基于免疫神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊仿真模型研究

(1.北京科技大學(xué) 信息工程學(xué)院， 北京 100083；2.交通部管理干部學(xué)院 計(jì)算機(jī)系， 北京 101601；3.國(guó)防大學(xué) 信息作戰(zhàn)研究所， 北京 100091)

摘 要：通過(guò)結(jié)合人工神經(jīng)網(wǎng)絡(luò)和免疫學(xué)的理論，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行模型建立與仿真研究。通過(guò)將網(wǎng)絡(luò)攻擊分為三個(gè)層次，結(jié)合神經(jīng)網(wǎng)絡(luò)的三層結(jié)構(gòu)和疫苗的相關(guān)概念，建立了基于免疫神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊仿真模型，在仿真模型的攻擊處理層提出了疫苗的克隆攻擊選擇策略，指出具有相似弱點(diǎn)的網(wǎng)元將會(huì)優(yōu)先被攻擊成功，并且給出了基于該模型的網(wǎng)絡(luò)攻擊仿真系統(tǒng)的設(shè)計(jì)方案，從而可以使用該系統(tǒng)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行仿真研究。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊仿真模型；免疫神經(jīng)網(wǎng)絡(luò)；疫苗；克隆攻擊選擇

中圖分類號(hào)：TP3919 文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：10013695(2009)01033403

Model of network attacks simulation research

based on immunebased neural networks

TAO Yuan1，XIA Yongheng2，LIU Zengliang3，GUO Chunxia1，ZHANG Zhinan1

(1.School of Information Engineering， University of Science Technology Beijing， Beijing 100083， China; 2.Dept. of Computer Science， Beijing Communications Management Institute for Executives， Beijing 101601， China; 3.Institute of Information Operation， National Defense University， Beijing 100091， China)

Abstract:By combining the theories of the artificial neural networks and immunity， the network attacks were been modeled and simulated. The network attacks were divided into 3 layers. The network attacks’ simulated model of the immunebased neural networks was proposed from the concepts of which were joined the threelayer model of the neural networks and vaccine. The tactic of the vaccines’ clone attacks selection was proposed from the attacks treatment layer of the immunebased neural networks model， and the phenomenon was pointed out that the network elements which had similar weaknesses would be given priority by the successful attacks. And the design of network attacks’ simulation system， which based on the model，was given， so that the simulation research of network attacks could be done by using the system.

Key words:simulation model of network attacks; immunebased neural networks; vaccine; choice of clone attacks

0 引言

隨著網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)攻擊也越來(lái)越多，危害信息安全的事件不斷發(fā)生，為了保障信息安全[1]，對(duì)信息進(jìn)行有效防護(hù)，因此有必要對(duì)網(wǎng)絡(luò)攻擊進(jìn)行研究。由于多協(xié)議、多系統(tǒng)、多應(yīng)用、多用戶組成的網(wǎng)絡(luò)環(huán)境復(fù)雜性高，有必要建立一套模擬或仿真的實(shí)驗(yàn)環(huán)境，研究系統(tǒng)的薄弱環(huán)節(jié)及黑客可能采取的攻擊手段，提出應(yīng)急預(yù)案，以做到有備無(wú)患。

目前，國(guó)內(nèi)外在網(wǎng)絡(luò)攻擊與防御這方面作了很多研究，取得了一些進(jìn)展，但在網(wǎng)絡(luò)攻擊仿真建模這一領(lǐng)域尚無(wú)較好的研究進(jìn)展。本文通過(guò)神經(jīng)網(wǎng)絡(luò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)中各種網(wǎng)元之間的因果性和動(dòng)態(tài)性進(jìn)行描述[2]，并結(jié)合免疫系統(tǒng)的克隆選擇等特點(diǎn)[3，4]，建立了基于免疫神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊仿真模型，從網(wǎng)絡(luò)攻擊者的角度出發(fā)，分析其網(wǎng)絡(luò)攻擊行為，以及能否達(dá)到攻擊預(yù)期目的。

1 網(wǎng)絡(luò)攻擊分析

從攻擊者的角度分析網(wǎng)絡(luò)攻擊行為，網(wǎng)絡(luò)攻擊的過(guò)程是一個(gè)對(duì)目標(biāo)網(wǎng)源信息不斷獲取和控制程度不斷提升的過(guò)程。同時(shí)網(wǎng)絡(luò)攻擊成功具有一定的條件性和概率性，通常攻擊所能達(dá)到的效果，在很大程度上由攻擊者的能力與經(jīng)驗(yàn)決定，而不僅僅是與使用的攻擊工具有關(guān)。

11 網(wǎng)絡(luò)攻擊的相關(guān)指標(biāo)

為了定性化描述網(wǎng)絡(luò)攻擊行為與網(wǎng)絡(luò)攻擊效果，定義攻擊效能、攻擊技能和攻擊強(qiáng)度這三個(gè)指標(biāo)權(quán)重如表1所示。

表1 相關(guān)名詞概念

指標(biāo)權(quán)重定義

攻擊效能xi攻擊工具i的破壞力

攻擊技能Lm攻擊者m的攻擊能力及攻擊經(jīng)驗(yàn)水平

攻擊強(qiáng)度Sn攻擊者m用工具i對(duì)目標(biāo)網(wǎng)元的破壞力

在網(wǎng)絡(luò)攻擊過(guò)程中，各個(gè)指標(biāo)對(duì)網(wǎng)絡(luò)攻擊效果的總體貢獻(xiàn)是不盡相同的，有些指標(biāo)的貢獻(xiàn)大一些，有些相對(duì)要小一些。在本文中，指標(biāo)權(quán)重的確定方法采用專家法進(jìn)行主觀賦權(quán)。采用專家法[5]對(duì)攻擊效能、攻擊技能和攻擊強(qiáng)度進(jìn)行定性化賦值時(shí)，賦值范圍為[0，5]。其中0為最低，5為最高。顯然專家的判斷是建立在其長(zhǎng)期積累的知識(shí)和經(jīng)驗(yàn)的基礎(chǔ)之上的，并不是隨意給定的。

12 網(wǎng)絡(luò)攻擊的層次分析

根據(jù)網(wǎng)絡(luò)攻擊的流程，同時(shí)為了便于形式化分析，本文將網(wǎng)絡(luò)攻擊分為三層，即攻擊輸入、攻擊處理和攻擊輸出，如圖1所示。

攻擊輸入層由隱藏攻擊網(wǎng)源、收集目標(biāo)網(wǎng)源信息和挖掘目標(biāo)網(wǎng)源弱點(diǎn)組成。

攻擊處理層由掌握目標(biāo)網(wǎng)源控制權(quán)和隱藏攻擊網(wǎng)源的攻擊行為組成。

攻擊輸出層由攻擊目標(biāo)網(wǎng)源、開(kāi)辟目標(biāo)網(wǎng)源的后門(mén)、清除攻擊痕跡和攻擊失敗組成。

由圖1可知，在網(wǎng)絡(luò)攻擊的三層結(jié)構(gòu)中，攻擊處理層是網(wǎng)絡(luò)攻擊中的關(guān)鍵層，其處理結(jié)果也將決定攻擊效果，為此本文在網(wǎng)絡(luò)攻擊處理層提出了疫苗的克隆攻擊選擇策略。

2 基于免疫神經(jīng)網(wǎng)絡(luò)的攻擊仿真模型

21 疫苗的克隆攻擊選擇策略

將網(wǎng)絡(luò)攻擊者m為了達(dá)到預(yù)期目的而決定采取相關(guān)技術(shù)看做是提取疫苗的過(guò)程，將攻擊者實(shí)施的相關(guān)攻擊方式V看做是注射疫苗，給出如圖2所示的網(wǎng)絡(luò)攻擊擴(kuò)散示意圖。

令接種疫苗為V=[v1，v2，v3]，v1，v2，v3∈{0，1}。其中，1表示當(dāng)前的疫苗攻擊有效，0表示當(dāng)前的疫苗攻擊無(wú)效。

在對(duì)目標(biāo)網(wǎng)元進(jìn)行攻擊時(shí)，將目標(biāo)網(wǎng)元的防御方式定義為D=[d1，d2，d3]，d1，d2，d3∈{0，1}，0表示不能防御當(dāng)前的疫苗攻擊，該網(wǎng)元能被攻破；1表示可以防御當(dāng)前的疫苗攻擊，該網(wǎng)元不能被攻破，如圖3所示。

借鑒抗體網(wǎng)絡(luò)[6]中的競(jìng)爭(zhēng)學(xué)習(xí)原理，令疫苗對(duì)目標(biāo)網(wǎng)元的攻擊效果為其結(jié)合力F，定義

F=m1+m2+m3（1）

式中：[m1，m2，m3]=V-D。

結(jié)合圖2與3，給出疫苗的克隆攻擊選擇策略：

a)將網(wǎng)元作為細(xì)胞來(lái)描述，所有親和力F≥1的細(xì)胞均是分裂的候選者，擁有最高親和力F的細(xì)胞n是最優(yōu)的候選者，即優(yōu)先對(duì)與網(wǎng)元n具有相似弱點(diǎn)的網(wǎng)元進(jìn)行克隆攻擊，這樣的攻擊成功概率最高。

b)如果所有的細(xì)胞親和力F＜1，則網(wǎng)絡(luò)結(jié)構(gòu)保持不變。

例如，對(duì)一個(gè)目標(biāo)網(wǎng)源進(jìn)行群體攻擊時(shí)，疫苗單元由V1=[1，1，0]，V2=[1，1，1]，V3=[1，0，0]三種攻擊方式組成，分別對(duì)目標(biāo)網(wǎng)源中的網(wǎng)元n1與n2網(wǎng)元進(jìn)行攻擊，如圖4所示。

根據(jù)疫苗的克隆攻擊選擇策略和式（1）可知，疫苗單元V2的攻擊效果最好，同時(shí)疫苗單元V2對(duì)網(wǎng)元n2的親和力最大，因此n2被V2進(jìn)行克隆攻擊，目標(biāo)網(wǎng)源中與網(wǎng)元n2有相似弱點(diǎn)的網(wǎng)元n3將被攻破的概率最高，如圖5所示。

在對(duì)目標(biāo)網(wǎng)源進(jìn)行克隆攻擊時(shí)，攻擊會(huì)一直進(jìn)行到?jīng)]有可以被攻擊的網(wǎng)元為止。當(dāng)攻擊方式強(qiáng)于防御方式時(shí)，便可攻破目標(biāo)網(wǎng)元，同時(shí)網(wǎng)元將按照被攻破的難易程度，依次被攻破，直到整個(gè)目標(biāo)網(wǎng)源被攻破。

22 基于免疫神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊仿真模型

綜上分析，結(jié)合網(wǎng)絡(luò)攻擊的三層結(jié)構(gòu)圖和疫苗的克隆攻擊選擇策略，并且借鑒基于免疫的神經(jīng)網(wǎng)絡(luò)模型[7]架構(gòu)，給出基于免疫神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊仿真模型，如圖6所示。

令向量X=(x1，x2，…，xi)為攻擊輸入向量，W(1)為攻擊輸入層與攻擊處理層之間的連接權(quán)值矩陣，W(2)為攻擊處理層與攻擊輸出層之間的連接權(quán)值矩陣。向量V=[v1，v2，…，vm]為攻擊方式疫苗向量，則攻擊輸出向量Y=(y1，y2，…，yn)為

Y=0，F(xiàn)m＜1

f(XW(1)，V)W(2)，F(xiàn)m≥1（2）

令攻擊處理層的函數(shù)為G，則攻擊方式V的數(shù)學(xué)描述為V=〈X，G[[xi，Lm，Sn]〉，即攻擊方式不僅與攻擊工具有關(guān)，同時(shí)也與攻擊者的技能水平和攻擊經(jīng)驗(yàn)密切相關(guān)。

假設(shè)網(wǎng)絡(luò)的期望輸出（即真實(shí)的網(wǎng)絡(luò)攻擊效果）為向量T=(t1，t2，…，ts)，則誤差函數(shù)可以定義為

E=s(ts-ys)2/2（3）

網(wǎng)絡(luò)的權(quán)值和激活函數(shù)的參數(shù)V通過(guò)式（4）來(lái)訓(xùn)練。

ΔW(i)(t+1)=η(E/W(i))(t)+α[Wi(t)-Wi(t-1)]

ΔV(i)(t+1)=μ(E/V(i))(t)+β[Vi(t)-Vi(t-1)]（4）

式中：i=1，2，α和β是動(dòng)力因子，與網(wǎng)絡(luò)攻擊者的技能水平有關(guān)；η和μ是學(xué)習(xí)率，與網(wǎng)絡(luò)攻擊者對(duì)目標(biāo)信息的獲取和分析有關(guān)，η和μ越大，訓(xùn)練過(guò)程越容易收斂。

由式(1)~(4)可知，在基于免疫神經(jīng)網(wǎng)絡(luò)的攻擊仿真模型中，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行定性化仿真研究在很大程度上與表1中提到的指標(biāo)權(quán)重有關(guān)，這些指標(biāo)權(quán)重的賦權(quán)與仿真結(jié)果密切相關(guān)。為此，在根據(jù)該模型對(duì)網(wǎng)絡(luò)攻擊仿真系統(tǒng)進(jìn)行設(shè)計(jì)與實(shí)現(xiàn)時(shí)，應(yīng)確定好這些指標(biāo)權(quán)重的數(shù)值。

3 網(wǎng)絡(luò)攻擊仿真系統(tǒng)設(shè)計(jì)方案與分析

根據(jù)圖6，將網(wǎng)絡(luò)攻擊仿真系統(tǒng)設(shè)計(jì)為三層架構(gòu)，即攻擊方客戶端程序、中間層和目標(biāo)網(wǎng)元客戶端程序。其中中間層包括中間層服務(wù)端程序、免疫神經(jīng)網(wǎng)絡(luò)專家系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)，如圖7所示。

在圖7中，中間層服務(wù)器端程序通過(guò)和免疫神經(jīng)網(wǎng)絡(luò)專家系統(tǒng)交互數(shù)據(jù)，并根據(jù)這些數(shù)據(jù)對(duì)攻擊方客戶端程序和目標(biāo)網(wǎng)元客戶端程序進(jìn)行初始化。多個(gè)攻擊方客戶端程序在一起構(gòu)成多個(gè)攻擊者，可以對(duì)多個(gè)目標(biāo)網(wǎng)元客戶端程序構(gòu)成的目標(biāo)網(wǎng)源進(jìn)行仿真攻擊。

中間層服務(wù)器端程序?qū)⒎抡娴墓魯?shù)據(jù)和目標(biāo)網(wǎng)源的數(shù)據(jù)傳遞給免疫神經(jīng)網(wǎng)絡(luò)專家系統(tǒng)進(jìn)行處理，免疫神經(jīng)網(wǎng)絡(luò)專家系統(tǒng)將處理完的數(shù)據(jù)與數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行對(duì)比，同時(shí)再將結(jié)果反饋給中間層服務(wù)器端程序，并由其傳遞給攻擊方客戶端程序。這樣攻擊方客戶端程序便得到了仿真攻擊的結(jié)果。

免疫神經(jīng)網(wǎng)絡(luò)專家系統(tǒng)采用的主要算法便是疫苗克隆攻擊選擇策略。根據(jù)該策略來(lái)判斷是否能夠繼續(xù)進(jìn)行網(wǎng)絡(luò)攻擊。

由于基于免疫神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊仿真模型和網(wǎng)絡(luò)攻擊仿真系統(tǒng)中的大部分參數(shù)均與表1中的指標(biāo)權(quán)重密切相關(guān)，在這對(duì)表1中的指標(biāo)權(quán)重進(jìn)行量化。

在本文中，指標(biāo)權(quán)重采用專家法確定，其特點(diǎn)是綜合利用專家的經(jīng)驗(yàn)與意見(jiàn)，確定各指標(biāo)的權(quán)重，并在不斷地反饋和修正中得到比較滿意的權(quán)重分配結(jié)果。

采用專家法對(duì)網(wǎng)絡(luò)攻擊仿真系統(tǒng)的指標(biāo)權(quán)重進(jìn)行量化的基本步驟如下所示：

a)選本專業(yè)領(lǐng)域既有實(shí)際工作經(jīng)驗(yàn)又有較深理論修養(yǎng)的專家s人，s在[10，30]。

b)將待定權(quán)重的評(píng)估指標(biāo){xi，Lm，Sn}和相關(guān)攻擊案例等資料，以及統(tǒng)一地確定權(quán)重的規(guī)則發(fā)給選定的各位專家，請(qǐng)他們獨(dú)立地給出各指標(biāo)的權(quán)重。

c)回收結(jié)果并計(jì)算各指標(biāo)權(quán)重的均值與標(biāo)準(zhǔn)差。

設(shè)s名專家給出的權(quán)重系數(shù)分別為ω(k)={x(k)i，L(k)m，S(k)n}(k=1，2，…，r)，則評(píng)估指標(biāo)權(quán)重系數(shù)均值ωl為

ωl=rk=1ω(k)l/r(l=1，2，…，s)(5)

ωl的標(biāo)準(zhǔn)差σl為

σl=rk=1(ω(k)l-ωl)2/s-1(l=1，2，…，s)(6)

d)將ωl和σl的計(jì)算結(jié)果及補(bǔ)充資料返回給各位專家，要求所有的專家在新的基礎(chǔ)上重新確定權(quán)重。

e)重復(fù)上述c)和d)，直至各指標(biāo)權(quán)重與其均值的偏差不超過(guò)預(yù)定的范圍為止，即各專家的意見(jiàn)基本趨于一致，此時(shí)各指標(biāo)權(quán)重的均值就可以作為該指標(biāo)的最終權(quán)重。同時(shí)，這些攻擊案例也將作為免疫神經(jīng)網(wǎng)絡(luò)專家系統(tǒng)的中的攻擊訓(xùn)練案例。

為了充分仿真網(wǎng)絡(luò)攻擊，本文所提到的網(wǎng)絡(luò)攻擊仿真系統(tǒng)應(yīng)根據(jù)真實(shí)的攻擊案例進(jìn)行仿真，而且對(duì)影響攻擊結(jié)果的幾種重要的指標(biāo)進(jìn)行了專家法賦權(quán)，以便進(jìn)行定性化研究和仿真。由于網(wǎng)絡(luò)攻擊仿真系統(tǒng)是根據(jù)真實(shí)的攻擊進(jìn)行仿真設(shè)置的，網(wǎng)絡(luò)攻擊案例的選擇很重要，應(yīng)充分考慮到攻擊方式的各種可能情況。

4 結(jié)束語(yǔ)

網(wǎng)絡(luò)攻擊仿真模型研究在網(wǎng)絡(luò)安全研究中的重要性正在日益突顯。本文將網(wǎng)絡(luò)攻擊分為三層結(jié)構(gòu)，并且在這三層結(jié)構(gòu)上建立了基于免疫神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊仿真模型。同時(shí)，本文提出了網(wǎng)絡(luò)攻擊仿真模型處理層的疫苗克隆攻擊選擇策略，并對(duì)其進(jìn)行了闡述，指出在攻擊方式強(qiáng)于防御方式時(shí)，便可攻破目標(biāo)網(wǎng)元，而當(dāng)攻擊者攻擊相關(guān)的網(wǎng)元成功之后，具有相似弱點(diǎn)的網(wǎng)元也將優(yōu)先被攻擊成功。同時(shí)，本文根據(jù)該模型給出了一個(gè)網(wǎng)絡(luò)攻擊仿真系統(tǒng)的設(shè)計(jì)方案，在這個(gè)模型的基礎(chǔ)上進(jìn)行網(wǎng)絡(luò)攻擊仿真研究，不僅不會(huì)造成真實(shí)的破壞，可以節(jié)約大量的成本，而且可以仿真研究各種已知的攻擊，并且產(chǎn)生仿真的回饋和響應(yīng)，而且所有的仿真攻擊過(guò)程可控、可測(cè)和評(píng)估。

參考文獻(xiàn)：

［1］

沈昌祥，張煥國(guó)，馮登國(guó)，等.信息安全綜述[J].中國(guó)科學(xué)E輯:信息科學(xué)，2007，37(2):129150.

[2]劉增良，劉有才.因素神經(jīng)網(wǎng)絡(luò)理論及實(shí)現(xiàn)策略研究[M].北京：北京師范大學(xué)出版社，1992.

[3]李濤.計(jì)算機(jī)免疫學(xué)[M].北京：電子工業(yè)出版社，2004.

[4]高洪元，刁鳴，王冰.基于免疫克隆選擇算法的多用戶檢測(cè)技術(shù)研究[J].系統(tǒng)仿真學(xué)報(bào)，2007，19(5) :983986.

[5]鮮明，包衛(wèi)東，王永杰，等.網(wǎng)絡(luò)攻擊效果評(píng)估導(dǎo)論[M].長(zhǎng)沙:國(guó)防科技大學(xué)出版社，2007.

[6]DE C L N，VON Z F J，DE D J G A.The construction of a boolean competitive neural network using ideas from immunology[J].Neurocomputing，2003，50:5185.

[7]WANG Lei，COURANT M.A novel neural network based on immunity[C]//Proc of International Conference on Artificial Intelligence.Las Vegas:[s.n.]，2002:147153.