一種基于網絡熵的計算機網絡攻擊效果定量評估方法

曾偉淵

(廈門軟件職業技術學院，福建廈門 361024)

?

一種基于網絡熵的計算機網絡攻擊效果定量評估方法

曾偉淵

(廈門軟件職業技術學院，福建廈門 361024)

對于計算機網絡攻擊評估的方法有多種，本文通過假設提出了一種基于網絡“熵差”的攻擊效果評估方法，分析了各種熵差的計算方法。并構建網絡攻擊評估方法的模型，從簡化合適的網絡安全評估的網絡指標入手，架構網絡攻擊效果評估的平臺，對網絡熵的攻擊效果進行測試，能夠實際地反映網絡攻擊效果。

網絡安全；網絡熵；評估模型

目前，計算機網絡廣泛地應用于各行各業，這對計算機網絡信息安全提出了更高的要求。計算機網絡的信息安全不再是簡單的隱私保護，而是需要對網絡傳播信息的完整性、不可否認性等特征進行保護，它成為當前計算機網絡安全的重要組成部分。現代計算機網絡的信息安全保護，也逐漸將計算機網絡信息安全的評估、防護、監測、控制與管理等作為信息安全保護的重要內容。

1 網絡安全性能指標的選取分析

對網絡安全的評價，需要選取合適的性能評價指標。一般情況下，對計算機網絡進行的攻擊多是為了破壞計算機網絡的安全性，造成計算機網絡安全的失效或降低計算機網絡的安全性。因此，對計算機網絡安全攻擊性能的選取分析，描述計算機網絡在經過攻擊之后的安全性能變化情況，計算計算機網絡在攻擊前后性能指標的差值，是對計算機網絡攻擊效果評價的重要標準。計算機網絡安全攻擊的方法有多種，在這里我們采用系統化的分析方法，確定網絡性能評價指標。從計算機網絡的信息安全機制、準則、指標入手進行分析，依據指標逐步細分，確定一個有效的指標評價集合，在每一個安全準則下可以分許多子目標與安全指標，形成有效的指標性能評價體系。

2 基于網絡熵的攻擊效果分析

2.1 網絡熵的內涵

在確定計算機網絡攻擊的安全性能之后，采用Delphi法或實驗仿真等方法對網絡攻擊指標進行量化分析和度量，分析網絡信息安全的變化情況。對于網絡攻擊前后的安全性差值進行對比分析，將其作為網絡攻擊策略效果的一個評價維度。對攻擊效果評估時，需要分析網絡系統遭受攻擊前后安全性能的變化，我們借助“熵”的概念對其進行分析。因此，“網絡熵”是對網絡安全性能的一種描述，是對網絡在攻擊后的信息進行比對后的結果，重在對網絡安全進行分析，它的值越小，就能夠說明網絡的安全性能比較好，在這里將網絡熵的定義為Hi=-log2Vi，其中，Vi為網絡安全的歸一化指標。在網絡受到攻擊之后，網絡的穩定性會變差，這時網絡的“熵差”會發生變化，Hi的值就會增加。所以，在采用“熵差”ΔH=-log2(V2/V1)對網絡攻擊差值進行表述，其中，V1是網絡受攻擊前的歸一化參數，V2是網絡受攻擊后的歸一化參數，通過“熵差”可以有效地對網絡受攻擊的穩定性、安全性等進行描述。

2.2 單項指標的熵值計算分析

對于網絡受攻擊熵值的確定，主要有多種影響因素，例如信息的完整性、有用性、可靠性等因素，根據網絡在受到攻擊時的目標與環境不同，所確定的性能指標也應該有所不同，在這里以網絡受攻擊的有用性為例，對其熵值進行分析。通過分析，可以看出網絡受攻擊的信息安全的有用性，對其影響比較大的指標有多種因素(表1)。

表1 有用性的影響指標

2.2.1 吞吐量

假設網絡受攻擊前的吞吐量為S1，攻擊后的吞吐量為S2，對其進行歸一化處理之后，得到的網絡吞吐分別為S1/Sg,S2/Sg，在這里需要保證0≤S2≤S1≤Sg，其中，Sg為正常網絡運行的吞吐量。我們就可以確定網絡攻擊后，網絡數據量的評估效果：

ΔHs=-log2(S2/S1)-(-log(S1/Sg))=-log2(S2/S1).

可以看出，當ΔHs的值為0時，表示S1=S2，說明網絡攻擊沒有取得效果。如果S2的值變化越小，ΔHs的值會下降越大，說明網絡攻擊的效果越明顯。

2.2.2 信道利用率(U)分析

對于信道利用率的計算，需要采用在采樣時間段內進行分析，計算方法為Ui=[BT(i)/Ti]/B，其中，B為攻擊網絡的帶寬，BT(i)代表在第i采樣時刻內網絡數據傳輸的總量。假設，測得網絡受攻擊前的信道利用率為U1，受到攻擊后為U2，通過歸一化處理之后分別為V1和V2，可以得到V1=1-U1,V2=1-U2，這樣就可以得到網絡數據量的攻擊效果：

ΔHU=-log2V2-(-log2V1)=-log2(V2/V1).

2.2.3 網絡延遲R的分析

在網絡數據傳輸的過程中，每一個數據的時間戳和序列號在網絡的傳輸端和接收端都被記錄下來，通過計算二者之間的時間差距，能夠有效地計算網絡延遲。計算的公式為Ti=TR(i)-TT(i)，其中，Ti是網絡傳輸第i個數據表，TR(i)是數據報收到的時間戳，而TT(i)是數據包發生的時間戳，這樣需要對T進行歸一化處理，處理的方法如下：

R為歸一化處理的值，在數據傳輸的過程中，網絡受攻擊前的時間延遲為T0，數據在攻擊前的延遲為T1和T2，經過歸一化處理后的值分別為R1和R2，可以得到網絡延遲的攻擊效果：

ΔHR=-log2R2-(-log2R1)=-log2(R2/R1).

2.2.4 延遲抖動率(ω)

在網絡受到攻擊的過程中延遲抖動率會增加，網絡通訊的服務質量(Qos)將受到影響。在網絡延遲分析的過程中，已經記錄下每一個數據包的時間戳和序列號。因此，網絡抖動時間就是連續兩個數據包之間的時間間隔，它對網絡信息的安全影響十分巨大，在i時間內收到n個數據包，根據數據接收的情況，該時刻的數據包的抖動頻率：

f(i)=1/{[TR(n)-TT(T)]-[TR(n-1)-TT(n-1)]}.

ΔHω=-log2ω2-(-log2ω1)=-log2(ω2/ω1).

2.3 系統網絡熵差的計算

通過對通信網絡系統的可用性的“熵差”分析，可以知道網絡的可行性、穩定性、不可抵賴性等安全特性的“熵差”計算方法相似，也可采用可用性的方法進行計算，對于某一網絡通信系統，可以從安全性的特點進行分析，并根據安全的需要，設置不同的權值，這樣就能夠得出網絡通信安全性的總的網絡“熵差”，有效地對網絡安全狀況進行定量的分析和描述。

(1)根據計算機網絡的特征，分析網絡受到攻擊的特征，提取計算機網絡的安全指標體系，并依據指標的重要性進行排序，然后采用Delphi法對提取的各個指標進行評分，通過反復評分，選取重要性的常數，得到評估的簡化指標。

(2)利用層次分析法AHP構造兩兩比較判斷矩陣，對評估指標進行一致性檢驗分析，并將指標進行權值加值，這樣就得到了網絡熵的權重。

(3)利用合適的歸一化方法對各個評估指標進行歸一化處理分析，然后求出各個安全指標的網絡“熵差”。

(4)根據上面分析的結果，對各個指標進行加權平均，得到網絡某一個方面安全特性的網絡“熵差”。

(5)根據(4)計算的結果，可以綜合地求出網絡系統在攻擊前后的總的網絡“熵差”，進而能夠有效地對網絡攻擊的效果做出綜合的評估，進行定性的描述分析。

3 網絡熵的攻擊效果評估模型的構建

3.1 攻擊效果評估模型的構建

根據上面的分析可以看出，基于網絡“熵差”的網絡攻擊效果模型能夠有效地對網絡攻擊的效果進行定性的描述，可以構建基于網絡“熵差”的攻擊效果評估模型結構(圖1)。

圖1 網絡熵的攻擊效果評估模型

3.1.1 系統設置子模塊

根據網絡攻擊實驗的要求，在實驗之前，需要對攻擊網絡的拓撲結構、網絡流量的類型、網絡服務質量的種類，網絡安全性攻擊的目標與路徑等基本參數進行詳細的設置和分析。

3.1.2 指標選擇子模塊

在對網絡的安全性的系統設置完成之后，需要從網絡的安全性出發，選擇適合網絡攻擊安全性的評估指標體系，采用Delphi法構建評估指標體系，然后根據各個指標之間的關聯程度，選擇適合網絡攻擊性能評估指標。

3.1.3 權值設定子模塊

采用AHP的方式逐層計算出網絡各個評價指標所占的權值指標體系，通過建立兩兩矩陣的方法進行計算，也可以通過人工設置的方式對各個指標的權值進行設置，確定影響網絡熵的最明顯的評價指標。

3.1.4 數據輸入子模塊

根據所設計的各項評估指標，對網絡數據進行采集，采集所有被偵聽的數據包、SNMP MIB信息提取和網絡攻擊的ARP地址欺騙等數據包信息。

3.1.5 效果評估子模塊

根據在網絡攻擊計算出的“熵差”、指標權值以及網絡攻擊后的受傷情況，對網絡攻擊的綜合效果進行評估。

3.1.6 結果輸出子模塊

在網絡攻擊綜合效果評估數據之后，以表格、圖形和文檔等形式輸出網絡攻擊的綜合評估分析結果。

3.2 評估模型的驗證

在確定理論基于網絡熵的網絡攻擊模型評估效果之后，需要對其有效性和合理性進行驗證，根據網絡攻擊的基本要求，搭建一個網絡評估實驗平臺，對建立的網絡工具性能評估指標進行驗證。通過對受試網絡發動模擬攻擊，對網絡的穩定性進行研究和分析，實時地記錄網絡數據流量的變化情況，并利用所確立的評估模型，對實驗數據進行分析，與實際的攻擊效果進行比較分析，以確定評估模型的效果。具體構建的實驗平臺如圖2所示。

圖2 網絡熵評估模型的實驗平臺架構

3.2.1 主控模塊

主要功能是對系統的程序進行控制，對系統的其它模塊進行控制，并對平臺的架構的參數進行管理與設置。

3.2.2 脆弱性掃描模塊

對測試網絡的安全漏洞進行安全掃描，分析計算機網絡存在脆弱性的功能，并將掃描的結果存入到結果庫中。

3.2.3 模擬攻擊模塊

主要功能是對計算機網絡進行攻擊，根據脆弱性掃描模塊掃描的結果，對網絡漏洞進行攻擊，并將攻擊的結果保存在評估模塊中。

3.2.4 數據庫模塊

主要功能是對各個數據庫進行維護和管理等工作。

3.2.5 數據采集模塊

主要功能是對攻擊網絡的相關特征變量和數據的信息進行采集，并對收集到的數據進行處理，然后對網絡攻擊的數據進行評估。

3.2.6 綜合評估模塊

對網絡受到攻擊之后的相關功能進行描述評估，利用數據采集模塊采集到的數據，在根據網絡攻擊的評估模型計算出網絡的“熵差”和攻擊后的網絡損傷情況進行評估分析，并給出可以度量的定量或者定性描述分析，最后通過輸出模塊對分析的結果采用可視化的形式進行輸出。

通過采用構建的評價指標進行模擬測試，得到的測試數據如表2和表3所示。

表2 基于模型的UDP flooder模擬攻擊數據

表3 基于模型的Ping of death模擬攻擊數據

4 結語

計算機網絡攻擊效果的安全評估是計算機網絡安全的重要組成部分，它不僅能提高計算機網絡安全的穩定性，也有利于提高計算機網絡在復雜的網絡環境中的信息防護的突擊應對能力，有利于提高網絡安全性和穩定。計算機網絡攻擊效果評估技術對于網絡信息系統的安全具有十分重要的作用，通過攻擊評估能夠有效地發現網絡中存在的問題，及時對網絡安全管理策略進行調整，有利于保證網絡信息數據傳輸的完整性、有效性、安全性等，對計算機網絡攻擊評估技術的研究成為當前計算機網絡安全管理的重要研究方向之一。本文采用信息“熵差”的管理方式，構建了基于網絡信息熵的計算機網絡安全攻擊評估模型，詳細地探究了各種網絡信息“熵差”的分析與計算方法，并通過研究平臺對構建的模型進行了驗證。

[1]王新安,周漫,萬敵.基于網絡熵的計算機網絡攻擊效果定量評估方法分析[J].科技資訊,2013(5):18.

[2]王克難.計算機網絡攻擊的防范與效果評估[J].煤炭技術,2013(5):164-165.

[3]趙博夫,殷肖川.多維網絡攻擊效果評估方法研究[J].計算機工程與設計,2011(8):2596-2599.

[4]任連興,單洪.基于效果評估的網絡抗毀性研究[J].計算機與現代化,2010(1):150-152.

[5]黃祖文.計算機網絡運行中常見安全威脅與防范措施[J].中國新通信,2012(22):94-95.

[6]楊歐.基于CDIO模式的計算機網絡安全技術教學研究與實踐[J].新校園:理論版,2012(8):54-55.

[7]武保錠.計算機網絡的安全防范策略與被攻擊防御技術研究[J].電腦知識與技術:學術交流,2012(5):3040-3041.

A Quantitative Evaluation Method of Computer Network Attack Effects Based on Network Entropy

ZENG Wei-yuan

(Xiamen Institute of Software Technology, Xiamen Fujian 361024, China)

There are various methods to evaluate computer network attack effects. In this article, the author proposes an evaluation method based on network entropy by assumption, analyzes different evaluation methods, and builds a evaluation method model of network attack. Then starting from the simplification of appropriate network indicators of network security evaluation, he establishes a platform of network attack effect evaluation to test the effects of network entropy, reflecting the actual effects of network attack.

network security; network entropy; evaluation mode

2016-05-31

曾偉淵(1983- )，男，高級工程師，講師，從事計算機與網絡技術研究。

TP3

A

2095-7602(2016)08-0024-06