基于社團結(jié)構(gòu)的網(wǎng)絡協(xié)同防御

王 剛, 陸世偉, 馮 云, 伍維甲

(空軍工程大學信息與導航學院，西安，710077)

公共互聯(lián)網(wǎng)作為一種普遍使用網(wǎng)絡，要求保障關鍵服務安全可控，保護用戶合法權(quán)益。然而，網(wǎng)絡信息竊取和關鍵節(jié)點破壞等非法蓄意攻擊對公共互聯(lián)網(wǎng)安全造成極大威脅，包括分布式拒絕服務攻擊、病毒攻擊、先進持續(xù)性威脅等。傳統(tǒng)防御系統(tǒng)主要采用靜態(tài)防御的方法來加固系統(tǒng)防護，從而保護網(wǎng)絡的安全，相關技術(shù)包括防火墻技術(shù)、加解密技術(shù)、數(shù)據(jù)鑒別及訪問控制技術(shù)等。對于網(wǎng)絡系統(tǒng)的正常訪問、用戶合法身份的鑒別和權(quán)限管理、數(shù)據(jù)信息安全，這類技術(shù)起到了一定的防護作用。然而，對于隱藏特征的網(wǎng)絡病毒，如“震網(wǎng)”病毒、Regin病毒和“狼人殺”病毒，與傳統(tǒng)蠕蟲病毒相比，它們的技術(shù)手段和行動更為隱蔽高效?！皾摲笔沁@類網(wǎng)絡病毒所共有的典型特性，因而通常將其稱為潛伏型病毒。在感染目標網(wǎng)絡節(jié)點時，潛伏型病毒為實現(xiàn)特定戰(zhàn)術(shù)目標，將其攻擊感染的表征暫時隱藏起來；根據(jù)行動需求和前期設定的觸發(fā)機制，攻擊方會選擇特定時機或采用特定手段激活啟動該病毒。由于潛伏特性，靜態(tài)防御通常難以檢測該病毒潛伏特征，也就無法徹底清除病毒，因而傳統(tǒng)防御模式在處理此類外部攻擊時存在先天的局限性。

目前，國內(nèi)外網(wǎng)絡安全機構(gòu)和專家已將此類問題的解決途徑轉(zhuǎn)移到主動防御、動態(tài)防御和集體防御上來，如鄔江興院士提出的擬態(tài)防御架構(gòu)，可用于應對未知漏洞后門病毒等不確定威脅[1]；沈昌祥院士倡導運用可信計算方法，設計自主可控的網(wǎng)絡安全信息技術(shù)體系[2-3]；國外Rathore等人結(jié)合智能城市IoT網(wǎng)絡的區(qū)塊鏈技術(shù)，提出一種基于軟件定義網(wǎng)絡(SDN)的去中心化安全架構(gòu)，檢測物聯(lián)網(wǎng)網(wǎng)絡中的攻擊，并能夠緩解現(xiàn)有架構(gòu)固有的“單點故障”問題[4]?？傮w上看，這些網(wǎng)絡安全防御是通過預先設計網(wǎng)絡防御機制，實現(xiàn)攻擊的誘導與轉(zhuǎn)移，降低外部攻擊對網(wǎng)絡造成的損失，其實現(xiàn)技術(shù)包括節(jié)點信任通信[5-6]、動態(tài)目標防御[7-8]和信息蜜罐與蜜網(wǎng)[9-10]等，這些研究從不同層面為網(wǎng)絡安全防御實踐應用提供了先進防御理念和技術(shù)支撐。然而，由于不同團隊前沿研發(fā)技術(shù)相對獨立，有些忽略了網(wǎng)絡防御要素間的兼容性和協(xié)同能力，造成網(wǎng)絡監(jiān)控要素分布分散和功能獨立，使得網(wǎng)絡防御依舊面臨系列問題[11]，如持續(xù)監(jiān)控難以實現(xiàn)，被動封鎖效果有限，防御分散響應緩慢，攻防管控各自為戰(zhàn)?？陀^上，需要結(jié)合網(wǎng)絡自身的復雜異構(gòu)性創(chuàng)新理念，如引入網(wǎng)絡生態(tài)和分布式集體防御[12-13]，建立新的網(wǎng)絡安全協(xié)同防御架構(gòu)，通過定義網(wǎng)絡要素間動態(tài)聯(lián)動關系和生態(tài)機制，預測和防御包括不確定攻擊在內(nèi)的多類型網(wǎng)絡攻擊，將攻擊后果最小化并快速恢復網(wǎng)絡至安全狀態(tài)。

本文結(jié)合公共互聯(lián)網(wǎng)安全特點，首先根據(jù)網(wǎng)絡邏輯結(jié)構(gòu)及節(jié)點功能，將目標網(wǎng)絡劃分為多個網(wǎng)絡社團，按照分布式協(xié)同控制模式設計了協(xié)同防御架構(gòu)基礎通信模型，在此基礎上融合了多類型功能模塊，提出了基于社團結(jié)構(gòu)的網(wǎng)絡協(xié)同防御架構(gòu)。其次，借鑒網(wǎng)絡生態(tài)系統(tǒng)運維理念，設計了基于網(wǎng)絡協(xié)同架構(gòu)的協(xié)同機制，通過集體行動提升網(wǎng)絡的病毒檢測能力、快速響應能力和應急恢復能力。最后，以潛伏型病毒為例，給出基于社團結(jié)構(gòu)的協(xié)同防御流程和仿真驗證。

1 協(xié)同防御架構(gòu)

關于網(wǎng)絡病毒傳播模型的研究表明，降低網(wǎng)絡節(jié)點平均度是抑制病毒傳播的主要方法[14-17]。定義網(wǎng)絡圖G=(V,E)為某一具體網(wǎng)絡，V=(vi)N為節(jié)點集，N為網(wǎng)絡節(jié)點總數(shù)，E為網(wǎng)絡邊的集合。網(wǎng)絡在遭遇病毒入侵時，通過隔離節(jié)點策略可抑制病毒的大規(guī)模傳播。設隔離節(jié)點vi的度為ki，隔離vi前后網(wǎng)絡平均度分別為〈k〉f和〈k〉l，則〈k〉l可表示為:

(1)

顯然，節(jié)點隔離策略能降低網(wǎng)絡平均度，抑制網(wǎng)絡病毒的傳播。研究表明，少量的節(jié)點隔離不足以完全抑制病毒傳播，過多的節(jié)點隔離又會導致網(wǎng)絡通信能力的損失，節(jié)點隔離策略需要在維護網(wǎng)絡安全的同時，保證網(wǎng)絡基本通信能力?，F(xiàn)實中，網(wǎng)絡病毒的感染過程通常是由一個節(jié)點或一個區(qū)域向周邊節(jié)點擴散開來，最終蔓延至整個網(wǎng)絡。根據(jù)式(1)知，降低病毒所在網(wǎng)絡的節(jié)點數(shù)N，同樣能夠降低節(jié)點平均度，從而起到抑制病毒傳播的作用。按照這一思路，將整個網(wǎng)絡分為若干個子網(wǎng)絡(社團)，在檢測到病毒入侵時，及時封鎖病毒所在社團，縮小病毒傳播范圍，就能通過隔離較少的節(jié)點來維護網(wǎng)絡的安全。在封鎖社團后，來自病毒感染社團的信息需要經(jīng)過特定的驗證機制，在確保安全的條件下轉(zhuǎn)發(fā)至其它社團節(jié)點。

網(wǎng)絡協(xié)同防御模型能更好地完成網(wǎng)絡安全防御任務[5,18]。在大規(guī)模網(wǎng)絡主動協(xié)同防御模型中，全局網(wǎng)絡可劃分為若干個自治系統(tǒng)(autonomous system，AS)，單個AS采用基于代理的協(xié)同控制框架來完成協(xié)同防御任務，整體上通過分布式集體協(xié)作共同抵御病毒傳播[18]。對于劃分AS后的網(wǎng)絡，如果遭遇病毒入侵，只需要隔離病毒感染社團和少量節(jié)點，即可抑制病毒傳播。

一般網(wǎng)絡都具有社團屬性，可采用社團識別算法，如Newman快速凝聚算法、Girvan-Newman分裂算法等[19-21]，將整體網(wǎng)絡劃分為多個自治社團(network community，NC)。設劃分后的社團數(shù)為n，對應集合為NC={NC1,NC2,…,NCn}。在此基礎上，可按分布式協(xié)同控制模式[11-12]設計對應的基礎通信模型，見圖1。其中，單個社團由用戶主機、協(xié)同控制中心和社團內(nèi)的各種安全系統(tǒng)組成[18]。

圖1 協(xié)同防御中網(wǎng)絡社團基礎通信模型

社團內(nèi)部安全系統(tǒng)主要包括入侵檢測系統(tǒng)(intrusion detection system，IDS)、信息蜜罐與蜜網(wǎng)系統(tǒng)、帶有節(jié)點信任值管理模塊(node trust-value management module，NTVMM)的防火墻系統(tǒng)[6]、入侵防護系統(tǒng)(intrusion prevention system，IPS)、協(xié)同防御策略庫，對應的協(xié)同防御系統(tǒng)架構(gòu)見圖2。

圖2 協(xié)同防御系統(tǒng)架構(gòu)

協(xié)同防御架構(gòu)建立在大規(guī)模網(wǎng)絡的主動協(xié)同防御模型[18]和基于覆蓋網(wǎng)的協(xié)同式安全防護與分析系統(tǒng)模型[22]基礎上，進一步融合了協(xié)同防御策略庫、帶有NTVMM的防火墻、信息蜜罐與蜜網(wǎng)模塊。除了適用于防御DDOS攻擊與蠕蟲病毒攻擊[18]，還能提升對潛伏型病毒等新型攻擊的防御能力，且具備更強的協(xié)同防御功能。

2 協(xié)同防御機制

在實際應用中，需要科學的防御機制來確保各模塊間的協(xié)同協(xié)作，保證在低損失情況下網(wǎng)絡的整體安全。借鑒網(wǎng)絡生態(tài)系統(tǒng)態(tài)勢感知-持續(xù)監(jiān)控-協(xié)同防御-快速恢復-溯源反制(situation awareness, monitoring, cooperative defense, recovery, countermeasure，SMCRC)機制[11]，設計協(xié)同防御架構(gòu)的協(xié)同防御機制?？紤]網(wǎng)絡攻擊形式的多樣化，以下以潛伏型病毒防御為例[17]。

潛伏型病毒通常利用其潛伏特性，繞過安全防御單元檢測，入侵內(nèi)部網(wǎng)絡，并在激活后迅速感染網(wǎng)絡。對于潛伏型病毒入侵，協(xié)同防御系統(tǒng)主要功能包括：檢測病毒的潛伏特征與感染特征、抑制潛伏型病毒在網(wǎng)絡中的傳播、清除網(wǎng)絡中潛伏型病毒等。根據(jù)防御系統(tǒng)對病毒入侵事件的響應順序，可將協(xié)同防御機制劃分為態(tài)勢感知協(xié)同、態(tài)勢分析協(xié)同、行動決策協(xié)同以及調(diào)節(jié)反饋協(xié)同4個部分，構(gòu)成一個網(wǎng)絡協(xié)同防御環(huán)，自適應選取最優(yōu)防御策略來應對潛伏型病毒入侵，如圖3所示。

圖3 網(wǎng)絡協(xié)同防御環(huán)路和防御機制

2.1 態(tài)勢感知協(xié)同

態(tài)勢感知協(xié)同防御需要對目標網(wǎng)絡狀態(tài)實施不間斷監(jiān)控，傳統(tǒng)防御中IDS、防火墻等防御單元很難做成集成模塊，協(xié)作能力較差，對異常信息的監(jiān)測能力較差，通常會導致直接隔離異常信息或是錯將包含潛伏病毒的異常信息放入內(nèi)網(wǎng)，都可能對節(jié)點或網(wǎng)絡造成較大的損失[11]。

態(tài)勢感知協(xié)同機制主要依賴于IDS、信息蜜罐與蜜網(wǎng)和協(xié)同控制中心。IDS可直接檢測出已知特征的病毒類型，并發(fā)出警報通知協(xié)同控制中心。對于潛伏型病毒，IDS通常只能感知到信息的異常，而無法直接判斷信息是否攜帶病毒。這種情況下，協(xié)同防御中的IDS會記錄異常信息并通知協(xié)同控制中心，控制中心命令交換機和路由器控制異常信息傳輸速率，并將部分異常信息送至信息蜜罐或蜜網(wǎng)中進行監(jiān)測。如果在信息蜜罐或蜜網(wǎng)中，異常信息表現(xiàn)出感染特性，安全分析設備會立即檢測出感染特征，并通知控制中心將檢測出的感染特征添加至各IDS和防火墻的病毒特征庫。特殊地，如果異常信息在蜜罐中的感染過程是有時滯的，可認為該信息中攜帶潛伏型病毒，蜜罐或蜜網(wǎng)中安全系統(tǒng)會進一步分析異常信息代碼，提取病毒潛伏特征，并通知控制中心轉(zhuǎn)發(fā)潛伏特征。此外，在網(wǎng)絡的關鍵交換機和路由器中會部署流量分析器和探測器，可用來跟蹤異常數(shù)據(jù)流并完成持續(xù)監(jiān)控。

2.2 態(tài)勢分析協(xié)同

態(tài)勢感知協(xié)同會對每個時間段內(nèi)的網(wǎng)絡狀態(tài)進行監(jiān)控，如果網(wǎng)絡中節(jié)點狀態(tài)發(fā)生改變，需要態(tài)勢分析協(xié)同機制來判斷網(wǎng)絡是否受到攻擊、攻擊強度、攻擊區(qū)域以及網(wǎng)絡能否自恢復至安全狀態(tài)等。態(tài)勢分析協(xié)同主要依賴于協(xié)同控制中心，通過收集IDS報警信息、信息蜜罐與蜜網(wǎng)檢測信息、關鍵交換機和路由器檢測信息，對網(wǎng)絡整體態(tài)勢進行分析，分析內(nèi)容包括病毒的潛伏能力與感染能力、網(wǎng)絡受感染區(qū)域分布、網(wǎng)絡中可能潛伏病毒的區(qū)域、病毒傳播趨勢、網(wǎng)絡對病毒的免疫能力等，態(tài)勢分析結(jié)果有助于對病毒傳播模型[14-16]中的參數(shù)值進行估計，計算病毒傳播的基本再生數(shù)，進而選取當前最適合的協(xié)同防御策略。

對于異常信息，協(xié)同控制中心根據(jù)收集到的相關信息對該類信息可疑度進行判定；借鑒異常信息檢測方法[23-25]，選擇既往攻擊信息為訓練集，訓練異常信息分類模型，即可實時判定該類信息類型或是否包含潛伏型病毒，進而選取合適的免疫或隔離策略[26-28]來防御潛伏型病毒。

2.3 行動決策協(xié)同

態(tài)勢分析協(xié)同可深入分析網(wǎng)絡受感染程度等安全態(tài)勢信息，社團中的協(xié)同管理中心會根據(jù)安全態(tài)勢分析結(jié)果，查詢協(xié)同防御策略庫，生成當前最優(yōu)防御策略，分發(fā)給社團中的節(jié)點，節(jié)點采取相應的防御措施共同應對網(wǎng)絡威脅。如果已獲取病毒的攻擊特征或潛伏特征，控制中心會將這些特征廣播給社團內(nèi)的用戶主機、交換機以及社團間的路由器節(jié)點，這些節(jié)點對接收或傳輸?shù)臄?shù)據(jù)包進行檢查和過濾，拒絕包含病毒特征數(shù)據(jù)的接收或限制其傳輸速度。

若社團中部分節(jié)點的安全設備檢測出異常信息，但未能發(fā)現(xiàn)病毒特征，協(xié)同控制中心會通知社團中其它節(jié)點進行協(xié)同檢測與分析。通過收集網(wǎng)絡中異常信息存在的區(qū)域與規(guī)模，并根據(jù)目前網(wǎng)絡的通信需求，對比策略庫中策略適用條件，選擇防御策略。以下列舉了幾種參考策略：①若網(wǎng)絡各社團均被感染，此時網(wǎng)絡需要盡快恢復到安全狀態(tài)，而對通信能力要求不高，協(xié)同控制中心可選擇基于最大節(jié)點度的隔離策略[29]，盡快降低網(wǎng)絡平均度，從而迅速抑制病毒傳播；②若網(wǎng)絡各社團均被感染，而網(wǎng)絡正在進行重要通信，需要在維護網(wǎng)絡安全的同時保證網(wǎng)絡的通信損失較少，可采用基于節(jié)點信任關系的惡意信息攔截策略[6]，通過選擇最合適的信任閾值，在控制病毒傳播的同時，保證網(wǎng)絡的業(yè)務承載能力。被隔離社團發(fā)出的信息及其它社團發(fā)往被隔離社團的信息可由路由器轉(zhuǎn)送至信息蜜網(wǎng)中進行存儲與檢測，從而提高病毒特征的檢測率，并降低策略造成的信息損失。

協(xié)同防御策略由社團中協(xié)同控制中心共同制定，為了便于模型的架構(gòu)擴展與實現(xiàn)，需要統(tǒng)一協(xié)同策略的生成格式和字段：

——————

其中，Community表示策略所適用社團編號；Target表示策略所適用目標，如IP地址，端口；Type表示策略種類，包括檢測、抑制、清除或免疫病毒等；Event指當前針對的網(wǎng)絡安全事件，如潛伏型病毒入侵、感染型病毒入侵、混合型病毒入侵或DDOS攻擊等；等級表示網(wǎng)絡當前所處的安全級別；Objects表示操作的對象，如IDS、交換機、信息蜜罐和信息蜜網(wǎng)等；Operation表示操作對象所要執(zhí)行的操作，包括掃描、分析、隔離或轉(zhuǎn)發(fā)信息至蜜罐等。

協(xié)同控制中心通過安全協(xié)議(如SSL協(xié)議等)與社團內(nèi)其他用戶和安全模塊建立安全通信連接，在協(xié)同策略生成后，協(xié)同控制中心將策略安全分發(fā)至社團中目標節(jié)點。

2.4 調(diào)節(jié)反饋協(xié)同

協(xié)同策略分發(fā)后，網(wǎng)絡節(jié)點會根據(jù)策略內(nèi)容實時調(diào)節(jié)自身行為。用戶主機的行為調(diào)節(jié)包括改變IDS檢測級別及需要檢測內(nèi)容、防火墻過濾規(guī)則、NTVMM模塊閾值(閾值會決定異常信息的接收比例)、IPS的清除對象；交換機和路由器行為調(diào)節(jié)包括信息分發(fā)規(guī)則、控制異常信息流速、端口開放情況；信息蜜罐和蜜網(wǎng)會調(diào)整對特殊事件記錄及監(jiān)視頻率、提升安全分析軟件對日志的審查和分析頻率、以及允許轉(zhuǎn)存信息的數(shù)量?？刂浦行目梢詤f(xié)同計算策略庫中策略的期望收益，分配最高收益的策略，社團根據(jù)接收到的指令調(diào)整各自行為。調(diào)整后的網(wǎng)絡狀態(tài)經(jīng)過感知與分析，就可以判斷網(wǎng)絡安全狀態(tài)經(jīng)過調(diào)整是否得到提升。調(diào)節(jié)反饋協(xié)同的具體流程見圖4。

圖4 調(diào)節(jié)反饋協(xié)同流程

首先，由協(xié)同控制器根據(jù)具體情況生成初始策略并分發(fā)至各社團，同時計算預期收益。社團根據(jù)協(xié)同控制中心產(chǎn)生的策略調(diào)整自身行為。調(diào)整行為后，網(wǎng)絡整體安全狀態(tài)會發(fā)生改變，此時節(jié)點將調(diào)節(jié)后的狀態(tài)反饋給協(xié)同控制中心，包括節(jié)點安全狀態(tài)的變化和通信損失情況等。根據(jù)收集到的反饋信息，協(xié)同控制中心計算網(wǎng)絡實際收益，通過對比實際收益與期望收益，實時調(diào)整協(xié)同防御策略，確保網(wǎng)絡獲得最佳收益。網(wǎng)絡收益計算方法可根據(jù)策略對網(wǎng)絡整體的通信能力及網(wǎng)絡受感染情況的影響來設計[30]。以潛伏型病毒為例，根據(jù)網(wǎng)絡病毒傳播SEIQRS模型[17]，可以計算出病毒傳播的基本再生數(shù)為：

(2)

式中：〈k〉為網(wǎng)絡平均度；β為潛伏型病毒的感染系數(shù)；γ為潛伏病毒在網(wǎng)絡節(jié)點中被激活的概率；ψ為網(wǎng)絡節(jié)點具有抗病毒攻擊感染能力的概率；δ為節(jié)點抗病毒能力退化的概率；ω為受病毒攻擊感染的節(jié)點斷開網(wǎng)絡連接的概率；θ表示潛伏的病毒失去激活機會的概率；b表示節(jié)點在病毒潛伏期具備免疫能力的概率。由此，可進一步計算網(wǎng)絡相對安全指數(shù)[30]：

(3)

式中：

(4)

(5)

式中：λmax由網(wǎng)絡魯棒性確定，λ為隔離節(jié)點后造成網(wǎng)絡信息損失的比例；a1,b1為網(wǎng)絡魯棒性范圍內(nèi)通信和安全所占的比例系數(shù)，a1+b1=1。在網(wǎng)絡魯棒性范圍內(nèi)隔離節(jié)點，對網(wǎng)絡通信影響較小，而安全提升明顯，因而通常a1b2。Δμ(t)和Δδ(t)為t時刻后網(wǎng)絡平均信息強度和網(wǎng)絡相對安全指數(shù)變化值，計算如下：

(6)

如果網(wǎng)絡未到達安全狀態(tài)，可以計算實際收益與期望收益的差值，若差值大于某個閾值，協(xié)同控制中心可根據(jù)最新的態(tài)勢感知與分析結(jié)果，調(diào)整協(xié)同防御策略的生成與分發(fā)，以獲取更高的網(wǎng)絡收益。

3 潛伏型病毒協(xié)同防御流程

潛伏型病毒通常先潛伏至網(wǎng)絡關鍵節(jié)點，在激活后迅速感染網(wǎng)絡其它節(jié)點，由于潛伏型病毒的隱蔽性，傳統(tǒng)防御架構(gòu)難以有效查殺，病毒清除過程普遍滯后于病毒感染與傳播[27]。網(wǎng)絡協(xié)同防御可基于大規(guī)模網(wǎng)絡的主動協(xié)同防御模型[18]，用于防御DDOS攻擊和蠕蟲病毒攻擊，還可按照協(xié)同防御機制抵御潛伏型病毒入侵。以潛伏型病毒為例設計網(wǎng)絡協(xié)同防御流程，如圖5所示。

圖5 潛伏型病毒的協(xié)同防御流程

在協(xié)同防御系統(tǒng)中，信息蜜罐與蜜網(wǎng)、網(wǎng)絡鏈路中的IDS系統(tǒng)都能對潛伏型病毒實時進行監(jiān)控。如果網(wǎng)絡中流量異常，IDS立即通知協(xié)同控制中心，控制中心命令交換機或路由器將信息誘導至信息蜜罐或蜜網(wǎng)中，進行長期的觀察。由于信息蜜罐或蜜網(wǎng)中會設置一些能滿足潛伏型病毒激活條件的環(huán)境，如調(diào)整系統(tǒng)時間，鍵盤鍵入，訪問次數(shù)觸發(fā)等，從而提升網(wǎng)絡對異常信息中病毒的檢測能力。若未能檢測到異常信息中的病毒信息，可進一步提取分析信息中部分內(nèi)容，以便尋找出病毒潛伏的特征。對于數(shù)據(jù)內(nèi)容的提取，蜜罐和蜜網(wǎng)需要向協(xié)同控制中心提出數(shù)據(jù)訪問請求，在協(xié)同防御中心通過后，可對異常信息的內(nèi)容進行訪問與提取，以此來確保蜜罐或蜜網(wǎng)中信息的安全性。一旦檢測出病毒潛伏特征，信息蜜罐和蜜網(wǎng)會將特征告知協(xié)同控制中心，控制中心通知其它節(jié)點啟用IPS和防火墻，清除和過濾包含潛伏特征的流量數(shù)據(jù)，從而提升病毒的免疫率。

以上特征提取過程主要針對處于潛伏階段的病毒，對于感染階段的病毒，協(xié)同防御系統(tǒng)可將其視為蠕蟲病毒。此外，在防御感染階段病毒的同時，網(wǎng)絡節(jié)點還需要檢測病毒是否包含潛伏特性，避免網(wǎng)絡恢復安全后的二次感染。如果協(xié)同控制中心確定病毒類型潛伏型病毒但未檢測出潛伏特征，可命令網(wǎng)絡用戶開啟防火墻的NTVMM模塊，在可承受的通信損失范圍內(nèi)選擇一個合適的閾值，并以部分通信代價來提升網(wǎng)絡的安全性。

以上潛伏型病毒防御流程能對已知類型病毒的潛伏和感染特征進行檢測，也能利用模塊間的協(xié)同作用來檢測未知類型病毒的潛伏和感染特征，從而有效提升網(wǎng)絡對病毒的檢測能力。在檢測出病毒特征之前，即病毒監(jiān)測階段，協(xié)同控制中心會生成并分發(fā)協(xié)同防御策略，來抑制病毒傳播規(guī)模，確保病毒對網(wǎng)絡造成的損失降到最低。

4 仿真驗證

仿真部分重點驗證所構(gòu)建協(xié)同防御架構(gòu)及機制在防御潛伏型病毒方面的有效性。節(jié)點信任值管理算法(NTVMM)[6]和基于最大性能收益的隔離算法(maximum performance gain isolation algorithm，MPGIA)[29]在網(wǎng)絡收益方面要優(yōu)于最大度隔離算法(maximum degree isolation algorithm， MDIA)[30]，仿真主要將協(xié)同防御策略與前兩種策略進行對比。

4.1 網(wǎng)絡社團劃分

生成一個小世界網(wǎng)絡，網(wǎng)絡節(jié)點數(shù) ，邊的數(shù)量，平均度近似等于2，平均聚類系數(shù)為0.273。根據(jù)Newman快速凝聚算法，將網(wǎng)絡劃分為6個社團。圖6和圖7分別給出了網(wǎng)絡社團劃分圖及每個社團中節(jié)點的數(shù)量圖。

圖6 網(wǎng)絡社團劃分圖

圖7 每個社團中節(jié)點的數(shù)量

在圖6中，網(wǎng)絡節(jié)點尺寸越大，節(jié)點的度越大；節(jié)點的顏色表示該節(jié)點所處的社團，共有6種顏色，每種顏色節(jié)點的數(shù)量對應于圖7中社團節(jié)點的數(shù)量。

4.2 仿真參數(shù)設置

選取SEIQRS病毒傳播模型[17]，模型中轉(zhuǎn)移參數(shù)設置為β=0.6、θ=0.1、γ=0.6、ω=0.2、ε=0.2、φ=0.2、δ=0.2、b=0.1。網(wǎng)絡總節(jié)點數(shù)N=1 000，網(wǎng)絡平均度k=2，令狀態(tài)節(jié)點數(shù)量初始值(S(0),E(0),I(0),Q(0),R(0))=(980,0,20,0,0)，計算可得直接潛伏型病毒傳播模型的基本再生數(shù)分別為R0=2.25，該參數(shù)設置下網(wǎng)絡中是有病毒的存在，而且網(wǎng)絡利用自身免疫系統(tǒng)無法恢復至安全狀態(tài)，需要合理的策略來抑制病毒的傳播。仿真中，在整個網(wǎng)絡中單獨采用MPGIA和NTVMM來恢復網(wǎng)絡安全(作為對照組)，計算網(wǎng)絡恰好達到安全時2種防御算法帶來的網(wǎng)絡性能收益。假設網(wǎng)絡中單位時間內(nèi)兩個節(jié)點間通信一次，即有2條信息傳輸。仿真中單位時間取為1 s。由于只在網(wǎng)絡魯棒性范圍內(nèi)計算策略的收益，小世界網(wǎng)絡中網(wǎng)絡收益函數(shù)參數(shù)[30]取a1=0.5、b1=0.5。

在整個網(wǎng)絡中用2個策略恢復網(wǎng)絡安全后，將網(wǎng)絡按照4.1中方法劃分為6個社團，并在相同仿真參數(shù)環(huán)境下模擬協(xié)同防御過程(作為實驗組)。由于是從數(shù)值上對協(xié)同防御仿真，對其中的部分模塊功能進行量化處理。信息蜜罐和信息蜜網(wǎng)對潛伏病毒的潛伏特征和感染特征進行檢測，設置檢測周期為20 s，網(wǎng)絡對潛伏節(jié)點和感染節(jié)點的免疫概率增加20%。蜜罐和蜜網(wǎng)存儲MPGIA和NTVMM中未能成功發(fā)送的信息，并在網(wǎng)絡恢復安全后將這些信息轉(zhuǎn)發(fā)至目的節(jié)點。由于網(wǎng)絡中信息對時間的依賴程度是隨機的，只有部分信息對時間是敏感的，即延遲發(fā)送有很大損失，而其它信息對時間的敏感度較低，在網(wǎng)絡安全后發(fā)送也不會有太大的損失。因此，根據(jù)平均場理論，可認為蜜罐和蜜網(wǎng)會降低網(wǎng)絡中一半的信息損失，即協(xié)同防御中總的信息損失會在原有損失基礎上減少至50%。協(xié)同防御過程中被病毒感染的社團，會采用收益最高的策略來進行隔離與恢復。沒有發(fā)現(xiàn)病毒的社團可保持正常通信，只需與受感染的社團間中斷通信。據(jù)此，計算協(xié)同防御在恢復網(wǎng)絡安全時的累積網(wǎng)絡收益。

4.3 協(xié)同防御收益的有效性驗證

初始狀態(tài)節(jié)點數(shù)(S(0),E(0),I(0),Q(0),R(0))=(980,0,20,0,0)，表示在病毒爆發(fā)初始時刻，網(wǎng)絡協(xié)同感知和分析系統(tǒng)檢測出被感染病毒節(jié)點有20個，此時還未檢測出有潛伏病毒的節(jié)點，且所有節(jié)點都不具備抵御病毒感染的能力。假設檢測出的潛伏型病毒具有明顯的地域特性，集中分布在某個社團內(nèi)，但不確定病毒所在社團編號。在此條件下，仿真驗證有協(xié)同防御和無協(xié)同防御時2種策略帶來的網(wǎng)絡收益。

圖8是病毒分別出現(xiàn)在在1-6號社團時，網(wǎng)絡整體采用NTVMM和MPGIA，以及隔離對應社團后采用NTVMM和MPGIA得到的網(wǎng)絡收益，即不同策略組合的網(wǎng)絡性能收益。

圖8 不同策略組合的網(wǎng)絡性能收益

此時，網(wǎng)絡中所隔離的社團一定是病毒存在的社團編號。其中，MPGIA-CI表示社團隔離后在受感染社團中采用MPGIA來恢復網(wǎng)絡的安全；NTVMM-CI表示社團隔離后在受感染社團中采用NTVMM；MPGIA-NE為不隔離社團，網(wǎng)絡整體采用MPGIA；NTVMM-NE為不隔離社團，網(wǎng)絡整體采用NTVMM。

由圖8分析知，社團隔離后采用MPGIA和NTVMM恢復網(wǎng)絡安全所獲得的網(wǎng)絡收益是近似相等的，且通常優(yōu)于在整個網(wǎng)絡中采用這兩種策略獲得的收益。由于社團3和社團6的節(jié)點數(shù)量較多，隔離社團后會對較多節(jié)點通信造成影響。因此，如果病毒存在于這兩個社團時，可對網(wǎng)絡整體采用收益較高的策略，不需要隔離社團。此外，網(wǎng)絡整體采取策略所獲得的收益與病毒所在的具體社團無關。在協(xié)同防御系統(tǒng)具體運行時，協(xié)同控制中心總會根據(jù)病毒所在社團，選擇最佳防御方案，如病毒在社團1時選擇MPGIA-CI防御方案，病毒在社團3時選擇NTVMM-NE防御方案。為進一步探究協(xié)同防御的有效性，圖9給出了網(wǎng)絡采用協(xié)同防御時兩種策略的收益和不采用協(xié)同防御時兩種策略的收益。

圖9 有無協(xié)同防御時最佳收益對比

由圖9可以看出，協(xié)同防御下所采用的最佳策略收益總優(yōu)于無協(xié)同防御時最佳策略收益。協(xié)同防御增強了網(wǎng)絡對潛伏型病毒的檢測能力，降低了防御策略造成的信息損失比例。因此，網(wǎng)絡防御的收益得到有效提升。此外，協(xié)同防御策略能以更小的通信代價提升網(wǎng)絡安全性能。

仿真結(jié)果表明，協(xié)同防御在防御潛伏型病毒傳播方面比無協(xié)同防御更具優(yōu)勢，能以較小的通信損失來恢復網(wǎng)絡的安全。

5 結(jié)語

在大規(guī)模網(wǎng)絡的主動協(xié)同防御模型基礎上，融合了信息蜜罐與蜜網(wǎng)、帶有節(jié)點信任管理功能的防火墻、協(xié)同防御策略庫等安全模塊，構(gòu)建了新的網(wǎng)絡協(xié)同防御系統(tǒng)架構(gòu)。通過設計合理的協(xié)同防御機制，打破了網(wǎng)絡防御要素間的獨立性，使這些防御要素以協(xié)同的方式共同抵御外部攻擊。相比于無協(xié)同防御的系統(tǒng)，該協(xié)同防御系能提升網(wǎng)絡對潛伏型病毒的防御能力，在一定程度上增強了網(wǎng)絡全系統(tǒng)感知、元素認證、防御動態(tài)化、行為可監(jiān)控、快速響應與恢復能力，符合網(wǎng)絡空間安全生態(tài)系統(tǒng)的要求。此外，協(xié)同防御架構(gòu)模型具有較強的擴展性，針對其它類型的網(wǎng)絡攻擊，可通過增加安全模塊和防御機制，增強協(xié)同防御系統(tǒng)的功能。