基于物聯(lián)網(wǎng)的無線通信網(wǎng)絡(luò)節(jié)點(diǎn)安全性度量方法

羅 麗

（江西科技師范大學(xué) 理工學(xué)院 理工學(xué)科部，江西 南昌 330013）

0 引 言

網(wǎng)絡(luò)節(jié)點(diǎn)對信息傳播等機(jī)制具有高度影響，對網(wǎng)絡(luò)節(jié)點(diǎn)的安全性進(jìn)行度量，能有效控制節(jié)點(diǎn)對信息的傳播能力，保障無線通信網(wǎng)絡(luò)安全[1]。國外對無線通信網(wǎng)絡(luò)節(jié)點(diǎn)安全性的度量標(biāo)準(zhǔn)較多，如從管理角度制定BS 7799安全標(biāo)準(zhǔn)，在收集網(wǎng)絡(luò)節(jié)點(diǎn)配置信息后，提供漏洞、資產(chǎn)及風(fēng)險威脅等方面的度量方法，明確各個等級網(wǎng)絡(luò)節(jié)點(diǎn)的管理要求，主要實(shí)施內(nèi)容包括無線通信網(wǎng)絡(luò)的安全標(biāo)準(zhǔn)和普通警告，并在防護(hù)措施方面，提出一系列保護(hù)方法。國內(nèi)對網(wǎng)絡(luò)節(jié)點(diǎn)安全性的度量，以《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》（GB/T 22239—2008）安全等級保護(hù)基本要求為依據(jù)，根據(jù)其給出的度量流程和框架，明確節(jié)點(diǎn)各階段的風(fēng)險程度，并判斷其是否符合安全標(biāo)準(zhǔn)。但傳統(tǒng)網(wǎng)絡(luò)節(jié)點(diǎn)安全性度量方法未充分考慮無線通信網(wǎng)絡(luò)的特點(diǎn)，在對節(jié)點(diǎn)安全性進(jìn)行度量時，沒有結(jié)合無線通信網(wǎng)絡(luò)特性，導(dǎo)致度量波動較大，與無線通信網(wǎng)絡(luò)適應(yīng)性較差。為解決以上問題，設(shè)計(jì)基于物聯(lián)網(wǎng)的無線通信網(wǎng)絡(luò)節(jié)點(diǎn)安全性度量方法。物聯(lián)網(wǎng)可以根據(jù)無線傳感設(shè)備的相關(guān)協(xié)議，實(shí)現(xiàn)設(shè)備節(jié)點(diǎn)分布存儲等步驟，感知無線通信網(wǎng)絡(luò)中的節(jié)點(diǎn)位置，滿足網(wǎng)絡(luò)節(jié)點(diǎn)度量定位的技術(shù)需求，還可以將各種網(wǎng)絡(luò)連接起來，搜索并采集節(jié)點(diǎn)相關(guān)信息，在無線網(wǎng)絡(luò)中完成節(jié)點(diǎn)信息互換，實(shí)現(xiàn)智能化監(jiān)控管理[2]。

1 基于物聯(lián)網(wǎng)的無線通信網(wǎng)絡(luò)節(jié)點(diǎn)安全性度量方法設(shè)計(jì)

1.1 選定網(wǎng)絡(luò)節(jié)點(diǎn)

計(jì)算網(wǎng)絡(luò)節(jié)點(diǎn)對無線通信網(wǎng)絡(luò)的影響范圍，選擇出影響通信網(wǎng)絡(luò)安全的重要節(jié)點(diǎn)。首先采用傳播動力學(xué)，將關(guān)注點(diǎn)集中在節(jié)點(diǎn)相鄰信息或者節(jié)點(diǎn)自身信息上，對無線通信網(wǎng)絡(luò)進(jìn)行度量，考察網(wǎng)絡(luò)中該節(jié)點(diǎn)被破壞或刪除后，網(wǎng)絡(luò)連通性的排序方法是否會被破壞，以及網(wǎng)絡(luò)連通性是否變差，通過破壞性評價進(jìn)行深入分析。由于破壞某一節(jié)點(diǎn)時，與該節(jié)點(diǎn)相關(guān)聯(lián)的所有節(jié)點(diǎn)都會被刪除，因此，要從網(wǎng)絡(luò)局部特征出發(fā)，使用網(wǎng)絡(luò)節(jié)點(diǎn)的度指標(biāo)，計(jì)算節(jié)點(diǎn)影響網(wǎng)絡(luò)連通性的局部信息量，對節(jié)點(diǎn)情況進(jìn)行刻畫，找出造成直接影響的網(wǎng)絡(luò)節(jié)點(diǎn)[3]。設(shè)網(wǎng)絡(luò)節(jié)點(diǎn)為u，該節(jié)點(diǎn)的相鄰節(jié)點(diǎn)集合為Γ(u)，次相鄰節(jié)點(diǎn)數(shù)之和為N，最近相鄰節(jié)點(diǎn)數(shù)之和為W，則每層節(jié)點(diǎn)的局部集中度Q(u)的計(jì)算公式為：

將節(jié)點(diǎn)局部集中度作為影響網(wǎng)絡(luò)連通性的反饋程度，引入權(quán)重衰減因子，度量節(jié)點(diǎn)對其他節(jié)點(diǎn)施加影響作用的能力，對每個網(wǎng)絡(luò)節(jié)點(diǎn)的破壞程度賦予權(quán)重，并將其相鄰節(jié)點(diǎn)也作為一個反饋環(huán)節(jié)。根據(jù)無線網(wǎng)絡(luò)存儲的大量數(shù)據(jù)，將介數(shù)中心性作為節(jié)點(diǎn)安全重要性的評價指標(biāo)，當(dāng)破壞的節(jié)點(diǎn)局部集中度越接近中心性數(shù)值時，則處于中心地位的網(wǎng)絡(luò)節(jié)點(diǎn)，其對無線網(wǎng)絡(luò)通信網(wǎng)絡(luò)節(jié)點(diǎn)安全性的影響程度較大。經(jīng)過上述分析，在考慮安全性的前提下，完成重要網(wǎng)絡(luò)節(jié)點(diǎn)的選定。

1.2 基于物聯(lián)網(wǎng)識別節(jié)點(diǎn)整體風(fēng)險

基于物聯(lián)網(wǎng)技術(shù)，搜索以上重要節(jié)點(diǎn)的網(wǎng)絡(luò)和位置信息，對所有節(jié)點(diǎn)的整體風(fēng)險進(jìn)行識別。分別從網(wǎng)絡(luò)層面和拓?fù)鋱D角度對節(jié)點(diǎn)風(fēng)險進(jìn)行評估，結(jié)合無線通信網(wǎng)絡(luò)的特殊需求及實(shí)際情況，將網(wǎng)絡(luò)節(jié)點(diǎn)風(fēng)險的關(guān)鍵因子抽象出來，結(jié)合物聯(lián)網(wǎng)搜索的節(jié)點(diǎn)脆弱項(xiàng)的配置信息，如網(wǎng)絡(luò)節(jié)點(diǎn)風(fēng)險因子，以及與無線通信網(wǎng)絡(luò)的權(quán)重關(guān)系。

設(shè)無線通信網(wǎng)絡(luò)核心層風(fēng)險值為x1，匯聚層風(fēng)險值為x2，接入層風(fēng)險值為x3，計(jì)算網(wǎng)絡(luò)風(fēng)險值的函數(shù)為H，網(wǎng)絡(luò)節(jié)點(diǎn)風(fēng)險事件發(fā)生的概率為P，網(wǎng)絡(luò)脆弱性為C，無線通信網(wǎng)絡(luò)資產(chǎn)為z，網(wǎng)絡(luò)威脅為W，則網(wǎng)絡(luò)節(jié)點(diǎn)整體風(fēng)險值NR的計(jì)算公式為：

采用基線配置檢測工具對脆弱性進(jìn)行檢測。網(wǎng)絡(luò)脆弱性C共分為高、中、低3個級別。其中，高脆弱級別包括對靜態(tài)口令、通信分配權(quán)限、明文形式及設(shè)置口令的影響程度；中脆弱級別包括對網(wǎng)絡(luò)源地址、過濾操作、引起潛在危害、端口延遲時間、無線通信服務(wù)協(xié)議、任意主機(jī)訪問服務(wù)器、遠(yuǎn)程登錄密鑰的影響程度；低脆弱級別包括對配置文件、目標(biāo)端口、字符序列、目標(biāo)地址的影響程度。之后，控制脆弱項(xiàng)浮動范圍為0～1，取所有節(jié)點(diǎn)脆弱項(xiàng)的平均值。至此，完成基于物聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)節(jié)點(diǎn)整體風(fēng)險的識別過程。

1.3 度量網(wǎng)絡(luò)節(jié)點(diǎn)安全性等級

對網(wǎng)絡(luò)節(jié)點(diǎn)整體風(fēng)險進(jìn)行評估，判斷其在無線通信網(wǎng)絡(luò)中的安全等級。在常規(guī)安全評估流程的基礎(chǔ)上，選出屬性綜合值最大的網(wǎng)絡(luò)節(jié)點(diǎn)，引入無線通信網(wǎng)絡(luò)的整體風(fēng)險這個參數(shù)，將造成風(fēng)險狀態(tài)的轉(zhuǎn)移概率也納入評估范圍，將節(jié)點(diǎn)屬性信息和割邊選擇作為潛在的風(fēng)險轉(zhuǎn)移路徑。為使評估結(jié)果更加準(zhǔn)確，將節(jié)點(diǎn)安全等級細(xì)化為1～5級。當(dāng)安全等級為高和很高時，則無線通信網(wǎng)絡(luò)節(jié)點(diǎn)安全能得到保障。至此完成了基于物聯(lián)網(wǎng)技術(shù)的無線通信網(wǎng)絡(luò)節(jié)點(diǎn)安全性度量方法設(shè)計(jì)。

2 實(shí)驗(yàn)論證分析

為驗(yàn)證上述設(shè)計(jì)方法的有效性，與傳統(tǒng)無線通信網(wǎng)絡(luò)節(jié)點(diǎn)安全性度量方法進(jìn)行對比分析。

2.1 實(shí)驗(yàn)過程

用OPNET軟件模擬無線通信網(wǎng)絡(luò)拓?fù)洌罁?jù)安全基線配置檢測工具，在無線傳感器網(wǎng)絡(luò)中建立n個仿真節(jié)點(diǎn)，模擬無線通信網(wǎng)絡(luò)數(shù)據(jù)交互的場景。選取CISC07609路由器，將網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)置為亞攻擊性惡意節(jié)點(diǎn)，存在access綁定設(shè)備脆弱項(xiàng)，表現(xiàn)惡意節(jié)點(diǎn)相對復(fù)雜的真實(shí)攻擊行為，對信息網(wǎng)絡(luò)進(jìn)行分層。將特殊字段填充至網(wǎng)絡(luò)環(huán)境MSDU部分，使所有網(wǎng)絡(luò)節(jié)點(diǎn)生成節(jié)點(diǎn)時間序列集，為使模擬實(shí)驗(yàn)更加真實(shí)化，使用協(xié)議棧MAC命令幀的報文結(jié)構(gòu)，其節(jié)點(diǎn)包括幀控制、命令類型、命令載荷，并對序列集進(jìn)行賦值。

將網(wǎng)絡(luò)節(jié)點(diǎn)的時間序列作為輸入數(shù)據(jù)，將處在核心層的V3識別作為風(fēng)險值最高的節(jié)點(diǎn)，考慮高速轉(zhuǎn)發(fā)和路由能力，以及造成節(jié)點(diǎn)安全性度量效果的差異，設(shè)置大量外接接口，模擬一個聚類過程輸出最終度量結(jié)果，加入無線通信網(wǎng)絡(luò)整體風(fēng)險的參數(shù)。另兩種度量方法分析設(shè)置的變量參數(shù)，對網(wǎng)絡(luò)節(jié)點(diǎn)整體安全性進(jìn)行度量，投入來保護(hù)V3的安全。

2.2 實(shí)驗(yàn)結(jié)果

本文提出的方法與傳統(tǒng)方法的節(jié)點(diǎn)權(quán)重如表1所示。

表1 節(jié)點(diǎn)風(fēng)險值計(jì)算結(jié)果

為保證對比實(shí)驗(yàn)的準(zhǔn)確性，設(shè)置節(jié)點(diǎn)序列長度分別為50～300，選擇幾個不同的長度值來進(jìn)行比較，作為實(shí)驗(yàn)關(guān)注范圍。由于長度不同，其分析結(jié)果精度也有所不同，因此要不斷增加節(jié)點(diǎn)度量的開銷和運(yùn)算時間。記錄兩種度量方法對惡意節(jié)點(diǎn)的召回率，結(jié)果如表2所示。

表2 惡意節(jié)點(diǎn)的對比結(jié)果

由表2可知，兩種度量方法都能識別惡意節(jié)點(diǎn)的性能參數(shù)，從對比結(jié)果數(shù)據(jù)可以看出，網(wǎng)絡(luò)節(jié)點(diǎn)的召回率都隨序列長度而增加，對節(jié)點(diǎn)的誤判率降低，但本文方法的平均召回率為0.77%，而傳統(tǒng)方法對惡意節(jié)點(diǎn)的召回率則為0.86%，相比傳統(tǒng)方法召回率提高了0.09%，在惡意節(jié)點(diǎn)的識別度方面取得了較好效果。

保持網(wǎng)絡(luò)節(jié)點(diǎn)總數(shù)不變，改變無線通信網(wǎng)絡(luò)中惡意節(jié)點(diǎn)與正常節(jié)點(diǎn)的比例，記錄兩種度量方法對正常節(jié)點(diǎn)的召回率，結(jié)果如表3所示。

由表3可知，本文方法的平均召回率為0.17%，比傳統(tǒng)方法對惡意節(jié)點(diǎn)的召回率（0.09%）提高了0.06%。綜上所述，本文度量方法對網(wǎng)絡(luò)節(jié)點(diǎn)的召回率較低，有效提高了對節(jié)點(diǎn)判斷的精度。

表3 正常節(jié)點(diǎn)的對比結(jié)果

3 結(jié) 論

此次提出的度量方法充分發(fā)揮出了物聯(lián)網(wǎng)對網(wǎng)絡(luò)節(jié)點(diǎn)定位識別的優(yōu)勢，提高了對網(wǎng)絡(luò)節(jié)點(diǎn)安全性的度量準(zhǔn)確性。但此次提出方法在應(yīng)用無線通信網(wǎng)絡(luò)時，因?yàn)椴皇苜Y源的限制，對網(wǎng)絡(luò)節(jié)點(diǎn)的信譽(yù)管理較為簡單，管理機(jī)制不夠完善，在今后的研究中，會對該度量方法進(jìn)一步優(yōu)化，降低資源開銷，不改變精確性能的同時，使其更加適用于無線通信網(wǎng)絡(luò)。