基于改进证据理论的物联网安全态势评估

2019-01-18冯英伟王庆福肖瑞雪

西安理工大学学报 2018年4期

冯英伟，王庆福，吕国，肖瑞雪

(1.河北建筑工程学院现代教育技术中心，河北张家口075000；2.辽宁行政学院信息技术系，辽宁沈阳110161)

物联网时代的到来不仅方便了人类的日常生活，更为社会生产力的发展提供了有效手段。由于物联网结构的组成错综复杂涉及范围广泛，一旦遭到攻击，就会爆发连锁性的破坏，物联网安全受到了前所未有的考验[1-3]。如何进行有效的物联网安全态势评估成为研究的重点。物联网设备因为信息汇总与模糊信息逻辑能力的匮乏，保持着独立的状态，干扰管理员判断，致使物联网安全态势不易鉴定，为物联网安全态势的评估增加了难度。因此，亟需一个行之有效的物联网安全态势评估方法[5]。

针对物联网安全态势评估问题，有学者提出了一种基于语义本体和用户定义规则的情况推理的网络安全态势感知模型，该文技术为解决物联网安全领域中的语义异构问题提供了统一、形式化的描述[6]。该方法提出了反映物联网安全状况的四个关键子域：上下文、攻击、漏洞和网络流。但该方法过于笼统，没有针对性的解决明确问题，导致应用性不强。有学者以威胁情报为切入点，提出威胁情报共享方法,实现安全威胁情报共享系统的设计,通过共享重要的第三方情报数据对电网安全的安全态势进行评估及时发现异常行为。该方法应用过程较为简单，但是得到的物联网安全态势评估效果却不够理想，物联网的异常行为检测不彻底，无法得以广泛应用[7]。有学者从网络系统的结构出发，阐述了电子产品编码系统、物理信息融合系统和无线传感器网络系统的运行特点和安全状况，提出了安全挑战和安全防御方法，结合物联网技术的应用与发展，提出了物联网的体系结构，并集成了不同的通用子系统。该方法虽然可以很好的对物联网安全态势进行评估，但是方法过于复杂，应用难度较大[8-9]。D-S证据理论[10]的基本概率赋值(Basic Probability Assignment，BPA)可对不确定信息实施准确描述以及操作，在智能推理方面具有较高的应用价值。传统D-S证据理论的物联网安全态势评估模型采用公式或者专家的经验获取BPA值，个人意识较强缺乏科学客观性，致使获取的物联网安全评估结果不理想[11]。

为解决当前物联网安全态势评估存在的问题，提出基于改进D-S证据理论的物联网安全态势评估模型，采用GA-BP神经物联网训练物联网安全参数指标，输出态势优秀的BPA，最终获取准确的物联网安全态势评估结果。

1 改进D-S证据理论的物联网安全态势评估模型

1.1 基于D-S证据理论的物联网安全态势评估模型

1.1.1 D-S证据理论

m1和m2为两个证据的基本可信度分配函数，那么D-S合成规则为：

(1)

1.1.2 D-S证据理论的物联网安全态势评估模型

基于D-S证据理论的物联网安全态势评估模型见图1，其从物联网攻击态势、物联网防御态势、整体安全态势3种类型的物联网安全态势进行评估。

图1 D-S证据理论的物联网安全态势评估模型Fig.1 Network security situation assessment model of D-S evidence theory

操作步骤如下。

1) {A1,A2,A3}描述辨识框架Θ的全部物联网安全态势评估状态，以将来某时段为前提，某段时期中物联网安全、危险和不确定状态分别是A1,A2,A3。

2) 用Eatt、Edef和Esec表示辨识框架Θ的攻击、防御和整体安全态势评估的3类证据体，该种描述基于以往和现在的物联网攻击、防御和整体安全态势的评估结果进行分析。

3) 当i=1,2,3时，用matt(Ai)、mdef(Ai)和msec(Ai)描述BPA，此时的BPA是各种现在3类证据体的安全状态。

4) 用结合证据体得出不同安全状态时的新BPA值m，此前，要将3类证据体通过D-S合成规则进行合成。

采用上述方法获取包括攻击态势、防御态势、整体安全态势的各类物联网态势评估结果，但获取的评估结果与实际的物联网安全状况稍有偏差，需研究改进。

1.2 改进D-S证据理论的物联网安全态势评估模型

基于D-S证据理论物联网安全态势评估结果不理想，与实际物联网安全态势有偏差，主要因为D-S证据理论评估过程中采用的BPA获取方式缺乏说服力与科学性。基于D-S证据理论的物联网安全态势评估模型采用单纯的公式计算或者凭借专家的经验之谈进行判断，由于物联网具有繁琐的物联网结构组成、错综的物联网环境的特性，所以各因素间互相干扰，变化多端，此做法很难对物联网安全态势各方面干扰力做出准确判断。基于改进D-S证据理论的物联网安全态势评估模型采用遗传算法改善BP神经物联网获取准确、可靠的BPA值，排除BPA赋值时存在的主观意识性。文章分析的态势状态包括物联网正常态势、物联网异常态势和物联网的未知态势分别用N、A、θ进行描述，图2为改进D-S证据理论的物联网安全态势评估模型。

图2 改进证据理论的物联网安全态势评估模型Fig.2 Network security situation assessment model based on improved evidence theory

此模型的操作流程包括数据采集、BPA构造、D-S证据融合和态势评估，详细内容如下。

1) 从态势信息中采集数据并提炼态势指标后进行统一操作，此态势信息由物联网设备给予。

2) 通过遗传算法改进的BP神经物联网算法(GA-BP)，在GA-BP神经物联网操作层训练学习样本集，样本集内是多维度态势指标，最终获取态势BPA。

3) 对新D-S证据实施融合过程中，应用BP神经物联网获取的态势BPA和Dempster合成表达式进行循环处理，同时实施态势评估时需要基于决策逻辑分析。

上述基于改进D-S证据理论的物联网安全态势评估过程中，对于BPA的构造采用遗传算法对BP神经物联网实施物联网参数优化操作，提高收敛速度的基础上增加BPA评估的准确度。分析D-S证据融合时，通常将证据融合过程当成在不同时间点情况下的证据态势BPA融合过程。对物联网安全态势进行评估时，将融合过程当成不同时间点情况下的D-S证据融合过程，依据时间点的态势BPA构成不同的D-S证据。不同态势情况同不同的证据命题相关联。详细的融合过程是：面向第n-1条证据，向Tn-1时情况下BP神经物联网设置态势BPA，如果获取第n条证据，则融合第n条以及第n-1条证据获取新证据，通过Dempste合成表达式对新证据实施融合，得到最佳态势BPA，同时基于设置的决策逻辑，基于最佳态势BPA的D-S证据融合流程，对物联网安全态势实施有效评估，具体的流程用图3描述。

图3 最佳态势BPA的D-S证据融合流程Fig.3 D-S evidence fusion process in the best situation BPA

图3中差异时间点的态势BPA实施Dempster合成过程用⊕描述，基于遗传算法优化的BP神经物联网算法用GA-BP描述。

上述过程经过BPA构造、D-S证据融合进行物联网安全态势评估，有效解决了传统D-S证据理论BPA赋值缺乏客观科学性的问题，提高了物联网安全态势评估的准确度。

2 实验结果与分析

为验证本文方法在物联网安全态势评估方面精确高、评估效果好，实验采用本文方法对某时段的某物联网安全态势进行评估实验，将本文方法获取的评估结果与真实的评估结果进行对比，使本文方法更具有说服力。真实评估结果的获取条件为：某高校的物联网2013年2月13日13：00—14:00时间段的物联网；间隔5分钟实施一次物联网评估；从攻击态势、防御态势、整体安全态势三方面进行评估。获取的真实评估结果用图4描述。采用本文方法进行实验的具体环境为：定义低、中、高三个评估值区间(0,1]、(1,2]、(2,3]，将待评估的时间段分割成10个小时间段，采用本文方法对相同时间段相同地点的物联网安全态势进行评估。获取的物联网安全态势评估结果用表1描述，其中，A1表示物联网处于安全状态的概率，A2表示物联网处于危险状态的概率。

图4 真实物联网安全态势评估结果Fig.4 Real network security situation assessment results

结合图4与表1进行实验结果分析可知，本文方法在分析上一时间段内的各类物联网安全状态评估结果的基础上，获取一下时间段的物联网态势评估实验结果，实验详细分析三个时间段内两种安全态势评估结果。

1) 在13：10～13：15时间段内：本文方法评估的物联网安全状态概率值是0.902，物联网危险状态概率值是0.147；真实的物联网安全态势评估结果显示1.56是物联网攻击态势值，0.31是防御态势值，1.01是整体的物联网安全态势值，说明物联网安全状况良好，本文方法获取的评估结果与真实评估结果相似程度高。

2) 在13：30～13：35时间段内：本文方法评估的物联网安全状态概率值是0.089，物联网危险状态概率值是0.771；真实的物联网安全态势评估结果显示1.48是物联网攻击态势值，2.18是防御态势值，2.56是整体的物联网安全态势值，说明物联网安全状况不乐观。本文方法获取的评估结果与真实评估结果基本相似。

3) 在13：55～14：00时间段内：本文方法评估的物联网安全状态概率值是0.652，物联网危险状态概率值是0.300；真实的物联网安全态势评估结果显示1.5是物联网攻击态势值，0.45是防御态势值，1.55是整体的物联网安全态势值，说明物联网安全状况乐观。本文方法获取的评估结果与真实评估结果基本吻合。实验结果表明，本文方法获取的物联网安全态势评估结果准确度高。

实验为验证本文方法对于物联网安全态势的评估的有效性和可行性，从BPA值对比、态势识别率两方面展开实验分析。实验数据内容为：Kddcup 99实验数据，实验物联网的态势指标参数。实验具体设置是：100M局域网，192.168.1.0/24内网IP网段，采用222.89.32.71C类网址与Internet进行连接；将Snort2.1.0、NIP2100D分别安放在web服务器、ftp服务器与samba服务器中，物联网安全态势的研究参数的获取是通过存储不同的IDS时间到数据中心的方式实现的，实验的源数据则是通过记录路由器NetFlow流量信息与Nessus漏洞信息的方式获取的。实验采用的测试集是从源数据中提取的训练集，主要包括样本的输入与输出信息，表2对部分训练集进行了详细的描述。

表2 样本的输入与输出

分析表2能够看出，态势指标参数X1、X2、X3是样本输入，输出的样本是待评估的态势N、A、θ，根据这些信息获取本文方法进行物联网安全态势评估时的训练误差变化图，用图5描述。

图5 本文方法物联网安全态势评估误差变化图Fig.5 Proposed method network security situation assessment error change diagram

分析图5能够看出，训练开始的初期，本文方法的评估误差率仅为0.07%，随着样本数量的增加，本文方法的评估误差率呈明显下降的趋势，由0.07%降低到0.01%左右且趋于稳定，说明本文方法对物联网安全态势的评估误差率较小，性能好。

为使本文方法的有效性和可行性更具有说服力，采用本文方法、K-均值聚类方法、BP神经物联网方法对实验数据集进行物联网安全态势评估，获取BPA评估结果，表3对三种方法的性能对比结果进行描述，图6对三种方法获取的BPA结果进行了描述。

表3 不同方法的性能对比

图6 三种方法的BPA值评估结果Fig.6 BPA value evaluation results by three methods

分析表3可以看出，在完成等量的物联网评估的情况下，本文方法使用的迭代次数最少，均方误差最小，说明本文方法在收敛速度与均方误差方面具有明显的优势，性能较好。

分析图6可以看出，三种方法的BPA值评估结果曲线走势大致相同，具体看来，采用K-均值聚类方法与BP神经物联网方法获取的BPA值位于曲线图的下方，明显低于预期输出结果；本文方法获取的BPA值位于曲线图的上方，最高达0.89，超过其余两种方法，且与预期输出曲线走势基本吻合。实验结果表明，本文方法的物联网安全态势评估精度高、评估效果好。

在实验态势指标参数的基础上，在时间T(T1～T10)内，采用本文方法分别输出态势状态N、A、θ的BPA值，获取的结果用表4描述。

表4 时间态势BPA

基于D-S证据融合与物联网安全态势评估过程，实验采用Dempster公式融合本文方法输出的物联网安全态势BPA，本次融合依照时间顺序合理实施，获取的关于时间点的融合态势BPA用表5描述。

表5 关于时间点的融合态势BPA

Tab.5 Fusion situation of time points BPA

TNAθm10.145 40.523 30.308 1m1m20.033 10.7660.176 6m1m2m30.070 10.810.101 6m1m2m3m40.015 40.876 80.097 4m1m2m3m4m5…0.0030.946 70.040 9

分析表5能够看出，在融合的过程中，随着时间的推进，本文方法获取的未知态势值由0.308 1持续降低至0.040 9，同时异常态势值由0.523 3持续升高至0.946 7。实验引入决策逻辑最大Bel方法对实验结果进行状态判断，根据表5提供的数值显示此物联网处于异常状态。经过数次的融合使得采用本文方法获取的数据呈现峰值，并且具有容易区分的优点，便于对物联网安全态势进行评估。实验结果表明，本文方法能够准确评估物联网安全态势，获取结果的不确定因素几乎为0，具有较高的物联网安全态势评估性能。

为验证本文方法对于物联网安全态势的评估的有效性，根据态势指标标准，以渗透攻击的方式对局域网展开模拟实验，最终实现对模拟物联网安全态势的识别与评估。定义该次实验时间是一小时，在这一时间段内获取的物联网态势数据的基础上进行实验，同时采用本文方法与D-S证据理论方法进行对比分析，两者获取的物联网安全态势识别制成曲线图，用图7描述。

图7 2种方法的态势识别率对比Fig.7 Situation recognition rate by two methods

分析图7能够看出，采用本文方法获取的物联网安全态势识别率总体位于D-S证据理论方法获取态势识别率的上方；本文方法获取的最低物联网安全态势识别率在70%以上，最高识别率达到95%，且后期稳定在90%左右；D-S证据理论方法获取的最低物联网安全态势识别率为62%，最高识别率仅为83%，持续时间较短后期呈下降趋势。实验结果表明，本文方法比未改进的D-S证据理论方法具有更强的物联网安全态势评估性能，评估精度高、识别效果好。