丁華東,許華虎,段 然,陳 帆

(上海大學(xué) 計(jì)算機(jī)工程與科學(xué)學(xué)院,上海 200444)

0 概述

隨著互聯(lián)網(wǎng)的發(fā)展以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善,基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)信息技術(shù)帶給人們?cè)絹?lái)越多的便利,但與此同時(shí)也帶來(lái)了潛在的安全隱患。為應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)安全威脅,人們提出多種安全技術(shù)來(lái)防范應(yīng)對(duì),如入侵檢測(cè)、流量檢測(cè)以及漏洞檢測(cè)等[1],以期能從不同角度發(fā)現(xiàn)并消除網(wǎng)絡(luò)中存在的安全隱患,達(dá)到保護(hù)網(wǎng)絡(luò)環(huán)境安全的目的。由于當(dāng)前網(wǎng)絡(luò)空間的基本安全態(tài)勢(shì)是“易攻難守”[2],因此網(wǎng)絡(luò)安全態(tài)勢(shì)感知(Network Security Situation Awareness,NSSA)技術(shù)成為研究熱點(diǎn)。

目前針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究仍處于初級(jí)階段[3]。文獻(xiàn)[4]提出基于Markov博弈模型的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法,通過(guò)對(duì)多傳感器檢測(cè)到的數(shù)據(jù)進(jìn)行融合,建立三方參與的博弈模型,使得評(píng)估能夠?qū)崟r(shí)運(yùn)行。但該方法對(duì)大規(guī)模網(wǎng)絡(luò)的評(píng)估效率較低，并且模型中的各個(gè)參數(shù)需要在真實(shí)的網(wǎng)絡(luò)環(huán)境中不斷測(cè)試，以滿足不同行業(yè)的應(yīng)用需求。文獻(xiàn)[5]構(gòu)建基于神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型,利用神經(jīng)網(wǎng)絡(luò)找出網(wǎng)絡(luò)態(tài)勢(shì)值的非線性映射關(guān)系,采用自適應(yīng)遺傳算法對(duì)參數(shù)進(jìn)行優(yōu)化從而感知網(wǎng)絡(luò)安全態(tài)勢(shì)。但該模型不能實(shí)現(xiàn)對(duì)未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)的準(zhǔn)確預(yù)測(cè)。文獻(xiàn)[6]構(gòu)建非等時(shí)距灰色Verhulst殘差修正態(tài)勢(shì)感知模型,首先利用相關(guān)模型對(duì)網(wǎng)絡(luò)中的風(fēng)險(xiǎn)值做出預(yù)測(cè),然后基于多級(jí)殘差對(duì)精度進(jìn)行修正,最后通過(guò)修正后的模型得到態(tài)勢(shì)感知預(yù)測(cè)結(jié)果。但該文沒(méi)有考慮殘差序列的選取方式以及模型實(shí)現(xiàn)的時(shí)空復(fù)雜度。

針對(duì)上述方法的不足,本文構(gòu)建一種基于貝葉斯網(wǎng)絡(luò)的安全態(tài)勢(shì)感知模型。對(duì)數(shù)據(jù)源中影響網(wǎng)絡(luò)安全態(tài)勢(shì)的各個(gè)指標(biāo)進(jìn)行層次化處理,通過(guò)貝葉斯方法計(jì)算各個(gè)指標(biāo)的后驗(yàn)概率,并據(jù)此將底層指標(biāo)逐級(jí)向上混合,最終得到網(wǎng)絡(luò)空間整體安全態(tài)勢(shì)評(píng)價(jià)指標(biāo)。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型

網(wǎng)絡(luò)態(tài)勢(shì)是指網(wǎng)絡(luò)內(nèi)部系統(tǒng)狀態(tài)、外部行為狀態(tài)、內(nèi)部用戶狀態(tài)之間相互平衡所構(gòu)成的一個(gè)整體態(tài)勢(shì)。態(tài)勢(shì)感知最早來(lái)源于美國(guó)軍方在軍事對(duì)抗中所進(jìn)行的研究[7],目標(biāo)是使得軍事博弈的雙方指揮官能夠獲悉對(duì)方的軍事行為狀態(tài)從而做出有利于己方的軍事判斷。文獻(xiàn)[8-9]將態(tài)勢(shì)感知定義為感知一定時(shí)間和空間范圍內(nèi)的狀態(tài)并進(jìn)行理解和分析。文獻(xiàn)[10]將態(tài)勢(shì)感知應(yīng)用于網(wǎng)絡(luò)空間,提出了初步的網(wǎng)絡(luò)態(tài)勢(shì)感知的概念(NetSA),但并沒(méi)有給出網(wǎng)絡(luò)安全態(tài)勢(shì)感知的明確定義[11]。

此后,許多研究人員開始對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知進(jìn)行了研究。文獻(xiàn)[12]將網(wǎng)絡(luò)安全態(tài)勢(shì)感知分為3個(gè)層次,即網(wǎng)絡(luò)安全態(tài)勢(shì)覺察、網(wǎng)絡(luò)安全態(tài)勢(shì)理解以及網(wǎng)絡(luò)安全態(tài)勢(shì)投射。其中:態(tài)勢(shì)覺察主要完成對(duì)初始數(shù)據(jù)的提取并分辨初始數(shù)據(jù)中的關(guān)聯(lián)信息,即對(duì)源數(shù)據(jù)進(jìn)行降噪、規(guī)范化處理,得到具體有效的信息,主要目的是辨識(shí)出系統(tǒng)中的活動(dòng);態(tài)勢(shì)理解主要對(duì)分辨出的關(guān)聯(lián)信息進(jìn)行理解,在此基礎(chǔ)上分析當(dāng)前的安全形勢(shì),判斷是否發(fā)生安全攻擊行為并對(duì)安全等級(jí)進(jìn)行評(píng)定;態(tài)勢(shì)投射主要完成這些活動(dòng)意圖是否會(huì)產(chǎn)生攻擊的判斷任務(wù),即在前兩步的基礎(chǔ)上分析并評(píng)估各個(gè)活動(dòng)對(duì)當(dāng)前系統(tǒng)環(huán)境所造成的影響,判斷其是否會(huì)對(duì)系統(tǒng)環(huán)境造成威脅,包括發(fā)現(xiàn)已經(jīng)產(chǎn)生的威脅和預(yù)測(cè)可能產(chǎn)生的威脅。

本文將對(duì)源數(shù)據(jù)的預(yù)處理、數(shù)據(jù)信息的建模以及預(yù)信息的采集作為態(tài)勢(shì)覺察層進(jìn)行分類,而將與信息理解有關(guān)的機(jī)器學(xué)習(xí)模塊以及初步態(tài)勢(shì)的獲取作為態(tài)勢(shì)理解層進(jìn)行分類。同時(shí),對(duì)預(yù)信息的處理和對(duì)機(jī)器學(xué)習(xí)的評(píng)判之間需要不斷進(jìn)行反饋來(lái)修正最終的態(tài)勢(shì)評(píng)級(jí),將態(tài)勢(shì)指標(biāo)可視化和態(tài)勢(shì)指標(biāo)評(píng)級(jí)作為態(tài)勢(shì)投射層進(jìn)行分類。本文模型如圖1所示,其中提出了“預(yù)信息”的概念。預(yù)信息指的是外部信息首次通過(guò)數(shù)據(jù)預(yù)處理并經(jīng)過(guò)建模后所得到的先驗(yàn)信息,能夠反映數(shù)據(jù)指標(biāo)最原始的特性。該模型經(jīng)過(guò)與機(jī)器學(xué)習(xí)過(guò)程的不斷反饋?zhàn)罱K得出系統(tǒng)的初步態(tài)勢(shì)[13],然后經(jīng)過(guò)數(shù)據(jù)可視化流程和相關(guān)專家知識(shí)得到系統(tǒng)的態(tài)勢(shì)等級(jí)。

圖1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型示意圖

2 貝葉斯網(wǎng)絡(luò)模型

貝葉斯網(wǎng)絡(luò)是一種經(jīng)典的概率圖模型,其借助有向無(wú)環(huán)圖刻畫各個(gè)屬性之間的相互依賴關(guān)系,并以條件概率表的方式表現(xiàn)屬性之間的聯(lián)合概率分布情況[14]。貝葉斯網(wǎng)絡(luò)作為不確定知識(shí)推理的重要工具,具有很強(qiáng)的理論基礎(chǔ),能夠大幅降低推理的困難度,從而在很多領(lǐng)域發(fā)揮重要作用。

一個(gè)貝葉斯網(wǎng)絡(luò)可以表示為B=〈G,P〉的形式,需要說(shuō)明如下:

2)P={P(Vi/PB(Vi)),Vi∈V}是一組條件概率的集合。參數(shù)P定量描述屬性之間的依賴關(guān)系。假設(shè)屬性Vi在G中的父節(jié)點(diǎn)集為Qi,則P中含有條件概率PVi|Qi=PB(Vi|Qi)。

圖2所示為一個(gè)比較基礎(chǔ)的貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)。從中可以看出,貝葉斯網(wǎng)絡(luò)由有向無(wú)環(huán)圖G和條件概率表兩部分組成。

圖2 貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)

在有向無(wú)環(huán)圖G中可以有N個(gè)屬性節(jié)點(diǎn)。對(duì)于具體的問(wèn)題,每個(gè)屬性節(jié)點(diǎn)可以是所求問(wèn)題中的隨機(jī)變量,而在網(wǎng)絡(luò)安全態(tài)勢(shì)感知中,屬性節(jié)點(diǎn)可以是那些能夠影響態(tài)勢(shì)因素的影響因子,例如網(wǎng)絡(luò)中存在的漏洞、外部的匿名攻擊以及一些IDS報(bào)警信息等。屬性節(jié)點(diǎn)之間的有向邊一般表示的是節(jié)點(diǎn)之間的因果關(guān)系,所以,貝葉斯網(wǎng)絡(luò)有時(shí)也被稱為“信念圖”。在有向邊(Vi,Vj)中,Vi作為Vj的父節(jié)點(diǎn)存在,Vi的所有父節(jié)點(diǎn)所構(gòu)成的集合可以用PB(Vi)來(lái)表示。貝葉斯網(wǎng)絡(luò)對(duì)每個(gè)節(jié)點(diǎn)都有條件獨(dú)立的要求,任何節(jié)點(diǎn)Vi與非Vi子孫節(jié)點(diǎn)集合A(Vi)中的所有節(jié)點(diǎn)條件獨(dú)立,即I(Vi,A(Vi)/PB(Vi)),可以表示為:

P(Vi/A(Vi),PB(Vi))=P(Vi/PB(Vi))

(1)

在貝葉斯網(wǎng)絡(luò)結(jié)構(gòu)中,用P表示條件概率表。給定父節(jié)點(diǎn)集,假設(shè)每個(gè)屬性及其非子節(jié)點(diǎn)后裔屬性條件獨(dú)立,則將屬性v1,v2,…,vn的聯(lián)合概率分布定義為:

(2)

以圖2為例,聯(lián)合概率密度分布可以定義為:

P(v1,v2,v3,v4,v5)=

P(v1)P(v2)P(v3|v1)P(v4|v1,v2)P(v5|v2)

從上式可以看出,v3和v4在給定v1的取值時(shí)獨(dú)立,而v4和v5在給定v2的取值時(shí)獨(dú)立。

貝葉斯網(wǎng)絡(luò)模型由于具有良好的泛用性,因此使用率較高[15-16],其主要優(yōu)點(diǎn)如下:

1)推理過(guò)程基于概率論。貝葉斯網(wǎng)絡(luò)的建立嚴(yán)格基于概率推理,利用概率論計(jì)算有關(guān)節(jié)點(diǎn)的概率密度,從而增加了對(duì)于有關(guān)節(jié)點(diǎn)關(guān)聯(lián)性之間的聯(lián)系,對(duì)于不確定性知識(shí)的表述和推理更有把握。

2)條件獨(dú)立性。因?yàn)樨惾~斯網(wǎng)絡(luò)對(duì)節(jié)點(diǎn)之間具有條件獨(dú)立的要求,所以在計(jì)算某些節(jié)點(diǎn)后驗(yàn)概率時(shí)只要針對(duì)所求節(jié)點(diǎn)有關(guān)的節(jié)點(diǎn)變量信息進(jìn)行計(jì)算即可,這樣可以減少參與計(jì)算的節(jié)點(diǎn)信息量,從而降低算法的復(fù)雜度。

3)表示能力較強(qiáng)。貝葉斯網(wǎng)絡(luò)能夠處理定性的知識(shí),也能夠處理定量的知識(shí),如某個(gè)特定節(jié)點(diǎn)和后驗(yàn)節(jié)點(diǎn)之間的因果關(guān)系就可以定性表達(dá),而通過(guò)數(shù)學(xué)方法或相關(guān)專家經(jīng)驗(yàn)得到的條件概率表就可以定量表達(dá)。

4)計(jì)算較為簡(jiǎn)單。因?yàn)樨惾~斯網(wǎng)絡(luò)屬性節(jié)點(diǎn)之間相互條件獨(dú)立,在節(jié)點(diǎn)信息判別以及對(duì)所求節(jié)點(diǎn)進(jìn)行歸納推理過(guò)程中的復(fù)雜性大幅降低。獲取信息時(shí)只需要考慮與節(jié)點(diǎn)有關(guān)的網(wǎng)絡(luò)圖即可,在推理過(guò)程中也只需要考慮相關(guān)節(jié)點(diǎn)的概率信息。

3 基于貝葉斯網(wǎng)絡(luò)的NSSA混合模型

針對(duì)目前多數(shù)網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型存在的不足,本文提出一種基于貝葉斯網(wǎng)絡(luò)的NSSA混合模型。首先對(duì)能夠影響網(wǎng)絡(luò)安全態(tài)勢(shì)的因素進(jìn)行分類和評(píng)級(jí),建立一種層次化的多級(jí)貝葉斯網(wǎng)絡(luò)模型架構(gòu),然后利用貝葉斯方法對(duì)底層的影響因子進(jìn)行指標(biāo)上的逐級(jí)向上融合,直至成功到達(dá)最頂層,即網(wǎng)絡(luò)態(tài)勢(shì)層,通過(guò)最終得到的影響指標(biāo)對(duì)當(dāng)前網(wǎng)絡(luò)的安全態(tài)勢(shì)進(jìn)行態(tài)勢(shì)評(píng)估。若在融合過(guò)程中遇到變量連續(xù)化問(wèn)題,則可考慮對(duì)連續(xù)屬性采用概率密度函數(shù)[17-18]進(jìn)行計(jì)算,從而得到離散化、適合態(tài)勢(shì)評(píng)估的數(shù)據(jù)。

3.1 態(tài)勢(shì)指標(biāo)

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估需要選取準(zhǔn)確的數(shù)據(jù)來(lái)反映當(dāng)前網(wǎng)絡(luò)系統(tǒng)的態(tài)勢(shì)。影響網(wǎng)絡(luò)安全的因素較多,能夠獲取網(wǎng)絡(luò)安全數(shù)據(jù)的形式也多種多樣,例如系統(tǒng)日志記錄、IDS監(jiān)測(cè)數(shù)據(jù)以及一些設(shè)備的基礎(chǔ)信息等[19]。本文根據(jù)以下原則來(lái)選取態(tài)勢(shì)影響指標(biāo):

1)危險(xiǎn)性。危險(xiǎn)性指的是所選取的影響指標(biāo)能夠?qū)榷ňW(wǎng)絡(luò)環(huán)境造成多大的危害。舉例來(lái)說(shuō),有的網(wǎng)絡(luò)攻擊如DoS所造成的危害僅僅只是讓服務(wù)器停止一段時(shí)間內(nèi)向外提供服務(wù),而有的網(wǎng)絡(luò)攻擊如后臺(tái)利用卻能夠在暗處獲取網(wǎng)絡(luò)系統(tǒng)內(nèi)部的資料信息,一旦讓黑客獲得價(jià)值量極大的資料信息,所造成的危害不可想象。

2)普適性。普適性指的是所選取的影響指標(biāo)應(yīng)當(dāng)能夠反映網(wǎng)絡(luò)態(tài)勢(shì)中更普遍的信息,而不是僅僅反映態(tài)勢(shì)的一面。例如,可以從各種設(shè)備中獲取當(dāng)前網(wǎng)絡(luò)中的信息,但設(shè)備之間所反映的信息具有很大的差別,有的信息能夠反映當(dāng)前環(huán)境中的信息,而有的信息僅僅能夠反映當(dāng)前設(shè)備的信息。本文模型設(shè)計(jì)應(yīng)當(dāng)選取那些更能反映網(wǎng)絡(luò)狀況的信息。

3)健壯性。健壯性指的是所選取的影響指標(biāo)應(yīng)當(dāng)信息含量豐富且更易于獲取。使用此原則主要是因?yàn)殡m然影響網(wǎng)絡(luò)安全態(tài)勢(shì)的因素眾多,但有些影響指標(biāo)并不容易獲取且內(nèi)容信息極少,例如黑客攻擊信息,在當(dāng)今的網(wǎng)絡(luò)環(huán)境中很難第一時(shí)間就獲得黑客的攻擊資料,大多依靠亡羊補(bǔ)牢的方法來(lái)獲悉,所以,獲取此類信息的難度極大。

利用以上3個(gè)基本原則,本文分析網(wǎng)絡(luò)安全態(tài)勢(shì)影響指標(biāo),并對(duì)指標(biāo)進(jìn)行分類,分類結(jié)果如表1所示。其中:網(wǎng)元信息包括節(jié)點(diǎn)主機(jī)的基本信息,網(wǎng)絡(luò)黑客開始入侵時(shí)往往會(huì)針對(duì)節(jié)點(diǎn)主機(jī)的特征選取特定的攻擊方案,如主機(jī)為何操作系統(tǒng),當(dāng)前開放了哪些端口等;流量信息主要包括與當(dāng)前網(wǎng)絡(luò)環(huán)境進(jìn)行交互的流量情況,一些惡意的暴力掃描軟件往往會(huì)通過(guò)網(wǎng)絡(luò)對(duì)當(dāng)前系統(tǒng)環(huán)境進(jìn)行大量的訪問(wèn),此時(shí)會(huì)造成大量的流量信息;報(bào)警信息主要是利用系統(tǒng)自身原有安全防御措施所生成的警告或處理信息,此類信息一般具有比較重要的參考價(jià)值;漏洞信息具有時(shí)效性,反映了當(dāng)前環(huán)境所存在的漏洞,而不同的漏洞所造成的危害并不相同;配置信息主要反映當(dāng)前系統(tǒng)的環(huán)境配置情況,包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、配置參數(shù)等,此類信息對(duì)黑客攻擊具有一定的參考價(jià)值。

表1 影響指標(biāo)分類

3.2 態(tài)勢(shì)指標(biāo)分級(jí)

為更好地突顯不同影響指標(biāo)對(duì)網(wǎng)絡(luò)態(tài)勢(shì)的影響程度,本文采用對(duì)不同影響指標(biāo)進(jìn)行分級(jí)的處理方法,即對(duì)影響程度較小的指標(biāo)賦予較低的等級(jí),而對(duì)影響程度較大的指標(biāo)賦予較高的等級(jí)。從分層的角度去考慮,可將較低等級(jí)的指標(biāo)放置在較低的層級(jí),將較高等級(jí)的指標(biāo)放置在較高的層級(jí),這樣能夠使模型在進(jìn)行融合處理時(shí)更重視比較重要的影響指標(biāo),從而更準(zhǔn)確地評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)。因此,在分級(jí)的過(guò)程中,本文遵循以下原則:

1)由于報(bào)警和漏洞信息類型的影響指標(biāo)所帶來(lái)的危害性較大,因此盡量將此類信息放置在高層,而盡量將其余信息類型的影響指標(biāo)放置在低層。

2)盡量將同一類型的影響指標(biāo)進(jìn)行分層分布,而不是全部放置在某一層次,從而避免層次分布過(guò)于集中所帶來(lái)的態(tài)勢(shì)評(píng)估片面的問(wèn)題。

3)低層的態(tài)勢(shì)影響指標(biāo)應(yīng)盡可能多,高層的態(tài)勢(shì)影響指標(biāo)應(yīng)盡可能少,使態(tài)勢(shì)影響指標(biāo)分級(jí)模型呈“金字塔”形。

基于以上3個(gè)基本原則和有關(guān)影響指標(biāo)的重要程度,本文給出如圖3所示的影響指標(biāo)分級(jí)模型。

圖3 態(tài)勢(shì)指標(biāo)分級(jí)模型示意圖

3.3 態(tài)勢(shì)指標(biāo)融合

在獲得分級(jí)模型中各個(gè)層次所需要的原始數(shù)據(jù)后,將每個(gè)數(shù)據(jù)源作為屬性,即貝葉斯網(wǎng)絡(luò)中的隨機(jī)變量來(lái)構(gòu)建初始網(wǎng)絡(luò)。在構(gòu)建初始貝葉斯網(wǎng)結(jié)構(gòu)時(shí)采用如下方法:首先通過(guò)專家知識(shí)建立初步的貝葉斯網(wǎng)絡(luò),然后通過(guò)計(jì)算后驗(yàn)概率的方法對(duì)網(wǎng)絡(luò)進(jìn)行重新修正[20]。

假設(shè)數(shù)據(jù)集D=(d1,d2,…,dn)是關(guān)于n個(gè)變量(x1,x2,…,xn)的觀測(cè)值,變量G是有向無(wú)環(huán)圖。在給定拓?fù)浣Y(jié)構(gòu)G的情況下,變量θG是與變量G對(duì)應(yīng)的參數(shù)值。因此,可用概率分布P(G)來(lái)表示關(guān)于G的先驗(yàn)知識(shí),當(dāng)G給定時(shí),θG用另一個(gè)概率分布P(Gθ)表示。修正函數(shù)表示為:

logaP(G,D)=logaP(D|G)+logaP(G)

(3)

其中,P(G)表示結(jié)構(gòu)先驗(yàn)分布,一般假設(shè)其為均勻分布。函數(shù)P(D|G)稱之為邊緣似然函數(shù),展開式為:

(4)

(5)

基于以上對(duì)態(tài)勢(shì)指標(biāo)的處理,給出本文模型對(duì)于安全態(tài)勢(shì)生成的算法,該算法主要包括3個(gè)部分:數(shù)據(jù)源的預(yù)處理,態(tài)勢(shì)指標(biāo)的融合,安全態(tài)勢(shì)的生成。算法描述如下:

算法頂層安全態(tài)勢(shì)生成算法

輸入各級(jí)影響指標(biāo)的初始樣本數(shù)據(jù)D

1)采集樣本中的連續(xù)數(shù)據(jù),構(gòu)成連續(xù)數(shù)據(jù)集G,剩余的數(shù)據(jù)構(gòu)成離散數(shù)據(jù)集M。

2)利用概率密度函數(shù)(見式(3))對(duì)數(shù)據(jù)集G進(jìn)行離散化預(yù)處理操作。

3)對(duì)數(shù)據(jù)集G和數(shù)據(jù)集M進(jìn)行重構(gòu),組成新的數(shù)據(jù)集D′。

4)對(duì)數(shù)據(jù)集D′中的數(shù)據(jù)按照態(tài)勢(shì)指標(biāo)分類表進(jìn)行預(yù)分類。

5)利用式(1)將底層態(tài)勢(shì)指標(biāo)逐層向上融合。

6)生成網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估值V。

4 實(shí)驗(yàn)結(jié)果及分析

本文實(shí)驗(yàn)采用KDD-CUP99網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)集。數(shù)據(jù)集被劃分為兩個(gè)部分:標(biāo)識(shí)過(guò)的訓(xùn)練數(shù)據(jù)和未被標(biāo)識(shí)的測(cè)試數(shù)據(jù)。訓(xùn)練數(shù)據(jù)集中包含1種正常的標(biāo)識(shí)類型和22種訓(xùn)練攻擊類型,如表2所示。

表2 KDD-CUP99標(biāo)識(shí)類型

首先通過(guò)上文提到的影響指標(biāo)分級(jí)模型對(duì)數(shù)據(jù)集中的數(shù)據(jù)建立初步模型,然后運(yùn)用貝葉斯方法對(duì)底層影響指標(biāo)逐層向上進(jìn)行融合。運(yùn)用本文模型對(duì)KDD-CUP99中的數(shù)據(jù)集進(jìn)行安全態(tài)勢(shì)評(píng)估,其中網(wǎng)絡(luò)環(huán)境主要影響指標(biāo)分布如圖4所示,可以看出,多數(shù)網(wǎng)絡(luò)行為是正常的,但也有相當(dāng)比例的網(wǎng)絡(luò)攻擊行為,如smurf DoS攻擊、neptune DoS攻擊以及satan嗅探攻擊等。

圖4 影響指標(biāo)分布

為進(jìn)一步考察本文模型在時(shí)序上對(duì)于態(tài)勢(shì)指標(biāo)的生成情況,在數(shù)據(jù)集中提取一周時(shí)間內(nèi)的網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù),以天為基本時(shí)間單位生成基于時(shí)序的態(tài)勢(shì)指標(biāo)評(píng)估結(jié)果。利用本文模型得到的指標(biāo)評(píng)估網(wǎng)絡(luò)環(huán)境所受到的攻擊情況和基本網(wǎng)絡(luò)態(tài)勢(shì),如圖5所示。可以看出,周五、周六和周日的網(wǎng)絡(luò)態(tài)勢(shì)變化較大,而其余日期變化則較為平緩。

圖5 態(tài)勢(shì)指標(biāo)評(píng)估結(jié)果

通過(guò)態(tài)勢(shì)指標(biāo)評(píng)估結(jié)果可以獲得每一天的網(wǎng)絡(luò)安全態(tài)勢(shì)等級(jí),分析網(wǎng)絡(luò)安全態(tài)勢(shì)的走勢(shì)可以提前發(fā)現(xiàn)可能發(fā)生的網(wǎng)絡(luò)安全危機(jī),從而為網(wǎng)絡(luò)系統(tǒng)的管理者提供預(yù)警,預(yù)防網(wǎng)絡(luò)安全事件的發(fā)生,避免資產(chǎn)的損失。在實(shí)際的使用過(guò)程中,可以根據(jù)實(shí)時(shí)的數(shù)據(jù)分布情況調(diào)整相應(yīng)分級(jí)模型的結(jié)構(gòu),將對(duì)特定網(wǎng)絡(luò)影響指數(shù)較高的指標(biāo)向上適當(dāng)升級(jí),而對(duì)特定網(wǎng)絡(luò)影響指數(shù)較低的指標(biāo)向下適當(dāng)降級(jí),從而動(dòng)態(tài)適應(yīng)網(wǎng)絡(luò)環(huán)境,發(fā)揮更好的作用。

5 結(jié)束語(yǔ)

本文建立一種基于貝葉斯方法的網(wǎng)絡(luò)安全態(tài)勢(shì)感知混合模型。對(duì)影響網(wǎng)絡(luò)安全環(huán)境的指標(biāo)進(jìn)行分類并建立分級(jí)結(jié)構(gòu)。在此基礎(chǔ)上,通過(guò)貝葉斯網(wǎng)絡(luò)模型逐層向上融合,得到最終的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估指標(biāo)。實(shí)驗(yàn)結(jié)果表明,該模型評(píng)估結(jié)果全面、客觀,可準(zhǔn)確把握網(wǎng)絡(luò)態(tài)勢(shì)的變化趨勢(shì),提高網(wǎng)絡(luò)環(huán)境的穩(wěn)定性和可靠性。目前對(duì)網(wǎng)絡(luò)態(tài)勢(shì)的影響因素較多,本文模型考慮的參數(shù)不足以支撐整體網(wǎng)絡(luò)態(tài)勢(shì),評(píng)估結(jié)果仍有偏差并且其在進(jìn)行數(shù)據(jù)離散化處理時(shí)默認(rèn)使用概率密度函數(shù),可能導(dǎo)致數(shù)據(jù)誤差。下一步將針對(duì)這兩方面不足,在真實(shí)網(wǎng)絡(luò)環(huán)境中對(duì)模型進(jìn)行測(cè)試和改進(jìn)。