基于信息融合的网络安全态势感知模型(3)

在分析已有的安全态势评估和预测方法的基础上, 提出了基于信息融合的网络安全态势感知模型。该模型采用D??S证据理论对多源网络安全数据进行融合, 计算漏洞、服务、主机、网络的安全态势值。同时根据历史安全态势评估结果, 利用支持向量回归理论对未来态势进行预测。相比已有的安全态势评估和预测方法, 该模型的结构更加完整, 结果更为准确有效。

28期王选宏,等:基于信息融合的网络安全态势感知模型6901

漏洞数据库查询到漏洞Vi的静态严重性分值,得到漏洞静态严重性证据SVi:

SVi=

SSi

100%180

(1)

Step4 按照式(6)式获得服务Si安全态势值ESi:

ESi=V EVi

%S

i

i

(6)

式(1)中,SSi表示漏洞Vi的静态严重性分值,0#SSi#180。

从报警数据库中获得主机Hi使用漏洞Vi的报警统计信息,获得报警统计信息证据AVi:

NAi

AVi= 100%

NAa

(2)

式(6)中,Vi%Si表示服务Si所对应的漏洞集合。

Step5 按照式(7)获得主机Hi安全态势值EHi:

EHi=S wSiEVi

%H

i

i

(7)

式(7)中,Si%Hi表示主机Hi所存在的服务集合。

Step6 按照式(8)获得网络安全态势值E:

E=H wHiESi

%N

i

式(2)中,NAi表示单位时间内主机Hi上被利用漏洞Vi进行攻击后产生的报警数目,其中的单位时间可根据需要取小时、天、月等;NAa表示单位时间内主机Hi上被利用漏洞进行攻击后产生的报警总数目。

定义识别框架 ={safe,unsafe},其中safe表示在漏洞Vi存在的前提下计算机系统的安全状态,而unsafe表示在漏洞Vi存在的前提下计算机系统的不安全状态。相应的基本可信度分配函数为

m1(safe)=1-AVim1(unsafe)=AVim2(safe)=1-SVim2(unsafe)=SVi

经过证据合成,m(unsafe)计算公式如式(4)。AViSVi

m(unsafe)=

(1-AVi)(1-SVi)+AViSVi

(4)(3)

(8)

式(8)中,Hi%N表示网络N所存在的主机集合。

3 基于支持向量机的网络安全态势预测

算法

支持向量机(SupportVectorMachine,SVM)是数据挖掘中的一项新技术,是借助于最优化方法解决机器学习问题的新工具。SVM理论最初于20世纪90年代由Vapnik提出,近年的研究取得了很大进展,在模式识别、时间序列预测、概率密度估计等领域得到了广泛的应用。

使用支持向量回归理论

[12]

对安全态势进行预

测,即对于历史安全态势值所构成的样本,考虑先前值对未来值的影响,利用前n 1时间单位(时间单位可选月,天和小时)的历史值作为训练样本,形成动态预测模型,再用模型对下一个单位时间的态势值进行预测。模型选用支持向量回归算法 SVR,核函数选择RBF核函数,实验参数中不敏感损失函数 、惩罚系数C、核函数参数 对模型的学习精度和推广能力的好坏起着决定性作用。本文参考Melssen

8[13]

显然m(unsafe)的值越大,系统越不安全,漏洞Vi的态势值应该越高。因此漏洞Vi的态势值EVi可直接用m(unsafe)获取,即有

EVi=m(unsafe) 100%

步骤归纳如下:

Step1 对待测主机Hi的某一漏洞Vi到漏洞数据库中查询出所对应的静态严重性分值,并按照式(1)进行归一化处理。

Step2 读取报警数据库中的报警统计信息,并按照式(2)进行归一化处理。

Step3 按照式(4)和式(5)计算漏洞Vi的态E(5)

基于D S证据理论的网络安全态势评估方法的

给出的{C, , }的大致取值范围:C=

[1,10], =[0,0.2], =[0.01,2.0],利用试探法选择{C, , }的值。预测结果的评价指标选用均方误差MSE,它是进行n次预测时误差平方的平均数。

基于支持向量机的网络安全态势预测算法归纳如下:

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库基于信息融合的网络安全态势感知模型(3)在线全文阅读。