孫鵬宇，張恒巍，譚晶磊，李晨蔚，馬軍強(qiáng)，王晉東

（1.中國人民解放軍戰(zhàn)略支援部隊(duì)信息工程大學(xué) 三院，鄭州 450001；2.中國人民解放軍91451 部隊(duì)，河北 邯鄲 056000）

0 概述

近年來，隨著信息技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)攻擊事件頻繁發(fā)生［1］，大到國際戰(zhàn)略、國家安全，小到公司利益、個人隱私，普遍受到來自黑客攻擊、蠕蟲病毒、木馬程序等網(wǎng)絡(luò)安全威脅。此外，隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全威脅和攻擊的手段越來越靈活［2-3］，現(xiàn)有的漏洞檢測、防火墻、病毒防護(hù)等靜態(tài)防御技術(shù)已難以應(yīng)對隱蔽性強(qiáng)、變化快的網(wǎng)絡(luò)攻擊。因此，提高網(wǎng)絡(luò)安全威脅防控能力，增強(qiáng)網(wǎng)絡(luò)防御效能已成為亟待解決的問題。

網(wǎng)絡(luò)安全的本質(zhì)在于對抗，對抗的本質(zhì)在于攻防兩端能力的較量［4］。在網(wǎng)絡(luò)攻防對抗中，雙方行動彼此制衡、相互影響，對抗結(jié)果由雙方策略共同決定，針對特定的攻擊手段，不同的防御策略會產(chǎn)生不同的安全收益［5］。由于網(wǎng)絡(luò)攻防對抗中的基本特征與博弈理論相似，攻防雙方的對抗過程可以抽象為雙人博弈的過程，因此應(yīng)用博弈模型分析網(wǎng)絡(luò)攻防行為成為網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)研究方向［6-7］，已有諸多學(xué)者取得了較好的研究成果。

基于博弈模型分析網(wǎng)絡(luò)攻防行為主要取決于決策行動的具體內(nèi)容（即行為策略）及決策行動的時間（即時間策略）?；谛袨椴呗缘墓シ啦┺哪Ｐ统晒^多，行為策略的研究經(jīng)歷了由靜態(tài)到動態(tài)、由完全信息到不完全信息、由完全理性到不完全理性的發(fā)展過程。近年來，研究人員陸續(xù)提出適用于不同網(wǎng)絡(luò)場景的防御決策模型，主要包括攻防信號博弈模型［8-10］、攻防微分博弈模型［11-12］、攻防隨機(jī)博弈模型［13-15］以及攻防演化博弈模型［16-17］，但在現(xiàn)有成果中，對時間策略展開深入研究的網(wǎng)絡(luò)攻防博弈模型則相對較少，而時間策略的選取對網(wǎng)絡(luò)防御決策意義重大，因?yàn)榧词惯x取的行為策略正確，但如果行動時機(jī)錯誤，依然會影響防御效能，給網(wǎng)絡(luò)系統(tǒng)造成巨大的損失。

基于時間博弈［18-19］的網(wǎng)絡(luò)防御決策方法適用于描述對公共資源控制權(quán)交替變換的情況，優(yōu)點(diǎn)是模型的拓展性較強(qiáng)，可以和現(xiàn)有的行為策略模型相結(jié)合，更好地貼合網(wǎng)絡(luò)攻防實(shí)際場景，有效提高網(wǎng)絡(luò)攻防策略的準(zhǔn)確性和時效性，協(xié)助網(wǎng)絡(luò)管理者作出最優(yōu)決策。文獻(xiàn)［18］提出FlipIt 博弈，這是一種經(jīng)典的時間博弈方法，能夠有效應(yīng)對具有隱蔽性、針對性的攻擊行為，以時間維度選取策略進(jìn)行建模，動態(tài)刻畫攻防雙方對安全目標(biāo)控制權(quán)的爭奪過程，為研究安全策略最優(yōu)時機(jī)問題提供了理論工具［20］。此后，相關(guān)技術(shù)成果及擴(kuò)展研究相繼出現(xiàn)［21-23］。

本文以FlipIt博弈為基礎(chǔ)，參考SIR 傳染病模型［24］對網(wǎng)絡(luò)安全狀態(tài)進(jìn)行演化分析，將網(wǎng)絡(luò)資源節(jié)點(diǎn)抽象為SIR 模型中的個體，并把網(wǎng)絡(luò)節(jié)點(diǎn)安全狀態(tài)擴(kuò)展為正常狀態(tài)N（Normal）、感染狀態(tài)I（Infected）、修復(fù)狀態(tài)R（Restored）、受損狀態(tài)M（Malfunctioned）NIRM4 種狀態(tài)，在此基礎(chǔ)上建立微分方程，用于描述網(wǎng)絡(luò)安全狀態(tài)演化過程。此外，借鑒FlipIt 博弈方法，構(gòu)建攻防時機(jī)博弈模型研究網(wǎng)絡(luò)對抗過程，并綜合分析時機(jī)選取策略對攻防收益變化的影響，提出攻防決策收益函數(shù)，并以納什均衡策略為依據(jù)設(shè)計(jì)最優(yōu)防御策略選取算法。

1 網(wǎng)絡(luò)攻防時機(jī)博弈模型分析

為應(yīng)對網(wǎng)絡(luò)攻擊行為快速、隱蔽的特點(diǎn)，在攻防對抗中贏得主動，本文構(gòu)建一種基于FlipIt 模型的防御時機(jī)決策模型，分析攻防雙方?jīng)Q策與行動時機(jī)的關(guān)系。FlipIt 博弈的特點(diǎn)在于行動的隱蔽性，即雙方可以隨時發(fā)起行動控制資源且不被對方發(fā)現(xiàn)，并且只有在對方行動之后，才能知道系統(tǒng)資源的當(dāng)前狀態(tài)（攻擊或防御），攻防雙方?jīng)Q策則根據(jù)博弈過程中反饋的信息確定。因此，本文從不完全信息角度構(gòu)建基于時機(jī)博弈的攻防策略選取模型。

1.1 基于SIR 模型的攻防過程演化分析

SIR 模型是傳播動力學(xué)中描述信息傳遞或行為傳播的經(jīng)典模型，主要應(yīng)用于分析傳染病在人群中的流行規(guī)律及其內(nèi)在的動力學(xué)過程。模型將人群分為易感者、感染者和恢復(fù)者3 類，并設(shè)置總?cè)丝诤愣?，其感染機(jī)制可以描述如下：流行病毒是傳染的源頭，通過一定的速率感染易感者，此時易感者變成感染者，成為新的傳染源頭；感染者可以通過治療變成恢復(fù)者，同時獲得免疫能力，使自身既不會感染病毒也不會傳播病毒。

通過對SIR 模型進(jìn)行定量分析和數(shù)據(jù)模擬，能夠預(yù)測傳染病傳播趨勢并制定有效的防御措施。SIR 模型具體表述如下：在初始階段所有的節(jié)點(diǎn)均為易感節(jié)點(diǎn)，當(dāng)接收到外界傳遞的信息后，相應(yīng)的節(jié)點(diǎn)受到傳染變成感染節(jié)點(diǎn)，緊接著感染節(jié)點(diǎn)繼續(xù)傳遞信息給其他易感節(jié)點(diǎn)，同時有部分感染節(jié)點(diǎn)轉(zhuǎn)為免疫節(jié)點(diǎn)，信息傳遞行為在免疫節(jié)點(diǎn)處終止。

在網(wǎng)絡(luò)攻防對抗中，攻擊方利用網(wǎng)絡(luò)系統(tǒng)內(nèi)部潛在的漏洞，對部分節(jié)點(diǎn)發(fā)起攻擊，并滲透到網(wǎng)絡(luò)系統(tǒng)中的其他節(jié)點(diǎn)，企圖破壞整個網(wǎng)絡(luò)系統(tǒng)。攻防行為的交互對抗，導(dǎo)致網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)發(fā)生遷移，相應(yīng)狀態(tài)網(wǎng)絡(luò)節(jié)點(diǎn)的數(shù)量也隨之動態(tài)變化，整個攻防過程與傳染病的傳播過程類似。本文借鑒SIR 傳染病模型模擬網(wǎng)絡(luò)攻防過程，將網(wǎng)絡(luò)資源節(jié)點(diǎn)抽象為SIR 模型中的個體并擴(kuò)展為NIRM 4 種狀態(tài)，動態(tài)刻畫網(wǎng)絡(luò)節(jié)點(diǎn)的安全狀態(tài)演化過程。本文用xN(t)、xI(t)、xR(t)、xM(t)分別表示在t時刻下正常節(jié)點(diǎn)N、感染節(jié)點(diǎn)I、免疫節(jié)點(diǎn)R和受損節(jié)點(diǎn)M的數(shù)量。

假設(shè)網(wǎng)絡(luò)中節(jié)點(diǎn)總數(shù)量Q保持不變，則?t∈[t0，T]，有xN(t)+xI(t)+xR(t)+xM(t)=Q。4 種網(wǎng)絡(luò)節(jié)點(diǎn)的狀態(tài)轉(zhuǎn)移路徑具體如下所示：

1）N→I：網(wǎng)絡(luò)節(jié)點(diǎn)處于正常工作狀態(tài)，由于遭受到網(wǎng)絡(luò)病毒入侵，被病毒成功入侵的網(wǎng)絡(luò)節(jié)點(diǎn)將轉(zhuǎn)變?yōu)楦腥竟?jié)點(diǎn)I。

2）N→R：網(wǎng)絡(luò)節(jié)點(diǎn)處于正常工作狀態(tài)，當(dāng)網(wǎng)絡(luò)病毒開始入侵時，就立即被防御系統(tǒng)成功捕捉病毒信息并對其進(jìn)行查殺，此時網(wǎng)絡(luò)節(jié)點(diǎn)轉(zhuǎn)變?yōu)閷W(wǎng)絡(luò)病毒免疫的節(jié)點(diǎn)R。

3）I→R：網(wǎng)絡(luò)節(jié)點(diǎn)成功被病毒入侵并感染，防御系統(tǒng)采取定期系統(tǒng)檢測或病毒篩查手段，有效識別并清除已感染的節(jié)點(diǎn)，成功修復(fù)安全漏洞，此時網(wǎng)絡(luò)節(jié)點(diǎn)轉(zhuǎn)變?yōu)閷W(wǎng)絡(luò)病毒免疫的節(jié)點(diǎn)R。

4）I→M：網(wǎng)絡(luò)節(jié)點(diǎn)成功被病毒入侵并感染，防御系統(tǒng)利用病毒檢測、系統(tǒng)升級等方法進(jìn)行修復(fù)后，仍未能有效清除已感染的節(jié)點(diǎn)，導(dǎo)致節(jié)點(diǎn)受損嚴(yán)重，終止服務(wù)，并且無法繼續(xù)感染其他節(jié)點(diǎn)，此時網(wǎng)絡(luò)節(jié)點(diǎn)轉(zhuǎn)變?yōu)榻K止服務(wù)的受損節(jié)點(diǎn)M。

4 種網(wǎng)絡(luò)節(jié)點(diǎn)的狀態(tài)轉(zhuǎn)換示意圖如圖1 所示。

圖1 網(wǎng)絡(luò)節(jié)點(diǎn)狀態(tài)轉(zhuǎn)換示意圖Fig.1 Schematic diagram of network node state transition

根據(jù)上述網(wǎng)絡(luò)節(jié)點(diǎn)狀態(tài)的轉(zhuǎn)移情況，本文重點(diǎn)圍繞正常節(jié)點(diǎn)N和感染節(jié)點(diǎn)I進(jìn)行分析，網(wǎng)絡(luò)安全狀態(tài)變化的微分方程可以表示為：

假設(shè)網(wǎng)絡(luò)病毒的傳播只能感染滲透相鄰的網(wǎng)絡(luò)節(jié)點(diǎn)，不能感染其他網(wǎng)絡(luò)節(jié)點(diǎn)。網(wǎng)絡(luò)節(jié)點(diǎn)以密度σ進(jìn)行分布，va為感染速率，大小與網(wǎng)絡(luò)中感染節(jié)點(diǎn)所占比例有關(guān)，vd為修復(fù)速率，大小與網(wǎng)絡(luò)中正常節(jié)點(diǎn)和免疫節(jié)點(diǎn)所占的比例有關(guān)。

本節(jié)在改進(jìn)SIR 模型的基礎(chǔ)上，構(gòu)造描述網(wǎng)絡(luò)安全狀態(tài)變化的微分方程，實(shí)現(xiàn)對安全狀態(tài)的實(shí)時度量，為后面時機(jī)博弈模型的構(gòu)建與攻防收益的量化計(jì)算提供分析基礎(chǔ)和度量方法的支撐。

1.2 基于時機(jī)博弈的最優(yōu)防御策略模型

本文在1.1 節(jié)的基礎(chǔ)上構(gòu)建攻防時機(jī)博弈模型，該模型為非自適應(yīng)連續(xù)博弈模型，其中攻防雙方均采用具有隨機(jī)階段的周期性策略，攻防雙方的行動由博弈期間接收到的反饋確定。

定義1攻防時機(jī)博弈模型（Attack-Defense Time Game，ADTG）可以表示為一個6 元組AADTG=(N，T，x(t)，B，P，U)，并滿足如下條件：

1）N=(NA，ND)是攻防博弈的參與人集合，NA代表攻擊方，ND代表防御方。

2）T=TA+TD∈[0，+∞)是攻防博弈的總時間，表示攻擊方與防御方控制系統(tǒng)資源的總時間，其中TA為攻擊方控制系統(tǒng)資源的總時間，TD為防御方控制系統(tǒng)資源的總時間。

3）x(t)={(xN(t)，xI(t)，xR(t)，xM(t))}是網(wǎng)絡(luò)系統(tǒng)的狀態(tài)變量。xN(t)、xI(t)、xR(t)、xM(t)分別表示t時刻網(wǎng)絡(luò)系統(tǒng)中4 種狀態(tài)的節(jié)點(diǎn)數(shù)量，Q代表節(jié)點(diǎn)總數(shù)量，Q=xN(t)+xI(t)+xR(t)+xM(t)。

4）B=(AS，DS)是攻防雙方的行動空間，其中，AS=(β1，β2，…，βj)，DS=(δ1，δ2，…，δk)分別表示攻擊方和防御方的行動集合，雙方的行動次數(shù)均不小于1，即j，k≥1。在任意t時刻，攻防雙方都有可能采取行動控制資源。

5）P=(PA，PD)是攻防雙方的周期策略空間，其中，PA表示攻擊方時間策略，代表連續(xù)2 次攻擊行動的時間間隔，PA={PA(t)|PA(t)=((t))，1 ≤j≤m}為 攻擊方的時間策略集合。同理，PD表示防御方時間策略，PD={PD(t)|PD(t)=((t))，1 ≤k≤n}表示防御方的時間策略集合。

6）U=(UA，UD)是攻防雙方的收益函數(shù)集合，其中，UA和UD分別表示攻擊方和防御方的收益函數(shù)。

1.3 收益量化與計(jì)算方法

收益量化是求解博弈均衡并進(jìn)行定量計(jì)算的基礎(chǔ)，其作為攻防時機(jī)博弈模型ADTG 的輸入，直接影響攻防時機(jī)的選取結(jié)果，進(jìn)而影響最優(yōu)攻防策略的輸出。這里將收益量化分為兩部分，包括網(wǎng)絡(luò)攻防對抗導(dǎo)致網(wǎng)絡(luò)節(jié)點(diǎn)狀態(tài)變化產(chǎn)生的收益及攻防雙方實(shí)施行為策略消耗的成本。為有效計(jì)算攻防收益，本文將攻防雙方控制目標(biāo)資源的總時長作為收益的唯一指標(biāo)，相關(guān)參數(shù)的定義、符號名稱及具體含義如表1 所示。

表1 相關(guān)符號的定義Table 1 Definition of relevant symbols

為簡化計(jì)算，將攻防行為的回報(bào)率和收益率進(jìn)行歸一化處理，即r=rAR+rDR=1，ω=ωAU+ωDU，其中，攻擊方收益率防御方收益率

根據(jù)博弈論［25］可知，在給定的攻防時機(jī)博弈模型AADTG=(N，T，x(t)，B，P，U)中，由于攻防雙方的策略相互依存，存在最優(yōu)的攻防策略組合使攻防雙方達(dá)到博弈平衡，滿足：

根據(jù)定義1 的周期性博弈可知，攻防雙方的行動是隱蔽的，無法準(zhǔn)確掌握對手行動時間的完整信息，雙方采取的博弈策略為非適應(yīng)性策略，策略的時機(jī)選取是隨機(jī)的。因此，本文借鑒FlipIt 博弈方法，將相位隨機(jī)化引入到周期性策略中，即攻防雙方均采用具有隨機(jī)特征的周期性策略，雙方的行動時間在區(qū)間[0，P]中隨機(jī)選擇，雙方的周期性策略僅根據(jù)行動頻率的大小確定。在此將收益計(jì)算分為以下2 種情況：

根據(jù)文獻(xiàn)［18］理論推導(dǎo)的結(jié)果可知，在給定的攻防時機(jī)博弈模型AADTG=(N，T，x(t)，B，P，U)中，雙方都采用隨機(jī)階段的周期性策略，達(dá)到如下納什均衡：

2 最優(yōu)防御策略選取算法

依據(jù)博弈基本理論，納什均衡是博弈過程能夠達(dá)到的最優(yōu)穩(wěn)定解［26］。因此，根據(jù)式（7）求解得到的納什均衡策略可認(rèn)定為攻防雙方的最優(yōu)策略，任何一方背離均衡策略，都會導(dǎo)致其博弈收益降低。依據(jù)納什均衡策略，本文設(shè)計(jì)的攻防時機(jī)博弈的最優(yōu)防御策略選取算法如下。

算法1攻防時機(jī)博弈的最優(yōu)防御策略選取算法

3 實(shí)驗(yàn)結(jié)果與分析

3.1 實(shí)驗(yàn)環(huán)境

通過仿真實(shí)驗(yàn)驗(yàn)證本文ADTG 模型的可行性和有效性。本節(jié)搭建了如圖2 所示的實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洵h(huán)境。

圖2 仿真系統(tǒng)拓?fù)鋱DFig.2 Topology diagram of simulation system

本文實(shí)驗(yàn)環(huán)境分為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)2 個部分，攻擊主機(jī)位于外部網(wǎng)絡(luò)，能夠通過外網(wǎng)入侵內(nèi)網(wǎng)中的任意節(jié)點(diǎn)，目標(biāo)信息系統(tǒng)為交換網(wǎng)絡(luò)和用戶主機(jī)。內(nèi)部網(wǎng)絡(luò)包括4 臺服務(wù)器，分別為FTP 服務(wù)器、Web 服務(wù)器、File 服務(wù)器和數(shù)據(jù)庫服務(wù)器。根據(jù)防火墻的規(guī)則，攻擊方只能訪問DMZ 區(qū)的服務(wù)器，DMZ區(qū)的服務(wù)器可以訪問數(shù)據(jù)庫服務(wù)器，但是無法訪問局域網(wǎng)內(nèi)用戶主機(jī)。本文假設(shè)攻擊方試圖竊取數(shù)據(jù)庫中儲存的內(nèi)部涉密敏感信息。根據(jù)國家信息安全漏洞庫數(shù)據(jù)信息獲得服務(wù)器和主機(jī)存在的漏洞信息，如表2 所示。

表2 服務(wù)器漏洞信息Table 2 Vulnerability information of server

參考林肯實(shí)驗(yàn)室攻防行為數(shù)據(jù)庫［27］，設(shè)計(jì)本文攻擊和防御行為信息，如表3 和表4 所示。

表3 攻擊行為信息Table 3 Attack behavior information

表4 防御行為信息Table 4 Defense behavior information

3.2 防御收益的定量分析

本文通過設(shè)定不同參數(shù)，仿真網(wǎng)絡(luò)節(jié)點(diǎn)不同的初始狀態(tài)，并分析節(jié)點(diǎn)狀態(tài)的演化過程，進(jìn)而對防御收益進(jìn)行定量分析。由于博弈模型為不完全信息博弈，攻防雙方在行動之前都沒有任何關(guān)于對手行為的信息，攻防收益僅與雙方選取的策略有關(guān)。根據(jù)式（3）～式（6），將雙方收益轉(zhuǎn)化為行動頻率，考慮到攻防雙方的行動頻率由行動成本決定，本文從行動周期和行動成本入手，進(jìn)行仿真實(shí)驗(yàn)。設(shè)常量參數(shù)PA、PD、CA、CD，其中：PA、PD分別為攻防雙方的周期性策略，用于計(jì)算攻防博弈中的攻防回報(bào)；CA、CD分別為攻防策略的成本，用于計(jì)算執(zhí)行策略付出的代價(jià)，詳細(xì)分析見1.3 節(jié)。

本文依托Matlab 軟件為實(shí)驗(yàn)平臺，驗(yàn)證所提出的最優(yōu)防御策略選取算法。下面重點(diǎn)從求解最優(yōu)防御收益入手，分析防御收益UD與攻防周期PA、PD以及防御成本CD之間的關(guān)系。為簡化計(jì)算，將攻擊成本CA設(shè)定為1，采用有限離散博弈時間，攻防雙方的周期策略以0.5 s 為最小行動時間單位進(jìn)行實(shí)驗(yàn)。

圖3 所示為面對不同攻擊周期時，防御收益UD與防御周期PD的關(guān)系。

圖3 防御收益與攻防周期的關(guān)系Fig.3 Relationship between defense benefit and attack defense cycle

假設(shè)防御成本CD=1，由圖3 可知，當(dāng)PA=PD時，防御收益UD隨著攻防周期區(qū)間的增大而增加；當(dāng)PA＜PD時，防御收益UD隨著攻擊周期區(qū)間PA的增大呈現(xiàn)上升趨勢，隨著防御周期區(qū)間PD的增大，防御收益UD繼續(xù)保持上升；當(dāng)PA＞PD時，防御收益UD隨著攻擊周期區(qū)間PA的增大同樣呈現(xiàn)上升趨勢，隨著防御周期區(qū)間PD的增大，防御收益UD變化情況為先上升后下降。觀察實(shí)驗(yàn)數(shù)據(jù)可得，當(dāng)攻擊周期PA=3時，防御方的最佳防御周期=2.5，防御收益=0.183；當(dāng)攻擊周期PA=5 時，防御方的最佳防御周期=3，此時防御收益=0.367。綜合實(shí)驗(yàn)結(jié)果不難發(fā)現(xiàn)，此時的防御收益既是局部最優(yōu)解，又是全局最優(yōu)解，說明面對不同攻擊周期PA時，存在與之對應(yīng)的最優(yōu)防御周期使得防御收益最大。以上實(shí)驗(yàn)驗(yàn)證了模型的合理性。

圖4 所示是在防御周期PD一定的情況下，防御收益UD與攻擊周期PA和防御成本CD的關(guān)系。

圖4 防御收益與攻擊周期和防御成本的關(guān)系Fig.4 Relationship between defense benefit，attack cycle and defense cost

假設(shè)防御周期PD=5，由圖4 可知，防御收益UD隨著行動成本CD的增加而減小，說明行動成本是制約防御收益UD的1 個關(guān)鍵因素。隨著攻擊周期區(qū)間PA的增大，防御收益UD總體呈現(xiàn)上升趨勢，當(dāng)PA≤5 時，防御收益UD與攻擊周期PA成正比；當(dāng)PA＞5 時，防御收益UD雖持續(xù)保持增長態(tài)勢，但增長速度逐漸變緩，這是由于當(dāng)攻防周期PA=PD時，防御收益UD會發(fā)生跳變，具體分析見式（4）和式（6），這側(cè)面說明動態(tài)調(diào)整防御策略PD對抵御不同類型的攻擊周期PA起到了關(guān)鍵作用。

圖5 所示是攻擊周期PA在一定條件下，防御收益UD與防御周期PD和防御成本CD的關(guān)系。

圖5 防御收益與防御周期和防御成本的關(guān)系Fig.5 Relationship between defense benefit，defense cycle and defense cost

假設(shè)攻擊周期PA=5，由圖5 可知，防御收益UD與防御成本CD呈反比關(guān)系，隨著防御周期區(qū)間PD的增大，防御收益UD呈現(xiàn)先上升后下降趨勢，這再次驗(yàn)證了當(dāng)攻擊周期PA一定，且付出的防御成本CD相同時，存在最優(yōu)防御策略使防御收益最大化。

由上述仿真結(jié)果數(shù)據(jù)的分析可以發(fā)現(xiàn)，防御周期和攻防成本是決定防御收益的主要因素。

3.3 對比實(shí)驗(yàn)與分析

現(xiàn)有的網(wǎng)絡(luò)安全防御決策研究主要針對攻防行為策略進(jìn)行分析建模，忽視了行動時機(jī)對系統(tǒng)安全的重要影響，且系統(tǒng)設(shè)定的防御時機(jī)策略一般為固定的周期策略，如軟件的定期殺毒、密碼重置、密鑰定期更新等，但靜態(tài)被動的時間防御策略不能及時有效地抵御網(wǎng)絡(luò)攻擊行為。為此，將本文方法與已有的固定先驗(yàn)周期的防御方法進(jìn)行對比，分析當(dāng)攻擊方的行動周期PA固定時，不同的防御策略PD對防御收益UD的影響。由前述實(shí)驗(yàn)可知，成本是制約防御收益UD的主要因素，為方便驗(yàn)證實(shí)驗(yàn)結(jié)論，排除其他無關(guān)干擾因素，本文假設(shè)每次攻防的行動成本均為1 s（即行動成本為控制網(wǎng)絡(luò)目標(biāo)節(jié)點(diǎn)1 s 的所有權(quán)），實(shí)驗(yàn)收益設(shè)定為雙方控制資源的總時間（s）減去行動的總次數(shù)（次數(shù)即秒數(shù)）。本文以攻擊方固定周期策略PA=3 和PA=5 為例進(jìn)行對比實(shí)驗(yàn)，探究當(dāng)攻擊周期PA固定時，改變不同的防御周期策略PD對防御收益UD的影響，實(shí)驗(yàn)結(jié)果如圖6和圖7 所示。

圖6 攻擊周期與防御收益隨時間的變化關(guān)系（PA=3）Fig.6 Relationship between attack cycle and defense benefit over time（PA=3）

圖7 攻擊周期與防御收益隨時間的變化關(guān)系（PA=5）Fig.7 Relationship between attack cycle and defense benefit over time（PA=5）

圖6 和圖7 分別表示當(dāng)攻擊周期固定為PA=3 和PA=5 時，通過調(diào)整不同的防御策略PD，防御收益UD隨時間t的變化情況。由圖可知，當(dāng)攻防雙方均采取周期策略時，產(chǎn)生的收益情況也呈現(xiàn)周期性變化。設(shè)定攻擊方采取固定周期策略PA=3，當(dāng)防御方采取防御策略PD=1 時，防御收益UD為負(fù)；當(dāng)防御策略PD=2，2.5，3，4 時，防御收益UD均為正，特別的，當(dāng)防御策略PD=2.5 時，防御收益UD達(dá)到最大。設(shè)定攻擊方采取固定周期策略PA=5，當(dāng)防御方采取防御策略PD=1 時，防御收益UD仍為負(fù)；當(dāng)防御策略PD=2.5，3，4.5，6 時，防御收益UD持續(xù)增加，且當(dāng)防御策略PD=3 時，防御收益UD最大。

由此說明，當(dāng)攻擊策略PA一定時，選取不同的防御策略PD會產(chǎn)生不同的防御收益UD。如果防御策略PD很小（即行動周期短），可能會因行動次數(shù)的增加導(dǎo)致防御收益UD為負(fù)；隨著防御策略PD逐漸增大，防御收益UD先增加后減小，而且隨著時間t的增加，不同防御策略PD產(chǎn)生的防御收益UD之間的差距也愈加明顯，即存在最優(yōu)的防御策略和最佳防御收益。對比實(shí)驗(yàn)結(jié)果與仿真實(shí)驗(yàn)所得結(jié)果一致。以圖6 為例，當(dāng)攻擊策略一定時，采用固定防御策略的平均收益為0.21，動態(tài)調(diào)整防御策略的平均收益為0.26，防御收益提高了23.81%。實(shí)驗(yàn)數(shù)據(jù)表明相較于先驗(yàn)的固定周期防御策略，實(shí)時動態(tài)調(diào)整防御策略才是更有效的安全防御手段，驗(yàn)證了本文模型和算法有效且可行。

4 結(jié)束語

本文從網(wǎng)絡(luò)攻防時機(jī)角度模擬攻防雙方控制目標(biāo)資源的狀態(tài)，并基于FlipIt 時間博弈理論，結(jié)合SIR模型傳播規(guī)律，對實(shí)時變化的網(wǎng)絡(luò)系統(tǒng)狀態(tài)進(jìn)行分析研究，最終構(gòu)建攻防時機(jī)博弈模型。提出博弈雙方收益計(jì)算方法、均衡求解方法和最優(yōu)防御策略選取算法，從理論分析和數(shù)值仿真實(shí)驗(yàn)兩方面驗(yàn)證本文模型和算法的有效性和科學(xué)性。在此基礎(chǔ)上，與現(xiàn)有固定周期的防御方法進(jìn)行對比，進(jìn)一步說明動態(tài)調(diào)整時間策略的必要性。實(shí)驗(yàn)結(jié)果表明，當(dāng)攻擊策略一定時，使用本文方法動態(tài)選擇最優(yōu)防御策略的平均收益為0.26，相比傳統(tǒng)固定防御方法，平均防御收益提高了23.81%。下一步將通過應(yīng)用復(fù)雜網(wǎng)絡(luò)理論，分析傳播動力學(xué)模型在真實(shí)網(wǎng)絡(luò)環(huán)境中的傳播規(guī)律，從而設(shè)計(jì)應(yīng)用于現(xiàn)實(shí)環(huán)境中大規(guī)模復(fù)雜網(wǎng)絡(luò)的實(shí)時防御決策方法。