陳趙懿， 高秀峰， 曲 直

(陸軍工程大學石家莊校區(qū)模擬訓練中心， 河北 石家莊 050003)

由于Ad hoc網(wǎng)絡(luò)不依賴固定基礎(chǔ)設(shè)施，因此比傳統(tǒng)網(wǎng)絡(luò)更容易遭受各種安全威脅，如竊聽、重放、篡改報文和拒絕服務(wù)等?，F(xiàn)有的網(wǎng)絡(luò)風險評估方法可分為4大類：定量評估、定性評估、定性與定量相結(jié)合的集成評估以及基于模型的評估[1]。單純采用定性或定量評估方法都不能完整地描述整個評估過程。相比而言，基于博弈論模型的安全分析方法可以對網(wǎng)絡(luò)攻防行為進行推演，對網(wǎng)絡(luò)風險進行有效預(yù)判。

博弈論作為一種研究參與者之間競爭與合作關(guān)系的數(shù)學理論工具，已廣泛應(yīng)用于Ad hoc網(wǎng)絡(luò)的節(jié)點合作、入侵檢測、資源分配、動態(tài)功率調(diào)整等問題的研究。沈士根[2]綜述了博弈論在無線傳感器網(wǎng)絡(luò)安全方面的應(yīng)用；AMIN等[3]提出了網(wǎng)絡(luò)資源受限條件下節(jié)點間合作博弈的入侵檢測系統(tǒng)模型；唐潔[4]根據(jù)貝葉斯博弈理論建立了節(jié)點轉(zhuǎn)發(fā)博弈模型，改進了節(jié)點激勵策略，提升了網(wǎng)絡(luò)整體性能；WANG等[5]提出貝葉斯攻防模型，考慮了信道噪聲對攻防策略收益的影響，研究了與惡意節(jié)點共存的問題；BASANT等[6]提出了一種基于多層博弈論的入侵檢測框架，研究了車載自組網(wǎng)的安全。但上述博弈模型大多在以下3個方面考慮不足：一是沒有考慮實際Ad hoc環(huán)境中的攻擊方法具有多樣化的特點；二是沒有考慮攻擊檢測率與誤檢率隨攻擊類型與強度的變化，而這些都會直接影響博弈模型中攻防雙方的收益；三是沒有考慮節(jié)點資產(chǎn)價值與權(quán)重，Ad hoc網(wǎng)絡(luò)中的節(jié)點不同，其風險也不同，需要區(qū)別對待[7]。

筆者采用2人非合作博弈描述網(wǎng)絡(luò)攻擊者與防御者的博弈過程，從攻擊檢測率、誤檢率、節(jié)點資產(chǎn)權(quán)重、不同攻擊方式等多方面綜合量化攻防雙方收益，使模型更符合網(wǎng)絡(luò)實際，通過求解博弈模型的納什均衡解，可預(yù)測每個節(jié)點的風險與最優(yōu)攻防策略。主要從資產(chǎn)、脆弱性以及攻擊角度對Ad hoc網(wǎng)絡(luò)風險進行評估，依據(jù)這些要素給出常用網(wǎng)絡(luò)風險表達式為

R(W,V,T)=R(λ(W),P(T,W),B(T,W,V))，

(1)

式中：R為風險；W為資產(chǎn)；V為脆弱程度；T為威脅；P為概率；B為攻擊對網(wǎng)絡(luò)節(jié)點造成的損失；λ為節(jié)點資產(chǎn)權(quán)重。

風險評估流程如圖1所示。首先，利用攻防博弈模型求解每個節(jié)點的攻擊概率與攻擊損失；然后，求解節(jié)點風險；最后，結(jié)合節(jié)點資產(chǎn)權(quán)重，對網(wǎng)絡(luò)整體風險進行評估。

1 Ad hoc網(wǎng)絡(luò)

Ad hoc具有節(jié)點資源有限、缺乏集中管理、網(wǎng)絡(luò)拓撲動態(tài)變化等固有屬性，較容易受到網(wǎng)絡(luò)攻擊。入侵檢測系統(tǒng)(Intrusion Detection System，IDS)是保護Ad hoc安全的一道防線，一種最安全而樸素的IDS實現(xiàn)方法就是激活每個網(wǎng)絡(luò)節(jié)點上的檢測機制，但這種實現(xiàn)方式并不適合資源受限的Ad hoc網(wǎng)絡(luò)環(huán)境，所以防御系統(tǒng)在最大化網(wǎng)絡(luò)安全方面與攻擊者存在博弈。

1.1 脆弱性與威脅

Ad hoc網(wǎng)絡(luò)中的惡意節(jié)點可發(fā)動網(wǎng)絡(luò)攻擊，為博弈攻擊者，它的目的是在被發(fā)現(xiàn)和捕獲的最小概率前提下，最大化地破壞Ad hoc網(wǎng)絡(luò)的通信，通過丟包、泛洪等手段占用網(wǎng)絡(luò)資源和干擾網(wǎng)絡(luò)通信而獲取利益。

按攻擊性質(zhì)，Ad hoc網(wǎng)絡(luò)攻擊可以分為被動攻擊和主動攻擊。被動攻擊的目的是從網(wǎng)絡(luò)中竊取有用信息，而不干擾破壞網(wǎng)絡(luò)正常通信,如竊聽等；主動攻擊目的是破壞網(wǎng)絡(luò)正常通信，造成網(wǎng)絡(luò)擁塞,消耗網(wǎng)絡(luò)和節(jié)點資源，如Dos攻擊、黑洞攻擊等[8]。按攻擊實施位置可以分為外部攻擊和內(nèi)部攻擊[9]。也可按網(wǎng)絡(luò)層次進行分類[10]，其中路由攻擊是實施較多的攻擊，包括黑洞、灰洞、蟲洞、泛洪、Sybil和Rushing攻擊等[11]。理智攻擊者常常采用不連續(xù)、多種攻擊策略相組合方式進行攻擊，以降低被檢測發(fā)現(xiàn)的概率。

1.2 節(jié)點資產(chǎn)

Ad hoc網(wǎng)絡(luò)中節(jié)點所處位置和擔負的角色決定了其對網(wǎng)絡(luò)的重要程度。選擇那些安全性薄弱且對網(wǎng)絡(luò)重要的節(jié)點進行攻擊，對系統(tǒng)造成的風險會更大。

根據(jù)Ad hoc網(wǎng)絡(luò)特點，定義節(jié)點資產(chǎn)價值

wx=100×(e1×sx+e2×cx+e3×mx+e4×dx),

(2)

式中:ek(k=1,2,3,4)為權(quán)重因子；sx為節(jié)點等級；mx為節(jié)點能量；cx為偏心率；dx為節(jié)點度數(shù)。這些參數(shù)歸一化后參與計算。各參數(shù)說明如下：

1)sx。在實際的Ad hoc網(wǎng)絡(luò)中，節(jié)點等級越高，其權(quán)限越大，承擔的任務(wù)越重要；在同級同質(zhì)網(wǎng)絡(luò)中，該參數(shù)權(quán)重因子可設(shè)置為0。

2)mx。為保持網(wǎng)絡(luò)結(jié)構(gòu)的穩(wěn)定性，一般能量小的節(jié)點風險較大，需重點保護，以防止其能量耗盡而造成網(wǎng)絡(luò)路由中斷。若所有節(jié)點能量足夠充沛，該參數(shù)權(quán)重因子可設(shè)置為0。

4)dx。一般認為節(jié)點度越大的節(jié)點在網(wǎng)絡(luò)中越重要[13]，即受到惡意攻擊時，其所影響的范圍越廣。

Ad hoc網(wǎng)絡(luò)中，節(jié)點資產(chǎn)可以通過節(jié)點發(fā)送的hello報文相互告知，節(jié)點資產(chǎn)不僅影響攻防策略的收益，也影響網(wǎng)絡(luò)的整體風險評估。

2 攻防博弈模型

網(wǎng)絡(luò)攻防是一個復(fù)雜問題，攻防雙方依據(jù)各自策略選擇攻防動作，網(wǎng)絡(luò)在攻防雙方的聯(lián)合行為作用下進行推演。假設(shè)網(wǎng)絡(luò)對抗中攻防雙方都是理性的，目的都是獲得各自最大收益。

2.1 博弈模型描述

定義Ad hoc攻防博弈模型(Ad hoc Game Model，AGM)為一個9元組：AGM={P,S,U,C,B,δ,θ,β,F}。相關(guān)參數(shù)說明如下：

1)P={攻擊者A，防御者D}，為博弈參與者，即Ad hoc網(wǎng)絡(luò)攻擊者與防御者；

3)U=Ua×Ud，為攻防效用函數(shù)，取值為實數(shù)；

4)C=Ca×Cd，為攻防雙方采取純策略的操作代價；

5)B=Ba×Bd，為攻防雙方采取某策略的獲利，與策略與節(jié)點資產(chǎn)有關(guān)；

6)δ為攻擊方被防御而受到的懲罰代價，是攻擊者前期的準備成本，也表示失去潛在威脅的損失；

7)F={f(w)},其中f(w)為防御措施給網(wǎng)絡(luò)帶來的負面損失，即采取防御后導致系統(tǒng)無法正常提供服務(wù)的損失；

8)β為系統(tǒng)誤檢率，與入侵檢測系統(tǒng)有關(guān)；

2.2 效用函數(shù)

效用函數(shù)表示攻防雙方從博弈中最終得到的收益水平。對于博弈參與者，效用值即為采取某行為后，其收益與代價的差值。在實際應(yīng)用中，攻防雙方的收益受攻擊目標、攻防策略等多方面因素的影響，效用函數(shù)量化是網(wǎng)絡(luò)攻防最優(yōu)策略選取的基礎(chǔ)，量化是否合理直接影響策略選取結(jié)果，對其量化需要參考歷史數(shù)據(jù)、仿真實驗、網(wǎng)絡(luò)環(huán)境和專家經(jīng)驗等。

表1 博弈模型攻防雙方效用函數(shù)

2.3 納什均衡求解算法

雙方攻防效用期望

(3)

(4)

納什均衡求解算法為

minv=Ua(Pa*,Pd*)-Ua+Ud(Pa*,Pd*)-Ud;

其中，Ua(Pa*,Pd*)和Ud(Pa*,Pd*)分別表示攻擊者和防御者在納什均衡點的期望效用。

3 風險評估

美國國家標準局提出的風險計算方法

(5)

得到廣泛認可與應(yīng)用[14]。式中:I(Oi)為風險Oi的損失值;Fi為風險Oi發(fā)生的概率。參考該計算方法，定義Ad hoc節(jié)點風險計算公式為

(6)

節(jié)點風險值為攻防策略下攻擊發(fā)生的概率及攻擊所造成損失的乘積。該值能更客觀地反映網(wǎng)絡(luò)的風險狀況。Ad hoc網(wǎng)絡(luò)整體風險為各節(jié)點風險值的綜合，其風險期望為

(7)

式中：λx為各節(jié)點資產(chǎn)權(quán)重，其可根據(jù)各節(jié)點資產(chǎn)價值wx歸一化得到。

3.1 風險評估求解算法

根據(jù)Ad hoc網(wǎng)絡(luò)環(huán)境，可獲取攻擊檢測率、誤檢率、攻擊的獲利、防御的負面損失等參數(shù)。具體評估算法如下。

輸入：AGM

輸出：Ad hoc網(wǎng)絡(luò)風險值

Step 1：初始化攻擊策略的檢測率θ和誤檢率β；

Step 2:初始化AGM；

Step 3:計算網(wǎng)絡(luò)節(jié)點資產(chǎn)；

Step 4:循環(huán)網(wǎng)絡(luò)所有節(jié)點；

Step 6：調(diào)用納什均衡算法，計算攻防雙方混合策略(Pa*,Pd*)；

Step 7：結(jié)束Step 4的循環(huán)；

Step 8：根據(jù)節(jié)點風險公式，計算網(wǎng)絡(luò)每個節(jié)點的風險值；

Step 9：計算網(wǎng)絡(luò)整體風險值。

DU等[15]證明了納什均衡算法的時間復(fù)雜度是多項式級別，本文模型的計算時間主要取決于納什均衡子算法的求解和網(wǎng)絡(luò)節(jié)點的規(guī)模，因此，整個算法具有多項式級別的時間復(fù)雜度。

3.2 風險分析

根據(jù)納什均衡算法，推導、分析不同參數(shù)下的最優(yōu)攻防策略與網(wǎng)絡(luò)風險。

4) 當不存在占有策略時，博弈參與者將以混合策略形式選擇攻防動作。

5) 相對攻擊和防御獲利，當攻擊與防御成本很小，可以忽略不計，此時為二人非合作零和博弈模型。

4 實驗與對比分析

為進一步闡述本文所提AGM模型和算法的可行性和有效性，利用OMNet++軟件進行Ad hoc網(wǎng)絡(luò)的仿真實驗。

Ad hoc網(wǎng)絡(luò)仿真實驗拓撲結(jié)構(gòu)如圖2所示，仿真區(qū)域300 m×200 m，節(jié)點10個，發(fā)射距離250 m，節(jié)點能量相同，路由協(xié)議AODV。根據(jù)節(jié)點資產(chǎn)公式，資產(chǎn)W=(89,100,67,67,56,56,56,44,44,56)，權(quán)重λ=(0.18,0.2,0.13,0.13,0.11,0.11,0.11,0.09,0.09,0.11)。根據(jù)納什均衡算法和風險評估算法，求解網(wǎng)絡(luò)風險值。

表2 最優(yōu)攻擊策略和節(jié)點風險值

5 結(jié)論

筆者針對Ad hoc網(wǎng)絡(luò)特點，依據(jù)攻防雙方策略，提出了基于攻防博弈下的網(wǎng)絡(luò)風險評估模型。該模型框架綜合攻擊檢測率、誤檢率、節(jié)點資產(chǎn)價值、攻擊懲罰損失和防御措施負面損失等因素，更符合實際；根據(jù)風險計算公式，給出網(wǎng)絡(luò)風險評估算法，從實驗數(shù)據(jù)分析，本模型操作簡單，切實可行，能有效預(yù)測攻擊策略和網(wǎng)絡(luò)節(jié)點的風險,可為管理者提高網(wǎng)絡(luò)安全提供參考。