基于灰色关联分析的网络安全态势优化评估

（中国移动通信集团广东有限公司汕头分公司 广东 515043）

目前，国外对网络安全态势感知系统的研究主要基于集成化的思想，建立专门的网络安全态势感知系统框架结构，对网络安全态势感知系统的研究具有一定的参考价值。与国外相比，中国对网络态势感知的研究还处于起步阶段，主要研究成果有：基于信息融合的网络安全态势评估方法、基于日志审计和性能修正算法的网络态势评估方法和基于模糊粗糙集的网络态势评估方法，但现有的态势评估方法由于无法发现潜在的、未知的安全漏洞和威胁，导致评估结果的准确性和评估效果较差，因此引入了灰色关联分析技术。灰色关联分析主要是依据样本数据序列的发展趋势、所表现出的几何形态、数据序列之间的相似度来表征各数据因素间的关联程度[1]。

1 网络安全态势优化评估方法设计

网络安全态势优化评估采用监控平台-采集代理结构，其中监控部分主要负责对网络安全态势进行评估，集成了数据分析指标提取模块、安全态势评估模块、插件定义模块、采集命令生成模块、转换模块、数据库中间件模块以及其他功能模块，为用户或传感器在采集前进行调用和向上层传感器集成平台传输数据提供了接口，此外，在监控平台的扩展功能中，还保留了与服务故障恢复相关的功能模块，为用户或传感器在采集前进行配置提供了方便、友好的用户界面，用于实时显示采集时监控代为发出的命令，在采集完成后提交各种形式的评估报告[2]。

1.1 网络安全态势感知

网络安全态势评估包括两个过程，即对网络系统当前运行状态的评估和对未来一段时间内网络系统运行状况的预测。根据当前网络状况，选择Netflow 作为数据源。网络流量不仅能够实时提供详尽的网络流量信息和统计预分析，而且能够有效避免资源超载，为网络安全态势感知提供必要的数据和服务支持[3]。将数据包按到达的流量采样间隔进行采集，对所有采集到的数据包进行过滤和聚合，形成大量的数据流，然后将其以流记录格式存储在缓存中，满足导出条件后，再通过UDP 协议导出。最后以网络安全态势感知数据为支撑，对网络安全态势优化进行评估。

根据网络系统的结构和使用情况，采用网站监测数据，选取影响网络态势的主要漏洞和安全事件，通过对网络系统数据的统计，根据这些漏洞和安全事件所带来的损失，以及评价特征，分别量化其风险等级。

1.2 设置网络安全态势评估指标

根据网络安全态势评估原理，在考虑网络复杂性、不确定性、动态性等因素的基础上，分别从网络风险、脆弱性、可用性和可靠性四个方面建立评估指标体系。与之相关的网络风险评估指标有：报警器数量和种类、攻击事件发生频率、数据流量、流量增长率、各关键设备访问主流网站的频率等；与之相关的脆弱性评估指标有：安全设备数量、各关键设备提供的服务类型及其版本、设备总的开放端口数量等；可用性指标有：网络带宽、带宽利用率、CPU 利用率、内存利用率、最大并发线程数量等；可靠性指标有：流量变化率、数据流量总量、关键设备平均无故障时间等。

1.3 建立网络安全态势评估矩阵

首先对各指标ui分别按评判集中各vj进行评分；然后计算各指标对评判集中的第j个元素vj的值。

式中nij和nt分别表示的是指标体系中的第i个指标ui作出第j个评价的专家数目和专家总数。由此便可以得出指标的评价向量，通过上述方法，就可以知道n个指标有n个评价向量ri，即可确定映射关系为：

由此可以得出网络安全态势的评估矩阵为：

分别将设置的网络安全态势评估指标导入到公式3 中，便可以得出对应安全态势优化评估的量化表达式。

1.4 完成网络安全态势优化评估

为更好地对网络运行状况进行安全态势分析，将灰色理论中的关联分析与层次分析相结合，分别从网络攻击层、关联层、服务层、主机层和系统层得到评价指标计算结果。以主机层为例其安全态势值可以表示为：

式中m为主机Hk所提供的服务个数。V′为服务Sj在主机Hk提供的各项服务中所占有的重要性权值，X（t）为求解得出的综合指标计算结果。同理可以得出其他网络层的安全态势值求解结果，将综合态势值计算结果与表1 中的评价划分等级标准进行比对，便可以得出最终的网络安全态势优化评估结果。

2 对比实验分析

为了测试设计的基于灰色关联分析的网络安全态势优化评估方法的评估功能，设计对比实验，对比设计评估方法和传统评估方法以及文献[7]中提出的基于深度自编码网络的网络安全态势评估方法作为实验的两个对比方法。所使用的模拟硬件环境为：CPUP43-0GHz，1GB 内存，20GB 硬盘自由空间，2Mbps 网卡。其软件环境是：Windows XP 操作系统、MATLAB2007 软件包。模拟实验数据来源于美国MIT林肯实验室的网络入侵检测数据集KDDCup99。该模型分为两个部分，第一部分对网络安全态势评估模型进行训练，第二部分对网络安全态势评估模型进行测试，以验证模型的评估结果与实际结果是否一致。将准备的实验样本数据转换为安全态势数据，并以此作为实验的判定标准，测试数据集中网络安全态势值的分布情况如图1 所示。

图1 测试数据集中网络安全态势值分布

将图1 中的态势值数据代入到表1 中，便可以得出实验的标准对比数据。接着将三个评估方法分别转换为计算机可以直接读取的程序代码，并导入到实验环境中，通过对样本数据的读取与分析，输出最终的网络安全态势优化评估结果，经过与标准评估等级的对比得出有关评估精准度的测试结果，其中部分测试数据如表1 所示。

表1 对比实验结果

从表1 中可以看出，从态势值评估结果中来看，三种方法的评估误差分别为0.308、0.068 和0.018，由此可见设计的基于灰色关联分析的网络安全态势优化评估方法的评估误差更小，即评估精准度更高。

3 结束语

通过网络安全态势评估，可以监测网络安全变化趋势，发现可能发生的网络攻击行为，并采取有效措施加以防范，提高网络安全水平。根据目前网络安全态势评估中存在的问题，将灰色关联分析法应用于网络安全态势评估，实现了传统方法的优化。试验结果表明，灰色关联分析理论的应用有效地提高了评估的精确度。能够捕捉到网络安全的总体变化趋势，因此，评价方法的设计和发展有助于指导网络管理员对未来可能发生的网络安全事件作出相应的应对措施。