基于LightGBM 算法的網(wǎng)絡(luò)戰(zhàn)仿真與效能評(píng)估

陳曉楠，胡建敏*，陳 茜，張 威

（1.國(guó)防大學(xué)聯(lián)合勤務(wù)學(xué)院，北京 100089；2.國(guó)防大學(xué)政治學(xué)院，上海 201600；3.92354部隊(duì)，北京 102202）

（*通信作者電子郵箱ugjgrl@163.com）

0 引言

網(wǎng)絡(luò)戰(zhàn)是攻擊、滲透敵方的計(jì)算機(jī)網(wǎng)絡(luò)體系，并保證我方計(jì)算機(jī)網(wǎng)絡(luò)安全穩(wěn)定而采用的一系列網(wǎng)絡(luò)攻擊與防御策略。網(wǎng)絡(luò)戰(zhàn)已經(jīng)成為現(xiàn)代化戰(zhàn)爭(zhēng)體系中一種獨(dú)特的表現(xiàn)形式，不僅僅能夠破壞和滲透敵方的軍用網(wǎng)絡(luò)，也可以攻擊、滲透敵方的政府、商業(yè)、教育等民用網(wǎng)絡(luò)，達(dá)到不戰(zhàn)而屈人之兵的效果。

互聯(lián)網(wǎng)的迅速發(fā)展給人們的生活方式帶來(lái)了翻天覆地的變化，但也由此帶來(lái)了日趨嚴(yán)峻的網(wǎng)絡(luò)安全問(wèn)題，高度透明的互聯(lián)網(wǎng)使得網(wǎng)絡(luò)戰(zhàn)的表現(xiàn)形式更為復(fù)雜。隨著計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)愈發(fā)重要，網(wǎng)絡(luò)攻擊與防御、滲透與反滲透的對(duì)抗將不斷升級(jí)。并且互聯(lián)網(wǎng)的數(shù)據(jù)的來(lái)源廣泛、真假難辨，導(dǎo)致了網(wǎng)絡(luò)戰(zhàn)等非實(shí)體的對(duì)抗越來(lái)越頻繁，網(wǎng)絡(luò)戰(zhàn)在軍事行動(dòng)中所占的比重越來(lái)越突出，所帶來(lái)的正面和負(fù)面影響也日益顯著。2013 年6 月發(fā)生的“棱鏡門”事件，使各國(guó)之間日益激烈的計(jì)算機(jī)網(wǎng)絡(luò)戰(zhàn)對(duì)抗浮出水面。2014年2 月，我國(guó)成立了網(wǎng)絡(luò)安全和信息化中央領(lǐng)導(dǎo)小組，對(duì)“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全”這一論斷進(jìn)行了深刻闡述［1］。2018年4月，全國(guó)網(wǎng)絡(luò)安全和信息化工作會(huì)議中指出，加強(qiáng)互聯(lián)網(wǎng)內(nèi)容建設(shè)、完善網(wǎng)絡(luò)綜合治理體系、營(yíng)造清朗的網(wǎng)絡(luò)空間，從而將網(wǎng)絡(luò)安全提升到了一個(gè)更廣泛的層次［2］。

網(wǎng)絡(luò)戰(zhàn)效能評(píng)估的研究方法很多，文獻(xiàn)［3］中將網(wǎng)絡(luò)戰(zhàn)分為功能模型、物理模型以及信息模型，采用服務(wù)到節(jié)點(diǎn)、鏈路到網(wǎng)絡(luò)系統(tǒng)的自底向上的層次效能評(píng)估方法；文獻(xiàn)［4］從網(wǎng)絡(luò)戰(zhàn)裝備入手，從技術(shù)、戰(zhàn)術(shù)、戰(zhàn)役、戰(zhàn)略4 個(gè)層次進(jìn)行網(wǎng)絡(luò)戰(zhàn)效能評(píng)估，除此之外，更多的研究是針對(duì)網(wǎng)絡(luò)入侵檢測(cè)方面，例如文獻(xiàn)［5-8］，通過(guò)貝葉斯算法、支持向量機(jī)、神經(jīng)網(wǎng)絡(luò)、聚類分析等不同算法進(jìn)行網(wǎng)絡(luò)入侵檢測(cè)研究，這些研究和算法各有特點(diǎn)，但主要是針對(duì)攻擊策略的研究與評(píng)估，且實(shí)時(shí)性較差，不能從全局的角度分析和評(píng)估整個(gè)網(wǎng)絡(luò)攻防態(tài)勢(shì)，也不能體現(xiàn)出網(wǎng)絡(luò)戰(zhàn)雙方互相對(duì)抗這一過(guò)程。

對(duì)網(wǎng)絡(luò)戰(zhàn)的作戰(zhàn)效能進(jìn)行科學(xué)合理的分析與評(píng)估，是研究網(wǎng)絡(luò)戰(zhàn)乃至信息化作戰(zhàn)的前沿課題。網(wǎng)絡(luò)戰(zhàn)的效能評(píng)估就是在互聯(lián)網(wǎng)基礎(chǔ)上，對(duì)網(wǎng)絡(luò)攻擊方和網(wǎng)絡(luò)防御方的作戰(zhàn)效能做出定量的論斷。研究網(wǎng)絡(luò)戰(zhàn)效能評(píng)估方法，可以了解敵人的網(wǎng)絡(luò)攻擊策略，完善我方網(wǎng)絡(luò)防護(hù)方案，可以更加有效地保證我方網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，有助于我國(guó)在未來(lái)的信息化戰(zhàn)爭(zhēng)中取得主動(dòng)。

1 網(wǎng)絡(luò)戰(zhàn)攻防指標(biāo)體系的建立

在進(jìn)行網(wǎng)絡(luò)戰(zhàn)效能評(píng)估時(shí)，首要是要確立網(wǎng)絡(luò)戰(zhàn)攻防指標(biāo)體系，如何建立網(wǎng)絡(luò)戰(zhàn)攻防指標(biāo)體系將直接影響網(wǎng)絡(luò)戰(zhàn)效能評(píng)估的結(jié)果。

這里將網(wǎng)絡(luò)戰(zhàn)指標(biāo)體系分為攻擊效能指標(biāo)和防御效能指標(biāo)兩部分。其中，攻擊效能指標(biāo)是根據(jù)KDDCUP99 數(shù)據(jù)集的分類標(biāo)識(shí)進(jìn)行建立的，由于KDDCUP99 數(shù)據(jù)集是根據(jù)模擬美國(guó)空軍局域網(wǎng)的一個(gè)網(wǎng)絡(luò)環(huán)境而收集到的信息，KDDCUP99數(shù)據(jù)集是通過(guò)仿真真實(shí)的攻擊手段而采集的，所以數(shù)據(jù)的收集更貼近真實(shí)的網(wǎng)絡(luò)環(huán)境［9］。目前關(guān)于網(wǎng)絡(luò)入侵的文獻(xiàn)中相當(dāng)數(shù)量都是以KDDCUP99 數(shù)據(jù)集為基礎(chǔ)進(jìn)行研究的，并且網(wǎng)絡(luò)入侵的種類離不開KDDCUP99 數(shù)據(jù)集中的4 種攻擊標(biāo)識(shí)。這里根據(jù)按照KDDCUP99 數(shù)據(jù)集內(nèi)的攻擊標(biāo)識(shí)，將攻擊指標(biāo)分為四大類：拒絕服務(wù)攻擊（Denial Of Service，DOS）、監(jiān)視和其他探測(cè)活動(dòng)（Probing）、來(lái)自遠(yuǎn)程機(jī)器的非法訪問(wèn)（Remote to Local，R2L）、普通用戶對(duì)本地超級(jí)用戶特權(quán)的非法訪問(wèn)（User to Root，U2R）四大類［10-11］。

防御效能指標(biāo)則主要反映在對(duì)應(yīng)的網(wǎng)絡(luò)節(jié)點(diǎn)的防御能力上，網(wǎng)絡(luò)戰(zhàn)中網(wǎng)絡(luò)節(jié)點(diǎn)的防御能力在于節(jié)點(diǎn)本身的功能，假設(shè)一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)沒有采取任何防御措施，那么此節(jié)點(diǎn)的防御能力就為零，而節(jié)點(diǎn)防御措施是如何設(shè)定的？在網(wǎng)絡(luò)戰(zhàn)中，防御方的每一個(gè)節(jié)點(diǎn)防御措施有高有低，越重要的節(jié)點(diǎn)的防御措施就越高。節(jié)點(diǎn)的重要性主要在兩個(gè)方面：一個(gè)是網(wǎng)絡(luò)節(jié)點(diǎn)的結(jié)構(gòu)重要性；一個(gè)是節(jié)點(diǎn)的內(nèi)容重要性。

節(jié)點(diǎn)的結(jié)構(gòu)重要性即網(wǎng)絡(luò)節(jié)點(diǎn)的脆弱性研究，研究網(wǎng)絡(luò)節(jié)點(diǎn)的脆弱性的文獻(xiàn)數(shù)不勝數(shù)，脆弱性研究主要有兩種方法：一種是通過(guò)節(jié)點(diǎn)在網(wǎng)絡(luò)中的中心性程度進(jìn)行評(píng)估，即節(jié)點(diǎn)的中心性越強(qiáng)，節(jié)點(diǎn)就越重要，可以通過(guò)度中心、介數(shù)、緊密性等指標(biāo)進(jìn)行評(píng)判；另一種是除掉節(jié)點(diǎn)后觀察對(duì)網(wǎng)絡(luò)的毀傷程度，即除掉該節(jié)點(diǎn)后，網(wǎng)絡(luò)性能下降得越多，節(jié)點(diǎn)就越重要［12-13］。節(jié)點(diǎn)的結(jié)構(gòu)重要性越大，則應(yīng)該采取越強(qiáng)的防御措施。節(jié)點(diǎn)的內(nèi)容重要性是節(jié)點(diǎn)自身的價(jià)值，一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)所存儲(chǔ)的信息或者自身的功能越重要，則遭受攻擊的可能性和攻擊強(qiáng)度就越大，就要采取更加嚴(yán)密的防御措施。

接下來(lái)需要根據(jù)節(jié)點(diǎn)的結(jié)構(gòu)重要程度和內(nèi)容重要程度來(lái)設(shè)定節(jié)點(diǎn)的防御能力，即節(jié)點(diǎn)的應(yīng)急反應(yīng)能力。這里舉個(gè)例子，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)是通過(guò)匹配自身的特征庫(kù)來(lái)進(jìn)行入侵檢測(cè)，特征庫(kù)越全面、特征數(shù)量越多，那么入侵檢測(cè)的能力就越強(qiáng)。這里為了更好地反映節(jié)點(diǎn)的防御能力，將節(jié)點(diǎn)的結(jié)構(gòu)重要程度和內(nèi)容重要程度量化后之積作為特征庫(kù)的特征數(shù)量，可以采用支持向量機(jī)、神經(jīng)網(wǎng)絡(luò)、聚類分析等不同的算法，來(lái)對(duì)攻擊方的攻擊行為進(jìn)行檢測(cè)，能夠更貼近網(wǎng)絡(luò)戰(zhàn)的攻防實(shí)際，更好地體現(xiàn)雙方互相對(duì)抗這一過(guò)程。因此這里將節(jié)點(diǎn)的防御效能指標(biāo)設(shè)定為節(jié)點(diǎn)結(jié)構(gòu)重要性、節(jié)點(diǎn)內(nèi)容的重要性和節(jié)點(diǎn)的應(yīng)急反應(yīng)能力三大類。

對(duì)于網(wǎng)絡(luò)戰(zhàn)敵我雙方來(lái)說(shuō)，網(wǎng)絡(luò)戰(zhàn)包括我方的進(jìn)攻、敵方的進(jìn)攻、我方的防御和敵方的防御，對(duì)應(yīng)的是我方攻擊效能、敵方攻擊效能、我方防御效能和敵方防御效能。敵方的攻擊失敗代表著我方的防御成功；同樣地，敵方的進(jìn)攻成功也代表我方的防御失敗。因此，為了更好地對(duì)網(wǎng)絡(luò)戰(zhàn)整體作戰(zhàn)效能進(jìn)行評(píng)估和仿真，這里取藍(lán)方攻擊效能和紅方防御效能兩項(xiàng)指標(biāo)作為二級(jí)指標(biāo)，通過(guò)網(wǎng)絡(luò)戰(zhàn)的交戰(zhàn)的攻防雙方來(lái)確定最后的作戰(zhàn)效能。

網(wǎng)絡(luò)戰(zhàn)攻防指標(biāo)體系如圖1所示。

圖1 網(wǎng)絡(luò)戰(zhàn)攻防指標(biāo)體系Fig.1 Attack and defense index system of network warfare

2 網(wǎng)絡(luò)戰(zhàn)攻擊效能的評(píng)估模型

2.1 網(wǎng)絡(luò)戰(zhàn)攻擊的定義

網(wǎng)絡(luò)戰(zhàn)的攻擊是通過(guò)拒絕服務(wù)攻擊、監(jiān)視和其他探測(cè)活動(dòng)、來(lái)自遠(yuǎn)程機(jī)器的非法訪問(wèn)、普通用戶對(duì)本地超級(jí)用戶特權(quán)的非法訪問(wèn)四類手段進(jìn)行攻擊的，在四類攻擊手段之下還可以繼續(xù)分為39個(gè)次一級(jí)的攻擊類型，這里不再繼續(xù)細(xì)分。

在網(wǎng)絡(luò)戰(zhàn)中，不可能每一次攻擊都會(huì)成功，一次成功也不代表著完全控制或者癱瘓對(duì)應(yīng)的目標(biāo)節(jié)點(diǎn)，因此需要對(duì)網(wǎng)絡(luò)戰(zhàn)攻擊的效能進(jìn)行評(píng)估。

網(wǎng)絡(luò)戰(zhàn)是基于計(jì)算機(jī)網(wǎng)絡(luò)實(shí)施的作戰(zhàn)行動(dòng)，研究網(wǎng)絡(luò)戰(zhàn)的第一步是要研究網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。作戰(zhàn)網(wǎng)絡(luò)的鄰接矩陣為：

式中N為網(wǎng)絡(luò)中節(jié)點(diǎn)數(shù)量。

2.2 網(wǎng)絡(luò)戰(zhàn)攻擊效能分析

無(wú)論是網(wǎng)絡(luò)結(jié)構(gòu)多么復(fù)雜，敵方的攻擊都會(huì)作用在不同的網(wǎng)絡(luò)節(jié)點(diǎn)上，網(wǎng)絡(luò)戰(zhàn)的攻擊效能由攻擊效果決定的，對(duì)不同的節(jié)點(diǎn)目標(biāo)，采用不同的攻擊策略，將直接影響網(wǎng)絡(luò)戰(zhàn)攻擊的效能，因此對(duì)網(wǎng)絡(luò)戰(zhàn)的攻擊效能A(pi)的定義如下：

其中：ATTACK函數(shù)表示對(duì)節(jié)點(diǎn)pi采用Di次拒絕服務(wù)攻擊、Pi次監(jiān)視和其他探測(cè)活動(dòng)攻擊、Ri次來(lái)自遠(yuǎn)程機(jī)器非法訪問(wèn)攻擊和Ui次普通用戶對(duì)本地超級(jí)用戶特權(quán)非法訪問(wèn)攻擊。

3 網(wǎng)絡(luò)戰(zhàn)防御效能的評(píng)估模型

3.1 節(jié)點(diǎn)結(jié)構(gòu)重要程度

采用PageRank 算法來(lái)判斷在網(wǎng)絡(luò)戰(zhàn)的網(wǎng)絡(luò)體系中節(jié)點(diǎn)結(jié)構(gòu)的重要程度。PageRank 算法最早來(lái)源于搜索引擎的網(wǎng)頁(yè)的重要性排序和評(píng)價(jià)，同樣，對(duì)于網(wǎng)絡(luò)中網(wǎng)絡(luò)節(jié)點(diǎn)的重要性也可以通過(guò)PageRank 算法來(lái)確定，網(wǎng)絡(luò)中每一個(gè)節(jié)點(diǎn)的PageRank 值等于與這個(gè)節(jié)點(diǎn)相連接的各個(gè)節(jié)點(diǎn)的PageRank值總和。

最初的PageRank算法是面向有向圖的，其迭代方程為：

其中：L(pj)為節(jié)點(diǎn)pj的出度；d為阻尼因子；N是節(jié)點(diǎn)總數(shù)；(1-d)為隨機(jī)跳往任意一個(gè)節(jié)點(diǎn)的概率；M(pi)為連接節(jié)點(diǎn)pj的所有節(jié)點(diǎn)集合。

而在本文中，網(wǎng)絡(luò)戰(zhàn)的網(wǎng)絡(luò)體系為無(wú)向圖，因此可以得到pi點(diǎn)的PageRank值PR(pi)，其迭代方程［14］為：

其中degree(pj)為節(jié)點(diǎn)pj的度。

因此，節(jié)點(diǎn)pi結(jié)構(gòu)的重要程度可以用PR(pi)表示。

3.2 節(jié)點(diǎn)內(nèi)容重要程度

網(wǎng)絡(luò)戰(zhàn)中每個(gè)被攻擊節(jié)點(diǎn)都有著自身的價(jià)值，這些價(jià)值可能是包含重要的軍事信息，也有可能是有著重要的功能等。網(wǎng)絡(luò)節(jié)點(diǎn)的內(nèi)容價(jià)值越大，作為目標(biāo)被攻擊的可能性越大，同時(shí)網(wǎng)絡(luò)節(jié)點(diǎn)被攻擊損毀后所造成的損失也越大，因此這里通過(guò)模糊評(píng)價(jià)法來(lái)綜合評(píng)估節(jié)點(diǎn)的內(nèi)容重要性［15］，層次圖如圖2所示。

圖2 節(jié)點(diǎn)內(nèi)容重要程度層次Fig.2 Hierarchy of node content importance

節(jié)點(diǎn)內(nèi)容的重要程度主要體現(xiàn)在政治價(jià)值、軍事價(jià)值、經(jīng)濟(jì)價(jià)值和其他價(jià)值四個(gè)方面，并且與涉密信息或者節(jié)點(diǎn)功能的重要性程度有關(guān)，信息的密級(jí)越高或者節(jié)點(diǎn)的功能越重要，其節(jié)點(diǎn)的內(nèi)容重要程度就越大。

其中：Ⅰ級(jí)表示此節(jié)點(diǎn)內(nèi)存有絕密級(jí)信息或者有著極度重要的功能；Ⅱ級(jí)表示此節(jié)點(diǎn)內(nèi)存有機(jī)密級(jí)信息或者有著很重要的功能；Ⅲ級(jí)表示此節(jié)點(diǎn)內(nèi)存有秘密級(jí)信息或者有著次重要功能；Ⅳ級(jí)表示此節(jié)點(diǎn)內(nèi)存有內(nèi)部級(jí)信息或者有著普通功能。

這里按照Ⅰ到Ⅳ四種不同級(jí)別的信息或者功能的重要程進(jìn)行分析，假設(shè)節(jié)點(diǎn)中存在一項(xiàng)Ⅰ級(jí)的信息或者功能，其所影響的政治、軍事、經(jīng)濟(jì)和其他方面價(jià)值為l11，l12，l13，l14，當(dāng)有數(shù)量N1的Ⅰ級(jí)信息或者功能，則對(duì)應(yīng)的價(jià)值總量為：

同理，一項(xiàng)Ⅱ級(jí)的信息或者功能，其所影響的政治、軍事、經(jīng)濟(jì)和其他方面價(jià)值為l21，l22，l23，l24，一項(xiàng)Ⅲ級(jí)的信息或者功能，其所影響的政治、軍事、經(jīng)濟(jì)和其他方面價(jià)值為l31，l32，l33，l34，一項(xiàng)Ⅳ級(jí)的信息或者功能，其所影響的政治、軍事、經(jīng)濟(jì)和其他方面價(jià)值為l41，l42，l43，l44。三者對(duì)應(yīng)數(shù)量為N2，N3，N4，對(duì)應(yīng)的價(jià)值總量為：

對(duì)于pi節(jié)點(diǎn)所持有全部涉密信息的內(nèi)容重要程度L(pi)就等于各種級(jí)別的信息或者功能影響政治、軍事、經(jīng)濟(jì)和其他的價(jià)值之和化，并進(jìn)行歸一化處理，即：

其中Lc為網(wǎng)絡(luò)所有節(jié)點(diǎn)的內(nèi)容重要程度之和。

這里對(duì)于每一項(xiàng)價(jià)值量都可以給出一個(gè)客觀的評(píng)價(jià)，這里取評(píng)判集的量化值V∈[0，100]。

3.3 節(jié)點(diǎn)應(yīng)急反應(yīng)能力

如果說(shuō)節(jié)點(diǎn)的結(jié)構(gòu)和內(nèi)容的重要程度是網(wǎng)絡(luò)戰(zhàn)的網(wǎng)絡(luò)體系中節(jié)點(diǎn)所被動(dòng)擁有的屬性，那么節(jié)點(diǎn)的應(yīng)急反應(yīng)能力則是主動(dòng)防御的屬性，包括對(duì)攻擊進(jìn)行檢測(cè)、攔截、修復(fù)等一系列措施。

節(jié)點(diǎn)的應(yīng)急反應(yīng)能力中，最主要的是對(duì)網(wǎng)絡(luò)戰(zhàn)攻擊的入侵檢測(cè)。關(guān)于入侵檢測(cè)的研究有很多，這里將采取LightGBM（Light Gradient Boosting Machine）算法進(jìn)行檢測(cè)。

LightBGM 是一種基于決策樹算法的梯度提升框架，它的主要特點(diǎn)是：分布式、快速、高效。LightBGM 主要使用了基于Histogram 決策樹算法進(jìn)行學(xué)習(xí)［16-17］。首先將特征值進(jìn)行離散化，并生成一個(gè)寬為k的直方圖。當(dāng)對(duì)數(shù)據(jù)樣本進(jìn)行遍歷時(shí)，將取離散后值作為索引值。直方圖在完成一次遍歷后就會(huì)累積了需要的統(tǒng)計(jì)量，然后通過(guò)直方圖的離散值來(lái)尋找最優(yōu)的分割點(diǎn)。采取這種方式能非常顯著降低內(nèi)存的使用，從而降低時(shí)間復(fù)雜度。

LightGBM 算法的另一個(gè)特點(diǎn)是采取了高效率的葉子生長(zhǎng)策略，即帶深度限制的葉子生長(zhǎng)策略（Leaf-wise）。Leaf-wise精度高、誤差低，并在Leaf-wise中加入了防止過(guò)擬合的最大深度限制。該策略在每一次分裂前都會(huì)遍歷決策樹中全部葉子，尋找到分裂增益最大的葉子來(lái)進(jìn)行分裂，然后重復(fù)這一操作［18］。

這里采用KDDCUP99 作為訓(xùn)練集進(jìn)行訓(xùn)練，來(lái)判斷和識(shí)別網(wǎng)絡(luò)戰(zhàn)的攻擊手段。當(dāng)然，實(shí)際情況下，不同節(jié)點(diǎn)的應(yīng)急反應(yīng)能力各不相同，重要的節(jié)點(diǎn)應(yīng)急反應(yīng)能力強(qiáng)大，次要的節(jié)點(diǎn)應(yīng)急反應(yīng)能力一般，體現(xiàn)應(yīng)急反應(yīng)能力大小的就是節(jié)點(diǎn)的入侵檢測(cè)能力。這里為了更好地評(píng)估應(yīng)急反應(yīng)能力，沒有簡(jiǎn)單地直接利用LightGBM 算法進(jìn)行分析，而是從LightGBM 算法的訓(xùn)練集出發(fā)，通過(guò)設(shè)定訓(xùn)練集的數(shù)量來(lái)反映節(jié)點(diǎn)的入侵檢測(cè)能力，即應(yīng)急反應(yīng)能力。

訓(xùn)練集的數(shù)量越多，入侵檢測(cè)的準(zhǔn)確率越大，成功攔截?cái)撤骄W(wǎng)絡(luò)攻擊的概率就越大，節(jié)點(diǎn)的應(yīng)急反應(yīng)能力就越強(qiáng)大。

3.4 節(jié)點(diǎn)防御效能的分析

節(jié)點(diǎn)的防御效能與節(jié)點(diǎn)的結(jié)構(gòu)重要程度、節(jié)點(diǎn)的內(nèi)容重要程度和節(jié)點(diǎn)的應(yīng)急反應(yīng)能力有關(guān)。這里為了更好地評(píng)估節(jié)點(diǎn)的防御效能，對(duì)節(jié)點(diǎn)pi防御效能D(pi)進(jìn)行如下定義：

其中：I為訓(xùn)練集總量；α為修正系數(shù)；函數(shù)LightGBM是對(duì)訓(xùn)練集進(jìn)行訓(xùn)練后得出的訓(xùn)練模型。

節(jié)點(diǎn)pi的防御效能D(pi)可以由訓(xùn)練集的數(shù)量反映出來(lái)，節(jié)點(diǎn)的結(jié)構(gòu)重要程度越大，節(jié)點(diǎn)的內(nèi)容重要程度越大，那么參與訓(xùn)練的訓(xùn)練集的數(shù)目就越大，訓(xùn)練出來(lái)的模型就越精確，入侵識(shí)別效果就越好，節(jié)點(diǎn)pi的防御效能D(pi)就越大。

4 基于LightGBM的網(wǎng)絡(luò)戰(zhàn)效能評(píng)估模型

4.1 節(jié)點(diǎn)毀傷效能曲線

對(duì)網(wǎng)絡(luò)傳遞的信息進(jìn)行檢測(cè)，通過(guò)LightGBM 算法對(duì)信息進(jìn)行判別，如果斷定是攻擊行為［19］，則進(jìn)行攔截，若判斷失誤，則攔截失敗，就會(huì)對(duì)節(jié)點(diǎn)造成一定的毀傷，節(jié)點(diǎn)因攻擊帶來(lái)的毀傷達(dá)到一定的程度，該節(jié)點(diǎn)則會(huì)癱瘓或者被摧毀。

根據(jù)網(wǎng)絡(luò)戰(zhàn)的性質(zhì)可知，節(jié)點(diǎn)毀傷效果是趨大型的，即攻擊效能越大對(duì)毀傷節(jié)點(diǎn)的滿足程度越大，因此這里定義節(jié)點(diǎn)毀傷曲線來(lái)計(jì)算節(jié)點(diǎn)的毀傷情況［20］，當(dāng)毀傷效能達(dá)到1時(shí)，節(jié)點(diǎn)則會(huì)癱瘓或者被摧毀，如圖3所示。

圖3 節(jié)點(diǎn)毀傷效能曲線Fig.3 Node damage effectiveness curve

具體函數(shù)表達(dá)式為：

其中：φ∈{Di，Pi，Ri，Ui}，Cφ為采用Di，Pi，Ri，Ui進(jìn)行攻擊后突破節(jié)點(diǎn)防御的攻擊數(shù)量；i表示節(jié)點(diǎn)pi的序號(hào)，i=1，2，…，N。

4.2 網(wǎng)絡(luò)戰(zhàn)效能計(jì)算

網(wǎng)絡(luò)戰(zhàn)的效能評(píng)估方法歸根到底是判斷網(wǎng)絡(luò)節(jié)點(diǎn)的損毀程度，在網(wǎng)絡(luò)戰(zhàn)中，網(wǎng)絡(luò)中節(jié)點(diǎn)數(shù)量的保存和損毀數(shù)量直接決定網(wǎng)絡(luò)戰(zhàn)的作戰(zhàn)效果，則：對(duì)攻擊方而言，損毀對(duì)方節(jié)點(diǎn)的重要性越高、數(shù)量越多，完成的作戰(zhàn)效果越好，與之對(duì)應(yīng)的作戰(zhàn)效能就越高；對(duì)于防御方而言，成功抵御的攻擊數(shù)量越多，保存的網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量越多、完整程度越高，那么對(duì)應(yīng)的作戰(zhàn)效能就越高。

對(duì)于網(wǎng)絡(luò)中每一個(gè)節(jié)點(diǎn)pi，都需要計(jì)算出其結(jié)構(gòu)重要程度和節(jié)點(diǎn)內(nèi)容重要程度，然后結(jié)合訓(xùn)練集總量I和修正系數(shù)α，求得每一個(gè)節(jié)點(diǎn)的防御效能D(pi)，并與每一個(gè)節(jié)點(diǎn)受到的攻擊效能A(pi)進(jìn)行比較，從而得到每一個(gè)節(jié)點(diǎn)的毀傷情況，得出網(wǎng)絡(luò)戰(zhàn)中網(wǎng)絡(luò)體系的剩余效能總量和毀傷效能總量，即網(wǎng)絡(luò)戰(zhàn)的作戰(zhàn)效能。

毀傷效能總量為：

剩余效能總量為：

5 仿真實(shí)驗(yàn)與結(jié)果分析

5.1 仿真實(shí)驗(yàn)步驟

下面進(jìn)行網(wǎng)絡(luò)戰(zhàn)的仿真實(shí)驗(yàn)，為簡(jiǎn)化計(jì)算，這里選取攻擊類型為DOS，步驟如下：

1）隨機(jī)生成一個(gè)100 節(jié)點(diǎn)網(wǎng)絡(luò)作為實(shí)驗(yàn)對(duì)象，通過(guò)計(jì)算，得到此網(wǎng)絡(luò)各個(gè)節(jié)點(diǎn)的結(jié)構(gòu)重要程度數(shù)值；

2）對(duì)每個(gè)節(jié)點(diǎn)的內(nèi)容重要程度進(jìn)行評(píng)估，通過(guò)計(jì)算，得到此網(wǎng)絡(luò)各個(gè)節(jié)點(diǎn)的內(nèi)容重要程度數(shù)值；

3）選取KDDCUP99 的部分DOS 和Normal 數(shù)據(jù)作為訓(xùn)練總集I，對(duì)每個(gè)節(jié)點(diǎn)進(jìn)行訓(xùn)練，對(duì)應(yīng)的每個(gè)節(jié)點(diǎn)的訓(xùn)練集根據(jù)計(jì)算求得；

4）選取KDDCUP99 的部分DOS 和Normal 數(shù)據(jù)作為攻擊數(shù)據(jù)，按照設(shè)定的攻擊策略進(jìn)行攻擊，攻擊目標(biāo)為100 個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)；

5）使用LightGBM 算法分別對(duì)100 個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行判斷，得到突破節(jié)點(diǎn)防御的攻擊數(shù)量；

6）根據(jù)節(jié)點(diǎn)毀傷曲線計(jì)算每個(gè)節(jié)點(diǎn)的剩余效能和毀傷效能，并進(jìn)行累加求和，得到最終的網(wǎng)絡(luò)戰(zhàn)作戰(zhàn)效能。

5.2 結(jié)果分析

首先根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)計(jì)算出每個(gè)節(jié)點(diǎn)的結(jié)構(gòu)重要程度，再隨機(jī)生成每個(gè)節(jié)點(diǎn)的Ⅰ到Ⅳ四種重要程度的信息或者功能與其所影響的政治、軍事、經(jīng)濟(jì)和其他方面的價(jià)值，得到節(jié)點(diǎn)的內(nèi)容重要程度，如表1所示。

表1 節(jié)點(diǎn)重要程度Tab.1 Node importance

接下來(lái)選取KDDCUP99 數(shù)據(jù)總集合并進(jìn)行數(shù)據(jù)集的分配，取KDDCUP99 數(shù)據(jù)集的10%中的DOS 和Normal 類型共488 736條作為數(shù)據(jù)總集合。這里根據(jù)情況調(diào)整修正系數(shù)α=0.1，α的大小會(huì)影響訓(xùn)練集的數(shù)量，α取值過(guò)大或過(guò)小都會(huì)造成防御效能設(shè)定過(guò)強(qiáng)或者過(guò)弱，使得網(wǎng)絡(luò)戰(zhàn)攻防過(guò)程不平衡，導(dǎo)致網(wǎng)絡(luò)戰(zhàn)攻防雙方對(duì)抗性將不能很好地展現(xiàn)出來(lái)。通過(guò)節(jié)點(diǎn)的結(jié)構(gòu)重要程度和節(jié)點(diǎn)的內(nèi)容重要程度計(jì)算得到每個(gè)節(jié)點(diǎn)的訓(xùn)練集，如表2所示。

表2 訓(xùn)練集的分配Tab.2 Distribution of training sets

按照得出的100種不同的訓(xùn)練集分別進(jìn)行100次訓(xùn)練，得到100個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的LightGBM訓(xùn)練參數(shù)。

下面設(shè)定攻擊方的攻擊策略，這里為了簡(jiǎn)化計(jì)算，設(shè)定攻擊方對(duì)每一個(gè)節(jié)點(diǎn)采用同樣的攻擊策略，攻擊數(shù)據(jù)采用KDDCUP99 的測(cè)試數(shù)據(jù)集的10%共30 000 條DOS 和Normal類型數(shù)據(jù)。

利用LightGBM 算法對(duì)每個(gè)節(jié)點(diǎn)的面臨的30 000 條模擬進(jìn)攻的數(shù)據(jù)進(jìn)行判別，得到突破每一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)防御的攻擊數(shù)量，如表3所示。

接下來(lái)根據(jù)節(jié)點(diǎn)毀傷曲線計(jì)算每個(gè)節(jié)點(diǎn)的剩余效能和毀傷效能。節(jié)點(diǎn)毀傷曲線中的取值決定了節(jié)點(diǎn)在遭受攻擊后何時(shí)開始受到影響、何時(shí)完全損毀。這里舉個(gè)例子，在真實(shí)的網(wǎng)絡(luò)戰(zhàn)環(huán)境某個(gè)節(jié)點(diǎn)遭受到DOS 攻擊，在受到強(qiáng)度為10的DOS攻擊時(shí)，對(duì)節(jié)點(diǎn)完全沒有影響，當(dāng)受到強(qiáng)度為100的DOS 攻擊時(shí)，節(jié)點(diǎn)受到影響明顯，當(dāng)受到強(qiáng)度為1 000 的DOS 攻擊時(shí)，節(jié)點(diǎn)完全癱瘓。的取值應(yīng)該結(jié)合真實(shí)網(wǎng)絡(luò)中節(jié)點(diǎn)實(shí)際承受能力進(jìn)行測(cè)量，這里為了能夠使網(wǎng)絡(luò)戰(zhàn)的對(duì)抗過(guò)程更好地展現(xiàn)出來(lái)，取，最后得到每個(gè)節(jié)點(diǎn)的剩余效能和毀傷效能，如表4所示。

通過(guò)計(jì)算得到，100個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)中有12個(gè)節(jié)點(diǎn)完好無(wú)損，有35 個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)完全損毀，網(wǎng)絡(luò)剩余效能總量E1=55.995，攻擊方造成的毀傷效能E2=44.005。

表4 節(jié)點(diǎn)剩余效能和毀傷效能Tab.4 Node residual effectiveness and damage effectiveness

6 結(jié)語(yǔ)

在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中，存在來(lái)自國(guó)內(nèi)外高頻率的網(wǎng)絡(luò)攻擊和入侵，攻擊層次由淺入深，攻擊手段日益復(fù)雜，攻擊危害性持續(xù)增長(zhǎng)，網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，對(duì)網(wǎng)絡(luò)戰(zhàn)效能進(jìn)行評(píng)估對(duì)我國(guó)的網(wǎng)絡(luò)安全有著重要而深遠(yuǎn)的意義。本文提出了一種可行的網(wǎng)絡(luò)戰(zhàn)效能評(píng)估的方法，通過(guò)構(gòu)建紅藍(lán)雙方的網(wǎng)絡(luò)戰(zhàn)攻防指標(biāo)體系，引入四種不同攻擊類型作為攻擊指標(biāo)，引入節(jié)點(diǎn)結(jié)構(gòu)、內(nèi)容重要程度和應(yīng)急反應(yīng)能力作為防御指標(biāo)，提出了基于LightGBM 的網(wǎng)絡(luò)戰(zhàn)效能評(píng)估模型，得到整個(gè)網(wǎng)絡(luò)戰(zhàn)攻防體系中的剩余效能和毀傷效能指標(biāo)，綜合兩個(gè)指標(biāo)分析網(wǎng)絡(luò)戰(zhàn)紅藍(lán)雙方的作戰(zhàn)效能。最后，利用仿真實(shí)驗(yàn)證明了模型的有效性和可行性。該方法對(duì)網(wǎng)絡(luò)戰(zhàn)效能評(píng)估問(wèn)題提供了一種完整的評(píng)估和分析思路：一方面有利于網(wǎng)絡(luò)戰(zhàn)的攻擊方確定攻擊的正確性和可行性，同時(shí)可以讓作戰(zhàn)指揮員在網(wǎng)絡(luò)戰(zhàn)開始之前評(píng)估不同策略的網(wǎng)絡(luò)戰(zhàn)效能，從而進(jìn)行相應(yīng)的策略調(diào)整；另一方面，也有利于防御方提前做好防護(hù)措施，完善和豐富網(wǎng)絡(luò)防護(hù)策略，可用于加強(qiáng)網(wǎng)絡(luò)安全建設(shè)、維護(hù)國(guó)家利益。