馬 歌

（鄭州師范學(xué)院 信息科學(xué)與技術(shù)學(xué)院，河南 鄭州 450044）

0 引 言

近些年互聯(lián)網(wǎng)技術(shù)得到了有力的支持并呈現(xiàn)一片蓬勃發(fā)展的現(xiàn)象，但層出不窮的網(wǎng)絡(luò)攻擊手段與網(wǎng)絡(luò)安全事件仍然使各國(guó)的網(wǎng)絡(luò)安全遭受著嚴(yán)峻的考驗(yàn)。目前常見(jiàn)的網(wǎng)絡(luò)攻擊手段有口令攻擊、拒絕服務(wù)攻擊、病毒木馬入侵攻擊等，攻擊方式變化多端，因此目前各國(guó)的網(wǎng)絡(luò)空間都呈現(xiàn)出易攻難守的現(xiàn)象，局勢(shì)十分嚴(yán)峻，為應(yīng)對(duì)這些網(wǎng)絡(luò)攻擊手段，我國(guó)主要采取網(wǎng)絡(luò)信息共享、定期掃描、防護(hù)系統(tǒng)安裝等手段，這些防護(hù)手段可以對(duì)已認(rèn)定且公認(rèn)、公開(kāi)的網(wǎng)絡(luò)攻擊進(jìn)行及時(shí)防護(hù)，保護(hù)用戶個(gè)人信息不被盜取，但對(duì)新型且具有創(chuàng)新的網(wǎng)絡(luò)攻擊手段的防護(hù)措施較為薄弱，因此也出現(xiàn)了幾例震驚全國(guó)的案件。

國(guó)外當(dāng)前采取改變“游戲規(guī)則”的革命性技術(shù)，實(shí)現(xiàn)動(dòng)態(tài)防御以達(dá)到迷惑攻擊者的目的，該舉措雖然具有創(chuàng)新意義，但實(shí)施風(fēng)險(xiǎn)較大。

本文采用Stackelberg-Markov 技術(shù)設(shè)計(jì)了新型網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)，該系統(tǒng)采用Stackelberg 博弈與Markov 模型結(jié)合形成一種新型博弈模式的系統(tǒng)防御技術(shù)，可以對(duì)多種網(wǎng)絡(luò)攻擊手段進(jìn)行有效識(shí)別，保證網(wǎng)絡(luò)空間的安全。

1 系統(tǒng)硬件設(shè)計(jì)

本文針對(duì)基于Stackelberg-Markov 的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)的硬件設(shè)計(jì)主要分為兩個(gè)方面，分別為自主識(shí)別端與遠(yuǎn)程維護(hù)端。其中，自主識(shí)別端以微型處理器的形式存在于各種網(wǎng)絡(luò)設(shè)備的系統(tǒng)控制主板當(dāng)中，主要負(fù)責(zé)對(duì)多種網(wǎng)絡(luò)攻擊進(jìn)行識(shí)別，自主識(shí)別端秉承Stackelberg 博弈理念與Markov 的模型特點(diǎn)，將微型處理器分為三大結(jié)構(gòu)類型，分別為防御識(shí)別處理器、用戶通知處理器、遠(yuǎn)程維護(hù)端連接處理器。

目前越來(lái)越多的網(wǎng)絡(luò)用戶只注重于網(wǎng)絡(luò)系統(tǒng)的功能與性能，對(duì)網(wǎng)絡(luò)攻擊這一現(xiàn)象并不是十分關(guān)心，而本文研究的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)也正是關(guān)注于這一點(diǎn)進(jìn)行了特定的處理器設(shè)計(jì)。防御識(shí)別處理器作為Stackelberg 博弈理念的核心處理器可將網(wǎng)絡(luò)攻擊分為三大領(lǐng)域，分別為攻擊方、防御識(shí)別方、用戶方。攻擊方為第一方領(lǐng)域，即目前的各種網(wǎng)絡(luò)攻擊；防御識(shí)別方為第二方領(lǐng)域，即本文設(shè)計(jì)的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)的微型處理器，其中主要識(shí)別結(jié)構(gòu)為防御識(shí)別處理器；用戶方則為第三方領(lǐng)域，即網(wǎng)絡(luò)設(shè)備的使用用戶。其中用戶方在正常情況下并不會(huì)知道攻防兩領(lǐng)域的存在，而在微型處理器中的防御識(shí)別處理器正常工作時(shí)，也并不會(huì)對(duì)用戶的自主操作造成影響，只有在用戶網(wǎng)絡(luò)設(shè)備遭到網(wǎng)絡(luò)攻擊時(shí)，作為防御識(shí)別方的微型處理器才會(huì)通過(guò)用戶處理器給予用戶相對(duì)應(yīng)的上報(bào)。上報(bào)信息主要為通過(guò)Stackelberg 博弈理念分析的網(wǎng)絡(luò)攻擊類別與具體處理建議信息構(gòu)建的Markov 模型，此時(shí)作為用戶方的第三方網(wǎng)絡(luò)用戶可以做出三種選擇：第一種選擇為將網(wǎng)絡(luò)攻擊默認(rèn)為安全程序并對(duì)微型處理器給予信任操作提示；第二種選擇為用戶通過(guò)對(duì)應(yīng)的處理建議信息進(jìn)行自主處理；第三種選擇則為通過(guò)遠(yuǎn)程維護(hù)端連接處理器尋求幫助。本文設(shè)計(jì)的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)硬件中自主識(shí)別端的具體工作概念圖如圖1 所示。

本文設(shè)計(jì)的基于Stackelberg-Markov 的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)中，自主識(shí)別端與遠(yuǎn)程維護(hù)端之間的連接主要通過(guò)自主識(shí)別端的遠(yuǎn)程維護(hù)端連接處理器與遠(yuǎn)程維護(hù)端的信號(hào)接收器進(jìn)行連接。當(dāng)用戶通過(guò)遠(yuǎn)程維護(hù)端連接處理器發(fā)出尋求幫助的請(qǐng)求后，遠(yuǎn)程維護(hù)端會(huì)接收到該網(wǎng)絡(luò)用戶設(shè)備的網(wǎng)絡(luò)攻擊數(shù)據(jù)組成的Markov 模型。當(dāng)?shù)玫組arkov 模型后，遠(yuǎn)程維護(hù)端通過(guò)相對(duì)應(yīng)的計(jì)算對(duì)Markov 模型進(jìn)行決策，模擬網(wǎng)絡(luò)攻擊方與防御識(shí)別方的博弈進(jìn)而得到二者的攻防結(jié)果，在得到攻防結(jié)果后，遠(yuǎn)程維護(hù)端處理器會(huì)應(yīng)用本文設(shè)計(jì)系統(tǒng)中的Stackelberg博弈理念，對(duì)結(jié)果進(jìn)行分析進(jìn)而得到可行性最高、成本較低、操作較為簡(jiǎn)單的舉措，交由相關(guān)工作人員完成，達(dá)到對(duì)網(wǎng)絡(luò)攻擊識(shí)別并輔助修復(fù)的目的。

圖1 自主識(shí)別端工作概念圖

硬件內(nèi)部CPU 為技嘉公司生產(chǎn)的B365M AORUS ELITE 主板+英特爾 i5-9400F 主板 U 套裝/主板+CPU 套裝，芯片結(jié)構(gòu)如圖2 所示。

圖2 芯片結(jié)構(gòu)圖

2 系統(tǒng)軟件設(shè)計(jì)

本文設(shè)計(jì)的基于Stackelberg-Markov 的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)中的軟件主要以微型芯片的形式存在于自主識(shí)別端與遠(yuǎn)程維護(hù)端當(dāng)中。遠(yuǎn)程維護(hù)端的具體工作流程如圖3 所示。

自主識(shí)別端中的防御識(shí)別處理器是軟件芯片的主要載體，該芯片可以通過(guò)運(yùn)作防御識(shí)別處理器對(duì)網(wǎng)絡(luò)攻擊進(jìn)行識(shí)別，目前網(wǎng)絡(luò)攻擊主要包括口令攻擊、拒絕服務(wù)攻擊、病毒木馬入侵攻擊幾種。

網(wǎng)絡(luò)攻擊中的口令攻擊主要有網(wǎng)絡(luò)猜測(cè)法與窮舉法兩種方式，它們呈現(xiàn)遞接關(guān)系，網(wǎng)絡(luò)猜測(cè)法主要應(yīng)用非法口令攻擊網(wǎng)絡(luò)設(shè)備的一些端口，如Ftp、Telent、Pop3、Rsh、Rlogin 等，通過(guò)多次對(duì)端口進(jìn)行口令嘗試進(jìn)而達(dá)到控制網(wǎng)絡(luò)設(shè)備的目的，網(wǎng)絡(luò)猜測(cè)法中的非法口令與常規(guī)口令的對(duì)比圖如圖4 所示。

圖3 遠(yuǎn)程維護(hù)端的具體工作流程圖

圖4 非法口令與常規(guī)口令的對(duì)比圖

針對(duì)這種網(wǎng)絡(luò)攻擊，本文設(shè)計(jì)的基于Stackelberg-Markov 的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)的軟件芯片通過(guò)微型處理器對(duì)網(wǎng)絡(luò)設(shè)備的各個(gè)端口實(shí)施了嚴(yán)格把控，通過(guò)大數(shù)據(jù)將各個(gè)端口的合格數(shù)據(jù)組歸納為數(shù)據(jù)組A，在各端口實(shí)時(shí)傳輸?shù)臄?shù)據(jù)組歸納為數(shù)據(jù)組B，并通過(guò)Stackelberg 博弈理念中的式（1）進(jìn)行計(jì)算：

式中T為各端口的相對(duì)應(yīng)特征數(shù)據(jù)，可以輔助式（1）的計(jì)算。如果將在各端口實(shí)時(shí)傳輸?shù)臄?shù)據(jù)組歸納為數(shù)據(jù)組B，代入到式（1）中不符合上述關(guān)系，則說(shuō)明該數(shù)據(jù)組B為非法口令，即口令攻擊中的網(wǎng)絡(luò)猜測(cè)法攻擊。本文設(shè)計(jì)的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)的軟件芯片會(huì)立即通過(guò)微型處理器通知網(wǎng)絡(luò)用戶并配以相對(duì)應(yīng)的Markov 模型圖與具體講解，如果該網(wǎng)絡(luò)用戶并沒(méi)有及時(shí)采取必要的應(yīng)對(duì)措施，那么將有可能造成口令方法的第二段攻擊即窮舉法攻擊。

窮舉法攻擊一般會(huì)在網(wǎng)絡(luò)攻擊者奪取網(wǎng)絡(luò)設(shè)備各端口的文件shadow 或passwd 后進(jìn)行，該網(wǎng)絡(luò)攻擊會(huì)通過(guò)端口的口令密碼逐漸取得網(wǎng)絡(luò)設(shè)備的整體控制權(quán)；而本文設(shè)計(jì)的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)在面對(duì)該網(wǎng)絡(luò)攻擊卻無(wú)法得到網(wǎng)絡(luò)用戶的具體命令時(shí)，會(huì)持續(xù)性地干擾網(wǎng)絡(luò)設(shè)備的控制權(quán)，最大程度地保護(hù)網(wǎng)絡(luò)設(shè)備，本文設(shè)計(jì)的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)對(duì)口令攻擊中兩階段的Markov 模型對(duì)比圖如圖5 所示。

圖5 口令攻擊中兩階段的Markov 模型對(duì)比圖

網(wǎng)絡(luò)攻擊中的拒絕服務(wù)攻擊主要以多種形式的數(shù)據(jù)包對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行“淹沒(méi)式”攻擊，數(shù)據(jù)包的形式主要為 UDP 炸彈、Finger 炸彈、P/I 炸彈、數(shù)據(jù)洪流等。它們的攻擊目標(biāo)雖然有所不同，攻擊理念卻有著十分相似的地方，那就是通過(guò)大量的無(wú)用數(shù)據(jù)盡可能地耗盡網(wǎng)絡(luò)設(shè)備的可用資源乃至系統(tǒng)崩潰，使得網(wǎng)絡(luò)設(shè)備癱瘓死機(jī)，無(wú)法對(duì)網(wǎng)絡(luò)用戶進(jìn)行回應(yīng)，這一類網(wǎng)絡(luò)攻擊統(tǒng)稱為拒絕服務(wù)攻擊。

針對(duì)這一類網(wǎng)絡(luò)攻擊，本文設(shè)計(jì)的基于Stackelberg-Markov 的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)的軟件芯片以網(wǎng)絡(luò)設(shè)備的可用資源作為識(shí)別基礎(chǔ)，它在工作時(shí)會(huì)對(duì)網(wǎng)絡(luò)設(shè)備的各類可用資源進(jìn)行合理分類歸納為數(shù)據(jù)組C，當(dāng)網(wǎng)絡(luò)設(shè)備的可用資源被應(yīng)用時(shí)，網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)的軟件芯片會(huì)通過(guò)Stackelberg 博弈理念中的式（2）進(jìn)行計(jì)算：

式中：L為占用網(wǎng)絡(luò)設(shè)備資源的數(shù)據(jù)包；S為該數(shù)據(jù)包的數(shù)據(jù)來(lái)源。如果將數(shù)據(jù)包L代入到式（2）中與數(shù)據(jù)組C并不符合上述關(guān)系，則說(shuō)明數(shù)據(jù)包L有可能為網(wǎng)絡(luò)攻擊中的拒絕服務(wù)攻擊，那么軟件芯片將會(huì)通過(guò)微型處理器通知網(wǎng)絡(luò)用戶并配以相對(duì)應(yīng)的Markov 模型圖與具體講解。在網(wǎng)絡(luò)用戶做出決定的階段，本文設(shè)計(jì)的基于Stackelberg-Markov 的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)將會(huì)盡可能地輔助相關(guān)設(shè)備阻止拒絕服務(wù)攻擊，本文設(shè)計(jì)的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)對(duì)拒絕服務(wù)攻擊模擬的Markov 模型圖如圖6所示。

圖6 拒絕服務(wù)攻擊模擬的Markov 模型圖

對(duì)于病毒木馬入侵攻擊這一類網(wǎng)絡(luò)攻擊，它的病毒種類較多且目前已多被殺毒軟件記錄，因此針對(duì)這一類網(wǎng)絡(luò)攻擊，本文設(shè)計(jì)的基于Stackelberg-Markov 的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)的軟件芯片則會(huì)通過(guò)微型處理器與網(wǎng)絡(luò)設(shè)備的殺毒軟件相互配合來(lái)進(jìn)行識(shí)別，本系統(tǒng)軟件主要負(fù)責(zé)實(shí)時(shí)進(jìn)行殺毒軟件掃描與輔助殺毒軟件工作。

本文設(shè)計(jì)的基于Stackelberg-Markov 的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)的軟件芯片在遠(yuǎn)程維護(hù)端中主要負(fù)責(zé)通過(guò)Stackelberg 博弈理念對(duì)網(wǎng)絡(luò)用戶遞交的Markov 模型圖進(jìn)行處理，進(jìn)而得到可行性最高、成本較低、操作較為簡(jiǎn)單的舉措，幫助網(wǎng)絡(luò)用戶解決網(wǎng)絡(luò)攻擊的問(wèn)題。

3 實(shí)驗(yàn)研究

本文通過(guò)Matlab 仿真平臺(tái)對(duì)設(shè)計(jì)的基于Stackelberg-Markov 的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)與傳統(tǒng)的Web網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)對(duì)新型網(wǎng)絡(luò)攻擊的識(shí)別對(duì)比，在該實(shí)驗(yàn)環(huán)境中主要包括攻擊者、識(shí)別防御者與網(wǎng)絡(luò)用戶3 個(gè)單元，每個(gè)單元之間通過(guò)pipe（數(shù)據(jù)管道）進(jìn)行數(shù)據(jù)傳輸，具體實(shí)驗(yàn)環(huán)境如圖7 所示。

在這3 個(gè)單元中首先通過(guò)攻擊方對(duì)網(wǎng)絡(luò)用戶進(jìn)行網(wǎng)絡(luò)攻擊，而在這一過(guò)程中，網(wǎng)絡(luò)攻擊數(shù)據(jù)會(huì)分別經(jīng)過(guò)裝有本文設(shè)計(jì)的基于Stackelberg-Markov 的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)與傳統(tǒng)的Web 網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)的識(shí)別防御者單元，對(duì)網(wǎng)絡(luò)攻擊數(shù)據(jù)進(jìn)行掃描識(shí)別，采用Linux 算法對(duì)識(shí)別系統(tǒng)的識(shí)別性能進(jìn)行評(píng)測(cè)。

針對(duì)基于Stackelberg-Markov 的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)運(yùn)行的復(fù)雜性，需對(duì)其進(jìn)行實(shí)驗(yàn)參數(shù)的設(shè)置，實(shí)驗(yàn)參數(shù)如表1 所示。

圖7 實(shí)驗(yàn)環(huán)境模擬設(shè)置

表1 實(shí)驗(yàn)參數(shù)

根據(jù)上述實(shí)驗(yàn)參數(shù)，在設(shè)置的實(shí)驗(yàn)環(huán)境中進(jìn)行對(duì)比實(shí)驗(yàn)，統(tǒng)計(jì)兩種網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)能夠有效識(shí)別的次數(shù)，計(jì)算兩種識(shí)別系統(tǒng)的識(shí)別率，得到的識(shí)別率對(duì)比圖如圖8 所示。

圖8 網(wǎng)絡(luò)攻擊識(shí)別率對(duì)比

從圖8 可以看出，基于Stackelberg-Markov 的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)對(duì)網(wǎng)絡(luò)攻擊的識(shí)別效果遠(yuǎn)強(qiáng)于傳統(tǒng)的Web 網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)，這與本文研究系統(tǒng)對(duì)多種網(wǎng)絡(luò)攻擊針對(duì)識(shí)別性有著直接的關(guān)系。本文研究的基于Stackelberg-Markov 的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)采用軟硬件結(jié)合以及與遠(yuǎn)程客戶端結(jié)合應(yīng)用的方式，不但大大提高了網(wǎng)絡(luò)攻擊識(shí)別率，還可以保護(hù)網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)設(shè)備，安裝于各種網(wǎng)絡(luò)設(shè)備的系統(tǒng)控制主板中的微型處理器通過(guò)各硬件結(jié)構(gòu)之間的相互配合不但滿足了網(wǎng)絡(luò)用戶的多種需求，也提高了對(duì)網(wǎng)絡(luò)攻擊識(shí)別的準(zhǔn)確性。

傳統(tǒng)的Web 網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)由于數(shù)據(jù)庫(kù)容量有限且軟件與硬件之間的配合并不是特別的完善，因此面對(duì)當(dāng)前變化多端的網(wǎng)絡(luò)攻擊手段，不但無(wú)法較為準(zhǔn)確地進(jìn)行識(shí)別，面對(duì)新型網(wǎng)絡(luò)攻擊手段的應(yīng)急效果也不是特別的好；而本文研究的基于Stackelberg-Markov 的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)在自主識(shí)別端的基礎(chǔ)上添加了能夠與其進(jìn)行相互配合的遠(yuǎn)程維護(hù)端，不但能夠擴(kuò)大整體系統(tǒng)的網(wǎng)絡(luò)識(shí)別空間，大大提高對(duì)新型網(wǎng)絡(luò)攻擊的識(shí)別效果，也給予了網(wǎng)絡(luò)用戶更多的操作選擇，在滿足當(dāng)代網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)識(shí)別系統(tǒng)要求的條件下，盡可能地幫助網(wǎng)絡(luò)用戶進(jìn)行網(wǎng)絡(luò)攻擊識(shí)別，確保網(wǎng)絡(luò)設(shè)備安全，這是傳統(tǒng)的Web 網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)并不具有的。

4 結(jié) 語(yǔ)

本文設(shè)計(jì)的基于Stackelberg-Markov 的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)，采用Stackelberg 博弈理念與Markov 模型相結(jié)合的方式對(duì)當(dāng)前的多種網(wǎng)絡(luò)攻擊進(jìn)行專屬性識(shí)別，具有極強(qiáng)的識(shí)別性與針對(duì)性，可以在識(shí)別的同時(shí)達(dá)到不影響網(wǎng)絡(luò)用戶正常應(yīng)用網(wǎng)絡(luò)設(shè)備的效果，具有很大的發(fā)展空間與應(yīng)用平臺(tái)，且本文研究的基于Stackelberg-Markov 的網(wǎng)絡(luò)攻擊識(shí)別系統(tǒng)所具有的理念是該領(lǐng)域在之前并不具備的，因此本文研究的系統(tǒng)對(duì)該領(lǐng)域的發(fā)展有一定的積極與促進(jìn)意義。但是該系統(tǒng)仍然需要一定的改進(jìn)，且需要和其他網(wǎng)絡(luò)設(shè)備公司聯(lián)合應(yīng)用才能達(dá)到識(shí)別效果，所以這是本文研究系統(tǒng)的一大主要問(wèn)題所在，也是今后努力的方向。