基于粒子濾波的網絡安全態勢預測方法研究

湯永利 李偉杰 于金霞 閆璽璽

(河南理工大學計算機科學與技術學院 河南 焦作 454000)

基于粒子濾波的網絡安全態勢預測方法研究

湯永利 李偉杰 于金霞 閆璽璽

(河南理工大學計算機科學與技術學院 河南 焦作 454000)

為了使網絡管理由被動防御轉為主動防御，需對網絡安全態勢進行預測。針對已有態勢預測方法存在的準確性不高、需要樣本訓練問題，提出基于粒子濾波的網絡安全態勢預測方法。該方法利用帶權粒子集逼近系統的后驗概率密度函數，通過重要性采樣、權值更新、狀態估計等近似積分操作來實現非線性狀態預測。實驗結果表明，該方法不僅能體現網絡安全狀態的非線性，也預測了網絡安全態勢值。對比其他態勢預測模型，該方法準確性更高，且適應于復雜網絡環境。

網絡安全 態勢預測 粒子濾波

0 引 言

賽博空間作為一種復雜且開放的網絡環境，時刻受到未知攻擊及突發事件的威脅，其保密性、可用性面臨挑戰。而傳統網絡管理設備處于獨立狀態，雖提供了海量網絡數據，但缺少對網絡系統的全局感知能力，且增加了數據處理壓力和決策時間，貽誤了處理威脅的最佳時機。自態勢感知理論延伸至互聯網領域，網絡安全態勢感知作為新興研究方向，對網絡安全管理具有重要意義。

美國RIT的Holsopple[1]提出TANDI模型，利用融合IDS報警事件來描述網絡安全態勢；劉一博等[2]提出一種面向網絡實時業務的網絡安全態勢評估方法，以實時業務動態地評估網絡安全態勢；席榮榮等[3]基于隱馬爾可夫模型，提出一種改進的網絡安全態勢量化評估方法；吳迪等[4]提出一種基于攻擊圖的安全威脅評估方法，通過D-S理論給出各個攻擊子圖相應的威脅度量值，實現網絡安全態勢評估。唐成華等[5]提出基于D-S融合知識的網絡安全態勢評估及驗證。這些評估方法雖通過對影響系統運行狀態的態勢要素進行提取、分析、理解，實現了網絡安全態勢評估，但屬于被動管理策略。

網絡安全態勢預測是對系統運行狀態信息的進一步理解和評估，通過對歷史數據分析來推斷出未來狀態變化趨勢，屬于主動防御。通過預測下一段時間系統狀態，降低了大量數據引起的決策難度，實現了主動性網絡管理。常見的網絡安全態勢預測模型有基于鄧勇杰等[6]提出一種基于灰色理論的網絡安全預測方法，GM(1，1)相對簡單、便于計算，但無法反映出系統安全狀態變化的隨機動態性，不能滿足狀態預測的準確性要求；謝麗霞等[7]利用RBF神經網絡算法計算出反映系統狀態的非線性時間序列值。該算法在樣本訓練和參數優化后，可以做到準確預測，但需先樣本學習進行(M,N)值訓練，不能應對未知攻擊。

針對上述預測方法存在的問題，本文提出了一種基于粒子濾波PF(Particle Filter)的網絡安全態勢預測模型。該模型利用粒子濾波的非線性動態狀態估計能力，對當前態勢因子估計預測，以粒子集加權求和來實現下一刻態勢預測。仿真實驗表明，該模型在無樣本訓練下，能對復雜網絡環境進行準確預測。

1 基于粒子濾波的網絡安全態勢預測模型

網絡安全態勢是指對系統運行狀態和趨勢的綜合評價，因網絡系統的不確定性，而表現出非線性和隨機性等特征。網絡安全態勢預測是指對系統安全狀況的估計，也是對態勢值時間序列的預判。表征系統狀況的態勢值具有非線性特點，利用粒子濾波的非線性狀態估計能力對態勢值進行預測綜合，從而推理出系統狀態的未來趨勢。

1.1 網絡安全態勢值

通過定量和定性分析系統運行狀態中態勢因子獲得的數值，不僅映射出態勢因子與態勢值的關聯，也直觀地反映系統當前狀況，并為網絡安全態勢預測提供數據參數。利用數學模型將態勢因子融合歸并為在[0,1]之間的數值，通過對態勢因子的綜合計算來感知網絡安全狀態變化[8]。量化后的態勢值應表現出非線性動態特征，即隨著入侵攻擊次數、攻擊危險性的不同，其大小也發生變化。本文提出的態勢值計算模型，通過提取出關鍵態勢因子，構造權值評價函數，通過加權平均得到態勢值，如圖1所示。

圖1 態勢值計算模型

基于加權平均思想的態勢值數學表達式為：

(1)

式中，NSA表示態勢值，表征了當前網絡安全態勢的威脅程度，wi表示態勢因子i對應的權值，ni表示相應態勢因子i的頻率統計。wi決定了態勢因子對系統態勢安全的影響大小和重要性。

1.2 粒子濾波算法

粒子濾波PF[9]是一種基于蒙特卡羅原理和貝葉斯估計的濾波算法。相比貝葉斯估計理論[10]，當粒子濾波采集的粒子(樣本)數目足夠大，其準確性接近貝葉斯最優估計，且不需要對系統狀態空間作出線性和高斯的假定，便于對所有非線性非高斯系統建模和估計。算法同時也利用大量的隨機粒子(樣本)求和來擬合逼近系統狀態的先驗概率和后驗概率的分布，具有計算簡單的特點，在機器人定位、視頻目標識別和跟蹤等領域得到應用和研究[11]。

算法思想是通過帶權粒子集合的加權和計算出目標系統的后驗概率分布，以粒子均值近似積分來獲得系統狀態估計[12]。基本算法包含重要性采樣、權值更新、重采樣、狀態估計等四個部分。重要性采樣利用遞推形式重新采樣，達到粒子傳播的目的；權值更新在獲得觀測值后，通過重新計算對任意粒子權值進行賦值；重采樣通過設置閾值，過濾掉低權值粒子來解決粒子退化問題；狀態估計通過所有粒子權值求和來完成對下一時刻的系統狀態預測。

算法的基本流程如圖2所示。

圖2 PF算法流程圖

1.3 基于粒子濾波算法的網絡安全態勢預測

在基于粒子濾波的網絡安全態勢預測中，通過建立一種狀態空間模型來對目標狀態問題進行解釋說明，基于“采樣-更新-預測”這一迭代過程來實現對態勢值的跟蹤和修正，減少誤差來提高準確性。為完成系統狀態預測，需要對系統狀態問題建立合適的目標表達式。而目標狀態的表示既要考慮目標系統實際情況，又要便于實現數學運算。網絡安全態勢一般通過選定態勢因子，通過計算間接得出[13]。目標態勢表達式為：

X=[x0,x1,…xi…,xn]

(2)

式中，xi代表網絡安全態勢因子。通常以IDS事件和Netflow流量為基本態勢信息，結合系統資源消耗，通過定量評估來發現系統的安全威脅狀況。

在建立狀態空間模型時，不僅要考慮目標狀態的表達方式，也要考慮對應系統的特點。狀態空間模型通常由轉移模型和觀測模型構成。

(3)

通過狀態轉移方程式來實現當前時間點到下一時間點的系統狀態傳遞。式中，{xi(t+1)}(i=0,1,…,n) 表示t+1時刻態勢預測值集合，xi(t)(i=0,1,…,n)表示t時刻，態勢因子i對應值，vi(i=0,1,…,n)表示轉移噪聲，使系統狀態在一定范圍內隨機性波動，以體現態勢變化的非線性特征。A表示狀態轉移矩陣，形如：

觀測模型定義為：

z(t)=hx(t)+ut

(4)

式中，z(t)表示觀測似然函數值，通過相似度度量計算，融入觀測模型中，決定了狀態估計的穩定性和魯棒性。

基于粒子濾波的網絡安全態勢預測方法基本步驟如下：

Step 1 初始化

Step 2 重要性采樣

Step 3 權值更新

根據式(4)得t時刻觀測值z(t)，并修正傳播過程中的先驗概率密度，通過式(5)-式(7)來實現權值更新：

C(t)=z(t)-hAx(t-1)

(5)

式中，C(t)為態勢值相似度值。

(6)

歸一化：

(7)

Step 4 態勢預測

(8)

Step 5 重采樣

Step 6t=t+1，轉到Step2。

2 仿真實驗

2.1 實驗環境

實驗數據集來源于HoneyNet組織，數據集包含Port掃描、Ping掃描、RPC信息請求以及緩沖區溢出等黑客攻擊信息。仿真實驗數據為HoneyNet組織從2000年7月5日到2000年9月5日連續3個月的數據集，除去一些不完整數據，以一天為預測周期，共收集到70個周期數據。為了降低重復數據和數據跨度大對實驗結果的影響，對數據集進行聚類處理和歸一化處理，歸一化處理公式如下：

(9)

式中，X代表原始態勢因子的數值，Xmin代表態勢因子最小數值，Xmax代表態勢因子最大數值，X′代表歸一后態勢因子數值。

對實驗數據進行標準化處理后得70個周期的實驗數據。態勢值由式(1)計算得出，現給出前30周期的網絡態勢值，如圖3所示。

圖3 網絡安全態勢值

2.2 實驗結果與分析

初始化粒子濾波，設定相關參數：

t=0，x=[0]，回歸系數(a00,a01,…,ann)和vi由最小二乘方得：

vn=[0.1002,0.1.807,0.11832,…,0.23261]

C(t)=-0.3035 h=[1 0 … 0]

由式(8)得t時刻的態勢值：

由基于粒子濾波PF預測模型對網絡安全態勢值預測，并與實際值進行對比，結果如圖4所示。

圖4 基于PF的態勢值與實際值對比圖

由圖4可知，本文預測模型得到的態勢值與實際值基本相符，其變化曲線體現出了網絡安全態勢的非線性和動態性。實驗表明，基于粒子濾波的網絡安全態勢預測方法對網絡安全態勢預測方面是可行的。

為驗證本文方法在真實環境下的有效性，根據HoneyNet數據提供的特征信息，結合IDS報警信息構建僅有常見服務器的簡化實驗環境，具體的網絡拓撲結構如圖5所示。

圖5 實驗環境網絡拓撲

根據實驗場景，收集來自路由器Netflow數據流信息以及IDS的報警信息，作為下一步對比實驗真實的數據源。根據文獻[8]提出的網絡態勢指標體系，對收集的實驗數據提取關鍵態勢因子，歸一化后部分實驗數據，如表1所示。

表1 實驗數據具體參數

利用式(1)對原始數據計算出態勢值進行態勢預測，分別與GM(1,1)、RBF預測算法進行對比。表2給出了3種算法的預測結果均方根誤差。

表2 預測結果均方根誤差對比

由表2可知，PF算法的預測均方根誤差與RBF算法的基本一致，但明顯優于GM(1,1)算法。通過計算預測算法的均方根誤差，來反映算法預測的態勢值與實際值的誤差距離。實驗表明，本文預測算法的預測值與實際值誤差較小，具有一定的準確性。

基于3種預測算法的預測結果對比，如圖6所示。

圖6 預測算法的態勢值對比

如圖6所示，基于GM(1,1)預測模型是基于累加生成的數列，其態勢變化曲線是較平滑的曲線，在突發的網絡環境不能較好地體現安全態勢的隨機波動性。實驗表明，當系統安全狀態波動程度有所增大時，GM(1,1)預測模型的預測誤差隨之增加，無法準確地反映和預測系統安全態勢發展趨勢；基于RBF的網絡安全態勢預測算法是一種基于神經網絡的預測算法，通過樣本訓練使其具有預測能力和泛化能力，從而實現對網絡安全態勢值的預測，其預測變化曲線體現了網絡安全態勢的隨機波動性及非線性特征。但是，RBF算法需先進行樣本訓練且訓練速度慢，通常為滿足預測準確性要求需要優化算法對其進行參數優化，對于未知的網絡入侵事件，不能更好的實時預測。

基于PF的網絡安全態勢預測算法依靠其非線性擬合能力僅對當前系統中的態勢因子進行采樣、更新權值和預測估計等操作，不依賴歷史樣本訓練，可以在復雜網絡環境中進行網絡安全態勢預測。

3 結 語

通過對網絡安全態勢預測來掌握系統安全狀態的未來發展趨勢，從而實現主動性的網絡管理。針對已有算法存在的一些問題，本文給出了基于粒子濾波的網絡安全態勢預測方法。該方法利用粒子濾波的非線性估計能力，對態勢值進行預測和融合，從而提高態勢預測的準確性。實驗表明，該算法在無需樣本訓練下進行網絡安全態勢預測是可行有效的，適應于真實網絡環境。今后將研究如何在滿足預測精度的要求下，減少粒子采樣數目和運算時間，從而進一步提高網絡安全態勢的實時性和準確性。

[1] Holsopple J,Sudit M,Nusinov M,et al.Enhancing situation awareness via automated situation assessment[J].IEEE Communications Magazine,2010,48(3):146-152.

[2] 劉一博,殷肖川,方研.面向實時業務的網絡安全態勢評估[J].計算機應用與軟件,2014,31(9):304-308.

[4] 席榮榮,云曉春,張永錚,等.一種改進的網絡安全態勢量化評估方法[J].計算機學報,2015,38(4):749-758.

[4] 吳迪，連一峰，陳愷，等.一種基于攻擊圖的安全威脅識別和分析方法[J].計算機學報,2012,35(9):1938-1950.

[5] 唐成華,湯申生,強保華.DS融合知識的網絡安全態勢評估及驗證[J].計算機科學,2014,41(4):107-110,125.

[6] 鄧勇杰,文志誠,姜旭煒.基于灰色理論的網絡安全態勢預測方法[J].湖南工業大學學報,2015,29(2):69-73.

[7] 謝麗霞,王亞超,于巾博.基于神經網絡的網絡安全態勢感知[J].清華大學學報(自然科學版),2013,53(12):1750-1760.

[8] 王娟,張鳳荔,傅翀,等.網絡態勢感知中的指標體系研究[J].計算機應用,2007,27(8):1907-1909,1912.

[9] 王法勝,魯明羽,趙清杰,等.粒子濾波算法[J].計算機學報,2014,37(8):1679-1694.

[10] 周帆,江維,李樹全,等.基于粒子濾波的移動物體定位和追蹤算法[J].軟件學報,2013,24(9):2196-2213.

[11] 楊龍文,黃植功.基于多特征融合的粒子濾波多目標跟蹤算法研究[J].計算機應用與軟件,2015,32(4):225-229.

[12] Yang X,Xing K,Feng X.Maneuvering Target Tracking in Dense Clutter Based on Particle Filtering[J].Chinese Journal of Aeronautics,2011,24(2):171-180.

[13] 陳秀真,鄭慶華,管曉宏,等.層次化網絡安全威脅態勢量化評估方法[J].軟件學報,2006,17(4):885-897.

RESEARCH ON A PREDICTION METHOD OF NETWORK SECURITY SITUATION BASED ON PARTICLE FILTER

Tang Yongli Li Weijie Yu Jinxia Yan Xixi

(SchoolofComputerScienceandTechnology，HenanPolytechnicUniversity，Jiaozuo454000,Henan,China)

In order to change the network management from passive defense to active defense,it is necessary to predict network security situation.To solve the problems of the low accuracy and samples training in existing forecast methods,the prediction method of network security situation based on particle filter is proposed.This method uses the weighted particles to approximate the posteriori probability density and realizes nonlinear situation prediction by the approximate integral operations include importance sampling,weight updating,state estimation.Experimental results show that this method can not only reflect the nonlinear of network security situation,but also forecast the value of network security situation.Comparing with the other situation forecasting models,this method is more accurate and can be adapted to the complex network environment.

Network security Situation prediction Particle filter

2015-10-23。國家自然科學基金項目(61300216);河南省科技攻關重點項目(122102310309);河南省科技廳基礎與前沿技術項目(142300410147);河南理工大學博士基金項目(B2011-058)。湯永利，副教授，主研領域：信息安全，密碼學。李偉杰，碩士生。于金霞，教授。閆璽璽，講師。

TP393.08

A

10.3969/j.issn.1000-386x.2017.01.053