朱聞亞

(1. 武漢大學(xué) 經(jīng)濟(jì)與管理學(xué)院， 湖北 武漢 430000；2. 義烏工商職業(yè)技術(shù)學(xué)院 機(jī)電信息學(xué)院， 浙江 義烏 322000)

卡爾曼熵值模型的網(wǎng)絡(luò)安全態(tài)勢(shì)估計(jì)

朱聞亞1,2

(1. 武漢大學(xué) 經(jīng)濟(jì)與管理學(xué)院， 湖北 武漢 430000；2. 義烏工商職業(yè)技術(shù)學(xué)院 機(jī)電信息學(xué)院， 浙江 義烏 322000)

針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)估計(jì)問(wèn)題，提出一種基于卡爾曼熵值模型的估計(jì)方法.根據(jù)熵值關(guān)聯(lián)度,篩選出影響網(wǎng)絡(luò)安全的關(guān)鍵因素，構(gòu)建回歸方程；構(gòu)建網(wǎng)絡(luò)安全評(píng)估的狀態(tài)模型和測(cè)量模型.采用卡爾曼濾波對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行估計(jì).結(jié)果表明:文中方法可以對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)作出精確估計(jì). 關(guān)鍵詞： 關(guān)聯(lián)度; 回歸方程; 安全估計(jì); 測(cè)量模型

為了提升網(wǎng)絡(luò)使用安全水平，國(guó)家提出了網(wǎng)絡(luò)信息安全戰(zhàn)略[1].在網(wǎng)絡(luò)安全問(wèn)題應(yīng)對(duì)早期階段，3種最典型的方法[2-3]是脆弱性評(píng)估法、防火墻監(jiān)控法和入侵檢測(cè)法.隨后，各種網(wǎng)絡(luò)安全的監(jiān)控和評(píng)估方法陸續(xù)出現(xiàn).韋勇等[4]根據(jù)網(wǎng)絡(luò)登陸訪問(wèn)和信息處理的相關(guān)日志文件，提出一種網(wǎng)絡(luò)性能修正算法，進(jìn)而構(gòu)建一個(gè)適用于網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的全新模型.姜偉等[5]采用攻防博弈模型對(duì)網(wǎng)絡(luò)安全程度進(jìn)行評(píng)價(jià)，并提出最優(yōu)主動(dòng)防御策略以增加網(wǎng)絡(luò)安全.黃同慶等[6]構(gòu)建了一種實(shí)時(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法.劉玉嶺等[7]構(gòu)建了一種時(shí)空維度分析方法，以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè).任江偉等[8]提出一種信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，從多個(gè)角度提取網(wǎng)絡(luò)安全的表征信息，并將這些信息融合在一起作為網(wǎng)絡(luò)安全水平的判斷依據(jù).趙穎等[9]提出網(wǎng)絡(luò)安全的未來(lái)發(fā)展趨勢(shì)在于數(shù)據(jù)的可視化、網(wǎng)絡(luò)狀態(tài)的可視化，讓監(jiān)控人員可以更加直觀地發(fā)現(xiàn)當(dāng)前網(wǎng)絡(luò)所處的狀態(tài).本文根據(jù)已有研究成果，結(jié)合灰熵關(guān)聯(lián)度和卡爾曼濾波，構(gòu)建一種新的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法，以實(shí)現(xiàn)更加準(zhǔn)確的網(wǎng)絡(luò)安全態(tài)勢(shì)估計(jì).

1 網(wǎng)絡(luò)安全態(tài)勢(shì)估計(jì)方法

1.1 卡爾曼濾波模型

卡爾曼濾波模型的狀態(tài)方程表示為

(1)

式(1)中：Y(k)用于表達(dá)網(wǎng)絡(luò)安全系統(tǒng)在第k時(shí)刻所表現(xiàn)出來(lái)的狀態(tài)；G(k+1,k)用于表達(dá)網(wǎng)絡(luò)安全系統(tǒng)從第k時(shí)刻所表現(xiàn)出的狀態(tài)到第k+1時(shí)刻狀態(tài)的轉(zhuǎn)移，也稱(chēng)為狀態(tài)轉(zhuǎn)移矩陣；U1(k)用于表達(dá)整個(gè)網(wǎng)絡(luò)安全運(yùn)行過(guò)程中的噪聲或可能出現(xiàn)的誤差[10].

卡爾曼濾波模型的量測(cè)方程表示為

(2)

式(2)中：z(k+1)表達(dá)網(wǎng)絡(luò)安全系統(tǒng)在第k+1時(shí)刻所能觀測(cè)到的信息；網(wǎng)絡(luò)安全的狀態(tài)向量Y(k+1)也是可以量測(cè)的.

對(duì)于k≥1后的各個(gè)狀態(tài)向量y(i)，如果i>n，通過(guò)卡爾曼濾波模型的狀態(tài)方程可以得到n時(shí)刻后的狀態(tài)，再通過(guò)量測(cè)方程的觀察,就可以估計(jì)出n時(shí)刻之后的網(wǎng)絡(luò)安全狀態(tài)信息.

1.2 網(wǎng)絡(luò)安全態(tài)勢(shì)的新信息估計(jì)

用M(k)表示第k個(gè)時(shí)刻的網(wǎng)絡(luò)安全新信息，那么,對(duì)于網(wǎng)絡(luò)安全態(tài)勢(shì)z(k)，其新信息的表達(dá)式為

(3)

式(3)中：z1(k)的計(jì)算需要借助最小二乘法，它是網(wǎng)絡(luò)安全態(tài)勢(shì)的最小二乘估計(jì)結(jié)果.

根據(jù)新信息理論，按照上述過(guò)程計(jì)算出網(wǎng)絡(luò)安全態(tài)勢(shì)新信息.

1.3 卡爾曼熵值模型網(wǎng)絡(luò)安全態(tài)勢(shì)估計(jì)方法

步驟1 用z(k)表達(dá)第k個(gè)時(shí)刻的網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)信息，那么，z(k+1)就表達(dá)了第k+1時(shí)刻的網(wǎng)絡(luò)安全態(tài)勢(shì)數(shù)據(jù)信息.采用灰度熵值的計(jì)算方法，通過(guò)比較關(guān)聯(lián)度的大小確定影響網(wǎng)絡(luò)安全態(tài)勢(shì)的m個(gè)關(guān)鍵參數(shù)，這時(shí)yi(k)就表達(dá)了第k個(gè)時(shí)刻關(guān)鍵參數(shù)i的信息，yi(k+1)就表達(dá)了第k+1個(gè)時(shí)刻關(guān)鍵參數(shù)i的信息，進(jìn)而可以建立一個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)和關(guān)鍵參數(shù)之間的回歸方程，即

(4)

式(4)中：參數(shù)b0，0，b0,1，…，bm,m和δ0，δ1，…，δm均為回歸系數(shù)，可以通過(guò)最小二乘法求得.

步驟2 在網(wǎng)絡(luò)安全態(tài)勢(shì)和關(guān)鍵參數(shù)之間回歸方程的基礎(chǔ)上，根據(jù)卡爾曼濾波模型的基本原理，構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)的卡爾曼狀態(tài)方程和量測(cè)方程，分別為

(5)

步驟3 對(duì)Y(0)等向量信息進(jìn)行數(shù)據(jù)初始化.

步驟4 求取網(wǎng)絡(luò)安全態(tài)勢(shì)的新信息z(k)，表示為

(6)

式(6)中：B(k)G(k)Yi(k-1)用于表達(dá)z(k)的一個(gè)估計(jì)值.

2 結(jié)果與分析

用mi表達(dá)計(jì)算機(jī)i上的抗體數(shù)量，mi,j表達(dá)計(jì)算機(jī)i上遭受到第j類(lèi)攻擊的抗體數(shù)量，θj表達(dá)第j類(lèi)攻擊的可能造成的危險(xiǎn)程度，?i表達(dá)計(jì)算機(jī)i的重要程度，yi表達(dá)網(wǎng)絡(luò)安全狀態(tài)下計(jì)算機(jī)i上的抗體數(shù)量，那么，需要計(jì)算以下3種網(wǎng)絡(luò)安全風(fēng)險(xiǎn).

第1種風(fēng)險(xiǎn)：?jiǎn)闻_(tái)計(jì)算機(jī)遭受攻擊的風(fēng)險(xiǎn)，其數(shù)學(xué)表達(dá)式描述為

(7)

第2種風(fēng)險(xiǎn)：整個(gè)網(wǎng)絡(luò)遭受第j類(lèi)攻擊的風(fēng)險(xiǎn)，其數(shù)學(xué)表達(dá)式描述為

(8)

第3種風(fēng)險(xiǎn)：整個(gè)網(wǎng)絡(luò)遭受所有可能攻擊的風(fēng)險(xiǎn)，其數(shù)學(xué)表達(dá)式描述為

(9)

通過(guò)判斷上述3類(lèi)風(fēng)險(xiǎn)和對(duì)應(yīng)的抗體濃度，就可以形成對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢(shì)的大致判斷.上述3類(lèi)風(fēng)險(xiǎn)在數(shù)值表達(dá)上可能存在較大的差異，為此,對(duì)其進(jìn)行歸一化處理，使這三類(lèi)風(fēng)險(xiǎn)的數(shù)值均分布在0到1的數(shù)值區(qū)間上，其數(shù)學(xué)公式為

(10)

式(10)中：ymax為網(wǎng)絡(luò)安全態(tài)勢(shì)的極大值；ymin為網(wǎng)絡(luò)安全態(tài)勢(shì)的極小值；y為網(wǎng)絡(luò)安全態(tài)勢(shì)的當(dāng)前值.

在上述處理的基礎(chǔ)上，為灰度熵值關(guān)聯(lián)度的計(jì)算選擇3個(gè)常見(jiàn)的網(wǎng)絡(luò)安全影響參數(shù)，即網(wǎng)絡(luò)遭受的攻擊強(qiáng)度、計(jì)算機(jī)網(wǎng)絡(luò)流量和計(jì)算機(jī)網(wǎng)絡(luò)流量的變化率，如表1所示.

表1 網(wǎng)絡(luò)安全的3個(gè)影響參數(shù)Tab.1 Three influencing parameters on network security

結(jié)合表1數(shù)據(jù)，采用式(4)，計(jì)算網(wǎng)絡(luò)安全態(tài)勢(shì)影響因素中前10，20，30組的灰熵關(guān)聯(lián)度，結(jié)果如表2所示.由表2可知：攻擊強(qiáng)度與網(wǎng)絡(luò)安全態(tài)勢(shì)的灰熵關(guān)聯(lián)度最大.

表2 各組數(shù)據(jù)的灰熵關(guān)聯(lián)度Tab.2 Grey entropy correlation degree of group data

由表2的分析結(jié)果可知：強(qiáng)度攻擊對(duì)于網(wǎng)絡(luò)安全態(tài)勢(shì)的灰熵關(guān)聯(lián)最大，因此，選擇它作為卡爾曼熵值模型的網(wǎng)絡(luò)安全態(tài)勢(shì)估計(jì)值.

以表1中30組攻擊強(qiáng)度數(shù)據(jù)作為網(wǎng)絡(luò)安全態(tài)勢(shì)的表征數(shù)據(jù)，借助提出的基于卡爾曼熵值模型網(wǎng)絡(luò)安全預(yù)態(tài)勢(shì)估計(jì)方法進(jìn)行數(shù)據(jù)擬合，擬合結(jié)果如圖1所示.圖1中：e為預(yù)測(cè)值與真實(shí)值的偏差；n為數(shù)據(jù)個(gè)數(shù)；T代表網(wǎng)絡(luò)安全態(tài)勢(shì)的真實(shí)值；P代表基于卡爾曼熵值模型網(wǎng)絡(luò)安全預(yù)態(tài)勢(shì)估計(jì)方法得到的估計(jì)值.由圖1可知：兩條曲線(xiàn)在第6個(gè)值后實(shí)現(xiàn)了比較好的擬合，這種狀態(tài)一直持續(xù)到第25個(gè)值；隨后，因?yàn)榍€(xiàn)T的劇烈變化，使得曲線(xiàn)P和曲線(xiàn)T有了一定的偏差，但趨勢(shì)上一直擬合較好.

在擬合處理的基礎(chǔ)上，進(jìn)一步對(duì)后續(xù)20組數(shù)據(jù)進(jìn)行預(yù)測(cè)，結(jié)果如圖2所示.

由圖2可知：基于卡爾曼熵值模型網(wǎng)絡(luò)安全預(yù)態(tài)勢(shì)估計(jì)方法準(zhǔn)確地估計(jì)了未來(lái)20個(gè)時(shí)刻上的網(wǎng)絡(luò)安全態(tài)勢(shì)，與網(wǎng)絡(luò)安全態(tài)勢(shì)的真值以較小的偏差吻合在一起.結(jié)果表明：經(jīng)過(guò)30個(gè)數(shù)據(jù)的訓(xùn)練，基于卡爾曼熵值模型網(wǎng)絡(luò)安全預(yù)態(tài)勢(shì)估計(jì)方法已經(jīng)適合本實(shí)驗(yàn)條件下的估計(jì)；基于卡爾曼熵值模型網(wǎng)絡(luò)安全預(yù)態(tài)勢(shì)估計(jì)方法具有理想的估計(jì)性能和估計(jì)精度.

圖1 前30組數(shù)據(jù)的擬合曲線(xiàn) 圖2 后20組數(shù)據(jù)的預(yù)測(cè)曲線(xiàn) Fig.1 Fitting curves of first 30 sets of data Fig.2 Fitting curves of last 20 groups of data

3 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全態(tài)勢(shì)估計(jì)對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全具有重要意義.文中在卡爾曼濾波模型的基礎(chǔ)上，構(gòu)建一種卡爾曼熵值網(wǎng)絡(luò)安全估計(jì)方法.首先，借助灰熵關(guān)聯(lián)理論分析網(wǎng)絡(luò)安全態(tài)勢(shì)的影響因素；其次，利用關(guān)鍵影響因素構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)估計(jì)的卡爾曼狀態(tài)方程和卡爾曼量測(cè)方程；最后，采用卡爾曼濾波分析的過(guò)程執(zhí)行對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的估計(jì).實(shí)驗(yàn)結(jié)果以攻擊強(qiáng)度為網(wǎng)絡(luò)安全態(tài)勢(shì)的表征指標(biāo)進(jìn)行估計(jì)，估計(jì)結(jié)果顯示：文中提出的基于卡爾曼熵值模型的網(wǎng)絡(luò)安全態(tài)勢(shì)估計(jì)方法，具有準(zhǔn)確的估計(jì)精度和良好的估計(jì)性能，對(duì)于網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)判具有較好的適用性.

[1] 韓文智.計(jì)算機(jī)文本信息挖掘技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].華僑大學(xué)學(xué)報(bào)(自然科學(xué)版),2016,37(1):67-70.

[2] 林闖,汪洋,李泉林.網(wǎng)絡(luò)安全的隨機(jī)模型方法與評(píng)價(jià)技術(shù)[J].計(jì)算機(jī)學(xué)報(bào),2005,28(12):1943-1956.

[3] 李方偉,張新躍,朱江,等.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)應(yīng)用,2015,35(7):1882-1887.

[4] 韋勇,連一峰.基于日志審計(jì)與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].計(jì)算機(jī)學(xué)報(bào),2009,32(4):763-772.

[5] 姜偉,方濱興,田志宏,等.基于攻防博弈模型的網(wǎng)絡(luò)安全測(cè)評(píng)和最優(yōu)主動(dòng)防御[J].計(jì)算機(jī)學(xué)報(bào),2009,32(4):817-827.

[6] 黃同慶,莊毅.一種實(shí)時(shí)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法[J].小型微型計(jì)算機(jī)系統(tǒng),2014,35(2):303-306.

[7] 劉玉嶺,馮登國(guó),連一峰.基于時(shí)空維度分析的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法[J].計(jì)算機(jī)研究與發(fā)展,2014,51(8):1681-1694.

[8] 任江偉,韓躍龍.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型[J].黑龍江科技信息,2015,46(9):353-362.

[9] 趙穎,樊曉平,周芳芳.網(wǎng)絡(luò)安全數(shù)據(jù)可視化綜述[J].計(jì)算機(jī)輔助設(shè)計(jì)與圖形學(xué)學(xué)報(bào),2014,26(5):687-697.

[10] MARSA-MAESTRE I,HOZ E D L,GIMENEZ-GUZMAN J M,etal.Design and evaluation of a learning environment to effectively provide network secureity skills[J].Computers and Education,2013,69(4):225-236.

(責(zé)任編輯： 黃曉楠 英文審校： 吳逢鐵)

Network Security Situation Assessment Based on Kalman Entropy Model

ZHU Wenya1,2

(1. School of Economics and Management, Wuhan University， Wuhan 430000, China；2. School of Mechanical and Information, Yiwu Industrial and Commercial College, Yiwu 322000, China)

Aiming at the problem of network security situation assessment, an estimation method is proposed based on Kalman entropy model. Key factors influencing the network security is selected according to the entropy correlation in order to construct regression equation, which help establish the state model and the measurement model of network security assessment. Then Kalman filter is used to estimate the network security situation. Results show that this method can accurately estimate the network security situation. Keywords： correlation degree; regression equation; safety estimation; measurement model

10.11830/ISSN.1000-5013.201701019

2016-11-25

朱聞亞(1980-)，男，副教授，博士研究生，主要從事計(jì)算機(jī)軟件理論、網(wǎng)絡(luò)安全的研究.E-mail:zhuwenya2002@163.com.

浙江省教育廳高等教育教學(xué)改革項(xiàng)目(JG2015343)

TP 393.4

A

1000-5013(2017)01-0101-04