CN102932337A - 一种网络安全状态预测方法 - Google Patents

Abstract

本发明属于网络安全技术领域，特别是一种网络安全状态预测方法。本发明步骤：构造网络可能处于的所有安全状态的集合；获取网络的历史和当前的外部威胁状况、内部威胁状况、网络性能状况和整体安全状态的评估值、评定等级和变化趋势，构造下一时刻安全状态的影响的四类证据体，确定四类证据体中下一时刻网络处于各类安全状态的概率分配；利用合成规则对四类证据体进行融合，确定下一时刻网络处于各类安全状态的新的概率分配，确定下一时刻网络处于各类安全状态的可信度区间。利用这种方法进行网络安全状态预测，综合了历史和当前网络安全状况，预测过程更加符合实际，提升了预测结果的指导意义。

Description

一种网络安全状态预测方法

技术领域

本发明属于网络安全技术领域，特别是一种网络安全状态预测方法。

背景技术

网络是信息时代的产物，几乎覆盖了世界上所有重要领域。随着网络规模的不断扩大，网络攻击破坏行为日益频繁，网络安全形势日趋严峻。为形成网络安全主动防护能力，在掌握当前网络安全状态的前提下，需要预测网络安全状态。

网络安全状态预测技术通过对历史和当前的网络各方面安全状态对于下一时刻网络安全状态的不同影响进行融合分析，实现对网络安全状态的及时预测，为网络安全防护的辅助决策、指挥控制、具体实施提供指导。

目前开展网络安全状态预测研究主要有两条思路：一是预测网络安全事件，结合事件的威胁程度，分析未来网络安全状态；二是采用数学方法或模型，从历史网络安全状态中挖掘变化规律，用来预测未来网络安全状态。但目前的研究还存在以下不足：

未充分考虑网络实际情况以及历史网络安全状态对未来安全状态的影响；

预测过程大部分采用纯粹的数学方法，理解性不强。

预测结果过于绝对，缺乏根据性，对于网络安全防护难以起到指导作用。

发明内容

本发明就是为了解决上述问题，提出一种网络安全状态预测方法，将历史和当前的网络各方面安全状况作为下一时刻网络安全状态的影响因素，利用证据理论对各类因素对未来网络安全状态的不同影响进行融合，降低不确定性，完成网络安全状态预测，同时预测过程更加符合人类思维，增强了预测结果的理解性，提升了预测结果对于网络安全防护的实际指导意义。

本发明结合网络的特点，把影响未来网络安全状态的因素分为四类：当前和历史的外部威胁状况、内部威胁状况、网络性能状况、整体安全状态。

外部威胁状况主要基于所有入侵信息评估得出，是网络所受到的外部攻击或威胁的整体状况。

内部威胁状况主要基于漏洞信息和病毒信息评估得出，是网络内部存在的安全问题的总体情况。

网络性能状况主要基于网络的状态信息和各类性能信息评估得出，是网络各方面性能的综合状况。

整体安全状态基于有效入侵信息、漏洞信息、病毒信息、状态信息和各类性能信息评估得出，是网络整体安全状况的反映。

本发明方法的流程如图1所示。

本发明方法的具体步骤如下：

步骤1：构造网络可能处于的所有安全状态的集合；

步骤2：获取网络的历史和当前的外部威胁状况、内部威胁状况、网络性能状况和整体安全状态的评估值和评定等级；

步骤3：分析出一段时间内网络的外部威胁状况、网络性能状况和整体安全状态的变化趋势；

步骤4：基于网络当前外部威胁状况及其变化趋势，构造外部威胁状况对下一时刻安全状态的影响的证据体；基于网络当前内部威胁状况，构造内部威胁状况对下一时刻安全状态的影响的证据体；基于网络当前性能状况及其变化趋势，构造网络性能状况对下一时刻安全状态的影响的证据体；基于网络当前整体安全状态及其变化趋势，构造整体安全状态对下一时刻安全状态的影响的证据体；确定四类证据体中下一时刻网络处于各类安全状态的概率分配；

步骤5：利用合成规则对四类证据体进行融合，确定下一时刻网络处于各类安全状态的新的概率分配；

步骤6：确定下一时刻网络处于各类安全状态的可信度区间。

具体的，所述的一种网络安全状态预测方法，其特征在于步骤如下：

步骤1：构造网络可能处于的所有安全状态的集合；

网络可能处于的所有安全状态包括：安全、危险、未知，构造集合：

P={S₁,S₂,S₃}

其中，P表示网络可能处于的所有安全状态集合，S₁表示网络处于安全状态，S₂表示网络处于危险状态，S₃表示网络处未知状态；

步骤2：获取网络的历史和当前的外部威胁状况、内部威胁状况、网络性能状况和整体安全状态的评估值和评定等级；

从现有技术获得网络的历史和当前的安全状态的评估值，包括四个方面：外部威胁状况、内部威胁状况、网络性能状态以及整体安全状态相应的评定等级：高、中、低；

步骤3：分析出一段时间内网络的外部威胁状况、网络性能状况和整体安全状态的变化趋势；

依据历史和当前的外部威胁状况、网络性能状况和整体安全状态的评估值，分析出其整体变化趋势：增大或减小；

步骤4：基于网络当前外部威胁状况及其变化趋势，构造外部威胁状况对下一时刻网络安全状态的影响的证据体；基于网络当前内部威胁状况，构造内部威胁状况对下一时刻网络安全状态的影响的证据体；基于网络当前性能状况及其变化趋势，构造网络性能状况对下一时刻网络安全状态的影响的证据体；基于网络当前整体安全状态及其变化趋势，构造整体安全状态对下一时刻网络安全状态的影响的证据体；确定四类证据体中下一时刻网络处于各类安全状态的概率分配；

基于网络当前外部威胁状况及其整体变化趋势，构造外部威胁状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率：

E_OTH=(m_OTH(S₁),m_OTH(S₂),m_OTH(S₃))

其中，E_OTH是外部威胁状况对下一时刻网络安全状态的影响的证据体，m_OTH(S₁)是由外部威胁状况预测出的下一时刻网络处于安全状态的概率，m_OTH(S₂)是由外部威胁状况预测出的下一时刻网络处于危险状态的概率，m_OTH(S₃)是由外部威胁状况预测出的下一时刻网络处于未知状态的概率，

基于网络当前内部威胁状况，由于内部威胁状况基于漏洞信息和病毒信息评估得出，是相对稳定的数值，因此不考虑其变化趋势，造内部威胁状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率：

E_ITH=(m_ITH(S₁),m_ITH(S₂),m_ITH(S₃))

其中，E_ITH是内部威胁状况对下一时刻网络安全状态的影响的证据体，m_ITH(S₁)是由内部威胁状况预测出的下一时刻网络处于安全状态的概率，m_ITH(S₂)是由内部威胁状况预测出的下一时刻网络处于危险状态的概率，m_ITH(S₃)是由内部威胁状况预测出的下一时刻网络处于未知状态的概率，

基于网络当前性能状况及其整体变化趋势，构造网络性能状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率：

E_CAP=(m_CAP(S₁),m_CAP(S₂),m_CAP(S₃))

其中，E_CAP是网络性能状况对下一时刻网络安全状态的影响的证据体，m_CAP(S₁)是由网络性能状况预测出的下一时刻网络处于安全状态的概率，m_CAP(S₂)是由网络性能状况预测出的下一时刻网络处于危险状态的概率，m_CAP(S₃)是由网络性能状况预测出的下一时刻网络处于未知状态的概率，

基于网络当前整体安全状态及其整体变化趋势，构造网络整体安全状态对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率：

E_WHO=(m_WHO(S₁),m_WHO(S₂),m_WHO(S₃))

其中，E_WHO是整体安全状态对下一时刻网络安全状态的影响的证据体，m_WHO(S₁)是由整体安全状态预测出的下一时刻网络处于安全状态的概率，m_WHO(S₂)是由整体安全状态预测出的下一时刻网络处于危险状态的概率，m_WHO(S₃)是由整体安全状态预测出的下一时刻网络处于未知状态的概率，

构造四类用于网络安全态势预测的证据体，并依据各类证据体的概率分配方案确定各类安全状态的概率分配：

步骤5：利用合成规则对四类证据体进行融合，确定下一时刻网络处于各类安全状态的新的概率分配；

对四类证据体进行融合，得出新的下一时刻网络安全状态概率分配：

$E=E_{OTH}\⊕E_{ITH}\⊕E_{CAP}\⊕E_{WHO}$

其中，

是两个证据体的融合运算符号，融合运算不分先后，与加法、乘法运算类似，E是下一时刻网络处于各类安全状态的新的概率分配，E_OTH是外部威胁状况对下一时刻网络安全状态的影响的证据体，E_ITH是内部威胁状况对下一时刻网络安全状态的影响的证据体，E_CAP是网络性能状况对下一时刻网络安全状态的影响的证据体，E_WHO是整体安全状态对下一时刻网络安全状态的影响的证据体；

对于步骤4中构造的四类证据体，不妨首先融合E_OTH、E_ITH，得出

$E_1=E_{OTH}\⊕E_{ITH}=\left(m_1\left(S_1\right),m_1\left(S_2\right),m_1\left(S_3\right)\right)$

$m_1\left(S_1\right)=\frac{m_{OTH}\left(S_1\right)?m_{ITH}\left(S_1\right)+m_{OTH}\left(S_3\right)?m_{ITH}\left(S_1\right)+m_{OTH}\left(S_1\right)?m_{ITH}\left(S_3\right)}{1?m_{OTH}\left(S_1\right)?m_{ITH}\left(S_2\right)?m_{OTH}\left(S_2\right)?m_{ITH}\left(S_1\right)}$

$m_1\left(S_2\right)=\frac{m_{OTH}\left(S_2\right)?m_{ITH}\left(S_2\right)+m_{OTH}\left(S_3\right)?m_{ITH}\left(S_2\right)+m_{OTH}\left(S_2\right)?m_{ITH}\left(S_3\right)}{1?m_{OTH}\left(S_1\right)?m_{ITH}\left(S_2\right)?m_{OTH}\left(S_2\right)?m_{ITH}\left(S_1\right)}$

$m_1\left(S_3\right)=\frac{m_{OTH}\left(S_3\right)?m_{ITH}\left(S_3\right)}{1?m_{OTH}\left(S_1\right)?m_{ITH}\left(S_2\right)?m_{OTH}\left(S_2\right)?m_{ITH}\left(S_1\right)}$

其中，*是乘法运算符号，E₁是外部威胁状况与内部威胁状况对下一时刻安全状态的影响的证据体融合成的新的证据体，m₁(S₁)、m₁(S₂)、m₁(S₃)分别表示新证据体中下一时刻网络处于安全、危险、未知状态的概率；

同理，融合E₁、E_CAP，得出

$E_2=E_1\⊕E_{CAP}=\left(m_2\left(S_1\right),m_2\left(S_2\right),m_2\left(S_3\right)\right)$

$m_2\left(S_1\right)=\frac{m_1\left(S_1\right)?m_{CAP}\left(S_1\right)+m_1\left(S_3\right)?m_{CAP}\left(S_1\right)+m_1\left(S_1\right)?m_{CAP}\left(S_3\right)}{1?m_1\left(S_1\right)?m_{CAP}\left(S_2\right)?m_1\left(S_2\right)?m_{CAP}\left(S_1\right)}$

$m_2\left(S_2\right)=\frac{m_1\left(S_2\right)?m_{CAP}\left(S_2\right)+m_1\left(S_3\right)?m_{CAP}\left(S_2\right)+m_1\left(S_2\right)?m_{{}_{CAP}}\left(S_3\right)}{1?m_1\left(S_1\right)?m_{CAP}\left(S_2\right)?m_1\left(S_2\right)?m_{CAP}\left(S_1\right)}$

$m_2\left(S_3\right)=\frac{m_1\left(S_3\right)?m_{CAP}\left(S_3\right)}{1?m_1\left(S_1\right)?m_{CAP}\left(S_2\right)?m_1\left(S_2\right)?m_{CAP}\left(S_1\right)}$

其中，E₂是外部威胁状况、内部威胁状况及网络性能状况对下一时刻安全状态的影响的证据体融合成的新的证据体，m₂(S₁)、m₂(S₂)、m₂(S₃)分别表示新证据体中下一时刻网络处于安全、危险、未知状态的概率；

融合E₂、E_WHO，得出

$E=E_2\⊕E_{WHO}=\left(m\left(S_1\right),m\left(S_2\right),m\left(S_3\right)\right)$

$m\left(S_1\right)=\frac{m_2\left(S_1\right)?m_{WHO}\left(S_1\right)+m_2\left(S_3\right)?m_{WHO}\left(S_1\right)+m_2\left(S_1\right)?m_{WHO}\left(S_3\right)}{1?m_2\left(S_1\right)?m_{WHO}\left(S_2\right)?m_2\left(S_2\right)?m_{WHO}\left(S_1\right)}$

$m\left(S_2\right)=\frac{m_2\left(S_2\right)?m_{WHO}\left(S_2\right)+m_2\left(S_3\right)?m_{WHO}\left(S_2\right)+m_2\left(S_2\right)?m_{\mathrm{WHO}}\left(S_3\right)}{1?m_2\left(S_1\right)?m_{WHO}\left(S_2\right)?m_2\left(S_2\right)?m_{WHO}\left(S_1\right)}$

$m\left(S_3\right)=\frac{m_2\left(S_3\right)?m_{WHO}\left(S_3\right)}{1?m_2\left(S_1\right)?m_{WHO}\left(S_2\right)?m_2\left(S_2\right)?m_{WHO}\left(S_1\right)}$

其中，E是融合四类证据体后下一时刻网络处于各类安全状态的新的概率分配，m(S₁)、m(S₂)、m(S₃)分别表示新证据体中下一时刻网络处于安全、危险、未知状态的概率；

步骤6：确定下一时刻网络处于各类安全状态的可信度区间；

根据获得的新的网络处于各类安全状态的概率，确定下一时刻网络处于安全状态的可信度区间为[m(S₁),m(S₁)+m(S₃)]，下一时刻网络处于危险状态的可信度区间为[m(S₂),m(S₂)+m(S₃)]。

进一步，步骤4中：

外部威胁状况对下一时刻网络安全状态的影响的证据体中各类安全状态概率分配方案如下表所示。

外部威胁状况证据体各类安全状态概率分配

进一步，步骤4中：

内部威胁状况对下一时刻网络安全状态的影响的证据体中各类安全状态概率分配方案如下所示：

内部威胁状况证据体各类安全状态概率分配

进一步，步骤4中：

整体安全状态对下一时刻网络安全状态的影响的证据体中各类安全状态概率分配方案如下所示：

整体安全状态证据体各类安全状态概率分配

进一步，步骤4中：

网络性能状况对下一时刻网络安全状态的影响的证据体中各类安全状态概率分配方案如下所示：

网络性能状况证据体各类安全状态概率分配

本发明可以基于历史和当前网络安全状态进行下一时刻网络安全状态预测，首先确定网络的历史和当前的外部威胁状况、内部威胁状况、网络性能状况、整体安全状态对下一时刻网络安全状态的不同影响，然后利用合成规则对这些影响进行融合，得到下一时刻网络处于各类安全状态的概率分配。利用这种方法进行网络安全状态预测，综合了历史和当前网络安全状况，预测过程更加符合实际，符合人类思维，最终得到的预测结果易于理解，提升了预测结果的指导意义。

附图说明

图1本发明流程图。

具体实施方式

下面结合流程图，对优选实施例作详细说明，应该强调的是，下述说明仅仅是示例性的，而不是为了限制本发明的范围及其应用。

步骤1：构造网络可能处于的所有安全状态的集合。

网络可能处于的所有安全状态包括：安全、危险、未知，构造集合：

P={S₁,S₂,S₃}

其中，P表示网络可能处于的所有安全状态集合，S₁表示网络处于安全状态，S₂表示网络处于危险状态，S₃表示网络处未知状态。

步骤2：获取网络的历史和当前的外部威胁状况、内部威胁状况、网络性能状况和整体安全状态的评估值和评定等级。

从其他途径获得网络的历史和当前的安全状态的评估值，包括四个方面：外部威胁状况、内部威胁状况、网络性能状态以及整体安全状态。如申请号为201110443114.X，公开号为CN102624696A的专利,其中提出的一种网络安全态势评估方法可以获得网络各方面安全状态的评估值以及相应的评定等级（高、中、低）。

假设经过网络安全态势评估，得出当前网络各方面安全状态的评估结果为：外部威胁状况为高、内部威胁状况为中、网络性能状况为高、整体安全状态为高；

步骤3：分析出一段时间内网络的外部威胁状况、网络性能状况和整体安全状态的变化趋势。

依据历史和当前的外部威胁状况、网络性能状况和整体安全状态的评估值，分析出其整体变化趋势（增大或减小）。

假设结合历史网络安全态势评估结果，分析出近期外部威胁状况整体变化趋势为增大，近期网络性能状况整体变化趋势为增大，近期整体安全状态变化趋势为减小。

步骤4：基于网络当前外部威胁状况及其变化趋势，构造外部威胁状况对下一时刻网络安全状态的影响的证据体；基于网络当前内部威胁状况，构造内部威胁状况对下一时刻网络安全状态的影响的证据体；基于网络当前性能状况及其变化趋势，构造网络性能状况对下一时刻网络安全状态的影响的证据体；基于网络当前整体安全状态及其变化趋势，构造整体安全状态对下一时刻网络安全状态的影响的证据体；确定四类证据体中下一时刻网络处于各类安全状态的概率分配。

基于网络当前外部威胁状况及其整体变化趋势，构造外部威胁状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率：

E_OTH=(m_OTH(S₁),m_OTH(S₂),m_OTH(S₃))

其中，E_OTH是外部威胁状况对下一时刻网络安全状态的影响的证据体，m_OTH(S₁)是由外部威胁状况预测出的下一时刻网络处于安全状态的概率，m_OTH(S₂)是由外部威胁状况预测出的下一时刻网络处于危险状态的概率，m_OTH(S₃)是由外部威胁状况预测出的下一时刻网络处于未知状态的概率，外部威胁状况对下一时刻网络安全状态的影响的证据体中各类安全状态概率分配方案如下表所示。

外部威胁状况证据体各类安全状态概率分配

基于网络当前内部威胁状况（由于内部威胁状况基于漏洞信息和病毒信息评估得出，是相对稳定的数值，因此不考虑其变化趋势），构造内部威胁状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率：

E_ITH=(m_ITH(S₁),m_ITH(S₂),m_ITH(S₃))

其中，E_ITH是内部威胁状况对下一时刻网络安全状态的影响的证据体，m_ITH(S₁)是由内部威胁状况预测出的下一时刻网络处于安全状态的概率，m_ITH(S₂)是由内部威胁状况预测出的下一时刻网络处于危险状态的概率，m_ITH(S₃)是由内部威胁状况预测出的下一时刻网络处于未知状态的概率，内部威胁状况对下一时刻网络安全状态的影响的证据体中各类安全状态概率分配方案如下表所示。

内部威胁状况证据体各类安全状态概率分配

基于网络当前性能状况及其整体变化趋势，构造网络性能状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率：

E_CAP=(m_CAP(S₁),m_CAP(S₂),m_CAP(S₃))

其中，E_CAP是网络性能状况对下一时刻网络安全状态的影响的证据体，m_CAP(S₁)是由网络性能状况预测出的下一时刻网络处于安全状态的概率，m_CAP(S₂)是由网络性能状况预测出的下一时刻网络处于危险状态的概率，m_CAP(S₃)是由网络性能状况预测出的下一时刻网络处于未知状态的概率，网络性能状况对下一时刻网络安全状态的影响的证据体中各类安全状态概率分配方案如下表所示。

网络性能状况证据体各类安全状态概率分配

基于网络当前整体安全状态及其整体变化趋势，构造网络整体安全状态对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率：

E_WHO=(m_WHO(S₁),m_WHO(S₂),m_WHO(S₃))

其中，E_WHO是整体安全状态对下一时刻网络安全状态的影响的证据体，m_WHO(S₁)是由整体安全状态预测出的下一时刻网络处于安全状态的概率，m_WHO(S₂)是由整体安全状态预测出的下一时刻网络处于危险状态的概率，m_WHO(S₃)是由整体安全状态预测出的下一时刻网络处于未知状态的概率，整体安全状态对下一时刻网络安全状态的影响的证据体中各类安全状态概率分配方案如下表所示。

整体安全状态证据体各类安全状态概率分配

依照步骤2、3中的假设，构造四类用于网络安全态势预测的证据体，并依据各类证据体的概率分配方案确定各类安全状态的概率分配：

E_OTH=(0.2,0.5,0.3)

E_ITH=(0.3,0.3,0.4)

E_CAP=(0.2,0.6,0.2)

E_WHO=(0.3,0.4,0.3)

步骤5：利用合成规则对四类证据体进行融合，确定下一时刻网络处于各类安全状态的新的概率分配。

对四类证据体进行融合，得出新的下一时刻网络安全状态概率分配：

$E=E_{OTH}\⊕E_{ITH}\⊕E_{CAP}\⊕E_{WHO}$

其中，

是两个证据体的融合运算符号（融合运算不分先后，与加法、乘法运算类似），E是下一时刻网络处于各类安全状态的新的概率分配，E_OTH是外部威胁状况对下一时刻网络安全状态的影响的证据体，E_ITH是内部威胁状况对下一时刻网络安全状态的影响的证据体，E_CAP是网络性能状况对下一时刻网络安全状态的影响的证据体，E_WHO是整体安全状态对下一时刻网络安全状态的影响的证据体。

对于步骤4中构造的四类证据体，不妨首先融合E_OTH、E_ITH，得出

$E_1=E_{OTH}\⊕E_{ITH}=\left(m_1\left(S_1\right),m_1\left(S_2\right),m_1\left(S_3\right)\right)$

$m_1\left(S_1\right)=\frac{m_{OTH}\left(S_1\right)?m_{ITH}\left(S_1\right)+m_{OTH}\left(S_3\right)?m_{ITH}\left(S_1\right)+m_{OTH}\left(S_1\right)?m_{ITH}\left(S_3\right)}{1?m_{OTH}\left(S_1\right)?m_{ITH}\left(S_2\right)?m_{OTH}\left(S_2\right)?m_{ITH}\left(S_1\right)}=\frac{0.2?0.3+0.3?0.3+0.2?0.4}{1?0.2?0.3?0.5?0.3}\≈0.291$

$m_1\left(S_2\right)=\frac{m_{OTH}\left(S_2\right)?m_{ITH}\left(S_2\right)+m_{OTH}\left(S_3\right)?m_{ITH}\left(S_2\right)+m_{OTH}\left(S_2\right)?m_{ITH}\left(S_3\right)}{1?m_{OTH}\left(S_1\right)?m_{ITH}\left(S_2\right)?m_{OTH}\left(S_2\right)?m_{ITH}\left(S_1\right)}=\frac{0.5?0.3+0.3?0.3+0.5?0.4}{1?0.2?0.3?0.5?0.3}\≈0.557$

$m_1\left(S_3\right)=\frac{m_{OTH}\left(S_3\right)?m_{ITH}\left(S_3\right)}{1?m_{OTH}\left(S_1\right)?m_{ITH}\left(S_2\right)?m_{OTH}\left(S_2\right)?m_{ITH}\left(S_1\right)}=\frac{0.3?0.4}{1?0.2?0.3?0.5?0.3}\≈0.152$

因此，E₁=(m₁(S₁),m₁(S₂),m₁(S₃))=(0.291,0.557,0.152)

其中，*是乘法运算符号，E₁是外部威胁状况与内部威胁状况对下一时刻安全状态的影响的证据体融合成的新的证据体，m₁(S₁)、m₁(S₂)、m₁(S₃)分别表示新证据体中下一时刻网络处于安全、危险、未知状态的概率。

同理，融合E₁、E_CAP，得出

$E_2=E_1\⊕E_{CAP}=\left(m_2\left(S_1\right),m_2\left(S_2\right),m_2\left(S_3\right)\right)$

$m_2\left(S_1\right)=\frac{m_1\left(S_1\right)?m_{CAP}\left(S_1\right)+m_1\left(S_3\right)?m_{CAP}\left(S_1\right)+m_1\left(S_1\right)?m_{CAP}\left(S_3\right)}{1?m_1\left(S_1\right)?m_{CAP}\left(S_2\right)?m_1\left(S_2\right)?m_{CAP}\left(S_1\right)}=\frac{0.291?0.2+0.152?0.2+0.291?0.2}{1?0.291?0.6?0.557?0.2}\≈0.206$

$m_2\left(S_2\right)=\frac{m_1\left(S_2\right)?m_{CAP}\left(S_2\right)+m_1\left(S_3\right)?m_{CAP}\left(S_2\right)+m_1\left(S_2\right)?m_{{}_{CAP}}\left(S_3\right)}{1?m_1\left(S_1\right)?m_{CAP}\left(S_2\right)?m_1\left(S_2\right)?m_{CAP}\left(S_1\right)}=\frac{0.557?0.6+0.152?0.6+0.557?0.2}{1?0.291?0.6?0.557?0.2}\≈0.752$

$m_2\left(S_3\right)=\frac{m_1\left(S_3\right)?m_{CAP}\left(S_3\right)}{1?m_1\left(S_1\right)?m_{CAP}\left(S_2\right)?m_1\left(S_2\right)?m_{CAP}\left(S_1\right)}=\frac{0.152?0.2}{1?0.291?0.6?0.557?0.2}\≈0.042$

因此，E₂=(m₂(S₁),m₂(S₂),m₂(S₃))=(0.206,0.752,0.042)

其中，E₂是外部威胁状况、内部威胁状况及网络性能状况对下一时刻安全状态的影响的证据体融合成的新的证据体，m₂(S₁)、m₂(S₂)、m₂(S₃)分别表示新证据体中下一时刻网络处于安全、危险、未知状态的概率。

融合E₂、E_WHO，得出

$E=E_2\⊕E_{WHO}=\left(m\left(S_1\right),m\left(S_2\right),m\left(S_3\right)\right)$

$m\left(S_1\right)=\frac{m_2\left(S_1\right)?m_{WHO}\left(S_1\right)+m_2\left(S_3\right)?m_{WHO}\left(S_1\right)+m_2\left(S_1\right)?m_{WHO}\left(S_3\right)}{1?m_2\left(S_1\right)?m_{WHO}\left(S_2\right)?m_2\left(S_2\right)?m_{WHO}\left(S_1\right)}=\frac{0.206?0.3+0.042?0.3+0.206?0.3}{1?0.206?0.4?0.752?0.3}\≈0.197$

$m\left(S_2\right)=\frac{m_2\left(S_2\right)?m_{WHO}\left(S_2\right)+m_2\left(S_3\right)?m_{WHO}\left(S_2\right)+m_2\left(S_2\right)?m_{\mathrm{WHO}}\left(S_3\right)}{1?m_2\left(S_1\right)?m_{WHO}\left(S_2\right)?m_2\left(S_2\right)?m_{WHO}\left(S_1\right)}=\frac{0.752?0.4+0.042?0.4+0.752?0.3}{1?0.206?0.4?0.752?0.3}\≈0.785$

$m\left(S_3\right)=\frac{m_2\left(S_3\right)?m_{WHO}\left(S_3\right)}{1?m_2\left(S_1\right)?m_{WHO}\left(S_2\right)?m_2\left(S_2\right)?m_{WHO}\left(S_1\right)}=\frac{0.042?0.3}{1?0.206?0.4?0.752?0.3}\≈0.018$

因此，E=(m(S₁),m(S₂),m(S₃))=(0.197,0.785,0.018)

其中，E是融合四类证据体后下一时刻网络处于各类安全状态的新的概率分配，m(S₁)、m(S₂)、m(S₃)分别表示新证据体中下一时刻网络处于安全、危险、未知状态的概率。

步骤6：确定下一时刻网络处于各类安全状态的可信度区间。

根据获得的新的网络处于各类安全状态的概率，确定下一时刻网络处于安全状态的可信度区间为[m(S₁),m(S₁)+m(S₃)]，下一时刻网络处于危险状态的可信度区间为[m(S₂),m(S₂)+m(S₃)]。

根据步骤5中融合后的网络处于各类安全状态的概率，下一时刻网络处于安全状态的可信度区间为[0.197,0.215]，下一时刻网络处于危险状态的可信度区间为[0.785,0.803]。

因此，网络下一时刻处于危险状态的概率远大于处于安全状态的概率，需要立即发出预警，采取相关网络安全预防措施。

本网络安全状态预测方法最终得出的预测结果是下一时刻网络处于各类安全状态的概率，避免了对网络安全状态的绝对预测，对于网络安全防护的辅助决策、指挥控制、具体实施更加具有指导价值。

Claims (4)

1.一种网络安全状态预测方法，其特征在于步骤如下：

步骤1：构造网络可能处于的所有安全状态的集合；

步骤2：获取网络的历史和当前的外部威胁状况、内部威胁状况、网络性能状况和整体安全状态的评估值和评定等级；

步骤3：分析出一段时间内网络的外部威胁状况、网络性能状况和整体安全状态的变化趋势；

步骤4：基于网络当前外部威胁状况及其变化趋势，构造外部威胁状况对下一时刻安全状态的影响的证据体；基于网络当前内部威胁状况，构造内部威胁状况对下一时刻安全状态的影响的证据体；基于网络当前性能状况及其变化趋势，构造网络性能状况对下一时刻安全状态的影响的证据体；基于网络当前整体安全状态及其变化趋势，构造整体安全状态对下一时刻安全状态的影响的证据体；确定四类证据体中下一时刻网络处于各类安全状态的概率分配；

步骤5：利用合成规则对四类证据体进行融合，确定下一时刻网络处于各类安全状态的新的概率分配；

步骤6：确定下一时刻网络处于各类安全状态的可信度区间。

2.根据权利要求1所述的一种网络安全状态预测方法，其特征在于步骤如下：

步骤1：构造网络可能处于的所有安全状态的集合；

网络可能处于的所有安全状态包括：安全、危险、未知，构造集合：

P={S₁,S₂,S₃}

其中，P表示网络可能处于的所有安全状态集合，S₁表示网络处于安全状态，S₂表示网络处于危险状态，S₃表示网络处未知状态；

步骤2：获取网络的历史和当前的外部威胁状况、内部威胁状况、网络性能状况和整体安全状态的评估值和评定等级；

从现有技术获得网络的历史和当前的安全状态的评估值，包括四个方面：外部威胁状况、内部威胁状况、网络性能状态以及整体安全状态相应的评定等级：高、中、低；

步骤3：分析出一段时间内网络的外部威胁状况、网络性能状况和整体安全状态的变化趋势；

依据历史和当前的外部威胁状况、网络性能状况和整体安全状态的评估值，分析出其整体变化趋势：增大或减小；

步骤4：基于网络当前外部威胁状况及其变化趋势，构造外部威胁状况对下一时刻网络安全状态的影响的证据体；基于网络当前内部威胁状况，构造内部威胁状况对下一时刻网络安全状态的影响的证据体；基于网络当前性能状况及其变化趋势，构造网络性能状况对下一时刻网络安全状态的影响的证据体；基于网络当前整体安全状态及其变化趋势，构造整体安全状态对下一时刻网络安全状态的影响的证据体；确定四类证据体中下一时刻网络处于各类安全状态的概率分配；

基于网络当前外部威胁状况及其整体变化趋势，构造外部威胁状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率：

E_OTH={m_OTH(S₁),m_OTH(S₂),m_OTH(S₃)}

其中，E_OTH是外部威胁状况对下一时刻网络安全状态的影响的证据体，m_OTH(S₁)是由外部威胁状况预测出的下一时刻网络处于安全状态的概率，m_OTH(S₂)是由外部威胁状况预测出的下一时刻网络处于危险状态的概率，m_OTH(S₃)是由外部威胁状况预测出的下一时刻网络处于未知状态的概率，

基于网络当前内部威胁状况，由于内部威胁状况基于漏洞信息和病毒信息评估得出，是相对稳定的数值，因此不考虑其变化趋势，造内部威胁状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率：

E_ITH={m_ITH(S₁),m_ITH(S₂),m_ITH(S₃)}

其中，E_ITH是内部威胁状况对下一时刻网络安全状态的影响的证据体，m_ITH(S₁)是由内部威胁状况预测出的下一时刻网络处于安全状态的概率，m_ITH(S₂)是由内部威胁状况预测出的下一时刻网络处于危险状态的概率，m_ITH(S₃)是由内部威胁状况预测出的下一时刻网络处于未知状态的概率，

基于网络当前性能状况及其整体变化趋势，构造网络性能状况对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率：

E_CAP={m_CAP(S₁),m_CAP(S₂),m_CAP(S₃)}

其中，E_CAP是网络性能状况对下一时刻网络安全状态的影响的证据体，m_CAP(S₁)是由网络性能状况预测出的下一时刻网络处于安全状态的概率，m_CAP(S₂)是由网络性能状况预测出的下一时刻网络处于危险状态的概率，m_CAP(S₃)是由网络性能状况预测出的下一时刻网络处于未知状态的概率，

基于网络当前整体安全状态及其整体变化趋势，构造网络整体安全状态对下一时刻网络安全状态的影响的证据体，并确定其中网络处于各类安全状态的概率：

E_WHO={m_WHO(S₁),m_WHO(S₂),m_WHO(S₃)}

其中，E_WHO是整体安全状态对下一时刻网络安全状态的影响的证据体，m_WHO(S₁)是由整体安全状态预测出的下一时刻网络处于安全状态的概率，m_WHO(S₂)是由整体安全状态预测出的下一时刻网络处于危险状态的概率，m_WHO(S₃)是由整体安全状态预测出的下一时刻网络处于未知状态的概率，

构造四类用于网络安全态势预测的证据体，并依据各类证据体的概率分配方案确定各类安全状态的概率分配：

步骤5：利用合成规则对四类证据体进行融合，确定下一时刻网络处于各类安全状态的新的概率分配；

对四类证据体进行融合，得出新的下一时刻网络安全状态概率分配：

$E=E_{OTH}\⊕E_{ITH}\⊕E_{CAP}\⊕E_{WHO}$

其中，

是两个证据体的融合运算符号，融合运算不分先后，与加法、乘法运算类似，E是下一时刻网络处于各类安全状态的新的概率分配，E_OTH是外部威胁状况对下一时刻网络安全状态的影响的证据体，E_ITH是内部威胁状况对下一时刻网络安全状态的影响的证据体，E_CAP是网络性能状况对下一时刻网络安全状态的影响的证据体，E_WHO是整体安全状态对下一时刻网络安全状态的影响的证据体；

对于步骤4中构造的四类证据体，不妨首先融合E_OTH、E_ITH，得出

$E_1=E_{OTH}\⊕E_{ITH}=\left(m_1\left(S_1\right),m_1\left(S_2\right),m_1\left(S_3\right)\right)$

$m_1\left(S_1\right)=\frac{m_{OTH}\left(S_1\right)?m_{ITH}\left(S_1\right)+m_{OTH}\left(S_3\right)?m_{ITH}\left(S_1\right)+m_{OTH}\left(S_1\right)?m_{ITH}\left(S_3\right)}{1?m_{OTH}\left(S_1\right)?m_{ITH}\left(S_2\right)?m_{OTH}\left(S_2\right)?m_{ITH}\left(S_1\right)}$

$m_1\left(S_2\right)=\frac{m_{OTH}\left(S_2\right)?m_{ITH}\left(S_2\right)+m_{OTH}\left(S_3\right)?m_{ITH}\left(S_2\right)+m_{OTH}\left(S_2\right)?m_{ITH}\left(S_3\right)}{1?m_{OTH}\left(S_1\right)?m_{ITH}\left(S_2\right)?m_{OTH}\left(S_2\right)?m_{ITH}\left(S_1\right)}$

$m_1\left(S_3\right)=\frac{m_{OTH}\left(S_3\right)?m_{ITH}\left(S_3\right)}{1?m_{OTH}\left(S_1\right)?m_{ITH}\left(S_2\right)?m_{OTH}\left(S_2\right)?m_{ITH}\left(S_1\right)}$

其中，*是乘法运算符号，E₁是外部威胁状况与内部威胁状况对下一时刻安全状态的影响的证据体融合成的新的证据体，m₁(S₁)、m₁(S₂)、m₁(S₃)分别表示新证据体中下一时刻网络处于安全、危险、未知状态的概率；

同理，融合E₁、E_CAP，得出

$E_2=E_1\⊕E_{CAP}=\left(m_2\left(S_1\right),m_2\left(S_2\right),m_2\left(S_3\right)\right)$

$m_2\left(S_1\right)=\frac{m_1\left(S_1\right)?m_{CAP}\left(S_1\right)+m_1\left(S_3\right)?m_{CAP}\left(S_1\right)+m_1\left(S_1\right)?m_{CAP}\left(S_3\right)}{1?m_1\left(S_1\right)?m_{CAP}\left(S_2\right)?m_1\left(S_2\right)?m_{CAP}\left(S_1\right)}$

$m_2\left(S_2\right)=\frac{m_1\left(S_2\right)?m_{CAP}\left(S_2\right)+m_1\left(S_3\right)?m_{CAP}\left(S_2\right)+m_1\left(S_2\right)?m_{{}_{CAP}}\left(S_3\right)}{1?m_1\left(S_1\right)?m_{CAP}\left(S_2\right)?m_1\left(S_2\right)?m_{CAP}\left(S_1\right)}$

$m_2\left(S_3\right)=\frac{m_1\left(S_3\right)?m_{CAP}\left(S_3\right)}{1?m_1\left(S_1\right)?m_{CAP}\left(S_2\right)?m_1\left(S_2\right)?m_{CAP}\left(S_1\right)}$

其中，E₂是外部威胁状况、内部威胁状况及网络性能状况对下一时刻安全状态的影响的证据体融合成的新的证据体，m₂(S₁)、m₂(S₂)、m₂(S₃)分别表示新证据体中下一时刻网络处于安全、危险、未知状态的概率；

融合E₂、E_WHO，得出

$E=E_2\⊕E_{WHO}=\left(m\left(S_1\right),m\left(S_2\right),m\left(S_3\right)\right)$

$m\left(S_1\right)=\frac{m_2\left(S_1\right)?m_{WHO}\left(S_1\right)+m_2\left(S_3\right)?m_{WHO}\left(S_1\right)+m_2\left(S_1\right)?m_{WHO}\left(S_3\right)}{1?m_2\left(S_1\right)?m_{WHO}\left(S_2\right)?m_2\left(S_2\right)?m_{WHO}\left(S_1\right)}$

$m\left(S_2\right)=\frac{m_2\left(S_2\right)?m_{WHO}\left(S_2\right)+m_2\left(S_3\right)?m_{WHO}\left(S_2\right)+m_2\left(S_2\right)?m_{{}_{WHO}}\left(S_3\right)}{1?m_2\left(S_1\right)?m_{WHO}\left(S_2\right)?m_2\left(S_2\right)?m_{WHO}\left(S_1\right)}$

$m\left(S_3\right)=\frac{m_2\left(S_3\right)?m_{WHO}\left(S_3\right)}{1?m_2\left(S_1\right)?m_{WHO}\left(S_2\right)?m_2\left(S_2\right)?m_{WHO}\left(S_1\right)}$

其中，E是融合四类证据体后下一时刻网络处于各类安全状态的新的概率分配，m(S₁)、m(S₂)、m(S₃)分别表示新证据体中下一时刻网络处于安全、危险、未知状态的概率；

步骤6：确定下一时刻网络处于各类安全状态的可信度区间；

根据获得的新的网络处于各类安全状态的概率，确定下一时刻网络处于安全状态的可信度区间为[m(S₁),m(S₁)+m(S₃)]，下一时刻网络处于危险状态的可信度区间为[m(S₂),m(S₂)+m(S₃)]。

3.根据权利要求2所述的一种网络安全状态预测方法，其特征在于，步骤4中：

内部威胁状况对下一时刻网络安全状态的影响的证据体中各类安全状态概率分配方案如下所示：

内部威胁状况证据体各类安全状态概率分配

4.根据权利要求2所述的一种网络安全状态预测方法，其特征在于，步骤4中：

整体安全状态对下一时刻网络安全状态的影响的证据体中各类安全状态概率分配方案如下所示：

整体安全状态证据体各类安全状态概率分配

5．根据权利要求2所述的一种网络安全状态预测方法，其特征在于，步骤4中：

网络性能状况对下一时刻网络安全状态的影响的证据体中各类安全状态概率分配方案如下所示：

网络性能状况证据体各类安全状态概率分配

6．根据权利要求2所述的一种网络安全状态预测方法，其特征在于，步骤4中：

外部威胁状况对下一时刻网络安全状态的影响的证据体中各类安全状态概率分配方案如下表所示。

外部威胁状况证据体各类安全状态概率分配

Images