文志誠(chéng)　陳志剛?　唐軍

(1.中南大學(xué) 信息科學(xué)與工程學(xué)院 湖南 長(zhǎng)沙 410083; 2.中車株洲電力機(jī)車研究所有限公司， 湖南 株洲 412001)

?

基于時(shí)間序列分析的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)*

文志誠(chéng)1陳志剛1?唐軍2

(1.中南大學(xué) 信息科學(xué)與工程學(xué)院 湖南 長(zhǎng)沙 410083; 2.中車株洲電力機(jī)車研究所有限公司， 湖南 株洲 412001)

摘要:針對(duì)現(xiàn)有網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)的信息來(lái)源單一、缺乏實(shí)時(shí)性等問(wèn)題，通過(guò)考察網(wǎng)絡(luò)安全態(tài)勢(shì)變化特點(diǎn)，提出了基于時(shí)間序列分析的預(yù)測(cè)方法.首先構(gòu)建主機(jī)上一系列隱馬爾可夫預(yù)測(cè)模型，充分利用多源異構(gòu)信息，刻畫不同時(shí)刻主機(jī)安全態(tài)勢(shì)的前后依賴關(guān)系，預(yù)測(cè)主機(jī)下一時(shí)刻的安全態(tài)勢(shì)；再綜合考慮網(wǎng)絡(luò)上所有主機(jī)安全態(tài)勢(shì)，量化計(jì)算出下一時(shí)刻的網(wǎng)絡(luò)安全態(tài)勢(shì)，間接地預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)變化規(guī)律及發(fā)展方向.通過(guò)真實(shí)網(wǎng)絡(luò)環(huán)境的實(shí)驗(yàn)，驗(yàn)證了文中提出的方法在網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)中的可行性和有效性.

關(guān)鍵詞：網(wǎng)絡(luò)安全；安全態(tài)勢(shì)預(yù)測(cè)；隱馬爾可夫模型；時(shí)間序列分析；參數(shù)學(xué)習(xí)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知(NSSA)于1999年首次由Bass提出，強(qiáng)調(diào)網(wǎng)絡(luò)實(shí)體之間的相互關(guān)聯(lián)性，從宏觀角度給網(wǎng)管人員展現(xiàn)出一個(gè)清晰整體的網(wǎng)絡(luò)安全狀況[1- 3].目前NSSA已引起了國(guó)內(nèi)外研究人員的高度重視，成為網(wǎng)絡(luò)安全領(lǐng)域一個(gè)研究熱點(diǎn).NSSA是指對(duì)關(guān)聯(lián)的網(wǎng)絡(luò)安全各要素進(jìn)行獲取、理解、顯示以及預(yù)測(cè)，可從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)當(dāng)前安全狀況，對(duì)未來(lái)發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)預(yù)警，為策略制定提供可靠的參照依據(jù)[4- 5].

目前網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)已逐漸地應(yīng)用于計(jì)算機(jī)網(wǎng)絡(luò)之中，并出現(xiàn)了一些感知方法[6- 8]，但目前還沒(méi)有成熟的模型、方法和評(píng)價(jià)標(biāo)準(zhǔn).文獻(xiàn)[9]提出了基于攻擊能力增長(zhǎng)的網(wǎng)絡(luò)安全分析模型，對(duì)網(wǎng)絡(luò)安全性能進(jìn)行分析.文獻(xiàn)[10]針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知問(wèn)題，提出了一種基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法.文獻(xiàn)[11]針對(duì)安全態(tài)勢(shì)評(píng)估正確性和合理性等問(wèn)題，提出了基于D-S融合知識(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法.文獻(xiàn)[12]給出了基于神經(jīng)網(wǎng)絡(luò)和隱馬爾可夫的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法.

為增強(qiáng)網(wǎng)絡(luò)安全性能，需對(duì)安全態(tài)勢(shì)未來(lái)發(fā)展趨勢(shì)進(jìn)行預(yù)測(cè)，目前對(duì)安全態(tài)勢(shì)發(fā)展趨勢(shì)的預(yù)測(cè)大多精度不高且缺乏實(shí)時(shí)性.文獻(xiàn)[13]從理論與實(shí)際相結(jié)合的角度提出一種基于隱馬爾可夫模型的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型HMM-NSSP，并給出了預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)的方法.文獻(xiàn)[14]為了盡可能準(zhǔn)確評(píng)估和預(yù)測(cè)網(wǎng)絡(luò)安全狀態(tài)，在研究量子粒子群優(yōu)化算法(QPSO)的基礎(chǔ)上，探索影響算法全局收斂性能的因素，形成一種基于進(jìn)化策略的改進(jìn)QPSO算法.文獻(xiàn)[15]通過(guò)對(duì)可信網(wǎng)絡(luò)連接框架(TNC)和網(wǎng)絡(luò)態(tài)勢(shì)感知體系(CSA)的研究，針對(duì)可信網(wǎng)絡(luò)安全中多數(shù)據(jù)源確定性與不確定性的特點(diǎn)，提出了基于集對(duì)分析的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè)方法(SPSAF).

針對(duì)現(xiàn)有預(yù)測(cè)方法信息來(lái)源單一、缺乏實(shí)時(shí)性等問(wèn)題，文中采用最適用于時(shí)間序列分析的隱馬爾可夫預(yù)測(cè)模型(HMM).首先構(gòu)建主機(jī)上一系列隱馬爾可夫預(yù)測(cè)模型，充分利用多源異構(gòu)信息，刻畫不同時(shí)刻主機(jī)安全態(tài)勢(shì)的前后依賴關(guān)系，預(yù)測(cè)主機(jī)下一時(shí)刻的安全態(tài)勢(shì)；再綜合考慮網(wǎng)絡(luò)上所有主機(jī)安全態(tài)勢(shì)，量化計(jì)算出下一時(shí)刻的網(wǎng)絡(luò)安全態(tài)勢(shì)，間接地預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)變化規(guī)律及其發(fā)展方向.

1網(wǎng)絡(luò)安全態(tài)勢(shì)

1.1安全態(tài)勢(shì)定義

定義1網(wǎng)絡(luò)安全態(tài)勢(shì)GSA，由網(wǎng)絡(luò)上n臺(tái)主機(jī)安全態(tài)勢(shì)HSA加權(quán)而成，取1—5的5個(gè)離散等級(jí)值，如圖1所示.

定義2主機(jī)安全態(tài)勢(shì)HSA由主機(jī)基礎(chǔ)運(yùn)行維Y、主機(jī)脆弱維U與主機(jī)威脅維F三維加權(quán)而成，取1—5的5個(gè)離散等級(jí)值.

定義3主機(jī)基礎(chǔ)運(yùn)行維Y由主機(jī)基礎(chǔ)運(yùn)行維指數(shù)IY融合生成，主機(jī)威脅維F由主機(jī)威脅維指數(shù)IF融合生成.其中IY、IF是一行五列概率向量.

文中只對(duì)IY、IF分別建立兩大類用于預(yù)測(cè)的隱馬爾可夫模型，它們的隱狀態(tài)都為“安全、輕度危險(xiǎn)、一般危險(xiǎn)、中度危險(xiǎn)、高度危險(xiǎn)”5個(gè)等級(jí)離散值；對(duì)于主機(jī)脆弱維指數(shù)IU將采用推薦值，與主機(jī)脆弱維U具有相同值.

所謂指數(shù)，與指標(biāo)數(shù)不同，是對(duì)本屬性定量描述；文中用概率向量逐級(jí)描述IY、IF，兩指數(shù)通過(guò)運(yùn)算可得相應(yīng)的Y和F；而主機(jī)脆弱維指數(shù)IU為標(biāo)量，是一個(gè)專家推薦值，在文中與U相同.

1.2可觀測(cè)指標(biāo)

網(wǎng)絡(luò)安全態(tài)勢(shì)可觀測(cè)指標(biāo)是預(yù)測(cè)的基礎(chǔ)，是外部可以用于觀測(cè)的信息來(lái)源，需要建立一套合理、科學(xué)的可觀測(cè)指標(biāo)體系，充分利用多源異構(gòu)信息源，能全面評(píng)價(jià)預(yù)測(cè)當(dāng)前網(wǎng)絡(luò)的整體安全性能.網(wǎng)絡(luò)安全態(tài)勢(shì)可觀測(cè)指標(biāo)體系及預(yù)測(cè)架構(gòu)如圖1所示.

1.3網(wǎng)絡(luò)安全等級(jí)

根據(jù)國(guó)家突發(fā)公共事件總體應(yīng)急預(yù)案文稿[16]，并結(jié)合網(wǎng)絡(luò)威脅與漏洞等要素特點(diǎn)，把網(wǎng)絡(luò)安全態(tài)勢(shì)等級(jí)劃分為5個(gè)等級(jí)，用0～1區(qū)間的小數(shù)定量描述，如表1所示.

網(wǎng)絡(luò)安全等級(jí)參照表是文中的工作基礎(chǔ)，也是構(gòu)建隱馬爾可夫預(yù)測(cè)模型及各類預(yù)測(cè)結(jié)果等級(jí)給定的參考依據(jù).

圖1　網(wǎng)絡(luò)安全態(tài)勢(shì)可觀測(cè)指標(biāo)體系及預(yù)測(cè)架構(gòu)

Fig.1Observable index system and predication architecture of network security situation

表1　網(wǎng)絡(luò)安全等級(jí)參照表

1.4離散化方法

可觀測(cè)指標(biāo)可取離散型和連續(xù)型兩種值，為了便于原始數(shù)據(jù)在隱馬爾可夫預(yù)測(cè)模型中的應(yīng)用，把連續(xù)型取值離散化，取為“安全、輕度危險(xiǎn)、一般危險(xiǎn)、中度危險(xiǎn)、高度危險(xiǎn)”或“1、2、3、4、5”5個(gè)等級(jí)值.對(duì)于連續(xù)型原始數(shù)據(jù)，把數(shù)據(jù)的取值約束在區(qū)間[0,1]之內(nèi)，有

(1)

式中，Di表示原始數(shù)據(jù)值，Dmax與Dmin表示數(shù)值上下限.對(duì)于任何一個(gè)連續(xù)型原始采樣數(shù)據(jù)，可通過(guò)式(1)化為0～1之間的值，再對(duì)照表1可離散化為相應(yīng)的等級(jí)離散取值.這是構(gòu)建隱馬爾可夫預(yù)測(cè)模型的理論基礎(chǔ).

2預(yù)測(cè)模型

2.1隱馬爾可夫模型

2)A=(aij)N×N，為隱馬爾可夫模型中的隱狀態(tài)轉(zhuǎn)移概率矩陣,

aij=P(qt+1=Sj|qt=Si),

3)B=(bjm)N×M,為觀測(cè)符號(hào)概率矩陣，即每個(gè)狀態(tài)中各個(gè)不同可觀測(cè)符號(hào)的概率分布.設(shè)可觀測(cè)序列為O=o1,o2,…,ot，則:

bjm=P(Ot=vm|qt=Sj),

2.2構(gòu)建預(yù)測(cè)模型

文中需構(gòu)建兩大類隱馬爾可夫預(yù)測(cè)模型，其中每類又由若干個(gè)隱馬爾可夫預(yù)測(cè)模型組成，共同完成此大類的預(yù)測(cè)任務(wù).以主機(jī)威脅維指數(shù)IF構(gòu)建一系列隱馬爾可夫預(yù)測(cè)模型為例，主機(jī)基礎(chǔ)運(yùn)行維指數(shù)IY所關(guān)聯(lián)大類隱馬爾可夫預(yù)測(cè)模型的構(gòu)建類似，不再贅述.

定義1設(shè)主機(jī)威脅維指數(shù)IF內(nèi)部隱狀態(tài)可表示為S1,S2,…,S5，則主機(jī)威脅維指數(shù)將在這5個(gè)狀態(tài)中以概率aij自由轉(zhuǎn)換，其中0≤aij≤1.

定義2主機(jī)威脅維指數(shù)IF有L個(gè)外在可觀測(cè)指標(biāo)，表示為隨機(jī)變量xi(1≤i≤L)，而每個(gè)可觀測(cè)指標(biāo)xi都有5個(gè)離散化可觀測(cè)狀態(tài)；對(duì)xi的一次具體觀測(cè)值表示在時(shí)刻T的觀測(cè)oT=vT(vT為一個(gè)五等離散化狀態(tài))，則經(jīng)過(guò)t個(gè)時(shí)刻得到觀測(cè)序列O={o1,o2,…,ot}.

在主機(jī)威脅維指數(shù)與脆弱維指數(shù)中遴選出多少個(gè)用于預(yù)測(cè)的可觀測(cè)指標(biāo)xi，則需構(gòu)建多少個(gè)隱馬爾可夫預(yù)測(cè)模型，可將其劃分為相應(yīng)的兩大類預(yù)測(cè)模型，利用多源異構(gòu)信息源，共同完成預(yù)測(cè)功能.

2.3參數(shù)學(xué)習(xí)

2.3.1符號(hào)定義

則有公式：

(2)反向概率βt(i)，處于隱狀態(tài)Si并且觀測(cè)到部分序列Ot+1,Ot+2,…,OT的概率，

則有βt(i)=1；當(dāng)在時(shí)刻t時(shí)處于隱狀態(tài)Si且觀測(cè)到序列Ot，則

(4)在t時(shí)刻系統(tǒng)處于隱狀態(tài)Si的概率為

2.3.2樣本訓(xùn)練

O={o1,o2,…,ot}，

在所得參數(shù)上取平均，可計(jì)算

3預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)

首先預(yù)測(cè)主機(jī)安全態(tài)勢(shì),再由各主機(jī)安全態(tài)勢(shì)綜合生成網(wǎng)絡(luò)安全態(tài)勢(shì).

3.1生成主機(jī)安全態(tài)勢(shì)

第②步需綜合本系列L個(gè)隱狀態(tài)序列Qr得到IF隱狀態(tài)序列Q；第③步的IF隨機(jī)矩陣A需綜合L個(gè)隨機(jī)矩陣Ar得到.

3.1.1Viterbi算法解碼

定義δt(i)為在時(shí)刻t代表前t個(gè)觀測(cè)并止于狀態(tài)Si具有最高概率路徑的概率：

δt(i)=maxq1,q2,…,qt-1[P(q1,q2,…,qt-1,qt=St,

可以遞歸地計(jì)算δt+1(i)，而最優(yōu)路徑可以從時(shí)刻t開始，在每個(gè)時(shí)刻選擇最合適的狀態(tài)來(lái)反向讀取，算法如下：

(1)初始化

φ1(i)=0.

(2)遞歸

δt(j)=maxi[δt-1(i)aijbjt],

φt(j)=arg maxi[δt-1(i)aij].

(3)終止

p*=maxi[δi(i)],

(4)路徑(狀態(tài)序列)回溯

φt(j)跟蹤了在t-1時(shí)刻最大化δt(j)的狀態(tài)，也就是說(shuō)，最佳的前驅(qū)狀態(tài).通過(guò)后向遞歸，可以得出最佳狀態(tài)序列Q=S1,S2,…,St.

3.1.2主機(jī)安全指數(shù)

在時(shí)刻t，目前主機(jī)的威脅維指數(shù)IF處于隱狀態(tài)qt，則下一時(shí)刻(t+1)，處于隱狀態(tài)qt+1的有5個(gè)概率，由隨機(jī)矩陣A得到概率向量：

IF=[P(qt+1=S1|qt=St),P(qt+1=S2|qt=St),…，

P(qt+1=S5|qt=St)].

主機(jī)基礎(chǔ)運(yùn)行維指數(shù)IY同理可得.主機(jī)脆弱維指數(shù)IU只涉及到系統(tǒng)配置信息，比較穩(wěn)定，可由防護(hù)軟件如360安全衛(wèi)士等推薦而得.

由此得到主機(jī)t+1時(shí)刻的安全指數(shù)(IY，IU，IF).

3.1.3主機(jī)安全態(tài)勢(shì)

生成主機(jī)t+1時(shí)刻安全態(tài)勢(shì)HSA分兩步進(jìn)行：①由主機(jī)基礎(chǔ)運(yùn)行維指數(shù)IY生成主機(jī)基礎(chǔ)運(yùn)行維Y、主機(jī)威脅維指數(shù)IF生成主機(jī)基礎(chǔ)威脅維F；②由主機(jī)基礎(chǔ)運(yùn)行維Y、脆弱維U、威脅維F生成主機(jī)安全態(tài)勢(shì)HSA，其相互關(guān)系如圖1所示.

以主機(jī)威脅維F為例，設(shè)等級(jí)向量E為轉(zhuǎn)置矩陣，E=(1,2 ,3,4,5)T，則

F=IF·E=

[P(qt+1=S1|qt=St),P(qt+1=S2|qt=St),…，

P(qt+1=S5|qt=St)]·(1,2,3,4,5)T=

物理意義上，主機(jī)威脅維F由所處等級(jí)i與其等級(jí)i的概率的乘積相加得到.F取1.0～5.0之間的實(shí)數(shù)，作為生成主機(jī)t+1時(shí)刻安全態(tài)勢(shì)輸入數(shù)據(jù)，同理可得主機(jī)基礎(chǔ)運(yùn)行維Y.主機(jī)脆弱維U與脆弱維指數(shù)IU相同.

再根據(jù)經(jīng)驗(yàn)與專家推薦，給出主機(jī)基礎(chǔ)運(yùn)行維Y、主機(jī)脆弱維U與主機(jī)威脅維F的權(quán)重w=(w1,w2,w3)(w1+w2+w3=1)，有

HSA=w1Y+w2U+w3F.

物理意義上，w=(w1,w2,w3)表示主機(jī)上三維(Y,U,F)在安全態(tài)勢(shì)中所占的比重，一般地，主機(jī)基礎(chǔ)運(yùn)行維是主機(jī)安全態(tài)勢(shì)的外在體現(xiàn)，其權(quán)值w1比較大.

3.2生成網(wǎng)絡(luò)安全態(tài)勢(shì)

在t+1時(shí)刻網(wǎng)絡(luò)上有n臺(tái)主機(jī)，包括普通計(jì)算機(jī)和各類服務(wù)器，為了突出網(wǎng)絡(luò)節(jié)點(diǎn)中服務(wù)器的重要性，把服務(wù)器主機(jī)權(quán)重增加為普通主機(jī)的若干倍，等價(jià)于若干個(gè)普通節(jié)點(diǎn).根據(jù)專家經(jīng)驗(yàn)值，賦予網(wǎng)絡(luò)上各主機(jī)的權(quán)重ηi，網(wǎng)絡(luò)安全態(tài)勢(shì)GSA由各主機(jī)安全態(tài)勢(shì)加權(quán)生成：

4仿真實(shí)驗(yàn)

搭建了一個(gè)網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境，驗(yàn)證文中提出評(píng)估方法的合理性與正確性.在該環(huán)境下進(jìn)行安全態(tài)勢(shì)量化評(píng)估實(shí)驗(yàn).普通用戶User和攻擊者Attacker可通過(guò)Internet訪問(wèn)該網(wǎng)絡(luò)上各主機(jī).

4.1數(shù)據(jù)采樣

對(duì)于連續(xù)型原始采樣數(shù)據(jù)，可應(yīng)用式(1)歸一化處理為0～1之間的實(shí)數(shù)值，再對(duì)照表1可取相應(yīng)的等級(jí)離散取值.為了便于表達(dá)，數(shù)據(jù)按中間值處理后平移到相應(yīng)的位置，而不是直接取離散值，否則變成一根折線，表達(dá)不了差異性，如圖2所示.離散化平移后，數(shù)據(jù)在相應(yīng)的離散值附近上下小幅度波動(dòng).在應(yīng)用時(shí)，在等級(jí)i附近上下波動(dòng)的數(shù)據(jù)就取離散化值i，方便且易于操作.

4.2參數(shù)學(xué)習(xí)

為了讓所建立的隱馬爾可夫模型能夠預(yù)測(cè)，必須對(duì)其進(jìn)行參數(shù)學(xué)習(xí).本實(shí)驗(yàn)隨機(jī)采集樣本量4 000個(gè)，對(duì)貝葉斯網(wǎng)與隱馬爾可夫參數(shù)學(xué)習(xí)進(jìn)行比較，結(jié)果如圖3所示.

圖2　離散化數(shù)據(jù)采樣圖

圖3　兩種模型參數(shù)學(xué)習(xí)對(duì)比

Fig.3Comparison of parameter learning between HMM and Bayes

經(jīng)過(guò)主機(jī)4 000個(gè)大樣本隱馬爾可夫參數(shù)學(xué)習(xí)，以主機(jī)威脅維指數(shù)IF為例，得到一個(gè)隱馬爾可夫模型的隱狀態(tài)轉(zhuǎn)移概率矩陣A：

aij安全輕度危險(xiǎn)一般危險(xiǎn)中度危險(xiǎn)高度危險(xiǎn)安全0.7680.1560.0560.0120.008輕度危險(xiǎn)0.1060.7180.1060.0580.012一般危險(xiǎn)0.0520.0960.7040.0960.052中度危險(xiǎn)0.0130.0540.1020.7290.102高度危險(xiǎn)0.0060.0130.0660.1410.774

4.3主機(jī)安全態(tài)勢(shì)

表2示出了在某個(gè)時(shí)刻t網(wǎng)絡(luò)上一主機(jī)所有可觀測(cè)指標(biāo)的離散取值.網(wǎng)絡(luò)上有N臺(tái)主機(jī)，在這個(gè)時(shí)刻t時(shí)就有N個(gè)類似參數(shù)，先生成N個(gè)主機(jī)安全態(tài)勢(shì)HSA，再共同融合成網(wǎng)絡(luò)的安全態(tài)勢(shì)GSA.

由表2可知此臺(tái)主機(jī)正受到網(wǎng)絡(luò)攻擊，因?yàn)橥{維指數(shù)各可觀測(cè)指標(biāo)基本上處于2、3等級(jí)，主機(jī)威脅維指數(shù)IF經(jīng)計(jì)算為(0.75,0.15,0.06,0.03,0.01)，與它的等級(jí)向量E=(1,2,3,4,5)T之積，得到主機(jī)威脅維F=1.40；同理，可從主機(jī)基礎(chǔ)運(yùn)行維指數(shù)IY得到主機(jī)基礎(chǔ)運(yùn)行維Y=1.26，經(jīng)專家推薦主機(jī)脆弱維U=1.10；取經(jīng)驗(yàn)權(quán)值w=(w1,w2,w3)=(0.50,0.25,0.25)，則主機(jī)安全態(tài)勢(shì)HSA=w1Y+w2U+w3F=1.29，取上整得到主機(jī)安全態(tài)勢(shì)為第1等.

4.4網(wǎng)絡(luò)安全態(tài)勢(shì)

表2　主機(jī)可觀測(cè)指標(biāo)所取離散值

圖4　網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)對(duì)比

Fig.4Comparison of the network security situation prediction

5結(jié)語(yǔ)

文中構(gòu)建了主機(jī)上一系列隱馬爾可夫預(yù)測(cè)模型，使樣本容易采集且極大地降低了3個(gè)參數(shù)獲取的時(shí)間復(fù)雜度，可充分利用多源異構(gòu)信息，從不同角度刻畫了不同時(shí)刻主機(jī)安全態(tài)勢(shì)的前后依賴關(guān)系，預(yù)測(cè)了主機(jī)下一時(shí)刻的安全態(tài)勢(shì)；再綜合網(wǎng)絡(luò)上所有主機(jī)安全態(tài)勢(shì)，量化計(jì)算出下一時(shí)刻的網(wǎng)絡(luò)安全態(tài)勢(shì)，間接地預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)變化規(guī)律及其發(fā)展方向.通過(guò)仿真實(shí)驗(yàn)，驗(yàn)證了文中所提的方法正確性.文中創(chuàng)新之處為：在建立隱馬爾可夫模型時(shí)，分別構(gòu)建了IY、IF兩大類一系列隱馬爾可夫預(yù)測(cè)模型，并間接量化了網(wǎng)絡(luò)安全態(tài)勢(shì).

參考文獻(xiàn)：

[1]BASS T.Intrusion detection systems and multisensor data fusion [J].Communications of the ACM，2000,43(4):99- 105.

[2]G?RNITZ N,KLOFT M,RIECK K,et al.Toward supervised anomaly detection [J].Journal of Artificial Intelligence Research,2013,46(2):235- 262.

[3]SAMPLE C,SCHAFFER K.An overview of anomaly detection [J].IT Professional,2013,15(1):8- 11.

[4]姜允志,郝志峰,張宇山，等.貝葉斯預(yù)測(cè)型進(jìn)化算法 [J].計(jì)算機(jī)學(xué)報(bào),2014,37(8):1846- 1858.

JIANG Yun-zhi，HAO Zhi-feng，ZHANG Yu-shan，et al.Baysian forecasting evolutionary algorithm [J].Chinese Journal of Computers,2014,37(8):1846- 1858.

[5]BRADSHAW Jeffrey M,CARVALHO M,BUNCH Larry,et al.Sol:an agent-based framework for cyber situation awareness [J].Künstliche Intelligenz,2012,26(2):127- 140.

[6]GIUSJ D,CHIARA F,GABRIELE O,et al.Aware online interdependency modeling via evidence theory [J].International Journal of Critical Infrastructures,2013,9(1/2):74- 92.

[7]BAZAN J G,BAZAN-SOCHA S,BUREGWA-CZUMA S,et al.Classifiers based on data sets and domain know-ledge:a rough set approach [M]∥Proceedings of Intelligent Systems Reference Library.Berlin,Heidelberg:Springer,2013:93- 136.

[8]方研,殷肖川,孫益博.基于隱馬爾可夫模型的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估 [J].計(jì)算機(jī)應(yīng)用與軟件,2013,30(12):64- 68.

FANG Yan,YIN Xiao-chuan,SUN Yi-bo.Network security situation assessment based on hidden Markov model [J].Computer Applications and Software,2013,30(12):64- 68.

[9]張海霞,蘇璞睿,馮登國(guó).基于攻擊能力增長(zhǎng)的網(wǎng)絡(luò)安全分析模型 [J].計(jì)算機(jī)研究與發(fā)展,2007,44(12):2012- 2019.

ZHANG Hai-xia，SU Pu-rui，F(xiàn)ENG Deng-guo.A network security analysis model based on the increase in attack ability [J].Journal of Computer Research and Development,2007,44(12):2012- 2019.

[10]謝麗霞,王亞超,于巾博.基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知 [J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版),2013,53(12):1750- 1760.

XIE Li-xia,WANG Ya-chao,Yu Jin-bo.Network security situation awareness based on neural networks [J].Journal of Tsinghua University(Science and Technology),2013,53(12):1750- 1760.

[11]唐成華,湯申生,強(qiáng)保華.DS融合知識(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估及驗(yàn)證 [J].計(jì)算機(jī)科學(xué),2014,41(4):107- 110,125.

TANG Cheng-hua,TANG Shen-sheng,QIANG Bao-hua.Assessment and validation of network security situation based on DS and knowledge fusion [J].Computer Science,2014,41(4):107- 110,125.

[12]席榮榮,云曉春,張永錚,等.一種改進(jìn)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法 [J].計(jì)算機(jī)學(xué)報(bào),2015,38(4):749- 758.

XI Rong-rong,YUN Xiao-chun,Zhang Yong-zheng,et al.An improved quantitative evaluation method for network security [J].Chinese Journal of Computers,2015,38(4):749- 758.

[13]黃同慶,莊毅.一種實(shí)時(shí)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法 [J].小型微型計(jì)算機(jī)系統(tǒng),2014,35(2):303- 306.

HUANG Tong-qing,ZHUANG Yi.An approach to real-time network security situation prediction [J].Journal of Chinese Computer Systems,2014,35(2):303- 306.

[14]郭春曉,蘇旸.一種新的基于量子進(jìn)化策略的網(wǎng)絡(luò)安全態(tài)勢(shì)優(yōu)化預(yù)測(cè)算法 [J].小型微型計(jì)算機(jī)系統(tǒng),2014,35(9):2083- 2087.GUO Chun-xiao,SU Yang.A new optimized algorithm based on quantum evolutionary strategy for network securitysituation prediction [J].Journal of Chinese Computer Systems,2014,35(9):2083- 2087

[15]吳琨,白中英.集對(duì)分析的可信網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估與預(yù)測(cè) [J].哈爾濱工業(yè)大學(xué)學(xué)報(bào),2012,44(3):112- 118.WU Kun，BAI Zhong-ying.Trusted network security situa-tional awareness and forecast based on SPA [J].Journal of Harbin Institute of Technology,2012,44(3):112- 118.

[16]國(guó)務(wù)院.國(guó)家突發(fā)公共事件總體應(yīng)急預(yù)案 [M].北京:中國(guó)法制出版社,2006.

責(zé)任編輯：牛曉光

收稿日期:2015- 09- 18

*基金項(xiàng)目:國(guó)家自然科學(xué)基金資助項(xiàng)目(61379057,61309027,61073186)；湖南省自然科學(xué)基金資助項(xiàng)目(2016JJ5034)；中南大學(xué)博士后基金資助項(xiàng)目(114006)

Foundation items: Supported by the National Natural Science Foundation of China(61379057,61309027,61073186)and the Natural Science Foundation of Hunan Province(2016JJ5034)

作者簡(jiǎn)介:文志誠(chéng)(1972-)，男，教授，博士后，現(xiàn)就職于湖南工業(yè)大學(xué)計(jì)算機(jī)與通信學(xué)院，主要從事網(wǎng)絡(luò)安全研究.E-mail:zcwen@mail.shu.edu.cn ?通信作者: 陳志剛(1964-)，男，博士，教授，博士生導(dǎo)師，主要從事網(wǎng)絡(luò)計(jì)算與分布式處理研究.E-mail：czg@csu.edu.cn

文章編號(hào):1000- 565X(2016)05- 0137- 07

中圖分類號(hào)：TP 311

doi：10.3969/j.issn.1000-565X.2016.05.021

Prediction of Network Security Situation on the Basis of Time Series Analysis

WENZhi-cheng1CHENZhi-gang1TANGJun2

(1.School of Information Science and Engineering,Central South University,Changsha 410083,Hunan,China;2.CRRC Zhuzhou Institute Co.,Ltd.,Zhuzhou 412001,Hunan,China)

Abstract:As the existing network security situation prediction is restricted to its single information source and poor real-time property, a new prediction method fully considering the variation of network security situation is proposed on the basis of time series analysis. In this method, a series of hidden Markov models are constructed to predict the security situation for hosts according to the front and back dependence, and then to predict the trend of network security at the next moment by fully using multi-source heterogeneous information. Moreover, the network security si-tuation at the next moment is quantitatively calculated from all hosts in the network. Thus, the change law and development direction of network security situation can be indirectly predicted. Experimental results in real network environments show that the proposed prediction method of network security situation is feasible and effective.

Key words:network security;security situation prediction;hidden Markov model;time series analysis; parameter learning