基于決策樹算法的聯級網絡安全態勢感知模型

周 莉，李靜毅

(重慶郵電大學移通學院，重慶 401520)

1 引言

云計算與互聯網等技術的飛速發展，使網絡數據呈現出爆發式的增長狀態。其在給人們的 工作和生活帶來便利的同時，海量的數據也給網絡帶來了極大的安全隱患[1-2]。因此，相關設計了安全態勢感知技術，如基于貝葉斯方法的網絡安全態勢感知模型[3]和基于改進G-K算法的多節點網絡安全態勢預測感知模型[4]。這兩種模型通過感知網絡安全威脅數據檢測網絡中的安全事件，但因安全態勢感知模型因分類效果不佳，導致其加速比和規模比低于預期目標。

為此，本研究在傳統模型的基礎上，融合決策樹算法構建了新的聯級網絡安全態勢感知模型。決策樹算法是一種逼近離散函數值的方法，利用歸納算法對預處理后的數據生成決策樹，按照決策規則對數據進行分類[5]。下面對基于決策樹算法的聯級網絡安全態勢感知模型設計過程進行詳細說明。

2 聯級網絡安全態勢感知模型設計

2.1 設置感知模型的類別劃分模塊

在復雜網絡中，對于網絡安全要素類別的準確劃分十分重要。因此，本研究在傳統設計的基礎上，重新設置感知模型的類別劃分模塊。

根據現有網絡攻擊要素可知，目前的攻擊類別包含了拒絕服務攻擊、探測攻擊、遠程登錄攻擊以及獲取權限攻擊，這四類攻擊類型的簡稱分別為Dos、Probe、R2L以及U2R。其中，Dos主要通過發送海量網絡數據，使被攻擊方設備癱瘓；Probe則利用掃描技術，竊取其它主機的隱私；R2L則根據潛在的安全漏洞，登錄遠程計算機竊取信息；U2R通過獲得服務器最高權限，執行一些非法操作。根據以往經驗可知，Dos攻擊能夠對聯級網絡安全態勢產生重大威脅，而Probe攻擊的影響較輕。因此將聯級網絡要素分為五個類別，分別為正常的聯機網絡數據和其它四項攻擊數據，設置這些類別的標識為1、2、3、4、5。則將感知模型的分類模塊，預設為下面的表現形式

(1)

利用上述公式描述模型分類模塊的構成規則，利用證據推理算法實現對模型分類的訓練，得到輸入數據所屬類別。因此根據上述給出的分類規則，建立一個BRB分類流程。該過程預先利用主成分分析算法的計算方式降維，然后將網絡數據分為訓練數據集和測試數據集兩個部分。當訓練數據集進入模型的分類模塊后，被劃分成若干個子集，使每個子集僅包含兩種類型的數據，譬如一個子集中包含正常數據和Dos攻擊數據；另一個子集包含正常數據和Probe攻擊數據，因此使模型的分類模塊，只負責對兩種數據的分類，即根據式(1)，得到兩種數據分類的計算過程

(2)

將若干個BRB分類器組合，建立模型完整的網絡安全態勢類別劃分模塊，實現不同數據的類別劃分。

2.2 設計模型的安全事件檢測模式

在上述設置感知模型的類別劃分模塊的基礎上，設計具有層次化結構的安全事件檢測模式。該模式對不同層次的網絡數據進行異常檢測，然后從檢測結果中找到態勢要素，從而實現對態勢的總體評估。同時利用感知模型執行網絡安全態勢感知工作時，模型積累的安全事件威脅數據，為模型感知提供原始數據，因此從檢測對比形成知識，再由知識調整評估和安全策略，利用后續時間窗口檢測調整后的結果，實現對整個過程的層次化循環感知。安全事件檢測層負責檢測面向網絡、面向主機的數據的異常行為，其中面向網絡的數據流，是那些以數據包為單位，按照順序進入聯級網絡的網絡流數據[8]；面向主機的服務請求流是以流為單位，進入分支網絡或是分支網內，某一個主機的網絡流數據；面向主機的服務應答流是以流為單位，與某主機服務請求相關，且由主機向外的網絡流數據。因此，在安全事件檢測層面對網絡數據流時，首先記錄網絡信息的概要，設置時間窗的長度為D，利用Di切分i個網絡信息。然后在時間窗內，根據概要信息的記錄內容，提取出該時間窗口切分的網絡流數據特征，用TD表示?；谠O置的分類模塊，以TD為輸入檢測時間窗網絡流量的安全狀況，公式為

(3)

式(3)中：gN表示常見的攻擊類型，此處特指Dos、Probe、R2L以及U2R。上述是面對網絡數據流的處理過程[9]。當模型面對主機數據流時，同樣預先整合數據流基本信息，利用時間窗D整合子網的數據包，然后按檢測對象組織數據記錄。檢測服務請求數據流時，將IP相同的數據整合到一起；檢測服務應答數據流時，將主機出流中源端口相同的數據組織在一起，因此兩種檢測對象組織記錄，分別用flow1和flow2表示[10]。針對服務請求流和服務應答流，利用時間窗D提取二者的行為特征，分別記為F1和F2。最后利用分類模塊，對面向主機數據流的異常行為，進行檢測，公式為

(4)

通過上述計算過程，實現對模型安全事件檢測模式的優化設計。

2.3 基于決策樹算法建立感知模型

若要實現對不同安全事件的精細化區分，需要依靠更加先進的算法，在分類模塊劃分子集后，將攻擊數據中正常數據中分離出來，因此構建一個基于決策樹算法的聯級網絡安全態勢感知模型。該模型的基本結構如圖1所示。

圖1 基于決策樹算法的聯級網絡安全態勢感知模型

根據圖1所示的模型結構可知，其為一個依托于決策樹算法的模型，該模型由多棵決策樹共同構成，其輸出結果是所有決策樹輸出結果的眾數來確定的。設計的感知模型共有三層，按照自上而下的順序，對不同的數據流進行安全態勢感知，通過葉子節點的態勢投射，得到最終的感知結果[11]。已知該模型中包含大量的決策樹，而決策樹算法就是一個將空間，劃分為超平面的方法。當該算法進行數據分割時，預先將數據所處的空間一分為二，使空間中的每一個葉子結點，都在一個不相交的區域之內。同時進行數據分離時，根據輸入樣本的維度特征逐步下降，最終進入到M個區域中的任意一個，此時的每個區域，都代表不同的數據類別。在決策樹算法的控制下，每棵決策樹不存在相互關聯的性質，因此大量的決策樹形成森林，通過森林中的每棵決策樹判別輸入的新樣本類別，根據每棵決策樹選擇最多的類別，確認網絡數據的攻擊類型。決策樹算法對于網絡攻擊數據的處理過程，如下表1所示。

表1 決策樹算法的數據處理過程

利用決策樹算法分離子集中，與正常數據混合在一起的攻擊數據，至此基于決策樹算法，建立聯級網絡安全態勢感知模型。

3 仿真與結果分析

為驗證上述設計的基于決策樹算法的聯級網絡安全態勢感知模型的實際應用性能，設計如下仿真。為避免實驗結果的單一性，將本文模型作為實驗組的測試對象，將傳統的基于貝葉斯方法的網絡安全態勢感知模型和基于改進G-K算法的多節點網絡安全態勢預測感知模型分為作為對照A組和對照B組的測試對象，比較三組感知模型在檢測聯級網絡安全過程中的性能。

3.1 安全態勢劃分

實驗組選擇3156個樣本作為測試基本條件，樣本的分布情況如表2所示。

表2 實驗組樣本數據的類別劃分

此次提出的模型設計方法，利用決策樹算法進行降維，然后按照如圖2所示的分類器，將表2中的訓練數據分成10個組別，每個BRB分類器取其中任意一個組，作為訓練數據來源。

圖2 置信規則庫分類結構示意圖

采用相同的初始參數，設置圖2中的所有BRB模塊，其中模塊的初始參數如表3所示。

表3 感知模型中每個BRB模塊的初始參數

然后利用本文模型對表3中的參數進行優化，優化后BRB分類器對于網絡安全態勢的分類結果如圖3所示。

圖3 模型的安全態勢分類結果

圖3中的橫坐標表示聯級網絡數據的類型，縱坐標表示模型的分類識別率。根據圖3中的數據可以看出，對于部分數據集來說，本文模型的分類檢測輸出量達到了100%，只有對少數數據集的分類效果偏低。

3.2 安全態勢感知模型分類效果測試

為了使實驗測試結果更加直觀，從網絡安全態勢分類輸出的角度，將本文模型的分類效果與兩個對照組模型的分類效果進行對比，結果如圖4所示。

圖4 不同測試組的模型分類效果對比

根據圖4中的測試結果可知，本文模型在決策樹算法的輔助下，對于5個不同的網絡數據集合，均有較好的分類效果。計算三個測試組的分類差異，結果如表4所示。

表4 不同模型的分類效果差異

根據表4中的數據，分別計算三個模型的平均分類效果，分別為94.61%、90.67%以及45.07%。實驗組比兩個對照組的分類識別效果，分別高出了3.94%和49.54%。可見應用本文模型具有更好的數據安全態勢分類效果。

3.3 安全態勢感知模型的加速比和規模比測試

常規情況下，因為數據鏈路和節點之間需要通信，因此存在一定程度的損耗情況，加上各個計算節點本身的一些限制，所以模型的線性加速比和規模比很難提高。圖5為三個測試組的加速比和規模比測試效果圖。

圖5 加速比和規模比測試效果

根據圖5中的時間數據和網絡數據可知，實驗組模型的加速比和規模比都有良好的優化效果。由此可知，本文設計的網絡安全態勢感知模型在面對多樣化的網絡大數據時，其時間效率、空間消耗和穩定性都較好。而兩個對照組面對同樣的網絡大數據時，其加速比和規模比的水平較為一般。由此可知，傳統模型面對網絡大數據時，雖然其時間效率滿足設計要求，但其空間消耗和穩定性都沒能達到預期目標。綜上，傳統模型中受自身算法分類效果的影響，不具備更優越的性能。進一步比較三個測試組的對網絡態勢的感知能力，結果如圖6所示。

圖6 模型自適應能力測試

根據圖6中的曲線變化趨勢可知，面對5種數據類型時，實驗組模型的檢測率始終高于傳統模型，且其誤檢率曲線處于最低位置?？梢姶舜伪疚哪Ｐ途哂懈玫母兄Ч?。

4 結束語

此次研究在參考傳統設計的基礎上，利用決策樹算構建了一種新的網絡安全態勢感知模型，并取得較好的應用成果。但由于研究時間的限制，基于決策樹算法的感知模型存在一定的不足之處。由于建樹過程采用了貪心策略，不可避免地會導致模型考慮全局性的能力較差，甚至出現局部最優的情況。因此，在今后的工作中，將考慮對決策樹算法進行優化，強化感知模型的全局感知能力，從而打破局部最優的限制。