柏小三

摘要：本文基于云计算环境，对移动网络安全防御节点的路径选择进行了仿真研究.结果表明，通过构建网络连接矩阵，在单条攻击准则的基础上，赋予网络漏洞的不同属性，并准确检测出入侵者获得权限概率、入侵意图实现概率以及入侵者利用网络漏洞的概率等，同时能够产生较大覆盖范围的节点，保证数据和节点之间能够更好地进行通信，避免出现大量的节点消耗情况，增加网络生命周期.

关键词：节点路径;防御;移动网络;云计算;仿真

中图分类号：TP338  文献标识码：A  文章编号：1673-260X（2019）02-0039-04

1 引言

云计算的计算能力和存储能力都比较强，是当前应用范围非常广的信息技术[1-3].对互联网入侵进行检测的过程对于网络安全的过程来说显得尤为重要，当前所使用的入侵检测系统并不完善，有很多缺陷和漏洞亟待解决[4-6].随着网络通信技术的快速发展与推广，移动网络安全防御等问题成为关注的热点[7].因而，在网络通信中，防御节点的通信优劣显得非常重要.满存金[8]等针对无线传感器网络中的停靠节点和Sink间的最短回路问题提出一种动态路径规划算法，实现sink和停靠节点间的最优路径.近年来，非典型DoS一般会在移动网络中发起攻击，使得TCP流量出现显著的降低，这种攻击存在较强的隐蔽性，很难对其进行有效的防范.所以，需要着重关注选择移动网络安全防御节点路径等问题.本文基于云计算环境，通过仿真研究的方式探讨移动网络安全防御节点的路径选择情况.

2 网络入侵后最优防御攻击节点选取模型

通常情况下，网络基本防御结构组成包括中央网关、源二端网络、受害方法逃避规则等，这些结构防御能力未达到理想状态，若网络入侵源头隐蔽，则防御会失效[9].分布式防御能够将结构的单点式策略转换为多点式策略，在被入侵后，通过移动网络内部节点，从而遍历整个网络场景，最终将最优防御攻击节点选出，并进行网络数据交换、传送.最优防御攻击节点模型构成包括分类节点、入侵筛检节点、安全节点、处理节点，根据逻辑结构区分，属于攻击检测层的包括分类节点、入侵筛检节点、处理节点，安全节点在模型各个位置进行分布，图1为模型结构.

根据攻击层次区分，模型可分为上层和下两，上层包括入侵筛检节点、安全节点，下层包括处理节点、分类节点.层所有节点数据由安全节点统管，入侵筛检节点对网络节点是否能够防御攻击进行检查，并给下层传达防御指令.在网络入侵后，下层响应攻击和防御指令，分类节点对信息分类，同时给入侵筛检节点传达信息，并进行安全检查，获取最优防御攻击的节点.结合防御指令对用户数据进行传送，并有效过滤处理节点，确保最优防御攻击节点能够得到用户数据.

3 网络攻击节点路径检测模型的建立原理

在构建网络攻击节点路径检测模型的过程中，需要定义目前所处的网络状态攻防图，全面掌握网络安全状态节点，组建网络安全状态变迁方程，得到全部攻击路径，随后将每个路径危害指数及实现攻击概率检测出，对网络攻击节点路径检测模型进行组建[10].具体步骤如下：

利用公式（1）对当前网络状态攻防图进行定义：

SADG=（S，T，s0，SG）/S  （1）

公式中，T表示边集、S表示节点安全状态，T的定义指的是目标网络中的安全状态跃迁，SG表示入侵者目标状态合集;网络初始安全状态用S0表示.

假设，网络安全状态节点由二元组（hostid， privilege）表示;在网络安全状态下，hostid在网络安全状态下表示安全要素产生变化主机节点名;如果还没有满足安全状态，此时privilege表示入侵者获取主机节点hostid上的权限，（hostid， privilege）通过公式（2）进行计算：

（hostid， privilege）=（hostid×privilege）/（d？茚p） （2）

公式中，防御入侵攻击措施用d表示，被入侵攻击成功概率用p表示.假设，定义五元组（tid，vid，harm，p，d）为安全状态变迁，安全状态变迁编号用tid表示;攻击危害指数用harm表示;网络攻击采用的脆弱点编号用vid表示;在成功攻击后，目标主机信息资产受到的伤害用harm表示，（tid，vid，harm，p，d）可通过公式（3）进行计算：

（tid，vid，harm，p，d）=（tid？茚vid？茚harm？茚p？茚d） （3）

假设网络中，全部攻击路径用三元组（src_host，dst_host， sequence）表示;当前攻击的攻击序列为sequence;遭受攻击的主机节点标识为dst_host;发起攻击的主机节点标注为src_host.网络中存在的全部攻击路径用公式（4）进行计算：

公式中，序列开始标识用？着表示;序列结束标识用B表示;攻击的直接前驱用（s，e）表示.假设，脆弱点被利用的方式为由v（Q），則通过公式（5）、（6）可将每个路径的危害指数及实现攻击的概率计算出：

公式中，？滋（？资）表示攻击路径所对应的攻击序列;？祝（r）表示路径攻击累计成功概率;？酌（s）表示攻击者基于脆弱点的攻击复杂程度.假设利用了脆弱点，此时将会系统的可用性损害，表示为？棕（E），则网络攻击节点路径检测模型通过公式（7）进行组建：

因此，根据网络攻击节点路径检测建模原理，可进行网络攻击节点路径检测模型的组建.

4 网络攻击节点路径检测模型

4.1 网络攻击图的定义

组建网络攻击节点路径检测模型，需要描述网络攻击当中出现概率最高的安全状态和相互关联性，定义目前攻击者权限的状态，全面掌握全部网络主机的连接矩阵.按照下述步骤展开操作：

假设网络状态节点st，此时将得到S={s0，s1，…，sn}为网络状态合集，此时得到公式（8）所示的网络攻击图定义内容：

公式中，边ei表示入侵攻击模式，起条件显示为E={e0，e1，…，en}，对于网络连接来说，A表示网络安全属性，E表示所有可能的攻击方法.

假设在网络中，被入侵攻击的弱点集为由V，攻击规则为R，连接关系为L，则通过公式（9）可将A计算出：

公式中，st、s0分别表示入侵识图的攻击状态以及网络初始状态.假设，p为网络实时出现的入侵攻击者权限状态，此时pi表示网络中入侵攻击者主机的权限，在网络中入侵攻击者所有n主机上具有的权限pi的集合为p，p可通过公式（10）进行计算：

通过入侵攻击者所有可能权限状态集合，在网络中对入侵攻击者权限状态空间进行组建.在全部主机上，极限状态指的是入侵攻击者可以获得的最高权限状态，通过该定义可以有效描述出入侵攻击者的期望攻击效果，具体见公式（11）：

公式中，k（s）、Z（？着）、？啄（s）分别表示网络中的攻击行为、主机属性以及攻击图全部路径的每一步攻击.假设，n表示网络所有主机数量，组建网络全部主机连接关系矩阵可以基于公式（12）进行：

公式中，在节点i和j间，lij直接可达时，取其值为1.定义攻击规则是设定一组对攻击效果、能利用的网络漏洞等的映射规则的过程，假设，mum表示网络弱点标号，lege和privilege分别表示攻击者在攻击发起主机所需最低权重和目标主机所需最低权重，单条攻击准则通过公式（13）进行组建：

因此，在进行网络攻击节点路径检测模型组建时，借助攻击图理论定义网络攻击图，检测当前攻击者权限状态，构建网络连接矩阵，实现形式化描述攻击前提、攻击效果以及攻击者所利用的漏洞等.

4.2 基于入侵概率的网络攻击节点路径检测模型

在单条攻击准则的基础上，赋予网络漏洞的不同属性，并准确检测出入侵者获得权限概率、入侵意图实现概率以及入侵者利用网络漏洞的概率等.在网络各攻击路径下，获取其入侵最大可能性，结合检测结果构建检测模型.具体步骤如下：

假设，在实际网络中，各网络漏洞属性权值用？姿1、？姿2、？姿3表示，根据获取单条攻击准则R，通过公式（14），对漏洞l被入侵者成功利用的概率进行计算：

公式中，SE、DE、GA分别表示网络漏洞隐秘度、难易度以及收益度.假设，n条入侵攻击者路径当中有m个漏洞，依次入侵主机l，其获取权值q，通过公式（15）计算入侵攻击者获取网络权限q的概率：

公式中，p（lm）表示主机l的m个漏洞状态向量.通过公式（16），可对入侵攻击目的i被实现的概率进行计算：

公式中，入侵攻击目的i被实现的后验概率用p（pk）表示.假设，入侵攻击者实现入侵目的i的路徑数量用由j表示，根据公式（17），可将每条攻击路径下实现其攻击目的 相对概率计算出.

公式中，入侵攻击的实现状态用p（hz）表示，实现攻击目的先验概率用p（hz|i）表示.假设，实现网络攻击最小关键节点集用由Kmin表示，通过公式（18），对网络攻击节点路径检测模型进行组建：

5 仿真结果及分析

通过仿真实验，可对本研究移动路径的网络通信安全防御节点路径选择方法的有效性进行验证.实验采用Intel Berkeley数据，在Matlab2017环境进行，表1为仿真参数.

5.1 不同方法的网络时延对比

本研究的移动路径的网络通信安全防御节点路径选择方法与文献[8]采用的动态路径规划算法网络时延进行对比，具体情况如图2所示.

由图2知，在本研究方法对防御节点路径选择下，能优先对距离较近的防御节点进行选择并连接，网络时延可得到有效降低.动态路径规划算法对防御节点的连接具有随机性，不能有效连接节点，造成网络时延较长，网络时延随着连接范围逐渐增加而增加，与动态路径规划算法相比，本研究方法具有较小的总体网络时延.这表明本研究方法能有效将网络时延降低，从而使节点路径选择效率得到提升.

5.2 不同方法节点丢弃的数量对比

图3为在规定传输时延内，本研究方法和动态路径规划算法的节点平均丢弃数量.

由图3知，因网络通信安全数据节点缓冲具有有限的空间，通过本研究方法能够确保Sink节点与防御节点展开更大规模的通信，尽可能地降低网络通信安全数据节点存储压力，因此，本研究方法丢弃的数据量最低，不断增加节点的数量，将会进一步增加存储动态路径规划算法网络通信安全的压力，造成节点丢弃具有较高的数据量，从而导致节点选择效率降低.

5.3 不同方法节点能耗对比

图4为本研究方法和动态路径规划算法节点能耗进行对比.

由图4知，本研究方法能使节点产生较大的覆盖率，从而使更多节点和数据通信，这样可使节点消耗得到有效降低;在动态路径规划算法中，防御节点在能耗较大的网格中心进行停留，造成节点和数据通信时，节点消耗进一步增加.这表明本研究方法能将节点能耗有效降低，从而使网络生命周期增加.

5.4 不同节点密度下路径长度对比

在仿真分析小规模网络时，将蚁群算法、经典蚁群算法应用在25次仿真实验当中，最终所得平均路径对比不显著，对改进蚁群算法性能进行验证，对比节点密集和稀疏情况下的网络平均最短路径，仿真参数设置区域面积为1000m2、？琢=0.75、m=26.5、？籽=0.55、？茁=3.2、Q=105，运行1000次迭代，保持24.5m的通信半径，分别设置75、100、125、150、175、200的节点数目，进行2次转发跳数，结合所设置的仿真参数，对节点密度网络停靠节点进行选取，展开25次仿真实验，最终得到两种算法的平均实验结果如图5所示.

由图5知，增加网络节点密度，将会进一步增强单位面积的节点数目，由于增加了算法所选取的停靠节点数目，此时平均路径长度也将进一步累积，但本研究算法得到的路径更短.

6 结语

本文基于云计算环境，对移动网络安全防御节点的路径选择进行了仿真研究，得出如下结论：

（1）在进行网络攻击节点路径检测模型组建时，结合攻击图理论定义网络攻击图，检测当前攻击者的权限状态，从而构建网络连接矩阵.

（2）在单条攻击准则的基础上，赋予网络漏洞的不同属性，并准确检测出入侵者获得权限概率、入侵意图实现概率以及入侵者利用网络漏洞的概率等，根据检测结果组建网络攻击节点路径检测模型.

（3）本研究方法能使节点产生较大覆盖率，使更多节点和数据进行通信，降低节点消耗;防御节点在能耗较大的网格中心进行停留，节点和数据在通信时会增加节点消耗，这表明本研究方法能降低节点能耗，增加网络生命周期.

参考文献：

〔1〕赵静.云计算环境下联合移动代理技术的入侵检测系统研究[J].自动化与仪器仪表，2017（6）：162-164.

〔2〕Bence K，Geza S，Ferenc T. A novel potential fieldM ethod for path planning of mobile robots by adapting animal motion attributes[J]. Robotics and AutonomousSystems，2016，82（8）：24-34.

〔3〕鄒学玉，韩付伟.基于LANDMARC的最近邻居改进算法[J].武汉大学学报，2013，59（3）：255-259.

〔4〕占清华.网络入侵后最优逃避攻击节点的选取与研究[J].现代电子技术，2017，40（20）：77-80.

〔5〕宫玉荣.强干扰下的无线传感器网络鲁棒性通信节点选择模型[J].科技通报，2016，32（4）：156-159.

〔6〕杨芳，郭宏刚.网络入侵反追踪节点最优路径推演平台的设计与实现[J].现代电子技术，2016，39（22）：14-17.

〔7〕宋瑞龙，吕宏伟.被入侵网络中的活跃节点检测方法研究[J].计算机仿真，2016，33（8）：252-255.

〔8〕满存金，杜庆治，黄冰倩.基于WSN的移动节点路径规划算法[J].信息技术，2018（11）：117-121.

〔9〕刘渊，李群，王晓锋.基于攻击图和改进粒子群算法的网络防御策略[J].计算机工程与应用，2016，52（8）：120-124.

〔10〕万本庭，全小凤.基于遗传算法的移动传感节点路径规划策略研究[J].计算机工程，2017，43（8）：144-151.