基于密鑰共享的復雜網絡圍界入侵點檢測研究

潘 卿，竇立君

(南京林業大學網絡安全和信息化辦公室，江蘇 南京 210037)

1 引言

隨著環境復雜性以及不確定因素的增加，有關自動控制的重要公共設施圍界入侵形式愈加嚴重，這將導致嚴峻的后果。隨著網絡規模的擴大，物聯網中原本的攻擊方式逐漸滲入到復雜網絡中，復雜網絡重要區域的圍界是網絡安全的重要保障，是網絡能夠被有效利用的基礎，因此對復雜網絡圍界入侵點的檢測非常必要。

文獻[6]設計了網絡圍界入侵安全系統的結構、安全機制和組網方案，通過對網絡圍界的安全需求和環境特征，設計相應的安全策略，根據搭建的圍界入侵系統，對網絡結構、網絡節點等進行測試，實驗結果表明，該方法對網絡圍界能進行全方位的監控，具有較好的安全性，但防范措施較為不靈活。文獻[7]在隱馬科夫模型的基礎上構建安全層的協議模型，并對隱馬科夫模型進行訓練，通過訓練的協議數據包特征，判斷網絡圍界入侵情況，實驗結果表明，該方法具有較高的可靠性與可行性，但受矩陣規模影響，計算速度較慢。文獻[8]為了降低分幀方法導致計算效率低的問題，利用還原信號分級閾值對入侵信號進行提取，通過建立一維卷積神經網絡對擾動信號自適應提取，利用實驗所收集的樣本數據訓練網絡模型，結果表明該方法對頻率復雜信號的識別率有明顯地提高，但適應性較差。

基于以上研究，針對網絡圍界入侵問題，必須采取一定的安全措施，確保復雜網絡的安全性，本文提出基于密鑰共享復雜網絡圍界入侵點檢測方法，設計了入網認證方案，并對密鑰進行更新，保證信任中心與節點間的網絡安全，以維持網絡正常運行并對系統內部資源起到保護作用。

2 入侵點檢測系統設計

2.1 系統設計

入侵點檢測系統通過網絡設備對外部流量的監聽來判斷網絡是否被攻擊。復雜網絡可分為感知層、網絡層和應用層，網絡入侵和工作均部署在網絡層。入侵系統的工作架構如圖1所示。

圖1 入侵系統工作架構

在復雜網絡工作過程中，感知層主要進行網絡信息的收集與交換，并將數據匯總到智能網關，網關將收集到的數據信息上傳到到云平臺，等待進一步的命令指示。在感知層中存在眾多數據傳輸與交換的協議，為了避免系統受到惡意軟件或病毒的攻擊，采用TCP/IP協議棧形成的流量對暴露在復雜網絡中的數據進行訓練。由于入侵系統僅對當前流量進行分析，并作出相應處理，因此所設計的入侵系統不僅能夠跨底層協議進行部署，還不需要額外的消耗通信資源。

2.2 網絡結構

采用CNN-LSTM形式的網絡結構，這種結構主要應用于圖片標注和視頻識別等領域，其中CNN用于對網絡特征信息的提取，LSTM根據CNN給定的特征信息輸出與之對應的信息。當網絡進行入侵檢測時，CNN網絡局部依據權值共享的特性會降低參數數量和資源的消耗。在復雜網絡環境中，攻擊是一個連續的過程，入侵檢測時，若僅對唯一的TCP握手包進行分析不能做出正確端口掃描的判斷，因此根據LSTM網絡可以得到多個樣本的特征，對多個輸入的數據包序列進行LSTM網絡判斷，可以更加準確的判斷出數據包的掃描攻擊模式。

為保證訓練結果的準確性，并維持數據池化后的維度，本文采用2次卷積的最大池化結構。為避免池化后的數據過度擬合，在結構中增加了2層Dropout層，并在LSTM網絡處理前，對網絡數據進行連接處理。

2.3 數據處理

為了解決復雜網絡中數據分布不平衡的問題，提出動態權重損失函數，該函數的核心是當入侵網絡模型對所有樣本輸出計算的交叉熵一致的情況下，每種樣本具有相同的損失，用公式可表示為

(1)

其中，和表示每類樣本個數；(·)表示交叉熵處理函數；表示模型輸出；表示數據標簽。經過推理，由于樣本的交叉熵相同，權重用公式可表示為

(2)

其中，表示樣本種類；表示第種樣本的個數；＿表示樣本集合。當復雜網絡內部樣本數量不平衡時，代價函數值由多數類樣本確定，因此模型會忽略少數類樣本的類型。然而引入損失函數后，各個種類的樣本比例是一樣的，因此模型對所有類樣本進行訓練都滿足條件。在不理想的狀態下，即使少數類樣本輸出的交叉熵比多數類樣本交叉熵大，但由于動態權重的引入，最終代價函數中少數類樣本的權重高于多數類樣本，少數類樣本所占比例會更高，復雜網絡模型會更注重少數類樣本的訓練，因此即使在不理想狀態，動態權重代價函數依然具有良好的適用性。

3 網絡安全認證

3.1 單跳入網絡認證

全部節點均要和信任中心進行共享密鑰，假定節點為采取單跳入網，信任中心在獲取到的請求時，會對進行反向的認證請求，只有在做出有關安全信息的響應后，信任中心對節點進行認證。安全信息可表示為

=(|，)

(3)

其中，(·)表示安全信息計算函數；表示設備地址；表示設備類型；表示密鑰。單跳入網認證過程如圖2所示。

圖2 單跳入網認證過程

首先節點向信任中心發送包含自己標識和設備類型的入網請求。然后信任中心對進行認證，并將的標識和類型進行保存，發出認證請求。當節點收到認證請求后，計算得到安全信息，同時生成回復響應，發送至信任中心，并共享密鑰。如果安全信息不一致，不允許入網；反之，回復入網響應入網成功。

3.2 多跳入網絡認證

設多跳入網認證的節點為和，通過中間節點入網，節點和發送給信任中心的數據可表示為

=(||)

(4)

其中，表示加密算法；表示節點與信任中心共享的密鑰。多跳入網認證過程如圖3所示。

圖3 多跳入網認證過程

首先節點向中間節點發送入網請求＿，同時中間節點向信任中心發出認證請求＿，通過和信任中心共享的密鑰計算出安全信息與發送給信任中心的數據，并發送認證響應＿。然后構建包含的地址和數據的請求報文＿發送給信任中心。當信任中心接收到報文后先判斷是否為認證過的節點，若是，則對報文進行解析，并尋找與的共享密鑰，獲取的入網信息；反之，若不是認證過的網絡節點，會丟棄該報文不做處理。發送給節點和節點的密文用公式可表示為

(5)

其中，＿和＿分別表示和可信的標志，數值越趨于1表示可信度越高，越趨于0，可信度越低。節點接收到信任中心的入網響應后，對報文進行解密處理，并判斷節點是否可信，只有可信才將報文發送給。節點接收到的響應后，對報文進一步解密，并判斷節點是否可信，若可信則入網成功；反之，重新選擇入網路徑。

結合以上設計，保證了復雜網絡入網節點的合法性與安全性。對于單跳入網，只要認證通過就表明復雜網絡中的節點合法。就多跳入網絡認證而言，若節點為受到攻擊的節點，那么節點和節點不存在共享內容，節點不會對節點進行認證，所以當信任中心收到認證消息后，認為節點認證失敗，通知節點節點不可信，并對密鑰進行加密保護。若節點為受到攻擊的節點，而節點是經過加密保護的安全認證節點，在短時間內節點無法篡改復雜網絡，即使將信息發送給信任中心，信任中心也會判定其為不可信節點，那么節點便會獲得唯一的標識和類型，但不足以對復雜網絡造成危害。

4 密鑰共享

網絡節點入網后，信任中心將與成功入網的節點共享密鑰并進行密鑰的周期性更新，保證復雜網絡安全。如果接入的節點檢測出受到網絡攻擊，其主動發起密鑰更新服務。共享的密鑰一定要保證安全與準確，在密鑰傳輸過程中不能被破解或篡改。針對共享密鑰的安全性與合法性，采用單向散列鏈模式，對報文進行更新，并增加校驗信息。

信任中心的密鑰池由一系列的單向散列鏈組成，密鑰生成公式可表示為

，=[-1(，＿)，＿]

(6)

其中，表示散列鏈共用的種子；＿表示散列鏈的生成因子。為了能夠形成一個密鑰池，通過隨機方式篩選出種子，利用相同的網絡節點得到差異性因子，生成散列鏈，并刪除種子。

入網成功后，全部節點都將接收到密鑰信息，同時全部節點將共享唯一的散列鏈。密鑰采取周期性更新，其過程如圖4所示。

圖4 密鑰更新過程

為了保證密鑰更新的安全性，信任中心會選擇相應的密鑰鏈向節點共享密鑰，密鑰鏈中最后一個鏈密鑰是包含密鑰類型和長度的報文信息，同時將生成的校驗值發送給節點。節點接收到報文后，先對校驗值進行驗證，若校驗值相等，則表明是未經過篡改的密鑰，報文是正確且安全的，然后對報文進行解密，獲得會話密鑰。若校驗值不相等，則表明受到攻擊，節點向信任中心發出響應，匯報暴露的密鑰。

5 算法分析

為了驗證基于密鑰共享復雜網絡圍界入侵點檢測方法的有效性，本文主要從安全性、性能、效率和容忍性四方面對算法進行分析，并對不平衡數據集的處理結果與交叉熵代價函數模型評估結果進行實驗對比。

5.1 安全性分析

在密鑰更新過程中，采用本文的設計方法保證了預更新密鑰的安全性與準確性，由于復雜網絡僅有信任中心和節點，且它們共享唯一的散列鏈，又因為散列鏈具有單向特性，想要徹底獲取網絡信息，必須要得到種子，而種子又是隨機生成的。因此采用本文設計方法，僅對節點進行散列運算，就能夠實現網絡報文的機密性和數據的安全性。節點密鑰的計算是在復雜網絡部署前以安全形勢寫入的，所以發送的加密密鑰也具有可靠的安全性。

5.2 性能分析

針對本文方法在復雜網絡中的性能，主要考慮到復雜網絡中新節點加入的過程、原來節點的離開過程、存儲容量和生命周期四方面。當有新節點加入到復雜網絡后，認證中心會采取認證處理，只有正確認證的節點，才可以進一步完成密鑰的更新與發布工作。當原本存在復雜網絡中的節點離開后，刪除與該節點共享的密鑰即可，此操作不會對復雜網絡中其它節點的正常通信造成影響。

采用本文設計方法僅需要存儲3種類型的密鑰，沒有增加存儲量，因此所占內存較小。密鑰鏈長度期望值可表示為

(7)

其中，表示節點有效工作時長；表示密鑰更新周期；表示復雜網絡中節點受到攻擊的最大次數。密鑰鏈長度期望值的引入，可以避免因節點失效導致密鑰斷更的發生。

5.3 容忍度分析

節點在更新過程中，當節點接收到報文信息＿，并獲得丟失-1次的鏈密鑰更新報文后，密鑰不會發生改變。在獲取正確更新的報文＿+后，對報文＿+進行解密。然后對解密后的報文進行次散列運算。再次判斷運算后的密鑰是否一致，如果不一致，則密鑰更新失??；如果一致，網絡系統認為更新的密鑰正確，對密鑰進行解密處理。采用本文方案在密鑰更新過程中可以允許一部分報文丟失，說明算法具有一定的容忍性。

5.4 不平衡數據處理分析

為了進一步驗證動態權重損失函數對不平衡數據的處理效果，本文選擇NSL-KDD數據集進行訓練，并采用一致的網絡結構，將本文方法與使用交叉熵代價函數處理網絡圍界入侵點檢測情況進行對比，對比結果如圖5所示。

圖5 參數處理對比結果

從圖中可以看出，采用動態權重損失函數模型對不同類型樣本的準確性、精度和召回率處理情況均優于使用交叉熵函數模型，說明采用本文方法針對網絡入侵點中不平衡數據的處理效果較好。

6 結束語

本文針對復雜網絡圍界入侵點的檢測提出基于密鑰共享的研究方法。構建入侵點檢測系統，將網絡入侵和工作均部署在網絡層，利用動態權重損失函數解決復雜網絡中數據分布不平衡的問題。根據信任中心與節點間的關系將入網認證分為單跳入網和多跳入網兩種形式，判斷網絡是否被篡改。為保證復雜網絡的安全性，主動發起密鑰更新服務。分別從四方面對本文算法進行分析，本文方法不僅保證了密鑰更新過程的安全性，并且也具有較好的容忍性。將本文與采用交叉熵函數處理數據的方法進行仿真對比，實驗結果表明本文方法具有提高模型對不平衡樣本的判別能力。