層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險量化評估研究

孫 湘

(江蘇大學(xué)附屬醫(yī)院, 江蘇 鎮(zhèn)江 212001)

0 引 言

隨著動態(tài)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和多層次信息系統(tǒng)的迅猛進(jìn)步，大量的網(wǎng)絡(luò)入侵攻擊事件發(fā)生頻繁，對層次化動態(tài)網(wǎng)絡(luò)的安全穩(wěn)定運行帶來巨大的干擾，為加固層次化動態(tài)網(wǎng)絡(luò)的安全性，應(yīng)嚴(yán)格地對網(wǎng)絡(luò)入侵風(fēng)險進(jìn)行實時有效評估，對層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險的量化評估過程主要目的是將入侵風(fēng)險控制在層次化動態(tài)網(wǎng)絡(luò)的安全穩(wěn)定運行范圍內(nèi)。

當(dāng)前存在多種針對層次化動態(tài)網(wǎng)絡(luò)的入侵風(fēng)險評估研究，文獻(xiàn)[1]中提出的方法首先構(gòu)建動態(tài)網(wǎng)絡(luò)入侵攻擊圖，根據(jù)分析動態(tài)網(wǎng)絡(luò)脆弱性的利用難度來描述入侵攻擊狀態(tài)之間的轉(zhuǎn)換概率,通過從不同網(wǎng)絡(luò)層次中獲取的網(wǎng)絡(luò)入侵信息進(jìn)行風(fēng)險量化評估，缺乏網(wǎng)絡(luò)入侵風(fēng)險等級的評估過程，存在風(fēng)險量化評估誤差大的弊端。文獻(xiàn)[2]研究了未經(jīng)授權(quán)的數(shù)據(jù)訪問、數(shù)據(jù)竊取、數(shù)據(jù)修改等網(wǎng)絡(luò)入侵，提出一種動態(tài)實時保護(hù)系統(tǒng)，利用IP地址和時間入侵信息量化評估。文獻(xiàn)[3]基于模糊綜合評價法的綜合單價風(fēng)險量化，采用圖近似算法將層次化動態(tài)網(wǎng)絡(luò)入侵攻擊事件分析過程轉(zhuǎn)換為時間段近似圖之間的分析，存在風(fēng)險量化結(jié)果精度低的弊端。為解決該問題，提出一種新的層次化網(wǎng)絡(luò)入侵風(fēng)險量化評估方法，提升層次化動態(tài)網(wǎng)絡(luò)的入侵風(fēng)險量化評估精度，降低入侵風(fēng)險的錯誤報警頻率。

1 層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險量化評估研究方法

1.1 基于WNN模型的網(wǎng)絡(luò)入侵安全風(fēng)險等級評估

在劃分為三個層次結(jié)構(gòu)的動態(tài)網(wǎng)絡(luò)中，會發(fā)生網(wǎng)絡(luò)入侵的層次為隱含層與輸出層，為此，只考察該兩層動態(tài)網(wǎng)絡(luò)的安全情況。對WNN的影響采取對輸入層進(jìn)行投影壓縮。whl和wmh分別為隱含層與輸出層、輸入層以隱含層間的連接權(quán)重值。

公式(1)為隱含層的激勵函數(shù)小波表達(dá)結(jié)果：

ψ(t)=(1-t2)exp(-t2/2)

(1)

輸出層激活函數(shù)表達(dá)結(jié)果用公式(2)表示：

f(x)=1/(1+exp(-x))

(2)

層次化動態(tài)網(wǎng)絡(luò)訓(xùn)練的實現(xiàn)需要在隱含層和輸出層的激勵函數(shù)基礎(chǔ)上，采用反向傳播(Back Propagation, BP)神經(jīng)網(wǎng)絡(luò)算法進(jìn)行批處理[6]，批處理過程可有效進(jìn)行小波系數(shù)和網(wǎng)絡(luò)權(quán)重的自適應(yīng)修正。

(1)層次化動態(tài)網(wǎng)絡(luò)的正向入侵風(fēng)險

設(shè)WNN結(jié)構(gòu)中第h個隱含層節(jié)點的閾值為wh0，可將隱含層中第h個節(jié)點的輸入和輸出分別用公式(3)和(4)描述：

公式(4)中的ah和bh代表隱含層第h個節(jié)點的伸縮和平移系數(shù)，則隱含層第h個節(jié)點的波動系數(shù)用式(5)描述：

采用公式(6)描述輸出層第m個節(jié)點的輸出結(jié)果：

在公式(6)的基礎(chǔ)上，BP算法常利用梯度下降法將誤差函數(shù)視為學(xué)習(xí)目標(biāo)函數(shù)完成層次化動態(tài)網(wǎng)絡(luò)輸出結(jié)果的修正，實現(xiàn)非線性逼近，則有：

(7)

根據(jù)公式(4)～(7)可得以下偏導(dǎo)公式：

(2)層次化動態(tài)網(wǎng)絡(luò)的反向入侵風(fēng)險

網(wǎng)絡(luò)入侵風(fēng)險的反向傳播過程用公式(12)～(15)描述：

上述公式中n為迭代次數(shù)，網(wǎng)絡(luò)入侵安全風(fēng)險等級評估中的動量因子用a表示，η為修正權(quán)值的學(xué)習(xí)效率[7]；不同變量在進(jìn)行n次和n-1次迭代權(quán)值后的變量用Δmmh(n)、Δwhi(n)、Δah(n)和Δbh(n)表示，根據(jù)正向和反向傳播過程隱含層的數(shù)據(jù)輸出即可實現(xiàn)對層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險的等級評估。

基于WNN模型的網(wǎng)絡(luò)入侵安全風(fēng)險等級評估方法在對層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險等級的評估時[8]，對層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險量化評估結(jié)果較為粗糙，在此基礎(chǔ)上，融入基于人工免疫的層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險量化評估方法，實現(xiàn)對層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險的精確量化評估。

1.2 基于人工免疫的層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險量化評估方法

本文對層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險的量化評估，以上文網(wǎng)絡(luò)入侵安全風(fēng)險等級評估結(jié)果為依據(jù)[9]，將層次化動態(tài)網(wǎng)絡(luò)的正向和反向入侵風(fēng)險的輸出結(jié)果與人工免疫原理相結(jié)合，實現(xiàn)對層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險的量化評估。本文通過對人體記憶細(xì)胞的免疫過程進(jìn)行模擬，將層次化動態(tài)網(wǎng)絡(luò)受到網(wǎng)絡(luò)入侵的過程等同視為人體記憶細(xì)胞的免疫過程，其中層次化動態(tài)網(wǎng)絡(luò)的入侵風(fēng)險概率可以用抗體濃度表示。

(16)

若將抗原自身濃度作為評判結(jié)果，記憶細(xì)胞的抗體濃度逐漸稀釋[13]，濃度減小步長用γ表示，公式(17)為記憶細(xì)胞抗體濃度減小過程：

(17)

將克隆技術(shù)用于提升抗體濃度實現(xiàn)對層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險量化評估需將層次化動態(tài)網(wǎng)絡(luò)的網(wǎng)絡(luò)主機(jī)的重要程度和發(fā)生網(wǎng)絡(luò)入侵時的危害進(jìn)行綜合考量[14]，將第?類的網(wǎng)絡(luò)入侵風(fēng)險的危害概率用v?表示，網(wǎng)絡(luò)服務(wù)器η的重要性用wη表示，發(fā)生層次化動態(tài)網(wǎng)絡(luò)入侵全部的入侵類型用M表示，網(wǎng)絡(luò)主機(jī)數(shù)量為H，在不同生命周期內(nèi)評估層次化動態(tài)網(wǎng)絡(luò)的入侵風(fēng)險量化評估是基于不同網(wǎng)絡(luò)服務(wù)器的抗體濃度計算各種入侵風(fēng)險概率[15]，如公式(18)所示：

Rη(t)=2/(Rδ,?+eo)-(rη-rη,δ)/H

(18)

其中，服務(wù)器分類風(fēng)險用tη,δ表示，服務(wù)器總體風(fēng)險和層次化動態(tài)網(wǎng)絡(luò)的分類風(fēng)險分別用rη和Rδ,?表示，層次化動態(tài)網(wǎng)絡(luò)的總體風(fēng)險為Rδ。

2 實驗分析

實驗為驗證本文方法的有效性，需進(jìn)行實際仿真實驗用以驗證本文方法的實際應(yīng)用效果，實驗平臺為Cavium Network公司的OCTEON網(wǎng)絡(luò)服務(wù)平臺，該服務(wù)平臺包括三種服務(wù)器，實驗假設(shè)網(wǎng)絡(luò)入侵者可隨時對服務(wù)器進(jìn)行網(wǎng)絡(luò)攻擊。實驗分別在一天中的8:00-10:00、13:00-15：00和18:00-20:00三個時間段內(nèi)模擬網(wǎng)絡(luò)攻擊者對層次化動態(tài)網(wǎng)絡(luò)發(fā)起入侵，實驗將三個服務(wù)器在上述三個時間段內(nèi)受到的網(wǎng)絡(luò)攻擊次數(shù)分別用表1、2和3描述。服務(wù)器受到攻擊次數(shù)用c表示，網(wǎng)絡(luò)入侵攻擊類型為Yz原子攻擊，其中包括Dos攻擊、Root權(quán)限提升和FTP緩沖區(qū)溢出三種入侵，三種服務(wù)器Oracle數(shù)據(jù)服務(wù)器、FTP服務(wù)器和Web服務(wù)器分別用O 、FT和We表示。

表1 8:00-10:00服務(wù)器的網(wǎng)絡(luò)入侵次數(shù)

表2 13:00-15：00服務(wù)器的網(wǎng)絡(luò)入侵次數(shù)

表3 18:00-20:00服務(wù)器的網(wǎng)絡(luò)入侵次數(shù)

分析3個表中數(shù)據(jù)可知，實驗測試的三個時間段內(nèi)三種服務(wù)器遭受的網(wǎng)絡(luò)攻擊次數(shù)均不相同。

根據(jù)表中數(shù)據(jù)結(jié)果可知，在18:00-20:00期間網(wǎng)絡(luò)服務(wù)器的入侵次數(shù)最少，將13:00-15:00時段與8:00-10:00時段相對比，前者因為對Oracle數(shù)據(jù)服務(wù)器DOS攻擊次數(shù)的提升，出現(xiàn)對Web服務(wù)器的DOS攻擊次數(shù)的提升，所以出現(xiàn)13:00-15：00時間段的網(wǎng)絡(luò)入侵風(fēng)險次數(shù)高于8:00-10：00時間段的網(wǎng)絡(luò)入侵次數(shù)。18:00-20:00時間段相比前兩個時間段的受攻擊次數(shù)略有降低，但此時間內(nèi)對層次化動態(tài)網(wǎng)絡(luò)的危害程度較高，因此說明該時間段的網(wǎng)絡(luò)入侵風(fēng)險高，可以得出攻擊危害強(qiáng)度高的入侵風(fēng)險對多次中等強(qiáng)度的網(wǎng)絡(luò)入侵的網(wǎng)絡(luò)入侵危害大，說明本文方法在對層次化動態(tài)網(wǎng)絡(luò)的風(fēng)險量化評估方面具有較好的應(yīng)用。

圖1和圖2分別為采用本文方法、傳統(tǒng)基于多源信息融合理論的層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險量化評估方法和基于攻擊事件的層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險量化評估方法時，實驗層次化動態(tài)網(wǎng)絡(luò)在遭受惡意網(wǎng)絡(luò)入侵使一段時間內(nèi)的攻擊等級和入侵風(fēng)險值曲線，分別將三種方法的評估結(jié)果與實際值進(jìn)行比較，且網(wǎng)絡(luò)入侵風(fēng)險值和攻擊強(qiáng)度等級分別用c和n表示。

圖1 網(wǎng)絡(luò)入侵風(fēng)險值(c)

圖2 網(wǎng)絡(luò)受攻擊強(qiáng)度等級(n)

分析圖1、圖2三種方法與實際網(wǎng)絡(luò)入侵風(fēng)險值和網(wǎng)絡(luò)受攻擊強(qiáng)度等級曲線可以看出，本文方法與另外兩種方法的入侵風(fēng)險值和受攻擊強(qiáng)度相差較大，與實際結(jié)果的相似度較高，說明本文方法中將人工免疫理論用于量化評估層次化動態(tài)網(wǎng)絡(luò)的入侵風(fēng)險方面具有較好的應(yīng)用性，通過對人體記憶細(xì)胞對抗原的免疫模擬，使一些僅可被記憶抗體識別的入侵信號被視作危險入侵信號，另外一些對層次化動態(tài)網(wǎng)絡(luò)不構(gòu)成危險的會自動排除，因此本文方法的網(wǎng)絡(luò)風(fēng)險值結(jié)果和網(wǎng)絡(luò)受攻擊強(qiáng)度與真實結(jié)果相差小，實驗結(jié)果說明本文方法可用于對層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險的量化評估中。

實驗通過進(jìn)一步驗證本文方法在風(fēng)險量化評估過程中的報警次數(shù)和發(fā)生錯誤報警的幾率，來驗證本文方法性能的優(yōu)勢，實驗主要對Oracle數(shù)據(jù)服務(wù)器實施網(wǎng)絡(luò)入侵測試，實驗控制網(wǎng)絡(luò)入侵的時間間隔Ts為1 s，實驗獲取的量化評估結(jié)果的錯報率用公式(19)表示：

其中，SAN和TAN分別表示本文方法的正確報警數(shù)量和入侵檢測系統(tǒng)(Intrusion Detection Systems, IDS)報警數(shù)量。

實驗將本文的網(wǎng)絡(luò)入侵風(fēng)險量化評估方法和傳統(tǒng)基于多源信息融合理論的層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險量化評估方法分別用TI和STD表示，兩種方法均能對Oracle數(shù)據(jù)服務(wù)器的數(shù)據(jù)包進(jìn)行捕捉，設(shè)置該服務(wù)器的風(fēng)險閾值和層次化動態(tài)網(wǎng)絡(luò)閾值均為0.2，實驗進(jìn)行60 min，實驗前20 min沒有進(jìn)行網(wǎng)絡(luò)入侵，在該時間段內(nèi)發(fā)生的網(wǎng)絡(luò)報警為層次化動態(tài)網(wǎng)絡(luò)自身的報警機(jī)制，在實驗進(jìn)行到20鐘時向該服務(wù)器進(jìn)行網(wǎng)絡(luò)入侵攻擊，持續(xù)20 min且每分鐘發(fā)送50個數(shù)據(jù)包，在實驗進(jìn)行40 min后停止發(fā)送數(shù)據(jù)包。表4和表5分別為本文方法和傳統(tǒng)基于多源信息融合理論的層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險量化評估方法的報警數(shù)量。表6為該網(wǎng)絡(luò)實際的報警次數(shù)。由于層次化動態(tài)網(wǎng)絡(luò)會受到不同類型的網(wǎng)絡(luò)攻擊，因此針對不同的攻擊類型，兩種方法給出不同的報警類型。

表4 本文方法的報警數(shù)量

表5 傳統(tǒng)基于多源信息融合理論的層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險量化評估方法的報警數(shù)量(n)

表6 實際層次化動態(tài)網(wǎng)絡(luò)的報警次數(shù)

實驗將表4、表5和表6數(shù)據(jù)結(jié)果用圖3進(jìn)行描繪，直觀表現(xiàn)出兩種方法對層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險的預(yù)警次數(shù)。

圖3 三種方法的網(wǎng)絡(luò)入侵報警次數(shù)

分析表4、表5、表6以及圖3可知，在實驗測試的前20 min和后20 min內(nèi)，測試服務(wù)器未遭受任何來自外界的網(wǎng)絡(luò)入侵干擾，本文方法和傳統(tǒng)基于多源信息融合理論的層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險量化評估方法均產(chǎn)生報警，該種類型的報警信息屬于對層次化動態(tài)網(wǎng)絡(luò)自身風(fēng)險的報警，在20～40 min內(nèi)，層次化動態(tài)網(wǎng)絡(luò)受到攻擊，兩種方法分析不同測試時間段內(nèi)網(wǎng)絡(luò)的受攻擊次數(shù)不同，與實際層次化動態(tài)網(wǎng)絡(luò)的報警次數(shù)相比，本文方法的報警次數(shù)與實際網(wǎng)絡(luò)的報警次數(shù)相同，說明本文方法對層次化動態(tài)網(wǎng)絡(luò)的入侵風(fēng)險的量化估計效果較好，對每個入侵風(fēng)險都能準(zhǔn)確的進(jìn)行評估。

實驗在表4表5兩種方法獲取報警數(shù)量基礎(chǔ)上，通過比較報警數(shù)量中的錯誤報警次數(shù)來驗證本文方法和傳統(tǒng)方法的風(fēng)險量化評估結(jié)果的準(zhǔn)確性，實驗測得本文方法和基于多源信息融合理論的層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險量化評估方法的錯誤報警次數(shù)用表7表示。

表7 兩種方法在實驗測試時間內(nèi)的錯誤報警次數(shù)

根據(jù)表7兩種方法在實驗測試時間內(nèi)的錯誤報警次數(shù)和公式(19)可以看出，本文對層次化動態(tài)網(wǎng)絡(luò)的入侵風(fēng)險量化評估結(jié)果較準(zhǔn)確，對風(fēng)險的準(zhǔn)確報警次數(shù)較高，本文方法在應(yīng)用在實際的層次化動態(tài)網(wǎng)絡(luò)上具有較高的應(yīng)用價值。

3 結(jié) 語

本文提出的新的層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險量化評估方法，在WNN模型層次化動態(tài)網(wǎng)絡(luò)的入侵安全等級評估結(jié)果的基礎(chǔ)上，將人工免疫原理融入其中，實現(xiàn)對層次化動態(tài)網(wǎng)絡(luò)入侵風(fēng)險的量化評估，從實驗對比結(jié)果可以看出，本文方法可有效的對網(wǎng)絡(luò)入侵的風(fēng)險等級和網(wǎng)絡(luò)入侵風(fēng)險值實施有效量化，且當(dāng)網(wǎng)絡(luò)發(fā)生入侵時的報警效果也較好。