基于关联规则下的安全威胁感知方法

冯卫++吴婷婷++唐薇++李轩++申益平

摘 要基于关联规则下对安全威胁感知方法进行研究，能够有效降低安全威胁发生的风险。基于此，本文将对关联规则进行简单的介绍，并对基于关联规则下安全威胁的感知方法进行研究，其中包括距离矢量评估法、安全态势评估法以及安全威胁势态图示法三方面内容。

【关键词】关联规则 安全威胁 安全态势

随着时代的飞速发展，一旦出现安全威胁，造成的后果将是不堪设想的。所以，对当今时代下的安全威胁进行感知，能够有效降低安全威胁造成的影响。本文将重点对关联规则下的安全威胁感知方法进行研究，其中，关联规则的主要目的是找出研究对象中潜在的联系，并根据联系对其进行研究的方法。

1 关联规则的运用流程以及分类

1.1 关联规则的应用流程

在对关联规则进行运用的过程中，主要流程可分为两个阶段，第一阶段是在全部研究对象中找出大于或等于研究目标的研究对象，并将其称为一个项集，项集的数目就是该项集的支持度。另一阶段是利用上一步中生成的项集对关联规则进行研究，通过找到项集中非空子集的方式，进而对其中符合要求的子集进行研究，最终形成需要的关联规则。

1.2 关联规则的分类

关联规则在应用的过程中大致可分为以下几类。第一类，根据数据变量的类型可分为数值类以及布尔类。布尔类针对的数据都具有较强的分散性以及较多的种类，所以布尔类研究的主要内容是不同类型不同种类之间的关系。数值类研究对象主要是数值型的数据，其中主要的研究方法包括两种，第一种是直接对研究的数值进行处理，第二种是对数值进行分割，分段对数值进行处理。第二类，根据数据的层次进行分类可以分为多层关联以及单层关联。在利用单层关联规则进行研究的过程中，不对研究对象进行多种因素考虑，只对其本身所表达的含义进行研究。而利用多层关联规则进行研究时，要对研究对象在现实中包含的多种因素进行综合考虑，然后再对其进行研究。第三类，根据研究对象的维度进行分类可分为多维度关联规则以及单维度关联规则。单维度考虑的是研究对象的直接属性，例如购买的商品或者看过的书等属性。而多维关联规则考虑的则是研究对象的多种属性，例如，一本书，它既属于一个人购买的商品又属于一个人读过的书。由此可以看出，多维度关联和单维度关联之间的不同之处在于研究对象的属性不同。

2 基于关联规则下安全威胁的感知方法

2.1 距离矢量评估法

在利用距离矢量评估法进行安全威胁研究的过程中，主要包含以下几个因素，事件特征值、事件中心值、事件相似值、攻击事件以及服务类态势评估等。事件特征值指的是在对研究对象进行研究的过程中，研究对象特有的、可以进行测评的时间值，称为事件特征值。事件中心值的确定方法为，将研究对象进行分类，将安全威胁事件分为几类，其中一类代表的是不确定因素，在所有研究事件中将不确定因素去除，剩下的事件就是事件中心值。事件相似值主要是通过计算每两个事件中联系值的方式，联系值最大的就是该研究对象中的相似事件。攻击事件代表的是在对安全威胁进行评估的过程中带有攻击性质的事件，通常情况下，该类事件具有攻击目标、攻击时间、攻击源头以及攻击伤害等属性。服务类事态评估主要是通过对攻击事件值的主要属性进行分析，从而得出该事件的安全威胁值。

另外，距离矢量评估法的评估流程主要包含以下内容，首先，对研究对象内事件的安全值进行分析，选出事件中心。其次，筛选出距离安全事件中心矢量距离最近的事件，并对其进行统一处理。最后，将处理后的结果以数集的方式表达出来，形成安全威胁数值。

2.2 安全态势评估法

安全态势的评估方法主要分为以下几种，其中包括层次化评估法、三方态势评估法、服务态势评估法以及主机态势评估法四种。层次化评估法主要将研究对象进行层次分类，对其进行分层研究。其中，在对下一层进行研究的过程中，研究结果受到上一层次的影响。也就是说，层次化评估法中每层的研究结果是相互关联的，这种方法能够展现出研究对象之间的整体联系，但是，由于每层参数之间的数据具有较高的主观性，所以在研究的过程中，很容易导致时间的安全评估结果不够客观，进而造成研究结果的偏差。

三方态势评估法主要是将研究对象根据实际情况分为三方，例如，在对网络安全威胁进行感知的过程中，将研究对象分为威胁、资产以及脆弱值三方。对这三方其中的数据进行综合分析对比，并对整体的网络安全态势进行评估。这种方法相比于上一种评估方法来说具有较高的客观性，能够客观的对安全威胁进行感知和评估。

2.3 安全威胁势态图示法

安全威胁势态图示法主要是通过图示的方法对安全威胁进行感知。首先，对事件进行分类，大致分为安全类事件以及威胁类事件。其次，对威胁类事件的威胁程度进行评估，将安全威胁程度大的事件进行详细的记录。最后，根据记录进行安全威胁势图的绘制。绘制的主要流程为，将记录数据以数集的形式表达出来，根据数集中的数据描绘出安全威胁势态图中的关键点，并将各个点进行连接，最终形成安全威胁势态图。在对安全威胁势态图进行评估的过程中，主要对安全威胁势态图中的可信度以及攻击度进行评估。可信度代表的是该事件的成功概率，攻击度代表的是该事件一旦失败造成的危害程度。通过对这两类属性进行评估，能够客观的得出研究对象中安全威胁势态图的整体评估效果。

3 结论

随着人们对事件安全的重视程度越来越高，如何对事件进行安全威胁感知，成为了人们重点关注的问题。本文通过对基于关联规则下安全威胁的感知方法进行研究，提高了安全威胁的感知效率，降低了安全威胁发生的风险。由此可以看出，对安全威胁的感知方法进行研究，能够为今后安全威胁感知方法在关联规则下的稳定发展奠定基础。

参考文献

[1]馬杰.网络安全威胁态势评估与分析方法研究[D].华中科技大学，2016.

[2]潘安群.一种基于规则的网络安全事件关联分析方法研究[D].华中科技大学，2017.

作者单位

国网江西省供电公司宜春供电分公司 江西省宜春市 336000endprint