基于时间因子的网络安全态势评估系统设计_李果.pdf

146 信息：技术与应用信息记录材料 2022年12月 第23卷第12期 0 引言为了保障网络环境的安全，网络安全态势评估相关研究成为了备受关注的内容之一1。现阶段，对于网络安全态势的分析主要是从网络攻击的作用方式以及作用对象方面实现的2，这种方法虽然提高了分析结果的可靠性，但是需要大量的基础数据，前期工作量较大3。除此之外，受网络攻击自身强度以及隐蔽性的影响4，网络遭受到攻击后的响应强度也不同5，当这种强度接近网络噪声的作用强度时，极易导致最终的评估结果与实际情况存在较大偏差6。针对网络安全态势评估的研究，杨宏宇等7通过提取网络的并行运行特征，将其输入到改进后的 BiGRU中，实现了对网络安全态势的有效评估，但是这种评估方式在稳定性上表现出了一定的不足。熊中浩等8借助 DBN（Deep Belief Network，深度信念网络）的特征分析优势，实现对网络安全态势的评估，并构建了态势预测模型，在一定程度上提高了评估结果的可靠性，但是对于攻击流量的敏感性还存在一定的提升空间。在上述基础上，本文充分考虑了攻击流量对于网络时延参数的影响，在引入时间因子的基础上，设计了一种网络安全态势评估系统，以 MYC-CZU5EV 核心板作为系统硬件装置，具有存储量大、运行速度快以及可靠性高的性能，在一定程度上可以保障系统的安全与稳定运行。试验测试验证了所设计系统的应用价值，为相同领域的持续研究提供一定的参考与借鉴。1 硬件设计为了确保系统能够实现快速分析网络运行状态信息，提高安全态势评估准确性9，本文选用 MYC-CZU5EV 核心板作为系统硬件。作为一种基于 XILINXMPSoC 全可编程处理器的核心板，MYC-CZU5EV 搭载了 4 核 Cortex-A53（Upto1.5 GHz），并配置了 FPGA+GPU+VideoCodec。不仅如此，MYC-CZU5EV 还搭载了 4 GB 的 DDR4 SDRAM（64 bit，2 400 MHz），通过分布式存储方式为系统应对复杂网络状态数据运算提供可靠支持。借助板载的千兆以太网 PHY 和USB PHY，MYC-CZU5EV 可以较快实现高速互联，确保安全态势评估的时效性，最大限度满足网络安全状态评估需求。图 1 为 MYC-CZU5EV 的接口设置，具体运行参数设置如表 1所示。xilinx标准LP FMC接口HDMI接口CAN接口图 1 MYC-CZU5EV 接口设置表 1 MYC-CZU5EV 运行参数设置指标参数指标参数处理器型号XCZU5EV视频编解码器H.264/H.265ARM 内核ARM Cortex-A53*4PL PCIe Gen34速度等级2（1 333 MHz）PL GTH 收发器12.5 Gb/s*4FPGA 逻辑单元256 kFLASH4GB eMMC触发器234 K128 MB QSPI，64 MB*2查找表117 KPHYGigabit PHY*1Block RAM5.1 MbUSB 2.0 PHY*1乘法器1 248WDTExt WDT*1MYC-CZU5EV 运行参数设置具体步骤为：首先，利用FPGA 逻辑单元设计网络时延参数最小单元，使网络运行状态信息分析逻辑更为紧密，为后续触发器转换提供数据支撑；其次，通过触发器转换 MySQL 基础数据库中的网络基于时间因子的网络安全态势评估系统设计李 果（湖南信息职业技术学院 湖南 长沙 410200）【摘要】受噪声因素的影响，传统方法对网络安全攻击识别与评估的灵敏度较低，对应的安全态势评估结果与实际情况存在一定差异。为此，本文设计了一种基于时间因子的网络安全态势评估系统。利用高性能的 MYC-CZU5EV 核心板作为系统的硬件装置，在软件设计阶段，引入时间因子分析时延参数的波动程度，以此确定网络安全态势的评估模式。当分析结果为噪声扰动模式时，直接利用时延波动幅度计算对应的安全态势值；当分析结果为网络攻击模式时，通过叠加当前网络状态与攻击作用计算得到对应的安全态势值。测试结果表明，所设计系统对安全态势评估结果与实际值具有较高的拟合度。【关键词】时间因子；网络安全态势；核心板；时延参数；评估模式；安全态势值【中图分类号】TP309 【文献标识码】A 【文章编号】1009-5624（2022）12-0146-03DOI:10.16009/13-1295/tq.2022.12.065 147信息：技术与应用信息记录材料 2022年12月 第23卷第12期 运行数据，确保系统信息数据存储的安全性；再次，将转换后的网络运行数据按照查找表的方式设定成数组形式，提高算法计算能力，减少后续状态文本预处理工作量，能够有效提高查询速率；之后，将数组输入至Block RAM中，采用伪双口 RAM 实现高频时钟输出，预处理网络运行状态文本；最后，根据网络运行状态对乘法器进行二进制数相乘设定，模拟网络多路数据运行信号，减轻服务器端的压力。通过 MYC-CZU5EV 的高效运行，可以实现网络多路数据信息的并行交互，有效提升安全态势评估的稳定性，为后续安全态势评估提供可靠支撑。2 软件设计在完成对系统硬件设计后，在不断强化系统硬件性能的基础上，对软件进行改造研究。根据时间因子参数计算网络时延参数，分析网络攻击作用强度，确定网络安全态势评估模式。通过计算网络实际时延与理想值的差异，完成网络安全态势评估。2.1 基于时间因子的网络状态分析在对网络安全态势进行评估时，不仅需要分析当前网络基础运行状态，还需要充分考虑网络攻击作用强度10-11。为此，本文在设计网络安全状态评估系统软件阶段，通过设置时间因子参数的方式分析网络运行状态。假设在任意时刻 t，网络的传输时延为 a，那么稳态模式下的网络状态为()(1)a ta t+（1）其中，表示网络时序状态允许时延波动阈值，()a t和(1)a t+表示连续时间序列下网络的时延参数。将式（1）作为 MYC-CZU5EV 实施网络状态划分基准，当输入到 MYC-CZU5EV 中的数据满足式（1）时，则按照噪声扰动模式实施网络安全态势评估；当输入到 MYC-CZU5EV 中的数据不满足式（1）时，则按照网络攻击模式实施网络安全态势评估。2.2 网络安全态势计算按照2.1节所示的方式确定网络安全态势评估模式后，本文按照安全程度为 100%状态下的安全态势值为 1 的条件完成网络安全态势计算。当数据处理过程为噪声扰动模式时，直接利用实际时延与理想值之间的差异实现网络安全态势计算，对应的计算方式可以表示为()(1)1(1)a ta tk+=（2）其中，k表示噪声扰动模式下的网络安全态势值。当数据处理过程处于网络攻击模式时，网络安全态势计算需要综合考虑当前网络运行实际状态和攻击流量情况，对应的计算方式可以表示为2()(1)1(1()a ta tk+=（3）按照模式计算的方式，实现网络安全态势准确评估。但是需要注意的是，不同网络的实际运行指标参数设置具有一定差异性，为了避免出现由于网络攻击强度较低导致评估模式分析异常的情况，需要对时间因子尺度单元进行适应性调节，以此确保评估结果的准确性。3 应用测试与分析为了有效验证本文设计的基于时间因子的网络安全态势评估系统应用效果，本文在测试环境中对其展开测试分析，并设置了以杨宏宇等7建立在并行特征提取和改进BiGR 基础上的评估方法，熊中浩等8以 DBN 为基础的评估方法为核心的对照组。通过分析三种不同方法对于网络安全态势的评估结果，验证本文设计系统的应用价值和有效性。3.1 测试环境设置通过仿真的形式对设计系统的应用效果进行测试阶段，对应的测试环境为 3.00 GHz Core(TM)2 Duo CPU，内存大小为 6.00 G，搭载的操作系统为 Ubuntu12.10，使用的仿真工具为 Mininet 2.0.5。在此基础上，为了最大限度确保模拟环境与实际网络环境相近，利用 POX 0.1.0 实现对整个网络的控制。对于安全攻击的生成，本文借助了Scapy，利用其在测试环境中导入背景流量，实现对不同网络攻击的模拟。对于测试具体网络拓扑结构的设置，本文利用 SDN 控制器实现对整个网络的控制，并构建包含 6个 Switch 的转发面。在此基础上，网络的链路带宽可以达到 10 Mbps。Switch 不同连接段之间的背景数据交互形成信息流，对应的发送速率分为 1 200 pps、1 000 pps、800 pps 和 200 pps。考虑到在攻击状态下网络中会存在一定的噪声，并且具有较为明显的随机性，本文通过建立发送源 IP 地址和端口号的变化属性实现模拟。在 Switch 中输入不同的速率的攻击数据流，并测试相应条件下网络的安全状态。将所设计的方法与杨宏宇等7提出的改进BiGRU 评估方法（以下简称改进 BiGRU 评估方法）及熊中浩等8提出的 DBN 评估方法作为对比方法（以下简称 DBN评估方法），测试不同方法得到的实验结果。3.2 测试结果与分析在上述基础上，本文分别在测试进行的第 20 s、40 s、60 s 以及 80 s 按照 1 200 pps、1 000 pps、800 pps和 200 pps 的速率，向仿真网络环境中输入攻击流量，对应的持续时间均为 0.5 s。以此为基础，统计不同评估方法的评估结果，得到的数据信息如图 2 所示。148 信息：技术与应用信息记录材料 2022年12月 第23卷第12期 10203040506070800.20.10.30.40.50.60.70.80.91.0安全态势值时间/s改进BiGR评估方法DBN评估方法本文设计评估系统图 2 网络安全态势评估结果对比图对图 2 中的数据进行分析可以看出，三种评估方法均能够实现对网络安全攻击下对应安全态势波动的分析，但是结合本文设置的攻击流量速率，实施在 20 s、40 s、60 s 以及 80 s 的攻击强度逐渐减弱，相应时刻的网络安全态势值也是以逐渐增加的形式存在。以此为基础对三种方法的评估结果进行分析，其中改进 BiGR 评估方法对 20 s和 40 s 的网络安全态势呈现出与实验设置相反的特征，对于 60 s 和 80 s 的评估结果发展趋势与实验设置一致。DBN 评估方法对于 20 s 和 40 s 的评估结果并未表现出明显的差异，虽然对于 60 s 的安全态势值评估结果体现了攻击强度的变化，但是 80 s 时刻的评估结果也同样存在趋势分析偏差的问题。相比之下，本文设计系统的评估结果中，对应 20 s、40 s、60 s 以及 80 s 的安全态势值表现出了明显的递增趋势，这与实验设置具有较高的一致性。测试结果表明，本文设计的基于时间因子的网络安全态势评估系统可以实现对不同攻击强度下网络安全状态发展趋势的有效评估。在此基础上，为了进一步分析评估结果与网络实际安全状态之间的关系，借助 Mininet 2.0.5 计算了在不同攻击流量下网络的安全态势值，并与三种方法对应的评估结果进行比较，得到的数据结果如表 2 所示。表 2 安全态势值评估数据对比表时间/s 设计值 改进 BiGR 评估方法 DBN 评估方法 本文设计评估系统200.400.410.330.39400.500.320.360.52600.600.560.480.61800.700.670.470.69对表 2 中的数据进行分析可以发现，三种方法对于网络安全态势值的评估结果均与实际值存在一定的偏差，但是对应的偏差程度存在较为明显的差异。其中，改进 BiGR评估方法的最小误差仅为0.01，但是最大值达到了0.08，稳定性有待提升。DBN评估方法误差的最大值达到了0.23，准确性存在一定的提升空间。相比之下，本文设计系统的评估结果与实际安全态势值之间的误差最小，且具有较高的稳定性，始终稳定在 0.03 以内。测试结果表明，本文设计的基于时间因子的网络安全态势评估系统能够实现对网络安全状态的准确分析，具有可靠的应用效果。3 结语信息技术的发展在促进网络应用范围不断扩大的同时，也带来了相应的安全管理问题