張擁軍，唐 俊

（1.華東師范大學(xué)軟件學(xué)院，上海200092；2.湖南城建職業(yè)技術(shù)學(xué)院信息工程系，湖南 湘潭411101）

1 引言

目前，信息技術(shù)已經(jīng)進(jìn)入云計(jì)算時(shí)代，各種網(wǎng)絡(luò)應(yīng)用不斷普及，網(wǎng)絡(luò)安全問(wèn)題也日益嚴(yán)峻，傳統(tǒng)的網(wǎng)絡(luò)防御設(shè)備和技術(shù)已經(jīng)無(wú)法滿(mǎn)足現(xiàn)有的網(wǎng)絡(luò)安全需求。因此，對(duì)網(wǎng)絡(luò)所面臨的安全風(fēng)險(xiǎn)進(jìn)行態(tài)勢(shì)感知和分析，進(jìn)而采取相應(yīng)的預(yù)防措施就非常重要。網(wǎng)絡(luò)安全態(tài)勢(shì)感知是指在網(wǎng)絡(luò)環(huán)境中，在一定時(shí)間和空間內(nèi)，對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的外部環(huán)境因素進(jìn)行獲取、理解和對(duì)未來(lái)短期變化趨勢(shì)的預(yù)測(cè)和預(yù)警。網(wǎng)絡(luò)安全態(tài)勢(shì)感知具有動(dòng)態(tài)性的特點(diǎn)，綜合了各方面的安全因素，從整體上動(dòng)態(tài)反映網(wǎng)絡(luò)安全狀況，為提高網(wǎng)絡(luò)安全性提供了可靠的參照依據(jù)。因此，針對(duì)網(wǎng)絡(luò)的安全態(tài)勢(shì)感知研究已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的研究熱點(diǎn)。

目前，已有的網(wǎng)絡(luò)態(tài)勢(shì)分析模型中，靜態(tài)方法［1］無(wú)法對(duì)攻擊進(jìn)行實(shí)時(shí)檢測(cè)，自適應(yīng)性較差。動(dòng)態(tài)網(wǎng)絡(luò)態(tài)勢(shì)分析模型中，不同的研究者從不同的方面進(jìn)行了研究，如基于HMM的方法、基于人工免疫的方法、模糊集合分析法等智能方法 。已有的方法多是從單一的角度去分析，結(jié)果還不夠客觀。對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)分析而言，網(wǎng)絡(luò)入侵的發(fā)生具有隨機(jī)性的特點(diǎn)，對(duì)網(wǎng)絡(luò)態(tài)勢(shì)的分析結(jié)果具有一定的模糊性。云模型是一種把模糊性和隨機(jī)性集成到一起的有效工具，基于此，本文提出了一種基于云模型的網(wǎng)絡(luò)安全態(tài)勢(shì)分析方法，提高了預(yù)測(cè)結(jié)果的準(zhǔn)確性。

2 理論基礎(chǔ)和設(shè)計(jì)思想

云模型是一種定性定量之間進(jìn)行相互轉(zhuǎn)換的模型［6］，能夠?qū)崿F(xiàn)定性概念與其相應(yīng)的定量表示之間的不確定性轉(zhuǎn)換。它有效反映了模糊性和隨機(jī)性這兩種概念以及它們之間的關(guān)聯(lián)性。云模型用三個(gè)數(shù)字特征表示：期望值Ex、熵En、超熵He，記作C（Ex，En，He）。在云模型中，通過(guò)正向云發(fā)生器把定性概念轉(zhuǎn)換為定量表示，通過(guò)逆向云發(fā)生器把定量值轉(zhuǎn)換為定性概念。將定量數(shù)據(jù)轉(zhuǎn)換為以數(shù)字特征 （Ex，En，He）來(lái)表示的定性概念，即由云滴群得到云的數(shù)字特征的過(guò)程。

在網(wǎng)絡(luò)安全態(tài)勢(shì)分析與評(píng)估中，可以根據(jù)系統(tǒng)主要指標(biāo)（如內(nèi)存、CPU占有率等）的變化來(lái)確定網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)程度。網(wǎng)絡(luò)入侵是否發(fā)生是一個(gè)具有很大隨機(jī)性的過(guò)程，而網(wǎng)絡(luò)風(fēng)險(xiǎn)的評(píng)估結(jié)果一般是采用自然語(yǔ)言來(lái)描述（如網(wǎng)絡(luò)風(fēng)險(xiǎn)高、低等），因此，風(fēng)險(xiǎn)評(píng)估結(jié)果具有一定的模糊性。同時(shí)，各參數(shù)之間的變化具有一定的關(guān)聯(lián)性?？傊W(wǎng)絡(luò)風(fēng)險(xiǎn)程度是定性概念，而引起網(wǎng)絡(luò)風(fēng)險(xiǎn)的變化的各個(gè)參數(shù)的值是定量的。云模型把定性概念的模糊性和隨機(jī)性及二者的關(guān)聯(lián)性有效集成在一起，構(gòu)成定性和定量相互間的轉(zhuǎn)換［6］。因此，云模型非常適合求解此類(lèi)問(wèn)題。本文模型的基本任務(wù)為：根據(jù)系統(tǒng)當(dāng)前采樣的性能指標(biāo)值，給出系統(tǒng)的危險(xiǎn)級(jí)別。

3 關(guān)鍵技術(shù)與實(shí)現(xiàn)

根據(jù)本模型的設(shè)計(jì)思想，實(shí)現(xiàn)的關(guān)鍵技術(shù)包括兩個(gè)：如何選擇判斷網(wǎng)絡(luò)是否發(fā)生異常的性能指標(biāo)并將其形式化；如何構(gòu)造逆向云發(fā)生器，完成網(wǎng)絡(luò)異常表示的定量數(shù)值到網(wǎng)絡(luò)風(fēng)險(xiǎn)的定性描述的轉(zhuǎn)換。本文中，設(shè)置網(wǎng)絡(luò)的狀態(tài)為不正常、不太正常、基本正常和正常，相應(yīng)的安全分析結(jié)果為高、較高、較低和低。

3.1 系統(tǒng)變量云

為了準(zhǔn)確進(jìn)行風(fēng)險(xiǎn)評(píng)估，首先定義需要監(jiān)視的系統(tǒng)變量。定義系統(tǒng)變量云為：Cloud＝ （S，T，En，Ex，He），其中S代表系統(tǒng)資源集合，T為采樣時(shí)間間隔。設(shè)S＝ （C，M，P，L，W，F(xiàn)，…），C代表CPU占用率，M代表內(nèi)存占用率，P代表進(jìn)程響應(yīng)時(shí)間，L代表連接個(gè)數(shù)與狀態(tài)，W 代表帶寬，F(xiàn)代表流量參數(shù)等。一般而言，一個(gè)系統(tǒng)變量指標(biāo)的變化無(wú)法準(zhǔn)確反映網(wǎng)絡(luò)發(fā)生危險(xiǎn)的程度，因此本模型考慮了多個(gè)性能指標(biāo)的異常變化值。由于過(guò)多的參數(shù)采樣將導(dǎo)致問(wèn)題過(guò)于復(fù)雜，因此，本文主要采樣內(nèi)存占用率和CPU占用率這兩個(gè)性能指標(biāo)，其它指標(biāo)的分析過(guò)程類(lèi)似。

3.2 云發(fā)生器的構(gòu)造

網(wǎng)絡(luò)正常運(yùn)行時(shí)，其狀態(tài)是確定的，同時(shí)，某些特定的入侵發(fā)生時(shí)，其所處的狀態(tài)也是可以得到的。因此，可以得到網(wǎng)絡(luò)正常狀態(tài)下的系統(tǒng)參數(shù)和已知入侵發(fā)生時(shí)的系統(tǒng)參數(shù)。然后，利用云模型的特點(diǎn)，得到其數(shù)字特征和標(biāo)準(zhǔn)概念云。

（1）正常狀態(tài)概念云的構(gòu)造。

在網(wǎng)絡(luò)正常運(yùn)行狀態(tài)下，對(duì)系統(tǒng)參數(shù)進(jìn)行采樣（采樣間隔為T(mén)），采取h個(gè)樣本點(diǎn)［7］，并將樣本點(diǎn)的各維屬性值歸一化到［0，1］，這樣h個(gè)樣本點(diǎn)的分布就構(gòu)成了一個(gè)云。由于網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢(shì)分析只能得到采樣的數(shù)據(jù)值，確定性程度很難獲得，因此本文提出了一種改進(jìn)的無(wú)需確定度的逆向云生成算法（算法1），用來(lái)求云的數(shù)字特征，然后使用正向云生成算法，得到正常概念云。為了更清楚地表示其過(guò)程，算法中以?xún)?nèi)存采樣數(shù)據(jù)為例來(lái)描述。其它系統(tǒng)參數(shù)的計(jì)算方法類(lèi)似。

算法1 改進(jìn)的逆向云生成算法

輸入：樣本點(diǎn) Mi，其中i＝1，2，3，…，n；Mi是指內(nèi)存在不同采樣時(shí)刻下的n個(gè)數(shù)據(jù)。

輸出：反映內(nèi)存占用率的數(shù)字特征（Ex，En，He）。

算法步驟：

步驟1 根據(jù)Mi計(jì)算其樣本均值ˉM＝

步驟5 輸出 （~Ex，~En，~He）作為 （Ex，En，He）的估計(jì)值。

相比原來(lái)的逆向云生成算法，該算法在超熵He相對(duì)于熵En偏大時(shí)，熵和超熵的點(diǎn)估計(jì)誤差仍然較小。并且該算法相對(duì)簡(jiǎn)單，精度也比較高。下面進(jìn)行簡(jiǎn)單證明。

證明如下：

（1）設(shè) （X1，X2，…，Xn）是總體 X 的樣本，由于E（X）＝Ex［6］，則有：

E（ˉX）＝E（（X1＋X2＋…，XN）／N）＝Ex所以：＝是Ex的無(wú)偏估計(jì)。

逆向云算法的精度與He／En的大小有很大關(guān)系［8，9］：當(dāng)其值較大時(shí)，誤差較大。在原算法中，的估計(jì)主要是依靠En′i的絕對(duì)值，而En′i為負(fù)值的概率隨He／En增加而變大，因此，當(dāng)He／En大于某一閾值時(shí)（實(shí)驗(yàn)證明為0.8），該算法對(duì)En、He估計(jì)的均方差明顯增大。

通過(guò)分別設(shè)置 He／En的值從0.1到0.8，重復(fù)進(jìn)行10次實(shí)驗(yàn)，結(jié)果表明，隨著He／En值的增大，本算法對(duì)數(shù)字特征點(diǎn)估計(jì)的均方差明顯較小，估計(jì)準(zhǔn)確度和精度均較高。表1是（Ex，En，He）為（0.1，1，0.8）時(shí)候的估計(jì)結(jié)果比較。理論分析和實(shí)驗(yàn)結(jié)果表明了改進(jìn)算法的優(yōu)越性。

通過(guò)算法1得到正常狀態(tài)的（Ex，En，He）后，使用正向正態(tài)云生成算法（算法2）生成正常云概念圖。

Table 1 Comparison of cloud digital features estimation with two algorithms表1 兩種算法云數(shù)字特征估計(jì)值比較

算法2 正向正態(tài)云生成算法

輸入：正常狀態(tài)下內(nèi)存占用率的數(shù)字特征（Ex，En，He），生成云滴的個(gè)數(shù)n。

輸出：云滴x及其隸屬于正常概念云的確定度μ（也可以表示為drop（xi，μi），i＝1，2，…，n）。

算法步驟：

步驟1 生成一個(gè)以En為期望值、以He2為方差的一個(gè)正態(tài)隨機(jī)數(shù)En′i。

步驟2 生成一個(gè)以Ex為期望值、以En′i2為方差的一個(gè)正態(tài)隨機(jī)數(shù)xi。

步驟4 重復(fù)步驟1～步驟3，直至產(chǎn)生要求的n個(gè)云滴為止。

通過(guò)算法1和算法2就可以得到表示正常概念的狀態(tài)云。

（2）其它狀態(tài)的概念云生成。

對(duì)于其它狀態(tài)的概念云，本文通過(guò)實(shí)際數(shù)據(jù)采集與估算相結(jié)合的方法生成［10］。由于網(wǎng)絡(luò)異常行為有相似性，所以可以通過(guò)使用已知的攻擊進(jìn)行若干次實(shí)驗(yàn)，收集相關(guān)的樣本點(diǎn)作為網(wǎng)絡(luò)不正常狀態(tài)的采樣值，用上述相似的方法生成不正常狀態(tài)下的概念云。

經(jīng)過(guò)此過(guò)程，最后組成一個(gè)四尺度的概念云（不正常，不太正常，基本正常，正常），將其投影到一維平面上，如圖1所示。

3.3 網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)的態(tài)勢(shì)分析過(guò)程

假設(shè)從時(shí)刻t0開(kāi)始，以T為周期，對(duì)系統(tǒng)參數(shù)值進(jìn)行采樣，得到h個(gè)樣本。根據(jù)實(shí)際采集到的樣本值，得到此時(shí)的 （Ex，En，He）和云模型。然后根據(jù)云相似度算法［9］，計(jì)算此云與已知概念云的相似度，激活相似度最高概念云作為輸出。

Figure 1 Projection of four－scale concept cloud in the memory圖1 四尺度概念云在內(nèi)存上的投影

4 系統(tǒng)仿真實(shí)驗(yàn)

為了驗(yàn)證本算法的性能，在網(wǎng)絡(luò)實(shí)驗(yàn)室中進(jìn)行了相關(guān)仿真驗(yàn)證實(shí)驗(yàn)。在Windows操作系統(tǒng)環(huán)境下，使用VC編程實(shí)現(xiàn)算法［10～13］。實(shí)驗(yàn)數(shù)據(jù)為kddcup＿data＿10percent數(shù)據(jù)，主要實(shí)驗(yàn)步驟與文獻(xiàn)［10］相同。算法主要參數(shù)的取值如下：T＝10s，h＝20，n ＝ 1000，計(jì) 算 Cloudgood、Cloudcomm、Cloudworse、Cloudbad，并得到云特征參數(shù) （Ex，En，He），然后利用云相似度算法［9］，得出相似度最大的云。表2為部分系統(tǒng)采樣值及網(wǎng)絡(luò)態(tài)勢(shì)分析結(jié)果。

Table 2 Network security situation analysis results表2 網(wǎng)絡(luò)安全態(tài)勢(shì)分析結(jié)果

從表2可以看出，本方法可以給出正確的態(tài)勢(shì)分析和評(píng)估結(jié)果。從評(píng)估結(jié)果也可以看出，網(wǎng)絡(luò)在風(fēng)險(xiǎn)較高和較低狀態(tài)的En值和He值也相對(duì)較大，反映了人們對(duì)此概念認(rèn)識(shí)的差異性也較大。En值反映了結(jié)果的隨機(jī)性，超熵He說(shuō)明了結(jié)果的不確定性［14，15］，反映了認(rèn)知結(jié)果的隨機(jī)性。這與現(xiàn)實(shí)生活中人們的認(rèn)知狀態(tài)相一致。因此，基于云模型的網(wǎng)絡(luò)態(tài)勢(shì)分析不僅給出了正確的評(píng)估結(jié)果，而且保留了評(píng)估過(guò)程中的不確定性。

5 結(jié)束語(yǔ)

本文提出了一種基于云模型的網(wǎng)絡(luò)安全態(tài)勢(shì)分析方法，并通過(guò)理論分析和實(shí)驗(yàn)證明了其有效性。結(jié)果表明，本方法很好地保留了網(wǎng)絡(luò)安全態(tài)勢(shì)分析的隨機(jī)性和評(píng)估結(jié)果的模糊性，并能夠適應(yīng)超熵變化帶來(lái)的不確定性，減少人為因素的影響，分析結(jié)果更為合理。態(tài)勢(shì)評(píng)估與分析是一個(gè)復(fù)雜問(wèn)題，文中以獲得的已有數(shù)據(jù)為基礎(chǔ)進(jìn)行分析?，F(xiàn)實(shí)網(wǎng)絡(luò)中，許多入侵和異常數(shù)據(jù)是難以獲取和發(fā)現(xiàn)的，因此本文算法還需進(jìn)一步深化，這也是下一步研究的方向。

［1］ Xi Rong－rong，Yun Xiao－chun，Jin Shu－yuan，et al.Research survey of network security situation awareness［J］.Journal of Computer Applications，2012，36（10）：176－178.（in Chinese）［2］ Xu De－zhi，Li Xiao－h(huán)ui.Recommendation algorithm of item ratings prediction based on cloud model［J］.Computer Engineering，2010，36（17）：48－50.（in Chinese）

［3］ Zhang Hong－bin，Pei Qing－qi，Ma Jian－feng.An algorithm for sensing insider threat based on cloud model［J］.Chinese Journal of Computers，2009，32（6）：784－791.（in Chinese）

［4］ Chen Xiu－zhen，cZheng Qing－h(huán)ua，Guan Xiao－h(huán)ong，et al.Quantitative hierarchical threat evaluation model for network security［J］.Journal of Software，2006，17（4）：885－890.（in Chinese）

［5］ Li Ling－juan，Kong Fan－long.A Hierarchical network security situation evaluation method based on grey theory［J］.Computer Technology and Development，2010，20（8）：163－166.（in Chinese）.

［6］ Li De－yi，Du yi.Uncertianly artifical intelligence［M］.Beijing：National Defence Industry Press，2005.（in Chinese）

［7］ Li De－yi，Liu Chang－yu，Gan Wen－yan.A new cognitive model：Cloud model［J］.International Journal of Intelligent Systems，2009，24（4），357－375.

［8］ LüHui－jun，Wang Ye，Li De－yi，et al.The application of backward cloud in qualitative evaluation［J］.Chinese Journal of Computers，2003，26（8）：1009－1014.（in Chinese）

［9］ Zhang Guo－ying，Liu Yu－shu.Cloud classifier based on attribute similarity［J］.Journal of Beijing Institute of Technology，2006，25（6）：499－503.（in Chinese）

［10］ Chen Liang，Pan Hui－yong.Cloud－model based decision－making for network risk assessment［J］.Journal of Computer Applications，2012，32（2）：472－475.（in Chinese）

［11］ Yang Liu，LüYing－h(huán)ua.An evaluation model for network risk based on cloud theory［J］.Computer Simulation，2010，10（10）：95－98.（in Chinese）

［12］ Wan Biao.The realization of evaluation for network intrusion based on cloud theory［J］.Computer Engineering ＆Science，2010，32（12）：27－29.（in Chinese）

［13］ Wu D，Mendel J M.A comparative study of ranking methods，similarity measures and uncertainty measures for interval type－2fuzzy sets［J］.Information Sciences，2009，179（8）：1169－1192.

［14］ Mendel J M，John R I B.Type－2fuzzy sets made simple［J］.IEEE Transactions on Fuzzy Systems，2002，10（2）：117－127.

［15］ Mendel J M.On a 50%savings in the computation of a symmetrical interval type－2fuzzy set［J］.Information Sciences，2005，172（3）：417－430.

附中文參考文獻(xiàn)：

［1］ 席榮榮，云曉春，金舒原，等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究綜述［J］.計(jì)算機(jī)應(yīng)用，2012，36（10）：176－178.

［2］ 徐德智，李小慧.基于云模型的項(xiàng)目評(píng)分預(yù)測(cè)推測(cè)算法［J］.計(jì)算機(jī)工程，2010，36（17）：48－50.

［3］ 張紅斌，裴慶祺，馬建峰.內(nèi)部威脅云模型感知算法［J］.計(jì)算機(jī)學(xué)報(bào)，2009，32（6）：784－791.

［4］ 陳秀真，鄭慶華，管曉宏.層次化網(wǎng)絡(luò)安全威脅態(tài)勢(shì)量化評(píng)估方法［J］.軟件學(xué)報(bào)，2006，17（4）：885－890.

［5］ 李玲娟，孔凡龍.基于灰色理論的層次化網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估方法［J］.計(jì)算機(jī)技術(shù)與發(fā)展，2010，20（8）：163－166.

［6］ 李德毅，杜鹢.不確定性人工智能［M］.北京：國(guó)防工業(yè)出版社，2005.

［8］ 呂輝軍，王曄，李德毅.逆向云在定性評(píng)價(jià)中的應(yīng)用［J］.計(jì)算機(jī)學(xué)報(bào)，2003，26（8）：1009－1014.

［9］ 張國(guó)英，劉玉樹(shù).基于屬性相似度云模型分類(lèi)器［J］.北京理工大學(xué)學(xué)報(bào)，2006，25（6）：499－503.

［10］ 陳亮，潘惠勇.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的云決策［J］.計(jì)算機(jī)應(yīng)用，2012，32（2）：472－475.

［11］ 楊柳，呂英華.基于云模型的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估技術(shù)研究［J］.計(jì)算機(jī)仿真，2010，10（10）：95－98.

［12］ 萬(wàn)彪.網(wǎng)絡(luò)入侵危險(xiǎn)性評(píng)估的云理論實(shí)現(xiàn)［J］.計(jì)算機(jī)工程與科學(xué)，2010，32（12）：27－29.