弱關聯節點強化下網絡泛洪攻擊檢測方法研究

李曉粉，張兆娟

（中國計量大學信息工程學院，浙江杭州 310018）

0 引 言

泛洪攻擊是指攻擊者發送大量無效或偽造的請求到目標網絡上，以消耗網絡帶寬、資源和服務能力。隨著互聯網的普及和依賴程度的提高，網絡安全威脅也在不斷增加[1-2]。其中，泛洪攻擊作為一種網絡攻擊手段，會導致網絡的擁塞和服務中斷，極大地影響了網絡的正常運行和用戶的體驗[3-4]。因此，針對網絡中的泛洪攻擊，研究出一種檢測新方法具有重要意義。

文獻[5]研究基于熵率的泛洪攻擊檢測與防御方法，以網絡中用戶請求內容為依據，通過熵率值識別內容綜合的泛洪攻擊惡意前綴，并通過回溯包含惡意前綴信息包進行攻擊有效抵抗，由于網絡本身的復雜性，對于那些正常流量中出現的隨機性，僅憑用戶請求內容的隨機性來判斷泛洪攻擊會存在較高的誤判率。文獻[6]研究基于Spark 輔助相關分析的泛洪攻擊檢測方法，利用希爾伯特-黃變換（Hilbert-Huang Transform, HHT）分析網絡中的攻擊信號時頻，結合Spearman 相關系數計算方法，識別出異常的IMF 分量。當與正常IMF 分量的差異超過40%時，即判定為泛洪攻擊。實驗證實了該方法在ZigBee 無線傳感器網絡中檢測LDoS 攻擊的有效性。但Spearman 相關系數的閾值設定比較主觀，缺乏客觀標準。文獻[7]研究基于深度學習的網絡泛洪攻擊檢測方法，以網絡遭受泛洪攻擊后的數據為輸入，構建CNN、BiLSTN 和注意力機制融合的深度學習模型，通過有效的網絡數據空間和時序特征提取，實現攻擊檢測。文獻[8]研究基于自適應神經模糊推理系統（ANFIS）的特征提取和泛洪攻擊檢測模型，有效提取網絡特征并區分惡意節點與可信節點，但這兩種方法在模型訓練方面會花費較多時間與計算資源，導致檢測開銷大。

網絡弱關聯節點是網絡中脆弱性高的節點，通常為泛洪攻擊入侵網絡的首選，通過合理的強化方式可有效提升其抵抗攻擊的性能。為此，研究弱關聯節點強化下網絡泛洪攻擊檢測方法，檢測出網絡的泛洪攻擊并提升弱關聯節點的抗攻擊能力，最大程度保障網絡安全。

1 網絡泛洪攻擊檢測

1.1 弱關聯節點分布情況

泛洪攻擊涉及大量的惡意流量，攻擊者利用弱關聯節點來發動攻擊。構建網絡弱關聯節點分布模型，通過分析弱關聯節點的分布情況，可以確定攻擊者進入系統的路徑和入口位置，明確潛在的攻擊源，從而定位優先防御的目標[9]。

設定弱關聯節點通過線性疊加的形成存在于網絡中，且彼此之間不存在信號干擾，則網絡弱關聯節點i的分布模型表達式為：

式中：rij、Gij、dij分別表示網絡弱關聯節點i、j之間的距離、衰減量、實際距離；Pj表示網絡弱關聯節點j在通信時發送的信號；α表示通信信息傳輸衰減變化指數。

1.2 弱關聯節點定位

定位弱關聯節點使得攻擊的追溯和響應更加精準和迅速。一旦發現泛洪攻擊活動，可以根據定位結果采取相應的對策，快速隔離惡意節點，有效緩解攻擊造成的影響。以上述構建網絡弱關聯節點分布模型為基礎，組建弱關聯節點定位方程，以快速定位弱關聯節點。

設定弱關聯節點中包含已知節點和未知節點，選取三個已知節點，通過三者的不共線方式描述三者間的共存關系。在實際定位過程中，節點之間距離的差異會導致信號強度存在差異[10]。等時間條件下，節點間信號強度與節點間距離成反比，即節點間距離越遠，節點間信號關聯強度越弱，為此利用弱關聯節點間的距離能夠實現其快速定位。在網絡弱關聯節點分布模型中，設已知節點1、節點2、節點3與未知節點n之間的距離為r1、r2、r3，表達式如下：

式中：網絡節點1、節點2、節點3 的橫坐標和縱坐標為X1、X2、X3和Y1、Y2、Y3；未知節點n的橫縱坐標為x、y。

由于在網絡通信時，隨時間變更，節點變化形成的實際運行距離R為：

式中q表示弱關聯節點位置變更次數。

考慮節點變化，利用節點實際運行距離組建弱關聯節點快速定位方程為：

式中f(x,y)用于描述未知的弱關聯節點位置坐標。

1.3 弱關聯節點泛洪攻擊檢測

通過定位弱關聯節點，可以獲得節點的位置信息和網絡連接情況，從而檢測出潛在的泛洪攻擊[11]。當網絡的弱關聯節點接收到大量虛假報文或者報文的接收周期紊亂時，表明網絡弱關聯節點遭遇了泛洪攻擊。為此，將周期性作為產生泛洪攻擊的特征，實現對泛洪攻擊的檢測。

設s為周期，ti-1為弱通信節點接收i- 1幀通信報文的時間，則弱通信節點接收第i幀通信報文的時間約為：

泛洪攻擊檢測時需一次性檢測時間區間[ti- 0.5s，ti +0.5s]中包含某弱通信節點接收的全部通信報文，基于網絡弱關聯節點傳輸通信報文的周期性，計算接收第i+ 1 幀通信報文的時間，即可實現對泛洪攻擊檢測。具體的公式為：

在這一時間段內，弱關聯節點接收正常通信報文的幀數有且僅有一次，一旦幀數大于一次，則可判定該網絡弱關聯節點遭受到泛洪攻擊[12]。當接收到的報文幀數為n，則可判定該弱關聯節點遭受到的泛洪攻擊報文數量為n-1。

1.4 基于弱關聯節點強化的泛洪攻擊防御

弱關聯節點作為網絡的關鍵節點，其泛洪攻擊的檢測與防御是保護網絡安全的重要一環。通過報文接收的周期性，實現對弱關聯節點遭受到的泛洪攻擊進行檢測?；谌蹶P聯節點強化的泛洪攻擊防御理念為延緩與阻隔。延緩是利用1.3 節檢測到弱關聯節點產生泛洪攻擊機器報文數量后，及時將攻擊報文條目刪除，恢復弱關聯節點功能，遏制惡意流量的傳播并阻止攻擊源的進一步攻擊[13]。依靠弱關聯節點的檢測與防御結合，可以提高網絡的抗攻擊能力。

依據網絡中路由的對稱特點，弱關聯節點強化時，偽造的報警包將遵循泛洪攻擊報文發送的路徑進行回溯，找到泛洪攻擊源頭。強化操作時為弱關聯節點偽造的報警包回溯至網絡中間路由時，會刪除與泛洪攻擊匹配的海量惡意報文，第一時間恢復弱關聯節點在網絡中的功能，通過更改節點的通信速率，阻隔泛洪攻擊產生的虛假報文的持續蔓延。在檢測到泛洪攻擊的弱關聯節點后，通過加性增乘性減理念執行弱關聯節點通信速率限制，強化弱關聯節點的能力，實現泛洪攻擊防御。

假定弱關聯節點k的通信速率初始值為vk-init，當檢測到泛洪攻擊時，其通信速率迅速降低為1，跟隨時間的發展，通信速率呈現指數增長，即速度值的變化依次為1、2、4、8 等，通信速率變化如下：

式中：vk-next、vk-current為弱關聯節點通信速率的下一值、當前值。當通信速率恢復至初始值時，說明網絡的流量回歸到正常水平，泛洪攻擊已經得到抑制，此時可以結束防御狀態，網絡可以繼續正常運行。

2 實驗分析

2.1 仿真環境構建

為了驗證弱關聯節點強化下網絡泛洪攻擊檢測方法研究的有效性，采用ndnSIM構建實驗所需仿真平臺，選用IEEE 802.11 作為MAC 層的協議，路由協議選用AODVATK。使用Setdest模塊定義節點的移動模式，使用Cbrgen 模塊定義節點間的數據流。網絡相關參數如表1所示。

表1 網絡仿真參數設置

2.2 弱關聯節點定位效果分析

在仿真平臺上模擬生成網絡的8 個數據集，并按照表2 所示進行數據集中節點和邊的設置。

表2 網絡數據集基本參數設置

利用本文方法定位各數據集中的弱關聯節點，選取2 個測度驗證本文方法的定位效果，分別為瓶頸點測度、最大相鄰連通節點測度、階數節點測度。2 個測度的數值越接近1，則表明網絡弱關聯節點定位效果越好，反之越接近0，弱關聯節點定位效果越差。設置8 個數據集的弱關聯節點各測度的數值需達到0.6。2 個測度的計算公式如下：

式中：A(i)、B(i)分別表示瓶頸點測度、最大相鄰連通節點測度；μl(i)、l分別表示涵蓋節點i的通信路徑數量、通信路徑長度；E、N、ε分別表示網絡相鄰節點邊數、i節點的相鄰節點數、常數。本文方法的弱關聯節點定位效果的統計結果如圖1 所示。

圖1 本文方法的弱關聯節點定位效果統計結果

分析圖1 可知，本文方法對8 個實驗數據集中的弱關聯節點的定位效果，瓶頸點測度、最大相鄰連通節點測度的指標值均高于0.9，遠高于設定的標準值0.6，實驗結果表明本文方法可從網絡中精準定位出弱關聯節點。

2.3 泛洪攻擊檢測效果分析

為驗證本文方法的應用效果，隨機選取一網絡節點1進行300 s 的攻擊檢測仿真實驗，并在仿真的第100 s 對該節點進行為時100 s 的模擬泛洪攻擊。將節點緩存占用率ρk作為指標，ρk可有效呈現出泛洪攻擊對網絡節點的影響情況，其計算公式為：

式中：Num of Entryk、Current Entryk分別表示節點中可緩存的攻擊報文數量、節點k當前緩存的攻擊報文數量。

分析產生泛洪攻擊條件下、有攻擊檢測無防御條件下、本文方法應用條件下，節點1 的緩存占用率變化情況，結果如表3 所示。

表3 不同條件下的節點緩存占用率變化情況%

分析表3 數據可知：無攻擊條件下，仿真300 s 的時間內，節點緩存占用率基本維持在15%～25%左右，表明正常情況下網絡節點緩存的報文數量在標準范圍內，為此可以保障節點緩存占用率始終處于一個穩定區間；有攻擊檢測無攻擊防御條件下，在仿真100 s 時，節點緩存占用率迅速呈直線形式上升，在為期100 s 的攻擊時間內，節點緩存占用率始終居高不下，平均值達到90.3%，在攻擊結束后，節點緩存占用率迅速恢復至常態，此時節點會依據自身的恢復能力自動刪除超時緩存報文；本文方法應用條件下，在遭受泛洪攻擊初始緩存報文數量剛開始增多時，防御優勢便凸顯出來，可迅速將節點緩存占用率降低至20%左右，第一時間避免因遭受泛洪攻擊導致無法為用戶提供通信服務。綜上可知，本文方法在檢測到攻擊后可迅速通過弱關聯節點強化達到泛洪攻擊防御效果，且效果顯著。

3 結 論

本文提出的基于弱關聯節點強化的泛洪攻擊檢測方法，通過定位網絡中的弱關聯節點，當檢測到這些節點存在的泛洪攻擊后，通過發送回溯報警包強化這些弱關聯節點，實現對泛洪攻擊的檢測與防御。經實驗驗證本文方法具備較好的弱關聯節點定位效果以及泛洪攻擊檢測、防御效果。但該方法也存在一定的局限性，例如，對于一些復雜的泛洪攻擊，該方法可能無法準確地檢測出來。此外，該方法需要一定的網絡資源和時間來進行節點強化操作，會對網絡性能產生一定的影響。本文提出的基于弱關聯節點強化的泛洪攻擊檢測方法是一種有效的方法，具有較好的實時性和準確性，可廣泛應用于網絡的泛洪攻擊檢測中。然而，還需要進一步研究和改進，以克服其局限性，提高檢測的準確性和可靠性。