基于無標(biāo)度網(wǎng)絡(luò)的具象蜜網(wǎng)模型建立＊

葉 雯，李蘭友

(1.南京工程學(xué)院網(wǎng)絡(luò)與信息中心，江蘇 南京 211167；2.杭州職業(yè)技術(shù)學(xué)院汽車學(xué)院)

0 引言

DDoS 攻擊是一種常見的網(wǎng)絡(luò)攻擊，由來已久。Dahiya Amrita 和Gupta Brij B在最新的研究中指出DDoS 攻擊因無需基于特定的服務(wù)器配置、特殊的網(wǎng)絡(luò)狀態(tài)或者終端設(shè)備的任何操作等前提條件就可以進(jìn)行或者迅捷完成攻擊行為，并且也無需耗時(shí)費(fèi)力或者巨額的投入支出開銷，互聯(lián)網(wǎng)攻擊者就能制造令被攻擊對(duì)象或受害者良久難以填付的損失，而且不僅限于經(jīng)濟(jì)方面的損失。此外，日新月異高速發(fā)展的互聯(lián)網(wǎng)中的資源分布不均衡問題日益凸顯，也為攻擊者的攻擊行為提供了“解釋”渠道，大大便利了攻擊行為的發(fā)生與實(shí)現(xiàn)，互聯(lián)網(wǎng)攻擊者往往輕輕松松就能達(dá)到攻擊的目的，而正常合法的網(wǎng)絡(luò)用戶及網(wǎng)絡(luò)供應(yīng)商卻措手不及，并且損失慘重。

從上個(gè)世紀(jì)八九十年代，“防控治”三相結(jié)合的蜜罐概念形成了，網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念也相繼應(yīng)運(yùn)而生，網(wǎng)絡(luò)安全相關(guān)科研工作者和使用者就一直在致力于研究如何在頻受網(wǎng)絡(luò)攻擊的復(fù)雜網(wǎng)絡(luò)中對(duì)抗變幻莫測(cè)的網(wǎng)絡(luò)攻擊，維穩(wěn)良好暢通的網(wǎng)絡(luò)安全秩序，保障合法商家和用戶的網(wǎng)絡(luò)權(quán)益，也希冀結(jié)合涉及多種融合安全因素的錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)環(huán)境推測(cè)預(yù)演未來互聯(lián)網(wǎng)的安全發(fā)展勢(shì)態(tài)。

1 無標(biāo)度網(wǎng)絡(luò)

1.1 復(fù)雜網(wǎng)絡(luò)

當(dāng)今的互聯(lián)網(wǎng)實(shí)屬一個(gè)說不清道不明的復(fù)雜網(wǎng)絡(luò)，其中，節(jié)點(diǎn)度是復(fù)雜網(wǎng)絡(luò)的核心關(guān)鍵屬性。復(fù)雜網(wǎng)絡(luò)又分為有向網(wǎng)絡(luò)和無向網(wǎng)絡(luò)。在無向網(wǎng)絡(luò)中，節(jié)點(diǎn)度表示與該節(jié)點(diǎn)相關(guān)聯(lián)的網(wǎng)線的總數(shù)量，記()為節(jié)點(diǎn)的度數(shù)。()越大，表示節(jié)點(diǎn)越重要，即節(jié)點(diǎn)的度中心性越高，其中度的中心性指的是以節(jié)點(diǎn)度為指標(biāo)定義的節(jié)點(diǎn)重要程度。

復(fù)雜網(wǎng)絡(luò)最關(guān)鍵屬性是節(jié)點(diǎn)度，其次就是網(wǎng)絡(luò)的連通性。復(fù)雜網(wǎng)絡(luò)的連通性往往用介數(shù)來表達(dá)。其中介數(shù)又分為節(jié)點(diǎn)介數(shù)和邊介數(shù)兩類。節(jié)點(diǎn)介數(shù)表示的是經(jīng)過節(jié)點(diǎn)的最短路徑的數(shù)目，邊介數(shù)表示包含邊π在內(nèi)的最短路徑的數(shù)目。其關(guān)鍵就在于求取復(fù)雜網(wǎng)絡(luò)中任意兩個(gè)節(jié)點(diǎn)μ和μ之間的最短路徑。

1.2 無標(biāo)度網(wǎng)絡(luò)

復(fù)雜網(wǎng)絡(luò)就隨機(jī)方面而言，可分為隨即網(wǎng)絡(luò)和非隨機(jī)網(wǎng)絡(luò)。隨機(jī)網(wǎng)絡(luò)中大部分節(jié)點(diǎn)是均勻地連在一起的。因此在隨機(jī)網(wǎng)絡(luò)中，很難定位中心節(jié)點(diǎn)，即節(jié)點(diǎn)度()非常大的節(jié)點(diǎn)。隨機(jī)網(wǎng)絡(luò)的節(jié)點(diǎn)度()通常都是較小的，沒有或者很少有()非常大的節(jié)點(diǎn)。

無標(biāo)度網(wǎng)絡(luò)中存在度值相差很大的點(diǎn)，而在不同的無標(biāo)度網(wǎng)絡(luò)中，節(jié)點(diǎn)度值又會(huì)呈現(xiàn)特定的分布特征。在隨機(jī)網(wǎng)絡(luò)中，線路的連接完全是隨機(jī)的，節(jié)點(diǎn)度遵循泊松分布。在無標(biāo)度網(wǎng)絡(luò)中，線路的連接并非完全隨機(jī)，中心節(jié)點(diǎn)容易定位，并且成為網(wǎng)絡(luò)中不可或缺的聯(lián)通樞紐，節(jié)點(diǎn)度近似為冪率分布

其中，P是度值為的概率，τ為度指數(shù)。

無標(biāo)度網(wǎng)絡(luò)的中心節(jié)點(diǎn)可以比較有代表性地表示整個(gè)網(wǎng)絡(luò)，是整個(gè)網(wǎng)絡(luò)拓?fù)浜瓦B通性的縮影。通過這些少量的中心節(jié)點(diǎn)，就可以將松散疏離的小網(wǎng)絡(luò)構(gòu)建成大網(wǎng)絡(luò)，這樣就達(dá)到了提升整體網(wǎng)絡(luò)連通性的目的。并且當(dāng)有一個(gè)新的節(jié)點(diǎn)加入原網(wǎng)絡(luò)的時(shí)候，該節(jié)點(diǎn)最大概率會(huì)與樞紐中心節(jié)點(diǎn)建立連接，依附網(wǎng)絡(luò)中的強(qiáng)節(jié)點(diǎn)，無標(biāo)度網(wǎng)絡(luò)的節(jié)點(diǎn)度()也會(huì)更趨于冪律分布。

2 無標(biāo)度網(wǎng)絡(luò)中的蜜網(wǎng)

蜜網(wǎng)橫空出世至今，以其積極防御的特性引起了人們的廣泛關(guān)注。目前對(duì)蜜網(wǎng)領(lǐng)域的研究可分為微觀和宏觀兩個(gè)層面。前者的目標(biāo)是技術(shù)層面，如改進(jìn)與數(shù)據(jù)控制、數(shù)據(jù)捕獲、和數(shù)據(jù)反饋相關(guān)的核心功能。后者主要集中在揭示惡意軟件通過部署在不同拓?fù)渚W(wǎng)絡(luò)中的蜜網(wǎng)的傳播行為。然而，迄今為止，除檢索到的僅有兩篇文獻(xiàn)外，有關(guān)這一杠桿的工作通常被忽略。ZHAO Narisa等人考慮了惡意軟件在全連接蜜網(wǎng)中的傳播，基于數(shù)學(xué)模型的仿真研究揭示了惡意軟件擴(kuò)散的復(fù)雜動(dòng)力學(xué)。最近，Ren J 等人研究了基于惡意軟件在無尺度網(wǎng)絡(luò)上傳播動(dòng)態(tài)的蜜網(wǎng)效能，發(fā)現(xiàn)節(jié)點(diǎn)度對(duì)蜜網(wǎng)效能有深遠(yuǎn)的影響。以上的研究工作依賴于特定拓?fù)渚W(wǎng)絡(luò)。因此，所得到的結(jié)果是有限度的。本文提出并分析了一種基于感染節(jié)點(diǎn)數(shù)傳播動(dòng)態(tài)的蜜網(wǎng)效能評(píng)估動(dòng)態(tài)模型。與[11]、[12]相比，本文的工作基于無標(biāo)度網(wǎng)絡(luò)。因此，這些發(fā)現(xiàn)是普遍的，因此有廣泛的價(jià)值。這可能才是現(xiàn)階段及未來很長(zhǎng)一段時(shí)間行之有效的網(wǎng)絡(luò)安全保障手段。

蜜網(wǎng)是由一定數(shù)量的蜜罐組成，其中的蜜罐代表一種安全資源，其價(jià)值是被掃描、攻擊、妥協(xié)。蜜罐是一個(gè)精心配置的陷阱，其主要功能是控制數(shù)據(jù)流，抓取惡意程序并且分析其特征，并發(fā)布相應(yīng)的補(bǔ)丁給防御者。

3 模型建立

假設(shè)無標(biāo)度網(wǎng)絡(luò)中的目標(biāo)服務(wù)器集合為：Servers(a)={,,…,a ,a ,a ,…,a}，其中i ≥1，且i 為正整數(shù)；{ ,a ,…,a}=(a)為目標(biāo)中的蜜網(wǎng)集合。攻擊者集合是Attackers(b)={,,…,b} 。假設(shè)在某個(gè)時(shí)間段Time內(nèi)，攻擊者對(duì)服務(wù)器集合Servers(a)沒有任何攻擊行為活動(dòng)，正常合法用戶群體使用目標(biāo)服務(wù)器集合Servers(a)中的每一臺(tái)服務(wù)器所產(chǎn)生的收益集合為

若在同一時(shí)間段Time，攻擊者集合Attackers(b)對(duì)服務(wù)器集合Servers(a)產(chǎn)生攻擊行為，服務(wù)器集合Servers(a)遭受的損失為

則服務(wù)器集合Servers(a)的利潤(rùn)Benefits(B)為：

這里假設(shè)≥（＜的情況類似，這里不累述）。

攻擊者發(fā)起攻擊行為，一般無法對(duì)其控制和約束。此模型因其中只有第三項(xiàng)和第四項(xiàng)是可控可變的。第四項(xiàng)是蜜網(wǎng)的成本，包括蜜網(wǎng)設(shè)備成本和人工成本，不能顧此失彼，既不能為了減少成本而粗制濫造蜜網(wǎng)，也不能為了增強(qiáng)蜜網(wǎng)的效能而耗費(fèi)大量財(cái)力物力，在蜜網(wǎng)效能盡可能大的情況下，使得蜜網(wǎng)足夠以假亂真，類似充當(dāng)服務(wù)器組的作用。因此，蜜網(wǎng)的成本也是固定的，這里重點(diǎn)研究第三項(xiàng)。

令威希特矩陣B=，即：

4 數(shù)值仿真

4.1 仿真環(huán)境

本文的數(shù)值仿真實(shí)驗(yàn)環(huán)境為聯(lián)想揚(yáng)天s5250 一體機(jī)，i7-7700T 臺(tái)式機(jī)處理器，Windows 10，64 位操作系統(tǒng)。編程平臺(tái)為MATLAB R2013a。

4.2 仿真實(shí)驗(yàn)

實(shí)驗(yàn)中，服務(wù)器集合為1000 臺(tái)設(shè)備（只包含正常作業(yè)的服務(wù)器和蜜網(wǎng)設(shè)備），即s=1000，保存在矩陣A 中，其中每一行為一臺(tái)服務(wù)器或者一個(gè)蜜網(wǎng)設(shè)備的樣本，第一列為序號(hào)，第二列為其對(duì)應(yīng)的利潤(rùn)Benefits。實(shí)驗(yàn)主要研究正常作業(yè)服務(wù)器和蜜網(wǎng)服務(wù)器的數(shù)量對(duì)網(wǎng)絡(luò)安全的影響。

當(dāng)i分別等于100、150、200、500、800、900 時(shí)，生成的二維高斯分布程序運(yùn)行時(shí)間見表1，實(shí)驗(yàn)數(shù)據(jù)圖如圖1所示。

表1 二維高斯分布時(shí)間表

圖1 二維高斯分布實(shí)驗(yàn)數(shù)據(jù)圖

5 結(jié)論

蜜網(wǎng)是一種易受攻擊的模擬計(jì)算機(jī)網(wǎng)絡(luò)，常用來提高網(wǎng)絡(luò)安全性。蜜網(wǎng)效能的深入評(píng)估是蜜網(wǎng)有效設(shè)計(jì)和改進(jìn)的關(guān)鍵。為此，本文提出了一種新的蜜網(wǎng)效能評(píng)估動(dòng)態(tài)模型并進(jìn)行了分析。該模型將蜜罐作為狀態(tài)變量納入模型公式，數(shù)學(xué)分析發(fā)現(xiàn)，決定蜜網(wǎng)效能的關(guān)鍵是部署網(wǎng)絡(luò)的最大特征值。特別是，特征值的范圍清晰地形成了兩個(gè)顯式分支之間的感染傳播的界限，在這個(gè)界限以下，蜜網(wǎng)工作在其最佳水平，直到惡意軟件趨于滅絕，在這個(gè)界限以上，惡意軟件保持在某個(gè)水平。在幾個(gè)具有代表性的計(jì)算機(jī)網(wǎng)絡(luò)上進(jìn)行數(shù)值模擬，驗(yàn)證了該模型的正確性。根據(jù)理論和數(shù)值結(jié)果進(jìn)行了討論。結(jié)果表明，適當(dāng)減少已部署網(wǎng)絡(luò)的鏈路數(shù)和最大節(jié)點(diǎn)度，或加強(qiáng)蜜網(wǎng)的數(shù)據(jù)控制或補(bǔ)丁反饋功能，均能顯式地提高蜜網(wǎng)效能。本文基于無標(biāo)度網(wǎng)絡(luò)，通過仿真實(shí)驗(yàn)，研究了無標(biāo)度網(wǎng)絡(luò)中蜜網(wǎng)與常規(guī)服務(wù)器在數(shù)量上的比較，并建立了仿真模型，以期為后續(xù)的蜜網(wǎng)研究提供參考。