周 浩
(安徽郵電職業(yè)技術(shù)學(xué)院 計(jì)算機(jī)與網(wǎng)絡(luò)學(xué)院,合肥 230031)
復(fù)雜網(wǎng)絡(luò)環(huán)境下有效信息量會(huì)不斷增加,非法用戶以入侵的方式對(duì)復(fù)雜網(wǎng)絡(luò)進(jìn)行攻擊,從而竊取或篡改復(fù)雜網(wǎng)絡(luò)中的信息,最終導(dǎo)致信息泄露,甚至丟失[1]。為降低非法用戶入侵風(fēng)險(xiǎn),提出了復(fù)雜網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)檢測(cè)算法?,F(xiàn)有的網(wǎng)絡(luò)入侵檢測(cè)算法多以被動(dòng)檢測(cè)為主,例如,基于特征選取與樹狀Parzen估計(jì)的入侵檢測(cè)、基于內(nèi)外卷積網(wǎng)絡(luò)的入侵檢測(cè)和基于膠囊網(wǎng)絡(luò)的入侵檢測(cè)。在實(shí)際運(yùn)行過程中,上述入侵風(fēng)險(xiǎn)檢測(cè)算法的檢測(cè)對(duì)象主要為遠(yuǎn)距離入侵風(fēng)險(xiǎn),對(duì)近鄰入侵風(fēng)險(xiǎn)的檢測(cè)精度較低,其主要原因是近鄰入侵具有較高的隱匿性。
本文針對(duì)現(xiàn)有的復(fù)雜網(wǎng)絡(luò)近鄰入侵風(fēng)險(xiǎn)檢測(cè)存在的問題,引入?yún)^(qū)塊鏈概念對(duì)檢測(cè)方法進(jìn)行優(yōu)化設(shè)計(jì)。區(qū)塊鏈的每一個(gè)節(jié)點(diǎn)都具有天然的安全保護(hù)功能,利用一個(gè)共識(shí)安全機(jī)制來抵抗少量的惡意節(jié)點(diǎn),區(qū)塊鏈的安全性是可伸縮的,可以和其他的安全技術(shù)相結(jié)合應(yīng)用到復(fù)雜網(wǎng)絡(luò)近鄰入侵風(fēng)險(xiǎn)檢測(cè)算法的優(yōu)化設(shè)計(jì)工作中,能夠應(yīng)對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境下的入侵檢測(cè)問題,強(qiáng)化節(jié)點(diǎn)之間的通信并提升整個(gè)網(wǎng)絡(luò)的增益,保證復(fù)雜網(wǎng)絡(luò)的數(shù)據(jù)存儲(chǔ)安全。
優(yōu)化設(shè)計(jì)復(fù)雜網(wǎng)絡(luò)近鄰入侵風(fēng)險(xiǎn)檢測(cè)算法的工作原理為:在復(fù)雜網(wǎng)絡(luò)環(huán)境下,根據(jù)近鄰入侵攻擊程序的作用流程,分別從網(wǎng)絡(luò)節(jié)點(diǎn)脆弱度和網(wǎng)絡(luò)異常運(yùn)行程度2個(gè)方面著手,其中以對(duì)復(fù)雜網(wǎng)絡(luò)節(jié)點(diǎn)脆弱度的測(cè)量結(jié)果作為選擇區(qū)塊鏈的依據(jù),進(jìn)而得出復(fù)雜網(wǎng)絡(luò)近鄰入侵風(fēng)險(xiǎn)檢測(cè)指標(biāo)的具體取值,通過對(duì)多個(gè)風(fēng)險(xiǎn)指標(biāo)的度量,判斷當(dāng)前復(fù)雜網(wǎng)絡(luò)是否存在近鄰入侵風(fēng)險(xiǎn),并將入侵類型、風(fēng)險(xiǎn)值等信息作為檢測(cè)結(jié)果進(jìn)行輸出。
復(fù)雜網(wǎng)絡(luò)由服務(wù)器、網(wǎng)關(guān)、多層次節(jié)點(diǎn)等部分組成,假設(shè)復(fù)雜網(wǎng)絡(luò)中的節(jié)點(diǎn)數(shù)量為N,復(fù)雜網(wǎng)絡(luò)環(huán)境中存儲(chǔ)的資源集合為Z,網(wǎng)絡(luò)節(jié)點(diǎn)的連接方式對(duì)網(wǎng)絡(luò)資源進(jìn)行分配,并計(jì)算復(fù)雜網(wǎng)絡(luò)中任意節(jié)點(diǎn)的權(quán)重值。
(1)
式中:Zi為第i個(gè)節(jié)點(diǎn)分配的資源量;γ為節(jié)點(diǎn)在網(wǎng)絡(luò)中的占據(jù)率[2]。構(gòu)建的復(fù)雜網(wǎng)絡(luò)模型具有小世界特性,即滿足如下條件:
(2)
式中:κc和L分別為復(fù)雜網(wǎng)絡(luò)中的特征路徑長度和聚類系數(shù);β為每個(gè)節(jié)點(diǎn)的平均度數(shù)[3]。將復(fù)雜網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)的工作原理以量化形式進(jìn)行描述,將其與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行融合,構(gòu)建出復(fù)雜網(wǎng)絡(luò)數(shù)學(xué)模型。
在構(gòu)建的復(fù)雜網(wǎng)絡(luò)數(shù)學(xué)模型下,模擬近鄰入侵過程,并確定不同近鄰入侵作用下復(fù)雜網(wǎng)絡(luò)的運(yùn)行特征。復(fù)雜網(wǎng)絡(luò)入侵可以分為口令入侵、特洛伊木馬、WWW欺騙、節(jié)點(diǎn)攻擊等多種類型。特洛伊木馬近鄰入侵通常是以一種軟件或其他形式來引誘使用者,當(dāng)使用者打開該電子郵件的附件或執(zhí)行該程序后,便會(huì)一直暫存在網(wǎng)絡(luò)節(jié)點(diǎn)里,并在網(wǎng)絡(luò)節(jié)點(diǎn)里偷偷地運(yùn)行該程序[4]。當(dāng)入侵信息得到局部平穩(wěn)時(shí),網(wǎng)絡(luò)入侵信號(hào)可以描述為:
(3)
式中:n為采樣點(diǎn)編號(hào);c、A和φ(n)分別為尺度參數(shù)、近鄰入侵信號(hào)幅值和相位。同理,可以得出復(fù)雜網(wǎng)絡(luò)中其他近鄰入侵類型的原理,并確定i類入侵類型作用下,復(fù)雜網(wǎng)絡(luò)的運(yùn)行特征,將其標(biāo)記為φ(i)。
在構(gòu)建的復(fù)雜網(wǎng)絡(luò)數(shù)學(xué)模型下,對(duì)各個(gè)傳輸信道中的運(yùn)行數(shù)據(jù)進(jìn)行實(shí)時(shí)挖掘[5]。任意時(shí)刻挖掘的復(fù)雜網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)可以表示為:
(4)
圖1 復(fù)雜網(wǎng)絡(luò)數(shù)據(jù)的區(qū)塊鏈反向鏈?zhǔn)浇Y(jié)構(gòu)
在實(shí)時(shí)運(yùn)行數(shù)據(jù)的挖掘過程中,應(yīng)對(duì)相應(yīng)的區(qū)塊鏈進(jìn)行同步更新。根據(jù)復(fù)雜網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行數(shù)據(jù)的挖掘結(jié)果,利用區(qū)塊鏈技術(shù)考慮節(jié)點(diǎn)主體和路徑2個(gè)方面,計(jì)算出復(fù)雜網(wǎng)絡(luò)中任意節(jié)點(diǎn)的脆弱度為:
(5)
式中:?1和?2分別為節(jié)點(diǎn)主體和傳輸路徑對(duì)應(yīng)的權(quán)重值;χs和χr分別為復(fù)雜網(wǎng)絡(luò)節(jié)點(diǎn)主體和路徑的風(fēng)險(xiǎn)值[7]。其中變量χs的具體取值可以表示為:
χs=σ(X-Xn)。
(6)
式中:Xn為無入侵攻擊狀態(tài)下復(fù)雜網(wǎng)絡(luò)節(jié)點(diǎn)的運(yùn)行數(shù)據(jù);σ為比例系數(shù)。按照上述方式可以得出節(jié)點(diǎn)脆弱度度量過程中所有變量的具體取值,并代入到式(5)中,得出復(fù)雜網(wǎng)絡(luò)節(jié)點(diǎn)脆弱度的計(jì)算結(jié)果。
設(shè)置的復(fù)雜網(wǎng)絡(luò)近鄰風(fēng)險(xiǎn)檢測(cè)指標(biāo)除節(jié)點(diǎn)脆弱度外,還包括近鄰攻擊強(qiáng)度、傳輸信息增益等,其中近鄰攻擊強(qiáng)度檢測(cè)指標(biāo)的度量過程如下:
(7)
式中:W為信號(hào)能量總和;t0為復(fù)雜網(wǎng)絡(luò)的初始運(yùn)行時(shí)間;rect()取值為1[8]。另外,傳輸信息增益指標(biāo)為:
(8)
綜合考慮區(qū)塊鏈技術(shù)下復(fù)雜網(wǎng)絡(luò)節(jié)點(diǎn)脆弱度和近鄰入侵風(fēng)險(xiǎn)檢測(cè)指標(biāo)的計(jì)算結(jié)果,從近鄰入侵類型、入侵風(fēng)險(xiǎn)概率、入侵次數(shù)等方面,得出復(fù)雜網(wǎng)絡(luò)近鄰入侵風(fēng)險(xiǎn)的檢測(cè)結(jié)果[9]。復(fù)雜網(wǎng)絡(luò)近鄰入侵類型的檢測(cè)就是相關(guān)特征的匹配過程,具體的匹配過程可以量化表示為:
(9)
式中,φt為復(fù)雜網(wǎng)絡(luò)在t時(shí)刻的綜合運(yùn)行特征,該參數(shù)的具體取值由多個(gè)風(fēng)險(xiǎn)檢測(cè)指標(biāo)決定。最終得出入侵風(fēng)險(xiǎn)類型匹配度計(jì)算結(jié)果μ高于閾值μ0,則判定當(dāng)前復(fù)雜網(wǎng)絡(luò)的近鄰入侵類型與φ(i)一致,否則進(jìn)行下一標(biāo)準(zhǔn)特征的匹配,直至得出入侵風(fēng)險(xiǎn)類型為止[10]。入侵風(fēng)險(xiǎn)概率的檢測(cè)結(jié)果為:
(10)
式中:M為復(fù)雜網(wǎng)絡(luò)中的節(jié)點(diǎn)與傳輸路徑集合;Pnode(h)為任意節(jié)點(diǎn)或路徑h的入侵風(fēng)險(xiǎn)值,該變量的數(shù)值結(jié)果為:
Pnode(h)=Pr(h=True|ξ(T),?)。
(11)
式中:Pr為風(fēng)險(xiǎn)概率函數(shù);?為入侵狀態(tài)變量,可通過網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)偏差計(jì)算得出。將式(11)的計(jì)算結(jié)果代入到式(10)中,即可得出當(dāng)前復(fù)雜網(wǎng)絡(luò)近鄰入侵概率的檢測(cè)結(jié)果,并通過入侵概率與檢測(cè)標(biāo)準(zhǔn)的比對(duì)確定當(dāng)前網(wǎng)絡(luò)的近鄰入侵風(fēng)險(xiǎn)等級(jí)[11]。若檢測(cè)到當(dāng)前入侵概率高于0.8,則標(biāo)記1次入侵風(fēng)險(xiǎn),通過數(shù)據(jù)統(tǒng)計(jì)確定單位時(shí)間內(nèi)復(fù)雜網(wǎng)絡(luò)的入侵次數(shù)。最終將入侵類型、概率、次數(shù)等檢測(cè)數(shù)據(jù)以可視化的形式輸出,完成復(fù)雜網(wǎng)絡(luò)近鄰入侵風(fēng)險(xiǎn)的檢測(cè)工作。
為了測(cè)試優(yōu)化設(shè)計(jì)的基于區(qū)塊鏈的復(fù)雜網(wǎng)絡(luò)近鄰入侵風(fēng)險(xiǎn)檢測(cè)算法的檢測(cè)性能,在4核心中央處理單元、8 GB內(nèi)存的實(shí)驗(yàn)環(huán)境中,采用對(duì)比測(cè)試方式、設(shè)計(jì)性能測(cè)試實(shí)驗(yàn),通過與傳統(tǒng)復(fù)雜網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)檢測(cè)算法的對(duì)比,體現(xiàn)出優(yōu)化設(shè)計(jì)算法在性能方面的優(yōu)勢(shì)。
此次實(shí)驗(yàn)選擇某復(fù)雜通信網(wǎng)絡(luò)作為近鄰入侵風(fēng)險(xiǎn)檢測(cè)對(duì)象,該復(fù)雜網(wǎng)絡(luò)由通信服務(wù)器、網(wǎng)關(guān)、路由器、4個(gè)Sink節(jié)點(diǎn)和20個(gè)通信節(jié)點(diǎn)組成,復(fù)雜通信網(wǎng)絡(luò)的節(jié)點(diǎn)拓?fù)溥B接結(jié)構(gòu)如圖2所示。
圖2 復(fù)雜通信網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)
由圖2可知,復(fù)雜網(wǎng)絡(luò)中的通信節(jié)點(diǎn)與Sink節(jié)點(diǎn)相連,再由Sink節(jié)點(diǎn)與路由器相連,實(shí)現(xiàn)硬件設(shè)備的連接。除此之外,復(fù)雜網(wǎng)絡(luò)中任意2個(gè)通信節(jié)點(diǎn)均可通過無線信道實(shí)現(xiàn)信息傳輸[12]。為保證復(fù)雜網(wǎng)絡(luò)的安全運(yùn)行,在網(wǎng)絡(luò)服務(wù)器中裝設(shè)V5S防火墻,采用TCP/IP協(xié)議作為網(wǎng)絡(luò)傳輸協(xié)議。
利用Blade IDS Informer V4.0軟件編寫復(fù)雜網(wǎng)絡(luò)的近鄰入侵攻擊程序,可生成超過600種不同類型的攻擊數(shù)據(jù)。在Blade IDS Informer V4.0軟件的支持下,編寫特洛伊木馬入侵、高級(jí)持續(xù)性威脅入侵(簡(jiǎn)稱APT入侵)、欺騙入侵、主機(jī)模擬入侵和暴力入侵5種類型的攻擊程序,各攻擊程序的運(yùn)行參數(shù)如表1所示。
表1 近鄰入侵攻擊程序運(yùn)行參數(shù)
實(shí)驗(yàn)共設(shè)置近鄰入侵攻擊程序500個(gè),并以用例形式進(jìn)行實(shí)驗(yàn)標(biāo)記。在編寫程序時(shí)加入2個(gè)強(qiáng)制中斷指令,通過中斷指令的啟停,保證復(fù)雜網(wǎng)絡(luò)不會(huì)同時(shí)受到多種入侵程序的攻擊。
在復(fù)雜網(wǎng)絡(luò)環(huán)境下,同時(shí)啟動(dòng)編寫的近鄰入侵攻擊程序和數(shù)據(jù)采集程序,得出實(shí)驗(yàn)數(shù)據(jù)樣本結(jié)果。圖3為1號(hào)攻擊程序下復(fù)雜網(wǎng)絡(luò)流量數(shù)據(jù)樣本的準(zhǔn)備情況。
圖3 復(fù)雜網(wǎng)絡(luò)流量數(shù)據(jù)樣本波形圖
復(fù)雜網(wǎng)絡(luò)數(shù)據(jù)樣本的收集時(shí)長為50 min,除流量數(shù)據(jù)外還需要收集網(wǎng)絡(luò)日志數(shù)據(jù),根據(jù)數(shù)據(jù)采樣時(shí)間形成不同攻擊程序下的數(shù)據(jù)樣本子集,每個(gè)數(shù)據(jù)子集大小約為32 GB。
由于優(yōu)化設(shè)計(jì)復(fù)雜網(wǎng)絡(luò)近鄰入侵風(fēng)險(xiǎn)檢測(cè)算法應(yīng)用了區(qū)塊鏈技術(shù),因此在實(shí)驗(yàn)開始之前,首先將準(zhǔn)備的數(shù)據(jù)樣本轉(zhuǎn)換成區(qū)塊鏈形式。在配置的實(shí)驗(yàn)環(huán)境下,實(shí)現(xiàn)基于區(qū)塊鏈的復(fù)雜網(wǎng)絡(luò)近鄰入侵風(fēng)險(xiǎn)檢測(cè)算法的開發(fā)與運(yùn)行,經(jīng)過節(jié)點(diǎn)脆弱度計(jì)算、近鄰風(fēng)險(xiǎn)檢測(cè)指標(biāo)求解等步驟,得出復(fù)雜網(wǎng)絡(luò)近鄰入侵風(fēng)險(xiǎn)的檢測(cè)結(jié)果。圖4為1號(hào)攻擊程序下優(yōu)化設(shè)計(jì)算法的輸出結(jié)果。
圖4 復(fù)雜網(wǎng)絡(luò)近鄰入侵風(fēng)險(xiǎn)檢測(cè)結(jié)果
同理可以得出其他攻擊程序下的風(fēng)險(xiǎn)檢測(cè)結(jié)果。設(shè)置本文算法與傳統(tǒng)的基于特征選取與樹狀Parzen估計(jì)的入侵檢測(cè)算法(算法1)和基于內(nèi)外卷積網(wǎng)絡(luò)的網(wǎng)絡(luò)入侵檢測(cè)算法(算法2)進(jìn)行對(duì)比,完成對(duì)比算法的開發(fā),并重復(fù)上述操作得出對(duì)比算法輸出的風(fēng)險(xiǎn)檢測(cè)結(jié)果。
為實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)檢測(cè)性能的量化測(cè)試與對(duì)比,設(shè)置風(fēng)險(xiǎn)值檢測(cè)誤差和風(fēng)險(xiǎn)類型誤檢率作為算法的測(cè)試指標(biāo),其中風(fēng)險(xiǎn)值檢測(cè)誤差的數(shù)值結(jié)果為:
εrisk=|Pnet-Pset|。
(12)
式中:Pset為復(fù)雜網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)的實(shí)際值,可根據(jù)攻擊程度的設(shè)置情況直接得出;Pnet為算法輸出的入侵風(fēng)險(xiǎn)值。另外入侵風(fēng)險(xiǎn)類型誤檢率的測(cè)試結(jié)果為:
(13)
式中,nM和nall分別為入侵風(fēng)險(xiǎn)類型檢測(cè)錯(cuò)誤的用例數(shù)量以及實(shí)驗(yàn)中設(shè)置的用例總量。最終測(cè)試得出:風(fēng)險(xiǎn)值檢測(cè)誤差越小、風(fēng)險(xiǎn)類型誤檢率越低,說明對(duì)應(yīng)算法的檢測(cè)性能越優(yōu)。
經(jīng)過相關(guān)數(shù)據(jù)的統(tǒng)計(jì),得出復(fù)雜網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)值檢測(cè)誤差的測(cè)試結(jié)果,如表2所示。
表2 復(fù)雜網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)值檢測(cè)誤差測(cè)試數(shù)據(jù)
將表2中的數(shù)據(jù)代入到式(12)中,計(jì)算得出2種對(duì)比算法的平均入侵風(fēng)險(xiǎn)值檢測(cè)誤差分別為0.064和0.036,而本文算法的風(fēng)險(xiǎn)值檢測(cè)誤差平均值為0.006。通過式(13)的計(jì)算,得出3種風(fēng)險(xiǎn)檢測(cè)算法入侵類型誤檢率的測(cè)試對(duì)比結(jié)果,如圖5所示。
圖5 復(fù)雜網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)類型誤檢率測(cè)試對(duì)比結(jié)果
從圖5可以看出,本文算法的風(fēng)險(xiǎn)類型誤檢率始終低于2種對(duì)比算法,誤檢率下降約18%。
在此次研究中,應(yīng)用區(qū)塊鏈及其相關(guān)技術(shù)對(duì)復(fù)雜網(wǎng)絡(luò)近鄰入侵風(fēng)險(xiǎn)檢測(cè)算法進(jìn)行優(yōu)化設(shè)計(jì),為網(wǎng)絡(luò)節(jié)點(diǎn)脆弱度的計(jì)算提供技術(shù)支持,間接地提升算法的風(fēng)險(xiǎn)檢測(cè)性能。實(shí)驗(yàn)結(jié)果表明,本文算法的誤檢率更低,具有更高的檢測(cè)性能,即應(yīng)用價(jià)值更高。