基于改進AHP算法的監控系統網絡安全風險評估設計

梁劍，顧蕾，潘永強，蔡都，王正豪

（江蘇艾盾網絡科技有限公司，江蘇南京，210000）

0 引言

監控系統是網絡運行中用于攻擊檢測和漏洞掃描的主要系統，常見的監控系統有Zabbix和APM等，這些監控系統被稱為指標監控系統，能通過檢測網絡設備和系統的運作為操作者提供告警信息，提醒操作者及時進行防護，但是因為監控系統之間缺乏交互性，難以形成信息交集，容易出現信息孤島問題，即安全事件和告警信息無法產生關聯性，導致監控系統的安全服務無效化。為了彌補這層不足，讓監控系統的報警信息和安全事件充分掛鉤，需要設計更先進的算法來評估安全風險，從而減少無異議的重復報警和誤報警，讓監控系統的告警信息更精確、更有效。

1 網絡安全風險評估的現狀

網絡安全是數字化辦公和業務開展中需要特別重視的重點工作，其主要從監管層面展開，管理人員按照每周、每月或者每季度的方式對網絡系統的區域邊界、通信網絡乃至物理環境進行考核，除此之外還會借助監控系統進行每日的信息收集。常用的監控系統有Zabbix、Prometheus等，這些監控軟件的原理是根據端口狀態和IP來進行判別。如可用性監控類軟件，這類軟件的狀態是布爾型，即只存在兩個運行狀態，監控系統判定監控對象便是根據其運行狀態是處于異常還是正常來給出告警信息。再如性能監控類軟件，是通過IP去搜集監控對象的各項指標，如內存使用率、網絡的吞吐量等。

從這些監控軟件的運作原理來看，其判定是否發出告警信息的方式比較單板，缺乏甄別性，一旦監控對象出現異常，監控軟件就會給出告警信息，這就造成了大量的重復警告。監管人員在檢查監控日志時，需要根據日志記錄對告警信息進行篩選，才能判斷哪些是真正威脅網絡安全的攻擊行為，哪些是設備軟硬件問題引發的報警誤觸。這種監控方式造成了無用的監管信息增多，人工成本增大，同時也讓監控系統在安全風險防御方面的效果有所下滑。為了提高監控精度，節約人力成本，需設計良好的網絡安全風險評估方法，對異常行為進行更精確的評估，從而決定是否發出告警信息，讓安全服務和安全事件的關聯更緊密，警告更精確，提高監控人員對網絡安全風險的防范性。

2 AHP算法的改進和應用

AHP算法即層次分析法，是一種基于網絡系統理論和多目標綜合評價提出的層次權重決策法，其可以依靠定量信息對決策問題的本質、影響因素、內在關系進行數字化展現，讓多目標或者無結構特性的復雜影響因子通過計算后決定刪選或者保留，然后根據結果進行簡單決策。AHP算法的應用可以降低監控系統的重復警告概率，讓告警信息的發送更精確，安全服務更高效。而為了確保AHP算法對監控系統的高效輔助，將對AHP算法進行進一步的改進，提高其應用成效。

2.1 監控系統設計

系統神經元模型也稱NNBA模型，由人工神經元和神經網絡所構成。在神經網絡中神經元承擔著信息處理任務，在數據融合中應用功能函數處理，各類神經網絡信息需要依托神經元各個簇成員節點進行隱藏，并且節點數量也會有顯著差異，神經元數量一般取決于傳感器數據采集類型數量，即需要利用神經元數量“N”對應傳感器數據類型數量“N”，最后再借助神經元對各類數據分別處理。

神經元模型通常分為兩大模塊，即輸入功能區域、輸出功能區域。前者利用加權方法處理輸入信號，即對輸入信號本身實施處理，當得到恒等函數時，再依托功能函數對不同輸入區間數據差值進行計算，以便對當前輸入數據實施判斷[1]。

從傳感器功能來看，同樣具備類似的檢測作用，即主要從海量信息中甄別異常數據，同時將其提取出來傳送至入侵檢測系統實施甄別。系統的工作效率一般以數據上傳量進行評估，如數據上傳量多且質量高，則證明應用效率較高，反之則表明效率較低。初級融合層中，神經元模型在其中擁有不可替代性，也是最為關鍵的層級之一。神經元的突出特點在于可以完成多個網絡數據信息橫向融合，由此來構建網絡運行過程數據序列，使系統容錯率大幅降低，為網絡運行層分析提供更大便利。

在融合方法的選擇領域，需要初級融合層首先實現數據間的關聯性，現階段的主要方法為模糊綜合評判法（FCE），此方法的優勢是可以完成綜合及局部等緯度評價，而非單純依賴單一方式進行關聯性判斷，因此對于數據關聯性評價結果更加客觀，具備良好的實效性和低依賴性，在融合數據技術中的應用具備一定優勢。從初級融合層作用機理來看，數據經初級融合層處理，異類IDS使可獲得全面信息，并且依托不同類型IDS相互作用、相輔相成，實現各類異常數據關聯并建立數據融合序列，以便系統進行識別和處理。

2.2 指標分類

在監控系統的運作中，其安全服務的提供是依靠監管人員人工添加監控項來取得指標數據，系統在得到數值和告警事件后發出告警信息，因此指標的制定非常關鍵。在監控項的指標選擇中，需要遵從科學、實用、動態、可操作、全面、主導等六項原則，每項指標都是依靠主機完成采集過程，在采集中要搜集大量的主機數據，因此要注意指標的分類結果，故采用k-means將指標按照好、較好、一般、較差和差等五個簇，用ui代表簇ci的均值向量，其公式表達如下：

作為質心的ui表達為：

系統在采集每個指標的數據時，會對數據樣本的分類距離進行精確計算，并根據計算結果將距離最小的指標簇作為數據樣本的統計歸屬，并在完成數據樣本統計到指標簇的工作后計算該指標簇的ui，根據計算結果，將所有指標劃分簇的比例以表格1形式體現[2]。

2.3 指標權重計算

表1一共列出了14個指標，每個指標都代表了網絡系統在運行中的相關狀態，AHP算法是根據指標的關系來構造用于判斷指標權重的矩陣，從而明確指標權重，即指標對網絡運行安全的影響，并明確是否給出告警信息。此處用Di和Dj（i、j=1,2...,n）表示每個指標，用Dij表示指標與指標中相對重要性的數值，最終得到14*14矩陣P：

表1 網絡安全指標分類

公式（3）即為判斷矩陣，在網絡監管系統中，判斷矩陣被作為安全決策時間的中間層置入，得到的安全結果則作為決策層運行。判斷矩陣的意義是明確不同指標的關系，可以用1-9標度法來體現，用λmax表示最大特征根，計算λmax對應的特征向量，公式如下：

不過，AHP算法的判斷矩陣并不一定準確，有一定概率會存在邏輯問題，導致判決結果不準確。因此，為了防止矩陣在判斷指標時出現邏輯問題，確保權重分配合理有效，需增加一致性校驗內容，即在層次分析上加入隨機一致性比率和一般一致性指標，此處用CR和Ci分別表示隨機一致性比率和一般一致性指標，用Ri表示平均隨機一致性指標，計算λmax減矩陣階數和階數減1的比值，公式如下：

當矩陣的隨機一致性比率小于0.1或者最大特征根和n相等時，同時一般一致性指標等于0，則可以認定判斷矩陣具備滿意的一致性，如果不符合上述條件，說明矩陣存在邏輯問題，需要調整監控指標的重要程度，直到其符合滿意的一致性[3]。

2.4 綜合評價

結合網絡運行的特點，AHP算法的改進要以充分展現系統無序化程度為目標，最主要的目的是貼合網絡環境不具備確定性。一個系統的權值非常容易因外部環境而受到直接影響，整個系統的不確定性也會因權值的改變而改變[13]。為此，相較于傳統的AHP算法，改進的AHP算法能夠規避主觀色彩，增強評價的準確性和客觀性。但以往所采取的AHP算法存在一定的問題。例如 ：在計算處理期間，若Yij= 0 (i = 1 ,2, ···,m)，通過傳統AHP算法計算最終獲得Yijl n(Yij) = 0，此時表示無信息含量，這無疑是不合理的。為此需對AHP算法進行了改進，首先要對各項指標權值進行確定，公式如下：

運用歐式貼近度計算對評價對象的貼近度實施計算與排列處理，具體計算公式如下：

上述公式中：ρm主要是指第m個被評價對象與標準對象之間所形成的貼進度，該值越大表示兩者貼進度就越小，越接近標準對象，相反也是如此。

最終，結合不同對象的帖進度和排序結果，確定差距較小的評價對象，將其權值作為后續指標指數預測基礎數據[4]。

設計者可基于灰色系統理論來構建預測模型，GM（1，1）模型是一種基于計算機程序網絡運行來實現快速、高效處理數據的常用方法[5]。但考慮到網絡本身表現出的隨機振蕩特征，以傳統GM（1，1）模型構建預測體系無法體現出動態評估效果。為此，本研究對傳統GM（1，1）模型應用期間，同時在序列生成方法上選用了隨機振蕩序列擬合建模。設定網絡指標指數列為，作為隨機振蕩序列。對原始數據序列實施加速平移轉換：

最后還原獲得：

3 結語

該設計中，是將AHP算法進行改進，增強其對指標的判斷能力，實現權值的準確分配，從而幫助監管系統正確發送告警信息，減少無用的安全日志內容，讓監管人員的工作量得到充分降低，也讓網絡安全程度得到提高。