粗糙集理論在網(wǎng)絡(luò)攻擊效果評(píng)估中的應(yīng)用研究

摘 要：計(jì)算機(jī)網(wǎng)絡(luò)攻擊效果評(píng)估技術(shù)是信息系統(tǒng)安全評(píng)估中一個(gè)重要而具有挑戰(zhàn)性的課題。進(jìn)行網(wǎng)絡(luò)攻擊效果評(píng)估需要建立一套評(píng)估指標(biāo)體系，針對(duì)具體的攻擊，評(píng)估體系中指標(biāo)的重要性各不相同。運(yùn)用粗糙集理論確定各個(gè)指標(biāo)之間的關(guān)系，使評(píng)估指標(biāo)的權(quán)重分配賦值更加科學(xué)、合理。

關(guān)鍵詞：效果評(píng)估；粗糙集；評(píng)估指標(biāo)

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695(2007)06-0118-03

在信息化戰(zhàn)爭時(shí)代，網(wǎng)絡(luò)戰(zhàn)作為一種新的作戰(zhàn)樣式越來越受到各國軍方的重視，網(wǎng)絡(luò)攻擊效果評(píng)估技術(shù)的研究具有重要意義。對(duì)于攻擊方，從網(wǎng)絡(luò)攻擊設(shè)備的論證研制到裝備使用都要對(duì)其毀傷能力進(jìn)行評(píng)測以檢驗(yàn)其是否有效，通過評(píng)估可促進(jìn)攻擊技術(shù)研究的深入，促使設(shè)備研制順利進(jìn)行。對(duì)于防守方，可采用模擬攻擊的手段對(duì)自身網(wǎng)絡(luò)的安全性能進(jìn)行測試、評(píng)估，發(fā)現(xiàn)其薄弱環(huán)節(jié)，以提高抵御攻擊的能力。

網(wǎng)絡(luò)信息系統(tǒng)攻擊效果綜合評(píng)估技術(shù)兼顧攻擊和防御兩個(gè)方面，研究在復(fù)雜網(wǎng)絡(luò)環(huán)境下對(duì)信息系統(tǒng)網(wǎng)絡(luò)攻擊的效果如何給出定性和定量的評(píng)估結(jié)果，并以此來檢驗(yàn)攻擊的有效性和信息系統(tǒng)的安全性，彌補(bǔ)了現(xiàn)有信息安全評(píng)估工作主要側(cè)重于主機(jī)安全的量化評(píng)估、側(cè)重于防御的不足［1－3］。

要評(píng)測網(wǎng)絡(luò)受攻擊前后安全特性的變化，就必須選擇合適的性能指標(biāo)體系。針對(duì)具體的攻擊，評(píng)估體系中指標(biāo)的重要性各不相同。如何確定各個(gè)指標(biāo)之間的關(guān)系，使評(píng)價(jià)指標(biāo)的權(quán)重分配賦值更加科學(xué)、合理是需要解決的一個(gè)重要問題［4］。粗糙集理論是一種研究不完整、不確定知識(shí)和數(shù)據(jù)的表達(dá)、學(xué)習(xí)、歸納的理論方法。運(yùn)用該方法可以對(duì)屬性的重要性進(jìn)行度量，避免了采用層次分析法中專家打分的主觀過程，從而更加客觀地對(duì)網(wǎng)絡(luò)攻擊效果進(jìn)行量化評(píng)估。

1 粗糙集理論［5－7］

粗糙集（Rough Sets，有的也稱粗集）理論是由波蘭華沙理工大學(xué)Pawlak教授于20世紀(jì)80年代初提出的一種研究不完整、不確定知識(shí)和數(shù)據(jù)的表達(dá)、學(xué)習(xí)、歸納的理論方法，其近年來在理論模型、算法研究、工程應(yīng)用中取得了好的成果和應(yīng)用。

Rough集的研究對(duì)象是由一個(gè)多值屬性集合描述的一個(gè)對(duì)象集合，對(duì)于每個(gè)對(duì)象及其屬性都有一個(gè)值作為其描述符號(hào)，對(duì)象、屬性和描述符是表達(dá)決策問題的三個(gè)基本要素。這種表達(dá)形式也可以看成一個(gè)二維表格，表格的行與對(duì)象相對(duì)應(yīng)，列對(duì)應(yīng)于對(duì)象的屬性；各行包含了表示相應(yīng)對(duì)象信息的描述符，還有關(guān)于各個(gè)對(duì)象的類別成員的信息。給定對(duì)象間的一個(gè)等價(jià)關(guān)系，即導(dǎo)致由等價(jià)類構(gòu)成的近似空間的不分明關(guān)系，Rough集就用不分明對(duì)象類形成的上近似和下近似來描述。本文引入粗糙集理論，根據(jù)知識(shí)，利用粗糙集理論中屬性重要性的概念得出網(wǎng)絡(luò)攻擊效果評(píng)估指標(biāo)的權(quán)值。

1.1 知識(shí)

知識(shí)即是將對(duì)象進(jìn)行分類的能力。用集合的概念表示就是：使用等價(jià)關(guān)系集R對(duì)離散表示的空間U進(jìn)行劃分，知識(shí)就是R對(duì)U劃分的結(jié)果。由此，在U和R的意義下，知識(shí)庫可以定義為：屬于R中的所有可能的關(guān)系對(duì)U的劃分，記為K＝(U，R)。

這樣給定一組數(shù)據(jù)U與等價(jià)關(guān)系集R，在R下對(duì)U的劃分，稱為知識(shí)，記為U/R。如果一個(gè)等價(jià)關(guān)系集對(duì)數(shù)據(jù)的劃分存在矛盾，則將導(dǎo)致不確定劃分，可用粗糙度來度量。

1.2 集合的上近似和下近似

令XU，當(dāng)X能用屬性子集B確切地描述時(shí)，稱X是B可定義的，否則稱X是B不可定義的。B可定義集也稱為B精確集，B不可定義集也稱為B非精確集或B Rough集。對(duì)每個(gè)概念X（樣例子集）和不分明關(guān)系B，包含于X中的最大可定義集和包含于X的最小可定義集，都是根據(jù)B能夠確定的，前者稱為X的下近似集（記為B-(x)），后者稱為X的上近似集（記為B-(x)）。下面給出上近似集和下近似集的形式化定義。

給定知識(shí)表達(dá)系統(tǒng)S＝〈U ，R ，V ， f〉，對(duì)于每個(gè)子集XU和不分明關(guān)系B，X的上近似集和下近似集分別可以由B的基本集定義如下：

1.3 分類質(zhì)量

設(shè)集合簇F={X1，X2，…，Xn}(U=∪ni=1Xi)是論域U上所定義的知識(shí)，B是一個(gè)屬性子集，定義B對(duì)F近似分類的質(zhì)量為

B對(duì)F近似分類的質(zhì)量是應(yīng)用知識(shí)B對(duì)對(duì)象進(jìn)行分類時(shí)，能夠確定決策的對(duì)象在論域中所占的比例。

1.4 屬性重要性

根據(jù)上面介紹的B對(duì)F近似分類的質(zhì)量這一概念，可以對(duì)論域樣本屬性的重要程度進(jìn)行度量。在了解一個(gè)論域中的樣例時(shí)，可以通過知道其屬性值來對(duì)樣例進(jìn)行處理。在現(xiàn)實(shí)情況下，有時(shí)并不一定知道一個(gè)樣例的所有屬性值，需要根據(jù)部分屬性值來進(jìn)行判定；有時(shí)需要確定一個(gè)論域中是否每個(gè)屬性值的重要程度是一樣的，因?yàn)槎攘坎煌膶傩灾档拇鷥r(jià)可能不一樣。在專家系統(tǒng)中，也會(huì)遇到類似的問題，即權(quán)重的問題，重要性高的屬性在作決策時(shí)賦予大的權(quán)重。利用粗糙集，筆者就可以對(duì)屬性的重要性進(jìn)行度量，該度量是根據(jù)論域中的樣例得到的，不依賴于人的先驗(yàn)知識(shí)。

對(duì)于F是屬性集D導(dǎo)出的分類，屬性子集B′在屬性集B中的重要性（B′B，如果屬性集B是默認(rèn)的，如B為條件屬性全集，則可簡稱為屬性子集B′的重要性）定義為

這表示從屬性集B中去掉屬性子集B′對(duì)F近似分類質(zhì)量的影響。

2 基于指標(biāo)分析的網(wǎng)絡(luò)攻擊效果綜合評(píng)估技術(shù)［2，8，9］

網(wǎng)絡(luò)攻擊的效果評(píng)估技術(shù)就是研究在復(fù)雜的網(wǎng)絡(luò)環(huán)境下，對(duì)信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊的效果如何給出定性或定量的評(píng)估結(jié)果，并以此來檢驗(yàn)攻擊的有效性和網(wǎng)絡(luò)系統(tǒng)的安全性。

選取合理的評(píng)估指標(biāo)體系是進(jìn)行網(wǎng)絡(luò)信息系統(tǒng)攻擊效果評(píng)估的前提條件，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)攻擊效果評(píng)估原型試驗(yàn)系統(tǒng)具有重要意義。沒有適當(dāng)?shù)脑u(píng)估指標(biāo)體系，無論采用如何好的評(píng)估模型都難以得到令人信服的評(píng)估結(jié)果。由于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)攻擊行為的復(fù)雜性和多樣性，其產(chǎn)生的攻擊效果也必然是多方面的，對(duì)其進(jìn)行效能評(píng)價(jià)通常不能用單個(gè)明確定義的效能指標(biāo)來表示，而需要用一組效能指標(biāo)來刻畫。為了全面地衡量計(jì)算機(jī)網(wǎng)絡(luò)攻擊的攻擊效果就必須建立一套全面反映計(jì)算機(jī)網(wǎng)絡(luò)攻擊行為各方面作用效果的指標(biāo)體系。應(yīng)遵循以下原則：

（1）整體性原則。評(píng)估攻擊對(duì)單個(gè)網(wǎng)絡(luò)主機(jī)的效能，首先要估計(jì)被攻擊的整個(gè)網(wǎng)絡(luò)的整體性能在遭受攻擊以后的變化情況。

（2）時(shí)效性原則。時(shí)效性就是當(dāng)攻擊網(wǎng)絡(luò)的某個(gè)節(jié)點(diǎn)時(shí)，應(yīng)是該節(jié)點(diǎn)到達(dá)數(shù)據(jù)包或分組最多的時(shí)間。這時(shí)攻擊對(duì)該節(jié)點(diǎn)性能的降低是最顯著的。

（3）節(jié)點(diǎn)和路由優(yōu)選原則。在確定攻擊目標(biāo)時(shí)，應(yīng)對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)和路由段優(yōu)選，即選擇重要性最高的節(jié)點(diǎn)和使用概率最高的路由(鏈路) 段。只有這樣才能達(dá)到對(duì)整個(gè)信息網(wǎng)絡(luò)最有效的遲滯和性能降低。

基于整個(gè)信息網(wǎng)的攻擊效能測度從上述原則出發(fā)，應(yīng)用排隊(duì)論的基本原理，可考慮采用以下基于整個(gè)信息網(wǎng)的攻擊效能的評(píng)估模型：

①信息網(wǎng)全網(wǎng)傳送總延時(shí)。

使目標(biāo)信息子網(wǎng)所傳送的各個(gè)報(bào)文或分組產(chǎn)生最大的延時(shí)， 是對(duì)信息網(wǎng)絡(luò)攻擊的直接戰(zhàn)術(shù)目的。衡量這個(gè)效果可采用“全網(wǎng)傳送總延時(shí)”這一性能測度模型。設(shè)它為Td，則其計(jì)算公式為

其中， j為全網(wǎng)的N個(gè)節(jié)點(diǎn)中第j個(gè)節(jié)點(diǎn); Tjk為第j 個(gè)節(jié)點(diǎn)的全部M個(gè)(M是j的函數(shù)) 相鄰節(jié)點(diǎn)至其相鄰節(jié)點(diǎn)路由段的延遲。

②重要節(jié)點(diǎn)傳信延時(shí)。該

重要節(jié)點(diǎn)傳信延時(shí)對(duì)網(wǎng)絡(luò)性能的降低要高于普通節(jié)點(diǎn)。設(shè)為Thd。其計(jì)算公式為

③網(wǎng)絡(luò)延遲抖動(dòng)。該

網(wǎng)絡(luò)延遲抖動(dòng)是指網(wǎng)絡(luò)平均延遲變化的時(shí)間量。網(wǎng)絡(luò)延遲抖動(dòng)是衡量多媒體通信網(wǎng)絡(luò)的重要指標(biāo)，它關(guān)系到網(wǎng)絡(luò)所提供的服務(wù)質(zhì)量(QoS) 。

④網(wǎng)絡(luò)和節(jié)點(diǎn)吞吐量。

網(wǎng)絡(luò)(節(jié)點(diǎn)) 吞吐量是指單位時(shí)間內(nèi)(通常為s) 通信網(wǎng)絡(luò)(節(jié)點(diǎn)之間) 成功傳送的無差錯(cuò)的數(shù)據(jù)包的數(shù)量。當(dāng)網(wǎng)絡(luò)發(fā)生故障或受到攻擊時(shí)，網(wǎng)絡(luò)(或重要節(jié)點(diǎn)) 的吞吐量必然減少，因此可用做信息網(wǎng)的攻擊效能的評(píng)估模型。

⑤每節(jié)點(diǎn)路由表更換的周期。

每個(gè)路由器節(jié)點(diǎn)的路由表，是為保證各節(jié)點(diǎn)都是可到達(dá)的，且每個(gè)路由器均隨時(shí)掌握其他路由器的狀態(tài)而設(shè)置的。以TCP/ IP 協(xié)議為例，它約定每隔一定時(shí)間播發(fā)一次(與路由協(xié)議有關(guān)) ，若超過指定時(shí)間某路由器未發(fā)出更新的路由表，則表明該路由器不可到達(dá)，且很可能是攻擊引起后者主要路由中斷。

⑥系統(tǒng)服務(wù)響應(yīng)時(shí)間。

系統(tǒng)從接收到請(qǐng)求服務(wù)的信號(hào)到提供該服務(wù)所需的時(shí)間。一般說某個(gè)網(wǎng)絡(luò)的服務(wù)響應(yīng)時(shí)間都是指其統(tǒng)計(jì)平均值。這個(gè)值隨網(wǎng)絡(luò)系統(tǒng)的負(fù)載變化而變化，負(fù)載越大，其值也越大。

⑦系統(tǒng)恢復(fù)時(shí)間。

系統(tǒng)從發(fā)生故障到恢復(fù)至故障前狀態(tài)，并重新提供服務(wù)所需時(shí)間。系統(tǒng)恢復(fù)時(shí)間與系統(tǒng)本身結(jié)構(gòu)組成及操作員的水平均有關(guān)。

⑧系統(tǒng)生存周期。

系統(tǒng)能夠持續(xù)正常工作的時(shí)間。該值越大表明系統(tǒng)的穩(wěn)定性越好，抗攻擊能力越強(qiáng)。

當(dāng)然，在建立和分析整個(gè)信息網(wǎng)的攻擊效能模型時(shí)，由于實(shí)際評(píng)估的網(wǎng)絡(luò)對(duì)象不同，網(wǎng)絡(luò)承載的業(yè)務(wù)有所差別，網(wǎng)絡(luò)提供服務(wù)的偏重也有所差異。上述評(píng)估模型也不應(yīng)該是一成不變的，而應(yīng)該根據(jù)實(shí)際情況有所側(cè)重。

3 基于粗糙集的評(píng)估實(shí)現(xiàn)步驟

攻擊效果評(píng)估是應(yīng)用于具體的網(wǎng)絡(luò)攻防中。針對(duì)具體的網(wǎng)絡(luò)環(huán)境和攻擊方式以及所要達(dá)到的目的，評(píng)估指標(biāo)也不同。下面以SYN FLOOD對(duì)以數(shù)據(jù)傳輸業(yè)務(wù)為主的網(wǎng)絡(luò)進(jìn)行攻擊為例對(duì)網(wǎng)絡(luò)攻擊效果評(píng)估指標(biāo)的權(quán)重進(jìn)行計(jì)算，得出評(píng)估結(jié)果。經(jīng)研究發(fā)現(xiàn)，應(yīng)主要從攻擊前后網(wǎng)絡(luò)(節(jié)點(diǎn)) 吞吐率、鏈路利用率和系統(tǒng)服務(wù)響應(yīng)時(shí)間等指標(biāo)的變化來看攻擊效果。

3.1 信息數(shù)據(jù)的獲取

3.2 計(jì)算分類質(zhì)量

3.3 計(jì)算指標(biāo)的權(quán)重

由上述計(jì)算可以得到用SYN FLOOD方法對(duì)以數(shù)據(jù)傳輸業(yè)務(wù)為主的網(wǎng)絡(luò)進(jìn)行攻擊時(shí)，網(wǎng)絡(luò)(節(jié)點(diǎn)) 吞吐率、鏈路利用率和系統(tǒng)服務(wù)響應(yīng)時(shí)間指標(biāo)的重要性依次降低。

4 結(jié)束語

本文采用粗糙集理論對(duì)網(wǎng)絡(luò)攻擊效果評(píng)估的指標(biāo)進(jìn)行分析，構(gòu)造了一個(gè)通用的評(píng)估模型，提出了計(jì)算方法。通過對(duì)具體攻擊的分析和計(jì)算，驗(yàn)證了該方法的有效性。

在以往的評(píng)估系統(tǒng)中，經(jīng)常利用專家打分的方法確定計(jì)算指標(biāo)權(quán)重的基本因子，筆者只能根據(jù)經(jīng)驗(yàn)來選擇權(quán)重，這就依賴于人的先驗(yàn)知識(shí)。而利用粗糙集理論，就可以對(duì)屬性的重要性進(jìn)行度量，該度量是根據(jù)論域中的樣例得到的，不依賴于人的先驗(yàn)知識(shí)。但是這些優(yōu)點(diǎn)從另一方面考慮就是該方法的一些局限性，即所選取的樣本數(shù)據(jù)要有一定的普遍性和代表性。如果所選取的原樣本數(shù)據(jù)非常少且不具有代表性，則會(huì)出現(xiàn)隨著計(jì)算樣本的增加， 權(quán)值也會(huì)相應(yīng)的發(fā)生變化。同時(shí)對(duì)于原始定量數(shù)據(jù)的離散化方法的不同也會(huì)影響權(quán)值。所以如果此方法用于實(shí)際計(jì)算：①原始數(shù)據(jù)樣本要有代表性和普遍性，否則計(jì)算結(jié)果具有很大的片面性; ②選取不同的數(shù)據(jù)離散化方法，計(jì)算結(jié)果進(jìn)行對(duì)比研究，最后確定一個(gè)合理的數(shù)據(jù)離散化方法和原始樣本集［10］。

本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文。