CN101420442B - 基于博弈理论的网络安全风险评估系统 - Google Patents

Abstract

本发明公开了一种基于博弈理论的网络安全风险评估系统，该系统首先从被评估网络中采集网络属性数据，包括节点的地址、服务、应用程序、开放端口、软件漏洞等信息，并使用一阶谓词逻辑描述，使用XSB推理引擎基于上述描述遵循谓词逻辑进行推理，得到被评估网络系统可能被攻击者所利用的漏洞及其对应的攻击威胁。针对每一个攻击威胁，本发明建立一个攻防博弈模型GTADM，求解其博弈均衡点，此时得到的攻击概率乘上该攻击对攻击目标的预期损害值即为该攻击对系统的风险。从而得到被评估系统中哪些节点的风险较高，哪些节点的风险较低，实现对该网络的安全性评估。

Description

基于博弈理论的网络安全风险评估系统

技术领域

本发明涉及一种网络安全风险评估系统，更特别地说，是指一种基于博弈理论的网络安全风险评估系统。

背景技术

计算机网络空间下的风险评估是信息安全风险评估的重要组成部分，由于网络的普遍应用，近几年来，该领域一直是网络安全研究的主要热点之一。马尔可夫链、不确定性推理等一系列的方法和框架被提出，但是该领域目前还不存在一个被广泛接受的通用方法。其中一个很重要的问题是如何量化威胁发生的可能性。一方面，人们只能从一些间接信息、有根据的猜测、直觉或其他主观因素，来确定威胁发生的可能性，由此引入不恰当的主观性；另一方面，攻击威胁的发生也体现了攻击者的判断和意志，不可能完全通过客观分析得到。

博弈理论是关于策略相互作用的理论，通过计算博弈参与方的收益研究多人决策的问题，各参与方需根据对方认为最有利的策略做出对自己最有利的反应。博弈理论在经济学和其他学科中已被广泛使用并获得了丰硕的成果。在计算机网络中攻防双方的行为交互是一个博弈的过程，利用博弈理论能够预测攻击者的行为并为防御方的决策提供支持。

发明内容

本发明的目的是提出一种基于博弈理论的网络安全风险评估系统，该系统首先从被评估网络中采集网络属性数据，包括节点的地址、服务、应用程序、开放端口、软件漏洞等信息，并使用一阶谓词逻辑描述，使用XSB推理引擎基于上述描述遵循谓词逻辑进行推理，得到被评估网络系统可能被攻击者所利用的漏洞及其对应的攻击威胁。针对每一个攻击威胁，本发明建立一个攻防博弈模型GTADM，求解其博弈均衡点，此时得到的攻击概率乘上该攻击对攻击目标的预期损害值即为该攻击对系统的风险。从而得到被评估系统中哪些节点的风险较高，哪些节点的风险较低，实现对该网络的安全性评估。

本发明的基于博弈理论的网络安全风险评估系统，相较于其它方法，本文提出的方法优势在于：在计算机网络中攻防双方的行为交互是一个博弈的过程，攻击方决策时会在攻击成功的收益和攻击被检测的后果中权衡，同时防御方的安全策略又依赖于对攻击者意图的了解。博弈论的引入为量化这种交互性的决策提供了理论依据和方法。GTADM计算得出的攻击概率既反映了攻击方的决策，同时这种决策也依赖于防御方的决策。分析决策间的依赖关系正是博弈理论的优势所在，因此，相对于其它未考虑决策依赖关系的计算方法而言，本文所提出的思路更具有理论上的优势。因此本文为网络攻防这种博弈行为通过建立博弈模型求解均衡情况下攻击发生的概念对风险评估是有意义的。

附图说明

图1是本发明基于博弈理论的网络安全风险评估系统的结构简示图。

具体实施方式

下面将结合附图对本发明做进一步的详细说明。

参见图1所示，本发明是一种基于博弈理论的网络安全风险评估系统，该系统包括有采集单元1、谓词逻辑推理单元2、博弈解析单元3、风险拾取单元4；

采集单元1将采集得到的网络信息采用一阶渭词逻辑描述的方法表述网络系统安全状态P_ro；

网络系统安全状态P_ro包含节点配置信息Node，节点连接信息C_on，权限设置信息P_ri和IDS检测规则信息Detect，网络系统安全状态的数学表达形式为P_ro(Node，Con，P_ri，Detect)。

其中节点配置信息Node包含信息为操作系统OS、漏洞V、服务S、文件F、应用程序A、主机名Name、主机地址IP、资产信息Asset，节点配置信息的数学表达形式为Node(OS，V，S，F，A，Name，IP，Asset)。

在本发明中，所述一阶谓词逻辑描述方法中的描述关系为<Name，OS>，<Name，IP>，<Name，S>，<Name，V>，<Name，F>，<Name，A>，<Name，Asset>。

<Name，OS>：表示名字为hostname的主机操作系统类型为type，版本为version。

<Name，IP>：表示hostname主机的IP地址为ipaddress，掩码为mask。

<Name，S>：表示服务serviceName以priv权限运行在主机hostname上，使用的协议为protocol，使用的端口为port。

<Name，V>：表示hostname主机存在漏洞vulid，该漏洞依附于程序program。

<Name，F>：表示hostname主机上存放了文件file。

<Name，A>：表示hostname主机上具有的应用程序appname。

<Name，Asset>：表示对hostname主机上资产的分类，其为完整性Int、机密性Con、可用性Ava，这些值并不参与谓词逻辑推理单元的推理，但会被博弈解析单元所应用。

以上信息在真实环境中通过扫描等方式获取；在网络安全仿真环境中可以通过读取网络仿真节点信息的方式获取。

节点连接信息C_on表示网络环境中可用的、被网络安全规则所允许的端到端逻辑通路。其表述的格式为：hostAccessP(host1，host2，IPprotocol)；第一主机host1可以使用IPprotocol协议与第二主机host2建立连接，主要用于网络传输层以下的数据通路hostAccessP。该IPprotocol协议可以是IPV4、IPV6协议。

hostAccess(host1，host2，protocol，port)；第一主机host1可以使用protocol协议访问第二主机host2的port端口。主要用于网络传输层以上的数据通路hostAccess。该protocol协议可以是TCP、UDP、HTTP、FTP等协议。

节点连接信息C_on通过采集网络中的子网配置信息以及防火墙访问控制信息得到。

权限设置信息P_ri，表示某一个用户所具有的访问权限，包含该用户在本地的用户身份信息User及用户的访问权限信息Access，其描述格式为P_ri(User，Access)。

IDS检测规则信息Detect表示IDS的配置规则，表述针对某一目的节点的某一种攻击是否能被检测响应。在本发明中，当攻击者从源节点source对目标节点target，发起名为attackName的攻击时，入侵检测系统具有检测及响应的能力。

谓词逻辑推理单元2对接收的一阶谓词描述的网络系统安全状态信息P_ro，采用XSB推理引擎进行谓词推理，获得三元组攻击信息Threat(Target，Source，Attack)，该攻击者从节点Source对目标节点Target发起名为Attack的网络攻击。其中XSB是指SB Prolog语言的扩展版本(extended version of SB Prolog)。为得到这一结果，需要根据以上的网络信息以及攻击规则来获得当前所存在的攻击威胁Threat。即P_ro×Knowledge→Threat。

攻击规则Knowledge可以表示为攻击需满足的网络安全状态前提条件m^PRE，攻击操作m^ACTION和攻击后果m^POST，三者之间的关系为：m^PRE

m^ACTION→m^POST。

攻击操作表述attackAction为一个四元组信息，包含攻击者的标识attacker，攻击者所发起的源节点Source，攻击的目标节点Target，以及攻击名Attack，其数学表达为attackAction(attacker，Source，Target，Attack)。

攻击后果m^POST表示了攻击者的期望，本专利中将攻击分别表示为四种主要的攻击后果：

拒绝服务攻击：表示攻击者attacker对hostname主机的serviceName服务发起拒绝服务攻击。

权限的非法获取是一种常用的攻击，但其作为后果条件而言是一种权限的设置，因此以下三种攻击：权限提升及非法访问、信息泄漏、网络访问权限获取都采用权限设置信息P_ri的描述方式，只是其用户项user表示为攻击者名字attacker。

权限提升及非法访问：表示攻击者attacker在主机hostname上具有priv权限。priv包括无权限none、普通用户权限user和管理员权限root等。

信息泄漏攻击：表示攻击者attacker可以对主机hostname上文件名为file的文件执行operate操作，该operate操作包括读read、写write和删除delete等操作。

网络访问权限获取：表示攻击者attacker可以通过网络访问hostname主机上使用protocol协议和port端口的服务。

通过上述的表示，对每一个节点通过上述四种攻击后果作为需要达到的预期结果m^POST′，结合采集单元描述的网络安全状态信息前提m^PRE’，根据规则<m^PRE

m^ACTION→m^POST得出现在系统可能面临的威胁m^ACTION′，m^ACTION’为攻击操作attackAction的集合。由于攻击操作attackAction为四元组，因此可以得到博弈计算部分所需要的三元组攻击信息Threat。

博弈解析单元3对接收的三元组攻击信息Threat采用本发明所提出的攻防博弈模型GTADM(Game Thoritical Attack-Defense Model)为每一个攻击信息，即每一个三元组攻击信息Threat计算该三元组在当前网络状态下攻击发生的可能性，即威胁发生概率Probability。

GTADM描述的博弈是非合作、非零和、静态的完全信息博弈。攻防双方并不具有合作的利益基础，因而不可能达成合作的意向，因此博弈为非合作的；攻击者发起攻击行动和防御者实施防御时，都具有成本，效用不能单纯以收益表示，因此博弈为非零和的；本博弈模型的主要目的是面向风险评估，求解威胁发生概率，双方在决策时并不具有先后顺序，因此博弈是静态的；在本文中评估方是作为独立于攻防双方的第三方，对攻击方和防御方具有全局的视角，因此博弈为完全信息的。

GTADM是一个六元组，表达形式为GTADM(P¹，P²，S¹，S²，U¹，U²)，其中P¹表示攻击者，P²表示防御者，S¹表示攻击者的策略空间，S²表示防御者的策略空间，U¹表示攻击者的效用，U²表示防御者的效用。针对某一个攻击，攻击者可以选择执行该攻击动作att_i(o)或者不执行该动作att_i(o)；针对这个攻击，防御方可能采取相应的防御手段D(att_i(o))也可能不采取相应的措施

D(att_i(o))。在该博弈模型中，参与者的效用是参与人的收益与成本之差，其中的收益与成本表示为攻击者对防御方机密性、完整性和可用性的破坏。

通过分析攻防过程中双方的收益与成本取值，可以得到模型的效用博弈矩阵如下：

其中第一列表示攻击者的策略空间；第一行表示防御者的策略空间；第二行第二列表示攻击者执行攻击，防御者执行防御的策略组合时攻击方和防御方的效用，其中前者为攻击者效用，后者为防御者的效用；同理可得其他策略组合下攻击者和防御者各自的效用值。

效用博弈矩阵中，Con_p表示攻击i对目标机密性的损害程度，Con_v表示被攻击目标的机密性的资产值，Int_p表示攻击i对目标完整性的损害程度，Int_v表示被攻击目标的完整性的资产值，Ava_p表示攻击i对目标可用性的损害程度，Ava_v表示被攻击目标的可用性的资产值，p表示入侵检测的正确检测率，1-p表示入侵检测的漏检率，Restore表示恢复措施对攻击损害的减轻，Att_Pun表示为攻击被检测到后攻击方的损失，R_Cost表示采取防御措施的响应成本，p_a表示响应措施对系统可用性损失的比率，p^m表示为入侵检测系统的误检率。

在本发明中，Con_p×Con_v+Int_p×Int_v+Ava_p×Ava_v为攻击att_i(o)发生且无防御措施时对攻击目标的预期损害。

根据上述博弈矩阵，求解其均衡可以得到攻击的概率为：

$\mathrm{Probability}=\frac{(R\_\mathrm{Cost}+P_a\&times;\mathrm{Av}{a}_v)\&times;p^m}{(R\_\mathrm{Cost}+P_a\&times;{\mathrm{Ava}}_v)\&times;(p^m-p)+\mathrm{Restore}\&times;p}$

$=\frac{1}{1+\frac{p}{p^m}\&times;\frac{(\mathrm{Restore}-R\_\mathrm{Cost}-P_a\&times;{\mathrm{Ava}}_v)}{(R\_\mathrm{Cost}+P_a\&times;{\mathrm{Ava}}_v)}}$

根据三元组攻击信息Threat，同时结合节点的资产信息Asset，得到系统在遭受该种攻击时系统的损失Damage，当网络中不存在针对这种攻击的检测规则时Damage＝Con_p×Con_v+Int_p×Int_v+Ava_p×Ava_v；否则Damage＝(Con_p×Con_v+Int_p×Int_v+Ava_p×Ava_v)×(1-p)+((Con_p×Con_v+Int_p×Int_v+Ava_p×Ava_v)-Restore)×p。

风险拾取单元4对接收的每一对威胁发生的可能性Probability以及威胁发生时对防御方所造成的在机密性、完整性和可用性三者上的损失Damage采用层次化的风险计算模型HRCM(Hierarchical Risk Computing Model)，得到系统当前的风险，以及系统中每一个节点当前的风险情况，从而对当前系统安全状况给予评估。

在风险计算模型中，由于系统的风险来自于节点的风险，节点的风险来自于该节点之上的每一个威胁所带来的风险，因此，本发明中首先根据博弈计算结果和预期损失求解威胁风险，再自底向上求解系统风险情况。

其中威胁的风险为该威胁发生的概率与该威胁发生所产生预期损失的乘积。

${\mathrm{Risk}}_{\left({\mathrm{att}}_i\left(o\right)\right)}=\mathrm{Probability}\&times;\mathrm{Damage}.$

节点的风险为该节点上所有威胁风险之和，即： ${\mathrm{Risk}}_{\left(o\right)}=\underset{i=1}{\overset{n_0}{\mathrm{\&Sigma;}}}{\mathrm{Risk}}_{\left(\mathrm{att}(o,i)\right)}.$

系统的风险表示为系统中所有节点风险之和，即： ${\mathrm{Risk}}_{\mathrm{system}}=\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}\mathrm{Risk}\left(i\right).$

从而可以得出在当前系统中所有节点当前的风险状况，从而得到当前系统的安全评估。

Claims (8)

1.一种基于博弈理论的网络安全风险评估系统，其特征在于：该系统包括有采集单元(1)、谓词逻辑推理单元(2)、博弈解析单元(3)、风险拾取单元(4)；

采集单元(1)将采集得到的网络信息采用一阶谓词逻辑描述的方法表述网络系统安全状态P_ro；网络系统安全状态P_ro包含节点配置信息Node，节点连接信息C_on，权限设置信息P_ri和IDS检测规则信息Detect；其中节点配置信息Node包含信息为操作系统OS、漏洞V、服务S、文件F、应用程序A、主机名Name、主机地址IP、资产信息Asset；

谓词逻辑推理单元(2)对接收的一阶谓词描述的网络系统安全状态信息P_ro，采用XSB推理引擎进行谓词推理，获得三元组攻击信息Threat，攻击者从节点Source对目标节点Target发起名为Attack的网络攻击；

博弈解析单元(3)对接收的三元组攻击信息Threat采用攻防博弈模型GTADM为每一个攻击信息，即每一个三元组攻击信息Threat计算该三元组在当前网络状态下攻击发生的可能性，即威胁发生概率Probability；

风险拾取单元(4)对接收的每一对威胁发生的可能性Probability以及威胁发生时对防御方所造成的在机密性、完整性和可用性三者上的损失Damage采用层次化的风险计算模型HRCM，得到系统当前的风险，以及系统中每一个节点当前的风险情况，从而对当前系统安全状况给予评估。

2.根据权利要求1所述的基于博弈理论的网络安全风险评估系统，其特征在于：所述一阶谓词逻辑描述方法中的描述关系为<Name，OS>，<Name，IP>，<Name，S>，<Name，V>，<Name，F>，<Name，A>，<Name，Asset>；

<Name，OS>：表示名字为hostname的主机操作系统类型为type，版本为version；

<Name，IP>：表示hostname主机的IP地址为ipaddress，掩码为mask；

<Name，S>：表示服务serviceName以priv权限运行在主机hostname上，使用的协议为protocol，使用的端口为port；

<Name，V>：表示hostname主机存在漏洞vulid，该漏洞依附于程序program；

<Name，F>：表示hostname主机上存放了文件file；

<Name，A>：表示hostname主机上具有的应用程序appname；

<Name，Asset>：表示对hostname主机上资产的分类，其为完整性Int、机密性Con、可用性Ava，这些值并不参与谓词逻辑推理单元的推理，但会被博弈解析单元所应用。

3.根据权利要求1所述的基于博弈理论的网络安全风险评估系统，其特征在于：权限设置信息Pri，表示某一个用户所具有的访问权限，包含该用户在本地的用户身份信息User及用户的访问权限信息Access，其描述格式为P_ri(User，Access)。

4.根据权利要求1所述的基于博弈理论的网络安全风险评估系统，其特征在于：攻击规则Knowledge可以表示为攻击需满足的网络安全状态前提条件m^PRE，攻击操作m^ACTION和攻击后果m^POST，三者之间的关系为：m^PRE∧m^ACTION→m^POST。

5.根据权利要求1所述的基于博弈理论的网络安全风险评估系统，其特征在于：攻击操作表述attackAction为一个四元组信息，包含攻击者的标识attacker，攻击者所发起的源节点Source，攻击的目标节点Target，以及攻击名Attack，其数学表达为attackAction(attacker，Source，Target，Attack)。

6.根据权利要求1所述的基于博弈理论的网络安全风险评估系统，其特征在于：GTADM描述的博弈是非合作、非零和、静态的完全信息博弈。

7.根据权利要求1所述的基于博弈理论的网络安全风险评估系统，其特征在于：攻击的概率为：

$\begin{array}{c}\mathrm{Probability}=\frac{(R\_\mathrm{Cost}+P_a\&times;{\mathrm{Ava}}_v)\&times;p^m}{(P\_\mathrm{Cost}+P_a\&times;{\mathrm{Ava}}_v)\&times;(p^m-p)+\mathrm{Restore}\&times;p}\\ =\frac{1}{1+\frac{p}{p^m}\&times;\frac{(\mathrm{Restore}-R\_\mathrm{Cost}-P_a\&times;{\mathrm{Ava}}_v)}{(R\_\mathrm{Cost}+P_a\&times;{\mathrm{Ava}}_v)}}\end{array};$ 其中，R_Cost表示采取防御措施的响应成本，p_a表示响应措施对系统可用性损失的比率，Ava_v表示被攻击目标的可用性的资产值，p^m表示为入侵检测系统的误检率，p表示入侵检测的正确检测率，Restore表示恢复措施对攻击损害的减轻。

8.根据权利要求1所述的基于博弈理论的网络安全风险评估系统，其特征在于：根据三元组攻击信息Threat，同时结合节点的资产信息Asset，得到系统在遭受该种攻击时系统的损失Damage，当网络中不存在针对这种攻击的检测规则时Damage＝Con_p×Con_v+Int_p×Int_v+Ava_p×Ava_v；否则 $\begin{array}{c}\mathrm{Damage}=({\mathrm{Con}}_p\&times;{\mathrm{Con}}_v+{\mathrm{Int}}_p\&times;{\mathrm{Int}}_v+{\mathrm{Ava}}_p\&times;{\mathrm{Ava}}_v)\&times;(1-p)\\ +(({\mathrm{Con}}_p\&times;{\mathrm{Con}}_v+{\mathrm{Int}}_p\&times;{\mathrm{Int}}_v+{\mathrm{Ava}}_p\&times;{\mathrm{Ava}}_v)-\mathrm{Restore})\&times;p\end{array};$ 其中，Con_p表示攻击i对目标机密性的损害程度，Con_v表示被攻击目标的机密性的资产值，Int_p表示攻击i对目标完整性的损害程度，Int_v表示被攻击目标的完整性的资产值，Ava_p表示攻击i对目标可用性的损害程度，Ava_v表示被攻击目标的可用性的资产值，p表示入侵检测的正确检测率，1-p表示入侵检测的漏检率，Restore表示恢复措施对攻击损害的减轻，Att_Pun表示为攻击被检测到后攻击方的损失，R_Cost表示采取防御措施的响应成本，p_a表示响应措施对系统可用性损失的比率，p^m表示为入侵检测系统的误检率。

Images