AntiMNT:一種對抗多源網絡層析成像的拓撲混淆機制
2023-01-01 00:00:00林洪秀邢長友劉亞群丁科
計算機應用研究 2023年1期
摘要:作為一種典型的網絡拓撲推斷方法,網絡層析成像技術可以被攻擊者用來準確推斷目標網絡的拓撲結構,進而向關鍵節點或鏈路發起有針對性地攻擊行為。為了有效隱藏真實的網絡拓撲結構等信息,提出了一種基于主動欺騙方式對抗多源網絡層析成像探測的拓撲混淆機制AntiMNT。AntiMNT針對多源網絡層析成像的探測過程,策略性地構建虛假拓撲結構,并據此混淆攻擊者對目標網絡的端到端測量數據,使其形成錯誤的拓撲推斷結果。為了高效生成具有高欺騙特征的混淆網絡拓撲,AntiMNT隨機生成候選混淆拓撲集,并在此基礎上用多目標優化算法搜索具有高安全性和可信度的最優混淆拓撲。基于幾種真實網絡拓撲的實驗分析表明,AntiMNT可以生成高欺騙性和安全性的混淆網絡拓撲,從而能夠有效防御基于網絡層析成像的網絡偵察。
關鍵詞:拓撲混淆;網絡層析成像;拓撲推斷;欺騙防御
中圖分類號:TP393文獻標志碼:A文章編號:1001-3695(2023)01-040-0000-00
doi: 10.19734/j.issn.1001-3695.2022.04.0267
AntiMNT: topology obfuscation mechanism against multi-source network tomography
Lin Hongxiu, Xing Changyou," Liu Yaqun," Ding Ke
(Command amp; Control Engineering College, Army Engineering University of PLA, Nanjing 210007, China)
Abstract:
As a typical network topology inference method, network tomography can be used by attackers to accurately infer the topology of the target network, and then launch targeted attacks on key nodes or links. In order to effectively hide the real network topology and other information, this paper proposed a topology obfuscation mechanism AntiMNT based on active deception against multi-source network tomography detection. According to the detection process of multi-source network tomography, AntiMNT strategically built a fake topology, and confuses the attacker’s end-to-end measurement data of the target network accordingly, making it form a wrong topology inference result. In order to efficiently generate an obfuscated network topology with high deception characteristics, AntiMNT randomly generated a set of candidate obfuscated topologies, and on this basis, used a greedy algorithm to search for the optimal obfuscated topology with high security and credibility. Experimental analysis based on several real network topologies shows that AntiMNT can generate highly deceptive and secure obfuscated network topologies, which can effectively defend against network tomography-based network reconnaissance.
Key words:topology obfuscation; network tomography; topology inference; deception defense
0引言
根據探測到的目標網絡拓撲結構,網絡攻擊者可以設計并實施更有效的攻擊。例如,可以對網絡中的關鍵節點或關鍵鏈路發起分布式拒絕服務(distributed denial of service,DDoS)[1]、鏈路洪泛攻擊(link-flooding attack,LFA)[2]等精準攻擊行為。因此,網絡拓撲偵察推斷已經成為網絡攻擊殺傷鏈的重要一環。
一般而言,常用的網絡拓撲推斷方法主要分為兩種:基于traceroute的拓撲推斷[3]和基于網絡層析成像的拓撲推斷[4]。前者通過發送具有不同TTL(time to live)值的數據包,根據中間路由設備的響應信息來推斷網絡的拓撲結構[5]。而后者無須內部節點的協作,根據端到端測量的路徑性能信息(丟包率、時延等)即可推斷獲得網絡的拓撲結構[6]。
鑒于保護網絡拓撲結構避免被攻擊者偵察獲得的重要性,網絡拓撲混淆技術得到了廣泛關注,該技術通過構建虛假的網絡拓撲來欺騙攻擊者,隱藏真實的網絡拓撲和特征,進而有效降低攻擊者的攻擊效率和準確性。如通過偽造traceroute響應[7]、部署誘餌網絡[8]、路由突變[9]等來對抗基于traceroute的拓撲推斷;通過策略性地干擾路徑測量結果來對抗基于網絡層析成像的拓撲推斷等[10,11]。但目前圍繞對抗基于網絡層析成像的拓撲推斷研究主要聚焦于單源探測,對于如何處理更復雜的多源探測推斷問題仍存在較大的不足。
為此,本文主要研究如何構建一種對抗多源網絡層析成像的拓撲混淆方法,通過策略性地設計一個結構準確但與真實拓撲不同的混淆拓撲,并根據混淆拓撲的端到端路徑性能修改攻擊者探測數據包的時延,使攻擊者推斷得到虛假的網絡拓撲結構。實現這一目標主要面臨以下兩個挑戰:
挑戰1:在基于多源網絡層析成像的拓撲推斷方法中,攻擊者從多個源點發起探測行為,需要綜合考慮多個探測源之間的相關性,進而生成與目標網絡特征相似、結構不同的混淆網絡拓撲。
挑戰2:理論上,在一個具有N個節點的網絡中,可以生成O(2n2)種網絡拓撲,網絡拓撲混淆集合空間非常龐大,需要解決如何在巨大的搜索空間內找到最優混淆網絡拓撲。
為了解決以上難題,本文提出了一種對抗多源網絡層析成像的網絡拓撲混淆機制AntiMNT。針對挑戰1,AntiMNT根據攻擊者發起的M個源N個目的節點的探測行為,策略性地隨機生成一棵1×N源樹和M-1棵葉子節點隨機的樹,第二棵樹隨機在源樹上選取節點進行合并,根據這種方法依次將剩余的樹連接到已合并的網絡拓撲上。針對挑戰2,AntiMNT采用隨機搜索的方法,隨機生成若干混淆拓撲形成候選混淆拓撲集,使用多目標優化算法在候選混淆拓撲集中搜索最優混淆網絡拓撲。總的來說,本文的貢獻主要有以下兩點:
a)本文首次針對基于多源網絡層析成像的拓撲推斷,提出了一種網絡拓撲混淆方法,該方法可以快速生成具有高欺騙性和安全性的混淆網絡拓撲。
b)本文設計并實現了一個對抗多源網絡層析成像的拓撲混淆機制AntiMNT,通過偽造攻擊者的測量結果使其推斷出混淆網絡拓撲。幾種真實網絡拓撲的仿真實驗結果表明,AntiMNT能夠有效防御基于網絡層析成像的拓撲推斷。
1相關工作
網絡層析成像通過外部端到端測量來推斷目標網絡的拓撲結構, Ratnasamy等人[12]在測量網絡丟包率時觀察到節點相關性的特性,并根據接收端觀測到的丟包率相關性來推斷組播樹拓撲。除了丟包率外,其他的網絡性能參數也可以用來推斷網絡拓撲結構,如時延[13]、鏈路損失[14]等。
在單源多目的(1×N)的網絡層析成像中,Ni等人[15]分析了如何探測包獲得加性度量,并提出了一種根鄰居連接(rooted neighbor joining,RNJ)算法,根據端節點測量的加性度量推斷樹拓撲。Rabbat等人[16]在M個源節點和N個目的節點之間發送探測包,引入了多源多目的地(M×N)的網絡層析成像拓撲推斷的研究。理論分析證明,M×N拓撲可以分解成多個2×2拓撲的集合,通過組合2×2拓撲可以重構M×N拓撲。2×2拓撲是能夠同時描述匯聚節點和分支節點相對位置關系的最小拓撲結構,可以劃分為共享式和非共享式,非共享式又可細分為三類。Rabbat等人[17]提出了一種使用“背靠背”測量的探測方法,可以識別2×2拓撲是否為共享式。Sattaria等人[18]在此基礎上,利用網絡編碼進一步區分三種非共享式2×2拓撲,提升了M×N網絡層析成像拓撲推斷的準確性。
網絡層析成像通過端到端的測量技術來獲得網絡內部的特性,不需要網絡內部節點的合作,這隱含了一個前提條件,即在網絡外部觀察到的路徑測量信息真實反映了網絡內部鏈路性能信息。Zhao等人[19]提出端到端測量數據不一定反映了內部鏈路的真實信息,通過控制端到端測量結果可以使合法節點變成非法節點,成為損害網絡性能的“替罪羊”。作為網絡防御方,本文也可以通過控制攻擊者對目標網絡的端到端測量結果,來防御攻擊者使用網絡層析成像技術獲得準確的網絡拓撲信息。
Hou等人[10]設計了一個主動拓撲混淆系統ProTo,ProTo采用了先檢測后混淆的方法,用基于輕量級機器學習的分類器來識別攻擊者的探測包,拓撲混淆模塊主動延遲已識別的探測數據包,使攻擊者根據延遲后的測量結果獲得結構準確但虛假的網絡拓撲。但是ProTo的混淆拓撲是隨機生成的,存在一定的不確定性。Liu等人[11]針對這個問題設計了一個優化模型AntiTomo,該模型可以生成一個與真實網絡拓撲相似度較低的混淆網絡拓撲,能夠有效防御基于層析成像的網絡拓撲偵察。但是ProTo和AntiTomo生成的混淆網絡拓撲是樹型結構,只適用于單源網絡層析成像。
2基于多源網絡層析成像的拓撲推斷模型
多源網絡層析成像在多個源節點和目的節點之間發送探測包,將其建模成一個有向無環圖 GS×D,其中S代表探測源節點集合,D代表探測目的節點集合。例如,圖1為2×4的多源網絡層析成像拓撲推斷模型,源節點為S={S1,S2},目的節點為D={d1,d2,d3,d4}。GSi×D(i=1,…,M)代表一棵以Si為源節點的1×N的樹。
基于網絡層析成像的拓撲推斷主要分為測量端到端性能、計算相關性能、重構網絡拓撲三個步驟。首先,攻擊者從源節點向目的節點發送探測數據包。以圖1為例,攻擊者從源節點S1、S2發送探測數據包,通過網絡內部的不同路徑到達目的節點{d1,d2,d3,d4},在目的節點收集路徑性能相關信息,如丟包率、時延等。本文假設攻擊者使用端到端時延作為拓撲推斷的性能指標,可由“三明治”分組列車方法測量得到。
其次,根據目的節點測得的路徑性能相關性計算網絡節點間的相關性。節點對的路徑相關性能值越大,共享路徑越長,節點相關性越強。排隊時延滿足性能指標可加的特性,因此目的節點di和dj之間的相關時延ydi,dj是從源節點到目的節點di和dj的共享路徑上的排隊時延之和,相關時延和鏈路時延之間的線性關系可表示為
y=Rx(1)
其中:y為相關時延向量;x=[x1,x2,…,x|L|]T代表鏈路時延向量;xl表示鏈路l的時延;R代表路由矩陣,元素值為0或1,如果第i對共享路徑經過第j條鏈路則rij=1,否則為0。
最后,根據節點間的相關性值來推斷目標網絡的拓撲結構。M×N多源網絡層析成像拓撲推斷的過程主要分為兩步:首先根據單源網絡層析成像拓撲推斷的方法獲得每個源節點的1×N樹拓撲;然后通過探測不同源節點之間2×2拓撲的結構,從而將第一個源節點的1×N拓撲與第二個源節點的1×N拓撲合并,直到把M個1×N拓撲合并成M×N拓撲。網絡層析成像無法識別非分支節點,推斷的網絡拓撲為只含有分支節點和邏輯鏈路的邏輯拓撲。
3對抗多源網絡層析成像的網絡拓撲混淆模型
3.1概述
網絡層析成像技術根據目標網絡的相關時延推斷網絡拓撲,AntiMNT則通過將探測數據包的端到端時延修改為混淆拓撲的端到端時延,使攻擊者根據偽造的網絡相關時延推斷出虛假網絡拓撲。AntiMNT生成混淆拓撲主要分為以下三步:a)隨機生成若干與目標網絡的網絡特征相似的候選混淆網絡拓撲形成候選拓撲集;b)根據線性模型計算每個候選混淆拓撲的最優相關性能值;c)根據優化目標在候選拓撲集中選擇最優混淆拓撲。AntiMNT的原理如圖2所示。圖2(a)為網絡防御模型,AntiMNT根據真實網絡拓撲的結構和網絡特征隨機生成混淆網絡拓撲,計算混淆網絡拓撲的相關時延,并將攻擊者測量的網絡相關時延修改成混淆拓撲的相關時延。圖2(b)為攻擊者使用網絡層析成像對網絡拓撲進行偵察的攻擊模型,攻擊者根據混淆拓撲的網絡相關時延推斷出一個接近混淆拓撲的偽拓撲。
為了實現最優的防御效果,AntiMNT應從所有可能的拓撲中找出最優混淆拓撲。對于給定的n個節點,其可以構成一個大小的鄰接矩陣A,其中是A中的一個元素,aij=1,代表存在一條從節點i指向節點j的有向邊,aij=0,代表節點i到節點j不存在邊,那么對于給定的n個節點和m條邊構造圖,就相當于從個元素中隨機選擇m個元素。所以,給定的n個節點和m條邊,有Cmn2個可能的混淆拓撲。例如,一個目標網絡有50個節點、70條邊,其可能的混淆拓撲約為2.2×10137個。使用暴力搜索的方法找最優混淆拓撲幾乎是不可能實現的,本文只隨機搜索部分混淆拓撲,而不是所有可能的拓撲。
從數學的角度分析一下隨機搜索部分混淆拓撲的有效性。假設W為所有可能的混淆拓撲的集合,其中有w個拓撲圖。在W中隨機搜索r個混淆拓撲組成候選混淆拓撲集R,用P表示在R中至少有一個混淆拓撲的目標函數值在W中位于前k個的概率,則:
P=1-Crw-kCrw=1-(w-r)!(w-k)!w!(w-r-k)!=1-∏r-1i=0w-k-iw-i(2)
當w=2.2×10137,r=100,k=0.05w時,可以忽略i的影響,即P≈1-(w-k)/wr=1-0.95100≈0.99。這意味著隨機搜索100個混淆拓撲就能以99%的概率找到目標函數值在前5%的較優混淆拓撲,也表明隨機搜索部分拓撲可以生成接近最優的混淆拓撲,并大幅度減少生成混淆拓撲消耗的時間。
3.2優化目標
為了對真實網絡拓撲進行有效保護,AntiMNT存在以下優化目標:
a)欺騙性
為保證AntiMNT具備一定的可信度,混淆網絡拓撲的網絡特征應盡可能與真實網絡拓撲一致,如總節點數、鏈路數等。因此,約束混淆網絡拓撲和真實網絡拓撲的節點數量和鏈路數量的差分別小于δV、δL:
‖V′|-|V‖≤δV(3)
‖L′|-|L‖≤δL(4)
b)安全性
保持混淆拓撲的網絡特征與真實網絡拓撲一致,可以使混淆拓撲具有欺騙特性,但混淆網絡拓撲與真實網絡拓撲的區別越大,對真實網絡的保護越強,安全性越高。因此,在保持網絡特征一致的同時又要使混淆網絡拓撲和真實網絡拓撲盡量不同。多源網絡層析成像推斷的是圖型拓撲,衡量兩個圖之間相似性的常用指標是圖編輯距離(GED)[20]。圖編輯距離指將源圖編輯成目標圖所需的最小編輯操作代價值之和,代價值即距離值的計算是NP-hard問題,本文采用了時間復雜度較低的基于貪婪指派問題的算法[21]。本文定義了一個相似度分數來衡量真實網絡拓撲與混淆網絡拓撲之間的相似性:
simi(G,G′)=1-GED(G,G′)GED(G)+GED(G′)(5)
式(4)中,GED(G,G′)表示真實網絡拓撲圖G和混淆網絡拓撲圖 G′之間的圖編輯距離,GED(G)表示從頭構建混淆拓撲圖G的距離。Simi(G,G′)的范圍為[0,1],混淆網絡拓撲與真實網絡拓撲的差距越大,相似度分數越小。
c)可信度
AntiMNT采用延遲數據包的方式來改變攻擊者測量結果,網絡層析成像探測包具有高時空相關性,可使用流量檢測機制識別并控制攻擊者的探測包。在實際的操作中,降低數據包時延的操作較為困難,增加數據包的時延操作相對簡單,如在交換設備中將探測包存儲在特定的隊列中進行延遲操作。假設AntiMNT的混淆操作只增加探測包的相關時延,并且攻擊者觀察到的相關時延應在攻擊者不會發現異常的范圍內。令混淆拓撲的相關時延向量為y′,鏈路時延向量為x′,路由矩陣為R′,攻擊者最長等待時間為σmax,則
yi∈Rx,y′i∈R′x′,y′i≥yi(6)
y′i∈R′x′,y′i≤σmax(7)
其中:yi為目標網絡的第i對節點的相關時延;y′i為混淆拓撲中第i對節點的相關時延。只延遲探測包對網絡的整體性能影響很小,但不排除攻擊者可能會使用其他方法探測網絡,混淆拓撲相關時延與真實拓撲的相關時延差異越大,攻擊者發現異常的可能性就越大。因此,為了提高混淆拓撲的可信度,偽造的相關時延要盡可能接近真實的相關時延。用時延的增長率cred(G′)來表示AntiMNT的可信度:
cred(G′)=∑yi∈Rx;y′i∈R′x′y′iyi-1(8)
其中:cred(G′)的范圍為[0,+∞),混淆拓撲與真實網絡拓撲相同時,cred值為0。
d)高效性
真實的網絡拓撲會周期性改變,因此AntiMNT也需要周期性更新混淆網絡拓撲。為不影響網絡拓撲的周期性,實現AntiMNT的持續性保護,混淆拓撲生成時間至少要小于拓撲更新時間。用混淆拓撲的生成時間time(g′)衡量AntiMNT的效率:
time(g′)lt;ε(9)
其中:ε代表網絡拓撲更新周期。
3.3優化模型
為了使AntiMNT可以實現在較短的時間內生成一個具有高可信度和安全性混淆網絡拓撲,將混淆拓撲優化問題建模成一個多目標優化問題:對于給定的真實網絡拓撲G=(V,L),生成一個滿足以下條件的混淆網絡拓撲G′=(V′,L′):
G′=argg′∈Γmin(λ1simi(g′)+λ2cred(g′))
s.t. ‖V′|-|V‖≤δV ‖L′|-|L‖≤δLyi∈Rx,y′i∈R′x′,y′i≥yiy′i∈R′x′,y′i ≤σmax
time(g′)lt;ε(10)
將相似度simi(g′)和時延代價credibility(g′)進行加權求和作為目標函數,λ1為simi(g′)值的權重,λ2為cost(g′)值的權重。Γ為可選的候選混淆拓撲集,在Γ中搜索符合約束條件目標函數值最低的拓撲為最優混淆拓撲G′。
3.4生成候選混淆拓撲
為保證AntiMNT的安全性,混淆網絡拓撲的網絡特征應與真實網絡拓撲的網絡特征保持一致,包括總節點數量、源節點數量、目的節點數量和路由規則等。候選混淆網絡拓撲的生成如算法1所示,該算法以目標網絡的總節點數量|V|、源節點數量|S|、目的節點數量|D|及總鏈路數量的范圍(Llower,Lupper)為輸入,輸出候選混淆網絡拓撲G。該算法首先生成|V|個節點,隨后從中隨機選取部分節點生成一棵葉子節點數量為|D|的樹tree1(第3、4行),tree1的葉子節點作為候選混淆拓撲G的目的節點。再從剩余的節點中隨機選擇節點生成|S|-1棵葉子節點數量在1~|D|之間的樹treei(2≤i≤|S|)(第8-11行);從第二棵樹起,依次將treei的葉節點和目的節點一一配對(第14行),在源節點到已配對目的節點的路徑中(源節點和目的節點除外)隨機選取連接節點Join_point(第15行),直到所有目的節點都與treei的葉節點連接,這是為了保證每個源節點—目的節點對之間都有路徑。當|S|=1時算法1將生成一個樹型拓撲,這意味著AntiMNT不僅可以對抗基于多源網絡層析成像的拓撲推斷,也可以對抗基于單源網絡層析成像的拓撲推斷。
算法1候選混淆拓撲生成算法
輸入:the number of source nodes |S|,the number of destination nodes |D|,the total number of nodes |V|,range of the number of links(Llower,Lupper).
輸出:Topology G.
initialize:" nodes=[1,…,|V|],G←
while true
G.add_nodes_from(nodes)
treenode1=randit(|D|+1,|candnode|-(|S|-1)*2) //隨機選取tree_1的節點
Gtree_1=rand_tree(treenode1,|D|) //根據選取的節點隨機生成一棵葉子數量為|D|的樹
G. add_edges_from(Gtree_1.edges)
G.dest=Gtree_1.leafs
candnode= nodes- treenode1
treenode2,…,treenodem=rand_cut(candnode,|S|-1) //將剩下的節點隨機分成|S|-1份
foreach i=2,…,m
leafs=randnit(1,|D|) //從第二棵樹起,隨機生成樹的葉子節點數量
Gtree_i=rand_tree(1,leafs) //隨機生成一棵葉節點數量在1~|D|之間的樹
G.add_edges_from(Gtree_i.edges)
foreach j=1,…,|Gtree_i.leaf|
select_pair(Gtree_i.leaf,G.dest) // Gtree_i的葉節點和目的節點配對
join_point=select_node(G.path_of(G.dest)) //在源節點到目的節點的路徑上隨機選取連接節點
|G.dest|-=1
G.add_edge(Gtree_i.leaf,join_point) //將Gtree_i的葉節點與G的連接節點連接
while |G.dest|gt;0
select_pair(G.dest,Gtree_i.leaf)
join_point=select_node(G.path_of(G.dest))
|G.dest|-=1
G.add_edge(Gtree_i.leaf,Join_point)
ifLlower ≤ |G.edges| ≤Lupper
return G
下面舉例說明拓撲混淆的生成過程,圖3是一個總節點數|V|=10、探測源節點|S|=2、探測目的節點|D|=4的混淆網絡拓撲生成示例圖。由于探測源節點數目為2,根據10個節點隨機生成2棵樹,樹tree1的葉子節點{e,f,g,h}作為目的節點,節點a和節點i為源節點。源節點a到各個目的節點的路徑分別為(a→b→e),(a→b→f),(a→b→c→g),(a→b→c→d→h),如圖3(a)所示。隨機選取一個目的節點與樹tree2的葉子節點j配對,在圖3(b)中的隨機配對結果為(j→e)。節點j與目的節點e配對后,在路徑Pa,e上的節點集{a,b,e}中,除源節點a和目的節點e外,只剩節點b作為連接節點,那么路徑Ps2,d1為(i→j→b→e)。還有目的節點f、g、h未配對,在路徑Pa,f、Pa,g、Pa,h上的節點集中(除源節點和目的節點外)隨機選擇節點依次進行連接。
3.5候選混淆拓撲相關性能計算
在生成候選混淆拓撲后,要計算候選混淆拓撲的相關時延,攻擊者根據呈現給他們的相關時延y′推斷出混淆的網絡拓撲。根據網絡層析成像的線性模型,混淆網絡的路端到端時延與內部鏈路時延之間的關系為
y′=R′x′(11)
為了提高混淆拓撲的安全性和可信度,混淆拓撲的相關時延值應盡可能接近目標網絡拓撲的相關時延值。因此,將相關時延求解問題建模成一個滿足約束條件(5)(6)下求解最小相關時延的線性規劃問題。線性規劃模型如式(11)所示,可以使用Python的PuLP模塊[22]來求解。
min|Y1+Y2|(12)
Y1=∑m∈Sym1,2+…+ym1,|D|+ym2,3+…+ym2,|D|+…+ym|D-1|,|D|(13)
Y2=∑d∈Dy1,2d+…+y1,|S|d+y2,3d+…+y2,|S|d+…+ym,m-1d(14)
s.t.yi∈Rx,y′i∈R′x′,y′i≥yi
y′i∈R′x′,y′i≤σmax
Y1為相同源節點到不同目的節點之間共享路徑的相關時延之和,Y2為不同源節點到同一目的節點之間共享路徑相關時延之和。
3.6混淆拓撲優化
算法2為AntiMNT的混淆拓撲優化算法,該算法首先根據候選混淆拓撲生成算法生成n個候選混淆拓撲(第2行),計算每個候選混淆拓撲與目標網絡的相似度和可信度(第3行),如果當前拓撲的目標函數值小于當前最優混淆拓撲的目標函數值(第4行),記錄當前拓撲的目標函數值(第5行)并將當前拓撲替換為最優混淆拓撲(第6行)。最后,輸出最優混淆拓撲(第8行)。
算法2混淆拓撲優化算法
input:real topology G;range of the number of links(Llower,Lupper);the number of candidate topoloy n;simi weight λ1;cred weight λ2。
output:obfuscated topology G′。
initialize: objectvlaue=+∞,optimal_topology=G,|S|=|G.source|,|D|=|G.dest|,|V|=|G.nodes|.
foreach i=1,2,…,n:
g=generate_candidate_topo(|S|,|D|,|V|,Llower,Lupper) //生成候選混淆拓撲g
simi,cred=ILP(G,g)
if λ1 simi+λ2 credlt;object_value:
object_value←λ1 simi+λ2 cred
optimal_topology←g
i+=1
return optimal_topology
4性能評估
4.1實驗設置
AntiMNT模型主要由Python程序實現,使用Internet topology zoo [23] 中的三種真實世界的網絡拓撲來進行評估,包括一個小型、中型和大型網絡,三種網絡拓撲信息如表1所示。
對于每一種拓撲,隨機選擇m個入度為0、出度大于等于1 的節點作為真實拓撲的源節點,并選擇n個出度為0、入度大于等于1的節點作為真實拓撲的目的節點,并確保每個源節點到每個目的節點都有路徑。隨后計算每個源節點到所有目的節點的最短路徑樹,將m棵最短路徑樹組合成形成真實網絡拓撲。為保證生成的真實拓撲中沒有環路,且每個源—目的節點對之間的路由是唯一的,對最短路徑樹合并后的循環部分進行枝剪。
本文假設攻擊者使用時延作為網絡拓撲推斷的性能指標,目標網絡中的鏈路時延從(0,20](ms)隨機取值。考慮到基于多源網絡層析成像的拓撲推斷算法具有較高的復雜度,假設攻擊者使用計算復雜度相對較低的REA算法[24]來推斷目標網絡拓撲,在每個源的路由可以形成一棵樹的條件下,REA算法可以以較高的準確率推斷出2×N拓撲,REA算法還可以擴展到M×N網絡層析成像拓撲推斷。
為了評估AntiMNT的性能,本文在相同的實驗設置下重復執行了100次評估實驗,并將其平均值作為最后的評估結果。在實驗中將AntiMNT性能與另外兩種網絡拓撲混淆機制的性能進行了對比,因為目前沒有針對多源網絡層析成像拓撲混淆的相關工作,本文將單源網絡層析成像拓撲混淆機制ProTo擴展為適用于多源網絡層析成像情況下的拓撲混淆機制。
a)Without protection:不在目標拓撲運行任何網絡拓撲混淆機制。
b)ProTo:以文獻[10]的拓撲混淆策略生成符合多源網絡層析成像拓撲結構的混淆網絡拓撲。
c)AntiMNT:從目標網絡的候選混淆拓撲集中選擇一個滿足約束條件且目標值最小的候選拓撲作為混淆網絡拓撲。
4.2安全性評估
根據安全性目標的定義,通過比較目標網絡和混淆網絡的相似性來衡量拓撲混淆機制的安全性。網絡層析成像推斷的拓撲為邏輯拓撲,相似度的比較都采用邏輯拓撲。
首先,本文評估了在λsimi和λcred都為0.5時,三種拓撲混淆機制在不同規模的網絡中的安全性,實驗結果如圖4所示。在不運行任何拓撲混淆機制時,三個網絡中攻擊者推斷的網絡拓撲與目標網絡的相似度值均大于0.85;當網絡運行ProTo拓撲混淆機制時,相似度值均下降到0.7以下;當網絡運行AntiMNT拓撲混淆機制時,相似度值下降到0.5以下。實驗結果表明,在沒有任何防御機制時,攻擊者可以獲取到高準確度的網絡拓撲,部署拓撲混淆機制可以有效對抗基于網絡層析成像技術的拓撲推斷。ProTo拓撲混淆機制采用隨機生成混淆拓撲的方法,可以降低攻擊者推斷的網絡拓撲與目標網絡的相似度,但沒有對混淆拓撲進行優化,混淆拓撲和目標網絡的相似度存在很大的隨機性。而AntiMTN在候選混淆拓撲集中根據目標函數選取最優混淆拓撲,可以更大程度地降低相似度,提高網絡的安全性。
攻擊者推斷的網絡拓撲與目標網絡拓撲的相似度還與相似度的權重及候選混淆拓撲的數量相關,因此還評估了在不同權重下,候選混淆拓撲數量為100,200,300,400,500時相似度值的變化,如圖5~7所示。總體上,在三個不同規模的網絡中攻擊者推斷的網絡拓撲與目標網絡拓撲的相似度值都隨著權重λsimi的增大而減小。并且,攻擊者推斷的網絡拓撲與目標網絡的相似度值隨著候選混淆拓撲數量增加而下降,在候選混淆拓撲數量在300左右時,相似度值接近最優值。以上結果表明,AntiMNT使用少量候選混淆拓撲即可顯著降低攻擊者推斷的網絡拓撲與目標網絡拓撲的相似度,有效降低攻擊者推斷網絡拓撲的準確性。
此外,AntiMNT在生成混淆拓撲時對鏈路數量和節點數量的約束會限制混淆網絡拓撲中節點的平均度數,但是網絡節點的度數符合冪律分布,可能出現小部分節點度數很大,大部分節點度數小的情況。為了進一步驗證AntiMNT的安全性,評估了在候選混淆拓撲數量為500時在三種不同規模的網絡中目標網絡拓撲和混淆網絡拓撲及攻擊者推斷的網絡拓撲中節點度數的方差,如圖8所示。實驗結果表明,三個網絡拓撲節點度數的方差差距不大,AntiMNT具有很高的安全性。
4.3可信度評估
根據可信度的定義,通過比較目標網絡和混淆網絡中相關時延的增長率來衡量拓撲混淆機制的可信度。因此,本文在三種不同規模的網絡中部署不同的拓撲混淆機制時,對時延增長率的變化進行評估,如圖9所示。實驗結果顯示,部署AntiMNT的相關時延增長率明顯低于隨機拓撲混淆機制,相關時延的增長率隨著λcred增大而逐漸下降。并且,隨著網絡規模的增大,網絡節點和鏈路增加,需要計算的相關節點對數量增加,相關時延的增長率也逐漸增加。
此外,相關時延的增長率也受候選混淆拓撲數量的影響,在λsimi和λcred都為0.5時,對候選混淆拓撲數量為100,200,300,400,500時相關時延的增長率的變化進行評估,如圖10所示。實驗結果顯示,候選混淆拓撲數量為100左右時,時延增長率可以下降到較低的水平,這表明少量的候選混淆拓撲即可使AntiMNT達到較好的效果。
4.4效率評估
為了評估AntiMNT生成混淆拓撲的效率,本文在8核2.30 GHz Intel Core i7 CPU和16.00 GB RAM的電腦上,對 AntiMNT生成三種不同規模的混淆網絡拓撲所需要的時間進行測試,如圖11所示。混淆拓撲生成時間與候選拓撲數量成線性關系,在候選拓撲數量為500時,三種不同規模的混淆網絡拓撲生成時間均小于175 s,中小型網絡混淆拓撲生成時間小于50 s,這表明AntiMNT效率非常高。
5結束語
本文提出了一種對抗網絡層析成像的輕量級網絡拓撲混淆機制AntiMNT,根據混淆網絡拓撲路徑相關度量的求解結果策略性地擾動端到端路徑性能誘使攻擊者形成虛假的拓撲視圖。AntiMNT的主要思想是隨機生成若干候選混淆網絡拓撲,利用線性模型計算每個混淆拓撲的最優相關性能值,并使用多目標優化算法搜索最優混淆網絡拓撲。在攻擊者進行網絡層析成像探測時,將混淆網絡拓撲的相關性能值呈現給攻擊者,使其推斷出偽拓撲。仿真實驗結果表明,AntiMNT可以有效對抗基于多源網絡層析成像的拓撲推斷,保護目標網絡的安全。
在下一步的工作中,本文將在生成混淆拓撲的效率和有效性上進一步優化算法,并研究如何結合流量檢測機制將AntiMNT應用到真實網絡中,利用更真實的網絡測量結果進行性能評估。
參考文獻:
[1]Smith J M,Schuchard M. Routing around congestion: Defeating DDoS attacks and adverse network conditions via reactive BGP routing [C]// Proc of IEEE Symposium on Security and Privacy. Piscataway,NJ: IEEE Press,2018: 599-617.
[2]Yang Guosong,Hosseini H,Sahabandu D,et al. Modeling and mitigating the coremelt attack [C]// Proc of Annual American Control Conference. Piscataway,NJ: IEEE Press,2018: 3410-3416.
[3]姚巍,趙海,朱劍,等. 基于traceroute的多特征子網發現與分析 [J]. 東北大學學報: 自然科學版,2020,41(8): 1075-1082.(Wei Wei,Zhao Hai,Zhu Jian,et al. Discovery and analysis of multi-feature subnetworks based on traceroute [J]. Journal of Northeastern University: Natural Science Edition,2020,41(8): 1075-1082.)
[4]Anirudh Sabnis A,Sitaraman R K,Towsley D. OCCAM: an optimization based approach to network inference [J]. ACM SIGMETRICS Performance Evaluation Review,2019,46(2): 36-38.
[5]Zhang Xian,Phillips C. A survey on selective routing topology inference through active probing [J]. IEEE Communications Surveys amp; Tutorials,2012,14(4): 1129-1141.
[6]Zhang Runsheng,Li Yanbin,Li Xiaotian. Topology inference with network tomography based on t-test [J]. IEEE Communications Letters,2014,18(6): 921-924.
[7]Liu Yaqun,Zhao Jinlong,Zhang Guomin,et al. NetObfu: a lightweight and efficient network topology obfuscation defense scheme [J]. Computers amp; Security,2021,110: 102447.
[8]高雅卓,劉亞群,張國敏,等. 基于多階段博弈的虛擬化蜜罐動態部署機制 [J]. 計算機科學,2021,48(10): 294-300.(Gao Yazhuo,Liu Yaqun,Zhang Guomin,et al. Dynamic deployment mechanism of virtualized honeypot based on multi-stage game [J]. Computer Science,2021,48(10): 294-300.)
[9]Zhang Tao,Kuang Xiaohui,Zhou Zan,et al. An intelligent route mutation mechanism against mixed attack based on security awareness [C]// Proc of IEEE Global Communications Conference. Piscataway,NJ: IEEE Press,2019: 1-6.
[10]Hou Tao,Qu Zhe,Wang Tao,et al. Proto: proactive topology obfuscation against adversarial network topology inference [C]//Proc of IEEE Conference on Computer Communications. Piscataway,NJ: IEEE Press,2020: 1598-1607.
[11]Liu Yaqun,Xing Changyou,Zhang Guomin,et al. AntiTomo: network topology obfuscation against adversarial tomography-based topology inference [J]. Computers amp; Security,2022,113: 102570.
[12]Ratnasamy S,McCanne S. Inference of multicast routing trees and bottleneck bandwidths using end-to-end measurements [C]// Proc of the 18th Annual Joint Conference of IEEE Computer and Communications Societies. Piscataway,NJ: IEEE Press,1999,1: 353-360.
[13]Tsang Y,Coates M,Nowak R D. Network delay tomography [J]. IEEE Trans on Signal Processing,2003,51(8): 2125-2136.
[14]Bowden R,Veitch D. Finding the right tree: topology inference despite spatial dependences [J]. IEEE Trans on Information Theory,2018,64(6): 4594-4609.
[15]Ni Jian,Xie Haiyong,Tatikonda S,et al. Efficient and dynamic routing topology inference from end-to-end measurements [J]. IEEE/ACM Trans on Networking,2009,18(1): 123-135.
[16]Rabbat M G,Coates M J,Nowak R D. Multiple-source Internet tomography [J]. IEEE Journal on Selected Areas in Communications,2006,24(12): 2221-2234.
[17]Rabbat M,Nowak R,Coates M. Multiple source,multiple destination network tomography [C]//Proc of IEEE INFOCOM 2004. Piscataway,NJ: IEEE Press,2004,3: 1628-1639.
[18]Sattari P,Fragouli C,Markopoulou A. Active topology inference using network coding [J]. Physical Communication,2013,6: 142-163.
[19]Zhao Shanqing,Lu Zhuo,Wang C. When seeing isn’t believing: on feasibility and detectability of scapegoating in network tomography [C]// Proc of the 37th IEEE International Conference on Distributed Computing Systems. Piscataway,NJ: IEEE Press,2017: 172-182.
[20]Bunke H,Allermann G. Inexact graph matching for structural pattern recognition [J]. Pattern Recognition Letters,1983,1(4): 245-253.
[21]Riesen K,Ferrer M,Bunke H. Approximate graph edit distance in quadratic time [J]. IEEE/ACM Trans on Computational Biology and Bioinformatics,2015,17(2): 483-494.
[22]PuLP[EB/OL]. [2022-04-26]. https://github. com/coin-or/pulp.
[23]Knight S,Nguyen H X,Falkner N,et al. The Internet topology zoo [J]. IEEE Journal on Selected Areas in Communications,2011,29(9): 1765-1775.
[24]Sattari P,Kurant M,Anandkumar A,et al. Active learning of multiple source multiple destination topologies [J]. IEEE Trans on Signal Processing,2014,62(8): 1926-1937.
收稿日期:2022-04-26;修回日期:2022-06-29基金項目:國家自然科學基金資助項目(62172432)
作者簡介:林洪秀(1998-),女,碩士研究生,主要研究方向為網絡欺騙防御;邢長友(1982-),男,教授,碩導,博士,主要研究方向為網絡主動防御、軟件定義網絡和網絡測量(changyouxing@126.com);劉亞群(1996-),男,博士研究生,主要研究方向為軟件定義網絡、網絡空間安全;丁科(1978-),男,講師,博士,主要研究方向為網絡虛擬化技術.
