BP神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估探討

朱 敏

(湄洲灣職業(yè)技術(shù)學(xué)院 現(xiàn)代教育技術(shù)中心，福建 莆田，351119)

隨著全球計(jì)算機(jī)技術(shù)以及互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)也逐步復(fù)雜化、大型化，網(wǎng)絡(luò)攻擊行為手段也越來(lái)越多樣化，常規(guī)的網(wǎng)絡(luò)安全措施(防火墻、入侵檢測(cè)、加密等)大部分均屬于被動(dòng)防御，且各個(gè)防御措施之間并沒(méi)有內(nèi)在關(guān)聯(lián)，無(wú)法全方位地應(yīng)對(duì)嚴(yán)峻的網(wǎng)絡(luò)安全形式，態(tài)勢(shì)安全技術(shù)則應(yīng)運(yùn)而生[1]。態(tài)勢(shì)安全最先起源于軍事領(lǐng)域中，并引伸出了相關(guān)的態(tài)勢(shì)感知技術(shù)(Situational Awareness)，近幾年也逐步應(yīng)用到工業(yè)社會(huì)領(lǐng)域中。

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估技術(shù)的基本原理是通過(guò)安全機(jī)器收集到數(shù)據(jù)和信息，以此來(lái)獲取到網(wǎng)絡(luò)攻擊行為和對(duì)象的一致性評(píng)估，這種動(dòng)態(tài)來(lái)源相比單一的評(píng)估方式來(lái)源更加可靠。Jason Shiffley應(yīng)用本體模塊化分析網(wǎng)絡(luò)態(tài)勢(shì)安全形式，并針對(duì)不同模塊采取了不同的安全檢測(cè)技術(shù)，以此來(lái)獲取得到整體網(wǎng)絡(luò)安全態(tài)勢(shì)。Olabelurin等設(shè)計(jì)熵聚類(lèi)預(yù)測(cè)框架實(shí)現(xiàn)了DDos攻擊行為實(shí)時(shí)監(jiān)測(cè)，并可以主動(dòng)對(duì)攻擊行為實(shí)施防御。韋勇等[2]基于D-S證據(jù)理論，提出了基于日志審計(jì)的評(píng)估方法，該種評(píng)估方式更精確的評(píng)估網(wǎng)絡(luò)安全現(xiàn)狀以及發(fā)展趨勢(shì)。陳虹等[3]進(jìn)一步融合D-S理論和網(wǎng)絡(luò)告警信息、日志記錄等，結(jié)合分析鏈路安全態(tài)勢(shì)來(lái)完成對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的感知。

1 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià)模型

1.1 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估

網(wǎng)絡(luò)安全態(tài)勢(shì)感知評(píng)估充分利用各種網(wǎng)絡(luò)安全技術(shù)手段以及網(wǎng)絡(luò)設(shè)備等多維角度分析網(wǎng)絡(luò)安全要素，以此來(lái)構(gòu)建基于網(wǎng)安全行為的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估體系，協(xié)助管理人員合理調(diào)整網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備、主機(jī)等。

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估經(jīng)典模型為T(mén)im Bass入侵檢測(cè)模型，它是一個(gè)研究框架，具體如圖1所示。Tim Bass框架中包含了以下幾個(gè)步驟：

圖1 Tim Bass 入侵檢測(cè)數(shù)據(jù)融合框架knowledge

(1)數(shù)據(jù)精煉模塊：主要功能為收集網(wǎng)絡(luò)安全設(shè)備實(shí)時(shí)監(jiān)測(cè)的數(shù)據(jù)，并對(duì)這些數(shù)據(jù)進(jìn)行預(yù)處理；

(2)攻擊對(duì)象識(shí)別模塊：從空間、時(shí)間等角度關(guān)聯(lián)分析并預(yù)處理后的安全設(shè)備數(shù)據(jù)，從中識(shí)別網(wǎng)絡(luò)攻擊對(duì)象；

(3)動(dòng)態(tài)理解提煉模塊：在獲取網(wǎng)絡(luò)攻擊對(duì)象后，充分挖掘?qū)ο笾g的聯(lián)系，充分了解網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行狀態(tài)，并實(shí)現(xiàn)評(píng)估網(wǎng)絡(luò)安全態(tài)勢(shì)。

(4)威脅評(píng)估模塊：統(tǒng)計(jì)網(wǎng)絡(luò)安全攻擊行為發(fā)生概率以及造成的危害[3]，此外評(píng)測(cè)不同網(wǎng)絡(luò)安全攻擊行為對(duì)網(wǎng)絡(luò)造成的威脅程度；

(5)資源管理模塊：實(shí)時(shí)監(jiān)控全網(wǎng)態(tài)勢(shì)系統(tǒng)，并制定確保網(wǎng)絡(luò)安全的對(duì)策。

Tim Bass入侵檢測(cè)模型雖然只是一個(gè)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估框架模型，但在網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估發(fā)展中具有十分重要的作用。由于Tim Bass框架并沒(méi)有完全實(shí)現(xiàn)，由此需要后續(xù)學(xué)者深入研究相關(guān)框架理論和實(shí)踐。

1.2 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià)模型

在當(dāng)前研究中，網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià)模型有較大的差異性。根據(jù)需求不同，網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià)模型中評(píng)價(jià)因子主要有：計(jì)算機(jī)漏洞分析、入侵檢測(cè)系統(tǒng)日志、網(wǎng)絡(luò)攻擊行為、防火墻日志信息、權(quán)限設(shè)置等[4]。在網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià)模型中可以通過(guò)添加多個(gè)評(píng)價(jià)因子來(lái)提升評(píng)估結(jié)果。在深入研究后，評(píng)價(jià)因子的增加會(huì)復(fù)雜化網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)價(jià)模型的全局，對(duì)于網(wǎng)絡(luò)監(jiān)管員的要求也非常高。

從宏觀角度來(lái)提取網(wǎng)絡(luò)安全信息數(shù)據(jù)源指標(biāo)，忽視攻擊行為中的細(xì)節(jié)，并將最后量化形式的評(píng)價(jià)結(jié)果直接呈現(xiàn)給網(wǎng)絡(luò)監(jiān)管員，具體流程如圖2所示。

圖2 網(wǎng)絡(luò)評(píng)估模型

2 基于BP神經(jīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估

基于BP神經(jīng)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估實(shí)現(xiàn)流程如下：首先進(jìn)行神經(jīng)網(wǎng)絡(luò)訓(xùn)練，訓(xùn)練過(guò)程中網(wǎng)絡(luò)收斂后可以得到各項(xiàng)指標(biāo)值；然后應(yīng)用BP神經(jīng)網(wǎng)絡(luò)模型訓(xùn)練待評(píng)價(jià)評(píng)估因子，并得到網(wǎng)絡(luò)安全評(píng)估結(jié)果，反應(yīng)了當(dāng)前網(wǎng)絡(luò)的安全現(xiàn)狀。

2.1 網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估體系

網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估結(jié)果要精準(zhǔn)地反應(yīng)網(wǎng)絡(luò)安全現(xiàn)狀，這就需要對(duì)各個(gè)網(wǎng)絡(luò)安全攻擊行為進(jìn)行內(nèi)在關(guān)聯(lián)性進(jìn)行分析[5]，充分考慮網(wǎng)絡(luò)復(fù)雜性和異構(gòu)性，得出攻擊行為對(duì)態(tài)勢(shì)評(píng)估的影響，并以此來(lái)構(gòu)造態(tài)勢(shì)安全評(píng)估體系。

在分析了網(wǎng)絡(luò)攻擊行為對(duì)于態(tài)勢(shì)評(píng)估的影響后，定義了以下態(tài)勢(shì)評(píng)估因子：

(1)攻擊頻次因子：定義網(wǎng)絡(luò)運(yùn)行周期內(nèi)實(shí)時(shí)監(jiān)測(cè)到不同種類(lèi)攻擊行為的發(fā)生頻次，符號(hào)定位為Ci(i表示第i種攻擊行為類(lèi)型)。

(2)攻擊數(shù)量因子：定義網(wǎng)絡(luò)運(yùn)行周期內(nèi)實(shí)時(shí)監(jiān)測(cè)統(tǒng)計(jì)到的攻擊行為數(shù)量，符號(hào)定義為N。

(3)攻擊威脅因子：定義網(wǎng)絡(luò)安全攻擊行為導(dǎo)致的安全行為影響[1]，符號(hào)定位為Xi(i表示第i種攻擊行為類(lèi)型)。

由于不同類(lèi)型攻擊行為對(duì)網(wǎng)絡(luò)安全的威脅程度不同，因此，定義了在t時(shí)刻每種網(wǎng)絡(luò)安全攻擊類(lèi)型的評(píng)估威脅指數(shù)為：

根據(jù)網(wǎng)絡(luò)安全運(yùn)行狀態(tài)分析，根據(jù)攻擊威脅度水平將態(tài)勢(shì)評(píng)估指標(biāo)體系劃分為以下4個(gè)等級(jí)：安全、輕度、中度、重度[2]。為了更好地直觀分析網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估，對(duì)各個(gè)等級(jí)采用數(shù)值化定量分析，如表1所示。

表1 網(wǎng)絡(luò)安全等級(jí)劃分

2.2 構(gòu)建BP網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型

在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型中，將BP神經(jīng)網(wǎng)絡(luò)輸入指標(biāo)作為態(tài)勢(shì)指標(biāo)評(píng)估因子，BP神經(jīng)網(wǎng)絡(luò)在訓(xùn)練過(guò)程逐步優(yōu)化確定每層中各個(gè)參數(shù)[5]，輸出參數(shù)為網(wǎng)絡(luò)安全等級(jí)值。訓(xùn)練過(guò)程中應(yīng)用遺傳算法優(yōu)化各個(gè)參數(shù)來(lái)快速獲取全局最優(yōu)解，提升網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型準(zhǔn)確性和效率[6]。

訓(xùn)練過(guò)程中遺傳算法中通過(guò)優(yōu)化權(quán)值避免初始值的盲目性[3]。BP神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)中將神經(jīng)元作為遺傳算法中染色體，通過(guò)選擇適合的適應(yīng)度函數(shù)實(shí)現(xiàn)迭代操作，迭代結(jié)束后輸出網(wǎng)絡(luò)安全等級(jí)。

(1)編碼。訓(xùn)練過(guò)程中BP神經(jīng)網(wǎng)絡(luò)中將節(jié)點(diǎn)劃分為：輸入層節(jié)點(diǎn)為j、隱含層節(jié)點(diǎn)為j、輸出層節(jié)點(diǎn)為k，并定義訓(xùn)練矩陣為：

輸入層-隱含層之間的權(quán)值矩陣為：

隱含層闕值矩陣為：

隱含層和輸出層權(quán)值矩陣為：

輸出層的闕值矩陣為：

遺傳算法會(huì)優(yōu)化BP神經(jīng)網(wǎng)絡(luò)中的權(quán)值[4]，這就需要將上述節(jié)點(diǎn)矩陣變換為染色體串，設(shè)計(jì)的染色體串編碼方式為二進(jìn)制編碼，每個(gè)系數(shù)的值均采用x個(gè)染色體位構(gòu)成，且x的值取決于當(dāng)前精度，由此編碼映射關(guān)系如圖3所示。

圖3 編碼映射關(guān)系圖

(2)適應(yīng)度評(píng)價(jià)。適應(yīng)度函數(shù)則是遺傳算法性能的重要指標(biāo)，在滿(mǎn)足了BP算法需求后，適應(yīng)度函數(shù)采用分類(lèi)誤差準(zhǔn)確度函數(shù)：通過(guò)計(jì)算輸入樣本得到誤差函數(shù)值，然后根據(jù)誤差結(jié)果來(lái)評(píng)價(jià)網(wǎng)絡(luò)安全，誤差值越小表示適應(yīng)度越大。

(3)選擇、交叉、變異操作

保留適應(yīng)度較高的個(gè)體，重組適應(yīng)度較低的個(gè)體，并生成下一代適應(yīng)度更高的群體。

(4)迭代上述操作，直至找到收斂值。

構(gòu)建基于BP神經(jīng)神經(jīng)安全態(tài)勢(shì)評(píng)估模型的基本流程如下：初始化BP神經(jīng)網(wǎng)絡(luò)參數(shù)，并將預(yù)處理后的原始數(shù)據(jù)輸入到態(tài)勢(shì)評(píng)估模型中[5]，應(yīng)用遺傳算法對(duì)權(quán)值迭代選擇優(yōu)化，以此來(lái)快速獲取得到訓(xùn)練參數(shù)值，增強(qiáng)網(wǎng)絡(luò)泛化能力和訓(xùn)練結(jié)果精確性，訓(xùn)練結(jié)束后直接輸出網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估結(jié)果值。

3 實(shí)驗(yàn)結(jié)果分析

3.1 實(shí)驗(yàn)環(huán)境發(fā)建

搭建網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4實(shí)驗(yàn)環(huán)境所示，模擬實(shí)際攻擊行為發(fā)起對(duì)網(wǎng)絡(luò)的攻擊，應(yīng)用網(wǎng)絡(luò)傳感器數(shù)據(jù)采集工具收集路由器的Snort攻擊信息。實(shí)驗(yàn)數(shù)據(jù)采用KDD Cup99數(shù)據(jù)集，通過(guò)標(biāo)注網(wǎng)絡(luò)攻擊行為能夠較為精準(zhǔn)的獲取攻擊行為監(jiān)測(cè)率。KDD Cup99數(shù)據(jù)集中每條紀(jì)錄都是由42位組成，前41位為特征字段，第42位為標(biāo)注字段，根據(jù)設(shè)計(jì)的攻擊威脅因子X(jué)i，不同類(lèi)型的攻擊行為對(duì)網(wǎng)絡(luò)安全運(yùn)行威脅程度均不同，各個(gè)攻擊類(lèi)型分布如表2所示。

圖4 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

表2 攻擊行為類(lèi)型分布表

KDD Cup數(shù)據(jù)集過(guò)于龐大，采取其中的10%數(shù)據(jù)作為實(shí)驗(yàn)數(shù)據(jù)，并隨機(jī)劃分為訓(xùn)練樣本、測(cè)試樣本，具體分配情況如表3所示。

表3 數(shù)據(jù)集劃分

3.2 實(shí)驗(yàn)結(jié)果分析

通過(guò)對(duì)比分析常規(guī)BP算法來(lái)驗(yàn)證遺傳算法對(duì)BP神經(jīng)網(wǎng)絡(luò)權(quán)值算法的優(yōu)化效率，實(shí)驗(yàn)結(jié)果如圖5所示。實(shí)驗(yàn)結(jié)果顯示兩者算法收斂結(jié)果保持一致[6]，但收斂速度明顯高于常規(guī)BP算法，表明應(yīng)用遺傳算法優(yōu)化BP神經(jīng)網(wǎng)絡(luò)權(quán)值可以確保訓(xùn)練結(jié)果的精確性，效率更高。

圖5 實(shí)驗(yàn)結(jié)果對(duì)比圖

應(yīng)用BP神經(jīng)網(wǎng)絡(luò)訓(xùn)練集評(píng)估測(cè)試數(shù)據(jù)集，并分析輸出的安全評(píng)估等級(jí)值(0～1)，并將與期望值進(jìn)行對(duì)比分，對(duì)比如圖6所示。通過(guò)分析對(duì)比圖可知，評(píng)估結(jié)果值和期望值趨向以及大小值均保持一致，表明設(shè)計(jì)的算法具備非常好的評(píng)估精確率、時(shí)效性。

圖6 威脅值對(duì)比圖

4 結(jié) 論

構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)感知評(píng)估模型可以提升評(píng)估網(wǎng)絡(luò)安全性能，并提升網(wǎng)絡(luò)安全預(yù)警的精確性。通過(guò)分析當(dāng)前網(wǎng)絡(luò)安全情況，設(shè)計(jì)了攻擊指標(biāo)因子來(lái)全面反應(yīng)網(wǎng)絡(luò)攻擊行為。此外更好地解決了收斂速度較低、訓(xùn)練效率差等問(wèn)題。應(yīng)用遺傳算法來(lái)優(yōu)化BP神經(jīng)網(wǎng)絡(luò)訓(xùn)練過(guò)程權(quán)值，提升了訓(xùn)練效率，并基于優(yōu)化后的BP神經(jīng)網(wǎng)絡(luò)構(gòu)建了網(wǎng)絡(luò)態(tài)勢(shì)評(píng)估模型指標(biāo)體系，實(shí)時(shí)統(tǒng)計(jì)監(jiān)控分析網(wǎng)絡(luò)安全狀態(tài)。實(shí)驗(yàn)結(jié)果表明，文章提出的基于BP神經(jīng)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型中具備較好的訓(xùn)練集以及收斂速度，評(píng)估效率也更符合預(yù)期值。