基于优化动态小波神经网络的网络安全态势评估

王迎云

(安徽新华学院 信息工程学院，安徽 合肥 230088)

数·理·化

基于优化动态小波神经网络的网络安全态势评估

王迎云

(安徽新华学院 信息工程学院，安徽 合肥 230088)

为了分析网络威胁的演化趋势，并探讨安全态势的自主感知和调控问题，将动态小波神经网络融入模型的设计，提出一种基于优化动态小波神经网络的网络安全态势评估，增强网络安全系统的层间交互和认知能力。仿真实验结果表明:基于优化动态小波神经网络的网络安全态势评估及方法能够态势提取异质安全数据，动态感知威胁的演化趋势，并具有一定的自主调控能力，达到了态势评估的研究目的，为监控和管理网络提供了新的方法和手段。

网络安全态势评估；小波神经网络；多源态势提取；评估

网络安全态势评估(network security situation awareness，简称NSSA)主要应用于网络安全领域，对该领域发展中存在的问题进行有效的分析，能够通过提取各网络部件实现对安全事件的有效检测，进而对网络环境进行感知，分析其面临的主要风险，当前在国际上已经成为了一个具有多学科交叉性的研究热点。神经网络被认为是解决目前研究中问题的一种新机制，文献[1-3]认为神经网络可使用与OODA类似的设计，以使得系统具有更强的认知能力。在神经网络研究领域，跨层设计属于其中的研究热点，而且这种结构形式在当前也被学术界所广泛接受。文献[4-6]认为，在整个的神经网络中，跨层结构发挥着基础性作用，对于传统网络层次间存在的信息交互困难问题是能够实现有效解决的，而且已经在多个研究领域获得了极为广泛的NSSA应用[7]，包括信道管理[8]、路径选择[9]等。然而，当前在实际应用中主要是被用于特定的网络层次。上述研究成果，为基于神经网络构建具有较强自主性、感知能力的智能系统提供了良好的理论依据。

本文结合已有的研究成果，在安全态势评估研究中，将小波神经网络引入其中，由此，构建了安全态势评估模型。属于异质传感器环境中的动态小波神经网络算法，能够有效评估网络安全态势，增强对外部环境信息的有效感知，进而实现对内部运行机制的有效控制，在离散计算和连续控制之间形成有效的沟通桥梁，进而实现态势评估这一目标。

1 动态小波神经网络安全态势评估

图1 威胁因子模式

通过CPSO-DS 跨层优化态势提取，数据的一致性、准确性等问题得到了有效解决。态势评估汇总，主要是结合态势提取结果，通过态势要素以及层次威胁等，形成动态的系统演化图。

1.1 态势要素提取

将小波神经网络运用到NSSA领域，就如何实现小波神经网络与NSSA的高度拟合进行了研究与分析。假设在整个网络环境中，需要进行威胁因子分配的目标类别共有n类。具体如图1所示，n类不同的事件构成了决策目标，获取的威胁因子共有m个，此时，所有的威胁因子都可通过随机变量Xi表示，并且该变量的取值时为1和-1，以确保变量的均值为0。

对于正态分布曲线，以σ为比例因子将其纵坐标划分为相同的间隔，具体如图2所示，此时位于第二象限的曲线，可以直线f(x)=A为对称轴实施变换，同时将纵轴向左移3σ。

(1)

(2)

图2 威胁等间隔划分

此时，对于威胁因子只需要能够得到其威胁类型，而且按照各威胁类型的危害程度进行排序，此时位于第i等级的威胁因子即可获得。通过这种方法所得到的威胁因子，其环境迁移性是较好的。如果在网络攻击敏感度不同的网络中，运用NSSA时，只要求将威胁类型进行重新排序。因此，通过这种方法，威胁因子可以更加容易的获得，复杂度大大降低，以往威胁因子获得中的高复杂度、经验依赖等问题得到了有效缓解。

1.2 网络安全态势评估

定义 1(威胁因子)。时间窗口 tw 内，当服务Si(0≤i≤u)受到网络攻击后，而且网络攻击的类型为n种aij(0≤j≤n)，则可依据攻击对 si 所造成的威胁程度进行排序，可将这n类攻击进行划分，得到 个威胁等级，在每个威胁等级中是可能包含多个不同类型的网络攻击的，位于 等级的威胁因子为：

(3)

结合上述分析，对于不同类型的攻击，依据定义1，是能够进一步量化各种攻击所产生的威胁程度的，而且，攻击强度也会对安全态势产生一定影响，由此，是能够得到定义2的。

(4)

上式中，u表示了服务的数目。在公式(4)中引入10lk，是对威胁因子具有的重要性进行突出强调，以削弱网络安全态势受到的网络攻击影响。

2 仿真实验与分析

2.1 态势性能

结合本文的研究目的，进行了网络拓扑结构的设计，设置了三种类别的传感器，即Netflow，Snort和Snmp，以实现对各层次数据的充分揭示，同时，对于跨层异质传感的数据信息交互以及格式化操作都可通过XML 技术实现；如图3所示，表示了这三类传感器和跨层认知环组件之间具有的内在联系，并且描述了Snmp传感器的具体结构。本文实验中，采用的测试集与训练集分别为DARPA99入侵检测数据的10%数据集的9%、20%(具体如表1所示)。

图3 认知环组件关系

表1 基本实验数据

基于网络拓扑结构，通过CPSO-DS能够从重放测试集中提取态势，同时将提取结果与不加权的传统D-S、经验权值D-S 态势提取、PSO-DS等进行对比，主要是从检测率(DR)与误警率(FDR)两个角度进行的对比分析，具体结果如表2所示。

表2 态势提取性能

分析表2能够得出，不管是在DR指标还是在 FDR指标上，CPSO-DS多源态势都表现出了更优的性能，而且对比文献[3]中的研究结果能够发现，可通过增加传感器数目来提高准确性，进而使得误警率得以有效下降。就U2R与R2L两种类型来讲，如果只是增加传感器数目，检测率的改善效果是较为有限的，要求能够基于主机设计更多的传感器，通过这种方式其检测能力是能够得到显著提高的。此外，对比两数据源以及三数据源在性能方面的差异，数据源的增加使得准确率得到了提高，然而，这种提高在有些时候并不是十分显著的，也就是说，在多源态势提取中，并不意味着数据源的数目越多所得到的结果是最优的，态势提取准确性，将会受到传感器性能的影响。

2.2 网络安全态势评估

主机重要性权重，属于感知网络安全态势的必要条件，然而，确定主机权重是相对困难的。主机权重涉及到资产价值(Vh)、访问频率(Af)等等，具体如表3所示，可通过公式对主机重要性进行描述，即为：tH1=kVVhi+kCCsi+kAAfi+kDDci，kV=0.2，kC=0.3，kA=kD=0.25 。基于主机安全态势，结合表3中所得到的重要性权重，通过公式(9)能够得到该网络系统具有的安全态势演化视图，见图4 。

表3 主机等级

图4 网络安全态势

分析图4能够得到网路安全态势在一周内的波动演化情况，具体表现为在周三、四、六三天的某些时段出现了攻击事件，可能属于黑客攻击，尽管此时要求对主机、服务进行有效的维护，不过从整个网络来看，影响并不显著。对此，管理员应当能够进行重点监控，并且制定有效的防范措施，以有效防范系统崩溃等问题的发生。

3 结论

本文结合当前在网络安全感知方面的研究成果，简单阐述了神经网络的相关内容，同时，提出了网络安全态势评估分析模型。并且结合评估模型，对异构网络的CPSO-DS 动态小波神经网络算法进行了论述分析，基于威胁因子获取以及态势梯度，对网络安全态势进行了自主调控。仿真实验表明，本文所提出的基于优化动态小波神经网络设计的网络安全态势感控模型，能够实现对网络安全事件的高效识别，能够对不同层面的威胁演化趋势进行动态感知。

[1] Wang M,Suda T.The bio-networking architecture.: A biologically inspired approach to the design of scalable,adaptive and surviable/available network applications[C].// Applications and the Intemet,2001.Proceedings 2001 Symposium on IEEE,2001:43-45.

[2] Tadda G,Salerno JJ,Boulware D,Hinman M,Gorton S.Realizing situation awareness within a cyber environment.[C].//Proleedings of SPIE-The.Intemational Society for Optical Engineering 2006,6242.

[3] Shen D,Chen G,Cruz JB,Haynes JL,Kruger M,Blasch E.A Markov game theoretic approach for cyber situational awareness.[C].//Proceeding of SPIE,2007,6571:1-11.

[4] Stephen L.The spinning cube of potential doom[J].Communications of the ACM,2004,47(6):25-26.

[5] Lakkaraju K,Yurcik W,Lee AJ.NVisionIP: NetFlow visualizations of system state for security situational awareness[C].// In: Proc.Of the 2004 ACM Workshop on Visualization and Data Mining for Computer Security.DBLP,2004:65-72.

[6] Shiravi H,Shiravi A,Ghorbani AA.A survey of visualization systems for network security[J].IEEE Trans.on Visualization and Computer Graphics,2012,18(8):1313-1329.

[7] Chen XZ,Zheng QH,Guan XH,Lin CG.Quantitative hierarchical threat evaluation model for network security[J].Journal of Software,2016,17(4):885-897.

[8] Hu W,Li J,Jiang X.A hierarchical algorithm for cyberspace situational awareness based on analytic hierarchy process[J].High Technology Letters,2007,13(3):291-296.

[9] Wei Y,Lian YF,Feng DG.A network security situational awareness model based on information fusion[J].Journal of Computer Research and Development,2009,46(3):353-362.

(编辑：严佩峰)

Network Security Situation Awareness Based on the Optimized Dynamic Wavelet Neural Network

WANG Ying-yun

(College of Information Engineering，Anhui Xinhua University，Hefei 230088，China)

In order to analyze the evolvement trend of the network threat and to explore the self-perception and control problem of the security situation,the dynamic wavelet neural network is integrated into the model design,and a kind of network security situation awareness based on the optimized dynamic wavelet neural network is put forward,so as to enhance the interaction and cognitive ability between the layers of the network security system.The simulation results show that: The network security situation awareness and method based on the optimized dynamic wavelet neural network can integrate the heterogeneous security data with dynamic perception on the evolution trend of the threat,and have the ability of self-regulation and control to certain extent,which has achieved the goal of situation awareness,and provided new methods and means for the supervision and management of network.

network security situation awareness;wavelet neural network;multi-source fusion;awareness

2017-06-09

安徽省自然科学研究项目(KJ2016A303).

王迎云(1982—)女，安徽铜陵人，硕士，讲师，研究方向：网络安全.

TP393.08

A

2095-8978(2017)03-0095-05