李程瑜 齐玉东
(海军航空大学 烟台 264001)
随着计算机科学技术的飞速发展,互联网已经覆盖了社会生活的各个方面。移动支付、智慧城市、智能家居、无人驾驶等互联网新事物的出现给人们的生活带来了极大的便利,也促进了整个社会的发展。然而,在互联网高速发展的同时,网络安全问题日益突出,网络攻击事件时有发生,给社会造成巨大损失。2016年11月10日,来自30个国家2.4万台计算机构成的僵尸网络对俄罗斯五家大银行的网络服务系统发动强大的不间断的DDoS攻击。同年10月21日,提供动态DNS服务的Dyn DNS遭到了大规模DDoS攻击,导致某些网站一度瘫痪,Twitter甚至出现了近24小时0访问的局面[1]。由此可见,分布式拒绝服务(Distributed Denial of Service)攻击[2~5]事件表现较为突出,造成危害巨大且难以防范,已经成为互联网面临的主要安全问题。为了辨别DDoS攻击的攻击强度,并针对不同强度的DDoS攻击采取相应的防御措施,需要对DDoS攻击效果评估开展研究。
本文提出基于灰色模糊层次模型的DDoS攻击态势评估,建立DDoS攻击态势评估指标体系,将灰色系统理论[6]与模糊层次分析法[7]相结合,形成了兼具二者优点的灰色模糊层次模型,综合考虑系统可能遭受的损害来评估DDoS攻击效果。
目前为止,有关DDoS攻击效果评估[8]的研究主要将整个评估过程为以下几步:建立DDoS攻击效果评估指标体系;确定评估指标权重;利用评价方法对攻击效果进行综合评估。在评估指标体系建立方面:汪洋[9]等提出计算机网络安全评估指标体系一般由目标层、指标层、子指标层构成,建立时应遵循完备性、代表性、独立性、简练性等原则。在确定指标权重方面:王会梅[10]等利用粗糙集理论客观确定权重,与层次分析法相比减少了一定的主观性,但缺少进行权重确定的样本数据,没有说服力。文献[11]采用了模糊层次分析法,通过建立模糊一致判断矩阵,省略了层次分析法中判断矩阵一致性检验的问题。在利用评价方法进行综合评估方面:张义荣[12]等提出一种基于网络熵的计算机效果定量评估方法,并提出了基于网络熵的攻击效果评估系统的实现思路,但没有具体实现。METHTA[13]等提出了一种基于攻击状态信息图的评估方法,通过对图状态的排序来确定评估结果,但这种基于知识推理的评估方法评估难度较大,可操作性不强。
综上所述,现有研究可操作性不强,缺少一个完整的DDoS攻击效果态势评估模型。因而本文提出基于灰色模糊层次模型,完整地分析了利用该模型进行DDoS攻击效果评估的整个过程,并对攻击态势进行实时评估。
评估指标[14~15]是反应攻击效果的状态参数,DDoS攻击态势评估在多数情况下涉及许多较为模糊的因素,需要综合分析多个评估指标才能做出合理的评估。本文通过评估被攻击服务器的状态来间接评估 DDoS 攻击态势[16~18],依据服务器的状态参数来建立评估指标体系。考虑到DDoS攻击对服务器所造成的危害并基于已有的研究工作,建立了DDoS攻击态势评估指标体系,由上到下分别为目标层、指标层、子指标层。
我们对指标层设计了三个指标:系统性能指标、网络性能指标、服务性能指标。每指标都有三个子指标,构成子指标层:系统性能类指标(CPU使用率、内存使用率、带宽使用率),网络性能类指标(网络延迟、网络丢包率、网络抖动),服务性能类指标(请求响应时间、响应处理时间、响应成功率)。DDoS攻击态势评估指标体系如图1所示。
图1 DDoS攻击态势评估指标体系
3.2.1 建立模糊互补判断矩阵
在模糊层次分析中,对同层两因素之间作相互比较判断,采用0.1~0.9标度法给予数量标度,得到模糊判断矩阵 A=(aij)n×n。指标层模糊判断矩阵为 A0,三个指标的子指标模糊判断矩阵为A1,A2,A3。
3.2.2 模糊互补矩阵转换模糊一致矩阵
若模糊互补判断矩阵满足:
则称模糊互补判断矩阵是模糊一致矩阵。如果上一步我们构造的模糊互补判断矩阵不是模糊一致矩阵,可以通过下面的方法转换:
3.2.3 权重计算
利用式(4)计算指标i相对当前层次的权重Wi,n表示在当前层次有n个指标。经计算得到指标层权重向量φ0=( )W1,W2,W3和子指标层权重向量 φ1φ2φ3。全局权重 φ=( )W1φ1,W2φ2,W3φ3。
通过采集DDoS攻击实验数据或引用DDoS攻击网络数据集,构建原始评估指标矩阵为V=(vij)n×n。
为消除原始指标数据之间在量纲尺度上的影响,需要对矩阵中的各样本数据预处理以得到标准评估指标矩阵。
对负向性评估指标取其倒数;利用式(5)对极大型指标进行标准化处理,利用式(6)对极小型指标进行标准化处理;最后,得到标准评估指标矩阵R=(rij)n×n。
将灰色系统理论与模糊层次分析法相结合,形成了兼具二者优点的灰色模糊层析分析法,其评估模型称作灰色模糊层次模型。该模型的主要思想是,首先利用模糊层次分析法确定评估指标要素的权重,然后通过灰色系统理论计算得到DDoS攻击的评估态势值。
Rij为标准评估指标矩阵,rij表示第i条评估样本的第j个指标的标准化数值。m表示样本条数,n表示指标个数。
由3.2节介绍的模糊层次分析法计算得到评估指标的全局权重:
确定评估灰类,就是要确定灰类的灰数,灰类的等级数以及灰数的白化权函数。设有g个灰类,g的值可根据具体的评估对象适情而定。评价灰类k(k=1,2,…,g)用白化权函数 fk进行描述,常用的白化权函数有以下三种:
2)第2级,灰数 Ω∈[0 , d2,2d2] ,其白化权函数为
白化权函数中的转折点的值d1,d2,d3称作阈值。阈值的大小可根据经验类比的方法确定,也可将评估样本矩阵R中的每个指标的最大值、最小值和中间值分别作为上限、下限和中间的阈值。
对评估对象i属于第k灰类的聚类系数记为σik,其计算公式为
其中Wj为由模糊层次分析法所确定的评价指标权重。
用σi表示评估对象i属于各评估灰类的总评估系数,其计算公式为
由σi和σik可计算得出,对于评估对象i属于第k个灰类的评估权重为
因为k=1,2,…,g,即共有g个灰类,所以对象i的评估权向量为
设灰类k的白化值为ek,k=1,2,…,g共g个灰类,则灰类白化值向量为
对评估对象i计算攻击态势值U,其计算公式为
实验环境:一台web服务器,性能参数为2.1GHz,内存为4G,操作系统为Ubuntu12.04系统;四台攻击代理机,性能参数为2.4GHz,内存为2G,操作系统为Windows7系统。在服务器上搭建一个简单的网站,其他四台攻击代理机可以访问,同时在服务器上部署Tsar和Nagios性能监控软件以采集数据,在攻击代理机上部署服务器压力测试软件pylot和Dos攻击开源软件LOIC。利用四台攻击代理机对web服务器发动DDoS攻击,实验计时从攻击前一分钟开始到攻击停止后一分钟,期间等时间间隔采集10组样本数据。
1)构建标准评估指标矩阵
对软件采集到的原始数据进行指标数据标准化处理,得到标准评估指标矩阵R=(rij)n×n。
2)确定评估指标权重
按照3.2节所述,利用模糊层次分析法确定评估指标全局权重为
φ =(0.0704,0.0594,0.0902,0.1368,0.1224,0.1008,0.1554,0.1092,0.1554)。
3)确定评估灰类
在确定评估灰类时,令g=4,即有4个评估灰类,分别是“优”、“良”、“中”、“差”,代表 DDoS 攻击效果。如表1所示,各指标各灰类的白化权函数如表2所示。
表1 DDoS攻击效果态势评估灰类
4)攻击态势值评估
利用式(7)计算分别计算10条样本数据属于四个灰类的聚类系数,如表3所示。
先由式(9)计算每个样本的评估权向量,再由式(10)计算得到各样本数据攻击效果态势值,如表4所示。
表2 各指标各灰类的白化权函数
表3 各样本各灰类系数
表4 DDoS攻击实时态势值
由图2可知,未发动DDoS攻击时,态势值较低,随着攻击的开始并进行,态势值逐渐升高,表明DDo攻击效果越来越好,对服务器造成的危害越来越大,符合实际。第8条样本态势值达到峰值8.392,处于攻击效果“优”类,可认定为本次DDoS攻击的最终效果。
目前DDoS攻击效果评估工作还处在探索阶段,评估体系还不太成熟。本文提出基于灰色模糊层次模型的DDoS攻击态势评估,建立了层次化的评估指标体系,综合运用模糊层次分析法和灰色系统理论,解决了传统层次分析法中确定权重需要检验判断矩阵一致性的问题,简化了计算。使用灰色系统理论处理DDoS攻击效果评估指标数据存在信息不完全、评估计算复杂的问题。经实例分析,该评估模型不仅能够评估DDoS攻击的最终效果,还能实时评估DDoS攻击态势。
图2 DDoS攻击效果态势折线图
下一步工作主要是面对不同的网络环境,如何降低评估指标权重的主观性,进一步提高评估的科学性和合理性。