万方数据 基于模糊信息融合技术的攻击要素关联1网络安全态势评估模型及基于模糊信息融合技术的攻击要素关联孙宁付向东张生财科学技术与工程击造成的严重后果。同时针对攻击信息的不确定性、不完整性、模糊性和多变性的特点，提出将一种模糊信息融合方法——中图法分类号TP393．08；文献标志码A近年来随着Internet的飞速发展，计算机网络的资源共享进一步加强，然而资源共享与信息安全历来都是一对矛盾，网络的安全正面临着越来越严重的挑战。入侵检测技术的出现可以使网络管理员可以获知攻击的发生，但传统入侵检测技术只能在一定的程度上得知攻击的发生信息，网络管理员不能获知网络攻击的威胁程度，不能获知相关的网络安全态势信息，从而使网络管理员对现实的网络情况做出相应的决策具有很大的难度。未来的网络应用需要更高的安全性，这就要求网络管理员要及时地掌握网络安全态势信息，并及时地做出相应的操作来消除攻击的威胁。网络安全态势评估技术就是解决上述问题的一种新型网络安全技术。根据waltz的网络安全态势评估总体框架，文献[1]设计了网络化系统安全态势评估模型。系统分为两个子系统：攻击检测系统和安全态势量化评估系统(见图1)。在对攻击进行评估时，需要考虑攻击本身的强度和攻击获得成功的难易程度。单纯的入侵检测系统不能给网络管理员提供具体的态势信息，而只是产生大量的系统信息和底层数据。系统必须将攻击数据提炼成为攻击信息，进而提炼成为攻击知识后才能为网络管理员所理解、运用。但是由于上述三个攻击要素具有不确定性、非完整性、模糊性和多变性的特点，因此很难对其进行界定和关联。本文主要探讨第一个子系统，即基于模糊信息融合技术的攻击要素关联。第10卷第27期2010年9月167l一1815(2010)27-6800—05En百neering@2010摘要主要针对当前网络安全态势知识不易获得的问题，提出了自己的网络化系统安全态势评估模型并定义了攻击要素。继而使用动态的方法量化了攻击频率、攻击难易性和攻击危害度，使之可以更加精确地表示攻击次数、攻击成功的概率和攻基于Mamdani模糊推理的算法来实现攻击要素的关联。最后，应用Natlsb7．0仿真实验工具进行了仿真，实验结果证明，本文提出的算法可以真实地反映安全态势情况。关键词网络安全态势评估模糊信息融合攻击要素关联第一作者简介：孙宁(1979一)，河北河间人，助教，硕士，研究方Sei．Tech．Engnff(甘肃政法学院现代教育技术中心，兰州730070)2010年7月1日收到甘肃科技基金项目(GS[2008]G0408)资助向：网络安全。ScienceTechnologyandV01．10No．27Sep．2010 万方数据 ct缸=以(100A。)(÷三C。)2攻击要素的定义击的危害度巩可由公式(1)计算得出。结合文献[2]中的不足，本文对攻击危害度C。2．1攻击危害度C。的定义：网络攻击的危害度是指网络攻击对整个应用系统造成危害的程度。对于第k类网络，第t类攻(1)本文中假设当前有3种网络类型，其网络类型影响因子帆赋值如表1。攻击类型的划分采用了以攻击侵入层次为依据的分类法，该方法主要来自于普渡大学的S的博士论文‘31中的分类法，将网络攻击分为如表2所示的7类，以攻击侵入层次递增的顺序排序。A。表示第t种攻击类型的影响因子，见表2。攻击源影响因子C。1攻击的来源。取值为“内部”和“外部”两种。来自内部的攻击一般比来自外部的攻击危害度大，见表3。27期孙宁，等：基于模糊信息融合技术的攻击要素关联图1网络安全态势评估模型表1网络类型影响因子表2攻击类型影响因子网络安全知识Kumer攻击类型影响因子A。攻击类型安全信息泄漏拒绝服务攻击远程文件读／写远程普通用户权限权限提升远程根目录权限后门或术马2．1．1刀仃680123567l4 万方数据 l型，l譬，～⋯’SVlL目标系统上的服务是未免疫服务类型的3基于Mamdani模糊推理的攻击要素关联算法。2．1．3受影响范围影响因子乞HT一目标系统是未免疫系统的类型；给定一个0一lO之间的值(如表7)。将两个值相乘月x；a，b，c，d)={A一日=min(ft^(戈)，p8()，))。表3攻击源影响因子G2．1．2攻击目标影响因子C吐攻击针对的目标。根据重要性分为“重要主机”和“一般主机”，其中重要主机可以根据需要细分为各种服务器，见表4。．’表示攻击成功后目标系统受影响的范围。分为“单机单用户”、“单机所有用户”和“网段”3类。表5受影响范围影响因子巳2．1．4可恢复程度影响因子巳表示攻击成功后目标系统恢复的能力。分为“现场可恢复”、“离线可恢复”和“不可恢复”3类，见表6。2．2攻击难易性攻击难易性是指该实施某类攻击获得成功的难易程度，也可以看成是某类攻击发动成功的概率。攻击难