基于量子遺傳算法的網絡安全態勢感知研究

耿方方，王 昂

(1.河南中醫藥大學網絡中心，河南 鄭州 450046；2.河南中醫藥大學信息技術學院，河南 鄭州 450046)

1 引言

在信息快速發展的時代，網絡技術已經普及到各個領域，人類對網絡技術也更加依賴，與此同時也帶來了一系列的網絡安全問題。為了應對網絡安全隱患，研究者提出多種防范技術，尤其是網絡安全態勢感知技術[1-2]。當前關于網絡安全態勢感知技術仍然處于初級發展階段，為了進一步提高網絡預測的性能，許多學者將人工智能技術引入到網絡安全態勢感知領域中[3]。

文獻[4]提出了一種基于SOA_BP的網絡安全態勢預測算法，利用人群算法的四方面行為特征確定搜索方向，找到最優的權值和閾值，然后在神經網絡的不斷訓練下，得出最終的預測值，實驗結果表明，該算法對網絡安全態勢感知有較好的穩定性，但該方法存在“早熟”現象。文獻[5]對網絡中的態勢指標采取離散化操作，然后通過不同的評價方法對態勢指標進行分級處理，最后將底層的態勢指標通過貝葉斯方法融合到態勢層，得出網絡態勢評估，實驗結果表明，該方法評估結果較準確，但對網絡整體態勢預測需進一步加強。文獻[6]設計了預測方法，該方法將網絡數據訓練結果劃分到規則域中，然后設定臨界值將劃分規則按優化程度劃分到3個等級中，減少網絡中待優化的參數個數，實驗結果表明，該方法能夠避免網絡數據的過擬合現象，但訓練效率不高。

針對以上研究成果，本文提出了基于量子遺傳算法的網絡安全態勢感知方法。通過對5種網絡屬性相似度的研究，有效過濾網絡中的冗余信息。對網絡攻擊分布、條件概率以及特征幅頻的分析，得到網絡安全態勢指數，并在此基礎上引入量子遺傳算法，構建網絡安全感知模型完成目標函數的優化，最終實現網絡安全態勢的穩定可靠感知。

2 網絡態勢關聯性分析

網絡態勢信息的關聯性直接影響到態勢感知的結果，因此通過關聯性分析，將網絡態勢中相關的信息進行合并，可以為網絡感知做好預處理[7]。根據屬性的相似度函數計算網絡態勢信息的相似度。為了全面準確的衡量相似度，本文分別對5個方面的相似度函數進行研究。

端口是指主機上程序通信時的接口，當一臺主機受到攻擊時，與其接近的端口受攻擊的概率最大，端口相似度用公式可表示為

(1)

對構成網絡的IP地址進行二進制相似度計算，其中IPV4表示為8位，IPV6表示為16位，那么IP地址每個部分的相似度函數用公式可表示為

(2)

其中，nsame表示二進制按位相同的1的個數；N表示二進制總位數。IP地址整個相似度函數用公式可表示為

(3)

協議相似度結果只有兩種狀態，要么相同，要么不同。因此衡量協議相似度的方法比較簡單，用公式可表示為

(4)

其中，xport和yport分別表示兩個網絡信息記錄所對應的端口值。

時間相似度與網絡信息發生的時間及時間閾值有關，用公式可表示為

(5)

其中，t表示網絡信息的時間閾值；xtime和ytime分別表示網絡事件x和y發生時對應的時間值。

安全是網絡中最重要的一個環節，安全事件整體相似度用公式可表示為

(6)

由于網絡態勢要素提取的信息來源較廣泛，大多數事件間存在一定的聯系，因此本文通過網絡安全特征相似度的綜合分析方法，從網絡攻擊報警的原始數據出發，對網絡安全中相互關聯的信息進行排除，為后續網絡安全態勢感知做好充分的準備。

3 網絡安全態勢感知

在錯綜復雜的網絡環境中，病毒很容易入侵網絡系統，為了對網絡安全態勢感知進行優化，本文采用信號處理方法對網絡安全態勢進行研究。假設病毒在網絡環境中入侵了m個端口，則病毒入侵流的特征分布可表示為

z(k)=[z1(k)，z2(k)，z3(k)，…，zm(k)]

(7)

其中，k表示網絡安全態勢屬性值；zi(k)表示病毒攻擊網絡的特征向量時間。假定病毒攻擊下的n維隨機分布用(z1，z2，z3，…，zn)表示，那么病毒分布函數可表示為

(8)

(9)

Q(γ1，γ2，…，γn)=E{expj[γ1z1+γ2z2…+γnzn]}

(10)

那么病毒對網絡進行攻擊時，病毒的特征幅度和特征頻率可表示為：

(11)

通過對病毒特征幅度和頻率的構建，可對網絡信息進行重組，那么病毒攻擊分布迭代函數可表示為

ζd(k+1)=ζd(k)-fR[b(k)c*(k)]

(12)

其中，ζd(k)表示網絡信息初始狀態相量，網絡安全態勢感知模型分別以角度ζ0，ζ1，ζ2，…ζq進行全方位的病毒攔截。若采集的網絡信號為穩定的隨機信號，可通過ARMA模型分別模擬出病毒入侵網絡時的網絡安全態勢與主機的威脅指數[8]，公式可表示為

(13)

其中，zk表示網絡安全態勢的時域，且zk∈Rnσ；σk表示整個時頻內的干擾；yk表示每個節點采集的網絡信息，且yk∈Rnδ；δk表示整個時頻內的干擾。此時網絡威脅安全態勢指數可表示為

(14)

(15)

其中，n表示預測誤差；H表示特征因子的種類；γi表示病毒入侵的特征。

4 量子遺傳算法感知模型

根據對復雜環境下病毒攻擊網絡安全態勢模型的建立，提出基于量子遺傳算法感知模型，通過量子遺傳算法實現目標函數的優化。在量子網絡環境中，一個量子的比特狀態可表示為

(16)

其中，As表示狀態<0>時的幅值常數；Bs表示狀態<1>時的幅值常數；|As|2表示量子態為觀測值0時的概率；|Bs|2表示量子態為觀測值1時的概率。量子遺傳算法需要把量子比特帶入遺傳編碼中，以完成染色體的更新，量子遺傳算法中帶有量子比特的遺傳編碼染色體結構可表示為

(17)

(18)

?i=f(Asi，Bsi)*Δ?

(19)

其中，f(Asi，Bsi)表示控制旋轉角的方向函數；Δ?表示控制旋轉角的旋轉角度。假定網絡安全態勢評估模型的概率分布用x(t)表示，基于染色體檢測，遺傳下安全態勢評估的幅度大小和頻率大小可表示為

(20)

基于網絡信息數據的分類，對入侵病毒作量子遺傳特征分解處理，當迭代次數為最大時，交叉概率用公式可表示為

(21)

其中，Ix(i，j)表示病毒入侵網絡時的數值交換脈沖響應，且滿足Ix(i，j)∈R，?(i，j)。量子遺傳算法中染色體由3個子模塊組成，可通過遺傳進化對網絡所感染到病毒區域的免疫性進行檢測，結合量子遺傳算法對整個網絡空間進行時頻伸縮處理，得到網絡安全態勢感知的經驗分布函數如下

(22)

通過量子遺傳進化的特征約束條件，求出每個染色體的相應代價，得出網絡安全態勢感知的時頻響應，公式可表示為

(23)

若病毒對網絡環境較為適應，可通過量子遺傳進化對入侵的病毒進行強度測量，從而可以得出網絡安全態勢感知的迭代方程，表示為

(24)

其中

(25)

綜上所述，利用量子遺傳算法可以感知到網絡安全態勢評估的幅度和頻率值，并且能夠對網絡病毒的交叉點進行區域匹配設置，有利于網絡安全態勢的準確感知。

5 仿真結果分析

(26)

通過歷史網絡安全態勢對當前網絡安全態勢進行預測分析，按照網絡數據采集的時間，將預測周期規定為10小時，共劃分5個時間段(2小時/每段)，根據歷史網絡安全態勢完成5個時間段的網絡安全態勢預測，將本文方法與文獻[4]、文獻[5]和文獻[6]進行實驗對比，結果如圖1所示。

圖1 網絡安全態勢預測對比圖

從圖中可以看出，文獻[4]得出的安全態勢預測值在開始時間段相對實際值波動幅度較大，直到后面的時間段才相對穩定。文獻[5]在第3個時間段的安全態勢預測值與實際值相差較大。文獻[6]得出的安全態勢預測值與實際值相比波動較大，預測效果不穩定。而本文方法得到的安全態勢預測值與實際值較為接近，波動幅度最小，擬合性能明顯優于其它方法。

為了進一步衡量網絡安全態勢感知效果，引入絕對誤差指標，公式表示為

(27)

圖2 絕對誤差指標對比圖

在絕對誤差衡量基礎上，采用平均平方百分比誤差(MSPE)和均方誤差(RMSE)對網絡安全態勢預測進行分析。MSPE與RMSE的公式表示為

(28)

其中，M表示樣本個數。MSPE和RMSE的值越小，說明網絡預測越準確。

表1給出了采用本文算法以及與文獻[4]、文獻[5]、文獻[6]算法情況下，網絡安全態勢預測值與真實值之間的MSPE和RMSE值。從表中可以看出，本文算法的安全態勢預測值與實際值之間的MSPE和RMSE值相對于文獻[4]、文獻[5]、文獻[6]都是最小的，說明基于量子遺傳算法的網絡安全態勢感知具有更高的精確性。

表1 預測誤差對比

6 結束語

本文提出一種基于量子遺傳算法的網絡安全態勢感知方法，先對網絡安全進行關聯性分析，將網絡態勢中相關的信息采取合并處理。再利用病毒攻擊特征計算出網絡安全態勢指數。最后采用量子遺傳算法對網絡攻擊特征進行提取，完成網絡安全態勢的感知。實驗結果表明，本文方法得到的安全態勢預測值與實際值更為吻合，且絕對誤差僅為-0.28，平均平方百分比誤差僅為0.16，均方誤差僅為0.11，充分表明本文方法對網絡安全態勢具有更高的感知精確性。