陳趙懿，高秀峰，王 帥，韓月明

（陸軍工程大學(xué)石家莊校區(qū)模擬訓(xùn)練中心，石家莊 050003）

0 引言

Ad hoc 網(wǎng)絡(luò)具有節(jié)點資源有限、不依賴固定基礎(chǔ)設(shè)施等特點，比傳統(tǒng)網(wǎng)絡(luò)更容易遭受各種安全威脅，如竊聽、重放、篡改報文和拒絕服務(wù)等等［1］。Ad hoc 網(wǎng)絡(luò)安全一直是研究重點，但目前對其安全風(fēng)險的量化評估研究較少，且缺乏成熟的、適用性強的評估框架與模型。張勇等學(xué)者［2-5］從Ad hoc 網(wǎng)絡(luò)可生存性、可靠性、安全路由協(xié)議、攻防策略等方面進行了大量研究，但沒有對網(wǎng)絡(luò)風(fēng)險進行量化。李振富等學(xué)者［6-8］結(jié)合Ad hoc 網(wǎng)絡(luò)應(yīng)用，從戰(zhàn)術(shù)通信網(wǎng)的抗毀性、通信能力和效能等方面進行了分析研究，提出的評估模型多是基于層次分析法，這些指標體系不能隨應(yīng)用場景的變化而自動調(diào)整。例如Ad hoc 網(wǎng)絡(luò)遭受黑洞攻擊［9］，其網(wǎng)絡(luò)丟包率上升，但網(wǎng)絡(luò)平均端到端時延等參數(shù)沒有明顯變化，如果指標權(quán)重保持不變，那么丟包率對評估結(jié)果的影響就無法充分體現(xiàn)。

針對這個問題，本文提出了基于動態(tài)模糊Petri網(wǎng)的評估模型，它具有Petri 網(wǎng)的圖形描述、模糊系統(tǒng)的模糊推理和評估指標體系結(jié)構(gòu)動態(tài)調(diào)整的能力。胡濤等學(xué)者［10-12］應(yīng)用模糊Petri 網(wǎng)對地鐵、空管、航天等系統(tǒng)進行安全評估。在此基礎(chǔ)上，本文模型同時引入動態(tài)的變遷閾值和變遷支持度，以模糊規(guī)則的前提因子自身狀態(tài)為基礎(chǔ)，以變遷閾值為條件，屏蔽可信度小于變遷閾值的指標，達到對指標權(quán)重和指標體系結(jié)構(gòu)進行動態(tài)調(diào)整的目的，從而適應(yīng)不同應(yīng)用場景的風(fēng)險評估，提高評估準確性、靈敏度和適應(yīng)性。

本文評估過程分3 步：1）分析Ad hoc 網(wǎng)絡(luò)安全風(fēng)險因素，構(gòu)建動態(tài)模糊Petri 網(wǎng)評估模型，這是評估結(jié)果好壞的前提；2）獲取指標數(shù)據(jù)，計算Petri網(wǎng)模型的初始狀態(tài)矩陣和初始權(quán)重矩陣；3）執(zhí)行模糊規(guī)則推理，計算網(wǎng)絡(luò)整體安全風(fēng)險值，分析評估結(jié)果，完善評估模型。

1 動態(tài)模糊Petri 網(wǎng)評估模型

1.1 相關(guān)定義

定義1 動態(tài)模糊Petri 網(wǎng)（DFPN）評估模型為一個十元組

定義2 基本模糊推理規(guī)則

IF d1THEN dtarget，用DFPN 表示如圖1 所示。定義4 風(fēng)險等級評價矩陣Q

圖1 模糊推理規(guī)則

參考國家《計算機信息系統(tǒng)安全保護等級劃分準則》，本文評估模型設(shè)5 個風(fēng)險等級，如表1 所示，設(shè)等級矩陣Q=［0.9，0.7，0.5，0.3，0.1］。

表1 風(fēng)險等級

1.2 模型構(gòu)建

Ad hoc 網(wǎng)絡(luò)安全評價指標的選取和建立是進行綜合評價的前提和基礎(chǔ)［13］。Ad hoc 網(wǎng)絡(luò)的安全風(fēng)險由很多影響因素組成，這些因素在一定程度上相互關(guān)聯(lián)和制約。有學(xué)者從資產(chǎn)、威脅和脆弱性等方面分析，也有學(xué)者從系統(tǒng)、網(wǎng)絡(luò)和服務(wù)等方面評估［14-15］。參考國內(nèi)外學(xué)者研究的網(wǎng)絡(luò)攻擊與端到端延時、往返延遲、節(jié)點轉(zhuǎn)發(fā)平均時間、丟包率、吞吐量等指標［16］的關(guān)系，依據(jù)信息系統(tǒng)安全屬性，本文主要從網(wǎng)絡(luò)可用性、可靠性、信息機密性和完整性角度評估Ad hoc 網(wǎng)絡(luò)安全，以評估指標為庫所，構(gòu)成DFPN 評估模型，如圖2 所示。

圖2 DFPN 評估模型

DFPN 評估模型的變遷對應(yīng)推理規(guī)則，變遷的輸入、輸出庫所分別表示規(guī)則的前提因子和結(jié)論命題。每個庫所對應(yīng)一個指標，通過指標狀態(tài)矩陣可計算輸入庫所對變遷的可信度。根據(jù)網(wǎng)絡(luò)特點與網(wǎng)絡(luò)運行的歷史數(shù)據(jù)，可對變遷閾值進行設(shè)置，提高某變遷閾值，相當于屏蔽了該指標微小變化對整體評估的影響；反之，降低重要指標的變遷閾值，可突出其細微變化對整體評估的影響。根據(jù)變遷的閾值與輸入庫所可信度，可計算變遷對輸出庫所的動態(tài)支持度，本文也表示指標的動態(tài)權(quán)重。最后，通過模糊規(guī)則的推理，更新模型的狀態(tài)矩陣。

1.3 初始權(quán)重矩陣

評估模型中，不同指標權(quán)重會導(dǎo)致不同評估結(jié)果。本文評估模型引入指標初始權(quán)重與可信度，作為輸入庫所對變遷的初始權(quán)重矩陣W 和可信度矩陣。利用模糊層次分析賦權(quán)法［17］，對指標權(quán)重進行初始化。模糊判斷矩陣及性質(zhì)：

1.4 初始狀態(tài)矩陣

由于評估模型中指標具有不同量綱和數(shù)量級，評估前需對其數(shù)據(jù)進行標準化處理。對于定性指標和一些無標準數(shù)據(jù)參考的指標，可結(jié)合專家經(jīng)驗與歷史數(shù)據(jù)，用模糊法進行量化。本文利用三角形隸屬度函數(shù)作為度量依據(jù)，對指標數(shù)據(jù)進行模糊量化。三角形隸屬度函數(shù)中，數(shù)據(jù)x 隸屬于等級i 的概率為：

其中，vi可為等級i 區(qū)域內(nèi)某值，一般為中間值。以網(wǎng)絡(luò)丟包率指標為例，劃分5 個等級，從低至高依次 為［0，0.2）、［0.2，0.4）、［0.4，0.6）、［0.6，0.8）、［0.8，1］，那么v1～v5可選（0.1，0.3，0.5，0.7，0.9）。網(wǎng)絡(luò)丟包率為0.45 時，根據(jù)式（3），其隸屬度矩陣為［0，0，0.75，0.25，0］。

2 模糊推理算法

模糊推理算法是DFPN 進行推理計算的方法，其算法的優(yōu)劣直接影響模型的性能和計算速度。由DFPN 的定義和結(jié)構(gòu)求出輸入矩陣IN 和輸出矩陣OUT；通過模糊層次分析法計算可確定初始權(quán)重矩陣W；獲取指標數(shù)據(jù)，經(jīng)過隸屬度函數(shù)運算，可以得到初始狀態(tài)矩陣M（0）；根據(jù)網(wǎng)絡(luò)運行歷史數(shù)據(jù)和專家知識，確定變遷閾值矩陣θ；變遷支持度μ 在模糊推理過程中動態(tài)計算。

輸入：Step1：Step2：Step3：Step4：Step5：模糊推理算法輸入矩陣IN，輸出矩陣OUT，評價矩陣Q，初始狀態(tài)矩陣M（0），變遷閾值矩陣θ，庫所初始權(quán)重向量新建m×1 矩陣Temp，令k=0（k 為推理計算次數(shù)）進行DFPN 推理計算，進入循環(huán)計算可信度矩陣images/BZ_31_1663_2605_1860_2649.png比較庫所可信度與變遷閾值關(guān)系images/BZ_31_1923_2695_2110_2734.png計算規(guī)則中變遷對輸出庫所的動態(tài)支持度矩陣μ，某規(guī)則中變遷tj 的輸出庫所為tj·，那么μj 的公式：images/BZ_31_1579_2900_2022_3043.png（4）m 是以tj·為輸出庫所的所有變遷數(shù)量，對于某一輸出庫所tj·，其所有變遷的支持度之和仍為1，即images/BZ_31_1403_3183_1734_3266.png

Step6：計算變遷發(fā)生后的下一狀態(tài)矩陣，計算公式：images/BZ_32_431_400_1050_444.pngStep7：Step8：輸出：（5）如果，轉(zhuǎn)入Step2計算各評估指標的最終評估值images/BZ_32_431_478_765_519.pngimages/BZ_32_840_563_1054_607.png網(wǎng)絡(luò)風(fēng)險評估值

DFPN 的推理算法，關(guān)鍵是求解規(guī)則中變遷對輸出庫所的動態(tài)支持度矩陣μ 與變遷發(fā)生后的下一狀態(tài)矩陣M（k+1）。μ 為|T|×1 階矩陣，M（k+1）為|S|×|Q|階矩陣，M（k+1）的計算復(fù)雜度為O（|S|×|T|×|Q|），矩陣運算可并行執(zhí)行，模糊推理共進行k 次，即M（k+1）=M（k），故算法復(fù)雜度為O（|S|×|T|×|Q|）。

3 實驗與分析

3.1 實驗數(shù)據(jù)

為驗證所提評估模型的合理性和模糊推理算法的可行性，本文利用OMnet++軟件進行Ad hoc網(wǎng)絡(luò)節(jié)點故障的簡單仿真實驗。仿真場景參數(shù)設(shè)置如表2 所示，共設(shè)置20 個節(jié)點，8 個節(jié)點兩兩相互通信，其余節(jié)點轉(zhuǎn)發(fā)。

表2 實驗參數(shù)設(shè)置

隨機選取不同數(shù)目的網(wǎng)絡(luò)節(jié)點發(fā)生故障進行實驗，每個不同故障節(jié)點數(shù)目的實驗重復(fù)5 次，每次實驗持續(xù)60 s，取實驗數(shù)據(jù)平均值作為指標數(shù)據(jù)。故障節(jié)點的數(shù)目和位置不同，對網(wǎng)絡(luò)造成的影響也不同。網(wǎng)絡(luò)節(jié)點發(fā)生故障后，會導(dǎo)致部分節(jié)點孤立、鏈路失效和部分通信中斷，但其他通信可通過AODV 協(xié)議重新選擇其他鏈路進行。故障節(jié)點突增后，因大量路由需重新選擇，會導(dǎo)致網(wǎng)絡(luò)抖動厲害，故障節(jié)點過多會使整個網(wǎng)絡(luò)癱瘓。實驗部分數(shù)據(jù)如表3 所示，表中僅列出受影響的指標數(shù)據(jù)。

表3 實驗指標數(shù)據(jù)

3.2 數(shù)據(jù)分析

結(jié)合實驗環(huán)境和專家經(jīng)驗，根據(jù)模糊判斷矩陣，求得各指標初始權(quán)重，W=［0.2 0.25 0.225 0.155 0.15 0.33 0.5 0.17 0.65 0.35 0.65 0.35 0.27 0.33 0.18 0.22］。根據(jù)網(wǎng)絡(luò)特點設(shè)定變遷閾值，為方便計算統(tǒng)一設(shè)定為0.1。以4 個故障節(jié)點的實驗數(shù)據(jù)為例進行計算，根據(jù)式（3），對指標數(shù)據(jù)模糊量化，得到初始狀態(tài)矩陣M（0），根據(jù)模糊推理算法，進行第一輪推理，指標對變遷的可信度=［0.1 0.6 0.16 0.24 0.1 0.4 0.57 0 0 0 0 0 0 0 0 0］，此時只有s2、s3、s4、s6、s7的可信度大于各自變遷閾值，其他指標由于可信度小于閾值而被屏蔽。計算變遷對輸出庫所的動態(tài)支持度為μ=［0 0.4 0.36 0.24 0 0.6 0.4 0 0 0 0 0 0 0 0 0］，第1 輪變遷發(fā)生后，得到狀態(tài)矩陣為M（1）；繼續(xù)推理運算，得到狀態(tài)矩陣M（2）=M（3），此時推理結(jié)束。根據(jù)M（k）QT計算，該Ad hoc 網(wǎng)絡(luò)整體風(fēng)險值為0.546，風(fēng)險程度為“中級”。

3.3 與其他模型比較

將本文評估模型與常用的模糊綜合分析法［12，16］進行比較，采用同一實驗數(shù)據(jù)與初始權(quán)重矩陣，進行模糊綜合分析法評估，得到網(wǎng)絡(luò)整體風(fēng)險隸屬度矩陣F=［0 0.111 8 0.175 1 0.102 0.149 6］，網(wǎng)絡(luò)整體風(fēng)險值為0.211 4，風(fēng)險等級為“較低”，相比于本文模型，其風(fēng)險評估值低很多。在模糊綜合分析法運算過程中，有些指標數(shù)據(jù)雖然為0，但仍占有一定權(quán)重，此時相當于減弱了其他因素的權(quán)重，導(dǎo)致無法充分體現(xiàn)其他重要因素對整體風(fēng)險評估的影響，準確性不如本文提出的評估模型。同樣的計算，對比故障節(jié)點數(shù)為2 和4 時的網(wǎng)絡(luò)風(fēng)險，本文模型評估的風(fēng)險值變化比模糊綜合分析法評估的風(fēng)險值變化要大，靈敏度更高。

4 結(jié)論

通過引入動態(tài)變遷閾值和動態(tài)變遷支持度，本文構(gòu)建的Ad hoc 網(wǎng)絡(luò)評估模型，提高了評估的準確度、靈敏度和適應(yīng)性。

1）動態(tài)調(diào)整指標體系結(jié)構(gòu)，適應(yīng)性更強。

安全風(fēng)險評估指標體系是一個基本框架，需要自動調(diào)整結(jié)構(gòu)，以適應(yīng)不同情況的風(fēng)險評估。有些網(wǎng)絡(luò)攻擊只影響部分指標數(shù)據(jù)，但危害很大，如黑洞攻擊造成網(wǎng)絡(luò)大量丟包，但對誤碼率、平均端到端時延影響很小，此時應(yīng)剔除不受影響的指標，使指標體系更有針對性。本文評估模型設(shè)定了變遷閾值矩陣θ，當某些指標數(shù)據(jù)變化很小甚至不受影響時，對應(yīng)的變遷不會觸發(fā)，屏蔽了該指標對最終評估的影響，達到了自動靈活調(diào)整指標體系結(jié)構(gòu)的目的，增強了模型的適應(yīng)能力和針對性。

2）動態(tài)調(diào)整變遷支持度，評估更合理。