1. 引言

作为网络安全态势感知系统的核心，网络安全态势评估技术一直备受关注。近几年，针对传统网络安全态势评估技术存在的缺点，众多改进的网络安全态势评估方法被提出。为了解决网络中多源异构信息导致传统方法评估准确性和效率偏低的问题，引进了层次分析法 [1]、D-S证据理论 [1]、理论直觉模糊集 [2]、聚类分析 [3] 等理论对传统方法进行改进；由于传统基于神经网络的评估方法存在效率低、评估精度不高的问题，引进了人工蜂群算法 [4]、遗传算法 [5] 等算法对其进行改进；鉴于传统评估方法依赖于人工标注或经验的问题，提出了基于深度学习和深度自编码的评估方法 [6] [7]。众多方法解决的问题不同，导致其优缺点不同。网络安全管理人员应该针对不同的应用场景，结合评估方法的优缺点科学选取评估方法。但目前针对众多评估方法还没有一个公认的评价指标和评价模型，对不同的网络安全态势评估方法无法进行分析比较和综合评价，从而导致在应用时难以抉择，实际应用时达不到理想的效果。

为了解决以上问题，本文建立了评价网络安全评估方法的指标，并基于AHP构建了网络安全态势评估方法评价模型，最后通过实例证明了其有效性。

2. 层次分析法AHP介绍

层次分析法 [8] (Analytic Hierarchy Process, AHP)是美国知名的运筹学家、匹兹堡大学教授T. L. Saaty在20世纪70年代提出的一种优化决策的方法。该方法将定性的指标与量化的权值相结合，将问题分为目标、决策准则和具体方案等层次，方便了人们以一个清晰的思路得到最佳的决策方案。定性的指标是层次与层次之间存在着的关联因素，量化的权值表示每一层的各个元素相对于上一层某个元素的重要程度。层次分析法最后用加权求和的方法得到具体方案对最终目标的相对权值，权值的大小即是衡量方案优劣的标准：权值越大，方案越优；反之，权值越小，方案越差。权值的确定可以为人们得到最佳的方案、做出正确的决策提供重要的参考信息，能够避免人的主观因素影响决策结果。

层次分析法的实现主要有4步：

1) 对要素进行分类，建立层次结构模型。一般将要素分为三类：一是目标类，属于决策的结果；二是准则类，是影响决策的定性指标；三是措施类，即实现目标的方案。根据因素的分类将各因素排列于不同层次，自上而下为目标层、准则层和措施层。

2) 建立判断矩阵。决策者依据经验给出各层中每个元素相对于上一层中某个因素的权值，得到相应的判断矩阵，接着进行修正以使判断矩阵达到一致性标准。

3) 计算组合权值。通过加权求和得到措施层每个方案对于目标层的相对权值，进而对各方案的优劣进行确定，使决策者容易做出决策。

3. 网络安全态势评估方法的评价指标分析

自网络安全态势评估提出以来，相关评估方法的提出者便从某些指标验证了所提方法的有效性，但这些指标未统一标准。论文 [1] 为了能够评测多源融合的性能，提出了包括融合算法准确率、误警率等指标；论文 [4] 为了验证其基于人工蜂群优化的神经网络安全态势评估方法的有效性，提出了收敛速度、训练和预测精度、鲁棒性等指标；论文 [6] 主要从效率、准确性、灵活性等指标对比传统网络安全态势评估方法；文献 [9] 在研究JDL模型威胁评估层的过程中，提出了融合准确性、先验知识需求、计算机资源需求、负载、通信带宽和算法性能等参数用于衡量多传感器融合的性能。Sabata和Ornes [10] 提出DIR (Data to Information Ratio)来衡量态势评估，DIR的含义是大量的数据转化为信息的比率，目的是对NSSA处理数据的能力进行衡量。文献 [11] 提出了三个评价指标，分别是态势符合度、态势报警比、时效性，为评测态势评估方法提供客观的评价标准。

通过分析我们发现以上某些评价指标存在共性，比如融合算法准确率、DIR和态势报警比，它们均对网络安全态势评估方法处理海量数据的能力进行评价，对于这些指标，如果同时考虑会造成评价结果偏重于某一方面，因此只需选取其中一个进行考虑。所以，通过研究分析，本文得到的网络安全态势评估方法的评价指标为：时效性，敏感性，态势符合度，具体性，态势报警比。下面对各评价指标的概念进行说明。

时效性：指评估方法满足实时性的程度。根据此指标，可以衡量网络安全态势评估方法是否能够在威胁来临时做出及时响应，从而更好地对网络信息系统安全进行保障。

敏感性：指评估方法在网络受到威胁时反映出来的灵敏程度。根据此指标，可以衡量网络安全态势评估方法是否能够灵敏地感知网络安全的变化，从而准确地对网络安全存在的具体问题进行识别。

态势符合度：指评估方法对当前态势的评估准确程度。根据此指标，可以衡量网络安全态势评估方法是否可以准确地评估网络安全态势，从而准确地判断出网络事件对网络安全态势的影响程度。

具体性：指评估方法对当前态势具体影响因素的感知程度。根据此指标，可以衡量网络安全态势评估方法是否可以在知道网络安全态势的情况下还能得知造成网络安全问题的具体攻击事件类型，从而便于管理员有针对性地采取防御或补救措施。

态势报警比：指评估方法对原始报警的约简程度。通过此指标，可以衡量网络安全态势评估方法是否可以对网络安全态势的影响因素进行约简，从而降低网络管理员的负担。

4. 基于AHP构建网络安全态势评估方法的评价模型

根据层次分析法的实现步骤可知，基于层次分析法从众多网络安全态势评估方法中择优选取最合适的目标方法时，首先需要建立层次结构模型。

本文将目标方法设置为层次分析结构的目标层元素，将本文所提出的网络安全态势评估方法的评价指标设置为层次分析结构的准则层元素，将候选的网络安全态势评估方法设置为层次分析结构的措施层元素，其模型如图1所示。

基于图1所示模型，实现网络安全态势评估方法评价的步骤如下：

第一步：确定措施层。本步骤主要由决策者了解现有网络安全态势评估方法，根据应用场景需求事先确定候选的网络安全态势评估方法，作为评估模型的措施层。

第二步：建立判断矩阵，检验一致性。本步骤主要由决策者依据经验将措施层相对于准则层各个因素的重要程度和准则层相对于目标层的重要程度做两两比较，从而建立判断矩阵。本步骤是网络安全态势评估方法评价模型中的关键步骤，其主要内容有两部分：一是判断矩阵的量化；二是判断矩阵的一致性检验。

为了量化判断矩阵，往往使用文献 [12] 提出的1~9标度，见表1。

而检验判断矩阵一致性普遍使用的指标为CR，当CR的值低于0.1，则判断矩阵已经达到了一致性的要求；当CR的值等于或高于0.1，则判断矩阵还不满足一致性的要求，需要继续进行修正。CR的计算公式为：

$CR=\frac{CI}{RI},CI=\frac{{\lambda }_{\max }-n}{n-1}$

其中， ${\lambda }_{\max }$ 是判断矩阵的最大特征值，n是判断矩阵的维度，RI可以通过查询表2获取。

第三步：计算措施层评估方法 分别相对于准则层的权重 $W_{ip}$ 和准则层相对于目标层的权重 $W_{pt}$。权重计算方法为：判断矩阵的特征向量即为所求权重的值。

第四步：组合计算措施层相对于目标层的权重 $W$，确定要选取的目标方法。其具体计算公式为：

$W=\left[W_{1p},W_{2p},\cdots ,W_{np}\right]\left[W_{pt}\right]$

其中， $W_{1p},W_{2p},\cdots ,W_{np}$ 和 $W_{pt}$ 都是以权重的列向量形式存在。

5. 实例分析

运用本文所构建的网络安全态势评估方法评价模型，对论文 [2]、论文 [7] 和论文 [13] 所提的三种方法进行评价，层次结构如图2所示。

决策者根据表1定义的标度，建立判断矩阵见表3~8。

运用python编写代码，仿真以上层次模型，运行结果如图3所示。

从图3可以看出，各判断矩阵满足一致性检验，通过计算可以得到评估方法相对于目标方法的权重为[0.54698289, 0.29994409, 0.15307302]。因此，此时根据决策者的需求，应该选择基于直觉模糊集的网络安全态势评估方法。

从实例结果可以看出，相对于传统网络安全态势评估致力于研究改进算法或提出新评估方法的现象，本文提出的评价模型可以为网络安全评估方法使用者在应用层面提供决策辅助，能够基于现有评估方法加以科学利用，使理论向实际应用过渡富有针对性，更加合理化。

6. 总结

本文针对目前网络安全态势评估方法多、评价标准不统一，从而导致评估方法选用困难的问题，通过综合分析现有网络安全态势评估方法评价指标得出了5个普适性指标，运用层次分析法构建了网络安全态势评估方法的评价模型，并用实例证明了其可行性，具有一定的应用价值。

参考文献