基于改進VIKOR的攻擊效果評估算法

宿振宇，盧 凱

(華北計算機系統工程研究所，北京 100083)

0 引言

隨著科技的不斷發展進步，計算機網絡已經廣泛應用到了各行各業，大量新型互聯網產品和服務應運而生，與此同時，計算機網絡的安全問題也隨之而來，網絡安全威脅日益凸顯，有組織、有目的的網絡攻擊形勢愈加明顯，為網絡安全防護工作帶來了更多挑戰。研究網絡攻擊效果評估，對深入研究攻擊原理與技術和提高抵御網絡攻擊能力兩方面都具有重要意義。

1 相關研究

網絡攻擊效果評估一般分為以下幾個步驟：首先構建合理的指標體系，其次確定指標的權重，最后計算評估結果。

目前已有國內外學者對網絡攻擊效果評估這個課題進行了一定研究。在評估指標的建立方面：胡影等人研究了網絡攻擊效果的提取和分類，定義原子功能作為攻擊效果的基本單位,提出了原子功能提取的原則[1]；汪生等人提出了可對多種技術進行攻擊效果評估的指標體系，給出了單個使用和聯合使用攻擊模型進行效果評估的方法[2]。在評估算法的改進方面：張義榮等人提出了網絡熵的概念，給出了基于網絡信息熵的網絡攻擊效果定量評估模型[3]；李雄偉等人提出了模糊層次分析法(Fuzzy-AHP)，解決了一致性檢驗難問題[4]；王會梅等人在評估中引入粗糙集理論，對屬性的重要性進行度量，不依賴于先驗知識，但該方法對樣本數據的要求較高[5]；Jajodia等人考慮評估的關聯性，將灰色系統理論應用于網絡攻擊效果評估中[6]。

在水利工程、供應鏈績效評價等領域內還有一種基于數學模型的評估算法——多準則妥協解排序法(VlseKriterijumska Optimizacija I Kompromisno Resenje，VIKOR)，VIKOR方法的基本思想是：基于理想點并利用折衷優化思想對備選方案進行排序[7]。此方法未曾在網絡攻擊效果評估領域中有所應用，但其采用的多準則決策折衷優化思想也適用于網絡攻擊效果評估這個課題。

綜上所述，目前存在一些可行的算法，但大都基于層次分析法，在此方法中，不考慮各個指標因素之間的相互關系，認為各個指標之間是相互獨立的，但在評價網絡攻擊效果時，各指標總會相互影響。因此本文引入網絡分析法(Network Analysis Process，ANP)，使用DEMATEL-ANP方法建立網絡結構[8-11]，考慮指標之間的相互關系，將各攻擊類型從特征指標和性能指標兩個方面建立攻擊效果評估體系，并采用VIKOR和灰色關聯分析相融合的方法對攻擊效果進行評估。

2 網絡攻擊效果評估模型構建

2.1 評估指標構建

本文從基礎指標和攻擊的特征指標兩個方面來建立指標體系[12-13]，將網絡攻擊分為以下四大類：流量分析、篡改、惡意程序、拒絕服務。相對應地，將特征指標細化為以下幾個原子功能：探測信息、破壞數據、權限控制、拒絕服務。在被攻擊機受到一種或多種網絡攻擊時，只需選取對應的原子功能，即可對攻擊效果進行度量。本文構造的網絡攻擊效果評估指標體系如圖1所示。

圖1 評估指標體系

2.2 評估模型構建

2.2.1 DEMATEL-ANP模型

首先，從采取的模擬攻擊實驗出發，確定指標所用的原子功能，采用DEMATEL方法思想，將各指標之間的關聯度進行量化，將指標i對指標j的影響程度在合適的標度內進行度量得到aij，矩陣主對角線代表指標與自身的關聯度，其值均為0，可獲得直接影響矩陣O：

然后，在上述直接影響矩陣O的基礎上，通過歸一化計算得到規范化直接影響矩陣N：

接下來，由上述的規范化直接影響矩陣N，計算得到綜合影響矩陣T。規范化直接影響矩陣自乘,表示的是要素之間增加的間接影響，當把所有的間接影響都加起來的時候有如下公式：

其中，I為單位矩陣。

由上述計算得出的綜合影響矩陣T，可以通過下文計算得到各個要素的影響度、被影響度、中心度、原因度。

接下來，采用ANP方法的思想，將矩陣T每列進行歸一化處理獲得加權超矩陣W。

為了能夠準確反映各指標間的相互關系，以加權超矩陣為基礎，通過穩定性處理，得到最終的穩定超矩陣W′：

如果上述極限收斂且唯一，那么所得的極限超矩陣W′的所有列向量將是相同的，而此時的列向量就是各指標的權重。

整個計算流程如圖2所示。

圖2 權重計算流程圖

2.2.2 VIKOR-灰色關聯度模型

首先，對問題進行描述，在仿真平臺模擬攻擊，根據構建的指標體系進行數據采集，假設采集到m組指標，n次攻擊的數據，利用m個指標對n個對象進行評價。fij表示在指標aj下對象Ai的值(i=1，2，…，n；j=1，2，…，m)，決策矩陣為F=[fij]n×m，對指標數據標準化后，得到標準化決策矩陣X=[xij]n×m：

根據得到的決策矩陣X確定正、負理想解，在這里參考VIKOR方法的思想，將正、負理想解用X+、X-來表示，那么就有：

計算基于VIKOR網絡攻擊效果評估的效益值Si和遺憾值Ri：

其 中，ωj是aj的 權 重。

Si的值越小，表明Ai的效益越高，也就是攻擊效果越好；Ri的值越小，表明Ai的遺憾越小，也就是攻擊成本越小。

接下來可以得到最大、最小效益值和遺憾值：

本文采用灰色關聯分析的思想，將正理想解作為參考隊列，待評估方案作為比較隊列，那么在指標aj下對象Ai與正理想解的灰色關聯系數為：

將負理想解作為參考隊列，待評估方案作為比較隊列，那么在指標aj下對象Ai與負理想解的灰色關聯系數為：

與正理想解的關聯度為：

與負理想解的關聯度為：

其中，ρ為分辨系數，一般取值為0.5。

接下來，計算基于灰色關聯分析的待評估方案效益值si和遺憾值ri：

si、ri最大、最小值的確定：

計算基于VIKOR和灰色關聯分析的待評估方案綜合指標Qi：

其 中δ+=S+×s+，δ-=S-×s-，θ+=R+×r+，θ-=R-×r-，δi=Si×si，θi=Ri×ri；v為折衷系數，一般取v=0.5，表示從均衡的視角進行描述。

分 別 利 用δi、θi、Qi的 值 對 方 案 進 行 排 序，值 越小排序越靠前。

確定最優折衷方案，設Qi(i=1，2，…，n)中最小值對應的方案為A1，次小值對應的方案為A2，若滿足以下兩個條件則A1為最優：

(1)Q(A2)-Q(A1)≥DQ，DQ=1/(n-1)；

(2)在δi和θi中至少有一個排序最為靠前。

如果有一個條件不滿足，則得到一個折衷解集：

(1)如果滿足條件(1)不滿足條件(2)，則折衷解集為{A1，A2}。

(2)如果不滿足條件(1)滿足條件(2)，這時可以在滿足不等式：Q(Ai)-Q(A1)＜DQ的i中取一個最大值imax，從而得到折衷解集為{A1，A2，…，Aimax}[14-18]。

3 實證分析與結果

本文以典型的DDoS攻擊為例，證明所提出模型的合理性。首先在指標體系中選取合適的原子功能，DDoS攻擊的主要影響在資源消耗和服務破壞兩方面，因此選擇硬件資源消耗能力、網絡資源消耗能力、拒絕服務三個原子功能建立對DDoS攻擊的指標集，本文將指標集定義為D，D={丟包率，響應時間，響應成功率，網絡抖動，網絡帶寬占用率，內存使用率，CPU使用率}[19]。

3.1 指標權重分配

通過上文提出的DEMATEL-ANP模型，可以得到綜合影響矩陣，從而得到各個要素的影響度、被影響度、中心度、原因度，如表1所示。

表1 指標元素相關度數據表

通過綜合影響矩陣，可以計算得到穩定超矩陣，從而獲得各指標的權重值如圖3所示。

圖3 指標權重分配圖

3.2 網絡攻擊效果評估結果

實驗采用UDP Flood攻擊，設計具體的攻擊方案[19-20]：

(1)在攻擊機上部署LOIC攻擊工具，采用wireshark觀察UDP包攻擊情況；

(2)在被攻擊機上部署iperf和perfmon采集被攻擊機指標數據，在虛擬機中安裝Tomcat服務器；

(3)實驗進行5次攻擊，每次攻擊持續時間為2 min，分別采集2 min后的攻擊數據，啟用攻擊后持續訪問Tomcat，觀察其服務狀態；

(4)為防止偶然性，進行多次實驗，數據取其平均值，攻擊強度通過增加攻擊線程數量和加快攻擊速度實現，實驗強度為A1＜A2＜A3＜A4＜A5。

實驗過程中獲取的指標數據如表2所示。

表2 指標數據

根據提出的VIKOR-灰色關聯分析法可以得出待評估方案的期望值、妥協值以及基于灰色關聯度的期望值和妥協值，如表3所示。

表3 期望值和妥協值

根據VIKOR方法的評價方法，通過期望值和妥協值計算得到綜合指標，如表4所示。

表4 綜合指標

由表中數據可以得到5次攻擊的效果排序為A1＜A2＜A3＜A4＜A5，與預先設置的實驗攻擊強度排序相符，由此可以證明本文算法的有效性和合理性。

在實際決策中，專家可能會有不同的主觀態度，進而采取不同的折衷系數v，隨著v值變化，排序可能會發生變化。本文設v∈[0，1]，步長設為0.1進行敏感度分析，驗證評價模型的準確性。通過結果得知，在不同值下，5次攻擊的排序不變，因此可以認定此模型對v擾動不敏感，進一步驗證了模型的穩定性。

3.3 對比分析

本文使用目前比較流行的TOPSIS算法和灰色關聯分析法作為對照，TOPSIS算法是一種被廣泛應用的多屬性決策方法，通過對待評估方案和正負理想解貼近度的考量來對所有方案進行評估排序，灰色關聯分析法通過灰色關聯度來考量待評估方案與最優解之間的關聯關系，從而對待評估方案的效果進行描述[21-22]。對比本文算法，對5次攻擊實驗進行評估，分別得到各方法的綜合評價結果，如圖4所示。

圖4 算法對比圖

因為本文算法是越小越好型指標，而TOPSIS算法和灰色關聯分析法是越大越好型指標，因此折線圖趨勢不同。通過比較可以發現，本文提出的VIKOR-灰色關聯分析評估算法與另外兩種算法得出的結果一致，并與預先設置的實驗攻擊強度排序相符，因此可以證明本文算法的有效性。

與其他兩種方法對比，本文所提出方法的優勢如下：

(1)與TOPSIS算法對比：TOPSIS算法的核心在于比較待決策方案與理想點的距離。在TOPSIS算法中，不僅要考慮到與正理想解的最近距離，而且要考慮到與負理想解的最長距離，從而確定最優解，以最大限度地提高效益。但TOPSIS中的這些距離只是簡單地求和，沒有考慮它們的相對重要性，相反，VIKOR算法通過最佳化妥協提出了一個新的方法，決策者會考慮待決策方案與理想解距離的相對重要性，也考慮距離自身的權重，使用正負理想解概念，同時考慮各方案與正理想方案和負理想方案的貼近度。因此本文算法得到的妥協解更接近理想解。

通過對數據的分析可以發現，用TOPSIS算法得出的對各次攻擊的評估值之間的相對差異較小，即評估值分布比較密集，而過度精確的排序會導致排序結果出現逆序，所以其得到的最終結果并不一定是最優解。而本文算法得到的評估值之間的相對差異較大，因此，當需要評估的樣本數量比較大的時候，本文算法會表現出更大的優勢。

(2)與灰色關聯分析法對比：與本文所提出的方法相比，灰色關聯分析法的主觀性過強，且各方案的評估值差距較小。當待評估的攻擊數量增加時，不利于評估者做出更加合理的判斷。而本文算法對各次攻擊的評估值區分度較大，更便于區分各次攻擊的效果。

4 結論

本文針對網絡攻擊效果評估進行研究，提出了基于VIKOR-灰色關聯度的網絡攻擊效果評估方法。該方法使用DEMATEL-ANP方法建立網絡結構，考慮指標之間的相互關系，克服了傳統的基于層次分析法的評估中不考慮指標間相互關聯關系的問題，將各攻擊類型從特征指標和性能指標兩個方面建立了一套攻擊效果評估體系，并將VIKOR和灰色關聯分析方法相融合，提出VIKOR-灰色關聯分析法對攻擊效果進行評估，既彌補了灰色關聯度從單一角度評估的問題，又彌補了TOPSIS算法不考慮自身權重、容易產生逆序的問題，并通過實驗證明了該方法是有效的。