[发明专利]基于灰色模型的网络脆弱性节点的主动预测方法

摘要

本发明涉及一种基于灰色模型的网络脆弱性节点的主动预测方法，属于信息安全技术领域。通过获取网络中实时的主机信息、拓扑信息、漏洞信息等特征，利用灰色关联分析的方法确定其在网络系统中的权重，完成对观测数据的统一计算，并将计算所得的状态信息输入到灰色预测模型，利用最小二乘法确定灰色系数，实现预测模型；最后，根据未达网络节点的态势增量与预测模型曲线进行关联分析，以最接近的态势增量所在的节点作为下一个网络脆弱性预测节点。

主权项

1.基于灰色模型的网络脆弱性节点的主动预测方法，其特征在于：其具体操作步骤为：步骤一、获取网络安全态势特征项，计算网络状态；具体为：步骤1.1：确定网络系统的安全态势特征项；将网络安全态势自顶向下，分成三个维度进行描述，分别为：运行态势维度、脆弱性态势维度和异常态势维度；其中，由来描述运行态势维度的安全态势特征项包括：CPU利用率、内存使用率和磁盘读取率；用来描述脆弱性态势维度的安全态势特征项包括：漏洞类型、漏洞评分、事件类型以及身份认证程度；用来描述异常态势维度的安全态势特征项包括：攻击源数目、攻击时间、攻击频率以及设备在线状态；因此，网络系统的安全态势特征项包括11项，分别是：CPU利用率、内存使用率、磁盘读取率、漏洞类型、漏洞评分、事件类型、身份认证程度、攻击源数目、攻击时间、攻击频率以及设备在线状态；步骤1.2：周期性获取网络系统中单台主机不同时刻的安全态势特征项的观测数据，作为研究对象；计算网络系统中所有主机在各个时刻各安全态势特征项的观测数据均值，并利用灰色关联分析方法确定各安全态势特征项在整个网络系统全局作用下的表象值权重，从而确定网络安全特征项对网络全局状态表现的影响权重；具体步骤为：步骤1.2.1：计算网络系统中所有主机在各个时刻各安全态势特征项的观测数据均值，得到观测矩阵A，如公式(1)所示；其中，t表示第t时刻，t＝1，2，3...；ft(1)，ft(2)，...，ft(11)分别表示在第t时刻，11个安全态势特征项的分别对应的观测数据均值；步骤1.2.2：通过公式(2)对观测矩阵A进行无量纲处理，得到无量纲处理后的观测矩阵A1，如公式(3)所示；其中，i＝1，2，...，11；步骤1.2.3：设定无量纲处理后的观测矩阵A1的第一列向量为观测向量，其它列向量为比较向量；通过公式(4)计算得到每个比较向量中各子项的关联系数，并构成关联系数矩阵M，如公式(5)所示；其中，j＝2，3，...，11；步骤1.2.4：通过公式(6)得到任意两个网络安全态势特征项之间的关联度；其中，k＝1，2，...，11；γ(f(i)，f(k))表示网络安全态势特征项f(i)和f(k)的关联度；γ(f(i)，f(1))的值通过公式(7)计算得到；γ(f(k)，f(1))的值通过公式(8)计算得到；其中，T为所取的时刻点总数；步骤1.2.5：根据步骤1.2.4的结果，得到各个网络安全态势特征项之间的关联度矩阵M′如公式(9)所示；由于关联度矩阵M′是一个非负对称矩阵，根据非负对称矩阵的性质，关联度矩阵M′存在最大模特征值，用符号λ表示，使得λC＝M′C；其中，λ为非负值，C为特征向量；利用matlab的非负对称矩阵特征值和特征向量提取工具，得到关联度矩阵M′的特征值和特征向量，用符号W表示最大模特征值λ对应的特征向量，W∈C，W＝[ω1，ω2，...，ω11]T，ωi表示第i个网络安全特征项对网络全局状态的影响权重，i＝1，2，...，11；通过本步骤的操作，得到各网络安全特征项对网络全局状态的影响权重；步骤1.3：获取网络系统内全部主机在不同时刻点上各个网络安全特征项的观测数据，并根据步骤1.2所得到的各个网络安全特征项对网络全局状态的影响权重，得到每台主机在各个时刻点上所表现出的单主机态势，同样利用灰色关联分析的方法得到网络系统中主机之间的重要度比重；步骤1.3.1：主机态势计算矩阵B由网络系统内各个主机在不同时刻点上的主机态势值构成，如公式(10)所示；其中，h表示第h台主机，h＝1，2，3...；st(1)，st(2)，...，st(h)分别表示在第t时刻，网络系统中第1台、第2台、...、第h台主机的主机态势值，通过公式(11)计算得到；其中，st(h)表示在第t时刻，第h台主机的主机态势值；fth(i)表示第h台主机在t时刻在第i个网络安全态势特征项f(i)的观测值；步骤1.3.2：通过公式(12)所示对单主机态势矩阵B进行无量纲化处理，得到无量纲处理后的单主机态势计算矩阵B1，如公式(13)所示；步骤1.3.3：设定无量纲处理后的单主机态势矩阵计算B1的第一列向量为观测向量，其他列向量为比较向量；通过公式(14)计算每个比较向量中各子项的关联系数，并构成关联系数矩阵H，如公式(15)所示；其中，m＝1，2，3，...；步骤1.3.4：通过公式(16)得到任意两台主机之间的关联度；其中，q＝1，2，3，...；γ(h(m)，h(q))表示网络主机h(m)和h(q)的关联度；γ(h(m)，h(1))的值通过公式(7)计算得到；γ(h(q)，h(1))的值通过公式(8)计算得到；步骤1.3.5：根据步骤1.3.4的结果，得到各个网络主机之间的关联度矩阵H′如公式(19)所示；由于主机间关联度矩阵H′是一个非负对称矩阵，根据非负对称矩阵的性质，关联度矩阵M′存在最大模特征值，用符号λ′表示，使得λ′C′＝H′C′；其中，λ′为非负值，C′为特征向量；利用matlab对关联度矩阵H′进行特征值和特征向量的提取计算，得到关联度矩阵H′的特征值和特征向量，用符号E表示最大模特征值λ′对应的特征向量，E∈C′，E＝[e1，e2，...，eh]T，eh表示第h台主机在网络中的重要程度，h＝1，2，3，...；通过本步骤的操作，得到各网络主机在网络全局的重要度权值；步骤1.4：根据步骤1.2得到的各网络安全特征项对网络全局状态的影响权重，以及步骤1.3得到的网络系统中各主机的重要度权重，通过公式(20)得到在不同时刻网络系统的整体态势历史数据，用符号S表示，S＝(S1，S2，...，St)；St＝∑heh×st(h)    (20)步骤二、基于网络系统的整体态势历史数据，建立网络系统的灰色预测模型，用于对下一时刻网络系统态势进行预测；具体为：步骤2.1：用符号X(0)表示灰色模型的初始序列，X(0)＝(x(0)(1)，x(0)(2)，...，x(0)(t))；其中，x(0)(1)，x(0)(2)，...，x(0)(t)分别表示第1时刻、第2时刻，...，第t时刻的网络整体态势值；将步骤一得到的网络系统的整体态势历史数据S作为初始序列X(0)，x(0)(1)＝S1，x(0)(2)＝S2，...，x(0)(t)＝St；步骤2.2：通过公式(21)计算初始序列X(0)的一阶累加生成序列，用符号X(1)表示；X(1)＝{x(1)(1)，x(1)(2)，...，x(1)(t)}，其中，x(1)(1)，x(1)(2)，...，x(1)(t)分别表示从第1时刻到第1个时刻、从第1时刻到第2个时刻，...，从第1时刻到到第t个时刻的网络整体态势和；x(1)(t)＝∑tx(0)(t)    (21)计算一阶累加生成序列目的是削弱原始数据项的随机性和关联性，从全局的角度对整体的趋势建模，以便于形成趋势模型，理解和预测态势变化；步骤2.3：由于一阶累加生成序列X(1)是系统将无规律的历史数据序列经过累加处理，使其变为具有指数增长规律的上升形状序列；计算一阶累加生成序列的过程与一阶模型的灰微分方程形式相似；因此对一阶累加生成序列X(1)建立一阶微分型方程，如公式(22)所示；其中，a，b分别为系统待确定参数，a，b的取值范围是实数；通过公式(23)对公式(22)积分，作离散化处理；其中，t′＝1，2，...，t‑1；由公式(21)能够得到如公式(24)所示的关系；x(1)(t′+1)‑x(1)(t′)＝x(0)(t′+1)；    (24)由公式(23)‑公式(24)得到灰色预测模型的通用公式，如公式(25)所示；对公式(25)中的积分项求解，得到公式(26)；用符号z(1)(t′+1)表示公式(25)积分项的解，得到公式(27)；将公式(27)带入公式(25)得到公式(28)；x(0)(t′+1)＝‑az(1)(t′+1)+b    (28)将一阶累加生成序列X(1)的项以及初始序列X(0)的项带入公式(28)中，通过移项处理如表达式(29)所示；步骤2.4：利用最小二乘法确认公式(29)中的参数a，b的值，建立网络安全态势的预测模型；具体为：步骤2.4.1：设定3个替换参数向量，分别用符号Y_t和G表示，Y_t和G取值如公式(30)所示；步骤2.4.2：将公式(30)带入公式(29)，得到公式(31)；步骤2.4.3：通过最小二乘法求解公式(31)，得到灰色预测模型的参数估计；步骤2.5：使用灰色预测模型，预测下一时刻网络系统的安全态势，即网络系统的安全态势预测值；具体为：步骤2.5.1：用符号表示第t时刻灰色预测模型对一阶累加生成序列的预测值；当t＝1时，的结果如公式(32)所示；当t＞1时，将步骤2.4.3得到的灰色预测模型的参数估计带入到公式(22)中，并对灰微分方程求解，得到公式(33)；由公式(32)和公式(33)构成灰色预测模型在t时刻的对一阶累加生成序列的预测值如方程组(34)所示；根据公式(24)，对方程组(34)的和进行求差，得到方程组(35)；其中，表示灰色预测模型在t时刻时初始序列X⁽⁰⁾的预测值；通过步骤2.5的操作，得到如公式(35)所示的灰色预测模型；步骤2.6：对灰色预测模型的精度进行检测；具体为：根据方程组(35)得到初始序列X⁽⁰⁾的预测序列，用符号表示；为了评估灰色预测模型的准确性，利用公式(36)对预测序列与初始序列X⁽⁰⁾进行比较，得到预测模型的准确度，用符号rel表示；如果rel＞0.9，则认为灰色预测模型的预测结果可信；步骤三、确定网络系统中的脆弱性节点；利用步骤二得到的灰色预测模型对网络系统态势进行预测，得到不同时刻点的网络系统态势预测值；根据网络系统态势预测值，实时分析网络系统中的脆弱性节点，最终得到网络系统的脆弱性节点；具体步骤为：步骤3.1：得到第t时刻，即当前时刻已被攻击的主机集合和第t+1时刻被攻击但尚未被攻击的主机集合；具体为：步骤3.1.1：用符号O表示网络系统中所有主机集合，O＝(o1，o2，...，oh)；oh为网络系统中第h台主机；步骤3.1.2：根据网络系统拓扑结构与网络路由表获取网络系统中各主机之间的可达关系，建立主机间可达信息表；所述主机间可达信息表包括源主机和目的主机；步骤3.1.3：用符号D表示第t时刻网络系统中已被攻击的主机集合，D＝(d₁，d₂，...，d_y)，1≤y≤h，d_y为网络系统已被攻击的第y台主机；步骤3.1.4：用符号P表示第t+1时刻网络系统中可能被攻击但尚未被攻击的主机集合，P＝(p₁，p₂，...，p_z)，z＝1，2，...，z′，z′≤h‑y；步骤3.1.5：根据网络系统日志，获取每台主机相对于整个网络系统的请求访问率，用符号P(h)表示；随后根据公式(37)，计算在第t+1时刻，已攻击过主机dy的条件下攻击主机pz的条件概率，用符号P(pz|dy)表示；其中，P(dy|pz)表示已知主机pz被攻击后主机dy被攻击的条件概率；P(pz)表示主机pz被攻击的先验概率；P(dy|～pz)表示已知主机pz不被攻击时主机dy被攻击的条件概率；P(～pz)表示主机pz不会被攻击的先验概率；步骤3.2：根据公式(38)得到由主机pz导致的在第t+1时刻相比于第t时刻的网络系统态势增量，用符号Δ表示；Δ＝St+1‑St    (38)其中，St+1表示第t+1时刻的网络安全态势；St表示第t时刻的网络安全态势；步骤3.3：将预测值增量与主机pz的主机态势进行关联分析，从而获取Pz集合中在下一个时刻最可能被攻击的节点，具体步骤为：步骤3.3.1：得到第t+1时刻可被攻击的主机安全态势矩阵，用符号SP表示，如公式(39)所示；其中，st(1)、st(2)...st(z)分别表示第1台主机、第2台主机、...第z台主机的态势值；步骤3.3.2：计算公式(38)与公式(39)的关联度；将公式(38)得到的Δ视为参考序列，公式(39)得到SP的项st(z)为比较序列；根据公式(40)，得到比较序列SP对于参考序列Δ的关联度；其中，r(z)表示主机pz的态势与Δ的关联度；用符号R＝[r1，r2，...，rz]T作为攻击未标记主机pz的态势与Δ的关联度集合；得到的R＝[r1，r2，...，rz]T表示第t时刻未被攻击标记过的主机在第t+1时刻造成网络态势变化Δ的可能性，rz的大小表示该台主机造成态势变化Δ可能性的强弱，rz越大表示是该台主机引起Δ的可能性越大；将最大的rz所对应的主机作为第t+1时刻最易受到攻击的节点，实现由整体连续且基于时间的网络态势向离散基于空间的脆弱性主机节点的预测；步骤3.3：根据公式(37)对集合P的主机计算条件概率，用符号U表示得到条件概率排序结果如公式(41)所示；U＝(u1，u2，...，uz)   (41)将公式(41)的排序结果与集合P的脆弱性节点预测的结果R＝[r1，r2，...，rz]T进行比较，用符号l表示关联度排序与条件概率顺序一致的数目；则根据公式(42)可以验证该映射方法的准确率，用符号ul表示；