基于貝葉斯網絡的信息安全預警模型

張寧， 范海濤

(中國北方發動機研究所, 信息與數字化中心， 天津 300400)

0 引言

信息安全預警模型在網絡信息系統的建設中起著非常重要的指導性作用，精確描述出網絡信息系統的安全屬性，并確定信息安全與網絡行為之間的關系，可以提高對網絡信息安全需求的理解層次，及時對網絡信息安全做出預警。根據國內外的情況，將數據融合技術應用于入侵檢測是下一代入侵檢測系統的發展趨勢。在網絡安全中，利用安全預警技術對攻擊和攻擊者進行有效防御是可行的。因此，有必要收集IDS提供的相關信息，分析和估計當前的入侵特征和情況。將D-S證據理論應用到分布式入侵檢測系統中，利用預警模型整合檢測中心的信息，明確入侵情況，提高入侵檢測系統的預警能力和檢測效率。國外關于網絡信息安全預警的研究已經經歷了很長一段時間，并取得了一定的研究成果，尤其是在電力、計算機等領域中更加被重視，國外的網絡信息預警模型在防止黑客入侵、保護網絡信息安全具有明顯的效果[1]；與國外相比，國內對于網絡信息安全預警模型的研究比較晚，到目前還沒有形成一套比較完善的預警體系，就國內網絡信息安全而言，能夠有效保障網絡運行的穩定性、防止外界入侵具有重要作用[2]。

焦萍萍[3]為了縮短船舶在海上航行過程中的通信網絡安全預警的時間，通過引入大數據挖掘技術，設計了一種網絡安全預警方法，并利用網絡安全數據采集函數，詳細設計了采集流程，將船舶通信網絡安全信息采集出來，通過分析信息預警模型的構建過程，建立了通信網絡安全預警模型，實現了船舶通信網絡的安全預警，仿真結果顯示，該方法可以縮短預警時間，提高網絡安全的預警能力；許佳等[4]針對傳統網絡安全預警模型存在的一系列問題，將動態對等網層次結構應用到網絡信息安全預警模型設計中，從兩層對等網絡和節點角色兩個方面，設計了模型的結構，有效整合了動態對等網絡中的數據和資源，使網絡預警體系具有一種動態的自適應調整能力，結果顯示，該預警模型在網絡信息安全方面，不僅具有良好的魯棒性，還可以提高動態對等網的防護能力。

基于上述背景研究，計算不同的數據信息，對攻擊網絡樣本進行分類，并結合貝葉斯網絡模型結構，規范和防范信息安全預警。因此，本文將貝葉斯網絡應用于信息安全預警模型的設計，從而提高信息安全預警的效果。

1 信息安全預警模型設計

1.1 自適應分類攻擊性網絡信息樣本

為了保證網絡信息安全的預警效果，根據網絡信息攻擊性數據的特征，采用自適應聚類方法確定攻擊性網絡信息樣本的聚類數目[5]。

令攻擊性網絡信息樣本點集合為X=(x1,x2,…,xN)，定義A(L)表示累加數據不同類別的攻擊性網絡信息樣本矢量和，B(L)表示攻擊性網絡信息樣本的類別數量，L表示攻擊性網絡信息安全預警知識聚類的類別數量。

以首次帶攻擊的網絡信息樣本數據作為自適應分類的起點，規定數據聚類中心為每個網絡信息樣本點[6]，由式(1)計算出密度指數，確定密度指數最大的網絡信息樣本點xi，將xi作為第一個聚類中心，并且存在A(1)=xi，B(1)=1。

(1)

其中，d1表示以xi為聚類中心的鄰域半徑。

當網絡信息樣本xj與聚類中心之間的關系存在r≤d2時，將xj歸入到聚類中心所屬的聚類類別當中，此時就需要執行A(2)=A(1)+xj，B(2)=B(1)+1操作，否則就將xj單獨放置，不對其進行自適應分類處理。將所有不做自適應分類處理的xj作為自適應分類的一個輸入樣本集合X′，重復上述操作，同時為其設定一個閾值M，直到滿足B(L)

對于每一種攻擊性網絡信息類別A(i)，計算A(i)的聚類中心，即：

(2)

其中，ci表示初始數據中心。

根據式(2)可以得到網絡信息分類的聚類中，利用式(3)初始化徑向基函數的擴展寬度。

(3)

其中，cmax表示最大聚類。利用擴展處理后的徑向基函數，對網絡信息樣本進行自適應分類，分類的結果如下：

(4)

通過計算攻擊性網絡信息樣本的聚類中心，對徑向基函數的寬度進行擴展處理，利用擴展后的徑向基函數，自適應聚類攻擊性網絡信息樣本，實現了攻擊性網絡信息樣本的自適應分類。

1.2 標準化信息安全預警指標

貝葉斯網絡的分辨率特性在壓縮信息安全預警信號方面可以很好地表現出來[7]，通過微觀處理信息安全預警信號，使信息安全預警模型具有較好的濾噪效果[8]。貝葉斯網絡的模型結構如圖1所示。

圖1 貝葉斯網絡的模型結構

針對網絡信息的正向傳遞函數[9]，貝葉斯網絡隱含層第i個節點和輸出層第k個節點的輸出可以表示為

(5)

其中，ai表示貝葉斯網絡隱含層的輸入，bj表示貝葉斯網絡隱含層的輸出，那么輸入與輸出之間的誤差函數表示為

(6)

如果信息安全預警誤差信號超過了期望值，那么貝葉斯網絡就會進入負向反饋過程[10]。

貝葉斯網絡的隱含層輸出可以通過式(7)計算得到：

(7)

對于信息安全預警指標集N={U1,U2,U3,U4}，假設專家Ej給出的自信度和屬性值的數對為(Wij,dij)，那么所有專家對信息安全預警指標給出的自信度和屬性值就可以形成一個數值序列，即：

Q={(Wi1,di1),(Wi2,di2),…,(Wik,dik)}

(8)

那么信息安全預警指標的量化值可以通過式(9)計算得到：

(9)

如果專家無法給定信息安全預警指標數值，那么就需要給定一個具體的范圍(Hi,Li)[11]，信息安全預警指標的量化值可以通過式(10)計算得到：

(10)

利用貝葉斯網絡的模型結構，建立網絡輸入與輸出之間的誤差函數，通過計算貝葉斯網絡的隱含層輸出，計算信息安全預警指標的量化值，實現信息安全預警指標的標準化處理。

1.3 構建信息安全預警模型

為了實現基于貝葉斯網絡的信息安全預警，假設信息安全預警數據輸入樣本點集合為X=(x1,x2,…,xN)，其中樣本點集合中包含n個預警元素的態勢輸入向量，Y表示預警元素的態勢輸出向量，包含m個預警元素的態勢輸出向量，X與Y之間的樣本對數量為K。

貝葉斯網絡中徑向基層第i個預警節點的輸出可以表示為

(11)

其中，R(·)表示貝葉斯函數。

貝葉斯網絡輸出層第k個預警節點與徑向基函數的節點輸出之間，存在一種線性組合關系，將其表示為

(12)

其中，yk表示貝葉斯網絡輸出層第k個預警節點的輸出，wki表示貝葉斯網絡中qi與yk之間的連接權值，θk表示貝葉斯網絡輸出層k個預警節點的輸出閾值。

利用貝葉斯網絡實現信息安全的預警[12]，假設存在信息安全輸入樣本xp和輸出樣本dp，可以將信息安全預警的目標函數表示為

(13)

為了保證信息安全預警過程中得到準確的預警結果，利用最小二乘遞推法調整了貝葉斯網絡模型的參數[13]，即：

D(f)=Wp(t)+J[dp-qP(t)Wp(t)]

(14)

其中，Wp(t)表示貝葉斯網絡的加權因子，qp(t)表示網絡信息樣本的自適應分類結果。

經過參數調整后，利用貝葉斯網絡建立信息安全預警模型[14]，即：

(15)

綜上所述，通過建立貝葉斯網絡模型，確定了信息安全預警的目標函數，通過調整貝葉斯網絡模型的參數，建立了信息安全預警模型，實現了信息安全的預警。

2 實驗對比分析

為了驗證基于貝葉斯網絡的信息安全預警模型的預警效果，引入文獻[3]信息安全預警模型和文獻[4]信息安全預警模型進行對比，采用Intel 2370 i7-8700 8 GB的計算機搭建預警效果實驗平臺，利用Windows 7系統作為實驗測試的操作系統。

2.1 實驗流程

信息安全預警模型的測試流程如圖2所示。

圖2 信息安全預警模型的測試流程

信息安全預警模型在測試過程中，先將網絡信息安全預警指標提取出來，通過比較預警指標與閾值之間的大小關系，判斷預警指標所處的危險等級。根據信息安全預警模型，實時做出預警度判斷。如果信息安全預警模型處于危險狀態，就要及時將信息安全預警信息發布出去；如果信息安全預警模型處于正常狀態，那么就將此信息忽略，讓數據自行流出。

2.2 實驗測試

采用基于貝葉斯網絡的信息安全預警模型、文獻[3]信息安全預警模型和文獻[4]信息安全預警模型，進行網絡信息數據識別的完成時間測試，網絡信息數據識別的完成時間直接影響網絡信息安全預警的及時性，測試結果如表1所示。

表1 網絡信息數據識別的完成時間測試結果

從表1的結果可以看出，基于貝葉斯網絡的信息安全預警模型與文獻[3]信息安全預警模型和文獻[4]信息安全預警模型相比，網絡信息數據識別完成時間最短。因此，可以證明基于貝葉斯網絡的信息安全預警模型可以有效識別網絡信息，保證網絡信息安全預警的及時性。基于貝葉斯網絡的信息安全預警模型在識別網絡信息進行的過程中，由于先自適應分類處理了信息數據樣本，使得網絡信息數據非常容易被識別，提高了網絡信息數據的識別速度。

在網絡信息數據識別的完成時間測試基礎上，測試了信息安全預警模型的最優適應值對比情況，如圖3所示。

圖3 信息安全預警模型最優適應值對比測試結果

從圖3的實驗結果可以看出，在迭代次數相同的情況下，基于貝葉斯網絡的信息安全預警模型得到的最優適應值明顯優于文獻[3]信息安全預警模型和文獻[4]信息安全預警模型。隨著實驗迭代次數的逐漸增加，基于貝葉斯網絡的信息安全預警模型可以加快全局最優解的尋找速度，說明基于貝葉斯網絡的信息安全預警模型具有較好的收斂性能。基于貝葉斯網絡的信息安全預警模型在設計過程中利用自適應聚類確定了網絡信息樣本的聚類中心，從而使模型的收斂性能大大提升。

為了進一步驗證基于貝葉斯網絡的信息安全預警模型的效果，在信息安全預警過程中，對信息安全性能進行評估，得到結果如圖4所示。

圖4 信息安全性測試結果

從圖4的實驗結果可以看出，基于貝葉斯網絡的信息安全預警模型對信息安全性的評估比較準確，在預警信息安全過程中，利用貝葉斯網絡建立了信息安全預警模型，通過擴展徑向基函數的寬度，使基于貝葉斯網絡的信息安全預警模型精度大大提高，保證了信息安全性評估的效果。

3 總結

本文提出了基于貝葉斯網絡的信息安全預警模型，先對攻擊性網絡信息樣本進行了自適應分類，利用貝葉斯網絡，對信息安全預警指標進行標準化處理，最后通過構建信息安全預警模型，實現了信息安全的預警。結果顯示，該預警模型具有較好的預警效果。