基于直覺模糊集的網絡安全態勢預測方法

王曉菲，張瑞

摘要：傳統方法預測的網絡安全態勢值，與實際值存在偏差，為此提出基于直覺模糊集的網絡安全態勢預測方法。集成各種安全設備上報的事件，解析態勢預測需要的信息數據，以及各事件的類型、地址等關聯數據，計算事件風險值、脆弱指數、主機管控能力和安全設備運行指數，作為預測參數，通過直覺模糊集，對參數進行直覺模糊分割，定義參數權重，計算網絡安全態勢預測值。進行對比實驗，結果表明，此次方法相比傳統方法，在保證預測效率的同時，有效降低了預測態勢值的相對誤差，預測的網絡安全態勢更為準確，同時提高了攻擊類型檢測率，確保攻擊類型的分類精度。

關鍵詞：直覺模糊集;網絡安全;態勢預測;風險值

中圖分類號：TP393.08? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）20-0057-02

國內安全態勢預測研究取得較大發展，統計過去和當前的攻擊信息，將態勢分析技術應用到網絡安全領域中，對網絡攻擊和失效進行度量，并通過直覺模糊集，構建網絡漏洞監測模型，得到網絡安全性的預測參數[1]。在特定網絡攻擊下，對整個網絡的安全屬性進行計算，全面掌握網絡安全狀況預測各種威脅的發展趨勢[2]。提出基于直覺模糊集的網絡安全態勢預測方法，對網絡的運行狀況進行動態監控，深入分析并預測未來時刻的網絡安全動態。

1 基于直覺模糊集的網絡安全態勢預測方法設計

1.1 采集網絡安全事件的數據信息

采集網絡安全數據信息，歸一化處理后，進行關聯分析。將事件的具體信息寫入不同標簽中，設置事件反應時間，為上報到產生警告的時間，上報格式為xml格式，產生速度為1.5秒一條事件[3]。解析態勢預測需要的內容信息，并對其進行歸一化處理，提取各個字段和屬性。

采用基于規則的關聯技術，層次化規則匹配安全事件與解析的規則，若多條報警滿足規則場景的多有層次，則調用該安全事件的信息數據，用于攻防場景的描述和分析。將安全規則庫作為關聯分析的核心，根據已知攻擊的攻擊順序進行定義，通過預定義的規則庫，關聯分析不同類型、層次和地址的安全事件。至此完成網絡安全事件數據信息的采集。

1.2 計算網絡安全事件的風險值

根據采集的信息數據，計算每個安全事件的風險值。對所有關聯規則和事件進行匹配，提取風險值的計算參數，包括資產值、優先級、可靠性。其中資產值表示網絡部署設備的重要程度，劃分1～5個等級如下：非常重要，設備破壞后會造成非常嚴重的損失;重要，破壞后造成比較嚴重的損失;比較重要，破壞后造成中等程度的損失;比較不重要，破壞后造成較低損失;不重要，破壞后損失很小或可以忽略[4]。優先級表示安全事件發生后，網絡受攻擊的嚴重程度，劃分1～5個等級如下：非常嚴重，對網絡安全造成很大影響;非常嚴重，對網絡安全造成較大影響;比較嚴重，對網絡安全造成中等程度的影響;比較不嚴重，對網絡安全造成較小影響;不嚴重，對網絡安全影響很小或可以忽略。可靠性表示安全事件的真實程度，使用關聯規則里的可靠性值，為每條事件分配默認的可靠性值，定義可靠性范圍為0～10，其中10表示一定會發生，事件發生頻率依次遞減，0表示一定不會發生。則風險值計算公式為：

[ri=Ai?Pi?Ri25]? ? ? ? ? ? ? ? ? ? ? ? ? （1）

其中[ i]為上報的網絡安全事件，[ri]為事件 [ i]的風險值，[Pi]為 事件 [ i]的資產值，[Ai]為事件 [ i]的優先級，[Ri]為事件[ i]的可靠性。通過公式（1），得到0～10之間的風險值，當[ri]為0時，丟棄該安全事件，當[ri]≥1時，則產生網絡安全告警。至此完成網絡安全事件風險值的計算。

1.3 基于直覺模糊集計算網絡安全態勢預測值

接收到安全告警信息后，對設備上報事件進行分類，結合直覺模糊集，計算網絡安全態勢的預測值。首先將安全事件分為4類，包括設備狀態事件、攻擊事件、主機操作事件和漏洞事件，將態勢預測參數分為4部分，包括風險值、脆弱指數、主機管控能力和安全設備運行指數。其中脆弱指數表示網絡設備存在漏洞的情況，漏洞越多越易受到攻擊，定義初始脆弱值為0，脆弱值范圍為0～100;主機管控能力表示網絡主機是否存在違規操作，數值越大表示管控能力越強，定義該參數初始值為0，范圍為0～100;運行指數表示設備正常運行的情況，定義參數初始值為0，范圍為0～100。輸入參數變量，構成模糊輸入空間，使每個參數對應一組模糊語言，對應一個具有相同論域的模糊集合，對4個參數進行直覺模糊分割，使模糊分割數達到最大，提高參數的模糊推理精細化程度。分割后計算最終的網絡態勢值[s]，公式為：

[ s=riw1+yiw2+diw3+kiw4]? ? ? ? ? ? ? ? ? ? ? （2）

其中[yi]為事件[ i]的脆弱指數，[di]為事件[ i]的主機管控能力，[ki]為事件[ i]的安全設備運行指數，[w1、w2、w3、w4]分別為各參數對應權重，取值分別為0.5、0.2、0.2、0.1。通過公式（2），反映網絡安全態勢，預測值[s]越大，表示未來網絡越不安全，將態勢值的計算間隔，調整為每10秒計算一次，完成網絡安全態勢預測值的計算。至此完成基于直覺模糊集的網絡安全態勢預測方法設計。

2 實驗論證分析

進行對比實驗，將基于直覺模糊集的網絡安全態勢預測方法記為實驗組，傳統網絡安全態勢預測方法，記為對照組，比較兩種方法對網絡安全態勢預測的偏差。