基于卡曼算法的计算机网络安全态势预测

2017-06-05张东

软件 2017年4期

张东

基于卡曼算法的计算机网络安全态势预测

张东

(郑州升达经贸管理学院，河南郑州 451191)

在如今的中国，计算机网络深入各家各户成为人们生活必不可少的重要部分。然而随着网络使用的方面、规模种类逐渐变得庞大和复杂，安全问题也相应地变成了一个让人头疼的顽疾。传统方法的对网络安全问题进行各个击破的方法现下也不再实用和适用。为了把被动变为主动，便要对网络安全态势进行预测，一是要收集整合数据，二是要结合周遭影响因素，为网络安全管理建立一个更好的管理机制，从而提高网络安全，让威胁人们的潜在不安因素得到解决。本文旨在用卡曼算法为基础，对计算机网络安全态势做出预测分析。

卡尔曼算法；网络安全；网络安全态势预测；神经网络；预测方法

伴随我们日益加速的网路环境的成长，和技术的不断发展，在今天的社会即将进入云计算时代，计算机网络对社会的影响将越来越大[1]。随着广泛的分布式网络系统，网络系统结构变得越来越复杂，网络面临的攻击和威胁越来越多，网络安全问题越来越严重，各种安全事件和漏洞越来越频繁，包括黑客攻击，网络安全的不堪一击渐渐暴露出来。单单使用传统方法来应对或许会力不从心，这不仅损害了个人和企业的利益，造成人民财产的损失，而且降低了人们对网络的信任[2]。确保网络信息安全已成为国家信息战略的重要内容之一[3]。但为了保护人们的网络隐私以及其他重要方面，及时评估和进行预测要成为网络安全的研究重点[4]。尽管我国现今已有不少专家提出了以人工免疫为基础的网络安全风险检测模型，但此类模型能给出网络安全态势值还是数量偏少，且其设计和管理存在相当问题，只能检测一定的网络脆弱性，局限性很大，无法检测整个网络，因此这种算法在提高网络安全性方面起到的作用非常有限。本文是根据卡曼算法对计算机网络安全态势进行预测分析的，主要探究为一下几点。

1 网络安全预测算法的概述

网络安全问题在当下科技发达的世界显得越发值得重视，要从关注独立的安全问题开始着手然后扩展至整个网络环境。而进行预测的态势感知所一来的数据来自不同位置的设备检测，例如IDS、防火墙以及系统的检测结果[5]。这些结果的格式有很大的差异，并且输出数据结果占据内存非常巨大。为了更好的达到网络安全态势的预测的目的，要持续引入不同的观念。想要对网络安全性定量分析就要采取态势感知的手段，此方法能够精确的度量网络安全性，起到非常有效的网络安全保障作用[6]。而研究这种技术要做的第一步就是对会影响系统安全性的各个因素进行面面俱到的检测获取；还要把关联安全信息进行收集，然后进行整合、分类、归并等工作。我国目前的态势感知技术相对不太成熟，而卡曼算法的研究可以一定程度的弥补这一缺点。

2 网络安全问题详述

（1）恶意代码技术攻击

恶意代码攻击对网络用户的攻击屡见不鲜，其主要危害在于使运行系统瘫痪，并且能够进行自动恢复造成假性屏障，再从后台进行传播，我国现已出现且为人熟知的病毒有：特洛伊木马、熊猫病毒、后门、逻辑炸弹、间谍软件和僵尸用户客户端等等。而恶意代码主要是从系统的软硬件漏洞入手，要想解决这个问题，应设计出能够对目标系统可能存在恶意代码的位置和特征进行识别的防火墙或安全软件[7]。可是目前市面现存的杀毒软件虽然能够起到一定的识别病毒的作用，但识别率却相对低下，更重要的是部分软件本身就存在相当大的危害性，比如窃取用户隐私和后台强制使用无法退出的情况。因此再研发更高阶的技术上，要更具有实时性，针对一些变形的而已代码，先识别出进行第一层的攻破，再设置第二层保护层，把对应的保护代码实时更新，让恶意代码无从攻击。

（2）扫描技术的缺陷

扫描技术是指对计算机网络的静态特征目标文件代码进行扫描，从而发现潜在危害。这种技术虽然误报率较高，但在恶意伪装文件面前还是有些力不从心[8]。因为一个软件文件的代码再编写过程中本身就具有一定的隐藏特征，恶意代码在当中稍加加壳变形便可躲过扫描。再者，一些恶意代码的目标可能本身就在破坏扫描技术上，一旦遭遇这种问题，扫描技术本身就变得不堪一击。

（3）虚拟机检测技术的两个缺点

虚拟机检测技术的意思是模拟一个虚拟的CPU环境，主动出击在虚拟检测时把恶意代码激活，观察其进一步的行为特征，以此来判断代码是否为恶意。这项技术的有点是并不需要一个规模很大的病毒特征库就能很大程度上的保证本机系统的安全，并且能保证不误伤到安全代码[9]。虚拟检测技术的检测步骤分为两步，一是对先建立一个对恶意软件行为分析的智能识别模块，其中包括行为知识库、行为知识推理机、以及知识获取组件；二是深层检测与监控组建，这两项的主要目的在于检测和收集目标系统的各种信息，收集的相关行为信息主要是针对底层隐藏技术的恶意代码的。然而，虚拟CPU技术的缺点之一是占据的内存太大，时间长久便会对系统的性能产生负面影响，最常见的可能就是机器死机。第二则是进行检测的需要时间过长，但判断恶意代码的时间却慢，查毒的效率很容易受到影响。

（4）防火墙技术

防火墙的概念是在对软件和硬件的设备组合进行已授权和未授权通信实体之间做出判断，保护并组织重要信息的未授权的访问和修改。防火墙是一种建“长城”的方法，通过设立一道屏障强化我们的网络安全，谨防私密信息被窃取。而防火墙技术分别为硬件和软件开发出了不同的产品，尽管类别不同，但是原理和技术非常相似，而且目的相同。这项技术有一个不足是过于简单，想要攻破很简单。防火墙作为一种隔离手段，工作方式相对单一，只是分析拦截进出的数据包，再进行二次决定。另一个不足是倘若防火墙使用方法不当，可能会造成计算机系统各项其他工作无法正常完成。因此效用有限。

3 卡曼算法的运用

卡曼算法最开始的名字叫做卡曼滤波（Kalman filtering），这是一种利用线性系统状态方程，通过系统输入输出观测数据，对系统状态进行最优估计的算法。由于观测数据中包括系统中的噪声和干扰的影响，所以最优估计也可看作是滤波过程，适用领域非常多。

而数据滤波是作为去除噪声还原真实数据的一种数据处理技术，卡曼滤波在测量方差已知的情况下能够从一系列存在测量噪声的数据中，估计动态系统的状态。卡曼滤波是目前应用最为广泛的滤波方法、在通信、导航、制导与控制等多领域得到了较好的应用[10]。因为其广泛的适用性，后来便延伸为算法，用于计算机编程。将这种算法运用到计算机网络安全态势预测上，能够很好的对现场采集的数据进行实时的更新和处理，长久便可保护网络安全。

4 网络安全预测模型

（1）估算方法和建模

基于经典预测算法的人工免疫网络安全态势评估算法，为获得网络安全态势预测值提供依据。由于预测算法一般都与网络安全状况的影响因素相结合，因此发现和收集影响网络安全状况的因素是关键。建模时，先在预测框架中的最低级别模块应设计一个数据采集模块，模块主要负责收集网络信息要素，但由于影响网络安全态势的因素很多，为了提高预测的准确性和效率，要先做出网络安全态势评估图，如图1所示为。

图1 网络安全态势评估图

（2）卡曼算法对网络安全态势预测。

首先，卡曼算法的滤波器可以用来处理系统的离散控制过程，而且非常符合网络安全态势预测离散控制交换系统的特点，可以用状态方程和描述观测方程的观测方程来表示。

方程为：

(+1)=(+1)×()+U1()

Y()代表在时间动态系统的状态向量，F(K 1，)表示该系统从时刻的状态转移在时间k 1状态，是状态转移矩阵；U1()是过程噪声矢量，代表噪声或误差在流转过程中产生的。

观测方程为：

(+1)=B()×(+1)+U2()

(1)表示在时间1在系统观测向量；B()是观测向量，状态向量(1)是改变后的观测向量描述；U2()表示观测噪声在时间。

因此，基于卡尔曼算法的网络安全态势预测的原理是：根据关键影响因子值和网络安全态势值求状态向量()1，当N状态向量的时间下一个时间段，N是获取量，并根据当前状态矢量观测向量描述获取网络安全态势值在下一时间段的次值。

（3）实验场景配置。

为了验证决策并融合卡曼滤波网络安全态势预测方法的有效性，要进行一定的仿真实验。实验需要的计算机硬件配置为：双核CPU，单核主频2.8 GHz，4 G内存；用在模拟实验的计算机软件配置：Windows 8操作系统，编程语言，OMNET++软件。

模拟配置相同的3台主机在OMNeT++检测。模拟中应用部分数据作为实验数据源，设计模拟恶意戴莫，对服务器进行模拟攻击，让其能够识别并拒绝使用，具体步骤为：在各种端口和漏洞扫描软件等攻击guess_passwd，攻击Nmap Perl等，攻击网络中的各种虚拟服务器，Perl和其他风险参数的风险参数设置为0.4，0.6，等，主机的权重设置为0.2，0.5，0.3。

（4）网络安全态势的计算

根据计算机人工免疫方法计算网络安全态势，可参考人体免疫系统抗体浓度变化与病原体侵入强度之间的关系，利用抗体浓度计算网络安全状况。该方法可以得到准确的网络安全态势值。具体表现为：当一些攻击继续攻击网络，相应的抗体浓度会不断增加；当攻击强度下降，然后抗体浓度下降，但下降幅度小于攻击强度的速率；当某种攻击再次发生在一定的时间内，相应的抗体浓度仍然较。这表明，网络安全形势更高，网络管理应准备防御。根据抗体浓度，可以计算出网络安全态势值。网络安全态势值可以从主机和系统中的抗体浓度。

在这个公式中，max是最大的态势值，min是最小的态势值，代表当前的态势。在归一化计算后，控制态势值为0到1之间。根据结果表明，网络安全状况的值越高，系统的危险便越低。

在经过处理后，网络安全态势的攻击强度的影响因素、网络流动和网络流量的变化率如表1所示。

表1

态势值攻击力度网络流量数据10.190.102280.14393 数据20.200.104590.69257 数据30.220.115460.21284 数据40.240.123710.81769 数据50.250.123710.81769 数据60.240.134690.16575 数据70.240.146890.64291 ........................ 数据210.360.141270.18433

4 建模注意事项

基于卡曼的网络安全态势预测算法具有模型参数少、计算简单、实时性好等优点。在这里要首先采用决策熵分析的方法选择影响网络安全状况的关键因素，然后结合关键因素建立网络安全态势的多关系模型。以下是基于决策熵与M因子建模相结合的卡曼预测算法，具体步骤虽复杂但成效甚好.在建模时，要参考多方数据才能，仔细核对每个公式的数值，保持严谨的态度才能最大程度的让建模结果精准。

5 结束语

本文针对的如今网络世界安全态势做出分析，提出了一种网络安全态势预测卡曼滤波预测算法。在这种方法中，第一步参考了诸多数据和图标，总结除了计算网络安全的关键特征；并在第二步根据卡曼算法做出了一些模拟实验，还对卡曼状态方程和网络安全状态的测量方程构造进行了研究，第三步根据现在新的信息理论的更新，对网络安全的新状态做了实时预测。最后，网络安全形势卡尔曼预测是运用决策熵理论实现了。在实验中，监测的三个属性，包括攻击强度，同时网络流量和网络流量变化率，最后选择攻击强度作为网络安全形势的特点，根据图标和方程的参考，完成预测模型的训练。从结果的预测曲线可以看出，在现有的基础上融合卡曼算法（滤波方法）实现了对网络安全态势的准确预测。本文的研究显明，互联网安全态势预测实则是网络安全防御机制转变，若能把相关研究和网络安全态势影响因素进行一定程度的结合，便可为更好地控制网络安全奠定一个良好基础。

[1] 陈宏伟, 李华. 基于卡尔曼算法的计算机网络安全态势预测方法[J]. 电子世界, 2016(7): 28-28.

[2] 曾斌, 钟萍. 网络安全态势预测方法的仿真研究[J]. 计算机仿真, 2012, 29(5): 170-173.

[3] 黄金山. 一种实时网络安全态势预测方法[J]. 电脑知识与技术, 2014(12X): 8373-8374.

[4] 古润南, 艾中良. 基于LOD控制与内外存调度的大规模网络态势数据节点处理算法[J]. 软件, 2016, 37(3): 89-93.

[5] 韩敏娜. 基于多传感器数据融合的网络安全态势评估及预测模型研究[D]. 江南大学, 2013.

[6] 韦勇. 网络安全态势评估模型研究[D]. 中国科学技术大学, 2009.

[7] 刘雷雷, 臧洌, 邱相存. 基于Kalman算法的网络安全态势预测[J]. 计算机与数字工程, 2014, 42(1): 99-102.

[8] 张超. 云计算网络安全态势评估研究与分析[D]. 北京邮电大学, 2014.

[9] 向西西, 黄宏光, 李予东. 基于Kalman算法的网络安全态势预测方法[J]. 计算机仿真, 2010, 27(12): 113-116.

[10] 肖鑫. 基于Kalman算法的网络安全态势预测方法[J]. 煤炭技术, 2012, 31(11): 113-116.

Network Security Situation Prediction Based on Kalman Algorithm

ZHANG Dong

(Shengda Trade Economics & Management College of Zhengzhou, Zhengzhou Henan 451191)

Nowadays in China, Network have been embedded in people’s life and become to an indispensable part. But with the usage of network ‘s ways、scales and varieties grow, it is become tremendous and complex, the security has also become to an worried problem. The way that we use traditional methods to solve these security issues are not practical and applicative. In order to make a transformation, then we need to predict the network security situation, first of all, collect and integrate data, second of all, combine these data with factor that may influence the network, to establish a better network supervise system to improve its security, and make the factor that may threat people’s life go away. This paper is to predict the network security situation based on Kalman Algorithm.

Kalman algorithm; Network security; Network security prediction; NN; Prediction methods

TN915.08

10.3969/j.issn.1003-6970.2017.04.019

河南省科技厅科技攻关项目(122102210444)

张东(1988-)，男，河南郑州人，助教、网络工程师，研究方向为计算机网络安全及算法分析

本文著录格式：张东. 基于卡曼算法的计算机网络安全态势预测[J]. 软件，2017，38（4）：104-107