基于密鑰共享的復雜網(wǎng)絡(luò)圍界入侵點檢測研究

潘 卿，竇立君

(南京林業(yè)大學網(wǎng)絡(luò)安全和信息化辦公室，江蘇 南京 210037)

1 引言

隨著環(huán)境復雜性以及不確定因素的增加，有關(guān)自動控制的重要公共設(shè)施圍界入侵形式愈加嚴重，這將導致嚴峻的后果。隨著網(wǎng)絡(luò)規(guī)模的擴大，物聯(lián)網(wǎng)中原本的攻擊方式逐漸滲入到復雜網(wǎng)絡(luò)中，復雜網(wǎng)絡(luò)重要區(qū)域的圍界是網(wǎng)絡(luò)安全的重要保障，是網(wǎng)絡(luò)能夠被有效利用的基礎(chǔ)，因此對復雜網(wǎng)絡(luò)圍界入侵點的檢測非常必要。

文獻[6]設(shè)計了網(wǎng)絡(luò)圍界入侵安全系統(tǒng)的結(jié)構(gòu)、安全機制和組網(wǎng)方案，通過對網(wǎng)絡(luò)圍界的安全需求和環(huán)境特征，設(shè)計相應的安全策略，根據(jù)搭建的圍界入侵系統(tǒng)，對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)節(jié)點等進行測試，實驗結(jié)果表明，該方法對網(wǎng)絡(luò)圍界能進行全方位的監(jiān)控，具有較好的安全性，但防范措施較為不靈活。文獻[7]在隱馬科夫模型的基礎(chǔ)上構(gòu)建安全層的協(xié)議模型，并對隱馬科夫模型進行訓練，通過訓練的協(xié)議數(shù)據(jù)包特征，判斷網(wǎng)絡(luò)圍界入侵情況，實驗結(jié)果表明，該方法具有較高的可靠性與可行性，但受矩陣規(guī)模影響，計算速度較慢。文獻[8]為了降低分幀方法導致計算效率低的問題，利用還原信號分級閾值對入侵信號進行提取，通過建立一維卷積神經(jīng)網(wǎng)絡(luò)對擾動信號自適應提取，利用實驗所收集的樣本數(shù)據(jù)訓練網(wǎng)絡(luò)模型，結(jié)果表明該方法對頻率復雜信號的識別率有明顯地提高，但適應性較差。

基于以上研究，針對網(wǎng)絡(luò)圍界入侵問題，必須采取一定的安全措施，確保復雜網(wǎng)絡(luò)的安全性，本文提出基于密鑰共享復雜網(wǎng)絡(luò)圍界入侵點檢測方法，設(shè)計了入網(wǎng)認證方案，并對密鑰進行更新，保證信任中心與節(jié)點間的網(wǎng)絡(luò)安全，以維持網(wǎng)絡(luò)正常運行并對系統(tǒng)內(nèi)部資源起到保護作用。

2 入侵點檢測系統(tǒng)設(shè)計

2.1 系統(tǒng)設(shè)計

入侵點檢測系統(tǒng)通過網(wǎng)絡(luò)設(shè)備對外部流量的監(jiān)聽來判斷網(wǎng)絡(luò)是否被攻擊。復雜網(wǎng)絡(luò)可分為感知層、網(wǎng)絡(luò)層和應用層，網(wǎng)絡(luò)入侵和工作均部署在網(wǎng)絡(luò)層。入侵系統(tǒng)的工作架構(gòu)如圖1所示。

圖1 入侵系統(tǒng)工作架構(gòu)

在復雜網(wǎng)絡(luò)工作過程中，感知層主要進行網(wǎng)絡(luò)信息的收集與交換，并將數(shù)據(jù)匯總到智能網(wǎng)關(guān)，網(wǎng)關(guān)將收集到的數(shù)據(jù)信息上傳到到云平臺，等待進一步的命令指示。在感知層中存在眾多數(shù)據(jù)傳輸與交換的協(xié)議，為了避免系統(tǒng)受到惡意軟件或病毒的攻擊，采用TCP/IP協(xié)議棧形成的流量對暴露在復雜網(wǎng)絡(luò)中的數(shù)據(jù)進行訓練。由于入侵系統(tǒng)僅對當前流量進行分析，并作出相應處理，因此所設(shè)計的入侵系統(tǒng)不僅能夠跨底層協(xié)議進行部署，還不需要額外的消耗通信資源。

2.2 網(wǎng)絡(luò)結(jié)構(gòu)

采用CNN-LSTM形式的網(wǎng)絡(luò)結(jié)構(gòu)，這種結(jié)構(gòu)主要應用于圖片標注和視頻識別等領(lǐng)域，其中CNN用于對網(wǎng)絡(luò)特征信息的提取，LSTM根據(jù)CNN給定的特征信息輸出與之對應的信息。當網(wǎng)絡(luò)進行入侵檢測時，CNN網(wǎng)絡(luò)局部依據(jù)權(quán)值共享的特性會降低參數(shù)數(shù)量和資源的消耗。在復雜網(wǎng)絡(luò)環(huán)境中，攻擊是一個連續(xù)的過程，入侵檢測時，若僅對唯一的TCP握手包進行分析不能做出正確端口掃描的判斷，因此根據(jù)LSTM網(wǎng)絡(luò)可以得到多個樣本的特征，對多個輸入的數(shù)據(jù)包序列進行LSTM網(wǎng)絡(luò)判斷，可以更加準確的判斷出數(shù)據(jù)包的掃描攻擊模式。

為保證訓練結(jié)果的準確性，并維持數(shù)據(jù)池化后的維度，本文采用2次卷積的最大池化結(jié)構(gòu)。為避免池化后的數(shù)據(jù)過度擬合，在結(jié)構(gòu)中增加了2層Dropout層，并在LSTM網(wǎng)絡(luò)處理前，對網(wǎng)絡(luò)數(shù)據(jù)進行連接處理。

2.3 數(shù)據(jù)處理

為了解決復雜網(wǎng)絡(luò)中數(shù)據(jù)分布不平衡的問題，提出動態(tài)權(quán)重損失函數(shù)，該函數(shù)的核心是當入侵網(wǎng)絡(luò)模型對所有樣本輸出計算的交叉熵一致的情況下，每種樣本具有相同的損失，用公式可表示為

(1)

其中，和表示每類樣本個數(shù)；(·)表示交叉熵處理函數(shù)；表示模型輸出；表示數(shù)據(jù)標簽。經(jīng)過推理，由于樣本的交叉熵相同，權(quán)重用公式可表示為

(2)

其中，表示樣本種類；表示第種樣本的個數(shù)；＿表示樣本集合。當復雜網(wǎng)絡(luò)內(nèi)部樣本數(shù)量不平衡時，代價函數(shù)值由多數(shù)類樣本確定，因此模型會忽略少數(shù)類樣本的類型。然而引入損失函數(shù)后，各個種類的樣本比例是一樣的，因此模型對所有類樣本進行訓練都滿足條件。在不理想的狀態(tài)下，即使少數(shù)類樣本輸出的交叉熵比多數(shù)類樣本交叉熵大，但由于動態(tài)權(quán)重的引入，最終代價函數(shù)中少數(shù)類樣本的權(quán)重高于多數(shù)類樣本，少數(shù)類樣本所占比例會更高，復雜網(wǎng)絡(luò)模型會更注重少數(shù)類樣本的訓練，因此即使在不理想狀態(tài)，動態(tài)權(quán)重代價函數(shù)依然具有良好的適用性。

3 網(wǎng)絡(luò)安全認證

3.1 單跳入網(wǎng)絡(luò)認證

全部節(jié)點均要和信任中心進行共享密鑰，假定節(jié)點為采取單跳入網(wǎng)，信任中心在獲取到的請求時，會對進行反向的認證請求，只有在做出有關(guān)安全信息的響應后，信任中心對節(jié)點進行認證。安全信息可表示為

=(|，)

(3)

其中，(·)表示安全信息計算函數(shù)；表示設(shè)備地址；表示設(shè)備類型；表示密鑰。單跳入網(wǎng)認證過程如圖2所示。

圖2 單跳入網(wǎng)認證過程

首先節(jié)點向信任中心發(fā)送包含自己標識和設(shè)備類型的入網(wǎng)請求。然后信任中心對進行認證，并將的標識和類型進行保存，發(fā)出認證請求。當節(jié)點收到認證請求后，計算得到安全信息，同時生成回復響應，發(fā)送至信任中心，并共享密鑰。如果安全信息不一致，不允許入網(wǎng)；反之，回復入網(wǎng)響應入網(wǎng)成功。

3.2 多跳入網(wǎng)絡(luò)認證

設(shè)多跳入網(wǎng)認證的節(jié)點為和，通過中間節(jié)點入網(wǎng)，節(jié)點和發(fā)送給信任中心的數(shù)據(jù)可表示為

=(||)

(4)

其中，表示加密算法；表示節(jié)點與信任中心共享的密鑰。多跳入網(wǎng)認證過程如圖3所示。

圖3 多跳入網(wǎng)認證過程

首先節(jié)點向中間節(jié)點發(fā)送入網(wǎng)請求＿，同時中間節(jié)點向信任中心發(fā)出認證請求＿，通過和信任中心共享的密鑰計算出安全信息與發(fā)送給信任中心的數(shù)據(jù)，并發(fā)送認證響應＿。然后構(gòu)建包含的地址和數(shù)據(jù)的請求報文＿發(fā)送給信任中心。當信任中心接收到報文后先判斷是否為認證過的節(jié)點，若是，則對報文進行解析，并尋找與的共享密鑰，獲取的入網(wǎng)信息；反之，若不是認證過的網(wǎng)絡(luò)節(jié)點，會丟棄該報文不做處理。發(fā)送給節(jié)點和節(jié)點的密文用公式可表示為

(5)

其中，＿和＿分別表示和可信的標志，數(shù)值越趨于1表示可信度越高，越趨于0，可信度越低。節(jié)點接收到信任中心的入網(wǎng)響應后，對報文進行解密處理，并判斷節(jié)點是否可信，只有可信才將報文發(fā)送給。節(jié)點接收到的響應后，對報文進一步解密，并判斷節(jié)點是否可信，若可信則入網(wǎng)成功；反之，重新選擇入網(wǎng)路徑。

結(jié)合以上設(shè)計，保證了復雜網(wǎng)絡(luò)入網(wǎng)節(jié)點的合法性與安全性。對于單跳入網(wǎng)，只要認證通過就表明復雜網(wǎng)絡(luò)中的節(jié)點合法。就多跳入網(wǎng)絡(luò)認證而言，若節(jié)點為受到攻擊的節(jié)點，那么節(jié)點和節(jié)點不存在共享內(nèi)容，節(jié)點不會對節(jié)點進行認證，所以當信任中心收到認證消息后，認為節(jié)點認證失敗，通知節(jié)點節(jié)點不可信，并對密鑰進行加密保護。若節(jié)點為受到攻擊的節(jié)點，而節(jié)點是經(jīng)過加密保護的安全認證節(jié)點，在短時間內(nèi)節(jié)點無法篡改復雜網(wǎng)絡(luò)，即使將信息發(fā)送給信任中心，信任中心也會判定其為不可信節(jié)點，那么節(jié)點便會獲得唯一的標識和類型，但不足以對復雜網(wǎng)絡(luò)造成危害。

4 密鑰共享

網(wǎng)絡(luò)節(jié)點入網(wǎng)后，信任中心將與成功入網(wǎng)的節(jié)點共享密鑰并進行密鑰的周期性更新，保證復雜網(wǎng)絡(luò)安全。如果接入的節(jié)點檢測出受到網(wǎng)絡(luò)攻擊，其主動發(fā)起密鑰更新服務(wù)。共享的密鑰一定要保證安全與準確，在密鑰傳輸過程中不能被破解或篡改。針對共享密鑰的安全性與合法性，采用單向散列鏈模式，對報文進行更新，并增加校驗信息。

信任中心的密鑰池由一系列的單向散列鏈組成，密鑰生成公式可表示為

，=[-1(，＿)，＿]

(6)

其中，表示散列鏈共用的種子；＿表示散列鏈的生成因子。為了能夠形成一個密鑰池，通過隨機方式篩選出種子，利用相同的網(wǎng)絡(luò)節(jié)點得到差異性因子，生成散列鏈，并刪除種子。

入網(wǎng)成功后，全部節(jié)點都將接收到密鑰信息，同時全部節(jié)點將共享唯一的散列鏈。密鑰采取周期性更新，其過程如圖4所示。

圖4 密鑰更新過程

為了保證密鑰更新的安全性，信任中心會選擇相應的密鑰鏈向節(jié)點共享密鑰，密鑰鏈中最后一個鏈密鑰是包含密鑰類型和長度的報文信息，同時將生成的校驗值發(fā)送給節(jié)點。節(jié)點接收到報文后，先對校驗值進行驗證，若校驗值相等，則表明是未經(jīng)過篡改的密鑰，報文是正確且安全的，然后對報文進行解密，獲得會話密鑰。若校驗值不相等，則表明受到攻擊，節(jié)點向信任中心發(fā)出響應，匯報暴露的密鑰。

5 算法分析

為了驗證基于密鑰共享復雜網(wǎng)絡(luò)圍界入侵點檢測方法的有效性，本文主要從安全性、性能、效率和容忍性四方面對算法進行分析，并對不平衡數(shù)據(jù)集的處理結(jié)果與交叉熵代價函數(shù)模型評估結(jié)果進行實驗對比。

5.1 安全性分析

在密鑰更新過程中，采用本文的設(shè)計方法保證了預更新密鑰的安全性與準確性，由于復雜網(wǎng)絡(luò)僅有信任中心和節(jié)點，且它們共享唯一的散列鏈，又因為散列鏈具有單向特性，想要徹底獲取網(wǎng)絡(luò)信息，必須要得到種子，而種子又是隨機生成的。因此采用本文設(shè)計方法，僅對節(jié)點進行散列運算，就能夠?qū)崿F(xiàn)網(wǎng)絡(luò)報文的機密性和數(shù)據(jù)的安全性。節(jié)點密鑰的計算是在復雜網(wǎng)絡(luò)部署前以安全形勢寫入的，所以發(fā)送的加密密鑰也具有可靠的安全性。

5.2 性能分析

針對本文方法在復雜網(wǎng)絡(luò)中的性能，主要考慮到復雜網(wǎng)絡(luò)中新節(jié)點加入的過程、原來節(jié)點的離開過程、存儲容量和生命周期四方面。當有新節(jié)點加入到復雜網(wǎng)絡(luò)后，認證中心會采取認證處理，只有正確認證的節(jié)點，才可以進一步完成密鑰的更新與發(fā)布工作。當原本存在復雜網(wǎng)絡(luò)中的節(jié)點離開后，刪除與該節(jié)點共享的密鑰即可，此操作不會對復雜網(wǎng)絡(luò)中其它節(jié)點的正常通信造成影響。

采用本文設(shè)計方法僅需要存儲3種類型的密鑰，沒有增加存儲量，因此所占內(nèi)存較小。密鑰鏈長度期望值可表示為

(7)

其中，表示節(jié)點有效工作時長；表示密鑰更新周期；表示復雜網(wǎng)絡(luò)中節(jié)點受到攻擊的最大次數(shù)。密鑰鏈長度期望值的引入，可以避免因節(jié)點失效導致密鑰斷更的發(fā)生。

5.3 容忍度分析

節(jié)點在更新過程中，當節(jié)點接收到報文信息＿，并獲得丟失-1次的鏈密鑰更新報文后，密鑰不會發(fā)生改變。在獲取正確更新的報文＿+后，對報文＿+進行解密。然后對解密后的報文進行次散列運算。再次判斷運算后的密鑰是否一致，如果不一致，則密鑰更新失敗；如果一致，網(wǎng)絡(luò)系統(tǒng)認為更新的密鑰正確，對密鑰進行解密處理。采用本文方案在密鑰更新過程中可以允許一部分報文丟失，說明算法具有一定的容忍性。

5.4 不平衡數(shù)據(jù)處理分析

為了進一步驗證動態(tài)權(quán)重損失函數(shù)對不平衡數(shù)據(jù)的處理效果，本文選擇NSL-KDD數(shù)據(jù)集進行訓練，并采用一致的網(wǎng)絡(luò)結(jié)構(gòu)，將本文方法與使用交叉熵代價函數(shù)處理網(wǎng)絡(luò)圍界入侵點檢測情況進行對比，對比結(jié)果如圖5所示。

圖5 參數(shù)處理對比結(jié)果

從圖中可以看出，采用動態(tài)權(quán)重損失函數(shù)模型對不同類型樣本的準確性、精度和召回率處理情況均優(yōu)于使用交叉熵函數(shù)模型，說明采用本文方法針對網(wǎng)絡(luò)入侵點中不平衡數(shù)據(jù)的處理效果較好。

6 結(jié)束語

本文針對復雜網(wǎng)絡(luò)圍界入侵點的檢測提出基于密鑰共享的研究方法。構(gòu)建入侵點檢測系統(tǒng)，將網(wǎng)絡(luò)入侵和工作均部署在網(wǎng)絡(luò)層，利用動態(tài)權(quán)重損失函數(shù)解決復雜網(wǎng)絡(luò)中數(shù)據(jù)分布不平衡的問題。根據(jù)信任中心與節(jié)點間的關(guān)系將入網(wǎng)認證分為單跳入網(wǎng)和多跳入網(wǎng)兩種形式，判斷網(wǎng)絡(luò)是否被篡改。為保證復雜網(wǎng)絡(luò)的安全性，主動發(fā)起密鑰更新服務(wù)。分別從四方面對本文算法進行分析，本文方法不僅保證了密鑰更新過程的安全性，并且也具有較好的容忍性。將本文與采用交叉熵函數(shù)處理數(shù)據(jù)的方法進行仿真對比，實驗結(jié)果表明本文方法具有提高模型對不平衡樣本的判別能力。