引言

    目前，網(wǎng)絡安全事件層出不窮。但所有的網(wǎng)絡安全防御措施都無法保證網(wǎng)絡的絕對安全。因此，對網(wǎng)絡所面臨的安全風險進行實時感知和分析評估(如危險程度大小)就非常重要。目前，靜態(tài)的網(wǎng)絡風險評估模型? 可以對網(wǎng)絡長期所處的風險狀態(tài)進行粗略評估，但無法實時檢測網(wǎng)絡正在遭受的攻擊，缺少自適應性。動態(tài)網(wǎng)絡風險評估方面，文獻[2]提出了基于主機的實時風險評估；文獻[3]提出了使用網(wǎng)絡節(jié)點關聯(lián)性的分析方法；文獻[4]提出了基于隱馬爾可夫模型(Hidden Markov Model，HMM)的實時網(wǎng)絡安全風險量化方法；文獻[5]提出了基于人工免疫的風險檢測和評估方法；文獻[6]使用云模型對內部威脅進行感知；文獻分別使用層次分析法、信息熵、核函數(shù)、粗糙集、概率風險分析法、模糊集合分析法等智能方法對網(wǎng)絡風險進行評估；文獻[12]通過云控制器和規(guī)則實現(xiàn)了網(wǎng)絡風險的分析和評估。

    由于網(wǎng)絡入侵具有隨機性，而對網(wǎng)絡風險的評估一般用自然語言來描述(如危險、安全)，具有一定的模糊性，并且隨機性和模糊性之間具有一定的關聯(lián)。此外，網(wǎng)絡風險程度是定性概念，而引起網(wǎng)絡風險變化的各個參數(shù)的值是定量的。典型的網(wǎng)絡風險評估方法中，多是單一地從定性(定量)角度去分析，或者分別從隨機性和模糊性的角度去分析網(wǎng)絡風險，因此，評估的結果還不夠客觀。基于此，本文利用云模型有效集成了模糊性和隨機性的特點，提出一種基于云模型的網(wǎng)絡風險評估方法。用云模型從多角度將網(wǎng)絡入侵的定性、定量特征融合分析并進行決策，同時兼顧網(wǎng)絡風險的模糊性和隨機性的特點，提高了入侵風險評估的準確性和客觀性。

1 理論基礎和設計思想

    1．1 云模型的基本概念

    云模型能夠實現(xiàn)用語言值表示的某個定性概念與其定量(數(shù)值)表示之間的不確定轉換。它主要反映知識中概念的兩種不確定性：模糊性和隨機性以及二者之間的關聯(lián)性。云模型中云由許許多多云滴組成，云的整體形狀反映了定性概念的重要特性。云用期望值EX、熵En、超熵He三個數(shù)值特征來表示，記作C(Ex，En，He)，即云的向量特征。它們反映了定性知識的定量特性：期望EX反映了相應的定性知識的信息中心值；熵En是定性概念隨機性的度量，反映了能夠代表這個定性概念的云滴的離散程度；超熵HE是熵En的熵，反映了云的離散程度。超熵的大小間接地反映了云的厚度，即確定度的不確定性， 越小，說明隨機性越小。經(jīng)統(tǒng)計分析，對于論域U中定性概念C有貢獻的云滴(占99．74％)主要落在區(qū)間[Ex一3En，Ex+3En]，因此這個區(qū)間以外的云滴對定性概念的貢獻可以忽略 。

    1．2設計思想

    在網(wǎng)絡中，當主機遭受到入侵攻擊時，其主要性能指標(如CPU占用率、內存占用率)必然會發(fā)生異常變化，同時，這些變化的幅度也決定了網(wǎng)絡風險大小。因此，可以根據(jù)系統(tǒng)主要指標的變化來確定網(wǎng)絡面臨的風險程度。網(wǎng)絡入侵的發(fā)生具有很大的隨機性，而對網(wǎng)絡入侵風險的評估多采用自然語言來描述，這導致風險評估結果又具有一定的模糊性；同時，在遭受到入侵時候，各參數(shù)之間的變化是相互關聯(lián)的(比如，CPU占用率的提高往往跟內存占用率有關系)。因此，必須實現(xiàn)定量定性之間的轉換，以及考慮模糊性和隨機性的關聯(lián)，才能更準確地評估風險。云模型把定性概念的模糊性和隨機性及二者的關聯(lián)性有效集成在一起，構成定性和定量相互間的轉換。因此，可以采用云模型描述多個系統(tǒng)參數(shù)及其變化之間的關聯(lián)性，從而對網(wǎng)絡風險進行評估決策。

    本文方法的基本任務為：根據(jù)系統(tǒng)當前性能指標的狀態(tài)值，依據(jù)設計的云決策發(fā)生器，輸出系統(tǒng)的危險級別。具體思想和實現(xiàn)過程如下：1)確定出能夠影響系統(tǒng)性能的主要指標并形式化；2)設置系統(tǒng)的狀態(tài)為(不正常，不太正常，基本正常，正常)，相應的風險評估結果為(高，較高，較低，低)，對相應危險級別的系統(tǒng)資源變量進行采樣，利用逆向正態(tài)云算法計算相應級別的標準概念云；3)定量輸入處理，根據(jù)云相似度算法，對于某一時刻的輸入，輸出系統(tǒng)的危險程度(高，較高，較低，低)。

2關鍵技術與實現(xiàn)

    定義1 風險評估模型為形=(F，V，E)，其中，F(xiàn)、V、E分別代表因素集、權重集、評價集。因素集F=(F1，F(xiàn)2，...，F(xiàn)。)分別代表影響網(wǎng)絡風險評估值的n個因素，如cPu占用率、內存占用率、進程響應時間等；權重集V=(V1，V2，...，Vn)代表各因素所占的權重，且V1+V2+?+VN=19VT>O(1≤i≤n)；風險結果評判集設為E=(高，較高，較低，低)。

    定義2 系統(tǒng)變量云。定義系統(tǒng)變量云為：Cloud=(S，T,En，Ex，He)，其中S代表需要采樣的系統(tǒng)資源集合(包括內存占有率、CPU占有率、進程響應時間等)，T為采樣時間間隔。

    2．1云發(fā)生器的構造

    云發(fā)生器的構造需要先驗知識。雖然網(wǎng)絡入侵的出現(xiàn)具有不確定性和難以預知性，但正常狀態(tài)(安全狀態(tài))是確定的，同時某些已知的入侵發(fā)生時系統(tǒng)的狀態(tài)也是可得的。因此，可以得到正常狀態(tài)下的數(shù)字特征，從而得到標準概念云。

    1)標準概念云的生成。

    在網(wǎng)絡正常運行情況下，采用滑動窗口的方式對系統(tǒng)參數(shù)進行連續(xù)采樣，獲取正常狀態(tài)樣本點，將樣本點的各維(即各系統(tǒng)參數(shù))規(guī)格化到[0，1]內(這里盡可能多地進行采樣，以便使結果更加準確)。由于網(wǎng)絡風險評估中，只能得到采樣到的一組數(shù)據(jù)值，而很難獲得確定度，所以，本文采用未知確定度的逆向云發(fā)生器算法，用此算法求出此云的數(shù)字特征，然后采用正向云生成算法，得到該正常概念云。

    2)其他狀態(tài)的概念云生成關鍵技術。

    對于其他概念云的生成，本文采用實際數(shù)據(jù)采集與估算相結合的方法。理想情況下，“正常”概念云與“不正常”概念云有交集，說明兩個概念可覆蓋整個狀態(tài)空間。但實際上對網(wǎng)絡系統(tǒng)而言，不適宜直接劃分為“正常”與“不正常”兩個狀態(tài)。因此，在本文中，對兩概念云之間未覆蓋的區(qū)域進一步劃分，生成四概念云(正常，基本正常，不太正常，不正常)以更好地滿足定性描述網(wǎng)絡風險的需要。

    將正常云的重心EXX和EXF之間的區(qū)域平分為兩部分，分別設為基本正常和不太正常概念云。根據(jù)云滴對概念的貢獻，論域中對概念有貢獻的云滴，主要落在區(qū)間[Ex一En，Ex+3En]。本文中，基于黃金分割率的云生產(chǎn)方法，相鄰云的熵和超熵，預設較小者是較大者的0．618倍，估算出Exx1(較正常)和EXF1(較不正常)。最后，生成四尺度的概念云(不正常，不太正常，基本正常，正常)，將其投影到一維平面上，如圖1所示。

    圖1 四概念云在內存上的投影示意圖

    3)綜合評價云的生成。

    其他各系統(tǒng)參數(shù)的概念云的生成類似，將其綜合可以得到綜合評估。權重的設置方法為對每個因素都分配相應的云權重(用云來描述權重)，讓云權重參與綜合評判，最終通過云計算得到基于云滴分布的綜合評價結果，改善了直接對期望值上界溢出進行修正而導致的不科學性函數(shù)。

    2．2網(wǎng)絡入侵風險的評估和決策過程

    本文方法的主要目的在于：根據(jù)當前系統(tǒng)變量值，直接感知出系統(tǒng)的安全風險，以正確評估風險。根據(jù)實際采集到的樣本值，計算此時的C(Ex，En，He）和云模型，然后根據(jù)下面的云相似度算法(算法1)，計算此云與已知概念云的相似度，相似度最高的即作為輸出。算法1通過產(chǎn)生一定數(shù)量的云滴，基于云滴之間的距離來度量云的相似度。

    從表1可以看出，兩種相似性度量方法均可以正確度量兩個云之間的相似度，進而得到正確的評估結果。與基于屬性相似度的云模型算法相比，本文方法是基于云滴之間的距離來計算的，避免了屬性權值等復雜計算，算法更加簡單。本文算法在度量云模型之間相似性方面的優(yōu)點表現(xiàn)為：它不僅考慮了云模型中所產(chǎn)生云滴之間的局部相似性，還考慮了云模型整體形狀之間的全局相似性，使得該算法具有良好的泛化推廣性能。

3 系統(tǒng)仿真實驗

    3．1仿真過程與結果

    在windows環(huán)境下，用VC語言對算法進行了驗證，數(shù)據(jù)集為美國林肯實驗室Kddcu印數(shù)據(jù)。具體步驟簡述如下：1)用不含任何攻擊流量的訓練數(shù)據(jù)作為系統(tǒng)正常狀態(tài)，從t時刻開始，以周期T，分別對CPU占用率和內存占用率進行

    表2 網(wǎng)絡安全風險決策結果

    從表2可以看出，本方法可以給出正確的評價和決策結果。同時，從云的數(shù)字特征C(Ex，En，Ee)可以看出，風險較低、較高狀態(tài)的熵En和超熵He相對較大。熵En較大表明了此定性概念隨機性較大，比較離散，網(wǎng)絡處于此狀態(tài)具有較大的風險；超熵He較大，說明此時評估結果的不確定性較大。這恰好與現(xiàn)實生活一致：對網(wǎng)絡處于安全、不安全狀態(tài)的認識和評估，不同人評估結果差異較小；而對網(wǎng)絡處于較安全、較不安全狀態(tài)時，不同人評估結果差異性較大，也就是說，結果認定不同的可能性較大。因此，基于云模型的網(wǎng)絡風險評估不僅給出了正確的評估結果，而且保留了評估過程中的不確定性，結果具有更好的可理解性。

    3．2相關算法比較分析

    本文主要是利用云模型把模糊性與隨機性完美結合的優(yōu)點，將其引入到網(wǎng)絡風險評估中。因此，主要與基于模糊思想與隨機性思想進行風險評估的相關典型算法進行比較。與基于概率的評估方法相比，雖然概率評估方法保留了評估結果的不確定性，但對評價集合的概率密度函數(shù)有嚴格要求，而且沒有考慮模糊性。與基于模糊思想(型1模糊集)的評估方法相比，模糊評估方法要求給出確定的隸屬度函數(shù)，一旦定義了隸屬度，實際上進入了精確數(shù)學，此后的推理、計算毫無模糊性可言，因此，對于相同的輸入，總會得到相同的結果，不符合人們對自然語言中概念理解的不確定性。型2模糊集糾改進了型1模糊系統(tǒng)在處理不確定性方面的不足，進一步給出模糊集合中隸屬度值的模糊程度，處理實際對象的不確定性。型2模糊集給出了隸屬度函數(shù)的隸屬度，使描述的集合模糊性增強，進一步刻畫了模糊現(xiàn)象，其評估過程與型l模糊集相似，計算較為復雜，運算量較大。云模型方法既反映了性能采樣樣本出現(xiàn)的隨機性，又反映了隸屬程度的不確定性，揭示了模糊性和隨機性之間的關聯(lián)性，最大限度地保留了評估過程中固有的不確定性，并且對語言值的描述采用期望、熵、超熵表示，具有相同的形態(tài)和更好的可理解性，提高了評估結果的可信度，推理結果更加合理而且貼近實際。表3給出了相關算法的比較分析。

    表3 相關網(wǎng)絡風險評估算法比較

4 結語

    本文提出了一種基于云模型的網(wǎng)絡入侵風險評估和決策方法，設計了一種改進云相似度計算方法，并驗證了其有效性。如何更合理及更準確地采樣影響系統(tǒng)的性能參數(shù)，以使得評價結果更科學可信，是下一步研究的方向。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標題：網(wǎng)絡安全風險評估的云決策

本文網(wǎng)址：http://www.guhuozai8.cn/html/consultation/1083952111.html