罗 丽

（江西科技师范大学 理工学院 理工学科部，江西 南昌 330013）

0 引 言

网络节点对信息传播等机制具有高度影响，对网络节点的安全性进行度量，能有效控制节点对信息的传播能力，保障无线通信网络安全[1]。国外对无线通信网络节点安全性的度量标准较多，如从管理角度制定BS 7799安全标准，在收集网络节点配置信息后，提供漏洞、资产及风险威胁等方面的度量方法，明确各个等级网络节点的管理要求，主要实施内容包括无线通信网络的安全标准和普通警告，并在防护措施方面，提出一系列保护方法。国内对网络节点安全性的度量，以《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239—2008）安全等级保护基本要求为依据，根据其给出的度量流程和框架，明确节点各阶段的风险程度，并判断其是否符合安全标准。但传统网络节点安全性度量方法未充分考虑无线通信网络的特点，在对节点安全性进行度量时，没有结合无线通信网络特性，导致度量波动较大，与无线通信网络适应性较差。为解决以上问题，设计基于物联网的无线通信网络节点安全性度量方法。物联网可以根据无线传感设备的相关协议，实现设备节点分布存储等步骤，感知无线通信网络中的节点位置，满足网络节点度量定位的技术需求，还可以将各种网络连接起来，搜索并采集节点相关信息，在无线网络中完成节点信息互换，实现智能化监控管理[2]。

1 基于物联网的无线通信网络节点安全性度量方法设计

1.1 选定网络节点

计算网络节点对无线通信网络的影响范围，选择出影响通信网络安全的重要节点。首先采用传播动力学，将关注点集中在节点相邻信息或者节点自身信息上，对无线通信网络进行度量，考察网络中该节点被破坏或删除后，网络连通性的排序方法是否会被破坏，以及网络连通性是否变差，通过破坏性评价进行深入分析。由于破坏某一节点时，与该节点相关联的所有节点都会被删除，因此，要从网络局部特征出发，使用网络节点的度指标，计算节点影响网络连通性的局部信息量，对节点情况进行刻画，找出造成直接影响的网络节点[3]。设网络节点为u，该节点的相邻节点集合为Γ(u)，次相邻节点数之和为N，最近相邻节点数之和为W，则每层节点的局部集中度Q(u)的计算公式为：

将节点局部集中度作为影响网络连通性的反馈程度，引入权重衰减因子，度量节点对其他节点施加影响作用的能力，对每个网络节点的破坏程度赋予权重，并将其相邻节点也作为一个反馈环节。根据无线网络存储的大量数据，将介数中心性作为节点安全重要性的评价指标，当破坏的节点局部集中度越接近中心性数值时，则处于中心地位的网络节点，其对无线网络通信网络节点安全性的影响程度较大。经过上述分析，在考虑安全性的前提下，完成重要网络节点的选定。

1.2 基于物联网识别节点整体风险

基于物联网技术，搜索以上重要节点的网络和位置信息，对所有节点的整体风险进行识别。分别从网络层面和拓扑图角度对节点风险进行评估，结合无线通信网络的特殊需求及实际情况，将网络节点风险的关键因子抽象出来，结合物联网搜索的节点脆弱项的配置信息，如网络节点风险因子，以及与无线通信网络的权重关系。

设无线通信网络核心层风险值为x1，汇聚层风险值为x2，接入层风险值为x3，计算网络风险值的函数为H，网络节点风险事件发生的概率为P，网络脆弱性为C，无线通信网络资产为z，网络威胁为W，则网络节点整体风险值NR的计算公式为：

采用基线配置检测工具对脆弱性进行检测。网络脆弱性C共分为高、中、低3个级别。其中，高脆弱级别包括对静态口令、通信分配权限、明文形式及设置口令的影响程度；中脆弱级别包括对网络源地址、过滤操作、引起潜在危害、端口延迟时间、无线通信服务协议、任意主机访问服务器、远程登录密钥的影响程度；低脆弱级别包括对配置文件、目标端口、字符序列、目标地址的影响程度。之后，控制脆弱项浮动范围为0～1，取所有节点脆弱项的平均值。至此，完成基于物联网技术的网络节点整体风险的识别过程。

1.3 度量网络节点安全性等级

对网络节点整体风险进行评估，判断其在无线通信网络中的安全等级。在常规安全评估流程的基础上，选出属性综合值最大的网络节点，引入无线通信网络的整体风险这个参数，将造成风险状态的转移概率也纳入评估范围，将节点属性信息和割边选择作为潜在的风险转移路径。为使评估结果更加准确，将节点安全等级细化为1～5级。当安全等级为高和很高时，则无线通信网络节点安全能得到保障。至此完成了基于物联网技术的无线通信网络节点安全性度量方法设计。

2 实验论证分析

为验证上述设计方法的有效性，与传统无线通信网络节点安全性度量方法进行对比分析。

2.1 实验过程

用OPNET软件模拟无线通信网络拓扑，依据安全基线配置检测工具，在无线传感器网络中建立n个仿真节点，模拟无线通信网络数据交互的场景。选取CISC07609路由器，将网络节点设置为亚攻击性恶意节点，存在access绑定设备脆弱项，表现恶意节点相对复杂的真实攻击行为，对信息网络进行分层。将特殊字段填充至网络环境MSDU部分，使所有网络节点生成节点时间序列集，为使模拟实验更加真实化，使用协议栈MAC命令帧的报文结构，其节点包括帧控制、命令类型、命令载荷，并对序列集进行赋值。

将网络节点的时间序列作为输入数据，将处在核心层的V3识别作为风险值最高的节点，考虑高速转发和路由能力，以及造成节点安全性度量效果的差异，设置大量外接接口，模拟一个聚类过程输出最终度量结果，加入无线通信网络整体风险的参数。另两种度量方法分析设置的变量参数，对网络节点整体安全性进行度量，投入来保护V3的安全。

2.2 实验结果

本文提出的方法与传统方法的节点权重如表1所示。

表1 节点风险值计算结果

为保证对比实验的准确性，设置节点序列长度分别为50～300，选择几个不同的长度值来进行比较，作为实验关注范围。由于长度不同，其分析结果精度也有所不同，因此要不断增加节点度量的开销和运算时间。记录两种度量方法对恶意节点的召回率，结果如表2所示。

表2 恶意节点的对比结果

由表2可知，两种度量方法都能识别恶意节点的性能参数，从对比结果数据可以看出，网络节点的召回率都随序列长度而增加，对节点的误判率降低，但本文方法的平均召回率为0.77%，而传统方法对恶意节点的召回率则为0.86%，相比传统方法召回率提高了0.09%，在恶意节点的识别度方面取得了较好效果。

保持网络节点总数不变，改变无线通信网络中恶意节点与正常节点的比例，记录两种度量方法对正常节点的召回率，结果如表3所示。

由表3可知，本文方法的平均召回率为0.17%，比传统方法对恶意节点的召回率（0.09%）提高了0.06%。综上所述，本文度量方法对网络节点的召回率较低，有效提高了对节点判断的精度。

表3 正常节点的对比结果

3 结 论

此次提出的度量方法充分发挥出了物联网对网络节点定位识别的优势，提高了对网络节点安全性的度量准确性。但此次提出方法在应用无线通信网络时，因为不受资源的限制，对网络节点的信誉管理较为简单，管理机制不够完善，在今后的研究中，会对该度量方法进一步优化，降低资源开销，不改变精确性能的同时，使其更加适用于无线通信网络。