摘 要：變化挖掘能夠通過(guò)變化日志找到模型中可能存在的變化空間，而傳統(tǒng)變化挖掘算法在信息安全攻防態(tài)勢(shì)的場(chǎng)景下，結(jié)果可能并不符合安全需求，甚至極大偏離安全標(biāo)準(zhǔn)。針對(duì)此問(wèn)題，提出了一種基于博弈策略的變化域驗(yàn)證方法，解決了傳統(tǒng)變化挖掘算法不能驗(yàn)證自身有效性的缺陷。該算法首先會(huì)根據(jù)安全指標(biāo)構(gòu)建效益矩陣計(jì)算納什平衡點(diǎn)，然后通過(guò)納什平衡點(diǎn)驗(yàn)證攻防模型變化域的有效性，其次對(duì)無(wú)效的、次有效的變化域進(jìn)行安全等級(jí)劃分，并在應(yīng)對(duì)未知漏洞的響應(yīng)問(wèn)題上給出明確的指導(dǎo)性意見(jiàn)，最后以典型信息安全事件為例驗(yàn)證了該方法的可行性。

關(guān)鍵詞：變化挖掘；有效變化域；博弈策略；納什平衡；信息安全；網(wǎng)絡(luò)攻防

中圖分類(lèi)號(hào)：TP391.9 文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695（2022）07-038-2156-06

doi：10.19734/j.issn.1001-3695.2021.12.0680

基金項(xiàng)目：國(guó)家自然科學(xué)基金資助項(xiàng)目（61402011，61572035）；安徽省自然科學(xué)基金資助項(xiàng)目（1508085MF111，1608085QF149）；安徽理工大學(xué)研究生創(chuàng)新基金資助項(xiàng)目（2021CX1011）；安徽理工大學(xué)大學(xué)生科普創(chuàng)新及科研育人示范項(xiàng)目（KYX202129）

作者簡(jiǎn)介：劉雨舟（1997-），男，四川遂寧人，碩士，主要研究方向?yàn)镻etri網(wǎng)變化挖掘與網(wǎng)絡(luò)安全（1471864319@qq.com）；方賢文（1975-），男，安徽淮南人，教授，博導(dǎo)，博士，主要研究方向?yàn)镻etri網(wǎng)理論與應(yīng)用、可信軟件和大數(shù)據(jù)．

Verification algorithm of effective change region of attack-defense model based on game-strategies

Liu Yuzhou^1，2，F(xiàn)ang Xianwen^1，2

（1.College of Mathematics amp; Big Data，Anhui University of Science amp; Technology，Huainan Anhui 232001，China；2.Anhui Province Engineering Laboratory for Big Data Analysis amp; Early Warning Technology of Coal Mine Safety，Huainan Anhui 232001，China）

Abstract：Change mining can find the possible change space in the model through the change log.However，in the scenario of information security attack-defense situation，the results of the existing change mining algorithms may not meet the security requirements，or even deviate greatly from the security standards.To solve this problem，this paper proposed a change region verification method based on game strategy，which solved the defect that the traditional change mining algorithm could not verify its effectiveness.Firstly，the algorithm constructed the benefit matrix according to the security index to calculate the Nash equilibrium point.Secondly，it verified the effectiveness of the change region of the attack-defense model through the Nash equilibrium point.And then the algorithm classified the invalid and sub effective change regions，and gave clear guidance on the response to unknown vulnerabilities.Finally，it took a typical information security event as an example to verify the feasibility of this method.

Key words：change mining；effective change region；game-strategy；Nash equilibrium；information security；network attack-defense

0 引言

作為過(guò)程挖掘算法中一個(gè)新的重要分支，變化挖掘能夠發(fā)現(xiàn)模型中隱含的變化空間，有效解決隨著計(jì)算機(jī)技術(shù)發(fā)展，業(yè)務(wù)管理系統(tǒng)以一個(gè)細(xì)節(jié)錯(cuò)誤的方式運(yùn)行或外部額外添加過(guò)程實(shí)例時(shí)系統(tǒng)流程偏離指定模型的問(wèn)題，從而避免了復(fù)雜模型的重設(shè)計(jì)^［1]。變化挖掘在目前的研究中已經(jīng)有許多算法支持，如通過(guò)邊界節(jié)點(diǎn)縮減和內(nèi)部邊界節(jié)點(diǎn)縮減的方式定位變化域^[2]；在自適應(yīng)系統(tǒng)中挖掘變化日志并記錄可交換變化操作及其因果關(guān)系^[3]；也有通過(guò)不完備日志的挖掘方法，在源模型未知的情況下對(duì)業(yè)務(wù)流程變化進(jìn)行分析和挖掘^[4]。

變化挖掘的研究體主要體現(xiàn)在定位變化域與研究變化傳播和變化模式上，但在近些年國(guó)內(nèi)外研究中可看出，方法的改良多側(cè)重于對(duì)挖掘算法的優(yōu)化、處理不完備情況以及與機(jī)器學(xué)習(xí)結(jié)合以訓(xùn)練出最優(yōu)模型上^[5～7]，這類(lèi)研究方向的挖掘變化方法都僅從模型或變化日志出發(fā)，通過(guò)其之間的聯(lián)系來(lái)挖掘可能存在的變體，并未實(shí)際驗(yàn)證所挖掘出變化的有效性。比如在信息安全領(lǐng)域攻防模型中，由于具有不同于一般業(yè)務(wù)流程的安全標(biāo)準(zhǔn)，僅從模型和日志上的分析變化域具有很大局限，必須通過(guò)能與實(shí)際安全情況有強(qiáng)關(guān)聯(lián)的方法來(lái)驗(yàn)證變化域有效。

博弈論作為近年來(lái)研究網(wǎng)絡(luò)攻防博弈的強(qiáng)有力工具^[8]，能夠有效分析信息安全攻防對(duì)抗模型中的矛盾與沖突，并推導(dǎo)出雙方的最優(yōu)策略^[9，10]。在網(wǎng)絡(luò)攻防領(lǐng)域的博弈模型中，以原子攻擊成功概率為基準(zhǔn)，可建立效益矩陣并計(jì)算納什平衡點(diǎn)^[11]，而信度向量正交投影分解算法^[12]能夠有效地評(píng)定各類(lèi)IDS系統(tǒng)模型所檢測(cè)安全漏洞問(wèn)題的可信度，且若結(jié)合安全脆弱點(diǎn)評(píng)估系統(tǒng)（CVSS）^[13]對(duì)單個(gè)漏洞利用點(diǎn)的屬性進(jìn)行量化，便能最終定義出原子攻擊成功概率的計(jì)算公式，為效益矩陣的建立和納什平衡點(diǎn)的計(jì)算提供了數(shù)據(jù)基礎(chǔ)。除此之外，博弈論在網(wǎng)絡(luò)攻防領(lǐng)域研究中的有效應(yīng)用在文獻(xiàn)[14～19]中也均有杰出體現(xiàn)。

綜上所述，本文提出一種基于博弈策略的變化域驗(yàn)證方法，該算法能夠在信息安全領(lǐng)域攻防博弈模型中挖掘有效變化域，并對(duì)無(wú)效的、次有效的變化域進(jìn)行安全等級(jí)劃分，將變化挖掘與網(wǎng)絡(luò)安全攻防模型充分結(jié)合，從而實(shí)現(xiàn)具有針對(duì)性的變化挖掘模式，使其能在應(yīng)對(duì)安全漏洞的響應(yīng)問(wèn)題上給出指導(dǎo)性意見(jiàn)，彌補(bǔ)在變化域有效性驗(yàn)證研究上的短缺。

1 動(dòng)機(jī)案例

通過(guò)文獻(xiàn)[2]中所提出的變化域挖掘算法對(duì)模型的變化域進(jìn)行挖掘。給定如圖1所示的初始網(wǎng)絡(luò)攻防模型Ma，現(xiàn)由于外界策略或設(shè)備的變更，形成了如圖2所示的變化模型Ma1。通過(guò)Ma1與Ma進(jìn)行模型間的對(duì)齊可得到變化節(jié)點(diǎn)X，在圖中以深色變遷表示。由變化挖掘算法^[2]可挖掘出圖2中陰影部分所示的變化域。

由文獻(xiàn)[1，2]可知，添加變化節(jié)點(diǎn)X會(huì)在后續(xù)流程中對(duì)事件C、D產(chǎn)生影響，即以C、D為起始點(diǎn)，可能使整個(gè)系統(tǒng)流程偏離指定模型，從而造成不同于預(yù)期的影響。但假設(shè)事件X為安全策略中添加的防火墻設(shè)備，該行為效果只能有效降低攻擊行為B的成功概率，故該變化并不會(huì)對(duì)系統(tǒng)造成偏離模型的影響，且對(duì)于C、D所表示的攻擊流程也無(wú)直接聯(lián)系，即變化X在實(shí)際應(yīng)用場(chǎng)景中只會(huì)和前驅(qū)事件B相關(guān)聯(lián)，與C、D無(wú)關(guān)，這與通過(guò)行為輪廓間關(guān)系挖掘變化域的結(jié)果并不相符。

從上述分析可以看出，僅基于模型和日志的變化挖掘算法并不一定適用于與行為選擇所產(chǎn)生效益有強(qiáng)關(guān)聯(lián)性的模型。本文提出基于博弈策略來(lái)衡量變化行為最佳收益的理論方法，從而得到變化模型中的最佳行為路徑，進(jìn)而判斷變化行為是否符合最佳收益，以實(shí)現(xiàn)變化域的有效性驗(yàn)證。

2 基本概念

3 基于博弈策略的有效變化域驗(yàn)證方法

本章引入了博弈理論中納什平衡的概念，通過(guò)向已經(jīng)進(jìn)行傳統(tǒng)變化挖掘的攻防模型添加博弈屬性，計(jì)算攻防雙方收益的納什平衡，得到雙方在博弈中的最佳收益行為，從而確定在考慮到實(shí)際安全標(biāo)準(zhǔn)后行為的具體變化，驗(yàn)證有效變化域。首先對(duì)細(xì)精度的安全模型和變化日志進(jìn)行抽象與映射，構(gòu)造宏觀的粗精度抽象模型；然后利用模型計(jì)算出的納什平衡點(diǎn)，根據(jù)其所在區(qū)域和變化域的符合程度，從而得到經(jīng)過(guò)驗(yàn)證的有效變化域以及根據(jù)有效程度的安全等級(jí)劃分。

3.1 模型抽象與日志映射

博弈策略的研究只是針對(duì)宏觀攻防行為進(jìn)行分析，模型的精細(xì)度并不會(huì)影響策略的選擇，反而過(guò)高的精度會(huì)導(dǎo)致模型的泛化度降低，故過(guò)于精細(xì)的安全模型對(duì)本文的研究是無(wú)意義的，所以利用過(guò)程模型抽象技術(shù)先對(duì)現(xiàn)實(shí)中復(fù)雜的網(wǎng)絡(luò)攻防模型進(jìn)行簡(jiǎn)化，并將其日志也進(jìn)行相應(yīng)映射。

這里以威脅指數(shù)與知名度多年高居OWASP 10^[23]之首的SQL注入攻擊行為為例。對(duì)于一般的網(wǎng)站平臺(tái)，用Msqlinjection代表從網(wǎng)頁(yè)訪問(wèn)開(kāi)始到成功竊取數(shù)據(jù)庫(kù)信息的完整SQL注入攻擊行為Petri網(wǎng)模型，但原子攻擊行為的模型Msqlinjection非常復(fù)雜（見(jiàn)圖3源模型部分），而本文之后章節(jié)中所研究的攻防博弈均是包含SQL注入攻擊在內(nèi)的復(fù)合型攻防行為。建立一個(gè)高精度的模型對(duì)博弈策略的選取是無(wú)意義的，故利用過(guò)程模型抽象的方法，將Msqlinjection抽象為Ma中的單一事件B，經(jīng)抽象后的部分攻防模型如圖3所示。

為了使研究后續(xù)結(jié)果相對(duì)應(yīng)，其源日志Lsource也進(jìn)行相應(yīng)映射，模型Msqlinjection的日志Lsqlinjection最后映射為L(zhǎng)′sqlinjection的部分如表1所示。

同理，抽象模型中其余表示攻擊方式的事件均由相應(yīng)源模型抽象而成，如C表示暴力破解（BruteForce，BF），G為遠(yuǎn)程代碼執(zhí)行（RemoteCodeExecution，RCE）等，由于篇幅原因故不對(duì)各個(gè)事件的抽象過(guò)程進(jìn)行逐一詳細(xì)表述，完整的抽象模型Ma即為動(dòng)機(jī)案例中圖1所示。其中，A表示攻擊前的準(zhǔn)備步驟，E～K均為抽象簡(jiǎn)化后對(duì)不同目標(biāo)或利用不同目標(biāo)作為跳板發(fā)動(dòng)攻擊的過(guò)程；E、F、G分別為針對(duì)郵件服務(wù)器（mail server）、FTP服務(wù)器（FTP server）、文件服務(wù)器（file server）發(fā)起的進(jìn)攻；H、I、J分別為利用所占領(lǐng)的目標(biāo)服務(wù)器作為跳板，向內(nèi)網(wǎng)個(gè)人主機(jī)發(fā)動(dòng)攻擊的過(guò)程；經(jīng)過(guò)K的路徑用一個(gè)環(huán)路表示域內(nèi)橫向移動(dòng)；end1～end3表示攻擊停止，tr為向域內(nèi)橫向移動(dòng)K的過(guò)程中。為了方便研究，本文之后描述的案例僅以H、I、J其中之一的事件發(fā)生就表示一次攻擊行為執(zhí)行成功，對(duì)環(huán)路所表示的域內(nèi)橫向移動(dòng)不作舉例說(shuō)明。

3.2 效益矩陣

在一次攻防博弈行為ε中構(gòu)建上述所表示的效益矩陣U，ξ表示博弈行為中每個(gè)事件e的屬性集合，AN為屬性名集合，對(duì)于e∈ξ，n∈AN，Γn（e）表示為事件e中屬性n的值。根據(jù)文獻(xiàn)[11]，計(jì)算每個(gè)事件效益值Γu（e）=UA|D（tiAx，tiDy）m×n所必要的四個(gè)屬性分別為：執(zhí)行策略后所得回報(bào)Γprofit（e）、執(zhí)行策略后損失Γcost（e）、回報(bào)與損失的差值Γutility（e）以及該策略行為發(fā)生的概率Γp（e），并作出如下規(guī)定：

本文在此作出約定：在Ma中，攻擊方從根節(jié)點(diǎn)開(kāi)始，經(jīng)選擇攻擊方式B、C、D到最后H、I、J攻擊事件結(jié)束表示一段完整的、由外到內(nèi)的攻擊行為，每成功執(zhí)行一次攻擊事件都會(huì)以該事件的目標(biāo)設(shè)備為跳板，執(zhí)行下一階段的攻擊行為。

根據(jù)正交投影分解算法^[12]可求得每個(gè)攻擊事件所利用漏洞的置信度，再由安全脆弱點(diǎn)評(píng)估系統(tǒng)（CVSS）^[13]所提出指標(biāo)定義出該原子攻擊事件成功發(fā)生的概率Γp（e）以及其危害指數(shù)，即攻擊所得回報(bào)Γprofit（e），便可由式（1）～（4）計(jì)算Γu（e），從而構(gòu)建效益矩陣U。其中，Ma共計(jì)七種攻擊事件的屬性值（不同攻擊方式下博弈雙方的Γprofit（e）、Γcost（e）、Γutility（e）以及Γp（e））如表2所示。綜上所述，源模型Ma的效益矩陣可構(gòu)建如表3所示。其中策略編號(hào)所表示的具體行為序列如表4所示。

3.3 納什平衡點(diǎn)

定義5 納什平衡^[10]。在狀態(tài)Pi下，若存在一組博弈策略[（t^i′A，t^i′D）|t^i′A∈TiA，t^i′D∈TiD]，當(dāng)且僅當(dāng)策略組（tiA，tiD）對(duì)于博弈雙方都是最佳策略，即滿(mǎn)足

稱(chēng)此時(shí)博弈達(dá)到納什平衡，策略組（tiA，tiD）為博弈的納什平衡點(diǎn)。在實(shí)際計(jì)算中平衡點(diǎn)可能不止一個(gè)，也可為多個(gè)策略組合而成的混合策略。

根據(jù)效益矩陣Ua，利用納什平衡定理求得在Ma場(chǎng)景下博弈雙方的最優(yōu)攻防策略是向量為（（0，0.374，0，0.199，0.089，0，0.338），（0，0.137，0，0.152，0.422，0，0.29））的混合策略，即表示對(duì)于攻擊者而言，分別按0.374、0.199、0.089、0.338的概率選擇②④⑤⑦四種策略組合作為最優(yōu)抉擇將會(huì)達(dá)到當(dāng)前狀態(tài)下的最佳收益效果，防御方同理。根據(jù)式（4）可計(jì)算得出當(dāng)前效益矩陣中達(dá)到納什平衡點(diǎn)后博弈雙方收益為（-7.728，-7.808），安全收益差值Γu（e^A|DMa）=Γu（eDMa）-Γu（eAMa）=-0.08。

納什平衡僅代表當(dāng)前博弈雙方策略達(dá)到最優(yōu)，但并非表示平衡狀態(tài)下總體效益處于安全狀態(tài)，即可能出現(xiàn)防御方利用最佳防御措施也無(wú)法有效抵御攻擊者的進(jìn)攻，這種多數(shù)出現(xiàn)在防御體系不完善或攻擊者利用0day漏洞進(jìn)行攻擊的情況下。為了評(píng)估達(dá)到納什平衡點(diǎn)時(shí)的安全狀態(tài)，根據(jù)正交投影分解算法和CVSS所提出標(biāo)準(zhǔn)，設(shè)定安全威脅指標(biāo)均為最低時(shí)計(jì)算出的收益值為安全閾值，即Γu（e^THR）=-0.443。若Γu（e^A|D）lt;Γu（e^THR），說(shuō)明現(xiàn)有最優(yōu)防御策略不能有效防御當(dāng)前攻擊，需更新防御策略。在Ma中，可知Γu（e^A|DMa）=-0.08gt;Γu（e^THR），即雖在博弈中防御方有微小損失但在可控范圍內(nèi)，故Ma模型下系統(tǒng)狀態(tài)是暫時(shí)安全的。

3.4 有效變化域驗(yàn)證

對(duì)于安全模型Ma的變化模型Ma1，根據(jù)第1章動(dòng)機(jī)案例所指出，考慮到模型中安全標(biāo)準(zhǔn)與變化域挖掘效果所存在的偏差，可結(jié)合現(xiàn)有變化挖掘算法提出基于博弈策略的有效變化域驗(yàn)證算法，如算法1所示。

算法1 有效變化域的挖掘與驗(yàn)證

輸入：源抽象模型Ma=（P，T，F(xiàn)）；變化后抽象模型M′a=（P′，T′，F(xiàn)′）；變化節(jié)點(diǎn)X；執(zhí)行策略概率、所得回報(bào)和閾值Γp（e），Γprofit（e），Γu（e^THR）。

輸出：含有納什平衡點(diǎn)的變化域，安全等級(jí)[CR，Nash]，warn。

在變化模型Ma1中新增添加防火墻設(shè)備行為的變化節(jié)點(diǎn)X，其屬性值（變化節(jié)點(diǎn)X（添加防火墻設(shè)備）下雙方的Γprofit（e）、Γcost（e）、Γutility（e）以及Γp（e））如表5所示。對(duì)于表4中策略序號(hào)對(duì)應(yīng)的行為序列，將①④⑦行為序列分別替換為A→X→E→H，A→X→F→I，A→X→G→J，因此可重構(gòu)Ma的效益矩陣以得到變化模型Ma1的效益矩陣，并根據(jù)所提出算法計(jì)算得到納什平衡點(diǎn)，可知博弈雙方的最優(yōu)攻防策略是向量為（（0，0.376，0，0，0，0.288，0，0，0.336），（0，0，0.137，0，0.573，0，0，0.241，0.049））的混合策略，且安全收益差Γu（e^A|DMa1）=3.08?？煽闯鎏砑臃阑饓υO(shè)備后通過(guò)事件B（SQL注入攻擊）發(fā)動(dòng)進(jìn)攻的概率為0，即攻擊策略的選取完全避開(kāi)了事件B；而此時(shí)納什平衡點(diǎn)處于原效益矩陣的范圍內(nèi)，未向變化策略移動(dòng)，說(shuō)明攻擊方依舊在原有攻擊策略中選取攻擊方式，新策略無(wú)效；安全收益差值較源模型不減反增，說(shuō)明新策略只會(huì)增加攻擊方的損失和防御方的收益，符合實(shí)際應(yīng)用情形。

綜上所述，通過(guò)算法證明了第1章動(dòng)機(jī)案例中所提出的Ma1根據(jù)傳統(tǒng)變化挖掘算法挖掘出的變化域（圖1陰影部分）是無(wú)效的，故算法將其變化的安全等級(jí)設(shè)置為最低的0級(jí)，即僅做信息記錄無(wú)須應(yīng)對(duì)。

4 仿真實(shí)驗(yàn)

本文第2章中體現(xiàn)的是防御方主動(dòng)更新防御策略的情況，為了真實(shí)反映現(xiàn)實(shí)中黑客攻擊方式較防御模型演變所造成的影響，這一章中分別以由于人為因素導(dǎo)致的社會(huì)工程學(xué)攻擊和利用未知新型漏洞發(fā)起進(jìn)攻的0day攻擊這兩種安全態(tài)勢(shì)為例，針對(duì)算法1進(jìn)行實(shí)例分析，給出有效變化域并為其評(píng)估安全等級(jí)，為漏洞響應(yīng)提供指導(dǎo)性意見(jiàn)。

4.1 社會(huì)工程學(xué)實(shí)例分析

社會(huì)工程學(xué)（social engineering，SE）是一種注重研究人性弱點(diǎn)的黑客手法，往往不需要技術(shù)手段就能獲得一些計(jì)算機(jī)或個(gè)人隱私信息。本文對(duì)SE手段的使用主要體現(xiàn)在針對(duì)Web應(yīng)用的管理員賬號(hào)密碼獲取。對(duì)于如表6所示存在變化節(jié)點(diǎn)XSE的抽象變化日志LSE，可構(gòu)建抽象變化模型M^SEa如圖4所示，系統(tǒng)存在人為因素引起的SE攻擊手段（XSE）、形成變化模型M^SEa、對(duì)應(yīng)（次有效）變化域?yàn)殛幱安糠郑行ё兓驗(yàn)镃。

由模型M^SEa可知初步定位的變化域?yàn)锽CD的聯(lián)合發(fā)生區(qū)域，為驗(yàn)證該狀態(tài)下的有效變化域，根據(jù)算法1計(jì)算在攻擊方新增SE攻擊策略情況下攻防雙方博弈的納什平衡點(diǎn)，變化節(jié)點(diǎn)XSE的屬性值（變化節(jié)點(diǎn)XSE下雙方的Γprofit（e）、Γcost（e）、Γutility（e）以及Γp（e））如表7所示。可得博弈雙方的最優(yōu)攻防策略是向量為（（0，0，0，0，0，0，0，0，0，0.373，0.289，0.338），（0.138，0，0，0，0.572，0，0.29，0，0））的混合策略。可看出在新增變化節(jié)點(diǎn)XSE后，攻擊方的最佳攻擊策略集中在最后三個(gè)新增的攻擊策略上，而防御方由于暫無(wú)針對(duì)性應(yīng)對(duì)措施，只能在已有策略中選擇最佳防御措施，此時(shí)納什平衡點(diǎn)已經(jīng)出現(xiàn)在了變化事件內(nèi)而非原效益矩陣內(nèi)；但此時(shí)的安全收益差Γu（e^A|DM^SEa）=-0.156gt;Γu（e^THR），說(shuō)明防御方損失值依然可控。

綜上所述，該安全狀態(tài)表示攻擊者會(huì)充分利用社會(huì)工程學(xué)獲取密碼等隱私信息，雖然安全收益差臨近閾值但依然可控，建議盡快更新防御策略。需要更新的部分可參考有效變化域中的事件和次有效變化域，如針對(duì)C添加防弱密、頻繁訪問(wèn)機(jī)制和加強(qiáng)員工管理等。此時(shí)算法將變化的安全等級(jí)設(shè)置為2，需引起關(guān)注。

4.2 0day攻擊實(shí)例分析

0day攻擊是指利用還未發(fā)布補(bǔ)丁的0day漏洞所發(fā)起的網(wǎng)絡(luò)攻擊，由于一定時(shí)間范圍內(nèi)沒(méi)有針對(duì)此漏洞的解決方案，故這類(lèi)漏洞對(duì)于攻防博弈模型就是一種新式攻擊策略，無(wú)針對(duì)性防御措施。以此攻擊方式代表所有利用新型未知漏洞發(fā)起攻擊的類(lèi)型進(jìn)行案例分析，對(duì)于如表8所示存在變化節(jié)點(diǎn)X0day的抽象變化日志L0day，可構(gòu)建存在0day攻擊事件的抽象變化模型M^0daya如圖5所示。0day攻擊作為一種無(wú)針對(duì)防御策略的新式攻擊方式（X0day），形成變化模型M^0daya，對(duì)應(yīng)（次有效）變化域?yàn)殛幱安糠郑行ё兓驗(yàn)镈、G。

由于0day漏洞對(duì)于所有設(shè)備都無(wú)相應(yīng)補(bǔ)丁程序，故只要利用該漏洞獲得一臺(tái)主機(jī)的操作權(quán)限，即可以該主機(jī)為跳板循環(huán)利用此漏洞進(jìn)一步獲取域內(nèi)其余主機(jī)權(quán)限，構(gòu)成迭代攻擊。

由模型M^0daya可知，初步定位的變化域?yàn)锽CD、EFG的聯(lián)合發(fā)生區(qū)域，幾乎涵蓋了此攻防博弈模型中所有的安全事件，為驗(yàn)證該狀態(tài)下的有效變化域，根據(jù)算法計(jì)算在攻擊方新增0day攻擊策略的情況下攻防雙方博弈的納什平衡點(diǎn)，其中變化節(jié)點(diǎn)X0day的屬性值（變化節(jié)點(diǎn)X0day下雙方的Γprofit（e）、Γcost（e）、Γutility（e）以及Γp（e））如表9所示。可得博弈雙方的最優(yōu)攻防策略是向量為（（0，0，0，0，0，0，0，0，0，1），（0，0，0，0，0，0，0，0，1））的單一策略，即攻擊者必定會(huì)利用當(dāng)前收益最大的0day攻擊策略進(jìn)行攻擊，此時(shí)納什平衡點(diǎn)已經(jīng)出現(xiàn)在了變化事件內(nèi)而非原效益矩陣內(nèi)；而由于無(wú)針對(duì)性防御手段，防御者只能選擇當(dāng)前策略中收益最大的策略D，及防御RCE攻擊的手段來(lái)抵御攻擊，但安全收益差卻達(dá)到了Γu（e^A|DM^0daya）=-10.059，遠(yuǎn)遠(yuǎn)向下突破了設(shè)定的安全閾值。由此可見(jiàn)，現(xiàn)有的最佳防御手段也不能抵御新策略攻擊，但由于防御方的納什平衡點(diǎn)在事件D策略上，這反映了原策略針對(duì)RCE的防御措施相對(duì)其他策略來(lái)說(shuō)能將損失降至最小，盡管低于安全閾值，但以RCE防御為指導(dǎo)方向的策略改善可能會(huì)有奇效，如關(guān)閉部分端口、對(duì)進(jìn)出流量進(jìn)行過(guò)濾等，比如關(guān)閉445端口方法在針對(duì)WannaCry勒索病毒防范上得到了有效證實(shí)，事件G同理。此時(shí)變化域經(jīng)過(guò)驗(yàn)證，有效變化域?yàn)榍罢吲c納什平衡點(diǎn)的交集，即D、G，針對(duì)0day漏洞攻擊方式的修補(bǔ)措施或應(yīng)急響應(yīng)可以此有效變化域作為參考。此類(lèi)情況的安全警報(bào)等級(jí)為最高的3級(jí)，需立即響應(yīng)，引起高度重視。

4.3 結(jié)果分析

根據(jù)以上實(shí)例的結(jié)果，本文基于博弈策略對(duì)傳統(tǒng)變化挖掘的變化域進(jìn)行了有效性驗(yàn)證，從博弈收益的角度對(duì)行為的具體變化進(jìn)行了探究計(jì)算，而非單一從變化日志及模型入手，這樣確保了從與行為選擇所產(chǎn)生效益有強(qiáng)關(guān)聯(lián)性的模型挖掘變化域的準(zhǔn)確性。將通過(guò)博弈策略挖掘變化域與以文獻(xiàn)[1～7]為代表的傳統(tǒng)變化挖掘算法對(duì)比可知，本文所采用的變化挖掘方法在準(zhǔn)確性、有效性上更能得到保證，并能完全符合計(jì)算機(jī)安全上的各項(xiàng)標(biāo)準(zhǔn)。其對(duì)比效果如表10所示。

5 結(jié)束語(yǔ)

為了使變化域能以最大程度有效體現(xiàn)變化的安全態(tài)勢(shì)，彌補(bǔ)在傳統(tǒng)變化挖掘算法中對(duì)變化域有效性驗(yàn)證的技術(shù)短缺，本文提出了一種基于博弈策略的有效變化域驗(yàn)證算法，對(duì)已有變化挖掘算法所挖掘出的變化域通過(guò)博弈策略進(jìn)行評(píng)估驗(yàn)證，與網(wǎng)絡(luò)攻防實(shí)例中達(dá)到納什平衡的最優(yōu)策略所構(gòu)成的行為與變化域相結(jié)合，從而得到真正符合安全標(biāo)準(zhǔn)的變化域，做到變化域的有效挖掘。該算法不但能分析已知漏洞對(duì)防御體系的變化影響并作出安全預(yù)警等級(jí)評(píng)估，還能夠在發(fā)生重大網(wǎng)絡(luò)安全事故上為維護(hù)業(yè)務(wù)的持續(xù)性和應(yīng)急響應(yīng)方面作出指導(dǎo)性意見(jiàn)，以將損失控制在最小。

當(dāng)前對(duì)博弈策略的結(jié)合還處于離線(xiàn)資源靜態(tài)檢測(cè)且僅適用于單一防御體系的階段，無(wú)法很好地適應(yīng)當(dāng)下防御體之間實(shí)時(shí)監(jiān)測(cè)、多級(jí)聯(lián)動(dòng)的防御架構(gòu)，在之后的研究中，會(huì)以并發(fā)和在線(xiàn)檢測(cè)為方向，以更好地適應(yīng)大型防御架構(gòu)的安全需求。

參考文獻(xiàn)：

［1］Weidlich M，Weske M，Mendling J.Change propagation in process models using behavioural profiles[C]//Proc of IEEE International Conference on Services Computing.Washington DC：IEEE Computer Society，2009：33-40.

[2]Weidlich M，Mendling J，Weske M.Propagating changes between aligned process models[J].Journal of Systems and Software，2012，85（8）：1885-1898.

[3]Christian W G，Rinderle S，Reichert M，et al.Change mining in adaptive process management systems[C]//Proc of OTM Confederated International Conferences “On the Move to Meaningful Internet System”：CoopIS.Berlin：Springer-Verlag，2006：309-326.

[4]Li Chen，Reichert M，Wombacher A.Mining business process variants：challenges，scenarios，algorithms[J].Data amp; Knowledge Engineering，2011，70（5）：409-434.

[5]Weber B，Reichert M，Ma S R.Change patterns and change support features-enhancing flexibility in process-aware information systems[J].Data amp; Knowledge Engineering，2008，66（3）：438-466.

[6]Grossmann G，Mafazi S，Mayer W，et al.Change propagation and conflict resolution for the co-evolution of business processes[J].International Journal of Cooperative Information Systems，2015，24（1）：33-40.

[7]Jochen M K，Gerth C，Alexander F，et al.Detecting and resolving process model differences in the absence of a change log[C]//Proc of International Conference on Business Process Management.2008.

[8]Liang Xiannuan，Yang Xiao.Game theory for network security[J].IEEE Communications Surveys amp; Tutorials，2013，15（1）：472-486.

[9]Sokri A.Game theory and cyber defense[M]//Games in Management Science.2020：335-352.

[10]Zhang Hengwei，Jiang Lyu，Huang Shirui，et al.Attack-Defense diffe-rential game model for network defense strategy selection[J].IEEE Access，2019，7：50618-50629.

[11]Ni Zhen，Li Qianmu，Liu Gang.Game-model-based network security risk control[J].Computer，2018，51（4）：28-38.

[12]Liu Gang，Li Qianmu，Zhang Hong.Reliability vector orthogonal projection decomposition method of network security risk assessment[J].Journal of Electronics amp; Information Technology，2012，34（8）：1934-1938.

[13]Liu Gang，Li Qianmu，Zhang Hong.Defense strategy generation method for network security based on state attack-defense graph[J].Journal of Computer Applications，2013，117（8）：81-87.

[14]Zhu Quanyan.Game theory for cyber deception：a tutorial[EB/OL].（2019-03-03）.https：//arxiv.org/abs/1903.01442.

[15]Wu Hao，Wang Wei.A game theory based collaborative security detection method for internet of things systems[J].IEEE Trans on Information Forensics and Security，2018，13（6）：1432-1445.

[16]Marden J R，Shamma J S.Game theory and control[J].Annual Review of Control，Robotics，and Autonomous Systems，2018，1：105-134.

[17]Lee S，Kim S，Choi K，et al.Game theory-based security vulnerability quantification for social Internet of Things[J].Future Generation Computer Systems，2018，82：752-760.

[18]Sohrabi M K，Azgomi H.A survey on the combined use of optimization methods and game theory[J].Archives of Computational Methods in Engineering，2020，27（1）：59-80.

[19]Kamhoua C A，Kiekintveld C D，F(xiàn)ang Fei，et al.Game theory and machine learning for cyber security[M].[S.l.]：Wiley-IEEE Press，2021.

[20]Aalst W M P.Process mining-data science in action[M].2nd ed.Berlin：Springer，2016.

[21]Weidlich M，Mendling J，Weske M.Efficient consistency measurement based on behavioral profiles of process models[J].IEEE Trans on Software Engineering，2010，37：410-429.

[22]Smirnov S，Weidlich M，Mendling J，et al.Business process model abstraction based on behavioral profiles[C]//Proc of International Conference on Service-Oriented Computing.Berlin：Springer，6470.2010：1-16.

[23]OWASP announces new Top 10 for cyberthreats[J].Network Secu-rity，2021（9）：1-2.

[24]Gao Lijun，Li Yangting，Lu Zhang，et al.Research on detection and defense mechanisms of DoS attacks based on BP neural network and game theory[J].IEEE Access，2019，7：43018-43030.

[25]Kakkad V，Shah H，Patel R，et al.A comparative study of applications of game theory in cyber security and cloud computing[J].Procedia Computer Science，2019，155：680-685.

[26]劉靜，方賢文.基于成本對(duì)齊的業(yè)務(wù)流程變化挖掘方法[J].計(jì)算機(jī)科學(xué)，2020，47（7）：78-83.（Liu Jing，F(xiàn)ang Xianwen.Mining method of business process change based on cost alignment[J].Computer Science，2020，47（7）：78-83.）

[27]方歡，孫書(shū)亞，方賢文.基于不完備日志聯(lián)合發(fā)生關(guān)系的行為變化挖掘方法[J].計(jì)算機(jī)集成制造系統(tǒng)，2020，26（7）：1887-1895.（Fang Huan，Sun Shuya，F(xiàn)ang Xianwen.Behavior change mining methods based on incomplete logs conjoint occurrence relation[J].Computer Integrated Manufacturing Systems，2020，26（7）：1887-1895.）