基于遺傳算法的網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究

王國(guó)華

(寧夏對(duì)外文化交流中心，銀川 750001)

基于遺傳算法的網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究

王國(guó)華

(寧夏對(duì)外文化交流中心，銀川 750001)

對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)準(zhǔn)確感知能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的提前攔截和防范，針對(duì)傳統(tǒng)的匹配檢測(cè)方法對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的精度不好的問(wèn)題，提出一種基于遺傳算法的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型，首先構(gòu)建復(fù)雜網(wǎng)絡(luò)環(huán)境下的病毒入侵的安全狀態(tài)分布模型，進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的特征信息提取，然后采用遺傳算法對(duì)提取的病毒入侵信息流進(jìn)行相關(guān)性檢測(cè)，實(shí)現(xiàn)安全態(tài)勢(shì)預(yù)測(cè)和準(zhǔn)確感知；仿真實(shí)驗(yàn)結(jié)果表明，該方法進(jìn)行網(wǎng)絡(luò)病毒入侵的準(zhǔn)確檢測(cè)概率較高，對(duì)安全態(tài)勢(shì)預(yù)測(cè)的精度較高，保障了網(wǎng)絡(luò)安全。

遺傳算法；網(wǎng)絡(luò)安全；態(tài)勢(shì)感知；檢測(cè)

0 引言

隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全受到人們的極大關(guān)注，網(wǎng)絡(luò)安全包括了網(wǎng)絡(luò)的硬件系統(tǒng)安全、軟件安全和信息傳輸安全，這三部分彼此制約，形成整體，確保整個(gè)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠運(yùn)行。在大數(shù)據(jù)信息時(shí)代，需要通過(guò)網(wǎng)絡(luò)進(jìn)行海量數(shù)據(jù)信息的傳輸和存儲(chǔ)，這些信息包括了大量的保密信息、隱私信息，黑客采用病毒入侵方法進(jìn)行信息竊取，導(dǎo)致網(wǎng)絡(luò)用戶遭到經(jīng)濟(jì)損失和隱私泄露，同時(shí)，網(wǎng)絡(luò)攻擊者通過(guò)拒絕服務(wù)和攻擊等方式進(jìn)行網(wǎng)絡(luò)攻擊，嚴(yán)重威脅網(wǎng)絡(luò)安全，需要對(duì)網(wǎng)絡(luò)安全的態(tài)勢(shì)進(jìn)行準(zhǔn)確感知和預(yù)測(cè)，在保障網(wǎng)絡(luò)安全中具有積極重要意義[1-2]。

網(wǎng)絡(luò)入侵的植入信息流本質(zhì)上為一組時(shí)間序列，采用信息處理方法進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)具有可行性，對(duì)此，網(wǎng)絡(luò)安全領(lǐng)域的學(xué)者進(jìn)行了研究，主要有基于分?jǐn)?shù)階傅里葉變換的安全態(tài)勢(shì)信號(hào)感知算法、基于高階累積量特征提取的安全態(tài)勢(shì)感知算法、基于支持向量機(jī)分類的安全感知預(yù)測(cè)方法等[3-4]，上述方法構(gòu)建安全態(tài)勢(shì)信號(hào)模型，采用時(shí)頻分解方法進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的準(zhǔn)確預(yù)測(cè)和特征分解，提高了網(wǎng)絡(luò)安全態(tài)勢(shì)的實(shí)時(shí)感知能力，取得了一定的研究成果，其中，文獻(xiàn)[5]提出一種基于經(jīng)驗(yàn)?zāi)B(tài)特征分解的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型，通過(guò)瞬時(shí)頻率估計(jì)方法進(jìn)行網(wǎng)絡(luò)入侵的特征定位和安全態(tài)勢(shì)信息融合，提高了對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的感知概率，但是該算法計(jì)算開(kāi)銷較大，對(duì)網(wǎng)絡(luò)安全檢測(cè)和態(tài)勢(shì)感知的實(shí)時(shí)性不好；文獻(xiàn)[6]中采用匹配濾波檢測(cè)方法進(jìn)行安全態(tài)勢(shì)感知，對(duì)低頻域產(chǎn)生的干擾進(jìn)行濾波分解，提高了檢測(cè)的準(zhǔn)確度，但當(dāng)安全態(tài)勢(shì)數(shù)據(jù)受到較大的網(wǎng)絡(luò)背景特征干擾時(shí)，對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的準(zhǔn)確性能受到影響。針對(duì)上述問(wèn)題，本文構(gòu)建復(fù)雜網(wǎng)絡(luò)環(huán)境下的病毒入侵分布模型，進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的特征信息提取，然后采用遺傳算法對(duì)提取的病毒入侵信息流進(jìn)行相關(guān)性檢測(cè)，實(shí)現(xiàn)安全態(tài)勢(shì)預(yù)測(cè)和準(zhǔn)確感知，最后進(jìn)行仿真實(shí)驗(yàn)分析，得出有效性結(jié)論。

1 模型分析和預(yù)處理

1.1 復(fù)雜網(wǎng)絡(luò)環(huán)境下的病毒入侵的安全狀態(tài)分布模型

為了實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)優(yōu)化感知，采用信號(hào)處理方法進(jìn)行感知算法設(shè)計(jì)，網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)為一組寬平穩(wěn)的高斯線性時(shí)間信號(hào)模型，在復(fù)雜網(wǎng)絡(luò)環(huán)境下，病毒入侵帶來(lái)了網(wǎng)絡(luò)安全隱患，復(fù)雜網(wǎng)絡(luò)環(huán)境下的病毒入侵信息流在m個(gè)終端上的特征分布為：

(1)

式中，k為網(wǎng)絡(luò)安全態(tài)勢(shì)分布的屬性值，xi(k)為病毒入侵的特征標(biāo)量時(shí)間序列。假設(shè)，網(wǎng)絡(luò)病毒感染下n維隨機(jī)分布變量為(x1,x2,…,xn)，病毒特征狀態(tài)分布函數(shù)為：

(2)

其中：υs表示網(wǎng)絡(luò)采集數(shù)據(jù)在病毒入侵的變異行為，xs與rt的偏差表示在病毒感染下的輸出數(shù)據(jù)差異值。

設(shè)病毒在復(fù)雜網(wǎng)絡(luò)空間中的入侵模型的狀態(tài)模型為：V={V1,V2,...,Vn}，網(wǎng)絡(luò)威脅安全態(tài)勢(shì)的條件轉(zhuǎn)移概率表示為：

(3)

式中，C為病毒入侵免疫常量，σs表示隨機(jī)選擇的網(wǎng)絡(luò)采集數(shù)據(jù)狀態(tài)向量，用ai,j表示網(wǎng)絡(luò)安全態(tài)勢(shì)分布狀態(tài)i向空間鏈j轉(zhuǎn)移的分布概率，得到的攻擊病毒采樣序列長(zhǎng)度為N的離散信號(hào)x，病毒入侵檢測(cè)的穩(wěn)態(tài)概率為：

(4)

設(shè)網(wǎng)絡(luò)病毒攻擊在信息融合中心形成的平均互信息權(quán)重屬性為：

(5)

進(jìn)行網(wǎng)絡(luò)病毒入侵特征的幅度和頻率估計(jì)，分別表示為：

(6)

(7)

通過(guò)構(gòu)建在s域和z域上的病毒入侵免疫控制模型，對(duì)網(wǎng)絡(luò)數(shù)據(jù)在時(shí)域平面內(nèi)進(jìn)行非線性特征重組，得到重構(gòu)后的網(wǎng)絡(luò)病毒入侵特征分布空間的迭代函數(shù)為：

θ1(k+1)=θ1(k)-μRe[y(k)φ*(k)]

(8)

式中，θ1(k)表示遭受病毒感染下的網(wǎng)絡(luò)傳輸數(shù)據(jù)的初始狀態(tài)向量，當(dāng)存在M個(gè)全方向性的病毒攻擊時(shí)，網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型以θ0,θ1,…,θP相位進(jìn)行攔截，節(jié)點(diǎn)分布位置如圖1所示。

圖1 網(wǎng)絡(luò)安全態(tài)勢(shì)節(jié)點(diǎn)分布示意圖

由此構(gòu)建復(fù)雜網(wǎng)絡(luò)環(huán)境下的病毒入侵的安全狀態(tài)分布模型。

1.2 網(wǎng)絡(luò)安全態(tài)勢(shì)關(guān)聯(lián)信息模型構(gòu)建及處理

當(dāng)采集的網(wǎng)絡(luò)安全態(tài)勢(shì)信號(hào)x(k)=s(k)+w(k)是準(zhǔn)平穩(wěn)隨機(jī)信號(hào)時(shí)，采用ARMA模型模擬在網(wǎng)絡(luò)攻擊環(huán)境下影響網(wǎng)絡(luò)安全態(tài)勢(shì)的威脅指數(shù)和主機(jī)威脅指數(shù)[7]，得到網(wǎng)絡(luò)安全態(tài)勢(shì)威脅指數(shù)描述為：

(9)

式中，xk表示網(wǎng)絡(luò)安全態(tài)勢(shì)信號(hào)的時(shí)域部分，yk表示每個(gè)簇頭節(jié)點(diǎn)采集到的網(wǎng)絡(luò)安全態(tài)勢(shì)信息，vk和ek分別表示整個(gè)時(shí)頻平面內(nèi)的干擾項(xiàng)，且xk∈Rnv，yk∈Rne，此時(shí)網(wǎng)絡(luò)威脅安全態(tài)勢(shì)指數(shù)表示為：

(10)

(11)

采用主成分分析方法將網(wǎng)絡(luò)安全態(tài)勢(shì)的特征因子分為L(zhǎng)類，入侵特征分為(w1,w2,.....,wn)，n為預(yù)測(cè)誤差，在此基礎(chǔ)上，采用遺傳算法進(jìn)行網(wǎng)絡(luò)攻擊特征提取，實(shí)現(xiàn)安全態(tài)勢(shì)預(yù)測(cè)。

2 遺傳算法及網(wǎng)絡(luò)安全態(tài)勢(shì)感知實(shí)現(xiàn)

2.1 基于遺傳算法的安全態(tài)勢(shì)特征檢測(cè)

在上述進(jìn)行復(fù)雜網(wǎng)絡(luò)環(huán)境下病毒入侵的安全狀態(tài)分布模型構(gòu)建的基礎(chǔ)上，提出一種基于遺傳算法的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型，進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的特征信息提取，遺傳算法的原理是借鑒了達(dá)爾文的物競(jìng)天擇、優(yōu)勝劣汰的物種進(jìn)化規(guī)律的算法[9-10]，假設(shè)輸入的網(wǎng)絡(luò)安全估計(jì)模型的自適應(yīng)全局概率分布x(t)，對(duì)染色體進(jìn)行檢測(cè)，得到遺傳進(jìn)化下的網(wǎng)絡(luò)安全態(tài)勢(shì)幅度和頻率估計(jì)的為：

(12)

(13)

所需求解問(wèn)題的最優(yōu)解就是尋找遺傳進(jìn)化的最優(yōu)個(gè)體，基于自適應(yīng)數(shù)據(jù)分類，得到網(wǎng)絡(luò)安全態(tài)勢(shì)感知的種群規(guī)模表示為：

(14)

對(duì)服務(wù)層和主機(jī)層的病毒數(shù)據(jù)進(jìn)行遺傳進(jìn)化特征分解，在最大迭代次數(shù)約束下的交叉概率為：

(15)

式中，Wx(t,v)表示病毒數(shù)據(jù)在匹配區(qū)域中進(jìn)行數(shù)值交換的脈沖響應(yīng)，其具有實(shí)值性，即Wx(t,v)∈R,?t,v。遺傳算法中的染色體被分解為3個(gè)子模塊：連接順序與網(wǎng)絡(luò)節(jié)點(diǎn)選擇、副本關(guān)系選擇和網(wǎng)絡(luò)半連接操作，通過(guò)遺傳進(jìn)化優(yōu)化對(duì)病毒感染的免疫性檢測(cè)，得到病毒數(shù)據(jù)的交叉項(xiàng)分布特征描述為：

(16)

(17)

2.2 網(wǎng)絡(luò)安全態(tài)勢(shì)感知實(shí)現(xiàn)

結(jié)合遺傳進(jìn)化算法進(jìn)行網(wǎng)絡(luò)病毒攻擊的信息流檢測(cè)，在整個(gè)搜索空間通過(guò)時(shí)頻伸縮，得到網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的經(jīng)驗(yàn)?zāi)B(tài)分布指向性函數(shù)為：

(18)

Wy(t,v)=Wx(kt,v/k)

(19)

通過(guò)已經(jīng)設(shè)定好的的代價(jià)計(jì)算模型來(lái)計(jì)算每個(gè)染色體相應(yīng)代價(jià)，通過(guò)遺傳進(jìn)化的特征約束，得到網(wǎng)絡(luò)安全態(tài)勢(shì)分析的時(shí)頻響應(yīng)為：

(20)

(21)

如果得到的適應(yīng)度值較大，通過(guò)遺傳進(jìn)化進(jìn)行病毒的攻擊性強(qiáng)度測(cè)量，由此得到網(wǎng)絡(luò)安全態(tài)勢(shì)感知的迭代方程為：

(22)

其中：

(23)

(24)

采用頻率調(diào)制得到感知的安全態(tài)勢(shì)信息的模糊約束匹配波束輸出為：

(25)

綜上分析，采用遺傳進(jìn)化約束的網(wǎng)絡(luò)安全態(tài)勢(shì)指向性分析，感知到網(wǎng)絡(luò)安全態(tài)勢(shì)信號(hào)的幅度調(diào)制信息，在網(wǎng)絡(luò)病毒的兩個(gè)交叉點(diǎn)所交叉包含的區(qū)域設(shè)置為匹配區(qū)域，結(jié)合自相關(guān)變量X進(jìn)行特征匹配，采用遺傳算法對(duì)提取的病毒入侵信息流進(jìn)行相關(guān)性檢測(cè)，實(shí)現(xiàn)安全態(tài)勢(shì)預(yù)測(cè)和準(zhǔn)確感知。

3 仿真實(shí)驗(yàn)分析

為了測(cè)試本文算法實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)有效感知中的性能，進(jìn)行仿真實(shí)驗(yàn)。仿真實(shí)驗(yàn)的硬件環(huán)境采用PC機(jī)，配置參數(shù)為：CPU 3.0 G，12 G內(nèi)存，操作系統(tǒng)為Windows 7。采用Matlab.7編程軟件進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的算法設(shè)計(jì)，網(wǎng)絡(luò)病毒攻擊數(shù)據(jù)樣本產(chǎn)生于KDDP 2016病毒數(shù)據(jù)庫(kù)，網(wǎng)絡(luò)病毒攻擊特征樣本采樣的初始頻率f1=0.8，歸一化終止頻率f2=0.05，網(wǎng)絡(luò)傳輸數(shù)據(jù)的離散采樣率為fs=10*f0Hz=10 kHz，網(wǎng)絡(luò)空間的特征信息干擾的信噪比為-12 dB。根據(jù)上述仿真環(huán)境和參數(shù)設(shè)定，首先給出采集的混帶著網(wǎng)絡(luò)干擾噪聲的網(wǎng)絡(luò)病毒攻擊信息數(shù)據(jù)如圖2所示。

圖2 網(wǎng)絡(luò)病毒攻擊信息數(shù)據(jù)采樣時(shí)域波形

以上述病毒入侵信號(hào)為測(cè)試樣本進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)，從圖2可見(jiàn)，病毒數(shù)據(jù)受到介質(zhì)信息干擾，難以有效識(shí)別安全態(tài)勢(shì)的走向，采用本文方法進(jìn)行安全態(tài)勢(shì)感知，設(shè)定時(shí)寬為8 s，進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的特征信息提取，然后采用遺傳算法對(duì)提取的病毒入侵信息流進(jìn)行相關(guān)性檢測(cè)，得到檢測(cè)結(jié)果如圖3所示。

圖3 網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)結(jié)果

從圖3可見(jiàn)，采用本文方法進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)，具有較好的波束指向性，能準(zhǔn)確反映出網(wǎng)絡(luò)受到病毒入侵后的安全態(tài)勢(shì)分布，其中，在t=20 s網(wǎng)絡(luò)安全威脅性最大，從而準(zhǔn)確實(shí)現(xiàn)網(wǎng)絡(luò)病毒時(shí)間點(diǎn)的定位，做好安全防御。最后，為了定量對(duì)比本文方法在網(wǎng)絡(luò)安全態(tài)勢(shì)感知的優(yōu)越性能，采用本文方法和傳統(tǒng)方法，以感知精度為測(cè)試指標(biāo)，得到對(duì)比結(jié)果如圖4所示。

圖4 性能對(duì)比分析

分析圖4的仿真結(jié)果可見(jiàn)，本文方法對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的準(zhǔn)確度明顯優(yōu)于傳統(tǒng)方法，展示了較好的網(wǎng)絡(luò)安全感知和檢測(cè)性能。

4 結(jié)束語(yǔ)

為了提高網(wǎng)絡(luò)安全檢測(cè)能力，實(shí)現(xiàn)對(duì)病毒入侵的提前防范，本文提出一種基于遺傳算法的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型，構(gòu)建復(fù)雜網(wǎng)絡(luò)環(huán)境下的病毒入侵的安全狀態(tài)分布模型，進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)的特征信息提取，然后采用遺傳算法對(duì)提取的病毒入侵信息流進(jìn)行相關(guān)性檢測(cè)，實(shí)現(xiàn)安全態(tài)勢(shì)預(yù)測(cè)和準(zhǔn)確感知。研究表明，本文方法進(jìn)行網(wǎng)絡(luò)病毒入侵的準(zhǔn)確檢測(cè)概率較高，對(duì)安全態(tài)勢(shì)預(yù)測(cè)的精度較高，保障了網(wǎng)絡(luò)安全，具有較好的應(yīng)用價(jià)值。

[1]Geng Z,Deng H,Himed B.Adaptive radar beamforming for interference mitigation in radar-wireless spectrum sharing[J].IEEE Signal Processing Letters,2015,22(4):484-488.

[2]Yang Y C,Sun C,Zhao H,et al.Algorithms for secrecy guarantee with null space beamforming in two-way relay networks[J].IEEE Transactions on Signal Processing,2014,62(8):2111-2126.

[3]Sun W,So H C,Chen Y,et al.Approximate subspace-based iterative adaptive approach for fast two-dimensional spectral estimation[J].IEEE Transactions on Signal Processing,2014,62(12):3220-3231.

[4]賈滿滿, 朱景全. 基于自適應(yīng)遺傳算法的EPS路感研究[J]. 電子設(shè)計(jì)工程, 2014, 22(8):169-171.

[5]李方偉,張新躍,朱 江,等.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)應(yīng)用,2015,35(7):1882-1887.

[6]王 晟,趙壁芳.基于模糊數(shù)據(jù)挖掘和遺傳算法的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)[J].計(jì)算機(jī)測(cè)量與控制,2012,20(3):660-663.

[7]Hesamzadeh M R,Biggar D R.Computation of extremal-Nash equilibria in a single-stage MILP[J].IEEE Transaction on Power System,2012,27(3):1706-1707.

[8]韋 勇,連一峰.基于日志審計(jì)與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)學(xué)報(bào)，2009,32(4):763-772.

[9]王 晟,趙壁芳.基于模糊數(shù)據(jù)挖掘和遺傳算法的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)[J].計(jì)算機(jī)測(cè)量與控制,2012,20(3):660-663.

[10]劉 邏,郭立紅,肖 輝,等.基于參數(shù)動(dòng)態(tài)調(diào)整的動(dòng)態(tài)模糊神經(jīng)網(wǎng)絡(luò)的軟件可靠性增長(zhǎng)模型[J].計(jì)算機(jī)科學(xué),2013,40(2):186-190.

Research on Network Security Situation Awareness Based on Genetic Algorithm

Wang Guohua

(Ningxia Foreign Cultural Exchange Center,Yinchuan 750001, China)

The network security situation can realize accurate perception of network attacks in advance to intercept and prevention, aiming at matching the traditional detection method of network security situation prediction accuracy is not good. A network security situation awareness model is proposed based on genetic algorithm, the security state distribution model first structure virus built under complex network environment the extraction of feature information of network security situation, then genetic algorithm is used to extract the virus information flow correlation detection, security situation prediction and accurate perception. Finally, the simulation results show that the proposed method has a high probability of accurate detection of network virus invasion, high accuracy of the security situation prediction, and ensure the network security.

genetic algorithm; network security; situation awareness; detection

2016-09-24；

2016-10-21。

王國(guó)華(1983-)，男，寧夏銀川人，碩士研究生，助理研究員，主要從事計(jì)算機(jī)網(wǎng)絡(luò)安全、軟件工程、數(shù)據(jù)庫(kù)應(yīng)用系統(tǒng)的研究。

1671-4598(2016)12-0155-03

10.16526/j.cnki.11-4762/tp.2016.12.044

TP393

A