大数据环境下基于信息融合的网络风险评估模型

大数据环境下基于信息融合的网络风险评估模型胡萍（铜仁学院信息工程学院，贵州铜仁554300）摘要：大数据环境下网络风险评估具有多数据源的特点，导致传统的基于神经网络的网络风险评估模型，由于未对多元数据分类而无法实现网络风险评估，提出一种基于信息融合的大数据环境下网络风险评估模型，将检测结果汇总后获取综合攻击发生概率，选用优化的D-S证据理论方法对相关检测设备的mass函数值进行合成并完成数据源的融合，然后求出攻击发生支持概率，依据态势要素融合求出每个主机节点的网络风险态势，通过态势要素融合求出主机节点的网络风险态势，再根据每个主机节点的安全态势得出每个节点权重的融合，获取网络风险态势值，利用数据源融合、态势要素融合以及节点态势融合获取网络风险态势值，在此基础上分析网络风险评估模型。仿真实验结果表明所提方法具有很高的精度。关键词：大数据环境；信息融合；网络；风险评估中图分类号：TP393.08文献标识码：A文章编号：1001-7119（2015）09-0220-04NetworkRiskAssessmentModelBasedonBigDataEnvironmentInformationFusionHuPing（TongrenUniversityInformationEngineeringCollege，TongrenGuizhou554300，China）Abstract：Bigdataenvironmenthasthecharacteristicsofmultiplesourcenetworkriskassessment,resultinthetraditionalnetworkriskassessmentmodelbasedonneuralnetwork,aftertheagencyfailedtomultivariatedataclassificationtorealizethenetworkriskassessment,putforwardakindofbigdataenvironmentbasedoninformationfusionnetworkriskassessmentmodel,thetestresultssummaryafterobtainingcomprehensiveattackprobability,selectstheoptimizationmethodofD-Sevidencetheorytothemassfunctionvalueofthetestingequipmentrelatedtothesynthesisandcompletethedatasourceintegration,andthenfindouttheattacksupportprobability,calculatedonthebasisofsituationalfactorsfusioneachhostnodenetworkrisksituation,throughthesituationalfactorsintegrationandnetworkrisksituationofthehostnode,andthenbasedonthesecuritysituationofeveryhostnode,itisconcludedthattheweightofeachnodefusionfornetworkriskvalue,usingthedatafusionis,situationalfactorsandaccesstothenetworknodestatefusionriskvalue,onthebasisoftheanalysisofnetworkriskassessmentmodel.Thesimulationexperimentalresultsshowthattheproposedmethodhashighprecision.Keywords：bigdataenvironment；informationfusion；network；theriskassessment收稿日期：2015-07-03作者简介：胡萍（1983-），女，土家族，贵州铜仁市人，工学硕士，讲师，研究方向：计算机应用技术。第31卷第9期2015年9月科技通报科技通报BULLETINOFSCIENCEANDTECHNOLOGYVol.31No.9Sep.2015第9期随着网络科技的逐渐发展和用户需求的不断增加，网络被越来越广泛的应用于各个领域[1,2]。由于网络安全事件不断发生，造成计算机网络面临的信息安全形势也越来越严峻[3-5]。因此，针对大数据环境下的网络安全风险评估模型和关键技术已成为相关学者研究的重点课题，受到越来越广泛的关注[6,7]。本文提出了一种基于信息融合的大数据环境下网络风险评估模型，将设备检测结果进行汇总，获取综合网络攻击发生概率，选用优化的D-S证据理论方法对相关检测设备的mass函数值进行合成，并完成数据源的融合，求出大数据环境下网络攻击发生支持概率，依据态势要素融合求出每个主机节点的网络风险态势，通过态势要素融合求出主机节点的网络风险态势，通过每个主机节点安全态势权重的融合获取大数据环境下网络风险态势值。依据主机节点服务信息和服务所占的权重信息求出主机节点的权重，依据每个主机节点的风险态势和节点权重求出网络风险态势值，利用数据源融合、态势要素融合以及节点态势融合获取网络风险态势值，在此基础上建立大数据环境下网络风险评估模型。1大数据环境下基于信息融合的网络风险态势评估方法依据信息融合的大数据环境下网络风险态势评估主要包括数据源融合、态势要素融合以及节点态势融合。数据源融合主要是将若干相关检测设备的日志进行信息融合，从而获取大数据环境下网络攻击发生的概率；态势要素融合主要是通过攻击发生概率、攻击成功概率以及攻击威胁求出主机节点的风险态势；节点态势融合是依据各主机节点的风险态势和其权重求出大数据环境下的网络风险态势。1.1数据源融合数据融合就是将若干检测设备的检测结果进行汇总，获取网络综合攻击的发生概率，因此辨识框架为Θ={}h,hˉ，幂集2Θ={}∅,{}h,{}hˉ,H，其中∅用于描述不可能事件“攻击发生，又未发生”，H用于描述事件“攻击可能发生，可能未发生”，则检测设备i的mass函数可描述成：mi()∅=0，mi()h=Pi()h，mi()hˉ=Pi()hˉ，mi()H=0。因为依据D-S理论对冲突证据进行处理时，组合规则中的归一化过程会出现不符合逻辑的结论，因此本文选用优化的D-S证据理论方法对若干网络相关检测设备的mass函数值进行合成，公式描述如下：ìíîïïïïïïïïmi()∅=0mi()h=∏i=1nmi()h+kq()hmi()hˉ=1-m()hmi()H=0（1）其中，k=1-∏i=1nmi()h-∏i=1nmi()hˉ，q()h=1n∑i=1nmi()h。通过D-S证据理论完成大数据环境下网络数据源的融合，求出网络攻击发生支持概率m()h，其能够体现出相关检测设备采集的外部攻击信息。然后依据态势要素融合求出每个主机节点的网络风险态势。1.2态势要素融合检测设备的检测结果能够体现大数据环境下网络外部攻击发生的概率，然而网络攻击对主机节点产生的影响主要取决于外部攻击信息、主机节点内部脆弱性信息以及攻击自身的威胁信息三个影响因素，因此，需依据网络攻击发生支持概率m()h、攻击成功支持概率s()h以及攻击威胁V，通过态势要素融合求出主机节点的大数据环境下网络的风险态势。判断主机节点是否含有攻击所需的全部必要漏洞，如果缺少，则攻击成功支持概率是0；如果不缺少，同时攻击无需其他漏洞，攻击成功支持概率是1；否则继续判断是否含有攻击所需的其他漏洞，将获取的权重累加，就是攻击成功支持概率s()h。获取m()h、s()h后，引入网络攻击威胁值V，通过下式即可获取攻击对主机节点的影响e：e=m()hs()hV（2）如果主机节点同时受到若干攻击，则将所有攻击对上述主机节点产生的作用进行累加，将其看作是上述主机节点在相同时间内所受攻击的影响，也就是主机节点的网络风险态势E，公式胡萍.大数据环境下基于信息融合的网络风险评估模型221第31卷科技通报描述如下：E=∑i=1lei（3）式中，l用于描述主机节点被攻击的次数；ei用于描述各攻击对主机节点造成的干扰。1.3节点态势融合大数据环境下网络节点态势融合通常是通过每个主机节点安全态势权重的融合，获取网络风险态势值。依据主机节点服务信息svcs和服务所占的权重信息，通过下式求出主机节点的权重wh：wh=∑i=1mwi（4）式中，m用于描述网络主机节点能够提供的服务数量；wi用于描述网络各服务所占权重。假设大数据环境下网络所有服务的权重和是1，如果若干台主机共同提供一种服务，则该服务的权重将被平均分给上述主机，所以主机节点的权重和也是1。再依据每个主机节点的风险态势E和节点权重wh，通过下式求出网络风险态势值SA：SA=∑i=1nEiwHi（5）式中，n用于描述主机节点个数；Ei用于描述主机节点的安全态势；wHi用于描述各主机节点所占权重。利用数据源融合、态势要素融合以及节点态势融合获取大数据环境下网络风险态势值SA，从而得到网络安全情况，下面具体分析在此基础上的网络风险评估模型。2大数据环境下网络风险评估模型从t-1到t的单位时间内，主机中的第j()0≤j≤J个记忆检测器采集到一个网络攻击抗原，该攻击抗原的网络风险依据式（6）描述的趋势逐渐增加，并且假设年龄是0。若采集到多个抗原，则通过式（6）可求出大数据环境下网络风险的累加值，说明网络在不断受到攻击。Mb,js()t=η1+η2Mb,js()t-1（6）其中，η1用于描述初始损失程度值，它是一个大于0的常数；η2用于描述模拟奖励因子，主要用于对不断受到入侵的网络进行监测，其值大于0。若主机中的记忆检测器在大函数时间段中未采集到攻击抗原，则风险性依据式（7）描述的关系衰减1λ，并且将其年龄加1。Mb,js()t=ìíîïïïïMb,js()t-1æèççöø÷÷1-1λ-Mb,jage()t-1Mb,jage()t-1λ0Mb,jage()t-1≥λ（7）分析式（7）可知，如果网络记忆检测器年龄增长至λ，则记忆检测器的风险性将降低至0，和网络所受实际攻击情况基本符合，也就是在一定时间段内如果未检测到该类入侵，则认为该类入侵已经结束。通过从攻击中采集重要属性的方法对信息融合法获取的大数据环境下的网络攻击进行分类，上述分类方法具有很高的普适性、准确性，已广泛应用于实际工作中。假设风险指标0≤rk()t≤1为主机k在t时刻所遭遇的风险，若rk()t=1，则此刻网络处于极度危险中；若rk()t=0，则此刻网络没有任何风险。随着rk()t值的增大，大数据环境下网络所面临的风险也逐渐增高，因为不同主机的资产权重以及不同类攻击的风险程度不同，所以用μi描述该类攻击的危险性，用ϖk描述该主机的资产权重。主机k在t时刻面临第i()1≤i≤I类Ai()t累加的安全风险可通过式（8）求出：rk,i()t=1-11+lnæèççöø÷÷μiæèççöø÷÷∑Mb,j∈Ai()tMb,js()t+1（8）其中，1≤k≤K。主机k在t时刻主机的整体安全危险可通过式（9）求出：rk()t=1-11+lnæèççöø÷÷∑i=1lμiæèççöø÷÷∑Mb,j∈Ai()tMb,js()t+1（9）大数据环境下网络面临第i()1≤i≤I类Ai()t攻击的安全风险用Ri进行描述，其值可通过式（10）求出。该方法首先求出每个主机面临的风险，再利用主机资产权重加权的方式逐层向上求出上层网络面临的风险，大大降低了风险计算时由于攻击分类造成的计算量。公式描述如下：222第9期Ri()t=1-11+lnæèççöø÷÷μiæèççöø÷÷∑k=1Kϖkæèççöø÷÷∑Mb,j∈Ak,j()tMb,js()t+1（10）网络整体安全风险可通过式（11）求出：