張 東

?

基于卡曼算法的計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢預(yù)測

張 東

(鄭州升達(dá)經(jīng)貿(mào)管理學(xué)院，河南鄭州 451191)

在如今的中國，計(jì)算機(jī)網(wǎng)絡(luò)深入各家各戶成為人們生活必不可少的重要部分。然而隨著網(wǎng)絡(luò)使用的方面、規(guī)模種類逐漸變得龐大和復(fù)雜，安全問題也相應(yīng)地變成了一個讓人頭疼的頑疾。傳統(tǒng)方法的對網(wǎng)絡(luò)安全問題進(jìn)行各個擊破的方法現(xiàn)下也不再實(shí)用和適用。為了把被動變?yōu)橹鲃樱阋獙W(wǎng)絡(luò)安全態(tài)勢進(jìn)行預(yù)測，一是要收集整合數(shù)據(jù)，二是要結(jié)合周遭影響因素，為網(wǎng)絡(luò)安全管理建立一個更好的管理機(jī)制，從而提高網(wǎng)絡(luò)安全，讓威脅人們的潛在不安因素得到解決。本文旨在用卡曼算法為基礎(chǔ)，對計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢做出預(yù)測分析。

卡爾曼算法；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)安全態(tài)勢預(yù)測；神經(jīng)網(wǎng)絡(luò)；預(yù)測方法

伴隨我們?nèi)找婕铀俚木W(wǎng)路環(huán)境的成長，和技術(shù)的不斷發(fā)展，在今天的社會即將進(jìn)入云計(jì)算時代，計(jì)算機(jī)網(wǎng)絡(luò)對社會的影響將越來越大[1]。隨著廣泛的分布式網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)變得越來越復(fù)雜，網(wǎng)絡(luò)面臨的攻擊和威脅越來越多，網(wǎng)絡(luò)安全問題越來越嚴(yán)重，各種安全事件和漏洞越來越頻繁，包括黑客攻擊，網(wǎng)絡(luò)安全的不堪一擊漸漸暴露出來。單單使用傳統(tǒng)方法來應(yīng)對或許會力不從心，這不僅損害了個人和企業(yè)的利益，造成人民財(cái)產(chǎn)的損失，而且降低了人們對網(wǎng)絡(luò)的信任[2]。確保網(wǎng)絡(luò)信息安全已成為國家信息戰(zhàn)略的重要內(nèi)容之一[3]。但為了保護(hù)人們的網(wǎng)絡(luò)隱私以及其他重要方面，及時評估和進(jìn)行預(yù)測要成為網(wǎng)絡(luò)安全的研究重點(diǎn)[4]。盡管我國現(xiàn)今已有不少專家提出了以人工免疫為基礎(chǔ)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)檢測模型，但此類模型能給出網(wǎng)絡(luò)安全態(tài)勢值還是數(shù)量偏少，且其設(shè)計(jì)和管理存在相當(dāng)問題，只能檢測一定的網(wǎng)絡(luò)脆弱性，局限性很大，無法檢測整個網(wǎng)絡(luò)，因此這種算法在提高網(wǎng)絡(luò)安全性方面起到的作用非常有限。本文是根據(jù)卡曼算法對計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢進(jìn)行預(yù)測分析的，主要探究為一下幾點(diǎn)。

1 網(wǎng)絡(luò)安全預(yù)測算法的概述

網(wǎng)絡(luò)安全問題在當(dāng)下科技發(fā)達(dá)的世界顯得越發(fā)值得重視，要從關(guān)注獨(dú)立的安全問題開始著手然后擴(kuò)展至整個網(wǎng)絡(luò)環(huán)境。而進(jìn)行預(yù)測的態(tài)勢感知所一來的數(shù)據(jù)來自不同位置的設(shè)備檢測，例如IDS、防火墻以及系統(tǒng)的檢測結(jié)果[5]。這些結(jié)果的格式有很大的差異，并且輸出數(shù)據(jù)結(jié)果占據(jù)內(nèi)存非常巨大。為了更好的達(dá)到網(wǎng)絡(luò)安全態(tài)勢的預(yù)測的目的，要持續(xù)引入不同的觀念。想要對網(wǎng)絡(luò)安全性定量分析就要采取態(tài)勢感知的手段，此方法能夠精確的度量網(wǎng)絡(luò)安全性，起到非常有效的網(wǎng)絡(luò)安全保障作用[6]。而研究這種技術(shù)要做的第一步就是對會影響系統(tǒng)安全性的各個因素進(jìn)行面面俱到的檢測獲??；還要把關(guān)聯(lián)安全信息進(jìn)行收集，然后進(jìn)行整合、分類、歸并等工作。我國目前的態(tài)勢感知技術(shù)相對不太成熟，而卡曼算法的研究可以一定程度的彌補(bǔ)這一缺點(diǎn)。

2 網(wǎng)絡(luò)安全問題詳述

（1）惡意代碼技術(shù)攻擊

惡意代碼攻擊對網(wǎng)絡(luò)用戶的攻擊屢見不鮮，其主要危害在于使運(yùn)行系統(tǒng)癱瘓，并且能夠進(jìn)行自動恢復(fù)造成假性屏障，再從后臺進(jìn)行傳播，我國現(xiàn)已出現(xiàn)且為人熟知的病毒有：特洛伊木馬、熊貓病毒、后門、邏輯炸彈、間諜軟件和僵尸用戶客戶端等等。而惡意代碼主要是從系統(tǒng)的軟硬件漏洞入手，要想解決這個問題，應(yīng)設(shè)計(jì)出能夠?qū)δ繕?biāo)系統(tǒng)可能存在惡意代碼的位置和特征進(jìn)行識別的防火墻或安全軟件[7]?？墒悄壳笆忻娆F(xiàn)存的殺毒軟件雖然能夠起到一定的識別病毒的作用，但識別率卻相對低下，更重要的是部分軟件本身就存在相當(dāng)大的危害性，比如竊取用戶隱私和后臺強(qiáng)制使用無法退出的情況。因此再研發(fā)更高階的技術(shù)上，要更具有實(shí)時性，針對一些變形的而已代碼，先識別出進(jìn)行第一層的攻破，再設(shè)置第二層保護(hù)層，把對應(yīng)的保護(hù)代碼實(shí)時更新，讓惡意代碼無從攻擊。

（2）掃描技術(shù)的缺陷

掃描技術(shù)是指對計(jì)算機(jī)網(wǎng)絡(luò)的靜態(tài)特征目標(biāo)文件代碼進(jìn)行掃描，從而發(fā)現(xiàn)潛在危害。這種技術(shù)雖然誤報(bào)率較高，但在惡意偽裝文件面前還是有些力不從心[8]。因?yàn)橐粋€軟件文件的代碼再編寫過程中本身就具有一定的隱藏特征，惡意代碼在當(dāng)中稍加加殼變形便可躲過掃描。再者，一些惡意代碼的目標(biāo)可能本身就在破壞掃描技術(shù)上，一旦遭遇這種問題，掃描技術(shù)本身就變得不堪一擊。

（3）虛擬機(jī)檢測技術(shù)的兩個缺點(diǎn)

虛擬機(jī)檢測技術(shù)的意思是模擬一個虛擬的CPU環(huán)境，主動出擊在虛擬檢測時把惡意代碼激活，觀察其進(jìn)一步的行為特征，以此來判斷代碼是否為惡意。這項(xiàng)技術(shù)的有點(diǎn)是并不需要一個規(guī)模很大的病毒特征庫就能很大程度上的保證本機(jī)系統(tǒng)的安全，并且能保證不誤傷到安全代碼[9]。虛擬檢測技術(shù)的檢測步驟分為兩步，一是對先建立一個對惡意軟件行為分析的智能識別模塊，其中包括行為知識庫、行為知識推理機(jī)、以及知識獲取組件；二是深層檢測與監(jiān)控組建，這兩項(xiàng)的主要目的在于檢測和收集目標(biāo)系統(tǒng)的各種信息，收集的相關(guān)行為信息主要是針對底層隱藏技術(shù)的惡意代碼的。然而，虛擬CPU技術(shù)的缺點(diǎn)之一是占據(jù)的內(nèi)存太大，時間長久便會對系統(tǒng)的性能產(chǎn)生負(fù)面影響，最常見的可能就是機(jī)器死機(jī)。第二則是進(jìn)行檢測的需要時間過長，但判斷惡意代碼的時間卻慢，查毒的效率很容易受到影響。

（4）防火墻技術(shù)

防火墻的概念是在對軟件和硬件的設(shè)備組合進(jìn)行已授權(quán)和未授權(quán)通信實(shí)體之間做出判斷，保護(hù)并組織重要信息的未授權(quán)的訪問和修改。防火墻是一種建“長城”的方法，通過設(shè)立一道屏障強(qiáng)化我們的網(wǎng)絡(luò)安全，謹(jǐn)防私密信息被竊取。而防火墻技術(shù)分別為硬件和軟件開發(fā)出了不同的產(chǎn)品，盡管類別不同，但是原理和技術(shù)非常相似，而且目的相同。這項(xiàng)技術(shù)有一個不足是過于簡單，想要攻破很簡單。防火墻作為一種隔離手段，工作方式相對單一，只是分析攔截進(jìn)出的數(shù)據(jù)包，再進(jìn)行二次決定。另一個不足是倘若防火墻使用方法不當(dāng)，可能會造成計(jì)算機(jī)系統(tǒng)各項(xiàng)其他工作無法正常完成。因此效用有限。

3 卡曼算法的運(yùn)用

卡曼算法最開始的名字叫做卡曼濾波（Kalman filtering），這是一種利用線性系統(tǒng)狀態(tài)方程，通過系統(tǒng)輸入輸出觀測數(shù)據(jù)，對系統(tǒng)狀態(tài)進(jìn)行最優(yōu)估計(jì)的算法。由于觀測數(shù)據(jù)中包括系統(tǒng)中的噪聲和干擾的影響，所以最優(yōu)估計(jì)也可看作是濾波過程，適用領(lǐng)域非常多。

而數(shù)據(jù)濾波是作為去除噪聲還原真實(shí)數(shù)據(jù)的一種數(shù)據(jù)處理技術(shù)，卡曼濾波在測量方差已知的情況下能夠從一系列存在測量噪聲的數(shù)據(jù)中，估計(jì)動態(tài)系統(tǒng)的狀態(tài)?？鼮V波是目前應(yīng)用最為廣泛的濾波方法、在通信、導(dǎo)航、制導(dǎo)與控制等多領(lǐng)域得到了較好的應(yīng)用[10]。因?yàn)槠鋸V泛的適用性，后來便延伸為算法，用于計(jì)算機(jī)編程。將這種算法運(yùn)用到計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢預(yù)測上，能夠很好的對現(xiàn)場采集的數(shù)據(jù)進(jìn)行實(shí)時的更新和處理，長久便可保護(hù)網(wǎng)絡(luò)安全。

4 網(wǎng)絡(luò)安全預(yù)測模型

（1）估算方法和建模

基于經(jīng)典預(yù)測算法的人工免疫網(wǎng)絡(luò)安全態(tài)勢評估算法，為獲得網(wǎng)絡(luò)安全態(tài)勢預(yù)測值提供依據(jù)。由于預(yù)測算法一般都與網(wǎng)絡(luò)安全狀況的影響因素相結(jié)合，因此發(fā)現(xiàn)和收集影響網(wǎng)絡(luò)安全狀況的因素是關(guān)鍵。建模時，先在預(yù)測框架中的最低級別模塊應(yīng)設(shè)計(jì)一個數(shù)據(jù)采集模塊，模塊主要負(fù)責(zé)收集網(wǎng)絡(luò)信息要素，但由于影響網(wǎng)絡(luò)安全態(tài)勢的因素很多，為了提高預(yù)測的準(zhǔn)確性和效率，要先做出網(wǎng)絡(luò)安全態(tài)勢評估圖，如圖1所示為。

圖1 網(wǎng)絡(luò)安全態(tài)勢評估圖

（2）卡曼算法對網(wǎng)絡(luò)安全態(tài)勢預(yù)測。

首先，卡曼算法的濾波器可以用來處理系統(tǒng)的離散控制過程，而且非常符合網(wǎng)絡(luò)安全態(tài)勢預(yù)測離散控制交換系統(tǒng)的特點(diǎn)，可以用狀態(tài)方程和描述觀測方程的觀測方程來表示。

方程為：

(+1)=(+1)×()+U1()

Y()代表在時間動態(tài)系統(tǒng)的狀態(tài)向量，F(xiàn)(K 1，)表示該系統(tǒng)從時刻的狀態(tài)轉(zhuǎn)移在時間k 1狀態(tài)，是狀態(tài)轉(zhuǎn)移矩陣；U1()是過程噪聲矢量，代表噪聲或誤差在流轉(zhuǎn)過程中產(chǎn)生的。

觀測方程為：

(+1)=B()×(+1)+U2()

(1)表示在時間1在系統(tǒng)觀測向量；B()是觀測向量，狀態(tài)向量(1)是改變后的觀測向量描述；U2()表示觀測噪聲在時間。

因此，基于卡爾曼算法的網(wǎng)絡(luò)安全態(tài)勢預(yù)測的原理是：根據(jù)關(guān)鍵影響因子值和網(wǎng)絡(luò)安全態(tài)勢值求狀態(tài)向量()1，當(dāng)N狀態(tài)向量的時間下一個時間段，N是獲取量，并根據(jù)當(dāng)前狀態(tài)矢量觀測向量描述獲取網(wǎng)絡(luò)安全態(tài)勢值在下一時間段的次值。

（3）實(shí)驗(yàn)場景配置。

為了驗(yàn)證決策并融合卡曼濾波網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法的有效性，要進(jìn)行一定的仿真實(shí)驗(yàn)。實(shí)驗(yàn)需要的計(jì)算機(jī)硬件配置為：雙核CPU，單核主頻2.8 GHz，4 G內(nèi)存；用在模擬實(shí)驗(yàn)的計(jì)算機(jī)軟件配置：Windows 8操作系統(tǒng)，編程語言，OMNET++軟件。

模擬配置相同的3臺主機(jī)在OMNeT++檢測。模擬中應(yīng)用部分?jǐn)?shù)據(jù)作為實(shí)驗(yàn)數(shù)據(jù)源，設(shè)計(jì)模擬惡意戴莫，對服務(wù)器進(jìn)行模擬攻擊，讓其能夠識別并拒絕使用，具體步驟為：在各種端口和漏洞掃描軟件等攻擊guess_passwd，攻擊Nmap Perl等，攻擊網(wǎng)絡(luò)中的各種虛擬服務(wù)器，Perl和其他風(fēng)險(xiǎn)參數(shù)的風(fēng)險(xiǎn)參數(shù)設(shè)置為0.4，0.6，等，主機(jī)的權(quán)重設(shè)置為0.2，0.5，0.3。

（4）網(wǎng)絡(luò)安全態(tài)勢的計(jì)算

根據(jù)計(jì)算機(jī)人工免疫方法計(jì)算網(wǎng)絡(luò)安全態(tài)勢，可參考人體免疫系統(tǒng)抗體濃度變化與病原體侵入強(qiáng)度之間的關(guān)系，利用抗體濃度計(jì)算網(wǎng)絡(luò)安全狀況。該方法可以得到準(zhǔn)確的網(wǎng)絡(luò)安全態(tài)勢值。具體表現(xiàn)為：當(dāng)一些攻擊繼續(xù)攻擊網(wǎng)絡(luò)，相應(yīng)的抗體濃度會不斷增加；當(dāng)攻擊強(qiáng)度下降，然后抗體濃度下降，但下降幅度小于攻擊強(qiáng)度的速率；當(dāng)某種攻擊再次發(fā)生在一定的時間內(nèi)，相應(yīng)的抗體濃度仍然較。這表明，網(wǎng)絡(luò)安全形勢更高，網(wǎng)絡(luò)管理應(yīng)準(zhǔn)備防御。根據(jù)抗體濃度，可以計(jì)算出網(wǎng)絡(luò)安全態(tài)勢值。網(wǎng)絡(luò)安全態(tài)勢值可以從主機(jī)和系統(tǒng)中的抗體濃度。

在這個公式中，max是最大的態(tài)勢值，min是最小的態(tài)勢值，代表當(dāng)前的態(tài)勢。在歸一化計(jì)算后，控制態(tài)勢值為0到1之間。根據(jù)結(jié)果表明，網(wǎng)絡(luò)安全狀況的值越高，系統(tǒng)的危險(xiǎn)便越低。

在經(jīng)過處理后，網(wǎng)絡(luò)安全態(tài)勢的攻擊強(qiáng)度的影響因素、網(wǎng)絡(luò)流動和網(wǎng)絡(luò)流量的變化率如表1所示。

表1

態(tài)勢值攻擊力度網(wǎng)絡(luò)流量 數(shù)據(jù)10.190.102280.14393 數(shù)據(jù)20.200.104590.69257 數(shù)據(jù)30.220.115460.21284 數(shù)據(jù)40.240.123710.81769 數(shù)據(jù)50.250.123710.81769 數(shù)據(jù)60.240.134690.16575 數(shù)據(jù)70.240.146890.64291 ........................ 數(shù)據(jù)210.360.141270.18433

4 建模注意事項(xiàng)

基于卡曼的網(wǎng)絡(luò)安全態(tài)勢預(yù)測算法具有模型參數(shù)少、計(jì)算簡單、實(shí)時性好等優(yōu)點(diǎn)。在這里要首先采用決策熵分析的方法選擇影響網(wǎng)絡(luò)安全狀況的關(guān)鍵因素，然后結(jié)合關(guān)鍵因素建立網(wǎng)絡(luò)安全態(tài)勢的多關(guān)系模型。以下是基于決策熵與M因子建模相結(jié)合的卡曼預(yù)測算法，具體步驟雖復(fù)雜但成效甚好.在建模時，要參考多方數(shù)據(jù)才能，仔細(xì)核對每個公式的數(shù)值，保持嚴(yán)謹(jǐn)?shù)膽B(tài)度才能最大程度的讓建模結(jié)果精準(zhǔn)。

5 結(jié)束語

本文針對的如今網(wǎng)絡(luò)世界安全態(tài)勢做出分析，提出了一種網(wǎng)絡(luò)安全態(tài)勢預(yù)測卡曼濾波預(yù)測算法。在這種方法中，第一步參考了諸多數(shù)據(jù)和圖標(biāo)，總結(jié)除了計(jì)算網(wǎng)絡(luò)安全的關(guān)鍵特征；并在第二步根據(jù)卡曼算法做出了一些模擬實(shí)驗(yàn)，還對卡曼狀態(tài)方程和網(wǎng)絡(luò)安全狀態(tài)的測量方程構(gòu)造進(jìn)行了研究，第三步根據(jù)現(xiàn)在新的信息理論的更新，對網(wǎng)絡(luò)安全的新狀態(tài)做了實(shí)時預(yù)測。最后，網(wǎng)絡(luò)安全形勢卡爾曼預(yù)測是運(yùn)用決策熵理論實(shí)現(xiàn)了。在實(shí)驗(yàn)中，監(jiān)測的三個屬性，包括攻擊強(qiáng)度，同時網(wǎng)絡(luò)流量和網(wǎng)絡(luò)流量變化率，最后選擇攻擊強(qiáng)度作為網(wǎng)絡(luò)安全形勢的特點(diǎn)，根據(jù)圖標(biāo)和方程的參考，完成預(yù)測模型的訓(xùn)練。從結(jié)果的預(yù)測曲線可以看出，在現(xiàn)有的基礎(chǔ)上融合卡曼算法（濾波方法）實(shí)現(xiàn)了對網(wǎng)絡(luò)安全態(tài)勢的準(zhǔn)確預(yù)測。本文的研究顯明，互聯(lián)網(wǎng)安全態(tài)勢預(yù)測實(shí)則是網(wǎng)絡(luò)安全防御機(jī)制轉(zhuǎn)變，若能把相關(guān)研究和網(wǎng)絡(luò)安全態(tài)勢影響因素進(jìn)行一定程度的結(jié)合，便可為更好地控制網(wǎng)絡(luò)安全奠定一個良好基礎(chǔ)。

[1] 陳宏偉, 李華. 基于卡爾曼算法的計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J]. 電子世界, 2016(7): 28-28.

[2] 曾斌, 鐘萍. 網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法的仿真研究[J]. 計(jì)算機(jī)仿真, 2012, 29(5): 170-173.

[3] 黃金山. 一種實(shí)時網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J]. 電腦知識與技術(shù), 2014(12X): 8373-8374.

[4] 古潤南, 艾中良. 基于LOD控制與內(nèi)外存調(diào)度的大規(guī)模網(wǎng)絡(luò)態(tài)勢數(shù)據(jù)節(jié)點(diǎn)處理算法[J]. 軟件, 2016, 37(3): 89-93.

[5] 韓敏娜. 基于多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢評估及預(yù)測模型研究[D]. 江南大學(xué), 2013.

[6] 韋勇. 網(wǎng)絡(luò)安全態(tài)勢評估模型研究[D]. 中國科學(xué)技術(shù)大學(xué), 2009.

[7] 劉雷雷, 臧洌, 邱相存. 基于Kalman算法的網(wǎng)絡(luò)安全態(tài)勢預(yù)測[J]. 計(jì)算機(jī)與數(shù)字工程, 2014, 42(1): 99-102.

[8] 張超. 云計(jì)算網(wǎng)絡(luò)安全態(tài)勢評估研究與分析[D]. 北京郵電大學(xué), 2014.

[9] 向西西, 黃宏光, 李予東. 基于Kalman算法的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J]. 計(jì)算機(jī)仿真, 2010, 27(12): 113-116.

[10] 肖鑫. 基于Kalman算法的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J]. 煤炭技術(shù), 2012, 31(11): 113-116.

Network Security Situation Prediction Based on Kalman Algorithm

ZHANG Dong

(Shengda Trade Economics & Management College of Zhengzhou, Zhengzhou Henan 451191)

Nowadays in China, Network have been embedded in people’s life and become to an indispensable part. But with the usage of network ‘s ways、scales and varieties grow, it is become tremendous and complex, the security has also become to an worried problem. The way that we use traditional methods to solve these security issues are not practical and applicative. In order to make a transformation, then we need to predict the network security situation, first of all, collect and integrate data, second of all, combine these data with factor that may influence the network, to establish a better network supervise system to improve its security, and make the factor that may threat people’s life go away. This paper is to predict the network security situation based on Kalman Algorithm.

Kalman algorithm; Network security; Network security prediction; NN; Prediction methods

TN915.08

A

10.3969/j.issn.1003-6970.2017.04.019

河南省科技廳科技攻關(guān)項(xiàng)目(122102210444)

張東(1988-)，男，河南鄭州人，助教、網(wǎng)絡(luò)工程師，研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)安全及算法分析

本文著錄格式：張東. 基于卡曼算法的計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢預(yù)測[J]. 軟件，2017，38（4）：104-107