蔣慶良，王兆龍

?

基于攻防混沌度邊界預(yù)警機制的網(wǎng)絡(luò)安全存儲算法研究

*蔣慶良1，王兆龍2

(1. 安徽文達信息工程學(xué)院電子工程學(xué)院，安徽，合肥 231201；2. 安徽城市管理職業(yè)學(xué)院信息工程系，安徽，合肥 231635)

考慮到當(dāng)前網(wǎng)絡(luò)安全存儲算法普遍存在的防御策略集收斂性不足，抗攻擊性能差的難題，提出了一種基于攻防混沌度邊界預(yù)警機制的網(wǎng)絡(luò)安全存儲算法。根據(jù)網(wǎng)絡(luò)供給側(cè)進行混沌度邊界建模（網(wǎng)絡(luò)供給側(cè)-需求側(cè)邊界預(yù)警模型），提高安全邊界對攻擊集合的匹配程度，增強防御資源的合理利用；隨后，基于防御資源需要動態(tài)攻擊集合的問題，引入馬爾科夫邊界攻擊者集合收斂機制，實現(xiàn)對最高強度-次高強度攻擊行為的兩次預(yù)警，有效提升網(wǎng)絡(luò)安全防御的納什均衡解，進一步降低了防御成本，從而提高了網(wǎng)絡(luò)的安全存儲性能。仿真實驗表明，相比于當(dāng)前網(wǎng)絡(luò)安全存儲領(lǐng)域使用較廣的峰值強度映射過濾算法（Peak Intensity Mapping Filtering Algorithm，PIMF算法）、超線性納什維度均衡策略算法（Superlinear Nash-Dimension Equilibrium Strategy Algorithm，ND-SES算法），本文算法在資源受限條件下能夠?qū)崿F(xiàn)混沌度高級別預(yù)警，降低防御成本，改善了誤比特率及丟包率性能，具有更高的抗攻擊峰值帶寬及二次冗余帶寬性能。

網(wǎng)絡(luò)安全存儲；混沌度；邊界預(yù)警；納什均衡；供給側(cè)建模；馬爾科夫邊界

0 引言

隨著以工業(yè)化4.0技術(shù)為代表的新興網(wǎng)絡(luò)通信技術(shù)的不斷演進，網(wǎng)絡(luò)整體規(guī)模也呈現(xiàn)爆炸式增長態(tài)勢，特別是在云計算技術(shù)推動下，網(wǎng)絡(luò)安全問題所面臨的挑戰(zhàn)級別也不斷提升。各種黑色產(chǎn)業(yè)鏈帶來的諸如“勒索病毒”、“比特幣殺手”等基于大規(guī)模分布式網(wǎng)絡(luò)病毒也加劇了當(dāng)前網(wǎng)絡(luò)安全存儲算法收斂程度較差等難題[1]。實踐上往往需要采取一定的主動防御策略或算法，以便實現(xiàn)對這些難題的主動性防范。因此，如何盡量提高預(yù)防混沌度并實現(xiàn)對預(yù)警邊界清晰策略，成為當(dāng)前研究領(lǐng)域中的熱點[2]。

為提高網(wǎng)絡(luò)存儲過程中的彈性，實現(xiàn)對網(wǎng)絡(luò)安全防御過程的效益最大化，研究者提出了許多卓有見地的解決方案，一定程度上解決了實踐中遇到的難題。Hu等[3]提出了一種基于合作演化預(yù)警均衡機制的網(wǎng)絡(luò)安全存儲算法，該方案基于大規(guī)模分布式攻擊建模思想，采用高密度時間函數(shù)戳建模的方式，實現(xiàn)對防御周期內(nèi)攻擊行為的主動建模，且該方案能夠根據(jù)時變模式實現(xiàn)對攻擊行為的自適應(yīng)遞歸，可針對多種攻擊行為進行有效過濾。但是，該算法需要實現(xiàn)對多種模式攻擊行為的統(tǒng)一建模，方案的納什均衡解混沌程度較低，一定程度上制約了該方案的落實效果。Lei等[4]基于馬爾科夫有理閉環(huán)思想，提出了一種分級建模方式的網(wǎng)絡(luò)安全存儲算法，算法首先基于時間不變模型，通過馬爾科夫遞歸方式對攻擊行為進行一次建模，在不同的映射周期內(nèi)可以根據(jù)分級思想不斷通過馬爾科夫遞歸，實現(xiàn)“分級構(gòu)建”、“模型閉環(huán)”，仿真實驗表明該算法能夠有效地提高納什均衡解的混沌程度。然而該算法僅能針對主動攻擊行為進行靜態(tài)建模，一旦攻擊行為的特征發(fā)生變化，該算法的抗攻擊性能將呈現(xiàn)嚴重的下降趨勢。Yan.J等[5]基于零和博弈思想，提出了一種分階段抗攻擊機制的網(wǎng)絡(luò)安全存儲算法，首先針對攻擊行為的特征指紋進行一次建模，若監(jiān)測到攻擊行為指紋發(fā)生變化，則根據(jù)該指紋攻擊強度進行強度演進，網(wǎng)絡(luò)安全應(yīng)對級別隨著強度的不斷演進而呈現(xiàn)自演進趨勢，從而實現(xiàn)對網(wǎng)絡(luò)攻擊的動態(tài)彈性防御。但是，該算法需要不斷針對攻擊強度進行自演化流程，若攻擊行為呈現(xiàn)線性增加趨勢，則算法需要付出的防御代價將出現(xiàn)顯著增加的態(tài)勢。

為了解決上述問題，本文提出了一種基于攻防混沌度邊界預(yù)警機制的網(wǎng)絡(luò)安全存儲算法，針對網(wǎng)絡(luò)供給側(cè)（即攻擊側(cè)）進行邊界區(qū)分，有效提高攻擊邊界的混沌度，且結(jié)合馬爾科夫邊界攻擊者集合收斂機制，能夠針對兩次最強攻擊行為進行清洗，從而提高網(wǎng)絡(luò)的安全存儲性能，降低遇襲風(fēng)險。最后通過仿真實驗，證明了本文算法的優(yōu)越性能。

1 網(wǎng)絡(luò)供給側(cè)-需求側(cè)邊界預(yù)警模型

不妨設(shè)某網(wǎng)絡(luò)存儲集群可能受到某種不可抗力的攻擊行為的突然襲擊，集群管理者需要在攻擊行為持續(xù)期間通過調(diào)集若干匹配性防御資源∈實現(xiàn)對攻擊行為的有效防御。然而，由于集群管理者調(diào)集相關(guān)匹配性防御資源∈需要耗費一定的成本，具體而言往往是經(jīng)費，因此，只能針對部分有代表性的攻擊行為進行防御，從而實現(xiàn)防御資源∈的有效配置。

針對攻擊行為而言，在進行初次攻擊之后，形成首次攻擊強度的峰值；隨后需要根據(jù)集群管理者所調(diào)集的防御資源進行二次攻擊，形成二次攻擊峰值。二次攻擊過程中根據(jù)集群管理者形成的防御策略，得到二次攻擊的決策∈，考慮到∈與∈存在策略博弈關(guān)系，最終能夠形成供給側(cè)-需求側(cè)模型，如圖1所示，該模型具有自恰的特點[6]。兩者博弈交鋒點即是博弈邊界，若該邊界向供給側(cè)移動，則說明防御策略效果較好[7]。

圖1 供給側(cè)-需求側(cè)邊界預(yù)警模型

2 本文網(wǎng)絡(luò)安全存儲算法

①混沌度邊界預(yù)估

該納什均衡解即為混沌度邊界預(yù)估值，即當(dāng)前時刻防御者為抵御攻擊而付出的最大代價。

② 馬爾科夫邊界攻擊者集合收斂流程

雖然通過模型（3）能夠獲取相應(yīng)的納什均衡解，但是由于攻擊者策略一般遵循隨機分布[9]，為便于隨時應(yīng)對網(wǎng)絡(luò)攻擊，需要針對攻擊行為的隨機分布進行攻擊預(yù)警。

本文算法的詳細流程如下：

Step 1：匹配當(dāng)前全部攻擊，搜尋攻擊行為；

Step 2：防御者若接收到攻擊行為，則轉(zhuǎn)Step 3，反之則繼續(xù)處于待命狀態(tài)；

Step 3：若當(dāng)前防御策略不滿足馬爾科夫邊界條件時，返回Step 1，否則轉(zhuǎn)Step 4；

Step 5 ：算法結(jié)束。

算法流程圖如下所示：

圖2 所提算法的過程

3 仿真實驗

3.1 仿真環(huán)境設(shè)置

為便于比較本文算法的優(yōu)越性能，網(wǎng)絡(luò)制式為LTE-5G環(huán)境，因LTE-5G環(huán)境具有安全問題較多，且網(wǎng)絡(luò)環(huán)境復(fù)雜等特性，對安全解決方案的要求較高。仿真工具采取NS2仿真實驗環(huán)境對當(dāng)前網(wǎng)絡(luò)安全存儲領(lǐng)域使用較廣的峰值強度映射過濾算法[12]（Peak Intensity Mapping Filtering Algorithm，PIMF算法）、超線性納什維度均衡策略算法[13]（Superlinear Nash-Dimension Equilibrium Strategy Algorithm，ND-SES算法）進行仿真對比，仿真指標采取抗攻擊峰值帶寬、二次冗余帶寬、丟包率、誤比特率四個指標，相關(guān)仿真參數(shù)如下所示：

表1 仿真參數(shù)

3.2 仿真性能對比

1）抗攻擊峰值帶寬對比

圖3為本文算法與PIMF算法及ND-SES算法在防御周期不斷增大時的抗攻擊峰值帶寬對比，由圖可知，本文算法在防御周期不斷增加時，抗攻擊峰值帶寬始終處于較高的水平，且性能曲線呈現(xiàn)較為平滑的態(tài)勢，顯示了良好的流量清洗效果；與本文算法相比，PIMF算法及ND-SES算法不但抗峰值帶寬水平較低，且性能曲線呈現(xiàn)凹凸不平的態(tài)勢，流量清洗效果較差。這是由于本文算法針對攻擊過程中存在的首次峰值及二次峰值通過邊界建模方式實現(xiàn)了匹配處理，能夠在單位時間內(nèi)實現(xiàn)對攻擊流量的高強度清洗，且防御者能夠根據(jù)防御混沌度進行邊界預(yù)估，實現(xiàn)對攻擊混沌度的精確化提升，改善防攻擊的策略匹配度；PIMF算法單純采取過濾機制，針對二次攻擊流量的清洗效果較差，因此難以提升抗攻擊性能；ND-SES算法沒有針對供給側(cè)-需求側(cè)進行精確匹配，因此難以進一步提高對攻擊流量的自適應(yīng)粒度，故而其抗攻擊峰值帶寬要低于本文算法。

圖3 抗攻擊峰值帶寬仿真

2）二次冗余帶寬

圖4為本文算法與PIMF算法及ND-SES算法在攻擊帶寬不斷增加時二次冗余帶寬的對比，由圖可知，雖然隨著攻擊帶寬的不斷增加，本文算法與對照組算法均呈現(xiàn)二次冗余帶寬不斷降低的態(tài)勢（這是顯然的，因防御者針對攻擊行為不斷地耗費資源，故而冗余帶寬會隨著攻擊帶寬的增加而降低），然而本文算法的二次冗余帶寬始終處于較高的水平，且下降幅度要低于對照組算法。這是由于本文算法引入馬爾科夫邊界攻擊者集合收斂機制，該機制通過捕捉攻擊發(fā)生時刻的數(shù)學(xué)分布特性，并與網(wǎng)絡(luò)過網(wǎng)的數(shù)據(jù)進行比對，特別是針對大規(guī)模DDos攻擊行為的匹配，能夠促進供給側(cè)-需求側(cè)雙方的模式匹配力度，改善防御者抗攻擊策略對防御資源的消耗，顯著提高了算法對攻擊行為的匹配度，因此在一定強度攻擊帶寬條件下可明顯節(jié)約防御資源（即二次冗余帶寬），能夠應(yīng)付突發(fā)大規(guī)模DDos攻擊；PIMF算法及ND-SES算法針對攻擊帶寬均采取簡單匹配機制，無法對資源進行回收利用，故而針對攻擊所耗費的二次冗余帶寬較高，降低了防御者所擁有的二次冗余帶寬的數(shù)量。

圖4 二次冗余帶寬仿真

3）丟包率

圖5為本文算法與PIMF算法及ND-SES算法在不同的二次冗余帶寬條件下的丟包率的對比，由圖可知，隨著二次冗余帶寬的不斷增加，本文算法不僅一直保持較低的丟包率，且較PIMF算法及ND-SES算法相比更低；這是由于本文算法能夠通過馬爾科夫邊界攻擊者集合收斂機制實現(xiàn)對最高強度-次高強度攻擊行為的兩次預(yù)警，特別能夠針對大流量DDos攻擊情況下數(shù)據(jù)報文傳輸效率，增強網(wǎng)絡(luò)存儲安全，提升網(wǎng)絡(luò)安全防御的納什均衡解，因此在一定容量的二次冗余帶寬條件下能夠大大降低網(wǎng)絡(luò)針對攻擊行為的丟包率，且攻擊行為越是分散，抗攻擊效果越優(yōu)越；PIMF算法及ND-SES算法由于單純采用簡單匹配機制調(diào)用二次冗余帶寬，且沒用針對攻擊者處于供給側(cè)的主動地位進行適應(yīng)性匹配，因此在二次冗余帶寬處于受限條件時，相應(yīng)的丟包率也要顯著高于本文算法。

圖5 丟包率測試結(jié)果

4）誤比特率

圖6為本文算法與PIMF算法及ND-SES算法在信噪比衰落不斷增加時誤比特率的對比，由圖可知，本文算法與對照組算法隨著信噪比衰落的不斷增加，均出現(xiàn)了誤比特率不斷上升的現(xiàn)象，這是顯然的：隨著信噪比衰落的不斷增加，防御者不僅需要調(diào)用更多的二次冗余帶寬，且釋放的策略也將不斷增加；然而本文算法的誤比特率增加幅度顯著低于對照組算法，這是由于本文算法針對供給側(cè)-需求側(cè)的特點進行了策略匹配，能夠在信噪比衰落不斷增加時顯著適應(yīng)防御者的安全存儲需求，降低攻擊者針對防御策略所作的自演化改進，因此耗費的校驗報文較少，減緩了誤比特率的不斷增加，而對照組對此未進行考慮，因此本文算法在誤比特率的性能上優(yōu)勢較大。

圖6 誤比特率的測試結(jié)果

4 結(jié)束語

本文提出了一種基于攻防混沌度邊界預(yù)警機制的網(wǎng)絡(luò)安全存儲算法，主要利用網(wǎng)絡(luò)供給側(cè)-需求側(cè)邊界預(yù)警模型的優(yōu)勢，提高網(wǎng)絡(luò)防御者對攻擊集合的適應(yīng)性能，增強防御資源的合理利用，改善高強度攻擊條件下的網(wǎng)絡(luò)冗余資源，促進網(wǎng)絡(luò)防御策略便利化。最后通過NS2仿真實驗環(huán)境，證明了本文算法在抗攻擊峰值帶寬、二次冗余帶寬、丟包率、誤比特率等性能指標上同當(dāng)前常用的PIMF算法及ND-SES算法相比具有顯著的優(yōu)勢。

下一步將考慮到供給側(cè)-需求側(cè)邊界預(yù)警模型的超混沌收斂特性，針對本文算法在云網(wǎng)絡(luò)環(huán)境下資源耗費量較大的不足，進一步提高本文算法的安全存儲性能，強化算法對攻擊者的篩選效率。

[1] 盧涵宇,闞璦珂. 基于IPv6的3G網(wǎng)絡(luò)安全通信模型研究[J]. 井岡山大學(xué)學(xué)報(自然科學(xué)版), 2011, 32(2): 71-73.

[2] 張恒巍,李濤. 基于多階段攻防信號博弈的最優(yōu)主動防御[J]. 電子學(xué)報, 2017, 45(2): 431-439.

[3] Hu H, Zhang H. Quantitative Method for Network Security Situation Based on Attack Prediction[J]. Security & Communication Networks, 2017(4): 1-19.

[4] Lei C, Zhang H Q. Incomplete Information Markov Game Theoretic Approach to Strategy Generation for Moving Target Defense[J]. Computer Communications, 2018, 116: 184-199.

[5] Yan J. Q-Learning-Based Vulnerability Analysis of Smart Grid Against Sequential Topology Attacks[J]. IEEE Transactions on Information Forensics & Security, 2017, 12(1): 200-210.

[6] Eve E. Security in Network Attached Storage (NAS) for Workgroups [J]. Network Security, 2004, 4(1): 18-25.

[7] 王震. 安全博弈論研究綜述[J]. 指揮與控制學(xué)報,2015, 1(2): 121-149.

[8] Sun Y. Analysis of Network Attack and Defense Strategies Based on Pareto Optimum[J]. Electronics, 2018, 7(3):36.

[9] 周靖哲,陳長松. 云計算架構(gòu)的網(wǎng)絡(luò)信息安全對策分析[J]. 信息網(wǎng)絡(luò)安全, 2017(11): 74-79.

[10] 嚴宇宇,陶煜波,林海. 基于層次狄利克雷過程的交互式主題建模[J].軟件學(xué)報, 2016, 27(5): 1114-1126.

[11] WangY Z. Evolutionary Game Model and Analysis Methods for Network Group Behavior[J]. Chinese Journal of Computers, 2015, 38(2): 282-300.

[12] Cheng D. Modeling, Analysis and Control of Networked Evolutionary Games[J]. IEEE Transactions on Automatic Control, 2015, 60(9): 2402-2415.

[13] Zhang H Z. Survey on Cyberspace Security[J]. Science China Information Sciences, 2015, 58(11): 1-43.

The Research network security storage algorithm based on border warning mechanism of attack & defense chaos degree

*JIANG Qing-liang1, WANG Zhao-long2

(1. School of electronic engineering, Anhui University of information technology, Hefei, Anhui 231201,China; 2.Department of information engineering, Anhui Occupational College of City Management, Hefei, Anhui 231635,China)

In order to solve the problems of insufficient convergence of defense strategy set, poor degree of chaos effect, a network security storage algorithm based on early warning mechanism of attack-defense chaos boundary is proposed. In order to improve the matching degree of security boundaries to attack sets and enhance the rational utilization of defense resources, chaos degree boundary modeling (network supply-demand side boundary early warning model) is carried out on the network supply side. Then, based on the problem that defense resources need dynamic attacking sets, the convergence of Markov amplitude boundaries attacker sets is introduced. The mechanism realizes two early warnings of the highest intensity-sub-high intensity attacks, greatly improves the Nash equilibrium solution of network security defense, further reduces the defense cost, and improves the network security storage performance. Compared with Peak Intensity Mapping Filtering Algorithm and Superlinear Nash-Dimension Equilibrium Strategy Algorithm, simulation results show that this algorithm can achieve high-level early warning of chaos under resource constraints, reduce defense costs, and improve the effectiveness of anti-attack.The performance of BER and packet loss rate is improved, and the performance of anti-attack peak bandwidth and quadratic redundancy bandwidth is significantly higher than that of the control group.

network security storage; chaos degree; boundary warning; Nash equilibrium; supply model; Markov boundary

1674-8085(2019)01-0052-05

TP393

A

10.3969/j.issn.1674-8085.2019.01.011

2018-09-29；

2018-11-17

安徽省高校自然科學(xué)研究重點項目(KJ2017A650)

*蔣慶良(1979-)，男，安徽定遠人，助理實驗師，碩士，主要從事網(wǎng)絡(luò)通信、網(wǎng)絡(luò)工程、物聯(lián)網(wǎng)等方面的研究(E-maiL:jiangqliang1979an@sohu.com);

王兆龍(1983-)，男，安徽合肥人，講師，碩士，主要從事網(wǎng)絡(luò)通信、軌道交通組網(wǎng)、物聯(lián)網(wǎng)等方面的研究(E-maiL:WangZl1983hf@163.com).