基于模糊邏輯的無線網絡安全態勢預測系統

劉明峰，陳 琛，程 輝，侯 路，韓然

（國網山東省電力公司青島供電公司，山東青島 266002）

互聯網的應用不僅給人們的生產生活帶來巨大的變化，同時也推動了社會經濟、文化、政治、軍事等領域的創新和發展[1-2]。但由于互聯網處于復雜多變的網絡環境，再加上網絡信息系統的脆弱性和開放性，互聯網在高效率服務于公眾的同時，其網絡基礎設施和網絡系統也存在著諸多安全隱患[3]。伴隨著不斷升級的網絡攻擊，新的網絡安全問題不斷出現，網絡信息受到了嚴重的安全威脅，因此，必須運用新技術，及時發現和控制網絡中的異常事件，保證網絡安全。文獻[4]提出了一種基于網絡安全圖的無線網絡安全態勢預測系統，該系統集合安全態勢感知算法，構建了一個比較完整的態勢生成框架；文獻[5]提出了基于多種未知數據加權集合的無線網絡安全態勢預測系統，該系統結合D-S預測技術計算全局網絡態勢值。但是上述兩種傳統方法缺乏統一有效的協作機制，只有當黑客入侵后才能發現很多預警信息，預測行為不及時。針對該問題，提出了基于模糊邏輯的無線網絡安全態勢預測系統，該系統通過網絡運行狀況宏觀反映網絡當前狀態，并預測網絡未來狀態。

1 系統硬件結構設計

基于模糊邏輯的無線網絡安全態勢預測系統硬件結構示意圖如圖1 所示。

圖1 系統硬件結構

如圖1 所示，系統硬件結構由服務層、數據層、分析層和展示層構成。Snort入侵檢測系統與多臺網絡服務器相連，主要負責收集網絡攻擊事件信息[6]。將采集到的網絡攻擊事件信息與數據庫歷史事件對比后，通過分析層進行網絡安全態勢分析，分析完成后可以對網絡各項指標進行顯示和預測[7]。

1.1 服務層

1.1.1 日志類傳感器

日志類傳感器對采集數據篩選、合并和初步分析處理后，生成統一格式的安全事件數據，并將該數據通過專用接口傳送給上層應用，其結構如圖2 所示。

圖2 日志類傳感器結構

圖2 中，日志采集模塊具有定時、自啟動功能，通過設定傳感器配置參數，可實現自動采集。在采集參數過程中，由于日志數據易受攻擊和易被修改，因此，設置了日志預處理和日志分析模塊，負責預處理和分析輸入日志的完整性，避免日志文件被篡改和損壞[8]。依據安全規則，在預處理和分析過程中還可以在規定時間范圍內刪除大量冗余參數[9]。通過日志數據過濾和合并，直接過濾掉不合適日志，將剩余日志全部存儲到系統中[10]。

1.1.2 Snort入侵檢測系統

Snort 入侵檢測系統可實時檢測多種攻擊方式并實時報警[11]，其結構如圖3 所示。

圖3 Snort入侵檢測系統結構

由圖3 可知，入侵檢測系統由數據包嗅探模塊、數據庫、解碼器、預處理器、檢測引擎和報警輸出組成，部分功能如下所示：

1）數據包嗅探模塊

該模塊主要負責監測數據包，由此實現對Snort入侵檢測系統的實時分析。

2）預處理器

預處理器主要負責檢測原始數據包（如端口掃描、IP 分片等原始數據包），再將這些數據發送給檢測引擎[12]。

3）檢測引擎

檢測引擎主要負責數據包檢測，按照設定規則檢測接收的預處理程序報文，如果報文內容符合規定，則發送給報警輸出[13]。

4）報警輸出

報警輸出主要負責將上述檢測結果以符合規定的形式輸出。

1.1.3 SNMP傳感器

在SNMP 協議的基礎上，SNMP 傳感器用于在MIB 網絡中進行數據采集與分析。通過網絡交換控制，終端設備實時獲取網絡拓撲、網絡流量、安全事件等信息，并向上層應用程序或網絡管理員提供統一格式的數據[14]。數據采集模塊SNMP 負責對網絡設備MIB 庫中的數據進行實時采集，并將MIF3 設備的狀態數據傳送給數據分析模塊[15]。

1.1.4 NetFlow傳感器

NetFlow 傳感器結構如圖4 所示。

圖4 NetFlow傳感器結構

由圖4 可知，NetFlow 傳感器結構包括流量信息獲取模塊、安全事件信息獲取模塊、控制器、事件集成器等。系統以網絡安全態勢感知為基礎，可提供不同層次、不同角度和多粒度的實時信息，或接近實時交換信息[16]。通過對這些信息進行有效分析，能夠準確獲取系統所需的網絡事件信息。

1.2 數據層

數據層在主機代理模式下采集CPU、內存、磁盤等相關信息，通過漏洞掃描系統和Snort 入侵檢測系統分別采集服務器上存在的漏洞和攻擊事件，并將這些采集數據存儲在數據庫中，方便后續進行詳細分析。

1.3 分析層

分析層通過計算運行狀態下各主機的權值指標和總運行指標的量化值，分析各主機服務中是否存在易受攻擊的服務，從而得到各主機的權值，再計算各服務器的權值，對總體薄弱指數服務器進行量化處理。對各主機的權值指標量化值、各運行指標的量化值和各服務器的權值量化值進行計算后，需要進行場景整合，采用同一量化范圍的三個指標，分別加權各指標的權重，得到網絡安全狀況的最終得分，并根據歷史數據預測未來趨勢。

1.4 展示層

通過傳輸設備將電子文件傳輸到屏幕上，采用DVI 接口的顯示器。而Web 窗體為用戶提供了一種系統的、直觀的表現形式，可以顯示各種指標的態勢分數，還可以顯示近期的網絡安全態勢曲線和未來時期的態勢曲線。

2 系統軟件部分設計

2.1 基于模糊邏輯層的綜合權重分類

利用模糊邏輯層對權重進行分類，這種方法簡單、靈活、實用，可用于定量和多目標決策[17]。根據無線網絡的目標和功能，將權重劃分為不同的層次，由此建立相應的模糊邏輯層次結構。

基于模糊邏輯的無線網絡安全態勢預測與評價方法，旨在獲得無線網絡安全態勢風險度的最高值[18]。對于無線網絡，風險指數的比較應以風險發生的概率、影響和發生的可能性為基礎，對這些可能發生的風險因素進行綜合評價，并以可控風險因素的評價指標為權重。

首先將推薦綜合權重分為5 個類別，分別是很低、低、正常、高、很高，在論域上對模糊子集進行劃分，論域為：

結合式（1）劃分的模糊子集為w1、w2、w3、w4、w5，由此建立相應隸屬度函數為gw,1(w)、gw,2(w)、gw,3(w)、gw,4(w)、gw,5(w)，對綜合權重進行模糊分類，如圖5所示。

圖5 綜合權重模糊分類

根據建立的綜合權重邏輯原則，獲取信任值綜合權重w。

2.2 無線網絡安全態勢風險度計算

基于模糊邏輯層的綜合權重計算結果，使用風險度作為無線網絡安全態勢預測指標。無線網絡中出現的每一個風險因子都會對系統造成一定影響，包括風險發生概率P、風險所造成的影響R、風險可控性U，風險度取值范圍為[0,1]。分別用a、b表示發生和不發生無線網絡安全事件，由此得到無線網絡安全事件發生和不發生的概率表達式分別為：

根據無線網絡安全態勢風險度計算結果，可以靈活實施網絡保護操作，確保無線網絡安全。

2.3 無線網絡安全態勢動態預測流程設計

根據整個無線網絡安全態勢檢測的需求，設計了安全態勢動態預測流程，如圖6 所示。

圖6 無線網絡安全態勢動態預測流程

由圖6 可知，其預測流程主要包括對安全態勢的顯示、預測和評價，依據提交的歷史數據進行安全態勢預測。評估優化模塊利用上述模糊邏輯風險計算方法優化預測模型，直到模型能夠滿足訓練要求為止。最后，根據態勢預測模塊所顯示的預測結果，由安全管理員進行決策分析。

3 試驗

為了驗證基于模糊邏輯的無線網絡安全態勢預測系統設計的合理性，進行試驗驗證分析。

3.1 試驗平臺

搭建試驗平臺對系統進行驗證分析，平臺結構如圖7 所示。

圖7 試驗平臺結構

選取校園網的實際網站為試驗環境真實數據來源，將平臺結構中的一臺計算機作為管理系統的客戶端，其余計算機負責執行其他操作。

3.2 系統性能測試

選取100 組態勢數據作為樣本，其中前95 組為訓練樣本，后5 組為對比樣本，選取的100 組態勢數據時序圖如圖8 所示。

圖8 100組態勢數據時序圖

將態勢數據視為信號，由圖8 可知，該信號是一個不平穩信號，說明無線網絡不安全。

基于上述信號，分別使用基于網絡安全圖的無線網絡安全態勢預測系統、基于多種未知數據加權集合的無線網絡安全態勢預測系統和基于模糊邏輯的無線網絡安全態勢預測系統進行信號預測，預測結果如圖9 所示。

圖9 三種系統信號預測結果分析

由圖9 可知，使用基于網絡安全圖的無線網絡安全態勢預測系統最高輸入信號頻譜為22 mV，最低輸入信號頻譜為-25 mV；使用基于多種未知數據加權集合的無線網絡安全態勢預測系統最高輸入信號頻譜為20 mV，最低輸入信號頻譜為-24.5 mV，因此對比方法的曲線與實際選取的100 組態勢數據時序圖不一致；使用基于模糊邏輯的無線網絡安全態勢預測系統最高輸入信號頻譜為20 mV，最低輸入信號頻譜為-17 mV，且在38～60 組樣本下的輸入信號波動幅度較小，基本保持不變，與選取的100 組態勢數據時序圖一致。

4 結束語

為了滿足分析系統功能要求，提出了一種基于模糊邏輯的無線網絡安全態勢預測系統。在系統結構和功能實體設計上，采用分布式采集技術和開放式可擴展環形結構，利用域內域間的協同工作，提高了系統實現的簡單性和精確性，有效地解決了單點失效問題。但此次研究過程中，由于通用數據集是基于對底層可能發生的報警事件的統計分析，數據較為單一，未來需要進一步研究與探討。