趙小林, 曾沖寒, 薛靜鋒, 藺青鈺, 郭煚

(北京理工大學 計算機學院，北京 100081)

近年來，網(wǎng)絡(luò)走進了千家萬戶，無論是電腦還是各種移動設(shè)備，其中都與網(wǎng)絡(luò)密不可分.然而，隨著信息科技的發(fā)展，網(wǎng)絡(luò)中的安全問題也逐漸凸顯出來.在網(wǎng)絡(luò)的環(huán)境安全、可靠性安全和漏洞安全方面，都有危害安全的事件發(fā)生.2017年俄羅斯電網(wǎng)遭到攻擊，攻擊者的滲透能力足以控制電力系統(tǒng)的正常運行；2017年5月，肆意傳播了150多個國家WannaCry勒索病毒，通過被泄露的永恒之藍漏洞進行傳播，對全球的金融、能源、教育、醫(yī)療等行業(yè)造成了嚴重的影響；2017年9月，美國繼希拉里郵件門后又發(fā)生了郵件泄露事件，導致社會對總統(tǒng)的信任度大大降低；2018年1月，荷蘭3大銀行頻繁遭受到DDoS攻擊，導致網(wǎng)站與網(wǎng)上服務癱瘓；2018年3月，我國境內(nèi)遭到了攻擊者利用Memcached的服務發(fā)起的大規(guī)模DDoS反射攻擊，其流量卻高達758.6 Gbits.網(wǎng)絡(luò)安全已經(jīng)不僅僅是關(guān)乎于個人用戶的隱私、財產(chǎn)安全，更是上升到了國家安全的層面上，為此，中國在2016年6月1日起施行《網(wǎng)絡(luò)安全法》，將網(wǎng)絡(luò)安全落實到法律法規(guī)上.此外，當今的國與國之間的競爭與安全保證并不僅僅在于領(lǐng)土、經(jīng)濟等方面，還是在網(wǎng)絡(luò)空間上的競爭和戰(zhàn)斗.因此，可以對網(wǎng)絡(luò)的安全性進行度量，得出度量結(jié)果后及時發(fā)現(xiàn)網(wǎng)絡(luò)中的短板并維護是十分重要的.

基于多維度的網(wǎng)絡(luò)安全度量方法和復雜網(wǎng)絡(luò)相關(guān)理論的研究成果，為了解決網(wǎng)絡(luò)安全的維度選取范圍小、指標量化困難的問題，本文依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》所提出的R=f(A,T,V)為基礎(chǔ)，其中R為風險，A為資產(chǎn)，T為威脅，C為脆弱性，將網(wǎng)絡(luò)安全劃分為3個具有代表性的維度，環(huán)境安全主要以網(wǎng)絡(luò)中的基礎(chǔ)設(shè)施即資產(chǎn)、可靠性安全主要以網(wǎng)絡(luò)自身所具備的圖屬性即脆弱性、漏洞安全主要以網(wǎng)絡(luò)自身存在的安全漏洞即威脅來度量，3個維度的度量很大程度上覆蓋了網(wǎng)絡(luò)安全度量的指標，全方位地對網(wǎng)絡(luò)安全給出一個綜合的評估來解決網(wǎng)絡(luò)安全的維度選取范圍小的問題.環(huán)境安全以網(wǎng)絡(luò)的基礎(chǔ)運行指標進行度量，基礎(chǔ)運行指標可以表征網(wǎng)絡(luò)當前的性能，間接地反映網(wǎng)絡(luò)的安全狀態(tài)[1]；可靠性安全主要從復雜網(wǎng)絡(luò)理論方面，以圖理論對網(wǎng)絡(luò)的可靠性進行度量[2-3]；漏洞安全從網(wǎng)絡(luò)的脆弱性方面對網(wǎng)絡(luò)安全進行直接的度量[4].

在網(wǎng)絡(luò)安全度量領(lǐng)域，已經(jīng)有一些研究成果的積累[5-7]，這些研究成果可以對網(wǎng)絡(luò)安全在一定范圍內(nèi)進行度量，為網(wǎng)絡(luò)安全的維護和態(tài)勢感知提供指導.對于零日攻擊，該模型將計算出損害網(wǎng)絡(luò)資產(chǎn)所需的未知漏洞，以客觀地量化網(wǎng)絡(luò)安全系數(shù)，其中較高的系數(shù)表示未知漏洞的可用性較低.繼而提出了基于最小攻擊量的安全度量模型，解決了資源與概率之間的因果關(guān)系，以反映平均攻擊量[8].姜旭煒等[9]將層次分析法與粗糙集理論相結(jié)合，分別得到主觀、客觀權(quán)值，并通過因子加權(quán)函數(shù)來計算網(wǎng)絡(luò)安全態(tài)勢值.姜旭偉等將層次分析法(AHP)和粗糙集理論相結(jié)合，分別獲得主觀和客觀權(quán)重，并利用因子權(quán)重函數(shù)(NSSW)計算出網(wǎng)絡(luò)安全態(tài)勢值.Wang等[10]提出了一種基于AHP的網(wǎng)絡(luò)安全態(tài)勢評估模型(NSSA)和量化方法，將AHP與情境評估的層次模型有機結(jié)合，簡化了情境評估問題，并采用D-S證據(jù)理論融合的模糊化結(jié)果，以解決單一信息源和大精度偏差的問題.

此外，網(wǎng)絡(luò)安全度量中通常需要對多個度量指標進行組合計算，在組合計算的過程中需要對各個指標分配權(quán)重.層次分析法(AHP)是一種較為通用的權(quán)重計算方法[11]，在許多研究中都采用層次分析法或者改進的層次分析法來計算權(quán)重.胡楠等[12]和高翔等[13]將層次分析法與模糊理論想結(jié)合，利用模糊層次分析法對網(wǎng)絡(luò)安全進行評估.黎筱彥等[14]將網(wǎng)絡(luò)被攻擊后獲取到的攻擊參數(shù)和屬性作為度量指標，通過對指標進行加權(quán)計算來對網(wǎng)絡(luò)安全進行度量，其中使用了層次分析法作為權(quán)重選取的方法.雖然層次分析法將與決策相關(guān)的影響因素分解成目標層、準則層、方案層等層次，使整個網(wǎng)絡(luò)系統(tǒng)的各個因素間的關(guān)聯(lián)關(guān)系不割裂，但由于其方法類似人腦的決策方法，運用專家系統(tǒng)對各層次的指標間的重要性進行定義，所以主觀因素使得方法在評估結(jié)果時定性成分較多.

逼近理想解排序法(TOPSIS法)是Hwang和Yoon于1981年首次提出的一種綜合評價方法，這一方法根據(jù)有限個評價對象與理想化目標的接近程度進行排序的方法，是在現(xiàn)有的對象中進行相對優(yōu)劣的評價.TOPSIS多用于推薦技術(shù)中對目標進行排序選優(yōu)，在網(wǎng)絡(luò)安全風險評估上也有許多應用.Luo[15]使用TOPSIS方法結(jié)合層次分析法來計算攻擊圖的攻擊成本，從而對基于移動網(wǎng)絡(luò)的軟件定義網(wǎng)絡(luò)進行安全度量.使用TOPSIS方法對目標進行評價排序可以一定程度上地消除專家評估因素的主觀性.

基于TOPSIS多維網(wǎng)絡(luò)安全度量模型與文中提到的其他多維網(wǎng)絡(luò)安全度量模型在維度選取、指標量化、指標采集和定量評估上進行比較，如表1所示.

表1 多維網(wǎng)絡(luò)安全模型評估對比

從表1中可以看出，基于綜合加權(quán)的層次化網(wǎng)絡(luò)態(tài)勢評估方法選取的維度考慮到了網(wǎng)絡(luò)中各個節(jié)點的運行狀態(tài)與脆弱性，但由于其維度劃分耦合度大，且不全面，因此在網(wǎng)絡(luò)出現(xiàn)異常時無法及時地響應當前網(wǎng)絡(luò)狀態(tài)；基于AHP的安全態(tài)勢評估模型(NSSA)從網(wǎng)絡(luò)狀態(tài)與受到攻擊后網(wǎng)絡(luò)的受損情況出發(fā)，對網(wǎng)絡(luò)安全態(tài)勢進行劃分，但由于其未考慮網(wǎng)絡(luò)的拓撲結(jié)構(gòu)在受到攻擊后的變化，因此在準確性方面會有偏差.本文提出的基于TOPSIS的多維網(wǎng)絡(luò)安全度量模型比較全面地對網(wǎng)絡(luò)安全進行了維度劃分，維度下指標的采集和量化也都相對簡單、可行，還給出了整體網(wǎng)絡(luò)、維度層、中間層和各個指標的度量結(jié)果，與其他幾個模型相比，本文提出的模型維度劃分相對全面、可操作性較高，得出的評估結(jié)果也比較有價值.

本文貢獻點有兩方面：第一，在網(wǎng)絡(luò)安全度量指標數(shù)據(jù)量化方面，本文以可操作性為原則進行量化方法和量化工具的選取工作，以此來解決網(wǎng)絡(luò)安全指標量化困難的問題.采用層次分析法建立多層次多維度的評價，體現(xiàn)網(wǎng)絡(luò)系統(tǒng)的層次性.針對方法的主觀性太強、依賴專家的經(jīng)驗等問題，本文引入TOPSIS作為對網(wǎng)絡(luò)安全度量指標進行綜合評估的方法，對有限個評價對象與理想化目標的接近程度進行排序，從一定程度上消除了對專家系統(tǒng)的依賴性，使評估結(jié)果更具有客觀性.第二，為了能夠較為全面地對網(wǎng)絡(luò)安全風險進行度量，本文將網(wǎng)絡(luò)安全以等保條例為基礎(chǔ)，按照資產(chǎn)、威脅、脆弱性劃分為3個維度，即環(huán)境安全、可靠性安全和漏洞安全3個維度，從3個維度出發(fā)，全面地對網(wǎng)絡(luò)安全進行劃分，為后續(xù)綜合評估結(jié)果的準確性提供支持.本文選取真實網(wǎng)絡(luò)環(huán)境下受到DDoS攻擊為實驗背景，通過與現(xiàn)有方法進行對比，證明了本文方法的有效性與準確性.

1 多維網(wǎng)絡(luò)安全度量模型

為了解決網(wǎng)絡(luò)安全的維度選取范圍小的問題，在對網(wǎng)絡(luò)安全進行度量的過程中，需要把網(wǎng)絡(luò)安全進行拆分，本文提出了一種基于TOPSIS的多維網(wǎng)絡(luò)安全度量模型，將網(wǎng)絡(luò)安全劃分為環(huán)境安全、可靠性安全和漏洞安全3個維度，從網(wǎng)絡(luò)的基礎(chǔ)設(shè)施、拓撲結(jié)構(gòu)、漏洞多個方面對網(wǎng)絡(luò)安全進行度量，在各個維度下設(shè)立中間層度量指標，細分各個維度的度量目標，又在各個中間層度量指標下設(shè)立元度量指標，使用可靠的工具對元度量指標進行采集，從而得到覆蓋范圍較廣的、指標可采集可量化的網(wǎng)絡(luò)安全度量模型.

另外，建立各中間層的度量指標，利用可靠的工具對元指標進行收集，從而得到一個覆蓋范圍廣、指標可以被收集和量化的網(wǎng)絡(luò)安全度量模型.每個維度下選取相應的測量指標并進行量化.結(jié)合TOPSIS綜合評價方法，對不同維度下的測量指標進行評價.多維網(wǎng)絡(luò)安全度量模型框架如圖1所示.

圖1 多維網(wǎng)絡(luò)安全度量模型框架圖

第1個維度是環(huán)境安全維度，如圖2所示，該維度對網(wǎng)絡(luò)環(huán)境中的基礎(chǔ)設(shè)備的健康程度、網(wǎng)絡(luò)基礎(chǔ)狀態(tài)進行度量，在該維度下，對網(wǎng)絡(luò)中的主機狀態(tài)指數(shù)、網(wǎng)絡(luò)狀態(tài)指數(shù)和關(guān)鍵設(shè)備健康指數(shù)3個方面進行度量.

圖2 環(huán)境安全度量模塊

第2個維度是可靠性安全維度，如圖3所示，該維度反映了網(wǎng)絡(luò)受到破壞后是否還可以正常運行程度和生存能力，以及在網(wǎng)絡(luò)部件失效的情況下滿足網(wǎng)絡(luò)業(yè)務能力的程度，因此，在該維度下分為網(wǎng)絡(luò)的抗毀性、生存性和有效性3個方面的度量.

圖3 可靠性安全度量模塊

第3個維度是漏洞安全維度，如圖4所示，該維度主要對網(wǎng)絡(luò)中的漏洞進行度量，通過對網(wǎng)絡(luò)中的漏洞威脅指數(shù)、漏洞防范代價指數(shù)進行度量.在每個維度的度量點下有相應的元度量指標，通過得到元度量指標的量化值來對每個度量點進行量化，然后再對維度進行量化，最后得到整個網(wǎng)絡(luò)的度量結(jié)果.

2 指標選取及量化

在環(huán)境安全和漏洞安全維度上，本文根據(jù)Luo等[15]建立的指標體系中的部分，把環(huán)境安全度量分為對主機狀態(tài)指數(shù)、網(wǎng)絡(luò)狀態(tài)指數(shù)和關(guān)鍵設(shè)備健康指數(shù)的度量，把漏洞安全度量分為對漏洞數(shù)量指數(shù)、漏洞防范代價指數(shù)的度量.在可靠性安全維度上，本文根據(jù)楊孝平[16]對復雜網(wǎng)絡(luò)可靠性的評價方法，把可靠性安全度量分為對網(wǎng)絡(luò)的抗毀性、生存性和有效性的度量.在指標量化上，本文根據(jù)高陽等[17]的無量綱化方法對元度量指標進行量化.多維網(wǎng)絡(luò)安全度量模型選取的具體指標如表2所示.本文將文獻[14]和文獻[16]中的評估體系與提出的3個安全度量維度相結(jié)合并進行一定的修改、完善，得到3個維度下的中間層度量指標和元度量指標.

表2 多維網(wǎng)絡(luò)安全度量模型指標設(shè)計

根據(jù)TOPSIS方法對度量指標的要求，需要對度量指標進行同趨勢化，即所有指標的量化公式遵循相同趨勢的變化規(guī)律.本文選取的指標為正向指標且按照線性遞增的規(guī)律對指標進行量化.

2.1 環(huán)境安全度量指標的選取及量化

在環(huán)境安全維度上，本文選取主機狀態(tài)指數(shù)、網(wǎng)絡(luò)狀態(tài)指數(shù)和關(guān)鍵設(shè)備健康指數(shù)作為中間層指標進行度量.其中主機狀態(tài)指數(shù)的元度量指標包括磁盤占用指數(shù)、CPU占用指數(shù)、內(nèi)存占用指數(shù)、開放端口指數(shù)；網(wǎng)絡(luò)狀態(tài)指數(shù)的元度量指標包括峰值流量指數(shù)、平均流量指數(shù)、帶寬利用指數(shù)；關(guān)鍵設(shè)備健康指數(shù)的元度量指標包括路由器健康指數(shù)、交換機健康指數(shù).具體的量化方法如下.

(1)主機狀態(tài)指數(shù)的元度量指標量化.

磁盤占用指數(shù)量化.磁盤占用指數(shù)反映了主機的磁盤占用情況，利用工具檢測主機的磁盤使用情況，得到在t時間的磁盤占用率Dt，從而得到磁盤占用指數(shù)Ehd，如式(1).其中Dmax為磁盤占用率的最大值，Dmin為磁盤占用率的最小值.

(1)

CPU占用指數(shù)量化.CPU占用指數(shù)反映了主機的CPU使用情況，利用工具檢測主機的CPU使用情況，得到t時間的CPU占用率Ct，從而得到CPU占用指數(shù)Ehc，如式(2).其中Cmax為CPU占用率的最大值，Cmin為CPU占用率的最小值.

(2)

內(nèi)存占用指數(shù)量化.內(nèi)存占用指數(shù)反映了主機內(nèi)存的使用情況，利用工具檢測主機的內(nèi)存使用情況，得到t時間的內(nèi)存占用率Mt，從而得內(nèi)存占用指數(shù)Ehm，如式(3).其中Mmax為內(nèi)存占用率的最大值，Mmin為內(nèi)存占用率的最小值.

(3)

開放端口指數(shù)量化.開放端口指數(shù)反映了主機開放的端口存在的安全隱患的嚴重程度，利用工具檢測主機的端口開放情況，將開放端口的危險等級分為嚴重、高、中、低4個等級，每個等級對應相應危險程度的開放端口，對每個危險等級分配權(quán)重，得到開放端口指數(shù)Ehp的量化公式，如式(4).

(4)

式中:Pt為在t時間開放端口的得分;Pmax為開放端口的最大得分;Pmin為開放端口的最小得分;Mt的量化公式如式(5).其中WS、WH、WM、WL為危險程度分別為嚴重、高、中、低等級的權(quán)重，Sn、Hn、Mn、Ln分別為嚴重、高、中、低等級的端口數(shù)量.

Pt=WSSn+WHHn+WMMn+WLLn

(5)

本文提出了CPU、內(nèi)存、磁盤和開放端口的量化方法，其中對CPU、內(nèi)存和磁盤的量化主要是將工具采集到的CPU利用率、內(nèi)存利用率和磁盤利用率進行同趨勢化處理，本文對其進行正向處理，得到以上公式.對于開放端口指數(shù)的量化，本文從基礎(chǔ)出發(fā)，直接獲取主機所有開放的端口號，對開放的端口按照威脅程度對其分類，計算得到開放端口的威脅值，通過威脅值計算開放端口指數(shù).本文中提出了以上主機狀態(tài)指數(shù)的量化公式，把可操作性和準確性作為量化原則，即提出的公式既滿足可以方便地使用工具進行采集，又可以進行準確地計算、量化.

(2)網(wǎng)絡(luò)狀態(tài)指數(shù)的元度量指標量化.

峰值流量指數(shù)量化.峰值流量指數(shù)反映網(wǎng)絡(luò)瞬間流量最大值情況，利用工具對網(wǎng)絡(luò)進行流量監(jiān)控，提取網(wǎng)絡(luò)在時間T的峰值流量，按照周愛平等[18]提出的峰值流量的離差系數(shù)ηCV的定義，計算峰值流量指數(shù)Enp，如式(6).

Enp=1-ηCV

(6)

其中ηCV的計算公式如式(7)，V為吞吐量方差，即吞吐量與峰值流量的偏離程度，X為峰值流量.吞吐量方差的計算公式如式(8)，其中A(τ)中表示鏈路在單位時間內(nèi)能夠傳輸?shù)臄?shù)據(jù)量.

(7)

(8)

平均流量指數(shù)量化.平均流量指數(shù)反映了一段時期內(nèi)網(wǎng)絡(luò)的平均吞吐量，利用工具對網(wǎng)絡(luò)進行監(jiān)控，提取網(wǎng)絡(luò)在時間t的平均流量，得到平均流量指數(shù)Ena，如式(9).其中，F(xiàn)t為網(wǎng)絡(luò)的平均流量，F(xiàn)min為平均流量的最小值，F(xiàn)max為平均流量的最大值.

(9)

帶寬利用指數(shù)量化.帶寬利用指數(shù)反映了網(wǎng)絡(luò)的帶寬利用情況.帶寬利用率為網(wǎng)絡(luò)每秒流入流出的流量綜合和帶寬的比值，利用工具提取網(wǎng)絡(luò)的流量數(shù)據(jù)和帶寬信息，計算網(wǎng)絡(luò)在t時間的帶寬利用率，對帶寬利用指數(shù)進行量化，如式(10).其中Bt為時間t的平均帶寬利用率，Bmin為帶寬利用率的最小值，Bmax為帶寬利用率的最大值.

(10)

本文對峰值流量指數(shù)的計算參考了前人的研究成果，并結(jié)合其中的偏離程度的思想提出了平均流量指數(shù)和帶寬利用指數(shù)的量化方法.平均流量指數(shù)和帶寬利用指數(shù)考慮到網(wǎng)絡(luò)中的平均流量和帶寬利用率是在一定范圍內(nèi)變化，在此范圍中的值都屬于正常情況，若偏離了此范圍，則通過計算其偏離程度來計算各個指數(shù).

(3)關(guān)鍵設(shè)備健康指數(shù)的元度量指標量化.

關(guān)鍵設(shè)備健康指數(shù)包括對路由器健康指數(shù)和交換機健康指數(shù).路由器和交換機是網(wǎng)絡(luò)的重要組成部分，路由器和交換機的健康指數(shù)反映了網(wǎng)絡(luò)中路由器和交換機的健康程度，根據(jù)闕偉科等[19]提出的路由器性能評估算法進行路由器的健康指數(shù)量化，算法如下.

其中，std1表示指標正常值上限，std2表示指標正常值下限，value表示指標的實際測量值，bwu表示路由器或交換機的入口帶寬利用率，deviaton表示指標的偏離系數(shù)，lr表示路由器或交換機的丟包率，er表示路由器或交換機的錯誤率，cpu表示路由器或交換機的CPU利用率，mem表示路由器或交換機的內(nèi)存利用率，health表示路由器健康指數(shù)Ekr或者交換機健康指數(shù)Eks.其中度量指標為包轉(zhuǎn)發(fā)率，通過對包轉(zhuǎn)發(fā)率進行度量，計算其與正常值的偏離系數(shù)，得出初步的路由器健康指數(shù)或者交換機健康指數(shù)，此外，通過分析路由器或交換機的丟包率、錯誤率、CPU利用率和內(nèi)存利用率來得出最終的路由器或者交換機的健康指數(shù).

2.2 可靠性安全度量指標的選取及量化

在可靠性安全度量維度上，本文選取網(wǎng)絡(luò)的抗毀性、生存性和有效性作為中間層的度量指標.其中網(wǎng)絡(luò)的抗毀性指數(shù)通過全網(wǎng)效能進行度量，網(wǎng)絡(luò)的生存性指數(shù)通過連通系數(shù)進行度量，網(wǎng)絡(luò)的有效性指數(shù)通過全網(wǎng)完成度進行度量.在可靠性安全維度度量中，用鄰接矩陣來表示網(wǎng)絡(luò)，結(jié)合復雜網(wǎng)絡(luò)理論對指標進行量化，具體的量化方法如下.

(1)抗毀性指數(shù)的度量指標全網(wǎng)效能的量化.

全網(wǎng)效能為網(wǎng)絡(luò)中最短路徑與理想邊數(shù)的關(guān)系.通過計算求出網(wǎng)絡(luò)中節(jié)點間的最短路徑，來對計算網(wǎng)絡(luò)的全網(wǎng)效能.全網(wǎng)效能Rie的量化如式(11).其中Rie(G)為網(wǎng)絡(luò)G的全網(wǎng)效能，N為網(wǎng)絡(luò)的節(jié)點數(shù)，dij為節(jié)點i到節(jié)點j的最短路徑.

(11)

通過對全網(wǎng)效能的量化，可得出網(wǎng)絡(luò)中所有節(jié)點間的最短路徑的和趨近于理想狀態(tài)的程度，在理想狀態(tài)下，N(N-1)為網(wǎng)絡(luò)的邊數(shù)，此時網(wǎng)絡(luò)所有節(jié)點之間都相連，最短路徑dij=1，在此情況下，全網(wǎng)效能為1.可以在網(wǎng)絡(luò)中缺少某些節(jié)點或者某些邊時，即網(wǎng)絡(luò)遭到毀壞時，計算網(wǎng)絡(luò)的全網(wǎng)效能值，對比完整的網(wǎng)絡(luò)狀態(tài)下的全網(wǎng)效能值，得到網(wǎng)絡(luò)遭受到一定破壞時的抗毀能力評估.

(2)生存性指數(shù)的度量指標連通系數(shù)的量化.

連通系數(shù)反映了網(wǎng)絡(luò)的連通性，通過網(wǎng)絡(luò)的連通分支數(shù)和連通分支中的節(jié)點間最短路徑的平均值對網(wǎng)絡(luò)的連通系數(shù)進行量化，連通系數(shù)Rsc的量化如式(12).其中ω為網(wǎng)絡(luò)的連通分支數(shù)，Ni為第i個連通分支中的節(jié)點數(shù)目，N為網(wǎng)絡(luò)中的節(jié)點總數(shù)，li為第i個連通分支的平均最短路徑，即該連通分支中任意兩個節(jié)點間的最短路徑的平均值.

(12)

通過對連通系數(shù)的量化，可以對網(wǎng)絡(luò)的連通性進行評估.網(wǎng)絡(luò)的連通系數(shù)的值越大，代表網(wǎng)絡(luò)的連通性越好，生存能力越強.當全網(wǎng)連通并且各節(jié)點互相連通時，即ω=1,l=1時，網(wǎng)絡(luò)的連通系數(shù)為1.當網(wǎng)絡(luò)中的節(jié)點受到攻擊后，網(wǎng)絡(luò)中各個子網(wǎng)分支和平均最短路徑的變化可以比較全面地反映網(wǎng)絡(luò)的變化情況.

(3)有效性指數(shù)的度量指標全網(wǎng)完成度的量化

全網(wǎng)完成度表示了網(wǎng)絡(luò)中傳輸業(yè)務的完成情況.全網(wǎng)完成度通過對傳輸時延進行度量進行計算，全網(wǎng)完成度Rec的量化如式(13).其中，Tm為傳輸時延，D(Tm)為傳輸時延大于Tm的全網(wǎng)報文到達概率，其計算公式如式(14).其中，rij為路徑i到j(luò)上的報文平均到達率，Dij(Tm)為傳輸時延大于Tm時i到j(luò)路徑上的報文到達概率.

Rec=1-D(Tm)

(13)

(14)

全網(wǎng)完成度反映了網(wǎng)絡(luò)在出現(xiàn)故障或異常的情況下，網(wǎng)絡(luò)能夠完成規(guī)定業(yè)務的情況，即網(wǎng)絡(luò)在受到破壞時，網(wǎng)絡(luò)還能有效運行的程度.全網(wǎng)完成度越高，網(wǎng)絡(luò)有效性越好.

2.3 漏洞安全度量指標的選取及量化

在漏洞安全度量維度上，本文選取漏洞威脅指數(shù)、漏洞防范代價指數(shù)對漏洞安全進行綜合度量.其中，在漏洞威脅指數(shù)上，選取漏洞數(shù)量和漏洞等級對漏洞威脅指數(shù)進行量化；在漏洞防范代價指數(shù)上，選取漏洞數(shù)量、漏洞是否有修復方案、沒有修復方案的漏洞的防范代價值進行量化.通過工具對ω臺主機進行漏洞檢測，得到漏洞數(shù)量、漏洞等級、修復方案等信息，將漏洞劃分為Critical、High、Medium、Low、Info五個等級，對工具采集結(jié)果進行分析、度量.具體的量化方法如下.

(1)漏洞威脅指數(shù).

漏洞威脅指數(shù)為網(wǎng)絡(luò)中存在的漏洞對網(wǎng)絡(luò)構(gòu)成的威脅程度，通過網(wǎng)絡(luò)中存在的漏洞數(shù)量、漏洞等級進行量化.漏洞威脅指數(shù)Vt的量化方法如式(15).

(15)

式中：T為度量網(wǎng)絡(luò)中的漏洞威脅值；Tmax為漏洞威脅值的最大值；Tmin為漏洞威脅值的最小值.漏洞威脅值T的計算方法如式(16).

nk lTl+nk iTi)

(16)

在式(16)中，nk c、nk h、nk m、nk l、nk i分別為在第k臺主機上檢測出的Critical、High、Medium、Low、Info五個等級的漏洞數(shù)量，Tc、Th、Tm、Tl、Ti分別為Critical、High、Medium、Low、Info五個等級的威脅值.通過對漏洞威脅指數(shù)的量化，可以得到對網(wǎng)絡(luò)中檢測出來的漏洞的評分，通過這個評分可以對網(wǎng)絡(luò)收到漏洞威脅的程度作出判斷，同時，可以按照漏洞的嚴重級別對漏洞進行可選擇性的修復.

(2)漏洞防范代價指數(shù).

漏洞防范代價指數(shù)描述了對檢測出的網(wǎng)絡(luò)漏洞進行修復以防范漏洞被利用來進行攻擊所需要付出的代價的情況.通過漏洞數(shù)量、漏洞是否有修復方案、沒有修復方案的漏洞的防范代價值對漏洞防范代價指數(shù)Vp進行量化，其量化公式如式(17).

(17)

ok iPi+ok zPz)

(18)

在式(18)中，ok c、ok h、ok m、ok l、ok i分別為在第k臺主機上檢測出沒有修復方案的Critical、High、Medium、Low、Info五個等級的漏洞數(shù)量，okz有修復方案的漏洞數(shù)量，Pc、Ph、Pm、Pl、Pi分別為Critical、High、Medium、Low、Info五個等級的防范代價值，Pz為有修復方案的防范代價值.通過對漏洞防范代價指數(shù)的量化，可以得到修復檢測出的網(wǎng)絡(luò)漏洞所需要的代價，同時，還可以對有修復方案的漏洞盡心修復，為網(wǎng)絡(luò)維護人員提供指導.

在漏洞安全度量上，本文主要通過對漏洞進行分類的思想，對漏洞威脅和漏洞防范代價進行評分，提出了漏洞威脅指數(shù)和漏洞防范代價指數(shù)的量化方法.漏洞的分類是從一款世界上最流行的漏洞檢測工具Nessus中得到的，該漏洞檢測工具可以檢測出網(wǎng)絡(luò)中每臺主機中存在的漏洞，并且給出一些漏洞的防范方案.本文在此權(quán)威工具的基礎(chǔ)上，給出每個威脅類別威脅程度的分值，即威脅程度越大分值越高，通過對網(wǎng)絡(luò)中每臺主機的漏洞按照類別、數(shù)量、威脅分值進行計算，得到網(wǎng)絡(luò)漏洞的評估值，最終計算出漏洞威脅指數(shù)和漏洞防范代價指數(shù).本文提出的對漏洞威脅和漏洞防范代價進行量化的方法，以權(quán)威工具的檢測分類為基礎(chǔ)，對漏洞進行打分，得到漏洞安全維度的評估值.

3 實驗分析

3.1 實驗設(shè)計

本文將受到DoS攻擊的網(wǎng)絡(luò)作為被度量網(wǎng)絡(luò)，在網(wǎng)絡(luò)中的主機收到DoS攻擊時，對網(wǎng)絡(luò)中的度量指標進行采集，從而獲得網(wǎng)絡(luò)在收到攻擊情況下的指標數(shù)據(jù)，其中在環(huán)境安全維度本文采用perfmon對CPU、內(nèi)存等指標進行監(jiān)控，使用netstat命令獲取網(wǎng)絡(luò)中的開放端口信息；在可靠性維度采用Pajek計算節(jié)點間的最短路徑與連通分支，ATKKPING用于獲取傳輸時延與網(wǎng)絡(luò)丟包率；在漏洞安全維度使用Nessus對網(wǎng)絡(luò)進行漏洞掃描，得到漏洞的數(shù)量與等級.實驗所用到的網(wǎng)絡(luò)拓撲圖如圖5所示.

圖5 網(wǎng)絡(luò)1拓撲結(jié)構(gòu)

實驗共需要4種環(huán)境，如圖5～8所示，包括3種正常安全狀態(tài)下的網(wǎng)絡(luò)環(huán)境和一種受到攻擊的非安全狀態(tài)下的網(wǎng)絡(luò)環(huán)境.其中，網(wǎng)絡(luò)1、網(wǎng)絡(luò)2、網(wǎng)絡(luò)3為正常安全狀態(tài)下的網(wǎng)絡(luò)，網(wǎng)絡(luò)4為非安全狀態(tài)下的被度量網(wǎng)絡(luò)，本文將選取網(wǎng)絡(luò)1、網(wǎng)絡(luò)2、網(wǎng)絡(luò)3來作為TOPSIS評估參照對象，來與被度量網(wǎng)絡(luò)進行排序評估，從而得到網(wǎng)絡(luò)安全的度量結(jié)果.實驗中網(wǎng)絡(luò)4為真實環(huán)境，共需3臺攻擊機(執(zhí)行DoS攻擊)，3臺交換機，5臺服務器(分別提供FTP服務、DNS服務、SQL服務、HTTP服務)，以及1臺靶機.實驗共進行2次，第一次實驗為網(wǎng)絡(luò)中僅有1臺攻擊機在實驗開始后5 min時對靶機進行DoS攻擊，第二次實驗為網(wǎng)絡(luò)中有3臺攻擊機在實驗開始后5 min、15 min、30 min依次增加對靶機的攻擊.實驗共進行65 min，數(shù)據(jù)采集周期為1 min.

圖6 網(wǎng)絡(luò)2拓撲結(jié)構(gòu)

本文的實驗方案主要是通過使用XOIC工具對網(wǎng)絡(luò)進行DoS攻擊，獲取網(wǎng)絡(luò)在被攻擊的過程中在環(huán)境安全、可靠性安全和漏洞安全上的指標值，將得到的指標進行TOPSIS 綜合評估，并與表1中的基于綜合加權(quán)的層次話網(wǎng)絡(luò)安全態(tài)勢評估方法[11]、基于AHP的網(wǎng)絡(luò)安全態(tài)勢評估與量化方法(NSSA)[13]進行對比，得到實驗結(jié)果.

圖7 網(wǎng)絡(luò)3拓撲結(jié)構(gòu)

圖8 網(wǎng)絡(luò)4拓撲結(jié)構(gòu)

3.2 各維度權(quán)重分配

根據(jù)表1中的網(wǎng)絡(luò)安全對量指標，由專家綜合評定各個指標的重要程度，得出維度層的專家打分表如表3所示.

對打分表進行歸一化處理，并進行一致性檢驗，最后得到維度層的度量指標的權(quán)重如下.

環(huán)境安全為0.155，可靠性安全為0.623，漏洞安全為0.222.

3.3 實驗結(jié)果分析

根據(jù)表4可知，在4個網(wǎng)絡(luò)中網(wǎng)絡(luò)度量值最高的為網(wǎng)絡(luò)3，最低的為被度量網(wǎng)絡(luò).且被度量網(wǎng)絡(luò)的評估值遠小于3個正常網(wǎng)絡(luò)的與最優(yōu)網(wǎng)絡(luò)接近程度的平均值0.538，根據(jù)平均值計算被度量網(wǎng)絡(luò)的評估值(Z=0.063<1)，且與平均值相差較遠，說明網(wǎng)絡(luò)處于一個比較差的安全狀態(tài)，符合網(wǎng)絡(luò)受到DoS攻擊的不安全的網(wǎng)絡(luò)狀態(tài).

表4 4種網(wǎng)絡(luò)的加權(quán)距離與接近程度

根據(jù)本文提出的模型，將實驗結(jié)果分別在環(huán)境安全、可靠性安全和漏洞安全3個維度進行了對比分析，如圖9所示.將實驗中選取的受到DoS攻擊的被度量網(wǎng)絡(luò)與正常狀態(tài)下的網(wǎng)絡(luò)1、網(wǎng)絡(luò)2和網(wǎng)絡(luò)3進行了對比分析，從圖中可以看出，在3個正常狀態(tài)下的網(wǎng)絡(luò)中，模擬網(wǎng)絡(luò)網(wǎng)絡(luò)3在3個維度的評估值較高，是安全狀態(tài)最佳的網(wǎng)絡(luò).被度量網(wǎng)絡(luò)是安全狀態(tài)最差的網(wǎng)絡(luò)，被度量網(wǎng)絡(luò)在可靠性安全上與其他3個網(wǎng)絡(luò)差距較大，在環(huán)境安全上的度量指標值也偏低，在漏洞安全度量上與其他網(wǎng)絡(luò)無較大差異，該結(jié)果可以為網(wǎng)絡(luò)管理和維護人員提供一定的參考價值，提醒其注意被度量網(wǎng)絡(luò)的可靠性安全和環(huán)境安全，從元度量指標上對這兩個維度的網(wǎng)絡(luò)安全進行維護，提高網(wǎng)絡(luò)的整體安全性.

圖9 4種網(wǎng)絡(luò)在3個維度下的指標對比

第一次實驗各方法的結(jié)果對比如圖10所示，其中X軸為時間(單位:min)，Y軸為安全指數(shù)(范圍:0～1，0為當前網(wǎng)絡(luò)安全值低，1為當前網(wǎng)絡(luò)安全值高).靶機在實驗開始后5 min時受到了一次DoS攻擊，從攻擊者的角度來看，隨著攻擊開始，網(wǎng)絡(luò)安全值應該呈現(xiàn)不斷下降的趨勢直到網(wǎng)絡(luò)狀態(tài)達到穩(wěn)定，各方法在實驗開始時網(wǎng)絡(luò)安全值、攻擊后網(wǎng)絡(luò)安全值、安全值下降時刻如表5所示.不難看出，3種方法在實驗過程中都有明顯的下降趨勢，說明各方法均檢測到網(wǎng)絡(luò)遭受了攻擊，但基于綜合加權(quán)的層次話網(wǎng)絡(luò)安全態(tài)勢評估方法響應時間較TOPSIS和基于AHP的網(wǎng)絡(luò)安全態(tài)勢評估與量化方法(NSSA)延遲1 min，因為在基于綜合加權(quán)的層次話網(wǎng)絡(luò)安全態(tài)勢評估方法中的指標與另兩種方法相比，在網(wǎng)絡(luò)狀態(tài)方面的指標耦合度大，所以導致該模型在網(wǎng)絡(luò)狀態(tài)出現(xiàn)問題時無法較快地反應.因此，在網(wǎng)絡(luò)遭受一臺攻擊機的攻擊時，本文方法與基于AHP的網(wǎng)絡(luò)安全態(tài)勢評估與量化方法(NSSA)計算的網(wǎng)絡(luò)安全值能夠較好地體現(xiàn)第一次實驗中網(wǎng)絡(luò)的安全狀態(tài).

圖10 3種方法在第一次實驗中的評價結(jié)果

表5 第一次實驗各指標項

圖11為第2次實驗中各方法的對比，表6為第2次實驗的各項參數(shù).當網(wǎng)絡(luò)遭受第一臺攻擊機的攻擊時，3種方法在反應時間上相同.在第2臺攻擊機加入攻擊時，基于綜合加權(quán)的層次話網(wǎng)絡(luò)安全態(tài)勢評估方法開始與另兩種方法在時間上有所延后.而當?shù)?臺攻擊機加入攻擊時，基于AHP的網(wǎng)絡(luò)安全態(tài)勢評估與量化方法(NSSA)相較于TOPSIS在響應時間上開始有所延后，因為TOPSIS方法在維度劃分時考慮到了遭到攻擊時網(wǎng)絡(luò)拓撲結(jié)構(gòu)對網(wǎng)絡(luò)安全性的影響，并且TOPSIS評估方法較好地消除了專家系統(tǒng)的主觀性，使得該方法能夠更加真實地反應當前網(wǎng)絡(luò)狀態(tài)，所以在評估的精確度方面表現(xiàn)更好.因此，通過兩次實驗說明本文方法相較于基于AHP的網(wǎng)絡(luò)安全態(tài)勢評估與量化方法(NSSA)與基于綜合加權(quán)的層次話網(wǎng)絡(luò)安全態(tài)勢評估方法，在響應時間與精確度方面均有優(yōu)勢.

圖11 3種方法在第2次實驗中的評價結(jié)果

表6 第二次實驗各指標項

4 結(jié) 論

本文從網(wǎng)絡(luò)中設(shè)備健康情況、網(wǎng)絡(luò)在受到攻擊后的生存能力、網(wǎng)絡(luò)本身存在的漏洞3個方面較為全面地對網(wǎng)絡(luò)安全進行了評估，共包括8種中間層度量指標、18種元度量指標，以等保條例為基礎(chǔ)，從環(huán)境安全、可靠性安全、漏洞安全3個維度解決了網(wǎng)絡(luò)安全的維度選取范圍小的問題；在指標量化方面，本文結(jié)合了部分已有的有效的指標量化方法，在沒有具體量化方法的指標上，本文提出了相應的量化方法并驗證其有效性，解決了指標量化困難的問題.

本文選取了受到DoS攻擊的網(wǎng)絡(luò)作為實驗對象，先對4種不同環(huán)境下的網(wǎng)絡(luò)進行狀態(tài)評估，結(jié)果表明TOPSIS方法能夠準確評估受攻擊網(wǎng)絡(luò)，并且通過所劃分維度的評估值的差異可為安全人員在網(wǎng)絡(luò)發(fā)生異常情況時提供一定的參考意見，從而證明了本文提出的模型的有效性.其后，本文將基于TOPSIS的多維網(wǎng)絡(luò)安全度量模型與基于AHP的網(wǎng)絡(luò)安全態(tài)勢評估與量化方法(NSSA)、基于綜合加權(quán)的層次話網(wǎng)絡(luò)安全態(tài)勢評估方法在環(huán)境安全、可靠性安全和漏洞安全3個維度上以及整體網(wǎng)絡(luò)層面上分別進行了對比分析，在對網(wǎng)絡(luò)攻擊檢測實時性方面由于維度劃分更加清晰、全面，且做到各維度下的指標互不關(guān)聯(lián)，所以優(yōu)于基于綜合加權(quán)的層次話網(wǎng)絡(luò)安全態(tài)勢評估方法；并且由于度量的粒度較兩種方法更細，并且結(jié)合TOPSIS方法對有限個評價對象與理想化目標的接近程度進行排序，從一定程度上消除了對專家系統(tǒng)的依賴性，因此更容易在攻擊早期發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，度量精度較兩種方法效果更加優(yōu)秀，從而證實了本文所提出的模型的實用價值與優(yōu)勢.

本研究的主要局限性及今后的研究方向如下.(1)由于網(wǎng)絡(luò)安全度量的選擇和權(quán)重的分配沒有權(quán)威的參考體系，導致綜合評價具有較強的主觀性.(2)在可靠性方面，本文結(jié)合復雜網(wǎng)絡(luò)的相關(guān)理論知識，對大規(guī)模網(wǎng)絡(luò)進行測量，會產(chǎn)生大量的計算問題.