基于云模型的主机安全评估方法
2017-04-11李金武
李金武
(郑州科技学院信息工程学院,河南郑州450064)
基于云模型的主机安全评估方法
李金武
(郑州科技学院信息工程学院,河南郑州450064)
提出了一种基于云模型的主机安全评估方法,方法全面考虑影响主机安全的连续型及离散型因素,设计了一套完整的指标因素集,并把离散参数加入云的不确定推理器,改进了单纯依靠连续型参数进行评估的推理算法.通过推理算法可以实现云的不确定性评估,解决评估知识表达的不确定性,实现定性概念与定量数据之间的不确定性转换,为用户提供可靠的决策信息,并且通过实验仿真验证了方法的可行性.
云模型;主机安全;指标因素
随着计算机大范围的普及,主机系统作为用户接触最多的终端设备,它的安全性直接影响用户的体验,所以对其安全性的研究必不可少.目前,针对主机安全性问题,大多使用层次分析法、模糊层次分析法、专家打分法等直接给出定量的评估值[1-5],严重依赖评估专家知识库,造成对同一台主机的评估会产生不同的评估量值,不能够解决评估当中的不确定性问题.通过云模型实现定量与定性的转换,能解决评估的不确定性问题.然而大部分云评估模型只考虑影响主机的连续性能指标[6-8],忽略了离散参数值对主机的影响,从而造成评估的偏差.综合考虑各方面安全性能指标,利用云模型进行不确定性评估,是一种非常有效的主机安全评估方法.
1 理论基础
1.1 云模型概念
设U是一个用精确数值表示的定量论域,X为主机安全评估的评估模块,一维、二维或多维),T是评估结果的定性表述,对于,都有一个映射关系,叫做x对T的隶属度,则评估结果T从域U到区间[0,1]的映射在数据区间上的分布,称为云[9-10].
Cloud(Ex,En,He)表示一维云,使用3个数字特征刻画了自然语言概念之间模糊性与随机性的关联度.期望Ex,最能表示评估模块定性概念的点;熵En,反映了评估模块定性概念所能接受的元素的取值范围;超熵He,揭示了评估模块定性概念里元素点的离散程度.
1.2 云发生器
云发生器即云的生成算法,正向云发生器由定性概念到定量数据进行转换,给出评估模块定性概念的数字特征,产生具体的云滴[9-12],如图1-a所示.
Step1产生一个期望值为En,标准差为He的正态随机数En';
Step2产生一个期望值为En,标准差为|En'|的正态随机数x;
Step3计算y−e ;
Step4(x,y)反映了本次评估模块定性定量转换的全部内容(,x,y)为评估云滴;
Step5重复Step1-Step4,产生N个云滴,算法结束.
逆向云发生器由定量数据到定性概念进行转换,即给出一组评估数据
计算评估模块定性概念的数字特征值Cloud(Ex,En,He)[9-12],如图1-b所示.
图1 云发生器Fig.1 The cloud generator
1.3 云规则发生器
云规则发生器包括规则前件和规则后件,前件云是以评估分值中的特定点为条件,通过云发生器得出的属于评估模块定性概念的隶属度,又称X条件云[9-12],如图2-a所示.
Step1产生一个期望值为En,标准差为He的正态随机数En';
Step2计算CT(x)−e
后件云是以某一隶属度为条件,通过云发生器生成属于这一隶属度的云滴的分布,又称Y条件云[9-12],如图2-b所示.
Step1产生一个期望值为En,标准差为He的正态随机数En';
图2 云规则发生器Fig.2 The conditional cloud generator
2 主机安全评估模型
2.1 模型设计思想
影响主机安全的因素可分为两类,动态连续参数和静态离散参数.对于动态因素,当主机遭受攻击时,该参数的性能指标会发生变化,它的变化幅度直接影响该主机的安全程度;对于静态因素,从主机系统所处的环境状态考虑,主机系统环境好坏直接影响该主机的安全程度.模型的基本任务是:根据系统参数状态值,借助设计的云发生器,判断系统的安全状况,以此评估主机的未来态势,如图3所示.
图3 主机安全评估模型Fig.3 The host securityevaluation model
通过以下步骤来实现主机安全评估:
(1)确定影响主机安全的参数(动态参数和静态参数);
(2)定义系统状态集(正常、较正常、较不正常、不正常)为4个状态云安全程度{安全、较安全、较危险、危险};
(3)构造云标尺和云规则发生器;
(4)定量输入处理,根据定量输入处理算法,对某时刻的输入计算激活强度,确定其在云标尺上的位置,利用逆向云发生器计算数字特征,产生云滴,进行评估.
2.2 系统主要性能指标
定义1定义系统性能指标S=Sc+Sd(“+”表示取并集).其中Sc为动态连续参数,Sc?{C, M, B, D,...},代表CPU利用率,M代表内存利用率,B代表网络带宽利用率,D代表磁盘活动情况等;Sd为静态离散参数,代表异常活动进程个数,Pa代表发送和接收的数据报文个数,L代表网络连接个数,V代表主机脆弱性个数等.
通过某一个指标的异常变化很难评估主机的安全性,因此论文从动态和静态的多个性能指标的异常变化综合考虑主机的安全性.对连续参数,可以采集某个时间范围内的多个属性值,利用逆向云做出定性评价,进而匹配规则库.对于离散参数,若参数值发生变化,则用变化匹配规则库.
2.3 云标尺及规则库建立
不同的系统性能指标,表达的概念不一样,本文不统一划分概念名称,只统一划分概念个数.本文针对各系统性能指标划分为3个概念,比如CPU利用率划分为“高,中,低”3个概念,系统性能指标的云模型的数字特征,结合知识库通过公式计算得出,图4所示为CPU利用率和内存利用率二维云标尺示意图.同时把主机的安全级别划分为安全、基本安全、不太安全和不安全4个等级,根据“3En”规则计算得出安全级别的云模型数字特征,图5所示为主机安全云标尺示意图.
图4 CPU内存二维云模型规则示意Fig.4 The two-dimensional cloud model rule diagramofCPUand memory
图5 主机安全云标尺示意Fig.5 The cloud scale schematic diagramofhost security
表1给出了部分系统性能指标和主机安全概念云的数字特征值.结合专家知识库和以往研究数据,本文先考虑CPU和内存对主机的影响,定义如下语言规则:
Rule1如果CPU利用率高,内存利用率高,则主机不安全;
Rule2如果CPU利用率高,内存利用率中,则主机不安全;
Rule3如果CPU利用率高,内存利用率低,则主机不太安全;
Rule4如果CPU利用率中,内存利用率高,则主机不太安全;
Rule5如果CPU利用率中,内存利用率中,则主机不太安全;
Rule6如果CPU利用率中,内存利用率低,则主机基本安全;
Rule7如果CPU利用率低,内存利用率高,则主机不太安全;
Rule8如果CPU利用率低,内存利用率中,则主机基本安全;
Rule9如果CPU利用率低,内存利用率低,则主机安全.
表1 云模型数字特征值Tab.1 The cloud model digital eigenvalue
2.4 规则发生器设计
基于云模型的不确定性推理是根据已知的条件,利用云的不确定性推理器,在一定环境中推理出目标规则的过程.基于云模型的不确定性推理分为单规则推理和多规则推理,单规则推理可以形式化地描述为“IF A,THENB”,“IF A1,A2,…,An,THENB”,其中A,B是用云模型表示的自然语言值,例如“如果商品质量好,则价格高”,“如果某人饮食习惯好,睡眠质量高,则身体健康”,显然这些自然语言值不能够用精确的数值来表示.多规则推理使用的是云的单条件多规则和多条件多规则的不确定性推理器.在实际的推理中大部分问题采用的多是云的多条件多规则推理.
2.5 定量输入处理过程
本模型采用多条件多规则推理,主机安全评估当中综合考虑连续参数和离散参数.对于连续参数可以直接使用云规则发生器进行推理,通过规则前件云得到所属概念的隶属度;对于离散参数,因其是确定的值,所以云规则发生器并不适用,稍加改进以后,离散参数不经过规则前件,直接作为后件云的条件进行推理.
推理算法:
输出:定性和定量评估结果.
Step4用Rest和各离散参数再次匹配规则库中的规则,激活新的规则集为Restf.
Step5 Restf中的每条规则Rk:①将激活Rk的多个参数对应的激活隶属度μij求“软与”或“软或”运算,得到一个综合激活隶属度Cmdi;②Cmdi作为Rk规则后件云的条件,得到一个或两个云滴Dropi,加入云滴集Drop.
Step6时间推移一个周期,t=t+T,重复步骤Step1-Step5.
Step7根据Step5产生的Drop,由逆向云生成器算法得到本次评价得到其所属的云图.
3 实验及分析
对一台主机采集多个时间点的CPU利用率和内存利用率数据,在时间点采集的数据,记作(t,c,m),t表示时间,c表示t时间点CPU利用率,m表示t时间点内存利用率.连续采集n个时间点的数据进行主机安全评估,其中部分时间点的数据如表2所示.
表2 采集数据评估隶属度Tab.2 The assess membership ofthe collected data
(t1,7,37)表示t1时刻的CPU利用率为7%,内存利用率为37%,依据推理算法,对于输入的CPU利用率参数7,激活Rule4—Rule9六条规则,对于输入的内存利用率参数37,激活Rule2、Rule3、Rule5、Rule6、Rule8和Rule9六条规则.综合考虑两个参数对主机安全的影响,激活的规则集为{Rule5,Rule6, Rule8,Rule9}.利用定量推理算法得出综合激活隶属度,把其作为对应主机安全评估云的输入,得到一个或两个云滴,加入云滴集.最终本次评估的云模型为Cloud(65.98,7.02,5.99),即期望值65.98,熵值7.02,超熵值5.99,利用云的相似度评估算法得出本次评估为基本安全[13],评估结果如图6所示.
图6 云模型评估结果Fig.6 The diagramofcloud model evaluation
4 小结
本文综合考虑了影响主机安全的连续与离散型因素,确定了主机安全评估指标集,利用云模型的“软化分”概念,构造定性评估的规则库,并且引入云的不确定推理理论,设计了一种评估主机安全的推理算法,算法在考虑连续型参数对主机安全影响的基础上,加入了离散型参数对主机安全的影响,经过实例验证,该评估方法比较高效,实现了定性与定量评估的结合,符合人群的决策思维.
[1]魏德宾,辛鑫.基于ANP和云模型的军事通信系统效能评估[J].火力与指挥控制,2016,41(8):118-124.
[2]翁迟迟,齐法制,陈刚.基于层次分析法与云模型的主机安全风险评估[J].计算机工程,2016,42(2):1-6.
[3]张友鹏,李远远.基于云模型和证据理论的铁路信号系统风险评估[J].铁道学报,2016,38(1):75-80.
[4]张鹏,谢晓尧.基于云模型的信息系统测评安全结论判定[J].武汉大学学报(理学版),2014,60(5):429-433.
[5]胡文嘉,谢晓尧.基于二维云模型的主机安全等级评估研究[J].计算机应用与软件,2016,33(1):326-329.
[6]尹航,李远富.综合交通项目安全应急方案的云模型比选方法研究[J].中国安全科学学报,2016,26(7):102-107.
[7]胡冠宇,乔佩利.基于云群的高维差分进化算法及其在网络安全态势预测上的应用[J].吉林大学学报(工学版),2016, 46(2):568-577.
[8]高洪波,张新钰,张天雷,等.基于云模型的智能驾驶车辆变粒度测评研究[J].电子学报,2016,44(2):365-373.
[9]LI DY,DI KC,LI DR,et al.Miningassociation rules with linguistic cloud modesl[J].Journal ofSoftware,2000,11(2):143-158.
[10]SHI Z Y,LI H H,CHENG B L.The research and design of network security evaluation systems based on cloud model[C]. International Conference on FuzzySystems and Knowledge Discovery(FSKD2012),2012.
[11]马满福,张正锋.基于可拓云的网络信任评估[J].计算机应用,2016,36(6):1533-1537,1557.
[12]谢立春,张春琴.基于云模型的网络攻击检测方法及其性能分析[J].计算机科学,2015,42(11):378-380,389.
[13]李金武,邓国辉.基于云模型的分布式主机安全评估方法研究[J].福建电脑,2015,31(9):16-17,63.
(责任编辑:卢奇)
An assessment method of host security based on cloud model
LI Jinwu
(College ofInformation Engineering,Zhengzhou UniversityofScience&Technology,Zhengzhou 450064,China)
A method of host security assessment based on cloud model was presented in this paper.The continuous and discrete factors affecting host security were comprehensively considered,a set of complete index factors set were designed,and the discrete parameters were added into the cloud of uncertain reasoning,the reasoning algorithm based on the evaluation of continuous parameters were improved.This reasoning algorithm can realize uncertainty assessment,solve the uncertainty in assessment knowledge representation,and achieve the uncertainty conversion between qualitative concept and quantitative data,can provide reliable decision-making information to the user, through experiment simulation to verify feasibility of the method.
cloud model;host security;index factors
TP393
A
1008-7516(2017)01-0053-07
10.3969/j.issn.1008-7516.2017.01.011
2016-10-08
郑州市科技局自然科学基金项目(20140616)
李金武(1984―),男,郑州荥阳人,硕士,讲师.主要从事网络安全及物联网通信技术研究.
