CN101783752B - 一种基于网络拓扑特征的网络安全量化评估方法 - Google Patents

Abstract

一种基于网络拓扑特征的网络安全量化评估方法，它涉及网络安全技术领域，它解决了现有的网络安全量化评估过程中忽略网络拓扑特征的问题。本发明的过程为：步骤一：选取用于评估网络安全事件损害程度的网络性能指标；步骤二：定义网络熵值H_i＝-log2V_i；步骤三：计算每一个网络性能指标的指标权重；步骤四：利用格兰姆-施密特正交化方法去除多个网络性能指标间的相关性，获得多个去相关网络性能指标；步骤五：获得安全事件损害程度ΔH和安全事件损害等级；步骤六：利用析因设计方法并结合安全事件损害程度ΔH，实现量化网络拓扑特征进行评估网络安全事件对网络性能的影响程度。本发明为指导网络安全宏观预警与响应提供了参考信息。

Description

一种基于网络拓扑特征的网络安全量化评估方法

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于网络拓扑特征的网络安全量化评估方法。 

背景技术

随着互联网事业的持续快速的发展，信息安全问题也日益突出，如何感知网络安全态势已成为网络应急响应的热点研究内容之一，现已成为当前各国政府、企业和科研机构普遍关心的重要问题。现有的网络安全量化评估过程往往忽略网络拓扑结构(如星型结构、总线结构、环型结构、树型结构、网状结构以及综合结构)、不同的路由协议(如RIP、OSPF)以及不同应用层应用形成的逻辑拓扑(如P2P)产生的重叠网对网络安全态势的影响。 

发明内容

为了解决现有的网络安全量化评估过程中忽略网络拓扑特征的问题，本发明提供了一种基于网络拓扑特征的网络安全量化评估方法。 

本发明的一种基于网络拓扑特征的网络安全量化评估方法，它的评估过程为： 

步骤一：选取用于评估网络安全事件损害程度的网络性能指标，所述网络性能指标包括路由器节点指标、链路指标和主机指标，所述路由器节点指标包括节点吞吐率、节点延迟和节点丢包率，所述链路指标包括链路吞吐率和带宽占用率，所述主机指标包括受损主机比率和受损主机增加速率； 

步骤二：定义网络熵值H_i＝-log₂V_i，其中，V_i表示第i个网络样本的归一化参数，i＝1，2，...，n，n为网络样本个数； 

步骤三：计算每一个网络性能指标的指标权重； 

步骤四：利用格兰姆-施密特正交化方法去除多个网络性能指标间的相关性，获得多个去相关网络性能指标； 

步骤五：根据当前网络的性能H和下一状态下的网络的性能H⁺计算安全事件损害程度 $\mathrm{\ΔH}=H^{+}-H=\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{W}_j\·I_j^{+}-\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{W}_j\·I_j,$ 并获得安全事件损害等级，其中，I_j ⁺表示下一状态下的去相关网络性能指标； 

步骤六：利用析因设计方法并结合安全事件损害程度ΔH，实现量化网络拓扑特征进行评估网络安全事件对网络性能的影响程度。 

本发明的有益效果为：本发明采用格兰姆-施密特正交化方法获得去相关网络性能指标，消除了网络性能指标间信息重叠的现象；本发明采用析因设计方法并结合安全事件损害程度ΔH，实现了量化网络拓扑特征来评估网络安全事件对网络性能损害的影响程度。 

附图说明

图1是本发明的一种基于网络拓扑特征的网络安全量化评估方法流程图，图2是具体实施五中实例中的蠕虫在具有不同拓扑结构中的安全事件损害程度评估示意图，图3是具体实施方式五中实例中的节点吞吐率示意图，图4是具体实施方式五中实例中的节点延迟示意图，图5是具体实施方式五中实例中的节点丢包率示意图，图6是具体实施方式五中实例中的节点吞吐率与节点丢包率在全时段的关系示意图，图7是具体实施方式五中实例中的节点吞吐率与节点延迟在第1、2阶段的关系示意图，图8是具体实施方式五中实例中的节点吞吐率与节点延迟在第3阶段的关系示意图，图9是具体实施方式五中实例中的节点延迟与节点丢包率在第4阶段的关系示意图，图10是具体实施方式五中实例中的节点吞吐率在相关性调整前后的损害值，其中，实线代表节点吞吐率在相关性调整前的损害值曲线，虚线代表节点吞吐率在相关性调整后的损害值曲线，图11是具体实施方式五中实例中的节点丢包率在相关性调整前后的损害值，其中，实线代表节点丢包率在相关性调整前的损害值曲线，虚线代表节点丢包率在相关性调整后的损害值曲线，图12是具体实施方式五中实例中的节点延迟在相关性调整前后的损害值示意图，其中，实线代表节点延迟在相关性调整前的损害值曲线，虚线代表节点延迟在相关性调整后的损害值曲线，图13是具体实施方式五中实例中的节点吞吐率、节点丢包率和节点延迟在加权平均后获得的节点综合损害值示意图，其中，实线代表相关性调整前的 节点综合损害值曲线，虚线代表相关性调整后的节点综合损害值曲线，图14是具体实施方式五中实例中的不同流量负载下的功率谱分析示意图，其中，实线代表凌晨4:00下的功率谱曲线，虚线代表上午10:00下的功率谱曲线，图15是具体实施方式五中实例中的蠕虫传播过程中的功率谱分析示意图，其中，实线代表拥塞发生前的功率谱曲线，虚线代表拥塞发生后的功率谱曲线，图16是具体实施方式五中实例中的全连通拓扑结构示意图，图17是具体实施方式五中实例中的星型拓扑结构示意图，图18是具体实施方式五中实例中的树形拓扑结构示意图，图19是具体实施方式五中实例中的环状拓扑结构示意图，图20是具体实施方式五中实例中的全连通拓扑结构的安全事件损害程度评估结果示意图，其中，实线代表全连通拓扑结构下在相关性调整前的损害值曲线，虚线代表全连通拓扑结构下在相关性调整后的损害值曲线，图21是具体实施方式五中实例中的星型拓扑结构的安全事件损害程度评估结果示意图，其中，实线代表星型拓扑结构下在相关性调整前的损害值曲线，虚线代表星型拓扑结构下在相关性调整后的损害值曲线，图22是具体实施方式五中实例中的树形拓扑结构的安全事件损害程度评估结果示意图，其中，实线代表树形拓扑结构下在相关性调整前的损害值曲线，虚线代表树形拓扑结构下在相关性调整后的损害值曲线，图23是具体实施方式五中实例中的环状拓扑结构的安全事件损害程度评估结果示意图，其中，实线代表环状拓扑结构下在相关性调整前的损害值曲线，虚线代表环状拓扑结构下在相关性调整后的损害值曲线。 

具体实施方式

具体实施方式一：根据说明书附图1具体说明本实施方式，本实施方式所述的一种基于网络拓扑特征的网络安全量化评估方法，它的评估过程为： 

步骤一：选取用于评估网络安全事件损害程度的网络性能指标，所述网络性能指标包括路由器节点指标、链路指标和主机指标，所述路由器节点指标包括节点吞吐率、节点延迟和节点丢包率，所述链路指标包括链路吞吐率和带宽占用率，所述主机指标包括受损主机比率和受损主机增加速率； 

步骤二：定义网络熵值H_i＝-log₂V_i，其中，V_i表示第i个网络样本的归一化参数，i＝1，2，...，n，n为网络样本个数； 

步骤三：计算每一个网络性能指标的指标权重； 

步骤四：利用格兰姆-施密特正交化方法去除多个网络性能指标间的相关性，获得多个去相关网络性能指标； 

步骤五：根据当前网络的性能H和下一状态下的网络的性能H⁺计算安全事件损害程度 并获得安全事件损害等级，其中， 

表示下一状态下的去相关网络性能指标； 

步骤六：利用析因设计方法量化网络拓扑特征进行评估网络安全事件对网络性能的影响程度。 

具体实施方式二：本实施方式是对具体实施方式一的进一步说明，具体实施方式一中在步骤三中，计算每一个网络性能指标的指标权重的方法为： 

步骤三一：建立关于m个网络性能指标和n个网络样本的判断矩阵R_m×n＝x_ij，其中，x_ij表示第j个指标的第i个网络样本； 

步骤三二：对每一个网络样本进行预处理，获得网络样本x_ij的归一化样本值b_ij； 

步骤三三：根据网络熵值H_i获得关于m个网络性能指标和n个网络样本的网络性能指标熵值 

其中，f_ij表示归一化样本值b_ij与所有归一化样本值总和的比值； 

步骤三四：计算每一个网络性能指标的指标权重W_j＝(w_i)_1×n，其中， $w_i=(1-H_i^n)/(n-\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{H}_i^n).$

具体实施方式三：本实施方式是对具体实施方式一或二的进一步说明，具体实施方式一或二中在步骤四中，利用格兰姆-施密特正交化方法去除多个网络性能指标间的相关性，获得多个去相关网络性能指标的方法为： 

步骤四一：将m个网络性能指标分别定义为I^* ₁，I^* _j……，I^* _m，并满足下述公式： 

公式一：I₁＝I^* ₁， 

公式二：I_j＝I^* _j-h_j，j-1I^* _j-1-……-h_j，1I^* ₁， 

其中，h_j，j-1，……，h_j，1均为待定常数； 

步骤四二：求解公式三获得各待定常数具体数值，并将所述各待定常数具体数值带入公式二，获得去相关网络性能指标I_j， 

公式三：Cov(I_j，I_j-1)＝Cov(I_j，I_j-2)＝......＝Cov(I_j，I₁)＝0。 

具体实施方式四：本实施方式是对具体实施方式一、二或三的进一步说明，具体实施方式一、二或三中在步骤五中，安全事件损害等级分别为：几乎没有、轻微、中等、较严重、严重和网络几乎瘫痪六种等级，所述六种等级的条件为： 

； 

具体实施方式五：本实施方式是对具体实施方式一、二、三或四的进一步说明，具体实施方式一、二、三或四中在步骤六中，利用析因设计方法量化网络拓扑特征进行评估网络安全事件对网络性能的影响程度的方法为： 

步骤六一：确定考察指标，所述考察指标包括损害平均值、损害拐点位置和损害最大值； 

步骤六二：选择网络拓扑特征作为评估因素，所述网络拓扑特征包括最大度、相配系数和边数； 

步骤六三：选择均匀设计表，记录并排布当前网络的评估因素水平； 

步骤六四：采用回归分析方法对当前网络性能进行分析，获得在当前网络的评估因素水平下的安全事件损害程度ΔH，进而量化网络安全事件损害等级，实现对网络安全的量化评估。 

针对本实施方式进行实例分析， 

本实施方式中的均匀设计表如表2所示，表2中用12组实验来说明拓扑因素(评估因素)的不同对于蠕虫传播的影响，表2中包含了每组实验的拓扑特征。蠕虫在不同拓扑中的损害评估比对，见图2，其中的1、2、3、4、5、6、 7、8、9、10、11和12分别为12组实验中拓扑的损害值情况。通过分析不同拓扑的基本参数，可以知道，在不同拓扑下，平均度越大蠕虫传播速度越快，同时恢复速度也越快，同时，链路数越小，损害值也就越大。 

根据本实施方式，利用NS2模拟了一个小型网络，观察网络安全事件爆发过程中的节点，结果见图3、图4和图5。 

图3，图4和图分别5反映了网络中安全事件爆发过程中节点吞吐率、节点延迟和节点丢包率的变化，从三幅图中可以看出，该安全事件经历了5个阶段，其中＜t_s(0-200s)时间段为安全事件爆发前，此时节点的吞吐率处于一个较低的平稳的状态，节点的延迟很低，而丢包率几乎为0；在t_s～t_c(200-410s)阶段安全事件开始爆发，节点的吞吐率开始快速上升，由于此时网络中的流量还没有达到带宽的上限，所以延迟和丢包率还没有发生变化；在t_c～t_e(410-740s)阶段，网络中的流量达到了网络承载能力的上限，节点的吞吐率在高位快速震荡，而节点之间的延迟开始上升，丢包现象开始出现；在t_e～t_f(740-1030s)阶段，吞吐率完全在带宽点拉平，显示网络处于一个拥塞状态中，节点的延迟处于峰值，而丢包率也达到最大，此时节点的缓冲队列已被充满，所有新到达的数据包都被丢弃，网络实际已经处于瘫痪的状态；在＞t_f(1030-1200s)时间段，安全事件发生完毕，所有指标回到正常水平。 

在获得原始实验数据后需要分析各指标之间的相关性，各指标间的相关性分析如下： 

吞吐率与丢包率在几乎所有阶段都没有明显的相关性，因为只有当吞吐率达到它的带宽上限时丢包率才会开始上升。由图6可以看出，节点的丢包在达到最大值37500byte时开始垂直上升。所以在整个实验中，都没有计算吞吐率与丢包率的相关性。 

第1、2阶段的相关性 

在第1、2阶段(0-410s)，节点的吞吐率还未达到带宽的上限，故丢包率 保持为0，也就是说，相关性仅发生在吞吐率与延迟之间。图7给出了吞吐率与延迟之间相关性的散点图，可以看出，随着吞吐率的上升，延迟也在逐渐上升，在这两个阶段，吞吐率吧与延迟的相关系数为0.4757。 

第3阶段的相关性 

在第3阶段(410-740s)，如图8所示，路由器开始丢包，吞吐率与延迟的相关系数达到0.6799，这个值远大于该指标在前两个阶段的值。 

第4阶段的相关性 

在第4阶段，由于吞吐率已达到上限，并保持恒定，所以吞吐率与延迟的相关性降为0；此时延迟与丢包率产生相关，相关系数为0.5139，如图9所示。 

各指标的相关性显然对网络损害的定量评估有着重要的影响，为了保证指标体系的可用性，在进行损害评估时，对各阶段的相关性去除必不可少。 

图10展示了节点吞吐率在相关性调整前后的损害值，图11展示了节点丢包率在相关性调整前后的损害值，图12展示了节点延迟在相关性调整前后的损害值，其中x轴代表时间，y轴代表损害值。两条曲线刻画了节点损害的动态过程，其中实线代表去相关前的损害值，虚线代笔去相关后的损害值。可以看出，节点的损害度随着网络流量的上升而加大。 

从图10、11和12中可以发现，吞吐率与延迟的熵在第一、二阶段(0～410s)去除相关性后下降并不明显，这是因为这一阶段吞吐率与延迟的拟合优度值R²为0.2262，也就是说，这一阶段这两个指标的重合部分小于22％。 

随着时间的增长，指标间的相关性也在上升，在第二阶段(200-410s)，吞吐率和延迟的均方根误差(RMSE)为0.0045和0.1039，但是到了第三阶段(410-740s)，吞吐率与延迟的拟合优度值R²上升为0.4622，使得这两个指 标的RMSE也上升到0.1458和0.2624。到了第四个阶段(740-1000s)，相关性发生在延迟与丢包率之间，他们之间的拟合优度R²为0.2640，而两指标的RMSE为0.1325. 

图13反映了节点吞吐率、节点丢包率和节点延迟在加权平均后获得的节点综合损害值，可以看出，该损害曲线与安全事件发生的过程是吻合的。 

为证明我们得出的损害趋势与实际情况相符，我们引入了临界点分析法。 

从理论上讲，临界现象存在普适性，Internet作为一种复杂自适应系统可由一种状态转变为另外一种性质明显不同的状态。对于基于Cayley树拓扑模型的网络进行数值仿真至少说明两个问题： 

(1)网络中的相变属于连续相变，所谓连续相变，即为二级以上相变，必定伴随某种临界行为。 

(2)网络中的临界点具有重要的实际意义。在临界点的一侧，网络处于非拥塞相，数据包可以可靠地到达目的地，而在另一侧，网络处于拥塞相，由于网络资源有限，超出系统承受能力的数据包被丢弃，造成系统的可靠性降低和网络时延变长，网络的整体性能下降，即网络在临界点运行在最有效状态。 

1/f噪声表示一个系统的动态特性受过去事件的强烈影响，它是具有各种尺度和各种持续时间的信号叠加，即当一个处于临界状态的动态系统在产生所有各种尺度和所有各种持续时间的连锁反应时所出现的信号，体现出相关在大时间尺度上的扩展和某种协作效应的存在，而一种突增的流量负载必然对1/f噪声现象产生影响。功率谱所体现的1/f特性可以看作是节点对分组调制的结果，在自由流相态时，用户的发送行为是主动的，几乎不受控制。在拥塞相相态下，实际每个用户的发送行为是由网络服务机制所控制，用户的发送行为是 被动调制的。 

我们首先通过一个小实验来验证上述理论的正确性，我们在凌晨4:00与上午10:00分别对网站www.google.cn发ping包进行分析，得到的功率谱分析图如图14所示。 

从图14中我们可以看出，在凌晨4点时，其功率谱表现为1/f噪声的特点，而在上午10点，即网路比较拥塞的时候，其功率谱表现为1/f²噪声的特点。 

基于以上结论，我们来验证学院网蠕虫传播实验中网络损害的趋势。该实验的功率谱分析结果如图15。 

在图15中，实线表示拥塞发生前的功率谱曲线，虚线代表拥塞发生后的功率谱曲线，可以看出，拥塞发生前其功率谱表现为1/f噪声的特点，而拥塞发生后的噪声曲线斜率更陡一些。 

遵循由简到繁的实验步骤，首先在经典拓扑结构上进行实验，以验证这些结构在相同安全事件发生时对网络损害的影响，所述经典拓扑结构包括全连通、星型、树形和环状网络结构，如图16、17、18和19所示： 

四个拓扑结构基本都有15个节点组成，所有节点都具有路由功能，采用完全相同的流量模型，该模型是有若干个ON/OFF Pareto流量发生器产生的。通过控制发生器的开闭个数可以调节流量的大小，而每个发生器的发送速率为100k/s。所有节点都随机的像其他节点发送数据包，而链路的平均带宽为37500byte。在以上条件下，模拟的结果如图20、21、22和23所示。所有模拟的持续时间均为2400s，每隔30s统计一次损害值。 

在实验中，我们让所有节点上开放的流量发生器数量同时上升，来模拟网 络在饱和的情况下工作或是遭到蠕虫攻击并开始向外扩散的情况。在50s到700s这个时间段中，网络流量稳步上升，并且在高位保持了一段时间后又开始下降，最终回到正常的流量水平。在1040s时，网络上的流量突然上升，之后又突然下降到正常的水平，这一过程模拟了网络中突发流量的特征。在最后一段的模拟中，流量慢慢上升直到带宽，最后又回到了原来的水平。 

图20、21、22和23中实线代表去相关前的损害值，虚线代笔去相关后的损害值，从该四幅图中可以看到一个明显的趋势就是，随着网络流量的上升，网络的损害值也在相应的上升，无论采用何种拓扑结构，所有曲线都反映了这种趋势。去相关前后的曲线在峰值处都有明显的差距，这表示这一时段也是指标间相关性最大的阶段。 

然而，这四幅图中的损害值又有所不同。首先，四幅图中的峰值不同，由于结构上的差异，星型、环形、全连通和树形结构的损害度峰值分别为5.2542，4.4719，2.029和3.7327。尤其是50-700s间的损害度曲线的形状差异很大。其次，图20中全连通结构的损害值一直没有下降到0，这是因为与其他流量模型不同，在全连通拓扑中我们一直在链路中保持了一些稳定的流量，这使得该拓扑中的损害值无法降到最低值。第三，网络中所有节点的RMSE值在四张拓扑中分别为0.024，0.088，0.1081和0.094，表明随着网络连通度的上升，RMSE值也会随之小幅上升。 

根据均匀设计实验后得出的数据，进行逐步回归得到的回归结果如表3所示， 

表3回归结果 

特征值

回归标准系数

边数	0.386
		核系数	0.121
相配系数	0.447
		核分布拟合截距	0.297
度分布拟合截距	0.285
		最大度	0.547

由此可以发现对于网络安全事件影响最大的几个拓扑因素依次为：最大度、相配系数、边数等。该结果可以进一步用于网络控制策略和网络拓扑的优化方面。 

Claims (3)

1.一种基于网络拓扑特征的网络安全量化评估方法，其特征在于它的评估过程为：

步骤一：选取用于评估网络安全事件损害程度的网络性能指标，所述网络性能指标包括路由器节点指标、链路指标和主机指标，所述路由器节点指标包括节点吞吐率、节点延迟和节点丢包率，所述链路指标包括链路吞吐率和带宽占用率，所述主机指标包括受损主机比率和受损主机增加速率；

步骤二：定义网络熵值H_i＝-log₂V_i，其中，V_i表示第i个网络样本的归一化参数，i＝1，2，...，n，n为网络样本个数；

步骤三：计算每一个网络性能指标的指标权重，其方法为：

步骤三一：建立关于m个网络性能指标和n个网络样本的判断矩阵R_{m× n}＝x_ij，其中，x_ij表示第j个指标的第i个网络样本；

步骤三二：对每一个网络样本进行预处理，获得网络样本x_ij的归一化样本值b_ij；

步骤三三：根据网络熵值H_i获得关于m个网络性能指标和n个网络样本的网络性能指标熵值

其中，f_ij表示归一化样本值b_ij与所有归一化样本值总和的比值；

步骤三四：计算每一个网络性能指标的指标权重W_j＝(w_i)_1×n，其中， $w_i=(1-H_i^n)/(n-\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{H}_i^n);$

步骤四：利用格兰姆-施密特正交化方法去除多个网络性能指标间的相关性，获得多个去相关网络性能指标，其方法为：

步骤四一：将m个网络性能指标分别定义为I^* ₁，I^* _j……，I^* _m，并满足下述公式：

公式一：I₁＝I^* ₁，

公式二：I_j＝I^* _j-h_j，j-1I^* _j-1-……-h_j，1I^* ₁，

其中，h_j，j-1，……，h_j，1均为待定常数；

步骤四二：求解公式三获得各待定常数具体数值，并将所述各待定常数具体数值带入公式二，获得去相关网络性能指标I_j；

公式三：Cov(I_j，I_j-1)＝Cov(I_j，I_j-2)＝……＝Cov(I_j，I₁)＝0；

步骤五：根据当前网络的性能H和下一状态下的网络的性能H⁺计算安全事件损害程度

并获得安全事件损害等级，其中，

表示下一状态下的去相关网络性能指标；

步骤六：利用析因设计方法量化网络拓扑特征进行评估网络安全事件对网络性能的影响程度。

2.根据权利要求1所述的一种基于网络拓扑特征的网络安全量化评估方法，其特征在于在步骤五中，安全事件损害等级分别为：几乎没有、轻微、中等、较严重、严重和网络几乎瘫痪六种等级，所述六种等级的条件为：

3.根据权利要求1所述的一种基于网络拓扑特征的网络安全量化评估方法，其特征在于在步骤六中，利用析因设计方法量化网络拓扑特征进行评估网络安全事件对网络性能的影响程度的方法为：

步骤六一：确定考察指标，所述考察指标包括损害平均值、损害拐点位置和损害最大值；

步骤六二：选择网络拓扑特征作为评估因素，所述网络拓扑特征包括最大度、相配系数和边数；

步骤六三：选择均匀设计表，记录并排布当前网络的评估因素水平；

步骤六四：采用回归分析方法对当前网络性能进行分析，获得在当前网络的评估因素水平下的安全事件损害程度ΔH，进而量化网络安全事件损害等级，实现对网络安全的量化评估。

Images