基于卡曼算法的計算機網絡安全態勢預測

張 東

?

基于卡曼算法的計算機網絡安全態勢預測

張 東

(鄭州升達經貿管理學院，河南鄭州 451191)

在如今的中國，計算機網絡深入各家各戶成為人們生活必不可少的重要部分。然而隨著網絡使用的方面、規模種類逐漸變得龐大和復雜，安全問題也相應地變成了一個讓人頭疼的頑疾。傳統方法的對網絡安全問題進行各個擊破的方法現下也不再實用和適用。為了把被動變為主動，便要對網絡安全態勢進行預測，一是要收集整合數據，二是要結合周遭影響因素，為網絡安全管理建立一個更好的管理機制，從而提高網絡安全，讓威脅人們的潛在不安因素得到解決。本文旨在用卡曼算法為基礎，對計算機網絡安全態勢做出預測分析。

卡爾曼算法；網絡安全；網絡安全態勢預測；神經網絡；預測方法

伴隨我們日益加速的網路環境的成長，和技術的不斷發展，在今天的社會即將進入云計算時代，計算機網絡對社會的影響將越來越大[1]。隨著廣泛的分布式網絡系統，網絡系統結構變得越來越復雜，網絡面臨的攻擊和威脅越來越多，網絡安全問題越來越嚴重，各種安全事件和漏洞越來越頻繁，包括黑客攻擊，網絡安全的不堪一擊漸漸暴露出來。單單使用傳統方法來應對或許會力不從心，這不僅損害了個人和企業的利益，造成人民財產的損失，而且降低了人們對網絡的信任[2]。確保網絡信息安全已成為國家信息戰略的重要內容之一[3]。但為了保護人們的網絡隱私以及其他重要方面，及時評估和進行預測要成為網絡安全的研究重點[4]。盡管我國現今已有不少專家提出了以人工免疫為基礎的網絡安全風險檢測模型，但此類模型能給出網絡安全態勢值還是數量偏少，且其設計和管理存在相當問題，只能檢測一定的網絡脆弱性，局限性很大，無法檢測整個網絡，因此這種算法在提高網絡安全性方面起到的作用非常有限。本文是根據卡曼算法對計算機網絡安全態勢進行預測分析的，主要探究為一下幾點。

1 網絡安全預測算法的概述

網絡安全問題在當下科技發達的世界顯得越發值得重視，要從關注獨立的安全問題開始著手然后擴展至整個網絡環境。而進行預測的態勢感知所一來的數據來自不同位置的設備檢測，例如IDS、防火墻以及系統的檢測結果[5]。這些結果的格式有很大的差異，并且輸出數據結果占據內存非常巨大。為了更好的達到網絡安全態勢的預測的目的，要持續引入不同的觀念。想要對網絡安全性定量分析就要采取態勢感知的手段，此方法能夠精確的度量網絡安全性，起到非常有效的網絡安全保障作用[6]。而研究這種技術要做的第一步就是對會影響系統安全性的各個因素進行面面俱到的檢測獲取；還要把關聯安全信息進行收集，然后進行整合、分類、歸并等工作。我國目前的態勢感知技術相對不太成熟，而卡曼算法的研究可以一定程度的彌補這一缺點。

2 網絡安全問題詳述

（1）惡意代碼技術攻擊

惡意代碼攻擊對網絡用戶的攻擊屢見不鮮，其主要危害在于使運行系統癱瘓，并且能夠進行自動恢復造成假性屏障，再從后臺進行傳播，我國現已出現且為人熟知的病毒有：特洛伊木馬、熊貓病毒、后門、邏輯炸彈、間諜軟件和僵尸用戶客戶端等等。而惡意代碼主要是從系統的軟硬件漏洞入手，要想解決這個問題，應設計出能夠對目標系統可能存在惡意代碼的位置和特征進行識別的防火墻或安全軟件[7]。可是目前市面現存的殺毒軟件雖然能夠起到一定的識別病毒的作用，但識別率卻相對低下，更重要的是部分軟件本身就存在相當大的危害性，比如竊取用戶隱私和后臺強制使用無法退出的情況。因此再研發更高階的技術上，要更具有實時性，針對一些變形的而已代碼，先識別出進行第一層的攻破，再設置第二層保護層，把對應的保護代碼實時更新，讓惡意代碼無從攻擊。

（2）掃描技術的缺陷

掃描技術是指對計算機網絡的靜態特征目標文件代碼進行掃描，從而發現潛在危害。這種技術雖然誤報率較高，但在惡意偽裝文件面前還是有些力不從心[8]。因為一個軟件文件的代碼再編寫過程中本身就具有一定的隱藏特征，惡意代碼在當中稍加加殼變形便可躲過掃描。再者，一些惡意代碼的目標可能本身就在破壞掃描技術上，一旦遭遇這種問題，掃描技術本身就變得不堪一擊。

（3）虛擬機檢測技術的兩個缺點

虛擬機檢測技術的意思是模擬一個虛擬的CPU環境，主動出擊在虛擬檢測時把惡意代碼激活，觀察其進一步的行為特征，以此來判斷代碼是否為惡意。這項技術的有點是并不需要一個規模很大的病毒特征庫就能很大程度上的保證本機系統的安全，并且能保證不誤傷到安全代碼[9]。虛擬檢測技術的檢測步驟分為兩步，一是對先建立一個對惡意軟件行為分析的智能識別模塊，其中包括行為知識庫、行為知識推理機、以及知識獲取組件；二是深層檢測與監控組建，這兩項的主要目的在于檢測和收集目標系統的各種信息，收集的相關行為信息主要是針對底層隱藏技術的惡意代碼的。然而，虛擬CPU技術的缺點之一是占據的內存太大，時間長久便會對系統的性能產生負面影響，最常見的可能就是機器死機。第二則是進行檢測的需要時間過長，但判斷惡意代碼的時間卻慢，查毒的效率很容易受到影響。

（4）防火墻技術

防火墻的概念是在對軟件和硬件的設備組合進行已授權和未授權通信實體之間做出判斷，保護并組織重要信息的未授權的訪問和修改。防火墻是一種建“長城”的方法，通過設立一道屏障強化我們的網絡安全，謹防私密信息被竊取。而防火墻技術分別為硬件和軟件開發出了不同的產品，盡管類別不同，但是原理和技術非常相似，而且目的相同。這項技術有一個不足是過于簡單，想要攻破很簡單。防火墻作為一種隔離手段，工作方式相對單一，只是分析攔截進出的數據包，再進行二次決定。另一個不足是倘若防火墻使用方法不當，可能會造成計算機系統各項其他工作無法正常完成。因此效用有限。

3 卡曼算法的運用

卡曼算法最開始的名字叫做卡曼濾波（Kalman filtering），這是一種利用線性系統狀態方程，通過系統輸入輸出觀測數據，對系統狀態進行最優估計的算法。由于觀測數據中包括系統中的噪聲和干擾的影響，所以最優估計也可看作是濾波過程，適用領域非常多。

而數據濾波是作為去除噪聲還原真實數據的一種數據處理技術，卡曼濾波在測量方差已知的情況下能夠從一系列存在測量噪聲的數據中，估計動態系統的狀態。卡曼濾波是目前應用最為廣泛的濾波方法、在通信、導航、制導與控制等多領域得到了較好的應用[10]。因為其廣泛的適用性，后來便延伸為算法，用于計算機編程。將這種算法運用到計算機網絡安全態勢預測上，能夠很好的對現場采集的數據進行實時的更新和處理，長久便可保護網絡安全。

4 網絡安全預測模型

（1）估算方法和建模

基于經典預測算法的人工免疫網絡安全態勢評估算法，為獲得網絡安全態勢預測值提供依據。由于預測算法一般都與網絡安全狀況的影響因素相結合，因此發現和收集影響網絡安全狀況的因素是關鍵。建模時，先在預測框架中的最低級別模塊應設計一個數據采集模塊，模塊主要負責收集網絡信息要素，但由于影響網絡安全態勢的因素很多，為了提高預測的準確性和效率，要先做出網絡安全態勢評估圖，如圖1所示為。

圖1 網絡安全態勢評估圖

（2）卡曼算法對網絡安全態勢預測。

首先，卡曼算法的濾波器可以用來處理系統的離散控制過程，而且非常符合網絡安全態勢預測離散控制交換系統的特點，可以用狀態方程和描述觀測方程的觀測方程來表示。

方程為：

(+1)=(+1)×()+U1()

Y()代表在時間動態系統的狀態向量，F(K 1，)表示該系統從時刻的狀態轉移在時間k 1狀態，是狀態轉移矩陣；U1()是過程噪聲矢量，代表噪聲或誤差在流轉過程中產生的。

觀測方程為：

(+1)=B()×(+1)+U2()

(1)表示在時間1在系統觀測向量；B()是觀測向量，狀態向量(1)是改變后的觀測向量描述；U2()表示觀測噪聲在時間。

因此，基于卡爾曼算法的網絡安全態勢預測的原理是：根據關鍵影響因子值和網絡安全態勢值求狀態向量()1，當N狀態向量的時間下一個時間段，N是獲取量，并根據當前狀態矢量觀測向量描述獲取網絡安全態勢值在下一時間段的次值。

（3）實驗場景配置。

為了驗證決策并融合卡曼濾波網絡安全態勢預測方法的有效性，要進行一定的仿真實驗。實驗需要的計算機硬件配置為：雙核CPU，單核主頻2.8 GHz，4 G內存；用在模擬實驗的計算機軟件配置：Windows 8操作系統，編程語言，OMNET++軟件。

模擬配置相同的3臺主機在OMNeT++檢測。模擬中應用部分數據作為實驗數據源，設計模擬惡意戴莫，對服務器進行模擬攻擊，讓其能夠識別并拒絕使用，具體步驟為：在各種端口和漏洞掃描軟件等攻擊guess_passwd，攻擊Nmap Perl等，攻擊網絡中的各種虛擬服務器，Perl和其他風險參數的風險參數設置為0.4，0.6，等，主機的權重設置為0.2，0.5，0.3。

（4）網絡安全態勢的計算

根據計算機人工免疫方法計算網絡安全態勢，可參考人體免疫系統抗體濃度變化與病原體侵入強度之間的關系，利用抗體濃度計算網絡安全狀況。該方法可以得到準確的網絡安全態勢值。具體表現為：當一些攻擊繼續攻擊網絡，相應的抗體濃度會不斷增加；當攻擊強度下降，然后抗體濃度下降，但下降幅度小于攻擊強度的速率；當某種攻擊再次發生在一定的時間內，相應的抗體濃度仍然較。這表明，網絡安全形勢更高，網絡管理應準備防御。根據抗體濃度，可以計算出網絡安全態勢值。網絡安全態勢值可以從主機和系統中的抗體濃度。

在這個公式中，max是最大的態勢值，min是最小的態勢值，代表當前的態勢。在歸一化計算后，控制態勢值為0到1之間。根據結果表明，網絡安全狀況的值越高，系統的危險便越低。

在經過處理后，網絡安全態勢的攻擊強度的影響因素、網絡流動和網絡流量的變化率如表1所示。

表1

態勢值攻擊力度網絡流量 數據10.190.102280.14393 數據20.200.104590.69257 數據30.220.115460.21284 數據40.240.123710.81769 數據50.250.123710.81769 數據60.240.134690.16575 數據70.240.146890.64291 ........................ 數據210.360.141270.18433

4 建模注意事項

基于卡曼的網絡安全態勢預測算法具有模型參數少、計算簡單、實時性好等優點。在這里要首先采用決策熵分析的方法選擇影響網絡安全狀況的關鍵因素，然后結合關鍵因素建立網絡安全態勢的多關系模型。以下是基于決策熵與M因子建模相結合的卡曼預測算法，具體步驟雖復雜但成效甚好.在建模時，要參考多方數據才能，仔細核對每個公式的數值，保持嚴謹的態度才能最大程度的讓建模結果精準。

5 結束語

本文針對的如今網絡世界安全態勢做出分析，提出了一種網絡安全態勢預測卡曼濾波預測算法。在這種方法中，第一步參考了諸多數據和圖標，總結除了計算網絡安全的關鍵特征；并在第二步根據卡曼算法做出了一些模擬實驗，還對卡曼狀態方程和網絡安全狀態的測量方程構造進行了研究，第三步根據現在新的信息理論的更新，對網絡安全的新狀態做了實時預測。最后，網絡安全形勢卡爾曼預測是運用決策熵理論實現了。在實驗中，監測的三個屬性，包括攻擊強度，同時網絡流量和網絡流量變化率，最后選擇攻擊強度作為網絡安全形勢的特點，根據圖標和方程的參考，完成預測模型的訓練。從結果的預測曲線可以看出，在現有的基礎上融合卡曼算法（濾波方法）實現了對網絡安全態勢的準確預測。本文的研究顯明，互聯網安全態勢預測實則是網絡安全防御機制轉變，若能把相關研究和網絡安全態勢影響因素進行一定程度的結合，便可為更好地控制網絡安全奠定一個良好基礎。

[1] 陳宏偉, 李華. 基于卡爾曼算法的計算機網絡安全態勢預測方法[J]. 電子世界, 2016(7): 28-28.

[2] 曾斌, 鐘萍. 網絡安全態勢預測方法的仿真研究[J]. 計算機仿真, 2012, 29(5): 170-173.

[3] 黃金山. 一種實時網絡安全態勢預測方法[J]. 電腦知識與技術, 2014(12X): 8373-8374.

[4] 古潤南, 艾中良. 基于LOD控制與內外存調度的大規模網絡態勢數據節點處理算法[J]. 軟件, 2016, 37(3): 89-93.

[5] 韓敏娜. 基于多傳感器數據融合的網絡安全態勢評估及預測模型研究[D]. 江南大學, 2013.

[6] 韋勇. 網絡安全態勢評估模型研究[D]. 中國科學技術大學, 2009.

[7] 劉雷雷, 臧洌, 邱相存. 基于Kalman算法的網絡安全態勢預測[J]. 計算機與數字工程, 2014, 42(1): 99-102.

[8] 張超. 云計算網絡安全態勢評估研究與分析[D]. 北京郵電大學, 2014.

[9] 向西西, 黃宏光, 李予東. 基于Kalman算法的網絡安全態勢預測方法[J]. 計算機仿真, 2010, 27(12): 113-116.

[10] 肖鑫. 基于Kalman算法的網絡安全態勢預測方法[J]. 煤炭技術, 2012, 31(11): 113-116.

Network Security Situation Prediction Based on Kalman Algorithm

ZHANG Dong

(Shengda Trade Economics & Management College of Zhengzhou, Zhengzhou Henan 451191)

Nowadays in China, Network have been embedded in people’s life and become to an indispensable part. But with the usage of network ‘s ways、scales and varieties grow, it is become tremendous and complex, the security has also become to an worried problem. The way that we use traditional methods to solve these security issues are not practical and applicative. In order to make a transformation, then we need to predict the network security situation, first of all, collect and integrate data, second of all, combine these data with factor that may influence the network, to establish a better network supervise system to improve its security, and make the factor that may threat people’s life go away. This paper is to predict the network security situation based on Kalman Algorithm.

Kalman algorithm; Network security; Network security prediction; NN; Prediction methods

TN915.08

A

10.3969/j.issn.1003-6970.2017.04.019

河南省科技廳科技攻關項目(122102210444)

張東(1988-)，男，河南鄭州人，助教、網絡工程師，研究方向為計算機網絡安全及算法分析

本文著錄格式：張東. 基于卡曼算法的計算機網絡安全態勢預測[J]. 軟件，2017，38（4）：104-107