基于可信密碼模塊的網(wǎng)絡(luò)潛在攻擊挖掘研究

匡鳳飛，張德富

(1. 閩南科技學(xué)院，福建 泉州 362332；2. 廈門(mén)大學(xué)，福建 廈門(mén) 361005)

1 引言

根據(jù)國(guó)家互聯(lián)網(wǎng)信息中心公布的信息數(shù)據(jù)顯示，網(wǎng)絡(luò)攻擊的趨勢(shì)有所上升，其給互聯(lián)網(wǎng)用戶(hù)帶來(lái)巨大的潛在威脅，甚至?xí)橛脩?hù)造成難以估計(jì)的損失[1]。為了使用戶(hù)能夠更加安全地應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)，避免用戶(hù)受到網(wǎng)絡(luò)攻擊，對(duì)網(wǎng)絡(luò)中潛在網(wǎng)絡(luò)攻擊進(jìn)行挖掘至關(guān)重要。

在此次研究中，根據(jù)可信密碼模塊提出了相應(yīng)的網(wǎng)絡(luò)潛在攻擊挖掘方法。通過(guò)文獻(xiàn)研究可知，可信密碼模塊屬于硬件配置，它是基于國(guó)家密碼局自主加密算法構(gòu)建[2-3]。平臺(tái)為用戶(hù)提供專(zhuān)屬私密存儲(chǔ)區(qū)，其實(shí)就是在硬盤(pán)上分出一部分區(qū)域來(lái)作為私密區(qū)域保證數(shù)據(jù)安全。在此次設(shè)計(jì)中，使用此模塊著重研究了網(wǎng)絡(luò)攻擊的原型，并將其應(yīng)用在網(wǎng)絡(luò)攻擊的挖掘之中。同時(shí)，將異常檢測(cè)與濫用性檢測(cè)分開(kāi)處理，提升攻擊挖掘結(jié)果的可靠性。通過(guò)將可信密碼模塊作為切入點(diǎn)，設(shè)計(jì)基于可信密碼模塊的網(wǎng)絡(luò)潛在攻擊挖掘方法，彌補(bǔ)目前使用中的網(wǎng)絡(luò)潛在攻擊挖掘方法的缺陷，提升用戶(hù)網(wǎng)絡(luò)的使用安全。

2 基于可信密碼模塊的網(wǎng)絡(luò)潛在攻擊挖掘方法設(shè)計(jì)

在此次研究展開(kāi)前，首先對(duì)目前使用中的網(wǎng)絡(luò)潛在攻擊挖掘方法應(yīng)用情況展開(kāi)全面系統(tǒng)的分析，充分的研究了此方法的不足，并根據(jù)此不足之處展開(kāi)此次設(shè)計(jì)，具體設(shè)計(jì)流程見(jiàn)圖1。

圖1 網(wǎng)絡(luò)潛在攻擊挖掘方法設(shè)計(jì)流程

根據(jù)上述設(shè)定的流程，應(yīng)用可信密碼模塊作為網(wǎng)絡(luò)潛在攻擊挖掘的輔助性技術(shù)，彌補(bǔ)目前應(yīng)用方法在使用中的不足，并提升網(wǎng)絡(luò)潛在攻擊挖掘能力。

2.1 構(gòu)建可信密碼模塊管理器

此次設(shè)計(jì)將通過(guò)構(gòu)建可信密碼模塊管理器，實(shí)現(xiàn)可信密碼模塊的使用。由于網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，且管理難度較大，原始的可信服務(wù)器無(wú)法為大量的網(wǎng)絡(luò)虛擬機(jī)提供可信服務(wù)。為對(duì)此功能展開(kāi)優(yōu)化，在此次設(shè)計(jì)中將設(shè)定多個(gè)處理芯片，優(yōu)化管理器結(jié)構(gòu)，并設(shè)定合理的管理方案。

此次設(shè)計(jì)的虛擬可信密碼模塊管理器是根據(jù)目前在其它網(wǎng)絡(luò)中使用的可信服務(wù)器優(yōu)化而言，其中可信芯片虛擬化構(gòu)架的主體部分。且大部分的實(shí)例都需要在非服務(wù)器的控制下完成基礎(chǔ)工作。在此次設(shè)計(jì)中將主要對(duì)vTCM實(shí)例[4-5]展開(kāi)設(shè)計(jì)，并將其與虛擬管理器之間進(jìn)行信息交互對(duì)應(yīng)關(guān)聯(lián)，并為可信保障服務(wù)提供一定的信息基礎(chǔ)。在此次設(shè)計(jì)中將vTCM實(shí)例中，共設(shè)定兩部分，首先是實(shí)例中需要的數(shù)據(jù)信息，另一部分設(shè)定為實(shí)例的功能。在管理器的硬件設(shè)計(jì)中，需要對(duì)使用的芯片展開(kāi)系統(tǒng)的選型，其主要部分由靜態(tài)數(shù)據(jù)組成，其中包含大部分的PCR值、密鑰、數(shù)據(jù)對(duì)象、計(jì)數(shù)器等。因此，在vTCM實(shí)例需要對(duì)數(shù)據(jù)展開(kāi)處理，同時(shí)用于保存可信服務(wù)中的網(wǎng)絡(luò)狀態(tài)。通過(guò)文獻(xiàn)研究可知，vTCM實(shí)例的數(shù)據(jù)狀態(tài)翻譯了TCM實(shí)例中除了狀態(tài)數(shù)據(jù)外，還應(yīng)包含相應(yīng)的實(shí)例模塊中的所有對(duì)象，并完成功能調(diào)用。在此設(shè)計(jì)中的vTCM管理器內(nèi)部構(gòu)造設(shè)定如下。

圖2 vTCM管理器內(nèi)部構(gòu)造設(shè)定結(jié)果

在上述設(shè)定的vTCM管理器中，vTCM實(shí)例中所應(yīng)用的功能，通過(guò)調(diào)用硬件中的TCM芯片完成所有功能，在某種程度上認(rèn)為硬件TCM芯片是一種可共享的資源，如何解決TCM芯片的可信度是一種急需解決的問(wèn)題。在網(wǎng)絡(luò)信息處理的過(guò)程中TCM芯片正在使用過(guò)程中，則當(dāng)前的vTCM實(shí)例需要等待。如果在vTCM實(shí)例中的表示正在被TCM芯片處理，則需要驗(yàn)證 vTCM管理器中的表示與vTCM實(shí)例的表示是否一致。如果一致的情況下可進(jìn)行網(wǎng)絡(luò)信息傳輸與交換，如果不一致的情況，則需要展開(kāi)相應(yīng)的預(yù)警或是報(bào)錯(cuò)，將當(dāng)前的vTCM標(biāo)識(shí)狀態(tài)進(jìn)行更改，或設(shè)定為未使用狀態(tài)。通過(guò)上述設(shè)定，完成可信密碼模塊的基礎(chǔ)設(shè)計(jì)，并在此基礎(chǔ)上完成網(wǎng)絡(luò)潛在攻擊挖掘過(guò)程。

2.2 網(wǎng)絡(luò)信息相似度計(jì)算

根據(jù)上述設(shè)定的可信密碼模塊作為此次網(wǎng)絡(luò)潛在攻擊的挖掘基礎(chǔ)，在此次設(shè)計(jì)中將可信密碼模塊處理后的數(shù)據(jù)信息采用AP算法[6]的形式，計(jì)算其相似度，對(duì)可能為威脅信息的數(shù)據(jù)進(jìn)行篩選。網(wǎng)絡(luò)數(shù)據(jù)具有多種相似度計(jì)算形式，為提升數(shù)據(jù)處理速度，采用距離測(cè)度的方式，完成此次研究的計(jì)算過(guò)程。設(shè)定處理后的數(shù)據(jù)集為A，在其中具有S個(gè)網(wǎng)絡(luò)數(shù)據(jù)樣本，每個(gè)數(shù)據(jù)樣本中包含P個(gè)屬性，則通過(guò)矩陣的形式可體現(xiàn)為

(1)

采用dij表示數(shù)據(jù)點(diǎn)ai與aj之間的距離，根據(jù)網(wǎng)絡(luò)數(shù)據(jù)特征，采用明氏距離計(jì)算兩數(shù)據(jù)點(diǎn)之間的距離，具體公式如下所示

(2)

通過(guò)此公式可得到數(shù)據(jù)組之間的距離，為提升相似度計(jì)算結(jié)果的精準(zhǔn)度，將數(shù)據(jù)組細(xì)化為數(shù)據(jù)樣本ai與aj，則兩數(shù)據(jù)點(diǎn)之間的相似度計(jì)算公式可顯示為

(3)

根據(jù)上述公式。可將兩數(shù)據(jù)點(diǎn)之間的相似度進(jìn)行計(jì)算，則數(shù)據(jù)之間的構(gòu)造相似度矩陣可表示為

(4)

在此次設(shè)計(jì)中，使用Q(i，j)表示數(shù)據(jù)樣本ai與數(shù)據(jù)點(diǎn)aj之間的相似程度。對(duì)于任意一個(gè)數(shù)據(jù)樣本點(diǎn)ao，Q(o，o)表示此樣本點(diǎn)ao的偏向參數(shù)。通過(guò)文獻(xiàn)研究可知，偏向參數(shù)取值范圍越大，此樣本點(diǎn)成為此類(lèi)數(shù)據(jù)的代表點(diǎn)可能性越大。在此類(lèi)聚類(lèi)算法的初始階段，將每個(gè)樣本點(diǎn)都視作網(wǎng)絡(luò)中的潛在威脅數(shù)據(jù)，每個(gè)數(shù)據(jù)樣本點(diǎn)成為潛在威脅數(shù)據(jù)代表數(shù)據(jù)的可能性均相同。因此，在上述中設(shè)定Q(o，o)的可能性取值均設(shè)為p，在一般的情況下，p值取為Q的中間值。通過(guò)上述公式可在眾多的數(shù)據(jù)中，對(duì)比數(shù)據(jù)之間的關(guān)系，提取出部分可能為潛在威脅的數(shù)據(jù)。

2.3 確定網(wǎng)絡(luò)潛在威脅數(shù)據(jù)

根據(jù)矩陣(4)提取出部分潛在威脅數(shù)據(jù)，在此部分?jǐn)?shù)據(jù)中具有一定的吸引度與歸屬度[7-8]，通過(guò)公式可對(duì)其展開(kāi)計(jì)算，并通過(guò)公式可表示為

U(i，o)=Q(o，o)-max{A(i，j)+Q(i，j)}

(5)

(6)

在上述公式中，式(5)表示數(shù)據(jù)的吸引度，式(6)表示數(shù)據(jù)的歸屬度，通過(guò)此兩個(gè)公式的計(jì)算可確定威脅數(shù)據(jù)點(diǎn)的代表性，并由此計(jì)算結(jié)果確定威脅數(shù)據(jù)的種類(lèi)。在此部分計(jì)算結(jié)束后，需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行更新，更新過(guò)程通過(guò)公式可表示為

Ui+1(i，o)=(1-β)U(i，o)+βUi-1(i，o)

(7)

Ei+1(i，o)=(1-β)E(i，o)+βEi-1(i，o)

(8)

在上式中，β表示阻尼函數(shù)，其取值區(qū)間在此次計(jì)算過(guò)程中設(shè)定為[0，1)。通過(guò)上述公式完成潛在威脅數(shù)據(jù)的挖掘部分。使用上述的挖掘成果，通過(guò)告警關(guān)聯(lián)技術(shù)構(gòu)建網(wǎng)絡(luò)告警日志，并使用相應(yīng)的技術(shù)，將其設(shè)定為整體的形式，以便于日后的研究與分析。在此次設(shè)計(jì)中，將告警信息的關(guān)聯(lián)性拓展能力作為告警日記[9-11]設(shè)定的主要要求，同時(shí)在保證告警日記合理性的同時(shí)，保證報(bào)警開(kāi)銷(xiāo)具有一定的經(jīng)濟(jì)性與告警的有效性。由于網(wǎng)絡(luò)潛在威脅數(shù)據(jù)具有一定的關(guān)聯(lián)性，因此需要使用神經(jīng)網(wǎng)絡(luò)計(jì)算內(nèi)容，將告警日記的相關(guān)內(nèi)容進(jìn)行連接，以此完成網(wǎng)絡(luò)潛在攻擊挖掘的整體過(guò)程。

對(duì)上述設(shè)定部分進(jìn)行整合與分析，并將其與目前使用中的網(wǎng)絡(luò)潛在攻擊挖掘方法進(jìn)行結(jié)合，至此，基于可信密碼模塊的網(wǎng)絡(luò)潛在攻擊挖掘方法設(shè)計(jì)完成。

3 實(shí)驗(yàn)論證分析

3.1 實(shí)驗(yàn)環(huán)境

在此次研究中，主要完成了基于可信密碼模塊的網(wǎng)絡(luò)潛在攻擊挖掘方法的設(shè)計(jì)過(guò)程。在此次實(shí)驗(yàn)中，主要對(duì)文中設(shè)計(jì)方法的使用效果展開(kāi)研究，同時(shí)將其與目前使用中的網(wǎng)絡(luò)潛在攻擊挖掘方法使用效果進(jìn)行橫向?qū)Ρ?。為了測(cè)定文中設(shè)計(jì)方法的使用效果與應(yīng)用過(guò)程的合理性，在此實(shí)驗(yàn)中將對(duì)文中設(shè)計(jì)方法與目前使用中的方法進(jìn)行應(yīng)用型實(shí)驗(yàn)。在實(shí)驗(yàn)的過(guò)程中，將實(shí)驗(yàn)環(huán)境的技術(shù)參數(shù)設(shè)定如表所示。

表1 實(shí)驗(yàn)環(huán)境技術(shù)參數(shù)

使用上述技術(shù)參數(shù)，完成實(shí)驗(yàn)設(shè)備的選型與實(shí)驗(yàn)平臺(tái)的組建，將實(shí)驗(yàn)數(shù)據(jù)的存儲(chǔ)與處理使用MY SQL軟件作為數(shù)據(jù)庫(kù)，同時(shí)采用Python語(yǔ)言作為實(shí)驗(yàn)開(kāi)發(fā)語(yǔ)言完成實(shí)驗(yàn)的處理與計(jì)算過(guò)程。將實(shí)驗(yàn)網(wǎng)絡(luò)主要開(kāi)發(fā)工具設(shè)定為PyCharm。并將實(shí)驗(yàn)網(wǎng)絡(luò)設(shè)定為下述結(jié)構(gòu)，提升實(shí)驗(yàn)數(shù)據(jù)處理能力，便于操作。

圖3 實(shí)驗(yàn)網(wǎng)絡(luò)架構(gòu)設(shè)定結(jié)果

使用上述設(shè)定的網(wǎng)絡(luò)架構(gòu)作為實(shí)驗(yàn)的主要環(huán)境。在此次實(shí)驗(yàn)中使用的數(shù)據(jù)集主要為網(wǎng)絡(luò)入侵挖掘檢測(cè)的權(quán)威數(shù)據(jù)集DAPPA，其來(lái)源于麻省理工學(xué)院的實(shí)驗(yàn)室中，在此次實(shí)驗(yàn)過(guò)程中選用編號(hào)為L(zhǎng)LDOS 1.0的數(shù)據(jù)集作為測(cè)試數(shù)據(jù)，其中包含大量的典型網(wǎng)絡(luò)攻擊數(shù)據(jù)，符合此次研究的目的。通過(guò)上述部分，完成實(shí)驗(yàn)過(guò)程。

3.2 實(shí)驗(yàn)方案設(shè)計(jì)

在此次實(shí)驗(yàn)過(guò)程中，首先從麻省理工學(xué)院獲取原始的實(shí)驗(yàn)數(shù)據(jù)集，而后，使用對(duì)應(yīng)的軟件對(duì)LLDOS 1.0數(shù)據(jù)集中的數(shù)據(jù)進(jìn)行重放操作。此次使用的數(shù)據(jù)處理軟件為開(kāi)源數(shù)據(jù)入侵檢測(cè)軟件，可以對(duì)數(shù)據(jù)流量分析，并對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行合理的處理，設(shè)定靈活的規(guī)則庫(kù)。而后，對(duì)數(shù)據(jù)集中的數(shù)據(jù)進(jìn)行搜索與匹配，使用文中設(shè)計(jì)方法與目前使用中的挖掘方法對(duì)數(shù)據(jù)集中潛在的攻擊進(jìn)行挖掘。

在此次實(shí)驗(yàn)過(guò)程中，主要對(duì)文中設(shè)計(jì)方法與目前使用方法的無(wú)效警告消除情況、計(jì)算機(jī)CPU占用率以及挖掘時(shí)間展開(kāi)對(duì)比。在此實(shí)驗(yàn)中，主要通過(guò)數(shù)據(jù)包的增加過(guò)程，提升實(shí)驗(yàn)的可靠性與真實(shí)性。

3.3 警告數(shù)量實(shí)驗(yàn)結(jié)果分析

通過(guò)上述實(shí)驗(yàn)結(jié)果可知，使用實(shí)驗(yàn)中的方法后，無(wú)效數(shù)量都得到了一定的下降。但通過(guò)橫向?qū)Ρ瓤芍?，文中設(shè)計(jì)方法下降幅度更大。使用文中設(shè)計(jì)方法后，警報(bào)日志的數(shù)量由原始的1000下降到350條，無(wú)效警告消除率高達(dá)75%，其警告的正確率也達(dá)到了95%以上。相對(duì)于文中設(shè)計(jì)方法，目前使用的挖掘方法無(wú)效警告消除率相對(duì)較低，且警告的正確率沒(méi)有達(dá)到預(yù)定的高度。綜合上述實(shí)驗(yàn)結(jié)果可知，在此指標(biāo)的對(duì)比過(guò)程中文中設(shè)計(jì)方法優(yōu)于目前使用中的方法。

圖4 警告數(shù)量實(shí)驗(yàn)結(jié)果

3.4 計(jì)算機(jī)CPU占用率實(shí)驗(yàn)結(jié)果

通過(guò)上述實(shí)驗(yàn)結(jié)果可知，文中設(shè)計(jì)方法在使用中對(duì)于計(jì)算機(jī)CPU占用率較低，隨著數(shù)據(jù)量的不斷增加，文中設(shè)計(jì)方法的CPU占用率一直維持在一個(gè)水平線(xiàn)上，沒(méi)有出現(xiàn)大幅度的變化。使用目前應(yīng)用中的估計(jì)挖掘方法出現(xiàn)CPU占用率激增的情況。同時(shí)，在數(shù)據(jù)量不斷增加的過(guò)程中，目前使用中的方法出現(xiàn)CPU占用率變化過(guò)快的問(wèn)題。在實(shí)際的潛在攻擊挖掘過(guò)程中，計(jì)算機(jī)CPU占用率變化過(guò)快會(huì)造成系統(tǒng)崩塌的問(wèn)題。因此，在日后的研究中應(yīng)多采用文中設(shè)計(jì)方法作為主要的處理方案，以此保證計(jì)算機(jī)網(wǎng)絡(luò)的穩(wěn)定性。

圖5 計(jì)算機(jī)CPU占用率

3.5 潛在威脅挖掘時(shí)間實(shí)驗(yàn)結(jié)果

將講述兩部分實(shí)驗(yàn)中消耗的時(shí)間作為此部分實(shí)驗(yàn)指標(biāo)對(duì)比內(nèi)容，通過(guò)上述數(shù)據(jù)可以看出，文中設(shè)計(jì)方法在對(duì)網(wǎng)絡(luò)潛在攻擊進(jìn)行挖掘時(shí)，所消耗的時(shí)間較短。隨著數(shù)據(jù)量的不斷增加，文中設(shè)計(jì)方法在進(jìn)行攻擊挖掘的過(guò)程中保持較好穩(wěn)定性，沒(méi)有出現(xiàn)挖掘時(shí)間波動(dòng)的問(wèn)題。但相對(duì)于文中設(shè)計(jì)方法，目前在使用過(guò)程中的方法在數(shù)據(jù)量不斷在增加的過(guò)程中出現(xiàn)消耗時(shí)間過(guò)長(zhǎng)的問(wèn)題。由此可見(jiàn)目前使用中的方法對(duì)于潛在威脅挖掘效率不高，在此實(shí)驗(yàn)指標(biāo)的對(duì)比過(guò)程中，文中設(shè)計(jì)方法優(yōu)于目前使用中的方法。

將警告數(shù)量實(shí)驗(yàn)結(jié)果、計(jì)算機(jī)CPU占用率實(shí)驗(yàn)結(jié)果以及潛在威脅挖掘時(shí)間實(shí)驗(yàn)結(jié)果綜合分析可知文中設(shè)計(jì)方法的使用效果優(yōu)于目前使用中的方法。在網(wǎng)絡(luò)安全研究方面可使用文中設(shè)計(jì)方法作為日后網(wǎng)絡(luò)防護(hù)方法設(shè)計(jì)的基礎(chǔ)。

圖6 潛在威脅挖掘時(shí)間實(shí)驗(yàn)結(jié)果

4 結(jié)束語(yǔ)

目前，可信密碼模塊成為信息安全研究中的熱點(diǎn)問(wèn)題。在此次研究中，總結(jié)了目前網(wǎng)絡(luò)潛在攻擊挖掘方法在使用中的不足，實(shí)驗(yàn)結(jié)果表明，警報(bào)日志的數(shù)量由原始的1000下降到350條，無(wú)效警告消除率高達(dá)75%，其警告的正確率也達(dá)到了95%以上，CPU占用率一直維持在一個(gè)水平線(xiàn)上，挖掘時(shí)間未出現(xiàn)波動(dòng)，本文將可信密碼模塊作為網(wǎng)絡(luò)潛在攻擊數(shù)據(jù)挖掘的基礎(chǔ)，力求達(dá)到一種更加有效的方法，為廣大網(wǎng)絡(luò)用戶(hù)提供更加有效的網(wǎng)絡(luò)安全保護(hù)技術(shù)。