網絡群體對抗綜合評判模型定性化研究

(1.北京科技大學 信息工程學院， 北京 100083；2.交通部管理干部學院 計算機系， 北京 101601；3.國防大學 信息作戰研究所， 北京 100091)

摘 要：通過對網絡群體攻擊和防御的分析，定義了網絡群體對抗的指標權重，同時提出了疫苗的克隆攻擊評判策略和抗體的剪枝防御評判策略，指出對親和力高于1的網元進行克隆攻擊具有很高的攻擊成功率，應將其賦予高優先級的網絡攻擊體系計算范圍；而當網元的抗體濃度低于零時，應將其剪枝隔離，不再將其納入評判網絡防御效果的防御體系計算范圍內。在此基礎上建立了網絡群體攻防對抗的免疫和神經網絡綜合評判模型，對其進行了定性化研究，為網絡的群體攻防對抗仿真研究奠定了基礎，并根據該模型設計了網絡群體對抗評判系統，對其進行了相關分析。

關鍵詞：網絡群體對抗；綜合評判；克隆攻擊；剪枝防御

中圖分類號：TP391.9文獻標志碼：A

文章編號：1001-3695(2009)04-1500-03

Comprehensive evaluation model of network group countermeasure qualitative research

TAO Yuan1，XIA Yong-heng2，LIU Zeng-liang3，YU Da-tai1

(1.School of Information Engineering， University of Science Technology Beijing， Beijing 100083， China;2.Dept. of Computer Science， Beijing Communications Management Institute for Executives， Beijing 101601， China; 3.Institute of Information Operation， National Defense University， Beijing 100091， China)

Abstract:Through the analysis of the network attacks and defense，this paper gave the target-weights definition of the network group countermeasure， and modeled the simulation model of network countermeasure based on the theories of neural networks and immunity.Proposed the evaluation tactics of the vaccine’ cloning attack and the antibody’ pruning defense from the model.pointed out the phenomenon that the network element， whose affinity was higher than one， would have high success rate of cloning attacks. It should be taken into evaluation scope of network attack effects. When antibody concentration was lower than zero， the network elements should be pruned isolation avoids being incorporated into evaluation of network defense effect. Comprehensive evaluation and qualitative research of network group countermeasure were been given by using immunity and neural networks. These had been laid the foundation for the evaluation research of network group countermeasure. According to the mode，designed the network group countermeasure evaluation system and gave its related analysis.

Key words:network group countermeasure; comprehensive evaluation; cloning attack; pruning defense

0 引言

近年來，網絡系統的規模、復雜度和易受攻擊程度大幅增長，且影響安全的因素是動態的，人的介入才能保證對動態過程的適應能力。因此建立一套典型的小型化并能充分模擬和描述網絡攻防對抗的實驗環境，可以提供一個實踐平臺和應用研究的驗證環境[1]。

目前，在網絡攻防對抗實驗環境的主要研究方法有采用模擬仿真環境對網絡攻防進行仿真研究的[2~4]；或者采用虛實結合的網絡對抗平臺[5，6]對網絡進行真實的檢測和虛擬的攻擊與防御；或者采用相關風險評估模型的小型網絡實驗環境[7]進行實驗；或者采用真實的網絡攻防環境。但是隨著網絡的快速發展，網絡對抗也越來越多，網絡攻擊/防御不僅局限于個人網絡攻防對抗行為，且經常發生群體網絡攻防對抗行為，同時國內外在群體網絡攻擊防御對抗方面的研究很少，因此有必要進行網絡的群體攻擊/防御仿真研究。

本文利用神經網絡描述各種網元之間的因果性和動態性[8]；同時結合人工免疫系統中疫苗及抗體的排斥異己和維持自身耐受等數學描述[9]，提出建立基于免疫和神經網絡綜合評判的網絡攻防對抗仿真模型，用于對網絡群體攻防進行建模分析，并給出了免疫和神經網絡對網絡攻防對抗綜合評判的相關分析和定性化研究。

1 網絡群體攻防對抗分析

1.1 網絡群體攻防對抗過程分析

網絡群體攻擊的過程是一個對目標網源信息不斷獲取和控制程度不斷提升的過程；同時網絡攻擊成功具有一定的條件性和概率性，通常攻擊所能達到的效果，在很大程度上由攻擊者的能力與經驗決定。而網絡群體防御需要的是專業化網絡安全人士，以便針對不同的威脅和事件迅速采取相應的防御措施，可以在對抗中進行動態適應防御，將損失降到最低，充分發揮防御主觀能動性。

在網絡群體攻防對抗模型研究中，根據網絡攻防的流程，同時為了便于結合神經網絡進行形式化分析，本文將網絡群體攻擊分為攻擊輸入、攻擊處理和攻擊輸出三個階段，即將網絡群體防御分為前期防御、中期防御和后期防御。這不僅符合網絡群體攻防對抗的過程，同時也易于采用神經網絡模型對其進行分析處理。

1.2 網絡群體攻防對抗仿真模型的指標權重

網絡群體對抗的目的是獲取和保持信息網絡優勢，掌握并確保網絡空間的控制信息權。為了定性化描述網絡群體攻防對抗行為與網絡群體攻防對抗效果，定義攻擊潛能、攻擊勢能、攻擊效能、防御潛能、防御勢能和防御效能六個指標權重如表1所示。

表1 相關名詞概念

指標權重定義

攻擊潛能xi攻擊工具i的破壞能力

攻擊勢能Lm攻擊者m對相關攻擊的熟練及經驗能力

攻擊效能Sg攻擊者m用工具i對目標網元的破壞能力

防御潛能cr防御工具r的防御能力

防御勢能Jn防御者n對相關防御的熟練及經驗能力

防御效能Hf防御者對目標網元n的綜合防御能力

在網絡群體攻防對抗過程中，各個指標對網絡攻防對抗效果的總體貢獻是不盡相同的。在本文中，指標權重的確定方法采用DELPHI法進行主觀賦權，賦值范圍為[0，5]。

2 網絡群體攻防對抗的相關評判分析

根據DELPHI法對相應的指標權重賦值，同時將網元作為細胞來描述，將網絡攻擊者m為了達到預期目的而實施的相關攻擊方式V看做是注射疫苗，防御者n為了保護目標網元而采取的防御方式為抗體D。因此定義目標網元遭受的網絡攻擊方式為疫苗V=[v1，v2，v3]，v1，v2，v3∈[0，5]。其中：0為攻擊強度最低；5為攻擊強度最高。定義目標網元的防御方式為抗體D=[d1，d2，d3]，d1，d2，d3∈[0，5]。其中：0為防御強度最低；5為防御強度最高。

2.1 疫苗的克隆攻擊評判策略

為了有效地對網絡群體攻擊進行定性化評判研究，借鑒抗體網絡[10]中的競爭學習原理，令疫苗對目標網元的攻擊效果為親和力F，定義

F=m1+m2+m3（1）

其中：[m1，m2，m3]=V-D。

定義疫苗的克隆攻擊選擇策略如下：將網元作為細胞來描述，所有親和力F≥1的細胞都是分裂的候選者，擁有最高親和力F的細胞n是最優的候選者，即優先對與網元n具有相似弱點的網元進行克隆攻擊，這樣的攻擊成功概率最高。如果所有的細胞親和力F＜1，則網絡結構保持不變。

例如，對一個目標網源進行群體攻擊時，疫苗單元由V1=[3，3，2]，V2=[2，1，0]兩種攻擊方式組成，分別對目標網源中的網元1與網元2進行攻擊，如圖1所示。

根據疫苗的克隆攻擊選擇策略知：疫苗單元V1的攻擊效果最好，同時疫苗單元V1對網元1的親和力最大，因此目標網源中與網元1有相似弱點的網元3將被攻破的概率最高，如圖2所示。

2.2 抗體的剪枝防御評判策略

為了有效地對網絡群體防御進行定性化評判研究，借鑒抗體網絡[10]中的競爭學習原理，令網元的防御方式D應對當前網絡攻擊V的防御效果為其抗體濃度ζ，定義

ζ=w1+w2+w3（2）

其中：[w1，w2，w3]=D-V。

定義抗體的剪枝防御評判策略如下：將網元作為細胞來描述，在評判網絡防御效果時，將所有抗體濃度ζ≤0的細胞剪枝隔離，在評判網絡防御效果時不再將其納入計算范圍。直到防御者對剪枝隔離的網元成功的進行后期防御，再將其納入評判網絡防御效果的計算范圍。如果所有的細胞抗體濃度ζ＞0，則網絡結構保持不變，不用進行剪枝防御評判。

例如，如圖3所示，網元1、2和3受到攻擊方式為V=[3，2，1]的網絡攻擊，其對應的防御方式為D1=[2，3，4]，D2=[2，3，2]，D3=[1，2，1]。

根據式(2)和抗體的剪枝防御選擇策略，可知，抗體濃度ζ1=3，ζ2=1，ζ3=-2，由于細胞3的抗體濃度ζ3＜0，細胞3將被剪枝掉，剪枝后的網絡結構如圖4所示。

2.3 免疫和神經網絡綜合評判模型

為了有效地定性化評判網絡群體對抗效果，本文結合疫苗的克隆攻擊評判策略和抗體剪枝防御評判策略，并借鑒基于免疫的神經網絡模型[11]架構，給出免疫和神經網絡的綜合評判模型，如圖5所示。在圖5中，令向量X=（x1，x2，…，xi）為攻擊輸入向量，向量C=(c1，c2，…，ci)為防御輸入向量；W(1)為輸入層和處理層之間的攻擊連接權值矩陣，W(2)為處理層和輸出層之間的攻擊連接權值矩陣，Q(1)為輸入層和處理層之間的防御連接權值矩陣，Q(2)為處理層和輸出層之間的防御連接權值矩陣；向量V=[v1，v2，…，vm]為攻擊方式的疫苗向量，向量D=[d1，d2，…，dm]為防御方式的抗體向量。

定義網絡對抗輸出向量P=(p1，p2，…，pn)為

P=f(CQ(1)，D)Q(2)，ζ＞0，F＜1

g(XW(1)，V)W(2)，ζ≤0，Fm≥1

g(XW(1)，V)W(2)-f(CQ(1)，D)Q(2)，ζ≤0，Fm＜1(3)

假設網絡的對抗期望輸出（即真實的網絡攻防對抗效果）為向量T=（t1，t2，…，ts），則攻防對抗誤差函數可以定義為

E=s(ts-ps)2/2（4）

網絡的攻擊權值W和攻擊激活函數的參數V通過式（5）來訓練。

ΔW(i)（t+1）=η（E/W(i)）(t)+α[Wi(t)-Wi(t-1)]

ΔV(i)（t+1）=μ（E/V(i)）(t)+β[Vi(t)-Vi(t-1)]（5）

網絡的防御權值Q和防御激活函數的參數D通過式（6）來訓練。

ΔQ(i)（t+1）=（E/Q(i)）(t)+δ[Qi(t)-Qi(t-1)]

ΔD(i)（t+1）=φ（E/D(i)）(t)+γ[Di(t)-Di(t-1)]（6）

在式（5）（6）中，i=1，2，α、β、δ和γ是動力因子，分別與網絡攻擊者和防御者的技能水平有關；η、μ、和φ是學習率，分別與網絡攻擊者和防御者對目標信息的獲取和分析有關η、μ、和φ越大，訓練過程越容易收斂。

3 網絡群體對抗評判系統設計與分析

綜上分析，根據免疫和神經網絡的綜合評判模型，將網絡群體對抗綜合評判系統設計為五層架構，即防御方客戶端程序defender、攻擊方客戶端程序attacker、服務器端程序server、免疫和神經網絡綜合評判專家系統expert system、數據庫系統database。其中防御方客戶端程序defender和攻擊方客戶端程序attacker可以為多個，如圖6所示。

在圖6中，數據庫系統database用于存儲相關的網絡攻防案例、對應的定性化攻防對抗指標權重和仿真攻防數據，防御方客戶端程序defender用于進行仿真網絡防御操作，攻擊方客戶端程序attacker用于進行仿真網絡攻擊操作；服務器端程序server對防御仿客戶端程序defender和攻擊方客戶端程序attacker進行相應的初始化；免疫和神經網絡綜合評判專家系統expert system用于對網絡攻防對抗效果進行綜合評判，其具體仿真步驟如下所示：

a）Server通過和database交互數據，并根據這些數據對defender和attacker進行初始化。

b）多個defender在一起構成多個防御者，同時多個atta-cker在一起構成多個攻擊者，根據初始化的相關信息進行仿真群體攻擊防御對抗。

c）expert system根據defender與attacker之間的仿真攻擊防御數據信息，同時依據database中的相關的網絡攻防案例和對應的定性化攻防對抗指標權重進行綜合評判。

d）expert system將綜合評判完的結果和數據反饋給defender和attacker，并存儲到database。

這樣便可以在防御方客戶端程序defender和攻擊方客戶端程序attacker上進行群體攻防對抗仿真研究，同時expert system也可以對群體攻擊防御對抗效果進行綜合評判。由于網絡群體攻擊防御對抗仿真系統是根據真實的網絡群體攻擊防御對抗進行仿真設置的，網絡群體攻擊防御對抗案例的選擇很重要，應充分考慮到對抗方式的各種可能情況。

4 結束語

本文基于免疫學并結合網絡攻擊防御對抗中的相關知識提出了疫苗克隆攻擊評判策略和抗體剪枝防御評判策略，以及在此基礎上建立了網絡群體對抗的免疫和神經網絡綜合評判模型；同時給出了該模型的相關分析和定性化研究，為網絡群體對抗仿真的進一步研究奠定了基礎。同時，本文根據該模型給出了一個網絡群體對抗評判系統的設計方案，并對其進行了相關分析，指出使用這個系統可以仿真研究各種已知的群體攻擊防御對抗，不會造成真實的破壞，可以節約大量的成本，并可以產生仿真的回饋和響應，且所有的仿真攻防對抗過程可控、可測和評估。

參考文獻：

［1］

胡建偉，湯建龍，楊紹全.網絡對抗原理[M].西安：西安電子科技大學出版社，2004.

[2]甘剛，陳運，李飛.網絡對抗訓練模擬系統的設計與實現[J].電子科技大學學報，2007，36（3）：604-607.

[3]楊樹堂，魯劍，倪佑生．一種構建網絡仿真實驗平臺的方法[J]．計算機應用與軟件，2006，23（8）：125-127.

[4]鄭媛媛，王韜，侯志奇.網絡攻防訓練效果評估研究初探[J].科學技術與工程，2006，6（9）：1336-1339.

［5］李志勇，劉鋒，孫曉燕.網絡對抗實驗平臺構建[J].實驗技術與管理，2004，21（5）：56-60.

[6]裴斐，鄭秋生，郭基鳳，等．網絡攻防訓練平臺設計[J].中原工學院學報，2004，15（1）：5-8.

[7]蔡莉．風險評估下的安全攻防試驗環境的建設[J].信息安全與通信保密，2006，15（1）：14-15.

[8]劉增良，劉有才.因素神經網絡理論及實現策略研究[M].北京：北京師范大學出版社，1992.

[9]李濤.計算機免疫學[M].北京：電子工業出版社，2004.

[10]DE C L N，VON Z F J，DE D J G A. The construction of a boolean competitive neural network using ideas from imunology[J].Neurocomputing，2003，50:51-85.

[11]WANG Lei，COURANT M.A novel neural network based on immunity[C]//Proc of International Conference on Artificial Intelligence.Las Vegas:[s.n.]，2002:147-153.