CN112217838A - 一种基于云模型理论的网络攻击面评估方法 - Google Patents

Abstract

本发明涉及一种基于云模型理论的网络攻击面评估方法。该方法：首先，借鉴系统攻击面的三元组体系，根据影响网络攻击面的因素构建了层次型评估指标体系，结合攻击扫描数据定义了基础指标量化方式；其次，通过AHP的判断矩阵和专家经验法，计算各指标权重值，建立各指标和网络攻击面的关联性；最终，通过云模型相关法算法和设定的评语集对各指标及网络攻击面进行量化分析，得到量化值和评估结果。本发明有助于防御者直观了解网络攻击面及其组成元素的危害性大小，能直观判断面向网络攻击的动态防御机制的有效性。

Description

一种基于云模型理论的网络攻击面评估方法

技术领域

本发明涉及网络安全技术领域，特别是一种基于云模型理论的网络攻击面评估方法。

背景技术

网络攻击相比以往呈现出了高频率、速度快、多样化、规模大等特点，面对愈演愈烈的网络攻防情况，传统防御系统如入侵检测、防火墙、漏洞扫描等容易被攻击绕过，显得十分被动。网络攻击可根据攻击目标分为面向数据、面向软件、面向平台、面向网络的攻击，其中面向网络的攻击事件发生频率最高，破坏规模大。在主动防御技术的多个研究方向中，动态防御技术能从机制上彻底改变传统系统防护的脆弱性，提升系统防御性能。

防御能力评估用于判断验证动态防御机制的有效性，评估结果为具体动态防御机制的设计和防御策略选择提供参考与指导，是动态防御技术的一项重要基础支撑技术。通过分析网络攻击面的变化能直观判断面向网络攻击的动态防御机制的有效性。然而，目前关于攻击面的评估研究以定性分析为主，少有的量化研究只对基础指标进行量化，缺乏基础指标和攻击面的关联，未对攻击面量化，而且网络攻击面评估体系的研究少。

综上，本发明本文借鉴系统攻击面的三元组分析法，构建一个层次型的网络攻击面评估体系，提出了基于云模型和层次分析法的网络攻击面评估模型，通过分析网络攻击面的变化能直观判断面向网络攻击的动态防御机制的有效性。

发明内容

本发明的目的在于提供一种基于云模型理论的网络攻击面评估方法，通过分析网络攻击面的变化能直观判断面向网络攻击的动态防御机制的有效性。

为实现上述目的，本发明的技术方案是：一种基于云模型理论的网络攻击面评估方法，包括如下步骤：

步骤S1、确定网络攻击面评估指标体系；

步骤S2、根据扫描数据对基础指标量化，得到待评估基础指标的一维云数字特征；

步骤S3、结合待评估的一维云数字特征和设定好的一维云评语集数字特征，通过相似度计算得到一维云的评估结果；

步骤S4、通过AHP计算评估体系中各层次各指标的权重值；

步骤S5、结合各层次各指标权重值和一维云数字特征，得到待评估的网络攻击面和漏洞、端口、方法攻击面的多维云重心加权偏离度；

步骤S6、结合待评估多维云的加权偏离度和设定好的多维云评语集数字特征，通过隶属度计算得到多维云的评估结果。

在本发明一实施例中，步骤S1中，网络攻击面评估指标体系是根据影响网络攻击面的因素构建的，影响网络攻击面的因素分为三大类：

漏洞攻击面：影响漏洞攻击面的指标有漏洞数量、漏洞评分、高危漏洞，这些指标的变化会影响漏洞攻击面的变化，进而影响网络攻击面的变化；

端口攻击面：影响端口攻击面的指标有服务数量、开放端口，这些指标的变化会影响端口攻击面的变化，进而影响网络攻击面的变化；

方法攻击面：影响方法攻击面的指标有真实IP、访问成功，这些指标的变化会影响方法攻击面的变化，进而影响网络攻击面的变化。

在本发明一实施例中，所述步骤S2具体实现如下：

步骤S21、通过扫描工具获取扫描数据，并根据扫描数据对基础指标量化；

步骤S22、基于步骤S21得到待评估基础指标的一维云数字特征C(Ex,En,He)，Ex表示量化数据的期望值，En表示扫描时间范围内的Ex不确定性度量，即在该时间范围内，En值是有轻微波动的，He是En的不确定性度量，即En和He都是刻画一时间段内Ex值的波动情况，En和He的值越小，则时间段越靠近一具体时刻；因为各指标均是在同一时间段测量的，所以各自的En和He值应设定为同一数值。

在本发明一实施例中，步骤S21中，对基础指标量化如下：

漏洞数量：攻击者通过漏洞扫描工具获取网络拓扑中各主机漏洞数量之和；vul是网络拓扑中扫描到的漏洞数量，S_vul是网络拓扑中存在的漏洞总数，P_vul是vul在S_vul中所占的比例，计算公式如下：

漏洞评分：查询所得的漏洞在CVE漏洞库中有记录；每个漏洞根据CVSS评分标准有各自的评分，评分范围0～10，根据漏洞代码查询其分值，vs是网络拓扑中扫描到漏洞的评分之和，S_vs是网络拓扑中存在的漏洞评分之和，P_vs是vs在S_vs中所占的比例，计算公式如下：

高危漏洞：根据CVSS评分标准，漏洞危险性分为高、中、低三个级别；hrv是网络拓扑中扫描到的高危险性漏洞数量，vul是网络拓扑中扫描到的漏洞数量，P_hrv是hrv在vul中所占的比例，计算公式如下：

服务数量：攻击者通过端口扫描工具获取网络拓扑中各主机使用服务数量之和；ns是网络拓扑中扫描到的各主机服务数量之和，S_ns是网络拓扑中各主机服务数量之和，P_ns是ns在S_ns中所占的比例，计算公式如下：

开放端口：攻击者通过端口扫描工具获取网络拓扑中各主机开放端口数量之和；op是网络拓扑中扫描到的各主机开放端口数量之和，S_op是网络拓扑中各主机开放端口数量之和，P_op是op在S_op中所占的比例，计算公式如下：

真实IP：攻击面通过扫描工具获取网络拓扑中主机真实IP个数；rIP为网络拓扑中扫描所得的真实IP个数，n为网络拓扑中主机个数，也是网络拓扑中真实IP个数，P_rIP是rIP在n中所占的比例，计算公式如下：

访问成功：攻击者尝试与网络中的主机通信时成功访问的主机个数；sa表示访问成功主机个数，n为网络拓扑中主机个数，P_sa是sa在n中所占的比例，计算公式如下：

在本发明一实施例中，所述步骤S3具体实现如下：

步骤S31、采用统一的一维评语集{E，D，C，B，A}，评语从E到A，指标威胁程度上升；

步骤S32、用相似度算法计算各基础指标云和各评语云的相似度，具体如下：

步骤S321、通过正向云发生器，云C和n个比较云C_i各生成N个云滴drop,drop_i,i∈[1,n]；云滴生成公式如下：

En_i'＝norm(En,He²)；x_i＝norm(Ex,En_i'²)

步骤S322、对drop和drop_i进行筛选，只取在各自[Ex-3En,Ex+3En]范围内的云滴，并对筛选后云滴进行升序排序，取drop和drop_i个数的最小值为循环次数，依次进行计算两云滴的归一化距离，公式如下：

结束循环后，再计算云C和比较云C_i的相似度值S_i，计算公式为：

步骤S323、比较云C和各个比较云的Ci的相似度值，得到最相似的云；

步骤S33、根据相似度值得到评估结果。

在本发明一实施例中，所述步骤S4具体实现如下：

步骤S41、依据被分析的复杂问题本质，建立层次化结构模型，从上而下依次是目标层、准则层、方案层；其中目标层在最顶层，最底层的是方案层，中间是准则层，准则层可以有多层；网络攻击面评估指标体系中，网络攻击面是目标层，漏洞、端口、方法是准则层，基础指标是方案层；

步骤S42、根据网络攻击面评估体系和专家经验法构造各层次判断矩阵；

步骤S43、根据各层次判断矩阵计算各层次的权重值，并对3阶矩阵进行一致性检验，一致性检验均通过，得到各层次权重值；

步骤S44、通过相邻上下层次间的权重相乘，能得到各基础指标在目标层中所占的权重。

在本发明一实施例中，步骤S42中，判断矩阵如下：

其中用a_ij表示i对j相比的重要程度，依据Satty的1～9标度法构造判断矩阵，在相邻的层次间，将有关联的下层指标进行两两比较，a_ij＝1表示i与j重要性相同，a_ij＝3表示i比j稍显重要，a_ij＝5表示i比j明显重要，a_ij＝7表示i比j非常重要，a_ij＝9表示i比j绝对重要，a_ij＝2k(k＝1，2，3，4)表示i与j比较，重要性在以上两个相邻标度之间。

在本发明一实施例中，所述步骤S43具体实现如下：

步骤S431、计算各判断矩阵最大特征根λ_max和特征向

步骤S432、对3阶矩阵进行一致性检验，一致性检验是指对A确定不一致的允许范围，因为λ_max≥n，当且仅当λ_max＝n时，A为一致性矩阵，n为特征向量

所对应的特征值，因此λ_max越大，则A的一致性越低，造成的判断误差越大，用λ_max-n大小来衡量A的不一致性程度，定义一致性指标公式如下：

为了衡量CI的大小，引入随机一致性指标RI，将CI和RI进行比较，得到检验系数CR，检验公式如下，若CR≤0.1，则通过一致性检验，否则重新构造检验失败的判断矩阵直到通过一致性检验；

RI与矩阵的阶数有关，只有对3阶及3阶以上的判断矩阵进行一致性检验时采用检验系数评判。

在本发明一实施例中，所述步骤S5具体实现如下：

步骤S51、计算多维云的云重心向量；云重心的定义为T＝Ex×w，T表示云重心，Ex表示组成该多维云的所有一维云的Ex，w表示各一维云在组成该多维云时所占的权重；当权重不变时，所有一维云的Ex取最大值时是正理想状态云重心，所有一维云的Ex取最小值时是负理想状态云重心；n维云的云重心用n维向量

T_i＝Ex_i×w_i表示；设负理想状态下云重心向量为

正理想状态下云重心向量为

将T_i进行归一化处理，得到归一化后云重心向量

归一化公式如下：

步骤S52、通过加权偏离度算法将归一化后的云重心向量处理成一个数值θ，θ值的大小表示和被比较的理想状态偏离程度，其计算公式如下：

在本发明一实施例中，所述步骤S6具体实现如下：

通过X条件云发生器，计算多维云和评语集中各评语云的隶属度；通过加权偏离度计算得到的θ值即为隶属度算法中X条件云发生器的输入x；隶属度计算公式如下：

得到x和各个比较云的隶属度，进行升序排序，计算最大隶属度和次大隶属度的差值，如果差值大于阈值δ选取隶属度最大的云，否则随机选择最大隶属度云和次大隶属度云；得到评估结果。

相较于现有技术，本发明具有以下有益效果：本发明提出了一种基于层次分析法和云模型的网络攻击面的评估方法，该评估体系具有良好的通用性和扩展性，评估结果为防御者直观展示了各指标的威胁程度，并可用于验证防御机制的有效性和计算不同博弈情况下的防御策略有效性。

附图说明

图1为本发明实施例的网络攻击面评估指标体系。

图2为本发明实施例的网络攻击面评估流程图。

具体实施方式

下面结合附图，对本发明的技术方案进行具体说明。

本发明提供了一种基于云模型理论的网络攻击面评估方法，所述方法基于层次分析法和云模型理论，实现了网络攻击面的量化评估。首先，借鉴系统攻击面的三元组体系，根据影响网络攻击面的因素构建了层次型评估指标体系，结合攻击扫描数据定义了基础指标量化方式。其次，通过AHP的判断矩阵和专家经验法，计算各指标权重值，建立各指标和网络攻击面的关联性。最终，通过云模型相关法算法和设定的评语集对各指标及网络攻击面进行量化分析，得到量化值和评估结果。该评估过程具体包括以下步骤：

步骤S1、确定网络攻击面评估指标体系；

步骤S2、根据扫描数据对基础指标量化，得到待评估基础指标的一维云数字特征；

步骤S3、结合待评估的一维云数字特征和设定好的一维云评语集数字特征，通过相似度计算得到一维云的评估结果；

步骤S4、通过AHP计算评估体系中各层次各指标的权重值；

步骤S5、结合各层次各指标权重值和一维云数字特征，得到待评估的网络攻击面和漏洞、端口、方法攻击面的多维云重心加权偏离度；

步骤S6、结合待评估多维云的加权偏离度和设定好的多维云评语集数字特征，通过隶属度计算得到多维云的评估结果。

进一步地，步骤S1中，网络攻击面评估指标体系是根据影响网络攻击面的因素构建的，影响网络攻击面的因素分为三大类：

漏洞攻击面：影响漏洞攻击面的指标有漏洞数量、漏洞评分、高危漏洞，这些指标的变化会影响漏洞攻击面的变化，进而影响网络攻击面的变化；

端口攻击面：影响端口攻击面的指标有服务数量、开放端口，这些指标的变化会影响端口攻击面的变化，进而影响网络攻击面的变化；

方法攻击面：影响方法攻击面的指标有真实IP、访问成功，这些指标的变化会影响方法攻击面的变化，进而影响网络攻击面的变化。

进一步地，步骤S2具体实现如下：

步骤S21、通过扫描工具如nessus、nmap获取扫描数据，并根据扫描数据对基础指标量化；

步骤S22、基于步骤S21得到待评估基础指标的一维云数字特征C(Ex,En,He)，Ex表示量化数据的期望值，En表示扫描时间范围内的Ex不确定性度量，即在该时间范围内，En值是有轻微波动的，He是En的不确定性度量，即En和He都是刻画一时间段内Ex值的波动情况，En和He的值越小，则时间段越靠近一具体时刻；因为各指标均是在同一时间段测量的，所以各自的En和He值应设定为同一数值。

进一步地，步骤S21中，对基础指标量化如下：

漏洞数量：攻击者通过漏洞扫描工具获取网络拓扑中各主机漏洞数量之和；vul是网络拓扑中扫描到的漏洞数量，S_vul是网络拓扑中存在的漏洞总数，P_vul是vul在S_vul中所占的比例，计算公式如下：

漏洞评分：查询所得的漏洞在CVE漏洞库中有记录；每个漏洞根据CVSS评分标准有各自的评分，评分范围0～10，在美国国家漏洞数据库(NVD)中可根据漏洞代码查询其分值，vs是网络拓扑中扫描到漏洞的评分之和，S_vs是网络拓扑中存在的漏洞评分之和，P_vs是vs在S_vs中所占的比例，计算公式如下：

高危漏洞：根据CVSS评分标准，漏洞危险性分为高、中、低三个级别；hrv是网络拓扑中扫描到的高危险性漏洞数量，vul是网络拓扑中扫描到的漏洞数量，P_hrv是hrv在vul中所占的比例，计算公式如下：

服务数量：攻击者通过端口扫描工具获取网络拓扑中各主机使用服务数量之和；ns是网络拓扑中扫描到的各主机服务数量之和，S_ns是网络拓扑中各主机服务数量之和，P_ns是ns在S_ns中所占的比例，计算公式如下：

开放端口：攻击者通过端口扫描工具获取网络拓扑中各主机开放端口数量之和；op是网络拓扑中扫描到的各主机开放端口数量之和，S_op是网络拓扑中各主机开放端口数量之和，P_op是op在S_op中所占的比例，计算公式如下：

真实IP：攻击面通过扫描工具获取网络拓扑中主机真实IP个数；rIP为网络拓扑中扫描所得的真实IP个数，n为网络拓扑中主机个数，也是网络拓扑中真实IP个数，P_rIP是rIP在n中所占的比例，计算公式如下：

访问成功：攻击者尝试与网络中的主机通信时成功访问的主机个数；sa表示访问成功主机个数，n为网络拓扑中主机个数，P_sa是sa在n中所占的比例，计算公式如下：

进一步地，步骤S3具体实现如下：

步骤S31、采用统一的一维评语集{E，D，C，B，A}，评语从E到A，指标威胁程度上升；

步骤S32、用相似度算法计算各基础指标云和各评语云的相似度，具体如下：

步骤S321、通过正向云发生器，云C和n个比较云C_i各生成N个云滴drop,drop_i,i∈[1,n]；云滴生成公式如下：

En_i'＝norm(En,He²)；x_i＝norm(Ex,En_i'²)

步骤S322、对drop和drop_i进行筛选，只取在各自[Ex-3En,Ex+3En]范围内的云滴，并对筛选后云滴进行升序排序，取drop和drop_i个数的最小值为循环次数，依次进行计算两云滴的归一化距离，公式如下：

结束循环后，再计算云C和比较云C_i的相似度值S_i，计算公式为：

步骤S323、比较云C和各个比较云的Ci的相似度值，得到最相似的云；

步骤S33、根据相似度值得到评估结果。

进一步地，步骤S4具体实现如下：

步骤S41、依据被分析的复杂问题本质，建立层次化结构模型，从上而下依次是目标层、准则层、方案层；其中目标层在最顶层，最底层的是方案层，中间是准则层，准则层可以有多层；网络攻击面评估指标体系中，网络攻击面是目标层，漏洞、端口、方法是准则层，基础指标是方案层；

步骤S42、根据网络攻击面评估体系和专家经验法构造各层次判断矩阵；

步骤S43、根据各层次判断矩阵计算各层次的权重值，并对3阶矩阵进行一致性检验，一致性检验均通过，得到各层次权重值；

步骤S44、通过相邻上下层次间的权重相乘，能得到各基础指标在目标层中所占的权重。

进一步地，步骤S42中，判断矩阵如下：

其中用a_ij表示i对j相比的重要程度，依据Satty的1～9标度法构造判断矩阵，在相邻的层次间，将有关联的下层指标进行两两比较，a_ij＝1表示i与j重要性相同，a_ij＝3表示i比j稍显重要，a_ij＝5表示i比j明显重要，a_ij＝7表示i比j非常重要，a_ij＝9表示i比j绝对重要，a_ij＝2k(k＝1，2，3，4)表示i与j比较，重要性在以上两个相邻标度之间。

进一步地，步骤S43具体实现如下：

步骤S431、计算各判断矩阵最大特征根λ_max和特征向

步骤S432、对3阶矩阵进行一致性检验，一致性检验是指对A确定不一致的允许范围，因为λ_max≥n，当且仅当λ_max＝n时，A为一致性矩阵，n为特征向量

所对应的特征值，因此λ_max越大，则A的一致性越低，造成的判断误差越大，用λ_max-n大小来衡量A的不一致性程度，定义一致性指标公式如下：

为了衡量CI的大小，引入随机一致性指标RI，将CI和RI进行比较，得到检验系数CR，检验公式如下，若CR≤0.1，则通过一致性检验，否则重新构造检验失败的判断矩阵直到通过一致性检验；

RI与矩阵的阶数有关，只有对3阶及3阶以上的判断矩阵进行一致性检验时采用检验系数评判。

进一步地，步骤S5具体实现如下：

步骤S51、计算多维云的云重心向量；云重心的定义为T＝Ex×w，T表示云重心，Ex表示组成该多维云的所有一维云的Ex，w表示各一维云在组成该多维云时所占的权重；当权重不变时，所有一维云的Ex取最大值时是正理想状态云重心，所有一维云的Ex取最小值时是负理想状态云重心；n维云的云重心用n维向量

T_i＝Ex_i×w_i表示；设负理想状态下云重心向量为

正理想状态下云重心向量为

将T_i进行归一化处理，得到归一化后云重心向量

归一化公式如下：

步骤S52、通过加权偏离度算法将归一化后的云重心向量处理成一个数值θ，θ值的大小表示和被比较的理想状态偏离程度，其计算公式如下：

进一步地，步骤S6具体实现如下：

通过X条件云发生器，计算多维云和评语集中各评语云的隶属度；通过加权偏离度计算得到的θ值即为隶属度算法中X条件云发生器的输入x；隶属度计算公式如下：

得到x和各个比较云的隶属度，进行升序排序，计算最大隶属度和次大隶属度的差值，如果差值大于阈值δ选取隶属度最大的云，否则随机选择最大隶属度云和次大隶属度云；得到评估结果。

以上是本发明的较佳实施例，凡依本发明技术方案所作的改变，所产生的功能作用未超出本发明技术方案的范围时，均属于本发明的保护范围。

Claims (10)

1.一种基于云模型理论的网络攻击面评估方法，其特征在于，包括如下步骤：

步骤S1、确定网络攻击面评估指标体系；

步骤S2、根据扫描数据对基础指标量化，得到待评估基础指标的一维云数字特征；

步骤S3、结合待评估的一维云数字特征和设定好的一维云评语集数字特征，通过相似度计算得到一维云的评估结果；

步骤S4、通过AHP计算评估体系中各层次各指标的权重值；

步骤S5、结合各层次各指标权重值和一维云数字特征，得到待评估的网络攻击面和漏洞、端口、方法攻击面的多维云重心加权偏离度；

步骤S6、结合待评估多维云的加权偏离度和设定好的多维云评语集数字特征，通过隶属度计算得到多维云的评估结果。

2.根据权利要求1所述的一种基于云模型理论的网络攻击面评估方法，其特征在于，步骤S1中，网络攻击面评估指标体系是根据影响网络攻击面的因素构建的，影响网络攻击面的因素分为三大类：

漏洞攻击面：影响漏洞攻击面的指标有漏洞数量、漏洞评分、高危漏洞，这些指标的变化会影响漏洞攻击面的变化，进而影响网络攻击面的变化；

端口攻击面：影响端口攻击面的指标有服务数量、开放端口，这些指标的变化会影响端口攻击面的变化，进而影响网络攻击面的变化；

方法攻击面：影响方法攻击面的指标有真实IP、访问成功，这些指标的变化会影响方法攻击面的变化，进而影响网络攻击面的变化。

3.根据权利要求1所述的一种基于云模型理论的网络攻击面评估方法，其特征在于，所述步骤S2具体实现如下：

步骤S21、通过扫描工具获取扫描数据，并根据扫描数据对基础指标量化；

步骤S22、基于步骤S21得到待评估基础指标的一维云数字特征C(Ex,En,He)，Ex表示量化数据的期望值，En表示扫描时间范围内的Ex不确定性度量，即在该时间范围内，En值是有轻微波动的，He是En的不确定性度量，即En和He都是刻画一时间段内Ex值的波动情况，En和He的值越小，则时间段越靠近一具体时刻；因为各指标均是在同一时间段测量的，所以各自的En和He值应设定为同一数值。

4.根据权利要求2所述的一种基于云模型理论的网络攻击面评估方法，其特征在于，步骤S21中，对基础指标量化如下：

漏洞数量：攻击者通过漏洞扫描工具获取网络拓扑中各主机漏洞数量之和；vul是网络拓扑中扫描到的漏洞数量，S_vul是网络拓扑中存在的漏洞总数，P_vul是vul在S_vul中所占的比例，计算公式如下：

漏洞评分：查询所得的漏洞在CVE漏洞库中有记录；每个漏洞根据CVSS评分标准有各自的评分，评分范围0～10，根据漏洞代码查询其分值，vs是网络拓扑中扫描到漏洞的评分之和，S_vs是网络拓扑中存在的漏洞评分之和，P_vs是vs在S_vs中所占的比例，计算公式如下：

高危漏洞：根据CVSS评分标准，漏洞危险性分为高、中、低三个级别；hrv是网络拓扑中扫描到的高危险性漏洞数量，vul是网络拓扑中扫描到的漏洞数量，P_hrv是hrv在vul中所占的比例，计算公式如下：

服务数量：攻击者通过端口扫描工具获取网络拓扑中各主机使用服务数量之和；ns是网络拓扑中扫描到的各主机服务数量之和，S_ns是网络拓扑中各主机服务数量之和，P_ns是ns在S_ns中所占的比例，计算公式如下：

开放端口：攻击者通过端口扫描工具获取网络拓扑中各主机开放端口数量之和；op是网络拓扑中扫描到的各主机开放端口数量之和，S_op是网络拓扑中各主机开放端口数量之和，P_op是op在S_op中所占的比例，计算公式如下：

真实IP：攻击面通过扫描工具获取网络拓扑中主机真实IP个数；rIP为网络拓扑中扫描所得的真实IP个数，n为网络拓扑中主机个数，也是网络拓扑中真实IP个数，P_rIP是rIP在n中所占的比例，计算公式如下：

访问成功：攻击者尝试与网络中的主机通信时成功访问的主机个数；sa表示访问成功主机个数，n为网络拓扑中主机个数，P_sa是sa在n中所占的比例，计算公式如下：

5.根据权利要求1所述的一种基于云模型理论的网络攻击面评估方法，其特征在于，所述步骤S3具体实现如下：

步骤S31、采用统一的一维评语集{E，D，C，B，A}，评语从E到A，指标威胁程度上升；

步骤S32、用相似度算法计算各基础指标云和各评语云的相似度，具体如下：

步骤S321、通过正向云发生器，云C和n个比较云C_i各生成N个云滴drop,drop_i,i∈[1,n]；云滴生成公式如下：

En_i'＝norm(En,He²)；x_i＝norm(Ex,En′_i ²)

步骤S322、对drop和drop_i进行筛选，只取在各自[Ex-3En,Ex+3En]范围内的云滴，并对筛选后云滴进行升序排序，取drop和drop_i个数的最小值为循环次数，依次进行计算两云滴的归一化距离，公式如下：

结束循环后，再计算云C和比较云C_i的相似度值S_i，计算公式为：

步骤S323、比较云C和各个比较云的Ci的相似度值，得到最相似的云；

步骤S33、根据相似度值得到评估结果。

6.根据权利要求1所述的一种基于云模型理论的网络攻击面评估方法，其特征在于，所述步骤S4具体实现如下：

步骤S41、依据被分析的复杂问题本质，建立层次化结构模型，从上而下依次是目标层、准则层、方案层；其中目标层在最顶层，最底层的是方案层，中间是准则层，准则层可以有多层；网络攻击面评估指标体系中，网络攻击面是目标层，漏洞、端口、方法是准则层，基础指标是方案层；

步骤S42、根据网络攻击面评估体系和专家经验法构造各层次判断矩阵；

步骤S43、根据各层次判断矩阵计算各层次的权重值，并对3阶矩阵进行一致性检验，一致性检验均通过，得到各层次权重值；

步骤S44、通过相邻上下层次间的权重相乘，能得到各基础指标在目标层中所占的权重。

7.根据权利要求6所述的一种基于云模型理论的网络攻击面评估方法，其特征在于，步骤S42中，判断矩阵如下：

其中用a_ij表示i对j相比的重要程度，依据Satty的1～9标度法构造判断矩阵，在相邻的层次间，将有关联的下层指标进行两两比较，a_ij＝1表示i与j重要性相同，a_ij＝3表示i比j稍显重要，a_ij＝5表示i比j明显重要，a_ij＝7表示i比j非常重要，a_ij＝9表示i比j绝对重要，a_ij＝2k(k＝1，2，3，4)表示i与j比较，重要性在以上两个相邻标度之间。

8.根据权利要求6所述的一种基于云模型理论的网络攻击面评估方法，其特征在于，所述步骤S43具体实现如下：

步骤S431、计算各判断矩阵最大特征根λ_max和特征向

步骤S432、对3阶矩阵进行一致性检验，一致性检验是指对A确定不一致的允许范围，因为λ_max≥n，当且仅当λ_max＝n时，A为一致性矩阵，n为特征向量

所对应的特征值，因此λ_max越大，则A的一致性越低，造成的判断误差越大，用λ_max-n大小来衡量A的不一致性程度，定义一致性指标公式如下：

为了衡量CI的大小，引入随机一致性指标RI，将CI和RI进行比较，得到检验系数CR，检验公式如下，若CR≤0.1，则通过一致性检验，否则重新构造检验失败的判断矩阵直到通过一致性检验；

RI与矩阵的阶数有关，只有对3阶及3阶以上的判断矩阵进行一致性检验时采用检验系数评判。

9.根据权利要求1所述的一种基于云模型理论的网络攻击面评估方法，其特征在于，所述步骤S5具体实现如下：

步骤S51、计算多维云的云重心向量；云重心的定义为T＝Ex×w，T表示云重心，Ex表示组成该多维云的所有一维云的Ex，w表示各一维云在组成该多维云时所占的权重；当权重不变时，所有一维云的Ex取最大值时是正理想状态云重心，所有一维云的Ex取最小值时是负理想状态云重心；n维云的云重心用n维向量

T_i＝Ex_i×w_i表示；设负理想状态下云重心向量为

正理想状态下云重心向量为

将T_i进行归一化处理，得到归一化后云重心向量

归一化公式如下：

步骤S52、通过加权偏离度算法将归一化后的云重心向量处理成一个数值θ，θ值的大小表示和被比较的理想状态偏离程度，其计算公式如下：

10.根据权利要求1所述的一种基于云模型理论的网络攻击面评估方法，其特征在于，所述步骤S6具体实现如下：

通过X条件云发生器，计算多维云和评语集中各评语云的隶属度；通过加权偏离度计算得到的θ值即为隶属度算法中X条件云发生器的输入x；隶属度计算公式如下：

得到x和各个比较云的隶属度，进行升序排序，计算最大隶属度和次大隶属度的差值，如果差值大于阈值δ选取隶属度最大的云，否则随机选择最大隶属度云和次大隶属度云；得到评估结果。

Images