潘子軒 許曉東 朱士瑞

摘要：基于博弈理論的網(wǎng)絡(luò)安全防御策略研究，大多使用完全信息或靜態(tài)博弈理論進行攻防過程建模。針對現(xiàn)有攻防博弈模型的局限性，以網(wǎng)絡(luò)安全防御的蜜罐（Honeypot）技術(shù)為研究對象，從動態(tài)、不完全信息角度對攻防交互過程建模，提出了網(wǎng)絡(luò)攻防擴展式博弈模型（Network Attack-Defense Extensive-Form Game Model，NEFGM），給出了擴展式博弈的斯塔克爾伯格均衡（Stackelberg Equilibrium，SE）求解算法，從而在權(quán)衡防御成本和收益的前提下提供決策參考。仿真實驗分析驗證了模型和求解算法的可行性及有效性。

關(guān)鍵詞：網(wǎng)絡(luò)安全；擴展式博弈；蜜罐技術(shù)；博弈均衡

DOIDOI：10.11907/rjdk.181252

中圖分類號：TP309

文獻標識碼：A 文章編號：1672-7800（2018）010-0191-03

英文摘要Abstract：Researches on the defense strategy of network security based on game theory mostly use completed information or static game theory to establish the model of offensive and defensive process.In order to solve the limitations of the existing offensive and defensive game model，this paper proposes a network attack-defense game model based on the extensive-form game，which is modeled in a dynamic way and has incomplete information.The honeypot technology of network security is studied，moreover， the solving algorithm of Stackelberg Equilibrium based on the extensive-form game is given so as to make decision guidance for managers on the premise of balancing defense costs and benefits.Through the simulation experiment and analysis， the feasibility and effectiveness of the model and the solving algorithm are verified.

英文關(guān)鍵詞Key Words：network security；extensive-form game；honeypot technology；game equilibrium

0 引言

現(xiàn)有的網(wǎng)絡(luò)安全防御技術(shù)依賴防火墻、漏洞掃描、入侵檢測和反病毒軟件等，大多是檢測到攻擊后才有響應(yīng)，因此在攻防對抗中容易陷入被動。作為未來網(wǎng)絡(luò)安全防御研究的發(fā)展方向，主動防御技術(shù)受到了研究者的廣泛關(guān)注[1]。蜜罐技術(shù)是一種具有主動性的入侵響應(yīng)技術(shù)[2]。蜜罐作為誘餌可以分散攻擊者對真正主機的注意力，檢測攻擊者的存在并收集有關(guān)攻擊者活動的詳細信息。部署可信的蜜罐往往代價高昂，并且攻擊策略總是致力于避開蜜罐，因此如何部署蜜罐以最大程度降低攻擊者收益值得深入分析。

本文借助一種博弈論方法研究蜜罐部署策略問題，可作為博弈論方法進行網(wǎng)絡(luò)安全加固決策的案例，也可為其它網(wǎng)絡(luò)安全防御策略研究提供思路。

1 相關(guān)研究

博弈論是研究各博弈方之間發(fā)生直接相互作用時的決策及決策均衡問題的理論[3]。Hamilton等[4]指出，博弈論將在網(wǎng)絡(luò)攻防對抗領(lǐng)域發(fā)揮重要作用，是未來信息安全的研究方向之一。

目前已有多種博弈論模型應(yīng)用在網(wǎng)絡(luò)安全研究中。姜偉等[5]通過建立網(wǎng)絡(luò)攻防模型選取防御策略，該模型可看作攻防雙方在網(wǎng)絡(luò)中的一種非合作零和博弈過程。吉鴻珠等[6]基于隨機博弈理論進行建模并求解納什均衡，從而分析網(wǎng)絡(luò)安全量化評估結(jié)果。林旺群等[7]基于非合作動態(tài)博弈理論提出完全信息動態(tài)博弈模型，并給出求解最佳攻防策略集的博弈算法。王曉丹等[8]結(jié)合博弈論思想研究計算機網(wǎng)絡(luò)防御策略，從靜態(tài)和動態(tài)博弈兩種情況對防御策略進行分析，得出最佳防御策略。上述研究都是基于完全信息假設(shè)建立的博弈模型，在通用性與準確性上存在不足。劉玉嶺等[9]建立了基于不完全信息靜態(tài)博弈的績效評估模型，并通過求解貝葉斯指導(dǎo)防御策略選擇。胡裕靖等[10]研究在不完全信息擴展博弈中對次優(yōu)對手弱點的利用，并在基于單牌撲克實驗中驗證算法的有效性。張恒巍等[11]提出基于信號博弈的網(wǎng)絡(luò)攻防博弈模型，給出了完美貝葉斯均衡求解過程，最后提出了基于模型的網(wǎng)絡(luò)安全威脅評估算法。Manshaei等[12]討論了博弈論在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用的優(yōu)勢、不足和未來發(fā)展方向，認為開發(fā)新的博弈論方法是網(wǎng)絡(luò)安全研究的方向。

本文以蜜罐部署為防御策略研究網(wǎng)絡(luò)攻防過程，是一種防御者先行決策且攻擊者對防御決策具有不完全信息的動態(tài)博弈?，F(xiàn)有完全信息或靜態(tài)博弈模型不能準確描述這種交互攻防場景，因此選用擴展式博弈模型結(jié)合實際攻防過程建模求解。

2 網(wǎng)絡(luò)攻防擴展式博弈模型

動態(tài)博弈指局中人輪流決策的博弈。將攻擊者與防御者的網(wǎng)絡(luò)攻防交互過程建模為一個二人擴展式博弈[13]，是一個具有不完全信息的動態(tài)博弈過程。在研究的攻防場景中，防御者首先選擇部署蜜罐策略，然后攻擊者進行攻擊決策。不完全信息來源于攻擊者不確定的系統(tǒng)類型。擴展式博弈模型中攻防雙方的相互作用可以直觀地表示為博弈樹形式，如圖1所示。博弈樹可以添加自然節(jié)點表示隨機事件或不確定狀態(tài)。圖中圓形與正方形節(jié)點表示博弈狀態(tài)，每個節(jié)點對應(yīng)一個博弈狀態(tài)行動的局中人。節(jié)點的邊表示局中人在該狀態(tài)下可執(zhí)行的行動，如{x，y，A，B，C，D，E，F(xiàn)，G，H}，葉節(jié)點中數(shù)值為收益，Ia-Ie稱為信息集。擴展式博弈通過將節(jié)點分組為信息集形式限制局中人觀察，使得給定局中人在決策時不能區(qū)分屬于哪一信息集節(jié)點，在博弈過程中具有不完全信息。

4 應(yīng)用與分析

為說明和驗證網(wǎng)絡(luò)攻防擴展式博弈模型以及均衡求解算法，構(gòu)建網(wǎng)絡(luò)拓撲結(jié)構(gòu)實例如圖2所示。

防火墻限制外部只能訪問DMZ區(qū)主機，規(guī)定防御者通過部署A類服務(wù)器蜜罐和B類主機蜜罐進行主動防御。攻擊者以攻取數(shù)據(jù)庫服務(wù)器為目標，將攻擊者已知的部分網(wǎng)絡(luò)稱為網(wǎng)絡(luò)核心。本例網(wǎng)絡(luò)核心由一個網(wǎng)關(guān)路由器和數(shù)據(jù)庫服務(wù)器組成，通過NEFGM建模的博弈樹形式表示，見圖3。

如圖3所示，由于在網(wǎng)絡(luò)核心部分部署蜜罐成本過高，因此核心網(wǎng)絡(luò)在攻防過程中保持不變。目標網(wǎng)絡(luò)拓撲結(jié)構(gòu)由核心網(wǎng)絡(luò)和DMZ={A，B}兩部分組成，經(jīng)過自然初始決策X1、X2、X3后等概率形成網(wǎng)絡(luò)1-網(wǎng)絡(luò)3。本例中防御者在DMZ區(qū)域可部署蜜罐總數(shù)為2，防御者決策集為Y={（2，0），（1，1），（0，2）}。如果防御者向網(wǎng)絡(luò)1添加一個A類蜜罐和一個B類蜜罐，而向網(wǎng)絡(luò)2添加兩個B類蜜罐，所形成的網(wǎng)絡(luò)1-R和2-L構(gòu)成信息集Ib，圖中Ia-Ie均為信息集。因為攻擊者對目標網(wǎng)絡(luò)具有不完全信息，所以對同一信息集中的所有網(wǎng)絡(luò)節(jié)點執(zhí)行相同攻擊策略。通用漏洞評分系統(tǒng)[15]（Common Vulnerability Scoring System，CVSS）中規(guī)定攻擊者對A類服務(wù)器攻擊成功率為0.1，B類主機攻擊成功率為0.4，攻擊策略通過攻擊圖[16]獲取。實例攻防中防御者只進行一次蜜罐部署決策，通過多重線性規(guī)劃算法求解出防御者最優(yōu)執(zhí)行計劃：L1、M1、R1的執(zhí)行計劃分別為（0，1，0），L2、M2、R2的執(zhí)行計劃分別為（0，0.55，0.45），L3、M3、R3的執(zhí)行計劃分別為（0.11，0.14，0.75）。

設(shè)定一種隨機蜜罐部署策略（Random），所有可選蜜罐部署方式以等概率執(zhí)行計劃部署，如圖4所示。假定蜜罐部署前攻擊者最大攻擊收益為4，與隨機部署策略相比，采用斯塔克爾伯格均衡（SE）下的決策指導(dǎo)，在可部署蜜罐數(shù)量相等條件下更大程度地降低了攻擊者收益。

5 結(jié)語

本文以蜜罐部署策略為例，研究了防御者先行部署防御策略的網(wǎng)絡(luò)攻防場景。為了更加貼近實際，提出網(wǎng)絡(luò)攻防擴展式博弈模型，從動態(tài)、不完全信息角度對攻防行為建模，并通過斯塔克爾伯格均衡求解算法，獲取最優(yōu)網(wǎng)絡(luò)安全防御策略。通過一個網(wǎng)絡(luò)實例驗證了該模型和求解算法的可行性及有效性。下一步研究工作重點是多種防御策略共同作用下的攻防博弈問題。

參考文獻：

[1] 高曉飛，申普兵.網(wǎng)絡(luò)安全主動防御技術(shù)[J].計算機安全，2009（1）：38-40.

[2] 張龍生.虛擬蜜罐網(wǎng)關(guān)鍵技術(shù)研究與實現(xiàn)[D].北京：北京郵電大學(xué)，2015.

[3] FALLAH M S. A puzzle-based defense strategy against flooding attacks using game theory[J]. IEEE Transactions on Dependable & Secure Computing， 2010，7（1）：5-19.

[4] HAMILTON S N， MILLER W L， OTT A， et al. The Role of Game Theory in Information Warfare[C]. Vancouver， Canade： Proceedings of the 4th Information Survivability Workshop， 2002：45-46.

[5] 姜偉，方濱興，田志宏，等.基于攻防博弈模型的網(wǎng)絡(luò)安全測評和最優(yōu)主動防御[J].計算機學(xué)報，2009，32（4）：817-827.

[6] 吉鴻珠，顧乃杰.基于博弈論的網(wǎng)絡(luò)安全量化評估算法[J].計算機應(yīng)用與軟件，2009，26（9）：4-6.

[7] 林旺群，王慧，劉家紅，等. 基于非合作動態(tài)博弈的網(wǎng)絡(luò)安全主動防御技術(shù)研究[J].計算機研究與發(fā)展，2011，48（2）：306-316.

[8] 王曉丹，黃炎焱，王建宇，等.計算機網(wǎng)絡(luò)防御策略分析[J].指揮信息系統(tǒng)與技術(shù)，2014，5（5）：13-19.

[9] 劉玉嶺，馮登國，吳麗輝，等.基于靜態(tài)貝葉斯博弈的蠕蟲攻防策略績效評估[J].軟件學(xué)報，2012，23（3）：712-723.

[10] 胡裕靖，高陽，安波.不完美信息擴展式博弈中在線虛擬遺憾最小化[J].計算機研究與發(fā)展，2014，51（10）：2160-2170.

[11] 張恒巍，余定坤，韓繼紅，等.信號博弈網(wǎng)絡(luò)安全威脅評估方法[J].西安電子科技大學(xué)學(xué)報：自然科學(xué)版，2016，43（3）：137-143.

[12] MANSHAEI M H， ZHU Q， ALPCAN T， et al. Game theory meets network security and privacy[J]. Acm Computing Surveys， 2013，45（3）：1-39.

[13] KOLLER D， MEGIDDO N， STENGEL B V. Efficient computation of equilibria for extensive two-person games[J]. Games & Economic Behavior， 1996，14（2）：247-259.

[14] KORZHYK D， YIN Z， KIEKINTVELD C， et al. Stackelberg vs. Nash in security games： an extended investigation of interchangeability， equivalence， and uniqueness[J]. Journal of Artificial Intelligence Research， 2014，41（2）：297-327.

[15] MELL P， SCARFONE K， ROMANOSKY S. Common vulnerability scoring system[J]. IEEE Security & Privacy， 2007，4（6）：85-89.

[16] OU X， BOYER W F， MCQUEEN M A. A scalable approach to attack graph generation[C]. Alexandria， Virginia， USA： Proceedings of the 13th ACM Conference on Computer and Communications Security， 2006：336-345.

（責任編輯：杜能鋼）