CN112217650A - 网络阻塞攻击效果评估方法、装置及存储介质 - Google Patents

Abstract

本发明提供了网络阻塞攻击效果评估方法、装置及存储介质，所述方法包括步骤：确定网络阻塞攻击对应的评估指标；监控网络并对确定的评估指标进行数据采集和存储；预处理所述评估指标的数据；将已有的网络攻击评价数据作为样本，采用算法挖掘所述评估指标之间的比较隶属度，并建立为模糊评估矩阵；将模糊矩阵改造为模糊一致矩阵；计算所述评估指标的单层权重向量；计算攻击态势值评价矩阵。本申请通过数据挖掘中的特征提取的方法来建立模糊评估矩阵，实现对隐马尔可夫模型的改进并以此进行分析计算，辅助专家评估，能够对阻塞攻击效果更准确客观的评估，提升了有效性和实时性。

Description

网络阻塞攻击效果评估方法、装置及存储介质

技术领域

本发明涉及网络完全技术领域，尤其涉及一种网络阻塞攻击效果评估方法、装置及存储介质。

背景技术

随着互联网技术的发展与普及，网络攻击的形式与危害也逐渐升高，网络攻击也越来越容易造成巨大损失，且为将网络攻击造成的损失降到最低，现阶段开展了对不同种类的攻击行为的研究，通过攻击效果评估来完善网络系统的抗攻击能力。

网络阻塞攻击，又称为拒绝服务攻击DoS(Denial Of Service)，是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统停止响应甚至崩溃，作为近几年快速发展的新型网络攻击，其评估复杂，特异性强，目前已有的网络攻击效果评估方法所建立的评估指标体系并不能适用于不同种类的网络阻塞攻击。由于正常网络访问状态与判定阻塞攻击发生时网络状态分界线难以确定，现有技术中采用专家评定的方式提取特征关系，工作量大，并且专家评价具有很大的主观性与不可靠性，无法做到准确客观的评价。

发明内容

本发明的目的是针对现有技术的不足，提供一种网络阻塞攻击效果评估方法、装置及存储介质，用于针对特定类型网络阻塞攻击建立评估指标体系，采用算法挖掘已有的网络阻塞攻击评价数据，提高评估的客观性和准确性。

本发明解决技术问题的方案是：

一方面，本发明提供一种网络阻塞攻击效果评估方法，包括：

确定网络阻塞攻击对应的评估指标；

监控网络并对确定的评估指标进行数据采集和存储；

对采集的评估指标数据进行预处理，以使得预处理后得到的评估指标的值区间和量纲统一，并基于预处理后的评估指标的值建立标准评估矩阵：B＝(b_ij)_m*n，b_ij为第i组采集的评估指标数据第j个评估指标预处理后的值，m为采集的评估指标数据的组数，n为评估指标的项数；

将已有的网络攻击评价数据作为样本，采用数据挖掘方法获取评估指标之间的比较隶属度，并建立模糊评估矩阵R，

其中，r_ij表示第个i评估指标相对于第j个所述评估指标的比较隶属度，n为所述评估指标的项数；

将模糊评估矩阵R作均值化变换变换为模糊一致矩阵R′，

根据模糊一致矩阵计算评估指标的指标层权重向量

n为评估指标项数，w_i为第i个评估指标的权重值；

基于标准评估矩阵和指标层权重向量的乘积得到攻击态势值评价矩阵U_m*1＝(b_ij)_m*n·W_n*1，其中，m为采集的评估指标数据的组数，n为评估指标的项数，W_n*1为指标层权重向量。

在一些实施例中，所述网络阻塞攻击对应的评估指标包括以下指标中的一类或多类：系统资源类指标、安全类指标、网络资源类指标和/或服务状态类指标。

在一些实施例中，所述系统资源类指标包括以下指标中的一个或多个：磁盘利用率指标、CPU利用率指标和/或内存利用率指标；所述安全类指标包括以下指标中的一个或多个：防火墙穿透率指标、进程隐藏率指标和/或IDS躲避率指标；所述网络资源类指标包括以下指标中的一个或多个：网络带宽利用率指标、网络延迟指标、丢包率指标和/或网络延迟变化量指标；所述服务状态类指标包括以下指标中的一个或多个：请求响应时间指标、响应处理时间指标、响应成功率指标和/或网络平均响应延迟指标。

在一些实施例中，所述对采集的评估指标数据进行预处理以使得预处理后得到的评估指标的值区间和量纲统一，并基于预处理后的评估指标的值建立标准评估矩阵的步骤包括：

1)将采集的评估指标数据分为正向型数据与反向型数据；

2)对正向型数据按照如下方式进行预处理：

3)对反向型数据按照如下方式进行预处理：

4)建立标准评估矩阵：B＝(b_ij)_m*n；

其中，a_ij为采集的第i组评估指标数据中的第j个评估指标数据的值，max(a_ij)为采集的评估指标数据中第j个评估指标的最大值，min(a_ij)为采集的评估指标数据中第j个评估指标的最小值。

在一些实施例中，所述将已有的网络攻击评价数据作为样本，采用数据挖掘方法获取评估指标之间的比较隶属度，并建立模糊评估矩阵R的步骤包括：

采用Apriori算法作为数据挖掘算法；

提取已有的网络攻击数据样本中的评价指标对应关系和比较隶属度，建立事务数据库；

扫描事务数据库中的项，对每个项进行计数得到第一候选频繁项集；

根据所述第一候选频繁项集生成以{所述评价指标对应关系，比较隶属度}为项的第二候选频繁项集；

扫描事务数据库，计算第二候选频繁项集中每个项目的支持度，淘汰所述第二候选频繁项集中支持度小于1的项目；

将第i个评价指标对第j个评估指标下支持度最高的比较隶属度置为r_ij的值，建立所述模糊评估矩阵

在一些实施例中，所述模糊评估矩阵R变换为模糊一致矩阵R′的变换式为

i＝1，2，…，n，j＝1，2，…，n，k为修正参数，k为0.4～0.6。

在一些实施例中，所述修正参数K为0.5。

在一些实施例中，所述第i个评估指标的权重值

其中，n为评估指标的项数，

另一方面，本发明还提供一种阻塞攻击效果评估装置，该装置包括：存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，该计算机程序在被处理器执行时实现上述网络阻塞攻击效果评估方法的步骤。

另一方面，该计算机存储介质中存储有计算机程序，当计算机程序被执行时执行上述网络阻塞攻击效果评估方法的步骤。

本发明的网络阻塞攻击效果评估方法及装置，通过分析研究阻塞攻击的特点，改进已有典型网络攻击评估体系指标，建立针对阻塞攻击的攻击效果评估指标体系，评价更精准。通过数据挖掘中的特征提取的方法来建立模糊评估矩阵，实现对隐马尔可夫模型的改进并以此进行分析计算，杜绝了专家评价中的主观性，能够对阻塞攻击效果更准确客观的评估，提升了有效性和实时性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1为本发明一实施例所述网络阻塞攻击效果评估方法的流程示意图。

图2为本发明一实施例所述网络阻塞攻击效果评估方法的评估指标图。

图3为本发明一实施例所述网络阻塞攻击效果评估方法采用Apriori算法挖掘模糊关系矩阵的流程示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本发明实施例做进一步详细说明。在此，本发明的示意性实施例及其说明用于解释本发明，但并不作为对本发明的限定。

在此，还需要说明的是，为了避免因不必要的细节而模糊了本发明，在附图中仅仅示出了与根据本发明的方案密切相关的结构和/或处理步骤，而省略了与本发明关系不大的其他细节。

为了克服现有网络攻击评估方法不能有效适用于评价网络阻塞攻击的问题，以及人为建立模糊评估矩阵不客观不准确的问题，本申请提供一种网络阻塞攻击效果评估方法，该方法针对网络阻塞攻击选取评估指标建立评估体系，并采用通过数据挖掘中的特征提取的方法来建立模糊矩阵，实现对隐马尔可夫模型中建立模糊矩阵方式的改进并以此进行分析计算，杜绝传统专家评价方式建立模糊评估矩阵的主观性影响，提升准确度和实时性。

如图1所示，本发明一实施例中所述网络阻塞攻击效果评估方法，步骤包括：

步骤S101：确定网络阻塞攻击对应的评估指标。

网络阻塞攻击的类型多种多样，常见的类型包括：DDoS攻击(Distributed Denialof Service分布式拒绝服务攻击)、LDoS攻击(Low-rate Denial of Service低速率拒绝服务攻击)等。虽然网络阻塞攻击的类型多种多样，但这些网络阻塞攻击通常都具有依赖网络且发生阻塞攻击时网络状态变化明显的特点。现有的网络攻击评价方法由于采取的评估指标体系不同，评估所针对的特点不同，因而不能有效适应网络阻塞攻击的特点并做出评价。

在本实施例中，针对网络阻塞攻击的特点，可以选取以下4类指标中的至少一类指标作为网络阻塞攻击对应的评估指标：用于评价系统设备资源利用率的系统资源类指标、用于评价系统安全性能的安全类指标、用于评价系统网络状态的网络资源类指标、用于评价系统服务状态的服务状态类指标。当然，也可以根据具体的网络阻塞攻击类型的特点具体选择更多或更少的评估指标。

作为示例，选取的网络阻塞攻击对应的评估指标如下：

(1)系统资源类指标3个，包括：磁盘利用率指标、CPU利用率指标、内存利用率指标；

(2)安全类指标3个，包括：防火墙穿透率指标、进程隐藏率指标、IDS躲避率指标；

(3)网络资源类指标4个，包括：网络带宽利用率指标、网络延迟指标、丢包率指标、网络延迟变化量指标；

(4)服务状态类指标4个，包括：请求响应时间指标、响应处理时间指标、响应成功率指标、网络平均响应延迟指标。

如图2所示，在本示例中，根据网络阻塞攻击的特点，选取的评估指标具体说明如下：

磁盘利用率指标为网络攻击开始前后目标计算机系统的磁盘利用率的改变程度；

CPU利用率为网络攻击开始前后目标计算机系统的CPU利用率的改变程度；

内存利用率为网络攻击开始前后目标计算机系统的内存利用率的改变程度；

防火墙穿透率指标为网络攻击成功穿透防火墙的成功率；

IDS躲避率指标为网络攻击绕过IDS的成功率；

网络带宽率用率指标为网络攻击开始前后目标计算机系统的网络带宽利用率的改变程度；

网络延迟指标为网络攻击开始前后目标计算机系统的网络响应的改变程度；丢包率指标为网络攻击开始前后向目标计算机系统发送的数据包的丢失比率；

网络延迟变化量指标为网络攻击开始前后目标计算机系统的网络响应的改变程度的变化量，是衡量网络状态变化的数值；

请求响应时间指标为网络攻击开始前后向目标计算机系统对正常请求的响应时间；

响应处理时间指标为网络攻击开始前后向目标计算机系统对正常请求从接收至处理所用的时间；

响应成功率指标为网络攻击开始前后向目标计算机系统成功响应的请求的比率；

网络平均相应延迟指标为网络攻击开始前后向目标计算机系统响应正常请求的平均变化量。

以上选取的各类指标中具体指标的个数仅为示例，还可以选取其中部分指标或其他额外的指标。

此外，可以针对不同的网络阻塞攻击类型预存储多组评估指标组合，在执行时选取其中的一组或多组。也可以在每次执行评估步骤前，选取变化程度较大的一个或多个评估指标，具体的，可以历遍所有预存储的评估指标，将评估指标按照变化率由大到小排序，并选取前一个或多个评估指标执行评估步骤。

步骤S102：监控网络并对确定的评估指标进行数据采集和存储。

评估指标的数据的采集方式可以是间隔一定时间周期、工作周期或者其他可用于标记的周期采集数据以进行评价，在某些实施例中也可以是实时采集和评估；进一步地，将采集到的评估指标的数据进行缓存用于计算，可以在内存设备中短期存储，也可以记录在硬盘设备中长期存储并随时调用。

步骤S103：对采集的评估指标数据进行预处理，通过标准化和极值话的变换，以使得预处理后得到的评估指标的值区间和量纲统一，并基于预处理后的评估指标的值建立标准评估矩阵：B＝(b_ij)_m*n，b_ij为第i组采集的评估指标数据第j个评估指标预处理后的值，m为采集的评估指标数据的组数，n为评估指标的项数。

例如，在步骤S101的示例中，选取的评估指标包括：系统资源类指标3个、安全类指标3个、网络资源类指标4个、服务状态类指标4个，则评估指标的项数n为14；进一步地，评估指标数据的组数m结合具体采集的数据组数确定。

在本实施例中，由于采集的评估指标不同，因此具体数值的区间、量纲与网络阻塞攻击效果的评价关系也有显著不同。评估指标中，部分数值越大表示危害程度越小，这类评估指标定义为正向型数据；部分数值越大表示危害程度越大，这类评估指标定义为反向型。为了统一正向型数据和反向型数据的评估方式，本实施例通过数学变换的方式将评估指标的数据的值区间和量纲统一，为后续步骤加权计算做准备。本实施例中的数学变换的方式并不是特定的、唯一的，应当理解为能够达到统一值区间和量纲的数学变换方式均包含在本申请的构思范围内。

得到的B＝(b_ij)_m*n为一个m行n列的矩阵，每一行表示一组数据的n个评估指标的数据修正后的值，整体表示为m组数据修正后的值。

在一些实施例中，对采集的评估指标数据进行预处理以使得预处理后得到的评估指标的值区间和量纲统一，并基于预处理后的评估指标的值建立标准评估矩阵的步骤包括：

1)将采集的评估指标数据分为正向型数据与反向型数据；

2)对正向型数据按照如下方式进行预处理：

3)对反向型数据按照如下方式进行预处理：

4)建立标准评估矩阵：B＝(b_ij)_m*n；

其中，a_ij为采集的第i组评估指标数据中的第j个评估指标数据的值，max(a_ij)为采集的评估指标数据中第j个评估指标的最大值，min(a_ij)为采集的评估指标数据中第j个评估指标的最小值。

本实施例通过将正向型数据和反向型数据的数学变换，统一了值区间和量纲，为后续步骤中加权处理做准备。在另一些实施例中，还可以采用其他数学变换，数学变换的方式并不是特定的、唯一的，应当理解为能够达到统一值区间和量纲的数学变换方式均包含在本申请的构思范围内。

步骤S104：将已有的网络攻击评价数据作为样本，采用数据挖掘方法获取评估指标之间的比较隶属度，并建立模糊评估矩阵R，

其中，r_ij表示第个i评估指标相对于第j个所述评估指标的比较隶属度，n为所述评估指标的项数。

在本实施例中，比较隶属度用于反映两个不同的评估指标之间的重要度的关系，因此，定义r_ij表示第i个评估指标相对于第j个评估指标的重要程度，例如，当第i个评估指标相对于第j个评估指标同样重要时，r_ij设置为0.5；当第i个评估指标相对于第j个评估指标极端重要时，r_ij设置为0.9。

现有的评估方法中，通常采用专家评估的方式获得评估指标之间的比较隶属度，进而建立模糊评估矩阵R。这种方式依赖于评价者的专业知识，并且具有很大的主观性和不可靠性，评价结果的客观性不能保障。

本实施例中，采用数据挖掘的方法将已有的各种类型网络攻击评价数据作为样本，提取每个样本中涉及的本申请中的评估指标以及对应的比较隶属度，通过算法进行数据挖掘，得到每个评估指标支持度最高的比较隶属度，作为r_ij，并最终建立为模糊评估矩阵R。

在一些实施例中，所述将已有的网络攻击评价数据作为样本，采用数据挖掘方法获取评估指标之间的比较隶属度，并建立模糊评估矩阵R的步骤包括：

采用Apriori算法作为挖掘数据的算法；

提取已有的网络攻击数据样本中的评价指标对应关系和比较隶属度，建立事务数据库D；

扫描事务数据库D中的项，对每个项进行计数得到第一候选频繁项集C₁；

根据第一候选频繁项集C₁生成以{所述评价指标对应关系，比较隶属度}为项的第二候选频繁项集C₂；

扫描事务数据库D，计算第二候选频繁项集C₂中每个项目的支持度，淘汰所述第二候选频繁项集C₂中支持度小于1的项目，得到频繁项集L₂；

将第i个评价指标对第j个评估指标下支持度最高的比较隶属度置为r_ij的值，建立所述模糊评估矩阵

在本实施例中，通过从已有的网络安全评估数据中挖掘选定用于评价网络阻塞攻击的评估指标的模糊关系，即比较隶属度。

已有的网络安全评估数据的类别不限于某一种或者某一类网络攻击，应当理解为只要包含本申请选定的评估指标的对应关系和比较隶属度内容的，即可以作为样本数据。

下面给出一具体实施例，如图3所示，从已有的网络攻击评估数据中挖掘数据建立事务数据库D，事务数据库D中项目集为采集到的评估指标对应关系和相应的比较隶属度，其中，r_ij表示第i个评估指标相对于第j个评估指标的重要程度关系(比较隶属度)，r_xy表示第x个评估指标相对于第y个评估指标的重要程度关系(比较隶属度)，r_mn表示第m个评估指标相对于第n个评估指标的重要程度关系(比较隶属度)。

需要说明的是，由于已有的网络安全评估数据来自于不同种类的网络攻击，因此，每一组样本数据中能够采集到有效的评估指标对应关系和相应的比较隶属度的数量是不定的，这里的有效指的是涉及到本申请所选定的评估指标对应关系及其比较隶属度，例如，T100、T200和T300从第一个样本数据中采集，T400从第二个样本数据中采集，T500和T600从第三个样本数据中采集，T700从第五个样本数据中采集，第四个样本数据中没有采集到有效项目集。

从事务数据库D生成第一候选频繁项集C₁，并得到支持度计数；进一步通过第一候选频繁项集C₁生成如图3所示的第二候选频繁项集C₂，得到支持度计数，淘汰第二候选频繁项集C₂中支持度小于1的项目，也即淘汰了没有意义和事务数据库D中没有出现的项目集，得到频繁项集L₂；最终，根据频繁项集L₂得到评估指标之间支持度最高的比较隶属度，r_ij值为0.1，r_xy值为0.3，r_mn值为0.4，进一步根据得到的比较隶属度值建立模糊评估矩阵。

步骤S105：将模糊评估矩阵R作均值化变换变换为模糊一致矩阵R′，

在本实施例中，为了进一步均值化评估指标之间的比较隶属度，减少特异性数据的影响，将第i个评估指标相对于第j个评估指标的模糊关系进一步地修正为，第i个评估指标相对于其他评估指标(具体为相对于第i个评估指标的其他评估指标)重要程度的平均值与其他评估指标(具体为相对于第j个评估指标的其他评估指标)相对于第j个评估指标重要程度的平均值的差的修正值。

在一些实施例中，所述模糊评估矩阵R变换为模糊一致矩阵R′的变换式为

i＝1，2，…，n，j＝1，2，…，n，k为修正参数，k为0.4～0.6。

在本事实例中，为了进一步均值化评估指标之间的比较隶属度，减少特异性数据的影响，将第i个评估指标相对于第j个评估指标的模糊关系进一步地修正为，第i个评估指标相对于其他评估指标重要程度的平均值与其他评估指标相对于第j个评估指标均重要程度的平均值的差的修正值，其中修正的方式是将所述差除以2后加上修正参数k。

在一些实施例中，所述修正参数K为0.5。

步骤S106：根据模糊一致矩阵计算评估指标的指标层权重向量

n为评估指标项数，w_i为第i个评估指标的权重值。

在本身实施例中，通过数学变换将某一评估指标相对于其他评估指标的重要程度均值化并修正，得到该评估指标的权重值。本实施例中的数学变换的方式并不是特定的、唯一的，应当理解为能够达到均值化效果的数学变换方式均包含在本申请的构思范围内。

在一些实施例中，所述第i个评估指标的权重值

其中，n为评估指标的项数，

i＝1，2，…，n。在一些实施例中，所述网络阻塞攻击效果评估方法还包括根据攻击态势值评价矩阵U_m*1生成对网络阻塞攻击效果的总体评价报告。

步骤S107：基于标准评估矩阵和指标层权重向量的乘积得到攻击态势值评价矩阵U_m*1＝(b_ij)_m*n·W_n*1，其中，m为采集的评估指标数据的组数，n为评估指标的项数，W_n*1为指标层权重向量。

在本实施例中，将标准评估矩阵加权运算得到U_m*1，U_m*1为一个m行1列的矩阵，其中每个元素为对应的一组数据加权运算后得到的攻击态势值，攻击态势值越大表示对应的网络阻塞攻击的破坏程度越大。

在本实施例中，进一步根据计算得到的攻击态势值评价矩阵U_m*1，提取U_m*1中的每个元素作为评分，评分越高表示对应的网络阻塞攻击的破坏程度越大，根据评分生成利于阅读和分析的总体评价报告，其具体形式和内容，可以根据具体的需要制定，应当理解为，并不限于特定形式、内容和表达方式。

相应的，本发明还提供一种阻塞攻击效果评估装置，该装置包括：存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，该计算机程序在被处理器执行时实现上述网络阻塞攻击效果评估方法的步骤。

上述的本发明实施例的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个计算装置(如处理器)上，或者分布在多个计算装置所组成的网络上，可选的，它们可以用计算装置可执行的程序代码来实现，从而可以将他们存储在装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将他们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明实施例不限制于任何特定的硬件和软件结合。

另一方面，本发明还提供一种计算机存储介质，其特征在于，该计算机存储介质中存储有计算机程序，当计算机程序被执行时执行如前文所述网络阻塞攻击效果评估方法的步骤。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

在本说明书的描述中，参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。各实施例中涉及的步骤顺序用于示意性说明本发明的实施，其中的步骤顺序不作限定，可根据需要作适当调整。

以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种网络阻塞攻击效果评估方法，其特征在于，包括：

确定网络阻塞攻击对应的评估指标；

监控网络并对确定的评估指标进行数据采集和存储；

对采集的评估指标数据进行预处理，以使得预处理后得到的评估指标的值区间和量纲统一，并基于预处理后的评估指标的值建立标准评估矩阵：B＝(b_ij)_m*n，b_ij为第i组采集的评估指标数据第j个评估指标预处理后的值，m为采集的评估指标数据的组数，n为评估指标的项数；

将已有的网络攻击评价数据作为样本，采用数据挖掘方法获取评估指标之间的比较隶属度，并建立模糊评估矩阵R，

其中，r_ij表示第个i评估指标相对于第j个所述评估指标的比较隶属度，n为所述评估指标的项数；

将模糊评估矩阵R作均值化变换变换为模糊一致矩阵R′，

根据模糊一致矩阵计算评估指标的指标层权重向量

n为评估指标项数，w_i为第i个评估指标的权重值；

基于标准评估矩阵和指标层权重向量的乘积得到攻击态势值评价矩阵U_m*1＝(b_ij)_m*n·W_n*1，其中，m为采集的评估指标数据的组数，n为评估指标的项数，W_n*1为指标层权重向量。

2.根据权利要求1所述的网络阻塞攻击效果评估方法，其特征在于，所述网络阻塞攻击对应的评估指标包括以下指标中的一类或多类：系统资源类指标、安全类指标、网络资源类指标和/或服务状态类指标。

3.根据权利要求2所述的网络阻塞攻击效果评估方法，其特征在于，所述系统资源类指标包括以下指标中的一个或多个：磁盘利用率指标、CPU利用率指标和/或内存利用率指标；所述安全类指标包括以下指标中的一个或多个：防火墙穿透率指标、进程隐藏率指标和/或IDS躲避率指标；所述网络资源类指标包括以下指标中的一个或多个：网络带宽利用率指标、网络延迟指标、丢包率指标和/或网络延迟变化量指标；所述服务状态类指标包括以下指标中的一个或多个：请求响应时间指标、响应处理时间指标、响应成功率指标和/或网络平均响应延迟指标。

4.根据权利要求1所述的阻塞攻击效果评估方法，其特征在于，所述对采集的评估指标数据进行预处理以使得预处理后得到的评估指标的值区间和量纲统一，并基于预处理后的评估指标的值建立标准评估矩阵的步骤包括：

1)将采集的评估指标数据分为正向型数据与反向型数据；

2)对正向型数据按照如下方式进行预处理：

3)对反向型数据按照如下方式进行预处理：

4)建立标准评估矩阵：B＝(b_ij)_m*n；

其中，a_ij为采集的第i组评估指标数据中的第j个评估指标数据的值，max(a_ij)为采集的评估指标数据中第j个评估指标的最大值，min(a_ij)为采集的评估指标数据中第j个评估指标的最小值。

5.根据权利要求1所述的阻塞攻击效果评估方法，其特征在于，所述将已有的网络攻击评价数据作为样本，采用数据挖掘方法获取评估指标之间的比较隶属度，并建立模糊评估矩阵R的步骤包括：

采用Apriori算法作为数据挖掘算法；

提取已有的网络攻击数据样本中的评价指标对应关系和比较隶属度，建立事务数据库；

扫描事务数据库中的项，对每个项进行计数得到第一候选频繁项集；

根据所述第一候选频繁项集生成以{所述评价指标对应关系，比较隶属度}为项的第二候选频繁项集；

扫描事务数据库，计算第二候选频繁项集中每个项目的支持度，淘汰所述第二候选频繁项集中支持度小于1的项目；

将第i个评价指标对第j个评估指标下支持度最高的比较隶属度置作为r_ij的值，建立所述模糊评估矩阵

6.根据权利要求1所述的阻塞攻击效果评估方法，其特征在于，所述模糊评估矩阵R变换为模糊一致矩阵R′的变换式为

k为修正参数，k为0.4～0.6。

7.根据权利要求6所述的阻塞攻击效果评估方法，其特征在于，所述修正参数K为0.5。

8.根据权利要求1所述的阻塞攻击效果评估方法，其特征在于，所述第i个评估指标的权重值

其中，n为评估指标的项数，

9.一种阻塞攻击效果评估装置，其特征在于，该装置包括：存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，该计算机程序在被处理器执行时实现如权利要求1-8中任意一项所述的方法步骤。

10.一种计算机存储介质，其特征在于，该计算机存储介质中存储有计算机程序，当计算机程序被执行时实现如权利要求1-8中任意一项所述方法的步骤。

Images