摘 要： 针对网络安全态势评估中权值计算过于依赖专家经验，忽略了客观因子对态势决策结果的影响的现状，提出了一种综合加权的层次化网络安全态势评估方法；依据该指标体系综合赋权，由层次分析法计算主观权值和粗糙集方法计算客观权值，联合两种权值得到综合权值，并结合了因子加权求和法来综合分析当前网络安全态势状况。实验表明该方法切实可行，能更客观、准确地分析网络安全状况。

　　关键词： 态势评估；粗糙集；层次分析法；因子加权求和法

0 引言

　　网络安全态势感知[1]（Network Security Situation Awareness，NSSA）是指在现实的网络环境中，在一定时间和空间内，对能引起网络安全态势发生变化的外界因素进行提取、评估以及对未来的变化趋势进行预测。1999年，T.Bass[2]首次提出网络安全态势感知的概念，并采用JDL融合处理模型，把数据融合技术引入态势感知领域。

　　网络安全态势评估是网络安全态势感知技术中的核心与重点，目前国内外提出了许多种关于网络安全态势评估方法。面对大规模巨型网络，层次化结构和权重相结合的方法是最常见的态势评估方法，陈秀珍[3]采用自下而上、先局部后整体的层次化威胁态势评估模型，逐层对攻击、服务和主机的权重进行加权计算，分析网络安全状况；韦勇[4]根据权重分析逐层计算节点态势，利用实际性能信息修正节点态势值，进一步分析网络安全态势。通过权重分析来评估网络安全态势的方法还有很多，但大都存在如下缺陷：（1）权值的选取主观任意性强，主要依赖于专家的经验，缺乏客观的依据；（2）指标体系过于庞大和冗余性高，导致评估结果精度低；（3）态势指标和权值一般都是静态的，难以胜任动态网络分析。

　　为了动态完整地描述网络的安全状况，提出了一种基于综合加权的网络安全态势评估方法，通过层次分析法得到主观权值，通过粗糙集方法得到客观权值，将二者相结合得到综合态势权值，并通过因子加权函数融合来计算网络安全态势值。该方法既利用了层次分析思想构建层次化网络安全态势指标体系，又结合了粗糙集理论的除冗、除维和处理模糊性不确定信息的能力，结合了两者的优点，精简了网络安全态势指标，提高了对网络安全态势分析的准确性。

1 相关基础知识

　　1.1 层次分析法[5-6]

　　层次分析法（Analytic Hierarchy Process，AHP）在20世纪70年代由美国著名运筹学家T.L.Satty等人提出。此方法是一种以专家的专业判断经验为依据，将某个复杂的问题分解成若干层次，并采用定性、定量相结合方法确定权重的量化决策与评价方法。AHP要经过如下4个步骤：

　　（1）构建层次化评估结构；

　　（2）构造判断矩阵；

　　（3）层次单排序及一致性检验；

　　（4）层次总排序及一致性检验。

　　这一过程是从高层到低层逐步进行的，最终得到最低方案层因素对最高目标层的权重。

　1.2 粗糙集理论[7-8]

　　粗糙集理论（Rough Set Theory，RST）是波兰数学家Z.Pawlak教授提出的一种新型的处理模糊和不确定性知识的数学工具，其主要特点是其在保持信息系统分类能力不变的前提下进行知识约简，最终导出问题分类的决策或分类规则。

　　设s=（U，R，V，f）为一个知识表达系统，其中：论域U={x1，x2，x3，…，xn}为非空有限集；R为非空属性集合，R包括条件属性C和结果属性D，即C∪D=R；V为属性a∈R的值域；f：U×R→V为一个单射信息函数，指定论域中任一个元素的属性值。

　　定义1 设XU且X∈U，决策属性D对条件属性C的依赖度定义：。

　　定义2 若属性a∈C，则属性a对决策属性D的属性重要性定义为：SGF（a，C，D）=（C，D）-（C-{a}，D）；其中（C-{a}，D）为在C属性中缺少属性a后，条件属性对决策属性的重要程度。

　　定义3 若a∈p且POS（P-{a}）（D）=POS（p）（D），则表示在p中属性a是不必要的，否则表示在p中a是必要的。若a∈p都是必要的，则表示P独立，否则表示P是依赖的。

　　由以上相关粗糙集定义1、2可求得属性重要性：

　　在此基础上将各个属性进行归一化处理得到客观权重：

2 基于RS-AHP的网络安全态势评估模型

　　在网络安全数据中存在着大量不确定、冗余性数据，给态势评估造成了严重的影响；同时在安全数据中存在的定性成分和定量成分导致难以用单一的评估方法进行精确的量化。传统的层次化分析法又存在其本身的缺陷[9]，直接通过两两逐对比较形成的判断矩阵也会影响到评估的结果。为了得到更加合理的评估效果，本文采用层次化分析法和粗糙集理论相结合的方法，利用定性和定量的结合来降低构造判断矩阵的主观性，使得评估结果更准确。其评估结构框架如图1。

　2.1 层次化态势指标体系筛选

　　在实际的大规模网络中，主要的数据来源可以分为3类：运行相关信息、配置相关信息和IDS系统日志库信息[10]。不同的数据由不同的指标来决定，研究相关信息对网络安全态势的影响就需要采用相关的指标体系。

　　本文采用层次分析法分析层与层之间、指标之间的相对关系，以构建如图2所示的态势指标体系。

　　态势指标体系的建立是网络安全态势评估的核心，在实际大网络中，存在着众多相互冲突、非确定性的观测指标。各指标对评估结果的作用也存在较大差异。能否建立科学、合理的指标体系直接关系到能否准确分析网络安全态势状况，如果选择的指标过多，会增加评估过程中不必要的干扰；反之，则不能全面、准确地分析态势状况。

　　粗糙集理论在态势因子选取方面拥有独特的优势[11]，网络安全态势评估指标体系与权值的构建和调整依赖于对网络数据的关联性分析，而通过计算粗糙集理论中的属性重要度能在不失去数据原有价值的基础上选择最小的属性子集，去除不相关的、冗余的和高维的属性，从而完成对网络安全态势数据的关联性分析[12]。

　　根据定义1和定义2，利用粗糙集理论中的比较属性依赖度，来衡量条件属性对决策的重要性，剔除对网络安全态势评估作用小的指标。

　2.2 综合态势权重的计算

　　本文提出一种综合性的网络安全态势权重方法，借助于经验因子方法[13]对主客观权值进行融合，将主观态势权重和客观态势权重综合起来抽象为一个最优解问题，通过求解该最优化问题模型得到唯一的一个最优解：

　　通过经验因子融合权值法，u一般取值范围为[0，0.5]，根据专家相关经验和具体实际决策因子进行衡量取值。如果邀请的相关专家的专业认识和经验不足，则应降低主观权值的重要度，提高相应的客观权值的重要度；反之，若专家经验足够，且认为数据源的可靠性不高或实际态势因子可行性低，则相应地增加u的值。

2.3 网络安全态势量化

　　态势评估是对当前安全态势的一种动态理解过程，反映当前网络的安全状况。本文致力于研究态势值计算中的指标权值，通过因子加权函数[14]的融合，提高网络安全态势量化结果的准确性。

　　定义4 网络安全态势指数：是对某一个时间周期（一般不短于24 h）中影响网络安全态势变化的各个因素（如基础运行性、脆弱性和威胁性）采用综合加权的方法进行综合量化而得到一种能反映当前网络安全态势的数值。

　　Evaluate=wB1f1+wB2f2+wB3f3（4）

　　定义5 网络脆弱指数：是对某个时间周期中影响脆弱性的各个二级指标进行因子加权融合得到的数值。其他威胁性指数和基础运行指数的形成与之类似，都是通过相应的因子加权融合而成。

　　以上三式中，?琢i，λi，δi，w1，w2，w3都代表相应的权值系数；xi，yi，zi分别表示各个指标对应的态势因子值。

3 实验结果及分析

　　3.1 实验环境的搭建

　　为了验证本文提出的基于综合加权的网络安全态势量化评估方法的合理性与正确性，本文搭建由主机、路由器、交换机、防火墙、漏洞扫描、入侵检测snort等设备组成实验环境。实验数据主要来源于Snort攻击信息、Netflow数据流信息、主机的Nessus漏洞扫描信息、Firewall日志信息、IDS入侵检测日志信息。在实验中，当正常网络遭到各类恶意攻击流量注入时，从各网络节点获取实验所需的异常数据，并在MATLAB7.0平台下搭建网络安全态势评估模型，进行仿真实验；当采集的态势数据为大样本数据时，对数据进行等距离离散法[14]和无量纲归一化处理，得到实验所需的在[0，1]之间的规范化数据。

　3.2 综合指标权值处理过程

　　3.2.1 主观权值计算

　　基于层次分析法的主观权重赋值主要依赖专家经验对实际环境的考察和总结。本文邀请多名专家对网络各个属性进行了综合评价，得到一致性结论：基础运行性是网络安全运行的特征，其地位比其他两者重要得多；脆弱性和威胁性虽然可能导致网络安全态势降低，但两者比重较低。

　　根据专家意见构建准则层因素两两之间对目标网络安全态势的判别矩阵如图3所示，令A为目标网络安全态势，B1为脆弱性态势，B2为基础运行性态势，B3为威胁性态势。

　　求得矩阵的特征向量和最大特征根分别为：w′A= [0.2，0.6，0.2]T和λmax=3。检验矩阵的一致性：，表明此矩阵完全一致。综上所得准则层的权值向量为w′A=[0.2，0.6，0.2]T。

　　根据上述原理分别求得指标层对准则的权值向量（不再累赘复述）：w′B1=[0.312，0，246，0，108，0.108， 0.108，0.118]T；w′B2=[0.339，0.084，0.048，0.217，0.101，0.098，0.068，0.045]T；w′B3=[0.215，0.101，0.098，0.224，0.064，0.201，0.097]T。

　　3.2.2 客观权值计算

　　本文以脆弱性指标为例，通过各类检测设备获取100组检测数据，将其离散归一后得到规范化实验数据；以脆弱性二级指标作为决策系统的条件属性；参考snort手册规定的风险程度分别为：1为低、2为中和3为高。表1展示部分信息决策。

　　根据粗糙集的属性的约简能力，可对该表进行约简，删除指标中冗余成份。由表1的结果显示：a~e中POSC（D）≠POSC-i（D）（i=a，b，c，d，e），表明条件属性a~e为不可约简属性；而POSC（D）=POSC-f（D），表明条件属性f为可约简属性。综上所述，指标f为冗余指标，需要剔除。

　　依照式（1），式（2）所得脆弱性二级指标权值为wB1″=[0，333，0，267，0.133，0.133，0.133，0.000]T。

　　同理可得，基础运行性二级指标权值为wB2″= [0.352，0.102，0.000，0.209，0.121，0.086，0.130，0.000]T；威胁性二级指标权值wB3″=[0.261，0.089，0.108，0.213，0.000，0.203，0.126]T。

　　3.2.3 综合权值

　　为综合3.2.1和3.2.2两种权赋值方法的优点，从下至上，分别逐层确定每一层指标对上层指标的权值，根据实际情况和专家的经验取值u=0.382，使主、客权值之比为黄金分割数。其各级指标权值分别如下：一级指标为wA=[0.1691，0，6618，0，1691]T，二级指标为wB1=[0.325，0.259，0.123，0，123，0，123，0.047]T；wB2=[0.347，0.095，0.018，0.212，0.113，0.090，0.106，0.019]T；wB3=[0.243，0.094，0.104，0.217，0.025，0.202，0.115]T。

3.3 结果及分析

　　经过多次态势因子数据的检测，根据上述因子加权求和法进行网络安全态势值的量化。为了方便管理员评价，规定安全态势值分布在[0，1]之间且把网络安全态势划分为5个危害等级：[0，0.1]，[0.1，0.2]，[0.2，0.3]，[0.3，0.5]，[0.5，1]，危险性随不同等级逐层增大，当安全态势值趋近于1时，表示当前网络运行极不安全，反之亦然。绘出如图4的网络安全态势曲线，反映本时段的网络安全态势状况。

　4 结论

　　粗糙集理论在网络安全态势评估中能有效度量各网络安全态势要素重要性，在处理海量的网络数据时能避免不确定性、冗余性和高维性对态势因子筛选的干扰。本文提出的基于综合加权的网络安全态势评估方法能够避免传统层次分析法导致安全态势评估结果不准确的问题，又能减少粗糙集约简不充分造成的评估低效问题。仿真结果表明，此方法能够提高网络安全态势评估的准确度，满足对网络安全态势评估的要求。

参考文献

　　[1] 龚正虎，卓莹.网络安全态势感知[J].软件学报，2010，21（7）：1605-1619.

　　[2] BASS T， ARBOR A. Multisensor data fusion for next generation distributed intrusion detection syste ms[C]. Proceeding of IRIS National Symposium on Sensor and Data Fusion， Laurel， MD： [s.n.]，1999：24-27.

　　[3] 陈秀真，郑庆华，管晓宏，等.层次化网络安全威胁态势量化评估方法[J].软件学报，2006，17（4）：885-897.

　　[4] 韦勇，连一峰.基于日志审计与性能修正算法的网络安全态势评估模型[J].计算机学报，2009，32（4）：763-772.

　　[5] 李方伟，杨绍成，朱江.基于模糊层次法的改进型网络安全态势评估方法[J].计算机应用，2014，34（9）：2622-2626.

　　[6] 刘延华，陈国龙，吴瑞芬.基于云模型和AHP的网络信息系统可生存性评估[J].通信学报，2014，35（8）：107-115.

　　[7] PAWLAK Z. Rough sets and intelligent data analysis[J]. Information Sciences， 2002，147（1）：1-12.

　　[8] 王国胤，姚一豫，于洪.粗糙集理论与应用研究综述[J].计算机学报，2009，32（7）：1229-1246.

　　[9] 王宇飞，徐志博，王婧.层次化电力信息网络威胁态势评估方法[J].中国电力，2013，46（7）：121-125.

　　[10] 贾焰，王晓伟，韩伟红，等.YHSSAS：面向大规模网络的安全态势感知系统[J].计算机科学，2011，38（2）：4-9.

　　[11] 卓莹，何明，龚正虎.网络安全态势评估的粗集分析模型[J].计算机工程与科学，2012，34（3）：326-330.

　　[12] 陆悠，罗军舟，李伟，等.面向网络状态的自适应用户行为评估方法[J].通信学报，2013，34（7）：71-80.

　　[13] 文志诚，曹春丽.基于因子加权的网络安全态势感知方法[J].计算机应用，2015，35（5）：1393-1398.

　　[14] 高春维，谭旭.决策属性未知下的学生评教粗糙集分析[J].计算机工程与应用，2012，48（9）：238-241．