《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 基于綜合加權(quán)的層次化網(wǎng)絡(luò)安全態(tài)勢評估方法
基于綜合加權(quán)的層次化網(wǎng)絡(luò)安全態(tài)勢評估方法
2015年微型機與應(yīng)用第21期
姜旭煒,,文志誠,,鄧勇杰
(湖南工業(yè)大學(xué) 計算機與通信學(xué)院,湖南 株洲 412007)
摘要: 針對網(wǎng)絡(luò)安全態(tài)勢評估中權(quán)值計算過于依賴專家經(jīng)驗,,忽略了客觀因子對態(tài)勢決策結(jié)果的影響的現(xiàn)狀,,提出了一種綜合加權(quán)的層次化網(wǎng)絡(luò)安全態(tài)勢評估方法;依據(jù)該指標體系綜合賦權(quán),,由層次分析法計算主觀權(quán)值和粗糙集方法計算客觀權(quán)值,,聯(lián)合兩種權(quán)值得到綜合權(quán)值,并結(jié)合了因子加權(quán)求和法來綜合分析當前網(wǎng)絡(luò)安全態(tài)勢狀況,。實驗表明該方法切實可行,,能更客觀、準確地分析網(wǎng)絡(luò)安全狀況,。
Abstract:
Key words :

  摘  要: 針對網(wǎng)絡(luò)安全態(tài)勢評估中權(quán)值計算過于依賴專家經(jīng)驗,,忽略了客觀因子對態(tài)勢決策結(jié)果的影響的現(xiàn)狀,提出了一種綜合加權(quán)的層次化網(wǎng)絡(luò)安全態(tài)勢評估方法,;依據(jù)該指標體系綜合賦權(quán),,由層次分析法計算主觀權(quán)值和粗糙集方法計算客觀權(quán)值,聯(lián)合兩種權(quán)值得到綜合權(quán)值,,并結(jié)合了因子加權(quán)求和法來綜合分析當前網(wǎng)絡(luò)安全態(tài)勢狀況,。實驗表明該方法切實可行,,能更客觀、準確地分析網(wǎng)絡(luò)安全狀況,。

  關(guān)鍵詞: 態(tài)勢評估,;粗糙集,;層次分析法,;因子加權(quán)求和法

0 引言

  網(wǎng)絡(luò)安全態(tài)勢感知[1](Network Security Situation Awareness,NSSA)是指在現(xiàn)實的網(wǎng)絡(luò)環(huán)境中,,在一定時間和空間內(nèi),,對能引起網(wǎng)絡(luò)安全態(tài)勢發(fā)生變化的外界因素進行提取、評估以及對未來的變化趨勢進行預(yù)測,。1999年,,T.Bass[2]首次提出網(wǎng)絡(luò)安全態(tài)勢感知的概念,并采用JDL融合處理模型,,把數(shù)據(jù)融合技術(shù)引入態(tài)勢感知領(lǐng)域,。

  網(wǎng)絡(luò)安全態(tài)勢評估是網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)中的核心與重點,目前國內(nèi)外提出了許多種關(guān)于網(wǎng)絡(luò)安全態(tài)勢評估方法,。面對大規(guī)模巨型網(wǎng)絡(luò),,層次化結(jié)構(gòu)和權(quán)重相結(jié)合的方法是最常見的態(tài)勢評估方法,陳秀珍[3]采用自下而上,、先局部后整體的層次化威脅態(tài)勢評估模型,,逐層對攻擊、服務(wù)和主機的權(quán)重進行加權(quán)計算,,分析網(wǎng)絡(luò)安全狀況,;韋勇[4]根據(jù)權(quán)重分析逐層計算節(jié)點態(tài)勢,利用實際性能信息修正節(jié)點態(tài)勢值,,進一步分析網(wǎng)絡(luò)安全態(tài)勢,。通過權(quán)重分析來評估網(wǎng)絡(luò)安全態(tài)勢的方法還有很多,但大都存在如下缺陷:(1)權(quán)值的選取主觀任意性強,,主要依賴于專家的經(jīng)驗,,缺乏客觀的依據(jù);(2)指標體系過于龐大和冗余性高,,導(dǎo)致評估結(jié)果精度低,;(3)態(tài)勢指標和權(quán)值一般都是靜態(tài)的,難以勝任動態(tài)網(wǎng)絡(luò)分析,。

  為了動態(tài)完整地描述網(wǎng)絡(luò)的安全狀況,,提出了一種基于綜合加權(quán)的網(wǎng)絡(luò)安全態(tài)勢評估方法,通過層次分析法得到主觀權(quán)值,,通過粗糙集方法得到客觀權(quán)值,,將二者相結(jié)合得到綜合態(tài)勢權(quán)值,,并通過因子加權(quán)函數(shù)融合來計算網(wǎng)絡(luò)安全態(tài)勢值。該方法既利用了層次分析思想構(gòu)建層次化網(wǎng)絡(luò)安全態(tài)勢指標體系,,又結(jié)合了粗糙集理論的除冗,、除維和處理模糊性不確定信息的能力,結(jié)合了兩者的優(yōu)點,,精簡了網(wǎng)絡(luò)安全態(tài)勢指標,,提高了對網(wǎng)絡(luò)安全態(tài)勢分析的準確性。

1 相關(guān)基礎(chǔ)知識

  1.1 層次分析法[5-6]

  層次分析法(Analytic Hierarchy Process,,AHP)在20世紀70年代由美國著名運籌學(xué)家T.L.Satty等人提出,。此方法是一種以專家的專業(yè)判斷經(jīng)驗為依據(jù),將某個復(fù)雜的問題分解成若干層次,,并采用定性,、定量相結(jié)合方法確定權(quán)重的量化決策與評價方法。AHP要經(jīng)過如下4個步驟:

 ?。?)構(gòu)建層次化評估結(jié)構(gòu),;

  (2)構(gòu)造判斷矩陣,;

 ?。?)層次單排序及一致性檢驗;

 ?。?)層次總排序及一致性檢驗,。

  這一過程是從高層到低層逐步進行的,最終得到最低方案層因素對最高目標層的權(quán)重,。

  1.2 粗糙集理論[7-8]

  粗糙集理論(Rough Set Theory,,RST)是波蘭數(shù)學(xué)家Z.Pawlak教授提出的一種新型的處理模糊和不確定性知識的數(shù)學(xué)工具,其主要特點是其在保持信息系統(tǒng)分類能力不變的前提下進行知識約簡,,最終導(dǎo)出問題分類的決策或分類規(guī)則,。

  設(shè)s=(U,R,,V,,f)為一個知識表達系統(tǒng),其中:論域U={x1,,x2,,x3,…,,xn}為非空有限集,;R為非空屬性集合,R包括條件屬性C和結(jié)果屬性D,即C∪D=R,;V為屬性a∈R的值域,;f:U×R→V為一個單射信息函數(shù),指定論域中任一個元素的屬性值,。

  定義1 設(shè)XOPR6(([``MC%H6IM)[KS~[H.jpgU且X∈U,,決策屬性D對條件屬性C的依賴度定義:S@4[JP66W}6Q@~JS}2HGC]V.jpg

  定義2 若屬性a∈C,,則屬性a對決策屬性D的屬性重要性定義為:SGF(a,,C,D)=XK8V%[_O`{NO60RE0KH6XZI.jpg(C,,D)-XK8V%[_O`{NO60RE0KH6XZI.jpg(C-{a},,D);其中XK8V%[_O`{NO60RE0KH6XZI.jpg(C-{a},,D)為在C屬性中缺少屬性a后,條件屬性對決策屬性的重要程度,。

  定義3 若a∈p且POS(P-{a})(D)=POS(p)(D),,則表示在p中屬性a是不必要的,否則表示在p中a是必要的,。若a∈p都是必要的,,則表示P獨立,否則表示P是依賴的,。

  由以上相關(guān)粗糙集定義1,、2可求得屬性重要性:

  1.png

  在此基礎(chǔ)上將各個屬性進行歸一化處理得到客觀權(quán)重:

  2.png

2 基于RS-AHP的網(wǎng)絡(luò)安全態(tài)勢評估模型

  在網(wǎng)絡(luò)安全數(shù)據(jù)中存在著大量不確定、冗余性數(shù)據(jù),,給態(tài)勢評估造成了嚴重的影響,;同時在安全數(shù)據(jù)中存在的定性成分和定量成分導(dǎo)致難以用單一的評估方法進行精確的量化。傳統(tǒng)的層次化分析法又存在其本身的缺陷[9],,直接通過兩兩逐對比較形成的判斷矩陣也會影響到評估的結(jié)果,。為了得到更加合理的評估效果,本文采用層次化分析法和粗糙集理論相結(jié)合的方法,,利用定性和定量的結(jié)合來降低構(gòu)造判斷矩陣的主觀性,,使得評估結(jié)果更準確。其評估結(jié)構(gòu)框架如圖1,。

001.jpg

  2.1 層次化態(tài)勢指標體系篩選

  在實際的大規(guī)模網(wǎng)絡(luò)中,,主要的數(shù)據(jù)來源可以分為3類:運行相關(guān)信息、配置相關(guān)信息和IDS系統(tǒng)日志庫信息[10],。不同的數(shù)據(jù)由不同的指標來決定,,研究相關(guān)信息對網(wǎng)絡(luò)安全態(tài)勢的影響就需要采用相關(guān)的指標體系。

002.jpg

  本文采用層次分析法分析層與層之間、指標之間的相對關(guān)系,,以構(gòu)建如圖2所示的態(tài)勢指標體系,。

  態(tài)勢指標體系的建立是網(wǎng)絡(luò)安全態(tài)勢評估的核心,在實際大網(wǎng)絡(luò)中,,存在著眾多相互沖突,、非確定性的觀測指標。各指標對評估結(jié)果的作用也存在較大差異,。能否建立科學(xué),、合理的指標體系直接關(guān)系到能否準確分析網(wǎng)絡(luò)安全態(tài)勢狀況,如果選擇的指標過多,,會增加評估過程中不必要的干擾,;反之,則不能全面,、準確地分析態(tài)勢狀況,。

  粗糙集理論在態(tài)勢因子選取方面擁有獨特的優(yōu)勢[11],網(wǎng)絡(luò)安全態(tài)勢評估指標體系與權(quán)值的構(gòu)建和調(diào)整依賴于對網(wǎng)絡(luò)數(shù)據(jù)的關(guān)聯(lián)性分析,,而通過計算粗糙集理論中的屬性重要度能在不失去數(shù)據(jù)原有價值的基礎(chǔ)上選擇最小的屬性子集,,去除不相關(guān)的、冗余的和高維的屬性,,從而完成對網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)的關(guān)聯(lián)性分析[12],。

  根據(jù)定義1和定義2,利用粗糙集理論中的比較屬性依賴度,,來衡量條件屬性對決策的重要性,,剔除對網(wǎng)絡(luò)安全態(tài)勢評估作用小的指標。

  2.2 綜合態(tài)勢權(quán)重的計算

  本文提出一種綜合性的網(wǎng)絡(luò)安全態(tài)勢權(quán)重方法,,借助于經(jīng)驗因子方法[13]對主客觀權(quán)值進行融合,,將主觀態(tài)勢權(quán)重和客觀態(tài)勢權(quán)重綜合起來抽象為一個最優(yōu)解問題,通過求解該最優(yōu)化問題模型得到唯一的一個最優(yōu)解:

  3.jpg

  通過經(jīng)驗因子融合權(quán)值法,,u一般取值范圍為[0,,0.5],根據(jù)專家相關(guān)經(jīng)驗和具體實際決策因子進行衡量取值,。如果邀請的相關(guān)專家的專業(yè)認識和經(jīng)驗不足,,則應(yīng)降低主觀權(quán)值的重要度,提高相應(yīng)的客觀權(quán)值的重要度,;反之,,若專家經(jīng)驗足夠,且認為數(shù)據(jù)源的可靠性不高或?qū)嶋H態(tài)勢因子可行性低,,則相應(yīng)地增加u的值,。

  2.3 網(wǎng)絡(luò)安全態(tài)勢量化

  態(tài)勢評估是對當前安全態(tài)勢的一種動態(tài)理解過程,,反映當前網(wǎng)絡(luò)的安全狀況。本文致力于研究態(tài)勢值計算中的指標權(quán)值,,通過因子加權(quán)函數(shù)[14]的融合,,提高網(wǎng)絡(luò)安全態(tài)勢量化結(jié)果的準確性。

  定義4 網(wǎng)絡(luò)安全態(tài)勢指數(shù):是對某一個時間周期(一般不短于24 h)中影響網(wǎng)絡(luò)安全態(tài)勢變化的各個因素(如基礎(chǔ)運行性,、脆弱性和威脅性)采用綜合加權(quán)的方法進行綜合量化而得到一種能反映當前網(wǎng)絡(luò)安全態(tài)勢的數(shù)值,。

  Evaluate=wB1f1+wB2f2+wB3f3(4)

  定義5 網(wǎng)絡(luò)脆弱指數(shù):是對某個時間周期中影響脆弱性的各個二級指標進行因子加權(quán)融合得到的數(shù)值。其他威脅性指數(shù)和基礎(chǔ)運行指數(shù)的形成與之類似,,都是通過相應(yīng)的因子加權(quán)融合而成,。

  1CVU`255W])5_{MC]H55IA3.png

  以上三式中,?琢i,,λi,,δi,w1,,w2,,w3都代表相應(yīng)的權(quán)值系數(shù);xi,,yi,,zi分別表示各個指標對應(yīng)的態(tài)勢因子值。

3 實驗結(jié)果及分析

  3.1 實驗環(huán)境的搭建

  為了驗證本文提出的基于綜合加權(quán)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法的合理性與正確性,,本文搭建由主機、路由器,、交換機,、防火墻、漏洞掃描,、入侵檢測snort等設(shè)備組成實驗環(huán)境,。實驗數(shù)據(jù)主要來源于Snort攻擊信息、Netflow數(shù)據(jù)流信息,、主機的Nessus漏洞掃描信息,、Firewall日志信息、IDS入侵檢測日志信息,。在實驗中,,當正常網(wǎng)絡(luò)遭到各類惡意攻擊流量注入時,從各網(wǎng)絡(luò)節(jié)點獲取實驗所需的異常數(shù)據(jù),,并在MATLAB7.0平臺下搭建網(wǎng)絡(luò)安全態(tài)勢評估模型,,進行仿真實驗;當采集的態(tài)勢數(shù)據(jù)為大樣本數(shù)據(jù)時,,對數(shù)據(jù)進行等距離離散法[14]和無量綱歸一化IS%L$VF17[]W)J3E7W}N[VI.png處理,,得到實驗所需的在[0,1]之間的規(guī)范化數(shù)據(jù)。

  3.2 綜合指標權(quán)值處理過程

  3.2.1 主觀權(quán)值計算

  基于層次分析法的主觀權(quán)重賦值主要依賴專家經(jīng)驗對實際環(huán)境的考察和總結(jié),。本文邀請多名專家對網(wǎng)絡(luò)各個屬性進行了綜合評價,,得到一致性結(jié)論:基礎(chǔ)運行性是網(wǎng)絡(luò)安全運行的特征,其地位比其他兩者重要得多,;脆弱性和威脅性雖然可能導(dǎo)致網(wǎng)絡(luò)安全態(tài)勢降低,,但兩者比重較低。

003.jpg

  根據(jù)專家意見構(gòu)建準則層因素兩兩之間對目標網(wǎng)絡(luò)安全態(tài)勢的判別矩陣如圖3所示,,令A(yù)為目標網(wǎng)絡(luò)安全態(tài)勢,,B1為脆弱性態(tài)勢,B2為基礎(chǔ)運行性態(tài)勢,,B3為威脅性態(tài)勢,。

  求得矩陣的特征向量和最大特征根分別為:w′A= [0.2,0.6,,0.2]T和λmax=3,。檢驗矩陣的一致性:8(`9WK5A)RB]0V%UUX4E4]J.jpgFKGPD0E)B{A%$DAO{W8@ADG.png,表明此矩陣完全一致,。綜上所得準則層的權(quán)值向量為w′A=[0.2,,0.6,0.2]T,。

  根據(jù)上述原理分別求得指標層對準則的權(quán)值向量(不再累贅復(fù)述):w′B1=[0.312,,0,246,,0,,108,0.108,,  0.108,,0.118]T;w′B2=[0.339,,0.084,,0.048,0.217,,0.101,,0.098,0.068,,0.045]T,;w′B3=[0.215,0.101,,0.098,,0.224,,0.064,0.201,,0.097]T,。

  3.2.2 客觀權(quán)值計算

  本文以脆弱性指標為例,通過各類檢測設(shè)備獲取100組檢測數(shù)據(jù),,將其離散歸一后得到規(guī)范化實驗數(shù)據(jù),;以脆弱性二級指標作為決策系統(tǒng)的條件屬性;參考snort手冊規(guī)定的風(fēng)險程度分別為:1為低,、2為中和3為高,。表1展示部分信息決策。

005.jpg

  根據(jù)粗糙集的屬性的約簡能力,,可對該表進行約簡,,刪除指標中冗余成份。由表1的結(jié)果顯示:a~e中POSC(D)≠POSC-i(D)(i=a,,b,,c,d,,e),,表明條件屬性a~e為不可約簡屬性;而POSC(D)=POSC-f(D),,表明條件屬性f為可約簡屬性,。綜上所述,指標f為冗余指標,,需要剔除,。

  依照式(1),式(2)所得脆弱性二級指標權(quán)值為wB1″=[0,,333,0,,267,,0.133,0.133,,0.133,,0.000]T。

  同理可得,,基礎(chǔ)運行性二級指標權(quán)值為wB2″=    [0.352,,0.102,0.000,,0.209,,0.121,,0.086,0.130,,0.000]T,;威脅性二級指標權(quán)值wB3″=[0.261,0.089,,0.108,,0.213,0.000,,0.203,,0.126]T。

  3.2.3 綜合權(quán)值

  為綜合3.2.1和3.2.2兩種權(quán)賦值方法的優(yōu)點,,從下至上,,分別逐層確定每一層指標對上層指標的權(quán)值,根據(jù)實際情況和專家的經(jīng)驗取值u=0.382,,使主,、客權(quán)值之比為黃金分割數(shù)。其各級指標權(quán)值分別如下:一級指標為wA=[0.1691,,0,,6618,0,,1691]T,,二級指標為wB1=[0.325,0.259,,0.123,,0,123,,0,,123,0.047]T,;wB2=[0.347,,0.095,0.018,,0.212,,0.113,0.090,,0.106,,0.019]T;wB3=[0.243,,0.094,,0.104,,0.217,0.025,,0.202,,0.115]T。

  3.3 結(jié)果及分析

  經(jīng)過多次態(tài)勢因子數(shù)據(jù)的檢測,,根據(jù)上述因子加權(quán)求和法進行網(wǎng)絡(luò)安全態(tài)勢值的量化,。為了方便管理員評價,規(guī)定安全態(tài)勢值分布在[0,,1]之間且把網(wǎng)絡(luò)安全態(tài)勢劃分為5個危害等級:[0,,0.1],[0.1,,0.2],,[0.2,0.3],,[0.3,,0.5],[0.5,,1],,危險性隨不同等級逐層增大,當安全態(tài)勢值趨近于1時,,表示當前網(wǎng)絡(luò)運行極不安全,,反之亦然。繪出如圖4的網(wǎng)絡(luò)安全態(tài)勢曲線,,反映本時段的網(wǎng)絡(luò)安全態(tài)勢狀況,。

004.jpg

  4 結(jié)論

  粗糙集理論在網(wǎng)絡(luò)安全態(tài)勢評估中能有效度量各網(wǎng)絡(luò)安全態(tài)勢要素重要性,在處理海量的網(wǎng)絡(luò)數(shù)據(jù)時能避免不確定性,、冗余性和高維性對態(tài)勢因子篩選的干擾,。本文提出的基于綜合加權(quán)的網(wǎng)絡(luò)安全態(tài)勢評估方法能夠避免傳統(tǒng)層次分析法導(dǎo)致安全態(tài)勢評估結(jié)果不準確的問題,又能減少粗糙集約簡不充分造成的評估低效問題,。仿真結(jié)果表明,,此方法能夠提高網(wǎng)絡(luò)安全態(tài)勢評估的準確度,滿足對網(wǎng)絡(luò)安全態(tài)勢評估的要求,。

參考文獻

  [1] 龔正虎,卓瑩.網(wǎng)絡(luò)安全態(tài)勢感知[J].軟件學(xué)報,,2010,,21(7):1605-1619.

  [2] BASS T, ARBOR A. Multisensor data fusion for next generation distributed intrusion detection syste ms[C]. Proceeding of IRIS National Symposium on Sensor and Data Fusion,, Laurel,, MD: [s.n.],,1999:24-27.

  [3] 陳秀真,鄭慶華,,管曉宏,,等.層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法[J].軟件學(xué)報,2006,,17(4):885-897.

  [4] 韋勇,,連一峰.基于日志審計與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機學(xué)報,2009,,32(4):763-772.

  [5] 李方偉,,楊紹成,朱江.基于模糊層次法的改進型網(wǎng)絡(luò)安全態(tài)勢評估方法[J].計算機應(yīng)用,,2014,,34(9):2622-2626.

  [6] 劉延華,陳國龍,,吳瑞芬.基于云模型和AHP的網(wǎng)絡(luò)信息系統(tǒng)可生存性評估[J].通信學(xué)報,,2014,35(8):107-115.

  [7] PAWLAK Z. Rough sets and intelligent data analysis[J]. Information Sciences,, 2002,,147(1):1-12.

  [8] 王國胤,姚一豫,,于洪.粗糙集理論與應(yīng)用研究綜述[J].計算機學(xué)報,,2009,32(7):1229-1246.

  [9] 王宇飛,,徐志博,,王婧.層次化電力信息網(wǎng)絡(luò)威脅態(tài)勢評估方法[J].中國電力,2013,,46(7):121-125.

  [10] 賈焰,,王曉偉,韓偉紅,,等.YHSSAS:面向大規(guī)模網(wǎng)絡(luò)的安全態(tài)勢感知系統(tǒng)[J].計算機科學(xué),,2011,38(2):4-9.

  [11] 卓瑩,,何明,,龔正虎.網(wǎng)絡(luò)安全態(tài)勢評估的粗集分析模型[J].計算機工程與科學(xué),2012,,34(3):326-330.

  [12] 陸悠,,羅軍舟,李偉,,等.面向網(wǎng)絡(luò)狀態(tài)的自適應(yīng)用戶行為評估方法[J].通信學(xué)報,,2013,,34(7):71-80.

  [13] 文志誠,曹春麗.基于因子加權(quán)的網(wǎng)絡(luò)安全態(tài)勢感知方法[J].計算機應(yīng)用,,2015,,35(5):1393-1398.

  [14] 高春維,譚旭.決策屬性未知下的學(xué)生評教粗糙集分析[J].計算機工程與應(yīng)用,,2012,,48(9):238-241.


此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載,。