基于改进AHP算法的监控系统网络安全风险评估设计

2022-02-08梁剑顾蕾潘永强蔡都王正豪

电子测试 2022年22期

梁剑，顾蕾，潘永强，蔡都，王正豪

（江苏艾盾网络科技有限公司，江苏南京，210000）

0 引言

监控系统是网络运行中用于攻击检测和漏洞扫描的主要系统，常见的监控系统有Zabbix和APM等，这些监控系统被称为指标监控系统，能通过检测网络设备和系统的运作为操作者提供告警信息，提醒操作者及时进行防护，但是因为监控系统之间缺乏交互性，难以形成信息交集，容易出现信息孤岛问题，即安全事件和告警信息无法产生关联性，导致监控系统的安全服务无效化。为了弥补这层不足，让监控系统的报警信息和安全事件充分挂钩，需要设计更先进的算法来评估安全风险，从而减少无异议的重复报警和误报警，让监控系统的告警信息更精确、更有效。

1 网络安全风险评估的现状

网络安全是数字化办公和业务开展中需要特别重视的重点工作，其主要从监管层面展开，管理人员按照每周、每月或者每季度的方式对网络系统的区域边界、通信网络乃至物理环境进行考核，除此之外还会借助监控系统进行每日的信息收集。常用的监控系统有Zabbix、Prometheus等，这些监控软件的原理是根据端口状态和IP来进行判别。如可用性监控类软件，这类软件的状态是布尔型，即只存在两个运行状态，监控系统判定监控对象便是根据其运行状态是处于异常还是正常来给出告警信息。再如性能监控类软件，是通过IP去搜集监控对象的各项指标，如内存使用率、网络的吞吐量等。

从这些监控软件的运作原理来看，其判定是否发出告警信息的方式比较单板，缺乏甄别性，一旦监控对象出现异常，监控软件就会给出告警信息，这就造成了大量的重复警告。监管人员在检查监控日志时，需要根据日志记录对告警信息进行筛选，才能判断哪些是真正威胁网络安全的攻击行为，哪些是设备软硬件问题引发的报警误触。这种监控方式造成了无用的监管信息增多，人工成本增大，同时也让监控系统在安全风险防御方面的效果有所下滑。为了提高监控精度，节约人力成本，需设计良好的网络安全风险评估方法，对异常行为进行更精确的评估，从而决定是否发出告警信息，让安全服务和安全事件的关联更紧密，警告更精确，提高监控人员对网络安全风险的防范性。

2 AHP算法的改进和应用

AHP算法即层次分析法，是一种基于网络系统理论和多目标综合评价提出的层次权重决策法，其可以依靠定量信息对决策问题的本质、影响因素、内在关系进行数字化展现，让多目标或者无结构特性的复杂影响因子通过计算后决定删选或者保留，然后根据结果进行简单决策。AHP算法的应用可以降低监控系统的重复警告概率，让告警信息的发送更精确，安全服务更高效。而为了确保AHP算法对监控系统的高效辅助，将对AHP算法进行进一步的改进，提高其应用成效。

2.1 监控系统设计

系统神经元模型也称NNBA模型，由人工神经元和神经网络所构成。在神经网络中神经元承担着信息处理任务，在数据融合中应用功能函数处理，各类神经网络信息需要依托神经元各个簇成员节点进行隐藏，并且节点数量也会有显著差异，神经元数量一般取决于传感器数据采集类型数量，即需要利用神经元数量“N”对应传感器数据类型数量“N”，最后再借助神经元对各类数据分别处理。

神经元模型通常分为两大模块，即输入功能区域、输出功能区域。前者利用加权方法处理输入信号，即对输入信号本身实施处理，当得到恒等函数时，再依托功能函数对不同输入区间数据差值进行计算，以便对当前输入数据实施判断[1]。

从传感器功能来看，同样具备类似的检测作用，即主要从海量信息中甄别异常数据，同时将其提取出来传送至入侵检测系统实施甄别。系统的工作效率一般以数据上传量进行评估，如数据上传量多且质量高，则证明应用效率较高，反之则表明效率较低。初级融合层中，神经元模型在其中拥有不可替代性，也是最为关键的层级之一。神经元的突出特点在于可以完成多个网络数据信息横向融合，由此来构建网络运行过程数据序列，使系统容错率大幅降低，为网络运行层分析提供更大便利。

在融合方法的选择领域，需要初级融合层首先实现数据间的关联性，现阶段的主要方法为模糊综合评判法（FCE），此方法的优势是可以完成综合及局部等纬度评价，而非单纯依赖单一方式进行关联性判断，因此对于数据关联性评价结果更加客观，具备良好的实效性和低依赖性，在融合数据技术中的应用具备一定优势。从初级融合层作用机理来看，数据经初级融合层处理，异类IDS使可获得全面信息，并且依托不同类型IDS相互作用、相辅相成，实现各类异常数据关联并建立数据融合序列，以便系统进行识别和处理。

2.2 指标分类

在监控系统的运作中，其安全服务的提供是依靠监管人员人工添加监控项来取得指标数据，系统在得到数值和告警事件后发出告警信息，因此指标的制定非常关键。在监控项的指标选择中，需要遵从科学、实用、动态、可操作、全面、主导等六项原则，每项指标都是依靠主机完成采集过程，在采集中要搜集大量的主机数据，因此要注意指标的分类结果，故采用k-means将指标按照好、较好、一般、较差和差等五个簇，用ui代表簇ci的均值向量，其公式表达如下：

作为质心的ui表达为：

系统在采集每个指标的数据时，会对数据样本的分类距离进行精确计算，并根据计算结果将距离最小的指标簇作为数据样本的统计归属，并在完成数据样本统计到指标簇的工作后计算该指标簇的ui，根据计算结果，将所有指标划分簇的比例以表格1形式体现[2]。

2.3 指标权重计算

表1一共列出了14个指标，每个指标都代表了网络系统在运行中的相关状态，AHP算法是根据指标的关系来构造用于判断指标权重的矩阵，从而明确指标权重，即指标对网络运行安全的影响，并明确是否给出告警信息。此处用Di和Dj（i、j=1,2...,n）表示每个指标，用Dij表示指标与指标中相对重要性的数值，最终得到14*14矩阵P：

表1 网络安全指标分类

公式（3）即为判断矩阵，在网络监管系统中，判断矩阵被作为安全决策时间的中间层置入，得到的安全结果则作为决策层运行。判断矩阵的意义是明确不同指标的关系，可以用1-9标度法来体现，用λmax表示最大特征根，计算λmax对应的特征向量，公式如下：

不过，AHP算法的判断矩阵并不一定准确，有一定概率会存在逻辑问题，导致判决结果不准确。因此，为了防止矩阵在判断指标时出现逻辑问题，确保权重分配合理有效，需增加一致性校验内容，即在层次分析上加入随机一致性比率和一般一致性指标，此处用CR和Ci分别表示随机一致性比率和一般一致性指标，用Ri表示平均随机一致性指标，计算λmax减矩阵阶数和阶数减1的比值，公式如下：

当矩阵的随机一致性比率小于0.1或者最大特征根和n相等时，同时一般一致性指标等于0，则可以认定判断矩阵具备满意的一致性，如果不符合上述条件，说明矩阵存在逻辑问题，需要调整监控指标的重要程度，直到其符合满意的一致性[3]。

2.4 综合评价

结合网络运行的特点，AHP算法的改进要以充分展现系统无序化程度为目标，最主要的目的是贴合网络环境不具备确定性。一个系统的权值非常容易因外部环境而受到直接影响，整个系统的不确定性也会因权值的改变而改变[13]。为此，相较于传统的AHP算法，改进的AHP算法能够规避主观色彩，增强评价的准确性和客观性。但以往所采取的AHP算法存在一定的问题。例如：在计算处理期间，若Yij= 0 (i = 1 ,2, ···,m)，通过传统AHP算法计算最终获得Yijl n(Yij) = 0，此时表示无信息含量，这无疑是不合理的。为此需对AHP算法进行了改进，首先要对各项指标权值进行确定，公式如下：

运用欧式贴近度计算对评价对象的贴近度实施计算与排列处理，具体计算公式如下：

上述公式中：ρm主要是指第m个被评价对象与标准对象之间所形成的贴进度，该值越大表示两者贴进度就越小，越接近标准对象，相反也是如此。

最终，结合不同对象的帖进度和排序结果，确定差距较小的评价对象，将其权值作为后续指标指数预测基础数据[4]。

设计者可基于灰色系统理论来构建预测模型，GM（1，1）模型是一种基于计算机程序网络运行来实现快速、高效处理数据的常用方法[5]。但考虑到网络本身表现出的随机振荡特征，以传统GM（1，1）模型构建预测体系无法体现出动态评估效果。为此，本研究对传统GM（1，1）模型应用期间，同时在序列生成方法上选用了随机振荡序列拟合建模。设定网络指标指数列为，作为随机振荡序列。对原始数据序列实施加速平移转换：