基于改进D-S证据理论的网络安全态势评估方法.pdf

《基于改进D-S证据理论的网络安全态势评估方法.pdf》由会员分享，可在线阅读，更多相关《基于改进D-S证据理论的网络安全态势评估方法.pdf（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第39卷第4期2015年8月南京理工大学学报Journal of Nanjing University of Science and TechnologyVol.39 No.4Aug.2015收稿日期:2015-05-04 修回日期:2015-06-22基金项目:国家自然科学基金(61300216);河南省科技攻关重点项目(122102310309);河南省科技厅基础与前沿技术项目(142300410147);河南理工大学博士基金(B2011-058)作者简介:汤永利(1972-),男,博士,副教授,主要研究方向:信息安全,密码学,E-mail:yltang hpu. edu. cn;通讯作者

2、:李伟杰(1986-),男,硕士研究生,主要研究方向:信息安全,E-mail:cslwj2014163. com。引文格式:汤永利,李伟杰,于金霞,等.基于改进D-S证据理论的网络安全态势评估方法J.南京理工大学学报,2015,39(4):405-411.投稿网址:http:/ / zrxuebao. njust. edu. cn基于改进D-S证据理论的网络安全态势评估方法汤永利,李伟杰,于金霞,闫玺玺(河南理工大学计算机科学与技术学院河南焦作454000)摘要:网络安全态势评估是信息安全领域的研究热点问题。为了解决现有评估中过度依赖专家经验问题,提出了一种基于改进D-S证据理论的网络安全态势

3、评估方法。该方法融合多源态势信息,利用基于遗传算法优化反向传播(Back propagation,BP)神经网络来获得D-S证据理论的基本概率分配(Basic probability assignation,BPA),由D-S证据理论对BPA依次进行合成计算,弱化人为因素对BPA的影响,提高BPA的预测精度和网络安全态势识别率。通过真实网络环境的实验验证了该方法在网络安全态势评估中的可行性和有效性。关键词:网络安全态势评估;反向传播神经网络;D-S证据理论;基本概率分配;态势识别率中图分类号:TP393.08 文章编号:1005-9830(2015)04-0405-07DOI:10.14177

4、/ j. cnki.32-1397n.2015.39.04.005Network security situational assessment method based onimproved D-S evidence theoryTang Yongli,Li Weijie,Yu Jinxia,Yan Xixi(School of Computer Science and Technology,Henan Polytechnic University,Jiaozuo 454000,China)Abstract:It is a hot issue for network security sit

5、uational assessment in the field of informationsecurity. In order to solve the problem of over-reliance on expert experience,it proposes a securitysituational assessment method based on the improved D-S evidence theory. For this method,it fusesmulti-source situation information and uses the back pro

6、pagation (BP) neural network based onGenetic Algorithm to obtain the basic probability assignation(BPA)of the D-S evidence theory. TheD-S evidence theory is adopted to integrate the BPA in turn,weaken the interference of artificial南京理工大学学报第39卷第4期factors on BPA,and improve the BPA forecasting accurac

7、y and the situational recognition rate ofnetwork security situation. Tests with a real network environment show that this method effectivelyimproves the network security situational assessment.Key words:network security situational assessment;back propagation neural network;D-S evidencetheory;basic

8、probability assignation;situational recognition rate互联网作为一个复杂系统,时刻受到渗透攻击、突发事件威胁,其保密性、可用性和生存性面临严峻挑战。而传统网络设备(入侵检测系统IDS,网络流量监控软件,漏洞扫描器等)处于独立状态,缺少信息融合和不确定信息的推理能力。这种能力缺失造成了网络安全态势识别率低,增加管理员决策时间,贻误了处理威胁的最佳时机。通过融合网络态势信息,能准确地给出网络安全态势评估就显得至关重要。 Tim Bass1于1999年首次提出了网络态势感知概念,并提出“基于数据融合的网络态势感知”必将成为网络管理发展方向;美国RIT

9、计算机工程系Holsopple J等人2,3提出TANDI算法,通过融合和关联IDS报警记录来描述网络安全态势;Liu Z等人4针对网络态势要素融合问题,提出利用数据挖掘进行态势感知与预测;Zhang S5提出一种网络安全态势分析框架,该框架通过对入侵检测分析,实现网络安全态势评估,在入侵网络环境中的评估效果较好;龚正虎等人6提出了一个网络态势感知研究模型,将现有评估方法分为基于数学模式、知识推理、模式识别3类态势评估方法,提出综合不同的评估方法可以取长补短,提高评估准确性;韦勇等人7利用网络服务及漏洞信息,采用D-S证据理论对网络节点和态势要素进行融合,有效地融合多个检测设备提供的态势信息,

10、计算出全局网络安全态势值;吴迪等人8提出一种基于攻击图的安全威胁识别方法,利用D-S证据理论计算各个子攻击图所对应安全威胁度,实现系统整体安全态势评估;杨雅辉等人9提出一种基于增量式神经网络模型的网络入侵检测方法,能够动态自适应地实现在线入侵检测。上述评估方法不仅为网络安全态势评估提供了解决思路,也为态势评估研究奠定了良好的基础,但是也存在一些不足。例如,在基于D-S证据理论的网络安全态势评估中基本概率分配(Basicprobability assignment,BPA)过度依赖领域知识和专家经验,缺乏客观性评估,影响网络安全态势识别率。针对上述问题,本文提出基于改进D-S证据理论的网络安全态

11、势评估方法。在该评估方法中,首先,从IDS、NetFlow、漏洞扫描器等多个数据源提取态势数据;其次,利用基于遗传算法(Genetic algorithm,GA)优化的反向传播(Backpropagation,BP)神经网络算法(GA-BP)进行学习,将其输出结果作为D-S证据理论的BPA;最后,利用D-S证据理论在时间域上对来自不同证据BPA依次进行融合。通过对IDS报警信息、NetFlow网络流量、系统漏洞等态势信息进行仿真实验。实验表明,该方法既利用了D-S证据理论处理不确定信息,又发挥BP神经网络自学习、自适应能力,解决BPA的主观性问题,通过对态势信息融合,提高了网络安全态势识别率。

12、1基于改进D-S证据理论的网络安全态势评估1.1基于D-S证据理论的网络安全态势评估D-S证据理论作为一种融合方法,能解决问题的未知不确定性,其利用Dempster合成公式将不同证据的信任函数不断融合,随着证据不断积累而逐步降低不确定性,获得精确推理结果,再根据决策逻辑对融合后的信任函数进行判断,最终实现评估10。在D-S证据理论中,对某一问题的所有答案视为命题,且互不相容,分配给各命题的信任程度称为BPA。通常BPA表示证据信任度,BPA值越大,其证据信任度就越大。在基于D-S证据理论的网络安全态势评估中,将网络安全态势空间可能出现的所有态势类型视为命题,不同安全设备对命题的判断作为证据,证

13、据的态势BPA表示证据对各类态势状态的信任度,D-S证据理论融合不同证据的态势BPA以解决问题不确定性,从而实现网络安全态势评估。Dempster合成公式是D-S证据理论最基础的604总第203期汤永利,李伟杰,于金霞,闫玺玺基于改进D-S证据理论的网络安全态势评估方法 公式,通常对n个不同证据对应的BPA进行融合,得到新证据的信任函数m(A),其表达式如式(1)所示:m(A) = 11 - K A1 A2 Anm1(Ai1)m2(Ai2)mn(Ain)k = Ai1 Ai2 Ainm1(Ai1)m2(Ai2)mn(Ain)(1)1.2基于改进D-S证据理论的网络安全态势评估模型在基于D-S证

14、据理论的网络安全态势评估中BPA赋值,是人的主观判断,是对证据的信任测度,其赋值依赖于专家经验和领域知识。在复杂的网络环境中,网络设备多,结构复杂,影响因素相互作用,仅依靠专家经验难以确定各态势因素对网络安全态势的影响程度。为了解决BPA赋值过程中太过主观问题,提出了一种基于改进D-S证据理论的网络安全态势评估方法,其利用基于遗传算法优化的BP神经网络(GA-BP)来确定BPA,减少主观因素的影响,提升态势评估的客观性。本方法将态势状态分为正常状态、异常状态、未知态势状态3种类型,由态势空间N A 依次表示,N代表正常态势,A代表异常态势,代表未知态势。其网络安全态势评估模型,如图1所示。图1

15、基于改进D-S证据理论的网络安全态势评估模型基于改进D-S证据理论的网络安全态势评估方法工作步骤如下。步骤1数据采集。对网络设备提供的态势信息进行数据采集和态势指标提取,并归一化处理。步骤2 BPA构造。在GA-BP神经网络处理层,基于遗传算法优化的BP神经网络算法(GA-BP),通过多维度态势指标构成的样本集进行训练学习,确定态势BPA。步骤3 D-S证据融合及态势评估。根据BP神经网络输出的态势BPA,Dempster合成公式不断融合新证据态势BPA,并依据决策逻辑进行态势评估。2改进D-S理论的网络安全态势评估模型2.1数据采集对多源态势信息进行数据采集,参考已用网络安全风险评估成果,采

16、用先局部后整体,自下而上的评估策略,融合来自IDS、NetFlow和Nessus扫描器等网络设备的原始数据,主要包括IDS报警/攻击信息、NetFlow流量信息和Nessus漏洞信息。通常攻击威胁性的存在与其脆弱性有关联,而系统漏洞的存在数量决定了其脆弱性程度。攻击对服务的安全威胁与服务的访问量,威胁强度和脆弱性相关,从多角度、多层次的态势信息中发现宏观网络系统的威胁情况。在攻击层统计分析攻击次数、网络流量和漏洞信息,融合不同方面态势信息来降低网络安全势评估中不确定性,进而评估系统整体安全状态11。根据网络安全态势评估指标体系要求,从原始数据中提取表征宏观网络性质的态势指标,作为BP神经网络的

17、输入参数。其输入参数及具体的态势指标与对应的描述如表1所示。表1 BP神经网络输入参数及态势指标输入参数态势指标名称描述X1 IDS报警/攻击事件数量单位时间内报警次数X2网内流入量单位时间网络流入量X3漏洞数量系统漏洞总数量对原始数据提取态势指标,主要通过下面方法实现态势指标提取。指标数量计算:主要用来计算态势指标在单位时间内出现次数或者数量。Nsk = nk = 1Dk (2)式中:Dk代表某一态势指标,Nsk为态势指标在单位时间内总和。原始数据格式多样,对其进行归一化,使其取704南京理工大学学报第39卷第4期值在0,1范围。态势指标归一化公式如下:X= X-XminXmax-Xmin(

18、3)式中:X代表原始态势指标数值,Xmin代表态势指标最小数值,Xmax代表态势指标最大数值,X代表归一后态势指标数值。2.2 BPA构造为了解决D-S证据理论在BPA构造过程中的太过主观性问题,利用BP神经网络确定BPA值。在此基础上以遗传算法对BP神经网络进行网络结构参数优化,解决其收敛速度慢、局部极小等问题,提高BPA预测准确性。 BP神经网络具有自适应、自学习、客观性特点,其结构分为输入层、隐含层、输出层,其处理过程分为训练和执行两个阶段,即先训练后测试12。BP神经网络中输入输出表达公式如式(4)所示:y=f ni = 1WiIi - ( ) (4)式中:W表示各层连接权值,I表示B

19、P神经网络输入,表示阈值,f表示传递函数,y表示BP神经网络输出。在BPA构造方面,通过遗传算法优化BP神经网络的连接权值和阈值,从而提高BP神经网络的收敛速度和准确性。 GA通过编码、产生群体、计算适应度、复制、交叉、变异等系列操作,在全局解空间内的多个区域内寻求最优解13。基于遗传算法优化BP神经网络可以解决神经网络收敛慢、局部优化等问题,提高BPA预测精度。在实际应用中,BP神经网络通常利用经验公式来确定隐含层节点数14,如式(5)所示。j= i+k+ (5)式中:j代表隐含层节点数,i代表输入层节点数,k代表输出层节点数,为整数且在0,10范围内。由k=3,i=4,=7,则BP神经网络

20、隐含层节点数j为9。在BPA构造中,态势指标作为BP神经网络输入层的输入参数,BP神经网络输出层的输出作为D-S证据理论所需的态势BPA。态势BPA的确定是一种动态,多变量,人为因素起主要作用,存在不确定因素多,逻辑关系复杂,且动态变化的困难,难以建立态势BPA模型。结合客观统计数据和知识经验 报警次数越多,网络流量越大,网络漏洞越多,网络态势异常的可能性越大,并依据Snort用户手册中攻击分类、严重性与安全等级的关系来建立态势指标到网络安全态势状态BPA的训练样本以及态势BPA构造原则。态势BPA构造原则如表2和表3所示。态势指标与态势等级的关系如表2所示。在表2中,Nh、Nm、Nl分别为正

21、常态势N的高、中、低3个等级,Ah、Am、Al分别作为异常态势A的高、中、低3个等级,为未知态势。表2态势指标与态势等级的矩阵表编号X1 X2 X3态势等级1 0,200) 0,3000) 0,4) Nh Al 2 0,200) 3500,) 0,4) Nm Al 3 0,200) 0,3000) 4,10) Nm Am 4 0,200) 0,3000) 10,) Nm Am 5 0,200) 3000,3500) 4,10) Nm Am 6 200,300) 3000,3500) 4,10) Nm Am 7 200,300) 0,3000) 0,4) Nm Am 8 300,) 0,3000

22、) 0,4) Nm Al 9 300,) 3000,3500) 4,10) Nm Am 51 300,) 3500,) 4,10) Nl Am 52 300,) 3500,) 0,4) Nl Am 53 200,300) 3000,3500) 0,4) Nm Am 54 300,) 3000,3500) 4,10) Nm Am 55 300,) 3500,) 10,) Nl Ah 804总第203期汤永利,李伟杰,于金霞,闫玺玺基于改进D-S证据理论的网络安全态势评估方法 态势等级与态势BPA的关系如表3所示。表3态势等级与态势BPA的对应表态势等级态势BPANh 0.7 1.0Nm 0.4

23、0.7Nl 0 0.4Ah 0.7 1.0Am 0.3 0.7Al 0 0.3依据BPA构造原则建立态势指标到期望态势BPA的训练样本和预测期望态势BPA。利用样本中态势指标与期望输出态势BPA的映射关系对BP神经网络进行训练,使其具备对态势BPA的预测能力。当再次输入态势指标时,利用式(4)输出态势BPA。2.3 D-S证据合成/态势评估D-S证据理论将每次融合看成是基于时间点的证据态势BPA融合。在态势评估过程中,将每次融合看成是基于时间点的证据融合,每个证据由基于时间点态势状态BPA组成,而每一个态势状态对应证据的一个命题。其融合算法为:对于第n-1条证据,为Tn-1时刻时BP神经网络给

24、出的态势BPA。当产生第n条证据时,与第n-1次证据进行融合,进而得到一个新证据,依次利用Dempster合成公式进行融合,获得最终态势BPA,依据事先给定的决策逻辑,做出网络安全态势状态评估,其工作流程如图2所示。图2基于时间域的D-S证据融合流程图2中代表不同时间点的态势BPA进行Dempster合成,GA-BP代表基于遗传算法优化的BP神经网络算法。3仿真实验为验证所提方法的有效性与可行性,根据所提出的态势指标参数及参照Kddcup 99实验数据特征属性,搭建实验环境。实验环境为100M局域网,内网IP网段为192. 168. 1. 0/24,通过一个C类地址:222. 89. 32.

25、71接入Internet。在内网web服务器,ftp服务器和samba服务器分别布置Snort2.1.0和NIP 2100D,每个IDS事件存入数据中心,作为安全态势评估数据源,采集路由器NetFlow流量信息和Nessus漏洞信息作为实验的数据源。本实验从原始数据源中提取训练集和作为测试集。训练集包含样本输入和其对应的期望输出,其部分输入输出如表4所示。表4样本输入输出表样本编号样本输入X1 X2 X3样本输出N A 1 250 3500 10 0.20 0.70 0.102 260 3600 12 0.15 0.75 0.103 300 3400 10 0.30 0.65 0.054 18

26、0 2900 9 0.55 0.40 0.055 150 2700 7 0.65 0.30 0.056 320 3000 15 0.25 0.70 0.057 200 3100 6 0.45 0.50 0.058 220 3400 8 0.45 0.50 0.059 290 3720 16 0.10 0.80 0.1010 330 3300 15 0.20 0.75 0.05通过数据采集,将态势指标参数X=X1 X2X3作为BP神经网络的输入,其输出为待评估识别的态势状态N A 的BPA。其训练误差变化曲线如图3所示。图3 BP神经网络误差变化曲线BPA值预测,分别对基于遗传算法优化BP神经网

27、络算法(GA-BP)、传统K-均值聚类算法和BP神经网络算法进行BPA预测,并对各算法性能和预测结果进行对比,如表5和图4所示。904南京理工大学学报第39卷第4期表5算法性能对比算法迭代次数均方误差GA-BP 105 0.0010K-均值175 0.0018BP神经网络260 0.0035表5给出3种不同算法在迭代次数与均方误差的比较结果,得出GA-BP算法在收敛速度、均方误差方面优于其他2种算法。图4 BPA值预测结果对比图4给出了3种算法的BPA值预测曲线图,GA-BP算法在BPA值预测精度方面优于另外2种算法,同时其拟合效果也比较理想。在BPA构造过程中,利用GA-BP算法可以减少误差

28、,提高收敛速度和BPA值预测精度。GA-BP算法依据态势指标参数,依次输出对应时间点T态势状态N,A,的BPA,结果如表6所示。表6时间点态势BPA编号N A T1 0.1565 0.5344 0.3091T2 0.0296 0.8394 0.1310T3 0.0638 0.7662 0.1700T4 0.0200 0.8200 0.1600T5 0.0144 0.8401 0.1455T6 0.0713 0.8421 0.0936T7 0.0356 0.8045 0.1598T8 0.0307 0.8082 0.1601T9 0.0634 0.8510 0.0856T10 0.0745 0.

29、8120 0.1135在D-S证据融合和态势评估阶段,利用Dempster合成公式对GA-BP神经网络处理层输出的态势BPA,按照时间先后次序进行融合,获得最终证据的态势BPA,如表7所示。由表7可知,将各时间点态势BPA不断融合,未知态势的BPA不断减小,直至减小到0.0410,而异常态势A的BPA值增大到0. 9578,依据决策逻辑判断当前态势为异常状态。这里采用的决策逻辑是最大Bel法,即态势BPA最大者,且与其他态势BPA的差值满足规定门限值,则该态势类型即为态势状态。实验表明,通过不断地融合多时间点态势BPA,使BPA具有更好的峰值性和可区分性,减少态势评估的不确定性。表7基于时间点

30、融合态势的BPAT N A t1 0.1565 0.5344 0.3091t1 t2 0.0342 0.7781 0.1877t1 t2 t3 0.0802 0.8201 0.1027t1 t2 t3 t4 0.0165 0.8879 0.0985t1 t2 t3 t4 t5 0.004 0.9578 0.0410为保证本文提出方法的有效性,按照态势指标要求,对局域网模拟实施渗透攻击,进行网络安全态势评估,完成态势识别。设评估周期为1 h,即根据收集周期时间内态势指标数据实现态势状态识别。同时,组织多名网络安全方面专家对当前网络态势做出实际评估,来验证所提网络安全态势评估方法,并与基于D-S的

31、评估算法进行态势识别率对比,结果如图5所示。图5态势识别率对比图5给出了2种算法的态势识别率对比图,通过对比实验结果,得出基于改进D-S证据理论的网络态势评估算法在态势识别率上基本优于传统的D-S证据理论评估算法。实验表明,在基于改进D-S证据理论的网络安全态势评估方法,通过引入遗传算法和BP神经网络,提高了安全态势评估结果的客观性和态势识别率。4结束语本文提出的基于改进D-S证据理论的网络安全态势评估方法,通过遗传算法优化BP神经网014总第203期汤永利,李伟杰,于金霞,闫玺玺基于改进D-S证据理论的网络安全态势评估方法 络解决了BPA构造中依赖专家经验及收敛速度慢、局部极小等问题,并在此

32、基础上与D-S证据理论结合,通过不断融合以降低评估中的不确定性,提高态势识别率,从而完成网络安全态势评估。通过仿真实验表明,该方法在网络安全态势评估中是可行和有效的。将D-S证据理论与其他算法相结合,即符合信息融合的互补特性,也可以发挥各种评估方法的优点,进行优势互补。不同评估方法相结合是态势评估发展趋势,对网络安全态势评估有重要意义。参考文献:1 Bass T. Intrusion systems and multi-sensor data fusion.creating cyberspace situational awareness J .Communications of the AC

33、M,2000,43(4):99-105.2 Holsopple J, Yang S J. FuSIA: Future situation andimpact awareness A . Proceedings of the 11thInternational Conference on Information FusionC.Cologne,Germany:IEEE,2008:1-8.3 Holsopple J, Sudit M, Nusinov M, et al. Enhancingsituation awareness via automated situation assessmentJ

34、. IEEE Communications Magazine,2010,48(3):146-152.4 Liu Z,Li S J,He J,et al. Complex network securityanalysis based on attack graph modelA.2012 Instru-mentation, Measurement, Computer, Communicationand Control International Conference C. Harbin,China:IEEE Computer Society,2012:183-186.5 Zhang S, Yao

35、 S, Ye X, et al. A network securitysituation analysis framework based on informationfusionA. Proceedings of 6th IEEE Joint InternationalInformation Technology and Artificial IntelligenceConference C. Chongqing, China: IEEE ComputerSociety,2011:362-332.6龚正虎,卓莹.网络态势感知研究J.软件学报,2010,21(7):1605-1619.Gong

36、 Zhenghu,Zhuo Ying. Research on cyber spacesituational awarenessJ. Journal of Software,2010,21(7):1605-1619.7韦勇,连一峰,冯登国.基于信息融合的网络安全态势评估模型J.计算机研究与发展,2009,46(3):353-362.Wei Yong, Lian Yifeng, Feng Dengguo. A networksecurity situational awareness model based oninformation fusionJ. Journal of Computer R

37、esearchand Development,2009,46(3):353-362.8吴迪,连一峰,陈恺,等.一种基于攻击图的安全威胁识别和分析方法J.计算机学报,2012,35(9):1939-1950.Wu Di,Lian Yifeng,Chen Kai,et al. A security threatsidentification and analysis method based on attackgraph J . Chinese Journal of Computers, 2012,35(9):1939-1950.9杨雅辉,黄海珍,沈晴霓,等.基于增量式GHSOM神经网络模型的入侵

38、检测研究J.计算机学报,2014,37(5):1216-1224.Yang Yahui, Huang Haizhen, Shen Qingni, et al.Research on intrusion detection based on incrementalGHSOM J. Chinese Journal of Computers, 2014,37(5):1216-1224.10赵秋月,左万利,田中生,等.一种基于改进D-S证据理论的信任关系强度评估方法研究J.计算机学报,2014,37(4):874-883.Zhao Qiuyue,Zuo Wanli,Tian Zhongsheng, e

39、t al. Amethod for assessment of trust relationship strengthbased on the improved D-S evidence theory J.Chinese Journal of Computers,2014,37(4):874-883.11陈秀真,郑庆华,管晓宏.层次化网络安全威胁态势量化评估方法 J.软件学报, 2006, 17 (4):885-897.Chen Xiuzhen,Zheng Qinghua,Guan Xiaohong,et al.Quantitative hierarchical threat evaluati

40、on model fornetwork security J . Journal of Software, 2006,17(4):885-897.12阎平凡,张长水.人工神经网络与模拟进化计算M.北京:清华大学出版社,2005.Yan Pingfan,Zhang Changshui,et al. Artificial neuralnetworks and simulated evolutionary computationM.Beijing:Tsinghua University Press,2005.13陈得宝,赵春霞.基于改进GA的WRBF神经网络设计与应用J.南京理工大学学报,2007,

41、31(3):370-374.Chen Debao,Zhao Chunxia. Design and application ofWRBF neural network based on improved GA J.Journal of Nanjing University of Science andTechnology,2007,31(3):370-374.14谢丽霞,王亚超,于巾博.基于神经网络的网络安全态势感知 J.清华大学学报,2013,53 (12):1750-1760.Xie Lixia,Wang Yachao,Yu Jinbo. Network securitysituation awareness based on neural networks J.Journal of Tsinghua University, 2013, 53 ( 12 ):1750-1760.114