引言
目前,網(wǎng)絡(luò)安全事件層出不窮。但所有的網(wǎng)絡(luò)安全防御措施都無法保證網(wǎng)絡(luò)的絕對(duì)安全。因此,對(duì)網(wǎng)絡(luò)所面臨的安全風(fēng)險(xiǎn)進(jìn)行實(shí)時(shí)感知和分析評(píng)估(如危險(xiǎn)程度大小)就非常重要。目前,靜態(tài)的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估模型? 可以對(duì)網(wǎng)絡(luò)長(zhǎng)期所處的風(fēng)險(xiǎn)狀態(tài)進(jìn)行粗略評(píng)估,但無法實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)正在遭受的攻擊,缺少自適應(yīng)性。動(dòng)態(tài)網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估方面,文獻(xiàn)[2]提出了基于主機(jī)的實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估;文獻(xiàn)[3]提出了使用網(wǎng)絡(luò)節(jié)點(diǎn)關(guān)聯(lián)性的分析方法;文獻(xiàn)[4]提出了基于隱馬爾可夫模型(Hidden Markov Model,HMM)的實(shí)時(shí)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)量化方法;文獻(xiàn)[5]提出了基于人工免疫的風(fēng)險(xiǎn)檢測(cè)和評(píng)估方法;文獻(xiàn)[6]使用云模型對(duì)內(nèi)部威脅進(jìn)行感知;文獻(xiàn)分別使用層次分析法、信息熵、核函數(shù)、粗糙集、概率風(fēng)險(xiǎn)分析法、模糊集合分析法等智能方法對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行評(píng)估;文獻(xiàn)[12]通過云控制器和規(guī)則實(shí)現(xiàn)了網(wǎng)絡(luò)風(fēng)險(xiǎn)的分析和評(píng)估。
由于網(wǎng)絡(luò)入侵具有隨機(jī)性,而對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的評(píng)估一般用自然語言來描述(如危險(xiǎn)、安全),具有一定的模糊性,并且隨機(jī)性和模糊性之間具有一定的關(guān)聯(lián)。此外,網(wǎng)絡(luò)風(fēng)險(xiǎn)程度是定性概念,而引起網(wǎng)絡(luò)風(fēng)險(xiǎn)變化的各個(gè)參數(shù)的值是定量的。典型的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估方法中,多是單一地從定性(定量)角度去分析,或者分別從隨機(jī)性和模糊性的角度去分析網(wǎng)絡(luò)風(fēng)險(xiǎn),因此,評(píng)估的結(jié)果還不夠客觀;诖,本文利用云模型有效集成了模糊性和隨機(jī)性的特點(diǎn),提出一種基于云模型的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估方法。用云模型從多角度將網(wǎng)絡(luò)入侵的定性、定量特征融合分析并進(jìn)行決策,同時(shí)兼顧網(wǎng)絡(luò)風(fēng)險(xiǎn)的模糊性和隨機(jī)性的特點(diǎn),提高了入侵風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性和客觀性。
1 理論基礎(chǔ)和設(shè)計(jì)思想
1.1 云模型的基本概念
云模型能夠?qū)崿F(xiàn)用語言值表示的某個(gè)定性概念與其定量(數(shù)值)表示之間的不確定轉(zhuǎn)換。它主要反映知識(shí)中概念的兩種不確定性:模糊性和隨機(jī)性以及二者之間的關(guān)聯(lián)性。云模型中云由許許多多云滴組成,云的整體形狀反映了定性概念的重要特性。云用期望值EX、熵En、超熵He三個(gè)數(shù)值特征來表示,記作C(Ex,En,He),即云的向量特征。它們反映了定性知識(shí)的定量特性:期望EX反映了相應(yīng)的定性知識(shí)的信息中心值;熵En是定性概念隨機(jī)性的度量,反映了能夠代表這個(gè)定性概念的云滴的離散程度;超熵HE是熵En的熵,反映了云的離散程度。超熵的大小間接地反映了云的厚度,即確定度的不確定性, 越小,說明隨機(jī)性越小。經(jīng)統(tǒng)計(jì)分析,對(duì)于論域U中定性概念C有貢獻(xiàn)的云滴(占99.74%)主要落在區(qū)間[Ex一3En,Ex+3En],因此這個(gè)區(qū)間以外的云滴對(duì)定性概念的貢獻(xiàn)可以忽略 。
1.2設(shè)計(jì)思想
在網(wǎng)絡(luò)中,當(dāng)主機(jī)遭受到入侵攻擊時(shí),其主要性能指標(biāo)(如CPU占用率、內(nèi)存占用率)必然會(huì)發(fā)生異常變化,同時(shí),這些變化的幅度也決定了網(wǎng)絡(luò)風(fēng)險(xiǎn)大小。因此,可以根據(jù)系統(tǒng)主要指標(biāo)的變化來確定網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)程度。網(wǎng)絡(luò)入侵的發(fā)生具有很大的隨機(jī)性,而對(duì)網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)的評(píng)估多采用自然語言來描述,這導(dǎo)致風(fēng)險(xiǎn)評(píng)估結(jié)果又具有一定的模糊性;同時(shí),在遭受到入侵時(shí)候,各參數(shù)之間的變化是相互關(guān)聯(lián)的(比如,CPU占用率的提高往往跟內(nèi)存占用率有關(guān)系)。因此,必須實(shí)現(xiàn)定量定性之間的轉(zhuǎn)換,以及考慮模糊性和隨機(jī)性的關(guān)聯(lián),才能更準(zhǔn)確地評(píng)估風(fēng)險(xiǎn)。云模型把定性概念的模糊性和隨機(jī)性及二者的關(guān)聯(lián)性有效集成在一起,構(gòu)成定性和定量相互間的轉(zhuǎn)換。因此,可以采用云模型描述多個(gè)系統(tǒng)參數(shù)及其變化之間的關(guān)聯(lián)性,從而對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行評(píng)估決策。
本文方法的基本任務(wù)為:根據(jù)系統(tǒng)當(dāng)前性能指標(biāo)的狀態(tài)值,依據(jù)設(shè)計(jì)的云決策發(fā)生器,輸出系統(tǒng)的危險(xiǎn)級(jí)別。具體思想和實(shí)現(xiàn)過程如下:1)確定出能夠影響系統(tǒng)性能的主要指標(biāo)并形式化;2)設(shè)置系統(tǒng)的狀態(tài)為(不正常,不太正常,基本正常,正常),相應(yīng)的風(fēng)險(xiǎn)評(píng)估結(jié)果為(高,較高,較低,低),對(duì)相應(yīng)危險(xiǎn)級(jí)別的系統(tǒng)資源變量進(jìn)行采樣,利用逆向正態(tài)云算法計(jì)算相應(yīng)級(jí)別的標(biāo)準(zhǔn)概念云;3)定量輸入處理,根據(jù)云相似度算法,對(duì)于某一時(shí)刻的輸入,輸出系統(tǒng)的危險(xiǎn)程度(高,較高,較低,低)。
2關(guān)鍵技術(shù)與實(shí)現(xiàn)
定義1 風(fēng)險(xiǎn)評(píng)估模型為形=(F,V,E),其中,F(xiàn)、V、E分別代表因素集、權(quán)重集、評(píng)價(jià)集。因素集F=(F1,F(xiàn)2,...,F(xiàn)。)分別代表影響網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估值的n個(gè)因素,如cPu占用率、內(nèi)存占用率、進(jìn)程響應(yīng)時(shí)間等;權(quán)重集V=(V1,V2,...,Vn)代表各因素所占的權(quán)重,且V1+V2+?+VN=19VT>O(1≤i≤n);風(fēng)險(xiǎn)結(jié)果評(píng)判集設(shè)為E=(高,較高,較低,低)。
定義2 系統(tǒng)變量云。定義系統(tǒng)變量云為:Cloud=(S,T,En,Ex,He),其中S代表需要采樣的系統(tǒng)資源集合(包括內(nèi)存占有率、CPU占有率、進(jìn)程響應(yīng)時(shí)間等),T為采樣時(shí)間間隔。
2.1云發(fā)生器的構(gòu)造
云發(fā)生器的構(gòu)造需要先驗(yàn)知識(shí)。雖然網(wǎng)絡(luò)入侵的出現(xiàn)具有不確定性和難以預(yù)知性,但正常狀態(tài)(安全狀態(tài))是確定的,同時(shí)某些已知的入侵發(fā)生時(shí)系統(tǒng)的狀態(tài)也是可得的。因此,可以得到正常狀態(tài)下的數(shù)字特征,從而得到標(biāo)準(zhǔn)概念云。
1)標(biāo)準(zhǔn)概念云的生成。
在網(wǎng)絡(luò)正常運(yùn)行情況下,采用滑動(dòng)窗口的方式對(duì)系統(tǒng)參數(shù)進(jìn)行連續(xù)采樣,獲取正常狀態(tài)樣本點(diǎn),將樣本點(diǎn)的各維(即各系統(tǒng)參數(shù))規(guī)格化到[0,1]內(nèi)(這里盡可能多地進(jìn)行采樣,以便使結(jié)果更加準(zhǔn)確)。由于網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估中,只能得到采樣到的一組數(shù)據(jù)值,而很難獲得確定度,所以,本文采用未知確定度的逆向云發(fā)生器算法,用此算法求出此云的數(shù)字特征,然后采用正向云生成算法,得到該正常概念云。
2)其他狀態(tài)的概念云生成關(guān)鍵技術(shù)。
對(duì)于其他概念云的生成,本文采用實(shí)際數(shù)據(jù)采集與估算相結(jié)合的方法。理想情況下,“正!备拍钤婆c“不正!备拍钤朴薪患,說明兩個(gè)概念可覆蓋整個(gè)狀態(tài)空間。但實(shí)際上對(duì)網(wǎng)絡(luò)系統(tǒng)而言,不適宜直接劃分為“正!迸c“不正!眱蓚(gè)狀態(tài)。因此,在本文中,對(duì)兩概念云之間未覆蓋的區(qū)域進(jìn)一步劃分,生成四概念云(正常,基本正常,不太正常,不正常)以更好地滿足定性描述網(wǎng)絡(luò)風(fēng)險(xiǎn)的需要。
將正常云的重心EXX和EXF之間的區(qū)域平分為兩部分,分別設(shè)為基本正常和不太正常概念云。根據(jù)云滴對(duì)概念的貢獻(xiàn),論域中對(duì)概念有貢獻(xiàn)的云滴,主要落在區(qū)間[Ex一En,Ex+3En]。本文中,基于黃金分割率的云生產(chǎn)方法,相鄰云的熵和超熵,預(yù)設(shè)較小者是較大者的0.618倍,估算出Exx1(較正常)和EXF1(較不正常)。最后,生成四尺度的概念云(不正常,不太正常,基本正常,正常),將其投影到一維平面上,如圖1所示。
圖1 四概念云在內(nèi)存上的投影示意圖
3)綜合評(píng)價(jià)云的生成。
其他各系統(tǒng)參數(shù)的概念云的生成類似,將其綜合可以得到綜合評(píng)估。權(quán)重的設(shè)置方法為對(duì)每個(gè)因素都分配相應(yīng)的云權(quán)重(用云來描述權(quán)重),讓云權(quán)重參與綜合評(píng)判,最終通過云計(jì)算得到基于云滴分布的綜合評(píng)價(jià)結(jié)果,改善了直接對(duì)期望值上界溢出進(jìn)行修正而導(dǎo)致的不科學(xué)性函數(shù)。
2.2網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)的評(píng)估和決策過程
本文方法的主要目的在于:根據(jù)當(dāng)前系統(tǒng)變量值,直接感知出系統(tǒng)的安全風(fēng)險(xiǎn),以正確評(píng)估風(fēng)險(xiǎn)。根據(jù)實(shí)際采集到的樣本值,計(jì)算此時(shí)的C(Ex,En,He)和云模型,然后根據(jù)下面的云相似度算法(算法1),計(jì)算此云與已知概念云的相似度,相似度最高的即作為輸出。算法1通過產(chǎn)生一定數(shù)量的云滴,基于云滴之間的距離來度量云的相似度。
從表1可以看出,兩種相似性度量方法均可以正確度量?jī)蓚(gè)云之間的相似度,進(jìn)而得到正確的評(píng)估結(jié)果。與基于屬性相似度的云模型算法相比,本文方法是基于云滴之間的距離來計(jì)算的,避免了屬性權(quán)值等復(fù)雜計(jì)算,算法更加簡(jiǎn)單。本文算法在度量云模型之間相似性方面的優(yōu)點(diǎn)表現(xiàn)為:它不僅考慮了云模型中所產(chǎn)生云滴之間的局部相似性,還考慮了云模型整體形狀之間的全局相似性,使得該算法具有良好的泛化推廣性能。
3 系統(tǒng)仿真實(shí)驗(yàn)
3.1仿真過程與結(jié)果
在windows環(huán)境下,用VC語言對(duì)算法進(jìn)行了驗(yàn)證,數(shù)據(jù)集為美國(guó)林肯實(shí)驗(yàn)室Kddcu印數(shù)據(jù)。具體步驟簡(jiǎn)述如下:1)用不含任何攻擊流量的訓(xùn)練數(shù)據(jù)作為系統(tǒng)正常狀態(tài),從t時(shí)刻開始,以周期T,分別對(duì)CPU占用率和內(nèi)存占用率進(jìn)行
表2 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)決策結(jié)果
從表2可以看出,本方法可以給出正確的評(píng)價(jià)和決策結(jié)果。同時(shí),從云的數(shù)字特征C(Ex,En,Ee)可以看出,風(fēng)險(xiǎn)較低、較高狀態(tài)的熵En和超熵He相對(duì)較大。熵En較大表明了此定性概念隨機(jī)性較大,比較離散,網(wǎng)絡(luò)處于此狀態(tài)具有較大的風(fēng)險(xiǎn);超熵He較大,說明此時(shí)評(píng)估結(jié)果的不確定性較大。這恰好與現(xiàn)實(shí)生活一致:對(duì)網(wǎng)絡(luò)處于安全、不安全狀態(tài)的認(rèn)識(shí)和評(píng)估,不同人評(píng)估結(jié)果差異較。欢鴮(duì)網(wǎng)絡(luò)處于較安全、較不安全狀態(tài)時(shí),不同人評(píng)估結(jié)果差異性較大,也就是說,結(jié)果認(rèn)定不同的可能性較大。因此,基于云模型的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估不僅給出了正確的評(píng)估結(jié)果,而且保留了評(píng)估過程中的不確定性,結(jié)果具有更好的可理解性。
3.2相關(guān)算法比較分析
本文主要是利用云模型把模糊性與隨機(jī)性完美結(jié)合的優(yōu)點(diǎn),將其引入到網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估中。因此,主要與基于模糊思想與隨機(jī)性思想進(jìn)行風(fēng)險(xiǎn)評(píng)估的相關(guān)典型算法進(jìn)行比較。與基于概率的評(píng)估方法相比,雖然概率評(píng)估方法保留了評(píng)估結(jié)果的不確定性,但對(duì)評(píng)價(jià)集合的概率密度函數(shù)有嚴(yán)格要求,而且沒有考慮模糊性。與基于模糊思想(型1模糊集)的評(píng)估方法相比,模糊評(píng)估方法要求給出確定的隸屬度函數(shù),一旦定義了隸屬度,實(shí)際上進(jìn)入了精確數(shù)學(xué),此后的推理、計(jì)算毫無模糊性可言,因此,對(duì)于相同的輸入,總會(huì)得到相同的結(jié)果,不符合人們對(duì)自然語言中概念理解的不確定性。型2模糊集糾改進(jìn)了型1模糊系統(tǒng)在處理不確定性方面的不足,進(jìn)一步給出模糊集合中隸屬度值的模糊程度,處理實(shí)際對(duì)象的不確定性。型2模糊集給出了隸屬度函數(shù)的隸屬度,使描述的集合模糊性增強(qiáng),進(jìn)一步刻畫了模糊現(xiàn)象,其評(píng)估過程與型l模糊集相似,計(jì)算較為復(fù)雜,運(yùn)算量較大。云模型方法既反映了性能采樣樣本出現(xiàn)的隨機(jī)性,又反映了隸屬程度的不確定性,揭示了模糊性和隨機(jī)性之間的關(guān)聯(lián)性,最大限度地保留了評(píng)估過程中固有的不確定性,并且對(duì)語言值的描述采用期望、熵、超熵表示,具有相同的形態(tài)和更好的可理解性,提高了評(píng)估結(jié)果的可信度,推理結(jié)果更加合理而且貼近實(shí)際。表3給出了相關(guān)算法的比較分析。
表3 相關(guān)網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估算法比較
4 結(jié)語
本文提出了一種基于云模型的網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)評(píng)估和決策方法,設(shè)計(jì)了一種改進(jìn)云相似度計(jì)算方法,并驗(yàn)證了其有效性。如何更合理及更準(zhǔn)確地采樣影響系統(tǒng)的性能參數(shù),以使得評(píng)價(jià)結(jié)果更科學(xué)可信,是下一步研究的方向。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的云決策
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083952111.html