基于認證協議的層次化網絡威脅態勢防御仿真

葉開珍

(廣州大學松田學院，廣東 廣州 511370)

1 引言

隨著計算機技術的不斷發展，已呈現信息全球化趨勢。因網絡具有開放性、互連性等特點，容易受到惡意入侵及軟件的攻擊威脅。因此，提高網絡安全[1]防御能力，解決不同威脅事件，保證網絡數據信息的完整性和可用性勢在必行。安全協議是網絡防御系統的基礎。近年來，網絡協議為服務器和網絡提供了一定的保護作用，但仍有惡意攻擊者竊取數據信息。網絡威脅態勢通常寄生于客戶端，在客戶端請求網絡之前就已經對數據進行了更改，或者替代初始用戶對服務器進行測試?；诖?，如何提高網絡威脅態勢防御能力，是現階段網絡安全研究的熱點問題。

為了保障我國鐵路通信系統的網絡安全，畢錦雄[2]等人提出了基于攻擊防御樹的態勢感知防御方法。首先，立足于通信網絡整體框架，使用故障分析方法，預測中斷通信故障對網絡造成的問題；其次，根據風險分析結果，擬合出惡意攻擊針對通信系統的威脅場景。最后，通過仿真結果表明該方法可應對大規模且針對性強的攻擊行為，有效的防御了網絡威脅行為。張連成[3]等人為了解決已有路徑跳變技術難度低，在抵抗全局接貨分析以及端址技術跳變跳變難、部署大的問題，提出了基于路徑與端址跳變的SDN網絡主動防御技術。首先，將路徑跳問題構建為約束求解模型，利用可滿足性模理論對重復約束和容量約束的多條路徑求解。其次，根據特定跳變時隙向所選跳變路徑上的所有開放式交互發送對應的端址跳變流表項，在確保交互局正確轉發數據流的同時，更改端口與地址信息。最后，通過仿真結果表明；所提方法可提高SDN網絡對于全局截獲分析攻擊、拒絕服務與內部威脅的主動防御能力。

由于上述方法在對層次化網絡威脅態勢進行防御時，存在安全性能不穩定、耗時長的問題，本文提出了基于認證協議的層次化網絡威脅態勢防御仿真。使用認證協議驗證層次化網絡中的威脅粒子，結合重要性指標權重計算，獲取到最佳防御策略，最終通過仿真驗證了所提算法具有較高的防御能力。

2 網絡認證協議及層次化網絡結構

2.1 認證協議內容

網絡認證協議主要用于驗證用戶信息，對其發放會話密鑰，保障用戶隱私性。網絡環境具有開放性高、分布復雜的特點，使用其它協議會出現一些隱藏弊端，而這些隱藏弊端很難通過傳統檢測方法識別發現。然而認證議可為網絡提供可驗證性、高準確性的安全識別，除此之外，認證協議的無二義性可有效地對網絡威脅性質進行分析，因此，基于認證協議的網絡防御方式已被普遍應用。認證協議基本內容如圖1所示。

圖1 認證協議基本內容

由圖1認證協議基本內容可看出：認證協議的工作方式主要由主體序列、主體行為序列以及主體之間交互系列三部分構成。同時，也可將協議抽象成一個主體序列，其中包含威脅態勢發起者、響應者等，將主體序列看作成為有限事件序列，主要對主體接收或發消息行為的通信行為進行描述，或描述對主體安全預期的屬性事件數值。由此可見，網絡安全認證協議，實際就是對初始事件序列進行k_set實例化處理，根據認證相關規定采取對應行為的內容。

2.2 層次化網絡結構

層次化網絡[4]結構可劃分為三個層次為：系統層次、主機層、服務層次，主機層為主要的網絡威脅對象，基本結構如圖2所示。

圖2 層次化網絡威脅結構

層次化網絡態勢指數指是全網在一定時間內遭受威脅攻擊時，數據信息的機密程度、完整程度以及可用性的損壞程度，可通過子層次指數加權量化獲得。

假設層次化網絡由n個子網[5]構成，權重值為βi=(1，2，…，n)，βi∈[0，1]且∑βi=1，則層次化網絡的態勢計算方程如式(1)所示，取值范圍為[0，1]。

(1)

3 層次化網絡威脅態勢防御

3.1 網絡威脅態勢識別

計算機系統中的層次化網絡具有動態變化大且復雜的特點，在任意時間段內，系統都存在與之對應的某種狀態，其中，來自內部或者外部的威脅攻擊行為，逐漸降低了系統安全指數。一次有目的的威脅入侵，需要一系列的連續攻擊完成，威脅態勢可被分解成在有限次數下，有聯系的狀態遷移，達到終止狀態時結束。因此，本文在認證協議下對層次化網絡威脅態勢進行防御，首先需識別出網絡威脅態勢。

假設層次化網絡中的實體數量為m，則的重要性[6]權重為

(2)

式(2)中，u代表權重系數，EVk代表向量空間ek的非重疊信息，AVm表示網絡數據總量[7]，利用重要性評估模型可得到

(3)

威脅態勢嚴重程度按照攻擊類別與優先級別[8]劃分為高、中、低三個標準，使用3、2、1代表。并利用貝葉斯計算威脅態勢成功率，獲取到威脅狀態、行為、目的、目標成功率，如下所示

pi(aijk)=pi(sj)×P(ajk);

(4)

其中，pi(aij)代表融合權重函數，P(ajk)表示隸屬度函數，pi(ak)是方差貢獻率。

3.2 網絡威脅態勢防御算法

本文基于認證協議的層次化網絡威脅態勢防御，使用加密算法[9]驗證身份信息，如表1所示，為計算過程中使用符號所表示的信息。

表1 計算過程中符號含義

首先，UE通過網絡安全信道向SeNB發送數據信息，SeNB在收到信息后，生成UE、p、Kpri以及Val的數據信息，通過實現數據共享[10]。

(5)

上述基于認證協議的加密算法在進行計算過程中，用戶信息在加密后發送到SeNB，確保了來自外部威脅因素入侵時，消息的安全性和隱私性。在上述式(1)至(5)中使用了PSO多路徑UE發送加密數據到SeNB。該方式通過模擬鳥類之間的集體協作覓食行為，使群體集合達到最佳目標。因PSO中的個體數量較少，因此計算過程簡潔，穩健性高，表現了認證協議在網絡防御的優越性。在PSO中，將可選的可行防御方案稱為“粒子”，其數量相互協作以獲得最佳防御方案。

使用Pbest表示威脅粒子個體極值，Gbest代表認證協議最優防御能力，獲取到以上兩個最佳值后，可得

λi(t+1)=Ω×λid(t)+L1×[Pbest(t)-σid(t)]

+L2×[Gbest(t)-σid(t)]

(6)

式(6)中，σid(t+1)=σid(t)+λid(t+1)，1≤i≤D，D表示初始化威脅粒子的數量，1≤d≤V，V代表層次網絡搜索區域，1≤t≤Dmax，Dmax表示粒子群迭代數量，Ω為權重值，L1和L2代表防御因子，為了提高威脅態勢防御能力，選擇目標自適應函數，得到了新的方程為

Pbest(t+1)=

(7)

為了提高基于認證協議的層次化網絡的防御能力，使用令牌機制保護信息的匿名性。SeNB在鄰近節點中選擇CeNB，隨機選取一組虛擬幾點用于接收信息，具體過程如下：

針對每一段時間間隔，SeNB選取獨立的CeNB，并將鄰近節點考慮其中，完成DSN、Ndegree和RSS的計算，根據計算結果，可估計出自適應函數FF為

FF=α1RSS+α2Ndeg ree+α3DSN

(8)

隨后，SeNB選擇FF的最高節點作為CeNB，并選擇CeNB和SeNB的鄰近節點作為偽鄰居集合。選擇的節點時間間隔經CeNB劃分成為t個時間段，一旦識別出威脅態勢開始防御，經檢索得到MQR，此時SeNB所處位置的TPS為各節點生成新的sc，1。

針對下個MQR，選則其它CeNB。使用Tc，t代表防御令牌；DSN代表節點與SeNB的間隔距離；Ndeg ree為節點度值；RSS表示威脅態勢信號識別強度；TPS為威脅態勢防御系統；MQR為防御請求消息；sc，1為隨機粒子；c代表網絡節點；l為威脅信息級別；kc，t，1為認證協議中的對稱密鑰；CPRNG1為威脅數據隨機數值，使用t代表時間間隔；α1，α2，α3代表{0，1}范圍內的歸一化常數。

通過上述，針對識別出的每組威脅態勢選擇CeNB相鄰節點。關于SeNB選擇的信息必須在認證協議內，以此完成對層次化網絡的防御工作。由于威脅態勢會在每個時間段內隨機變化，因此在查詢期間，SeNB要選取合適的CeNB。

3.3 網絡威脅態勢防御性能評估

通過對認證協議傳輸數據包的平均傳輸率、斷點平均延時以及威脅防御能量損耗進行網絡威脅態勢防御性能評估。

平均傳輸率為

(9)

其中，Nrj表示各目標節點j獲取到的威脅信息，Nsi為每個目標源i防御的威脅信息。

可得到平均延時函數為

(10)

式(12)中，Trij為節點i中的第j個信息獲取的時間，Tsij為其發送時間，g表示威脅信息防御總數。

在基于認證協議的層次化網絡威脅態勢防御中，所消耗的能量表示為

(11)

式(13)中，Nprj代表所用路由分組的數量，Nri代表所用路由數據防御的能量消耗。

4 層次化網絡威脅態勢防御實驗分析

4.1 仿真環境

為了驗證本文所提方法的可行性，仿真網絡由三個網段構成，網段對應的主句等級劃分如表2所示。其中，網段間的IP地址主機為威脅態勢評估服務器，基本配置為SQL.2000服務器、winpcap軟件、snoart，通過識別出路由器受到的各方攻擊威脅，所有主機均裝有安全認證協議，實時識別惡意威脅，將檢測出的惡意態勢信息上傳至數據中心。

表2 網絡主機等級

如圖3所示，為實驗網絡基本框架。

圖3 層次化網絡威脅態勢防御網絡框架

4.2 模擬網絡威脅方案

基于上述實驗背景，主要模擬兩個威脅態勢攻擊方案：

1)服務器可用性威脅。

2)由兩種攻擊構成的復合攻擊。

同一種類型的攻擊方案對層次化網絡主機造成的威脅程度可能不同。如網段5的IP地址可為133的服務器提供服務，但是造成同等威脅態勢的其它兩種主機不能提供該類型服務。下表3所示為本文仿真的威脅態勢破壞值。

表3 網絡威脅態勢信息

4.3 仿真結果分析

4.3.1 層次化網絡誤報率

為了驗證本文方法的準確性，采用基于路徑與端址跳變的防御方法、基于攻擊防御樹的的防御方法以及本文方法進行誤報率檢測，得到檢測結果如下所示：

由圖4可知，三種方法都會隨著網絡節點數的增加而增大。當網絡節點達到10×102個時，基于路徑與端址跳變的防御方法的誤報率為8%，基于攻擊防御樹的的防御方法的誤報率為12%，而本文方法誤報率僅為1%，與兩種傳統方法相比，具有較大優勢。隨著網絡節點數增大，本方法與兩種傳統方法誤報率差值增大，本文方法能夠保持較低的誤報率，精準度較高。

圖4 不同方法下誤報率

4.3.2 威脅防御用時

通過對層次化網絡威脅態勢防御數據進行統計分析可得到表4。

表4 威脅防御用時

從表1和圖5中可看出，基于認證協議的層次化網絡威脅態勢防御結果比較穩定，在威脅態勢最強的情況下，將延時間考慮其中，防御計算也可在12s之內完成，具有較高的效率。

圖5 威脅態勢防御用時

4.3.3 攻擊成功率對比

為了驗證本文方法的防御性能，采用基于路徑與端址跳變的防御方法、基于攻擊防御樹的的防御方法以及本文方法檢測攻擊成功率，得到檢測結果如圖6所示。

圖6 不同方法下攻擊成功率

分析圖6可知，不同方法攻擊成功率不同。隨著網絡節點個數增多，攻擊成功率增大。當網絡節點個數達到24×102個時，兩種傳統方法的攻擊成功率明顯超過30%，而本文方法不超過5%。攻擊成功率越高，防御效果越差。這說明本文方法的防御效果最佳。

5 結論

伴隨網絡文化的快速發展，所面臨的的信息安全挑戰也日益嚴峻。針對層次化網絡的靈活性及認證協議保密性的，本文基于認證協議，構建了從網絡、主機、應用和數據等四個層次的威脅態勢防御體系，為網絡用戶信息安全提供了有效保障。通過仿真得出以下結論：

1)防御方法能夠在網絡節點數較多的情況下，擁有較低的層次化網絡誤報率。

2)在不同的威脅態勢下，擁有較短防御用時。

3)網絡節點個數增多條件下，攻擊成功率易依舊較低。

綜上可知，認證協議的層次化網絡威脅態勢防御方法可為網絡的信息安全防護提供有效的理論和現實支撐。