无线通信网络安全态势识别方法研究
2022-02-25张艾森
张艾森
(上海工业自动化仪表研究有限公司,上海 200233)
0 引言
无线通信网络是互联网行业中的一种新型网络,为无线通信提供了更多的可能[1]。但是,随着无线通信网络的发展和完善,其网络安全问题日益突出,因通信信息泄漏所造成的通信诈骗,以及危及人们人身财产安全的问题不断涌现[2]。为了应对无线通信网络攻击,相关学者研究出防火墙、数字加密、防病毒程序等网络安全保护措施,以提升无线通信网络的安全性[3]。然而,这些技术在实际应用过程中却出现了防护功能有限、检测技术落后、加密不断被破解等问题。
因此,国内外研究出了解决网络安全问题的新途径,主要是通过安全态势感知三级模型、安全态势预测模型、安全态势量化评估模型、安全态势评估模型等感知网络安全[4]。在国内外研究基础上,国内相关学者的研究也取得了一定的进展。文献[5]将配电网安全作为研究对象,针对配电网安全运行状态和潜在隐患,构建了配电网网络拓扑分层模型,确定配电网安全态势预警指标,以此感知配电网安全态势。文献[6]根据网络中存在的威胁情报,依据博弈论思想量化网络安全态势,实现网络安全态势感知。文献[7]根据网络中存在的高级可持续威胁(advanced persistent threat,APT)攻击,计算网络安全威胁之间的关联规则,以此识别网络安全威胁。文献[8]通过获取网络中存在的态势指标数据,采用贝叶斯方法评估网络安全态势,实现网络安全态势感知。
上述学者研究的网络安全态势感知方法,在识别网络安全态势时,只能获取网络层的安全态势感知要素,存在网络安全态势识别误差偏大的问题。为此,本文提出基于深度自编码网络的无线通信网络安全态势识别方法。
1 无线通信网络安全态势识别方法
此次研究的无线通信网络安全态势识别方法,将通过提取网络安全态势感知要素的方式,识别无线通信网络安全态势。因此,本文采用深度自编码网络前向传播的方式,获取网络安全态势感知要素,并通过计算无线通信网络安全态势值,以识别无线通信网络安全态势。
1.1 基于深度自编码网络的感知要素提取
深度自编码网络由编码器(输入)、编码层和解码器(输出)三层组成。在提取无线通信网络安全态势感知要素时,需要将无线通信网络数据从编码器端输入,经过深度自编码网络编码层的训练,在解码器端输出无线通信网络安全态势感知要素。
然而,深度自编码网络是一种镜面对称结构。在网络中包含许多隐藏节点,以非线性映射的方式,训练网络中的输入数据。因此,在网络训练过程中,网络初始值过大会导致解码器端输出结果陷入局部最优,过小则不能对网络进行训练,从而提取网络安全态势感知要素[9]。为此,本文引入受限玻尔兹曼机网络逐层训练深度自编码网络。受限玻尔兹曼机网络由可视层(输入)、偏置单元和隐藏层(输出)三层构成。其在训练深度自编码网络时,产生的能量函数E为:
(1)
式中:b1i为可视层的偏置;I为受限玻尔兹曼机网络可视层输入向量;i为网络可视层元素序号;O为受限玻尔兹曼机网络隐藏层输出向量;j为网络隐藏层的元素序号;ωij为网络输入、输出层之间边的权重。
根据式(1)可知,当E值达到最小时,受限玻尔兹曼机网络才会处于稳定状态。为此,假设网络参数ε={ω,b1,b2},则I和O的联合概率Pε(I,O)为:
(2)
式中:C(ε)为归一化因子;e为常数;exp为取经验值[10]。
根据式(2)所示的Pε(I,O)计算过程,将I作为自变量,得到的I分布概率P(I)为:
(3)
式中:T为转置符号。
根据式(2)和式(3),采用梯度下降方法,在P(I)最大化情况下求取ε值。则有:
(4)
式中:M为最大化符号;N为网络节点数;n为网络的第n个节点;∂为求偏导符号;d为网络输入数据集[11]。
依据式(4),假设d值已知、ε为通过式(4)计算得到的值。若网络隐藏层节点为1,重构隐藏层和可视层节点,修正ε值。则有:
(5)
式中:Δ为迭代更新符号;η为学习速率符号;s为重构符号。
综合式(1)~式(5)可计算得到ε值。将ε值作为深度自编码网络初始值,并采用反向传播的方式微调ε值,得到最小的代价函数。则有:
(6)
式中:x为网络输入值;y为网络输出值;fε(x)为网络输出x的预测值;λ为惩罚因子;H(λ,ε)为惩罚函数[12]。
结合式(6),得到深度自编码网络ε值的更新规则,为:
(7)
式中:l为网络层数;a为网络阶数;b为网络偏置。
综合上述计算过程,在深度自编码网络中进行前向传播,并在传播的过程中提取服务、主机、网络三层安全态势感知要素。当上述三层指标均被提取后,停止网络迭代,输出网络安全态势感知要素提取结果。
1.2 识别无线通信网络安全态势
以网络安全态势感知要素提取结果为基础,将网络态势分为环境(网络信息环境)、威胁(网络攻击)、资产(网络脆弱性)三方面的因子。所设定的因子定义为:
(8)
式中:W为威胁因子;V为环境因子;Z为资产因子;x1为网络漏洞信息;u为网络受到攻击的名称;u1为主机名称;t为网络受到攻击时间;p为受到攻击的主机IP地址;p0为攻击源IP;p1为攻击目的IP;p2为存在漏洞的主机IP;z为攻击对资产因子的影响;L为攻击类型;L1为主机类型;v为攻击等级;v1为漏洞被利用后的危害等级;q0为网络受到攻击源端口;q1为攻击目的端口;q2为主机开放端口;q3为漏洞依赖端口;o为网络受到攻击位置;r1为主机状态;r2为主机端口状态;S为主机服务项目;w为主机操作系统;c为网络漏洞编码;P0为漏洞被利用概率[13]。
根据式(8)所示的网络安全态势因子定义,可以将网络安全态势识别定义为U:
U={K,X}
(9)
式中:K为网络安全态势级别;X为网络安全态势值。
依据式(8)所示的三个因子定义,将网络安全收益划分为威胁方、防守方和中立方三方。通过三方博弈,可获取三方效益,得到网络安全态势值。则有:
(10)
如式(10)所示的三方效益计算公式,其重要元素的计算方式过程如下:
(11)
根据式(10)所示的三方效益计算值可知,网络安全态势因子中的威胁因子可以改变网络态势。为此,采用指数累加的方式,计算网络安全态势。则有:
(12)
式中:k为W、V、Z的等级关系;fi(i=W,V,Z)为三个因子对网络安全威胁的态势值;F为综合态势值;FA、FQ、FY分别为A、Q、Y的安全态势[15]。
依据k值和不同的加权参数,得到无线通信网络安全态势识别结果。此时,将k值和加权参数代入式(9),即可确定网络安全态势等级,从而完成网络安全态势识别。
2 试验分析
选择基于贝叶斯方法的网络安全态势识别方法APT攻击的网络安全态势识别方法作为此次试验的对比方法,将CIC官网上的CIC-IDS2017数据集作为试验数据集,验证本文研究的基于深度自编码网络的无线通信网络安全态势识别方法的有效性。
2.1 搭建无线通信网络
根据CIC官网上的CIC-IDS2017数据集,搭建攻击与受害这2个独立的网络。无线通信网络如图1所示。
图1 无线通信网络
创建6个代码形式的攻击文件,对如图1所示的无线通信网络发起僵尸网络攻击、Dos攻击、DDos攻击、穷举攻击、渗透攻击、Web程序攻击。
2.2 试验过程
此次试验将持续5天。如图1所示的攻击网络将于星期一上午9∶00开始攻击,并于星期五的下午17∶00停止攻击。
首先,将试验过程中的数据以20 min为单位,划分为120个时间段的数据。然后,按照1~6,2~7,...,115~120的规律,提取出115个试验样本,并从中随机选取100个样本作为训练样本。剩余样本作为测试样本。
将图1中攻击网络攻击无线通信网络产生结果划分为5个等级。网络安全态势等级如表1所示。
表1 网络安全态势等级
基于表1所示的网络安全态势等级,在试验设置15个测试样本中,受害网络的实际安全态势等级分别为0.3、0.2、0.1、0.8、0.3、0.4、0.5、0.1、0.2、0.3、0.6、0.7、0.5、0.2、0.1。
2.3 试验结果
采用3组网络安全态势识别方法,分别识别15种测试样本网络安全态势,并按照表1识别网络安全态势等级。
2.3.1 安全态势等级拟合度对比
将3组网络安全态势识别方法划分等级与实际等级进行拟合。3组方法识别值与实际值拟合对比如图2所示。
从图2中可以看出,基于贝叶斯方法的网络安全态势识别方法和面向APT攻击的网络安全态势识别方法得到的识别结果与试验设置的实际安全态势曲线趋势不一致,重合度较低;而本文方法识别15组测试样本安全态势等级得到的识别曲线趋势与试验设置的实际安全态势曲线趋势基本一致,重合度较高。
图2 3组方法识别值与实际值拟合对比图
2.3.2 等级态势绝对误差对比
在2.3.1节试验结果基础上,依据图2所示的3组方法识别值与实际值拟合对比图,采用式(13),定量对比3组网络安全态势识别方法。
(13)
绝对误差对比如图3所示。
图3 绝对误差对比图
由图3可知,面向APT攻击的网络安全态势识别方法的绝对误差平均值为0.106,最大值和最小值相差0.2;基于贝叶斯方法的网络安全态势识别方法的绝对误差平均值为0.113,最大值和最小值相差0.2;而本文研究方法的绝对误差最大值和最小值相差0.03,平均值为0.01。由此表明,本文研究方法绝对误差明显小于基于贝叶斯方法的网络安全态势识别方法和面向APT攻击的网络安全态势识别方法,差值分别为0.112和0.106。
3 结论
本文充分利用深度自编码网络,获取网络安全态势感知要素,将其作为无线通信网络安全态势识别因子,以此降低网络安全态势识别误差。但是此次研究的方法受网络安全态势感知要素影响较大,若提取的要素存在偏差,会直接影响网络安全态势感知识别结果。因此,在今后的研究中,还需深入研究网络安全态势感知要素提取结果,以降低网络安全态势感知识别的不确定性。
