占清华

摘 要： 以增强网络入侵后节点自我调节能力为出发点，设计基于分布式的网络入侵后最优逃避攻击节点选取模型。模型的设计思想是模拟网络拓扑结构中互联网服务提供商内部防御节点的分布形式，设计由入侵筛检节点、分类节点、处理节点和安全节点构成的模型结构，多点分布式地遍历网络内部节点路由消息，并向网络节点转发防御机制，一旦发现入侵攻击情况立即发出警报。通过安全节点将能够逃避攻击的节点构成一个网络通信通道进行用户数据安全通信。仿真实验结果显示，所设计的模型能耗小、丢包率低，能够选出最优逃避攻击节点，并有效维持节点功能。

关键词： 分布式防御； 网络入侵； 最优逃避攻击节点； 防御机制

中图分类号： TN915.08?34； TP393.08 文献标识码： A 文章编号： 1004?373X（2017）20?0077?03

Abstract： In order to enhance the node self?regulation ability after network intrusion， a distributed selection model of optimal attack escape node after network intrusion was designed. According to the design thought of the model， the distribution form of the defense nodes inside the Internet service providers in network topology is simulated， the model structure composed of invasion screening node， classification node， processing node and security node is designed， the node routing messages inside the network in the form of multipoint distribution are traversed， and the defense mechanism is forwarded to network nodes. The model can immediately send an alarm once the intrusion attack is found. A network communication channel is composed of the nodes which are able to escape from the attack through security node for users′ data security communication. The simulation experimental results show that the designed model has low energy consumption and packet loss rate， and can choose the optimal attack escape node and maintain the node function effectively.

Keywords： distributed defense； network intrusion； optimal attack escape node； defense mechanism

0 引 言

目前，網络入侵已经成为每位网民都需要面对的安全问题，网络安全威胁主要包含病毒、拒绝服务、虚假植入等。网络入侵之所以产生是因为大部分计算机系统存在安全漏洞，这些漏洞组成了攻击通道，可以被用来进行资料偷窃和病毒安置，严重时会造成网络瘫痪，使得计算机不能开展网络活动。自从世界上第一起大型网络入侵攻击出现之后，人们就希望通过一些高科技手段防御入侵，主要防御技术包括分数过滤、报文检测、Ad Hoc等，由于技术的防御效果并不是很好，一些研究者倾向于通过网络内部节点的自我调节能力防御入侵，且分布式防御最为稳妥，因此，对基于分布式的网络入侵后最优逃避攻击节点模型进行设计。

1 网络入侵后最优逃避攻击节点选取模型

1.1 模型设计思想

一个网络的基本防御结构包含有源二端网络、中央网关和受害方法逃避规则[1]，这些结构都没能达到理想的防御能力，如果网络入侵源头隐蔽，防御将会失效。分布式防御能够将以上结构的单点式策略[2]改成多点式策略，被入侵后使用网络内部节点遍历整个网络场景，选出最优逃避攻击节点进行网络数据传送或交换。

设计基于分布式的网络入侵后最优逃避攻击节点模型，模型需有灵敏的入侵响应机制和准确的攻击定位，且不会随意变更用户数据内容。

图1为网络拓扑结构示意图。从图1中可以看到，用户网络由多个互联网服务提供商构成，互联网服务提供商可以随时获取用户网络中的路由消息，包括边界路由器和中央路由器中的消息[3]。多个互联网服务提供商进行数据交互便形成了用户数据在网络中的流通。防御节点位于互联网服务提供商内部，基于分布式的网络入侵后最优逃避攻击节点模型便效仿互联网服务提供商内部防御节点的分布形式设计模型结构，但因为不同互联网服务提供商存在结构差别，同时为了快速响应网络入侵，模型只对能够逃避攻击的节点进行保护。

1.2 模型结构

最优逃避攻击节点模型由入侵筛检节点、分类节点、处理节点和安全节点构成，按照逻辑结构区分，入侵筛检节点、分类节点和处理节点属攻击检测层，安全节点分布在模型各个位置[4]，如图2所示。

按照攻击层次区分，模型可分为上、下两层，上层包含安全节点和入侵筛检节点，下层包含分类节点和处理节点。安全节点统管下层所有节点数据，入侵筛检节点检查网络节点是否能够有效逃避攻击并下达防御指令给下层。下层负责在网络入侵后对攻击和防御指令做出响应，分类节点将路由消息的合法性进行分类并传给入侵筛检节点进行安全检查，获取最优逃避攻击节点。处理节点根据防御指令对用户数据进行过滤和传送，最后将用户数据交由最优逃避攻击节点。endprint

1.3 最优逃避攻击节点的选取原则

入侵篩检节点所进行的最重要的工作就是在网络入侵后对最优逃避攻击节点进行选取，总的选取原则是多点分布式遍历网络内部节点路由消息，以核心路由器为检测端，向各节点转发模型防御机制，发现入侵攻击情况立即发出警报[5]。用安全节点的管理能力将逃避攻击节点构成一个网络通信通道进行用户数据安全通信。

模型对用户数据的传送速度有严格规定，超出额定传送速度，下层节点立即中止响应，表示网络入侵攻击方位已发生变化，需要重新进行最优逃避攻击节点选取工作。额定传送速度由边界路由器给定[6]，在额定传送速度下，路由消息能在最优网络带宽附近进行传送，丢包率低，能确保网络通信顺畅，弱化网络入侵攻击强度。

1.4 模型防御机制

基于分布式的网络入侵后最优逃避攻击节点模型的防御机制能够作用于网络内的所有互联网服务提供商，如图3所示，以两个互联网服务提供商A，B为例介绍模型防御机制。

模型防御机制表述是：有防御能力节点满足数据累积性、收益量化性[7]，还显示网络主机状态。收益量化性指节点收益可用数字、矢量图等方式进行量化。数据累积性指节点量化与网络主机状态评估数据不断累积。

由图3可知，模型防御机制是以额定传送速度和网络带宽为依据建立的，互联网服务提供商A，B共用一个边界路由器同时给定额定传送速度。分属于两个互联网服务提供商的安全节点C，D接收各自额定传送速度E，F，分布式遍历不同区域网络节点路由消息。网络带宽具有动态变化性，将满足额定传送速度、可逃避攻击且处于合法带宽中的网络节点看成最优逃避攻击节点。

2 仿真实验

2.1 入侵事件数量对模型能耗的干扰

将虚拟网络场景中节点传送数据包的周期设为1 s，每个节点每次传送80个数据包，共有90个节点参与这项工作，它们与接收端点之间的跳数在20跳上下，浮动情况不超出2跳。在选取最优逃避攻击节点并进行网络入侵防御的过程中，入侵事件数量对不同模型的干扰情况表示在图4中。

图4中，随着入侵事件数量的不断变多，本文模型、移动Ad Hoc模型、蚁群算法模型和逻辑检测模型的能耗产生不同程度的增长。逻辑检测模型虽然通过在网络外添加监控节点指导网络内部节点进行攻击逃避，但显然这个监控节点没能统管所有内部节点，入侵事件数量达到一定数值后，逻辑检测模型能耗大幅度提升，意味着网络入侵成功，大部分节点失效，不能正常控制节点能耗。四种模型中，本文模型能耗受入侵事件数量的干扰不大，可选出最优逃避攻击节点，并维持节点功能。

2.2 节点通信周期对模型能耗和丢包率的干扰

设100个网络节点每次传送80个数据包，入侵事件数量为3个，更改节点通信周期对不同模型能耗和丢包率的影响表示在图5和图6中。网络丢包率是节点在传送数据包时的数据丢失量与所传数据总量的比值。

图5、图6中，随着节点通信周期的上涨，此模型能耗明显低于移动Ad Hoc模型、蚁群算法模型和逻辑检测模型，丢包率也逐渐平稳，最大丢包率为32%，对应0.08 s节点通信周期。此模型能耗与移动Ad Hoc模型能耗均具有受各类干扰影响小的特点，但移动Ad Hoc模型的丢包率却受节点通信周期的影响极大。因此，本文模型的整体有效性最强，丢包率最小，能耗最低。

3 结 论

本文通过分析分布式防御响应快、误报率低、安全性好的优势，设计基于分布式的网络入侵后最优逃避攻击节点模型，并研究出模型结构和安全机制。实验对模型的能耗和丢包率进行仿真验证，结果显示出本文模型较具有效性，能够实现快速、准确的安全防御。

参考文献

[1] 张睿哲，刘建粉.网络入侵后最优节点通信组网选择技术的研究[J].现代电子技术，2016，39（22）：51?55.

[2] 徐毅.感染病毒后网络自我保护控制中的最优通信节点选择[J].现代电子技术，2016，39（18）：65?68.

[3] 杨芳，郭宏刚.网络入侵反追踪节点最优路径推演平台的设计与实现[J].现代电子技术，2016，39（22）：14?17.

[4] 吕丽萍.多样入侵下网络攻击图谱中节点受损概率分析[J].计算机仿真，2016，33（4）：296?299.

[5] 沈亦军，钟伯成.一种入侵者视野下的复杂网络安全评估方案[J].计算机工程与应用，2015，51（15）：119?123.

[6] 顾炜江.资源受限无线传感器网络的入侵检测研究[J].计算机仿真，2016，33（9）：301?304.

[7] 宋瑞龙，吕宏伟.被入侵网络中的活跃节点检测方法研究[J].计算机仿真，2016，33（8）：252?255.endprint