并行計算平臺的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)

高青波　胡冠宇 徐澤群

摘 要：提出了一種基于并行計算平臺的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)。該系統(tǒng)利用并行計算環(huán)境收集網(wǎng)絡(luò)要素、計算評估網(wǎng)絡(luò)安全態(tài)勢并對未來短時間內(nèi)的安全態(tài)勢作出預(yù)測。并行計算平臺能夠?qū)⑷蝿?wù)分解，并將分散的計算資源集中起來，讓每個節(jié)點獨立完成各自的計算任務(wù)，最終結(jié)果在管理主機上匯總，使得復(fù)雜的網(wǎng)絡(luò)安全態(tài)勢預(yù)測過程得以快速完成。實際應(yīng)用的結(jié)果顯示，所提出的系統(tǒng)能夠在合理的時間內(nèi)準(zhǔn)確預(yù)測網(wǎng)絡(luò)安全態(tài)勢。

關(guān)鍵詞：并行計算；網(wǎng)絡(luò)安全態(tài)勢；網(wǎng)絡(luò)安全態(tài)勢感知；并行入侵檢測

引言

隨著網(wǎng)絡(luò)規(guī)模的急速增長，網(wǎng)絡(luò)系統(tǒng)變得愈加復(fù)雜并難以維護(hù)，管理人員常常因為無法準(zhǔn)確的預(yù)判網(wǎng)絡(luò)系統(tǒng)的安全程度，而錯失防御的良機，使得網(wǎng)絡(luò)系統(tǒng)因為遭受到重大的攻擊而陷入癱瘓。因此，如何準(zhǔn)確的評估并預(yù)測宏觀上網(wǎng)絡(luò)的整體安全程度是主動防御的重中之重。

網(wǎng)絡(luò)安全態(tài)勢感知的概念就是在這樣的背景下產(chǎn)生的[1]。態(tài)勢感知最初應(yīng)用在航空航天和軍事指揮領(lǐng)域，它被用于評估并預(yù)測復(fù)雜機械裝置的整體運行狀況以及戰(zhàn)場上的戰(zhàn)局走勢。網(wǎng)絡(luò)安全態(tài)勢則是指在宏觀上描述復(fù)雜網(wǎng)絡(luò)系統(tǒng)整體安全形勢的一組定量的值[2]。

一個完整的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)包括三個部分，如圖1所示。

圖1 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的結(jié)構(gòu)圖

其中各個模塊的具體功能為：（1）網(wǎng)絡(luò)要素提取，用于提取底層的網(wǎng)絡(luò)數(shù)據(jù)流，將網(wǎng)絡(luò)數(shù)據(jù)識別為帶有具體意義的數(shù)據(jù)向量，然后對其進(jìn)行預(yù)處理。預(yù)處理的過程一般包括：利用主成分分析方法[3]降低數(shù)據(jù)的維度，去掉不相關(guān)的屬性。然后，為了消除數(shù)據(jù)中的奇異樣本，還需將數(shù)據(jù)歸一化以使其變得相對平滑。最后，為了在下一步的評估中能夠獲得準(zhǔn)確的態(tài)勢值，還需要對數(shù)據(jù)按照不同的攻擊類別進(jìn)行分類，這一步在本質(zhì)上屬于入侵檢測過程。（2）安全態(tài)勢評估，通過層次化評估的方法，將不同類別的網(wǎng)絡(luò)數(shù)據(jù)按照不同的權(quán)重相加求得具體的態(tài)勢值[4]。（3）安全態(tài)勢預(yù)測，在上一步中求得的安全態(tài)勢值會被累積起來當(dāng)做預(yù)測的歷史數(shù)據(jù)，然后用來訓(xùn)練網(wǎng)絡(luò)安全態(tài)勢的預(yù)測模型，使其可以預(yù)測未來的安全趨勢[5]。

從上面的過程中可以看出，網(wǎng)絡(luò)安全態(tài)勢感知的每一步都需要處理大量的數(shù)據(jù)，其本質(zhì)是要在海量的網(wǎng)絡(luò)數(shù)據(jù)中挖掘出有用的攻擊信息，然后將這些信息進(jìn)行融合，從而判斷網(wǎng)絡(luò)安全的趨勢。目前，應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢感知領(lǐng)域的相關(guān)算法多屬于離線操作，即將已有的訓(xùn)練數(shù)據(jù)輸入到模型中，對其進(jìn)行訓(xùn)練，然后再應(yīng)用到實際系統(tǒng)。如果網(wǎng)絡(luò)平臺不能提供大量的計算資源，就會使得網(wǎng)絡(luò)安全感知系統(tǒng)的效率低下，不能很好的適應(yīng)高速運轉(zhuǎn)的網(wǎng)絡(luò)系統(tǒng)，使得主動防御形同虛設(shè)。

基于以上問題，文章力求能夠在并行環(huán)境下構(gòu)建網(wǎng)絡(luò)安全感知系統(tǒng)，讓并行計算平臺將網(wǎng)絡(luò)安全感知系統(tǒng)中各關(guān)鍵任務(wù)分解，并將網(wǎng)絡(luò)中分散的計算資源集中起來，讓每個計算節(jié)點獨立完成各自的任務(wù)，最終結(jié)果由管理主機收集。這樣，在對復(fù)雜網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全態(tài)勢預(yù)測時，可以在合理的時間內(nèi)準(zhǔn)確預(yù)測網(wǎng)絡(luò)安全態(tài)勢。

1 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的并行計算平臺

針對前述內(nèi)容，我們搭建了一個并行計算平臺，如圖2所示。

圖2所示平臺由51臺普通計算機構(gòu)成，其中50臺為工作節(jié)點（worker），1臺為管理中心主機。以此作為系統(tǒng)的硬件平臺。我們設(shè)計并實現(xiàn)了一個分布式計算系統(tǒng)作為并行計算軟件平臺，可分為以下兩個模塊：（1）分布式計算管理模塊：負(fù)責(zé)任務(wù)的分配與管理、協(xié)調(diào)任務(wù)的執(zhí)行，worker主機與管理主機之間的通信。（2）分布式計算引擎：負(fù)責(zé)執(zhí)行具體任務(wù)。利用上述軟件平臺可在多核與多處理器主機或者局域網(wǎng)環(huán)境下解決密集的計算問題。

在實際使用該平臺時，我們將各個入侵檢測節(jié)點和關(guān)鍵網(wǎng)絡(luò)設(shè)備節(jié)點收集來的數(shù)據(jù)輸入到圖2所示的并行計算平臺管理主機中，管理主機會將所收集到的大量的數(shù)據(jù)分配給各worker節(jié)點，然后worker節(jié)點對數(shù)據(jù)進(jìn)行預(yù)處理后返還給管理主機。其過程如圖3所示。

2 并行網(wǎng)絡(luò)態(tài)勢評估過程

當(dāng)管理主機從work主機獲得處理完成的數(shù)據(jù)后，要繼續(xù)分配攻擊分類任務(wù)，分類的主要目的是區(qū)分網(wǎng)絡(luò)數(shù)據(jù)的攻擊類別，一般可分為：正常數(shù)據(jù)（normal）、Probe攻擊、Dos攻擊、R2L攻擊和U2R攻擊[6]五大類。每一大類又細(xì)分為若干個小類。分類過程大致可以分為兩步：（1）建立分類模型，常見的用于攻擊分類的模型有BP神經(jīng)網(wǎng)絡(luò)[7]，支持向量機[8]，K鄰近算法[9]等。這些分類模型通過已有的網(wǎng)絡(luò)數(shù)據(jù)建立輸入與輸出之間的統(tǒng)計關(guān)系，從中挖掘攻擊的特征，從而區(qū)分不同的攻擊類型。（2）利用已有數(shù)據(jù)樣本和優(yōu)化算法對分類模型進(jìn)行訓(xùn)練。優(yōu)化算法對于分類模型至關(guān)重要，合適的優(yōu)化算法直接影響到分類結(jié)果的精度。目前主流的優(yōu)化算法有遺傳算法（GA）[10]，粒子群算法（PSO）[11]以及差分進(jìn)化算法（DE）[12]等。

并行環(huán)境下的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的關(guān)鍵問題是，如何將上述模型的訓(xùn)練和優(yōu)化過程分解并交給各worker并行實現(xiàn)，然后向管理主機返回最終的分類結(jié)果。文章選取SVM作為并行分類器，差分進(jìn)化作為優(yōu)化算法。并行SVM的基本形式是先將訓(xùn)練數(shù)據(jù)集劃分成若干訓(xùn)練子集，然后在各個節(jié)點分別進(jìn)行訓(xùn)練。由于SVM屬于二分類器，故訓(xùn)練子集在劃分時應(yīng)該按照其中兩種攻擊類型劃分，例如Normal和Dos劃分為一類，Dos和Probe劃分為一類，等等。所有分類器以無回路有向圖（DAG）的邏輯形式組合到一起，如圖4所示。

圖4 并行SVM的DAG結(jié)構(gòu)

圖4中的每個SVM分類器都被按照不同的子集類別在worker節(jié)點獨立訓(xùn)練，訓(xùn)練后的模型在接收新的測試數(shù)據(jù)時，會從圖的頂點進(jìn)入，然后被逐層分類直至得出最終的分類結(jié)果。

當(dāng)網(wǎng)絡(luò)數(shù)據(jù)的類別確定后，就可以按照文獻(xiàn)[4]提出的層次化方法，管理主機根據(jù)專家事先給定的類別權(quán)重，以加權(quán)求和的方式得出當(dāng)前網(wǎng)絡(luò)安全態(tài)勢值。

3 并行網(wǎng)絡(luò)態(tài)勢預(yù)測過程

如前所述，當(dāng)收集到一段時間內(nèi)的網(wǎng)絡(luò)安全態(tài)勢值后，就可以用來訓(xùn)練預(yù)測模型以預(yù)測未來網(wǎng)絡(luò)安全態(tài)勢。用于網(wǎng)絡(luò)安全態(tài)勢的預(yù)測模型也有很多種類，比較成熟的模型有：馬爾科夫預(yù)測模型[13]，grey預(yù)測模型[14]、和徑向基神經(jīng)網(wǎng)絡(luò)預(yù)測模型[15]。與分類階段類似，預(yù)測階段的模型也需要分解任務(wù)以適應(yīng)并行計算環(huán)境。文章選取文獻(xiàn)[16]提出的并行徑向基神經(jīng)網(wǎng)絡(luò)預(yù)測模型作為預(yù)測工具。在進(jìn)行預(yù)測時，管理主機先把所有的歷史態(tài)勢值交給各個worker主機，然后每臺worker主機通過差分進(jìn)化算法優(yōu)化徑向基神經(jīng)網(wǎng)絡(luò)預(yù)測模型，預(yù)測結(jié)果提交至管理主機中進(jìn)行融合。最后，安全態(tài)勢預(yù)測值將以可視化的結(jié)果呈現(xiàn)給網(wǎng)絡(luò)安全管理人員，以便其對網(wǎng)絡(luò)宏觀狀況能迅速直觀的了解。圖5描述了本網(wǎng)絡(luò)平臺可視化后的網(wǎng)絡(luò)安全態(tài)勢的預(yù)測結(jié)果。

圖5描述了一個月內(nèi)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測值，其中橫軸代表天數(shù)，豎軸代表網(wǎng)絡(luò)安全態(tài)勢的預(yù)測值，范圍是[0，1]，值越高表示網(wǎng)絡(luò)受到的威脅越大，當(dāng)網(wǎng)絡(luò)安全態(tài)勢值大于某個閾值時，系統(tǒng)會自動發(fā)出報警。在運行系統(tǒng)一段時間后，實際的網(wǎng)絡(luò)安全態(tài)勢情況與圖5的預(yù)測結(jié)果基本吻合。

4 結(jié)束語

文章設(shè)計并實現(xiàn)了并行環(huán)境下的網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，包含網(wǎng)絡(luò)要素收集、網(wǎng)絡(luò)態(tài)勢評估及預(yù)測三個模塊，并能根據(jù)預(yù)測值作出報警。該系統(tǒng)充分發(fā)揮了并行環(huán)境的優(yōu)勢，提升了網(wǎng)絡(luò)安全感知系統(tǒng)的效率，使得管理人員可以提前獲知網(wǎng)絡(luò)受威脅的程度，并提前做好防范措施。實際應(yīng)用的結(jié)果顯示，所提出的系統(tǒng)能夠在合理的時間內(nèi)準(zhǔn)確預(yù)測網(wǎng)絡(luò)安全態(tài)勢。

參考文獻(xiàn)

[1]BASS T. Intrusion detection system and multi-sensor data fusion： creating cyberspace situation awareness[J]. Communications of The ACM， 2000， 43（4）： 99-105.

[2]王慧強，賴積保，胡明明，等.網(wǎng)絡(luò)安全態(tài)勢感知關(guān)鍵技術(shù)研究[J].武漢大學(xué)學(xué)報-信息科學(xué)版，2008，33（10）：995-998.

[3]趙海霞，武建.淺析主成分分析方法[J].科技信息，2009，2：87-87.

[4] Chen X. Z， Zheng Q. H， Guan X. H， Lin C. G. Quantitative hierarchical threat evaluation model for network security[J]. Journal of Software （in Chinese with English abstract）， 2006，17（4）： 885-897.

[5] 任偉，蔣興浩，孫錟鋒.基于RBF神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J].計算機工程與應(yīng)用，2006，31： 136-139.

[6] Tavallaee M， Bagheri E， Lu W， Ghorbani A. A Detailed Analysis of the KDD CUP 99 Data Set[J]. Second IEEE Symposium on Computational Intelligence for Security and Defense Applications （CISDA），2009：1-6.

[7]吳欣欣，志誠，葉健健，等.基于改進(jìn)的BP神經(jīng)網(wǎng)絡(luò)入侵檢測方法研究[J].微型機與應(yīng)用，2014，33（22）：67-70.

[8]彭小金，武小年.基于特征選擇和支持向量機的入侵檢測方法[J].大眾科技，2014，16（3）：6-8.

[9]徐鵬，姜鳳茹.粒子群算法和K近鄰相融合的網(wǎng)絡(luò)入侵檢測[J].計算機工程與應(yīng)用，2014，50（11）：95-98.

[10]吉根林.遺傳算法研究綜述[J].計算機應(yīng)用與軟件，2004，21（2）：69-73.

[11]王芳.粒子群算法的研究[D].西南大學(xué)，2006.

[12]謝宇，趙春霞，張浩峰，等.基于混合交叉差分進(jìn)化的相機空間操控系統(tǒng)參數(shù)優(yōu)化[J].物理學(xué)報，2015，64（2）：1-7.

[13]唐睿，馮學(xué)鋼.基于馬爾科夫預(yù)測的國內(nèi)赴滬旅游者旅游消費結(jié)構(gòu)分析[J].旅游論壇，2015，8（1）：38-45.

[14]馬杰，任望，薛東軍，等.灰色災(zāi)變模型在計算機網(wǎng)絡(luò)安全態(tài)勢預(yù)測中的研究[C]//第三屆信息安全漏洞分析與風(fēng)險評估大會，2010.

[15]胡明明，王慧強，賴積保.一種基于GA-BPNN的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法[J].北京：中國科技論文在線，2007.

[16]王華秋，曹長修.一種并行核徑向基神經(jīng)網(wǎng)絡(luò)預(yù)測模型[J].重慶大學(xué)學(xué)報：自然科學(xué)版，2006，29（3）：80-83.

通訊作者：胡冠宇。