曹康華 王 勇 周 林 董偉偉

(上海電力大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 上海 200090)

0 引 言

高級計(jì)量基礎(chǔ)設(shè)施(Advanced Metering Infrastructure,AMI)是多種技術(shù)的綜合體，它是消費(fèi)者獲取實(shí)時用電信息的關(guān)鍵組成部分，并幫助他們優(yōu)化電力使用。同時，AMI使電網(wǎng)能夠及時接收有關(guān)消費(fèi)者的實(shí)時用電反饋，雙向交互可以確保和提高電力系統(tǒng)的可靠性[1]。但是，這種雙向通信也增加了AMI網(wǎng)絡(luò)面對惡意攻擊的脆弱性。在智能電網(wǎng)各種類型的威脅中，分布式拒絕服務(wù)(Distributed Denial of Service,DDoS)是典型的攻擊方式，DDoS攻擊是指任何可以通過使合法用戶無法訪問資源來減少或消除網(wǎng)絡(luò)正常執(zhí)行的事件，它嚴(yán)重威脅網(wǎng)絡(luò)資源的可用性。針對該威脅，Peng等[2]提出了基于網(wǎng)絡(luò)的防御機(jī)制和DDoS攻擊的審查。Jiang等[3]引入了一個雙人零和博弈來處理DDoS流量注入。Chai等[4]基于動態(tài)攻擊提出了博弈模型，并且計(jì)算納什均衡以解決攻擊檢測問題。但是這些方法都不能夠達(dá)到能耗率和攻擊檢測率的平衡?；诿酃薜姆椒ㄊ堑钟鵇DoS攻擊的有效方法之一，在保護(hù)網(wǎng)絡(luò)的同時也消耗更少的資源。它還可以影響和干擾入侵者的選擇，有利于進(jìn)一步檢測入侵者的攻擊意圖。

因此，很多學(xué)者將博弈論應(yīng)用于蜜罐誘騙系統(tǒng)，以提高蜜罐的自適應(yīng)性和幫助決策優(yōu)化。阮鐵權(quán)[5]提出了一種基于博弈論的攻防策略，結(jié)合主動防御的需求，設(shè)計(jì)并實(shí)現(xiàn)了最優(yōu)主動防御選取算法。趙柳榕等[6]運(yùn)用博弈理論與信息安全經(jīng)濟(jì)學(xué)，搭建入侵檢測系統(tǒng)和蜜罐組合模型，探討了入侵檢測系統(tǒng)的檢測概率和蜜罐數(shù)量對最優(yōu)配置策略的影響，從而給出蜜罐和入侵檢測系統(tǒng)技術(shù)組合的最優(yōu)配置。蔡傳晰等[7]分別在正常服務(wù)和蜜罐服務(wù)中構(gòu)建入侵檢測系統(tǒng)(Intrusion Detection System,IDS)技術(shù)博弈模型，利用博弈論并求解出攻防雙方的納什均衡策略，從人工調(diào)查率、檢出概率、攻擊概率和期望收益4個角度對IDS在兩種服務(wù)中的價值進(jìn)行對比。在此基礎(chǔ)上，蔡傳晰等[8]應(yīng)用博弈論分別建立擬態(tài)蜜罐在保護(hù)色和警戒色機(jī)制下的混合策略模型，求解均衡及約束條件；利用效用函數(shù)分析兩種欺騙策略對擬態(tài)式蜜罐配置策略的影響。但是，一個理性的攻擊者通常會事先通過嗅探來了解網(wǎng)絡(luò)中的防御系統(tǒng)。如果攻擊者使用反蜜罐成功檢測到網(wǎng)絡(luò)中的防御系統(tǒng)，他們?nèi)匀豢梢哉业阶罴压舨呗浴Ｉ鲜鑫墨I(xiàn)都缺少對于蜜罐誘騙機(jī)理的詳細(xì)分析過程，也沒有考慮攻擊者進(jìn)行反蜜罐偵察時的均衡策略。

本文研究AMI網(wǎng)絡(luò)中的蜜罐博弈模型，分析加入蜜罐系統(tǒng)時的雙方收益，并且考慮攻擊者使用反蜜罐偵察情況下的均衡策略推導(dǎo)，進(jìn)一步證明均衡條件，同時用仿真軟件驗(yàn)證推導(dǎo)結(jié)果。基于此，可以在AMI網(wǎng)絡(luò)中合理地部署蜜罐，以根據(jù)平衡時的約束條件來調(diào)整防御系統(tǒng)，干擾攻擊者的行為選擇，緩解DDoS攻擊的問題，提高蜜罐的攻擊檢測率。

1 AMI結(jié)構(gòu)介紹和博弈過程描述

1.1 AMI結(jié)構(gòu)

AMI是自動抄表(Automatic Meter Reading,AMR)的高級形式。傳統(tǒng)的AMR可以通過單向通信來讀取儀表數(shù)據(jù)，但是，AMI可以實(shí)現(xiàn)公用事業(yè)公司和儀表之間的雙向通信。AMI由智能電表、集中器、主站中心(AMI頭端)、計(jì)量數(shù)據(jù)管理系統(tǒng)(Measurement Data Management System,MDMS)、通信網(wǎng)絡(luò)和支持通信技術(shù)組成[9]。

如圖1所示，將AMI網(wǎng)絡(luò)抽象為樹結(jié)構(gòu)。頂級節(jié)點(diǎn)是主站，然后是集中器，連接到集中器的是大量的智能電表。發(fā)生DDoS攻擊時，由于網(wǎng)絡(luò)或系統(tǒng)資源的耗盡，服務(wù)用戶無法通過Internet服務(wù)提供商實(shí)現(xiàn)正常服務(wù)。在此示例中，考慮針對AMI網(wǎng)絡(luò)中的關(guān)鍵服務(wù)器(例如FTP服務(wù)器或Web服務(wù)器)的DDoS攻擊。攻擊者向服務(wù)器發(fā)送DDoS攻擊流量[10]，首先，沿著路徑的節(jié)點(diǎn)將很快耗盡；其次，沿主路徑的下游節(jié)點(diǎn)不能正確地與基站通信。由于AMI的樹狀結(jié)構(gòu)拓?fù)?，因此DDoS攻擊可能進(jìn)一步導(dǎo)致網(wǎng)絡(luò)癱瘓、電力短缺、智能電網(wǎng)中的電力過載，甚至是重大事故[11]。針對AMI網(wǎng)絡(luò)的DDoS攻擊可以針對此樹結(jié)構(gòu)中的任何節(jié)點(diǎn)，即智能電表、集中器或主站。圖1是考慮前兩種節(jié)點(diǎn)的攻擊，在防火墻的另一側(cè)部署蜜罐，遠(yuǎn)離能源提供商。它們用作兩類節(jié)點(diǎn)的誘餌，以吸引攻擊者，然后通過允許自己被嗅探、檢測或入侵來記錄攻擊行為。

圖1 使用蜜罐部署的AMI網(wǎng)絡(luò)基礎(chǔ)設(shè)施

1.2 攻防博弈過程

如圖2所示，在實(shí)際的攻防過程中，即使在AMI中部署蜜罐，攻擊者也很有可能通過反蜜罐偵察后訪問，因此博弈過程需要考慮攻擊者進(jìn)行偵察訪問時的雙方收益情況。

圖2 蜜罐博弈模型

把基于蜜罐的攻防博弈G定義為G={ (Si,Rj),(t1,t2),(ES,ER)}。將AMI的主站系統(tǒng)視為提供服務(wù)的發(fā)送方Si，攻擊者為接收方Rj。其中服務(wù)方提供正常服務(wù)器和蜜罐服務(wù)器，分別由t1和t2來表示。服務(wù)方的策略集合為：Si=(S1,S2)=(真實(shí)服務(wù)，蜜罐服務(wù))。對于接收方的攻擊者來說，他的策略集合為：Rj=(R1,R2,R3)=(正常訪問，不訪問，偵察訪問)。ES表示服務(wù)方收益，ER表示攻擊者的收益。

下面討論攻擊者在三種策略下的收益。

案例1攻擊者正常訪問。如果訪問的是蜜罐系統(tǒng)，則服務(wù)方可以監(jiān)測攻擊者的行為，保護(hù)主站的正常通信，因此服務(wù)方收益為βφ(β為蜜罐誘騙因子,β越大對攻擊者的迷惑越大,φ是訪問蜜罐系統(tǒng)的收益,φ>0)，攻擊者損失為-βφ-δ。如果訪問的是正常系統(tǒng)，則攻擊者就可以篡改系統(tǒng)數(shù)據(jù)進(jìn)行偷盜電，或者更改正常指令致使電表等設(shè)備接收到異常指令，不能正常運(yùn)行。所以攻擊者收益為αλ-δ(α為攻擊傷害因子,α越大系統(tǒng)的損失越大。λ為訪問正常系統(tǒng)的收益，δ為攻擊代價，且λ>δ>0)，而服務(wù)方的系統(tǒng)損失為-αλ。

案例2攻擊者不訪問。如果不訪問蜜罐系統(tǒng)，雙方受益為0，如果不訪問正常系統(tǒng)，主站系統(tǒng)和電表等設(shè)備正常運(yùn)行，雙方都沒損失，因此攻擊者和服務(wù)方收益也為0。

案例3攻擊者偵察后訪問。如果攻擊者使用反蜜罐來識別和檢測防御系統(tǒng)，他就會有一個檢測代價σφ(σ是檢測概率，反映了檢測防御系統(tǒng)的性能。σ越大，檢測代價越高)。

2 混合服務(wù)下的收益推導(dǎo)

對比傳統(tǒng)的單一服務(wù)器模型，我們考慮了加入蜜罐服務(wù)器的情況。但是與正常服務(wù)器和蜜罐的組合系統(tǒng)對比，我們又考慮了正常服務(wù)器發(fā)送蜜罐信號作為偽蜜罐迷惑對手和蜜罐系統(tǒng)發(fā)送真實(shí)服務(wù)器信號吸引攻擊者的情況。所以，對于此模型下服務(wù)方的服務(wù)器t1和蜜罐t2的組合系統(tǒng)，策略組合可以有四個，分別為：(S1,S1)，(S1,S2),(S2,S1),(S2,S2)。而攻擊者面對服務(wù)方的行為可以選擇訪問、不訪問、偵察后再訪問，因此，攻擊者的策略組合有(R1)、(R2)、(R3)。

由于攻擊者不能提前知道服務(wù)器類型，但知道關(guān)于服務(wù)方某些統(tǒng)計(jì)度量的先驗(yàn)信息，例如服務(wù)器類型分布。利用貝葉斯法得到本模型的后驗(yàn)概率有：P=P(t1|S1)，1-P=P(t2|S1)，q=P(t1|S2)，1-P=P(t2|S2)。由此可得該模型在攻擊者視角下的博弈樹如圖3所示，其中N表示選擇發(fā)送方的服務(wù)器類型。

圖3 攻擊者視角下的博弈樹

對于策略(S1,S1)，如果攻擊者選擇訪問，服務(wù)方的收益表示為ES(S1,S1)，攻擊者收益為ER(S1,S1)。則：

ES(S1,S1)=P(t1|S1)×(-αλ)+P(t2|S1)×βφ=

P×(-αλ)+(1-P)×βφ=

-(αλ+βφ)p+βφ

(1)

ER(S1,S1)=P(t1|S1)×(αλ-δ)+P(t2|S1)×

(-βφ-δ)=

P×(αλ-δ)+(1-P)×(-βφ-δ)=

(αλ+βφ)p-βφ-δ

(2)

如果攻擊者選擇不訪問，服務(wù)器和攻擊者收益分別為：

ES(S1,S1)=P(t1|S1)×0+P(t2|S1)×0=

P×0+(1-P)×0=

0

(3)

ER(S1,S1)=P(t1|S1)×0+P(t2|S1)×0=

0

(4)

如果攻擊者選擇偵察后再訪問，則雙方收益分別為：

ES(S1,S1)=P(t1|S1)×(-αλ)+P(t2|S1)×0

P×(-αλ)+(1-P)×0=

-αλP

(5)

ER=(S1,S2)=P(t1|S1)×(αλ-δ-σφ)+

P(t2|S1)×(-σφ)=

p×(αλ-δ-σφ)+(1-p)×(-δφ)=

(αλ-δ)p-δφ

(6)

同理，可計(jì)算出攻防雙方收益如表1所示，由于不訪問時雙方收益都為0，所以未放入表格中。

表1 攻防雙方收益

3 貝葉斯均衡求解

3.1 均衡策略推導(dǎo)

證明：如果服務(wù)方的策略可以最優(yōu)，必須是基于后驗(yàn)概率P(t2|S1)，即無論服務(wù)方提供蜜罐信號還是正常信號，攻擊者選擇的都是蜜罐系統(tǒng)，這樣服務(wù)器才能夠記錄攻擊者行為調(diào)整防御措施。所以服務(wù)方策略最優(yōu)需要滿足的條件為：

ES*=max{(1-p)αλ,(1-q)αλ}

(7)

由表1可知，p

對于接收服務(wù)器信號的攻擊者來說，他的策略組合有3種，即{(R1),(R2),(R3)}。他的最優(yōu)策略選擇應(yīng)該基于表1中(S1,S1)策略下訪問、不訪問和偵察后訪問三種情況下的最大收益，即：

ER*=max{(αλ+βφ)p-βφ-δ,0,(αλ-δ)p-σφ}

(8)

由此可得：

(αλ+βφ)p-βφ-δ>(αλ-δ)p-σφ,R1

(9)

(αλ+βφ)p-βφ-δ<(αλ-δ)p-σφ,R3

(10)

3.2 蜜罐博弈模型的貝葉斯均衡分析

在傳統(tǒng)的博弈模型中，服務(wù)方十分被動，攻擊者的攻擊傷害因子α越大，真實(shí)服務(wù)器遭受的損失就越大。但是在加入蜜罐系統(tǒng)時，攻擊者再次攻擊時就多了幾個因素干擾，攻擊者需要判斷真實(shí)服務(wù)器和蜜罐服務(wù)器的分布概率，而且服務(wù)方收益與蜜罐誘騙因子β有關(guān)。而本文的模型更加復(fù)雜，在考慮加入蜜罐系統(tǒng)的同時，又考慮到攻擊者有可能利用反蜜罐偵察后訪問，因此推導(dǎo)出來的均衡策略除了受到p、q、α、β影響外，還受到反蜜罐的檢測概率σ的影響，策略選擇的算法描述如算法1所示。

算法1最優(yōu)策略算法

輸入：α、β、λ、φ、δ、σ。

輸出：均衡策略{(Si,Si),Rj}。

/* 初始化策略(Si,Si)*/

/* 找到穩(wěn)定狀態(tài)*/

ifp

ifp>1-σφ/(δ+αλ), then

選擇均衡策略{(S1,S1),R1}

end

else

ifp<1-σφ/(δ+αλ), then

選擇均衡策略{(S1,S1),R3}

end

else

ifp>q, then

ifq>1-σφ/(δ+αλ), then

選擇均衡策略{(S2,S2),R1}

end

else

ifq<1-σφ/(δ+αλ), then

選擇均衡策略{(S2,S2),R3}

end

end

系統(tǒng)變得更加復(fù)雜的同時，防御機(jī)制也更加靈活，任何因素的變動都會使得攻防雙方的收益發(fā)生變化，博弈均衡由雙方的行為共同決定。系統(tǒng)可以通過增加蜜罐在系統(tǒng)中所占比重和適當(dāng)調(diào)整誘騙因子β來達(dá)到最優(yōu)策略，同時增加攻擊者的檢測代價，使得防守方有了更多的主動性，能夠使得系統(tǒng)能耗率和蜜罐系統(tǒng)的檢測率也達(dá)到一個平衡，以解決AMI網(wǎng)絡(luò)中的DDoS攻擊問題。

4 仿真驗(yàn)證

在對蜜罐博弈過程進(jìn)行貝葉斯均衡推導(dǎo)和分析后，利用博弈仿真軟件Gambit對其進(jìn)行仿真驗(yàn)證。由于影響因子較多，在這里假設(shè)β=1,α=2,δ=20,λ=φ=100不變，改變p和σ的值，使其滿足均衡條件，看結(jié)果是否與推導(dǎo)的最優(yōu)策略一致。P=P(t1|S1)改變p的值就改變了服務(wù)方提供真實(shí)服務(wù)時的正常系統(tǒng)所占比重，也就改變蜜罐系統(tǒng)的比重。改變σ就改變了攻擊者使用反蜜罐偵察的檢測成本，這些因素的改變都會影響攻防雙方收益，從而影響雙方的策略選擇。仿真結(jié)果如圖4所示。

圖4 仿真結(jié)果

圖4(a)和(b)是在pq的情況下得到。仿真結(jié)果分析如下：

5 結(jié) 語

由于AMI網(wǎng)絡(luò)易受DDoS攻擊，考慮到蜜罐技術(shù)是應(yīng)對此攻擊的有效方法，將蜜罐引入正常的AMI網(wǎng)絡(luò)中。針對真實(shí)服務(wù)器和蜜罐服務(wù)器的組合系統(tǒng)，把攻擊者很可能用反蜜罐偵察的情況考慮在內(nèi)，給出服務(wù)方提供真實(shí)服務(wù)器信號和蜜罐服務(wù)時的雙方收益，由此推導(dǎo)出貝葉斯均衡。最后通過博弈仿真軟件驗(yàn)證了推導(dǎo)結(jié)果的正確性，分析了影響均衡條件的部分因素發(fā)生變化時，也會相應(yīng)改變攻擊者的策略。因此，只要適當(dāng)?shù)卣{(diào)節(jié)參數(shù)，就可以干擾攻擊者的選擇，提高防御系統(tǒng)性能，緩解AMI網(wǎng)絡(luò)中的DDoS攻擊問題。