不完全信息下的威脅處置效果模糊評(píng)估

李鳳華，李勇俊，楊正坤，張晗，張玲翠

（1. 中國科學(xué)院信息工程研究所，北京100093；2. 中國科學(xué)院大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，北京 100049；3. 通信網(wǎng)信息傳輸與分發(fā)技術(shù)重點(diǎn)實(shí)驗(yàn)室，河北 石家莊 050081）

1 引言

網(wǎng)絡(luò)威脅日益嚴(yán)重，攻擊手段層出不窮。2017年5月，勒索病毒W(wǎng)annaCry爆發(fā)，至今已感染全球超過150個(gè)國家的近500萬臺(tái)計(jì)算機(jī)。為了應(yīng)對威脅、攔截攻擊，研究人員提出了各類威脅處置方案[1]，通過在攻擊發(fā)生前、發(fā)生中或發(fā)生后部署各類安全措施，實(shí)現(xiàn)對威脅的處置。

然而，由于安全局勢瞬息萬變，難以確保威脅處置方案可以有效地阻止攻擊，所部署安全措施的合理性也無法保證，甚至無法知曉安全措施是否按照預(yù)期真實(shí)、有效部署，因此，需要在部署安全措施后對其合理性、有效性進(jìn)行評(píng)價(jià)，如系統(tǒng)運(yùn)行狀態(tài)是否恢復(fù)正常、服務(wù)質(zhì)量是否得到改善等，即需要對威脅處置效果進(jìn)行評(píng)估。威脅處置效果評(píng)估指對威脅處置前后被保護(hù)對象安全狀態(tài)的變化情況的度量，反映了被保護(hù)對象在威脅處置后安全狀態(tài)的提升或下降情況，是選取、評(píng)價(jià)和調(diào)整威脅處置方案的重要依據(jù)。

現(xiàn)有關(guān)于威脅處置效果評(píng)估的工作主要從受害主機(jī)/網(wǎng)絡(luò)或用戶感受的角度選取效果評(píng)估指標(biāo)，或僅從風(fēng)險(xiǎn)變化角度考慮處置的有效性，忽略了不同維度指標(biāo)對處置效果的綜合影響，且未考慮指標(biāo)數(shù)據(jù)本身的不準(zhǔn)確性和模糊性，造成了評(píng)估的片面性和不準(zhǔn)確性。

不僅如此，現(xiàn)有處置效果評(píng)估方案在評(píng)估過程中，要求所選取的指標(biāo)數(shù)據(jù)可以真實(shí)、準(zhǔn)確、有效地被獲取，然而對于實(shí)際網(wǎng)絡(luò)環(huán)境，處置效果評(píng)估數(shù)據(jù)獲取過程中，這樣的要求難以實(shí)現(xiàn)，具體可能存在以下問題：1) 由于指標(biāo)獲取技術(shù)手段的限制，無法獲取相應(yīng)指標(biāo)數(shù)據(jù)；2) 由于部分設(shè)備可能已遭受攻擊，不在受控范圍內(nèi)，無法提供相應(yīng)指標(biāo)數(shù)據(jù)；3) 由于數(shù)據(jù)獲取頻率設(shè)置不恰當(dāng)?shù)仍颍传@取到所需時(shí)刻的指標(biāo)數(shù)據(jù)；4) 由于網(wǎng)絡(luò)傳輸?shù)牟豢煽啃裕瑢?dǎo)致獲取的指標(biāo)數(shù)據(jù)在傳輸過程中丟失；5) 部分用戶可能出于自我隱私保護(hù)的需要，拒絕提供相關(guān)指標(biāo)數(shù)據(jù)。以上問題都會(huì)導(dǎo)致指標(biāo)數(shù)據(jù)的缺失和遺漏，從而影響處置效果評(píng)估的準(zhǔn)確性。

針對上述問題，本文提出了威脅處置效果模糊評(píng)估模型。該模型綜合考慮防守方和攻擊方 2個(gè)角度，從運(yùn)行狀態(tài)、系統(tǒng)行為、服務(wù)情況和報(bào)警情況4個(gè)維度綜合選取處置效果評(píng)估指標(biāo)，并利用模糊層次分析法確定不同指標(biāo)的權(quán)重，然后通過模糊綜合評(píng)價(jià)法確定威脅處置效果；在此基礎(chǔ)上，對模糊層次分析和模糊綜合評(píng)價(jià)過程中的數(shù)據(jù)缺失情況進(jìn)行分析，并對缺失數(shù)據(jù)進(jìn)行補(bǔ)全。本文的主要貢獻(xiàn)如下。

1) 綜合考慮攻防雙方 2個(gè)角度的運(yùn)行狀態(tài)、系統(tǒng)行為、服務(wù)情況和報(bào)警情況這4個(gè)維度的各類指標(biāo)對威脅處置效果評(píng)估的影響，以及評(píng)估過程中各指標(biāo)數(shù)據(jù)的不準(zhǔn)確性和模糊性，將模糊評(píng)價(jià)思想（模糊層次分析法和模糊綜合評(píng)價(jià)法）引入處置效果評(píng)估。

2) 在模糊評(píng)估過程中利用“元素補(bǔ)全”思想對缺失元素進(jìn)行填補(bǔ)。具體地，針對層次分析時(shí)判斷矩陣數(shù)據(jù)缺失問題，利用指標(biāo)重要性的傳遞性關(guān)系對缺失元素進(jìn)行補(bǔ)全；針對綜合評(píng)價(jià)時(shí)指標(biāo)數(shù)據(jù)缺失問題，通過矩陣分解對缺失元素進(jìn)行補(bǔ)全，解決了數(shù)據(jù)不完全的問題，增強(qiáng)了所提效果評(píng)估方法在實(shí)際網(wǎng)絡(luò)環(huán)境中的實(shí)用性和可操作性。

3) 在實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境下，對所提出的方法進(jìn)行了實(shí)驗(yàn)驗(yàn)證。實(shí)驗(yàn)結(jié)果表明，本文方法可有效處理信息不完全的情況，實(shí)現(xiàn)了對威脅處置效果的有效評(píng)估。

2 相關(guān)工作

目前，針對威脅處置效果的評(píng)估方法相對較少，但從安全評(píng)估技術(shù)本身出發(fā)，已有很多研究，且可供處置效果評(píng)估借鑒。本節(jié)主要從評(píng)估技術(shù)本身入手，對相關(guān)研究進(jìn)行論述。

2.1 基于層次分析的安全評(píng)估

基于層次分析[2]（AHP，analytic hierarchy process）的評(píng)估是指通過目標(biāo)層、準(zhǔn)則層、方案層等分層形式構(gòu)建樹狀指標(biāo)評(píng)估體系，將定性分析與定量計(jì)算相結(jié)合的多目標(biāo)評(píng)價(jià)方法。

張義榮等[3]基于層次分析法確定吞吐量、時(shí)延等指標(biāo)的權(quán)重，并通過網(wǎng)絡(luò)熵對攻擊前后的安全狀態(tài)進(jìn)行比較，得到網(wǎng)絡(luò)熵差從而得到攻擊效果的評(píng)價(jià)結(jié)果，但在指標(biāo)權(quán)重確定過程中，忽略了用戶評(píng)價(jià)的模糊性，難以保證評(píng)估的準(zhǔn)確性。Li等[4]提出了一種基于灰關(guān)聯(lián)的指標(biāo)體系以避免指標(biāo)的任意選擇，設(shè)計(jì)了一種基于區(qū)間數(shù)互判別矩陣的 AHP方法，該方法擴(kuò)展了經(jīng)典的層次分析法，處理不同領(lǐng)域?qū)＜姨岢龅目赡艿拿芤庖姡约霸u(píng)價(jià)中收集獨(dú)立和不確定數(shù)據(jù)的標(biāo)準(zhǔn)化問題，并給出了新的灰色層次分析模型的轉(zhuǎn)換和優(yōu)化方法，最后基于上述方法建立了一種改進(jìn)的灰色變權(quán)重聚類評(píng)價(jià)模型。Gao等[5]針對服務(wù)質(zhì)量的層次分析評(píng)估過程中，判斷矩陣難以獲取而導(dǎo)致的排序困難問題，基于不完備判斷矩陣提出了一種改進(jìn)的 AHP評(píng)估方法，該方法通過考慮判斷矩陣中元素的傳遞性對缺失元素進(jìn)行補(bǔ)全，從而提高評(píng)估方法的實(shí)用性，但在評(píng)估過程中未考慮判斷矩陣元素的模糊性問題。

采用層次分析的好處是表示清晰、易于理解，在使用過程中容易擴(kuò)展，可根據(jù)需要隨時(shí)增加。但是影響指標(biāo)因素的選取主觀性較強(qiáng)，在實(shí)際應(yīng)用中，判斷矩陣中的值無法完全獲取。

2.2 基于知識(shí)推理的安全評(píng)估

基于知識(shí)推理的評(píng)估方法充分利用歷史經(jīng)驗(yàn)建立評(píng)估模型，通過模糊理論、圖模型、D-S證據(jù)理論等方法處理不確定性，利用邏輯推理方法實(shí)現(xiàn)對目標(biāo)對象的評(píng)估。

Alali等[6]利用Mamdani模糊推理系統(tǒng)設(shè)計(jì)了一個(gè)風(fēng)險(xiǎn)評(píng)估模型，模型綜合脆弱性、威脅、可能性和影響這 4個(gè)風(fēng)險(xiǎn)因素，生成風(fēng)險(xiǎn)評(píng)估結(jié)果，以確定可能威脅實(shí)體的風(fēng)險(xiǎn)范圍。Samantra等[7]在提出層次化風(fēng)險(xiǎn)結(jié)構(gòu)表示方法的基礎(chǔ)上建立了定性風(fēng)險(xiǎn)評(píng)估的形式化模型。該模型首先定義了風(fēng)險(xiǎn)的基本參數(shù)——異常可能性（likelihood）和嚴(yán)重程度，并利用模糊集理論代替概率評(píng)估，通過廣義梯形模糊數(shù)的質(zhì)心法的概念來量化風(fēng)險(xiǎn)程度，提高決策可靠性。Rashidi等[8]提出了基于隱馬爾可夫模型（HMM,hidden Markov model）的Android應(yīng)用程序和資源風(fēng)險(xiǎn)評(píng)估框架XDroid，該框架將地圖類應(yīng)用程序的行為作為觀察組，得到關(guān)于時(shí)間戳的觀測集，引入在線學(xué)習(xí)模型來整合用戶輸入，從而提供自適應(yīng)的風(fēng)險(xiǎn)評(píng)估。Sen等[9]提出了一種基于攻擊圖的傳感器云中無線傳感器網(wǎng)絡(luò)WSN（wireless sensor network）的風(fēng)險(xiǎn)評(píng)估框架，該框架使用貝葉斯網(wǎng)絡(luò)來評(píng)估和分析不同時(shí)間段內(nèi)攻擊對系統(tǒng)安全參數(shù)（如機(jī)密性、完整性、可用性等）的影響，從而評(píng)估風(fēng)險(xiǎn)。

基于知識(shí)推理的評(píng)估方法將“知識(shí)”的運(yùn)用融合到推理過程中，評(píng)估結(jié)果可對目標(biāo)對象進(jìn)行優(yōu)劣等級(jí)或類型劃分，清晰明了。但該方法要求維護(hù)大量推理規(guī)則，空間開銷和推理代價(jià)都很高。

2.3 基于模式識(shí)別的安全評(píng)估

基于模式識(shí)別的評(píng)估方法指通過機(jī)器學(xué)習(xí)建立目標(biāo)對象的模板，通過模式匹配的方式，完成對目標(biāo)對象的劃分。

楊豪璞等[10]對網(wǎng)絡(luò)中的安全事件進(jìn)行場景聚類以識(shí)別攻擊者，對每個(gè)攻擊場景進(jìn)行因果關(guān)聯(lián)，識(shí)別出相應(yīng)的攻擊軌跡與攻擊階段，建立態(tài)勢量化標(biāo)準(zhǔn)，結(jié)合攻擊階段及其威脅指數(shù)，實(shí)現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的評(píng)估。黃亮等[11]針對評(píng)估過程需要卸載和重新部署處置措施所帶來的高成本問題，提出一種基于神經(jīng)網(wǎng)絡(luò)的分布式拒絕服務(wù)（DDoS, distributed denial of service）攻擊的處置效果評(píng)估方案，但該方案僅從用戶感受角度進(jìn)行指標(biāo)選取，雖然降低了指標(biāo)數(shù)據(jù)的獲取難度，但無法保證評(píng)估的準(zhǔn)確性和全面性。黃亮等[12]利用多屬性決策理論，綜合考慮了合法用戶平均等待時(shí)間、合法用戶請求應(yīng)答率等指標(biāo)對DDoS攻擊處置措施的效果進(jìn)行評(píng)估，但在各指標(biāo)權(quán)重的確定過程中，僅從攻擊者和防御者 2個(gè)角度對權(quán)重進(jìn)行計(jì)算，未考慮用戶評(píng)價(jià)及偏好對權(quán)重的影響，且忽略了指標(biāo)之間的層次關(guān)系。

基于模式識(shí)別的評(píng)估方法將機(jī)器學(xué)習(xí)引入評(píng)估過程，可從歷史數(shù)據(jù)中自動(dòng)學(xué)習(xí)目標(biāo)對象劃分知識(shí)。但該方法計(jì)算量大，在非實(shí)時(shí)環(huán)境中效果較好，在實(shí)時(shí)環(huán)境中難以滿足實(shí)時(shí)性要求。

現(xiàn)有的評(píng)估方法的主要思路是，獲取所有需要的指標(biāo)或表征數(shù)據(jù)，對得到的各類表征數(shù)據(jù)進(jìn)行融合處理，從而得到一個(gè)評(píng)估結(jié)果。不同方法之間的差異主要體現(xiàn)在融合信息來源不同、融合方法不同，但這些評(píng)估方法的前提條件之一是獲取評(píng)估所需的所有指標(biāo)數(shù)據(jù)，這在現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中難以實(shí)現(xiàn)，從而使得這些方法可行性低。

本文提出不完全信息下的威脅處置效果模糊評(píng)估方法，從攻防雙方2個(gè)角度的運(yùn)行狀態(tài)指標(biāo)、系統(tǒng)行為指標(biāo)、服務(wù)情況指標(biāo)和報(bào)警情況4個(gè)維度選取更為全面的評(píng)估指標(biāo)，考慮數(shù)據(jù)不完全的情況設(shè)計(jì)了相應(yīng)的缺失數(shù)據(jù)補(bǔ)全算法，通過模糊評(píng)估模型計(jì)算威脅處置效果。該評(píng)估方法不要求獲取評(píng)估所需要的所有指標(biāo)數(shù)據(jù)，提高了方法的實(shí)用性，并通過模糊評(píng)價(jià)一定程度上解決了主觀經(jīng)驗(yàn)造成的評(píng)估結(jié)果偏差問題，從而提高了評(píng)估的準(zhǔn)確性。

3 模糊評(píng)估樹

對于威脅處置效果的評(píng)估，涉及攻防雙方多個(gè)維度、多種類別的不同指標(biāo)，采用單級(jí)評(píng)估的方式難以合理評(píng)價(jià)不同評(píng)估指標(biāo)對處置效果的影響程度，因此借鑒層次分析思想進(jìn)行指標(biāo)權(quán)重的計(jì)算；同時(shí)，為降低主觀因素對評(píng)估過程的影響，基于模糊評(píng)價(jià)法對處置效果進(jìn)行評(píng)估。

3.1 分層評(píng)估指標(biāo)樹

威脅處置效果的評(píng)估指標(biāo)是對被保護(hù)對象的安全狀況的具體衡量標(biāo)準(zhǔn)，是評(píng)估威脅處置有效性的基本依據(jù)。由于系統(tǒng)的安全保護(hù)涉及諸多方面，如果僅根據(jù)某類或某一指標(biāo)對威脅處置效果進(jìn)行評(píng)價(jià)無疑是片面的、不合理的，難以準(zhǔn)確反映出系統(tǒng)的真實(shí)安全狀況。鑒于威脅處置過程同時(shí)涉及防守方和攻擊方，系統(tǒng)的安全狀況可根據(jù)攻防雙方的狀態(tài)或行為進(jìn)行判斷，因此從攻防雙方2個(gè)角度對各類指標(biāo)進(jìn)行歸類和分析。

從防守方的角度，可將指標(biāo)分為系統(tǒng)運(yùn)行狀態(tài)、系統(tǒng)行為和服務(wù)情況這3個(gè)方面。

1) 運(yùn)行狀態(tài)方面。當(dāng)被保護(hù)對象受到攻擊時(shí)，其系統(tǒng)運(yùn)行狀態(tài)會(huì)發(fā)生改變，例如當(dāng)系統(tǒng)遭受拒絕服務(wù)攻擊時(shí)，系統(tǒng)的CPU占用率會(huì)顯著高于正常水平。因此，系統(tǒng)的安全狀況可通過系統(tǒng)運(yùn)行狀態(tài)反映。

2) 系統(tǒng)行為方面。當(dāng)被保護(hù)對象遭遇入侵時(shí)，惡意程序需要通過修改系統(tǒng)參數(shù)等系統(tǒng)行為實(shí)現(xiàn)特定目的，例如為了實(shí)現(xiàn)自身的有效隱藏，惡意程序會(huì)對系統(tǒng)注冊表進(jìn)行修改。因此，系統(tǒng)行為可在一定程度上反映出系統(tǒng)的安全狀況。

3) 服務(wù)情況方面。服務(wù)類被保護(hù)對象遭受攻擊時(shí)，不僅自身會(huì)受影響，還會(huì)波及接受其服務(wù)的用戶。例如，當(dāng)Web服務(wù)遭受拒絕服務(wù)攻擊時(shí)，合法用戶訪問Web頁面時(shí)會(huì)出現(xiàn)明顯時(shí)延。因此，系統(tǒng)的安全狀況還可以通過系統(tǒng)對外提供服務(wù)的情況反映。

從攻擊方的角度，可以從攻擊成功所需資源（即系統(tǒng)狀態(tài)）、攻擊強(qiáng)度、攻擊頻度、攻擊成功率等維度對威脅處置效果進(jìn)行評(píng)估。但是，由于攻擊方一般不在受控范圍內(nèi)，難以獲取其系統(tǒng)狀態(tài)參數(shù)等信息，在實(shí)際環(huán)境中甚至無法知曉攻擊者的身份和位置，無法直接獲取其相關(guān)指標(biāo)。因此，考慮獲取攻擊方的系統(tǒng)狀態(tài)等信息對威脅處置效果進(jìn)行評(píng)估是不現(xiàn)實(shí)的。但是，入侵檢測類系統(tǒng)/設(shè)備可以以報(bào)警信息的形式，間接提供威脅相關(guān)信息。例如，當(dāng)攻擊者對系統(tǒng)進(jìn)行拒絕服務(wù)攻擊時(shí)，安全監(jiān)測類設(shè)備會(huì)根據(jù)攻擊的行為特征對流量進(jìn)行分析，從而向用戶發(fā)出可能遭受攻擊的報(bào)警。因此，可將報(bào)警情況作為攻擊方相關(guān)狀態(tài)和行為的反映指標(biāo)，從而對威脅處置效果進(jìn)行評(píng)估。基于以上分析，本文從系統(tǒng)狀態(tài)、系統(tǒng)行為、服務(wù)情況、報(bào)警情況4個(gè)維度對處置效果進(jìn)行評(píng)估。

上述4個(gè)維度僅將各類指標(biāo)進(jìn)行了分類，在實(shí)際評(píng)估過程中需要將其進(jìn)一步細(xì)分為不同的指標(biāo)。其中，系統(tǒng)狀態(tài)可以細(xì)分為CPU占用率、內(nèi)存占用率、帶寬占用率、磁盤占用率等；系統(tǒng)行為可以細(xì)分為對系統(tǒng)關(guān)鍵文件的讀取/修改/刪除的頻度、時(shí)間等；服務(wù)情況可以細(xì)分為服務(wù)響應(yīng)時(shí)延、分組丟失率、網(wǎng)絡(luò)傳輸時(shí)延、響應(yīng)成功率、服務(wù)時(shí)間抖動(dòng)等；報(bào)警情況包括報(bào)警數(shù)量、報(bào)警頻率、報(bào)警種類、報(bào)警確信度、報(bào)警指示的攻擊嚴(yán)重程度等。

由于不同類型的攻擊針對的攻擊對象存在差異，對被攻擊對象的影響也不盡相同，因此針對不同類型的攻擊/威脅的處置，需要根據(jù)攻擊特征和受攻擊后對象受影響情況選取不同的指標(biāo)進(jìn)行威脅處置效果評(píng)估。整體上可依據(jù)如圖1所示的分層指標(biāo)樹進(jìn)行評(píng)價(jià)。

3.2 模糊層次分析

由于層次分析法無法解決評(píng)估數(shù)據(jù)本身的不準(zhǔn)確性問題（例如，報(bào)警準(zhǔn)確度指標(biāo)是入侵檢測類系統(tǒng)/設(shè)備根據(jù)網(wǎng)絡(luò)流量特征等產(chǎn)生的一個(gè)非精確指標(biāo)，其本身就存在誤差甚至錯(cuò)誤），模糊層次分析方法[13]被提出，將三角模糊數(shù)等引入層次分析過程，以解決數(shù)據(jù)的不準(zhǔn)確性問題。

圖1 分層評(píng)估指標(biāo)樹

3.2.1 確定指標(biāo)重要性標(biāo)度

為便于后續(xù)分析，首先對指標(biāo)的重要性標(biāo)度進(jìn)行說明。按照層次分析法的劃分方式，各指標(biāo)之間的重要性比較結(jié)果包括以下5種重要性標(biāo)度：同等重要、稍微重要、重要、明顯重要、非常重要。在模糊層次分析中，分別用0.5、0.6、0.7、0.8和0.9表示，并用0.1、0.2、0.3和0.4表示反比較。

3.2.2 構(gòu)造模糊判斷矩陣

在構(gòu)造指標(biāo)重要性比較的模糊判斷矩陣之前，需要先對各指標(biāo)重要性比較結(jié)果對重要性標(biāo)度的隸屬度進(jìn)行計(jì)算。現(xiàn)有常用的隸屬函數(shù)包括三角函數(shù)型、梯形分布型、正態(tài)分布型等。根據(jù)指標(biāo)重要性比較的特點(diǎn)，采用三角函數(shù)型隸屬函數(shù)作為重要性標(biāo)度的隸屬度度量方式，具體定義為

其中，模糊集合M由m標(biāo)識(shí)并確定，m代表x屬于M的最可能值，其取值為指標(biāo)重要性標(biāo)度值，例如當(dāng)m為0.7時(shí)，表示M為“指標(biāo)ai比指標(biāo)aj明顯重要”；l代表下界，即x屬于M的最小可能值；u代表上界，即x屬于M的最大可能值。三角函數(shù)型模糊函數(shù)的表示為(l,m,u)。

基于3.1節(jié)所述的評(píng)估指標(biāo)樹中各層次因素，以及本節(jié)所述指標(biāo)重要性標(biāo)度和隸屬度函數(shù)，得到指標(biāo)間重要性比較的模糊判斷矩陣，矩陣的形式如下

其中，ai,j表示指標(biāo)ai相對于指標(biāo)aj的重要性。需注意的是ai,j是一個(gè)三角模糊數(shù)，即

3.2.3 單層次排序

為計(jì)算某一指標(biāo)在當(dāng)前維度的模糊綜合度，首先對三角模糊數(shù)的運(yùn)算進(jìn)行介紹。三角模糊數(shù)的運(yùn)算主要包括：求和⊕、求差?、求積⊙、倒數(shù)-1。對于2個(gè)模糊數(shù)運(yùn)算定義為

如3.2.2節(jié)所述，ai,j表示指標(biāo)ai相對于指標(biāo)aj的重要性，則可得指標(biāo)ai在當(dāng)前維度的模糊綜合度Si為

其中，n表示當(dāng)前維度下指標(biāo)的數(shù)量。

模糊綜合度計(jì)算完成后，對各指標(biāo)大小比較情況的可能度進(jìn)行計(jì)算。設(shè)S1=(l1,m1,u1)，S2=(l2,m2,u2)是 2個(gè)指標(biāo)的模糊綜合度，則S1≥S2的可能度V(S1≥S2)定義為

可能度計(jì)算完成后，計(jì)算各指標(biāo)的權(quán)重分量，當(dāng)前層第i個(gè)指標(biāo)ai的權(quán)重計(jì)算為

然后對各權(quán)重分量進(jìn)行歸一化處理，得到當(dāng)前層次的權(quán)重向量W=(w1,w2, …,wi,…,wn)，其中，

3.2.4 綜合權(quán)重計(jì)算

假設(shè)對于第k個(gè)維度的各個(gè)指標(biāo)，其權(quán)重向量為則在層次化結(jié)構(gòu)中，維度i下指標(biāo)j的綜合權(quán)重為w(i,j)=wiwij。最終，得到最底層所有指標(biāo)的綜合權(quán)重向量為

其中，n為維度的數(shù)量；m1,…,mn分別為維度1到維度n下的指標(biāo)數(shù)量；p為各維度下所有指標(biāo)數(shù)量的總和，即p=m1+m2+…+mn。

由上述運(yùn)算可知，所有綜合權(quán)重求和結(jié)果為1，即

3.3 模糊綜合評(píng)價(jià)

3.3.1 確定指標(biāo)集與評(píng)價(jià)集

模糊綜合評(píng)價(jià)的指標(biāo)集由評(píng)估樹的最底層的各指標(biāo)構(gòu)成。

評(píng)價(jià)集指對各指標(biāo)值的優(yōu)良程度的評(píng)價(jià)。針對效果評(píng)估的評(píng)價(jià)集，選取優(yōu)、良、中、差這4個(gè)模糊等級(jí)，分別表示威脅處置效果好、較好、一般、差這4種情況。由于處置效果的好壞取決于系統(tǒng)處于正常運(yùn)行下各類相關(guān)指標(biāo)與處置后各類相關(guān)指標(biāo)的對比情況，因此根據(jù)對比情況設(shè)定相應(yīng)評(píng)價(jià)等級(jí)。具體如下。

對于系統(tǒng)狀態(tài)和系統(tǒng)行為這2個(gè)維度的各類指標(biāo)數(shù)據(jù)而言，其在一般情況下符合正態(tài)分布，即

其中，x≥0，表示各類指標(biāo)的取值。本文認(rèn)為各指標(biāo)值離平均值μ偏差越小，效果評(píng)價(jià)等級(jí)越高。評(píng)價(jià)等級(jí)與偏離值的映射關(guān)系如表1所示。

表1 系統(tǒng)狀態(tài)、系統(tǒng)行為各類指標(biāo)評(píng)價(jià)等級(jí)

其中，a、b、c的取值原則為，當(dāng)x∈[μ,μ+a]時(shí)a′、a′-b′、c′-b′分別表示評(píng)價(jià)等級(jí)為優(yōu)、良、中這3個(gè)等級(jí)的指標(biāo)值占所有指標(biāo)值的比例。

對于服務(wù)情況和報(bào)警情況這2個(gè)維度的各類指標(biāo)數(shù)據(jù)而言，本文認(rèn)為各指標(biāo)值的大小與處置效果存在正相關(guān)或負(fù)相關(guān)的關(guān)系。效果評(píng)價(jià)等級(jí)與指標(biāo)值之間的映射關(guān)系如表2所示。

表2 服務(wù)情況、報(bào)警情況各類指標(biāo)評(píng)價(jià)等級(jí)

3.3.2 確定隸屬函數(shù)及模糊矩陣

為了保證評(píng)估結(jié)果的完備性與相容性，結(jié)合處置效果評(píng)估數(shù)據(jù)的分布規(guī)律，采用正態(tài)分布型隸屬函數(shù)作為評(píng)價(jià)等級(jí)隸屬度的度量方式，具體定義為

其中，模糊集合A由μ標(biāo)識(shí)并確定，例如當(dāng)μ為時(shí)，表示模糊集合A“效果屬于一般”，μ、σ為集合A的隸屬函數(shù)的分布參數(shù)。正態(tài)分布型模糊函數(shù)表示為(μ,2σ)。

基于隸屬函數(shù)，可得到指標(biāo)ai到評(píng)價(jià)等級(jí)vj的隸屬度ri,j，然后得到綜合評(píng)判矩陣R=(ri,j)pq，其中，p為指標(biāo)數(shù)，q為評(píng)價(jià)等級(jí)數(shù)。

3.3.3 模糊綜合算法

根據(jù)模糊層次分析求出的各指標(biāo)的綜合權(quán)重和評(píng)價(jià)等級(jí)的隸屬函數(shù)，求得各指標(biāo)的模糊綜合評(píng)判矩陣為

其中，*指模糊合成運(yùn)算。一般而言，常見的算子包括：取大取小算子（∧, ∨）、最大乘積算子（·, ∨）、加權(quán)平均型算子（·, +）等。本文選取加權(quán)平均型算子進(jìn)行模糊運(yùn)算，即

所有bj計(jì)算完成后，得到評(píng)價(jià)結(jié)果集B。最后，根據(jù)加權(quán)平均原則處理評(píng)價(jià)結(jié)果集得到處置效果評(píng)分值。

4 缺失數(shù)據(jù)補(bǔ)全算法

如前所述，各類指標(biāo)數(shù)據(jù)可能由于各種原因而無法獲取，從而導(dǎo)致后續(xù)評(píng)價(jià)無法開展，因此需要對缺失的指標(biāo)數(shù)據(jù)進(jìn)行補(bǔ)全。不僅如此，由于層次分析過程中涉及各類指標(biāo)的權(quán)重計(jì)算，而該權(quán)重的計(jì)算過程依賴于專家對于不同指標(biāo)重要性比較的先驗(yàn)知識(shí)，不同專家經(jīng)驗(yàn)等的差異也可能導(dǎo)致指標(biāo)重要性比較的打分值的缺失，從而導(dǎo)致層次分析過程中判斷矩陣的不完整，因此需要對判斷矩陣中的元素進(jìn)行補(bǔ)全。

4.1 模糊判斷矩陣補(bǔ)全

在模糊判斷矩陣中，矩陣元素代表不同指標(biāo)的重要性比較結(jié)果。具體而言，元素ai,j為指標(biāo)ai和指標(biāo)aj的重要性比較結(jié)果，即

其中，m表示ai與aj具有同等重要性時(shí)的取值。

易知，矩陣中各元素的值滿足重要性的傳遞性，即，若a比b重要，b比c重要，則a比c重要。因此，可對式(1)進(jìn)行變換得到式(2)。

4.2 綜合評(píng)判矩陣補(bǔ)全

在綜合評(píng)判矩陣中，矩陣元素代表某一指標(biāo)屬于某一評(píng)價(jià)結(jié)果的隸屬度。具體而言，元素ri,j表示指標(biāo)ai到評(píng)價(jià)結(jié)果vj的隸屬度。由于每一指標(biāo)到評(píng)價(jià)集中各評(píng)價(jià)值都有一個(gè)隸屬度，為了簡化運(yùn)算，并考慮綜合評(píng)判矩陣元素缺失的本質(zhì)原因，可將綜合評(píng)判矩陣中缺失元素的填補(bǔ)問題轉(zhuǎn)化為原始指標(biāo)值缺失元素的填補(bǔ)問題。

在模糊綜合評(píng)判過程中，涉及通過多個(gè)不同指標(biāo)進(jìn)行評(píng)價(jià)，且需要獲取威脅處置前后多個(gè)時(shí)刻的數(shù)據(jù)，因此可將原始指標(biāo)數(shù)據(jù)表示為一個(gè)原始指標(biāo)值矩陣（不完整矩陣）Dmn，其中，m表示指標(biāo)的數(shù)量，n表示數(shù)據(jù)獲取的時(shí)刻數(shù)。

如前所述，在原始指標(biāo)值矩陣中，部分元素可能由于各種原因無法獲取或丟失，但在評(píng)估過程中又需要這些指標(biāo)值，因此需要對這些缺失元素進(jìn)行合理、準(zhǔn)確地填補(bǔ)。按照上述分析，可將原始指標(biāo)值缺失元素的填補(bǔ)問題轉(zhuǎn)化為標(biāo)準(zhǔn)矩陣補(bǔ)全[14]問題。考慮到原始指標(biāo)值矩陣為小規(guī)模矩陣、求解精度等原因，基于矩陣分解進(jìn)行矩陣補(bǔ)全，因此，矩陣補(bǔ)全問題可形式化為其中，

k為預(yù)測的矩陣秩界；Z為不完整矩陣，M為未知指標(biāo)值矩陣（補(bǔ)全后的矩陣）；為矩陣下標(biāo)的索引集合；PΩ(?)是正交投影算子，表示當(dāng)(i,j)∈?時(shí)，Dij為采樣元素。

利用交替最小化算法對式(3)進(jìn)行求解，得到矩陣U和V，從而得到矩陣 ′D=UV，最終得到缺失指標(biāo)值。

5 實(shí)驗(yàn)

5.1 實(shí)驗(yàn)設(shè)計(jì)

實(shí)驗(yàn)環(huán)境如圖2所示，包括一臺(tái)Web服務(wù)器、防火墻、一臺(tái)攻擊機(jī)、入侵檢測系統(tǒng)、合法用戶。其中，Web服務(wù)器上除了安裝Web服務(wù)外，還安裝了Tsar系統(tǒng)監(jiān)控工具、Nagios系統(tǒng)/網(wǎng)絡(luò)監(jiān)控工具，用于獲取各類指標(biāo)數(shù)據(jù)；防火墻用于在攻擊時(shí)部署安全措施，實(shí)現(xiàn)威脅處置；攻擊機(jī)上部署了LOIC（low orbit ion cannon）工具，用于模擬發(fā)起拒絕服務(wù)攻擊；入侵檢測系統(tǒng)用于威脅檢測并發(fā)出報(bào)警信息。

實(shí)驗(yàn)采用SYN Flood攻擊作為攻擊方式，通過與服務(wù)器建立大量不完整的TCP連接，使其無法響應(yīng)合法的用戶服務(wù)，從而實(shí)現(xiàn)拒絕服務(wù)；在攻擊過程中，通過部署處置措施，實(shí)現(xiàn)威脅處置。通過獲取攻擊前、攻擊中和處置后等過程中各個(gè)時(shí)間段的相關(guān)指標(biāo)數(shù)據(jù)，基于所獲取的指標(biāo)數(shù)據(jù)對威脅處置效果進(jìn)行評(píng)估。

圖2 實(shí)驗(yàn)環(huán)境

按照3.1節(jié)所述，根據(jù)SYN Flood攻擊的特點(diǎn)，可知在攻擊過程中系統(tǒng)行為維度的指標(biāo)數(shù)據(jù)不受Flood攻擊所影響，因此實(shí)驗(yàn)只從系統(tǒng)狀態(tài)、服務(wù)情況、報(bào)警情況這3個(gè)維度獲取評(píng)估所需的指標(biāo)。其中系統(tǒng)狀態(tài)維度下的指標(biāo)為：CPU占用率、內(nèi)存占用率、帶寬占用率。服務(wù)情況維度下的指標(biāo)為：服務(wù)響應(yīng)時(shí)延、分組丟失率、網(wǎng)絡(luò)傳輸時(shí)延、響應(yīng)成功率。報(bào)警情況維度下的指標(biāo)為：報(bào)警數(shù)量、報(bào)警頻度。

具體而言，首先開啟運(yùn)行Web服務(wù)5 min；在接下來的5 min內(nèi)由合法用戶向其發(fā)起正常訪問；然后由攻擊機(jī)發(fā)起SYN Flood攻擊，并以5 min為單位逐漸增加攻擊強(qiáng)度；攻擊發(fā)生15 min后，在防火墻上部署處置措施1（限制SYN分組的最大突發(fā)數(shù)為100）；5 min后刪除該措施，并在防火墻上部署處置措施2（添加過濾攻擊源的過濾規(guī)則）。以1 min為單位獲取上述過程中的各類指標(biāo)數(shù)據(jù)。

5.2 威脅處置效果評(píng)估

本節(jié)對實(shí)驗(yàn)得到的數(shù)據(jù)進(jìn)行分析，并利用模糊評(píng)估模型對處置效果進(jìn)行評(píng)估。

利用3.2節(jié)所提出的模糊層次分析方法計(jì)算指標(biāo)層各指標(biāo)的綜合權(quán)重。首先，要求專家對不同維度之間、同一維度下不同指標(biāo)之間的重要性比較按照三角模糊數(shù)進(jìn)行打分。打分過程中，由于經(jīng)驗(yàn)等因素的限制，不同專家的打分存在差異，且可能出現(xiàn)部分比較數(shù)據(jù)缺失的情況，此時(shí)采取以下原則確定整合后的比較值：判定對同樣2個(gè)維度或指標(biāo)打分的專家數(shù)量，若該數(shù)量小于專家總數(shù)的則認(rèn)為模糊判斷矩陣中該比較值不存在；反之按照式(4)求取該比較值。

其中，Ui,j表示對指標(biāo)ai和指標(biāo)aj的重要性比較的打分構(gòu)成的集合，m表示集合中元素的個(gè)數(shù)。

表1～表4為專家對各維度及不同維度下各指標(biāo)的重要性打分表。其中，表1為對不同維度比較值的打分，表2為對系統(tǒng)狀態(tài)維度下各指標(biāo)比較值的打分，表3為對服務(wù)情況維度下各指標(biāo)值的打分，表4為對報(bào)警情況維度下各指標(biāo)值的打分。在表1中，d0,1表示系統(tǒng)狀態(tài)/服務(wù)情況，d0,2表示系統(tǒng)狀態(tài)/報(bào)警情況，d0,3表示服務(wù)情況/報(bào)警情況。在表2中，d1,1表示CPU占用率/內(nèi)存占用率，d1,2表示CPU占用率/帶寬占用率，d1,3表示內(nèi)存占用率/帶寬占用率。在表3中，d2,1表示服務(wù)處理時(shí)延/網(wǎng)絡(luò)帶寬，d2,2表示服務(wù)處理時(shí)延/網(wǎng)絡(luò)傳輸時(shí)延，d2,3表示服務(wù)處理時(shí)延/分組丟失率，d2,4表示表示網(wǎng)絡(luò)帶寬/網(wǎng)絡(luò)傳輸時(shí)延，d2,5表示網(wǎng)絡(luò)帶寬/分組丟失率，d2,6表示網(wǎng)絡(luò)傳輸時(shí)延/分組丟失率。在表4中，d3,1表示報(bào)警數(shù)量/報(bào)警種類，d3,2表示報(bào)警種類/報(bào)警數(shù)量。

基于表1～表4，根據(jù)式(3)，可得不完全模糊判斷矩陣為

表1 不同維度重要性比較

表2 系統(tǒng)狀態(tài)維度下不同指標(biāo)重要性比較

表3 服務(wù)情況維度下不同指標(biāo)重要性比較

表4 報(bào)警情況維度下不同指標(biāo)重要性比較

其中，矩陣元素為(-1,-1,-1)代表該元素缺失。

根據(jù)式1），需對不完全模糊判斷矩陣A1和A2,2進(jìn)行補(bǔ)全，得到補(bǔ)全后的2個(gè)矩陣為

計(jì)算得到各維度之間的可能度矩陣為

對該矩陣進(jìn)行歸一化后得到本層的權(quán)重向量為(0.392 5, 0.375 3, 0.232 2)。同理，根據(jù)前述判斷矩陣A2,1、A2,2、A2,3，可計(jì)算得到在相應(yīng)評(píng)價(jià)維度下各指標(biāo)的權(quán)重向量分別為(0.30, 0.70, 0)、(0, 0.213 1, 0.786 8, 0)、(0.969 3, 0.030 7)。從而得各指標(biāo)的綜合權(quán)重向量為(0.117 7, 0.274 7, 0, 0,0.08, 0.295 3, 0, 0.225 1, 0.007 1)。

各類指標(biāo)數(shù)據(jù)在獲取過程中可能缺失，因此按照4.2節(jié)所述方法對缺失數(shù)據(jù)進(jìn)行補(bǔ)全。在實(shí)驗(yàn)環(huán)境下各類指標(biāo)數(shù)據(jù)可以完整獲取，所以得到指標(biāo)數(shù)據(jù)后，采用隨機(jī)的方式去除部分?jǐn)?shù)據(jù)，從而得到不完整指標(biāo)數(shù)據(jù)集。

圖3為內(nèi)存占用率、CPU占用率等各類指標(biāo)的原始數(shù)據(jù)。

圖3 各類指標(biāo)的原始數(shù)據(jù)

在圖3(a)中，前10 min為Web正常運(yùn)行或正常向合法用戶提供服務(wù)，CPU占用率、內(nèi)存占用率等處于相對平穩(wěn)狀態(tài)，從第11 min開始發(fā)起攻擊，可以看出CPU占用率等4類指標(biāo)不斷增加，響應(yīng)成功率不斷降低，Web服務(wù)受到攻擊所影響。

通過式(2)對缺失的指標(biāo)數(shù)據(jù)進(jìn)行補(bǔ)全，各指標(biāo)數(shù)據(jù)補(bǔ)全后的結(jié)果和指標(biāo)數(shù)據(jù)的實(shí)際值的比較如圖4所示。

由圖4可以看出，補(bǔ)全后的數(shù)據(jù)與獲取到的原始數(shù)據(jù)之間的差值都較小，在可接受范圍內(nèi)，因此可以認(rèn)為補(bǔ)全是比較準(zhǔn)確的。

圖4 原始指標(biāo)數(shù)據(jù)與補(bǔ)全數(shù)據(jù)對比

基于補(bǔ)全后的指標(biāo)數(shù)據(jù)，利用模糊綜合評(píng)價(jià)法，得到處置效果如圖5所示。根據(jù)折線的變化情況可知，在1～5 min，評(píng)分值在3分上下波動(dòng)；在6～10 min，評(píng)分值上升到4分左右。這是因?yàn)樵?～5 min時(shí)，Web服務(wù)器并未向用戶提供服務(wù)，盡管服務(wù)器處于安全狀態(tài)，但作為服務(wù)提供方其資源處于閑置狀態(tài)，因此評(píng)分值低于6～10 min向用戶提供正常服務(wù)時(shí)的評(píng)分。在 11～15 min、16～20 min、21～25 min，評(píng)分值不斷降低，這是因?yàn)楣魪?qiáng)度不斷加強(qiáng)。在26～30 min，部署處置措施1后，評(píng)分值基本提高到正常程度，但存在波動(dòng)。可能的原因是處置措施雖然阻斷了攻擊，但對用戶正常服務(wù)也造成了影響，因此評(píng)分存在波動(dòng)。在31～35 min，在部署處置措施2后，評(píng)分基本恢復(fù)正常，與6～10 min時(shí)的情況基本一致，說明處置措施2有效地發(fā)揮了威脅處置的作用。

圖5 威脅處置效果評(píng)估結(jié)果

6 結(jié)束語

本文重點(diǎn)研究了不完全信息下的威脅處置效果評(píng)估方法，針對現(xiàn)有威脅處置效果評(píng)估方法的不足，提出了威脅處置效果的模糊評(píng)估模型。從攻防雙方2個(gè)角度的運(yùn)行狀態(tài)、系統(tǒng)行為、服務(wù)情況和報(bào)警情況4個(gè)維度出發(fā)構(gòu)建分層評(píng)估指標(biāo)樹，在此基礎(chǔ)上綜合考慮指標(biāo)數(shù)據(jù)的不準(zhǔn)確性，利用模糊層次分析和模糊綜合評(píng)價(jià)對威脅處置效果進(jìn)行評(píng)估。特定地，考慮到評(píng)估過程中指標(biāo)重要性比較數(shù)據(jù)缺失和指標(biāo)數(shù)據(jù)缺失的情況，利用指標(biāo)重要性的傳遞性關(guān)系和矩陣分解對缺失元素進(jìn)行補(bǔ)全，從而有效解決信息缺失的問題，提高了評(píng)估方法的實(shí)用性和可操作性。本文在實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境下構(gòu)建了攻防場景，對本文提出的評(píng)估方法的有效性與合理性進(jìn)行了分析。

后續(xù)的研究主要包括：在數(shù)據(jù)補(bǔ)全過程中，加入指標(biāo)數(shù)據(jù)間的關(guān)聯(lián)關(guān)系的考慮，提高數(shù)據(jù)補(bǔ)全的精度；增加對判斷矩陣的一致性校驗(yàn)，進(jìn)一步提高評(píng)估方法的實(shí)用性。