基于無標度網絡的具象蜜網模型建立＊

葉 雯，李蘭友

(1.南京工程學院網絡與信息中心，江蘇 南京 211167；2.杭州職業技術學院汽車學院)

0 引言

DDoS 攻擊是一種常見的網絡攻擊，由來已久。Dahiya Amrita 和Gupta Brij B在最新的研究中指出DDoS 攻擊因無需基于特定的服務器配置、特殊的網絡狀態或者終端設備的任何操作等前提條件就可以進行或者迅捷完成攻擊行為，并且也無需耗時費力或者巨額的投入支出開銷，互聯網攻擊者就能制造令被攻擊對象或受害者良久難以填付的損失，而且不僅限于經濟方面的損失。此外，日新月異高速發展的互聯網中的資源分布不均衡問題日益凸顯，也為攻擊者的攻擊行為提供了“解釋”渠道，大大便利了攻擊行為的發生與實現，互聯網攻擊者往往輕輕松松就能達到攻擊的目的，而正常合法的網絡用戶及網絡供應商卻措手不及，并且損失慘重。

從上個世紀八九十年代，“防控治”三相結合的蜜罐概念形成了，網絡安全態勢感知的概念也相繼應運而生，網絡安全相關科研工作者和使用者就一直在致力于研究如何在頻受網絡攻擊的復雜網絡中對抗變幻莫測的網絡攻擊，維穩良好暢通的網絡安全秩序，保障合法商家和用戶的網絡權益，也希冀結合涉及多種融合安全因素的錯綜復雜的網絡環境推測預演未來互聯網的安全發展勢態。

1 無標度網絡

1.1 復雜網絡

當今的互聯網實屬一個說不清道不明的復雜網絡，其中，節點度是復雜網絡的核心關鍵屬性。復雜網絡又分為有向網絡和無向網絡。在無向網絡中，節點度表示與該節點相關聯的網線的總數量，記()為節點的度數。()越大，表示節點越重要，即節點的度中心性越高，其中度的中心性指的是以節點度為指標定義的節點重要程度。

復雜網絡最關鍵屬性是節點度，其次就是網絡的連通性。復雜網絡的連通性往往用介數來表達。其中介數又分為節點介數和邊介數兩類。節點介數表示的是經過節點的最短路徑的數目，邊介數表示包含邊π在內的最短路徑的數目。其關鍵就在于求取復雜網絡中任意兩個節點μ和μ之間的最短路徑。

1.2 無標度網絡

復雜網絡就隨機方面而言，可分為隨即網絡和非隨機網絡。隨機網絡中大部分節點是均勻地連在一起的。因此在隨機網絡中，很難定位中心節點，即節點度()非常大的節點。隨機網絡的節點度()通常都是較小的，沒有或者很少有()非常大的節點。

無標度網絡中存在度值相差很大的點，而在不同的無標度網絡中，節點度值又會呈現特定的分布特征。在隨機網絡中，線路的連接完全是隨機的，節點度遵循泊松分布。在無標度網絡中，線路的連接并非完全隨機，中心節點容易定位，并且成為網絡中不可或缺的聯通樞紐，節點度近似為冪率分布

其中，P是度值為的概率，τ為度指數。

無標度網絡的中心節點可以比較有代表性地表示整個網絡，是整個網絡拓撲和連通性的縮影。通過這些少量的中心節點，就可以將松散疏離的小網絡構建成大網絡，這樣就達到了提升整體網絡連通性的目的。并且當有一個新的節點加入原網絡的時候，該節點最大概率會與樞紐中心節點建立連接，依附網絡中的強節點，無標度網絡的節點度()也會更趨于冪律分布。

2 無標度網絡中的蜜網

蜜網橫空出世至今，以其積極防御的特性引起了人們的廣泛關注。目前對蜜網領域的研究可分為微觀和宏觀兩個層面。前者的目標是技術層面，如改進與數據控制、數據捕獲、和數據反饋相關的核心功能。后者主要集中在揭示惡意軟件通過部署在不同拓撲網絡中的蜜網的傳播行為。然而，迄今為止，除檢索到的僅有兩篇文獻外，有關這一杠桿的工作通常被忽略。ZHAO Narisa等人考慮了惡意軟件在全連接蜜網中的傳播，基于數學模型的仿真研究揭示了惡意軟件擴散的復雜動力學。最近，Ren J 等人研究了基于惡意軟件在無尺度網絡上傳播動態的蜜網效能，發現節點度對蜜網效能有深遠的影響。以上的研究工作依賴于特定拓撲網絡。因此，所得到的結果是有限度的。本文提出并分析了一種基于感染節點數傳播動態的蜜網效能評估動態模型。與[11]、[12]相比，本文的工作基于無標度網絡。因此，這些發現是普遍的，因此有廣泛的價值。這可能才是現階段及未來很長一段時間行之有效的網絡安全保障手段。

蜜網是由一定數量的蜜罐組成，其中的蜜罐代表一種安全資源，其價值是被掃描、攻擊、妥協。蜜罐是一個精心配置的陷阱，其主要功能是控制數據流，抓取惡意程序并且分析其特征，并發布相應的補丁給防御者。

3 模型建立

假設無標度網絡中的目標服務器集合為：Servers(a)={,,…,a ,a ,a ,…,a}，其中i ≥1，且i 為正整數；{ ,a ,…,a}=(a)為目標中的蜜網集合。攻擊者集合是Attackers(b)={,,…,b} 。假設在某個時間段Time內，攻擊者對服務器集合Servers(a)沒有任何攻擊行為活動，正常合法用戶群體使用目標服務器集合Servers(a)中的每一臺服務器所產生的收益集合為

若在同一時間段Time，攻擊者集合Attackers(b)對服務器集合Servers(a)產生攻擊行為，服務器集合Servers(a)遭受的損失為

則服務器集合Servers(a)的利潤Benefits(B)為：

這里假設≥（＜的情況類似，這里不累述）。

攻擊者發起攻擊行為，一般無法對其控制和約束。此模型因其中只有第三項和第四項是可控可變的。第四項是蜜網的成本，包括蜜網設備成本和人工成本，不能顧此失彼，既不能為了減少成本而粗制濫造蜜網，也不能為了增強蜜網的效能而耗費大量財力物力，在蜜網效能盡可能大的情況下，使得蜜網足夠以假亂真，類似充當服務器組的作用。因此，蜜網的成本也是固定的，這里重點研究第三項。

令威希特矩陣B=，即：

4 數值仿真

4.1 仿真環境

本文的數值仿真實驗環境為聯想揚天s5250 一體機，i7-7700T 臺式機處理器，Windows 10，64 位操作系統。編程平臺為MATLAB R2013a。

4.2 仿真實驗

實驗中，服務器集合為1000 臺設備（只包含正常作業的服務器和蜜網設備），即s=1000，保存在矩陣A 中，其中每一行為一臺服務器或者一個蜜網設備的樣本，第一列為序號，第二列為其對應的利潤Benefits。實驗主要研究正常作業服務器和蜜網服務器的數量對網絡安全的影響。

當i分別等于100、150、200、500、800、900 時，生成的二維高斯分布程序運行時間見表1，實驗數據圖如圖1所示。

表1 二維高斯分布時間表

圖1 二維高斯分布實驗數據圖

5 結論

蜜網是一種易受攻擊的模擬計算機網絡，常用來提高網絡安全性。蜜網效能的深入評估是蜜網有效設計和改進的關鍵。為此，本文提出了一種新的蜜網效能評估動態模型并進行了分析。該模型將蜜罐作為狀態變量納入模型公式，數學分析發現，決定蜜網效能的關鍵是部署網絡的最大特征值。特別是，特征值的范圍清晰地形成了兩個顯式分支之間的感染傳播的界限，在這個界限以下，蜜網工作在其最佳水平，直到惡意軟件趨于滅絕，在這個界限以上，惡意軟件保持在某個水平。在幾個具有代表性的計算機網絡上進行數值模擬，驗證了該模型的正確性。根據理論和數值結果進行了討論。結果表明，適當減少已部署網絡的鏈路數和最大節點度，或加強蜜網的數據控制或補丁反饋功能，均能顯式地提高蜜網效能。本文基于無標度網絡，通過仿真實驗，研究了無標度網絡中蜜網與常規服務器在數量上的比較，并建立了仿真模型，以期為后續的蜜網研究提供參考。