鄧勇杰，文志誠，姜旭煒

（湖南工業(yè)大學 計算機與通信學院，湖南 株洲 412007）

基于灰色理論的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法

鄧勇杰，文志誠，姜旭煒

（湖南工業(yè)大學 計算機與通信學院，湖南 株洲 412007）

為了有效地預(yù)測網(wǎng)絡(luò)安全態(tài)勢，在態(tài)勢因子和灰色理論的基礎(chǔ)上，提出了將灰色GM(1, 1)和GM（1, N）模型相結(jié)合來預(yù)測網(wǎng)絡(luò)安全態(tài)勢的方法。首先篩選態(tài)勢因子，再利用模型GM(1, 1)對態(tài)勢因子的變化進行預(yù)測，得到N個態(tài)勢因子變化函數(shù)，最后利用這些函數(shù)和模型GM(1, N)對網(wǎng)絡(luò)安全態(tài)勢進行預(yù)測。將灰色GM(1, 1)模型、神經(jīng)網(wǎng)絡(luò)模型和本文方法對網(wǎng)絡(luò)安全態(tài)勢進行預(yù)測，實驗結(jié)果表明，本方法能夠更準確地預(yù)測網(wǎng)絡(luò)安全態(tài)勢。

灰色理論；灰色模型；網(wǎng)絡(luò)安全態(tài)勢預(yù)測

0 引言

隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展，互聯(lián)網(wǎng)成為了社會的基礎(chǔ)信息設(shè)施。與此同時，網(wǎng)絡(luò)攻擊和破壞行為日益普遍，傳統(tǒng)的網(wǎng)絡(luò)安全防護設(shè)備如防火墻、入侵檢測系統(tǒng)（intrusion detection systems，IDS）等存在著各自為戰(zhàn)、功能單一等問題，不能全方位地對網(wǎng)絡(luò)的安全狀態(tài)做出整體的評價和估計[1]。如何及時準確、全面地掌握網(wǎng)絡(luò)安全狀況，針對網(wǎng)絡(luò)安全的整體情況準確地做出預(yù)測[2]，發(fā)布預(yù)警和制定應(yīng)對的策略來保障網(wǎng)絡(luò)的健康運行成為影響社會經(jīng)濟發(fā)展的重要因素。

針對網(wǎng)絡(luò)安全態(tài)勢感知的研究就是在這種背景下產(chǎn)生的。網(wǎng)絡(luò)安全態(tài)勢感知最早由T. Bass[3]引入網(wǎng)絡(luò)領(lǐng)域，并迅速成為網(wǎng)絡(luò)安全領(lǐng)域的一個研究熱點。M. R. Endsley于1995年提出的Endsley層次模型將態(tài)勢感知模型分為3個部分：態(tài)勢要素獲取，態(tài)勢評估，態(tài)勢預(yù)測[4]。其中，態(tài)勢預(yù)測作為態(tài)勢感知的一個重要部分，它能夠?qū)W(wǎng)絡(luò)系統(tǒng)整體運行的安全狀況及未來趨勢進行把握，實時地感知網(wǎng)絡(luò)所面臨的威脅，并為及時、準確的決策提供可靠依據(jù)，使由網(wǎng)絡(luò)不安全帶來的風險和損失降低到最低限度。

在網(wǎng)絡(luò)安全態(tài)勢預(yù)測之前，需先獲取態(tài)勢要素、態(tài)勢評估來得出態(tài)勢；然后通過分析態(tài)勢序列的前N個時刻的態(tài)勢值，來對未來的M個態(tài)勢值進行預(yù)測[5]。具體分為2步：1）收集態(tài)勢數(shù)據(jù)；2）利用數(shù)學模型和方法挖掘態(tài)勢數(shù)據(jù)本身的變化規(guī)律，預(yù)測出未來某個階段的網(wǎng)絡(luò)安全態(tài)勢。

傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法大部分采用單一形式，方法本身過于復雜，不適合復雜多變的網(wǎng)絡(luò)環(huán)境。最大的缺陷就是僅針對網(wǎng)絡(luò)安全態(tài)勢本身的數(shù)據(jù)進行分析，利用數(shù)據(jù)挖掘技術(shù)挖掘安全態(tài)勢數(shù)據(jù)序列的變化規(guī)律來達到預(yù)測目的，沒有對網(wǎng)絡(luò)安全態(tài)勢因子進行深入研究，存在預(yù)測精度不高、參數(shù)確定困難等問題。這些缺陷迫切需要研究者們改變研究思路，從其它角度入手，更有效地去預(yù)測網(wǎng)絡(luò)安全態(tài)勢。為了準確預(yù)測網(wǎng)絡(luò)安全態(tài)勢，本文提出了一種基于灰色理論的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法。該方法首先從影響網(wǎng)絡(luò)安全態(tài)勢的因子入手，運用灰色模型中的數(shù)學方法處理網(wǎng)絡(luò)安全態(tài)勢因子的歷史數(shù)據(jù)和當前數(shù)據(jù)序列，挖掘出態(tài)勢因子的變化規(guī)律，然后分析態(tài)勢因子與網(wǎng)絡(luò)安全態(tài)勢之間的聯(lián)系，最后得到基于態(tài)勢因子的網(wǎng)絡(luò)安全態(tài)勢變化函數(shù)，預(yù)測網(wǎng)絡(luò)安全態(tài)勢。

1 相關(guān)工作

針對網(wǎng)絡(luò)安全態(tài)勢預(yù)測，國內(nèi)外研究學者提出了多種多方位、多層面的預(yù)測方法和模型，主要有：灰色GM(1, 1)模型[6]、貝葉斯網(wǎng)絡(luò)[7]、支持向量機（support vector machine，SVM）[8]、神經(jīng)網(wǎng)絡(luò)[9]以及各種復合模型。

灰色GM(1, 1)模型從隨時間變化的態(tài)勢數(shù)列中挖掘有關(guān)信息。優(yōu)點是所需數(shù)據(jù)量少，弱化數(shù)列隨機性，挖掘其潛在規(guī)律。缺點是精度不高，僅考慮單一情形，對態(tài)勢本身的影響因子不予考慮，它只能做一個整體大概的預(yù)測。

人工智能領(lǐng)域的BP神經(jīng)網(wǎng)絡(luò)[10]具有對混沌、非線性數(shù)據(jù)分析處理能力，能完成極為復雜的模式抽取及趨勢分析，非常適合解決預(yù)測的問題。不足之處是需要大量樣本訓練神經(jīng)網(wǎng)絡(luò)，模型中的關(guān)鍵參數(shù)獲取困難。

貝葉斯網(wǎng)絡(luò)是一種以概率推導事件先后關(guān)系的網(wǎng)絡(luò)。它的態(tài)勢預(yù)測要在已知態(tài)勢基礎(chǔ)上，分析當前態(tài)勢與下一個態(tài)勢的概率關(guān)系。這種完全以概率為推導的預(yù)測方法的預(yù)測結(jié)果隨機性太大，預(yù)測準確度不高。

支持向量機具有收斂速度快、抗過擬合能力強等優(yōu)點。但單獨使用SVM做預(yù)測模型也存在SVM訓練過程參數(shù)選取盲目性的問題。

各種復合方法是對已知預(yù)測方法的優(yōu)化改進，以減少預(yù)測時間，提高準確度為目標。但復合方法本身就增加了工作量，改進的性能也受模型本身缺陷的限制。

灰色理論GM(1, N)模型是基于累加生成的數(shù)列建立一階N個變量的微分方程模型。其適合于建立各變量的動態(tài)關(guān)聯(lián)分析模型，解釋性較其它模型有很大提高。

綜上所述，針對傳統(tǒng)網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法存在的缺陷，本文提出將灰色GM(1, 1)與GM(1, N)模型相結(jié)合的方法來預(yù)測網(wǎng)絡(luò)安全態(tài)勢。

2 態(tài)勢因子篩選

2.1 態(tài)勢因子指標

在互聯(lián)網(wǎng)實際應(yīng)用中，網(wǎng)絡(luò)安全態(tài)勢的因子是從入侵檢測日志、防火墻日志、病毒掃描系統(tǒng)、主機設(shè)備運行狀態(tài)、節(jié)點流量監(jiān)控設(shè)備、實時告警系統(tǒng)[11]上獲得的多源異質(zhì)觀測數(shù)據(jù)。本文依據(jù)網(wǎng)絡(luò)基礎(chǔ)運行性、網(wǎng)絡(luò)脆弱性、網(wǎng)絡(luò)威脅性[12]，分析了以下態(tài)勢因子：與基礎(chǔ)運行相關(guān)的CPU使用率、內(nèi)存占用量、流量狀態(tài)、子網(wǎng)帶寬占用率、數(shù)據(jù)丟包率等；與網(wǎng)絡(luò)威脅性相關(guān)的病毒攻擊頻率、病毒數(shù)目、攻擊危害度等；與網(wǎng)絡(luò)脆弱性相關(guān)的網(wǎng)絡(luò)安全設(shè)備數(shù)目、關(guān)鍵設(shè)備漏洞數(shù)目等。

2.2 因子篩選

影響網(wǎng)絡(luò)安全態(tài)勢的因子較多，本課題組只選取對網(wǎng)絡(luò)安全態(tài)勢有主要影響的因子。利用灰色理論中的灰色關(guān)聯(lián)度分析法，分析因子與網(wǎng)絡(luò)安全態(tài)勢的關(guān)聯(lián)度。

灰色關(guān)聯(lián)系數(shù)為

3 基于灰色理論的態(tài)勢預(yù)測

灰色理論是由我國學者鄧聚龍[13]于1982年提出的。之后，其相關(guān)研究工作迅速展開，現(xiàn)已經(jīng)成為一個完備的理論體系。其中，灰色預(yù)測方法是根據(jù)過去及現(xiàn)在已知的或非確知的信息，建立一個從過去引申到將來的灰色GM模型，確定系統(tǒng)在未來的變化趨勢，為規(guī)劃決策提供依據(jù)。

4 實驗分析

為了驗證本文提出的基于灰色理論的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法的合理性，本課題組構(gòu)建了一個特定的網(wǎng)絡(luò)，采用MATLAB 7.0平臺進行仿真實驗[14-15]。實驗數(shù)據(jù)主要是通過觀測網(wǎng)絡(luò)中的IDS, Netflow,Firewall日志等獲得。實驗前，對所有數(shù)據(jù)進行了無量綱歸一化處理，處理后的數(shù)據(jù)的取值范圍為[0, 1]。再將各類惡意攻擊流量注入到本文特定的正常網(wǎng)絡(luò)中，從各網(wǎng)絡(luò)節(jié)點匯聚獲得異常數(shù)據(jù)。

4.1 因子篩選結(jié)果

通過灰色關(guān)聯(lián)度分析計算，篩選出來以下8個影響網(wǎng)絡(luò)安全態(tài)勢的主要指標：與基礎(chǔ)運行相關(guān)的CPU使用率、內(nèi)存占用量、流量狀態(tài)；與網(wǎng)絡(luò)威脅性相關(guān)的病毒攻擊頻率、病毒數(shù)目、告警數(shù)目；與網(wǎng)絡(luò)脆弱性相關(guān)的網(wǎng)絡(luò)安全設(shè)備數(shù)目、關(guān)鍵設(shè)備漏洞數(shù)目。

4.2 預(yù)測過程

為了驗證本方法的優(yōu)越性，本文分別將灰色GM(1, 1)模型、神經(jīng)網(wǎng)絡(luò)模型和本模型對網(wǎng)絡(luò)安全態(tài)勢進行預(yù)測，并比對其預(yù)測結(jié)果。

神經(jīng)網(wǎng)絡(luò)模型。神經(jīng)網(wǎng)絡(luò)模型采用RBF(radical basis function)神經(jīng)網(wǎng)絡(luò)，參數(shù)選取如下：1）神經(jīng)網(wǎng)絡(luò)輸入向量X的維數(shù)N=9，即以9天為周期單位對網(wǎng)絡(luò)進行預(yù)測；2）神經(jīng)網(wǎng)絡(luò)輸出向量Y的維數(shù)M=1，即根據(jù)神經(jīng)網(wǎng)絡(luò)歷史9天的輸入向量，預(yù)測未來1天態(tài)勢值；3）訓練樣本數(shù)量K=100。表1為9天的網(wǎng)絡(luò)安全態(tài)勢。

表1 3種模型的預(yù)測結(jié)果表Table 1 Predicted results of three models

將表1中3種模型的預(yù)測值進行殘差、相對誤差檢驗，檢驗其準確性。精度檢驗結(jié)果見表2。

表2 精度檢驗結(jié)果表Table 2 Accuracy test results

4.3 結(jié)果分析

從3種模型的網(wǎng)絡(luò)安全態(tài)勢預(yù)測結(jié)果可以看出，當惡意攻擊流量注入正常的網(wǎng)絡(luò)流量中后，預(yù)測結(jié)果均顯示網(wǎng)絡(luò)安全態(tài)勢的總體趨勢在逐漸上升，網(wǎng)絡(luò)安全狀況有逐漸變差的趨勢，需要即時采取相應(yīng)安全措施。

3種模型的預(yù)測結(jié)果誤差和適用范圍各有不同?；疑獹M(1, 1) 模型預(yù)測結(jié)果的平均殘差和平均相對誤差較大，主要反映了安全態(tài)勢的總體平滑趨勢。雖然神經(jīng)網(wǎng)絡(luò)模型的預(yù)測結(jié)果誤差相對于灰色GM(1, 1)模型要小些，但是其算法收斂速度慢，尤其在網(wǎng)絡(luò)結(jié)構(gòu)復雜、時間復雜度過高的情況下，會失去其實際價值。本方法綜合考慮了影響安全態(tài)勢的因子，預(yù)測結(jié)果的平均殘差和平均相對誤差較灰色GM(1, 1)模型和神經(jīng)網(wǎng)絡(luò)模型要小很多，準確地反映出網(wǎng)絡(luò)安全態(tài)勢變化趨勢，更能適應(yīng)于復雜多變的網(wǎng)絡(luò)環(huán)境。

5 結(jié)語

面對日益復雜的網(wǎng)絡(luò)安全形勢，如何及時準確地為網(wǎng)絡(luò)管理員提供網(wǎng)絡(luò)安全態(tài)勢的信息成為一個研究熱點。傳統(tǒng)的態(tài)勢預(yù)測方法只是片面單一地從網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)本身進行分析，存在誤差較大、或者訓練數(shù)據(jù)樣本過大、參數(shù)確定困難、適應(yīng)范圍有限等問題。本文針對影響網(wǎng)絡(luò)安全態(tài)勢的因子，將灰色理論運用在網(wǎng)絡(luò)安全態(tài)勢預(yù)測中，該方法較好地克服了傳統(tǒng)方法的不足，能更準確地預(yù)測網(wǎng)絡(luò)安全態(tài)勢，為保障網(wǎng)絡(luò)的健康運行提供了一種可行的辦法。

[1] 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心. 2011年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢報告[J]. 信息網(wǎng)絡(luò)安全，2012，10(4) ：98-100. CNCERT/CC. 2011 Chinese Internet Network Security Situation Report[J]. Netinfo Security，2012，10(4)：98-100.

[2] 王 庚，張景輝，吳 娜. 網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法的應(yīng)用研究[J]. 計算機仿真，2012，29(2) ：98-101. Wang Geng，Zhang Jinghui，Wu Na. Application Research on Network Security Situation Prediction Method[J]. Computer Simulation，2012，29(2) ：98-101.

[3] Bass T. Intrusion Detection Systems and Multisensor Data Fusion：Creating Cyberspace Situational Awareness[J]. Communications of the ACM，2000，43(4) ：99-105.

[4] Snyder L. Formal Models of Capability-Based Protection Systems[J]. IEEE Transactions on Computers，1981，30 (3) ：172-181.

[5] 劉 鵬，孟 炎，吳艷艷. 大規(guī)模網(wǎng)絡(luò)安全態(tài)勢感知及預(yù)測[J]. 計算機安全，2013 (2) ：28-35. Liu Peng，Meng Yan，Wu Yanyan. Large-Scale Network Security Situation Awareness and Forecast[J]. Journal of Computer Security，2013(2) ：28-35.

[6] 鄧聚龍. 灰理論基礎(chǔ)[M]. 武漢：華中科技大學出版社，2003：5-10. Deng Julong. Gray Theory[M]. Wuhan：Huazhong University of Science & Technology Press Co., Ltd.，2003：5-10.

[7] Cooper G F. The Computational Complexity of Probabilistic Inference Using Bayesian Belief Networks[J]. Artificial Intelligence，1990，42 (2) ：393-405.

[8] 汪材印. 灰色關(guān)聯(lián)分析和支持向量機相融合的網(wǎng)絡(luò)安全態(tài)勢評估[J]. 計算機應(yīng)用研究，2013，30(6) ：1859-1862. Wang Caiyin. Assessment of Network Security Situation Based on Grey Relational Analysis and Support Vector Machine[J]. Application Research of Computer，2013，30 (6) ：1859-1862.

[9] 謝麗霞，王亞超，于巾博. 基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢感知[J]. 清華大學學報：自然科學版，2013，53(12) ：1750-1760. Xie Lixia，Wang Yachao，Yu Jinbo. Network Security Situation Awareness Based on Neural Network[J]. Journal of Tsinghua University：Science and Technology，2013，53(12) ：1750-1760.

[10]唐成華，余順爭. 一種基于似然BP的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J]. 計算機科學，2009，36(11) ：97-101. Tang Chenghua，Yu Shunzheng. Method of Network Security Situation Prediction Based on Likelihood BP[J]. Computer Science，2009，36(11) ：97-101.

[11]黃同慶，莊 毅. 一種實時網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J]. 小型微型計算機系統(tǒng)，2014，35(2) ：303-306. Huang Tongqing，Zhuang Yi. An Approach to Real-Time Network Security Situation Prediction[J]. Journal of Chinese Computer Systems，2014，35(2) ：303-306.

[12]賈 焰，王曉偉，韓偉紅，等. YHSSAS：面向大規(guī)模網(wǎng)絡(luò)的安全態(tài)勢感知系統(tǒng)[J]. 計算機科學，2011， 38(2) ：4-8. Jia Yan，Wang Xiaowei，Han Weihong，et al. YHSSAS：Large-Scale Network Oriented Security Situational Awareness System[J]. Computer Science，2011，38(2) ：4-8.

[13]鄧聚龍. 灰色預(yù)測與決策[M]. 武漢：華中科技大學出版社，1986：12-25. Deng Julong. Gray Forecast and Decision Making[M]. Wuhan：Huazhong University of Science & Technology Press Co., Ltd.，1986：12-25.

[14]葉健健，文志誠，吳欣欣. 基于貝葉斯方法的網(wǎng)絡(luò)安全態(tài)勢感知模型[J]. 湖南工業(yè)大學學報，2014，28(3) ：65-70. Ye Jianjian，Wen Zhicheng，Wu Xinxin. The Network Security Situational Awareness Model Based on Bayesian Method[J]. Journal of Hunan University of Technology，2014，28(3) ：65-70.

[15]蒲天銀. 基于灰色理論的網(wǎng)絡(luò)安全態(tài)勢感知模型[D]. 長沙：湖南大學，2009. Pu Tianyin. Probe on the Network Security Situational Awareness Model Based on the Gray Theory[D]. Changsha：Hunan University，2009.

（責任編輯：鄧 彬）

Prediction Method of Network Security Situation Based on Grey Theory

Deng Yongjie，Wen Zhicheng，Jiang Xuwei
（School of Computer and Communication，Hunan University of Technology，Zhuzhou Hunan 412007，China）

In order to forecast network security situation effectively, puts forward a forecast method which combines GM(1,1) and GM(1, N) model on the basis of situation factors and grey theory. First filters situation factors, then applies model GM(1,1) to forecast variation of the situation factors, and obtains N functions of situation factors variation, finally uses the functions and grey model GM(1, N) to forecast network security situation. The grey model GM(1,1), neural network model and the proposed method are used to forecasts network security situation, and the experimental results prove that the proposed method forecasts more accurately the network security situation.

grey theory；grey model；network security situation prediction

TP393.08

A

1673-9833(2015)02-0069-05

10.3969/j.issn.1673-9833.2015.02.013

2015-01-25

鄧勇杰（1986-），男，湖南邵陽人，湖南工業(yè)大學碩士生，主要研究方向為網(wǎng)絡(luò)安全態(tài)勢感知，E-mail ：1240858496@qq.com

文志誠（1972-），男，湖南安東人，湖南工業(yè)大學副教授，博士，主要研究方向為軟件工程，網(wǎng)絡(luò)安全，E-mail ：7284353@qq.com