面向天地一體化信息網絡的惡意用戶行為仿真技術

溫 晗，劉 淵，王曉鋒，葉海洋(江南大學數字媒體學院，江蘇無錫4)

2(江南大學物聯網工程學院，江蘇無錫214122)

E-mail:1015786920@qq.com

1 引言

天地一體化網絡由天基骨干網、天基接入網、地基節點網組成，并與地面互聯網和移動通信網互聯互通，其以地面網絡為基礎、空間網絡為延伸，是網絡強國的重要標志，是信息時代的戰略性基礎設施，在國與國之間競爭關系中具有極為重要的戰略意義，實現一體化信息共享與利用是未來天地一體化信息網絡發展的主要目標［1］.

由于天地一體化信息網絡通過多種異構網絡融合而成，所以其具有多維建設的特性，而這也將使其面臨諸多安全威脅［2］.其中，傳統互聯網以及通信網絡中存在多樣化的安全事件，在面對這些威脅時，天地一體化信息網絡體系架構能否承受住這些考驗成為當前的重要議題.而真實的天地一體化網絡環境體系龐大、錯綜復雜，這就需要建立天地一體化安全評測仿真體系，來檢驗天地一體化信息網絡體系的安全性與可靠性.

由于云計算平臺具有成本低、安全性高、靈活可擴展、可信度高［3］等優勢，基于云計算、虛擬化技術構建天地一體化網絡安全仿真平臺成為主流［4］，相對于實物測試床，它可降低軟硬件的成本，相對于OPNET、Qualnet等數字仿真軟件，可提高仿真的逼真性與仿真性能.為此，本文以云計算技術為依托，進一步研究面向天地一體化信息網絡的惡意用戶行為仿真技術，重點探討了多樣化、高逼真、高并發的惡意用戶行為仿真方法.基于該惡意用戶行為仿真技術，可有效支持天地一體化網絡中的接入認證、威脅態勢預警等安全技術的評估.

本文的組織架構如下:第2節介紹了相關工作;第3節介紹了基于云平臺的惡意用戶行為仿真體系;基于上述仿真體系，第4節重點探討了實現高并發、高逼真惡意用戶行為仿真的關鍵技術;第5節是實驗驗證與分析;第6節對全文進行總結，并指出了下一步工作.

2 相關工作

與天地一體化信息網絡惡意用戶行為仿真技術的相關工作可分為三個方面:天地一體化網絡仿真、仿真流量生成、惡意流量行為模擬.

1)在天地一體化網絡仿真方面，最經典的仿真軟件包括OPNET、NS、Qualnet等，但是數字仿真無法運行真實的業務流量，難以支撐安全仿真驗證.文獻［4］針對天地一體化多樣化、逼真性的網絡仿真場景，提出一種云計算環境中衛星鏈路仿真方法.文獻［5］針對天地一體化網絡，提出了基于復雜網絡理論的服務質量感知動態演化模型;文獻［6］針對天地一體化網絡中用戶數量多與行為并發高的特點，采用了多尺度的虛擬化技術，使用模型驅動衛星用戶終端行為，但是此研究只局限于窄帶用戶行為.從上述文獻可以看出，當前基于云計算的天地一體化網絡仿真是主流，但是關于天地一體化惡意用戶行為仿真的研究相對較少.

2)在仿真流量生成方面，主要有網絡流量模型生成與真實流量回放這兩種生成方式:

a)在網絡流量模型生成方面

文獻［7］以OPNET為基礎實現了自相似流量生成器，該仿真器提供了三層建模機制，其產生的流量真實性強，仿真率高.文獻［8］提出了一種流量發生器，該發生器具有增強突發建模的功能;文獻［9］基于半監督學習的馬爾科夫模型，提出了網絡流量分類算法，并成功應用于網絡流量分類器，實現了網絡流量的準確分類與生成.基于網絡流量模型的仿真流量生成，能夠快捷便利的搭建網絡仿真模型，實現仿真需求，但是存在著模型庫有限的缺點.

b)在真實流量回放方面

文獻［10］提出了互動式回放方法與系統TCPOpera，將現有的流量文件通過狀態判定的方法并根據TCP/IP協議來進行TCP流量的回放，并通過構建有關流量信息的配置文件以檢測異常TCP攻擊.文獻［11］在現有的通過狀態判定的TCP流量交互方法上，加入了收發平衡機制，提出了結合收發平衡和狀態判定的TCP流量回放方法，在TCP流量發送前先使用收發平衡發出數據包，有效的減小了流程中的狀態判定的開銷，從而提升了TCP流量回放性能.文獻［12］提出了流量回放工具Tcpcopy，將真實流量從測試服務器轉移到輔助服務器并截獲響應包，使回應流量更加真實，適用于高并發的場合.文獻［13］提出一種面向虛擬網絡的流量回放方法，該方法對真實流量通信關系形成的二分圖進行深度優先搜索，將真實ip地址與虛擬節點網卡的地址先后劃分為不相交的集合，在計算所有虛擬接口與真實流量采集點的相似度后進行IP地址映射，實現真實流量的回放.文獻［14］使用LANDER系統捕獲了來自互聯網的真實攻擊流量，并將攻擊流量與web流量進行合成，通過流量回放工具Tcpreplay將合成流量設定恒定的回放速率在DETERLab測試臺上進行回放，得到接近于真實流量特性的仿真流量，但該方法在流量的控制上設置了恒定速率的回放而不是按流量真實的發送時間回放，時間點的準確性上存在不足.

以上基于流量回放的仿真流量生成方法，使用的都是真實流量，在數據的真實性與可靠性上能夠滿足部分真實網絡場景下特定實驗的要求，比如Tcpreplay、TCPOpera等，但是它們也有自己的不足，Tcpreplay只能夠在同一臺機器的兩個網卡之間實現雙向TCP報文的回放，這與現實網絡中流量的生成方式不同，上述其他的方法未能考慮到流量生成的高并發與多樣化，無法適用于大規模節點的網絡場景，難以滿足天地一體化網絡的特點與需求.

3)在惡意流量行為模擬方面，文獻［15］基于OPNET仿真平臺中，實現了 DDoS攻擊行為的模擬，并利用 Cyber Effects庫中的網絡防御模型進行安全評估.文獻［16］基于NS2構建了網絡模擬平臺，可支持真實攻擊包的蠕蟲模型.文獻［17］提出了一種具有異構感染率的僵尸網絡傳播模型，對僵尸網絡穩態特征分析，并在BA網絡中模擬實驗分析了僵尸網絡的傳播閾值.文獻［15-17］只局限于一種惡意流量行為模擬的方法，未能考慮到多樣化的惡意用戶行為.

基于上述分析，本文以云計算平臺為基礎，面向天地一體化信息網絡中的各種異常用戶行為，基于流量回放技術，重點探討了高并發惡意用戶行為方法以及真實時序驅動的雙向惡意流量逼真回放方法，提出了基于云平臺的惡意用戶行為仿真體系以及面向天地一體化信息網絡的惡意用戶行為仿真技術，以此實現天地一體化信息網絡惡意用戶行為的高逼真、高并發仿真.

3 基于云平臺的惡意用戶行為仿真體系

3.1 天地一體化網絡的惡意用戶行為分析

天地一體化信息網絡由天基骨干網、天基接入網、地基節點網、地面互聯網、移動通信網等多種異構網絡互聯融合而成.寬帶網絡與窄帶網絡在本質上是通過傳輸速率的快慢與信號、信道的寬窄來區分的，在本文中，地面互聯網連接互聯網寬帶用戶，寬帶指的是寬帶互聯網;移動通信網連接窄帶通信用戶［2］，窄帶實指移動通信網.由上可知，天地一體化網絡用戶既包括了互聯網的寬帶用戶行為，也包括通信網絡中的窄帶用戶行為.相應的惡意用戶行為分析如下:

1)寬帶惡意用戶行為

在天地一體化信息網絡的地面互聯網通信行為中，相應的與傳統互聯網面臨的安全事件類似，主要包括DDoS類、木馬類、蠕蟲類、僵尸網絡類等.這些惡意行為流量在結構與特點上有著千絲萬縷的聯系，但是其工作的流程卻又千差萬別，其中僵尸網絡通過傳播與感染從而形成一對多的控制網絡;DoS、DDoS則是僵尸網絡中的一種攻擊形式，通過大量合法的請求占用大量網絡資源，從而使合法用戶無法得到服務的響應［18］;蠕蟲通過系統漏洞進行自我復制和傳播并且可以獨立存在;木馬則通過特定的程序來控制另一臺機器從而進行流量的交互，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種主機.

2)窄帶惡意用戶行為

在天地一體化信息網絡的移動通信網的通信行為中，主要包括假冒類、篡改類、重放類等安全事件.其中仿冒類主要通過偽裝成網絡單元截取用戶數據、信令數據及控制數據，偽終端欺騙網絡獲取服務，從而進行用戶注冊、短信發送、實時通話、信道分配等通信進程;篡改類主要對通信行為中產生的數據報文的內容與格式進行修改以破壞數據完整性，從而造成異常格式、異常內容、異常同步的通信信令;重放類主要通過截取正常通信的數據報文，從而實現注冊、短信、通話等行為的重放.

針對上述天地一體化信息網絡的寬帶互聯網與窄帶通信網絡中的惡意用戶行為高逼真、高并發、多樣化的特點，建立了基于云平臺的惡意用戶行為仿真體系.

3.2 惡意用戶行為仿真體系框架

惡意用戶行為仿真架構如圖1所示，基于Openstack云平臺，構建天地一體化信息網絡仿真拓撲，平臺采用分布式仿真架構，具體包括控制節點、網絡節點及若干計算節點.為保證仿真的實時性、精確性及同步性，所有節點均基于網絡時間同步協議NTP，將控制節點時間視為統一時間軸.

圖1 惡意用戶行為仿真體系框架圖Fig.1 Malicious user behavior emulation system framework

流量預處理，將在真實互聯網中通過流量捕獲工具抓取包含惡意流量的雜項流量通過處理生成完整的惡意流量并入庫;惡意用戶行為仿真，通過各功能模塊的組合運控從而構建完整的惡意用戶行為仿真流程:情景匹配模塊使用自動化映射技術將描述文件中的天地一體化衛星模擬網絡自動映射成Openstack上的衛星仿真網絡，結合用戶節點及信關站節點的接入，構建天地一體化惡意用戶行為仿真網絡拓撲;控制下發模塊下發用戶指令參數，行為仿真模塊接受該指令集，從惡意流量模型庫中調用相關的惡意流量并加載到天地一體化惡意用戶行為仿真網絡中，從而實現惡意流量的回放，數據處理模塊對生成的惡意流量進行篩選，對符合特征的流量進行修改或攔截.

惡意用戶節點的搭建使用了全虛擬機技術，其包括寬帶用戶節點和窄帶用戶節點，寬帶惡意用戶節點主要進行DDoS類、蠕蟲類、木馬類、僵尸網絡類等寬帶惡意用戶行為的仿真，窄帶惡意用戶節點主要進行窄帶通信行為中的仿冒類、篡改類、重放類等安全事件的仿真.

3.3 惡意流量預處理與入庫

惡意流量預處理如圖2的上半部分所示，在真實互聯網的惡意行為發生場景中，通過wireshark工具捕獲來自原始網絡中的包含寬帶惡意流量的原始流量，隨后對原始流量進行預處理，劃定原始網絡的有效ip集合，并對原始流量以數據報文為基礎與原始網絡有效ip集合進行信息匹配，過濾篩選非有效地址的雜項流量.對于單向流量，依次讀取報文內有效信息:流量大小、報文個數、報文源、目的地址;對于雙向流量，除了上述流量特征的提取，還需讀取雙向TCP報文交互次序、交互時間，生成次序列表、時間間隔列表，并按照源地址、目的地址進行流量分向切割.將流量具體信息與處理流量分別存儲于控制終端與用戶節點的惡意行為模型數據庫中.

圖2 流量預處理與用戶行為仿真流程圖Fig.2 Traffic preprocessing and user behavior emulation module flow chart

對于寬帶流量，記錄流量關鍵信息包括流量id、流量名、存儲路徑、流量類型等，并放入寬帶流量庫中，流量關鍵屬性如表1所示.

表1 寬帶惡意流量屬性表Table 1 Broadband malicious traffic attribute

對于窄帶流量，在面向天地一體化網絡的窄帶用戶行為仿真中的地面站節點通過tcpdump實時捕獲通信流量［5］，并通過wireshark工具分析通信流量的數據段特征，進行特征提取包括用戶標示id、用戶名、ip地址等，并放入窄帶流量庫中，流量關鍵屬性如表2所示.

表2 窄帶流量屬性表Table 2 Narrowband traffic attribute

3.4 行為模塊的搭建與運行控制

基于Openstack云平臺，搭建基于天地一體化網絡的惡意用戶行為仿真場景，設計惡意用戶行為仿真控制系統來實現惡意用戶行為的仿真，其中該行為系統主要包括以下幾個模塊:

1)場景匹配模塊

場景匹配模塊在惡意用戶行為仿真控制系統中提供行為仿真場景、搭建仿真行為網絡拓撲，加載天地一體化衛星網絡及用戶行為仿真網絡.該模塊根據行為仿真需求自動化搭建生成提供了三種用戶行為場景:寬帶單向惡意用戶行為仿真場景、寬帶雙向惡意用戶行為仿真場景、窄帶惡意用戶行為仿真場景.

2)控制下發模塊

控制下發模塊是整個惡意用戶行為仿真系統的基礎，位于整個仿真流程的最上層，負責指定并下發惡意用戶行為指令參數，在整個用戶行為的仿真流程中具有核心作用.

3)用戶行為仿真模塊

用戶行為仿真模塊是惡意用戶行為仿真系統的主體，其中，惡意用戶通過用戶節點的ip來表示，每一個ip代表一個用戶，惡意用戶行為的仿真通過在各節點之間進行惡意流量的回放來實現，該模塊通過回放參數的設置和回放流量類型的區分以實現的各種行為流量的回放策略，模擬寬帶用戶、移動通信用戶的惡意用戶行為，以實現惡意用戶的行為仿真，其流程如圖2下半部分所示.

4)數據處理模塊

數據處理模塊用于處理在特定鏈路中回放的惡意流量，在惡意用戶節點發送數據報文的虛擬鏈路上設置報文發送隊列，在數據報文送出惡意用戶節點或衛星節點的網卡后，該隊列自動匹配源、目的地址符合篩選條件的數據報文，并對數據報文進行攔截或修改.模塊間的運行控制過程如下所示:

a.場景匹配模塊依據拓撲描述文件，多粒度節點映射模塊從拓撲描述文件中獲取每個節點的描述信息，解析仿真場景并獲取部署信息，將仿真網絡動態映射到Openstack仿真平臺.

b.用戶行為仿真模塊的用戶節點開啟進程監聽，等待接收控制下發模塊傳遞的用戶行為參數來驅動其惡意用戶行為的仿真;

c.計算節點上的數據處理模塊開啟監聽程序，準備對指定用戶節點間的惡意流量進行攔截或修改處理;

d.控制下發模塊進行參數的下發，傳遞用戶行為參數指令集，其中包括異常用戶數、異常流量類型、流量發送速度、流量發送次數等;

e.用戶行為模塊接收傳參，并按照行為參數指令集對惡意用戶進行行為選項設置，從惡意流量模型庫中加載選定的惡意流量，并在目標仿真網絡中進行惡意流量的回放，以實現惡意用戶行為仿真;

f.數據處理模塊在惡意用戶節點間的鏈路上設置iptables規則結合scapy模塊，對數據報文進行規則匹配，對符合條件的數據報文進行攔截或修改，控制惡意用戶行為交互的時間、報文信息的更改等.

4 惡意用戶行為仿真關鍵技術

基于第3節所提出的體系架構，面向天地一體化信息網絡中寬帶、窄帶惡意用戶行為仿真，為了保證仿真行為的高逼真、高并發，相關關鍵技術如下:

4.1 寬帶單向惡意用戶行為仿真

寬帶單向的惡意用戶行為仿真，包括蠕蟲、DDoS、僵尸網絡類等安全事件的仿真，具體實現方法如下:在發送端的一個或多個用戶節點開啟端口監聽，控制下發模塊設置用戶行為參數集合，包括惡意行為源地址、惡意行為目的地址、惡意用戶數量、惡意流量類型、流量發送速度、流量發送次數等，并下發給寬帶用戶節點上的用戶行為仿真模塊，用戶行為仿真模塊接收到行為參數并進行用戶行為設置，隨后在寬帶惡意用戶行為網絡中進行流量回放;其中，惡意用戶行為發生節點在接收到控制下發模塊的參數指令集后，對惡意流量進行源地址、目的地址的更改，分別改為寬帶惡意用戶行為網絡中發送節點與目的節點的地址，其中目的mac地址需要更改為連接發送端的虛擬路由器的網卡mac地址，以此來實現路由轉發，完成惡意用戶的跨網段惡意行為仿真.

4.2 寬帶雙向惡意用戶行為仿真

雙向Tcp流量交互行為仿真，包括木馬類等安全事件，其仿真流程如下:

1)在兩個交互的用戶節點上開啟端口監聽，計算節點上的數據處理模塊開啟腳本監聽，之后網絡節點上的控制下發模塊解析經流量預處理生成的流量文件，讀取流量文件內各個報文的源ip、目的ip以及時間戳，確定流量內報文的交互次序與交互時間，生成交互次序列表與交互時間列表;

2)控制下發模塊設置用戶行為參數，包括惡意交互用戶數、流量類型、流量發送速度、流量發送次數等，并下發給對應的用戶節點;

3)用戶節點的用戶行為仿真模塊接收到參數指令后，在節點上的惡意用戶行為流量庫中提取選擇的流量，對報文的源、目的地址進行更改，目的mac地址需要更改為連接虛擬機端的虛擬路由器的網卡mac地址;

4)在用戶節點進行完流量的處理后，控制下發模塊將對應流量文件的發送次序列表、發送時間列表下發到兩個用戶節點，用戶節點按交互順序與時間將處理好的報文流量在目標網絡中進行交互回放;

5)與此同時，數據處理模塊在用戶節點發送數據報文的虛擬鏈路上設置報文匹配隊列，在數據報文經過虛擬路由器送出虛擬路由器的網卡后，該隊列自動匹配符合特征設定的數據報文，并對相關報文進行攔截操作，從而杜絕了RST回應包的生成，以實現雙向TCP流量的交互行為仿真.

因控制節點的指令下發有先后順序可能會造成時間上的誤差，用戶節點在獲取發送時間列表的同時，分別獲取控制下發模塊發出的時間參數T1、T2，其差值等于完整流量中雙向節點各自的第一個報文發送時間點TA1與TB1的時間差，雙向用戶節點分別在時間點T1、T2發送首條報文到對方節點，即可保證雙向用戶節點首條報文發送時間的準確性，其中T2與T1的關系如下:

針對后續報文發送時間的準確性可能受到系統響應時間、報文發送耗時等因素的影響，在進行雙向行為仿真交互前，需要對各條報文發送的時間點進行相應的調整.其具體方法為:在仿真場景中對一定數量的報文設置固定發包間隔，在報文發出后獲取各條報文在發送節點真實的發送時間Time_real，將真實發送時間與設置的發送時間Time_set進行誤差計算，得出額外耗時平均值TimeAvg，其計算公式如下:

其中Time_reali為第i條數據報文真實發送時間，Time_seti為第i條數據報文設置的發送時間，n為報文總數.在得到額外耗時平均值后，對雙向節點兩端的報文發送的時間列表進行誤差補償，其計算公式如下:

其中List_Timewait［i］代表發送時間列表中第i+1個元素的值，n代表列表中元素總個數.該公式成立的約束條件為:

若其中第i個值不滿足該條件，則將List_Timewait［i］值賦為零，對List_Timewait［i+1］的值進行補償，直至該誤差歸零，如此進行誤差補償直至時間列表最后一個時間值.

4.3 窄帶通信用戶惡意行為仿真

在天地一體化信息網絡的仿真場景中，窄帶通信惡意用戶行為仿真流程如下:

1)在窄帶惡意用戶仿真節點上(默認可與通信地面站節點通信)，從窄帶流量庫提取注冊、通話、短信等流量，修改數據報文頭，將源地址改寫為惡意用戶節點的地址，并生成新的流量文件并存入該節點的惡意流量庫;

2)在接收到控制下發模塊傳遞的窄帶惡意用戶行為指令后，在數據庫中提取上述修改完的的流量文件，通過用戶行為仿真模塊的用戶行為設定后在窄帶用戶網絡中進行回放;

3)數據處理模塊在鏈路上進行監聽，在窄帶惡意用戶節點發送數據報文的虛擬鏈路上設置報文發送隊列，在數據報文送出惡意用戶節點的網卡后，該隊列自動匹配源地址為惡意用戶節點、目的地為地面站節點的數據報文，在隊列中，搜索并修改報文數據段中的表示用戶特征的特定用戶數字id并根據需求修改報文的其他字段信息，最后將符合特征條件的改寫報文送入NFQUEUE隊列send中，繼續發往目的地址;

4)在惡意用戶節點進行流量回放的過程中，使用tcpdump在地面站節點進行流量的捕獲，查看報文交互細節，檢驗惡意通信用戶節點是否能與窄帶通信用戶節點、通信地面站節點產生交互行為.

4.4 高并發惡意用戶行為的實現

在天地一體化信息網絡的仿真場景中，為了實現高并發的惡意用戶行為仿真，需要多個用戶節點分布式協同進行惡意用戶行為仿真，其仿真流程如下:

1)首先在惡意用戶節點上通過自動化腳本讀取其網卡信息，包括用戶節點的網卡名、ip、網關等，隨后根據相關信息生成同一網段內的一萬個虛擬ip并寫入網卡文件，在每個節點上仿真一萬個惡意用戶;

2)在每個節點上對不同的惡意用戶進行惡意流量的分配與選取:針對每一個惡意用戶，在流量庫中選取相應的惡意流量并對報文進行源、目的地址的修改，源地址改寫為該惡意用戶對應的虛擬ip，目的地址改寫為目的節點的地址，隨后與上一個惡意用戶改寫生成的流量文件合并，直至所有惡意用戶完成惡意流量的分配與修改;

3)將處理好的包含多ip的流量文件，按照控制下發模塊下發的行為參數集，對發送速率、發送次數、發送時間等參數進行設置，隨后在仿真網絡中進行流量回放;

4)在天地一體化網絡仿真場景中，控制下發模塊通過多線程同時傳遞參數指令集給多個用戶節點以實現分布式惡意用戶行為的協同控制，從而實現高并發的惡意用戶行為.

5 實驗及結果分析

5.1 天地一體化信息網絡仿真實驗場景

本文實驗所采用的仿真實驗場景如圖3所示，主要包括3個方面:1)天地一體化仿真網絡，2)地基用戶節點，3)地基信關站節點.

天地一體化衛星實驗網絡主要包括天基骨干網、天基接入網地基骨干網.天基骨干網由雙軌道同步衛星星座構成，共計6顆衛星，軌道間互相備份，能夠支持骨干節點被毀情況下的網絡重構，主要為地面用戶提供寬帶通信等服務，在這些寬帶通信服務的基礎上可實現包括DDoS、蠕蟲、木馬、僵尸網絡等寬帶惡意用戶行為;天基接入網由66顆低軌衛星組成，分布在6個軌道上，主要為地面移動用戶提供電話、短信等服務，在這些窄帶通信服務的基礎上可實現包括仿冒類、篡改類、重放類等窄帶惡意用戶行為;地基骨干網主要由信關站、地面用戶節點及地面互聯網構成，由此實現天地一體化衛星網絡“天地互聯”一體化方案.仿真節點的搭建則使用了虛擬化技術，包括全虛擬化技術KVM與輕量級虛擬化技術Docker，高軌骨干節點及信關站節點采用全虛擬化技術，實現骨干節點大容量、高效轉發;低軌衛星節點采用輕量級虛擬化技術，能夠支持節點眾多、拓撲龐大的天基接入網仿真.

惡意用戶行為仿真架構基于Openstack Mitaka版本搭建.控制節點采用Deil PowerEdge R730機架式服務器，處理器為Intel(R)Xeon(R)CPU E5-2620 v4，內存64G;計算節點均采用Deil PowerEdge R820機架式服務器，處理器為Intel(R)Xeon(R)CPU E5-4607 v2，內存32G.所有物理節點操作系統均為Centos 7.2.

圖3 大規模實驗拓撲Fig.3 Large scale experimental topology

5.2 惡意用戶行為的多樣化實驗與分析

5.2.1 寬帶惡意用戶行為仿真

在圖3的拓撲中，寬帶惡意用戶中的惡意用戶節點Usr1使用各種真實惡意流量通過衛星節點回放到寬帶正常用戶節點Usr6，并在拓撲中的衛星節點Ku安裝snort進行惡意流量檢測，對不同類型的惡意流量，針對其數據報文特征在snort軟件的rules目錄下添加了對應的規則文件，并在snort.conf中加入了這些規則文件.將惡意用戶行為發生次數分別設置為2000、4000、6000、10000 次，使用 snort檢測蠕蟲、木馬、僵尸網絡這三種惡意用戶行為，檢測結果如圖4所示:其中snort對蠕蟲流量檢測的報警比率隨著流量發送次數的增長始終保持在100%不變;木馬流量檢測的報警比率在流量發送次數為2000次時達到最高97%，在4000次時降為90%，在6000次、10000次時保持93%的報警比率不變;僵尸網絡流量檢測的報警比率基本比較穩定，在2000次時達到94%，報警比率隨著發送次數的增加緩慢降低，平均保持在92%.

圖4 Snort惡意用戶行為檢測圖Fig.4 Snort malicious user behavior detection map

在該實驗中，使用入侵檢測系統snort在不同回放次數下對上述惡意流量報警情況進行統計，均可觸發警報且警報比率如圖4所示，表明惡意流量回放技術在該天地一體化網絡仿真場景中可以實現蠕蟲、木馬、僵尸網絡等多樣化的寬帶惡意用戶行為仿真.

5.2.2 窄帶用戶惡意行為仿真

在正常的窄帶通信用戶節點Usr3、Usr4以及窄帶信關站節點Station1進行通信行為交互時，在通信鏈路上捕獲的Usr3與Station1的通信用戶數據報文并在窄帶惡意用戶節點Usr5處更改Usr3至Station1報文中代表身份信息的有效數字id，更改報文的源、目的地址發送至地基信關站節點Station1，實驗結果表明，該惡意用戶行為節點Usr5通過對正常通信流量的仿冒、篡改、重放等操作可以實現與正常窄帶用戶節點Usr4、通信地面站節點Station1進行注冊、通話、短信等行為的交互，其交互行為表現如下:

在注冊測試時，如表3所示，通信惡意用戶節點Usr5發送注冊請求到地基信關站節點Station1，地基信關站節點給通信惡意節點發送注冊回應報文，注冊測試成功.

表3 注冊測試Table 3 Registration test

在通話測試時，如表4所示，通信惡意用戶節點Usr5發送通話請求到地基信關站節點Station1，地基信關站節點給通信惡意節點發送通話回應報文，并隨后向通信用戶節點Usr4發送通信報文，并取得了回應，最后地基信關站節點Station1發送通話報文回到通信惡意用戶節點Usr5，實現了通話行為的交互，通話測試成功.

表4 通話測試Table 4 Call test

在短信測試時，如表5所示，通信惡意用戶節點Usr5發送短信通信報文到地基信關站節點Station1，隨后地基信關站節點發送短信通信報文到通信用戶節點Usr4，并取得了回應，最終地基信關站節點Station1將短信報文轉發到通信惡意用戶節點Usr5，實現了短信行為的交互，短信測試成功.

表5 短信測試Table 5 SMStest

5.3 惡意用戶行為高并發實驗與分析

在多個用戶節點上分布式創建并部署大規模仿真用戶，每個用戶節點仿真一萬惡意用戶，以每秒內產生的惡意報文數量作為安全事件并發數，并在衛星終端進行惡意用戶行為并發數量檢測.在多個用戶節點上協同進行了寬帶用戶惡意行為并發仿真，并記錄用戶節點Usr1與Usr2部分時間點的安全事件并發數與內存占用情況，實驗結果如圖5所示，寬帶單向惡意用戶行為的并發數與雙向惡意用戶行為并發數呈固定比例(左側縱坐標對應單/雙向惡意用戶行為并發數)，用戶節點的內存占用隨用戶行為仿真并發數的增加而逐漸增長(右側縱坐標對應內存占用增長數值)，并在用戶數達到一萬時在峰值上下波動，最后隨著用戶行為仿真的結束而逐漸降低.通過實驗證明本設計方法最終可以實現單節點10000惡意用戶的并發仿真.

圖5 安全事件并發時刻圖Fig.5 Security event concurrency moment diagram

5.4 雙向回放的逼真性實驗與評估

寬帶雙向交互行為的逼真性主要體現在用戶進行惡意用戶行為交互時，與完整流量對比，所生成的惡意交互流量在報文交互順序上保持一致、以及報文交互時間上的精確.

5.4.1 寬帶雙向回放報文交互順序

取圖3拓撲中地基用戶群惡意用戶仿真節點Usr1與Usr2，以及仿真衛星節點Ku，其中Usr1與Usr2進行寬帶雙向行為交互，并在Ku上捕獲交互流量，查看捕獲流量的交互順序，如表6所示:結果顯示該交互行為所產生的流量其交互順序與原流量保持一致.

表6 報文交互次序表Table 6 Message interaction sequence

5.4.2 寬帶雙向回放報文交互時間

在惡意用戶仿真節點Usr1與Usr2之間重放了來自互聯網真實惡意流量的36000個數據報文，得到的原始報文與雙向交互回放報文之間的時間誤差值與流量回放軟件Tcpreplay產生的時間誤差值［19］如圖6所示.在該圖中，Tcpreplay回放算法發送報文的時間誤差值隨著報文數量的增加呈線性上升，而經雙向交互算法生成的回放流量的時間誤差值基本分布在0.0005秒之內，并不會隨著回放報文數量的增加而有所變化.該圖表現出雙向交互算法對比Tcpreplay回放算法在發包數量達到一定規模后，其在發包時間的精確性上具有一定的優越性.

圖6 雙向交互算法與Tcpreplay算法時間誤差對比圖Fig.6 Two-way interactive traffic time difference comparison chart

在誤差均值方面，tcpreplay回放算法的誤差均差為0.016048秒，而交互回放算法的誤差均差為0.000437秒，相差了40倍左右;在誤差標準差方面，tcpreplay回放算法的誤差標準差為0.010392秒，而交互回放算法的標準差為0.000359秒，相差了30倍左右，如表7所示.

表7 Tcpreplay算法與交互回放算法誤差對比表Table 7 Two-way interactive traffic time difference comparison table

以上都表現出雙向交互算法對比Tcpreplay回放算法在發包時間的精確性上具有一定的優越性，表明了雙向惡意用戶行為交互技術具有一定的逼真性.

6 結束語

面向天地一體化信息網絡的惡意用戶行為仿真技術，實現了用戶行為仿真的多樣化、流量特性上的高逼真，以及惡意用戶及事件數量上的高并發.多樣化主要體現在該方法支持各種安全事件的仿真;高逼真主要體現在雙向TCP流量的交互，可以完整的體現出TCP流量在原始網絡中交互行為在時間與空間上的細節與尺度;高并發主要體現在同一時間惡意用戶行為所產生安全事件的數量.本仿真方法可以在單用戶節點實現每秒10000組安全事件的并發行為仿真.下個階段的工作主要包括對天地一體化網絡中的接入認證、安全管控、威脅態勢預警等安全技術的分析與評估.