网络安全态势感知之态势评估

一次性付费进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：460500587

微信公众号：计算机与网络安全

ID：Computer-network

态势评估在网络安全态势感知研究中占有重要的地位和作用，它是整个网络安全态势感知全过程的重点和关键环节。所谓安全态势评估，是指通过汇总、过滤和关联分析网络安全设备等产生的安全事件，在构建安全指标的基础上建立合适的数学模型，对网络系统整体上所遭受的安全威胁程度进行评估，从而分析出网络遭受攻击所处阶段，全面掌握网络整体的安全状况。有的时候，态势理解等同于态势评估，或者说态势理解的核心就是态势评估。

通过网络安全态势评估，可以尽早地发现网络中的安全隐患和威胁，对这些隐患与威胁的影响范围与严重程度进行充分评估可以帮助网络安全管理人员掌握当前网络的安全状况，以便在网络攻击发生之前针对这些威胁采取遏制和阻止措施，使系统免受攻击和破坏，使网络安全得到充分保护。只有对网络安全态势进行评估，才能明确网络所处的安全状况，从而掌握全网安全态势，也为下一步态势预测提供依据。网络安全态势评估的重要作用是为安全防护的实施提供强有力的支持。

安全态势评估是网络安全态势感知的重点，也是难点，至今没有一个系统的理论体系。态势评估领域的研究比较零散，大多为各自独立的一些观点，没有统一的方法可以较好地用于评估，衡量评估质量的方法和技术也还比较缺乏，这就导致了评估方法的多样化而没有一个权威性的共识。本文主要对目前已有的主流研究成果进行梳理，给大家一个宏观指引和整体认识。

1、网络安全态势评估的内涵

网络安全态势评估就是为实现网络安全态势感知中的态势理解而采用的方法及其相关的行为过程，是网络安全态势感知（也是态势理解）的核心要素。一般来说，网络安全态势评估的含义是指实时地对网络安全设备产生的安全数据和事件进行提取，通过一定的模型和方法进行计算和评价，动态反映网络实际的运行状况。有的时候，态势评估的含义也可以延伸出通过对历史数据的离线分析，采用数据挖掘等一些方法和相应算法对未来的安全趋势进行预测，因为评估出安全事件对网络的影响后，很快就要对未来的网络安全态势进行预测，从而及时选取安全防范手段，所以很多人将二者一起归为态势评估。但实际上，评估和预测用的模型算法和方法是有差异的，在此更倾向于将态势预测部分分离出来，将态势评估聚焦在其本质的内涵——计算和评价上。

网络安全态势评估技术的主要作用是反映网络的运行状态以及面临的威胁的严重程度。网络安全态势评估主要是将在对网络上原始安全数据和事件进行采集和预处理操作之后，基于建立的网络安全态势评估指标体系，在一定先验知识的基础上，通过一系列的数学模型和算法进行处理，进而以安全态势值的形式得出定量或定性的网络安全态势评估结果，表现网络安全状况。需要注意的是，安全态势值的大小也会随着安全状况的变化而变化。整个过程中涉及的数据量比较庞大而且评估算法比较复杂，会产生冗余与虚报的问题，因此常常需要进行数据预处理和分析（清洗、集成、归约、变换、事件关联分析等）。态势评估着重在事件出现后，评估其对网络造成的影响，并通过对历史安全态势的分析与建模来评价当前的网络安全态势，有时甚至包括未来的态势评估。网络安全管理人员通过态势评估对网络增加相应的安全措施并进行升级与优化，从而应对网络安全态势的变化。

2、网络安全态势评估的基本内容

为方便理解态势评估所在的层次和包含的内容，可以从网络安全态势感知的整体流程和数据处理的角度来审视。参考网络安全态势感知领域学者们提出的模型框架，基于网络空间态势感知过程对数据处理的需要，将相应的数据处理过程划分为五个层次，分别为数据采集、数据预处理、信息提取、态势分析和态势展现，如图1所示。

图1 网络安全态势感知中数据处理的层次

●数据采集是指从各种设备当中获取各种与网络空间安全的相关数据，如系统日志、IDS告警、漏洞信息、网络拓扑等。

●数据预处理是对获取到的数据的初步处理。由于各种数据来源于不同的设备，具有不同的格式，通过这一过程对数据进行清洗、集成、归约和变换等处理，可对多源异构数据进行数据融合。

●信息提取是对数据预处理后产生的数据做进一步的融合理解，通过建立恰当的网络安全态势感知指标体系，融合不同来源数据进而产生底层指标。

●态势分析是融合底层态势指标，通过各种数据处理手段综合处理和计算，进而得到上层的态势结果。这正是网络安全态势评估所在的层次，其主要包含两部分内容：

网络安全态势指数的计算。该数值反映特定时段网络的安全状况，是通过特征量化与聚集计算得到的。量化与聚集算法是网络安全态势评估的核心，算法要求快速、高效，保证评估的实时性与准确性。网络安全态势评估方法。网络安全态势指数可以反映网络的受威胁程度，除此之外，态势评估方法也必不可少。通过它与安全指数的互相结合，安全管理人员就能够知道网络具体发生了什么样的问题，并进一步提出解决办法。

●态势展现即通过合适的可视化手段展现网络空间态势以供使用人员做出综合判断。

在网络安全态势感知领域数据处理的这五个层次当中，我们可以看到数据融合技术广泛而频繁的应用，其中层次2～4中都有涉及。在数据预处理和信息提取两个层面中，采用不同的数据融合算法处理多源数据，从中提取和融合并得到相应的态势指标；在态势分析层面，也用到大量数据融合技术，可以说数据融合技术是态势评估的核心，通过融合下级态势指标数据得到上层的态势指标，量化计算获得网络安全态势指数。其相应的数据处理流程框架如图2所示。

图2 网络安全态势感知数据融合处理流程

下面是对层次2～4数据融合处理流程的进一步阐述。

数据预处理：网络空间中不同的数据源对于同一目标的表示方法不尽相同，如各种漏洞扫描工具、IDS设备等产生的数据格式各不相同。针对网络空间的安全态势指标，得到的是多源异构的描述信息。要综合利用这些信息，首先要经过数据的校准和规格化，针对所要的态势指标将相应信息进行统一。例如，在此过程中，可采用信号级融合、特征级融合的算法对相应数据进行初步融合处理；针对告警类数据，可采用聚类分析法实现报警的聚类，精简报警。

信息提取：针对数据预处理后输出的数据进行进一步的融合处理，得到更准确、全面的态势指标数据以用于态势分析。在信息提取的这个层次，是对数据预处理层处理后的数据进行进一步的融合，通过采用特征级或者决策级的融合算法来融合处理指标数据，使得到的数据更加全面准确。例如，可以通过D-S证据理论融合多个特征，对网络流量进行综合评判，实现对异常流量的更准确判断。态势分析：对信息提取输出的数据进行再次融合处理，利用融合算法和评估计算方法对各种低层次态势指标数据进行综合处理和计算，进而得到上层的态势结果，以此作为评判整体网络安全态势的依据。例如，可以基于贝叶斯网络，通过融合多种态势指标数据信息，综合评估网络的攻击态势。

由此可见，数据融合是网络安全态势感知的基础，也是网络安全态势评估的核心，如何有效地融合多源数据直接关系到感知的性能和准确性。下面进一步介绍用于评估的数据融合算法。

3、网络安全态势指数计算基本理论

网络安全态势评估中很重要的一个部分就是对态势指数（指标）的计算，这主要涉及对权重的确定，态势评估的权重问题是指对与评估目标有关联的因素相对于评估目标重要性量化计算的过程。权重值取得越大，表示该因素相对于评估目标越重要，反之越不重要。常用的权重确定方法有以下两种：排序归一法和层次分析法。

（1）排序归一法

态势评估中对于权值确定的问题可以采用排序归一法来解决，即通过网络安全管理人员对与评估目标相关的因素，参照自己的经验判断认为其对评估目标的重要性进行的排序，然后再对排序结果进行归一化处理，最后得出权重向量，计算公式为：

因为网络安全管理人员面对的网络是一个动态变化、结构复杂的环境，所以单凭其主观经验对设备、服务的重要性给出判断，这样计算得出的权重向量不够客观，难以经得起实践的考验。这种方法简单，但有一定的局限性。

（2）层次分析法层次分析法是一种应用在复杂问题决策中有效、简洁的新方法，它是由美国运筹学家撒汀教授在20世纪初提出的，是解决态势评估当中权重问题较好的方法。它将对评估目标有影响的难以量化的各种因素划分层次，使之有序化、条理化，同时对与评估目标相关的因素进行两两比较，确定它们之间的相对重要性，进行量化得到一个矩阵，然后对所有相关因素的最终顺序引用模糊数学的方法来进行确定。

下面介绍一下采用层次分析法进行权重确定的步骤：

1）确定目标，建立层次结构。首先对目标要有清楚的认识，明确要研究的问题、解决问题的准则及解决问题的方案，并对解决问题的准则与方案之间的关联关系分析清楚，最后按照目标层、准则层、方案层的次序建立层次结构。2）构建判断矩阵。这是确定权重系数的基础，通过对同一层次的各因素关于上一层中某元素的相对重要性，采用两两比较的方法进行重要性判断。假设我们对两个因素进行比较，它们相对重要性取值如表1所示。

表1 相对重要性取值表

根据表1的赋值方法，对于上层某个元素相关联的因素，以上层该元素为基准，然后两两相比较来确定矩阵的每一个元素值，构造出判断矩阵A=（aii）n×n，其中aii满足以下性质：

3）计算判断矩阵。构造出判断矩阵之后，就需要计算判断矩阵的最大特征值（或者说是绝对值），再计算特征向量，进而得出特征向量（低层因素）相对上层元素的待测权重向量。

4）一致性检验。第3步计算出的权重向量并不是最终结果，还需要对该结果进行一致性检验，检验过程主要包括以下两步：①按照公式计算一致性指标

②参照对应的平均随机一致性指标，计算出一致性比率。随机一致性指标的值可通过两种方式获得，即计算方法和查表方法。

计算方法可以通过公式计算得出：

其中

为多个阶随机判断矩阵最大特征值的平均值。查表方法可以通过表查出，其中n为阶数。如表2所示。

表2 平均随机一致性参数对应表

需要注意的是，当阶数取“或”时，判断矩阵式满足一致性即：

aij·ajk=aik

最后，在确定平均随机一致性指标之后，可通过下面公式计算一致性比率：

如果上式计算结果CR＜0.1，则该判断矩阵的一致性在可接纳的范围内，第3步计算出的权重向量就是最后的计算结果；如果CR≥0.1，则需要重新构建判断矩阵，从第2步重新开始上面的过程，直到得出最终的权重向量。

由上可见，层次分析法的第3步和第4步包含复杂的计算过程，尤其是一致性检验，需要较大的计算量才能完成，这也是层次分析法的一个缺点。

4、网络安全态势评估方法分类

网络安全态势评估的方法是网络安全态势评估的重要内容，目前国内外关于网络安全态势评估方法的研究成果有很多，主要可归纳如图3所示。

图3 网络安全态势评估方法归纳

●按照评估侧重点，可分为风险评估和威胁评估。

●按照评估实时性，可分为静态评估和动态评估。

●按照评估的形式，可分为定性评估和定量评估，这也是根据网络安全态势指标的属性进行的区分。

●按照评估依据的理论技术基础，可分为三大类，分别是基于数学模型、基于概率和知识推理和基于模式分类。下面对这三大类进行进一步的说明。

其中，在按照评估理论基础划分的类别中，基于数学模型的方法以层次分析法、集对分析法、模糊综合评价法、距离偏差法、多属性效用函数法等方法为代表，它是对影响网络安全态势感知的因素进行综合考虑，然后建立安全指标集与安全态势的对应关系，进而将态势评估问题归属到多指标综合评价或者多属性集合等问题。它能够得到明确的数学表达式，进而也能给出确定性结果。该类型方法是最早用于网络安全态势感知中的评估方法，也是应用最为广泛的方法，其缺点是利用此类方法构造的评估模型以及对其中变量的定义涉及的主观因素较多，缺少客观统一的标准。基于概率和知识推理的方法以模糊推理、贝叶斯网络、马尔可夫过程、D-S证据理论等为代表，依据专家知识和经验数据库来搭建模型，采用逻辑推理方式对安全态势进行评估。其主要思路是借助模糊理论、证据理论等来处理网络安全事件的随机性。采用该方法构建模型需要首先获取先验知识，从实际应用来看，该方法对知识的获取途径仍然比较单一，主要依靠机器学习或者专家知识库，机器学习存在操作困难的问题，而专家知识库主要依靠经验的累积。其缺点是大量的规则和知识占用大量空间，而且推理过程也越来越复杂，很难应用到大规模网络中进行评估。

基于模式分类的方法以聚类分析、粗糙集、灰色关联分析、神经网络和支持向量机等为代表，利用训练的方式建立模型，然后基于模式的分类来对网络安全态势进行评估。该方法优点是学习能力非常好，模型建立得较为准确，缺点是计算量过大，如粗糙集和神经网络等建模时间较长，特征数量较多并且不易于理解，在对实时性要求高的网络环境中不能得到很好的应用。综上所述，每种评估方法都有其优点和适用场合，但也有一定的缺点。我们应当根据实际网络安全态势感知需要来选取合适的态势评估方法和手段。

5、网络安全态势评估常用的融合方法

网络安全态势评估是指在获取海量网络安全数据信息的基础上，通过解析信息之间的关联性对其进行融合，获取宏观的网络安全态势。其中，数据融合是网络安全态势评估的核心，在态势感知的多个阶段（如预处理、指标构建和态势评估）中都会涉及数据融合技术的应用，这里重点对态势评估中常用的融合方法进行梳理和说明。网络安全态势评估摒弃了研究单一的安全事件，而是从宏观角度考虑网络整体的安全状态，以期获得网络安全的综合评估，达到辅助决策的目的。目前应用于网络安全态势评估的数据融合方法，大致分为以下4类：基于逻辑关系的融合评价方法、基于数学模型的融合评价方法、基于概率统计的融合评价方法和基于规则推理的融合评价方法。

（1）基于逻辑关系的融合评价方法

基于逻辑关系的融合评价方法即根据数据之间的内在逻辑，对数据进行融合处理。

一种典型的基于逻辑关系的融合评价方法就是对告警数据的关联分析。告警关联是指基于警报数据之间的逻辑关系对其进行融合，从而获取宏观的攻击态势。告警数据之间的逻辑关系主要包括：告警属性特征的相似性、预定义攻击模型中的关联性、攻击的前提和后继条件之间的相关性等。通过告警关联进行的数据融合，能够将海量告警信息进行大幅度缩减，辅助安全管理人员快速分析和判断出网络的安全威胁性态势。

基于逻辑关系的融合评价方法的优点是容易理解，而且可以直观地反映网络的安全态势。但是该方法的局限性在于：一是融合的数据源多为单源数据，对多源异构数据的融合度较差；二是逻辑关系的获取存在很大的难度，比如攻击预定义模型的建立以及攻击的前提和后继条件的形式化描述都存在很大的难度；三是逻辑关系很难解释系统中存在的不确定性。（2）基于数学模型的融合评价方法

基于数学模型的融合评价方法是以获取影响网络安全态势的各项安全因素，通过综合考虑这些态势因素，然后通过某种函数变换（构造评定函数），建立网络安全态势指标集合映射到网络安全态势集合的变换关系，如θ=f(r1,r2,…,m),ri∈R(1≤i≤n)，其中f代表的是基于数学模型的数学变换函数。当今的网络系统上业务繁多，网络功能不断被拓展，因此影响网络安全态势的安全因素越来越多，在各项因素之前又存在各项复杂的关联关系。在网络安全态势感知和评估过程中，有很多基于数学模型的融合评价方法，如加权平均法、层次分析法、模糊综合评价方法和集对分析法等。

1）加权平均法加权平均法是最简单也是最常用的基于数学模型的融合评价方法，在很多领域都会用到这种方法，最典型的如会计核算，在态势评估领域其也是一种常用的数据融合方法。简单来说，加权平均法就是把原始数据按照合理的比例分配不同权重，进而计算出不同比重数据的平均数。指标权重的确定方法有很多，根据计算权重时原始数据的来源不同，可以分为主观赋权法、客观赋权法和组合赋权法三种类型。

●主观赋权法是指人们对分析对象的各个因素按其重要程度，依照经验主观地确定权重系数。这类方法的优点是研究理论较为成熟，能较好地反映评价对象所处的背景条件和评价者意图，但这类方法的缺点是各个指标权重系数的准确性有赖于专家的知识和经验的积累，具有较大的主观随意性，客观性较差。

●客观赋权法主要是针对定量指标的权重确定，通过对定量指标实际发生的情况进行统计和整理，从而得出权重系数，如熵值法、标准离差法等。这类方法的来源是客观的，这是其优点，但容易出现“重要指标的权重系数小，而不重要指标的权重系数大”等不合理现象的发生，而且计算方法大多比较繁琐，不利于推广应用。●组合赋权法结合了上述主观赋权法和客观赋权法的各自优点。首先，在主观赋权法和客观赋权法基础上求出合理的主、客观权重系数，然后根据实际情况确定主、客观权重系数的比例，最后求出综合权重系数。这种方法能够在一定程度上反映决策者的主观信息，又能够利用原始数据和数据模型，使权重系数具有客观性。但是需要注意的是，其准确性有赖于对主、客观赋权法权重系数所占比例的确定。

在网络安全态势感知与评估的应用中，加权平均法的融合函数通常由态势因素及其重要性权值来共同确定。采用这种方法取得较好效果的有西安交通大学的陈秀真等人，他们提出的层次化网络安全威胁态势量化评估方法将实际网络系统按规模和层次关系分解为系统层、主机层和服务层等三层，对系统、主机和服务本身的重要性因子进行加权，层次化地计算服务、主机以及整个网络系统的威胁指数，进而分析得出网络的安全态势。

还有一种较为复杂的加权平均法，又称为距离综合评价法，也经常被用到安全态势评估中。综合评价是指描述需要评价的事物的多个指标，一般情况下，一个指标就是一个随时间而变化的变量，那么多个指标则会形成一个多维的几何空间，需要评价的事物通过综合评价，在这个多维的几何空间中形成一个点。其最简单直接的处理方法就是在指标的多维几何空间中确定几个有价值的参考点，对于参考点有的会选最坏的样本点，有的会选最好的样本点。计算每个参考点到样本点的距离的大小，评价的依据是：参考点距离最坏的样本点越远越好，参考点距离最好的样本点越近越好。距离综合评价法的大致步骤如下。

假设n个事物有p个指标，现在要对这n个事物进行距离综合评价，我们可以构造出原始数据矩阵如下：

①指标的同象化将指标进行无量纲化和统一化，将负指标转化为正指标，更改原始矩阵中相应的数值，变换后的矩阵为：

Y=(yij)n×p,i=1,2,…,n,j=1,2,…,p

②构造加权矩阵

假定根据态势评估者的经验，确定W1,W2,…,WP为各指标的权重，则利用这些指标的权重为主对角线元素可以建立矩阵W如下：

因此，加权数据矩阵为：

③确定参考的样本

在实际应用时，参考样本点一般选择最好的样本点和最坏的样本点。因为态势指标已经被同象化，所以我们可以集中态势指标的最大值作为最好的样本点的值，该值用Y+来表示，用集中态势指标的最小值作为最坏的样本点的值，该值用Y-来表示，分别为：

Y+=(y1+,y2+,…,yp+)T

Y-=(y1-,y2-,…,yp-)T

④计算距离计算距离时一般采用样本点到最好的样本点之间的相对距离、样本点到最坏的样本点的相对距离以及样本点在两个参考点的连线上的射影到最坏的样本点的距离这三种方式。

总的来说，加权平均法的优点是可以直观地融合各种态势因素，计算方法简单且容易操作，但是其存在的最主要问题是权值的选择没有统一的标准，有的是参照领域知识或者专家经验而定，有的是依据统计和整理出的模型而定，该方法的准确度还是会受到一定的影响。2）层次分析法

事实上，层次分析法是态势评估常用到的融合算法，在这里我们对它做进一步的说明。在现实生活中，人们经常遇到需要决策的问题，比如需要决策如何选择网络安全态势的结果是良好、很差或者警告的问题，在做决策的时候需要考虑各种影响网络安全态势的要素和指标以及它们要遵守的原则，决策者通过这些原则给出最后评估的结果。一般来说，态势指标之间往往存在一些直接或者间接的关系。如果把网络安全态势感知系统看成一个复杂的决策系统，而系统中的态势要素和根据要素提取的指标之间虽然存在着某种关系，但这种关系无法定量地表示出来。要想定量地表示出它们之间的关系，就可以采用层次分析法。

层次分析法简称AHP。该方法首先需要定性地分析复杂庞大的决策系统的特点、影响它的要素以及这些要素之间的关系，然后再利用一些定量的信息来分析决策的思维过程。它把一个具有多个目标的复杂问题看作一个复杂的系统，从问题的性质和所要达到的目标出发，通过将问题层次化，对问题进行一层层的分解，经过若干次分解之后，将分解后的不同组成要素按照相互关联影响和隶属关系从不同的层次进行聚合，系统就形成一个具有多层次指标的分析结构模型；再运用模糊量化方法对这些指标进行计算，得出单层次排序和系统指标的总体排序，这些排序就可以作为多指标、关系复杂或者结果不能准确计量的决策系统的优化策略，可以看出，最终系统分析被归结成了决策方案与措施等相对于目标的权重确定或者优劣排序问题。

具体说来，层次分析法主要包括以下几个步骤。

将系统分解成多个层次。将一个系统按照系统构成或者影响系统的要素逐层进行分解和细化，形成并得到一个如图4所示的系统层次结构模型，这个层次模型就是我们应用层次分析法的基础。

图4 系统层次结构模型

构造判断矩阵。模型中每一层的判断矩阵都是通过对这一层的各个态势指标进行两两比较得到的，它们之间比较的标准就是这两个态势指标相对于上一层的态势指标哪个更重要。

层次排序。根据已经构造的判断矩阵，可以计算出系统层次模型中某一层指标的权重的排序值，然后利用一致性指标或者比率进行判断矩阵的一致性检验。

层次综合。综合以上得到的每个层次的结果，逐层地将这些结果综合起来以得到总目标的综合权值。

总之，层次分析法是一种定性与定量分析相结合的方法，用数值的形式将人的主观判断表达出来，并对其进行科学处理。在复杂的安全态势研究领域中，使用层次分析法能够更加准确地反映安全态势研究领域的问题。同时，这一方法虽然有深刻的理论基础，但表现形式非常简单，效率也比较高，容易被人接受和理解，因此，层次分析法是一种应用较为广泛的融合方法。

3）集对分析法

集对分析法是处理系统确定性与不确定性相互作用的数学理论，是由我国科研工作者赵克勤于1989年提出的一种融合评价方法，其主要的数学工具是联系数，该方法主要用于分析不确定系统的同异反定量。

集对是由一定联系的两个集合组成的基本单位，它也是集对分析和联系数学中的一个最基本的概念。例如，时间和空间、已知和未知、教师和学生、两个数值等，都是一定条件下能看成集对的例子。集对分析在一定的问题背景下，能够对集对中的两个集合的确定性和不确定性以及确定性与不确定性的相互作用进行系统和数学分析，通常包括对集对中两个集合的特性、关系、结构、状态、趋势以及相互联系模式进行分析，这种分析一般通过建立所论两个集合的联系数进行，有时也可以不借助联系数。对集对中的两个集合作特性分析时，需要先抽象出集对中两个集合各自的特性，再对比这两个集合在哪些特性上是一致的，也就是同时具备哪些特性，弄清楚这两个集合在哪些特性上是对立、矛盾的，以及在哪些特性上既不一致也不对立矛盾。并对以上情况进行赋值，开展适当的数学运算和数学分析。从集对论的角度看，“联系数”其实也是所论集对的一种特征函数。

在对集对中的两个集合进行关系分析时，需要先具体分析所论的两集合的各种关系，这些关系中有的是确定的关系，如对应、等价关系，有的是不确定关系，如随机、非线性、模糊关系，假定分析得到的关系都是同等重要的，则把所有确定的关系数计入A，所有不确定的关系数计入B，再把A和B写成“联系数”：U=A(+)Bi的形式，这时的“联系数”其实也是所论集对的一种特征函数。在对集对中的两个集合进行结构分析时，需要对其中的每个集合所组成的元素作空间结构分析，包括元素的性质、元素的个数、元素的粒度、元素的分布、元素的集聚，也就是说，要先对一个集合的“结构”作分析，再去比对这两个集合的“结构”上的同异反，写出这两个集合在结构上的同异反联系数，这个同异反联系数就是所论集对的一种“结构函数”，当然，这种结构函数也是集对的一种特征函数。此外，还有对集对状态、趋势和模式的分析方法，共同组成了集对分析理论。事实上，集对分析不仅适用于只有两个集合存在的情景，也适合有多个集合存在的情景。在多个集合存在的情况下，就需要先就每两个集合写出联系数，再对得到的若干联系数做出适当的运算和分析，以解决给定的问题。

在网络安全态势感知的评估过程中，集对分析方法的大致计算流程如下：

●针对系统的各项参数，如联系数、同异反联系度等，确定参数求解公式，并建立初始的基于集对分析的评估模型。

●针对同异反联系中的各种关系，根据shi(H)=a/c计算值，进行统一、对立或者均衡的判定，并对同异反联系度A、B、C的大小取值进行进一步比较。

●根据U=A+Bi+Cj公式，利用组合原理定律构造关于三维态势A、B、C的系统态势参照表；最后，利用计算模型所得的联系值，对比上一步形成的系统态势参照表，得到系统当前的安全状态。4）模糊综合评价方法20世纪60年代中期，美国加州大学伯克利分校的Zadeh教授创立了模糊理论，该理论以模糊集合（Fuzzy Set）为基础，是专门研究和处理现实世界中事物模糊性的学科，其基本思想是接受模糊性现象存在的事实，而以处理概念模糊不确定的事物为其研究目标，并将其严密地量化成计算机能够处理的信息。针对现实中存在的大量含义确定却又难以准确表述的事物，模糊数学能够表现出比较好的表达效果。难以准确描述的事物又称为模糊事物，它的模糊性表现在事物在类属问题上只能区分程度、等级，无法具体量化，比如说今天的天气很热、一个人很优秀等。从一个等级到另一个等级没有一个确切的界限，而是经历了渐变的过程，到一定程度由量变引起了质变，这种现象称为中介过渡，而由中介过渡引起的区别程度、等级的不确定性就是模糊性。我国学者汪培庄在模糊理论的基础上提出了模糊综合评价方法，它应用模糊变换原理和隶属度原则，考虑被评价目标的主要因素和多个影响因素，对其做出综合评价，该方法受到国内外很多学者的一致认可。

模糊综合评价方法就是基于评估过程中存在的渐变引起的不确定性而提出的，它是利用模糊数学中的模糊运算法则，对非线性的评估域进行综合量化，从而得到可比的量化评估结果的过程。其分为单因素模糊综合评价法和多级模糊综合评价法，这两种类型都涉及三个关键过程，即隶属函数的确定、模糊算子的选择和结果向量的合成。①隶属函数的确定

正确确定隶属函数是运用模糊集合理论解决实际问题的基础。模糊数学利用隶属函数来定量描述模糊集合，要达到此目的，隶属函数的确定很关键，常见的确定隶属函数的方法有模糊分布法、五点法、三分法、多维量表法等。以典型的模糊分布法为例，其首先选定某些带参数的函数，表示某种类型的模糊概念的隶属函数，然后再根据运用过程中的实际情况确定计算参数。如果采用柯西分布，隶属函数的主要类型有如图5所示三种。

图5柯西分布的隶属函数类型图

②模糊算子的选择

通过对模糊权重向量W与模糊判断矩阵R进行模糊运算，可以得到模糊综合评价向量B=W·R，其中“·”是模糊算子，它可以有不同的选择，主要类型包括主因素决定型

、主因素突出型

、加权平均型

、和不均衡平均型

。对于同一个评价对象，采用不同的模糊算子其评价结果可能不同。在实际评价过程中，应根据被评价对象的特点来选择合适的模糊算子。以上四种算子的特点如表3所示。

表3 四种模糊算子的比较

③结果向量的合成

模糊综合评价的结果是一个向量的形式，结果向量表示被评价对象对各评价等级模糊子集的隶属度，因此它能提供更为丰富的信息。在实际运用过程中，往往需要知道具体的评价分值，这就需要以某种数学的方法对评价结果向量进行合成，典型的如以下两种方法：

最大隶属原则法：模糊综合评价结果向量表示为B=(b1,b2,…,bn)，若

则将评估结果定为第r等级。由于该方法只利用模糊结果向量的部分信息，可能会得出不合理的评价结果，因此适用范围有限。

分段赋值法：根据实际问题的要求，确定各评价等级的具体数值，然后用模糊评价结果中对应的隶属度将分值进行加权平均，进而得到一个点值。假设给n个评价等级依次赋以分值u1,u2,…,un，则综合评价值为

由Z的分值可以决定评价对象的级别。该方法充分利用了模糊结果向量中的信息，兼顾了整体特性，适用范围较广。

以上是模糊综合评价方法的三个关键步骤，由于其可分为单因素模糊综合评价法和多级模糊综合评价法两种，下面来具体看一下这两种方法的差异。

单因素模糊综合评价法

单因素模糊综合评价法的主要过程为：根据评价的对象确定评价指标集合U={u1,u2,…,un}，确定评价等级集合V={v1,v2,…,vn}，如可以用“一般”“严重”等来表示网络安全状态的程度或等级，在评价等级V中，可以设定v1=“一般”，v2=“比较严重”，v3=“严重”，v4=“非常严重”，进而统一各个层次的评估因素；建立指标的模糊判断矩阵A=(aij)n×n，其中ai=(ai1,ai2,…,ain)代表第i个指标对n个评价等级的隶属度向量；求解指标的权重向量W=(ω1,ω2,…,ωk)，为减少主观因素影响，综合网络安全管理员对各项评价准则和评价因素相对重要性的判断，对指标体系采用模糊层次分析法确定权重向量；进而计算评价结果向量为：

多级模糊综合评价法

由于网络是一个复杂的系统，衡量网络安全状态需要考虑诸多因素，而权重难以细分，或因各权重都太小，使得评价失去实际意义，因此可根据指标集合中各指标的相互关系，把指标按不同属性进行分类，首先在因素较少的每一类中进行综合评价，再对综合评价的结果进行类之间的高层次评价。因此整个评价过程为：设第一级评价因素集U包含m个子集{u1,u2,…,um}，其中ui(i=1,2,…,m)包含若干个具体的评价指标，对应的权重集合W为(ω1,ω2,…,ωm)。把每一个ui看成是一个综合评价的目标，它的子指标集合构成第二级评价因素级ui={ui1,ui2,…,uij}，对应的权重集为ωi={ωi1,ωi2,…,ωij}，由前面单因素模糊综合评价法得到ui的评价结果向量为Zi={zi1,zi2,…,zin}，二级综合评价数学模型为：

总的说来，基于逻辑关系的融合评价方法和基于数学模型的融合评价方法的前提都必须是确定的数据源，但是当前网络安全设备提供的数据在一定程度上都是不完整、不精确的，甚至存在着矛盾，包含了大量不确定性信息的数据（尽管会经过一定的预处理，但还是难以消除其不确定性），而态势评估必须借助这些数据来进行推理，因此这两种直接基于数据源的融合方法都具有一定的局限性，难以处理网络系统中存在的不确定性。而下面将介绍的基于概率统计的融合评价方法能较好地解决不确定性问题，弥补了这方面的不足。

（3）基于概率统计的融合评价方法

基于概率统计的融合评价方法充分利用先验知识的统计特性，结合信息的不确定性，建立态势评估的模型，然后通过模型评估网络的安全态势。贝叶斯网络和隐马尔可夫模型是最常见的基于概率统计的融合评价方法。

1）贝叶斯网络贝叶斯网络是一种概率关系的图像描述，适用于不确定性和概率性事物的推理，是概率分析和图论结合的产物，是人工智能领域在不确定性环境中进行知识表示和推理的一种有效工具。网络安全态势评估是广泛的高层次的评估，数据来源类型众多，结果类型也丰富多样，对于网络安全态势评估来说采用贝叶斯网络是一个有效且可行的方法。贝叶斯是一种有向图模型，其主要功能就是进行概率推理。该模型是一种新的知识表示模型，用概率来表示知识的不完全、不确定性。

贝叶斯网络是描述变量间概率关系的图形模式，通常由有向无环图和条件概率表组成。如图6所示，在有向无环图S中，每个节点表示一个随机变量Xi（可以是能直接观测到的变量也可以是隐含变量），其中πi为节点Xi的父节点的集合；每条有向边表示随机变量间的条件概率关系，在条件概率表中的每个元素对应于有向无环图中的一个节点，表中存储了与该节点有直接关系的前驱节点的联合条件概率P(Xi|πi)。

图6 贝叶斯网络模型图

贝叶斯网络的一个显着特征是它提供了一种将联合分布分解为几个局部分布的乘积形式的方法。它的图形体现显示了变量间的概率依赖关系，具有清晰的语义特征，这种独立的语义指明怎样组合这些局部分布来计算变量之间联合分布的方法。由贝叶斯概率的链规则可得：

P(X1,X2,…,Xn)=P(X1)P(X2|X1)…P(Xn|X1,…,Xn-1)

对于任意Xi，可以找到与它条件不独立的最小子集θi∈{X1,X2,…,Xi-1}，并使得

因为最小子集中的变量为Xi的父节点，于是变量集的联合概率分布可表示为：

于是对于任意一个变量Xi都有

该式即为贝叶斯网络的数学表达式，也是贝叶斯网络的核心思想。

在网络安全态势评估中采用贝叶斯网络方法具有很好的实用价值，可以实现整个网络安全态势的等级划分，也可以实现对具体的某种态势的判断。贝叶斯网络的优点还包括：有效地结合了人工智能中的神经网络和贝叶斯理论，并且采用有语义性的推理技术，可以很好地反映出推理的过程。但由于贝叶斯理论会强迫所有传感器在抽象级上以贝叶斯可信度做出响应，使得特定传感器不能用精确的可信度表示抽象级。贝叶斯网络与数据融合相比来说，实现相对简单，但是需要较多的先验知识。在网络安全态势评估中，贝叶斯网络是一个有向无环图G=〈V，E〉，节点V表示不同的态势和事件，每个节点对应一个条件概率分配表，节点间利用边E进行连接，反映态势和事件之间概率依赖关系，在某些节点获得证据信息后，贝叶斯网络在节点间传播和融合这些信息，从而获取新的态势信息。国内外研究人员对贝叶斯网络用于态势评估的例子很多，如以色列IBM海法实验室的Etzion等在不确定性数据融合方面做了大量的研究工作，Etzion等和Gal提出利用贝叶斯网络进行态势感知；Oxenham、Holsopple和Sabata等基于贝叶斯网络，通过融合多源数据信息评估网络的攻击态势；李伟生等根据网络安全态势和安全事件之间不同的关联性建立态势评估的贝叶斯网络模型，并给出相应的信息传播算法，以安全事件的发生为触发点，根据相应的信息传播算法评估网络的安全态势。2）隐马尔可夫模型

隐马尔可夫模型（Hidden Markov Model，HMM）相当于动态的贝叶斯网络，它是一种广泛使用的、采用双重随机过程的统计模型，是在马尔可夫链的基础上发展起来的。由于实际问题比马尔可夫模型所描述的更为复杂，观察到的事件并不是与状态一一对应，而是通过一组概率分布相联系，这样的模型就称为HMM。HMM是一个输出符号序列的统计模型，具有N个状态S1，S2，…，Sn，它按一定的周期从一个状态转移到另一个状态，每次转移时输出一个符号。转移到哪一个状态、转移输出什么符号分别由状态转移概率和转移时的输出概率决定。因为只能观察到输出符号序列，不能观测到状态转移序列（即模型输出符号序列时，通过了哪些状态路径是不知道的），因而称之为“隐”马尔可夫模型。

一个HMM可以由一个5元组（N,M,π,A,B）来表示，其中：

N：表示模型中马尔可夫链状态数目。记N个状态为θ1,θ2,…,θN，记t时刻马尔可夫链所处状态为qt，显然qt∈(θ1,θ2,…,θN)。

M：表示每个状态对应的可能的观察值数目。记M个观察值为v1,v2,…,vM，记t时刻的观察值为Ot，则Ot∈(V1,V2,…,VM)。

π：表示初始状态概率矢量，π=(π1,π2,…,πN)，其中π1=P(q1=θi)，1≤i≤N。

A：表示状态转移概率矩阵，A=(aij)N×N，而aij=P(qt+1=θj/qt=θi)，1≤i,j≤N。

B：代表可观察符号的概率分布，B={bijk}，1≤i,j≤N,1≤K≤M表示在θj状态输出可观察符合vk的概率。

HMM的3个基本算法：

前向后向算法：用来计算给定一个观察值序列O=O1,O2,…,OT，以及一个模型λ=(π,A,B)时，由模型λ产生出O的概率

Viterbi算法：解决了给定一个观察值序列O=O1,O2,…,OT和一个模型λ=(π,A,B)，在最佳意义上确定一个状态序列Q*=q1*,q2*,…,qT*的问题。

Baum-Welch算法：解决了HMM训练，也就是HMM参数估计问题，给定一个观察值序列O=O1,O2,…,OT，该算法能够确定一个λ=(π,A,B)，使得

最大。在网络安全态势评估中，将网络安全状态的转移过程定义为隐含状态序列，将按照时序获取的态势因素定义为观察值序列，利用观察值序列和隐含状态序列训练HMM模型，然后运用模型评估网络的安全态势。Arnes和Ourston等将网络安全状态的变化过程模型化为隐马尔可夫过程，并通过该模型获取网络的安全态势。

基于概率统计的融合方法能够融合最新的证据信息和先验知识，而且推理过程清晰，易于理解。但是该方法存在以下局限性：一是统计模型的建立需要依赖一个较大的数据源，在实际工作中会占有很大的工作量，且模型需要的存储量和匹配计算的运算量相对较大，容易造成维数爆炸的问题，影响态势评估的实时性；二是特征提取、模型构建和先验知识的获取都存在一定的困难。（4）基于规则推理的融合评价方法

该方法主要对多数据源多属性数据进行处理，借助证据理论、模糊集合、数理统计等基础理论知识，利用先验理论建立网络安全态势评估模型，并选择逻辑推理知识确定网络安全态势状况。网络安全态势评估中常用的基于规则推理的融合评价方法主要有两种：基于模糊理论的逻辑推理和基于D-S证据理论的概率推理。

1）基于模糊理论的逻辑推理

在态势评估过程中处理不确定性信息时，通常会使用到模糊理论。模糊处理过程比较简洁，首先是对不确定性信息的模糊化，之后对模糊化数据进行模糊逻辑推理，最后解除模糊化。该过程最终确定模糊集的隶属关系，并且以逻辑表达式进行描述。评估过程中经常用到的有直觉模糊集、区间值模糊集等。关于模糊集相关最新研究也被借鉴到网络安全态势评估领域。

模糊理论引入了部分集合成员的新颖概念。一个模糊集

由逐步隶属函数μF(x)在区间[0,1]定义为：

其中隶属程度越高，表示越多的x属于F，这就让模糊数据融合有了一个高效的解决方法，那就是使用逐步隶属函数模糊，或者部分传感数据模糊化。模糊数据可以用模糊规则融合来产生模糊融合输出。模糊规则可分为连接型和分离型。

连接型的例子如下：

表示两个模糊集的标准交集。

表示两个模糊集的乘积。分离型模糊规则的例子如下：

表示两个模糊集的标准合集。

表示两个模糊集的代数和。

当融合数据由同等可靠的源提供时，采用连接型模糊融合规则更为合适；当有一个源被认为可靠而另一个不可知或者融合高度冲突时，采用分离型融合规则更为合适。因此一些自适应模糊融合规则作为两种类别的折中型被开发出来，以便于在两种情况下都能使用。采用自适应模糊融合规则的例子如下：

其中

为逐次隶属函数

和

之间的冲突程度，定义为：

其中

和

分别为连接型和分离型模糊融合规则。

模糊逻辑提供了一种处理人类认知不确定性的数学方法，对于模型未知或不能确定的描述系统，应用模糊集合和模糊规则进行推理，实行模糊综合判断，特别有用。在网络安全态势评估中，首先对单源数据进行局部评估，然后选取相应的模型参数，对局部评估结果建立隶属度函数，将其划分到相应的模糊集合，实现具体值的模糊化并将结果进行量化。量化后，如果某个状态属性值超过了预先设定的阈值，则将局部评估结果作为因果推理的输入，通过模糊规则推理对态势进行分类识别，从而完成对当前态势的评估。国内外学者对基于模糊理论进行态势评估开展了广泛的研究，如Rao等人利用模糊逻辑与贝叶斯网络相结合的方法，对多源数据信息进行处理，生成宏观态势图；李伟生等使用模糊逻辑的方法处理事件发生的不确定性，基于一定的知识产生对当前态势的假设，并使用D-S方法对获得的信息进行合成，从而构造一个对作战空间态势进行分析、推理和预测的求解模型。

2）基于D-S证据理论的概率推理1967年，Dempster提出了D-S证据理论原型，并给出了上、下界概率的概念，后来他的学生Shafer继续研究他的理论，将其推广和发展到一个更加一般的情形，并发展成完整的理论，也就是D-S证据理论。该理论是对概率论的进一步扩充，适合于专家系统、人工智能、模式识别和系统决策等领域的实际问题。D-S证据理论可处理由“未知”所引起的不确定性。作为数据融合的一种主要实现手段，D-S证据理论构造了对“未知”的定性或定量分析的方法。

在D-S证据理论中，一个样本空间称为一个辨识框架，用Θ表示。Θ由一系列对象θi构成，对象之间两两相斥，且包含当前要识别的全体对象，即Θ={θ1,θ2,…,θn}。θi被称为Θ的一个单子，只含有一个单子的集合称作单子集合。

D-S证据理论的基本问题是：已知辨识框架Θ，判明测量模板中某一未定元素属于Θ中的某一个θi的程度。对于Θ的每一个子集，可以指派一个概率，称为基本概率分配。假定令Θ为一论域集合，2Θ为Θ的所有子集构成的集合，称m:2Θ→[0,1]为基本概率分配函数，它满足如下定理：

式中P(Θ)表示幂集。

D-S证据理论的一个基本策略是将证据集合划分为两个或多个不相关的部分，并利用它们分别对辨识框架独立进行判断，然后用Dempster组合规则将它们组合起来。Dempster组合规则的形式为：

式中，

反映了证据之间冲突的程度。

D-S证据理论的核心是Dempster证据组合规则，设m1,m2,…,mn是识别框架Θ上的基本概率分配函数，则多概率分配函数的正交和m=m1·m2·…·mn表示为：

上式中，

称为不一致因子，用来反映融合过程中各证据之间冲突的程度，0≤k≤1，k越大，证据间冲突越激烈，矛盾就越明显；而

是修正因子（组合规则的归一化系数），Dempster对它的引入完善了识别框架。

D-S证据理论的特点是允许对各种等级的准确程度进行描述，并且直接允许描述未知事物的不确定性。在D-S证据理论中使用了一个与概率论相比较弱的信任函数，信任函数的作用就是能够准确地把不知道和不确定之间的差异区分开来。当贝叶斯随机试验中的假设O1,O2,O3,…,On相互之间没有交集且假设没有非确定因素的时候，D-S证据理论的计算结果与贝叶斯方法的计算结果相同，即当假设出现的概率确定时，D-S证据理论在本质上就是经典的概率论。因此，可以把概率论看成是D-S证据理论在特定条件下的表现。D-S证据理论能够在不知道假设的概率时使用，比概率论的使用范围更广。当问题中出现非确定的因素或者需要将这些不确定的因素进行合成时，D-S证据理论就是最合适的方法。

在D-S证据理论的计算中，我们可以通过逐步地把两个证据进行合成来实现对n个证据的合成，以等效于同时对n个证据进行合成，如图7所示。

图7 D-S证据理论中证据的合成图

在网络安全态势评估过程中，可以引入基于D-S证据理论的概率推理方法，它的主要步骤是：首先，确定证据和命题之间的各种逻辑关系，对应到实际的系统便是确定实体、安全指标和安全状态之间的逻辑关系，生成基础的概率分配；然后，依据每一个实体上报的安全事件信息，即证据，并对这些证据依据证据预定义规则进行合成，获得新的基本概率分配，利用决策逻辑判断生成结果，选择置信度最高的命题为备选命题；最后，新证据连续地上传上来，重复刚才的过程，直到备选命题的置信度达到预先设置的参考值，也就是命题成立。

上述两种方法相对比，模糊理论适合在一个不确定对象类中把不确定目标的模糊成员模型化，而概率和证据理论则适合在一个确定对象类中把不确定的目标成员模型化，模糊理论需要事先了解不同模糊集的隶属函数，而概率和证据理论则需要事先了解概率分布。作为一个强大的表示模糊数据的理论，模糊集在人类专家以语言的方式产生的模糊数据的表示和融合中特别有用，它经常被以互补的方式集成于概率和证据融合算法中。总的来说，基于规则推理的融合方法不需要精确了解概率分布，当先验概率很难获得时该方法更为有效，但是缺点是计算复杂度高，而且当证据出现冲突时，方法的准确性会受到严重的影响。

由于网络攻击行为具有分布性特点，而且不同的网络节点采用不同的安全设备，使得采用单一的融合评价方法评估整个网络的安全态势存在很大的难度。我们在进行网络安全态势感知系统建设过程中，应当结合网络态势感知多源数据融合的特点，对具体问题进行具体分析，有针对性地对目前已经存在的各种数据融合方法进行改进和优化。在保证准确性的前提下，提高算法的性能，尽量降低额外的网络负载，提高系统的容错能力。另一方面可以结合各种算法的利弊进行综合利用，从整体上提高态势评估的准确率。

微信公众号：计算机与网络安全

ID：Computer-network

【推荐书籍】