可信网络连接中的可信度仿真评估
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第 28 卷第 2 期 2011 年 2 月
计算机应用研究 Application Research of Computers
Vol. 28 No. 2 Feb. 2011
可信网络连接中的可信度仿真评估*
吴庆涛,郑瑞娟,华 彬,杨馨桐
( 河南科技大学 电子信息工程学院,河南 洛阳 471003)
摘 要: 可信网络连接( TNC) 是对可信平台应用的扩展,也是可信计算机制与网络接入控制机制的结合。针对
权限或管理员权限的攻击方法,其中一种典型的攻击手段就是 缓冲区溢出,而造成缓冲区溢出的大多数原因是系统或应用程 序没有对用户的输入参数进行检测。此时的连接可信度定为 0. 2。
e) 拒绝服务( DoS) 攻击是指攻击者占据了大量的系统资 源,使系统资源耗尽而无法给其他正常用户提供服务。DoS 攻 击主要是攻击者利用合理的服务请求占用系统过多的服务资 源,系统的脆弱点即使被修复或存在防护措施,也无法阻止这 些看似正常服务请求的攻击方式。DoS 攻击是目前网络攻击 中发生频率最高、对系统威胁很大却缺乏有效防护的一种攻击 行为,所以此时连接的可信度最小,定为 0. 05。
2. 1 网络连接属性指标体系
根据数据集中最能体现状态变化的属性建立了可信度评 估的指标体系,其中包括了 3 个一级指标( 单个 TCP 连接基本 特征、一次连接中的内容特征、2 s 时间内的流量特征) 和 28 个 二级指标,如表 1 ~ 3 所示。
2. 2 网络连接可信度评估值的确定
数据集的最后一维标志了正常的数据记录和攻击的类型。 目前网络攻击行为主要分为 Probing 攻击、DoS 攻击、R2L 攻击 和 U2R 攻击。下面分别对这几种类型确定可信度:
本文针对网络连接可信度的评估问题,对 KDDCup99 数据
集做了分析,以建立网络连接可信度评估的指标体系,确定可 信度评估的期望值。利用 BP 神经网络的学习、预测和高度的 非线性函数拟合能力,给出网络连接可信度评估流程,最后对 此方法进行仿真实验。
1 神经网络方法
人工神经网络是从人脑的生理结构出发来研究人的智能 行为,模拟人脑信息处理功能,具有信息存储和计算处理并行 化、自适应性、学习能力和容错性高等特点,在模式识别、信号 处理、建模、预测、系统控制等领域得到广泛应用。在建模时, 输入数据与输出数据之间为“黑箱”,通过学习可以完成输入 和输出数据之间的非线性映射。这一特点可以实现网络连接 属性值到可信度评估值的映射,从而对网络连接可信度进行定 量评估预测。 1. 1 神经网络基本理论
综上可得在各种攻击类型下网络连接可信度的评估值,如 表 4 所示,以此作为神经网络的期望输出来训练神经网络。
表 1 单个 TCP 连接的基本特征
二级指标名
指标内涵
类型
Duration
连接时间长度
连续
Src_bytes
源地址到目的地址数据流量
连续
Dst_bytes
目的地址到源地址数据流量
连续
Land 0 为其他; 1 为连接的源地址和目标地址为同一主机 离散
2 网络连接可信度评估
影响可信度评估的连接属性有很多,为了合理定量地评估 网络连接可信度,以便于在系统中及时采取相应的安全策略, 本文对网络入侵检测中经常使用的 KDDCup99 数据集[3]进行 了详细分析。
KDDCup99 数据集是从一个模拟的美国空军局域网上采 集来的 9 个星期的网络连接数据,分为有标志的训练数据和未 加标志的测试数据。训练数据集的每一条连接记录是一个 42 维的数据,其中前 41 维为网络连接的属性,最后 1 维是标志的 攻击类型。下面先对 41 维连接属性进行分析,确定可信度评 估的指标体系; 然后分析四种类型的攻击对系统运行的影响, 用一个 0 ~ 1 的数来评估系统在这四种类型攻击下的连接可 信度。
中图分类号: TP393
文献标志码: A
文章编号: 1001-3695( 2011) 02-0698-03
doi: 10. 3969 / j. issn. 1001-3695. 2011. 02. 082
Credibility evaluation of simulation for trusted network connection
收稿日期: 2010-08-09; 修回日期: 2010-09-14 基金项目: 国家自然科学基金资助项目( 61003035) ; 河南省教育厅自然科学研究计划项 目( 2009A520012) ; 河南省高等学校青年骨干教师资助计划项目( 教高[2009]844 号)
作者简介: 吴庆涛( 1975-) ,男,江西会昌人,副院长,副教授,硕导,博士,主要研究方向为网络与信息安全、智能信息处理 ( wqt8921 @ 126. com) ; 郑瑞娟( 1980-) ,女,河南获嘉人,系副主任,讲师,博士,主要研究方向为网络与信息安全、智能信息处理; 华彬( 1983-) ,男,河南南阳人,硕士 研究生,主要研究方向为网络与信息安全; 杨馨桐( 1985-) ,女,河南长垣人,硕士研究生,主要研究方向为系统与数据安全.
法,通过调整网络权值使性能函数 E 最小。
1. 2 LM 优化算法
虽然 BP 神经网络能保证网络训练的收敛,但收敛速度很 慢,容易陷入局部极小,实际操作性差。目前,已提出了各种改 进的算法[2],如动 量 改 进 算 法、模 拟 退 火 算 法、自 适 应 变 步 长 算法以及 Levenberg-Marquardt 算 法 等,以 提 高 网 络 的 训 练 效 率。LM 算法具有收敛稳定和收敛迅速的优点; 缺点是计算过 程中需要占用较大的存储空间,不太适合大型复杂问题。本文 采用基于 LM 算法的改进 BP 神经网络进行连接可信度评估。
0 引言
与日俱增的网络复杂度、系统规模和运行速度导致网络系 统的安全威胁和潜在风险层出不穷、无处不在,网络系统的安 全运行无法得到保障。传统的信息安全系统以接入终端是否 通过认证和授权来判断是否可以接入受保护的网络,对网络的 接入是否可信并没有可靠的判断依据,不能对可信程度进行准 确的评估,因而传统的方法在防御上较为被动,面对复杂的进 攻方式难以满足安全需求。
TCG( Trusted Computing Group,可信计算组织) 开创性地 提出了将可信计算机制引入网络访问控制中,研究如何对 TNC ( trusted network connection) 进行扩展,使得可信概念能够进一 步与网络相融合,并制定了可信网络连接规范,将传统的网络 安全技术与可信计算技术相结合,从终端入手构建可信网络, 将不信任的访问操作控制在源端。而可信度评估是可信网络 的重要环节,通过网络连接可信度评估,可以为网络安全防御 策略的实施提供依据。田立勤 等 人[1] 对 网 络 用 户 的 行 为 可 信 性进行了研究,利用贝叶斯网络对用户行为进行多属性条件下 的可信预测,通过风险分析与博弈分析计算出混合的纳什均衡 策略,为网络可信提供决策。当前 TNC 的研究仍停留在工程 技术方面,理论落后于工程,对于如何根据网络连接的属性对 网络的可信度进行定量化的评估,尚未见有关文献报道。
当前 TNC 研究中缺乏对网络连接进行定量评估的问题,提出了一种网络连接可信度仿真评估方法。该方法根
据网络连接属性与评估值之间存在的非线性映射关系,利用 BP 网络模型及 LM 优化算法对网络连接可信度进
行评估。仿真结果表明该方法具有较好的预测评估准确率。
关键词: 可信计算; 网络连接可信度; 神经网络; KDDCup99 数据集
第2 期
吴庆涛,等: 可信网络连接中的可信度仿真评估
·699·
神经网络性能函数为网络实际输出与期望输出之间的误
差平方和,即
m
E = ( t - y) T ( t - y)
=
∑(
i =1
ti
-
yi )
2
( 1)
其中: t 为网络期望输出向量; m 为输出层神经元的数目; y 为
实际输出向量。BP 神经网络采用优化理论中的最速下降算
Abstract: To cope with the shortage of quantitative evaluations in currently trusted network connection,this paper presented an evaluation method of network connection credibility with back propagation ( BP) model and Levenberg-Marquardt ( LM) optimization algorithm. It shows that the nonlinear relationship between the attributes and the credibility of network connections can be established by training neural-network using LM algorithm. Simulation results indicate this method an achieve high prediction and evaluation accuracy. Key words: trusted computing; network connection credibility; neural network; KDDCup99 data set
a) 对于正常的连接记录,令此时连接的可信度为 0. 95。 b) Probing 攻击是指对计算机网络或服务器进行扫描,获 取有用的系统信息及安全脆弱点等的攻击方式。探测攻击是 为了获取用于攻击的系统信息,并没有对系统造成实质性的损 害,但作为一些攻击的前奏,连接的可信度下降了。令出现此 攻击时的连接可信度为 0. 3。 c) R2L( remote to local) 攻击是指在目标主机上没有账户 的攻击者获得该主机的本地访问权限,从而对主机进行非法操 作的攻击行为。其主要手段包括 IP 欺骗和木马攻击等。令此 时的连接可信度为 0. 2。 d) U2R( user to root) 攻击是指主机上的本地用户获取 root
WU Qing-tao,ZHENG Rui-juan,HUA Bin,YANG Xin-tong
( College of Electronic & Information Engineering,Henan University of Science & Technology,Luoyang Henan 471003,China)
LMBP 神经网络在第 k + 1 步迭代调整网络权值的迭代式 如下:
w( k + 1) = w( k) -[J( k) T J( k) + μI]- 1 J( k) T[t - y( k) ] ( 2)
其中: w 表示网络权值; J 表示 Jacobian 矩阵; μ 表示参数; I 表 示单位矩阵。
1 为获得超级用户的 shell 外壳; 0 为其他
Su_attempted
1 为பைடு நூலகம்su 命令执行尝试; 0 为其他
神经网络可以看做是一个从输入到输出的高度非线性映 射,即 f: Rn →Rm 。对于样本输入 xi ( xi ∈Rn ) 和输出 yi ( yi ∈Rm ) 集合,可认为存在某一映射 g,使得 g( xi ) = yi ( i = 1,2,…,n) 成 立。现要求出一个映射 f,f 是 g 的最佳逼近。BP 神经网络通 过对简单的非线性函数进行数次复合,可以逼近任意复杂的函 数。Kolmogorov 定理( 即映射网络存在定理) 保证任意连续函 数可由一个三层前向网络实现。
Wrong_fragment
错误碎片数目
连续
Urgent
紧迫数据包个数
连续
表 2 一次连接中的内容特征
二级指标名
指标内涵
Hot
热点指标数目
Num_failed_logins
企图登录失败次数
Logged_in
1 为登录成功; 0 为其他
Num_compromised
收到威胁状态的次数
Root_shell
计算机应用研究 Application Research of Computers
Vol. 28 No. 2 Feb. 2011
可信网络连接中的可信度仿真评估*
吴庆涛,郑瑞娟,华 彬,杨馨桐
( 河南科技大学 电子信息工程学院,河南 洛阳 471003)
摘 要: 可信网络连接( TNC) 是对可信平台应用的扩展,也是可信计算机制与网络接入控制机制的结合。针对
权限或管理员权限的攻击方法,其中一种典型的攻击手段就是 缓冲区溢出,而造成缓冲区溢出的大多数原因是系统或应用程 序没有对用户的输入参数进行检测。此时的连接可信度定为 0. 2。
e) 拒绝服务( DoS) 攻击是指攻击者占据了大量的系统资 源,使系统资源耗尽而无法给其他正常用户提供服务。DoS 攻 击主要是攻击者利用合理的服务请求占用系统过多的服务资 源,系统的脆弱点即使被修复或存在防护措施,也无法阻止这 些看似正常服务请求的攻击方式。DoS 攻击是目前网络攻击 中发生频率最高、对系统威胁很大却缺乏有效防护的一种攻击 行为,所以此时连接的可信度最小,定为 0. 05。
2. 1 网络连接属性指标体系
根据数据集中最能体现状态变化的属性建立了可信度评 估的指标体系,其中包括了 3 个一级指标( 单个 TCP 连接基本 特征、一次连接中的内容特征、2 s 时间内的流量特征) 和 28 个 二级指标,如表 1 ~ 3 所示。
2. 2 网络连接可信度评估值的确定
数据集的最后一维标志了正常的数据记录和攻击的类型。 目前网络攻击行为主要分为 Probing 攻击、DoS 攻击、R2L 攻击 和 U2R 攻击。下面分别对这几种类型确定可信度:
本文针对网络连接可信度的评估问题,对 KDDCup99 数据
集做了分析,以建立网络连接可信度评估的指标体系,确定可 信度评估的期望值。利用 BP 神经网络的学习、预测和高度的 非线性函数拟合能力,给出网络连接可信度评估流程,最后对 此方法进行仿真实验。
1 神经网络方法
人工神经网络是从人脑的生理结构出发来研究人的智能 行为,模拟人脑信息处理功能,具有信息存储和计算处理并行 化、自适应性、学习能力和容错性高等特点,在模式识别、信号 处理、建模、预测、系统控制等领域得到广泛应用。在建模时, 输入数据与输出数据之间为“黑箱”,通过学习可以完成输入 和输出数据之间的非线性映射。这一特点可以实现网络连接 属性值到可信度评估值的映射,从而对网络连接可信度进行定 量评估预测。 1. 1 神经网络基本理论
综上可得在各种攻击类型下网络连接可信度的评估值,如 表 4 所示,以此作为神经网络的期望输出来训练神经网络。
表 1 单个 TCP 连接的基本特征
二级指标名
指标内涵
类型
Duration
连接时间长度
连续
Src_bytes
源地址到目的地址数据流量
连续
Dst_bytes
目的地址到源地址数据流量
连续
Land 0 为其他; 1 为连接的源地址和目标地址为同一主机 离散
2 网络连接可信度评估
影响可信度评估的连接属性有很多,为了合理定量地评估 网络连接可信度,以便于在系统中及时采取相应的安全策略, 本文对网络入侵检测中经常使用的 KDDCup99 数据集[3]进行 了详细分析。
KDDCup99 数据集是从一个模拟的美国空军局域网上采 集来的 9 个星期的网络连接数据,分为有标志的训练数据和未 加标志的测试数据。训练数据集的每一条连接记录是一个 42 维的数据,其中前 41 维为网络连接的属性,最后 1 维是标志的 攻击类型。下面先对 41 维连接属性进行分析,确定可信度评 估的指标体系; 然后分析四种类型的攻击对系统运行的影响, 用一个 0 ~ 1 的数来评估系统在这四种类型攻击下的连接可 信度。
中图分类号: TP393
文献标志码: A
文章编号: 1001-3695( 2011) 02-0698-03
doi: 10. 3969 / j. issn. 1001-3695. 2011. 02. 082
Credibility evaluation of simulation for trusted network connection
收稿日期: 2010-08-09; 修回日期: 2010-09-14 基金项目: 国家自然科学基金资助项目( 61003035) ; 河南省教育厅自然科学研究计划项 目( 2009A520012) ; 河南省高等学校青年骨干教师资助计划项目( 教高[2009]844 号)
作者简介: 吴庆涛( 1975-) ,男,江西会昌人,副院长,副教授,硕导,博士,主要研究方向为网络与信息安全、智能信息处理 ( wqt8921 @ 126. com) ; 郑瑞娟( 1980-) ,女,河南获嘉人,系副主任,讲师,博士,主要研究方向为网络与信息安全、智能信息处理; 华彬( 1983-) ,男,河南南阳人,硕士 研究生,主要研究方向为网络与信息安全; 杨馨桐( 1985-) ,女,河南长垣人,硕士研究生,主要研究方向为系统与数据安全.
法,通过调整网络权值使性能函数 E 最小。
1. 2 LM 优化算法
虽然 BP 神经网络能保证网络训练的收敛,但收敛速度很 慢,容易陷入局部极小,实际操作性差。目前,已提出了各种改 进的算法[2],如动 量 改 进 算 法、模 拟 退 火 算 法、自 适 应 变 步 长 算法以及 Levenberg-Marquardt 算 法 等,以 提 高 网 络 的 训 练 效 率。LM 算法具有收敛稳定和收敛迅速的优点; 缺点是计算过 程中需要占用较大的存储空间,不太适合大型复杂问题。本文 采用基于 LM 算法的改进 BP 神经网络进行连接可信度评估。
0 引言
与日俱增的网络复杂度、系统规模和运行速度导致网络系 统的安全威胁和潜在风险层出不穷、无处不在,网络系统的安 全运行无法得到保障。传统的信息安全系统以接入终端是否 通过认证和授权来判断是否可以接入受保护的网络,对网络的 接入是否可信并没有可靠的判断依据,不能对可信程度进行准 确的评估,因而传统的方法在防御上较为被动,面对复杂的进 攻方式难以满足安全需求。
TCG( Trusted Computing Group,可信计算组织) 开创性地 提出了将可信计算机制引入网络访问控制中,研究如何对 TNC ( trusted network connection) 进行扩展,使得可信概念能够进一 步与网络相融合,并制定了可信网络连接规范,将传统的网络 安全技术与可信计算技术相结合,从终端入手构建可信网络, 将不信任的访问操作控制在源端。而可信度评估是可信网络 的重要环节,通过网络连接可信度评估,可以为网络安全防御 策略的实施提供依据。田立勤 等 人[1] 对 网 络 用 户 的 行 为 可 信 性进行了研究,利用贝叶斯网络对用户行为进行多属性条件下 的可信预测,通过风险分析与博弈分析计算出混合的纳什均衡 策略,为网络可信提供决策。当前 TNC 的研究仍停留在工程 技术方面,理论落后于工程,对于如何根据网络连接的属性对 网络的可信度进行定量化的评估,尚未见有关文献报道。
当前 TNC 研究中缺乏对网络连接进行定量评估的问题,提出了一种网络连接可信度仿真评估方法。该方法根
据网络连接属性与评估值之间存在的非线性映射关系,利用 BP 网络模型及 LM 优化算法对网络连接可信度进
行评估。仿真结果表明该方法具有较好的预测评估准确率。
关键词: 可信计算; 网络连接可信度; 神经网络; KDDCup99 数据集
第2 期
吴庆涛,等: 可信网络连接中的可信度仿真评估
·699·
神经网络性能函数为网络实际输出与期望输出之间的误
差平方和,即
m
E = ( t - y) T ( t - y)
=
∑(
i =1
ti
-
yi )
2
( 1)
其中: t 为网络期望输出向量; m 为输出层神经元的数目; y 为
实际输出向量。BP 神经网络采用优化理论中的最速下降算
Abstract: To cope with the shortage of quantitative evaluations in currently trusted network connection,this paper presented an evaluation method of network connection credibility with back propagation ( BP) model and Levenberg-Marquardt ( LM) optimization algorithm. It shows that the nonlinear relationship between the attributes and the credibility of network connections can be established by training neural-network using LM algorithm. Simulation results indicate this method an achieve high prediction and evaluation accuracy. Key words: trusted computing; network connection credibility; neural network; KDDCup99 data set
a) 对于正常的连接记录,令此时连接的可信度为 0. 95。 b) Probing 攻击是指对计算机网络或服务器进行扫描,获 取有用的系统信息及安全脆弱点等的攻击方式。探测攻击是 为了获取用于攻击的系统信息,并没有对系统造成实质性的损 害,但作为一些攻击的前奏,连接的可信度下降了。令出现此 攻击时的连接可信度为 0. 3。 c) R2L( remote to local) 攻击是指在目标主机上没有账户 的攻击者获得该主机的本地访问权限,从而对主机进行非法操 作的攻击行为。其主要手段包括 IP 欺骗和木马攻击等。令此 时的连接可信度为 0. 2。 d) U2R( user to root) 攻击是指主机上的本地用户获取 root
WU Qing-tao,ZHENG Rui-juan,HUA Bin,YANG Xin-tong
( College of Electronic & Information Engineering,Henan University of Science & Technology,Luoyang Henan 471003,China)
LMBP 神经网络在第 k + 1 步迭代调整网络权值的迭代式 如下:
w( k + 1) = w( k) -[J( k) T J( k) + μI]- 1 J( k) T[t - y( k) ] ( 2)
其中: w 表示网络权值; J 表示 Jacobian 矩阵; μ 表示参数; I 表 示单位矩阵。
1 为获得超级用户的 shell 外壳; 0 为其他
Su_attempted
1 为பைடு நூலகம்su 命令执行尝试; 0 为其他
神经网络可以看做是一个从输入到输出的高度非线性映 射,即 f: Rn →Rm 。对于样本输入 xi ( xi ∈Rn ) 和输出 yi ( yi ∈Rm ) 集合,可认为存在某一映射 g,使得 g( xi ) = yi ( i = 1,2,…,n) 成 立。现要求出一个映射 f,f 是 g 的最佳逼近。BP 神经网络通 过对简单的非线性函数进行数次复合,可以逼近任意复杂的函 数。Kolmogorov 定理( 即映射网络存在定理) 保证任意连续函 数可由一个三层前向网络实现。
Wrong_fragment
错误碎片数目
连续
Urgent
紧迫数据包个数
连续
表 2 一次连接中的内容特征
二级指标名
指标内涵
Hot
热点指标数目
Num_failed_logins
企图登录失败次数
Logged_in
1 为登录成功; 0 为其他
Num_compromised
收到威胁状态的次数
Root_shell