于英濤,吳明虎

(1．華北計算技術(shù)研究所太極股份，北京 100083；2．軍事科學院軍事醫(yī)學研究院，北京 100850)

1 引言

網(wǎng)絡(luò)漏洞就是網(wǎng)絡(luò)信息受到破壞的一個途徑之一，在不同的軟硬件設(shè)備內(nèi)，都有極大的可能，存在不同的安全漏洞。而漏洞主要是由于設(shè)計者與實施者出現(xiàn)疏忽或者是失誤以及對于網(wǎng)絡(luò)環(huán)境的不熟悉，造成網(wǎng)絡(luò)功能和安全策略之間發(fā)生的沖突所出現(xiàn)的，即而造成信息完整性、保密性以及可獲得性受到損失，同時還有可能是不法分子或者是自動惡意代碼故意造成的[1-2]。整個系統(tǒng)或者網(wǎng)絡(luò)內(nèi)某一個單一的漏洞，都極大可能會造成一個機構(gòu)的安全態(tài)勢出現(xiàn)問題。從網(wǎng)絡(luò)漏洞攻擊原理以及攻擊步驟上觀察，能夠知道要想減少或者防止網(wǎng)絡(luò)漏洞的攻擊，最好的辦法在于盡量避免主機端口被掃描與監(jiān)聽，比攻擊者先一步發(fā)現(xiàn)漏洞，采取有效的措施，提升網(wǎng)絡(luò)安全。文獻[3]提出基于協(xié)議狀態(tài)圖遍歷的RTSP協(xié)議漏洞挖掘方法，利用協(xié)議狀態(tài)間的約束關(guān)系和狀態(tài)轉(zhuǎn)移的關(guān)聯(lián)關(guān)系構(gòu)造協(xié)議狀態(tài)圖，并基于協(xié)議狀態(tài)圖進行深度遍歷的方法，該方法減少了測試用例的生成，并提高了生成的有效性。但是該方法的網(wǎng)絡(luò)信息安全漏洞挖掘效率較低，挖掘效果不佳。為此本文提出一種欺騙攻擊環(huán)境下網(wǎng)絡(luò)信息安全漏洞深度挖掘方法，該方法能夠很好的對欺騙攻擊環(huán)境下所產(chǎn)生的網(wǎng)絡(luò)信息漏洞進行挖掘，且挖掘效率較高，效果良好。

2 欺騙攻擊環(huán)境分析

2.1 信息分布形式系統(tǒng)

數(shù)據(jù)信息的網(wǎng)絡(luò)，能夠看出是利用N個分布式網(wǎng)絡(luò)，所構(gòu)成離散分線性數(shù)據(jù)網(wǎng)絡(luò)，具體公式為：

上式中：x(k)Rn代表系統(tǒng)狀態(tài)向量，f(x(k))Rn代表非線性向量，代表信息的測量輸出，z(k)Rq代表估計的輸出向量，、代表已知的常數(shù)矩陣，ω(k)Rl與v(k)Rp分別代表系統(tǒng)的噪聲以及測量的噪聲，其均值是0，同時還需要滿足公式為：

在式(1)內(nèi)的非線性的函數(shù)f(x(k))代表可以滿足全局的Lipschitz的條件非線性變量，具體公式為：

上式中：G代表常數(shù)矩陣。

2.2 數(shù)據(jù)的欺騙攻擊

信息數(shù)據(jù)在網(wǎng)絡(luò)通道內(nèi)進行傳輸時，極大可能會受到欺騙攻擊，欺騙攻擊的方式會以竊取控制器節(jié)點、劫持傳感器節(jié)點或者是竊取密匙的方式來截取數(shù)據(jù)信息[4]。假如一旦控制器被劫持，那么該攻擊就會把錯誤數(shù)據(jù)加入至控制器節(jié)點，選擇最初的傳輸數(shù)據(jù)信息，將此數(shù)據(jù)作為虛假的數(shù)據(jù)，就是在網(wǎng)絡(luò)遭受欺騙攻擊以后，接收到的信息數(shù)據(jù)是。

為了對欺騙攻擊進行簡化，利用以下形式對攻擊以及不攻擊進行同時表達，具體公式為：

其中，標量αi(k)是任意Bernoulli 的序列，并且要滿足公式為：

3 網(wǎng)絡(luò)數(shù)據(jù)信息安全漏洞深度挖掘方法

3.1 數(shù)據(jù)信息靜態(tài)分析

靜態(tài)分析的形式框架，可以抽象的進行解釋，而靜態(tài)分析只是跟蹤用戶所關(guān)注的程序?qū)傩裕虼遂o態(tài)分析對于程序語義的解釋，與程序真實語義近似。假如程序在執(zhí)行時的狀態(tài)序列是v0～→v1=fc(v0)～→…～→…～→vi=(v0)～→…，在式中viV，V代表程序所執(zhí)行任務(wù)時真實的狀態(tài)集合，fc代表真實的解釋函數(shù)，則程序?qū)傩约礊閒c最小的不動點[6]。因為源程序任何的非平凡屬性，全處于不可判定的狀態(tài)，采用抽象解釋設(shè)計的程序語義函數(shù)為fa，接著利用fa最小不動點，來近似fc最小的不動點。這時，程序抽象的執(zhí)行序列是l0|→l1=fa(l0)|→…|→li=(l0)|→…，其中l(wèi)iL，而L代表抽象狀態(tài)的集合。相對于抽象域L的構(gòu)造完全格＜L，，，，⊥，＞，解釋了抽象狀態(tài)與真實狀態(tài)二者間的正確關(guān)系，而RV×L代表正確關(guān)系。在R滿足下列的兩個條件時：

只要是滿足下列的兩個條件的靜態(tài)分析，就全是正確的。l0為v0安全近似，就是v0Rl0；其中每次遷移都要保持正確的關(guān)系R，就是v1，v2V，l1，l2L，(v1→v2)(v1Rl1)(l2=fa(l1))→v2Rl2。

在fa不動點很難進行計算時，例如收斂的速度太慢或者是L具有無限上升鏈，那么抽象解釋可以允許用戶構(gòu)建一個更加近似抽象域M以及全新抽象函數(shù)fm：M→M，以此來近似之前抽象域L以及抽象函數(shù)fa：L→L，不過需要fm滿足fmfm。若新關(guān)系SV×M被定義為vSm，并且vRγ(m)，那么就能夠說明S為正確關(guān)系。在＜L，a，γ，M＞是一個Galois的連接時，能夠說明fm每一次計算都可以保持準確關(guān)系S。

而在進行Widening/narrowing操作時，同樣能夠得到和Galois 連接的方式，它具有相似的收斂速度以及精度，就算不能對無限L抽象值有限域Calois進行連接，也能夠找到適合的Widening/narrowing操作，確保抽象解釋函數(shù)快速的收斂。而Widening和narrowing操作的函數(shù)能夠分別標記成：L×L→L與：L×L→L。在給定完全格L上單調(diào)的函數(shù)f：L→L，若定義函數(shù)，并且，則一定具有一個最小的不動點，若定義函數(shù)，并且，則同樣具有最小的不動點，且序列與元素全是lfp(f)安全近似[7]，不過要比更加的準確。

3.2 安全漏洞挖掘

將移動網(wǎng)絡(luò)數(shù)據(jù)信息作為一個偵查移動網(wǎng)絡(luò)的混合安全漏洞樣本，構(gòu)建一個自回歸的模型。對模型內(nèi)數(shù)據(jù)利用零均值化的方式進行處理，選取一個合適自回歸的模型階數(shù)，擬合時間序列，依據(jù)得到的時間序列，對二階自回歸模型進行擬合，以此就能夠應(yīng)用在移動網(wǎng)絡(luò)數(shù)據(jù)信息的挖掘中，再結(jié)合異常數(shù)據(jù)信息的判斷條件，來對移動網(wǎng)絡(luò)數(shù)據(jù)信息樣本的挖掘進行判定，就能夠完成移動網(wǎng)絡(luò)的混合安全漏洞挖掘[8]。

首先對滑動窗口作零均值化處理，該方法從總體上來說，就是經(jīng)過過濾之后移動網(wǎng)絡(luò)數(shù)據(jù)信息觀測值序列，全局上是處于不平穩(wěn)的狀態(tài)，不過從局部的統(tǒng)計上進行觀察，卻是近似于平穩(wěn)的狀態(tài)，把這個局部當成一個滑動的時間窗，而時間窗的大小要設(shè)置成N′+1，然后每一次取出N′+1 個數(shù)，那么滑動窗N′+1的個數(shù)，就可以表示成y1，y2，…，yN+1，然后利用之前建立的自回歸模型AR，對第N′+1 個數(shù)是否發(fā)生過異常進行判斷，在構(gòu)建自回歸的模型前，要通過零均值的方式對前N′個數(shù)據(jù)進行處理。最后設(shè)為y1，y2，…，yN+1平均值，具體計算的公式為：

選取一個合適的AR階數(shù)q′，設(shè)置一個滑動的時間窗近似于平穩(wěn)的狀態(tài)，那么窗口大小的N′應(yīng)該相對較小，而利用AR(q′)進行時間序列擬合時，可以精確的利用FPE完成衡量，則相應(yīng)最小FPE的AR階數(shù)q′就是最優(yōu)模型階數(shù)。具體N′與q′約束的條件公式為：

上式中：φ1和φ2代表AR(2)系數(shù)，et代表白噪聲，主要遵從的均值為0，而方差為分布的形式。

而et方差計算公式為：

并且：

AR(2)參數(shù)估計公式為：

而AR(2)參數(shù)是利用時間序列的數(shù)據(jù)線性進行估計而獲得的。

采用AR(2)對移動網(wǎng)絡(luò)信息樣本挖掘，假如B代表后移算子，則具體公式為：

上式中：L′和U的設(shè)定，是大于0的常數(shù)值。

4 仿真實驗分析

4.1 實驗環(huán)境

為了驗證本文方法的有效性，實驗數(shù)據(jù)集為KDD99，其中訓練數(shù)據(jù)大約有60多萬條，測試數(shù)據(jù)大約有1萬多條，測試的數(shù)據(jù)集中正常的數(shù)據(jù)占據(jù)76．1%、而漏洞數(shù)據(jù)占據(jù)23．9%。

4.2 挖掘精度分析

隨著網(wǎng)絡(luò)信息的數(shù)據(jù)量逐漸增加，分別利用本文方法與基于協(xié)議狀態(tài)圖遍歷的RTSP 協(xié)議漏洞挖掘方法挖掘數(shù)據(jù)集內(nèi)漏洞的數(shù)據(jù)，對比挖掘的精度以及誤挖掘率。具體的對比結(jié)果如表1所示。

表1 兩種方法挖掘精度對比結(jié)果

通過表1能夠看出，隨著數(shù)據(jù)量逐漸的增加，本文方法與基于協(xié)議狀態(tài)圖遍歷的RTSP 協(xié)議漏洞挖掘方法的挖掘精度都在一定程度上有所下降，而誤挖掘率確有所上升，不過本文方法挖掘精度以及誤挖掘率一直要優(yōu)于基于協(xié)議狀態(tài)圖遍歷的RTSP協(xié)議漏洞挖掘方法，以此說明本文方法的挖掘精度較高，效果良好。

4.3 挖掘效率分析

隨著數(shù)據(jù)量逐漸增加情況下，對本文方法與基于協(xié)議狀態(tài)圖遍歷的RTSP 協(xié)議漏洞挖掘方法挖掘同樣數(shù)據(jù)所需要的時間進行對比，具體對比的結(jié)果如圖1所示。

圖1 挖掘時間對比結(jié)果圖

圖2 規(guī)定時間處理數(shù)據(jù)對比圖

通過圖1能夠看出，在數(shù)據(jù)量逐漸增加的過程中，基于協(xié)議狀態(tài)圖遍歷的RTSP 協(xié)議漏洞挖掘方法運行的時間也迅速增加，該過程一直要比本文方法高，而本文方法處理的時間同樣在逐漸增加，不過始終要低于線性的速率，并且逐漸的趨向于穩(wěn)定，以此說明本文方法存在較高的處理效率。

分別采用本文方法與基于協(xié)議狀態(tài)圖遍歷的RTSP 協(xié)議漏洞挖掘方法挖掘網(wǎng)絡(luò)數(shù)據(jù)信息漏洞，一共進行20 次測試，具體的單位時間所處理數(shù)據(jù)量對比結(jié)果，如圖2所示。

通過圖2能夠看出，同等時間段中，本文方法數(shù)據(jù)處理量要一直比基于協(xié)議狀態(tài)圖遍歷的RTSP 協(xié)議漏洞挖掘方法大，這是因為本文利用了靜態(tài)分析的方法，在一定程度上降低了計算量。以此可以說明本文方法，存在極高的挖掘效率。

5 結(jié)束語

為了保證網(wǎng)絡(luò)信息安全，提出欺騙攻擊環(huán)境下網(wǎng)絡(luò)信息安全漏洞深度挖掘方法。本文方法能夠很好的對網(wǎng)絡(luò)漏洞進行挖掘，且挖掘精度較高，誤挖掘情況較少，以此可以證明方法效果良好，不過由于能夠造成系統(tǒng)漏洞的方式有很多種，而且攻擊的手段方式都不一樣，所以還需要進一步深入研究，爭取可以對更多漏洞挖掘，同時最大程度提升挖掘效率以及挖掘的精度。