基于Perti網的移動Ad Hoc網絡改進攻擊網建模方法研究

樂成利，高秀峰

(陸軍工程大學石家莊校區， 石家莊 050003)

基于模型的評估方法的關鍵是對網絡攻擊的建模[1]。網絡攻擊建模方法研究的主要內容是用科學的方法來描述網絡攻擊行為。從當前來看，國內外在移動Ad Hoc網絡攻擊建模領域開展研究比較多的一種方法是攻擊網建模方法。攻擊網的優勢在于以Petri網理論做強大的理論背景，可以較好地表示攻擊所處的狀態、攻擊的動作、以及攻擊的進展，尤其適合描述自動攻擊控制。但也存在明顯不足，那就是，攻擊網是站在攻擊者的角度建立的，沒有將網絡的拓撲結構納入模型，因而評估工作并不全面。本文將對基本的攻擊網進行改進，旨在研究一種更加高效的模型來描述移動Ad Hoc 網絡攻擊，并用仿真實驗來檢驗模型效果。

1 移動Ad Hoc 網絡攻擊

無線自組織網絡(Ad Hoc網絡)作為一種新型的移動多跳無線網絡[2]，它不依賴于任何固定的基礎設施和管理中心，而是通過傳輸范圍有限的移動節點間的相互協作和自我組織來保持網絡連接和實現數據的傳遞。它與固定網絡有著明顯的不同。在固定網絡中，敵方需搭接電纜才能偷聽,需要尋找防火墻或網關的漏洞才能訪向內部資源。但對于無線自組織網絡，無線信道使得竊聽隨處可以存在，節點的移動性使得敵我雙方無邊界，防火墻也無法應用。加之，移動Ad Hoc網絡拓撲結構隨節點移動而動態變化，其安全問題更加嚴峻[3]，更容易遭受各種攻擊，如竊聽、偽造身份、重放、篡改報文和拒絕服務等。

在移動Ad Hoc網絡中[4]，攻擊者可以攻擊合法節點，將其俘獲后為己所用，也可以直接攻擊網絡，使網絡提供的服務不可用。根據攻擊的來源，可將移動Ad Hoc網絡攻擊分為外部攻擊和內部攻擊。外部攻擊本質上是主動攻擊，由網絡外部的惡意節點發起的攻擊。內部攻擊則是通過俘獲節點或向網絡中注入惡意節點，從網絡的內部發起的攻擊,由于網絡內部的節點本身就擁有一部分的安全權限，可以繞過很多安全機制，因此內部攻擊的破壞性比外部攻擊更大,檢測難度也更大。從攻擊方式來看，攻擊還可劃分為被動攻擊和主動攻擊。被動攻擊其目的是流量分析和竊取信息，不對網絡造成任何形式的干擾。主動攻擊則是攻擊者惡意篡改敏感數據，發布虛假的路由信息，這些攻擊，輕者可以耗費節點能量，從而減少網絡壽命，重者可以干擾到網絡的正常運行，讓網絡服務不可用。

在移動Ad Hoc網絡中[5]，攻擊者可以在各個協議層發起拒絕服務攻擊，比如在物理層和鏈路層，可以通過無線信號干擾來干擾通信信道；在網絡層，攻擊者則可以使用黑洞攻擊或者蟲洞攻擊騷擾路由回路，使網絡無法正常互聯互通。從當前研究來看，針對網絡層路由協議的攻擊也是一個熱門領域；在協議頂層，攻擊者還可以通過欺騙各種應用程序來禁用更高級別的服務。

2 基本的攻擊網模型

為了更好地共享安全知識,美國McDermott最早提出了基于Petri 網的攻擊網模型,使用Petri網來描述網絡攻擊行為。后來該模型被廣泛地應用于網絡攻擊分析和安全評估。

2.1 Petri 網簡介

Petri網是對離散并行系統的數學表示[6]。它是20世紀60年代由卡爾·A·佩特里發明的，適合于描述異步的、并發的計算機系統模型。Petri網既有嚴格的數學表述方式，也有直觀的圖形表達方式，既有豐富的系統描述手段和系統行為分析技術，是一種網狀圖形表示的系統建模方法。

經典的Petri網是簡單的過程模型，由兩種節點(庫所和變遷)，有向弧，以及令牌等4種不同元素組成的[7]。用圓形節點表示庫所(Place)，方形節點表示變遷(Transition)，有向弧(Connection)則是庫所和變遷之間的有向弧。根據傳輸方向不同，連接 Place和 Transition的有向弧又分為輸入和輸出有向弧,輸入有向弧從庫所指向變遷，輸出有向弧從變遷指向庫所。令牌(Token)是庫所中的動態對象，可以各個庫所之間進行移動。位于 Place中的令牌(Token)用“·”表示。在這里，Place表示系統狀態的邏輯描述,可擁有任意數量的令牌，令牌數量標志系統當前狀態。Transition表示系統中事件或行為的產生過程。如果一個變遷的每個輸入庫所(input place)都擁有令牌，那么該變遷即為被允許(enable)。一個變遷被允許時，變遷將發生(fire)，導致輸入庫所(input place)的令牌被消耗，同時令牌轉移到輸出庫所(output place)。圖1為一個 Petri網的例子。

圖1 經典Petri網模型

2.2 攻擊網模型

攻擊網是(Attack Net)基于Petri網而來，它是一個六元組AN=(S,M,F,W,P,S0)。其中S是攻擊狀態集，M表示攻擊方法集；S∩M=Φ，S∪M≠Φ，F為節點流關系集，也就是有向弧集，F包含于(S×M∪M×S)。W是攻擊方法的函數，W(A)用來度量攻擊方法的特性。用P來表示初始狀態分布。S0為初始攻擊狀態。攻擊網模型中用M來描述攻擊方法,主要解決的問題是一種攻擊方法滿足什么條件才可以成功實施。模型運行時的令牌的分布則描述了攻擊過程動態運行的全部過程。攻擊網將具體的網絡攻擊劃分為攻擊狀態、攻擊方法和當前攻擊的進程3個部分，正好分別對應了Petri網中的庫所、變遷和令牌3個要素，如圖 2所示。當攻擊進展到某一個狀態時，會檢測攻擊方法，如果符合條件，則攻擊向下一個狀態發展，從而完成了一次攻擊。用攻擊網表示以后，網絡攻擊行為是一個“狀態→攻擊方法→狀態”的持續進行的過程。攻擊方法的實施、攻擊狀態的判斷和攻擊的進展構成了網絡攻擊的完整過程。

圖2 獲得目標主機shell的攻擊網

與攻擊樹相比，攻擊網的節點比較容易擴展，原因在于，攻擊網對攻擊行為和結果進行了區分，通過變遷就能很好地描述攻擊樹中AND /OR節點所能表達的關聯，因而我們可以結合實際在不改變原有節點結構關系的前提下任意增加節點。在圖2中,假如要將社交工程作為攻擊者獲取密碼的一個選擇 (OR條件),可以添加一個新的變遷到“密碼知識”節點(深顏色方形)。AND條件則可通過將新的庫所附加到一個變遷上,如添加一個新節點“求解 /etc /password的哈希值”到“暴力猜解密碼”這個變遷上(深顏色圓形)。在最基本的 Petri網中,令牌之間沒有區別,在更高級的 Petri網中還可以給令牌著色進行區分,從而大大增強了攻擊網的描述能力。

攻擊網的理論背景是Petri網理論，它主要基于面向對象和事件的過程描述，可以高效地表示攻擊所處的階段、攻擊的行為動作以及攻擊的過程，具有強大的建模能力。可以說，在自動攻擊控制和描述協同攻擊方面，基于Petri 網的攻擊網模型具有特別的優勢。

2.3 當前的研究現狀

從上文可以知道，攻擊網模型主要描述了可以實施的各種攻擊方法之間的邏輯關系以及事件先后順序，刻畫了網絡攻擊的時序和過程特點。眾多學者和機構對基于Petri網的攻擊建模做了大量的研究，也取得了一些成果。通過引入博弈策略、信任關系規則、添加閾值和可信度參數以及優化評估算法等多種方式來提高模型的精度和描述能力，推進了建模技術的發展。羅森林等[8]以漏洞為基本研究對象，提出一種基于時間Petri 網的滲透測試攻擊模型構建方法，通過單漏洞利用模型整合成滲透測試攻擊模型。黃光球等[9]提出一種針對信任攻擊的面向對象Petri網建模技術，利用改寫后的信任關系重建規則定義信任攻擊 Petri網，模擬了信任攻擊的場景。吳迪等人提出一種基于著色 Petri網(CPN)的原子攻擊的建模方法，基于主機權限及主機脆弱性節點定義一個基本的原子攻擊的Petri網模型。李程瑜等[10]基于隨機Petri 網建立了DDoS攻防行為對抗網，在綜合考慮攻防行為收益和攻防行為強度兩方面因素之后，提出了把攻防穩態概率作為攻防行為評估的依據，利用攻防博弈策略求解方法對其建立的DDoS 攻防行為對抗網進行穩態分析和仿真評估。

3 攻擊網的改進

基于Petri網理論的攻擊網建模技術，較好地解決了單一建模技術無法準確描述當前復雜的網絡攻擊場景的局限，可用于描述和分析大型、復雜系統中異步、并發和資源競爭等問題，已成為目前最有價值的建模工具。但是也存在不少問題和缺點，比如攻擊網建模是單純站在攻擊者的角度評估的，忽略了對手也就是網絡防御者的能力水平，也沒有將網絡的拓撲結構考慮其中。因此可以考慮將攻擊網和攻擊圖的優點進行結合。

3.1 攻擊網的主要改進

改進1考慮防御一方因素。為了克服僅僅站在攻擊者角度評估不全面的問題，在對節點參數標準進行賦值時增加防御者的水平能力這一選項，這樣補充后的節點參數賦值應該包括：攻擊需要的時間TTL(Time-To-Live),攻擊成功的概率(probability)，期望達到的損害程度(damage)，攻擊者需要的技術能力(skills),以及防御者的水平能力(defensibility)。

改進2考慮網絡拓撲結構。攻擊網在設計建模的時候，并沒有考慮到被攻擊網絡的拓撲結構，或者說，攻擊者可能并不掌握這些情況。為了更好地評估每次的攻擊效果，在用Petri網對網絡攻擊事件和行為進行建模描述時，可以在子節點對應的屬性參數中加入相鄰節點的路由信息(routing)，這樣會大大促進對攻擊效果的科學客觀評估。

3.2 評價指標的選擇

改進后的攻擊網應該包含6個關鍵的參數，它們是攻擊需要的時間TTL(Time-To-Live),攻擊者需要的技術能力(skills),相鄰節點的路由信息(routing)，攻擊成功的概率(probability)，期望達到的損害程度(damage)，以及防御者的水平能力(defensibility)等。其中，前4個參數(TTL、skills、routing、probability)是網絡攻擊能夠成功實現的前提。后面兩個參數：期望達到的損害程度(damage)和防御者的水平能力(defensibility)，則用來描述攻擊結果。研究表明，傳統的 CBR 或 Poisson 流量模型并不能反映具有自相似特性的實際突發網絡流量。移動Ad Hoc網絡的攻擊流量是自相關的，攻擊網的評價指標參數之間并不是獨立的，存在一定的相關性。因此，攻擊效果評估應該建立在能反映真實的網絡流量特征的模型上。這里選取的攻擊網參數應該盡量符合客觀實際。

1) TTL：該屬性定義了一個網絡攻擊事件或者過程完成所需要的時間開銷。例如黑客攻擊網絡以達到拷貝核心電子文檔的最終目的，首先需要繞過系統的安全認證進入到系統，然后是獲得相關讀寫權限，最后才是拷貝轉移資料。這一套流程有一個時間上限，他必須限時完成，否則會被防御者采取必要措施導致攻擊無法繼續下去，攻擊將宣告失敗。

2) probability：攻擊成功的概率取決于每一個子任務的完成情況，如果假定各個子任務是互相獨立的，那么就可以用子任務成功概率相乘得到總攻擊成功的概率。為了分析更精準，這里還有考慮條件概率。

3) skills：用skills參數來表示攻擊者要實施一次攻擊所必需的知識儲備和技能經驗。攻擊時間TTL與skills參數是負相關性，攻擊者素質越高能力越強，所花費的攻擊時間越短。如果攻擊者水平有限，他完成攻擊需要更多的時間，或者需要借助更多的外力支持才能成功。

4) defensibility：防御者的素質也是一個關鍵因素，對于攻擊者來說是一道阻力，會抵消攻擊的強度，與攻擊時間TTL則是正相關。在攻擊者技術能力(skills)和其他條件保持不變的情況下，防御者的水平能力(defensibility)越高，攻擊的時間TTL會越長，甚至導致攻擊無法完成。

5) damage：損傷程度。該參數用來評估攻擊實施后對攻擊目標帶來的損害程度。損害的結果可以有多種，比如系統硬件損壞、軟件癱瘓服務不可用或者重要敏感數據丟失等等。

6) routing：路由。由于節點存儲的路由信息較多，需要的是對網絡攻擊能起作用的這一類路由。因此，關于路由信息的量化，可以用移動節點間的連接強度也就是經由該路由攻擊能夠成功的概率來表示。比如某節點存儲有若干條路由信息，則只需要計算出每條路由信息能夠助力攻擊成功的概率即可。

經過改進后的攻擊網，可以用一個七元組進行定義：

G=(S,τ，R，F，S0,D,SS)，其中，S是攻擊狀態(庫所)的集合，S0是攻擊初始狀態的集合，SS是成功狀態的集合。S=S0∪S1∪S2∪…∪SS；τ表示變遷關系(transition relation)且包含于(S×SS)，是攻擊行為方法的集合；R：τ→[0,1]是節點上保存相鄰節點路由信息的集合,用移動節點間的連接強度也就是經由該路由攻擊能夠成功的概率來表示，并有R1+R2+R3+…+Rn=1；F表示有向弧，F包含于(I×O∪O×I)，其中I×O是庫所到變遷的有向弧，O×I是變遷到庫所的有向弧；D表示防御者的水平能力的集合，也可以是攻擊目標的安全防護措施，D={D1，D2，D3，…,DN}。

攻擊網的節點對應的是一個可能的攻擊狀態，節點內容通常包括系統信息、訪問權限、防御者的水平能力和攻擊的損害程度等等。攻擊者在對預定目標發起攻擊時，除了要考慮自身的準備條件，也要衡量被攻擊者的防御能力，以及網絡拓撲對攻擊順序的影響。據此，首先分別構建基于攻擊視角的Petri網(圖3)和基于防御視角的Petri網(圖4)，然后再結合攻防對抗過程將兩者組合，這樣就得到了一個完整的改進攻擊網(圖5)。

圖3 基于攻擊視角的Petri網

圖4 基于防御視角的Petri網

4 黑洞攻擊的建模分析

黑洞攻擊本質上是一種拒絕服務攻擊，主要針對移動Ad Hoc網絡的按需路由協議，比如AODV協議[11]。一般來說，黑洞攻擊分被動型和主動型兩種。兩者的共性都是攻擊網絡數據，攻擊者轉發經過自己的路由報文，但丟棄所有的數據報文。這樣，攻擊者所在的節點“吃掉”了所有的數據包，變成了網絡中的黑洞。常見的黑洞攻擊都是被動型的，僅僅對網絡拓撲發起攻擊，存在一定的局限性，有時不一定成功。主動型的黑洞則向網絡中注入虛假路由信息，其攻擊危害更大。其基本原理是：在路由查詢中，攻擊者在自身沒有到目標節點的路由情況下進行路由欺騙，搶先發布虛假消息，聲稱有到達目標節點的路由，使源節點建立通過該節點的路徑，在隨后的報文發送環節卻并不作為，而是拋棄通過該節點的報文，形成拋棄報文的黑洞。本文主要研究被動型的黑洞攻擊。下面是一個常規的被動黑洞攻擊的例子，如圖6所示。

圖5 改進后的攻擊Petri網

圖6 被動黑洞攻擊實例演示

假設P為黑洞節點，源節點S到目標節點D的給定路由是S→1→P→3→D。當節點P發動攻擊時，經過節點P的所有數據報文都會被拋棄，源節點S與目標節點D無法正常通信。接著，源節點S啟動路由發現功能進行廣播RREQ，節點P又出現在S到D的有效路由鏈路上。然后源節點S再次發送數據報文給D，中途又被節點P拋棄。節點P就像幽靈一樣，在暗中實施破壞行為。還有更高級的多個惡意節點聯合起來發動黑洞攻擊，更難發現和檢測。可以說黑洞攻擊嚴重擾亂了網絡的正常運行。

黑洞攻擊行為和針對黑洞攻擊的防御行為共同構成了黑洞攻擊的完整過程，以下分別進行描述。

4.1 攻擊行為分析

1) 路由請求階段。當源節點S需要發送通信數據時，會通過廣播泛洪的方式向網絡中的所有節點發送路由請求信息RREQ來定位目標節點D，以形成一條最優有效路由。如果在規定的存活時間TTL沒有收到路由應答，則表明目標節點不可達，也就無法發送通信數據。同時，源節點S的選擇原則是，最先回復可達路由信息將被優先采用。這個正好給攻擊者提供了可乘之機。

2) 路由應答階段。源節點S在全網發布路由請求信息RREQ后，只要是在有效的生存周期TTL中，網絡中的節點都可以收到該路由信息。正常的情況下，每個節點都會去查找自己的路由信息表然后客觀進行應答，如果存在達到目標節點D的路由則直接單播向源節點S響應，返回一個路由應答分組RREP，告知源節點通往目標節點的路徑，也不再廣播路由請求。如果節點路由表沒有可達路由，則繼續向相鄰節點廣播路由請求信息RREQ。黑洞攻擊者可以是網絡中的惡意節點，也可能是被敵方俘獲的我方合法節點。它收到源節點的路由請求后，會馬上進行路由應答RREP，聲稱自己有最短路由達到目標節點。具體情況如圖7所示。

圖7 被動黑洞攻擊流程

3) 數據發送階段分析.源節點廣播路由請求以后，會收到來自很多節點的路由應答數據，這里面既有正確的RREP報文也有攻擊者假冒的RREP報文。源節點S會按照最先收到RREP報文記錄的路由開始傳輸數據報文。如果這個最先收到的路由應答是攻擊者假冒的，那么源節點發送過去的數據報文無疑是進了黑洞，最終無法達到目標節點。

4.2 防御行為分析

黑洞攻擊尤其是主動型的黑洞攻擊，通過擾亂節點間的正常通信，進而對網絡拓撲進行攻擊，最終達到控制通信數據或者孤立網絡節點的目的。關于黑洞攻擊的防護，一些研究人員提出了多種解決辦法，大多數是利用基于加密算法的安全路由協議，該方法的成本較高，有的是冗余路由法，但是網絡延遲較大，還有的采用的是節點信用衡量法和watchdog方法等等，都存在一些缺點。綜合權衡，在此采用下游鄰居節點監視法對黑洞攻擊進行檢測及響應。

不難知道，黑洞攻擊防護的關鍵是及時找出惡意節點。由于無線網絡的信道是開放共享的，廣播報文時網絡中的節點可以互相了解對方發送的任何信息。因此，鄰居節點的作用非常關鍵。主要是分兩步。當源節點S啟動路由發現以后，鄰居節點A及時監測路由的下一跳節點B的行為，是否轉發了RREQ路由(或者回復RREP應答)，如果回復了路由應答或者沒有繼續轉發路由請求，可以初步標記該節點為可疑惡意節點并給予一次計數。當源節點S開始傳送數據報文時，鄰居節點A再次監測，看B是否轉發數據包(如果是則與緩存的數據包對比)，如果沒有轉發或者數據不一致，則繼續標記該節點為可疑惡意節點并給予新的一次計數。如果總計數超過預先規定的一個閾值N，A可以舉報節點B為惡意節點，并將此消息進行廣播。繼續采用上面的原理和方法，讓網絡中的鄰居節點互相監視，用B被舉報的次數來確定B的威脅程度X，當X大于預設的閾值X0時，基本可以認定B是黑洞節點，將其踢出當前網絡環境(圖8)。

圖8 節點A監測B的行為

4.3 攻擊建模與分析

利用改進后的攻擊網對黑洞攻擊進行建模，如圖9所示。嚴格意義上講，圖9是一個黑洞攻擊的完整圖，既包括攻擊一方的行為，也包含防御一方采取的措施，庫所P1、P2和P3右側的部分就是鄰居節點的監測過程。關于圖9各個庫所和變遷的具體含義用表1和表2表示。

圖9 用于攻擊數據的黑洞攻擊網

庫所含義P0黑洞節點準備發起攻擊,等待收取報文P1黑洞節點處于路由應答RREP狀態P2黑洞節點處于轉發路由請求RREQ狀態P3黑洞節點處于數據包攻擊狀態P4黑洞節點被標記為可疑惡意節點狀態P5黑洞節點處于轉發路由請求RREQ狀態P6黑洞節點完成攻擊數據包后的狀態P7黑洞節點再次被標記為可疑惡意節點狀態

表2 黑洞攻擊網變遷含義

4.4 參數量化和實驗仿真

根據上文，改進后的攻擊網包含6個關鍵的參數，它們是攻擊需要的時間TTL(Time-To-Live，簡寫TTL),攻擊者需要的技術能力(skills，簡寫ski),相鄰節點的路由信息(routing，簡寫rou)，攻擊成功的概率(probability，簡寫pro)，期望達到的損害程度(damage，簡寫dam)，以及防御者的水平能力(defensibility，簡寫def)，其中相鄰節點的路由信息(rou)和防御者的水平能力(def)是新增加的參數。為了盡可能得到最優量化結果，在此選用文獻[11]顏學峰等提出的改進差分進化算法優化模糊Petri網的方法來進行優化。同時，為了方便比較改進后的攻擊網建模與常規的攻擊網建模的不同效果，分兩次進行優化和仿真實驗，即改進后的攻擊網使用6個參數描述量化，常規的攻擊網使用4個參數來描述量化。下面是參數量化的過程和結果。仿真實驗統一在Matlab R2014a環境下進行。

改進后的攻擊網主要包括ttl，ski，rou，pro，dam，def這6個參數，并將6個參數總和作為總參數sum。將以上包含總參數sum在內的7種參數作為模型的輸入即Pi1～Pi7，對應專家系統中的命題d1～d7。將攻擊網的攻擊目標最后的損害類型(無損害，輕微損害，一般損害，嚴重損害，徹底損害)5種狀態作為模型的輸出即po1～po5，對應專家系統中的命題d8～d12，對應的輸出編碼值如表3所示。改進前的攻擊網沒有rou和def參數，其他描述過程類似，這里不再贅述。

文獻[12]提出的改進差分進化算法的不同之處在于，在種群優化過程中引入自適應變異算子，使算法在搜索初期保持較大的個體多樣性，在算法的后期降低變異率，該機制能夠避免早熟和局部收斂。同時，為了加快收斂速度和滿足所有輸入庫所權值之和等于1的要求，對實驗數據進行了歸一化處理：

表3 攻擊目標損害編碼值

表4 部分改進攻擊網參數樣本數據

按照文獻[11]的改進差分進化算法步驟進行參數的學習優化，并在Matlab編程仿真，可以得到相應的迭代次數與適應度精度曲線，如圖10、圖11所示。使用同樣的改進差分進化算法，改進前的攻擊網參數需要迭代62次左右達到最優值1 100×10-4，而改進后的攻擊網參數只需要迭代30次左右達到最優值0.5×10-4。通過圖像可以看出：改進后的攻擊網參數收斂速度更快，而且獲得的最優解的適應度精度更高。

為了進一步比較攻擊網改進前后的尋優性能，將目標函數的優化問題表述為：當算法迭代到i代時，攻擊時間TTL到達最小，同時攻擊成功的概率pro和期望達到的損害程度dam平方和到達最大。

圖10 改進前攻擊網優化參數仿真曲線

圖11 改進后攻擊網優化參數仿真曲線

實驗環境和條件不變，得出如圖12、圖13所示結果。從圖12、圖13不難看出，改進后的攻擊網尋優的迭代次數更少，而且得到的最優解更好，驗證了改進后的攻擊網模型對于評估網絡性能的提升。

圖12 改進前攻擊網目標最優解仿真曲線

圖13 改進后攻擊網目標最優解仿真曲線

5 結論

本文主要對移動Ad Hoc 網絡常規攻擊網建模進行改進，增加了網絡的拓撲結構和防御者的能力兩個要素，能夠最大限度發揮Petri網理論的優勢，攻擊網建模更加全面合理，也更有針對性。相對于改進前，攻擊建模評估更加精細和準確。收斂速度更快，獲得的最優值也更好，對于提升移動Ad Hoc網絡攻擊評估效果起到了較好的作用。