CN110855715B - 基于随机Petri网的DOS攻防模拟方法 - Google Patents

Abstract

本发明涉及基于随机Petri网的DOS攻防模拟方法。包括如下过程：步骤1：利用着色Petri网，构建一个DOS攻击下着色Petri网的系统防御模型；步骤2：构建DOS攻击下系统防御模型，该模型包括以下几个模块：攻击模拟模块、攻击检测模块、资源修复模块、策略实施模块；步骤3：计算系统平均可用率；本发明利用着色Petri网进行DOS攻击下的系统防御建模，将模型分为攻击模拟模块、攻击检测模块、资源修复模块、策略实施模块四个模块，很好的实现了DOS攻击下系统防御完整流程，展现了DOS攻击下系统防御细节，所建立的模型可以客观的反应在参数已知的情况下系统的可用性。

Description

基于随机Petri网的DOS攻防模拟方法

技术领域：

本发明涉及计算机系统安全防护技术，具体涉及基于随机Petri网的DOS攻防模拟方法。

背景技术：

拒绝服务(Denial of Service,DoS)是众多网络攻击中最常见的一种类别，攻击者在短时间内向网络或者目标主机发送洪泛级别的数据包，占用大量的网络带宽、消耗目标处理资源,当正常用户进行网络通信时，会出现请求异常或者服务出错等状况,网络的正常通信质量受到威胁。DoS攻击简单有效,已经对网络的正常运行造成严重影响,是网络安全领域的一个研究重点。

目前已有学者利用Petri网进行网络攻击建模，黄光球等人提出了一套基于模糊Petri网的网络攻击建模方法，以模糊Petri网(Fuzzy Petri net，FPN)理论为基础，定义了一种面向检测的新型网络攻击模型FPAN，提出了FPAN的生成算法。该模型比攻击树(AttackTree)更能够直观反映各个步骤之间的关系，可重用性也更强，具有较好的实用性。王纯子针对当前网络攻击模型对于复杂系统的建模能力较差的问题提出一种基于层次扩展随机Petri网的全网攻击模型，该模型对宏观网络攻击和微观主机攻击具有较好的综合描述能力,适用于网络协同式组合攻击行为的模拟,并能够有效解决网络状态空间爆炸问题。

DOS攻击简单有效,已经对网络的正常运行造成严重影响，而目前针对DOS攻击的防御技术也日益成熟，有针对DOS攻击的检测识别技术，有针对DOS攻击的系统抵御策略，同时系统也会对DOS攻击所占用的资源进行修复。现有DOS攻击下系统防御模型没能很好地展现系统防御流程以及细节，没有同时考虑系统对攻击检测的功能、系统自身修复功能以及系统对攻击识别并且生成相应的防御策略的功能。

发明内容：

本发明目的是提出一种DOS攻击下着色Petri网的系统防御模型，从DOS攻击特点以及系统防御DOS攻击特点出发，利用着色Petri网对该过程进行建模，进而得到系统的可靠性。

相关术语解释：

Petri网：是一种网状信息流模型，可以用来描述一个复杂的离散事件系统的动态行为，包括表示事件的库所和表示条件的变迁两类节点。在Petri网上为库所添加表示状态信息的托肯，并参照给定的点火规则对变迁实施点火操作，则可驱动系统状态发生改变，反映系统的动态运行过程。

CPN(Colored Petri Net):着色Petri网，是指将Petri网中的托肯进行颜色集声明和分类。

具体技术方案如下：

基于随机Petri网的DOS攻防模拟方法，包括如下过程：

步骤1：利用着色Petri网，构建一个DOS攻击下着色Petri网的系统防御模型；

着色Petri网七元组为：{P，T，G，A，F，C，M₀}，

其中：P为库所p有限集合，表示系统所处的状态；T为变迁t有限合集，表示引起系统状态变化的动作；G为变迁警卫函数，表示触发变迁发生的条件；A为弧a集合，为连接库所和变迁的有向弧；F为弧函数，表示系统状态变化时库所中托肯的变化；C为托肯颜色集合，表示系统中托肯的种类；M₀为初始标识，表示系统初始状态下库所中的托肯分布数量；

在一个DOS攻击下着色Petri网的系统防御模型中，定义七元组如下：P＝{p1，p1’，p2，p3，p3’，p4，p5，p6，p7，sp1，sp2}，

其中，p1：攻击准备，p1’：已发起的攻击数，p2：攻击态，p3：系统状态，p3’：单位时间内系统可抵御攻击数，p4：策略相应，p5：策略运行准备，p6：系统资源修复准备，p7：系统受损，sp1：系统资源修复成功概率，sp2：策略运行成功概率；

库所P＝{p1，p1’，p2，p3，p3’，p4，p5，p6，p7，sp1，sp2}的初始标识M₀＝{n`(l,c(1)),1`n,0,m`(1,c(2)),1`k,1`c(3),0,0,0,1`β,1`γ}。，其中，n为单位时间内攻击到达数量，为一个随机数；m为单位时间内系统抵御攻击总数，表示系统自身抵御攻击的强度，由系统自身资源决定；α为系统攻击检测阈值，β为系统资源修复率，γ为系统策略运行成功率，由系统自身性质决定；

T＝{t1，t2，t3，t4，t5，t6}，

其中，t1：攻击发起，t2：未激活系统攻击检测，t3：激活系统攻击检测，t4：策略创建，t5：系统资源修复，t6：策略运行；

C＝{colr，NO，No×colr，T0，T1}，

其中，colr颜色集定义三个变量c(1)、c(2)、c(3)，c(1)表示DOS攻击，c(2)表示系统抵御攻击,c(3)表示系统防御策略；NO颜色集定义两个变量l、k，其中l表示单位时间内攻击方已发起的攻击数量，k表示单位时间内系统抵御攻击剩余数；T0颜色集定义两个变量s1、s2，s1表示系统资源修复成功概率，s2表示系统策略运行成功概率；T1颜色集定义两个变量r1、r2，r1、r2表示0～9随机数，以控制托肯按既定的概率进行随机传输；

警卫函数G表示触发变迁的条件，上述各变迁的警卫函数分别为：g1:l<＝n；g2:l>＝m·α且k>＝0；g3:l<＝m·α且k>＝0；

A＝{(p1,t1),(t1,p2),(p2,t2),(p3,t2),(p3',t2),(t2,p3'),(t2,p6),(p6,t5),(sp1,t5),(t5,sp1),(t5,p3),(t5,p6),(p3',t5),(t5,p3'),(t5,p7),(p2,t3),(p3,t3),(p3',t3),(t3,p3'),(t3,p4),(p4,t4),(t4,p4),(t4,p5),(p5,t6),(sp2,t6),(t6,sp2),(t6,p3),(t6,p5),(p3',t6),(t6,p3'),(t6,p7)}，表示上述各库所与变迁间的连接关系；

弧函数F表示单次变迁触发的有色托肯的流向、种类和数量，上述各弧的弧函数分别为：

f(p1,t1)＝1`(l,c(1))，表示攻击方向系统发送一次虚假数据请求；

f(t1,p2)＝1`(l,c(1))，表示此次虚假数据请求被系统接收；

f(p2,t2)＝1`(l,c(1))，f(p3,t2)＝1`(1,c(2))，f(p3',t2)＝1`k，f(t2,p3')＝1`(k-1)，表示此次攻击方的虚假数据请求占用一份单位时间内系统可抵御攻击的资源，而此时攻击方发送的虚假数据请求所占用的单位时间内系统可抵御攻击的资源数小于检测阈值，此次虚假数据请求未被检测；

f(t2,p6)＝1`(l,c(1))+1`(1,c(2))，表示此次攻击占用一份单位时间内系统可抵御攻击的资源，系统进入资源修复准备状态；

f(p6,t5)＝1`(l,c(1))+1`(1,c(2))，表示系统开始对虚假数据请求所消耗的资源进行修复；

f(sp1,t5)＝1`s1，f(t5,sp1)＝1`s1，其中s1＝β，表示系统资源将以β的概率修复成功；

f(t5,p3)＝if OK1(s1,r1),then1`(1,c(2)),else empty；f(t5,p6)＝if OK1(s1,r1),then 1`(l,c(1)),else empty；f(p3',t5)＝1`k；f(t5,p3')＝1`(k+1)；表示若系统资源修复成功，此次数据虚假请求攻击消耗的单位时间内系统可抵御攻击的资源被释放；

f(t5,p7)＝if OK1(s1,r1),then empty,else 1`(l,c(1))+1`(1,c(2))，表示若系统资源修复失败，此次数据虚假请求攻击消耗了一份单位时间内系统可抵御攻击的资源；

f(p2,t3)＝1`(l,c(1))，f(p3,t3)＝1`(1,c(2))，f(p3',t3)＝1`k，f(t3,p3')＝1`(k-1)，表示此次攻击方的虚假数据请求占用一份单位时间内系统可抵御攻击的资源，而此时攻击方发送的虚假数据请求所占用的单位时间内系统可抵御攻击的资源数大于检测阈值，此次虚假数据请求被系统检测；

f(t3,p4)＝1`(l,c(1))+1`(1,c(2))，表示系统进入策略响应状态；

f(p4,t4)＝1`(l,c(1))+1`(1,c(2))+1`c(3)，表示系统创建策略；

f(t4,p4)＝1`c(3)，f(t4,p5)＝1`(l,c(1))+1`(1,c(2))，表示系统进入策略运行准备状态；

f(p5,t6,)＝1`(l,c(1))+1`(1,c(2))，表示系统进入策略运行状态；

f(sp2,t6)＝1`s2，f(t6,sp2)＝1`s2，其中s2＝γ，表示策略将以γ的概率运行成功；

f(t6,p3)＝if OK2(s2,r2),then1`(1,c(2)),else empty；f(t6,p5)＝if OK1(s2,r2),then 1`(l,c(1)),else empty；f(p3',t6)＝1`k；f(t6,p3')＝1`(k+1)；表示若策略运行成功，此次数据虚假请求攻击未消耗单位时间内系统可抵御攻击的资源；

f(t6,p7)＝if OK1(s1,r1),then empty,else 1`(l,c(1))+1`(1,c(2))，表示若策略失败，此次数据虚假请求攻击消耗了一份单位时间内系统可抵御攻击的资源；

步骤2：构建DOS攻击下系统防御模型，该模型包括以下几个模块：攻击模拟模块、攻击检测模块、资源修复模块、策略实施模块；

攻击模拟模块在单位时间内按一定数量向系统发起虚假数据请求，以占用系统单位时间内可抵御攻击的资源数量；

若系统被占用的资源小于检测阈值，则此次攻击未被攻击检测模块检测，此时资源修复模块对被占用的系统可抵御攻击的资源以一定概率进行修复；若系统单位时间内可抵御攻击的资源数量增多则表示资源修复成功，否则失败；

若系统被占用的资源大于检测阈值，则启动攻击检测模块，对此次攻击进行监测和识别，随后启动策略实施模块，若系统单位时间内可抵御攻击的资源数量增多则表示策略运行成功，否则失败；

当单位时间内攻击次数耗尽但单位时间内系统抵御攻击资源剩余则认为攻击失败，当单位时间内系统抵御攻击资源耗尽而单位时间内攻击次数剩余则认为攻击成功。

优选方案，所述步骤2具体包括以下步骤：

步骤2.1：攻击方在单位时间内按一定数量对系统发起DOS攻击占用单位时间内系统抵御攻击资源，判断单位时间内系统抵御攻击资源占用比是否达到系统攻击检测阈值，若未达到阈值进入步骤2.2，若达到阈值进入步骤2.3；

步骤2.2：对被占用的系统资源进行修复，判断是否成功，若成功则进入步骤2.4，若失败则进入步骤2.5；

步骤2.3：系统对攻击进行防御策略的构建和运行，判断防御策略运行是否成功，若成功则进入步骤2.4，若失败则进入步骤2.5；

步骤2.4：单位时间内系统可抵御攻击资源不变，进入步骤2.6；

步骤2.5：单位时间内系统可抵御攻击资源减少，进入步骤2.6；

步骤2.6：检测单位时间内攻击剩余次数以及单位时间内系统可抵御攻击数，若二者均剩余返回步骤2.1；若单位时间内攻击次数剩余而单位时间内系统可抵御攻击资源耗尽，则判定攻击成功；若单位时间内攻击次数耗尽而单位时间内系统可抵御攻击资源剩余，则判定攻击失败。进一步优选，还包括：

步骤3：计算系统平均可用率

定义系统平均失效率为：

其中，T_S为攻击成功下攻击方与系统进行资源博弈所用时间，T_f为攻击失败下攻击方与系统进行资源博弈所用时间，P_S为攻击成功的概率，P_f为攻击失败的概率。

本专利的有益效果：本发明利用着色Petri网进行DOS攻击下的系统防御建模，将模型分为攻击模拟模块、攻击检测模块、资源修复模块、策略实施模块四个模块，很好的实现了DOS攻击下系统防御完整流程，展现了DOS攻击下系统防御细节，所建立的模型可以客观的反应在参数已知的情况下系统的可用性。

附图说明：

图1是根据步骤1所述定义的一种基于着色Petri网DOS攻击性系统防御模型七元组，得到基于着色Petri网DOS攻击性系统防御模型。

图2是步骤2.1～2.6所述流程得到DOS攻击下系统防御流程图。

图3是实施例中系统防御成功时间分布图；图中，横坐标为次数，纵坐标为系统博弈时间。

图4是实施例中系统防御失败时间分布图；图中，横坐标为次数，纵坐标为系统博弈时间。

具体实施方式：

实施例：

基于随机Petri网的DOS攻防模拟方法，包括如下过程：

步骤1：利用着色Petri网，构建一个DOS攻击下着色Petri网的系统防御模型；

着色Petri网七元组为：{P，T，G，A，F，C，M₀}，

其中：P为库所p有限集合，表示系统所处的状态；T为变迁t有限合集，表示引起系统状态变化的动作；G为变迁警卫函数，表示触发变迁发生的条件；A为弧a集合，为连接库所和变迁的有向弧；F为弧函数，表示系统状态变化时库所中托肯的变化；C为托肯颜色集合，表示系统中托肯的种类；M₀为初始标识，表示系统初始状态下库所中的托肯分布数量；

在一个DOS攻击下着色Petri网的系统防御模型中，定义七元组如下：P＝{p1，p1’，p2，p3，p3’，p4，p5，p6，p7，sp1，sp2}，

其中，p1：攻击准备，p1’：已发起的攻击数，p2：攻击态，p3：系统状态，p3’：单位时间内系统可抵御攻击数，p4：策略相应，p5：策略运行准备，p6：系统资源修复准备，p7：系统受损，sp1：系统资源修复成功概率，sp2：策略运行成功概率；

库所P＝{p1，p1’，p2，p3，p3’，p4，p5，p6，p7，sp1，sp2}的初始标识M₀＝{n`(l,c(1)),1`n,0,m`(1,c(2)),1`k,1`c(3),0,0,0,1`β,1`γ}。，其中，n为单位时间内攻击到达数量，为一个随机数；m为单位时间内系统抵御攻击总数，表示系统自身抵御攻击的强度，由系统自身资源决定；α为系统攻击检测阈值，β为系统资源修复率，γ为系统策略运行成功率，由系统自身性质决定；

T＝{t1，t2，t3，t4，t5，t6}，

其中，t1：攻击发起，t2：未激活系统攻击检测，t3：激活系统攻击检测，t4：策略创建，t5：系统资源修复，t6：策略运行；

C＝{colr，NO，No×colr，T0，T1}，

其中，colr颜色集定义三个变量c(1)、c(2)、c(3)，c(1)表示DOS攻击，c(2)表示系统抵御攻击,c(3)表示系统防御策略；NO颜色集定义两个变量l、k，其中l表示单位时间内攻击方已发起的攻击数量，k表示单位时间内系统抵御攻击剩余数；T0颜色集定义两个变量s1、s2，s1表示系统资源修复成功概率，s2表示系统策略运行成功概率；T1颜色集定义两个变量r1、r2，r1、r2表示0～9随机数，以控制托肯按既定的概率进行随机传输；

警卫函数G表示触发变迁的条件，上述各变迁的警卫函数分别为：g1:l<＝n；g2:l>＝m·α且k>＝0；g3:l<＝m·α且k>＝0；

A＝{(p1,t1),(t1,p2),(p2,t2),(p3,t2),(p3',t2),(t2,p3'),(t2,p6),(p6,t5),(sp1,t5),(t5,sp1),(t5,p3),(t5,p6),(p3',t5),(t5,p3'),(t5,p7),(p2,t3),(p3,t3),(p3',t3),(t3,p3'),(t3,p4),(p4,t4),(t4,p4),(t4,p5),(p5,t6),(sp2,t6),(t6,sp2),(t6,p3),(t6,p5),(p3',t6),(t6,p3'),(t6,p7)}，表示上述各库所与变迁间的连接关系；

弧函数F表示单次变迁触发的有色托肯的流向、种类和数量，上述各弧的弧函数分别为：

f(p1,t1)＝1`(l,c(1))，表示攻击方向系统发送一次虚假数据请求；

f(t1,p2)＝1`(l,c(1))，表示此次虚假数据请求被系统接收；

f(p2,t2)＝1`(l,c(1))，f(p3,t2)＝1`(1,c(2))，f(p3',t2)＝1`k，f(t2,p3')＝1`(k-1)，表示此次攻击方的虚假数据请求占用一份单位时间内系统可抵御攻击的资源，而此时攻击方发送的虚假数据请求所占用的单位时间内系统可抵御攻击的资源数小于检测阈值，此次虚假数据请求未被检测；

f(t2,p6)＝1`(l,c(1))+1`(1,c(2))，表示此次攻击占用一份单位时间内系统可抵御攻击的资源，系统进入资源修复准备状态；

f(p6,t5)＝1`(l,c(1))+1`(1,c(2))，表示系统开始对虚假数据请求所消耗的资源进行修复；

f(sp1,t5)＝1`s1，f(t5,sp1)＝1`s1，其中s1＝β，表示系统资源将以β的概率修复成功；

f(t5,p3)＝if OK1(s1,r1),then1`(1,c(2)),else empty；f(t5,p6)＝if OK1(s1,r1),then 1`(l,c(1)),else empty；f(p3',t5)＝1`k；f(t5,p3')＝1`(k+1)；表示若系统资源修复成功，此次数据虚假请求攻击消耗的单位时间内系统可抵御攻击的资源被释放；

f(t5,p7)＝if OK1(s1,r1),then empty,else 1`(l,c(1))+1`(1,c(2))，表示若系统资源修复失败，此次数据虚假请求攻击消耗了一份单位时间内系统可抵御攻击的资源；

f(p2,t3)＝1`(l,c(1))，f(p3,t3)＝1`(1,c(2))，f(p3',t3)＝1`k，f(t3,p3')＝1`(k-1)，表示此次攻击方的虚假数据请求占用一份单位时间内系统可抵御攻击的资源，而此时攻击方发送的虚假数据请求所占用的单位时间内系统可抵御攻击的资源数大于检测阈值，此次虚假数据请求被系统检测；

f(t3,p4)＝1`(l,c(1))+1`(1,c(2))，表示系统进入策略响应状态；

f(p4,t4)＝1`(l,c(1))+1`(1,c(2))+1`c(3)，表示系统创建策略；

f(t4,p4)＝1`c(3)，f(t4,p5)＝1`(l,c(1))+1`(1,c(2))，表示系统进入策略运行准备状态；

f(p5,t6,)＝1`(l,c(1))+1`(1,c(2))，表示系统进入策略运行状态；

f(sp2,t6)＝1`s2，f(t6,sp2)＝1`s2，其中s2＝γ，表示策略将以γ的概率运行成功；

f(t6,p3)＝if OK2(s2,r2),then1`(1,c(2)),else empty；f(t6,p5)＝if OK1(s2,r2),then 1`(l,c(1)),else empty；f(p3',t6)＝1`k；f(t6,p3')＝1`(k+1)；表示若策略运行成功，此次数据虚假请求攻击未消耗单位时间内系统可抵御攻击的资源；

f(t6,p7)＝if OK1(s1,r1),then empty,else 1`(l,c(1))+1`(1,c(2))，表示若策略失败，此次数据虚假请求攻击消耗了一份单位时间内系统可抵御攻击的资源；

步骤2：构建DOS攻击下系统防御模型，该模型包括以下几个模块：攻击模拟模块、攻击检测模块、资源修复模块、策略实施模块；

攻击模拟模块在单位时间内按一定数量向系统发起虚假数据请求，以占用系统单位时间内可抵御攻击的资源数量；

步骤2.1：攻击方在单位时间内按一定数量对系统发起DOS攻击占用单位时间内系统抵御攻击资源，判断单位时间内系统抵御攻击资源占用比是否达到系统攻击检测阈值，若未达到阈值进入步骤2.2，若达到阈值进入步骤2.3；

步骤2.2：对被占用的系统资源进行修复，判断是否成功，若成功则进入步骤2.4，若失败则进入步骤2.5；

步骤2.3：系统对攻击进行防御策略的构建和运行，判断防御策略运行是否成功，若成功则进入步骤2.4，若失败则进入步骤2.5；

步骤2.4：单位时间内系统可抵御攻击资源不变，进入步骤2.6；

步骤2.5：单位时间内系统可抵御攻击资源减少，进入步骤2.6；

步骤2.6：检测单位时间内攻击剩余次数以及单位时间内系统可抵御攻击数，若二者均剩余返回步骤2.1；若单位时间内攻击次数剩余而单位时间内系统可抵御攻击资源耗尽，则判定攻击成功；若单位时间内攻击次数耗尽而单位时间内系统可抵御攻击资源剩余，则判定攻击失败；

步骤3：计算系统平均可用率

定义系统平均失效率为：

其中，T_S为攻击成功下攻击方与系统进行资源博弈所用时间，T_f为攻击失败下攻击方与系统进行资源博弈所用时间，P_S为攻击成功的概率，P_f为攻击失败的概率。

运用CPN TOOLS软件对建立的基于着色Petri网DOS攻击性系统防御模型进行仿真，统计后得到100个单位时间攻击方发起后攻攻击成功和攻击失败的概率分别为46％和54％，同时统计每个单位时间攻击后攻击方攻与系统进行资源博弈的时间。得到结果如图3、图4所示。

将仿真结果计算该系统的平均失效率为：29.35％，由此可知该系统的平均失效率较高，系统可靠性较低。

Claims (3)

1.基于随机Petri网的DOS攻防模拟方法，其特征在于，包括如下过程：

步骤1：利用着色Petri网，构建一个DOS攻击下着色Petri网的系统防御模型；

着色Petri网七元组为：{P，T，G，A，F，C，M₀}，

其中：P为库所p有限集合，表示系统所处的状态；T为变迁t有限合集，表示引起系统状态变化的动作；G为变迁警卫函数，表示触发变迁发生的条件；A为弧a集合，为连接库所和变迁的有向弧；F为弧函数，表示系统状态变化时库所中托肯的变化；C为托肯颜色集合，表示系统中托肯的种类；M₀为初始标识，表示系统初始状态下库所中的托肯分布数量；

在一个DOS攻击下着色Petri网的系统防御模型中，定义七元组如下：P＝{p1，p1’，p2，p3，p3’，p4，p5，p6，p7，sp1，sp2}，

其中，p1：攻击准备，p1’：已发起的攻击数，p2：攻击态，p3：系统状态，p3’：单位时间内系统可抵御攻击数，p4：策略相应，p5：策略运行准备，p6：系统资源修复准备，p7：系统受损，sp1：系统资源修复成功概率，sp2：策略运行成功概率；

库所P＝{p1，p1’，p2，p3，p3’，p4，p5，p6，p7，sp1，sp2}的初始标识M₀＝{n`(l,c(1)),1`n,0,m`(1,c(2)),1`k,1`c(3),0,0,0,1`β,1`γ}，其中，n为单位时间内攻击到达数量，为一个随机数；m为单位时间内系统抵御攻击总数，表示系统自身抵御攻击的强度，由系统自身资源决定；α为系统攻击检测阈值，β为系统资源修复率，γ为系统策略运行成功率，由系统自身性质决定；

T＝{t1，t2，t3，t4，t5，t6}，

其中，t1：攻击发起，t2：未激活系统攻击检测，t3：激活系统攻击检测，t4：策略创建，t5：系统资源修复，t6：策略运行；

C＝{colr，NO，No×colr，T0，T1}，

其中，colr颜色集定义三个变量c(1)、c(2)、c(3)，c(1)表示DOS攻击，c(2)表示系统抵御攻击,c(3)表示系统防御策略；NO颜色集定义两个变量l、k，其中l表示单位时间内攻击方已发起的攻击数量，k表示单位时间内系统抵御攻击剩余数；T0颜色集定义两个变量s1、s2，s1表示系统资源修复成功概率，s2表示系统策略运行成功概率；T1颜色集定义两个变量r1、r2，r1、r2表示0～9随机数，以控制托肯按既定的概率进行随机传输；

警卫函数G表示触发变迁的条件，警卫函数分别为：g1:l<＝n；g2:l>＝m·α且k>＝0；g3:l<＝m·α且k>＝0；

A＝{(p1,t1),(t1,p2),(p2,t2),(p3,t2),(p3',t2),(t2,p3'),(t2,p6),(p6,t5),(sp1,t5),(t5,sp1),(t5,p3),(t5,p6),(p3',t5),(t5,p3'),(t5,p7),(p2,t3),(p3,t3),(p3',t3),(t3,p3'),(t3,p4),(p4,t4),(t4,p4),(t4,p5),(p5,t6),(sp2,t6),(t6,sp2),(t6,p3),(t6,p5),(p3',t6),(t6,p3'),(t6,p7)}，表示上述各库所与变迁间的连接关系；

弧函数F表示单次变迁触发的有色托肯的流向、种类和数量，上述各弧的弧函数分别为：

f(p1,t1)＝1`(l,c(1))，表示攻击方向系统发送一次虚假数据请求；

f(t1,p2)＝1`(l,c(1))，表示此次虚假数据请求被系统接收；

f(p2,t2)＝1`(l,c(1))，f(p3,t2)＝1`(1,c(2))，f(p3',t2)＝1`k，f(t2,p3')＝1`(k-1)，表示此次攻击方的虚假数据请求占用一份单位时间内系统可抵御攻击的资源，而此时攻击方发送的虚假数据请求所占用的单位时间内系统可抵御攻击的资源数小于检测阈值，此次虚假数据请求未被检测；

f(t2,p6)＝1`(l,c(1))+1`(1,c(2))，表示此次攻击占用一份单位时间内系统可抵御攻击的资源，系统进入资源修复准备状态；

f(p6,t5)＝1`(l,c(1))+1`(1,c(2))，表示系统开始对虚假数据请求所消耗的资源进行修复；

f(sp1,t5)＝1`s1，f(t5,sp1)＝1`s1，其中s1＝β，表示系统资源将以β的概率修复成功；

f(t5,p3)＝if OK1(s1,r1),then1`(1,c(2)),else empty；f(t5,p6)＝if OK1(s1,r1),then 1`(l,c(1)),else empty；f(p3',t5)＝1`k；f(t5,p3')＝1`(k+1)；表示若系统资源修复成功，此次数据虚假请求攻击消耗的单位时间内系统可抵御攻击的资源被释放；

f(t5,p7)＝if OK1(s1,r1),then empty,else 1`(l,c(1))+1`(1,c(2))，表示若系统资源修复失败，此次数据虚假请求攻击消耗了一份单位时间内系统可抵御攻击的资源；

f(p2,t3)＝1`(l,c(1))，f(p3,t3)＝1`(1,c(2))，f(p3',t3)＝1`k，f(t3,p3')＝1`(k-1)，表示此次攻击方的虚假数据请求占用一份单位时间内系统可抵御攻击的资源，而此时攻击方发送的虚假数据请求所占用的单位时间内系统可抵御攻击的资源数大于检测阈值，此次虚假数据请求被系统检测；

f(t3,p4)＝1`(l,c(1))+1`(1,c(2))，表示系统进入策略响应状态；

f(p4,t4)＝1`(l,c(1))+1`(1,c(2))+1`c(3)，表示系统创建策略；

f(t4,p4)＝1`c(3)，f(t4,p5)＝1`(l,c(1))+1`(1,c(2))，表示系统进入策略运行准备状态；

f(p5,t6,)＝1`(l,c(1))+1`(1,c(2))，表示系统进入策略运行状态；

f(sp2,t6)＝1`s2，f(t6,sp2)＝1`s2，其中s2＝γ，表示策略将以γ的概率运行成功；

f(t6,p3)＝if OK2(s2,r2),then1`(1,c(2)),else empty；f(t6,p5)＝if OK1(s2,r2),then 1`(l,c(1)),else empty；f(p3',t6)＝1`k；f(t6,p3')＝1`(k+1)；表示若策略运行成功，此次数据虚假请求攻击未消耗单位时间内系统可抵御攻击的资源；

f(t6,p7)＝if OK1(s1,r1),then empty,else 1`(l,c(1))+1`(1,c(2))，表示若策略失败，此次数据虚假请求攻击消耗了一份单位时间内系统可抵御攻击的资源；

步骤2：构建DOS攻击下系统防御模型，该模型包括以下几个模块：攻击模拟模块、攻击检测模块、资源修复模块、策略实施模块；

攻击模拟模块在单位时间内按一定数量向系统发起虚假数据请求，以占用系统单位时间内可抵御攻击的资源数量；

若系统被占用的资源小于检测阈值，则此次攻击未被攻击检测模块检测，此时资源修复模块对被占用的系统可抵御攻击的资源以一定概率进行修复；若系统单位时间内可抵御攻击的资源数量增多则表示资源修复成功，否则失败；

若系统被占用的资源大于检测阈值，则启动攻击检测模块，对此次攻击进行监测和识别，随后启动策略实施模块，若系统单位时间内可抵御攻击的资源数量增多则表示策略运行成功，否则失败；

当单位时间内攻击次数耗尽但单位时间内系统抵御攻击资源剩余则认为攻击失败，当单位时间内系统抵御攻击资源耗尽而单位时间内攻击次数剩余则认为攻击成功。

2.根据权利要求1所述基于随机Petri网的DOS攻防模拟方法，其特征在于，所述步骤2具体包括以下步骤：

步骤2.1：攻击方在单位时间内按一定数量对系统发起DOS攻击占用单位时间内系统抵御攻击资源，判断单位时间内系统抵御攻击资源占用比是否达到系统攻击检测阈值，若未达到阈值进入步骤2.2，若达到阈值进入步骤2.3；

步骤2.2：对被占用的系统资源进行修复，判断是否成功，若成功则进入步骤2.4，若失败则进入步骤2.5；

步骤2.3：系统对攻击进行防御策略的构建和运行，判断防御策略运行是否成功，若成功则进入步骤2.4，若失败则进入步骤2.5；

步骤2.4：单位时间内系统可抵御攻击资源不变，进入步骤2.6；

步骤2.5：单位时间内系统可抵御攻击资源减少，进入步骤2.6；

步骤2.6：检测单位时间内攻击剩余次数以及单位时间内系统可抵御攻击数，若二者均剩余返回步骤2.1；若单位时间内攻击次数剩余而单位时间内系统可抵御攻击资源耗尽，则判定攻击成功；若单位时间内攻击次数耗尽而单位时间内系统可抵御攻击资源剩余，则判定攻击失败。

3.根据权利要求2所述基于随机Petri网的DOS攻防模拟方法，其特征在于，还包括：

步骤3：计算系统平均可用率

定义系统平均失效率为：

其中，T_s为攻击成功下攻击方与系统进行资源博弈所用时间，T_f为攻击失败下攻击方与系统进行资源博弈所用时间，P_s为攻击成功的概率，P_f为攻击失败的概率。

Images