基于LightGBM 算法的網(wǎng)絡(luò)戰(zhàn)仿真與效能評估

陳曉楠，胡建敏*，陳 茜，張 威

（1.國防大學(xué)聯(lián)合勤務(wù)學(xué)院，北京 100089；2.國防大學(xué)政治學(xué)院，上海 201600；3.92354部隊，北京 102202）

（*通信作者電子郵箱ugjgrl@163.com）

0 引言

網(wǎng)絡(luò)戰(zhàn)是攻擊、滲透敵方的計算機網(wǎng)絡(luò)體系，并保證我方計算機網(wǎng)絡(luò)安全穩(wěn)定而采用的一系列網(wǎng)絡(luò)攻擊與防御策略。網(wǎng)絡(luò)戰(zhàn)已經(jīng)成為現(xiàn)代化戰(zhàn)爭體系中一種獨特的表現(xiàn)形式，不僅僅能夠破壞和滲透敵方的軍用網(wǎng)絡(luò)，也可以攻擊、滲透敵方的政府、商業(yè)、教育等民用網(wǎng)絡(luò)，達到不戰(zhàn)而屈人之兵的效果。

互聯(lián)網(wǎng)的迅速發(fā)展給人們的生活方式帶來了翻天覆地的變化，但也由此帶來了日趨嚴(yán)峻的網(wǎng)絡(luò)安全問題，高度透明的互聯(lián)網(wǎng)使得網(wǎng)絡(luò)戰(zhàn)的表現(xiàn)形式更為復(fù)雜。隨著計算機網(wǎng)絡(luò)的高速發(fā)展，計算機網(wǎng)絡(luò)安全防護愈發(fā)重要，網(wǎng)絡(luò)攻擊與防御、滲透與反滲透的對抗將不斷升級。并且互聯(lián)網(wǎng)的數(shù)據(jù)的來源廣泛、真假難辨，導(dǎo)致了網(wǎng)絡(luò)戰(zhàn)等非實體的對抗越來越頻繁，網(wǎng)絡(luò)戰(zhàn)在軍事行動中所占的比重越來越突出，所帶來的正面和負(fù)面影響也日益顯著。2013 年6 月發(fā)生的“棱鏡門”事件，使各國之間日益激烈的計算機網(wǎng)絡(luò)戰(zhàn)對抗浮出水面。2014年2 月，我國成立了網(wǎng)絡(luò)安全和信息化中央領(lǐng)導(dǎo)小組，對“沒有網(wǎng)絡(luò)安全就沒有國家安全”這一論斷進行了深刻闡述［1］。2018年4月，全國網(wǎng)絡(luò)安全和信息化工作會議中指出，加強互聯(lián)網(wǎng)內(nèi)容建設(shè)、完善網(wǎng)絡(luò)綜合治理體系、營造清朗的網(wǎng)絡(luò)空間，從而將網(wǎng)絡(luò)安全提升到了一個更廣泛的層次［2］。

網(wǎng)絡(luò)戰(zhàn)效能評估的研究方法很多，文獻［3］中將網(wǎng)絡(luò)戰(zhàn)分為功能模型、物理模型以及信息模型，采用服務(wù)到節(jié)點、鏈路到網(wǎng)絡(luò)系統(tǒng)的自底向上的層次效能評估方法；文獻［4］從網(wǎng)絡(luò)戰(zhàn)裝備入手，從技術(shù)、戰(zhàn)術(shù)、戰(zhàn)役、戰(zhàn)略4 個層次進行網(wǎng)絡(luò)戰(zhàn)效能評估，除此之外，更多的研究是針對網(wǎng)絡(luò)入侵檢測方面，例如文獻［5-8］，通過貝葉斯算法、支持向量機、神經(jīng)網(wǎng)絡(luò)、聚類分析等不同算法進行網(wǎng)絡(luò)入侵檢測研究，這些研究和算法各有特點，但主要是針對攻擊策略的研究與評估，且實時性較差，不能從全局的角度分析和評估整個網(wǎng)絡(luò)攻防態(tài)勢，也不能體現(xiàn)出網(wǎng)絡(luò)戰(zhàn)雙方互相對抗這一過程。

對網(wǎng)絡(luò)戰(zhàn)的作戰(zhàn)效能進行科學(xué)合理的分析與評估，是研究網(wǎng)絡(luò)戰(zhàn)乃至信息化作戰(zhàn)的前沿課題。網(wǎng)絡(luò)戰(zhàn)的效能評估就是在互聯(lián)網(wǎng)基礎(chǔ)上，對網(wǎng)絡(luò)攻擊方和網(wǎng)絡(luò)防御方的作戰(zhàn)效能做出定量的論斷。研究網(wǎng)絡(luò)戰(zhàn)效能評估方法，可以了解敵人的網(wǎng)絡(luò)攻擊策略，完善我方網(wǎng)絡(luò)防護方案，可以更加有效地保證我方網(wǎng)絡(luò)安全穩(wěn)定運行，有助于我國在未來的信息化戰(zhàn)爭中取得主動。

1 網(wǎng)絡(luò)戰(zhàn)攻防指標(biāo)體系的建立

在進行網(wǎng)絡(luò)戰(zhàn)效能評估時，首要是要確立網(wǎng)絡(luò)戰(zhàn)攻防指標(biāo)體系，如何建立網(wǎng)絡(luò)戰(zhàn)攻防指標(biāo)體系將直接影響網(wǎng)絡(luò)戰(zhàn)效能評估的結(jié)果。

這里將網(wǎng)絡(luò)戰(zhàn)指標(biāo)體系分為攻擊效能指標(biāo)和防御效能指標(biāo)兩部分。其中，攻擊效能指標(biāo)是根據(jù)KDDCUP99 數(shù)據(jù)集的分類標(biāo)識進行建立的，由于KDDCUP99 數(shù)據(jù)集是根據(jù)模擬美國空軍局域網(wǎng)的一個網(wǎng)絡(luò)環(huán)境而收集到的信息，KDDCUP99數(shù)據(jù)集是通過仿真真實的攻擊手段而采集的，所以數(shù)據(jù)的收集更貼近真實的網(wǎng)絡(luò)環(huán)境［9］。目前關(guān)于網(wǎng)絡(luò)入侵的文獻中相當(dāng)數(shù)量都是以KDDCUP99 數(shù)據(jù)集為基礎(chǔ)進行研究的，并且網(wǎng)絡(luò)入侵的種類離不開KDDCUP99 數(shù)據(jù)集中的4 種攻擊標(biāo)識。這里根據(jù)按照KDDCUP99 數(shù)據(jù)集內(nèi)的攻擊標(biāo)識，將攻擊指標(biāo)分為四大類：拒絕服務(wù)攻擊（Denial Of Service，DOS）、監(jiān)視和其他探測活動（Probing）、來自遠程機器的非法訪問（Remote to Local，R2L）、普通用戶對本地超級用戶特權(quán)的非法訪問（User to Root，U2R）四大類［10-11］。

防御效能指標(biāo)則主要反映在對應(yīng)的網(wǎng)絡(luò)節(jié)點的防御能力上，網(wǎng)絡(luò)戰(zhàn)中網(wǎng)絡(luò)節(jié)點的防御能力在于節(jié)點本身的功能，假設(shè)一個網(wǎng)絡(luò)節(jié)點沒有采取任何防御措施，那么此節(jié)點的防御能力就為零，而節(jié)點防御措施是如何設(shè)定的？在網(wǎng)絡(luò)戰(zhàn)中，防御方的每一個節(jié)點防御措施有高有低，越重要的節(jié)點的防御措施就越高。節(jié)點的重要性主要在兩個方面：一個是網(wǎng)絡(luò)節(jié)點的結(jié)構(gòu)重要性；一個是節(jié)點的內(nèi)容重要性。

節(jié)點的結(jié)構(gòu)重要性即網(wǎng)絡(luò)節(jié)點的脆弱性研究，研究網(wǎng)絡(luò)節(jié)點的脆弱性的文獻數(shù)不勝數(shù)，脆弱性研究主要有兩種方法：一種是通過節(jié)點在網(wǎng)絡(luò)中的中心性程度進行評估，即節(jié)點的中心性越強，節(jié)點就越重要，可以通過度中心、介數(shù)、緊密性等指標(biāo)進行評判；另一種是除掉節(jié)點后觀察對網(wǎng)絡(luò)的毀傷程度，即除掉該節(jié)點后，網(wǎng)絡(luò)性能下降得越多，節(jié)點就越重要［12-13］。節(jié)點的結(jié)構(gòu)重要性越大，則應(yīng)該采取越強的防御措施。節(jié)點的內(nèi)容重要性是節(jié)點自身的價值，一個網(wǎng)絡(luò)節(jié)點所存儲的信息或者自身的功能越重要，則遭受攻擊的可能性和攻擊強度就越大，就要采取更加嚴(yán)密的防御措施。

接下來需要根據(jù)節(jié)點的結(jié)構(gòu)重要程度和內(nèi)容重要程度來設(shè)定節(jié)點的防御能力，即節(jié)點的應(yīng)急反應(yīng)能力。這里舉個例子，網(wǎng)絡(luò)入侵檢測系統(tǒng)是通過匹配自身的特征庫來進行入侵檢測，特征庫越全面、特征數(shù)量越多，那么入侵檢測的能力就越強。這里為了更好地反映節(jié)點的防御能力，將節(jié)點的結(jié)構(gòu)重要程度和內(nèi)容重要程度量化后之積作為特征庫的特征數(shù)量，可以采用支持向量機、神經(jīng)網(wǎng)絡(luò)、聚類分析等不同的算法，來對攻擊方的攻擊行為進行檢測，能夠更貼近網(wǎng)絡(luò)戰(zhàn)的攻防實際，更好地體現(xiàn)雙方互相對抗這一過程。因此這里將節(jié)點的防御效能指標(biāo)設(shè)定為節(jié)點結(jié)構(gòu)重要性、節(jié)點內(nèi)容的重要性和節(jié)點的應(yīng)急反應(yīng)能力三大類。

對于網(wǎng)絡(luò)戰(zhàn)敵我雙方來說，網(wǎng)絡(luò)戰(zhàn)包括我方的進攻、敵方的進攻、我方的防御和敵方的防御，對應(yīng)的是我方攻擊效能、敵方攻擊效能、我方防御效能和敵方防御效能。敵方的攻擊失敗代表著我方的防御成功；同樣地，敵方的進攻成功也代表我方的防御失敗。因此，為了更好地對網(wǎng)絡(luò)戰(zhàn)整體作戰(zhàn)效能進行評估和仿真，這里取藍方攻擊效能和紅方防御效能兩項指標(biāo)作為二級指標(biāo)，通過網(wǎng)絡(luò)戰(zhàn)的交戰(zhàn)的攻防雙方來確定最后的作戰(zhàn)效能。

網(wǎng)絡(luò)戰(zhàn)攻防指標(biāo)體系如圖1所示。

圖1 網(wǎng)絡(luò)戰(zhàn)攻防指標(biāo)體系Fig.1 Attack and defense index system of network warfare

2 網(wǎng)絡(luò)戰(zhàn)攻擊效能的評估模型

2.1 網(wǎng)絡(luò)戰(zhàn)攻擊的定義

網(wǎng)絡(luò)戰(zhàn)的攻擊是通過拒絕服務(wù)攻擊、監(jiān)視和其他探測活動、來自遠程機器的非法訪問、普通用戶對本地超級用戶特權(quán)的非法訪問四類手段進行攻擊的，在四類攻擊手段之下還可以繼續(xù)分為39個次一級的攻擊類型，這里不再繼續(xù)細(xì)分。

在網(wǎng)絡(luò)戰(zhàn)中，不可能每一次攻擊都會成功，一次成功也不代表著完全控制或者癱瘓對應(yīng)的目標(biāo)節(jié)點，因此需要對網(wǎng)絡(luò)戰(zhàn)攻擊的效能進行評估。

網(wǎng)絡(luò)戰(zhàn)是基于計算機網(wǎng)絡(luò)實施的作戰(zhàn)行動，研究網(wǎng)絡(luò)戰(zhàn)的第一步是要研究網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)。作戰(zhàn)網(wǎng)絡(luò)的鄰接矩陣為：

式中N為網(wǎng)絡(luò)中節(jié)點數(shù)量。

2.2 網(wǎng)絡(luò)戰(zhàn)攻擊效能分析

無論是網(wǎng)絡(luò)結(jié)構(gòu)多么復(fù)雜，敵方的攻擊都會作用在不同的網(wǎng)絡(luò)節(jié)點上，網(wǎng)絡(luò)戰(zhàn)的攻擊效能由攻擊效果決定的，對不同的節(jié)點目標(biāo)，采用不同的攻擊策略，將直接影響網(wǎng)絡(luò)戰(zhàn)攻擊的效能，因此對網(wǎng)絡(luò)戰(zhàn)的攻擊效能A(pi)的定義如下：

其中：ATTACK函數(shù)表示對節(jié)點pi采用Di次拒絕服務(wù)攻擊、Pi次監(jiān)視和其他探測活動攻擊、Ri次來自遠程機器非法訪問攻擊和Ui次普通用戶對本地超級用戶特權(quán)非法訪問攻擊。

3 網(wǎng)絡(luò)戰(zhàn)防御效能的評估模型

3.1 節(jié)點結(jié)構(gòu)重要程度

采用PageRank 算法來判斷在網(wǎng)絡(luò)戰(zhàn)的網(wǎng)絡(luò)體系中節(jié)點結(jié)構(gòu)的重要程度。PageRank 算法最早來源于搜索引擎的網(wǎng)頁的重要性排序和評價，同樣，對于網(wǎng)絡(luò)中網(wǎng)絡(luò)節(jié)點的重要性也可以通過PageRank 算法來確定，網(wǎng)絡(luò)中每一個節(jié)點的PageRank 值等于與這個節(jié)點相連接的各個節(jié)點的PageRank值總和。

最初的PageRank算法是面向有向圖的，其迭代方程為：

其中：L(pj)為節(jié)點pj的出度；d為阻尼因子；N是節(jié)點總數(shù)；(1-d)為隨機跳往任意一個節(jié)點的概率；M(pi)為連接節(jié)點pj的所有節(jié)點集合。

而在本文中，網(wǎng)絡(luò)戰(zhàn)的網(wǎng)絡(luò)體系為無向圖，因此可以得到pi點的PageRank值PR(pi)，其迭代方程［14］為：

其中degree(pj)為節(jié)點pj的度。

因此，節(jié)點pi結(jié)構(gòu)的重要程度可以用PR(pi)表示。

3.2 節(jié)點內(nèi)容重要程度

網(wǎng)絡(luò)戰(zhàn)中每個被攻擊節(jié)點都有著自身的價值，這些價值可能是包含重要的軍事信息，也有可能是有著重要的功能等。網(wǎng)絡(luò)節(jié)點的內(nèi)容價值越大，作為目標(biāo)被攻擊的可能性越大，同時網(wǎng)絡(luò)節(jié)點被攻擊損毀后所造成的損失也越大，因此這里通過模糊評價法來綜合評估節(jié)點的內(nèi)容重要性［15］，層次圖如圖2所示。

圖2 節(jié)點內(nèi)容重要程度層次Fig.2 Hierarchy of node content importance

節(jié)點內(nèi)容的重要程度主要體現(xiàn)在政治價值、軍事價值、經(jīng)濟價值和其他價值四個方面，并且與涉密信息或者節(jié)點功能的重要性程度有關(guān)，信息的密級越高或者節(jié)點的功能越重要，其節(jié)點的內(nèi)容重要程度就越大。

其中：Ⅰ級表示此節(jié)點內(nèi)存有絕密級信息或者有著極度重要的功能；Ⅱ級表示此節(jié)點內(nèi)存有機密級信息或者有著很重要的功能；Ⅲ級表示此節(jié)點內(nèi)存有秘密級信息或者有著次重要功能；Ⅳ級表示此節(jié)點內(nèi)存有內(nèi)部級信息或者有著普通功能。

這里按照Ⅰ到Ⅳ四種不同級別的信息或者功能的重要程進行分析，假設(shè)節(jié)點中存在一項Ⅰ級的信息或者功能，其所影響的政治、軍事、經(jīng)濟和其他方面價值為l11，l12，l13，l14，當(dāng)有數(shù)量N1的Ⅰ級信息或者功能，則對應(yīng)的價值總量為：

同理，一項Ⅱ級的信息或者功能，其所影響的政治、軍事、經(jīng)濟和其他方面價值為l21，l22，l23，l24，一項Ⅲ級的信息或者功能，其所影響的政治、軍事、經(jīng)濟和其他方面價值為l31，l32，l33，l34，一項Ⅳ級的信息或者功能，其所影響的政治、軍事、經(jīng)濟和其他方面價值為l41，l42，l43，l44。三者對應(yīng)數(shù)量為N2，N3，N4，對應(yīng)的價值總量為：

對于pi節(jié)點所持有全部涉密信息的內(nèi)容重要程度L(pi)就等于各種級別的信息或者功能影響政治、軍事、經(jīng)濟和其他的價值之和化，并進行歸一化處理，即：

其中Lc為網(wǎng)絡(luò)所有節(jié)點的內(nèi)容重要程度之和。

這里對于每一項價值量都可以給出一個客觀的評價，這里取評判集的量化值V∈[0，100]。

3.3 節(jié)點應(yīng)急反應(yīng)能力

如果說節(jié)點的結(jié)構(gòu)和內(nèi)容的重要程度是網(wǎng)絡(luò)戰(zhàn)的網(wǎng)絡(luò)體系中節(jié)點所被動擁有的屬性，那么節(jié)點的應(yīng)急反應(yīng)能力則是主動防御的屬性，包括對攻擊進行檢測、攔截、修復(fù)等一系列措施。

節(jié)點的應(yīng)急反應(yīng)能力中，最主要的是對網(wǎng)絡(luò)戰(zhàn)攻擊的入侵檢測。關(guān)于入侵檢測的研究有很多，這里將采取LightGBM（Light Gradient Boosting Machine）算法進行檢測。

LightBGM 是一種基于決策樹算法的梯度提升框架，它的主要特點是：分布式、快速、高效。LightBGM 主要使用了基于Histogram 決策樹算法進行學(xué)習(xí)［16-17］。首先將特征值進行離散化，并生成一個寬為k的直方圖。當(dāng)對數(shù)據(jù)樣本進行遍歷時，將取離散后值作為索引值。直方圖在完成一次遍歷后就會累積了需要的統(tǒng)計量，然后通過直方圖的離散值來尋找最優(yōu)的分割點。采取這種方式能非常顯著降低內(nèi)存的使用，從而降低時間復(fù)雜度。

LightGBM 算法的另一個特點是采取了高效率的葉子生長策略，即帶深度限制的葉子生長策略（Leaf-wise）。Leaf-wise精度高、誤差低，并在Leaf-wise中加入了防止過擬合的最大深度限制。該策略在每一次分裂前都會遍歷決策樹中全部葉子，尋找到分裂增益最大的葉子來進行分裂，然后重復(fù)這一操作［18］。

這里采用KDDCUP99 作為訓(xùn)練集進行訓(xùn)練，來判斷和識別網(wǎng)絡(luò)戰(zhàn)的攻擊手段。當(dāng)然，實際情況下，不同節(jié)點的應(yīng)急反應(yīng)能力各不相同，重要的節(jié)點應(yīng)急反應(yīng)能力強大，次要的節(jié)點應(yīng)急反應(yīng)能力一般，體現(xiàn)應(yīng)急反應(yīng)能力大小的就是節(jié)點的入侵檢測能力。這里為了更好地評估應(yīng)急反應(yīng)能力，沒有簡單地直接利用LightGBM 算法進行分析，而是從LightGBM 算法的訓(xùn)練集出發(fā)，通過設(shè)定訓(xùn)練集的數(shù)量來反映節(jié)點的入侵檢測能力，即應(yīng)急反應(yīng)能力。

訓(xùn)練集的數(shù)量越多，入侵檢測的準(zhǔn)確率越大，成功攔截敵方網(wǎng)絡(luò)攻擊的概率就越大，節(jié)點的應(yīng)急反應(yīng)能力就越強大。

3.4 節(jié)點防御效能的分析

節(jié)點的防御效能與節(jié)點的結(jié)構(gòu)重要程度、節(jié)點的內(nèi)容重要程度和節(jié)點的應(yīng)急反應(yīng)能力有關(guān)。這里為了更好地評估節(jié)點的防御效能，對節(jié)點pi防御效能D(pi)進行如下定義：

其中：I為訓(xùn)練集總量；α為修正系數(shù)；函數(shù)LightGBM是對訓(xùn)練集進行訓(xùn)練后得出的訓(xùn)練模型。

節(jié)點pi的防御效能D(pi)可以由訓(xùn)練集的數(shù)量反映出來，節(jié)點的結(jié)構(gòu)重要程度越大，節(jié)點的內(nèi)容重要程度越大，那么參與訓(xùn)練的訓(xùn)練集的數(shù)目就越大，訓(xùn)練出來的模型就越精確，入侵識別效果就越好，節(jié)點pi的防御效能D(pi)就越大。

4 基于LightGBM的網(wǎng)絡(luò)戰(zhàn)效能評估模型

4.1 節(jié)點毀傷效能曲線

對網(wǎng)絡(luò)傳遞的信息進行檢測，通過LightGBM 算法對信息進行判別，如果斷定是攻擊行為［19］，則進行攔截，若判斷失誤，則攔截失敗，就會對節(jié)點造成一定的毀傷，節(jié)點因攻擊帶來的毀傷達到一定的程度，該節(jié)點則會癱瘓或者被摧毀。

根據(jù)網(wǎng)絡(luò)戰(zhàn)的性質(zhì)可知，節(jié)點毀傷效果是趨大型的，即攻擊效能越大對毀傷節(jié)點的滿足程度越大，因此這里定義節(jié)點毀傷曲線來計算節(jié)點的毀傷情況［20］，當(dāng)毀傷效能達到1時，節(jié)點則會癱瘓或者被摧毀，如圖3所示。

圖3 節(jié)點毀傷效能曲線Fig.3 Node damage effectiveness curve

具體函數(shù)表達式為：

其中：φ∈{Di，Pi，Ri，Ui}，Cφ為采用Di，Pi，Ri，Ui進行攻擊后突破節(jié)點防御的攻擊數(shù)量；i表示節(jié)點pi的序號，i=1，2，…，N。

4.2 網(wǎng)絡(luò)戰(zhàn)效能計算

網(wǎng)絡(luò)戰(zhàn)的效能評估方法歸根到底是判斷網(wǎng)絡(luò)節(jié)點的損毀程度，在網(wǎng)絡(luò)戰(zhàn)中，網(wǎng)絡(luò)中節(jié)點數(shù)量的保存和損毀數(shù)量直接決定網(wǎng)絡(luò)戰(zhàn)的作戰(zhàn)效果，則：對攻擊方而言，損毀對方節(jié)點的重要性越高、數(shù)量越多，完成的作戰(zhàn)效果越好，與之對應(yīng)的作戰(zhàn)效能就越高；對于防御方而言，成功抵御的攻擊數(shù)量越多，保存的網(wǎng)絡(luò)節(jié)點數(shù)量越多、完整程度越高，那么對應(yīng)的作戰(zhàn)效能就越高。

對于網(wǎng)絡(luò)中每一個節(jié)點pi，都需要計算出其結(jié)構(gòu)重要程度和節(jié)點內(nèi)容重要程度，然后結(jié)合訓(xùn)練集總量I和修正系數(shù)α，求得每一個節(jié)點的防御效能D(pi)，并與每一個節(jié)點受到的攻擊效能A(pi)進行比較，從而得到每一個節(jié)點的毀傷情況，得出網(wǎng)絡(luò)戰(zhàn)中網(wǎng)絡(luò)體系的剩余效能總量和毀傷效能總量，即網(wǎng)絡(luò)戰(zhàn)的作戰(zhàn)效能。

毀傷效能總量為：

剩余效能總量為：

5 仿真實驗與結(jié)果分析

5.1 仿真實驗步驟

下面進行網(wǎng)絡(luò)戰(zhàn)的仿真實驗，為簡化計算，這里選取攻擊類型為DOS，步驟如下：

1）隨機生成一個100 節(jié)點網(wǎng)絡(luò)作為實驗對象，通過計算，得到此網(wǎng)絡(luò)各個節(jié)點的結(jié)構(gòu)重要程度數(shù)值；

2）對每個節(jié)點的內(nèi)容重要程度進行評估，通過計算，得到此網(wǎng)絡(luò)各個節(jié)點的內(nèi)容重要程度數(shù)值；

3）選取KDDCUP99 的部分DOS 和Normal 數(shù)據(jù)作為訓(xùn)練總集I，對每個節(jié)點進行訓(xùn)練，對應(yīng)的每個節(jié)點的訓(xùn)練集根據(jù)計算求得；

4）選取KDDCUP99 的部分DOS 和Normal 數(shù)據(jù)作為攻擊數(shù)據(jù)，按照設(shè)定的攻擊策略進行攻擊，攻擊目標(biāo)為100 個網(wǎng)絡(luò)節(jié)點；

5）使用LightGBM 算法分別對100 個網(wǎng)絡(luò)節(jié)點進行判斷，得到突破節(jié)點防御的攻擊數(shù)量；

6）根據(jù)節(jié)點毀傷曲線計算每個節(jié)點的剩余效能和毀傷效能，并進行累加求和，得到最終的網(wǎng)絡(luò)戰(zhàn)作戰(zhàn)效能。

5.2 結(jié)果分析

首先根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)計算出每個節(jié)點的結(jié)構(gòu)重要程度，再隨機生成每個節(jié)點的Ⅰ到Ⅳ四種重要程度的信息或者功能與其所影響的政治、軍事、經(jīng)濟和其他方面的價值，得到節(jié)點的內(nèi)容重要程度，如表1所示。

表1 節(jié)點重要程度Tab.1 Node importance

接下來選取KDDCUP99 數(shù)據(jù)總集合并進行數(shù)據(jù)集的分配，取KDDCUP99 數(shù)據(jù)集的10%中的DOS 和Normal 類型共488 736條作為數(shù)據(jù)總集合。這里根據(jù)情況調(diào)整修正系數(shù)α=0.1，α的大小會影響訓(xùn)練集的數(shù)量，α取值過大或過小都會造成防御效能設(shè)定過強或者過弱，使得網(wǎng)絡(luò)戰(zhàn)攻防過程不平衡，導(dǎo)致網(wǎng)絡(luò)戰(zhàn)攻防雙方對抗性將不能很好地展現(xiàn)出來。通過節(jié)點的結(jié)構(gòu)重要程度和節(jié)點的內(nèi)容重要程度計算得到每個節(jié)點的訓(xùn)練集，如表2所示。

表2 訓(xùn)練集的分配Tab.2 Distribution of training sets

按照得出的100種不同的訓(xùn)練集分別進行100次訓(xùn)練，得到100個網(wǎng)絡(luò)節(jié)點的LightGBM訓(xùn)練參數(shù)。

下面設(shè)定攻擊方的攻擊策略，這里為了簡化計算，設(shè)定攻擊方對每一個節(jié)點采用同樣的攻擊策略，攻擊數(shù)據(jù)采用KDDCUP99 的測試數(shù)據(jù)集的10%共30 000 條DOS 和Normal類型數(shù)據(jù)。

利用LightGBM 算法對每個節(jié)點的面臨的30 000 條模擬進攻的數(shù)據(jù)進行判別，得到突破每一個網(wǎng)絡(luò)節(jié)點防御的攻擊數(shù)量，如表3所示。

接下來根據(jù)節(jié)點毀傷曲線計算每個節(jié)點的剩余效能和毀傷效能。節(jié)點毀傷曲線中的取值決定了節(jié)點在遭受攻擊后何時開始受到影響、何時完全損毀。這里舉個例子，在真實的網(wǎng)絡(luò)戰(zhàn)環(huán)境某個節(jié)點遭受到DOS 攻擊，在受到強度為10的DOS攻擊時，對節(jié)點完全沒有影響，當(dāng)受到強度為100的DOS 攻擊時，節(jié)點受到影響明顯，當(dāng)受到強度為1 000 的DOS 攻擊時，節(jié)點完全癱瘓。的取值應(yīng)該結(jié)合真實網(wǎng)絡(luò)中節(jié)點實際承受能力進行測量，這里為了能夠使網(wǎng)絡(luò)戰(zhàn)的對抗過程更好地展現(xiàn)出來，取，最后得到每個節(jié)點的剩余效能和毀傷效能，如表4所示。

通過計算得到，100個網(wǎng)絡(luò)節(jié)點中有12個節(jié)點完好無損，有35 個網(wǎng)絡(luò)節(jié)點完全損毀，網(wǎng)絡(luò)剩余效能總量E1=55.995，攻擊方造成的毀傷效能E2=44.005。

表4 節(jié)點剩余效能和毀傷效能Tab.4 Node residual effectiveness and damage effectiveness

6 結(jié)語

在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境中，存在來自國內(nèi)外高頻率的網(wǎng)絡(luò)攻擊和入侵，攻擊層次由淺入深，攻擊手段日益復(fù)雜，攻擊危害性持續(xù)增長，網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，對網(wǎng)絡(luò)戰(zhàn)效能進行評估對我國的網(wǎng)絡(luò)安全有著重要而深遠的意義。本文提出了一種可行的網(wǎng)絡(luò)戰(zhàn)效能評估的方法，通過構(gòu)建紅藍雙方的網(wǎng)絡(luò)戰(zhàn)攻防指標(biāo)體系，引入四種不同攻擊類型作為攻擊指標(biāo)，引入節(jié)點結(jié)構(gòu)、內(nèi)容重要程度和應(yīng)急反應(yīng)能力作為防御指標(biāo)，提出了基于LightGBM 的網(wǎng)絡(luò)戰(zhàn)效能評估模型，得到整個網(wǎng)絡(luò)戰(zhàn)攻防體系中的剩余效能和毀傷效能指標(biāo)，綜合兩個指標(biāo)分析網(wǎng)絡(luò)戰(zhàn)紅藍雙方的作戰(zhàn)效能。最后，利用仿真實驗證明了模型的有效性和可行性。該方法對網(wǎng)絡(luò)戰(zhàn)效能評估問題提供了一種完整的評估和分析思路：一方面有利于網(wǎng)絡(luò)戰(zhàn)的攻擊方確定攻擊的正確性和可行性，同時可以讓作戰(zhàn)指揮員在網(wǎng)絡(luò)戰(zhàn)開始之前評估不同策略的網(wǎng)絡(luò)戰(zhàn)效能，從而進行相應(yīng)的策略調(diào)整；另一方面，也有利于防御方提前做好防護措施，完善和豐富網(wǎng)絡(luò)防護策略，可用于加強網(wǎng)絡(luò)安全建設(shè)、維護國家利益。