黃萬(wàn)偉， 袁 博， 王蘇南， 張校輝

(1.鄭州輕工業(yè)大學(xué) 軟件學(xué)院，河南 鄭州 450001； 2.深圳職業(yè)技術(shù)學(xué)院 電子與通信工程學(xué)院，廣東 深圳 518005； 3.河南信安通信技術(shù)股份有限公司，河南 鄭州 450001)

0 引言

在過(guò)去幾年里，以高級(jí)持續(xù)性威脅(advanced persistent threat, APT)為代表的網(wǎng)絡(luò)攻擊對(duì)網(wǎng)絡(luò)信息安全造成了嚴(yán)重的威脅，國(guó)家和企業(yè)面臨著嚴(yán)峻的考驗(yàn)[1-2]。APT攻擊帶有明確的目的性，攻擊方式復(fù)雜多變，對(duì)目標(biāo)系統(tǒng)實(shí)施有計(jì)劃、全方位的入侵，以達(dá)到最終目的[3]。傳統(tǒng)的被動(dòng)防御技術(shù)只能在破壞活動(dòng)發(fā)生后采取降低破壞程度的補(bǔ)救措施，無(wú)法應(yīng)對(duì)當(dāng)前愈來(lái)愈靈活的APT攻擊[4]，因此，亟須一種有一定預(yù)測(cè)能力的主動(dòng)防御方法，在APT造成重大損失之前將損失降到最低。

主動(dòng)防御技術(shù)具有靈活多變的特點(diǎn)，是解決當(dāng)前網(wǎng)絡(luò)安全問(wèn)題的有效方法之一[5]，其中應(yīng)用于主動(dòng)防御技術(shù)中的博弈論是解決APT問(wèn)題的有效指導(dǎo)理論[6]。博弈建模需要解決兩個(gè)問(wèn)題[7]：如何準(zhǔn)確描述攻防雙方的策略選擇和行動(dòng)順序；如何對(duì)攻防過(guò)程進(jìn)行量化。針對(duì)以上問(wèn)題，研究者已經(jīng)做出了一些研究。孫文君等[8]提出一種基于FlipIt模型的攻防博弈模型；Fang等[9]提出了一種面向APT的攻擊路徑預(yù)測(cè)模型，能在一定程度上預(yù)測(cè)下一步攻擊行動(dòng)。但以上博弈過(guò)程是在信息可靠的基礎(chǔ)上提出來(lái)的，在實(shí)際應(yīng)用過(guò)程中有很大的局限性。姜偉等[10]提出了攻防策略分類(lèi)及其成本量化方法，隨后在文獻(xiàn)[11]中構(gòu)建了非合作兩角色零和隨機(jī)博弈模型，然而在攻防收益量化的過(guò)程中采用零和方法[12]，并不符合實(shí)際攻防情況。針對(duì)零和方法存在的問(wèn)題，孫騫等[13]和李靜軒等[14]構(gòu)建了基于非零和的博弈模型，并給出了策略選取方法，而該方法沒(méi)有考慮到雙方信息不完全對(duì)稱(chēng)的問(wèn)題。Yang[15]提出基于攻防信號(hào)的博弈模型，在建模時(shí)選擇攻擊者作為信號(hào)的釋放者，但實(shí)際攻防過(guò)程中防御者很難獲取該信號(hào)，缺乏可行性。針對(duì)文獻(xiàn)[15]存在的問(wèn)題，張恒巍等[16-17]建立了基于信號(hào)博弈的主動(dòng)防御模型，并選取了防御方作為信號(hào)的釋放者。同時(shí)，張為等[18]從防御角度構(gòu)建博弈模型，在一定程度上可以增強(qiáng)系統(tǒng)的防御能力，卻不能很好地體現(xiàn)出多階段信號(hào)博弈的收益。

針對(duì)上述問(wèn)題，本文基于信號(hào)博弈理論與非零和思想提出了一種基于非零和信號(hào)博弈的主動(dòng)防御模型，選擇防御者作為信號(hào)的釋放者，通過(guò)釋放混合信號(hào)來(lái)提高防御能力，提出了貼現(xiàn)因子來(lái)對(duì)多階段收益的情況進(jìn)行量化描述，通過(guò)求解當(dāng)前最優(yōu)策略算法得出本階段最優(yōu)防御策略。

1 非零和信號(hào)博弈模型

1.1 攻防博弈過(guò)程分析

網(wǎng)絡(luò)安全包括3個(gè)主題：攻擊者、網(wǎng)絡(luò)系統(tǒng)和合法用戶(hù)。合法用戶(hù)只是獲得網(wǎng)絡(luò)系統(tǒng)的服務(wù)[19]，因此本文主要考慮攻擊者和網(wǎng)絡(luò)系統(tǒng)間的信號(hào)博弈。在APT信號(hào)博弈過(guò)程中，首先由防御者釋放信號(hào)，由于防御者的信息影響著攻擊者的決策，因此防御者釋放夾雜虛假信息的信號(hào)可以增加攻擊者的攻擊代價(jià)，并根據(jù)已知的攻擊方式構(gòu)建防御策略。攻擊者在攻擊前會(huì)先對(duì)目標(biāo)系統(tǒng)進(jìn)行檢測(cè)，收集目標(biāo)在外網(wǎng)中的詳細(xì)信息以及防御方發(fā)出的信號(hào)，找到目標(biāo)系統(tǒng)防御的薄弱點(diǎn)，生成先驗(yàn)概率集合，根據(jù)接收到的信號(hào)，遵循貝葉斯法則生成后驗(yàn)概率集合，并選擇攻擊策略。在下一階段，防御者根據(jù)所預(yù)測(cè)的攻擊者的攻擊構(gòu)建防御策略，并繼續(xù)釋放夾雜虛假信息的信號(hào)，攻擊者根據(jù)收到的信號(hào)生成新的后驗(yàn)概率集合，并選擇攻擊策略。后面階段的攻防過(guò)程以此類(lèi)推。多階段對(duì)抗過(guò)程如圖1所示。

圖1 多階段對(duì)抗過(guò)程Figure 1 Multistage confrontation process

根據(jù)以上敘述，將其所釋放的夾雜虛假信息的信號(hào)定義為混合信號(hào)。借鑒信號(hào)博弈的基本理論，其對(duì)抗過(guò)程是一個(gè)多階段策略選擇不斷變化的過(guò)程：攻防雙方在每階段都會(huì)從對(duì)方釋放的信號(hào)中來(lái)預(yù)測(cè)出對(duì)方在下一階段采取的行動(dòng)，并從己方最大利益出發(fā)選擇最優(yōu)策略，其攻防博弈樹(shù)如圖2所示。

圖2 攻防博弈樹(shù)Figure 2 Attack and defense game tree

從以上分析可以得出，雙方當(dāng)前的策略選擇主要與上一時(shí)刻雙方所釋放的信號(hào)有關(guān)，其狀態(tài)轉(zhuǎn)移具有一定的Markov性。

1.2 模型的假設(shè)

通過(guò)分析網(wǎng)絡(luò)攻防過(guò)程，本模型假設(shè)如下。

假設(shè)1利益最大化假設(shè)，即博弈參與雙方所選擇的策略都是基于實(shí)現(xiàn)自身收益最大化，其策略選擇受其操作代價(jià)和實(shí)際條件的影響。

假設(shè)2狀態(tài)有限性假設(shè)，即APT攻防過(guò)程的步驟是有限的，因?yàn)楣シ离p方對(duì)資源的消耗是不可逆的，雙方不可能無(wú)休止地進(jìn)行行動(dòng)，因此整個(gè)博弈過(guò)程不存在死鎖現(xiàn)象。

假設(shè)3信息可知性假設(shè)，即攻防雙方基本了解對(duì)方可能進(jìn)行的行動(dòng)手段及其相應(yīng)結(jié)果。APT攻擊是過(guò)去攻擊的結(jié)合，而不是新的攻擊[9]，所以防御方會(huì)對(duì)攻擊者可能采取的攻擊行為及其結(jié)果有大概了解，而攻擊者同樣會(huì)對(duì)防御者可能采取的防御行為及結(jié)果基本了解。

1.3 模型的定義

基于上述3個(gè)假設(shè)，定義非零和信號(hào)博弈模型NSG=(N,S,θ,ω,M,P,C,R,τ,U)，其中：

(1)參與者空間N={ND,NA}。ND代表防御者，NA代表攻擊者，多階段網(wǎng)絡(luò)攻防過(guò)程也可以看作是兩者之間的博弈過(guò)程。

(2)狀態(tài)空間S={S1,S2, …,St|t∈N+}。每個(gè)狀態(tài)都是表示在上一階段雙方博弈后系統(tǒng)所處的狀態(tài)，該狀態(tài)只與上一狀態(tài)雙方選擇的策略有關(guān)。

(3)類(lèi)型空間θ。θ所代表的是防御者的類(lèi)型空間，其現(xiàn)實(shí)意義是代表防御者的資源類(lèi)型，按照防御能力可分為多種類(lèi)型，即θ={θ1,θ2,…,θn|n∈N+}。

(4)攻防策略空間ω{D,A}。防御者的策略空間為D={D1,D2,…,Di}，其中Di表示某一防御策略，為防御動(dòng)作的集合Di={d1,d2,…,dm|m∈N+}，dm表示某一具體的防御動(dòng)作；同理，攻擊者的策略空間為A={A1,A2,…,Aj}，其中Aj={a1,a2,…,an|n∈N+}，an表示某一具體的攻擊動(dòng)作。

(5)信號(hào)空間M={m1,m2,…,mk|k∈N+}。信號(hào)空間是所有信號(hào)的集合，其中包含著真實(shí)信號(hào)和偽裝信號(hào)，設(shè)k為防御者釋放的信號(hào)數(shù)量，當(dāng)k=1時(shí)，代表釋放的為真實(shí)信號(hào)，當(dāng)k=2時(shí)代表為1個(gè)真實(shí)信號(hào)和1個(gè)偽裝信號(hào)的混合信號(hào)，當(dāng)k=3時(shí)表示為1個(gè)真實(shí)信號(hào)和2個(gè)偽裝信號(hào)的混合信號(hào)，k=4，5，…，以此類(lèi)推。

(6)概率P，0 ≤P≤ 1。P(mk)為釋放信號(hào)mk的概率，其值是由攻擊者在收集目標(biāo)系統(tǒng)的信息時(shí)確定的。P(Aj)表示攻擊方采用策略Aj的概率，其值與釋放信號(hào)的概率有關(guān)，根據(jù)貝葉斯法則可以得出下式[18]:

(1)

P(Di)表示防御方采用Di的概率，其值與攻擊者采取的攻擊策略的概率有關(guān)，根據(jù)貝葉斯法則可以得出以下公式:

(2)

P(Di,Aj)表示防御者采用防御策略Di，攻擊者采用攻擊策略Aj后，攻擊者攻擊成功的概率。設(shè)防御者釋放的混合信號(hào)量為k，因此攻擊者命中真實(shí)信號(hào)的概率為1/k，根據(jù)假設(shè)條件3，防御者針對(duì)攻擊策略Aj選擇防御策略Di的概率為PD(Di)，所以針對(duì)該攻擊防御失敗的概率即為1-PD(Di)，可得出攻擊者攻擊成功概率為

P(Di,Aj)=∑PA(Aj)(1/k)·(1-PD(Di))。

(3)

(7)代價(jià)C。CD表示防御代價(jià)，CA表示攻擊代價(jià)，Cm表示釋放信號(hào)的代價(jià)。同文獻(xiàn)[11]的方法，防御代價(jià)CD的求解過(guò)程如式(4)所示：

CD=Ocost+Ncost+Rcost。

(4)

式中：Ocost為操作代價(jià)，代表執(zhí)行該防御策略所付出的代價(jià)；Ncost為負(fù)面代價(jià)，代表執(zhí)行該防御策略導(dǎo)致提供的服務(wù)質(zhì)量下降等帶來(lái)的損失；Rcost為殘余損失，代表執(zhí)行該防御策略后攻擊者對(duì)系統(tǒng)造成的未被消除的損失。

(8)即時(shí)收益R。RD表示防御者獲得的即時(shí)收益，RA表示攻擊者的即時(shí)收益。其中，RD(Di,Aj)+RA(Di,Aj)≠0，該公式表示在防御者采取防御策略Di和攻擊者采取攻擊策略Aj時(shí)所獲得的即時(shí)收益之和，其值不為零，此處體驗(yàn)了博弈論中非零和的思想，也更符合網(wǎng)絡(luò)攻防實(shí)際收益情況。

防御者的即時(shí)收益RD(Di,Aj)可由式(5)來(lái)表示：

RD(Di,Aj)=V·AL·(1-P(Di,Aj))-

∑CD-kCm。

(5)

式中：V表示資源的價(jià)值；AL表示該資源對(duì)于系統(tǒng)的重要程度；1-P(Di,Aj)表示防御成功的概率；∑CD代表執(zhí)行防御策略時(shí)的防御代價(jià)。

攻擊者的即時(shí)收益RA(Di,Aj)可由式(6)來(lái)表示：

RA(Di,Aj)=V·AL·P(Di,Aj)-∑CA。

(6)

式中：P(Di,Aj)為攻擊成功的概率；∑CA為執(zhí)行攻擊策略時(shí)的攻擊代價(jià)。

(9)貼現(xiàn)因子τ，0 ≤τ≤ 1，表示先前階段收益對(duì)之后收益的影響，此處體現(xiàn)了多階段博弈的收益情況。

(10)收益函數(shù)U=(UD,UA)，為即時(shí)收益與以往階段收益之和。UD所代表的是防御者的收益，由式(7)來(lái)表示；UA所代表的是攻擊者的收益，由式(8)來(lái)表示。

(7)

(8)

2 策略求解

2.1 均衡分析

根據(jù)1.2節(jié)中的假設(shè)條件，攻擊者和防御者采取的策略都是保證自身利益的最大化，攻防雙方存在以下均衡。

(2)精煉貝葉斯均衡。攻擊者通過(guò)對(duì)防御者釋放信號(hào)的收集，對(duì)信號(hào)空間M={m1,m2,…,mk}和防御策略空間D={d1,d2,…,di}進(jìn)行分析，得到后驗(yàn)概率集合PA(Aj|mt)，經(jīng)過(guò)計(jì)算總能得到最優(yōu)策略A*以滿(mǎn)足條件A*∈maxUA(D,A)，對(duì)于防御者來(lái)說(shuō)同理可以得到最優(yōu)策略D*使得D*∈maxUA(D,A*)。

2.2 求解當(dāng)前最優(yōu)策略

通過(guò)上述模型的描述以及對(duì)存在均衡解的分析，設(shè)計(jì)了一個(gè)求解當(dāng)前最優(yōu)防御策略的算法，如下所示。

算法1當(dāng)前最優(yōu)策略算法。

輸入: 非零和信號(hào)模型NSG、V、AL；

輸出: 當(dāng)前最優(yōu)防御策略D*。

①I(mǎi)nitialize(N,S,θ,ω,M,P,C,R,τ,U);

②Initializeθ={θ1,θ2,…,θn};

③InitializeD={d1,d2,…,di},A={a1,a2,…,aj};

④InitializeM={m1,m2,…,mk};

⑤InitializePm={P(m1),P(m2),…,P(mk)};

⑥WhileSt∈Sandmk∈M

⑨Foreachdi∈Dandmk∈M

⑩RD(Di,Aj)=V×AL×(1-P(Di,Aj))-∑CD-kCm;

根據(jù)1.1節(jié)描述的博弈過(guò)程和2.1節(jié)中對(duì)兩個(gè)均衡的分析，可以得出該算法的復(fù)雜度主要在于計(jì)算攻防策略的后驗(yàn)概率以及精煉貝葉斯的過(guò)程，其時(shí)間復(fù)雜度為O(N2)，其空間復(fù)雜度主要是用于存儲(chǔ)各策略收益和求解的中間結(jié)果，其空間復(fù)雜度為O(mn)，與其他文獻(xiàn)的模型對(duì)比如表1所示。

表1 算法對(duì)比分析Table 1 Comparative analysis of algorithms

3 模型驗(yàn)證與分析

3.1 實(shí)驗(yàn)環(huán)境

為了模型的可行性和有效性，本文按照典型的信息系統(tǒng)進(jìn)行仿真，采用了如圖3所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來(lái)模擬攻防情景。攻擊者想要獲取目標(biāo)的私密信息，首先在發(fā)動(dòng)攻擊前對(duì)目標(biāo)系統(tǒng)暴露在外網(wǎng)的信息進(jìn)行收集分析，例如目標(biāo)IP地址的范圍、域名以及對(duì)外網(wǎng)提供的應(yīng)用服務(wù)等。通過(guò)收集信息，攻擊者確定其防御薄弱點(diǎn)以及攻擊方法。

圖3 攻防網(wǎng)絡(luò)拓?fù)鋱DFigure 3 Attack and defense network topology

在此次實(shí)驗(yàn)中，攻擊者處于外部網(wǎng)絡(luò)，目標(biāo)網(wǎng)絡(luò)由入侵檢測(cè)設(shè)備、Web服務(wù)器集群、數(shù)據(jù)庫(kù)服務(wù)器、郵件服務(wù)器和Ftp服務(wù)器組成，其訪(fǎng)問(wèn)規(guī)則如表2所示。根據(jù)文獻(xiàn)[20]給出模擬實(shí)驗(yàn)網(wǎng)絡(luò)脆弱性信息如表3所示。根據(jù)其脆弱性進(jìn)行攻擊，將AL分為10個(gè)等級(jí)，數(shù)值越大表示行為越嚴(yán)重，表4列出了進(jìn)行該攻擊的AL和攻擊代價(jià)。針對(duì)存在的漏洞可以進(jìn)行相應(yīng)的防御動(dòng)作，假設(shè)殘余損失為0，其操作代價(jià)及其負(fù)面代價(jià)如表5所示。

表2 防火墻規(guī)則Table 2 Firewall rules

表3 仿真實(shí)驗(yàn)網(wǎng)絡(luò)脆弱性信息Table 3 Vulnerability information of simulation experiment network

表4 攻擊動(dòng)作和代價(jià)Table 4 Attack actions and cost

表5 防御動(dòng)作和代價(jià)Table 5 Defense actions and cost

3.2 實(shí)驗(yàn)分析

在本實(shí)驗(yàn)中，預(yù)設(shè)數(shù)據(jù)的總價(jià)值V=1 000，貼現(xiàn)因子τ=0.3，釋放信號(hào)的代價(jià)為Cm=40，根據(jù)對(duì)近年來(lái)APT案例結(jié)合以上列出的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)漏洞進(jìn)行分析，得到攻擊者可能進(jìn)行的攻擊策略。為了簡(jiǎn)化實(shí)驗(yàn)過(guò)程，本實(shí)驗(yàn)只給出單階段和兩階段的過(guò)程，多階段情況以此類(lèi)推。

根據(jù)文獻(xiàn)[20]中所給出的方法對(duì)輸入的路由器、漏洞數(shù)據(jù)、防火墻和防御策略進(jìn)行建模和分析，得到可能采用的攻擊策略A1={a1,a3},A2={a2,a6},A3={a4,a5}，根據(jù)以上假設(shè)采用對(duì)應(yīng)的防御策略為D1={d1,d3},D2={d2,d6},D3={d4,d6}。

實(shí)例1博弈開(kāi)始時(shí)，防御方率先發(fā)出信號(hào)，其概率為 (P(m1),P(m2),P(m3))=(0.2,0.4,0.4)，通過(guò)式(1)可以計(jì)算得到攻擊者采用的攻擊策略為(P(A1),P(A2),P(A3)) = (0.4, 0.3, 0.3)；采用的防御策略通過(guò)式(2)可以得到防御策略概率為(P(D1),P(D2),P(D3)) = (0.4, 0.3, 0.3)。

實(shí)例2博弈開(kāi)始時(shí)，由防御方率先發(fā)出信號(hào)，其概率為(P(m1),P(m2),P(m3))=(0.3,0.35,0.35)，通過(guò)式(1)可以計(jì)算得到攻擊者采用的攻擊策略為(P(A1),P(A2),P(A3)) = (0.35, 0.2, 0.45)；采用的防御策略通過(guò)式(2)可以得到防御策略概率為(P(D1),P(D2),P(D3)) = (0.35, 0.2, 0.45)。

實(shí)例3博弈開(kāi)始時(shí)，由防御方率先發(fā)出信號(hào)，其概率為(P(m1),P(m2),P(m3))=(0.5,0.3,0.2)，通過(guò)式(1)可以計(jì)算得到攻擊者采用的攻擊策略為(P(A1),P(A2),P(A3))=(0.25,0.4,0.35)；采用的防御策略通過(guò)式(2)可以得到防御策略概率為(P(D1),P(D2),P(D3))=(0.25,0.4,0.35)。

圖4(a)表示隨著混合信號(hào)數(shù)量k的增加，各實(shí)例單階段攻擊策略收益的變化。從中可以看到，隨著釋放信號(hào)量k值的增加，3個(gè)實(shí)例的攻擊策略收益都是呈現(xiàn)下降趨勢(shì)。當(dāng)k=1時(shí)，即釋放的信號(hào)均為真實(shí)信號(hào)時(shí)，3個(gè)實(shí)例的攻擊方的收益均達(dá)到最大；當(dāng)k=3時(shí)，實(shí)例1和實(shí)例2攻擊策略收益趨近于0；當(dāng)k>3時(shí)，實(shí)例1和實(shí)例2攻擊策略收益均小于0；當(dāng)k=4時(shí)，實(shí)例3攻擊策略收益趨近于0；當(dāng)k>4時(shí)，實(shí)例3的收益小于0；當(dāng)k>12時(shí)，實(shí)例1的攻擊策略收益開(kāi)始小于實(shí)例2。圖4(b)表示隨著混合信號(hào)數(shù)量k的增加，各實(shí)例單階段防御策略收益的變化。從圖4中可以看到，隨著釋放信號(hào)量k值的增加，3個(gè)實(shí)例的防御策略收益趨勢(shì)均為先增加后減少。當(dāng)k=3時(shí)，實(shí)例1和實(shí)例2的防御策略收益達(dá)到最大值；當(dāng)k>3時(shí)，實(shí)例1和實(shí)例2的防御策略收益開(kāi)始減少；當(dāng)k=4時(shí)，實(shí)例3的防御策略收益達(dá)到最大值；當(dāng)k>4時(shí)，實(shí)例3的防御策略收益開(kāi)始減少。

圖4 單階段策略收益圖Figure 4 Single-stage strategy gains

圖5(a)和圖5(b)分別表示隨著混合信號(hào)數(shù)量k的增加，各實(shí)例兩階段攻擊策略和防御策略收益的變化。從圖中可以看出，兩階段攻防策略收益分布情況類(lèi)似于單階段，兩階段收益=第2階段的即時(shí)收益+第1階段收益×貼現(xiàn)因子。通過(guò)對(duì)比單階段和兩階段的攻防收益圖能夠體現(xiàn)出本文所提出的多階段收益量化思想。

圖5 兩階段策略收益圖Figure 5 Two-stage strategy gains

4 結(jié)論

本文以典型的信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻防仿真實(shí)驗(yàn)，分析實(shí)驗(yàn)結(jié)果得出以下結(jié)論：①混合信號(hào)的數(shù)量與攻擊者的收益有著負(fù)相關(guān)的聯(lián)系；②防御方不斷增加混合信號(hào)數(shù)量，不一定能獲得較高的安全增益；③網(wǎng)絡(luò)攻防存在著攻防收益的不對(duì)稱(chēng)。

本文基于攻防信號(hào)博弈理論并結(jié)合了博弈理論中非零和的思想，在3個(gè)假設(shè)條件的基礎(chǔ)上，將攻防雙方的博弈過(guò)程進(jìn)行建模，將攻防策略收益進(jìn)行量化，根據(jù)多階段信號(hào)博弈過(guò)程中收益情況引入貼現(xiàn)因子，并通過(guò)仿真實(shí)例驗(yàn)證了本文所提模型和方法的有效性。