基于BAYES網絡安全態勢評價模型的研究

劉滔

(湖南石油化工職業技術學院 發展規劃處， 湖南 岳陽 414012)

0 引言

隨著經濟的發展，互聯網技術得到了快速的推廣和普及，人們利用互聯網技術享受便利的同時，也受到了互聯網潛在安全隱患的威脅。互聯網網絡安全態勢具有不確定性，所以在感知網絡安全態勢的基礎上進行保障網絡的正常運行是十分必要的。目前，專家學者對網絡安全態勢的研究處于發展階段，有些學者利用傳感器獲取的參數對網絡安全狀態進行感知，建立評價模型，但該模型所用的參數需要針對不同網絡的實際環境充分考慮[1-2]。部分學者利用神經網絡算法對網絡安全態勢進行預測，但建立的模型未充分考慮模型預測的準確度[3]。還有學者利用多級殘差修正模型的網絡風險值，預測網絡的安全態勢，但模型的復雜度考慮不全面[4]。也存在一些學者分析了網絡的流量狀態，但僅從流量角度的安全態勢感知仍然需要深入研究[5-6]。

綜上所述，目前對網絡安全態勢的感知仍未足夠細化，而貝葉斯網絡可以細化影響網絡安全態勢的各個指標，因此本文建立基于BAYES的網絡安全態勢評價模型。首先，層次化處理影響網絡安全態勢的各項指標，其次計算后驗概率，將底層指標向上逐漸融合，最后對網絡空間整體安全態勢進行評價。

1 網絡安全態勢評價模型

在網絡空間中可將網絡態勢分成態勢的識別、態勢的發展和態勢的映射三個層次，其中態勢的識別主要是對網絡安全中異常的參數數據所存在的安全隱患進行識別的過程；態勢的發展主要是進一步判斷態勢的發展情況；態勢的映射是量化并判斷態勢的風險情況或隱患情況是否會對當前的網絡狀態產生攻擊。

模型整體流程為：首先，獲取網絡的配置、以及網絡在實際運行過程中的多種參數，作為后期網絡安全態勢識別的基礎；其次，對數據進行初步處理、建立態勢的識別模型、獲取網絡信息；最后，利用映射方法將網絡安全態勢可視化，并對安全態勢的程度進行評定。

2 貝葉斯網絡模型

貝葉斯網絡整體是利用有向無環狀的圖示描述各個屬性的相互復雜關系，并計算整體的概率分布情況。貝葉斯網絡可用B=的形式表示,其中，G表示有向無環圖，主要包括，V代表屬性節點;A代表連接屬性的邊。集合可看做為{Vi}。O表示條件概率集合，O可以利用定量的方式表示屬性節點的關系，若節點Vi在父節點的集為Qi，可知O的條件概率為OVi|Qi=OB(Vi|Qi)。

3 基于BAYES的網絡安全態勢評價模型

結合安全態勢評價模型和貝葉斯網絡模型，建立基于貝葉斯的網絡安全態勢評價模型。首先，分析網絡運行的實際情況，識別影響網絡安全的主要因素，進行分類和評定，構建多級多層的網絡結構；其次，利用貝葉斯方法將影響因子指標從下至上逐漸融合，若逐漸融合的過程中出現變量連續化的問題，利用連續屬性概率離散密度公式計算，最終評定整體的安全態勢。

3.1 指標體系的選取

網絡安全態勢的評估需要選取敏感性的、關鍵的指標體系進行評價，指標體系的選取原則包括危險敏感性和普遍適用性。危險敏感性是能夠通過該指標反映出會對網絡安全的整體造成傷害的程度；普遍適用性是能夠反映網絡的基本狀態。由此，整理網絡安全態勢影響指標，將指標分為基本信息、流量情況、攻擊情況、漏洞情況、設備裝置五大類。如表1所示。

表1 網絡安全態勢影響指標

3.2 建立多級多層的指標

不同的指標對網絡安全態勢的影響程度不同，所以將指標進行分級分層處理，遵循影響程度指向原則進行分類。分析可知，攻擊和漏洞類別對網絡安全態勢的影響較大，基本信息和設備裝置對網絡安全態勢的影響次之。因此，將對安全態勢影響程度較小的指標分布于層級較低的位置，將對安全態勢影響程度較高的指標分布于層級較高的位置。多層多級指標如表2所示。

表2 多層多級指標結構

3.3 指標融合

利用各個屬性作為隨機變量建立貝葉斯網絡。首先，利用專家知識和相關經驗建立貝葉斯網絡；其次，計算概率并修正貝葉斯網絡；最后評判安全態勢。

設數據集為D，D=(d1，d2，d3，…，dn)是變量的觀測值，將G設為有向無環圖，其余變量可看做為參數值，將O(G)來表示關于G的先驗知識，由此可知修正函數為式(1)。

logaO(G,D)=logaO(D|G)+logaO(G)

(1)

其中，O(G)表示均勻的結構先驗分布，O(D|G)看作為邊緣似然函數為式(2)。

(2)

(3)

模型算法的具體流程如下。

Step1：將樣本中的數據分為連續和離散，分成連續數據集和離散數據集；

Step2：利用概率密度函數對連續數據集進行離散化處理；

Step3：將離散數據集和連續數據集重新組合，構成新的數據集；

Step4：進行指標分類；

Step5：將指標從底層向上融合；

Step6：評估網絡安全態勢。

4 實驗結果分析

在實驗過程中，利用 KDD-CUP99網絡入侵檢測數據集。同時將數據集分為訓練數據和測試數據兩部分。利用文中建立的影響網絡安全態勢分層分級模型對數據分類歸化并分析，由此判斷影響指標的分布，訓練數據集包括的標識類型如表3所示。

表3 標識類型

指標影響分布如表4所示。

通過指標影響分布結果可知：在網絡運行中，大多數網絡行為是正常進行的，處在常態化的網絡運行環境中，但是仍然存在少數的網絡攻擊行為。

表4 指標影響分布表

同時，可通過時序角度分析網絡安全態勢指標整體情況，在數據集中以周為單位整理網絡入侵數據，利用本文模型分析得到的安全態勢指標評估結果如表5所示。

表5 安全態勢評估結果表

實驗結果可知：從時序的角度看，網絡態勢在周五、周六、周日變化較大，在周一、周二、周三、周四變化較小，并且網絡態勢的整體呈現上升的趨勢。利用安全態勢評估的結果可以對日常每天的網絡安全態勢等級進行預報，輔助網絡工作的管理者進行日常管理。同時，利用時序數據結合實際情況，針對傳統的網絡態勢感知模型和基于貝葉斯的網絡態勢感知模型進行對比分析，可知基于貝葉斯的網絡安全態勢感知模型的安全感知效果較好，有效提高了網絡安全態勢感知的可靠性，如圖1所示。

圖1 模型效果對比分析

4 總結

本文通過對網絡安全隱患的分析，建立基于貝葉斯網絡的安全態勢評價模型，采用分層分級的方法利用貝葉斯網絡從底部指標逐漸向上融合，對安全態勢進行評價。得到結論如下：

(1) 模型在應用的過程中，可以對日常網絡安全態勢評價，便于網絡人員管理者的日常管理，實現精準的網絡安全態勢提醒。

(2) 模型相較傳統的網絡安全態勢感知，模型的評價效果較好，能夠有效、精準的感知網絡環境中的安全態勢情況，提高安全態勢感知的可靠性、有效性。