開放網絡中分布式隱私數據主動防御仿真分析

竇萌萌,程小輝

(1. 河南理工大學鶴壁工程技術學院,河南 鶴壁 458030;2. 桂林理工大學信息科學與工程學院,廣西 桂林 541004)

1 引言

目前,世界各國紛紛加速建立有關數據隱私保護的法律法規,對數據的處理和應用提出了多方面約束條件,使數據主體能夠更好地得到控制和保護?，F階段常用的防御手段主要分為兩種:被動防御和主動防御。主動防御屬于積極防御,與被動防御有所不同,在攻擊發生之前,就已經根據某些行為預先判斷出將要發生的攻擊行為,及時進行自動閉環阻止。

針對主動防御,文獻[1]提出了一種最小代價下網絡攻擊主動防御算法。首先,利用信息熵進行運算,根據運算結果確定網絡空間的安全狀況,并得出疑似非安全數據和攻擊模式的集合;然后,選擇限制指數,在該指數的基礎上構造一個具有防御策略的集合,從而得到不同的保護措施;其次,基于目標限制,構建主動防御策略的代價集;最后,利用粒子群算法進行迭代循環計算,在網絡空間中,以最小代價為目標,進行主動防御。文獻[2]運用非合作信號博弈理論對網絡攻擊進行了主動防御。建立了多階段網絡欺詐博弈模型,并在此基礎上,利用欺詐信號的阻尼效應,對多階段攻防對抗進行了動態的分析和推理;在分析網絡攻擊和防御行為動態特性的基礎上,給出了多階段網絡欺騙對策的均衡解,并選擇適當的主動防御策略,以此達到主動防御的目的。

上述兩種方法雖然實現了網絡攻擊的主動防御,但是防御過程較為繁雜。從技術方面來說,主動防御可分為身份認證和攻擊檢測。本文從這兩方面展開分析,針對開放網絡提出一種分布式隱私數據主動防御方法。對用戶的身份進行認證,并將身份異常的用戶進入到下一步的DDOS攻擊檢測中;針對檢測到的異常網絡流量,利用主動防御策略實施積極防御。通過將本文方法與其它方法展開對比仿真,結果表明,本文方法可有效控制攻擊流量,同時保護正常用戶流量不受影響,取得較為理想的主動防御效果。

2 持續身份認證

在針對分布式隱私數據生成訪問行為圖譜基線之前,需要獲取開放網絡中隱私數據的源目的IP、訪問URL等字段信息,在此不包含被保護站點的源目的IP。在特定的時間段內,從同一站點中抽取同一源IP的訪問記錄,以此獲得整個源IP地址的URL序列。將所有URL序列都看作是圖的節點,從一個URL到其它URL的路徑,將其看作是圖中的一個有向邊,綜合在一起即可得到同一個源IP訪問站點的訪問行為圖譜。同時,通過源IP訪問不同網站URL的時間間隔,得到用戶訪問時間序列圖譜,以明確用戶在網站中每一個URL序列上的停留時間長短。

在歷史數據訪問列表中包含許多源IP訪問網點對,為了更快地獲取用戶數據訪問行為圖譜基線,這里引入Spark分布式算子將所有行為圖譜基線轉變為二進制對象的形式,同時存儲在HDFS[3](分布式文件系統)中,以便其它URL序列進行提取和讀寫。

給定一個URL序列集合{u1,u2,u3,…,un},其中包含N個元素,按照序列排列的先后順序提取得到N-1個子序列{u1-?u2,u2-?u3,…,un-1-?un}。通過對所提取的子序列和行為圖譜做對比,任意一方只要不包含另一方的節點,就認為該用戶身份異常,需要進一步做攻擊檢測。

3 主動防御模型建立

開放網絡中分布式隱私數據主動防御模型分為兩個階段:攻擊檢測階段和主動防御階段。通過對網絡流量[4]進行分析,判斷當前網絡是否被攻擊或將要被攻擊;當發現攻擊行為后,發送報警信息給管理員,同時采取主動防御策略,保障開放網絡的正常服務以及隱私數據的安全性。分布式隱私數據主動防御模型如圖1所示。

圖1 分布式隱私數據主動防御模型

3.1 DDOS攻擊檢測

DDOS攻擊有著追蹤困難、防范困難等諸多顯著特征。當前階段,尚未發現能有效抵御DDOS攻擊的軟件和方法,使得其對分布式隱私數據攻擊成功率高、主動防御困難。因此,本文主要針對DDOS攻擊進行檢測和防御。

當網絡遭受到DDOS攻擊時,流量將會產生非常明顯的變化,正常用戶流量被削弱,攻擊用戶流量增加速度非?？?直至占據整個網絡,尤其是開放網絡,將直接導致整個網絡無法繼續正常使用。隨著時間的變化,本文分析了正常網絡流量線Flow[5],具體內容如圖2所示。

圖2 正常網絡流量線Flow

網絡運行一段時間后,當流量Flow2的值高于Flow1的值a(a?1)倍后,即被認定是可疑流量;當流量Flow3的值高于Flow2的值b(b?a)倍后,則認定其為攻擊流量。當網絡流量值在Flow1與Flow2之間時,分布式隱私數據處于安全環境下,不會被攻擊;當流量值在Flow2與Flow3之間時,雖然網絡安全受到一定的威脅,但是數據可能不被攻擊,稱之為可疑;當流量值大于Flow3,即可認定該開放網絡中的數據一定受到了DDOS攻擊。

DDOS攻擊檢測閾值通常設定為Flow3的值,但是此時網絡已經受到了攻擊,數據已經被破壞。為了進一步預防攻擊,提高數據安全性,本文在流量值為Flow2～Flow3時就啟動DDOS攻擊檢測,一旦發現攻擊行為及時采用主動防御模型。

3.2 防御數據調用

Windows防御數據調用[6]是支持隱私數據主動防御模型運行的基本條件之一。當開放網絡中入侵數據較多時,防御數據首先會進行狀態的改變,從穩定到活躍,然后在TCP、UDP以及其它傳輸協議的作用下,實現防御數據調用。防御數據調用的過程不能影響網絡正常節點的穩定性,在此基礎上,防御數據調用表達式如式(1)所示:

(1)

式中,T表示調用防御數據結果,λ表示調用防御數據所執行的參數,q表示入侵數據上限值[7],p表示入侵數據下限值,C、D分別表示一級、二級防御數據調用系數,j表示Windows防御數據,f(j)表示j的固定定義函數,m表示調用防御數據的限值。

3.3 主動入侵列表的確定

主動入侵列表能夠根據訪問控制的特點來判定開放網絡中的入侵數據數量。調用Windows防御數據之后,整個開放網絡就會變得非常緊張,每一個可附著節點都包含了大量的入侵信息。為了快速確定每個入侵數據附著的節點信息,將同一種類型的信息以同一數據鏈的方式儲存于主動入侵列表中。通常,數據鏈用.pProcRuleList作為后綴[8],而且這種格式不會因為入侵的數量和攻擊強度而改變。

從開放網絡中隨機選定一個節點列表β,計算該節點列表可防御的入侵數據量為:

(2)

式中,S表示β采用主動防御策略后,抵御的入侵數據總數量,μ表示β的分布參數,d表示常數求和定量,c表示入侵數據的特征根,x表示隨機給定的自然數,t表示β的穩定系數,g表示入侵數據腳本指針數量[9]。

3.4 核心入侵防御等級的確定

對于開放網絡來說,主動防御模型是一種高效且有效的隱私數據保護方式。當入侵數據對網絡執行代碼的形式產生一定影響時,安全漏洞的風險性將會直線上升,致使入侵數據數量增長迅速。不僅如此,一些安全節點中的信息將會逐步被入侵數據取代,使得開放網絡整體安全性和穩定性出現下降趨勢。為了有效避免此種情況的發生,文中提出的主動防御模型將B/S與C/S相結合,局部改變原有網絡傳輸協議。當發現入侵數據總數超過限定值后,模型自動調用Windows防御數據,并根據現有的安全節點數目來判定入侵的數據,同時依據式(3)來判定目前的入侵防御等級:

(3)

式中,K表示當開放網絡受到入侵攻擊時,實際的防御等級,i表示開放網絡中安全節點數量相加的結果,f(i)表示開放網絡節點固定定義函數,e表示數據定值算子,υ為e的固定冪系數[10-12],h表示入侵數據的限定值。

將f(K)定義為積分變量,結合式(1)、式(2)和式(3),得到開放網絡中分布式隱私數據主動防御模型的表達式為:

(4)

式中,F表示主動防御模型判斷的入侵數據總量,b表示與入侵數據相關的不固定變量[13-15]。

4 仿真研究

為了驗證本文方法在應對攻擊時的主動防御有效性,在仿真工具NS2中,將本文方法與引言中提到的最小代價方法和非合作信號博弈方法展開了對比仿真。

4.1 NS2仿真拓撲結構與實驗流程設計

NS2拓撲結構如圖3所示。

圖3 NS2仿真拓撲結構

三種方法均在相同的環境下展開對比測試,本文實驗設計如下:

實驗目的:對三種主動防御方法的DDOS攻擊防御能力進行測試。

實驗條件:攻擊目標主體為S1,其余主機均為正常主機,可隨意訪問S1、S2、S3。

實驗參數:S1的理想帶寬為90-120Mbps,S2、S3的理想帶寬為75-90Mbps。

4.2 實驗結果及分析

首先,從DDOS攻擊主動防御能力方面對三種方法進行對比實驗測試。設置兩次DDOS攻擊,時間段分別為10-15s和35-45s。DDOS攻擊后的數據序列如圖4(a)所示,采用三種主動防御方法后的數據序列如圖4(b)、(c)、(d)所示。

圖4 三種方法主動防御對比結果

通過觀察圖4可以很明顯地看出,三種方法中,只有本文方法有效識別到了兩次DDOS攻擊,配合所提的主動防御策略避免分布式隱私數據被攻擊;而最小代價方法只針對后一段攻擊做出了防御措施,10-15s這一段的攻擊并未識別到,因此也不會采取任何主動防御策略,致使數據被攻擊;而非合作信號博弈方法對第二段攻擊并未作出任何防御措施,依然有隱私數據被攻擊的可能性。

接下來對三種方法的失效情況展開仿真對比分析。失效指的是方法沒有對攻擊流量做出控制,而是控制了正常用戶流量,即將正常聚集認定為攻擊聚集,影響正常流量負載,出現誤判的情況。假設S1的實際帶寬為150Mbps,流量負載為176MB左右,S2、S3的實際帶寬為100Mbps,流量負載為60MB左右;接入R4需要具備125Mbps的線速率;攻擊用戶和普通用戶二者具有相同的流量,都是4Mbps;在NS2網絡拓撲仿真結構中選擇12個攻擊主機。得到三種方法的失效情況對比結果如圖5所示。

圖5 三種方法失效情況對比結果

從圖5中可以清晰地看出,本文方法對于S1攻擊流量實現了很好的控制,對于正常用戶流量S2和S3并未作出任何防御措施;而最小代價方法對S1攻擊流量沒有任何控制,反而控制了S2正常用戶流量;非合作信號博弈方法雖然控制了S1攻擊流量,但同樣控制了S3正常用戶流量。因此得出結論,本文方法未出現防御失效的情況,而其它兩種方法均出現了明顯的防御失效問題。

5 結論

為了提高開放網絡中分布式隱私數據的安全性,本文構建了一種主動防御模型。從用戶身份認證和攻擊檢測兩方面出發,當判定用戶身份異常后,隨即對其進行DDOS攻擊檢測;當檢測到網絡中出現異常流量后,判斷其為攻擊流量還是可疑流量,如果是攻擊流量,在發出報警提醒的同時利用主動防御模型對其進行防御。在仿真中,通過將本文方法與其它方法展開對比仿真,結果表明,本文方法可有效防御DDOS入侵攻擊,很好地實現主動防御,嚴格控制攻擊流量負載,同時保護正常流量不受影響。