王國華

(寧夏對外文化交流中心，銀川 750001)

基于遺傳算法的網(wǎng)絡安全態(tài)勢感知研究

王國華

(寧夏對外文化交流中心，銀川 750001)

對網(wǎng)絡安全態(tài)勢準確感知能實現(xiàn)對網(wǎng)絡攻擊的提前攔截和防范，針對傳統(tǒng)的匹配檢測方法對網(wǎng)絡安全態(tài)勢預測的精度不好的問題，提出一種基于遺傳算法的網(wǎng)絡安全態(tài)勢感知模型，首先構建復雜網(wǎng)絡環(huán)境下的病毒入侵的安全狀態(tài)分布模型，進行網(wǎng)絡安全態(tài)勢的特征信息提取，然后采用遺傳算法對提取的病毒入侵信息流進行相關性檢測，實現(xiàn)安全態(tài)勢預測和準確感知；仿真實驗結果表明，該方法進行網(wǎng)絡病毒入侵的準確檢測概率較高，對安全態(tài)勢預測的精度較高，保障了網(wǎng)絡安全。

遺傳算法；網(wǎng)絡安全；態(tài)勢感知；檢測

0 引言

隨著網(wǎng)絡信息技術的發(fā)展，網(wǎng)絡安全受到人們的極大關注，網(wǎng)絡安全包括了網(wǎng)絡的硬件系統(tǒng)安全、軟件安全和信息傳輸安全，這三部分彼此制約，形成整體，確保整個網(wǎng)絡系統(tǒng)的穩(wěn)定可靠運行。在大數(shù)據(jù)信息時代，需要通過網(wǎng)絡進行海量數(shù)據(jù)信息的傳輸和存儲，這些信息包括了大量的保密信息、隱私信息，黑客采用病毒入侵方法進行信息竊取，導致網(wǎng)絡用戶遭到經(jīng)濟損失和隱私泄露，同時，網(wǎng)絡攻擊者通過拒絕服務和攻擊等方式進行網(wǎng)絡攻擊，嚴重威脅網(wǎng)絡安全，需要對網(wǎng)絡安全的態(tài)勢進行準確感知和預測，在保障網(wǎng)絡安全中具有積極重要意義[1-2]。

網(wǎng)絡入侵的植入信息流本質上為一組時間序列，采用信息處理方法進行網(wǎng)絡入侵檢測，實現(xiàn)網(wǎng)絡安全態(tài)勢預測具有可行性，對此，網(wǎng)絡安全領域的學者進行了研究，主要有基于分數(shù)階傅里葉變換的安全態(tài)勢信號感知算法、基于高階累積量特征提取的安全態(tài)勢感知算法、基于支持向量機分類的安全感知預測方法等[3-4]，上述方法構建安全態(tài)勢信號模型，采用時頻分解方法進行網(wǎng)絡安全態(tài)勢的準確預測和特征分解，提高了網(wǎng)絡安全態(tài)勢的實時感知能力，取得了一定的研究成果，其中，文獻[5]提出一種基于經(jīng)驗模態(tài)特征分解的網(wǎng)絡安全態(tài)勢感知模型，通過瞬時頻率估計方法進行網(wǎng)絡入侵的特征定位和安全態(tài)勢信息融合，提高了對網(wǎng)絡安全態(tài)勢的感知概率，但是該算法計算開銷較大，對網(wǎng)絡安全檢測和態(tài)勢感知的實時性不好；文獻[6]中采用匹配濾波檢測方法進行安全態(tài)勢感知，對低頻域產生的干擾進行濾波分解，提高了檢測的準確度，但當安全態(tài)勢數(shù)據(jù)受到較大的網(wǎng)絡背景特征干擾時，對網(wǎng)絡安全態(tài)勢感知的準確性能受到影響。針對上述問題，本文構建復雜網(wǎng)絡環(huán)境下的病毒入侵分布模型，進行網(wǎng)絡安全態(tài)勢的特征信息提取，然后采用遺傳算法對提取的病毒入侵信息流進行相關性檢測，實現(xiàn)安全態(tài)勢預測和準確感知，最后進行仿真實驗分析，得出有效性結論。

1 模型分析和預處理

1.1 復雜網(wǎng)絡環(huán)境下的病毒入侵的安全狀態(tài)分布模型

為了實現(xiàn)網(wǎng)絡安全態(tài)勢優(yōu)化感知，采用信號處理方法進行感知算法設計，網(wǎng)絡安全態(tài)勢數(shù)據(jù)為一組寬平穩(wěn)的高斯線性時間信號模型，在復雜網(wǎng)絡環(huán)境下，病毒入侵帶來了網(wǎng)絡安全隱患，復雜網(wǎng)絡環(huán)境下的病毒入侵信息流在m個終端上的特征分布為：

(1)

式中，k為網(wǎng)絡安全態(tài)勢分布的屬性值，xi(k)為病毒入侵的特征標量時間序列。假設，網(wǎng)絡病毒感染下n維隨機分布變量為(x1,x2,…,xn)，病毒特征狀態(tài)分布函數(shù)為：

(2)

其中：υs表示網(wǎng)絡采集數(shù)據(jù)在病毒入侵的變異行為，xs與rt的偏差表示在病毒感染下的輸出數(shù)據(jù)差異值。

設病毒在復雜網(wǎng)絡空間中的入侵模型的狀態(tài)模型為：V={V1,V2,...,Vn}，網(wǎng)絡威脅安全態(tài)勢的條件轉移概率表示為：

(3)

式中，C為病毒入侵免疫常量，σs表示隨機選擇的網(wǎng)絡采集數(shù)據(jù)狀態(tài)向量，用ai,j表示網(wǎng)絡安全態(tài)勢分布狀態(tài)i向空間鏈j轉移的分布概率，得到的攻擊病毒采樣序列長度為N的離散信號x，病毒入侵檢測的穩(wěn)態(tài)概率為：

(4)

設網(wǎng)絡病毒攻擊在信息融合中心形成的平均互信息權重屬性為：

(5)

進行網(wǎng)絡病毒入侵特征的幅度和頻率估計，分別表示為：

(6)

(7)

通過構建在s域和z域上的病毒入侵免疫控制模型，對網(wǎng)絡數(shù)據(jù)在時域平面內進行非線性特征重組，得到重構后的網(wǎng)絡病毒入侵特征分布空間的迭代函數(shù)為：

θ1(k+1)=θ1(k)-μRe[y(k)φ*(k)]

(8)

式中，θ1(k)表示遭受病毒感染下的網(wǎng)絡傳輸數(shù)據(jù)的初始狀態(tài)向量，當存在M個全方向性的病毒攻擊時，網(wǎng)絡安全態(tài)勢感知模型以θ0,θ1,…,θP相位進行攔截，節(jié)點分布位置如圖1所示。

圖1 網(wǎng)絡安全態(tài)勢節(jié)點分布示意圖

由此構建復雜網(wǎng)絡環(huán)境下的病毒入侵的安全狀態(tài)分布模型。

1.2 網(wǎng)絡安全態(tài)勢關聯(lián)信息模型構建及處理

當采集的網(wǎng)絡安全態(tài)勢信號x(k)=s(k)+w(k)是準平穩(wěn)隨機信號時，采用ARMA模型模擬在網(wǎng)絡攻擊環(huán)境下影響網(wǎng)絡安全態(tài)勢的威脅指數(shù)和主機威脅指數(shù)[7]，得到網(wǎng)絡安全態(tài)勢威脅指數(shù)描述為：

(9)

式中，xk表示網(wǎng)絡安全態(tài)勢信號的時域部分，yk表示每個簇頭節(jié)點采集到的網(wǎng)絡安全態(tài)勢信息，vk和ek分別表示整個時頻平面內的干擾項，且xk∈Rnv，yk∈Rne，此時網(wǎng)絡威脅安全態(tài)勢指數(shù)表示為：

(10)

(11)

采用主成分分析方法將網(wǎng)絡安全態(tài)勢的特征因子分為L類，入侵特征分為(w1,w2,.....,wn)，n為預測誤差，在此基礎上，采用遺傳算法進行網(wǎng)絡攻擊特征提取，實現(xiàn)安全態(tài)勢預測。

2 遺傳算法及網(wǎng)絡安全態(tài)勢感知實現(xiàn)

2.1 基于遺傳算法的安全態(tài)勢特征檢測

在上述進行復雜網(wǎng)絡環(huán)境下病毒入侵的安全狀態(tài)分布模型構建的基礎上，提出一種基于遺傳算法的網(wǎng)絡安全態(tài)勢感知模型，進行網(wǎng)絡安全態(tài)勢的特征信息提取，遺傳算法的原理是借鑒了達爾文的物競天擇、優(yōu)勝劣汰的物種進化規(guī)律的算法[9-10]，假設輸入的網(wǎng)絡安全估計模型的自適應全局概率分布x(t)，對染色體進行檢測，得到遺傳進化下的網(wǎng)絡安全態(tài)勢幅度和頻率估計的為：

(12)

(13)

所需求解問題的最優(yōu)解就是尋找遺傳進化的最優(yōu)個體，基于自適應數(shù)據(jù)分類，得到網(wǎng)絡安全態(tài)勢感知的種群規(guī)模表示為：

(14)

對服務層和主機層的病毒數(shù)據(jù)進行遺傳進化特征分解，在最大迭代次數(shù)約束下的交叉概率為：

(15)

式中，Wx(t,v)表示病毒數(shù)據(jù)在匹配區(qū)域中進行數(shù)值交換的脈沖響應，其具有實值性，即Wx(t,v)∈R,?t,v。遺傳算法中的染色體被分解為3個子模塊：連接順序與網(wǎng)絡節(jié)點選擇、副本關系選擇和網(wǎng)絡半連接操作，通過遺傳進化優(yōu)化對病毒感染的免疫性檢測，得到病毒數(shù)據(jù)的交叉項分布特征描述為：

(16)

(17)

2.2 網(wǎng)絡安全態(tài)勢感知實現(xiàn)

結合遺傳進化算法進行網(wǎng)絡病毒攻擊的信息流檢測，在整個搜索空間通過時頻伸縮，得到網(wǎng)絡安全態(tài)勢預測的經(jīng)驗模態(tài)分布指向性函數(shù)為：

(18)

Wy(t,v)=Wx(kt,v/k)

(19)

通過已經(jīng)設定好的的代價計算模型來計算每個染色體相應代價，通過遺傳進化的特征約束，得到網(wǎng)絡安全態(tài)勢分析的時頻響應為：

(20)

(21)

如果得到的適應度值較大，通過遺傳進化進行病毒的攻擊性強度測量，由此得到網(wǎng)絡安全態(tài)勢感知的迭代方程為：

(22)

其中：

(23)

(24)

采用頻率調制得到感知的安全態(tài)勢信息的模糊約束匹配波束輸出為：

(25)

綜上分析，采用遺傳進化約束的網(wǎng)絡安全態(tài)勢指向性分析，感知到網(wǎng)絡安全態(tài)勢信號的幅度調制信息，在網(wǎng)絡病毒的兩個交叉點所交叉包含的區(qū)域設置為匹配區(qū)域，結合自相關變量X進行特征匹配，采用遺傳算法對提取的病毒入侵信息流進行相關性檢測，實現(xiàn)安全態(tài)勢預測和準確感知。

3 仿真實驗分析

為了測試本文算法實現(xiàn)網(wǎng)絡安全態(tài)勢有效感知中的性能，進行仿真實驗。仿真實驗的硬件環(huán)境采用PC機，配置參數(shù)為：CPU 3.0 G，12 G內存，操作系統(tǒng)為Windows 7。采用Matlab.7編程軟件進行網(wǎng)絡安全態(tài)勢感知模型的算法設計，網(wǎng)絡病毒攻擊數(shù)據(jù)樣本產生于KDDP 2016病毒數(shù)據(jù)庫，網(wǎng)絡病毒攻擊特征樣本采樣的初始頻率f1=0.8，歸一化終止頻率f2=0.05，網(wǎng)絡傳輸數(shù)據(jù)的離散采樣率為fs=10*f0Hz=10 kHz，網(wǎng)絡空間的特征信息干擾的信噪比為-12 dB。根據(jù)上述仿真環(huán)境和參數(shù)設定，首先給出采集的混帶著網(wǎng)絡干擾噪聲的網(wǎng)絡病毒攻擊信息數(shù)據(jù)如圖2所示。

圖2 網(wǎng)絡病毒攻擊信息數(shù)據(jù)采樣時域波形

以上述病毒入侵信號為測試樣本進行網(wǎng)絡安全態(tài)勢預測，從圖2可見，病毒數(shù)據(jù)受到介質信息干擾，難以有效識別安全態(tài)勢的走向，采用本文方法進行安全態(tài)勢感知，設定時寬為8 s，進行網(wǎng)絡安全態(tài)勢的特征信息提取，然后采用遺傳算法對提取的病毒入侵信息流進行相關性檢測，得到檢測結果如圖3所示。

圖3 網(wǎng)絡安全態(tài)勢預測結果

從圖3可見，采用本文方法進行網(wǎng)絡安全態(tài)勢預測，具有較好的波束指向性，能準確反映出網(wǎng)絡受到病毒入侵后的安全態(tài)勢分布，其中，在t=20 s網(wǎng)絡安全威脅性最大，從而準確實現(xiàn)網(wǎng)絡病毒時間點的定位，做好安全防御。最后，為了定量對比本文方法在網(wǎng)絡安全態(tài)勢感知的優(yōu)越性能，采用本文方法和傳統(tǒng)方法，以感知精度為測試指標，得到對比結果如圖4所示。

圖4 性能對比分析

分析圖4的仿真結果可見，本文方法對網(wǎng)絡安全態(tài)勢感知的準確度明顯優(yōu)于傳統(tǒng)方法，展示了較好的網(wǎng)絡安全感知和檢測性能。

4 結束語

為了提高網(wǎng)絡安全檢測能力，實現(xiàn)對病毒入侵的提前防范，本文提出一種基于遺傳算法的網(wǎng)絡安全態(tài)勢感知模型，構建復雜網(wǎng)絡環(huán)境下的病毒入侵的安全狀態(tài)分布模型，進行網(wǎng)絡安全態(tài)勢的特征信息提取，然后采用遺傳算法對提取的病毒入侵信息流進行相關性檢測，實現(xiàn)安全態(tài)勢預測和準確感知。研究表明，本文方法進行網(wǎng)絡病毒入侵的準確檢測概率較高，對安全態(tài)勢預測的精度較高，保障了網(wǎng)絡安全，具有較好的應用價值。

[1]Geng Z,Deng H,Himed B.Adaptive radar beamforming for interference mitigation in radar-wireless spectrum sharing[J].IEEE Signal Processing Letters,2015,22(4):484-488.

[2]Yang Y C,Sun C,Zhao H,et al.Algorithms for secrecy guarantee with null space beamforming in two-way relay networks[J].IEEE Transactions on Signal Processing,2014,62(8):2111-2126.

[3]Sun W,So H C,Chen Y,et al.Approximate subspace-based iterative adaptive approach for fast two-dimensional spectral estimation[J].IEEE Transactions on Signal Processing,2014,62(12):3220-3231.

[4]賈滿滿, 朱景全. 基于自適應遺傳算法的EPS路感研究[J]. 電子設計工程, 2014, 22(8):169-171.

[5]李方偉,張新躍,朱 江,等.基于信息融合的網(wǎng)絡安全態(tài)勢評估模型[J].計算機應用,2015,35(7):1882-1887.

[6]王 晟,趙壁芳.基于模糊數(shù)據(jù)挖掘和遺傳算法的網(wǎng)絡入侵檢測技術[J].計算機測量與控制,2012,20(3):660-663.

[7]Hesamzadeh M R,Biggar D R.Computation of extremal-Nash equilibria in a single-stage MILP[J].IEEE Transaction on Power System,2012,27(3):1706-1707.

[8]韋 勇,連一峰.基于日志審計與性能修正算法的網(wǎng)絡安全態(tài)勢評估模型[J].計算機學報，2009,32(4):763-772.

[9]王 晟,趙壁芳.基于模糊數(shù)據(jù)挖掘和遺傳算法的網(wǎng)絡入侵檢測技術[J].計算機測量與控制,2012,20(3):660-663.

[10]劉 邏,郭立紅,肖 輝,等.基于參數(shù)動態(tài)調整的動態(tài)模糊神經(jīng)網(wǎng)絡的軟件可靠性增長模型[J].計算機科學,2013,40(2):186-190.

Research on Network Security Situation Awareness Based on Genetic Algorithm

Wang Guohua

(Ningxia Foreign Cultural Exchange Center,Yinchuan 750001, China)

The network security situation can realize accurate perception of network attacks in advance to intercept and prevention, aiming at matching the traditional detection method of network security situation prediction accuracy is not good. A network security situation awareness model is proposed based on genetic algorithm, the security state distribution model first structure virus built under complex network environment the extraction of feature information of network security situation, then genetic algorithm is used to extract the virus information flow correlation detection, security situation prediction and accurate perception. Finally, the simulation results show that the proposed method has a high probability of accurate detection of network virus invasion, high accuracy of the security situation prediction, and ensure the network security.

genetic algorithm; network security; situation awareness; detection

2016-09-24；

2016-10-21。

王國華(1983-)，男，寧夏銀川人，碩士研究生，助理研究員，主要從事計算機網(wǎng)絡安全、軟件工程、數(shù)據(jù)庫應用系統(tǒng)的研究。

1671-4598(2016)12-0155-03

10.16526/j.cnki.11-4762/tp.2016.12.044

TP393

A