物联网分布式拒绝服务攻击分段检测系统设计

蔡 娜，刘 磊

（北京计算机技术及应用研究所，北京 100854）

物联网是以传统电信网络和互联网为基础构建的新型信息承载体结构，它能够自发执行独立寻址指令，并可以将对象节点串联起来，形成完善且稳定的互通网络闭环。在实际应用过程中，物联网结构体系的构建必须借助射频识别技术[1]。随着网络覆盖面积的增大，信息节点之间的联系紧密度也在不断增强。此时在射频识别技术的作用下，单一信息节点所发出的传输数据文件能够在较短时间内反馈至下级目标信息节点，且此过程中不会出现任何数据损失行为，这也是物联网环境中数据信息传输量始终保持稳定的主要原因[2]。

在物联网环境中，数据信息恶意攻击行为不但会严重影响信息参量的传输完整性，还会使分布式网络环境呈现出明显波动连接状态[3]。为避免上述情况的发生，传统DoS 检测系统以分布式框架为基础，在准确提取数据信息传输文本参量的同时，利用IP 解析模块，确定信息节点之间的互通连接关系[4]。然而，该系统对于数据信息恶意攻击行为的屏蔽能力有限，并不能使物联网分布式环境保持绝对稳定的连接状态。针对上述问题，设计新型物联网分布式拒绝服务攻击分段检测系统，并通过对比实验，突出该系统的应用能力。

1 攻击分段检测系统硬件设计

1.1 Hadoop架构

Hadoop 架构是物联网分布式拒绝服务攻击分段检测系统硬件执行环境的构建基础，该架构由访问层、网络信息层、数据信息存储层三部分组成，如图1 所示。网络信息层是Hadoop 架构的核心单元，可以根据Hive 节点与MR 节点、Hbase 节点与Solr 节点、Mahout 节点与Redis 节点之间的连接关系，判断物联网数据信息参量所处的实时传输位置[5-6]。由于网络信息层结构同时与访问层结构、数据信息存储层结构相连，所以物联网数据信息参量在Hadoop 架构中的传输行为始终保持通畅。

图1 Hadoop架构示意图

访问层单元负责制定数据分析、物联网信息查询与攻击挖掘指令。数据信息存储层单元只包含物联网分布式数据库，负责生成长期的数据信息参量存储文件。

1.2 数据包捕获模块

数据包捕获模块主要负责对物联网中的各种数据包文件进行采集与预处理。该模块是基于分布式网络的读取功能实现的，数据包文件的解析与处理效率直接影响主机元件对于信息攻击行为的检测准确性[7]。在分段检测系统中，物联网主机可以工作在多种不同的运行模式之下，以实现不同的攻击行为检测需求。主要模式有Ad-hoc 模式、Managed 模式、Monitor 模式。

1）Ad-hoc 模式

数据包捕获模块的主要工作模式，可以准确检测出攻击性物联网数据所处位置，并可以借助信道组织，将检测指令文件传输至下级应用模块之中。

2）Managed 模式

数据包捕获模块Ad-hoc 工作模式的伴随存在形式，能够将攻击性物联网数据从分布式数据库主机中分离出来，并将这些信息文本反馈回核心检测主机[8]。

3）Monitor 模式

数据包捕获模块的从属工作模式，可以根据Hadoop 架构连接状态，确定待检测物联网数据信息的实际传输行为。

1.3 攻击行为检测模块

攻击行为检测模块作为Hadoop 架构的下级附属结构，以MAC 设备作为核心应用设备，其与物联网主机保持分布式连接关系。故而在提取恶意攻击信息时，要求数据序列号的定义形式必须与数据信息样本的实时排列形式保持一致[9]。其具体连接原理如图2所示。

图2 攻击行为检测模块连接原理

MAC 设备对于物联网恶意攻击信息的提取遵循先序列号、再执行指令的原则。数据信息样本作为过渡结构，可以按照序列号定义条件，对信息参量进行重排处理[10]。当物联网恶意攻击信息的实时排列形式与检测模块的执行标准完全相同时，MAC 设备会自发制定分段检测指令，以便下级服务设备的调取与利用。

2 攻击分段检测系统软件设计

2.1 物联网集群定义

物联网集群的主要功能是将恶意数据信息接入分段检测主机中，再根据拒绝服务指令的传输形式，确定与恶意信息参量匹配的数据传输流量水平。随着分布式物联网框架覆盖面积的增大，集群节点的定义数量也在不断增多。为使流量指标能够与恶意信息参量完全匹配，定义物联网集群节点时，必须考虑物联网主机对于传输数据信息的实时检测能力[11-12]。设w、e表示两个不相同的数据信息分段定义系数，qi,e表示基于系数e的攻击行为检测参量，qi,w表示基于系数w的攻击行为检测参量。联立上述物理量，可将物联网集群表达式定义为：

式中，i表示恶意数据信息的流量标度值，β表示物联网体系的分布式特征值，ΔP表示恶意数据信息的单位传输量。对于分段检测系统而言，物联网集群节点分布得越分散，主机元件对于数据信息参量的感知与辨别能力也就越强。

2.2 分布式执行指令

分布式执行指令决定了物联网主机对于拒绝服务连接行为的处理能力，在已知物联网集群定义标准的条件下，待执行指令之间的关联程度越高，恶意数据信息与常规传输信息之间的差异性等级也就越高，即系统主机具有较强的检测能力[13-14]。定义分布式执行指令时，需掌握恶意数据信息传输强度γ的具体数值，计算表达式如下：

式中，α表示拒绝服务连接行为执行强度，y1、y2表示两个随机选取的物联网体系分布式构建向量，yˉ表示向量y1与y2的平均值。在式（2）的基础上，设δ表示常规数据信息的传输等级系数，χ表示恶意数据信息的传输等级系数，联立式（1），可将分布式执行指令定义条件表示为：

其中，f表示恶意数据信息、常规数据信息之间的关联差异系数。为实现对物联网分布式拒绝服务攻击的准确检测，定义分布式执行指令时，系数δ的取值必须大于系数χ。

2.3 拒绝服务应用机制

拒绝服务应用机制表现了物联网体系的分段应用等级，若将分布式执行指令作为已知条件，恶意数据信息的实时传输量越大，检测主机能够屏蔽的攻击性行为种类也就越多[15-16]。建立拒绝服务应用机制时，需求取物联网主机对于恶意数据信息的极限承载条件。设ω表示恶意数据信息的分段特征，d表示决绝服务攻击行为指令的分段特征。物联网主机对于恶意数据信息承载量极小值smin、极大值smax的计算结果如式（4）所示：

设k1、k2、…、kn表示n个不同的拒绝服务攻击行为向量。联立式（3）、式（4），可将拒绝服务应用机制定义条件表示为：

至此，完成对各项指标参量的计算与处理。在不考虑其他干扰条件的情况下，实现物联网分布式拒绝服务攻击分段检测系统的设计与应用。

3 实例分析

为验证检测系统对数据信息恶意攻击行为的屏蔽能力，设计如下对比实验。

步骤一：选择物联网分布式拒绝服务攻击分段检测系统作为实验组应用方法；

步骤二：选择DoS检测系统作为对照组应用方法；

步骤三：以一台额定承载量为5 TB 的物联网主机作为实验设备；

步骤四：利用实验组检测系统对实验设备进行控制；

步骤五：记录实验组数据信息恶意攻击行为强度数值；

步骤六：利用对照组检测系统对实验设备进行控制；

步骤七：记录对照组数据信息恶意攻击行为强度数值；

步骤八：对比实验组、对照组的实验记录数值；

步骤九：分析实验结果，总结实验规律；

数据信息恶意攻击行为强度ψ可以描述物联网分布式环境的连接稳定性，前者的计算取值越大，后者的连接稳定性也就越强。

数据信息恶意攻击行为强度ψ计算式如下：

式中，ω表示定向检测系数，θ表示检测指令执行系数。

表1 记录了实验组、对照组ω指标与θ指标的实验取值结果。

表1 实验指标取值

分析表1 中数据可知，实验组、对照组ω指标的数值差水平不大，前者最大值为2.28、平均值为2.27，后者最大值为2.29、平均值为2.27；而实验组θ指标的数值水平较低、对照组θ指标的数值水平相对较高，前者最大值为19.36、平均值为17.96，后者最大值为35.08、平均值为33.41。

联合式（6）与表1 中的实验数值，计算数据信息恶意攻击行为强度ψ，详情如表2 所示。

表2 数据信息恶意攻击行为强度

分析表2 可知，整个实验过程中，实验组ψ指标数值水平较低，其最大值为43.75、平均值为40.80；对照组ψ指标数值水平则相对较高，其最大值为79.63、平均值为75.95。

综上可知，在物联网分布式拒绝服务攻击分段检测系统的作用下，数据信息恶意攻击行为强度指标的数值水平得到了较好控制，其计算结果最大值由79.63 降低至43.75，单位下降幅度为35.88，其计算结果最小值由72.70 下降至36.80，单位下降幅度为35.90。与DoS 检测系统相比，物联网分布式拒绝服务攻击分段检测系统能够较好屏蔽数据信息的恶意攻击行为，这与维持物联网分布式环境连接稳定性的初衷相符合。

4 结束语

随着物联网分布式拒绝服务攻击分段检测系统的应用，数据信息恶意攻击行为强度指标均值被控制在41 以下，这对于屏蔽数据信息的恶意攻击行为，确保物联网分布式环境的连接稳定性具有较强的实用性价值。在DoS 检测系统的基础上，分段检测系统以Hadoop 架构为基础，在数据包捕获模块的作用下，调节攻击行为检测模块的实际作用能力。根据物联网集群定义表达式，完善拒绝服务应用机制的作用形式，对于促进分布式执行指令的准确传输，可以起到较强的促进性影响作用。