基于信息熵的IP網(wǎng)絡(luò)異常行為預(yù)測及可信路由方法研究.pdf

1、IP網(wǎng)絡(luò)誕生至今已有半個多世紀了，對全球經(jīng)濟和社會的發(fā)展與進步起著十分巨大的推動作用。IP網(wǎng)絡(luò)已成為當前信息社會的重要基礎(chǔ)設(shè)施之一，并逐步向經(jīng)濟、軍事、科技與教育等多個領(lǐng)域滲透，其基礎(chǔ)地位和核心作用正與日俱增。隨著網(wǎng)絡(luò)規(guī)模的不斷擴大和網(wǎng)絡(luò)技術(shù)的日益改進，網(wǎng)絡(luò)設(shè)備逐漸多樣化，網(wǎng)絡(luò)拓撲結(jié)構(gòu)越來越復雜，IP網(wǎng)絡(luò)所支撐的業(yè)務(wù)類型也持續(xù)增多，這都在某種程度上加大了網(wǎng)絡(luò)的不安全性，因此，網(wǎng)絡(luò)安全研究面臨著巨大的挑戰(zhàn)。進行網(wǎng)絡(luò)異常行為檢測和防御的目的

2、是：在網(wǎng)絡(luò)出現(xiàn)異常情況或遭受惡意入侵的時候，能夠及時發(fā)出警報，并采取相應(yīng)措施來保證網(wǎng)絡(luò)主要業(yè)務(wù)的正常運作，比如：網(wǎng)絡(luò)跟蹤、孤立惡意節(jié)點，更新路由選擇和通信恢復等措施。
　　 從傳統(tǒng)的入侵檢測系統(tǒng)(IDS: Intrusion Detective System)到后來改進的入侵防御系統(tǒng)(IPS: Intrusion Prevention System)，都是在入侵發(fā)生后系統(tǒng)才做出反應(yīng)。這時入侵者已經(jīng)實現(xiàn)了入侵目的，被動的反應(yīng)是事后

3、反應(yīng)，無法實現(xiàn)真正意義上的主動防御。
　　 本文探索網(wǎng)絡(luò)安全防御新方法，企圖在入侵發(fā)生、或達到某種危害程度之前預(yù)測入侵，及時發(fā)出預(yù)警，并采取安全路由策略來阻止入侵的深入，保證主要業(yè)務(wù)的運行，將被動抵御轉(zhuǎn)化為主動防御。本文的創(chuàng)新有如下幾點：
　　 第一：文中提出了基于條件信息熵(CIE: Conditional Information Entropy)的IP網(wǎng)絡(luò)入侵預(yù)測方法，通過事前預(yù)測來減小事后檢測的被動防御缺陷。該方法

4、包括三個部分：網(wǎng)絡(luò)性能參數(shù)處理、節(jié)點狀態(tài)等級劃分和基于CIE的量化過程。核心節(jié)點根據(jù)聚類算法將歸一化的網(wǎng)絡(luò)性能參數(shù)等級化；然后采用CIE公式來量化這些等級值之間的關(guān)系。根據(jù)理論推導可以得到如下結(jié)論：CIE越大，狀態(tài)之間越容易躍變，即入侵發(fā)生的可能性越大。將CIE值與閾值作比較，高于閾值則預(yù)警，并啟動基于預(yù)測結(jié)果的IP可信路由容侵機制(ITM: Intrusion ToleranceMechanism)，保證網(wǎng)絡(luò)主要業(yè)務(wù)的正常運作。

5、>　　 第二：基于預(yù)測結(jié)果，本文提出了一種新的ITM即IP可信路由實現(xiàn)策略(IPcrit:IP Credible Routing Implementation Tactics)，它和入侵預(yù)測部分一起共同構(gòu)成了整個防御體系。可信路由即是在節(jié)點之間通過是否信任彼此來作為信息投遞的判斷依據(jù)，而本文中節(jié)點的相互信任關(guān)系來自于兩個方面：首先是入侵預(yù)測的結(jié)果，即未來時刻的預(yù)測信譽值(FCV: Forecast Credibility Value)

6、；其次是節(jié)點相互之間的信譽評估，即當前時刻的檢測信譽值(DCV: Detection Credibility Value)。節(jié)點之間根據(jù)信譽值的高低來選擇路由線路，最大程度地保證主要業(yè)務(wù)的安全傳遞。
　　 第三，為了實現(xiàn)IPcrit、體現(xiàn)節(jié)點信譽評估的全面性和可信路由的嚴密性，本文提出了一種改進的雙向信譽評估策略(2wCAT：Two-way Credit AssessmentTactics)，即發(fā)送節(jié)點和接收節(jié)點進行雙向信譽評估

7、。對發(fā)送方而言：不僅要確保目標節(jié)點的安全可信，還要確保直接投遞節(jié)點的可信；對接收方而言：不僅要評估直接發(fā)送數(shù)據(jù)包給它的那個相鄰節(jié)點，還要評估該數(shù)據(jù)包的源節(jié)點，在二者都可信的前提下才能投遞該數(shù)據(jù)包。在信任評估過程中，同時考慮FCV和DCV,提高ITM的主動性和前瞻性。同時，本文還將減少路由開銷納入了考慮范疇，提出了在相鄰節(jié)點集合中選擇與已選鏈路中所有節(jié)點無關(guān)的、且信譽值最高的節(jié)點來投遞數(shù)據(jù)包這樣的路由原則，一定程度上降低了路由的資源消耗。