基于置信規(guī)則庫(kù)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)研究.pdf

1、網(wǎng)絡(luò)安全態(tài)勢(shì)是一組經(jīng)過(guò)量化的數(shù)值，它可以反映網(wǎng)絡(luò)系統(tǒng)宏觀的安全狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢(shì)感知包括:安全要素的提取與識(shí)別，安全態(tài)勢(shì)的評(píng)估以及安全態(tài)勢(shì)的預(yù)測(cè)三方面內(nèi)容。通過(guò)網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)，管理人員可以直觀準(zhǔn)確的判斷網(wǎng)絡(luò)系統(tǒng)當(dāng)前的形勢(shì)，并能預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全狀態(tài)的趨勢(shì)，以此提前做出相應(yīng)防范措施。這對(duì)于復(fù)雜網(wǎng)絡(luò)系統(tǒng)，尤其是對(duì)安全性要求較高的工業(yè)控制網(wǎng)絡(luò)系統(tǒng)，具有極為重要的意義。要想實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)感知中的各環(huán)節(jié)，需要有效的利用各類網(wǎng)絡(luò)信息和相關(guān)知識(shí)

2、對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行建模。網(wǎng)絡(luò)系統(tǒng)可以被看作是一類復(fù)雜的非線性系統(tǒng)，因此，針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)感知的研究本質(zhì)上是對(duì)復(fù)雜非線性系統(tǒng)的結(jié)構(gòu)和參數(shù)進(jìn)行辨識(shí)。相對(duì)于線性系統(tǒng)的辨識(shí)，復(fù)雜非線性系統(tǒng)的辨識(shí)是當(dāng)今學(xué)界研究的熱點(diǎn)和難點(diǎn)，而且至今還沒(méi)有形成較為完善和成熟的理論。因此，該項(xiàng)研究具有較為重要的理論和實(shí)用價(jià)值。
　　針對(duì)上述問(wèn)題，本文以提高復(fù)雜網(wǎng)絡(luò)系統(tǒng)安全性和主動(dòng)防御能力為目的，深入研究了基于置信規(guī)則庫(kù)(Belief Rule Base，BRB)的

3、復(fù)雜系統(tǒng)建模方法，并將理論研究成果應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的各個(gè)環(huán)節(jié)中。BRB是目前復(fù)雜系統(tǒng)建模領(lǐng)域最前沿的技術(shù)之一，它可以有效的使用半定量信息（主要是指同時(shí)包含定量數(shù)據(jù)和定性專家知識(shí)的信息），并可以描述多種不確定性的知識(shí)（包含模糊不確定性和概率不確定性）。另外，使用證據(jù)推理(Evidential Reasoning，ER)規(guī)則作為推理工具，使得BRB的推理過(guò)程可見、可參與，推理結(jié)果也具備可解釋性和可追溯性。因此，將BRB應(yīng)用于網(wǎng)絡(luò)安全態(tài)

4、勢(shì)感知領(lǐng)域可以充分挖掘海量網(wǎng)絡(luò)數(shù)據(jù)背后隱藏的信息，為管理人員提供新的網(wǎng)絡(luò)防御工具。本文的研究?jī)?nèi)容主要集中在以下幾個(gè)方面。
　　針對(duì)網(wǎng)絡(luò)安全要素識(shí)別與分類問(wèn)題，通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的分析和前期的預(yù)處理，在充分考慮專家定性知識(shí)的基礎(chǔ)上，提出了一種基于有向無(wú)環(huán)圖結(jié)構(gòu)的組合置信規(guī)則庫(kù)分類模型(DAG-BRB)。該模型首先將若干BRB二分類器通過(guò)有向無(wú)環(huán)圖結(jié)構(gòu)組合到一起，其中每個(gè)BRB二分類器只負(fù)責(zé)識(shí)別兩種類型的攻擊數(shù)據(jù)。然后針對(duì)不同的分類器使用

5、相應(yīng)的訓(xùn)練集單獨(dú)訓(xùn)練，經(jīng)過(guò)訓(xùn)練后的各分類器將輸入數(shù)據(jù)逐層篩選得到其最終的類別。雖然原始的BRB模型也可以用來(lái)解決多分類問(wèn)題，但是多種類型的識(shí)別不利于置信規(guī)則的建立和推理，DAG-BRB采用將復(fù)雜問(wèn)題分解的思想，構(gòu)建組合分類模型，降低了置信規(guī)則庫(kù)的復(fù)雜性，提高了分類準(zhǔn)確率。在此基礎(chǔ)上，為了對(duì)DAG-BRB模型參數(shù)進(jìn)行優(yōu)化，又提出了一種基于多目標(biāo)法的約束協(xié)方差矩陣自適應(yīng)進(jìn)化策略(M-CMA-ES)算法，該算法將BRB模型參數(shù)優(yōu)化目標(biāo)函數(shù)中的

6、約束條件轉(zhuǎn)化為多目標(biāo)優(yōu)化問(wèn)題，然后利用CMA-ES算法獨(dú)立求解。實(shí)驗(yàn)結(jié)果表明經(jīng)過(guò)優(yōu)化的DAG-BRB模型可以很好地識(shí)別各種網(wǎng)絡(luò)攻擊數(shù)據(jù)，相比其他分類模型具有更好的分類精度。
　　針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估問(wèn)題，通過(guò)對(duì)影響網(wǎng)絡(luò)安全的各要素進(jìn)行深入分析，在結(jié)合了網(wǎng)絡(luò)定量數(shù)據(jù)和專家定性知識(shí)的基礎(chǔ)上，提出了一種基于BRB的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型，并由此構(gòu)建了一系列的能夠反映網(wǎng)絡(luò)整體安全狀況的置信規(guī)則。該評(píng)估模型采用ER算法作為推理工具，可以融合更

7、為豐富的不確定信息，能夠提供更為接近實(shí)際的知識(shí)表達(dá)方式。實(shí)驗(yàn)結(jié)果表明基于BRB的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估模型可以有效的反映網(wǎng)絡(luò)系統(tǒng)的安全狀況，相比其他評(píng)估模型，它對(duì)突發(fā)的網(wǎng)絡(luò)安全事件更加敏感，評(píng)估結(jié)果更接近實(shí)際情況。
　　針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)測(cè)問(wèn)題，通過(guò)將網(wǎng)絡(luò)安全態(tài)勢(shì)視為網(wǎng)絡(luò)系統(tǒng)隱含行為的思想，在原有隱含置信規(guī)則庫(kù)預(yù)測(cè)模型(Hidden BRB，HBRB)的基礎(chǔ)上，提出了一種結(jié)合云模型的云隱含置信規(guī)則庫(kù)預(yù)測(cè)模型（Cloud HBRB，CHB

8、RB）。該模型使用云模型來(lái)描述置信規(guī)則庫(kù)的結(jié)論等級(jí)，使得BRB描述不確定性信息的能力得到進(jìn)一步的加強(qiáng)。為了對(duì)CHBRB模型參數(shù)進(jìn)行優(yōu)化，又提出了一種帶有漏桶機(jī)制的約束協(xié)方差矩陣自適應(yīng)進(jìn)化策略(L-CMA-ES)算法，該算法在優(yōu)化迭代的每一輪中，利用漏桶機(jī)制直接修正不滿足約束條件的解。實(shí)驗(yàn)結(jié)果表明經(jīng)過(guò)優(yōu)化的CHBRB模型可以很好地預(yù)測(cè)未來(lái)網(wǎng)絡(luò)安全態(tài)勢(shì)，相比其他預(yù)測(cè)模型具有更好的預(yù)測(cè)精度。
　　針對(duì)某些特殊網(wǎng)絡(luò)中安全態(tài)勢(shì)預(yù)測(cè)存在局部無(wú)

9、知性的問(wèn)題，提出冪集辨識(shí)框架下隱含置信規(guī)則庫(kù)預(yù)測(cè)模型(Powset HBRB，PHBRB)，并將其應(yīng)用于復(fù)雜工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢(shì)的預(yù)測(cè)中。由于擴(kuò)展后的冪集辨識(shí)框架能夠更精確的描述同時(shí)包含局部無(wú)知性和全局無(wú)知性的知識(shí)，所以提高了模型的預(yù)測(cè)精度。為了解決PHBRB模型的參數(shù)優(yōu)化問(wèn)題，本文進(jìn)一步提出了帶有投影操作的約束協(xié)方差矩陣自適應(yīng)進(jìn)化策略(P-CMA-ES)算法，該算法利用投影操作將不滿足約束的解直接映射回可行域。實(shí)驗(yàn)結(jié)果表明經(jīng)過(guò)優(yōu)化的P