李程瑜 齊玉東

（海軍航空大學 煙臺 264001）

1 引言

隨著計算機科學技術的飛速發(fā)展，互聯(lián)網(wǎng)已經覆蓋了社會生活的各個方面。移動支付、智慧城市、智能家居、無人駕駛等互聯(lián)網(wǎng)新事物的出現(xiàn)給人們的生活帶來了極大的便利，也促進了整個社會的發(fā)展。然而，在互聯(lián)網(wǎng)高速發(fā)展的同時，網(wǎng)絡安全問題日益突出，網(wǎng)絡攻擊事件時有發(fā)生，給社會造成巨大損失。2016年11月10日，來自30個國家2.4萬臺計算機構成的僵尸網(wǎng)絡對俄羅斯五家大銀行的網(wǎng)絡服務系統(tǒng)發(fā)動強大的不間斷的DDoS攻擊。同年10月21日，提供動態(tài)DNS服務的Dyn DNS遭到了大規(guī)模DDoS攻擊，導致某些網(wǎng)站一度癱瘓，Twitter甚至出現(xiàn)了近24小時0訪問的局面［1］。由此可見，分布式拒絕服務（Distributed Denial of Service）攻擊［2～5］事件表現(xiàn)較為突出，造成危害巨大且難以防范，已經成為互聯(lián)網(wǎng)面臨的主要安全問題。為了辨別DDoS攻擊的攻擊強度，并針對不同強度的DDoS攻擊采取相應的防御措施，需要對DDoS攻擊效果評估開展研究。

本文提出基于灰色模糊層次模型的DDoS攻擊態(tài)勢評估，建立DDoS攻擊態(tài)勢評估指標體系，將灰色系統(tǒng)理論［6］與模糊層次分析法［7］相結合，形成了兼具二者優(yōu)點的灰色模糊層次模型，綜合考慮系統(tǒng)可能遭受的損害來評估DDoS攻擊效果。

2 相關研究

目前為止，有關DDoS攻擊效果評估［8］的研究主要將整個評估過程為以下幾步：建立DDoS攻擊效果評估指標體系；確定評估指標權重；利用評價方法對攻擊效果進行綜合評估。在評估指標體系建立方面：汪洋［9］等提出計算機網(wǎng)絡安全評估指標體系一般由目標層、指標層、子指標層構成，建立時應遵循完備性、代表性、獨立性、簡練性等原則。在確定指標權重方面：王會梅［10］等利用粗糙集理論客觀確定權重，與層次分析法相比減少了一定的主觀性，但缺少進行權重確定的樣本數(shù)據(jù)，沒有說服力。文獻［11］采用了模糊層次分析法，通過建立模糊一致判斷矩陣，省略了層次分析法中判斷矩陣一致性檢驗的問題。在利用評價方法進行綜合評估方面：張義榮［12］等提出一種基于網(wǎng)絡熵的計算機效果定量評估方法，并提出了基于網(wǎng)絡熵的攻擊效果評估系統(tǒng)的實現(xiàn)思路，但沒有具體實現(xiàn)。METHTA［13］等提出了一種基于攻擊狀態(tài)信息圖的評估方法，通過對圖狀態(tài)的排序來確定評估結果，但這種基于知識推理的評估方法評估難度較大，可操作性不強。

綜上所述，現(xiàn)有研究可操作性不強，缺少一個完整的DDoS攻擊效果態(tài)勢評估模型。因而本文提出基于灰色模糊層次模型，完整地分析了利用該模型進行DDoS攻擊效果評估的整個過程，并對攻擊態(tài)勢進行實時評估。

3 DDoS攻擊態(tài)勢評估指標體系

3.1 指標體系構建

評估指標［14～15］是反應攻擊效果的狀態(tài)參數(shù)，DDoS攻擊態(tài)勢評估在多數(shù)情況下涉及許多較為模糊的因素，需要綜合分析多個評估指標才能做出合理的評估。本文通過評估被攻擊服務器的狀態(tài)來間接評估 DDoS 攻擊態(tài)勢［16～18］，依據(jù)服務器的狀態(tài)參數(shù)來建立評估指標體系。考慮到DDoS攻擊對服務器所造成的危害并基于已有的研究工作，建立了DDoS攻擊態(tài)勢評估指標體系，由上到下分別為目標層、指標層、子指標層。

我們對指標層設計了三個指標：系統(tǒng)性能指標、網(wǎng)絡性能指標、服務性能指標。每指標都有三個子指標，構成子指標層：系統(tǒng)性能類指標（CPU使用率、內存使用率、帶寬使用率），網(wǎng)絡性能類指標（網(wǎng)絡延遲、網(wǎng)絡丟包率、網(wǎng)絡抖動），服務性能類指標（請求響應時間、響應處理時間、響應成功率）。DDoS攻擊態(tài)勢評估指標體系如圖1所示。

圖1 DDoS攻擊態(tài)勢評估指標體系

3.2 評估指標權重確定

3.2.1 建立模糊互補判斷矩陣

在模糊層次分析中，對同層兩因素之間作相互比較判斷，采用0.1～0.9標度法給予數(shù)量標度，得到模糊判斷矩陣 A=(aij)n×n。指標層模糊判斷矩陣為 A0，三個指標的子指標模糊判斷矩陣為A1，A2，A3。

3.2.2 模糊互補矩陣轉換模糊一致矩陣

若模糊互補判斷矩陣滿足：

則稱模糊互補判斷矩陣是模糊一致矩陣。如果上一步我們構造的模糊互補判斷矩陣不是模糊一致矩陣，可以通過下面的方法轉換：

3.2.3 權重計算

利用式（4）計算指標i相對當前層次的權重Wi，n表示在當前層次有n個指標。經計算得到指標層權重向量φ0=( )W1，W2，W3和子指標層權重向量 φ1φ2φ3。全局權重 φ=( )W1φ1，W2φ2，W3φ3。

3.3 指標數(shù)據(jù)標準化

通過采集DDoS攻擊實驗數(shù)據(jù)或引用DDoS攻擊網(wǎng)絡數(shù)據(jù)集，構建原始評估指標矩陣為V=(vij)n×n。

為消除原始指標數(shù)據(jù)之間在量綱尺度上的影響，需要對矩陣中的各樣本數(shù)據(jù)預處理以得到標準評估指標矩陣。

對負向性評估指標取其倒數(shù)；利用式（5）對極大型指標進行標準化處理，利用式（6）對極小型指標進行標準化處理；最后，得到標準評估指標矩陣R=(rij)n×n。

4 灰色模糊層次評估模型構建

將灰色系統(tǒng)理論與模糊層次分析法相結合，形成了兼具二者優(yōu)點的灰色模糊層析分析法，其評估模型稱作灰色模糊層次模型。該模型的主要思想是，首先利用模糊層次分析法確定評估指標要素的權重，然后通過灰色系統(tǒng)理論計算得到DDoS攻擊的評估態(tài)勢值。

4.1 確定評估樣本矩陣

Rij為標準評估指標矩陣，rij表示第i條評估樣本的第j個指標的標準化數(shù)值。m表示樣本條數(shù)，n表示指標個數(shù)。

4.2 確定評估指標權重

由3.2節(jié)介紹的模糊層次分析法計算得到評估指標的全局權重：

4.3 確定評估灰類

確定評估灰類，就是要確定灰類的灰數(shù)，灰類的等級數(shù)以及灰數(shù)的白化權函數(shù)。設有g個灰類，g的值可根據(jù)具體的評估對象適情而定。評價灰類k（k=1，2，…，g）用白化權函數(shù) fk進行描述，常用的白化權函數(shù)有以下三種：

2）第2級，灰數(shù) Ω∈[0 ， d2，2d2] ，其白化權函數(shù)為

白化權函數(shù)中的轉折點的值d1，d2，d3稱作閾值。閾值的大小可根據(jù)經驗類比的方法確定，也可將評估樣本矩陣R中的每個指標的最大值、最小值和中間值分別作為上限、下限和中間的閾值。

4.4 計算灰色評估系數(shù)

對評估對象i屬于第k灰類的聚類系數(shù)記為σik，其計算公式為

其中Wj為由模糊層次分析法所確定的評價指標權重。

用σi表示評估對象i屬于各評估灰類的總評估系數(shù)，其計算公式為

4.5 計算灰色評估權向量

由σi和σik可計算得出，對于評估對象i屬于第k個灰類的評估權重為

因為k=1，2，…，g，即共有g個灰類，所以對象i的評估權向量為

4.6 計算態(tài)勢值

設灰類k的白化值為ek，k=1，2，…，g共g個灰類，則灰類白化值向量為

對評估對象i計算攻擊態(tài)勢值U，其計算公式為

5 實驗分析

實驗環(huán)境：一臺web服務器，性能參數(shù)為2.1GHz，內存為4G，操作系統(tǒng)為Ubuntu12.04系統(tǒng)；四臺攻擊代理機，性能參數(shù)為2.4GHz，內存為2G，操作系統(tǒng)為Windows7系統(tǒng)。在服務器上搭建一個簡單的網(wǎng)站，其他四臺攻擊代理機可以訪問，同時在服務器上部署Tsar和Nagios性能監(jiān)控軟件以采集數(shù)據(jù)，在攻擊代理機上部署服務器壓力測試軟件pylot和Dos攻擊開源軟件LOIC。利用四臺攻擊代理機對web服務器發(fā)動DDoS攻擊，實驗計時從攻擊前一分鐘開始到攻擊停止后一分鐘，期間等時間間隔采集10組樣本數(shù)據(jù)。

5.1 實例計算

1）構建標準評估指標矩陣

對軟件采集到的原始數(shù)據(jù)進行指標數(shù)據(jù)標準化處理，得到標準評估指標矩陣R=(rij)n×n。

2）確定評估指標權重

按照3.2節(jié)所述，利用模糊層次分析法確定評估指標全局權重為

φ =（0.0704，0.0594，0.0902，0.1368，0.1224，0.1008，0.1554，0.1092，0.1554）。

3）確定評估灰類

在確定評估灰類時，令g=4，即有4個評估灰類，分別是“優(yōu)”、“良”、“中”、“差”，代表 DDoS 攻擊效果。如表1所示，各指標各灰類的白化權函數(shù)如表2所示。

表1 DDoS攻擊效果態(tài)勢評估灰類

4）攻擊態(tài)勢值評估

利用式（7）計算分別計算10條樣本數(shù)據(jù)屬于四個灰類的聚類系數(shù)，如表3所示。

先由式（9）計算每個樣本的評估權向量，再由式（10）計算得到各樣本數(shù)據(jù)攻擊效果態(tài)勢值，如表4所示。

表2 各指標各灰類的白化權函數(shù)

表3 各樣本各灰類系數(shù)

表4 DDoS攻擊實時態(tài)勢值

5.2 結果分析

由圖2可知，未發(fā)動DDoS攻擊時，態(tài)勢值較低，隨著攻擊的開始并進行，態(tài)勢值逐漸升高，表明DDo攻擊效果越來越好，對服務器造成的危害越來越大，符合實際。第8條樣本態(tài)勢值達到峰值8.392，處于攻擊效果“優(yōu)”類，可認定為本次DDoS攻擊的最終效果。

6 結語

目前DDoS攻擊效果評估工作還處在探索階段，評估體系還不太成熟。本文提出基于灰色模糊層次模型的DDoS攻擊態(tài)勢評估，建立了層次化的評估指標體系，綜合運用模糊層次分析法和灰色系統(tǒng)理論，解決了傳統(tǒng)層次分析法中確定權重需要檢驗判斷矩陣一致性的問題，簡化了計算。使用灰色系統(tǒng)理論處理DDoS攻擊效果評估指標數(shù)據(jù)存在信息不完全、評估計算復雜的問題。經實例分析，該評估模型不僅能夠評估DDoS攻擊的最終效果，還能實時評估DDoS攻擊態(tài)勢。

圖2 DDoS攻擊效果態(tài)勢折線圖

下一步工作主要是面對不同的網(wǎng)絡環(huán)境，如何降低評估指標權重的主觀性，進一步提高評估的科學性和合理性。