一種基于多源融合的網(wǎng)絡(luò)安全態(tài)勢感知模型

安鑫 滕子貽 于海 呂陽 呂軍

（國網(wǎng)遼寧省電力有限公司信息通信分公司 遼寧省沈陽市 110000）

近年來，我國網(wǎng)絡(luò)系統(tǒng)規(guī)模已經(jīng)逐漸擴大，并呈現(xiàn)出分布式、復(fù)雜化等特點隨著各種新型網(wǎng)絡(luò)技術(shù)的研發(fā)和應(yīng)用，實現(xiàn)了網(wǎng)絡(luò)系統(tǒng)多元化發(fā)展。但也出現(xiàn)了多樣化網(wǎng)絡(luò)安全問題，諸如軟件病毒、黑客入侵等，導(dǎo)致信息泄露、機密文件被盜等，網(wǎng)絡(luò)安全態(tài)勢感知模型則能夠完善網(wǎng)絡(luò)安全系統(tǒng)，有效提高網(wǎng)絡(luò)安全性，值得推廣應(yīng)用。

1 網(wǎng)絡(luò)安全態(tài)勢感知

網(wǎng)絡(luò)安全態(tài)勢感知 (NSSA)是近年來興起的一種新型網(wǎng)絡(luò)安全技術(shù)，不僅能夠動態(tài)感知網(wǎng)絡(luò)全局安全狀況，還能夠解決簡單的數(shù)據(jù)源單一、虛警率高等問題。而網(wǎng)絡(luò)安全態(tài)勢感知模型則能夠解決態(tài)勢感知問題，能夠營造出安全可靠的網(wǎng)絡(luò)環(huán)境[1]。網(wǎng)絡(luò)安全態(tài)勢技術(shù)結(jié)合數(shù)據(jù)融合方法、神經(jīng)網(wǎng)絡(luò)技術(shù)和D-S證據(jù)理論等能夠建立起功能完善的感知模型，從而有效處理NSSA問題，并評估網(wǎng)絡(luò)安全態(tài)勢。網(wǎng)絡(luò)安全態(tài)勢感知 (NSSA)模型包括數(shù)據(jù)采集、數(shù)據(jù)處理及態(tài)勢感知等組成部分[2]。

該模型不僅能夠?qū)崿F(xiàn)數(shù)據(jù)采集及融合，還能夠?qū)崿F(xiàn)特征選擇、服務(wù)態(tài)勢感知和網(wǎng)絡(luò)態(tài)勢感知，在多個異構(gòu)傳感器作用下還能夠應(yīng)對各種數(shù)據(jù)攻擊問題，并結(jié)合數(shù)據(jù)融合方法、特征選擇等確定網(wǎng)絡(luò)威脅態(tài)勢。

2 網(wǎng)絡(luò)安全態(tài)勢多元融合方法

為保證數(shù)據(jù)網(wǎng)絡(luò)的多樣性及完整性，必須利用數(shù)據(jù)多元融合方法對數(shù)據(jù)信息進行多元融合及實時處理，以網(wǎng)絡(luò)安全態(tài)勢感知(NSSA)模型，然后在該基礎(chǔ)上建立網(wǎng)絡(luò)安全系統(tǒng)。BP網(wǎng)絡(luò)的應(yīng)用能夠有效實現(xiàn)多源數(shù)據(jù)融合，該網(wǎng)絡(luò)的應(yīng)用原理在于利用加權(quán)分類方法確定數(shù)據(jù)特征距離、計算數(shù)據(jù)特征間的支持度，然后利用特征提取方法將數(shù)據(jù)的維度降低，最后形成單元數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢感知 (NSSA)模型，但BP網(wǎng)絡(luò)的應(yīng)用還存在訓(xùn)練時間長、實時性差等問題[3]。

還有學(xué)者使用“證據(jù)支持貼近度過濾器”來降低信息融合復(fù)雜度，從而解決各種數(shù)據(jù)信息融合問題，然后在該基礎(chǔ)上利用“D-S”理論及算法處理低置信度高沖突問題，最終建立網(wǎng)絡(luò)安全態(tài)勢感知(NSSA)模型，該方法也存在很多不足，不能有效處理復(fù)雜性數(shù)據(jù)、不確定性數(shù)據(jù)[4]。但與BP網(wǎng)絡(luò)相比更能夠?qū)哟位治?、評估整體網(wǎng)絡(luò)安全態(tài)勢。

本研究基于D-S 融合規(guī)則、融合方法提出了一種新的網(wǎng)絡(luò)安全態(tài)勢評估方法，能夠在原有的基礎(chǔ)上提高態(tài)勢評估準(zhǔn)確性?；贒-S的多源數(shù)據(jù)融合，能夠組合處理多個數(shù)據(jù)源中的相同事件，然后計算出整體事件發(fā)生率，但真實網(wǎng)絡(luò)環(huán)境中存在不同安全傳感器，所以選用的檢測程度和檢測力度也不同，需要根據(jù)實際選擇檢測方法，以提高檢測可信程度[5]。

基于D-S的多元數(shù)據(jù)融合過程中需要應(yīng)用蟻群算法，即蟻群算法與D-S 融合規(guī)則的結(jié)合，這樣不僅能夠有效處理多源數(shù)據(jù)融合問題，還能夠提高尋優(yōu)能力、不同數(shù)據(jù)融合可信度。

蟻群算法 ( ACO) 中可設(shè)尋優(yōu)過程中有M只螞蟻，每只螞蟻都有一個k維數(shù)據(jù)源組合，k表示數(shù)據(jù)源個數(shù)，而“Amk”則表示第m只螞蟻評價一個k維數(shù)據(jù)源組合，然后計算數(shù)據(jù)源融合優(yōu)先級[6]。計算公式如下：

“Ii”——一個數(shù)據(jù)源的整體組合數(shù)據(jù)集

“Ii(t)”——Ii在第t次迭代時被選中信息素

數(shù)據(jù)集選擇后不能重復(fù)性使用，所以可根據(jù)局部最優(yōu)解情況選擇數(shù)據(jù)集，選擇時的計算方法如下：

每只螞蟻都可以根據(jù)相應(yīng)的頻率茲選擇兩個概率函數(shù)，可將第一個函數(shù)頻率設(shè)為“θ”，第二個函數(shù)頻率設(shè)為1-θ，這樣便能夠?qū)崿F(xiàn)對多樣化網(wǎng)絡(luò)信息的搜索，然后結(jié)合相關(guān)計算公式計算出全局最優(yōu)可能性，最后選擇相應(yīng)的權(quán)值[7]。

對最終選出的權(quán)值進行迭代處理，以得出數(shù)據(jù)源選擇概率，并計算出數(shù)據(jù)源重要程度，重要程度表達式為W=(w1, w2,…,wn)。

根據(jù)上文求解，結(jié)合D-S證據(jù)組合規(guī)則對數(shù)據(jù)融合進行改進，具體如下：

其中，

3 網(wǎng)絡(luò)安全態(tài)勢感知模型建立方法及過程

本研究將D-S 理論和蟻群算法結(jié)合，然后對數(shù)據(jù)進行預(yù)處理，以達到降低不同數(shù)據(jù)源融合難度的目標(biāo)，并提高數(shù)據(jù)采集準(zhǔn)確性。D-S理論和蟻群算法結(jié)合形式的網(wǎng)絡(luò)安全態(tài)勢感知需要在融合后對數(shù)據(jù)進行特征選擇，以降低特征空間維數(shù)，并將無用、冗余、最少使用的特征刪除，降低無用的、從而減少計算復(fù)雜性。具體如下：

3.1 特征選擇

根據(jù)D-S準(zhǔn)則和蟻群算法選擇最有效的特征，這樣不僅能夠降低特征空間維數(shù)，還能夠提高安全事件檢測效率及數(shù)據(jù)處理實時性。“特征選擇”的關(guān)鍵在于“神經(jīng)網(wǎng)絡(luò)”，具有良好非線性映射能力的神經(jīng)網(wǎng)絡(luò)，能夠準(zhǔn)確計算出任意函數(shù)，從而確定對應(yīng)的特征選擇領(lǐng)域[8]。本研究選用了BP神經(jīng)網(wǎng)絡(luò)系統(tǒng)，該神經(jīng)網(wǎng)絡(luò)系統(tǒng)能夠?qū)y試集中的輸入數(shù)據(jù)特征、最終輸出結(jié)果等進行檢測，并刪除冗余、不重要的特征，最終得出,最優(yōu)化的特征子集。

BP神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)由隱層節(jié)點數(shù)量決定，一個隱含層的BP網(wǎng)絡(luò)可逼近閉區(qū)間內(nèi)的任一連續(xù)函數(shù)，簡單來說就是一個三層的BP網(wǎng)絡(luò)能夠映射出n維、m維[9]。本文選用三層網(wǎng)絡(luò)結(jié)構(gòu)進行特征選擇，包括輸入層→隱層→輸出層，具體節(jié)點輸出如下：

（1）隱層節(jié)點輸出：

“n”——輸入層節(jié)點數(shù)量；

“q”——隱層節(jié)點數(shù)量；

“m”——輸出層節(jié)點數(shù)量；

“vki”——輸入層與隱層之間的權(quán)值；

“wjk”——隱層與輸出層之間的權(quán)值；

人們對繼續(xù)教育的需求從以往注重學(xué)歷補償?shù)浆F(xiàn)階段的以職業(yè)技能提高和職業(yè)素養(yǎng)提升為主，逐步向終身化的繼續(xù)教育目標(biāo)發(fā)展。如何提供適合社會經(jīng)濟發(fā)展要求和學(xué)習(xí)中多樣化、個性化需求的各類非學(xué)歷教育資源供給擺在了繼續(xù)教育面前。

“f1()”——隱層傳遞函數(shù)；

“f2()”——輸出層傳遞函數(shù)。

（2）輸出層節(jié)點輸：

設(shè)學(xué)習(xí)樣本為p，表示為“ X1, X2,…,XP”；第p個輸入的樣本輸出結(jié)果為ypj，通過平方誤差函數(shù)計算出對應(yīng)的誤差值Ep[10]：

全局誤差為：

輸出層各神經(jīng)元權(quán)值調(diào)整公式：

“Sj”——節(jié)點j的輸入。

3.2 層次化量化感知

3.2.1 服務(wù)安全態(tài)勢

服務(wù)安全態(tài)勢感包括攻擊強度、攻擊權(quán)重、攻擊數(shù)目等，模型計算如下：

“wi”——攻擊威脅權(quán)重；

“Ni”——攻擊數(shù)目；

3.2.2 主機安全態(tài)勢

主機安全態(tài)勢的決定因素有各類服務(wù)態(tài)勢、服務(wù)數(shù)目及比重系數(shù)，模型計算如下：

“u”——主機Hi—存在的服務(wù)個數(shù)。

“wsj” ——重要程度權(quán)重。

3.2.3 網(wǎng)絡(luò)安全態(tài)勢

網(wǎng)絡(luò)安全態(tài)勢感知決定因素包括態(tài)勢感知、主機比重，模型計算如下：

“v”——主機Ni存在的服務(wù)個數(shù)。

“whi”——重要程度權(quán)重。

SNi值越大則主機受到的網(wǎng)絡(luò)安全威脅越大，反之則威脅最小。

4 仿真實驗

4.1 數(shù)據(jù)融合實驗

根據(jù)本研究的融合算法和感知方法設(shè)計出拓撲結(jié)構(gòu)，利用Snort、Suricata、NetFlow等傳感器對計算所需要的數(shù)據(jù)進行采集，然后在KDD99數(shù)據(jù)集中選擇用于實驗的關(guān)鍵特征，并使用重放工具重放數(shù)據(jù)集，最后根據(jù)蟻群算法和D-S證據(jù)計算取值范圍[11]。

不同數(shù)據(jù)源的事件檢測取值范圍為：

DoS=(0.256,0.219,0.525)

R2L=(0.414,0.408,0.178)

U2L=(0.437,0.411,0.152)

Probe=(0.317,0.337,0.346)

融合率(FR)、檢測率(DR) 和誤警率 (FDR)計算公式如下[12]：

傳統(tǒng)D-S、專家加權(quán)D-S、蟻群D-S融合能力比較，見表1。

表1：不同D-S的融合能力比較(%)

通過表1不難發(fā)現(xiàn)本研究將D-S證據(jù)和蟻群算法結(jié)合形成的“蟻群D-S”模型，其融合能力更強，融合率(FR)、檢測率(DR) 均明顯高于傳統(tǒng)D-S、專家加權(quán)D-S，且誤警率 (FDR)只有5.08%，證實了蟻群算法與D-S證據(jù)的融合具有很大的優(yōu)勢。

4.2 網(wǎng)絡(luò)安全態(tài)勢實驗

主機安全漏洞是影響力較大的網(wǎng)絡(luò)安全威脅，所以本研究以主機安全漏洞所占權(quán)重的服務(wù)數(shù)和服務(wù)權(quán)重來檢驗蟻群算法與D-S證據(jù)家伙的網(wǎng)絡(luò)安全態(tài)勢[13]。根據(jù)主機權(quán)重進行歸一化處理，計算公式如下：

一天內(nèi)網(wǎng)絡(luò)安全態(tài)勢值見圖1，安全態(tài)勢值較高的時間點為 2、6、11、23，表示這幾個時間點遭受的攻擊程度較高，由此可見蟻群算法與D-S證據(jù)結(jié)合下的網(wǎng)絡(luò)安全態(tài)勢感知模型能夠分析不同時間點的網(wǎng)絡(luò)安全狀況。

圖1：不同時間點的網(wǎng)絡(luò)安全態(tài)勢

5 結(jié)語

總之，基于多源融合計算方法構(gòu)建網(wǎng)絡(luò)安全態(tài)勢感知模型能夠有效分析和評估出各種網(wǎng)絡(luò)安全問題。D-S證據(jù)理論及算法是較為常見的網(wǎng)絡(luò)安全態(tài)勢感知模型構(gòu)建理論及計算方法，具有較高的融合率(FR)、檢測率(DR)，比較適用于多元融合下的網(wǎng)絡(luò)安全態(tài)勢感知模型，得到了相關(guān)技術(shù)人員的重視及關(guān)注。因此，上文基于對D-S證據(jù)理論及算法的了解，將D-S證據(jù)理與蟻群算法結(jié)合形成新型的蟻群D-S算法，根據(jù)蟻群D-S算法建立的網(wǎng)絡(luò)安全態(tài)勢感知模型不僅能夠彌補傳統(tǒng)D-S、專家加權(quán)D-S算法的不足，還在原有的基礎(chǔ)上提高融合率(FR)、檢測率(DR)，并降低誤警率(FDR)，以實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的實時監(jiān)控，從而及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)安全問題。