王 剛, 陸世偉, 馮 云, 伍維甲

(空軍工程大學信息與導航學院，西安，710077)

公共互聯(lián)網作為一種普遍使用網絡，要求保障關鍵服務安全可控，保護用戶合法權益。然而，網絡信息竊取和關鍵節(jié)點破壞等非法蓄意攻擊對公共互聯(lián)網安全造成極大威脅，包括分布式拒絕服務攻擊、病毒攻擊、先進持續(xù)性威脅等。傳統(tǒng)防御系統(tǒng)主要采用靜態(tài)防御的方法來加固系統(tǒng)防護，從而保護網絡的安全，相關技術包括防火墻技術、加解密技術、數據鑒別及訪問控制技術等。對于網絡系統(tǒng)的正常訪問、用戶合法身份的鑒別和權限管理、數據信息安全，這類技術起到了一定的防護作用。然而，對于隱藏特征的網絡病毒，如“震網”病毒、Regin病毒和“狼人殺”病毒，與傳統(tǒng)蠕蟲病毒相比，它們的技術手段和行動更為隱蔽高效。“潛伏”是這類網絡病毒所共有的典型特性，因而通常將其稱為潛伏型病毒。在感染目標網絡節(jié)點時，潛伏型病毒為實現特定戰(zhàn)術目標，將其攻擊感染的表征暫時隱藏起來；根據行動需求和前期設定的觸發(fā)機制，攻擊方會選擇特定時機或采用特定手段激活啟動該病毒。由于潛伏特性，靜態(tài)防御通常難以檢測該病毒潛伏特征，也就無法徹底清除病毒，因而傳統(tǒng)防御模式在處理此類外部攻擊時存在先天的局限性。

目前，國內外網絡安全機構和專家已將此類問題的解決途徑轉移到主動防御、動態(tài)防御和集體防御上來，如鄔江興院士提出的擬態(tài)防御架構，可用于應對未知漏洞后門病毒等不確定威脅[1]；沈昌祥院士倡導運用可信計算方法，設計自主可控的網絡安全信息技術體系[2-3]；國外Rathore等人結合智能城市IoT網絡的區(qū)塊鏈技術，提出一種基于軟件定義網絡(SDN)的去中心化安全架構，檢測物聯(lián)網網絡中的攻擊，并能夠緩解現有架構固有的“單點故障”問題[4]。總體上看，這些網絡安全防御是通過預先設計網絡防御機制，實現攻擊的誘導與轉移，降低外部攻擊對網絡造成的損失，其實現技術包括節(jié)點信任通信[5-6]、動態(tài)目標防御[7-8]和信息蜜罐與蜜網[9-10]等，這些研究從不同層面為網絡安全防御實踐應用提供了先進防御理念和技術支撐。然而，由于不同團隊前沿研發(fā)技術相對獨立，有些忽略了網絡防御要素間的兼容性和協(xié)同能力，造成網絡監(jiān)控要素分布分散和功能獨立，使得網絡防御依舊面臨系列問題[11]，如持續(xù)監(jiān)控難以實現，被動封鎖效果有限，防御分散響應緩慢，攻防管控各自為戰(zhàn)。客觀上，需要結合網絡自身的復雜異構性創(chuàng)新理念，如引入網絡生態(tài)和分布式集體防御[12-13]，建立新的網絡安全協(xié)同防御架構，通過定義網絡要素間動態(tài)聯(lián)動關系和生態(tài)機制，預測和防御包括不確定攻擊在內的多類型網絡攻擊，將攻擊后果最小化并快速恢復網絡至安全狀態(tài)。

本文結合公共互聯(lián)網安全特點，首先根據網絡邏輯結構及節(jié)點功能，將目標網絡劃分為多個網絡社團，按照分布式協(xié)同控制模式設計了協(xié)同防御架構基礎通信模型，在此基礎上融合了多類型功能模塊，提出了基于社團結構的網絡協(xié)同防御架構。其次，借鑒網絡生態(tài)系統(tǒng)運維理念，設計了基于網絡協(xié)同架構的協(xié)同機制，通過集體行動提升網絡的病毒檢測能力、快速響應能力和應急恢復能力。最后，以潛伏型病毒為例，給出基于社團結構的協(xié)同防御流程和仿真驗證。

1 協(xié)同防御架構

關于網絡病毒傳播模型的研究表明，降低網絡節(jié)點平均度是抑制病毒傳播的主要方法[14-17]。定義網絡圖G=(V,E)為某一具體網絡，V=(vi)N為節(jié)點集，N為網絡節(jié)點總數，E為網絡邊的集合。網絡在遭遇病毒入侵時，通過隔離節(jié)點策略可抑制病毒的大規(guī)模傳播。設隔離節(jié)點vi的度為ki，隔離vi前后網絡平均度分別為〈k〉f和〈k〉l，則〈k〉l可表示為:

(1)

顯然，節(jié)點隔離策略能降低網絡平均度，抑制網絡病毒的傳播。研究表明，少量的節(jié)點隔離不足以完全抑制病毒傳播，過多的節(jié)點隔離又會導致網絡通信能力的損失，節(jié)點隔離策略需要在維護網絡安全的同時，保證網絡基本通信能力。現實中，網絡病毒的感染過程通常是由一個節(jié)點或一個區(qū)域向周邊節(jié)點擴散開來，最終蔓延至整個網絡。根據式(1)知，降低病毒所在網絡的節(jié)點數N，同樣能夠降低節(jié)點平均度，從而起到抑制病毒傳播的作用。按照這一思路，將整個網絡分為若干個子網絡(社團)，在檢測到病毒入侵時，及時封鎖病毒所在社團，縮小病毒傳播范圍，就能通過隔離較少的節(jié)點來維護網絡的安全。在封鎖社團后，來自病毒感染社團的信息需要經過特定的驗證機制，在確保安全的條件下轉發(fā)至其它社團節(jié)點。

網絡協(xié)同防御模型能更好地完成網絡安全防御任務[5,18]。在大規(guī)模網絡主動協(xié)同防御模型中，全局網絡可劃分為若干個自治系統(tǒng)(autonomous system，AS)，單個AS采用基于代理的協(xié)同控制框架來完成協(xié)同防御任務，整體上通過分布式集體協(xié)作共同抵御病毒傳播[18]。對于劃分AS后的網絡，如果遭遇病毒入侵，只需要隔離病毒感染社團和少量節(jié)點，即可抑制病毒傳播。

一般網絡都具有社團屬性，可采用社團識別算法，如Newman快速凝聚算法、Girvan-Newman分裂算法等[19-21]，將整體網絡劃分為多個自治社團(network community，NC)。設劃分后的社團數為n，對應集合為NC={NC1,NC2,…,NCn}。在此基礎上，可按分布式協(xié)同控制模式[11-12]設計對應的基礎通信模型，見圖1。其中，單個社團由用戶主機、協(xié)同控制中心和社團內的各種安全系統(tǒng)組成[18]。

圖1 協(xié)同防御中網絡社團基礎通信模型

社團內部安全系統(tǒng)主要包括入侵檢測系統(tǒng)(intrusion detection system，IDS)、信息蜜罐與蜜網系統(tǒng)、帶有節(jié)點信任值管理模塊(node trust-value management module，NTVMM)的防火墻系統(tǒng)[6]、入侵防護系統(tǒng)(intrusion prevention system，IPS)、協(xié)同防御策略庫，對應的協(xié)同防御系統(tǒng)架構見圖2。

圖2 協(xié)同防御系統(tǒng)架構

協(xié)同防御架構建立在大規(guī)模網絡的主動協(xié)同防御模型[18]和基于覆蓋網的協(xié)同式安全防護與分析系統(tǒng)模型[22]基礎上，進一步融合了協(xié)同防御策略庫、帶有NTVMM的防火墻、信息蜜罐與蜜網模塊。除了適用于防御DDOS攻擊與蠕蟲病毒攻擊[18]，還能提升對潛伏型病毒等新型攻擊的防御能力，且具備更強的協(xié)同防御功能。

2 協(xié)同防御機制

在實際應用中，需要科學的防御機制來確保各模塊間的協(xié)同協(xié)作，保證在低損失情況下網絡的整體安全。借鑒網絡生態(tài)系統(tǒng)態(tài)勢感知-持續(xù)監(jiān)控-協(xié)同防御-快速恢復-溯源反制(situation awareness, monitoring, cooperative defense, recovery, countermeasure，SMCRC)機制[11]，設計協(xié)同防御架構的協(xié)同防御機制?？紤]網絡攻擊形式的多樣化，以下以潛伏型病毒防御為例[17]。

潛伏型病毒通常利用其潛伏特性，繞過安全防御單元檢測，入侵內部網絡，并在激活后迅速感染網絡。對于潛伏型病毒入侵，協(xié)同防御系統(tǒng)主要功能包括：檢測病毒的潛伏特征與感染特征、抑制潛伏型病毒在網絡中的傳播、清除網絡中潛伏型病毒等。根據防御系統(tǒng)對病毒入侵事件的響應順序，可將協(xié)同防御機制劃分為態(tài)勢感知協(xié)同、態(tài)勢分析協(xié)同、行動決策協(xié)同以及調節(jié)反饋協(xié)同4個部分，構成一個網絡協(xié)同防御環(huán)，自適應選取最優(yōu)防御策略來應對潛伏型病毒入侵，如圖3所示。

圖3 網絡協(xié)同防御環(huán)路和防御機制

2.1 態(tài)勢感知協(xié)同

態(tài)勢感知協(xié)同防御需要對目標網絡狀態(tài)實施不間斷監(jiān)控，傳統(tǒng)防御中IDS、防火墻等防御單元很難做成集成模塊，協(xié)作能力較差，對異常信息的監(jiān)測能力較差，通常會導致直接隔離異常信息或是錯將包含潛伏病毒的異常信息放入內網，都可能對節(jié)點或網絡造成較大的損失[11]。

態(tài)勢感知協(xié)同機制主要依賴于IDS、信息蜜罐與蜜網和協(xié)同控制中心。IDS可直接檢測出已知特征的病毒類型，并發(fā)出警報通知協(xié)同控制中心。對于潛伏型病毒，IDS通常只能感知到信息的異常，而無法直接判斷信息是否攜帶病毒。這種情況下，協(xié)同防御中的IDS會記錄異常信息并通知協(xié)同控制中心，控制中心命令交換機和路由器控制異常信息傳輸速率，并將部分異常信息送至信息蜜罐或蜜網中進行監(jiān)測。如果在信息蜜罐或蜜網中，異常信息表現出感染特性，安全分析設備會立即檢測出感染特征，并通知控制中心將檢測出的感染特征添加至各IDS和防火墻的病毒特征庫。特殊地，如果異常信息在蜜罐中的感染過程是有時滯的，可認為該信息中攜帶潛伏型病毒，蜜罐或蜜網中安全系統(tǒng)會進一步分析異常信息代碼，提取病毒潛伏特征，并通知控制中心轉發(fā)潛伏特征。此外，在網絡的關鍵交換機和路由器中會部署流量分析器和探測器，可用來跟蹤異常數據流并完成持續(xù)監(jiān)控。

2.2 態(tài)勢分析協(xié)同

態(tài)勢感知協(xié)同會對每個時間段內的網絡狀態(tài)進行監(jiān)控，如果網絡中節(jié)點狀態(tài)發(fā)生改變，需要態(tài)勢分析協(xié)同機制來判斷網絡是否受到攻擊、攻擊強度、攻擊區(qū)域以及網絡能否自恢復至安全狀態(tài)等。態(tài)勢分析協(xié)同主要依賴于協(xié)同控制中心，通過收集IDS報警信息、信息蜜罐與蜜網檢測信息、關鍵交換機和路由器檢測信息，對網絡整體態(tài)勢進行分析，分析內容包括病毒的潛伏能力與感染能力、網絡受感染區(qū)域分布、網絡中可能潛伏病毒的區(qū)域、病毒傳播趨勢、網絡對病毒的免疫能力等，態(tài)勢分析結果有助于對病毒傳播模型[14-16]中的參數值進行估計，計算病毒傳播的基本再生數，進而選取當前最適合的協(xié)同防御策略。

對于異常信息，協(xié)同控制中心根據收集到的相關信息對該類信息可疑度進行判定；借鑒異常信息檢測方法[23-25]，選擇既往攻擊信息為訓練集，訓練異常信息分類模型，即可實時判定該類信息類型或是否包含潛伏型病毒，進而選取合適的免疫或隔離策略[26-28]來防御潛伏型病毒。

2.3 行動決策協(xié)同

態(tài)勢分析協(xié)同可深入分析網絡受感染程度等安全態(tài)勢信息，社團中的協(xié)同管理中心會根據安全態(tài)勢分析結果，查詢協(xié)同防御策略庫，生成當前最優(yōu)防御策略，分發(fā)給社團中的節(jié)點，節(jié)點采取相應的防御措施共同應對網絡威脅。如果已獲取病毒的攻擊特征或潛伏特征，控制中心會將這些特征廣播給社團內的用戶主機、交換機以及社團間的路由器節(jié)點，這些節(jié)點對接收或傳輸的數據包進行檢查和過濾，拒絕包含病毒特征數據的接收或限制其傳輸速度。

若社團中部分節(jié)點的安全設備檢測出異常信息，但未能發(fā)現病毒特征，協(xié)同控制中心會通知社團中其它節(jié)點進行協(xié)同檢測與分析。通過收集網絡中異常信息存在的區(qū)域與規(guī)模，并根據目前網絡的通信需求，對比策略庫中策略適用條件，選擇防御策略。以下列舉了幾種參考策略：①若網絡各社團均被感染，此時網絡需要盡快恢復到安全狀態(tài)，而對通信能力要求不高，協(xié)同控制中心可選擇基于最大節(jié)點度的隔離策略[29]，盡快降低網絡平均度，從而迅速抑制病毒傳播；②若網絡各社團均被感染，而網絡正在進行重要通信，需要在維護網絡安全的同時保證網絡的通信損失較少，可采用基于節(jié)點信任關系的惡意信息攔截策略[6]，通過選擇最合適的信任閾值，在控制病毒傳播的同時，保證網絡的業(yè)務承載能力。被隔離社團發(fā)出的信息及其它社團發(fā)往被隔離社團的信息可由路由器轉送至信息蜜網中進行存儲與檢測，從而提高病毒特征的檢測率，并降低策略造成的信息損失。

協(xié)同防御策略由社團中協(xié)同控制中心共同制定，為了便于模型的架構擴展與實現，需要統(tǒng)一協(xié)同策略的生成格式和字段：

——————

其中，Community表示策略所適用社團編號；Target表示策略所適用目標，如IP地址，端口；Type表示策略種類，包括檢測、抑制、清除或免疫病毒等；Event指當前針對的網絡安全事件，如潛伏型病毒入侵、感染型病毒入侵、混合型病毒入侵或DDOS攻擊等；等級表示網絡當前所處的安全級別；Objects表示操作的對象，如IDS、交換機、信息蜜罐和信息蜜網等；Operation表示操作對象所要執(zhí)行的操作，包括掃描、分析、隔離或轉發(fā)信息至蜜罐等。

協(xié)同控制中心通過安全協(xié)議(如SSL協(xié)議等)與社團內其他用戶和安全模塊建立安全通信連接，在協(xié)同策略生成后，協(xié)同控制中心將策略安全分發(fā)至社團中目標節(jié)點。

2.4 調節(jié)反饋協(xié)同

協(xié)同策略分發(fā)后，網絡節(jié)點會根據策略內容實時調節(jié)自身行為。用戶主機的行為調節(jié)包括改變IDS檢測級別及需要檢測內容、防火墻過濾規(guī)則、NTVMM模塊閾值(閾值會決定異常信息的接收比例)、IPS的清除對象；交換機和路由器行為調節(jié)包括信息分發(fā)規(guī)則、控制異常信息流速、端口開放情況；信息蜜罐和蜜網會調整對特殊事件記錄及監(jiān)視頻率、提升安全分析軟件對日志的審查和分析頻率、以及允許轉存信息的數量?？刂浦行目梢詤f(xié)同計算策略庫中策略的期望收益，分配最高收益的策略，社團根據接收到的指令調整各自行為。調整后的網絡狀態(tài)經過感知與分析，就可以判斷網絡安全狀態(tài)經過調整是否得到提升。調節(jié)反饋協(xié)同的具體流程見圖4。

圖4 調節(jié)反饋協(xié)同流程

首先，由協(xié)同控制器根據具體情況生成初始策略并分發(fā)至各社團，同時計算預期收益。社團根據協(xié)同控制中心產生的策略調整自身行為。調整行為后，網絡整體安全狀態(tài)會發(fā)生改變，此時節(jié)點將調節(jié)后的狀態(tài)反饋給協(xié)同控制中心，包括節(jié)點安全狀態(tài)的變化和通信損失情況等。根據收集到的反饋信息，協(xié)同控制中心計算網絡實際收益，通過對比實際收益與期望收益，實時調整協(xié)同防御策略，確保網絡獲得最佳收益。網絡收益計算方法可根據策略對網絡整體的通信能力及網絡受感染情況的影響來設計[30]。以潛伏型病毒為例，根據網絡病毒傳播SEIQRS模型[17]，可以計算出病毒傳播的基本再生數為：

(2)

式中：〈k〉為網絡平均度；β為潛伏型病毒的感染系數；γ為潛伏病毒在網絡節(jié)點中被激活的概率；ψ為網絡節(jié)點具有抗病毒攻擊感染能力的概率；δ為節(jié)點抗病毒能力退化的概率；ω為受病毒攻擊感染的節(jié)點斷開網絡連接的概率；θ表示潛伏的病毒失去激活機會的概率；b表示節(jié)點在病毒潛伏期具備免疫能力的概率。由此，可進一步計算網絡相對安全指數[30]：

(3)

式中：

(4)

(5)

式中：λmax由網絡魯棒性確定，λ為隔離節(jié)點后造成網絡信息損失的比例；a1,b1為網絡魯棒性范圍內通信和安全所占的比例系數，a1+b1=1。在網絡魯棒性范圍內隔離節(jié)點，對網絡通信影響較小，而安全提升明顯，因而通常a1b2。Δμ(t)和Δδ(t)為t時刻后網絡平均信息強度和網絡相對安全指數變化值，計算如下：

(6)

如果網絡未到達安全狀態(tài)，可以計算實際收益與期望收益的差值，若差值大于某個閾值，協(xié)同控制中心可根據最新的態(tài)勢感知與分析結果，調整協(xié)同防御策略的生成與分發(fā)，以獲取更高的網絡收益。

3 潛伏型病毒協(xié)同防御流程

潛伏型病毒通常先潛伏至網絡關鍵節(jié)點，在激活后迅速感染網絡其它節(jié)點，由于潛伏型病毒的隱蔽性，傳統(tǒng)防御架構難以有效查殺，病毒清除過程普遍滯后于病毒感染與傳播[27]。網絡協(xié)同防御可基于大規(guī)模網絡的主動協(xié)同防御模型[18]，用于防御DDOS攻擊和蠕蟲病毒攻擊，還可按照協(xié)同防御機制抵御潛伏型病毒入侵。以潛伏型病毒為例設計網絡協(xié)同防御流程，如圖5所示。

圖5 潛伏型病毒的協(xié)同防御流程

在協(xié)同防御系統(tǒng)中，信息蜜罐與蜜網、網絡鏈路中的IDS系統(tǒng)都能對潛伏型病毒實時進行監(jiān)控。如果網絡中流量異常，IDS立即通知協(xié)同控制中心，控制中心命令交換機或路由器將信息誘導至信息蜜罐或蜜網中，進行長期的觀察。由于信息蜜罐或蜜網中會設置一些能滿足潛伏型病毒激活條件的環(huán)境，如調整系統(tǒng)時間，鍵盤鍵入，訪問次數觸發(fā)等，從而提升網絡對異常信息中病毒的檢測能力。若未能檢測到異常信息中的病毒信息，可進一步提取分析信息中部分內容，以便尋找出病毒潛伏的特征。對于數據內容的提取，蜜罐和蜜網需要向協(xié)同控制中心提出數據訪問請求，在協(xié)同防御中心通過后，可對異常信息的內容進行訪問與提取，以此來確保蜜罐或蜜網中信息的安全性。一旦檢測出病毒潛伏特征，信息蜜罐和蜜網會將特征告知協(xié)同控制中心，控制中心通知其它節(jié)點啟用IPS和防火墻，清除和過濾包含潛伏特征的流量數據，從而提升病毒的免疫率。

以上特征提取過程主要針對處于潛伏階段的病毒，對于感染階段的病毒，協(xié)同防御系統(tǒng)可將其視為蠕蟲病毒。此外，在防御感染階段病毒的同時，網絡節(jié)點還需要檢測病毒是否包含潛伏特性，避免網絡恢復安全后的二次感染。如果協(xié)同控制中心確定病毒類型潛伏型病毒但未檢測出潛伏特征，可命令網絡用戶開啟防火墻的NTVMM模塊，在可承受的通信損失范圍內選擇一個合適的閾值，并以部分通信代價來提升網絡的安全性。

以上潛伏型病毒防御流程能對已知類型病毒的潛伏和感染特征進行檢測，也能利用模塊間的協(xié)同作用來檢測未知類型病毒的潛伏和感染特征，從而有效提升網絡對病毒的檢測能力。在檢測出病毒特征之前，即病毒監(jiān)測階段，協(xié)同控制中心會生成并分發(fā)協(xié)同防御策略，來抑制病毒傳播規(guī)模，確保病毒對網絡造成的損失降到最低。

4 仿真驗證

仿真部分重點驗證所構建協(xié)同防御架構及機制在防御潛伏型病毒方面的有效性。節(jié)點信任值管理算法(NTVMM)[6]和基于最大性能收益的隔離算法(maximum performance gain isolation algorithm，MPGIA)[29]在網絡收益方面要優(yōu)于最大度隔離算法(maximum degree isolation algorithm， MDIA)[30]，仿真主要將協(xié)同防御策略與前兩種策略進行對比。

4.1 網絡社團劃分

生成一個小世界網絡，網絡節(jié)點數 ，邊的數量，平均度近似等于2，平均聚類系數為0.273。根據Newman快速凝聚算法，將網絡劃分為6個社團。圖6和圖7分別給出了網絡社團劃分圖及每個社團中節(jié)點的數量圖。

圖6 網絡社團劃分圖

圖7 每個社團中節(jié)點的數量

在圖6中，網絡節(jié)點尺寸越大，節(jié)點的度越大；節(jié)點的顏色表示該節(jié)點所處的社團，共有6種顏色，每種顏色節(jié)點的數量對應于圖7中社團節(jié)點的數量。

4.2 仿真參數設置

選取SEIQRS病毒傳播模型[17]，模型中轉移參數設置為β=0.6、θ=0.1、γ=0.6、ω=0.2、ε=0.2、φ=0.2、δ=0.2、b=0.1。網絡總節(jié)點數N=1 000，網絡平均度k=2，令狀態(tài)節(jié)點數量初始值(S(0),E(0),I(0),Q(0),R(0))=(980,0,20,0,0)，計算可得直接潛伏型病毒傳播模型的基本再生數分別為R0=2.25，該參數設置下網絡中是有病毒的存在，而且網絡利用自身免疫系統(tǒng)無法恢復至安全狀態(tài)，需要合理的策略來抑制病毒的傳播。仿真中，在整個網絡中單獨采用MPGIA和NTVMM來恢復網絡安全(作為對照組)，計算網絡恰好達到安全時2種防御算法帶來的網絡性能收益。假設網絡中單位時間內兩個節(jié)點間通信一次，即有2條信息傳輸。仿真中單位時間取為1 s。由于只在網絡魯棒性范圍內計算策略的收益，小世界網絡中網絡收益函數參數[30]取a1=0.5、b1=0.5。

在整個網絡中用2個策略恢復網絡安全后，將網絡按照4.1中方法劃分為6個社團，并在相同仿真參數環(huán)境下模擬協(xié)同防御過程(作為實驗組)。由于是從數值上對協(xié)同防御仿真，對其中的部分模塊功能進行量化處理。信息蜜罐和信息蜜網對潛伏病毒的潛伏特征和感染特征進行檢測，設置檢測周期為20 s，網絡對潛伏節(jié)點和感染節(jié)點的免疫概率增加20%。蜜罐和蜜網存儲MPGIA和NTVMM中未能成功發(fā)送的信息，并在網絡恢復安全后將這些信息轉發(fā)至目的節(jié)點。由于網絡中信息對時間的依賴程度是隨機的，只有部分信息對時間是敏感的，即延遲發(fā)送有很大損失，而其它信息對時間的敏感度較低，在網絡安全后發(fā)送也不會有太大的損失。因此，根據平均場理論，可認為蜜罐和蜜網會降低網絡中一半的信息損失，即協(xié)同防御中總的信息損失會在原有損失基礎上減少至50%。協(xié)同防御過程中被病毒感染的社團，會采用收益最高的策略來進行隔離與恢復。沒有發(fā)現病毒的社團可保持正常通信，只需與受感染的社團間中斷通信。據此，計算協(xié)同防御在恢復網絡安全時的累積網絡收益。

4.3 協(xié)同防御收益的有效性驗證

初始狀態(tài)節(jié)點數(S(0),E(0),I(0),Q(0),R(0))=(980,0,20,0,0)，表示在病毒爆發(fā)初始時刻，網絡協(xié)同感知和分析系統(tǒng)檢測出被感染病毒節(jié)點有20個，此時還未檢測出有潛伏病毒的節(jié)點，且所有節(jié)點都不具備抵御病毒感染的能力。假設檢測出的潛伏型病毒具有明顯的地域特性，集中分布在某個社團內，但不確定病毒所在社團編號。在此條件下，仿真驗證有協(xié)同防御和無協(xié)同防御時2種策略帶來的網絡收益。

圖8是病毒分別出現在在1-6號社團時，網絡整體采用NTVMM和MPGIA，以及隔離對應社團后采用NTVMM和MPGIA得到的網絡收益，即不同策略組合的網絡性能收益。

圖8 不同策略組合的網絡性能收益

此時，網絡中所隔離的社團一定是病毒存在的社團編號。其中，MPGIA-CI表示社團隔離后在受感染社團中采用MPGIA來恢復網絡的安全；NTVMM-CI表示社團隔離后在受感染社團中采用NTVMM；MPGIA-NE為不隔離社團，網絡整體采用MPGIA；NTVMM-NE為不隔離社團，網絡整體采用NTVMM。

由圖8分析知，社團隔離后采用MPGIA和NTVMM恢復網絡安全所獲得的網絡收益是近似相等的，且通常優(yōu)于在整個網絡中采用這兩種策略獲得的收益。由于社團3和社團6的節(jié)點數量較多，隔離社團后會對較多節(jié)點通信造成影響。因此，如果病毒存在于這兩個社團時，可對網絡整體采用收益較高的策略，不需要隔離社團。此外，網絡整體采取策略所獲得的收益與病毒所在的具體社團無關。在協(xié)同防御系統(tǒng)具體運行時，協(xié)同控制中心總會根據病毒所在社團，選擇最佳防御方案，如病毒在社團1時選擇MPGIA-CI防御方案，病毒在社團3時選擇NTVMM-NE防御方案。為進一步探究協(xié)同防御的有效性，圖9給出了網絡采用協(xié)同防御時兩種策略的收益和不采用協(xié)同防御時兩種策略的收益。

圖9 有無協(xié)同防御時最佳收益對比

由圖9可以看出，協(xié)同防御下所采用的最佳策略收益總優(yōu)于無協(xié)同防御時最佳策略收益。協(xié)同防御增強了網絡對潛伏型病毒的檢測能力，降低了防御策略造成的信息損失比例。因此，網絡防御的收益得到有效提升。此外，協(xié)同防御策略能以更小的通信代價提升網絡安全性能。

仿真結果表明，協(xié)同防御在防御潛伏型病毒傳播方面比無協(xié)同防御更具優(yōu)勢，能以較小的通信損失來恢復網絡的安全。

5 結語

在大規(guī)模網絡的主動協(xié)同防御模型基礎上，融合了信息蜜罐與蜜網、帶有節(jié)點信任管理功能的防火墻、協(xié)同防御策略庫等安全模塊，構建了新的網絡協(xié)同防御系統(tǒng)架構。通過設計合理的協(xié)同防御機制，打破了網絡防御要素間的獨立性，使這些防御要素以協(xié)同的方式共同抵御外部攻擊。相比于無協(xié)同防御的系統(tǒng)，該協(xié)同防御系能提升網絡對潛伏型病毒的防御能力，在一定程度上增強了網絡全系統(tǒng)感知、元素認證、防御動態(tài)化、行為可監(jiān)控、快速響應與恢復能力，符合網絡空間安全生態(tài)系統(tǒng)的要求。此外，協(xié)同防御架構模型具有較強的擴展性，針對其它類型的網絡攻擊，可通過增加安全模塊和防御機制，增強協(xié)同防御系統(tǒng)的功能。