1、449第40 卷第6 期2023年6 月真机仿算文章编号:10 0 6-9 348(2 0 2 3)0 6-0 449-0 4基于证据推理的无线网络安全态势量化评估徐健,冯宝龙(东北农业大学,黑龙江哈尔滨150 0 38)摘要:为明确人侵攻击对无线网络产生的不良影响,精准呈现网络安全态势走向,设计一种基于证据推理规则的无线网络安全态势量化评估方法。围绕保密性、完整性、可靠性、可用性原则,创建无线网络安全态势评估指标体系。利用模糊调度策略,构建网络安全态势数据采集模型,获取网络安全态势特征序列,代人告警质量因子,从告警频率、告警重要水平和告警严重水平三方面实现入侵攻击检测;全方位考虑正常行为和人
2、侵攻击行为差异,将网络资源要素变化作为评估核心,使用证据推理规则计算无线网络安全等级,量化计算得到最终的安全态势值,展现网络安全变化情况。实验结果表明,所提方法安全态势评估结果准确、效率高,具有极强的适用性,能够为保证无线网络安全运行提供借鉴思路。关键词:人侵攻击;无线网络;安全态势;量化评估;证据推理规则中图分类号:TP393文献标识码:BQuantitative Evaluation of Wireless Network SecuritySituation Based on Evidential ReasoningXU Jian,FENG Bao-long(Northeast Agric
3、ultural University,Harbin Heilongjiang 150038,China)ABSTRACT:In order to clarify the adverse effects of intrusion attack on wireless network system and accuratelypresent the trend of network security,a quantitative evaluation method for wireless network security situation was de-signed based on evid
4、ential reasoning rules.Based on the principles of confidentiality,integrity,reliability and availa-bility,an evaluation system was constructed for wireless network security situation.And then,the fuzzy schedulingstrategy was adopted to construct a model for collecting network security situation data
5、 and thus to obtain a sequenceof network security situation features.Meanwhile,the quality factor of alerts was introduced,so that intrusion attackdetection can be completed from the aspects of alarm frequency,alarm importance level and alarm severity level.Mo-reover,the difference between normal be
6、havior and intrusion attack behavior was considered in an all-round way,andthe change of network resource elements was taken as the core of assessment at the same.Finally,evidential reasoningrules were adopted to calculate the security level of wireless network.After the quantitative calculation,the
7、 securitysituation value shows the changes of network security.The experimental results show that the proposed method pro-vides accurate and efficient assessment results of security situation.In addition,this method has strong applicabilityand can provide reference ideas for ensuring the safe operat
8、ion of wireless network.KEYWORDS:Intrusion attack;Wireless network;Security situation;Quantitative evaluation;Evidentialreasoning rules1引言随着互联网技术普及力度的提升,无线网络开始面临着不同类型的安全威胁,例如木马、蠕虫攻击等,新的攻击形式层出不穷。当前,网络攻击行为具有组织严密、目标直接收稿日期:2 0 2 2-0 6-0 9化等特点,如何保障网络安全是有关领域学者研究的重要课题。目前,网络安全技术只能探测到部分攻击,对于复杂、大规模的攻击却无能为力,更不
9、能直接防御某些攻击所带来的威胁2 。当前普遍采用防火墙技术保护网络安全,但大多是局部防御,无法全面了解无线网络运行状况与隐患。针对网络安全态势评估问题,文献3 采用关联度把警报信息变换成态势时间样本序列,运用可变域空间得到预450测初始值,使用时变加权马尔可夫链预测网络安全态势。但方法复杂度高,无法在较短时间内完成预期安全态势评估目标。文献4 离散化处理态势指标,采用贝叶斯网络逐层向上融合至态势层,获得网络态势评定结果。但该方法没有考虑网络时序特征,导致评估结果精度不高。为此,本文提出一种证据推理规则下无线网络安全态势量化评估方法。在创建无线网络安全态势评估指标的基础上,使用模糊调度策略收集网
10、络安全态势数据,并分析网络人侵攻击告警情况,通过证据推理规则实现高精度网络安全态势评价,在仿真中进一步验证了所提方法的可用性,为今后优化无线网络抗攻击性能发挥重要作用。2安全态势评估指标体系构建无线网络安全指标体系创建的核心思想为:依照无线网络安全性能要素创建基础评估指标架构,为了更完整地衡量人侵攻击特征5,还要考虑攻击属性要素。安全属性划分如下:1)保密性:不向未经授权用户或实体展现网络信息特征;2)完整性:在没有经过许可的情况下,网络信息不会被随意删除、修改、伪造;3)可靠性:可靠性是指在一定时间下,网络信息系统可以实现指定功能。无线网络系统中,安全可靠度分为抗毁性、生存性和有效性三大类6
11、 。抗损性是指在人为破坏情况下系统的可靠度;生存性指由随机人侵和移动引起的网络拓扑改变,对网络可靠度的影响;有效性表示当网络遭受攻击时,系统各部分发生故障后,能否依旧为用户提供网络服务的能力;4)可用性:表示网络服务、数据和系统能够持久、高效地运行,允许使用者在任何时间、地点进行资源分享和互动。人侵攻击的属性要素包含攻击时间、网络等级、攻击代价。攻击时间是指在达到预定目标前的持续时长7 ,网络等级指网络的重要性;攻击代价是指进行一次人侵攻击时,所需要的技术需求以及消耗设施数量等。根据以上分析,可得出如图1所示的无线网络安全性指标体系。无线网络安全态势评估指标保密性完整性可靠性可用性攻击属性明确
12、数据量身份欺骗成功率实时性改数据量数据丢奔率网络恢复时间节点毁坏度网络公平性数据分组传递率平均端到端延时吞吐量变化率攻击时间网络等级攻击代价图1安全态势评估指标体系3无线网络数据采集与入侵告警为完成可靠的人侵攻击下无线网络安全态势量化评估,使用子空间辨识法创建网络安全态势分布模型,运用A个单分布节点监测网络状态,融合模糊调度策略组建网络安全态势数据采集模型8 ,得到网络安全态势特征序列,记作B=B1,B2,Bl(1)式中,B是无线网络安全态势空间分布中第N个特征矢量。空间分布特征量之间为正态相关,倘若B满足K分布函数,则网络安全态势传输控制的信道模型为=c(n)+d(n)(2)式中,c(n)是
13、人侵攻击下无线网络安全态势数据的向量数据集,d(n)是无线网络态势分布特征数据集。使用信道均衡调整策略,重构网络安全态势特征空间,在重构的矢量数据集内实现安全态势数据序列统计9 。统计输出的特征量为h(,t)=Ea,(t)I-2md.(t-,(t)(3)式中,a,(t)是网络安全调试不均衡特征,,(t)是网络频段的输出延时,f。是网络信道调制频度,l是网络波动特征向量。入侵攻击下采集无线网络数据时,一般会生成大量告警数据,为有效定义告警数据中网络安全态势的有效性,引人告警质量因子,表示成Ale=CA,CA,.CA(4)式中,(AI,A2,,A,)是告警属性,C,是属性A,的取值范围。告警属性不
14、但涵盖告警的基础属性,臂如告警源IP、目标IP、类型等信息,也涵盖告警的统计特征,如告警频率AIf、告警重要水平Alc和告警严重水平Als等。AIf是告警出现频率,代表单位时间中告警出现的对应数量。将告警频率看作告警质量的统计特性,描述为m;Alf=(5)P式中,m,是第i条告警信息,P是全部告警个数。Alc是告警重要水平,代表无线网络安全状况产生变化的高低水准,告警重要水平越大,证明网络安全状况产生变化的概率越高10 。如果在数据采集时产生新的告警信息,表明网络正处于被攻击状态。依照告警出现的情况划分成三种类型:在此次数据采样周期中已出现过的告警、在前0个周期中出现过的告警、在前0 个周期中
15、没出现过的告警。Als是告警严重水平,描述了告警产生的负面影响。该值越大,证明其对网络安全的影响越高,把告警严重水平划分成高、中、低三个级别1由此可知,告警出现频率、重要水平与严重水平是决定告警质量的核心要素,每个属性值均为告警质量的量化元素,把告警质量描述成每个属性值连线生成的面积总和,记作3QoA=S:(6)=1451式中,S,是告警连线面积取值的临界值。4安安全态势量化评估实现证据推理规则是量化评估中最常用的方法,无需大量训练样本,运算速率快12 。证据推理规则计算中,首先设定一个双层架构,顶层属性R在底层具有k个基础属性1,2,,。基础属性权重是12,且满足0,1。倘若包含S个安全态势
16、量化评估等级H,H2,,H s,则将属性T,的评估过程定义为u(e,)=(H,N),j=1,2,S)(7)式中,入是基础属性被评估成等级H,的信任度,若入=1,表明完成了顶层属性R的安全态势评估,反之没完成评估。证据推理规则的详细推算过程如下:将基础概率指派函数13 表示成P=,入(8)式中,P.是基础属性对属性R的支持度,也就是属性被评估成等级H,的支持度。分析剩余基础概率指派函数,并将其划分成两部分,依次记作P=1-Zi(9)=1-(10)式中,p是基础支持度,P是权重未分配下的概率指派函数。基于攻击行为和正常行为峰值,提出了一种基于攻击和常规行为相结合的安全策略来衡量网络安全态势变化。网
17、络资源的更改是影响网络安全形势的重要因素14。无线网络中CPU和存储资源均为核心资源,如果网络中发生人侵攻击,会降低网络性能,甚至出现故障。不同的攻击行为还会引发磁盘资源变化,且这些行为都隐含于数据流中。本文采用流量、CPU利用率、内存消耗、硬盘消耗等安全因素量化评估网络安全态势,并把四个安全因素设定成证据推理规则中的基础属性。依照上述内容,设定顶层的属性R是无线网络安全态势等级,底层属性包含正常行为与攻击行为。将量化评估整体结构表示成图2。内存流量正常行为CPU磁盘网络安全内存流量攻击行为CPU磁盘图2无线网络安全态势量化整体结构为获取安全态势证据,采集到数据后要对其采取预处理,将数据预处理
18、解析式记作T=(r,T1,12,13,T14/,2/T21,22,T23,724)(11)式中,i 是正常行为,Tz 是攻击行为,TT14V2124依次为正常行为与攻击行为下的内存消耗、流量、CPU利用率及磁盘消耗情况。以6 0 0 s为一个统计时段,基础属性的值是6 0 0 s内超过指定临界值的次数,若网络流量特征值超出0.7,则网络极有可能处在危险状态,为此将临界值设置为0.7。无线网络安全状态对内存消耗、CPU利用率与流量的影响极大15,对磁盘消耗的影响较小。与正常行为相比,人侵攻击行为对网络形成的损耗较为严重,因此将T,的证据权重设定为0.2,T2的证据权重为0.8,将量化评估等级划分
19、成优秀、良好、一般、较差四个级别。为得到评估等级的信任度,运用式(12)明确预处理后的网络数据特征:H,W(r.)H+I(12)Hi+1 H,式中,W(r)是证据r,的输出值。使用证据推理规则顶层属性R评估网络安全态势处于何种程度,过程为:步骤1:计算正常行为下网络基础属性,并分析其信任度;步骤2:计算入侵攻击行为下网络基础属性,并分析其信任度;步骤3:推算两种行为下的概率指派函数,计算网络全局信任度。运用以上过程即可获得网络安全的最终信任度,但网络管理员很难依照评估结果进行决策,还需运用式(13)进行安全态势量化W(R)=Z,MHR入(13)式中,M是量化迭代次数。根据式(13)获得网络安全
20、态势最终输出值,态势值越大,证明网络危险指数越高。5实验分析为证明所提方法的可靠性,本文使用林肯实验室DAR-PA2000中的LLDOS2.0数据集实现无线网络安全态势评估,实验平台为MATLAB。LLD O S2.0 数据集涵盖一个完整的DDOS入侵攻击场景的网络流量,攻击者会扫描若干网段,探寻网络活跃主机,分析主机是否存在漏洞并获得root权限,最后对主机发起DDOS人侵攻击。为再现人侵攻击场景情况,利用流量重放技术Tcpreplay重放流量信息,把初始流量安置在入侵检测系统snort内,通过snort完成数据分析、储存告警日志等工作,将人侵者不同阶段的攻击步骤记作表1,呈现其攻击状态全过
21、程。452表1LLDOS2.0攻击说明攻击开始终止数据包描述步骤时间时间个数/个1得到活跃主机列表9:309:5516022探寻薄弱主机10:1010:201653使用漏洞人侵主机10:3410:361174在主机安装木马10:5510:5615通过操控主机攻击511:2511:508无线网络远程服务器利用表1中的数据,设定人侵攻击时间为9:30-11:40,图3为所提方法下得到的攻击场景中节点态势变化情况。100M8060402009:3010:0510:3511:2511:40 12:00时间图3攻击场景下所提方法节点态势变化从图3可以看出,9:30 分之前,节点态势值较低,证明此刻节点没
22、有受到外部攻击;在10:0 5时,节点态势在提高至20后逐步减少,出现一个波峰,这是因为此时段受到攻击者的扫描攻击,之后的下降态势是由于攻击者没有进行下一步攻击操作;在10:0 5-10:35时段,网络节点态势升高并保持在30 左右,此阶段攻击者正采取漏洞扫描主机操作;10:35-11:25时段,节点态势经过缓慢升高与迅速升高,在此阶段攻击者给主机安装木马病毒;11:2 5-11:40 时段,节点态势快速提升至峰值,证明此阶段攻击者已经发起了DDOS攻击,在11:50 后节点态势缓慢下降,证明攻击结束,无更多告警数据产生。由此可知,本文方法能清晰地展现出攻击者恶意入侵的全部过程,精准识别攻击者
23、对目标主机的攻击阶段,实用性强。为进一步表明所提方法优越性,对其进行对比实验,对比方法为文献3 自修正系数修匀法和文献4 贝叶斯法。依旧沿用表1的攻击步骤,以节点被攻陷概率为衡量指标,验证三种方法安全态势评估敏感性,敏感性越高,证明其评估结果越准确,仿真结果如图4所示。从图4可以看出,所提方法获得的被攻陷概率在10:35开始呈上升趋势,但随后逐渐下降,在11:2 8 再次上升且表现出较大的概率值,在顶峰阶段产生略微波动;自修正系数修匀法计算获得的被攻陷概率表现出两极化趋势,11:2 5之1.0所提方法-贝叶斯法一自修正系数修匀法0.80.60.40.209:3010:0510:3511:251
24、1:4012:00时间图4三种方法下节点被攻陷概率对比示意图前节点被攻陷概率接近于0,后面的被攻陷概率接近于1,呈现极不稳定的计算结果;贝叶斯法得到的节点被攻陷概率多数保持在2 0%左右,无法感知人侵攻击的动态变化。由此看出,所提方法对人侵攻击行为具备更好的敏感性,得到的被攻陷概率更贴合真实情况。安全态势量化评估效率也是衡量方法性能优劣的必要条件,设置人侵攻击模式为口令攻击,实验数量为7 0 次,以每10 次为一个实验周期,将各周期的时间均值拟作对比目标,三种方法量化评估时间如图5所示。14一所提方法贝叶斯法12自修正系数修匀法10864234567实验周期/个图5无线网络安全态势量化评估时间
25、对比观察图5可以看到,所提方法在全部实验周期中均具备较低的评估时长,显著降低了算法的复杂度,计算效率得到极大提高,为快速评估无线网络安全态势提供可靠理论支撑。6结论面向现有无线网络安全态势评估方法缺少对攻击方、防御方等态势要素关联计算的不足,提出一种证据推理规则下安全态势量化评估策略。所提方法能有效划分人侵攻击等级,依照不同的攻击情况挑选恰当的防御机制。在仿真中也证明了方法的可靠性与合理性,为无线网络攻击预测与全方位安全态势量化提供解决思路。(下转第458 页)458上接第452 页)网络的变化检测方法J.控制与决策,2 0 2 1,36(10):2 442-2450.10秦宇龙,王永雄,胡川
26、飞,等。结合注意力与多尺度时空信息的行为识别算法J.小型微型计算机系统,2 0 2 1,42(9):1802-1809.11Hu J,Shen L,Sun G.Squeeze-and-excitation networks C.inProceedings of the IEEE conference on computer vision andpattern recognition,2018:7132-7141.12Wang Q,Wu B,Zhu P,et al.ECA-Net:Efficient Channel Atten-tion for Deep Convolutional Neural
27、 Networks C.2020 IEEE/CVF Conference on Computer Vision and Pattern Recognition(CVPR).IEEE,2020.13 Lin T Y,Maire M,Belongie S,et al.Microsoft coco:Common ob-jects in context C.Proceedings of the 2014 EuropeanConference on Computer Vision.Cham:Springer,2014:740-755.14Andriluka M,Iqbal U,Insafutdinov
28、E,et al.PoseTrack:A Bench-mark or Human Pose Estimation and Tracking C.Proc of theIEEE/CVF Conference on Computer Vision and Pattern Recogni-tion.Washington,USA:IEEE,2018:5167-5176.接下来研究中,会引人云储存技术,改进安全态势量化的储存规模,进一步完善方法的实际应用性能,令其在现实场景中更具操作优势。参考文献:1何春蓉,朱江基于注意力机制的GRU神经网络安全态势预测方法J.系统工程与电子技术,2 0 2 1,43(1
29、:2 58-2 6 6.2 田昕,魏国亮,王甘楠.无线传感器网络定位综述J.信息与控制,2 0 2 2,51(1):6 9-8 7.3杨宏宇,张旭高.基于自修正系数修匀法的网络安全态势预测J.通信学报,2 0 2 0,41(5):19 6-2 0 4.4丁华东,许华虎,段然,等.基于贝叶斯方法的网络安全态势感知模型J.计算机工程,2 0 2 0,46(6):130-135.5丁青锋,吴泽祥,刘梦霞,等.非理想CSI下全双工双向中继网络安全性能研究J.计算机工程与应用,2 0 2 0,56(19):9 9-104.6钱开国,卜春芬,王玉见,等.基于可靠信标和节点度估计距离的无线传感器网络定位算法
30、J.计算机应用,2 0 19,39(3):817-823.7郭克锋,安康,臧晓尧.NOMA技术下的星地融合网络安全性能分析J.南京航空航天大学学报,2 0 2 1,53(1):9 0-9 6.8王恒,段思,谢鑫,基于信息年龄优化的多信道无线网络调度方法J.电子与信息学报,2 0 2 2,44(2):7 0 2-7 0 9.15Hou T,Ahmadyan A,Zhang L,et al.MobilePose:Real-TimePose Estimation for Unseen Objects with Weak Shape SupervisionJ.arXiv preprint arXiv:
31、2003.03522,2020.16Molchanov P,Tyree S,Karras T,et al.Pruning convolutionalneural networks for resource efficient transfer learningC.InICLR,2017:1-17.作者简介闫河(19 7 2-),男(汉族),陕西勉县人,博士,教授,主要研究领域为模式识别、计算机视觉、人工智能与视觉测量等。刘继红(19 9 7-),男(汉族),四川旺苍人,硕士研究生,主要研究领域为计算机视觉。莫佳迪(19 9 7-),男(汉族),广西柳州人,硕士研究生,主要研究领域为视觉测量。刘
32、伦宇(19 9 6-),男(汉族),江西景德镇人,硕士研究生,主要研究领域为视觉测量。9刘留,李慧婷,张嘉驰,等。基于神经网络的时变无线信道仿真J.北京交通大学学报,2 0 2 0,44(2):7 4-8 2.10谢文平,尹禄高,陈小敏,等。塔架环境通信网络信道模型及性能研究J.信号处理,2 0 2 1,37(11:2 0 7 7-2 0 8 3.11魏特,王文浩,陈军,等.环境信息辅助的海上无线信道测量与建模J.清华大学学报(自然科学版),2 0 2 1,6 1(9):10 0 2-1007.12 吕鹏鹏,王少影,周文芳,等.基于进化神经网络的电力信息网安全态势量化方法J.计算机科学,2 0
33、 2 2,49(1):58 8-593.13 唐延强,李成海,王坚,等.IGAPSO-ELM:一种网络安全态势预测模型J.电光与控制,2 0 2 2,2 9(2):30-35.14陈龙,吕磊,杨旭东.基于改进CRITIC的灰色关联网络安全态势评估方法J.电讯技术,2 0 2 2,6 2(4:517-52 5.15 闫旭,彭其渊,殷勇,等.区域铁路运输安全态势表征与评估方法J中国安全科学学报,2 0 2 0,30(4):33-40.作者简介徐健(19 8 1-),男(汉族),山东东平县人,工程师,主要研究领域为网络安全、物联网。冯宝龙(19 8 2-),男(汉族),河北秦皇岛人,硕士,工程师,主要研究领域为计算机应用、人工智能、食品信息学。
浙ICP备2021020529号-1 | 浙B2-20240490 
