（国防大学联合勤务学院 北京 100089）

1 引言

计算机网络战是为了破坏敌方网络系统并保护我方网络系统，从而进行的网络攻击和网络防护手段。近年来，中国的军事网络和民用网络遭到西方势力的大规模的入侵和监测。2013年6月发生的“棱镜门”事件，使各国之间日益激烈的计算机网络战对抗浮出水面。2014年2月，我国成立了网络安全和信息化中央领导小组，习近平对“没有网络安全就没有国家安全”这一论断进行了深刻阐述[1]。2018年4月，习近平在全国网络安全和信息化工作会议上强调，加强互联网内容建设，建立网络综合治理体系，营造清朗的网络空间，从而将网络安全提升到了一个更广泛的层次[2]。

研究网络战效能评估方法，了解敌人的有效网络攻击策略，并且完善我方网络防护方案，可以更加有效地保证我方网络安全稳定运行。文献[3]中指出，美国国防部对中国军队网络作战进行了一系列的评估，我军网络战在潜移默化中已经发展迅速，因此研究计算机网络战效能评估方法有助于我国在未来信息化战争中取得主动。

2 网络战效能评估方法

网络战作战的效能评估方法归根到底是判断网络的损毁程度，在网络战中，网络中节点数量的损毁数量直接决定网络战的作战效果，而损毁节点的重要性越高、数量越多，则完成的作战效果越好，与之对应的作战效能就越高。

采用何种策略、需要多长时间、能对敌方网络产生多大破坏就是本文讨论的问题，具体评估方法如图1所示。

图1 网络战评估示意图

3 基于层次评估方法的网络战攻击效能评估

3.1 层次分析法

层次分析法（AHP）是一种将定性与定量结合起来的多目标、多层次目标决策方法，在建立指标体系的基础上，通过指标间两两比较，从而对各指标进行评判，利用评判结果得到权重系数并进行排序。层次分析法的步骤一般分为建立指标体系、构造判断矩阵、层次分析及一致性检验[4]。

3.2 网络战攻击效能评估指标体系的确立

网络战效能评估首先要确定指标体系，指标体系的建立需要结合网络战的真实情况，这里根据KDDCUP99数据集的分类标识进行分类，由于KD⁃DCUP99数据集是根据模拟美国空军局域网的一个网络环境而收集到的信息，KDDCUP99数据集是通过仿真真实的攻击手段而采集的，所以数据的收集更贴近真实的网络环境[5]。这里根据按照KDD⁃CUP99数据集内的攻击标识，将攻击分为四大类：监视和其他探测活动、来自远程机器的非法访问、普通用户对本地超级用户特权的非法访问、拒绝服务攻击四大类，每一类攻击可以细分为若干小类，建立了一个由25个指标构成的网络战攻击效能评估指标体系[6]，如图2所示。

3.3 网络战攻击效能评估

通过同层因素之间重要性的两两比较，同时赋予其相应的比例标度，便可以得到其比较判断矩阵。这里采用1～9标度法，因为大量实验验证，1～9的标度能正确反映人们对于事物之间某一属性差异的判断能力[7]。

图2 基于攻击实施过程的网络战效能评估指标体系

根据1～9标度法得出各层影响因素的两两比较标度值，以监测和其他探测活动为例，其下层影响因素的两两比较标度值如表1所示。

表1 监测和其他探测活动两两比较标度值

因此B1各影响因素的比较判断矩阵为

得到上述判断矩阵后，对其一致性进行检验，通过计算可得A1的最大特征值为λmаx=4.0518，因此它的一致性指标CI和一致性比例CR（RI通过表2获取）分别为

表2 随机一致性指标

一致性比例CR=0.0194＜0.1，所以判断矩阵B1满足一致性检验要求，因此它的最大特征值所对应特征向量的归一化结果便是各因素的权重，即

同理，可以获得来自远程机器的非法访问、普通用户对本地超级用户特权的非法访问、拒绝服务攻击最大特征值以及攻击效能所对应特征向量的归一化结果为

同理，监视和其他探测活动、来自远程机器的非法访问、普通用户对本地超级用户特权的非法访问、拒绝服务攻击的次数分别为

因此，针对pi节点的网络战攻击效能评估为

4 基于PageRank算法的网络战防御效能推断

4.1 PageRank算法

PageRank算法来源于搜索引擎的网页排序，网页的重要性可以根据这种方法来评价，同样，对于网络中网络节点的重要性也可以通过PageRank算法来确定，每一个节点的PageRank值将是连接到这个节点的各节点PageRank值总和。

最初的PageRank算法是针对有向图的，迭代方程为

其中，L(pj)为节点pj的出度，d为阻尼因子，N是节点总数，(1-d)随机跳往任意一个节点的概率，M(pi)为连接节点pj的所有节点集合。

而在本文中，计算机网络为无向图，因此可以得到pi点的PageRank值PR(pi)，其迭代方程为[8]

其中，degree(pj)为节点pj的度。

4.2 网络战防御效能推断

对于网络战防御效能的评估也可以采用上文中的方法，采用层次分析法对网络战的防御效能进行评估，但是事实上，评价是主观的，网络战的攻击方是主动选择策略，而防御方得策略选择则是相对被动的，防御方往往不清楚攻击方会采取什么样的策略进行攻击，因此，越是重要的网络节点所采取的防御措施就越完善，防御效能就越高，进而遭受同等攻击强度后被损毁的概率就越小。

这里根据网络节点的重要性来推断节点的防御效能。即通过节点的PageRank值来判断节点的防御效能，因此，pi节点的防御效能可以表述为

可以采用逐步增加策略中的攻击次数，对网络中不同节点进行攻击，得刚好摧毁节点时所对应的攻击效能数值，以此作为对应节点的C(pi)，然后通过SVM回归等算法得到其回归函数，从而得出C(pi)与PR(pi)关系。

文中为了简化计算，令

由节点的PageRank值来表示对应节点的防御效能，同时，也代表的节点的重要程度，网络战效能就是要看损毁网络中节点的总的重要程度[9]，所以网络战效能可以通过被损毁节点的PageRank值的总和表示：

其中，D为已损毁点的集合。

5 基于LSSVM的网络节点损毁判断

5.1 LSSVM分类算法

当pi节点遭受攻击后，对比此节点遭受攻击效能数值和自身防御效能的数值，节点有一定概率损坏，因此这里采用最小二乘支持向量机（LLSVM）进行节点损坏的判断。

LSSVM是在标准支持向量机的基础上采用二次损失函数取代不敏感损失函数，假设网络战训练集为，对应的两类标签为-1和+1，分别代表着节点损毁和未损毁两种情况。

在LSSVM中，支持向量机中的Vapnik条件，通常被修改成为下面所示的形式[10～11]：

其中，ξi是松弛因子，需要用它来控制误判，γ是惩罚参数，w为权向量。

在这里是等式条件限制，而并非不等式条件的限制，所考虑的是二乘误差。

通过构造下面的拉格朗日形式可以得到求解方法：

其中，αi是拉格朗日乘子。

对上式进行求偏导：

在标准的支持向量机中，不会计算w或者φ(xi)。所以，可以通过下面的变形消除w和e：

对Ω矩阵应用Mercer条件：

得到LSSVM分类函数为[12]

其中，K(x，xi)为核函数。

这里采用径向基核函数，其定义为

5.2 节点损毁判断

接下来需要根据攻击效能和防御效能来判断节点是否损毁，具体步骤如下：

1）首先，按照第2节对攻击效能进行评估，获得不同策略下的攻击效能数值；

2）然后，按照第3节推算不同节点的防御效能数值；

3）采取不同策略试探性进攻若干节点，得到节点是否损毁成功的相关数据作为网络战训练数据；

4）将攻击效能数值和对应节点的防御效能数值作为网络战训练集，节点是否损毁成功对应的两类标签为-1和+1，通过LSSVM进行训练，并获得对应参数；

5）利用LSSVM推断其他节点在不同策略下的是否损毁成功；

6）得到不同策略在不同时间点的网络节点损毁情况，即可以得出网络战效能。

6 仿真实验

6.1 仿真实验步骤

这里选择拒绝服务攻击（DOS）模拟网络战进行仿真实验，步骤如下：

1）生成一个100节点网络作为实验对象，得到此网络各个节点的防御效能数值；

2）然后随机生成攻击策略A，拒绝服务攻击共有9种攻击类型，因此对于每个节点将会按照策略A对其进行9种不同的攻击，策略A为针对各个节点在单位时间内9种类型的攻击次数，这里以秒为单位；

3）实际情况下，训练数据应该由大量网络战数据进行分析或者针对具体网络的试探性进攻而得到，这里随机生成若干训练数据并进行训练；

4）根据LSSVM进行分类，得到使用策略A的情况下，随着时间的推移，网络节点损毁情况和网络战效能。

6.2 仿真实验分析

采用策略A的情况下，对网络战情况进行仿真，仿真情况见图3和图4。

图3 时间为1s时的网络战仿真

图4 时间为12s时的网络战仿真

表2为各个时间点节点的存活数量，可以看出，随着时间的变化，攻击效能逐步累积，导致节点开始损毁，在时间为12s时，节点损失过半，在时间为23s时，节点全部损毁。

表2 节点存活情况

7 结语

在信息化网络环境中，存在来自国内外高频率的网络攻击，攻击手段复杂多变，攻击危害性持续增长，网络安全形势日益严峻，对网络战效能进行评估将对我国的网络安全有着重要而深远的意义。本文给出了一种可行的网络战效能评估的方法，通过AHP、PageRank和LSSVM算法得到网络战的攻击效能、防御效能，进一步得出使用不同策略在不同时间内的网络节点损毁情况和网络战效能。

根据对网络战效能的评估，一方面有利于网络战的攻击方确定攻击的正确性和可行性，同时可以让作战指挥员在网络战开始之前根据不同策略评估出不同时间的网络战效能，从而进行相应的策略调整；另一方面，也有利于防御方提前做好防护措施，改进和丰富防护策略，进而对加强网络安全建设、维护国家利益具有深远的意义。