谢丽霞,严莉萍,杨宏宇,2
(1. 中国民航大学计算机科学与技术学院,天津 300300;2. 中国民航大学安全科学与工程学院,天津 300300)
随着航空自组网(AANET,aeronautical Ad Hoc network)[1-3]在民用航空空中通信领域的广泛应用,其面临的网络安全挑战日益严峻。当发生AANET的网络攻击或设备损坏时,易引起节点失效波及反应[4],从而对AANET的网络通信质量造成严重影响。因此,研究AANET中节点失效波及反应,对提高AANET的应急处理能力和维护网络安全具有重要意义。
面向AANET的网络安全研究包括安全路由机制[5-6]、安全态势预测[7]、依赖网络建模[4,8-9]、波及影响分析方法[10-13]等领域。在依赖网络建模方面,Buldyrev等[4]提出一一对应关系的依赖网络模型,Shao等[8]提出多重对应关系的依赖网络模型,Ma等[9]提出基于网络间逻辑映射关系的复杂网络建模方法。以上依赖网络建模的方法仅关注节点间关联关系,并未考虑节点本身的属性。在波及影响分析方法方面,Li等[10]提出具有固定失效概率的经典失效传播模型,但未考虑实际网络节点失效概率的动态变化性。Wang等[11]提出传统负载-容量模型并设定失效流量沿最短路径传输,但未考虑AANET实际流量传输情况。负载-容量模型在网络失效研究中的应用,为网络信息传输节点失效引起的波及反应分析提供了可行的方法。Shen等[12]提出基于可变负载的依赖网络节点失效波及影响分析模型,通过定义流量损失参数来计算与网络现有资源相关的流量损失并分析实际相互依赖系统中失效传播特性。韩丽等[13]提出基于加权无标度网络的波及影响分析方法,按照节点权值再分配失效流量,但未考虑通信链路对网络波及反应的影响。上述节点失效波及影响分析方法广泛应用于电网、互联网领域的节点失效波及影响分析,但针对不同时刻,节点的失效概率不唯一,且对于节点初始流量和节点业务处理能力不同的AANET,上述方法的节点失效波及影响分析效果不够理想。
针对上述节点失效分析方法中存在的网络建模不完全,未考虑网络流量重分配对网络波及影响等不足,本文提出一种AANET节点失效分析方法。
AANET节点失效分析方法由非对称依赖网络建立模块(ADNEM,asymmetric dependent network establish module)和波及影响分析模块(AIAM,affecting impact analysis module)组成,该方法流程如图1所示。
图1 AANET节点失效分析方法流程Figure 1 The process of AANET node failure analysis method
两个模块的处理过程设计如下。
(1)ADNEM
首先,将AANET中传输数据的航空器节点作为实体节点,基于节点凝聚度计算节点权值,得到无向加权实体网络。然后,将AANET通信系统的业务抽象为业务节点,基于节点影响力计算节点权值,得到有向加权业务网络。最后,根据双层网络节点之间的映射关系,建立节点依赖矩阵,得到非对称依赖网络模型。
(2)AIAM
按照AANET特性分析受到波及影响的节点状态,根据实时AANET数据计算链路生存性,并将链路生存性用于改进失效流量再分配算法,在所建非对称依赖网络模型上应用该算法,获取失效节点集合和业务降级节点集合并用于网络波及影响分析。
本文以AANET为研究对象,将AANET抽象为实体网络,将该网络的通信系统业务流程抽象为业务网络,根据网络间映射关系建立一个非对称依赖模型。网络模型的构建过程如下。
(1)实体网络构建
首先,构建实体网络。实体网络为无向带权网络,用GE=(VE,EE,WE)表示。VE表示实体节点集合,节点为各类民用航空器,共nE个节点;EE表示边的集合,即实体节点之间存在的通信链路;WE表示实体节点权值的集合,节点权值由节点凝聚度决定。
然后,计算节点权值WE。权值W的计算方法设计如下。
设GE存在节点i,将i凝聚后的网络表示为凝聚指用一个新节点表征节点和其所有邻居节点[14]。因此,GE的凝聚度Φ用总节点数nE的倒数和网络平均最短路径长度¯dE乘积表示。
其中,nE≥2,节点i和j间最短距离为di,j。节点凝聚度越大,失效后对网络正常业务运行影响越大。由此,求得实体节点i的权值为
最后,用矩阵表示实体网络。实体网络由矩阵AE=[aij]nE×nE表示,对角线元素aii为实体节点权值,非对角线元素aij表示节点间的通信链路。若实体节点间存在通信链路,aij=1,否则,aij=0。
(2)业务网络构建
首先,将业务流程抽象为业务网络。在AANET中,实时通信系统运行的业务环节通过确定的执行顺序关联生成AANET业务流程,因此关联的业务环节之间存在严格前后关系。将业务流程抽象为业务网络,该网络为有向带权网络,用GB=(VB,EB,WB)表示。VB表示业务节点集合,节点为通信系统业务,共nB个节点;EB表示边的集合,即业务节点之间的有向关联关系;WB表示业务节点权值的集合。
然后,计算业务节点权值WB。权值WB的计算方法如下。
AANET业务包括空中交通管制、飞行数据传输、航空器位置追踪和机内娱乐。根据对网络服务质量要求的不同,可依次将业务优先级(BP,business priority)划分为1、2、3、4,其中1为最高级。AANET用户包括管制人员、飞行人员、服务人员和乘坐人员,根据用户身份不同,可依次将用户影响力等级(UI,user impact)划分为1、2、3、4。综合考虑BP和UI因素,本文设计的节点固有影响力θi如表1所示。
表1 节点固有影响力Table 1 Node inherent impact
对节点固有影响力进行归一化,得到节点对AANET网络的固有影响力Inhi。Inhi可表示为
在AANET中,不同时刻节点的流量不同,因此,量化节点动态影响力时应考虑不同时刻节点实时流量。节点动态影响力Dyni由单位时间内节点业务流量占网络业务总流量的比例表示,即
其中,FB表示单位时间内网络处理业务流量,Fi表示节点i的业务流量,根据节点固有和动态影响力,业务节点权值由式(5)计算得到。
最后,用矩阵表示业务网络。
AANET中的业务网络由矩阵BB=[bij]nB×nB表示,AANET业务节点权值即为bii,i=1,2,...,n,AANET业务节点间有向关联关系即为bij,i=1,2,...,nB,j=1,2,...,nB,若业务节点间存在关联关系,bij=1,否则,bij=0。
(3)非对称依赖模型构建
在AANET中,不同类型节点之间具有不同的关联关系,因此,可将AANET抽象为业务-实体非对称依赖网络模型(如图2所示)。
图2 业务-实体非对称依赖网络模型Figure 2 Business-physical interdependent network model
AANET中通信业务依靠航空器搭载的网络设备实现功能,航空器为业务的实现提供实体基础,一旦航空器搭载的网络设备失效,则相应通信业务也将失效。因此,必须明确业务节点和实体节点间的逻辑映射关系。将节点间映射关系表示为CR=[cij]nE×nB,若AANET中的实体节点和业务流程中的业务节点存在逻辑映射关系,则cij=1,否则cij=0。
通过实体网络构建、业务网络构建和非对称依赖网络模型构建3个过程,即可建立面向AANET的业务-实体非对称依赖网络模型,该模型用多元组EB=(GE,GB,CR)表示,其中,CR表示业务-实体网络映射关系。
本文研究做出以下定义。
1) 正常节点W:符合系统要求并能正常完成相应功能的节点。
2) 业务降级节点D:不符合系统要求且仅能完成部分功能的节点,如带宽降低、时延增大的节点。
3) 失效节点F:无法正常完成相应功能且会引起波及反应的节点。
4) 节点波及影响概率ρ:正常节点受到波及影响转变为业务降级节点或失效节点的概率,转换关系为
其中,W(ti)表示ti时刻正常节点集合,F(ti)表示失效节点集合,D(ti)表示业务降级节点集合。
在AANET中,部分关键节点和骨干链路具有故障应急或灾备能力。因此,当AANET中的关键节点或骨干链路发生故障或失效时,由冗余备份组件或灾备组件接管节点或链路的核心业务功能。对于没有配置冗余备份组件或灾备组件的节点和链路,需要对各节点和链路上的业务流量进行重新分配,这样易引起节点失效波及反应。因此,对AANET中节点初始流量、节点业务处理能力和失效流量再分配方式进行特性分析,可有效提高AANET节点失效波及影响分析的准确性。具体分析方法及其过程设计如下。
(1)节点初始流量和业务处理能力计算
AANET中,节点i在网络中的位置不同,初始流量则不同,处于中心位置的节点一般具有较高流量。节点初始流量ξi由式(7)计算其中,α为可调参数,可调整节点度与邻居节点度对波及效应的影响程度(α=0.5[15]),i的度由ki表示,邻居节点j的度由kj表示,i的邻居节点集合由Γi表示,ε用于控制节点度对初始流量的影响(ε=1)[16-17]。节点业务处理能力capi表示节点可处理业务量的最大值,可由式(8)计算得到。
其中,γ为容错系数(γ=0.06)[16],表示节点流量过载后的容错能力。
(2)改进流量再分配算法
AANET中不同通信链路在发生网络安全事件后,对失效流量的容错能力不同,故本文提出使用链路生存性[18]量化网络链路的生存能力。根据链路生存性改进失效流量再分配算法,该算法设计如下。
1) 在集合N= {ni|n1,n2,…,nn}中存储所有邻居节点。
2) 计算AANET中的链路持续时间。节点i坐标(x,y,z)表示为
其中,Nlon表示节点经度,Nlat表示节点纬度,Nalt表示节点高度,R表示地球半径(R=6 371 km)。在Δt时间后,节点i的坐标表示为
其中,v表示节点速度,Ψ表示航迹角。同理可得邻居节点j的坐标,则t0时刻节点i,j之间的距离为
当Δt=1时,AANET中的节点i和节点j的相离速度,则AANET中节点间的相离距离Δdi,j为
其中,r表示通信半径,因此,节点i,j之间的链路持续时为
3)计算AANET中的链路剩余容量。用链路剩余容量表示AANET中邻居节点i的剩余业务处理能力。
4) 计算AANET中的链路生存性Ri。
5)计算AANET中可用链路的平均链路生存性¯R。
6) 根据AANET的链路生存性R,在AANET中选择最优的备用链路。若Ri>¯R,则认为该链路的生存性较高,为其分配流量;反之,则不分配流量。
7)根据式(17)的计算结果,将AANET中的失效流量ξ分配到AANET中的各可用节点[19]
其中,Δξi表示邻居节点i的增加流量。
8)若因波及反应导致某个节点失效,则将新生成的失效节点加入失效节点集合F并转至1),直至AANET中没有新失效节点的增加,停止循环。若因波及反应导致AANET中某个节点的业务降级,则将此节点加入降级节点集合D。
(3)节点波及影响分析
当AANET中某个节点流量不超过该节点的业务处理能力时,由式(17)推理可得其邻居节点i可能接连失效的波及影响概率ρ为
AANET节点失效形式的不同,其对AANET的波及影响不同。根据失效模型与影响分析方法[20]和节点波及影响概率,本文确定了AANET节点波及影响等级(如表2所示)。
表 2 AANET节点波及影响等级Table 2 AANET node impact degree
依据表2中的量化指标ρ和对应的影响等级判断AANET节点的状态,当等级为“严重/S”或“高/H”,即0.6 <ρ< 1时,AANET节点为业务降级节点;当等级为“失效/F”,即ρ= 1时,AANET节点为失效节点;其余等级,即ρ≤0.6时,AANET节点均为正常节点。
(4)波及影响分析
AANET节点失效并产生波及反应后,受到影响的AANET其他节点的权值越高,则对AANET的波及影响越大,故AANET的网络波及影响值为
其中,NB代表全部业务节点,NE代表全部实体节点。f值越高,表示AANET的网络安全状况越差。
之后,确定f值与AANET的波及影响对应关系(如表3所示),依据表3判定AANET节点失效对AANET的波及影响程度。
表3 AANET波及影响关系Table 3 AANET impact relationship
为验证本文方法的有效性,利用网络仿真工具NS2进行仿真实验获取实验数据[21],仿真实验中设置的关键参数如表4所示,仿真实验过程如下。
表4 参数设置Table 4 Parameter settings
1) 编写Otcl脚本,生成网络初始场景并设置trace文件保持网络数据信息。
2) 分别使用AODV(Ad Hoc on-demand distance vector routing)和SMURF(stochastic multipath UAV routing for FANET)[5]协议作为仿真网络路由协议。
3) 根据攻击方式设置初始失效节点。在随机攻击场景下,使用random函数选择节点;在蓄意攻击场景下,选择权值最大的节点。
4) 利用gawk分析trace文件并统计仿真实验中各时刻节点失效流量。
以基于AODV协议的仿真场景为例,建立非对称依赖网络模型。
(1)实体网络构建
依据表4可知,此时AANET中共有20个实体节点和25条数据流,计算实体节点权值,结果如表5所示。构建20×20实体网络邻接矩阵AE为
表5 实体节点权值Table 5 Physical node weight
(2)业务网络构建
由于每条通信链路传输一个业务,数据流传输信息具有固定方向,故可抽象出25个业务节点和24条有向关联边,计算得到业务节点权值如表6所示。
表6 业务节点权值Table 6 Business node weight
构建25×25的业务网络邻接矩阵BB为
(3)非对称依赖网络构建
根据双层网络节点间的映射关系,建立初始非对称依赖网络模型。构建20×25的业务-实体节点依赖矩阵CR为
以针对实体网络的蓄意攻击为例,在5.2节构建的网络模型上对本文方法进行验证。实验场景为:当蓄意攻击发生后,AANET中的节点1失效,并对节点1的失效流量进行再分配(如图3所示)。
由图3可见,节点1失效后,计算所有邻居节点链路生存性,其中节点14和节点18链路生存性大于平均链路生存性0.5,因此节点14和节点18按照规则分配失效流量。
图3 算法实例Figure 3 Algorithm example
此时,节点14和节点18的流量超过自身业务处理能力,引起自身失效,故开始新一轮失效流量再分配,继续执行本文所提的改进流量再分配算法。在该实验中,算法总迭代次数为6次,具体波及影响情况如图4所示。
由于AANET面临多种安全威胁,从实体层面分析,节点失效按故障原因可分为过应力性失效和耗损性失效。从网络层面分析,攻击者的恶意行为可能导致业务降级或节点失效。为提高波及影响分析的全面性,本文分别从两个层面对网络进行攻击,在基于AODV协议和SMURF协议2种仿真实验场景下,使用本文方法、WR模型[9]、FP模型[7]、ML模型[8]对不同攻击方式下的NS2仿真网络进行分析,得到节点失效波及影响结果,结果如图4~图8所示。
图4 AODV协议场景下蓄意攻击网络波及影响情况Figure 4 The impact of deliberate attack networks in AODV scenario
图8 SMURF协议场景下蓄意攻击网络波及影响情况Figure 8 The impact of deliberate attack networks in SMURF scenario
(1)业务网络攻击
由图5~8可知,实际波及影响等级为“严重/S”,只有本文方法与WR模型的定性分析结果与实际情况一致。在业务网络蓄意攻击场景下,实际网络节点全部失效造成网络瘫痪,故实际波及影响等级为“严重/S”,且具有最大波及影响值。同时无论采用何种攻击方式,本文方法得到的AANET波及影响定量分析结果和NS2仿真实验结果最为相近。原因分析如下。
图5 AODV协议场景下随机攻击网络波及影响情况Figure 5 The impact of random attack networks in AODV scenario
1)失效传播模型各节点失效概率固定不变,但AANET具有高动态的特性,各时刻节点失效概率不同,故模型分析准确性低。
2)负载-容量模型优先沿最短路径传输失效流量,但实际AANET传输流量时根据路由规则不同,择优选择路径,故模型分析效果不佳。
3)WR模型优先考虑节点权值对失效流量进行再分配,欠缺链路对实际流量影响方面的考量,造成分析结果与实际情况有所偏离,分析效果不够理想。
图6 AODV协议场景下蓄意攻击网络波及影响情况Figure 6 The impact of deliberate attack networks in AODV scenario
图7 SMURF协议场景下随机攻击网络波及影响情况Figure 7 The impact of random attack networks in SMURF scenario
4)本文方法在分析AANET特性的基础上,建立AANET非对称依赖网络模型,在考虑网络各时刻节点波及影响概率不同的前提下,对负载-容量模型进行改进,采用链路生存性作为选择分配路径的依据,符合网络实际情况,从而提高网络波及影响分析的准确性。
(2)实体网络攻击
由图4和图9~图11可知,仿真AANET由于蓄意攻击导致的网络波及影响等级已达“严重/S”,在5个分析方法中,本文方法的分析结果与实际情况更为接近,表明本文方法具有更好的有效性与准确性,其原因分析如下。
图9 AODV协议场景下随机攻击网络波及影响情况Figure 9 The impact of random attack networks in AODV scenario
图10 SMURF协议场景下随机攻击网络波及影响情况Figure 10 The impact of random attack networks in SMURF scenario
图11 SMURF协议场景下蓄意攻击网络波及影响情况Figure 11 The impact of deliberate attack networks in SMURF scenario
1)本文使用NS2网络仿真平台模拟AANET,网络优先将失效流量分配至链路质量优的路径。以运行SMURF路由协议的网络为例,该协议为AANET专有协议,根据民用航空飞行器位置信息计算链路存在概率,并将此作为路由选择指标。本文方法采用基于节点空间位置与链路剩余容量的链路生存性作为分析方法中失效流量分配路径的依据,符合实际情况,因此分析结果更加准确。
2)在不同场景下,蓄意攻击对网络造成的波及影响均大于随机攻击。在通常情况下,AANET中的关键节点是蓄意攻击方式的首要攻击对象,而此类节点通常承担较大的网络流量,其失效后会产生令邻居节点难以负荷的失效流量,从而对AANET造成更为严重的波及影响。
本文提出一种AANET节点失效分析方法,通过构建AANET非对称依赖网络模型和改进流量再分配算法获取受影响节点集合,通过计算网络波及影响值,得到AANET节点失效导致的波及影响。实验结果表明,本文方法能有效地分析AANET的节点失效对网络造成的波及影响。
随着AANET的应用普及和系统复杂性的提高,需要考虑对数据通信业务的重要性和连续性的影响因素变化情况。为了实现对AANET节点失效波及影响的分析结果更为客观、准确的目标,未来应在建立业务重要性和业务连续性评价指标体系的基础上,对AANET的节点失效波及影响分析方法进行改进和完善。