CN109583056A

CN109583056A - 一种基于仿真平台的网络攻防工具效能评估方法及系统

Info

Publication number: CN109583056A
Application number: CN201811366093.4A
Authority: CN
Inventors: 席荣荣; 郝志宇; 丁振全; 刘永继
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2018-11-16
Filing date: 2018-11-16
Publication date: 2019-04-05

Abstract

本发明公开了一种基于仿真平台的网络攻防工具效能评估方法及系统。本方法为：1)构建网络攻击效能指标体系，其中，效能指标包括信息获取能力、权限提升能力、生存能力、对抗能力和破坏能力；2)基于仿真平台构建网络的仿真环境，并结合该网络攻击效能指标体系采集所需的数据信息，通过量化分析所得数据信息确定网络的信息获取能力、权限提升能力、生存能力、对抗能力和破坏能力；3)根据网络的信息获取能力、权限提升能力、生存能力、对抗能力和破坏能力计算得到网络攻击工具的效能评估结果。本发明能够实现对网络攻击效能客观而准确的综合评估。

Description

一种基于仿真平台的网络攻防工具效能评估方法及系统

技术领域

本发明属于通信技术领域，尤其涉及一种基于仿真平台的网络攻防工具效能评估方法及系统。

背景技术

随着网络技术的飞速发展，安全问题日益突出。网络安全的本质为攻防双方的博弈，攻击者不断寻找防护方的弱点，防护方不断探索对抗新攻击的方法，在持续的攻防对抗中，网络的安全保障水平和能力才能得到不断的提升。在网络攻防对抗研究中，如何对网络的攻击效能进行评估，是一个重要而具有深远意义的内容。目前，由于攻击的敏感性，国内外在这方面的公开研究并不多，对网络攻击效能评估方法的研究，有助于弥补我国在网络攻防对抗研究方面的不足。

网络攻防效能评估，是指在复杂的网络环境下，定性或者定量的评估攻击对网络安全性能的影响。网络攻击效能的评估，一方面有助于攻击方检验攻击行为的有效性，促使其不断开发新的攻击技术和手段；另一方面也有助于防御方采取更为有效的网络安全策略和方法，促进其网络安全性能的提升。

由于网络安全性的特殊需求和网络攻击行为的敏感性导致在真实网络环境中测试和验证网络攻击行为的有效性存在巨大的风险，因此本发明基于仿真平台提供的测试和验证环境评估网络攻击行为的有效性。

网络攻击行为的有效性可通过考察被攻击对象安全属性的改变程度或者攻击实施方目的的实现程度来确定，而安全属性的改变程度和攻击目的的实现程度需要用一系列攻击效能参数表达的指标体系来衡量。选择的评估指标必须能够客观地反映被攻击对象内部状态的变化，且能够反映分析目标所涉及的各个方面，同时为保证评估的准确性，所选评估指标的含义必须明确，能够定量表示，便于定量分析，定量值具备现实收集渠道，能够通过数学计算、平台测试、经验统计等方法得到。为了实现网络攻击效能评估指标体系的客观性，完备性和可测性，本发明将构建合理有效的网络攻击效能评估指标体系，并明确定义各指标的量化方法，进而提出一种基于指标分析的网络攻击效能综合评估系统，实现网络攻击效能的合理准确的量化评估。

发明内容

本发明提供一种基于仿真平台的网络攻防工具效能评估方法及系统，以克服现有技术的缺陷。

本发明的技术方案为：

一种基于仿真平台的网络攻防工具效能评估方法，其步骤包括：

1)构建网络攻击效能指标体系，其中，效能指标包括信息获取能力、权限提升能力、生存能力、对抗能力和破坏能力；

2)基于仿真平台构建网络的仿真环境，并结合该网络攻击效能指标体系采集所需的数据信息，通过量化分析所得数据信息确定网络的信息获取能力IA、权限提升能力PE、生存能力Via、对抗能力Con和破坏能力Des；

3)根据网络的信息获取能力IA、权限提升能力PE、生存能力Via、对抗能力Con和破坏能力Des计算得到网络攻击工具的效能评估结果。

进一步的，所述效能评估结果Attack Effectiveness＝∑w_iCapability_i，w_i为第i个效能指标的权重，i∈{IA，PE，Via，Con，Des}；Capability_i为归一化后的效能指标值。

进一步的，确定各效能指标的权重的方法为：首先基于网络攻击效能指标体系，构建层次结构模型；其中上层为网络的攻击效能，下层分别为信息获取能力、权限提升能力、生存能力、对抗能力和破坏能力；然后根据层次结构模型构造网络攻击效能的相对重要程度标度矩阵；然后根据相对重要程度标度矩阵计算得到指标体系中各效能指标的权重。

进一步的，根据相对重要程度标度矩阵计算得到指标体系中各效能指标的权重的方法为：首先计算相对重要性程度标度矩阵各行各个元素的乘积，得到一个n行一列的矩阵M；然后计算矩阵M中每个元素的n次方根得到矩阵W；然后对矩阵W进行归一化处理得到矩阵w；矩阵w中各元素分别对应一效能指标的权重，n为效能指标个数。

进一步的，信息获取能力IA的计算方法为：首先将信息获取能力细化为获取信息量、获取信息的准确性和信息获取时间三个指标；然后根据采集数据对获取信息量、获取信息的准确性和信息获取时间三个指标进行量化，并根据量化结果计算得到信息获取能力IA的指标值Capability_IA。

进一步的，权限提升能力PE的计算方法为：将权限提升能力PE细化为获取的权限、权限的稳健性和权限获取时间三个指标；然后根据采集数据对获取的权限、权限的稳健性和权限获取时间三个指标进行量化，并根据量化结果计算得到权限提升能力PE的指标值Capability_PE。

进一步的，生存能力Via的计算方法为：将生存能力Via细化为程序执行成功的概率、开启后门的成功率和平均传播速度三个指标；然后根据采集数据对程序执行成功的概率、开启后门的成功率和平均传播速度三个指标进行量化，并根据量化结果计算得到生存能力Via的指标值Capability_via。

进一步的，对抗能力Con的计算方法为：将对抗能力Con细化为防火墙穿透率、入侵检测躲避率、病毒检测绕过率和垃圾邮件检测绕过率四个指标；然后根据采集数据对防火墙穿透率、入侵检测躲避率、病毒检测绕过率和垃圾邮件检测绕过率四个指标进行量化，并根据量化结果计算得到对抗能力Con的指标值Capbility_con。

进一步的，破坏能力Des的计算方法为：将破坏能力Des细化为网络可用性破坏能力、主机可用性破坏能力和信息安全性破坏能力三个指标；然后根据采集数据对网络可用性破坏能力、主机可用性破坏能力和信息安全性破坏能力三个指标进行量化，并根据量化结果计算得到破坏能力Des的指标值Capability_Des；其中，

计算网络可用性破坏能力量化结果的方法为：首先根据攻击行为发生前后各设定指标的归一化的测试值计算各设定指标的变化率，然后采用权重分析法量化网络对各设定指标的变化率进行计算，得到网络可用性破坏能力量化结果；设定指标包括网络带宽占用率、网络吞吐量、网络平均延迟、网络丢包率、网络平均响应时间和网络负载量；

计算主机可用性破坏能力量化结果的方法为：首先计算攻击行为发生前后主机CPU占用率的变化量、内存占用率的变化量、主机硬盘占用率变化量和系统平均负载量，然后根据计算结果采用权重分析法量化主机可用性破坏能力；

计算信息安全性破坏能力量化结果的方法为：首先计算攻击行为发生后信息的完整性破坏程度、信息的机密性破坏程度和信息的可用性破坏程度，然后根据计算结果采用均值法量化信息安全性破坏能力。

一种基于仿真平台的网络攻防工具效能评估系统，其特征在于，包括网络攻击效能指标体系、量化分析模块和效能评估模块；其中，

所述网络攻击效能指标体系的效能指标包括信息获取能力、权限提升能力、生存能力、对抗能力和破坏能力；

量化分析模块，用于基于仿真平台构建网络的仿真环境，并结合该网络攻击效能指标体系采集所需的数据信息，通过量化分析所得数据信息确定网络的信息获取能力IA、权限提升能力PE、生存能力Via、对抗能力Con和破坏能力Des；

效能评估模块，用于根据网络的信息获取能力IA、权限提升能力PE、生存能力Via、对抗能力Con和破坏能力Des计算得到网络攻击工具的效能评估结果。

与现有技术相比，本发明的积极效果为：

针对网络攻击效能评估过程中存在的评估指标无限定性，评估过程不可重复性等问题本发明提出的基于仿真平台的网络攻击效能评估方法及系统，明确提出了网络攻击效能评估的指标体系及其量化方法，该指标体系涵盖攻击行为的信息获取能力、权限提升能力、生存能力、对抗能力和破坏能力等五个方面，基于该指标体系可实现对网络攻击效能客观而准确的综合评估。

附图说明

图1为网络攻击效能评估指标体系；

图2为网络攻击效能评估方法的结构图；

图3为信息获取能力指标；

图4为权限提升能力指标；

图5为网络可用性破坏能力指标；

图6为主机可用性破坏能力指标；

图7为信息安全性破坏能力指标。

具体实施方式

下面详细描述本发明的实施例，实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

在本发明的描述中，需要理解的是，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”、“第三”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。

步骤1：网络攻击效能指标体系构建。根据攻击行为的发生过程，本发明将攻击的效能分为信息获取能力、权限提升能力、生存能力、对抗能力和破坏能力，然后对每一类能力进行分析，逐步细化，设计和确定每一类攻击能力的评估指标，结合现有指标体系的研究成果，进行扩充和完善，构建网络攻击效能的评估指标体系，见图1。该指标体系涵盖攻击行为的多个方面，具有较好的完备性；同时所选的评估指标可明确定义，定量表示，具有良好的可测性；且能够客观反映被攻击对象内部状态的变化，尽可能地减少人为因素的干扰，增加了评估结果的客观性。

步骤2：网络攻击效能指标量化。基于仿真平台构建网络的仿真环境，并结合指标体系采集所需的数据信息，通过量化分析所得数据信息，实现对网络效能的量化评估。具体包括如下步骤：

步骤21：信息获取能力指标量化。信息获取是攻击行为实施的第一步，它的主要目的是通过对目标进行扫描和嗅探实现目标对象系统的信息采集。获取的信息类型包括IP地址、开放的端口、运行的服务、账号密码等，为下一步入侵提供支持。本发明将信息获取能力细化为获取信息量，获取信息的准确性和信息获取时间三个指标。各指标的明确定义如下：

获取信息量：定义为在信息获取时间内探测到的信息总量；具体的信息类型包括IP地址、主机名、开放端口、开放服务、操作系统漏洞、应用程序漏洞、系统账号口令信息、应用程序账号/口令信息和数据库账号/口令信息；

获取信息的准确性：定义为解析或者获取到的准确信息占全部获取信息量的比例。

信息获取时间：定义为开始探测信息到信息探测完毕的时间间隔。

步骤211：获取信息量的量化。各种信息获取难易程度和价值的不同导致信息的等效性不同，本发明对不同信息的获取难易程度和价值的等效性进行了调查，安全领域的普遍认知为：IP地址和主机名最易获取且其价值最低，开放端口和开放服务信息较易获取且价值次低，漏洞信息较难获取且价值次高，账号和口令信息最难获取且价值最高。为突出不同信息的获取难易程度和价值在总体信息量中的比重，采用指数计算方法表述获取的信息量：

其中IC(Information Content)表示系统获取到的信息总量，表示等级为i的信息的数量，表示信息的等级，不失一般性，信息的分类如下：

Rank	信息种类
		1	IP地址、主机名
2	开放端口、开放服务
		3	操作系统漏洞、应用程序漏洞
4	系统账号口令信息、应用程序账号/口令信息、数据库账号/口令信息

步骤212：获取信息的准确性量化。获取信息的准确性定义为解析或者获取到的准确信息占全部获取信息量的比例，采用百分比值进行量化：

其中Accurate Inf ormation表示准确的信息量，它的具体取值为实际采集获取的与仿真平台配置脚本定义一致的信息量；Total Inf oramtion表示实际采集获取的所有信息量。

步骤213：获取信息的时间量化。信息的获取时间开始探测信息到信息探测完毕的时间间隔，由于不同的信息可能具有不同的开始探测和截至时间，因此将总体的信息获取时间定义为所有探测时段之和。

其中Time_IA表示信息获取的时间，表示各种不同信息开始探测到探测完毕的时间间隔。i分别表示四种不同种类的信息。

得到上述三个参数之后，将系统的信息获取能力定义为单位时间内获取到的准确信息量：

其中(Capability of Information Acquisition)表示信息获取的能力，IC表示系统获取到的信息总量，Accuracy表示信息的准确性，Time_IA表示信息的获取时间。

步骤22：权限提升能力指标量化。获取到目标系统的相关信息后，攻击者通常开始进行权限的提升，实现对目标系统的渗透。权限提升能力主要是指利用某种手段或者利用系统的漏洞，获取目标对象系统的某种操作控制权限。典型的权限提升方式包括：缓冲区溢出攻击、植入木马、预留后门、破解账号密码等。权限提升是后续攻击(如对目标系统信息资源和服务的非法操作)的前提。本发明将权限提升能力指标细化为获取的权限、权限的稳健性和权限获取时间三个指标。各指标的明确定义如下：

获取的权限：定义为在权限提升时段内获取的权限总量；包括网络访问控制权限、主机操作系统权限和数据库权限。

权限的稳健性：定义为维持所获得的操作系统权限所采取的技术手段的等级。

权限的获取时间：定义为提升权限操作开始到截至所经历的时间间隔。

步骤221：获取权限的量化。不同权限获取的难易程度不同，且可利用的价值不同，为突出不同权限的在总体权限中的比重，采用指数计算方法表述不同价值的权限：

其中PS(Privilege Scope)表示系统获取到的权限范围，表示等级为i的权限数量，表示权限的等级，不失一般性，权限的分类如下：

步骤222：权限稳健性的量化。主要体现在维持所获得的操作系统权限所采取的技术手段，典型的技术手段包括：缓冲区溢出、植入木马、预留后门、破解帐号密码等。

PR∈{1，5，10}

其中PR(Privilege Robustness)表示权限的稳健性，本发明将按照如下方式对其进行量化。若需要进行高难度的技术操作，则PR取值为“1”；需要进行中等难度的技术操作，则PR取值为“5”；若不需要进行任何技术操作，则PR取值为“10”。

步骤223：权限获取时间的量化。由于不同的权限可能具有不同的开始提升和截至时间，因此将总体的信息获取时间定义为所有探测时段中的最大值。

其中Time_PS表示获取权限的时间，表示各种权限开始提升到完毕的时间间隔。总上所述，将网络的权限提升能力定义为单位时间内获取到的权限信息：

其中(Capability of Privilege Escalation)表示网络的权限提升能力，PS表示权限的范围，Time_PS表示获取权限的时间。

步骤23：生存能力指标量化。主要指面对目标系统的各种防护和检测措施，攻击行为可存活的概率和自适应演化的能力。具体指标可细化为：

(1)程序执行成功的概率：定义为成功执行程序的数量与发出执行程序命令总数的比例。该指标可量化为：

其中Program表示程序成功执行的概率，times of program success表示程序成功执行的次数，total times of progranm表示试图执行程序的所有次数。

(2)开启后门的成功率：定义为成功开启后门的数量与试图开启后门总数的比例。常见的后门技术包括创建账号后门、启动监听器、网络通信后门、网络服务后门、Rootkit等。该指标可量化为：

其中Backdoor表示开启后门的成功率，times of backdoor success表示成功开启后门的次数，total times of backdoor表示试图开启后门的所有次数。

(3)平均传播速度：定义为病毒、蠕虫、木马等程序在特定时间内在目标系统中感染、控制主机、服务器或者终端的数量。该指标可量化为：

其中Spread表示传播的速度，number of infect表示感染的设备数目，Δt表示攻击行为发生的时间。

根据上述细化指标，可将网络的生存能力指标量化为：

Capbility_Via＝∑_{i＝{Program,Backdoor,Spread}}w_imetrics_i

其中Capbility_Via(Capability of Viability)表示网络的生存能力，w_i表示各个细化指标的权重，不失一般性，本发明采用均值法确定各个细化指标的权重，metrics_i表示各个细化的指标，具体包括Program,Backdoor和Spread。

步骤24：对抗能力指标量化。主要是指植入的木马、开启的后门等不被目标发现的能力。攻击者避开安全警报的可能性，攻击的对抗性越强，则相应的攻击效果越好。具体的对抗能力可细化为如下指标：

防火墙穿透率：定义为攻击行为等能成功穿越防火墙的次数与试图穿越防火墙总次数的比例。

入侵检测躲避率：定义为攻击者能成功躲避入侵检测的次数与试图躲避入侵检测总次数的比例。

病毒检测绕过率：定义为攻击行为能成功绕过病毒检测机制的次数与试图绕过病毒检测机制总次数的比例。

垃圾邮件检测绕过率：定义为攻击行为能成功绕过垃圾邮件检测的次数与发出邮件总数的比例。

根据上述细化指标，可将网络的对抗能力指标量化为：

其中Capbility_Con(Capability of Confrontation)表示网络的对抗能力，EvadeTimes表示攻击行为成功避开检测的次数，Total Times表示攻击行为发生的总次数，i分别表示针对防火墙，入侵检测、病毒检测和邮件的四种攻击行为。因为本发明是基于仿真平台的评估，每种操作都具有相应的参数存储，通过调取平台参数，并对其进行统计分析可获取到这些信息量。

步骤25：破坏能力指标量化。根据网络攻击目的的不同破坏能力又可细分为可用性破坏能力(主要指针对网络和主机的攻击行为)、完整性破坏能力(主要指针对数据的攻击行为)和信息安全性破坏能力。可用性破坏能力主要体现在动态特征的变化，而完整性破坏能力主要体现在占用、滥用主机系统资源如CPU、内存、外围设备等，大量消耗目标主机的系统资源，使其无法正常地处理程序。完整性破坏能力主要是窃取或破坏目标系统上的数据资料、配置信息等，各指标的具体说明如下。

步骤251：网络可用性破坏能力。主要指对网络的性能和功能造成的影响，如使网络速度变慢、大量占用网络带宽等等。具体指标可细化为：

(1)网络带宽占用率：定义为目标网络系统网络带宽的占用量与所有可用带宽的比例。

其中Bandwidth表示网络的带宽占用率，Occupancy Bandwidth表示占用的带宽，All Available Bandwidth表示所有可用的带宽。

(2)网络吞吐量：定义为单位时间内链路上成功传输的数据包总量。

其中Throughput表示网络的吞吐量，Total_pkt表示成功传输的数据包的总量，Δt表示采集网络吞吐量的时间间隔。

(3)网络平均延迟：定义为数据经由源站点发送到目的站点消耗的时间。

其中Delay表示网络的延迟，T_receive和T_send分别表示接收和发送数据包的时刻，Num表示发送数据包的数目。

(4)网络丢包率：单位时间内目标站点丢弃的数据量和接收到的数据总量的比例。

其中Drop表示网络丢包率，Pkt_send和Pkt_receive分别表示发送和接收的数据包的数目。

(5)网络平均响应时间：定义为从开始请求网络服务到该请求得到响应的平均时间间隔。

其中ART(Average Response Time)表示平均响应时间，Response Time表示单次的响应时间，Num表示测试的次数。

(6)网络负载量：表示在特定时间间隔内传输的数据总量

其中Load表示网络的负载量，Pkt_Transmit表示传输的数据总量，Δt表示测试时间间隔。

各个细化指标确定之后，采用“熵差”对各指标的变化率进行描述，熵差的计算公式如下：

其中ΔH表示各个细化指标的熵差，Metrics_After表示攻击行为发生之后各个指标的归一化的测试值；Metrics_Before表示攻击行为发生之前的各个细化指标的归一化的测试值。

各个细化指标的变化率确定之后，采用权重分析法量化网络可用性的破坏能力：

其中(Capability of Destroy Network Availability)表示网络可用性的破坏能力,w_i表示第i个细化指标的权重，不失一般性，本发明采用均值法确定各个细化指标的权重，ΔHi表示第i个细化的指标项的熵差。

步骤252：主机可用性破坏能力。主要指由于占用、滥用主机系统资源如CPU、内存、外围设备等，大量消耗目标主机的系统资源，使其无法正常地处理程序的攻击行为。具体的细化指标为：

(1)主机CPU占用率的变化量：定义为目标主机CPU资源的消耗量。

其中Idle(t)表示t时刻的CPU空闲时间，Δt表示攻击行为的发生时间长度。

(2)内存占用率的变化量：定义为攻击发生前后目标主机系统内存占用率的改变程度。

其中MemTotal表示系统的总体内存，MemFree(t)表示t时刻的闲置内存，Δt表示攻击行为的发生时间长度。

(3)主机硬盘占用率变化量：定义为攻击发生前后目标主机系统硬盘占用率的改变程度。

其中Disk_Used(t)表示t时刻硬盘的使用情况，Δt表示攻击行为的发生时间长度。

(4)系统平均负载量：定义为在特定时间间隔内运行队列中的平均进程数量。

其中Process(t)表示t时刻运行的进程数目，Δt表示攻击行为的发生时间长度。

各个细化指标的变化率确定之后，采用权重分析法量化主机可用性的破坏能力：

其中Capbility_(Des_HA)(Capability of Destroy Host Availability)表示主机可用性的破坏能力,w_i表示第i个细化指标的权重，不失一般性，本发明采用均值法确定各个细化指标的权重，metrics_i表示第i个细化的指标项。

步骤253：信息安全性破坏能力。主要指由于窃取或破坏目标系统上的数据资料、配置信息等导致文件系统安全性的破坏。包括信息的完整性、机密性和可用性三个方面。

(1)信息的完整性破坏，主要体现在窃取、篡改、删除文件的信息量及其所需的时间，具体指标包括：

窃取的文件信息量：定义为网络攻击所窃取到的数据文件信息的数量。

篡改的文件信息量：定义为网络攻击成功篡改的数据文件信息的数量。

删除的文件信息量：定义为网络攻击所删除的数据文件信息的数量。

窃取文件所需时间：定义为网络攻击窃取数据文件信息所花费的时间。

篡改文件所需时间：定义为网络攻击成功篡改文件信息所花费的时间。

删除文件所需时间：定义为网络攻击删除文件信息所花费的时间。

其中II(Information Integrity)表示信息完整性的破坏程度，IC(InformationContent)表示窃取、篡改和删除的信息量；Time表示窃取、篡改和删除操作所需要的时间。

(2)信息的机密性破坏，主要体现在篡改应用程序、系统和数据库的账号和口令密码。

ICon∈{0，1，2，3}

其中ICon(Information Confidence)表示信息机密性的破坏程度，本发明将按照如下方式，对其进行量化。若未进行任何操作，则ICon取值为“0”；若篡改应用程序账户口令密码成功，则ICon取值为“1”，若篡改系统账户的口令密码成功，则ICon取值为“2”，若篡改数据库的账户和口令密码成功，则ICon取值为“3”。

(3)信息的可用性破坏，主要体现在篡改系统、网络及系统服务的配置参数，进行远程操控造成的破坏。

IAvai∈{0，1，5}

其中IAvai(Information Availability)表示信息可用性的破坏程度，本发明按照如下方式，对其进行量化。若未进行任何操作，则IAvai取值为“0”；若篡改系统、网络及系统服务参数成功，则IAvai取值为“1”，若可执行远程操控，则IAvai取值为“5”。

信息的完整性，机密性和可用性确定之后，采用均值法确定信息的安全性破坏程度。

其中(Capability of Destroy Information Security)表示信息安全性的破坏能力,w_i表示第i个安全属性的权重，不失一般性，本发明采用均值法确定各个属性的权重，attribute_i表示信息的第i个安全属性值。

确定网络可用性、主机可用性和信息安全性的破坏程度之后，采用权重分析法确定攻击整体的破坏能力：

其中Capability_Des表示攻击行为的破坏能力，w_i表示第i种破坏能力的权重，不失一般性，本发明采用均值法确定各种能力的权重，表示第i种破坏能力，i分别表示网络可用性、主机可用性和信息安全性的破坏能力。

由于各指标采用了不同的计算方法，导致各指标值具有不同的取值范围。为均衡各指标对攻击效能的影响，采用离差标准化的方式对原始的指标值进行数据标准化(归一化)的处理。

其中x^*表示归一化后的指标值，x表示初始的指标值，max表示指标值的最大值，min表示指标值的最小值。标准化之后的指标值具有相同的取值范围，各指标值对攻击效能具有等效的影响效果。

确定网络的信息获取能力IA，权限提升能力PE，生存能力Via、对抗能力Con和破坏能力Des之后，采用基于权重分析的网络攻击效能综合评估模型实现网络攻击效能的综合评估。

AttackEffectiveness＝∑w_iCapabilityii∈{IA,PE,Via,Con,Des}

其中w_i可采用均值法确定，或者可以根据对网络仿真系统关注点的不同，采用不同的权重分析法确定。本发明将采用层次分析法确定各指标的相对权重。

首先基于网络攻击效能的评估指标体系，构建层次结构模型。其中上层为网络的攻击效能，根据各指标对网络攻击效能的影响，下层分别为信息获取能力、权限提升能力、生存能力、对抗能力和破坏能力五个影响因素。层次分析法通过分析元素之间的重要性比值建立成对比矩阵(相对重要程度标度矩阵)，确定各元素之间的相对重要性的权重。本发明通过对比各元素之间的重要性，构造成对比矩阵，获取各影响因素相对于网络攻击效能的权值。

然后根据层次结构模型构造成对比矩阵，它是确定各影响因素权值的关键。在攻击效能评估中，认为破坏能力的影响是最重要的，其次是权限提升能力，信息获取能力的影响相对于权限提升能力，对攻击效能的表征要弱一些，而生存和对抗能力影响则更弱一些。将相对重要程度利用层次分析法的1—9标度方法进行数值化标识度量，就形成了相对重要程度标度矩阵。该矩阵内在的蕴涵了各影响因素对仿真网络可信度的相对重要程度，从另一个角度讲，也蕴涵了各影响因子的权重分布关系。

网络攻击效能的相对重要程度标度矩阵

	破坏能力	权限提升能力	信息获取能力	生存能力	对抗能力
						破坏能力	1	3	5	7	7
权限提升能力	1/3	1	5/3	7/3	7/3
						信息获取能力	1/5	3/5	1	7/5	7/5
生存能力	1/7	3/7	5/7	1	1
						对抗能力	1/7	3/7	5/7	1	1

最后确定权重，本发明采用几何平均法计算各影响因子的权重，具体步骤如下：

(1)计算相对重要性程度标度矩阵各行各个元素的乘积，得到一个n行一列的矩阵M；

M＝{735,3.02,0.24,0.04,0.04}

(2)计算矩阵M中每个元素的n次方根得到矩阵W，n为指标个数；

W＝{3.74,1.25,0.75,0.53,0.53}

(3)对矩阵W进行归一化处理得到矩阵w；

w＝{0.55,0.18,0.11,0.08,0.08}

该对比矩阵是完全一致的，权值定义的过程是有效的。信息获取能力、权限提升能力、生存能力、对抗能力和破坏能力相对于网络攻击效能的权值分别为0.11,0.18,0.08,0.08和0.55，通过上述步骤可实现网络攻击效能的评估。

当然，本发明还可有其它多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明做出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims

1.一种基于仿真平台的网络攻防工具效能评估方法，其步骤包括：

2.如权利要求1所述的方法，其特征在于，所述效能评估结果AttackEffectiveness＝∑w_iCapability_i，w_i为第i个效能指标的权重，i∈{IA,PE,Via,Con,Des}；Capability_i为归一化后的效能指标值。

3.如权利要求2所述的方法，其特征在于，确定各效能指标的权重的方法为：首先基于网络攻击效能指标体系，构建层次结构模型；其中上层为网络的攻击效能，下层分别为信息获取能力、权限提升能力、生存能力、对抗能力和破坏能力；然后根据层次结构模型构造网络攻击效能的相对重要程度标度矩阵；然后根据相对重要程度标度矩阵计算得到指标体系中各效能指标的权重。

4.如权利要求3所述的方法，其特征在于，根据相对重要程度标度矩阵计算得到指标体系中各效能指标的权重的方法为：首先计算相对重要性程度标度矩阵各行各个元素的乘积，得到一个n行一列的矩阵M；然后计算矩阵M中每个元素的n次方根得到矩阵W；然后对矩阵W进行归一化处理得到矩阵w；矩阵w中各元素分别对应一效能指标的权重，n为效能指标个数。

5.如权利要求1所述的方法，其特征在于，信息获取能力IA的计算方法为：首先将信息获取能力细化为获取信息量、获取信息的准确性和信息获取时间三个指标；然后根据采集数据对获取信息量、获取信息的准确性和信息获取时间三个指标进行量化，并根据量化结果计算得到信息获取能力IA的指标值Capability_IA。

6.如权利要求1所述的方法，其特征在于，权限提升能力PE的计算方法为：将权限提升能力PE细化为获取的权限、权限的稳健性和权限获取时间三个指标；然后根据采集数据对获取的权限、权限的稳健性和权限获取时间三个指标进行量化，并根据量化结果计算得到权限提升能力PE的指标值Capability_PE。

7.如权利要求1所述的方法，其特征在于，生存能力Via的计算方法为：将生存能力Via细化为程序执行成功的概率、开启后门的成功率和平均传播速度三个指标；然后根据采集数据对程序执行成功的概率、开启后门的成功率和平均传播速度三个指标进行量化，并根据量化结果计算得到生存能力Via的指标值CapabilityV_ia。

8.如权利要求1所述的方法，其特征在于，对抗能力Con的计算方法为：将对抗能力Con细化为防火墙穿透率、入侵检测躲避率、病毒检测绕过率和垃圾邮件检测绕过率四个指标；然后根据采集数据对防火墙穿透率、入侵检测躲避率、病毒检测绕过率和垃圾邮件检测绕过率四个指标进行量化，并根据量化结果计算得到对抗能力Con的指标值CapbilityCon。

9.如权利要求1所述的方法，其特征在于，破坏能力Des的计算方法为：将破坏能力Des细化为网络可用性破坏能力、主机可用性破坏能力和信息安全性破坏能力三个指标；然后根据采集数据对网络可用性破坏能力、主机可用性破坏能力和信息安全性破坏能力三个指标进行量化，并根据量化结果计算得到破坏能力Des的指标值Capability_Des；其中，

10.一种基于仿真平台的网络攻防工具效能评估系统，其特征在于，包括网络攻击效能指标体系、量化分析模块和效能评估模块；其中，