【導(dǎo)讀】如何對計算機網(wǎng)絡(luò)系統(tǒng)的安全特性進行評估成為一個迫切而具有挑。則對其進行分類，然后根據(jù)分類選擇DOS攻擊和溢出攻擊進行試驗。溢出攻擊本文主要進行對攻擊圖的分析，通過一系列的數(shù)據(jù)指標來計算。各序列攻擊方式的成功概率。可以清晰地比較不同攻擊方式的性能和效果。

　　

【正文】 安全性能差值就可以作為攻擊效果的一個評價標準。具體來說，網(wǎng)絡(luò)攻擊效果是目標網(wǎng)絡(luò)系統(tǒng)的可靠性、可用性、保密性、完整性、可控性、正確性和不可抵賴性等網(wǎng)絡(luò)安全屬性在 19 網(wǎng)絡(luò)攻擊前后或攻擊過程中的改變量的綜合體現(xiàn)。對于不同類型的網(wǎng)絡(luò)攻擊，由于其攻擊目的和攻擊機制的不同，必然會導(dǎo)致目標網(wǎng)絡(luò)系統(tǒng)安全屬性變化情況的差異，同時并非每一種攻擊都會導(dǎo)致所有網(wǎng)絡(luò)系統(tǒng)安全屬性的變化，有些攻擊可能會影響多個方面的網(wǎng)絡(luò)安全屬性，另外一些攻擊則可能影響某一方面的安全屬性。例如，DOS （DDOS）攻擊主要是影響攻擊目標的可用性，而入侵攻擊則可能影響到多個方面的網(wǎng)絡(luò)安全屬性。網(wǎng)絡(luò)的性能指標有很多種，如何確定哪些指標能對網(wǎng)絡(luò)攻擊效果進行合理有效的描述，從研究網(wǎng)絡(luò)的安全機制入手，基于機制、準則、指標三級特性的分析，經(jīng)過逐步細化，得到了一個有效的性能指標集。安全機制、安全準則和安全指標之間是逐步分層細化的關(guān)系。安全機制對應(yīng)一定的安全準則，而每個安全準則又可以劃分為許多安全子準則，每個子準則對應(yīng)一定的安全指標，利用安全指標可以對具體的安全屬性進行評測。計算機網(wǎng)絡(luò)的安全機制包括安全功能特性和非功能特性兩部分，前者主要關(guān)注安全處理對象(操作、存儲、傳輸?shù)臄?shù)據(jù)和激活的程序)、安全注重點(保密性、完整性和可用性要求)和安全保護措施(、檢測和限制方法)等方面的特性:后者主要關(guān)注安個機制的功效如何，包括防篡改性、防繞過性、可驗證性、正確性、健壯性等。根據(jù)對安全機制的分析，可得到相應(yīng)的安全準則。安全準則主要包括以下要素： 安全機制——安全準則對應(yīng)關(guān)系表安全機制 防篡改性 防繞過性 可驗證性 正確性 健壯性防更改性 隔離性 可審計性 完整性 容錯性多樣性 強制性 可觀測性 保密性 模塊性多重性 多樣性 可追蹤性 連續(xù)性 簡單性隔離性 多重性 簡單性 可追蹤性 可用性安全準則可審計性 可讀性 可靠性（1）防更改性描述安全機制免受修改的作用代碼的特性，并檢測和報告可能存在的修改；（2）多樣性描述同樣的機制能夠以多種方式實現(xiàn)的安全能力特性，從而增加非法修改的難度；（3）多重性描述同樣的機制能夠重復(fù)實行，同樣增加非法修改的難度；（4）隔離性描述有效的實現(xiàn)軟件之間或軟/硬件之間隔離的安全特性；（5）強制性描述安全機制強制執(zhí)行的安全特性；（6）可市計性描述安全機制運行操作的可記錄特性。 20 安全準則——安全指標對應(yīng)關(guān)系表安全準則 防更改性多樣性 多重性 隔離性 可用性 可審計性物理困難多版本 多重因素代碼隔離數(shù)據(jù)流量拒絕訪問信息度檢驗強度獨立因素多頻率 數(shù)據(jù)隔離響應(yīng)時間可觸發(fā)警報自我驗證環(huán)境隔離延遲抖動非標準行為檢測安全指標可中斷性授權(quán)訪問信息度 網(wǎng)絡(luò)攻擊效果評估指標體系在進行網(wǎng)絡(luò)攻擊效果評估的過程中，首先要采集評估所需的各種指標。由于網(wǎng)絡(luò)攻擊的復(fù)雜性和多樣性, 因此在攻擊效果中會存在各種變化的指標，而建立的指標評估體系需要適用于各種攻擊類型所產(chǎn)生的指標結(jié)果。在這里主要根據(jù)網(wǎng)絡(luò)攻擊分類方法體系中的攻擊結(jié)果準則，將網(wǎng)絡(luò)攻擊分為獲取信息類攻擊、篡改信息類攻擊、利用服務(wù)類攻擊、拒絕服務(wù)類攻擊和提升權(quán)限類攻擊。下面將按照此分類準則來建立相應(yīng)類別網(wǎng)絡(luò)攻擊行為的攻擊效果評估指標體系。1 獲取信息類攻擊的評估指標獲取信息類攻擊的主要目的是取得目標計算機系統(tǒng)的各種狀態(tài)參數(shù)，如系統(tǒng)配置信息，數(shù)據(jù)資料信息等。其中有些如系統(tǒng)帳號密碼等信息有較強的重要性，而硬盤、內(nèi)存等信息的重要性則相對較弱，因此在進行效果攻擊評估時需要考慮配置信息重要性的差異。針對上述我們將此指標體系分為三個具體指標：（1）獲取的信息量 獲取的信息量（INFOget）定義為獲取的系統(tǒng)配置信息量與數(shù)據(jù)文件信息量的總合。（2）獲取信息的正確定義獲取信息的正確率（ACCURACYget）為獲取到的正確信息占獲取到的全部信息的比例。（3）攻擊過程所需時間 攻擊過程所需時間（TIMEattack ）定義為開始攻擊到攻擊完畢的時間間隔。2 篡改信息類攻擊的評估指標篡改信息類攻擊的目的在于破壞目標計算機系統(tǒng)上的數(shù)據(jù)資料信息，主要的破壞操作有:修改系統(tǒng)配置參數(shù)\刪除系統(tǒng)配置參數(shù)、更改數(shù)據(jù)文件、偽造數(shù)據(jù)文件、刪除數(shù)據(jù)文件等。根據(jù)以上分析，可以利用以下指標來進行度量攻擊效果。 21 （1）篡改的信息量定義篡改的信息量（INFOjuggle）為網(wǎng)絡(luò)攻擊所篡改系統(tǒng)配置信息、數(shù)據(jù)文件信息的數(shù)量。（2）篡改信息的成功率 定義篡改信息的成功率（SUCCESSjuggle ）為被確認篡改成功的信息數(shù)量與完成篡改的信息數(shù)量的比例。（3）攻擊過程所需時間攻擊過程所需時間（TIMEattack ）的定義與信息獲取類攻擊中的定義相同，表示攻擊過程的持續(xù)時間。3 利用服務(wù)類攻擊的評估指標利用服務(wù)類攻擊的目的是利用系統(tǒng)的正常功能，來實現(xiàn)攻擊者的其他目的的攻擊行為。如利用攻擊目標的正常網(wǎng)絡(luò)連接對其他系統(tǒng)進行攻擊、通過正常的系統(tǒng)服務(wù)利用其他漏洞實現(xiàn)攻擊者的目的等。根據(jù)利用服務(wù)類攻擊的目的的分析，可以通過以下指標來評估該類的攻擊效果。（1）對服務(wù)的控制權(quán)限對服務(wù)的控制權(quán)限（PRIVILEGEservice ）定義為網(wǎng)絡(luò)攻擊過程對目標計算機系統(tǒng)上網(wǎng)絡(luò)服務(wù)的控制與管理能力。（2）利用的服務(wù)數(shù)量利用的服務(wù)數(shù)量（SERVICEusage ）定義為網(wǎng)絡(luò)攻擊所利用的目標系統(tǒng)服務(wù)的數(shù)量。目標系統(tǒng)服務(wù)包括：網(wǎng)絡(luò)連接、網(wǎng)絡(luò)帶寬、網(wǎng)絡(luò)服務(wù)、系統(tǒng)計算能力、系統(tǒng)儲存能力等。（3）對正常服務(wù)的影響度對正常服務(wù)的影響度（IMPACTservice）定義為網(wǎng)絡(luò)攻擊所利用的服務(wù)資源占系統(tǒng)服務(wù)能力的比例。如CPU利用率、內(nèi)存利用率、存儲空間利用率和網(wǎng)絡(luò)帶寬利用率等。4 拒絕服務(wù)類攻擊的評估指標拒絕服務(wù)類攻擊的主要目的是使目標系統(tǒng)正常的服務(wù)受到影響或系統(tǒng)功能的部分或全部喪失。拒絕服務(wù)類攻擊是一類非常重要的網(wǎng)絡(luò)攻擊方式，同時其攻擊方式多種多樣、作用機制也不盡相同，如拒絕服務(wù)（DOS）攻擊、分布式拒絕服務(wù)（DDOS）攻擊、殺死系統(tǒng)進程使其對外的服務(wù)中斷、耗盡系統(tǒng)內(nèi)存資源使系統(tǒng)崩潰等。其中以DDOS攻擊最為典型。根據(jù)對拒絕服務(wù)攻擊的特征的分析，我們可以通過以下幾個指標來評估拒絕服務(wù)類攻擊效果。（1）網(wǎng)絡(luò)帶寬占用率定義網(wǎng)絡(luò)帶寬占用率（Vband）為網(wǎng)絡(luò)攻擊開始前后目標計算機系統(tǒng)的網(wǎng)絡(luò)帶寬利用率的改變程度。（2）CPU占用率 22 定義CPU占用率（VCPU ）為網(wǎng)絡(luò)攻擊開始前后目標計算機系統(tǒng)CPU占用率的改變程度。（3）內(nèi)存占用率定義內(nèi)存占用率（VMEM）為網(wǎng)絡(luò)攻擊開始前后目標計算機系統(tǒng)內(nèi)存占用率的改變程度。（4）響應(yīng)延遲定義響應(yīng)延遲（Tdelay）為目標計算機系統(tǒng)從接受到服務(wù)請求到發(fā)出相應(yīng)的服務(wù)相應(yīng)的時間間隔。（5）丟包率丟包率（Vpacket ）定義為單位時間內(nèi)目標計算機系統(tǒng)丟棄的數(shù)據(jù)包數(shù)量與接受到的數(shù)據(jù)包總數(shù)的比例。（6）恢復(fù)時間定義恢復(fù)時間（Trecovery）為目標計算機系統(tǒng)從網(wǎng)絡(luò)攻擊停止到恢復(fù)正常工作的時間間隔。（7）攻擊的作用機制定義攻擊的作用機制（EFFECTattack）為網(wǎng)絡(luò)攻擊對目標計算機系統(tǒng)施加影響的方式。5 提升權(quán)限類攻擊的評估指標提升權(quán)限類攻擊的主要目的是獲取目標計算機系統(tǒng)的某種操作控制權(quán)限。典型的提升全縣攻擊方式包括：緩沖區(qū)溢出攻擊、破解帳號密碼、植入木馬和預(yù)留后門等。我們將評估指標分為以下三個。（1）獲取的權(quán)限定義獲取的權(quán)限（PRIVILEGEget ）為通過網(wǎng)絡(luò)攻擊所取得的對目標計算機系統(tǒng)的控制權(quán)限。（2）權(quán)限穩(wěn)健性定義權(quán)限穩(wěn)健性（RELIABILITY OF PRIVILEGE，ROP ）為維持所獲得權(quán)限的技術(shù)手段。（3）攻擊過程所需時間攻擊過程所需時間（TIMEattack ）的定義與信息獲取類攻擊的定義相同，表示獲取權(quán)限攻擊所花費的時間。 網(wǎng)絡(luò)安全風(fēng)險與攻擊效果評估模型網(wǎng)絡(luò)攻擊效果評估就是要對網(wǎng)絡(luò)攻擊行為所能達到的攻擊效果進行綜合評判的過程。由于攻擊效果是攻擊者作用于被攻擊系統(tǒng)所產(chǎn)生的一種效應(yīng)，因此研究網(wǎng)絡(luò)攻擊效果評估離不開被攻擊系統(tǒng)的參與，就不可避免地需要構(gòu)建相應(yīng)的實驗環(huán)境。正是因為網(wǎng)絡(luò)攻擊效果評估問題的這一特殊性，限制了網(wǎng)絡(luò)攻擊效果評估技術(shù)研究的發(fā)展，公開發(fā)表的研究成 23 果亦不多見。另一方面，由于網(wǎng)絡(luò)攻擊效果評估與網(wǎng)絡(luò)安全風(fēng)險評估的緊密相關(guān)性，攻擊效果本身就是通過被攻擊系統(tǒng)安全性的改變來體現(xiàn)的，因此網(wǎng)絡(luò)攻擊效果評估研究可以借鑒網(wǎng)絡(luò)安全風(fēng)險評估的相關(guān)理論與方法。文獻[12]是DARPA信息安全保障（Information Assurance，IA ）計劃的一篇研究總結(jié)報告，Gregg Schudel 等在文中分析了攻擊者的攻擊能力因素在研究評估信息安全保障體系性能中的重要意義，對攻擊者的攻擊能力進行建模、觀測、度量和評估方法研究，認為攻擊者的攻擊能力能對復(fù)雜的信息安全保障體系的安全性能產(chǎn)生重要影響。 Maconachy[13]等主要研究了信息保障模型的發(fā)展趨勢，在分析McCumber信息安全模型的基礎(chǔ)上，提出了一個由信息狀態(tài)維、安全服務(wù)維、安全對策維和時間維的思維結(jié)構(gòu)的信息保障模型。李守鵬[14]總結(jié)了信息安全保障的時空特性，給出了一個一般化的安全評估模型，并對安全政策進行了深入探討，提出了信息安全評估的綜合評價方法。左曉棟[15]分析了CC 的保護輪廓和安全目標兩者之間的關(guān)系和區(qū)別，提出了如何利用SSE CMM來制定保護輪廓的方法，并指出當前最有效的系統(tǒng)安全評估方法是風(fēng)險評估方法。為了區(qū)分各個安全要素在信息系統(tǒng)安全度量評估過程中表現(xiàn)出的不同特性，閆強[16]等提出了組合獨立性安全要素、組合互補性安全要素及組合關(guān)聯(lián)性安全要素的概念，通過定義訪問路徑、規(guī)范路徑及組件之間的相互關(guān)系，給出了信息系統(tǒng)安全度量的形式化模型。劉芳[17]對信息系統(tǒng)安全評估理論及其關(guān)鍵技術(shù)進行了研究，提出了信息系統(tǒng)安全評估的ISSUE方法。 網(wǎng)絡(luò)安全風(fēng)險與攻擊效果評估方法網(wǎng)絡(luò)安全風(fēng)險評估方法很多，概括起來可以分為三大類[18]：定量評估方法、定性評估方法、定量與定性相結(jié)合的評估方法。1 定量評估方法定量評估方法是指用定量的數(shù)據(jù)指標來對網(wǎng)絡(luò)安全風(fēng)險進行評估。典型的定量評估方法有：因子分析法、聚類分析法、時序模型、回歸模型、等風(fēng)險圖法、決策樹法等。定量評估方法的優(yōu)點是用直觀的數(shù)據(jù)來表述評估的結(jié)果，使評估結(jié)果看起來一目了然，而且比較客觀。定量分析方法的采用，可以使研究結(jié)果更科學(xué)，更嚴密，更深刻。但是定量評估方法可能會在量化過程中，使本來比較復(fù)雜的事物變得過于簡單化，可能會丟失原有的細節(jié)信息，從而導(dǎo)致被量化后的信息被誤解或曲解。2 定性評估方法定性評估方法主要依據(jù)評估者的知識、經(jīng)驗、歷史教訓(xùn)、政策走向及特殊變例等非量化資料對系統(tǒng)風(fēng)險狀況作出判斷的過程。它主要以與調(diào)查對象的深入訪談做出個案記錄為基本資料，然后通過一個理論推導(dǎo)演繹的分析框架，對資料進行編碼整理，在此基礎(chǔ)上做出調(diào)查結(jié) 24 論。典型的定性分析方法有因素分析法、邏輯分析法、歷史比較法、德爾斐法。定性評估方法的優(yōu)點是避免了定量方法的缺點，可以挖掘出一些蘊藏很深的規(guī)律，使評估的結(jié)論更全面、更深刻；但它的主觀性很強，對評估者自身的素質(zhì)要求較高。3 定量與定性相結(jié)合的評估方法評估是一個復(fù)雜的過程，需要考慮的因素很多，有些評估要素是可以用定量的形式來表達，而另外一些要素則可能難以量化甚至是不可能的。因此在風(fēng)險評估過程中不應(yīng)一味地追求量化，也不應(yīng)認為一切要素都是量化的風(fēng)險評估過程就是科學(xué)、準確地。定量分析是定性分析的基礎(chǔ)和前提，定性分析建立在定量分析的基礎(chǔ)上才能揭示客觀事物的內(nèi)在規(guī)律。定性分析則是靈魂，是形成概念、觀點，做出判斷，在復(fù)雜的信息系統(tǒng)風(fēng)險評估過程中，不能將定性分析和定量分析兩種方法簡單的割裂開來，而是應(yīng)該將這兩種方法融合起來，采用綜合的評估方法。 25 第三章 DOS 攻擊效果評估 DOS 攻擊技術(shù)簡介 DOS是Denial of Service的簡稱，即拒絕服務(wù)，造成DOS的攻擊行為被稱為DOS攻擊，其目的是使計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求就無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。它大致可以分為兩類：一類是由于錯誤配置或者軟件弱點導(dǎo)致的，這類攻擊可以通過開發(fā)商發(fā)布的補丁來解決；另一類DOS攻擊利用合理的服務(wù)請求來占用過多的服務(wù)資源，致使服務(wù)超載，無法