基于人工免疫算法的網絡安全風險檢測技術

聞乾達，王秀華

（1運城學院數學與信息技術學院 山西 運城 044000）

（2晉中學院信息技術與工程系 山西 晉中 030600）

0 引言

網絡信息的載體、傳播方式的改變及互聯網行業持續不斷的創新發展，為網絡信息傳輸提供便利的同時，也為攻擊者提供了更加快捷的攻擊渠道。為檢測網絡安全，相關研究人員設計了多種風險檢測方法。其中，基于N-gram算法的檢測方法，與基于自動化分析的檢測方法應用較為廣泛。基于N-gram算法的檢測方法，主要是針對網絡通信協議分析網絡安全風險，并以特征匹配的方式，捕獲存在風險的數據包，以此提升網絡風險檢測精準度[1]。基于自動化分析的檢測方法，主要是利用自動化檢測技術，對網絡環境數據進行實時監督，并在網絡環境監測過程中，引入自動化風險分析技術，從而提升網絡風險檢測精準度[2]。以上2種方法，主要是針對已發生的網絡攻擊進行檢測，難以將網絡用戶的損失降到最低，且難以滿足如今的網絡環境[3]。

為解決上述方法中存在的問題，本文基于人工免疫算法設計了一種新的網絡安全風險檢測技術。人工免疫是將病毒接種到人體中，使人產生抗體，對抗相應的病毒[4]。應用至網絡安全中，網絡攻擊即病毒，網絡即人體，使網絡適應攻擊類型，并作出基本防御，提升網絡安全性，確保網絡用戶的用網安全。

1 方法設計

1.1 判別網絡安全風險來源

在判定網絡安全風險來源的過程中，主要從網絡漏洞的嚴重程度、攻擊者與受害者的漏洞邏輯關系，以及模擬網絡攻擊場景3個方面判定，定量分析網絡潛在風險[5]。引進CVSS標度分析每個風險源，見表1。

表1 網絡安全風險來源

在表1中，針對不同的風險源，對風險安全指標賦予不同級別的量化值。CVSS標度量化值受到取值的影響：本地AV量化值為0.365，鄰近網絡AV量化值為0.616，網絡AV量化值為0；高AC量化值為0.36，中AC量化值為0.62，低AC量化值為0.72；多個AU量化值為0.46，單一AU量化值為0.57，無AU量化值為0.705；無影響C/I/A量化值為0，部分影響C/I/A量化值為0.285，完全影響C/I/A量化值為0.665。

1.2 進行網絡安全風險實時評估

從網絡安全狀態變化情況進行分析，考慮攻擊者的攻擊強度，對安全風險數據進行評估[7]。當網絡攻擊發生時，漏洞的潛在風險被引發，形成整個網絡的風險[8]。本文利用網絡漏洞的脆弱性，對網絡進行科學的風險評估，以此構建一個風險動態評估圖[9]。本文給定一個攻擊路徑集合A，找出最佳加固方案，使網絡加固效果達到最佳，其公式可表示為

式中：δ為風險要素；F()δ為風險評估的目標函數；a1()δ為決策向量1a在攻擊路徑集合A的安全風險；a2()δ為決策向量a2在攻擊路徑集合A的安全風險；1a、a2為集合A的決策向量；t為攻擊次數。在此基礎上，本文利用人工免疫算法對決策向量進行編碼，并將風險評估的目標函數F()δ作為抗原，則抗原群體（網絡風險攻擊策略）可表示為

式中：K為抗原群體（網絡風險攻擊策略）；iδ為抗原群體中的第i個風險要素；I為網絡攻擊可能性；Mδ為風險要素的CVSS標度量化值。人工免疫算法的克隆選擇機制，能夠針對K克隆，創建抑制共同抗體，使算法更快地收斂，達到最優解。

1.3 基于人工免疫算法檢測網絡免疫風險

為實現網絡風險的定量檢測，對網絡進行免疫監視。其中，K每隔t就更新一次，在t次攻擊過程中，被激活的免疫細胞與成熟細胞檢測到的無效K進行自體刪除。將網絡中所有抗原數據集合，產生記憶細胞，抵抗風險抗原。將記憶細胞分類，網絡面臨的總體風險可表示為

式中：R(k)為網絡面臨的總體風險；iκ為主機受到攻擊的危險性。當R(k)=0時，表示網絡攻擊對主機沒有威脅，為網絡免疫風險狀態，該值越大，網絡風險越大，危險性越高。對網絡風險度量指標進行計算，其公式可表示為

2 實驗

為驗證本文設計的檢測方法是否具有使用價值，以蔣榮萍[1]25基于N-gram算法的檢測方法為對比方法1、嚴威等[2]16基于自動化分析的檢測方法為對比方法2，進行3種方法的對比實驗。

2.1 實驗過程

本文實驗在某大學網絡安全實驗室進行，共計20臺計算機參與實驗。模擬出DOS、MITM、syn flood、land、teardrop、鯨魚釣魚、勒索軟件、SQL注入等約20種網絡攻擊，并進行檢測。當網絡攻擊的威脅性超過0.5，即為“病情”嚴重，需要管理。利用人工免疫算法進行風險檢測，抗原由風險源地址、目的地址、端口號等組成，其更新時間設為6，免疫細胞的成熟周期設為3 d。實驗前對每個參數進行10次及以上實驗以調整參數設置，確保實驗參數的穩定性。

調整激活閾值μ參數，TP值是人工免疫算法的關鍵指標，代表免疫細胞的凝血時間。TP值越高，免疫細胞在成熟周期內被激活進化為記憶細胞的可能性越大。m對TP值得影響如圖1所示。可以看出，在μ=4時，免疫細胞在23 000 s處成熟，TP=0.9；μ=8時，免疫細胞在15 000 s處成熟，TP=1.1；μ=12時，免疫細胞在11 000 s處成熟，TP=1.0。由此可見，在μ=12時，免疫細胞成熟速度較快，TP值較大，生成記憶細胞的數目較多，網絡風險的檢測精準度較高。

圖1 μ對值TP的影響

對參數ε進行分析，ε為免疫細胞成熟的最大數目。TP值越高，成熟的細胞數目越多，檢測得到的風險越精準。ε對TP值的影響如圖2所示，設置ε取值為300、500、700。可以看出，當ε=300時，細胞在10 000 s處成熟數目穩定，TP=0.8；當ε=500時，細胞在21 000 s處成熟數目穩定，TP=0.9；當ε=700時，細胞在10 000 s處成熟數目穩定，TP=1.0。由此可見，在ε=700時，TP值較大，免疫細胞成熟數目最多且穩定，網絡風險的檢測精準度較高。

圖2 ε對TP值的影響

在免疫細胞成熟后，對免疫細胞抗體濃度保持周期η進行分析。風險指標越高，網絡風險越大，對網絡用戶的危害越大。已知網絡風險指標為1.0，在η取值為5 000、10 000、20 000基礎上，風險指標達到1.0才能保證檢測效果。h對風險評估的影響如圖3所示，可以看出，當h=5 000時，在60～70 s處存在穩定的風險指標，為1.0；當h=10 000時，在50～60 s處存在穩定的風險指標，為1.0；當h=20 000時，在70～80 s處存在穩定的風險指標，為1.0。由此證明，在h=10 000時，能夠快速地檢測出風險指標，縮短網絡攻擊檢測時間。

圖3 η對風險評估的影響曲線

2.2 實驗結果

對比3種方法檢測到的風險指標，檢測到的風險指標與實際指標越接近，風險等級判定越合理，風險檢測精準度也越高。實驗結果見表2，可見，在其他條件均一致的情況下，2種對比方法檢測到的風險指標與網絡風險度量指標分別相差±0.05和±0.02，檢測誤差相對較高。而本文方法檢測到的風險指標與網絡風險度量指標相差±0.001，檢測誤差相對較低，且本文方法檢測的風險指標與實際指標一致，能夠保證后續風險等級的判定有效性，對于網絡安全使用具有重要作用，符合本文研究目的。

表2 實驗結果

3 結語

風險檢測能夠挖掘出網絡自身的脆弱性，并找出風險源，在網絡攻擊發生之前，及時作出示警并進行安全加固，最大限度地保證網絡用戶的用網安全。本文利用人工免疫算法，提出了一種網絡安全風險檢測方法。從風險源判別、風險評估、風險免疫檢測等方面，實現網絡風險的精準檢測。再在實驗室中模擬出多種網絡攻擊類型，對網絡風險指標進行檢測，結果表明本文方法在網絡安全風險檢測中具備較為良好的效果，為網絡后續安全加固提供支撐。