基于量子遺傳算法的網(wǎng)絡(luò)安全態(tài)勢感知研究

耿方方，王 昂

(1.河南中醫(yī)藥大學(xué)網(wǎng)絡(luò)中心，河南 鄭州 450046；2.河南中醫(yī)藥大學(xué)信息技術(shù)學(xué)院，河南 鄭州 450046)

1 引言

在信息快速發(fā)展的時代，網(wǎng)絡(luò)技術(shù)已經(jīng)普及到各個領(lǐng)域，人類對網(wǎng)絡(luò)技術(shù)也更加依賴，與此同時也帶來了一系列的網(wǎng)絡(luò)安全問題。為了應(yīng)對網(wǎng)絡(luò)安全隱患，研究者提出多種防范技術(shù)，尤其是網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)[1-2]。當(dāng)前關(guān)于網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)仍然處于初級發(fā)展階段，為了進(jìn)一步提高網(wǎng)絡(luò)預(yù)測的性能，許多學(xué)者將人工智能技術(shù)引入到網(wǎng)絡(luò)安全態(tài)勢感知領(lǐng)域中[3]。

文獻(xiàn)[4]提出了一種基于SOA_BP的網(wǎng)絡(luò)安全態(tài)勢預(yù)測算法，利用人群算法的四方面行為特征確定搜索方向，找到最優(yōu)的權(quán)值和閾值，然后在神經(jīng)網(wǎng)絡(luò)的不斷訓(xùn)練下，得出最終的預(yù)測值，實驗結(jié)果表明，該算法對網(wǎng)絡(luò)安全態(tài)勢感知有較好的穩(wěn)定性，但該方法存在“早熟”現(xiàn)象。文獻(xiàn)[5]對網(wǎng)絡(luò)中的態(tài)勢指標(biāo)采取離散化操作，然后通過不同的評價方法對態(tài)勢指標(biāo)進(jìn)行分級處理，最后將底層的態(tài)勢指標(biāo)通過貝葉斯方法融合到態(tài)勢層，得出網(wǎng)絡(luò)態(tài)勢評估，實驗結(jié)果表明，該方法評估結(jié)果較準(zhǔn)確，但對網(wǎng)絡(luò)整體態(tài)勢預(yù)測需進(jìn)一步加強。文獻(xiàn)[6]設(shè)計了預(yù)測方法，該方法將網(wǎng)絡(luò)數(shù)據(jù)訓(xùn)練結(jié)果劃分到規(guī)則域中，然后設(shè)定臨界值將劃分規(guī)則按優(yōu)化程度劃分到3個等級中，減少網(wǎng)絡(luò)中待優(yōu)化的參數(shù)個數(shù)，實驗結(jié)果表明，該方法能夠避免網(wǎng)絡(luò)數(shù)據(jù)的過擬合現(xiàn)象，但訓(xùn)練效率不高。

針對以上研究成果，本文提出了基于量子遺傳算法的網(wǎng)絡(luò)安全態(tài)勢感知方法。通過對5種網(wǎng)絡(luò)屬性相似度的研究，有效過濾網(wǎng)絡(luò)中的冗余信息。對網(wǎng)絡(luò)攻擊分布、條件概率以及特征幅頻的分析，得到網(wǎng)絡(luò)安全態(tài)勢指數(shù)，并在此基礎(chǔ)上引入量子遺傳算法，構(gòu)建網(wǎng)絡(luò)安全感知模型完成目標(biāo)函數(shù)的優(yōu)化，最終實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢的穩(wěn)定可靠感知。

2 網(wǎng)絡(luò)態(tài)勢關(guān)聯(lián)性分析

網(wǎng)絡(luò)態(tài)勢信息的關(guān)聯(lián)性直接影響到態(tài)勢感知的結(jié)果，因此通過關(guān)聯(lián)性分析，將網(wǎng)絡(luò)態(tài)勢中相關(guān)的信息進(jìn)行合并，可以為網(wǎng)絡(luò)感知做好預(yù)處理[7]。根據(jù)屬性的相似度函數(shù)計算網(wǎng)絡(luò)態(tài)勢信息的相似度。為了全面準(zhǔn)確的衡量相似度，本文分別對5個方面的相似度函數(shù)進(jìn)行研究。

端口是指主機上程序通信時的接口，當(dāng)一臺主機受到攻擊時，與其接近的端口受攻擊的概率最大，端口相似度用公式可表示為

(1)

對構(gòu)成網(wǎng)絡(luò)的IP地址進(jìn)行二進(jìn)制相似度計算，其中IPV4表示為8位，IPV6表示為16位，那么IP地址每個部分的相似度函數(shù)用公式可表示為

(2)

其中，nsame表示二進(jìn)制按位相同的1的個數(shù)；N表示二進(jìn)制總位數(shù)。IP地址整個相似度函數(shù)用公式可表示為

(3)

協(xié)議相似度結(jié)果只有兩種狀態(tài)，要么相同，要么不同。因此衡量協(xié)議相似度的方法比較簡單，用公式可表示為

(4)

其中，xport和yport分別表示兩個網(wǎng)絡(luò)信息記錄所對應(yīng)的端口值。

時間相似度與網(wǎng)絡(luò)信息發(fā)生的時間及時間閾值有關(guān)，用公式可表示為

(5)

其中，t表示網(wǎng)絡(luò)信息的時間閾值；xtime和ytime分別表示網(wǎng)絡(luò)事件x和y發(fā)生時對應(yīng)的時間值。

安全是網(wǎng)絡(luò)中最重要的一個環(huán)節(jié)，安全事件整體相似度用公式可表示為

(6)

由于網(wǎng)絡(luò)態(tài)勢要素提取的信息來源較廣泛，大多數(shù)事件間存在一定的聯(lián)系，因此本文通過網(wǎng)絡(luò)安全特征相似度的綜合分析方法，從網(wǎng)絡(luò)攻擊報警的原始數(shù)據(jù)出發(fā)，對網(wǎng)絡(luò)安全中相互關(guān)聯(lián)的信息進(jìn)行排除，為后續(xù)網(wǎng)絡(luò)安全態(tài)勢感知做好充分的準(zhǔn)備。

3 網(wǎng)絡(luò)安全態(tài)勢感知

在錯綜復(fù)雜的網(wǎng)絡(luò)環(huán)境中，病毒很容易入侵網(wǎng)絡(luò)系統(tǒng)，為了對網(wǎng)絡(luò)安全態(tài)勢感知進(jìn)行優(yōu)化，本文采用信號處理方法對網(wǎng)絡(luò)安全態(tài)勢進(jìn)行研究。假設(shè)病毒在網(wǎng)絡(luò)環(huán)境中入侵了m個端口，則病毒入侵流的特征分布可表示為

z(k)=[z1(k)，z2(k)，z3(k)，…，zm(k)]

(7)

其中，k表示網(wǎng)絡(luò)安全態(tài)勢屬性值；zi(k)表示病毒攻擊網(wǎng)絡(luò)的特征向量時間。假定病毒攻擊下的n維隨機分布用(z1，z2，z3，…，zn)表示，那么病毒分布函數(shù)可表示為

(8)

(9)

Q(γ1，γ2，…，γn)=E{expj[γ1z1+γ2z2…+γnzn]}

(10)

那么病毒對網(wǎng)絡(luò)進(jìn)行攻擊時，病毒的特征幅度和特征頻率可表示為：

(11)

通過對病毒特征幅度和頻率的構(gòu)建，可對網(wǎng)絡(luò)信息進(jìn)行重組，那么病毒攻擊分布迭代函數(shù)可表示為

ζd(k+1)=ζd(k)-fR[b(k)c*(k)]

(12)

其中，ζd(k)表示網(wǎng)絡(luò)信息初始狀態(tài)相量，網(wǎng)絡(luò)安全態(tài)勢感知模型分別以角度ζ0，ζ1，ζ2，…ζq進(jìn)行全方位的病毒攔截。若采集的網(wǎng)絡(luò)信號為穩(wěn)定的隨機信號，可通過ARMA模型分別模擬出病毒入侵網(wǎng)絡(luò)時的網(wǎng)絡(luò)安全態(tài)勢與主機的威脅指數(shù)[8]，公式可表示為

(13)

其中，zk表示網(wǎng)絡(luò)安全態(tài)勢的時域，且zk∈Rnσ；σk表示整個時頻內(nèi)的干擾；yk表示每個節(jié)點采集的網(wǎng)絡(luò)信息，且yk∈Rnδ；δk表示整個時頻內(nèi)的干擾。此時網(wǎng)絡(luò)威脅安全態(tài)勢指數(shù)可表示為

(14)

(15)

其中，n表示預(yù)測誤差；H表示特征因子的種類；γi表示病毒入侵的特征。

4 量子遺傳算法感知模型

根據(jù)對復(fù)雜環(huán)境下病毒攻擊網(wǎng)絡(luò)安全態(tài)勢模型的建立，提出基于量子遺傳算法感知模型，通過量子遺傳算法實現(xiàn)目標(biāo)函數(shù)的優(yōu)化。在量子網(wǎng)絡(luò)環(huán)境中，一個量子的比特狀態(tài)可表示為

(16)

其中，As表示狀態(tài)<0>時的幅值常數(shù)；Bs表示狀態(tài)<1>時的幅值常數(shù)；|As|2表示量子態(tài)為觀測值0時的概率；|Bs|2表示量子態(tài)為觀測值1時的概率。量子遺傳算法需要把量子比特帶入遺傳編碼中，以完成染色體的更新，量子遺傳算法中帶有量子比特的遺傳編碼染色體結(jié)構(gòu)可表示為

(17)

(18)

?i=f(Asi，Bsi)*Δ?

(19)

其中，f(Asi，Bsi)表示控制旋轉(zhuǎn)角的方向函數(shù)；Δ?表示控制旋轉(zhuǎn)角的旋轉(zhuǎn)角度。假定網(wǎng)絡(luò)安全態(tài)勢評估模型的概率分布用x(t)表示，基于染色體檢測，遺傳下安全態(tài)勢評估的幅度大小和頻率大小可表示為

(20)

基于網(wǎng)絡(luò)信息數(shù)據(jù)的分類，對入侵病毒作量子遺傳特征分解處理，當(dāng)?shù)螖?shù)為最大時，交叉概率用公式可表示為

(21)

其中，Ix(i，j)表示病毒入侵網(wǎng)絡(luò)時的數(shù)值交換脈沖響應(yīng)，且滿足Ix(i，j)∈R，?(i，j)。量子遺傳算法中染色體由3個子模塊組成，可通過遺傳進(jìn)化對網(wǎng)絡(luò)所感染到病毒區(qū)域的免疫性進(jìn)行檢測，結(jié)合量子遺傳算法對整個網(wǎng)絡(luò)空間進(jìn)行時頻伸縮處理，得到網(wǎng)絡(luò)安全態(tài)勢感知的經(jīng)驗分布函數(shù)如下

(22)

通過量子遺傳進(jìn)化的特征約束條件，求出每個染色體的相應(yīng)代價，得出網(wǎng)絡(luò)安全態(tài)勢感知的時頻響應(yīng)，公式可表示為

(23)

若病毒對網(wǎng)絡(luò)環(huán)境較為適應(yīng)，可通過量子遺傳進(jìn)化對入侵的病毒進(jìn)行強度測量，從而可以得出網(wǎng)絡(luò)安全態(tài)勢感知的迭代方程，表示為

(24)

其中

(25)

綜上所述，利用量子遺傳算法可以感知到網(wǎng)絡(luò)安全態(tài)勢評估的幅度和頻率值，并且能夠?qū)W(wǎng)絡(luò)病毒的交叉點進(jìn)行區(qū)域匹配設(shè)置，有利于網(wǎng)絡(luò)安全態(tài)勢的準(zhǔn)確感知。

5 仿真結(jié)果分析

(26)

通過歷史網(wǎng)絡(luò)安全態(tài)勢對當(dāng)前網(wǎng)絡(luò)安全態(tài)勢進(jìn)行預(yù)測分析，按照網(wǎng)絡(luò)數(shù)據(jù)采集的時間，將預(yù)測周期規(guī)定為10小時，共劃分5個時間段(2小時/每段)，根據(jù)歷史網(wǎng)絡(luò)安全態(tài)勢完成5個時間段的網(wǎng)絡(luò)安全態(tài)勢預(yù)測，將本文方法與文獻(xiàn)[4]、文獻(xiàn)[5]和文獻(xiàn)[6]進(jìn)行實驗對比，結(jié)果如圖1所示。

圖1 網(wǎng)絡(luò)安全態(tài)勢預(yù)測對比圖

從圖中可以看出，文獻(xiàn)[4]得出的安全態(tài)勢預(yù)測值在開始時間段相對實際值波動幅度較大，直到后面的時間段才相對穩(wěn)定。文獻(xiàn)[5]在第3個時間段的安全態(tài)勢預(yù)測值與實際值相差較大。文獻(xiàn)[6]得出的安全態(tài)勢預(yù)測值與實際值相比波動較大，預(yù)測效果不穩(wěn)定。而本文方法得到的安全態(tài)勢預(yù)測值與實際值較為接近，波動幅度最小，擬合性能明顯優(yōu)于其它方法。

為了進(jìn)一步衡量網(wǎng)絡(luò)安全態(tài)勢感知效果，引入絕對誤差指標(biāo)，公式表示為

(27)

圖2 絕對誤差指標(biāo)對比圖

在絕對誤差衡量基礎(chǔ)上，采用平均平方百分比誤差(MSPE)和均方誤差(RMSE)對網(wǎng)絡(luò)安全態(tài)勢預(yù)測進(jìn)行分析。MSPE與RMSE的公式表示為

(28)

其中，M表示樣本個數(shù)。MSPE和RMSE的值越小，說明網(wǎng)絡(luò)預(yù)測越準(zhǔn)確。

表1給出了采用本文算法以及與文獻(xiàn)[4]、文獻(xiàn)[5]、文獻(xiàn)[6]算法情況下，網(wǎng)絡(luò)安全態(tài)勢預(yù)測值與真實值之間的MSPE和RMSE值。從表中可以看出，本文算法的安全態(tài)勢預(yù)測值與實際值之間的MSPE和RMSE值相對于文獻(xiàn)[4]、文獻(xiàn)[5]、文獻(xiàn)[6]都是最小的，說明基于量子遺傳算法的網(wǎng)絡(luò)安全態(tài)勢感知具有更高的精確性。

表1 預(yù)測誤差對比

6 結(jié)束語

本文提出一種基于量子遺傳算法的網(wǎng)絡(luò)安全態(tài)勢感知方法，先對網(wǎng)絡(luò)安全進(jìn)行關(guān)聯(lián)性分析，將網(wǎng)絡(luò)態(tài)勢中相關(guān)的信息采取合并處理。再利用病毒攻擊特征計算出網(wǎng)絡(luò)安全態(tài)勢指數(shù)。最后采用量子遺傳算法對網(wǎng)絡(luò)攻擊特征進(jìn)行提取，完成網(wǎng)絡(luò)安全態(tài)勢的感知。實驗結(jié)果表明，本文方法得到的安全態(tài)勢預(yù)測值與實際值更為吻合，且絕對誤差僅為-0.28，平均平方百分比誤差僅為0.16，均方誤差僅為0.11，充分表明本文方法對網(wǎng)絡(luò)安全態(tài)勢具有更高的感知精確性。