基于貝葉斯網絡的網絡安全態勢感知方法研究

王夢迪 戚犇 王藝杰 中國人民公安大學

引言

現如今，我國的信息化水平取得了前所未有的成績，互聯網的應用和發展改變了我國人民的生產生活方式，給我國的經濟增添了許多的活力。但是隨著信息技術的發展我們需要關注的問題也越來越多。作為一個正在崛起的社會主義大國，傳統的網絡防御越來越滿足不了需要。因此，我國亟需一個整體的、主動防御的網絡安全策略保護我國的互聯網安全。

一、態勢感知技術

態勢感知技術起源于航天和軍事領域，主要是通過數據的融合技術、數據挖掘技術等對當前的軍事狀態進行評估和預測。態勢感知技術主要包括：態勢提取、態勢理解、態勢預測等。目前國內外對態勢感知討論比較強烈并且形成了廣泛接受的是網絡安全態勢感知模型[4]。模型結構圖如圖1所示。

態勢提取技術首先通過Netflow、SNMP[8]等網絡監控設備收集所需要的信息。將收到的信息進行采樣和記錄。然后進行數據的預處理和關聯性分析，去除雜質信息。

態勢理解，也叫態勢評估，其模型的建立需要考慮多方面的因素，包括網絡拓撲、資產價值、威脅和脆弱性方面等。其次態勢因子的選取要從多方面考慮，要從業務驅動的角度出發，不同的系統選取的態勢因子不同。還要從實用性和可視化的角度出發給管理員一個清晰的用戶界面用來進行分析判斷。

態勢預測，包括管理員通過可視化態勢界面，對網絡狀態的人工預測，也包括通過算法設計對系統下一步狀態的判斷。

二、態勢感知的相關工作

Lai J., H. Wang and L Zhu[10]提出了比較完善的網絡安全態勢感知模型概念圖。Yong Z.等人多源的角度出發構建態勢感知的模型。Xiaowu L.[10]等人通過運用snort和Netflow從互聯網中收集有用數據，然后通過數據進行態勢評估。而SIFT項目組通過NVision來顯示B類網絡的連接狀態，然后再對信息過濾，通過圖形化的方式來進行網絡狀態的評價。Bass提出了態勢評估方法，利用IDS的分布式傳感器進行數據采集[2]，使用數據挖掘和數據融合的方法對計算機的安全性進行分析評估。陳秀珍等人提出了層次化的分析方法，從整個網絡出發，通過將網絡進行分層，并對不同的網絡設備的重要性設立權值。然后信息融合得到網絡安全態勢。這種方法實用效果很高。

分析以上學者提出的重要方法，可以發現主要都是通過建立系統模型，評價方法和層次化分析的方法建立態勢感知模型。通過對各種網絡安全態勢感知的分析，本文打算運用貝葉斯網絡的方法進行態勢感知的分析和決策。貝葉斯網絡是統計學的一個重要分支，運用數學的方法比其他方法更加的精確也更容易進行推理。

三、態勢提取技術方法改進

態勢提取技術是基于系統的配置信息或基于系統運行信息進行設計，前者是基于系統存在的漏洞等的挖掘；后者是系統所受到的攻擊狀態的數據分析。態勢提取技術分為三個步驟：事件采集、預處理、關聯性分析。

事件采集，指的是在網絡設備上嵌入agent程序，按照一定時間將數據上報給服務器，進行數據的基礎提取；事件的預處理，指的是對復雜異構的、具有大量冗余數據的預處理，并組成一組規范的數據；事件關聯性分析。對收集的事件進行過濾、分類得到關聯性事件。

樸素貝葉斯基于統計學，有很強的關聯分析能力，在入侵檢測分析、垃圾郵件分類中起到了很好的效果。但傳統貝葉斯分類模型，在對未知樣本進行分類時沒有考慮不同屬性對分類所起作用不同，僅僅通過最大后驗概率分類會造成分類不準的情況，因此本文改進了樸素貝葉斯算法進行態勢提取分析。

假 設A(a1, a2, a3… an)網 絡 事 件 ， 待 分 類 網 絡 事 件 為X(x1, x2, x3… xn) ，f:Aj→ Xi表 示Aj被 歸 類到Xi中，訓 練樣本 為c,c,c…c。由貝葉斯公式c特征出現在a中的概率是[6]：

1 2 3 n i i

經過正則化計算得到的后驗概率為：

求出待分類樣本xi中 每個類別xi在 ai中的概率，并計算最大后驗概率MAP：

傳統的樸素貝葉斯的態勢提取技術就是求出在ai中的最大概率。在實際當中，同因素的影響，會造成傳統樸素貝葉斯的分類精確度的減弱。本文在其模型的基礎上引入屬性加值算法，提高分類精度降低安全事件誤判率。將得到的網絡事件Ai分 為正常事件cn和 非正常事件cj，這樣他們的后驗概率分別為P(Cn｜ Ai) 和P(Cj｜ Ai) ，僅僅通過P(Cj｜Ai) > P(Cn｜ Ai)來判斷類型并不是很嚴謹。為了保證攻擊檢測的性能。我們在樸素貝葉斯算法中加入了判斷因子θ。使得分類效果更加穩定。

對于已經判斷出的C和C必定存在即

jn出現。所以假設存在一個判斷因子θ使得只要最佳的判斷因子θ便可以達到最佳分類效果。

（一）態勢評估和預測總體框架

按照信息安全的評估標準，選擇從四個方面進行風險評估：資產、威脅性、容災性、穩定性[5]。網絡系統框架中的的配置信息、流量信息、服務等構成了風險評估的這四個方面。態勢評估的框架如圖2所示。

每一層級的態勢因子的向上融合最終達到組件級別的態勢，影響評估的四個評估決策指標相互不同，可以從每個方面中各自建立一個貝葉斯網絡。網絡結構的層次化的特點有利于信息的向上融合，得到評估決策指數的風險值(K)。通過專家分析法得到安全威脅向量(Hx)和每個層級受到安全威脅指數的權值(α)，便可以向上融合得到整個系統層的綜合安全指數(S)，即S=αHx·K。

（二）模塊化貝葉斯網絡模型搭建

貝葉斯網絡主要用來對不確定知識的求解，在風險管理、信息融合、醫療診斷、系統控制和生物信息分析方面得到巨大的應用。主要包括兩個部分，一個是有向無環圖G，一個是條件概率表P。可以用B=表示，有向無環圖的節點為V，有向邊用A來表示。既G=。P是條件概率表，是條件概率的集合，其中Pa表示父節點集合。在搭建的貝葉斯網絡網絡安全態勢感知的模型中，節點信息即為經過數據清洗以后得到的有用信息，包括網絡的狀態、網絡日志情況、CPU占用情況等等。有向邊表示的是節點之間的依賴關系，一般是因果關系。節點之間通過有向邊傳遞信息，最上層的父節點代表了整個系統的情況。所以貝葉斯網絡也可以稱為因果網絡。構建態勢感知的貝葉斯網絡模型主要包括兩個步驟：1.構建一個圖形化的有向無環圖描述數據之間的關系。2.構建一個條件概率表判斷數據的依賴程度。

貝葉斯網絡的結構學習可以通過專家經驗人工構造的方法，也可以通過進行數學分析統計自動獲取貝葉斯網的方法。通過人工方式構建的貝葉斯網絡建立的貝葉斯網絡的優點在于能夠把更多的現實的網絡因素考慮到其中，但是缺點是主觀性太高。利用數學建模的學習的貝葉斯網絡比較復雜，尤其是在大規模的網絡異構環境下，經論證完全經過學習得到的貝葉斯網絡是一個NP-hard問題。所以我們結合兩種方法的優點，通過大量數據學習得到貝葉斯網絡，然后通過專家分析來進行模型修改、函數選擇、參數修改。

貝葉斯結構學習算法有很多種，主要可以分為打分搜索算法和基于依賴分析的算法，對于態勢感知系統，需要快速響應和準確分析。基于打分搜索的k2算法具有較高的效率和準確性，比起其他的非精確算法等更能用來發現最優的貝葉斯網絡結構。K2算法主要是通過一個結構打分函數和一個搜索算法來發現最優結構。對于收集到的網絡數據集D，K2算法通過后驗概率P（|D）的打分比較來發現最好的網絡結構是貝葉斯的網絡結構的選擇性假設）。對于一個已知的“無邊”網絡，K2算法需要實現確定最大父節點的個數和節點順序，并通過搜索對“無邊”網絡進行操作，利用評分函數發現最優的結構。這種搜索方法尋找更優的網絡結構，一直到發現不到或達到某個閾值為止。

參數學習是確定各個節點的條件概率密度的過程。參數學習最重要的就是關于連續變量的離散化問題。在貝葉斯網絡模型中很多變量都是連續數據。而這些連續變量的離散化主要是通過：

1.將連續變量的分布看作是高斯分布，通過計算變量的均值和方差，進行訓練。

2.將連續變量按照等區間進行拆分。

3.依據數據樣本數據，將數量相等的連續變量的取值劃分為多個區間。

?

四、實驗

（一）實驗一：搭建一個威脅性節點的貝葉斯網絡框架

本文僅選擇脆弱性節點作為貝葉斯網絡框架搭架的例子，結合實驗室電腦狀態，然后通過攻擊實驗室電腦，收集服務數目、系統配置、cup占用率、系統漏洞、病毒攻擊等數據。進行實驗，首先將連續的數據（例如cup占有率、系統漏洞）離散化。部分數據如表1。

其中父節點3代表的是威脅性節點，1、2、4、5、6代表的是當前網絡的服務數目、系統配置、cup占用率、病毒攻擊、系統漏洞。通過matlab貝葉斯工具箱學習得到的貝葉斯網絡框架如圖4。

將病毒攻擊置于3（最高級）以后，可以發現威脅性節點的后驗概率變為89%。可以感知到威脅的存在。

（二）實驗二：改進樸素貝葉斯的態勢提取方法

本次實驗用DARPA在林肯實驗室進行的攻擊檢測評估項目中的KDD CUP 99數據集來進行入侵檢測。KDD CUP 99數據里面收集了9周的攻擊檢測數據。包括網絡的連接方式和一些系統數據。該數據包分布如表2。

?

采用kdd cup99的10%樣本作為訓練集。導入到Python代碼中實現攻擊的關聯分類。首先找到最合適以便達到最好的分類效果。取值選擇對效果影響如表3。

?

由圖表看出通過設置合適的閾值（Aθ∈[0.5, 2.5]）并調整映射函數可得θ的最大價值為1.5。與傳統樸素貝葉斯分類效果比較后，效果如表4所示。可以發現改進后分類的效果有明顯提高。

?

實驗結果可以得出，改進后的樸素貝葉斯算法在對入侵事件（DOS、R2L、U2R、Probe）的分類效果比傳統的要好。能更加準確的檢測到攻擊事件及與攻擊事件相關的態勢因子。

五、結束語

現今，傳統的防御體系已經遠遠滿足不了現在網絡社會面臨的問題，只有通過主動防御才能構建充分的網絡安全防御體系。網絡安全態勢感知不僅能對當前的網絡安全狀態進行感知，并且能給網絡管理員清晰的數據以支持其決策。而貝葉斯方法已經成為可靠推理的重要方法之一，也成為態勢感知方法的重要算法之一。

[1]王輝, 陳泓予, 劉淑芬. 基于改進樸素貝葉斯算法的入侵檢測系統[J]. 計算機科學, 2014, 41(4):111-115.

[2] 苗科. 基于指標提取的網絡安全態勢感知技術研究[D]. 北京郵電大學, 2015.

[3] 吳紅, 王維平, 楊峰. 貝葉斯網絡參數學習中的連續變量離散化方法[J]. 系統工程與電子技術, 2012, 34(10):2157-2162.

[4] 陳秀真, 鄭慶華, 管曉宏,等. 層次化網絡安全威脅態勢量化評估方法[J]. 軟件學報, 2006, 17(4):885-897.

[5] 王娟, 張鳳荔, 傅翀,等. 網絡態勢感知中的指標體系研究[J].計算機應用, 2007, 27(8):1907-1909.

[6] 王輝, 陳泓予, 劉淑芬. 基于改進樸素貝葉斯算法的入侵檢測系統[J]. 計算機科學, 2014, 41(4):111-115.

[7] 魏靜, 王菊韻, 于華. 基于多模塊貝葉斯網絡的恐怖襲擊威脅評估[J]. 中國科學院大學學報, 2015, 32(2):264-272.

[8] 周長建, 司震宇, 邢金閣,等. 基于Deep Learning網絡態勢感知建模方法研究[J]. 東北農業大學學報, 2013, 44(5):144-149.

[9] Wiggers P, Mertens B, Rothkrantz L. Dynamic Bayesian Networks for Situational Awareness in the Presence of Noisy Data[C]//International Conference on Computer Systems and Technologies.ACM, 2011:411-416.

[10] 卿松. 網絡安全態勢感知綜述[J]. 計算機安全, 2011(10):9-12.