基于云模型的网络安全态势分析与评估＊

张拥军，唐 俊

（1.华东师范大学软件学院，上海200092；2.湖南城建职业技术学院信息工程系，湖南 湘潭411101）

1 引言

目前，信息技术已经进入云计算时代，各种网络应用不断普及，网络安全问题也日益严峻，传统的网络防御设备和技术已经无法满足现有的网络安全需求。因此，对网络所面临的安全风险进行态势感知和分析，进而采取相应的预防措施就非常重要。网络安全态势感知是指在网络环境中，在一定时间和空间内，对能够引起网络态势发生变化的外部环境因素进行获取、理解和对未来短期变化趋势的预测和预警。网络安全态势感知具有动态性的特点，综合了各方面的安全因素，从整体上动态反映网络安全状况，为提高网络安全性提供了可靠的参照依据。因此，针对网络的安全态势感知研究已经成为目前网络安全领域的研究热点。

目前，已有的网络态势分析模型中，静态方法［1］无法对攻击进行实时检测，自适应性较差。动态网络态势分析模型中，不同的研究者从不同的方面进行了研究，如基于HMM的方法、基于人工免疫的方法、模糊集合分析法等智能方法 。已有的方法多是从单一的角度去分析，结果还不够客观。对网络安全态势分析而言，网络入侵的发生具有随机性的特点，对网络态势的分析结果具有一定的模糊性。云模型是一种把模糊性和随机性集成到一起的有效工具，基于此，本文提出了一种基于云模型的网络安全态势分析方法，提高了预测结果的准确性。

2 理论基础和设计思想

云模型是一种定性定量之间进行相互转换的模型［6］，能够实现定性概念与其相应的定量表示之间的不确定性转换。它有效反映了模糊性和随机性这两种概念以及它们之间的关联性。云模型用三个数字特征表示：期望值Ex、熵En、超熵He，记作C（Ex，En，He）。在云模型中，通过正向云发生器把定性概念转换为定量表示，通过逆向云发生器把定量值转换为定性概念。将定量数据转换为以数字特征 （Ex，En，He）来表示的定性概念，即由云滴群得到云的数字特征的过程。

在网络安全态势分析与评估中，可以根据系统主要指标（如内存、CPU占有率等）的变化来确定网络面临的风险程度。网络入侵是否发生是一个具有很大随机性的过程，而网络风险的评估结果一般是采用自然语言来描述（如网络风险高、低等），因此，风险评估结果具有一定的模糊性。同时，各参数之间的变化具有一定的关联性。总之，网络风险程度是定性概念，而引起网络风险的变化的各个参数的值是定量的。云模型把定性概念的模糊性和随机性及二者的关联性有效集成在一起，构成定性和定量相互间的转换［6］。因此，云模型非常适合求解此类问题。本文模型的基本任务为：根据系统当前采样的性能指标值，给出系统的危险级别。

3 关键技术与实现

根据本模型的设计思想，实现的关键技术包括两个：如何选择判断网络是否发生异常的性能指标并将其形式化；如何构造逆向云发生器，完成网络异常表示的定量数值到网络风险的定性描述的转换。本文中，设置网络的状态为不正常、不太正常、基本正常和正常，相应的安全分析结果为高、较高、较低和低。

3.1 系统变量云

为了准确进行风险评估，首先定义需要监视的系统变量。定义系统变量云为：Cloud＝ （S，T，En，Ex，He），其中S代表系统资源集合，T为采样时间间隔。设S＝ （C，M，P，L，W，F，…），C代表CPU占用率，M代表内存占用率，P代表进程响应时间，L代表连接个数与状态，W 代表带宽，F代表流量参数等。一般而言，一个系统变量指标的变化无法准确反映网络发生危险的程度，因此本模型考虑了多个性能指标的异常变化值。由于过多的参数采样将导致问题过于复杂，因此，本文主要采样内存占用率和CPU占用率这两个性能指标，其它指标的分析过程类似。

3.2 云发生器的构造

网络正常运行时，其状态是确定的，同时，某些特定的入侵发生时，其所处的状态也是可以得到的。因此，可以得到网络正常状态下的系统参数和已知入侵发生时的系统参数。然后，利用云模型的特点，得到其数字特征和标准概念云。

（1）正常状态概念云的构造。

在网络正常运行状态下，对系统参数进行采样（采样间隔为T），采取h个样本点［7］，并将样本点的各维属性值归一化到［0，1］，这样h个样本点的分布就构成了一个云。由于网络风险态势分析只能得到采样的数据值，确定性程度很难获得，因此本文提出了一种改进的无需确定度的逆向云生成算法（算法1），用来求云的数字特征，然后使用正向云生成算法，得到正常概念云。为了更清楚地表示其过程，算法中以内存采样数据为例来描述。其它系统参数的计算方法类似。

算法1 改进的逆向云生成算法

输入：样本点 Mi，其中i＝1，2，3，…，n；Mi是指内存在不同采样时刻下的n个数据。

输出：反映内存占用率的数字特征（Ex，En，He）。

算法步骤：

步骤1 根据Mi计算其样本均值¯M＝

步骤5 输出 （~Ex，~En，~He）作为 （Ex，En，He）的估计值。

相比原来的逆向云生成算法，该算法在超熵He相对于熵En偏大时，熵和超熵的点估计误差仍然较小。并且该算法相对简单，精度也比较高。下面进行简单证明。

证明如下：

（1）设 （X1，X2，…，Xn）是总体 X 的样本，由于E（X）＝Ex［6］，则有：

E（¯X）＝E（（X1＋X2＋…，XN）／N）＝Ex所以：＝是Ex的无偏估计。

逆向云算法的精度与He／En的大小有很大关系［8，9］：当其值较大时，误差较大。在原算法中，的估计主要是依靠En′i的绝对值，而En′i为负值的概率随He／En增加而变大，因此，当He／En大于某一阈值时（实验证明为0.8），该算法对En、He估计的均方差明显增大。

通过分别设置 He／En的值从0.1到0.8，重复进行10次实验，结果表明，随着He／En值的增大，本算法对数字特征点估计的均方差明显较小，估计准确度和精度均较高。表1是（Ex，En，He）为（0.1，1，0.8）时候的估计结果比较。理论分析和实验结果表明了改进算法的优越性。

通过算法1得到正常状态的（Ex，En，He）后，使用正向正态云生成算法（算法2）生成正常云概念图。

Table 1 Comparison of cloud digital features estimation with two algorithms表1 两种算法云数字特征估计值比较

算法2 正向正态云生成算法

输入：正常状态下内存占用率的数字特征（Ex，En，He），生成云滴的个数n。

输出：云滴x及其隶属于正常概念云的确定度μ（也可以表示为drop（xi，μi），i＝1，2，…，n）。

算法步骤：

步骤1 生成一个以En为期望值、以He2为方差的一个正态随机数En′i。

步骤2 生成一个以Ex为期望值、以En′i2为方差的一个正态随机数xi。

步骤4 重复步骤1～步骤3，直至产生要求的n个云滴为止。

通过算法1和算法2就可以得到表示正常概念的状态云。

（2）其它状态的概念云生成。

对于其它状态的概念云，本文通过实际数据采集与估算相结合的方法生成［10］。由于网络异常行为有相似性，所以可以通过使用已知的攻击进行若干次实验，收集相关的样本点作为网络不正常状态的采样值，用上述相似的方法生成不正常状态下的概念云。

经过此过程，最后组成一个四尺度的概念云（不正常，不太正常，基本正常，正常），将其投影到一维平面上，如图1所示。

3.3 网络入侵风险的态势分析过程

假设从时刻t0开始，以T为周期，对系统参数值进行采样，得到h个样本。根据实际采集到的样本值，得到此时的 （Ex，En，He）和云模型。然后根据云相似度算法［9］，计算此云与已知概念云的相似度，激活相似度最高概念云作为输出。

Figure 1 Projection of four－scale concept cloud in the memory图1 四尺度概念云在内存上的投影

4 系统仿真实验

为了验证本算法的性能，在网络实验室中进行了相关仿真验证实验。在Windows操作系统环境下，使用VC编程实现算法［10～13］。实验数据为kddcup＿data＿10percent数据，主要实验步骤与文献［10］相同。算法主要参数的取值如下：T＝10s，h＝20，n ＝ 1000，计 算 Cloudgood、Cloudcomm、Cloudworse、Cloudbad，并得到云特征参数 （Ex，En，He），然后利用云相似度算法［9］，得出相似度最大的云。表2为部分系统采样值及网络态势分析结果。

Table 2 Network security situation analysis results表2 网络安全态势分析结果

从表2可以看出，本方法可以给出正确的态势分析和评估结果。从评估结果也可以看出，网络在风险较高和较低状态的En值和He值也相对较大，反映了人们对此概念认识的差异性也较大。En值反映了结果的随机性，超熵He说明了结果的不确定性［14，15］，反映了认知结果的随机性。这与现实生活中人们的认知状态相一致。因此，基于云模型的网络态势分析不仅给出了正确的评估结果，而且保留了评估过程中的不确定性。

5 结束语

本文提出了一种基于云模型的网络安全态势分析方法，并通过理论分析和实验证明了其有效性。结果表明，本方法很好地保留了网络安全态势分析的随机性和评估结果的模糊性，并能够适应超熵变化带来的不确定性，减少人为因素的影响，分析结果更为合理。态势评估与分析是一个复杂问题，文中以获得的已有数据为基础进行分析。现实网络中，许多入侵和异常数据是难以获取和发现的，因此本文算法还需进一步深化，这也是下一步研究的方向。

［1］ Xi Rong－rong，Yun Xiao－chun，Jin Shu－yuan，et al.Research survey of network security situation awareness［J］.Journal of Computer Applications，2012，36（10）：176－178.（in Chinese）［2］ Xu De－zhi，Li Xiao－hui.Recommendation algorithm of item ratings prediction based on cloud model［J］.Computer Engineering，2010，36（17）：48－50.（in Chinese）

［3］ Zhang Hong－bin，Pei Qing－qi，Ma Jian－feng.An algorithm for sensing insider threat based on cloud model［J］.Chinese Journal of Computers，2009，32（6）：784－791.（in Chinese）

［4］ Chen Xiu－zhen，cZheng Qing－hua，Guan Xiao－hong，et al.Quantitative hierarchical threat evaluation model for network security［J］.Journal of Software，2006，17（4）：885－890.（in Chinese）

［5］ Li Ling－juan，Kong Fan－long.A Hierarchical network security situation evaluation method based on grey theory［J］.Computer Technology and Development，2010，20（8）：163－166.（in Chinese）.

［6］ Li De－yi，Du yi.Uncertianly artifical intelligence［M］.Beijing：National Defence Industry Press，2005.（in Chinese）

［7］ Li De－yi，Liu Chang－yu，Gan Wen－yan.A new cognitive model：Cloud model［J］.International Journal of Intelligent Systems，2009，24（4），357－375.

［8］ LüHui－jun，Wang Ye，Li De－yi，et al.The application of backward cloud in qualitative evaluation［J］.Chinese Journal of Computers，2003，26（8）：1009－1014.（in Chinese）

［9］ Zhang Guo－ying，Liu Yu－shu.Cloud classifier based on attribute similarity［J］.Journal of Beijing Institute of Technology，2006，25（6）：499－503.（in Chinese）

［10］ Chen Liang，Pan Hui－yong.Cloud－model based decision－making for network risk assessment［J］.Journal of Computer Applications，2012，32（2）：472－475.（in Chinese）

［11］ Yang Liu，LüYing－hua.An evaluation model for network risk based on cloud theory［J］.Computer Simulation，2010，10（10）：95－98.（in Chinese）

［12］ Wan Biao.The realization of evaluation for network intrusion based on cloud theory［J］.Computer Engineering ＆Science，2010，32（12）：27－29.（in Chinese）

［13］ Wu D，Mendel J M.A comparative study of ranking methods，similarity measures and uncertainty measures for interval type－2fuzzy sets［J］.Information Sciences，2009，179（8）：1169－1192.

［14］ Mendel J M，John R I B.Type－2fuzzy sets made simple［J］.IEEE Transactions on Fuzzy Systems，2002，10（2）：117－127.

［15］ Mendel J M.On a 50%savings in the computation of a symmetrical interval type－2fuzzy set［J］.Information Sciences，2005，172（3）：417－430.

附中文参考文献：

［1］ 席荣荣，云晓春，金舒原，等.网络安全态势感知研究综述［J］.计算机应用，2012，36（10）：176－178.

［2］ 徐德智，李小慧.基于云模型的项目评分预测推测算法［J］.计算机工程，2010，36（17）：48－50.

［3］ 张红斌，裴庆祺，马建峰.内部威胁云模型感知算法［J］.计算机学报，2009，32（6）：784－791.

［4］ 陈秀真，郑庆华，管晓宏.层次化网络安全威胁态势量化评估方法［J］.软件学报，2006，17（4）：885－890.

［5］ 李玲娟，孔凡龙.基于灰色理论的层次化网络安全态势评估方法［J］.计算机技术与发展，2010，20（8）：163－166.

［6］ 李德毅，杜鹢.不确定性人工智能［M］.北京：国防工业出版社，2005.

［8］ 吕辉军，王晔，李德毅.逆向云在定性评价中的应用［J］.计算机学报，2003，26（8）：1009－1014.

［9］ 张国英，刘玉树.基于属性相似度云模型分类器［J］.北京理工大学学报，2006，25（6）：499－503.

［10］ 陈亮，潘惠勇.网络安全风险评估的云决策［J］.计算机应用，2012，32（2）：472－475.

［11］ 杨柳，吕英华.基于云模型的网络风险评估技术研究［J］.计算机仿真，2010，10（10）：95－98.

［12］ 万彪.网络入侵危险性评估的云理论实现［J］.计算机工程与科学，2010，32（12）：27－29.