基于粒子滤波的网络安全态势预测方法研究

汤永利 李伟杰 于金霞 闫玺玺

(河南理工大学计算机科学与技术学院 河南 焦作 454000)

基于粒子滤波的网络安全态势预测方法研究

汤永利 李伟杰 于金霞 闫玺玺

(河南理工大学计算机科学与技术学院 河南 焦作 454000)

为了使网络管理由被动防御转为主动防御，需对网络安全态势进行预测。针对已有态势预测方法存在的准确性不高、需要样本训练问题，提出基于粒子滤波的网络安全态势预测方法。该方法利用带权粒子集逼近系统的后验概率密度函数，通过重要性采样、权值更新、状态估计等近似积分操作来实现非线性状态预测。实验结果表明，该方法不仅能体现网络安全状态的非线性，也预测了网络安全态势值。对比其他态势预测模型，该方法准确性更高，且适应于复杂网络环境。

网络安全 态势预测 粒子滤波

0 引 言

赛博空间作为一种复杂且开放的网络环境，时刻受到未知攻击及突发事件的威胁，其保密性、可用性面临挑战。而传统网络管理设备处于独立状态，虽提供了海量网络数据，但缺少对网络系统的全局感知能力，且增加了数据处理压力和决策时间，贻误了处理威胁的最佳时机。自态势感知理论延伸至互联网领域，网络安全态势感知作为新兴研究方向，对网络安全管理具有重要意义。

美国RIT的Holsopple[1]提出TANDI模型，利用融合IDS报警事件来描述网络安全态势；刘一博等[2]提出一种面向网络实时业务的网络安全态势评估方法，以实时业务动态地评估网络安全态势；席荣荣等[3]基于隐马尔可夫模型，提出一种改进的网络安全态势量化评估方法；吴迪等[4]提出一种基于攻击图的安全威胁评估方法，通过D-S理论给出各个攻击子图相应的威胁度量值，实现网络安全态势评估。唐成华等[5]提出基于D-S融合知识的网络安全态势评估及验证。这些评估方法虽通过对影响系统运行状态的态势要素进行提取、分析、理解，实现了网络安全态势评估，但属于被动管理策略。

网络安全态势预测是对系统运行状态信息的进一步理解和评估，通过对历史数据分析来推断出未来状态变化趋势，属于主动防御。通过预测下一段时间系统状态，降低了大量数据引起的决策难度，实现了主动性网络管理。常见的网络安全态势预测模型有基于邓勇杰等[6]提出一种基于灰色理论的网络安全预测方法，GM(1，1)相对简单、便于计算，但无法反映出系统安全状态变化的随机动态性，不能满足状态预测的准确性要求；谢丽霞等[7]利用RBF神经网络算法计算出反映系统状态的非线性时间序列值。该算法在样本训练和参数优化后，可以做到准确预测，但需先样本学习进行(M,N)值训练，不能应对未知攻击。

针对上述预测方法存在的问题，本文提出了一种基于粒子滤波PF(Particle Filter)的网络安全态势预测模型。该模型利用粒子滤波的非线性动态状态估计能力，对当前态势因子估计预测，以粒子集加权求和来实现下一刻态势预测。仿真实验表明，该模型在无样本训练下，能对复杂网络环境进行准确预测。

1 基于粒子滤波的网络安全态势预测模型

网络安全态势是指对系统运行状态和趋势的综合评价，因网络系统的不确定性，而表现出非线性和随机性等特征。网络安全态势预测是指对系统安全状况的估计，也是对态势值时间序列的预判。表征系统状况的态势值具有非线性特点，利用粒子滤波的非线性状态估计能力对态势值进行预测综合，从而推理出系统状态的未来趋势。

1.1 网络安全态势值

通过定量和定性分析系统运行状态中态势因子获得的数值，不仅映射出态势因子与态势值的关联，也直观地反映系统当前状况，并为网络安全态势预测提供数据参数。利用数学模型将态势因子融合归并为在[0,1]之间的数值，通过对态势因子的综合计算来感知网络安全状态变化[8]。量化后的态势值应表现出非线性动态特征，即随着入侵攻击次数、攻击危险性的不同，其大小也发生变化。本文提出的态势值计算模型，通过提取出关键态势因子，构造权值评价函数，通过加权平均得到态势值，如图1所示。

图1 态势值计算模型

基于加权平均思想的态势值数学表达式为：

(1)

式中，NSA表示态势值，表征了当前网络安全态势的威胁程度，wi表示态势因子i对应的权值，ni表示相应态势因子i的频率统计。wi决定了态势因子对系统态势安全的影响大小和重要性。

1.2 粒子滤波算法

粒子滤波PF[9]是一种基于蒙特卡罗原理和贝叶斯估计的滤波算法。相比贝叶斯估计理论[10]，当粒子滤波采集的粒子(样本)数目足够大，其准确性接近贝叶斯最优估计，且不需要对系统状态空间作出线性和高斯的假定，便于对所有非线性非高斯系统建模和估计。算法同时也利用大量的随机粒子(样本)求和来拟合逼近系统状态的先验概率和后验概率的分布，具有计算简单的特点，在机器人定位、视频目标识别和跟踪等领域得到应用和研究[11]。

算法思想是通过带权粒子集合的加权和计算出目标系统的后验概率分布，以粒子均值近似积分来获得系统状态估计[12]。基本算法包含重要性采样、权值更新、重采样、状态估计等四个部分。重要性采样利用递推形式重新采样，达到粒子传播的目的；权值更新在获得观测值后，通过重新计算对任意粒子权值进行赋值；重采样通过设置阈值，过滤掉低权值粒子来解决粒子退化问题；状态估计通过所有粒子权值求和来完成对下一时刻的系统状态预测。

算法的基本流程如图2所示。

图2 PF算法流程图

1.3 基于粒子滤波算法的网络安全态势预测

在基于粒子滤波的网络安全态势预测中，通过建立一种状态空间模型来对目标状态问题进行解释说明，基于“采样-更新-预测”这一迭代过程来实现对态势值的跟踪和修正，减少误差来提高准确性。为完成系统状态预测，需要对系统状态问题建立合适的目标表达式。而目标状态的表示既要考虑目标系统实际情况，又要便于实现数学运算。网络安全态势一般通过选定态势因子，通过计算间接得出[13]。目标态势表达式为：

X=[x0,x1,…xi…,xn]

(2)

式中，xi代表网络安全态势因子。通常以IDS事件和Netflow流量为基本态势信息，结合系统资源消耗，通过定量评估来发现系统的安全威胁状况。

在建立状态空间模型时，不仅要考虑目标状态的表达方式，也要考虑对应系统的特点。状态空间模型通常由转移模型和观测模型构成。

(3)

通过状态转移方程式来实现当前时间点到下一时间点的系统状态传递。式中，{xi(t+1)}(i=0,1,…,n) 表示t+1时刻态势预测值集合，xi(t)(i=0,1,…,n)表示t时刻，态势因子i对应值，vi(i=0,1,…,n)表示转移噪声，使系统状态在一定范围内随机性波动，以体现态势变化的非线性特征。A表示状态转移矩阵，形如：

观测模型定义为：

z(t)=hx(t)+ut

(4)

式中，z(t)表示观测似然函数值，通过相似度度量计算，融入观测模型中，决定了状态估计的稳定性和鲁棒性。

基于粒子滤波的网络安全态势预测方法基本步骤如下：

Step 1 初始化

Step 2 重要性采样

Step 3 权值更新

根据式(4)得t时刻观测值z(t)，并修正传播过程中的先验概率密度，通过式(5)-式(7)来实现权值更新：

C(t)=z(t)-hAx(t-1)

(5)

式中，C(t)为态势值相似度值。

(6)

归一化：

(7)

Step 4 态势预测

(8)

Step 5 重采样

Step 6t=t+1，转到Step2。

2 仿真实验

2.1 实验环境

实验数据集来源于HoneyNet组织，数据集包含Port扫描、Ping扫描、RPC信息请求以及缓冲区溢出等黑客攻击信息。仿真实验数据为HoneyNet组织从2000年7月5日到2000年9月5日连续3个月的数据集，除去一些不完整数据，以一天为预测周期，共收集到70个周期数据。为了降低重复数据和数据跨度大对实验结果的影响，对数据集进行聚类处理和归一化处理，归一化处理公式如下：

(9)

式中，X代表原始态势因子的数值，Xmin代表态势因子最小数值，Xmax代表态势因子最大数值，X′代表归一后态势因子数值。

对实验数据进行标准化处理后得70个周期的实验数据。态势值由式(1)计算得出，现给出前30周期的网络态势值，如图3所示。

图3 网络安全态势值

2.2 实验结果与分析

初始化粒子滤波，设定相关参数：

t=0，x=[0]，回归系数(a00,a01,…,ann)和vi由最小二乘方得：

vn=[0.1002,0.1.807,0.11832,…,0.23261]

C(t)=-0.3035 h=[1 0 … 0]

由式(8)得t时刻的态势值：

由基于粒子滤波PF预测模型对网络安全态势值预测，并与实际值进行对比，结果如图4所示。

图4 基于PF的态势值与实际值对比图

由图4可知，本文预测模型得到的态势值与实际值基本相符，其变化曲线体现出了网络安全态势的非线性和动态性。实验表明，基于粒子滤波的网络安全态势预测方法对网络安全态势预测方面是可行的。

为验证本文方法在真实环境下的有效性，根据HoneyNet数据提供的特征信息，结合IDS报警信息构建仅有常见服务器的简化实验环境，具体的网络拓扑结构如图5所示。

图5 实验环境网络拓扑

根据实验场景，收集来自路由器Netflow数据流信息以及IDS的报警信息，作为下一步对比实验真实的数据源。根据文献[8]提出的网络态势指标体系，对收集的实验数据提取关键态势因子，归一化后部分实验数据，如表1所示。

表1 实验数据具体参数

利用式(1)对原始数据计算出态势值进行态势预测，分别与GM(1,1)、RBF预测算法进行对比。表2给出了3种算法的预测结果均方根误差。

表2 预测结果均方根误差对比

由表2可知，PF算法的预测均方根误差与RBF算法的基本一致，但明显优于GM(1,1)算法。通过计算预测算法的均方根误差，来反映算法预测的态势值与实际值的误差距离。实验表明，本文预测算法的预测值与实际值误差较小，具有一定的准确性。

基于3种预测算法的预测结果对比，如图6所示。

图6 预测算法的态势值对比

如图6所示，基于GM(1,1)预测模型是基于累加生成的数列，其态势变化曲线是较平滑的曲线，在突发的网络环境不能较好地体现安全态势的随机波动性。实验表明，当系统安全状态波动程度有所增大时，GM(1,1)预测模型的预测误差随之增加，无法准确地反映和预测系统安全态势发展趋势；基于RBF的网络安全态势预测算法是一种基于神经网络的预测算法，通过样本训练使其具有预测能力和泛化能力，从而实现对网络安全态势值的预测，其预测变化曲线体现了网络安全态势的随机波动性及非线性特征。但是，RBF算法需先进行样本训练且训练速度慢，通常为满足预测准确性要求需要优化算法对其进行参数优化，对于未知的网络入侵事件，不能更好的实时预测。

基于PF的网络安全态势预测算法依靠其非线性拟合能力仅对当前系统中的态势因子进行采样、更新权值和预测估计等操作，不依赖历史样本训练，可以在复杂网络环境中进行网络安全态势预测。

3 结 语

通过对网络安全态势预测来掌握系统安全状态的未来发展趋势，从而实现主动性的网络管理。针对已有算法存在的一些问题，本文给出了基于粒子滤波的网络安全态势预测方法。该方法利用粒子滤波的非线性估计能力，对态势值进行预测和融合，从而提高态势预测的准确性。实验表明，该算法在无需样本训练下进行网络安全态势预测是可行有效的，适应于真实网络环境。今后将研究如何在满足预测精度的要求下，减少粒子采样数目和运算时间，从而进一步提高网络安全态势的实时性和准确性。

[1] Holsopple J,Sudit M,Nusinov M,et al.Enhancing situation awareness via automated situation assessment[J].IEEE Communications Magazine,2010,48(3):146-152.

[2] 刘一博,殷肖川,方研.面向实时业务的网络安全态势评估[J].计算机应用与软件,2014,31(9):304-308.

[4] 席荣荣,云晓春,张永铮,等.一种改进的网络安全态势量化评估方法[J].计算机学报,2015,38(4):749-758.

[4] 吴迪，连一峰，陈恺，等.一种基于攻击图的安全威胁识别和分析方法[J].计算机学报,2012,35(9):1938-1950.

[5] 唐成华,汤申生,强保华.DS融合知识的网络安全态势评估及验证[J].计算机科学,2014,41(4):107-110,125.

[6] 邓勇杰,文志诚,姜旭炜.基于灰色理论的网络安全态势预测方法[J].湖南工业大学学报,2015,29(2):69-73.

[7] 谢丽霞,王亚超,于巾博.基于神经网络的网络安全态势感知[J].清华大学学报(自然科学版),2013,53(12):1750-1760.

[8] 王娟,张凤荔,傅翀,等.网络态势感知中的指标体系研究[J].计算机应用,2007,27(8):1907-1909,1912.

[9] 王法胜,鲁明羽,赵清杰,等.粒子滤波算法[J].计算机学报,2014,37(8):1679-1694.

[10] 周帆,江维,李树全,等.基于粒子滤波的移动物体定位和追踪算法[J].软件学报,2013,24(9):2196-2213.

[11] 杨龙文,黄植功.基于多特征融合的粒子滤波多目标跟踪算法研究[J].计算机应用与软件,2015,32(4):225-229.

[12] Yang X,Xing K,Feng X.Maneuvering Target Tracking in Dense Clutter Based on Particle Filtering[J].Chinese Journal of Aeronautics,2011,24(2):171-180.

[13] 陈秀真,郑庆华,管晓宏,等.层次化网络安全威胁态势量化评估方法[J].软件学报,2006,17(4):885-897.

RESEARCH ON A PREDICTION METHOD OF NETWORK SECURITY SITUATION BASED ON PARTICLE FILTER

Tang Yongli Li Weijie Yu Jinxia Yan Xixi

(SchoolofComputerScienceandTechnology，HenanPolytechnicUniversity，Jiaozuo454000,Henan,China)

In order to change the network management from passive defense to active defense,it is necessary to predict network security situation.To solve the problems of the low accuracy and samples training in existing forecast methods,the prediction method of network security situation based on particle filter is proposed.This method uses the weighted particles to approximate the posteriori probability density and realizes nonlinear situation prediction by the approximate integral operations include importance sampling,weight updating,state estimation.Experimental results show that this method can not only reflect the nonlinear of network security situation,but also forecast the value of network security situation.Comparing with the other situation forecasting models,this method is more accurate and can be adapted to the complex network environment.

Network security Situation prediction Particle filter

2015-10-23。国家自然科学基金项目(61300216);河南省科技攻关重点项目(122102310309);河南省科技厅基础与前沿技术项目(142300410147);河南理工大学博士基金项目(B2011-058)。汤永利，副教授，主研领域：信息安全，密码学。李伟杰，硕士生。于金霞，教授。闫玺玺，讲师。

TP393.08

A

10.3969/j.issn.1000-386x.2017.01.053