安鑫 滕子貽 于海 呂陽 呂軍

（國(guó)網(wǎng)遼寧省電力有限公司信息通信分公司 遼寧省沈陽市 110000）

近年來，我國(guó)網(wǎng)絡(luò)系統(tǒng)規(guī)模已經(jīng)逐漸擴(kuò)大，并呈現(xiàn)出分布式、復(fù)雜化等特點(diǎn)隨著各種新型網(wǎng)絡(luò)技術(shù)的研發(fā)和應(yīng)用，實(shí)現(xiàn)了網(wǎng)絡(luò)系統(tǒng)多元化發(fā)展。但也出現(xiàn)了多樣化網(wǎng)絡(luò)安全問題，諸如軟件病毒、黑客入侵等，導(dǎo)致信息泄露、機(jī)密文件被盜等，網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型則能夠完善網(wǎng)絡(luò)安全系統(tǒng)，有效提高網(wǎng)絡(luò)安全性，值得推廣應(yīng)用。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知

網(wǎng)絡(luò)安全態(tài)勢(shì)感知 (NSSA)是近年來興起的一種新型網(wǎng)絡(luò)安全技術(shù)，不僅能夠動(dòng)態(tài)感知網(wǎng)絡(luò)全局安全狀況，還能夠解決簡(jiǎn)單的數(shù)據(jù)源單一、虛警率高等問題。而網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型則能夠解決態(tài)勢(shì)感知問題，能夠營(yíng)造出安全可靠的網(wǎng)絡(luò)環(huán)境[1]。網(wǎng)絡(luò)安全態(tài)勢(shì)技術(shù)結(jié)合數(shù)據(jù)融合方法、神經(jīng)網(wǎng)絡(luò)技術(shù)和D-S證據(jù)理論等能夠建立起功能完善的感知模型，從而有效處理NSSA問題，并評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知 (NSSA)模型包括數(shù)據(jù)采集、數(shù)據(jù)處理及態(tài)勢(shì)感知等組成部分[2]。

該模型不僅能夠?qū)崿F(xiàn)數(shù)據(jù)采集及融合，還能夠?qū)崿F(xiàn)特征選擇、服務(wù)態(tài)勢(shì)感知和網(wǎng)絡(luò)態(tài)勢(shì)感知，在多個(gè)異構(gòu)傳感器作用下還能夠應(yīng)對(duì)各種數(shù)據(jù)攻擊問題，并結(jié)合數(shù)據(jù)融合方法、特征選擇等確定網(wǎng)絡(luò)威脅態(tài)勢(shì)。

2 網(wǎng)絡(luò)安全態(tài)勢(shì)多元融合方法

為保證數(shù)據(jù)網(wǎng)絡(luò)的多樣性及完整性，必須利用數(shù)據(jù)多元融合方法對(duì)數(shù)據(jù)信息進(jìn)行多元融合及實(shí)時(shí)處理，以網(wǎng)絡(luò)安全態(tài)勢(shì)感知(NSSA)模型，然后在該基礎(chǔ)上建立網(wǎng)絡(luò)安全系統(tǒng)。BP網(wǎng)絡(luò)的應(yīng)用能夠有效實(shí)現(xiàn)多源數(shù)據(jù)融合，該網(wǎng)絡(luò)的應(yīng)用原理在于利用加權(quán)分類方法確定數(shù)據(jù)特征距離、計(jì)算數(shù)據(jù)特征間的支持度，然后利用特征提取方法將數(shù)據(jù)的維度降低，最后形成單元數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)感知 (NSSA)模型，但BP網(wǎng)絡(luò)的應(yīng)用還存在訓(xùn)練時(shí)間長(zhǎng)、實(shí)時(shí)性差等問題[3]。

還有學(xué)者使用“證據(jù)支持貼近度過濾器”來降低信息融合復(fù)雜度，從而解決各種數(shù)據(jù)信息融合問題，然后在該基礎(chǔ)上利用“D-S”理論及算法處理低置信度高沖突問題，最終建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知(NSSA)模型，該方法也存在很多不足，不能有效處理復(fù)雜性數(shù)據(jù)、不確定性數(shù)據(jù)[4]。但與BP網(wǎng)絡(luò)相比更能夠?qū)哟位治觥⒃u(píng)估整體網(wǎng)絡(luò)安全態(tài)勢(shì)。

本研究基于D-S 融合規(guī)則、融合方法提出了一種新的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法，能夠在原有的基礎(chǔ)上提高態(tài)勢(shì)評(píng)估準(zhǔn)確性。基于D-S的多源數(shù)據(jù)融合，能夠組合處理多個(gè)數(shù)據(jù)源中的相同事件，然后計(jì)算出整體事件發(fā)生率，但真實(shí)網(wǎng)絡(luò)環(huán)境中存在不同安全傳感器，所以選用的檢測(cè)程度和檢測(cè)力度也不同，需要根據(jù)實(shí)際選擇檢測(cè)方法，以提高檢測(cè)可信程度[5]。

基于D-S的多元數(shù)據(jù)融合過程中需要應(yīng)用蟻群算法，即蟻群算法與D-S 融合規(guī)則的結(jié)合，這樣不僅能夠有效處理多源數(shù)據(jù)融合問題，還能夠提高尋優(yōu)能力、不同數(shù)據(jù)融合可信度。

蟻群算法 ( ACO) 中可設(shè)尋優(yōu)過程中有M只螞蟻，每只螞蟻都有一個(gè)k維數(shù)據(jù)源組合，k表示數(shù)據(jù)源個(gè)數(shù)，而“Amk”則表示第m只螞蟻評(píng)價(jià)一個(gè)k維數(shù)據(jù)源組合，然后計(jì)算數(shù)據(jù)源融合優(yōu)先級(jí)[6]。計(jì)算公式如下：

“Ii”——一個(gè)數(shù)據(jù)源的整體組合數(shù)據(jù)集

“Ii(t)”——Ii在第t次迭代時(shí)被選中信息素

數(shù)據(jù)集選擇后不能重復(fù)性使用，所以可根據(jù)局部最優(yōu)解情況選擇數(shù)據(jù)集，選擇時(shí)的計(jì)算方法如下：

每只螞蟻都可以根據(jù)相應(yīng)的頻率茲選擇兩個(gè)概率函數(shù)，可將第一個(gè)函數(shù)頻率設(shè)為“θ”，第二個(gè)函數(shù)頻率設(shè)為1-θ，這樣便能夠?qū)崿F(xiàn)對(duì)多樣化網(wǎng)絡(luò)信息的搜索，然后結(jié)合相關(guān)計(jì)算公式計(jì)算出全局最優(yōu)可能性，最后選擇相應(yīng)的權(quán)值[7]。

對(duì)最終選出的權(quán)值進(jìn)行迭代處理，以得出數(shù)據(jù)源選擇概率，并計(jì)算出數(shù)據(jù)源重要程度，重要程度表達(dá)式為W=(w1, w2,…,wn)。

根據(jù)上文求解，結(jié)合D-S證據(jù)組合規(guī)則對(duì)數(shù)據(jù)融合進(jìn)行改進(jìn)，具體如下：

其中，

3 網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型建立方法及過程

本研究將D-S 理論和蟻群算法結(jié)合，然后對(duì)數(shù)據(jù)進(jìn)行預(yù)處理，以達(dá)到降低不同數(shù)據(jù)源融合難度的目標(biāo)，并提高數(shù)據(jù)采集準(zhǔn)確性。D-S理論和蟻群算法結(jié)合形式的網(wǎng)絡(luò)安全態(tài)勢(shì)感知需要在融合后對(duì)數(shù)據(jù)進(jìn)行特征選擇，以降低特征空間維數(shù)，并將無用、冗余、最少使用的特征刪除，降低無用的、從而減少計(jì)算復(fù)雜性。具體如下：

3.1 特征選擇

根據(jù)D-S準(zhǔn)則和蟻群算法選擇最有效的特征，這樣不僅能夠降低特征空間維數(shù)，還能夠提高安全事件檢測(cè)效率及數(shù)據(jù)處理實(shí)時(shí)性?！疤卣鬟x擇”的關(guān)鍵在于“神經(jīng)網(wǎng)絡(luò)”，具有良好非線性映射能力的神經(jīng)網(wǎng)絡(luò)，能夠準(zhǔn)確計(jì)算出任意函數(shù)，從而確定對(duì)應(yīng)的特征選擇領(lǐng)域[8]。本研究選用了BP神經(jīng)網(wǎng)絡(luò)系統(tǒng)，該神經(jīng)網(wǎng)絡(luò)系統(tǒng)能夠?qū)y(cè)試集中的輸入數(shù)據(jù)特征、最終輸出結(jié)果等進(jìn)行檢測(cè)，并刪除冗余、不重要的特征，最終得出,最優(yōu)化的特征子集。

BP神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)由隱層節(jié)點(diǎn)數(shù)量決定，一個(gè)隱含層的BP網(wǎng)絡(luò)可逼近閉區(qū)間內(nèi)的任一連續(xù)函數(shù)，簡(jiǎn)單來說就是一個(gè)三層的BP網(wǎng)絡(luò)能夠映射出n維、m維[9]。本文選用三層網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行特征選擇，包括輸入層→隱層→輸出層，具體節(jié)點(diǎn)輸出如下：

（1）隱層節(jié)點(diǎn)輸出：

“n”——輸入層節(jié)點(diǎn)數(shù)量；

“q”——隱層節(jié)點(diǎn)數(shù)量；

“m”——輸出層節(jié)點(diǎn)數(shù)量；

“vki”——輸入層與隱層之間的權(quán)值；

“wjk”——隱層與輸出層之間的權(quán)值；

人們對(duì)繼續(xù)教育的需求從以往注重學(xué)歷補(bǔ)償?shù)浆F(xiàn)階段的以職業(yè)技能提高和職業(yè)素養(yǎng)提升為主，逐步向終身化的繼續(xù)教育目標(biāo)發(fā)展。如何提供適合社會(huì)經(jīng)濟(jì)發(fā)展要求和學(xué)習(xí)中多樣化、個(gè)性化需求的各類非學(xué)歷教育資源供給擺在了繼續(xù)教育面前。

“f1()”——隱層傳遞函數(shù)；

“f2()”——輸出層傳遞函數(shù)。

（2）輸出層節(jié)點(diǎn)輸：

設(shè)學(xué)習(xí)樣本為p，表示為“ X1, X2,…,XP”；第p個(gè)輸入的樣本輸出結(jié)果為ypj，通過平方誤差函數(shù)計(jì)算出對(duì)應(yīng)的誤差值Ep[10]：

全局誤差為：

輸出層各神經(jīng)元權(quán)值調(diào)整公式：

“Sj”——節(jié)點(diǎn)j的輸入。

3.2 層次化量化感知

3.2.1 服務(wù)安全態(tài)勢(shì)

服務(wù)安全態(tài)勢(shì)感包括攻擊強(qiáng)度、攻擊權(quán)重、攻擊數(shù)目等，模型計(jì)算如下：

“wi”——攻擊威脅權(quán)重；

“Ni”——攻擊數(shù)目；

3.2.2 主機(jī)安全態(tài)勢(shì)

主機(jī)安全態(tài)勢(shì)的決定因素有各類服務(wù)態(tài)勢(shì)、服務(wù)數(shù)目及比重系數(shù)，模型計(jì)算如下：

“u”——主機(jī)Hi—存在的服務(wù)個(gè)數(shù)。

“wsj” ——重要程度權(quán)重。

3.2.3 網(wǎng)絡(luò)安全態(tài)勢(shì)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知決定因素包括態(tài)勢(shì)感知、主機(jī)比重，模型計(jì)算如下：

“v”——主機(jī)Ni存在的服務(wù)個(gè)數(shù)。

“whi”——重要程度權(quán)重。

SNi值越大則主機(jī)受到的網(wǎng)絡(luò)安全威脅越大，反之則威脅最小。

4 仿真實(shí)驗(yàn)

4.1 數(shù)據(jù)融合實(shí)驗(yàn)

根據(jù)本研究的融合算法和感知方法設(shè)計(jì)出拓?fù)浣Y(jié)構(gòu)，利用Snort、Suricata、NetFlow等傳感器對(duì)計(jì)算所需要的數(shù)據(jù)進(jìn)行采集，然后在KDD99數(shù)據(jù)集中選擇用于實(shí)驗(yàn)的關(guān)鍵特征，并使用重放工具重放數(shù)據(jù)集，最后根據(jù)蟻群算法和D-S證據(jù)計(jì)算取值范圍[11]。

不同數(shù)據(jù)源的事件檢測(cè)取值范圍為：

DoS=(0.256,0.219,0.525)

R2L=(0.414,0.408,0.178)

U2L=(0.437,0.411,0.152)

Probe=(0.317,0.337,0.346)

融合率(FR)、檢測(cè)率(DR) 和誤警率 (FDR)計(jì)算公式如下[12]：

傳統(tǒng)D-S、專家加權(quán)D-S、蟻群D-S融合能力比較，見表1。

表1：不同D-S的融合能力比較(%)

通過表1不難發(fā)現(xiàn)本研究將D-S證據(jù)和蟻群算法結(jié)合形成的“蟻群D-S”模型，其融合能力更強(qiáng)，融合率(FR)、檢測(cè)率(DR) 均明顯高于傳統(tǒng)D-S、專家加權(quán)D-S，且誤警率 (FDR)只有5.08%，證實(shí)了蟻群算法與D-S證據(jù)的融合具有很大的優(yōu)勢(shì)。

4.2 網(wǎng)絡(luò)安全態(tài)勢(shì)實(shí)驗(yàn)

主機(jī)安全漏洞是影響力較大的網(wǎng)絡(luò)安全威脅，所以本研究以主機(jī)安全漏洞所占權(quán)重的服務(wù)數(shù)和服務(wù)權(quán)重來檢驗(yàn)蟻群算法與D-S證據(jù)家伙的網(wǎng)絡(luò)安全態(tài)勢(shì)[13]。根據(jù)主機(jī)權(quán)重進(jìn)行歸一化處理，計(jì)算公式如下：

一天內(nèi)網(wǎng)絡(luò)安全態(tài)勢(shì)值見圖1，安全態(tài)勢(shì)值較高的時(shí)間點(diǎn)為 2、6、11、23，表示這幾個(gè)時(shí)間點(diǎn)遭受的攻擊程度較高，由此可見蟻群算法與D-S證據(jù)結(jié)合下的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型能夠分析不同時(shí)間點(diǎn)的網(wǎng)絡(luò)安全狀況。

圖1：不同時(shí)間點(diǎn)的網(wǎng)絡(luò)安全態(tài)勢(shì)

5 結(jié)語

總之，基于多源融合計(jì)算方法構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型能夠有效分析和評(píng)估出各種網(wǎng)絡(luò)安全問題。D-S證據(jù)理論及算法是較為常見的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型構(gòu)建理論及計(jì)算方法，具有較高的融合率(FR)、檢測(cè)率(DR)，比較適用于多元融合下的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型，得到了相關(guān)技術(shù)人員的重視及關(guān)注。因此，上文基于對(duì)D-S證據(jù)理論及算法的了解，將D-S證據(jù)理與蟻群算法結(jié)合形成新型的蟻群D-S算法，根據(jù)蟻群D-S算法建立的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型不僅能夠彌補(bǔ)傳統(tǒng)D-S、專家加權(quán)D-S算法的不足，還在原有的基礎(chǔ)上提高融合率(FR)、檢測(cè)率(DR)，并降低誤警率(FDR)，以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的實(shí)時(shí)監(jiān)控，從而及時(shí)發(fā)現(xiàn)和解決網(wǎng)絡(luò)安全問題。