贝叶斯网络在蜜罐系统中的应用研究

鲍巍 黄振颖

河南建筑职业技术学院信息工程系 河南 450007

0 引言

在蜜罐系统的各个检测点，由于他们提供的信息一般是不完整、不精确、模糊的，甚至可能是矛盾的，包含大量的不确定性。信息融合中心就是依据这些不确定性信息进行推理，以达到目标识别和具体特征的判断。在决策融合采用贝叶斯推理算法来进行预测，贝叶斯分析方法的特点是使用概率去表示所有形式的不确定性，通过观测到的数据，利用概率规则来重新估价观测之前表示不确定性的概率，整个过程潜在的包含一种反复学习的思想。在采用贝叶斯推理算法过程中，对一般的贝叶斯网络进行修改，在节点概率中引入转换概率，从而达到实时预测的效果。

贝叶斯网络具有强大的不确定性问题处理能力。贝叶斯网络用条件概率表达各个信息要素之间的相关关系，能在有限的、不完整、不确定的信息条件下进行学习和推理。贝叶斯网络能有效地进行多源信息表达与融合。贝叶斯网络可将攻击类型与网络安全预防相关的各种信息纳入网络结构中，按节点的方式统一进行处理，能有效地按信息的相关关系进行融合。

1 基于贝叶斯的蜜罐系统建模

经典概率方法要求给出在证据E 出现情况下结论H 的条件概率 P(H|E)。这在实际应用中是相当困难的。逆概率方法是根据Bayes 定理，用逆概率P(E|H)来求原概率P(H|E)。确定逆概率P(E|H)比确定原概率P(H|E)更容易些。例如，若以 E代表大流量信息包，以H 代表洪水攻击，如欲得到条件概率P(H|E)，就需要统计大流量信息包中那些具有洪水攻击的特征，统计工作量非常大，而得到逆概率P(E|H)相对容易一些，因为这仅仅需要统计洪水攻击中那些信息包流量大。毕竟洪水攻击是很少的，而在网络中大流量信息包太多了。

Bayes 结果之所以比经典推理方法好，是因为他能够在给出证据的情况下直接确定假设为真的概率，同时允许使用假设确实为真的似然性的先验知识，允许使用主观概率作为假设的先验概率和假设条件下的证据概率。它不需要概率密度函数的先验知识，使我们能够迅速地实现Bayes 推理运算。

图1 Bayes 融合处理过程

图1 表示Bayes 融合处理过程的基本框架。其中Ei，i=1，2，…n，为n个监测点所给出的证据或身份假设，Hj，j=1，2，…m，是可能的m 个目标。假设n 个监测点同时对一个未知实体或目标进行观测，所获得的信息包括信息包流量大小，信息包的长度，包头是否匹配等数据。

Bayes融合处理的具体步骤：

(1) 每个监测点把观测空间的数据转换为身份报告，输出一个未知实体的证据或身份假设Ei，i=1，2，…n；

(2) 对每个假设计算概率 P(Ei|Hj)，i=1，2，…n，j=1，2，…m；

(3) 利用Bayes 公式计算

(4) 最后，应用判断逻辑进行决策，其准则为选取P(Hj|E1, ...,En)的极大值作为输出，这就是所谓的极大后验概率判定准则：

主观 Bayes 方法不仅给出了在证据肯定存在或肯定不存在情况下由先验概率更新为后验概率的方法，而且还给出了在证据不确定情况下更新先验概率为后验概率的方法。另外，由其推理过程可以看出，它确实实现了不确定性的逐级传递。可以说主观Bayes 方法是一种比较实用且较灵活的不确定性推理方法。

2 贝叶斯网络在决策层中的应用

从图 1的模型可以看出，在决策层仅仅采用贝叶斯组合公式对各个监测点所给出的概率来进行逻辑判定和决策是不够全面。因此本文在决策层采用Bayes网络来进行推导和判断。Bayes网络是一种统一的概率推理结构，它为不确定知识条件下的推理提供了一致连续的解决方法。一个 Bayes网络包含了一组节点，这些节点代表了一些随机变量，节点间使用弧进行连接，反映了节点间的相互关系。在某些节点获得证据信息后，Bayes 网络在节点间传播如何融合这些信息，每个节点被分配一个与概率定理一致的置信度，直到网络达到新的平衡。

贝叶斯网络可以图形化表示随机变量间的联合概率，因此能够处理各种不确定性信息，贝叶斯网络中没有确定的输入或输出节点，节点之间是相匀影响的，任何节点观测值的获得或者对于任何节点的十涉，都会对其他节点造成影响，并可以利用贝叶斯网络推理来进行估计预测。贝叶斯网络的推理是以贝叶斯概率理论为基础的，不需要外界的任何推理机制，不但具有理论依据，而目将知识表示与知识推理结合起来，形成统一的整体。

3 贝叶斯网络的应用与分析

贝叶斯网络可以表达网络中所有节点(变量)的联合概率分布。条件独立性应用于链规则式可得图 2变量的联合概率：

图2 贝叶斯网络结构示例

有了联合概率公式，就可以求出贝叶斯网络中任意节点V(攻击类型)的概率。在对某一攻击类型 V 进行判断时，必须考虑到V之前的节点集合(称为父节点F )和V之后的节点集合(称为子节点C)。具体形式为：

其中e 表示所有证据，eC表示子节点证据，eF代表父节点证据，式(4)的计算结果将在 X 的整个状态空间上对概率进行归一化。式⑴的第一个因子非常简单，仅仅是一个贝叶斯公式的形式，由于子节点相互独立，可将对子节点的依赖性扩展成如下形式：

上式表明，贝叶斯网络任一节点X取某个特定状态时的概率等于两个因子的乘积。第一个因子来自子节点，第二个因子来自父节点，是父节点先验概率在所有状态组合上的总和，以及给定父节点时的X 变量的条件概率的总和。如果任一节点X 取值是指定从t时间片到t+1时间片属性集状态的转换概率 p (xt+1|xt)， 式(4)的形式即变为：

当引入转换概率后，贝叶斯网络预测就可实时的预测结果，从而减少了丢失的数据，使结果更加准确。

4 示例

在蜜罐系统中，当对攻击类型进行分析判断中，可以通过几个监测点对攻击信息不同特征进行分析，通过对攻击信息包的长度、流量大小、包头是否匹配等特征分析，初步判定是何种攻击，再由专家系统给出相应的判断，给出先验概率。再有贝叶斯网络推导出后验概率。

图3是一个简单的贝叶斯网络，其中X代表为攻击类型，父节点E 表示信息包头是否匹配，父节点M 表示信息包流量大小，子节点L代表信息包的长度。X1=分布式拒绝攻击，X2=木马攻击，X3=洪水攻击，X4=蠕虫攻击。

设i={匹配，不匹配} j={流量大，流量小}

图3 贝叶斯网络攻击类型结构图

假设攻击类型的条件概率表在t时间片到t+1时间片各个节点的值不变，攻击类型的条件概率表如下：

P(xi|E,M) X1 X2 X3 X4 E=匹配M=流量大 0.25 0.55 0.7 0.3 E=不匹配M=流量大 0.45 0.4 0.3 0.6 E=匹配M=流量小 0.55 0.2 0.6 0.2 E=不匹配M=流量小 0.75 0.65 0.25 0.25

由公式(6)就可以计算出父节点对每种攻击的概率估计的影响：

同理可得其他三种攻击的概率的估计：

由公式(5)计算出子节点对每种攻击的概率估计的影响：

将这些估计组合起来再归一化处理(即除以总和)，最终得到X 点的估计：

由此可以判定最后的攻击为分布式拒绝攻击。

5 小结

贝叶斯网络为复杂问题中的不确定性推理提供了良好的知识表达框架，可以将专家知识和统计数据进行合理综合。基于贝叶斯网络的网络攻击识别有效的利用了各信息源之间的互补性，提高了识别的准确率、可靠性和稳健性。

[1]钟穗,何明德,吴梅.基于分布式入侵检测系统的贝叶斯动态模型的研究.计算机工程与应用.2002.

[2]胡玉胜,涂序彦等.基于贝叶斯网络的不确定性知识的推理方法[J].计算机集成制造系统-CIMS.2001.

[3]王辉.用于预测的贝叶斯网络[J].东北师大学报(自然科学版).2002.

[4]何友,王国宏.多传感器信息融合及应用.北京电子工业出版社.2000.

[5]张剑飞.贝叶斯网络学习方法和算法研究.东北师范大学.2005.