粗糙集理論在網絡攻擊效果評估中的應用研究

摘 要：計算機網絡攻擊效果評估技術是信息系統安全評估中一個重要而具有挑戰性的課題。進行網絡攻擊效果評估需要建立一套評估指標體系，針對具體的攻擊，評估體系中指標的重要性各不相同。運用粗糙集理論確定各個指標之間的關系，使評估指標的權重分配賦值更加科學、合理。

關鍵詞：效果評估；粗糙集；評估指標

中圖分類號：TP393.08文獻標志碼：A

文章編號：1001-3695(2007)06-0118-03

在信息化戰爭時代，網絡戰作為一種新的作戰樣式越來越受到各國軍方的重視，網絡攻擊效果評估技術的研究具有重要意義。對于攻擊方，從網絡攻擊設備的論證研制到裝備使用都要對其毀傷能力進行評測以檢驗其是否有效，通過評估可促進攻擊技術研究的深入，促使設備研制順利進行。對于防守方，可采用模擬攻擊的手段對自身網絡的安全性能進行測試、評估，發現其薄弱環節，以提高抵御攻擊的能力。

網絡信息系統攻擊效果綜合評估技術兼顧攻擊和防御兩個方面，研究在復雜網絡環境下對信息系統網絡攻擊的效果如何給出定性和定量的評估結果，并以此來檢驗攻擊的有效性和信息系統的安全性，彌補了現有信息安全評估工作主要側重于主機安全的量化評估、側重于防御的不足［1－3］。

要評測網絡受攻擊前后安全特性的變化，就必須選擇合適的性能指標體系。針對具體的攻擊，評估體系中指標的重要性各不相同。如何確定各個指標之間的關系，使評價指標的權重分配賦值更加科學、合理是需要解決的一個重要問題［4］。粗糙集理論是一種研究不完整、不確定知識和數據的表達、學習、歸納的理論方法。運用該方法可以對屬性的重要性進行度量，避免了采用層次分析法中專家打分的主觀過程，從而更加客觀地對網絡攻擊效果進行量化評估。

1 粗糙集理論［5－7］

粗糙集（Rough Sets，有的也稱粗集）理論是由波蘭華沙理工大學Pawlak教授于20世紀80年代初提出的一種研究不完整、不確定知識和數據的表達、學習、歸納的理論方法，其近年來在理論模型、算法研究、工程應用中取得了好的成果和應用。

Rough集的研究對象是由一個多值屬性集合描述的一個對象集合，對于每個對象及其屬性都有一個值作為其描述符號，對象、屬性和描述符是表達決策問題的三個基本要素。這種表達形式也可以看成一個二維表格，表格的行與對象相對應，列對應于對象的屬性；各行包含了表示相應對象信息的描述符，還有關于各個對象的類別成員的信息。給定對象間的一個等價關系，即導致由等價類構成的近似空間的不分明關系，Rough集就用不分明對象類形成的上近似和下近似來描述。本文引入粗糙集理論，根據知識，利用粗糙集理論中屬性重要性的概念得出網絡攻擊效果評估指標的權值。

1.1 知識

知識即是將對象進行分類的能力。用集合的概念表示就是：使用等價關系集R對離散表示的空間U進行劃分，知識就是R對U劃分的結果。由此，在U和R的意義下，知識庫可以定義為：屬于R中的所有可能的關系對U的劃分，記為K＝(U，R)。

這樣給定一組數據U與等價關系集R，在R下對U的劃分，稱為知識，記為U/R。如果一個等價關系集對數據的劃分存在矛盾，則將導致不確定劃分，可用粗糙度來度量。

1.2 集合的上近似和下近似

令XU，當X能用屬性子集B確切地描述時，稱X是B可定義的，否則稱X是B不可定義的。B可定義集也稱為B精確集，B不可定義集也稱為B非精確集或B Rough集。對每個概念X（樣例子集）和不分明關系B，包含于X中的最大可定義集和包含于X的最小可定義集，都是根據B能夠確定的，前者稱為X的下近似集（記為B-(x)），后者稱為X的上近似集（記為B-(x)）。下面給出上近似集和下近似集的形式化定義。

給定知識表達系統S＝〈U ，R ，V ， f〉，對于每個子集XU和不分明關系B，X的上近似集和下近似集分別可以由B的基本集定義如下：

1.3 分類質量

設集合簇F={X1，X2，…，Xn}(U=∪ni=1Xi)是論域U上所定義的知識，B是一個屬性子集，定義B對F近似分類的質量為

B對F近似分類的質量是應用知識B對對象進行分類時，能夠確定決策的對象在論域中所占的比例。

1.4 屬性重要性

根據上面介紹的B對F近似分類的質量這一概念，可以對論域樣本屬性的重要程度進行度量。在了解一個論域中的樣例時，可以通過知道其屬性值來對樣例進行處理。在現實情況下，有時并不一定知道一個樣例的所有屬性值，需要根據部分屬性值來進行判定；有時需要確定一個論域中是否每個屬性值的重要程度是一樣的，因為度量不同的屬性值的代價可能不一樣。在專家系統中，也會遇到類似的問題，即權重的問題，重要性高的屬性在作決策時賦予大的權重。利用粗糙集，筆者就可以對屬性的重要性進行度量，該度量是根據論域中的樣例得到的，不依賴于人的先驗知識。

對于F是屬性集D導出的分類，屬性子集B′在屬性集B中的重要性（B′B，如果屬性集B是默認的，如B為條件屬性全集，則可簡稱為屬性子集B′的重要性）定義為

這表示從屬性集B中去掉屬性子集B′對F近似分類質量的影響。

2 基于指標分析的網絡攻擊效果綜合評估技術［2，8，9］

網絡攻擊的效果評估技術就是研究在復雜的網絡環境下，對信息系統進行網絡攻擊的效果如何給出定性或定量的評估結果，并以此來檢驗攻擊的有效性和網絡系統的安全性。

選取合理的評估指標體系是進行網絡信息系統攻擊效果評估的前提條件，對計算機網絡信息系統攻擊效果評估原型試驗系統具有重要意義。沒有適當的評估指標體系，無論采用如何好的評估模型都難以得到令人信服的評估結果。由于計算機網絡系統攻擊行為的復雜性和多樣性，其產生的攻擊效果也必然是多方面的，對其進行效能評價通常不能用單個明確定義的效能指標來表示，而需要用一組效能指標來刻畫。為了全面地衡量計算機網絡攻擊的攻擊效果就必須建立一套全面反映計算機網絡攻擊行為各方面作用效果的指標體系。應遵循以下原則：

（1）整體性原則。評估攻擊對單個網絡主機的效能，首先要估計被攻擊的整個網絡的整體性能在遭受攻擊以后的變化情況。

（2）時效性原則。時效性就是當攻擊網絡的某個節點時，應是該節點到達數據包或分組最多的時間。這時攻擊對該節點性能的降低是最顯著的。

（3）節點和路由優選原則。在確定攻擊目標時，應對網絡節點和路由段優選，即選擇重要性最高的節點和使用概率最高的路由(鏈路) 段。只有這樣才能達到對整個信息網絡最有效的遲滯和性能降低。

基于整個信息網的攻擊效能測度從上述原則出發，應用排隊論的基本原理，可考慮采用以下基于整個信息網的攻擊效能的評估模型：

①信息網全網傳送總延時。

使目標信息子網所傳送的各個報文或分組產生最大的延時， 是對信息網絡攻擊的直接戰術目的。衡量這個效果可采用“全網傳送總延時”這一性能測度模型。設它為Td，則其計算公式為

其中， j為全網的N個節點中第j個節點; Tjk為第j 個節點的全部M個(M是j的函數) 相鄰節點至其相鄰節點路由段的延遲。

②重要節點傳信延時。該

重要節點傳信延時對網絡性能的降低要高于普通節點。設為Thd。其計算公式為

③網絡延遲抖動。該

網絡延遲抖動是指網絡平均延遲變化的時間量。網絡延遲抖動是衡量多媒體通信網絡的重要指標，它關系到網絡所提供的服務質量(QoS) 。

④網絡和節點吞吐量。

網絡(節點) 吞吐量是指單位時間內(通常為s) 通信網絡(節點之間) 成功傳送的無差錯的數據包的數量。當網絡發生故障或受到攻擊時，網絡(或重要節點) 的吞吐量必然減少，因此可用做信息網的攻擊效能的評估模型。

⑤每節點路由表更換的周期。

每個路由器節點的路由表，是為保證各節點都是可到達的，且每個路由器均隨時掌握其他路由器的狀態而設置的。以TCP/ IP 協議為例，它約定每隔一定時間播發一次(與路由協議有關) ，若超過指定時間某路由器未發出更新的路由表，則表明該路由器不可到達，且很可能是攻擊引起后者主要路由中斷。

⑥系統服務響應時間。

系統從接收到請求服務的信號到提供該服務所需的時間。一般說某個網絡的服務響應時間都是指其統計平均值。這個值隨網絡系統的負載變化而變化，負載越大，其值也越大。

⑦系統恢復時間。

系統從發生故障到恢復至故障前狀態，并重新提供服務所需時間。系統恢復時間與系統本身結構組成及操作員的水平均有關。

⑧系統生存周期。

系統能夠持續正常工作的時間。該值越大表明系統的穩定性越好，抗攻擊能力越強。

當然，在建立和分析整個信息網的攻擊效能模型時，由于實際評估的網絡對象不同，網絡承載的業務有所差別，網絡提供服務的偏重也有所差異。上述評估模型也不應該是一成不變的，而應該根據實際情況有所側重。

3 基于粗糙集的評估實現步驟

攻擊效果評估是應用于具體的網絡攻防中。針對具體的網絡環境和攻擊方式以及所要達到的目的，評估指標也不同。下面以SYN FLOOD對以數據傳輸業務為主的網絡進行攻擊為例對網絡攻擊效果評估指標的權重進行計算，得出評估結果。經研究發現，應主要從攻擊前后網絡(節點) 吞吐率、鏈路利用率和系統服務響應時間等指標的變化來看攻擊效果。

3.1 信息數據的獲取

3.2 計算分類質量

3.3 計算指標的權重

由上述計算可以得到用SYN FLOOD方法對以數據傳輸業務為主的網絡進行攻擊時，網絡(節點) 吞吐率、鏈路利用率和系統服務響應時間指標的重要性依次降低。

4 結束語

本文采用粗糙集理論對網絡攻擊效果評估的指標進行分析，構造了一個通用的評估模型，提出了計算方法。通過對具體攻擊的分析和計算，驗證了該方法的有效性。

在以往的評估系統中，經常利用專家打分的方法確定計算指標權重的基本因子，筆者只能根據經驗來選擇權重，這就依賴于人的先驗知識。而利用粗糙集理論，就可以對屬性的重要性進行度量，該度量是根據論域中的樣例得到的，不依賴于人的先驗知識。但是這些優點從另一方面考慮就是該方法的一些局限性，即所選取的樣本數據要有一定的普遍性和代表性。如果所選取的原樣本數據非常少且不具有代表性，則會出現隨著計算樣本的增加， 權值也會相應的發生變化。同時對于原始定量數據的離散化方法的不同也會影響權值。所以如果此方法用于實際計算：①原始數據樣本要有代表性和普遍性，否則計算結果具有很大的片面性; ②選取不同的數據離散化方法，計算結果進行對比研究，最后確定一個合理的數據離散化方法和原始樣本集［10］。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。