朱闻亚

(1. 武汉大学 经济与管理学院， 湖北 武汉 430000；2. 义乌工商职业技术学院 机电信息学院， 浙江 义乌 322000)

卡尔曼熵值模型的网络安全态势估计

朱闻亚1,2

(1. 武汉大学 经济与管理学院， 湖北 武汉 430000；2. 义乌工商职业技术学院 机电信息学院， 浙江 义乌 322000)

针对网络安全态势估计问题，提出一种基于卡尔曼熵值模型的估计方法.根据熵值关联度,筛选出影响网络安全的关键因素，构建回归方程；构建网络安全评估的状态模型和测量模型.采用卡尔曼滤波对网络安全态势进行估计.结果表明:文中方法可以对网络安全态势作出精确估计. 关键词： 关联度; 回归方程; 安全估计; 测量模型

为了提升网络使用安全水平，国家提出了网络信息安全战略[1].在网络安全问题应对早期阶段，3种最典型的方法[2-3]是脆弱性评估法、防火墙监控法和入侵检测法.随后，各种网络安全的监控和评估方法陆续出现.韦勇等[4]根据网络登陆访问和信息处理的相关日志文件，提出一种网络性能修正算法，进而构建一个适用于网络安全态势评估的全新模型.姜伟等[5]采用攻防博弈模型对网络安全程度进行评价，并提出最优主动防御策略以增加网络安全.黄同庆等[6]构建了一种实时的网络安全态势预测方法.刘玉岭等[7]构建了一种时空维度分析方法，以实现对网络安全态势的预测.任江伟等[8]提出一种信息融合的网络安全态势评估模型，从多个角度提取网络安全的表征信息，并将这些信息融合在一起作为网络安全水平的判断依据.赵颖等[9]提出网络安全的未来发展趋势在于数据的可视化、网络状态的可视化，让监控人员可以更加直观地发现当前网络所处的状态.本文根据已有研究成果，结合灰熵关联度和卡尔曼滤波，构建一种新的网络安全态势评估方法，以实现更加准确的网络安全态势估计.

1 网络安全态势估计方法

1.1 卡尔曼滤波模型

卡尔曼滤波模型的状态方程表示为

(1)

式(1)中：Y(k)用于表达网络安全系统在第k时刻所表现出来的状态；G(k+1,k)用于表达网络安全系统从第k时刻所表现出的状态到第k+1时刻状态的转移，也称为状态转移矩阵；U1(k)用于表达整个网络安全运行过程中的噪声或可能出现的误差[10].

卡尔曼滤波模型的量测方程表示为

(2)

式(2)中：z(k+1)表达网络安全系统在第k+1时刻所能观测到的信息；网络安全的状态向量Y(k+1)也是可以量测的.

对于k≥1后的各个状态向量y(i)，如果i>n，通过卡尔曼滤波模型的状态方程可以得到n时刻后的状态，再通过量测方程的观察,就可以估计出n时刻之后的网络安全状态信息.

1.2 网络安全态势的新信息估计

用M(k)表示第k个时刻的网络安全新信息，那么,对于网络安全态势z(k)，其新信息的表达式为

(3)

式(3)中：z1(k)的计算需要借助最小二乘法，它是网络安全态势的最小二乘估计结果.

根据新信息理论，按照上述过程计算出网络安全态势新信息.

1.3 卡尔曼熵值模型网络安全态势估计方法

步骤1 用z(k)表达第k个时刻的网络安全态势数据信息，那么，z(k+1)就表达了第k+1时刻的网络安全态势数据信息.采用灰度熵值的计算方法，通过比较关联度的大小确定影响网络安全态势的m个关键参数，这时yi(k)就表达了第k个时刻关键参数i的信息，yi(k+1)就表达了第k+1个时刻关键参数i的信息，进而可以建立一个网络安全态势和关键参数之间的回归方程，即

(4)

式(4)中：参数b0，0，b0,1，…，bm,m和δ0，δ1，…，δm均为回归系数，可以通过最小二乘法求得.

步骤2 在网络安全态势和关键参数之间回归方程的基础上，根据卡尔曼滤波模型的基本原理，构建网络安全态势的卡尔曼状态方程和量测方程，分别为

(5)

步骤3 对Y(0)等向量信息进行数据初始化.

步骤4 求取网络安全态势的新信息z(k)，表示为

(6)

式(6)中：B(k)G(k)Yi(k-1)用于表达z(k)的一个估计值.

2 结果与分析

用mi表达计算机i上的抗体数量，mi,j表达计算机i上遭受到第j类攻击的抗体数量，θj表达第j类攻击的可能造成的危险程度，ϑi表达计算机i的重要程度，yi表达网络安全状态下计算机i上的抗体数量，那么，需要计算以下3种网络安全风险.

第1种风险：单台计算机遭受攻击的风险，其数学表达式描述为

(7)

第2种风险：整个网络遭受第j类攻击的风险，其数学表达式描述为

(8)

第3种风险：整个网络遭受所有可能攻击的风险，其数学表达式描述为

(9)

通过判断上述3类风险和对应的抗体浓度，就可以形成对计算机网络安全态势的大致判断.上述3类风险在数值表达上可能存在较大的差异，为此,对其进行归一化处理，使这三类风险的数值均分布在0到1的数值区间上，其数学公式为

(10)

式(10)中：ymax为网络安全态势的极大值；ymin为网络安全态势的极小值；y为网络安全态势的当前值.

在上述处理的基础上，为灰度熵值关联度的计算选择3个常见的网络安全影响参数，即网络遭受的攻击强度、计算机网络流量和计算机网络流量的变化率，如表1所示.

表1 网络安全的3个影响参数Tab.1 Three influencing parameters on network security

结合表1数据，采用式(4)，计算网络安全态势影响因素中前10，20，30组的灰熵关联度，结果如表2所示.由表2可知：攻击强度与网络安全态势的灰熵关联度最大.

表2 各组数据的灰熵关联度Tab.2 Grey entropy correlation degree of group data

由表2的分析结果可知：强度攻击对于网络安全态势的灰熵关联最大，因此，选择它作为卡尔曼熵值模型的网络安全态势估计值.

以表1中30组攻击强度数据作为网络安全态势的表征数据，借助提出的基于卡尔曼熵值模型网络安全预态势估计方法进行数据拟合，拟合结果如图1所示.图1中：e为预测值与真实值的偏差；n为数据个数；T代表网络安全态势的真实值；P代表基于卡尔曼熵值模型网络安全预态势估计方法得到的估计值.由图1可知：两条曲线在第6个值后实现了比较好的拟合，这种状态一直持续到第25个值；随后，因为曲线T的剧烈变化，使得曲线P和曲线T有了一定的偏差，但趋势上一直拟合较好.

在拟合处理的基础上，进一步对后续20组数据进行预测，结果如图2所示.

由图2可知：基于卡尔曼熵值模型网络安全预态势估计方法准确地估计了未来20个时刻上的网络安全态势，与网络安全态势的真值以较小的偏差吻合在一起.结果表明：经过30个数据的训练，基于卡尔曼熵值模型网络安全预态势估计方法已经适合本实验条件下的估计；基于卡尔曼熵值模型网络安全预态势估计方法具有理想的估计性能和估计精度.

图1 前30组数据的拟合曲线 图2 后20组数据的预测曲线 Fig.1 Fitting curves of first 30 sets of data Fig.2 Fitting curves of last 20 groups of data

3 结束语

网络安全态势估计对于计算机网络安全具有重要意义.文中在卡尔曼滤波模型的基础上，构建一种卡尔曼熵值网络安全估计方法.首先，借助灰熵关联理论分析网络安全态势的影响因素；其次，利用关键影响因素构建网络安全态势估计的卡尔曼状态方程和卡尔曼量测方程；最后，采用卡尔曼滤波分析的过程执行对网络安全态势的估计.实验结果以攻击强度为网络安全态势的表征指标进行估计，估计结果显示：文中提出的基于卡尔曼熵值模型的网络安全态势估计方法，具有准确的估计精度和良好的估计性能，对于网络安全态势的预判具有较好的适用性.

[1] 韩文智.计算机文本信息挖掘技术在网络安全中的应用[J].华侨大学学报(自然科学版),2016,37(1):67-70.

[2] 林闯,汪洋,李泉林.网络安全的随机模型方法与评价技术[J].计算机学报,2005,28(12):1943-1956.

[3] 李方伟,张新跃,朱江,等.基于信息融合的网络安全态势评估模型[J].计算机应用,2015,35(7):1882-1887.

[4] 韦勇,连一峰.基于日志审计与性能修正算法的网络安全态势评估模型[J].计算机学报,2009,32(4):763-772.

[5] 姜伟,方滨兴,田志宏,等.基于攻防博弈模型的网络安全测评和最优主动防御[J].计算机学报,2009,32(4):817-827.

[6] 黄同庆,庄毅.一种实时网络安全态势预测方法[J].小型微型计算机系统,2014,35(2):303-306.

[7] 刘玉岭,冯登国,连一峰.基于时空维度分析的网络安全态势预测方法[J].计算机研究与发展,2014,51(8):1681-1694.

[8] 任江伟,韩跃龙.基于信息融合的网络安全态势评估模型[J].黑龙江科技信息,2015,46(9):353-362.

[9] 赵颖,樊晓平,周芳芳.网络安全数据可视化综述[J].计算机辅助设计与图形学学报,2014,26(5):687-697.

[10] MARSA-MAESTRE I,HOZ E D L,GIMENEZ-GUZMAN J M,etal.Design and evaluation of a learning environment to effectively provide network secureity skills[J].Computers and Education,2013,69(4):225-236.

(责任编辑： 黄晓楠 英文审校： 吴逢铁)

Network Security Situation Assessment Based on Kalman Entropy Model

ZHU Wenya1,2

(1. School of Economics and Management, Wuhan University， Wuhan 430000, China；2. School of Mechanical and Information, Yiwu Industrial and Commercial College, Yiwu 322000, China)

Aiming at the problem of network security situation assessment, an estimation method is proposed based on Kalman entropy model. Key factors influencing the network security is selected according to the entropy correlation in order to construct regression equation, which help establish the state model and the measurement model of network security assessment. Then Kalman filter is used to estimate the network security situation. Results show that this method can accurately estimate the network security situation. Keywords： correlation degree; regression equation; safety estimation; measurement model

10.11830/ISSN.1000-5013.201701019

2016-11-25

朱闻亚(1980-)，男，副教授，博士研究生，主要从事计算机软件理论、网络安全的研究.E-mail:zhuwenya2002@163.com.

浙江省教育厅高等教育教学改革项目(JG2015343)

TP 393.4

A

1000-5013(2017)01-0101-04