引言
目前,网络安全事件层出不穷。但所有的网络安全防御措施都无法保证网络的绝对安全。因此,对网络所面临的安全风险进行实时感知和分析评估(如危险程度大小)就非常重要。目前,静态的网络风险评估模型? 可以对网络长期所处的风险状态进行粗略评估,但无法实时检测网络正在遭受的攻击,缺少自适应性。动态网络风险评估方面,文献[2]提出了基于主机的实时风险评估;文献[3]提出了使用网络节点关联性的分析方法;文献[4]提出了基于隐马尔可夫模型(Hidden Markov Model,HMM)的实时网络安全风险量化方法;文献[5]提出了基于人工免疫的风险检测和评估方法;文献[6]使用云模型对内部威胁进行感知;文献分别使用层次分析法、信息熵、核函数、粗糙集、概率风险分析法、模糊集合分析法等智能方法对网络风险进行评估;文献[12]通过云控制器和规则实现了网络风险的分析和评估。
由于网络入侵具有随机性,而对网络风险的评估一般用自然语言来描述(如危险、安全),具有一定的模糊性,并且随机性和模糊性之间具有一定的关联。此外,网络风险程度是定性概念,而引起网络风险变化的各个参数的值是定量的。典型的网络风险评估方法中,多是单一地从定性(定量)角度去分析,或者分别从随机性和模糊性的角度去分析网络风险,因此,评估的结果还不够客观。基于此,本文利用云模型有效集成了模糊性和随机性的特点,提出一种基于云模型的网络风险评估方法。用云模型从多角度将网络入侵的定性、定量特征融合分析并进行决策,同时兼顾网络风险的模糊性和随机性的特点,提高了入侵风险评估的准确性和客观性。
1 理论基础和设计思想
1.1 云模型的基本概念
云模型能够实现用语言值表示的某个定性概念与其定量(数值)表示之间的不确定转换。它主要反映知识中概念的两种不确定性:模糊性和随机性以及二者之间的关联性。云模型中云由许许多多云滴组成,云的整体形状反映了定性概念的重要特性。云用期望值EX、熵En、超熵He三个数值特征来表示,记作C(Ex,En,He),即云的向量特征。它们反映了定性知识的定量特性:期望EX反映了相应的定性知识的信息中心值;熵En是定性概念随机性的度量,反映了能够代表这个定性概念的云滴的离散程度;超熵HE是熵En的熵,反映了云的离散程度。超熵的大小间接地反映了云的厚度,即确定度的不确定性, 越小,说明随机性越小。经统计分析,对于论域U中定性概念C有贡献的云滴(占99.74%)主要落在区间[Ex一3En,Ex+3En],因此这个区间以外的云滴对定性概念的贡献可以忽略 。
1.2设计思想
在网络中,当主机遭受到入侵攻击时,其主要性能指标(如CPU占用率、内存占用率)必然会发生异常变化,同时,这些变化的幅度也决定了网络风险大小。因此,可以根据系统主要指标的变化来确定网络面临的风险程度。网络入侵的发生具有很大的随机性,而对网络入侵风险的评估多采用自然语言来描述,这导致风险评估结果又具有一定的模糊性;同时,在遭受到入侵时候,各参数之间的变化是相互关联的(比如,CPU占用率的提高往往跟内存占用率有关系)。因此,必须实现定量定性之间的转换,以及考虑模糊性和随机性的关联,才能更准确地评估风险。云模型把定性概念的模糊性和随机性及二者的关联性有效集成在一起,构成定性和定量相互间的转换。因此,可以采用云模型描述多个系统参数及其变化之间的关联性,从而对网络风险进行评估决策。
本文方法的基本任务为:根据系统当前性能指标的状态值,依据设计的云决策发生器,输出系统的危险级别。具体思想和实现过程如下:1)确定出能够影响系统性能的主要指标并形式化;2)设置系统的状态为(不正常,不太正常,基本正常,正常),相应的风险评估结果为(高,较高,较低,低),对相应危险级别的系统资源变量进行采样,利用逆向正态云算法计算相应级别的标准概念云;3)定量输入处理,根据云相似度算法,对于某一时刻的输入,输出系统的危险程度(高,较高,较低,低)。
2关键技术与实现
定义1 风险评估模型为形=(F,V,E),其中,F、V、E分别代表因素集、权重集、评价集。因素集F=(F1,F2,...,F。)分别代表影响网络风险评估值的n个因素,如cPu占用率、内存占用率、进程响应时间等;权重集V=(V1,V2,...,Vn)代表各因素所占的权重,且V1+V2+?+VN=19VT>O(1≤i≤n);风险结果评判集设为E=(高,较高,较低,低)。
定义2 系统变量云。定义系统变量云为:Cloud=(S,T,En,Ex,He),其中S代表需要采样的系统资源集合(包括内存占有率、CPU占有率、进程响应时间等),T为采样时间间隔。
2.1云发生器的构造
云发生器的构造需要先验知识。虽然网络入侵的出现具有不确定性和难以预知性,但正常状态(安全状态)是确定的,同时某些已知的入侵发生时系统的状态也是可得的。因此,可以得到正常状态下的数字特征,从而得到标准概念云。
1)标准概念云的生成。
在网络正常运行情况下,采用滑动窗口的方式对系统参数进行连续采样,获取正常状态样本点,将样本点的各维(即各系统参数)规格化到[0,1]内(这里尽可能多地进行采样,以便使结果更加准确)。由于网络风险评估中,只能得到采样到的一组数据值,而很难获得确定度,所以,本文采用未知确定度的逆向云发生器算法,用此算法求出此云的数字特征,然后采用正向云生成算法,得到该正常概念云。
2)其他状态的概念云生成关键技术。
对于其他概念云的生成,本文采用实际数据采集与估算相结合的方法。理想情况下,“正常”概念云与“不正常”概念云有交集,说明两个概念可覆盖整个状态空间。但实际上对网络系统而言,不适宜直接划分为“正常”与“不正常”两个状态。因此,在本文中,对两概念云之间未覆盖的区域进一步划分,生成四概念云(正常,基本正常,不太正常,不正常)以更好地满足定性描述网络风险的需要。
将正常云的重心EXX和EXF之间的区域平分为两部分,分别设为基本正常和不太正常概念云。根据云滴对概念的贡献,论域中对概念有贡献的云滴,主要落在区间[Ex一En,Ex+3En]。本文中,基于黄金分割率的云生产方法,相邻云的熵和超熵,预设较小者是较大者的0.618倍,估算出Exx1(较正常)和EXF1(较不正常)。最后,生成四尺度的概念云(不正常,不太正常,基本正常,正常),将其投影到一维平面上,如图1所示。
3)综合评价云的生成。
其他各系统参数的概念云的生成类似,将其综合可以得到综合评估。权重的设置方法为对每个因素都分配相应的云权重(用云来描述权重),让云权重参与综合评判,最终通过云计算得到基于云滴分布的综合评价结果,改善了直接对期望值上界溢出进行修正而导致的不科学性函数。
2.2网络入侵风险的评估和决策过程
本文方法的主要目的在于:根据当前系统变量值,直接感知出系统的安全风险,以正确评估风险。根据实际采集到的样本值,计算此时的C(Ex,En,He)和云模型,然后根据下面的云相似度算法(算法1),计算此云与已知概念云的相似度,相似度最高的即作为输出。算法1通过产生一定数量的云滴,基于云滴之间的距离来度量云的相似度。
从表1可以看出,两种相似性度量方法均可以正确度量两个云之间的相似度,进而得到正确的评估结果。与基于属性相似度的云模型算法相比,本文方法是基于云滴之间的距离来计算的,避免了属性权值等复杂计算,算法更加简单。本文算法在度量云模型之间相似性方面的优点表现为:它不仅考虑了云模型中所产生云滴之间的局部相似性,还考虑了云模型整体形状之间的全局相似性,使得该算法具有良好的泛化推广性能。
3 系统仿真实验
3.1仿真过程与结果
在windows环境下,用VC语言对算法进行了验证,数据集为美国林肯实验室Kddcu印数据。具体步骤简述如下:1)用不含任何攻击流量的训练数据作为系统正常状态,从t时刻开始,以周期T,分别对CPU占用率和内存占用率进行
表2 网络安全风险决策结果
从表2可以看出,本方法可以给出正确的评价和决策结果。同时,从云的数字特征C(Ex,En,Ee)可以看出,风险较低、较高状态的熵En和超熵He相对较大。熵En较大表明了此定性概念随机性较大,比较离散,网络处于此状态具有较大的风险;超熵He较大,说明此时评估结果的不确定性较大。这恰好与现实生活一致:对网络处于安全、不安全状态的认识和评估,不同人评估结果差异较小;而对网络处于较安全、较不安全状态时,不同人评估结果差异性较大,也就是说,结果认定不同的可能性较大。因此,基于云模型的网络风险评估不仅给出了正确的评估结果,而且保留了评估过程中的不确定性,结果具有更好的可理解性。
CIO之家 www.ciozj.com 微信公众号:imciow