相关热词搜索:
相似云下的网络安全风险评估
相似云下的网络安全风险评估 摘要:针对当前网络安全风险评估指标体系不全面、实践操作复杂和评估结果 不精确等问题,提出了一种基于相似云的网络安全风险评估方法。结合网络攻击 威胁程度、漏洞利用情况和网络稳定性三要素建立指标体系,并采用正态云重叠 面积定量描述云模型的相似度,实现对网络风险的模糊量化评估。实验表明,该 方法能有效地评估网络风险,提高评估结果的精确性。关键词:网络安全;
风险评估;
云模型;
指标体系;
相似性度量 随着网络的多样化和复杂化,网络安全问题变得日益突出。因此,对当前 网络风险进行评估,并依据评估结果在风险发生之前采取相应的防御措施,降低 风险发生概率,提高网络安全就变得十分重要。目前网络安全风险评估存在的主 要问题是评估主观性强,评估结果不精确。针对这些问题,一些学者提出通过建 立合理的指标体系,选取适当的指标对网络安全状况进行评估。如瓮迟迟等依据 国家等级保护技术标准,从技术要求和管理要求两方面建立主机安全评估指标体 系,对主机安全风险进行了全面的模糊量化评估[1]。王娟等针对网络层次、 信息来源和不同需求三方面,拟定了25个指标,建立了完善的网络安全态势评 估体系,对网络安全态势量化评估提供了可靠的依据[2]。程玉珍从技术风险 和非技术风险两个角度建立指标体系,并利用多层次模糊综合评估模型进行多层 次的评估,为云服务的风险管理提供了理论参考[3]。一些学者采取定量或定 性定量相结合的方法对网络安全状况进行评估,如攻击图[4]、Petri网 [5]、神经网络[6]、博弈论[7]、马尔科夫模型[8]等方法,以避免 纯粹定性评估结果的不精确等问题。依据云模型把定性概念的模糊性和随机性有 效地结合在一起,实现定性与定量之间相互转换的特点[9],本文提出了基于 云模型的风险评估方法。通过完善网络风险评估指标体系,建立云风险评估模型, 改进云相似性度量算法,有效地提高了网络风险评估结果的精确性和可信性。
1网络安全风险评估指标体系 网络安全状态评估涉及众多因素,而各因素的影响程度均不同。只有综合 考虑影响网络安全的各种因素,才能对网络状态进行科学、合理的评价。因此, 本文从网络安全风险因素中选取具有代表性的评估指标,构建网络安全风险评估 指标体系,如图1所示。指标体系由目标、子目标和指标三个层次构成,U代表 目标层,表示网络安全状态评估结果;
U1、U2、U3代表子目标层,表示影 响网络风险的因素;
指标层是子目标层的细化,表示网络安全评估的具体因素。图1从脆弱性、威胁性和稳定性三个方面选取了影响网络安全风险的12个指标。
其中,脆弱性子目标层的指标反映评估对象自身在系统软、硬件配置和服务配置 上的安全性不足;
威胁性子目标层的指标反映当前网络状态下的危害程度;
稳定 性子目标层的指标反映连续时间内网络性能变化情况。
2基于云模型的网络安全风险评估方法 利用云模型对网络安全风险评估指标进行评估量化处理,并把这种模型定 义为云风险评估模型。具体定义如下:云风险评估模型CRAM(CloudR iskAssessmentModel)是一个五元组,即CRAM={R, t,C,V,E}。(1)R=(α1,α2,…,αk)表示网络评估综合风险 值集合。综合风险值αi=∑nj=1Iij×wj。其中:Iij表示第i次采 样时,风险评估指标中第j个指标的样本值;
k表示取样次数;
n表示网络风险 评估指标个数;
wj表示第j个指标所对应的权重,且∑nj=1wj=1。
(2)t表示每次采样间隔时间。(3)C=(Ex,En,He)表示云向量。
其中3个特征值Ex,En,He分别为期望、熵和超熵。(4)V=(正常, 较正常,较危险,危险)为系统状态集合,表示风险评估时的4种不同网络状态。
(5)E=(低,较低,较高,高)为评估等级集合,表示系统状态所对应的4 种评估结果。
2.1正常状态云的构造 每间隔时间t对当前网络参数进行采样,获取k组样本点作为正常状态下 的样本值。首先通过层次分析法(AHP)[10]计算各指标权重并求取当前 状态下不同时刻的综合风险值αi(要多次对网络参数进行采样,以确保综合风 险值的样本量足够多);
然后通过无确定度逆向云算法得到正常状态云的数字特 征(Ex,En,He);
最后通过正向云算法生成正常状态云集合。2.1. 1无确定度逆向云生成算法输入:网络安全评估指标体系中各指标的样本值Ii j和每个风险指标所对应的权重wj,其中i=1,2,…,k,j=1,2, …,n(n表示风险指标个数,本文有12个指标值,所以n=12)。输出:
云数字特征值Ex、En、He。Step1:计算不同时刻的综合风险值αi;
αi=∑nj=1Iij×wj(1)Step2:计算综合风险值的3个数字特 征:(1)依据不同时刻的综合风险值,求取综合风险均值珨M=1k∑ki= 1αi,样本方差S2=1k-1∑ki=1(αi-珨M)2;
(2)期望值E x=珨M;
(3)熵值En=(珨M2-S22)1/4;
(4)超熵值He= (珨M-(珨M2-S22)1/2)1/2。2.1.2正向云生成算法输入:正常状态下云的数字特征(Ex,En,He)和云滴个数N。输出:N个云滴 和正常状态下每个云滴的确定度ui。Step1:生成一个以En为期望值, He为标准差的一个正态随机数En′;
Step2:生成一个以Ex为期望值, He为标准差的正态随机数xi;
Step3:计算ui=exp(-(xi- Ex)2/2(En′)2),其中xi表示一个云滴,ui为其确定度;
St ep4:重复step1-step3,直到按照上述要求产生N个云滴为止。
2.2四尺度概念云的构造 为了准确描述网络风险状态,首先将网络状态划分为安全、较安全、较危 险和危险4种,分别对不同状态下的网络参数值进行采样;
然后依据正常状态云 的构造步骤分别建立4种网络状态下的正态云;
最后生成四尺度的概念云(正常、 较正常、较危险、危险),其相应的风险结果为(低、较低、较高、高)。
2.3基于相似云的风险评估算法 通过改进文献[11]的云相似度算法,计算出当前状态下生成的正态云 与标准状态下四尺度的概念云的相似度,将相似度最高的概念云所对应的风险等 级作为最终输出结果。具体的相似云风险评估算法如下:输入:当前网络状态下 云C0的数字特征(Ex0,En0,He0),标准状态下概念云C1的数字 特征(Ex1,En1,He1)。输出:风险评估结果δ。Step1:令f i(x)=exp(-(x-Exi)2/2Eni2),i=0,1,求出云 C0和云C1的两条期望曲线y=f0(x)和y=f1(x)在[Ex1-3 En1,Ex1+3En1]范围内的相交点x1、x2,设x1≤x2,Ex 0≤Ex1;
Step2:由于交点的分布不同,正态云重叠面积A分为3种情 况:(1)若x1与x2落在[Ex1-3En1,Ex1+3En1]范围外, 则A=0;
(2)若x1与x2有一点落在[Ex1-3En1,Ex1+3E n1]范围内,则A=∫x1Ex1-3En1f1(x)dx+∫Ex1+3E n1x1f0(x)dx;
(3)若x1与x2同时落在[Ex1-3En1, Ex1+3En1]范围内,则A=∫x1Ex1-3En1f1(x)dx+∫ x2x1f0(x)dx+∫Ex1+3En1x2f1(x)dx(当En1 <En0时),或A=∫x1Ex1-3En1f0(x)dx+∫x2x1f1 (x)dx+∫Ex1+3En1x2f0(x)dx(当En1≥En0时);
Step3:对面积A做标准化处理,最终可得云模型相似度为:sim(C0, C1)=A2槡πEn1∈[0,1](2)Step4:依次计算待评价云C 0与4个概念云C1,C2,C3,C4的相似度值,其中最大相似度值所对应的风险等级为最终的输出结果,记为δ。
3实验结果与分析 3.1实验过程与结果 本实验基于Windows7环境,编程工具为Matlab7.11, 在校园网络环境下进行测试。采用美国林肯实验室Kddcup99数据集中的 数据,分别对非攻击、PROBE(端口扫描)攻击、R2L(远程登录)攻击 和DoS(拒绝服务)攻击4种状态下的数据进行采集,按照1∶1000的比 例随机选取子网带宽占用率、子网流量增长率、子网流量变化率和不同协议数据 包分布比值变化率4个指标值。利用逆向云算法得到各状态下云的特征值(见表 1),然后通过正向云算法生成四尺度的概念云(正常,较正常,较危险,危险), 其相应的风险评估结果为(低,较低,较高,高)。进行随机网络攻击,每隔1 0s对当前网络进行一次采样,每次实验采样20组,利用AHP依次计算此时 的综合风险值并作为输入参数,通过逆向云算法求出此时的云特征值C(Ex, En,He)。重复实验多次,并取4次实验采样值进行相似度计算。利用相似 云风险评估算法,依次计算4次不同实验下的云与标准状态下四尺度概念云的相 似度,相似度最大的为最终输出结果. 3.2实验结果分析 将正态云相似性度量方法与传统的基于云滴距离[12]和余弦夹角[1 3]求相似性的方法进行比较.3种云相似性度量方法均可以得出正确的结果。
基于云滴距离的相似性度量方法,因云滴的分布带有局部性和随机性,各云滴之 间选取和排序问题不仅会增加算法的复杂度,还会直接影响到结果的准确性。基 于夹角余弦求相似度的方法虽然计算简单,但是通过逆向云算法生成的期望值远 大于熵和超熵,使得该方法在求相似度时容易忽视熵和超熵的作用,直接影响到 结果的精确性。本文利用正态云重叠面积求相似度的方法充分考虑到正态云的全 局相似性和3个数字特征值的作用,使得评估结果更加精确。
4结语 本文通过建立完善的网络风险评估指标体系和改进云相似性度量算法对 网络风险状态进行了评估。实验结果表明,改进方法与传统方法相比不仅使实验 结果更加精确,还提高了网络安全评估效率。如何获取和处理异常的网络采样数据,使评估结果更全面,是下一步研究的主要内容。
