基于DDoS 攻擊關(guān)聯(lián)化變權(quán)評(píng)估算法

李俊鵬 ，朱廣宇 ，李維皓 ，曹 進(jìn)

(1.華北計(jì)算機(jī)系統(tǒng)工程研究所，北京 100083；2.西安電子科技大學(xué)，陜西 西安 710071)

0 引言

21 世紀(jì)以來，隨著互聯(lián)網(wǎng)的快速發(fā)展，我國(guó)的網(wǎng)絡(luò)規(guī)模愈發(fā)龐大，伴隨而來的是網(wǎng)絡(luò)大數(shù)據(jù)信息遭受著各式各樣的網(wǎng)絡(luò)安全威脅。根據(jù)國(guó)家互聯(lián)網(wǎng)中心的報(bào)告顯示，2019 年以來我國(guó)網(wǎng)絡(luò)攻擊事件頻發(fā)，重要網(wǎng)站和政府網(wǎng)站成為攻擊的重點(diǎn)目標(biāo)，嚴(yán)重威脅著網(wǎng)絡(luò)用戶的信息安全。 因此，如何提升網(wǎng)絡(luò)安全性成為了當(dāng)下研究的熱門課題。 但是，目前的網(wǎng)絡(luò)安全主要還是從被動(dòng)防御的角度入手，利用對(duì)已有威脅的分析，靜態(tài)地進(jìn)行網(wǎng)絡(luò)安全防御，但是這種后知后覺的防御措施對(duì)于千變?nèi)f化的網(wǎng)絡(luò)威脅并沒有明確的防御重點(diǎn)。本文從網(wǎng)絡(luò)攻擊產(chǎn)生的效果出發(fā)，研究當(dāng)下網(wǎng)絡(luò)空間中DDoS 攻擊方式所產(chǎn)生的攻擊效果，通過多維度評(píng)估指標(biāo)體系進(jìn)行細(xì)粒度的有效評(píng)估，可為網(wǎng)絡(luò)安全防護(hù)策略設(shè)計(jì)提供參考。

針對(duì)網(wǎng)絡(luò)攻擊效果評(píng)估的研究首先由美國(guó)學(xué)者Lala[1]在 2001 年公開發(fā)表，2002 年張義榮[2]教授在國(guó)內(nèi)開展了關(guān)于網(wǎng)絡(luò)攻擊效果評(píng)估的研究課題，并首次在國(guó)內(nèi)期刊發(fā)表了關(guān)于網(wǎng)絡(luò)攻擊效果評(píng)估的研究?jī)?nèi)容，開啟了國(guó)內(nèi)學(xué)者對(duì)網(wǎng)絡(luò)攻擊效果研究的大門。 網(wǎng)絡(luò)攻擊效果評(píng)估技術(shù)隸屬于信息安全評(píng)估領(lǐng)域[3]，與信息安全領(lǐng)域的其他評(píng)估方式不同，網(wǎng)絡(luò)攻擊效果評(píng)估是從攻擊角度出發(fā)，圍繞網(wǎng)絡(luò)攻擊對(duì)于目標(biāo)靶機(jī)在硬件資源、網(wǎng)絡(luò)資源和服務(wù)狀態(tài)等安全屬性產(chǎn)生的影響[4-5]進(jìn)行量化打分的過程。

本文基于DDoS 攻擊從評(píng)估指標(biāo)體系設(shè)計(jì)、指標(biāo)權(quán)重確定、評(píng)估數(shù)據(jù)量化處理和攻擊效果評(píng)估計(jì)算四個(gè)方面出發(fā)， 研究網(wǎng)絡(luò)安全中面向DDoS 攻擊的網(wǎng)絡(luò)攻擊效果評(píng)估模型。 基于現(xiàn)有算法存在的不足和缺陷提出了基于DDoS 攻擊關(guān)聯(lián)化變權(quán)評(píng)估算法的網(wǎng)絡(luò)攻擊效果評(píng)估模型，并通過理論和實(shí)驗(yàn)兩個(gè)方面論證該算法的先進(jìn)性和合理性。

1 主流算法分析

針對(duì)當(dāng)下國(guó)內(nèi)外對(duì)網(wǎng)絡(luò)攻擊效果評(píng)估算法的研究，網(wǎng)絡(luò)攻擊效果評(píng)估算法主要可以分為以下三大類：定性分析評(píng)估、定量計(jì)算評(píng)估和綜合計(jì)算分析評(píng)估。 其中定性評(píng)估主要使用的德爾菲法(Delphi)是依據(jù)專家先驗(yàn)經(jīng)驗(yàn)主觀打分確定的方法，是最常用最簡(jiǎn)潔的評(píng)估算法，本文不進(jìn)行詳細(xì)介紹。 針對(duì)定量評(píng)估算法和綜合評(píng)估算法，本文從評(píng)估算法發(fā)展以來各個(gè)時(shí)間階段具有代表性的算法，從算法邏輯、算法優(yōu)劣性等多個(gè)角度對(duì)這些算法進(jìn)行簡(jiǎn)要的描述分析。

1.1 定量評(píng)估

基于定量計(jì)算的評(píng)估算法主要是采用數(shù)學(xué)中一些處理不確定性問題的方法對(duì)評(píng)估數(shù)據(jù)從量化計(jì)算的角度進(jìn)行數(shù)據(jù)關(guān)聯(lián)性的計(jì)算。 基于網(wǎng)絡(luò)熵的網(wǎng)絡(luò)攻擊效果評(píng)估算法[6]以信息熵[7]概念為基礎(chǔ)提出了可以評(píng)價(jià)網(wǎng)絡(luò)性能的網(wǎng)絡(luò)熵理論，并應(yīng)用到網(wǎng)絡(luò)安全評(píng)估領(lǐng)域。 該算法主要是在網(wǎng)絡(luò)攻防仿真實(shí)驗(yàn)中通過對(duì)目標(biāo)靶機(jī)被攻擊前后的評(píng)估指標(biāo)數(shù)據(jù)依據(jù)網(wǎng)絡(luò)熵進(jìn)行熵差計(jì)算，以此衡量攻擊對(duì)于目標(biāo)靶機(jī)各方面指標(biāo)的影響，繼而作為評(píng)估攻擊效果的一個(gè)評(píng)價(jià)策略。 基于粗糙集的網(wǎng)絡(luò)攻擊效果評(píng)估算法[8]首次在網(wǎng)絡(luò)攻擊效果評(píng)估算法中引入了粗糙集理論[9-11]，利用粗糙集理論中屬性重要性的概念衡量評(píng)估各指標(biāo)的重要性，在評(píng)估過程中增加對(duì)評(píng)估指標(biāo)之間關(guān)聯(lián)性的考慮。 基于二維熵的K 均值聚類網(wǎng)絡(luò)攻擊效果評(píng)估算法[12]在改變?cè)械幕诰W(wǎng)絡(luò)熵的評(píng)估算法的基礎(chǔ)上引入了K 均值聚類算法[13]，結(jié)合攻擊結(jié)果數(shù)據(jù)集多樣性和同一性的特點(diǎn)，利用K 均值算法將攻擊前后的熵差進(jìn)行聚類分析，進(jìn)而將每次攻擊劃分為不同的攻擊效果，判定每次攻擊效果的優(yōu)劣得到評(píng)估結(jié)果。

1.2 綜合評(píng)估

綜合評(píng)估算法引入了數(shù)學(xué)中定性分析和定量計(jì)算相融合的計(jì)算方法以實(shí)現(xiàn)更準(zhǔn)確的攻擊效果評(píng)估，例如層次分析法(Analytic Hierarchy Process，AHP)[14-15]、模糊層次分析法(Fuzzy-Analytic Hierarchy Process，F(xiàn)-AHP)和逼 近 理 想解算法。 將 AHP 算法 引入網(wǎng)絡(luò)攻擊效果評(píng)估，首先遵循層次分析法把指標(biāo)元素根據(jù)不同的屬性劃分為不同的層級(jí)，再利用兩兩重要性判別的方法從下至上依次計(jì)算各層級(jí)中元素的重要性。 F-AHP[16-19]使用模糊集中模糊互補(bǔ)矩陣的性質(zhì)進(jìn)行一致性檢驗(yàn)的方案代替了AHP 中使用最大特征根進(jìn)行一致性檢驗(yàn)的方案，降低了一致性檢驗(yàn)計(jì)算的復(fù)雜度和評(píng)估過程中權(quán)重計(jì)算的復(fù)雜度?；?D 數(shù)層次分析法(D Number-based Analytic Hierarchy Process，D-AHP)[20-21]的網(wǎng)絡(luò)攻擊效果評(píng)估算法與 F-AHP 類似，將 D 數(shù)理論[22]融合進(jìn) AHP 算法中，改善了F-AHP 中的專家打分信息不完整時(shí)無法構(gòu)建模糊矩陣的問題。 因此引入D 數(shù)理論加強(qiáng)了評(píng)估過程中對(duì)不確定性問題的描述能力。 基于灰色關(guān)聯(lián)分析法的網(wǎng)絡(luò)攻擊效果評(píng)估算法[23]利用灰色理論可以在數(shù)據(jù)量較少、缺乏先驗(yàn)經(jīng)驗(yàn)的情況下處理不確定性問題的特點(diǎn)，解決了在處理攻擊效果評(píng)估問題時(shí)因?yàn)闃颖緮?shù)據(jù)量不足、先驗(yàn)經(jīng)驗(yàn)不足導(dǎo)致結(jié)果出現(xiàn)偏差的問題。 同時(shí)根據(jù)不同指標(biāo)數(shù)據(jù)之間的相似性或差異性，來衡量評(píng)估指標(biāo)之間的關(guān)聯(lián)程度。 逼近理想解排序算法(Technique for Order Preference by Similarity to an Ideal Solution，TOPSIS)[24-25]從正、負(fù)兩個(gè)角度設(shè)置參考序列，然后通過計(jì)算評(píng)估樣本與正負(fù)理想解的相對(duì)近似度，作為各個(gè)評(píng)估數(shù)據(jù)樣本的優(yōu)劣程度的標(biāo)準(zhǔn)，即每組評(píng)估數(shù)據(jù)的評(píng)估結(jié)果，但是由于正、負(fù)理想解取自指標(biāo)數(shù)據(jù)，因此當(dāng)加入新的攻擊數(shù)據(jù)時(shí)會(huì)導(dǎo)致正、負(fù)理想解發(fā)生改變，評(píng)估樣本與參考序列之間的關(guān)聯(lián)關(guān)系可能會(huì)發(fā)生改變，產(chǎn)生與之前不同的評(píng)估結(jié)果，導(dǎo)致逆序問題的產(chǎn)生。

1.3 主要存在的問題

已有的評(píng)估算法普遍存在以下三個(gè)方面的問題：

(1)專家主觀性影響

因?yàn)榫W(wǎng)絡(luò)攻擊效果的特殊性，在數(shù)據(jù)量較少的情況下不得不先期依賴專家的先驗(yàn)經(jīng)驗(yàn)，但是不同的專家對(duì)于同一個(gè)事物的認(rèn)知也不完全相同，因此不經(jīng)過特殊處理的專家經(jīng)驗(yàn)帶來的主觀性影響也將影響最終評(píng)估結(jié)果的準(zhǔn)確性，所以在評(píng)估過程中融入多種不同的算法，以減弱專家意見的主觀性帶來的影響。

(2)一致性判斷難

目前基于AHP 類算法中一致性檢驗(yàn)計(jì)算即是判斷數(shù)據(jù)是否出現(xiàn)邏輯錯(cuò)誤，但是其數(shù)據(jù)來源大多為專家打分?jǐn)?shù)據(jù)，所以很難一次性滿足一致性要求，就需要對(duì)數(shù)據(jù)進(jìn)行調(diào)整再驗(yàn)證，反復(fù)循環(huán)極大地增加了評(píng)估的計(jì)算復(fù)雜度。 所以在權(quán)重計(jì)算的算法中考慮使用其他方案代替AHP 算法進(jìn)行權(quán)重計(jì)算，從根源解決一致性計(jì)算難的問題。

(3)常權(quán)向量的問題

目前傳統(tǒng)算法中大多使用常權(quán)向量表示各攻擊數(shù)據(jù)指標(biāo)重要性程度，但是，實(shí)際的攻擊過程中存在大量不可控的影響因素會(huì)影響攻擊效果，所以單一地使用常權(quán)向量就忽視了每次攻擊本身存在的差異，進(jìn)而造成評(píng)估結(jié)果產(chǎn)生偏差。 所以可以根據(jù)每次攻擊數(shù)據(jù)動(dòng)態(tài)地變化權(quán)重，使權(quán)重更好地反映出攻擊方案的變化。

2 基于DDoS 攻擊關(guān)聯(lián)化變權(quán)評(píng)估算法

2.1 評(píng)估算法架構(gòu)

本文基于DDoS 攻擊關(guān)聯(lián)化變權(quán)評(píng)估算法的評(píng)估架構(gòu)如圖 1 所示。 評(píng)估架構(gòu)分為兩個(gè)部分：指標(biāo)體系模塊和評(píng)估算法模塊。 指標(biāo)體系模塊根據(jù)DDoS攻擊數(shù)據(jù)進(jìn)行指標(biāo)提取，規(guī)約構(gòu)建基于DDoS 攻擊的網(wǎng)絡(luò)攻擊效果評(píng)估指標(biāo)體系。 評(píng)估算法模塊由權(quán)重計(jì)算算法和綜合評(píng)估算法組成。 本文引入D 數(shù)理論和信息熵理論構(gòu)建權(quán)重計(jì)算算法，在灰色關(guān)聯(lián)TOPSIS 算法的基礎(chǔ)上引入變權(quán)理論構(gòu)建綜合評(píng)估算法。 利用權(quán)重計(jì)算算法對(duì)指標(biāo)體系進(jìn)行賦權(quán)，再使用標(biāo)準(zhǔn)化處理方法對(duì)攻擊數(shù)據(jù)進(jìn)行標(biāo)準(zhǔn)化處理，最后利用綜合評(píng)估算法計(jì)算得到最終的網(wǎng)絡(luò)攻擊效果評(píng)估結(jié)果。

圖1 評(píng)估流程圖

2.2 評(píng)估指標(biāo)體系

從理論和實(shí)驗(yàn)兩種角度對(duì)當(dāng)下主流的DDoS 攻擊方式進(jìn)行分析，針對(duì)目標(biāo)靶機(jī)的影響主要集中在網(wǎng)絡(luò)資源和硬件資源兩個(gè)方面，其次還可以影響系統(tǒng)狀態(tài)和系統(tǒng)數(shù)據(jù)資源。 以此構(gòu)造本實(shí)驗(yàn)的評(píng)估指標(biāo)體系，依據(jù)層次分析法把指標(biāo)體系主要分為目標(biāo)層、屬性層和原子層，構(gòu)造如圖2 所示的評(píng)估指標(biāo)體系。

圖2 評(píng)估指標(biāo)體系圖

2.3 基于DDoS 攻擊關(guān)聯(lián)化變權(quán)評(píng)估算法

(1)權(quán)重計(jì)算算法

基于D 數(shù)信息熵的權(quán)重計(jì)算算法融合了D數(shù)理論和信息熵理論。 引入D 數(shù)理論提升評(píng)估算法本身對(duì)不確定性問題的描述能力， 同時(shí)使用信息熵代替權(quán)重計(jì)算中常用的AHP 算法將權(quán)重確定方案轉(zhuǎn)化為對(duì)專家打分的離散程度來確定專家對(duì)于各項(xiàng)指標(biāo)的重要性認(rèn)可度， 進(jìn)而從源頭解決了 AHP 算法及 AHP 改進(jìn)算法中存在的一致性判斷難的問題，同時(shí)解決了D-AHP 算法權(quán)重計(jì)算公式中專家權(quán)威性λ 值的主觀性確定問題。

首先給出D 數(shù)的定義：

定義 1[26]：令 Ω 是一個(gè)有限的非空集，D 數(shù)是一個(gè)映射 D：Ω→[0，1]，具體定義如下：

其中 ? 是空集合，B 是 Ω 的一 個(gè)子集， 集合 Ω 中，元素之間不需要相互排斥。

定義 2[26]：如果 Ω={b1b2b3…bn}，bi∈N+，則 D 數(shù)也可以表示為：

式(2)簡(jiǎn)化后可表 示 為 ：D={(b1，v1)，(b2，v2)，(b3，v3)…(bi，vi)…(bn，vn)}，其 中 vi>0 并且

同時(shí)，針對(duì)D 數(shù)的特殊性還提出了一種聚合運(yùn)算，D 數(shù)聚合積分運(yùn)算表示為：

本算法引入D 數(shù)理論，首先依據(jù)指標(biāo)體系構(gòu)建指標(biāo)集 S={s1，s2，s3，…，sn}，再根據(jù)指標(biāo)重要性等級(jí)構(gòu)建重要性評(píng)價(jià)集 V={v1，v2，v3，…，vm}。 組織多位專家對(duì)各個(gè)指標(biāo)元素針對(duì)評(píng)價(jià)集中的每種評(píng)價(jià)等級(jí)進(jìn)行隸屬度打分，構(gòu)建每個(gè)指標(biāo)元素對(duì)應(yīng)每種評(píng)價(jià)的D 數(shù)，即表示第 i 個(gè)指標(biāo)元素 si對(duì)于第 j 種評(píng)價(jià)等級(jí) vj有占比的專家打分為占比的專家打分為占比的專家打分為

根據(jù)D 數(shù)偏好關(guān)系構(gòu)建指標(biāo)集S 和評(píng)價(jià)集V之間的 D 數(shù)偏好矩陣 MD：S×V→D

再利用式(3)的聚合計(jì)算 dij=I(Dij)，將 MD轉(zhuǎn)化為實(shí)數(shù)矩陣 MC：

本文舍棄傳統(tǒng)AHP 類算法的權(quán)重計(jì)算思路，從專家評(píng)價(jià)數(shù)據(jù)的離散度入手對(duì)指標(biāo)權(quán)重進(jìn)行衡量。即如果某一指標(biāo)Si對(duì)評(píng)價(jià)集的隸屬度 dij主要集中在某一個(gè)或者某幾個(gè)評(píng)價(jià)等級(jí)，則表示專家對(duì)于指標(biāo) Si的意見較為集中，數(shù)據(jù)離散度較小，Si在評(píng)估中產(chǎn)生的影響是明確的，所以該類指標(biāo)在評(píng)估過程中應(yīng)占據(jù)較大權(quán)重；相反，當(dāng)評(píng)價(jià)數(shù)據(jù)較為分散，表明專家無法確定這個(gè)指標(biāo)的具體影響程度，因此應(yīng)減少該類指標(biāo)在評(píng)估過程中所占據(jù)的權(quán)重。 所以本文引入信息熵理論以衡量每個(gè)指標(biāo)的專家評(píng)價(jià)數(shù)據(jù)的離散程度，根據(jù)專家意見確定指標(biāo)的相對(duì)重要性從而確定指標(biāo)的權(quán)重值。指標(biāo)Si的相對(duì)重要性通過信息熵計(jì)算可得：

根據(jù)極值性對(duì)Hi做歸一化處理可得：

ei越大表明數(shù)據(jù)之間的離散程度越大，Si的重要性程度越小。 因此使用1-ei把重要性和離散程度之間從負(fù)相關(guān)轉(zhuǎn)化為正相關(guān)，并進(jìn)行歸一化得Si的權(quán)值 ai：

通過上述步驟對(duì)每個(gè)指標(biāo)元素分別進(jìn)行權(quán)重計(jì)算， 得到下層指標(biāo)占上層所屬指標(biāo)的權(quán)重值，最后匯聚計(jì)算得原子層條件指標(biāo)元素關(guān)于目標(biāo)層決策指標(biāo)的綜合權(quán)重向量 ω=(a1，a2，a3，…，an)。

(2)綜合評(píng)估算法

基于變權(quán)灰色關(guān)聯(lián)逼近理想解的綜合評(píng)估算法融合了變權(quán)理論、灰色理論和逼近理想解排序算法，優(yōu)化 1.2 節(jié)中 TOPSIS 算法因?yàn)閰⒖夹蛄卸鸬哪嫘騿栴}及針對(duì)不同的攻擊都使用同一的常權(quán)向量而造成的評(píng)估結(jié)果誤差問題。

本文引入變權(quán)理論[26]，旨在解決決策過程中常權(quán)向量對(duì)實(shí)驗(yàn)結(jié)果產(chǎn)生的偏差，強(qiáng)調(diào)指標(biāo)權(quán)重應(yīng)隨指標(biāo)數(shù)據(jù)的變化而變化。

變權(quán)理論的核心在于狀態(tài)變權(quán)向量的構(gòu)建。 狀態(tài)變權(quán)向量需要根據(jù)實(shí)際的變權(quán)需求構(gòu)建。本文研究面向DDoS 攻擊的網(wǎng)絡(luò)攻擊效果評(píng)估，因此根據(jù)狀態(tài)變權(quán)向量的定義和面向DDoS 攻擊的網(wǎng)絡(luò)攻擊效果評(píng)估的特點(diǎn)構(gòu)建滿足本文的狀態(tài)變權(quán)向量。首先通過多次DDoS 模擬攻擊實(shí)驗(yàn)表明效果性指標(biāo)大幅增加的同時(shí)攻擊效果也得到了明顯的提升，但是，當(dāng)指標(biāo)數(shù)據(jù)沒有變化或者下降時(shí)，攻擊效果并沒有顯著下降。 基于上述實(shí)驗(yàn)結(jié)果本文將選取激勵(lì)性狀態(tài)變權(quán)向量。

根據(jù)本文的變權(quán)需求，并結(jié)合對(duì)前人的研究成果分析，構(gòu)造出滿足本實(shí)驗(yàn)的狀態(tài)變權(quán)向量S(X)=(S1(X)，S2(X)，S3(X)…Sn(X))方 程為 ：

構(gòu)造的方程(9)狀態(tài)變權(quán)向量需滿足三條公理：

(1)激 勵(lì) 性 ：xi≥xj?Si(X)≥Sj(X)；

(2)連續(xù)性：Si(X)對(duì)每個(gè)變?cè)B續(xù)；

(3)轉(zhuǎn) 移 性 ：Si(X)關(guān) 于 xi單 增 ， 任 意 凸 組 合非減。

計(jì)算狀態(tài)變權(quán)向量和常權(quán)向量?jī)烧叩腍adamard乘積，得到每次攻擊的變權(quán)向量W(X)：

通過上述對(duì)變權(quán)的研究分析，將變權(quán)理論融入灰色關(guān)聯(lián)TOPSIS 算法中構(gòu)建綜合評(píng)估算法，下面詳細(xì)描述本文提出的基于變權(quán)的灰色關(guān)聯(lián)TOPSIS綜合評(píng)估算法的計(jì)算邏輯。

根據(jù)采集得到的攻擊數(shù)據(jù)，構(gòu)建一個(gè)由m 次攻擊、n 個(gè)評(píng)估指標(biāo)組成的評(píng)估指標(biāo)數(shù)據(jù)矩陣PD：

對(duì)數(shù)據(jù)規(guī)范化處理，依據(jù)指標(biāo)的屬性分類，本文采用極大值和極小值的標(biāo)準(zhǔn)化處理方法。

處理極大性(效果型)指標(biāo)：

對(duì)矩陣PD中的指標(biāo)數(shù)據(jù)分類進(jìn)行規(guī)范化計(jì)算，得到標(biāo)準(zhǔn)化指標(biāo)數(shù)據(jù)矩陣PC：

對(duì)指標(biāo)數(shù)據(jù)進(jìn)行加權(quán)處理，將每組攻擊數(shù)據(jù)代入式(9)中，并結(jié)合式(10)計(jì)算每組攻擊數(shù)據(jù)的變權(quán)向量Wi(X)。 m 次攻擊的變權(quán)向量構(gòu)建成變權(quán)矩陣W=(W1(X1)，W2(X2)，…，Wm(Xm))。

使用W 對(duì)規(guī)范化后的指標(biāo)PC進(jìn)行加權(quán)處理，得到加權(quán)標(biāo)準(zhǔn)化矩陣PB：

根據(jù)加權(quán)標(biāo)準(zhǔn)化矩陣PB確定每個(gè)指標(biāo)的正、負(fù)理想值構(gòu)成正、負(fù)理想解向量：

通過對(duì)傳統(tǒng)算法的研究分析，如果直接使用式(16)、式(17)的正、負(fù)理想解構(gòu)造方法容易導(dǎo)致結(jié)果出現(xiàn)逆序問題，影響算法的準(zhǔn)確性、合理性。因此引入絕對(duì)正、負(fù)理想解概念，從正、負(fù)理想解和正、負(fù)理想解的參考標(biāo)準(zhǔn)的確定兩個(gè)方面進(jìn)行研究改進(jìn)。

通過以往研究證明，使用絕對(duì)解向量進(jìn)行決策時(shí)，最終的決策結(jié)果只與參與決策的指標(biāo)個(gè)數(shù)有關(guān)，與參與決策的方案?jìng)€(gè)數(shù)無關(guān)，因此規(guī)避了新方案的增加對(duì)決策結(jié)果的影響，進(jìn)而解決了決策過程中可能存在的逆序問題。 所以本文中采用絕對(duì)正、負(fù)理想解代替原本的正、負(fù)理想解，以解決當(dāng)下主流算中存在的逆序問題。

CHEN Yao-wu, ZHOU Qing, MENG Jun, ZENG Zhi, YANG Bo, WANG Yuan, SHU Chang, ZHU Yun-hai

計(jì)算絕對(duì)正、負(fù)理想解向量 P′+、P′-，首先構(gòu)造參考標(biāo)準(zhǔn)向量L：

其中 i=1，2，…，n，λ∈[0，1]為對(duì)正理想解的信任度。

使用參考標(biāo)準(zhǔn)向量L 對(duì)正、負(fù)理想解向量進(jìn)行規(guī)范化處理，求得絕對(duì)正、負(fù)理想解向量中的元素值：

并使用參考標(biāo)準(zhǔn)向量L 對(duì)數(shù)據(jù)矩陣PB進(jìn)行規(guī)范化處理：

根據(jù)計(jì)算得出的絕對(duì)正、負(fù)理想解向量 P′+、P′-構(gòu)建正、負(fù)灰色關(guān)聯(lián)度矩陣H。

根據(jù)灰色關(guān)聯(lián)度矩陣計(jì)算第i 次攻擊的指標(biāo)正、負(fù)灰色關(guān)聯(lián)度為：

計(jì)算指標(biāo)數(shù)據(jù)與絕對(duì)正、負(fù)理想解之間的歐式距離：

加權(quán)融合灰色關(guān)聯(lián)度和歐式距離，得到評(píng)估數(shù)據(jù)與絕對(duì)正、負(fù)理想解向量之間的綜合關(guān)聯(lián)度：

其中α、β 為兩種關(guān)聯(lián)關(guān)系的權(quán)重系數(shù)。

計(jì)算每次攻擊的正、負(fù)關(guān)聯(lián)關(guān)系之間的貼進(jìn)度：

其中，Ri即為第 i 次攻擊的評(píng)估結(jié)果值，Ri評(píng)估結(jié)果值越大，該次攻擊的攻擊效果越好，相反，Ri越小，該攻擊方案的攻擊效果越差。

上述從理論方面詳細(xì)介紹了對(duì)傳統(tǒng)網(wǎng)絡(luò)攻擊效果評(píng)估算法的主要缺陷的改進(jìn)。主要改進(jìn)點(diǎn)如表1所示。

表1 算法改進(jìn)點(diǎn)

3 仿真分析

本文在現(xiàn)有的網(wǎng)絡(luò)攻擊仿真平臺(tái)模擬了TCP flood 攻擊方式，并通過設(shè)定每種攻擊方式中僵尸網(wǎng)絡(luò)的規(guī)模，以此區(qū)分每次攻擊的威脅程度。

首先對(duì)三種攻擊的實(shí)施方案進(jìn)行簡(jiǎn)要介紹：針對(duì)TCP flood，在目標(biāo)靶機(jī)中搭建Tomcat 服務(wù)器作為被攻擊目標(biāo)，在攻擊機(jī)中搭建 LOIC 攻擊工具，利用攻擊機(jī)中的LOIC 攻擊工具對(duì)靶機(jī)中的Tomcat 服務(wù)器進(jìn)行TCP 攻擊中的SYN -flood 攻擊。

其次在數(shù)據(jù)采集方面，本實(shí)驗(yàn)利用部署在目標(biāo)靶機(jī)中的系統(tǒng)探針，捕捉目標(biāo)靶機(jī)在攻擊前后的網(wǎng)絡(luò)資源、CPU 資源、內(nèi)存資源的利用率作為評(píng)估指標(biāo)數(shù)據(jù)。

最后利用本文設(shè)計(jì)的綜合評(píng)估算法得到每次攻擊的評(píng)估結(jié)果。 修改攻擊并行數(shù)量，以此模擬進(jìn)行不同威脅程度的攻擊操作。 本實(shí)驗(yàn)在相同攻擊持續(xù)時(shí)間的前提下進(jìn)行多次同種攻擊規(guī)模的仿真實(shí)驗(yàn)，對(duì)多次攻擊數(shù)據(jù)取算術(shù)平均值以減少仿真實(shí)驗(yàn)中不可控因素的影響，同時(shí)采用灰色關(guān)聯(lián)度分析算法、TOPSIS 算法等其他主流的網(wǎng)絡(luò)攻擊效果評(píng)估算法對(duì)采集的攻擊數(shù)據(jù)進(jìn)行綜合評(píng)估計(jì)算，以不同的算法作為對(duì)照驗(yàn)證本實(shí)驗(yàn)算法準(zhǔn)確性和合理性。

3.1 模擬攻擊實(shí)驗(yàn)數(shù)據(jù)分析

使用攻擊機(jī)中部署的LOIC 工具模擬TCP flood攻擊對(duì)目標(biāo)靶機(jī)中部署的Tomcat 服務(wù)器進(jìn)行DDoS攻擊后，通過目標(biāo)靶機(jī)中的采集點(diǎn)對(duì)60 s 攻擊時(shí)間內(nèi)的指標(biāo)數(shù)據(jù)進(jìn)行帶內(nèi)、帶外采集。 通過對(duì)每種攻擊規(guī)模的攻擊進(jìn)行三次實(shí)驗(yàn)取算術(shù)平均值，以弱化攻擊過程中不可控因素的影響。 最終得到如圖3 所示的TCP flood 攻擊對(duì)目標(biāo)靶機(jī)在網(wǎng)絡(luò)帶寬資源、CPU 資源、內(nèi)存資源占用率數(shù)據(jù)。

圖3 TCP 攻擊數(shù)據(jù)圖

如圖3 所示，在相同的攻擊持續(xù)時(shí)間內(nèi)隨著攻擊規(guī)模增大對(duì)目標(biāo)靶機(jī)的攻擊效果逐漸遞增。 TCP攻擊通過并行攻擊機(jī)發(fā)送大量的SYN 數(shù)據(jù)包搶占目標(biāo)靶機(jī)的網(wǎng)絡(luò)資源，大量消耗目標(biāo)靶機(jī)的網(wǎng)絡(luò)帶寬，致使目標(biāo)靶機(jī)發(fā)生網(wǎng)絡(luò)擁堵；大量的 SYN 數(shù)據(jù)包會(huì)導(dǎo)致目標(biāo)靶機(jī)調(diào)用ksoftirqd 和 kworker 持續(xù)不斷地處理SYN 請(qǐng)求數(shù)據(jù)包而占用大量的CPU 資源；因?yàn)?TCP 攻擊并不會(huì)產(chǎn)生大量的 IO 操作，所以TCP 攻擊針對(duì)內(nèi)存的影響程度不高。

3.2 綜合評(píng)估結(jié)果對(duì)比分析

本實(shí)驗(yàn)加入了理論最優(yōu)值和理論最劣值兩組理論數(shù)據(jù)作為真實(shí)實(shí)驗(yàn)數(shù)據(jù)的對(duì)照組。 理論最優(yōu)值表示攻擊對(duì)目標(biāo)靶機(jī)的影響因素都達(dá)到最大值，即對(duì)網(wǎng)絡(luò)帶寬的占用率、CPU 資源的占用率和內(nèi)存資源的占用率都達(dá)到了100%，同理理論最劣值是攻擊對(duì)目標(biāo)靶機(jī)的影響因素都達(dá)到最小值，即對(duì)網(wǎng)絡(luò)帶寬的占用率、CPU 資源的占用率和內(nèi)存資源沒有任何影響，即占用率為0%。

結(jié)合文中提及的灰色關(guān)聯(lián)度分析法和TOPSIS算法，本文所提出的基于DDoS 攻擊關(guān)聯(lián)性變權(quán)算法，利用這三種不同的評(píng)估算法對(duì)采集到的四次實(shí)際攻擊數(shù)據(jù)和作為對(duì)照的理論最優(yōu)值和理論最劣值共六組實(shí)驗(yàn)數(shù)據(jù)進(jìn)行綜合評(píng)估計(jì)算，從多個(gè)角度、多個(gè)維度對(duì)本文提出的算法進(jìn)行對(duì)照驗(yàn)證實(shí)驗(yàn)，得到如圖4、表 2 所示的評(píng)估結(jié)果。

表2 TCP 攻擊效果評(píng)估結(jié)果

圖4 TCP 攻擊效果評(píng)估結(jié)果

通過上述圖表可以得出三種攻擊方式的評(píng)估結(jié)果，同時(shí)反映出灰色關(guān)聯(lián)度算法并沒有把實(shí)際的四次攻擊效果區(qū)分開來，這是因?yàn)橐罁?jù)實(shí)際的攻擊結(jié)果數(shù)據(jù)而言，第一次攻擊和最后一次攻擊對(duì)目標(biāo)靶機(jī)的影響差別還是很大，但是灰色關(guān)聯(lián)度分析法的評(píng)估結(jié)果并沒有做出很好的區(qū)分。 而 TOPSIS 算法忽視了威脅程度低的攻擊對(duì)目標(biāo)靶機(jī)造成的影響，夸大了威脅程度高的攻擊對(duì)目標(biāo)靶機(jī)造成的影響。 因?yàn)閺膶?shí)際攻擊采集到的數(shù)據(jù)分析，威脅程度低的攻擊也對(duì)目標(biāo)靶機(jī)造成了一定的影響， 但是TOPSIS 算法的評(píng)估結(jié)果卻是0，完全忽視了低威脅程度的攻擊影響；雖然攻擊威脅程度最高的攻擊對(duì)目標(biāo)靶機(jī)的影響較大，對(duì)目標(biāo)靶機(jī)資源也造成了較大的占用，但實(shí)際情況是并沒有對(duì)目標(biāo)靶機(jī)造成毀滅性打擊， 然而評(píng)估結(jié)果卻達(dá)到了 0.93 或者 0.96甚至 1，過于高估高威脅程度的攻擊效果。 本文算法最終得出的結(jié)果既沒有忽視對(duì)靶機(jī)的輕微影響也沒有夸大對(duì)靶機(jī)的攻擊效果，評(píng)估結(jié)果之間的區(qū)分度處于灰色關(guān)聯(lián)度分析法和TOPSIS 算法之間。并且結(jié)合實(shí)驗(yàn)中攻擊威脅程度的梯度設(shè)置，本文算法得出的綜合評(píng)估結(jié)果變化更加貼合梯度提升的威脅程度變化情況。

3.3 變權(quán)對(duì)評(píng)估結(jié)果的影響分析

本實(shí)驗(yàn)中創(chuàng)新性地引入了變權(quán)理論，所以針對(duì)變權(quán)在評(píng)估過程中對(duì)評(píng)估結(jié)果的影響，本實(shí)驗(yàn)也從常權(quán)評(píng)估和變權(quán)評(píng)估這兩種評(píng)估方案入手，分別進(jìn)行常權(quán)和變權(quán)兩種方式的評(píng)估計(jì)算，得到如圖5 所示的TCP 攻擊評(píng)估變權(quán)影響折線圖。

由圖5 可以看出，變權(quán)評(píng)估結(jié)果的曲線斜率的變化更加貼合實(shí)驗(yàn)中攻擊威脅程度曲線的斜率變化，由此可以得出變權(quán)評(píng)估的折線變化程度更加貼合攻擊威脅程度的變化曲線。 這也正與本實(shí)驗(yàn)設(shè)計(jì)理念相符：即對(duì)威脅程度遞增的不同攻擊進(jìn)行攻擊效果評(píng)估，盡量保證其他影響因素相同的情況下，最終的評(píng)估結(jié)果應(yīng)能反映出原始的攻擊威脅程度變化。 因此相對(duì)于常權(quán)評(píng)估，變權(quán)評(píng)估結(jié)果更為準(zhǔn)確合理。

圖5 TCP 攻擊評(píng)估變權(quán)影響圖

上述實(shí)驗(yàn)通過從多種算法、多次攻擊和不同攻擊規(guī)模進(jìn)行了模擬仿真實(shí)驗(yàn)，驗(yàn)證了本文提出的基于DDoS 攻擊關(guān)聯(lián)化變權(quán)評(píng)估算法的準(zhǔn)確性、合理性和相較于目前主流算法的優(yōu)越性。 同時(shí)本文還統(tǒng)計(jì)了每種算法的多次實(shí)驗(yàn)的評(píng)估時(shí)耗，得到了如表3所示的算法性能數(shù)據(jù)。 本文算法雖然在引入變權(quán)理論和解決逆序問題上增加了算法的復(fù)雜度，但是通過對(duì)比時(shí)間差為納秒級(jí)，約等于0.12 ms。 即證明本文算法相較于當(dāng)下主流算法在沒有可感知的時(shí)間耗損情況下，進(jìn)一步提升了評(píng)估算法的準(zhǔn)確性和合理性。

表3 算法性能耗時(shí)表

4 結(jié)論

本文首先從定量評(píng)估計(jì)算和綜合評(píng)估計(jì)算兩個(gè)方面對(duì)當(dāng)下主流的評(píng)估算法進(jìn)行研究分析，陳述了網(wǎng)絡(luò)熵、粗糙集、AHP、F-AHP、D-AHP、TOPSIS、灰色關(guān)聯(lián)度分析法等算法的具體算法邏輯，同時(shí)分析了上述算法的優(yōu)缺點(diǎn)。 以上述算法為基礎(chǔ)，本文提出了一種基于DDoS 攻擊關(guān)聯(lián)化變權(quán)評(píng)估算法，在融合上述算法優(yōu)勢(shì)的同時(shí)引入新的理論改善其中存在的一些主要問題。 其中引入 D 數(shù)理論增強(qiáng)了算法對(duì)評(píng)估信息不完整時(shí)的表述能力；引入信息熵中量化計(jì)算方法消除了權(quán)重確定過程中一致性判斷難的問題；引入變權(quán)理論改善以往評(píng)估算法中針對(duì)所有的攻擊數(shù)據(jù)都使用同一權(quán)重向量產(chǎn)生誤差的問題；引入絕對(duì)理想解參考標(biāo)準(zhǔn)解決算法中構(gòu)建參考序列時(shí)可能出現(xiàn)的逆序問題，進(jìn)而綜合提升算法的準(zhǔn)確性和合理性。