基于贝叶斯网络的信息安全预警模型

张宁， 范海涛

(中国北方发动机研究所, 信息与数字化中心， 天津 300400)

0 引言

信息安全预警模型在网络信息系统的建设中起着非常重要的指导性作用，精确描述出网络信息系统的安全属性，并确定信息安全与网络行为之间的关系，可以提高对网络信息安全需求的理解层次，及时对网络信息安全做出预警。根据国内外的情况，将数据融合技术应用于入侵检测是下一代入侵检测系统的发展趋势。在网络安全中，利用安全预警技术对攻击和攻击者进行有效防御是可行的。因此，有必要收集IDS提供的相关信息，分析和估计当前的入侵特征和情况。将D-S证据理论应用到分布式入侵检测系统中，利用预警模型整合检测中心的信息，明确入侵情况，提高入侵检测系统的预警能力和检测效率。国外关于网络信息安全预警的研究已经经历了很长一段时间，并取得了一定的研究成果，尤其是在电力、计算机等领域中更加被重视，国外的网络信息预警模型在防止黑客入侵、保护网络信息安全具有明显的效果[1]；与国外相比，国内对于网络信息安全预警模型的研究比较晚，到目前还没有形成一套比较完善的预警体系，就国内网络信息安全而言，能够有效保障网络运行的稳定性、防止外界入侵具有重要作用[2]。

焦萍萍[3]为了缩短船舶在海上航行过程中的通信网络安全预警的时间，通过引入大数据挖掘技术，设计了一种网络安全预警方法，并利用网络安全数据采集函数，详细设计了采集流程，将船舶通信网络安全信息采集出来，通过分析信息预警模型的构建过程，建立了通信网络安全预警模型，实现了船舶通信网络的安全预警，仿真结果显示，该方法可以缩短预警时间，提高网络安全的预警能力；许佳等[4]针对传统网络安全预警模型存在的一系列问题，将动态对等网层次结构应用到网络信息安全预警模型设计中，从两层对等网络和节点角色两个方面，设计了模型的结构，有效整合了动态对等网络中的数据和资源，使网络预警体系具有一种动态的自适应调整能力，结果显示，该预警模型在网络信息安全方面，不仅具有良好的鲁棒性，还可以提高动态对等网的防护能力。

基于上述背景研究，计算不同的数据信息，对攻击网络样本进行分类，并结合贝叶斯网络模型结构，规范和防范信息安全预警。因此，本文将贝叶斯网络应用于信息安全预警模型的设计，从而提高信息安全预警的效果。

1 信息安全预警模型设计

1.1 自适应分类攻击性网络信息样本

为了保证网络信息安全的预警效果，根据网络信息攻击性数据的特征，采用自适应聚类方法确定攻击性网络信息样本的聚类数目[5]。

令攻击性网络信息样本点集合为X=(x1,x2,…,xN)，定义A(L)表示累加数据不同类别的攻击性网络信息样本矢量和，B(L)表示攻击性网络信息样本的类别数量，L表示攻击性网络信息安全预警知识聚类的类别数量。

以首次带攻击的网络信息样本数据作为自适应分类的起点，规定数据聚类中心为每个网络信息样本点[6]，由式(1)计算出密度指数，确定密度指数最大的网络信息样本点xi，将xi作为第一个聚类中心，并且存在A(1)=xi，B(1)=1。

(1)

其中，d1表示以xi为聚类中心的邻域半径。

当网络信息样本xj与聚类中心之间的关系存在r≤d2时，将xj归入到聚类中心所属的聚类类别当中，此时就需要执行A(2)=A(1)+xj，B(2)=B(1)+1操作，否则就将xj单独放置，不对其进行自适应分类处理。将所有不做自适应分类处理的xj作为自适应分类的一个输入样本集合X′，重复上述操作，同时为其设定一个阈值M，直到满足B(L)

对于每一种攻击性网络信息类别A(i)，计算A(i)的聚类中心，即：

(2)

其中，ci表示初始数据中心。

根据式(2)可以得到网络信息分类的聚类中，利用式(3)初始化径向基函数的扩展宽度。

(3)

其中，cmax表示最大聚类。利用扩展处理后的径向基函数，对网络信息样本进行自适应分类，分类的结果如下：

(4)

通过计算攻击性网络信息样本的聚类中心，对径向基函数的宽度进行扩展处理，利用扩展后的径向基函数，自适应聚类攻击性网络信息样本，实现了攻击性网络信息样本的自适应分类。

1.2 标准化信息安全预警指标

贝叶斯网络的分辨率特性在压缩信息安全预警信号方面可以很好地表现出来[7]，通过微观处理信息安全预警信号，使信息安全预警模型具有较好的滤噪效果[8]。贝叶斯网络的模型结构如图1所示。

图1 贝叶斯网络的模型结构

针对网络信息的正向传递函数[9]，贝叶斯网络隐含层第i个节点和输出层第k个节点的输出可以表示为

(5)

其中，ai表示贝叶斯网络隐含层的输入，bj表示贝叶斯网络隐含层的输出，那么输入与输出之间的误差函数表示为

(6)

如果信息安全预警误差信号超过了期望值，那么贝叶斯网络就会进入负向反馈过程[10]。

贝叶斯网络的隐含层输出可以通过式(7)计算得到：

(7)

对于信息安全预警指标集N={U1,U2,U3,U4}，假设专家Ej给出的自信度和属性值的数对为(Wij,dij)，那么所有专家对信息安全预警指标给出的自信度和属性值就可以形成一个数值序列，即：

Q={(Wi1,di1),(Wi2,di2),…,(Wik,dik)}

(8)

那么信息安全预警指标的量化值可以通过式(9)计算得到：

(9)

如果专家无法给定信息安全预警指标数值，那么就需要给定一个具体的范围(Hi,Li)[11]，信息安全预警指标的量化值可以通过式(10)计算得到：

(10)

利用贝叶斯网络的模型结构，建立网络输入与输出之间的误差函数，通过计算贝叶斯网络的隐含层输出，计算信息安全预警指标的量化值，实现信息安全预警指标的标准化处理。

1.3 构建信息安全预警模型

为了实现基于贝叶斯网络的信息安全预警，假设信息安全预警数据输入样本点集合为X=(x1,x2,…,xN)，其中样本点集合中包含n个预警元素的态势输入向量，Y表示预警元素的态势输出向量，包含m个预警元素的态势输出向量，X与Y之间的样本对数量为K。

贝叶斯网络中径向基层第i个预警节点的输出可以表示为

(11)

其中，R(·)表示贝叶斯函数。

贝叶斯网络输出层第k个预警节点与径向基函数的节点输出之间，存在一种线性组合关系，将其表示为

(12)

其中，yk表示贝叶斯网络输出层第k个预警节点的输出，wki表示贝叶斯网络中qi与yk之间的连接权值，θk表示贝叶斯网络输出层k个预警节点的输出阈值。

利用贝叶斯网络实现信息安全的预警[12]，假设存在信息安全输入样本xp和输出样本dp，可以将信息安全预警的目标函数表示为

(13)

为了保证信息安全预警过程中得到准确的预警结果，利用最小二乘递推法调整了贝叶斯网络模型的参数[13]，即：

D(f)=Wp(t)+J[dp-qP(t)Wp(t)]

(14)

其中，Wp(t)表示贝叶斯网络的加权因子，qp(t)表示网络信息样本的自适应分类结果。

经过参数调整后，利用贝叶斯网络建立信息安全预警模型[14]，即：

(15)

综上所述，通过建立贝叶斯网络模型，确定了信息安全预警的目标函数，通过调整贝叶斯网络模型的参数，建立了信息安全预警模型，实现了信息安全的预警。

2 实验对比分析

为了验证基于贝叶斯网络的信息安全预警模型的预警效果，引入文献[3]信息安全预警模型和文献[4]信息安全预警模型进行对比，采用Intel 2370 i7-8700 8 GB的计算机搭建预警效果实验平台，利用Windows 7系统作为实验测试的操作系统。

2.1 实验流程

信息安全预警模型的测试流程如图2所示。

图2 信息安全预警模型的测试流程

信息安全预警模型在测试过程中，先将网络信息安全预警指标提取出来，通过比较预警指标与阈值之间的大小关系，判断预警指标所处的危险等级。根据信息安全预警模型，实时做出预警度判断。如果信息安全预警模型处于危险状态，就要及时将信息安全预警信息发布出去；如果信息安全预警模型处于正常状态，那么就将此信息忽略，让数据自行流出。

2.2 实验测试

采用基于贝叶斯网络的信息安全预警模型、文献[3]信息安全预警模型和文献[4]信息安全预警模型，进行网络信息数据识别的完成时间测试，网络信息数据识别的完成时间直接影响网络信息安全预警的及时性，测试结果如表1所示。

表1 网络信息数据识别的完成时间测试结果

从表1的结果可以看出，基于贝叶斯网络的信息安全预警模型与文献[3]信息安全预警模型和文献[4]信息安全预警模型相比，网络信息数据识别完成时间最短。因此，可以证明基于贝叶斯网络的信息安全预警模型可以有效识别网络信息，保证网络信息安全预警的及时性。基于贝叶斯网络的信息安全预警模型在识别网络信息进行的过程中，由于先自适应分类处理了信息数据样本，使得网络信息数据非常容易被识别，提高了网络信息数据的识别速度。

在网络信息数据识别的完成时间测试基础上，测试了信息安全预警模型的最优适应值对比情况，如图3所示。

图3 信息安全预警模型最优适应值对比测试结果

从图3的实验结果可以看出，在迭代次数相同的情况下，基于贝叶斯网络的信息安全预警模型得到的最优适应值明显优于文献[3]信息安全预警模型和文献[4]信息安全预警模型。随着实验迭代次数的逐渐增加，基于贝叶斯网络的信息安全预警模型可以加快全局最优解的寻找速度，说明基于贝叶斯网络的信息安全预警模型具有较好的收敛性能。基于贝叶斯网络的信息安全预警模型在设计过程中利用自适应聚类确定了网络信息样本的聚类中心，从而使模型的收敛性能大大提升。

为了进一步验证基于贝叶斯网络的信息安全预警模型的效果，在信息安全预警过程中，对信息安全性能进行评估，得到结果如图4所示。

图4 信息安全性测试结果

从图4的实验结果可以看出，基于贝叶斯网络的信息安全预警模型对信息安全性的评估比较准确，在预警信息安全过程中，利用贝叶斯网络建立了信息安全预警模型，通过扩展径向基函数的宽度，使基于贝叶斯网络的信息安全预警模型精度大大提高，保证了信息安全性评估的效果。

3 总结

本文提出了基于贝叶斯网络的信息安全预警模型，先对攻击性网络信息样本进行了自适应分类，利用贝叶斯网络，对信息安全预警指标进行标准化处理，最后通过构建信息安全预警模型，实现了信息安全的预警。结果显示，该预警模型具有较好的预警效果。