一种评估DoS攻击效果的指标体系

一种评估 攻击效果的指标体系
DoS A Metric System to Evaluate Attack Effects of Denial -of -service(DoS)
（1.武警北京指挥学院 ；2.北京邮电大学网络与交换技术国家重点实验室信息安 全 中心 ）
胡 影 1,2 郑 康 锋 2 杨 义 先 2
HU Ying ZHENG Kang-feng YANG Yi-xian
摘 要: 针 对现有指标对拒绝服务攻击的效果描述不全等缺点 , 本文通过分析网络攻击库 , 提 取 了 28 种 典 型 DoS 攻 击 的 效 果 ,
并提出一套包含 “ 原 子 功 能 — 评 估 指 标 — 采 集 指 标 ” 的 3 层 指 标 体 系 , 来 评 估 DoS 攻 击 的 效 果 。

本文提出的指标体系 , 具 有 能 描 述 大 部 分 DoS 攻 击 的 效 果 , 指 标 层 次 分 明 , 可操作性强等优点 。

关 键 词: 拒 绝 服 务 攻 击; 原 子 功 能; 评 估 指 标; 采 集 指 标 中 图 分 类 号: TP393
文 献 标 识 码: A
Abstract: Aiming at incomplete descriptions on denial -of -servic e attack effects, how to build a metric system to evaluate attack ef - fects of denial -of -servic e (DoS ) was studied. Based on analysis of network attack libraries, 28 atomic functions were proposed to rep - resent genera l DoS effects. A 3 -level metric system to evaluate attack effects of DoS was proposed, including atomic functions, evalu ating index, collecting index. There are some merits of the metric system, such as representing most DoS effects, operable index, clearly levels.
Key words: Denial of Service (DoS) attack; atomic function; evaluating index; collecting index
不够全面；李雄伟也按照“目标—准则—指标”来建立效果评估
指标，其中准则层包括假冒攻击、授权侵犯、保密性攻击、完整性侵犯、业务否认，但该文没有提出具体的指标；汪生从攻击前提条件、攻击消耗资源、攻击产生后果等 6 方面提出了 59 个指标，但该文提出的指标考虑了很多攻击的静态特征，更侧重于评估攻击的能力。

总体 来 说，目 前 仍 缺少 一 个 完整 可 行 的 DoS 效 果 评 估 指 标 体 系 ，而 且 已 有 研 究 存 在 可 操 作 性 不 够 ，不 能 很 好 描 述 现 有 DoS 攻 击各 种 效 果等 缺 点 。

因此 ，本 文 从研 究 DoS 攻 击的 具体 效 果入 手 ，通 过分 析 网 络攻 击 库 ，提取 了 28 种 典 型 的 DoS 攻 击效 果 ，并 在其 基 础 上 提 出 了 一 套 DoS 效 果 评 估 指 标 体系 。

本 文 提出 的 指 标体 系 具 有以 下 优 点：(1)能 够 描 述典 型 拒 绝 服 务 攻 击 的 多 种 效 果 ；(2) 指 标 含 义 直 观 ，
层 次 分 明 ，具引 言 1 随着计算机网络的迅速发展，网络攻击手段层出不穷，从 拒绝服务、缓冲区溢出、病毒蠕虫，到僵尸网络、网络钓鱼、Web 攻击，信息系统面临的威胁越来越多。

网络攻击效果，是网络攻 击实施后，对目标和攻击者造成的直接影响和后果。

网络攻击 效果评估技术，是信息安全评估领域一个年轻而有挑战的课 题，该技术旨在深入分析典型网络攻击的效果，研究各类攻击 效果的定性和定量评估方法，是从攻击效果角度评估信息系统 安全性和网络攻击的能力。

与风险评估不同，网络攻击效果评 估，不仅包括评估信息系统可能遭受的安全损失，也包括评价 一个攻击方案可能造成的安全后果，以及评测一次具体攻击行 动的效果。

该技术的研究有利于检验信息系统的安全，辅助网 络攻击方案决策，提高网络攻防设备的对抗能力。

由于网络攻击种类繁多，因此在效果评估研究中，主要从 各类 网 络 攻击 入 手 。

拒绝 服 务 攻击 （D e n i a l of Se rv i c e ，简 称
D oS ），是一种比较常见的网络攻击，如何建立评估指标体系对
DoS 攻击的效果进行评估，
是 DoS 攻击效果评估研究的重要内 容。

目前，相关的研究主要有：张义荣提出“机制—准则—指标” 的评估框架，其中安全指标有中断性、数据复用、环境隔离、信 道总吞吐率等，但该框架中有些准则和指标比较抽象，不易操 作；吴华结合入侵检测的数据采集方法，采用自底向上模型，从 威胁指数角度评估大规模网络安全事件对网络造成的安全后 果，但该文没有给出详细的评价指标；胡影针对 DoS 攻击提出 了一套指标体系，并设计了 DoS 攻击效果评估系统，但是该文 主要研究了采集数据；刘进提出“目标—准则—指标”三层指标 体系，其中指标包括阻塞的带宽、窃取内容通信连接、伪造内容 通信连接、恶意代码运行程度等，但该体系下准则对应的指标
拒 绝 服 务 攻 击 的 效 果
2 为了便于研究具体的网络攻击效果，提出“原子功能”概
念。

原子功能，是网络攻击效果的基本元素，定义为网络攻击效 果集合中原子的，较独立且有明确含义的攻击效果。

根据攻击 效果评估的需求，原子功能的提取，需要满足如下原则： (1) 通用性：能够反映大多数网络攻击效果；
(2) 典型性：代表典型的网络攻击效果； (3) 发展性：反映网络攻击的发展趋势； (4) 独立性：攻击效果含义相互独立； (5) 明确性：攻击效果内涵明确，不模糊。

为了挖掘具有上述特点的原子功能，本文收集了较主流的 三个攻击库，包括美国国家漏洞数据库 NVD(Nat i o n a l Vu l n e r a － bility Database)，Snort 规则库，和 Li nc o l n 实验室用于 IDS 评估 的攻击工具。

根据这几个攻击库的特点，在上述原则的指导下， 综合分析拒绝服务类攻击的效果，得到如下原子功能：
胡 影: 博
士 研 究 生
消耗率定义：假设某一消耗类原子功能的作用时间
为
(t ,t ) , t 是开始时间，t 是结束时间，t (t ?t ) 是攻击前某一时刻。

假定U( )函数，表示在任意时刻的目标资源使用率，而C( )表示在攻击中任意时刻的目标资源消耗率。

那么对任意时刻t (t ?t ?t ) ，定义此刻的消耗率为：
C (t ) ?U (t ) ?U (t ) (1)
在此基础上，本文采用以下三种评估指标来衡量消耗类原子功能。

(1)“平均资源消耗率”：攻击过程中，资源使用率的平均变化程度。

用MaxConsume 表示，其中Max( )函数表示求最大值，有：MaxConsume ?Max (C (t ))
(2)
(2)“最大资源消耗率”：攻击过程中，资源使用率的最大变化程度。

用MeanConsume 表示，假定攻击时间内共有N 条数据，则有：
(3)
(3)“达到最大消耗所用的时间”：从攻击开始时刻起，资源达到最大消耗时所用的时间。

用MaxComTime 表示，有：
MaxComTime ?t ?t (4)
其中t ?t ?t ，且t ?Min (t | ) ，表示消耗率达到最大所用的最短时间。

3.2 阻塞类原子功能指标阻塞类原子功能，使得目标多体
现可用、不可用两种状态，
这与消耗类原子功能使资源使用率连续变化是不同的，例如系
统或设备出错、CPU 出错、应用或进程出错、内存出错等功能。

本文采用两种评估指标来衡量：
(1)“目标资源是否不可用”：体现了目标资源的最差状态，该指标可以取0 和1 二值，0 表示可用，1 表示不可用。

(2)“达到最差状态所用的时间”：从攻击开始时刻起，达到目标最差状态时所用的时间。

这两种指标也可用(1)、(2)式和(4)式计算，只是此时U(t )为0，表示攻击前目标资源正常，而U (t ) 表示t 时刻目标资源的状态，取值为0 或1。

在拒绝服务类原子功能里，根据原子功能的不同含义，可
能对应不同的采集指标，例如通信质量下降功能，采集指标有“吞吐量”、“丢包率”、“延迟”、“延迟抖动”。

但是，消耗类原子功能的采集指标，多是“资源使用率”，而阻塞类原子功能的采集指标，则主要是“目标资源状态”。

最后，本文提出的 3 层DoS 攻击效果评估指标体系如图 1
所示。

在该指标体系的基础上，可通过攻击前后目标环境和攻击者的状态变化数据，评估拒绝服务攻击的效果。

图1 效果评估指标体系
应用或进程出错（Application/Process/Daemon Crash）、CPU
消耗(CPU Consumption)、CPU 出错(CPU Corruption)、内存消耗
(Memory Consumption)、内存出错(Memory Crash)、系统或设备出
错(System/Device Crash)、服务质量下降(Degradation of Service)、
磁盘空间消耗 (Disk Consumption)、进程空间消耗(Thread Con－
sumption)、网络连接/数据库连接资源消耗(Connection Consump－
tion)、通信质量下降(Traffic Loss)、邮箱出错(Mailbox Corruption)、
合法连接被拒绝(Conn ection Refused/Disconnect)、网络带宽资源
消耗(Network Bandwidth Consumption)、数据包重定向/通信中断
(Disrupted Communication)、邮箱资源消耗(Mailbox Consump－
tion)、破坏文件系统(File Corruption)、破坏网络功能(Network Cor－
ruption)、破坏硬件功能/物理破坏（Hardware Corruption）、破坏防火
墙(Firewal l Corruption)、破坏病毒检测、破坏IDS(IDS Corruption)、
破坏审计日志(Audit Corruption)、端口不可用(Port Corruption)、数据
库出错(Database Corruption)、浏览器出错(Browser Corruption)、网
络协议失效(Network Protoco l Corruption)等28 个原子功能。

效果评估指标体系
3
一次网络攻击行动的效果如何，表现在攻击前后目标环境
和攻击者的状态变化，因此可以通过攻击前后目标和攻击者的
安全状态和性能变化的数据，来评估拒绝服务攻击的效果。

本
文拟建立“原子功能—评估指标—采集指标”3层效果评估指标
体系，评估指标用来评价原子功能，而采集指标则表示需要从
目标环境和攻击者采集的原始数据。

在提取指标的过程中，评
估指标需要根据原子功能的特点，提取能够直观反映原子功能
的指标。

而采集指标，则需要考虑采集方法是否易操作。

拒绝服务攻击的效果，主要破坏目标的可用性，但是根据
具体症状不同，也可分为消耗类原子功能和阻塞类原子功能。

前者主要通过消耗资源使用而造成资源短缺，后者则采用漏洞
利用等方法阻塞目标，使目标不可用。

下面分别给出这两种原
子功能的指标。

3.1 消耗类原子功能指标在攻击过程中，消耗类原子功
能，表现为目标资源可用性
的持续变化，例如CPU 消耗、内存消耗、磁盘空间消耗、网络带
宽消耗、服务质量下降、邮箱资源消耗等功能。

通常，资源的使
用情况可用“资源使用率”来描述，但由于效果主要观察攻击前
后状态的变化，所以本文引入“消耗率”，用来表示攻击前后资
源使用率的变化，并以此为基础，衡量消耗类原子功能对目标
可用性的影响。

结束语
4
本文的主要创新点：提出“原子功能”概念作为网络攻击的
基本效果；通过分析网络攻击库，提取了28 种典型DoS 攻击的
原子功能；建立“原子功能—评估指标—采集指标”3层指标体
系，可用于评估拒绝服务攻击的效果。

与以往研究相比，该指标
体系，具有能描述DoS 攻击大部分效果，指标层次分明，可操作
性强等优点。

参考文献
[1]张义荣，鲜明，王国玉，一种基于网络熵的计算机网络攻击
效果定量评估方法[J]，通信学报，2004，25(11):158~165
[2]吴华，张宏莉，何慧，等，大规模网络安全事件威胁量化分析
[J]，微计算机信息，2008，3-3:44~46
[3]李雄伟，于明，杨义先，等，Fuzzy-AH P 法在网络攻击效果评
估中的应用[J]，北京邮电大学学报，2006，29(1):124～127
[4]Nationa l Vulnerability Database, , 2008
（下转第42 页）
[5]Snort, , 2008
ShareableAppletInterfaceObject 请求访问其他Applet 提供的共
享访问接口时，ATM M 度量流程如图3.3 所示。

JCRE 启动解释器执行Select 方法时的度量事件包含以下
步骤：
（1）启动ATMM，获取待选择Applet 所在包的方法组件物
理地址；
（2）通过该包的方法组件获取与该包相关的度量方案；
（3）从度量方案中获取本次度量的度量点个数(一个度量
点，对应于该包导入的一个外包，基础类库除外)；
（4）按顺序对第一个度量点进行度量；
（5）对度量值进行迭代操作；
（6）重复（4），（5）两步，对度量方案中给定的度量点一一进
行度量；
（7）完成所有度量点的度量操作后与可信期望值进行对比；
（8）如果匹配，则执行被选择Applet 的相应代码，否则写入
异常信息，并向JCRE 抛出异常。

JCVM 获悉用户的 JCSystem.getShareableAppletInterfaceObject
请求时的度量事件包含以下步骤：
（1）启动ATM M，获取要访问的服务器Applet 所在的包号；
（2）按照上面介绍的方法对服务器A pplet 所在包的方法组
件进行度量；
（3）获取要访问服务器Applet 所在包中度量方案内的外包
度量域；
（4）查找与客户端Applet 相对应的度量项，如果不存在，记
录该度量事件的信任度；
（5）如果有与之匹配的度量方案，则按照该度量方案对客
户端Applet 度量；
（6）如果对客户端 Applet度量成功，则允许客户端的访问请求；
（7）否则拒绝其访问请求，记录度量失败事件。

[2]Trusted Computing Group. TCG Specification Architecture
Overview [S].2006.03.29. Specification version 1.2. https://www.
.
[3]Trusted Computing Group. Trusted Platform Module Main Spec－
ification Part1: Design Principles; Part 2: TPM Structures; Part3:
Commands [S]. https:// . 2006.3.29.
Specification version 1.2.
[4]Trusted Computing Group. TCG Software Stack (TSS)Specifica－
tion [S]. 2003.08.20.Specification version 1.10. https://www.trusted－
.
[5]王克宏. Java 虚拟机规范[M]. 北京:清华大学出版社, 1998: 1~9.
[6]Reiner Sailer, Xiaolan Zhang, Trent Jaeger, Leendert Van
Doorn. Design and Implementation of a TCG -Based Integrity
Measurement Architecture[J]. Computer Science, January 16, 2004.
[7]周涛，池亚平，方勇，亓文华.基于可信度量机制的数字签
名模型[J].微计算机信息，2008，6-3：35-37.
作者简介：彭彦（1983-），男，硕士研究生，主要研究方向：网络
与信息安全；鞠磊（1970 -），男，博士，主要研究方向：信息安
全；方勇（1963-），男，硕士生导师，主要研究方向：网络安全；
Biography: PENG Yan (1983 - ), M a l e,Master c a nd i d a t e,R e-
search area: Network and I nf o rm a t i o n se cur i ty;
（710071西安西安电子科技大学）彭
（100070北京北京电子科技学院）彭
彦
彦鞠磊方勇
通讯地址:（710071西安西安电子科技大学）彭彦
(收稿日期:2009.05.13)(修稿日期:2009.06.15)
（上接第44 页）
[6]HAINES J, LIPPMANN R, FRIED D, et al. 1999 DARPA In－
trusion Detection Evaluation: Design and Procedures [R], Lincoln
Laboratory, Massachusetts Institute of Technology, USA, 2001
作者简介：胡影（1980-），女，江西九江人，汉族，博士研究生，
主要研究方向为安全评估；郑康锋，男，汉族，讲师，博士研究
生，主要研究方向为信息与网络安全；杨义先，男，汉族，教授，
博士生导师，主要研究方向为密码学、信息与网络安全。

Biography: HU Ying (1980 - ), F e m a l e,B e iji n g,Po li c e Army
B e iji n g Command Academy, Doctor, I nf o rm a t i o n Se cur i ty.
（100012北京武警北京指挥学院）胡影
（100876北京北京邮电大学网络与交换技术国家重点实验结论
4
在原有可信计算平台中引入具有可信度量模块的 Java 智
能卡可信计算环境后，解决了信任链传递问题，提高了Java 智
能卡计算环境的安全性，主要表现在以下方面：
（1）增加了Java 智能卡用户身份验证，将用户与平台分离
验证，增强了用户安全性；
（2）在Java 卡中引入度量机制后，保证了从底层Boot Load－
er 到上层Applet 应用的代码实体完整性，使信任链得以传递，
同时也增加针对Java 语言类型系统攻击的难度；
（3）在增加对字节码的度量后，获取共享接口对象的操作信息安全中心）胡影郑康锋杨义先
通讯地址：（100012北京市朝阳区北苑路武警北京指挥学院科
技教研室）胡影
(收稿日期:2009.05.13)(修稿日期:2009.06.15)实际上已经不再是以前的单因子认证(仅依靠访问者的AID
号)，而可以被看作为双因子认证，即密钥(访问者的 AID)和身份
(访问者自身实体完整性信息)。

一旦通过度量发现访问者的实
体完整性不符合要求，那么访问请求将被拒绝，从而有效地避
免了针对Java 智能卡的AID 模仿攻击。

本文作者创新点：将可信度量机制引入到Java 智能卡平台
中，增强了计算环境的安全性，有效地解决了在不可信操作系
统中确保应用程序可信的难题。

参考文献
（上接第297 页）
（130033吉林长春中国科学院长春光学精密机械与物理研
究所）刘广建贾平
（100039北京中国科学院研究生院）刘广建
通讯地址: (130033 长春市东南湖大路16 号中科院长春光机
所航测部平台组1212 室）刘广建
(收稿日期:2009.05.13)(修稿日期:2009.06.15) [1]Shuanghe Peng, Zhen Han. Trust
Trusted Platform[J]. IEEE, 2006.
of User Using U -Key on。