萬紅霞

摘? 要： 分布式網(wǎng)絡連續(xù)數(shù)據(jù)流脆弱點識別能夠有效地保證網(wǎng)絡計算應用的安全性。為了提高識別效果，提出基于連續(xù)數(shù)據(jù)流脆弱點的錯誤信息識別方法，選取信號級錯誤及網(wǎng)絡模塊集傳播的連續(xù)數(shù)據(jù)脆弱點特征，定義錯誤滲透率，分析當前模塊脆弱數(shù)據(jù)流的傳播錯誤，生成傳播樹定義分布式網(wǎng)路線脆弱信號影響因子，建立錯誤傳遞矩陣，并將不同數(shù)據(jù)錯誤對當前網(wǎng)絡影響程度作為評判標準建立評價機制，根據(jù)權重從比特級、模塊級、信號級識別連續(xù)數(shù)據(jù)流脆弱點。實驗結果表明，所提的識別方法在分布式網(wǎng)絡連續(xù)數(shù)據(jù)流脆弱點識別過程中具有較好的識別效果。

關鍵詞： 脆弱點識別; 數(shù)據(jù)流脆弱點; 特征選取; 數(shù)據(jù)流分析; 影響因子構建; 評價機制

中圖分類號： TN915.08?34? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼： A? ? ? ? ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2020）13?0081?04

Research on vulnerable point recognition method for continuous data

flow in distributed network

WAN Hongxia1， 2

（1. Department of Computer Science & Technology， Jianghan Petroleum Institute， Jingzhou 434000， China;

2. Sinopec Geophysical Research Institute， Nanjing 211100， China）

Abstract： The identification of vulnerable points of continuous data flow in a distributed network can effectively guarantee the security of network computing applications. In order to improve the recognition effect， an error information recognition method based on vulnerable points of continuous data flow is proposed. Signal level errors and continuous data vulnerable point characteristics of network module set propagation are selected， the error penetration rate is defined， the propagation errors of the current module vulnerable data flow is analyzed to generate a propagation tree to define the distributed network route vulnerability signal impact factor and establish the error transfer matrix. The influence degree of different data errors on the current network is taken as the evaluation standard to establish an evaluation mechanism， and the vulnerable points of continuous data flow are identified from bit level， module level and signal level according to the weight. The experimental results show that the proposed identification method has a good identification effect in the process of identifying the vulnerable points of continuous data flow in distributed networks.

Keywords： vulnerability recognition; vulnerable point of data flow; feature selection; data flow analysis; influence factor construction; evaluation mechanism

0? 引? 言

在一些高科技行業(yè)領域，計算數(shù)據(jù)和計算系統(tǒng)的應用越來越廣泛，例如：交通控制、醫(yī)療、發(fā)電、通信系統(tǒng)、航空航天系統(tǒng)等[1]。在這些領域中，計算系統(tǒng)的效率和可靠性至關重要，一旦出現(xiàn)計算問題，很有可能造成大面積的損失，甚至造成人員傷亡。分布式網(wǎng)絡下，計算機通常需要進行高密度、高強度的應用計算[2?3]，數(shù)據(jù)流的連續(xù)性顯得至關重要。在數(shù)據(jù)輸出過程中，數(shù)據(jù)流在軟件或者傳輸節(jié)點的影響下，會出現(xiàn)連續(xù)數(shù)據(jù)流脆弱點，這種脆弱點從廣義上可以定義為數(shù)據(jù)系統(tǒng)中一些不好的特征成分或者數(shù)據(jù)部分。數(shù)據(jù)流脆弱點在外部入侵下可能會對當前計算機系統(tǒng)相關資源產(chǎn)生不利影響[4]。這種不利影響可以從兩個方面進行理解：對數(shù)據(jù)整體安全產(chǎn)生破壞性;因為環(huán)境的擾動性，導致數(shù)據(jù)流最敏感的部分出現(xiàn)問題，這部分同樣被稱為數(shù)據(jù)流脆弱點[5]。針對上述兩種情況，現(xiàn)有的解決方法一般是通過數(shù)據(jù)代碼或者授權權限保證數(shù)據(jù)流脆弱點的安全性。例如，利用進程執(zhí)行干擾、格式字符串、條件競爭、SQL注入等方式，保證數(shù)據(jù)流脆弱點不會受到外部威脅，但是這需要進行大規(guī)模的定位和識別，尤其是目前的數(shù)據(jù)網(wǎng)絡大多采用分布式網(wǎng)絡，多層級結構下數(shù)據(jù)流極為分散。大面積的數(shù)據(jù)流需要一種統(tǒng)一的分析方法，針對數(shù)據(jù)流脆弱點進行有效識別。目前數(shù)據(jù)流脆弱點識別主要有靜態(tài)分析、校驗模型等，整體效果并不理想。由此，本文提出了一種用于分布式網(wǎng)絡下的數(shù)據(jù)流脆弱點識別方法，該方法可以有效用于數(shù)據(jù)可靠性測評中，不僅結合了分布式網(wǎng)絡結構的特征，還考慮現(xiàn)代數(shù)據(jù)流錯誤環(huán)境和入侵檢測干擾引起的錯誤特性，與傳統(tǒng)識別方法相比，具有更大的優(yōu)勢。

1? 分布式網(wǎng)絡聯(lián)機數(shù)據(jù)流脆弱點識別

1.1? 脆弱點特征選取

根據(jù)當前分布式環(huán)境網(wǎng)絡系統(tǒng)的不同運行方式，設計從兩個角度對當前連接數(shù)據(jù)流的應用層面選取不同的脆弱點錯誤傳播特征。主要考慮變量和脆弱點信號的錯誤數(shù)據(jù)傳播過程，不僅需要考慮數(shù)據(jù)錯誤問題，還需要考慮錯誤點的生成問題[6]。

1.1.1? 脆弱點信號級上的錯誤

信號級錯誤特征選取之前需要定義信號錯誤滲透率的概念。當前分布式網(wǎng)絡模塊A的輸入數(shù)據(jù)流信號[i]在錯誤條件下，導致網(wǎng)絡模塊A對模塊B的輸出數(shù)據(jù)流信號[k]出現(xiàn)錯誤的概率，稱其為信號錯誤滲透率[7?8]。記作[PEPA→Bi，k]，如圖1所示。

此定義主要用于輸入當前模塊下的輸入和輸出數(shù)據(jù)對錯誤數(shù)據(jù)的滲透性，它與數(shù)據(jù)流脆弱點的生成和出現(xiàn)概率的大小有直接關系。此外，網(wǎng)絡模塊的負載以及輸入端的錯誤類型均可能改變錯誤滲透率的具體數(shù)值[9]。

基于錯誤滲透率，可以分析某一端網(wǎng)絡數(shù)據(jù)流對當前模塊的影響性。因為脆弱數(shù)據(jù)可能存在于多路徑傳播系統(tǒng)中，所以，為了準確計算當前數(shù)據(jù)流信號[S]對系統(tǒng)輸出的影響性，設計構造了傳播數(shù)據(jù)生成算法如下：

Step1：選擇系統(tǒng)輸入數(shù)據(jù)信號或者中間數(shù)據(jù)信號，將其作為傳播數(shù)據(jù)流的根節(jié)點[10]。

Step2：確定當前數(shù)據(jù)流的流向，并把對應模塊的輸出數(shù)據(jù)流均作為根點數(shù)據(jù)。

Step3：對于當前數(shù)據(jù)的子節(jié)點，如果對應數(shù)據(jù)不是常規(guī)數(shù)據(jù)，則跟蹤數(shù)據(jù)信號，保證其信號攝入，確定模塊輸出，然后根據(jù)Step2構建信號傳播子節(jié)點。如果對應的數(shù)據(jù)是常規(guī)數(shù)據(jù)，則該節(jié)點作為反饋輸入節(jié)點。

Step4：如果有其他數(shù)據(jù)信號，返回Step1。

使用該算法可以為當前網(wǎng)絡模塊下輸入信號和輸出信號各生成一個傳播樹，其中，根節(jié)點作為系統(tǒng)輸入端數(shù)據(jù)出現(xiàn)，其他節(jié)點代表輸出端數(shù)據(jù)。系統(tǒng)內(nèi)部數(shù)據(jù)每條邊均對應當前信號錯誤的滲透率指標，從根節(jié)點到葉子節(jié)點之間具有最高權重的數(shù)據(jù)流路徑，就有可能是脆弱點錯誤特征路徑。建立路徑示意圖如圖2所示。

輸入[IA1]的傳播樹如圖3所示。

其中，每條路徑的錯誤傳播概率就是將當前路徑上所有可能出現(xiàn)的錯誤滲透率數(shù)值相乘，如果出現(xiàn)[IA1]的錯誤是根據(jù)[IB1]傳輸?shù)侥KE的輸入端，則輸出概率為：

如果已經(jīng)確定錯誤概率在輸入端[IA1]中出現(xiàn)的概率為[Pr（IA1）]，那么可以調(diào)整為：

根據(jù)式（1）和式（2）定義當前分布式網(wǎng)路線脆弱信號影響因子，輸入信號或者中間信號[S]對數(shù)據(jù)流的影響因子為：

式中[ωk]表示從[S]點到當前數(shù)據(jù)流某條數(shù)據(jù)傳輸路徑[k]上的目標權重[11]。

假設當前數(shù)據(jù)流所用傳輸路徑均具有獨立性，那么數(shù)據(jù)影響因子就在[S]發(fā)生的錯誤路徑下，采用當前路徑傳播輸出。式（3）可以看作是一種風險度量，該度量解釋影響因子越大，存在脆弱點特征的概率越高。

式（3）只考慮單一的系統(tǒng)輸出，對于獨立分布式網(wǎng)絡存在多個輸出情況，考慮到不同的輸出數(shù)據(jù)的路徑程度，所以首先需要將當前系統(tǒng)輸出信號賦予一個重要的數(shù)據(jù)參數(shù)，用1代表該數(shù)據(jù)信號中的最高級別重要性。這些參數(shù)可以從系統(tǒng)設計人員給出的數(shù)據(jù)流傳輸過程導向數(shù)據(jù)中獲取，基于此提出定義公式：

式中[S→Osys]可以看作是信號[S]對數(shù)據(jù)流的影響因子[12]。

在已知當前分布式網(wǎng)絡模塊輸入和輸出滲透率參數(shù)的基礎上，根據(jù)信號集錯誤傳播分析路徑和權值可以初步確定數(shù)據(jù)脆弱點特征。

1.1.2? 模塊集上的傳播錯誤

根據(jù)定義信息確定模塊錯誤滲透率。當前網(wǎng)絡模塊A對模塊B的數(shù)據(jù)錯誤滲透率為[PEPA→B]：

式中：模塊A存在[m]個數(shù)據(jù)信號，對模塊B的輸出數(shù)據(jù)信號為[n]。

式（5）可以表示為一個用于獲取模塊連續(xù)數(shù)據(jù)的相對抽象度量，并不能直接反映當前實際錯誤的輸出傳播和輸出概率。假設所有的輸出數(shù)據(jù)流均相互獨立，一個傳輸錯誤只能引起一種連續(xù)數(shù)據(jù)流脆弱點，那么式（5）可以代表實際脆弱數(shù)據(jù)流的傳播錯誤。

除了數(shù)據(jù)輸入性錯誤以外，分布式網(wǎng)絡數(shù)據(jù)流還有可能自身產(chǎn)生錯誤輸入（輸入端正確、輸出端錯誤），特別是在特殊環(huán)境下傳播的脆弱數(shù)據(jù)流，為了完整體現(xiàn)數(shù)據(jù)流傳播錯誤，給出連續(xù)數(shù)據(jù)流脆弱點模塊泄漏概率。

在單一模塊內(nèi)部狀態(tài)不同條件下，數(shù)據(jù)流輸出情況[y]的概率稱之為泄漏率，其計算公式為：

式中[y]表示當前分布式網(wǎng)絡下模塊M的數(shù)據(jù)流輸出情況。

對于多模塊下的數(shù)據(jù)流輸出情況，其整體泄漏率為：

式中[n]表示當前網(wǎng)絡模塊的輸出個數(shù)。

當前模塊的泄漏率并不能表示分布式網(wǎng)絡數(shù)據(jù)流存在的脆弱點，在模塊正常執(zhí)行時，同樣會產(chǎn)生脆弱點的錯誤輸入。由此，可以定義網(wǎng)絡模塊下的影響因子為：

對于多網(wǎng)絡輸出情況，其數(shù)據(jù)影響因子如下：

與上述影響因子類似，如果考慮當前分布式網(wǎng)絡數(shù)據(jù)錯誤特征信號的權值，可以將其改變?yōu)椋?/p>

1.2? 識別數(shù)據(jù)流脆弱點

從1.1節(jié)中可以明確，數(shù)據(jù)流脆弱點傳播錯誤特征包括模塊集和信號集兩個層面，以此可以確定節(jié)點度的分布、節(jié)點距離和聚焦系數(shù)三項常規(guī)特征。其中，節(jié)點度參數(shù)被定義為該節(jié)點的連續(xù)性節(jié)點數(shù)目，一個節(jié)點度可以被劃分為入度和出度。入度表示該節(jié)點指向節(jié)點邊的數(shù)量，出度則表示指向其他節(jié)點邊的數(shù)量，入度越大證明該數(shù)據(jù)點的實用度越高。根據(jù)上述三項數(shù)據(jù)特征，建立錯誤傳遞矩陣，結合上述求取的錯誤滲透率，可以確定數(shù)據(jù)節(jié)點的度矩陣為：

式中：[MD]表示當前網(wǎng)絡模塊下輸入數(shù)據(jù)構成的矩陣，模塊I的第[k]個數(shù)據(jù)標注就是當前度矩陣MD的第[k]個元素。因為元素是數(shù)據(jù)間錯誤滲透率的表現(xiàn)，因此式（11）可以表示為一種加權的度值，其權值就是錯誤滲透率。

為了挖掘當前分布式網(wǎng)絡的連續(xù)數(shù)據(jù)流脆弱點，設計基于上述數(shù)據(jù)，采用最優(yōu)化分析方法，將脆弱數(shù)據(jù)點作為故障點，結合故障注入提取的故障記錄和跟蹤記錄，對所有需要考察的網(wǎng)絡區(qū)域設定集合[D=D1，D2，…]，以不同的數(shù)據(jù)錯誤對當前網(wǎng)絡影響程度作為評判標準，建立評價機制，選擇最大影響率的錯誤數(shù)據(jù)。具體做法如下：

Step1：根據(jù)錯誤特征按照系統(tǒng)模塊之間的數(shù)據(jù)交互關系，生成所有錯誤矩陣。每個錯誤矩陣均可以構成傳遞網(wǎng)絡的局部信息，確定網(wǎng)絡模塊之間的滲透率[PEPA→B1，1]。對于[PEPA→B1，1]求解的方法為：根據(jù)數(shù)據(jù)流脆弱點錯誤改變信號[i]的實際值，以此為基礎確定數(shù)據(jù)偏差。

Step2：生成數(shù)據(jù)加權選項，對所有錯誤數(shù)據(jù)根據(jù)矩陣內(nèi)容按照數(shù)據(jù)行列要求求和，得到數(shù)據(jù)元素的度，計算方法參考式（6）～式（10）。根據(jù)數(shù)據(jù)元素度和滲透率加權。

Step3：數(shù)據(jù)比特級識別。統(tǒng)計不同數(shù)據(jù)單位的SEU滲透率并組織排序，滲透率越高，其數(shù)據(jù)脆弱性也越高。

Step4：系統(tǒng)模塊級識別。統(tǒng)計當前模塊的平均節(jié)點數(shù)量，對模塊矩陣求平均值，其節(jié)點越高對應脆弱性越高。

Step5：網(wǎng)絡系統(tǒng)信號級識別?；诠?jié)點度的分布，根據(jù)局部特征篩選，并考慮平均錯誤率對當前數(shù)據(jù)系統(tǒng)影響程度，加權平均滲透率，計算公式為：

式中：[Di]為模塊[i]的數(shù)據(jù)總數(shù);[Pi]表示模塊[i]的平均滲透率。

2? 實驗數(shù)據(jù)分析

進行分布式網(wǎng)絡連續(xù)數(shù)據(jù)流脆弱點識別實驗，需要進行以下操作：

1） 選擇需要識別的網(wǎng)絡區(qū)域;

2） 選擇錯誤類型和識別位置;

3） 選擇錯誤觸發(fā)方式，包括數(shù)據(jù)流脆弱點類型;

4） 記錄可回收變量，包括內(nèi)存區(qū)域和集群事件的值;

5） 創(chuàng)建策略文件生成結果分析器。

實驗采用SAVIE運行程序執(zhí)行識別，該程序可以劃分為四個功能區(qū)，包括數(shù)據(jù)結果的顯示和數(shù)據(jù)圖生成等。脆弱數(shù)據(jù)流樣本根據(jù)八位二進制數(shù)據(jù)表來表示，其平均值如表1所示。

根據(jù)表1給出的數(shù)據(jù)流脆弱點樣本可以看出，高位數(shù)據(jù)錯誤更具有錯誤滲透率，因為高位數(shù)據(jù)流脆弱點的數(shù)據(jù)破壞性更強。同時，說明各網(wǎng)絡模塊具有明顯的差異性。對其進行識別對比，結果如圖4所示。

根據(jù)實驗數(shù)據(jù)對比結果可以看出：單純決策樹識別方法的識別度系數(shù)在0.5～0.7之間，另一種Markov數(shù)據(jù)鏈識別方法同樣介于該區(qū)間內(nèi)，但是波動較大，而此次設計的分布式網(wǎng)絡下識別方法其識別度系數(shù)達到了0.9左右，提高幅度非常明顯，證明了其有效性。

3? 結? 語

連續(xù)數(shù)據(jù)流的安全性是計算機應用安全的前提，連續(xù)數(shù)據(jù)流脆弱點會直接影響數(shù)據(jù)應用效果。對其有效識別可以規(guī)避安全應用風險，保證網(wǎng)絡健康應用。本文設計基于分布式網(wǎng)絡多層架構，根據(jù)連續(xù)數(shù)據(jù)流脆弱點錯誤傳輸特征，提出對應識別方法，經(jīng)過實驗證實可以有效提高識別度。

參考文獻

[1] 侯春多.關于無線網(wǎng)絡通信脆弱點實時提取仿真[J].計算機仿真，2018，35（6）：321?324.

[2] 李煥.關于無線網(wǎng)絡中分布式入侵檢測系統(tǒng)的混合體系架構研究[J].自動化技術與應用，2018，37（5）：52?55.

[3] 劉海燕，張鈺，畢建權，等.基于分布式及協(xié)同式網(wǎng)絡入侵檢測技術綜述[J].計算機工程與應用，2018，54（8）：1?6.

[4] 王紅凱，黃海潮，毛冬，等.基于devops的多載體數(shù)據(jù)流傳輸路徑標定方法[J].電子設計工程，2019，27（11）：123?127.

[5] 衛(wèi)彥伉，王大鳴，崔維嘉.一種引入復雜網(wǎng)絡理論的軟件數(shù)據(jù)流脆弱點識別方法[J].計算機應用研究，2015，32（4）：1100?1103.

[6] 楊洋，劉旭，劉藝林，等.基于貝葉斯定理的能源供應網(wǎng)絡脆弱性研究[J].統(tǒng)計與決策，2018，34（16）：35?39.

[7] 趙丹丹，陳興蜀，金鑫.KVM Hypervisor安全能力增強技術研究[J].山東大學學報（理學版），2017，52（3）：38?43.

[8] 周季璇，顧巧云，鳳丹.面向OSPF脆弱點的分節(jié)點污染方法研究[J].計算機技術與發(fā)展，2018，28（5）：122?126.

[9] 王健，趙國生，趙中楠，等.面向SDN的脆弱性擴散形式化建模與擴散因素分析[J].計算機研究與發(fā)展，2018，55（10）：2256?2268.

[10] 仝武寧，劉道華，李宏斌.異構分布式系統(tǒng)中實時可任意切分任務調(diào)度算法[J].信陽師范學院學報（自然科學版），2018，31（3）：479?483.

[11] 張瑩，步曉亮，李強，等.基于交換中心的分布式系統(tǒng)數(shù)據(jù)同步技術[J].通信技術，2018，51（2）：365?369.

[12] 宋守信，許葭，陳明利，等.脆弱性特征要素遞次演化分析與評價方法研究[J].北京交通大學學報（社會科學版），2017，16（2）：57?65.