耿琳瑩 陳登偉 鄭全普

摘 要：采用定性分析法、解析模型法、軟件仿真法的方法實(shí)現(xiàn)不可直接測(cè)量的網(wǎng)絡(luò)攻擊效能評(píng)估的目的；做出網(wǎng)絡(luò)攻擊效能的層次分析、基于網(wǎng)絡(luò)熵的網(wǎng)絡(luò)攻擊效能評(píng)估、基于風(fēng)險(xiǎn)要素分析的網(wǎng)絡(luò)攻擊效能評(píng)估以及系統(tǒng)級(jí)的網(wǎng)絡(luò)攻擊效能評(píng)估等模型；具有對(duì)不可直接測(cè)量的網(wǎng)絡(luò)攻擊進(jìn)行直接效能評(píng)估的特點(diǎn)。

關(guān)鍵詞：網(wǎng)絡(luò)攻擊 效能評(píng)估 評(píng)估模型

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-3973（2013）009-105-02

1 前言

目前大多數(shù)網(wǎng)絡(luò)攻擊效能的評(píng)估都基于可測(cè)量參數(shù)進(jìn)行評(píng)估，例如網(wǎng)絡(luò)信道參數(shù)、主機(jī)運(yùn)行的CPU、內(nèi)存參數(shù)等等。文獻(xiàn)[2]提出基于網(wǎng)絡(luò)熵的攻擊效能評(píng)估方法、文獻(xiàn)[3][4]提出了層次分析法來(lái)對(duì)網(wǎng)絡(luò)攻擊效能進(jìn)行評(píng)估，這些方法都需要可直接測(cè)量的參數(shù)來(lái)進(jìn)行評(píng)估，從自身網(wǎng)絡(luò)安全出發(fā)，綜合分析自身網(wǎng)絡(luò)、主機(jī)主要性能指標(biāo)進(jìn)行評(píng)估，但這些評(píng)估技術(shù)應(yīng)用于對(duì)敵方網(wǎng)絡(luò)實(shí)施的攻擊效能進(jìn)行評(píng)估時(shí)，其模型所需的參數(shù)無(wú)法直接獲得。因而需要對(duì)這種情況進(jìn)行切實(shí)研究給出合適的評(píng)估方法或?qū)Σ豢蓽y(cè)量效能進(jìn)行轉(zhuǎn)換，使得有合適的參數(shù)進(jìn)行定量分析。本文具體分析這一情況給出相應(yīng)的解決方案。

2 不可測(cè)量的網(wǎng)絡(luò)攻擊

不可測(cè)量的網(wǎng)絡(luò)攻擊指沒(méi)有相應(yīng)參數(shù)來(lái)描述的網(wǎng)絡(luò)攻擊，主要有兩種情況：（1）可測(cè)量的參數(shù)無(wú)法直接獲??；（2）無(wú)可量化的參數(shù)，如對(duì)敵方造成的信息欺詐程度等。

在網(wǎng)絡(luò)中各節(jié)點(diǎn)的度量參數(shù)分為兩類(lèi)：可計(jì)算度量和通信度量。這些都是可測(cè)參數(shù)，可以通過(guò)在網(wǎng)絡(luò)中、主機(jī)中安裝相應(yīng)的軟件或硬件進(jìn)行參數(shù)提取。

在網(wǎng)絡(luò)攻擊中攻擊對(duì)象不光有網(wǎng)絡(luò)中的節(jié)點(diǎn)還有網(wǎng)絡(luò)中的操作人員和網(wǎng)絡(luò)中存儲(chǔ)、傳輸?shù)臄?shù)據(jù)信息，這些單元的度量參數(shù)目前還沒(méi)有相應(yīng)的可量化的指標(biāo)。網(wǎng)絡(luò)更重要的目的是利用網(wǎng)絡(luò)攻擊手段竊取情報(bào)、破解對(duì)方密碼、接管對(duì)方網(wǎng)絡(luò)的訪問(wèn)和控制權(quán)限、實(shí)施信息欺詐等攻擊，針對(duì)的攻擊對(duì)象是信息載體和執(zhí)行信息命令的人員，這些網(wǎng)絡(luò)攻擊能帶來(lái)巨大的攻擊效能，然而確很難用定量的參數(shù)進(jìn)行量化。

3 參數(shù)逼進(jìn)與量化

在實(shí)驗(yàn)條件下通常采用直接測(cè)量的方法來(lái)獲得需要的參數(shù)，采用偵測(cè)、接入設(shè)備和軟件，直接對(duì)時(shí)間網(wǎng)絡(luò)進(jìn)行信號(hào)和數(shù)據(jù)的統(tǒng)計(jì)與分析。為了獲得主機(jī)的運(yùn)行參數(shù)還需要在主機(jī)安裝守護(hù)軟件實(shí)獲取CPU、內(nèi)存等參數(shù)，然而要是去對(duì)敵方網(wǎng)絡(luò)進(jìn)行這樣的測(cè)試是不可行的，另外在網(wǎng)絡(luò)中這些探測(cè)軟件和硬件是額外接入的會(huì)對(duì)正在運(yùn)行的網(wǎng)絡(luò)增加負(fù)載，會(huì)干擾網(wǎng)絡(luò)用戶的使用?？梢栽趯?shí)驗(yàn)網(wǎng)絡(luò)的基礎(chǔ)上采取方法：

（1）定性分析法。

定性分析法是對(duì)網(wǎng)絡(luò)的性能作出定性的估計(jì)。它根據(jù)經(jīng)驗(yàn)進(jìn)行外推而估計(jì)出網(wǎng)絡(luò)的性能，也因此往往只能是對(duì)小型的網(wǎng)絡(luò)進(jìn)行定性分析。但是，網(wǎng)絡(luò)負(fù)載、網(wǎng)絡(luò)結(jié)構(gòu)與性能評(píng)價(jià)標(biāo)族之間的關(guān)系是非線性的：即低于某個(gè)門(mén)限時(shí)，負(fù)載的微小變化只會(huì)引起性能的小變化，對(duì)事整體性能影響??；但若高于某個(gè)門(mén)限后，負(fù)載的微小變化就可能引起性能的巨大變化，嚴(yán)重影響整體性能。而這個(gè)門(mén)限值往往因網(wǎng)絡(luò)配置的不同而相差很大，分析法具有一定的局限性。

（2）解析模型法。

解析模型法首先對(duì)網(wǎng)絡(luò)建立合理的、能夠進(jìn)行分析的物理模型，然后利用排隊(duì)理論建立數(shù)學(xué)模型，給出分析表達(dá)式，最后應(yīng)用概率論、隨機(jī)過(guò)程、排隊(duì)論等數(shù)學(xué)工具計(jì)算出網(wǎng)絡(luò)的性能參數(shù)，進(jìn)行性能解析評(píng)價(jià)。除了獲得網(wǎng)絡(luò)的性能參數(shù)外，網(wǎng)絡(luò)和性能分析還需要分析各種相關(guān)因素對(duì)網(wǎng)絡(luò)工作性能的影響程度。

解析模型法的優(yōu)點(diǎn)是開(kāi)銷(xiāo)小，時(shí)間短，速度快，但解析模型法只能解決一小部分系統(tǒng)的性能分析，很多系統(tǒng)往往因其關(guān)系錯(cuò)綜復(fù)雜，具有非線性、不確定性而不能用數(shù)學(xué)表達(dá)式描述運(yùn)行規(guī)則，無(wú)法解析。因此，解析模型法只能簡(jiǎn)化系統(tǒng)進(jìn)行近似分析、但由于它可以快速評(píng)價(jià)網(wǎng)絡(luò)性能，可以對(duì)網(wǎng)絡(luò)攻擊進(jìn)行引導(dǎo)。

（3）軟件仿真法。

軟件仿真法主要根據(jù)網(wǎng)絡(luò)的工作原理，建立模擬模型，用軟件仿真網(wǎng)絡(luò)的運(yùn)作、并在仿真程序的運(yùn)行中采集數(shù)據(jù)，評(píng)價(jià)、度量網(wǎng)絡(luò)性能。需要建立敵方網(wǎng)絡(luò)資源需求模型、網(wǎng)絡(luò)協(xié)議抽象模型，性能采集分析模型和仿真結(jié)果解釋模型等，需要極大的情報(bào)資源，而且具體的仿真模型將需要十分巨大的計(jì)算空間與計(jì)算能力。而對(duì)于簡(jiǎn)單的系統(tǒng)，解析模型法不必花費(fèi)大量的時(shí)間和精力編寫(xiě)程序。由此可見(jiàn)，這兩種方法各有長(zhǎng)短，可以相互補(bǔ)充和檢驗(yàn)。常用的方法是先采用解析法建立數(shù)學(xué)模型進(jìn)行快速估算，然后再用仿真法建立仿真模型進(jìn)行驗(yàn)證。

上述方法可以較好地對(duì)可測(cè)參數(shù)進(jìn)行逼進(jìn)，對(duì)于無(wú)量化的參數(shù)則要先通過(guò)替代參數(shù)進(jìn)行量化然后再采用上述方法進(jìn)行逼進(jìn)、推演。針對(duì)難用定量的參數(shù)進(jìn)行量化參數(shù)采用以下方法進(jìn)行替代量化。

4 效能評(píng)估指標(biāo)

上面的分析給出了網(wǎng)絡(luò)攻擊效能評(píng)估的可測(cè)量參數(shù)和不可測(cè)量參數(shù)的替代量化，接著根據(jù)網(wǎng)絡(luò)的安全性能來(lái)完善網(wǎng)絡(luò)攻擊效能評(píng)估的指標(biāo)。隨著經(jīng)濟(jì)信息化進(jìn)程的加快，網(wǎng)絡(luò)破壞活動(dòng)越來(lái)越猖獗起來(lái)：商業(yè)機(jī)密被竊取、軍事情況遭泄露、巨額資金被盜取、網(wǎng)絡(luò)突然癱瘓等。這些都是網(wǎng)絡(luò)攻擊的效能，對(duì)這些效能進(jìn)行評(píng)估就必須有合適的參數(shù)、指標(biāo)。為了有效評(píng)價(jià)網(wǎng)絡(luò)攻擊效能，首先要選擇恰當(dāng)?shù)臉?biāo)準(zhǔn)對(duì)網(wǎng)絡(luò)的安全性能進(jìn)行形式化描述。在評(píng)估過(guò)程中，可以把被攻擊目標(biāo)的完整性、保密性、可靠性和可用性作為其安全性的一個(gè)量度，而攻擊前后的安全性差值則可以作為攻擊效能的一個(gè)評(píng)價(jià)標(biāo)準(zhǔn)。

當(dāng)前對(duì)信息網(wǎng)絡(luò)安全的研究成果表明，對(duì)系統(tǒng)進(jìn)行測(cè)試評(píng)估，要識(shí)別出可能的安全事件對(duì)保密性、完整性、可用性三個(gè)指標(biāo)的影響。

5 效能評(píng)估模型

用得比較多的網(wǎng)絡(luò)攻擊效能評(píng)估模型是基于網(wǎng)絡(luò)熵的攻擊效能評(píng)估模型和層次分析模型，還可以采取別的評(píng)估模型。

5.1 網(wǎng)絡(luò)攻擊效能的層次分析模型

目標(biāo)層：在網(wǎng)絡(luò)攻擊效能的層次模型中，要達(dá)到的目標(biāo)就是對(duì)具體的網(wǎng)絡(luò)攻擊的效能進(jìn)行評(píng)估，所以，目標(biāo)層是網(wǎng)絡(luò)攻擊的效能。信息安全一般考慮以下原則：可認(rèn)證性原則、機(jī)密性原則、完整性原則、可用性原、可靠性原則（又稱(chēng)抗抵賴(lài)性原則）。

安全準(zhǔn)則層：進(jìn)行網(wǎng)絡(luò)攻擊的目的，就是要破壞對(duì)方網(wǎng)絡(luò)系統(tǒng)的保密性、完整性、可靠性和可用性，通用評(píng)估準(zhǔn)則CC也主要對(duì)這些特性進(jìn)行保護(hù)。網(wǎng)絡(luò)攻擊對(duì)被攻擊目標(biāo)實(shí)施攻擊，使目標(biāo)的安全性能下降，效能主要反映在保密性、完整性、可靠性和可用性上，即目標(biāo)安全機(jī)制的安全注重點(diǎn)上。這樣可以把保密性、完整性、可靠性和可用性作為安全準(zhǔn)則層。

措施層：措施層為需要評(píng)估的各項(xiàng)指標(biāo)。指標(biāo)體系從通信鏈路、通信連接、數(shù)據(jù)、軟件系統(tǒng)和硬件系統(tǒng)幾個(gè)方面提出，其中既有可測(cè)量參數(shù)還包括不可測(cè)量參數(shù)的替代參數(shù)指標(biāo)。

5.2 基于網(wǎng)絡(luò)熵的網(wǎng)絡(luò)攻擊效能評(píng)估模型

網(wǎng)絡(luò)熵借助信息論中熵的概念用來(lái)對(duì)網(wǎng)絡(luò)性能進(jìn)行描述，網(wǎng)絡(luò)熵越小表征網(wǎng)絡(luò)系統(tǒng)的安全性能越好。對(duì)于網(wǎng)絡(luò)的某一項(xiàng)性能指標(biāo)來(lái)說(shuō)，其熵值定義為H=-log2Vi，Vi為網(wǎng)絡(luò)此項(xiàng)指標(biāo)的歸一化參數(shù)。在網(wǎng)絡(luò)受到攻擊后，其服務(wù)性能下降，系統(tǒng)穩(wěn)定性變差，熵值增加，采用熵差H=-log2V2/V1對(duì)攻擊效能進(jìn)行描述。其中：V1為網(wǎng)絡(luò)系統(tǒng)原來(lái)的歸一化性能參數(shù)（包括可測(cè)量參數(shù)和不可測(cè)量參數(shù)的替代參數(shù)），V2為網(wǎng)絡(luò)受攻擊后的歸一化性能參數(shù)。

評(píng)估的結(jié)果就是對(duì)網(wǎng)絡(luò)攻擊能力和影響的某種程度上的確信，開(kāi)展網(wǎng)絡(luò)攻擊效能評(píng)估技術(shù)研究可以對(duì)戰(zhàn)場(chǎng)網(wǎng)絡(luò)系統(tǒng)、國(guó)家電子政務(wù)信息系統(tǒng)、各類(lèi)信息安全系統(tǒng)的規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)行等各階段進(jìn)行系統(tǒng)級(jí)的測(cè)試評(píng)估，找出網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié)，發(fā)現(xiàn)并修正系統(tǒng)存在的弱點(diǎn)和漏洞，保證網(wǎng)絡(luò)系統(tǒng)的安全性，提出安全解決方案。

6 效能評(píng)估步驟

目前比較通用的網(wǎng)絡(luò)攻擊效能評(píng)估的流程主要包括資源識(shí)別、威脅識(shí)別、脆弱性識(shí)別、安全措施分析、可能性分析、影響分析以及最后的攻擊效能指標(biāo)判定。

在這個(gè)評(píng)估模型中，主要包括六方面的內(nèi)容。

系統(tǒng)分析：對(duì)信息系統(tǒng)的安全需求進(jìn)行分析。

識(shí)別關(guān)鍵資源：根據(jù)系統(tǒng)分析的結(jié)果識(shí)別出系統(tǒng)的重要資源，包括網(wǎng)絡(luò)信道、主機(jī)節(jié)點(diǎn)、系統(tǒng)文件等。

識(shí)別威脅：識(shí)別出系統(tǒng)主要的安全威脅及威脅的途徑和方式。

識(shí)別脆弱性：識(shí)別出系統(tǒng)在技術(shù)上的缺陷、漏洞、薄弱環(huán)節(jié)等。

分析影響：分析網(wǎng)絡(luò)攻擊事件對(duì)系統(tǒng)可能造成的影響，則需采用上面提到的網(wǎng)絡(luò)攻擊效能評(píng)估模型進(jìn)行分析。

綜合關(guān)鍵資源、威脅因素、脆弱性及控制措施，綜合事件影響，評(píng)估網(wǎng)絡(luò)攻擊效能。

在評(píng)估過(guò)程中，需要采集大量的數(shù)據(jù)。數(shù)據(jù)采集的覆蓋范圍和采集量直接影響對(duì)評(píng)估基本要素的準(zhǔn)確度量，從而影響最重的評(píng)估結(jié)果。數(shù)據(jù)采集的覆蓋范圍越廣泛、采集量越大，評(píng)估結(jié)果越準(zhǔn)確。因此在評(píng)估標(biāo)準(zhǔn)體系中，需要規(guī)范數(shù)據(jù)的采集范圍和采集量。這是評(píng)估標(biāo)準(zhǔn)體系是否先進(jìn)完善的重要因素。

7 總結(jié)

網(wǎng)絡(luò)攻擊效能的評(píng)估是戰(zhàn)場(chǎng)網(wǎng)絡(luò)對(duì)抗的根本基礎(chǔ)和前提，目前還缺乏較為深入的研究。本文著重分析了評(píng)估中參數(shù)獲取問(wèn)題，指出在網(wǎng)絡(luò)攻擊中很多參數(shù)是不可測(cè)量的，特別是對(duì)網(wǎng)絡(luò)中的操作人員的攻擊效能和對(duì)網(wǎng)絡(luò)數(shù)據(jù)信息的攻擊破壞效能缺乏可量化的參數(shù)，需要通過(guò)逼進(jìn)、模擬、仿真進(jìn)行推演獲得。網(wǎng)絡(luò)攻擊效能評(píng)估的各種指標(biāo)和模型還需進(jìn)一步深入研究。

參考文獻(xiàn)：

[1] 胡影，鮮明，肖順平.DoS攻擊效果評(píng)估系統(tǒng)的設(shè)計(jì)[J].計(jì)算機(jī)工程與科學(xué)，2005（2）.

[2] 羅永健，史德陽(yáng)，于茜，等.一種有效的無(wú)線傳感器網(wǎng)絡(luò)攻擊檢測(cè)方法[J].兵工自動(dòng)化，2012（2）.

[3] 陳娟，馬濤.無(wú)線網(wǎng)絡(luò)攻擊分類(lèi)技術(shù)研究[J].電子科技，2011，24（3）：118-121.

[4] 李雄偉，于明，楊義先，等.Fuzzy-AHP法在網(wǎng)絡(luò)攻擊效果評(píng)估中的應(yīng)用[J].北京郵電大學(xué)學(xué)報(bào)，2006（1）.