航空自組網節點失效分析方法

謝麗霞，嚴莉萍，楊宏宇,2

（1. 中國民航大學計算機科學與技術學院，天津 300300；2. 中國民航大學安全科學與工程學院，天津 300300）

1 引言

隨著航空自組網（AANET，aeronautical Ad Hoc network）[1-3]在民用航空空中通信領域的廣泛應用，其面臨的網絡安全挑戰日益嚴峻。當發生AANET的網絡攻擊或設備損壞時，易引起節點失效波及反應[4]，從而對AANET的網絡通信質量造成嚴重影響。因此，研究AANET中節點失效波及反應，對提高AANET的應急處理能力和維護網絡安全具有重要意義。

面向AANET的網絡安全研究包括安全路由機制[5-6]、安全態勢預測[7]、依賴網絡建模[4,8-9]、波及影響分析方法[10-13]等領域。在依賴網絡建模方面，Buldyrev等[4]提出一一對應關系的依賴網絡模型，Shao等[8]提出多重對應關系的依賴網絡模型，Ma等[9]提出基于網絡間邏輯映射關系的復雜網絡建模方法。以上依賴網絡建模的方法僅關注節點間關聯關系，并未考慮節點本身的屬性。在波及影響分析方法方面，Li等[10]提出具有固定失效概率的經典失效傳播模型，但未考慮實際網絡節點失效概率的動態變化性。Wang等[11]提出傳統負載－容量模型并設定失效流量沿最短路徑傳輸，但未考慮AANET實際流量傳輸情況。負載－容量模型在網絡失效研究中的應用，為網絡信息傳輸節點失效引起的波及反應分析提供了可行的方法。Shen等[12]提出基于可變負載的依賴網絡節點失效波及影響分析模型，通過定義流量損失參數來計算與網絡現有資源相關的流量損失并分析實際相互依賴系統中失效傳播特性。韓麗等[13]提出基于加權無標度網絡的波及影響分析方法，按照節點權值再分配失效流量，但未考慮通信鏈路對網絡波及反應的影響。上述節點失效波及影響分析方法廣泛應用于電網、互聯網領域的節點失效波及影響分析，但針對不同時刻，節點的失效概率不唯一，且對于節點初始流量和節點業務處理能力不同的AANET，上述方法的節點失效波及影響分析效果不夠理想。

針對上述節點失效分析方法中存在的網絡建模不完全，未考慮網絡流量重分配對網絡波及影響等不足，本文提出一種AANET節點失效分析方法。

2 節點失效分析方法

AANET節點失效分析方法由非對稱依賴網絡建立模塊（ADNEM，asymmetric dependent network establish module）和波及影響分析模塊（AIAM，affecting impact analysis module）組成，該方法流程如圖1所示。

圖1 AANET節點失效分析方法流程Figure 1 The process of AANET node failure analysis method

兩個模塊的處理過程設計如下。

（1）ADNEM

首先，將AANET中傳輸數據的航空器節點作為實體節點，基于節點凝聚度計算節點權值，得到無向加權實體網絡。然后，將AANET通信系統的業務抽象為業務節點，基于節點影響力計算節點權值，得到有向加權業務網絡。最后，根據雙層網絡節點之間的映射關系，建立節點依賴矩陣，得到非對稱依賴網絡模型。

（2）AIAM

按照AANET特性分析受到波及影響的節點狀態，根據實時AANET數據計算鏈路生存性，并將鏈路生存性用于改進失效流量再分配算法，在所建非對稱依賴網絡模型上應用該算法，獲取失效節點集合和業務降級節點集合并用于網絡波及影響分析。

3 非對稱依賴網絡模型構建

本文以AANET為研究對象，將AANET抽象為實體網絡，將該網絡的通信系統業務流程抽象為業務網絡，根據網絡間映射關系建立一個非對稱依賴模型。網絡模型的構建過程如下。

（1）實體網絡構建

首先，構建實體網絡。實體網絡為無向帶權網絡，用GE=(VE,EE,WE)表示。VE表示實體節點集合，節點為各類民用航空器，共nE個節點；EE表示邊的集合，即實體節點之間存在的通信鏈路；WE表示實體節點權值的集合，節點權值由節點凝聚度決定。

然后，計算節點權值WE。權值W的計算方法設計如下。

設GE存在節點i，將i凝聚后的網絡表示為凝聚指用一個新節點表征節點和其所有鄰居節點[14]。因此，GE的凝聚度Φ用總節點數nE的倒數和網絡平均最短路徑長度ˉdE乘積表示。

其中，nE≥2，節點i和j間最短距離為di,j。節點凝聚度越大，失效后對網絡正常業務運行影響越大。由此，求得實體節點i的權值為

最后，用矩陣表示實體網絡。實體網絡由矩陣AE=[aij]nE×nE表示，對角線元素aii為實體節點權值，非對角線元素aij表示節點間的通信鏈路。若實體節點間存在通信鏈路，aij=1，否則，aij=0。

（2）業務網絡構建

首先，將業務流程抽象為業務網絡。在AANET中，實時通信系統運行的業務環節通過確定的執行順序關聯生成AANET業務流程，因此關聯的業務環節之間存在嚴格前后關系。將業務流程抽象為業務網絡，該網絡為有向帶權網絡，用GB=(VB,EB,WB)表示。VB表示業務節點集合，節點為通信系統業務，共nB個節點；EB表示邊的集合，即業務節點之間的有向關聯關系；WB表示業務節點權值的集合。

然后，計算業務節點權值WB。權值WB的計算方法如下。

AANET業務包括空中交通管制、飛行數據傳輸、航空器位置追蹤和機內娛樂。根據對網絡服務質量要求的不同，可依次將業務優先級（BP，business priority）劃分為1、2、3、4，其中1為最高級。AANET用戶包括管制人員、飛行人員、服務人員和乘坐人員，根據用戶身份不同，可依次將用戶影響力等級（UI，user impact）劃分為1、2、3、4。綜合考慮BP和UI因素，本文設計的節點固有影響力θi如表1所示。

表1 節點固有影響力Table 1 Node inherent impact

對節點固有影響力進行歸一化，得到節點對AANET網絡的固有影響力Inhi。Inhi可表示為

在AANET中，不同時刻節點的流量不同，因此，量化節點動態影響力時應考慮不同時刻節點實時流量。節點動態影響力Dyni由單位時間內節點業務流量占網絡業務總流量的比例表示，即

其中，FB表示單位時間內網絡處理業務流量，Fi表示節點i的業務流量，根據節點固有和動態影響力，業務節點權值由式(5)計算得到。

最后，用矩陣表示業務網絡。

AANET中的業務網絡由矩陣BB=[bij]nB×nB表示，AANET業務節點權值即為bii，i=1,2,...,n，AANET業務節點間有向關聯關系即為bij，i=1,2,...,nB，j=1,2,...,nB，若業務節點間存在關聯關系，bij=1，否則，bij=0。

（3）非對稱依賴模型構建

在AANET中，不同類型節點之間具有不同的關聯關系，因此，可將AANET抽象為業務－實體非對稱依賴網絡模型（如圖2所示）。

圖2 業務－實體非對稱依賴網絡模型Figure 2 Business-physical interdependent network model

AANET中通信業務依靠航空器搭載的網絡設備實現功能，航空器為業務的實現提供實體基礎，一旦航空器搭載的網絡設備失效，則相應通信業務也將失效。因此，必須明確業務節點和實體節點間的邏輯映射關系。將節點間映射關系表示為CR=[cij]nE×nB，若AANET中的實體節點和業務流程中的業務節點存在邏輯映射關系，則cij=1，否則cij=0。

通過實體網絡構建、業務網絡構建和非對稱依賴網絡模型構建3個過程，即可建立面向AANET的業務－實體非對稱依賴網絡模型，該模型用多元組EB=(GE,GB,CR)表示，其中，CR表示業務－實體網絡映射關系。

4 波及影響分析

4.1 相關定義

本文研究做出以下定義。

1) 正常節點W：符合系統要求并能正常完成相應功能的節點。

2) 業務降級節點D：不符合系統要求且僅能完成部分功能的節點，如帶寬降低、時延增大的節點。

3) 失效節點F：無法正常完成相應功能且會引起波及反應的節點。

4) 節點波及影響概率ρ：正常節點受到波及影響轉變為業務降級節點或失效節點的概率，轉換關系為

其中，W(ti)表示ti時刻正常節點集合，F(ti)表示失效節點集合，D(ti)表示業務降級節點集合。

4.2 節點失效影響分析

在AANET中，部分關鍵節點和骨干鏈路具有故障應急或災備能力。因此，當AANET中的關鍵節點或骨干鏈路發生故障或失效時，由冗余備份組件或災備組件接管節點或鏈路的核心業務功能。對于沒有配置冗余備份組件或災備組件的節點和鏈路，需要對各節點和鏈路上的業務流量進行重新分配，這樣易引起節點失效波及反應。因此，對AANET中節點初始流量、節點業務處理能力和失效流量再分配方式進行特性分析，可有效提高AANET節點失效波及影響分析的準確性。具體分析方法及其過程設計如下。

（1）節點初始流量和業務處理能力計算

AANET中，節點i在網絡中的位置不同，初始流量則不同，處于中心位置的節點一般具有較高流量。節點初始流量ξi由式（7）計算其中，α為可調參數，可調整節點度與鄰居節點度對波及效應的影響程度（α=0.5[15]），i的度由ki表示，鄰居節點j的度由kj表示，i的鄰居節點集合由Γi表示，ε用于控制節點度對初始流量的影響（ε=1）[16-17]。節點業務處理能力capi表示節點可處理業務量的最大值，可由式(8)計算得到。

其中，γ為容錯系數（γ=0.06）[16]，表示節點流量過載后的容錯能力。

（2）改進流量再分配算法

AANET中不同通信鏈路在發生網絡安全事件后，對失效流量的容錯能力不同，故本文提出使用鏈路生存性[18]量化網絡鏈路的生存能力。根據鏈路生存性改進失效流量再分配算法，該算法設計如下。

1) 在集合N= {ni|n1,n2,…,nn}中存儲所有鄰居節點。

2) 計算AANET中的鏈路持續時間。節點i坐標（x,y,z）表示為

其中，Nlon表示節點經度，Nlat表示節點緯度，Nalt表示節點高度，R表示地球半徑（R=6 371 km）。在Δt時間后，節點i的坐標表示為

其中，v表示節點速度，Ψ表示航跡角。同理可得鄰居節點j的坐標，則t0時刻節點i，j之間的距離為

當Δt=1時，AANET中的節點i和節點j的相離速度，則AANET中節點間的相離距離Δdi,j為

其中，r表示通信半徑，因此，節點i，j之間的鏈路持續時為

3)計算AANET中的鏈路剩余容量。用鏈路剩余容量表示AANET中鄰居節點i的剩余業務處理能力。

4) 計算AANET中的鏈路生存性Ri。

5)計算AANET中可用鏈路的平均鏈路生存性ˉR。

6) 根據AANET的鏈路生存性R，在AANET中選擇最優的備用鏈路。若Ri>ˉR，則認為該鏈路的生存性較高，為其分配流量；反之，則不分配流量。

7)根據式(17)的計算結果，將AANET中的失效流量ξ分配到AANET中的各可用節點[19]

其中，Δξi表示鄰居節點i的增加流量。

8)若因波及反應導致某個節點失效，則將新生成的失效節點加入失效節點集合F并轉至1)，直至AANET中沒有新失效節點的增加，停止循環。若因波及反應導致AANET中某個節點的業務降級，則將此節點加入降級節點集合D。

（3）節點波及影響分析

當AANET中某個節點流量不超過該節點的業務處理能力時，由式(17)推理可得其鄰居節點i可能接連失效的波及影響概率ρ為

AANET節點失效形式的不同，其對AANET的波及影響不同。根據失效模型與影響分析方法[20]和節點波及影響概率，本文確定了AANET節點波及影響等級（如表2所示）。

表 2 AANET節點波及影響等級Table 2 AANET node impact degree

依據表2中的量化指標ρ和對應的影響等級判斷AANET節點的狀態，當等級為“嚴重/S”或“高/H”，即0.6 <ρ< 1時，AANET節點為業務降級節點；當等級為“失效/F”，即ρ= 1時，AANET節點為失效節點；其余等級，即ρ≤0.6時，AANET節點均為正常節點。

（4）波及影響分析

AANET節點失效并產生波及反應后，受到影響的AANET其他節點的權值越高，則對AANET的波及影響越大，故AANET的網絡波及影響值為

其中，NB代表全部業務節點，NE代表全部實體節點。f值越高，表示AANET的網絡安全狀況越差。

之后，確定f值與AANET的波及影響對應關系（如表3所示），依據表3判定AANET節點失效對AANET的波及影響程度。

表3 AANET波及影響關系Table 3 AANET impact relationship

5 實驗與分析

5.1 實驗數據來源

為驗證本文方法的有效性，利用網絡仿真工具NS2進行仿真實驗獲取實驗數據[21]，仿真實驗中設置的關鍵參數如表4所示，仿真實驗過程如下。

表4 參數設置Table 4 Parameter settings

1) 編寫Otcl腳本，生成網絡初始場景并設置trace文件保持網絡數據信息。

2) 分別使用AODV（Ad Hoc on-demand distance vector routing）和SMURF（stochastic multipath UAV routing for FANET）[5]協議作為仿真網絡路由協議。

3) 根據攻擊方式設置初始失效節點。在隨機攻擊場景下，使用random函數選擇節點；在蓄意攻擊場景下，選擇權值最大的節點。

4) 利用gawk分析trace文件并統計仿真實驗中各時刻節點失效流量。

5.2 網絡模型建立

以基于AODV協議的仿真場景為例，建立非對稱依賴網絡模型。

（1）實體網絡構建

依據表4可知，此時AANET中共有20個實體節點和25條數據流，計算實體節點權值，結果如表5所示。構建20×20實體網絡鄰接矩陣AE為

表5 實體節點權值Table 5 Physical node weight

（2）業務網絡構建

由于每條通信鏈路傳輸一個業務，數據流傳輸信息具有固定方向，故可抽象出25個業務節點和24條有向關聯邊，計算得到業務節點權值如表6所示。

表6 業務節點權值Table 6 Business node weight

構建25×25的業務網絡鄰接矩陣BB為

（3）非對稱依賴網絡構建

根據雙層網絡節點間的映射關系，建立初始非對稱依賴網絡模型。構建20×25的業務－實體節點依賴矩陣CR為

5.3 AANET節點失效波及影響分析

以針對實體網絡的蓄意攻擊為例，在5.2節構建的網絡模型上對本文方法進行驗證。實驗場景為：當蓄意攻擊發生后，AANET中的節點1失效，并對節點1的失效流量進行再分配（如圖3所示）。

由圖3可見，節點1失效后，計算所有鄰居節點鏈路生存性，其中節點14和節點18鏈路生存性大于平均鏈路生存性0.5，因此節點14和節點18按照規則分配失效流量。

圖3 算法實例Figure 3 Algorithm example

此時，節點14和節點18的流量超過自身業務處理能力，引起自身失效，故開始新一輪失效流量再分配，繼續執行本文所提的改進流量再分配算法。在該實驗中，算法總迭代次數為6次，具體波及影響情況如圖4所示。

由于AANET面臨多種安全威脅，從實體層面分析，節點失效按故障原因可分為過應力性失效和耗損性失效。從網絡層面分析，攻擊者的惡意行為可能導致業務降級或節點失效。為提高波及影響分析的全面性，本文分別從兩個層面對網絡進行攻擊，在基于AODV協議和SMURF協議2種仿真實驗場景下，使用本文方法、WR模型[9]、FP模型[7]、ML模型[8]對不同攻擊方式下的NS2仿真網絡進行分析，得到節點失效波及影響結果，結果如圖4～圖8所示。

圖4 AODV協議場景下蓄意攻擊網絡波及影響情況Figure 4 The impact of deliberate attack networks in AODV scenario

圖8 SMURF協議場景下蓄意攻擊網絡波及影響情況Figure 8 The impact of deliberate attack networks in SMURF scenario

（1）業務網絡攻擊

由圖5～8可知，實際波及影響等級為“嚴重/S”，只有本文方法與WR模型的定性分析結果與實際情況一致。在業務網絡蓄意攻擊場景下，實際網絡節點全部失效造成網絡癱瘓，故實際波及影響等級為“嚴重/S”，且具有最大波及影響值。同時無論采用何種攻擊方式，本文方法得到的AANET波及影響定量分析結果和NS2仿真實驗結果最為相近。原因分析如下。

圖5 AODV協議場景下隨機攻擊網絡波及影響情況Figure 5 The impact of random attack networks in AODV scenario

1）失效傳播模型各節點失效概率固定不變，但AANET具有高動態的特性，各時刻節點失效概率不同，故模型分析準確性低。

2）負載－容量模型優先沿最短路徑傳輸失效流量，但實際AANET傳輸流量時根據路由規則不同，擇優選擇路徑，故模型分析效果不佳。

3）WR模型優先考慮節點權值對失效流量進行再分配，欠缺鏈路對實際流量影響方面的考量，造成分析結果與實際情況有所偏離，分析效果不夠理想。

圖6 AODV協議場景下蓄意攻擊網絡波及影響情況Figure 6 The impact of deliberate attack networks in AODV scenario

圖7 SMURF協議場景下隨機攻擊網絡波及影響情況Figure 7 The impact of random attack networks in SMURF scenario

4）本文方法在分析AANET特性的基礎上，建立AANET非對稱依賴網絡模型，在考慮網絡各時刻節點波及影響概率不同的前提下，對負載－容量模型進行改進，采用鏈路生存性作為選擇分配路徑的依據，符合網絡實際情況，從而提高網絡波及影響分析的準確性。

（2）實體網絡攻擊

由圖4和圖9～圖11可知，仿真AANET由于蓄意攻擊導致的網絡波及影響等級已達“嚴重/S”，在5個分析方法中，本文方法的分析結果與實際情況更為接近，表明本文方法具有更好的有效性與準確性，其原因分析如下。

圖9 AODV協議場景下隨機攻擊網絡波及影響情況Figure 9 The impact of random attack networks in AODV scenario

圖10 SMURF協議場景下隨機攻擊網絡波及影響情況Figure 10 The impact of random attack networks in SMURF scenario

圖11 SMURF協議場景下蓄意攻擊網絡波及影響情況Figure 11 The impact of deliberate attack networks in SMURF scenario

1）本文使用NS2網絡仿真平臺模擬AANET，網絡優先將失效流量分配至鏈路質量優的路徑。以運行SMURF路由協議的網絡為例，該協議為AANET專有協議，根據民用航空飛行器位置信息計算鏈路存在概率，并將此作為路由選擇指標。本文方法采用基于節點空間位置與鏈路剩余容量的鏈路生存性作為分析方法中失效流量分配路徑的依據，符合實際情況，因此分析結果更加準確。

2）在不同場景下，蓄意攻擊對網絡造成的波及影響均大于隨機攻擊。在通常情況下，AANET中的關鍵節點是蓄意攻擊方式的首要攻擊對象，而此類節點通常承擔較大的網絡流量，其失效后會產生令鄰居節點難以負荷的失效流量，從而對AANET造成更為嚴重的波及影響。

6 結束語

本文提出一種AANET節點失效分析方法，通過構建AANET非對稱依賴網絡模型和改進流量再分配算法獲取受影響節點集合，通過計算網絡波及影響值，得到AANET節點失效導致的波及影響。實驗結果表明，本文方法能有效地分析AANET的節點失效對網絡造成的波及影響。

隨著AANET的應用普及和系統復雜性的提高，需要考慮對數據通信業務的重要性和連續性的影響因素變化情況。為了實現對AANET節點失效波及影響的分析結果更為客觀、準確的目標，未來應在建立業務重要性和業務連續性評價指標體系的基礎上，對AANET的節點失效波及影響分析方法進行改進和完善。