李金武

(郑州科技学院信息工程学院， 河南郑州 450064)

一种基于云模型主机安全评估方法

李金武

(郑州科技学院信息工程学院， 河南郑州 450064)

本文提出了一种基于云模型的主机安全评估方法，该方法全面考虑了影响主机安全的连续型及离散型因素，设计了一套完整的指标因素集，并把离散参数加入云的不确定推理器，从而改进了单纯依靠连续型参数进行评估的推理算法．改进的算法可以实现云的不确定性评估，能解决评估知识表达的不确定性，从而实现定性概念与定量数据之间的不确定性转换，进而为用户提供可靠的决策信息，并通过实验仿真验证了该方法的可行性．

云模型；主机安全；指标因素

随着计算机大范围的普及， 个人计算机作为用户接触最多的终端设备， 它的安全性直接影响用户的体验， 所以对其安全性的研究必不可少. 对于个人计算机的安全性， 可使用层次分析法、 模糊层次分析法、 专家打分法等直接给出定量的评估值[1-5]. 这些方法较多的依赖评估专家知识库， 会造成不同的方法对同一台主机的评估会产生不同的评估量值， 并且不能够解决评估中的不确定性问题. 虽然通过云模型可实现定量与定性的转换问题， 并能解决评估的不确定性问题， 但是大部分云评估模型只考虑影响主机的连续性能指标[6-8]， 忽略了离散参数值对主机的影响， 从而造成评估的偏差. 笔者综合考虑各方面安全性能指标， 提出一种基于云模型的不确定性评估方法， 经实验证明， 这是一种非常有效的计算机安全评估方法.

1 理论基础

1.1 云模型概念

设U是一个用精确数值表示的定量论域，X为主机安全评估的评估模块， 则X⊆U(一维、 二维或多维)，T是评估结果的定性表述. 对于∀x(x∈X)， 都有一个映射关系y=CT(x),y∈[0,1]， 叫做x对T的隶属度， 则评估结果T从论域U到区间[0,1]的映射在数据区间上的分布， 称为云模型[9-10].

用Cloud(Ex,En,He)表示一维云， 使用三个数字特征刻画了自然语言概念之间模糊性与随机性的关联度. 期望Ex是最能表示评估模块定性概念的点； 熵En能反映评估模块定性概念所能接受的元素的取值范围； 超熵He可揭示评估模块定性概念里元素点的离散程度.

1.2 云发生器

云发生器即云的生成算法， 正向云发生器由定性概念到定量数据进行转换， 产生的具体过程如图1(a)所示[9-12]. 正向云发生器的生成算法步骤如下：

步骤1：产生一个期望值为En， 标准差为He的正态随机数En′；

步骤2：产生一个期望值为Ex， 标准差为|En′|的正态随机数x；

步骤4：(x,y)反映了本次评估模块定性定量转换的全部内容， (x,y)为评估云滴；

步骤5：重复步骤1～4， 产生N个云滴， 算法结束.

逆向云发生器由定量数据到定性概念进行转换， 即给出一组评估数据T{x1,x2,x3,...,xi}， i=1,2,...,N， 计算评估模块定性概念的数字特征值Cloud(Ex,En,He)[9-12]， 其产生过程如图1(b)所示. 逆向云发生器的生成算法步骤如下：

1.3 云规则发生器

云规则发生器包括规则前件和规则后件， 前件云是以评估分值中的特定点为条件， 通过云发生器得出的属于评估模块定性概念的隶属度， 又称X条件云[9-12]， 其产生过程如图2(a)所示. 规则前件云的生成步骤如下：

步骤1：产生一个期望值为En， 标准差为He的正态随机数En′；

步骤3：重复步骤1～步骤2， 产生N个云滴， 即Drop{(x0,CT(x1)),(x0,CT(x2)),...,(x0,CT(xi))}， i=1,2,...,N， 算法结束.

后件云是以某一隶属度为条件， 通过云发生器生成属于这一隶属度的云滴的分布， 又称Y条件云[9-12]， 其产生过程如图2(b)所示. 规则后件云的生成步骤如下：

步骤1：产生一个期望值为En， 标准差为He的正态随机数En′；

步骤3：重复步骤1～步骤2， 产生N个云滴， 即Drop{(x1,CT(x0)),(x2,CT(x0)),...,(xi,CT(x0))}， i=1,2,...,N， 算法结束.

2 主机安全评估模型

2.1 模型设计思想

影响主机安全的因素可分为两类：动态连续参数和静态离散参数. 对于动态因素， 当主机遭受攻击时， 该参数的性能指标会发生变化， 它的变化幅度直接影响该主机的安全程度； 对于静态因素， 从主机系统所处的环境状态考虑， 主机系统环境的好坏直接影响该主机的安全程度. 模型的基本任务是，根据系统参数状态值， 借助设计的云发生器， 判断系统的安全状况， 以此评估主机的未来态势， 主机安全评估模型如图3所示.

实现主机安全评估的方法如下：

(1)确定影响主机安全的参数(动态参数和静态参数)；

(2)定义系统状态集(正常、 较正常、 较不正常、 不正常)为四个状态云， 安全程度{安全、 较安全、 较危险、 危险}；

(3)构造云标尺和云规则发生器；

(4)定量输入处理， 根据定量输入处理算法， 对某时刻的输入计算激活强度， 确定其在云标尺上的位置， 并利用逆向云发生器计算数字特征， 产生云滴， 从而进行评估.

2.2 系统主要性能指标

定义系统性能指标S=Sc+Sd(“+”表示取并集). 其中Sc为动态连续参数，Sc={C,M,B,D,...}，C代表CPU利用率，M代表内存利用率，B代表网络带宽利用率，D代表磁盘活动情况等；Sd为静态离散参数，Sd={Pr,Pa,L,V,...}， Pr代表异常活动进程个数，Pa代表发送和接收的数据报文个数，L代表网络连接个数，V代表主机脆弱性个数等.

通过某一个指标的异常变化很难评估主机的安全性， 因此本文从动态和静态的多个性能指标的异常变化综合考虑主机的安全性. 对连续参数， 可以采集某个时间范围内的多个属性值， 并利用逆向云做出定性评价， 进而匹配规则库. 对于离散参数， 若参数值发生变化， 则用变化匹配规则库.

2.3 云标尺及规则库建立

因为不同的系统性能指标表达的概念不一样， 所以本文不划分概念名称， 只划分概念个数. 笔者针对各系统， 将性能指标划分为3个概念， 比如：将CPU利用率划分为“高、 中、 低”三个概念. 系统性能指标的云模型的数字特征可以结合知识库， 并通过公式计算得出. CPU利用率和内存利用率二维云标尺示意图如图4所示； 同时把主机的安全级别划分为安全、 基本安全、 不太安全和不安全四个等级， 根据 “3En”规则计算得出安全级别的云模型数字特征. 主机安全云标尺示意图如图5所示. 表1给出了部分系统性能指标和主机安全概念云的数字特征值. 结合专家知识库和以往研究数据， 本文优先考虑CPU和内存对主机的影响， 定义如下的语言规则：

规则1:如果CPU利用率高， 内存利用率高， 则主机不安全；

规则2:如果CPU利用率高， 内存利用率中， 则主机不安全；

规则3:如果CPU利用率高， 内存利用率低， 则主机不太安全；

规则4:如果CPU利用率中， 内存利用率高， 则主机不太安全；

规则5:如果CPU利用率中， 内存利用率中， 则主机不太安全；

规则6:如果CPU利用率中， 内存利用率低， 则主机基本安全；

规则7:如果CPU利用率低， 内存利用率高， 则主机不太安全；

规则8:如果CPU利用率低， 内存利用率中， 则主机基本安全；

规则9:如果CPU利用率低， 内存利用率低， 则主机安全.

2.4 规则发生器设计

基于云模型的不确定性推理是根据已知的条件， 利用云的不确定性推理器， 在一定环境中推理出目标规则的过程. 基于云模型的不确定性推理分为单规则推理和多规则推理. 单规则推理可以形式化地描述为“IF A， THEN B”， “IF A1， A2， …， An， THEN B”， 其中A， B是用云模型表示的自然语言值， 例如“如果商品质量好， 则价格高”， “如果某人饮食习惯好， 睡眠质量高， 则身体健康”. 显然， 这些自然语言值不能够用精确的数值来表示. 多规则推理使用的是云的单条件多规则和多条件多规则的不确定性推理器. 在实际的推理中， 大部分问题采用的多是云的多条件多规则推理.

2.5 定量输入处理过程

本模型采用多条件多规则推理. 在主机安全评估中， 综合考虑了连续参数和离散参数. 对于连续参数， 可以直接使用云规则发生器进行推理， 并通过规则前件云得到所属概念的隶属度； 对于离散参数， 因为其是确定的值， 所以云规则发生器并不适用. 但可以稍加改进， 使离散参数不经过规则前件， 直接作为后件云的条件进行推理.

推理算法如下：

输入：定量输入参数向量(Xc1,Xc2,…,Xd1,Xd2)， 采集时间周期T， 确定规则前件和规则后件；

输出：定性和定量评估结果.

步骤1：将处于t时间点的各连续参数值xi(i=1,2,3,…,n)代入相应的概念前件云， 得到其所属几个概念的隶属度μij(i=1,2,3,…,n,j=1,2,…m)；

步骤2：将某时间点的各连续参数值xi(i=1,2,3,…,n)， 根据3En规则判断它激活的规则集Rseti， 3En规则(Exi-3En

步骤3：计算各连续参数激活规则集的交集为Rset=Rset1∩Rset2∩…∩Rsetn；

步骤4：用Rset和各离散参数再次匹配规则库中的规则， 激活新的规则集为Rsetf；

步骤5：对于Rsetf中的每条规则Rk：

(1)将激活Rk的多个参数对应的激活隶属度μij求“软与”或“软或”运算， 得到一个综合激活隶属度Cmdi；

(2)Cmdi作为Rk规则后件云的条件， 得到一个或两个云滴Dropi， 加入云滴集Drop.

步骤6：将时间推移一个周期， 即t=t+T， 重复步骤步骤1～步骤5.

步骤7 ：根据步骤5产生的Drop， 由逆向云生成器算法得到本次评价Cloud(Ex,En,He)， 从而得到其所属的云图.

3 实验结果及分析

对一台计算机采集多个时间点的CPU利用率和内存利用率数据， 在t时间点采集的数据， 记作(t,c,m)，t表示时间，c表示t时间点CPU利用率，m表示t时间点内存利用率. 对连续采集n个时间点的数据进行主机安全评估， 其中部分时间点的数据如表2所示.

(t1,7,37)表示t1时刻的CPU利用率为7%， 内存利用率为37%. 依据推理算法， 对于输入的CPU利用率参数7， 激活规则4～规则9这六条规则； 对于输入的内存利用率参数37， 并激活规则2， 规则3、 规则5、 规则6、 规则8和规则9这六条规则. 综合考虑两个参数对主机安全的影响， 激活的规则集为{ 规则5,规则6,规则8,规则9}. 之后利用定量推理算法得出综合激活隶属度， 把其作为对应主机安全评估云的输入， 得到一个或两个云滴， 并加入云滴集. 最终本次评估的云模型为Cloud(65.98,7.02,5.99)， 即期望值为65.98， 熵值为7.02， 超熵值为5.99. 利用云的相似度评估算法可得出本次评估为基本安全[13]， 评估结果如图6所示.

4 结语

笔者综合考虑了影响主机安全的连续与离散型因素， 确定了一种主机安全评估指标集， 并利用云模型的“软化分”概念， 构造定性评估的规则库， 且引入云的不确定推理理论， 从而设计了一种评估主机安全的推理算法. 经过实例验证， 该评估方法比较高效， 能实现定性与定量评估的结合， 符合人群的决策思维.

[1] 魏德宾,辛鑫.基于ANP和云模型的军事通信系统效能评估[J].火力与指挥控制,2016,41(8):128-124.

[2] 翁迟迟,齐法制,陈刚.基于层次分析法与云模型的主机安全风险评估[J].计算机工程,2016,42(2):1-6.

[3] 张友鹏,李远远.基于云模型和证据理论的铁路信号系统风险评估[J].铁道学报,2016,38(1):75-80.

[4] 张鹏,谢晓尧.基于云模型的信息系统测评安全结论判定[J].武汉大学学报：理学版.2014,60(5):429-433.

[5] 胡文嘉,谢晓尧.基于二维云模型的主机安全等级评估研究[J].计算机应用与软件,2016,33(1):326-329.

[6] 尹航,李远富.综合交通项目安全应急方案的云模型比选方法研究[J].中国安全科学学报,2016,26(7):102-107.

[7] 胡冠宇,乔佩利.基于云群的高维差分进化算法及其在网络安全态势预测上的应用[J].吉林大学学报:工学版,2016,46(2):568-577.

[8] 高洪波,张新钰,张天雷,刘玉超,李德毅.基于云模型的智能驾驶车辆变粒度测评研究[J].电子学报,2016,44(2):365-373.

[9] Li D Y,Di K C,Li D R,Shi X M.Mining Association Rules with Linguistic Cloud Modesl[J].Journal of Software,2000,11(2):143-158.

[10] Shi Z Y,Li H H,Cheng B L.The Research and Design of network security Evaluation Systems Based on cloud model[C].International Conference on Fuzzy Systems and Knowledge Discovery,2012.

[11] 马满福,张正锋.基于可拓云的网络信任评估[J].计算机应用,2016,36(6):1533-1537,1557.

[12] 谢立春,张春琴.基于云模型的网络攻击检测方法及其性能分析[J].计算机科学,2015,42(11):378-380,389.

[13] 李金武,邓国辉.基于云模型的分布式主机安全评估方法研究[J].福建电脑,2015,31(9):16-17,63.

[责任编辑 徐 刚]

An Assessment Method of Host Security Based on Cloud Model

LI Jin-wu

(College of Information Engineering, Zhengzhou University of Science & Technology, Zhengzhou 450064, China)

This paper presents a method of host security assessment based on cloud model. This method comprehensively takes into consideration the continuous and discrete factors affecting host security, and implements a complete index factors set, and the discrete parameters are added into the cloud of uncertain reasoning. The reasoning algorithm based on the evaluation of continuous parameters is improved. By this reasoning algorithm, cloud uncertainty assessment is implemented to solve the uncertainty in assessment knowledge representation, and to realize the uncertainty conversion between qualitative concept and quantitative data, to provide reliable decision-making information to the user. The feasibility of this method is verified through experiment simulation.

cloud model; host security; index factors

2016-09-18

国家自然科学基金地区项目(61462064)； 郑州市科技局自然科学基金项目(20140616)

李金武(1984—)， 男， 河南荥阳人， 硕士， 讲师. 研究方向：网络安全及物联网通信技术.

TP393

A

1009-4970(2017)02-0059-05