基于貝葉斯網(wǎng)絡(luò)的信息安全預(yù)警模型

張寧， 范海濤

(中國北方發(fā)動機(jī)研究所, 信息與數(shù)字化中心， 天津 300400)

0 引言

信息安全預(yù)警模型在網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)中起著非常重要的指導(dǎo)性作用，精確描述出網(wǎng)絡(luò)信息系統(tǒng)的安全屬性，并確定信息安全與網(wǎng)絡(luò)行為之間的關(guān)系，可以提高對網(wǎng)絡(luò)信息安全需求的理解層次，及時對網(wǎng)絡(luò)信息安全做出預(yù)警。根據(jù)國內(nèi)外的情況，將數(shù)據(jù)融合技術(shù)應(yīng)用于入侵檢測是下一代入侵檢測系統(tǒng)的發(fā)展趨勢。在網(wǎng)絡(luò)安全中，利用安全預(yù)警技術(shù)對攻擊和攻擊者進(jìn)行有效防御是可行的。因此，有必要收集IDS提供的相關(guān)信息，分析和估計(jì)當(dāng)前的入侵特征和情況。將D-S證據(jù)理論應(yīng)用到分布式入侵檢測系統(tǒng)中，利用預(yù)警模型整合檢測中心的信息，明確入侵情況，提高入侵檢測系統(tǒng)的預(yù)警能力和檢測效率。國外關(guān)于網(wǎng)絡(luò)信息安全預(yù)警的研究已經(jīng)經(jīng)歷了很長一段時間，并取得了一定的研究成果，尤其是在電力、計(jì)算機(jī)等領(lǐng)域中更加被重視，國外的網(wǎng)絡(luò)信息預(yù)警模型在防止黑客入侵、保護(hù)網(wǎng)絡(luò)信息安全具有明顯的效果[1]；與國外相比，國內(nèi)對于網(wǎng)絡(luò)信息安全預(yù)警模型的研究比較晚，到目前還沒有形成一套比較完善的預(yù)警體系，就國內(nèi)網(wǎng)絡(luò)信息安全而言，能夠有效保障網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性、防止外界入侵具有重要作用[2]。

焦萍萍[3]為了縮短船舶在海上航行過程中的通信網(wǎng)絡(luò)安全預(yù)警的時間，通過引入大數(shù)據(jù)挖掘技術(shù)，設(shè)計(jì)了一種網(wǎng)絡(luò)安全預(yù)警方法，并利用網(wǎng)絡(luò)安全數(shù)據(jù)采集函數(shù)，詳細(xì)設(shè)計(jì)了采集流程，將船舶通信網(wǎng)絡(luò)安全信息采集出來，通過分析信息預(yù)警模型的構(gòu)建過程，建立了通信網(wǎng)絡(luò)安全預(yù)警模型，實(shí)現(xiàn)了船舶通信網(wǎng)絡(luò)的安全預(yù)警，仿真結(jié)果顯示，該方法可以縮短預(yù)警時間，提高網(wǎng)絡(luò)安全的預(yù)警能力；許佳等[4]針對傳統(tǒng)網(wǎng)絡(luò)安全預(yù)警模型存在的一系列問題，將動態(tài)對等網(wǎng)層次結(jié)構(gòu)應(yīng)用到網(wǎng)絡(luò)信息安全預(yù)警模型設(shè)計(jì)中，從兩層對等網(wǎng)絡(luò)和節(jié)點(diǎn)角色兩個方面，設(shè)計(jì)了模型的結(jié)構(gòu)，有效整合了動態(tài)對等網(wǎng)絡(luò)中的數(shù)據(jù)和資源，使網(wǎng)絡(luò)預(yù)警體系具有一種動態(tài)的自適應(yīng)調(diào)整能力，結(jié)果顯示，該預(yù)警模型在網(wǎng)絡(luò)信息安全方面，不僅具有良好的魯棒性，還可以提高動態(tài)對等網(wǎng)的防護(hù)能力。

基于上述背景研究，計(jì)算不同的數(shù)據(jù)信息，對攻擊網(wǎng)絡(luò)樣本進(jìn)行分類，并結(jié)合貝葉斯網(wǎng)絡(luò)模型結(jié)構(gòu)，規(guī)范和防范信息安全預(yù)警。因此，本文將貝葉斯網(wǎng)絡(luò)應(yīng)用于信息安全預(yù)警模型的設(shè)計(jì)，從而提高信息安全預(yù)警的效果。

1 信息安全預(yù)警模型設(shè)計(jì)

1.1 自適應(yīng)分類攻擊性網(wǎng)絡(luò)信息樣本

為了保證網(wǎng)絡(luò)信息安全的預(yù)警效果，根據(jù)網(wǎng)絡(luò)信息攻擊性數(shù)據(jù)的特征，采用自適應(yīng)聚類方法確定攻擊性網(wǎng)絡(luò)信息樣本的聚類數(shù)目[5]。

令攻擊性網(wǎng)絡(luò)信息樣本點(diǎn)集合為X=(x1,x2,…,xN)，定義A(L)表示累加數(shù)據(jù)不同類別的攻擊性網(wǎng)絡(luò)信息樣本矢量和，B(L)表示攻擊性網(wǎng)絡(luò)信息樣本的類別數(shù)量，L表示攻擊性網(wǎng)絡(luò)信息安全預(yù)警知識聚類的類別數(shù)量。

以首次帶攻擊的網(wǎng)絡(luò)信息樣本數(shù)據(jù)作為自適應(yīng)分類的起點(diǎn)，規(guī)定數(shù)據(jù)聚類中心為每個網(wǎng)絡(luò)信息樣本點(diǎn)[6]，由式(1)計(jì)算出密度指數(shù)，確定密度指數(shù)最大的網(wǎng)絡(luò)信息樣本點(diǎn)xi，將xi作為第一個聚類中心，并且存在A(1)=xi，B(1)=1。

(1)

其中，d1表示以xi為聚類中心的鄰域半徑。

當(dāng)網(wǎng)絡(luò)信息樣本xj與聚類中心之間的關(guān)系存在r≤d2時，將xj歸入到聚類中心所屬的聚類類別當(dāng)中，此時就需要執(zhí)行A(2)=A(1)+xj，B(2)=B(1)+1操作，否則就將xj單獨(dú)放置，不對其進(jìn)行自適應(yīng)分類處理。將所有不做自適應(yīng)分類處理的xj作為自適應(yīng)分類的一個輸入樣本集合X′，重復(fù)上述操作，同時為其設(shè)定一個閾值M，直到滿足B(L)

對于每一種攻擊性網(wǎng)絡(luò)信息類別A(i)，計(jì)算A(i)的聚類中心，即：

(2)

其中，ci表示初始數(shù)據(jù)中心。

根據(jù)式(2)可以得到網(wǎng)絡(luò)信息分類的聚類中，利用式(3)初始化徑向基函數(shù)的擴(kuò)展寬度。

(3)

其中，cmax表示最大聚類。利用擴(kuò)展處理后的徑向基函數(shù)，對網(wǎng)絡(luò)信息樣本進(jìn)行自適應(yīng)分類，分類的結(jié)果如下：

(4)

通過計(jì)算攻擊性網(wǎng)絡(luò)信息樣本的聚類中心，對徑向基函數(shù)的寬度進(jìn)行擴(kuò)展處理，利用擴(kuò)展后的徑向基函數(shù)，自適應(yīng)聚類攻擊性網(wǎng)絡(luò)信息樣本，實(shí)現(xiàn)了攻擊性網(wǎng)絡(luò)信息樣本的自適應(yīng)分類。

1.2 標(biāo)準(zhǔn)化信息安全預(yù)警指標(biāo)

貝葉斯網(wǎng)絡(luò)的分辨率特性在壓縮信息安全預(yù)警信號方面可以很好地表現(xiàn)出來[7]，通過微觀處理信息安全預(yù)警信號，使信息安全預(yù)警模型具有較好的濾噪效果[8]。貝葉斯網(wǎng)絡(luò)的模型結(jié)構(gòu)如圖1所示。

圖1 貝葉斯網(wǎng)絡(luò)的模型結(jié)構(gòu)

針對網(wǎng)絡(luò)信息的正向傳遞函數(shù)[9]，貝葉斯網(wǎng)絡(luò)隱含層第i個節(jié)點(diǎn)和輸出層第k個節(jié)點(diǎn)的輸出可以表示為

(5)

其中，ai表示貝葉斯網(wǎng)絡(luò)隱含層的輸入，bj表示貝葉斯網(wǎng)絡(luò)隱含層的輸出，那么輸入與輸出之間的誤差函數(shù)表示為

(6)

如果信息安全預(yù)警誤差信號超過了期望值，那么貝葉斯網(wǎng)絡(luò)就會進(jìn)入負(fù)向反饋過程[10]。

貝葉斯網(wǎng)絡(luò)的隱含層輸出可以通過式(7)計(jì)算得到：

(7)

對于信息安全預(yù)警指標(biāo)集N={U1,U2,U3,U4}，假設(shè)專家Ej給出的自信度和屬性值的數(shù)對為(Wij,dij)，那么所有專家對信息安全預(yù)警指標(biāo)給出的自信度和屬性值就可以形成一個數(shù)值序列，即：

Q={(Wi1,di1),(Wi2,di2),…,(Wik,dik)}

(8)

那么信息安全預(yù)警指標(biāo)的量化值可以通過式(9)計(jì)算得到：

(9)

如果專家無法給定信息安全預(yù)警指標(biāo)數(shù)值，那么就需要給定一個具體的范圍(Hi,Li)[11]，信息安全預(yù)警指標(biāo)的量化值可以通過式(10)計(jì)算得到：

(10)

利用貝葉斯網(wǎng)絡(luò)的模型結(jié)構(gòu)，建立網(wǎng)絡(luò)輸入與輸出之間的誤差函數(shù)，通過計(jì)算貝葉斯網(wǎng)絡(luò)的隱含層輸出，計(jì)算信息安全預(yù)警指標(biāo)的量化值，實(shí)現(xiàn)信息安全預(yù)警指標(biāo)的標(biāo)準(zhǔn)化處理。

1.3 構(gòu)建信息安全預(yù)警模型

為了實(shí)現(xiàn)基于貝葉斯網(wǎng)絡(luò)的信息安全預(yù)警，假設(shè)信息安全預(yù)警數(shù)據(jù)輸入樣本點(diǎn)集合為X=(x1,x2,…,xN)，其中樣本點(diǎn)集合中包含n個預(yù)警元素的態(tài)勢輸入向量，Y表示預(yù)警元素的態(tài)勢輸出向量，包含m個預(yù)警元素的態(tài)勢輸出向量，X與Y之間的樣本對數(shù)量為K。

貝葉斯網(wǎng)絡(luò)中徑向基層第i個預(yù)警節(jié)點(diǎn)的輸出可以表示為

(11)

其中，R(·)表示貝葉斯函數(shù)。

貝葉斯網(wǎng)絡(luò)輸出層第k個預(yù)警節(jié)點(diǎn)與徑向基函數(shù)的節(jié)點(diǎn)輸出之間，存在一種線性組合關(guān)系，將其表示為

(12)

其中，yk表示貝葉斯網(wǎng)絡(luò)輸出層第k個預(yù)警節(jié)點(diǎn)的輸出，wki表示貝葉斯網(wǎng)絡(luò)中qi與yk之間的連接權(quán)值，θk表示貝葉斯網(wǎng)絡(luò)輸出層k個預(yù)警節(jié)點(diǎn)的輸出閾值。

利用貝葉斯網(wǎng)絡(luò)實(shí)現(xiàn)信息安全的預(yù)警[12]，假設(shè)存在信息安全輸入樣本xp和輸出樣本dp，可以將信息安全預(yù)警的目標(biāo)函數(shù)表示為

(13)

為了保證信息安全預(yù)警過程中得到準(zhǔn)確的預(yù)警結(jié)果，利用最小二乘遞推法調(diào)整了貝葉斯網(wǎng)絡(luò)模型的參數(shù)[13]，即：

D(f)=Wp(t)+J[dp-qP(t)Wp(t)]

(14)

其中，Wp(t)表示貝葉斯網(wǎng)絡(luò)的加權(quán)因子，qp(t)表示網(wǎng)絡(luò)信息樣本的自適應(yīng)分類結(jié)果。

經(jīng)過參數(shù)調(diào)整后，利用貝葉斯網(wǎng)絡(luò)建立信息安全預(yù)警模型[14]，即：

(15)

綜上所述，通過建立貝葉斯網(wǎng)絡(luò)模型，確定了信息安全預(yù)警的目標(biāo)函數(shù)，通過調(diào)整貝葉斯網(wǎng)絡(luò)模型的參數(shù)，建立了信息安全預(yù)警模型，實(shí)現(xiàn)了信息安全的預(yù)警。

2 實(shí)驗(yàn)對比分析

為了驗(yàn)證基于貝葉斯網(wǎng)絡(luò)的信息安全預(yù)警模型的預(yù)警效果，引入文獻(xiàn)[3]信息安全預(yù)警模型和文獻(xiàn)[4]信息安全預(yù)警模型進(jìn)行對比，采用Intel 2370 i7-8700 8 GB的計(jì)算機(jī)搭建預(yù)警效果實(shí)驗(yàn)平臺，利用Windows 7系統(tǒng)作為實(shí)驗(yàn)測試的操作系統(tǒng)。

2.1 實(shí)驗(yàn)流程

信息安全預(yù)警模型的測試流程如圖2所示。

圖2 信息安全預(yù)警模型的測試流程

信息安全預(yù)警模型在測試過程中，先將網(wǎng)絡(luò)信息安全預(yù)警指標(biāo)提取出來，通過比較預(yù)警指標(biāo)與閾值之間的大小關(guān)系，判斷預(yù)警指標(biāo)所處的危險(xiǎn)等級。根據(jù)信息安全預(yù)警模型，實(shí)時做出預(yù)警度判斷。如果信息安全預(yù)警模型處于危險(xiǎn)狀態(tài)，就要及時將信息安全預(yù)警信息發(fā)布出去；如果信息安全預(yù)警模型處于正常狀態(tài)，那么就將此信息忽略，讓數(shù)據(jù)自行流出。

2.2 實(shí)驗(yàn)測試

采用基于貝葉斯網(wǎng)絡(luò)的信息安全預(yù)警模型、文獻(xiàn)[3]信息安全預(yù)警模型和文獻(xiàn)[4]信息安全預(yù)警模型，進(jìn)行網(wǎng)絡(luò)信息數(shù)據(jù)識別的完成時間測試，網(wǎng)絡(luò)信息數(shù)據(jù)識別的完成時間直接影響網(wǎng)絡(luò)信息安全預(yù)警的及時性，測試結(jié)果如表1所示。

表1 網(wǎng)絡(luò)信息數(shù)據(jù)識別的完成時間測試結(jié)果

從表1的結(jié)果可以看出，基于貝葉斯網(wǎng)絡(luò)的信息安全預(yù)警模型與文獻(xiàn)[3]信息安全預(yù)警模型和文獻(xiàn)[4]信息安全預(yù)警模型相比，網(wǎng)絡(luò)信息數(shù)據(jù)識別完成時間最短。因此，可以證明基于貝葉斯網(wǎng)絡(luò)的信息安全預(yù)警模型可以有效識別網(wǎng)絡(luò)信息，保證網(wǎng)絡(luò)信息安全預(yù)警的及時性。基于貝葉斯網(wǎng)絡(luò)的信息安全預(yù)警模型在識別網(wǎng)絡(luò)信息進(jìn)行的過程中，由于先自適應(yīng)分類處理了信息數(shù)據(jù)樣本，使得網(wǎng)絡(luò)信息數(shù)據(jù)非常容易被識別，提高了網(wǎng)絡(luò)信息數(shù)據(jù)的識別速度。

在網(wǎng)絡(luò)信息數(shù)據(jù)識別的完成時間測試基礎(chǔ)上，測試了信息安全預(yù)警模型的最優(yōu)適應(yīng)值對比情況，如圖3所示。

圖3 信息安全預(yù)警模型最優(yōu)適應(yīng)值對比測試結(jié)果

從圖3的實(shí)驗(yàn)結(jié)果可以看出，在迭代次數(shù)相同的情況下，基于貝葉斯網(wǎng)絡(luò)的信息安全預(yù)警模型得到的最優(yōu)適應(yīng)值明顯優(yōu)于文獻(xiàn)[3]信息安全預(yù)警模型和文獻(xiàn)[4]信息安全預(yù)警模型。隨著實(shí)驗(yàn)迭代次數(shù)的逐漸增加，基于貝葉斯網(wǎng)絡(luò)的信息安全預(yù)警模型可以加快全局最優(yōu)解的尋找速度，說明基于貝葉斯網(wǎng)絡(luò)的信息安全預(yù)警模型具有較好的收斂性能。基于貝葉斯網(wǎng)絡(luò)的信息安全預(yù)警模型在設(shè)計(jì)過程中利用自適應(yīng)聚類確定了網(wǎng)絡(luò)信息樣本的聚類中心，從而使模型的收斂性能大大提升。

為了進(jìn)一步驗(yàn)證基于貝葉斯網(wǎng)絡(luò)的信息安全預(yù)警模型的效果，在信息安全預(yù)警過程中，對信息安全性能進(jìn)行評估，得到結(jié)果如圖4所示。

圖4 信息安全性測試結(jié)果

從圖4的實(shí)驗(yàn)結(jié)果可以看出，基于貝葉斯網(wǎng)絡(luò)的信息安全預(yù)警模型對信息安全性的評估比較準(zhǔn)確，在預(yù)警信息安全過程中，利用貝葉斯網(wǎng)絡(luò)建立了信息安全預(yù)警模型，通過擴(kuò)展徑向基函數(shù)的寬度，使基于貝葉斯網(wǎng)絡(luò)的信息安全預(yù)警模型精度大大提高，保證了信息安全性評估的效果。

3 總結(jié)

本文提出了基于貝葉斯網(wǎng)絡(luò)的信息安全預(yù)警模型，先對攻擊性網(wǎng)絡(luò)信息樣本進(jìn)行了自適應(yīng)分類，利用貝葉斯網(wǎng)絡(luò)，對信息安全預(yù)警指標(biāo)進(jìn)行標(biāo)準(zhǔn)化處理，最后通過構(gòu)建信息安全預(yù)警模型，實(shí)現(xiàn)了信息安全的預(yù)警。結(jié)果顯示，該預(yù)警模型具有較好的預(yù)警效果。