摘要：通信網(wǎng)絡(luò)攻擊預(yù)警方法覆蓋面不足，無(wú)法預(yù)警位于通信網(wǎng)絡(luò)隱藏區(qū)內(nèi)的攻擊情況，導(dǎo)致通信網(wǎng)絡(luò)攻擊預(yù)警結(jié)果準(zhǔn)確率較低。文章提出基于定性微分博弈的通信網(wǎng)絡(luò)攻擊預(yù)警方法。首先，建立通信網(wǎng)絡(luò)安全狀態(tài)演化分析模型，獲取網(wǎng)絡(luò)運(yùn)行的實(shí)時(shí)工況以及存在攻擊威脅的路徑。其次，基于定性微分博弈原理，劃分通信網(wǎng)絡(luò)攻擊多維狀態(tài)空間，全面設(shè)計(jì)網(wǎng)絡(luò)攻擊預(yù)警算法。最后，在此基礎(chǔ)上，建立網(wǎng)絡(luò)攻擊預(yù)警指標(biāo)體系，設(shè)計(jì)預(yù)警等級(jí)。實(shí)驗(yàn)結(jié)果表明，應(yīng)用新的預(yù)警方法后，預(yù)警精度優(yōu)勢(shì)顯著，準(zhǔn)確率達(dá)到95%以上。

關(guān)鍵詞：定性微分博弈；通信網(wǎng)絡(luò)；攻擊預(yù)警

doi：10.3969/J.ISSN.1672-7274.2023.06.007

中圖分類號(hào)：TP 309" " " " " "文獻(xiàn)標(biāo)志碼：A" " " " " " "文章編碼：1672-7274（2023）06-00-03

Abstract： The coverage of the communication network attack warning methods is insufficient， and the attack in the hidden area of the communication network cannot be warned， resulting in a low accuracy of network attack warning results. This paper presents a communication network attack warning method based on qualitative differential games. Firstly， a communication network security state evolution analysis model is established to obtain the real-time operating conditions of the network and the path where attacks and threats exist. Secondly， based on the qualitative differential game theory， the multi-dimensional state space of communication network attacks is divided， and the network attack early warning algorithm is comprehensively designed. Finally， on this basis， establish a network attack early warning indicator system， and design early warning levels. The experimental results show that the accuracy of the new warning method is more than 95%.

Key words： qualitative differential game; communication network; attack alert

通信網(wǎng)絡(luò)在廣義上指的是在各個(gè)孤立的通信設(shè)備之間建立物理連接，形成信息交換鏈路，通過(guò)鏈路，實(shí)現(xiàn)網(wǎng)絡(luò)資源實(shí)時(shí)共享與高效通信的目標(biāo)[1]。通常情況下，通信網(wǎng)絡(luò)由傳輸、交換與終端設(shè)備共同組成，能夠?yàn)楦鱾€(gè)行業(yè)領(lǐng)域提供通信服務(wù)[2-3]。在通信網(wǎng)絡(luò)運(yùn)行過(guò)程中，其環(huán)境條件較為復(fù)雜[4]。由于受到網(wǎng)絡(luò)干擾因素的影響，整體網(wǎng)絡(luò)防御能力較低，無(wú)法高效地應(yīng)對(duì)各類復(fù)雜多變的網(wǎng)絡(luò)攻擊，從而無(wú)法保證通信網(wǎng)絡(luò)的安全性[5]。因此，開(kāi)發(fā)高效的通信網(wǎng)絡(luò)攻擊預(yù)警方法至關(guān)重要。

為了提高預(yù)警方法在實(shí)際應(yīng)用中的性能優(yōu)勢(shì)，本文特引入定性微分博弈原理，提出一種全新的通信網(wǎng)絡(luò)攻擊預(yù)警方法。通過(guò)定性微分博弈模型的連續(xù)決策作用，劃分通信網(wǎng)絡(luò)安全狀態(tài)空間，有針對(duì)性地預(yù)測(cè)各個(gè)狀態(tài)空間的攻擊與威脅狀態(tài)演化情況，為網(wǎng)絡(luò)攻擊預(yù)警提供精確的數(shù)據(jù)支持，提高預(yù)警結(jié)果的準(zhǔn)確性。

1" 通信網(wǎng)絡(luò)攻擊預(yù)警方法

1.1 建立通信網(wǎng)絡(luò)安全狀態(tài)演化分析模型

本文建立的通信網(wǎng)絡(luò)安全狀態(tài)演化分析模型中包含4種不同的節(jié)點(diǎn)狀態(tài)，分別為正常狀態(tài)、攻擊感染狀態(tài)、攻擊修復(fù)狀態(tài)以及攻擊失效狀態(tài)[6-7]。各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)之間通過(guò)狀態(tài)轉(zhuǎn)移，反映網(wǎng)絡(luò)安全狀態(tài)。模型中通信網(wǎng)絡(luò)節(jié)點(diǎn)狀態(tài)轉(zhuǎn)移如圖1所示。

如圖1所示，N表示通信網(wǎng)絡(luò)節(jié)點(diǎn)處于正常狀態(tài)，各個(gè)節(jié)點(diǎn)均能夠正常運(yùn)行，但部分節(jié)點(diǎn)防御措施效果不佳，在受到攻擊后，可能降低節(jié)點(diǎn)服務(wù)性能。I表示攻擊干擾狀態(tài)，此時(shí)通信網(wǎng)絡(luò)處于該狀態(tài)的節(jié)點(diǎn)已經(jīng)被攻擊者入侵，攻擊入侵程度較輕，節(jié)點(diǎn)仍然可以正常提供通信服務(wù)，但服務(wù)質(zhì)量與效率大幅度下降。R表示攻擊修復(fù)狀態(tài)，處于該狀態(tài)的通信網(wǎng)絡(luò)節(jié)點(diǎn)已經(jīng)得到有效的防御保護(hù)，具有一定的防御能力，攻擊者無(wú)法再次入侵該節(jié)點(diǎn)[8]。M表示失效狀態(tài)，處于此狀態(tài)的通信網(wǎng)絡(luò)節(jié)點(diǎn)徹底被損壞，不能提供通信服務(wù)。

1.2 基于定性微分博弈設(shè)計(jì)攻擊預(yù)警算法

依據(jù)定性微分博弈理論，對(duì)通信網(wǎng)絡(luò)攻擊多維狀態(tài)空間進(jìn)行劃分，包括網(wǎng)絡(luò)攻擊捕獲區(qū)與網(wǎng)絡(luò)攻擊隱藏區(qū)。在這兩種狀態(tài)空間中，網(wǎng)絡(luò)攻擊捕獲區(qū)的攻擊預(yù)警相對(duì)簡(jiǎn)單，隱藏區(qū)的攻擊預(yù)警難度較大。設(shè)置通信網(wǎng)絡(luò)攻防界柵，區(qū)分兩個(gè)攻擊多維狀態(tài)空間。通過(guò)攻防界柵，獲取通信網(wǎng)絡(luò)攻防雙方的最優(yōu)控制策略。在此基礎(chǔ)上，求解通信網(wǎng)絡(luò)攻擊定性微分博弈值。令向量，構(gòu)建通信網(wǎng)絡(luò)安全狀態(tài)變化率的函數(shù)表達(dá)式：

式中，表示通信網(wǎng)絡(luò)攻擊狀態(tài)軌跡；表示通信網(wǎng)絡(luò)攻擊方最優(yōu)控制策略；表示通信網(wǎng)絡(luò)防御方最優(yōu)控制策略；表示網(wǎng)絡(luò)攻擊捕獲區(qū)；表示網(wǎng)絡(luò)攻擊隱藏區(qū)。通過(guò)計(jì)算得出通信網(wǎng)絡(luò)安全狀態(tài)變化率。在此基礎(chǔ)上，初始化通信網(wǎng)絡(luò)攻擊定性微分博弈模型，構(gòu)建具有攻擊行為與防御行為的空間[9]。依據(jù)通信網(wǎng)絡(luò)功能拓?fù)浣Y(jié)構(gòu)之間存在的差異，初始化網(wǎng)絡(luò)運(yùn)行狀態(tài)與網(wǎng)絡(luò)攻防博弈目標(biāo)集，獲取安全狀態(tài)遷移函數(shù)。利用網(wǎng)絡(luò)攻擊定性微分博弈模型，計(jì)算有限離散多維網(wǎng)絡(luò)空間內(nèi)，任意狀態(tài)的網(wǎng)絡(luò)攻擊威脅程度公式為

1.3 設(shè)計(jì)通信網(wǎng)絡(luò)攻擊預(yù)警等級(jí)

在上述基于定性微分博弈的攻擊預(yù)警算法設(shè)計(jì)結(jié)束后，建立預(yù)警指標(biāo)體系，設(shè)計(jì)網(wǎng)絡(luò)攻擊預(yù)警等級(jí)，實(shí)現(xiàn)通信網(wǎng)絡(luò)攻擊預(yù)警目標(biāo)。本文建立的通信網(wǎng)絡(luò)攻擊預(yù)警指標(biāo)體系，如圖2所示。

圖2 通信網(wǎng)絡(luò)攻擊預(yù)警指標(biāo)體系結(jié)構(gòu)

如圖2所示，選取以上4種預(yù)警指標(biāo)，構(gòu)建一個(gè)封閉的通信網(wǎng)絡(luò)攻擊預(yù)警指標(biāo)體系，通過(guò)該指標(biāo)體系，明確通信網(wǎng)絡(luò)攻擊類型。在此基礎(chǔ)上，將上述基于定性微分博弈的攻擊預(yù)警算法結(jié)果與預(yù)警指標(biāo)相結(jié)合，采取專家打分的方法，對(duì)預(yù)警結(jié)果與指標(biāo)打分，根據(jù)分值設(shè)計(jì)通信網(wǎng)絡(luò)攻擊預(yù)警等級(jí)。通信網(wǎng)絡(luò)攻擊預(yù)警等級(jí)如表1所示。

如表1所示，按照通信網(wǎng)絡(luò)攻擊預(yù)警等級(jí)，采取對(duì)應(yīng)的攻擊應(yīng)對(duì)方案，保證網(wǎng)絡(luò)安全運(yùn)行，從根源上規(guī)避通信網(wǎng)絡(luò)攻擊，全過(guò)程、多維度地達(dá)到攻擊預(yù)警的目的。

2" 實(shí)驗(yàn)結(jié)果及分析

2.1 實(shí)驗(yàn)準(zhǔn)備

按照上述通信網(wǎng)絡(luò)攻擊預(yù)警方法流程，構(gòu)建與通信網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)相符的仿真實(shí)驗(yàn)系統(tǒng)。保證構(gòu)建的實(shí)驗(yàn)系統(tǒng)中包含網(wǎng)絡(luò)隔離設(shè)備、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)。設(shè)定通信網(wǎng)絡(luò)移動(dòng)目標(biāo)攻防對(duì)抗過(guò)程階段，根據(jù)不同攻擊鏈階段，設(shè)計(jì)對(duì)應(yīng)的狀態(tài)描述，如表2所示。

在設(shè)定不同攻擊鏈階段對(duì)應(yīng)的狀態(tài)描述基礎(chǔ)上，選取此次實(shí)驗(yàn)的通信網(wǎng)絡(luò)測(cè)試數(shù)據(jù)樣本。為了保證實(shí)驗(yàn)結(jié)果的真實(shí)性與客觀性，選取X實(shí)驗(yàn)室500個(gè)通信網(wǎng)絡(luò)安全數(shù)據(jù)作為此次實(shí)驗(yàn)的測(cè)試數(shù)據(jù)樣本。對(duì)測(cè)試數(shù)據(jù)樣本進(jìn)行歸一化處理，得出表3所示的通信網(wǎng)絡(luò)測(cè)試數(shù)據(jù)樣本分布。

如表3所示，在獲取歸一化處理后的通信網(wǎng)絡(luò)測(cè)試數(shù)據(jù)樣本后，按照上述預(yù)警方法，對(duì)測(cè)試數(shù)據(jù)樣本的網(wǎng)絡(luò)攻擊進(jìn)行預(yù)警檢驗(yàn)。

2.2 結(jié)果分析

將上述基于定性微分博弈的預(yù)警方法設(shè)置為實(shí)驗(yàn)組，將文獻(xiàn)[1]、文獻(xiàn)[2]提出的預(yù)警方法設(shè)置為兩個(gè)對(duì)照組，進(jìn)行對(duì)比分析。首先，設(shè)定通信網(wǎng)絡(luò)攻擊預(yù)警實(shí)驗(yàn)次數(shù)為10次，選擇300個(gè)通信網(wǎng)絡(luò)測(cè)試數(shù)據(jù)樣本作為訓(xùn)練集，剩余的200個(gè)測(cè)試數(shù)據(jù)樣本作為測(cè)試集。選取通信網(wǎng)絡(luò)攻擊預(yù)警精度作為此次實(shí)驗(yàn)的評(píng)價(jià)指標(biāo)，利用MATLAB模擬分析軟件，分別測(cè)定10次實(shí)驗(yàn)對(duì)應(yīng)的通信網(wǎng)絡(luò)攻擊預(yù)警準(zhǔn)確率，并統(tǒng)計(jì)對(duì)比，結(jié)果如圖3所示。

從圖3的對(duì)比結(jié)果可知，本文提出的基于定性微分博弈的預(yù)警系統(tǒng)，在10次預(yù)警實(shí)驗(yàn)中，均表現(xiàn)出較高的預(yù)警精度優(yōu)勢(shì)，與另外兩種方法相比，準(zhǔn)確率均達(dá)到95%以上，可減少通信網(wǎng)絡(luò)攻擊預(yù)警錯(cuò)誤情況的出現(xiàn)。

3" 結(jié)束語(yǔ)

為了克服傳統(tǒng)通信網(wǎng)絡(luò)攻擊預(yù)警方法在應(yīng)用中存在的缺陷，本文引入定性微分博弈理念，提出一種全新的攻擊預(yù)警方法。從連續(xù)動(dòng)態(tài)對(duì)抗的角度，高精度分析網(wǎng)絡(luò)攻擊與防御行為。顯著提高網(wǎng)絡(luò)通信運(yùn)行的安全，全面增強(qiáng)通信網(wǎng)絡(luò)安全防控能力，將通信網(wǎng)絡(luò)攻擊預(yù)警與博弈論的本質(zhì)特征融合，確定安全通信網(wǎng)絡(luò)狀態(tài)下所處威脅預(yù)警等級(jí)，全方位、多維度地提高預(yù)警結(jié)果的時(shí)效性與精度，具有很高的應(yīng)用價(jià)值。

參考文獻(xiàn)

[1] 蔡青，關(guān)志軍，趙若言．基于灰色模糊綜合評(píng)價(jià)法的網(wǎng)絡(luò)防御作戰(zhàn)效能評(píng)估[J]．中國(guó)電子科學(xué)研究院學(xué)報(bào)，2022（10）： 991-996.

[2] 邵宇航，朱小朋，王子良，等．面向APT攻擊的航天信息網(wǎng)絡(luò)安全預(yù)警模型研究[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（11）：14-16.

[3] 劉小虎，張恒巍，馬軍強(qiáng)，等．基于攻防博弈的網(wǎng)絡(luò)防御決策方法研究綜述[J]．網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2022（1）： 1-14.

[4] 邵宇航，朱小朋，王子良，等．面向APT攻擊的航天信息網(wǎng)絡(luò)安全預(yù)警模型研究[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（10）：156-158.

[5] 黃劍祎，孫瑞瑞，李蔣儼．廣播電視行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知預(yù)警平臺(tái)的設(shè)計(jì)與思考[J]．廣播與電視技術(shù)，2021（4）：116-123.

[6] 楊芷柔，張虎，劉靜，等．節(jié)點(diǎn)攻擊策略下的軍事通信網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化算法[J]．系統(tǒng)工程與電子技術(shù)，2021（7）：1848-1855.

[7] 童瀛，周宇，姚煥章，等．深度神經(jīng)網(wǎng)絡(luò)的網(wǎng)絡(luò)高敏感信息預(yù)警算法[J]．西安工程大學(xué)學(xué)報(bào)，2021（01）：69-74，87.

[8] 孫巖，姬偉峰，翁江，等．基于微分博弈的移動(dòng)目標(biāo)防御最優(yōu)策略[J]．計(jì)算機(jī)研究與發(fā)展，2021（8）：1789-1800.

[9] 王宇飛，李俊娥，劉艷麗，等．容忍階段性故障的協(xié)同網(wǎng)絡(luò)攻擊引發(fā)電網(wǎng)級(jí)聯(lián)故障預(yù)警方法[J]．電力系統(tǒng)自動(dòng)化，2021（3）：24-32.

[10] 王宇飛，邱健，李俊娥．考慮攻擊損益的電網(wǎng)CPS場(chǎng)站級(jí)跨空間連鎖故障早期預(yù)警方法[J]．中國(guó)電力，2020（1）：92-99.