基于直覺模糊集的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法

王曉菲，張瑞

摘要：傳統(tǒng)方法預(yù)測的網(wǎng)絡(luò)安全態(tài)勢值，與實際值存在偏差，為此提出基于直覺模糊集的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法。集成各種安全設(shè)備上報的事件，解析態(tài)勢預(yù)測需要的信息數(shù)據(jù)，以及各事件的類型、地址等關(guān)聯(lián)數(shù)據(jù)，計算事件風(fēng)險值、脆弱指數(shù)、主機管控能力和安全設(shè)備運行指數(shù)，作為預(yù)測參數(shù)，通過直覺模糊集，對參數(shù)進(jìn)行直覺模糊分割，定義參數(shù)權(quán)重，計算網(wǎng)絡(luò)安全態(tài)勢預(yù)測值。進(jìn)行對比實驗，結(jié)果表明，此次方法相比傳統(tǒng)方法，在保證預(yù)測效率的同時，有效降低了預(yù)測態(tài)勢值的相對誤差，預(yù)測的網(wǎng)絡(luò)安全態(tài)勢更為準(zhǔn)確，同時提高了攻擊類型檢測率，確保攻擊類型的分類精度。

關(guān)鍵詞：直覺模糊集;網(wǎng)絡(luò)安全;態(tài)勢預(yù)測;風(fēng)險值

中圖分類號：TP393.08? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2021）20-0057-02

國內(nèi)安全態(tài)勢預(yù)測研究取得較大發(fā)展，統(tǒng)計過去和當(dāng)前的攻擊信息，將態(tài)勢分析技術(shù)應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域中，對網(wǎng)絡(luò)攻擊和失效進(jìn)行度量，并通過直覺模糊集，構(gòu)建網(wǎng)絡(luò)漏洞監(jiān)測模型，得到網(wǎng)絡(luò)安全性的預(yù)測參數(shù)[1]。在特定網(wǎng)絡(luò)攻擊下，對整個網(wǎng)絡(luò)的安全屬性進(jìn)行計算，全面掌握網(wǎng)絡(luò)安全狀況預(yù)測各種威脅的發(fā)展趨勢[2]。提出基于直覺模糊集的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法，對網(wǎng)絡(luò)的運行狀況進(jìn)行動態(tài)監(jiān)控，深入分析并預(yù)測未來時刻的網(wǎng)絡(luò)安全動態(tài)。

1 基于直覺模糊集的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法設(shè)計

1.1 采集網(wǎng)絡(luò)安全事件的數(shù)據(jù)信息

采集網(wǎng)絡(luò)安全數(shù)據(jù)信息，歸一化處理后，進(jìn)行關(guān)聯(lián)分析。將事件的具體信息寫入不同標(biāo)簽中，設(shè)置事件反應(yīng)時間，為上報到產(chǎn)生警告的時間，上報格式為xml格式，產(chǎn)生速度為1.5秒一條事件[3]。解析態(tài)勢預(yù)測需要的內(nèi)容信息，并對其進(jìn)行歸一化處理，提取各個字段和屬性。

采用基于規(guī)則的關(guān)聯(lián)技術(shù)，層次化規(guī)則匹配安全事件與解析的規(guī)則，若多條報警滿足規(guī)則場景的多有層次，則調(diào)用該安全事件的信息數(shù)據(jù)，用于攻防場景的描述和分析。將安全規(guī)則庫作為關(guān)聯(lián)分析的核心，根據(jù)已知攻擊的攻擊順序進(jìn)行定義，通過預(yù)定義的規(guī)則庫，關(guān)聯(lián)分析不同類型、層次和地址的安全事件。至此完成網(wǎng)絡(luò)安全事件數(shù)據(jù)信息的采集。

1.2 計算網(wǎng)絡(luò)安全事件的風(fēng)險值

根據(jù)采集的信息數(shù)據(jù)，計算每個安全事件的風(fēng)險值。對所有關(guān)聯(lián)規(guī)則和事件進(jìn)行匹配，提取風(fēng)險值的計算參數(shù)，包括資產(chǎn)值、優(yōu)先級、可靠性。其中資產(chǎn)值表示網(wǎng)絡(luò)部署設(shè)備的重要程度，劃分1～5個等級如下：非常重要，設(shè)備破壞后會造成非常嚴(yán)重的損失;重要，破壞后造成比較嚴(yán)重的損失;比較重要，破壞后造成中等程度的損失;比較不重要，破壞后造成較低損失;不重要，破壞后損失很小或可以忽略[4]。優(yōu)先級表示安全事件發(fā)生后，網(wǎng)絡(luò)受攻擊的嚴(yán)重程度，劃分1～5個等級如下：非常嚴(yán)重，對網(wǎng)絡(luò)安全造成很大影響;非常嚴(yán)重，對網(wǎng)絡(luò)安全造成較大影響;比較嚴(yán)重，對網(wǎng)絡(luò)安全造成中等程度的影響;比較不嚴(yán)重，對網(wǎng)絡(luò)安全造成較小影響;不嚴(yán)重，對網(wǎng)絡(luò)安全影響很小或可以忽略?？煽啃员硎景踩录恼鎸嵆潭?，使用關(guān)聯(lián)規(guī)則里的可靠性值，為每條事件分配默認(rèn)的可靠性值，定義可靠性范圍為0～10，其中10表示一定會發(fā)生，事件發(fā)生頻率依次遞減，0表示一定不會發(fā)生。則風(fēng)險值計算公式為：

[ri=Ai?Pi?Ri25]? ? ? ? ? ? ? ? ? ? ? ? ? （1）

其中[ i]為上報的網(wǎng)絡(luò)安全事件，[ri]為事件 [ i]的風(fēng)險值，[Pi]為 事件 [ i]的資產(chǎn)值，[Ai]為事件 [ i]的優(yōu)先級，[Ri]為事件[ i]的可靠性。通過公式（1），得到0～10之間的風(fēng)險值，當(dāng)[ri]為0時，丟棄該安全事件，當(dāng)[ri]≥1時，則產(chǎn)生網(wǎng)絡(luò)安全告警。至此完成網(wǎng)絡(luò)安全事件風(fēng)險值的計算。

1.3 基于直覺模糊集計算網(wǎng)絡(luò)安全態(tài)勢預(yù)測值

接收到安全告警信息后，對設(shè)備上報事件進(jìn)行分類，結(jié)合直覺模糊集，計算網(wǎng)絡(luò)安全態(tài)勢的預(yù)測值。首先將安全事件分為4類，包括設(shè)備狀態(tài)事件、攻擊事件、主機操作事件和漏洞事件，將態(tài)勢預(yù)測參數(shù)分為4部分，包括風(fēng)險值、脆弱指數(shù)、主機管控能力和安全設(shè)備運行指數(shù)。其中脆弱指數(shù)表示網(wǎng)絡(luò)設(shè)備存在漏洞的情況，漏洞越多越易受到攻擊，定義初始脆弱值為0，脆弱值范圍為0～100;主機管控能力表示網(wǎng)絡(luò)主機是否存在違規(guī)操作，數(shù)值越大表示管控能力越強，定義該參數(shù)初始值為0，范圍為0～100;運行指數(shù)表示設(shè)備正常運行的情況，定義參數(shù)初始值為0，范圍為0～100。輸入?yún)?shù)變量，構(gòu)成模糊輸入空間，使每個參數(shù)對應(yīng)一組模糊語言，對應(yīng)一個具有相同論域的模糊集合，對4個參數(shù)進(jìn)行直覺模糊分割，使模糊分割數(shù)達(dá)到最大，提高參數(shù)的模糊推理精細(xì)化程度。分割后計算最終的網(wǎng)絡(luò)態(tài)勢值[s]，公式為：

[ s=riw1+yiw2+diw3+kiw4]? ? ? ? ? ? ? ? ? ? ? （2）

其中[yi]為事件[ i]的脆弱指數(shù)，[di]為事件[ i]的主機管控能力，[ki]為事件[ i]的安全設(shè)備運行指數(shù)，[w1、w2、w3、w4]分別為各參數(shù)對應(yīng)權(quán)重，取值分別為0.5、0.2、0.2、0.1。通過公式（2），反映網(wǎng)絡(luò)安全態(tài)勢，預(yù)測值[s]越大，表示未來網(wǎng)絡(luò)越不安全，將態(tài)勢值的計算間隔，調(diào)整為每10秒計算一次，完成網(wǎng)絡(luò)安全態(tài)勢預(yù)測值的計算。至此完成基于直覺模糊集的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法設(shè)計。

2 實驗論證分析

進(jìn)行對比實驗，將基于直覺模糊集的網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法記為實驗組，傳統(tǒng)網(wǎng)絡(luò)安全態(tài)勢預(yù)測方法，記為對照組，比較兩種方法對網(wǎng)絡(luò)安全態(tài)勢預(yù)測的偏差。