面向天地一體化信息網(wǎng)絡(luò)的惡意用戶行為仿真技術(shù)

溫 晗，劉 淵，王曉鋒，葉海洋(江南大學(xué)數(shù)字媒體學(xué)院，江蘇無(wú)錫4)

2(江南大學(xué)物聯(lián)網(wǎng)工程學(xué)院，江蘇無(wú)錫214122)

E-mail:1015786920@qq.com

1 引言

天地一體化網(wǎng)絡(luò)由天基骨干網(wǎng)、天基接入網(wǎng)、地基節(jié)點(diǎn)網(wǎng)組成，并與地面互聯(lián)網(wǎng)和移動(dòng)通信網(wǎng)互聯(lián)互通，其以地面網(wǎng)絡(luò)為基礎(chǔ)、空間網(wǎng)絡(luò)為延伸，是網(wǎng)絡(luò)強(qiáng)國(guó)的重要標(biāo)志，是信息時(shí)代的戰(zhàn)略性基礎(chǔ)設(shè)施，在國(guó)與國(guó)之間競(jìng)爭(zhēng)關(guān)系中具有極為重要的戰(zhàn)略意義，實(shí)現(xiàn)一體化信息共享與利用是未來(lái)天地一體化信息網(wǎng)絡(luò)發(fā)展的主要目標(biāo)［1］.

由于天地一體化信息網(wǎng)絡(luò)通過(guò)多種異構(gòu)網(wǎng)絡(luò)融合而成，所以其具有多維建設(shè)的特性，而這也將使其面臨諸多安全威脅［2］.其中，傳統(tǒng)互聯(lián)網(wǎng)以及通信網(wǎng)絡(luò)中存在多樣化的安全事件，在面對(duì)這些威脅時(shí)，天地一體化信息網(wǎng)絡(luò)體系架構(gòu)能否承受住這些考驗(yàn)成為當(dāng)前的重要議題.而真實(shí)的天地一體化網(wǎng)絡(luò)環(huán)境體系龐大、錯(cuò)綜復(fù)雜，這就需要建立天地一體化安全評(píng)測(cè)仿真體系，來(lái)檢驗(yàn)天地一體化信息網(wǎng)絡(luò)體系的安全性與可靠性.

由于云計(jì)算平臺(tái)具有成本低、安全性高、靈活可擴(kuò)展、可信度高［3］等優(yōu)勢(shì)，基于云計(jì)算、虛擬化技術(shù)構(gòu)建天地一體化網(wǎng)絡(luò)安全仿真平臺(tái)成為主流［4］，相對(duì)于實(shí)物測(cè)試床，它可降低軟硬件的成本，相對(duì)于OPNET、Qualnet等數(shù)字仿真軟件，可提高仿真的逼真性與仿真性能.為此，本文以云計(jì)算技術(shù)為依托，進(jìn)一步研究面向天地一體化信息網(wǎng)絡(luò)的惡意用戶行為仿真技術(shù)，重點(diǎn)探討了多樣化、高逼真、高并發(fā)的惡意用戶行為仿真方法.基于該惡意用戶行為仿真技術(shù)，可有效支持天地一體化網(wǎng)絡(luò)中的接入認(rèn)證、威脅態(tài)勢(shì)預(yù)警等安全技術(shù)的評(píng)估.

本文的組織架構(gòu)如下:第2節(jié)介紹了相關(guān)工作;第3節(jié)介紹了基于云平臺(tái)的惡意用戶行為仿真體系;基于上述仿真體系，第4節(jié)重點(diǎn)探討了實(shí)現(xiàn)高并發(fā)、高逼真惡意用戶行為仿真的關(guān)鍵技術(shù);第5節(jié)是實(shí)驗(yàn)驗(yàn)證與分析;第6節(jié)對(duì)全文進(jìn)行總結(jié)，并指出了下一步工作.

2 相關(guān)工作

與天地一體化信息網(wǎng)絡(luò)惡意用戶行為仿真技術(shù)的相關(guān)工作可分為三個(gè)方面:天地一體化網(wǎng)絡(luò)仿真、仿真流量生成、惡意流量行為模擬.

1)在天地一體化網(wǎng)絡(luò)仿真方面，最經(jīng)典的仿真軟件包括OPNET、NS、Qualnet等，但是數(shù)字仿真無(wú)法運(yùn)行真實(shí)的業(yè)務(wù)流量，難以支撐安全仿真驗(yàn)證.文獻(xiàn)［4］針對(duì)天地一體化多樣化、逼真性的網(wǎng)絡(luò)仿真場(chǎng)景，提出一種云計(jì)算環(huán)境中衛(wèi)星鏈路仿真方法.文獻(xiàn)［5］針對(duì)天地一體化網(wǎng)絡(luò)，提出了基于復(fù)雜網(wǎng)絡(luò)理論的服務(wù)質(zhì)量感知?jiǎng)討B(tài)演化模型;文獻(xiàn)［6］針對(duì)天地一體化網(wǎng)絡(luò)中用戶數(shù)量多與行為并發(fā)高的特點(diǎn)，采用了多尺度的虛擬化技術(shù)，使用模型驅(qū)動(dòng)衛(wèi)星用戶終端行為，但是此研究只局限于窄帶用戶行為.從上述文獻(xiàn)可以看出，當(dāng)前基于云計(jì)算的天地一體化網(wǎng)絡(luò)仿真是主流，但是關(guān)于天地一體化惡意用戶行為仿真的研究相對(duì)較少.

2)在仿真流量生成方面，主要有網(wǎng)絡(luò)流量模型生成與真實(shí)流量回放這兩種生成方式:

a)在網(wǎng)絡(luò)流量模型生成方面

文獻(xiàn)［7］以O(shè)PNET為基礎(chǔ)實(shí)現(xiàn)了自相似流量生成器，該仿真器提供了三層建模機(jī)制，其產(chǎn)生的流量真實(shí)性強(qiáng)，仿真率高.文獻(xiàn)［8］提出了一種流量發(fā)生器，該發(fā)生器具有增強(qiáng)突發(fā)建模的功能;文獻(xiàn)［9］基于半監(jiān)督學(xué)習(xí)的馬爾科夫模型，提出了網(wǎng)絡(luò)流量分類算法，并成功應(yīng)用于網(wǎng)絡(luò)流量分類器，實(shí)現(xiàn)了網(wǎng)絡(luò)流量的準(zhǔn)確分類與生成.基于網(wǎng)絡(luò)流量模型的仿真流量生成，能夠快捷便利的搭建網(wǎng)絡(luò)仿真模型，實(shí)現(xiàn)仿真需求，但是存在著模型庫(kù)有限的缺點(diǎn).

b)在真實(shí)流量回放方面

文獻(xiàn)［10］提出了互動(dòng)式回放方法與系統(tǒng)TCPOpera，將現(xiàn)有的流量文件通過(guò)狀態(tài)判定的方法并根據(jù)TCP/IP協(xié)議來(lái)進(jìn)行TCP流量的回放，并通過(guò)構(gòu)建有關(guān)流量信息的配置文件以檢測(cè)異常TCP攻擊.文獻(xiàn)［11］在現(xiàn)有的通過(guò)狀態(tài)判定的TCP流量交互方法上，加入了收發(fā)平衡機(jī)制，提出了結(jié)合收發(fā)平衡和狀態(tài)判定的TCP流量回放方法，在TCP流量發(fā)送前先使用收發(fā)平衡發(fā)出數(shù)據(jù)包，有效的減小了流程中的狀態(tài)判定的開銷，從而提升了TCP流量回放性能.文獻(xiàn)［12］提出了流量回放工具Tcpcopy，將真實(shí)流量從測(cè)試服務(wù)器轉(zhuǎn)移到輔助服務(wù)器并截獲響應(yīng)包，使回應(yīng)流量更加真實(shí)，適用于高并發(fā)的場(chǎng)合.文獻(xiàn)［13］提出一種面向虛擬網(wǎng)絡(luò)的流量回放方法，該方法對(duì)真實(shí)流量通信關(guān)系形成的二分圖進(jìn)行深度優(yōu)先搜索，將真實(shí)ip地址與虛擬節(jié)點(diǎn)網(wǎng)卡的地址先后劃分為不相交的集合，在計(jì)算所有虛擬接口與真實(shí)流量采集點(diǎn)的相似度后進(jìn)行IP地址映射，實(shí)現(xiàn)真實(shí)流量的回放.文獻(xiàn)［14］使用LANDER系統(tǒng)捕獲了來(lái)自互聯(lián)網(wǎng)的真實(shí)攻擊流量，并將攻擊流量與web流量進(jìn)行合成，通過(guò)流量回放工具Tcpreplay將合成流量設(shè)定恒定的回放速率在DETERLab測(cè)試臺(tái)上進(jìn)行回放，得到接近于真實(shí)流量特性的仿真流量，但該方法在流量的控制上設(shè)置了恒定速率的回放而不是按流量真實(shí)的發(fā)送時(shí)間回放，時(shí)間點(diǎn)的準(zhǔn)確性上存在不足.

以上基于流量回放的仿真流量生成方法，使用的都是真實(shí)流量，在數(shù)據(jù)的真實(shí)性與可靠性上能夠滿足部分真實(shí)網(wǎng)絡(luò)場(chǎng)景下特定實(shí)驗(yàn)的要求，比如Tcpreplay、TCPOpera等，但是它們也有自己的不足，Tcpreplay只能夠在同一臺(tái)機(jī)器的兩個(gè)網(wǎng)卡之間實(shí)現(xiàn)雙向TCP報(bào)文的回放，這與現(xiàn)實(shí)網(wǎng)絡(luò)中流量的生成方式不同，上述其他的方法未能考慮到流量生成的高并發(fā)與多樣化，無(wú)法適用于大規(guī)模節(jié)點(diǎn)的網(wǎng)絡(luò)場(chǎng)景，難以滿足天地一體化網(wǎng)絡(luò)的特點(diǎn)與需求.

3)在惡意流量行為模擬方面，文獻(xiàn)［15］基于OPNET仿真平臺(tái)中，實(shí)現(xiàn)了 DDoS攻擊行為的模擬，并利用 Cyber Effects庫(kù)中的網(wǎng)絡(luò)防御模型進(jìn)行安全評(píng)估.文獻(xiàn)［16］基于NS2構(gòu)建了網(wǎng)絡(luò)模擬平臺(tái)，可支持真實(shí)攻擊包的蠕蟲模型.文獻(xiàn)［17］提出了一種具有異構(gòu)感染率的僵尸網(wǎng)絡(luò)傳播模型，對(duì)僵尸網(wǎng)絡(luò)穩(wěn)態(tài)特征分析，并在BA網(wǎng)絡(luò)中模擬實(shí)驗(yàn)分析了僵尸網(wǎng)絡(luò)的傳播閾值.文獻(xiàn)［15-17］只局限于一種惡意流量行為模擬的方法，未能考慮到多樣化的惡意用戶行為.

基于上述分析，本文以云計(jì)算平臺(tái)為基礎(chǔ)，面向天地一體化信息網(wǎng)絡(luò)中的各種異常用戶行為，基于流量回放技術(shù)，重點(diǎn)探討了高并發(fā)惡意用戶行為方法以及真實(shí)時(shí)序驅(qū)動(dòng)的雙向惡意流量逼真回放方法，提出了基于云平臺(tái)的惡意用戶行為仿真體系以及面向天地一體化信息網(wǎng)絡(luò)的惡意用戶行為仿真技術(shù)，以此實(shí)現(xiàn)天地一體化信息網(wǎng)絡(luò)惡意用戶行為的高逼真、高并發(fā)仿真.

3 基于云平臺(tái)的惡意用戶行為仿真體系

3.1 天地一體化網(wǎng)絡(luò)的惡意用戶行為分析

天地一體化信息網(wǎng)絡(luò)由天基骨干網(wǎng)、天基接入網(wǎng)、地基節(jié)點(diǎn)網(wǎng)、地面互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng)等多種異構(gòu)網(wǎng)絡(luò)互聯(lián)融合而成.寬帶網(wǎng)絡(luò)與窄帶網(wǎng)絡(luò)在本質(zhì)上是通過(guò)傳輸速率的快慢與信號(hào)、信道的寬窄來(lái)區(qū)分的，在本文中，地面互聯(lián)網(wǎng)連接互聯(lián)網(wǎng)寬帶用戶，寬帶指的是寬帶互聯(lián)網(wǎng);移動(dòng)通信網(wǎng)連接窄帶通信用戶［2］，窄帶實(shí)指移動(dòng)通信網(wǎng).由上可知，天地一體化網(wǎng)絡(luò)用戶既包括了互聯(lián)網(wǎng)的寬帶用戶行為，也包括通信網(wǎng)絡(luò)中的窄帶用戶行為.相應(yīng)的惡意用戶行為分析如下:

1)寬帶惡意用戶行為

在天地一體化信息網(wǎng)絡(luò)的地面互聯(lián)網(wǎng)通信行為中，相應(yīng)的與傳統(tǒng)互聯(lián)網(wǎng)面臨的安全事件類似，主要包括DDoS類、木馬類、蠕蟲類、僵尸網(wǎng)絡(luò)類等.這些惡意行為流量在結(jié)構(gòu)與特點(diǎn)上有著千絲萬(wàn)縷的聯(lián)系，但是其工作的流程卻又千差萬(wàn)別，其中僵尸網(wǎng)絡(luò)通過(guò)傳播與感染從而形成一對(duì)多的控制網(wǎng)絡(luò);DoS、DDoS則是僵尸網(wǎng)絡(luò)中的一種攻擊形式，通過(guò)大量合法的請(qǐng)求占用大量網(wǎng)絡(luò)資源，從而使合法用戶無(wú)法得到服務(wù)的響應(yīng)［18］;蠕蟲通過(guò)系統(tǒng)漏洞進(jìn)行自我復(fù)制和傳播并且可以獨(dú)立存在;木馬則通過(guò)特定的程序來(lái)控制另一臺(tái)機(jī)器從而進(jìn)行流量的交互，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種主機(jī).

2)窄帶惡意用戶行為

在天地一體化信息網(wǎng)絡(luò)的移動(dòng)通信網(wǎng)的通信行為中，主要包括假冒類、篡改類、重放類等安全事件.其中仿冒類主要通過(guò)偽裝成網(wǎng)絡(luò)單元截取用戶數(shù)據(jù)、信令數(shù)據(jù)及控制數(shù)據(jù)，偽終端欺騙網(wǎng)絡(luò)獲取服務(wù)，從而進(jìn)行用戶注冊(cè)、短信發(fā)送、實(shí)時(shí)通話、信道分配等通信進(jìn)程;篡改類主要對(duì)通信行為中產(chǎn)生的數(shù)據(jù)報(bào)文的內(nèi)容與格式進(jìn)行修改以破壞數(shù)據(jù)完整性，從而造成異常格式、異常內(nèi)容、異常同步的通信信令;重放類主要通過(guò)截取正常通信的數(shù)據(jù)報(bào)文，從而實(shí)現(xiàn)注冊(cè)、短信、通話等行為的重放.

針對(duì)上述天地一體化信息網(wǎng)絡(luò)的寬帶互聯(lián)網(wǎng)與窄帶通信網(wǎng)絡(luò)中的惡意用戶行為高逼真、高并發(fā)、多樣化的特點(diǎn)，建立了基于云平臺(tái)的惡意用戶行為仿真體系.

3.2 惡意用戶行為仿真體系框架

惡意用戶行為仿真架構(gòu)如圖1所示，基于Openstack云平臺(tái)，構(gòu)建天地一體化信息網(wǎng)絡(luò)仿真拓?fù)洌脚_(tái)采用分布式仿真架構(gòu)，具體包括控制節(jié)點(diǎn)、網(wǎng)絡(luò)節(jié)點(diǎn)及若干計(jì)算節(jié)點(diǎn).為保證仿真的實(shí)時(shí)性、精確性及同步性，所有節(jié)點(diǎn)均基于網(wǎng)絡(luò)時(shí)間同步協(xié)議NTP，將控制節(jié)點(diǎn)時(shí)間視為統(tǒng)一時(shí)間軸.

圖1 惡意用戶行為仿真體系框架圖Fig.1 Malicious user behavior emulation system framework

流量預(yù)處理，將在真實(shí)互聯(lián)網(wǎng)中通過(guò)流量捕獲工具抓取包含惡意流量的雜項(xiàng)流量通過(guò)處理生成完整的惡意流量并入庫(kù);惡意用戶行為仿真，通過(guò)各功能模塊的組合運(yùn)控從而構(gòu)建完整的惡意用戶行為仿真流程:情景匹配模塊使用自動(dòng)化映射技術(shù)將描述文件中的天地一體化衛(wèi)星模擬網(wǎng)絡(luò)自動(dòng)映射成Openstack上的衛(wèi)星仿真網(wǎng)絡(luò)，結(jié)合用戶節(jié)點(diǎn)及信關(guān)站節(jié)點(diǎn)的接入，構(gòu)建天地一體化惡意用戶行為仿真網(wǎng)絡(luò)拓?fù)?控制下發(fā)模塊下發(fā)用戶指令參數(shù)，行為仿真模塊接受該指令集，從惡意流量模型庫(kù)中調(diào)用相關(guān)的惡意流量并加載到天地一體化惡意用戶行為仿真網(wǎng)絡(luò)中，從而實(shí)現(xiàn)惡意流量的回放，數(shù)據(jù)處理模塊對(duì)生成的惡意流量進(jìn)行篩選，對(duì)符合特征的流量進(jìn)行修改或攔截.

惡意用戶節(jié)點(diǎn)的搭建使用了全虛擬機(jī)技術(shù)，其包括寬帶用戶節(jié)點(diǎn)和窄帶用戶節(jié)點(diǎn)，寬帶惡意用戶節(jié)點(diǎn)主要進(jìn)行DDoS類、蠕蟲類、木馬類、僵尸網(wǎng)絡(luò)類等寬帶惡意用戶行為的仿真，窄帶惡意用戶節(jié)點(diǎn)主要進(jìn)行窄帶通信行為中的仿冒類、篡改類、重放類等安全事件的仿真.

3.3 惡意流量預(yù)處理與入庫(kù)

惡意流量預(yù)處理如圖2的上半部分所示，在真實(shí)互聯(lián)網(wǎng)的惡意行為發(fā)生場(chǎng)景中，通過(guò)wireshark工具捕獲來(lái)自原始網(wǎng)絡(luò)中的包含寬帶惡意流量的原始流量，隨后對(duì)原始流量進(jìn)行預(yù)處理，劃定原始網(wǎng)絡(luò)的有效ip集合，并對(duì)原始流量以數(shù)據(jù)報(bào)文為基礎(chǔ)與原始網(wǎng)絡(luò)有效ip集合進(jìn)行信息匹配，過(guò)濾篩選非有效地址的雜項(xiàng)流量.對(duì)于單向流量，依次讀取報(bào)文內(nèi)有效信息:流量大小、報(bào)文個(gè)數(shù)、報(bào)文源、目的地址;對(duì)于雙向流量，除了上述流量特征的提取，還需讀取雙向TCP報(bào)文交互次序、交互時(shí)間，生成次序列表、時(shí)間間隔列表，并按照源地址、目的地址進(jìn)行流量分向切割.將流量具體信息與處理流量分別存儲(chǔ)于控制終端與用戶節(jié)點(diǎn)的惡意行為模型數(shù)據(jù)庫(kù)中.

圖2 流量預(yù)處理與用戶行為仿真流程圖Fig.2 Traffic preprocessing and user behavior emulation module flow chart

對(duì)于寬帶流量，記錄流量關(guān)鍵信息包括流量id、流量名、存儲(chǔ)路徑、流量類型等，并放入寬帶流量庫(kù)中，流量關(guān)鍵屬性如表1所示.

表1 寬帶惡意流量屬性表Table 1 Broadband malicious traffic attribute

對(duì)于窄帶流量，在面向天地一體化網(wǎng)絡(luò)的窄帶用戶行為仿真中的地面站節(jié)點(diǎn)通過(guò)tcpdump實(shí)時(shí)捕獲通信流量［5］，并通過(guò)wireshark工具分析通信流量的數(shù)據(jù)段特征，進(jìn)行特征提取包括用戶標(biāo)示id、用戶名、ip地址等，并放入窄帶流量庫(kù)中，流量關(guān)鍵屬性如表2所示.

表2 窄帶流量屬性表Table 2 Narrowband traffic attribute

3.4 行為模塊的搭建與運(yùn)行控制

基于Openstack云平臺(tái)，搭建基于天地一體化網(wǎng)絡(luò)的惡意用戶行為仿真場(chǎng)景，設(shè)計(jì)惡意用戶行為仿真控制系統(tǒng)來(lái)實(shí)現(xiàn)惡意用戶行為的仿真，其中該行為系統(tǒng)主要包括以下幾個(gè)模塊:

1)場(chǎng)景匹配模塊

場(chǎng)景匹配模塊在惡意用戶行為仿真控制系統(tǒng)中提供行為仿真場(chǎng)景、搭建仿真行為網(wǎng)絡(luò)拓?fù)?，加載天地一體化衛(wèi)星網(wǎng)絡(luò)及用戶行為仿真網(wǎng)絡(luò).該模塊根據(jù)行為仿真需求自動(dòng)化搭建生成提供了三種用戶行為場(chǎng)景:寬帶單向惡意用戶行為仿真場(chǎng)景、寬帶雙向惡意用戶行為仿真場(chǎng)景、窄帶惡意用戶行為仿真場(chǎng)景.

2)控制下發(fā)模塊

控制下發(fā)模塊是整個(gè)惡意用戶行為仿真系統(tǒng)的基礎(chǔ)，位于整個(gè)仿真流程的最上層，負(fù)責(zé)指定并下發(fā)惡意用戶行為指令參數(shù)，在整個(gè)用戶行為的仿真流程中具有核心作用.

3)用戶行為仿真模塊

用戶行為仿真模塊是惡意用戶行為仿真系統(tǒng)的主體，其中，惡意用戶通過(guò)用戶節(jié)點(diǎn)的ip來(lái)表示，每一個(gè)ip代表一個(gè)用戶，惡意用戶行為的仿真通過(guò)在各節(jié)點(diǎn)之間進(jìn)行惡意流量的回放來(lái)實(shí)現(xiàn)，該模塊通過(guò)回放參數(shù)的設(shè)置和回放流量類型的區(qū)分以實(shí)現(xiàn)的各種行為流量的回放策略，模擬寬帶用戶、移動(dòng)通信用戶的惡意用戶行為，以實(shí)現(xiàn)惡意用戶的行為仿真，其流程如圖2下半部分所示.

4)數(shù)據(jù)處理模塊

數(shù)據(jù)處理模塊用于處理在特定鏈路中回放的惡意流量，在惡意用戶節(jié)點(diǎn)發(fā)送數(shù)據(jù)報(bào)文的虛擬鏈路上設(shè)置報(bào)文發(fā)送隊(duì)列，在數(shù)據(jù)報(bào)文送出惡意用戶節(jié)點(diǎn)或衛(wèi)星節(jié)點(diǎn)的網(wǎng)卡后，該隊(duì)列自動(dòng)匹配源、目的地址符合篩選條件的數(shù)據(jù)報(bào)文，并對(duì)數(shù)據(jù)報(bào)文進(jìn)行攔截或修改.模塊間的運(yùn)行控制過(guò)程如下所示:

a.場(chǎng)景匹配模塊依據(jù)拓?fù)涿枋鑫募嗔６裙?jié)點(diǎn)映射模塊從拓?fù)涿枋鑫募蝎@取每個(gè)節(jié)點(diǎn)的描述信息，解析仿真場(chǎng)景并獲取部署信息，將仿真網(wǎng)絡(luò)動(dòng)態(tài)映射到Openstack仿真平臺(tái).

b.用戶行為仿真模塊的用戶節(jié)點(diǎn)開啟進(jìn)程監(jiān)聽，等待接收控制下發(fā)模塊傳遞的用戶行為參數(shù)來(lái)驅(qū)動(dòng)其惡意用戶行為的仿真;

c.計(jì)算節(jié)點(diǎn)上的數(shù)據(jù)處理模塊開啟監(jiān)聽程序，準(zhǔn)備對(duì)指定用戶節(jié)點(diǎn)間的惡意流量進(jìn)行攔截或修改處理;

d.控制下發(fā)模塊進(jìn)行參數(shù)的下發(fā)，傳遞用戶行為參數(shù)指令集，其中包括異常用戶數(shù)、異常流量類型、流量發(fā)送速度、流量發(fā)送次數(shù)等;

e.用戶行為模塊接收傳參，并按照行為參數(shù)指令集對(duì)惡意用戶進(jìn)行行為選項(xiàng)設(shè)置，從惡意流量模型庫(kù)中加載選定的惡意流量，并在目標(biāo)仿真網(wǎng)絡(luò)中進(jìn)行惡意流量的回放，以實(shí)現(xiàn)惡意用戶行為仿真;

f.數(shù)據(jù)處理模塊在惡意用戶節(jié)點(diǎn)間的鏈路上設(shè)置iptables規(guī)則結(jié)合scapy模塊，對(duì)數(shù)據(jù)報(bào)文進(jìn)行規(guī)則匹配，對(duì)符合條件的數(shù)據(jù)報(bào)文進(jìn)行攔截或修改，控制惡意用戶行為交互的時(shí)間、報(bào)文信息的更改等.

4 惡意用戶行為仿真關(guān)鍵技術(shù)

基于第3節(jié)所提出的體系架構(gòu)，面向天地一體化信息網(wǎng)絡(luò)中寬帶、窄帶惡意用戶行為仿真，為了保證仿真行為的高逼真、高并發(fā)，相關(guān)關(guān)鍵技術(shù)如下:

4.1 寬帶單向惡意用戶行為仿真

寬帶單向的惡意用戶行為仿真，包括蠕蟲、DDoS、僵尸網(wǎng)絡(luò)類等安全事件的仿真，具體實(shí)現(xiàn)方法如下:在發(fā)送端的一個(gè)或多個(gè)用戶節(jié)點(diǎn)開啟端口監(jiān)聽，控制下發(fā)模塊設(shè)置用戶行為參數(shù)集合，包括惡意行為源地址、惡意行為目的地址、惡意用戶數(shù)量、惡意流量類型、流量發(fā)送速度、流量發(fā)送次數(shù)等，并下發(fā)給寬帶用戶節(jié)點(diǎn)上的用戶行為仿真模塊，用戶行為仿真模塊接收到行為參數(shù)并進(jìn)行用戶行為設(shè)置，隨后在寬帶惡意用戶行為網(wǎng)絡(luò)中進(jìn)行流量回放;其中，惡意用戶行為發(fā)生節(jié)點(diǎn)在接收到控制下發(fā)模塊的參數(shù)指令集后，對(duì)惡意流量進(jìn)行源地址、目的地址的更改，分別改為寬帶惡意用戶行為網(wǎng)絡(luò)中發(fā)送節(jié)點(diǎn)與目的節(jié)點(diǎn)的地址，其中目的mac地址需要更改為連接發(fā)送端的虛擬路由器的網(wǎng)卡mac地址，以此來(lái)實(shí)現(xiàn)路由轉(zhuǎn)發(fā)，完成惡意用戶的跨網(wǎng)段惡意行為仿真.

4.2 寬帶雙向惡意用戶行為仿真

雙向Tcp流量交互行為仿真，包括木馬類等安全事件，其仿真流程如下:

1)在兩個(gè)交互的用戶節(jié)點(diǎn)上開啟端口監(jiān)聽，計(jì)算節(jié)點(diǎn)上的數(shù)據(jù)處理模塊開啟腳本監(jiān)聽，之后網(wǎng)絡(luò)節(jié)點(diǎn)上的控制下發(fā)模塊解析經(jīng)流量預(yù)處理生成的流量文件，讀取流量文件內(nèi)各個(gè)報(bào)文的源ip、目的ip以及時(shí)間戳，確定流量?jī)?nèi)報(bào)文的交互次序與交互時(shí)間，生成交互次序列表與交互時(shí)間列表;

2)控制下發(fā)模塊設(shè)置用戶行為參數(shù)，包括惡意交互用戶數(shù)、流量類型、流量發(fā)送速度、流量發(fā)送次數(shù)等，并下發(fā)給對(duì)應(yīng)的用戶節(jié)點(diǎn);

3)用戶節(jié)點(diǎn)的用戶行為仿真模塊接收到參數(shù)指令后，在節(jié)點(diǎn)上的惡意用戶行為流量庫(kù)中提取選擇的流量，對(duì)報(bào)文的源、目的地址進(jìn)行更改，目的mac地址需要更改為連接虛擬機(jī)端的虛擬路由器的網(wǎng)卡mac地址;

4)在用戶節(jié)點(diǎn)進(jìn)行完流量的處理后，控制下發(fā)模塊將對(duì)應(yīng)流量文件的發(fā)送次序列表、發(fā)送時(shí)間列表下發(fā)到兩個(gè)用戶節(jié)點(diǎn)，用戶節(jié)點(diǎn)按交互順序與時(shí)間將處理好的報(bào)文流量在目標(biāo)網(wǎng)絡(luò)中進(jìn)行交互回放;

5)與此同時(shí)，數(shù)據(jù)處理模塊在用戶節(jié)點(diǎn)發(fā)送數(shù)據(jù)報(bào)文的虛擬鏈路上設(shè)置報(bào)文匹配隊(duì)列，在數(shù)據(jù)報(bào)文經(jīng)過(guò)虛擬路由器送出虛擬路由器的網(wǎng)卡后，該隊(duì)列自動(dòng)匹配符合特征設(shè)定的數(shù)據(jù)報(bào)文，并對(duì)相關(guān)報(bào)文進(jìn)行攔截操作，從而杜絕了RST回應(yīng)包的生成，以實(shí)現(xiàn)雙向TCP流量的交互行為仿真.

因控制節(jié)點(diǎn)的指令下發(fā)有先后順序可能會(huì)造成時(shí)間上的誤差，用戶節(jié)點(diǎn)在獲取發(fā)送時(shí)間列表的同時(shí)，分別獲取控制下發(fā)模塊發(fā)出的時(shí)間參數(shù)T1、T2，其差值等于完整流量中雙向節(jié)點(diǎn)各自的第一個(gè)報(bào)文發(fā)送時(shí)間點(diǎn)TA1與TB1的時(shí)間差，雙向用戶節(jié)點(diǎn)分別在時(shí)間點(diǎn)T1、T2發(fā)送首條報(bào)文到對(duì)方節(jié)點(diǎn)，即可保證雙向用戶節(jié)點(diǎn)首條報(bào)文發(fā)送時(shí)間的準(zhǔn)確性，其中T2與T1的關(guān)系如下:

針對(duì)后續(xù)報(bào)文發(fā)送時(shí)間的準(zhǔn)確性可能受到系統(tǒng)響應(yīng)時(shí)間、報(bào)文發(fā)送耗時(shí)等因素的影響，在進(jìn)行雙向行為仿真交互前，需要對(duì)各條報(bào)文發(fā)送的時(shí)間點(diǎn)進(jìn)行相應(yīng)的調(diào)整.其具體方法為:在仿真場(chǎng)景中對(duì)一定數(shù)量的報(bào)文設(shè)置固定發(fā)包間隔，在報(bào)文發(fā)出后獲取各條報(bào)文在發(fā)送節(jié)點(diǎn)真實(shí)的發(fā)送時(shí)間Time_real，將真實(shí)發(fā)送時(shí)間與設(shè)置的發(fā)送時(shí)間Time_set進(jìn)行誤差計(jì)算，得出額外耗時(shí)平均值TimeAvg，其計(jì)算公式如下:

其中Time_reali為第i條數(shù)據(jù)報(bào)文真實(shí)發(fā)送時(shí)間，Time_seti為第i條數(shù)據(jù)報(bào)文設(shè)置的發(fā)送時(shí)間，n為報(bào)文總數(shù).在得到額外耗時(shí)平均值后，對(duì)雙向節(jié)點(diǎn)兩端的報(bào)文發(fā)送的時(shí)間列表進(jìn)行誤差補(bǔ)償，其計(jì)算公式如下:

其中List_Timewait［i］代表發(fā)送時(shí)間列表中第i+1個(gè)元素的值，n代表列表中元素總個(gè)數(shù).該公式成立的約束條件為:

若其中第i個(gè)值不滿足該條件，則將List_Timewait［i］值賦為零，對(duì)List_Timewait［i+1］的值進(jìn)行補(bǔ)償，直至該誤差歸零，如此進(jìn)行誤差補(bǔ)償直至?xí)r間列表最后一個(gè)時(shí)間值.

4.3 窄帶通信用戶惡意行為仿真

在天地一體化信息網(wǎng)絡(luò)的仿真場(chǎng)景中，窄帶通信惡意用戶行為仿真流程如下:

1)在窄帶惡意用戶仿真節(jié)點(diǎn)上(默認(rèn)可與通信地面站節(jié)點(diǎn)通信)，從窄帶流量庫(kù)提取注冊(cè)、通話、短信等流量，修改數(shù)據(jù)報(bào)文頭，將源地址改寫為惡意用戶節(jié)點(diǎn)的地址，并生成新的流量文件并存入該節(jié)點(diǎn)的惡意流量庫(kù);

2)在接收到控制下發(fā)模塊傳遞的窄帶惡意用戶行為指令后，在數(shù)據(jù)庫(kù)中提取上述修改完的的流量文件，通過(guò)用戶行為仿真模塊的用戶行為設(shè)定后在窄帶用戶網(wǎng)絡(luò)中進(jìn)行回放;

3)數(shù)據(jù)處理模塊在鏈路上進(jìn)行監(jiān)聽，在窄帶惡意用戶節(jié)點(diǎn)發(fā)送數(shù)據(jù)報(bào)文的虛擬鏈路上設(shè)置報(bào)文發(fā)送隊(duì)列，在數(shù)據(jù)報(bào)文送出惡意用戶節(jié)點(diǎn)的網(wǎng)卡后，該隊(duì)列自動(dòng)匹配源地址為惡意用戶節(jié)點(diǎn)、目的地為地面站節(jié)點(diǎn)的數(shù)據(jù)報(bào)文，在隊(duì)列中，搜索并修改報(bào)文數(shù)據(jù)段中的表示用戶特征的特定用戶數(shù)字id并根據(jù)需求修改報(bào)文的其他字段信息，最后將符合特征條件的改寫報(bào)文送入NFQUEUE隊(duì)列send中，繼續(xù)發(fā)往目的地址;

4)在惡意用戶節(jié)點(diǎn)進(jìn)行流量回放的過(guò)程中，使用tcpdump在地面站節(jié)點(diǎn)進(jìn)行流量的捕獲，查看報(bào)文交互細(xì)節(jié)，檢驗(yàn)惡意通信用戶節(jié)點(diǎn)是否能與窄帶通信用戶節(jié)點(diǎn)、通信地面站節(jié)點(diǎn)產(chǎn)生交互行為.

4.4 高并發(fā)惡意用戶行為的實(shí)現(xiàn)

在天地一體化信息網(wǎng)絡(luò)的仿真場(chǎng)景中，為了實(shí)現(xiàn)高并發(fā)的惡意用戶行為仿真，需要多個(gè)用戶節(jié)點(diǎn)分布式協(xié)同進(jìn)行惡意用戶行為仿真，其仿真流程如下:

1)首先在惡意用戶節(jié)點(diǎn)上通過(guò)自動(dòng)化腳本讀取其網(wǎng)卡信息，包括用戶節(jié)點(diǎn)的網(wǎng)卡名、ip、網(wǎng)關(guān)等，隨后根據(jù)相關(guān)信息生成同一網(wǎng)段內(nèi)的一萬(wàn)個(gè)虛擬ip并寫入網(wǎng)卡文件，在每個(gè)節(jié)點(diǎn)上仿真一萬(wàn)個(gè)惡意用戶;

2)在每個(gè)節(jié)點(diǎn)上對(duì)不同的惡意用戶進(jìn)行惡意流量的分配與選取:針對(duì)每一個(gè)惡意用戶，在流量庫(kù)中選取相應(yīng)的惡意流量并對(duì)報(bào)文進(jìn)行源、目的地址的修改，源地址改寫為該惡意用戶對(duì)應(yīng)的虛擬ip，目的地址改寫為目的節(jié)點(diǎn)的地址，隨后與上一個(gè)惡意用戶改寫生成的流量文件合并，直至所有惡意用戶完成惡意流量的分配與修改;

3)將處理好的包含多ip的流量文件，按照控制下發(fā)模塊下發(fā)的行為參數(shù)集，對(duì)發(fā)送速率、發(fā)送次數(shù)、發(fā)送時(shí)間等參數(shù)進(jìn)行設(shè)置，隨后在仿真網(wǎng)絡(luò)中進(jìn)行流量回放;

4)在天地一體化網(wǎng)絡(luò)仿真場(chǎng)景中，控制下發(fā)模塊通過(guò)多線程同時(shí)傳遞參數(shù)指令集給多個(gè)用戶節(jié)點(diǎn)以實(shí)現(xiàn)分布式惡意用戶行為的協(xié)同控制，從而實(shí)現(xiàn)高并發(fā)的惡意用戶行為.

5 實(shí)驗(yàn)及結(jié)果分析

5.1 天地一體化信息網(wǎng)絡(luò)仿真實(shí)驗(yàn)場(chǎng)景

本文實(shí)驗(yàn)所采用的仿真實(shí)驗(yàn)場(chǎng)景如圖3所示，主要包括3個(gè)方面:1)天地一體化仿真網(wǎng)絡(luò)，2)地基用戶節(jié)點(diǎn)，3)地基信關(guān)站節(jié)點(diǎn).

天地一體化衛(wèi)星實(shí)驗(yàn)網(wǎng)絡(luò)主要包括天基骨干網(wǎng)、天基接入網(wǎng)地基骨干網(wǎng).天基骨干網(wǎng)由雙軌道同步衛(wèi)星星座構(gòu)成，共計(jì)6顆衛(wèi)星，軌道間互相備份，能夠支持骨干節(jié)點(diǎn)被毀情況下的網(wǎng)絡(luò)重構(gòu)，主要為地面用戶提供寬帶通信等服務(wù)，在這些寬帶通信服務(wù)的基礎(chǔ)上可實(shí)現(xiàn)包括DDoS、蠕蟲、木馬、僵尸網(wǎng)絡(luò)等寬帶惡意用戶行為;天基接入網(wǎng)由66顆低軌衛(wèi)星組成，分布在6個(gè)軌道上，主要為地面移動(dòng)用戶提供電話、短信等服務(wù)，在這些窄帶通信服務(wù)的基礎(chǔ)上可實(shí)現(xiàn)包括仿冒類、篡改類、重放類等窄帶惡意用戶行為;地基骨干網(wǎng)主要由信關(guān)站、地面用戶節(jié)點(diǎn)及地面互聯(lián)網(wǎng)構(gòu)成，由此實(shí)現(xiàn)天地一體化衛(wèi)星網(wǎng)絡(luò)“天地互聯(lián)”一體化方案.仿真節(jié)點(diǎn)的搭建則使用了虛擬化技術(shù)，包括全虛擬化技術(shù)KVM與輕量級(jí)虛擬化技術(shù)Docker，高軌骨干節(jié)點(diǎn)及信關(guān)站節(jié)點(diǎn)采用全虛擬化技術(shù)，實(shí)現(xiàn)骨干節(jié)點(diǎn)大容量、高效轉(zhuǎn)發(fā);低軌衛(wèi)星節(jié)點(diǎn)采用輕量級(jí)虛擬化技術(shù)，能夠支持節(jié)點(diǎn)眾多、拓?fù)潺嫶蟮奶旎尤刖W(wǎng)仿真.

惡意用戶行為仿真架構(gòu)基于Openstack Mitaka版本搭建.控制節(jié)點(diǎn)采用Deil PowerEdge R730機(jī)架式服務(wù)器，處理器為Intel(R)Xeon(R)CPU E5-2620 v4，內(nèi)存64G;計(jì)算節(jié)點(diǎn)均采用Deil PowerEdge R820機(jī)架式服務(wù)器，處理器為Intel(R)Xeon(R)CPU E5-4607 v2，內(nèi)存32G.所有物理節(jié)點(diǎn)操作系統(tǒng)均為Centos 7.2.

圖3 大規(guī)模實(shí)驗(yàn)拓?fù)銯ig.3 Large scale experimental topology

5.2 惡意用戶行為的多樣化實(shí)驗(yàn)與分析

5.2.1 寬帶惡意用戶行為仿真

在圖3的拓?fù)渲?，寬帶惡意用戶中的惡意用戶?jié)點(diǎn)Usr1使用各種真實(shí)惡意流量通過(guò)衛(wèi)星節(jié)點(diǎn)回放到寬帶正常用戶節(jié)點(diǎn)Usr6，并在拓?fù)渲械男l(wèi)星節(jié)點(diǎn)Ku安裝snort進(jìn)行惡意流量檢測(cè)，對(duì)不同類型的惡意流量，針對(duì)其數(shù)據(jù)報(bào)文特征在snort軟件的rules目錄下添加了對(duì)應(yīng)的規(guī)則文件，并在snort.conf中加入了這些規(guī)則文件.將惡意用戶行為發(fā)生次數(shù)分別設(shè)置為2000、4000、6000、10000 次，使用 snort檢測(cè)蠕蟲、木馬、僵尸網(wǎng)絡(luò)這三種惡意用戶行為，檢測(cè)結(jié)果如圖4所示:其中snort對(duì)蠕蟲流量檢測(cè)的報(bào)警比率隨著流量發(fā)送次數(shù)的增長(zhǎng)始終保持在100%不變;木馬流量檢測(cè)的報(bào)警比率在流量發(fā)送次數(shù)為2000次時(shí)達(dá)到最高97%，在4000次時(shí)降為90%，在6000次、10000次時(shí)保持93%的報(bào)警比率不變;僵尸網(wǎng)絡(luò)流量檢測(cè)的報(bào)警比率基本比較穩(wěn)定，在2000次時(shí)達(dá)到94%，報(bào)警比率隨著發(fā)送次數(shù)的增加緩慢降低，平均保持在92%.

圖4 Snort惡意用戶行為檢測(cè)圖Fig.4 Snort malicious user behavior detection map

在該實(shí)驗(yàn)中，使用入侵檢測(cè)系統(tǒng)snort在不同回放次數(shù)下對(duì)上述惡意流量報(bào)警情況進(jìn)行統(tǒng)計(jì)，均可觸發(fā)警報(bào)且警報(bào)比率如圖4所示，表明惡意流量回放技術(shù)在該天地一體化網(wǎng)絡(luò)仿真場(chǎng)景中可以實(shí)現(xiàn)蠕蟲、木馬、僵尸網(wǎng)絡(luò)等多樣化的寬帶惡意用戶行為仿真.

5.2.2 窄帶用戶惡意行為仿真

在正常的窄帶通信用戶節(jié)點(diǎn)Usr3、Usr4以及窄帶信關(guān)站節(jié)點(diǎn)Station1進(jìn)行通信行為交互時(shí)，在通信鏈路上捕獲的Usr3與Station1的通信用戶數(shù)據(jù)報(bào)文并在窄帶惡意用戶節(jié)點(diǎn)Usr5處更改Usr3至Station1報(bào)文中代表身份信息的有效數(shù)字id，更改報(bào)文的源、目的地址發(fā)送至地基信關(guān)站節(jié)點(diǎn)Station1，實(shí)驗(yàn)結(jié)果表明，該惡意用戶行為節(jié)點(diǎn)Usr5通過(guò)對(duì)正常通信流量的仿冒、篡改、重放等操作可以實(shí)現(xiàn)與正常窄帶用戶節(jié)點(diǎn)Usr4、通信地面站節(jié)點(diǎn)Station1進(jìn)行注冊(cè)、通話、短信等行為的交互，其交互行為表現(xiàn)如下:

在注冊(cè)測(cè)試時(shí)，如表3所示，通信惡意用戶節(jié)點(diǎn)Usr5發(fā)送注冊(cè)請(qǐng)求到地基信關(guān)站節(jié)點(diǎn)Station1，地基信關(guān)站節(jié)點(diǎn)給通信惡意節(jié)點(diǎn)發(fā)送注冊(cè)回應(yīng)報(bào)文，注冊(cè)測(cè)試成功.

表3 注冊(cè)測(cè)試Table 3 Registration test

在通話測(cè)試時(shí)，如表4所示，通信惡意用戶節(jié)點(diǎn)Usr5發(fā)送通話請(qǐng)求到地基信關(guān)站節(jié)點(diǎn)Station1，地基信關(guān)站節(jié)點(diǎn)給通信惡意節(jié)點(diǎn)發(fā)送通話回應(yīng)報(bào)文，并隨后向通信用戶節(jié)點(diǎn)Usr4發(fā)送通信報(bào)文，并取得了回應(yīng)，最后地基信關(guān)站節(jié)點(diǎn)Station1發(fā)送通話報(bào)文回到通信惡意用戶節(jié)點(diǎn)Usr5，實(shí)現(xiàn)了通話行為的交互，通話測(cè)試成功.

表4 通話測(cè)試Table 4 Call test

在短信測(cè)試時(shí)，如表5所示，通信惡意用戶節(jié)點(diǎn)Usr5發(fā)送短信通信報(bào)文到地基信關(guān)站節(jié)點(diǎn)Station1，隨后地基信關(guān)站節(jié)點(diǎn)發(fā)送短信通信報(bào)文到通信用戶節(jié)點(diǎn)Usr4，并取得了回應(yīng)，最終地基信關(guān)站節(jié)點(diǎn)Station1將短信報(bào)文轉(zhuǎn)發(fā)到通信惡意用戶節(jié)點(diǎn)Usr5，實(shí)現(xiàn)了短信行為的交互，短信測(cè)試成功.

表5 短信測(cè)試Table 5 SMStest

5.3 惡意用戶行為高并發(fā)實(shí)驗(yàn)與分析

在多個(gè)用戶節(jié)點(diǎn)上分布式創(chuàng)建并部署大規(guī)模仿真用戶，每個(gè)用戶節(jié)點(diǎn)仿真一萬(wàn)惡意用戶，以每秒內(nèi)產(chǎn)生的惡意報(bào)文數(shù)量作為安全事件并發(fā)數(shù)，并在衛(wèi)星終端進(jìn)行惡意用戶行為并發(fā)數(shù)量檢測(cè).在多個(gè)用戶節(jié)點(diǎn)上協(xié)同進(jìn)行了寬帶用戶惡意行為并發(fā)仿真，并記錄用戶節(jié)點(diǎn)Usr1與Usr2部分時(shí)間點(diǎn)的安全事件并發(fā)數(shù)與內(nèi)存占用情況，實(shí)驗(yàn)結(jié)果如圖5所示，寬帶單向惡意用戶行為的并發(fā)數(shù)與雙向惡意用戶行為并發(fā)數(shù)呈固定比例(左側(cè)縱坐標(biāo)對(duì)應(yīng)單/雙向惡意用戶行為并發(fā)數(shù))，用戶節(jié)點(diǎn)的內(nèi)存占用隨用戶行為仿真并發(fā)數(shù)的增加而逐漸增長(zhǎng)(右側(cè)縱坐標(biāo)對(duì)應(yīng)內(nèi)存占用增長(zhǎng)數(shù)值)，并在用戶數(shù)達(dá)到一萬(wàn)時(shí)在峰值上下波動(dòng)，最后隨著用戶行為仿真的結(jié)束而逐漸降低.通過(guò)實(shí)驗(yàn)證明本設(shè)計(jì)方法最終可以實(shí)現(xiàn)單節(jié)點(diǎn)10000惡意用戶的并發(fā)仿真.

圖5 安全事件并發(fā)時(shí)刻圖Fig.5 Security event concurrency moment diagram

5.4 雙向回放的逼真性實(shí)驗(yàn)與評(píng)估

寬帶雙向交互行為的逼真性主要體現(xiàn)在用戶進(jìn)行惡意用戶行為交互時(shí)，與完整流量對(duì)比，所生成的惡意交互流量在報(bào)文交互順序上保持一致、以及報(bào)文交互時(shí)間上的精確.

5.4.1 寬帶雙向回放報(bào)文交互順序

取圖3拓?fù)渲械鼗脩羧簮阂庥脩舴抡婀?jié)點(diǎn)Usr1與Usr2，以及仿真衛(wèi)星節(jié)點(diǎn)Ku，其中Usr1與Usr2進(jìn)行寬帶雙向行為交互，并在Ku上捕獲交互流量，查看捕獲流量的交互順序，如表6所示:結(jié)果顯示該交互行為所產(chǎn)生的流量其交互順序與原流量保持一致.

表6 報(bào)文交互次序表Table 6 Message interaction sequence

5.4.2 寬帶雙向回放報(bào)文交互時(shí)間

在惡意用戶仿真節(jié)點(diǎn)Usr1與Usr2之間重放了來(lái)自互聯(lián)網(wǎng)真實(shí)惡意流量的36000個(gè)數(shù)據(jù)報(bào)文，得到的原始報(bào)文與雙向交互回放報(bào)文之間的時(shí)間誤差值與流量回放軟件Tcpreplay產(chǎn)生的時(shí)間誤差值［19］如圖6所示.在該圖中，Tcpreplay回放算法發(fā)送報(bào)文的時(shí)間誤差值隨著報(bào)文數(shù)量的增加呈線性上升，而經(jīng)雙向交互算法生成的回放流量的時(shí)間誤差值基本分布在0.0005秒之內(nèi)，并不會(huì)隨著回放報(bào)文數(shù)量的增加而有所變化.該圖表現(xiàn)出雙向交互算法對(duì)比Tcpreplay回放算法在發(fā)包數(shù)量達(dá)到一定規(guī)模后，其在發(fā)包時(shí)間的精確性上具有一定的優(yōu)越性.

圖6 雙向交互算法與Tcpreplay算法時(shí)間誤差對(duì)比圖Fig.6 Two-way interactive traffic time difference comparison chart

在誤差均值方面，tcpreplay回放算法的誤差均差為0.016048秒，而交互回放算法的誤差均差為0.000437秒，相差了40倍左右;在誤差標(biāo)準(zhǔn)差方面，tcpreplay回放算法的誤差標(biāo)準(zhǔn)差為0.010392秒，而交互回放算法的標(biāo)準(zhǔn)差為0.000359秒，相差了30倍左右，如表7所示.

表7 Tcpreplay算法與交互回放算法誤差對(duì)比表Table 7 Two-way interactive traffic time difference comparison table

以上都表現(xiàn)出雙向交互算法對(duì)比Tcpreplay回放算法在發(fā)包時(shí)間的精確性上具有一定的優(yōu)越性，表明了雙向惡意用戶行為交互技術(shù)具有一定的逼真性.

6 結(jié)束語(yǔ)

面向天地一體化信息網(wǎng)絡(luò)的惡意用戶行為仿真技術(shù)，實(shí)現(xiàn)了用戶行為仿真的多樣化、流量特性上的高逼真，以及惡意用戶及事件數(shù)量上的高并發(fā).多樣化主要體現(xiàn)在該方法支持各種安全事件的仿真;高逼真主要體現(xiàn)在雙向TCP流量的交互，可以完整的體現(xiàn)出TCP流量在原始網(wǎng)絡(luò)中交互行為在時(shí)間與空間上的細(xì)節(jié)與尺度;高并發(fā)主要體現(xiàn)在同一時(shí)間惡意用戶行為所產(chǎn)生安全事件的數(shù)量.本仿真方法可以在單用戶節(jié)點(diǎn)實(shí)現(xiàn)每秒10000組安全事件的并發(fā)行為仿真.下個(gè)階段的工作主要包括對(duì)天地一體化網(wǎng)絡(luò)中的接入認(rèn)證、安全管控、威脅態(tài)勢(shì)預(yù)警等安全技術(shù)的分析與評(píng)估.