基于擴展貝葉斯分類的網(wǎng)絡(luò)涉密信息安全傳輸

凌天斌，康亞坤

(中國人民解放軍戰(zhàn)略支援部隊信息工程大學(xué)，河南 洛陽 471003)

1 引言

調(diào)查顯示，2018年我國的網(wǎng)民總數(shù)到達了8億，互聯(lián)網(wǎng)的普及高達56.2%。然而，互聯(lián)網(wǎng)在人類日常工作、生活帶來巨大方便的同時也面臨著一系列的信息安全挑戰(zhàn)[1]。近年來，因病毒和黑客導(dǎo)致的竊密事件泛濫，對含有涉密信息的部門單位造成了很大的威脅[2]。因此，如何杜絕此類事件的發(fā)生是未來網(wǎng)絡(luò)安全的研究方向。

針對上述問題，李君豪[3]等人提出了多通道高速數(shù)據(jù)安全傳輸?shù)姆椒?，利用FPGA配合高速串行收發(fā)器實現(xiàn)四路通道的高速數(shù)據(jù)安全傳輸，并根據(jù)該方法搭建了硬件平臺進行驗證，實驗結(jié)果表明，此方法可完成高達4.8Gb/s數(shù)據(jù)的安全傳輸，因為該方法未使用擴展貝葉斯分類的算法，也沒有構(gòu)建獨立的安全檢測模型，所以，雖然傳輸速度較快，但是穩(wěn)定性較差，不能保證涉密信息在網(wǎng)絡(luò)傳輸中機密性。邢璐[4]等人提出了改進UDT協(xié)議的傳輸方法，通過分析帶寬下的UDT傳輸瓶頸、優(yōu)化系統(tǒng)參數(shù)、增強UDT可靠性和減少系統(tǒng)調(diào)用代價的等方式實現(xiàn)了大數(shù)據(jù)下的信息安全傳輸，但是該方法沒有對信息進行分類，進而影響傳輸進度，導(dǎo)致傳輸效率過低、完整性差，不能在行業(yè)被廣泛運用。

因此，提出將貝葉斯分類擴展引入的安全傳輸方法。將基于貝葉斯推理形成的網(wǎng)絡(luò)定理與分類進行解析，通過有向無環(huán)圖將已知信息對未知信息進行分類或預(yù)測[5]，得到的樸素貝葉斯分類器進行分析，變形，構(gòu)建成新貝葉斯分類算法，選取其中的非規(guī)則檢測來判斷當(dāng)前網(wǎng)絡(luò)安全狀態(tài)，構(gòu)建信息安全檢測模型；用得到的安全檢測模型對網(wǎng)絡(luò)環(huán)境進行檢測實現(xiàn)安全傳輸通道，使信息在通道內(nèi)完成安全傳輸[6]。實驗證明，所提方法可以在各種不同網(wǎng)絡(luò)環(huán)境下實現(xiàn)信息的安全傳輸，并且該方法具備良好的機密性與效率性。

2 貝葉斯網(wǎng)絡(luò)定理與分類解析

2.1 貝葉斯網(wǎng)絡(luò)分析

貝葉斯網(wǎng)絡(luò)又被稱為貝葉斯信度網(wǎng)絡(luò)，是目前網(wǎng)絡(luò)傳輸中鑒定不確定信息最有效的工具之一，也是一個有向無環(huán)圖，可以表示了各個屬性節(jié)點變量之間的內(nèi)在關(guān)系，由代表變量的結(jié)點連接結(jié)點的有向邊而組成，其構(gòu)成圖如圖1所示。

圖1 貝葉斯信度網(wǎng)絡(luò)構(gòu)成圖

其中，兩個結(jié)點間的有向邊即為相互關(guān)系(父節(jié)點指向子節(jié)點)，每個子節(jié)點中都保存著父節(jié)點發(fā)生情況下的條件概率，并表達了兩者之間的關(guān)系強度，可以分析網(wǎng)絡(luò)傳輸中各種不確定的事件，對在傳輸過程中不完全、不完整的知識或信息中作出推理，假設(shè)U代表傳輸終端，Sever1與Sever2代表變量節(jié)點，則發(fā)生情況下的條件概率P如式(1)所示

P={U，Sever1，Sever2}

=P{U|Sever1，Sever2}*P{Sever1，Sever2}*P(Sever1)

(1)

2.2 擴展貝葉斯分類算法(對信息進行分類)

貝葉斯分類算法以概率統(tǒng)計學(xué)和貝葉斯網(wǎng)路的理論為基礎(chǔ)而進行的分類的算法，能對各種數(shù)據(jù)類型分類，例如離散型、混合型數(shù)據(jù)等。由此，文中使用樸素貝葉斯指數(shù)系統(tǒng)所給出的待分類項，在求解該項出現(xiàn)時，各類別的概率哪個最大，就判斷這個待分類項是哪一類，來確定網(wǎng)絡(luò)內(nèi)部環(huán)境是否可信。

設(shè)每個數(shù)據(jù)信息用n維持向量來描述n個屬性的值，則X={x1，x2…，xn}，假設(shè)有m個類，分別用c1，c2，…cm表示，設(shè)未知的數(shù)據(jù)樣本為X，將X分配給類別Ci，設(shè)每個數(shù)據(jù)信息用n維持向量來描述n個屬性的值，則貝葉斯分類算法如式(2)所示：

p(Ci|X)>p(Cj|X) 1≤j

(2)

但是貝葉斯分類器在使用過程中各個傳輸結(jié)點屬性間需要相互獨立，這在實際問題中難以實現(xiàn)。所以，提出一種擴展分類的方法使傳輸中的數(shù)據(jù)信息分類效率更高，安全性更強。擴展前后貝葉斯分類器結(jié)構(gòu)如圖2、3所示。

圖2 擴展前貝葉斯分類器結(jié)構(gòu)圖

圖3 擴展后貝葉斯分類器結(jié)構(gòu)圖

如圖3所示，擴展后的貝葉分類器與之前相似，但是它放松了對屬性之間條件獨立的限制，以樹形結(jié)構(gòu)而建立[7]。擴展后分類器也是由類別作為子節(jié)點，但與之前不同的是，擴展后分類器允許結(jié)點的屬性之間有著依賴關(guān)系，并在相互依賴的節(jié)點之間擁有一條有向邊連接。因此，與擴展前的分類器相比，擴展后的分類器具有更優(yōu)秀的安全建模性能。

3 擴展貝葉斯分類下網(wǎng)絡(luò)安全檢測模型

基于擴展貝葉斯分類算法下建立網(wǎng)絡(luò)安全檢測模型，對分類后的網(wǎng)絡(luò)信息進行安全檢測，并構(gòu)建網(wǎng)絡(luò)安全傳輸通道，將檢測后的涉密信息在此通道內(nèi)完成安全傳輸。

3.1 網(wǎng)絡(luò)入侵檢測

文中提出的網(wǎng)絡(luò)入侵檢測動態(tài)安全防御技術(shù)與傳統(tǒng)防火墻、加密技術(shù)等靜態(tài)防御技術(shù)相比，更能主動地發(fā)現(xiàn)外網(wǎng)和內(nèi)網(wǎng)上的攻擊，快速識別入侵，并采取有關(guān)措施終止入侵，向管理人員發(fā)出警報。其中，網(wǎng)絡(luò)的入侵檢測分為兩種，一種是將數(shù)據(jù)信息與數(shù)據(jù)庫中的已知入侵行為進行對照匹配的規(guī)則檢測[8]，如若匹配成功就更改防火墻的策略，但是數(shù)據(jù)庫中沒有的入侵案例就會表現(xiàn)得力不從心。如圖4所示，若曲線2和曲線4的存在規(guī)則庫當(dāng)中，那么用戶2判定為正常者，用戶4判定為入侵者；則規(guī)則檢測對用戶1與用戶3無能為力。這時，另一種非規(guī)則檢測就會發(fā)揮作用。

圖4 被監(jiān)測對象行為曲線

非規(guī)則檢測是以擴展后的貝葉斯分類算法對待檢測目標(biāo)發(fā)生的異常行為進行檢測，如果目標(biāo)發(fā)生異常，則被系統(tǒng)定為入侵行為。首先需要將待檢測目標(biāo)進行貝葉斯擴展分類，因為每個目標(biāo)對應(yīng)的行為都是矢量，所以擴展貝葉斯算法可以將這些矢量分類為一般異常、嚴(yán)重異常、警告等。

對于隨機變量X=(a1，a2，…an)，其中，將X歸為概率最高的類別，基于此，根據(jù)式(2)計算向量屬于類別C的概率P(C|X)，計算出屬于各個類的概率如式(3)所示

(3)

假設(shè)矢量在類別下的條件密度函數(shù)為P(C|X)，其中，P(C)是C的類別先驗概率，X的向量密度函數(shù)為P(X)。如果利用p(c)來代替P(C)，當(dāng)X→∞時，p(c)→P(C)。

換個方面講，目標(biāo)的概率函數(shù)與先驗函數(shù)都是由統(tǒng)計獲得的，因此，概率的計算時間通常采用加權(quán)法來獲得，如式(4)所示

(4)

WC是c的事件，隨著時間不斷變化，每次檢測后的坐標(biāo)軸都與之前不同，先前的時間對后面的概率影響越來越小。因為當(dāng)前的N個時間僅限于先前時間對比，所以，當(dāng)前行為只要在圖4中的方塊內(nèi)都被認(rèn)為是合法的。

設(shè)c類事件的時間的函數(shù)為f(Wc)，將梯度設(shè)為漸變過程的衡量標(biāo)準(zhǔn)，并衡量檢測目標(biāo)的活動行為是否在規(guī)定的范圍之內(nèi)，如式(5)所示

(5)

綜上所述，文中提出的網(wǎng)絡(luò)入侵檢測被布置在各個關(guān)鍵的傳輸節(jié)點上，通過監(jiān)聽或者分析所上傳的所有數(shù)據(jù)流量，以此判斷當(dāng)前網(wǎng)絡(luò)傳輸?shù)陌踩珷顟B(tài)。如圖5所示，由探測器收集網(wǎng)絡(luò)結(jié)構(gòu)底層的所有數(shù)據(jù)，并提交給分析引擎，再通過網(wǎng)絡(luò)安全數(shù)據(jù)庫進行對比檢測，將分析后的結(jié)果提交并響應(yīng)安全配置構(gòu)造。

圖5 網(wǎng)絡(luò)入侵檢測圖

3.2 安全檢測模型建立

構(gòu)建的傳輸環(huán)境安全侵檢測系統(tǒng)，如圖6所示，由六個部分組成。其中，主體是指系統(tǒng)所作的操作命令，也就是行為起點；對象包含系統(tǒng)所包含的重要信息，如內(nèi)存資料等；審計數(shù)據(jù)是對象的某種行為所產(chǎn)生的記錄；活動清單是系統(tǒng)目前正常行為的一個輪廓記錄；異常記錄是系統(tǒng)中異常行為的一種記錄；活動規(guī)則是應(yīng)對出現(xiàn)異常記錄的應(yīng)對行為，并基于上述條件構(gòu)建的信息安全檢測模型，如圖7所示。

圖6 安全檢測系統(tǒng)

圖7 安全檢測系統(tǒng)模型

4 基于安全通道檢測下的信息傳輸

網(wǎng)絡(luò)安全傳輸通道是利用安全檢測模型對網(wǎng)絡(luò)傳輸環(huán)境進行入侵檢測，在此范圍內(nèi)通過加密封裝處理后[9]，建立的一條保護信息傳輸?shù)耐ǖ?，使原始信息在此通道?nèi)實現(xiàn)安全傳輸。

4.1 網(wǎng)絡(luò)安全傳輸檢測通道

為進一步加強數(shù)據(jù)安全性，將待傳輸?shù)脑夹畔⑦M行加密封裝處理后再送入網(wǎng)絡(luò)中。所建立的傳輸通道利用安全檢測模型對進行檢測，并對用戶身份認(rèn)證、加密來實現(xiàn)涉密信息的安全傳輸，主要分為以下三部分：

1)身份認(rèn)證：用戶對服務(wù)器的身份認(rèn)證即為認(rèn)證部分，這是防止受到“中間人”攻擊最有效的措施；

2)加密/解密：當(dāng)主體提供的加密/解密供雙方的安全協(xié)商完成后，雙方端口就確定了共同的加密/解密算法，并在整個安全連接過程中一直使用該算法對信息加密傳輸。發(fā)送方用該算法對前期數(shù)據(jù)進行安全加密，而接收方采用相同算法對其進行解密，系統(tǒng)通過這一過程保證了數(shù)據(jù)的機密性。

3)傳輸控制：是對雙方數(shù)據(jù)接收處理進行控制[10]，負(fù)責(zé)儲存雙方協(xié)商好的算法，并按其固定的步驟進行篩選、處理。在發(fā)送方控制著壓縮及身份驗證與信息完整性以及協(xié)同加密工作；在接收方控制著解密與解壓組合等工作，如圖8所示。

圖8 傳輸通道運作示意圖

4.2 安全傳輸實現(xiàn)

利用網(wǎng)絡(luò)安全傳輸通道實現(xiàn)安全傳輸過程，既可以對涉密信息的加密，也可以對其進行安全維護。這就大大提高了安全性傳輸。

圖9 信息傳輸指令

圖9所示，信息的傳輸指令如下：

1)客戶端向服務(wù)器發(fā)送Client Hello消息，提供用到的算法；

2)服務(wù)器從Client Hello中選出要用的算法并發(fā)送Server Hello給客戶端；

3)服務(wù)器發(fā)送Certificate消息給客戶端，并在此消息中傳送服務(wù)器；

4)服務(wù)器發(fā)送Certificate Request給客戶端，要求驗證客戶身份；

5)服務(wù)器發(fā)送Server Hello Done給客戶端，通知其完成身份驗證；

6)客戶端發(fā)送Certificate消息給服務(wù)器并在此消息中傳送客戶端；

7)客戶端將信息傳輸通道中發(fā)送給服務(wù)器。

圖10 信息安全傳輸?shù)膶崿F(xiàn)

5 仿真分析

為了驗證所提方法的有效性，實驗將文獻[3]、文獻[4]與所提方法進行對比，利用Windows系統(tǒng)對涉密信息在安全檢測通道內(nèi)進行安全傳輸檢測。帶寬、時延的不變值依次取值為1Gb/s，100ms。

5.1 效率性

如圖11所示，n=6，有6個信息流從系統(tǒng)中的起始端S傳輸?shù)浇K端Di(i=1，2，…6)，在不同的帶寬時延情況下，信息的安全傳輸效率仿真結(jié)果如圖12所示。

圖11 Windows系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)

圖12 傳輸效率結(jié)果對比

由圖12可以看出，對比所提方法和文獻[3]、文獻[4]的測試結(jié)果可知，文獻[3]方法雖然傳輸率較高但是在傳輸過程中穩(wěn)定性較差；而文獻[4]方法雖然穩(wěn)定性較高，但是起始的傳輸率低，并且隨著往返延時增加也沒有較大起伏；然而所提方法的傳輸率隨著往返延時的增加雖然有所下降，但仍在90%以上，一直接近100%，而且對傳輸率的影響也較小。以上所得結(jié)果說明，因為所提方法利用擴展貝葉斯分類算法對信息進行了分類處理，并使用安全檢測模型對待傳遞信息實施了安全檢測，大大縮短了檢測所用的時間，在提高了信息在安全傳輸過程中的效率性同時，也保證了良好的穩(wěn)定性。

5.2 機密性

圖13采用5.1節(jié)相同的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)環(huán)境，文獻[3]、文獻[4]和所提方法進行涉密信息安全傳輸機密性指數(shù)對比結(jié)果。

圖13 機密性指數(shù)對比

由圖13可見，因為文獻[3]方法在傳輸信息的過程中存在安全漏洞，從而導(dǎo)致波動性過大，穩(wěn)定性差，因此，該方法不能保證信息在網(wǎng)絡(luò)傳輸過程中保持良好的機密性；文獻[4]方法在傳輸過程中相對穩(wěn)定，但是機密性指數(shù)一直未保持在高水平，嚴(yán)重時還會使信息導(dǎo)致數(shù)據(jù)丟失、泄露等現(xiàn)象；而所提方法為了提高網(wǎng)絡(luò)傳輸環(huán)境的安全，利用安全檢測模型對網(wǎng)絡(luò)傳輸通道進行加密處理，并將信息在安全的網(wǎng)絡(luò)通道環(huán)境內(nèi)進行傳遞，既降低了在傳輸過程中被惡意篡改的可能性又具備了良好的安全性與機密性。

5.3 完整性

在惡意的網(wǎng)絡(luò)環(huán)境下，如果涉密信息沒有進行加密傳輸，入侵者就可以捕捉漏洞而篡改信息，使合法接收者不能收到完整的涉密信息。圖14是采用5.1節(jié)相同的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)環(huán)境，同時對文獻[3]、文獻[4]和所提方法進行信息安全傳輸完整性對比結(jié)果，如圖14所示。

圖14 安全性指數(shù)對比

由圖14可以看出，文獻[3]方法雖然在寬帶往返起始時保留的信息完整性較高，但是隨著往返延時不斷增加，該方法的完整性也呈現(xiàn)下降趨勢；文獻[4]方法雖然傳輸過程中較比文獻[3]方法相對平穩(wěn)，且在往返延時25-50/ms之間達到了完整性最高峰值，但在整個傳輸過程中文獻[4]方法的完整性指數(shù)都不高。然而，所提方法利用安全檢測模型檢測分類后的信息，將通過檢測信息輸入傳輸通道內(nèi)，抵御了非法入侵者的惡意攻擊，保留了信息最大完整性。雖然所提方法沒有完全抵抗惡意攻擊，但是至少可以通過安全傳輸指令使合法用戶知道收到的信息被篡改，這也是具備信息完整性的鑒別方法。

6 結(jié)論

為了使網(wǎng)絡(luò)涉密信息在傳輸過程中發(fā)生遺失、泄漏等不確定的安全信息出現(xiàn)，提出了一種將擴展貝葉斯分類的方法。利用對貝葉斯網(wǎng)絡(luò)定理進行分析，得到樸素貝葉斯分類器，通過對其變形、解析、構(gòu)建一個新的擴展后的貝葉斯分類，并以此作為安全檢測模型的基礎(chǔ)，將建立好的模型對信息進行加密的封裝處理，使信息在形成的安全通道里完成傳輸。通過實驗對比證明，所提方法有著更高的效率性，優(yōu)秀的機密性與良好的完整性。然而，該方法對計算機系統(tǒng)配置的要求過高，在接下來的研究中會進一步探索如何結(jié)合此算法實現(xiàn)系統(tǒng)性更強的信息安全傳輸。