基于BAYES網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià)模型的研究

劉滔

(湖南石油化工職業(yè)技術(shù)學(xué)院 發(fā)展規(guī)劃處， 湖南 岳陽(yáng) 414012)

0 引言

隨著經(jīng)濟(jì)的發(fā)展，互聯(lián)網(wǎng)技術(shù)得到了快速的推廣和普及，人們利用互聯(lián)網(wǎng)技術(shù)享受便利的同時(shí)，也受到了互聯(lián)網(wǎng)潛在安全隱患的威脅?；ヂ?lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)具有不確定性，所以在感知網(wǎng)絡(luò)安全態(tài)勢(shì)的基礎(chǔ)上進(jìn)行保障網(wǎng)絡(luò)的正常運(yùn)行是十分必要的。目前，專家學(xué)者對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的研究處于發(fā)展階段，有些學(xué)者利用傳感器獲取的參數(shù)對(duì)網(wǎng)絡(luò)安全狀態(tài)進(jìn)行感知，建立評(píng)價(jià)模型，但該模型所用的參數(shù)需要針對(duì)不同網(wǎng)絡(luò)的實(shí)際環(huán)境充分考慮[1-2]。部分學(xué)者利用神經(jīng)網(wǎng)絡(luò)算法對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行預(yù)測(cè)，但建立的模型未充分考慮模型預(yù)測(cè)的準(zhǔn)確度[3]。還有學(xué)者利用多級(jí)殘差修正模型的網(wǎng)絡(luò)風(fēng)險(xiǎn)值，預(yù)測(cè)網(wǎng)絡(luò)的安全態(tài)勢(shì)，但模型的復(fù)雜度考慮不全面[4]。也存在一些學(xué)者分析了網(wǎng)絡(luò)的流量狀態(tài)，但僅從流量角度的安全態(tài)勢(shì)感知仍然需要深入研究[5-6]。

綜上所述，目前對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的感知仍未足夠細(xì)化，而貝葉斯網(wǎng)絡(luò)可以細(xì)化影響網(wǎng)絡(luò)安全態(tài)勢(shì)的各個(gè)指標(biāo)，因此本文建立基于BAYES的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià)模型。首先，層次化處理影響網(wǎng)絡(luò)安全態(tài)勢(shì)的各項(xiàng)指標(biāo)，其次計(jì)算后驗(yàn)概率，將底層指標(biāo)向上逐漸融合，最后對(duì)網(wǎng)絡(luò)空間整體安全態(tài)勢(shì)進(jìn)行評(píng)價(jià)。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià)模型

在網(wǎng)絡(luò)空間中可將網(wǎng)絡(luò)態(tài)勢(shì)分成態(tài)勢(shì)的識(shí)別、態(tài)勢(shì)的發(fā)展和態(tài)勢(shì)的映射三個(gè)層次，其中態(tài)勢(shì)的識(shí)別主要是對(duì)網(wǎng)絡(luò)安全中異常的參數(shù)數(shù)據(jù)所存在的安全隱患進(jìn)行識(shí)別的過(guò)程；態(tài)勢(shì)的發(fā)展主要是進(jìn)一步判斷態(tài)勢(shì)的發(fā)展情況；態(tài)勢(shì)的映射是量化并判斷態(tài)勢(shì)的風(fēng)險(xiǎn)情況或隱患情況是否會(huì)對(duì)當(dāng)前的網(wǎng)絡(luò)狀態(tài)產(chǎn)生攻擊。

模型整體流程為：首先，獲取網(wǎng)絡(luò)的配置、以及網(wǎng)絡(luò)在實(shí)際運(yùn)行過(guò)程中的多種參數(shù)，作為后期網(wǎng)絡(luò)安全態(tài)勢(shì)識(shí)別的基礎(chǔ)；其次，對(duì)數(shù)據(jù)進(jìn)行初步處理、建立態(tài)勢(shì)的識(shí)別模型、獲取網(wǎng)絡(luò)信息；最后，利用映射方法將網(wǎng)絡(luò)安全態(tài)勢(shì)可視化，并對(duì)安全態(tài)勢(shì)的程度進(jìn)行評(píng)定。

2 貝葉斯網(wǎng)絡(luò)模型

貝葉斯網(wǎng)絡(luò)整體是利用有向無(wú)環(huán)狀的圖示描述各個(gè)屬性的相互復(fù)雜關(guān)系，并計(jì)算整體的概率分布情況。貝葉斯網(wǎng)絡(luò)可用B=的形式表示,其中，G表示有向無(wú)環(huán)圖，主要包括，V代表屬性節(jié)點(diǎn);A代表連接屬性的邊。集合可看做為{Vi}。O表示條件概率集合，O可以利用定量的方式表示屬性節(jié)點(diǎn)的關(guān)系，若節(jié)點(diǎn)Vi在父節(jié)點(diǎn)的集為Qi，可知O的條件概率為OVi|Qi=OB(Vi|Qi)。

3 基于BAYES的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià)模型

結(jié)合安全態(tài)勢(shì)評(píng)價(jià)模型和貝葉斯網(wǎng)絡(luò)模型，建立基于貝葉斯的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià)模型。首先，分析網(wǎng)絡(luò)運(yùn)行的實(shí)際情況，識(shí)別影響網(wǎng)絡(luò)安全的主要因素，進(jìn)行分類和評(píng)定，構(gòu)建多級(jí)多層的網(wǎng)絡(luò)結(jié)構(gòu)；其次，利用貝葉斯方法將影響因子指標(biāo)從下至上逐漸融合，若逐漸融合的過(guò)程中出現(xiàn)變量連續(xù)化的問(wèn)題，利用連續(xù)屬性概率離散密度公式計(jì)算，最終評(píng)定整體的安全態(tài)勢(shì)。

3.1 指標(biāo)體系的選取

網(wǎng)絡(luò)安全態(tài)勢(shì)的評(píng)估需要選取敏感性的、關(guān)鍵的指標(biāo)體系進(jìn)行評(píng)價(jià)，指標(biāo)體系的選取原則包括危險(xiǎn)敏感性和普遍適用性。危險(xiǎn)敏感性是能夠通過(guò)該指標(biāo)反映出會(huì)對(duì)網(wǎng)絡(luò)安全的整體造成傷害的程度；普遍適用性是能夠反映網(wǎng)絡(luò)的基本狀態(tài)。由此，整理網(wǎng)絡(luò)安全態(tài)勢(shì)影響指標(biāo)，將指標(biāo)分為基本信息、流量情況、攻擊情況、漏洞情況、設(shè)備裝置五大類。如表1所示。

表1 網(wǎng)絡(luò)安全態(tài)勢(shì)影響指標(biāo)

3.2 建立多級(jí)多層的指標(biāo)

不同的指標(biāo)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的影響程度不同，所以將指標(biāo)進(jìn)行分級(jí)分層處理，遵循影響程度指向原則進(jìn)行分類。分析可知，攻擊和漏洞類別對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的影響較大，基本信息和設(shè)備裝置對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的影響次之。因此，將對(duì)安全態(tài)勢(shì)影響程度較小的指標(biāo)分布于層級(jí)較低的位置，將對(duì)安全態(tài)勢(shì)影響程度較高的指標(biāo)分布于層級(jí)較高的位置。多層多級(jí)指標(biāo)如表2所示。

表2 多層多級(jí)指標(biāo)結(jié)構(gòu)

3.3 指標(biāo)融合

利用各個(gè)屬性作為隨機(jī)變量建立貝葉斯網(wǎng)絡(luò)。首先，利用專家知識(shí)和相關(guān)經(jīng)驗(yàn)建立貝葉斯網(wǎng)絡(luò)；其次，計(jì)算概率并修正貝葉斯網(wǎng)絡(luò)；最后評(píng)判安全態(tài)勢(shì)。

設(shè)數(shù)據(jù)集為D，D=(d1，d2，d3，…，dn)是變量的觀測(cè)值，將G設(shè)為有向無(wú)環(huán)圖，其余變量可看做為參數(shù)值，將O(G)來(lái)表示關(guān)于G的先驗(yàn)知識(shí)，由此可知修正函數(shù)為式(1)。

logaO(G,D)=logaO(D|G)+logaO(G)

(1)

其中，O(G)表示均勻的結(jié)構(gòu)先驗(yàn)分布，O(D|G)看作為邊緣似然函數(shù)為式(2)。

(2)

(3)

模型算法的具體流程如下。

Step1：將樣本中的數(shù)據(jù)分為連續(xù)和離散，分成連續(xù)數(shù)據(jù)集和離散數(shù)據(jù)集；

Step2：利用概率密度函數(shù)對(duì)連續(xù)數(shù)據(jù)集進(jìn)行離散化處理；

Step3：將離散數(shù)據(jù)集和連續(xù)數(shù)據(jù)集重新組合，構(gòu)成新的數(shù)據(jù)集；

Step4：進(jìn)行指標(biāo)分類；

Step5：將指標(biāo)從底層向上融合；

Step6：評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)。

4 實(shí)驗(yàn)結(jié)果分析

在實(shí)驗(yàn)過(guò)程中，利用 KDD-CUP99網(wǎng)絡(luò)入侵檢測(cè)數(shù)據(jù)集。同時(shí)將數(shù)據(jù)集分為訓(xùn)練數(shù)據(jù)和測(cè)試數(shù)據(jù)兩部分。利用文中建立的影響網(wǎng)絡(luò)安全態(tài)勢(shì)分層分級(jí)模型對(duì)數(shù)據(jù)分類歸化并分析，由此判斷影響指標(biāo)的分布，訓(xùn)練數(shù)據(jù)集包括的標(biāo)識(shí)類型如表3所示。

表3 標(biāo)識(shí)類型

指標(biāo)影響分布如表4所示。

通過(guò)指標(biāo)影響分布結(jié)果可知：在網(wǎng)絡(luò)運(yùn)行中，大多數(shù)網(wǎng)絡(luò)行為是正常進(jìn)行的，處在常態(tài)化的網(wǎng)絡(luò)運(yùn)行環(huán)境中，但是仍然存在少數(shù)的網(wǎng)絡(luò)攻擊行為。

表4 指標(biāo)影響分布表

同時(shí)，可通過(guò)時(shí)序角度分析網(wǎng)絡(luò)安全態(tài)勢(shì)指標(biāo)整體情況，在數(shù)據(jù)集中以周為單位整理網(wǎng)絡(luò)入侵?jǐn)?shù)據(jù)，利用本文模型分析得到的安全態(tài)勢(shì)指標(biāo)評(píng)估結(jié)果如表5所示。

表5 安全態(tài)勢(shì)評(píng)估結(jié)果表

實(shí)驗(yàn)結(jié)果可知：從時(shí)序的角度看，網(wǎng)絡(luò)態(tài)勢(shì)在周五、周六、周日變化較大，在周一、周二、周三、周四變化較小，并且網(wǎng)絡(luò)態(tài)勢(shì)的整體呈現(xiàn)上升的趨勢(shì)。利用安全態(tài)勢(shì)評(píng)估的結(jié)果可以對(duì)日常每天的網(wǎng)絡(luò)安全態(tài)勢(shì)等級(jí)進(jìn)行預(yù)報(bào)，輔助網(wǎng)絡(luò)工作的管理者進(jìn)行日常管理。同時(shí)，利用時(shí)序數(shù)據(jù)結(jié)合實(shí)際情況，針對(duì)傳統(tǒng)的網(wǎng)絡(luò)態(tài)勢(shì)感知模型和基于貝葉斯的網(wǎng)絡(luò)態(tài)勢(shì)感知模型進(jìn)行對(duì)比分析，可知基于貝葉斯的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模型的安全感知效果較好，有效提高了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的可靠性，如圖1所示。

圖1 模型效果對(duì)比分析

4 總結(jié)

本文通過(guò)對(duì)網(wǎng)絡(luò)安全隱患的分析，建立基于貝葉斯網(wǎng)絡(luò)的安全態(tài)勢(shì)評(píng)價(jià)模型，采用分層分級(jí)的方法利用貝葉斯網(wǎng)絡(luò)從底部指標(biāo)逐漸向上融合，對(duì)安全態(tài)勢(shì)進(jìn)行評(píng)價(jià)。得到結(jié)論如下：

(1) 模型在應(yīng)用的過(guò)程中，可以對(duì)日常網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià)，便于網(wǎng)絡(luò)人員管理者的日常管理，實(shí)現(xiàn)精準(zhǔn)的網(wǎng)絡(luò)安全態(tài)勢(shì)提醒。

(2) 模型相較傳統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知，模型的評(píng)價(jià)效果較好，能夠有效、精準(zhǔn)的感知網(wǎng)絡(luò)環(huán)境中的安全態(tài)勢(shì)情況，提高安全態(tài)勢(shì)感知的可靠性、有效性。