摘 要: 針對網(wǎng)絡(luò)安全態(tài)勢評估中權(quán)值計算過于依賴專家經(jīng)驗,忽略了客觀因子對態(tài)勢決策結(jié)果的影響的現(xiàn)狀,提出了一種綜合加權(quán)的層次化網(wǎng)絡(luò)安全態(tài)勢評估方法;依據(jù)該指標(biāo)體系綜合賦權(quán),由層次分析法計算主觀權(quán)值和粗糙集方法計算客觀權(quán)值,聯(lián)合兩種權(quán)值得到綜合權(quán)值,并結(jié)合了因子加權(quán)求和法來綜合分析當(dāng)前網(wǎng)絡(luò)安全態(tài)勢狀況。實驗表明該方法切實可行,能更客觀、準(zhǔn)確地分析網(wǎng)絡(luò)安全狀況。
關(guān)鍵詞: 態(tài)勢評估;粗糙集;層次分析法;因子加權(quán)求和法
0 引言
網(wǎng)絡(luò)安全態(tài)勢感知[1](Network Security Situation Awareness,NSSA)是指在現(xiàn)實的網(wǎng)絡(luò)環(huán)境中,在一定時間和空間內(nèi),對能引起網(wǎng)絡(luò)安全態(tài)勢發(fā)生變化的外界因素進(jìn)行提取、評估以及對未來的變化趨勢進(jìn)行預(yù)測。1999年,T.Bass[2]首次提出網(wǎng)絡(luò)安全態(tài)勢感知的概念,并采用JDL融合處理模型,把數(shù)據(jù)融合技術(shù)引入態(tài)勢感知領(lǐng)域。
網(wǎng)絡(luò)安全態(tài)勢評估是網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)中的核心與重點,目前國內(nèi)外提出了許多種關(guān)于網(wǎng)絡(luò)安全態(tài)勢評估方法。面對大規(guī)模巨型網(wǎng)絡(luò),層次化結(jié)構(gòu)和權(quán)重相結(jié)合的方法是最常見的態(tài)勢評估方法,陳秀珍[3]采用自下而上、先局部后整體的層次化威脅態(tài)勢評估模型,逐層對攻擊、服務(wù)和主機(jī)的權(quán)重進(jìn)行加權(quán)計算,分析網(wǎng)絡(luò)安全狀況;韋勇[4]根據(jù)權(quán)重分析逐層計算節(jié)點態(tài)勢,利用實際性能信息修正節(jié)點態(tài)勢值,進(jìn)一步分析網(wǎng)絡(luò)安全態(tài)勢。通過權(quán)重分析來評估網(wǎng)絡(luò)安全態(tài)勢的方法還有很多,但大都存在如下缺陷:(1)權(quán)值的選取主觀任意性強(qiáng),主要依賴于專家的經(jīng)驗,缺乏客觀的依據(jù);(2)指標(biāo)體系過于龐大和冗余性高,導(dǎo)致評估結(jié)果精度低;(3)態(tài)勢指標(biāo)和權(quán)值一般都是靜態(tài)的,難以勝任動態(tài)網(wǎng)絡(luò)分析。
為了動態(tài)完整地描述網(wǎng)絡(luò)的安全狀況,提出了一種基于綜合加權(quán)的網(wǎng)絡(luò)安全態(tài)勢評估方法,通過層次分析法得到主觀權(quán)值,通過粗糙集方法得到客觀權(quán)值,將二者相結(jié)合得到綜合態(tài)勢權(quán)值,并通過因子加權(quán)函數(shù)融合來計算網(wǎng)絡(luò)安全態(tài)勢值。該方法既利用了層次分析思想構(gòu)建層次化網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系,又結(jié)合了粗糙集理論的除冗、除維和處理模糊性不確定信息的能力,結(jié)合了兩者的優(yōu)點,精簡了網(wǎng)絡(luò)安全態(tài)勢指標(biāo),提高了對網(wǎng)絡(luò)安全態(tài)勢分析的準(zhǔn)確性。
1 相關(guān)基礎(chǔ)知識
1.1 層次分析法[5-6]
層次分析法(Analytic Hierarchy Process,AHP)在20世紀(jì)70年代由美國著名運籌學(xué)家T.L.Satty等人提出。此方法是一種以專家的專業(yè)判斷經(jīng)驗為依據(jù),將某個復(fù)雜的問題分解成若干層次,并采用定性、定量相結(jié)合方法確定權(quán)重的量化決策與評價方法。AHP要經(jīng)過如下4個步驟:
?。?)構(gòu)建層次化評估結(jié)構(gòu);
?。?)構(gòu)造判斷矩陣;
?。?)層次單排序及一致性檢驗;
?。?)層次總排序及一致性檢驗。
這一過程是從高層到低層逐步進(jìn)行的,最終得到最低方案層因素對最高目標(biāo)層的權(quán)重。
1.2 粗糙集理論[7-8]
粗糙集理論(Rough Set Theory,RST)是波蘭數(shù)學(xué)家Z.Pawlak教授提出的一種新型的處理模糊和不確定性知識的數(shù)學(xué)工具,其主要特點是其在保持信息系統(tǒng)分類能力不變的前提下進(jìn)行知識約簡,最終導(dǎo)出問題分類的決策或分類規(guī)則。
設(shè)s=(U,R,V,f)為一個知識表達(dá)系統(tǒng),其中:論域U={x1,x2,x3,…,xn}為非空有限集;R為非空屬性集合,R包括條件屬性C和結(jié)果屬性D,即C∪D=R;V為屬性a∈R的值域;f:U×R→V為一個單射信息函數(shù),指定論域中任一個元素的屬性值。
定義1 設(shè)XU且X∈U,決策屬性D對條件屬性C的依賴度定義:。
定義2 若屬性a∈C,則屬性a對決策屬性D的屬性重要性定義為:SGF(a,C,D)=(C,D)-(C-{a},D);其中(C-{a},D)為在C屬性中缺少屬性a后,條件屬性對決策屬性的重要程度。
定義3 若a∈p且POS(P-{a})(D)=POS(p)(D),則表示在p中屬性a是不必要的,否則表示在p中a是必要的。若a∈p都是必要的,則表示P獨立,否則表示P是依賴的。
由以上相關(guān)粗糙集定義1、2可求得屬性重要性:
在此基礎(chǔ)上將各個屬性進(jìn)行歸一化處理得到客觀權(quán)重:
2 基于RS-AHP的網(wǎng)絡(luò)安全態(tài)勢評估模型
在網(wǎng)絡(luò)安全數(shù)據(jù)中存在著大量不確定、冗余性數(shù)據(jù),給態(tài)勢評估造成了嚴(yán)重的影響;同時在安全數(shù)據(jù)中存在的定性成分和定量成分導(dǎo)致難以用單一的評估方法進(jìn)行精確的量化。傳統(tǒng)的層次化分析法又存在其本身的缺陷[9],直接通過兩兩逐對比較形成的判斷矩陣也會影響到評估的結(jié)果。為了得到更加合理的評估效果,本文采用層次化分析法和粗糙集理論相結(jié)合的方法,利用定性和定量的結(jié)合來降低構(gòu)造判斷矩陣的主觀性,使得評估結(jié)果更準(zhǔn)確。其評估結(jié)構(gòu)框架如圖1。
2.1 層次化態(tài)勢指標(biāo)體系篩選
在實際的大規(guī)模網(wǎng)絡(luò)中,主要的數(shù)據(jù)來源可以分為3類:運行相關(guān)信息、配置相關(guān)信息和IDS系統(tǒng)日志庫信息[10]。不同的數(shù)據(jù)由不同的指標(biāo)來決定,研究相關(guān)信息對網(wǎng)絡(luò)安全態(tài)勢的影響就需要采用相關(guān)的指標(biāo)體系。
本文采用層次分析法分析層與層之間、指標(biāo)之間的相對關(guān)系,以構(gòu)建如圖2所示的態(tài)勢指標(biāo)體系。
態(tài)勢指標(biāo)體系的建立是網(wǎng)絡(luò)安全態(tài)勢評估的核心,在實際大網(wǎng)絡(luò)中,存在著眾多相互沖突、非確定性的觀測指標(biāo)。各指標(biāo)對評估結(jié)果的作用也存在較大差異。能否建立科學(xué)、合理的指標(biāo)體系直接關(guān)系到能否準(zhǔn)確分析網(wǎng)絡(luò)安全態(tài)勢狀況,如果選擇的指標(biāo)過多,會增加評估過程中不必要的干擾;反之,則不能全面、準(zhǔn)確地分析態(tài)勢狀況。
粗糙集理論在態(tài)勢因子選取方面擁有獨特的優(yōu)勢[11],網(wǎng)絡(luò)安全態(tài)勢評估指標(biāo)體系與權(quán)值的構(gòu)建和調(diào)整依賴于對網(wǎng)絡(luò)數(shù)據(jù)的關(guān)聯(lián)性分析,而通過計算粗糙集理論中的屬性重要度能在不失去數(shù)據(jù)原有價值的基礎(chǔ)上選擇最小的屬性子集,去除不相關(guān)的、冗余的和高維的屬性,從而完成對網(wǎng)絡(luò)安全態(tài)勢數(shù)據(jù)的關(guān)聯(lián)性分析[12]。
根據(jù)定義1和定義2,利用粗糙集理論中的比較屬性依賴度,來衡量條件屬性對決策的重要性,剔除對網(wǎng)絡(luò)安全態(tài)勢評估作用小的指標(biāo)。
2.2 綜合態(tài)勢權(quán)重的計算
本文提出一種綜合性的網(wǎng)絡(luò)安全態(tài)勢權(quán)重方法,借助于經(jīng)驗因子方法[13]對主客觀權(quán)值進(jìn)行融合,將主觀態(tài)勢權(quán)重和客觀態(tài)勢權(quán)重綜合起來抽象為一個最優(yōu)解問題,通過求解該最優(yōu)化問題模型得到唯一的一個最優(yōu)解:
通過經(jīng)驗因子融合權(quán)值法,u一般取值范圍為[0,0.5],根據(jù)專家相關(guān)經(jīng)驗和具體實際決策因子進(jìn)行衡量取值。如果邀請的相關(guān)專家的專業(yè)認(rèn)識和經(jīng)驗不足,則應(yīng)降低主觀權(quán)值的重要度,提高相應(yīng)的客觀權(quán)值的重要度;反之,若專家經(jīng)驗足夠,且認(rèn)為數(shù)據(jù)源的可靠性不高或?qū)嶋H態(tài)勢因子可行性低,則相應(yīng)地增加u的值。
2.3 網(wǎng)絡(luò)安全態(tài)勢量化
態(tài)勢評估是對當(dāng)前安全態(tài)勢的一種動態(tài)理解過程,反映當(dāng)前網(wǎng)絡(luò)的安全狀況。本文致力于研究態(tài)勢值計算中的指標(biāo)權(quán)值,通過因子加權(quán)函數(shù)[14]的融合,提高網(wǎng)絡(luò)安全態(tài)勢量化結(jié)果的準(zhǔn)確性。
定義4 網(wǎng)絡(luò)安全態(tài)勢指數(shù):是對某一個時間周期(一般不短于24 h)中影響網(wǎng)絡(luò)安全態(tài)勢變化的各個因素(如基礎(chǔ)運行性、脆弱性和威脅性)采用綜合加權(quán)的方法進(jìn)行綜合量化而得到一種能反映當(dāng)前網(wǎng)絡(luò)安全態(tài)勢的數(shù)值。
Evaluate=wB1f1+wB2f2+wB3f3(4)
定義5 網(wǎng)絡(luò)脆弱指數(shù):是對某個時間周期中影響脆弱性的各個二級指標(biāo)進(jìn)行因子加權(quán)融合得到的數(shù)值。其他威脅性指數(shù)和基礎(chǔ)運行指數(shù)的形成與之類似,都是通過相應(yīng)的因子加權(quán)融合而成。
以上三式中,?琢i,λi,δi,w1,w2,w3都代表相應(yīng)的權(quán)值系數(shù);xi,yi,zi分別表示各個指標(biāo)對應(yīng)的態(tài)勢因子值。
3 實驗結(jié)果及分析
3.1 實驗環(huán)境的搭建
為了驗證本文提出的基于綜合加權(quán)的網(wǎng)絡(luò)安全態(tài)勢量化評估方法的合理性與正確性,本文搭建由主機(jī)、路由器、交換機(jī)、防火墻、漏洞掃描、入侵檢測snort等設(shè)備組成實驗環(huán)境。實驗數(shù)據(jù)主要來源于Snort攻擊信息、Netflow數(shù)據(jù)流信息、主機(jī)的Nessus漏洞掃描信息、Firewall日志信息、IDS入侵檢測日志信息。在實驗中,當(dāng)正常網(wǎng)絡(luò)遭到各類惡意攻擊流量注入時,從各網(wǎng)絡(luò)節(jié)點獲取實驗所需的異常數(shù)據(jù),并在MATLAB7.0平臺下搭建網(wǎng)絡(luò)安全態(tài)勢評估模型,進(jìn)行仿真實驗;當(dāng)采集的態(tài)勢數(shù)據(jù)為大樣本數(shù)據(jù)時,對數(shù)據(jù)進(jìn)行等距離離散法[14]和無量綱歸一化處理,得到實驗所需的在[0,1]之間的規(guī)范化數(shù)據(jù)。
3.2 綜合指標(biāo)權(quán)值處理過程
3.2.1 主觀權(quán)值計算
基于層次分析法的主觀權(quán)重賦值主要依賴專家經(jīng)驗對實際環(huán)境的考察和總結(jié)。本文邀請多名專家對網(wǎng)絡(luò)各個屬性進(jìn)行了綜合評價,得到一致性結(jié)論:基礎(chǔ)運行性是網(wǎng)絡(luò)安全運行的特征,其地位比其他兩者重要得多;脆弱性和威脅性雖然可能導(dǎo)致網(wǎng)絡(luò)安全態(tài)勢降低,但兩者比重較低。
根據(jù)專家意見構(gòu)建準(zhǔn)則層因素兩兩之間對目標(biāo)網(wǎng)絡(luò)安全態(tài)勢的判別矩陣如圖3所示,令A(yù)為目標(biāo)網(wǎng)絡(luò)安全態(tài)勢,B1為脆弱性態(tài)勢,B2為基礎(chǔ)運行性態(tài)勢,B3為威脅性態(tài)勢。
求得矩陣的特征向量和最大特征根分別為:w′A= [0.2,0.6,0.2]T和λmax=3。檢驗矩陣的一致性:,表明此矩陣完全一致。綜上所得準(zhǔn)則層的權(quán)值向量為w′A=[0.2,0.6,0.2]T。
根據(jù)上述原理分別求得指標(biāo)層對準(zhǔn)則的權(quán)值向量(不再累贅復(fù)述):w′B1=[0.312,0,246,0,108,0.108, 0.108,0.118]T;w′B2=[0.339,0.084,0.048,0.217,0.101,0.098,0.068,0.045]T;w′B3=[0.215,0.101,0.098,0.224,0.064,0.201,0.097]T。
3.2.2 客觀權(quán)值計算
本文以脆弱性指標(biāo)為例,通過各類檢測設(shè)備獲取100組檢測數(shù)據(jù),將其離散歸一后得到規(guī)范化實驗數(shù)據(jù);以脆弱性二級指標(biāo)作為決策系統(tǒng)的條件屬性;參考snort手冊規(guī)定的風(fēng)險程度分別為:1為低、2為中和3為高。表1展示部分信息決策。
根據(jù)粗糙集的屬性的約簡能力,可對該表進(jìn)行約簡,刪除指標(biāo)中冗余成份。由表1的結(jié)果顯示:a~e中POSC(D)≠POSC-i(D)(i=a,b,c,d,e),表明條件屬性a~e為不可約簡屬性;而POSC(D)=POSC-f(D),表明條件屬性f為可約簡屬性。綜上所述,指標(biāo)f為冗余指標(biāo),需要剔除。
依照式(1),式(2)所得脆弱性二級指標(biāo)權(quán)值為wB1″=[0,333,0,267,0.133,0.133,0.133,0.000]T。
同理可得,基礎(chǔ)運行性二級指標(biāo)權(quán)值為wB2″= [0.352,0.102,0.000,0.209,0.121,0.086,0.130,0.000]T;威脅性二級指標(biāo)權(quán)值wB3″=[0.261,0.089,0.108,0.213,0.000,0.203,0.126]T。
3.2.3 綜合權(quán)值
為綜合3.2.1和3.2.2兩種權(quán)賦值方法的優(yōu)點,從下至上,分別逐層確定每一層指標(biāo)對上層指標(biāo)的權(quán)值,根據(jù)實際情況和專家的經(jīng)驗取值u=0.382,使主、客權(quán)值之比為黃金分割數(shù)。其各級指標(biāo)權(quán)值分別如下:一級指標(biāo)為wA=[0.1691,0,6618,0,1691]T,二級指標(biāo)為wB1=[0.325,0.259,0.123,0,123,0,123,0.047]T;wB2=[0.347,0.095,0.018,0.212,0.113,0.090,0.106,0.019]T;wB3=[0.243,0.094,0.104,0.217,0.025,0.202,0.115]T。
3.3 結(jié)果及分析
經(jīng)過多次態(tài)勢因子數(shù)據(jù)的檢測,根據(jù)上述因子加權(quán)求和法進(jìn)行網(wǎng)絡(luò)安全態(tài)勢值的量化。為了方便管理員評價,規(guī)定安全態(tài)勢值分布在[0,1]之間且把網(wǎng)絡(luò)安全態(tài)勢劃分為5個危害等級:[0,0.1],[0.1,0.2],[0.2,0.3],[0.3,0.5],[0.5,1],危險性隨不同等級逐層增大,當(dāng)安全態(tài)勢值趨近于1時,表示當(dāng)前網(wǎng)絡(luò)運行極不安全,反之亦然。繪出如圖4的網(wǎng)絡(luò)安全態(tài)勢曲線,反映本時段的網(wǎng)絡(luò)安全態(tài)勢狀況。
4 結(jié)論
粗糙集理論在網(wǎng)絡(luò)安全態(tài)勢評估中能有效度量各網(wǎng)絡(luò)安全態(tài)勢要素重要性,在處理海量的網(wǎng)絡(luò)數(shù)據(jù)時能避免不確定性、冗余性和高維性對態(tài)勢因子篩選的干擾。本文提出的基于綜合加權(quán)的網(wǎng)絡(luò)安全態(tài)勢評估方法能夠避免傳統(tǒng)層次分析法導(dǎo)致安全態(tài)勢評估結(jié)果不準(zhǔn)確的問題,又能減少粗糙集約簡不充分造成的評估低效問題。仿真結(jié)果表明,此方法能夠提高網(wǎng)絡(luò)安全態(tài)勢評估的準(zhǔn)確度,滿足對網(wǎng)絡(luò)安全態(tài)勢評估的要求。
參考文獻(xiàn)
[1] 龔正虎,卓瑩.網(wǎng)絡(luò)安全態(tài)勢感知[J].軟件學(xué)報,2010,21(7):1605-1619.
[2] BASS T, ARBOR A. Multisensor data fusion for next generation distributed intrusion detection syste ms[C]. Proceeding of IRIS National Symposium on Sensor and Data Fusion, Laurel, MD: [s.n.],1999:24-27.
[3] 陳秀真,鄭慶華,管曉宏,等.層次化網(wǎng)絡(luò)安全威脅態(tài)勢量化評估方法[J].軟件學(xué)報,2006,17(4):885-897.
[4] 韋勇,連一峰.基于日志審計與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機(jī)學(xué)報,2009,32(4):763-772.
[5] 李方偉,楊紹成,朱江.基于模糊層次法的改進(jìn)型網(wǎng)絡(luò)安全態(tài)勢評估方法[J].計算機(jī)應(yīng)用,2014,34(9):2622-2626.
[6] 劉延華,陳國龍,吳瑞芬.基于云模型和AHP的網(wǎng)絡(luò)信息系統(tǒng)可生存性評估[J].通信學(xué)報,2014,35(8):107-115.
[7] PAWLAK Z. Rough sets and intelligent data analysis[J]. Information Sciences, 2002,147(1):1-12.
[8] 王國胤,姚一豫,于洪.粗糙集理論與應(yīng)用研究綜述[J].計算機(jī)學(xué)報,2009,32(7):1229-1246.
[9] 王宇飛,徐志博,王婧.層次化電力信息網(wǎng)絡(luò)威脅態(tài)勢評估方法[J].中國電力,2013,46(7):121-125.
[10] 賈焰,王曉偉,韓偉紅,等.YHSSAS:面向大規(guī)模網(wǎng)絡(luò)的安全態(tài)勢感知系統(tǒng)[J].計算機(jī)科學(xué),2011,38(2):4-9.
[11] 卓瑩,何明,龔正虎.網(wǎng)絡(luò)安全態(tài)勢評估的粗集分析模型[J].計算機(jī)工程與科學(xué),2012,34(3):326-330.
[12] 陸悠,羅軍舟,李偉,等.面向網(wǎng)絡(luò)狀態(tài)的自適應(yīng)用戶行為評估方法[J].通信學(xué)報,2013,34(7):71-80.
[13] 文志誠,曹春麗.基于因子加權(quán)的網(wǎng)絡(luò)安全態(tài)勢感知方法[J].計算機(jī)應(yīng)用,2015,35(5):1393-1398.
[14] 高春維,譚旭.決策屬性未知下的學(xué)生評教粗糙集分析[J].計算機(jī)工程與應(yīng)用,2012,48(9):238-241.