亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        復(fù)雜網(wǎng)絡(luò)環(huán)境下面向威脅監(jiān)測(cè)的采集策略精化方法

        2019-05-05 09:44:16李鳳華李子孚李凌張銘耿魁郭云川
        通信學(xué)報(bào) 2019年4期
        關(guān)鍵詞:精化計(jì)算資源威脅

        李鳳華,李子孚,李凌,張銘,耿魁,郭云川

        (1. 中國(guó)科學(xué)院信息工程研究所,北京 100093;2. 中國(guó)科學(xué)院大學(xué)網(wǎng)絡(luò)空間安全學(xué)院,北京 100049;3. 通信網(wǎng)信息傳輸與分發(fā)技術(shù)重點(diǎn)實(shí)驗(yàn)室,河北 石家莊 050081;4. 西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院,陜西 西安 710071)

        1 引言

        以專用網(wǎng)絡(luò)、天地一體化網(wǎng)絡(luò)和物聯(lián)網(wǎng)為代表的復(fù)雜網(wǎng)絡(luò)[1]面臨嚴(yán)峻的安全威脅。中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心于2018年7月發(fā)布的《第42次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示,2018年上半年我國(guó)境內(nèi)被植入后門網(wǎng)站數(shù)量累計(jì)16 210個(gè),收集整理的信息系統(tǒng)安全漏洞累計(jì)7 748個(gè),接到網(wǎng)絡(luò)安全事件報(bào)告累計(jì)54 190件。為應(yīng)對(duì)上述威脅,威脅監(jiān)測(cè)越來越受到人們的重視,在Crowd Research發(fā)布的2017年威脅的監(jiān)測(cè)、檢測(cè)和響應(yīng)報(bào)告中,67%被調(diào)查的信息安全專業(yè)人員認(rèn)為威脅監(jiān)測(cè)是該領(lǐng)域的首要任務(wù),超過威脅分析的44%。威脅監(jiān)測(cè)通過在網(wǎng)絡(luò)設(shè)備中部署采集策略,實(shí)現(xiàn)對(duì)數(shù)據(jù)的有效采集,為威脅分析提供數(shù)據(jù)基礎(chǔ)。

        然而,由于復(fù)雜網(wǎng)絡(luò)環(huán)境的如下特點(diǎn),使通過人工方式制定采集策略難以為繼:1)節(jié)點(diǎn)數(shù)量多,依據(jù)Gartner發(fā)布的數(shù)據(jù),2020年全球聯(lián)網(wǎng)設(shè)備數(shù)量將達(dá)260億臺(tái),各類設(shè)備的大規(guī)模互聯(lián),使網(wǎng)絡(luò)中的節(jié)點(diǎn)數(shù)量呈爆發(fā)式增長(zhǎng)趨勢(shì);2)節(jié)點(diǎn)處理能力差異,網(wǎng)絡(luò)節(jié)點(diǎn)部署于不同位置,且功能需求不同,導(dǎo)致節(jié)點(diǎn)處理能力差異大,由于上述2個(gè)特點(diǎn)使人工管理網(wǎng)絡(luò)成本高,因此需要自動(dòng)化、統(tǒng)一管理;3)安全需求變化大,天地一體化網(wǎng)絡(luò)、移動(dòng)互聯(lián)網(wǎng)等網(wǎng)絡(luò)由于節(jié)點(diǎn)隨遇接入導(dǎo)致其拓?fù)浣Y(jié)構(gòu)高變,使安全威脅蔓延,安全需求動(dòng)態(tài)變化,所以需要對(duì)采集策略進(jìn)行動(dòng)態(tài)調(diào)整。

        因此,自動(dòng)化設(shè)置采集策略的方案被提出,但依然存在如下問題:1)在采集內(nèi)容方面,大多使用查找表的方式確定采集內(nèi)容,缺乏動(dòng)態(tài)調(diào)整的特性;2)在采集頻率方面,大多采用等時(shí)間間隔、周期性的采集方式,沒有考慮重復(fù)采集數(shù)據(jù)的相似度,部分采集方案[2-4]考慮采集數(shù)據(jù)冗余的問題,提出了一些動(dòng)態(tài)改變采集頻率的方法,但是其應(yīng)用場(chǎng)景和采集數(shù)據(jù)的類型較為單一;3)在采集資源消耗方面,未充分考慮采集設(shè)備當(dāng)前的資源水平,不適用于復(fù)雜網(wǎng)絡(luò)環(huán)境中設(shè)備的計(jì)算和存儲(chǔ)資源受限的場(chǎng)景。

        為了解決現(xiàn)有工作的不足,本文將安全策略分為高層監(jiān)測(cè)需求(TDR, top detection requirement)、中層采集策略(ICP, intermediate collection policy)和低層設(shè)備指令(LDC, low device command)這3層結(jié)構(gòu),形成采集策略層次模型(CPHM, collection policy hierarchy model)。基于該模型,提出了基于采集成本和收益平衡的策略精化方法,將以威脅監(jiān)測(cè)為目標(biāo)的高層監(jiān)測(cè)需求,綜合考慮采集貢獻(xiàn)度和資源消耗,細(xì)化為低層設(shè)備指令,在降低采集數(shù)據(jù)量的同時(shí)保證采集數(shù)據(jù)的精確度,做到極小量按需精準(zhǔn)采集。本文的主要貢獻(xiàn)如下。

        1) 提出了面向威脅監(jiān)測(cè)的采集策略精化系統(tǒng)模型,設(shè)計(jì)網(wǎng)絡(luò)環(huán)境和策略的3層結(jié)構(gòu),以及策略精化規(guī)則和策略模板。

        2) 針對(duì)高層監(jiān)測(cè)需求的威脅類型到中層采集策略的采集項(xiàng)和采集頻率的精化問題,通過對(duì)采集貢獻(xiàn)度和采集資源消耗的量化,設(shè)計(jì)目標(biāo)函數(shù),通過遺傳算法求解,得到與待采集設(shè)備資源水平對(duì)應(yīng)的采集項(xiàng)和采集頻率。

        3) 對(duì)所提方法進(jìn)行了實(shí)驗(yàn)驗(yàn)證,實(shí)驗(yàn)結(jié)果表明,本文方法可針對(duì)不同威脅類型生成個(gè)性化的采集策略,并在待采集設(shè)備的資源水平降低時(shí),自適應(yīng)地減少采集項(xiàng),降低采集頻率。

        2 相關(guān)工作

        現(xiàn)有的策略精化[5]大多集中在訪問控制、網(wǎng)絡(luò)服務(wù)質(zhì)量管理、能源優(yōu)化等方面。在訪問控制方面,主要對(duì)訪問主體、客體和操作權(quán)限進(jìn)行細(xì)化;在網(wǎng)絡(luò)服務(wù)質(zhì)量管理方面,通過將服務(wù)質(zhì)量細(xì)分為一系列服務(wù)級(jí)別目標(biāo)(SLO, service level objective),通過實(shí)現(xiàn)每個(gè)SLO以實(shí)現(xiàn)整體的服務(wù)質(zhì)量;在能源優(yōu)化方面,采用調(diào)節(jié)鏈路速率、關(guān)閉或睡眠負(fù)荷低的設(shè)備的方式以減少能源消耗。

        根據(jù)策略精化使用的技術(shù),可以將其分為基于規(guī)則的策略精化、基于歷史數(shù)據(jù)的策略精化和基于邏輯的策略精化等。

        2.1 基于規(guī)則的策略精化

        基于規(guī)則的策略精化的核心思想是使用表來關(guān)聯(lián)用戶、應(yīng)用和服務(wù),通過查找表的方法建立精化關(guān)系,適用于服務(wù)質(zhì)量(QoS, quality of service)管理等。

        文獻(xiàn)[6]提出的策略精化引擎(POWER, policy wizard engine for refinement)是首次采用基于策略模板的精化技術(shù),其將抽象策略中的主體、客體和權(quán)限根據(jù)上下文信息等系統(tǒng)模型中定義的組織實(shí)體映射為實(shí)現(xiàn)層的主體、客體和操作權(quán)限。文獻(xiàn)[7-8]將系統(tǒng)進(jìn)行分層,通過規(guī)則對(duì)各層間的策略進(jìn)行精化。其中,文獻(xiàn)[7]利用上述系統(tǒng)分層思想開發(fā)了MoBaSeC(model based service configuration)工具,該工具支持交互式圖形建模、自動(dòng)模型分析和策略精化生成配置文件,文獻(xiàn)[8]在文獻(xiàn)[7]的基礎(chǔ)上,定義了一系列公理,以獲取策略規(guī)則中隱含的假設(shè),驗(yàn)證了策略精化的一致性和完備性,同時(shí)形式化表示模型到現(xiàn)實(shí)世界的映射。

        文獻(xiàn)[9-10]使用ECA(event condition action)范式定義策略。其中,文獻(xiàn)[9]提出了一個(gè)在領(lǐng)域、語(yǔ)言、抽象級(jí)別等方面通用的 ECA策略自動(dòng)化精化的方法,并應(yīng)用在通信系統(tǒng)中來管理系統(tǒng)的行為,采用領(lǐng)域建模以定義高層中的領(lǐng)域術(shù)語(yǔ),包括領(lǐng)域、關(guān)系、屬性等;策略建模包括策略中的事件、條件和行為;領(lǐng)域和策略的連接建模給出領(lǐng)域術(shù)語(yǔ)與策略之間的關(guān)系,然后定義高層策略和低層策略之間的精化規(guī)則,最后基于規(guī)則實(shí)現(xiàn)自動(dòng)化的策略精化。文獻(xiàn)[10]使用 ECA范式制定規(guī)則,在系統(tǒng)運(yùn)行時(shí),滿足策略執(zhí)行條件后,將策略元素進(jìn)行實(shí)例化。

        文獻(xiàn)[11-13]針對(duì)策略元素和規(guī)則進(jìn)行研究。其中,文獻(xiàn)[11]提出了提取安全策略規(guī)則的方法,使用需求工程中的技術(shù)來獲取資產(chǎn)、威脅和對(duì)策,該方法用于在運(yùn)行時(shí)實(shí)例化特定域的安全需求。文獻(xiàn)[12]根據(jù)規(guī)則從自然語(yǔ)言中提取訪問控制相關(guān)要素,并在歐盟數(shù)據(jù)保護(hù)條例中得到應(yīng)用。文獻(xiàn)[13]提出了安全策略詞匯模型,描述高層安全策略和底層可執(zhí)行策略,并制作了支持多平臺(tái)、多策略語(yǔ)言和規(guī)則范式的工具。

        基于規(guī)則的策略精化的優(yōu)點(diǎn)是自動(dòng)化程度高、精化速度快,缺點(diǎn)是精化的正確性取決于表內(nèi)容的正確性、元素固定、不支持動(dòng)態(tài)擴(kuò)展和缺乏動(dòng)態(tài)調(diào)整特性。

        2.2 基于歷史數(shù)據(jù)的策略精化

        基于歷史數(shù)據(jù)的策略精化的核心思想是學(xué)習(xí)系統(tǒng)的歷史行為,并預(yù)測(cè)將來的行為來達(dá)到策略精化的目的。

        文獻(xiàn)[14-15]針對(duì)精化目標(biāo)與歷史數(shù)據(jù)的相似性進(jìn)行策略精化。其中,文獻(xiàn)[14]提出了基于案例推理(CBR, case-based reasoning)的策略精化方法,該方法建立高層策略和低層參數(shù)配置的映射關(guān)系,當(dāng)需要為新的高層策略查找配置參數(shù)時(shí),查找歷史數(shù)據(jù)庫(kù)中最相似的案例,或者在一組案例的配置參數(shù)間插入新的系統(tǒng)參數(shù),以確定合適的配置參數(shù)。此外,文獻(xiàn)[14]還提出了對(duì)策略聚類以減少查找的數(shù)據(jù)量,使用主成分分析進(jìn)行降維以減少存儲(chǔ)空間。文獻(xiàn)[15]提出了一種基于文本挖掘的相似性度量方法,從策略庫(kù)中選擇類似的策略以設(shè)置本次的策略。

        文獻(xiàn)[16-17]基于歷史數(shù)據(jù),使用決策樹等機(jī)器學(xué)習(xí)的方法進(jìn)行策略精化。其中,文獻(xiàn)[16]基于決策樹的分類方法,利用系統(tǒng)狀態(tài)等指標(biāo)的歷史信息,找到影響高層策略相應(yīng)的系統(tǒng)狀態(tài)指標(biāo),并確定閾值。其主要過程分為4個(gè)階段:1)測(cè)試和開發(fā)階段,通過設(shè)定高層次的目標(biāo),并運(yùn)行系統(tǒng),收集低層次系統(tǒng)狀態(tài)指標(biāo);2)分類階段,利用收集到的低層次系統(tǒng)狀態(tài)指標(biāo)構(gòu)造決策樹;3)策略細(xì)化階段,通過決策樹中葉子節(jié)點(diǎn)為真的路徑找到關(guān)鍵的低層次策略元素(系統(tǒng)狀態(tài)指標(biāo));4)確定限制范圍階段,確定低層次策略參數(shù)的限制范圍,該方法適用于服務(wù)等級(jí)協(xié)議(SLA, service-level agreement)等低層次策略的參數(shù)是數(shù)值型并且容易量化的場(chǎng)景。為減少數(shù)據(jù)中心的能源消耗,文獻(xiàn)[17]通過計(jì)算能耗和性能要求之間的效用函數(shù),使用決策樹的方法對(duì)應(yīng)用場(chǎng)景進(jìn)行分類,將業(yè)務(wù)策略精化為網(wǎng)絡(luò)級(jí)策略。

        文獻(xiàn)[18]通過建立非功能需求框架,將安全需求劃分為由多個(gè)軟目標(biāo)實(shí)現(xiàn),并將每個(gè)軟目標(biāo)細(xì)化為多個(gè)具體的操作化指令,構(gòu)建策略精化的樹狀結(jié)構(gòu),對(duì)樹中所有葉子節(jié)點(diǎn)計(jì)算評(píng)分,用于量化意圖的符合情況,結(jié)合網(wǎng)絡(luò)基本配置和服務(wù)依賴情況,實(shí)現(xiàn)了基于意圖的策略精化。

        基于歷史數(shù)據(jù)的策略精化的優(yōu)點(diǎn)是精化的準(zhǔn)確性會(huì)隨歷史數(shù)據(jù)集規(guī)模的增大而增加,缺點(diǎn)是難于構(gòu)建歷史數(shù)據(jù)庫(kù),并且數(shù)據(jù)集中的錯(cuò)誤數(shù)據(jù)會(huì)影響策略精化的準(zhǔn)確性。

        2.3 基于邏輯的策略精化

        基于邏輯的策略精化的核心思想是采用事件演算、反繹推理、模型檢驗(yàn)等方式[19-22]進(jìn)行策略細(xì)化。

        文獻(xiàn)[23]使用事件演算(event calculus)形式化地定義策略,首先,利用需求工程領(lǐng)域的目標(biāo)分解(KAOS, knowledge acquisition in automated specification)方法,將抽象目標(biāo)分解為可操作的目標(biāo);其次,將可操作目標(biāo)映射到相應(yīng)模塊,使用統(tǒng)一建模語(yǔ)言(UML, unified modeling language)對(duì)環(huán)境中各種系統(tǒng)實(shí)體及其關(guān)系進(jìn)行建模;最后,利用反繹推理推導(dǎo)出使可操作性目標(biāo)為真的事實(shí),完成策略精化。文獻(xiàn)[24]使用事件演算描述系統(tǒng)狀態(tài)和策略應(yīng)用的條件,將策略精化通過分解和操作這2個(gè)階段完成,其中,分解階段將分解規(guī)則作為輸入,并將操作化策略與對(duì)象類進(jìn)行匹配;操作階段使用特定領(lǐng)域的描述信息和高層策略推導(dǎo)出可執(zhí)行的動(dòng)作。文獻(xiàn)[25]提出了專家預(yù)先定義細(xì)化目標(biāo),再使用線性時(shí)序邏輯定義不同目標(biāo)間的關(guān)系,通過模型檢驗(yàn)進(jìn)行策略精化,該方式更具自動(dòng)性。

        基于邏輯的策略精化的優(yōu)點(diǎn)是具有一定程度的策略沖突消解能力,缺點(diǎn)是計(jì)算復(fù)雜度高。

        2.4 其他方法

        策略精化的其他方法包括基于本體的方法、不同策略描述語(yǔ)言之間的翻譯等?;诒倔w的方法利用本體建模,保證語(yǔ)義一致性;不同策略描述語(yǔ)言之間的翻譯包括基于角色的訪問控制(RBAC,role-based access control)策略翻譯為基于屬性的訪問控制(ABAC, attribute-based access control)策略等,為策略統(tǒng)一管理和精化提供了支撐。文獻(xiàn)[26]為了解決單域內(nèi)訪問控制策略向多個(gè)域翻譯、轉(zhuǎn)換的問題,將訪問控制策略轉(zhuǎn)換成統(tǒng)一的二進(jìn)制位串,然后生成較少規(guī)則數(shù)的訪問控制標(biāo)識(shí)語(yǔ)言(XACML, extensible access control markup language)描述的策略,通過動(dòng)態(tài)驗(yàn)證和靜態(tài)驗(yàn)證的方法,驗(yàn)證了轉(zhuǎn)換前后策略語(yǔ)義的一致性,最后為關(guān)系型數(shù)據(jù)庫(kù)轉(zhuǎn)化為可擴(kuò)展標(biāo)識(shí)語(yǔ)言(XML, extensible markup language)格式的文檔提供了安全發(fā)布函數(shù)。

        通過對(duì)上述策略精化方法的分析可以看出,現(xiàn)有對(duì)策略精化的研究較少關(guān)注于威脅監(jiān)測(cè)和信息采集領(lǐng)域,且策略精化方法需要在適用領(lǐng)域和自動(dòng)化程度間進(jìn)行權(quán)衡,如圖1所示。由圖1可知,越特定的方法,策略精化的自動(dòng)化程度越高,需要人員參與的程度越低;反之,越通用的方法,策略精化的自動(dòng)化程度越低,需要人員參與的程度越高。

        圖1 策略精化技術(shù)的自動(dòng)化級(jí)別

        3 采集策略精化系統(tǒng)模型

        3.1 采集策略層次模型

        網(wǎng)絡(luò)信息系統(tǒng)通常包括用戶層、服務(wù)層和拓?fù)鋵拥葘哟谓Y(jié)構(gòu),針對(duì)威脅監(jiān)測(cè),各層對(duì)應(yīng)的安全策略分別是高層監(jiān)測(cè)需求、中層采集策略和低層設(shè)備指令,形成采集策略層次模型,如圖2所示。

        采集策略層次模型規(guī)范了復(fù)雜網(wǎng)絡(luò)環(huán)境下所有威脅監(jiān)測(cè)相關(guān)的系統(tǒng)、服務(wù)、實(shí)體間的內(nèi)部結(jié)構(gòu)和相互間的關(guān)系。用戶層表達(dá)了整個(gè)網(wǎng)絡(luò)的安全監(jiān)測(cè)目標(biāo)和需求,即系統(tǒng)和管理活動(dòng)應(yīng)該完成何種監(jiān)測(cè)任務(wù)和安全功能,例如,在指定的網(wǎng)絡(luò)或者指定的主機(jī)上監(jiān)測(cè)某類安全威脅,這一層是編寫安全監(jiān)測(cè)策略的基礎(chǔ)和依據(jù)。服務(wù)層將安全需求實(shí)例化為安全服務(wù),是從系統(tǒng)需求到網(wǎng)絡(luò)配置映射的中間過程。拓?fù)鋵颖磉_(dá)了網(wǎng)絡(luò)設(shè)備、安全設(shè)備和終端等網(wǎng)絡(luò)節(jié)點(diǎn)及其連接關(guān)系,以及在各網(wǎng)絡(luò)節(jié)點(diǎn)上提供了何種監(jiān)測(cè)機(jī)制以滿足上層的安全監(jiān)測(cè)需求,實(shí)現(xiàn)了安全目標(biāo)的細(xì)化。

        圖2 采集策略層次模型

        3.2 采集策略精化定義

        下面分別定義高層監(jiān)測(cè)需求、中層采集策略、低層設(shè)備指令及策略精化規(guī)則和策略模板,為策略精化引擎計(jì)算威脅類型到采集項(xiàng)的精化提供基礎(chǔ)。

        定義 1 高層監(jiān)測(cè)需求為在指定范圍內(nèi)監(jiān)測(cè)指定威脅的需求及執(zhí)行監(jiān)測(cè)的約束條件。

        高層監(jiān)測(cè)需求可用三元組(SCOPE,THREAT_TYPE, CONDITION)表示,即 TDR=(SCOPE, THREAT_TYPE, CONDITION)。其中,SCOPE表示采集范圍的集合,可以是邏輯范圍(如子網(wǎng)、子網(wǎng)類型、服務(wù)、服務(wù)類型、安全域、管理域等),也可以是物理范圍(如地理區(qū)域、行政區(qū)域等);THREAT_TYPE表示需要監(jiān)測(cè)的威脅類型,如THREAT_TYPE={DDoS, Unauthorized Access,Traffic Anomaly, FTP Trojan, … , SQL Injection},其中,DDoS、Unauthorized Access、Traffic Anomaly、FTP Trojan、SQL Injection分別表示分布式拒絕服務(wù)攻擊、非法訪問、流量異常、FTP木馬、SQL注入攻擊;CONDITION表示執(zhí)行威脅監(jiān)測(cè)的約束集,如執(zhí)行威脅監(jiān)測(cè)所需消耗資源的上限,包括計(jì)算、存儲(chǔ)、傳輸和電量等資源限制,可用于限制在數(shù)據(jù)采集和威脅分析階段的資源消耗。

        定義 2 中層采集策略為在何種條件下和何種機(jī)器上,以何種頻率采集何種內(nèi)容。

        中層采集策略可用四元組(DEVICE, COLLECT_ITEM, FREQ, CONDITION)表示,即ICP=(DEVICE, COLLECT_ITEM, FREQ, CONDITION)。其中,DEVICE表示待采集設(shè)備的集合,待采集設(shè)備可以是IP地址、管理員指定的ID等,待采集設(shè)備根據(jù)采集范圍和威脅類型精化得出;COLLECT_ITEM 表示采集項(xiàng)的集合,可以是系統(tǒng)狀態(tài)(如CPU利用率、內(nèi)存利用率、進(jìn)程信息等),也可以是流量信息(如原始流量信息、流量統(tǒng)計(jì)信息等),還可以是日志信息(如操作系統(tǒng)日志、應(yīng)用程序日志等),采集項(xiàng)根據(jù)威脅類型精化得出,具體計(jì)算過程在第4節(jié)介紹;FREQ表示采集項(xiàng)集合中各采集項(xiàng)的采集頻率,對(duì)于系統(tǒng)狀態(tài),采集頻率以實(shí)際采集頻率與固有采集頻率的比值表示,例如,CPU利用率的固有采集頻率為 10次/min,實(shí)際采集頻率為20次/min,則CPU利用率的采集頻率為 2,采集頻率在根據(jù)威脅類型計(jì)算采集項(xiàng)的過程中一起計(jì)算得出,具體計(jì)算過程在第4節(jié)介紹;CONDITION表示執(zhí)行數(shù)據(jù)采集的約束集,包括計(jì)算、存儲(chǔ)、傳輸和電量等資源限制,由高層監(jiān)測(cè)需求中的CONDITION精化得出。

        定義 3 低層設(shè)備指令為在策略執(zhí)行點(diǎn)上執(zhí)行的具體采集指令及采集頻率。

        低層設(shè)備指令可用三元組(AGENT, CMD,FREQ)表示,即LDC=(AGENT, CMD, FREQ)。其中,AGENT表示在待采集設(shè)備上執(zhí)行采集策略的策略執(zhí)行點(diǎn),可以是通用采集軟件(如SNMP的代理、Snort、漏洞掃描工具等),也可以是自研的采集程序(如采集系統(tǒng)狀態(tài)信息、流量采集器、威脅感知器等);CMD表示AGENT可執(zhí)行的具體的采集指令;FREQ表示實(shí)際采集頻率。

        定義4 采集策略精化(CPR, collection policy refinement)為從高層監(jiān)測(cè)需求到低層采集代理可執(zhí)行的采集指令的翻譯過程。該翻譯過程分為 2個(gè)階段,第一階段由高層監(jiān)測(cè)需求翻譯為中層采集策略,該過程是一個(gè)語(yǔ)義變換的過程,是威脅分析函數(shù)的逆函數(shù),也是本文研究的重點(diǎn),具體求解過程在第4節(jié)介紹;第二階段由中層采集策略翻譯為低層設(shè)備指令,該過程是一個(gè)語(yǔ)法變換的過程,可采用基于規(guī)則和查找表的方式計(jì)算,可參考文獻(xiàn)[13,27]。

        定義 6 策略精化規(guī)則集(PRRS, policy refinement rule set)為高層監(jiān)測(cè)需求到中層采集策略、中層采集策略到低層設(shè)備指令之間的精化規(guī)則,包括如下類型的規(guī)則。

        規(guī)則 1 采集范圍、威脅類型、待采集設(shè)備精化規(guī)則,表示采集范圍、威脅類型到待采集設(shè)備的映射。

        規(guī)則 2 威脅類型、采集項(xiàng)精化規(guī)則,表示威脅類型到采集項(xiàng)的映射。

        規(guī)則 3 待采集設(shè)備、策略執(zhí)行點(diǎn)精化規(guī)則,表示待采集設(shè)備到策略執(zhí)行點(diǎn)的映射。

        規(guī)則 4 采集項(xiàng)、采集配置指令精化規(guī)則,表示采集項(xiàng)到采集配置指令映射。

        定義 7 策略模板是存儲(chǔ)結(jié)構(gòu)化策略元素的通用策略,提供有關(guān)策略精化引擎輸入和輸出的必要信息。

        采集策略模板示例如下。

        上述策略模板實(shí)例化后如下。

        detect threat: DDoS; condition: CPU utility < 10%,network bandwidth <10; collect content: OS Log-1,CPU Utility-2, Memory Utility-2, ProcessInfo-1。

        該模板表示監(jiān)測(cè)DDoS攻擊,約束條件為每臺(tái)待采集設(shè)備的CPU利用率占用小于10%,網(wǎng)絡(luò)帶寬占用小于10 KB,采集項(xiàng)為操作系統(tǒng)日志、CPU利用率、內(nèi)存利用率、進(jìn)程信息,采集頻率依次為各項(xiàng)固有采集頻率的1、2、2、1倍。

        策略精化規(guī)則集中規(guī)則的實(shí)例化組成了一系列采集策略,其中,RSTDEV、RDEVAGT、RITEMCMD規(guī)則采用預(yù)定義信息模型方式獲得,RTC規(guī)則采用優(yōu)化計(jì)算方式獲得,在本文第4節(jié)著重介紹。

        3.3 采集策略精化過程

        基于采集策略層次模型的策略精化,從高層監(jiān)測(cè)需求精化為中層采集策略,最終翻譯為低層設(shè)備指令,如圖 3所示,其中①~⑨表示策略精化詳細(xì)流程。

        圖3 策略精化框架

        由高層監(jiān)測(cè)需求到低層設(shè)備指令的精化算法如算法1所示。

        算法1 采集策略精化算法CPR(s,t,c)

        輸入 高層監(jiān)測(cè)需求TDR(s,t,c),目標(biāo)網(wǎng)絡(luò)中的設(shè)備集合D(d1, …,dn)

        采集策略精化算法具體步驟介紹如下。

        步驟 1 監(jiān)測(cè)需求提取與待采集設(shè)備確定(算法1的2)~7))。提取高層監(jiān)測(cè)需求中的采集范圍、威脅類型、執(zhí)行威脅監(jiān)測(cè)的約束集,使用RSTDEV規(guī)則,查找到待采集設(shè)備集合。

        步驟2 策略庫(kù)查找(算法1的9))。根據(jù)威脅類型和執(zhí)行威脅監(jiān)測(cè)的約束集,查找對(duì)應(yīng)的策略實(shí)例,如果查找成功,則跳轉(zhuǎn)到步驟 4,如果查找失敗,則跳轉(zhuǎn)到步驟3。

        步驟 3 策略精化引擎生成新采集策略并存入采集庫(kù)(算法1的11)~14))。將威脅類型、執(zhí)行威脅監(jiān)測(cè)的約束集和待采集設(shè)備的當(dāng)前運(yùn)行狀態(tài)信息作為策略精化引擎的輸入,結(jié)合采集代理的采集能力、威脅特征等信息,策略精化引擎計(jì)算采集收益和采集成本,生成適用于待采集設(shè)備當(dāng)前運(yùn)行狀況的最優(yōu)的采集項(xiàng)集合和各采集項(xiàng)對(duì)應(yīng)的采集頻率,其具體計(jì)算過程在第4節(jié)介紹。最后,將威脅類型、待采集設(shè)備的當(dāng)前運(yùn)行狀態(tài)信息、采集項(xiàng)及對(duì)應(yīng)的采集頻率集合作為一條實(shí)例化采集策略,存儲(chǔ)到策略庫(kù)中,對(duì)策略庫(kù)進(jìn)行動(dòng)態(tài)擴(kuò)充。

        步驟4 中層策略到低層策略翻譯(算法1的16)~17))。對(duì)于每個(gè)待采集設(shè)備,根據(jù) RDEVAGT規(guī)則,獲取策略執(zhí)行點(diǎn)信息,然后根據(jù)策略庫(kù)中的采集項(xiàng)及對(duì)應(yīng)的采集頻率,使用RITEMCMD規(guī)則,將采集項(xiàng)翻譯為采集配置指令,最后,在各策略執(zhí)行點(diǎn)上,下發(fā)采集配置指令。

        4 基于采集成本和收益平衡的策略精化

        4.1 RTC計(jì)算方法概述

        本節(jié)提出了一種基于優(yōu)化算法的威脅類型到采集項(xiàng)的精化方法,研究在不同資源水平下,執(zhí)行采集策略的收益和因采集引起的資源消耗損失之間的平衡。通過優(yōu)化求解,使策略精化引擎依據(jù)各待采集設(shè)備的資源水平生成相應(yīng)的采集策略,提高采集收益,減少資源消耗。

        從威脅類型到采集項(xiàng)的精化主要考慮采集收益和采集成本這2個(gè)方面的因素,其中,采集收益用于衡量采集信息對(duì)威脅監(jiān)測(cè)的貢獻(xiàn)度,采集有效數(shù)據(jù)越多,收益越大。一般情況,采集收益隨采集項(xiàng)的采集頻率單調(diào)遞增,而邊際收益隨采集頻率單調(diào)遞減,即采集收益函數(shù)應(yīng)滿足以下限制條件。

        1) 采集收益的一階導(dǎo)數(shù)大于或等于0。

        2) 采集收益的二階導(dǎo)數(shù)小于或等于0。

        本文的采集收益定義為

        其中,λ表示模型的系數(shù),λ>0;ci表示采集項(xiàng)i的采集貢獻(xiàn)度,ci> 0 ;xi表示采集項(xiàng)i的采集頻率,xi≥ 0 ,采集頻率分為連續(xù)和離散2種類型,當(dāng)采集項(xiàng)為系統(tǒng)狀態(tài)類或日志類時(shí),采集頻率為連續(xù)值;當(dāng)采集項(xiàng)為流量時(shí),采集頻率取離散值0或1,xi= 0 時(shí),表示不對(duì)采集項(xiàng)i進(jìn)行采集。根據(jù)式(2)和式(3)可知,式(1)滿足限制條件1)和2)。

        采集成本衡量因采集引起的待采集設(shè)備的資源消耗,包括待采集設(shè)備在計(jì)算資源、存儲(chǔ)資源和傳輸資源等方面的消耗,一般認(rèn)為采集消耗的資源越少越好,尤其是在資源受限環(huán)境,例如,天地一體化網(wǎng)絡(luò)環(huán)境中衛(wèi)星的計(jì)算資源和存儲(chǔ)資源十分有限,用于管理的信令大小僅有數(shù)百字節(jié),不能因采集影響管理網(wǎng)絡(luò)的正常運(yùn)行。采集成本定義為

        下面,分別從采集收益和采集成本這2個(gè)方面進(jìn)行介紹。

        4.2 采集收益

        由于同一采集項(xiàng)對(duì)監(jiān)測(cè)多種威脅均有相關(guān)性,因此需要對(duì)采集項(xiàng)對(duì)威脅監(jiān)測(cè)的貢獻(xiàn)程度進(jìn)行整體考慮,參考軟件工程中的非功能性需求(NFR, non-functional requirement)框架[28],將威脅監(jiān)測(cè)作為最高層的安全目標(biāo),將待監(jiān)測(cè)的威脅類型作為軟目標(biāo)(softgoal),將采集項(xiàng)作為操作(operationalization),參考軟件目標(biāo)依賴圖(SIG,softgoal interdependency graph)設(shè)計(jì)威脅依賴圖(TIG, threat interdependency graph),如圖4所示。

        TIG定義為

        其中,V∈{TMG, TTG, CT}是頂點(diǎn)集合,TMG代表威脅監(jiān)測(cè)目標(biāo)的集合,是圖4中的根節(jié)點(diǎn),TTG代表威脅類型的集合,是圖 4中的中間層節(jié)點(diǎn),CT代表采集項(xiàng)集合,是圖4中的葉子節(jié)點(diǎn);E是邊e的集合,e=(v1,v2)表示v1和v2間具有連接關(guān)系,其中,v1,v2∈V。

        本文參考文獻(xiàn)[29]中的威脅分類方式和檢測(cè)方法,添加了威脅類型對(duì)于安全目標(biāo)的影響程度。為計(jì)算采集項(xiàng)對(duì)威脅監(jiān)測(cè)的影響,參考Affleck等[30]對(duì) NFR框架中操作化得分的定量計(jì)算,利用遞推法求底層采集項(xiàng)對(duì)監(jiān)測(cè)威脅的貢獻(xiàn)程度。

        首先,威脅類型定義為

        其中,T T Gweight為該威脅類型對(duì)于安全目標(biāo)的影響權(quán)重,如圖4中根節(jié)點(diǎn)到中間層節(jié)點(diǎn)的數(shù)值,其數(shù)值越大,代表對(duì)網(wǎng)絡(luò)安全的影響程度越高。

        圖4 威脅依賴圖示例

        采集項(xiàng)的貢獻(xiàn)度定義為

        利用圖4所示的TIG,計(jì)算采集項(xiàng)CPU利用率的貢獻(xiàn)度,CPU利用率與拒絕服務(wù)攻擊和流量異常均有相關(guān)性,CTstore=(0.80×0.60)+(0.50×0.30)=0.63,代表CPU利用率對(duì)于威脅監(jiān)測(cè)的貢獻(xiàn)度是0.63。

        對(duì)于系統(tǒng)狀態(tài)類和流量類采集項(xiàng)與威脅的關(guān)聯(lián)度,可以根據(jù)KDD99數(shù)據(jù)集[31]中連接的41個(gè)特征劃分,并用其異常程度定量描述采集項(xiàng)與威脅的相關(guān)度。

        對(duì)于日志類采集項(xiàng)與威脅的關(guān)聯(lián)度,可定義為

        其中,validFieldNumi為采集項(xiàng)i的威脅分析有效字段數(shù),fieldNumi為采集項(xiàng)i記錄的總?cè)罩咀侄螖?shù),validRatei為日志有效率,即可被威脅分析使用的有效記錄數(shù)與總采集記錄數(shù)的比值。

        4.3 采集成本

        因采集引起的待采集對(duì)象的成本主要從計(jì)算資源、存儲(chǔ)資源和傳輸資源這3個(gè)方面進(jìn)行考慮。

        1) 計(jì)算資源

        利用Perf等性能分析工具,對(duì)不同采集項(xiàng)單獨(dú)進(jìn)行采集時(shí)捕獲其CPU利用率(task-clock-msecs),預(yù)估各采集項(xiàng)的計(jì)算資源消耗。各采集項(xiàng)的計(jì)算成本定義為

        其中,ai為采集項(xiàng)i的計(jì)算成本,xi為采集項(xiàng)i的采集頻率。

        2) 存儲(chǔ)資源

        在進(jìn)行本地緩存時(shí),各采集項(xiàng)的存儲(chǔ)成本定義為

        其中,ni為采集項(xiàng)i的字節(jié)數(shù)。

        3) 傳輸資源

        與采集信息傳輸相關(guān)的時(shí)延有處理時(shí)延、排隊(duì)時(shí)延、傳輸時(shí)延、傳播時(shí)延等,當(dāng)前網(wǎng)絡(luò)帶寬為BW,則各采集項(xiàng)的傳輸成本定義為

        總采集成本如式(4)所示,其中,xi是決策屬性,代表采集頻率。當(dāng)采集項(xiàng)i為系統(tǒng)狀態(tài)和日志時(shí),xi∈ [ 0,+ ∞) ;當(dāng)采集項(xiàng)i為流量時(shí),xi∈ { 0,1},“0”代表不采集,“1”代表采集。采集頻率乘以預(yù)設(shè)固有采集頻率等于實(shí)際采集頻率。

        wc、ws和wn是3個(gè)權(quán)重,分別代表計(jì)算資源、存儲(chǔ)資源和傳輸資源對(duì)于成本計(jì)算的重要程度,由于計(jì)算資源、存儲(chǔ)資源和傳輸資源的變化是可逆的,因此可以采用自適應(yīng)加權(quán)。當(dāng)上述三者中的某一項(xiàng)剩余資源減少得快時(shí),會(huì)導(dǎo)致其對(duì)采集成本的影響較大。wc、ws、wn分別定義為

        其中,C、S和N分別是采集代理的當(dāng)前剩余的計(jì)算資源百分比、剩余的存儲(chǔ)資源百分比和剩余的傳輸資源百分比。當(dāng)某一項(xiàng)資源剩余情況較好時(shí),會(huì)導(dǎo)致采集方案對(duì)該項(xiàng)采集成本的影響不明顯,并且可以限制在不同資源水平下的采集成本,例如,在其他條件相同的情況下,電量充沛時(shí)的采集成本較低,電量剩余量少時(shí)的采集成本增加。C、S分別定義為

        4.4 目標(biāo)函數(shù)

        目標(biāo)函數(shù)定義為

        其中,X表示系統(tǒng)狀態(tài)類和日志類的采集頻率集合,是連續(xù)變量,取“0”代表不采集,其他值代表采集頻率;Y表示流量類的采集頻率,取“0”代表不采集,取“1”代表采集。約束條件表示計(jì)算資源消耗小于或等于存儲(chǔ)資源消耗小于或等于傳輸資源消耗小于或等于

        4.5 基于遺傳算法的采集項(xiàng)精化方法

        RTC的精化是一個(gè)離散型和連續(xù)型混合的非線性優(yōu)化問題,求解該問題的方法有數(shù)學(xué)方法、演化計(jì)算方法等,其中,數(shù)學(xué)方法包括罰函數(shù)法、可行方向法、逐步二次規(guī)劃法等,演化計(jì)算方法包括遺傳算法、粒子群算法、文化算法等。演化計(jì)算用概率的變遷規(guī)則來控制搜索的方向,在概率意義上朝最優(yōu)解方向靠近,在有限時(shí)間內(nèi)可得到近似最優(yōu)解,本文采用遺傳算法對(duì)威脅類型到采集項(xiàng)進(jìn)行精化,主要分為如下3個(gè)部分。

        1) 編碼

        編碼是根據(jù)問題的解空間確定染色體中個(gè)體表現(xiàn)型的長(zhǎng)度,本文采用二進(jìn)制編碼作為基因型編碼,若采集頻率取值范圍為[a,b],精度為小數(shù)點(diǎn)后l位,則二進(jìn)制編碼長(zhǎng)度k需滿足

        對(duì)式(17)進(jìn)行解析,得到k的取值范圍為

        本文方案中,對(duì)于系統(tǒng)狀態(tài)類和日志類采集項(xiàng)的采集頻率為連續(xù)型,其取值范圍為[0,10],設(shè)定精度為小數(shù)點(diǎn)后 4位,按照式(18),二進(jìn)制編碼串長(zhǎng)度為17;對(duì)于流量類采集項(xiàng)的采集頻率為離散型,取值為0和1,二進(jìn)制編碼串長(zhǎng)度為1。

        2) 適應(yīng)度函數(shù)

        適應(yīng)度函數(shù)是對(duì)算法所產(chǎn)生的染色體進(jìn)行評(píng)價(jià),并基于適應(yīng)度值選擇染色體的函數(shù),本文采用式(16)中的目標(biāo)函數(shù)作為適應(yīng)度函數(shù),采用式(16)中的約束函數(shù)判斷染色體中的個(gè)體是否是可行解,若不滿足約束函數(shù),則標(biāo)記為非可行解,在對(duì)當(dāng)代種群的最優(yōu)個(gè)體做記錄等操作時(shí)不考慮非可行解。

        3) 遺傳算子

        遺傳算子分為交叉算子、變異算子和選擇算子。交叉操作在種群中隨機(jī)選取2個(gè)個(gè)體作為父?jìng)€(gè)體,并把2個(gè)父?jìng)€(gè)體的部分碼值進(jìn)行交換操作。目前主流的交叉算子包括單點(diǎn)交叉、雙點(diǎn)交叉、均勻交叉、算術(shù)交叉等,本文采用經(jīng)典的單點(diǎn)交叉,以最大限度地保存父?jìng)€(gè)體的優(yōu)勢(shì)。對(duì)于變異算子,本文采用以變異概率對(duì)染色體中的個(gè)體進(jìn)行補(bǔ)運(yùn)算,以完成二進(jìn)制編碼中新搜索領(lǐng)域的開辟。除上述交叉算子和變異算子外,還需確定合適的交叉概率Pc和變異概率Pm,綜合考慮收斂速度、產(chǎn)生新個(gè)體的能力,達(dá)到防止算法陷入局部最優(yōu)的目的。目前 2個(gè)概率值主要依靠經(jīng)驗(yàn)的方法得到,一般情況下Pc取值范圍為[0.40, 0.99],Pm取值范圍為[0.000 1,0.100 0][32]。選擇算子依據(jù)個(gè)體適應(yīng)度值選擇在下一代中被保留還是淘汰,目前主流的選擇算子有輪盤賭選擇、排序選擇、期待值選擇等,本文選擇輪盤賭方法,使適應(yīng)度值大的染色體被選中的概率大。

        5 模擬實(shí)驗(yàn)

        5.1 實(shí)驗(yàn)方案

        本文針對(duì)高層監(jiān)測(cè)需求中的威脅類型到中層采集策略的采集項(xiàng)和采集頻率的精化進(jìn)行模擬實(shí)驗(yàn)。實(shí)驗(yàn)平臺(tái)為:Intel(R) Core(TM) i7-7500U 2.70 GHz,8 GB 內(nèi)存,1 TB 存儲(chǔ),Windows 10操作系統(tǒng),Python 3.6.5軟件。通過設(shè)置不同的高層監(jiān)測(cè)需求,驗(yàn)證監(jiān)測(cè)不同威脅類型和待采集設(shè)備處于不同資源水平情況下,精化后的采集項(xiàng)和頻率的合理性。

        表 1為實(shí)驗(yàn)中各采集項(xiàng)的采集貢獻(xiàn)度。對(duì)于DDoS攻擊,在受到該類攻擊后,系統(tǒng)的計(jì)算和存儲(chǔ)資源水平受到影響,所以 CPU占用率和內(nèi)存利用率這 2項(xiàng)采集項(xiàng)的貢獻(xiàn)度較大,而端到端的 IP流量也有利于分析該類攻擊,所以其貢獻(xiàn)度也較大;對(duì)于非法訪問,在受到該類攻擊時(shí),總體流量不會(huì)有明顯變化,所以端到端的 IP流量貢獻(xiàn)度較小,但是針對(duì)非法訪問的服務(wù)流量需要著重采集,所以特定服務(wù)的業(yè)務(wù)流量采集項(xiàng)的貢獻(xiàn)度較大;對(duì)于FTP木馬,采集FTP服務(wù)日志及特定服務(wù)的業(yè)務(wù)流量有利于分析該類威脅,所以這2項(xiàng)的貢獻(xiàn)度較高。

        表1 采集項(xiàng)采集貢獻(xiàn)度驗(yàn)證實(shí)驗(yàn)參數(shù)

        表2為各采集項(xiàng)每次采集的計(jì)算、存儲(chǔ)、傳輸?shù)某杀?。日志類采集?xiàng)以讀取文件方式進(jìn)行采集,占用非常少的計(jì)算資源,在存儲(chǔ)和傳輸成本方面,每次增量采集的日志量一般不大,所以分別估算為0.192和0.128;流量類的端到端的IP流量采集方式占用計(jì)算資源較日志類高,同時(shí)過濾某一特定服務(wù)的業(yè)務(wù)流量也較端到端的 IP流量采集方式計(jì)算成本大,所以這2項(xiàng)的計(jì)算成本分別估算為0.200和0.600,在存儲(chǔ)和傳輸成本方面,端到端的 IP流量采集方式最高,估算為 0.300,特定服務(wù)的業(yè)務(wù)流量采集較全采集的存儲(chǔ)和傳輸成本低,估算為0.128;系統(tǒng)狀態(tài)類采集項(xiàng)以系統(tǒng)調(diào)用或讀文件方式進(jìn)行采集,計(jì)算成本適中,估算為 0.300,在存儲(chǔ)和傳輸成本方面,由于存儲(chǔ)狀態(tài)類信息占用的空間少,因此較其他類低很多,估算為0.040。

        表2 采集項(xiàng)采集成本驗(yàn)證實(shí)驗(yàn)參數(shù)

        實(shí)驗(yàn)分為如下3個(gè)部分。

        1) 面對(duì)不同威脅類型時(shí),生成適用于監(jiān)測(cè)該類威脅的個(gè)性化的采集項(xiàng)及對(duì)應(yīng)的采集頻率。具體而言,在待采集設(shè)備處于相同資源水平時(shí),例如,當(dāng)前剩余資源非常豐富,即剩余的計(jì)算資源百分比、存儲(chǔ)資源百分比和傳輸資源百分比均為 1,分別監(jiān)測(cè)DDoS、非法訪問、流量異常、FTP木馬攻擊,或者一些組合攻擊,觀察和分析策略精化引擎生成的采集項(xiàng)及對(duì)應(yīng)的采集頻率情況。

        2) 在監(jiān)測(cè)同一種威脅時(shí),待采集設(shè)備處于不同資源水平,采集策略精化引擎生成的采集項(xiàng)及對(duì)應(yīng)采集頻率情況。

        3) 在監(jiān)測(cè)同一種威脅時(shí),采用遺傳算法、粒子群算法、窮舉法和隨機(jī)法在不同規(guī)模的采集項(xiàng)情況下進(jìn)行精化,比較精化生成采集項(xiàng)及采集頻率的時(shí)間和目標(biāo)函數(shù)的值。

        5.2 實(shí)驗(yàn)及結(jié)果分析

        在待采集設(shè)備上,使用表1和表2所示的實(shí)驗(yàn)參數(shù)針對(duì)4類攻擊進(jìn)行策略精化,系統(tǒng)參數(shù)λ=2,得到每個(gè)采集項(xiàng)的采集頻率如圖5所示。對(duì)于4類攻擊均以不同頻率采集CPU占用率和內(nèi)存利用率;對(duì)于非法訪問和FTP木馬等攻擊,分別以不同頻率采集FTP服務(wù)日志和FTP的業(yè)務(wù)流量;對(duì)于流量異常攻擊,采集端到端的IP流量;對(duì)于DDoS、非法訪問和流量異常這3類攻擊,均以不同頻率采集系統(tǒng)日志。

        圖6為待采集設(shè)備處于不同計(jì)算資源水平時(shí)針對(duì)DDoS的監(jiān)測(cè),即在不同約束條件下進(jìn)行采集策略精化,得到每個(gè)采集項(xiàng)的采集頻率。在計(jì)算資源水平較低時(shí),計(jì)算資源在成本計(jì)算的權(quán)重較高,為達(dá)到最大的采集收益,選擇較少占用計(jì)算資源的系統(tǒng)日志和端到端的 IP流量等采集項(xiàng),且其采集頻率較高;當(dāng)計(jì)算資源水平升高后,計(jì)算資源在成本計(jì)算的權(quán)重降低,選擇較多占用計(jì)算資源的系統(tǒng)狀態(tài)類采集項(xiàng),且其采集頻率隨計(jì)算資源水平升高而逐漸升高。

        圖5 監(jiān)測(cè)不同威脅類型精化生成的采集項(xiàng)及頻率

        圖6 不同計(jì)算資源水平精化生成的采集項(xiàng)及頻率

        圖7為待采集設(shè)備處于不同傳輸資源水平時(shí)針對(duì)流量異常的監(jiān)測(cè),即在不同約束條件下進(jìn)行采集策略精化,得到系統(tǒng)狀態(tài)日志采集頻率變化情況,隨著傳輸資源水平的升高,系統(tǒng)日志采集項(xiàng)的采集頻率逐漸升高。

        在對(duì)比實(shí)驗(yàn)中,采集項(xiàng)頻率范圍設(shè)置為[0, 10]。使用隨機(jī)生成采集項(xiàng)和采集頻率模擬未使用本文方案進(jìn)行精化的方法。窮舉法是對(duì)各采集項(xiàng)取1~10間的整數(shù)組合進(jìn)行窮舉。粒子群算法采用本文提出的目標(biāo)函數(shù)作為其適應(yīng)度函數(shù),進(jìn)行100個(gè)粒子的200輪迭代,個(gè)體經(jīng)驗(yàn)系數(shù)和群體經(jīng)驗(yàn)的加速系數(shù)均設(shè)置為 1,慣性參數(shù)也設(shè)置為 1,采用 Sigmoid函數(shù),根據(jù)速度分量決定離散型決策變量在迭代中取1或0的概率[32]。遺傳算法采用第4節(jié)所述的100個(gè)個(gè)體的200輪迭代,交叉概率Pc=0.8,變異概率Pm=0.000 1。

        圖7 不同傳輸資源水平精化生成的系統(tǒng)日志采集項(xiàng)的采集頻率

        圖8和圖9為不同算法的采集策略精化的計(jì)算時(shí)間和效果比較。圖8和圖9的橫坐標(biāo)均為候選采集項(xiàng)數(shù)量,既有連續(xù)型決策變量,也有離散型決策變量;圖8縱坐標(biāo)為計(jì)算時(shí)間,以秒為單位,圖9縱坐標(biāo)為目標(biāo)函數(shù)值,度量采集效果。

        圖8 不同算法的采集策略精化計(jì)算時(shí)間比較

        由圖8和圖9可知,隨機(jī)法生成采集項(xiàng)的計(jì)算時(shí)間接近為0 s,但是會(huì)使目標(biāo)函數(shù)值小于0,即采集收益小于采集成本,且隨著采集項(xiàng)數(shù)的增加,目標(biāo)函數(shù)值不斷減少,即采集收益增加甚微,但是采集成本增大快。窮舉法的計(jì)算時(shí)間將呈指數(shù)級(jí)增長(zhǎng)趨勢(shì),在采集項(xiàng)超過 6項(xiàng)時(shí)遠(yuǎn)高于其他算法,不符合精化的實(shí)時(shí)性需求。粒子群算法在計(jì)算時(shí)間方面與遺傳算法相仿,但是采集效果劣于遺傳算法。

        圖9 不同算法的采集策略精化效果比較

        綜上,遺傳算法在計(jì)算時(shí)間上與粒子群算法持平,高于隨機(jī)法,遠(yuǎn)低于窮舉法。但是在目標(biāo)函數(shù)求解效果方面,遺傳算法在4種算法中最優(yōu),并且隨著采集項(xiàng)數(shù)的增加,其采集效果呈上升趨勢(shì),即可供選擇的采集項(xiàng)數(shù)增加,采集收益較采集成本增加快,不會(huì)使采集造成的資源消耗過量增加。

        6 結(jié)束語(yǔ)

        本文針對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境下設(shè)備數(shù)量繁多且各設(shè)備資源不均衡的問題,提出了一種面向威脅監(jiān)測(cè)的采集策略精化方法,該方法引入了策略模板,考慮了待采集設(shè)備的當(dāng)前計(jì)算資源水平、存儲(chǔ)資源水平和傳輸資源水平等因素,通過設(shè)置采集貢獻(xiàn)度和采集成本,以混合優(yōu)化計(jì)算指定威脅類型的采集項(xiàng)及各采集項(xiàng)對(duì)應(yīng)的采集頻率。模擬實(shí)驗(yàn)結(jié)果表明,該采集策略精化方法可以有效地生成采集方案,并且在資源水平較低時(shí),還可自適應(yīng)地減少采集項(xiàng),降低采集頻率。

        雖然基于策略模板和混合優(yōu)化計(jì)算的方式是一種有效的策略精化方法,但本文缺乏對(duì)計(jì)算、存儲(chǔ)和傳輸?shù)瘸杀镜母呔攘炕?。因此,進(jìn)一步的研究工作將重點(diǎn)分析各采集項(xiàng)的采集成本,并增加對(duì)能耗成本的量化計(jì)算。

        猜你喜歡
        精化計(jì)算資源威脅
        基于模糊規(guī)劃理論的云計(jì)算資源調(diào)度研究
        人類的威脅
        改進(jìn)快速稀疏算法的云計(jì)算資源負(fù)載均衡
        受到威脅的生命
        n-精化與n-互模擬之間相關(guān)問題的研究
        基于Wi-Fi與Web的云計(jì)算資源調(diào)度算法研究
        面對(duì)孩子的“威脅”,我們要會(huì)說“不”
        家教世界(2017年11期)2018-01-03 01:28:49
        耦合分布式系統(tǒng)多任務(wù)動(dòng)態(tài)調(diào)度算法
        n-精化關(guān)系及其相關(guān)研究
        電子世界(2017年2期)2017-02-17 00:54:00
        Why Does Sleeping in Just Make Us More Tired?
        狠色人妻丝袜中文字幕| 中文字幕不卡高清免费| 亚洲AV秘 无码一区二区在线 | 毛片av在线播放亚洲av网站| 久久久精品人妻一区亚美研究所| 精品人妻无码视频中文字幕一区二区三区 | 福利视频一二三在线观看| 国产精品久久久久影视不卡| 国产av三级精品车模| 天天综合天天爱天天做| 精品无码久久久久成人漫画| 国产91 对白在线播放九色 | 亚洲不卡毛片在线观看| 亚洲精品粉嫩美女一区| 婷婷中文字幕综合在线| 国产精品无码专区综合网| 蜜桃激情视频一区二区| 亚洲综合网国产精品一区| 色欲av自慰一区二区三区| 亚洲精品成人国产av| 东京热加勒比国产精品| 精品少妇一区二区三区免费| 两个人看的www免费视频中文| 免费在线亚洲视频| 性视频毛茸茸女性一区二区| 国产高清一区二区三区四区色| 欧美成人免费全部| 亚洲国产精品悠悠久久琪琪| 国产一区二区三区精品乱码不卡| 蜜臀亚洲av无码精品国产午夜.| 色妺妺在线视频| 日本在线观看不卡| 亚洲六月丁香色婷婷综合久久 | 黄瓜视频在线观看| 亚洲爆乳大丰满无码专区| 久久青青草原一区网站| 国产69精品久久久久app下载| 久久久久亚洲av无码网站| 国产一级黄色av影片| 久久精品人妻少妇一二三区| 黄色a级国产免费大片|