CN102185847B - 基于熵值法的恶意代码网络攻击评估方法 - Google Patents

Abstract

本发明一种基于熵值法的恶意代码网络攻击评估方法的设计方案利用网络熵值，提出构建恶意代码网络攻击效果评估设计方案。在网络攻击的过程中，实时采集包括CPU利用率、网络流量、网络延迟和内存利用率等功能指标的变化情况；对于多次采集的相关指标进行归一化，从而使得各个攻击指标能够在同一水平上进行比较分析；利用熵值法对对攻击效果进行描述；根据评估指标在评估指标体系中的重要程度求出各个攻击指标的权重系数，最后定量确定恶意代码网络攻击达到的效果。

Description

基于熵值法的恶意代码网络攻击评估方法

技术领域

本发明提出了基于熵值法的恶意代码网络攻击效果评估设计方案，主要解决客观定量评估恶意代码网络攻击效果的问题，属于信息安全领域问题。

背景技术

随着互联网不断发展，技术不断创新，网络恶意代码也在不断发展，黑客攻击非常猖獗，不仅影响网民的正常上网，还危害网民的财产安全。2008年，中国新增计算机病毒、木马等恶意代码数量呈爆炸式增长，总数量已突破千万。恶意代码制造的模块化、专业化以及病毒“运营”模式的互联网化成为恶意代码发展的三大显著特征。网页挂马、漏洞攻击成为黑客获利的主要渠道。2009年上半年“金山毒霸”病毒疫情及互联网安全报告显示，中国每月平均新增恶意代码的样本数都在100万个以上。

国家互联网应急中心（CNCERT）运行部曾指出，我国已成为网络攻击最大的受害国。目前网上有成百上千万的计算机感染了木马或僵尸程序，并被各种各样的黑客暗中控制，成为所谓的“肉机”。美国军队更是网络军备竞赛的急先锋，正在大力研究网络战理论，组建网络战机构和部队，研制网络战武器装备，进行网络战练演。美军已将网络战作为信息战的基本样式之一，写入其作战条令。迄今为止，美国防部和各军种都成立了网络战机构和部队。美国防务专家乔尔.哈丁估计，美军网络战部队多达近9万人。据统计，美军已研制出2000多种网络战病毒武器。2008年3月，美军举行了代号“网络风暴”的大规模网络战演习，以检验美国的网络安全及应对网络攻击的能力。参加这次演习的有美国国防部、中央情报局、联邦调查局等部门，还有英国、澳大利亚、加拿大等国家。2009年6月，美国防部长盖茨宣布，美国正式组建了“网络战司令部”。该司令部隶属美军战略司令部，由一名四星上将领导，负责统一指挥美军的网络战行动。在2009年初新出台的《四年任务与使命评估报告》中，美国防部列举了美军需要发展的八种“核心能力”，包括网络战能力。美国防部提出，鉴于美军在正规作战方面享有优势，今后将重点发展非正规战能力，特别是网络战等新型作战能力。

早在2001年，美国国会研究局发表的《网络战》研究报告就宣称，据美国官员估计，对美国构成网络威胁的国家多达20几个。拥有网络战作战能力的国家不仅有俄罗斯、英国、法国、德国、日本等军事强国，还包括朝鲜、伊朗、叙利亚、古巴、印度、利比亚等发展中国家。近年来，世界各国进一步加快了网络战能力的建设和整合。2008年5月，北约在爱沙尼亚首都塔林成立了“网络防御合作中心”。该中心是一个跨国组织，向所有北约成员国开放。目前，爱沙尼亚、拉脱维亚、立陶宛、德国、意大利、斯洛伐克和西班牙等国已签署谅解备忘录，成为发起国，承诺向该中心提供有关人员和经费。该中心的主要职责是，通过教育和科研活动，加强北约国家之间在情报共享等方面的合作，提高网络防御能力，并研究如何根据北约共同防御原则应对网络攻击的问题。最近，英国政府宣布，将成立“网络安全局”，负责发展网络防御能力，并在英国遭到网络攻击时进行反击。韩国国防部官员也宣布，将在2010年成立网络战司令部，以提高其网络攻防能力。

网络攻击效果评估技术在信息系统的安全评估过程中具有重要意义：一方面，网络构建部门通过对信息网络的模拟攻击和自我评估可以检验系统的安全特性；另一方面，在反击来自敌方的恶意攻击时，网络攻击效果评估技术可以为网络反击样式和反击强度提供合适的应对策略。

发明内容

技术问题：针对网络战平台，迫切需要建立一套有效的网络攻击评估方法，来促进系统网络安全适应能力的提升，从而提高应对网络攻击抵抗能力。本方法针对网络恶意代码的攻击，利用熵值评估方法，建立基于熵值法的恶意代码网络攻击评估方法。

技术方案：本发明的设计方案利用网络熵值，提出构建恶意代码网络攻击效果评估设计方案。在网络攻击的过程中，实时采集包括CPU利用率、网络流量、网络延迟和内存利用率等功能指标的变化情况；对于多次采集的相关指标进行归一化，从而使得各个攻击指标能够在同一水平上进行比较分析；利用熵值法对对攻击效果进行描述；根据评估指标在评估指标体系中的重要程度求出各个攻击指标的权重系数，最后定量确定恶意代码网络攻击达到的效果。

本发明的一种基于熵值法的恶意代码网络攻击评估方法的流程如下：

步骤1：网络攻击实验，通过对相关攻击工具的控制，实现对目标主机的攻击；

步骤2：攻击的直接目的是实现相应指标的变化，变化指标包括CPU利用率、网络流量、网络延迟和内存利用率；根据对拒绝服务攻击的特征的分析，通过网络带宽占用率、CPU占用率、内存占用率、网络延迟几个指标来评估拒绝服务类攻击效果；

步骤3：对于采集的相关指标的归一化，具体的处理方法如下：

1）数据均采用四次测量的平均值；

2）CPU利用率采用低干扰状态值即减去下载工具占用的CPU值；

3）CPU利用率和内存利用率由于在攻击前后数据有所增加，因此采1减去V作为归一化值；

4）下载速度的归一化方式为V/Vs，其中Vs网络的最高下载速度12.5MB/S；5）网络延

迟的归一化方式为V/Vs，其中最大网络延迟Vs定义30ms；

步骤4：求熵值：当0≤V2≤V1≤V_g时，利用ΔH＝-log₂(V₂/V₁)公式计算熵值；当0≤V1≤V2≤V_g时，利用ΔH＝-log₂((1-V₂/V_g)/(1-V₁/V_g))公式计算熵值；

其中：V1表示攻击前的网络指标，V2代表攻击后的网络指标，V_g表示网络指标最大值，△H即为计算后的熵值；

步骤5：采用w'_j＝log₂n-H(X_j)′j＝1,2,…m和

两个公式来确定评估指标X_j的权重系数w_j；

其中：X_j表示评估指标，w’_j表示权重系数，w_j表示经过归一化处理的评估指标X_j的权重系数；n表示样本的评估指标；m为评估指标的个数；

步骤6：通过公式得出综合的评定效果；

其中：△H即为步骤4计算出的熵值，w_j表示步骤5计算出的权重系数。

有益效果：本发明方案提出了基于熵值法的恶意代码网络攻击效果评估设计方案，旨在准确评估恶意代码的攻击给网络带来的威胁程度，并且可以清晰地比较不同攻击方式的性能和效果。本方法具有如下优点：

（1）方法的有效性，针对网络攻击效果的定量评估有效合理。举例说明，从表1和表2的计算结果可以看到，各指标的熵值存在较大的差异性，效果比较明显。作为主要影响网络速度的DOS攻击工具，使得攻击前后下载速度的熵值变化最大。而作为整体衡量指标的最终加权值则体现了系统整体的稳定性，例如当一台主机使用DOS攻击进行攻击时，其加权后值为0.093，而两台主机同时使用DOS攻击进行攻击，则其加权后值为0.114，大于0.093，因此受两台主机的DOS攻击后的系统稳定性比受一台主机的DOS攻击后的稳定性要差，网络攻击的效果较好。

表1在一台主机上使用DOS攻击另一台主机的指标分析

表2在两台主机上使DOS攻击另一台主机

（2）评估方法的有效性，针对网络攻击效果的定量评估有效合理；评估方法的合理性，考虑到各种网络攻击因素如网络下载速录、CPU和内存的利用率等的在数据单位和数值上存在很多的差异，无法直接进行比较，通过本方法可以将各种攻击的评估指标合理的放在同一的水平上进行比较评估，使得恶意代码的综合性能评估更加合理有效；

（3）评估方法的客观性，熵值法的评估指标的变化程度反映评估指标区别评估对象的能力，变化程度越低则区别评估对象的能力越弱，相应地可以认为该评估指标在评估指标体系中的重要程度越低，也即该评估指标的权重越小。

附图说明

图1是基于熵值法的恶意代码攻击效果评估设计方案流程图。表明本发明的网络攻击效果评估执行流程。

图2是实验过程树状图。表明为验证本发明方法的有效性的示例实验过程。

具体实施方式

一、系统方法

网络安全性能评价指标选取后，通过相应方法对其进行量化，即可得到网络系统的安全性度量，而攻击前后网络系统的安全性差值就可以作为攻击效果的一个测度。进行攻击效果评估时，关心的是网络系统遭受攻击前后安全性能的变化，给出评价网络性能的“网络熵”。“网络熵”是对网络安全性能的一种描述,网络熵值越小,表明该网络系统的安全性越好。

对于网络的某一项指标来说,其熵值可以定义为:

H＝-log₂V_i   （公式1）

Vi为网络此项指标的归一化的性能参数。显然,信息网络系统受到攻击后,其信息的不确定性增大,系统稳定性变差,熵值应该增加。因此,可采用“熵差”ΔH＝-log₂(V₂/V₁)对攻击效果进行描述。式中V1为网络系统原来的归一化性能参数(如吞吐量、数据流量等),V2为网络受攻击后的归一化性能参数。这里需要考虑以下两种情况。

（1）当网络性能指标值与攻击效果成反比时以下载速度指标为例，设测得网络受攻击前的下载速度为V1，受攻击后的下载速度为V2，把它们进行归一化，得归一化的吞吐量分别为:V1/VG,V2/VG,其中Vg为网络的最高下载速度,可以保证0≤V2≤V1≤VG。则在吞吐量这项指标上的攻击效果为：

ΔH＝-log₂(V₂/V_g)-(-log₂(V₁/V_g))＝-log₂(V₂/V₁)   （公式2）

（2）当网络性能指标值与攻击效果成正比时以网络延迟指标为例，设测得网络受攻击前的网络延迟为V1，受攻击后的网络延迟为V2，把它们进行归一化，得归一化的网络延迟分别为:V1/VG,V2/VG，其中VG为事先规定网络最大延迟，可以保证0≤V1≤V2≤VG。则在网络延迟这项指标上的攻击效果为：

ΔH＝-log₂(1-V₂/V_g)-(-log₂(1-V₁/V_g))＝-log₂((1-V₂/V_g)/(1-V₁/V_g))   （公式3）

V2变化(包括下降或上升)的越大，表明攻击的效果越明显,ΔH也越大,可见，ΔH确实可以作为攻击效果的一种描述。

然后是权重系数的求法。假设针对某类网络攻击选定了m个评估指标，记作{X1,X2...，Xm}。对于定性评估指标可先进行量化处理，因此可以认为所有指标均为定量指标。同时假定取得了关于这m个评估指标的n个样本，记作Xij（i=1,2，...，n；j=1，2，...，m）。为了消除评估指标量纲尺度的影响，需要对评估指标样本进行预处理。对参考值型评估指标取其与参考值差的绝对值，对于一般数据进行相应归一化。采用下式对各评估指标的样本值进行无量纲化。

$P_{\mathrm{ij}}=\frac{X_{\mathrm{ij}}}{\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{X}_{\mathrm{ij}}}(i=\mathrm{1,2},...n;j=\mathrm{1,2},...m)$    （公式4）

显然满足0≤Pij≤1，

满足概率论概念的基本定义。因此可以将Pij看作是评估指标Xj的某一可能取值的概率。

在得到各个评估指标Xj的取值的概率分布后，就可以按照信息熵的定义计算各个评估指标的信息熵。

$H\left(X_j\right)=-\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{P}_{\mathrm{ij}}{\log }_2{P}_{\mathrm{ij}}(j=\mathrm{1,2},...,m)$    （公式5）

评估指标的变化程度反映评估指标区别评估对象的能力，变化程度越低则区别评估对象的能力越弱，相应地可以认为该评估指标在评估指标体系中的重要程度越低，也即该评估指标的权重越小。设wj（j=1,2，...，m）分别表示评估指标{X1,X2...，Xm}的权重，则wj与H（Xj）间具有负向性关系，即H（Xj）越大则wj越小，反之亦然。因此，H（Xj）经过适当的变换就可以作为评估指标Xj的权重系数wj应用。

本文采用以下两个公式来确定评估指标Xj的权重系数wj：

w'_j＝log₂n-H(X_j)(j＝1,2,...,m)   （公式6）

$w_j=\frac{{w^{\′}}_j}{\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{w^{\′}}_j}(j=\mathrm{1,2},...,m)$    （公式7）

其中：log₂n表示n个样本的评估指标的最大信息熵，w_j表示经过归一化处理的评估指标X_j的权重系数。

二、方法流程

根据上文提到的基于熵值的计算方法，可以构建相关恶意代码网络攻击效果评估设计方案，其流程图如图1所示。

步骤1：网络攻击实验。实验过程通过如图2的树状图进行整体的描述，通过对相关攻击工具的控制，实现对目标主机的攻击。包括在当前主机上使用DOS攻击另一台主机；以及在多台主机上使用DOS攻击另一台主机。

步骤2：攻击的直接目的是实现相应指标的变化，变化指标包括CPU利用率、网络流量、网络延迟和内存利用率。根据对拒绝服务攻击的特征的分析，可以通过以下几个指标来评估拒绝服务类攻击效果。

（1）网络带宽占用率

（2）CPU占用率

（3）内存占用率

（4）网络延迟

步骤3：对于采集的相关指标的归一化，具体的处理方法如下：

（1）数据均采用四次测量的平均值。

（2）CPU利用率采用低干扰状态值（即减去下载工具占用的CPU值）。

（3）CPU利用率和内存利用率由于在攻击前后数据有所增加，因此采用1-V作为归一化值。

（4）下载速度的归一化方式为V/Vs，其中Vs网络的最高下载速度12.5MB/S。

（5）网络延迟的归一化方式为V/Vs，其中最大网络延迟Vs定义30ms。

步骤4：求熵值。利用如下的公式计算熵值：

（1）当0≤V2≤V1≤Vg时，

ΔH＝-log₂(V₂/V_g)-(-log₂(V₁/V_g))＝-log₂(V₂/V₁)

（2）当0≤V1≤V2≤Vg时，

ΔH＝-log₂(1-V₂/V_g)-(-log₂(1-V₁/V_g))＝-log₂((1-V₂/V_g)/(1-V₁/V_g))

步骤5：本文采用以下两个公式来确定评估指标Xj的权重系数wj：

w'_j＝log₂n-H(X_j)(j＝1,2,...,m)

$w_j=\frac{{w^{\′}}_j}{\underset{j=1}{\overset{m}{\mathrm{\Σ}}}{w^{\′}}_j}(j=\mathrm{1,2},...,m)$

步骤6：得出综合的评定效果。通过以下公式：

$H=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{\mathrm{\ΔH}}_i*w_i.$

为了方便描述，我们假定有如下应用实例：

（1）实验平台

实验用主机采用的均是Intel处理器，内存为3371MB，操作系统是MicrosoftWindowsXP，试验使用软件是在WindowsXP下使用的AldingUDP2和IPHACKER两款DOS攻击工具。

（2）实验项目

在当前主机上使用IPHACKER通过拒绝服务攻击另一台主机。

在两台主机上使用IPHACKER通过拒绝服务攻击另一台主机。

在当前主机上使用AldingUPD中等强度攻击另一台主机。

在当前主机上使用AldingUPD较强强度攻击另一台主机。

（3）实验步骤

步骤1：恶意代码网络攻击实验，通过对相关攻击工具的控制，实现对目标主机的攻击；

步骤2：攻击过程中采集相应指标的变化，变化指标包括CPU利用率、网络流量、网络延迟和内存利用率；

步骤3：对于采集的相关指标的归一化；

步骤4：求出各个指标的熵值；

步骤5：确定评估指标的权重系数；

步骤6：得出综合的定量评定效果。

Claims (1)

1.一种基于熵值法的恶意代码网络攻击评估方法，其特征在于该评估方法的流程如下： 

步骤1：网络攻击实验，通过对相关攻击工具的控制，实现对目标主机的攻击； 

步骤2：攻击的直接目的是实现相应指标的变化，变化指标包括CPU利用率、网络流量、网络延迟和内存利用率；根据对拒绝服务攻击的特征的分析，通过网络带宽占用率、CPU占用率、内存占用率、网络延迟几个指标来评估拒绝服务类攻击效果； 

步骤3：对于采集的相关指标的归一化，具体的处理方法如下： 

1）数据均采用四次测量的平均值； 

2）CPU利用率采用低干扰状态值即减去下载工具占用的CPU值； 

3）CPU利用率和内存利用率由于在攻击前后数据有所增加，因此采用1－V作为归一化值； 

4）下载速度的归一化方式为V/Vs，其中Vs网络的最高下载速度12.5MB/S；5）网络延 

迟的归一化方式为V/Vs，其中最大网络延迟Vs定义30ms； 

步骤4：求熵值：当0≤V2≤V1≤V_g时，利用ΔH＝-log₂(V₂/V₁)公式计算熵值；当0≤V1≤V2≤V_g时，利用ΔH＝-log₂((1-V₂/V_g)/(1-V₁/V_g))公式计算熵值； 

其中：V1表示攻击前的网络指标，V2代表攻击后的网络指标，V_g表示网络指标最大值，△H即为计算后的熵值； 

步骤5：采用w'_j＝log₂n-H(X_j) (j＝1，2，…m)和

两个公式来确定评估指标X_j的权重系数w_j； 

其中：X_j表示评估指标，w’_j表示权重系数，w_j表示经过归一化处理的评估指标Xj的权重系数；n表示样本的评估指标；m为评估指标的个数； 

步骤6：通过公式得出综合的评定效果； 

其中：△H即为步骤4计算出的熵值，w_j表示步骤5计算出的权重系数。 

Images