基于多维攻防博弈机制的LTE-5G网络防御算法研究
2019-01-10王文飞张志峰
王文飞,张志峰
基于多维攻防博弈机制的LTE-5G网络防御算法研究
*王文飞1,张志峰2
(1.滁州职业技术学院,安徽,滁州 239000;2.内蒙古民族大学计算机科学与技术学院,内蒙古,通辽 028000)
针对当前LTE-5G网络防御算法需要预设先决条件,且在多维攻击环境下难以实现防御行为自收敛等难题,提出了一种基于多维攻防博弈机制的LTE-5G网络防御算法。首先,对攻击行为进行大数据建模,综合考虑攻击行为数学分布特性,即DDos攻击特性,并精确匹配DDos攻击带宽,实现对攻击危害行为的确定性分析,提高网络主动防御性能,达到对攻击行为预分析的目的;随后,考虑到传统算法的网络收敛概率评估较差的问题,采取Q分析方式进行随机博弈,构建了Q博弈-单向数据攻击模型,成功获取单向数据攻击集合,并进行了攻击行为持续期间的纳什均衡,改善算法的网络防御效果。仿真实验证明:与当前LTE-5G网络中广泛使用的次高频载波指纹网络过滤防御算法(Secondary High Frequency Carrier Fingerprint Network Filtering Defense Algorithm,SHFCF-FD算法)、带宽峰值匹配过滤防御算法(Bandwidth Peak Matching Filtering Defense Algorithm,BPMFD算法)相比,所提算法具有更大的抗攻击带宽强与网络传输带宽,以及更低的裁决错误率低与信道误码率,具有很强的实际部署价值。
LTE-5G网络;多维攻防;博弈机制; Q分析;DDos攻击带宽;纳什均衡
0 引言
随着以区块链2.0为代表的LTE-5G新兴技术正在得到大规模应用,其价值链的商业风险与价值也随之提升。由于基于区块链2.0为代表的LTE-5G新兴技术的商业资产均分散部署于网络终端中,实现了迄今为止最大规模的“去中心化”的部署应用,相应安全事件的发生也呈现爆炸式增加的态势[1]。考虑到当前信息存储终端具有带宽、存储、芯片计算受限的特性,攻击者均处于绝对的优势地位,因此需要针对攻击者具有的多维攻击特性进行大规模云建模,使得防御方能够在一定资金成本条件下实现对攻击源的有效管控。通过一定博弈论及关系建模思想取得基于纳什均衡条件下的策略均衡,成为当前LTE-5G安全防护层面的研究热点之一[2]。
为进一步提高网络防御方的抗攻击效率,增强网络安全系数,当前研究者提出了若干基于完全信息假设理论的解决方案,在一定程度上减少了网络安全事件发生的频率。Zhang[3]等提出了一种基于特权等级划分机制的LTE-5G网络防御算法,该算法通过将网络入侵攻击强度等特征维度进行等级划分方式,计算出防御方所需的纳什平衡方程,并依据该方程解的等级强度作为资源调度依据,能够实现常规条件下安全防御资源最佳调度利用。但是,该算法在LTE-5G场景中未考虑网络攻击方及防守方所具有的高流动性特点,实现过程具有复杂度高的不足,应用效果不佳。Liu[4]等提出了一种基于完全随机博弈匹配机制的LTE-5G网络防御算法,通过构建完全节点攻击对称映射模型的方式,实现了攻击行为-防御策略的实时匹配,且具有良好的数据弹性。然而,该算法需要针对全部LTE-5G节点进行自适应匹配,且采取基于遍历机制的匹配算法,因此该算法的收敛性能较差,难以胜任高流动性条件下的LTE-5G网络环境。Yu[5]等提出了一种基于动态单维度指纹匹配机制的LTE-5G网络防御算法,该方案通过追踪大规模DDos攻击源的方式,实现了LTE-5G网络异常流量的清洗,清洗过程具有便捷性和易操作性,实践意义较好,不过该算法仅能针对DDos一种攻击方式,且清洗过程对网络传输性能具有较大的影响,极易导致传输链路出现抖动现象。
为了解决上述问题,本文提出了一种新的基于多维攻防博弈机制,该机制主要通过大数据建模方式实现对网络攻击危害行为的一次定位,且能够对攻击行为进行预分析,实现对网络异常攻击源的精确解析;此外,本文算法考虑到实践中LTE-5G网络具有的鲁棒性特点,采取博弈的方式实现了网络性能的迅速收敛,且纳什均衡解能够侧重于防御方的利益,实践意义较强。最后通过NS2仿真实验证明了本文算法的优越性能。
1 本文大数据模型概述
针对LTE-5G网络固有的高流动性、低拓扑确定性等特点,且网络架构具有随机流动性,因此,对网络防御-攻击模型做如下的假设[6]:
1)LTE-5G网络具有攻击-防御数据流高流动性特性,当前数据模型生存周期内进行网络攻击的异常数据源与网络中负责进行防御的数据服务机制在下一个周期内至少更换50%,且异常数据源出现时机呈现明显的随机分布特性[7];
2)防御策略的启动具有随机特性,即任意某时刻启动防御策略的时候均是随机调取防御资源,按照一定的匹配机制与攻击行为进行匹配交互,从而实现对攻击行为的有效抑制[8];
3)LTE-5G网络攻击数据具有云化特性,即任意节点均可能成为攻击对象,节点需要综合整个网络中的防御资源进行匹配防御,从而实现对整个防御流程的自适应匹配[9]。
由于LTE-5G网络节点具有高流动特性,因此节点需要调集防御带宽进行DDos对冲操作,且该操作过程中调集的防御带宽可以在下一个传输周期中重复使用,其防御成本满足[10]:
当N路DDos同时进行网络攻击时,防御成本遵循如下的模型:
根据式(1)~(2)可知:LTE-5G网络在进行安全防御过程中,需要针对DDos攻击源带宽及相关参数进行针对性匹配,且剩余节点需要存储必要的防御带宽,以便随时应付下一时刻突发DDos流量攻击。
2 基于多维攻防博弈机制的LTE-5G网络防御算法
由上文可知,LTE-5G网络需要进行网络安全防御过程时,限制其防御能力最大化的制约因素为其对抗网络攻击所付出的节点成本及带宽成本,此外在实践过程中需要考虑到搜寻过程的收敛特性等因素;若这些因素出现异常,则会发生严重的网络抖动,甚至出现不可预测的安全问题[11]。考虑到当前实践过程中相关机制存在的问题,本文综合考虑节点防御行为、模型归纳、流量清洗等清洗,整套算法由攻击模型-集合收敛解析、Q博弈-单向数据攻击模两个部分构成,详情如下所述。
2.1 根据攻击行为数学分布和当前DDos分布列构建攻击模型-集合收敛解析
模型(3)、(4)的参数等同。
2.2 Q博弈-单向数据攻击模的构建与解析
式(9)中的参数同式(3)~(8)
本文算法的详细流程如下:
Step 2:发现DDos攻击,则转Step 3,反之则继续处于待命状态;
Step 5 :算法结束。
算法流程图如图1所示:
图 1 算法流程图
4 仿真实验
4.1 仿真环境设置
为证明本文算法的有效性,本文设置NS2仿真实验环境,仿真对比方案为当前LTE-5G网络中广泛使用的次高频载波指纹网络过滤防御算法[13](Secondary High Frequency Carrier Fingerprint Network Filtering Defense Algorithm,SHFCF-FD算法)、带宽峰值匹配过滤防御算法[14](Bandwidth Peak Matching Filtering Defense Algorithm,BPMFD算法)。为便于进行性能对比,LTE-5G网络采取常用的512QPSK调制方式,仿真指标采取抗攻击带宽强度、网络传输带宽、裁决错误率、信道误码率等指标,参数表如下:
表1 仿真参数
Table 1 Simulation parameters
4.2 仿真性能对比
(1)抗攻击带宽强度
图2为本文算法与SHFCF-FD算法、BPMFD算法在DDos攻击带宽不断增强时,LTE-5G网络的抗攻击带宽强度测试结果。由图可知,本文算法在DDos攻击带宽不断增强时,抗攻击带宽强度始终要显著高于对照组算法,抗DDos攻击效果良好;SHFCF-FD算法及BPMFD算法对应的抗攻击带宽强度始终低于本文算法,且性能曲线上升幅度较小,抗攻击性能较差。这是由于本文算法采取多维攻防博弈机制,能够针对网络中随机出现的攻击行为进行攻击模型-集合收敛解析,第一时间即可进行流量清洗,实现对网络攻击行为的精确匹配,大大提高了算法对攻击带宽的适应性能;SHFCF-FD算法、BPMFD算法均采取简单过滤机制,仅根据网络现存的防御资源进行流量过滤清洗,难以适应随机变化的实际攻击行为,因此抗攻击带宽强度要显著低于本文算法。
图2 抗攻击带宽强度的测试结果
(2)网络传输带宽
图3显示了本文算法与SHFCF-FD算法、BPMFD算法在抗攻击带宽强度不断增大时,LTE-5G网络的网络传输带宽的测试结果。由图可知,随着抗攻击带宽强度的不断增加,本文算法与对照组算法均呈现网络传输带宽不断下降的态势,显示了LTE-5G网络针对网络攻击耗费了更多的防御资源,不过本文算法的网络传输带宽始终处于较高的水平,且波动幅度要显著低于对照组算法;这是由于本文算法采取Q博弈-单向数据攻击模解析的方式,能够针对DDos行为发生的时间及相应攻击特征进行精确匹配,能够大大降低抗攻击的成本,显著提升网络传输性能,具有显著的优势。PIMF算法及ND-SES算法针对攻击带宽均采取一次清洗机制,无法复用冗余带宽,且在遭受网络攻击时存在严重的带宽抖动现象,因此网络传输带宽均要差于本文算法。
图3 网络传输带宽测试结果
(3)错误裁决率
图3显示了本文与SHFCF-FD算法、BPMFD算法在信道信噪比不断提高的前提下,错误裁决率的测试结果。由图可知,随着信道信噪比性能的不断提高,本文算法与SHFCF-FD算法、BPMFD算法均呈现裁决错误率不断提高的趋势,然而,本文算法的裁决错误率始终要低于对照组算法,这是由于本文算法能够通过Q博弈-单向数据攻击模的解析,实现对DDos攻击流量的提前预警,且随着DDos攻击流量的不断提高,本文算法通过攻击模型-集合收敛解析流程能够显著提升网络传输带宽,降低攻击流量所带来的网络抖动现象,大大强化纳什均衡防御过程中的解向量收敛,因此在一定信道信噪比性能的条件下可显著减少裁决错误频率,且攻击过程越持久,本文算法的裁决错误率越低,性能也越优越,要比SHFCF-FD算法、BPMFD算法采取的单纯过滤机制有优势。这表明本文算法攻击模型-集合收敛解析过程具有显著的主动防御特性,可适应复杂的网络抖动环境。
图3 错误裁决率测试结果
(4)信道误码率
图4显示了本文与SHFCF-FD算法、BPMFD算法在信道信噪比不断提高的前提下,信道误码率的测试结果。由图可知,随着信道信噪比性能的不断降低,本文算法与SHFCF-FD算法、BPMFD算法均出现了信道误码率不断降低的现象。这是由于本文算法通过攻击模型-集合收敛解析流程能够显著提高算法执行过程中的正确裁决比例;且传输过程中链路稳定性能具有显著的优势,能够适应突发的大规模DDos攻击时的带宽激增情况,因而信道误码率水平较低;SHFCF-FD算法、BPMFD算法主要针对异常流量进行简单清洗,其中SHFCF-FD算法主要通过阈值方式进行流量清洗,当仅当DDos流量达到阈值时方启动防御流程,且实际中容易产生严重的误判,一旦DDos流量超过阈值时将由于链路负载过重而产生严重的误判及误码现象;此外,BPMFD算法虽在阈值方式基础上增强了DDos流量捕捉机制,然而该算法未考虑DDos带宽具有时变特性,网络链路稳定性能随着DDos带宽呈现波动状态,容易导致误码现象的发生,并未深入到流量产生机理等层次进行有针对性的响应,因而信道误码率性能较差。
图4 信道误码率测试结果
5 结束语
本文提出了一种基于多维攻防博弈机制的LTE-5G网络防御算法,主要通过构建攻击模型-集合收敛解析、Q博弈-单向数据攻击模两个部分,显著增强LTE-5G网络面对网络攻击时的反应强度,提高防御行为的有效命中率,改善网络遭受大规模DDos攻击情况下的传输性能,促进传输带宽的提升。最后通过NS2仿真实验环境,证明本文算法具有显著的优越性,实践性能较强。
下一步考虑本文算法针对流动性较低环境适应性不足的特点,通过增强防御行为与攻击行为匹配度预测的方式,强化本文算法的网络防御性能,提升本文算法在实际领域的部署范围。
[1] Mads L, Lucas C G, Ignacio R.From LTE to 5G for Connected Mobility [J].IEEE Communications Magazine, 2017, 55(3): 156-162.
[2] 王元卓,于建业,邱雯.网络群体行为的演化博弈模型与分析方法[J].计算机学报, 2015, 38(2): 282-300.
[3] Zhang H W, Li T.Optimal Active Defense Based on Multi-Stage Attack-Defense Signaling Game[J].Acta ElectronicaSinica, 2017, 45(2):431-439.
[4] Liu J, Zhang H Q, Liu Y.Research on Optimal Selection of Moving Target Defense Policy Based on Dynamic Game with Incomplete Information[J].Acta Electronica Sinica, 2018, 46(1): 82-89.
[5] Yu Y, Xia C, Li SY.Trust Type Based Trust Bootstrapping Model of Computer Network Collaborative Defense[J].China Communications, 2015, 12(12): 133-146.
[6] Ding Z G, Liu Y W, Choi J.Application of Non-Orthogonal Multiple Access in LTE and 5G Networks [J].IEEE Communications Magazine, 2017, 55(2): 185-191.
[7] Holfeld B, Wieruch D, Wirth T.Wireless Communication for Factory Automation: an opportunity for LTE and 5G systems[J].IEEE Communications Magazine, 2016, 54(6): 36-43.
[8] Yehezkel A, Cohen R.Degree-Based Attacks and Defense Strategies in Complex Networks [J].Physical Review.2012, 86(8): 1-6.
[9] Kostas K, Navid N, Eryk S.Network Slices Toward 5G Communications: Slicing the LTE Network[J].IEEE Communications Magazine, 2017, 55(8): 146-154.
[10] Gordon L, Loeb M.2015 CSI/FBI Computer Crime and Security Survey[C]//The 2014 Computer Security Institute.2015: 48-64.
[11] Holfeld B, Wieruch D, Wirth T.Wireless Communication for Factory Automation: an opportunity for LTE and 5G systems[J].IEEE Communications Magazine, 2016, 54(6): 36-43.
[12] 龚贻华,杜华,李石兵,等.超短波电台通信网络中的自组网路由协议应用研究[J].井冈山大学学报:自然科学版, 2017, 38(4):57-61.
[13] Yan J, He H, Zhong X L.Q-Learning-Based Vulnerability Analysis of Smart Grid Against Sequential Topology Attacks[J].IEEE Transactions on Information Forensics & Security, 2017, 12(1): 200-210.
[14] Hu H, Zhang H, Liu Y.Quantitative Method for Network Security Situation Based on Attack Prediction[J].Security & Communication Networks, 2017(4): 1-19.
The Research on LTE-5G network defense Algorithm Based on multi-dimensional attack defense game mechanism
*WANG Wen-fei1, ZHANG Zhi-feng2
(1.Chuzhou Vocational and Technical College, Chuzhou, Anhui 239000, China;2.College of Computer Science and Technology, Inner Mongolia University for the Nationalities, Tongliao, Inner Mongolia 028000, China)
In order to solve the problem that current LTE-5G network defense algorithms need presupposition preconditions, and it is difficult to achieve self-convergence of defense behavior under multi-dimensional attack environment, a LTE-5G network defense algorithm based on multi-dimensional attack-defense game mechanism was proposed.Firstly, the large data model of the attack behavior was built, and the mathematical distribution of the attack behavior, i.e.DDos attack characteristic was considered and matched accurately.Then the deterministic analysis of the attack damage behavior was realized, which greatly improves the network active defense performance and achieves the purpose of pre-analysis of the attack behavior.In order to solve the problem of poor network convergence probability evaluation, a Q-game-one-way data attack model was constructed by using Q-analysis method.The set of one-way data attack modes was successfully obtained and Nash equilibrium was carried out for the duration of the attack, which further enhances the network defense effect of this algorithm.Simulation results show that,compared with the secondary high frequency carrier fingerprint network filtering defense algorithm, and the bandwidth peak matching filtering defense algorithm, this algorithm has larger anti-attack bandwidth, network transmission bandwidth, as well as lower decision error rate and channel error rate, which has good practical deployment value.
LTE-5G network; multidimensional attack and defense; game mechanism; q-analysis; ddos attack bandwidth; nash equilibrium
TP393
A
10.3969/j.issn.1674-8085.2018.06.009
2018-08-22;
2018-09-29
安徽省高等学校省级质量工程资助项目(2017mooc293);2018年度院级教学质量立项课题(2018jpkc005)
*王文飞(1983-),男,安徽马鞍山人,讲师,硕士,主要从事计算机网络、计算机应用、信息安全等研究(E-mail:wangwfei1983ms@sina.com);
张智峰(1976-),男,内蒙古赤峰人,副教授,硕士,主要从事计算机图形图像、网络通信、数据挖掘等研究(E-mail:Zhangzfg1976ng@163.com).
1674-8085(2018)06-0049-07
