王增光，盧 昱，李 璽

（1.國防大學(xué)聯(lián)合作戰(zhàn)學(xué)院，石家莊 050084；2.陸軍工程大學(xué)石家莊校區(qū)，石家莊 050003）

0 引言

軍事信息網(wǎng)絡(luò)是網(wǎng)絡(luò)中心戰(zhàn)的重要組成部分，為軍隊實施各項軍事任務(wù)提供平臺支撐和信息保障，其安全性是影響現(xiàn)代化戰(zhàn)爭勝負的重要因素之一［1］。復(fù)雜多變的戰(zhàn)場態(tài)勢使得軍事信息網(wǎng)絡(luò)的攻防對抗更加激烈，軍事信息網(wǎng)絡(luò)面臨的安全威脅更加嚴重［2］。因此，如何更好地對軍事信息網(wǎng)絡(luò)進行防御是我軍信息化建設(shè)過程中亟需解決的問題。

為了確保網(wǎng)絡(luò)的安全，不同的網(wǎng)絡(luò)安全技術(shù)如身份認證、防火墻、入侵檢測等被廣泛應(yīng)用到網(wǎng)絡(luò)安全防御中。但這些安全技術(shù)主要是針對網(wǎng)絡(luò)中單方面的安全威脅，基于先驗的知識和經(jīng)驗進行片面、靜態(tài)的被動安全防御，只有在檢測到攻擊后才能做出響應(yīng)，但此時網(wǎng)絡(luò)系統(tǒng)可能已經(jīng)受到了嚴重的損失?，F(xiàn)有被動式的網(wǎng)絡(luò)安全防御技術(shù)缺乏主動性和對攻擊的震懾能力，難以有效確保軍事信息網(wǎng)絡(luò)的安全［3］。

在網(wǎng)絡(luò)攻防對抗中，如果防守方能夠為防御策略選取合適的偽裝信號并通過主動釋放偽裝信號來影響攻擊方的行動，屬于主動的網(wǎng)絡(luò)安全防御方式，能夠獲得更好的防御效果［4］。但是，如何在不完全信息條件下分析網(wǎng)絡(luò)攻防雙方的對抗過程，并為防守方選取合適的偽裝信號是一個非常復(fù)雜的問題，目前在這方面的研究成果極其有限。

本文基于信號博弈理論對該問題進行了嘗試性研究，提出了一種最優(yōu)偽裝信號選取方法。該方法基于信號博弈對網(wǎng)絡(luò)攻防過程進行建模；在精煉貝葉斯納什均衡分析的基礎(chǔ)上，設(shè)計了最優(yōu)偽裝信號的選取方法。在網(wǎng)絡(luò)安全威脅發(fā)生前，通過主動釋放偽裝信號達到欺騙、威懾攻擊方的目的，實現(xiàn)對軍事信息網(wǎng)絡(luò)的主動防御，為軍事信息網(wǎng)絡(luò)的安全防御提供一種新的思路。

1 網(wǎng)絡(luò)攻防博弈模型

1.1 網(wǎng)絡(luò)攻防過程分析

在網(wǎng)絡(luò)中心戰(zhàn)環(huán)境下，攻防雙方圍繞戰(zhàn)場的制信息權(quán)展開網(wǎng)絡(luò)攻防，雙方采取各種手段以求獲得最大的利益［5］。防守方在選取策略進行網(wǎng)絡(luò)安全防御時為了達到更好的防御效果，可以有針對性地主動釋放真實或虛假信號對所選防御策略進行偽裝，以求達到欺騙或震懾攻擊方的目的。由于戰(zhàn)場環(huán)境的保密性，攻擊方無法知道防守方采取了何種防御策略，但在攻擊前期能夠通過偵查等手段搜集防守方的相關(guān)信息形成對防守方選取防御策略的初始判斷；在觀察到防御策略釋放的信號后，修正對防御策略的初始判斷即形成對防御策略的后驗概率，據(jù)此選取合適的攻擊策略。防守方在對采取的策略進行偽裝前，知道攻擊方能夠根據(jù)觀測到的信號推斷己方采取的防御策略，會盡量加大信號的迷惑性。

信號博弈是研究具有斗爭關(guān)系的個體在不完全信息條件下通過信號傳遞機制動態(tài)更新推斷信念，從而采取最優(yōu)行動的數(shù)學(xué)理論和方法［6］。信號博弈的基本原理是信號發(fā)送方是行動的先行者，發(fā)出己方類型的行動信號；信號接收方是跟隨者，根據(jù)觀測到的信號選取行動。

由上述分析可知，軍事信息網(wǎng)絡(luò)的偽裝信號選取問題能夠通過信號博弈理論進行解決。將防守方定義為信號的發(fā)送方，攻擊方定義為信號的接收方。在偽裝信號的作用下，攻防雙方進行對抗博弈，通過精煉貝葉斯納什均衡分析選取最優(yōu)偽裝信號。

1.2 信號博弈模型的定義

2 攻防收益的量化

軍事信息網(wǎng)絡(luò)中攻防雙方的收益量化情況是后續(xù)進行信號博弈分析的基礎(chǔ)，直接影響攻防雙方的行動選擇。因此，對網(wǎng)絡(luò)攻防雙方的收益進行合理的量化是十分有必要的。在考慮偽裝成本的基礎(chǔ)上，從攻防行動對網(wǎng)絡(luò)設(shè)備安全屬性影響的角度出發(fā)，對攻防收益進行量化。

定義1 信號偽裝成本。信號偽裝是指防守方在確定防御策略后對防御策略進行偽裝，釋放具有迷惑性質(zhì)的虛假信號，以達到欺騙或震懾攻擊方的目的。實現(xiàn)上述偽裝所付出的代價被稱為信號偽裝成本，用SC 表示。SC 可以通過所選防御策略的實際防御強度等級與偽裝防御強度等級之間的差距進行量化，采用區(qū)間［0，10］內(nèi)的整數(shù)值表達。防御策略的實際防御效果和偽裝防御效果的分級與賦值，可以參考文獻［7］進行，偽裝信號與策略的真實防御效果一致時，SC 為零。

定義2 攻防收益。攻擊收益反映了攻擊方進行一次攻擊所能獲得的收益。無論攻擊成功與否，攻擊方都能獲得收益。當攻擊成功時，獲得直接收益；攻擊失敗時，能夠得到相關(guān)防御信息，獲得間接收益。攻擊收益可以通過網(wǎng)絡(luò)設(shè)備價值，攻擊損害度，攻擊成功概率和折扣因子來量化，上述概念的定義詳見文獻［8］。攻擊收益的量化公式為：

防御收益反映了防守方進行一次安全防御所能獲得的收益，可以通過網(wǎng)絡(luò)設(shè)備價值，攻擊損害度，攻擊成功率和信號偽裝成本進行量化。防御收益的量化公式為：

其中，Dj為防守方選取的策略，θl為防御策略所釋放的偽裝信號，Ai為攻擊方選取的策略，為防守方檢測到攻擊的概率，βnm為防御成功的概率，μm為折扣因子，R（Cb）為網(wǎng)絡(luò)設(shè)備的安全屬性，W（Cb）為攻擊行為對安全屬性的損害度，B（an）為攻擊策略中攻擊行動的成本，B（dm）為防御策略中防御行動的成本，SCl為防御策略Dl的偽裝成本。

3 最優(yōu)偽裝信號選取

在軍事信息網(wǎng)絡(luò)的攻防對抗過程中，攻防雙方的最終目的均為最大化己方收益。在此原則指導(dǎo)下，攻防雙方會達到一個均衡，任何一方改變當前的行動都會使己方的收益受損。因此，可以通過對均衡狀態(tài)分析來選取防守方的最優(yōu)偽裝信號。

3.1 精煉貝葉斯納什均衡求解

3.2 最優(yōu)偽裝信號選取及對比

在上述分析的基礎(chǔ)上，設(shè)計了基于信號博弈的最優(yōu)偽裝信號選取算法。

博弈模型的設(shè)計是否符合網(wǎng)絡(luò)實際是基于博弈理論的網(wǎng)絡(luò)安全防御技術(shù)可用性的重要評價指標。為了說明本文所提出方法的優(yōu)越性，從博弈假設(shè)、博弈類型、發(fā)送信號、收益量化和模型的通用性等方面將本文提出的方法與文獻［11-15］提出的方法進行對比，對比結(jié)果如表1 所示。與上述文獻相比，本文基于不完全信息動態(tài)博弈理論進行博弈模型的設(shè)計，考慮了信息不對等性和攻防行動順序?qū)W(wǎng)絡(luò)攻防過程的影響，更加符合網(wǎng)絡(luò)攻防對抗的實際情況。從攻防行動對網(wǎng)絡(luò)設(shè)備安全價值影響的角度出發(fā)，設(shè)計了詳細的收益量化方法，保證了納什均衡分析的準確、可信；而文獻［11］沒有給出策略收益的量化方法，文獻［13-14］給出的量化方法主觀性較強，文獻［15］給出的量化方法較為粗糙，可重復(fù)性差。模型中的攻防策略集合和偽裝信號集合均可以擴展至n 中，不僅適用于軍事信息網(wǎng)絡(luò)的偽裝信號選取，還適用于其他場景下的安全防御，模型的通用性較好；而文獻［11-13］存在狀態(tài)爆炸問題，只適用于小規(guī)模網(wǎng)絡(luò)，文獻［14］僅適用于具有特定類型的攻防場景，文獻［15］沒有給出均衡的求解方法，限制了模型的實用性。

表1 相關(guān)工作比較

在網(wǎng)絡(luò)攻防對抗過程中，信號機制是影響攻防雙方行動選擇的重要因素。攻擊方根據(jù)觀察到的信號來選取合適的攻擊策略；防守方通過偽裝信號來震懾或誘導(dǎo)攻擊方，能夠起到更好的防御效果。文獻［11-14］基于靜態(tài)博弈理論設(shè)計網(wǎng)絡(luò)攻防模型，沒有考慮到信號機制對網(wǎng)絡(luò)攻防過程的影響，不符合網(wǎng)絡(luò)攻防實際情況。文獻［15］將攻擊方設(shè)定為信號的發(fā)送方，防守方通過觀察攻擊方的行動信號來更新對攻擊方類型地判斷，進而提高入侵檢測的成功概率。但在實際的網(wǎng)絡(luò)安全防御中，防守方主動進行信號偽裝能夠起到更好的防御效果。因此，本文將防守方設(shè)定為信號的發(fā)送方，以防御策略的集合作為發(fā)送方的類型空間，在對防御策略進行偽裝的基礎(chǔ)上進行攻防對抗，能夠有效提高軍事信息網(wǎng)絡(luò)的主動防御能力。

4 仿真實驗與分析

為了驗證本文提出的基于信號博弈的最優(yōu)偽裝信號選取方法的合理性和可行性，構(gòu)建了如圖1所示的網(wǎng)絡(luò)實驗環(huán)境進行實驗。網(wǎng)絡(luò)安全攻擊來至于外部網(wǎng)絡(luò)，軍用防火墻將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開，僅允許外部主機訪問郵件服務(wù)器、網(wǎng)絡(luò)服務(wù)器和內(nèi)部主機，內(nèi)部網(wǎng)絡(luò)的郵件服務(wù)器、網(wǎng)絡(luò)服務(wù)器、主機和文件服務(wù)器能夠?qū)?shù)據(jù)庫服務(wù)器進行訪問。攻擊方的最終目的是獲得數(shù)據(jù)庫服務(wù)器的root訪問權(quán)限，初始時刻攻擊方無法直接訪問數(shù)據(jù)庫，但能夠通過一系列的原子攻擊實現(xiàn)上述目的。實驗通過預(yù)置腳本的方式，利用Low Orbit Ion Canon、UDP Flood、Acunetix 等網(wǎng)絡(luò)攻擊軟件對實驗網(wǎng)絡(luò)進行半自動化攻擊，網(wǎng)路安全防御手段通過人工方式進行部署。

圖1 實驗環(huán)境的網(wǎng)絡(luò)拓撲圖

通過對網(wǎng)絡(luò)拓撲結(jié)構(gòu)進行分析得到攻擊方可能采取的攻擊策略。為了簡化分析，實例中僅選取兩個攻擊策略進行說明，如表2 所示，其中“√”表示可選攻擊策略所包含的攻擊行動，攻擊成本根據(jù)實施攻擊的難易程度進行設(shè)定。

表2 攻擊方的攻擊策略集合

參照MIT 林肯實驗室對網(wǎng)絡(luò)攻防的分類，根據(jù)防御行動所帶來的防御效果和所需成本的不同形成了防御策略庫，選取了其中具有代表性的高強度防御策略和低強度防御策略各一個進行分析。偽裝信號空間為Θ= {θ1，θ2}，θ1為高等級偽裝信號，θ2為低等級偽裝信號。防御策略的集合如表3 所示，其中“√”表示防御策略由以下防御行動組成，防御成本根據(jù)實施防御的難易程度進行設(shè)定。

表3 防守方的防御策略集合

表4 攻擊行動的相關(guān)參數(shù)

根據(jù)網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)環(huán)境中的重要性和所提供的服務(wù)，將內(nèi)網(wǎng)主機的安全屬性價值設(shè)為（10，15，15），郵件服務(wù)器的安全屬性價值設(shè)為（18，16，18），網(wǎng) 絡(luò) 服 務(wù) 的 安 全 屬 性 價 值 設(shè) 為（20，20，22），文件服務(wù)器的安全屬性價值設(shè)為（18，20，22），數(shù)據(jù)庫服務(wù)器的安全屬性價值設(shè)為（25，28，30），信號的偽裝成本設(shè)為（2，3；4，1）。

在確定攻防雙方的策略集合和相關(guān)參數(shù)后，根據(jù)收益計算公式量化攻防雙方收益，形成網(wǎng)絡(luò)攻防博弈樹，如圖2 所示。

通過計算得到不同信息集上的后驗概率推斷為p*=0.353，q*=0.447。根據(jù)3.2 節(jié)中的精煉貝葉斯納什均衡求解步驟可得：

圖2 網(wǎng)絡(luò)攻防博弈樹

同理，可對其他情況下的精煉貝葉斯納什均衡進行分析。

5 結(jié)論

本文在分析軍事信息網(wǎng)絡(luò)攻防過程的基礎(chǔ)上，基于信號博弈理論設(shè)計了最優(yōu)偽裝信號選取方法，解決了傳統(tǒng)安全技術(shù)僅能進行被動防御的問題。實驗結(jié)果表明，本文提出的方法能夠為防御策略選取最優(yōu)偽裝信號，從而實現(xiàn)網(wǎng)絡(luò)的主動防御，對提高軍事信息網(wǎng)絡(luò)的安全防護能力具有重要意義。下一步將在此基礎(chǔ)上，對多階段攻防對抗情形下最優(yōu)偽裝信號的選取問題進行研究。