直觉模糊集网络安全态势预测方法范文

摘要：传统方法预测的网络安全态势值，与实际值存在偏差，为此提出基于直觉模糊集的网络安全态势预测方法。集成各种安全设备上报的事件，解析态势预测需要的信息数据，以及各事件的类型、地址等关联数据，计算事件风险值、脆弱指数、主机管控能力和安全设备运行指数，作为预测参数，通过直觉模糊集，对参数进行直觉模糊分割，定义参数权重，计算网络安全态势预测值。进行对比实验，结果表明，此次方法相比传统方法，在保证预测效率的同时，有效降低了预测态势值的相对误差，预测的网络安全态势更为准确，同时提高了攻击类型检测率，确保攻击类型的分类精度。

关键词：直觉模糊集；网络安全；态势预测；风险值

国内安全态势预测研究取得较大发展，统计过去和当前的攻击信息，将态势分析技术应用到网络安全领域中，对网络攻击和失效进行度量，并通过直觉模糊集，构建网络漏洞监测模型，得到网络安全性的预测参数[1]。在特定网络攻击下，对整个网络的安全属性进行计算，全面掌握网络安全状况预测各种威胁的发展趋势[2]。提出基于直觉模糊集的网络安全态势预测方法，对网络的运行状况进行动态监控，深入分析并预测未来时刻的网络安全动态。

1基于直觉模糊集的网络安全态势预测方法设计

1.1采集网络安全事件的数据信息

采集网络安全数据信息，归一化处理后，进行关联分析。将事件的具体信息写入不同标签中，设置事件反应时间，为上报到产生警告的时间，上报格式为xml格式，产生速度为1.5秒一条事件[3]。解析态势预测需要的内容信息，并对其进行归一化处理，提取各个字段和属性。采用基于规则的关联技术，层次化规则匹配安全事件与解析的规则，若多条报警满足规则场景的多有层次，则调用该安全事件的信息数据，用于攻防场景的描述和分析。将安全规则库作为关联分析的核心，根据已知攻击的攻击顺序进行定义，通过预定义的规则库，关联分析不同类型、层次和地址的安全事件。至此完成网络安全事件数据信息的采集。

1.2计算网络安全事件的风险值

根据采集的信息数据，计算每个安全事件的风险值。对所有关联规则和事件进行匹配，提取风险值的计算参数，包括资产值、优先级、可靠性。其中资产值表示网络部署设备的重要程度，划分1~5个等级如下：非常重要，设备破坏后会造成非常严重的损失；重要，破坏后造成比较严重的损失；比较重要，破坏后造成中等程度的损失；比较不重要，破坏后造成较低损失；不重要，破坏后损失很小或可以忽略[4]。优先级表示安全事件发生后，网络受攻击的严重程度，划分1~5个等级如下：非常严重，对网络安全造成很大影响；非常严重，对网络安全造成较大影响；比较严重，对网络安全造成中等程度的影响；比较不严重，对网络安全造成较小影响；不严重，对网络安全影响很小或可以忽略。可靠性表示安全事件的真实程度，使用关联规则里的可靠性值，为每条事件分配默认的可靠性值，定义可靠性范围为0~10，其中10表示一定会发生，事件发生频率依次递减，0表示一定不会发生。通过公式（1），得到0~10之间的风险值，当ri为0时，丢弃该安全事件，当ri≥1时，则产生网络安全告警。至此完成网络安全事件风险值的计算。

1.3基于直觉模糊集计算网络安全态势预测值

接收到安全告警信息后，对设备上报事件进行分类，结合直觉模糊集，计算网络安全态势的预测值。首先将安全事件分为4类，包括设备状态事件、攻击事件、主机操作事件和漏洞事件，将态势预测参数分为4部分，包括风险值、脆弱指数、主机管控能力和安全设备运行指数。其中脆弱指数表示网络设备存在漏洞的情况，漏洞越多越易受到攻击，定义初始脆弱值为0，脆弱值范围为0~100；主机管控能力表示网络主机是否存在违规操作，数值越大表示管控能力越强，定义该参数初始值为0，范围为0~100；运行指数表示设备正常运行的情况，定义参数初始值为0，范围为0~100。输入参数变量，构成模糊输入空间，使每个参数对应一组模糊语言，对应一个具有相同论域的模糊集合，对4个参数进行直觉模糊分割，使模糊分割数达到最大，提高参数的模糊推理精细化程度。

2实验论证分析

进行对比实验，将基于直觉模糊集的网络安全态势预测方法记为实验组，传统网络安全态势预测方法，记为对照组，比较两种方法对网络安全态势预测的偏差。

2.1实验准备

搭建实验环境，采用B/S模式，服务器管理选择EnterpriseLinux5，服务器操作选择Oracle11g，后台服务程序为C/C++编程，数据库开发工作分别PL/SQL和OTL，双核53101.6GHz处理器、142GB/SAS磁盘空间、4900条事件/min事件实时处理能力、平均无故障时间>9000h、支持安全设备种类>25种等。数据集的攻击场景分别为LLDOS3.0和LLDOS1.1，利用INFERD自动化工具，对告警信息进行分析，得出实验用的攻击序列集，攻击序列的发生概率为0.50，对网络主机进行访问，在不同时刻扫描主机，进行缓冲区溢出攻击和TCP-SYN攻击等，两组实验分别对网络安全态势进行预测。

2.2实验结果

通过CVE公共数据，得出网络脆弱性的发现时间，并将起始的防护策略集假设为空，把攻击场景划分为20个时段，两组实验根据前10个时段的安全态势要素集，对后10个时段的安全态势进行预测。统计单位时间内节点受到的攻击，得到网络安全态势的实际值，记录各时段的安全态势预测值，多次实验取平均值。由上表可知，实验组平均相对误差为2.77%，对照组平均相对误差为10.26%，相比对照组，实验组平均相对误差减少了7.49%。在第一组实验的基础上，统计两组实验的预测时间，进行多次实验取平均值。由上表可知，实验组平均预测时间为20.54s，对照组平均预测时间为31.75s，相比对照组，实验组平均预测时间缩短了11.21s。最后两组实验对攻击序列集的攻击类型进行检测，计算攻击类型的检测率，进行多组实验取平均值。实验组平均检测率为96.26%，对照组平均检测率为88.76%，相比对照组，实验组平均检测率提高了7.50%。综上所述，此次设计方法相比传统方法，在保证预测效率的同时，有效降低了预测态势值的相对误差，预测的网络安全态势更加准确，同时提高了攻击类型的检测率，保证了攻击类型的分类精度。

3结束语

此次设计方法充分发挥出了直觉模糊集的技术优势，使网络安全态势的预测值与实际值更加贴近，但此次研究仍存在一定不足，仅针对主机和网络数据的安全把控，在今后的研究中，会将网络设备的安全事件考虑在内，扩大设计方法的适用范围。

参考文献：

[1]张然,刘敏,张启坤,等.一种基于SA-SOA-BP神经网络的网络安全态势预测算法[J].小型微型计算机系统,2020,41(10):2157-2163.

[2]陈锴.基于多源异构传感器的网络安全态势感知系统设计[J].现代电子技术,2020,43(20):74-78.

[3]张泽,樊江伟,周南.基于MEA-LVQ的网络态势预测模型[J].信息安全研究,2020,6(6):499-505.

[4]肖喜生,龙春,彭凯飞,等.基于人工智能的安全态势预测技术研究综述[J].信息安全研究,2020,6(6):506-513.

作者:王晓菲 张瑞 单位:周口职业技术学院信息化管理中心 周口职业技术学院信息工程学院