灰色關聯模型的網絡安全態勢感識預測方法

余 建， 林志興， 謝 彬

(1. 三明學院 現代教育技術中心， 福建 三明 365004； 2. 武夷學院 信息技術與實驗室管理中心, 福建 南平 354300)

0 引 言

隨著信息化應用的不斷深化，各種網絡攻擊事件也層出不窮，同時，云計算、物聯網、大數據、移動支付等大量新技術和新興IT事物的變革正深刻地影響著網絡世界。在這種發展背景下，虛擬網絡世界中所面臨的安全威脅和挑戰也正等著我們去應對。在部署大量網絡安全設備的同時，卻未對現有的安全設備進行深度融合，往往對未來的安全態勢無法預判，導致網絡安全系統的可靠性大大下降。

國內外在網絡安全態勢感知方面正做著積極的研究。Bass提出了網絡安全態勢的概念[1]，將網絡安全要素獲取、理解、顯示及預測未來的過程定義為空間態勢感。安全態勢目前包括:態勢要素的提取、態勢評估、態勢的預測[2-3]。態勢要素提取通過信息增益設置權值，獲得關聯性強的態勢因子將威脅網絡安全的數據分類，然后在由網絡安全態勢評估技術按照不同攻擊種類的重要程度加權平均得出網絡安全態勢值[4]。數據收集一定時間后，根據對相關數據的評估和分析，就可以創建網絡安全態勢預測模型。相對而言，由于安全態勢預測可以提早讓用戶較為及時地制定網絡安全防御體系，比起要素提取和態勢評估環節更尤為重要。本文中我們著重解決的就是網絡安全態勢預測問題。目前，已經有很多預測模型用于網絡安全態勢預測，例如GA-BP 預測模型[5]、CMA-ES 算法優化網絡安全態勢預測模型[6]、APDE-RBF神經預測方法[7]、面向多步攻擊的網絡安全態勢評估模型[8]以及基于流的網絡安全態勢感知預測模型[9]、卡爾曼熵值模型的估計方法[10]等，以上預測模型考慮的攻擊行為較為單一隱含，實施過程中約束條件較大，且實用性較弱，不適用于動態性高、網絡結構相對復雜的網絡系統。

鄧聚龍提出一種灰色模型(Gray Model)[11], 利用較少的或不確切的表示灰色系統行為特征的原始數據序列作生成變換后建立的，用以描述灰色系統內部事物連續變化過程的模型，稱為灰色模型，簡稱GM模型。本文提出一種基于灰色關聯[12]的安全態勢感知預測方法，利用改進的GM(1,N)理論建立了安全態勢預測模型。通過對校園網中異常流量的收集，并將安全數據進行關聯分析，得到了下一個時間段的安全態勢因子，從而實現對系統安全潛在的威脅進行預警提示。

1 安全態勢預測GM(1,N)模型

針對安全態勢所要求的準確性高，而網絡攻擊又存在的時間的隨機性、目的性強、破壞性大等特點，本文提出了一種基于灰色關聯的安全態勢感知預測方法模型。假設在盡可能短時間段t內，從安全態勢感識數據中選取一個安全態勢序列，作為安全態勢感知預測模型的原始輸入數據序列，標記為

s(0)=(s(0)(1),s(0)(2),…s(0)(n))

s(0)(t)≥0,t=1,2，…，n

(1)

1.1 基于GM(1,N)的安全態勢感識預測模型算法

設安全序列集S=(s0,s1,…，sn)，F為S的數值映射集，s為S像集的灰色安全態勢感知關聯因子；S為灰關聯因子集，s0∈s為參考列，sj∈s為比較列，j=1,2,…,m。具體如下：

r(s0(k),sj(k))=[jminkmins0(k)-sj(k)+

(2)

(3)

(4)

則GM(1,N)的最小二乘估計參數滿足

(5)

在灰色理論論中，定義GM(1,N)模型為：

(6)

k=2,3,…，n

由式(4)可得GM(1,N)的白化方程為：

即

ds(1)(t)/dt+as(1)(k)=b

(7)

(8)

(9)

k=2,3,…,n

時間響應式為：

(10)

即：

(11)

1.2 GM(1,N)算法的改進

GM(1,N)模型可以根據網絡中的網絡流量、端口連接數等各主要因素來判斷網絡是否遭受攻擊，因此該模型在相關安全領域得了較廣的應用。但由于目前網絡安全的復雜性，例如APT、DDOS、端口掃描等多維度攻擊[13]，而GM(1,N)模型預測存在不需要大量樣本，計算工作量小等缺點，因而得到的預測結果與實際的結果存在較大的誤差。

灰色模型是根據相對固定的數據對未來的數據進行預測，但影響預測的通常只是離預測值較近時間段的數值，由于網絡的流量值一直是一個動態的不斷變化的數值，如果用傳統的灰色模型預測，預測的數據只能反映較為單一的趨勢[14]。因此，應用等維灰度遞補的思想，本文提出了一個基于動態的等維GM(1,N)模型，利用網絡攻擊中存在較大數據的特點，采用動態等維[15]GM(1,N)模型來預測大量實時的數據替換較早的數據。以此類推，直到得到預測目標，以提高網絡態勢感知預測的精確度。具體如下：

(1) 對原始序列做一次累加：

(12)

i=1,2,…,n；t=1,2,…,m

(2) 根據所得原始數據，建立不同維度的GM(1,N)模型，其中：

(13)

(14)

(4) 求得GM(1,N)模式的近似時間響應式：

(15)

(5) 累減還原后得到預測模型:

(16)

(7) 重復以上計算步驟，通過對比不同維度GM(1,N)模型預測未來網絡安全態勢。

(8) 將改進的GM(1,N)模型按關系進行進一步誤差檢驗，其精度為：

(17)

k=2,3,…,n

(18)

按

(19)

1.3 安全態勢生成算法

從灰色模型的研究中可以得到灰色關聯的網絡安全態勢感知預測方法,主要有以下步驟：

pre=GM 1N(x0)

s0=s0(:);

n=length(s0);

fori=1:n-1

G(i,1)=-(x1(i)+x1(i+1))/2;

G(i,2)=1;

end

Z1=s0(2:end);

belta=pinv(G′*G)*G′*Y;

a=belta(1);

對于社會服務方面，高校應積極為社會經濟發展提供智庫服務。從社會經濟發展的具體需求著手，重點關注社會經濟發展中面臨的重大理論問題和其他實際問題，進行針對性和前瞻性的研究工作，以主動參與到決策咨詢中去。通過高質高效的研究成果，為政府部門的決策和規劃提供理論支撐，為社會輿論的發展提供指導依據。

b=belta(2);

%predict

s_pre1=zeros(n,1);

s_pre=s_pre1;

fork=0:n-1

s_pre1(k+1)=(s0(1)-b/a)*exp(-a*k)+b/a;

end

fork=1:n-1

s_pre(k+1)=s_pre1(k+1)-s_pre1(k);

end

本算法主要用來計算根據灰色理論建立的模型的預測值，應用的是數學模型GM(1,N)。原始數據的處理方法是一次累加法。

2 實驗與性能對比

2.1 實驗分析

為了驗證該方法，采集了某大學2018年1～3月校園網中IPS和網絡出口流量的數據，其中出口設備為一臺銳捷的NPE60，通過對入侵防御系統(IPS)、WAF、NF對網絡的流量監控，對本網的網絡安全態勢做出相關預測，本文實驗的網絡安全拓撲圖如圖1所示。

圖1 某大學數據中心網絡安全系統實驗拓撲圖

當一個局域網遭攻擊時，可以通過異常流量指數、系統脆弱性指數、APT攻擊指數、網站安全指數、網絡攻擊指數[16-19]等因素來判斷其攻擊的嚴重性。如異常流量指數，同一個局域網內，在不同時間段內存在不同的流量指數，但對于整體層面及長時間的流量觀察來看，不同時間段的上網流量也存一定的規律性，例如，調取某高校數據中心的流量監控圖(見圖2)可以觀測到，除了8:00～9:00、23:00～24:00、1:00～1:30這3個時間段流量異常外，其余時間段網絡流量都相對穩定正常。這就可以利用具有相似流量態勢的觀點來預測下一個觀測點。當出現異常情況下，如網絡遭受DDOS攻擊時，就可以通過某些特殊時間段上的異常流量點來做安全態勢感識預測。

圖2 某高校數據中心實際流量監控圖

為了驗證該算法的可靠性，抽取了某大學2018年1月某天T0→T5(取值為7:00～12:00)時間段的運行服務情況，每個時間段分別以1 h為單位，現假設觀察了8:00～12:00期間5個時間點的異常流量值，12:00～13:00期間的T5點未觀察，為了預測T5點的流量值，先進行T5點與其他點進行關聯分析，關聯度為r51=0.61，r52=0.62，r53=0.58，r54=070，r56=0.86建立GM(1，N)模型，其方程式為：

(20)

根據式(19)，可得T0→T4時間段內網絡安全態勢情況表，如表1所示。

表1 不同時間段內的安全態勢

結合白化方程式和相應時間響應式(7)和(11)可得相應的安全態勢預測模型數值：

(21)

(22)

最后根據式(16)，預測下一個時間段T5的網絡安全態勢值為86.1。

2.2 誤差檢驗

文獻[20]中給出了一種灰色理論的網絡安全態勢模型的誤差檢驗方法，具體表達式為：

(23)

模擬值可得殘差

(24)

最后可得相對誤差Δt和平均相對誤差Δ，分別記為：

表2 誤差檢驗表

由式(26)可得到其平均相對誤差為3.9122%，預測的精度大于96.4%，預測值較高。

表3中所示為DDOS、APT攻擊和端口掃描等不同掃描類型的網絡攻擊采用灰色關聯模型的預測值與實測值之間的誤差分析結果。從表3得到安全態勢值隨不同攻擊類型變化的柱狀圖(見圖 3)。結合表2、表3和圖4可以看出，安全態勢值在GM模型應用中，最大相對誤差為5.518%，平均相對誤差為4.293%，基于GM(1，N)模型對安全態勢值的預測能夠得到誤差較小的結果，且預測精度較高。

表3 灰色關聯模型中不同攻擊類型的實測值與

圖3 不同攻擊類型中的GM(1,N)預測值和實測值對比圖

圖4 GM(1,N)算法的流量基線值及預測值

2.3 系統性能測試

2.3.1性能驗證

為了證明灰色關聯模型的預測能力高于其他算法,本文利用一種異常流量檢測的思路，利用tcpdump抓包下來的信息計算其檢測概率和誤報概率，并通過對其他算法的預測對比，從而驗證了GM(1,N)算法的先進性。

用流量檢測概率PD與誤報概率PF檢測算法的性能：

(28)

(29)

圖4為GM(1,N)算法的流量基線值及預測值，假設實驗拓撲中數據中心訪問的流量200 MB為測試的固定基線，不同時段的動態流量也不一樣，利用動態基線的變化從而來預測其流量值，當某個時間段的異常流量突然變動較大，那網絡中極可能出現被攻擊行為，利用本文算法，即可預測其網絡的安全態勢值。

2.3.2算法性能對比

從圖5可以看出，本文方法預測精度最高,其他方法都有不同程度的誤差。文獻[6]中主要通過基于APDE-RBF神經網絡的網絡安全態勢預測方法，用AP聚類得出種群差異度,自適應地改變DE算法的縮放因子和交叉概率,對RBF的寬度和連接權值進行優化；文獻[7]中通過面向多步攻擊的網絡安全態勢評估方法對網絡中的安全事件進行場景聚類以識別攻擊者。其攻擊的范圍都較小，未體現出預測時間段的不確定性和識差值。在表4中，灰色關聯模型的檢測率為0.85%，誤警率為16%，兩項指標均優于其他算法，再由平均誤差值可以看出本文方法的預測值在3.912%，比其他兩個算法誤差值都低，相對精確度也更高，優勢較為明顯。

圖5 不同算法態勢值預測的對比

方式灰色關聯模型文獻[5]文獻[6]安全態勢值86.183.6575.69PD/%0.850.8120.73PF/%162530平均誤差值/%3.9124.5846.895

3 結 語

隨著國家對網絡空間安全重視度越來越高，網絡安全態勢感知系統研究也已開始成為一個熱門課題。如何建立一個安全的網絡防御體系，盡早預判黑客惡意的入侵攻擊行為，對于一個發展中的大國來說具有非常重要的意義。本文采用基于改進后的GM(1,N)算法建立了灰色關聯的網絡安全態勢感知模型，并通過該模型的性能驗證，證明該方法能有效的預測未來網絡安全態勢，預測精度較高。下一步工作，將融合更多的安全防御體系，通過網絡安全態勢等級的劃分對預警級別進行分類，不斷完善網絡安全態勢感知系統。