是隨機的，節(jié)點度遵循泊松分布。在無標度網(wǎng)絡中，線路的連接并非完全隨機，中心節(jié)點容易定位，并且成為網(wǎng)絡中不可或缺的聯(lián)通樞紐，節(jié)點度近似為冪率分布

其中，P是度值為的概率，τ為度指數(shù)。

無標度網(wǎng)絡的中心節(jié)點可以比較有代表性地表示整個網(wǎng)絡，是整個網(wǎng)絡拓撲和連通性的縮影。通過這些少量的中心節(jié)點，就可以將松散疏離的小網(wǎng)絡構(gòu)建成大網(wǎng)絡，這樣就達到了提升整體網(wǎng)絡連通性的目的。并且當有一個新的節(jié)點加入原網(wǎng)絡的時候，該節(jié)點最大概率會與樞紐中心節(jié)點建立連接，依附網(wǎng)絡中的強節(jié)點，無標度網(wǎng)絡的節(jié)點度()也會更趨于冪律分布。

2 無標度網(wǎng)絡中的蜜網(wǎng)

蜜網(wǎng)橫空出世至今，以其積極防御的特性引起了人們的廣泛關注。目前對蜜網(wǎng)領域的研究可分為微觀和宏觀兩個層面。前者的目標是技術層面，如改進與數(shù)據(jù)控制、數(shù)據(jù)捕獲、和數(shù)據(jù)反饋相關的核心功能。后者主要集中在揭示惡意軟件通過部署在不同拓撲網(wǎng)絡中的蜜網(wǎng)的傳播行為。然而，迄今為止，除檢索到的僅有兩篇文獻外，有關這一杠桿的工作通常被忽略。ZHAO Narisa等人考慮了惡意軟件在全連接蜜網(wǎng)中的傳播，基于數(shù)學模型的仿真研究揭示了惡意軟件擴散的復雜動力學。最近，Ren J 等人研究了基于惡意軟件在無尺度網(wǎng)絡上傳播動態(tài)的蜜網(wǎng)效能，發(fā)現(xiàn)節(jié)點度對蜜網(wǎng)效能有深遠的影響。以上的研究工作依賴于特定拓撲網(wǎng)絡。因此，所得到的結(jié)果是有限度的。本文提出并分析了一種基于感染節(jié)點數(shù)傳播動態(tài)的蜜網(wǎng)效能評估動態(tài)模型。與[11]、[12]相比，本文的工作基于無標度網(wǎng)絡。因此，這些發(fā)現(xiàn)是普遍的，因此有廣泛的價值。這可能才是現(xiàn)階段及未來很長一段時間行之有效的網(wǎng)絡安全保障手段。

蜜網(wǎng)是由一定數(shù)量的蜜罐組成，其中的蜜罐代表一種安全資源，其價值是被掃描、攻擊、妥協(xié)。蜜罐是一個精心配置的陷阱，其主要功能是控制數(shù)據(jù)流，抓取惡意程序并且分析其特征，并發(fā)布相應的補丁給防御者。

3 模型建立

假設無標度網(wǎng)絡中的目標服務器集合為：Servers(a)={,,…,a ,a ,a ,…,a}，其中i ≥1，且i 為正整數(shù)；{ ,a ,…,a}=(a)為目標中的蜜網(wǎng)集合。攻擊者集合是Attackers(b)={,,…,b} 。假設在某個時間段Time內(nèi)，攻擊者對服務器集合Servers(a)沒有任何攻擊行為活動，正常合法用戶群體使用目標服務器集合Servers(a)中的每一臺服務器所產(chǎn)生的收益集合為

若在同一時間段Time，攻擊者集合Attackers(b)對服務器集合Servers(a)產(chǎn)生攻擊行為，服務器集合Servers(a)遭受的損失為

則服務器集合Servers(a)的利潤Benefits(B)為：

這里假設≥（＜的情況類似，這里不累述）。

攻擊者發(fā)起攻擊行為，一般無法對其控制和約束。此模型因其中只有第三項和第四項是可控可變的。第四項是蜜網(wǎng)的成本，包括蜜網(wǎng)設備成本和人工成本，不能顧此失彼，既不能為了減少成本而粗制濫造蜜網(wǎng)，也不能為了增強蜜網(wǎng)的效能而耗費大量財力物力，在蜜網(wǎng)效能盡可能大的情況下，使得蜜網(wǎng)足夠以假亂真，類似充當服務器組的作用。因此，蜜網(wǎng)的成本也是固定的，這里重點研究第三項。

令威希特矩陣B=，即：

4 數(shù)值仿真

4.1 仿真環(huán)境

本文的數(shù)值仿真實驗環(huán)境為聯(lián)想揚天s5250 一體機，i7-7700T 臺式機處理器，Windows 10，64 位操作系統(tǒng)。編程平臺為MATLAB R2013a。

4.2 仿真實驗

實驗中，服務器集合為1000 臺設備（只包含正常作業(yè)的服務器和蜜網(wǎng)設備），即s=1000，保存在矩陣A 中，其中每一行為一臺服務器或者一個蜜網(wǎng)設備的樣本，第一列為序號，第二列為其對應的利潤Benefits。實驗主要研究正常作業(yè)服務器和蜜網(wǎng)服務器的數(shù)量對網(wǎng)絡安全的影響。

當i分別等于100、150、200、500、800、900 時，生成的二維高斯分布程序運行時間見表1，實驗數(shù)據(jù)圖如圖1所示。

表1 二維高斯分布時間表

圖1 二維高斯分布實驗數(shù)據(jù)圖

5 結(jié)論

蜜網(wǎng)是一種易受攻擊的模擬計算機網(wǎng)絡，常用來提高網(wǎng)絡安全性。蜜網(wǎng)效能的深入評估是蜜網(wǎng)有效設計和改進的關鍵。為此，本文提出了一種新的蜜網(wǎng)效能評估動態(tài)模型并進行了分析。該模型將蜜罐作為狀態(tài)變量納入模型公式，數(shù)學分析發(fā)現(xiàn)，決定蜜網(wǎng)效能的關鍵是部署網(wǎng)絡的最大特征值。特別是，特征值的范圍清晰地形成了兩個顯式分支之間的感染傳播的界限，在這個界限以下，蜜網(wǎng)工作在其最佳水平，直到惡意軟件趨于滅絕，在這個界限以上，惡意軟件保持在某個水平。在幾個具有代表性的計算機網(wǎng)絡上進行數(shù)值模擬，驗證了該模型的正確性。根據(jù)理論和數(shù)值結(jié)果進行了討論。結(jié)果表明，適當減少已部署網(wǎng)絡的鏈路數(shù)和最大節(jié)點度，或加強蜜網(wǎng)的數(shù)據(jù)控制或補丁反饋功能，均能顯式地提高蜜網(wǎng)效能。本文基于無標度網(wǎng)絡，通過仿真實驗，研究了無標度網(wǎng)絡中蜜網(wǎng)與常規(guī)服務器在數(shù)量上的比較，并建立了仿真模型，以期為后續(xù)的蜜網(wǎng)研究提供參考。