羅 麗
(江西科技師范大學(xué) 理工學(xué)院 理工學(xué)科部,江西 南昌 330013)
網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)信息傳播等機(jī)制具有高度影響,對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)的安全性進(jìn)行度量,能有效控制節(jié)點(diǎn)對(duì)信息的傳播能力,保障無(wú)線通信網(wǎng)絡(luò)安全[1]。國(guó)外對(duì)無(wú)線通信網(wǎng)絡(luò)節(jié)點(diǎn)安全性的度量標(biāo)準(zhǔn)較多,如從管理角度制定BS 7799安全標(biāo)準(zhǔn),在收集網(wǎng)絡(luò)節(jié)點(diǎn)配置信息后,提供漏洞、資產(chǎn)及風(fēng)險(xiǎn)威脅等方面的度量方法,明確各個(gè)等級(jí)網(wǎng)絡(luò)節(jié)點(diǎn)的管理要求,主要實(shí)施內(nèi)容包括無(wú)線通信網(wǎng)絡(luò)的安全標(biāo)準(zhǔn)和普通警告,并在防護(hù)措施方面,提出一系列保護(hù)方法。國(guó)內(nèi)對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)安全性的度量,以《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T 22239—2008)安全等級(jí)保護(hù)基本要求為依據(jù),根據(jù)其給出的度量流程和框架,明確節(jié)點(diǎn)各階段的風(fēng)險(xiǎn)程度,并判斷其是否符合安全標(biāo)準(zhǔn)。但傳統(tǒng)網(wǎng)絡(luò)節(jié)點(diǎn)安全性度量方法未充分考慮無(wú)線通信網(wǎng)絡(luò)的特點(diǎn),在對(duì)節(jié)點(diǎn)安全性進(jìn)行度量時(shí),沒(méi)有結(jié)合無(wú)線通信網(wǎng)絡(luò)特性,導(dǎo)致度量波動(dòng)較大,與無(wú)線通信網(wǎng)絡(luò)適應(yīng)性較差。為解決以上問(wèn)題,設(shè)計(jì)基于物聯(lián)網(wǎng)的無(wú)線通信網(wǎng)絡(luò)節(jié)點(diǎn)安全性度量方法。物聯(lián)網(wǎng)可以根據(jù)無(wú)線傳感設(shè)備的相關(guān)協(xié)議,實(shí)現(xiàn)設(shè)備節(jié)點(diǎn)分布存儲(chǔ)等步驟,感知無(wú)線通信網(wǎng)絡(luò)中的節(jié)點(diǎn)位置,滿(mǎn)足網(wǎng)絡(luò)節(jié)點(diǎn)度量定位的技術(shù)需求,還可以將各種網(wǎng)絡(luò)連接起來(lái),搜索并采集節(jié)點(diǎn)相關(guān)信息,在無(wú)線網(wǎng)絡(luò)中完成節(jié)點(diǎn)信息互換,實(shí)現(xiàn)智能化監(jiān)控管理[2]。
計(jì)算網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)無(wú)線通信網(wǎng)絡(luò)的影響范圍,選擇出影響通信網(wǎng)絡(luò)安全的重要節(jié)點(diǎn)。首先采用傳播動(dòng)力學(xué),將關(guān)注點(diǎn)集中在節(jié)點(diǎn)相鄰信息或者節(jié)點(diǎn)自身信息上,對(duì)無(wú)線通信網(wǎng)絡(luò)進(jìn)行度量,考察網(wǎng)絡(luò)中該節(jié)點(diǎn)被破壞或刪除后,網(wǎng)絡(luò)連通性的排序方法是否會(huì)被破壞,以及網(wǎng)絡(luò)連通性是否變差,通過(guò)破壞性評(píng)價(jià)進(jìn)行深入分析。由于破壞某一節(jié)點(diǎn)時(shí),與該節(jié)點(diǎn)相關(guān)聯(lián)的所有節(jié)點(diǎn)都會(huì)被刪除,因此,要從網(wǎng)絡(luò)局部特征出發(fā),使用網(wǎng)絡(luò)節(jié)點(diǎn)的度指標(biāo),計(jì)算節(jié)點(diǎn)影響網(wǎng)絡(luò)連通性的局部信息量,對(duì)節(jié)點(diǎn)情況進(jìn)行刻畫(huà),找出造成直接影響的網(wǎng)絡(luò)節(jié)點(diǎn)[3]。設(shè)網(wǎng)絡(luò)節(jié)點(diǎn)為u,該節(jié)點(diǎn)的相鄰節(jié)點(diǎn)集合為Γ(u),次相鄰節(jié)點(diǎn)數(shù)之和為N,最近相鄰節(jié)點(diǎn)數(shù)之和為W,則每層節(jié)點(diǎn)的局部集中度Q(u)的計(jì)算公式為:
將節(jié)點(diǎn)局部集中度作為影響網(wǎng)絡(luò)連通性的反饋程度,引入權(quán)重衰減因子,度量節(jié)點(diǎn)對(duì)其他節(jié)點(diǎn)施加影響作用的能力,對(duì)每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的破壞程度賦予權(quán)重,并將其相鄰節(jié)點(diǎn)也作為一個(gè)反饋環(huán)節(jié)。根據(jù)無(wú)線網(wǎng)絡(luò)存儲(chǔ)的大量數(shù)據(jù),將介數(shù)中心性作為節(jié)點(diǎn)安全重要性的評(píng)價(jià)指標(biāo),當(dāng)破壞的節(jié)點(diǎn)局部集中度越接近中心性數(shù)值時(shí),則處于中心地位的網(wǎng)絡(luò)節(jié)點(diǎn),其對(duì)無(wú)線網(wǎng)絡(luò)通信網(wǎng)絡(luò)節(jié)點(diǎn)安全性的影響程度較大。經(jīng)過(guò)上述分析,在考慮安全性的前提下,完成重要網(wǎng)絡(luò)節(jié)點(diǎn)的選定。
基于物聯(lián)網(wǎng)技術(shù),搜索以上重要節(jié)點(diǎn)的網(wǎng)絡(luò)和位置信息,對(duì)所有節(jié)點(diǎn)的整體風(fēng)險(xiǎn)進(jìn)行識(shí)別。分別從網(wǎng)絡(luò)層面和拓?fù)鋱D角度對(duì)節(jié)點(diǎn)風(fēng)險(xiǎn)進(jìn)行評(píng)估,結(jié)合無(wú)線通信網(wǎng)絡(luò)的特殊需求及實(shí)際情況,將網(wǎng)絡(luò)節(jié)點(diǎn)風(fēng)險(xiǎn)的關(guān)鍵因子抽象出來(lái),結(jié)合物聯(lián)網(wǎng)搜索的節(jié)點(diǎn)脆弱項(xiàng)的配置信息,如網(wǎng)絡(luò)節(jié)點(diǎn)風(fēng)險(xiǎn)因子,以及與無(wú)線通信網(wǎng)絡(luò)的權(quán)重關(guān)系。
設(shè)無(wú)線通信網(wǎng)絡(luò)核心層風(fēng)險(xiǎn)值為x1,匯聚層風(fēng)險(xiǎn)值為x2,接入層風(fēng)險(xiǎn)值為x3,計(jì)算網(wǎng)絡(luò)風(fēng)險(xiǎn)值的函數(shù)為H,網(wǎng)絡(luò)節(jié)點(diǎn)風(fēng)險(xiǎn)事件發(fā)生的概率為P,網(wǎng)絡(luò)脆弱性為C,無(wú)線通信網(wǎng)絡(luò)資產(chǎn)為z,網(wǎng)絡(luò)威脅為W,則網(wǎng)絡(luò)節(jié)點(diǎn)整體風(fēng)險(xiǎn)值NR的計(jì)算公式為:
采用基線配置檢測(cè)工具對(duì)脆弱性進(jìn)行檢測(cè)。網(wǎng)絡(luò)脆弱性C共分為高、中、低3個(gè)級(jí)別。其中,高脆弱級(jí)別包括對(duì)靜態(tài)口令、通信分配權(quán)限、明文形式及設(shè)置口令的影響程度;中脆弱級(jí)別包括對(duì)網(wǎng)絡(luò)源地址、過(guò)濾操作、引起潛在危害、端口延遲時(shí)間、無(wú)線通信服務(wù)協(xié)議、任意主機(jī)訪問(wèn)服務(wù)器、遠(yuǎn)程登錄密鑰的影響程度;低脆弱級(jí)別包括對(duì)配置文件、目標(biāo)端口、字符序列、目標(biāo)地址的影響程度。之后,控制脆弱項(xiàng)浮動(dòng)范圍為0~1,取所有節(jié)點(diǎn)脆弱項(xiàng)的平均值。至此,完成基于物聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)節(jié)點(diǎn)整體風(fēng)險(xiǎn)的識(shí)別過(guò)程。
對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)整體風(fēng)險(xiǎn)進(jìn)行評(píng)估,判斷其在無(wú)線通信網(wǎng)絡(luò)中的安全等級(jí)。在常規(guī)安全評(píng)估流程的基礎(chǔ)上,選出屬性綜合值最大的網(wǎng)絡(luò)節(jié)點(diǎn),引入無(wú)線通信網(wǎng)絡(luò)的整體風(fēng)險(xiǎn)這個(gè)參數(shù),將造成風(fēng)險(xiǎn)狀態(tài)的轉(zhuǎn)移概率也納入評(píng)估范圍,將節(jié)點(diǎn)屬性信息和割邊選擇作為潛在的風(fēng)險(xiǎn)轉(zhuǎn)移路徑。為使評(píng)估結(jié)果更加準(zhǔn)確,將節(jié)點(diǎn)安全等級(jí)細(xì)化為1~5級(jí)。當(dāng)安全等級(jí)為高和很高時(shí),則無(wú)線通信網(wǎng)絡(luò)節(jié)點(diǎn)安全能得到保障。至此完成了基于物聯(lián)網(wǎng)技術(shù)的無(wú)線通信網(wǎng)絡(luò)節(jié)點(diǎn)安全性度量方法設(shè)計(jì)。
為驗(yàn)證上述設(shè)計(jì)方法的有效性,與傳統(tǒng)無(wú)線通信網(wǎng)絡(luò)節(jié)點(diǎn)安全性度量方法進(jìn)行對(duì)比分析。
用OPNET軟件模擬無(wú)線通信網(wǎng)絡(luò)拓?fù)?,依?jù)安全基線配置檢測(cè)工具,在無(wú)線傳感器網(wǎng)絡(luò)中建立n個(gè)仿真節(jié)點(diǎn),模擬無(wú)線通信網(wǎng)絡(luò)數(shù)據(jù)交互的場(chǎng)景。選取CISC07609路由器,將網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)置為亞攻擊性惡意節(jié)點(diǎn),存在access綁定設(shè)備脆弱項(xiàng),表現(xiàn)惡意節(jié)點(diǎn)相對(duì)復(fù)雜的真實(shí)攻擊行為,對(duì)信息網(wǎng)絡(luò)進(jìn)行分層。將特殊字段填充至網(wǎng)絡(luò)環(huán)境MSDU部分,使所有網(wǎng)絡(luò)節(jié)點(diǎn)生成節(jié)點(diǎn)時(shí)間序列集,為使模擬實(shí)驗(yàn)更加真實(shí)化,使用協(xié)議棧MAC命令幀的報(bào)文結(jié)構(gòu),其節(jié)點(diǎn)包括幀控制、命令類(lèi)型、命令載荷,并對(duì)序列集進(jìn)行賦值。
將網(wǎng)絡(luò)節(jié)點(diǎn)的時(shí)間序列作為輸入數(shù)據(jù),將處在核心層的V3識(shí)別作為風(fēng)險(xiǎn)值最高的節(jié)點(diǎn),考慮高速轉(zhuǎn)發(fā)和路由能力,以及造成節(jié)點(diǎn)安全性度量效果的差異,設(shè)置大量外接接口,模擬一個(gè)聚類(lèi)過(guò)程輸出最終度量結(jié)果,加入無(wú)線通信網(wǎng)絡(luò)整體風(fēng)險(xiǎn)的參數(shù)。另兩種度量方法分析設(shè)置的變量參數(shù),對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)整體安全性進(jìn)行度量,投入來(lái)保護(hù)V3的安全。
本文提出的方法與傳統(tǒng)方法的節(jié)點(diǎn)權(quán)重如表1所示。
表1 節(jié)點(diǎn)風(fēng)險(xiǎn)值計(jì)算結(jié)果
為保證對(duì)比實(shí)驗(yàn)的準(zhǔn)確性,設(shè)置節(jié)點(diǎn)序列長(zhǎng)度分別為50~300,選擇幾個(gè)不同的長(zhǎng)度值來(lái)進(jìn)行比較,作為實(shí)驗(yàn)關(guān)注范圍。由于長(zhǎng)度不同,其分析結(jié)果精度也有所不同,因此要不斷增加節(jié)點(diǎn)度量的開(kāi)銷(xiāo)和運(yùn)算時(shí)間。記錄兩種度量方法對(duì)惡意節(jié)點(diǎn)的召回率,結(jié)果如表2所示。
表2 惡意節(jié)點(diǎn)的對(duì)比結(jié)果
由表2可知,兩種度量方法都能識(shí)別惡意節(jié)點(diǎn)的性能參數(shù),從對(duì)比結(jié)果數(shù)據(jù)可以看出,網(wǎng)絡(luò)節(jié)點(diǎn)的召回率都隨序列長(zhǎng)度而增加,對(duì)節(jié)點(diǎn)的誤判率降低,但本文方法的平均召回率為0.77%,而傳統(tǒng)方法對(duì)惡意節(jié)點(diǎn)的召回率則為0.86%,相比傳統(tǒng)方法召回率提高了0.09%,在惡意節(jié)點(diǎn)的識(shí)別度方面取得了較好效果。
保持網(wǎng)絡(luò)節(jié)點(diǎn)總數(shù)不變,改變無(wú)線通信網(wǎng)絡(luò)中惡意節(jié)點(diǎn)與正常節(jié)點(diǎn)的比例,記錄兩種度量方法對(duì)正常節(jié)點(diǎn)的召回率,結(jié)果如表3所示。
由表3可知,本文方法的平均召回率為0.17%,比傳統(tǒng)方法對(duì)惡意節(jié)點(diǎn)的召回率(0.09%)提高了0.06%。綜上所述,本文度量方法對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)的召回率較低,有效提高了對(duì)節(jié)點(diǎn)判斷的精度。
表3 正常節(jié)點(diǎn)的對(duì)比結(jié)果
此次提出的度量方法充分發(fā)揮出了物聯(lián)網(wǎng)對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)定位識(shí)別的優(yōu)勢(shì),提高了對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)安全性的度量準(zhǔn)確性。但此次提出方法在應(yīng)用無(wú)線通信網(wǎng)絡(luò)時(shí),因?yàn)椴皇苜Y源的限制,對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)的信譽(yù)管理較為簡(jiǎn)單,管理機(jī)制不夠完善,在今后的研究中,會(huì)對(duì)該度量方法進(jìn)一步優(yōu)化,降低資源開(kāi)銷(xiāo),不改變精確性能的同時(shí),使其更加適用于無(wú)線通信網(wǎng)絡(luò)。