李鳳華，李勇俊，楊正坤，張晗，張玲翠

（1. 中國科學(xué)院信息工程研究所，北京100093；2. 中國科學(xué)院大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，北京 100049；3. 通信網(wǎng)信息傳輸與分發(fā)技術(shù)重點實驗室，河北 石家莊 050081）

1 引言

網(wǎng)絡(luò)威脅日益嚴(yán)重，攻擊手段層出不窮。2017年5月，勒索病毒W(wǎng)annaCry爆發(fā)，至今已感染全球超過150個國家的近500萬臺計算機。為了應(yīng)對威脅、攔截攻擊，研究人員提出了各類威脅處置方案[1]，通過在攻擊發(fā)生前、發(fā)生中或發(fā)生后部署各類安全措施，實現(xiàn)對威脅的處置。

然而，由于安全局勢瞬息萬變，難以確保威脅處置方案可以有效地阻止攻擊，所部署安全措施的合理性也無法保證，甚至無法知曉安全措施是否按照預(yù)期真實、有效部署，因此，需要在部署安全措施后對其合理性、有效性進行評價，如系統(tǒng)運行狀態(tài)是否恢復(fù)正常、服務(wù)質(zhì)量是否得到改善等，即需要對威脅處置效果進行評估。威脅處置效果評估指對威脅處置前后被保護對象安全狀態(tài)的變化情況的度量，反映了被保護對象在威脅處置后安全狀態(tài)的提升或下降情況，是選取、評價和調(diào)整威脅處置方案的重要依據(jù)。

現(xiàn)有關(guān)于威脅處置效果評估的工作主要從受害主機/網(wǎng)絡(luò)或用戶感受的角度選取效果評估指標(biāo)，或僅從風(fēng)險變化角度考慮處置的有效性，忽略了不同維度指標(biāo)對處置效果的綜合影響，且未考慮指標(biāo)數(shù)據(jù)本身的不準(zhǔn)確性和模糊性，造成了評估的片面性和不準(zhǔn)確性。

不僅如此，現(xiàn)有處置效果評估方案在評估過程中，要求所選取的指標(biāo)數(shù)據(jù)可以真實、準(zhǔn)確、有效地被獲取，然而對于實際網(wǎng)絡(luò)環(huán)境，處置效果評估數(shù)據(jù)獲取過程中，這樣的要求難以實現(xiàn)，具體可能存在以下問題：1) 由于指標(biāo)獲取技術(shù)手段的限制，無法獲取相應(yīng)指標(biāo)數(shù)據(jù)；2) 由于部分設(shè)備可能已遭受攻擊，不在受控范圍內(nèi)，無法提供相應(yīng)指標(biāo)數(shù)據(jù)；3) 由于數(shù)據(jù)獲取頻率設(shè)置不恰當(dāng)?shù)仍颍传@取到所需時刻的指標(biāo)數(shù)據(jù)；4) 由于網(wǎng)絡(luò)傳輸?shù)牟豢煽啃裕瑢?dǎo)致獲取的指標(biāo)數(shù)據(jù)在傳輸過程中丟失；5) 部分用戶可能出于自我隱私保護的需要，拒絕提供相關(guān)指標(biāo)數(shù)據(jù)。以上問題都會導(dǎo)致指標(biāo)數(shù)據(jù)的缺失和遺漏，從而影響處置效果評估的準(zhǔn)確性。

針對上述問題，本文提出了威脅處置效果模糊評估模型。該模型綜合考慮防守方和攻擊方 2個角度，從運行狀態(tài)、系統(tǒng)行為、服務(wù)情況和報警情況4個維度綜合選取處置效果評估指標(biāo)，并利用模糊層次分析法確定不同指標(biāo)的權(quán)重，然后通過模糊綜合評價法確定威脅處置效果；在此基礎(chǔ)上，對模糊層次分析和模糊綜合評價過程中的數(shù)據(jù)缺失情況進行分析，并對缺失數(shù)據(jù)進行補全。本文的主要貢獻如下。

1) 綜合考慮攻防雙方 2個角度的運行狀態(tài)、系統(tǒng)行為、服務(wù)情況和報警情況這4個維度的各類指標(biāo)對威脅處置效果評估的影響，以及評估過程中各指標(biāo)數(shù)據(jù)的不準(zhǔn)確性和模糊性，將模糊評價思想（模糊層次分析法和模糊綜合評價法）引入處置效果評估。

2) 在模糊評估過程中利用“元素補全”思想對缺失元素進行填補。具體地，針對層次分析時判斷矩陣數(shù)據(jù)缺失問題，利用指標(biāo)重要性的傳遞性關(guān)系對缺失元素進行補全；針對綜合評價時指標(biāo)數(shù)據(jù)缺失問題，通過矩陣分解對缺失元素進行補全，解決了數(shù)據(jù)不完全的問題，增強了所提效果評估方法在實際網(wǎng)絡(luò)環(huán)境中的實用性和可操作性。

3) 在實驗網(wǎng)絡(luò)環(huán)境下，對所提出的方法進行了實驗驗證。實驗結(jié)果表明，本文方法可有效處理信息不完全的情況，實現(xiàn)了對威脅處置效果的有效評估。

2 相關(guān)工作

目前，針對威脅處置效果的評估方法相對較少，但從安全評估技術(shù)本身出發(fā)，已有很多研究，且可供處置效果評估借鑒。本節(jié)主要從評估技術(shù)本身入手，對相關(guān)研究進行論述。

2.1 基于層次分析的安全評估

基于層次分析[2]（AHP，analytic hierarchy process）的評估是指通過目標(biāo)層、準(zhǔn)則層、方案層等分層形式構(gòu)建樹狀指標(biāo)評估體系，將定性分析與定量計算相結(jié)合的多目標(biāo)評價方法。

張義榮等[3]基于層次分析法確定吞吐量、時延等指標(biāo)的權(quán)重，并通過網(wǎng)絡(luò)熵對攻擊前后的安全狀態(tài)進行比較，得到網(wǎng)絡(luò)熵差從而得到攻擊效果的評價結(jié)果，但在指標(biāo)權(quán)重確定過程中，忽略了用戶評價的模糊性，難以保證評估的準(zhǔn)確性。Li等[4]提出了一種基于灰關(guān)聯(lián)的指標(biāo)體系以避免指標(biāo)的任意選擇，設(shè)計了一種基于區(qū)間數(shù)互判別矩陣的 AHP方法，該方法擴展了經(jīng)典的層次分析法，處理不同領(lǐng)域?qū)＜姨岢龅目赡艿拿芤庖?，以及評價中收集獨立和不確定數(shù)據(jù)的標(biāo)準(zhǔn)化問題，并給出了新的灰色層次分析模型的轉(zhuǎn)換和優(yōu)化方法，最后基于上述方法建立了一種改進的灰色變權(quán)重聚類評價模型。Gao等[5]針對服務(wù)質(zhì)量的層次分析評估過程中，判斷矩陣難以獲取而導(dǎo)致的排序困難問題，基于不完備判斷矩陣提出了一種改進的 AHP評估方法，該方法通過考慮判斷矩陣中元素的傳遞性對缺失元素進行補全，從而提高評估方法的實用性，但在評估過程中未考慮判斷矩陣元素的模糊性問題。

采用層次分析的好處是表示清晰、易于理解，在使用過程中容易擴展，可根據(jù)需要隨時增加。但是影響指標(biāo)因素的選取主觀性較強，在實際應(yīng)用中，判斷矩陣中的值無法完全獲取。

2.2 基于知識推理的安全評估

基于知識推理的評估方法充分利用歷史經(jīng)驗建立評估模型，通過模糊理論、圖模型、D-S證據(jù)理論等方法處理不確定性，利用邏輯推理方法實現(xiàn)對目標(biāo)對象的評估。

Alali等[6]利用Mamdani模糊推理系統(tǒng)設(shè)計了一個風(fēng)險評估模型，模型綜合脆弱性、威脅、可能性和影響這 4個風(fēng)險因素，生成風(fēng)險評估結(jié)果，以確定可能威脅實體的風(fēng)險范圍。Samantra等[7]在提出層次化風(fēng)險結(jié)構(gòu)表示方法的基礎(chǔ)上建立了定性風(fēng)險評估的形式化模型。該模型首先定義了風(fēng)險的基本參數(shù)——異?？赡苄裕╨ikelihood）和嚴(yán)重程度，并利用模糊集理論代替概率評估，通過廣義梯形模糊數(shù)的質(zhì)心法的概念來量化風(fēng)險程度，提高決策可靠性。Rashidi等[8]提出了基于隱馬爾可夫模型（HMM,hidden Markov model）的Android應(yīng)用程序和資源風(fēng)險評估框架XDroid，該框架將地圖類應(yīng)用程序的行為作為觀察組，得到關(guān)于時間戳的觀測集，引入在線學(xué)習(xí)模型來整合用戶輸入，從而提供自適應(yīng)的風(fēng)險評估。Sen等[9]提出了一種基于攻擊圖的傳感器云中無線傳感器網(wǎng)絡(luò)WSN（wireless sensor network）的風(fēng)險評估框架，該框架使用貝葉斯網(wǎng)絡(luò)來評估和分析不同時間段內(nèi)攻擊對系統(tǒng)安全參數(shù)（如機密性、完整性、可用性等）的影響，從而評估風(fēng)險。

基于知識推理的評估方法將“知識”的運用融合到推理過程中，評估結(jié)果可對目標(biāo)對象進行優(yōu)劣等級或類型劃分，清晰明了。但該方法要求維護大量推理規(guī)則，空間開銷和推理代價都很高。

2.3 基于模式識別的安全評估

基于模式識別的評估方法指通過機器學(xué)習(xí)建立目標(biāo)對象的模板，通過模式匹配的方式，完成對目標(biāo)對象的劃分。

楊豪璞等[10]對網(wǎng)絡(luò)中的安全事件進行場景聚類以識別攻擊者，對每個攻擊場景進行因果關(guān)聯(lián)，識別出相應(yīng)的攻擊軌跡與攻擊階段，建立態(tài)勢量化標(biāo)準(zhǔn)，結(jié)合攻擊階段及其威脅指數(shù)，實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的評估。黃亮等[11]針對評估過程需要卸載和重新部署處置措施所帶來的高成本問題，提出一種基于神經(jīng)網(wǎng)絡(luò)的分布式拒絕服務(wù)（DDoS, distributed denial of service）攻擊的處置效果評估方案，但該方案僅從用戶感受角度進行指標(biāo)選取，雖然降低了指標(biāo)數(shù)據(jù)的獲取難度，但無法保證評估的準(zhǔn)確性和全面性。黃亮等[12]利用多屬性決策理論，綜合考慮了合法用戶平均等待時間、合法用戶請求應(yīng)答率等指標(biāo)對DDoS攻擊處置措施的效果進行評估，但在各指標(biāo)權(quán)重的確定過程中，僅從攻擊者和防御者 2個角度對權(quán)重進行計算，未考慮用戶評價及偏好對權(quán)重的影響，且忽略了指標(biāo)之間的層次關(guān)系。

基于模式識別的評估方法將機器學(xué)習(xí)引入評估過程，可從歷史數(shù)據(jù)中自動學(xué)習(xí)目標(biāo)對象劃分知識。但該方法計算量大，在非實時環(huán)境中效果較好，在實時環(huán)境中難以滿足實時性要求。

現(xiàn)有的評估方法的主要思路是，獲取所有需要的指標(biāo)或表征數(shù)據(jù)，對得到的各類表征數(shù)據(jù)進行融合處理，從而得到一個評估結(jié)果。不同方法之間的差異主要體現(xiàn)在融合信息來源不同、融合方法不同，但這些評估方法的前提條件之一是獲取評估所需的所有指標(biāo)數(shù)據(jù)，這在現(xiàn)實網(wǎng)絡(luò)環(huán)境中難以實現(xiàn)，從而使得這些方法可行性低。

本文提出不完全信息下的威脅處置效果模糊評估方法，從攻防雙方2個角度的運行狀態(tài)指標(biāo)、系統(tǒng)行為指標(biāo)、服務(wù)情況指標(biāo)和報警情況4個維度選取更為全面的評估指標(biāo)，考慮數(shù)據(jù)不完全的情況設(shè)計了相應(yīng)的缺失數(shù)據(jù)補全算法，通過模糊評估模型計算威脅處置效果。該評估方法不要求獲取評估所需要的所有指標(biāo)數(shù)據(jù)，提高了方法的實用性，并通過模糊評價一定程度上解決了主觀經(jīng)驗造成的評估結(jié)果偏差問題，從而提高了評估的準(zhǔn)確性。

3 模糊評估樹

對于威脅處置效果的評估，涉及攻防雙方多個維度、多種類別的不同指標(biāo)，采用單級評估的方式難以合理評價不同評估指標(biāo)對處置效果的影響程度，因此借鑒層次分析思想進行指標(biāo)權(quán)重的計算；同時，為降低主觀因素對評估過程的影響，基于模糊評價法對處置效果進行評估。

3.1 分層評估指標(biāo)樹

威脅處置效果的評估指標(biāo)是對被保護對象的安全狀況的具體衡量標(biāo)準(zhǔn)，是評估威脅處置有效性的基本依據(jù)。由于系統(tǒng)的安全保護涉及諸多方面，如果僅根據(jù)某類或某一指標(biāo)對威脅處置效果進行評價無疑是片面的、不合理的，難以準(zhǔn)確反映出系統(tǒng)的真實安全狀況。鑒于威脅處置過程同時涉及防守方和攻擊方，系統(tǒng)的安全狀況可根據(jù)攻防雙方的狀態(tài)或行為進行判斷，因此從攻防雙方2個角度對各類指標(biāo)進行歸類和分析。

從防守方的角度，可將指標(biāo)分為系統(tǒng)運行狀態(tài)、系統(tǒng)行為和服務(wù)情況這3個方面。

1) 運行狀態(tài)方面。當(dāng)被保護對象受到攻擊時，其系統(tǒng)運行狀態(tài)會發(fā)生改變，例如當(dāng)系統(tǒng)遭受拒絕服務(wù)攻擊時，系統(tǒng)的CPU占用率會顯著高于正常水平。因此，系統(tǒng)的安全狀況可通過系統(tǒng)運行狀態(tài)反映。

2) 系統(tǒng)行為方面。當(dāng)被保護對象遭遇入侵時，惡意程序需要通過修改系統(tǒng)參數(shù)等系統(tǒng)行為實現(xiàn)特定目的，例如為了實現(xiàn)自身的有效隱藏，惡意程序會對系統(tǒng)注冊表進行修改。因此，系統(tǒng)行為可在一定程度上反映出系統(tǒng)的安全狀況。

3) 服務(wù)情況方面。服務(wù)類被保護對象遭受攻擊時，不僅自身會受影響，還會波及接受其服務(wù)的用戶。例如，當(dāng)Web服務(wù)遭受拒絕服務(wù)攻擊時，合法用戶訪問Web頁面時會出現(xiàn)明顯時延。因此，系統(tǒng)的安全狀況還可以通過系統(tǒng)對外提供服務(wù)的情況反映。

從攻擊方的角度，可以從攻擊成功所需資源（即系統(tǒng)狀態(tài)）、攻擊強度、攻擊頻度、攻擊成功率等維度對威脅處置效果進行評估。但是，由于攻擊方一般不在受控范圍內(nèi)，難以獲取其系統(tǒng)狀態(tài)參數(shù)等信息，在實際環(huán)境中甚至無法知曉攻擊者的身份和位置，無法直接獲取其相關(guān)指標(biāo)。因此，考慮獲取攻擊方的系統(tǒng)狀態(tài)等信息對威脅處置效果進行評估是不現(xiàn)實的。但是，入侵檢測類系統(tǒng)/設(shè)備可以以報警信息的形式，間接提供威脅相關(guān)信息。例如，當(dāng)攻擊者對系統(tǒng)進行拒絕服務(wù)攻擊時，安全監(jiān)測類設(shè)備會根據(jù)攻擊的行為特征對流量進行分析，從而向用戶發(fā)出可能遭受攻擊的報警。因此，可將報警情況作為攻擊方相關(guān)狀態(tài)和行為的反映指標(biāo)，從而對威脅處置效果進行評估?；谝陨戏治觯疚膹南到y(tǒng)狀態(tài)、系統(tǒng)行為、服務(wù)情況、報警情況4個維度對處置效果進行評估。

上述4個維度僅將各類指標(biāo)進行了分類，在實際評估過程中需要將其進一步細(xì)分為不同的指標(biāo)。其中，系統(tǒng)狀態(tài)可以細(xì)分為CPU占用率、內(nèi)存占用率、帶寬占用率、磁盤占用率等；系統(tǒng)行為可以細(xì)分為對系統(tǒng)關(guān)鍵文件的讀取/修改/刪除的頻度、時間等；服務(wù)情況可以細(xì)分為服務(wù)響應(yīng)時延、分組丟失率、網(wǎng)絡(luò)傳輸時延、響應(yīng)成功率、服務(wù)時間抖動等；報警情況包括報警數(shù)量、報警頻率、報警種類、報警確信度、報警指示的攻擊嚴(yán)重程度等。

由于不同類型的攻擊針對的攻擊對象存在差異，對被攻擊對象的影響也不盡相同，因此針對不同類型的攻擊/威脅的處置，需要根據(jù)攻擊特征和受攻擊后對象受影響情況選取不同的指標(biāo)進行威脅處置效果評估。整體上可依據(jù)如圖1所示的分層指標(biāo)樹進行評價。

3.2 模糊層次分析

由于層次分析法無法解決評估數(shù)據(jù)本身的不準(zhǔn)確性問題（例如，報警準(zhǔn)確度指標(biāo)是入侵檢測類系統(tǒng)/設(shè)備根據(jù)網(wǎng)絡(luò)流量特征等產(chǎn)生的一個非精確指標(biāo)，其本身就存在誤差甚至錯誤），模糊層次分析方法[13]被提出，將三角模糊數(shù)等引入層次分析過程，以解決數(shù)據(jù)的不準(zhǔn)確性問題。

圖1 分層評估指標(biāo)樹

3.2.1 確定指標(biāo)重要性標(biāo)度

為便于后續(xù)分析，首先對指標(biāo)的重要性標(biāo)度進行說明。按照層次分析法的劃分方式，各指標(biāo)之間的重要性比較結(jié)果包括以下5種重要性標(biāo)度：同等重要、稍微重要、重要、明顯重要、非常重要。在模糊層次分析中，分別用0.5、0.6、0.7、0.8和0.9表示，并用0.1、0.2、0.3和0.4表示反比較。

3.2.2 構(gòu)造模糊判斷矩陣

在構(gòu)造指標(biāo)重要性比較的模糊判斷矩陣之前，需要先對各指標(biāo)重要性比較結(jié)果對重要性標(biāo)度的隸屬度進行計算。現(xiàn)有常用的隸屬函數(shù)包括三角函數(shù)型、梯形分布型、正態(tài)分布型等。根據(jù)指標(biāo)重要性比較的特點，采用三角函數(shù)型隸屬函數(shù)作為重要性標(biāo)度的隸屬度度量方式，具體定義為

其中，模糊集合M由m標(biāo)識并確定，m代表x屬于M的最可能值，其取值為指標(biāo)重要性標(biāo)度值，例如當(dāng)m為0.7時，表示M為“指標(biāo)ai比指標(biāo)aj明顯重要”；l代表下界，即x屬于M的最小可能值；u代表上界，即x屬于M的最大可能值。三角函數(shù)型模糊函數(shù)的表示為(l,m,u)。

基于3.1節(jié)所述的評估指標(biāo)樹中各層次因素，以及本節(jié)所述指標(biāo)重要性標(biāo)度和隸屬度函數(shù)，得到指標(biāo)間重要性比較的模糊判斷矩陣，矩陣的形式如下

其中，ai,j表示指標(biāo)ai相對于指標(biāo)aj的重要性。需注意的是ai,j是一個三角模糊數(shù)，即

3.2.3 單層次排序

為計算某一指標(biāo)在當(dāng)前維度的模糊綜合度，首先對三角模糊數(shù)的運算進行介紹。三角模糊數(shù)的運算主要包括：求和⊕、求差?、求積⊙、倒數(shù)-1。對于2個模糊數(shù)運算定義為

如3.2.2節(jié)所述，ai,j表示指標(biāo)ai相對于指標(biāo)aj的重要性，則可得指標(biāo)ai在當(dāng)前維度的模糊綜合度Si為

其中，n表示當(dāng)前維度下指標(biāo)的數(shù)量。

模糊綜合度計算完成后，對各指標(biāo)大小比較情況的可能度進行計算。設(shè)S1=(l1,m1,u1)，S2=(l2,m2,u2)是 2個指標(biāo)的模糊綜合度，則S1≥S2的可能度V(S1≥S2)定義為

可能度計算完成后，計算各指標(biāo)的權(quán)重分量，當(dāng)前層第i個指標(biāo)ai的權(quán)重計算為

然后對各權(quán)重分量進行歸一化處理，得到當(dāng)前層次的權(quán)重向量W=(w1,w2, …,wi,…,wn)，其中，

3.2.4 綜合權(quán)重計算

假設(shè)對于第k個維度的各個指標(biāo)，其權(quán)重向量為則在層次化結(jié)構(gòu)中，維度i下指標(biāo)j的綜合權(quán)重為w(i,j)=wiwij。最終，得到最底層所有指標(biāo)的綜合權(quán)重向量為

其中，n為維度的數(shù)量；m1,…,mn分別為維度1到維度n下的指標(biāo)數(shù)量；p為各維度下所有指標(biāo)數(shù)量的總和，即p=m1+m2+…+mn。

由上述運算可知，所有綜合權(quán)重求和結(jié)果為1，即

3.3 模糊綜合評價

3.3.1 確定指標(biāo)集與評價集

模糊綜合評價的指標(biāo)集由評估樹的最底層的各指標(biāo)構(gòu)成。

評價集指對各指標(biāo)值的優(yōu)良程度的評價。針對效果評估的評價集，選取優(yōu)、良、中、差這4個模糊等級，分別表示威脅處置效果好、較好、一般、差這4種情況。由于處置效果的好壞取決于系統(tǒng)處于正常運行下各類相關(guān)指標(biāo)與處置后各類相關(guān)指標(biāo)的對比情況，因此根據(jù)對比情況設(shè)定相應(yīng)評價等級。具體如下。

對于系統(tǒng)狀態(tài)和系統(tǒng)行為這2個維度的各類指標(biāo)數(shù)據(jù)而言，其在一般情況下符合正態(tài)分布，即

其中，x≥0，表示各類指標(biāo)的取值。本文認(rèn)為各指標(biāo)值離平均值μ偏差越小，效果評價等級越高。評價等級與偏離值的映射關(guān)系如表1所示。

表1 系統(tǒng)狀態(tài)、系統(tǒng)行為各類指標(biāo)評價等級

其中，a、b、c的取值原則為，當(dāng)x∈[μ,μ+a]時a′、a′-b′、c′-b′分別表示評價等級為優(yōu)、良、中這3個等級的指標(biāo)值占所有指標(biāo)值的比例。

對于服務(wù)情況和報警情況這2個維度的各類指標(biāo)數(shù)據(jù)而言，本文認(rèn)為各指標(biāo)值的大小與處置效果存在正相關(guān)或負(fù)相關(guān)的關(guān)系。效果評價等級與指標(biāo)值之間的映射關(guān)系如表2所示。

表2 服務(wù)情況、報警情況各類指標(biāo)評價等級

3.3.2 確定隸屬函數(shù)及模糊矩陣

為了保證評估結(jié)果的完備性與相容性，結(jié)合處置效果評估數(shù)據(jù)的分布規(guī)律，采用正態(tài)分布型隸屬函數(shù)作為評價等級隸屬度的度量方式，具體定義為

其中，模糊集合A由μ標(biāo)識并確定，例如當(dāng)μ為時，表示模糊集合A“效果屬于一般”，μ、σ為集合A的隸屬函數(shù)的分布參數(shù)。正態(tài)分布型模糊函數(shù)表示為(μ,2σ)。

基于隸屬函數(shù)，可得到指標(biāo)ai到評價等級vj的隸屬度ri,j，然后得到綜合評判矩陣R=(ri,j)pq，其中，p為指標(biāo)數(shù)，q為評價等級數(shù)。

3.3.3 模糊綜合算法

根據(jù)模糊層次分析求出的各指標(biāo)的綜合權(quán)重和評價等級的隸屬函數(shù)，求得各指標(biāo)的模糊綜合評判矩陣為

其中，*指模糊合成運算。一般而言，常見的算子包括：取大取小算子（∧, ∨）、最大乘積算子（·, ∨）、加權(quán)平均型算子（·, +）等。本文選取加權(quán)平均型算子進行模糊運算，即

所有bj計算完成后，得到評價結(jié)果集B。最后，根據(jù)加權(quán)平均原則處理評價結(jié)果集得到處置效果評分值。

4 缺失數(shù)據(jù)補全算法

如前所述，各類指標(biāo)數(shù)據(jù)可能由于各種原因而無法獲取，從而導(dǎo)致后續(xù)評價無法開展，因此需要對缺失的指標(biāo)數(shù)據(jù)進行補全。不僅如此，由于層次分析過程中涉及各類指標(biāo)的權(quán)重計算，而該權(quán)重的計算過程依賴于專家對于不同指標(biāo)重要性比較的先驗知識，不同專家經(jīng)驗等的差異也可能導(dǎo)致指標(biāo)重要性比較的打分值的缺失，從而導(dǎo)致層次分析過程中判斷矩陣的不完整，因此需要對判斷矩陣中的元素進行補全。

4.1 模糊判斷矩陣補全

在模糊判斷矩陣中，矩陣元素代表不同指標(biāo)的重要性比較結(jié)果。具體而言，元素ai,j為指標(biāo)ai和指標(biāo)aj的重要性比較結(jié)果，即

其中，m表示ai與aj具有同等重要性時的取值。

易知，矩陣中各元素的值滿足重要性的傳遞性，即，若a比b重要，b比c重要，則a比c重要。因此，可對式(1)進行變換得到式(2)。

4.2 綜合評判矩陣補全

在綜合評判矩陣中，矩陣元素代表某一指標(biāo)屬于某一評價結(jié)果的隸屬度。具體而言，元素ri,j表示指標(biāo)ai到評價結(jié)果vj的隸屬度。由于每一指標(biāo)到評價集中各評價值都有一個隸屬度，為了簡化運算，并考慮綜合評判矩陣元素缺失的本質(zhì)原因，可將綜合評判矩陣中缺失元素的填補問題轉(zhuǎn)化為原始指標(biāo)值缺失元素的填補問題。

在模糊綜合評判過程中，涉及通過多個不同指標(biāo)進行評價，且需要獲取威脅處置前后多個時刻的數(shù)據(jù)，因此可將原始指標(biāo)數(shù)據(jù)表示為一個原始指標(biāo)值矩陣（不完整矩陣）Dmn，其中，m表示指標(biāo)的數(shù)量，n表示數(shù)據(jù)獲取的時刻數(shù)。

如前所述，在原始指標(biāo)值矩陣中，部分元素可能由于各種原因無法獲取或丟失，但在評估過程中又需要這些指標(biāo)值，因此需要對這些缺失元素進行合理、準(zhǔn)確地填補。按照上述分析，可將原始指標(biāo)值缺失元素的填補問題轉(zhuǎn)化為標(biāo)準(zhǔn)矩陣補全[14]問題。考慮到原始指標(biāo)值矩陣為小規(guī)模矩陣、求解精度等原因，基于矩陣分解進行矩陣補全，因此，矩陣補全問題可形式化為其中，

k為預(yù)測的矩陣秩界；Z為不完整矩陣，M為未知指標(biāo)值矩陣（補全后的矩陣）；為矩陣下標(biāo)的索引集合；PΩ(?)是正交投影算子，表示當(dāng)(i,j)∈?時，Dij為采樣元素。

利用交替最小化算法對式(3)進行求解，得到矩陣U和V，從而得到矩陣 ′D=UV，最終得到缺失指標(biāo)值。

5 實驗

5.1 實驗設(shè)計

實驗環(huán)境如圖2所示，包括一臺Web服務(wù)器、防火墻、一臺攻擊機、入侵檢測系統(tǒng)、合法用戶。其中，Web服務(wù)器上除了安裝Web服務(wù)外，還安裝了Tsar系統(tǒng)監(jiān)控工具、Nagios系統(tǒng)/網(wǎng)絡(luò)監(jiān)控工具，用于獲取各類指標(biāo)數(shù)據(jù)；防火墻用于在攻擊時部署安全措施，實現(xiàn)威脅處置；攻擊機上部署了LOIC（low orbit ion cannon）工具，用于模擬發(fā)起拒絕服務(wù)攻擊；入侵檢測系統(tǒng)用于威脅檢測并發(fā)出報警信息。

實驗采用SYN Flood攻擊作為攻擊方式，通過與服務(wù)器建立大量不完整的TCP連接，使其無法響應(yīng)合法的用戶服務(wù)，從而實現(xiàn)拒絕服務(wù)；在攻擊過程中，通過部署處置措施，實現(xiàn)威脅處置。通過獲取攻擊前、攻擊中和處置后等過程中各個時間段的相關(guān)指標(biāo)數(shù)據(jù)，基于所獲取的指標(biāo)數(shù)據(jù)對威脅處置效果進行評估。

圖2 實驗環(huán)境

按照3.1節(jié)所述，根據(jù)SYN Flood攻擊的特點，可知在攻擊過程中系統(tǒng)行為維度的指標(biāo)數(shù)據(jù)不受Flood攻擊所影響，因此實驗只從系統(tǒng)狀態(tài)、服務(wù)情況、報警情況這3個維度獲取評估所需的指標(biāo)。其中系統(tǒng)狀態(tài)維度下的指標(biāo)為：CPU占用率、內(nèi)存占用率、帶寬占用率。服務(wù)情況維度下的指標(biāo)為：服務(wù)響應(yīng)時延、分組丟失率、網(wǎng)絡(luò)傳輸時延、響應(yīng)成功率。報警情況維度下的指標(biāo)為：報警數(shù)量、報警頻度。

具體而言，首先開啟運行Web服務(wù)5 min；在接下來的5 min內(nèi)由合法用戶向其發(fā)起正常訪問；然后由攻擊機發(fā)起SYN Flood攻擊，并以5 min為單位逐漸增加攻擊強度；攻擊發(fā)生15 min后，在防火墻上部署處置措施1（限制SYN分組的最大突發(fā)數(shù)為100）；5 min后刪除該措施，并在防火墻上部署處置措施2（添加過濾攻擊源的過濾規(guī)則）。以1 min為單位獲取上述過程中的各類指標(biāo)數(shù)據(jù)。

5.2 威脅處置效果評估

本節(jié)對實驗得到的數(shù)據(jù)進行分析，并利用模糊評估模型對處置效果進行評估。

利用3.2節(jié)所提出的模糊層次分析方法計算指標(biāo)層各指標(biāo)的綜合權(quán)重。首先，要求專家對不同維度之間、同一維度下不同指標(biāo)之間的重要性比較按照三角模糊數(shù)進行打分。打分過程中，由于經(jīng)驗等因素的限制，不同專家的打分存在差異，且可能出現(xiàn)部分比較數(shù)據(jù)缺失的情況，此時采取以下原則確定整合后的比較值：判定對同樣2個維度或指標(biāo)打分的專家數(shù)量，若該數(shù)量小于專家總數(shù)的則認(rèn)為模糊判斷矩陣中該比較值不存在；反之按照式(4)求取該比較值。

其中，Ui,j表示對指標(biāo)ai和指標(biāo)aj的重要性比較的打分構(gòu)成的集合，m表示集合中元素的個數(shù)。

表1～表4為專家對各維度及不同維度下各指標(biāo)的重要性打分表。其中，表1為對不同維度比較值的打分，表2為對系統(tǒng)狀態(tài)維度下各指標(biāo)比較值的打分，表3為對服務(wù)情況維度下各指標(biāo)值的打分，表4為對報警情況維度下各指標(biāo)值的打分。在表1中，d0,1表示系統(tǒng)狀態(tài)/服務(wù)情況，d0,2表示系統(tǒng)狀態(tài)/報警情況，d0,3表示服務(wù)情況/報警情況。在表2中，d1,1表示CPU占用率/內(nèi)存占用率，d1,2表示CPU占用率/帶寬占用率，d1,3表示內(nèi)存占用率/帶寬占用率。在表3中，d2,1表示服務(wù)處理時延/網(wǎng)絡(luò)帶寬，d2,2表示服務(wù)處理時延/網(wǎng)絡(luò)傳輸時延，d2,3表示服務(wù)處理時延/分組丟失率，d2,4表示表示網(wǎng)絡(luò)帶寬/網(wǎng)絡(luò)傳輸時延，d2,5表示網(wǎng)絡(luò)帶寬/分組丟失率，d2,6表示網(wǎng)絡(luò)傳輸時延/分組丟失率。在表4中，d3,1表示報警數(shù)量/報警種類，d3,2表示報警種類/報警數(shù)量。

基于表1～表4，根據(jù)式(3)，可得不完全模糊判斷矩陣為

表1 不同維度重要性比較

表2 系統(tǒng)狀態(tài)維度下不同指標(biāo)重要性比較

表3 服務(wù)情況維度下不同指標(biāo)重要性比較

表4 報警情況維度下不同指標(biāo)重要性比較

其中，矩陣元素為(-1,-1,-1)代表該元素缺失。

根據(jù)式1），需對不完全模糊判斷矩陣A1和A2,2進行補全，得到補全后的2個矩陣為

計算得到各維度之間的可能度矩陣為

對該矩陣進行歸一化后得到本層的權(quán)重向量為(0.392 5, 0.375 3, 0.232 2)。同理，根據(jù)前述判斷矩陣A2,1、A2,2、A2,3，可計算得到在相應(yīng)評價維度下各指標(biāo)的權(quán)重向量分別為(0.30, 0.70, 0)、(0, 0.213 1, 0.786 8, 0)、(0.969 3, 0.030 7)。從而得各指標(biāo)的綜合權(quán)重向量為(0.117 7, 0.274 7, 0, 0,0.08, 0.295 3, 0, 0.225 1, 0.007 1)。

各類指標(biāo)數(shù)據(jù)在獲取過程中可能缺失，因此按照4.2節(jié)所述方法對缺失數(shù)據(jù)進行補全。在實驗環(huán)境下各類指標(biāo)數(shù)據(jù)可以完整獲取，所以得到指標(biāo)數(shù)據(jù)后，采用隨機的方式去除部分?jǐn)?shù)據(jù)，從而得到不完整指標(biāo)數(shù)據(jù)集。

圖3為內(nèi)存占用率、CPU占用率等各類指標(biāo)的原始數(shù)據(jù)。

圖3 各類指標(biāo)的原始數(shù)據(jù)

在圖3(a)中，前10 min為Web正常運行或正常向合法用戶提供服務(wù)，CPU占用率、內(nèi)存占用率等處于相對平穩(wěn)狀態(tài)，從第11 min開始發(fā)起攻擊，可以看出CPU占用率等4類指標(biāo)不斷增加，響應(yīng)成功率不斷降低，Web服務(wù)受到攻擊所影響。

通過式(2)對缺失的指標(biāo)數(shù)據(jù)進行補全，各指標(biāo)數(shù)據(jù)補全后的結(jié)果和指標(biāo)數(shù)據(jù)的實際值的比較如圖4所示。

由圖4可以看出，補全后的數(shù)據(jù)與獲取到的原始數(shù)據(jù)之間的差值都較小，在可接受范圍內(nèi)，因此可以認(rèn)為補全是比較準(zhǔn)確的。

圖4 原始指標(biāo)數(shù)據(jù)與補全數(shù)據(jù)對比

基于補全后的指標(biāo)數(shù)據(jù)，利用模糊綜合評價法，得到處置效果如圖5所示。根據(jù)折線的變化情況可知，在1～5 min，評分值在3分上下波動；在6～10 min，評分值上升到4分左右。這是因為在1～5 min時，Web服務(wù)器并未向用戶提供服務(wù)，盡管服務(wù)器處于安全狀態(tài)，但作為服務(wù)提供方其資源處于閑置狀態(tài)，因此評分值低于6～10 min向用戶提供正常服務(wù)時的評分。在 11～15 min、16～20 min、21～25 min，評分值不斷降低，這是因為攻擊強度不斷加強。在26～30 min，部署處置措施1后，評分值基本提高到正常程度，但存在波動?？赡艿脑蚴翘幹么胧╇m然阻斷了攻擊，但對用戶正常服務(wù)也造成了影響，因此評分存在波動。在31～35 min，在部署處置措施2后，評分基本恢復(fù)正常，與6～10 min時的情況基本一致，說明處置措施2有效地發(fā)揮了威脅處置的作用。

圖5 威脅處置效果評估結(jié)果

6 結(jié)束語

本文重點研究了不完全信息下的威脅處置效果評估方法，針對現(xiàn)有威脅處置效果評估方法的不足，提出了威脅處置效果的模糊評估模型。從攻防雙方2個角度的運行狀態(tài)、系統(tǒng)行為、服務(wù)情況和報警情況4個維度出發(fā)構(gòu)建分層評估指標(biāo)樹，在此基礎(chǔ)上綜合考慮指標(biāo)數(shù)據(jù)的不準(zhǔn)確性，利用模糊層次分析和模糊綜合評價對威脅處置效果進行評估。特定地，考慮到評估過程中指標(biāo)重要性比較數(shù)據(jù)缺失和指標(biāo)數(shù)據(jù)缺失的情況，利用指標(biāo)重要性的傳遞性關(guān)系和矩陣分解對缺失元素進行補全，從而有效解決信息缺失的問題，提高了評估方法的實用性和可操作性。本文在實驗網(wǎng)絡(luò)環(huán)境下構(gòu)建了攻防場景，對本文提出的評估方法的有效性與合理性進行了分析。

后續(xù)的研究主要包括：在數(shù)據(jù)補全過程中，加入指標(biāo)數(shù)據(jù)間的關(guān)聯(lián)關(guān)系的考慮，提高數(shù)據(jù)補全的精度；增加對判斷矩陣的一致性校驗，進一步提高評估方法的實用性。