陳趙懿，高秀峰，王 帥

（陸軍工程大學(xué)石家莊校區(qū)模擬訓(xùn)練中心，石家莊 050003）

0 引言

Ad hoc 網(wǎng)絡(luò)是一種無中心、無固定基礎(chǔ)設(shè)施、自動配置、靠無線信道傳輸?shù)木W(wǎng)絡(luò)，可快速部署，廣泛應(yīng)用于戰(zhàn)場通信、搶險救災(zāi)和其他需要臨時建立網(wǎng)絡(luò)的場合［1］，其網(wǎng)絡(luò)特點很好地滿足軍事通信中“動中通”、快速組網(wǎng)等要求。美國研制了大量無線自組織網(wǎng)絡(luò)設(shè)備，并應(yīng)用于單兵、車載、無人機通信等方面，我軍采用Ad hoc 網(wǎng)絡(luò)技術(shù)，構(gòu)建的戰(zhàn)術(shù)互聯(lián)網(wǎng)，具有較強的移動性和抗毀性［2］。然而，Ad hoc網(wǎng)絡(luò)較傳統(tǒng)網(wǎng)絡(luò)更容易遭受入侵，攻擊者入侵網(wǎng)絡(luò)后，可通過惡意節(jié)點發(fā)動網(wǎng)絡(luò)攻擊，破壞網(wǎng)絡(luò)安全與性能，入侵防御系統(tǒng)采取檢測與響應(yīng)措施，限制或隔離惡意節(jié)點，降低網(wǎng)絡(luò)安全風(fēng)險。基于博弈論的分析方法，可描述網(wǎng)絡(luò)攻擊者與入侵防御系統(tǒng)之間的攻防過程，可對網(wǎng)絡(luò)風(fēng)險進行分析與預(yù)測。

博弈論作為解決優(yōu)化策略問題的有效方法之一，已廣泛應(yīng)用于Ad hoc 網(wǎng)絡(luò)的入侵檢測、資源配置和動態(tài)功率調(diào)整等問題的研究［3］。由于缺乏對Ad hoc 網(wǎng)絡(luò)安全的測量與相關(guān)數(shù)據(jù)收集等原因［4］，很少有學(xué)者將博弈論用于Ad hoc 網(wǎng)絡(luò)的風(fēng)險預(yù)測與評估。Wei 等人構(gòu)建風(fēng)險評估框架，提出了量化威脅概率的攻防博弈模型［5］；孫杰等人采用隨機博弈模型［6］，分析了Ad hoc 網(wǎng)絡(luò)的風(fēng)險狀況，但攻防策略的收益量化較簡單；Chen 等人利用混合策略納什均衡解推導(dǎo)Ad hoc 網(wǎng)絡(luò)安全風(fēng)險值［7］。上述評估Ad hoc 網(wǎng)絡(luò)風(fēng)險的博弈模型大多存在3 點不足：一是沒有考慮攻防過程的多階段性；二是假設(shè)博弈參與者完全理性且掌握了完全信息，與實際Ad hoc 網(wǎng)絡(luò)環(huán)境不太吻合；三是沒有考慮Ad hoc 網(wǎng)絡(luò)節(jié)點的差異性，不同拓撲位置和角色的網(wǎng)絡(luò)節(jié)點，在網(wǎng)絡(luò)中的權(quán)重與影響不同，需要區(qū)別對待。本文采用2人非合作博弈描述攻擊者與入侵響應(yīng)系統(tǒng)的多階段動態(tài)博弈過程，通過求解納什均衡解，對網(wǎng)絡(luò)風(fēng)險進行預(yù)測，為最優(yōu)防御策略部署和提高網(wǎng)絡(luò)安全提供參考。

1 Ad hoc 網(wǎng)絡(luò)安全的攻防博弈

Ad hoc 網(wǎng)絡(luò)的特點為其安全帶來了挑戰(zhàn)。一是無線鏈路的使用使Ad hoc 易受攻擊影響；二是在敵對環(huán)境（如戰(zhàn)場）中，缺乏保護的網(wǎng)絡(luò)節(jié)點有被危害的可能；三是網(wǎng)絡(luò)拓撲結(jié)構(gòu)和成員節(jié)點不斷變化，容易遭受攻擊者入侵［8］。缺乏集中控制與管理，網(wǎng)絡(luò)中的節(jié)點容易被入侵而成為惡意節(jié)點。攻擊者的目的是最小化自身損失的前提下，最大化地破壞Ad hoc 網(wǎng)絡(luò)的安全，惡意節(jié)點是其攻擊代理；而入侵防御系統(tǒng)的目標是加大對惡意節(jié)點的防御力度，最小化網(wǎng)絡(luò)安全風(fēng)險。

按Ad hoc 網(wǎng)絡(luò)層次，攻擊類型有物理層的信號干擾攻擊、鏈路層的竊聽、網(wǎng)絡(luò)層的黑洞攻擊、傳輸層的SYN 泛洪攻擊、應(yīng)用層的病毒攻擊和跨多層的攻擊等［9］。其中，實施較多的是針對網(wǎng)絡(luò)層的攻擊，大致可分為路由攻擊和數(shù)據(jù)分組轉(zhuǎn)發(fā)攻擊兩類。通過路由攻擊，惡意節(jié)點能夠?qū)?shù)據(jù)流向受自己控制的節(jié)點，或者在網(wǎng)絡(luò)中產(chǎn)生路由閉環(huán)而造成嚴重的網(wǎng)絡(luò)擁塞［10］。采用數(shù)據(jù)分組轉(zhuǎn)發(fā)攻擊，攻擊者可以丟掉數(shù)據(jù)分組、修改數(shù)據(jù)分組內(nèi)容，或是注入大量數(shù)據(jù)分組，占用有限網(wǎng)絡(luò)資源，形成拒絕服務(wù)攻擊。通常，惡意節(jié)點表現(xiàn)出和正常節(jié)點一樣的功能，偽裝自己，降低被發(fā)現(xiàn)的概率。

目前學(xué)者對如何降低網(wǎng)絡(luò)攻擊的風(fēng)險提出了很多防御對策，如入侵檢測、身份認證、加密、停止節(jié)點服務(wù)和隔離節(jié)點等。這些方法雖然給網(wǎng)絡(luò)帶來了其他負面風(fēng)險，例如隔離措施可能會導(dǎo)致部分通信鏈路中斷，甚至影響網(wǎng)絡(luò)正常運行，但在減輕攻擊造成的損害和阻止進一步攻擊方面是有效的［11］。防御者面臨的挑戰(zhàn)就是如何選擇最優(yōu)入侵防御策略，使網(wǎng)絡(luò)整體風(fēng)險最小。

2 攻防博弈下的風(fēng)險預(yù)測

按節(jié)點性質(zhì)，Ad hoc 網(wǎng)絡(luò)中可能同時存在惡意節(jié)點和正常節(jié)點。由于惡意節(jié)點的偽裝和無線信道的噪聲影響，入侵防御系統(tǒng)無法完全確定節(jié)點類型，只能根據(jù)其行為進行推斷，該推斷值隨時間變化，因此，本模型是一種2 人非合作的不完全信息的多階段動態(tài)博弈。網(wǎng)絡(luò)風(fēng)險預(yù)測值是最優(yōu)防御策略部署下的網(wǎng)絡(luò)可能發(fā)生的風(fēng)險，是某階段攻防雙方博弈推演的結(jié)果。隨著攻防過程的不斷交互，入侵防御系統(tǒng)對節(jié)點類型推斷值不斷變化，最優(yōu)防御策略隨之調(diào)整，風(fēng)險預(yù)測值也隨之改變。定義本模型的Ad hoc 網(wǎng)絡(luò)風(fēng)險預(yù)測值公式為：

圖1 風(fēng)險預(yù)測過程

2.1 多階段博弈模型

1）N={攻擊者A，防御者D}，惡意節(jié)點為網(wǎng)絡(luò)攻擊者代理，防御者為入侵防御系統(tǒng)。

7）P，Ptk為tk 階段入侵防御系統(tǒng)推斷某節(jié)點為惡意節(jié)點的概率值。

為簡化，假設(shè)攻防雙方在各階段的效用矩陣不變，不存在收益折扣現(xiàn)象。根據(jù)博弈模型描述，攻防雙方的效用矩陣如表1 所示。

β 為系統(tǒng)的誤檢率，w 為節(jié)點權(quán)重，在不同節(jié)點采取同一攻防動作帶來的風(fēng)險往往不同，所以入侵防御系統(tǒng)應(yīng)根據(jù)不同權(quán)重節(jié)點采取不同的防御措施。Ad hoc 網(wǎng)絡(luò)中節(jié)點所處位置和擔負角色，決定其對網(wǎng)絡(luò)的重要程度，比如在戰(zhàn)術(shù)互聯(lián)網(wǎng)中，指揮節(jié)點或者網(wǎng)關(guān)節(jié)點相比普通節(jié)點更重要。一般而言，Ad hoc 網(wǎng)絡(luò)節(jié)點的權(quán)重和節(jié)點等級、節(jié)點度數(shù)等因素有關(guān)［12］，分級網(wǎng)絡(luò)中節(jié)點級別越高權(quán)限越大，節(jié)點度數(shù)越大對網(wǎng)絡(luò)影響也可能越大。

2.2 階段博弈的網(wǎng)絡(luò)風(fēng)險值

當入侵防御系統(tǒng)沒有采取防御措施時，Ad hoc網(wǎng)絡(luò)風(fēng)險為惡意節(jié)點攻擊產(chǎn)生的風(fēng)險；采取防御措施后，阻止了惡意節(jié)點的攻擊，此時網(wǎng)絡(luò)的風(fēng)險為防御措施帶來的負面風(fēng)險。攻防雙方達到納什均衡時，可根據(jù)最優(yōu)混合策略計算網(wǎng)絡(luò)風(fēng)險，因此，該風(fēng)險值是階段性的，可預(yù)測的。

式（2）表示攻擊者采用任意攻擊策略的期望效用均不大于在納什均衡點的期望效用，式（3）表示入侵防御系統(tǒng)采用任意防御策略的期望效用均不大于在納什均衡點的期望效用［14］。通過求解納什均衡解，網(wǎng)絡(luò)風(fēng)險值計算公式為：

表1 攻防效用矩陣

2.3 風(fēng)險值求解算法

根據(jù)Ad hoc 網(wǎng)絡(luò)環(huán)境，可獲取入侵檢測系統(tǒng)的檢測率和誤檢率，惡意節(jié)點常見攻擊方式和入侵防御系統(tǒng)的防御措施等信息，根據(jù)貝葉斯規(guī)則，可更新節(jié)點性質(zhì)推斷值，節(jié)點動作空間后驗概率推斷公式為：

入侵防御系統(tǒng)根據(jù)節(jié)點動作和后驗概率推斷公式，可以從tk-1 階段更新得到tk 階段某節(jié)點為惡意節(jié)點的后驗推斷值。

根據(jù)上述信息，求解tk 階段的網(wǎng)絡(luò)風(fēng)險預(yù)測值算法如下：

網(wǎng)絡(luò)風(fēng)險求解算法Input： 模型Output：Ad hoc 網(wǎng)絡(luò)風(fēng)險值Step1： 初始化攻擊策略的檢測率θ，誤檢率β Step2： 初始化攻防策略的風(fēng)險值Step3： 循環(huán)每對攻防策略，計算攻防效用矩陣Step4： 根據(jù)式（5）～式（6），計算節(jié)點為惡意節(jié)點的推斷值Step5： 求解納什均衡，計算攻防雙方納什均衡解Step6： 根據(jù)風(fēng)險計算式（4），計算網(wǎng)絡(luò)風(fēng)險值

該算法復(fù)雜度主要取決于納什均衡求解和攻防策略的規(guī)模。模型的策略規(guī)模是常數(shù)，文獻［15］證明納什均衡算法的時間復(fù)雜度是多項式級別，因此，整個算法具有多項式級別的時間復(fù)雜度。

2.4 風(fēng)險值分析

根據(jù)納什均衡原理，分析不同參數(shù)下的最優(yōu)攻防策略與網(wǎng)絡(luò)風(fēng)險。

由式（11）～式（12）的單調(diào)性可知，檢測率θ 越高，攻擊和防御的概率都降低；誤檢率β 增大，攻擊概率增大，防御概率降低；惡意節(jié)點的推斷值ptk越大，攻擊者的攻擊概率越低，系統(tǒng)防御概率越大；符合實際情況。

相比文獻［5］直接根據(jù)偏好關(guān)系，給定攻防雙方收益值，本模型考慮了Ad hoc 網(wǎng)絡(luò)節(jié)點權(quán)重、檢測率等因素的影響，更符合實際客觀情況，對比如表2 所示。

表2 模型對比

3 實驗

為進一步闡述本文模型和算法的可行性、有效性，利用OMNet++軟件進行仿真實驗。在一個矩形平面區(qū)域（800 m×600 m）內(nèi)分布9 個節(jié)點，節(jié)點能量相同，發(fā)射距離250 m，路由采用AODV 協(xié)議，拓撲結(jié)構(gòu)如圖2 所示。

圖2 Ad hoc 網(wǎng)絡(luò)拓撲圖

圖3 防御概率與攻防措施風(fēng)險的關(guān)系

網(wǎng)絡(luò)風(fēng)險與攻擊風(fēng)險的關(guān)系如下頁圖4 所示，Host6 節(jié)點攻擊風(fēng)險增大，網(wǎng)絡(luò)風(fēng)險增加，但是速度增長較慢。對比3 條曲線，防御措施風(fēng)險增加，網(wǎng)絡(luò)風(fēng)險變化明顯，因為雙方達到納什均衡時，防御措施概率很大而攻擊概率值很小，此時，網(wǎng)絡(luò)風(fēng)險大小主要受防御措施風(fēng)險的控制。作為管理員，改進防御措施，減少防御帶來的負面風(fēng)險，可明顯降低網(wǎng)絡(luò)整體風(fēng)險。

圖4 網(wǎng)絡(luò)風(fēng)險與攻擊措施風(fēng)險的關(guān)系

2）參數(shù)同實驗1），節(jié)點性質(zhì)推斷值與攻防概率、風(fēng)險預(yù)測值的關(guān)系如圖5 所示。隨著節(jié)點為惡意節(jié)點的推斷值增大，系統(tǒng)防御概率增加，對攻擊者威懾作用增加，導(dǎo)致攻擊概率降低，網(wǎng)絡(luò)風(fēng)險也隨之降低。所以，系統(tǒng)對惡意節(jié)點識別越快越準確，網(wǎng)絡(luò)風(fēng)險預(yù)測值就越準確。

圖5 節(jié)點性質(zhì)推斷值變化

表3 不同權(quán)重節(jié)點風(fēng)險關(guān)系

4 結(jié)論

本文針對Ad hoc 網(wǎng)絡(luò)特點，綜合考慮了不同節(jié)點和攻防策略對網(wǎng)絡(luò)風(fēng)險的影響，提出了多階段動態(tài)攻防博弈下的網(wǎng)絡(luò)風(fēng)險預(yù)測模型，并給出了風(fēng)險求解算法。隨著攻防交互的進行，入侵防御系統(tǒng)對攻擊者信息掌握越來越多，網(wǎng)絡(luò)風(fēng)險預(yù)測值也隨之越來越準確，符合實際。