鮑巍 黃振穎

河南建筑職業(yè)技術(shù)學(xué)院信息工程系 河南 450007

0 引言

在蜜罐系統(tǒng)的各個檢測點(diǎn)，由于他們提供的信息一般是不完整、不精確、模糊的，甚至可能是矛盾的，包含大量的不確定性。信息融合中心就是依據(jù)這些不確定性信息進(jìn)行推理，以達(dá)到目標(biāo)識別和具體特征的判斷。在決策融合采用貝葉斯推理算法來進(jìn)行預(yù)測，貝葉斯分析方法的特點(diǎn)是使用概率去表示所有形式的不確定性，通過觀測到的數(shù)據(jù)，利用概率規(guī)則來重新估價觀測之前表示不確定性的概率，整個過程潛在的包含一種反復(fù)學(xué)習(xí)的思想。在采用貝葉斯推理算法過程中，對一般的貝葉斯網(wǎng)絡(luò)進(jìn)行修改，在節(jié)點(diǎn)概率中引入轉(zhuǎn)換概率，從而達(dá)到實時預(yù)測的效果。

貝葉斯網(wǎng)絡(luò)具有強(qiáng)大的不確定性問題處理能力。貝葉斯網(wǎng)絡(luò)用條件概率表達(dá)各個信息要素之間的相關(guān)關(guān)系，能在有限的、不完整、不確定的信息條件下進(jìn)行學(xué)習(xí)和推理。貝葉斯網(wǎng)絡(luò)能有效地進(jìn)行多源信息表達(dá)與融合。貝葉斯網(wǎng)絡(luò)可將攻擊類型與網(wǎng)絡(luò)安全預(yù)防相關(guān)的各種信息納入網(wǎng)絡(luò)結(jié)構(gòu)中，按節(jié)點(diǎn)的方式統(tǒng)一進(jìn)行處理，能有效地按信息的相關(guān)關(guān)系進(jìn)行融合。

1 基于貝葉斯的蜜罐系統(tǒng)建模

經(jīng)典概率方法要求給出在證據(jù)E 出現(xiàn)情況下結(jié)論H 的條件概率 P(H|E)。這在實際應(yīng)用中是相當(dāng)困難的。逆概率方法是根據(jù)Bayes 定理，用逆概率P(E|H)來求原概率P(H|E)。確定逆概率P(E|H)比確定原概率P(H|E)更容易些。例如，若以 E代表大流量信息包，以H 代表洪水攻擊，如欲得到條件概率P(H|E)，就需要統(tǒng)計大流量信息包中那些具有洪水攻擊的特征，統(tǒng)計工作量非常大，而得到逆概率P(E|H)相對容易一些，因為這僅僅需要統(tǒng)計洪水攻擊中那些信息包流量大。畢竟洪水攻擊是很少的，而在網(wǎng)絡(luò)中大流量信息包太多了。

Bayes 結(jié)果之所以比經(jīng)典推理方法好，是因為他能夠在給出證據(jù)的情況下直接確定假設(shè)為真的概率，同時允許使用假設(shè)確實為真的似然性的先驗知識，允許使用主觀概率作為假設(shè)的先驗概率和假設(shè)條件下的證據(jù)概率。它不需要概率密度函數(shù)的先驗知識，使我們能夠迅速地實現(xiàn)Bayes 推理運(yùn)算。

圖1 Bayes 融合處理過程

圖1 表示Bayes 融合處理過程的基本框架。其中Ei，i=1，2，…n，為n個監(jiān)測點(diǎn)所給出的證據(jù)或身份假設(shè)，Hj，j=1，2，…m，是可能的m 個目標(biāo)。假設(shè)n 個監(jiān)測點(diǎn)同時對一個未知實體或目標(biāo)進(jìn)行觀測，所獲得的信息包括信息包流量大小，信息包的長度，包頭是否匹配等數(shù)據(jù)。

Bayes融合處理的具體步驟：

(1) 每個監(jiān)測點(diǎn)把觀測空間的數(shù)據(jù)轉(zhuǎn)換為身份報告，輸出一個未知實體的證據(jù)或身份假設(shè)Ei，i=1，2，…n；

(2) 對每個假設(shè)計算概率 P(Ei|Hj)，i=1，2，…n，j=1，2，…m；

(3) 利用Bayes 公式計算

(4) 最后，應(yīng)用判斷邏輯進(jìn)行決策，其準(zhǔn)則為選取P(Hj|E1, ...,En)的極大值作為輸出，這就是所謂的極大后驗概率判定準(zhǔn)則：

主觀 Bayes 方法不僅給出了在證據(jù)肯定存在或肯定不存在情況下由先驗概率更新為后驗概率的方法，而且還給出了在證據(jù)不確定情況下更新先驗概率為后驗概率的方法。另外，由其推理過程可以看出，它確實實現(xiàn)了不確定性的逐級傳遞?？梢哉f主觀Bayes 方法是一種比較實用且較靈活的不確定性推理方法。

2 貝葉斯網(wǎng)絡(luò)在決策層中的應(yīng)用

從圖 1的模型可以看出，在決策層僅僅采用貝葉斯組合公式對各個監(jiān)測點(diǎn)所給出的概率來進(jìn)行邏輯判定和決策是不夠全面。因此本文在決策層采用Bayes網(wǎng)絡(luò)來進(jìn)行推導(dǎo)和判斷。Bayes網(wǎng)絡(luò)是一種統(tǒng)一的概率推理結(jié)構(gòu)，它為不確定知識條件下的推理提供了一致連續(xù)的解決方法。一個 Bayes網(wǎng)絡(luò)包含了一組節(jié)點(diǎn)，這些節(jié)點(diǎn)代表了一些隨機(jī)變量，節(jié)點(diǎn)間使用弧進(jìn)行連接，反映了節(jié)點(diǎn)間的相互關(guān)系。在某些節(jié)點(diǎn)獲得證據(jù)信息后，Bayes 網(wǎng)絡(luò)在節(jié)點(diǎn)間傳播如何融合這些信息，每個節(jié)點(diǎn)被分配一個與概率定理一致的置信度，直到網(wǎng)絡(luò)達(dá)到新的平衡。

貝葉斯網(wǎng)絡(luò)可以圖形化表示隨機(jī)變量間的聯(lián)合概率，因此能夠處理各種不確定性信息，貝葉斯網(wǎng)絡(luò)中沒有確定的輸入或輸出節(jié)點(diǎn)，節(jié)點(diǎn)之間是相勻影響的，任何節(jié)點(diǎn)觀測值的獲得或者對于任何節(jié)點(diǎn)的十涉，都會對其他節(jié)點(diǎn)造成影響，并可以利用貝葉斯網(wǎng)絡(luò)推理來進(jìn)行估計預(yù)測。貝葉斯網(wǎng)絡(luò)的推理是以貝葉斯概率理論為基礎(chǔ)的，不需要外界的任何推理機(jī)制，不但具有理論依據(jù)，而目將知識表示與知識推理結(jié)合起來，形成統(tǒng)一的整體。

3 貝葉斯網(wǎng)絡(luò)的應(yīng)用與分析

貝葉斯網(wǎng)絡(luò)可以表達(dá)網(wǎng)絡(luò)中所有節(jié)點(diǎn)(變量)的聯(lián)合概率分布。條件獨(dú)立性應(yīng)用于鏈規(guī)則式可得圖 2變量的聯(lián)合概率：

圖2 貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)示例

有了聯(lián)合概率公式，就可以求出貝葉斯網(wǎng)絡(luò)中任意節(jié)點(diǎn)V(攻擊類型)的概率。在對某一攻擊類型 V 進(jìn)行判斷時，必須考慮到V之前的節(jié)點(diǎn)集合(稱為父節(jié)點(diǎn)F )和V之后的節(jié)點(diǎn)集合(稱為子節(jié)點(diǎn)C)。具體形式為：

其中e 表示所有證據(jù)，eC表示子節(jié)點(diǎn)證據(jù)，eF代表父節(jié)點(diǎn)證據(jù)，式(4)的計算結(jié)果將在 X 的整個狀態(tài)空間上對概率進(jìn)行歸一化。式⑴的第一個因子非常簡單，僅僅是一個貝葉斯公式的形式，由于子節(jié)點(diǎn)相互獨(dú)立，可將對子節(jié)點(diǎn)的依賴性擴(kuò)展成如下形式：

上式表明，貝葉斯網(wǎng)絡(luò)任一節(jié)點(diǎn)X取某個特定狀態(tài)時的概率等于兩個因子的乘積。第一個因子來自子節(jié)點(diǎn)，第二個因子來自父節(jié)點(diǎn)，是父節(jié)點(diǎn)先驗概率在所有狀態(tài)組合上的總和，以及給定父節(jié)點(diǎn)時的X 變量的條件概率的總和。如果任一節(jié)點(diǎn)X 取值是指定從t時間片到t+1時間片屬性集狀態(tài)的轉(zhuǎn)換概率 p (xt+1|xt)， 式(4)的形式即變?yōu)椋?/p>

當(dāng)引入轉(zhuǎn)換概率后，貝葉斯網(wǎng)絡(luò)預(yù)測就可實時的預(yù)測結(jié)果，從而減少了丟失的數(shù)據(jù)，使結(jié)果更加準(zhǔn)確。

4 示例

在蜜罐系統(tǒng)中，當(dāng)對攻擊類型進(jìn)行分析判斷中，可以通過幾個監(jiān)測點(diǎn)對攻擊信息不同特征進(jìn)行分析，通過對攻擊信息包的長度、流量大小、包頭是否匹配等特征分析，初步判定是何種攻擊，再由專家系統(tǒng)給出相應(yīng)的判斷，給出先驗概率。再有貝葉斯網(wǎng)絡(luò)推導(dǎo)出后驗概率。

圖3是一個簡單的貝葉斯網(wǎng)絡(luò)，其中X代表為攻擊類型，父節(jié)點(diǎn)E 表示信息包頭是否匹配，父節(jié)點(diǎn)M 表示信息包流量大小，子節(jié)點(diǎn)L代表信息包的長度。X1=分布式拒絕攻擊，X2=木馬攻擊，X3=洪水攻擊，X4=蠕蟲攻擊。

設(shè)i={匹配，不匹配} j={流量大，流量小}

圖3 貝葉斯網(wǎng)絡(luò)攻擊類型結(jié)構(gòu)圖

假設(shè)攻擊類型的條件概率表在t時間片到t+1時間片各個節(jié)點(diǎn)的值不變，攻擊類型的條件概率表如下：

P(xi|E,M) X1 X2 X3 X4 E=匹配M=流量大 0.25 0.55 0.7 0.3 E=不匹配M=流量大 0.45 0.4 0.3 0.6 E=匹配M=流量小 0.55 0.2 0.6 0.2 E=不匹配M=流量小 0.75 0.65 0.25 0.25

由公式(6)就可以計算出父節(jié)點(diǎn)對每種攻擊的概率估計的影響：

同理可得其他三種攻擊的概率的估計：

由公式(5)計算出子節(jié)點(diǎn)對每種攻擊的概率估計的影響：

將這些估計組合起來再歸一化處理(即除以總和)，最終得到X 點(diǎn)的估計：

由此可以判定最后的攻擊為分布式拒絕攻擊。

5 小結(jié)

貝葉斯網(wǎng)絡(luò)為復(fù)雜問題中的不確定性推理提供了良好的知識表達(dá)框架，可以將專家知識和統(tǒng)計數(shù)據(jù)進(jìn)行合理綜合?；谪惾~斯網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊識別有效的利用了各信息源之間的互補(bǔ)性，提高了識別的準(zhǔn)確率、可靠性和穩(wěn)健性。

[1]鐘穗,何明德,吳梅.基于分布式入侵檢測系統(tǒng)的貝葉斯動態(tài)模型的研究.計算機(jī)工程與應(yīng)用.2002.

[2]胡玉勝,涂序彥等.基于貝葉斯網(wǎng)絡(luò)的不確定性知識的推理方法[J].計算機(jī)集成制造系統(tǒng)-CIMS.2001.

[3]王輝.用于預(yù)測的貝葉斯網(wǎng)絡(luò)[J].東北師大學(xué)報(自然科學(xué)版).2002.

[4]何友,王國宏.多傳感器信息融合及應(yīng)用.北京電子工業(yè)出版社.2000.

[5]張劍飛.貝葉斯網(wǎng)絡(luò)學(xué)習(xí)方法和算法研究.東北師范大學(xué).2005.