安鑫 滕子贻 于海 吕阳 吕军

（国网辽宁省电力有限公司信息通信分公司 辽宁省沈阳市 110000）

近年来，我国网络系统规模已经逐渐扩大，并呈现出分布式、复杂化等特点随着各种新型网络技术的研发和应用，实现了网络系统多元化发展。但也出现了多样化网络安全问题，诸如软件病毒、黑客入侵等，导致信息泄露、机密文件被盗等，网络安全态势感知模型则能够完善网络安全系统，有效提高网络安全性，值得推广应用。

1 网络安全态势感知

网络安全态势感知 (NSSA)是近年来兴起的一种新型网络安全技术，不仅能够动态感知网络全局安全状况，还能够解决简单的数据源单一、虚警率高等问题。而网络安全态势感知模型则能够解决态势感知问题，能够营造出安全可靠的网络环境[1]。网络安全态势技术结合数据融合方法、神经网络技术和D-S证据理论等能够建立起功能完善的感知模型，从而有效处理NSSA问题，并评估网络安全态势。网络安全态势感知 (NSSA)模型包括数据采集、数据处理及态势感知等组成部分[2]。

该模型不仅能够实现数据采集及融合，还能够实现特征选择、服务态势感知和网络态势感知，在多个异构传感器作用下还能够应对各种数据攻击问题，并结合数据融合方法、特征选择等确定网络威胁态势。

2 网络安全态势多元融合方法

为保证数据网络的多样性及完整性，必须利用数据多元融合方法对数据信息进行多元融合及实时处理，以网络安全态势感知(NSSA)模型，然后在该基础上建立网络安全系统。BP网络的应用能够有效实现多源数据融合，该网络的应用原理在于利用加权分类方法确定数据特征距离、计算数据特征间的支持度，然后利用特征提取方法将数据的维度降低，最后形成单元数据融合的网络安全态势感知 (NSSA)模型，但BP网络的应用还存在训练时间长、实时性差等问题[3]。

还有学者使用“证据支持贴近度过滤器”来降低信息融合复杂度，从而解决各种数据信息融合问题，然后在该基础上利用“D-S”理论及算法处理低置信度高冲突问题，最终建立网络安全态势感知(NSSA)模型，该方法也存在很多不足，不能有效处理复杂性数据、不确定性数据[4]。但与BP网络相比更能够层次化分析、评估整体网络安全态势。

本研究基于D-S 融合规则、融合方法提出了一种新的网络安全态势评估方法，能够在原有的基础上提高态势评估准确性。基于D-S的多源数据融合，能够组合处理多个数据源中的相同事件，然后计算出整体事件发生率，但真实网络环境中存在不同安全传感器，所以选用的检测程度和检测力度也不同，需要根据实际选择检测方法，以提高检测可信程度[5]。

基于D-S的多元数据融合过程中需要应用蚁群算法，即蚁群算法与D-S 融合规则的结合，这样不仅能够有效处理多源数据融合问题，还能够提高寻优能力、不同数据融合可信度。

蚁群算法 ( ACO) 中可设寻优过程中有M只蚂蚁，每只蚂蚁都有一个k维数据源组合，k表示数据源个数，而“Amk”则表示第m只蚂蚁评价一个k维数据源组合，然后计算数据源融合优先级[6]。计算公式如下：

“Ii”——一个数据源的整体组合数据集

“Ii(t)”——Ii在第t次迭代时被选中信息素

数据集选择后不能重复性使用，所以可根据局部最优解情况选择数据集，选择时的计算方法如下：

每只蚂蚁都可以根据相应的频率兹选择两个概率函数，可将第一个函数频率设为“θ”，第二个函数频率设为1-θ，这样便能够实现对多样化网络信息的搜索，然后结合相关计算公式计算出全局最优可能性，最后选择相应的权值[7]。

对最终选出的权值进行迭代处理，以得出数据源选择概率，并计算出数据源重要程度，重要程度表达式为W=(w1, w2,…,wn)。

根据上文求解，结合D-S证据组合规则对数据融合进行改进，具体如下：

其中，

3 网络安全态势感知模型建立方法及过程

本研究将D-S 理论和蚁群算法结合，然后对数据进行预处理，以达到降低不同数据源融合难度的目标，并提高数据采集准确性。D-S理论和蚁群算法结合形式的网络安全态势感知需要在融合后对数据进行特征选择，以降低特征空间维数，并将无用、冗余、最少使用的特征删除，降低无用的、从而减少计算复杂性。具体如下：

3.1 特征选择

根据D-S准则和蚁群算法选择最有效的特征，这样不仅能够降低特征空间维数，还能够提高安全事件检测效率及数据处理实时性。“特征选择”的关键在于“神经网络”，具有良好非线性映射能力的神经网络，能够准确计算出任意函数，从而确定对应的特征选择领域[8]。本研究选用了BP神经网络系统，该神经网络系统能够对测试集中的输入数据特征、最终输出结果等进行检测，并删除冗余、不重要的特征，最终得出,最优化的特征子集。

BP神经网络结构由隐层节点数量决定，一个隐含层的BP网络可逼近闭区间内的任一连续函数，简单来说就是一个三层的BP网络能够映射出n维、m维[9]。本文选用三层网络结构进行特征选择，包括输入层→隐层→输出层，具体节点输出如下：

（1）隐层节点输出：

“n”——输入层节点数量；

“q”——隐层节点数量；

“m”——输出层节点数量；

“vki”——输入层与隐层之间的权值；

“wjk”——隐层与输出层之间的权值；

人们对继续教育的需求从以往注重学历补偿到现阶段的以职业技能提高和职业素养提升为主，逐步向终身化的继续教育目标发展。如何提供适合社会经济发展要求和学习中多样化、个性化需求的各类非学历教育资源供给摆在了继续教育面前。

“f1()”——隐层传递函数；

“f2()”——输出层传递函数。

（2）输出层节点输：

设学习样本为p，表示为“ X1, X2,…,XP”；第p个输入的样本输出结果为ypj，通过平方误差函数计算出对应的误差值Ep[10]：

全局误差为：

输出层各神经元权值调整公式：

“Sj”——节点j的输入。

3.2 层次化量化感知

3.2.1 服务安全态势

服务安全态势感包括攻击强度、攻击权重、攻击数目等，模型计算如下：

“wi”——攻击威胁权重；

“Ni”——攻击数目；

3.2.2 主机安全态势

主机安全态势的决定因素有各类服务态势、服务数目及比重系数，模型计算如下：

“u”——主机Hi—存在的服务个数。

“wsj” ——重要程度权重。

3.2.3 网络安全态势

网络安全态势感知决定因素包括态势感知、主机比重，模型计算如下：

“v”——主机Ni存在的服务个数。

“whi”——重要程度权重。

SNi值越大则主机受到的网络安全威胁越大，反之则威胁最小。

4 仿真实验

4.1 数据融合实验

根据本研究的融合算法和感知方法设计出拓扑结构，利用Snort、Suricata、NetFlow等传感器对计算所需要的数据进行采集，然后在KDD99数据集中选择用于实验的关键特征，并使用重放工具重放数据集，最后根据蚁群算法和D-S证据计算取值范围[11]。

不同数据源的事件检测取值范围为：

DoS=(0.256,0.219,0.525)

R2L=(0.414,0.408,0.178)

U2L=(0.437,0.411,0.152)

Probe=(0.317,0.337,0.346)

融合率(FR)、检测率(DR) 和误警率 (FDR)计算公式如下[12]：

传统D-S、专家加权D-S、蚁群D-S融合能力比较，见表1。

表1：不同D-S的融合能力比较(%)

通过表1不难发现本研究将D-S证据和蚁群算法结合形成的“蚁群D-S”模型，其融合能力更强，融合率(FR)、检测率(DR) 均明显高于传统D-S、专家加权D-S，且误警率 (FDR)只有5.08%，证实了蚁群算法与D-S证据的融合具有很大的优势。

4.2 网络安全态势实验

主机安全漏洞是影响力较大的网络安全威胁，所以本研究以主机安全漏洞所占权重的服务数和服务权重来检验蚁群算法与D-S证据家伙的网络安全态势[13]。根据主机权重进行归一化处理，计算公式如下：

一天内网络安全态势值见图1，安全态势值较高的时间点为 2、6、11、23，表示这几个时间点遭受的攻击程度较高，由此可见蚁群算法与D-S证据结合下的网络安全态势感知模型能够分析不同时间点的网络安全状况。

图1：不同时间点的网络安全态势

5 结语

总之，基于多源融合计算方法构建网络安全态势感知模型能够有效分析和评估出各种网络安全问题。D-S证据理论及算法是较为常见的网络安全态势感知模型构建理论及计算方法，具有较高的融合率(FR)、检测率(DR)，比较适用于多元融合下的网络安全态势感知模型，得到了相关技术人员的重视及关注。因此，上文基于对D-S证据理论及算法的了解，将D-S证据理与蚁群算法结合形成新型的蚁群D-S算法，根据蚁群D-S算法建立的网络安全态势感知模型不仅能够弥补传统D-S、专家加权D-S算法的不足，还在原有的基础上提高融合率(FR)、检测率(DR)，并降低误警率(FDR)，以实现对网络安全态势的实时监控，从而及时发现和解决网络安全问题。