摘要:针对现阶段网络通信不同路径威胁识别概率低、均方根误差大等问题，提出基于多信息融合的网络通信威胁智能识别方法。通过分析攻击图中所描述的网络攻击占据网络资源过程获取攻击路径;分析攻击者发出的攻击行为，将产生的网络通信威胁作为攻击行为的证据，采用D－S证据理论，将多条威胁汇集为攻击行为信息分析攻击者能力，通过判断攻击者达成攻击想法的概率，获取攻击者的攻击意图，以此为基础，通过威胁量化算法，获取网络通信威胁程度，实现网络通信威胁智能识别。经实验验证，该方法在网络通信威胁识别过程中具有较低的识别均方根误差，且不同路径下的网络通信威胁识别概率较高。

关键词:多信息融合;网络通信威胁;智能识别;攻击行为

1引言

由于互联网应用的愈发广泛，越来越多的行业受到网络安全问题的影响，对网络安全性进行提升，是目前较多领域正在研究的问题［1］。其中，网络通信的安全性保障尤为重要，一旦网络通信出现故障，许多领域都会出现不同程度的损失［2］。因此，保障网络通信安全，及时对网络通信威胁进行识别，能够同时保障较多领域的网络资源安全性［3－4］。由于当前网络通信过程中不断出现较大规模的威胁，许多学者对其进行研究，其中，例如田俊峰等［7］，研究一种基于卷积神经网络的Web攻击检测方法，虽然该方法能够检测出攻击流量，但对于通信威胁的识别率依然较低;如任帅等［8］，研究基于层次化网络的多源头威胁态势高效评估方法，该方法检测效率较高，但面对海量网络通信威胁的状况时，依然存在检测识别率低等问题。现阶段，攻击图为较为常用的识别工具，其可从威胁发出者的角度，通过分析网络通信中存在的脆弱性得出攻击路径［7］。利用单一数据源或者单一事件的识别方法在现如今已经难以满足实际应用需求，通过多信息融合的识别方式，能够有效识别网络通信中攻击者发出的威胁［8］。因此，研究基于多信息融合的网络通信威胁智能识别方法，通过融合攻击图、攻击路径、攻击行为与攻击者能力，实现多信息融合，并通过威胁识别算法与威胁量化算法，最终实现网络通信威胁智能识别过程。

2基于多信息融合的网络通信威胁智能识别方法

2.1网络攻击图的定义及相关概念

网络攻击指的是在网络存在漏洞和安全缺陷的情况下，对网络系统的软、硬件及其中的数据进行攻击，以达到窃取、修改、破坏网络中存储和传输的信息等目的。为了找出所有关联关系，通过模拟网络攻击中攻击者对漏洞进行攻击的过程，找到达到目标的攻击路径，以图的形式将这些路径呈现，此图就是网络攻击图。在网络攻击图中，存在攻击者发出的通信威胁与疑似占据的网络资源节点［9－10］。2.1.1攻击图。在攻击图中，既存在网络内的威胁行为节点，又包含了资源节点［11］，同时还存在二者间的有向边，且攻击图能够表示占据网络资源过程的步骤。通过以下定义，设定网络攻击图NAG，其图状态如图1所示:(1)AND关系中，若想到达子节点，需要全部父节点同一时刻达到指向性条件。(2)OR关系中，只需要全部父节点能够随意达成某个指向性条件。(3)攻击图NAG=(Θ，R，A，E，S，Rv，F，D，Π)，其为一个九元组，且存在多个有向无环图，这些有向无环图由AND或OR关系连接的节点组成。a．威胁行为节点集由A描述，A={aii=1，2，．．．，n，ai为任意攻击行为节点}。当未出现行为ai时，Θ(ai)=FALSE，当行为ai出现时，Θ(ai)=TRUE。b．资源节点集由R描述，R={rii=1，2，．．．，n，ri为任意资源节点};当资源ri被占据时，通过Θ(ri)=TRUE描述;当ri并未被占据时，由FALSE描述。c．节点状态集由Θ描述，Θ={TRUE，FALSE}。节点ri和ai的形态依次由Θ=(ri)与Θ=(ai)描述。d．各类节点的有向边连接集由E描述，E={eai，aj∈A，ri∈R，e=〈ai，ri〉∪〈ri，aj〉}，其中含义是在e中，包含〈ai，ri〉与〈ri，aj〉。e．威胁节点ai出现的机率由di描述，目标Θ(ri)=TRUE被ai完成的机率由d＇i描述，D=(di∪d＇i)，其中，di=P(Θ(ai)=TRUEPre(ai)=TRUE)，d＇i=P(aiΘ(ai)=TRUE)。f．攻击威胁属性集由S描述，S={siai∈A，ri∈R，i=1，2，．．．，n，si为边〈ai，ri〉威胁属性}，其中，si=f(Rμ，I，ω－，Cost(〈ai，ri〉))，在以下计算过程描述f(Rμ，I，ω－，Cost(〈ai，ri〉))。g．Rμ={μ(ri)ri为资源节点，μ(ri)为ri的威胁属性}，其中资源节点脆弱属性集由Rμ表示。h．攻击威胁性情况集由F={TRUE，FALSE}。当威胁行为ai在e∈E，且e存在于〈ai，ri〉类型中时，F(e)=TRUE，表示该行为存在威胁，当威胁行为ai在F(e)=FALSE时，不存在威胁。攻击图中，每个节点的机率由∏描述，且∏∈［0，1］，其中资源被占据情况出现的机率分布由∏(ri)与∏(ai)描述，在所选取的攻击图模型内，威胁已出现在初始阶段，因此，∏(a1，a2，a3)=1.0，且∏(ri)0，以及∏(ai)0。2.1.2攻击路径。若在攻击图内有一组有向边序列出现在初始节点ai∈A，且能够依照拓扑结构与目标节点rj∈R相连，并设有向边序列{〈ai→ri〉，〈ri→aj〉ai，aj∈A，ri∈R，i，j=1，2，．．．，n}。通过公式(1)构建攻击路径，公式如下:Path={〈aj→ri〉，〈ri→aj〉i，j=1，2，．．．，n}(1)在图1中，攻击路径以公式(2)、公式(3)、公式(4)表示，在同一节点内的较多有向边之间的AND关系由∩描述:Path1=〈a1∩a2→r1〉，〈r1→a4〉〈a4→r3〉，〈r3→a7〉{}(2)Path2=〈a1∩a2→r1〉，〈a3→r2〉，〈r1∩r2→a6〉，〈r2→a5〉〈a5∩a6→r3〉，〈r3→a7〉{}(3)Path3=〈a1∩a2→r1〉，〈a3→r2〉，〈r1∩r2→a6〉，〈a6→r4〉，〈r4→a7〉{}(4)其中，初始节点为a1，a2，a3，当a1与a2进行操作后，r1节点被攻击者占据，开始操纵a4，以掌握资源r3，达成操控a7的能力。构建威胁路径通过a1与a2起始，并经历r1，a4，r3，直至a7完成。以上形式就是对该路径的定义。2.1.3攻击行为。当网络脆弱性被攻击者利用，最终使网络通信过程受到威胁或状态出现转移，即为攻击行为。可通过ac-tion={name，class，time，aci}攻击行为，其中，攻击行为的称呼由name描述，类别由class描述，作用时间由time描述，可信度由aci描述。将产生的网络通信威胁作为攻击行为的证据，采用D－S证据理论，将多条威胁汇集为攻击行为信息。由于不同网络通信威胁的攻击特征差距较大，所以造成触发的攻击信息可信度并不一致［12－13］。依据历史通信威胁数据与识别威胁的经验，能够获取不同特征的攻击信度分配函数。2.1.4攻击者能力。攻击者拥有的技术与工具等实力，称为攻击者能力，其通过Cap描述。为使攻击能力得到判断，依据攻击者攻击状态，若其初始能力为空，持续向能力库内添加攻击者操纵的攻击行为。并设cap1={name，class，dif-ficulty}，其中能力名称由name表示，类别由class表示，难度系数由difficulty表示，攻击者能力库Cap中是否保存cap1，通过攻击者能否拥有cap1能力来分辨，若攻击者能够启动cap1对应的攻击能力，即能够保存。

2.2威胁识别算法

依据马尔科夫假设来进行网络通信威胁智能识别。马尔科夫过程能够描述网络通信状态被攻击行为造成转移的过程，即网络通信未来的状态与过去状态无关，仅与当前状态有关。首先对网络进行给定，并依据服务与资源的重要性构建攻击意图库，该意图库需依据网络通信保护需求;下一步对网络进行扫描，以确定其拓扑形式与脆弱性被发现，针对所扫描的结果构建攻击图，探寻攻击路径，该路径能够直达攻击想法［14－15］;最终判断攻击者达成攻击想法的概率，通过将攻击者能力、攻击行为与攻击状态的关联关系相连接实现判断，经判断后，向高于所设阈值或最大概率的攻击想法与攻击路线提出警示，以及依据攻击想法与状态量化网络通信威胁。2.2.1攻击路径预测与攻击意图识别。设所指网络通信的攻击图为G=(S，τ，s0，sf)，其中该通信过程的攻击意图集由Int描述。对攻击行为进行分析，若所发出的行为为action={name，class，time，aci}，同时aci＞ξ，其中，ξ描述依据先前经验所设阈值，则可以认定攻击action出现。且设su为攻击完成状态，并在此时向攻击者能力库cap加入action。设Path(su，sj)为攻击路径集，其中攻击想法Intv与状态sj相应，并且su∈S，sj∈sf，Intv∈Int。对能力集Cap进行查探，若攻击行为action*出现，则向状态sq迁移sp，同时sp，sq∈Path(su，sj)，action＊∈Cap，并将概率ω(p，q)=1，该概率存在于状态转移矩阵内。通过以下公式(5)计算出现攻击意图Intv的机率，其中su至sj全部路径的最长路径由k＇描述:Pr(IntvSu)=Rk＇uv(5)其中，攻击路径集Path(su，sj)中，攻击想法Intv与状态sj相应，且su∈S，sj∈sf，Intv∈Int。若想判断攻击者所选用的攻击路线，可依据攻击想法Intv推算。可以不通过单一路径实现某个特定出现的威胁，因此，对全部路径的概率进行预测，能够提升安全防护性能。若意图Intv能通过l*条路线达到，即path1∈Path(su，sj)，l=1，2，．．．，l*，并通过公式(6)计算path1的机率:Pr(pathl)=∏ji=uwl(i，i+1)式中，wl(i，i+1)表示在路径path1内，状态节点互相移动的机率为设计安全的网络通信威胁防范措施，可对攻击者所设想的攻击方向进行分析，通过公式(7)规划意图Intv攻击路线的相对概率规划:Pr(pathlIntv)=Pr(pathl)/∑lPr(pathl)(7)2.2．2威胁量化算法。设对实体Entityx的某个攻击想法为Intv，该实体不仅可以是用户，还可以是服务或主机，则可通过公式(8)计算Intv对该实体的威胁值:Threat(Entityx)=Pr(Intv)·O(Intv)(8)式中，O(Intv)表示该实体的完整性、加密性以及可用程度被Intv破坏的水平。并通过公式(9)计算较多网络实体Entityx的威胁程度:Threat(Entityx)=∑x∈Xc(x)·Threat(Entityx)∑x∈Xc(x)(9)式中，x为Entityx的简化形式，c(x)为x的重要性。

3实验结果与分析

将方法应用于某企业的网络资源管理中心，智能识别该中心的网络通信威胁。由于攻击者对每条攻击路径发出的威胁有所不同，在进行威胁识别时，不同方法所识别的概率也不同，因此在通过action={name，class，time，aci}攻击行为进行模拟攻击下，选取三条路径，分别为a1与a2起始，并经历r1，a4，r3，直至a7完成的路径1，a3起始，并经历r2，a5，r3，直至a7完成的路径2，a3起始，并经历r2，a6，r4，直至a7完成的路径3，分析采用本方法在进行网络通信威胁智能识别时的路径概率，并通过文献［5］方法与文献［6］方法进行对比，根据图2(a)可知，文献［5］方法随着采样时间的上升，三条路径的识别概率上升过程较为相似，三条路径在采样时间为10h时识别概率均达到80%左右;而文献［6］方法三条路径的识别概率相差较大，这可能是由于攻击者发出的威胁在每条路径的情况下并不相同，虽然该方法的识别概率最低在20%，但最高识别概率只能达到81%，与本方法相比，文献［5］方法与文献［6］方法的识别概率都低，且本方法在路径2与路径3的识别概率能够达到98%，因此，本方法的网络通信威胁识别率较高。因为威胁到网络安全的方式类型较多，例如窃听、伪造、病毒木马和篡改等方式，采用最常见和具有普遍性的威胁类型木马分析不同方法在识别过程中不同威胁数量所产生的均方根误差，分析结果如图3表示。根据图3可知，由于威胁数量的增加，不同方法对威胁的识别能力逐渐降低，表现为对威胁的识别均方根误差逐渐上升，其中，文献［5］方法的识别均方根误差最大，在威胁数量100时均方根误差达到0.8%，而文献［6］方法的均方根误差虽然低于文献［5］方法，但依然高于本方法，在威胁数量100时均方根误差达到0.005%，而本方法在此时的均方根误差为0.0008%，始终保持在最低范围内，因此，本方法具有最小的均方根误差，能够精确识别网络通信威胁。

4结束语

提出了基于多信息融合的网络通信威胁智能识别方法，通过分析攻击图、攻击路径、攻击行为以及攻击者能力，设计威胁识别算法，对其中攻击路径进行预测，并识别攻击意图，得出网络通信威胁程度，从而实现对网络通信威胁的智能识别。可在以后研究阶段对该方法继续优化，以实现网络中多种风险与威胁的识别与控制。

作者:刘祥 杨永强 单位:中国电信股份有限公司河南分公司 河南财经政法大学计算机与信息工程学院