弱关联节点强化下网络泛洪攻击检测方法研究

李晓粉，张兆娟

（中国计量大学信息工程学院，浙江杭州 310018）

0 引 言

泛洪攻击是指攻击者发送大量无效或伪造的请求到目标网络上，以消耗网络带宽、资源和服务能力。随着互联网的普及和依赖程度的提高，网络安全威胁也在不断增加[1-2]。其中，泛洪攻击作为一种网络攻击手段，会导致网络的拥塞和服务中断，极大地影响了网络的正常运行和用户的体验[3-4]。因此，针对网络中的泛洪攻击，研究出一种检测新方法具有重要意义。

文献[5]研究基于熵率的泛洪攻击检测与防御方法，以网络中用户请求内容为依据，通过熵率值识别内容综合的泛洪攻击恶意前缀，并通过回溯包含恶意前缀信息包进行攻击有效抵抗，由于网络本身的复杂性，对于那些正常流量中出现的随机性，仅凭用户请求内容的随机性来判断泛洪攻击会存在较高的误判率。文献[6]研究基于Spark 辅助相关分析的泛洪攻击检测方法，利用希尔伯特-黄变换（Hilbert-Huang Transform, HHT）分析网络中的攻击信号时频，结合Spearman 相关系数计算方法，识别出异常的IMF 分量。当与正常IMF 分量的差异超过40%时，即判定为泛洪攻击。实验证实了该方法在ZigBee 无线传感器网络中检测LDoS 攻击的有效性。但Spearman 相关系数的阈值设定比较主观，缺乏客观标准。文献[7]研究基于深度学习的网络泛洪攻击检测方法，以网络遭受泛洪攻击后的数据为输入，构建CNN、BiLSTN 和注意力机制融合的深度学习模型，通过有效的网络数据空间和时序特征提取，实现攻击检测。文献[8]研究基于自适应神经模糊推理系统（ANFIS）的特征提取和泛洪攻击检测模型，有效提取网络特征并区分恶意节点与可信节点，但这两种方法在模型训练方面会花费较多时间与计算资源，导致检测开销大。

网络弱关联节点是网络中脆弱性高的节点，通常为泛洪攻击入侵网络的首选，通过合理的强化方式可有效提升其抵抗攻击的性能。为此，研究弱关联节点强化下网络泛洪攻击检测方法，检测出网络的泛洪攻击并提升弱关联节点的抗攻击能力，最大程度保障网络安全。

1 网络泛洪攻击检测

1.1 弱关联节点分布情况

泛洪攻击涉及大量的恶意流量，攻击者利用弱关联节点来发动攻击。构建网络弱关联节点分布模型，通过分析弱关联节点的分布情况，可以确定攻击者进入系统的路径和入口位置，明确潜在的攻击源，从而定位优先防御的目标[9]。

设定弱关联节点通过线性叠加的形成存在于网络中，且彼此之间不存在信号干扰，则网络弱关联节点i的分布模型表达式为：

式中：rij、Gij、dij分别表示网络弱关联节点i、j之间的距离、衰减量、实际距离；Pj表示网络弱关联节点j在通信时发送的信号；α表示通信信息传输衰减变化指数。

1.2 弱关联节点定位

定位弱关联节点使得攻击的追溯和响应更加精准和迅速。一旦发现泛洪攻击活动，可以根据定位结果采取相应的对策，快速隔离恶意节点，有效缓解攻击造成的影响。以上述构建网络弱关联节点分布模型为基础，组建弱关联节点定位方程，以快速定位弱关联节点。

设定弱关联节点中包含已知节点和未知节点，选取三个已知节点，通过三者的不共线方式描述三者间的共存关系。在实际定位过程中，节点之间距离的差异会导致信号强度存在差异[10]。等时间条件下，节点间信号强度与节点间距离成反比，即节点间距离越远，节点间信号关联强度越弱，为此利用弱关联节点间的距离能够实现其快速定位。在网络弱关联节点分布模型中，设已知节点1、节点2、节点3与未知节点n之间的距离为r1、r2、r3，表达式如下：

式中：网络节点1、节点2、节点3 的横坐标和纵坐标为X1、X2、X3和Y1、Y2、Y3；未知节点n的横纵坐标为x、y。

由于在网络通信时，随时间变更，节点变化形成的实际运行距离R为：

式中q表示弱关联节点位置变更次数。

考虑节点变化，利用节点实际运行距离组建弱关联节点快速定位方程为：

式中f(x,y)用于描述未知的弱关联节点位置坐标。

1.3 弱关联节点泛洪攻击检测

通过定位弱关联节点，可以获得节点的位置信息和网络连接情况，从而检测出潜在的泛洪攻击[11]。当网络的弱关联节点接收到大量虚假报文或者报文的接收周期紊乱时，表明网络弱关联节点遭遇了泛洪攻击。为此，将周期性作为产生泛洪攻击的特征，实现对泛洪攻击的检测。

设s为周期，ti-1为弱通信节点接收i- 1帧通信报文的时间，则弱通信节点接收第i帧通信报文的时间约为：

泛洪攻击检测时需一次性检测时间区间[ti- 0.5s，ti +0.5s]中包含某弱通信节点接收的全部通信报文，基于网络弱关联节点传输通信报文的周期性，计算接收第i+ 1 帧通信报文的时间，即可实现对泛洪攻击检测。具体的公式为：

在这一时间段内，弱关联节点接收正常通信报文的帧数有且仅有一次，一旦帧数大于一次，则可判定该网络弱关联节点遭受到泛洪攻击[12]。当接收到的报文帧数为n，则可判定该弱关联节点遭受到的泛洪攻击报文数量为n-1。

1.4 基于弱关联节点强化的泛洪攻击防御

弱关联节点作为网络的关键节点，其泛洪攻击的检测与防御是保护网络安全的重要一环。通过报文接收的周期性，实现对弱关联节点遭受到的泛洪攻击进行检测。基于弱关联节点强化的泛洪攻击防御理念为延缓与阻隔。延缓是利用1.3 节检测到弱关联节点产生泛洪攻击机器报文数量后，及时将攻击报文条目删除，恢复弱关联节点功能，遏制恶意流量的传播并阻止攻击源的进一步攻击[13]。依靠弱关联节点的检测与防御结合，可以提高网络的抗攻击能力。

依据网络中路由的对称特点，弱关联节点强化时，伪造的报警包将遵循泛洪攻击报文发送的路径进行回溯，找到泛洪攻击源头。强化操作时为弱关联节点伪造的报警包回溯至网络中间路由时，会删除与泛洪攻击匹配的海量恶意报文，第一时间恢复弱关联节点在网络中的功能，通过更改节点的通信速率，阻隔泛洪攻击产生的虚假报文的持续蔓延。在检测到泛洪攻击的弱关联节点后，通过加性增乘性减理念执行弱关联节点通信速率限制，强化弱关联节点的能力，实现泛洪攻击防御。

假定弱关联节点k的通信速率初始值为vk-init，当检测到泛洪攻击时，其通信速率迅速降低为1，跟随时间的发展，通信速率呈现指数增长，即速度值的变化依次为1、2、4、8 等，通信速率变化如下：

式中：vk-next、vk-current为弱关联节点通信速率的下一值、当前值。当通信速率恢复至初始值时，说明网络的流量回归到正常水平，泛洪攻击已经得到抑制，此时可以结束防御状态，网络可以继续正常运行。

2 实验分析

2.1 仿真环境构建

为了验证弱关联节点强化下网络泛洪攻击检测方法研究的有效性，采用ndnSIM构建实验所需仿真平台，选用IEEE 802.11 作为MAC 层的协议，路由协议选用AODVATK。使用Setdest模块定义节点的移动模式，使用Cbrgen 模块定义节点间的数据流。网络相关参数如表1所示。

表1 网络仿真参数设置

2.2 弱关联节点定位效果分析

在仿真平台上模拟生成网络的8 个数据集，并按照表2 所示进行数据集中节点和边的设置。

表2 网络数据集基本参数设置

利用本文方法定位各数据集中的弱关联节点，选取2 个测度验证本文方法的定位效果，分别为瓶颈点测度、最大相邻连通节点测度、阶数节点测度。2 个测度的数值越接近1，则表明网络弱关联节点定位效果越好，反之越接近0，弱关联节点定位效果越差。设置8 个数据集的弱关联节点各测度的数值需达到0.6。2 个测度的计算公式如下：

式中：A(i)、B(i)分别表示瓶颈点测度、最大相邻连通节点测度；μl(i)、l分别表示涵盖节点i的通信路径数量、通信路径长度；E、N、ε分别表示网络相邻节点边数、i节点的相邻节点数、常数。本文方法的弱关联节点定位效果的统计结果如图1 所示。

图1 本文方法的弱关联节点定位效果统计结果

分析图1 可知，本文方法对8 个实验数据集中的弱关联节点的定位效果，瓶颈点测度、最大相邻连通节点测度的指标值均高于0.9，远高于设定的标准值0.6，实验结果表明本文方法可从网络中精准定位出弱关联节点。

2.3 泛洪攻击检测效果分析

为验证本文方法的应用效果，随机选取一网络节点1进行300 s 的攻击检测仿真实验，并在仿真的第100 s 对该节点进行为时100 s 的模拟泛洪攻击。将节点缓存占用率ρk作为指标，ρk可有效呈现出泛洪攻击对网络节点的影响情况，其计算公式为：

式中：Num of Entryk、Current Entryk分别表示节点中可缓存的攻击报文数量、节点k当前缓存的攻击报文数量。

分析产生泛洪攻击条件下、有攻击检测无防御条件下、本文方法应用条件下，节点1 的缓存占用率变化情况，结果如表3 所示。

表3 不同条件下的节点缓存占用率变化情况%

分析表3 数据可知：无攻击条件下，仿真300 s 的时间内，节点缓存占用率基本维持在15%～25%左右，表明正常情况下网络节点缓存的报文数量在标准范围内，为此可以保障节点缓存占用率始终处于一个稳定区间；有攻击检测无攻击防御条件下，在仿真100 s 时，节点缓存占用率迅速呈直线形式上升，在为期100 s 的攻击时间内，节点缓存占用率始终居高不下，平均值达到90.3%，在攻击结束后，节点缓存占用率迅速恢复至常态，此时节点会依据自身的恢复能力自动删除超时缓存报文；本文方法应用条件下，在遭受泛洪攻击初始缓存报文数量刚开始增多时，防御优势便凸显出来，可迅速将节点缓存占用率降低至20%左右，第一时间避免因遭受泛洪攻击导致无法为用户提供通信服务。综上可知，本文方法在检测到攻击后可迅速通过弱关联节点强化达到泛洪攻击防御效果，且效果显著。

3 结 论

本文提出的基于弱关联节点强化的泛洪攻击检测方法，通过定位网络中的弱关联节点，当检测到这些节点存在的泛洪攻击后，通过发送回溯报警包强化这些弱关联节点，实现对泛洪攻击的检测与防御。经实验验证本文方法具备较好的弱关联节点定位效果以及泛洪攻击检测、防御效果。但该方法也存在一定的局限性，例如，对于一些复杂的泛洪攻击，该方法可能无法准确地检测出来。此外，该方法需要一定的网络资源和时间来进行节点强化操作，会对网络性能产生一定的影响。本文提出的基于弱关联节点强化的泛洪攻击检测方法是一种有效的方法，具有较好的实时性和准确性，可广泛应用于网络的泛洪攻击检测中。然而，还需要进一步研究和改进，以克服其局限性，提高检测的准确性和可靠性。