物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊分段檢測(cè)系統(tǒng)設(shè)計(jì)

蔡 娜，劉 磊

（北京計(jì)算機(jī)技術(shù)及應(yīng)用研究所，北京 100854）

物聯(lián)網(wǎng)是以傳統(tǒng)電信網(wǎng)絡(luò)和互聯(lián)網(wǎng)為基礎(chǔ)構(gòu)建的新型信息承載體結(jié)構(gòu)，它能夠自發(fā)執(zhí)行獨(dú)立尋址指令，并可以將對(duì)象節(jié)點(diǎn)串聯(lián)起來(lái)，形成完善且穩(wěn)定的互通網(wǎng)絡(luò)閉環(huán)。在實(shí)際應(yīng)用過(guò)程中，物聯(lián)網(wǎng)結(jié)構(gòu)體系的構(gòu)建必須借助射頻識(shí)別技術(shù)[1]。隨著網(wǎng)絡(luò)覆蓋面積的增大，信息節(jié)點(diǎn)之間的聯(lián)系緊密度也在不斷增強(qiáng)。此時(shí)在射頻識(shí)別技術(shù)的作用下，單一信息節(jié)點(diǎn)所發(fā)出的傳輸數(shù)據(jù)文件能夠在較短時(shí)間內(nèi)反饋至下級(jí)目標(biāo)信息節(jié)點(diǎn)，且此過(guò)程中不會(huì)出現(xiàn)任何數(shù)據(jù)損失行為，這也是物聯(lián)網(wǎng)環(huán)境中數(shù)據(jù)信息傳輸量始終保持穩(wěn)定的主要原因[2]。

在物聯(lián)網(wǎng)環(huán)境中，數(shù)據(jù)信息惡意攻擊行為不但會(huì)嚴(yán)重影響信息參量的傳輸完整性，還會(huì)使分布式網(wǎng)絡(luò)環(huán)境呈現(xiàn)出明顯波動(dòng)連接狀態(tài)[3]。為避免上述情況的發(fā)生，傳統(tǒng)DoS 檢測(cè)系統(tǒng)以分布式框架為基礎(chǔ)，在準(zhǔn)確提取數(shù)據(jù)信息傳輸文本參量的同時(shí)，利用IP 解析模塊，確定信息節(jié)點(diǎn)之間的互通連接關(guān)系[4]。然而，該系統(tǒng)對(duì)于數(shù)據(jù)信息惡意攻擊行為的屏蔽能力有限，并不能使物聯(lián)網(wǎng)分布式環(huán)境保持絕對(duì)穩(wěn)定的連接狀態(tài)。針對(duì)上述問(wèn)題，設(shè)計(jì)新型物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊分段檢測(cè)系統(tǒng)，并通過(guò)對(duì)比實(shí)驗(yàn)，突出該系統(tǒng)的應(yīng)用能力。

1 攻擊分段檢測(cè)系統(tǒng)硬件設(shè)計(jì)

1.1 Hadoop架構(gòu)

Hadoop 架構(gòu)是物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊分段檢測(cè)系統(tǒng)硬件執(zhí)行環(huán)境的構(gòu)建基礎(chǔ)，該架構(gòu)由訪問(wèn)層、網(wǎng)絡(luò)信息層、數(shù)據(jù)信息存儲(chǔ)層三部分組成，如圖1 所示。網(wǎng)絡(luò)信息層是Hadoop 架構(gòu)的核心單元，可以根據(jù)Hive 節(jié)點(diǎn)與MR 節(jié)點(diǎn)、Hbase 節(jié)點(diǎn)與Solr 節(jié)點(diǎn)、Mahout 節(jié)點(diǎn)與Redis 節(jié)點(diǎn)之間的連接關(guān)系，判斷物聯(lián)網(wǎng)數(shù)據(jù)信息參量所處的實(shí)時(shí)傳輸位置[5-6]。由于網(wǎng)絡(luò)信息層結(jié)構(gòu)同時(shí)與訪問(wèn)層結(jié)構(gòu)、數(shù)據(jù)信息存儲(chǔ)層結(jié)構(gòu)相連，所以物聯(lián)網(wǎng)數(shù)據(jù)信息參量在Hadoop 架構(gòu)中的傳輸行為始終保持通暢。

圖1 Hadoop架構(gòu)示意圖

訪問(wèn)層單元負(fù)責(zé)制定數(shù)據(jù)分析、物聯(lián)網(wǎng)信息查詢與攻擊挖掘指令。數(shù)據(jù)信息存儲(chǔ)層單元只包含物聯(lián)網(wǎng)分布式數(shù)據(jù)庫(kù)，負(fù)責(zé)生成長(zhǎng)期的數(shù)據(jù)信息參量存儲(chǔ)文件。

1.2 數(shù)據(jù)包捕獲模塊

數(shù)據(jù)包捕獲模塊主要負(fù)責(zé)對(duì)物聯(lián)網(wǎng)中的各種數(shù)據(jù)包文件進(jìn)行采集與預(yù)處理。該模塊是基于分布式網(wǎng)絡(luò)的讀取功能實(shí)現(xiàn)的，數(shù)據(jù)包文件的解析與處理效率直接影響主機(jī)元件對(duì)于信息攻擊行為的檢測(cè)準(zhǔn)確性[7]。在分段檢測(cè)系統(tǒng)中，物聯(lián)網(wǎng)主機(jī)可以工作在多種不同的運(yùn)行模式之下，以實(shí)現(xiàn)不同的攻擊行為檢測(cè)需求。主要模式有Ad-hoc 模式、Managed 模式、Monitor 模式。

1）Ad-hoc 模式

數(shù)據(jù)包捕獲模塊的主要工作模式，可以準(zhǔn)確檢測(cè)出攻擊性物聯(lián)網(wǎng)數(shù)據(jù)所處位置，并可以借助信道組織，將檢測(cè)指令文件傳輸至下級(jí)應(yīng)用模塊之中。

2）Managed 模式

數(shù)據(jù)包捕獲模塊Ad-hoc 工作模式的伴隨存在形式，能夠?qū)⒐粜晕锫?lián)網(wǎng)數(shù)據(jù)從分布式數(shù)據(jù)庫(kù)主機(jī)中分離出來(lái)，并將這些信息文本反饋回核心檢測(cè)主機(jī)[8]。

3）Monitor 模式

數(shù)據(jù)包捕獲模塊的從屬工作模式，可以根據(jù)Hadoop 架構(gòu)連接狀態(tài)，確定待檢測(cè)物聯(lián)網(wǎng)數(shù)據(jù)信息的實(shí)際傳輸行為。

1.3 攻擊行為檢測(cè)模塊

攻擊行為檢測(cè)模塊作為Hadoop 架構(gòu)的下級(jí)附屬結(jié)構(gòu)，以MAC 設(shè)備作為核心應(yīng)用設(shè)備，其與物聯(lián)網(wǎng)主機(jī)保持分布式連接關(guān)系。故而在提取惡意攻擊信息時(shí)，要求數(shù)據(jù)序列號(hào)的定義形式必須與數(shù)據(jù)信息樣本的實(shí)時(shí)排列形式保持一致[9]。其具體連接原理如圖2所示。

圖2 攻擊行為檢測(cè)模塊連接原理

MAC 設(shè)備對(duì)于物聯(lián)網(wǎng)惡意攻擊信息的提取遵循先序列號(hào)、再執(zhí)行指令的原則。數(shù)據(jù)信息樣本作為過(guò)渡結(jié)構(gòu)，可以按照序列號(hào)定義條件，對(duì)信息參量進(jìn)行重排處理[10]。當(dāng)物聯(lián)網(wǎng)惡意攻擊信息的實(shí)時(shí)排列形式與檢測(cè)模塊的執(zhí)行標(biāo)準(zhǔn)完全相同時(shí)，MAC 設(shè)備會(huì)自發(fā)制定分段檢測(cè)指令，以便下級(jí)服務(wù)設(shè)備的調(diào)取與利用。

2 攻擊分段檢測(cè)系統(tǒng)軟件設(shè)計(jì)

2.1 物聯(lián)網(wǎng)集群定義

物聯(lián)網(wǎng)集群的主要功能是將惡意數(shù)據(jù)信息接入分段檢測(cè)主機(jī)中，再根據(jù)拒絕服務(wù)指令的傳輸形式，確定與惡意信息參量匹配的數(shù)據(jù)傳輸流量水平。隨著分布式物聯(lián)網(wǎng)框架覆蓋面積的增大，集群節(jié)點(diǎn)的定義數(shù)量也在不斷增多。為使流量指標(biāo)能夠與惡意信息參量完全匹配，定義物聯(lián)網(wǎng)集群節(jié)點(diǎn)時(shí)，必須考慮物聯(lián)網(wǎng)主機(jī)對(duì)于傳輸數(shù)據(jù)信息的實(shí)時(shí)檢測(cè)能力[11-12]。設(shè)w、e表示兩個(gè)不相同的數(shù)據(jù)信息分段定義系數(shù)，qi,e表示基于系數(shù)e的攻擊行為檢測(cè)參量，qi,w表示基于系數(shù)w的攻擊行為檢測(cè)參量。聯(lián)立上述物理量，可將物聯(lián)網(wǎng)集群表達(dá)式定義為：

式中，i表示惡意數(shù)據(jù)信息的流量標(biāo)度值，β表示物聯(lián)網(wǎng)體系的分布式特征值，ΔP表示惡意數(shù)據(jù)信息的單位傳輸量。對(duì)于分段檢測(cè)系統(tǒng)而言，物聯(lián)網(wǎng)集群節(jié)點(diǎn)分布得越分散，主機(jī)元件對(duì)于數(shù)據(jù)信息參量的感知與辨別能力也就越強(qiáng)。

2.2 分布式執(zhí)行指令

分布式執(zhí)行指令決定了物聯(lián)網(wǎng)主機(jī)對(duì)于拒絕服務(wù)連接行為的處理能力，在已知物聯(lián)網(wǎng)集群定義標(biāo)準(zhǔn)的條件下，待執(zhí)行指令之間的關(guān)聯(lián)程度越高，惡意數(shù)據(jù)信息與常規(guī)傳輸信息之間的差異性等級(jí)也就越高，即系統(tǒng)主機(jī)具有較強(qiáng)的檢測(cè)能力[13-14]。定義分布式執(zhí)行指令時(shí)，需掌握惡意數(shù)據(jù)信息傳輸強(qiáng)度γ的具體數(shù)值，計(jì)算表達(dá)式如下：

式中，α表示拒絕服務(wù)連接行為執(zhí)行強(qiáng)度，y1、y2表示兩個(gè)隨機(jī)選取的物聯(lián)網(wǎng)體系分布式構(gòu)建向量，yˉ表示向量y1與y2的平均值。在式（2）的基礎(chǔ)上，設(shè)δ表示常規(guī)數(shù)據(jù)信息的傳輸?shù)燃?jí)系數(shù)，χ表示惡意數(shù)據(jù)信息的傳輸?shù)燃?jí)系數(shù)，聯(lián)立式（1），可將分布式執(zhí)行指令定義條件表示為：

其中，f表示惡意數(shù)據(jù)信息、常規(guī)數(shù)據(jù)信息之間的關(guān)聯(lián)差異系數(shù)。為實(shí)現(xiàn)對(duì)物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊的準(zhǔn)確檢測(cè)，定義分布式執(zhí)行指令時(shí)，系數(shù)δ的取值必須大于系數(shù)χ。

2.3 拒絕服務(wù)應(yīng)用機(jī)制

拒絕服務(wù)應(yīng)用機(jī)制表現(xiàn)了物聯(lián)網(wǎng)體系的分段應(yīng)用等級(jí)，若將分布式執(zhí)行指令作為已知條件，惡意數(shù)據(jù)信息的實(shí)時(shí)傳輸量越大，檢測(cè)主機(jī)能夠屏蔽的攻擊性行為種類也就越多[15-16]。建立拒絕服務(wù)應(yīng)用機(jī)制時(shí)，需求取物聯(lián)網(wǎng)主機(jī)對(duì)于惡意數(shù)據(jù)信息的極限承載條件。設(shè)ω表示惡意數(shù)據(jù)信息的分段特征，d表示決絕服務(wù)攻擊行為指令的分段特征。物聯(lián)網(wǎng)主機(jī)對(duì)于惡意數(shù)據(jù)信息承載量極小值smin、極大值smax的計(jì)算結(jié)果如式（4）所示：

設(shè)k1、k2、…、kn表示n個(gè)不同的拒絕服務(wù)攻擊行為向量。聯(lián)立式（3）、式（4），可將拒絕服務(wù)應(yīng)用機(jī)制定義條件表示為：

至此，完成對(duì)各項(xiàng)指標(biāo)參量的計(jì)算與處理。在不考慮其他干擾條件的情況下，實(shí)現(xiàn)物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊分段檢測(cè)系統(tǒng)的設(shè)計(jì)與應(yīng)用。

3 實(shí)例分析

為驗(yàn)證檢測(cè)系統(tǒng)對(duì)數(shù)據(jù)信息惡意攻擊行為的屏蔽能力，設(shè)計(jì)如下對(duì)比實(shí)驗(yàn)。

步驟一：選擇物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊分段檢測(cè)系統(tǒng)作為實(shí)驗(yàn)組應(yīng)用方法；

步驟二：選擇DoS檢測(cè)系統(tǒng)作為對(duì)照組應(yīng)用方法；

步驟三：以一臺(tái)額定承載量為5 TB 的物聯(lián)網(wǎng)主機(jī)作為實(shí)驗(yàn)設(shè)備；

步驟四：利用實(shí)驗(yàn)組檢測(cè)系統(tǒng)對(duì)實(shí)驗(yàn)設(shè)備進(jìn)行控制；

步驟五：記錄實(shí)驗(yàn)組數(shù)據(jù)信息惡意攻擊行為強(qiáng)度數(shù)值；

步驟六：利用對(duì)照組檢測(cè)系統(tǒng)對(duì)實(shí)驗(yàn)設(shè)備進(jìn)行控制；

步驟七：記錄對(duì)照組數(shù)據(jù)信息惡意攻擊行為強(qiáng)度數(shù)值；

步驟八：對(duì)比實(shí)驗(yàn)組、對(duì)照組的實(shí)驗(yàn)記錄數(shù)值；

步驟九：分析實(shí)驗(yàn)結(jié)果，總結(jié)實(shí)驗(yàn)規(guī)律；

數(shù)據(jù)信息惡意攻擊行為強(qiáng)度ψ可以描述物聯(lián)網(wǎng)分布式環(huán)境的連接穩(wěn)定性，前者的計(jì)算取值越大，后者的連接穩(wěn)定性也就越強(qiáng)。

數(shù)據(jù)信息惡意攻擊行為強(qiáng)度ψ計(jì)算式如下：

式中，ω表示定向檢測(cè)系數(shù)，θ表示檢測(cè)指令執(zhí)行系數(shù)。

表1 記錄了實(shí)驗(yàn)組、對(duì)照組ω指標(biāo)與θ指標(biāo)的實(shí)驗(yàn)取值結(jié)果。

表1 實(shí)驗(yàn)指標(biāo)取值

分析表1 中數(shù)據(jù)可知，實(shí)驗(yàn)組、對(duì)照組ω指標(biāo)的數(shù)值差水平不大，前者最大值為2.28、平均值為2.27，后者最大值為2.29、平均值為2.27；而實(shí)驗(yàn)組θ指標(biāo)的數(shù)值水平較低、對(duì)照組θ指標(biāo)的數(shù)值水平相對(duì)較高，前者最大值為19.36、平均值為17.96，后者最大值為35.08、平均值為33.41。

聯(lián)合式（6）與表1 中的實(shí)驗(yàn)數(shù)值，計(jì)算數(shù)據(jù)信息惡意攻擊行為強(qiáng)度ψ，詳情如表2 所示。

表2 數(shù)據(jù)信息惡意攻擊行為強(qiáng)度

分析表2 可知，整個(gè)實(shí)驗(yàn)過(guò)程中，實(shí)驗(yàn)組ψ指標(biāo)數(shù)值水平較低，其最大值為43.75、平均值為40.80；對(duì)照組ψ指標(biāo)數(shù)值水平則相對(duì)較高，其最大值為79.63、平均值為75.95。

綜上可知，在物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊分段檢測(cè)系統(tǒng)的作用下，數(shù)據(jù)信息惡意攻擊行為強(qiáng)度指標(biāo)的數(shù)值水平得到了較好控制，其計(jì)算結(jié)果最大值由79.63 降低至43.75，單位下降幅度為35.88，其計(jì)算結(jié)果最小值由72.70 下降至36.80，單位下降幅度為35.90。與DoS 檢測(cè)系統(tǒng)相比，物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊分段檢測(cè)系統(tǒng)能夠較好屏蔽數(shù)據(jù)信息的惡意攻擊行為，這與維持物聯(lián)網(wǎng)分布式環(huán)境連接穩(wěn)定性的初衷相符合。

4 結(jié)束語(yǔ)

隨著物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊分段檢測(cè)系統(tǒng)的應(yīng)用，數(shù)據(jù)信息惡意攻擊行為強(qiáng)度指標(biāo)均值被控制在41 以下，這對(duì)于屏蔽數(shù)據(jù)信息的惡意攻擊行為，確保物聯(lián)網(wǎng)分布式環(huán)境的連接穩(wěn)定性具有較強(qiáng)的實(shí)用性價(jià)值。在DoS 檢測(cè)系統(tǒng)的基礎(chǔ)上，分段檢測(cè)系統(tǒng)以Hadoop 架構(gòu)為基礎(chǔ)，在數(shù)據(jù)包捕獲模塊的作用下，調(diào)節(jié)攻擊行為檢測(cè)模塊的實(shí)際作用能力。根據(jù)物聯(lián)網(wǎng)集群定義表達(dá)式，完善拒絕服務(wù)應(yīng)用機(jī)制的作用形式，對(duì)于促進(jìn)分布式執(zhí)行指令的準(zhǔn)確傳輸，可以起到較強(qiáng)的促進(jìn)性影響作用。