卡爾曼熵值模型的網絡安全態勢估計

朱聞亞

(1. 武漢大學 經濟與管理學院， 湖北 武漢 430000；2. 義烏工商職業技術學院 機電信息學院， 浙江 義烏 322000)

卡爾曼熵值模型的網絡安全態勢估計

朱聞亞1,2

(1. 武漢大學 經濟與管理學院， 湖北 武漢 430000；2. 義烏工商職業技術學院 機電信息學院， 浙江 義烏 322000)

針對網絡安全態勢估計問題，提出一種基于卡爾曼熵值模型的估計方法.根據熵值關聯度,篩選出影響網絡安全的關鍵因素，構建回歸方程；構建網絡安全評估的狀態模型和測量模型.采用卡爾曼濾波對網絡安全態勢進行估計.結果表明:文中方法可以對網絡安全態勢作出精確估計. 關鍵詞： 關聯度; 回歸方程; 安全估計; 測量模型

為了提升網絡使用安全水平，國家提出了網絡信息安全戰略[1].在網絡安全問題應對早期階段，3種最典型的方法[2-3]是脆弱性評估法、防火墻監控法和入侵檢測法.隨后，各種網絡安全的監控和評估方法陸續出現.韋勇等[4]根據網絡登陸訪問和信息處理的相關日志文件，提出一種網絡性能修正算法，進而構建一個適用于網絡安全態勢評估的全新模型.姜偉等[5]采用攻防博弈模型對網絡安全程度進行評價，并提出最優主動防御策略以增加網絡安全.黃同慶等[6]構建了一種實時的網絡安全態勢預測方法.劉玉嶺等[7]構建了一種時空維度分析方法，以實現對網絡安全態勢的預測.任江偉等[8]提出一種信息融合的網絡安全態勢評估模型，從多個角度提取網絡安全的表征信息，并將這些信息融合在一起作為網絡安全水平的判斷依據.趙穎等[9]提出網絡安全的未來發展趨勢在于數據的可視化、網絡狀態的可視化，讓監控人員可以更加直觀地發現當前網絡所處的狀態.本文根據已有研究成果，結合灰熵關聯度和卡爾曼濾波，構建一種新的網絡安全態勢評估方法，以實現更加準確的網絡安全態勢估計.

1 網絡安全態勢估計方法

1.1 卡爾曼濾波模型

卡爾曼濾波模型的狀態方程表示為

(1)

式(1)中：Y(k)用于表達網絡安全系統在第k時刻所表現出來的狀態；G(k+1,k)用于表達網絡安全系統從第k時刻所表現出的狀態到第k+1時刻狀態的轉移，也稱為狀態轉移矩陣；U1(k)用于表達整個網絡安全運行過程中的噪聲或可能出現的誤差[10].

卡爾曼濾波模型的量測方程表示為

(2)

式(2)中：z(k+1)表達網絡安全系統在第k+1時刻所能觀測到的信息；網絡安全的狀態向量Y(k+1)也是可以量測的.

對于k≥1后的各個狀態向量y(i)，如果i>n，通過卡爾曼濾波模型的狀態方程可以得到n時刻后的狀態，再通過量測方程的觀察,就可以估計出n時刻之后的網絡安全狀態信息.

1.2 網絡安全態勢的新信息估計

用M(k)表示第k個時刻的網絡安全新信息，那么,對于網絡安全態勢z(k)，其新信息的表達式為

(3)

式(3)中：z1(k)的計算需要借助最小二乘法，它是網絡安全態勢的最小二乘估計結果.

根據新信息理論，按照上述過程計算出網絡安全態勢新信息.

1.3 卡爾曼熵值模型網絡安全態勢估計方法

步驟1 用z(k)表達第k個時刻的網絡安全態勢數據信息，那么，z(k+1)就表達了第k+1時刻的網絡安全態勢數據信息.采用灰度熵值的計算方法，通過比較關聯度的大小確定影響網絡安全態勢的m個關鍵參數，這時yi(k)就表達了第k個時刻關鍵參數i的信息，yi(k+1)就表達了第k+1個時刻關鍵參數i的信息，進而可以建立一個網絡安全態勢和關鍵參數之間的回歸方程，即

(4)

式(4)中：參數b0，0，b0,1，…，bm,m和δ0，δ1，…，δm均為回歸系數，可以通過最小二乘法求得.

步驟2 在網絡安全態勢和關鍵參數之間回歸方程的基礎上，根據卡爾曼濾波模型的基本原理，構建網絡安全態勢的卡爾曼狀態方程和量測方程，分別為

(5)

步驟3 對Y(0)等向量信息進行數據初始化.

步驟4 求取網絡安全態勢的新信息z(k)，表示為

(6)

式(6)中：B(k)G(k)Yi(k-1)用于表達z(k)的一個估計值.

2 結果與分析

用mi表達計算機i上的抗體數量，mi,j表達計算機i上遭受到第j類攻擊的抗體數量，θj表達第j類攻擊的可能造成的危險程度，?i表達計算機i的重要程度，yi表達網絡安全狀態下計算機i上的抗體數量，那么，需要計算以下3種網絡安全風險.

第1種風險：單臺計算機遭受攻擊的風險，其數學表達式描述為

(7)

第2種風險：整個網絡遭受第j類攻擊的風險，其數學表達式描述為

(8)

第3種風險：整個網絡遭受所有可能攻擊的風險，其數學表達式描述為

(9)

通過判斷上述3類風險和對應的抗體濃度，就可以形成對計算機網絡安全態勢的大致判斷.上述3類風險在數值表達上可能存在較大的差異，為此,對其進行歸一化處理，使這三類風險的數值均分布在0到1的數值區間上，其數學公式為

(10)

式(10)中：ymax為網絡安全態勢的極大值；ymin為網絡安全態勢的極小值；y為網絡安全態勢的當前值.

在上述處理的基礎上，為灰度熵值關聯度的計算選擇3個常見的網絡安全影響參數，即網絡遭受的攻擊強度、計算機網絡流量和計算機網絡流量的變化率，如表1所示.

表1 網絡安全的3個影響參數Tab.1 Three influencing parameters on network security

結合表1數據，采用式(4)，計算網絡安全態勢影響因素中前10，20，30組的灰熵關聯度，結果如表2所示.由表2可知：攻擊強度與網絡安全態勢的灰熵關聯度最大.

表2 各組數據的灰熵關聯度Tab.2 Grey entropy correlation degree of group data

由表2的分析結果可知：強度攻擊對于網絡安全態勢的灰熵關聯最大，因此，選擇它作為卡爾曼熵值模型的網絡安全態勢估計值.

以表1中30組攻擊強度數據作為網絡安全態勢的表征數據，借助提出的基于卡爾曼熵值模型網絡安全預態勢估計方法進行數據擬合，擬合結果如圖1所示.圖1中：e為預測值與真實值的偏差；n為數據個數；T代表網絡安全態勢的真實值；P代表基于卡爾曼熵值模型網絡安全預態勢估計方法得到的估計值.由圖1可知：兩條曲線在第6個值后實現了比較好的擬合，這種狀態一直持續到第25個值；隨后，因為曲線T的劇烈變化，使得曲線P和曲線T有了一定的偏差，但趨勢上一直擬合較好.

在擬合處理的基礎上，進一步對后續20組數據進行預測，結果如圖2所示.

由圖2可知：基于卡爾曼熵值模型網絡安全預態勢估計方法準確地估計了未來20個時刻上的網絡安全態勢，與網絡安全態勢的真值以較小的偏差吻合在一起.結果表明：經過30個數據的訓練，基于卡爾曼熵值模型網絡安全預態勢估計方法已經適合本實驗條件下的估計；基于卡爾曼熵值模型網絡安全預態勢估計方法具有理想的估計性能和估計精度.

圖1 前30組數據的擬合曲線 圖2 后20組數據的預測曲線 Fig.1 Fitting curves of first 30 sets of data Fig.2 Fitting curves of last 20 groups of data

3 結束語

網絡安全態勢估計對于計算機網絡安全具有重要意義.文中在卡爾曼濾波模型的基礎上，構建一種卡爾曼熵值網絡安全估計方法.首先，借助灰熵關聯理論分析網絡安全態勢的影響因素；其次，利用關鍵影響因素構建網絡安全態勢估計的卡爾曼狀態方程和卡爾曼量測方程；最后，采用卡爾曼濾波分析的過程執行對網絡安全態勢的估計.實驗結果以攻擊強度為網絡安全態勢的表征指標進行估計，估計結果顯示：文中提出的基于卡爾曼熵值模型的網絡安全態勢估計方法，具有準確的估計精度和良好的估計性能，對于網絡安全態勢的預判具有較好的適用性.

[1] 韓文智.計算機文本信息挖掘技術在網絡安全中的應用[J].華僑大學學報(自然科學版),2016,37(1):67-70.

[2] 林闖,汪洋,李泉林.網絡安全的隨機模型方法與評價技術[J].計算機學報,2005,28(12):1943-1956.

[3] 李方偉,張新躍,朱江,等.基于信息融合的網絡安全態勢評估模型[J].計算機應用,2015,35(7):1882-1887.

[4] 韋勇,連一峰.基于日志審計與性能修正算法的網絡安全態勢評估模型[J].計算機學報,2009,32(4):763-772.

[5] 姜偉,方濱興,田志宏,等.基于攻防博弈模型的網絡安全測評和最優主動防御[J].計算機學報,2009,32(4):817-827.

[6] 黃同慶,莊毅.一種實時網絡安全態勢預測方法[J].小型微型計算機系統,2014,35(2):303-306.

[7] 劉玉嶺,馮登國,連一峰.基于時空維度分析的網絡安全態勢預測方法[J].計算機研究與發展,2014,51(8):1681-1694.

[8] 任江偉,韓躍龍.基于信息融合的網絡安全態勢評估模型[J].黑龍江科技信息,2015,46(9):353-362.

[9] 趙穎,樊曉平,周芳芳.網絡安全數據可視化綜述[J].計算機輔助設計與圖形學學報,2014,26(5):687-697.

[10] MARSA-MAESTRE I,HOZ E D L,GIMENEZ-GUZMAN J M,etal.Design and evaluation of a learning environment to effectively provide network secureity skills[J].Computers and Education,2013,69(4):225-236.

(責任編輯： 黃曉楠 英文審校： 吳逢鐵)

Network Security Situation Assessment Based on Kalman Entropy Model

ZHU Wenya1,2

(1. School of Economics and Management, Wuhan University， Wuhan 430000, China；2. School of Mechanical and Information, Yiwu Industrial and Commercial College, Yiwu 322000, China)

Aiming at the problem of network security situation assessment, an estimation method is proposed based on Kalman entropy model. Key factors influencing the network security is selected according to the entropy correlation in order to construct regression equation, which help establish the state model and the measurement model of network security assessment. Then Kalman filter is used to estimate the network security situation. Results show that this method can accurately estimate the network security situation. Keywords： correlation degree; regression equation; safety estimation; measurement model

10.11830/ISSN.1000-5013.201701019

2016-11-25

朱聞亞(1980-)，男，副教授，博士研究生，主要從事計算機軟件理論、網絡安全的研究.E-mail:zhuwenya2002@163.com.

浙江省教育廳高等教育教學改革項目(JG2015343)

TP 393.4

A

1000-5013(2017)01-0101-04