李程瑜 齊玉東

（海軍航空大學(xué) 煙臺(tái) 264001）

1 引言

隨著計(jì)算機(jī)科學(xué)技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)已經(jīng)覆蓋了社會(huì)生活的各個(gè)方面。移動(dòng)支付、智慧城市、智能家居、無(wú)人駕駛等互聯(lián)網(wǎng)新事物的出現(xiàn)給人們的生活帶來(lái)了極大的便利，也促進(jìn)了整個(gè)社會(huì)的發(fā)展。然而，在互聯(lián)網(wǎng)高速發(fā)展的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題日益突出，網(wǎng)絡(luò)攻擊事件時(shí)有發(fā)生，給社會(huì)造成巨大損失。2016年11月10日，來(lái)自30個(gè)國(guó)家2.4萬(wàn)臺(tái)計(jì)算機(jī)構(gòu)成的僵尸網(wǎng)絡(luò)對(duì)俄羅斯五家大銀行的網(wǎng)絡(luò)服務(wù)系統(tǒng)發(fā)動(dòng)強(qiáng)大的不間斷的DDoS攻擊。同年10月21日，提供動(dòng)態(tài)DNS服務(wù)的Dyn DNS遭到了大規(guī)模DDoS攻擊，導(dǎo)致某些網(wǎng)站一度癱瘓，Twitter甚至出現(xiàn)了近24小時(shí)0訪問(wèn)的局面［1］。由此可見(jiàn)，分布式拒絕服務(wù)（Distributed Denial of Service）攻擊［2～5］事件表現(xiàn)較為突出，造成危害巨大且難以防范，已經(jīng)成為互聯(lián)網(wǎng)面臨的主要安全問(wèn)題。為了辨別DDoS攻擊的攻擊強(qiáng)度，并針對(duì)不同強(qiáng)度的DDoS攻擊采取相應(yīng)的防御措施，需要對(duì)DDoS攻擊效果評(píng)估開(kāi)展研究。

本文提出基于灰色模糊層次模型的DDoS攻擊態(tài)勢(shì)評(píng)估，建立DDoS攻擊態(tài)勢(shì)評(píng)估指標(biāo)體系，將灰色系統(tǒng)理論［6］與模糊層次分析法［7］相結(jié)合，形成了兼具二者優(yōu)點(diǎn)的灰色模糊層次模型，綜合考慮系統(tǒng)可能遭受的損害來(lái)評(píng)估DDoS攻擊效果。

2 相關(guān)研究

目前為止，有關(guān)DDoS攻擊效果評(píng)估［8］的研究主要將整個(gè)評(píng)估過(guò)程為以下幾步：建立DDoS攻擊效果評(píng)估指標(biāo)體系；確定評(píng)估指標(biāo)權(quán)重；利用評(píng)價(jià)方法對(duì)攻擊效果進(jìn)行綜合評(píng)估。在評(píng)估指標(biāo)體系建立方面：汪洋［9］等提出計(jì)算機(jī)網(wǎng)絡(luò)安全評(píng)估指標(biāo)體系一般由目標(biāo)層、指標(biāo)層、子指標(biāo)層構(gòu)成，建立時(shí)應(yīng)遵循完備性、代表性、獨(dú)立性、簡(jiǎn)練性等原則。在確定指標(biāo)權(quán)重方面：王會(huì)梅［10］等利用粗糙集理論客觀確定權(quán)重，與層次分析法相比減少了一定的主觀性，但缺少進(jìn)行權(quán)重確定的樣本數(shù)據(jù)，沒(méi)有說(shuō)服力。文獻(xiàn)［11］采用了模糊層次分析法，通過(guò)建立模糊一致判斷矩陣，省略了層次分析法中判斷矩陣一致性檢驗(yàn)的問(wèn)題。在利用評(píng)價(jià)方法進(jìn)行綜合評(píng)估方面：張義榮［12］等提出一種基于網(wǎng)絡(luò)熵的計(jì)算機(jī)效果定量評(píng)估方法，并提出了基于網(wǎng)絡(luò)熵的攻擊效果評(píng)估系統(tǒng)的實(shí)現(xiàn)思路，但沒(méi)有具體實(shí)現(xiàn)。METHTA［13］等提出了一種基于攻擊狀態(tài)信息圖的評(píng)估方法，通過(guò)對(duì)圖狀態(tài)的排序來(lái)確定評(píng)估結(jié)果，但這種基于知識(shí)推理的評(píng)估方法評(píng)估難度較大，可操作性不強(qiáng)。

綜上所述，現(xiàn)有研究可操作性不強(qiáng)，缺少一個(gè)完整的DDoS攻擊效果態(tài)勢(shì)評(píng)估模型。因而本文提出基于灰色模糊層次模型，完整地分析了利用該模型進(jìn)行DDoS攻擊效果評(píng)估的整個(gè)過(guò)程，并對(duì)攻擊態(tài)勢(shì)進(jìn)行實(shí)時(shí)評(píng)估。

3 DDoS攻擊態(tài)勢(shì)評(píng)估指標(biāo)體系

3.1 指標(biāo)體系構(gòu)建

評(píng)估指標(biāo)［14～15］是反應(yīng)攻擊效果的狀態(tài)參數(shù)，DDoS攻擊態(tài)勢(shì)評(píng)估在多數(shù)情況下涉及許多較為模糊的因素，需要綜合分析多個(gè)評(píng)估指標(biāo)才能做出合理的評(píng)估。本文通過(guò)評(píng)估被攻擊服務(wù)器的狀態(tài)來(lái)間接評(píng)估 DDoS 攻擊態(tài)勢(shì)［16～18］，依據(jù)服務(wù)器的狀態(tài)參數(shù)來(lái)建立評(píng)估指標(biāo)體系?？紤]到DDoS攻擊對(duì)服務(wù)器所造成的危害并基于已有的研究工作，建立了DDoS攻擊態(tài)勢(shì)評(píng)估指標(biāo)體系，由上到下分別為目標(biāo)層、指標(biāo)層、子指標(biāo)層。

我們對(duì)指標(biāo)層設(shè)計(jì)了三個(gè)指標(biāo)：系統(tǒng)性能指標(biāo)、網(wǎng)絡(luò)性能指標(biāo)、服務(wù)性能指標(biāo)。每指標(biāo)都有三個(gè)子指標(biāo)，構(gòu)成子指標(biāo)層：系統(tǒng)性能類(lèi)指標(biāo)（CPU使用率、內(nèi)存使用率、帶寬使用率），網(wǎng)絡(luò)性能類(lèi)指標(biāo)（網(wǎng)絡(luò)延遲、網(wǎng)絡(luò)丟包率、網(wǎng)絡(luò)抖動(dòng)），服務(wù)性能類(lèi)指標(biāo)（請(qǐng)求響應(yīng)時(shí)間、響應(yīng)處理時(shí)間、響應(yīng)成功率）。DDoS攻擊態(tài)勢(shì)評(píng)估指標(biāo)體系如圖1所示。

圖1 DDoS攻擊態(tài)勢(shì)評(píng)估指標(biāo)體系

3.2 評(píng)估指標(biāo)權(quán)重確定

3.2.1 建立模糊互補(bǔ)判斷矩陣

在模糊層次分析中，對(duì)同層兩因素之間作相互比較判斷，采用0.1～0.9標(biāo)度法給予數(shù)量標(biāo)度，得到模糊判斷矩陣 A=(aij)n×n。指標(biāo)層模糊判斷矩陣為 A0，三個(gè)指標(biāo)的子指標(biāo)模糊判斷矩陣為A1，A2，A3。

3.2.2 模糊互補(bǔ)矩陣轉(zhuǎn)換模糊一致矩陣

若模糊互補(bǔ)判斷矩陣滿足：

則稱(chēng)模糊互補(bǔ)判斷矩陣是模糊一致矩陣。如果上一步我們構(gòu)造的模糊互補(bǔ)判斷矩陣不是模糊一致矩陣，可以通過(guò)下面的方法轉(zhuǎn)換：

3.2.3 權(quán)重計(jì)算

利用式（4）計(jì)算指標(biāo)i相對(duì)當(dāng)前層次的權(quán)重Wi，n表示在當(dāng)前層次有n個(gè)指標(biāo)。經(jīng)計(jì)算得到指標(biāo)層權(quán)重向量φ0=( )W1，W2，W3和子指標(biāo)層權(quán)重向量 φ1φ2φ3。全局權(quán)重 φ=( )W1φ1，W2φ2，W3φ3。

3.3 指標(biāo)數(shù)據(jù)標(biāo)準(zhǔn)化

通過(guò)采集DDoS攻擊實(shí)驗(yàn)數(shù)據(jù)或引用DDoS攻擊網(wǎng)絡(luò)數(shù)據(jù)集，構(gòu)建原始評(píng)估指標(biāo)矩陣為V=(vij)n×n。

為消除原始指標(biāo)數(shù)據(jù)之間在量綱尺度上的影響，需要對(duì)矩陣中的各樣本數(shù)據(jù)預(yù)處理以得到標(biāo)準(zhǔn)評(píng)估指標(biāo)矩陣。

對(duì)負(fù)向性評(píng)估指標(biāo)取其倒數(shù)；利用式（5）對(duì)極大型指標(biāo)進(jìn)行標(biāo)準(zhǔn)化處理，利用式（6）對(duì)極小型指標(biāo)進(jìn)行標(biāo)準(zhǔn)化處理；最后，得到標(biāo)準(zhǔn)評(píng)估指標(biāo)矩陣R=(rij)n×n。

4 灰色模糊層次評(píng)估模型構(gòu)建

將灰色系統(tǒng)理論與模糊層次分析法相結(jié)合，形成了兼具二者優(yōu)點(diǎn)的灰色模糊層析分析法，其評(píng)估模型稱(chēng)作灰色模糊層次模型。該模型的主要思想是，首先利用模糊層次分析法確定評(píng)估指標(biāo)要素的權(quán)重，然后通過(guò)灰色系統(tǒng)理論計(jì)算得到DDoS攻擊的評(píng)估態(tài)勢(shì)值。

4.1 確定評(píng)估樣本矩陣

Rij為標(biāo)準(zhǔn)評(píng)估指標(biāo)矩陣，rij表示第i條評(píng)估樣本的第j個(gè)指標(biāo)的標(biāo)準(zhǔn)化數(shù)值。m表示樣本條數(shù)，n表示指標(biāo)個(gè)數(shù)。

4.2 確定評(píng)估指標(biāo)權(quán)重

由3.2節(jié)介紹的模糊層次分析法計(jì)算得到評(píng)估指標(biāo)的全局權(quán)重：

4.3 確定評(píng)估灰類(lèi)

確定評(píng)估灰類(lèi)，就是要確定灰類(lèi)的灰數(shù)，灰類(lèi)的等級(jí)數(shù)以及灰數(shù)的白化權(quán)函數(shù)。設(shè)有g(shù)個(gè)灰類(lèi)，g的值可根據(jù)具體的評(píng)估對(duì)象適情而定。評(píng)價(jià)灰類(lèi)k（k=1，2，…，g）用白化權(quán)函數(shù) fk進(jìn)行描述，常用的白化權(quán)函數(shù)有以下三種：

2）第2級(jí)，灰數(shù) Ω∈[0 ， d2，2d2] ，其白化權(quán)函數(shù)為

白化權(quán)函數(shù)中的轉(zhuǎn)折點(diǎn)的值d1，d2，d3稱(chēng)作閾值。閾值的大小可根據(jù)經(jīng)驗(yàn)類(lèi)比的方法確定，也可將評(píng)估樣本矩陣R中的每個(gè)指標(biāo)的最大值、最小值和中間值分別作為上限、下限和中間的閾值。

4.4 計(jì)算灰色評(píng)估系數(shù)

對(duì)評(píng)估對(duì)象i屬于第k灰類(lèi)的聚類(lèi)系數(shù)記為σik，其計(jì)算公式為

其中Wj為由模糊層次分析法所確定的評(píng)價(jià)指標(biāo)權(quán)重。

用σi表示評(píng)估對(duì)象i屬于各評(píng)估灰類(lèi)的總評(píng)估系數(shù)，其計(jì)算公式為

4.5 計(jì)算灰色評(píng)估權(quán)向量

由σi和σik可計(jì)算得出，對(duì)于評(píng)估對(duì)象i屬于第k個(gè)灰類(lèi)的評(píng)估權(quán)重為

因?yàn)閗=1，2，…，g，即共有g(shù)個(gè)灰類(lèi)，所以對(duì)象i的評(píng)估權(quán)向量為

4.6 計(jì)算態(tài)勢(shì)值

設(shè)灰類(lèi)k的白化值為ek，k=1，2，…，g共g個(gè)灰類(lèi)，則灰類(lèi)白化值向量為

對(duì)評(píng)估對(duì)象i計(jì)算攻擊態(tài)勢(shì)值U，其計(jì)算公式為

5 實(shí)驗(yàn)分析

實(shí)驗(yàn)環(huán)境：一臺(tái)web服務(wù)器，性能參數(shù)為2.1GHz，內(nèi)存為4G，操作系統(tǒng)為Ubuntu12.04系統(tǒng)；四臺(tái)攻擊代理機(jī)，性能參數(shù)為2.4GHz，內(nèi)存為2G，操作系統(tǒng)為Windows7系統(tǒng)。在服務(wù)器上搭建一個(gè)簡(jiǎn)單的網(wǎng)站，其他四臺(tái)攻擊代理機(jī)可以訪問(wèn)，同時(shí)在服務(wù)器上部署Tsar和Nagios性能監(jiān)控軟件以采集數(shù)據(jù)，在攻擊代理機(jī)上部署服務(wù)器壓力測(cè)試軟件pylot和Dos攻擊開(kāi)源軟件LOIC。利用四臺(tái)攻擊代理機(jī)對(duì)web服務(wù)器發(fā)動(dòng)DDoS攻擊，實(shí)驗(yàn)計(jì)時(shí)從攻擊前一分鐘開(kāi)始到攻擊停止后一分鐘，期間等時(shí)間間隔采集10組樣本數(shù)據(jù)。

5.1 實(shí)例計(jì)算

1）構(gòu)建標(biāo)準(zhǔn)評(píng)估指標(biāo)矩陣

對(duì)軟件采集到的原始數(shù)據(jù)進(jìn)行指標(biāo)數(shù)據(jù)標(biāo)準(zhǔn)化處理，得到標(biāo)準(zhǔn)評(píng)估指標(biāo)矩陣R=(rij)n×n。

2）確定評(píng)估指標(biāo)權(quán)重

按照3.2節(jié)所述，利用模糊層次分析法確定評(píng)估指標(biāo)全局權(quán)重為

φ =（0.0704，0.0594，0.0902，0.1368，0.1224，0.1008，0.1554，0.1092，0.1554）。

3）確定評(píng)估灰類(lèi)

在確定評(píng)估灰類(lèi)時(shí)，令g=4，即有4個(gè)評(píng)估灰類(lèi)，分別是“優(yōu)”、“良”、“中”、“差”，代表 DDoS 攻擊效果。如表1所示，各指標(biāo)各灰類(lèi)的白化權(quán)函數(shù)如表2所示。

表1 DDoS攻擊效果態(tài)勢(shì)評(píng)估灰類(lèi)

4）攻擊態(tài)勢(shì)值評(píng)估

利用式（7）計(jì)算分別計(jì)算10條樣本數(shù)據(jù)屬于四個(gè)灰類(lèi)的聚類(lèi)系數(shù)，如表3所示。

先由式（9）計(jì)算每個(gè)樣本的評(píng)估權(quán)向量，再由式（10）計(jì)算得到各樣本數(shù)據(jù)攻擊效果態(tài)勢(shì)值，如表4所示。

表2 各指標(biāo)各灰類(lèi)的白化權(quán)函數(shù)

表3 各樣本各灰類(lèi)系數(shù)

表4 DDoS攻擊實(shí)時(shí)態(tài)勢(shì)值

5.2 結(jié)果分析

由圖2可知，未發(fā)動(dòng)DDoS攻擊時(shí)，態(tài)勢(shì)值較低，隨著攻擊的開(kāi)始并進(jìn)行，態(tài)勢(shì)值逐漸升高，表明DDo攻擊效果越來(lái)越好，對(duì)服務(wù)器造成的危害越來(lái)越大，符合實(shí)際。第8條樣本態(tài)勢(shì)值達(dá)到峰值8.392，處于攻擊效果“優(yōu)”類(lèi)，可認(rèn)定為本次DDoS攻擊的最終效果。

6 結(jié)語(yǔ)

目前DDoS攻擊效果評(píng)估工作還處在探索階段，評(píng)估體系還不太成熟。本文提出基于灰色模糊層次模型的DDoS攻擊態(tài)勢(shì)評(píng)估，建立了層次化的評(píng)估指標(biāo)體系，綜合運(yùn)用模糊層次分析法和灰色系統(tǒng)理論，解決了傳統(tǒng)層次分析法中確定權(quán)重需要檢驗(yàn)判斷矩陣一致性的問(wèn)題，簡(jiǎn)化了計(jì)算。使用灰色系統(tǒng)理論處理DDoS攻擊效果評(píng)估指標(biāo)數(shù)據(jù)存在信息不完全、評(píng)估計(jì)算復(fù)雜的問(wèn)題。經(jīng)實(shí)例分析，該評(píng)估模型不僅能夠評(píng)估DDoS攻擊的最終效果，還能實(shí)時(shí)評(píng)估DDoS攻擊態(tài)勢(shì)。

圖2 DDoS攻擊效果態(tài)勢(shì)折線圖

下一步工作主要是面對(duì)不同的網(wǎng)絡(luò)環(huán)境，如何降低評(píng)估指標(biāo)權(quán)重的主觀性，進(jìn)一步提高評(píng)估的科學(xué)性和合理性。