蔡 娜，劉 磊

（北京計算機技術(shù)及應(yīng)用研究所，北京 100854）

物聯(lián)網(wǎng)是以傳統(tǒng)電信網(wǎng)絡(luò)和互聯(lián)網(wǎng)為基礎(chǔ)構(gòu)建的新型信息承載體結(jié)構(gòu)，它能夠自發(fā)執(zhí)行獨立尋址指令，并可以將對象節(jié)點串聯(lián)起來，形成完善且穩(wěn)定的互通網(wǎng)絡(luò)閉環(huán)。在實際應(yīng)用過程中，物聯(lián)網(wǎng)結(jié)構(gòu)體系的構(gòu)建必須借助射頻識別技術(shù)[1]。隨著網(wǎng)絡(luò)覆蓋面積的增大，信息節(jié)點之間的聯(lián)系緊密度也在不斷增強。此時在射頻識別技術(shù)的作用下，單一信息節(jié)點所發(fā)出的傳輸數(shù)據(jù)文件能夠在較短時間內(nèi)反饋至下級目標信息節(jié)點，且此過程中不會出現(xiàn)任何數(shù)據(jù)損失行為，這也是物聯(lián)網(wǎng)環(huán)境中數(shù)據(jù)信息傳輸量始終保持穩(wěn)定的主要原因[2]。

在物聯(lián)網(wǎng)環(huán)境中，數(shù)據(jù)信息惡意攻擊行為不但會嚴重影響信息參量的傳輸完整性，還會使分布式網(wǎng)絡(luò)環(huán)境呈現(xiàn)出明顯波動連接狀態(tài)[3]。為避免上述情況的發(fā)生，傳統(tǒng)DoS 檢測系統(tǒng)以分布式框架為基礎(chǔ)，在準確提取數(shù)據(jù)信息傳輸文本參量的同時，利用IP 解析模塊，確定信息節(jié)點之間的互通連接關(guān)系[4]。然而，該系統(tǒng)對于數(shù)據(jù)信息惡意攻擊行為的屏蔽能力有限，并不能使物聯(lián)網(wǎng)分布式環(huán)境保持絕對穩(wěn)定的連接狀態(tài)。針對上述問題，設(shè)計新型物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊分段檢測系統(tǒng)，并通過對比實驗，突出該系統(tǒng)的應(yīng)用能力。

1 攻擊分段檢測系統(tǒng)硬件設(shè)計

1.1 Hadoop架構(gòu)

Hadoop 架構(gòu)是物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊分段檢測系統(tǒng)硬件執(zhí)行環(huán)境的構(gòu)建基礎(chǔ)，該架構(gòu)由訪問層、網(wǎng)絡(luò)信息層、數(shù)據(jù)信息存儲層三部分組成，如圖1 所示。網(wǎng)絡(luò)信息層是Hadoop 架構(gòu)的核心單元，可以根據(jù)Hive 節(jié)點與MR 節(jié)點、Hbase 節(jié)點與Solr 節(jié)點、Mahout 節(jié)點與Redis 節(jié)點之間的連接關(guān)系，判斷物聯(lián)網(wǎng)數(shù)據(jù)信息參量所處的實時傳輸位置[5-6]。由于網(wǎng)絡(luò)信息層結(jié)構(gòu)同時與訪問層結(jié)構(gòu)、數(shù)據(jù)信息存儲層結(jié)構(gòu)相連，所以物聯(lián)網(wǎng)數(shù)據(jù)信息參量在Hadoop 架構(gòu)中的傳輸行為始終保持通暢。

圖1 Hadoop架構(gòu)示意圖

訪問層單元負責制定數(shù)據(jù)分析、物聯(lián)網(wǎng)信息查詢與攻擊挖掘指令。數(shù)據(jù)信息存儲層單元只包含物聯(lián)網(wǎng)分布式數(shù)據(jù)庫，負責生成長期的數(shù)據(jù)信息參量存儲文件。

1.2 數(shù)據(jù)包捕獲模塊

數(shù)據(jù)包捕獲模塊主要負責對物聯(lián)網(wǎng)中的各種數(shù)據(jù)包文件進行采集與預處理。該模塊是基于分布式網(wǎng)絡(luò)的讀取功能實現(xiàn)的，數(shù)據(jù)包文件的解析與處理效率直接影響主機元件對于信息攻擊行為的檢測準確性[7]。在分段檢測系統(tǒng)中，物聯(lián)網(wǎng)主機可以工作在多種不同的運行模式之下，以實現(xiàn)不同的攻擊行為檢測需求。主要模式有Ad-hoc 模式、Managed 模式、Monitor 模式。

1）Ad-hoc 模式

數(shù)據(jù)包捕獲模塊的主要工作模式，可以準確檢測出攻擊性物聯(lián)網(wǎng)數(shù)據(jù)所處位置，并可以借助信道組織，將檢測指令文件傳輸至下級應(yīng)用模塊之中。

2）Managed 模式

數(shù)據(jù)包捕獲模塊Ad-hoc 工作模式的伴隨存在形式，能夠?qū)⒐粜晕锫?lián)網(wǎng)數(shù)據(jù)從分布式數(shù)據(jù)庫主機中分離出來，并將這些信息文本反饋回核心檢測主機[8]。

3）Monitor 模式

數(shù)據(jù)包捕獲模塊的從屬工作模式，可以根據(jù)Hadoop 架構(gòu)連接狀態(tài)，確定待檢測物聯(lián)網(wǎng)數(shù)據(jù)信息的實際傳輸行為。

1.3 攻擊行為檢測模塊

攻擊行為檢測模塊作為Hadoop 架構(gòu)的下級附屬結(jié)構(gòu)，以MAC 設(shè)備作為核心應(yīng)用設(shè)備，其與物聯(lián)網(wǎng)主機保持分布式連接關(guān)系。故而在提取惡意攻擊信息時，要求數(shù)據(jù)序列號的定義形式必須與數(shù)據(jù)信息樣本的實時排列形式保持一致[9]。其具體連接原理如圖2所示。

圖2 攻擊行為檢測模塊連接原理

MAC 設(shè)備對于物聯(lián)網(wǎng)惡意攻擊信息的提取遵循先序列號、再執(zhí)行指令的原則。數(shù)據(jù)信息樣本作為過渡結(jié)構(gòu)，可以按照序列號定義條件，對信息參量進行重排處理[10]。當物聯(lián)網(wǎng)惡意攻擊信息的實時排列形式與檢測模塊的執(zhí)行標準完全相同時，MAC 設(shè)備會自發(fā)制定分段檢測指令，以便下級服務(wù)設(shè)備的調(diào)取與利用。

2 攻擊分段檢測系統(tǒng)軟件設(shè)計

2.1 物聯(lián)網(wǎng)集群定義

物聯(lián)網(wǎng)集群的主要功能是將惡意數(shù)據(jù)信息接入分段檢測主機中，再根據(jù)拒絕服務(wù)指令的傳輸形式，確定與惡意信息參量匹配的數(shù)據(jù)傳輸流量水平。隨著分布式物聯(lián)網(wǎng)框架覆蓋面積的增大，集群節(jié)點的定義數(shù)量也在不斷增多。為使流量指標能夠與惡意信息參量完全匹配，定義物聯(lián)網(wǎng)集群節(jié)點時，必須考慮物聯(lián)網(wǎng)主機對于傳輸數(shù)據(jù)信息的實時檢測能力[11-12]。設(shè)w、e表示兩個不相同的數(shù)據(jù)信息分段定義系數(shù)，qi,e表示基于系數(shù)e的攻擊行為檢測參量，qi,w表示基于系數(shù)w的攻擊行為檢測參量。聯(lián)立上述物理量，可將物聯(lián)網(wǎng)集群表達式定義為：

式中，i表示惡意數(shù)據(jù)信息的流量標度值，β表示物聯(lián)網(wǎng)體系的分布式特征值，ΔP表示惡意數(shù)據(jù)信息的單位傳輸量。對于分段檢測系統(tǒng)而言，物聯(lián)網(wǎng)集群節(jié)點分布得越分散，主機元件對于數(shù)據(jù)信息參量的感知與辨別能力也就越強。

2.2 分布式執(zhí)行指令

分布式執(zhí)行指令決定了物聯(lián)網(wǎng)主機對于拒絕服務(wù)連接行為的處理能力，在已知物聯(lián)網(wǎng)集群定義標準的條件下，待執(zhí)行指令之間的關(guān)聯(lián)程度越高，惡意數(shù)據(jù)信息與常規(guī)傳輸信息之間的差異性等級也就越高，即系統(tǒng)主機具有較強的檢測能力[13-14]。定義分布式執(zhí)行指令時，需掌握惡意數(shù)據(jù)信息傳輸強度γ的具體數(shù)值，計算表達式如下：

式中，α表示拒絕服務(wù)連接行為執(zhí)行強度，y1、y2表示兩個隨機選取的物聯(lián)網(wǎng)體系分布式構(gòu)建向量，yˉ表示向量y1與y2的平均值。在式（2）的基礎(chǔ)上，設(shè)δ表示常規(guī)數(shù)據(jù)信息的傳輸?shù)燃壪禂?shù)，χ表示惡意數(shù)據(jù)信息的傳輸?shù)燃壪禂?shù)，聯(lián)立式（1），可將分布式執(zhí)行指令定義條件表示為：

其中，f表示惡意數(shù)據(jù)信息、常規(guī)數(shù)據(jù)信息之間的關(guān)聯(lián)差異系數(shù)。為實現(xiàn)對物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊的準確檢測，定義分布式執(zhí)行指令時，系數(shù)δ的取值必須大于系數(shù)χ。

2.3 拒絕服務(wù)應(yīng)用機制

拒絕服務(wù)應(yīng)用機制表現(xiàn)了物聯(lián)網(wǎng)體系的分段應(yīng)用等級，若將分布式執(zhí)行指令作為已知條件，惡意數(shù)據(jù)信息的實時傳輸量越大，檢測主機能夠屏蔽的攻擊性行為種類也就越多[15-16]。建立拒絕服務(wù)應(yīng)用機制時，需求取物聯(lián)網(wǎng)主機對于惡意數(shù)據(jù)信息的極限承載條件。設(shè)ω表示惡意數(shù)據(jù)信息的分段特征，d表示決絕服務(wù)攻擊行為指令的分段特征。物聯(lián)網(wǎng)主機對于惡意數(shù)據(jù)信息承載量極小值smin、極大值smax的計算結(jié)果如式（4）所示：

設(shè)k1、k2、…、kn表示n個不同的拒絕服務(wù)攻擊行為向量。聯(lián)立式（3）、式（4），可將拒絕服務(wù)應(yīng)用機制定義條件表示為：

至此，完成對各項指標參量的計算與處理。在不考慮其他干擾條件的情況下，實現(xiàn)物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊分段檢測系統(tǒng)的設(shè)計與應(yīng)用。

3 實例分析

為驗證檢測系統(tǒng)對數(shù)據(jù)信息惡意攻擊行為的屏蔽能力，設(shè)計如下對比實驗。

步驟一：選擇物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊分段檢測系統(tǒng)作為實驗組應(yīng)用方法；

步驟二：選擇DoS檢測系統(tǒng)作為對照組應(yīng)用方法；

步驟三：以一臺額定承載量為5 TB 的物聯(lián)網(wǎng)主機作為實驗設(shè)備；

步驟四：利用實驗組檢測系統(tǒng)對實驗設(shè)備進行控制；

步驟五：記錄實驗組數(shù)據(jù)信息惡意攻擊行為強度數(shù)值；

步驟六：利用對照組檢測系統(tǒng)對實驗設(shè)備進行控制；

步驟七：記錄對照組數(shù)據(jù)信息惡意攻擊行為強度數(shù)值；

步驟八：對比實驗組、對照組的實驗記錄數(shù)值；

步驟九：分析實驗結(jié)果，總結(jié)實驗規(guī)律；

數(shù)據(jù)信息惡意攻擊行為強度ψ可以描述物聯(lián)網(wǎng)分布式環(huán)境的連接穩(wěn)定性，前者的計算取值越大，后者的連接穩(wěn)定性也就越強。

數(shù)據(jù)信息惡意攻擊行為強度ψ計算式如下：

式中，ω表示定向檢測系數(shù)，θ表示檢測指令執(zhí)行系數(shù)。

表1 記錄了實驗組、對照組ω指標與θ指標的實驗取值結(jié)果。

表1 實驗指標取值

分析表1 中數(shù)據(jù)可知，實驗組、對照組ω指標的數(shù)值差水平不大，前者最大值為2.28、平均值為2.27，后者最大值為2.29、平均值為2.27；而實驗組θ指標的數(shù)值水平較低、對照組θ指標的數(shù)值水平相對較高，前者最大值為19.36、平均值為17.96，后者最大值為35.08、平均值為33.41。

聯(lián)合式（6）與表1 中的實驗數(shù)值，計算數(shù)據(jù)信息惡意攻擊行為強度ψ，詳情如表2 所示。

表2 數(shù)據(jù)信息惡意攻擊行為強度

分析表2 可知，整個實驗過程中，實驗組ψ指標數(shù)值水平較低，其最大值為43.75、平均值為40.80；對照組ψ指標數(shù)值水平則相對較高，其最大值為79.63、平均值為75.95。

綜上可知，在物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊分段檢測系統(tǒng)的作用下，數(shù)據(jù)信息惡意攻擊行為強度指標的數(shù)值水平得到了較好控制，其計算結(jié)果最大值由79.63 降低至43.75，單位下降幅度為35.88，其計算結(jié)果最小值由72.70 下降至36.80，單位下降幅度為35.90。與DoS 檢測系統(tǒng)相比，物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊分段檢測系統(tǒng)能夠較好屏蔽數(shù)據(jù)信息的惡意攻擊行為，這與維持物聯(lián)網(wǎng)分布式環(huán)境連接穩(wěn)定性的初衷相符合。

4 結(jié)束語

隨著物聯(lián)網(wǎng)分布式拒絕服務(wù)攻擊分段檢測系統(tǒng)的應(yīng)用，數(shù)據(jù)信息惡意攻擊行為強度指標均值被控制在41 以下，這對于屏蔽數(shù)據(jù)信息的惡意攻擊行為，確保物聯(lián)網(wǎng)分布式環(huán)境的連接穩(wěn)定性具有較強的實用性價值。在DoS 檢測系統(tǒng)的基礎(chǔ)上，分段檢測系統(tǒng)以Hadoop 架構(gòu)為基礎(chǔ)，在數(shù)據(jù)包捕獲模塊的作用下，調(diào)節(jié)攻擊行為檢測模塊的實際作用能力。根據(jù)物聯(lián)網(wǎng)集群定義表達式，完善拒絕服務(wù)應(yīng)用機制的作用形式，對于促進分布式執(zhí)行指令的準確傳輸，可以起到較強的促進性影響作用。