耿方方，王 昂

(1.河南中醫(yī)藥大學(xué)網(wǎng)絡(luò)中心，河南 鄭州 450046；2.河南中醫(yī)藥大學(xué)信息技術(shù)學(xué)院，河南 鄭州 450046)

1 引言

在信息快速發(fā)展的時(shí)代，網(wǎng)絡(luò)技術(shù)已經(jīng)普及到各個(gè)領(lǐng)域，人類對(duì)網(wǎng)絡(luò)技術(shù)也更加依賴，與此同時(shí)也帶來(lái)了一系列的網(wǎng)絡(luò)安全問(wèn)題。為了應(yīng)對(duì)網(wǎng)絡(luò)安全隱患，研究者提出多種防范技術(shù)，尤其是網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)[1-2]。當(dāng)前關(guān)于網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)仍然處于初級(jí)發(fā)展階段，為了進(jìn)一步提高網(wǎng)絡(luò)預(yù)測(cè)的性能，許多學(xué)者將人工智能技術(shù)引入到網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域中[3]。

文獻(xiàn)[4]提出了一種基于SOA_BP的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)算法，利用人群算法的四方面行為特征確定搜索方向，找到最優(yōu)的權(quán)值和閾值，然后在神經(jīng)網(wǎng)絡(luò)的不斷訓(xùn)練下，得出最終的預(yù)測(cè)值，實(shí)驗(yàn)結(jié)果表明，該算法對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知有較好的穩(wěn)定性，但該方法存在“早熟”現(xiàn)象。文獻(xiàn)[5]對(duì)網(wǎng)絡(luò)中的態(tài)勢(shì)指標(biāo)采取離散化操作，然后通過(guò)不同的評(píng)價(jià)方法對(duì)態(tài)勢(shì)指標(biāo)進(jìn)行分級(jí)處理，最后將底層的態(tài)勢(shì)指標(biāo)通過(guò)貝葉斯方法融合到態(tài)勢(shì)層，得出網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估，實(shí)驗(yàn)結(jié)果表明，該方法評(píng)估結(jié)果較準(zhǔn)確，但對(duì)網(wǎng)絡(luò)整體態(tài)勢(shì)預(yù)測(cè)需進(jìn)一步加強(qiáng)。文獻(xiàn)[6]設(shè)計(jì)了預(yù)測(cè)方法，該方法將網(wǎng)絡(luò)數(shù)據(jù)訓(xùn)練結(jié)果劃分到規(guī)則域中，然后設(shè)定臨界值將劃分規(guī)則按優(yōu)化程度劃分到3個(gè)等級(jí)中，減少網(wǎng)絡(luò)中待優(yōu)化的參數(shù)個(gè)數(shù)，實(shí)驗(yàn)結(jié)果表明，該方法能夠避免網(wǎng)絡(luò)數(shù)據(jù)的過(guò)擬合現(xiàn)象，但訓(xùn)練效率不高。

針對(duì)以上研究成果，本文提出了基于量子遺傳算法的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法。通過(guò)對(duì)5種網(wǎng)絡(luò)屬性相似度的研究，有效過(guò)濾網(wǎng)絡(luò)中的冗余信息。對(duì)網(wǎng)絡(luò)攻擊分布、條件概率以及特征幅頻的分析，得到網(wǎng)絡(luò)安全態(tài)勢(shì)指數(shù)，并在此基礎(chǔ)上引入量子遺傳算法，構(gòu)建網(wǎng)絡(luò)安全感知模型完成目標(biāo)函數(shù)的優(yōu)化，最終實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)的穩(wěn)定可靠感知。

2 網(wǎng)絡(luò)態(tài)勢(shì)關(guān)聯(lián)性分析

網(wǎng)絡(luò)態(tài)勢(shì)信息的關(guān)聯(lián)性直接影響到態(tài)勢(shì)感知的結(jié)果，因此通過(guò)關(guān)聯(lián)性分析，將網(wǎng)絡(luò)態(tài)勢(shì)中相關(guān)的信息進(jìn)行合并，可以為網(wǎng)絡(luò)感知做好預(yù)處理[7]。根據(jù)屬性的相似度函數(shù)計(jì)算網(wǎng)絡(luò)態(tài)勢(shì)信息的相似度。為了全面準(zhǔn)確的衡量相似度，本文分別對(duì)5個(gè)方面的相似度函數(shù)進(jìn)行研究。

端口是指主機(jī)上程序通信時(shí)的接口，當(dāng)一臺(tái)主機(jī)受到攻擊時(shí)，與其接近的端口受攻擊的概率最大，端口相似度用公式可表示為

(1)

對(duì)構(gòu)成網(wǎng)絡(luò)的IP地址進(jìn)行二進(jìn)制相似度計(jì)算，其中IPV4表示為8位，IPV6表示為16位，那么IP地址每個(gè)部分的相似度函數(shù)用公式可表示為

(2)

其中，nsame表示二進(jìn)制按位相同的1的個(gè)數(shù)；N表示二進(jìn)制總位數(shù)。IP地址整個(gè)相似度函數(shù)用公式可表示為

(3)

協(xié)議相似度結(jié)果只有兩種狀態(tài)，要么相同，要么不同。因此衡量協(xié)議相似度的方法比較簡(jiǎn)單，用公式可表示為

(4)

其中，xport和yport分別表示兩個(gè)網(wǎng)絡(luò)信息記錄所對(duì)應(yīng)的端口值。

時(shí)間相似度與網(wǎng)絡(luò)信息發(fā)生的時(shí)間及時(shí)間閾值有關(guān)，用公式可表示為

(5)

其中，t表示網(wǎng)絡(luò)信息的時(shí)間閾值；xtime和ytime分別表示網(wǎng)絡(luò)事件x和y發(fā)生時(shí)對(duì)應(yīng)的時(shí)間值。

安全是網(wǎng)絡(luò)中最重要的一個(gè)環(huán)節(jié)，安全事件整體相似度用公式可表示為

(6)

由于網(wǎng)絡(luò)態(tài)勢(shì)要素提取的信息來(lái)源較廣泛，大多數(shù)事件間存在一定的聯(lián)系，因此本文通過(guò)網(wǎng)絡(luò)安全特征相似度的綜合分析方法，從網(wǎng)絡(luò)攻擊報(bào)警的原始數(shù)據(jù)出發(fā)，對(duì)網(wǎng)絡(luò)安全中相互關(guān)聯(lián)的信息進(jìn)行排除，為后續(xù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知做好充分的準(zhǔn)備。

3 網(wǎng)絡(luò)安全態(tài)勢(shì)感知

在錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)環(huán)境中，病毒很容易入侵網(wǎng)絡(luò)系統(tǒng)，為了對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知進(jìn)行優(yōu)化，本文采用信號(hào)處理方法對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行研究。假設(shè)病毒在網(wǎng)絡(luò)環(huán)境中入侵了m個(gè)端口，則病毒入侵流的特征分布可表示為

z(k)=[z1(k)，z2(k)，z3(k)，…，zm(k)]

(7)

其中，k表示網(wǎng)絡(luò)安全態(tài)勢(shì)屬性值；zi(k)表示病毒攻擊網(wǎng)絡(luò)的特征向量時(shí)間。假定病毒攻擊下的n維隨機(jī)分布用(z1，z2，z3，…，zn)表示，那么病毒分布函數(shù)可表示為

(8)

(9)

Q(γ1，γ2，…，γn)=E{expj[γ1z1+γ2z2…+γnzn]}

(10)

那么病毒對(duì)網(wǎng)絡(luò)進(jìn)行攻擊時(shí)，病毒的特征幅度和特征頻率可表示為：

(11)

通過(guò)對(duì)病毒特征幅度和頻率的構(gòu)建，可對(duì)網(wǎng)絡(luò)信息進(jìn)行重組，那么病毒攻擊分布迭代函數(shù)可表示為

ζd(k+1)=ζd(k)-fR[b(k)c*(k)]

(12)

其中，ζd(k)表示網(wǎng)絡(luò)信息初始狀態(tài)相量，網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型分別以角度ζ0，ζ1，ζ2，…ζq進(jìn)行全方位的病毒攔截。若采集的網(wǎng)絡(luò)信號(hào)為穩(wěn)定的隨機(jī)信號(hào)，可通過(guò)ARMA模型分別模擬出病毒入侵網(wǎng)絡(luò)時(shí)的網(wǎng)絡(luò)安全態(tài)勢(shì)與主機(jī)的威脅指數(shù)[8]，公式可表示為

(13)

其中，zk表示網(wǎng)絡(luò)安全態(tài)勢(shì)的時(shí)域，且zk∈Rnσ；σk表示整個(gè)時(shí)頻內(nèi)的干擾；yk表示每個(gè)節(jié)點(diǎn)采集的網(wǎng)絡(luò)信息，且yk∈Rnδ；δk表示整個(gè)時(shí)頻內(nèi)的干擾。此時(shí)網(wǎng)絡(luò)威脅安全態(tài)勢(shì)指數(shù)可表示為

(14)

(15)

其中，n表示預(yù)測(cè)誤差；H表示特征因子的種類；γi表示病毒入侵的特征。

4 量子遺傳算法感知模型

根據(jù)對(duì)復(fù)雜環(huán)境下病毒攻擊網(wǎng)絡(luò)安全態(tài)勢(shì)模型的建立，提出基于量子遺傳算法感知模型，通過(guò)量子遺傳算法實(shí)現(xiàn)目標(biāo)函數(shù)的優(yōu)化。在量子網(wǎng)絡(luò)環(huán)境中，一個(gè)量子的比特狀態(tài)可表示為

(16)

其中，As表示狀態(tài)<0>時(shí)的幅值常數(shù)；Bs表示狀態(tài)<1>時(shí)的幅值常數(shù)；|As|2表示量子態(tài)為觀測(cè)值0時(shí)的概率；|Bs|2表示量子態(tài)為觀測(cè)值1時(shí)的概率。量子遺傳算法需要把量子比特帶入遺傳編碼中，以完成染色體的更新，量子遺傳算法中帶有量子比特的遺傳編碼染色體結(jié)構(gòu)可表示為

(17)

(18)

?i=f(Asi，Bsi)*Δ?

(19)

其中，f(Asi，Bsi)表示控制旋轉(zhuǎn)角的方向函數(shù)；Δ?表示控制旋轉(zhuǎn)角的旋轉(zhuǎn)角度。假定網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型的概率分布用x(t)表示，基于染色體檢測(cè)，遺傳下安全態(tài)勢(shì)評(píng)估的幅度大小和頻率大小可表示為

(20)

基于網(wǎng)絡(luò)信息數(shù)據(jù)的分類，對(duì)入侵病毒作量子遺傳特征分解處理，當(dāng)?shù)螖?shù)為最大時(shí)，交叉概率用公式可表示為

(21)

其中，Ix(i，j)表示病毒入侵網(wǎng)絡(luò)時(shí)的數(shù)值交換脈沖響應(yīng)，且滿足Ix(i，j)∈R，?(i，j)。量子遺傳算法中染色體由3個(gè)子模塊組成，可通過(guò)遺傳進(jìn)化對(duì)網(wǎng)絡(luò)所感染到病毒區(qū)域的免疫性進(jìn)行檢測(cè)，結(jié)合量子遺傳算法對(duì)整個(gè)網(wǎng)絡(luò)空間進(jìn)行時(shí)頻伸縮處理，得到網(wǎng)絡(luò)安全態(tài)勢(shì)感知的經(jīng)驗(yàn)分布函數(shù)如下

(22)

通過(guò)量子遺傳進(jìn)化的特征約束條件，求出每個(gè)染色體的相應(yīng)代價(jià)，得出網(wǎng)絡(luò)安全態(tài)勢(shì)感知的時(shí)頻響應(yīng)，公式可表示為

(23)

若病毒對(duì)網(wǎng)絡(luò)環(huán)境較為適應(yīng)，可通過(guò)量子遺傳進(jìn)化對(duì)入侵的病毒進(jìn)行強(qiáng)度測(cè)量，從而可以得出網(wǎng)絡(luò)安全態(tài)勢(shì)感知的迭代方程，表示為

(24)

其中

(25)

綜上所述，利用量子遺傳算法可以感知到網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估的幅度和頻率值，并且能夠?qū)W(wǎng)絡(luò)病毒的交叉點(diǎn)進(jìn)行區(qū)域匹配設(shè)置，有利于網(wǎng)絡(luò)安全態(tài)勢(shì)的準(zhǔn)確感知。

5 仿真結(jié)果分析

(26)

通過(guò)歷史網(wǎng)絡(luò)安全態(tài)勢(shì)對(duì)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)分析，按照網(wǎng)絡(luò)數(shù)據(jù)采集的時(shí)間，將預(yù)測(cè)周期規(guī)定為10小時(shí)，共劃分5個(gè)時(shí)間段(2小時(shí)/每段)，根據(jù)歷史網(wǎng)絡(luò)安全態(tài)勢(shì)完成5個(gè)時(shí)間段的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)，將本文方法與文獻(xiàn)[4]、文獻(xiàn)[5]和文獻(xiàn)[6]進(jìn)行實(shí)驗(yàn)對(duì)比，結(jié)果如圖1所示。

圖1 網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)對(duì)比圖

從圖中可以看出，文獻(xiàn)[4]得出的安全態(tài)勢(shì)預(yù)測(cè)值在開始時(shí)間段相對(duì)實(shí)際值波動(dòng)幅度較大，直到后面的時(shí)間段才相對(duì)穩(wěn)定。文獻(xiàn)[5]在第3個(gè)時(shí)間段的安全態(tài)勢(shì)預(yù)測(cè)值與實(shí)際值相差較大。文獻(xiàn)[6]得出的安全態(tài)勢(shì)預(yù)測(cè)值與實(shí)際值相比波動(dòng)較大，預(yù)測(cè)效果不穩(wěn)定。而本文方法得到的安全態(tài)勢(shì)預(yù)測(cè)值與實(shí)際值較為接近，波動(dòng)幅度最小，擬合性能明顯優(yōu)于其它方法。

為了進(jìn)一步衡量網(wǎng)絡(luò)安全態(tài)勢(shì)感知效果，引入絕對(duì)誤差指標(biāo)，公式表示為

(27)

圖2 絕對(duì)誤差指標(biāo)對(duì)比圖

在絕對(duì)誤差衡量基礎(chǔ)上，采用平均平方百分比誤差(MSPE)和均方誤差(RMSE)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)進(jìn)行分析。MSPE與RMSE的公式表示為

(28)

其中，M表示樣本個(gè)數(shù)。MSPE和RMSE的值越小，說(shuō)明網(wǎng)絡(luò)預(yù)測(cè)越準(zhǔn)確。

表1給出了采用本文算法以及與文獻(xiàn)[4]、文獻(xiàn)[5]、文獻(xiàn)[6]算法情況下，網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)值與真實(shí)值之間的MSPE和RMSE值。從表中可以看出，本文算法的安全態(tài)勢(shì)預(yù)測(cè)值與實(shí)際值之間的MSPE和RMSE值相對(duì)于文獻(xiàn)[4]、文獻(xiàn)[5]、文獻(xiàn)[6]都是最小的，說(shuō)明基于量子遺傳算法的網(wǎng)絡(luò)安全態(tài)勢(shì)感知具有更高的精確性。

表1 預(yù)測(cè)誤差對(duì)比

6 結(jié)束語(yǔ)

本文提出一種基于量子遺傳算法的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法，先對(duì)網(wǎng)絡(luò)安全進(jìn)行關(guān)聯(lián)性分析，將網(wǎng)絡(luò)態(tài)勢(shì)中相關(guān)的信息采取合并處理。再利用病毒攻擊特征計(jì)算出網(wǎng)絡(luò)安全態(tài)勢(shì)指數(shù)。最后采用量子遺傳算法對(duì)網(wǎng)絡(luò)攻擊特征進(jìn)行提取，完成網(wǎng)絡(luò)安全態(tài)勢(shì)的感知。實(shí)驗(yàn)結(jié)果表明，本文方法得到的安全態(tài)勢(shì)預(yù)測(cè)值與實(shí)際值更為吻合，且絕對(duì)誤差僅為-0.28，平均平方百分比誤差僅為0.16，均方誤差僅為0.11，充分表明本文方法對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)具有更高的感知精確性。