鄭友生

(泉州幼兒師范高等?？茖W校 信息教育技術(shù)中心，福建 泉州 362000)

在云計算和大數(shù)據(jù)高速發(fā)展的今天，信息安全、云平臺防護等面臨巨大威脅，如病毒入侵、DDoS攻擊、黑客攻擊等。從當前網(wǎng)絡(luò)面臨的威脅來看，傳統(tǒng)的IDS、IPS等被動防御已不能滿足網(wǎng)絡(luò)安全防護需求，必須加強網(wǎng)絡(luò)安全態(tài)勢感知。在網(wǎng)絡(luò)安全態(tài)勢感知中，主要數(shù)據(jù)來源于日志文件、網(wǎng)絡(luò)設(shè)備等。通過對這些數(shù)據(jù)的整合、關(guān)聯(lián)分析，并結(jié)合態(tài)勢評估算法，實現(xiàn)態(tài)勢預測評估目的，以爭取在網(wǎng)絡(luò)攻擊前規(guī)避或者是遏制部分威脅，達到保護和降低攻擊的目的。而當前基于網(wǎng)絡(luò)安全態(tài)勢的評估中，比較常見的態(tài)勢評估方法包括D-S證據(jù)理論[1]、樸素貝葉斯分類[2]、攻擊圖[3]、BP神經(jīng)網(wǎng)絡(luò)[4-5]等。李欣[8]將隱馬爾可夫模型(Hidden Markov Model, HMM) 應用到云網(wǎng)絡(luò)環(huán)境中，認為隱馬爾可夫模型在實時評估網(wǎng)絡(luò)狀態(tài)方面具有無可比擬的優(yōu)勢，但存在模型參數(shù)匹配較難、評估準確率不高的問題?；谝陨涎芯坷碚摵蛯嵺`，提出一種自適應聚群粒子群算法的HMM參數(shù)優(yōu)化方法，以此對云網(wǎng)絡(luò)安全態(tài)勢進行評估。

1 隱馬爾可夫模型描述與改進

1.1 隱馬爾可夫模型的數(shù)學描述

韓曉露[6]、王彩玲[7]等認為，網(wǎng)絡(luò)的安全狀態(tài)與實際觀察的安全事件并非一一對應，而是通過概率分布產(chǎn)生聯(lián)系，即網(wǎng)絡(luò)安全的序列可展示網(wǎng)絡(luò)狀態(tài)的變化。在云網(wǎng)絡(luò)中，將云網(wǎng)絡(luò)看成是由若干個節(jié)點過程。網(wǎng)絡(luò)攻擊者通過網(wǎng)絡(luò)節(jié)點發(fā)起攻擊，因此對云網(wǎng)絡(luò)安全的評估，可看成是對節(jié)點的安全態(tài)勢評估，其中通過設(shè)備可搜集到節(jié)點的漏洞、病毒和攻擊信息，是觀測序列。為度量節(jié)點的安全狀態(tài)，認為節(jié)點的安全狀態(tài)與攻擊者間是概率關(guān)系，可通過HMM來進行描述。通過HMM模型在對網(wǎng)絡(luò)中的節(jié)點進行態(tài)勢分量建模后，則通過出現(xiàn)最高概率的隱藏狀態(tài)序列來進行安全態(tài)勢的評估與判斷?；贖MM的網(wǎng)絡(luò)安全態(tài)勢評估由五元組λ={S,M,π,A,B}構(gòu)成，其中π和A為馬爾科夫鏈參數(shù)，B表示一般隨機過程的參數(shù)。根據(jù)周期內(nèi)檢測到的觀測狀態(tài)序列O={o1,o2,…,ot,…,oT}，可計算出各節(jié)點在t時刻的概率rt(i)。

(1)

為更好的度量節(jié)點安全態(tài)勢，引入節(jié)點權(quán)重對態(tài)勢進行評估，具體計算公式為：

(2)

式中，Z表示網(wǎng)絡(luò)節(jié)點數(shù)目；SA表示網(wǎng)絡(luò)安全態(tài)勢值；WHi表示各個節(jié)點的權(quán)重。其中，應用pagerank算法對節(jié)點權(quán)重分配。具體分配公式為：

(3)

式中，a=0.85，w(hi)表示節(jié)點權(quán)重值，N表示網(wǎng)絡(luò)中節(jié)點數(shù)目，Out(hj)表示hj的出鏈數(shù)目，Mpi表示hj的出鏈集合。

1.2 隱馬爾可夫模型參數(shù)優(yōu)化

在實際應用場景中，HMM模型參數(shù)設(shè)置暴露出人工設(shè)置的不準確性。因此，有必要對HMM參數(shù)進行優(yōu)化，減少傳統(tǒng)參數(shù)設(shè)置存在主觀性過大的問題。針對該問題，李欣提出通過Baum- Welch(BW) 參數(shù)優(yōu)化算法與人群搜索算法結(jié)合對HMM進行優(yōu)化，結(jié)果表明該方法可提高準確率[8]。參考韓愛平[9]的研究成果，提出采用ASPSO對HMM參數(shù)進行優(yōu)化。

傳統(tǒng)的粒子群算法(PSO)雖然尋優(yōu)速度快，可應用于HMM模型參數(shù)進行確定，但由于其構(gòu)造簡單，在搜索過程中容易陷入局部最優(yōu)解，且收斂速度普遍較慢，因此需要對PSO算法進行改進。在該改進中，引入人工魚群的擁擠度因子，進而避免傳統(tǒng)PSO算法在HMM參數(shù)優(yōu)化中容易陷入局部極值，從而達到全局最優(yōu)的目的。

在引入人工魚群算法的同時，對PSO算法也進行改進。具體則是對慣性權(quán)值ω和學習因子c1和c2的改進。對此，本文首先確定PSO算法的慣性權(quán)值ω在0.4～0.9。而在搜索迭代初期，通常取較大慣性權(quán)值，從而讓粒子擺脫劇組最優(yōu)，提高全局最優(yōu)。而在后期，則取較小的慣性權(quán)值。因此，基于以上的分析，在本文中將算法的迭代代數(shù) gen 自適應的慣性權(quán)值公式變?yōu)椋?/p>

(4)

式中，gen表示迭代代數(shù)，genmax表示最大迭數(shù)，ωgen表示迭代代數(shù)gen的自適應慣性權(quán)值，ωmax=0.9，ωmin=0.4。

同時，PSO算法中初次迭代時，c1和c2會影響算法的全局尋優(yōu)能力和收斂速度。為保證PSO就有較強的全局尋優(yōu)和收斂速度，本文應用迭代代數(shù)gen與學習因子的關(guān)系，確定了C1、C2的更新公式：

(5)

c1=4-c2

(6)

式中，gen表示迭代代數(shù)，genmax表示最大迭代代數(shù)，cmin表示學習因子c1的初始值，cmax表示學習因子c1的最終值，且滿足0

2 基于ASPSO的隱馬爾可夫模型的網(wǎng)絡(luò)安全態(tài)勢評估

結(jié)合以上對隱馬爾可夫模型的改進，將云網(wǎng)絡(luò)的安全態(tài)勢評估步驟分為以下幾步：

(1)確定HMM模型初始結(jié)構(gòu)參數(shù)，包括狀態(tài)轉(zhuǎn)移矩陣和符號矩陣參數(shù)的確定；

(2)初始化種群，設(shè)定初始粒子群數(shù)目為50，最大迭代數(shù)為100，并確定種群中粒子的初始位置和初始速度，應用慣性權(quán)值計算公式(4)和學習因子計算公式(5)、(6)確定w和c1、c2的值；

(3)確定人工魚群算法參數(shù)，設(shè)人工魚總數(shù)為50，移動步長為0.5，最大試探數(shù)為4，擁擠度因子為0.2；

(4)計算粒子的適應度函數(shù)并更新其最優(yōu)值；

(5)若迭代代數(shù)達到設(shè)定的最大迭代代數(shù)，停止算法，輸出最優(yōu)粒子個體；若迭代數(shù)沒有達到最大迭代數(shù)，重復步驟(4)、(5)，直至得到最優(yōu)參數(shù)；

(6)根據(jù)公式 (2)計算網(wǎng)絡(luò)安全態(tài)勢結(jié)果，并輸出結(jié)果。

3 仿真實驗

3.1 實驗數(shù)據(jù)介紹

為研究改進HMM模型在云網(wǎng)絡(luò)安全態(tài)勢評估的可行性和優(yōu)劣，以DARPA2000數(shù)據(jù)集為基礎(chǔ)，模擬DDoS 攻擊場景對云網(wǎng)絡(luò)安全態(tài)勢進行評估。DDoS 攻擊網(wǎng)絡(luò)流量主要分為五個階段：

第一階段：掃描活躍主機。IP為202. 77. 162. 213的攻擊者對172. 16. 112. 0/24、172. 16. 113. 0/24、172. 16. 114. 0/24和 172. 16. 115. 0/24四個IP進行掃描，查詢其中活躍的主機；

第二階段：sadmind查詢。查詢活躍主機是否運行sadmind，若主機正在運行sadmind，可以 進 行 第 三階段；

第三階段：獲取主機root權(quán)限。根據(jù)Sadmind Buffer Overflow漏洞獲得172.16.112. 20、172.16.112.10、172.16.115. 50主機root 權(quán)限；

第四階段：安裝DDoS攻擊工具。在172.16.112.20、172.16.112.10、172.16.115.50三臺主機中安裝DDoS攻擊工具；

第五階段：發(fā)起攻擊。利用DDoS攻擊工具發(fā)起攻擊，遠程控制172.16.112.20、172.16.112.10、172.16.115.50三臺主機。

3.2 模型參數(shù)確定

為確保仿真實驗的準確性，本文在Windows7操作系統(tǒng)、MATLAB2014b、硬件處理系統(tǒng)為500HZ、內(nèi)存為512M以上的環(huán)境下進行實驗。

設(shè)置 A B 的參數(shù)。π=(1，0，0，0，0)。應用MATLAB2017b軟件多次對模型參數(shù)進行實驗，最終確定模型的關(guān)鍵參數(shù)：慣性權(quán)值ωmax=0.9，ωmin=0.4；學習因子c1最大4，最小1；人工魚群數(shù)最少50；人工魚移動步長為0.5，最大試探數(shù)為4，感知距離為6，擁擠度因子為0.2。

3.3 仿真結(jié)果

3.3.1 迭代次數(shù)優(yōu)化 通過以上設(shè)置，分別得到只采用PSO算法和應用ASPSO算法對HMM參數(shù)進行優(yōu)化的結(jié)果，具體如圖1和圖2所示。

由圖可知，PSO 算法對HMM模型參數(shù)的優(yōu)化需要進行430次迭代才能得到最優(yōu)解，而ASPSO算法對HMM模型參數(shù)的優(yōu)化僅在第160代迭代數(shù)就可得到最優(yōu)解，可見ASPSO算法的優(yōu)化結(jié)果比PSO算法的優(yōu)化結(jié)果顯著。

3.3.2 參數(shù)優(yōu)化結(jié)果 應用ASPSO對模型的狀態(tài)轉(zhuǎn)移矩陣參數(shù)和觀測符號矩陣參數(shù)進行優(yōu)化，可得到如下表1所示的狀態(tài)轉(zhuǎn)移矩陣參數(shù)，表2所示的觀測符號矩陣參數(shù)值。

表1 狀態(tài)轉(zhuǎn)移矩陣A的參數(shù)

表2 觀測符號矩陣B的參數(shù)

3.3.3 安全態(tài)勢評估 采用DDOS攻擊場景1對云網(wǎng)絡(luò)進行攻擊模擬，對云網(wǎng)絡(luò)中的主機發(fā)起攻擊。攻擊發(fā)生的大致時間為：第一階段18～30 min；第二階段36～50 min；第三階段62～63 min；第四階段80min后；第五階段118min 后。根據(jù)上述的模擬攻擊，得到圖3的安全態(tài)勢評估結(jié)果和圖4的安全態(tài)勢評估曲線。

由圖3可知，主機在被攻擊者攻擊時與實際攻擊場合吻合，共經(jīng)歷五個階段。當攻擊者攻擊進行到第三階段時，由于主機安裝有DDoS程序，因此后兩個攻擊階段的態(tài)勢曲線并沒有通過曲線圖反映出來。由圖4可知，在攻擊者攻擊主機的第一階段掃描過程中，云網(wǎng)絡(luò)的態(tài)勢值不高，為0.921；第二階段sadmind掃描，網(wǎng)絡(luò)的態(tài)勢值開始增大，為1.866；第三階段入侵成功，網(wǎng)絡(luò)態(tài)勢值達到3.935；第四階段攻擊過程中，網(wǎng)絡(luò)的態(tài)勢值不斷減小直至趨于0；第五階段控制主機，此時的網(wǎng)絡(luò)態(tài)勢值達到4.247。

由此，通過以上的研究，可以得出在不同階段的網(wǎng)絡(luò)安全態(tài)勢，大大提高了對云網(wǎng)絡(luò)安全的主動防御程度，為后續(xù)的網(wǎng)絡(luò)主動防御提供了更多可借鑒的參數(shù)。

4 結(jié)語

通過ASPSO對HMM的優(yōu)化看出，ASPSO可大大減少HMM尋優(yōu)的迭代次數(shù)，從而在最少的迭代次數(shù)內(nèi)得到最優(yōu)適應度值。而通過優(yōu)化后的HMM安全態(tài)勢評估看出，評估結(jié)果與實際的攻擊大致相同，說明本研究的改進有效，與實際的網(wǎng)絡(luò)攻擊接近，且可顯示不同階段的網(wǎng)絡(luò)安全態(tài)勢值，可作為對網(wǎng)絡(luò)安全態(tài)勢有效評估的手段。