基于改進變精度粗糙集的漏洞威脅評估

江 洋，李成海

(空軍工程大學 防空反導學院，西安 710051)

基于改進變精度粗糙集的漏洞威脅評估

江 洋*，李成海

(空軍工程大學 防空反導學院，西安 710051)

(*通信作者電子郵箱xftvxq@126.com)

變精度粗糙集理論能有效處理帶噪聲的數據，但其移植性較弱。針對這種情況，引入閾值參數α，提出了一種改進的變精度粗糙集漏洞威脅評估模型。首先，根據漏洞特征屬性建立評估決策表；然后,使用k均值算法對連續屬性進行離散化處理；接下來，通過多次計算，調整參數β和α的值，進行屬性約簡并提取概率決策規則，構造決策規則庫；最后，將測試數據與規則庫進行匹配，得到漏洞威脅評估結果。仿真實驗表明，所提方法的評估正確率比改進前提高了19.66個百分點，并且移植性有所增強。

威脅評估；變精度粗糙集；離散化；屬性約簡；規則庫

0 引言

隨著網絡技術的飛速發展，網絡安全事件層出不窮，計算機網絡經常受到黑客或非法入侵者的攻擊，造成巨大的經濟損失，甚至危害到單位和國家的安全； 而在非法侵入的過程中，核心內容是要找出目標系統中存在的安全漏洞，通過分析安全漏洞掃描結果、服務查點信息等，找出可以實施攻擊的攻擊點，入侵到目標系統中，獲得訪問控制權[1-2]。針對這種情況，我們需要對自己所處的網絡進行安全評估[3]，而后制定相應對策。目前大部分網絡安全評估方法從本質上來看都是基于漏洞來進行評估的，通過漏洞的威脅等級來評估網絡的安全狀況: 文獻[4]以攻擊圖為評估數據源，提出了一種漏洞威脅的關聯評估方法，彌補了傳統的孤立評估漏洞方法的不足，但是攻擊圖節點的賦值對結果的影響較大，并且該方法不適用于大規模或復雜結構的網絡；文獻[5]建立了評估指標體系，以通用漏洞評分系統(Common Vulnerability Scoring System, CVSS)為評分基礎，運用層次分析法(Analytic Hierarchy Process, AHP)對系統進行漏洞危害性評估,通用性較好，但判斷矩陣的構造受個人經驗影響，評估結果易失客觀性；文獻[6]利用粗糙集(Rough Set, RS)理論[7-8]建立評估模型，通過決策表的約簡后能產生決策規則，在一定程度上解決了不確定、不完整信息系統的決策問題，但它的分類是精確的，只考慮完全“包含”與“不包含”，不能很好地處理帶有噪聲的數據，也容易遺漏不同漏洞間的組合影響。

針對上述問題，本文在經典變精度粗糙集(Variable Precision Rough Set, VPRS)[9]模型中增加了規則提取參數α，提出了一種改進的變精度粗糙集漏洞威脅評估模型。通過調節閾值參數α和β來適應不同的網絡環境，同時更易于挖掘出各類漏洞的潛在聯系和對網絡的組合影響，更加準確、客觀地反映被評估網絡的安全狀況。變精度粗糙集是Pawlak粗糙集理論的擴展，它通過設置閾值參數，放松了對近似邊界的嚴格定義，即允許一定程度的錯誤分類率存在，從而克服了Pawlak粗糙集對噪聲數據過于敏感的缺點[10], 該模型已在眾多領域得到廣泛應用[11-12]。

1 變精度粗糙集基本理論

設S=(U,A,V,f)為一個信息系統，也稱為知識表示系統, 其中，U={U1,U2,…,U|u|}為有限非空集合，稱為論域對象空間；A={a1,a2,…,a|A|}為屬性的非空有限集合。若A中的屬性又可分為兩個不相交的子集，即條件屬性集C和決策屬性集D，A=C∪D，C∩D=?,則S也稱為決策表。

定義1 設U為非空有限論域，X,Y?U。令:

其中|X|表示集合X的基數。稱P(X,Y)為集合X關于集合Y的相對錯誤分類率。

稱β包含關系為多數包含關系。

上下近似分別表示以不大于β的誤差不能分類于X的對象集合和能分類于X的對象集合。

定義4 設P?C,分類質量γβ(P,D)定義為：

(1)

2 基于改進VPRS的漏洞威脅評估模型

2.1 漏洞威脅評估模型的建立

利用變精度粗糙集理論，建立漏洞威脅評估模型，如圖1所示。

圖1 漏洞威脅評估模型Fig. 1 Vulnerability threat assessment model

首先，將訓練數據進行離散化處理，根據初始閾值β(一般設為0)進行屬性約簡，生成規則庫；然后，收集掃描得到的漏洞信息，對其進行離散化處理；接下來，將屬性特征與規則庫進行概率規則匹配，如果匹配結果不滿足評估要求，則調整閾值β和參數α，利用訓練數據重新生成規則庫，重復匹配過程，直至達到分類質量要求，并輸出評估結果。

2.2 決策表的建立

對于信息系統S=(U,A,V,f)，U為漏洞訓練數據集，A為數據屬性的集合，其中包含漏洞集C={C1,C2,…,CK}和威脅等級D，V是漏洞的值域集，信息函數f則指定了每個漏洞的屬性值。根據以上信息，建立評估決策表，見表1。

表1 評估決策表Tab. 1 Assessment decision table

2.3 數據離散化處理

為了便于數據處理，在屬性約簡之前需要對連續屬性進行離散化。離散化算法有很多，目前常用的有等距離劃分算法、等頻率劃分算法、基于信息熵的離散化算法、啟發式離散化算法等[7,13]。本文使用一種基于k均值[14]的連續屬性離散化方法，通過k均值聚類算法將屬性值劃分為若干個區間，并用少量區間標記代替實際數據值，簡化運算量，達到較好的離散效果。

具體的算法步驟如下：

第2步 假設已進行到第r次迭代。若對某一樣本x有

第3步 計算重新分類后的各聚類中心：

2.4 近似約簡

定義5 變精度粗糙集中的近似約簡redβ(C,D)定義為，在給定β值下，不含多余屬性并保證正確分類的最小條件屬性集。條件屬性C關于決策屬性D的β近似約簡滿足以下兩個條件：

1)γβ(P,D)=γβ(red(C,D),D)

(2)

2)從redβ(C,D)中去掉任何一個屬性，都將使1)不成立。

定義6 屬性a的重要性被定義為，將該屬性添加到屬性集R時分類質量γβ的增量：

本文的屬性約簡使用基于分類質量的近似約簡算法，具體步驟如下：

第2步R=CORED(C)。

第3步 在C-R中選擇屬性a使得SGF(a,R,D)達到最大值，如果有多個屬性ai(i=1,2,…,m)達到最大，則選擇與R組合數目最少的aj。

第4步R=R∪{aj}。

第5步 如果γR=γ0，則算法終止；否則轉第3步。

2.5 概率決策規則提取

公式F→G的邏輯含義稱作決策規則，F稱為規則前件，G稱為規則后件，它們表示一種因果關系，并且，F中包含的原子公式中只有決策系統的條件屬性，G中包含的原子公式中只有決策系統的決策屬性。

2.6 閾值β的修正算法

本文用參數β來模擬漏洞威脅評估中的分類誤差，根據目標網絡的實際情況來調節β的取值(0≤β≤0.5)，以達到更加客觀的評估效果。

第1步 將β的值設置為0，進行知識約簡，用約簡得到的判定規則構造漏洞威脅評估規則庫。

第2步 將掃描得到的漏洞數據信息進行離散化處理后與規則庫進行規則匹配，如果匹配結果未達到評估要求，則逐步提高β值，重新進行知識約簡，構造新的規則庫。

第3步 如果達到評估要求，則維持β值不變，并輸出評估結果。

3 仿真分析

3.1 網絡測試環境圖

本文利用實驗室局域網搭建測試環境，對計算機安全漏洞進行威脅評估，如圖2所示。其中，A，B，C是提供數據庫服務、FTP(File Transfer Protocol)服務、管理服務的服務器，裝有Windows Serve 2003等操作系統；D、E是裝有Windows 7操作系統的PC機(若干臺)；F為交換機；G是漏洞威脅評估系統；H為防火墻；I是路由器。

圖2 網絡測試環境Fig. 2 Network testing environment

3.2 漏洞威脅評估

取目前較常見的安全漏洞進行分析[15]，令漏洞集C={C1,C2,C3,C4}，其中:C1為獲取普通用戶權限的HTTP遠程緩沖區溢出漏洞(opensslRBOF)，C2為獲取管理員權限的mysql本地緩沖區溢出漏洞(mysqlLBOF)，C3為chargen服務的遠程拒絕服務漏洞(chargenDoS)，C4為獲取遠程管理員權限的ftp緩沖區溢出漏洞(ftpRBOF)。漏洞威脅等級D包含三個屬性值，分別是{d1(低),d2(中),d3(高)}。采用Iris數據集的150條樣本數據來構造漏洞威脅評估數據表(編號1～20,31～50,61～80,91～110,121～140為訓練數據，共100條；其余為測試數據，共50條)進行仿真分析，如表2所示。

表2 漏洞威脅評估數據表示例Tab. 2 Datasheet of vulnerability threat assessment for an example

利用2.3節所述方法將數據表中的漏洞數據進行離散化處理，每一類漏洞的屬性值被劃分為三個區間，分別用1、2、3標識，得到漏洞威脅評估決策表，如表3所示。

表3 漏洞威脅評估決策表示例Tab. 3 Decision table of vulnerability threat assessment for an example

接下來，對表3中的漏洞屬性集合C={C1,C2,C3,C4}進行β近似約簡，在此之前，首先要選定閾值參數β。β值與分類精度存在正相關的關系: 隨著β值的減小，分類精度將減小，只有少數對象被分類，對噪聲數據的處理能力降低；隨著β值的增大，分類精度增大，這意味著大多數對象將被分類，但可能存在誤分的情況。屬性約簡過后，設定α的值，提取概率決策規則。

經過多次計算，選取β=0.3，按照2.4節所述算法，約去屬性C1，C2后，屬性{C3,C4}對訓練數據的分類質量達到1，分類質量的計算公式見式(1)。接下來，由式(2)可得，最后的約簡結果為redβ(C,D)={C3,C4}。把C3，C4導入粗糙集分析工具Rosetta，令α=0.2，得到以下概率規則(方括號內為該規則正確率)：

最后，將測試數據與上述概率規則進行規則匹配。經驗證，漏洞威脅評估正確率達到了94%。多次實驗表明，閾值參數β和α的取值與系統評估正確率的關系如圖3所示。

圖3 參數與評估正確率關系Fig. 3 Relationship of parameters and assessment accuracy

3.3 實驗結果對比和分析

與文獻[12]中提出的基于VPRS方法相比，雖然本文方法的復雜度稍有提高,但本文方法的評估正確率提高了19.66個百分點，同時適用性有所增強,β=0.3時的對比結果如表4所示。為了體現本文方法的容錯能力,引入10條噪聲數據(已離散化處理),如表5所示，并將本文方法與文獻[6]所述方法進行對比，對比結果如表6所示。

在添加噪聲數據過后，文獻[6]中方法無法進行屬性約簡，進而不能生成有效的決策規則，由于本文方法設定了閾值參數，克服了對噪聲數據過敏的缺點。同時，相比較而言，本文方法的計算難度較低，適用性也更強。

表4 本文方法與文獻[12]方法對比

Tab. 4 Comparison of the proposed method

with the method in literature [12]

表5 噪聲數據示例Tab. 5 Noise data for an example

表6 本文方法與文獻[6]方法對比Tab. 6 Comparison of the proposed method with the method in literature [6]

根據本次實驗的具體環境和訓練數據，設定參數β=0.3,α=0.2，對系統漏洞威脅進行了有效而準確的評估。實驗結果表明，兩個閾值參數的取值與評估的正確率存在一定的關系，且α值的變化對結果的影響較大。在本次實驗中，當α取0.2時，評估效果最好，正確率為94%。而在實際評估中，可以根據被評估系統的具體情況來調節參數的值，以達到更精確和客觀的評估效果。

4 結語

本文在經典變精度粗糙集模型的基礎上，引入了規則提取閾值參數α，提出了一種改進的漏洞威脅評估模型。新模型的核心是通過改變參數β和α的值，來適應不同環境下的評估對象，其移植性有所提高。仿真實驗表明，改進的模型能達到較好的評估效果。不過，參數值的設定對訓練數據的依賴性較大，下一步的研究方向是要減少這種依賴性，降低閾值設置的難度。

References)

[1] 李思東.計算機網絡安全探討與研究分析[J].電子技術與軟件工程,2016(14):213.(LI S D. Discussion and analysis of computer network security[J]. Electronic Technology & Software Engineering, 2016(14):213.)

[2] 馮登國,張陽,張玉清.信息安全風險評估綜述[J].通信學報,2004,25(7):10-18. (FENG D G, ZHANG Y, ZHANG Y Q. Survey of information security risk assessment[J].Journal of China Institute of Communications,2004,25(7):10-18.)

[3] 張鳳荔,馮波.基于關聯性的漏洞評估方法[J].計算機應用研究,2014,31(3):811-814. (ZHANG F L, FENG B. Vulnerability assessment based on correlation[J]. Application Research of Computers,2014,31(3):811-814.)

[4] 謝麗霞,江典盛,張利,等.漏洞威脅的關聯評估方法[J].計算機應用,2012,32(3):679-682.(XIE L X, JIANG D S, ZHANG L, et al. Vulnerability threat correlation assessment method[J]. Journal of Computer Applications,2012,32(3):679-682.)

[5] 黎學斌,范九倫,劉意先.基于AHP和CVSS的信息系統漏洞評估[J].西安郵電大學學報,2016,21(1):42-46.(LI X B, FAN J L, LIU Y X. On information system vulnerabilities assess based on analytic hierarchy process and common vulnerability score system[J]. Journal of Xi’an University of Posts and Telecommunications,2016,21(1):42-46.)

[6] 付志耀,高嶺,孫騫,等. 基于粗糙集的漏洞屬性約簡及嚴重性評估[J]. 計算機研究與發展,2016,53(5):1009-1016.(FU Z Y, GAO L, SUN Q, et al. Evaluation of vulnerability severity based on rough sets and attributes reduction[J]. Journal of Computer Research and Development,2016,53(5):1009-1016.)

[7] 張小紅,裴道武,代建華,等.模糊數學與Rough集理論[M].北京：清華大學出版社,2013:205-269.(ZHANG X H, PEI D W, DAI J H, et al. Fuzzy Mathematics and Rough Set Theory[M]. Beijing: Tsinghua University Press, 2013:205-269.)

[8] 范淵,劉志樂,王吉文.一種基于模糊粗糙集的網絡態勢評估方法研究[J].信息網絡安全,2015(9):58-61.(FAN Y, LIU Z L, WANG J W. Research on network situation assessment method based on fuzzy rough set[J]. Netinfo Security,2015(9):58-61.)

[9] ZIARKO W. Variable precision rough set model[J]. Journal of Computer & System Sciences, 1993,46(1): 39-59.

[10] 黃衛華,楊國增,陸亞哲,等.變精度粗糙集模型研究[J]. 河北北方學院學報(自然科學版),2015,31(4):8-10.(HUANG W H, YANG G Z, LU Y Z, et al. Model of variable precision rough set[J]. Journal of Hebei North University(Natural Science Edition),2015,31(4):8-10.)

[11] 張國榮,王治和,周濤.變精度粗糙集模型與應用[J].太原師范學院學報(自然科學版),2010,9(4):14-17.(ZHANG G R, WANG Z H, ZHOU T. Variable precision rough set model and application[J]. Journal of Taiyuan Normal University (Natural Science Edition), 2010,9(4):14-17.)

[12] 林春杰,韓曉琴.基于VPRS的網絡安全威脅評估方法[J].信息通信,2011(4):27-28.(LIN C J, HAN X Q. A method based on network security threats assessment[J]. Information & Communication,2011(4):27-28.)

[13] 劉靜,何賢芳.基于Rough集的集成離散化算法[J].重慶三峽學院學報,2010,26(3):59-63.(LIU J, HE X F. A discretization algorithm based on rough set[J]. Journal of Chongqing Three Gorges University, 2010,26(3):59-63.)

[14] 張冬雯,張學杰,仇計清.改進的k-means算法在入侵檢測中的應用[J]. 微計算機信息,2010,26(18):11-13. (ZHANG D W, ZHANG X J, QIU J Q. Application of improvedk-means algorithm in intrusion detection[J]. Microcomputer Information,2010,26(18):11-13.)

[15] 陳秀真,鄭慶華,管曉宏,等.基于粗糙集理論的主機安全評估方法[J].西安交通大學學報,2004,38(12):1228-1231.(CHEN X Z, ZHENG Q H, GUAN X H, et al. Approach to security evaluation based on rough set theory for host computer[J]. Journal of Xi’an Jiaotong University,2004,38(12):1228-1231.)

JIANG Yang, born in 1992, M.S. candidate. His research interests include network and information security.

LI Chenghai, born in 1966, M.S., professor. His research interests include network and information security.

Vulnerability threat assessment based on improved variable precision rough set

JIANG Yang*, LI Chenghai

(CollegeofAirandMissileDefense,AirForceEngineeringUniversity,Xi’anShaanxi710051,China)

Variable Precision Rough Set (VPRS) can effectively process the noise data, but its portability is not good. Aiming at this problem, an improved vulnerability threat assessment model was proposed by introducing the threshold parameterα. First of all, an assessment decision table was created according to characteristic properties of vulnerability. Then,k-means algorithm was used to discretize the continuous attributes. Next, by adjusting the value ofβandα, the attributes were reducted and the probabilistic decision rules were concluded. Finally, the test data was matched with the rule base and the vulnerability assessment results were obtained. The simulation results show that the accuracy of the proposed method is 19.66 percentage points higher than that of VPRS method, and the transplantability is enhanced.

threat assessment; Variable Precision Rough Set (VPRS); discretization; attribute reduction; rule base

2016-10-13;

2016-11-26。

江洋(1992—)，男，四川內江人，碩士研究生，主要研究方向：網絡與信息安全； 李成海(1966—)，男，山東東平人，教授，碩士，主要研究方向：網絡與信息安全。

1001-9081(2017)05-1353-04

10.11772/j.issn.1001-9081.2017.05.1353

TP393.08

A