基于態(tài)勢(shì)感知的SWIM 服務(wù)權(quán)限主動(dòng)移交模型

吳志軍，周勝琰，雷縉

（中國(guó)民航大學(xué)電子信息與自動(dòng)化學(xué)院，天津 300000）

1 引言

為提高ATM（air traffic management）服務(wù)提供者之間的全球互操作性，增強(qiáng)各部門之間信息共享，打破異構(gòu)服務(wù)之間信息交換的瓶頸，1997 年，歐洲航空安全組織首次向美國(guó)聯(lián)邦航空局提出廣域信息管理（SWIM,system wide information management）的概念。2005 年，國(guó)際民航組織（ICAO,International Civil Aviation Organization）將SWIM作為國(guó)際航空信息發(fā)布系統(tǒng)，美國(guó)和歐洲分別于2007 年部署“下一代航空運(yùn)輸系統(tǒng)”計(jì)劃和“歐洲單一天空空中交通管理研究計(jì)劃”，均將SWIM 作為信息溝通和數(shù)據(jù)共享的架構(gòu)[1]。廣域信息管理作為下一代空中交通管理的核心[2]，連接了民航信息網(wǎng)絡(luò)的各個(gè)組成部分，整合了民航各類業(yè)務(wù)資源（包括空域管理、流量管理、交通管理、監(jiān)控管理、飛行器系統(tǒng)等），對(duì)通信數(shù)據(jù)、導(dǎo)航數(shù)據(jù)、監(jiān)控?cái)?shù)據(jù)、氣象信息、全球地理信息和各類飛行對(duì)象加以管理，是民航網(wǎng)絡(luò)信息交互和數(shù)據(jù)共享的關(guān)鍵組成部分。

隨著越來越多的用戶通過SWIM 獲取民航服務(wù)數(shù)據(jù)，SWIM 服務(wù)的數(shù)據(jù)交互越發(fā)頻繁，面臨的安全威脅也越來越突出。SWIM 網(wǎng)絡(luò)安全研究主要集中在SWIM 安全技術(shù)標(biāo)準(zhǔn)[3]、數(shù)據(jù)安全威脅分析[4]、數(shù)據(jù)實(shí)時(shí)交互保障[5]、數(shù)據(jù)傳輸加密認(rèn)證[6]和數(shù)據(jù)安全與共享[7]，雖然實(shí)現(xiàn)了數(shù)據(jù)安全和隱私保護(hù)，但是沒有針對(duì)惡意攻擊、系統(tǒng)故障、突發(fā)事件等一系列安全威脅做出應(yīng)急響應(yīng)。SWIM 作為一個(gè)大規(guī)模分布式網(wǎng)絡(luò)，因其服務(wù)提供者的自身硬件性能和地理位置信息各不相同，面臨的安全威脅也不盡相同，因此，有必要提出一種從SWIM 服務(wù)提供者角度出發(fā)的保護(hù)模型，能夠結(jié)合自身性能特點(diǎn)準(zhǔn)確判斷安全態(tài)勢(shì)，主動(dòng)移交SWIM 服務(wù)權(quán)限，減少突發(fā)事件對(duì)SWIM 服務(wù)造成影響。

2 相關(guān)工作

目前，服務(wù)移交機(jī)制的研究已經(jīng)取得了不少成果，黃遵國(guó)等[8]在服務(wù)集群內(nèi)采用多種隨機(jī)競(jìng)爭(zhēng)機(jī)制實(shí)施進(jìn)程遷移，服務(wù)器漂移具有較高的隨機(jī)性，但攻擊者可能發(fā)起時(shí)間漏隙攻擊，同時(shí)漂移機(jī)制缺乏可控性，容易造成網(wǎng)絡(luò)振蕩。洪小亮等[9]對(duì)文獻(xiàn)[8]中服務(wù)漂移的觸發(fā)機(jī)制和競(jìng)爭(zhēng)機(jī)制進(jìn)行了改進(jìn)，可以有效抵抗時(shí)間漏隙攻擊，但是單一的服務(wù)漂移模式降低了服務(wù)漂移的隨機(jī)性。文獻(xiàn)[10]提出了一種服務(wù)漂移模型，把服務(wù)模型抽象為一個(gè)部分可觀測(cè)馬爾可夫決策過程，可以計(jì)算出使客戶獲益最高的服務(wù)漂移策略，但是該模型觸發(fā)機(jī)制設(shè)計(jì)不合理，容易造成時(shí)間沖突。文獻(xiàn)[11]利用各種檢測(cè)平臺(tái)的告警信息，提出了一種基于網(wǎng)絡(luò)可生存性態(tài)勢(shì)感知的主動(dòng)服務(wù)漂移模型，模型未對(duì)告警數(shù)據(jù)進(jìn)行聯(lián)合分析，容易發(fā)生虛警漂移，增加系統(tǒng)負(fù)擔(dān)[11]。文獻(xiàn)[12]提出了一種云計(jì)算環(huán)境下的最優(yōu)Web 服務(wù)遷移架構(gòu)，該架構(gòu)以負(fù)載為移交服務(wù)觸發(fā)衡量標(biāo)準(zhǔn)，觸發(fā)條件單一，不能保證服務(wù)的安全性。由于SWIM 網(wǎng)絡(luò)是面向服務(wù)的大規(guī)模信息網(wǎng)絡(luò)，面臨多種維度的安全威脅，僅從單一角度觸發(fā)移交機(jī)制不適應(yīng)SWIM 網(wǎng)絡(luò)安全需要，本文提出了一種基于態(tài)勢(shì)感知的服務(wù)移交觸發(fā)機(jī)制，聯(lián)合多維安全威脅信息判斷安全態(tài)勢(shì)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知最早是Tim Bass 提出并廣泛應(yīng)用于航空等領(lǐng)域，是對(duì)安全態(tài)勢(shì)數(shù)據(jù)的不斷觀測(cè)、提取、理解及預(yù)測(cè)[13]。安全態(tài)勢(shì)評(píng)估是態(tài)勢(shì)感知的一部分，安全態(tài)勢(shì)評(píng)估算法有模糊綜合評(píng)價(jià)法[14]、機(jī)器學(xué)習(xí)算法[15]、概率模型算法[16]等。本文依據(jù)SWIM 節(jié)點(diǎn)安全態(tài)勢(shì)決策是否觸發(fā)主動(dòng)移交機(jī)制，將安全態(tài)勢(shì)評(píng)估由數(shù)值型問題轉(zhuǎn)變?yōu)榉诸悊栴}，消除了人為設(shè)置安全閾值的主觀因素干擾，能夠通過真實(shí)數(shù)據(jù)學(xué)習(xí)訓(xùn)練，更符合真實(shí)環(huán)境下的安全需求。

3 SWIM 服務(wù)權(quán)限主動(dòng)移交模型

在某航班飛行過程中，航空公司作為SWIM 服務(wù)消費(fèi)者（SC,service consumer），通過SWIM 網(wǎng)絡(luò)獲取航空監(jiān)視數(shù)據(jù)、機(jī)場(chǎng)地面信息和航空氣象等信息；空管部門提供航空監(jiān)視數(shù)據(jù)服務(wù)、航空氣象服務(wù)；機(jī)場(chǎng)提供機(jī)場(chǎng)地面信息服務(wù)。如果該空管單位由于遭受惡意攻擊或發(fā)生自然災(zāi)害導(dǎo)致服務(wù)延時(shí)增加或服務(wù)突然中斷，對(duì)航班飛行造成安全威脅，那么，必須快速找到一個(gè)可靠的空管部門作為移交目標(biāo)，由它繼續(xù)提供服務(wù)，因此，保證SWIM服務(wù)的連續(xù)性和穩(wěn)定性是關(guān)鍵。本文在原SWIM網(wǎng)絡(luò)的基礎(chǔ)上引入了一種SWIM 服務(wù)權(quán)限主動(dòng)移交模型，如圖1 所示，將SWIM 網(wǎng)絡(luò)中服務(wù)主題相同的SWIM 服務(wù)提供者（SP,service provider）視為對(duì)等服務(wù)提供者，在突發(fā)事件發(fā)生時(shí)從對(duì)等服務(wù)提供者中選擇節(jié)點(diǎn)繼續(xù)提供SWIM 服務(wù)，保證了在單點(diǎn)或部分SP 失效情況下SWIM 服務(wù)的連續(xù)性。

1)SC 通過SWIM 網(wǎng)絡(luò)獲取對(duì)應(yīng)服務(wù)，實(shí)際上是SC 通過查詢具有全網(wǎng)一致性的服務(wù)信息注冊(cè)列表[17]，將對(duì)應(yīng)服務(wù)主題的SWIM 服務(wù)數(shù)據(jù)發(fā)送給SC，具體由哪個(gè)SP 來提供SWIM 服務(wù)數(shù)據(jù)對(duì)SC來說是不可知的。SWIM 旨在融合多元服務(wù)數(shù)據(jù)來提升SC 聯(lián)合決策能力，只有保證SP 的安全運(yùn)行，才能確保SWIM 服務(wù)的可靠性。各SWIM 用戶之間采用標(biāo)準(zhǔn)的協(xié)議交互，相互采用松耦合的方式連接[18]，各SWIM 用戶之間相對(duì)獨(dú)立，因此，通過移交故障節(jié)點(diǎn)SP 的服務(wù)權(quán)限來保證SWIM 服務(wù)的連續(xù)性是可行的。

圖1 SWIM 服務(wù)權(quán)限主動(dòng)移交模型

2)如果SP 自身狀態(tài)信息實(shí)時(shí)發(fā)送給SWIM 網(wǎng)絡(luò)，將增加SWIM 網(wǎng)絡(luò)工作負(fù)擔(dān)，占用網(wǎng)絡(luò)帶寬，影響SWIM 服務(wù)質(zhì)量。另外，SP 的安全態(tài)勢(shì)大部分時(shí)間都處于正常狀態(tài)，實(shí)時(shí)傳輸?shù)淖陨頎顟B(tài)信息中存在大量冗余信息，同時(shí)考慮到SP 之間硬件設(shè)施和地理環(huán)境的差異性，因此，將服務(wù)移交觸發(fā)模塊分布在SP 本地，只有突發(fā)事件發(fā)生才會(huì)向SWIM發(fā)送狀態(tài)信息，減輕了SWIM 網(wǎng)絡(luò)流量負(fù)擔(dān)，保證了SWIM 網(wǎng)絡(luò)帶寬的高效利用。

3)SWIM 網(wǎng)絡(luò)由多個(gè)分布式SWIM 域組成，SWIM 域間相互連接，可以快速獲取全網(wǎng)SP 的安全狀態(tài)信息，因此將服務(wù)權(quán)限移交模塊部署在SWIM 核心服務(wù)中，依據(jù)遷移期望最大化原則選擇移交目的SP，將SWIM 服務(wù)權(quán)限無(wú)縫地移交至該SP 上。

4 SWIM 服務(wù)權(quán)限主動(dòng)移交機(jī)制

SWIM 服務(wù)權(quán)限主動(dòng)移交機(jī)制如圖2 所示。

圖2 SWIM 服務(wù)權(quán)限主動(dòng)移交機(jī)制

首先由某SP 向SWIM 用戶提供服務(wù)，同時(shí)周期性地收集安全態(tài)勢(shì)特征數(shù)據(jù)，并對(duì)系統(tǒng)當(dāng)前所處的安全態(tài)勢(shì)進(jìn)行評(píng)判，依據(jù)評(píng)估結(jié)果觸發(fā)服務(wù)移交機(jī)制，當(dāng)未觸發(fā)服務(wù)移交機(jī)制時(shí)，繼續(xù)向SWIM 用戶提供服務(wù)并周期收集自身安全態(tài)勢(shì)特征數(shù)據(jù)，當(dāng)觸發(fā)服務(wù)移交機(jī)制時(shí)，從備選服務(wù)提供者中選擇移交目的節(jié)點(diǎn)，由目的節(jié)點(diǎn)向該SWIM 用戶繼續(xù)提供服務(wù)。由此可知，實(shí)現(xiàn)SWIM 服務(wù)權(quán)限主動(dòng)移交機(jī)制需要解決3 個(gè)問題：1)安全態(tài)勢(shì)特征數(shù)據(jù)的選取和處理，2)SP 安全態(tài)勢(shì)評(píng)估，3)選擇移交對(duì)象。本文使用3 個(gè)模塊解決上述3 個(gè)問題，具體如下。安全態(tài)勢(shì)特征數(shù)據(jù)處理模塊從多維度收集安全威脅信息并對(duì)其進(jìn)行預(yù)處理；服務(wù)移交觸發(fā)模塊根據(jù)監(jiān)測(cè)安全態(tài)勢(shì)特征數(shù)據(jù)判斷安全態(tài)勢(shì)；服務(wù)權(quán)限移交模塊根據(jù)預(yù)判結(jié)果觸發(fā)SWIM 服務(wù)權(quán)限主動(dòng)移交機(jī)制。

4.1 安全態(tài)勢(shì)特征數(shù)據(jù)處理模塊

SWIM 服務(wù)提供者安全態(tài)勢(shì)隱含在海量的監(jiān)測(cè)告警數(shù)據(jù)中，為了能夠在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中準(zhǔn)確感知自身安全態(tài)勢(shì)，必須充分考慮影響SP 安全態(tài)勢(shì)的各種因素，提取關(guān)鍵特征信息。依據(jù)SP 的監(jiān)測(cè)信息判斷安全態(tài)勢(shì)，從而根據(jù)自身安全態(tài)勢(shì)實(shí)施主動(dòng)防御機(jī)制，提升SWIM 服務(wù)的可生存性，考慮到系統(tǒng)硬件性能、惡意攻擊、自身漏洞和突發(fā)災(zāi)害等因素對(duì)系統(tǒng)安全態(tài)勢(shì)的影響，本文主要通過負(fù)載威脅指數(shù)、攻擊威脅指數(shù)、漏洞威脅指數(shù)、環(huán)境威脅指數(shù)、節(jié)點(diǎn)服務(wù)威脅指數(shù)5 個(gè)特征評(píng)估安全態(tài)勢(shì)。

定義1負(fù)載威脅指數(shù)TLN。t時(shí)刻，SP 節(jié)點(diǎn)N的自身負(fù)載情況，反映了SP 處理服務(wù)的能力。影響負(fù)載變化的硬件參數(shù)有很多，本文主要考慮3 種參數(shù)即CPU 使用率（CPU%）、帶寬使用率（Band%）和內(nèi)存利用率（MEM%）[19]來衡量負(fù)載情況。根據(jù)SP提供服務(wù)屬性不同，可以分為計(jì)算消耗型服務(wù)和通信消耗型服務(wù)。依據(jù)服務(wù)類型對(duì)硬件資源的消耗程度情況分配權(quán)值w，權(quán)值分配如表1 所示。

表1 權(quán)值分配

在SWIM 運(yùn)行過程中不斷優(yōu)化這些參數(shù)，則SP 節(jié)點(diǎn)N在t時(shí)刻的負(fù)載威脅指數(shù)如式(1)所示。

其中，

定義2攻擊威脅指數(shù)TAN。在[t-Δt,t]時(shí)間區(qū)間內(nèi)，SP 節(jié)點(diǎn)N所受惡意攻擊對(duì)SWIM 服務(wù)造成的威脅值。SWIM 服務(wù)節(jié)點(diǎn)部署了多種攻擊檢測(cè)傳感器，統(tǒng)計(jì)告警信息中攻擊i的攻擊次數(shù)Ci和攻擊強(qiáng)度Di，依據(jù)SNORT 用戶手冊(cè)將攻擊強(qiáng)度分為低、中、高3 個(gè)等級(jí)，分別用1、2、3 表示，攻擊i的攻擊威脅值如式(3)所示。

在[t-Δt,t]時(shí)間區(qū)間內(nèi)共有n種攻擊發(fā)生，則可由式(4)計(jì)算節(jié)點(diǎn)攻擊威脅指數(shù)。

定義3漏洞威脅指數(shù)TVN。t時(shí)刻，系統(tǒng)檢測(cè)漏洞對(duì)SWIM 節(jié)點(diǎn)造成的安全威脅指數(shù)。將檢測(cè)漏洞按照通用漏洞評(píng)分系統(tǒng)（CVSS,common vunerability scoring system）的度量標(biāo)準(zhǔn)計(jì)算漏洞威脅指數(shù)[20]，漏洞威脅指數(shù)計(jì)算如式(5)所示。

其中，TMj是第j個(gè)漏洞對(duì)系統(tǒng)安全態(tài)勢(shì)的影響值，分別從SP 的機(jī)密性Cj、完整性Ij和可用性Aj這3 個(gè)方面來考量。

TBj是第j個(gè)漏洞被攻擊利用可能性的量化值，分別從攻擊途徑AVj、復(fù)雜度ACj和認(rèn)證AUj這3 個(gè)指標(biāo)來衡量。

m為系統(tǒng)在t時(shí)刻檢測(cè)到漏洞的個(gè)數(shù)。f(TMj)是對(duì)m個(gè)漏洞對(duì)系統(tǒng)安全態(tài)勢(shì)影響值的統(tǒng)計(jì)平均后的結(jié)果。

系統(tǒng)各漏洞安全態(tài)勢(shì)影響考量要素度量值分配如表2 所示[20]。

表2 度量值

定義4環(huán)境威脅指數(shù)TEN。t時(shí)刻，SP 節(jié)點(diǎn)N由于自然災(zāi)害對(duì)SWIM 服務(wù)造成的安全威脅指數(shù)。依據(jù)相關(guān)部門的自然災(zāi)害預(yù)警信息和環(huán)境感知信息計(jì)算環(huán)境威脅指數(shù)TEN，如式(9)所示。

其中，若t時(shí)刻已經(jīng)發(fā)生自然災(zāi)害，將TEN置1，否則將TEN置為Pt，Pt代表相關(guān)預(yù)警部門對(duì)該SP發(fā)生自然災(zāi)難的估計(jì)概率。

定義5節(jié)點(diǎn)服務(wù)威脅指數(shù)TSN。t時(shí)刻，SP節(jié)點(diǎn)N對(duì)外提供服務(wù)的可能性。若提供服務(wù)的下一時(shí)間節(jié)點(diǎn)為tservice，設(shè)置時(shí)間閾值tq，只有在[tservice-tq,tservice]時(shí)間區(qū)間內(nèi)SP 發(fā)生故障才可能對(duì)服務(wù)造成影響，時(shí)刻t與tservice越接近，節(jié)點(diǎn)服務(wù)威脅指數(shù)越大，則節(jié)點(diǎn)服務(wù)威脅指數(shù)TSN為

其中，tq=30 s。

4.2 服務(wù)移交觸發(fā)模塊

通過計(jì)算SP 各維特征威脅指數(shù)，僅從局部衡量了SP 節(jié)點(diǎn)某方面的安全威脅，未能從整體上科學(xué)地評(píng)估SP 節(jié)點(diǎn)安全態(tài)勢(shì)。本文依據(jù)安全態(tài)勢(shì)觸發(fā)SWIM 服務(wù)權(quán)限主動(dòng)移交機(jī)制，將SWIM 節(jié)點(diǎn)的安全態(tài)勢(shì)分為安全和威脅2 種，對(duì)應(yīng)繼續(xù)監(jiān)測(cè)和移交服務(wù)2 種響應(yīng)策略，那么，SP 節(jié)點(diǎn)安全態(tài)勢(shì)評(píng)估不再是一個(gè)數(shù)值型問題，而是轉(zhuǎn)化為分類問題，將各維特征威脅指數(shù)生成特征向量并利用分類算法評(píng)判出節(jié)點(diǎn)所處態(tài)勢(shì)。常見的分類算法有隨森林算法、邏輯回歸算法、KNN（k-nearest neighbor）算法、神經(jīng)網(wǎng)絡(luò)算法、貝葉斯分類器等。其中，隨機(jī)森林算法是一種能夠在提升精度的情況下保證運(yùn)算量的機(jī)器學(xué)習(xí)分類算法，隨機(jī)森林是在決策樹的基礎(chǔ)上演化而生的，在隨機(jī)森林內(nèi)部構(gòu)建多個(gè)相對(duì)獨(dú)立的決策樹，在訓(xùn)練完成后，能夠在新樣本到來時(shí)，決策出樣本的類別[21]。隨森林算法步驟如下。

1)初始化原始訓(xùn)練數(shù)據(jù)集D，在隨機(jī)森林內(nèi)部構(gòu)造K棵決策樹，每棵決策樹的訓(xùn)練樣本個(gè)數(shù)均為N，按照Bootstrap 法從原始訓(xùn)練數(shù)據(jù)集D中有放回地隨機(jī)抽取K個(gè)規(guī)模為N的訓(xùn)練數(shù)據(jù)子集，利用K個(gè)訓(xùn)練數(shù)據(jù)子集分別訓(xùn)練K棵決策樹。

2)假設(shè)每個(gè)訓(xùn)練樣本共有L個(gè)輸入特征，從L個(gè)輸入特征中隨機(jī)選擇l個(gè)(l＜L)輸入特征，利用這l個(gè)輸入特征決定最優(yōu)分裂點(diǎn)。

3)不對(duì)分類樹作任何處理，使其自由生長(zhǎng)。

4)最終生長(zhǎng)出的K棵決策樹組成隨機(jī)森林，當(dāng)有新的樣本輸入時(shí)，隨機(jī)森林中每棵決策樹分別對(duì)樣本進(jìn)行分類，最終分類結(jié)果由每棵決策樹投票決定。

利用隨機(jī)森林算法，以Δt為周期定期觀測(cè)計(jì)算威脅指數(shù)，將SP 節(jié)點(diǎn)N安全威脅指數(shù)生成特征向量TN=(TLN,TAN,TVN,TEN,TSN)，并將其作為隨機(jī)森林算法的輸入，對(duì)系統(tǒng)狀態(tài)進(jìn)行安全態(tài)勢(shì)評(píng)估，依據(jù)節(jié)點(diǎn)安全態(tài)勢(shì)觸發(fā)SWIM 服務(wù)主動(dòng)移交機(jī)制。

4.3 服務(wù)權(quán)限移交模塊

服務(wù)權(quán)限移交模塊位于SWIM 核心服務(wù)中，用來管理本地SWIM 域下的SWIM 用戶。服務(wù)權(quán)限移交模塊的信息列表由五元組(mid,type,node,C,μ)組成，其中，mid 代表移交標(biāo)識(shí)信息，取值為“0”或“1”，“0”表示該SP 正常提供服務(wù)，“1”表示該SP需要移交SWIM 服務(wù)權(quán)限；type 代表該SP 提供的服務(wù)主題；node 表示該SP 的節(jié)點(diǎn)信息；C是n個(gè)訂閱該SP 服務(wù)的SC 節(jié)點(diǎn)信息的集合，C={Cj|i=1,2,…,n}；μ表示該SP 的相對(duì)指數(shù)，根據(jù)SP 的各維威脅特征指數(shù)，利用模糊多屬性決策算法[22]，計(jì)算相同服務(wù)主題SP 之間的相對(duì)指數(shù)，安全性能越強(qiáng)μ則越大，當(dāng)有待移交服務(wù)時(shí)，更新μ值。具體過程如下。

首先，在服務(wù)權(quán)限移交模塊中構(gòu)造移交目的節(jié)點(diǎn)評(píng)估矩陣T。

其中，Tij代表SP 節(jié)點(diǎn)i的第j維安全態(tài)勢(shì)特征值。

為了消除物理單位對(duì)數(shù)據(jù)的干擾，將評(píng)估矩陣進(jìn)行歸一化得到T1。

其中，i=1,2,…,n，j=1,2,…,m。

依據(jù)歸一化評(píng)估矩陣T1，分別構(gòu)造最優(yōu)特征向量g和最差特征向量b，如式(15)和式(16)所示。

分別計(jì)算備選節(jié)點(diǎn)特征向量與最優(yōu)節(jié)點(diǎn)、最差節(jié)點(diǎn)特征向量之間的歐氏距離。

其中，β是節(jié)點(diǎn)各維安全威脅指數(shù)對(duì)待移交服務(wù)的影響程度。

根據(jù)各節(jié)點(diǎn)的dig、dib可求的節(jié)點(diǎn)i相對(duì)于其他備選節(jié)點(diǎn)的優(yōu)差程度μi。

SWIM 服務(wù)提供者觸發(fā)服務(wù)權(quán)限移交機(jī)制后，服務(wù)權(quán)限移交機(jī)制流程如圖3 所示。

圖3 服務(wù)權(quán)限移交流程

服務(wù)權(quán)限移交模塊向SWIM 注冊(cè)中心請(qǐng)求待移交服務(wù)的服務(wù)狀態(tài)信息，SWIM 注冊(cè)中心收到該請(qǐng)求后，刪除待移交SP 注冊(cè)發(fā)布的服務(wù)信息，該SP 的移交標(biāo)識(shí)信息更新為1。待移交SP 可能提供多種服務(wù)，降級(jí)為多個(gè)基礎(chǔ)服務(wù)，查詢移交信息列表，更新相同服務(wù)主題SP 的μ值，依據(jù)μ值選擇目的節(jié)點(diǎn)。

SWIM 服務(wù)權(quán)限移交過程包括以下步驟。

1)SWIM 網(wǎng)絡(luò)根據(jù)SP 發(fā)送移交請(qǐng)求信息更新全網(wǎng)移交信息列表，移交信息列表依據(jù)時(shí)間戳依次完成服務(wù)移交。

2)移交信息列表中待遷移服務(wù)節(jié)點(diǎn)中每類待移交服務(wù)主題分別與移交信息列表匹配，將匹配到的節(jié)點(diǎn)組成備選移交目的節(jié)點(diǎn)并構(gòu)建節(jié)點(diǎn)評(píng)估矩陣。

3)按照模糊多屬性決策算法計(jì)算各備選移交目的節(jié)點(diǎn)的μ值，并將μ值更新到服務(wù)權(quán)限移交模塊信息列表，從中選擇最大μ值節(jié)點(diǎn)作為移交目的節(jié)點(diǎn)。

4)服務(wù)權(quán)限移交模塊向移交目的SP 發(fā)送服務(wù)狀態(tài)信息，并將SC 請(qǐng)求信息轉(zhuǎn)發(fā)至目標(biāo)SP，或由目標(biāo)SP 向原服務(wù)的緩存空間傳送服務(wù)數(shù)據(jù)。

5 實(shí)驗(yàn)結(jié)果與分析

為了驗(yàn)證SWIM 服務(wù)主動(dòng)移交機(jī)制的有效性，本文在真實(shí)網(wǎng)絡(luò)環(huán)境中根據(jù)SWIM 網(wǎng)絡(luò)體系結(jié)構(gòu)搭建了仿真平臺(tái)，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4 所示。仿真平臺(tái)由PC 機(jī)、服務(wù)器、路由器和交換機(jī)組成。其中，一臺(tái)PC 機(jī)模擬SC 獲取SWIM 服務(wù)；2 臺(tái)PC 機(jī)作為SWIM 接入節(jié)點(diǎn)，提供SWIM 服務(wù)注冊(cè)、查詢與管理功能；5 臺(tái)PC 機(jī)作為SP 提供SWIM 服務(wù)。

圖4 測(cè)試平臺(tái)網(wǎng)絡(luò)拓?fù)?/p>

實(shí)驗(yàn)PC 機(jī)的硬件配置如表3 所示。

表3 實(shí)驗(yàn)PC 機(jī)的硬件配置

SP 使用Apache 作為服務(wù)器，Mysql 作為數(shù)據(jù)庫(kù)存放SWIM 服務(wù)數(shù)據(jù)。以SWIM 航班信息交換模型（FIXM,flight information exchange model）[23]和SWIM 航空信息交換模型（AIXM,aeronautical information exchange model）[24]為標(biāo)準(zhǔn)，分別提供航班信息服務(wù)和航空信息服務(wù)。

5.1 隨機(jī)森林算法性能

首先，驗(yàn)證隨機(jī)森林算法觸發(fā)移交機(jī)制的可靠性。采用我國(guó)某空管分局提供的真實(shí)飛行情報(bào)服務(wù)物理節(jié)點(diǎn)安全態(tài)勢(shì)觀測(cè)數(shù)據(jù)用于算法訓(xùn)練。在物理節(jié)點(diǎn)在對(duì)外提供服務(wù)數(shù)據(jù)的情況下，利用多種監(jiān)測(cè)手段定期統(tǒng)計(jì)物理節(jié)點(diǎn)上服務(wù)器的相關(guān)數(shù)據(jù)，包括CPU、內(nèi)存和帶寬。并從防火墻和入侵檢測(cè)系統(tǒng)中獲得相關(guān)攻擊數(shù)據(jù)，利用漏洞掃描系統(tǒng)得到系統(tǒng)漏洞信息。然后，對(duì)獲得的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析得到安全態(tài)勢(shì)數(shù)據(jù)，依據(jù)服務(wù)反饋情況評(píng)價(jià)該SWIM 物理節(jié)點(diǎn)的安全態(tài)勢(shì)，得到該節(jié)點(diǎn)安全態(tài)勢(shì)統(tǒng)計(jì)數(shù)據(jù)，如表4 所示。

本文將安全態(tài)勢(shì)統(tǒng)計(jì)數(shù)據(jù)進(jìn)行威脅指數(shù)處理后作為訓(xùn)練數(shù)據(jù)集使用。在實(shí)驗(yàn)中，設(shè)Δt=60 s，采用1 600 組歷史數(shù)據(jù)作為訓(xùn)練數(shù)據(jù)集，每組歷史訓(xùn)練數(shù)據(jù)包括當(dāng)前時(shí)刻t的安全威脅指數(shù)監(jiān)測(cè)值TLN、TAN、TVN、TEN、TSN和對(duì)應(yīng)的SWIM 節(jié)點(diǎn)安全態(tài)勢(shì)；測(cè)試數(shù)據(jù)為500 組，從500 組測(cè)試數(shù)據(jù)中隨機(jī)抽取10 個(gè)分類結(jié)果如表5 所示。

隨機(jī)森林算法分類結(jié)果與真實(shí)態(tài)勢(shì)統(tǒng)計(jì)類型如表6 所示。其中，TT 為分類結(jié)果為威脅的真實(shí)威脅的樣本個(gè)數(shù)，F(xiàn)T 為分類結(jié)果為安全的真實(shí)威脅的樣本個(gè)數(shù)，TF 為分類結(jié)果為威脅的真實(shí)安全的樣本個(gè)數(shù)，F(xiàn)F 為分類結(jié)果為安全的真實(shí)安全的樣本個(gè)數(shù)。

表4 節(jié)點(diǎn)安全態(tài)勢(shì)統(tǒng)計(jì)數(shù)據(jù)

表5 隨機(jī)森林算法分類結(jié)果

表6 分類結(jié)果與真實(shí)態(tài)勢(shì)統(tǒng)計(jì)類型

具體性能指標(biāo)計(jì)算式如式(21)～式(24)所示。

將500 組測(cè)試數(shù)據(jù)的結(jié)果進(jìn)行統(tǒng)計(jì)，并與貝葉斯分類算法的分類結(jié)果進(jìn)行比較分析，得到2種分類算法的性能對(duì)比結(jié)果，如表7 所示。實(shí)驗(yàn)結(jié)果表明在采用相同訓(xùn)練數(shù)據(jù)集和測(cè)試集的情況下，隨機(jī)森林算法的準(zhǔn)確率、漏警概率等指標(biāo)均優(yōu)于貝葉斯算法。

表7 分類算法性能對(duì)比

5.2 主動(dòng)移交機(jī)制性能分析

在SC 獲取SWIM 服務(wù)的過程中，模擬突發(fā)故障和惡意攻擊，通過與未部署SWIM 服務(wù)主動(dòng)移交模型的SWIM 網(wǎng)絡(luò)（Non-PMM）和傳統(tǒng)服務(wù)漂移機(jī)制（TSMM,traditional service migration mechanism）對(duì)比，判斷SWIM 主動(dòng)移交模型能否滿足SWIM 網(wǎng)絡(luò)應(yīng)急響應(yīng)的需求。主要從吞吐量和服務(wù)平均時(shí)延兩方面考察系統(tǒng)性能[25]，其中服務(wù)器提供者與服務(wù)主題對(duì)應(yīng)關(guān)系如表8 所示。

表8 服務(wù)提供者與服務(wù)主題對(duì)應(yīng)關(guān)系

模擬10 個(gè)SC 用戶通過SWIM 訂閱SWIM 航班信息服務(wù)，最初由SP1 對(duì)該訂閱用戶SC1 和SC2 提供服務(wù)。當(dāng)SP1 突發(fā)系統(tǒng)故障對(duì)SWIM 造成安全威脅時(shí)，SP1 感知自身安全態(tài)勢(shì)并觸發(fā)SWIM 服務(wù)權(quán)限移交機(jī)制，SWIM 收到移交請(qǐng)求后更新全網(wǎng)移交信息列表，全網(wǎng)移交信息列表中包含了SWIM 網(wǎng)絡(luò)中所有待移交服務(wù)，依據(jù)時(shí)間戳順序，依次將服務(wù)權(quán)限移交至其他節(jié)點(diǎn)，同時(shí)將服務(wù)權(quán)限移交模塊信息列表中SP1 的移交標(biāo)識(shí)信息更新為1，如圖5 所示。

圖5 SWIM 服務(wù)移交信息列表

根據(jù)圖5 中全網(wǎng)移交信息列表中待移交服務(wù)主題，SWIM 服務(wù)權(quán)限主動(dòng)移交模塊依據(jù)目標(biāo)節(jié)點(diǎn)選取策略，獲取SP2、SP3、SP5 的多維安全特征值，并構(gòu)造移交節(jié)點(diǎn)評(píng)估矩陣。

對(duì)矩陣T進(jìn)行歸一化處理，得到歸一化矩陣T1。

節(jié)點(diǎn)各維度安全威脅指數(shù)對(duì)待移交服務(wù)的影響程度β=[0.2 0.3 0.3 0.1 0.1]，分別計(jì)算備選節(jié)點(diǎn)特征向量與最優(yōu)節(jié)點(diǎn)、最差節(jié)點(diǎn)特征向量之間的歐氏距離為

計(jì)算可得到節(jié)點(diǎn)間相對(duì)安全指數(shù)如式(29)所示。

SWIM 服務(wù)權(quán)限主動(dòng)移交模塊將相對(duì)安全指數(shù)更新到信息列表中，選取相對(duì)指數(shù)最大的SP 作為移交目的節(jié)點(diǎn)，將待移交服務(wù)訂閱用戶SC1 和SC2的訂閱請(qǐng)求移交至SP2 上，移交后的服務(wù)移交信息列表如圖6 所示。

5.2.1 SWIM 網(wǎng)絡(luò)吞吐量

SWIM 網(wǎng)絡(luò)吞吐量指的是單位時(shí)間內(nèi)SWIM 成功對(duì)外傳輸數(shù)據(jù)的大小。為了驗(yàn)證本文方法的性能，考慮在發(fā)生突發(fā)事件情況下SWIM 網(wǎng)絡(luò)吞吐量的變化，本文模擬1 500 個(gè)用戶訂閱SWIM 航班信息服務(wù)，并在SWIM 正常提供服務(wù)后，注入持續(xù)性突發(fā)故障，仿真結(jié)果如圖7 所示。

其中，SC 通過SWIM 網(wǎng)絡(luò)獲取航班信息服務(wù)，在正常情況下，由于實(shí)驗(yàn)硬件設(shè)施相同，PMM、Non-PMM、TSMM 三者均能夠保證較穩(wěn)定的吞吐量，吞吐量均維持在450～550 bit/s，在50 min 時(shí)，向SC 提供服務(wù)的SP1 發(fā)生硬件故障，不能繼續(xù)提供航班信息服務(wù)，50 min 后Non-PMM 的吞吐量急劇下降；而TSMM 僅是隨機(jī)控制SP1、SP2、SP3 向SC 提供服務(wù)，未能感知其中SP1 硬件故障，當(dāng)服務(wù)權(quán)限移交至SP1 時(shí)，網(wǎng)絡(luò)吞吐量下降至0，由其他SP 提供服務(wù)時(shí)，吞吐量恢復(fù)正常；由于PMM 能夠準(zhǔn)確判斷SP 安全態(tài)勢(shì)及時(shí)移交SWIM 服務(wù)權(quán)限，維持SWIM 服務(wù)的正常運(yùn)行，吞吐量依舊維持在450～550 bit/s，能夠滿足SWIM 服務(wù)安全連續(xù)的需要。

圖7 3 種模型的吞吐量對(duì)比

5.2.2 SWIM 服務(wù)平均時(shí)延

服務(wù)時(shí)延指的是SWIM 發(fā)送服務(wù)數(shù)據(jù)至訂閱用戶的時(shí)間戳插值。為了驗(yàn)證本文方法的性能，模擬1 500 個(gè)用戶訂閱SWIM 航班信息服務(wù)，并在SWIM 正常提供服務(wù)后注入持續(xù)性突發(fā)故障，將訂閱用戶的服務(wù)時(shí)延求均值得到服務(wù)平均時(shí)延，SWIM 航班信息服務(wù)平均時(shí)延的仿真結(jié)果如圖8 所示。

圖8 3 種模型的平均時(shí)延對(duì)比

如圖8 所示，在50 min 時(shí)，SWIM 網(wǎng)絡(luò)中提供航班信息服務(wù)的SP1 受到惡意攻擊，不能繼續(xù)提供航班信息服務(wù)，Non-PMM 中由該SP 提供服務(wù)的SC 無(wú)法繼續(xù)獲取航班信息服務(wù)數(shù)據(jù)，并得到連接錯(cuò)誤返回信息，所以，SWIM 服務(wù)平均時(shí)延將增大。由受損SP 對(duì)外提供服務(wù)時(shí)，TSMM的服務(wù)平均時(shí)延將增加，由正常節(jié)點(diǎn)對(duì)外提供服務(wù)時(shí)，服務(wù)平均時(shí)延降至正常值；由于PMM 能夠及時(shí)移交SWIM 服務(wù)權(quán)限，SWIM 服務(wù)平均時(shí)延依然維持在較穩(wěn)定的水平。其中，服務(wù)響應(yīng)時(shí)間累積概率如圖9 所示，本文提出的模型服務(wù)響應(yīng)時(shí)間為0.14 s 時(shí)累積概率為0.95，即95%的服務(wù)響應(yīng)時(shí)間低于 0.14 s，響應(yīng)時(shí)間明顯優(yōu)于Non-PMM 和TSMM 模型。

圖9 3 種模型的服務(wù)響應(yīng)時(shí)間累計(jì)概率對(duì)比

通過以上的實(shí)驗(yàn)分析可知，SWIM 服務(wù)主動(dòng)移交模型能夠在SP 突發(fā)故障或受到惡意攻擊時(shí)，利用服務(wù)移交機(jī)制將服務(wù)權(quán)限移交到相同服務(wù)主題的SP，提升了SWIM 網(wǎng)絡(luò)的可生存性，增強(qiáng)了SWIM 網(wǎng)絡(luò)應(yīng)對(duì)突發(fā)事件的能力，降低了突發(fā)事件帶來的影響。

6 結(jié)束語(yǔ)

SWIM 作為下一代空中交通管理的核心，保證SWIM 安全運(yùn)行，實(shí)施有效的應(yīng)急響應(yīng)機(jī)制十分重要。本文提出了一種基于態(tài)勢(shì)感知的SWIM服務(wù)主動(dòng)移交模型，特點(diǎn)是利用多維威脅指數(shù)聯(lián)合分析安全態(tài)勢(shì)觸發(fā)服務(wù)移交機(jī)制，能夠最大程度降低突發(fā)事件對(duì)SWIM 用戶造成的損失，保證了SWIM 業(yè)務(wù)的連續(xù)性和服務(wù)的可靠性，能夠在SWIM 網(wǎng)絡(luò)發(fā)生突發(fā)事件的情況下，執(zhí)行有效的應(yīng)急響應(yīng)機(jī)制，本文暫未考慮SWIM 網(wǎng)絡(luò)大面積受損和融合數(shù)據(jù)服務(wù)受損的情況，未來將在該方面做進(jìn)一步研究。