匡凤飞，张德富

(1. 闽南科技学院，福建 泉州 362332；2. 厦门大学，福建 厦门 361005)

1 引言

根据国家互联网信息中心公布的信息数据显示，网络攻击的趋势有所上升，其给互联网用户带来巨大的潜在威胁，甚至会为用户造成难以估计的损失[1]。为了使用户能够更加安全地应用计算机网络，避免用户受到网络攻击，对网络中潜在网络攻击进行挖掘至关重要。

在此次研究中，根据可信密码模块提出了相应的网络潜在攻击挖掘方法。通过文献研究可知，可信密码模块属于硬件配置，它是基于国家密码局自主加密算法构建[2-3]。平台为用户提供专属私密存储区，其实就是在硬盘上分出一部分区域来作为私密区域保证数据安全。在此次设计中，使用此模块着重研究了网络攻击的原型，并将其应用在网络攻击的挖掘之中。同时，将异常检测与滥用性检测分开处理，提升攻击挖掘结果的可靠性。通过将可信密码模块作为切入点，设计基于可信密码模块的网络潜在攻击挖掘方法，弥补目前使用中的网络潜在攻击挖掘方法的缺陷，提升用户网络的使用安全。

2 基于可信密码模块的网络潜在攻击挖掘方法设计

在此次研究展开前，首先对目前使用中的网络潜在攻击挖掘方法应用情况展开全面系统的分析，充分的研究了此方法的不足，并根据此不足之处展开此次设计，具体设计流程见图1。

图1 网络潜在攻击挖掘方法设计流程

根据上述设定的流程，应用可信密码模块作为网络潜在攻击挖掘的辅助性技术，弥补目前应用方法在使用中的不足，并提升网络潜在攻击挖掘能力。

2.1 构建可信密码模块管理器

此次设计将通过构建可信密码模块管理器，实现可信密码模块的使用。由于网络结构较为复杂，且管理难度较大，原始的可信服务器无法为大量的网络虚拟机提供可信服务。为对此功能展开优化，在此次设计中将设定多个处理芯片，优化管理器结构，并设定合理的管理方案。

此次设计的虚拟可信密码模块管理器是根据目前在其它网络中使用的可信服务器优化而言，其中可信芯片虚拟化构架的主体部分。且大部分的实例都需要在非服务器的控制下完成基础工作。在此次设计中将主要对vTCM实例[4-5]展开设计，并将其与虚拟管理器之间进行信息交互对应关联，并为可信保障服务提供一定的信息基础。在此次设计中将vTCM实例中，共设定两部分，首先是实例中需要的数据信息，另一部分设定为实例的功能。在管理器的硬件设计中，需要对使用的芯片展开系统的选型，其主要部分由静态数据组成，其中包含大部分的PCR值、密钥、数据对象、计数器等。因此，在vTCM实例需要对数据展开处理，同时用于保存可信服务中的网络状态。通过文献研究可知，vTCM实例的数据状态翻译了TCM实例中除了状态数据外，还应包含相应的实例模块中的所有对象，并完成功能调用。在此设计中的vTCM管理器内部构造设定如下。

图2 vTCM管理器内部构造设定结果

在上述设定的vTCM管理器中，vTCM实例中所应用的功能，通过调用硬件中的TCM芯片完成所有功能，在某种程度上认为硬件TCM芯片是一种可共享的资源，如何解决TCM芯片的可信度是一种急需解决的问题。在网络信息处理的过程中TCM芯片正在使用过程中，则当前的vTCM实例需要等待。如果在vTCM实例中的表示正在被TCM芯片处理，则需要验证 vTCM管理器中的表示与vTCM实例的表示是否一致。如果一致的情况下可进行网络信息传输与交换，如果不一致的情况，则需要展开相应的预警或是报错，将当前的vTCM标识状态进行更改，或设定为未使用状态。通过上述设定，完成可信密码模块的基础设计，并在此基础上完成网络潜在攻击挖掘过程。

2.2 网络信息相似度计算

根据上述设定的可信密码模块作为此次网络潜在攻击的挖掘基础，在此次设计中将可信密码模块处理后的数据信息采用AP算法[6]的形式，计算其相似度，对可能为威胁信息的数据进行筛选。网络数据具有多种相似度计算形式，为提升数据处理速度，采用距离测度的方式，完成此次研究的计算过程。设定处理后的数据集为A，在其中具有S个网络数据样本，每个数据样本中包含P个属性，则通过矩阵的形式可体现为

(1)

采用dij表示数据点ai与aj之间的距离，根据网络数据特征，采用明氏距离计算两数据点之间的距离，具体公式如下所示

(2)

通过此公式可得到数据组之间的距离，为提升相似度计算结果的精准度，将数据组细化为数据样本ai与aj，则两数据点之间的相似度计算公式可显示为

(3)

根据上述公式。可将两数据点之间的相似度进行计算，则数据之间的构造相似度矩阵可表示为

(4)

在此次设计中，使用Q(i，j)表示数据样本ai与数据点aj之间的相似程度。对于任意一个数据样本点ao，Q(o，o)表示此样本点ao的偏向参数。通过文献研究可知，偏向参数取值范围越大，此样本点成为此类数据的代表点可能性越大。在此类聚类算法的初始阶段，将每个样本点都视作网络中的潜在威胁数据，每个数据样本点成为潜在威胁数据代表数据的可能性均相同。因此，在上述中设定Q(o，o)的可能性取值均设为p，在一般的情况下，p值取为Q的中间值。通过上述公式可在众多的数据中，对比数据之间的关系，提取出部分可能为潜在威胁的数据。

2.3 确定网络潜在威胁数据

根据矩阵(4)提取出部分潜在威胁数据，在此部分数据中具有一定的吸引度与归属度[7-8]，通过公式可对其展开计算，并通过公式可表示为

U(i，o)=Q(o，o)-max{A(i，j)+Q(i，j)}

(5)

(6)

在上述公式中，式(5)表示数据的吸引度，式(6)表示数据的归属度，通过此两个公式的计算可确定威胁数据点的代表性，并由此计算结果确定威胁数据的种类。在此部分计算结束后，需要对网络数据进行更新，更新过程通过公式可表示为

Ui+1(i，o)=(1-β)U(i，o)+βUi-1(i，o)

(7)

Ei+1(i，o)=(1-β)E(i，o)+βEi-1(i，o)

(8)

在上式中，β表示阻尼函数，其取值区间在此次计算过程中设定为[0，1)。通过上述公式完成潜在威胁数据的挖掘部分。使用上述的挖掘成果，通过告警关联技术构建网络告警日志，并使用相应的技术，将其设定为整体的形式，以便于日后的研究与分析。在此次设计中，将告警信息的关联性拓展能力作为告警日记[9-11]设定的主要要求，同时在保证告警日记合理性的同时，保证报警开销具有一定的经济性与告警的有效性。由于网络潜在威胁数据具有一定的关联性，因此需要使用神经网络计算内容，将告警日记的相关内容进行连接，以此完成网络潜在攻击挖掘的整体过程。

对上述设定部分进行整合与分析，并将其与目前使用中的网络潜在攻击挖掘方法进行结合，至此，基于可信密码模块的网络潜在攻击挖掘方法设计完成。

3 实验论证分析

3.1 实验环境

在此次研究中，主要完成了基于可信密码模块的网络潜在攻击挖掘方法的设计过程。在此次实验中，主要对文中设计方法的使用效果展开研究，同时将其与目前使用中的网络潜在攻击挖掘方法使用效果进行横向对比。为了测定文中设计方法的使用效果与应用过程的合理性，在此实验中将对文中设计方法与目前使用中的方法进行应用型实验。在实验的过程中，将实验环境的技术参数设定如表所示。

表1 实验环境技术参数

使用上述技术参数，完成实验设备的选型与实验平台的组建，将实验数据的存储与处理使用MY SQL软件作为数据库，同时采用Python语言作为实验开发语言完成实验的处理与计算过程。将实验网络主要开发工具设定为PyCharm。并将实验网络设定为下述结构，提升实验数据处理能力，便于操作。

图3 实验网络架构设定结果

使用上述设定的网络架构作为实验的主要环境。在此次实验中使用的数据集主要为网络入侵挖掘检测的权威数据集DAPPA，其来源于麻省理工学院的实验室中，在此次实验过程中选用编号为LLDOS 1.0的数据集作为测试数据，其中包含大量的典型网络攻击数据，符合此次研究的目的。通过上述部分，完成实验过程。

3.2 实验方案设计

在此次实验过程中，首先从麻省理工学院获取原始的实验数据集，而后，使用对应的软件对LLDOS 1.0数据集中的数据进行重放操作。此次使用的数据处理软件为开源数据入侵检测软件，可以对数据流量分析，并对网络数据包进行合理的处理，设定灵活的规则库。而后，对数据集中的数据进行搜索与匹配，使用文中设计方法与目前使用中的挖掘方法对数据集中潜在的攻击进行挖掘。

在此次实验过程中，主要对文中设计方法与目前使用方法的无效警告消除情况、计算机CPU占用率以及挖掘时间展开对比。在此实验中，主要通过数据包的增加过程，提升实验的可靠性与真实性。

3.3 警告数量实验结果分析

通过上述实验结果可知，使用实验中的方法后，无效数量都得到了一定的下降。但通过横向对比可知，文中设计方法下降幅度更大。使用文中设计方法后，警报日志的数量由原始的1000下降到350条，无效警告消除率高达75%，其警告的正确率也达到了95%以上。相对于文中设计方法，目前使用的挖掘方法无效警告消除率相对较低，且警告的正确率没有达到预定的高度。综合上述实验结果可知，在此指标的对比过程中文中设计方法优于目前使用中的方法。

图4 警告数量实验结果

3.4 计算机CPU占用率实验结果

通过上述实验结果可知，文中设计方法在使用中对于计算机CPU占用率较低，随着数据量的不断增加，文中设计方法的CPU占用率一直维持在一个水平线上，没有出现大幅度的变化。使用目前应用中的估计挖掘方法出现CPU占用率激增的情况。同时，在数据量不断增加的过程中，目前使用中的方法出现CPU占用率变化过快的问题。在实际的潜在攻击挖掘过程中，计算机CPU占用率变化过快会造成系统崩塌的问题。因此，在日后的研究中应多采用文中设计方法作为主要的处理方案，以此保证计算机网络的稳定性。

图5 计算机CPU占用率

3.5 潜在威胁挖掘时间实验结果

将讲述两部分实验中消耗的时间作为此部分实验指标对比内容，通过上述数据可以看出，文中设计方法在对网络潜在攻击进行挖掘时，所消耗的时间较短。随着数据量的不断增加，文中设计方法在进行攻击挖掘的过程中保持较好稳定性，没有出现挖掘时间波动的问题。但相对于文中设计方法，目前在使用过程中的方法在数据量不断在增加的过程中出现消耗时间过长的问题。由此可见目前使用中的方法对于潜在威胁挖掘效率不高，在此实验指标的对比过程中，文中设计方法优于目前使用中的方法。

将警告数量实验结果、计算机CPU占用率实验结果以及潜在威胁挖掘时间实验结果综合分析可知文中设计方法的使用效果优于目前使用中的方法。在网络安全研究方面可使用文中设计方法作为日后网络防护方法设计的基础。

图6 潜在威胁挖掘时间实验结果

4 结束语

目前，可信密码模块成为信息安全研究中的热点问题。在此次研究中，总结了目前网络潜在攻击挖掘方法在使用中的不足，实验结果表明，警报日志的数量由原始的1000下降到350条，无效警告消除率高达75%，其警告的正确率也达到了95%以上，CPU占用率一直维持在一个水平线上，挖掘时间未出现波动，本文将可信密码模块作为网络潜在攻击数据挖掘的基础，力求达到一种更加有效的方法，为广大网络用户提供更加有效的网络安全保护技术。