基于多屬性決策的網絡攻擊節點選擇研究*

張童，王勁松，雷錕

(解放軍信息工程大學，河南 鄭州　450001)

?

指揮控制與通信

基于多屬性決策的網絡攻擊節點選擇研究*

張童，王勁松，雷錕

(解放軍信息工程大學，河南 鄭州450001)

摘要：通過對網絡攻擊中攻擊方收益、攻擊方損耗、攻擊方遇到的風險進行分析，建立相應的指標體系，利用逼近理想解排序法對網絡中節點的攻擊效果進行綜合評估和排序，有效克服在選擇網絡攻擊節點的方法中，依靠度中心性等網絡拓撲單一指標，忽略諸如介數中心性、結構洞等網絡拓撲指標，網絡攻擊代價和遇到的風險等因素進行評價的片面性，為網絡攻擊方案制定提供依據。

關鍵詞：網絡攻擊；多屬性決策；復雜網絡；節點重要性；綜合評估; 評估模型

0引言

網絡攻擊中對于攻擊節點的選取直接關系到攻擊效能的高低。如在分布式拒絕服務攻擊中(distributed denial of service, DDOS)，選用的傀儡機或攻擊目標節點不同，攻擊的效果也會不同。因此，在攻擊前必須對網絡節點的攻擊效果進行全面評估。在評估中，傳統方法是通過評估單一網絡拓撲指標性質(如度中心性)對網絡節點重要度進行排序，選擇重要度高的節點進行攻擊[1]。這種方法忽略了節點的其他拓撲性質(如介數中心性、接近中心性、結構洞)，同時忽略了攻擊中付出的代價和遭遇的風險等因素，評估結果具有一定片面性[2]。為此，本文從全面分析影響節點攻擊效果多屬性指標因素的基礎上，采用逼近理想解排序法(technique for order preference by similarity to an ideal solution, TOPSIS)[3]，對各節點攻擊效果進行評估與排序，為攻擊節點的選取提供依據，提高網絡攻擊效率。

1網絡節點評估指標體系的構建

大量的決策實踐證明，導致方案評選失誤的原因往往在于所采用的評選指標不當，或者根本就沒有什么明確的指標[4]。因此，要客觀評價節點的攻擊效果，在建立指標體系時應全面考慮各種因素，同時要根據實際需求賦予指標權重。

1.1建立指標體系

對于軍事行動方案來說，實現任務目標的效果是衡量方案的首要指標，其次為所付出的代價。此外，應該考慮行動中可能出現的風險，它來源于軍事行動條件的不確定性，決定了方案實施效果的不確定性。結合網絡攻擊行動特點，本文從攻擊收益、攻擊損耗和攻擊風險3個評價準則出發，建立指標體系。

(1) 攻擊收益

攻擊收益指攻擊行動收到的效果。在網絡攻擊過程中主要指被攻擊的網絡節點癱瘓后，敵方網絡會有多大的影響，即攻擊節點在敵方網絡中的重要度。根據復雜網絡理論[5]，可以衡量網絡中節點重要度的指標包括度中心性、接近中心性、介數中心性、結構洞等指標[6]，各指標定義如下：

定義1度中心性(degree centrality)

與節點相連邊數同網絡中與節點可能相連的最大邊數之比，表達式為

DCi=ki/(N-1),

(1)

式中：ki為與節點i相連的邊數，N為節點個數。度中心性能夠反映一個節點與其余節點的直接通信能力，其值越大通信能力越強。

定義2接近中心性(closeness centrality)

節點與網絡中其余節點的最短路徑距離之和的倒數，若為節點到節點的最短距離，為節點個數，則其表達式為

(2)

節點接近中心性值越大，其居于網絡中心位置的程度越大，該節點就越重要。

定義3介數中心性(betweenness centrality)

若gjk(i)表示節點j和k之間經過節點的最短路徑的條數，gjk表示節點j和k之間所有最短路徑條數，V為節點集，則介數中心性表達式為

(3)

介數中心性定義認為，如果一個節點為網絡中其余節點通信的必經之路，則其地位越重要，其對網絡通信的影響力越大[7-8]。

定義4結構洞(structural holes)

結構洞指網絡中兩個節點之間不存在直接連接或間接的冗余關系。Burt 提出了計算結構洞的網絡約束系數對網絡閉合性和結構洞進行測度[9]，其表達式為

(4)

式中：Ci為網絡約束系數，q為節點i和節點j的間接連接節點，Pij為節點花費在節點上的時間(精力)占其總時間(精力)的比例。網絡約束系數越小，結構洞的程度越大，節點的位置越重要。

(2) 攻擊損耗

攻擊損耗指攻擊行動付出的代價。在網絡攻擊過程中主要指使用木馬、病毒等攻擊時，己方的計算機資源耗損量，可以衡量指標包括帶寬、CPU、內存的占用量以及進行攻擊的時間。網絡攻擊中，每種攻擊工具(裝備)都擁有各自經過性能評估的資源代價[10]，而這些資源代價可以提取作為相應的指標。

(3) 攻擊風險

攻擊風險指攻擊行動中因情況變化，導致方案實施效果與預期效果存在落差。網絡攻擊中的主要風險為敵方的發現與反擊，具體在于攻擊過程中敵方系統防護度和敵方自身漏洞的修復難度。敵方防護能力主要包括操作系統安全、防火墻、入侵檢測、路由器安全、交換機安全[11]。敵方節點漏洞修復難易度指標表現為敵方節點漏洞修復時間長短。

網絡節點攻擊效果指標體系如圖1所示。

1.2指標權重的確定

(1) 準則層權重的確定

確定準則層攻擊損耗、攻擊收益、攻擊風險的權重時，須根據實際作戰需求進行設置。如在不惜代價進行攻擊時，要提高攻擊收益權重；在保全自身力量的情況下，要提高攻擊損耗權重。在操作時，可采用專家打分法，根據實際作戰需求確定。

(2)指標層權重的確定

確定指標層各因素權重時，可使用層次分析法(analytic hierarchy process，AHP)確定[12]，步驟如下

步驟1構造兩兩判斷矩陣。采用文獻[9]標度法，對同一層次各指標打分量化，建立判斷矩陣A。

步驟2計算特征向量及最大特征值。將判斷矩陣的每一列向量歸一化，得到B=(bij)m×n

(5)

將B的行向量的元素算術平均

(6)

計算最大特征值

(7)

步驟3檢驗矩陣一致性。

計算一致性指標C.I。

(8)

C.I一致性指標會隨著n的增大明顯增大，不能客觀評價一致性，因此，需利用同階平均一致性指標R.I(如表1所示。),計算隨機一致性比例C.R。

表1　同階平均一致性

當n>2時，判斷矩陣的一致性指標C.I與同階平均一致性指標R.I之比稱為隨機一致性比例，記為

(9)

C.R<0.1時，認為判斷矩陣A有滿意一致性；反之，當C.R≥0.1時，認為判斷矩陣不具有滿意一致性，需要重新修正判斷矩陣，計算權重并進行一致性判斷直到符合一致性標準為止。

2基于TOPSIS的網絡節點攻擊效果評價方法

基于TOPSI的網絡節點攻擊效能評估方法，將每個節點看作一個方案，將節點的各個指標看作方案的各個屬性，則評價節點攻擊效果就轉化為對各個方案進行評估排序的多屬性決策問題[13]。

圖1　網絡節點攻擊效果指標體系Fig.1　Network node attack effect index system

若網絡中的節點集為V=v1,v2,…,vm，節點的指標集Q={q1,q2,…,qn}。設節點vi在指標qi下的評價值為xi(j)，(i=1,2,…,m;j=1,2,…,n)，則評估矩陣X(xi(j))m×n的步驟如下:

步驟1因不同指標的量綱不同，首先利用向量歸一化方法對評估矩陣作標準化處理，得到標準化矩陣Y(yi(j))m×n，其中

(10)

步驟2因不同指標的影響權重不同，因此需計算加權標準化判斷矩陣

Q=(qi(j))m×n=(ωjyi(j))m×n，

(11)

式中：ωj為指標qj的權重。

步驟3確定理想解和負理想解。

確定理想解為

(12)

確定負理想解為

(13)

式中：J+為效益型指標(指標值越高，節點攻擊效果越好)集合；J-為成本型指標(指標值越高，節點攻擊效果越差)集合。

步驟4計算各節點評估值到理想解和負理想解的距離。

(14)

(15)

3實例分析

某網絡攻擊行動中，對形如圖2的“風箏網絡”[14]進行攻擊，經過偵查可知各節點漏洞情況，現需對攻擊節點效能進行評估，以選擇最優攻擊節點。

圖2　風箏網絡Fig.2　Kite network

3.1確定權重

因此，指標層相對于最高層的權重為

0.7×1×(0.086,0.207,0.307,0.400)=

(0.060 2,0.144 9,0.214 9,0.280 0)，

0.15×1×(0.25,0.35,0.25,0.15)=

(0.037 5,0.052 5,0.037 5,0.022 5)，

0.15×0.652×(0.126，0.231，0.258，

0.115，0.113，0.157)=

(0.012 3，0.022 6，0.025 2，0.011 2，

0.011 1，0.015 4)，

0.15×0.348×1=0.052 2,

因此

(0.060 2，0.144 9，0.214 9，0.280 0,

0.037 5,0.052 5,0.037 5,0.022 5,0.012 3,

0.022 6,0.025 2,0.011 2,0.011 1,0.015 4,0.052 2).

3.2進行評估

(1) 確定評估矩陣

通過OPNET Modeler仿真軟件模擬，根據實際情況采集各指標。

數據如表2所示。

表2　各指標采集數據

(2) 對原始數據進行歸一化并進行，得到標準化矩陣

X[xi(j)]m×n=

(3) 對標準化矩陣進行加權，得到加權標準化判斷矩陣

Y[yi(j)]m×n=

(4) 確定理想解與負理想解

其中，q1,q3,q4,q15為效益型指標，其余為成本型指標，因此

理想解為

負理想解為

(5) 計算貼近度，確定節點攻擊效果

經過計算，每個節點評估值到正理想方案和負理想方案距離以及貼近度見表3。

由表3可見，按照貼近度，各點攻擊效果排序為

T3>T4>T5>T2>T6>T7>T9>T10>T8>T1.

由此，可按上述順序選擇攻擊節點。

3.3選取單一指標評估的對比與分析

如果攻擊中只考慮攻擊收益，不考慮攻擊損耗與攻擊風險，即只考慮指標q1～q4，則其評估矩陣的標準化矩陣為

其加權標準化矩陣為

式中：q1,q3,q4為效益型指標，q2為成本型指標，因此

貼近度見表4。

按照貼近度，各點攻擊效果排序為

T9>T4=T5>T2>T7>T9=T10>T6=T8>T1.

從評估結果來看，單純考慮攻擊收益所得到的攻擊節點選擇順序，是按照網絡節點在網絡拓撲中的重要度排序的，如在風箏網絡中節點3的去掉會導致網絡連接不同，其處于信息控制能力最大的位置，因此其重要度最高；節點4與節點5處于相同的拓撲重要度位置，其刪除會導致網絡中節點間通信距離增大，因此其重要度相同，且處于第二重要位置，其余節點網絡拓撲重要度均有此規律。

與考慮了攻擊損耗與攻擊風險得出的節點選擇順序相比，節點2，5，7，9，10的選擇順序均不相同，這正是因為考慮了攻擊損耗與攻擊風險，經過綜合評估得到的全面結果。比起單純考慮攻擊收益，綜合考慮了攻擊損耗與攻擊風險的節點選擇更加科學。

表3　貼近度計算結果

表4　單一指標評估貼近度計算結果

4結束語

網絡攻擊中，攻擊節點的選取不僅要全面考慮其在網絡拓撲中的重要度，更要考慮攻擊中我方消耗以及敵方針對攻擊行動作出的反應行動。在此基礎上，通過對各種因素綜合分析，建立評估指標體系，運用TOPSIS方法，對各節點攻擊效果進行排序，從而選取網絡攻擊節點，為制定合理的網絡攻擊方案提供依據。

參考文獻：

[1]王輝,趙文會,施佺.復雜網絡中節點重要性Damage度量分析[J].南京理工大學學報,2012,36(6):926-931.

WANG Hui,ZHAO Wen-hui,SHI Quan. Analysis on Damage Measure of Vertex Importance in Complex Networks[J]. Journal of Nanjing University of Science and Technology,2012,36(6):926-931.

[2]于會,劉尊,李勇軍. 基于多屬性決策的復雜網絡節點重要性綜合評價方法[J].物理學報,2013,62(2):020204.

YU Hui,LIU Zun,LI Yong-jun. Key Nodes in Complex Networks Identified by Multi-Attribute Decision-Making Method[J]. Acta Phys. Sin., 2013, 62(2): 020204.

[3]TZENG G H,HUANG J J. Multiple Attribute Decision Making:Methods and Applications[M]. CRC Press,2011:69.

[4]史越東.指揮決策學[M].北京:解放軍出版社,2005:101-102.

SHI Yue-dong. Command Decision Science[M].Beijing: PLA Press,2005:101-102.

[5]汪小帆,李翔,陳關榮. 復雜網絡理論及其應用[M].北京:清華大學出版社,2006:9-15.

WANG Xiao-fan,LI Xiang,CHEN Guan-rong.Complex Networks and Their Applications[M]. Beijing:Tsinghua University Press,2006:9-15.

[6]唐晉濤,王挺,王戟. 適合復雜網絡分析的最短路徑近似算法[J].軟件學報,2011,22(10):2279-2290.

TANG Jin-Tao,WANG Ting,WANG Ji.Shortest Path Approximate Algorithm for Complex Network Analysis[J].Journal of Software,2011,22(10):2279-2290.

[7]何宇,趙洪利,姚曜，等. 介數中心性和平均最短路徑長度整合近似算法[J]. 復雜系統與復雜性科學,2011,8(3):44-53.

HE Yu,ZHAO Hong-li,YAO Yao,et al. An Integrated Approximation Algorithm for the Betweenness Centrality and Average Shortest-Path Length[J].Complex Systems and Complexity Science,2011,8(3):44-53.

[8]FREEMAN L C. A Set of Measures of Centrality Based Upon Betweenness[J]. Sociometry,1977,40(1):35-41.

[9]BURT R S. Structural Holes and Good Ideas [J]. Am J Sociol, 2004,110:349-99.

[10]章麗娟,王清賢.網絡攻擊方案評估系統設計與仿真[J].計算機工程與設計,2012,33(5):1746-1751.

ZHANG Li-juan,WANG Qing-xian. Network Attack Scenarios Evaluation System Design and Simulation[J]. Computer Engineering and Design,2012,33(5):1746-1751.

[11]吳灝.網絡攻防技術[M]. 北京:機械工業出版社,2009:148-156.

WU Hao. Network Security:Attack and Denfense[M]. Beijing:Machinery Industry Press,2009:148-156.

[12]常建娥,蔣太立. 層次分析法確定權重的研究[J]. 武漢理工大學學報,2007,29(1):153-156.

CHANG Jian-e,JIANG Tai-Li. Research on the Weight of Coefficient Through Analytic Hierarchy Process[J]. Journal of Wuhan University of Technology,2007,29(1):153-156.

[13]夏勇其,吳祈宗. 一種混合多屬性決策問題的TOPSIS方法[J].系統工程學報,2004,19(6):630-634.

XIA Yong-qi,WU Qi-zong. A Technique of Order Preference by Similarity to Ideal Solution for Hybrid Multiple Attribute Decision Making Problems[J]. Journal of Systems Engineering,2004,19(6):630-634.

[14]汪小帆,李翔,陳關榮.網絡科學導論[M].北京:高等教育出版社,2012:161.

WANG Xiao-fan, LI Xiang,CHEN Guan-rong. Network Science: An troduction[M]. Beijing:Higher Education Press,2012:161.

[15]李笑歌,宇偉,高尚偉. 基于OPNET軟件的數據網絡建模與仿真研究[J]. 系統仿真學報,2006,18(9):2653-2656.LI Xiao-ge,YU Wei, GAO Shang-wei. Modeling and Simulation of Data Network Based on OPNET Software[J]. Journal of System Simulation,2006,18(9):2653-2656.

Choice of Network Attack Nodes Based on Multiple Attribute Decision Making

ZHANG Tong,WANG Jin-song,LEI Kun

(PLA Information Engineering University, Henan Zhengzhou 450001，China)

Abstract:On the basis of analyzing the attacker’s gaining, loss and risks encountered in the network attack, a corresponding index system, making a comprehensive evaluation and sorting of the nodes' attack effect in the network with TOPSIS method. This will effectively overcome the one-sidedness of the traditional method of evaluation, which relies on single index in network topology such as degree centrality and ignores the rest of the network topology indicators such as betweenness centrality, structural holes, cost and risk of network attack. It can provide a basis for network attack plan formulation.

Key words:network attack; multiple attribute decision making (MADM); complex network; node key； comprehensive evaluation; evaluation model

*收稿日期：2015-04-20；修回日期：2015-09-20

作者簡介：張童(1986-)，男，陜西渭南人。碩士生，研究方向為信息作戰指揮輔助決策。 E-mail：zhangtong0917041@163.com

通信地址：450001河南省鄭州市高新區科學大道62號解放軍信息工程大學七院研究生隊

doi:10.3969/j.issn.1009-086x.2016.03.012

中圖分類號：TN958；TP183；TP391.1

文獻標志碼：A

文章編號：1009-086X(2016)-03-0071-07