基于證據理論物聯網安全態勢感知方法研究

李劍，董廷魯，李劼

（1. 北京郵電大學人工智能學院，北京 100876；2. 北京郵電大學計算機學院（國家示范性軟件學院），北京 100876）

0 引言

隨著智能化時代到來，物聯網系統快速發展，各種基于物聯網技術的應用日漸成熟。物聯網是傳統互聯網在“物”上的延伸，“萬物互聯”是物聯網美好愿景。物聯網在快速構建人與物交互場景的同時，產生了很多安全問題。在復雜網絡環境下，物聯網系統擁有數量龐大的設備固件程序，稍有不慎，就會被黑客利用，給社會帶來巨大的損失[1]。日益嚴峻的物聯網安全問題使人們不得不重視對物聯網安全態勢感知工作的研究。態勢感知工作主要包括態勢要素提取、設備掃描工作、安全性分析工作、態勢評估和態勢感知[2]。一般地，需要對物聯網系統進行全面統一的安全數據整合工作，形成統一監測、集中分析、集中呈現的態勢感知系統[3]。傳統的信息安全風險研究工作只是一種靜態的評估防護工作[4]，態勢感知系統利用時間演化，以期在動態的過程中進行安全防護工作。

在傳統信息安全風險評估領域，采用定性和定量結合方法進行綜合評價的方案占據主流地位[5-6]。定性分析方法主要有德爾菲法，憑借專家群體的知識和經驗給出綜合評價，缺點是主觀性太強；定量分析方法主要包括故障樹分析法和貝葉斯網絡分析法，強調特定場景下客觀規律的重要性，但是不適合于復雜場景；定性和定量結合分析方法主要有層次分析法和模糊層次分析法，主觀性和客觀性有機結合，擴展性較好，但是判斷矩陣仍然是根據專家意見確定的。除此之外，D-S證據理論也被廣泛應用于信息安全風險評估，用來融合多個風險證據[7]。一般地，D-S證據理論和層次分析法或者模糊層次分析法進行聯合使用，層次分析法建立關于特定場景下信息安全風險評估的評價指標集合，在確定層級因素權重時使用D-S證據進行多特征融合，使參數的權重分布更加客觀合理。不過在傳統D-S證據理論下證據沖突時融合結果與常理不一致，很多專家學者基于此問題對D-S證據理論進行改進，使之適應更加復雜的證據合成場景。

態勢感知方法主要利用證據網絡模型[8]、馬爾可夫模型[9]、神經網絡模型[10-11]、貝葉斯網絡模型[12]，但是這些模型結構復雜，訓練難度高，在真實場景下容易出現參數爆炸的情況。

針對上述問題，本文著重研究D-S證據理論在物聯網安全態勢感知模型中的應用。

1) 在態勢評估方面，本文利用改進Topsis方法衡量證據可信度，降低了沖突證據的可信度，保持了相互支持證據的可信度，經過實驗證明，在不同數量證據體和常見沖突證據方面，融合之后對正確命題基本概率分配更高。

2) 在態勢感知方面，本文提出了一種基于時間折扣和高風險漏洞比例折扣D-S證據理論，通過融合多個時刻的態勢評估數據得到了良好的態勢感知結果。

1 D-S證據理論

1.1 傳統D-S證據理論

在傳統D-S證據理論中，定義標準變量的識別框架θ= {θ1,θ2,… ,θn}，屬于冪集2θ的元素A是關于變量θ取值的命題，或稱焦元。關于命題A的函數被定義成概率分配函數BPA，一般稱為mass函數，簡稱m函數。

信任函數，被定義為命題子集的概率分配和，表示對命題為真的信任程度。

似然函數，被定義為與命題交集為空的集合概率分配和，表示對命題為非假的信任程度。

信任函數定義了命題為真的信任下界，似然函數定義了命題為非假的信任上界，通過區間的方式描述不確定性。因為{?A,A} ?θ，Pl(A) ≥ Bel(A)。實際上，[Bel(A) ,Pl(A)]表示命題A的不確定區間，[0,Bel(A) ]表示對命題A支持的證據區間，[0,Pl(A) ]表示對命題A的擬信證據區間，[Pl(A) ,1]表示對命題A的拒絕證據區間。

當有n個證據m1,m2,m3,… ,mn需要融合時，合成規則為

其中，K被稱為沖突因子，算符⊕被稱為融合算子。

傳統D-S證據理論在融合算子上滿足交換律和結合律。交換律為m1⊕m2=m2⊕m1，結合律為m1⊕ (m2⊕m3)=(m1⊕m2)⊕m3。

傳統D-S證據理論在合成規則上，采用乘積項的方式進行融合，然后歸一化得到最終的融合結果，當證據對命題的基本概率分配為0時，經過證據融合后的結果仍然是0，即使其他證據都以大概率確認該命題。除了“0置信沖突”，傳統D-S證據理論還有“1置信沖突”“完全沖突”“高沖突”等特殊情況，在這4種悖論情況下，傳統的證據合成規則不再適用[13]。

對傳統的D-S證據理論改進主要體現在兩個方向，改進合成規則或者改進證據分布[13]。改進證據的合成規則，認為引起4種悖論問題的根源在于證據合成規則不完善，改進的方案中大多在原有乘積項的基礎上進行加權和的改進。改進證據分布，認為合成規則普遍適用，證據分布不合理才是產生4種悖論的問題所在，對證據間的沖突性充分衡量，并把證據間的沖突性轉移。

1.2 基于改進Topsis方法證據可信度量

Topsis方法一般用在多目標的綜合評價場景中[14]，基于評價目標在評價指標中與期望正負解的距離確定最優目標方案。一般地，期望正解是每一個評價指標中最大值組成的向量，期望負解是每一個評價指標中最小值組成的向量，在評估之前往往需要對初始數據進行標準化正向化處理。

假設有n個評價目標、m個評價指標，zij表示評價目標i在評價指標j下的得分，由于不同的評價指標有不同的量綱，因此避免“大數吃小數”的情況，需要進行標準化處理，如下。

定義期望正解為各評價指標中最大值組成的向量如下。

定義期望負解為各評價指標中最小值組成的向量如下。

定義評價目標i到期望正解的距離為

定義評價目標i到期望負解的距離為

定義評價目標i未歸一化得分為

Topsis方法通過計算評價目標與正解的相對貼近程度衡量目標間優劣，如果與正解的距離越近，說明評價目標在評價指標上的分布與正解越相似，評價目標在評價指標上的數值與最大值接近程度越高，甚至等于最大值。

在本場景下，需要充分評估證據間可信度，降低沖突證據的可信度，提高相互支持證據的可信度。經過分析發現，沖突證據命題間的差距較大，分布不均衡，往往某個單一命題上的基本概率分配接近于1，而其他命題的基本概率分配為0，因此在評估證據的沖突性時，證據與最大值向量距離越近，判定為沖突證據的可能性越高，可信度評分越低，本文采用式(12)衡量證據間的可信度。

本場景下，先計算兩兩證據間的可信支持度，然后求和確定證據整體間的支持度，并把歸一化后的求和結果作為證據的最終可信度衡量依據。

證據體可信支持度矩陣為

其中，在基于證據體mi和mj評估時，表示證據體mi與期望負解的距離；表示證據體mi與期望正解的距離；表示證據體mj對證據體mi的支持程度。

定義mi證據體獲得的支持度為Sup(mi)。

歸一化之后得到證據間的可信度量為

不同數量證據體經過融合后的結果如表1所示粗體數據表示融合后對正確命題的基本概率分配。文獻[15]提出的方法用Jousselme公式衡量證據間的距離確定證據間可信度計算公式，利用可信度對證據分布進行加權得到加權平均證據，然后進行迭代融合，根據表1結果可知，本文方法對正確命題的指認與文獻[15]一致，符合預期，且本文方法對正確命題的融合結果高于文獻[15]方法。

表1 不同數量證據體融合結果Table 1 Fusion result of different numbers of evidence

4種常見證據沖突融合結果如表2所示，粗體數據表示融合后對正確命題的基本概率分配。針對前面提到的4種悖論情況，比較符合常理的正確命題為{AACA}，可以看出兩種方法指認結果與常理相符，本文方法對正確命題指認概率高于文獻[15]方法，指認效果明顯。

表2 4種常見證據沖突融合結果Table 2 Fusion result of four conflicted evidence

1.3 基于動態折扣率的D-S證據理論

在改進證據分布的研究方法中，有一種折扣理論，引入折扣度對原始證據分布進行折扣，通常沖突性高的證據折扣度大，通過折扣的方式把證據間的沖突性分配給不確定度。

W為一個標準化的證據折扣集合，可以根據專家意見得出，也可以基于證據分布矩陣客觀性地計算得到。上述折扣理論是一種靜態折扣理論，沒有考慮證據在時間上的演化，融合的結果仍然是靜態性的。

本文著重研究物聯網安全態勢演化過程，利用多個時刻的靜態態勢評估數據進行動態的態勢感知。經過分析發現，多個時刻的證據在時間演化過程中有不同的作用，距離當前時刻越久的證據對感知結果的支持度越低，折扣性越強；距離當前時刻越近的證據對感知結果的支持度越高，折扣性越弱[7]。假設目前有k個時刻的證據，m1,m2,m3,… ,mk，融合后的感知結果為Rk(m1,m2,m3,… ,mk)，證據間融合的過程如下。

M表示兩個證據間的融合函數，W(t)表示在時間尺度上的折扣率。傳統D-S證據理論在多證據融合時具有交換性，考慮到時間的演化過程，有下式成立。

因此，可以選擇特征函數w(t) =e?αt,α≥ 0，該函數在時間上是一個遞減函數。

本文不僅考慮時間折扣的作用，還考慮前一個時刻漏洞危險程度對將來感知結果的影響，如果某個時刻檢測出的高風險和緊急風險漏洞數量較多，說明當時系統整體的安保措施有極大的漏洞，對將來態勢感知的影響較大，折扣度較高，把這種高危影響保留到不確定度中，因此，最終的折扣因子是時間折扣與當時高風險漏洞比例折扣的綜合結果。在mk融合時，保留原始乘法合成規則基礎上，綜合考慮命題間的平均證據支持，引入加權平均證據，使證據的融合結果更加全面。

其中，Be(mi)為證據可信度，K是沖突因子。

2 物聯網安全態勢感知模型

2.1 物聯網安全態勢感知方法流程

物聯網安全態勢感知方法流程如圖1所示。首先根據固件安全性分析結果確定漏洞，利用通用漏洞評分系統獲得漏洞評分；其次利用高斯隸屬函數確定隸屬矩陣，歸一化隸屬度矩陣為證據分布矩陣；然后利用改進Topsis方法確定新的證據分布，進行靜態態勢評估；最后利用多個時刻的態勢評估結果，基于動態折扣率D-S證據理論得到態勢感知結果，指導安全人員進行后期防護工作。

圖1 物聯網安全態勢感知方法流程 Figure 1 Process of IoT security situational awareness method

2.2 確定隸屬度矩陣

在本文設計的物聯網安全態勢感知模型中，設識別框架（評語集）θ為{無風險N，低風險L，中風險M，高風險H，緊急風險C}，利用高斯隸屬函數基于CVSS評分得到處于識別框架中每一個風險評語的隸屬度，歸一化隸屬度矩陣并作為D-S證據理論的BPA分布。高斯隸屬度函數

其中，x為輸入，在本文方案中為漏洞的CVSS得分，μ是函數的中心，δ表示寬度，利用模糊數學的方法提高CVSS在單漏洞評估方面的泛化能力，在多漏洞信息融合上D-S證據理論可以得到更加客觀的評估結果。參照CVSS，定義5個評語的隸屬度中心為1.0、2.0、5.5、8.0、9.5。

在傳統風險評估領域中，δ設置比較主觀，一般地，由專家給出評價值x，并同時給出該評價不確定度的衡量范圍，缺乏一定的說服力，并且在很多模糊綜合評價方法中，對評語集的考慮總是認為評語間互不影響，互不相容，相互獨立，并沒有考慮到評語間的遞進關系。在語義上，這5個評語表征了漏洞在危險程度上不斷增強，位于較高風險的漏洞默認有較低風險的語義基礎和評分基礎，在計算高風險漏洞時不能只刻意提高對應風險的隸屬度，抑制其他風險的隸屬度，而應該綜合考慮，體現高風險漏洞對低風險評語的隸屬度增強而不是降低，同時保證較低風險的漏洞在較高風險評語處的隸屬度仍然較低。為了刻畫這種增強關系，本文嘗試使用δ描述關聯性，δ越大高斯函數曲線越低寬，較高風險漏洞在計算屬于較低風險評語的隸屬度會增強，δ越小高斯函數曲線越高窄，較低風險漏洞在計算屬于較高風險評語的隸屬度會降低，結合CVSS漏洞評級劃分區間，5個評語的隸屬度函數為

經過物聯網固件安全性模塊分析之后得到系統中的安全性測試報告，定位系統中的安全性問題，利用CVSS計算每一項安全性問題得分，通過隸屬度函數計算隸屬度矩陣，并將歸一化的隸屬度矩陣作為D-S證據理論的BPA分布。

其中，V表示發現的漏洞集合，mv(θi)表示漏洞v在評語θi上的基本概率分配。

2.3 利用矩陣分析法確定沖突值K

假設有n個證據，個命題，在傳統方法求沖突值K時所需要的時間復雜度為，利用矩陣分析法求沖突值K所需要的時間復雜度為時間復雜度由原來指數級降為多項式級[16]。

假設證據體分布為

M1證據體轉置為一個列向量和M2證據體行向量相乘得到一個矩陣。

對角線元素是兩個證據體對于同一個命題的融合乘積項，如果只有兩個證據體融合，那么非對角線元素之和是沖突因子K，結合D-S證據理論結合律，將Φ矩陣的對角線元素（排成一個列向量）與M3證據體行向量相乘得到一個新的矩陣。

新矩陣取出對角線元素依次與剩余的每一個證據體相乘，直到融合Mn，對角線元素是n個證據對同一個命題乘積融合結果，將所有結果矩陣的非對角線元素相加可得到沖突因子K。

3 案例分析

本文搭建的實驗環境如圖2所示，利用虛擬機和常見物聯網設備搭建一個物聯網場景進行態勢感知工作，本文場景中使用了常見物聯網設備，如藍牙手環、無線路由器、Zigbee設備等，手環主要是測試藍牙模塊的安全性，無線路由器主要是測試Wi-Fi模塊安全性，Zigbee設備主要是測試Zigbee協議上的安全性。

圖2 實驗環境 Figure 2 Experimental environment

經過物聯網固件安全性分析模塊得到各固件的安全性測試報告。選取T時刻的安全性情況進行態勢評估，漏洞分布情況如表3所示。

表3 漏洞分布情況Table 3 Vulnerabilities distribution

當前情況下多為中危風險項，同時存在一定程度的高風險項和緊急風險項，經過上述理論融合得到的態勢評估結果如表4所示，可以看到系統以64%的概率處于中風險等級，即該時刻系統風險評估等級為中風險，在高風險等級上的概率接近12%，符合該時刻的真實情況。

表4 T時刻態勢評估結果Table 4 T time situation assessment result

對于圖2搭建的物聯網環境進行連續監測，對同一固件的不同版本進行測試，收集一段時間內8個時刻的態勢評估結果進行態勢感知任務，收集到的8個時刻態勢評估結果如表5所示，可以看出，有兩個時刻系統呈現出高風險等級，其余時刻是中風險等級。

表5 T1～T8時刻態勢評估結果Table 5 T1～T8 time situation assessment result

態勢感知結果如表6所示。從表6中可以看出，在該時間段內系統以接近49%的概率處于中風險等級，受到T7時刻的影響，高風險等級概率處于20%左右，未來需要注意加強安全防護措施。傳統D-S證據理論融合結果顯示中風險等級概率約99%，但是基本概率分配幾乎接近1，忽視對其他風險的感知，而本文方法在各風險等級上都有合理的基本概率分配，既與預期相符合，又能指出高風險和緊急風險的可能性，更具有指導意義。

表6 態勢感知結果Table 6 Situation awareness result

為了定量化描述態勢感知結果，繪制態勢感知曲線，本文方案對5個評語量化值分配[17]{2,4,6, 8,10}，定義態勢值為

其中，e(θi)是θi評語的分值，m(θi)是融合后的θi評語基本概率分配值。

對T1-T8時刻繪制物聯網安全態勢感知趨勢曲線，結果如圖3所示，從曲線趨勢上來看，態勢呈上升趨勢，意味著將來風險升高，需要加強防護措施。

圖3 物聯網安全態勢感知趨勢曲線 Figure 3 IoT security situational awareness trend curve

4 結束語

本文通過深入調研物聯網態勢感知系統的現狀，提出了基于改進D-S證據理論的態勢評估和態勢感知方法，經過實驗對比，主要結論如下。

1) 利用改進的Topsis方法衡量證據間的可信度，能準確快速識別沖突證據，降低沖突證據的可信度，并保證相互支持證據間的高可信度。在不同數量證據體融合和常見沖突證據融合時對正確命題的基本概率分配高。

2) 提出基于時間折扣和高風險漏洞比例折扣的D-S證據理論，在態勢感知過程中，充分預測了高風險和緊急風險的概率，并得到了態勢感知曲線，對將來安全防護有良好的指導意義。