基于分級優化置信規則庫的網絡安全態勢預測方法

胡慶爽,李成海,路艷麗,宋亞飛

(空軍工程大學 a.研究生院; b.防空反導學院,西安 710051)

0 概述

網絡作為信息傳播的主要載體已廣泛應用于生產和生活各方面,但由于其安全機制不完善,在給人們帶來便利的同時也存在安全隱患。因此,如何準確評價網絡狀態并提供有效的安全防護指導成為研究人員關注的熱點,網絡安全態勢預測(Network Security Situation Prediction,NSSP)由此應運而生。網絡安全態勢預測是基于所識別的攻擊活動及網絡態勢,對已出現與將出現的網絡攻擊行為所產生的危害和潛在威脅進行評估[1]。

隨著網絡安全態勢預測算法的不斷進步,網絡安全態勢預測已由根據研究人員的定性經驗知識或網絡數據進行預測發展為基于半定量數據(包含定性經驗知識與網絡中采集到的定量數據)進行預測[2],其中置信規則庫(Belief Rule Base,BRB)是基于半定量數據的典型模型之一。根據定性經驗知識建立初始的置信規則庫,采用負反饋方法進行參數優化,最終可得到較準確的基于置信規則庫的網絡安全態勢預測模型。文獻[3]提出利用MATLAB工具箱中Fmincon函數優化置信規則庫參數的方法,但在置信規則庫模型規模較大時優化速度較慢且不具備可移植性。針對該問題,文獻[4]提出基于遺傳算法的模型參數優化方法來提高優化算法的可移植性;文獻[5]提出基于改進粒子群算法的模型參數優化算法,在一定程度上提高了模型優化的速度和準確性;文獻[6]提出基于冗余基因策略的模型參數優化方法,可自動生成具有不同數量規則的BRB最優解。上述方法均為模型整體優化方法,在一定程度上可提高優化效率,但在訓練數據分布不均時模型預測準確性較低。對置信規則庫推理過程分析可知,置信規則庫中規則的作用范圍有限,且模型預測精度較低的區域通常位于未充分優化規則處。

針對上述問題,本文提出一種采用分級優化置信規則庫(Hierarchically Optimized Belief Rule Base,HOBRB)的預測方法。設定臨界值將規則劃分為可充分優化、可部分優化、不可優化3個等級,保留專家賦值的部分參數減少規則中待優化參數量,以避免在訓練數據較少時產生過擬合現象。

1 置信規則庫

1.1 置信規則庫的表示

置信規則由YANG等人[7]基于傳統IF-THEN規則提出,其引入分布式置信框架和權重參數,并以分布式置信度形式表示輸出結果。一系列置信規則構成置信規則庫,其中第k條置信規則表示為:

Then {(D1,β1,k),(D2,β2,k),…,(DN,βN,k)}

(1)

1.2 置信規則庫的推理

在置信規則庫推理過程中,使用證據推理(Evidential Reasoning,ER)算法[8-9]合成激活規則,并由此得到BRB系統的最終輸出。

1.2.1 激活權重計算

(2)

(3)

1.2.2 激活規則合成

利用ER解析算法對L條規則進行融合,計算公式為:

(4)

(5)

(6)

(7)

通過效用值將結果由置信度轉換為數值。設在評價等級Dj上效用值為μ(Dj)(j=1,2,…,N),則系統輸出S(x)的期望效用值表示為:

(8)

當評價不完整或不精確時,最大效用、最小效用和平均效用分別定義[11]如下:

(9)

(10)

(11)

1.3 置信規則庫的優化

由于研究人員對模型作用對象的認識可能存在誤差,造成初始置信規則庫精度不高,因此文獻[3]提出一種通過定量數據對置信規則庫參數進行優化的方法,將參數學習轉化為求解最優化模型,置信規則庫優化模型如圖1所示。

圖1 置信規則庫優化模型Fig.1 BRB optimization model

利用MATLAB工具箱中的Fmincon函數求解該模型,計算公式為:

min{ξ(P)}

s.t.0≤θk≤1,k=1,2,…,L

0≤δi,k≤1,i=1,2,…,M,k=1,2,…,L

0≤βi,k≤1,j=1,2,…,N,k=1,2,…,L

(12)

其中,P=(θ1,θ2,…,θL,β1,1,β2,2,…,βN,L,δ1,1,δ2,2,…,δL,M)為置信規則庫優化模型的參數向量,ubi和lbi分別代表第i個前提屬性參考值的上、下邊界值。目標函數可用平均絕對誤差(Mean Absolute Error,MAE)表示,表達式為:

(13)

2 本文網絡安全態勢預測方法

傳統BRB模型優化方法均假設規則的作用范圍為全局,優化目標函數設為模型相對全部訓練樣本的平均絕對誤差,通過導入訓練數據并利用負反饋方法進行全局優化。但由式(2)可知,輸入數據的每個前提屬性值可用相鄰一組或兩組參考值的置信度形式表示,因此模型推理中每組輸入只激活有限條規則,且每條規則的作用范圍有限。

2.1 BRB模型分級優化方法

以模型作用域中參考點為頂點的子域集合即該參考點對應規則的作用范圍,稱為規則作用域。在模型優化過程中,由于某些規則作用域中訓練數據較少造成規則訓練不充分,導致出現過擬合現象,因此應針對不同類型的規則采用不同優化訓練方法。本文提出的HOBRB模型建立步驟如下:

2)將訓練數據分配到對應規則作用區域,以訓練數據的前提屬性值組合(x1,x2,…,xM)為坐標,將訓練數據表示為模型作用域中的坐標點,根據坐標點的空間位置確定訓練數據所屬的規則作用域。將位于訓練子域邊界的訓練數據按照右側分配的原則分配到數值增大的規則作用域中。

3)為規則劃分等級。規則中包括規則權重、評價等級置信度、前提屬性權重等共C1個待優化的參數,其中C1=1+M+N。當規則作用域中訓練數據的數量大于C1時,由求解方程組過程中未知量與已知條件的關系可知規則參數存在唯一解,其可由求解最小值的方法求出,位于此等級的規則稱為可完全優化規則;當規則作用域中訓練數據的數量小于C1時,規則參數不存在唯一解,使用求最小值方法獲得的參數值容易使模型出現過擬合現象,此時可采用減少規則未知量的方法避免過擬合。規則中評價等級置信度用于表示規則點處的推理值,規則權重表示規則整體對作用域的影響程度,前提屬性權重表示規則中各前提屬性的相對重要性,規則權重與前提屬性權重與不同規則之間或規則參數之間的相互關系有關。一般情況下,專家對評價等級置信度賦值的精度較高,對規則權重與前提屬性賦值的精度相對較低,因此設立臨界值C2=1+M。當規則作用域中訓練數據的數量小于C2且大于C1時,將待優化參數調整為規則權重與前提屬性權重,處于該等級的規則稱為可部分優化規則;當訓練數據數量小于C2時,不再對規則進行優化,位于此等級的規則稱為不可優化規則。上述情況具體表示為:

(14)

其中,C(k)為第k條規則需優化參數的數量,nk為第k條規則作用域中訓練數據的數量。

4)分級優化置信規則庫提取所有已分級規則中待優化參數作為模型優化參數,以模型輸出與實際輸出的最小差值作為目標函數,利用粒子群算法優化模型參數,計算公式為:

min{ξ(P)}

s.t.0≤θk≤1,C2≤C(k)

0≤δi,k≤1,C1≤C(k)

0≤βi,k≤1,C2≤C(k)

(15)

2.2 基于HOBRB的網絡安全態勢預測

網絡安全態勢變化具有規律性,在一定程度上可反映出攻擊者的意圖,通常采用時間序列方法預測網絡態勢。基于分級優化置信規則庫的網絡安全態勢預測由研究人員根據經驗建立初始置信規則庫模型,再分級優化置信規則庫,具體過程如圖2所示。

圖2 基于HOBRB的網絡安全態勢預測流程Fig.2 Procedure of the network security situationprediction based on HOBRB

3 實驗與結果分析

網絡安全態勢預測作為網絡安全態勢感知的第3個階段,需借助網絡安全態勢評估[10-12]生成所需的網絡安全態勢值。本文以某小型辦公網絡為實驗對象驗證本文方法的有效性,并與其他網絡安全態勢預測方法進行對比來綜合評價本文方法的效果。

3.1 數據獲取

本文實驗網絡環境如圖3所示。其中,網絡安全評估設備用于識別網絡違法行為并評估網絡安全態勢。網絡安全態勢評估周期為1天,記錄實驗網絡連續運行103天的網絡安全態勢值構成網絡安全態勢預測時間序列,如圖4所示。

圖3 本文實驗網絡環境Fig.3 Experiment network environment ofthe proposed paper

圖4 網絡安全態勢序列Fig.4 Network security situation sequence

采用滑動窗口的方法[13](窗口處為1個時間段(連續的4天),窗口每次向后滑動1天)生成100組樣本數據(網絡安全態勢值)。選取前90組樣本數據作為訓練集,后10組樣本數據作為測試集。樣本中輸入部分為前3個時間段的網絡安全態勢值x(t-2)、x(t-1)和x(t),輸出部分為后1個時間段的網絡安全態勢值x(t+1)。部分樣本的輸入和輸出如表1所示。

表1 部分樣本的輸入和輸出Table 1 Input and output of partial samples

3.2 HOBRB模型建立

網絡安全態勢的取值范圍為[0,1],由于網絡安全狀態較差時會造成網絡癱瘓無法運行,且通常網絡中不存在絕對的安全狀態[14],因此本文將網絡安全態勢取值范圍設置為[0.15,0.80]。網絡安全狀態分安全(S)、低危(L)、中危(M)和高危(H)4個等級[15],用態勢參考值表示為[0.15,0.36,0.47,0.80]。將置信規則庫的輸入屬性數量設置為3,建立初始置信規則庫。

將置信規則庫模型的作用域映射到三維空間,劃分規則作用域并將訓練集數據分配到對應的規則作用域,訓練集數據分布情況與模型中各規則的激活狀態如圖5所示。可以看出,訓練樣本在模型作用域中間部位分布較密集,而在邊緣部位分布較稀疏。位于模型作用域中間部位的規則大部分處于可完全優化等級,位于模型作用域邊緣部位的規則大部分處于可部分優化等級或不可優化等級。經統計可知,可完全優化等級包含39條規則,可部分優化等級包含10條規則,不可優化等級包含15條規則。使用分級優化方法后置信規則庫的部分規則參數如表2所示。

圖5 訓練集數據分布與模型中各規則的激活狀態Fig.5 Data distribution of training set andactivation state of rules in the model

表2 分級優化置信規則庫的部分規則參數Table 2 Partial rule parameters of HOBRB

3.3 性能對比

為綜合檢驗本文方法,分別建立基于初始置信規則庫(初始BRB)、基于遺傳算法[16-18]優化置信規則庫(Genetic Algorithm Optimization Belief Rule Base,GAO-BRB)與基于粒子群[19-20]優化置信規則庫(Particle Swarm Optimization Belief Rule Base,PSO-BRB)的網絡安全態勢預測方法,將上述3種方法與本文提出的HOBRB方法對訓練集數據的擬合程度、對測試集數據的預測精度以及訓練時間進行對比。各方法所得訓練集數據的擬合程度、測試集數據預測精度及其綜合性能的對比情況分別如圖6、圖7和表3所示(表3中“—”表示未參與訓練)。

圖6 不同方法對訓練集數據的擬合程度對比Fig.6 Comparison of fitting degree of training set datafrom different methods

圖7 不同方法對測試集數據的預測精度對比Fig.7 Comparison of prediction accuracy of test set datafrom different methods

表3 不同方法的綜合性能對比Table 3 Comprehensive performance comparison ofdifferent methods

由上述模型的對比情況可知:優化過的BRB方法對訓練集數據的擬合程度和測試集數據的預測精度整體上均優于初始BRB方法;遺傳算法易陷入局部最優導致GAO-BRB方法無法求得最優解且容易出現過擬合現象;變速粒子群優化算法能改善粒子群算法的性能,相對遺傳算法優化速度更快,且能有效避免算法求解時陷入局部最優,但由于訓練集數據分布不均,因此導致PSO-BRB方法預測精度分布不均,并存在過擬合現象;分級優化算法受限于變速粒子群算法精度,對訓練樣本的擬合程度與PSO-BRB方法相當,但由于分級優化算法將規則劃分為幾個等級進行訓練,避免部分無法充分訓練的規則參數的更改,可有效避免HOBRB方法出現過擬合現象,對測試集數據具有較好的預測精度,且分級優化算法中待優化參數量更少,可在一定程度上減少優化時間。

由于網絡安全態勢序列利用現有的網絡安全態勢評估工具[10-12]獲取,不可避免存在測量誤差,且由于存在網絡攻擊對象不確定性與攻擊對象行為主觀不確定性,因此網絡態勢預測誤差無法消除。然而網絡態勢變化在統計上存在規律性,在整體上表現出可預測性,通過將研究人員的定性經驗知識與網絡中采集的定量數據相結合可取得良好的預測效果,為網絡安全維護與升級提供參考。

4 結束語

本文針對訓練數據分布不均造成網絡安全態勢預測精度較低的問題,提出一種利用分級優化置信規則庫的預測方法。根據規則作用域中訓練數據量與規則待求解參數量的關系劃分規則優化等級,對置信規則庫進行分級優化,在此基礎上建立網絡安全預測模型生成網絡安全態勢值。實驗結果表明,該方法能有效避免因訓練數據分布不均造成的預測精度下降,較GAO-BRB、PSO-BRB等預測方法的網絡安全態勢預測精度更高。后續將改進本文離子群參數優化算法,進一步提高訓練效率與預測精度。