混合多層結構化網絡攻擊態勢預測算法仿真

張 曼

(西北政法大學，陜西 西安 710100)

1 引言

混合多層結構化網絡攻擊態勢預測算法是網絡安全主動防御的核心，該預測算法在網絡風險評估與分析中起到關鍵性作用。網絡攻擊防范技術逐漸從被動防護演變為主動防御。根據網絡攻擊態勢[1]可了解網絡當前攻擊形勢，并對未來一段時間內的網絡攻擊形式進行預測，能夠在網絡遭受攻擊前，采用適當的措施對其進行防范，所以網絡攻擊態勢的精準預測對維護網絡安全起到關鍵作用。

傳統的預測方法以時間序列檢測法[2]為主，但網絡攻擊存在變化大及非線性的特點，針對于這些特點，時間序列方法還不能夠準確解決，但隨著人工智能不斷地發展與完善，研發了多種網絡攻擊態勢預測方法，例如：神經網絡[3]、支持向量機[4]、馬爾科夫鏈[5]，這些預測方法雖然有較高的預測精度，但經大量的實驗結果表明，它們都含有一些弊端。神經網絡存在參數選取困難、網絡數據收集速度慢，容易局限于最小點，導致預測結果易出現過擬合的狀況；支持向量機的預測算法雖解決了神經網絡過擬合的狀況，但其參數選擇沒有理論指導，使客觀性較低，導致在參數的樣本較大時，訓練速度減低；馬爾科夫鏈對于預測模型的完成還不夠精確，需要用到多種公式求導，計算起來比較困難且消耗時間。所以，想要實現網絡攻擊態勢的預測并具有魯棒性，就要對參數進行優化[6]。對此，提出一種遺傳算法[7]與支持向量機相結合的網絡攻擊態勢預測算法。遺傳算法通過全局搜索對支持向量機進行參數優化，然后利用支持向量機算法對網絡攻擊態勢進行預測，最后根據仿真對預測算法精度進行檢驗與分析，實驗表明該網絡攻擊態勢預測方法具有準確性與時效性。

2 網絡攻擊態勢評估指標選取

依據系統內攻擊狀況，選取態勢指標，網絡態勢反映了當前受到攻擊的狀況以及攻擊發展變化趨勢。

網絡攻擊指標一般有兩種方式：①根據貝葉斯方法[8]對報警數量的增減程度進行預測，也就是根據安全設備報警數量累加，從而得到的指標；②綜合評定指標的衡量標準是由網絡風險相關因素決定的，比如網絡攻擊的報警次數、嚴重程度以及涉及到的資產價值，然后抽取某一時間段的報警數據，選擇合適的相關模式檢測入侵設備，最后獲得指標。在處理混合多層結構化網絡攻擊態勢上，應選取第二種網絡攻擊指標，同時考慮到ISO17799對網絡風險判定，本文采用層次分析法[9]求出網絡攻擊態勢評估指標。

在主機入侵監測設備中，將監測出的報警信息作為數據源加以分析，主要分為網絡報警、告警日志以及代理報警三部分信息。網絡報警指主機網絡數據包測試報警，包括IP包登錄、攻擊嗅探檢測等形式；告警日志包括登錄、注銷、遠程監控等形式；代理報警包括注冊表、制定文件、木馬等監控形式。網絡攻擊態勢指標模型如下所示：

圖1 網絡攻擊態勢指標模型

通過目標層、設備層、準則層、指標層依次表示攻擊態勢評估目標、資產價值特點、報警類型以及等級分配。完成了網絡態勢評估指標后，根據層次分析法建造判別矩陣，一次性測驗層次單、總排序，獲取指標層目標權重，表示方法為R1～R24。N1～N24表示分類統計的數據源，根據式(1)計算，可以得到最終網絡攻擊態勢評估指標值E。

E=N1×R1+N2×R2+N3×R3+…+N24×R24

(1)

3 網絡攻擊態勢預測算法及實現

3.1 支持向量機參數優化

支持向量機是目前應用非常多的一種非線性預測技術，大量的檢測分析表明，支持向量機能夠處理極其復雜的非線性問題，更能體現出算法的超高性能。

因為網絡攻擊態勢值波動頻率較大，所以會影響支持向量機的計算速度，對此，將重構數據帶入到模型中學習并對其進行歸一化處理[10]，如式(2)所示

(2)

網絡攻擊態勢數據會在每一段時間監測點對應一個網絡態勢值，這種方法叫做一維時間序列，利用拓階法可變成多維時間序列，比如，一維時間順序組為{x1，x2，…，xn}，設定最優維數為m，完成后的多維時間序列為{x1，x2，…，xm}，時間點為m+1，網絡態勢值為xm+1，然后進行預測，從而得到的多維時間序列{x1，x2，…，xm+1}，以此類推，最終得到多維時間序列，如表1所示。

表1 多維時間序列

由此網絡攻擊分為訓練集與測試集，前者基于支持向量機對網絡攻擊態勢加以預測，后者預測準確度。

支持向量機用來解決預測的基本算法如下：

設有網絡攻擊態勢的觀測樣本：{(x1，y1)，…，(xn，yn)}，其中xi表示網絡攻擊態勢的輸入向量，yi表示網絡攻擊態勢的輸出值，n表示實驗采集的樣本數量。支持向量機預測是由一種非線性映射φ函數，將網絡攻擊態勢的輸入向量xi投放到多維空間H，然后在多維空間內進行線性預測，如式(3)所示

(3)

其中，ω代表支持向量機超平面的權值向量，b代表偏置量。

所以，支持向量機預測就是在上所述的基礎上進一步完善計算方法，展現統計學習理念核心思想，降低計算誤差，簡化計算步驟，獲取小期望風險[11]。泛化能力提高預測表達式如式(4)所示

(4)

制約下述風險函數條件為式(5)所示

(5)

(6)

利用拉格朗日函數和對偶原理，將非線性預測問題轉變成一個線性問題，如式(7)所示

(7)

由KKT條件以及式(4)的對偶性算出支持向量機預測問題，如式(8)所示

(8)

式中，k(x，xi)代表支持向量機函數，主要對高維特征空間的內積進行概述。高斯核函數的性能要優于其它核函數，所以在選擇支持向量機核函數上會采用高斯核函數，其定義如式(9)所示

(9)

風險函數條件如式(10)所示

(10)

基于此，推導出支持向量機預測模型的表達式如式(11)所示

(11)

式中，σ代表徑向基函數。高斯核函數作為支持向量機的核函數，其預測算法需要優化的參數為ε、c和σ。將ε的值定為0.06，c為不限定控制因子，由設置σ的值為0.2來完成預測。

一般的支持向量機參數會選擇經驗分析法、列舉法和網絡信息檢索法，經驗證分析法中的參數性能和準確度不高，列舉法和網絡信息檢索法應用起來比較繁瑣，消耗時間，所以要想增強網絡攻擊態勢預測的準確度，就要完成參數的優化。遺傳算法是根據生物界進化規律發展而來，含有對全局搜索的特征，對于數據的求導沒有限制性。并能主動識別優化范圍，具有較高的時效性。通過遺傳算法的這些特點，對支持向量機的參數ε、c和σ進行優化。

3.2 網絡攻擊態勢預測算法實現

網絡攻擊態勢預測分為訓練模塊以及預測模塊兩部分，在訓練模塊中，基于網絡攻擊次數，對支持向量機加以訓練，保證預測算法精準性，在獲取精準的預測模型后，通過統計數據預測網絡攻擊態勢[12]。

1)由訓練模塊完成準確的預測需要分為以下幾個階段；

第一階段：需要先傳輸數據來設定多組時間序列，同時根據此時間序列確定時間限度。

第二階段：反復使用數據庫讀取模塊與評估模塊，將時間序列中的每一項進行合計，完成每項態勢評估后，根據評估值將時間序列分別輸入到各組List中。

第三階段：通過把預測訓練模塊傳輸到各組List中，來生成預測模型。

圖2 訓練模塊結構

2)預測模塊會通過最近時間段內的網絡攻擊數據，并采用支持向量機算法對網絡攻擊態勢進行預測。

該模塊實現網絡攻擊態勢的預測算法需要分為以下幾個階段；

第一階段：由傳入數據來設定每項預測時間序列和時間范圍。

第二階段：反復使用數據庫讀取模塊與評估模塊，從而完成時間序列的架設。

第三階段：通過采用第二階段計算后的結果，基于攻擊態勢預測模塊完成預測過程。

第四階段：用顯示模塊來顯示攻擊態勢預測結果。

3.3 網絡安全態勢預測流程結構

綜上所述，網絡安全態勢預測流程如圖3所示：

圖3 網絡安全態勢預測流程

4 實驗結果與分析

4.1 實驗數據收集

為檢驗預測算法的可行性，選取實驗基地作為檢測環境。基于局域網互聯網，此局域網包含一臺Wep服務器、一臺FTP服務器、10臺PC和2臺攻擊模擬機。實驗設備以及參數信息如表2所示。

表2 實驗參數信息

4.2 實驗結果分析

通過最優輸入權值、隱含層閾值，重構訓練集，建立安全態勢預測模型，獲取預測誤差變化曲線。其中誤差的計算公式為：

(12)

式中，yk是網絡安全態勢的實際值，y′k是預測值，n是預測個數。

圖4 安全態勢值與預測誤差的變化曲線

由上圖所示，預測值與網絡安全態勢的實際值十分吻合，預測誤差很少，表明混合多層結構化網絡攻擊態勢預測算法可以很好刻畫擬合網絡安全態勢變化趨勢，是一種有效的網絡安全態勢預測模型。主要原因在于所提方法采用支持向量機預測完善計算方法，獲得一個小的期望風險，這樣可以提高預測的泛化能力，降低實際值與預測值之間的評估誤差。

威脅嚴重性評估指標的建立要考慮評估對象多方面因素，信息多角度融合可以提高評估準確程度，將攻擊途徑AV、入侵警告嚴重程度AS作為評估指標，具體實驗結果如圖5所示。

圖5 不同方法對安全態勢預測效果的影響分析

由圖5可以看出，在AV、AS兩個指標變化的過程中，神經網絡以及支持向量機方法的預測效果均呈現下降的趨勢，而所提方法的預測效果則穩步上升，由此可見，混合多層結構化網絡攻擊態勢預測算法可高效預測網絡安全態勢。

5 結束語

網絡攻擊態勢變化具有時變性與非線性的問題，傳統支持向量機預測算法對于參數這一問題，沒有有效的解決辦法，且存在預測準確性較低，所以，提出一種遺傳算法與支持向量機算法相結合的網絡攻擊態勢預測算法。根據實驗結果證明，通過遺傳算法全面檢索及尋優能力，有效改善了支持向量機參數優化問題，網絡攻擊態勢預測的準確性有較大增強，與其它網絡攻擊態勢預測算法相比，該算法的預測效果更有實時性，同時也能較好的維護網絡安全運行狀況，有效防御網絡攻擊。