可信賴云計(jì)算的通信終端攻擊行為識別算法

毛明揚(yáng)，徐勝超

(廣州華商學(xué)院數(shù)據(jù)科學(xué)學(xué)院，廣東 廣州 511300)

0 引 言

通信終端廣泛應(yīng)用在數(shù)據(jù)、音頻、視頻、圖像等多個(gè)領(lǐng)域，通信終端一旦被攻擊會導(dǎo)致數(shù)據(jù)異常、音頻和視頻斷路、圖形圖像失真等[1-3]。所以，通信終端攻擊行為識別十分重要。

針對通信終端攻擊行為識別問題，文獻(xiàn)[4]提出了一種攻擊節(jié)點(diǎn)檢測方法，利用空間相似性原理，采用隨機(jī)游走的異常節(jié)點(diǎn)檢測方法，找出狀態(tài)異常節(jié)點(diǎn)并確定其位置，雖然此方法能夠有效提高通信終端的防御能力，但是該方法造成大量數(shù)據(jù)丟失，對攻擊行為種類的識別也有限。文獻(xiàn)[5]在云計(jì)算模式下提出了一種網(wǎng)絡(luò)攻擊識別新方法，此方法可以有效防御通信終端被病毒攻擊，并同遺傳算法檢驗(yàn)了云計(jì)算環(huán)境下網(wǎng)絡(luò)在遭受攻擊時(shí)候的抵抗能力，雖然該方法提高了安全性，但范圍太小，不夠全面。文獻(xiàn)[6]研究了一種基于云計(jì)算環(huán)境的網(wǎng)絡(luò)入侵安全檢測方法，該方法通過構(gòu)建入侵檢測模型，分析網(wǎng)絡(luò)遭受攻擊時(shí)的網(wǎng)絡(luò)流量變化情況，該方法能夠降低攻擊行為檢測時(shí)間錯(cuò)誤率，但是對異常數(shù)據(jù)的限制和傳播環(huán)境的安全保護(hù)程度有限。

云計(jì)算平臺具有廣泛性和包容性的特點(diǎn)。云計(jì)算可以搭建在不同資源平臺上兼容多種資源，并可實(shí)現(xiàn)資源的動態(tài)分配，因此云計(jì)算可為通信終端提供良好的運(yùn)行環(huán)境[7-9]?？尚判詣討B(tài)驗(yàn)證機(jī)制可以有效確保通信環(huán)境的安全，避免通信終端本身以外的環(huán)境信息對通信終端信息傳輸?shù)母蓴_，保證數(shù)據(jù)的順利傳遞[10-11]。為此本文提出一種可信賴云計(jì)算的通信終端攻擊行為識別算法，保障通信終端數(shù)據(jù)流能夠順利完整地傳遞，提高了數(shù)據(jù)傳遞的安全性、有效性，有效解決通信終端被攻擊的問題[12-15]。

1 通信終端的攻擊行為識別

1.1 基于可信賴云計(jì)算的攻擊行為識別框架

為實(shí)現(xiàn)通信終端攻擊行為識別需求，有效結(jié)合云計(jì)算和可信性驗(yàn)證機(jī)制，本文提出基于可信賴云計(jì)算的通信終端攻擊行為識別框架，在發(fā)現(xiàn)攻擊行為時(shí)及時(shí)采取措施處理攻擊行為數(shù)據(jù)流，保證數(shù)據(jù)安全正常傳輸?；诳尚刨囋朴?jì)算的通信終端攻擊行為識別框架見圖1。

圖1 基于可信賴云計(jì)算的通信終端攻擊行為識別框架

如圖1所示，通信終端攻擊行為識別框架由2個(gè)部分組成，第一部分包括數(shù)據(jù)采集、可行性驗(yàn)證機(jī)制、攻擊行為識別、速率限制等模塊，通過這些模塊來完成數(shù)據(jù)采集、可信性驗(yàn)證、攻擊行為識別和速率限制。第二部分是管理層，主要負(fù)責(zé)第一部分各個(gè)模塊的調(diào)配，以保證數(shù)據(jù)有效順利傳遞，并在攻擊行為發(fā)生時(shí)及時(shí)做出應(yīng)對反應(yīng)[16]。

1.2 通信終端攻擊行為識別流程

具體的通信終端攻擊行為識別流程見圖2。

圖2 通信終端攻擊行為識別流程

識別攻擊行為時(shí)，首先通過數(shù)據(jù)采集模塊采集通信終端數(shù)據(jù)流，經(jīng)可信性驗(yàn)證機(jī)制驗(yàn)證云計(jì)算通信終端運(yùn)行環(huán)境安全后，利用攻擊行為識別模塊識別是否存在攻擊行為，若發(fā)現(xiàn)數(shù)據(jù)流異常，則表明通信終端被攻擊[17-19]，此時(shí)將數(shù)據(jù)流檢測結(jié)果反映給管理模塊：若未發(fā)現(xiàn)異常數(shù)據(jù)流，則表明采集到的是正常的數(shù)據(jù)流，此情況不作處理。速率限制模塊功能是當(dāng)管理模塊接到異常行為識別模塊識別到異常行為時(shí)，對通信終端的異常數(shù)據(jù)進(jìn)行速率限制，同時(shí)將信息傳給管理模塊。管理模塊會不間斷判斷是不是還有攻擊性的數(shù)據(jù)流產(chǎn)生。假如出現(xiàn)異常數(shù)據(jù)流的攻擊，則速率限制開始運(yùn)行，假如沒有出現(xiàn)異常數(shù)據(jù)流，那么就會停止速率限制操作。

1.3 可信性驗(yàn)證機(jī)制

云計(jì)算環(huán)境是以虛擬機(jī)為通信終端的核心，其中構(gòu)建可信賴的云計(jì)算運(yùn)行環(huán)境是可信性驗(yàn)證機(jī)制的終極目標(biāo)，這里的可信性驗(yàn)證機(jī)制選取TCEE[20]。通過TCEE的vTPM(虛擬可信模塊)，在云計(jì)算環(huán)境的虛擬機(jī)管理器(VMM)和通信終端中引入可信任鏈，具體結(jié)構(gòu)如圖3所示。

圖3 可信性驗(yàn)證機(jī)制結(jié)構(gòu)

各通信終端的虛擬機(jī)利用內(nèi)置的配置信息采集單元采集通信終端在云計(jì)算環(huán)境中的運(yùn)行數(shù)據(jù)，經(jīng)遠(yuǎn)程驗(yàn)證單元將數(shù)據(jù)傳輸至TTP(可信第三方)，通過完整性驗(yàn)證方法對比配置信息與已注冊登記的正常配置信息，判斷通信終端的運(yùn)行環(huán)境是否可信[8]。

通信終端虛擬環(huán)境啟動過程是TCEE可信性驗(yàn)證機(jī)制的重要環(huán)節(jié)，想要可信賴云計(jì)算通信終端虛擬環(huán)境正常啟動，TCG規(guī)范可信計(jì)算機(jī)技術(shù)是最佳選擇[21]，通過通電自行檢測、在內(nèi)存中加載操作系統(tǒng)內(nèi)核鏡像、開啟VMM等步驟開啟云計(jì)算通信終端。而在以虛擬機(jī)為載體的通信終端運(yùn)行環(huán)境中，需將vTPM視為虛擬機(jī)的可信任根CRTM，依次開展如下操作：衡量接力式、存儲衡量結(jié)果的可信度量結(jié)果以及PCR寄存器中引入哈希值。具體過程見圖4。

圖4 通信終端虛擬環(huán)境啟動過程

通過實(shí)現(xiàn)配置信息采集單元以及遠(yuǎn)程驗(yàn)證服務(wù)單元的可信啟動，完成通信終端虛擬環(huán)境啟動。首先開始虛擬機(jī)自檢工作，接下來利用核心可度量根CRTM分別對自身代碼以及啟動程序的哈希值進(jìn)行求解[22]，并分別加載至PCR0和PCR4中，之后利用Boot Loader對內(nèi)核鏡像哈希值進(jìn)行二次求解，并通過內(nèi)核鏡像加載至操作系統(tǒng)內(nèi)核中，通過載入操作完成通信終端虛擬環(huán)境開啟[23]。

2 基于貝葉斯的通信終端攻擊行為識別

通過檢測采集模塊采集到的通信終端信息中的攻擊數(shù)據(jù)，利用貝葉斯算法完成攻擊數(shù)據(jù)分類識別，是可信賴云計(jì)算環(huán)境下通信終端攻擊分類識別原理。分析通信終端是否入侵的方法如下：

(1)

在通信終端中獲取的原始數(shù)據(jù)是X={Xa,Xb,Xc,Xd}，向量D={D1，D2}用于描述特征參數(shù)er，Xc、Xb以及Xa、Xb的不同隸屬系數(shù)分別用c1和c2表示，能否與數(shù)據(jù)中心劃成一類是依據(jù)以上算法中的數(shù)據(jù)特征和聚類中心的距離來確定[24]。不同數(shù)據(jù)特征間聯(lián)系通過貝葉斯算法來計(jì)算獲取，如下所示：

A+B+C+D=a1(X1-X2)+b1(X3-X4)+c1(X-X3)

(2)

通信終端中數(shù)據(jù)和數(shù)據(jù)、數(shù)據(jù)和聚類中心間的聯(lián)系是通過公式(2)來確定，聚類中心用A、B、C、D表示，通信終端的異常數(shù)據(jù)用X、X1、X2、X3、X4表示。

整合上述公式的數(shù)據(jù)確定目標(biāo)函數(shù)，通信終端網(wǎng)絡(luò)是否出現(xiàn)異常和被攻擊是依照結(jié)束運(yùn)算條件及迭代處理來識別[25]。攻擊識別方法如下：

1)設(shè)在通信終端中得到原始數(shù)據(jù)為X={Xa,Xb,Xc,Xd}，異常數(shù)據(jù)X、X1、X2、X3、X4是通信終端的一部分，迭代處理的最小和最大數(shù)據(jù)分別為X4和X1，聚類中心則用A、B、C、D表示。

2)為了更好地將聚類中心數(shù)據(jù)和通信終端數(shù)據(jù)進(jìn)行比較，需對異常數(shù)據(jù)X、X1、X2、X3、X4實(shí)行迭代處理，也需對數(shù)據(jù)中A、B、C、D在聚類中心信息進(jìn)行更新。

以識別到的攻擊行為數(shù)據(jù)為基礎(chǔ)，計(jì)算攻擊行為數(shù)據(jù)的后驗(yàn)概率，將后驗(yàn)概率最大的類別作為識別到的攻擊行為所屬類別，實(shí)現(xiàn)可信賴云計(jì)算環(huán)境下通信終端攻擊行為分類識別結(jié)果。

遵循貝葉斯算法原理，將隨意兩者間非同一時(shí)刻出現(xiàn)的數(shù)據(jù)設(shè)置為A1,A2,…,An，且可以與B同時(shí)出現(xiàn)的數(shù)據(jù)有且只有一個(gè)。

由于通信終端攻擊行為數(shù)據(jù)樣本中，所有的攻擊數(shù)據(jù)類別的概率分布均為已知，所以攻擊行為數(shù)據(jù)特征屬性單獨(dú)干擾其所屬類別[26]。假設(shè)通信終端攻擊行為樣本集的特征屬性數(shù)量為n，A1,A2,…,An為其特征屬性向量，通信終端攻擊行為樣本的類別數(shù)量為m，即{C1,C2,…,Cn}。設(shè)置要分類識別的攻擊行為數(shù)據(jù)Y的特征向量為{y1,y2,…,yn}，則Y所屬攻擊行為類別的后驗(yàn)概率用P(Ci|Y)描述，P(Ci|Y)的最大值即為最終攻擊行為的類別。后驗(yàn)概率P(Ci|Y)的計(jì)算公式為：

(3)

其中，通信終端樣本中攻擊行為所屬類別為Ci的數(shù)據(jù)比例為P(Ci)。通信終端樣本中攻擊行為數(shù)據(jù)Y的數(shù)據(jù)比例為P(Y)。

3 結(jié)果分析

選擇3臺通信終端作為實(shí)驗(yàn)對象，采用MATLAB仿真軟件模擬DDoS攻擊、SQL注入、木馬植入、后門程序、僵尸程序、邏輯炸彈、口令入侵、網(wǎng)絡(luò)監(jiān)聽以及WWW欺騙9種常見攻擊行為，并運(yùn)用本文算法對其進(jìn)行識別，以驗(yàn)證該算法的有效性。

測試不同攻擊行為概率下，加入和未加入可信性動態(tài)驗(yàn)證機(jī)制的通信終端訪問信任度，結(jié)果用圖5描述。

圖5 通信終端訪問信任度結(jié)果

分析圖5可以看出，本文算法未加入可信性動態(tài)驗(yàn)證機(jī)制時(shí)，隨著攻擊行為概率持續(xù)增加，通信終端的訪問信任度呈近似線性遞減趨勢，當(dāng)攻擊行為概率增加至0.9時(shí)，訪問信任度僅為30%左右，而加入可信性動態(tài)驗(yàn)證機(jī)制后，通信終端的訪問信任度呈緩慢下降并逐漸趨于平穩(wěn)的態(tài)勢，且始終高于90%。因此可得，本文算法通過可信性動態(tài)驗(yàn)證機(jī)制能有效提升通信終端訪問安全性。

假設(shè)通信終端運(yùn)行過程中，在第30 s～第70 s發(fā)生木馬植入攻擊行為，通過數(shù)據(jù)到達(dá)延時(shí)時(shí)間驗(yàn)證本文算法中速率限制功能的數(shù)據(jù)流調(diào)節(jié)效果，具體結(jié)果用圖6描述。

從圖6可知，啟動速率限制前，在未發(fā)生木馬植入攻擊行為的情況下，數(shù)據(jù)延時(shí)時(shí)間為0.15 s，發(fā)生攻擊行為后，數(shù)據(jù)延時(shí)時(shí)間大幅度上升，最高達(dá)到0.52 s；啟動速率限制后，在未發(fā)生木馬植入攻擊行為時(shí)，基本不存在數(shù)據(jù)延時(shí)現(xiàn)象，發(fā)生攻擊行為后，數(shù)據(jù)延時(shí)時(shí)間出現(xiàn)極小的波動，最高僅為0.12 s。因此表明本文算法具有較優(yōu)異的數(shù)據(jù)流調(diào)節(jié)效果，能保證數(shù)據(jù)在通信終端遭受攻擊行為時(shí)的順利傳輸。

圖6 數(shù)據(jù)到達(dá)延時(shí)時(shí)間結(jié)果

統(tǒng)計(jì)分析某日通信終端攻擊行為識別結(jié)果，其中前10條記錄用表1描述。

表1 通信終端攻擊行為部分識別結(jié)果

分析表1可以看出，當(dāng)通信終端遭受不同嚴(yán)重程度的攻擊時(shí)，本文算法均能識別出相應(yīng)的攻擊行為，且識別用時(shí)始終保持在35 s以下，其中識別用時(shí)最長和最短的攻擊行為分別為WWW欺騙和后門程序。以上結(jié)果可得，本文算法能夠有效實(shí)現(xiàn)通信終端攻擊行為識別，對于攻擊嚴(yán)重程度較低的行為也能識別出來，且整體通信終端攻擊行為識別效率較高。

引入平均絕對百分誤差(Mean Absolute Percentage Error, MAPE)衡量本文算法的通信終端攻擊行為識別性能。將9種常見攻擊行為分別用序號A～B表示，并在測試環(huán)境中加入不同強(qiáng)度的干擾信號，分別為10 dB、30 dB以及50 dB，此環(huán)境下各通信終端攻擊行為的識別MAPE結(jié)果如圖7所示。

分析圖7可以發(fā)現(xiàn)，當(dāng)測試環(huán)境中干擾信號強(qiáng)度為10 dB時(shí)，大多數(shù)攻擊行為的識別平均絕對百分誤差均保持最低，當(dāng)干擾信號強(qiáng)度增加至50 dB時(shí)，各攻擊行為的識別平均絕對百分誤差均處于最高值，但始終低于0.25%，整體識別誤差水平較低。因此可得，本文算法具有較理想的通信終端攻擊行為識別性能，即使在干擾較大的環(huán)境中也能準(zhǔn)確識別通信終端攻擊行為。

圖7 不同通信終端攻擊行為的識別MAPE結(jié)果

測試本文算法使用后通信終端在不同運(yùn)行時(shí)間下接收及發(fā)送數(shù)據(jù)的平均能耗，結(jié)果用圖8描述。

圖8 通信終端接收及發(fā)送數(shù)據(jù)的平均能耗

從圖8可以看出，隨著通信終端運(yùn)行時(shí)間增加，其接收及發(fā)送數(shù)據(jù)的平均能耗均呈上升趨勢，但上升幅度極小，表明本文算法能很好地避免由惡意攻擊行為導(dǎo)致的通信終端能量過度消耗問題。

統(tǒng)計(jì)分析本文算法應(yīng)用第1個(gè)月、第2個(gè)月以及第3個(gè)月的通信終端攻擊行為識別數(shù)量，結(jié)果用圖9描述。

從圖9可以發(fā)現(xiàn)，本文算法應(yīng)用1個(gè)月時(shí)，各攻擊行為的識別數(shù)量在30～40范圍內(nèi)變化；本文算法應(yīng)用2個(gè)月時(shí)，各攻擊行為的識別數(shù)量明顯減少，最大與最小識別數(shù)量分別為32、21；本文算法應(yīng)用3個(gè)月時(shí)，各攻擊行為的識別數(shù)量始終低于15。以上結(jié)果可得，本文算法的通信終端攻擊行為識別效果較為優(yōu)異，其實(shí)際應(yīng)用對減少通信終端攻擊行為，提升通信終端安全性具有顯著效果。

圖9 不同應(yīng)用時(shí)間的攻擊行為識別數(shù)量

4 結(jié)束語

本文研究可信賴云計(jì)算的通信終端攻擊行為識別算法，通過在云計(jì)算模式下加入可信性驗(yàn)證機(jī)制，提供通信終端運(yùn)行的可信環(huán)境，通過攻擊行為識別以及通信終端的速率限制識別攻擊行為并最大限度保證攻擊行為產(chǎn)生時(shí)的通信安全，實(shí)現(xiàn)對異常數(shù)據(jù)的識別。實(shí)驗(yàn)結(jié)果表明，在不同病毒攻擊時(shí)，通過本文方法能夠?qū)Σ《具M(jìn)行有效的識別和限制。