江 洋，李成海

(空軍工程大學(xué) 防空反導(dǎo)學(xué)院，西安 710051)

基于改進(jìn)變精度粗糙集的漏洞威脅評估

江 洋*，李成海

(空軍工程大學(xué) 防空反導(dǎo)學(xué)院，西安 710051)

(*通信作者電子郵箱xftvxq@126.com)

變精度粗糙集理論能有效處理帶噪聲的數(shù)據(jù)，但其移植性較弱。針對這種情況，引入閾值參數(shù)α，提出了一種改進(jìn)的變精度粗糙集漏洞威脅評估模型。首先，根據(jù)漏洞特征屬性建立評估決策表；然后,使用k均值算法對連續(xù)屬性進(jìn)行離散化處理；接下來，通過多次計算，調(diào)整參數(shù)β和α的值，進(jìn)行屬性約簡并提取概率決策規(guī)則，構(gòu)造決策規(guī)則庫；最后，將測試數(shù)據(jù)與規(guī)則庫進(jìn)行匹配，得到漏洞威脅評估結(jié)果。仿真實驗表明，所提方法的評估正確率比改進(jìn)前提高了19.66個百分點，并且移植性有所增強(qiáng)。

威脅評估；變精度粗糙集；離散化；屬性約簡；規(guī)則庫

0 引言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全事件層出不窮，計算機(jī)網(wǎng)絡(luò)經(jīng)常受到黑客或非法入侵者的攻擊，造成巨大的經(jīng)濟(jì)損失，甚至危害到單位和國家的安全； 而在非法侵入的過程中，核心內(nèi)容是要找出目標(biāo)系統(tǒng)中存在的安全漏洞，通過分析安全漏洞掃描結(jié)果、服務(wù)查點信息等，找出可以實施攻擊的攻擊點，入侵到目標(biāo)系統(tǒng)中，獲得訪問控制權(quán)[1-2]。針對這種情況，我們需要對自己所處的網(wǎng)絡(luò)進(jìn)行安全評估[3]，而后制定相應(yīng)對策。目前大部分網(wǎng)絡(luò)安全評估方法從本質(zhì)上來看都是基于漏洞來進(jìn)行評估的，通過漏洞的威脅等級來評估網(wǎng)絡(luò)的安全狀況: 文獻(xiàn)[4]以攻擊圖為評估數(shù)據(jù)源，提出了一種漏洞威脅的關(guān)聯(lián)評估方法，彌補(bǔ)了傳統(tǒng)的孤立評估漏洞方法的不足，但是攻擊圖節(jié)點的賦值對結(jié)果的影響較大，并且該方法不適用于大規(guī)模或復(fù)雜結(jié)構(gòu)的網(wǎng)絡(luò)；文獻(xiàn)[5]建立了評估指標(biāo)體系，以通用漏洞評分系統(tǒng)(Common Vulnerability Scoring System, CVSS)為評分基礎(chǔ)，運(yùn)用層次分析法(Analytic Hierarchy Process, AHP)對系統(tǒng)進(jìn)行漏洞危害性評估,通用性較好，但判斷矩陣的構(gòu)造受個人經(jīng)驗影響，評估結(jié)果易失客觀性；文獻(xiàn)[6]利用粗糙集(Rough Set, RS)理論[7-8]建立評估模型，通過決策表的約簡后能產(chǎn)生決策規(guī)則，在一定程度上解決了不確定、不完整信息系統(tǒng)的決策問題，但它的分類是精確的，只考慮完全“包含”與“不包含”，不能很好地處理帶有噪聲的數(shù)據(jù)，也容易遺漏不同漏洞間的組合影響。

針對上述問題，本文在經(jīng)典變精度粗糙集(Variable Precision Rough Set, VPRS)[9]模型中增加了規(guī)則提取參數(shù)α，提出了一種改進(jìn)的變精度粗糙集漏洞威脅評估模型。通過調(diào)節(jié)閾值參數(shù)α和β來適應(yīng)不同的網(wǎng)絡(luò)環(huán)境，同時更易于挖掘出各類漏洞的潛在聯(lián)系和對網(wǎng)絡(luò)的組合影響，更加準(zhǔn)確、客觀地反映被評估網(wǎng)絡(luò)的安全狀況。變精度粗糙集是Pawlak粗糙集理論的擴(kuò)展，它通過設(shè)置閾值參數(shù)，放松了對近似邊界的嚴(yán)格定義，即允許一定程度的錯誤分類率存在，從而克服了Pawlak粗糙集對噪聲數(shù)據(jù)過于敏感的缺點[10], 該模型已在眾多領(lǐng)域得到廣泛應(yīng)用[11-12]。

1 變精度粗糙集基本理論

設(shè)S=(U,A,V,f)為一個信息系統(tǒng)，也稱為知識表示系統(tǒng), 其中，U={U1,U2,…,U|u|}為有限非空集合，稱為論域?qū)ο罂臻g；A={a1,a2,…,a|A|}為屬性的非空有限集合。若A中的屬性又可分為兩個不相交的子集，即條件屬性集C和決策屬性集D，A=C∪D，C∩D=?,則S也稱為決策表。

定義1 設(shè)U為非空有限論域，X,Y?U。令:

其中|X|表示集合X的基數(shù)。稱P(X,Y)為集合X關(guān)于集合Y的相對錯誤分類率。

稱β包含關(guān)系為多數(shù)包含關(guān)系。

上下近似分別表示以不大于β的誤差不能分類于X的對象集合和能分類于X的對象集合。

定義4 設(shè)P?C,分類質(zhì)量γβ(P,D)定義為：

(1)

2 基于改進(jìn)VPRS的漏洞威脅評估模型

2.1 漏洞威脅評估模型的建立

利用變精度粗糙集理論，建立漏洞威脅評估模型，如圖1所示。

圖1 漏洞威脅評估模型Fig. 1 Vulnerability threat assessment model

首先，將訓(xùn)練數(shù)據(jù)進(jìn)行離散化處理，根據(jù)初始閾值β(一般設(shè)為0)進(jìn)行屬性約簡，生成規(guī)則庫；然后，收集掃描得到的漏洞信息，對其進(jìn)行離散化處理；接下來，將屬性特征與規(guī)則庫進(jìn)行概率規(guī)則匹配，如果匹配結(jié)果不滿足評估要求，則調(diào)整閾值β和參數(shù)α，利用訓(xùn)練數(shù)據(jù)重新生成規(guī)則庫，重復(fù)匹配過程，直至達(dá)到分類質(zhì)量要求，并輸出評估結(jié)果。

2.2 決策表的建立

對于信息系統(tǒng)S=(U,A,V,f)，U為漏洞訓(xùn)練數(shù)據(jù)集，A為數(shù)據(jù)屬性的集合，其中包含漏洞集C={C1,C2,…,CK}和威脅等級D，V是漏洞的值域集，信息函數(shù)f則指定了每個漏洞的屬性值。根據(jù)以上信息，建立評估決策表，見表1。

表1 評估決策表Tab. 1 Assessment decision table

2.3 數(shù)據(jù)離散化處理

為了便于數(shù)據(jù)處理，在屬性約簡之前需要對連續(xù)屬性進(jìn)行離散化。離散化算法有很多，目前常用的有等距離劃分算法、等頻率劃分算法、基于信息熵的離散化算法、啟發(fā)式離散化算法等[7,13]。本文使用一種基于k均值[14]的連續(xù)屬性離散化方法，通過k均值聚類算法將屬性值劃分為若干個區(qū)間，并用少量區(qū)間標(biāo)記代替實際數(shù)據(jù)值，簡化運(yùn)算量，達(dá)到較好的離散效果。

具體的算法步驟如下：

第2步 假設(shè)已進(jìn)行到第r次迭代。若對某一樣本x有

第3步 計算重新分類后的各聚類中心：

2.4 近似約簡

定義5 變精度粗糙集中的近似約簡redβ(C,D)定義為，在給定β值下，不含多余屬性并保證正確分類的最小條件屬性集。條件屬性C關(guān)于決策屬性D的β近似約簡滿足以下兩個條件：

1)γβ(P,D)=γβ(red(C,D),D)

(2)

2)從redβ(C,D)中去掉任何一個屬性，都將使1)不成立。

定義6 屬性a的重要性被定義為，將該屬性添加到屬性集R時分類質(zhì)量γβ的增量：

本文的屬性約簡使用基于分類質(zhì)量的近似約簡算法，具體步驟如下：

第2步R=CORED(C)。

第3步 在C-R中選擇屬性a使得SGF(a,R,D)達(dá)到最大值，如果有多個屬性ai(i=1,2,…,m)達(dá)到最大，則選擇與R組合數(shù)目最少的aj。

第4步R=R∪{aj}。

第5步 如果γR=γ0，則算法終止；否則轉(zhuǎn)第3步。

2.5 概率決策規(guī)則提取

公式F→G的邏輯含義稱作決策規(guī)則，F(xiàn)稱為規(guī)則前件，G稱為規(guī)則后件，它們表示一種因果關(guān)系，并且，F(xiàn)中包含的原子公式中只有決策系統(tǒng)的條件屬性，G中包含的原子公式中只有決策系統(tǒng)的決策屬性。

2.6 閾值β的修正算法

本文用參數(shù)β來模擬漏洞威脅評估中的分類誤差，根據(jù)目標(biāo)網(wǎng)絡(luò)的實際情況來調(diào)節(jié)β的取值(0≤β≤0.5)，以達(dá)到更加客觀的評估效果。

第1步 將β的值設(shè)置為0，進(jìn)行知識約簡，用約簡得到的判定規(guī)則構(gòu)造漏洞威脅評估規(guī)則庫。

第2步 將掃描得到的漏洞數(shù)據(jù)信息進(jìn)行離散化處理后與規(guī)則庫進(jìn)行規(guī)則匹配，如果匹配結(jié)果未達(dá)到評估要求，則逐步提高β值，重新進(jìn)行知識約簡，構(gòu)造新的規(guī)則庫。

第3步 如果達(dá)到評估要求，則維持β值不變，并輸出評估結(jié)果。

3 仿真分析

3.1 網(wǎng)絡(luò)測試環(huán)境圖

本文利用實驗室局域網(wǎng)搭建測試環(huán)境，對計算機(jī)安全漏洞進(jìn)行威脅評估，如圖2所示。其中，A，B，C是提供數(shù)據(jù)庫服務(wù)、FTP(File Transfer Protocol)服務(wù)、管理服務(wù)的服務(wù)器，裝有Windows Serve 2003等操作系統(tǒng)；D、E是裝有Windows 7操作系統(tǒng)的PC機(jī)(若干臺)；F為交換機(jī)；G是漏洞威脅評估系統(tǒng)；H為防火墻；I是路由器。

圖2 網(wǎng)絡(luò)測試環(huán)境Fig. 2 Network testing environment

3.2 漏洞威脅評估

取目前較常見的安全漏洞進(jìn)行分析[15]，令漏洞集C={C1,C2,C3,C4}，其中:C1為獲取普通用戶權(quán)限的HTTP遠(yuǎn)程緩沖區(qū)溢出漏洞(opensslRBOF)，C2為獲取管理員權(quán)限的mysql本地緩沖區(qū)溢出漏洞(mysqlLBOF)，C3為chargen服務(wù)的遠(yuǎn)程拒絕服務(wù)漏洞(chargenDoS)，C4為獲取遠(yuǎn)程管理員權(quán)限的ftp緩沖區(qū)溢出漏洞(ftpRBOF)。漏洞威脅等級D包含三個屬性值，分別是{d1(低),d2(中),d3(高)}。采用Iris數(shù)據(jù)集的150條樣本數(shù)據(jù)來構(gòu)造漏洞威脅評估數(shù)據(jù)表(編號1～20,31～50,61～80,91～110,121～140為訓(xùn)練數(shù)據(jù)，共100條；其余為測試數(shù)據(jù)，共50條)進(jìn)行仿真分析，如表2所示。

表2 漏洞威脅評估數(shù)據(jù)表示例Tab. 2 Datasheet of vulnerability threat assessment for an example

利用2.3節(jié)所述方法將數(shù)據(jù)表中的漏洞數(shù)據(jù)進(jìn)行離散化處理，每一類漏洞的屬性值被劃分為三個區(qū)間，分別用1、2、3標(biāo)識，得到漏洞威脅評估決策表，如表3所示。

表3 漏洞威脅評估決策表示例Tab. 3 Decision table of vulnerability threat assessment for an example

接下來，對表3中的漏洞屬性集合C={C1,C2,C3,C4}進(jìn)行β近似約簡，在此之前，首先要選定閾值參數(shù)β。β值與分類精度存在正相關(guān)的關(guān)系: 隨著β值的減小，分類精度將減小，只有少數(shù)對象被分類，對噪聲數(shù)據(jù)的處理能力降低；隨著β值的增大，分類精度增大，這意味著大多數(shù)對象將被分類，但可能存在誤分的情況。屬性約簡過后，設(shè)定α的值，提取概率決策規(guī)則。

經(jīng)過多次計算，選取β=0.3，按照2.4節(jié)所述算法，約去屬性C1，C2后，屬性{C3,C4}對訓(xùn)練數(shù)據(jù)的分類質(zhì)量達(dá)到1，分類質(zhì)量的計算公式見式(1)。接下來，由式(2)可得，最后的約簡結(jié)果為redβ(C,D)={C3,C4}。把C3，C4導(dǎo)入粗糙集分析工具Rosetta，令α=0.2，得到以下概率規(guī)則(方括號內(nèi)為該規(guī)則正確率)：

最后，將測試數(shù)據(jù)與上述概率規(guī)則進(jìn)行規(guī)則匹配。經(jīng)驗證，漏洞威脅評估正確率達(dá)到了94%。多次實驗表明，閾值參數(shù)β和α的取值與系統(tǒng)評估正確率的關(guān)系如圖3所示。

圖3 參數(shù)與評估正確率關(guān)系Fig. 3 Relationship of parameters and assessment accuracy

3.3 實驗結(jié)果對比和分析

與文獻(xiàn)[12]中提出的基于VPRS方法相比，雖然本文方法的復(fù)雜度稍有提高,但本文方法的評估正確率提高了19.66個百分點，同時適用性有所增強(qiáng),β=0.3時的對比結(jié)果如表4所示。為了體現(xiàn)本文方法的容錯能力,引入10條噪聲數(shù)據(jù)(已離散化處理),如表5所示，并將本文方法與文獻(xiàn)[6]所述方法進(jìn)行對比，對比結(jié)果如表6所示。

在添加噪聲數(shù)據(jù)過后，文獻(xiàn)[6]中方法無法進(jìn)行屬性約簡，進(jìn)而不能生成有效的決策規(guī)則，由于本文方法設(shè)定了閾值參數(shù)，克服了對噪聲數(shù)據(jù)過敏的缺點。同時，相比較而言，本文方法的計算難度較低，適用性也更強(qiáng)。

表4 本文方法與文獻(xiàn)[12]方法對比

Tab. 4 Comparison of the proposed method

with the method in literature [12]

表5 噪聲數(shù)據(jù)示例Tab. 5 Noise data for an example

表6 本文方法與文獻(xiàn)[6]方法對比Tab. 6 Comparison of the proposed method with the method in literature [6]

根據(jù)本次實驗的具體環(huán)境和訓(xùn)練數(shù)據(jù)，設(shè)定參數(shù)β=0.3,α=0.2，對系統(tǒng)漏洞威脅進(jìn)行了有效而準(zhǔn)確的評估。實驗結(jié)果表明，兩個閾值參數(shù)的取值與評估的正確率存在一定的關(guān)系，且α值的變化對結(jié)果的影響較大。在本次實驗中，當(dāng)α取0.2時，評估效果最好，正確率為94%。而在實際評估中，可以根據(jù)被評估系統(tǒng)的具體情況來調(diào)節(jié)參數(shù)的值，以達(dá)到更精確和客觀的評估效果。

4 結(jié)語

本文在經(jīng)典變精度粗糙集模型的基礎(chǔ)上，引入了規(guī)則提取閾值參數(shù)α，提出了一種改進(jìn)的漏洞威脅評估模型。新模型的核心是通過改變參數(shù)β和α的值，來適應(yīng)不同環(huán)境下的評估對象，其移植性有所提高。仿真實驗表明，改進(jìn)的模型能達(dá)到較好的評估效果。不過，參數(shù)值的設(shè)定對訓(xùn)練數(shù)據(jù)的依賴性較大，下一步的研究方向是要減少這種依賴性，降低閾值設(shè)置的難度。

References)

[1] 李思東.計算機(jī)網(wǎng)絡(luò)安全探討與研究分析[J].電子技術(shù)與軟件工程,2016(14):213.(LI S D. Discussion and analysis of computer network security[J]. Electronic Technology & Software Engineering, 2016(14):213.)

[2] 馮登國,張陽,張玉清.信息安全風(fēng)險評估綜述[J].通信學(xué)報,2004,25(7):10-18. (FENG D G, ZHANG Y, ZHANG Y Q. Survey of information security risk assessment[J].Journal of China Institute of Communications,2004,25(7):10-18.)

[3] 張鳳荔,馮波.基于關(guān)聯(lián)性的漏洞評估方法[J].計算機(jī)應(yīng)用研究,2014,31(3):811-814. (ZHANG F L, FENG B. Vulnerability assessment based on correlation[J]. Application Research of Computers,2014,31(3):811-814.)

[4] 謝麗霞,江典盛,張利,等.漏洞威脅的關(guān)聯(lián)評估方法[J].計算機(jī)應(yīng)用,2012,32(3):679-682.(XIE L X, JIANG D S, ZHANG L, et al. Vulnerability threat correlation assessment method[J]. Journal of Computer Applications,2012,32(3):679-682.)

[5] 黎學(xué)斌,范九倫,劉意先.基于AHP和CVSS的信息系統(tǒng)漏洞評估[J].西安郵電大學(xué)學(xué)報,2016,21(1):42-46.(LI X B, FAN J L, LIU Y X. On information system vulnerabilities assess based on analytic hierarchy process and common vulnerability score system[J]. Journal of Xi’an University of Posts and Telecommunications,2016,21(1):42-46.)

[6] 付志耀,高嶺,孫騫,等. 基于粗糙集的漏洞屬性約簡及嚴(yán)重性評估[J]. 計算機(jī)研究與發(fā)展,2016,53(5):1009-1016.(FU Z Y, GAO L, SUN Q, et al. Evaluation of vulnerability severity based on rough sets and attributes reduction[J]. Journal of Computer Research and Development,2016,53(5):1009-1016.)

[7] 張小紅,裴道武,代建華,等.模糊數(shù)學(xué)與Rough集理論[M].北京：清華大學(xué)出版社,2013:205-269.(ZHANG X H, PEI D W, DAI J H, et al. Fuzzy Mathematics and Rough Set Theory[M]. Beijing: Tsinghua University Press, 2013:205-269.)

[8] 范淵,劉志樂,王吉文.一種基于模糊粗糙集的網(wǎng)絡(luò)態(tài)勢評估方法研究[J].信息網(wǎng)絡(luò)安全,2015(9):58-61.(FAN Y, LIU Z L, WANG J W. Research on network situation assessment method based on fuzzy rough set[J]. Netinfo Security,2015(9):58-61.)

[9] ZIARKO W. Variable precision rough set model[J]. Journal of Computer & System Sciences, 1993,46(1): 39-59.

[10] 黃衛(wèi)華,楊國增,陸亞哲,等.變精度粗糙集模型研究[J]. 河北北方學(xué)院學(xué)報(自然科學(xué)版),2015,31(4):8-10.(HUANG W H, YANG G Z, LU Y Z, et al. Model of variable precision rough set[J]. Journal of Hebei North University(Natural Science Edition),2015,31(4):8-10.)

[11] 張國榮,王治和,周濤.變精度粗糙集模型與應(yīng)用[J].太原師范學(xué)院學(xué)報(自然科學(xué)版),2010,9(4):14-17.(ZHANG G R, WANG Z H, ZHOU T. Variable precision rough set model and application[J]. Journal of Taiyuan Normal University (Natural Science Edition), 2010,9(4):14-17.)

[12] 林春杰,韓曉琴.基于VPRS的網(wǎng)絡(luò)安全威脅評估方法[J].信息通信,2011(4):27-28.(LIN C J, HAN X Q. A method based on network security threats assessment[J]. Information & Communication,2011(4):27-28.)

[13] 劉靜,何賢芳.基于Rough集的集成離散化算法[J].重慶三峽學(xué)院學(xué)報,2010,26(3):59-63.(LIU J, HE X F. A discretization algorithm based on rough set[J]. Journal of Chongqing Three Gorges University, 2010,26(3):59-63.)

[14] 張冬雯,張學(xué)杰,仇計清.改進(jìn)的k-means算法在入侵檢測中的應(yīng)用[J]. 微計算機(jī)信息,2010,26(18):11-13. (ZHANG D W, ZHANG X J, QIU J Q. Application of improvedk-means algorithm in intrusion detection[J]. Microcomputer Information,2010,26(18):11-13.)

[15] 陳秀真,鄭慶華,管曉宏,等.基于粗糙集理論的主機(jī)安全評估方法[J].西安交通大學(xué)學(xué)報,2004,38(12):1228-1231.(CHEN X Z, ZHENG Q H, GUAN X H, et al. Approach to security evaluation based on rough set theory for host computer[J]. Journal of Xi’an Jiaotong University,2004,38(12):1228-1231.)

JIANG Yang, born in 1992, M.S. candidate. His research interests include network and information security.

LI Chenghai, born in 1966, M.S., professor. His research interests include network and information security.

Vulnerability threat assessment based on improved variable precision rough set

JIANG Yang*, LI Chenghai

(CollegeofAirandMissileDefense,AirForceEngineeringUniversity,Xi’anShaanxi710051,China)

Variable Precision Rough Set (VPRS) can effectively process the noise data, but its portability is not good. Aiming at this problem, an improved vulnerability threat assessment model was proposed by introducing the threshold parameterα. First of all, an assessment decision table was created according to characteristic properties of vulnerability. Then,k-means algorithm was used to discretize the continuous attributes. Next, by adjusting the value ofβandα, the attributes were reducted and the probabilistic decision rules were concluded. Finally, the test data was matched with the rule base and the vulnerability assessment results were obtained. The simulation results show that the accuracy of the proposed method is 19.66 percentage points higher than that of VPRS method, and the transplantability is enhanced.

threat assessment; Variable Precision Rough Set (VPRS); discretization; attribute reduction; rule base

2016-10-13;

2016-11-26。

江洋(1992—)，男，四川內(nèi)江人，碩士研究生，主要研究方向：網(wǎng)絡(luò)與信息安全； 李成海(1966—)，男，山東東平人，教授，碩士，主要研究方向：網(wǎng)絡(luò)與信息安全。

1001-9081(2017)05-1353-04

10.11772/j.issn.1001-9081.2017.05.1353

TP393.08

A