李劍藍(lán)

(中國(guó)石油大學(xué)(華東) 計(jì)算機(jī)與通信工程學(xué)院，山東 青島 266580)

0 引 言

近年來隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全問題得到了高度關(guān)注。在這樣的背景之下，網(wǎng)絡(luò)態(tài)勢(shì)感知成為了當(dāng)前研究熱點(diǎn)之一。

網(wǎng)絡(luò)態(tài)勢(shì)感知技術(shù)源于空中交通監(jiān)管態(tài)勢(shì)感知，并在1999年由Tim Bass提出[1]。網(wǎng)絡(luò)態(tài)勢(shì)感知是指在現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境下，獲取、理解能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素，并預(yù)測(cè)未來的發(fā)展趨勢(shì)。網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)作為網(wǎng)絡(luò)態(tài)勢(shì)感知的一部分，起著越發(fā)關(guān)鍵的作用，但是由于網(wǎng)絡(luò)狀態(tài)的變幻莫測(cè)和隨機(jī)性，網(wǎng)絡(luò)預(yù)測(cè)的有效性和準(zhǔn)確性一直是一個(gè)關(guān)鍵問題。

結(jié)合實(shí)際網(wǎng)絡(luò)狀態(tài)的變化特點(diǎn)，文中提出一種基于動(dòng)態(tài)轉(zhuǎn)移概率的網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)方法，使其能夠更符合網(wǎng)絡(luò)變化情況，自適應(yīng)地對(duì)網(wǎng)絡(luò)態(tài)勢(shì)進(jìn)行預(yù)測(cè)，以達(dá)到更高的準(zhǔn)確性。

1 相關(guān)工作

網(wǎng)絡(luò)態(tài)勢(shì)感知的概念由Tim Bass提出，他隨即在2000年提出了基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)框架，該框架能夠?qū)崿F(xiàn)入侵行為檢測(cè)、入侵率計(jì)算、入侵者身份和入侵者行為識(shí)別、態(tài)勢(shì)評(píng)估以及威脅評(píng)估等功能。Cristina Abad等[2]利用安全態(tài)勢(shì)感知數(shù)據(jù)庫系統(tǒng)UCLog+設(shè)計(jì)了一個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，該系統(tǒng)將當(dāng)前采集的安全事件信息與數(shù)據(jù)庫中的歷史安全事件進(jìn)行規(guī)則匹配，獲取下一時(shí)刻安全事件出現(xiàn)的概率。文獻(xiàn)[3-4]將聚類算法和隱馬爾可夫模型(HMM)相結(jié)合,以分析最有可能的攻擊序列和識(shí)別攻擊的類型。

文獻(xiàn)[5]提出了數(shù)據(jù)挖掘方法挖掘警報(bào)之間的因果關(guān)系。這些方法既無需預(yù)定義知識(shí)庫也無需網(wǎng)絡(luò)的配置信息,就可以發(fā)現(xiàn)攻擊行為之間的因果關(guān)系和識(shí)別未知的攻擊行為。Tang等[6]從被保護(hù)對(duì)象的角度出發(fā)分析攻擊者的目的,提出了使用動(dòng)態(tài)后向傳播神經(jīng)網(wǎng)絡(luò)和協(xié)方差相結(jié)合的方法,基于當(dāng)前每個(gè)主機(jī)的服務(wù)、攻擊活動(dòng)、服務(wù)重要性等分析可能要遭受攻擊的服務(wù)。

網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)作為網(wǎng)絡(luò)態(tài)勢(shì)感知的重要部分，近年來也引起了學(xué)者的廣泛關(guān)注。文獻(xiàn)[7]設(shè)計(jì)了一個(gè)基于D-S證據(jù)理論的態(tài)勢(shì)評(píng)估架構(gòu),融合不確定信息進(jìn)行不確定性推理,量化網(wǎng)絡(luò)的安全態(tài)勢(shì)。Wang等[8]通過統(tǒng)計(jì)的方法，統(tǒng)計(jì)攻擊者需要多少個(gè)不同0-day漏洞才能對(duì)系統(tǒng)造成破壞,以評(píng)估網(wǎng)絡(luò)的安全狀況。Juan等[9]提出了將無偏灰度理論(unbiased grey theory)和馬爾可夫理論相結(jié)合的方法,分析網(wǎng)絡(luò)的風(fēng)險(xiǎn)變化情況。

層次決策分析(analytic hierarchy process)[10]由Satty等提出,該方法將定性分析與定量分析相結(jié)合,是一種無結(jié)構(gòu)的多準(zhǔn)則決策方法,通過思維過程的層次化和數(shù)量化達(dá)到分析復(fù)雜問題的目的。文獻(xiàn)[11]使用貝葉斯網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)中的“不確定因素”建模,計(jì)算攻擊成功的概率,實(shí)時(shí)地評(píng)估攻擊的嚴(yán)重程度。Aguilar等[12]結(jié)合模糊邏輯與神經(jīng)網(wǎng)絡(luò)技術(shù),在認(rèn)知圖的基礎(chǔ)上提出了FCM的概念,利用它獲取網(wǎng)絡(luò)中重要資產(chǎn)的依賴關(guān)系進(jìn)行危害程度評(píng)估。文獻(xiàn)[13-15]將時(shí)間序列分析技術(shù)與概率模型、數(shù)據(jù)挖掘等技術(shù)相結(jié)合來分析DDos攻擊特征及行為變化。文獻(xiàn)[16]在貝葉斯網(wǎng)絡(luò)方法的基礎(chǔ)上提高了方法的適應(yīng)性，提出了偽貝葉斯網(wǎng)絡(luò)方法對(duì)攻擊行為進(jìn)行識(shí)別預(yù)測(cè)。

在以上研究的基礎(chǔ)上，文中結(jié)合網(wǎng)絡(luò)的變化特點(diǎn)，利用動(dòng)態(tài)改變轉(zhuǎn)移概率的計(jì)算方式來自適應(yīng)地調(diào)整網(wǎng)絡(luò)態(tài)勢(shì)的預(yù)測(cè)值，達(dá)到快捷準(zhǔn)確預(yù)測(cè)網(wǎng)絡(luò)態(tài)勢(shì)的目的。

2 基于動(dòng)態(tài)轉(zhuǎn)移概率的網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)模型

2.1 馬爾可夫鏈

對(duì)于隨機(jī)變量序列X={X(t),t∈T},T=0,1,2…,其狀態(tài)空間為S={0,1,2…}。如果對(duì)于任意的正整數(shù)m,n,k，以及任意的狀態(tài)值{xn+k,xn,…,x2,x1},滿足：

P{X(n+k)=xn+k|X(n)=xn,…,X(2)=x2,X(1)=x1}=P{X(n+k)=xn+k|X(n)=xn}

則稱XT為馬爾可夫鏈。

由轉(zhuǎn)移概率組成的矩陣稱為馬爾可夫鏈轉(zhuǎn)移概率矩陣，其形式可描述為:

此矩陣的每一行元素之和為1。當(dāng)轉(zhuǎn)移概率只與狀態(tài)變量i，j和時(shí)間間隔n有關(guān)，稱此轉(zhuǎn)移概率具有平穩(wěn)性，同時(shí)稱此鏈?zhǔn)菚r(shí)齊的。馬爾可夫鏈一般被默認(rèn)為是時(shí)齊的。

馬爾科夫鏈具有“無后效性”的特征，即下一時(shí)刻的狀態(tài)只與當(dāng)前時(shí)刻狀態(tài)有關(guān)，與之前的時(shí)刻狀態(tài)無關(guān)。

2.2 網(wǎng)絡(luò)安全環(huán)境變化特點(diǎn)

在分析網(wǎng)絡(luò)安全環(huán)境的變化特點(diǎn)之前，將網(wǎng)絡(luò)安全程度劃分為k個(gè)等級(jí)，即{S1,S2,…,Sk}，這n個(gè)等級(jí)分別代表不同程度的安全問題，其中S1表示沒有安全風(fēng)險(xiǎn)，并且安全風(fēng)險(xiǎn)S1

網(wǎng)絡(luò)攻擊在實(shí)施之前一般都存在探測(cè)，踩點(diǎn)，掃描等過程，這些異常行為會(huì)引起輕度的安全風(fēng)險(xiǎn)，并且這些輕度的安全風(fēng)險(xiǎn)往往會(huì)意味著更嚴(yán)重的安全問題。以web攻擊為例，在最終獲取后臺(tái)權(quán)限之前，會(huì)有探測(cè)主機(jī)ip，開放端口，嘗試注入等操作，這些異常行為在當(dāng)前周期可能會(huì)引起輕度的安全問題，在下一周期可能會(huì)導(dǎo)致更加嚴(yán)重的安全問題。當(dāng)攻擊結(jié)束的時(shí)候，風(fēng)險(xiǎn)程度又會(huì)慢慢降低，所以網(wǎng)絡(luò)攻擊態(tài)勢(shì)常常會(huì)出現(xiàn)如圖1所示的狀態(tài)。

圖1是在實(shí)際SQL注入攻擊實(shí)驗(yàn)下，通過收集到的流量信息和入侵檢測(cè)系統(tǒng)的警報(bào)信息，將網(wǎng)絡(luò)狀態(tài)分為3個(gè)等級(jí)，即k=3，S1=0，S2=1，S3=2，并由專家打分得到的安全風(fēng)險(xiǎn)程度圖。

圖1 正常攻擊流程下的網(wǎng)絡(luò)態(tài)勢(shì)變化

但是網(wǎng)絡(luò)環(huán)境復(fù)雜，也不排除有風(fēng)險(xiǎn)突然爆發(fā)的情況，這種情況下，網(wǎng)絡(luò)攻擊態(tài)勢(shì)常常會(huì)出現(xiàn)如圖2所示的狀態(tài)。

圖2 已知安全漏洞攻擊下的網(wǎng)絡(luò)態(tài)勢(shì)變化

圖2是在已知有安全漏洞的情況下，直接進(jìn)行SQL注入攻擊實(shí)驗(yàn)下，通過收集到的流量信息和入侵檢測(cè)系統(tǒng)的警報(bào)信息，由專家打分得到的安全風(fēng)險(xiǎn)程度圖。

由這兩張圖的趨勢(shì)變化可以看到它們的網(wǎng)絡(luò)態(tài)勢(shì)變化情況是不一樣的。文中用風(fēng)險(xiǎn)波動(dòng)率?來衡量網(wǎng)絡(luò)風(fēng)險(xiǎn)的波動(dòng)程度，風(fēng)險(xiǎn)波動(dòng)率的計(jì)算公式為：

(1)

其中，countchange為參考周期內(nèi)變化的網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)的次數(shù)；countall為周期內(nèi)總的網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)的次數(shù)。

2.3 基于動(dòng)態(tài)轉(zhuǎn)移概率的網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)模型

馬爾可夫鏈具有“無后效性”的特征，而網(wǎng)絡(luò)狀態(tài)的轉(zhuǎn)變與當(dāng)前狀態(tài)是緊密關(guān)聯(lián)的，這一點(diǎn)與馬爾可夫鏈相符，但是網(wǎng)絡(luò)狀態(tài)的轉(zhuǎn)移應(yīng)該是隨著網(wǎng)絡(luò)狀態(tài)的變化而動(dòng)態(tài)改變的。隨著網(wǎng)絡(luò)狀態(tài)的更新，轉(zhuǎn)移概率也將隨之自適應(yīng)更新。所以文中提出一種基于動(dòng)態(tài)轉(zhuǎn)移概率的網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)模型

假設(shè)有周期集合{T1,T2,…,Tn}，共有k個(gè)安全風(fēng)險(xiǎn)等級(jí){S1,S2,…,Sk}，每個(gè)周期都有相應(yīng)的網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)對(duì)應(yīng){I1→T1,I2→T2,…,In→Tn}(I1,I2,…,In∈{S1,S2,…,Sk})，轉(zhuǎn)移概率參考的周期集合為Tr={Ta,Ta+1,…,Tb}(m=b-a+1)，共m個(gè)周期。

轉(zhuǎn)移概率的計(jì)算方法可描述為：

(2)

其中，Sij表示參考的m個(gè)周期內(nèi)，狀態(tài)從Si到Sj的次數(shù)。由表達(dá)式可以看出，Pij是一個(gè)完全由參考周期集合{Ta,Ta+1,…,Tb}(m=b-a+1)的值來決定的，即Pij=f(Tr)，而Tr的值是一個(gè)動(dòng)態(tài)變化的值。

文中認(rèn)為以往的網(wǎng)絡(luò)狀態(tài)對(duì)下一周期的網(wǎng)絡(luò)狀態(tài)的影響是隨時(shí)間衰落的，即時(shí)間越接近的網(wǎng)絡(luò)狀態(tài)對(duì)下一網(wǎng)絡(luò)狀態(tài)的影響越大。而隨時(shí)間衰落快慢的主要影響因素在于這一時(shí)期的網(wǎng)絡(luò)波動(dòng)情況，波動(dòng)越大，說明網(wǎng)絡(luò)變化幅度大，隨時(shí)間衰落的速度就越快。假設(shè)影響力因素為μ，波動(dòng)率為?，時(shí)間為從當(dāng)前周期向前追溯，并以周期為單位設(shè)為t，則變量滿足方程:

μ=eT-&(?(t)+0.1)m-1

(3)

其中，T為衡量波動(dòng)率的總參考周期數(shù)；&為一可變參數(shù)。?(t)為波動(dòng)率，隨時(shí)間變化。影響力因素為μ=0時(shí)，若已知?(t)，&，T的值，則將此時(shí)的t作為轉(zhuǎn)移概率參考的周期數(shù)，從而確定轉(zhuǎn)移概率參考的周期集合Tr={Ta,Ta+1,…,Tb}(m=b-a+1)。

那么基于動(dòng)態(tài)轉(zhuǎn)移概率的網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)模型可以描述為：

(4)

其中，Sd為預(yù)測(cè)的下一周期的網(wǎng)絡(luò)態(tài)勢(shì)值概率分布情況；Sc為當(dāng)前網(wǎng)絡(luò)態(tài)勢(shì)值所表示的矩陣。通過式3確定的Tr即可得到Sd，取概率最大的情況作為下一周期的網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)值。

3 實(shí)驗(yàn)分析

針對(duì)基于動(dòng)態(tài)轉(zhuǎn)移概率的網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)模型，搭建了實(shí)驗(yàn)原型系統(tǒng)，包括一個(gè)包含SQL注入漏洞的Web服務(wù)器和一個(gè)攻擊機(jī)。攻擊機(jī)在兩天的時(shí)間內(nèi)隨機(jī)地發(fā)起攻擊，攻擊類型包括掃描攻擊、SQL注入攻擊和DoS攻擊。服務(wù)器端裝有抓包工具和snort入侵檢測(cè)系統(tǒng)，通過抓包工具獲取TCP，UDP，ICMP的流量信息，通過snort入侵檢測(cè)系統(tǒng)獲取警報(bào)信息，以10秒為一個(gè)周期，由專家打分得到2 482條網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估值，評(píng)估值分為三個(gè)等級(jí){0，1，2}，分別代表無風(fēng)險(xiǎn)，低風(fēng)險(xiǎn)和高風(fēng)險(xiǎn)。

(1)參數(shù)&的確定。

圖3 不同波動(dòng)率下不同&值的準(zhǔn)確率對(duì)比

由圖3可以看到，當(dāng)T=100的情況下，&是不宜過大的，在波動(dòng)率高的情況下，&值過高會(huì)導(dǎo)致m的值為1，那么轉(zhuǎn)移概率計(jì)算的參考范圍太小就失去了計(jì)算轉(zhuǎn)移概率的意義，失去了參考的價(jià)值。

綜合來看，在該實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境下，T=100時(shí)，選擇&=5比較合適。

(2)網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)性能分析。

針對(duì)獲得的2 482條數(shù)據(jù)，從第100條開始往后進(jìn)行預(yù)測(cè)，通過Matlab計(jì)算動(dòng)態(tài)轉(zhuǎn)移概率以及實(shí)際預(yù)測(cè)值，進(jìn)行了2 382次實(shí)驗(yàn)，得到準(zhǔn)確率為0.884，展現(xiàn)了不錯(cuò)的效果。

選取了部分周期的預(yù)測(cè)情況，將該方法與非動(dòng)態(tài)轉(zhuǎn)移概率的馬爾可夫鏈預(yù)測(cè)方法和多層的BP神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)方法進(jìn)行了對(duì)比。其中非動(dòng)態(tài)轉(zhuǎn)移概率的方法利用所有的實(shí)驗(yàn)數(shù)據(jù)計(jì)算轉(zhuǎn)移概率，BP神經(jīng)網(wǎng)絡(luò)方法以預(yù)測(cè)周期的前10個(gè)周期作為特征，訓(xùn)練了1 000條數(shù)據(jù)，選取神經(jīng)網(wǎng)絡(luò)層數(shù)為3，對(duì)比結(jié)果如圖4所示。

圖4 部分周期不同方法的預(yù)測(cè)值與實(shí)際值對(duì)比

由圖4可見，在網(wǎng)絡(luò)狀態(tài)發(fā)生變化的時(shí)候容易出現(xiàn)預(yù)測(cè)錯(cuò)誤，但是使用動(dòng)態(tài)轉(zhuǎn)移概率的方法相比于非動(dòng)態(tài)轉(zhuǎn)移概率和BP神經(jīng)網(wǎng)絡(luò)的方法，具有更好的預(yù)測(cè)效果，且相對(duì)于BP神經(jīng)網(wǎng)絡(luò)方法沒有了復(fù)雜的訓(xùn)練過程。

三種方法的準(zhǔn)確率對(duì)比如圖5所示?？梢钥吹皆跍?zhǔn)確率上動(dòng)態(tài)轉(zhuǎn)移概率的方法都高于其余兩者，證明了其準(zhǔn)確性和有效性。

圖5 不同方法的預(yù)測(cè)準(zhǔn)確率

4 結(jié)束語

針對(duì)網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)的準(zhǔn)確性和有效性的問題，分析了網(wǎng)絡(luò)變化特點(diǎn)，在馬爾可夫鏈的一步轉(zhuǎn)移概率基礎(chǔ)上引入了網(wǎng)絡(luò)波動(dòng)率的概念，并在此之上提出了一種基于動(dòng)態(tài)轉(zhuǎn)移概率的網(wǎng)絡(luò)態(tài)勢(shì)預(yù)測(cè)方法。通過實(shí)時(shí)計(jì)算網(wǎng)絡(luò)的波動(dòng)率來動(dòng)態(tài)計(jì)算轉(zhuǎn)移概率，從而預(yù)估下一周期的網(wǎng)絡(luò)態(tài)勢(shì)值。實(shí)驗(yàn)結(jié)果表明，相比于非動(dòng)態(tài)轉(zhuǎn)移概率和BP神經(jīng)網(wǎng)絡(luò)，該方法具有更好的準(zhǔn)確性，并且相比于神經(jīng)網(wǎng)絡(luò)的方法省去了復(fù)雜的訓(xùn)練過程，證明了該方法的準(zhǔn)確性和有效性。