葉 雯,李蘭友
(1.南京工程學(xué)院網(wǎng)絡(luò)與信息中心,江蘇 南京 211167;2.杭州職業(yè)技術(shù)學(xué)院汽車學(xué)院)
DDoS 攻擊是一種常見的網(wǎng)絡(luò)攻擊,由來已久。Dahiya Amrita 和Gupta Brij B在最新的研究中指出DDoS 攻擊因無需基于特定的服務(wù)器配置、特殊的網(wǎng)絡(luò)狀態(tài)或者終端設(shè)備的任何操作等前提條件就可以進(jìn)行或者迅捷完成攻擊行為,并且也無需耗時(shí)費(fèi)力或者巨額的投入支出開銷,互聯(lián)網(wǎng)攻擊者就能制造令被攻擊對(duì)象或受害者良久難以填付的損失,而且不僅限于經(jīng)濟(jì)方面的損失。此外,日新月異高速發(fā)展的互聯(lián)網(wǎng)中的資源分布不均衡問題日益凸顯,也為攻擊者的攻擊行為提供了“解釋”渠道,大大便利了攻擊行為的發(fā)生與實(shí)現(xiàn),互聯(lián)網(wǎng)攻擊者往往輕輕松松就能達(dá)到攻擊的目的,而正常合法的網(wǎng)絡(luò)用戶及網(wǎng)絡(luò)供應(yīng)商卻措手不及,并且損失慘重。
從上個(gè)世紀(jì)八九十年代,“防控治”三相結(jié)合的蜜罐概念形成了,網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念也相繼應(yīng)運(yùn)而生,網(wǎng)絡(luò)安全相關(guān)科研工作者和使用者就一直在致力于研究如何在頻受網(wǎng)絡(luò)攻擊的復(fù)雜網(wǎng)絡(luò)中對(duì)抗變幻莫測(cè)的網(wǎng)絡(luò)攻擊,維穩(wěn)良好暢通的網(wǎng)絡(luò)安全秩序,保障合法商家和用戶的網(wǎng)絡(luò)權(quán)益,也希冀結(jié)合涉及多種融合安全因素的錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)環(huán)境推測(cè)預(yù)演未來互聯(lián)網(wǎng)的安全發(fā)展勢(shì)態(tài)。
當(dāng)今的互聯(lián)網(wǎng)實(shí)屬一個(gè)說不清道不明的復(fù)雜網(wǎng)絡(luò),其中,節(jié)點(diǎn)度是復(fù)雜網(wǎng)絡(luò)的核心關(guān)鍵屬性。復(fù)雜網(wǎng)絡(luò)又分為有向網(wǎng)絡(luò)和無向網(wǎng)絡(luò)。在無向網(wǎng)絡(luò)中,節(jié)點(diǎn)度表示與該節(jié)點(diǎn)相關(guān)聯(lián)的網(wǎng)線的總數(shù)量,記()為節(jié)點(diǎn)的度數(shù)。()越大,表示節(jié)點(diǎn)越重要,即節(jié)點(diǎn)的度中心性越高,其中度的中心性指的是以節(jié)點(diǎn)度為指標(biāo)定義的節(jié)點(diǎn)重要程度。
復(fù)雜網(wǎng)絡(luò)最關(guān)鍵屬性是節(jié)點(diǎn)度,其次就是網(wǎng)絡(luò)的連通性。復(fù)雜網(wǎng)絡(luò)的連通性往往用介數(shù)來表達(dá)。其中介數(shù)又分為節(jié)點(diǎn)介數(shù)和邊介數(shù)兩類。節(jié)點(diǎn)介數(shù)表示的是經(jīng)過節(jié)點(diǎn)的最短路徑的數(shù)目,邊介數(shù)表示包含邊π在內(nèi)的最短路徑的數(shù)目。其關(guān)鍵就在于求取復(fù)雜網(wǎng)絡(luò)中任意兩個(gè)節(jié)點(diǎn)μ和μ之間的最短路徑。
復(fù)雜網(wǎng)絡(luò)就隨機(jī)方面而言,可分為隨即網(wǎng)絡(luò)和非隨機(jī)網(wǎng)絡(luò)。隨機(jī)網(wǎng)絡(luò)中大部分節(jié)點(diǎn)是均勻地連在一起的。因此在隨機(jī)網(wǎng)絡(luò)中,很難定位中心節(jié)點(diǎn),即節(jié)點(diǎn)度()非常大的節(jié)點(diǎn)。隨機(jī)網(wǎng)絡(luò)的節(jié)點(diǎn)度()通常都是較小的,沒有或者很少有()非常大的節(jié)點(diǎn)。
無標(biāo)度網(wǎng)絡(luò)中存在度值相差很大的點(diǎn),而在不同的無標(biāo)度網(wǎng)絡(luò)中,節(jié)點(diǎn)度值又會(huì)呈現(xiàn)特定的分布特征。在隨機(jī)網(wǎng)絡(luò)中,線路的連接完全是隨機(jī)的,節(jié)點(diǎn)度遵循泊松分布。在無標(biāo)度網(wǎng)絡(luò)中,線路的連接并非完全隨機(jī),中心節(jié)點(diǎn)容易定位,并且成為網(wǎng)絡(luò)中不可或缺的聯(lián)通樞紐,節(jié)點(diǎn)度近似為冪率分布
其中,P是度值為的概率,τ為度指數(shù)。
無標(biāo)度網(wǎng)絡(luò)的中心節(jié)點(diǎn)可以比較有代表性地表示整個(gè)網(wǎng)絡(luò),是整個(gè)網(wǎng)絡(luò)拓?fù)浜瓦B通性的縮影。通過這些少量的中心節(jié)點(diǎn),就可以將松散疏離的小網(wǎng)絡(luò)構(gòu)建成大網(wǎng)絡(luò),這樣就達(dá)到了提升整體網(wǎng)絡(luò)連通性的目的。并且當(dāng)有一個(gè)新的節(jié)點(diǎn)加入原網(wǎng)絡(luò)的時(shí)候,該節(jié)點(diǎn)最大概率會(huì)與樞紐中心節(jié)點(diǎn)建立連接,依附網(wǎng)絡(luò)中的強(qiáng)節(jié)點(diǎn),無標(biāo)度網(wǎng)絡(luò)的節(jié)點(diǎn)度()也會(huì)更趨于冪律分布。
蜜網(wǎng)橫空出世至今,以其積極防御的特性引起了人們的廣泛關(guān)注。目前對(duì)蜜網(wǎng)領(lǐng)域的研究可分為微觀和宏觀兩個(gè)層面。前者的目標(biāo)是技術(shù)層面,如改進(jìn)與數(shù)據(jù)控制、數(shù)據(jù)捕獲、和數(shù)據(jù)反饋相關(guān)的核心功能。后者主要集中在揭示惡意軟件通過部署在不同拓?fù)渚W(wǎng)絡(luò)中的蜜網(wǎng)的傳播行為。然而,迄今為止,除檢索到的僅有兩篇文獻(xiàn)外,有關(guān)這一杠桿的工作通常被忽略。ZHAO Narisa等人考慮了惡意軟件在全連接蜜網(wǎng)中的傳播,基于數(shù)學(xué)模型的仿真研究揭示了惡意軟件擴(kuò)散的復(fù)雜動(dòng)力學(xué)。最近,Ren J 等人研究了基于惡意軟件在無尺度網(wǎng)絡(luò)上傳播動(dòng)態(tài)的蜜網(wǎng)效能,發(fā)現(xiàn)節(jié)點(diǎn)度對(duì)蜜網(wǎng)效能有深遠(yuǎn)的影響。以上的研究工作依賴于特定拓?fù)渚W(wǎng)絡(luò)。因此,所得到的結(jié)果是有限度的。本文提出并分析了一種基于感染節(jié)點(diǎn)數(shù)傳播動(dòng)態(tài)的蜜網(wǎng)效能評(píng)估動(dòng)態(tài)模型。與[11]、[12]相比,本文的工作基于無標(biāo)度網(wǎng)絡(luò)。因此,這些發(fā)現(xiàn)是普遍的,因此有廣泛的價(jià)值。這可能才是現(xiàn)階段及未來很長(zhǎng)一段時(shí)間行之有效的網(wǎng)絡(luò)安全保障手段。
蜜網(wǎng)是由一定數(shù)量的蜜罐組成,其中的蜜罐代表一種安全資源,其價(jià)值是被掃描、攻擊、妥協(xié)。蜜罐是一個(gè)精心配置的陷阱,其主要功能是控制數(shù)據(jù)流,抓取惡意程序并且分析其特征,并發(fā)布相應(yīng)的補(bǔ)丁給防御者。
假設(shè)無標(biāo)度網(wǎng)絡(luò)中的目標(biāo)服務(wù)器集合為:Servers(a)={,,…,a ,a ,a ,…,a},其中i ≥1,且i 為正整數(shù);{ ,a ,…,a}=(a)為目標(biāo)中的蜜網(wǎng)集合。攻擊者集合是Attackers(b)={,,…,b} 。假設(shè)在某個(gè)時(shí)間段Time內(nèi),攻擊者對(duì)服務(wù)器集合Servers(a)沒有任何攻擊行為活動(dòng),正常合法用戶群體使用目標(biāo)服務(wù)器集合Servers(a)中的每一臺(tái)服務(wù)器所產(chǎn)生的收益集合為
若在同一時(shí)間段Time,攻擊者集合Attackers(b)對(duì)服務(wù)器集合Servers(a)產(chǎn)生攻擊行為,服務(wù)器集合Servers(a)遭受的損失為
則服務(wù)器集合Servers(a)的利潤(rùn)Benefits(B)為:
這里假設(shè)≥(<的情況類似,這里不累述)。
攻擊者發(fā)起攻擊行為,一般無法對(duì)其控制和約束。此模型因其中只有第三項(xiàng)和第四項(xiàng)是可控可變的。第四項(xiàng)是蜜網(wǎng)的成本,包括蜜網(wǎng)設(shè)備成本和人工成本,不能顧此失彼,既不能為了減少成本而粗制濫造蜜網(wǎng),也不能為了增強(qiáng)蜜網(wǎng)的效能而耗費(fèi)大量財(cái)力物力,在蜜網(wǎng)效能盡可能大的情況下,使得蜜網(wǎng)足夠以假亂真,類似充當(dāng)服務(wù)器組的作用。因此,蜜網(wǎng)的成本也是固定的,這里重點(diǎn)研究第三項(xiàng)。
令威希特矩陣B=,即:
本文的數(shù)值仿真實(shí)驗(yàn)環(huán)境為聯(lián)想揚(yáng)天s5250 一體機(jī),i7-7700T 臺(tái)式機(jī)處理器,Windows 10,64 位操作系統(tǒng)。編程平臺(tái)為MATLAB R2013a。
實(shí)驗(yàn)中,服務(wù)器集合為1000 臺(tái)設(shè)備(只包含正常作業(yè)的服務(wù)器和蜜網(wǎng)設(shè)備),即s=1000,保存在矩陣A 中,其中每一行為一臺(tái)服務(wù)器或者一個(gè)蜜網(wǎng)設(shè)備的樣本,第一列為序號(hào),第二列為其對(duì)應(yīng)的利潤(rùn)Benefits。實(shí)驗(yàn)主要研究正常作業(yè)服務(wù)器和蜜網(wǎng)服務(wù)器的數(shù)量對(duì)網(wǎng)絡(luò)安全的影響。
當(dāng)i分別等于100、150、200、500、800、900 時(shí),生成的二維高斯分布程序運(yùn)行時(shí)間見表1,實(shí)驗(yàn)數(shù)據(jù)圖如圖1所示。
表1 二維高斯分布時(shí)間表
圖1 二維高斯分布實(shí)驗(yàn)數(shù)據(jù)圖
蜜網(wǎng)是一種易受攻擊的模擬計(jì)算機(jī)網(wǎng)絡(luò),常用來提高網(wǎng)絡(luò)安全性。蜜網(wǎng)效能的深入評(píng)估是蜜網(wǎng)有效設(shè)計(jì)和改進(jìn)的關(guān)鍵。為此,本文提出了一種新的蜜網(wǎng)效能評(píng)估動(dòng)態(tài)模型并進(jìn)行了分析。該模型將蜜罐作為狀態(tài)變量納入模型公式,數(shù)學(xué)分析發(fā)現(xiàn),決定蜜網(wǎng)效能的關(guān)鍵是部署網(wǎng)絡(luò)的最大特征值。特別是,特征值的范圍清晰地形成了兩個(gè)顯式分支之間的感染傳播的界限,在這個(gè)界限以下,蜜網(wǎng)工作在其最佳水平,直到惡意軟件趨于滅絕,在這個(gè)界限以上,惡意軟件保持在某個(gè)水平。在幾個(gè)具有代表性的計(jì)算機(jī)網(wǎng)絡(luò)上進(jìn)行數(shù)值模擬,驗(yàn)證了該模型的正確性。根據(jù)理論和數(shù)值結(jié)果進(jìn)行了討論。結(jié)果表明,適當(dāng)減少已部署網(wǎng)絡(luò)的鏈路數(shù)和最大節(jié)點(diǎn)度,或加強(qiáng)蜜網(wǎng)的數(shù)據(jù)控制或補(bǔ)丁反饋功能,均能顯式地提高蜜網(wǎng)效能。本文基于無標(biāo)度網(wǎng)絡(luò),通過仿真實(shí)驗(yàn),研究了無標(biāo)度網(wǎng)絡(luò)中蜜網(wǎng)與常規(guī)服務(wù)器在數(shù)量上的比較,并建立了仿真模型,以期為后續(xù)的蜜網(wǎng)研究提供參考。