一種基于預測模型的網絡安全風險實時預測方法設計

李 鑫

(鄭州升達經貿管理學院 信息工程學院， 河南 新鄭 451191)

隨著現代信息技術的快速進步和發展，Internet網絡已經成為人們必不可少的生活和工作工具。物聯網和云計算的不斷普及，使得互聯網的觸及范圍越來越大。但是上述互聯網系統中的信息安全問題一直得不到有效解決。現有的網絡安全保護技術主要為各種防火墻軟件,但是這些傳統的入侵檢測技術只適用于家庭和小型辦公場所，無法很好地解決超大規模網絡應用的安全防護問題[1-3]。大規模網絡應用的安全問題對國家來說意義重大，如果出現問題將會造成不可預知的嚴重后果。由于能很好地應對大規模網絡的安全防護問題，實時網絡安全風險預測引起了廣大研究人員的關注。

現階段網絡安全風險預測的方法可以分為兩大類[4]:靜態預測和動態預測(實時評估)。目前，實時網絡風險預測的研究還處在發展階段。作為一種新的技術手段，由于具有復雜性高、難度大和非線性等特征，實時網絡安全風險預測的各種優化方法逐步成為了學者們的研究熱點。文獻[5]通過RBF神經網絡對非線性狀態進行分析，結合不同狀態之間的關系實現了安全風險預測。文獻[6]提出了一種基于D-S證據理論的網絡安全風險預測方案。文獻[7]提出了一種基于免疫的時間序列預測方法。該方法可以有效應用于網絡安全問題。文獻[8]提出了一種改進小波神經網絡預測方法，能對發電廠的污染物排放量進行量化評估。小波神經網絡模型在各種預測應用中表現出良好的性能。

在上述研究的基礎上，為了提高網絡安全風險實時預測的準確性，提出了一種基于預測模型的網絡安全風險實時預測方法。該方法首先根據網絡攻擊序列和安全形勢評估構建預測模型，然后將小波神經網絡預測算法應用于攻擊強度觀測序列的數據分析，并選取Morlet小波函數作為激勵函數。仿真實驗結果顯示：相比其他預測方法，提出方法具有更高的網絡安全風險預測準確性，能滿足互聯網環境下的各種信息安全的需求。

1 網絡安全風險預測系統結構設計

網絡安全風險實時預測系統需要對網絡各節點的信息進行實時采集，以便感知規模網絡的安全狀態信息，從而評估和預測網絡安全風險。該系統的框架結構如圖 1所示。通過網絡節點信息和IDS報警日志可以完成數據采集[9]。本文提出的網絡安全實時風險預測系統能夠對網絡安全態勢進行風險評估。

圖1 實時網絡安全風險預測系統

2 構建模型

假設可以通過N個狀態來表示不同的風險安全等級，表示為S={s1,s2,…,sN}。利用X={x1,x2,…}表示狀態訪問序列，其中xt∈S表示在t時刻的訪問狀態。本文假設網絡資源的安全狀態模型為S={G,P,A,C}，其中：狀態G表示處于安全狀態且沒有任何入侵行為發生；狀態P表示入侵者探測到了網絡系統中的主機，但是還沒開始進行入侵行為；狀態A表示網絡系統中的主機開始被入侵了，但還沒有供給成功；狀態C表示入侵者成功破壞了網絡系統中主機的安全防護，資產被入侵者成功破壞[10]。

設每一個傳感器k∈K均具有一個連續時間觀測序列W=(Z,Y)，其中Z={Zt,t≥0}表示隨機過程，狀態集合為S={s1,s2,…,sN}。Y={Yt,t≥0}表示觀測過程。

為了簡單起見，本文用B來表示Bk。設隨機過程為Z={Zt,t≥0}，當i≠j時，可以定義狀態轉移函數為：

pij(t)=P{Zh+t=sj|Zh=si}=

qij(t)+o(t)

(1)

(2)

3 小波神經網絡預測算法

小波神經網絡(wavelet neural network，WNN)是小波分析與神經網絡的結合體，其優勢在于繼承了小波變換時域頻域局部化特征，同時又具有神經網絡良好的自學習能力。因此，本文采用小波神經網絡算法對復雜問題求解的網絡安全風險進行預測。

小波神經網絡主要分為2種類型：松散型和緊湊型。緊湊型使用小波基函數作為神經網絡隱含層節點的激活函數，既繼承了小波分析的優勢，又能夠指導網絡的初始化及參數選擇，同時還能夠根據需要自由選擇合適的小波函數。因此，本文選擇使用緊湊型的小波神經網絡。

3.1 構建小波神經網絡

本文采用的小波神經網絡模型基本結構如圖2所示[12]。

圖2 小波神經網絡模型結構

從圖2中可以看出，小波神經網絡由m個輸入層節點、n個輸出層節點和s個隱含層節點構成。其中φ表示一個單獨的函數φ(x)生成的小波基函數。φ可以通過變換與平移操作得到，計算方法如式(3)所示。

(3)

其中：φ(x)表示一個位于時間空間和頻率空間的母小波；向量aj={aj1,aj2,…,ajm}表示尺度參數和bj={bj1,bj2,…,bjm}表示轉換參數；x={x1,x2,…,xm}表示小波神經網絡的輸入。

神經元j的網絡內部活動可以通過式(4)來表示。

(4)

其中Wij表示輸入i和隱藏節點j之間的權重。通過運用母小波φ(v)來計算第j個神經元的輸出。

本文選取Morlet小波函數作為激勵函數。Morlet母小波可通過式(5)計算得到，其函數波形如圖3所示。

圖3 Morlet母小波函數波形

(5)

第j個神經元的輸出取決于：

(6)

顯然，隱藏層第j個單元取值由頻率參數aj和時間參數bj來決定。初始化小波的變換與平移參數:

ai=0.2(xmax-xmin)

(7)

bj=0.5(xmax+xmin)

(8)

其中xmax、xmin分別表示最大和最小輸入值。

在小波神經網絡的標準形式中，輸出表示為：

(9)

其中Wj表示第j個神經元和輸出節點之間的權重。

3.2 小波神經網絡學習步驟

本文采用反向傳播(BP)方法對小波神經網絡進行訓練，以便找出導致誤差E的每個權重的百分比。一般通過式(10)計算得出誤差E的具體取值。此外，采用最陡下降法來最小化時間t產生的瞬時誤差。

(10)

其中：f表示模型輸出；d表示目標輸出。

網絡訓練的目的是尋求完整矢量網絡參數權重w=(ai,bi,Wij,Wj)，從而最小化誤差函數。本文采用迭代方法處理一個大小為N的訓練樣本。首先在每次迭代t時計算權重向量的誤差導數，然后通過式(11)對權重向量進行更新。

(11)

其中：η表示學習速率；μ表示常數動量項。μ能夠提高訓練的速度，并且避免更新權重時產生偏移。

在權重向量中，基于誤差函數的偏導數，對不同的參數進行更新。

(12)

(13)

然后得出，

ΔWij(t+1)=-η·e(t)·Wk·φk(xi(t))·

(14)

通過式(15)來更新隱藏節點和輸出節點之間的權重Wj。

(15)

(16)

ΔWj(t+1)=-η·e(t)·φj(vj(t))+

μ·ΔWj(t)

(17)

膨脹系數aj的更新方式如式(18)所示。

(18)

轉換系數bj的更新方式如式(19)所示。

(19)

具體算法步驟如圖4所示。

圖4 算法步驟

當迭代次數達到最大數或者誤差e達到預先設定的閾值時，停止學習。在仿真實驗中，將迭代的最大次數和誤差閾值分別設定為100和10-5。

4 實驗仿真與結果分析

4.1 實驗配置

為了對提出基于預測模型的網絡安全風險實時預測方法的有效性和可行性進行驗證，本文搭建了一個典型的互聯網環境實例并進行了仿真實驗。該實驗網絡拓撲中具有 3個信息服務節點，分別為 FTP服務器、WEB 服務器和HTTP 服務器。在該實驗網絡中，設置每個信息服務節點的權重分別為0.5、0.3和0.2。按照攻擊威脅度評估攻擊強度的級別，并通過查看 IDS 報警日志來獲取入侵攻擊的次數(單位時間為分鐘)。本文模擬入侵者在不同時間對服務器節點進行溢出攻擊或者惡意掃描。

4.2 評估指標

本文通過風險值來對節點的網絡安全風險進行量化評估，以便比較不同模型的性能。在t時刻資產的風險值可以表示為：

(20)

如果用h表示一個主機，Rh,t就表示主機h在t時刻的風險值，那么所有節點的風險值為

(21)

其中M表示整個網絡中主機的總數。

4.3 安全風險預測結果

2種不同入侵方式的供給強度變化曲線如圖 5所示，從圖5中我們可以看出模擬實驗中惡意攻擊次數隨時間變化的不同結果，其中橫坐標為入侵時間，單位為分鐘，縱坐標為單位時間內的攻擊次數。在20～80 min期間主要是惡意掃描攻擊，威脅程度較低，因此風險評估值增長較慢也數值較小。在20～90 min期間，開始出現溢出攻擊，其威脅程度較高，因此風險評估值達到第一個高峰。在52和77 min時，溢出攻擊的次數分別達到2個峰值。

實際風險值與小波神經網絡預測的比較結果如圖6所示。可以看出，本文提出預測方法的精確度符合預期。采用GM(1,1)模型[13-14]、ARMA模型[15]和本文算法進行了網絡安全風險預測，風險值預測的結果如表1所示。從表1中可以看出，ARMA模型和本文算法的風險預測結果均符合攻擊威脅等級變化。但是，相比ARMA模型本文算法的風險值預測結果更加接近實際評估值。

圖5 攻擊強度變化曲線

圖6 實際風險值與小波神經網絡預測的比較

Actual risk valueGM(1,1)ARMAThis paper0.530.430.490.510.680.550.640.670.720.610.680.710.860.740.840.87

5 結束語

為了提高網絡安全風險實時預測的準確性，提出了一種基于預測模型的網絡安全風險實時預測方法。該方法首先根據網絡攻擊序列和安全形勢評估構建預測模型。然后將小波神經網絡預測算法應用于攻擊強度觀測序列的數據分析，并選取Morlet小波函數作為激勵函數。仿真實驗結果顯示相比其他評估方法，提出方法具有更高的網絡安全風險預測準確性。