分布式網絡連續數據流脆弱點識別方法研究

萬紅霞

摘? 要： 分布式網絡連續數據流脆弱點識別能夠有效地保證網絡計算應用的安全性。為了提高識別效果，提出基于連續數據流脆弱點的錯誤信息識別方法，選取信號級錯誤及網絡模塊集傳播的連續數據脆弱點特征，定義錯誤滲透率，分析當前模塊脆弱數據流的傳播錯誤，生成傳播樹定義分布式網路線脆弱信號影響因子，建立錯誤傳遞矩陣，并將不同數據錯誤對當前網絡影響程度作為評判標準建立評價機制，根據權重從比特級、模塊級、信號級識別連續數據流脆弱點。實驗結果表明，所提的識別方法在分布式網絡連續數據流脆弱點識別過程中具有較好的識別效果。

關鍵詞： 脆弱點識別; 數據流脆弱點; 特征選取; 數據流分析; 影響因子構建; 評價機制

中圖分類號： TN915.08?34? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼： A? ? ? ? ? ? ? ? ? ? ? ? ?文章編號： 1004?373X（2020）13?0081?04

Research on vulnerable point recognition method for continuous data

flow in distributed network

WAN Hongxia1， 2

（1. Department of Computer Science & Technology， Jianghan Petroleum Institute， Jingzhou 434000， China;

2. Sinopec Geophysical Research Institute， Nanjing 211100， China）

Abstract： The identification of vulnerable points of continuous data flow in a distributed network can effectively guarantee the security of network computing applications. In order to improve the recognition effect， an error information recognition method based on vulnerable points of continuous data flow is proposed. Signal level errors and continuous data vulnerable point characteristics of network module set propagation are selected， the error penetration rate is defined， the propagation errors of the current module vulnerable data flow is analyzed to generate a propagation tree to define the distributed network route vulnerability signal impact factor and establish the error transfer matrix. The influence degree of different data errors on the current network is taken as the evaluation standard to establish an evaluation mechanism， and the vulnerable points of continuous data flow are identified from bit level， module level and signal level according to the weight. The experimental results show that the proposed identification method has a good identification effect in the process of identifying the vulnerable points of continuous data flow in distributed networks.

Keywords： vulnerability recognition; vulnerable point of data flow; feature selection; data flow analysis; influence factor construction; evaluation mechanism

0? 引? 言

在一些高科技行業領域，計算數據和計算系統的應用越來越廣泛，例如：交通控制、醫療、發電、通信系統、航空航天系統等[1]。在這些領域中，計算系統的效率和可靠性至關重要，一旦出現計算問題，很有可能造成大面積的損失，甚至造成人員傷亡。分布式網絡下，計算機通常需要進行高密度、高強度的應用計算[2?3]，數據流的連續性顯得至關重要。在數據輸出過程中，數據流在軟件或者傳輸節點的影響下，會出現連續數據流脆弱點，這種脆弱點從廣義上可以定義為數據系統中一些不好的特征成分或者數據部分。數據流脆弱點在外部入侵下可能會對當前計算機系統相關資源產生不利影響[4]。這種不利影響可以從兩個方面進行理解：對數據整體安全產生破壞性;因為環境的擾動性，導致數據流最敏感的部分出現問題，這部分同樣被稱為數據流脆弱點[5]。針對上述兩種情況，現有的解決方法一般是通過數據代碼或者授權權限保證數據流脆弱點的安全性。例如，利用進程執行干擾、格式字符串、條件競爭、SQL注入等方式，保證數據流脆弱點不會受到外部威脅，但是這需要進行大規模的定位和識別，尤其是目前的數據網絡大多采用分布式網絡，多層級結構下數據流極為分散。大面積的數據流需要一種統一的分析方法，針對數據流脆弱點進行有效識別。目前數據流脆弱點識別主要有靜態分析、校驗模型等，整體效果并不理想。由此，本文提出了一種用于分布式網絡下的數據流脆弱點識別方法，該方法可以有效用于數據可靠性測評中，不僅結合了分布式網絡結構的特征，還考慮現代數據流錯誤環境和入侵檢測干擾引起的錯誤特性，與傳統識別方法相比，具有更大的優勢。

1? 分布式網絡聯機數據流脆弱點識別

1.1? 脆弱點特征選取

根據當前分布式環境網絡系統的不同運行方式，設計從兩個角度對當前連接數據流的應用層面選取不同的脆弱點錯誤傳播特征。主要考慮變量和脆弱點信號的錯誤數據傳播過程，不僅需要考慮數據錯誤問題，還需要考慮錯誤點的生成問題[6]。

1.1.1? 脆弱點信號級上的錯誤

信號級錯誤特征選取之前需要定義信號錯誤滲透率的概念。當前分布式網絡模塊A的輸入數據流信號[i]在錯誤條件下，導致網絡模塊A對模塊B的輸出數據流信號[k]出現錯誤的概率，稱其為信號錯誤滲透率[7?8]。記作[PEPA→Bi，k]，如圖1所示。

此定義主要用于輸入當前模塊下的輸入和輸出數據對錯誤數據的滲透性，它與數據流脆弱點的生成和出現概率的大小有直接關系。此外，網絡模塊的負載以及輸入端的錯誤類型均可能改變錯誤滲透率的具體數值[9]。

基于錯誤滲透率，可以分析某一端網絡數據流對當前模塊的影響性。因為脆弱數據可能存在于多路徑傳播系統中，所以，為了準確計算當前數據流信號[S]對系統輸出的影響性，設計構造了傳播數據生成算法如下：

Step1：選擇系統輸入數據信號或者中間數據信號，將其作為傳播數據流的根節點[10]。

Step2：確定當前數據流的流向，并把對應模塊的輸出數據流均作為根點數據。

Step3：對于當前數據的子節點，如果對應數據不是常規數據，則跟蹤數據信號，保證其信號攝入，確定模塊輸出，然后根據Step2構建信號傳播子節點。如果對應的數據是常規數據，則該節點作為反饋輸入節點。

Step4：如果有其他數據信號，返回Step1。

使用該算法可以為當前網絡模塊下輸入信號和輸出信號各生成一個傳播樹，其中，根節點作為系統輸入端數據出現，其他節點代表輸出端數據。系統內部數據每條邊均對應當前信號錯誤的滲透率指標，從根節點到葉子節點之間具有最高權重的數據流路徑，就有可能是脆弱點錯誤特征路徑。建立路徑示意圖如圖2所示。

輸入[IA1]的傳播樹如圖3所示。

其中，每條路徑的錯誤傳播概率就是將當前路徑上所有可能出現的錯誤滲透率數值相乘，如果出現[IA1]的錯誤是根據[IB1]傳輸到模塊E的輸入端，則輸出概率為：

如果已經確定錯誤概率在輸入端[IA1]中出現的概率為[Pr（IA1）]，那么可以調整為：

根據式（1）和式（2）定義當前分布式網路線脆弱信號影響因子，輸入信號或者中間信號[S]對數據流的影響因子為：

式中[ωk]表示從[S]點到當前數據流某條數據傳輸路徑[k]上的目標權重[11]。

假設當前數據流所用傳輸路徑均具有獨立性，那么數據影響因子就在[S]發生的錯誤路徑下，采用當前路徑傳播輸出。式（3）可以看作是一種風險度量，該度量解釋影響因子越大，存在脆弱點特征的概率越高。

式（3）只考慮單一的系統輸出，對于獨立分布式網絡存在多個輸出情況，考慮到不同的輸出數據的路徑程度，所以首先需要將當前系統輸出信號賦予一個重要的數據參數，用1代表該數據信號中的最高級別重要性。這些參數可以從系統設計人員給出的數據流傳輸過程導向數據中獲取，基于此提出定義公式：

式中[S→Osys]可以看作是信號[S]對數據流的影響因子[12]。

在已知當前分布式網絡模塊輸入和輸出滲透率參數的基礎上，根據信號集錯誤傳播分析路徑和權值可以初步確定數據脆弱點特征。

1.1.2? 模塊集上的傳播錯誤

根據定義信息確定模塊錯誤滲透率。當前網絡模塊A對模塊B的數據錯誤滲透率為[PEPA→B]：

式中：模塊A存在[m]個數據信號，對模塊B的輸出數據信號為[n]。

式（5）可以表示為一個用于獲取模塊連續數據的相對抽象度量，并不能直接反映當前實際錯誤的輸出傳播和輸出概率。假設所有的輸出數據流均相互獨立，一個傳輸錯誤只能引起一種連續數據流脆弱點，那么式（5）可以代表實際脆弱數據流的傳播錯誤。

除了數據輸入性錯誤以外，分布式網絡數據流還有可能自身產生錯誤輸入（輸入端正確、輸出端錯誤），特別是在特殊環境下傳播的脆弱數據流，為了完整體現數據流傳播錯誤，給出連續數據流脆弱點模塊泄漏概率。

在單一模塊內部狀態不同條件下，數據流輸出情況[y]的概率稱之為泄漏率，其計算公式為：

式中[y]表示當前分布式網絡下模塊M的數據流輸出情況。

對于多模塊下的數據流輸出情況，其整體泄漏率為：

式中[n]表示當前網絡模塊的輸出個數。

當前模塊的泄漏率并不能表示分布式網絡數據流存在的脆弱點，在模塊正常執行時，同樣會產生脆弱點的錯誤輸入。由此，可以定義網絡模塊下的影響因子為：

對于多網絡輸出情況，其數據影響因子如下：

與上述影響因子類似，如果考慮當前分布式網絡數據錯誤特征信號的權值，可以將其改變為：

1.2? 識別數據流脆弱點

從1.1節中可以明確，數據流脆弱點傳播錯誤特征包括模塊集和信號集兩個層面，以此可以確定節點度的分布、節點距離和聚焦系數三項常規特征。其中，節點度參數被定義為該節點的連續性節點數目，一個節點度可以被劃分為入度和出度。入度表示該節點指向節點邊的數量，出度則表示指向其他節點邊的數量，入度越大證明該數據點的實用度越高。根據上述三項數據特征，建立錯誤傳遞矩陣，結合上述求取的錯誤滲透率，可以確定數據節點的度矩陣為：

式中：[MD]表示當前網絡模塊下輸入數據構成的矩陣，模塊I的第[k]個數據標注就是當前度矩陣MD的第[k]個元素。因為元素是數據間錯誤滲透率的表現，因此式（11）可以表示為一種加權的度值，其權值就是錯誤滲透率。

為了挖掘當前分布式網絡的連續數據流脆弱點，設計基于上述數據，采用最優化分析方法，將脆弱數據點作為故障點，結合故障注入提取的故障記錄和跟蹤記錄，對所有需要考察的網絡區域設定集合[D=D1，D2，…]，以不同的數據錯誤對當前網絡影響程度作為評判標準，建立評價機制，選擇最大影響率的錯誤數據。具體做法如下：

Step1：根據錯誤特征按照系統模塊之間的數據交互關系，生成所有錯誤矩陣。每個錯誤矩陣均可以構成傳遞網絡的局部信息，確定網絡模塊之間的滲透率[PEPA→B1，1]。對于[PEPA→B1，1]求解的方法為：根據數據流脆弱點錯誤改變信號[i]的實際值，以此為基礎確定數據偏差。

Step2：生成數據加權選項，對所有錯誤數據根據矩陣內容按照數據行列要求求和，得到數據元素的度，計算方法參考式（6）～式（10）。根據數據元素度和滲透率加權。

Step3：數據比特級識別。統計不同數據單位的SEU滲透率并組織排序，滲透率越高，其數據脆弱性也越高。

Step4：系統模塊級識別。統計當前模塊的平均節點數量，對模塊矩陣求平均值，其節點越高對應脆弱性越高。

Step5：網絡系統信號級識別。基于節點度的分布，根據局部特征篩選，并考慮平均錯誤率對當前數據系統影響程度，加權平均滲透率，計算公式為：

式中：[Di]為模塊[i]的數據總數;[Pi]表示模塊[i]的平均滲透率。

2? 實驗數據分析

進行分布式網絡連續數據流脆弱點識別實驗，需要進行以下操作：

1） 選擇需要識別的網絡區域;

2） 選擇錯誤類型和識別位置;

3） 選擇錯誤觸發方式，包括數據流脆弱點類型;

4） 記錄可回收變量，包括內存區域和集群事件的值;

5） 創建策略文件生成結果分析器。

實驗采用SAVIE運行程序執行識別，該程序可以劃分為四個功能區，包括數據結果的顯示和數據圖生成等。脆弱數據流樣本根據八位二進制數據表來表示，其平均值如表1所示。

根據表1給出的數據流脆弱點樣本可以看出，高位數據錯誤更具有錯誤滲透率，因為高位數據流脆弱點的數據破壞性更強。同時，說明各網絡模塊具有明顯的差異性。對其進行識別對比，結果如圖4所示。

根據實驗數據對比結果可以看出：單純決策樹識別方法的識別度系數在0.5～0.7之間，另一種Markov數據鏈識別方法同樣介于該區間內，但是波動較大，而此次設計的分布式網絡下識別方法其識別度系數達到了0.9左右，提高幅度非常明顯，證明了其有效性。

3? 結? 語

連續數據流的安全性是計算機應用安全的前提，連續數據流脆弱點會直接影響數據應用效果。對其有效識別可以規避安全應用風險，保證網絡健康應用。本文設計基于分布式網絡多層架構，根據連續數據流脆弱點錯誤傳輸特征，提出對應識別方法，經過實驗證實可以有效提高識別度。

參考文獻

[1] 侯春多.關于無線網絡通信脆弱點實時提取仿真[J].計算機仿真，2018，35（6）：321?324.

[2] 李煥.關于無線網絡中分布式入侵檢測系統的混合體系架構研究[J].自動化技術與應用，2018，37（5）：52?55.

[3] 劉海燕，張鈺，畢建權，等.基于分布式及協同式網絡入侵檢測技術綜述[J].計算機工程與應用，2018，54（8）：1?6.

[4] 王紅凱，黃海潮，毛冬，等.基于devops的多載體數據流傳輸路徑標定方法[J].電子設計工程，2019，27（11）：123?127.

[5] 衛彥伉，王大鳴，崔維嘉.一種引入復雜網絡理論的軟件數據流脆弱點識別方法[J].計算機應用研究，2015，32（4）：1100?1103.

[6] 楊洋，劉旭，劉藝林，等.基于貝葉斯定理的能源供應網絡脆弱性研究[J].統計與決策，2018，34（16）：35?39.

[7] 趙丹丹，陳興蜀，金鑫.KVM Hypervisor安全能力增強技術研究[J].山東大學學報（理學版），2017，52（3）：38?43.

[8] 周季璇，顧巧云，鳳丹.面向OSPF脆弱點的分節點污染方法研究[J].計算機技術與發展，2018，28（5）：122?126.

[9] 王健，趙國生，趙中楠，等.面向SDN的脆弱性擴散形式化建模與擴散因素分析[J].計算機研究與發展，2018，55（10）：2256?2268.

[10] 仝武寧，劉道華，李宏斌.異構分布式系統中實時可任意切分任務調度算法[J].信陽師范學院學報（自然科學版），2018，31（3）：479?483.

[11] 張瑩，步曉亮，李強，等.基于交換中心的分布式系統數據同步技術[J].通信技術，2018，51（2）：365?369.

[12] 宋守信，許葭，陳明利，等.脆弱性特征要素遞次演化分析與評價方法研究[J].北京交通大學學報（社會科學版），2017，16（2）：57?65.