基于直觉模糊集的网络安全态势预测方法

王晓菲，张瑞

摘要：传统方法预测的网络安全态势值，与实际值存在偏差，为此提出基于直觉模糊集的网络安全态势预测方法。集成各种安全设备上报的事件，解析态势预测需要的信息数据，以及各事件的类型、地址等关联数据，计算事件风险值、脆弱指数、主机管控能力和安全设备运行指数，作为预测参数，通过直觉模糊集，对参数进行直觉模糊分割，定义参数权重，计算网络安全态势预测值。进行对比实验，结果表明，此次方法相比传统方法，在保證预测效率的同时，有效降低了预测态势值的相对误差，预测的网络安全态势更为准确，同时提高了攻击类型检测率，确保攻击类型的分类精度。

关键词：直觉模糊集;网络安全;态势预测;风险值

中图分类号：TP393.08      文献标识码：A

文章编号：1009-3044（2021）20-0057-02

国内安全态势预测研究取得较大发展，统计过去和当前的攻击信息，将态势分析技术应用到网络安全领域中，对网络攻击和失效进行度量，并通过直觉模糊集，构建网络漏洞监测模型，得到网络安全性的预测参数[1]。在特定网络攻击下，对整个网络的安全属性进行计算，全面掌握网络安全状况预测各种威胁的发展趋势[2]。提出基于直觉模糊集的网络安全态势预测方法，对网络的运行状况进行动态监控，深入分析并预测未来时刻的网络安全动态。

1 基于直觉模糊集的网络安全态势预测方法设计

1.1 采集网络安全事件的数据信息

采集网络安全数据信息，归一化处理后，进行关联分析。将事件的具体信息写入不同标签中，设置事件反应时间，为上报到产生警告的时间，上报格式为xml格式，产生速度为1.5秒一条事件[3]。解析态势预测需要的内容信息，并对其进行归一化处理，提取各个字段和属性。

采用基于规则的关联技术，层次化规则匹配安全事件与解析的规则，若多条报警满足规则场景的多有层次，则调用该安全事件的信息数据，用于攻防场景的描述和分析。将安全规则库作为关联分析的核心，根据已知攻击的攻击顺序进行定义，通过预定义的规则库，关联分析不同类型、层次和地址的安全事件。至此完成网络安全事件数据信息的采集。

1.2 计算网络安全事件的风险值

根据采集的信息数据，计算每个安全事件的风险值。对所有关联规则和事件进行匹配，提取风险值的计算参数，包括资产值、优先级、可靠性。其中资产值表示网络部署设备的重要程度，划分1～5个等级如下：非常重要，设备破坏后会造成非常严重的损失;重要，破坏后造成比较严重的损失;比较重要，破坏后造成中等程度的损失;比较不重要，破坏后造成较低损失;不重要，破坏后损失很小或可以忽略[4]。优先级表示安全事件发生后，网络受攻击的严重程度，划分1～5个等级如下：非常严重，对网络安全造成很大影响;非常严重，对网络安全造成较大影响;比较严重，对网络安全造成中等程度的影响;比较不严重，对网络安全造成较小影响;不严重，对网络安全影响很小或可以忽略。可靠性表示安全事件的真实程度，使用关联规则里的可靠性值，为每条事件分配默认的可靠性值，定义可靠性范围为0～10，其中10表示一定会发生，事件发生频率依次递减，0表示一定不会发生。则风险值计算公式为：

[ri=Ai?Pi?Ri25]                          （1）

其中[ i]为上报的网络安全事件，[ri]为事件 [ i]的风险值，[Pi]为 事件 [ i]的资产值，[Ai]为事件 [ i]的优先级，[Ri]为事件[ i]的可靠性。通过公式（1），得到0～10之间的风险值，当[ri]为0时，丢弃该安全事件，当[ri]≥1时，则产生网络安全告警。至此完成网络安全事件风险值的计算。

1.3 基于直觉模糊集计算网络安全态势预测值

接收到安全告警信息后，对设备上报事件进行分类，结合直觉模糊集，计算网络安全态势的预测值。首先将安全事件分为4类，包括设备状态事件、攻击事件、主机操作事件和漏洞事件，将态势预测参数分为4部分，包括风险值、脆弱指数、主机管控能力和安全设备运行指数。其中脆弱指数表示网络设备存在漏洞的情况，漏洞越多越易受到攻击，定义初始脆弱值为0，脆弱值范围为0～100;主机管控能力表示网络主机是否存在违规操作，数值越大表示管控能力越强，定义该参数初始值为0，范围为0～100;运行指数表示设备正常运行的情况，定义参数初始值为0，范围为0～100。输入参数变量，构成模糊输入空间，使每个参数对应一组模糊语言，对应一个具有相同论域的模糊集合，对4个参数进行直觉模糊分割，使模糊分割数达到最大，提高参数的模糊推理精细化程度。分割后计算最终的网络态势值[s]，公式为：

[ s=riw1+yiw2+diw3+kiw4]                      （2）

其中[yi]为事件[ i]的脆弱指数，[di]为事件[ i]的主机管控能力，[ki]为事件[ i]的安全设备运行指数，[w1、w2、w3、w4]分别为各参数对应权重，取值分别为0.5、0.2、0.2、0.1。通过公式（2），反映网络安全态势，预测值[s]越大，表示未来网络越不安全，将态势值的计算间隔，调整为每10秒计算一次，完成网络安全态势预测值的计算。至此完成基于直觉模糊集的网络安全态势预测方法设计。

2 实验论证分析

进行对比实验，将基于直觉模糊集的网络安全态势预测方法记为实验组，传统网络安全态势预测方法，记为对照组，比较两种方法对网络安全态势预测的偏差。