1 引 言

分析評估網絡攻擊源行為特點及攻擊能力有助于增強網絡安全防護措施的有效性和針對性． 傳統安全監測防護通常以企業網為邊界，僅能捕獲攻擊源針對該企業網發起的局部攻擊行為，難以對攻擊源行為進行有效分析． 當前，骨干網安全監測條件日漸成熟，一方面顯著擴大了網絡監測范圍，為攻擊源威脅行為分析提供了視窗基礎，另一方面報警信息海量化使得響應負擔過載，迫切需要構建攻擊源威脅行為評估機制，以識別重點威脅源并進行優先應對． 現有的安全評估方法主要包括信息安全的風險評估［1-3］和網絡攻擊效果評估［4-5］兩部分，其中信息安全的風險評估主要用于從風險的角度評估威脅可能對資產造成的損失; 網絡攻擊效果的評估主要用于評估一個攻擊方案或一次具體的攻擊行為造成的安全效果． 這些評估方法受限與傳統的企業網安全監測環境，側重于信息系統的安全性評測，無法反映攻擊源威脅能力的差異性．基于此，本文在分析網絡攻擊源的行為特點的基礎上，層次分析法構建了一個威脅行為動態評估模型，基于真實監測數據的實驗分析表明，相比較傳統的報警數量排名，本模型給出的攻擊源威脅評估更具合理性．

2 評估體系

2． 1 評估指標的提取

構建網絡攻擊源威脅行為的綜合評估模型，首先要選擇合適的評估指標． 目前，這方面的研究還比較少，主要有: 汪生［6］等使用 6 大類 10 個方面提出了 59 個指標，但這些指標主要是針對單個攻擊模型和聯合使用多個攻擊模型的攻擊效果描述; 胡影［7］等利用攻擊庫挖掘的技術挖掘得到 5 類 122個原子功能，但這些指標無法從骨干網監測平臺上提取; 趙博夫［8］等提出了13 個指標，指標主要反映了攻擊者實施的網絡攻擊的目的為破壞目標網絡的安全指標\\( 使其失效或降低\\) ，但指標中大量實際監測環境中不可測的指標．總體來說，這些評估指標無法滿足網絡攻擊源威脅的評估，主要存在以下幾點原因:

1\\) 指標的提取不夠完備，不能從對攻擊源的所有攻擊行為出發，進行大視角的整體能力的評估，不具有全面性．2\\) 部分指標［7，8］需要從目標網絡中提取，這在當前的監控條件下是無法獲得的，不具有可行性．3\\) 部分指標［8］過于抽象，不易量化操作，不具有可測性和便利性．在當前的網絡監控條件下，網絡攻擊源組織探測只能以網絡攻擊源的報警信息和觸發的規則信息為挖掘對象，其中報警信息直接包含的信息包括: 報警時間、源地址、目標地址、源端口、目標端口、源 MAC、目標 MAC、報文長度、報警網卡名稱、原始報文、插件特征編號; 規則信息直接包含的信息包括:

協議類型、危害等級、操作系統類型、目標端口對象、目標地址對象、源端口對象、源地址對象、規則版本號、規則特征、漏洞信息、大類型、小類型、目標地址對象、規則名稱、服務類型． 結合攻擊源威脅行為的特點，我們從網絡攻擊源的攻擊活躍性，攻擊破壞力和攻擊目的性出發，挖掘出以下評估指標: 攻擊時間的分布，攻擊時間的持續性，攻擊的頻度，掌握攻擊手段的數量，攻擊的連貫性，偏好使用的攻擊威脅，觸發報警的種類以及目標地址的等級分布．

2． 2 評估體系的構建

層次分析法［9］\\( Analytic Hierarchy Process，AHP\\) 是一種定性與定量分析相結合的多目標決策分析方法，適用于評價因素難以量化且結構復雜的評價問題． 本文將 AHP 方法引用到網絡攻擊源威脅行為的評估中，按照“目標—準則—指標”的層次結構，經過逐步細化，構建了一個層次化的評估體系．其中“目標”層為網絡攻擊源威脅行為的威脅值．“準則”層由攻擊源的活躍性、攻擊源的破壞性、攻擊源的目的性組成．“指標”層按照不同的“準則”分為三組，不同的評估指標隸屬于不同的評估準則，最終，網絡攻擊源威脅行為的評估體系如圖 1 所示．【1】

3 指標的計算

3． 1 時間分布的計算

時間分布指標旨在判別攻擊是攻擊源操縱者主動發出的，還是由所感染的木馬病毒定期發送的． 采用概率統計的方法，將攻擊源發出的所有攻擊按照 24 個時間段\\( 一天 24 小時每個小時一個時間段\\) 分組，根據網絡攻擊源的時間分布信息計算時間分布的方差，然后與預設的方差閾值進行比較，時間分布方差與閾值的比較表達式如下，【2】

其中，timeDis 表示最終時間分布的計算結果，timeVar 表示求出的網絡攻擊源時間分布的方差，timeThresh 表示設定的時間分布的方差閾值，該值由多次試驗驗證獲得． 如果大于、等于閾值則認為該攻擊源發出的攻擊是攻擊源操縱者主動發出的，取值為 1． 反之，則認為是其所感染的木馬病毒定期發送的，取值為 0． 據多次試驗獲得 timeThresh 為 41365．

3． 2 時間持續性的量化計算

時間持續性指標用來衡量攻擊源的攻擊時間跨度，攻擊源較平均時間跨度越大，說明該攻擊源在該監控環境中的威脅活動時間越長，按照式\\( 2\\) 計算．【3】

其中，X 為從檢測到攻擊源第一次發起攻擊到最后一次檢測到該攻擊源的攻擊所持續的時間． Xavg_td為所有攻擊源的平均攻擊持續時間，Xmax_td為所有攻擊源中的攻擊時間最大值． timeDura 為時間持續性的最終量化結果．

3． 3 攻擊頻度的量化計算

攻擊頻度旨在反映該攻擊源發出的攻擊頻率在所有攻擊源中所處的水平． 首先按式\\( 3\\) 計算出該攻擊源的攻擊頻度，再由式\\( 4\\) 量化得到攻擊頻度結果．【4】

其中，ad 表示該攻擊源按式\\( 3． 3\\) 計算出的攻擊密度，to-talAttackNum 表示監測到該攻擊源發出攻擊的總次數，attack-Dura 表示該攻擊源持續攻擊的天數，不足一天按一天計算． Xad表示該攻擊源的攻擊密度計算結果，Xavg_ad表示所有攻擊源的平均評估攻擊密度，Xmax_ad表示所有攻擊源中攻擊密度的最大值． attackFreq 表示攻擊源的攻擊頻度的最終量化結果．

3． 4 掌握攻擊手段數量的量化計算

掌握攻擊手段的數量旨在反映攻擊源能發起攻擊手段數量在所有攻擊源總所處的水平． 按照式\\( 5\\) 計算．【5】

其中，X 表示該攻擊源所掌握的攻擊手段數量，Xavg_am表示平均每個攻擊源所掌握的攻擊手段數量，Xmax_am表示所有攻擊源中所掌握的攻擊手段數量最大值，attackMea 表示攻擊手段數量指標最終量化結果．

3． 5 攻擊連貫性的量化計算

攻擊的連貫性旨在反映攻擊源發起連貫攻擊的能力． 首先，將攻擊源的所有攻擊報文按不同的源目地址分成 n 組會話 Session1，Session2，Session3，…，Sessionn． 再以會話為單位，將報文按發送時間進行排序，并依次根據該報文觸發的報警類型，將其歸屬到掃描探測、獲取權限、拒絕服務攻擊、控制會話、隱藏蹤跡\\( 留下后門\\) 和其他類型這六類中的一類．將每個 Session 按照下頁圖 2 所示的攻擊流程進行狀態變遷，其中每個狀態的狀態值根據多次實驗結果對比觀察后人為設定． 具體變遷方法如下，從初始狀態開始，此時狀態值S 為 0，首次檢測到掃描探測類報警后，將狀態置到掃描探測上，并將狀態值 S 置為 0． 1，向后遍歷該 Session 的報警類型，若遇到獲取權限類則將狀態置為獲取權限，并將狀態值 S 置為 0． 4，繼續向后遍歷，并進行狀態的變遷，當狀態變遷到隱藏蹤跡\\( 留下后門\\) 時結束該 Session 的遍歷，并將狀態值 S 置為 1． 0; 若初始狀態后遇到的為拒絕服務類，則將拒絕服務攻擊的次數加 1，此時狀態仍為初始狀態，繼續向后遍歷該 Ses-sion，遇到拒絕服務類就將拒絕服務攻擊的次數加 1，但不改變當前的狀態及狀態值，當拒絕服務的次數到達指定的閾值\\( 此時狀態值置為 1\\) 或者狀態變遷到隱藏蹤跡\\( 留下后門\\)時結束該 Session 的遍歷，否則，需遍歷完整個 Session． 最終的狀態值做為該 Session 的攻擊連續性量化值．【6】

3． 6 偏好使用的攻擊威脅的計算

指標偏好使用的攻擊威脅用來反映攻擊源發起的所有攻擊中高、中、低、其他\\( 指無法給出具體判斷結果\\) 的四種危害所占的比例． 將高、中、低和其他四種危害情況分別賦值為 3、2、1、2 按式\\( 7\\) 采用加權平均計算．【7】

其中，i 表示攻擊四種危害情況的賦值，Ｒi表示危害賦值為 i 的攻擊所占總攻擊的比重，attackDan 表示偏好使用攻擊威脅的最終計算結果．

3． 7 觸發報警種類的量化計算

觸發報警的種類用來反映攻擊源發起的所有攻擊所能觸發報警事件種類的多少． 攻擊源所能觸發的報警事件種類越多，表明攻擊源的攻擊形式越多樣． 按式\\( 8\\) 量化觸發報警的種類．【8】

其中，X 表示該攻擊源所觸發的報警的種類，Xavg_ak表示攻擊源平均所觸發的報警種類，Xmax_ak表示所有攻擊源中所觸發報警種類最多的數量，attackKind 表示觸發報警的種類指標最終量化結果．

3． 8 目標地址等級分布的計算

為了反映網絡攻擊源攻擊的目標不同帶來的威脅不同，需要將目標地址根據其機構類型分為了網絡服務性質、軍事性質、政府性質、教育性質、公司企業性質、非盈利及其它性質六類． 采用相鄰指標比較法與 Delphi 法相結合的方法來獲取各個機構類型的權重，為了方便專家評分使用了相鄰指標比較法調查表，如表 1 所示．【9】

在表 1 中，專家只需填寫相對重要性 gi的評分結果，表中的權重 w'i通過式\\( 9\\) 計算得到，歸一化權重 Wi通過式\\( 10\\) 計算得到．【10】

依次獲得攻擊源的所有目標地址等級后，統計各個等級的目標地址所占的比例，攻擊目標的等級分布結果由式\\( 11\\)獲得，【11】

其中，i =1，2，…，6，分別對應 6 類性質的機構，Wi為機構性質 i 對應的歸一化權重值，ai表示機構性質 i 的數量占的比例，dipDis 表示攻擊目標等級分布的最終計算結果． 最終確定各個類型的機構權重為: 非盈利及其他 = 0． 042，公司企業 =0． 106，網絡服務 = 0． 318，教育 = 0． 095，軍事 = 0． 258，政府 =0． 181．

4 權重的確定

4． 1 評估指標權重的確定

指標權重的確定方法可以分為主觀賦權值法和客觀賦權值法兩類: 主觀賦權法主要依靠專家或評估者的知識和經驗來確定指標的權重，需要專家長期積累經驗和知識才能做出合理的判斷; 客觀賦權法主要是利用樣本數據自身的特征信息來確定各指標的權重．本文使用客觀賦權法中的變異系數法來分別確定評估指標的權重，可帶來如下好處:

1\\) 充分考慮了指標的樣本數據自身的特點，突出了各指標的相對變化幅度，從而使評估結果的區分能力更強．2\\) 消除了主觀賦權法中的人為干預，更利于評估的結果的客觀、合理、可信．對于一組數據，變異系數定義為其標準差與均值絕對值的比值，記作，【12】

對于一組給定的評估指標 X1，X2，X3，…，Xm假設有 n 個樣本數據，根據式\\( 12\\) 可以得到各個指標的變異系數，分別記作 V1，V2，V3，…，Vm． 于是各個指標的權重可以定義為:【13】

網絡攻擊源威脅評估的指標層權重確定，主要針對攻擊源的活躍性和攻擊的威脅力兩個分組的 7 個指標進行，從整個監測環境中提取 n 實驗樣本，將樣本中的各個指標按照式\\( 12\\) 計算得到 Va，然后將的 7 個指標按式\\( 13\\) 得出在各自分組中的權重．

4． 2 評估準則權重的確定

對于攻擊源的活躍性、攻擊的威脅力、目標地址的等級分布 3 個評估準則的權重系數，將使用判斷矩陣法來確定，采用9 級分制標度法來構造一個如式\\( 14\\) 的兩兩判斷矩陣 D．【14】

其中，dij表示專家對評估準則 Xi相對 Xj的重要程度給出 的 比 值． 在 得 到 n 個 專 家 給 出 的 判 斷 矩 陣D\\( 1\\)， D\\( 2\\)， …，D\\( n{ }\\)后，首先需要采用幾何平均法對這n 個專家的意見進行綜合，按式\\( 15\\) 得到綜合判斷矩陣 D，綜合判斷矩陣 D 仍為正逆對稱陣．【15】

其中，CI =λmax－ 32，ＲI 是矩陣的平均隨機一致性指標，查表得 3 階判斷矩陣一致性 ＲI 等于 0． 52． 若 CＲ ＜ =0． 1 時，則認為綜合判斷矩陣 D 具有較好的一致性，此時特征向量 ω 的元素 w1，w2{ ，w}3就是評估準則的層的最終權重系數． 否則，需要專家對判斷矩陣調整，再按照上述步驟進行重新計算．

5 綜合評估

為完成網絡攻擊源威脅行為的綜合評估，首先從最底層\\( 指標層\\) 入手，獲得每個評估指標的值與其權重，然后由“指標”層到“準則”層，按照準則的分類將“指標”層的評估結果按照式\\( 17\\) 加權平均綜合到一起，以確定每個評估準則的評估結果． 最后，從“準則”層到“目標”層，繼續使用式\\( 17\\) 加權平均獲得最終的評估目標．【16】

6 實驗分析

為了驗證上述方法的有效性，在真實的網絡環境中進行了網絡攻擊源威脅評估實驗，利用部署 IDS 入侵檢測系統的某學校千兆骨干網做為實驗平臺，取其中連續的 1，412，000多條警報信息作為實驗數據． 這些警報事件包含 109 種報警事件，來自 13，074 個源 IP 地址，發向10，728 個目標 IP 地址．將所有攻擊源按報警個數排序，取出前 100 名做為實驗的威脅評估對象，按上述評估方法進行評估后，將實驗結果按報警數量排序后得到圖 3 所示．【17】

將攻擊源對應的威脅值進行排序，為了反映傳統的報警數量排序與評估結果排序的差異性，將傳統的報警數量的排序位置與評估值的排序位置做差，得到排序位置的偏移情況如圖 4 所示．【18】

從圖 4 中選取報警數量排序相鄰且對應的排序偏移之差大于 40 的 3 組攻擊源進行分析得到表 2\\( 見上頁\\) ．實驗的結果的對比分析表明，與傳統的直接按照報警數量排序相比，評估獲得的威脅值能更有效的反應攻擊源在其監控環境下的威脅能力．

7 結束語

網絡攻擊源威脅行為的評估是網絡空間中安全評估的重要組成部分，本文建立了一個基于“目標—準則—指標”三層評估體系的網絡攻擊源威脅行為評估模型，將實時監控環境的狀態作為動態參數參與評估確保了評估的動態性． 本文解決了在大視窗的監控環境中動態評估網絡攻擊源威脅行為的問題，實驗結果證明該評估方法是有效的． 下一步將研究多個源 IP 地址以組織的形式做為一個攻擊源的威脅評估方法．