王增光,盧 昱,李 璽
(1.陸軍工程大學(xué)石家莊校區(qū)裝備指揮與管理系,石家莊 050003;2.陸軍工程大學(xué)石家莊校區(qū)裝備模擬訓(xùn)練中心,石家莊 050003)
裝備保障信息網(wǎng)絡(luò)是信息化條件下實施裝備保障業(yè)務(wù)的必要保證,是打贏現(xiàn)代化戰(zhàn)爭的重要支撐[1]。裝備保障信息網(wǎng)絡(luò)安全性的高低直接影響其為軍事行動提供保障業(yè)務(wù)的質(zhì)量。現(xiàn)有針對裝備保障信息網(wǎng)絡(luò)的防御技術(shù)諸如身份認證、防火墻等都屬于被動、靜態(tài)的防御手段,只能基于先驗知識解決網(wǎng)絡(luò)中單方面的安全問題,難以有效確保裝備保障信息網(wǎng)絡(luò)的安全[2]。因此,如何能夠?qū)崿F(xiàn)裝備保障信息網(wǎng)絡(luò)的主動防御,成為我軍裝備保障信息化建設(shè)過程中亟需解決的問題。
在裝備保障信息網(wǎng)絡(luò)的攻防對抗中,如果防守方能夠為防御措施選取合適的偽裝信號,并通過主動釋放偽裝信號來影響攻擊方的行動,則能夠獲得更好的防御效果,是一種真正的網(wǎng)絡(luò)主動安全防御模式[3]。但是,如何對裝備保障信息網(wǎng)絡(luò)的攻防過程進行建模,并為防御策略選取合適的偽裝信號是一個非常復(fù)雜的問題,目前在這方面的研究成果極其有限。
博弈論是研究具有斗爭關(guān)系的個體在相互制約的條件下如何采取最優(yōu)行動的數(shù)學(xué)理論和方法,與網(wǎng)絡(luò)攻防對抗的本質(zhì)不謀而合[4]。基于博弈理論的網(wǎng)絡(luò)安全建模與分析方法逐漸成為研究的熱點。文獻[5]基于非零和攻防博弈對網(wǎng)絡(luò)攻防過程進行建模,設(shè)計了一種最優(yōu)防御策略選取方法。文獻[6]將Markov 決策過程和博弈論思想相結(jié)合設(shè)計了Markov game 模型,來解決裝備保障信息網(wǎng)絡(luò)的安全態(tài)勢感知問題。文獻[7]基于靜態(tài)貝葉斯博弈對網(wǎng)絡(luò)攻防過程進行建模,設(shè)計了一種網(wǎng)絡(luò)安全風(fēng)險分析方法。但上述文獻在模型的設(shè)計過程中均假設(shè)攻防雙方同時采取行動,限制了模型的實用性。為了使攻防博弈模型更加符合網(wǎng)絡(luò)實際,文獻[8]基于信號博弈對網(wǎng)絡(luò)攻防過程進行建模,解決了傳統(tǒng)博弈要求攻防雙方同時行動的問題,但僅能應(yīng)用到單階段網(wǎng)絡(luò)攻防場景中,無法對動態(tài)多階段的網(wǎng)絡(luò)攻防場景進行分析。
本文基于多階段信號博弈對裝備保障信息網(wǎng)絡(luò)的攻防過程進行建模,從信號偽裝的角度對裝備保障信息網(wǎng)絡(luò)的主動防御進行研究,設(shè)計了一種最優(yōu)偽裝信號選取方法。在網(wǎng)絡(luò)安全威脅發(fā)生前,防守方通過偽裝信號來誘導(dǎo)和欺騙攻擊方,實現(xiàn)對裝備保障信息網(wǎng)絡(luò)的主動防御,對提高裝備保障信息網(wǎng)絡(luò)的安全防護能力具有重要意義。
在實際的裝備保障信息網(wǎng)絡(luò)攻防對抗中,攻防雙方采取各種攻防措施的最終目的是獲得最大的利益[9]。防守方在選取措施對裝備保障信息網(wǎng)絡(luò)進行安全防御時,通過針對性地釋放偽裝信號對所有的防御措施進行偽裝,能夠起到誘導(dǎo)或震懾攻擊方的作用,從而獲得更好的防御效果。由于裝備保障信息網(wǎng)絡(luò)的保密性,攻擊方無法得知防守方采取何種措施來保障裝備保障信息網(wǎng)絡(luò)的安全,但在實施攻擊行動前能夠通過偵查等手段,分析探測裝備保障信息網(wǎng)絡(luò)的安全防御情況,形成對防守方采取防御措施的初始判斷。由于軍事對抗環(huán)境的特殊性,裝備保障信息網(wǎng)絡(luò)的攻防過程一般持續(xù)多個階段。隨著攻防過程的進行,攻擊方對防守方選取措施的認知越來越清晰,防守方釋放偽裝信號的效果逐漸減弱直至消失。
根據(jù)裝備保障信息網(wǎng)絡(luò)的攻防實際,結(jié)合信號博弈的基本原理[9],將防守方定義為攻防對抗的先行者,攻擊方定義為攻防對抗的跟隨者。在偽裝信號的作用下,攻防雙方進行多階段對抗博弈,通過對各個階段的博弈過程進行分析選取最優(yōu)偽裝信號。
區(qū)別與傳統(tǒng)的互聯(lián)網(wǎng),裝備保障信息網(wǎng)絡(luò)的攻防對抗更加激烈,網(wǎng)絡(luò)攻防的參與者多為紀律性強、配合度高、組織性好的作戰(zhàn)人員,使得網(wǎng)絡(luò)攻防具有較強的目的性。攻防雙方為了追求利益的最大化,不會作出無利可圖的決策,這符合博弈理論要求博弈參與者必須是理性的前提,為基于博弈論對裝備保障信息網(wǎng)絡(luò)的攻防進行分析提供了諸多便利。
裝備保障信息網(wǎng)絡(luò)中攻防策略的收益量化情況是攻防雙方行動選擇的基礎(chǔ),直接影響最優(yōu)偽裝信號的選取。因此,合理地對攻防策略的收益進行量化是十分有必要的。結(jié)合裝備保障信息網(wǎng)絡(luò)攻防實際,在考慮實施偽裝信號成本的基礎(chǔ)上,通過分析攻防行動對網(wǎng)絡(luò)安全設(shè)備價值的影響來量化攻防策略的收益。
定義1 信號偽裝成本。其反映了防守方為實現(xiàn)欺騙或震懾攻擊方的目的,對實施的防御策略進行偽裝所付出的代價,用SC 表示。通過防御策略的真實防御強度等級與偽裝后的防御強度等級之間的差距,對SC 進行相對量化,采用區(qū)間[0,10]內(nèi)的整數(shù)值表達。防御策略的實際防御效果和偽裝防御效果的分級與賦值,可以參考文獻[10]進行。
定義2 攻防收益。其反映了攻防雙方進行一次對抗所能獲得的收益。攻擊方只有在攻擊成功后才能獲得收益,攻擊收益可以通過網(wǎng)絡(luò)設(shè)備價值、攻擊損害度和攻擊成功概率進行量化,上述概念的詳細定義見文獻[11]。攻擊收益的量化公式為:
無論防御成功與否,防守方均能獲得收益。防御成功時,防守方成功保護網(wǎng)絡(luò)系統(tǒng)價值,獲得直接收益;防御失敗時,防守方能夠獲得攻擊方的相關(guān)攻擊信息,提高了下次防御成功的概率,從而能夠獲得間接收益。防御收益可以通過網(wǎng)絡(luò)設(shè)備價值,攻擊損害度,攻擊成功率,折扣因子和信號偽裝成本進行量化。防御收益的量化公式為:
基于信號博弈的多階段最優(yōu)偽裝信號選取算法如算法1 所示。
基于博弈理論的網(wǎng)絡(luò)安全防御研究的關(guān)鍵是博弈模型的設(shè)計符合網(wǎng)絡(luò)運行實際情況。將本文提出的方法與文獻[5-8]提出的方法進行對比,以此來說明本文提出方法的優(yōu)越性,對比結(jié)果如下頁表1 所示。博弈類型是指博弈模型應(yīng)用的場景對攻防雙方信息需求和博弈順序的要求。與完全信息博弈相比,本方法考慮了攻防雙方不清楚對方信息的情況;與靜態(tài)博弈相比,本方法不要求攻防雙方同時行動,能夠動態(tài)地分析網(wǎng)絡(luò)攻防過程。博弈過程是指攻防過程持續(xù)的階段數(shù)。與單階段博弈模型相比,本方法能夠分析多階段網(wǎng)絡(luò)攻防過程,更加符合網(wǎng)絡(luò)攻防實際情況。收益量化是指是否給出詳細、可靠的收益量化方法。本方法從攻防行動對網(wǎng)絡(luò)設(shè)備安全價值影響的角度出發(fā)進行攻防收益的量化,確保后續(xù)博弈分析結(jié)果的準確、可信;而文獻[6]沒有給出攻防收益的具體量化方法,文獻[7]沒有給出通用的量化方法,文獻[5,8]給出的量化方法主觀性較強。模型的通用性是指博弈模型能否應(yīng)用到其他場景下的網(wǎng)絡(luò)安全防御。本方法中博弈模型的攻防策略集合和偽裝信號集合均可以擴展至n中,不僅能夠解決裝備保障信息網(wǎng)絡(luò)的信號偽裝問題,還適用于其他場景下的安全防御,模型的通用性較好;而文獻[5]博弈模型應(yīng)用的條件較為苛刻,難以應(yīng)用到實際的網(wǎng)絡(luò)安全防御中,文獻[6]存在狀態(tài)爆炸問題,只適用于小規(guī)模網(wǎng)絡(luò),文獻[7]僅適用于具有特定類型的攻防場景,文獻[8]沒有給出均衡的求解方法,限制了模型的實用性。
算法1 最優(yōu)偽裝信號選取算法
表1 相關(guān)工作比較
為了驗證本文提出的多階段最優(yōu)偽裝信號選取方法的有效性和可行性,設(shè)計了實驗網(wǎng)絡(luò)來模擬裝備保障信息網(wǎng)絡(luò)的骨干網(wǎng),實驗環(huán)境的拓撲結(jié)構(gòu)如下頁圖1 所示。網(wǎng)絡(luò)安全威脅來自于外部網(wǎng)絡(luò),安全防御規(guī)則僅允許外部節(jié)點訪問郵件服務(wù)器、網(wǎng)絡(luò)服務(wù)器和內(nèi)部保障單元,內(nèi)部網(wǎng)絡(luò)的郵件服務(wù)器、網(wǎng)絡(luò)服務(wù)器和文件服務(wù)器允許訪問數(shù)據(jù)庫服務(wù)器。攻擊方的最終目的是通過一系列的原子攻擊實現(xiàn)對數(shù)據(jù)庫服務(wù)器的root 訪問權(quán)限,獲得裝備保障信息網(wǎng)絡(luò)的數(shù)據(jù)資源。
通過漏洞掃描器采集實驗環(huán)境中的漏洞數(shù)據(jù),在對漏洞數(shù)據(jù)、路由配置文件等信息進行分析后,基于文獻[13]所提出的攻擊策略建模方法,能夠得到攻擊方可能的攻擊策略集合,如表2 所示,其中,“√”表示可選攻擊策略所包含的攻擊行動,攻擊成本根據(jù)實施攻擊的難易程度進行設(shè)定。
圖1 實驗環(huán)境的網(wǎng)絡(luò)拓撲圖
表2 攻擊方的攻擊策略集合
防御策略是由不同的防御行動組成,不同的防御行動所帶來的防御效果和所需成本不同[14]。為了簡化分析,選取高強度和低強度的防御策略各一個組成防御策略集合,如表3 所示,其中,“√”表示防御策略由以下防御行動組成,防御成本根據(jù)實施防御的難易程度進行設(shè)定。假設(shè)偽裝信號空間為,其中,θ1表示高等級偽裝信號,θ2表示低等級偽裝信號。
通過對防火墻和入侵檢測系統(tǒng)的日志得到攻防歷史數(shù)據(jù),在對攻防歷史數(shù)據(jù)進行分析的基礎(chǔ)上,結(jié)合安全專家的意見,攻擊方的先驗信念為,攻擊行動的相關(guān)參數(shù)如表4 所示。
網(wǎng)絡(luò)設(shè)備的安全屬性價值由其重要程度和所提供的服務(wù)決定。設(shè)定保障單元的安全屬性價值為(20,25,25),郵 件 服 務(wù) 器 的 安 全 屬 性 價 值 為(28,25,28), 網(wǎng) 絡(luò) 服 務(wù) 的 安 全 屬 性 價 值 為(30,30,32),文 件 服 務(wù) 器 的 安 全 屬 性 價 值 為(28,30,32),數(shù)據(jù)庫服務(wù)器的安全屬性價值為(35,38,40),偽裝信號的成本為(2,5;6,1)。
表3 防守方的防御策略集合
表4 攻擊行動的相關(guān)參數(shù)
在攻防博弈的初始階段,偽裝信號沒有衰減,信號衰減度η1=1。在攻防收益量化的基礎(chǔ)上,第1階段的網(wǎng)絡(luò)攻防博弈樹如圖2 所示。
圖2 第1 階段網(wǎng)絡(luò)攻防博弈樹
在博弈的第2 階段,攻擊方將第1 階段得到的對防守方實施防御策略的后驗概率推斷(0.4,0.6)作為本階段對防御策略的先驗概率推斷。攻擊方在分析第1 階段博弈過程和結(jié)果的基礎(chǔ)上,增強了對偽裝信號的甄別能力。因此,本階段偽裝信號的偽裝效果減弱,假設(shè)信號衰減度η2=0.4。第2 階段的網(wǎng)絡(luò)攻防博弈樹如圖3 所示。
圖3 第2 階段網(wǎng)絡(luò)攻防博弈樹
隨著攻防階段的進行,偽裝信號的偽裝效果進一步減弱。博弈過程的分析與前兩階段相似,這里不作具體分析。
通過對多階段信號博弈模型的均衡和攻防收益分析可知,裝備保障信息網(wǎng)絡(luò)的防御具有以下一般性規(guī)律:
1)在網(wǎng)絡(luò)資源有限的情況下,防守方通過主動為防御策略選取并釋放合適的偽裝信號,能夠起到更好的防御效果。在前兩個階段的博弈過程中,最優(yōu)偽裝信號均為防御策略選取高等級偽裝信號,能夠獲得最優(yōu)的防御收益。這是由于防守方能夠通過釋放偽裝信號達到欺騙和震懾攻擊方的目的,誘導(dǎo)攻擊方對當(dāng)前的防御策略作出錯誤的判斷,從而達到更好的防御效果。
2)信號偽裝機制與其他防御手段配合使用能夠達到更好的防御效果。由博弈過程的分析可知,偽裝信號的效果在多階段的攻防博弈過程中不斷衰減。這是由于攻擊方在分析前序階段博弈過程和結(jié)果的基礎(chǔ)上,能夠增強對偽裝信號的鑒別能力。因此,為了達到更好的防御效果,需要將信號偽裝機制與其他防御手段配合使用。
3)在資源允許的情況下,應(yīng)盡量選擇高水平的防御策略對網(wǎng)絡(luò)進行安全防護。通過對攻防收益的量化結(jié)果可知,面對網(wǎng)絡(luò)攻擊時,高強度的防御策略收益總是大于低強度的防御策略收益。由此可見,加強對網(wǎng)絡(luò)安全防護的投入,提高防御能力,是解決裝備保障信息網(wǎng)絡(luò)安全問題的根本。
本文在分析裝備保障信息網(wǎng)絡(luò)攻防過程的基礎(chǔ)上,基于多階段信號博弈理論設(shè)計了最優(yōu)偽裝信號選取方法,能夠?qū)崿F(xiàn)網(wǎng)絡(luò)的主動防御,為裝備保障信息網(wǎng)絡(luò)的安全防御提供一種新的思路。但在研究的過程中,缺少對防御效果改善的評估,下一步將在此基礎(chǔ)上,進行網(wǎng)絡(luò)安全風(fēng)險評估的研究,通過評估防御策略實施前后網(wǎng)絡(luò)安全風(fēng)險的變化來量化防御效果。