基于可信密碼模塊的網絡潛在攻擊挖掘研究

匡鳳飛，張德富

(1. 閩南科技學院，福建 泉州 362332；2. 廈門大學，福建 廈門 361005)

1 引言

根據國家互聯網信息中心公布的信息數據顯示，網絡攻擊的趨勢有所上升，其給互聯網用戶帶來巨大的潛在威脅，甚至會為用戶造成難以估計的損失[1]。為了使用戶能夠更加安全地應用計算機網絡，避免用戶受到網絡攻擊，對網絡中潛在網絡攻擊進行挖掘至關重要。

在此次研究中，根據可信密碼模塊提出了相應的網絡潛在攻擊挖掘方法。通過文獻研究可知，可信密碼模塊屬于硬件配置，它是基于國家密碼局自主加密算法構建[2-3]。平臺為用戶提供專屬私密存儲區，其實就是在硬盤上分出一部分區域來作為私密區域保證數據安全。在此次設計中，使用此模塊著重研究了網絡攻擊的原型，并將其應用在網絡攻擊的挖掘之中。同時，將異常檢測與濫用性檢測分開處理，提升攻擊挖掘結果的可靠性。通過將可信密碼模塊作為切入點，設計基于可信密碼模塊的網絡潛在攻擊挖掘方法，彌補目前使用中的網絡潛在攻擊挖掘方法的缺陷，提升用戶網絡的使用安全。

2 基于可信密碼模塊的網絡潛在攻擊挖掘方法設計

在此次研究展開前，首先對目前使用中的網絡潛在攻擊挖掘方法應用情況展開全面系統的分析，充分的研究了此方法的不足，并根據此不足之處展開此次設計，具體設計流程見圖1。

圖1 網絡潛在攻擊挖掘方法設計流程

根據上述設定的流程，應用可信密碼模塊作為網絡潛在攻擊挖掘的輔助性技術，彌補目前應用方法在使用中的不足，并提升網絡潛在攻擊挖掘能力。

2.1 構建可信密碼模塊管理器

此次設計將通過構建可信密碼模塊管理器，實現可信密碼模塊的使用。由于網絡結構較為復雜，且管理難度較大，原始的可信服務器無法為大量的網絡虛擬機提供可信服務。為對此功能展開優化，在此次設計中將設定多個處理芯片，優化管理器結構，并設定合理的管理方案。

此次設計的虛擬可信密碼模塊管理器是根據目前在其它網絡中使用的可信服務器優化而言，其中可信芯片虛擬化構架的主體部分。且大部分的實例都需要在非服務器的控制下完成基礎工作。在此次設計中將主要對vTCM實例[4-5]展開設計，并將其與虛擬管理器之間進行信息交互對應關聯，并為可信保障服務提供一定的信息基礎。在此次設計中將vTCM實例中，共設定兩部分，首先是實例中需要的數據信息，另一部分設定為實例的功能。在管理器的硬件設計中，需要對使用的芯片展開系統的選型，其主要部分由靜態數據組成，其中包含大部分的PCR值、密鑰、數據對象、計數器等。因此，在vTCM實例需要對數據展開處理，同時用于保存可信服務中的網絡狀態。通過文獻研究可知，vTCM實例的數據狀態翻譯了TCM實例中除了狀態數據外，還應包含相應的實例模塊中的所有對象，并完成功能調用。在此設計中的vTCM管理器內部構造設定如下。

圖2 vTCM管理器內部構造設定結果

在上述設定的vTCM管理器中，vTCM實例中所應用的功能，通過調用硬件中的TCM芯片完成所有功能，在某種程度上認為硬件TCM芯片是一種可共享的資源，如何解決TCM芯片的可信度是一種急需解決的問題。在網絡信息處理的過程中TCM芯片正在使用過程中，則當前的vTCM實例需要等待。如果在vTCM實例中的表示正在被TCM芯片處理，則需要驗證 vTCM管理器中的表示與vTCM實例的表示是否一致。如果一致的情況下可進行網絡信息傳輸與交換，如果不一致的情況，則需要展開相應的預警或是報錯，將當前的vTCM標識狀態進行更改，或設定為未使用狀態。通過上述設定，完成可信密碼模塊的基礎設計，并在此基礎上完成網絡潛在攻擊挖掘過程。

2.2 網絡信息相似度計算

根據上述設定的可信密碼模塊作為此次網絡潛在攻擊的挖掘基礎，在此次設計中將可信密碼模塊處理后的數據信息采用AP算法[6]的形式，計算其相似度，對可能為威脅信息的數據進行篩選。網絡數據具有多種相似度計算形式，為提升數據處理速度，采用距離測度的方式，完成此次研究的計算過程。設定處理后的數據集為A，在其中具有S個網絡數據樣本，每個數據樣本中包含P個屬性，則通過矩陣的形式可體現為

(1)

采用dij表示數據點ai與aj之間的距離，根據網絡數據特征，采用明氏距離計算兩數據點之間的距離，具體公式如下所示

(2)

通過此公式可得到數據組之間的距離，為提升相似度計算結果的精準度，將數據組細化為數據樣本ai與aj，則兩數據點之間的相似度計算公式可顯示為

(3)

根據上述公式。可將兩數據點之間的相似度進行計算，則數據之間的構造相似度矩陣可表示為

(4)

在此次設計中，使用Q(i，j)表示數據樣本ai與數據點aj之間的相似程度。對于任意一個數據樣本點ao，Q(o，o)表示此樣本點ao的偏向參數。通過文獻研究可知，偏向參數取值范圍越大，此樣本點成為此類數據的代表點可能性越大。在此類聚類算法的初始階段，將每個樣本點都視作網絡中的潛在威脅數據，每個數據樣本點成為潛在威脅數據代表數據的可能性均相同。因此，在上述中設定Q(o，o)的可能性取值均設為p，在一般的情況下，p值取為Q的中間值。通過上述公式可在眾多的數據中，對比數據之間的關系，提取出部分可能為潛在威脅的數據。

2.3 確定網絡潛在威脅數據

根據矩陣(4)提取出部分潛在威脅數據，在此部分數據中具有一定的吸引度與歸屬度[7-8]，通過公式可對其展開計算，并通過公式可表示為

U(i，o)=Q(o，o)-max{A(i，j)+Q(i，j)}

(5)

(6)

在上述公式中，式(5)表示數據的吸引度，式(6)表示數據的歸屬度，通過此兩個公式的計算可確定威脅數據點的代表性，并由此計算結果確定威脅數據的種類。在此部分計算結束后，需要對網絡數據進行更新，更新過程通過公式可表示為

Ui+1(i，o)=(1-β)U(i，o)+βUi-1(i，o)

(7)

Ei+1(i，o)=(1-β)E(i，o)+βEi-1(i，o)

(8)

在上式中，β表示阻尼函數，其取值區間在此次計算過程中設定為[0，1)。通過上述公式完成潛在威脅數據的挖掘部分。使用上述的挖掘成果，通過告警關聯技術構建網絡告警日志，并使用相應的技術，將其設定為整體的形式，以便于日后的研究與分析。在此次設計中，將告警信息的關聯性拓展能力作為告警日記[9-11]設定的主要要求，同時在保證告警日記合理性的同時，保證報警開銷具有一定的經濟性與告警的有效性。由于網絡潛在威脅數據具有一定的關聯性，因此需要使用神經網絡計算內容，將告警日記的相關內容進行連接，以此完成網絡潛在攻擊挖掘的整體過程。

對上述設定部分進行整合與分析，并將其與目前使用中的網絡潛在攻擊挖掘方法進行結合，至此，基于可信密碼模塊的網絡潛在攻擊挖掘方法設計完成。

3 實驗論證分析

3.1 實驗環境

在此次研究中，主要完成了基于可信密碼模塊的網絡潛在攻擊挖掘方法的設計過程。在此次實驗中，主要對文中設計方法的使用效果展開研究，同時將其與目前使用中的網絡潛在攻擊挖掘方法使用效果進行橫向對比。為了測定文中設計方法的使用效果與應用過程的合理性，在此實驗中將對文中設計方法與目前使用中的方法進行應用型實驗。在實驗的過程中，將實驗環境的技術參數設定如表所示。

表1 實驗環境技術參數

使用上述技術參數，完成實驗設備的選型與實驗平臺的組建，將實驗數據的存儲與處理使用MY SQL軟件作為數據庫，同時采用Python語言作為實驗開發語言完成實驗的處理與計算過程。將實驗網絡主要開發工具設定為PyCharm。并將實驗網絡設定為下述結構，提升實驗數據處理能力，便于操作。

圖3 實驗網絡架構設定結果

使用上述設定的網絡架構作為實驗的主要環境。在此次實驗中使用的數據集主要為網絡入侵挖掘檢測的權威數據集DAPPA，其來源于麻省理工學院的實驗室中，在此次實驗過程中選用編號為LLDOS 1.0的數據集作為測試數據，其中包含大量的典型網絡攻擊數據，符合此次研究的目的。通過上述部分，完成實驗過程。

3.2 實驗方案設計

在此次實驗過程中，首先從麻省理工學院獲取原始的實驗數據集，而后，使用對應的軟件對LLDOS 1.0數據集中的數據進行重放操作。此次使用的數據處理軟件為開源數據入侵檢測軟件，可以對數據流量分析，并對網絡數據包進行合理的處理，設定靈活的規則庫。而后，對數據集中的數據進行搜索與匹配，使用文中設計方法與目前使用中的挖掘方法對數據集中潛在的攻擊進行挖掘。

在此次實驗過程中，主要對文中設計方法與目前使用方法的無效警告消除情況、計算機CPU占用率以及挖掘時間展開對比。在此實驗中，主要通過數據包的增加過程，提升實驗的可靠性與真實性。

3.3 警告數量實驗結果分析

通過上述實驗結果可知，使用實驗中的方法后，無效數量都得到了一定的下降。但通過橫向對比可知，文中設計方法下降幅度更大。使用文中設計方法后，警報日志的數量由原始的1000下降到350條，無效警告消除率高達75%，其警告的正確率也達到了95%以上。相對于文中設計方法，目前使用的挖掘方法無效警告消除率相對較低，且警告的正確率沒有達到預定的高度。綜合上述實驗結果可知，在此指標的對比過程中文中設計方法優于目前使用中的方法。

圖4 警告數量實驗結果

3.4 計算機CPU占用率實驗結果

通過上述實驗結果可知，文中設計方法在使用中對于計算機CPU占用率較低，隨著數據量的不斷增加，文中設計方法的CPU占用率一直維持在一個水平線上，沒有出現大幅度的變化。使用目前應用中的估計挖掘方法出現CPU占用率激增的情況。同時，在數據量不斷增加的過程中，目前使用中的方法出現CPU占用率變化過快的問題。在實際的潛在攻擊挖掘過程中，計算機CPU占用率變化過快會造成系統崩塌的問題。因此，在日后的研究中應多采用文中設計方法作為主要的處理方案，以此保證計算機網絡的穩定性。

圖5 計算機CPU占用率

3.5 潛在威脅挖掘時間實驗結果

將講述兩部分實驗中消耗的時間作為此部分實驗指標對比內容，通過上述數據可以看出，文中設計方法在對網絡潛在攻擊進行挖掘時，所消耗的時間較短。隨著數據量的不斷增加，文中設計方法在進行攻擊挖掘的過程中保持較好穩定性，沒有出現挖掘時間波動的問題。但相對于文中設計方法，目前在使用過程中的方法在數據量不斷在增加的過程中出現消耗時間過長的問題。由此可見目前使用中的方法對于潛在威脅挖掘效率不高，在此實驗指標的對比過程中，文中設計方法優于目前使用中的方法。

將警告數量實驗結果、計算機CPU占用率實驗結果以及潛在威脅挖掘時間實驗結果綜合分析可知文中設計方法的使用效果優于目前使用中的方法。在網絡安全研究方面可使用文中設計方法作為日后網絡防護方法設計的基礎。

圖6 潛在威脅挖掘時間實驗結果

4 結束語

目前，可信密碼模塊成為信息安全研究中的熱點問題。在此次研究中，總結了目前網絡潛在攻擊挖掘方法在使用中的不足，實驗結果表明，警報日志的數量由原始的1000下降到350條，無效警告消除率高達75%，其警告的正確率也達到了95%以上，CPU占用率一直維持在一個水平線上，挖掘時間未出現波動，本文將可信密碼模塊作為網絡潛在攻擊數據挖掘的基礎，力求達到一種更加有效的方法，為廣大網絡用戶提供更加有效的網絡安全保護技術。