灰色關聯(lián)模型的網絡安全態(tài)勢感識預測方法

余 建， 林志興， 謝 彬

(1. 三明學院 現代教育技術中心， 福建 三明 365004； 2. 武夷學院 信息技術與實驗室管理中心, 福建 南平 354300)

0 引 言

隨著信息化應用的不斷深化，各種網絡攻擊事件也層出不窮，同時，云計算、物聯(lián)網、大數據、移動支付等大量新技術和新興IT事物的變革正深刻地影響著網絡世界。在這種發(fā)展背景下，虛擬網絡世界中所面臨的安全威脅和挑戰(zhàn)也正等著我們去應對。在部署大量網絡安全設備的同時，卻未對現有的安全設備進行深度融合，往往對未來的安全態(tài)勢無法預判，導致網絡安全系統(tǒng)的可靠性大大下降。

國內外在網絡安全態(tài)勢感知方面正做著積極的研究。Bass提出了網絡安全態(tài)勢的概念[1]，將網絡安全要素獲取、理解、顯示及預測未來的過程定義為空間態(tài)勢感。安全態(tài)勢目前包括:態(tài)勢要素的提取、態(tài)勢評估、態(tài)勢的預測[2-3]。態(tài)勢要素提取通過信息增益設置權值，獲得關聯(lián)性強的態(tài)勢因子將威脅網絡安全的數據分類，然后在由網絡安全態(tài)勢評估技術按照不同攻擊種類的重要程度加權平均得出網絡安全態(tài)勢值[4]。數據收集一定時間后，根據對相關數據的評估和分析，就可以創(chuàng)建網絡安全態(tài)勢預測模型。相對而言，由于安全態(tài)勢預測可以提早讓用戶較為及時地制定網絡安全防御體系，比起要素提取和態(tài)勢評估環(huán)節(jié)更尤為重要。本文中我們著重解決的就是網絡安全態(tài)勢預測問題。目前，已經有很多預測模型用于網絡安全態(tài)勢預測，例如GA-BP 預測模型[5]、CMA-ES 算法優(yōu)化網絡安全態(tài)勢預測模型[6]、APDE-RBF神經預測方法[7]、面向多步攻擊的網絡安全態(tài)勢評估模型[8]以及基于流的網絡安全態(tài)勢感知預測模型[9]、卡爾曼熵值模型的估計方法[10]等，以上預測模型考慮的攻擊行為較為單一隱含，實施過程中約束條件較大，且實用性較弱，不適用于動態(tài)性高、網絡結構相對復雜的網絡系統(tǒng)。

鄧聚龍?zhí)岢鲆环N灰色模型(Gray Model)[11], 利用較少的或不確切的表示灰色系統(tǒng)行為特征的原始數據序列作生成變換后建立的，用以描述灰色系統(tǒng)內部事物連續(xù)變化過程的模型，稱為灰色模型，簡稱GM模型。本文提出一種基于灰色關聯(lián)[12]的安全態(tài)勢感知預測方法，利用改進的GM(1,N)理論建立了安全態(tài)勢預測模型。通過對校園網中異常流量的收集，并將安全數據進行關聯(lián)分析，得到了下一個時間段的安全態(tài)勢因子，從而實現對系統(tǒng)安全潛在的威脅進行預警提示。

1 安全態(tài)勢預測GM(1,N)模型

針對安全態(tài)勢所要求的準確性高，而網絡攻擊又存在的時間的隨機性、目的性強、破壞性大等特點，本文提出了一種基于灰色關聯(lián)的安全態(tài)勢感知預測方法模型。假設在盡可能短時間段t內，從安全態(tài)勢感識數據中選取一個安全態(tài)勢序列，作為安全態(tài)勢感知預測模型的原始輸入數據序列，標記為

s(0)=(s(0)(1),s(0)(2),…s(0)(n))

s(0)(t)≥0,t=1,2，…，n

(1)

1.1 基于GM(1,N)的安全態(tài)勢感識預測模型算法

設安全序列集S=(s0,s1,…，sn)，F為S的數值映射集，s為S像集的灰色安全態(tài)勢感知關聯(lián)因子；S為灰關聯(lián)因子集，s0∈s為參考列，sj∈s為比較列，j=1,2,…,m。具體如下：

r(s0(k),sj(k))=[jminkmins0(k)-sj(k)+

(2)

(3)

(4)

則GM(1,N)的最小二乘估計參數滿足

(5)

在灰色理論論中，定義GM(1,N)模型為：

(6)

k=2,3,…，n

由式(4)可得GM(1,N)的白化方程為：

即

ds(1)(t)/dt+as(1)(k)=b

(7)

(8)

(9)

k=2,3,…,n

時間響應式為：

(10)

即：

(11)

1.2 GM(1,N)算法的改進

GM(1,N)模型可以根據網絡中的網絡流量、端口連接數等各主要因素來判斷網絡是否遭受攻擊，因此該模型在相關安全領域得了較廣的應用。但由于目前網絡安全的復雜性，例如APT、DDOS、端口掃描等多維度攻擊[13]，而GM(1,N)模型預測存在不需要大量樣本，計算工作量小等缺點，因而得到的預測結果與實際的結果存在較大的誤差。

灰色模型是根據相對固定的數據對未來的數據進行預測，但影響預測的通常只是離預測值較近時間段的數值，由于網絡的流量值一直是一個動態(tài)的不斷變化的數值，如果用傳統(tǒng)的灰色模型預測，預測的數據只能反映較為單一的趨勢[14]。因此，應用等維灰度遞補的思想，本文提出了一個基于動態(tài)的等維GM(1,N)模型，利用網絡攻擊中存在較大數據的特點，采用動態(tài)等維[15]GM(1,N)模型來預測大量實時的數據替換較早的數據。以此類推，直到得到預測目標，以提高網絡態(tài)勢感知預測的精確度。具體如下：

(1) 對原始序列做一次累加：

(12)

i=1,2,…,n；t=1,2,…,m

(2) 根據所得原始數據，建立不同維度的GM(1,N)模型，其中：

(13)

(14)

(4) 求得GM(1,N)模式的近似時間響應式：

(15)

(5) 累減還原后得到預測模型:

(16)

(7) 重復以上計算步驟，通過對比不同維度GM(1,N)模型預測未來網絡安全態(tài)勢。

(8) 將改進的GM(1,N)模型按關系進行進一步誤差檢驗，其精度為：

(17)

k=2,3,…,n

(18)

按

(19)

1.3 安全態(tài)勢生成算法

從灰色模型的研究中可以得到灰色關聯(lián)的網絡安全態(tài)勢感知預測方法,主要有以下步驟：

pre=GM 1N(x0)

s0=s0(:);

n=length(s0);

fori=1:n-1

G(i,1)=-(x1(i)+x1(i+1))/2;

G(i,2)=1;

end

Z1=s0(2:end);

belta=pinv(G′*G)*G′*Y;

a=belta(1);

對于社會服務方面，高校應積極為社會經濟發(fā)展提供智庫服務。從社會經濟發(fā)展的具體需求著手，重點關注社會經濟發(fā)展中面臨的重大理論問題和其他實際問題，進行針對性和前瞻性的研究工作，以主動參與到決策咨詢中去。通過高質高效的研究成果，為政府部門的決策和規(guī)劃提供理論支撐，為社會輿論的發(fā)展提供指導依據。

b=belta(2);

%predict

s_pre1=zeros(n,1);

s_pre=s_pre1;

fork=0:n-1

s_pre1(k+1)=(s0(1)-b/a)*exp(-a*k)+b/a;

end

fork=1:n-1

s_pre(k+1)=s_pre1(k+1)-s_pre1(k);

end

本算法主要用來計算根據灰色理論建立的模型的預測值，應用的是數學模型GM(1,N)。原始數據的處理方法是一次累加法。

2 實驗與性能對比

2.1 實驗分析

為了驗證該方法，采集了某大學2018年1～3月校園網中IPS和網絡出口流量的數據，其中出口設備為一臺銳捷的NPE60，通過對入侵防御系統(tǒng)(IPS)、WAF、NF對網絡的流量監(jiān)控，對本網的網絡安全態(tài)勢做出相關預測，本文實驗的網絡安全拓撲圖如圖1所示。

圖1 某大學數據中心網絡安全系統(tǒng)實驗拓撲圖

當一個局域網遭攻擊時，可以通過異常流量指數、系統(tǒng)脆弱性指數、APT攻擊指數、網站安全指數、網絡攻擊指數[16-19]等因素來判斷其攻擊的嚴重性。如異常流量指數，同一個局域網內，在不同時間段內存在不同的流量指數，但對于整體層面及長時間的流量觀察來看，不同時間段的上網流量也存一定的規(guī)律性，例如，調取某高校數據中心的流量監(jiān)控圖(見圖2)可以觀測到，除了8:00～9:00、23:00～24:00、1:00～1:30這3個時間段流量異常外，其余時間段網絡流量都相對穩(wěn)定正常。這就可以利用具有相似流量態(tài)勢的觀點來預測下一個觀測點。當出現異常情況下，如網絡遭受DDOS攻擊時，就可以通過某些特殊時間段上的異常流量點來做安全態(tài)勢感識預測。

圖2 某高校數據中心實際流量監(jiān)控圖

為了驗證該算法的可靠性，抽取了某大學2018年1月某天T0→T5(取值為7:00～12:00)時間段的運行服務情況，每個時間段分別以1 h為單位，現假設觀察了8:00～12:00期間5個時間點的異常流量值，12:00～13:00期間的T5點未觀察，為了預測T5點的流量值，先進行T5點與其他點進行關聯(lián)分析，關聯(lián)度為r51=0.61，r52=0.62，r53=0.58，r54=070，r56=0.86建立GM(1，N)模型，其方程式為：

(20)

根據式(19)，可得T0→T4時間段內網絡安全態(tài)勢情況表，如表1所示。

表1 不同時間段內的安全態(tài)勢

結合白化方程式和相應時間響應式(7)和(11)可得相應的安全態(tài)勢預測模型數值：

(21)

(22)

最后根據式(16)，預測下一個時間段T5的網絡安全態(tài)勢值為86.1。

2.2 誤差檢驗

文獻[20]中給出了一種灰色理論的網絡安全態(tài)勢模型的誤差檢驗方法，具體表達式為：

(23)

模擬值可得殘差

(24)

最后可得相對誤差Δt和平均相對誤差Δ，分別記為：

表2 誤差檢驗表

由式(26)可得到其平均相對誤差為3.9122%，預測的精度大于96.4%，預測值較高。

表3中所示為DDOS、APT攻擊和端口掃描等不同掃描類型的網絡攻擊采用灰色關聯(lián)模型的預測值與實測值之間的誤差分析結果。從表3得到安全態(tài)勢值隨不同攻擊類型變化的柱狀圖(見圖 3)。結合表2、表3和圖4可以看出，安全態(tài)勢值在GM模型應用中，最大相對誤差為5.518%，平均相對誤差為4.293%，基于GM(1，N)模型對安全態(tài)勢值的預測能夠得到誤差較小的結果，且預測精度較高。

表3 灰色關聯(lián)模型中不同攻擊類型的實測值與

圖3 不同攻擊類型中的GM(1,N)預測值和實測值對比圖

圖4 GM(1,N)算法的流量基線值及預測值

2.3 系統(tǒng)性能測試

2.3.1性能驗證

為了證明灰色關聯(lián)模型的預測能力高于其他算法,本文利用一種異常流量檢測的思路，利用tcpdump抓包下來的信息計算其檢測概率和誤報概率，并通過對其他算法的預測對比，從而驗證了GM(1,N)算法的先進性。

用流量檢測概率PD與誤報概率PF檢測算法的性能：

(28)

(29)

圖4為GM(1,N)算法的流量基線值及預測值，假設實驗拓撲中數據中心訪問的流量200 MB為測試的固定基線，不同時段的動態(tài)流量也不一樣，利用動態(tài)基線的變化從而來預測其流量值，當某個時間段的異常流量突然變動較大，那網絡中極可能出現被攻擊行為，利用本文算法，即可預測其網絡的安全態(tài)勢值。

2.3.2算法性能對比

從圖5可以看出，本文方法預測精度最高,其他方法都有不同程度的誤差。文獻[6]中主要通過基于APDE-RBF神經網絡的網絡安全態(tài)勢預測方法，用AP聚類得出種群差異度,自適應地改變DE算法的縮放因子和交叉概率,對RBF的寬度和連接權值進行優(yōu)化；文獻[7]中通過面向多步攻擊的網絡安全態(tài)勢評估方法對網絡中的安全事件進行場景聚類以識別攻擊者。其攻擊的范圍都較小，未體現出預測時間段的不確定性和識差值。在表4中，灰色關聯(lián)模型的檢測率為0.85%，誤警率為16%，兩項指標均優(yōu)于其他算法，再由平均誤差值可以看出本文方法的預測值在3.912%，比其他兩個算法誤差值都低，相對精確度也更高，優(yōu)勢較為明顯。

圖5 不同算法態(tài)勢值預測的對比

方式灰色關聯(lián)模型文獻[5]文獻[6]安全態(tài)勢值86.183.6575.69PD/%0.850.8120.73PF/%162530平均誤差值/%3.9124.5846.895

3 結 語

隨著國家對網絡空間安全重視度越來越高，網絡安全態(tài)勢感知系統(tǒng)研究也已開始成為一個熱門課題。如何建立一個安全的網絡防御體系，盡早預判黑客惡意的入侵攻擊行為，對于一個發(fā)展中的大國來說具有非常重要的意義。本文采用基于改進后的GM(1,N)算法建立了灰色關聯(lián)的網絡安全態(tài)勢感知模型，并通過該模型的性能驗證，證明該方法能有效的預測未來網絡安全態(tài)勢，預測精度較高。下一步工作，將融合更多的安全防御體系，通過網絡安全態(tài)勢等級的劃分對預警級別進行分類，不斷完善網絡安全態(tài)勢感知系統(tǒng)。