采用可交互信任值机制的病毒传播抑制策略

2021-07-13王刚冯云伍维甲马润年

西安交通大学学报 2021年7期

王刚,冯云,伍维甲,马润年

(空军工程大学信息与导航学院,710077,西安)

病毒往往能够在网络中传播,对用户构成潜在威胁。通过病毒源码解析的传统病毒防御方法在时间上和成本上处于不利地位[1-3],难以应对日益复杂的网络环境和变化多样的病毒攻击。对于可有效管控自身网络的企业、政府以及军队局域网,动态改变网络结构(如链路中断或节点隔离)能够抑制病毒在网络传播[4-7],但是网络结构变化会影响网络的业务承载,需要在安全和业务承载之间保持均衡,在达成网络安全的前提下,减少调整的不确定性和随机性,使得网络结构调整对网络业务的影响最小化。网络结构调整的难点主要表现在2个方面:一是调整的度难以把握,关于这一点,病毒传播研究[8-12]从理论上给出了网络中感染节点持续存在的阈值和可能的规模,理论上能够避免网络结构的过调整或欠调整;二是网络及节点状态信息不明确,在网络结构的调整过程中,难以做到针对感染目标的精准调整。对此,虽然无法在病毒被完全解析之前完全掌控网络感染情况,但是可借鉴信任模型[13-17]划定一个连接感染节点链路相对集中的范围,进而实施针对性调整。

信任模型主要根据目标对象的历史行为或者相关信息甄别不可信实体,大体上分为直接型和间接型两类。直接信任模型[13-15]利用网络实体间的历史行为实施信任度更新和可信实体的识别,然而现实网络实体所能接触的信息是有限的,单一实体很难直接甄别一些未对自身造成危害的恶意实体。间接信任模型[16-21]中的网络实体从其他实体处获取相关信息,从而获取对特定实体的信任程度,并通过用户间信息共享,实现了比直接信任模型更高效的恶意实体识别。总之,直接信任模型侧重实体间历史行为信息的收集和处理,间接信任模型强调实体间信任度的共享。在网络安全领域,可借鉴信任模型,探索病毒传播抑制问题,为抑制病毒传播提供信任值参考,从而形成科学可行的病毒传播抑制策略。

在网络病毒传播研究过程中,通常按照节点免疫能力和感染情况将节点分为不同状态,常见状态有易感状态S、感染状态I和免疫状态R[7,10-11]。一般而言,感染节点具备感染易感节点的能力,网络结构调整的出发点是减少两类节点间的连接,延缓携带病毒信息的传输,进而控制网络中感染节点的规模。在病毒传播过程中,节点间的感染行为一定程度上也标示了感染节点的位置。直接信任模型提供了根据历史感染行为信息调整信任度的思路,能够对有感染行为的节点进行标记。对于易感节点而言,由于在被感染前缺乏感染行为的历史信息,无法采用直接信任方式辨识周围节点状况,需要借鉴间接信任模式,从相邻节点处获取相关信息。

本文首先结合直接信任和间接信任理念,构建了信任值模型:考虑攻击溯源的复杂性,修改信任值下调机制;考虑计算复杂度和交互数据量,采用离散值表示信任值。其次,融合病毒传播免疫机理和信任共享理念,借鉴慢启动算法和路由交换算法,设计了直接信任值更新算法和信任值交互算法。再次,提出了采用可交互信任值机制的病毒传播抑制策略,以信任值为依据调整网络,根据感染情况反馈动态调整信任阈值和策略参数。最后,通过仿真实验:分析了信任值交互对正确率和漏检率的影响;以链路中断为例,验证了所提策略的有效性;对比随机链路中断策略,分析了所提策略在安全-网络结构方面的优越性。

1 可交互信任值机制

对于政府、企业等,其内部网络操作系统、软件等基本一致,某类病毒只要能感染其中一台计算机,就可利用已经被感染的用户终端进行自我复制,并在网络中传播。一旦病毒对用户造成危害,用户能察觉到病毒的存在,并单方面地认为自身处于一个相对危险的网络环境中。这种情况下,为了保护自身,用户可以考虑降低对周围节点的信任等级,若后续相应节点未表现出感染行为则逐步恢复。通过感染行为调整自身信任值属于后发地被动信任调节,而通过信任共享,未被感染的节点能够根据相邻节点的信任信息先发地主动调整自身信任值。本文在直接信任模型和间接信任模型基础上,设计可交互信任值机制,实现更加高效地信任管理,协助节点判断安全环境,进而更加精准地抑制病毒传播。可交互信任值机制由3部分组成:一是信任值模型,以信任值为核心的可信链路判定以及信任值演化规则;二是信任值更新算法及交互算法,病毒传播过程中对历史感染行为和共享信任信息的处理算法;三是信任值评估标准,用于评估信任值的标记效果。

1.1 信任值模型

对病毒防御,黑白名单机制就是一种较为简单的信任模型,在反垃圾邮件、骚扰拦截以及病毒防御等领域得到了广泛的应用。对于政府、企业的内部网络,多数情况下,网络中的其他用户是可信的,而在病毒入侵时,又需要尽可能地将感染节点添加进黑名单,在其恢复后将其从黑名单中移除。考虑这种需求,仅依赖手动管理黑白名单是不现实的,需要建立一种使节点能够自主调控周围节点可信程度的信任管理机制。信任值机制[15,22-23]是一种采用信任值量化节点间信任程度的信任管理机制,这种机制能够根据网络中感染信息更新信任值,实现节点可信名单的动态调节。但是,这些信任值机制多是对感染信息的直接利用,属于直接信任模型。本文借鉴这些信任值机制,结合间接信任模型,主要从3个方面改进信任值机制,构建信任值模型:①在病毒被彻底解析之前,节点被感染后难以迅速准确溯源,应下调其所有相邻节点的信任值;②考虑计算复杂度和交互数据量,信任值采用离散值替代连续值;③充分利用节点间的信息交互,通过信任值交互改善信任值标记效果。

信任值模型如图1所示。信任值是节点对其自身周围节点的信任度量。首先,需要考虑信任值的存储问题。考虑网络病毒的传播对象为网络中断设备,一般不对集线器、交换机和路由器等中继设备造成危害,因此可将计算机网络抽象为有向图G={V,E},其中:V={vi|i=1,2,…,N},vi表示图中节点i,对应网络用户i;E={(vi,vj)|i,j=1,2,…,N且i≠j},(vi,vj)为有序节点对,是vi到vj的有向边,表示节点i和节点j之间存在逻辑连接。定义Ti,j(t)为t时刻网络中用户vi对vj的信任值。若用户之间不存在逻辑连接,则信任值为0,否则信任值初始状态下为-1,表示最高信任等级。Tmin为最低信任值,对应的信任值矩阵可表示为

图1 信任值模型

T(t)=[Ti,j(t)],(vj,vi)∈E

(1)

网络中每一个用户仅需存储和管理信任值矩阵中属于自身的部分(对于节点vi而言,即为信任值矩阵的第i列的非0元素),由所有节点共同完成信任值矩阵的存储和维护。

信任值更新是网络运维的常态化行为,有直接更新和信任值交互两种方式。直接更新是指节点根据自身被感染情况更新信任值,若被感染则下调自身对周围所有节点的信任值,反之则逐步恢复信任值。信任值交互是指节点从相邻节点处获取其信任值,并据此修改自身信任值。具体的信任值更新和对应算法见1.2小节。

可信链路辨识指节点通过信任值对自身周围链路进行判定。引入信任阈值Tthro。若Ti,j(t)≥Tthro,则表示节点vi认定节点vj为正常节点,相应链路为可信链路;反之,则节点vi认定节点vj为感染节点,相应链路为不可信链路。

1.2 信任值更新算法

信任值更新算法包括直接信任值更新算法和信任值交互算法。直接信任值更新算法利用历史感染行为对信任值进行更新。当vi被感染后,将下调其所有相邻节点的信任值至最低;若该节点没有感染,则自动恢复其相邻节点信任值。

抑制病毒传播过程中,信任值的作用在于为节点提供判断周围安全环境的依据,以便节点实施恰当程度的防御。不同网络病毒的传播和感染能力各不相同,需要根据病毒实际感染能力采取不同的调整方案。因此,信任值恢复机制需要满足如下条件:①恢复至信任状态的速度动态可调,病毒感染能力越强,则被标记为不可信链路、处于不可信状态的时间需要越长,使得被感染节点和防御方有时间进行免疫和防御;②网络环境较好时,能够相对快速地恢复至最高信任值处,以恢复网络正常运行。

综合考虑,借鉴TCP拥塞控制机制中的慢启动算法设计信任值的恢复算法。设置可动态调整的阈值Tthro,若节点信任值小于该阈值则被认定为感染节点,否则被认定为正常节点。通过网络安全态势反馈调整信任阈值,实现恢复至信任状态的速度动态可调。信任值恢复分段控制:当信任值低于阈值时,信任值恢复较慢;当信任值高于阈值时,信任值恢复较快。在不影响不可信状态持续时间的前提下,实现在较好的网络安全环境下信任值快速恢复。由此,设计算法1为直接信任值更新算法。

算法1直接信任值更新算法

输入:上一时刻信任值矩阵T(t-1),单位时间内被感染的节点集合NI,阈值Tthro,邻接矩阵A,最低信任值Tmin。

输出:当前时刻信任值矩阵T(t)。

1 fori←1:Ndo

2 forjinA[i,:]do

3 ifiinNIthen

4Ti,j(t)←Tmin

5 else ifTi,j(t-1)

6 thenTi,j(t)←Ti,j(t-1)+1

7 else

9 end

10 end

11 end

12 returnT(t)

设网络节点的平均度为k,若信任值集中维护,直接信任值更新算法更新一次需要遍历网络中所有链路。此时,直接信任值更新算法的时间复杂度约为O(Nk)。信任值存储在网络所有节点上,网络节点仅需处理自身对其相邻节点的信任值,不需要管理和维护整个信任值矩阵。因此,在分布存储信任值情况下,直接信任值更新算法的时间复杂度为O(k)。

网络节点按照信任值交互算法处理接受到的信任值信息。在信任值交互过程中,节点vi发送自身信任值信息的格式为

(2)

算法2信任值交互算法

输出:交互后的信任值矩阵T(t)

6 end

7 forj←1:mdo

9 continue

10 else

12 end

13 end

14 returnT(t)

信任值交互算法的时间复杂度取决于接收到的相邻节点信任值信息量。对于节点平均度为k的网络,网络节点收到的相邻节点信任值信息包含k个节点信任值信息。因此,信任值交互算法的时间复杂度约为O(k),单个节点需要处理所有相邻节点发送的节点信任值信息,时间复杂度约为O(k2)。信任值在存储和交互过程中需要占用存储空间和带宽,平均信任值存储所需空间约为k(li+lt) bit,其中li为节点vi标识信息的长度,lt为信任值本身的长度。从网络节点层面分析,一个节点将自身信任值信息发送至所有相邻节点,发送的信息量约为k2(li+lt) bit,网络节点发送信息量之和为Nk2(li+lt) bit。通常,节点vi发送给其相邻节点vj的信任值信息包含3类:①vj自身信任值信息;②共同相邻节点的信任值信息;③其他新节点信任值信息。对于信任值接受方,只有第2类信息是有必要的,为减少信任值共享过程中带宽占用,考虑仅发送第2类信任值信息。设某个节点的平均聚类系数为clu,则该节点的相邻节点之间彼此链接概率为clu,信息交互过程中所有节点需要发送的信息总量为Nk2clu·(li+lt) bit。在这种情况下,每个节点需要初步掌握相邻节点链接情况,可以在第一次信任值交互后进行反馈,信息接收方在反馈中告知信息发送方哪些信息是必要的,并在自身链接发生变化时再次进行反馈。

1.3 信任值评估标准

信任值用于网络中链路可信程度的标记,节点需要根据信任值判断自身所处的安全环境。因此,信任值标记效果很大程度上决定着最终防御效果。为此,参考文献[24-25]定义正确率A和漏检率M

(3)

式中:NI表示起点被标记为感染节点的链路数量;II表示起点为感染节点且被标记的链路数量;IA为网络中实际起点为感染节点的链路数量;A为正确率,表示不可信链路标记正确的比例;M为漏检率,表示不可信链路中未被标记的比例。

(4)

(5)

(6)

图2是信任值交互前后网络中链路标记情况,在包含6个节点的小型网络中,节点v4和v6为感染节点,在通信过程中v3被v4感染,同样转化为感染节点。

(a)交互前

结合式(3)～(6)及图2分析可得,信任值能够有效提升信任值标记的正确率并降低漏检率,提升信任值标记效果。具体表现为以下两个方面:①直接信任值更新仅能通过相邻节点对自身感染行为评估周围信任值,通过信任值交互,则能使未被感染的节点从被感染的节点处获取感染信息;②节点信任值一方面反映了自身对周围节点的信任程度,同时也反映了自身状态,当节点被感染后下调其所有信任值至最低,相邻节点一旦接受到类似状态的信任值信息,即可精准判断该节点被感染。相对应地,这种信任值交互虽然能够提升标记效果,但需要网络中绝大部分节点客观上可信,不存在恶意发送虚假信任值信息的行为。

2 病毒传播抑制策略

在病毒传播过程中,可交互信任值机制给定了所有链路信任值,用于标记节点之间的信任程度。节点可根据信任值评估自身周围安全环境,为精确有效抑制病毒传播提供依据。本节给出采用可交互信任值机制的病毒传播抑制策略,流程如图3所示。

图3 网络病毒传播抑制流程

管理员根据当前网络中的感染状况对感染参数进行粗略估计,根据预估的参数值,计算采取相应病毒传播抑制策略的阈值。设置信任值相关参数。用户向管理员反馈感染状况(新增感染节点数量),管理员根据反馈信息估计当前网络安全等级并进行针对性调整,网络安全等级具体表现为信任阈值Tthro和策略参数,可按照如下规则调整:①安全等级提升,网络中不再出现感染节点,可以初步认定网络达到安全状态,Tthro下降;②安全等级下降,根据反馈信息,网络中感染节点保持增长或数量维持不变,当前参数下不足以完全消除病毒,Tthro上调,当Tthro上调至最大仍然不足以消除病毒时,可考虑调整策略参数,加大调整程度;③维持安全等级,尽管仍然有新增感染节点出现,但总体上感染节点规模开始下降,可保持参数不变。

以链路中断为例,参考文献[7,26]所构建的SIRS病毒传播模型描述网络中病毒传播情况,构建节点状态转化关系,如图4所示。

S、I、R—易感状态、感染状态和免疫状态;β—接触感染概率;ω、δ、φ—相应状态之间的转化概率。

图4对应的微分方程为

(7)

式中S(t)、I(t)、R(t)分别为t时刻S、I、R状态的节点数。

根据文献[7,26]中的稳定性分析可知,网络能够依靠自身免疫能力消除病毒的前提是平均度需满足

(8)

(9)

在抑制病毒传播过程中,仅需断开被标记为不可信的链路。结合图3及本节分析,可根据网络感染情况反馈,按照一定的规则调整信任阈值以及策略参数,即

(10)

3 仿真分析

仿真过程中,SIRS模型部分参数设置[7]如下:Tmin=-32,k=16,N=2 000,δ=0.1,ω=0.08,φ=0.2,时间单位为h,初始值设定为(S(0),I(0),R(0))=(1 800,200,0)。当β<0.015时,R0<1,网络在无病毒平衡点处稳定;当β>0.015时,R0>1,网络在有病毒平衡点处稳定。若采用IP地址作为节点标识,网络节点存储信任值信息平均占用空间约为608 bit,在内网环境下,如果系统管理员为每一个用户设定编号,则仅需288 bit存储空间。

3.1 实验环境

病毒传播需要依赖网络中的信息流,病毒传播网络实际上是人的社交网络在计算机网络中的映射,因此本文在能够反映社交网络的小世界网络中进行仿真实验。具体步骤如下:①采用python的networkx复杂网络工具,生成节点数为2 000、平均度为16的小世界网络,其重连概率为0.3;②在随机生成的小世界网络中,按照图4所示状态转化关系模拟网络中病毒的传播情况,记录病毒传播过程中的感染情况及节点数量变化;③采用matlab求解式(7)微分方程,将其结果用与步骤②中模拟的病毒传播情况对比;④为生成的小世界网络中的每一个节点建立信任值管理表(本文采用信任值矩阵来存储信任关系),根据步骤②中记录的信息,实时更新信任矩阵中的信任值。

3.2 正确率及漏检率

本小节实验在β=0.02时进行。无信任值交互和有信任值交互时不同信任值处的正确率如图5所示。可以看出:无论有无信任值交互,信任值越低处正确率越高,原因是信任值恢复过程中,部分被标记的染节点的免疫,正确率也就随之降低;可交互信任值机制在较低信任值处正确率较高,可达到无信任值交互时的2倍,在信任值较高处低于无信任值交互时的正确率;正确率随信任值的曲线由上凸变为下凹,表明通过信任值交互,不可信链路在信任值较低处更加集中。

(a)无信任值交互

漏检率如图6所示。可以看出,信任阈值为-8、-16和-24时,可交互信任值机制的漏检率分别下降了约0.72、0.7和0.6。这表明通过信任值交互标记了更多的不可信链路,不可信链路在信任值较低处的占比更大。

(a)无信任值交互

不可信状态下的链路比例如表1所示。

表1 不可信状态下的链路比例

结合表1、图5和图6分析可知,通过信任值交互,更多链路被标记为不可信链路,不可信范围扩大,信任值交互加大了不可信范围内真实不可信链路的密度,能为抑制病毒传播提供更有益的参考。

3.3 有效性

以链路中断为例,验证采用可交互信任值机制的病毒传播抑制策略的有效性,结果如图7所示。可以看出,当β=0.175时,模拟病毒传播结果与模型演化结果的均方误差最小。

(a)β=0.02时的模拟病毒传播情况

根据文献[7,24],当β=0.175时,网络稳定在有病毒平衡点P1(569.5,162.1,1 268.4)处,与模拟病毒传播情况基本一致。由式(8)(9)可知,当k≤13.714时,能达到无病毒状态。设置初始参数为Tthro=-24,p=22.8%,新增感染节点统计的时间段设置为20个单位时间。模型演化结果和模拟病毒传播情况如图8所示,策略执行过程中的参数变化情况如图9所示。

(a)模型演化结果

(a)信任阈值

由图8可知,所提策略能有效抑制网络中病毒传播。由图9a和图8b可知,信任阈值的变化符合网络中感染节点数量的变化:当网络中感染节点数量上升时,上调信任阈值,扩大链路中断可执行范围;当感染节点清零后,信任阈值及时恢复,使网络恢复正常状态。由图9b可知,当信任阈值调整至最高仍然无法彻底消除病毒时,网络能够进一步地通过调整策略参数(不可信链路中断比例)消除病毒。

本小节分析表明,采用可交互信任值机制的病毒传播抑制策略在执行过程中能够利用网络中的感染信息(新增感染节点数量)对网络安全环境进行评估,进而针对性地调整相关参数,实现彻底抑制病毒传播。

3.4 安全性与对网络结构的影响

采取同3.3小节相同的参数配置,在随机链路中断策略下,模拟病毒传播情况如图10所示。

图10 随机链路中断策略下的模拟病毒传播情况

与图8b对比分析感染节点数量变化趋势可知,采用可交互信任值机制的病毒传播抑制策略能够确保网络安全,并且能通过信任阈值和链路中断比例的调整加速网络消除感染节点的速度。

可交互信任值机制的主要目的在于为病毒传播抑制策略的实施提供依据,以便实施更加精准的隔离。链路是网络中通信业务的载体,链路中断在提升网络安全性的同时会影响网络通信能力,因此应对比随机链路中断策略和采用可交互信任值机制的链路中断策略在实施过程中断开链路的数量,图11为二者执行过程中的链路中断比例。可以看出,本文策略最高链路中断比例仅为随机链路中断策略中断链路比例均值的63%,不计感染节点清零后的阶段,病毒防御过程中,本文策略中断链路数量仅为随机链路中断策略的21%。因此,采用可交互信任值机制的随机链路中断策略较随机链路中断策略对网络结构的改变更小。

图11 不同策略执行过程中的链路中断比例

对比图8b、图9和图11可知,本文策略在执行过程中的链路中断比例和网络中感染节点的数量以及信任阈值变化趋势在一定程度上吻合。随着感染节点的减少,信任阈值和链路中断比例逐渐提高,但链路中断比例却不断下降,这是因为随着感染节点和感染行为的减少,总体上连接感染节点的链路和被标记为不可信任的链路也随之减少,并且随着网络彻底消除病毒,信任阈值下调,网络也逐渐恢复至正常状态。这表明可交互信任值机制能为病毒传播策略的执行提供有效参考,并且可根据网络中的具体安全环境调整参数,降低链路中断过程中的随机性,在提升安全性的同时降低对网络结构的影响。