高青波　胡冠宇 徐泽群

摘 要：提出了一种基于并行计算平台的网络安全态势感知系统。该系统利用并行计算环境收集网络要素、计算评估网络安全态势并对未来短时间内的安全态势作出预测。并行计算平台能够将任务分解，并将分散的计算资源集中起来，让每个节点独立完成各自的计算任务，最终结果在管理主机上汇总，使得复杂的网络安全态势预测过程得以快速完成。实际应用的结果显示，所提出的系统能够在合理的时间内准确预测网络安全态势。

关键词：并行计算；网络安全态势；网络安全态势感知；并行入侵检测

引言

随着网络规模的急速增长，网络系统变得愈加复杂并难以维护，管理人员常常因为无法准确的预判网络系统的安全程度，而错失防御的良机，使得网络系统因为遭受到重大的攻击而陷入瘫痪。因此，如何准确的评估并预测宏观上网络的整体安全程度是主动防御的重中之重。

网络安全态势感知的概念就是在这样的背景下产生的[1]。态势感知最初应用在航空航天和军事指挥领域，它被用于评估并预测复杂机械装置的整体运行状况以及战场上的战局走势。网络安全态势则是指在宏观上描述复杂网络系统整体安全形势的一组定量的值[2]。

一个完整的网络安全态势感知系统包括三个部分，如图1所示。

图1 网络安全态势感知系统的结构图

其中各个模块的具体功能为：（1）网络要素提取，用于提取底层的网络数据流，将网络数据识别为带有具体意义的数据向量，然后对其进行预处理。预处理的过程一般包括：利用主成分分析方法[3]降低数据的维度，去掉不相关的属性。然后，为了消除数据中的奇异样本，还需将数据归一化以使其变得相对平滑。最后，为了在下一步的评估中能够获得准确的态势值，还需要对数据按照不同的攻击类别进行分类，这一步在本质上属于入侵检测过程。（2）安全态势评估，通过层次化评估的方法，将不同类别的网络数据按照不同的权重相加求得具体的态势值[4]。（3）安全态势预测，在上一步中求得的安全态势值会被累积起来当做预测的历史数据，然后用来训练网络安全态势的预测模型，使其可以预测未来的安全趋势[5]。

从上面的过程中可以看出，网络安全态势感知的每一步都需要处理大量的数据，其本质是要在海量的网络数据中挖掘出有用的攻击信息，然后将这些信息进行融合，从而判断网络安全的趋势。目前，应用于网络安全态势感知领域的相关算法多属于离线操作，即将已有的训练数据输入到模型中，对其进行训练，然后再应用到实际系统。如果网络平台不能提供大量的计算资源，就会使得网络安全感知系统的效率低下，不能很好的适应高速运转的网络系统，使得主动防御形同虚设。

基于以上问题，文章力求能够在并行环境下构建网络安全感知系统，让并行计算平台将网络安全感知系统中各关键任务分解，并将网络中分散的计算资源集中起来，让每个计算节点独立完成各自的任务，最终结果由管理主机收集。这样，在对复杂网络系统进行安全态势预测时，可以在合理的时间内准确预测网络安全态势。

1 网络安全态势感知系统的并行计算平台

针对前述内容，我们搭建了一个并行计算平台，如图2所示。

图2所示平台由51台普通计算机构成，其中50台为工作节点（worker），1台为管理中心主机。以此作为系统的硬件平台。我们设计并实现了一个分布式计算系统作为并行计算软件平台，可分为以下两个模块：（1）分布式计算管理模块：负责任务的分配与管理、协调任务的执行，worker主机与管理主机之间的通信。（2）分布式计算引擎：负责执行具体任务。利用上述软件平台可在多核与多处理器主机或者局域网环境下解决密集的计算问题。

在实际使用该平台时，我们将各个入侵检测节点和关键网络设备节点收集来的数据输入到图2所示的并行计算平台管理主机中，管理主机会将所收集到的大量的数据分配给各worker节点，然后worker节点对数据进行预处理后返还给管理主机。其过程如图3所示。

2 并行网络态势评估过程

当管理主机从work主机获得处理完成的数据后，要继续分配攻击分类任务，分类的主要目的是区分网络数据的攻击类别，一般可分为：正常数据（normal）、Probe攻击、Dos攻击、R2L攻击和U2R攻击[6]五大类。每一大类又细分为若干个小类。分类过程大致可以分为两步：（1）建立分类模型，常见的用于攻击分类的模型有BP神经网络[7]，支持向量机[8]，K邻近算法[9]等。这些分类模型通过已有的网络数据建立输入与输出之间的统计关系，从中挖掘攻击的特征，从而区分不同的攻击类型。（2）利用已有数据样本和优化算法对分类模型进行训练。优化算法对于分类模型至关重要，合适的优化算法直接影响到分类结果的精度。目前主流的优化算法有遗传算法（GA）[10]，粒子群算法（PSO）[11]以及差分进化算法（DE）[12]等。

并行环境下的网络安全态势感知系统的关键问题是，如何将上述模型的训练和优化过程分解并交给各worker并行实现，然后向管理主机返回最终的分类结果。文章选取SVM作为并行分类器，差分进化作为优化算法。并行SVM的基本形式是先将训练数据集划分成若干训练子集，然后在各个节点分别进行训练。由于SVM属于二分类器，故训练子集在划分时应该按照其中两种攻击类型划分，例如Normal和Dos划分为一类，Dos和Probe划分为一类，等等。所有分类器以无回路有向图（DAG）的逻辑形式组合到一起，如图4所示。

图4 并行SVM的DAG结构

图4中的每个SVM分类器都被按照不同的子集类别在worker节点独立训练，训练后的模型在接收新的测试数据时，会从图的顶点进入，然后被逐层分类直至得出最终的分类结果。

当网络数据的类别确定后，就可以按照文献[4]提出的层次化方法，管理主机根据专家事先给定的类别权重，以加权求和的方式得出当前網络安全态势值。

3 并行网络态势预测过程

如前所述，当收集到一段时间内的网络安全态势值后，就可以用来训练预测模型以预测未来网络安全态势。用于网络安全态势的预测模型也有很多种类，比较成熟的模型有：马尔科夫预测模型[13]，grey预测模型[14]、和径向基神经网络预测模型[15]。与分类阶段类似，预测阶段的模型也需要分解任务以适应并行计算环境。文章选取文献[16]提出的并行径向基神经网络预测模型作为预测工具。在进行预测时，管理主机先把所有的历史态势值交给各个worker主机，然后每台worker主机通过差分进化算法优化径向基神经网络预测模型，预测结果提交至管理主机中进行融合。最后，安全态势预测值将以可视化的结果呈现给网络安全管理人员，以便其对网络宏观状况能迅速直观的了解。图5描述了本网络平台可视化后的网络安全态势的预测结果。

图5描述了一个月内的网络安全态势预测值，其中横轴代表天数，竖轴代表网络安全态势的预测值，范围是[0，1]，值越高表示网络受到的威胁越大，当网络安全态势值大于某个阈值时，系统会自动发出报警。在运行系统一段时间后，实际的网络安全态势情况与图5的预测结果基本吻合。

4 结束语

文章设计并实现了并行环境下的网络安全态势感知系统，包含网络要素收集、网络态势评估及预测三个模块，并能根据预测值作出报警。该系统充分发挥了并行环境的优势，提升了网络安全感知系统的效率，使得管理人员可以提前获知网络受威胁的程度，并提前做好防范措施。实际应用的结果显示，所提出的系统能够在合理的时间内准确预测网络安全态势。

参考文献

[1]BASS T. Intrusion detection system and multi-sensor data fusion： creating cyberspace situation awareness[J]. Communications of The ACM， 2000， 43（4）： 99-105.

[2]王慧强，赖积保，胡明明，等.网络安全态势感知关键技术研究[J].武汉大学学报-信息科学版，2008，33（10）：995-998.

[3]赵海霞，武建.浅析主成分分析方法[J].科技信息，2009，2：87-87.

[4] Chen X. Z， Zheng Q. H， Guan X. H， Lin C. G. Quantitative hierarchical threat evaluation model for network security[J]. Journal of Software （in Chinese with English abstract）， 2006，17（4）： 885-897.

[5] 任伟，蒋兴浩，孙锬锋.基于RBF神经网络的网络安全态势预测方法[J].计算机工程与应用，2006，31： 136-139.

[6] Tavallaee M， Bagheri E， Lu W， Ghorbani A. A Detailed Analysis of the KDD CUP 99 Data Set[J]. Second IEEE Symposium on Computational Intelligence for Security and Defense Applications （CISDA），2009：1-6.

[7]吳欣欣，志诚，叶健健，等.基于改进的BP神经网络入侵检测方法研究[J].微型机与应用，2014，33（22）：67-70.

[8]彭小金，武小年.基于特征选择和支持向量机的入侵检测方法[J].大众科技，2014，16（3）：6-8.

[9]徐鹏，姜凤茹.粒子群算法和K近邻相融合的网络入侵检测[J].计算机工程与应用，2014，50（11）：95-98.

[10]吉根林.遗传算法研究综述[J].计算机应用与软件，2004，21（2）：69-73.

[11]王芳.粒子群算法的研究[D].西南大学，2006.

[12]谢宇，赵春霞，张浩峰，等.基于混合交叉差分进化的相机空间操控系统参数优化[J].物理学报，2015，64（2）：1-7.

[13]唐睿，冯学钢.基于马尔科夫预测的国内赴沪旅游者旅游消费结构分析[J].旅游论坛，2015，8（1）：38-45.

[14]马杰，任望，薛东军，等.灰色灾变模型在计算机网络安全态势预测中的研究[C]//第三届信息安全漏洞分析与风险评估大会，2010.

[15]胡明明，王慧强，赖积保.一种基于GA-BPNN的网络安全态势预测方法[J].北京：中国科技论文在线，2007.

[16]王华秋，曹长修.一种并行核径向基神经网络预测模型[J].重庆大学学报：自然科学版，2006，29（3）：80-83.

通讯作者：胡冠宇。