基于置信規(guī)則庫的網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)研究.pdf

1、網(wǎng)絡(luò)安全態(tài)勢是一組經(jīng)過量化的數(shù)值，它可以反映網(wǎng)絡(luò)系統(tǒng)宏觀的安全狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢感知包括:安全要素的提取與識別，安全態(tài)勢的評估以及安全態(tài)勢的預(yù)測三方面內(nèi)容。通過網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，管理人員可以直觀準(zhǔn)確的判斷網(wǎng)絡(luò)系統(tǒng)當(dāng)前的形勢，并能預(yù)測未來網(wǎng)絡(luò)安全狀態(tài)的趨勢，以此提前做出相應(yīng)防范措施。這對于復(fù)雜網(wǎng)絡(luò)系統(tǒng)，尤其是對安全性要求較高的工業(yè)控制網(wǎng)絡(luò)系統(tǒng)，具有極為重要的意義。要想實(shí)現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知中的各環(huán)節(jié)，需要有效的利用各類網(wǎng)絡(luò)信息和相關(guān)知識

2、對網(wǎng)絡(luò)系統(tǒng)進(jìn)行建模。網(wǎng)絡(luò)系統(tǒng)可以被看作是一類復(fù)雜的非線性系統(tǒng)，因此，針對網(wǎng)絡(luò)安全態(tài)勢感知的研究本質(zhì)上是對復(fù)雜非線性系統(tǒng)的結(jié)構(gòu)和參數(shù)進(jìn)行辨識。相對于線性系統(tǒng)的辨識，復(fù)雜非線性系統(tǒng)的辨識是當(dāng)今學(xué)界研究的熱點(diǎn)和難點(diǎn)，而且至今還沒有形成較為完善和成熟的理論。因此，該項(xiàng)研究具有較為重要的理論和實(shí)用價值。
　　針對上述問題，本文以提高復(fù)雜網(wǎng)絡(luò)系統(tǒng)安全性和主動防御能力為目的，深入研究了基于置信規(guī)則庫(Belief Rule Base，BRB)的

3、復(fù)雜系統(tǒng)建模方法，并將理論研究成果應(yīng)用于網(wǎng)絡(luò)安全態(tài)勢感知的各個環(huán)節(jié)中。BRB是目前復(fù)雜系統(tǒng)建模領(lǐng)域最前沿的技術(shù)之一，它可以有效的使用半定量信息（主要是指同時包含定量數(shù)據(jù)和定性專家知識的信息），并可以描述多種不確定性的知識（包含模糊不確定性和概率不確定性）。另外，使用證據(jù)推理(Evidential Reasoning，ER)規(guī)則作為推理工具，使得BRB的推理過程可見、可參與，推理結(jié)果也具備可解釋性和可追溯性。因此，將BRB應(yīng)用于網(wǎng)絡(luò)安全態(tài)

4、勢感知領(lǐng)域可以充分挖掘海量網(wǎng)絡(luò)數(shù)據(jù)背后隱藏的信息，為管理人員提供新的網(wǎng)絡(luò)防御工具。本文的研究內(nèi)容主要集中在以下幾個方面。
　　針對網(wǎng)絡(luò)安全要素識別與分類問題，通過對網(wǎng)絡(luò)數(shù)據(jù)的分析和前期的預(yù)處理，在充分考慮專家定性知識的基礎(chǔ)上，提出了一種基于有向無環(huán)圖結(jié)構(gòu)的組合置信規(guī)則庫分類模型(DAG-BRB)。該模型首先將若干BRB二分類器通過有向無環(huán)圖結(jié)構(gòu)組合到一起，其中每個BRB二分類器只負(fù)責(zé)識別兩種類型的攻擊數(shù)據(jù)。然后針對不同的分類器使用

5、相應(yīng)的訓(xùn)練集單獨(dú)訓(xùn)練，經(jīng)過訓(xùn)練后的各分類器將輸入數(shù)據(jù)逐層篩選得到其最終的類別。雖然原始的BRB模型也可以用來解決多分類問題，但是多種類型的識別不利于置信規(guī)則的建立和推理，DAG-BRB采用將復(fù)雜問題分解的思想，構(gòu)建組合分類模型，降低了置信規(guī)則庫的復(fù)雜性，提高了分類準(zhǔn)確率。在此基礎(chǔ)上，為了對DAG-BRB模型參數(shù)進(jìn)行優(yōu)化，又提出了一種基于多目標(biāo)法的約束協(xié)方差矩陣自適應(yīng)進(jìn)化策略(M-CMA-ES)算法，該算法將BRB模型參數(shù)優(yōu)化目標(biāo)函數(shù)中的

6、約束條件轉(zhuǎn)化為多目標(biāo)優(yōu)化問題，然后利用CMA-ES算法獨(dú)立求解。實(shí)驗(yàn)結(jié)果表明經(jīng)過優(yōu)化的DAG-BRB模型可以很好地識別各種網(wǎng)絡(luò)攻擊數(shù)據(jù)，相比其他分類模型具有更好的分類精度。
　　針對網(wǎng)絡(luò)安全態(tài)勢評估問題，通過對影響網(wǎng)絡(luò)安全的各要素進(jìn)行深入分析，在結(jié)合了網(wǎng)絡(luò)定量數(shù)據(jù)和專家定性知識的基礎(chǔ)上，提出了一種基于BRB的網(wǎng)絡(luò)安全態(tài)勢評估模型，并由此構(gòu)建了一系列的能夠反映網(wǎng)絡(luò)整體安全狀況的置信規(guī)則。該評估模型采用ER算法作為推理工具，可以融合更

7、為豐富的不確定信息，能夠提供更為接近實(shí)際的知識表達(dá)方式。實(shí)驗(yàn)結(jié)果表明基于BRB的網(wǎng)絡(luò)安全態(tài)勢評估模型可以有效的反映網(wǎng)絡(luò)系統(tǒng)的安全狀況，相比其他評估模型，它對突發(fā)的網(wǎng)絡(luò)安全事件更加敏感，評估結(jié)果更接近實(shí)際情況。
　　針對網(wǎng)絡(luò)安全態(tài)勢預(yù)測問題，通過將網(wǎng)絡(luò)安全態(tài)勢視為網(wǎng)絡(luò)系統(tǒng)隱含行為的思想，在原有隱含置信規(guī)則庫預(yù)測模型(Hidden BRB，HBRB)的基礎(chǔ)上，提出了一種結(jié)合云模型的云隱含置信規(guī)則庫預(yù)測模型（Cloud HBRB，CHB

8、RB）。該模型使用云模型來描述置信規(guī)則庫的結(jié)論等級，使得BRB描述不確定性信息的能力得到進(jìn)一步的加強(qiáng)。為了對CHBRB模型參數(shù)進(jìn)行優(yōu)化，又提出了一種帶有漏桶機(jī)制的約束協(xié)方差矩陣自適應(yīng)進(jìn)化策略(L-CMA-ES)算法，該算法在優(yōu)化迭代的每一輪中，利用漏桶機(jī)制直接修正不滿足約束條件的解。實(shí)驗(yàn)結(jié)果表明經(jīng)過優(yōu)化的CHBRB模型可以很好地預(yù)測未來網(wǎng)絡(luò)安全態(tài)勢，相比其他預(yù)測模型具有更好的預(yù)測精度。
　　針對某些特殊網(wǎng)絡(luò)中安全態(tài)勢預(yù)測存在局部無

9、知性的問題，提出冪集辨識框架下隱含置信規(guī)則庫預(yù)測模型(Powset HBRB，PHBRB)，并將其應(yīng)用于復(fù)雜工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢的預(yù)測中。由于擴(kuò)展后的冪集辨識框架能夠更精確的描述同時包含局部無知性和全局無知性的知識，所以提高了模型的預(yù)測精度。為了解決PHBRB模型的參數(shù)優(yōu)化問題，本文進(jìn)一步提出了帶有投影操作的約束協(xié)方差矩陣自適應(yīng)進(jìn)化策略(P-CMA-ES)算法，該算法利用投影操作將不滿足約束的解直接映射回可行域。實(shí)驗(yàn)結(jié)果表明經(jīng)過優(yōu)化的P