CN101714929B - 网络可用性指数定量计算方法及系统 - Google Patents

Abstract

本发明提供一种网络可用性指数定量计算方法，包括：在待监测网络中选择一定数量的路由器节点作为数据的采集点，并设置用于采集数据的基期和报告期；在基期内，在各个数据采集点上做基于流的数据采集，得到包含有包数、字节数在内的流记录；根据各个数据采集点上获取的流记录进行字节数、包数和流数的累加统计，在达到指定的统计持续时间后，根据统计结果计算带宽空闲率指标、服务空闲率指标和网络节点数指标，存储所得到的上述指标；在报告期内，重复上述步骤的操作，得到报告期内待监测网络的带宽空闲率指标、服务空闲率指标和网络节点数指标；由报告期内和基期内的前述指标，得到用于表示网络可用性的网络可用性指数。

Description

网络可用性指数定量计算方法及系统

技术领域

本发明涉及网络安全领域，特别涉及网络可用性指数定量计算方法及系统。

背景技术

随着信息化技术和互联网技术的快速发展，针对网络信息系统的恶意攻击变得越来越多样化和复杂化，这些安全事件极大地威胁了我国的国家安全和人民生活，也给广大企业造成了严重的损失，网络安全形势日趋严峻，由此，网络安全态势监测、评估和趋势预测等技术逐渐成为人们研究的热点。而网络安全指数及指数体系作为上述技术的研究基础和技术手段具有重要的理论意义和实际价值，尤其是用于反映宏观网络安全态势的指数体系研究。

从所反映的网络安全特性角度看，网络安全指数可分为可用性指数、异常性指数、有效性指数等，其中的可用性指数是指用于反映网络数据通信和共享信息的可用程度的一类指数。由此可见，可用性指数对测度和反映网络可用性具有重要意义，本申请仅就网络可用性指数展开讨论。

近几年，本领域技术人员在网络可用性相关领域已经做了大量的研究工作，其中具有一定代表性的研究工作包括：参考文献1[陆德波，骆成，陈奇武，周国华.一种新的网络系统可用性度量方法.计算机与数字工程.2008(7)：50-52]中提出了一种面向用户的服务可用性的度量方法，根据网络系统提供的每个服务对每个用户的可用性，加权计算整个网络系统的可用性；参考文献2[林蓉平，王晟，李乐民.一种基于运行性能的网络可用性算法.电子与信息学报.2006，28(11)：2140-2143]中提出了一种WDM(Wavelength-Division Multiplexing)网络可用性的计算方法；参考文献3[Vbgt M，Martens R，Andvaag T.Availability modeling of services in IPnetworks.In Proceedings of the Fourth International Workshop on Design ofReliable Communication Networks(DRCN 2003).Banff，Canada.2003：167-172]从服务运行时间的角度评估了网络服务的可用性；参考文献4[陈秀真，郑庆华，管晓宏，等.层次化网络安全威胁态势量化评估方法.软件学报，2006，17(4)：885-897；王慧莹，周宁，陈秀真，李建华]和参考文献5[网络态势分析中服务可用性评估方法.计算机工程与应用.2008，44(14)：130-133]提出了一种基于节点和系统两个层次的态势评估方法，并基于此方法提出了一种针对网络服务可用性的监测评估方法，通过对网络中关键节点服务可用性的评判以及长期的记录，从而为用户提供服务可用性态势分析。

总的来看，以上述参考文献为代表的现有工作主要针对局域网等中小型网络环境，更侧重于网络服务可用性以及从微观层面来研究网络可用性，其中涉及的用户、服务、网络拓扑、路由、负载、业务、故障率等等关键因素在实际应用中很难获取，常常会引入一定主观性因素来计算，如假设用户数、网络拓扑结构等，主观性因素的引入容易对网络可用性指数的客观性造成影响。此外，中小型网络环境与大规模复杂网络在网络可用性度量上也存在较大的差异，因此现有方法应用于大规模复杂网络的效果不佳。

发明内容

本发明的目的是克服现有方法应用于大规模复杂网络的效果不佳的缺陷，从而提供一种适合于大规模复杂网络的网络可用性指数定量计算方法及系统。

为了实现上述目的，本发明提供了一种网络可用性指数定量计算方法，包括：

步骤1)、在待监测网络中选择一定数量的路由器节点作为数据的采集点，并设置用于采集数据的基期和报告期；

步骤2)、在所述的基期内，在各个数据采集点上做基于流的数据采集，得到包含有包数、字节数在内的流记录；

步骤3)、根据各个数据采集点上获取的流记录进行字节数、包数和流数的累加统计，在达到指定的统计持续时间后，根据统计结果计算带宽空闲率指标、服务空闲率指标和网络节点数指标，存储所得到的上述指标；

步骤4)、在所述的报告期内，重复上述步骤2)、步骤3)的操作，得到报告期内待监测网络的带宽空闲率指标、服务空闲率指标和网络节点数指标；

步骤5)、由报告期内带宽空闲率指标与网络节点数指标间的比值除以基期内带宽空闲率指标与网络节点数指标间的比值得到服务可用性指数，由报告期内服务空闲率指标与网络节点数指标间的比值除以基期内服务空闲率指标与网络节点数指标间的比值得到链路可用性指数，取所述服务可用性指数和链路可用性指数中的较小值，得到用于表示网络可用性的网络可用性指数。

上述技术方案中，所述的步骤3)包括：

步骤3-1)、由字节数、包数和流数的统计结果与时间的比值分别计算得到网络流量指标、包速率指标和流速率指标；

步骤3-2)、由网络流量指标、网络链路带宽指标、包速率指标以及网络链路最大包速率指标计算带宽空闲率指标，由流速率指标计算服务空闲率指标。

上述技术方案中，在所述的步骤3-2)中，采用如下公式计算带宽空闲率指标：

${\mathrm{BI}}_t\left(\mathrm{net}\right)={\mathrm{\Σ}}_{i\∈\mathrm{subnet}\⊆\mathrm{net}}{\mathrm{BI}}_t\left(i\right)$

${\mathrm{\Σ}}_{i\∈\mathrm{subnet}\⊆\mathrm{net}}\min \{1-\frac{T_t\left(i\right)}{{\mathrm{TM}}_t\left(i\right)},1-\frac{P_t\left(i\right)}{{\mathrm{PM}}_t\left(i\right)}\}$

其中，net表示待监测网络，subnet表示数据采集点的集合，i表示所选取的网络节点；min表示取最小值函数；T_t(i)表示t时期节点i的网络流量指标，TM_t(i)表示t时期节点i的网络链路带宽指标；P_t(i)表示t时期节点i的网络包速率指标，PM_t(i)表示t时期节点i的网络链路最大包速率指标；t＝r∨b，r表示报告期，b表示基期，∨表示或关系。

上述技术方案中，在所述的步骤3-2)中，采用如下公式计算服务空闲率指标：

${\mathrm{SI}}_t\left(\mathrm{net}\right)={\mathrm{\Σ}}_{i\∈\mathrm{subnet}\⊆\mathrm{net}}{\mathrm{SI}}_t\left(i\right)$

$={\mathrm{\Σ}}_{i\∈\mathrm{subnet}\⊆\mathrm{net}}\frac{1}{L_t\left(i\right)}$

其中，L_t(i)表示t时期节点i的网络流速率指标。

上述技术方案中，在所述的步骤5)中，所述的服务可用性指数的计算公式为：

$\mathrm{SAI}\left(\mathrm{net}\right)=\frac{{\mathrm{SI}}_r\left(\mathrm{net}\right)}{N_r\left(\mathrm{net}\right)}/\frac{{\mathrm{SI}}_b\left(\mathrm{net}\right)}{N_b\left(\mathrm{net}\right)}$

其中，SI_r(net)表示报告期内带宽空闲率指标，N_r(net)表示报告期内网络节点数指标，SI_b(net)表示基期内带宽空闲率指标，N_b(net)表示基期内网络节点数指标。

上述技术方案中，在所述的步骤5)中，所述的链路可用性指数的计算公式为：

$\mathrm{LAI}\left(\mathrm{net}\right)=\frac{{\mathrm{BI}}_r\left(\mathrm{net}\right)}{N_r\left(\mathrm{net}\right)}/\frac{{\mathrm{BI}}_b\left(\mathrm{net}\right)}{N_b\left(\mathrm{net}\right)}$

其中，BI_r(net)表示报告期内服务空闲率指标，N_r(net)表示报告期内网络节点数指标，BI_b(net)表示基期内服务空闲率指标，N_b(net)表示基期内网络节点数指标。

本发明提供了一种网络可用性指数定量计算系统，包括初始化模块、数据采集模块、指标统计计算模块、网络可用性指数计算模块；其中，

所述的初始化模块用于在待监测网络中选择一定数量的路由器节点作为数据的采集点，并设置用于采集数据的基期和报告期；

所述的数据采集模块用于在所述的基期和报告期内，在各个数据采集点上做基于流的数据采集，得到包含有包数、字节数在内的流记录；

所述的指标统计计算模块用于根据各个数据采集点上获取的流记录进行字节数、包数和流数的累加统计，在达到指定的统计持续时间后，根据统计结果计算带宽空闲率指标、服务空闲率指标和网络节点数指标；

所述的网络可用性指数计算模块用于在得到报告期内的带宽空闲率指标、服务空闲率指标和网络节点数指标后，由报告期内带宽空闲率指标与网络节点数指标间的比值除以基期内带宽空闲率指标与网络节点数指标间的比值得到服务可用性指数，由报告期内服务空闲率指标与网络节点数指标间的比值除以基期内服务空闲率指标与网络节点数指标间的比值得到链路可用性指数，取所述服务可用性指数和链路可用性指数中的较小值，得到用于表示网络可用性的网络可用性指数。

本发明的优点在于：

1、本发明通过计算网络可用性指数能够有效反映、度量和评价大规模复杂网络可用性的宏观态势及其随时间的演化和发展趋势。

2、本发明在定量计算网络可用性指数时，基于流技术实现数据的采集，减小了数据的采集量，提高了整个方法的实时性。

附图说明

图1为基期内3个路由器的网络流量示意图；

图2为报告期内计算得到的网络链路可用性指数、服务可用性指数的示意图；

图3为DDoS攻击发生时段网络链路可用性指数、服务可用性指数的示意图；

图4为Crowd访问发生时段网络链路可用性指数、服务可用性指数的示意图；

图5为本发明的网络可用性指数计算方法的流程图。

具体实施方式

下面结合附图和具体实施方式对本发明加以说明。

为了便于理解本申请，下面首先就本申请中所涉及到的几个概念加以说明。

定义1网络运行安全指标(Network Operation Security Indicator)是指能够反映网络信息系统运行安全态势的网络数据特征的概念和数量，本申请中可简称为安全指标或指标。网络运行安全指标用于反映和度量网络信息系统在运行过程中的安全状态及其趋势。例如，流量指标主要从网络流量这一数据特征上反映网络安全态势，IP分布指标主要从IP地址分布规律这一数据特征上反映网络安全态势。

定义2网络运行安全指数(Network Operation Security Index)是指能够反映网络信息系统运行安全态势的网络数据特征变化程度的相对数，本申请中可简称为安全指数或指数。网络运行安全指数用于反映和度量网络信息系统在运行过程中安全态势的变化量。以流量特征为例，流量指数主要从网络流量的变化程度上来反映网络安全态势的变化。

从安全指数与安全指标的上述概念可以知道，安全指数是安全指标在数量上的变化程度的一种相对数，可作为一种测度方法对不同质的现象数据在量上的变化进行综合计算和度量，因此，安全指数可用于反映不能直接相加的复杂数据特征现象的综合变化程度。

定义3基期(Base Period)和报告期(Reporting Period)。一个安全指数通常可由其对应指标在一个基准时期的指标数量和当前考察时期的指标数量计算而得，其中，将所选定的基准时期称为基期，将当前考察时期称为报告期。一般地，可选取网络相对稳定和安全的时期作为基期。

定义4网络可用性指数(Network Availability Index，NAI)是指用于反映网络数据通信和共享信息的可用程度的一类指数，主要包括网络链路可用性指数和网络服务可用性指数。本申请中，网络可用性指数主要用于定量反映目标网络链路和网络服务可用性的变化程度。

参考图5，在对诸如互联网的待监测网络的可用性指数进行计算的过程中，首先需要在待监测网络中选择一定数量的路由器节点作为数据的采集点。所有数据采集点形成的集合记为subnet。由于安全指数的计算涉及到基期与报告期，因此还要设置基期与报告期的具体时间，例如，用b表示基期，用r表示报告期，基期b可设置为某一天的每个小时，报告期r为后续每一天的每个相对应的小时。由于对所监测网络的网络可用性指数的计算需要多次重复，因此还要在各个计算过程间设置间隔时间s，如s为60分钟。

在上述准备完成后，就可以开始实现对数据相关信息的采集。为了减少网络中数据的采集量，方便后续对可用性指数的实时计算，在一个优选实施例中，数据采集的实现并没有采用基于原始报文的数据采集方法，而是采用基于流的数据采集方法(基于流的数据采集方法也被称为流技术)。当前具有代表性的流技术主要包括：InMon、HP和Foundry Networks等公司的sFlow，Cisco公司的NetFlow，Juniper公司的J-Flow，华为公司的NetStream等。本申请可采用上述现有技术中的任何一种。但无论是上述何种流技术，其处理过程都大致相同，包括：首先对流经路由器等网络设备的网络数据按预定策略进行采样；然后对采样获取到的IP数据报文按各自不同的流记录对象进行相应的数据统计，并形成各自不同格式的流记录；最后，路由器等网络设备将生成的流记录发送给相关流处理设备进行后续的记录和分析。基于流的数据采集技术所采集的流数据的相关信息(也被称为流记录)包括源/目的IP地址、源/目的端口、协议类型、流开始/结束时间、包数、字节数等。与基于原始报文的数据采集方法需要处理采集点上通过的所有数据相比，基于流的数据采集方法只需要对采集点上通过的数据做采样即可，明显减小了数据采集量。需要说明的是，无论是基期还是报告期，数据相关信息的采集过程相同。

在得到与流数据有关的信息后，就可以利用这些信息实现对带宽空闲率、服务空闲率、网络节点数等相关指标的统计和计算。在统计过程中，需要分别对各个采集点上获取的流记录进行字节数、包数和流数的累加统计，如果统计时间已经达到前面所设定的计算时间间隔s，那么开始后续的指标计算过程，否则继续进行数据信息采集、统计的工作。在指标计算过程中，由流记录中的字节数、包数和流数可计算网络流量指标、包速率指标和流速率指标，然后由上述指标可进一步计算带宽空闲率指标、服务空闲率指标和网络节点数指标。其中，

所述带宽空闲率指标(Bandwidth Idleness Indicator，BI)的计算方法如下面的公式(1)所示：

${\mathrm{BI}}_t\left(\mathrm{net}\right)={\mathrm{\Σ}}_{i\∈\mathrm{subnet}\⊆\mathrm{net}}{\mathrm{BI}}_t\left(i\right)$

${\mathrm{\Σ}}_{i\∈\mathrm{subnet}\⊆\mathrm{net}}\min \{1-\frac{T_t\left(i\right)}{{\mathrm{TM}}_t\left(i\right)},1-\frac{P_t\left(i\right)}{{\mathrm{PM}}_t\left(i\right)}\}$

其中，net表示网络对象，即由路由器组成的网络节点集合，subnet为网络对象net的子集，表示在指数计算中所选取的网络节点(即流数据采集点)的集合，i表示所选取的网络节点；min表示取最小值函数；T_t(i)表示t时期节点i的网络流量指标，单位为bps(bits per second)，TM_t(i)表示t时期节点i的网络链路带宽指标，如2.5Gbps；P_t(i)表示t时期节点i的网络包速率指标，单位为pps(packets per second)，PM_t(i)表示t时期节点i的网络链路最大包速率指标，如5Mpps；t＝r∨b，r表示报告期，b表示基期，∨表示或关系。根据前文所述s时间内各个路由器节点的流记录字节数和包数累加和的统计结果可计算T_t(i)和P_t(i)。

所述服务空闲率指标(Service Idleness Indicator，SI)的计算方法如公式(2)所示：

${\mathrm{SI}}_t\left(\mathrm{net}\right)={\mathrm{\Σ}}_{i\∈\mathrm{subnet}\⊆\mathrm{net}}{\mathrm{SI}}_t\left(i\right)$

$={\mathrm{\Σ}}_{i\∈\mathrm{subnet}\⊆\mathrm{net}}\frac{1}{L_t\left(i\right)}$

其中，L_t(i)表示t时期节点i的网络流速率指标，单位为lps(links persecond)，根据前文所述s时间内各个路由器节点的流记录、流数累加和的统计结果易计算出L_t(i)。

计算网络服务可用性的传统方法往往依赖于网络终端服务能力的获取和量化，而针对互联网等大规模、非合作网络环境，传统方法很难操作和应用，因此，本申请考虑从网络数据的角度来定量计算网络服务可用性。众所周知，网络的存在意义在于网络服务及信息的共享，而这些服务信息往往以流传输的方式来实现共享，流的数量越多表明共享的服务量越大，因此，流的数量可以有力地反映网络的服务量，而网络服务量又与网络服务空闲率成反比关系，因此，在上述公式中通过单位时间内的流数来定量计算服务空闲率指标。

所述网络节点数指标的计算方法如下面的公式(3)所示：

上述公式表示用采集点的个数来代表或计算网络对象的节点个数。公式中的各个符号已经在前文中做了说明。

在得到上述的带宽空闲率指标、服务空闲率指标和网络节点数指标后，考察这些指标是在基期时间内得到的还是在报告期时间内得到的，如果是在基期时间内得到的，则存储上述指标，如果是在报告期内得到的，则需要利用所得到的上述指标进一步计算网络可用性指数。

所述网络可用性指数的计算方法如下面的公式(4)所示：

NAI(net)＝min{LAI(net)，SAI(net)}                              (4)

其中，LAI(net)表示网络链路可用性指数，SAI(net)表示网络服务可用性指数。

链路可用性指数(Link Availability Index，LAI)是指用于反映网络数据通信可用程度的一类指数。由于网络总体的带宽空闲率是度量网络链路可用性的核心因素和主成分因素，因此，本申请中考虑用网络总体带宽空闲率指标来计算链路可用性指数LAI。然而，网络总体带宽空闲率指标的变化又取决于网络规模和网络节点个体带宽空闲率两个因素，而不同时期网络规模的变化并不能反映网络数据本质特征的变化，所以应在相同网络规模的条件下来考察个体带宽空闲率的变化，因此本申请中用网络对象报告期与基期的平均个体带宽空闲率指标的相对数来计算链路可用性指数，其计算公式如下面的公式(5)所示：

$\mathrm{LAI}\left(\mathrm{net}\right)=\frac{{\mathrm{BI}}_r\left(\mathrm{net}\right)}{N_r\left(\mathrm{net}\right)}/\frac{{\mathrm{BI}}_b\left(\mathrm{net}\right)}{N_b\left(\mathrm{net}\right)}---\left(5\right)$

服务可用性指数(Service Availability Index，SAI)是指用于反映网络共享信息的可用程度的一类指数。

与链路可用性指数计算同理，本申请中用网络对象报告期与基期的平均个体服务空闲率指标的相对数来计算服务可用性指数，其计算公式如下面的公式(6)所示：

$\mathrm{SAI}\left(\mathrm{net}\right)=\frac{{\mathrm{SI}}_r\left(\mathrm{net}\right)}{N_r\left(\mathrm{net}\right)}/\frac{{\mathrm{SI}}_b\left(\mathrm{net}\right)}{N_b\left(\mathrm{net}\right)}---\left(6\right)$

利用上述链路可用性指数和服务可用性指数的计算结果，根据公式(4)可以很容易地得到整个互联网的网络可用性指数。

通过对网络可用性指数的定义及其定量计算方法的分析，可以看出：

1)、如果选取网络正常行为的一个具有代表性的时期作为基期，那么指数的大小可以反映出网络可用性的变化程度，即能够刻画出网络在可用性上的安全态势；

2)、以基期的网络行为作为统一的评价标准，可用性指数能够度量和评价不同安全事件对网络可用性的安全影响；

3)、可用性指数能够从宏观上反映网络的可用性随时间的演化和发展趋势。

本发明还提供了一个网络可用性指数计算系统，包括初始化模块、数据采集模块、指标统计计算模块、网络可用性指数计算模块；其中，

所述的初始化模块用于在待监测网络中选择一定数量的路由器节点作为数据的采集点，并设置用于采集数据的基期和报告期；

所述的数据采集模块用于在所述的基期和报告期内，在各个数据采集点上做基于流的数据采集，得到包含有包数、字节数在内的流记录；

所述的指标统计计算模块用于根据各个数据采集点上获取的流记录进行字节数、包数和流数的累加统计，在达到指定的统计持续时间后，根据统计结果计算网络流量指标、包速率指标和流速率指标，并由上述指标计算带宽空闲率指标、服务空闲率指标和网络节点数指标；

所述的网络可用性指数计算模块用于存储基期内得到的带宽空闲率指标、服务空闲率指标和网络节点数指标；在得到报告期内的带宽空闲率指标、服务空闲率指标和网络节点数指标后，由报告期内带宽空闲率指标与网络节点数指标间的比值以及基期内带宽空闲率指标与网络节点数指标间的比值得到服务可用性指数，由报告期内服务空闲率指标与网络节点数指标间的比值以及基期内服务空闲率指标与网络节点数指标间的比值得到链路可用性指数，取所述服务可用性指数和链路可用性指数中的较小值，得到用于表示网络可用性的网络可用性指数。

为了进一步验证本申请的网络可用性定量计算方法和系统所得到的可用性指数的有效性和优势，本申请中设计了三个应用真实流数据的实验，为突出指数的态势展现能力，所述实验将以链路可用性指数和服务可用性指数的形式进行展示。三个实验的目的分别为：

实验1、在正常行为情况下，揭示网络流量、链路可用性指数、服务可用性指数之间的关系，验证指数对网络链路、服务可用性态势的度量能力，以及对态势演化和趋势发展的展示能力；

实验2、在规模型攻击情况下，揭示规模型攻击事件对网络可用性产生的影响，验证指数对安全事件产生的可用性影响的度量和反映能力；

实验3、在突发群体性访问情况下，揭示规模型攻击事件和突发群体性访问事件对网络可用性的不同影响，验证指数对不同安全事件产生的可用性影响的度量和评价能力。

实验环境如下：采用曙光服务器，4个CPU(Dual-Core AMD Opteron，2211MHz，64bit)，2GB内存，CentOS Linux 5.264位操作系统。

实验数据：不失一般性，本实验采用NetFlow流数据，选取某运营商安徽省3个出口路由器节点上2009-5-15至2009-5-21一周的NetFlow流数据。

参数设置：令2009-5-15的每一小时为基期b，2009-5-17的相应时间段为报告期r。为使实验更具说服力，三个实验均选取b为基期，实验2和实验3以2009-5-17的网络流数据为背景流量。此外，N_t(net)＝3，TM_t(i)＝2.5Gbps，PM_t(i)＝5Mpps(t＝r∨b)。

实验1正常行为情况下网络链路、服务可用性指数的计算

实验结果如图1和图2所示，图1给出了15日(基期)3个路由器的网络流量，其中三条曲线分别表示3个路由器节点的网络流量，图2给出了17日(报告期)网络链路、服务可用性指数，其中方点线和圆点线分别表示链路和服务可用性指数(下同)。

从图1可以看出：一天当中5时至7时的网络流量最小，15时和21时网络流量最大，3个路由器的网络流量曲线波形相似。

从图2可以看出：a)、报告期内网络链路可用性指数始终保持在1.0左右，表明网络链路可用性较基期几乎没有变化，态势平缓，同时也进一步揭示了网络流量呈现出以日为单位周期的高度自相似性；b)、网络服务可用性指数在0.8～1.2，表明网络服务可用性较基期有小幅变化，且变差的情况更多一些(小于1的曲线与1围成的面积大于高于1的情况)，同时揭示了同基期同报告期内，相同网络对象的服务可用性指数与链路可用性指数不一定相同。

实验2DDoS攻击情况下网络链路、服务可用性指数的计算

为了与实验1进行对比，本实验以17日(报告期)的流数据为背景流量，在此流量中融入构造的随机伪造源地址的UDP DDoS(DistributedDenial of Service)攻击流量，并将融合后的流数据作为报告期的流数据。需要指明的是，上述攻击的构造方法符合安全实践中获知的典型DDoS攻击原理，具体方法如下：在插入时段内每遇到1条UDP流则添加1条攻击流，其中攻击流的源IP地址随机产生，目的IP地址为此期间出现过的若干真实目的IP地址，字节数为1500与该UDP流的包数的乘积，其它信息与背景流数据一致。不失一般性，本实验选取了17日的8时、10时、13时三个小时段作为插入时段，分别针对2个、1个和3个目的IP。

17日DDoS攻击下网络链路、服务可用性指数计算的实验结果如图3所示。

通过图2和图3的对比可以看出：DDoS攻击发生时段网络链路、服务可用性指数较网络正常行为情况均明显下降，表明指数能够及时和有效地反映DDoS攻击事件对网络可用性的影响，且可通过指数的大小来度量其影响的程度。

实验3Crowd访问情况下网络链路、服务可用性指数的计算

为与实验1和实验2进行对比，本实验仍以17日(报告期)的流数据为背景流量，在此流量中融入构造的Crowd访问流量。其中Crowd访问流量的构造方法同样符合其基本原理，具体方法如下：在插入时段内每5条流添加10条访问流，其中访问流的源IP地址为该环境下出现过的真实IP地址，目的IP地址为此期间出现过的若干真实目的IP地址，包数为1，字节数为120，其它信息与背景流数据一致。不失一般性，本实验选取了17日的7时、9时、11时三个小时段作为插入时段，分别针对2个、1个和3个目的IP。

17日Crowd访问下网络链路、服务可用性指数计算的实验结果如图4所示。

通过图3和图4的对比可以看出：Crowd访问发生时段网络链路可用性指数变化很小，而服务可用性指数显著下降，表明Crowd访问事件对服务可用性影响较大，而DDoS攻击事件对网络链路和服务可用性均有影响，但对服务可用性的影响明显小于Crowd访问事件，由此可见，指数具备对Crow-d访问事件的反映能力，且通过指数的对比和计算能够评价和度量不同安全事件对网络可用性的不同影响。

综上所述，本申请提出的网络可用性定量计算方法和系统所得到的网络可用性指数是可行有效的。

最后所应说明的是，以上实施例仅用以说明本发明的技术方案而非限制。尽管参照实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，对本发明的技术方案进行修改或者等同替换，都不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (7)

1.一种网络可用性指数定量计算方法，包括：

步骤1)、在待监测网络中选择一定数量的路由器节点作为数据的采集点，并设置用于采集数据的基期和报告期；

步骤2)、在所述的基期内，在各个数据采集点上做基于流的数据采集，得到包含有包数、字节数在内的流记录；

步骤3)、根据各个数据采集点上获取的流记录进行字节数、包数和流数的累加统计，在达到指定的统计持续时间后，根据统计结果计算带宽空闲率指标、服务空闲率指标和网络节点数指标，存储所得到的上述指标；

步骤4)、在所述的报告期内，重复上述步骤2)、步骤3)的操作，得到报告期内待监测网络的带宽空闲率指标、服务空闲率指标和网络节点数指标；

步骤5)、由报告期内带宽空闲率指标与报告期内网络节点数指标间的比值除以基期内带宽空闲率指标与基期内网络节点数指标间的比值得到服务可用性指数，由报告期内服务空闲率指标与报告期内网络节点数指标间的比值除以基期内服务空闲率指标与基期内网络节点数指标间的比值得到链路可用性指数，取所述服务可用性指数和链路可用性指数中的较小值，得到用于表示网络可用性的网络可用性指数。

2.根据权利要求1所述的网络可用性指数定量计算方法，其特征在于，所述的步骤3)包括：

步骤3-1)、由字节数、包数和流数的统计结果与时间的比值分别计算得到网络流量指标、包速率指标和流速率指标；

步骤3-2)、由网络流量指标、网络链路带宽指标、包速率指标以及网络链路最大包速率指标计算带宽空闲率指标，由流速率指标计算服务空闲率指标。

3.根据权利要求2所述的网络可用性指数定量计算方法，其特征在于，在所述的步骤3-2)中，采用如下公式计算带宽空闲率指标：

其中，net表示待监测网络，subnet表示数据采集点的集合，i表示所选取的网络节点；min表示取最小值函数；T_t(i)表示t时期节点i的网络流量指标，TM_t(i)表示t时期节点i的网络链路带宽指标；P_t(i)表示t时期节点i的网络包速率指标，PM_t(i)表示t时期节点i的网络链路最大包速率指标；t＝r∨b，r表示报告期，b表示基期，∨表示或关系。

4.根据权利要求2所述的网络可用性指数定量计算方法，其特征在于，在所述的步骤3-2)中，采用如下公式计算服务空闲率指标：

其中，L_t(i)表示t时期节点i的网络流速率指标。

5.根据权利要求1所述的网络可用性指数定量计算方法，其特征在于，在所述的步骤5)中，所述的服务可用性指数的计算公式为：

$\mathrm{SAI}\left(\mathrm{net}\right)=\frac{{\mathrm{SI}}_r\left(\mathrm{net}\right)}{N_r\left(\mathrm{net}\right)}/\frac{{\mathrm{SI}}_b\left(\mathrm{net}\right)}{N_b\left(\mathrm{net}\right)}$

其中，SI_r(net)表示报告期内带宽空闲率指标，N_r(net)表示报告期内网络节点数指标，SI_b(net)表示基期内带宽空闲率指标，N_b(net)表示基期内网络节点数指标。

6.根据权利要求1所述的网络可用性指数定量计算方法，其特征在于，在所述的步骤5)中，所述的链路可用性指数的计算公式为：

$\mathrm{LAI}\left(\mathrm{net}\right)=\frac{{\mathrm{BI}}_r\left(\mathrm{net}\right)}{N_r\left(\mathrm{net}\right)}/\frac{{\mathrm{BI}}_b\left(\mathrm{net}\right)}{N_b\left(\mathrm{net}\right)}$

其中，BI_r(net)表示报告期内服务空闲率指标，N_r(net)表示报告期内网络节点数指标，BI_b(net)表示基期内服务空闲率指标，N_b(net)表示基期内网络节点数指标。

7.一种网络可用性指数定量计算系统，其特征在于，包括初始化模块、数据采集模块、指标统计计算模块、网络可用性指数计算模块；其中，

所述的初始化模块用于在待监测网络中选择一定数量的路由器节点作为数据的采集点，并设置用于采集数据的基期和报告期；

所述的数据采集模块用于在所述的基期和报告期内，在各个数据采集点上做基于流的数据采集，得到包含有包数、字节数在内的流记录；

所述的指标统计计算模块用于根据各个数据采集点上获取的流记录进行字节数、包数和流数的累加统计，在达到指定的统计持续时间后，根据统计结果计算带宽空闲率指标、服务空闲率指标和网络节点数指标；

所述的网络可用性指数计算模块用于在得到报告期内的带宽空闲率指标、服务空闲率指标和网络节点数指标后，由报告期内带宽空闲率指标与报告期内网络节点数指标间的比值除以基期内带宽空闲率指标与基期内网络节点数指标间的比值得到服务可用性指数，由报告期内服务空闲率指标与报告期内网络节点数指标间的比值除以基期内服务空闲率指标与基期内网络节点数指标间的比值得到链路可用性指数，取所述服务可用性指数和链路可用性指数中的较小值，得到用于表示网络可用性的网络可用性指数。

Images