基于灰色關聯分析的網絡安全態勢優化評估

趙嵐，李俊葉

（華東交通大學理工學院，江西南昌330000）

現代網絡中存儲著大量的數據信息，其中許多都是非常敏感的，甚至是影響國家安全的機密信息，正因為如此，許多不法之徒就會以各種目的對網絡發動攻擊，計算機犯罪案件發案率逐年上升，并呈愈演愈烈之勢，今天計算機犯罪已經成為一個普遍的國際問題。為解決日益嚴重的各種安全問題，許多安全產品也被開發出來，以對付這些攻擊，這些安全產品在一定程度上可以起到網絡保護的作用[1]。在這些安全態勢評估中，網絡安全態勢評估是一個新興的熱門研究課題，對于整個網絡的安全保衛工作具有重要意義。“網絡態勢”是指由各種網絡設備的運行狀態、網絡行為以及用戶行為等因素構成的網絡整體現狀和發展趨勢。應當指出，態勢是一種狀態，是一種趨勢，是整體的、全局的概念，不能把任何單一的情形或狀態都稱為態勢。其中網絡安全態勢評估包括態勢要素提取、當前態勢分析、形成態勢分析報告和網絡綜合態勢圖等，為網絡管理者提供輔助決策信息。

目前，國外對網絡安全態勢感知系統的研究主要是采用集成化的思想，建立專門的網絡安全態勢感知系統框架結構，對網絡安全態勢感知系統的研究具有一定的參考價值。與國外相比，中國對網絡態勢感知的研究還處于起步階段，主要研究成果有：基于信息融合的網絡安全態勢評估方法、基于日志審計和性能修正算法的網絡態勢評估方法和基于模糊粗糙集的網絡態勢評估方法，但現有的態勢評估方法由于無法發現潛在的、未知的安全漏洞和威脅，導致評估結果的準確性和評估效果較差，因此引入了灰色關聯分析技術。灰色關聯分析主要是通過樣本數據序列的發展趨勢、所表現出的幾何形態、數據序列之間的相似度來表征各數據因素間的關聯程度。實踐中，如果以數據序列幾何形狀的相似近似度來衡量各數據因素之間的關聯程度，則可得到多種不同的關聯度計算方法。運用灰色關聯分析法，旨在提高網絡安全態勢優化評價結果的可信性和準確性。

1 網絡安全態勢優化評估方法設計

網絡安全態勢優化評估采用監控平臺-采集代理結構，其中監控部分主要負責對網絡安全態勢進行評估，集成了數據分析指標提取模塊、安全態勢評估模塊、插件定義模塊、采集命令生成模塊、轉換模塊、數據庫中間件模塊以及其他功能模塊，為用戶或傳感器在采集前進行調用和向上層傳感器集成平臺傳輸數據提供了接口，此外，在監控平臺的擴展功能中，還保留了與服務故障恢復相關的功能模塊，為用戶或傳感器在采集前進行配置提供了方便、友好的用戶界面，用于實時顯示采集時監控代理發出的命令，在采集完成后提交各種形式的評估報告[2]。基于灰色關聯分析技術的網絡安全態勢優化評價的具體實施流程見圖1。

圖1 網絡安全態勢優化評估流程圖

1.1 網絡安全態勢感知

網絡安全態勢評估包括兩個過程，即對網絡系統當前運行狀態的評估和對未來一段時間內網絡系統運行狀況的預測。情形判斷流程見圖2。

圖2 安全態勢要素感知框圖

根據當前網絡狀況，選擇Netflow 作為數據源。網絡流量不僅能夠實時提供詳盡的網絡流量信息和統計預分析，而且能夠有效避免資源超載，為網絡安全態勢感知提供必要的數據和服務支持[3]。將數據包按到達的流量采樣間隔進行采集，對所有采集到的數據包進行過濾和聚合，形成大量的數據流，然后將其以流記錄格式存儲在緩存中，滿足導出條件后，再通過UDP 協議導出。最后以網絡安全態勢感知數據為支撐，對網絡安全態勢優化進行評估。

1.2 劃分網絡安全態勢風險等級

根據網絡系統的結構和使用情況，采用網站監測數據，選取影響網絡態勢的主要漏洞和安全事件，通過對網絡系統數據的統計，利用這些漏洞和安全事件所帶來的損失，并根據評價特征，分別量化其風險等級。在表1 中顯示了網絡安全態勢的等級劃分。

表1 網絡安全態勢等級劃分表

以表1 中網絡安全態勢分級標準為網絡安全態勢優化評價標準，分別計算出網絡安全態勢評價指標，并與表1 中的期望值和熵值區間進行比較，從而得到量化的網絡安全態勢優化評價結果[4]。

1.3 設置網絡安全態勢評估指標

根據網絡安全態勢評估原理，在考慮網絡復雜性、不確定性、動態性等因素的基礎上，分別從網絡風險、脆弱性、可用性和可靠性四個方面建立評估指標體系[5]。與之相關的網絡風險評估指標有：報警器數量和種類、攻擊事件發生頻率、數據流量、流量增長率、各關鍵設備訪問主流網站的頻率等；與之相關的脆弱性評估指標有：安全設備數量、各關鍵設備提供的服務類型及其版本、設備總的開放端口數量等；可用性指標有：網絡帶寬、帶寬利用率、CPU 利用率、內存利用率、最大并發線程數量等；可靠性指標有：流量變化率、數據流量總量、關鍵設備平均無故障時間等。上述網絡安全態勢評估指標中網絡流量變化率指標可以表示為：

式（1)中I 歸屬地在統計范圍內的所有IP 的集合，flow_seq 表示已經看到的所有信息流的序列計數器，而dOctets 為字節總量。同理可以得出網絡安全態勢評估指標的量化結果。

1.4 建立網絡安全態勢評估矩陣

首先對各指標ui分別按評判集中各vj進行評分;然后按式2 計算各指標對評判集中的第j 個元素vj的值。

式（2）中nij和ntotal分別表示的是指標體系中的第i 個指標ui作出第j 個評價的專家數目和專家總數[6]。由此便可以得出指標的評價向量，通過上述方法，就可以知道n 個指標有n 個評價向量，即可確定映射關系為：

由此可以得出網絡安全態勢的評估矩陣為：

分別將設置的網絡安全態勢評估指標導入到公式4 中，便可以得出對應安全態勢優化評估的量化表達式。

1.5 灰色關聯分析確定指標集權重

設為綜合評估指標，其觀測數據為，對評估指標進行無量綱處理，并利用公式5 計算每個比較序列與參考序列對應元素之間的灰色關聯系數。

式（5）中|x0(k)-xi(k)|表示的是各序列和參考序列對應元素間的絕對差值，min 和max 分別為最大值和最小值，ρ 為分辨系數[7]。當取值為(0，1)時，越小，對相關系數的判別能力越強。在此基礎上，采用灰色關聯系數平均構成向量r，進行規一化處理，得到各指標的權向量。

1.6 實現網絡安全態勢優化評估

為更好地對網絡運行狀況進行安全態勢分析，將灰色理論中的關聯分析與層次分析相結合，分別從網絡攻擊層、關聯層、服務層、主機層和系統層得到評價指標計算結果。以主機層為例其安全態勢值可以表示為：

式（6）中m 為主機Hk所提供的服務個數。V'為服務Sj在主機Hk提供的各項服務中所占有的重要性權值，X(t)為求解得出的綜合指標計算結果。同理可以得出其他網絡層的安全態勢值求解結果，將綜合態勢值計算結果與表1 中的評價劃分等級標準進行比對，便可以得出最終的網絡安全態勢優化評估結果。

2 對比實驗分析

為了測試設計的基于灰色關聯分析的網絡安全態勢優化評估方法的評估功能，設計對比實驗，對比設計評估方法和傳統評估方法以及文獻[7]中提出的基于深度自編碼網絡的網絡安全態勢評估方法作為實驗的兩個對比方法。所使用的模擬硬件環境為：CPUP43-0GHz，1 GB 內存，20 GB 硬盤自由空間，2 Mbps 網卡。其軟件環境是：Windows XP 操作系統、MATLAB2007 軟件包。模擬實驗數據來源于美國MIT 林肯實驗室的網絡入侵檢測數據集KDDCup99。該模型分為兩個部分，第一部分對網絡安全態勢評估模型進行訓練，第二部分對網絡安全態勢評估模型進行測試，以驗證模型的評估結果與實際結果是否一致。將準備的實驗樣本數據轉換為安全態勢數據，并以此作為實驗的判定標準，測試數據集中網絡安全態勢值的分布情況如圖3 所示。

圖3 測試數據集中網絡安全態勢值分布

將圖3 中的態勢值數據代入到表1 中，便可以得出實驗的標準對比數據。

3 結束語

通過網絡安全態勢評估，可以監測網絡安全變化趨勢，發現可能發生的網絡攻擊行為，并采取有效措施加以防范，提高網絡安全水平。根據目前網絡安全態勢評估中存在的問題，將灰色關聯分析法應用于網絡安全態勢評估，實現了傳統方法的優化。試驗結果表明，灰色關聯分析理論的應用有效地提高了評估的精確度。能夠捕捉到網絡安全的總體變化趨勢，因此，評價方法的設計和發展有助于指導網絡管理員對未來可能發生的網絡安全事件作出相應的應對措施。