湯永利 李偉杰 于金霞 閆璽璽

(河南理工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 河南 焦作 454000)

基于粒子濾波的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法研究

湯永利 李偉杰 于金霞 閆璽璽

(河南理工大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 河南 焦作 454000)

為了使網(wǎng)絡(luò)管理由被動(dòng)防御轉(zhuǎn)為主動(dòng)防御，需對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)。針對(duì)已有態(tài)勢(shì)預(yù)測(cè)方法存在的準(zhǔn)確性不高、需要樣本訓(xùn)練問(wèn)題，提出基于粒子濾波的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法。該方法利用帶權(quán)粒子集逼近系統(tǒng)的后驗(yàn)概率密度函數(shù)，通過(guò)重要性采樣、權(quán)值更新、狀態(tài)估計(jì)等近似積分操作來(lái)實(shí)現(xiàn)非線性狀態(tài)預(yù)測(cè)。實(shí)驗(yàn)結(jié)果表明，該方法不僅能體現(xiàn)網(wǎng)絡(luò)安全狀態(tài)的非線性，也預(yù)測(cè)了網(wǎng)絡(luò)安全態(tài)勢(shì)值。對(duì)比其他態(tài)勢(shì)預(yù)測(cè)模型，該方法準(zhǔn)確性更高，且適應(yīng)于復(fù)雜網(wǎng)絡(luò)環(huán)境。

網(wǎng)絡(luò)安全 態(tài)勢(shì)預(yù)測(cè) 粒子濾波

0 引 言

賽博空間作為一種復(fù)雜且開(kāi)放的網(wǎng)絡(luò)環(huán)境，時(shí)刻受到未知攻擊及突發(fā)事件的威脅，其保密性、可用性面臨挑戰(zhàn)。而傳統(tǒng)網(wǎng)絡(luò)管理設(shè)備處于獨(dú)立狀態(tài)，雖提供了海量網(wǎng)絡(luò)數(shù)據(jù)，但缺少對(duì)網(wǎng)絡(luò)系統(tǒng)的全局感知能力，且增加了數(shù)據(jù)處理壓力和決策時(shí)間，貽誤了處理威脅的最佳時(shí)機(jī)。自態(tài)勢(shì)感知理論延伸至互聯(lián)網(wǎng)領(lǐng)域，網(wǎng)絡(luò)安全態(tài)勢(shì)感知作為新興研究方向，對(duì)網(wǎng)絡(luò)安全管理具有重要意義。

美國(guó)RIT的Holsopple[1]提出TANDI模型，利用融合IDS報(bào)警事件來(lái)描述網(wǎng)絡(luò)安全態(tài)勢(shì)；劉一博等[2]提出一種面向網(wǎng)絡(luò)實(shí)時(shí)業(yè)務(wù)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法，以實(shí)時(shí)業(yè)務(wù)動(dòng)態(tài)地評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)；席榮榮等[3]基于隱馬爾可夫模型，提出一種改進(jìn)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法；吳迪等[4]提出一種基于攻擊圖的安全威脅評(píng)估方法，通過(guò)D-S理論給出各個(gè)攻擊子圖相應(yīng)的威脅度量值，實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估。唐成華等[5]提出基于D-S融合知識(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估及驗(yàn)證。這些評(píng)估方法雖通過(guò)對(duì)影響系統(tǒng)運(yùn)行狀態(tài)的態(tài)勢(shì)要素進(jìn)行提取、分析、理解，實(shí)現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估，但屬于被動(dòng)管理策略。

網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)是對(duì)系統(tǒng)運(yùn)行狀態(tài)信息的進(jìn)一步理解和評(píng)估，通過(guò)對(duì)歷史數(shù)據(jù)分析來(lái)推斷出未來(lái)狀態(tài)變化趨勢(shì)，屬于主動(dòng)防御。通過(guò)預(yù)測(cè)下一段時(shí)間系統(tǒng)狀態(tài)，降低了大量數(shù)據(jù)引起的決策難度，實(shí)現(xiàn)了主動(dòng)性網(wǎng)絡(luò)管理。常見(jiàn)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型有基于鄧勇杰等[6]提出一種基于灰色理論的網(wǎng)絡(luò)安全預(yù)測(cè)方法，GM(1，1)相對(duì)簡(jiǎn)單、便于計(jì)算，但無(wú)法反映出系統(tǒng)安全狀態(tài)變化的隨機(jī)動(dòng)態(tài)性，不能滿足狀態(tài)預(yù)測(cè)的準(zhǔn)確性要求；謝麗霞等[7]利用RBF神經(jīng)網(wǎng)絡(luò)算法計(jì)算出反映系統(tǒng)狀態(tài)的非線性時(shí)間序列值。該算法在樣本訓(xùn)練和參數(shù)優(yōu)化后，可以做到準(zhǔn)確預(yù)測(cè)，但需先樣本學(xué)習(xí)進(jìn)行(M,N)值訓(xùn)練，不能應(yīng)對(duì)未知攻擊。

針對(duì)上述預(yù)測(cè)方法存在的問(wèn)題，本文提出了一種基于粒子濾波PF(Particle Filter)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型。該模型利用粒子濾波的非線性動(dòng)態(tài)狀態(tài)估計(jì)能力，對(duì)當(dāng)前態(tài)勢(shì)因子估計(jì)預(yù)測(cè)，以粒子集加權(quán)求和來(lái)實(shí)現(xiàn)下一刻態(tài)勢(shì)預(yù)測(cè)。仿真實(shí)驗(yàn)表明，該模型在無(wú)樣本訓(xùn)練下，能對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境進(jìn)行準(zhǔn)確預(yù)測(cè)。

1 基于粒子濾波的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)模型

網(wǎng)絡(luò)安全態(tài)勢(shì)是指對(duì)系統(tǒng)運(yùn)行狀態(tài)和趨勢(shì)的綜合評(píng)價(jià)，因網(wǎng)絡(luò)系統(tǒng)的不確定性，而表現(xiàn)出非線性和隨機(jī)性等特征。網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)是指對(duì)系統(tǒng)安全狀況的估計(jì)，也是對(duì)態(tài)勢(shì)值時(shí)間序列的預(yù)判。表征系統(tǒng)狀況的態(tài)勢(shì)值具有非線性特點(diǎn)，利用粒子濾波的非線性狀態(tài)估計(jì)能力對(duì)態(tài)勢(shì)值進(jìn)行預(yù)測(cè)綜合，從而推理出系統(tǒng)狀態(tài)的未來(lái)趨勢(shì)。

1.1 網(wǎng)絡(luò)安全態(tài)勢(shì)值

通過(guò)定量和定性分析系統(tǒng)運(yùn)行狀態(tài)中態(tài)勢(shì)因子獲得的數(shù)值，不僅映射出態(tài)勢(shì)因子與態(tài)勢(shì)值的關(guān)聯(lián)，也直觀地反映系統(tǒng)當(dāng)前狀況，并為網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)提供數(shù)據(jù)參數(shù)。利用數(shù)學(xué)模型將態(tài)勢(shì)因子融合歸并為在[0,1]之間的數(shù)值，通過(guò)對(duì)態(tài)勢(shì)因子的綜合計(jì)算來(lái)感知網(wǎng)絡(luò)安全狀態(tài)變化[8]。量化后的態(tài)勢(shì)值應(yīng)表現(xiàn)出非線性動(dòng)態(tài)特征，即隨著入侵攻擊次數(shù)、攻擊危險(xiǎn)性的不同，其大小也發(fā)生變化。本文提出的態(tài)勢(shì)值計(jì)算模型，通過(guò)提取出關(guān)鍵態(tài)勢(shì)因子，構(gòu)造權(quán)值評(píng)價(jià)函數(shù)，通過(guò)加權(quán)平均得到態(tài)勢(shì)值，如圖1所示。

圖1 態(tài)勢(shì)值計(jì)算模型

基于加權(quán)平均思想的態(tài)勢(shì)值數(shù)學(xué)表達(dá)式為：

(1)

式中，NSA表示態(tài)勢(shì)值，表征了當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)的威脅程度，wi表示態(tài)勢(shì)因子i對(duì)應(yīng)的權(quán)值，ni表示相應(yīng)態(tài)勢(shì)因子i的頻率統(tǒng)計(jì)。wi決定了態(tài)勢(shì)因子對(duì)系統(tǒng)態(tài)勢(shì)安全的影響大小和重要性。

1.2 粒子濾波算法

粒子濾波PF[9]是一種基于蒙特卡羅原理和貝葉斯估計(jì)的濾波算法。相比貝葉斯估計(jì)理論[10]，當(dāng)粒子濾波采集的粒子(樣本)數(shù)目足夠大，其準(zhǔn)確性接近貝葉斯最優(yōu)估計(jì)，且不需要對(duì)系統(tǒng)狀態(tài)空間作出線性和高斯的假定，便于對(duì)所有非線性非高斯系統(tǒng)建模和估計(jì)。算法同時(shí)也利用大量的隨機(jī)粒子(樣本)求和來(lái)擬合逼近系統(tǒng)狀態(tài)的先驗(yàn)概率和后驗(yàn)概率的分布，具有計(jì)算簡(jiǎn)單的特點(diǎn)，在機(jī)器人定位、視頻目標(biāo)識(shí)別和跟蹤等領(lǐng)域得到應(yīng)用和研究[11]。

算法思想是通過(guò)帶權(quán)粒子集合的加權(quán)和計(jì)算出目標(biāo)系統(tǒng)的后驗(yàn)概率分布，以粒子均值近似積分來(lái)獲得系統(tǒng)狀態(tài)估計(jì)[12]?；舅惴ò匾圆蓸?、權(quán)值更新、重采樣、狀態(tài)估計(jì)等四個(gè)部分。重要性采樣利用遞推形式重新采樣，達(dá)到粒子傳播的目的；權(quán)值更新在獲得觀測(cè)值后，通過(guò)重新計(jì)算對(duì)任意粒子權(quán)值進(jìn)行賦值；重采樣通過(guò)設(shè)置閾值，過(guò)濾掉低權(quán)值粒子來(lái)解決粒子退化問(wèn)題；狀態(tài)估計(jì)通過(guò)所有粒子權(quán)值求和來(lái)完成對(duì)下一時(shí)刻的系統(tǒng)狀態(tài)預(yù)測(cè)。

算法的基本流程如圖2所示。

圖2 PF算法流程圖

1.3 基于粒子濾波算法的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)

在基于粒子濾波的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)中，通過(guò)建立一種狀態(tài)空間模型來(lái)對(duì)目標(biāo)狀態(tài)問(wèn)題進(jìn)行解釋說(shuō)明，基于“采樣-更新-預(yù)測(cè)”這一迭代過(guò)程來(lái)實(shí)現(xiàn)對(duì)態(tài)勢(shì)值的跟蹤和修正，減少誤差來(lái)提高準(zhǔn)確性。為完成系統(tǒng)狀態(tài)預(yù)測(cè)，需要對(duì)系統(tǒng)狀態(tài)問(wèn)題建立合適的目標(biāo)表達(dá)式。而目標(biāo)狀態(tài)的表示既要考慮目標(biāo)系統(tǒng)實(shí)際情況，又要便于實(shí)現(xiàn)數(shù)學(xué)運(yùn)算。網(wǎng)絡(luò)安全態(tài)勢(shì)一般通過(guò)選定態(tài)勢(shì)因子，通過(guò)計(jì)算間接得出[13]。目標(biāo)態(tài)勢(shì)表達(dá)式為：

X=[x0,x1,…xi…,xn]

(2)

式中，xi代表網(wǎng)絡(luò)安全態(tài)勢(shì)因子。通常以IDS事件和Netflow流量為基本態(tài)勢(shì)信息，結(jié)合系統(tǒng)資源消耗，通過(guò)定量評(píng)估來(lái)發(fā)現(xiàn)系統(tǒng)的安全威脅狀況。

在建立狀態(tài)空間模型時(shí)，不僅要考慮目標(biāo)狀態(tài)的表達(dá)方式，也要考慮對(duì)應(yīng)系統(tǒng)的特點(diǎn)。狀態(tài)空間模型通常由轉(zhuǎn)移模型和觀測(cè)模型構(gòu)成。

(3)

通過(guò)狀態(tài)轉(zhuǎn)移方程式來(lái)實(shí)現(xiàn)當(dāng)前時(shí)間點(diǎn)到下一時(shí)間點(diǎn)的系統(tǒng)狀態(tài)傳遞。式中，{xi(t+1)}(i=0,1,…,n) 表示t+1時(shí)刻態(tài)勢(shì)預(yù)測(cè)值集合，xi(t)(i=0,1,…,n)表示t時(shí)刻，態(tài)勢(shì)因子i對(duì)應(yīng)值，vi(i=0,1,…,n)表示轉(zhuǎn)移噪聲，使系統(tǒng)狀態(tài)在一定范圍內(nèi)隨機(jī)性波動(dòng)，以體現(xiàn)態(tài)勢(shì)變化的非線性特征。A表示狀態(tài)轉(zhuǎn)移矩陣，形如：

觀測(cè)模型定義為：

z(t)=hx(t)+ut

(4)

式中，z(t)表示觀測(cè)似然函數(shù)值，通過(guò)相似度度量計(jì)算，融入觀測(cè)模型中，決定了狀態(tài)估計(jì)的穩(wěn)定性和魯棒性。

基于粒子濾波的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法基本步驟如下：

Step 1 初始化

Step 2 重要性采樣

Step 3 權(quán)值更新

根據(jù)式(4)得t時(shí)刻觀測(cè)值z(mì)(t)，并修正傳播過(guò)程中的先驗(yàn)概率密度，通過(guò)式(5)-式(7)來(lái)實(shí)現(xiàn)權(quán)值更新：

C(t)=z(t)-hAx(t-1)

(5)

式中，C(t)為態(tài)勢(shì)值相似度值。

(6)

歸一化：

(7)

Step 4 態(tài)勢(shì)預(yù)測(cè)

(8)

Step 5 重采樣

Step 6t=t+1，轉(zhuǎn)到Step2。

2 仿真實(shí)驗(yàn)

2.1 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)數(shù)據(jù)集來(lái)源于HoneyNet組織，數(shù)據(jù)集包含Port掃描、Ping掃描、RPC信息請(qǐng)求以及緩沖區(qū)溢出等黑客攻擊信息。仿真實(shí)驗(yàn)數(shù)據(jù)為HoneyNet組織從2000年7月5日到2000年9月5日連續(xù)3個(gè)月的數(shù)據(jù)集，除去一些不完整數(shù)據(jù)，以一天為預(yù)測(cè)周期，共收集到70個(gè)周期數(shù)據(jù)。為了降低重復(fù)數(shù)據(jù)和數(shù)據(jù)跨度大對(duì)實(shí)驗(yàn)結(jié)果的影響，對(duì)數(shù)據(jù)集進(jìn)行聚類(lèi)處理和歸一化處理，歸一化處理公式如下：

(9)

式中，X代表原始態(tài)勢(shì)因子的數(shù)值，Xmin代表態(tài)勢(shì)因子最小數(shù)值，Xmax代表態(tài)勢(shì)因子最大數(shù)值，X′代表歸一后態(tài)勢(shì)因子數(shù)值。

對(duì)實(shí)驗(yàn)數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理后得70個(gè)周期的實(shí)驗(yàn)數(shù)據(jù)。態(tài)勢(shì)值由式(1)計(jì)算得出，現(xiàn)給出前30周期的網(wǎng)絡(luò)態(tài)勢(shì)值，如圖3所示。

圖3 網(wǎng)絡(luò)安全態(tài)勢(shì)值

2.2 實(shí)驗(yàn)結(jié)果與分析

初始化粒子濾波，設(shè)定相關(guān)參數(shù)：

t=0，x=[0]，回歸系數(shù)(a00,a01,…,ann)和vi由最小二乘方得：

vn=[0.1002,0.1.807,0.11832,…,0.23261]

C(t)=-0.3035 h=[1 0 … 0]

由式(8)得t時(shí)刻的態(tài)勢(shì)值：

由基于粒子濾波PF預(yù)測(cè)模型對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)值預(yù)測(cè)，并與實(shí)際值進(jìn)行對(duì)比，結(jié)果如圖4所示。

圖4 基于PF的態(tài)勢(shì)值與實(shí)際值對(duì)比圖

由圖4可知，本文預(yù)測(cè)模型得到的態(tài)勢(shì)值與實(shí)際值基本相符，其變化曲線體現(xiàn)出了網(wǎng)絡(luò)安全態(tài)勢(shì)的非線性和動(dòng)態(tài)性。實(shí)驗(yàn)表明，基于粒子濾波的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方面是可行的。

為驗(yàn)證本文方法在真實(shí)環(huán)境下的有效性，根據(jù)HoneyNet數(shù)據(jù)提供的特征信息，結(jié)合IDS報(bào)警信息構(gòu)建僅有常見(jiàn)服務(wù)器的簡(jiǎn)化實(shí)驗(yàn)環(huán)境，具體的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖5所示。

圖5 實(shí)驗(yàn)環(huán)境網(wǎng)絡(luò)拓?fù)?/p>

根據(jù)實(shí)驗(yàn)場(chǎng)景，收集來(lái)自路由器Netflow數(shù)據(jù)流信息以及IDS的報(bào)警信息，作為下一步對(duì)比實(shí)驗(yàn)真實(shí)的數(shù)據(jù)源。根據(jù)文獻(xiàn)[8]提出的網(wǎng)絡(luò)態(tài)勢(shì)指標(biāo)體系，對(duì)收集的實(shí)驗(yàn)數(shù)據(jù)提取關(guān)鍵態(tài)勢(shì)因子，歸一化后部分實(shí)驗(yàn)數(shù)據(jù)，如表1所示。

表1 實(shí)驗(yàn)數(shù)據(jù)具體參數(shù)

利用式(1)對(duì)原始數(shù)據(jù)計(jì)算出態(tài)勢(shì)值進(jìn)行態(tài)勢(shì)預(yù)測(cè)，分別與GM(1,1)、RBF預(yù)測(cè)算法進(jìn)行對(duì)比。表2給出了3種算法的預(yù)測(cè)結(jié)果均方根誤差。

表2 預(yù)測(cè)結(jié)果均方根誤差對(duì)比

由表2可知，PF算法的預(yù)測(cè)均方根誤差與RBF算法的基本一致，但明顯優(yōu)于GM(1,1)算法。通過(guò)計(jì)算預(yù)測(cè)算法的均方根誤差，來(lái)反映算法預(yù)測(cè)的態(tài)勢(shì)值與實(shí)際值的誤差距離。實(shí)驗(yàn)表明，本文預(yù)測(cè)算法的預(yù)測(cè)值與實(shí)際值誤差較小，具有一定的準(zhǔn)確性。

基于3種預(yù)測(cè)算法的預(yù)測(cè)結(jié)果對(duì)比，如圖6所示。

圖6 預(yù)測(cè)算法的態(tài)勢(shì)值對(duì)比

如圖6所示，基于GM(1,1)預(yù)測(cè)模型是基于累加生成的數(shù)列，其態(tài)勢(shì)變化曲線是較平滑的曲線，在突發(fā)的網(wǎng)絡(luò)環(huán)境不能較好地體現(xiàn)安全態(tài)勢(shì)的隨機(jī)波動(dòng)性。實(shí)驗(yàn)表明，當(dāng)系統(tǒng)安全狀態(tài)波動(dòng)程度有所增大時(shí)，GM(1,1)預(yù)測(cè)模型的預(yù)測(cè)誤差隨之增加，無(wú)法準(zhǔn)確地反映和預(yù)測(cè)系統(tǒng)安全態(tài)勢(shì)發(fā)展趨勢(shì)；基于RBF的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)算法是一種基于神經(jīng)網(wǎng)絡(luò)的預(yù)測(cè)算法，通過(guò)樣本訓(xùn)練使其具有預(yù)測(cè)能力和泛化能力，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)值的預(yù)測(cè)，其預(yù)測(cè)變化曲線體現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢(shì)的隨機(jī)波動(dòng)性及非線性特征。但是，RBF算法需先進(jìn)行樣本訓(xùn)練且訓(xùn)練速度慢，通常為滿足預(yù)測(cè)準(zhǔn)確性要求需要優(yōu)化算法對(duì)其進(jìn)行參數(shù)優(yōu)化，對(duì)于未知的網(wǎng)絡(luò)入侵事件，不能更好的實(shí)時(shí)預(yù)測(cè)。

基于PF的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)算法依靠其非線性擬合能力僅對(duì)當(dāng)前系統(tǒng)中的態(tài)勢(shì)因子進(jìn)行采樣、更新權(quán)值和預(yù)測(cè)估計(jì)等操作，不依賴歷史樣本訓(xùn)練，可以在復(fù)雜網(wǎng)絡(luò)環(huán)境中進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)。

3 結(jié) 語(yǔ)

通過(guò)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)來(lái)掌握系統(tǒng)安全狀態(tài)的未來(lái)發(fā)展趨勢(shì)，從而實(shí)現(xiàn)主動(dòng)性的網(wǎng)絡(luò)管理。針對(duì)已有算法存在的一些問(wèn)題，本文給出了基于粒子濾波的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法。該方法利用粒子濾波的非線性估計(jì)能力，對(duì)態(tài)勢(shì)值進(jìn)行預(yù)測(cè)和融合，從而提高態(tài)勢(shì)預(yù)測(cè)的準(zhǔn)確性。實(shí)驗(yàn)表明，該算法在無(wú)需樣本訓(xùn)練下進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)是可行有效的，適應(yīng)于真實(shí)網(wǎng)絡(luò)環(huán)境。今后將研究如何在滿足預(yù)測(cè)精度的要求下，減少粒子采樣數(shù)目和運(yùn)算時(shí)間，從而進(jìn)一步提高網(wǎng)絡(luò)安全態(tài)勢(shì)的實(shí)時(shí)性和準(zhǔn)確性。

[1] Holsopple J,Sudit M,Nusinov M,et al.Enhancing situation awareness via automated situation assessment[J].IEEE Communications Magazine,2010,48(3):146-152.

[2] 劉一博,殷肖川,方研.面向?qū)崟r(shí)業(yè)務(wù)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估[J].計(jì)算機(jī)應(yīng)用與軟件,2014,31(9):304-308.

[4] 席榮榮,云曉春,張永錚,等.一種改進(jìn)的網(wǎng)絡(luò)安全態(tài)勢(shì)量化評(píng)估方法[J].計(jì)算機(jī)學(xué)報(bào),2015,38(4):749-758.

[4] 吳迪，連一峰，陳愷，等.一種基于攻擊圖的安全威脅識(shí)別和分析方法[J].計(jì)算機(jī)學(xué)報(bào),2012,35(9):1938-1950.

[5] 唐成華,湯申生,強(qiáng)保華.DS融合知識(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估及驗(yàn)證[J].計(jì)算機(jī)科學(xué),2014,41(4):107-110,125.

[6] 鄧勇杰,文志誠(chéng),姜旭煒.基于灰色理論的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法[J].湖南工業(yè)大學(xué)學(xué)報(bào),2015,29(2):69-73.

[7] 謝麗霞,王亞超,于巾博.基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知[J].清華大學(xué)學(xué)報(bào)(自然科學(xué)版),2013,53(12):1750-1760.

[8] 王娟,張鳳荔,傅翀,等.網(wǎng)絡(luò)態(tài)勢(shì)感知中的指標(biāo)體系研究[J].計(jì)算機(jī)應(yīng)用,2007,27(8):1907-1909,1912.

[9] 王法勝,魯明羽,趙清杰,等.粒子濾波算法[J].計(jì)算機(jī)學(xué)報(bào),2014,37(8):1679-1694.

[10] 周帆,江維,李樹(shù)全,等.基于粒子濾波的移動(dòng)物體定位和追蹤算法[J].軟件學(xué)報(bào),2013,24(9):2196-2213.

[11] 楊龍文,黃植功.基于多特征融合的粒子濾波多目標(biāo)跟蹤算法研究[J].計(jì)算機(jī)應(yīng)用與軟件,2015,32(4):225-229.

[12] Yang X,Xing K,Feng X.Maneuvering Target Tracking in Dense Clutter Based on Particle Filtering[J].Chinese Journal of Aeronautics,2011,24(2):171-180.

[13] 陳秀真,鄭慶華,管曉宏,等.層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估方法[J].軟件學(xué)報(bào),2006,17(4):885-897.

RESEARCH ON A PREDICTION METHOD OF NETWORK SECURITY SITUATION BASED ON PARTICLE FILTER

Tang Yongli Li Weijie Yu Jinxia Yan Xixi

(SchoolofComputerScienceandTechnology，HenanPolytechnicUniversity，Jiaozuo454000,Henan,China)

In order to change the network management from passive defense to active defense,it is necessary to predict network security situation.To solve the problems of the low accuracy and samples training in existing forecast methods,the prediction method of network security situation based on particle filter is proposed.This method uses the weighted particles to approximate the posteriori probability density and realizes nonlinear situation prediction by the approximate integral operations include importance sampling,weight updating,state estimation.Experimental results show that this method can not only reflect the nonlinear of network security situation,but also forecast the value of network security situation.Comparing with the other situation forecasting models,this method is more accurate and can be adapted to the complex network environment.

Network security Situation prediction Particle filter

2015-10-23。國(guó)家自然科學(xué)基金項(xiàng)目(61300216);河南省科技攻關(guān)重點(diǎn)項(xiàng)目(122102310309);河南省科技廳基礎(chǔ)與前沿技術(shù)項(xiàng)目(142300410147);河南理工大學(xué)博士基金項(xiàng)目(B2011-058)。湯永利，副教授，主研領(lǐng)域：信息安全，密碼學(xué)。李偉杰，碩士生。于金霞，教授。閆璽璽，講師。

TP393.08

A

10.3969/j.issn.1000-386x.2017.01.053