基于模糊邏輯的無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)系統(tǒng)

劉明峰，陳 琛，程 輝，侯 路，韓然

（國(guó)網(wǎng)山東省電力公司青島供電公司，山東青島 266002）

互聯(lián)網(wǎng)的應(yīng)用不僅給人們的生產(chǎn)生活帶來(lái)巨大的變化，同時(shí)也推動(dòng)了社會(huì)經(jīng)濟(jì)、文化、政治、軍事等領(lǐng)域的創(chuàng)新和發(fā)展[1-2]。但由于互聯(lián)網(wǎng)處于復(fù)雜多變的網(wǎng)絡(luò)環(huán)境，再加上網(wǎng)絡(luò)信息系統(tǒng)的脆弱性和開(kāi)放性，互聯(lián)網(wǎng)在高效率服務(wù)于公眾的同時(shí)，其網(wǎng)絡(luò)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)系統(tǒng)也存在著諸多安全隱患[3]。伴隨著不斷升級(jí)的網(wǎng)絡(luò)攻擊，新的網(wǎng)絡(luò)安全問(wèn)題不斷出現(xiàn)，網(wǎng)絡(luò)信息受到了嚴(yán)重的安全威脅，因此，必須運(yùn)用新技術(shù)，及時(shí)發(fā)現(xiàn)和控制網(wǎng)絡(luò)中的異常事件，保證網(wǎng)絡(luò)安全。文獻(xiàn)[4]提出了一種基于網(wǎng)絡(luò)安全圖的無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)系統(tǒng)，該系統(tǒng)集合安全態(tài)勢(shì)感知算法，構(gòu)建了一個(gè)比較完整的態(tài)勢(shì)生成框架；文獻(xiàn)[5]提出了基于多種未知數(shù)據(jù)加權(quán)集合的無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)系統(tǒng)，該系統(tǒng)結(jié)合D-S預(yù)測(cè)技術(shù)計(jì)算全局網(wǎng)絡(luò)態(tài)勢(shì)值。但是上述兩種傳統(tǒng)方法缺乏統(tǒng)一有效的協(xié)作機(jī)制，只有當(dāng)黑客入侵后才能發(fā)現(xiàn)很多預(yù)警信息，預(yù)測(cè)行為不及時(shí)。針對(duì)該問(wèn)題，提出了基于模糊邏輯的無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)系統(tǒng)，該系統(tǒng)通過(guò)網(wǎng)絡(luò)運(yùn)行狀況宏觀反映網(wǎng)絡(luò)當(dāng)前狀態(tài)，并預(yù)測(cè)網(wǎng)絡(luò)未來(lái)狀態(tài)。

1 系統(tǒng)硬件結(jié)構(gòu)設(shè)計(jì)

基于模糊邏輯的無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)系統(tǒng)硬件結(jié)構(gòu)示意圖如圖1 所示。

圖1 系統(tǒng)硬件結(jié)構(gòu)

如圖1 所示，系統(tǒng)硬件結(jié)構(gòu)由服務(wù)層、數(shù)據(jù)層、分析層和展示層構(gòu)成。Snort入侵檢測(cè)系統(tǒng)與多臺(tái)網(wǎng)絡(luò)服務(wù)器相連，主要負(fù)責(zé)收集網(wǎng)絡(luò)攻擊事件信息[6]。將采集到的網(wǎng)絡(luò)攻擊事件信息與數(shù)據(jù)庫(kù)歷史事件對(duì)比后，通過(guò)分析層進(jìn)行網(wǎng)絡(luò)安全態(tài)勢(shì)分析，分析完成后可以對(duì)網(wǎng)絡(luò)各項(xiàng)指標(biāo)進(jìn)行顯示和預(yù)測(cè)[7]。

1.1 服務(wù)層

1.1.1 日志類(lèi)傳感器

日志類(lèi)傳感器對(duì)采集數(shù)據(jù)篩選、合并和初步分析處理后，生成統(tǒng)一格式的安全事件數(shù)據(jù)，并將該數(shù)據(jù)通過(guò)專(zhuān)用接口傳送給上層應(yīng)用，其結(jié)構(gòu)如圖2 所示。

圖2 日志類(lèi)傳感器結(jié)構(gòu)

圖2 中，日志采集模塊具有定時(shí)、自啟動(dòng)功能，通過(guò)設(shè)定傳感器配置參數(shù)，可實(shí)現(xiàn)自動(dòng)采集。在采集參數(shù)過(guò)程中，由于日志數(shù)據(jù)易受攻擊和易被修改，因此，設(shè)置了日志預(yù)處理和日志分析模塊，負(fù)責(zé)預(yù)處理和分析輸入日志的完整性，避免日志文件被篡改和損壞[8]。依據(jù)安全規(guī)則，在預(yù)處理和分析過(guò)程中還可以在規(guī)定時(shí)間范圍內(nèi)刪除大量冗余參數(shù)[9]。通過(guò)日志數(shù)據(jù)過(guò)濾和合并，直接過(guò)濾掉不合適日志，將剩余日志全部存儲(chǔ)到系統(tǒng)中[10]。

1.1.2 Snort入侵檢測(cè)系統(tǒng)

Snort 入侵檢測(cè)系統(tǒng)可實(shí)時(shí)檢測(cè)多種攻擊方式并實(shí)時(shí)報(bào)警[11]，其結(jié)構(gòu)如圖3 所示。

圖3 Snort入侵檢測(cè)系統(tǒng)結(jié)構(gòu)

由圖3 可知，入侵檢測(cè)系統(tǒng)由數(shù)據(jù)包嗅探模塊、數(shù)據(jù)庫(kù)、解碼器、預(yù)處理器、檢測(cè)引擎和報(bào)警輸出組成，部分功能如下所示：

1）數(shù)據(jù)包嗅探模塊

該模塊主要負(fù)責(zé)監(jiān)測(cè)數(shù)據(jù)包，由此實(shí)現(xiàn)對(duì)Snort入侵檢測(cè)系統(tǒng)的實(shí)時(shí)分析。

2）預(yù)處理器

預(yù)處理器主要負(fù)責(zé)檢測(cè)原始數(shù)據(jù)包（如端口掃描、IP 分片等原始數(shù)據(jù)包），再將這些數(shù)據(jù)發(fā)送給檢測(cè)引擎[12]。

3）檢測(cè)引擎

檢測(cè)引擎主要負(fù)責(zé)數(shù)據(jù)包檢測(cè)，按照設(shè)定規(guī)則檢測(cè)接收的預(yù)處理程序報(bào)文，如果報(bào)文內(nèi)容符合規(guī)定，則發(fā)送給報(bào)警輸出[13]。

4）報(bào)警輸出

報(bào)警輸出主要負(fù)責(zé)將上述檢測(cè)結(jié)果以符合規(guī)定的形式輸出。

1.1.3 SNMP傳感器

在SNMP 協(xié)議的基礎(chǔ)上，SNMP 傳感器用于在MIB 網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)采集與分析。通過(guò)網(wǎng)絡(luò)交換控制，終端設(shè)備實(shí)時(shí)獲取網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)流量、安全事件等信息，并向上層應(yīng)用程序或網(wǎng)絡(luò)管理員提供統(tǒng)一格式的數(shù)據(jù)[14]。數(shù)據(jù)采集模塊SNMP 負(fù)責(zé)對(duì)網(wǎng)絡(luò)設(shè)備MIB 庫(kù)中的數(shù)據(jù)進(jìn)行實(shí)時(shí)采集，并將MIF3 設(shè)備的狀態(tài)數(shù)據(jù)傳送給數(shù)據(jù)分析模塊[15]。

1.1.4 NetFlow傳感器

NetFlow 傳感器結(jié)構(gòu)如圖4 所示。

圖4 NetFlow傳感器結(jié)構(gòu)

由圖4 可知，NetFlow 傳感器結(jié)構(gòu)包括流量信息獲取模塊、安全事件信息獲取模塊、控制器、事件集成器等。系統(tǒng)以網(wǎng)絡(luò)安全態(tài)勢(shì)感知為基礎(chǔ)，可提供不同層次、不同角度和多粒度的實(shí)時(shí)信息，或接近實(shí)時(shí)交換信息[16]。通過(guò)對(duì)這些信息進(jìn)行有效分析，能夠準(zhǔn)確獲取系統(tǒng)所需的網(wǎng)絡(luò)事件信息。

1.2 數(shù)據(jù)層

數(shù)據(jù)層在主機(jī)代理模式下采集CPU、內(nèi)存、磁盤(pán)等相關(guān)信息，通過(guò)漏洞掃描系統(tǒng)和Snort 入侵檢測(cè)系統(tǒng)分別采集服務(wù)器上存在的漏洞和攻擊事件，并將這些采集數(shù)據(jù)存儲(chǔ)在數(shù)據(jù)庫(kù)中，方便后續(xù)進(jìn)行詳細(xì)分析。

1.3 分析層

分析層通過(guò)計(jì)算運(yùn)行狀態(tài)下各主機(jī)的權(quán)值指標(biāo)和總運(yùn)行指標(biāo)的量化值，分析各主機(jī)服務(wù)中是否存在易受攻擊的服務(wù)，從而得到各主機(jī)的權(quán)值，再計(jì)算各服務(wù)器的權(quán)值，對(duì)總體薄弱指數(shù)服務(wù)器進(jìn)行量化處理。對(duì)各主機(jī)的權(quán)值指標(biāo)量化值、各運(yùn)行指標(biāo)的量化值和各服務(wù)器的權(quán)值量化值進(jìn)行計(jì)算后，需要進(jìn)行場(chǎng)景整合，采用同一量化范圍的三個(gè)指標(biāo)，分別加權(quán)各指標(biāo)的權(quán)重，得到網(wǎng)絡(luò)安全狀況的最終得分，并根據(jù)歷史數(shù)據(jù)預(yù)測(cè)未來(lái)趨勢(shì)。

1.4 展示層

通過(guò)傳輸設(shè)備將電子文件傳輸?shù)狡聊簧希捎肈VI 接口的顯示器。而Web 窗體為用戶(hù)提供了一種系統(tǒng)的、直觀的表現(xiàn)形式，可以顯示各種指標(biāo)的態(tài)勢(shì)分?jǐn)?shù)，還可以顯示近期的網(wǎng)絡(luò)安全態(tài)勢(shì)曲線(xiàn)和未來(lái)時(shí)期的態(tài)勢(shì)曲線(xiàn)。

2 系統(tǒng)軟件部分設(shè)計(jì)

2.1 基于模糊邏輯層的綜合權(quán)重分類(lèi)

利用模糊邏輯層對(duì)權(quán)重進(jìn)行分類(lèi)，這種方法簡(jiǎn)單、靈活、實(shí)用，可用于定量和多目標(biāo)決策[17]。根據(jù)無(wú)線(xiàn)網(wǎng)絡(luò)的目標(biāo)和功能，將權(quán)重劃分為不同的層次，由此建立相應(yīng)的模糊邏輯層次結(jié)構(gòu)。

基于模糊邏輯的無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)與評(píng)價(jià)方法，旨在獲得無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)風(fēng)險(xiǎn)度的最高值[18]。對(duì)于無(wú)線(xiàn)網(wǎng)絡(luò)，風(fēng)險(xiǎn)指數(shù)的比較應(yīng)以風(fēng)險(xiǎn)發(fā)生的概率、影響和發(fā)生的可能性為基礎(chǔ)，對(duì)這些可能發(fā)生的風(fēng)險(xiǎn)因素進(jìn)行綜合評(píng)價(jià)，并以可控風(fēng)險(xiǎn)因素的評(píng)價(jià)指標(biāo)為權(quán)重。

首先將推薦綜合權(quán)重分為5 個(gè)類(lèi)別，分別是很低、低、正常、高、很高，在論域上對(duì)模糊子集進(jìn)行劃分，論域?yàn)椋?/p>

結(jié)合式（1）劃分的模糊子集為w1、w2、w3、w4、w5，由此建立相應(yīng)隸屬度函數(shù)為gw,1(w)、gw,2(w)、gw,3(w)、gw,4(w)、gw,5(w)，對(duì)綜合權(quán)重進(jìn)行模糊分類(lèi)，如圖5所示。

圖5 綜合權(quán)重模糊分類(lèi)

根據(jù)建立的綜合權(quán)重邏輯原則，獲取信任值綜合權(quán)重w。

2.2 無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)風(fēng)險(xiǎn)度計(jì)算

基于模糊邏輯層的綜合權(quán)重計(jì)算結(jié)果，使用風(fēng)險(xiǎn)度作為無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)指標(biāo)。無(wú)線(xiàn)網(wǎng)絡(luò)中出現(xiàn)的每一個(gè)風(fēng)險(xiǎn)因子都會(huì)對(duì)系統(tǒng)造成一定影響，包括風(fēng)險(xiǎn)發(fā)生概率P、風(fēng)險(xiǎn)所造成的影響R、風(fēng)險(xiǎn)可控性U，風(fēng)險(xiǎn)度取值范圍為[0,1]。分別用a、b表示發(fā)生和不發(fā)生無(wú)線(xiàn)網(wǎng)絡(luò)安全事件，由此得到無(wú)線(xiàn)網(wǎng)絡(luò)安全事件發(fā)生和不發(fā)生的概率表達(dá)式分別為：

根據(jù)無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)風(fēng)險(xiǎn)度計(jì)算結(jié)果，可以靈活實(shí)施網(wǎng)絡(luò)保護(hù)操作，確保無(wú)線(xiàn)網(wǎng)絡(luò)安全。

2.3 無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)動(dòng)態(tài)預(yù)測(cè)流程設(shè)計(jì)

根據(jù)整個(gè)無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)檢測(cè)的需求，設(shè)計(jì)了安全態(tài)勢(shì)動(dòng)態(tài)預(yù)測(cè)流程，如圖6 所示。

圖6 無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)動(dòng)態(tài)預(yù)測(cè)流程

由圖6 可知，其預(yù)測(cè)流程主要包括對(duì)安全態(tài)勢(shì)的顯示、預(yù)測(cè)和評(píng)價(jià)，依據(jù)提交的歷史數(shù)據(jù)進(jìn)行安全態(tài)勢(shì)預(yù)測(cè)。評(píng)估優(yōu)化模塊利用上述模糊邏輯風(fēng)險(xiǎn)計(jì)算方法優(yōu)化預(yù)測(cè)模型，直到模型能夠滿(mǎn)足訓(xùn)練要求為止。最后，根據(jù)態(tài)勢(shì)預(yù)測(cè)模塊所顯示的預(yù)測(cè)結(jié)果，由安全管理員進(jìn)行決策分析。

3 試驗(yàn)

為了驗(yàn)證基于模糊邏輯的無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)系統(tǒng)設(shè)計(jì)的合理性，進(jìn)行試驗(yàn)驗(yàn)證分析。

3.1 試驗(yàn)平臺(tái)

搭建試驗(yàn)平臺(tái)對(duì)系統(tǒng)進(jìn)行驗(yàn)證分析，平臺(tái)結(jié)構(gòu)如圖7 所示。

圖7 試驗(yàn)平臺(tái)結(jié)構(gòu)

選取校園網(wǎng)的實(shí)際網(wǎng)站為試驗(yàn)環(huán)境真實(shí)數(shù)據(jù)來(lái)源，將平臺(tái)結(jié)構(gòu)中的一臺(tái)計(jì)算機(jī)作為管理系統(tǒng)的客戶(hù)端，其余計(jì)算機(jī)負(fù)責(zé)執(zhí)行其他操作。

3.2 系統(tǒng)性能測(cè)試

選取100 組態(tài)勢(shì)數(shù)據(jù)作為樣本，其中前95 組為訓(xùn)練樣本，后5 組為對(duì)比樣本，選取的100 組態(tài)勢(shì)數(shù)據(jù)時(shí)序圖如圖8 所示。

圖8 100組態(tài)勢(shì)數(shù)據(jù)時(shí)序圖

將態(tài)勢(shì)數(shù)據(jù)視為信號(hào)，由圖8 可知，該信號(hào)是一個(gè)不平穩(wěn)信號(hào)，說(shuō)明無(wú)線(xiàn)網(wǎng)絡(luò)不安全。

基于上述信號(hào)，分別使用基于網(wǎng)絡(luò)安全圖的無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)系統(tǒng)、基于多種未知數(shù)據(jù)加權(quán)集合的無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)系統(tǒng)和基于模糊邏輯的無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)系統(tǒng)進(jìn)行信號(hào)預(yù)測(cè)，預(yù)測(cè)結(jié)果如圖9 所示。

圖9 三種系統(tǒng)信號(hào)預(yù)測(cè)結(jié)果分析

由圖9 可知，使用基于網(wǎng)絡(luò)安全圖的無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)系統(tǒng)最高輸入信號(hào)頻譜為22 mV，最低輸入信號(hào)頻譜為-25 mV；使用基于多種未知數(shù)據(jù)加權(quán)集合的無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)系統(tǒng)最高輸入信號(hào)頻譜為20 mV，最低輸入信號(hào)頻譜為-24.5 mV，因此對(duì)比方法的曲線(xiàn)與實(shí)際選取的100 組態(tài)勢(shì)數(shù)據(jù)時(shí)序圖不一致；使用基于模糊邏輯的無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)系統(tǒng)最高輸入信號(hào)頻譜為20 mV，最低輸入信號(hào)頻譜為-17 mV，且在38～60 組樣本下的輸入信號(hào)波動(dòng)幅度較小，基本保持不變，與選取的100 組態(tài)勢(shì)數(shù)據(jù)時(shí)序圖一致。

4 結(jié)束語(yǔ)

為了滿(mǎn)足分析系統(tǒng)功能要求，提出了一種基于模糊邏輯的無(wú)線(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)系統(tǒng)。在系統(tǒng)結(jié)構(gòu)和功能實(shí)體設(shè)計(jì)上，采用分布式采集技術(shù)和開(kāi)放式可擴(kuò)展環(huán)形結(jié)構(gòu)，利用域內(nèi)域間的協(xié)同工作，提高了系統(tǒng)實(shí)現(xiàn)的簡(jiǎn)單性和精確性，有效地解決了單點(diǎn)失效問(wèn)題。但此次研究過(guò)程中，由于通用數(shù)據(jù)集是基于對(duì)底層可能發(fā)生的報(bào)警事件的統(tǒng)計(jì)分析，數(shù)據(jù)較為單一，未來(lái)需要進(jìn)一步研究與探討。