李金武， 王 斌

(郑州科技学院 信息工程学院， 河南 郑州 450064)

近几年,随着信息技术的发展，从个人、企事业单位到国家层面，各行各业对信息安全的重视程度越来越高。信息作为重要的隐性资产，人们对其保密性、完整性、可控性、可用性和不可抵赖性等的认识不断加深，目前已经从攻击、防御、检测、控制、管理和评估等方面提出了相应的模型，例如针对如何防御，曾提出PPDR(Policy Protection Detection Response)模型和PDRR(Protect Detect React Restore)模型等[1-4]。

评估作为信息安全比较重要的环节，能为信息安全管理提供重要的决策依据。因此，研究信息安全评估模型和评估方法，对主机或网络潜在的威胁进行全面评估，并提供全方位的评估报告，给出专业的安全加固建议，对信息系统的安全平稳运行具有重要意义。从技术层面考虑，信息系统保护等级的测评内容应包括物理安全、网络安全、主机安全、应用安全和数据安全五方面[5]。主机作为用户使用最广泛、最频繁的终端系统，对其进行安全评估尤为重要。针对主机安全评估，现有文献虽然已从不同角度分析影响主机安全的因素，进而利用云模型实现了定性概念和定量数据的转换，但是对于主机安全指标的研究还不够深入，同时用传统逆向云算法估算出的超熵会出现虚数，且未对共识度较低的云模型进行修正[6-11]。因此，本文在已有信息系统保护等级测评指标的基础上，拟构建全面的分层次的主机安全评估指标体系，确定指标云模型权重，并采用无确定度逆向云算法避免超熵出现虚数，采用贝叶斯反馈算法对云模型进行校验，以给出客观准确的评价结果。

1 云模型理论基础

设X为用精确数值表示的定量论域，C为X上对应某概念的定性描述，即主机安全评估中的测评语言描述；若对任意的x∈X，都有唯一的y值与之对应，其中y为x关于定性概念C的隶属度，y=C(x),y∈[0,1]，则把点(x,y)在论域X上的分布称为云[12]。用云的3个数字特征描述云分布形态的过程称为云模型，即标度C(Ex,En,He)。其中：Ex表示期望，表征云图中心最高点，是最能代表定性概念的点；En表示熵，是对定性概念的度量，反映概念的模糊性和随机性，熵值越大，概念范围越大；He表示超熵，是对熵的不确定性度量，反映云的厚度，超熵值越大，云越厚，概念共识程度越低。

云发生器有正向和逆向之分。

1.1 正向云发生器算法

输入为：定性概念的3个数字特征Ex，En，He，以及云滴个数N；输出为：N个元素在论域空间的分布。

Step1：生成En为期望，He为方差的随机数En′；

Step2：生成Ex为期望，En′为方差的随机数xi；

Step3：计算yi=exp[-(xi-Ex)2/(2En′2)]；

Step4：得出定性概念的一次云滴量化值(xi,yi)；

Step5：重复Step1-Step4，生成N个云滴，算法结束。

1.2 逆向云发生器算法

输入为：N个云滴样本xi(i=1,2,…,N)；输出为：定性概念的3个数字特征Ex、En和He。

Step3：En=(π/2)1/2×B；

Step4：He=|S2-En2|1/2。

对于边界已知即存在双边约束|Cmin,Cmax|的情况，可以采用指标近似法[13]计算云模型数字特征。其中：Ex=(Cmin+Cmax)/2，En=(Cmax-Cmin)/6，He=k。这里，En依据正态分布的“3En”原则求得，即云滴落在[Ex-3En,Ex+3En]区间的概率为99.7%；k可以根据指标评价的模糊性和随机性进行相应调整。

2 主机安全评估指标及其权重、等级

2.1 安全评估指标

本文在信息系统保护等级测评指标[5]基础之上，对主机安全因素进行深入分析研究，将评估指标划分为下列10个一级指标：操作系统I1，系统文件I2，浏览器I3，进程I4，WEB服务I5，通用服务I6，注册表I7，共享文件I8，驱动I9，应用程序I10。I1包含下列6个二级指标：系统版本及补丁F1，系统危险配置F2，系统口令设置F3，系统审核配置F4，用户危险配置F5，用户组策略配置F6；I2包含下列5个二级指标：文件属性设置F7，文件危险配置F8，文件校验和错误F9，文件长度错误F10，可疑未知文件F11；I3包含下列3个二级指标：浏览器版本F12，浏览器策略设置F13，浏览器升级隐患F14；I4包含下列3个二级指标：进程后门F15，进程木马F16，可疑未知进程F17；I5包含下列3个二级指标：WEB服务漏洞F18，脚本风险F19，服务器危险配置F20；I6包含下列3个二级指标：通用服务版本F21，服务自身漏洞F22，服务危险配置F23；I7包含下列3个二级指标：访问权限设置F24，注册表危险配置F25，启动项设置F26；I8包含下列2个二级指标：Netbios和smb设置F27，共享策略设置F28；I9包含下列3个二级指标：驱动版本扫描F29，驱动自身漏洞F30，驱动危险配置F31；I10包含下列3个二级指标：程序版本及补丁F32，程序自身漏洞F33，程序危险配置F34。

2.2 安全评估指标权重

对于安全评估指标，可采用层次分析(Analytic Hierarchy Process，AHP)法[14-16]，判断低层级指标相较于高层级指标的重要程度，从而构造两两比较的判断矩阵。传统的AHP法依据1-9的标度来确定判断矩阵，重要程度的两两比较经常会受到专家经验和个人主观因素的影响。而云模型用3个数字特征来表征，体现了随机性和模糊性的结合，因此可以改进标度方法，对云模型期望依旧采用1-9的标度方法，而对其熵和超熵的标度方法进行重新定义，定义9种云模型标度(见表1)，最终确定云模型权重。

表1 云模型标度含义Tab. 1 The scale with cloud model

结合专家经验，采用云模型标度方法，可用影响主机系统安全评估等级的一级指标构造两两比较判断矩阵。判断矩阵如下：

本文按照AHP法确定权重，对云模型参数Ex，En和He进行了一致性校验。校验后的一级指标云模型权重W(Ex,En,He)如表2所示。同理，可得二级指标云模型权重W′(Ex,En,He)(见表3)。

表2 一级指标云模型权重Tab. 2 Weight of primary index represented by cloud model

表3 二级指标云模型权重Tab. 3 Weight of secondly index represented by cloud model

续表3 二级指标云模型权重Continued tab. 3 Weight of secondly index represented by cloud model

2.3 主机系统安全评估指标等级

本文利用插件扫描技术计算主机系统安全等级评估指标分值Vi，采用百分制，即0≤Vi≤100，结合专家经验进行打分，对系统安全评估指标等级进行了划分(见表4)。同时，在专家经验的基础上，利用指标近似法计算主机系统安全评估指标等级云模型的参数值(见表5)。

表4 主机系统安全评估指标等级Tab. 4 Level of host system safety evaluation index

表5 主机系统安全评估指标等级云模型的参数值Tab. 5 Cloud model parameter of host system safety evaluation index level

续表5 主机系统安全评估指标等级云模型的参数值Continued tab. 5 Cloud model parameter of host system safety evaluation index level

针对表5中每个等级的Ex，En和He，采用加权平均法可计算主机整个系统安全评估指标等级云模型的参数值。表5中末行给出了四等级的主机整个系统安全评估指标等级云模型参数值。利用正向云算法可构造图1所示的修正前主机系统安全等级标尺隶属云。

图1 修正前主机系统的安全等级标尺隶属云Fig. 1 Membership cloud of host security of uncorrected evaluation

3 贝叶斯反馈云模型

对主机系统的安全等级进行评估时，多个专家会依靠经验对评估指标进行逐项打分，由于评估专家意见可能存在很大的差异，导致云模型评估结论在正态分布的云图上表现为云滴离散程度较大，概念边界模糊不清。因此，可将概率论中的贝叶斯反馈算法引入云模型，对当前的云模型参数进行反馈处理，以得到更加准确合理的云模型[17]。贝叶斯反馈云模型如图2所示。

图2 贝叶斯反馈云模型Fig. 2 Diagram of bayesian feedback cloud model

3.1 用贝叶斯反馈算法修正云模型参数的方法

(2) 将上述置信度1-a以外的云滴删除，并将云模型参数中的超熵He变为原来的95%，利用新的超熵He′，原期望Ex和熵En，生成相同数量的云滴。

3.2 修正后主机系统的安全等级标尺隶属云

本文根据贝叶斯反馈云模型思想，对主机系统安全等级标尺隶属云进行了修正。修正后主机系统的安全等级标尺隶属云如图3所示。其中各等级云模型参数如下：安全云模型(94.500 1, 1.595 7, 0.279 4)，基本安全云模型(79.005 9, 2.798 7, 0.313 3)，不太安全云模型(58.939 8, 2.948 6, 0.325 2)，不安全云模型(24.503 3, 7.106 1, 1.001 0)。

图3 修正后主机系统的安全等级标尺隶属云Fig. 3 Membership cloud of host security of corrected evaluation

修正后云模型的概念虽然还存在一定的随机性和模糊性，但是概念边界基本清晰，云滴离散程度在可接受范围，说明修正后的安全等级云标尺基本能达到共识，在实际的主机系统安全等级评估中具有一定的使用价值。

4 实例分析

为了验证基于贝叶斯反馈的云模型主机安全评估方法的有效性，本文选取一台常用的WEB服务器进行评估。该服务器采用Windows server 2003系统来搭建，仅为学校内部师生员工提供服务。让学校信息中心和计算机学院的10位教师参与本次评估，采用实验室自主开发的主机安全评估系统进行扫描评分。该评估系统采用插件扫描技术，需要评估人员来设置评估策略。由于各位评估者的经验不同，策略设置具有一定的差异性，用系统扫描的评估分值会存在差异。各位评估者通过设置不同的系统扫描策略，对主机系统的34个评估指标进行插件扫描，给出安全评估的分值。此后，可利用逆向云算法求出评估指标等级云模型参数的值。其中，一级指标操作系统I1所属二级指标评估结果如表6所示。

表6 操作系统I1所属二级指标评估结果Tab. 6 Evaluation results of secondly index in the operating system I1

(a) 操作系统评估云 (b) 系统文件评估云 (c) 浏览器评估云 (d) 进程评估云 (e) WEB服务评估云 (f) 通用服务评估云

(g) 注册表评估云 (h) 共享文件评估云 (i) 驱动评估云 (j) 应用程序评估云 (k) 综合评估云 图4 修正前一级指标评估云及综合评估云Fig. 4 Uncorrected primary index evaluation cloud and comprehensive evaluation cloud

对WEB主机系统进行实际评估时，由于不同评估者受不同的主观因素影响，知识经验有一定差异，评估必然存在分歧。从图4可以看出，一级指标评估云和综合评估云的云滴均较分散。这正是由评估者主观因素引起的。为了形成评估的统一认识，得到客观准确的评价结论，本文对云滴进行校验和处理，利用贝叶斯反馈算法对云模型进行了修正。修正后的10个一级指标评估云模型参数的值如下：V1=(84.082 4,3.319 5,0.371 4),V2=(82.442 8,3.584 4,0.501 6),V3=(90.548 6,1.570 2,0.252 3),V4=(91.891 4,1.328 8,0.201 6),V5=(91.992 2,1.475 3,0.300 1),V6=(90.394 6,2.715 3,0.287 0),V7=(91.436 3,1.869 2,0.220 7),V8=(79.540 1,1.919 1,0.358 3),V9=(89.561 0,3.476 5,0.344 7),V10=(89.628 3,2.448 8,0.327 9)。修正后的主机整个系统综合评估云模型参数的值为：V=(86.942 5,2.121 9,0.363 8)。修正后一级指标评估云及综合评估云如图5所示。图5中(a)-(j)为一级指标评估云，(k)为综合评估云。

(a) 操作系统评估云 (b) 系统文件评估云 (c) 浏览器评估云 (d) 进程评估云 (e) WEB服务评估云 (f) 通用服务评估云

(g) 注册表评估云 (h) 共享文件评估云 (i) 驱动评估云 (j) 应用程序评估云 (k) 综合评估云 图5 修正后一级指标评估云及综合评估云Fig. 5 Corrected primary index evaluation cloud and comprehensive evaluation cloud

从图5可以看出，修正后一级指标评估云和综合评估云的云滴均较集中，期望值附近的云滴更加集中，表明经过贝叶斯反馈算法修正的云模型的概念随机性和模糊性均在可接受范围，不同评估者在概念认知上能达成共识，其评价结果更加客观合理。

本文根据文献[18]，利用云模型相似度评价算法进行定性评估，并将一级指标评估云同四等级云标尺对比，发现操作系统I1、系统文件I2和共享文件I8的评估结论为基本安全，其他7个一级指标的评估结论为安全。同理，将主机整个系统评估云同四等级云标尺比对分析，所得定性评估结论为基本安全。

5 结语

本文以信息系统保护等级测评标准为基础，研究主机安全评估指标集时，指标的划分全面合理；将云模型理论运用于指标权重的计算，确定一级指标和二级指标的云模型权重，相较传统指标权重的计算方法，该指标权重用云模型的3个数字特征来表示，没有对指标权重做硬性处理，体现了指标权重的随机性和模糊性；同时，将贝叶斯反馈云模型运用到主机系统安全评估中，利用实践经验对概念、历史认知水平进行反馈修正，体现了定性概念认知程度的动态变化(实际是评估人员获得评价共识)过程，提升了评价的客观性和准确性。因此，基于贝叶斯反馈云模型的主机安全评估方法，评估结果更加客观有效，具有较强的辅助实际决策意义。下一步将研究指标权重动态变化对主机安全评估的影响以及指标云模型权重的修正问题。