曾偉淵
(廈門軟件職業(yè)技術(shù)學(xué)院,福建廈門 361024)
?
一種基于網(wǎng)絡(luò)熵的計(jì)算機(jī)網(wǎng)絡(luò)攻擊效果定量評估方法
曾偉淵
(廈門軟件職業(yè)技術(shù)學(xué)院,福建廈門 361024)
對于計(jì)算機(jī)網(wǎng)絡(luò)攻擊評估的方法有多種,本文通過假設(shè)提出了一種基于網(wǎng)絡(luò)“熵差”的攻擊效果評估方法,分析了各種熵差的計(jì)算方法。并構(gòu)建網(wǎng)絡(luò)攻擊評估方法的模型,從簡化合適的網(wǎng)絡(luò)安全評估的網(wǎng)絡(luò)指標(biāo)入手,架構(gòu)網(wǎng)絡(luò)攻擊效果評估的平臺(tái),對網(wǎng)絡(luò)熵的攻擊效果進(jìn)行測試,能夠?qū)嶋H地反映網(wǎng)絡(luò)攻擊效果。
網(wǎng)絡(luò)安全;網(wǎng)絡(luò)熵;評估模型
目前,計(jì)算機(jī)網(wǎng)絡(luò)廣泛地應(yīng)用于各行各業(yè),這對計(jì)算機(jī)網(wǎng)絡(luò)信息安全提出了更高的要求。計(jì)算機(jī)網(wǎng)絡(luò)的信息安全不再是簡單的隱私保護(hù),而是需要對網(wǎng)絡(luò)傳播信息的完整性、不可否認(rèn)性等特征進(jìn)行保護(hù),它成為當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全的重要組成部分。現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)的信息安全保護(hù),也逐漸將計(jì)算機(jī)網(wǎng)絡(luò)信息安全的評估、防護(hù)、監(jiān)測、控制與管理等作為信息安全保護(hù)的重要內(nèi)容。
對網(wǎng)絡(luò)安全的評價(jià),需要選取合適的性能評價(jià)指標(biāo)。一般情況下,對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行的攻擊多是為了破壞計(jì)算機(jī)網(wǎng)絡(luò)的安全性,造成計(jì)算機(jī)網(wǎng)絡(luò)安全的失效或降低計(jì)算機(jī)網(wǎng)絡(luò)的安全性。因此,對計(jì)算機(jī)網(wǎng)絡(luò)安全攻擊性能的選取分析,描述計(jì)算機(jī)網(wǎng)絡(luò)在經(jīng)過攻擊之后的安全性能變化情況,計(jì)算計(jì)算機(jī)網(wǎng)絡(luò)在攻擊前后性能指標(biāo)的差值,是對計(jì)算機(jī)網(wǎng)絡(luò)攻擊效果評價(jià)的重要標(biāo)準(zhǔn)。計(jì)算機(jī)網(wǎng)絡(luò)安全攻擊的方法有多種,在這里我們采用系統(tǒng)化的分析方法,確定網(wǎng)絡(luò)性能評價(jià)指標(biāo)。從計(jì)算機(jī)網(wǎng)絡(luò)的信息安全機(jī)制、準(zhǔn)則、指標(biāo)入手進(jìn)行分析,依據(jù)指標(biāo)逐步細(xì)分,確定一個(gè)有效的指標(biāo)評價(jià)集合,在每一個(gè)安全準(zhǔn)則下可以分許多子目標(biāo)與安全指標(biāo),形成有效的指標(biāo)性能評價(jià)體系。
2.1 網(wǎng)絡(luò)熵的內(nèi)涵
在確定計(jì)算機(jī)網(wǎng)絡(luò)攻擊的安全性能之后,采用Delphi法或?qū)嶒?yàn)仿真等方法對網(wǎng)絡(luò)攻擊指標(biāo)進(jìn)行量化分析和度量,分析網(wǎng)絡(luò)信息安全的變化情況。對于網(wǎng)絡(luò)攻擊前后的安全性差值進(jìn)行對比分析,將其作為網(wǎng)絡(luò)攻擊策略效果的一個(gè)評價(jià)維度。對攻擊效果評估時(shí),需要分析網(wǎng)絡(luò)系統(tǒng)遭受攻擊前后安全性能的變化,我們借助“熵”的概念對其進(jìn)行分析。因此,“網(wǎng)絡(luò)熵”是對網(wǎng)絡(luò)安全性能的一種描述,是對網(wǎng)絡(luò)在攻擊后的信息進(jìn)行比對后的結(jié)果,重在對網(wǎng)絡(luò)安全進(jìn)行分析,它的值越小,就能夠說明網(wǎng)絡(luò)的安全性能比較好,在這里將網(wǎng)絡(luò)熵的定義為Hi=-log2Vi,其中,Vi為網(wǎng)絡(luò)安全的歸一化指標(biāo)。在網(wǎng)絡(luò)受到攻擊之后,網(wǎng)絡(luò)的穩(wěn)定性會(huì)變差,這時(shí)網(wǎng)絡(luò)的“熵差”會(huì)發(fā)生變化,Hi的值就會(huì)增加。所以,在采用“熵差”ΔH=-log2(V2/V1)對網(wǎng)絡(luò)攻擊差值進(jìn)行表述,其中,V1是網(wǎng)絡(luò)受攻擊前的歸一化參數(shù),V2是網(wǎng)絡(luò)受攻擊后的歸一化參數(shù),通過“熵差”可以有效地對網(wǎng)絡(luò)受攻擊的穩(wěn)定性、安全性等進(jìn)行描述。
2.2 單項(xiàng)指標(biāo)的熵值計(jì)算分析
對于網(wǎng)絡(luò)受攻擊熵值的確定,主要有多種影響因素,例如信息的完整性、有用性、可靠性等因素,根據(jù)網(wǎng)絡(luò)在受到攻擊時(shí)的目標(biāo)與環(huán)境不同,所確定的性能指標(biāo)也應(yīng)該有所不同,在這里以網(wǎng)絡(luò)受攻擊的有用性為例,對其熵值進(jìn)行分析。通過分析,可以看出網(wǎng)絡(luò)受攻擊的信息安全的有用性,對其影響比較大的指標(biāo)有多種因素(表1)。
表1 有用性的影響指標(biāo)
2.2.1 吞吐量
假設(shè)網(wǎng)絡(luò)受攻擊前的吞吐量為S1,攻擊后的吞吐量為S2,對其進(jìn)行歸一化處理之后,得到的網(wǎng)絡(luò)吞吐分別為S1/Sg,S2/Sg,在這里需要保證0≤S2≤S1≤Sg,其中,Sg為正常網(wǎng)絡(luò)運(yùn)行的吞吐量。我們就可以確定網(wǎng)絡(luò)攻擊后,網(wǎng)絡(luò)數(shù)據(jù)量的評估效果:
ΔHs=-log2(S2/S1)-(-log(S1/Sg))=-log2(S2/S1).
可以看出,當(dāng)ΔHs的值為0時(shí),表示S1=S2,說明網(wǎng)絡(luò)攻擊沒有取得效果。如果S2的值變化越小,ΔHs的值會(huì)下降越大,說明網(wǎng)絡(luò)攻擊的效果越明顯。
2.2.2 信道利用率(U)分析
對于信道利用率的計(jì)算,需要采用在采樣時(shí)間段內(nèi)進(jìn)行分析,計(jì)算方法為Ui=[BT(i)/Ti]/B,其中,B為攻擊網(wǎng)絡(luò)的帶寬,BT(i)代表在第i采樣時(shí)刻內(nèi)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)目偭俊<僭O(shè),測得網(wǎng)絡(luò)受攻擊前的信道利用率為U1,受到攻擊后為U2,通過歸一化處理之后分別為V1和V2,可以得到V1=1-U1,V2=1-U2,這樣就可以得到網(wǎng)絡(luò)數(shù)據(jù)量的攻擊效果:
ΔHU=-log2V2-(-log2V1)=-log2(V2/V1).
2.2.3 網(wǎng)絡(luò)延遲R的分析
在網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)倪^程中,每一個(gè)數(shù)據(jù)的時(shí)間戳和序列號(hào)在網(wǎng)絡(luò)的傳輸端和接收端都被記錄下來,通過計(jì)算二者之間的時(shí)間差距,能夠有效地計(jì)算網(wǎng)絡(luò)延遲。計(jì)算的公式為Ti=TR(i)-TT(i),其中,Ti是網(wǎng)絡(luò)傳輸?shù)趇個(gè)數(shù)據(jù)表,TR(i)是數(shù)據(jù)報(bào)收到的時(shí)間戳,而TT(i)是數(shù)據(jù)包發(fā)生的時(shí)間戳,這樣需要對T進(jìn)行歸一化處理,處理的方法如下:
R為歸一化處理的值,在數(shù)據(jù)傳輸?shù)倪^程中,網(wǎng)絡(luò)受攻擊前的時(shí)間延遲為T0,數(shù)據(jù)在攻擊前的延遲為T1和T2,經(jīng)過歸一化處理后的值分別為R1和R2,可以得到網(wǎng)絡(luò)延遲的攻擊效果:
ΔHR=-log2R2-(-log2R1)=-log2(R2/R1).
2.2.4 延遲抖動(dòng)率(ω)
在網(wǎng)絡(luò)受到攻擊的過程中延遲抖動(dòng)率會(huì)增加,網(wǎng)絡(luò)通訊的服務(wù)質(zhì)量(Qos)將受到影響。在網(wǎng)絡(luò)延遲分析的過程中,已經(jīng)記錄下每一個(gè)數(shù)據(jù)包的時(shí)間戳和序列號(hào)。因此,網(wǎng)絡(luò)抖動(dòng)時(shí)間就是連續(xù)兩個(gè)數(shù)據(jù)包之間的時(shí)間間隔,它對網(wǎng)絡(luò)信息的安全影響十分巨大,在i時(shí)間內(nèi)收到n個(gè)數(shù)據(jù)包,根據(jù)數(shù)據(jù)接收的情況,該時(shí)刻的數(shù)據(jù)包的抖動(dòng)頻率:
f(i)=1/{[TR(n)-TT(T)]-[TR(n-1)-TT(n-1)]}.
ΔHω=-log2ω2-(-log2ω1)=-log2(ω2/ω1).
2.3 系統(tǒng)網(wǎng)絡(luò)熵差的計(jì)算
通過對通信網(wǎng)絡(luò)系統(tǒng)的可用性的“熵差”分析,可以知道網(wǎng)絡(luò)的可行性、穩(wěn)定性、不可抵賴性等安全特性的“熵差”計(jì)算方法相似,也可采用可用性的方法進(jìn)行計(jì)算,對于某一網(wǎng)絡(luò)通信系統(tǒng),可以從安全性的特點(diǎn)進(jìn)行分析,并根據(jù)安全的需要,設(shè)置不同的權(quán)值,這樣就能夠得出網(wǎng)絡(luò)通信安全性的總的網(wǎng)絡(luò)“熵差”,有效地對網(wǎng)絡(luò)安全狀況進(jìn)行定量的分析和描述。
(1)根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)的特征,分析網(wǎng)絡(luò)受到攻擊的特征,提取計(jì)算機(jī)網(wǎng)絡(luò)的安全指標(biāo)體系,并依據(jù)指標(biāo)的重要性進(jìn)行排序,然后采用Delphi法對提取的各個(gè)指標(biāo)進(jìn)行評分,通過反復(fù)評分,選取重要性的常數(shù),得到評估的簡化指標(biāo)。
(2)利用層次分析法AHP構(gòu)造兩兩比較判斷矩陣,對評估指標(biāo)進(jìn)行一致性檢驗(yàn)分析,并將指標(biāo)進(jìn)行權(quán)值加值,這樣就得到了網(wǎng)絡(luò)熵的權(quán)重。
(3)利用合適的歸一化方法對各個(gè)評估指標(biāo)進(jìn)行歸一化處理分析,然后求出各個(gè)安全指標(biāo)的網(wǎng)絡(luò)“熵差”。
(4)根據(jù)上面分析的結(jié)果,對各個(gè)指標(biāo)進(jìn)行加權(quán)平均,得到網(wǎng)絡(luò)某一個(gè)方面安全特性的網(wǎng)絡(luò)“熵差”。
(5)根據(jù)(4)計(jì)算的結(jié)果,可以綜合地求出網(wǎng)絡(luò)系統(tǒng)在攻擊前后的總的網(wǎng)絡(luò)“熵差”,進(jìn)而能夠有效地對網(wǎng)絡(luò)攻擊的效果做出綜合的評估,進(jìn)行定性的描述分析。
3.1 攻擊效果評估模型的構(gòu)建
根據(jù)上面的分析可以看出,基于網(wǎng)絡(luò)“熵差”的網(wǎng)絡(luò)攻擊效果模型能夠有效地對網(wǎng)絡(luò)攻擊的效果進(jìn)行定性的描述,可以構(gòu)建基于網(wǎng)絡(luò)“熵差”的攻擊效果評估模型結(jié)構(gòu)(圖1)。
圖1 網(wǎng)絡(luò)熵的攻擊效果評估模型
3.1.1 系統(tǒng)設(shè)置子模塊
根據(jù)網(wǎng)絡(luò)攻擊實(shí)驗(yàn)的要求,在實(shí)驗(yàn)之前,需要對攻擊網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)流量的類型、網(wǎng)絡(luò)服務(wù)質(zhì)量的種類,網(wǎng)絡(luò)安全性攻擊的目標(biāo)與路徑等基本參數(shù)進(jìn)行詳細(xì)的設(shè)置和分析。
3.1.2 指標(biāo)選擇子模塊
在對網(wǎng)絡(luò)的安全性的系統(tǒng)設(shè)置完成之后,需要從網(wǎng)絡(luò)的安全性出發(fā),選擇適合網(wǎng)絡(luò)攻擊安全性的評估指標(biāo)體系,采用Delphi法構(gòu)建評估指標(biāo)體系,然后根據(jù)各個(gè)指標(biāo)之間的關(guān)聯(lián)程度,選擇適合網(wǎng)絡(luò)攻擊性能評估指標(biāo)。
3.1.3 權(quán)值設(shè)定子模塊
采用AHP的方式逐層計(jì)算出網(wǎng)絡(luò)各個(gè)評價(jià)指標(biāo)所占的權(quán)值指標(biāo)體系,通過建立兩兩矩陣的方法進(jìn)行計(jì)算,也可以通過人工設(shè)置的方式對各個(gè)指標(biāo)的權(quán)值進(jìn)行設(shè)置,確定影響網(wǎng)絡(luò)熵的最明顯的評價(jià)指標(biāo)。
3.1.4 數(shù)據(jù)輸入子模塊
根據(jù)所設(shè)計(jì)的各項(xiàng)評估指標(biāo),對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行采集,采集所有被偵聽的數(shù)據(jù)包、SNMP MIB信息提取和網(wǎng)絡(luò)攻擊的ARP地址欺騙等數(shù)據(jù)包信息。
3.1.5 效果評估子模塊
根據(jù)在網(wǎng)絡(luò)攻擊計(jì)算出的“熵差”、指標(biāo)權(quán)值以及網(wǎng)絡(luò)攻擊后的受傷情況,對網(wǎng)絡(luò)攻擊的綜合效果進(jìn)行評估。
3.1.6 結(jié)果輸出子模塊
在網(wǎng)絡(luò)攻擊綜合效果評估數(shù)據(jù)之后,以表格、圖形和文檔等形式輸出網(wǎng)絡(luò)攻擊的綜合評估分析結(jié)果。
3.2 評估模型的驗(yàn)證
在確定理論基于網(wǎng)絡(luò)熵的網(wǎng)絡(luò)攻擊模型評估效果之后,需要對其有效性和合理性進(jìn)行驗(yàn)證,根據(jù)網(wǎng)絡(luò)攻擊的基本要求,搭建一個(gè)網(wǎng)絡(luò)評估實(shí)驗(yàn)平臺(tái),對建立的網(wǎng)絡(luò)工具性能評估指標(biāo)進(jìn)行驗(yàn)證。通過對受試網(wǎng)絡(luò)發(fā)動(dòng)模擬攻擊,對網(wǎng)絡(luò)的穩(wěn)定性進(jìn)行研究和分析,實(shí)時(shí)地記錄網(wǎng)絡(luò)數(shù)據(jù)流量的變化情況,并利用所確立的評估模型,對實(shí)驗(yàn)數(shù)據(jù)進(jìn)行分析,與實(shí)際的攻擊效果進(jìn)行比較分析,以確定評估模型的效果。具體構(gòu)建的實(shí)驗(yàn)平臺(tái)如圖2所示。
圖2 網(wǎng)絡(luò)熵評估模型的實(shí)驗(yàn)平臺(tái)架構(gòu)
3.2.1 主控模塊
主要功能是對系統(tǒng)的程序進(jìn)行控制,對系統(tǒng)的其它模塊進(jìn)行控制,并對平臺(tái)的架構(gòu)的參數(shù)進(jìn)行管理與設(shè)置。
3.2.2 脆弱性掃描模塊
對測試網(wǎng)絡(luò)的安全漏洞進(jìn)行安全掃描,分析計(jì)算機(jī)網(wǎng)絡(luò)存在脆弱性的功能,并將掃描的結(jié)果存入到結(jié)果庫中。
3.2.3 模擬攻擊模塊
主要功能是對計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊,根據(jù)脆弱性掃描模塊掃描的結(jié)果,對網(wǎng)絡(luò)漏洞進(jìn)行攻擊,并將攻擊的結(jié)果保存在評估模塊中。
3.2.4 數(shù)據(jù)庫模塊
主要功能是對各個(gè)數(shù)據(jù)庫進(jìn)行維護(hù)和管理等工作。
3.2.5 數(shù)據(jù)采集模塊
主要功能是對攻擊網(wǎng)絡(luò)的相關(guān)特征變量和數(shù)據(jù)的信息進(jìn)行采集,并對收集到的數(shù)據(jù)進(jìn)行處理,然后對網(wǎng)絡(luò)攻擊的數(shù)據(jù)進(jìn)行評估。
3.2.6 綜合評估模塊
對網(wǎng)絡(luò)受到攻擊之后的相關(guān)功能進(jìn)行描述評估,利用數(shù)據(jù)采集模塊采集到的數(shù)據(jù),在根據(jù)網(wǎng)絡(luò)攻擊的評估模型計(jì)算出網(wǎng)絡(luò)的“熵差”和攻擊后的網(wǎng)絡(luò)損傷情況進(jìn)行評估分析,并給出可以度量的定量或者定性描述分析,最后通過輸出模塊對分析的結(jié)果采用可視化的形式進(jìn)行輸出。
通過采用構(gòu)建的評價(jià)指標(biāo)進(jìn)行模擬測試,得到的測試數(shù)據(jù)如表2和表3所示。
表2 基于模型的UDP flooder模擬攻擊數(shù)據(jù)
表3 基于模型的Ping of death模擬攻擊數(shù)據(jù)
計(jì)算機(jī)網(wǎng)絡(luò)攻擊效果的安全評估是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要組成部分,它不僅能提高計(jì)算機(jī)網(wǎng)絡(luò)安全的穩(wěn)定性,也有利于提高計(jì)算機(jī)網(wǎng)絡(luò)在復(fù)雜的網(wǎng)絡(luò)環(huán)境中的信息防護(hù)的突擊應(yīng)對能力,有利于提高網(wǎng)絡(luò)安全性和穩(wěn)定。計(jì)算機(jī)網(wǎng)絡(luò)攻擊效果評估技術(shù)對于網(wǎng)絡(luò)信息系統(tǒng)的安全具有十分重要的作用,通過攻擊評估能夠有效地發(fā)現(xiàn)網(wǎng)絡(luò)中存在的問題,及時(shí)對網(wǎng)絡(luò)安全管理策略進(jìn)行調(diào)整,有利于保證網(wǎng)絡(luò)信息數(shù)據(jù)傳輸?shù)耐暾浴⒂行?、安全性等,對?jì)算機(jī)網(wǎng)絡(luò)攻擊評估技術(shù)的研究成為當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全管理的重要研究方向之一。本文采用信息“熵差”的管理方式,構(gòu)建了基于網(wǎng)絡(luò)信息熵的計(jì)算機(jī)網(wǎng)絡(luò)安全攻擊評估模型,詳細(xì)地探究了各種網(wǎng)絡(luò)信息“熵差”的分析與計(jì)算方法,并通過研究平臺(tái)對構(gòu)建的模型進(jìn)行了驗(yàn)證。
[1]王新安,周漫,萬敵.基于網(wǎng)絡(luò)熵的計(jì)算機(jī)網(wǎng)絡(luò)攻擊效果定量評估方法分析[J].科技資訊,2013(5):18.
[2]王克難.計(jì)算機(jī)網(wǎng)絡(luò)攻擊的防范與效果評估[J].煤炭技術(shù),2013(5):164-165.
[3]趙博夫,殷肖川.多維網(wǎng)絡(luò)攻擊效果評估方法研究[J].計(jì)算機(jī)工程與設(shè)計(jì),2011(8):2596-2599.
[4]任連興,單洪.基于效果評估的網(wǎng)絡(luò)抗毀性研究[J].計(jì)算機(jī)與現(xiàn)代化,2010(1):150-152.
[5]黃祖文.計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行中常見安全威脅與防范措施[J].中國新通信,2012(22):94-95.
[6]楊歐.基于CDIO模式的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)教學(xué)研究與實(shí)踐[J].新校園:理論版,2012(8):54-55.
[7]武保錠.計(jì)算機(jī)網(wǎng)絡(luò)的安全防范策略與被攻擊防御技術(shù)研究[J].電腦知識(shí)與技術(shù):學(xué)術(shù)交流,2012(5):3040-3041.
A Quantitative Evaluation Method of Computer Network Attack Effects Based on Network Entropy
ZENG Wei-yuan
(Xiamen Institute of Software Technology, Xiamen Fujian 361024, China)
There are various methods to evaluate computer network attack effects. In this article, the author proposes an evaluation method based on network entropy by assumption, analyzes different evaluation methods, and builds a evaluation method model of network attack. Then starting from the simplification of appropriate network indicators of network security evaluation, he establishes a platform of network attack effect evaluation to test the effects of network entropy, reflecting the actual effects of network attack.
network security; network entropy; evaluation mode
2016-05-31
曾偉淵(1983- ),男,高級工程師,講師,從事計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)研究。
TP3
A
2095-7602(2016)08-0024-06