IPv6網(wǎng)絡攻擊事件溯源中的攻擊樹節(jié)點特征定位

摘"要：在網(wǎng)絡普及的現(xiàn)代，各類網(wǎng)絡協(xié)議層出不窮，而在當下最為普遍的便是IPv6網(wǎng)絡協(xié)議，其雖然優(yōu)化解決了前網(wǎng)絡協(xié)議中存在的部分問題，但是依舊存在各類安全隱患，為了能更好地預防并構(gòu)建網(wǎng)絡防御系統(tǒng)，需要對過往攻擊事件中的攻擊樹節(jié)點特征實施提取。為此，提出了IPv6網(wǎng)絡攻擊事件溯源中的攻擊樹節(jié)點特征定位。該方法首先利用攻擊類型實施擴展，得到攻擊樹模型，并以此展開計算，之后結(jié)合深度學習網(wǎng)絡對攻擊樹的節(jié)點特征實施提取，最后利用DVHop方法對提取到的攻擊樹節(jié)點特征實施定位。所提方法在定位過程中不僅能耗低，而且誤差小，不易受環(huán)境干擾，定位穩(wěn)定性較好，定位效率較高，可以更有效地為改進網(wǎng)絡防御系統(tǒng)提供數(shù)據(jù)支持。

關(guān)鍵詞：IPv6網(wǎng)絡；攻擊樹；節(jié)點特征；特征定位；事件溯源

中圖分類號：T393．08"""""""文獻標識碼：A

Attack"Tree"Node"Feature"Location"in"IPv6"

Network"Attack"Event"Source"Tracing

TANG"Xiaomeng1，REN"Kai"2，TENG"Lijun3，WANG"Dunquan3，LIANG"Dingming3

（1.Fujian"Huadian"Kemen"Power"Generation"Co.，Led.，F(xiàn)uzhou，"Fujian"350500"China;

2.Huadian"Electric"Power"Research"Institute"Co.，"Ltd..Hangzhou，"Zhejiang"310000"China;

3.Shenzhen"Rongan"Networks"Technology"Co.，Ltd.，Shenzhen，Guangdong"518000"China）

Abstract：In"the"modern"era"of"network"popularization，"various"network"protocols"emerge"one"after"another."At"present，"the"most"common"is"the"IPv6"network"protocol."Although"it"has"optimized"and"solved"some"problems"in"the"previous"network"protocols，"there"are"still"various"security"risks."In"order"to""prevent"and"build"a"network"defense"system"better，"it"is"necessary"to"extract"the"characteristics"of"attack"tree"nodes"in"past"attacks."Therefore，"the"node"feature"location"of"attack"tree"innbsp;IPv6"network"attack"event"traceability"is"proposed."This"method"first"uses"the"attack"type"to"expand"and"obtain"the"attack"tree"model，"and"then"calculates"based"on"this"model."Then"it"combines"the"deep"learning"network"to"extract"the"node"features"of"the"attack"tree，"and"finally"uses"the"DVHop"method"to"locate"the"extracted"node"features"of"the"attack"tree."The"proposed"method"not"only"has"low"energy"consumption，"but"also"has"small"error"and"good"positioning"performance，"which"can"provide"more"effective"data"support"for"improving"the"network"defense"system.

Key"words："IPv6"network;"attack"tree;"node"features;"feature"location;"event"source"tracing

隨著當代社會科技的高速發(fā)展，IPv6成為新一代網(wǎng)絡協(xié)議，其相較于IPv4雖然增加了豐富的地址空間、簡便的配置以及各類安全性和移動性的支持，但是IPv6并沒有從根源上解決IPv4中存在的問題，依舊存在各類安全隱患。在IPv6網(wǎng)絡受到攻擊時，攻擊樹的節(jié)點定位是預防下次攻擊并改進網(wǎng)絡防御系統(tǒng)的重要環(huán)節(jié)，這也使得攻擊樹的節(jié)點定位成為當下研究工作的熱點。

劉浩然等[1]利用下層無跡卡爾曼濾波算法與側(cè)節(jié)點狀態(tài)，結(jié)合信標節(jié)點的測距延遲傳播修正節(jié)點狀態(tài)，之后利用上層濾波對其開展新一輪的預測與修正，該方法定位誤差較小，但在不同環(huán)境下的單位時間內(nèi)定位時波動性較大，穩(wěn)定性較差。余修武等[2]利用Boundingbox方法劃分出節(jié)點存在區(qū)域，之后再在區(qū)域內(nèi)實施初始化啟發(fā)個體并結(jié)合群居蜘蛛優(yōu)化算法與加權(quán)中心反向?qū)W習策略，以獲取節(jié)點位置，該方法計算效率高，但得到的節(jié)點定位誤差較大。郝佳星[3]利用圓的平分線必過圓心的原理結(jié)合錨點的移動獲取定時反饋的定標消息，以此獲取準確的標定點和弦，在得到兩條和弦后，根據(jù)上述原理計算得出節(jié)點位置，該方法具有較為準確的定位性能，但在定位過程中能耗較大。

為了解決上述問題，提出IPv6網(wǎng)絡攻擊事件溯源中的攻擊樹節(jié)點特征定位。

1"定位方法

建立IPv6網(wǎng)絡攻擊事件溯源中的攻擊樹節(jié)點特征定位整體框架圖，如圖1所示。

1.1"攻擊樹的生成

攻擊樹的構(gòu)成：根為攻擊的目標，而中間代表子目標，葉表示分解步驟；雖然已經(jīng)有研究手工構(gòu)建出攻擊樹并證明其有效性，但手工構(gòu)造的攻擊樹存在效率低的弊端，為此，需要構(gòu)建便于檢測且可以自動生成攻擊樹的算法，由此得到如圖2所示的攻擊樹模型，其可以很好地實現(xiàn)攻擊模式自動生成和重用。

算法目標：通過源數(shù)據(jù)構(gòu)建可以準確表述攻擊行為的攻擊樹[4]，攻擊樹的具體構(gòu)建步驟如下：

輸入：源數(shù)據(jù)E=B1，B2，…，Bn，B。輸出：攻擊樹。

步驟1：對E=B1，B2，…，Bn，B實行歸約處理，獲取數(shù)據(jù)集E′={Bi1，Bi2，…，Bin，B}（{j1，j2，…，jk}{1，2，…，n}）。

步驟2：將B中的數(shù)據(jù)按屬性代表各個攻擊取值a1，a2，…，al（aj≠ak，j，k∈1，2，…，l且j≠k），將E′轉(zhuǎn)變?yōu)樽蛹螩1，C2，…，Cl并滿足C1∩C2∩…∩Cl=φ且C1∪C2∪…∪Cl=E′。其中Cj中所有樣本B屬性的取值均為bj（假定b1為正常行為）。

步驟3：for"x=2"to"l

①攻擊樹的根節(jié)點用bx表示，記作sx。

②從Cx={Bxj1，Bxj2，…，B2jk}中獲取基本條件信息，若其中的屬性只有唯一取值，那么便將其看作葉結(jié)點添加至攻擊樹的基本分支[5]，若還有其他取值，則不添加。

③掃描Cx，獲取{Bxj1，Bxj2，…，B2jk}各屬性的取值與出現(xiàn)頻率，將屬性取值為1，頻率為100%的屬性單獨列出，記作Ne={Bxc1，B2c2，…，B2cs（c1，c2，…，csj1，j2，…，jk）并將其放置在攻擊樹的必要條件分支下，若Ne=φ，則繼續(xù)步驟4。

④計算qx=Q （bj|Bxc1，B2c2，…，B2cs），若100%－X≤qx≤100%+X且X為誤差范圍內(nèi)的值，則第x棵攻擊樹構(gòu)建完成，否則繼續(xù)步驟5。

⑤對qx=Q（bj|B2c1，B2c2，…，Bxcs，B2cs+1，B2cs+2，…，B2c′s）實施重新計算，若符合100%－X≤qx≤100%+X且X為誤差范圍內(nèi)的值的條件，那么第x棵攻擊樹構(gòu)建完成，否則繼續(xù)步驟5；若該步驟執(zhí)行次數(shù)超出預定值，那么繼續(xù)步驟4。

步驟4：結(jié)束。

步驟5：在由上述步驟所獲取的子集中，根據(jù)“逐步向前選擇”的方法增添屬性，得到Te={Bxcs+1，B2cs+2，…，Bxc′s}，將其放置在充分條件分支下，然后轉(zhuǎn)為步驟3中的⑤。

在完成上述計算后，可以將攻擊類型分為兩種，一種為可以直接從源數(shù)據(jù)中獲取的攻擊；另一種為不能直接從源數(shù)據(jù)中獲取的攻擊。所以第一類攻擊可以直接從源數(shù)據(jù)E中獲取其產(chǎn)生的必要條件，即Ne≠φ；而第二類攻擊則與第一類攻擊相反，即Ne=φ。因此，所用算法必須在有限步驟內(nèi)實施收斂；在復雜度上，算法屬于P（E），其中，E代表E中所含總樣本數(shù)，綜上所述，算法類似于多項式。

1.2"節(jié)點特征提取

為了更好地實現(xiàn)攻擊樹節(jié)點特征定位的目的，在構(gòu)建出攻擊樹模型后，還需要對其實施節(jié)點特征提取。

實施節(jié)點特征提取所利用的深度學習網(wǎng)絡是由卷積神經(jīng)網(wǎng)絡和徑向基神經(jīng)網(wǎng)絡構(gòu)建而成的[6-7]。后者的優(yōu)勢主要體現(xiàn)在其對于輸入輸出產(chǎn)生的顯著非線性映射，在前向網(wǎng)絡內(nèi)其映射效果最為突出，因此在利用深度學習網(wǎng)絡提取節(jié)點特征時，可以得到其網(wǎng)絡模型如圖3所示。

在圖3所示的網(wǎng)絡結(jié)構(gòu)內(nèi)，卷積神經(jīng)網(wǎng)絡由多個D層與T層構(gòu)成[8]，位于平面內(nèi)的神經(jīng)元具有各自獨立的特性。D為特征提取層，其中各個神經(jīng)元輸入均與上層連接，以此獲取攻擊樹節(jié)點的關(guān)鍵特征；在降采樣層中包含多個映射平面，各平面分別對上層特征碼的局部特征實施提取或?qū)ζ涮卣鲗嵤┒翁崛?。為了達到逐級獲取到攻擊樹節(jié)點本質(zhì)特征的目的，可以將數(shù)據(jù)作為圖3中的最底層數(shù)據(jù)輸入。

設Yj，k代表各卷積層特征，其中j為卷積層，k為特征，由此可以得到Y(jié)j，k數(shù)學模型為：

Yj，k=g∑j∈Nkcj，k+Yj－1，kxu，j，k""（1）

其中，Nk表示Yj－1，k的集合，xu，j，k代表Yj，k的權(quán)值，cj，k為卷積特征圖的偏置。

上層輸入O個特征在降采樣層均有對應的映射結(jié)果，想要對u降采樣層的k特征實施表述，可以利用下式實現(xiàn)：

Yu，k=g［cu，k+γu，kdown（Yj－1，k）］"""（2）

其中，down（·）代表降采樣函數(shù)，γu，k表示Yu，k的位移乘性偏置向量，cu，k為Yu，k的加性偏置向量。

在深度學習網(wǎng)絡訓練過程中[9]，xu，j，k、cu，k和γu，k都會直接影響最終的攻擊樹節(jié)點特征提取結(jié)果，所以需要利用量子粒子群算法對深度學習網(wǎng)絡實施優(yōu)化。

量子粒子群算法中的粒子出去量子空間中，設O為在空間內(nèi)尋優(yōu)解的粒子個數(shù)，并用Yj=（yj1，yj1，…，yjE）代表E維空間內(nèi)的j的位置，用qcj=（qcj，1，qcj，2，…，qcj，E）代表j每次迭代時的最優(yōu)位置，用hcj=（hcj，1，hcj，2，…，hcj，E）代表整個粒子群的全局最優(yōu)位置。可以將波函數(shù)φ（y）作為依據(jù)，從而引申出空間粒子狀態(tài)，利用φ（s）2表述在s處粒子出現(xiàn)的概率H（s），若H（s）符合歸一化標準，則可以得到：

∫yf（x）dx|φ（s）|2=

fyf（x）dx|H（s）|2=1"（3）

在式（3）的基礎上可以利用下式對粒子在σ勢阱內(nèi)的定態(tài)薛定諤方程做出表述[10]：

2ni2φη其不意σ（Y－qj）+F+eφ（Y－qj）2=0""（4）

其中，n為粒子質(zhì)量，Y-qj表示能量本征值，i為普朗克常量，F(xiàn)為粒子能量，e為j所在維度，e=1，2，…，E。經(jīng)上述計算，可以得到波函數(shù)的數(shù)學模型如下所示：

φ（s）=1M"f－sMM=i2nη=1φ""（5）

假定，qcje（u）為e維j在u次迭代下的勢阱，那么j在u+1次迭代時的φ（y）為：

φ（yje（u+1））=

1Mje（u）exp"－xje（u+1）－qcje（u）Mje（u）"""（6）

粒子的位姿實施隨機采樣，可以得到在u+1次迭代時j在e維的分量yje（u+1）。由此可以得到勢阱特征長度Mje（u）的數(shù)學模型為：

Mje（u）=2β（u）ne（u）－yje（u）"（7）

其中，β為收縮擴展系數(shù)，n代表平均最優(yōu)位置，并且其可以用下式獲?。?/p>

n（u）=1O∑Oj=1qcj（u）=1O∑Oj=1qcj1（u），

1O∑Oj=1qcj2（u），…，1O∑Oj=1qcjE（u）"（8）

利用上述算法優(yōu)化深度學習網(wǎng)絡模型，結(jié)合對比散度算法，可以得到在上升迭代過程中參數(shù)xu，j，k、φu，k和cu，k等的偏導數(shù)Δxjk、Δφj和Δck，可以用下式表達其更新過程：

xu+1jk=xujk+θxΔxjk

φu+1j=φuj+θφΔφj

cu+1k=cuk+θcΔck（9）

式中：θx、θφ、θc代表學習率，u表示迭代次數(shù)。

在利用量子粒子群算法獲取粒子的適應度G時，可以根據(jù)深度學習網(wǎng)絡產(chǎn)生的誤差來確定，其數(shù)學模型如下所示：

G=1O∑Oj=1（tj－vj）2"（10）

其中，tj代表攻擊樹的數(shù)據(jù)樣本j的重構(gòu)值，vj代表數(shù)據(jù)樣本j的標簽值。當深度學習網(wǎng)絡產(chǎn)生的誤差值越小，得到的攻擊樹節(jié)點特征效果就越好，其定位準確率就會越高。

1.3"節(jié)點特征定位

在得到攻擊樹節(jié)點特征之后，便可以根據(jù)其特征實現(xiàn)攻擊樹節(jié)點定位。在此利用DVHop方法實施對于攻擊樹的節(jié)點特征定位。

DVHop算法步驟：①利用距離矢量交換協(xié)議實現(xiàn)節(jié)點間的信息交換，以此獲取節(jié)點與導標節(jié)點間的跳距。②在得到上述信息后，求取網(wǎng)絡平均每跳距離，之后將其看作校正值應用于網(wǎng)絡中。③實行三角測量定位法。

設導標節(jié)點（Yj，Zj）的校正量dj表示如下：

dj=∑（Zj－Zk）2+（Yj－Yk）2∑ijj≠k，k（11）

其中，（Yk，Zk）表示（Yj，Zj）的坐標，ij則當前節(jié)點至其附近節(jié)點的跳數(shù)。

如圖4所示，設B代表需定位的節(jié)點特征，在M1、M2和M3之間的位置距離以及跳數(shù)均為已知量的情況下[11]，可以得到M2的校正值為40+752+5=16.43。假定節(jié)點特征B的校正值從M2中取得，那么B與M1、M2和M3之間的距離分別為M1－3×16.43、M2－2×2×16.43、M3－3×16.43，之后在此基礎上利用三角測量定位的方法對節(jié)點特征B實施定位。

2"實驗與分析

為了驗證IPv6網(wǎng)絡攻擊事件溯源中的攻擊樹節(jié)點特征定位的整體有效性，需對其展開測試。為驗證本文所提方法在IPv6網(wǎng)絡攻擊事件溯源中的攻擊樹節(jié)點特征定位中的應用效果，采用MATLAB仿真平臺搭建短距離D2D無線IPv6通信網(wǎng)絡，該網(wǎng)絡為單基站，網(wǎng)絡中用戶分布均勻，網(wǎng)絡的仿真詳細參數(shù)見表1。

對本文所提方法實行相關(guān)測試前，需先對網(wǎng)絡中基站允許的干擾門限值I0實行設定，該值的設定對于網(wǎng)絡的通信效果存在直接影響。由于用戶最大發(fā)射功率的逐漸增加，導致網(wǎng)絡中信號接收用戶的干擾功率結(jié)果增加，因此采用本文方法將接收用戶干擾功率的最小值與I0值結(jié)果對應，作為設定干擾門限結(jié)果，見圖5。

依據(jù)圖5結(jié)果得出：當用戶的最大發(fā)生功率發(fā)生變化后，隨著門限取值的逐漸增加，信號接收用戶的干擾功率發(fā)生明顯的波動變化。最大發(fā)射功率分別為10"dBm、20"dBm、30"dBm時，干擾功率的最小值分別為0.004"W、0.0042"W、0.0038"W、0.0041"W，其對應的干擾門限值I0的取值為0.4，因此確定干擾門限值I0的取值為0.4，并用于后續(xù)實驗中。

本次實驗采用MATLAB""2012軟件，在CICIDS2017數(shù)據(jù)集（https：//www.unb.ca/cic/datasets/ids2017.html）中隨機選取35個節(jié)點數(shù)據(jù)，并利用所提方法，文獻[1]、文獻[2]和文獻[3]方法對其攻擊樹節(jié)點特征實施定位，為更準確地對其定位誤差實施描述，可利用下式實施計算：

AverageError=100%×

∑Oj=1（j－zj）2+（j－yj）2O×S（12）

其中，（j，j）為估計坐標，而實際坐標為（yj，zj），O為未知節(jié)點數(shù)，S代表通信半徑。

在上式的基礎上得到所提方法，文獻[1]、文獻[2]和文獻[3]方法對節(jié)點特征實施提取，得到的結(jié)果誤差如圖6所示。

由圖6可以看出，文獻[1]、文獻[2]和文獻[3]方法的節(jié)點定位誤差較大，其中，文獻[3]方法的最大定位誤差超過1"m。而所提方法的定位誤差較為穩(wěn)定，均維持在0.6"m以下，而且低于對比方法的誤差，因此所提方法得到的定位結(jié)果更接近于真實情況，可以更精確地實現(xiàn)攻擊樹的節(jié)點特征定位。

在得到各方法節(jié)點定位誤差后，還需要對所提方法，文獻[1]、文獻[2]和文獻[3]方法的在單位節(jié)點內(nèi)定位效率展開對比，取七組不同環(huán)境下單位時間內(nèi)各方法所定位的節(jié)點數(shù)，在單位時間內(nèi)處理節(jié)點個數(shù)越多，表示該方法的處理效率越高。得到的結(jié)果如圖7所示。

由圖7可以看出，各方法在不同環(huán)境下的單位時間內(nèi)所定位的攻擊樹節(jié)點數(shù)據(jù)都存在不同程度的波動，雖然文獻[1]方法在其中幾個環(huán)境節(jié)點下的定位效率高，但其存在較大的波動。文獻[2]和文獻[3]方法的處理節(jié)點個數(shù)分別在2300和2100左右，而所提方法處理的節(jié)點個數(shù)維持在2400個左右，高于文獻[1]方法、文獻[2]和文獻[3]方法。因此從整體來看，所提方法的定位效率以及定位穩(wěn)定性更好，更適用于攻擊樹節(jié)點特征定位的實際應用。

在實施攻擊樹的節(jié)點特征定位時，不僅僅需要對其誤差及性能要求較高，還需要對其在定位過程中的能耗展開對比，得到的結(jié)果如下所示：

由表2可以看出，隨著網(wǎng)絡負載的增加，四種方法對攻擊樹節(jié)點特征開展定位所需的能耗也隨之提高。文獻[1]、文獻[2]和文獻[3]方法的最高能耗分別為15.73"kJ、23.62"kJ和22.46"kJ，而所提方法的最高能耗為6.77"kJ，低于對比方法。因為所提方法增加了節(jié)點特征提取的環(huán)節(jié)，大大降低了定位過程所需能耗，因此在定位過程中能耗變化較為穩(wěn)定，消耗能量也更低，由此表明所提方法的能耗優(yōu)于其他方法。

3"結(jié)"論

在現(xiàn)代網(wǎng)絡發(fā)展的過程中，IPv6網(wǎng)絡協(xié)議逐漸成為主力，但是其仍然存在各類安全隱患。為及時發(fā)現(xiàn)并預防各類攻擊的生成，需要對過往攻擊事件中的攻擊樹節(jié)點特征實施定位。目前存在的各類節(jié)點特征定位方法中均存在能耗高、定位誤差大、在不同環(huán)境下單位時間內(nèi)的定位穩(wěn)定性較差且定位效率較低的問題，為此提出IPv6網(wǎng)絡攻擊事件溯源中的攻擊樹節(jié)點特征定位，該方法首先還原出事件的攻擊樹模型，之后對于其特征實施精確提取并展開定位，很好地解決了目前方法存在的問題，為網(wǎng)絡協(xié)議的安全推廣及日后更新提供保障。

參考文獻

［１］"劉浩然，覃玉華，鄧玉靜，等.基于雙層修正無跡卡爾曼的水下節(jié)點定位算法[J].儀器儀表學報，2020，41（3）：142-149.

［2］"余修武，張可，劉永，等.基于反向?qū)W習的群居蜘蛛優(yōu)化WSN節(jié)點定位算法[J].控制與決策，2021，36（10）：2459-2466.

［3］"赫佳星.基于幾何原理的無需測距傳感器節(jié)點定位[J].計算機工程與設計，2021，42（10）：2718-2724.

［4］"潘剛，米士超，郭榮華，等.基于攻擊樹和CVSS的網(wǎng)絡攻擊效果評估方法[J].電子技術(shù)應用，2022，48（4）：76-80.

［5］"杜金蓮，孫鵬飛，金雪云.一種用于威脅檢測的反目標攻擊樹模型[J].計算機科學，2021，48（S1）：468-476.

［6］"章杜錫，謝宏，李力.基于神經(jīng)網(wǎng)絡的變電站異常網(wǎng)絡流量識別[J].信息技術(shù)，2020，44（5）：140-144.

［7］"于懷征.基于樹分類器神經(jīng)網(wǎng)絡的雷暴預測方法[J].信息技術(shù)，2020，44（7）：17-22.

［8］"王麗君，史二娜.基于卷積神經(jīng)網(wǎng)絡的智能交通信號控制研究[J].信息技術(shù)，2020，44（10）：56-60.

［9］"宋蓓蓓，馬穗娜，何帆，等.Res2Unet深度學習網(wǎng)絡的RGB高光譜圖像重建[J].光學精密工程，2022，30（13）：1606-1619.

［10］雷一凡，宋剛，高成勇，等.基于非線性薛定諤方程的時間序列去噪[J].計算機輔助設計與圖形學學報，2021，33（8）：1202-1209.

［11］任克強，潘翠敏.融合RSSI跳數(shù)量化與誤差修正的DVHop改進算法[J].傳感技術(shù)學報，2020，33（5）：718-724.