高青波　胡冠宇 徐澤群

摘 要：提出了一種基于并行計(jì)算平臺(tái)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)。該系統(tǒng)利用并行計(jì)算環(huán)境收集網(wǎng)絡(luò)要素、計(jì)算評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)并對(duì)未來(lái)短時(shí)間內(nèi)的安全態(tài)勢(shì)作出預(yù)測(cè)。并行計(jì)算平臺(tái)能夠?qū)⑷蝿?wù)分解，并將分散的計(jì)算資源集中起來(lái)，讓每個(gè)節(jié)點(diǎn)獨(dú)立完成各自的計(jì)算任務(wù)，最終結(jié)果在管理主機(jī)上匯總，使得復(fù)雜的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)過(guò)程得以快速完成。實(shí)際應(yīng)用的結(jié)果顯示，所提出的系統(tǒng)能夠在合理的時(shí)間內(nèi)準(zhǔn)確預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)。

關(guān)鍵詞：并行計(jì)算；網(wǎng)絡(luò)安全態(tài)勢(shì)；網(wǎng)絡(luò)安全態(tài)勢(shì)感知；并行入侵檢測(cè)

引言

隨著網(wǎng)絡(luò)規(guī)模的急速增長(zhǎng)，網(wǎng)絡(luò)系統(tǒng)變得愈加復(fù)雜并難以維護(hù)，管理人員常常因?yàn)闊o(wú)法準(zhǔn)確的預(yù)判網(wǎng)絡(luò)系統(tǒng)的安全程度，而錯(cuò)失防御的良機(jī)，使得網(wǎng)絡(luò)系統(tǒng)因?yàn)樵馐艿街卮蟮墓舳萑氚c瘓。因此，如何準(zhǔn)確的評(píng)估并預(yù)測(cè)宏觀上網(wǎng)絡(luò)的整體安全程度是主動(dòng)防御的重中之重。

網(wǎng)絡(luò)安全態(tài)勢(shì)感知的概念就是在這樣的背景下產(chǎn)生的[1]。態(tài)勢(shì)感知最初應(yīng)用在航空航天和軍事指揮領(lǐng)域，它被用于評(píng)估并預(yù)測(cè)復(fù)雜機(jī)械裝置的整體運(yùn)行狀況以及戰(zhàn)場(chǎng)上的戰(zhàn)局走勢(shì)。網(wǎng)絡(luò)安全態(tài)勢(shì)則是指在宏觀上描述復(fù)雜網(wǎng)絡(luò)系統(tǒng)整體安全形勢(shì)的一組定量的值[2]。

一個(gè)完整的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)包括三個(gè)部分，如圖1所示。

圖1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的結(jié)構(gòu)圖

其中各個(gè)模塊的具體功能為：（1）網(wǎng)絡(luò)要素提取，用于提取底層的網(wǎng)絡(luò)數(shù)據(jù)流，將網(wǎng)絡(luò)數(shù)據(jù)識(shí)別為帶有具體意義的數(shù)據(jù)向量，然后對(duì)其進(jìn)行預(yù)處理。預(yù)處理的過(guò)程一般包括：利用主成分分析方法[3]降低數(shù)據(jù)的維度，去掉不相關(guān)的屬性。然后，為了消除數(shù)據(jù)中的奇異樣本，還需將數(shù)據(jù)歸一化以使其變得相對(duì)平滑。最后，為了在下一步的評(píng)估中能夠獲得準(zhǔn)確的態(tài)勢(shì)值，還需要對(duì)數(shù)據(jù)按照不同的攻擊類(lèi)別進(jìn)行分類(lèi)，這一步在本質(zhì)上屬于入侵檢測(cè)過(guò)程。（2）安全態(tài)勢(shì)評(píng)估，通過(guò)層次化評(píng)估的方法，將不同類(lèi)別的網(wǎng)絡(luò)數(shù)據(jù)按照不同的權(quán)重相加求得具體的態(tài)勢(shì)值[4]。（3）安全態(tài)勢(shì)預(yù)測(cè)，在上一步中求得的安全態(tài)勢(shì)值會(huì)被累積起來(lái)當(dāng)做預(yù)測(cè)的歷史數(shù)據(jù)，然后用來(lái)訓(xùn)練網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)模型，使其可以預(yù)測(cè)未來(lái)的安全趨勢(shì)[5]。

從上面的過(guò)程中可以看出，網(wǎng)絡(luò)安全態(tài)勢(shì)感知的每一步都需要處理大量的數(shù)據(jù)，其本質(zhì)是要在海量的網(wǎng)絡(luò)數(shù)據(jù)中挖掘出有用的攻擊信息，然后將這些信息進(jìn)行融合，從而判斷網(wǎng)絡(luò)安全的趨勢(shì)。目前，應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢(shì)感知領(lǐng)域的相關(guān)算法多屬于離線操作，即將已有的訓(xùn)練數(shù)據(jù)輸入到模型中，對(duì)其進(jìn)行訓(xùn)練，然后再應(yīng)用到實(shí)際系統(tǒng)。如果網(wǎng)絡(luò)平臺(tái)不能提供大量的計(jì)算資源，就會(huì)使得網(wǎng)絡(luò)安全感知系統(tǒng)的效率低下，不能很好的適應(yīng)高速運(yùn)轉(zhuǎn)的網(wǎng)絡(luò)系統(tǒng)，使得主動(dòng)防御形同虛設(shè)。

基于以上問(wèn)題，文章力求能夠在并行環(huán)境下構(gòu)建網(wǎng)絡(luò)安全感知系統(tǒng)，讓并行計(jì)算平臺(tái)將網(wǎng)絡(luò)安全感知系統(tǒng)中各關(guān)鍵任務(wù)分解，并將網(wǎng)絡(luò)中分散的計(jì)算資源集中起來(lái)，讓每個(gè)計(jì)算節(jié)點(diǎn)獨(dú)立完成各自的任務(wù)，最終結(jié)果由管理主機(jī)收集。這樣，在對(duì)復(fù)雜網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全態(tài)勢(shì)預(yù)測(cè)時(shí)，可以在合理的時(shí)間內(nèi)準(zhǔn)確預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的并行計(jì)算平臺(tái)

針對(duì)前述內(nèi)容，我們搭建了一個(gè)并行計(jì)算平臺(tái)，如圖2所示。

圖2所示平臺(tái)由51臺(tái)普通計(jì)算機(jī)構(gòu)成，其中50臺(tái)為工作節(jié)點(diǎn)（worker），1臺(tái)為管理中心主機(jī)。以此作為系統(tǒng)的硬件平臺(tái)。我們?cè)O(shè)計(jì)并實(shí)現(xiàn)了一個(gè)分布式計(jì)算系統(tǒng)作為并行計(jì)算軟件平臺(tái)，可分為以下兩個(gè)模塊：（1）分布式計(jì)算管理模塊：負(fù)責(zé)任務(wù)的分配與管理、協(xié)調(diào)任務(wù)的執(zhí)行，worker主機(jī)與管理主機(jī)之間的通信。（2）分布式計(jì)算引擎：負(fù)責(zé)執(zhí)行具體任務(wù)。利用上述軟件平臺(tái)可在多核與多處理器主機(jī)或者局域網(wǎng)環(huán)境下解決密集的計(jì)算問(wèn)題。

在實(shí)際使用該平臺(tái)時(shí)，我們將各個(gè)入侵檢測(cè)節(jié)點(diǎn)和關(guān)鍵網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)收集來(lái)的數(shù)據(jù)輸入到圖2所示的并行計(jì)算平臺(tái)管理主機(jī)中，管理主機(jī)會(huì)將所收集到的大量的數(shù)據(jù)分配給各worker節(jié)點(diǎn)，然后worker節(jié)點(diǎn)對(duì)數(shù)據(jù)進(jìn)行預(yù)處理后返還給管理主機(jī)。其過(guò)程如圖3所示。

2 并行網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估過(guò)程

當(dāng)管理主機(jī)從work主機(jī)獲得處理完成的數(shù)據(jù)后，要繼續(xù)分配攻擊分類(lèi)任務(wù)，分類(lèi)的主要目的是區(qū)分網(wǎng)絡(luò)數(shù)據(jù)的攻擊類(lèi)別，一般可分為：正常數(shù)據(jù)（normal）、Probe攻擊、Dos攻擊、R2L攻擊和U2R攻擊[6]五大類(lèi)。每一大類(lèi)又細(xì)分為若干個(gè)小類(lèi)。分類(lèi)過(guò)程大致可以分為兩步：（1）建立分類(lèi)模型，常見(jiàn)的用于攻擊分類(lèi)的模型有BP神經(jīng)網(wǎng)絡(luò)[7]，支持向量機(jī)[8]，K鄰近算法[9]等。這些分類(lèi)模型通過(guò)已有的網(wǎng)絡(luò)數(shù)據(jù)建立輸入與輸出之間的統(tǒng)計(jì)關(guān)系，從中挖掘攻擊的特征，從而區(qū)分不同的攻擊類(lèi)型。（2）利用已有數(shù)據(jù)樣本和優(yōu)化算法對(duì)分類(lèi)模型進(jìn)行訓(xùn)練。優(yōu)化算法對(duì)于分類(lèi)模型至關(guān)重要，合適的優(yōu)化算法直接影響到分類(lèi)結(jié)果的精度。目前主流的優(yōu)化算法有遺傳算法（GA）[10]，粒子群算法（PSO）[11]以及差分進(jìn)化算法（DE）[12]等。

并行環(huán)境下的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的關(guān)鍵問(wèn)題是，如何將上述模型的訓(xùn)練和優(yōu)化過(guò)程分解并交給各worker并行實(shí)現(xiàn)，然后向管理主機(jī)返回最終的分類(lèi)結(jié)果。文章選取SVM作為并行分類(lèi)器，差分進(jìn)化作為優(yōu)化算法。并行SVM的基本形式是先將訓(xùn)練數(shù)據(jù)集劃分成若干訓(xùn)練子集，然后在各個(gè)節(jié)點(diǎn)分別進(jìn)行訓(xùn)練。由于SVM屬于二分類(lèi)器，故訓(xùn)練子集在劃分時(shí)應(yīng)該按照其中兩種攻擊類(lèi)型劃分，例如Normal和Dos劃分為一類(lèi)，Dos和Probe劃分為一類(lèi)，等等。所有分類(lèi)器以無(wú)回路有向圖（DAG）的邏輯形式組合到一起，如圖4所示。

圖4 并行SVM的DAG結(jié)構(gòu)

圖4中的每個(gè)SVM分類(lèi)器都被按照不同的子集類(lèi)別在worker節(jié)點(diǎn)獨(dú)立訓(xùn)練，訓(xùn)練后的模型在接收新的測(cè)試數(shù)據(jù)時(shí)，會(huì)從圖的頂點(diǎn)進(jìn)入，然后被逐層分類(lèi)直至得出最終的分類(lèi)結(jié)果。

當(dāng)網(wǎng)絡(luò)數(shù)據(jù)的類(lèi)別確定后，就可以按照文獻(xiàn)[4]提出的層次化方法，管理主機(jī)根據(jù)專(zhuān)家事先給定的類(lèi)別權(quán)重，以加權(quán)求和的方式得出當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)值。

3 并行網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)過(guò)程

如前所述，當(dāng)收集到一段時(shí)間內(nèi)的網(wǎng)絡(luò)安全態(tài)勢(shì)值后，就可以用來(lái)訓(xùn)練預(yù)測(cè)模型以預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)。用于網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)模型也有很多種類(lèi)，比較成熟的模型有：馬爾科夫預(yù)測(cè)模型[13]，grey預(yù)測(cè)模型[14]、和徑向基神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)模型[15]。與分類(lèi)階段類(lèi)似，預(yù)測(cè)階段的模型也需要分解任務(wù)以適應(yīng)并行計(jì)算環(huán)境。文章選取文獻(xiàn)[16]提出的并行徑向基神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)模型作為預(yù)測(cè)工具。在進(jìn)行預(yù)測(cè)時(shí)，管理主機(jī)先把所有的歷史態(tài)勢(shì)值交給各個(gè)worker主機(jī)，然后每臺(tái)worker主機(jī)通過(guò)差分進(jìn)化算法優(yōu)化徑向基神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)模型，預(yù)測(cè)結(jié)果提交至管理主機(jī)中進(jìn)行融合。最后，安全態(tài)勢(shì)預(yù)測(cè)值將以可視化的結(jié)果呈現(xiàn)給網(wǎng)絡(luò)安全管理人員，以便其對(duì)網(wǎng)絡(luò)宏觀狀況能迅速直觀的了解。圖5描述了本網(wǎng)絡(luò)平臺(tái)可視化后的網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)結(jié)果。

圖5描述了一個(gè)月內(nèi)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)值，其中橫軸代表天數(shù)，豎軸代表網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)值，范圍是[0，1]，值越高表示網(wǎng)絡(luò)受到的威脅越大，當(dāng)網(wǎng)絡(luò)安全態(tài)勢(shì)值大于某個(gè)閾值時(shí)，系統(tǒng)會(huì)自動(dòng)發(fā)出報(bào)警。在運(yùn)行系統(tǒng)一段時(shí)間后，實(shí)際的網(wǎng)絡(luò)安全態(tài)勢(shì)情況與圖5的預(yù)測(cè)結(jié)果基本吻合。

4 結(jié)束語(yǔ)

文章設(shè)計(jì)并實(shí)現(xiàn)了并行環(huán)境下的網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，包含網(wǎng)絡(luò)要素收集、網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估及預(yù)測(cè)三個(gè)模塊，并能根據(jù)預(yù)測(cè)值作出報(bào)警。該系統(tǒng)充分發(fā)揮了并行環(huán)境的優(yōu)勢(shì)，提升了網(wǎng)絡(luò)安全感知系統(tǒng)的效率，使得管理人員可以提前獲知網(wǎng)絡(luò)受威脅的程度，并提前做好防范措施。實(shí)際應(yīng)用的結(jié)果顯示，所提出的系統(tǒng)能夠在合理的時(shí)間內(nèi)準(zhǔn)確預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)。

參考文獻(xiàn)

[1]BASS T. Intrusion detection system and multi-sensor data fusion： creating cyberspace situation awareness[J]. Communications of The ACM， 2000， 43（4）： 99-105.

[2]王慧強(qiáng)，賴(lài)積保，胡明明，等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知關(guān)鍵技術(shù)研究[J].武漢大學(xué)學(xué)報(bào)-信息科學(xué)版，2008，33（10）：995-998.

[3]趙海霞，武建.淺析主成分分析方法[J].科技信息，2009，2：87-87.

[4] Chen X. Z， Zheng Q. H， Guan X. H， Lin C. G. Quantitative hierarchical threat evaluation model for network security[J]. Journal of Software （in Chinese with English abstract）， 2006，17（4）： 885-897.

[5] 任偉，蔣興浩，孫錟鋒.基于RBF神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法[J].計(jì)算機(jī)工程與應(yīng)用，2006，31： 136-139.

[6] Tavallaee M， Bagheri E， Lu W， Ghorbani A. A Detailed Analysis of the KDD CUP 99 Data Set[J]. Second IEEE Symposium on Computational Intelligence for Security and Defense Applications （CISDA），2009：1-6.

[7]吳欣欣，志誠(chéng)，葉健健，等.基于改進(jìn)的BP神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)方法研究[J].微型機(jī)與應(yīng)用，2014，33（22）：67-70.

[8]彭小金，武小年.基于特征選擇和支持向量機(jī)的入侵檢測(cè)方法[J].大眾科技，2014，16（3）：6-8.

[9]徐鵬，姜鳳茹.粒子群算法和K近鄰相融合的網(wǎng)絡(luò)入侵檢測(cè)[J].計(jì)算機(jī)工程與應(yīng)用，2014，50（11）：95-98.

[10]吉根林.遺傳算法研究綜述[J].計(jì)算機(jī)應(yīng)用與軟件，2004，21（2）：69-73.

[11]王芳.粒子群算法的研究[D].西南大學(xué)，2006.

[12]謝宇，趙春霞，張浩峰，等.基于混合交叉差分進(jìn)化的相機(jī)空間操控系統(tǒng)參數(shù)優(yōu)化[J].物理學(xué)報(bào)，2015，64（2）：1-7.

[13]唐睿，馮學(xué)鋼.基于馬爾科夫預(yù)測(cè)的國(guó)內(nèi)赴滬旅游者旅游消費(fèi)結(jié)構(gòu)分析[J].旅游論壇，2015，8（1）：38-45.

[14]馬杰，任望，薛東軍，等.灰色災(zāi)變模型在計(jì)算機(jī)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)中的研究[C]//第三屆信息安全漏洞分析與風(fēng)險(xiǎn)評(píng)估大會(huì)，2010.

[15]胡明明，王慧強(qiáng)，賴(lài)積保.一種基于GA-BPNN的網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)方法[J].北京：中國(guó)科技論文在線，2007.

[16]王華秋，曹長(zhǎng)修.一種并行核徑向基神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)模型[J].重慶大學(xué)學(xué)報(bào)：自然科學(xué)版，2006，29（3）：80-83.

通訊作者：胡冠宇。