在分析已有的安全态势评估和预测方法的基础上, 提出了基于信息融合的网络安全态势感知模型。该模型采用D??S证据理论对多源网络安全数据进行融合, 计算漏洞、服务、主机、网络的安全态势值。同时根据历史安全态势评估结果, 利用支持向量回归理论对未来态势进行预测。相比已有的安全态势评估和预测方法, 该模型的结构更加完整, 结果更为准确有效。
28期王选宏,等:基于信息融合的网络安全态势感知模型6901
漏洞数据库查询到漏洞Vi的静态严重性分值,得到漏洞静态严重性证据SVi:
SVi=
SSi
100%180
(1)
Step4 按照式(6)式获得服务Si安全态势值ESi:
ESi=V EVi
%S
i
i
(6)
式(1)中,SSi表示漏洞Vi的静态严重性分值,0#SSi#180。
从报警数据库中获得主机Hi使用漏洞Vi的报警统计信息,获得报警统计信息证据AVi:
NAi
AVi= 100%
NAa
(2)
式(6)中,Vi%Si表示服务Si所对应的漏洞集合。
Step5 按照式(7)获得主机Hi安全态势值EHi:
EHi=S wSiEVi
%H
i
i
(7)
式(7)中,Si%Hi表示主机Hi所存在的服务集合。
Step6 按照式(8)获得网络安全态势值E:
E=H wHiESi
%N
i
式(2)中,NAi表示单位时间内主机Hi上被利用漏洞Vi进行攻击后产生的报警数目,其中的单位时间可根据需要取小时、天、月等;NAa表示单位时间内主机Hi上被利用漏洞进行攻击后产生的报警总数目。
定义识别框架 ={safe,unsafe},其中safe表示在漏洞Vi存在的前提下计算机系统的安全状态,而unsafe表示在漏洞Vi存在的前提下计算机系统的不安全状态。相应的基本可信度分配函数为
m1(safe)=1-AVim1(unsafe)=AVim2(safe)=1-SVim2(unsafe)=SVi
经过证据合成,m(unsafe)计算公式如式(4)。AViSVi
m(unsafe)=
(1-AVi)(1-SVi)+AViSVi
(4)(3)
(8)
式(8)中,Hi%N表示网络N所存在的主机集合。
3 基于支持向量机的网络安全态势预测
算法
支持向量机(SupportVectorMachine,SVM)是数据挖掘中的一项新技术,是借助于最优化方法解决机器学习问题的新工具。SVM理论最初于20世纪90年代由Vapnik提出,近年的研究取得了很大进展,在模式识别、时间序列预测、概率密度估计等领域得到了广泛的应用。
使用支持向量回归理论
[12]
对安全态势进行预
测,即对于历史安全态势值所构成的样本,考虑先前值对未来值的影响,利用前n 1时间单位(时间单位可选月,天和小时)的历史值作为训练样本,形成动态预测模型,再用模型对下一个单位时间的态势值进行预测。模型选用支持向量回归算法 SVR,核函数选择RBF核函数,实验参数中不敏感损失函数 、惩罚系数C、核函数参数 对模型的学习精度和推广能力的好坏起着决定性作用。本文参考Melssen
8[13]
显然m(unsafe)的值越大,系统越不安全,漏洞Vi的态势值应该越高。因此漏洞Vi的态势值EVi可直接用m(unsafe)获取,即有
EVi=m(unsafe) 100%
步骤归纳如下:
Step1 对待测主机Hi的某一漏洞Vi到漏洞数据库中查询出所对应的静态严重性分值,并按照式(1)进行归一化处理。
Step2 读取报警数据库中的报警统计信息,并按照式(2)进行归一化处理。
Step3 按照式(4)和式(5)计算漏洞Vi的态E(5)
基于D S证据理论的网络安全态势评估方法的
给出的{C, , }的大致取值范围:C=
[1,10], =[0,0.2], =[0.01,2.0],利用试探法选择{C, , }的值。预测结果的评价指标选用均方误差MSE,它是进行n次预测时误差平方的平均数。
基于支持向量机的网络安全态势预测算法归纳如下: