基于贝叶斯网络的网络风险评估研究
2017-06-20李军熊飞钮焱
李军+熊飞+钮焱
摘要:建立一个基于贝叶斯网络的风险评估模型,通过风险因素识别、建模和定量计算对网络运行过程中产生的风险进行评估。选取流量、CPU和内存这3个网络性能指标参数作为网络发生风险的定性分析因素,通过贝叶斯网络来计算出各风险因素造成网络发生风险的概率并对其进行排序,确定各风险因素对网络风险的影响程度,并计算出网络风险率。
关键词:贝叶斯网络;网络风险评估;性能指标
中图分类号:TP309
文献标识码:A
文章编号:16727800(2017)004019704
0引言
随着互联网的迅猛发展,网络规模及其应用的复杂性日益加大,网络及电脑设备的负荷不断增长,导致网络性能不断降低,运行缓慢、系统崩溃等现象时有发生,给用户带来了许多风险。网络风险评估是指对网络中已知或潜在的安全风险进行探测、识别、计算、评价的过程。通过对网络风险进行评估,可以了解潜在的危害,有针对性地加以安全防范,从而保障网络的安全运行。 近年来,风险评估相关研究受到国内外学者的广泛关注,提出了许多研究方法。孙鹏程、陈吉宁[1]通过贝叶斯网络直观地表示事故风险源和河流水质之间的相关性,并用时序蒙特卡洛算法将风险源状态模拟、水质模拟和贝叶斯网络推理过程结合,对多个风险源进行量化评估。吴欣[2]提出了一种新的基于贝叶斯网络的方法有效地处理故障诊断中存在的问题,同时根据提出方法的特点设计了基于多代理系统(MAS)的故障诊断体系结构。闫峰[3]提出基于攻击图的网络安全风险评估方法,将攻击图技术应用到网络安全风险评估中,通过攻击图展示攻击者利用网络中脆弱性及脆弱性间依赖关系综合入侵目标网络的攻击场景,并在此基础上计算网络的安全风险并寻找最小代价的网络加固措施。由于贝叶斯网络本质上是一个有序无环图,基于贝叶斯网络的概率计算方法也只能適用于无环的攻击图,且计算繁杂度为指数级,不适合大规模网络使用。 国外学者S Kondakci[4]提出了一种基于贝叶斯信念网络的因果关系评价模型,用来分析和量化由各种威胁源造成的信息安全风险。TT Chen和SS Leu[5]建立了一种基于故障树转换的贝叶斯网络,对桥梁建设项目进行下跌风险评估。S Barua,X Gao[6]等提出了一种基于贝叶斯网络的动态系统风险评估方法,建立了一个化工过程系统动态故障树,将它映射到贝叶斯网络,通过动态贝叶斯网络来演示动态操作风险评估方法。传统推理方法不适合确定风险因素的后验概率,不同专家提供的数据会直接影响精确度和评估质量。 贝叶斯网络分析方法是一种新的定量分析方法,通过使用概率理论来描述不同因素之间的关系,这种概率推理方法本质上是基于一个有向无环图,它代表着节点间的概率相关性。并且,它能够有效地处理现实生活中的不确定性问题。许多专家都使用贝叶斯网络分析方法来进行风险评估,并应用于交通事故、水污染事故、电力故障和信息安全等。贝叶斯网络能够有效地处理不确定性问题,它提供了强大的计算能力,能够通过已知信息计算未知信息,进而进行有效推理。由于在网络风险评估方面也有许多不确定性因素,且存在着一定的相似性,故本文使用贝叶斯网络方法对网络运行过程中的风险进行评估。
1贝叶斯网络
1.1贝叶斯网络的描述
作为描述不确定性信息和推理的最有效理论模型之一,贝叶斯网络应用于人工智能的几大分领域包括因果推理、不确定性知识表示、模式识别和分类等,它结合了人工智能、概率理论以及图形理论,是一种将因果知识和概率知识相结合的信息表示框架。它可以直观地表达出各风险因素之间的相互关系,便于从不完整或不确定的信息中进行推理。贝叶斯网络包含2个部分:一个是网络拓扑结构,另一个是条件概率表。网络拓扑结构是模型的定性描述部分,是一个有向无环图,其中每个节点代表论域中的随机变量,变量之间存在一条有向弧连接相邻节点,有向弧代表变量间的依赖关系,如果两个节点之间没有边连接,那么它们没有直接依赖关系相互独立;节点与其父节点之间的条件概率表用来描述变量之间的关系强度。节点与父节点之间存在一种因果联系,这种因果联系可以准确地反映出它们之间的依赖关系。在贝叶斯网络中,定性信息主要通过网络的拓扑结构表达,而定量信息主要通过节点的联合概率密度表示。 贝叶斯网络的条件独立性假设是一个非常重要的特性,它显著地减少了使用先验概率进行网络推测的计算难度。对于任何一个节点,当给定它所有父节点的状态时,该节点与其所有祖先节点条件独立[7]。
贝叶斯网络模型构建包括2个步骤:①构建网络拓扑结构,定性描述各节点之间的因果关系;②构建一个条件概率表,定量描述网络中各节点的关系强度。
1.2基于贝叶斯网络模型的网络风险评估结构
基于贝叶斯网络的风险评估流程如图1所示。①风险因素识别,从所有网络性能指标中,选取适当的几个指标进行实验;②构建网络拓扑结构,通过贝叶斯网络进行分析,确定各指标之间的依赖关系,画出贝叶斯网络拓扑结构图;③风险因素概率计算,首先,采集数据并进行归一化处理,得到对应指标某一时间段的时间序列图,然后进行统计分析,计算出各指标的先验概率,最后,通过BNT工具箱计算出各指标的后验概率;④网络风险评估。通过上述计算结果,结合给定的评估系数公式,求出各指标的φ(xi)并进行排序,最后,计算网络风险率p(R),结合风险等级表查看当前时刻的网络风险等级。
1.2.1风险识别在网络运行过程中,由于用户使用不当或者网络攻击可能造成网络性能降低,产生网络风险,网络风险可能由多种风险因素的相互作用而引起。本文通过相关文献查阅、实验调查和数据采集,选取了流量、CPU和内存3个风险因素,对应的状态如表1所示。
1.2.2网络拓扑结构构建通过一个邻接矩阵LJ=(aij)n×n构建网络结构,当节点i是节点j的父节点时,aij=1;否则aij=0。然后,通过矩阵对角元素来确定最终矩阵。如果,邻接矩阵的对角元素不全为0,那么该网络结构就不符合有向无环图,反之,则适合。由于在网络运行过程中,流量、CPU、内存的超标都可能引起网络风险,所以网络风险与流量、CPU、内存之间存在直接依赖关系。而流量的超标也有可能导致CPU、内存超标,所以CPU、内存与流量之间也存在直接依赖关系。因此,可得到如下邻接矩阵:
由式(4)可知,邻接矩阵LJ中所有对角元素均为0,所以该结构是一个有向无环图,满足模型需求。因此,图2中的网络拓扑结构是一个合理的贝叶斯网络结构。
其中,节点1代表流量,节点2代表CPU,节点3代表内存,节点4代表网络风险。
1.2.3风险因素概率计算通过实验,分别监测一段时间内看视频、看网页、下载以及网络攻击情况下的网络性能指标情况,得到流量、CPU、内存的时间序列图,经过归一化后如图3-图5所示。
现假定流量、CPU、内存超标的临界值分别为0.7、0.6、0.6[810],从2 000个数据中分别进行统计,得到各指标的条件概率表(见表2-表5)。
由表2、表3、表4、表5可获得先验概率分布,如图6所示。接下来通过BNT工具箱,输入流量、CPU、内存的条件概率,得到各指标的后验概率,如图7所示。图6是根据实验数据统计得出的流量、CPU、内存各状态发生风险的先验概率,而图7是通过BNT工具箱计算得到的当风险发生情况下流量、CPU、内存各状态发生风险的后验概率。通过比较图6和图7可知,当确定有网络风险发生时,流量、CPU、内存为True状态时的概率都增加了,其中流量变化最明显。通过BNT工具箱还可以得出,当只有流量超标情况下,发生风险的概率为0.018 8,而当增加一个风险因素,即流量、CPU都超标的情况下,发生风险的概率为0.026 0。由此可见,当更多的不利因素呈现时,网络风险的概率就会增加。
1.2.4网络风险评估通过对造成网络风险主要因素的讨论,给定一个参考系数,作为某个风险因素的概率变化的最大允许量[11],表达如下:
其中,Xi是某个风险因素,i=1,2,3;RT表示发生网络风险,RF表示没有发生网络风险,S是风险因素的状态,u取T(True)或者F(False)。根据上文计算结果结合式(5)可以得到φ(X1)=76.07,φ(X2)=14.87,φ(X3)=21.56,即φ(X1)>φ(X3)>φ(X2) 。其中,X1、X2、X3分别代表流量、CPU、内存,φ越高则它造成网络风险的可能性就越大。因此,由上述排序可知,在该段时间内,流量造成网络风险的可能性最大,其次是内存,最后是CPU。得到流量、CPU、内存的后验概率后,给定一个网络风险率公式[11]如下:P(R)=P(L)×P(C)×P(M)〖JY〗(6)其中,P(L)、P(C)、P(M)分别表示在风险发生的情况下,是由流量引起的概率、是由CPU引起的概率以及是由内存引起的概率。将上文计算结果代入式(6)可得,P(R)=0.042 1。文献[12]给出了风险频率范围的分类标准,如表6所示。由此可知:①网络风险率结果显示,该段时间的概率为0.042 1,属于略高风险级别,需要加以重视;②由各网络风险因素的影响程度可知,该时刻流量对网络的影响程度最大,因此,需要对流量进行重点监控,必要时可进行限制。
2结语
本文主要研究了基于贝叶斯网络方法的网络风险评估问题,提出了相应的计算模型,并进行了实例计算。风险评估的过程主要包括风险识别、模型构造、定量计算。本文利用贝叶斯的条件独立性假设这一特性,简化了模型的计算复杂度,具有一定的应用价值。
参考文献:
[1]孙鹏程,陈吉宁.基于贝叶斯网络的河流突发性水质污染事故风险评估[J].环境科学,2009,30(1):4751.
[2]吴欣.基于改进贝叶斯网络方法的电力系统故障诊断研究[D].杭州:浙江大学,2005.
[3]闫峰.基于攻击图的网络安全风险评估技术研究[D].长春:吉林大学,2014.
[4]S KONDAKCI.Network security risk assessment using bayesian belief networks[C].IEEE Second International Conference on Social Computing,2010:952960.
[5]TT CHEN,SS LEU.Fall risk assessment of cantilever bridge projects using Bayesian network[J].Safety Science,2014,70(70):161171.
[6]S BARUA,X GAO,H PASMAN,et al.Bayesian network based dynamic operational risk assessment[J].Journal of Loss Prevention in the Process Industries,2015(41):399410.
[7]WANG L,WANG B,PENG Y.Research the information security risk assessment technique based on Bayesian network[C].International Conference on Advanced Computer Theory and Engineering,2010:600604.
[8]杨嵘,张国清,韦卫,等.基于NetFlow流量分析的网络攻击行为发现[J].计算机工程, 2005,31(13):137139.
[9]孙知信,唐益慰,张伟,等.基于特征聚类的路由器异常流量过滤算法[J].软件学报,2006,17(2):295304.
[10]李小爽.IP网流量流向分析及异常流量监控的研究[D].北京:北京邮电大学,2008.
[11]WANG X,ZHU J,MA F,et al.Bayesian networkbased risk assessment for hazmat transportation on the middle route of the SouthtoNorth water transfer project in China[J].Stochastic Environmental Research and Risk Assessment,2016,30(3):841857.
[12]ESKESEN S D,TENGBORG P,KAMPMANN J,et al.Guidelines for tunnelling risk management:international tunnelling association, working group No.2[J].Tunnelling & Underground Space Technology,2004,19(3):217237.
(責任编辑:孙娟)