馬怡璇，李浩升，黃強，魯學(xué)仲，王慶鵬

（國網(wǎng)新疆電力有限公司信息通信公司，新疆烏魯木齊 830000）

隨著網(wǎng)絡(luò)的廣泛普及，網(wǎng)絡(luò)安全事件不斷出現(xiàn)，計算機受到黑客攻擊，導(dǎo)致垃圾郵件增多，網(wǎng)絡(luò)傳播有害信息的手段不斷更新[1]。因特網(wǎng)在帶給人們自由和開放的同時，在重要情況下，網(wǎng)絡(luò)延遲對信息查詢也有很大的影響，網(wǎng)絡(luò)延遲會降低人們的交流速度[2]。信息網(wǎng)絡(luò)數(shù)據(jù)在低延遲、動態(tài)環(huán)境下越來越受到重視[3]，當(dāng)前使用的信息網(wǎng)絡(luò)數(shù)據(jù)低延遲查詢安全性定量評估技術(shù)，將低延遲網(wǎng)絡(luò)信息查詢所帶來的風(fēng)險轉(zhuǎn)化為度量數(shù)據(jù)，并進行量化處理，以此評估信息網(wǎng)絡(luò)數(shù)據(jù)低延遲查詢是否安全[4]。雖然該技術(shù)大大增加了信息網(wǎng)絡(luò)數(shù)據(jù)低延遲安全查詢的可度量性，但容易受到未授權(quán)第三方入侵影響，導(dǎo)致評估結(jié)果不精準；使用Markov 評估技術(shù)，根據(jù)網(wǎng)絡(luò)配置狀態(tài)，從一個已知狀態(tài)網(wǎng)絡(luò)節(jié)點轉(zhuǎn)移到下一個邏輯狀態(tài)節(jié)點，直到信息網(wǎng)絡(luò)數(shù)據(jù)低延遲查詢到達一個完全失效狀態(tài)為止。該過程的每個假設(shè)都是在不同狀態(tài)下實現(xiàn)的，不會被記憶，容易受到人為威脅，導(dǎo)致評估結(jié)果不精準。針對上述問題，提出了信息網(wǎng)絡(luò)數(shù)據(jù)低延遲查詢安全性回歸預(yù)測模型。

1 低延遲復(fù)雜動態(tài)網(wǎng)絡(luò)穩(wěn)定性設(shè)計

低延遲復(fù)雜動態(tài)網(wǎng)絡(luò)是由N個相同線性耦合節(jié)點構(gòu)成的，每個節(jié)點都包含了n維動力學(xué)理念[5]。在該理念下，第i個節(jié)點的數(shù)據(jù)傳輸動力學(xué)方式為：

式中，ri(t) 表示第i個節(jié)點的數(shù)據(jù)傳輸狀態(tài)向量；λ表示耦合作用強度，是一個大于0 的常數(shù)；η表示耦合系數(shù)；?(t) 表示延遲函數(shù)；f()· 表示動力學(xué)系統(tǒng)描述節(jié)點特性的向量函數(shù)；Z表示對稱矩陣[6]。

如果節(jié)點i、j之間有連接關(guān)系，那么ηij為1，否則為0。

如果節(jié)點度表示第i個節(jié)點連接的邊數(shù)量，那么節(jié)點度μ可描述為：

為了使低延遲復(fù)雜動態(tài)網(wǎng)絡(luò)達到穩(wěn)定狀態(tài)，避免未授權(quán)第三方入侵干擾，方便信息查詢安全性預(yù)測，確定t的取值范圍，即t→∞時：

在式（4）約束條件下，選擇控制網(wǎng)絡(luò)節(jié)點以達到控制低延遲復(fù)雜動態(tài)整個網(wǎng)絡(luò)的目的[7-9]。

2 低延遲查詢安全性回歸預(yù)測模型構(gòu)建

低延遲查詢安全性回歸預(yù)測模型主要是由三個模塊組成的。數(shù)據(jù)庫模塊中包含了歷史態(tài)勢值和安全態(tài)勢樣本集，該模塊主要負責(zé)儲存歷史監(jiān)控地點的態(tài)勢值及按時間順序產(chǎn)生的安全態(tài)勢樣本[10]；核心預(yù)測模塊中包含了數(shù)據(jù)處理子模塊、預(yù)測模型、預(yù)測結(jié)果和支持向量機，主要用于安全態(tài)勢下的樣本數(shù)據(jù)生成、支持向量機訓(xùn)練；結(jié)果展示模塊中包含了預(yù)警發(fā)布和預(yù)測態(tài)勢值展示，主要負責(zé)動態(tài)地向用戶顯示預(yù)測態(tài)勢值，并根據(jù)預(yù)測態(tài)勢值發(fā)出警報[11-12]。

回歸預(yù)測模型的工作過程分為三個階段：

1）安全態(tài)勢樣本構(gòu)造

將數(shù)據(jù)庫模塊中的歷史態(tài)勢值直接發(fā)送到核心處理模塊中，通過該模塊的數(shù)據(jù)滑動窗口獲取測試樣本集，并按照一定比例對其分類，分為訓(xùn)練樣本集和測試樣本集，并直接存儲到數(shù)據(jù)庫中[13]。將網(wǎng)絡(luò)安全態(tài)勢值視為簡單的數(shù)據(jù)序列，使每個時間點對應(yīng)一個態(tài)勢值[14]。

在建立安全態(tài)勢樣本集時，采用動態(tài)產(chǎn)生滑動窗口的回歸預(yù)測模型。設(shè)數(shù)據(jù)傳輸?shù)臅r間監(jiān)測點為1,2,…,n，其對應(yīng)的網(wǎng)絡(luò)耦合作用強度可表示為a1,a2,…,an，由此設(shè)定數(shù)據(jù)傳輸窗口大小為m，第1個樣本[15]可表示為a1,a2,…,am?；谏鲜鰲l件，預(yù)測得到m+1 窗口下的網(wǎng)絡(luò)態(tài)勢值為am+1，基于此，預(yù)測m+2 窗口下的網(wǎng)絡(luò)態(tài)勢值為am+2，重復(fù)上述步驟，直到獲取全部預(yù)測結(jié)果，由此構(gòu)造的安全態(tài)勢樣本集，如圖1 所示。

圖1 安全態(tài)勢樣本集

2）生成預(yù)測模型

基于支持向量機樣本集訓(xùn)練，首先從數(shù)據(jù)庫模塊中讀取安全態(tài)勢樣本集中的訓(xùn)練樣本，使用支持向量機初始訓(xùn)練參數(shù)完成第一個訓(xùn)練；然后支持向量機讀取測試樣本集，根據(jù)第一個訓(xùn)練的結(jié)果對測試樣本進行預(yù)測，從而獲得初始預(yù)測結(jié)果[16]。當(dāng)滿足F的收斂性條件時，將F的適應(yīng)度函數(shù)設(shè)為初始預(yù)測結(jié)果與實際樣本適應(yīng)度之間的誤差，預(yù)測模型成為最終模型；通過反復(fù)訓(xùn)練，從訓(xùn)練樣本集中讀取第二組支持向量機的兩次支持向量機參數(shù)，得到第二代預(yù)測模型。在此基礎(chǔ)上，通過檢驗測試樣本不斷訓(xùn)練預(yù)測模型，直到該模型滿足F收斂條件。

根據(jù)上述訓(xùn)練結(jié)果，構(gòu)建回歸預(yù)測模型，如式（5）所示：

結(jié)合樣本訓(xùn)練結(jié)果和構(gòu)建的回歸預(yù)測模型，設(shè)計預(yù)測流程，如圖2 所示。

圖2 預(yù)測流程

鄰近點個數(shù)是局部預(yù)測中的重要參數(shù)，鄰近點的大小直接關(guān)系到回歸預(yù)測模型的預(yù)測精度。根據(jù)該特點，構(gòu)建局部非線性預(yù)測模型，由此提高預(yù)測精度。鄰近點的個數(shù)可以大于局部線性模型個數(shù)，局域非線性模型不受局域線性假設(shè)的限制，因此其鄰近點數(shù)比局域線性模型大。由于鄰近點數(shù)量龐大，需要消耗大量精力訓(xùn)練模型，使模型出現(xiàn)過度擬合問題，大大降低預(yù)測精度，所以，對于局部非線性預(yù)測模型，在預(yù)測精度較高時，不易產(chǎn)生過多的鄰近點。

使用局部相關(guān)向量機回歸模型對信息網(wǎng)絡(luò)數(shù)據(jù)低延遲查詢安全性進行預(yù)測，得到局部相關(guān)向量機預(yù)測模型鄰近點的數(shù)目，即最小化下式：

式中，ε(k)2表示預(yù)測誤差的歸一化方差；L表示預(yù)測信息長度。

3 實 驗

3.1 實驗平臺

面向被評估單位的網(wǎng)絡(luò)部署安全管理中心，收集IDS、防火墻等網(wǎng)絡(luò)安全設(shè)備檢測到的攻擊數(shù)據(jù)。掃描員定期對網(wǎng)絡(luò)漏洞進行掃描、發(fā)現(xiàn)、記錄、分析，并隨機向網(wǎng)絡(luò)安全風(fēng)險評估引擎?zhèn)鬏敺治鼋Y(jié)果?；诖耍ヅ渚W(wǎng)絡(luò)節(jié)點密鑰，并匹配消息發(fā)送的驗證碼，即對數(shù)據(jù)源身份進行認證。如發(fā)生不匹配，則表示存儲節(jié)點篡改傳感器數(shù)據(jù)或節(jié)點ID。正常情況下的消息驗證碼為6688，而用戶使用的消息驗證碼如圖3 所示。

圖3 用戶使用的消息驗證碼

由圖3 可知，用戶使用的消息驗證碼為6676，與實際消息驗證碼不一致，說明低延遲給數(shù)據(jù)查詢帶來一定影響。該情況下的網(wǎng)絡(luò)安全態(tài)勢如圖4所示。

圖4 網(wǎng)絡(luò)安全態(tài)勢

3.2 實驗結(jié)果與分析

分別使用定量評估技術(shù)、Markov 評估技術(shù)和信息網(wǎng)絡(luò)數(shù)據(jù)低延遲查詢安全性回歸預(yù)測模型對比分析低延遲網(wǎng)絡(luò)安全態(tài)勢，對比結(jié)果如圖5 所示。

圖5 三種技術(shù)低延遲網(wǎng)絡(luò)安全態(tài)勢預(yù)測

由圖5 可知，使用定量評估技術(shù)在8 min 查詢時間范圍內(nèi)，在前3 min 出現(xiàn)了最高輸入信號和最低輸入信號，分別為-20 mV 和-12 mV；在后5 min 輸入信號逐漸平穩(wěn)，但與實際網(wǎng)絡(luò)安全態(tài)勢平穩(wěn)值不一致。使用Markov 評估技術(shù)在8 min 查詢時間范圍內(nèi)，最高輸入信號為-20 mV，最低輸入信號為-8 mV，整個時間段內(nèi)的輸入信號都是不平穩(wěn)的。使用安全性回歸預(yù)測模型在前5 min 內(nèi)，最高輸入信號和最低輸入信號分別為-20 mV 和-16 mV，在后3 min 輸入信號逐漸平穩(wěn)，與實際網(wǎng)絡(luò)安全態(tài)勢平穩(wěn)值一致。

為了進一步驗證安全性回歸預(yù)測模型預(yù)測結(jié)果更加精準，對這三種技術(shù)預(yù)測精度進行對比分析，結(jié)果如表1 所示。

表1 三種技術(shù)預(yù)測精度對比分析

由表1 可知，使用三種技術(shù)在前4 min 內(nèi)預(yù)測精度都相對較高，但6～8 min 時，使用定量評估技術(shù)最低預(yù)測精度為0.60，使用Markov 評估技術(shù)最低預(yù)測精度為0.50，使用回歸預(yù)測模型最低預(yù)測精度為0.92。通過上述分析結(jié)果可知，使用回歸預(yù)測模型預(yù)測精度較高。

4 結(jié)束語

構(gòu)建的信息網(wǎng)絡(luò)數(shù)據(jù)低延遲查詢安全性回歸預(yù)測模型，通過支持向量機動態(tài)搜索最優(yōu)訓(xùn)練參數(shù)，改善回歸預(yù)測模型精度。通過低延遲復(fù)雜動態(tài)網(wǎng)絡(luò)的穩(wěn)定性設(shè)計，解決傳統(tǒng)定量評估技術(shù)、Markov 評估技術(shù)中存在的未授權(quán)第三方入侵影響而導(dǎo)致預(yù)測精度低的問題。下一步，在保證模型預(yù)測精度高的情況下，縮短數(shù)據(jù)處理時間，這也是今后研究的重點。