基于改進證據理論的物聯網安全態勢評估

2019-01-18 09:20:44馮英偉王慶福肖瑞雪

西安理工大學學報 2018年4期

馮英偉，王慶福，呂國，肖瑞雪

(1.河北建筑工程學院現代教育技術中心，河北張家口075000；2.遼寧行政學院信息技術系，遼寧沈陽110161)

物聯網時代的到來不僅方便了人類的日常生活，更為社會生產力的發展提供了有效手段。由于物聯網結構的組成錯綜復雜涉及范圍廣泛，一旦遭到攻擊，就會爆發連鎖性的破壞，物聯網安全受到了前所未有的考驗[1-3]。如何進行有效的物聯網安全態勢評估成為研究的重點。物聯網設備因為信息匯總與模糊信息邏輯能力的匱乏，保持著獨立的狀態，干擾管理員判斷，致使物聯網安全態勢不易鑒定，為物聯網安全態勢的評估增加了難度。因此，亟需一個行之有效的物聯網安全態勢評估方法[5]。

針對物聯網安全態勢評估問題，有學者提出了一種基于語義本體和用戶定義規則的情況推理的網絡安全態勢感知模型，該文技術為解決物聯網安全領域中的語義異構問題提供了統一、形式化的描述[6]。該方法提出了反映物聯網安全狀況的四個關鍵子域：上下文、攻擊、漏洞和網絡流。但該方法過于籠統，沒有針對性的解決明確問題，導致應用性不強。有學者以威脅情報為切入點，提出威脅情報共享方法,實現安全威脅情報共享系統的設計,通過共享重要的第三方情報數據對電網安全的安全態勢進行評估及時發現異常行為。該方法應用過程較為簡單，但是得到的物聯網安全態勢評估效果卻不夠理想，物聯網的異常行為檢測不徹底，無法得以廣泛應用[7]。有學者從網絡系統的結構出發，闡述了電子產品編碼系統、物理信息融合系統和無線傳感器網絡系統的運行特點和安全狀況，提出了安全挑戰和安全防御方法，結合物聯網技術的應用與發展，提出了物聯網的體系結構，并集成了不同的通用子系統。該方法雖然可以很好的對物聯網安全態勢進行評估，但是方法過于復雜，應用難度較大[8-9]。D-S證據理論[10]的基本概率賦值(Basic Probability Assignment，BPA)可對不確定信息實施準確描述以及操作，在智能推理方面具有較高的應用價值。傳統D-S證據理論的物聯網安全態勢評估模型采用公式或者專家的經驗獲取BPA值，個人意識較強缺乏科學客觀性，致使獲取的物聯網安全評估結果不理想[11]。

為解決當前物聯網安全態勢評估存在的問題，提出基于改進D-S證據理論的物聯網安全態勢評估模型，采用GA-BP神經物聯網訓練物聯網安全參數指標，輸出態勢優秀的BPA，最終獲取準確的物聯網安全態勢評估結果。

1 改進D-S證據理論的物聯網安全態勢評估模型

1.1 基于D-S證據理論的物聯網安全態勢評估模型

1.1.1 D-S證據理論

m1和m2為兩個證據的基本可信度分配函數，那么D-S合成規則為：

(1)

1.1.2 D-S證據理論的物聯網安全態勢評估模型

基于D-S證據理論的物聯網安全態勢評估模型見圖1，其從物聯網攻擊態勢、物聯網防御態勢、整體安全態勢3種類型的物聯網安全態勢進行評估。

圖1 D-S證據理論的物聯網安全態勢評估模型Fig.1 Network security situation assessment model of D-S evidence theory

操作步驟如下。

1) {A1,A2,A3}描述辨識框架Θ的全部物聯網安全態勢評估狀態，以將來某時段為前提，某段時期中物聯網安全、危險和不確定狀態分別是A1,A2,A3。

2) 用Eatt、Edef和Esec表示辨識框架Θ的攻擊、防御和整體安全態勢評估的3類證據體，該種描述基于以往和現在的物聯網攻擊、防御和整體安全態勢的評估結果進行分析。

3) 當i=1,2,3時，用matt(Ai)、mdef(Ai)和msec(Ai)描述BPA，此時的BPA是各種現在3類證據體的安全狀態。

4) 用結合證據體得出不同安全狀態時的新BPA值m，此前，要將3類證據體通過D-S合成規則進行合成。

采用上述方法獲取包括攻擊態勢、防御態勢、整體安全態勢的各類物聯網態勢評估結果，但獲取的評估結果與實際的物聯網安全狀況稍有偏差，需研究改進。

1.2 改進D-S證據理論的物聯網安全態勢評估模型

基于D-S證據理論物聯網安全態勢評估結果不理想，與實際物聯網安全態勢有偏差，主要因為D-S證據理論評估過程中采用的BPA獲取方式缺乏說服力與科學性。基于D-S證據理論的物聯網安全態勢評估模型采用單純的公式計算或者憑借專家的經驗之談進行判斷，由于物聯網具有繁瑣的物聯網結構組成、錯綜的物聯網環境的特性，所以各因素間互相干擾，變化多端，此做法很難對物聯網安全態勢各方面干擾力做出準確判斷。基于改進D-S證據理論的物聯網安全態勢評估模型采用遺傳算法改善BP神經物聯網獲取準確、可靠的BPA值，排除BPA賦值時存在的主觀意識性。文章分析的態勢狀態包括物聯網正常態勢、物聯網異常態勢和物聯網的未知態勢分別用N、A、θ進行描述，圖2為改進D-S證據理論的物聯網安全態勢評估模型。

圖2 改進證據理論的物聯網安全態勢評估模型Fig.2 Network security situation assessment model based on improved evidence theory

此模型的操作流程包括數據采集、BPA構造、D-S證據融合和態勢評估，詳細內容如下。

1) 從態勢信息中采集數據并提煉態勢指標后進行統一操作，此態勢信息由物聯網設備給予。

2) 通過遺傳算法改進的BP神經物聯網算法(GA-BP)，在GA-BP神經物聯網操作層訓練學習樣本集，樣本集內是多維度態勢指標，最終獲取態勢BPA。

3) 對新D-S證據實施融合過程中，應用BP神經物聯網獲取的態勢BPA和Dempster合成表達式進行循環處理，同時實施態勢評估時需要基于決策邏輯分析。

上述基于改進D-S證據理論的物聯網安全態勢評估過程中，對于BPA的構造采用遺傳算法對BP神經物聯網實施物聯網參數優化操作，提高收斂速度的基礎上增加BPA評估的準確度。分析D-S證據融合時，通常將證據融合過程當成在不同時間點情況下的證據態勢BPA融合過程。對物聯網安全態勢進行評估時，將融合過程當成不同時間點情況下的D-S證據融合過程，依據時間點的態勢BPA構成不同的D-S證據。不同態勢情況同不同的證據命題相關聯。詳細的融合過程是：面向第n-1條證據，向Tn-1時情況下BP神經物聯網設置態勢BPA，如果獲取第n條證據，則融合第n條以及第n-1條證據獲取新證據，通過Dempste合成表達式對新證據實施融合，得到最佳態勢BPA，同時基于設置的決策邏輯，基于最佳態勢BPA的D-S證據融合流程，對物聯網安全態勢實施有效評估，具體的流程用圖3描述。

圖3 最佳態勢BPA的D-S證據融合流程Fig.3 D-S evidence fusion process in the best situation BPA

圖3中差異時間點的態勢BPA實施Dempster合成過程用⊕描述，基于遺傳算法優化的BP神經物聯網算法用GA-BP描述。

上述過程經過BPA構造、D-S證據融合進行物聯網安全態勢評估，有效解決了傳統D-S證據理論BPA賦值缺乏客觀科學性的問題，提高了物聯網安全態勢評估的準確度。

2 實驗結果與分析

為驗證本文方法在物聯網安全態勢評估方面精確高、評估效果好，實驗采用本文方法對某時段的某物聯網安全態勢進行評估實驗，將本文方法獲取的評估結果與真實的評估結果進行對比，使本文方法更具有說服力。真實評估結果的獲取條件為：某高校的物聯網2013年2月13日13：00—14:00時間段的物聯網；間隔5分鐘實施一次物聯網評估；從攻擊態勢、防御態勢、整體安全態勢三方面進行評估。獲取的真實評估結果用圖4描述。采用本文方法進行實驗的具體環境為：定義低、中、高三個評估值區間(0,1]、(1,2]、(2,3]，將待評估的時間段分割成10個小時間段，采用本文方法對相同時間段相同地點的物聯網安全態勢進行評估。獲取的物聯網安全態勢評估結果用表1描述，其中，A1表示物聯網處于安全狀態的概率，A2表示物聯網處于危險狀態的概率。

圖4 真實物聯網安全態勢評估結果Fig.4 Real network security situation assessment results

結合圖4與表1進行實驗結果分析可知，本文方法在分析上一時間段內的各類物聯網安全狀態評估結果的基礎上，獲取一下時間段的物聯網態勢評估實驗結果，實驗詳細分析三個時間段內兩種安全態勢評估結果。

1) 在13：10～13：15時間段內：本文方法評估的物聯網安全狀態概率值是0.902，物聯網危險狀態概率值是0.147；真實的物聯網安全態勢評估結果顯示1.56是物聯網攻擊態勢值，0.31是防御態勢值，1.01是整體的物聯網安全態勢值，說明物聯網安全狀況良好，本文方法獲取的評估結果與真實評估結果相似程度高。

2) 在13：30～13：35時間段內：本文方法評估的物聯網安全狀態概率值是0.089，物聯網危險狀態概率值是0.771；真實的物聯網安全態勢評估結果顯示1.48是物聯網攻擊態勢值，2.18是防御態勢值，2.56是整體的物聯網安全態勢值，說明物聯網安全狀況不樂觀。本文方法獲取的評估結果與真實評估結果基本相似。

3) 在13：55～14：00時間段內：本文方法評估的物聯網安全狀態概率值是0.652，物聯網危險狀態概率值是0.300；真實的物聯網安全態勢評估結果顯示1.5是物聯網攻擊態勢值，0.45是防御態勢值，1.55是整體的物聯網安全態勢值，說明物聯網安全狀況樂觀。本文方法獲取的評估結果與真實評估結果基本吻合。實驗結果表明，本文方法獲取的物聯網安全態勢評估結果準確度高。

實驗為驗證本文方法對于物聯網安全態勢的評估的有效性和可行性，從BPA值對比、態勢識別率兩方面展開實驗分析。實驗數據內容為：Kddcup 99實驗數據，實驗物聯網的態勢指標參數。實驗具體設置是：100M局域網，192.168.1.0/24內網IP網段，采用222.89.32.71C類網址與Internet進行連接；將Snort2.1.0、NIP2100D分別安放在web服務器、ftp服務器與samba服務器中，物聯網安全態勢的研究參數的獲取是通過存儲不同的IDS時間到數據中心的方式實現的，實驗的源數據則是通過記錄路由器NetFlow流量信息與Nessus漏洞信息的方式獲取的。實驗采用的測試集是從源數據中提取的訓練集，主要包括樣本的輸入與輸出信息，表2對部分訓練集進行了詳細的描述。

表2 樣本的輸入與輸出

分析表2能夠看出，態勢指標參數X1、X2、X3是樣本輸入，輸出的樣本是待評估的態勢N、A、θ，根據這些信息獲取本文方法進行物聯網安全態勢評估時的訓練誤差變化圖，用圖5描述。

圖5 本文方法物聯網安全態勢評估誤差變化圖Fig.5 Proposed method network security situation assessment error change diagram

分析圖5能夠看出，訓練開始的初期，本文方法的評估誤差率僅為0.07%，隨著樣本數量的增加，本文方法的評估誤差率呈明顯下降的趨勢，由0.07%降低到0.01%左右且趨于穩定，說明本文方法對物聯網安全態勢的評估誤差率較小，性能好。

為使本文方法的有效性和可行性更具有說服力，采用本文方法、K-均值聚類方法、BP神經物聯網方法對實驗數據集進行物聯網安全態勢評估，獲取BPA評估結果，表3對三種方法的性能對比結果進行描述，圖6對三種方法獲取的BPA結果進行了描述。

表3 不同方法的性能對比

圖6 三種方法的BPA值評估結果Fig.6 BPA value evaluation results by three methods

分析表3可以看出，在完成等量的物聯網評估的情況下，本文方法使用的迭代次數最少，均方誤差最小，說明本文方法在收斂速度與均方誤差方面具有明顯的優勢，性能較好。

分析圖6可以看出，三種方法的BPA值評估結果曲線走勢大致相同，具體看來，采用K-均值聚類方法與BP神經物聯網方法獲取的BPA值位于曲線圖的下方，明顯低于預期輸出結果；本文方法獲取的BPA值位于曲線圖的上方，最高達0.89，超過其余兩種方法，且與預期輸出曲線走勢基本吻合。實驗結果表明，本文方法的物聯網安全態勢評估精度高、評估效果好。

在實驗態勢指標參數的基礎上，在時間T(T1～T10)內，采用本文方法分別輸出態勢狀態N、A、θ的BPA值，獲取的結果用表4描述。

表4 時間態勢BPA

基于D-S證據融合與物聯網安全態勢評估過程，實驗采用Dempster公式融合本文方法輸出的物聯網安全態勢BPA，本次融合依照時間順序合理實施，獲取的關于時間點的融合態勢BPA用表5描述。

表5 關于時間點的融合態勢BPA

Tab.5 Fusion situation of time points BPA

TNAθm10.145 40.523 30.308 1m1m20.033 10.7660.176 6m1m2m30.070 10.810.101 6m1m2m3m40.015 40.876 80.097 4m1m2m3m4m5…0.0030.946 70.040 9

分析表5能夠看出，在融合的過程中，隨著時間的推進，本文方法獲取的未知態勢值由0.308 1持續降低至0.040 9，同時異常態勢值由0.523 3持續升高至0.946 7。實驗引入決策邏輯最大Bel方法對實驗結果進行狀態判斷，根據表5提供的數值顯示此物聯網處于異常狀態。經過數次的融合使得采用本文方法獲取的數據呈現峰值，并且具有容易區分的優點，便于對物聯網安全態勢進行評估。實驗結果表明，本文方法能夠準確評估物聯網安全態勢，獲取結果的不確定因素幾乎為0，具有較高的物聯網安全態勢評估性能。

為驗證本文方法對于物聯網安全態勢的評估的有效性，根據態勢指標標準，以滲透攻擊的方式對局域網展開模擬實驗，最終實現對模擬物聯網安全態勢的識別與評估。定義該次實驗時間是一小時，在這一時間段內獲取的物聯網態勢數據的基礎上進行實驗，同時采用本文方法與D-S證據理論方法進行對比分析，兩者獲取的物聯網安全態勢識別制成曲線圖，用圖7描述。

圖7 2種方法的態勢識別率對比Fig.7 Situation recognition rate by two methods

分析圖7能夠看出，采用本文方法獲取的物聯網安全態勢識別率總體位于D-S證據理論方法獲取態勢識別率的上方；本文方法獲取的最低物聯網安全態勢識別率在70%以上，最高識別率達到95%，且后期穩定在90%左右；D-S證據理論方法獲取的最低物聯網安全態勢識別率為62%，最高識別率僅為83%，持續時間較短后期呈下降趨勢。實驗結果表明，本文方法比未改進的D-S證據理論方法具有更強的物聯網安全態勢評估性能，評估精度高、識別效果好。

3 結語