| 发明名称 | 基于熵值法的恶意代码网络攻击评估方法 | ||
| 摘要 | 本发明一种基于熵值法的恶意代码网络攻击评估方法的设计方案利用网络熵值,提出构建恶意代码网络攻击效果评估设计方案。在网络攻击的过程中,实时采集包括CPU利用率、网络流量、网络延迟和内存利用率等功能指标的变化情况;对于多次采集的相关指标进行归一化,从而使得各个攻击指标能够在同一水平上进行比较分析;利用熵值法对对攻击效果进行描述;根据评估指标在评估指标体系中的重要程度求出各个攻击指标的权重系数,最后定量确定恶意代码网络攻击达到的效果。 | ||
| 申请公布号 | CN102185847B | 申请公布日期 | 2014.05.07 |
| 申请号 | CN201110106026.0 | 申请日期 | 2011.04.22 |
| 申请人 | 南京邮电大学 | 发明人 | 王汝传;李鹏;张登银;孙力娟;黄海平;张伟;肖甫 |
| 分类号 | H04L29/06(2006.01)I;H04L12/26(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 南京经纬专利商标代理有限公司 32200 | 代理人 | 叶连生 |
| 主权项 | 1.一种基于熵值法的恶意代码网络攻击评估方法,其特征在于该评估方法的流程如下: 步骤1:网络攻击实验,通过对相关攻击工具的控制,实现对目标主机的攻击; 步骤2:攻击的直接目的是实现相应指标的变化,变化指标包括CPU利用率、网络流量、网络延迟和内存利用率;根据对拒绝服务攻击的特征的分析,通过网络带宽占用率、CPU占用率、内存占用率、网络延迟几个指标来评估拒绝服务类攻击效果; 步骤3:对于采集的相关指标的归一化,具体的处理方法如下: 1)数据均采用四次测量的平均值; 2)CPU利用率采用低干扰状态值即减去下载工具占用的CPU值; 3)CPU利用率和内存利用率由于在攻击前后数据有所增加,因此采用1-V作为归一化值; 4)下载速度的归一化方式为V/Vs,其中Vs网络的最高下载速度12.5MB/S;5)网络延 迟的归一化方式为V/Vs,其中最大网络延迟Vs定义30ms; 步骤4:求熵值:当0≤V2≤V1≤V<sub>g</sub>时,利用ΔH=-log<sub>2</sub>(V<sub>2</sub>/V<sub>1</sub>)公式计算熵值;当0≤V1≤V2≤V<sub>g</sub>时,利用ΔH=-log<sub>2</sub>((1-V<sub>2</sub>/V<sub>g</sub>)/(1-V<sub>1</sub>/V<sub>g</sub>))公式计算熵值; 其中:V1表示攻击前的网络指标,V2代表攻击后的网络指标,V<sub>g</sub>表示网络指标最大值,△H即为计算后的熵值; 步骤5:采用w'<sub>j</sub>=log<sub>2</sub>n-H(X<sub>j</sub>) (j=1,2,…m)和<img file="FDA0000469159510000011.GIF" wi="297" he="252" />两个公式来确定评估指标X<sub>j</sub>的权重系数w<sub>j</sub>;其中:X<sub>j</sub>表示评估指标,w’<sub>j</sub>表示权重系数,w<sub>j</sub>表示经过归一化处理的评估指标Xj的权重系数;n表示样本的评估指标;m为评估指标的个数; 步骤6:通过公式<img file="FDA0000469159510000012.GIF" wi="403" he="161" />得出综合的评定效果;其中:△H即为步骤4计算出的熵值,w<sub>j</sub>表示步骤5计算出的权重系数。 | ||
| 地址 | 210003 江苏省南京市新模范马路66号 | ||