基于蒙特卡羅網絡節點資源風險評估?

李 軍 錢丹丹 羅 康 鈕 焱

（湖北工業大學計算機學院 武漢 430068）

1 引言

網絡日益普及的今天，互聯網逐步成為人們生活和工作中必不可少的組成部分。過量的網絡行為和網絡攻擊都會帶來網絡風險。網絡風險評估就是通過對網絡面臨的威脅、存在的脆弱性及采用的安全措施等進行分析，綜合判斷網絡系統所面臨的風險情況，以保證系統安全［1］。網絡風險評估的對象可以是面向整個網絡的綜合評估，也可以針對網絡某一部分的評估，如網絡架構、設備、主機等。本文主要是通過對內存使用率、網絡流量和CPU利用率等指標，對網絡節點資源風險進行評估。

目前，網絡風險評估問題越來越受到人們的重視，國內外很多學者對網絡安全評估提出了很多的方法，如貝葉斯、人工神經網絡、聚類分析法、決策樹法等［2］。這些傳統評估方法需要對網絡行為數據進行深入分解，計算比較復雜，增加了風險評估的難度。另外這些研究往往只對某單一的指標進行單獨研究，而忽略它們之間的內在相關性。

蒙特卡羅模擬方法［3～5］是二十世紀四十年代中期提出的一種以概率統計理論為指導的一類數值計算方法。它可以用統計方法把模型的數字特征估計出來，從而得到實際問題的數值解。蒙特卡羅模擬過程簡單快速，具有很強的適應性，它可以省卻復雜的數學推導和演算過程，在金融投資［6］、統計物理等方面得到廣泛應用。本文選取節點設備的內存使用率、網絡流量和CPU利用率的時間序列為主要研究對象。網絡行為會導致內存、流量和CPU同時發生變化，表明了它們之間存在一定的關聯性，單獨的網絡資源指標無法全面地反映出整個節點資源的風險情況，因此，需要對多個指標進行聯合評估，它們之間的相關關系可以由聯合分布函數來刻畫。通常情況下，網絡節點資源之間的聯合分布函數不能直接用公式表示，往往需要蒙特卡羅方法來模擬它們的數值解。

2 蒙特卡羅模擬聯合分布函數

常用的聯合分布函數構造方法是藤Copula模型［7～8］，但Copula函數計算復雜，選擇Copula類型相對繁瑣，而蒙特卡羅提供了另一種聯合分布函數的的構造方法，簡單快速，且易于得到數值結果。蒙特卡羅構造聯合分布函數常用的模型是Rosenblatt變換。

2.1 Rosenblatt變換

我們用U表示區間［0，1］上的均勻分布變量，Z表示獨立標準正態變量，Y表示相關非正態變量，X表示相關標準正態變量。變量U的空間稱之為U空間，變量Z的空間稱之為Z空間，變量X的空間稱之為X空間，變量Y的空間稱之為Y空間。Rosenblatt變換可將非正態變量之間的相關性轉變成正態變量之間的相關性。

Rosenblatt變換表達式［9］如式（1）所示：

由上述分析可以看出，Rosenblatt變換是精確變換方法，但在進行Rosenblatt變換時，需要預先知道隨機變量的聯合概率密度函數，而在實際應用中，很少能夠得到如此完善的信息，而且式（1）和式（2）求解起來也有一定的難度。所以可以用Pearson相關系數構造方法來簡化Rosenblatt轉換的計算，Pearson相關系數是參數型相關系數［10］，在變量進行非線性變換時會發生變化，可以用來反映變量之間的相關程度。本文借鑒文獻［9］提出的Pearson相關系數構造方法來構造聯合分布函數。

2.2 Pearson相關系數構造方法

Y1和Y2的聯合密度函數用Pearson相關系數構造方法如下：

至此，我們可以用蒙特卡羅模擬方法來構造聯合分布函數。

3 等效Pearson相關系數求解

在Rosenblatt轉換過程中，需要將多變量的非正態分布形式轉變成正態分布形式，而等效Pearson相關系數在轉換過程中是一個關鍵系數，在求出非正態變量的Pearson相關系數后，為了得到標準正態變量的Pearson相關系數可用Hermite多項式方法求解。

在所有滿足的函數所構造的完備空間中，Hermite多項式序列可以構成分解函數的一組正交基。Hermite多項式方法可以用來計算相關非正態變量的Pearson相關系數到相關正態變量的Pearson相關系數的轉換，Hermite多項式方法不受變量分布類型的影響，使用范圍比較廣，計算效率較高。

將式（4）用Hermite多項式展開［13～14］：

Hermite多項式展開式：

系數aik的計算公式如下：

在式（7）中，k=0時，ai0為第i個變量的均值對于任意兩個隨機變量：

再根據Pearson相關系數定義有：

4 網絡節點資源風險評估

網絡節點資源的可用程度可通過網絡資源指標來體現，網絡資源指標之間存在一定的內在相關性。網絡節點資源的風險主要體現在網絡節點資源的可用程度上，正常狀態下，網絡節點資源隨著網絡行為而動態變化，而在極端或遭受攻擊的情況下，節點資源指標會陡增或激變。網絡節點資源中一個指標的變化將可能引起其它指標的變化，例如網絡流量的變化將會導致內存、CPU的變化，而這些變化很多時候會導致網絡節點因為內存和CPU資源的耗盡而性能下降直至崩潰［15］。所以，在使用網絡的過程中，如果能夠對網絡節點資源風險進行評估，會大大提高網絡節點的生存性。

本文選取節點設備的內存使用率、網絡流量和CPU利用率的時間序列為主要研究對象。節點的網絡資源序列往往不符合常見的概率分布，而蒙特卡羅可以對沒有規則的概率函數進行模擬，可以模擬任何形式的聯合分布函數，包括隱性的函數形式。

用Y1，Y2和Y3分別表示內存使用率、網絡流量和CPU利用率的時間序列，并用X1，X2和X3分別表示內存使用率、網絡流量和CPU利用率的時間序列轉換成標準正態變量后的序列。用Pearson相關系數構造Y1和Y2的聯合概率密度函數［11］為

由于多項式分布能夠擬合大部分的曲線，所以本文也采用多項式分布對收集到的數據進行了擬合。設定蒙特卡羅抽樣模擬次數N，用Pearson構造方法構造內存、流量和CPU之間的聯合分布函數，首先在［0，1］區間上產生N組隨機變量，然后分別計算內存使用率和網絡流量，內存使用率和CPU利用率，網絡流量和CPU利用率的Pearson相關系數，再根據它們彼此之間的Pearson相關系數求出需得到的正態變量X之間的Pearson相關系數，從而得到X的Pearson相關系數矩陣，再將 X的Pearson相關系數矩陣進行Cholesky分解，得到下三角矩陣，最后將下三角矩陣和在［0，1］上產生的1000組隨機變量帶入到式（3）中計算，從而完成內存使用率、網絡流量和CPU利用率的時間序列的非正態變量向正態變量的轉變，最后用資源風險函數來對網絡節點資源進行風險評估，資源風險函數形式如下：

式（12）中，X1，X2和 X3分別表示內存使用率、網絡流量和CPU利用率的時間序列轉換成標準正態變量后的序列，當表示有風險，ξ為經驗閾值，ξ因不同的系統網絡而不同。

基于蒙特卡羅模擬的網絡資源風險評估的步驟如圖1所示。則表示無風險，

圖1 基于蒙特卡羅模擬的網絡資源風險評估

圖1中rP，Y表示時間序列Y的Pearson相關系數，RP，Y表示時間序列Y的Pearson相關系數矩陣；分別表示轉變成正態變量后的時間序列 X的Pearson相關系數和時間序列 X的Pearson相關系數矩陣；LP表示轉變成正態變量后的時間序列X的Pearson相關系數矩陣經過Cholesky分解后得到的下三角矩陣；g（）X 表示網絡資源風險函數。

5 實證研究

我們在實驗室采集了網絡視頻播放、網頁瀏覽、兩者混合以及網絡攻擊時等典型環境下節點設備內存使用率、網絡流量和CPU利用率的時間序列樣本，并對它們進行歸一化。得到表1所示的數據集。

表1 時間序列數據集

用多項式分布擬合以上數據，圖2所示的是多項式分布擬合流量和CPU的時間序列。

在圖2中，我們選取了較為常見的累積經驗分布函數（ecdf）作為多項式分布擬合函數，可以看出用多項式分布擬合流量和CPU數據的效果較好。

圖2 多項式分布擬合流量和CPU

Step1：先求出Y1、Y2和Y3三者之間兩兩的Pearson相關系數，根據它們之間的Pearson相關系數表示出它們的Pearson相關系數矩陣。

Y1和Y2，Y1和Y3，Y2和Y3的Pearson相關系數分別為r1，r2和r3，從而得到Y的Pearson相關系數矩陣

Step2：本文選用Hermite多項式求解 X的Pearson相關系數，根據它們之間的Pearson相關系數可以推出X的Pearson相關系數矩陣。

求出Y的Pearson相關系數后，根據Hermite多項式求解等效相關系數方法，可以求出X1，X2和X3的Pearson相關系數 ρ1，ρ2和 ρ3，即 X1，X2，X3的Pearson相關系數矩陣為

Step3：用Cholesky分解得到下三角矩陣L。

Step4：求解資源風險函數，對網絡資源進行風險評估。

在圖3中，前50個點是模擬攻擊行為時的風險值，后50個點是網頁瀏覽行為時的風險值，可以看出風險預測值基本覆蓋了實際風險值的峰值點，并且在沒有攻擊的情況下，預測風險值明顯下降，與實際網絡行為過程是吻合的。

圖3 模型預測風險值與實際風險值結果相比較

本文中 ξ選取0.95，當 g（）X ≤0.95時的概率為60.20%，這就表明當經驗閾值為0.95時，網絡節點資源發生風險的概率為39.80%。

6 結語

近年來隨著網絡快速的發展，過量的網絡行為和網絡攻擊行為都會帶來網絡風險，為了保障網絡安全，對系統和網絡進行風險評估，已經成為安全管理人員的迫切需要。各種網絡行為都會導致網絡資源的爭奪，本文選取網絡節點資源指標的時間序列為研究對象。利用蒙特卡羅模擬對內存使用率、網絡流量和CPU利用率的時間序列之間的聯合分布函數進行構造從而對節點資源存在的網絡風險進行評估。實證表明：蒙特卡羅可以有效地構造聯合分布函數，并對網絡節點資源進行風險評估，為網絡資源風險安全評估提供了一種新的思路方法。