灰色关联模型的网络安全态势感识预测方法

余 建， 林志兴， 谢 彬

(1. 三明学院 现代教育技术中心， 福建 三明 365004； 2. 武夷学院 信息技术与实验室管理中心, 福建 南平 354300)

0 引 言

随着信息化应用的不断深化，各种网络攻击事件也层出不穷，同时，云计算、物联网、大数据、移动支付等大量新技术和新兴IT事物的变革正深刻地影响着网络世界。在这种发展背景下，虚拟网络世界中所面临的安全威胁和挑战也正等着我们去应对。在部署大量网络安全设备的同时，却未对现有的安全设备进行深度融合，往往对未来的安全态势无法预判，导致网络安全系统的可靠性大大下降。

国内外在网络安全态势感知方面正做着积极的研究。Bass提出了网络安全态势的概念[1]，将网络安全要素获取、理解、显示及预测未来的过程定义为空间态势感。安全态势目前包括:态势要素的提取、态势评估、态势的预测[2-3]。态势要素提取通过信息增益设置权值，获得关联性强的态势因子将威胁网络安全的数据分类，然后在由网络安全态势评估技术按照不同攻击种类的重要程度加权平均得出网络安全态势值[4]。数据收集一定时间后，根据对相关数据的评估和分析，就可以创建网络安全态势预测模型。相对而言，由于安全态势预测可以提早让用户较为及时地制定网络安全防御体系，比起要素提取和态势评估环节更尤为重要。本文中我们着重解决的就是网络安全态势预测问题。目前，已经有很多预测模型用于网络安全态势预测，例如GA-BP 预测模型[5]、CMA-ES 算法优化网络安全态势预测模型[6]、APDE-RBF神经预测方法[7]、面向多步攻击的网络安全态势评估模型[8]以及基于流的网络安全态势感知预测模型[9]、卡尔曼熵值模型的估计方法[10]等，以上预测模型考虑的攻击行为较为单一隐含，实施过程中约束条件较大，且实用性较弱，不适用于动态性高、网络结构相对复杂的网络系统。

邓聚龙提出一种灰色模型(Gray Model)[11], 利用较少的或不确切的表示灰色系统行为特征的原始数据序列作生成变换后建立的，用以描述灰色系统内部事物连续变化过程的模型，称为灰色模型，简称GM模型。本文提出一种基于灰色关联[12]的安全态势感知预测方法，利用改进的GM(1,N)理论建立了安全态势预测模型。通过对校园网中异常流量的收集，并将安全数据进行关联分析，得到了下一个时间段的安全态势因子，从而实现对系统安全潜在的威胁进行预警提示。

1 安全态势预测GM(1,N)模型

针对安全态势所要求的准确性高，而网络攻击又存在的时间的随机性、目的性强、破坏性大等特点，本文提出了一种基于灰色关联的安全态势感知预测方法模型。假设在尽可能短时间段t内，从安全态势感识数据中选取一个安全态势序列，作为安全态势感知预测模型的原始输入数据序列，标记为

s(0)=(s(0)(1),s(0)(2),…s(0)(n))

s(0)(t)≥0,t=1,2，…，n

(1)

1.1 基于GM(1,N)的安全态势感识预测模型算法

设安全序列集S=(s0,s1,…，sn)，F为S的数值映射集，s为S像集的灰色安全态势感知关联因子；S为灰关联因子集，s0∈s为参考列，sj∈s为比较列，j=1,2,…,m。具体如下：

r(s0(k),sj(k))=[jminkmins0(k)-sj(k)+

(2)

(3)

(4)

则GM(1,N)的最小二乘估计参数满足

(5)

在灰色理论论中，定义GM(1,N)模型为：

(6)

k=2,3,…，n

由式(4)可得GM(1,N)的白化方程为：

即

ds(1)(t)/dt+as(1)(k)=b

(7)

(8)

(9)

k=2,3,…,n

时间响应式为：

(10)

即：

(11)

1.2 GM(1,N)算法的改进

GM(1,N)模型可以根据网络中的网络流量、端口连接数等各主要因素来判断网络是否遭受攻击，因此该模型在相关安全领域得了较广的应用。但由于目前网络安全的复杂性，例如APT、DDOS、端口扫描等多维度攻击[13]，而GM(1,N)模型预测存在不需要大量样本，计算工作量小等缺点，因而得到的预测结果与实际的结果存在较大的误差。

灰色模型是根据相对固定的数据对未来的数据进行预测，但影响预测的通常只是离预测值较近时间段的数值，由于网络的流量值一直是一个动态的不断变化的数值，如果用传统的灰色模型预测，预测的数据只能反映较为单一的趋势[14]。因此，应用等维灰度递补的思想，本文提出了一个基于动态的等维GM(1,N)模型，利用网络攻击中存在较大数据的特点，采用动态等维[15]GM(1,N)模型来预测大量实时的数据替换较早的数据。以此类推，直到得到预测目标，以提高网络态势感知预测的精确度。具体如下：

(1) 对原始序列做一次累加：

(12)

i=1,2,…,n；t=1,2,…,m

(2) 根据所得原始数据，建立不同维度的GM(1,N)模型，其中：

(13)

(14)

(4) 求得GM(1,N)模式的近似时间响应式：

(15)

(5) 累减还原后得到预测模型:

(16)

(7) 重复以上计算步骤，通过对比不同维度GM(1,N)模型预测未来网络安全态势。

(8) 将改进的GM(1,N)模型按关系进行进一步误差检验，其精度为：

(17)

k=2,3,…,n

(18)

按

(19)

1.3 安全态势生成算法

从灰色模型的研究中可以得到灰色关联的网络安全态势感知预测方法,主要有以下步骤：

pre=GM 1N(x0)

s0=s0(:);

n=length(s0);

fori=1:n-1

G(i,1)=-(x1(i)+x1(i+1))/2;

G(i,2)=1;

end

Z1=s0(2:end);

belta=pinv(G′*G)*G′*Y;

a=belta(1);

对于社会服务方面，高校应积极为社会经济发展提供智库服务。从社会经济发展的具体需求着手，重点关注社会经济发展中面临的重大理论问题和其他实际问题，进行针对性和前瞻性的研究工作，以主动参与到决策咨询中去。通过高质高效的研究成果，为政府部门的决策和规划提供理论支撑，为社会舆论的发展提供指导依据。

b=belta(2);

%predict

s_pre1=zeros(n,1);

s_pre=s_pre1;

fork=0:n-1

s_pre1(k+1)=(s0(1)-b/a)*exp(-a*k)+b/a;

end

fork=1:n-1

s_pre(k+1)=s_pre1(k+1)-s_pre1(k);

end

本算法主要用来计算根据灰色理论建立的模型的预测值，应用的是数学模型GM(1,N)。原始数据的处理方法是一次累加法。

2 实验与性能对比

2.1 实验分析

为了验证该方法，采集了某大学2018年1～3月校园网中IPS和网络出口流量的数据，其中出口设备为一台锐捷的NPE60，通过对入侵防御系统(IPS)、WAF、NF对网络的流量监控，对本网的网络安全态势做出相关预测，本文实验的网络安全拓扑图如图1所示。

图1 某大学数据中心网络安全系统实验拓扑图

当一个局域网遭攻击时，可以通过异常流量指数、系统脆弱性指数、APT攻击指数、网站安全指数、网络攻击指数[16-19]等因素来判断其攻击的严重性。如异常流量指数，同一个局域网内，在不同时间段内存在不同的流量指数，但对于整体层面及长时间的流量观察来看，不同时间段的上网流量也存一定的规律性，例如，调取某高校数据中心的流量监控图(见图2)可以观测到，除了8:00～9:00、23:00～24:00、1:00～1:30这3个时间段流量异常外，其余时间段网络流量都相对稳定正常。这就可以利用具有相似流量态势的观点来预测下一个观测点。当出现异常情况下，如网络遭受DDOS攻击时，就可以通过某些特殊时间段上的异常流量点来做安全态势感识预测。

图2 某高校数据中心实际流量监控图

为了验证该算法的可靠性，抽取了某大学2018年1月某天T0→T5(取值为7:00～12:00)时间段的运行服务情况，每个时间段分别以1 h为单位，现假设观察了8:00～12:00期间5个时间点的异常流量值，12:00～13:00期间的T5点未观察，为了预测T5点的流量值，先进行T5点与其他点进行关联分析，关联度为r51=0.61，r52=0.62，r53=0.58，r54=070，r56=0.86建立GM(1，N)模型，其方程式为：

(20)

根据式(19)，可得T0→T4时间段内网络安全态势情况表，如表1所示。

表1 不同时间段内的安全态势

结合白化方程式和相应时间响应式(7)和(11)可得相应的安全态势预测模型数值：

(21)

(22)

最后根据式(16)，预测下一个时间段T5的网络安全态势值为86.1。

2.2 误差检验

文献[20]中给出了一种灰色理论的网络安全态势模型的误差检验方法，具体表达式为：

(23)

模拟值可得残差

(24)

最后可得相对误差Δt和平均相对误差Δ，分别记为：

表2 误差检验表

由式(26)可得到其平均相对误差为3.9122%，预测的精度大于96.4%，预测值较高。

表3中所示为DDOS、APT攻击和端口扫描等不同扫描类型的网络攻击采用灰色关联模型的预测值与实测值之间的误差分析结果。从表3得到安全态势值随不同攻击类型变化的柱状图(见图 3)。结合表2、表3和图4可以看出，安全态势值在GM模型应用中，最大相对误差为5.518%，平均相对误差为4.293%，基于GM(1，N)模型对安全态势值的预测能够得到误差较小的结果，且预测精度较高。

表3 灰色关联模型中不同攻击类型的实测值与

图3 不同攻击类型中的GM(1,N)预测值和实测值对比图

图4 GM(1,N)算法的流量基线值及预测值

2.3 系统性能测试

2.3.1性能验证

为了证明灰色关联模型的预测能力高于其他算法,本文利用一种异常流量检测的思路，利用tcpdump抓包下来的信息计算其检测概率和误报概率，并通过对其他算法的预测对比，从而验证了GM(1,N)算法的先进性。

用流量检测概率PD与误报概率PF检测算法的性能：

(28)

(29)

图4为GM(1,N)算法的流量基线值及预测值，假设实验拓扑中数据中心访问的流量200 MB为测试的固定基线，不同时段的动态流量也不一样，利用动态基线的变化从而来预测其流量值，当某个时间段的异常流量突然变动较大，那网络中极可能出现被攻击行为，利用本文算法，即可预测其网络的安全态势值。

2.3.2算法性能对比

从图5可以看出，本文方法预测精度最高,其他方法都有不同程度的误差。文献[6]中主要通过基于APDE-RBF神经网络的网络安全态势预测方法，用AP聚类得出种群差异度,自适应地改变DE算法的缩放因子和交叉概率,对RBF的宽度和连接权值进行优化；文献[7]中通过面向多步攻击的网络安全态势评估方法对网络中的安全事件进行场景聚类以识别攻击者。其攻击的范围都较小，未体现出预测时间段的不确定性和识差值。在表4中，灰色关联模型的检测率为0.85%，误警率为16%，两项指标均优于其他算法，再由平均误差值可以看出本文方法的预测值在3.912%，比其他两个算法误差值都低，相对精确度也更高，优势较为明显。

图5 不同算法态势值预测的对比

方式灰色关联模型文献[5]文献[6]安全态势值86.183.6575.69PD/%0.850.8120.73PF/%162530平均误差值/%3.9124.5846.895

3 结 语

随着国家对网络空间安全重视度越来越高，网络安全态势感知系统研究也已开始成为一个热门课题。如何建立一个安全的网络防御体系，尽早预判黑客恶意的入侵攻击行为，对于一个发展中的大国来说具有非常重要的意义。本文采用基于改进后的GM(1,N)算法建立了灰色关联的网络安全态势感知模型，并通过该模型的性能验证，证明该方法能有效的预测未来网络安全态势，预测精度较高。下一步工作，将融合更多的安全防御体系，通过网络安全态势等级的划分对预警级别进行分类，不断完善网络安全态势感知系统。