【方法】一种基于改进D-S证据的智慧水利网络安全态势评估方

微信扫码，打开到小程序

http://www． jsjkx．com DOI:１０．１１８９６/jsjkx．２４０６０００５１ 基金项目:湖南省水利厅科技项目(XSKJ２０２３０５９Ｇ４０) ThisworkwassupportedbytheHunanProvincialDepartmentofWaterResourcesScienceandTechnologyProject(XSKJ２０２３０５９Ｇ４０)． 通信作者:周子豪(１０４３０８２０５９＠qq．com) 一种基于改进 DＧS证据的智慧水利网络安全态势评估方法 夏卓群１ 周子豪１ 邓 斌２ 康 琛３ １ 长沙理工大学计算机与通信工程学院 长沙４１００００ ２ 长沙理工大学水利与环境工程学院 长沙４１００００ ３ 湖南省水旱灾害防御事务中心网信技术部 长沙４１００００ (xiazhuoqun＠csust．edu．cn) 摘 要 智慧水利是国家关键信息基础设施的重要行业和领域.网络安全态势评估技术的研究,为智慧水利的数据保护和网 络安全建设提供了有力支撑.针对智慧水利网络模型特点以及基于单一 DＧS证据理论的网络安全态势评估模型中存在着主观 依赖性、证据冲突大的问题,提出了一种基于改进 DＧS证据理论的智慧水利态势评估方法.首先,面对海量水利数据,使用深度 自编码器对数据进行特征学习和过滤降维处理.然后,将处理后的数据交由深度神经网络进行二分类和多分类计算,并将结果 融合,得出基本概率分配函数值,其将作为 DＧS证据理论的输入.最后,通过 DＧS证据理论的融合规则得到最终的网络安全态 势评估结果.实验结果表明,相较于传统态势评估模型,所提方法能够在提升客观性的情况下,保持较高的准确性. 关键词:智慧水利;网络安全态势感知;DＧS证据理论;深度自编码器;深度神经网络 中图分类号 TN９１５．０８ SecuritySituationAssessmentMethodforIntelligentWaterResourcesNetworkBasedonImproved DＧSEvidence XIAZhuoqun １,ZHOUZihao １,DENGBin ２andKANGChen ３ １SchoolofComputerandCommunicationEngineering,ChangshaUniversityofTechnology,Changsha４１００００,China ２SchoolofHydraulicandEnvironmentalEngineering,ChangshaUniversityofTechnology,Changsha４１００００,China ３NetworkInformationTechnologyDepartmentofHunanProvincialFloodandDroughtDisasterPreventionCenter,Changsha４１００００,China Abstract Intelligentwaterconservancyisanimportantindustryandfieldofnationalkeyinformationinfrastructure．Theresearch onnetworksecuritysituationassessmenttechnologyprovidespowerfulsupportfordataprotectionandnetworksecurityconＧ structionofsmartwaterconservancy．ThispaperproposesasmartwaterconservancysituationassessmentmethodbasedonimＧ provedDＧSevidencetheory, inresponsetothecharacteristicsofsmartwaterconservancynetworkmodelsandtheproblemsofinＧ sufficientobjectivityandlargeevidenceconflictsinnetworksecuritysituationassessmentmodelsbasedonasingleDＧSevidence theory．Firstly, inthefaceofmassivewaterconservancydata,deepautoencodersareusedtolearnfeaturesandfilterandreduce dimensionalityofthedata．Then,theprocesseddataishandedovertoadeepneuralnetworkforbinaryandmulticlassification calculations,andtheresultsarefusedtoobtainthebasicprobabilityallocationfunctionvalueasinputforDＧSevidencetheory．FiＧ nally,thefusionruleofDＧSevidencetheoryisusedtoobtainthefinalnetworksecuritysituationassessmentresult．Experimental resultsshowthat,comparedtotraditionalsituationalassessmentmodels,ourmethodcanmaintainhighaccuracywhileimproving objectivity． Keywords Intelligentwaterconservancy,Networksecuritysituationawareness,DＧStheoryofevidence,Deepautoencoder,Deep neuralnetworks 智慧水利工程信息控制系统是国家重要的关键信息基础 设施.大型水利工程往往身兼数职,如黄河小浪底水利枢纽 工程承担着减游(调沙)、防洪(防凌)、供水、发电、灌溉等许多 关系到国计民生的重要职责.因此,如果其控制系统一旦遭 受到实质性的网络攻击,将会造成重大影响[１].如今,针对各 种信息系统的威胁、攻击等恶意网络行为不断增长且日益猖 獗,逐渐呈现出攻击工具专业化、目的商业化、行为组织化甚 至国家化的特点.对于多数水利工程来说,针对发变电系统 的攻击会使其失去能源,并产生一系列次要问题;针对供排水 及航运系统的 攻 击 会 对 其 自 身 和 当 地 生 产 生 活 造 成 严 重 后 果;而针对各类液压闸门和阀门的攻击[２],如果成功,将导致 灾难性的后果. 当前水利网络安全面临的问题主要体现在:不断变化的 网络系统环境中,传统网络设备和安全设备大多独立运行,或 ２４０６０００５１Ｇ１ 者只是根据现有规则进行匹配、报警和处理.它们之间彼此 不能互联,或互联程度不足以准确有效地发现、分析和利用各 种网络安全事件之间的内部和外部关联关系,从而导致安全 威胁的检测和处置不及时,性能效率低,且简单基于规则匹配 的误报率、漏 报 率 均 较 高[３].网 络 安 全 态 势 感 知 (Network SecuritySituationalAwareness,NSSA)是解决当前水利 网 络 安全问题的一种新方法,也是当前网络安全领域的研究热点 之一.智慧水利网络中的网络安全态势感知通过融合网络安 全信息,来实时评估当前的网络安全态势,为网络安全管理员 的下一步决策提供支持,降低网络中不安全因素所带来的风 险和损失.同时,网络安全态势感知,对增强网络监控能力, 提高网络安全应急响应能力并为未来网络安全发展趋势提供 预测能力,具有重要意义. 网络安全态势评估的核心是对数据集信息的融合.在数 据融合方面,DＧS(Dempster/Shafer)证 据 理 论 有 着 非 常 多 的 优点.首先,它可以有效处理数据的不确定性问题;其次,DＧS 可以通过对证据的积累不断减少假设集;最后,它无需知道条 件概率以及先验概率.因此,相较于贝叶斯推理法等同类型 算法,DＧS具有很强的容错能力,能够很好地将信息归类到未 知或未定中,并且 DＧS证据理论对先验效率的依赖性相对于 贝叶斯等同类型算法来说较低[４].但是,DＧS理 论 也 存 在 着 较为突出的问题,传统的 DＧS理论常常采用专家评估法得出 基本概率分配函数,会导致存在较大的客观性.为解决这个 问题,可使用深度神经网络来自动训练分类计算得出基本概 率分配函数,以降低其主观性.在网络安全态势的研究中,由 于强容灾能力以及能够通过低代价实现较好效果等特点,深 度神经网络备受学者喜爱.但同时深度神经网络在处理大规 模数据时也会存在收敛速度慢、分类精度差的问题,本文采用 深度自编码先对海量数据进行数据降维和数据过滤,来避免 此类问题. １ 相关研究 网络安全态势感知的研究方法复杂多样,其中态势评估、 态势预测是网络安全态势感知研究的重点.针对这两大重点 模块,学者们将不同的算法融入其中进行实验,并试图建立一 个效率高、适应性强、可靠性高的网络安全态势感知模型. 国内外研究 中,Wang等[５]将 线 性 加 权 法 融 入 DＧS证 据 理论中,通过线 性 加 权 法 对 原 始 数 据 来 源 进 行 修 正,提 高 了 DＧS对抗冲突的能力,并以此提出了基于改进的 DＧS的评估 模型.该模型提高了 DＧS对抗冲突的能力,但并未有效解决 DＧS证 据 理 论 在 基 本 概 率 分 配 中 客 观 性 不 足 的 问 题. Chang [６]提出了一种基于卷积神经网络多元融合的网络安全 态势感知模型,将卷积神经网络算法、指数加权的 DＧS融合算 法、层次化网络分析法进行多算法融合.与单一算法构建的 网络安全态势感知模型相比较,该模型预测的准确性和可靠 性均有提高.但该模型使用的卷积神经网络算法也带来了大 量的参数计算,使得感知效率有所下降.Xie等[７]所提出的 一种基于 RBF(RadicalBasisFunction)神经网络的网络安全 态势预测模型,是为了解决态势要素与评估结果之间的不确 定性及模糊性问题.但是该模型所使用的方法仅实验于小规 模的理想网络 中,还 需 要 部 署 在 实 际 网 络 环 境 中 进 行 测 试. 同样是基于深度学习的研究,Dutt等[８]提出了一种IBLT(InＧ stanceＧBasedLearningTheory)模型,以抵御网络攻击的各类 安全工具为基础,能够对网络环境中所存在的攻击行为进行 识别,从而提 高 评 估 结 果 的 正 确 率.Hu等[９]提 出 了 一 种 基 于 MRＧSVM(MapReduceＧSVM)的 态 势 感 知 预 测 模 型,通 过 使用 MapReduce实现多路并发的方法,来提升 SVM 的计算 能力,从而提高预测能力.Covalski等[１０]通过模块化软件组 件按照多级分层模型互连,提出了一种基于 EXEHDAＧISSA (ExecutionEnvironmentforHighlyDistributedApplicationsＧ InformationSecuritySituationalAwareness)的 态 势 感 知 模 型.Cheng等[１１]提出 了 一 种 基 于 实 体 的 网 络 安 全 态 势 要 素 融合方法,该方法能够对态势要素进行统一描述,并有较高的 互补性和较低的冗余性,实现了较好的融合效果.国内现今 对于智慧水利网络 安 全 态 势 的 研 究 中,Jia等[１２]针 对 长 江 水 文急需补齐安全态势感知的短板,结合网络安全存在的问题, 探讨了长江水文网络安全态势感知系统的建设目标,以及如 何构建网络安全态势感知系统,阐述了系统建设的关键技术 和推进 的 工 作 策 略,为 下 一 步 系 统 建 设 奠 定 了 基 础.Cao 等[１３]搭建大型调水工程智能运行中心系统整体架构,剖析系 统基础设施、数字大脑及业务应用组成内容,并结合引汉济渭 工程智能运行中心系统的建设及使用过程,总结阐述了大型 调水工程智能运行中心系统的实际应用价值. 态势评估模块是智慧水利网络安全态势感知研究中的核 心.本文提出了一种基于 DＧS证据理论的网络安全态势评估 模 型 DSＧDAEDNN (Dempster ShaferＧDeep Auto Encoder DeepNeuralNetworks). 其 中,使 用 深 度 神 经 网 络 (Deep NeuralNetworks,DNN)来 获 取 基 本 概 率 分 配 函 数 (Basic ProbabilityAssignment,BPA),避 免 传 统 单 一 DＧS 证 据 理 论 在赋值 BPA 的过程中存在的主观依赖性问题.同时,使用皮 尔逊系统和平均概率值对传统 DＧS证据理论进行修正,从而 避免高冲突证据融合时易产生反直观的结果.最后,使用深 度自编码器(DeepAutoEncoder,DAE)对海量高维数据进行 特征学习和数据降维,来解 决 DNN 在 处 理 海 量 数 据 时 存 在 的准确率不高、时间效率低的问题. ２ 态势评估模型 如图１所示,本文提出的网络安全态势评估模型主要包 括数据降维模块、态势评估模块和态势输出模块. 图１ 态势评估流程图 Fig．１ Situationassessmentprocessdiagram ２４０６０００５１Ｇ２ ComputerScience 计算机科学 Vol．５２,No．６A,June２０２５ 在数据降维模块中,采集智慧水利网络运行中的系统要 素,如漏洞扫描数据、系统日志数据、防火墙数据等各类安全 数据,随后将采集好的数据进行数据预处理,并将预处理后的 数据作 为 DAE 编 码 器 的 输 入;在 态 势 评 估 模 块 中,将 DAE 所得到的降维数据输入到 DNN 网络进行训练并进行二分类 和多分类计算,通过将计算结果融合得到基本概率分配函数; 在态势输出模块中,将态势评估模块中计算得出的基本概率 分配函数作为 DＧS证据理论的输入,经过 DＧS融合规则得到 网络态势值,并输出态势评估结果. 基于 DSＧDAEDNN 的网 络 安 全 态 势 评 估 算 法 的 流 程 如 算法１所示. 算法１ DSＧDAEDNN 算法流程 Input:智慧水利网络安全数据集 Output:网络安全态势评估值 １．输入数据集数据n＝{n１,n２,􀆺,nn}. ２．对数据进行预处理. ３．使用 DAE算法对数据进行数据降维. ４．将降维后的低维数据输入 DNN 网络,使用sigmoid函数和softmax 函数分别进行二分类和多分类的训练. ５．通过二分类所得到的输出值计算入侵攻击概率,并将入侵攻击概率 与多分类的训练输出结果融合,共同计算 BPA 值. ６．将步骤５中得到的 BPA 作为 DＧS证据理论的输入,通过 DＧS融合 算法得到网络的整体态势值,将其作为最终态势评估输出值. End ２．１ 改进 DＧS证据理论 在数据融合方面,DＧS有着很多先天优势.首先,对信息 融合过程中的不确定性问题有比较好的处理能力;其次,DＧS 理论可以通过对证据的积累,不断地减少假设集;最后,在处 理问题时,不需要将不知道和不确定进行区分,也不需要知道 条件概率以及 先 验 概 率.证 据 理 论 在 融 合 具 有 高 冲 突 证 据 时,学者们发现可能会出现融合结果与实际情况相差较大的 情况. 针对 DＧS证据理论所存在的不足,学者们进行了长时间 的研究,取得了不少成果.本文对 DＧS证据理论中合成证据 时所需要的基本概率分配函数进行改进,使得各个证据的权 重能够以自适应的方式进行调整,避免出现互相冲突的证据 导致融合结果违背实际情况的问题. 本文引入皮尔逊系数来解决上述问题[１４].首先,通过使 用皮尔逊系数计算各证据之间是否存在线性相关性,来得到 各证据的可信度值,并将该值作为证据的动态权重得到平均 概率.其次,计算平均概率与证据之间的度量,得到证据的自 适应权重[１５].然后,再对证据加以融合,得到新的证据 BPA. 最后,使用 DＧS证据理论中的基本 合 成 规 则 合 成 BPA,得 到 最终结果. 改进后的 DＧS算法流程如算法２所示. 算法２ DＧS算法流程 Input:未进行处理的证据 BPA Output:DＧS证据融合所得评估值 １．使用皮尔逊系数计算各证据之间的相似度: 设x和y是两个变量,它们之间存在线性关系,用皮尔逊相关 系数 P表示(P∈[－１,１]).P＞０,表明 x,y呈线性相关;若 P＝０, 则代表x,y线性无关.皮尔逊系数的公式如式(１)所示. Pij＝cov(mi,mj) σmiσmj ＝ E((mi－μm８)(mj－μmj)) E(m２ i)－E２(mi) E(m２ j)－E２(mj) (１) 其中,μmi＝mi－E(mi),μmj＝mj－E(mj). 将上述两个证据的相关系数扩展至 n×n个证据,可得出相关 性矩阵Pij,如下: Pij＝ p１１ 􀆺 p１n ⋮ ⋱ ⋮ pn１ 􀆺 pnn é ë ê êê ù û ú úú (２) ２．计算证据mi的支持度SUPm８ : SUPmi＝ ∑ n j＝１,j≠iPij(mi,mj) (３) ３．计算证据可信度: 通过分析式(３)可知,两个证据支持度越高,mi的可信度越高. mi可信度公式如式(４)所示. Crdmi＝ SUPmi ∑ n i＝１SUPmi ,Crdmi∈[０,１] (４) ４．计算加权平均证据概率: 将可信度值作为各个证据的动态权重,计算平均证据概率: mave＝ ∑ n i＝１mi×Crdmi (５) ５．计算平均概率与到证据之间的度量: di＝|mi－mave| (６) ６．分别计算自适应权重wi: 由于度量与权重 成 反 比 关 系,di越 小,说 明 该 证 据 权 重 越 大. 各证据概率权重公式如式(７)所示. wi＝ １ di ∑ n i＝１ １ di (７) ７．计算各新证据概率mi′: mi′＝wimi (８) ８．使用 DＧS证据理论合成规则将加权平均后的mi′依次融合,并输出 最符合决策规则的结果. End ２．２ DAEDNN 网络 深度自 动 编 码 器 通 过 改 变 原 始 自 动 编 码 器 (AutoEnＧ coder,AE)的网络结构来生成 DAE 网络.与 AE 网络相比, DAE网络在编码器和解码器中都有更多的隐藏层,这可以有 效地提高 DAE 的 学 习 能 力,同 时 也 使 得 它 更 有 利 于 特 征 学习. 深度神经网络因其准确性和高效性的特点,而被用于网 络安全态势评估.相较于传统的神经网络分类算法,DNN 可 以在更短的时间内获得更准确的分类结果. 单一的