[发明专利]基于熵值法的恶意代码网络攻击评估方法

说明书

技术领域

本发明提出了基于熵值法的恶意代码网络攻击效果评估设计方案，主要解决客观定量评估恶意代码网络攻击效果的问题，属于信息安全领域问题。

背景技术

随着互联网不断发展，技术不断创新，网络恶意代码也在不断发展，黑客攻击非常猖獗，不仅影响网民的正常上网，还危害网民的财产安全。2008年，中国新增计算机病毒、木马等恶意代码数量呈爆炸式增长，总数量已突破千万。恶意代码制造的模块化、专业化以及病毒“运营”模式的互联网化成为恶意代码发展的三大显著特征。网页挂马、漏洞攻击成为黑客获利的主要渠道。2009年上半年“金山毒霸”病毒疫情及互联网安全报告显示，中国每月平均新增恶意代码的样本数都在100万个以上。

国家互联网应急中心(CNCERT)运行部曾指出，我国已成为网络攻击最大的受害国。目前网上有成百上千万的计算机感染了木马或僵尸程序，并被各种各样的黑客暗中控制，成为所谓的“肉机”。美国军队更是网络军备竞赛的急先锋，正在大力研究网络战理论，组建网络战机构和部队，研制网络战武器装备，进行网络战练演。美军已将网络战作为信息战的基本样式之一，写入其作战条令。迄今为止，美国防部和各军种都成立了网络战机构和部队。美国防务专家乔尔.哈丁估计，美军网络战部队多达近9万人。据统计，美军已研制出2000多种网络战病毒武器。2008年3月，美军举行了代号“网络风暴”的大规模网络战演习，以检验美国的网络安全及应对网络攻击的能力。参加这次演习的有美国国防部、中央情报局、联邦调查局等部门，还有英国、澳大利亚、加拿大等国家。2009年6月，美国防部长盖茨宣布，美国正式组建了“网络战司令部”。该司令部隶属美军战略司令部，由一名四星上将领导，负责统一指挥美军的网络战行动。在2009年初新出台的《四年任务与使命评估报告》中，美国防部列举了美军需要发展的八种“核心能力”，包括网络战能力。美国防部提出，鉴于美军在正规作战方面享有优势，今后将重点发展非正规战能力，特别是网络战等新型作战能力。

早在2001年，美国国会研究局发表的《网络战》研究报告就宣称，据美国官员估计，对美国构成网络威胁的国家多达20几个。拥有网络战作战能力的国家不仅有俄罗斯、英国、法国、德国、日本等军事强国，还包括朝鲜、伊朗、叙利亚、古巴、印度、利比亚等发展中国家。近年来，世界各国进一步加快了网络战能力的建设和整合。2008年5月，北约在爱沙尼亚首都塔林成立了“网络防御合作中心”。该中心是一个跨国组织，向所有北约成员国开放。目前，爱沙尼亚、拉脱维亚、立陶宛、德国、意大利、斯洛伐克和西班牙等国已签署谅解备忘录，成为发起国，承诺向该中心提供有关人员和经费。该中心的主要职责是，通过教育和科研活动，加强北约国家之间在情报共享等方面的合作，提高网络防御能力，并研究如何根据北约共同防御原则应对网络攻击的问题。最近，英国政府宣布，将成立“网络安全局”，负责发展网络防御能力，并在英国遭到网络攻击时进行反击。韩国国防部官员也宣布，将在2010年成立网络战司令部，以提高其网络攻防能力。

网络攻击效果评估技术在信息系统的安全评估过程中具有重要意义：一方面，网络构建部门通过对信息网络的模拟攻击和自我评估可以检验系统的安全特性；另一方面，在反击来自敌方的恶意攻击时，网络攻击效果评估技术可以为网络反击样式和反击强度提供合适的应对策略。

发明内容

技术问题：针对网络战平台，迫切需要建立一套有效的网络攻击评估方法，来促进系统网络安全适应能力的提升，从而提高应对网络攻击抵抗能力。本方法针对网络恶意代码的攻击，利用熵值评估方法，建立基于熵值法的恶意代码网络攻击评估方法。

技术方案：本发明的设计方案利用网络熵值，提出构建恶意代码网络攻击效果评估设计方案。在网络攻击的过程中，实时采集包括CPU利用率、网络流量、网络延迟和内存利用率等功能指标的变化情况；对于多次采集的相关指标进行归一化，从而使得各个攻击指标能够在同一水平上进行比较分析；利用熵值法对对攻击效果进行描述；根据评估指标在评估指标体系中的重要程度求出各个攻击指标的权重系数，最后定量确定恶意代码网络攻击达到的效果。

本发明的一种基于熵值法的恶意代码网络攻击评估方法的流程如下：

步骤1：网络攻击实验，通过对相关攻击工具的控制，实现对目标主机的攻击；

步骤2：攻击的直接目的是实现相应指标的变化，变化指标包括CPU利用率、网络流量、网络延迟和内存利用率；根据对拒绝服务攻击的特征的分析，通过网络带宽占用率、CPU占用率、内存占用率、网络延迟几个指标来评估拒绝服务类攻击效果；

步骤3：对于采集的相关指标的归一化，具体的处理方法如下：