摘要：当今社会互联网技术高速发展，并得到了快速的推广和普及，互联网在带来便利的同时也存在很多安全隐患。针对此问题，在分析网络安全态势的基础上，构建基于贝叶斯的网络安全态势评价模型。首先，收集整理影响网络安全态势的指标数据，进行汇总整合；其次，对指标数据进行离散化处理，并进行分级分层处理；最后，建立贝叶斯网络，将分级分层过程中的底层指标逐渐向上融合，计算概率并修正贝叶斯网络，直至融合到安全态势层，进而实现对网络安全态势的评价，判断网络安全态势的程度及趋势。实验结果表明：建立的基于贝叶斯网络安全态势评价模型对网络安全态势的评价效果会更准确、有效，提高了网络运行环境的稳定性和可靠性。

关键词：网络；安全态势；贝叶斯网络；评价；稳定性

0引言

随着经济的发展，互联网技术得到了快速的推广和普及，人们利用互联网技术享受便利的同时，也受到了互联网潜在安全隐患的威胁。互联网网络安全态势具有不确定性，所以在感知网络安全态势的基础上进行保障网络的正常运行是十分必要的。目前，专家学者对网络安全态势的研究处于发展阶段，有些学者利用传感器获取的参数对网络安全状态进行感知，建立评价模型，但该模型所用的参数需要针对不同网络的实际环境充分考虑［1－2］。部分学者利用神经网络算法对网络安全态势进行预测，但建立的模型未充分考虑模型预测的准确度［3］。还有学者利用多级残差修正模型的网络风险值，预测网络的安全态势，但模型的复杂度考虑不全面［4］。也存在一些学者分析了网络的流量状态，但仅从流量角度的安全态势感知仍然需要深入研究［5－6］。综上所述，目前对网络安全态势的感知仍未足够细化，而贝叶斯网络可以细化影响网络安全态势的各个指标，因此本文建立基于BAYES的网络安全态势评价模型。首先，层次化处理影响网络安全态势的各项指标，其次计算后验概率，将底层指标向上逐渐融合，最后对网络空间整体安全态势进行评价。

1网络安全态势评价模型

在网络空间中可将网络态势分成态势的识别、态势的发展和态势的映射三个层次，其中态势的识别主要是对网络安全中异常的参数数据所存在的安全隐患进行识别的过程；态势的发展主要是进一步判断态势的发展情况；态势的映射是量化并判断态势的风险情况或隐患情况是否会对当前的网络状态产生攻击。模型整体流程为：首先，获取网络的配置、以及网络在实际运行过程中的多种参数，作为后期网络安全态势识别的基础；其次，对数据进行初步处理、建立态势的识别模型、获取网络信息；最后，利用映射方法将网络安全态势可视化，并对安全态势的程度进行评定。

2贝叶斯网络模型

贝叶斯网络整体是利用有向无环状的图示描述各个属性的相互复杂关系，并计算整体的概率分布情况。贝叶斯网络可用B＝＜G，O＞的形式表示，其中，G表示有向无环图，主要包括＜V，A＞，V代表属性节点；A代表连接属性的边。集合可看做为｛Vi｝。O表示条件概率集合，O可以利用定量的方式表示属性节点的关系，若节点Vi在父节点的集为Qi，可知O的条件概率为OVi｜Qi＝OB（Vi｜Qi）。有向无环图G中存在N个属性节点，各个属性点可看作是随机存在的变量，即对网络安全态势来说，各个属性点为影响网络安全态势的因素，有向边将因果关系连接起来。如有向边（Vi，Vj）表示Vi是Vj的父节点，而Vj可用OB（Vi）表示，各个节点与非子节点、孙节点的集合中的所有条件独立，可以看作是O（Vi／A（Vi），OB（Vi））＝O（Vi／OB（Vi）），假设各个节点及非子节点的属性条件独立，可以将属性联合概率密度定义为O（u1，u2，…，un）＝∏ni＝1OB（ui｜qi）∏ni＝1OVi｜qi，因此，此式可以转换为O（u1，u2，u3，u4，u5）＝O（u1）O（u2）O（u3｜u1）O（u4｜u1，u2）O（u5｜u2）。由上式可知取值u1时，u3和u4独立，取值u2时，u4和u5独立。

3基于BAYES的网络安全态势评价模型

结合安全态势评价模型和贝叶斯网络模型，建立基于贝叶斯的网络安全态势评价模型。首先，分析网络运行的实际情况，识别影响网络安全的主要因素，进行分类和评定，构建多级多层的网络结构；其次，利用贝叶斯方法将影响因子指标从下至上逐渐融合，若逐渐融合的过程中出现变量连续化的问题，利用连续属性概率离散密度公式计算，最终评定整体的安全态势。

3．1指标体系的选取。网络安全态势的评估需要选取敏感性的、关键的指标体系进行评价，指标体系的选取原则包括危险敏感性和普遍适用性。危险敏感性是能够通过该指标反映出会对网络安全的整体造成伤害的程度；普遍适用性是能够反映网络的基本状态。由此，整理网络安全态势影响指标，将指标分为基本信息、流量情况、攻击情况、漏洞情况、设备装置五大类。如表1所示。

3．2建立多级多层的指标。不同的指标对网络安全态势的影响程度不同，所以将指标进行分级分层处理，遵循影响程度指向原则进行分类。分析可知，攻击和漏洞类别对网络安全态势的影响较大，基本信息和设备装置对网络安全态势的影响次之。因此，将对安全态势影响程度较小的指标分布于层级较低的位置，将对安全态势影响程度较高的指标分布于层级较高的位置。多层多级指标如表2所示。

3．3指标融合。利用各个属性作为随机变量建立贝叶斯网络。首先，利用专家知识和相关经验建立贝叶斯网络；其次，计算概率并修正贝叶斯网络；最后评判安全态势.设数据集为D，D＝（d1，d2，d3，…，dn）是变量的观测值，将G设为有向无环图，其余变量可看做为参数值，将O（G）来表示关于G的先验知识，由此可知修正函数为式（1）。logaO（G，D）＝logaO（D｜G）＋logaO（G）（1）其中，O（G）表示均匀的结构先验分布，O（D｜G）看作为边缘似然函数为式（2）。O（D｜G）＝∫O（D｜G，θG｜G）dθC（2）在计算修正函数的基础上，利用搜索算法优化网络结构，每次选取的有向边进行计算评判，如果数值比较大就将其加入，同时对连续属性计算概率密度解决变量连续的问题，若O（X｜C）～N（uc，i，δ2c，i），其中，uc，i代表均值；δ2c，i代表方差。如式（3）。O（X｜C）＝12槡πδc，iexp－（Xi－uc，i）22δ2c，（）i（3）模型算法的具体流程如下。Step1：将样本中的数据分为连续和离散，分成连续数据集和离散数据集；Step2：利用概率密度函数对连续数据集进行离散化处理；Step3：将离散数据集和连续数据集重新组合，构成新的数据集；Step4：进行指标分类；Step5：将指标从底层向上融合；Step6：评估网络安全态势。

4实验结果分析

在实验过程中，利用KDD－CUP99网络入侵检测数据集。同时将数据集分为训练数据和测试数据两部分。利用文中建立的影响网络安全态势分层分级模型对数据分类归化并分析，由此判断影响指标的分布，训练数据集包括的标识类型如表3所示。指标影响分布如表4所示。通过指标影响分布结果可知：在网络运行中，大多数网络行为是正常进行的，处在常态化的网络运行环境中，但是仍然存在少数的网络攻击行为。同时，可通过时序角度分析网络安全态势指标整体情况，在数据集中以周为单位整理网络入侵数据，利用本文模型分析得到的安全态势指标评估结果如表5所示。实验结果可知：从时序的角度看，网络态势在周五、周六、周日变化较大，在周一、周二、周三、周四变化较小，并且网络态势的整体呈现上升的趋势。利用安全态势评估的结果可以对日常每天的网络安全态势等级进行预报，辅助网络工作的管理者进行日常管理。同时，利用时序数据结合实际情况，针对传统的网络态势感知模型和基于贝叶斯的网络态势感知模型进行对比分析，可知基于贝叶斯的网络安全态势感知模型的安全感知效果较好，有效提高了网络安全态势感知的可靠性，如图1所示。

5总结

本文通过对网络安全隐患的分析，建立基于贝叶斯网络的安全态势评价模型，采用分层分级的方法利用贝叶斯网络从底部指标逐渐向上融合，对安全态势进行评价。得到结论如下：（1）模型在应用的过程中，可以对日常网络安全态势评价，便于网络人员管理者的日常管理，实现精准的网络安全态势提醒。（2）模型相较传统的网络安全态势感知，模型的评价效果较好，能够有效、精准的感知网络环境中的安全态势情况，提高安全态势感知的可靠性、有效性。

作者:刘滔 单位:湖南石油化工职业技术学院发展规划