摘  要： 針對網絡安全態勢評估中權值計算過于依賴專家經驗，忽略了客觀因子對態勢決策結果的影響的現狀，提出了一種綜合加權的層次化網絡安全態勢評估方法；依據該指標體系綜合賦權，由層次分析法計算主觀權值和粗糙集方法計算客觀權值，聯合兩種權值得到綜合權值，并結合了因子加權求和法來綜合分析當前網絡安全態勢狀況。實驗表明該方法切實可行，能更客觀、準確地分析網絡安全狀況。

　　關鍵詞： 態勢評估；粗糙集；層次分析法；因子加權求和法

0 引言

　　網絡安全態勢感知[1]（Network Security Situation Awareness，NSSA）是指在現實的網絡環境中，在一定時間和空間內，對能引起網絡安全態勢發生變化的外界因素進行提取、評估以及對未來的變化趨勢進行預測。1999年，T.Bass[2]首次提出網絡安全態勢感知的概念，并采用JDL融合處理模型，把數據融合技術引入態勢感知領域。

　　網絡安全態勢評估是網絡安全態勢感知技術中的核心與重點，目前國內外提出了許多種關于網絡安全態勢評估方法。面對大規模巨型網絡，層次化結構和權重相結合的方法是最常見的態勢評估方法，陳秀珍[3]采用自下而上、先局部后整體的層次化威脅態勢評估模型，逐層對攻擊、服務和主機的權重進行加權計算，分析網絡安全狀況；韋勇[4]根據權重分析逐層計算節點態勢，利用實際性能信息修正節點態勢值，進一步分析網絡安全態勢。通過權重分析來評估網絡安全態勢的方法還有很多，但大都存在如下缺陷：（1）權值的選取主觀任意性強，主要依賴于專家的經驗，缺乏客觀的依據；（2）指標體系過于龐大和冗余性高，導致評估結果精度低；（3）態勢指標和權值一般都是靜態的，難以勝任動態網絡分析。

　　為了動態完整地描述網絡的安全狀況，提出了一種基于綜合加權的網絡安全態勢評估方法，通過層次分析法得到主觀權值，通過粗糙集方法得到客觀權值，將二者相結合得到綜合態勢權值，并通過因子加權函數融合來計算網絡安全態勢值。該方法既利用了層次分析思想構建層次化網絡安全態勢指標體系，又結合了粗糙集理論的除冗、除維和處理模糊性不確定信息的能力，結合了兩者的優點，精簡了網絡安全態勢指標，提高了對網絡安全態勢分析的準確性。

1 相關基礎知識

　　1.1 層次分析法[5-6]

　　層次分析法（Analytic Hierarchy Process，AHP）在20世紀70年代由美國著名運籌學家T.L.Satty等人提出。此方法是一種以專家的專業判斷經驗為依據，將某個復雜的問題分解成若干層次，并采用定性、定量相結合方法確定權重的量化決策與評價方法。AHP要經過如下4個步驟：

　?。?）構建層次化評估結構；

　?。?）構造判斷矩陣；

　?。?）層次單排序及一致性檢驗；

　?。?）層次總排序及一致性檢驗。

　　這一過程是從高層到低層逐步進行的，最終得到最低方案層因素對最高目標層的權重。

　　1.2 粗糙集理論[7-8]

　　粗糙集理論（Rough Set Theory，RST）是波蘭數學家Z.Pawlak教授提出的一種新型的處理模糊和不確定性知識的數學工具，其主要特點是其在保持信息系統分類能力不變的前提下進行知識約簡，最終導出問題分類的決策或分類規則。

　　設s=（U，R，V，f）為一個知識表達系統，其中：論域U={x1，x2，x3，…，xn}為非空有限集；R為非空屬性集合，R包括條件屬性C和結果屬性D，即C∪D=R；V為屬性a∈R的值域；f：U×R→V為一個單射信息函數，指定論域中任一個元素的屬性值。

　　定義1 設XU且X∈U，決策屬性D對條件屬性C的依賴度定義：。

　　定義2 若屬性a∈C，則屬性a對決策屬性D的屬性重要性定義為：SGF（a，C，D）=（C，D）-（C-{a}，D）；其中（C-{a}，D）為在C屬性中缺少屬性a后，條件屬性對決策屬性的重要程度。

　　定義3 若a∈p且POS（P-{a}）（D）=POS（p）（D），則表示在p中屬性a是不必要的，否則表示在p中a是必要的。若a∈p都是必要的，則表示P獨立，否則表示P是依賴的。

　　由以上相關粗糙集定義1、2可求得屬性重要性：

　　在此基礎上將各個屬性進行歸一化處理得到客觀權重：

2 基于RS-AHP的網絡安全態勢評估模型

　　在網絡安全數據中存在著大量不確定、冗余性數據，給態勢評估造成了嚴重的影響；同時在安全數據中存在的定性成分和定量成分導致難以用單一的評估方法進行精確的量化。傳統的層次化分析法又存在其本身的缺陷[9]，直接通過兩兩逐對比較形成的判斷矩陣也會影響到評估的結果。為了得到更加合理的評估效果，本文采用層次化分析法和粗糙集理論相結合的方法，利用定性和定量的結合來降低構造判斷矩陣的主觀性，使得評估結果更準確。其評估結構框架如圖1。

　　2.1 層次化態勢指標體系篩選

　　在實際的大規模網絡中，主要的數據來源可以分為3類：運行相關信息、配置相關信息和IDS系統日志庫信息[10]。不同的數據由不同的指標來決定，研究相關信息對網絡安全態勢的影響就需要采用相關的指標體系。

　　本文采用層次分析法分析層與層之間、指標之間的相對關系，以構建如圖2所示的態勢指標體系。

　　態勢指標體系的建立是網絡安全態勢評估的核心，在實際大網絡中，存在著眾多相互沖突、非確定性的觀測指標。各指標對評估結果的作用也存在較大差異。能否建立科學、合理的指標體系直接關系到能否準確分析網絡安全態勢狀況，如果選擇的指標過多，會增加評估過程中不必要的干擾；反之，則不能全面、準確地分析態勢狀況。

　　粗糙集理論在態勢因子選取方面擁有獨特的優勢[11]，網絡安全態勢評估指標體系與權值的構建和調整依賴于對網絡數據的關聯性分析，而通過計算粗糙集理論中的屬性重要度能在不失去數據原有價值的基礎上選擇最小的屬性子集，去除不相關的、冗余的和高維的屬性，從而完成對網絡安全態勢數據的關聯性分析[12]。

　　根據定義1和定義2，利用粗糙集理論中的比較屬性依賴度，來衡量條件屬性對決策的重要性，剔除對網絡安全態勢評估作用小的指標。

　　2.2 綜合態勢權重的計算

　　本文提出一種綜合性的網絡安全態勢權重方法，借助于經驗因子方法[13]對主客觀權值進行融合，將主觀態勢權重和客觀態勢權重綜合起來抽象為一個最優解問題，通過求解該最優化問題模型得到唯一的一個最優解：

　　通過經驗因子融合權值法，u一般取值范圍為[0，0.5]，根據專家相關經驗和具體實際決策因子進行衡量取值。如果邀請的相關專家的專業認識和經驗不足，則應降低主觀權值的重要度，提高相應的客觀權值的重要度；反之，若專家經驗足夠，且認為數據源的可靠性不高或實際態勢因子可行性低，則相應地增加u的值。

　　2.3 網絡安全態勢量化

　　態勢評估是對當前安全態勢的一種動態理解過程，反映當前網絡的安全狀況。本文致力于研究態勢值計算中的指標權值，通過因子加權函數[14]的融合，提高網絡安全態勢量化結果的準確性。

　　定義4 網絡安全態勢指數：是對某一個時間周期（一般不短于24 h）中影響網絡安全態勢變化的各個因素（如基礎運行性、脆弱性和威脅性）采用綜合加權的方法進行綜合量化而得到一種能反映當前網絡安全態勢的數值。

　　Evaluate=wB1f1+wB2f2+wB3f3（4）

　　定義5 網絡脆弱指數：是對某個時間周期中影響脆弱性的各個二級指標進行因子加權融合得到的數值。其他威脅性指數和基礎運行指數的形成與之類似，都是通過相應的因子加權融合而成。

　　以上三式中，?琢i，λi，δi，w1，w2，w3都代表相應的權值系數；xi，yi，zi分別表示各個指標對應的態勢因子值。

3 實驗結果及分析

　　3.1 實驗環境的搭建

　　為了驗證本文提出的基于綜合加權的網絡安全態勢量化評估方法的合理性與正確性，本文搭建由主機、路由器、交換機、防火墻、漏洞掃描、入侵檢測snort等設備組成實驗環境。實驗數據主要來源于Snort攻擊信息、Netflow數據流信息、主機的Nessus漏洞掃描信息、Firewall日志信息、IDS入侵檢測日志信息。在實驗中，當正常網絡遭到各類惡意攻擊流量注入時，從各網絡節點獲取實驗所需的異常數據，并在MATLAB7.0平臺下搭建網絡安全態勢評估模型，進行仿真實驗；當采集的態勢數據為大樣本數據時，對數據進行等距離離散法[14]和無量綱歸一化處理，得到實驗所需的在[0，1]之間的規范化數據。

　　3.2 綜合指標權值處理過程

　　3.2.1 主觀權值計算

　　基于層次分析法的主觀權重賦值主要依賴專家經驗對實際環境的考察和總結。本文邀請多名專家對網絡各個屬性進行了綜合評價，得到一致性結論：基礎運行性是網絡安全運行的特征，其地位比其他兩者重要得多；脆弱性和威脅性雖然可能導致網絡安全態勢降低，但兩者比重較低。

　　根據專家意見構建準則層因素兩兩之間對目標網絡安全態勢的判別矩陣如圖3所示，令A為目標網絡安全態勢，B1為脆弱性態勢，B2為基礎運行性態勢，B3為威脅性態勢。

　　求得矩陣的特征向量和最大特征根分別為：w′A= [0.2，0.6，0.2]T和λmax=3。檢驗矩陣的一致性：，表明此矩陣完全一致。綜上所得準則層的權值向量為w′A=[0.2，0.6，0.2]T。

　　根據上述原理分別求得指標層對準則的權值向量（不再累贅復述）：w′B1=[0.312，0，246，0，108，0.108，  0.108，0.118]T；w′B2=[0.339，0.084，0.048，0.217，0.101，0.098，0.068，0.045]T；w′B3=[0.215，0.101，0.098，0.224，0.064，0.201，0.097]T。

　　3.2.2 客觀權值計算

　　本文以脆弱性指標為例，通過各類檢測設備獲取100組檢測數據，將其離散歸一后得到規范化實驗數據；以脆弱性二級指標作為決策系統的條件屬性；參考snort手冊規定的風險程度分別為：1為低、2為中和3為高。表1展示部分信息決策。

　　根據粗糙集的屬性的約簡能力，可對該表進行約簡，刪除指標中冗余成份。由表1的結果顯示：a~e中POSC（D）≠POSC-i（D）（i=a，b，c，d，e），表明條件屬性a~e為不可約簡屬性；而POSC（D）=POSC-f（D），表明條件屬性f為可約簡屬性。綜上所述，指標f為冗余指標，需要剔除。

　　依照式（1），式（2）所得脆弱性二級指標權值為wB1″=[0，333，0，267，0.133，0.133，0.133，0.000]T。

　　同理可得，基礎運行性二級指標權值為wB2″=    [0.352，0.102，0.000，0.209，0.121，0.086，0.130，0.000]T；威脅性二級指標權值wB3″=[0.261，0.089，0.108，0.213，0.000，0.203，0.126]T。

　　3.2.3 綜合權值

　　為綜合3.2.1和3.2.2兩種權賦值方法的優點，從下至上，分別逐層確定每一層指標對上層指標的權值，根據實際情況和專家的經驗取值u=0.382，使主、客權值之比為黃金分割數。其各級指標權值分別如下：一級指標為wA=[0.1691，0，6618，0，1691]T，二級指標為wB1=[0.325，0.259，0.123，0，123，0，123，0.047]T；wB2=[0.347，0.095，0.018，0.212，0.113，0.090，0.106，0.019]T；wB3=[0.243，0.094，0.104，0.217，0.025，0.202，0.115]T。

　　3.3 結果及分析

　　經過多次態勢因子數據的檢測，根據上述因子加權求和法進行網絡安全態勢值的量化。為了方便管理員評價，規定安全態勢值分布在[0，1]之間且把網絡安全態勢劃分為5個危害等級：[0，0.1]，[0.1，0.2]，[0.2，0.3]，[0.3，0.5]，[0.5，1]，危險性隨不同等級逐層增大，當安全態勢值趨近于1時，表示當前網絡運行極不安全，反之亦然。繪出如圖4的網絡安全態勢曲線，反映本時段的網絡安全態勢狀況。

　　4 結論

　　粗糙集理論在網絡安全態勢評估中能有效度量各網絡安全態勢要素重要性，在處理海量的網絡數據時能避免不確定性、冗余性和高維性對態勢因子篩選的干擾。本文提出的基于綜合加權的網絡安全態勢評估方法能夠避免傳統層次分析法導致安全態勢評估結果不準確的問題，又能減少粗糙集約簡不充分造成的評估低效問題。仿真結果表明，此方法能夠提高網絡安全態勢評估的準確度，滿足對網絡安全態勢評估的要求。

參考文獻

　　[1] 龔正虎，卓瑩.網絡安全態勢感知[J].軟件學報，2010，21（7）：1605-1619.

　　[2] BASS T， ARBOR A. Multisensor data fusion for next generation distributed intrusion detection syste ms[C]. Proceeding of IRIS National Symposium on Sensor and Data Fusion， Laurel， MD： [s.n.]，1999：24-27.

　　[3] 陳秀真，鄭慶華，管曉宏，等.層次化網絡安全威脅態勢量化評估方法[J].軟件學報，2006，17（4）：885-897.

　　[4] 韋勇，連一峰.基于日志審計與性能修正算法的網絡安全態勢評估模型[J].計算機學報，2009，32（4）：763-772.

　　[5] 李方偉，楊紹成，朱江.基于模糊層次法的改進型網絡安全態勢評估方法[J].計算機應用，2014，34（9）：2622-2626.

　　[6] 劉延華，陳國龍，吳瑞芬.基于云模型和AHP的網絡信息系統可生存性評估[J].通信學報，2014，35（8）：107-115.

　　[7] PAWLAK Z. Rough sets and intelligent data analysis[J]. Information Sciences， 2002，147（1）：1-12.

　　[8] 王國胤，姚一豫，于洪.粗糙集理論與應用研究綜述[J].計算機學報，2009，32（7）：1229-1246.

　　[9] 王宇飛，徐志博，王婧.層次化電力信息網絡威脅態勢評估方法[J].中國電力，2013，46（7）：121-125.

　　[10] 賈焰，王曉偉，韓偉紅，等.YHSSAS：面向大規模網絡的安全態勢感知系統[J].計算機科學，2011，38（2）：4-9.

　　[11] 卓瑩，何明，龔正虎.網絡安全態勢評估的粗集分析模型[J].計算機工程與科學，2012，34（3）：326-330.

　　[12] 陸悠，羅軍舟，李偉，等.面向網絡狀態的自適應用戶行為評估方法[J].通信學報，2013，34（7）：71-80.

　　[13] 文志誠，曹春麗.基于因子加權的網絡安全態勢感知方法[J].計算機應用，2015，35（5）：1393-1398.

　　[14] 高春維，譚旭.決策屬性未知下的學生評教粗糙集分析[J].計算機工程與應用，2012，48（9）：238-241．