基于无标度网络的具象蜜网模型建立＊

叶 雯，李兰友

(1.南京工程学院网络与信息中心，江苏 南京 211167；2.杭州职业技术学院汽车学院)

0 引言

DDoS 攻击是一种常见的网络攻击，由来已久。Dahiya Amrita 和Gupta Brij B在最新的研究中指出DDoS 攻击因无需基于特定的服务器配置、特殊的网络状态或者终端设备的任何操作等前提条件就可以进行或者迅捷完成攻击行为，并且也无需耗时费力或者巨额的投入支出开销，互联网攻击者就能制造令被攻击对象或受害者良久难以填付的损失，而且不仅限于经济方面的损失。此外，日新月异高速发展的互联网中的资源分布不均衡问题日益凸显，也为攻击者的攻击行为提供了“解释”渠道，大大便利了攻击行为的发生与实现，互联网攻击者往往轻轻松松就能达到攻击的目的，而正常合法的网络用户及网络供应商却措手不及，并且损失惨重。

从上个世纪八九十年代，“防控治”三相结合的蜜罐概念形成了，网络安全态势感知的概念也相继应运而生，网络安全相关科研工作者和使用者就一直在致力于研究如何在频受网络攻击的复杂网络中对抗变幻莫测的网络攻击，维稳良好畅通的网络安全秩序，保障合法商家和用户的网络权益，也希冀结合涉及多种融合安全因素的错综复杂的网络环境推测预演未来互联网的安全发展势态。

1 无标度网络

1.1 复杂网络

当今的互联网实属一个说不清道不明的复杂网络，其中，节点度是复杂网络的核心关键属性。复杂网络又分为有向网络和无向网络。在无向网络中，节点度表示与该节点相关联的网线的总数量，记()为节点的度数。()越大，表示节点越重要，即节点的度中心性越高，其中度的中心性指的是以节点度为指标定义的节点重要程度。

复杂网络最关键属性是节点度，其次就是网络的连通性。复杂网络的连通性往往用介数来表达。其中介数又分为节点介数和边介数两类。节点介数表示的是经过节点的最短路径的数目，边介数表示包含边π在内的最短路径的数目。其关键就在于求取复杂网络中任意两个节点μ和μ之间的最短路径。

1.2 无标度网络

复杂网络就随机方面而言，可分为随即网络和非随机网络。随机网络中大部分节点是均匀地连在一起的。因此在随机网络中，很难定位中心节点，即节点度()非常大的节点。随机网络的节点度()通常都是较小的，没有或者很少有()非常大的节点。

无标度网络中存在度值相差很大的点，而在不同的无标度网络中，节点度值又会呈现特定的分布特征。在随机网络中，线路的连接完全是随机的，节点度遵循泊松分布。在无标度网络中，线路的连接并非完全随机，中心节点容易定位，并且成为网络中不可或缺的联通枢纽，节点度近似为幂率分布

其中，P是度值为的概率，τ为度指数。

无标度网络的中心节点可以比较有代表性地表示整个网络，是整个网络拓扑和连通性的缩影。通过这些少量的中心节点，就可以将松散疏离的小网络构建成大网络，这样就达到了提升整体网络连通性的目的。并且当有一个新的节点加入原网络的时候，该节点最大概率会与枢纽中心节点建立连接，依附网络中的强节点，无标度网络的节点度()也会更趋于幂律分布。

2 无标度网络中的蜜网

蜜网横空出世至今，以其积极防御的特性引起了人们的广泛关注。目前对蜜网领域的研究可分为微观和宏观两个层面。前者的目标是技术层面，如改进与数据控制、数据捕获、和数据反馈相关的核心功能。后者主要集中在揭示恶意软件通过部署在不同拓扑网络中的蜜网的传播行为。然而，迄今为止，除检索到的仅有两篇文献外，有关这一杠杆的工作通常被忽略。ZHAO Narisa等人考虑了恶意软件在全连接蜜网中的传播，基于数学模型的仿真研究揭示了恶意软件扩散的复杂动力学。最近，Ren J 等人研究了基于恶意软件在无尺度网络上传播动态的蜜网效能，发现节点度对蜜网效能有深远的影响。以上的研究工作依赖于特定拓扑网络。因此，所得到的结果是有限度的。本文提出并分析了一种基于感染节点数传播动态的蜜网效能评估动态模型。与[11]、[12]相比，本文的工作基于无标度网络。因此，这些发现是普遍的，因此有广泛的价值。这可能才是现阶段及未来很长一段时间行之有效的网络安全保障手段。

蜜网是由一定数量的蜜罐组成，其中的蜜罐代表一种安全资源，其价值是被扫描、攻击、妥协。蜜罐是一个精心配置的陷阱，其主要功能是控制数据流，抓取恶意程序并且分析其特征，并发布相应的补丁给防御者。

3 模型建立

假设无标度网络中的目标服务器集合为：Servers(a)={,,…,a ,a ,a ,…,a}，其中i ≥1，且i 为正整数；{ ,a ,…,a}=(a)为目标中的蜜网集合。攻击者集合是Attackers(b)={,,…,b} 。假设在某个时间段Time内，攻击者对服务器集合Servers(a)没有任何攻击行为活动，正常合法用户群体使用目标服务器集合Servers(a)中的每一台服务器所产生的收益集合为

若在同一时间段Time，攻击者集合Attackers(b)对服务器集合Servers(a)产生攻击行为，服务器集合Servers(a)遭受的损失为

则服务器集合Servers(a)的利润Benefits(B)为：

这里假设≥（＜的情况类似，这里不累述）。

攻击者发起攻击行为，一般无法对其控制和约束。此模型因其中只有第三项和第四项是可控可变的。第四项是蜜网的成本，包括蜜网设备成本和人工成本，不能顾此失彼，既不能为了减少成本而粗制滥造蜜网，也不能为了增强蜜网的效能而耗费大量财力物力，在蜜网效能尽可能大的情况下，使得蜜网足够以假乱真，类似充当服务器组的作用。因此，蜜网的成本也是固定的，这里重点研究第三项。

令威希特矩阵B=，即：

4 数值仿真

4.1 仿真环境

本文的数值仿真实验环境为联想扬天s5250 一体机，i7-7700T 台式机处理器，Windows 10，64 位操作系统。编程平台为MATLAB R2013a。

4.2 仿真实验

实验中，服务器集合为1000 台设备（只包含正常作业的服务器和蜜网设备），即s=1000，保存在矩阵A 中，其中每一行为一台服务器或者一个蜜网设备的样本，第一列为序号，第二列为其对应的利润Benefits。实验主要研究正常作业服务器和蜜网服务器的数量对网络安全的影响。

当i分别等于100、150、200、500、800、900 时，生成的二维高斯分布程序运行时间见表1，实验数据图如图1所示。

表1 二维高斯分布时间表

图1 二维高斯分布实验数据图

5 结论

蜜网是一种易受攻击的模拟计算机网络，常用来提高网络安全性。蜜网效能的深入评估是蜜网有效设计和改进的关键。为此，本文提出了一种新的蜜网效能评估动态模型并进行了分析。该模型将蜜罐作为状态变量纳入模型公式，数学分析发现，决定蜜网效能的关键是部署网络的最大特征值。特别是，特征值的范围清晰地形成了两个显式分支之间的感染传播的界限，在这个界限以下，蜜网工作在其最佳水平，直到恶意软件趋于灭绝，在这个界限以上，恶意软件保持在某个水平。在几个具有代表性的计算机网络上进行数值模拟，验证了该模型的正确性。根据理论和数值结果进行了讨论。结果表明，适当减少已部署网络的链路数和最大节点度，或加强蜜网的数据控制或补丁反馈功能，均能显式地提高蜜网效能。本文基于无标度网络，通过仿真实验，研究了无标度网络中蜜网与常规服务器在数量上的比较，并建立了仿真模型，以期为后续的蜜网研究提供参考。