王迎云

(安徽新華學(xué)院 信息工程學(xué)院，安徽 合肥 230088)

數(shù)·理·化

基于優(yōu)化動(dòng)態(tài)小波神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估

王迎云

(安徽新華學(xué)院 信息工程學(xué)院，安徽 合肥 230088)

為了分析網(wǎng)絡(luò)威脅的演化趨勢，并探討安全態(tài)勢的自主感知和調(diào)控問題，將動(dòng)態(tài)小波神經(jīng)網(wǎng)絡(luò)融入模型的設(shè)計(jì)，提出一種基于優(yōu)化動(dòng)態(tài)小波神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估，增強(qiáng)網(wǎng)絡(luò)安全系統(tǒng)的層間交互和認(rèn)知能力。仿真實(shí)驗(yàn)結(jié)果表明:基于優(yōu)化動(dòng)態(tài)小波神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估及方法能夠態(tài)勢提取異質(zhì)安全數(shù)據(jù)，動(dòng)態(tài)感知威脅的演化趨勢，并具有一定的自主調(diào)控能力，達(dá)到了態(tài)勢評估的研究目的，為監(jiān)控和管理網(wǎng)絡(luò)提供了新的方法和手段。

網(wǎng)絡(luò)安全態(tài)勢評估；小波神經(jīng)網(wǎng)絡(luò)；多源態(tài)勢提??；評估

網(wǎng)絡(luò)安全態(tài)勢評估(network security situation awareness，簡稱NSSA)主要應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域，對該領(lǐng)域發(fā)展中存在的問題進(jìn)行有效的分析，能夠通過提取各網(wǎng)絡(luò)部件實(shí)現(xiàn)對安全事件的有效檢測，進(jìn)而對網(wǎng)絡(luò)環(huán)境進(jìn)行感知，分析其面臨的主要風(fēng)險(xiǎn)，當(dāng)前在國際上已經(jīng)成為了一個(gè)具有多學(xué)科交叉性的研究熱點(diǎn)。神經(jīng)網(wǎng)絡(luò)被認(rèn)為是解決目前研究中問題的一種新機(jī)制，文獻(xiàn)[1-3]認(rèn)為神經(jīng)網(wǎng)絡(luò)可使用與OODA類似的設(shè)計(jì)，以使得系統(tǒng)具有更強(qiáng)的認(rèn)知能力。在神經(jīng)網(wǎng)絡(luò)研究領(lǐng)域，跨層設(shè)計(jì)屬于其中的研究熱點(diǎn)，而且這種結(jié)構(gòu)形式在當(dāng)前也被學(xué)術(shù)界所廣泛接受。文獻(xiàn)[4-6]認(rèn)為，在整個(gè)的神經(jīng)網(wǎng)絡(luò)中，跨層結(jié)構(gòu)發(fā)揮著基礎(chǔ)性作用，對于傳統(tǒng)網(wǎng)絡(luò)層次間存在的信息交互困難問題是能夠?qū)崿F(xiàn)有效解決的，而且已經(jīng)在多個(gè)研究領(lǐng)域獲得了極為廣泛的NSSA應(yīng)用[7]，包括信道管理[8]、路徑選擇[9]等。然而，當(dāng)前在實(shí)際應(yīng)用中主要是被用于特定的網(wǎng)絡(luò)層次。上述研究成果，為基于神經(jīng)網(wǎng)絡(luò)構(gòu)建具有較強(qiáng)自主性、感知能力的智能系統(tǒng)提供了良好的理論依據(jù)。

本文結(jié)合已有的研究成果，在安全態(tài)勢評估研究中，將小波神經(jīng)網(wǎng)絡(luò)引入其中，由此，構(gòu)建了安全態(tài)勢評估模型。屬于異質(zhì)傳感器環(huán)境中的動(dòng)態(tài)小波神經(jīng)網(wǎng)絡(luò)算法，能夠有效評估網(wǎng)絡(luò)安全態(tài)勢，增強(qiáng)對外部環(huán)境信息的有效感知，進(jìn)而實(shí)現(xiàn)對內(nèi)部運(yùn)行機(jī)制的有效控制，在離散計(jì)算和連續(xù)控制之間形成有效的溝通橋梁，進(jìn)而實(shí)現(xiàn)態(tài)勢評估這一目標(biāo)。

1 動(dòng)態(tài)小波神經(jīng)網(wǎng)絡(luò)安全態(tài)勢評估

圖1 威脅因子模式

通過CPSO-DS 跨層優(yōu)化態(tài)勢提取，數(shù)據(jù)的一致性、準(zhǔn)確性等問題得到了有效解決。態(tài)勢評估匯總，主要是結(jié)合態(tài)勢提取結(jié)果，通過態(tài)勢要素以及層次威脅等，形成動(dòng)態(tài)的系統(tǒng)演化圖。

1.1 態(tài)勢要素提取

將小波神經(jīng)網(wǎng)絡(luò)運(yùn)用到NSSA領(lǐng)域，就如何實(shí)現(xiàn)小波神經(jīng)網(wǎng)絡(luò)與NSSA的高度擬合進(jìn)行了研究與分析。假設(shè)在整個(gè)網(wǎng)絡(luò)環(huán)境中，需要進(jìn)行威脅因子分配的目標(biāo)類別共有n類。具體如圖1所示，n類不同的事件構(gòu)成了決策目標(biāo)，獲取的威脅因子共有m個(gè)，此時(shí)，所有的威脅因子都可通過隨機(jī)變量Xi表示，并且該變量的取值時(shí)為1和-1，以確保變量的均值為0。

對于正態(tài)分布曲線，以σ為比例因子將其縱坐標(biāo)劃分為相同的間隔，具體如圖2所示，此時(shí)位于第二象限的曲線，可以直線f(x)=A為對稱軸實(shí)施變換，同時(shí)將縱軸向左移3σ。

(1)

(2)

圖2 威脅等間隔劃分

此時(shí)，對于威脅因子只需要能夠得到其威脅類型，而且按照各威脅類型的危害程度進(jìn)行排序，此時(shí)位于第i等級的威脅因子即可獲得。通過這種方法所得到的威脅因子，其環(huán)境遷移性是較好的。如果在網(wǎng)絡(luò)攻擊敏感度不同的網(wǎng)絡(luò)中，運(yùn)用NSSA時(shí)，只要求將威脅類型進(jìn)行重新排序。因此，通過這種方法，威脅因子可以更加容易的獲得，復(fù)雜度大大降低，以往威脅因子獲得中的高復(fù)雜度、經(jīng)驗(yàn)依賴等問題得到了有效緩解。

1.2 網(wǎng)絡(luò)安全態(tài)勢評估

定義 1(威脅因子)。時(shí)間窗口 tw 內(nèi)，當(dāng)服務(wù)Si(0≤i≤u)受到網(wǎng)絡(luò)攻擊后，而且網(wǎng)絡(luò)攻擊的類型為n種aij(0≤j≤n)，則可依據(jù)攻擊對 si 所造成的威脅程度進(jìn)行排序，可將這n類攻擊進(jìn)行劃分，得到 個(gè)威脅等級，在每個(gè)威脅等級中是可能包含多個(gè)不同類型的網(wǎng)絡(luò)攻擊的，位于 等級的威脅因子為：

(3)

結(jié)合上述分析，對于不同類型的攻擊，依據(jù)定義1，是能夠進(jìn)一步量化各種攻擊所產(chǎn)生的威脅程度的，而且，攻擊強(qiáng)度也會(huì)對安全態(tài)勢產(chǎn)生一定影響，由此，是能夠得到定義2的。

(4)

上式中，u表示了服務(wù)的數(shù)目。在公式(4)中引入10lk，是對威脅因子具有的重要性進(jìn)行突出強(qiáng)調(diào)，以削弱網(wǎng)絡(luò)安全態(tài)勢受到的網(wǎng)絡(luò)攻擊影響。

2 仿真實(shí)驗(yàn)與分析

2.1 態(tài)勢性能

結(jié)合本文的研究目的，進(jìn)行了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)，設(shè)置了三種類別的傳感器，即Netflow，Snort和Snmp，以實(shí)現(xiàn)對各層次數(shù)據(jù)的充分揭示，同時(shí)，對于跨層異質(zhì)傳感的數(shù)據(jù)信息交互以及格式化操作都可通過XML 技術(shù)實(shí)現(xiàn)；如圖3所示，表示了這三類傳感器和跨層認(rèn)知環(huán)組件之間具有的內(nèi)在聯(lián)系，并且描述了Snmp傳感器的具體結(jié)構(gòu)。本文實(shí)驗(yàn)中，采用的測試集與訓(xùn)練集分別為DARPA99入侵檢測數(shù)據(jù)的10%數(shù)據(jù)集的9%、20%(具體如表1所示)。

圖3 認(rèn)知環(huán)組件關(guān)系

表1 基本實(shí)驗(yàn)數(shù)據(jù)

基于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過CPSO-DS能夠從重放測試集中提取態(tài)勢，同時(shí)將提取結(jié)果與不加權(quán)的傳統(tǒng)D-S、經(jīng)驗(yàn)權(quán)值D-S 態(tài)勢提取、PSO-DS等進(jìn)行對比，主要是從檢測率(DR)與誤警率(FDR)兩個(gè)角度進(jìn)行的對比分析，具體結(jié)果如表2所示。

表2 態(tài)勢提取性能

分析表2能夠得出，不管是在DR指標(biāo)還是在 FDR指標(biāo)上，CPSO-DS多源態(tài)勢都表現(xiàn)出了更優(yōu)的性能，而且對比文獻(xiàn)[3]中的研究結(jié)果能夠發(fā)現(xiàn)，可通過增加傳感器數(shù)目來提高準(zhǔn)確性，進(jìn)而使得誤警率得以有效下降。就U2R與R2L兩種類型來講，如果只是增加傳感器數(shù)目，檢測率的改善效果是較為有限的，要求能夠基于主機(jī)設(shè)計(jì)更多的傳感器，通過這種方式其檢測能力是能夠得到顯著提高的。此外，對比兩數(shù)據(jù)源以及三數(shù)據(jù)源在性能方面的差異，數(shù)據(jù)源的增加使得準(zhǔn)確率得到了提高，然而，這種提高在有些時(shí)候并不是十分顯著的，也就是說，在多源態(tài)勢提取中，并不意味著數(shù)據(jù)源的數(shù)目越多所得到的結(jié)果是最優(yōu)的，態(tài)勢提取準(zhǔn)確性，將會(huì)受到傳感器性能的影響。

2.2 網(wǎng)絡(luò)安全態(tài)勢評估

主機(jī)重要性權(quán)重，屬于感知網(wǎng)絡(luò)安全態(tài)勢的必要條件，然而，確定主機(jī)權(quán)重是相對困難的。主機(jī)權(quán)重涉及到資產(chǎn)價(jià)值(Vh)、訪問頻率(Af)等等，具體如表3所示，可通過公式對主機(jī)重要性進(jìn)行描述，即為：tH1=kVVhi+kCCsi+kAAfi+kDDci，kV=0.2，kC=0.3，kA=kD=0.25 ?；谥鳈C(jī)安全態(tài)勢，結(jié)合表3中所得到的重要性權(quán)重，通過公式(9)能夠得到該網(wǎng)絡(luò)系統(tǒng)具有的安全態(tài)勢演化視圖，見圖4 。

表3 主機(jī)等級

圖4 網(wǎng)絡(luò)安全態(tài)勢

分析圖4能夠得到網(wǎng)路安全態(tài)勢在一周內(nèi)的波動(dòng)演化情況，具體表現(xiàn)為在周三、四、六三天的某些時(shí)段出現(xiàn)了攻擊事件，可能屬于黑客攻擊，盡管此時(shí)要求對主機(jī)、服務(wù)進(jìn)行有效的維護(hù)，不過從整個(gè)網(wǎng)絡(luò)來看，影響并不顯著。對此，管理員應(yīng)當(dāng)能夠進(jìn)行重點(diǎn)監(jiān)控，并且制定有效的防范措施，以有效防范系統(tǒng)崩潰等問題的發(fā)生。

3 結(jié)論

本文結(jié)合當(dāng)前在網(wǎng)絡(luò)安全感知方面的研究成果，簡單闡述了神經(jīng)網(wǎng)絡(luò)的相關(guān)內(nèi)容，同時(shí)，提出了網(wǎng)絡(luò)安全態(tài)勢評估分析模型。并且結(jié)合評估模型，對異構(gòu)網(wǎng)絡(luò)的CPSO-DS 動(dòng)態(tài)小波神經(jīng)網(wǎng)絡(luò)算法進(jìn)行了論述分析，基于威脅因子獲取以及態(tài)勢梯度，對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行了自主調(diào)控。仿真實(shí)驗(yàn)表明，本文所提出的基于優(yōu)化動(dòng)態(tài)小波神經(jīng)網(wǎng)絡(luò)設(shè)計(jì)的網(wǎng)絡(luò)安全態(tài)勢感控模型，能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)安全事件的高效識別，能夠?qū)Σ煌瑢用娴耐{演化趨勢進(jìn)行動(dòng)態(tài)感知。

[1] Wang M,Suda T.The bio-networking architecture.: A biologically inspired approach to the design of scalable,adaptive and surviable/available network applications[C].// Applications and the Intemet,2001.Proceedings 2001 Symposium on IEEE,2001:43-45.

[2] Tadda G,Salerno JJ,Boulware D,Hinman M,Gorton S.Realizing situation awareness within a cyber environment.[C].//Proleedings of SPIE-The.Intemational Society for Optical Engineering 2006,6242.

[3] Shen D,Chen G,Cruz JB,Haynes JL,Kruger M,Blasch E.A Markov game theoretic approach for cyber situational awareness.[C].//Proceeding of SPIE,2007,6571:1-11.

[4] Stephen L.The spinning cube of potential doom[J].Communications of the ACM,2004,47(6):25-26.

[5] Lakkaraju K,Yurcik W,Lee AJ.NVisionIP: NetFlow visualizations of system state for security situational awareness[C].// In: Proc.Of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security.DBLP,2004:65-72.

[6] Shiravi H,Shiravi A,Ghorbani AA.A survey of visualization systems for network security[J].IEEE Trans.on Visualization and Computer Graphics,2012,18(8):1313-1329.

[7] Chen XZ,Zheng QH,Guan XH,Lin CG.Quantitative hierarchical threat evaluation model for network security[J].Journal of Software,2016,17(4):885-897.

[8] Hu W,Li J,Jiang X.A hierarchical algorithm for cyberspace situational awareness based on analytic hierarchy process[J].High Technology Letters,2007,13(3):291-296.

[9] Wei Y,Lian YF,Feng DG.A network security situational awareness model based on information fusion[J].Journal of Computer Research and Development,2009,46(3):353-362.

(編輯：嚴(yán)佩峰)

Network Security Situation Awareness Based on the Optimized Dynamic Wavelet Neural Network

WANG Ying-yun

(College of Information Engineering，Anhui Xinhua University，Hefei 230088，China)

In order to analyze the evolvement trend of the network threat and to explore the self-perception and control problem of the security situation,the dynamic wavelet neural network is integrated into the model design,and a kind of network security situation awareness based on the optimized dynamic wavelet neural network is put forward,so as to enhance the interaction and cognitive ability between the layers of the network security system.The simulation results show that: The network security situation awareness and method based on the optimized dynamic wavelet neural network can integrate the heterogeneous security data with dynamic perception on the evolution trend of the threat,and have the ability of self-regulation and control to certain extent,which has achieved the goal of situation awareness,and provided new methods and means for the supervision and management of network.

network security situation awareness;wavelet neural network;multi-source fusion;awareness

2017-06-09

安徽省自然科學(xué)研究項(xiàng)目(KJ2016A303).

王迎云(1982—)女，安徽銅陵人，碩士，講師，研究方向：網(wǎng)絡(luò)安全.

TP393.08

A

2095-8978(2017)03-0095-05