并行計算平臺的網絡安全態勢感知系統

高青波　胡冠宇 徐澤群

摘 要：提出了一種基于并行計算平臺的網絡安全態勢感知系統。該系統利用并行計算環境收集網絡要素、計算評估網絡安全態勢并對未來短時間內的安全態勢作出預測。并行計算平臺能夠將任務分解，并將分散的計算資源集中起來，讓每個節點獨立完成各自的計算任務，最終結果在管理主機上匯總，使得復雜的網絡安全態勢預測過程得以快速完成。實際應用的結果顯示，所提出的系統能夠在合理的時間內準確預測網絡安全態勢。

關鍵詞：并行計算；網絡安全態勢；網絡安全態勢感知；并行入侵檢測

引言

隨著網絡規模的急速增長，網絡系統變得愈加復雜并難以維護，管理人員常常因為無法準確的預判網絡系統的安全程度，而錯失防御的良機，使得網絡系統因為遭受到重大的攻擊而陷入癱瘓。因此，如何準確的評估并預測宏觀上網絡的整體安全程度是主動防御的重中之重。

網絡安全態勢感知的概念就是在這樣的背景下產生的[1]。態勢感知最初應用在航空航天和軍事指揮領域，它被用于評估并預測復雜機械裝置的整體運行狀況以及戰場上的戰局走勢。網絡安全態勢則是指在宏觀上描述復雜網絡系統整體安全形勢的一組定量的值[2]。

一個完整的網絡安全態勢感知系統包括三個部分，如圖1所示。

圖1 網絡安全態勢感知系統的結構圖

其中各個模塊的具體功能為：（1）網絡要素提取，用于提取底層的網絡數據流，將網絡數據識別為帶有具體意義的數據向量，然后對其進行預處理。預處理的過程一般包括：利用主成分分析方法[3]降低數據的維度，去掉不相關的屬性。然后，為了消除數據中的奇異樣本，還需將數據歸一化以使其變得相對平滑。最后，為了在下一步的評估中能夠獲得準確的態勢值，還需要對數據按照不同的攻擊類別進行分類，這一步在本質上屬于入侵檢測過程。（2）安全態勢評估，通過層次化評估的方法，將不同類別的網絡數據按照不同的權重相加求得具體的態勢值[4]。（3）安全態勢預測，在上一步中求得的安全態勢值會被累積起來當做預測的歷史數據，然后用來訓練網絡安全態勢的預測模型，使其可以預測未來的安全趨勢[5]。

從上面的過程中可以看出，網絡安全態勢感知的每一步都需要處理大量的數據，其本質是要在海量的網絡數據中挖掘出有用的攻擊信息，然后將這些信息進行融合，從而判斷網絡安全的趨勢。目前，應用于網絡安全態勢感知領域的相關算法多屬于離線操作，即將已有的訓練數據輸入到模型中，對其進行訓練，然后再應用到實際系統。如果網絡平臺不能提供大量的計算資源，就會使得網絡安全感知系統的效率低下，不能很好的適應高速運轉的網絡系統，使得主動防御形同虛設。

基于以上問題，文章力求能夠在并行環境下構建網絡安全感知系統，讓并行計算平臺將網絡安全感知系統中各關鍵任務分解，并將網絡中分散的計算資源集中起來，讓每個計算節點獨立完成各自的任務，最終結果由管理主機收集。這樣，在對復雜網絡系統進行安全態勢預測時，可以在合理的時間內準確預測網絡安全態勢。

1 網絡安全態勢感知系統的并行計算平臺

針對前述內容，我們搭建了一個并行計算平臺，如圖2所示。

圖2所示平臺由51臺普通計算機構成，其中50臺為工作節點（worker），1臺為管理中心主機。以此作為系統的硬件平臺。我們設計并實現了一個分布式計算系統作為并行計算軟件平臺，可分為以下兩個模塊：（1）分布式計算管理模塊：負責任務的分配與管理、協調任務的執行，worker主機與管理主機之間的通信。（2）分布式計算引擎：負責執行具體任務。利用上述軟件平臺可在多核與多處理器主機或者局域網環境下解決密集的計算問題。

在實際使用該平臺時，我們將各個入侵檢測節點和關鍵網絡設備節點收集來的數據輸入到圖2所示的并行計算平臺管理主機中，管理主機會將所收集到的大量的數據分配給各worker節點，然后worker節點對數據進行預處理后返還給管理主機。其過程如圖3所示。

2 并行網絡態勢評估過程

當管理主機從work主機獲得處理完成的數據后，要繼續分配攻擊分類任務，分類的主要目的是區分網絡數據的攻擊類別，一般可分為：正常數據（normal）、Probe攻擊、Dos攻擊、R2L攻擊和U2R攻擊[6]五大類。每一大類又細分為若干個小類。分類過程大致可以分為兩步：（1）建立分類模型，常見的用于攻擊分類的模型有BP神經網絡[7]，支持向量機[8]，K鄰近算法[9]等。這些分類模型通過已有的網絡數據建立輸入與輸出之間的統計關系，從中挖掘攻擊的特征，從而區分不同的攻擊類型。（2）利用已有數據樣本和優化算法對分類模型進行訓練。優化算法對于分類模型至關重要，合適的優化算法直接影響到分類結果的精度。目前主流的優化算法有遺傳算法（GA）[10]，粒子群算法（PSO）[11]以及差分進化算法（DE）[12]等。

并行環境下的網絡安全態勢感知系統的關鍵問題是，如何將上述模型的訓練和優化過程分解并交給各worker并行實現，然后向管理主機返回最終的分類結果。文章選取SVM作為并行分類器，差分進化作為優化算法。并行SVM的基本形式是先將訓練數據集劃分成若干訓練子集，然后在各個節點分別進行訓練。由于SVM屬于二分類器，故訓練子集在劃分時應該按照其中兩種攻擊類型劃分，例如Normal和Dos劃分為一類，Dos和Probe劃分為一類，等等。所有分類器以無回路有向圖（DAG）的邏輯形式組合到一起，如圖4所示。

圖4 并行SVM的DAG結構

圖4中的每個SVM分類器都被按照不同的子集類別在worker節點獨立訓練，訓練后的模型在接收新的測試數據時，會從圖的頂點進入，然后被逐層分類直至得出最終的分類結果。

當網絡數據的類別確定后，就可以按照文獻[4]提出的層次化方法，管理主機根據專家事先給定的類別權重，以加權求和的方式得出當前網絡安全態勢值。

3 并行網絡態勢預測過程

如前所述，當收集到一段時間內的網絡安全態勢值后，就可以用來訓練預測模型以預測未來網絡安全態勢。用于網絡安全態勢的預測模型也有很多種類，比較成熟的模型有：馬爾科夫預測模型[13]，grey預測模型[14]、和徑向基神經網絡預測模型[15]。與分類階段類似，預測階段的模型也需要分解任務以適應并行計算環境。文章選取文獻[16]提出的并行徑向基神經網絡預測模型作為預測工具。在進行預測時，管理主機先把所有的歷史態勢值交給各個worker主機，然后每臺worker主機通過差分進化算法優化徑向基神經網絡預測模型，預測結果提交至管理主機中進行融合。最后，安全態勢預測值將以可視化的結果呈現給網絡安全管理人員，以便其對網絡宏觀狀況能迅速直觀的了解。圖5描述了本網絡平臺可視化后的網絡安全態勢的預測結果。

圖5描述了一個月內的網絡安全態勢預測值，其中橫軸代表天數，豎軸代表網絡安全態勢的預測值，范圍是[0，1]，值越高表示網絡受到的威脅越大，當網絡安全態勢值大于某個閾值時，系統會自動發出報警。在運行系統一段時間后，實際的網絡安全態勢情況與圖5的預測結果基本吻合。

4 結束語

文章設計并實現了并行環境下的網絡安全態勢感知系統，包含網絡要素收集、網絡態勢評估及預測三個模塊，并能根據預測值作出報警。該系統充分發揮了并行環境的優勢，提升了網絡安全感知系統的效率，使得管理人員可以提前獲知網絡受威脅的程度，并提前做好防范措施。實際應用的結果顯示，所提出的系統能夠在合理的時間內準確預測網絡安全態勢。

參考文獻

[1]BASS T. Intrusion detection system and multi-sensor data fusion： creating cyberspace situation awareness[J]. Communications of The ACM， 2000， 43（4）： 99-105.

[2]王慧強，賴積保，胡明明，等.網絡安全態勢感知關鍵技術研究[J].武漢大學學報-信息科學版，2008，33（10）：995-998.

[3]趙海霞，武建.淺析主成分分析方法[J].科技信息，2009，2：87-87.

[4] Chen X. Z， Zheng Q. H， Guan X. H， Lin C. G. Quantitative hierarchical threat evaluation model for network security[J]. Journal of Software （in Chinese with English abstract）， 2006，17（4）： 885-897.

[5] 任偉，蔣興浩，孫錟鋒.基于RBF神經網絡的網絡安全態勢預測方法[J].計算機工程與應用，2006，31： 136-139.

[6] Tavallaee M， Bagheri E， Lu W， Ghorbani A. A Detailed Analysis of the KDD CUP 99 Data Set[J]. Second IEEE Symposium on Computational Intelligence for Security and Defense Applications （CISDA），2009：1-6.

[7]吳欣欣，志誠，葉健健，等.基于改進的BP神經網絡入侵檢測方法研究[J].微型機與應用，2014，33（22）：67-70.

[8]彭小金，武小年.基于特征選擇和支持向量機的入侵檢測方法[J].大眾科技，2014，16（3）：6-8.

[9]徐鵬，姜鳳茹.粒子群算法和K近鄰相融合的網絡入侵檢測[J].計算機工程與應用，2014，50（11）：95-98.

[10]吉根林.遺傳算法研究綜述[J].計算機應用與軟件，2004，21（2）：69-73.

[11]王芳.粒子群算法的研究[D].西南大學，2006.

[12]謝宇，趙春霞，張浩峰，等.基于混合交叉差分進化的相機空間操控系統參數優化[J].物理學報，2015，64（2）：1-7.

[13]唐睿，馮學鋼.基于馬爾科夫預測的國內赴滬旅游者旅游消費結構分析[J].旅游論壇，2015，8（1）：38-45.

[14]馬杰，任望，薛東軍，等.灰色災變模型在計算機網絡安全態勢預測中的研究[C]//第三屆信息安全漏洞分析與風險評估大會，2010.

[15]胡明明，王慧強，賴積保.一種基于GA-BPNN的網絡安全態勢預測方法[J].北京：中國科技論文在線，2007.

[16]王華秋，曹長修.一種并行核徑向基神經網絡預測模型[J].重慶大學學報：自然科學版，2006，29（3）：80-83.

通訊作者：胡冠宇。