CN101808020A - 基于不完全信息动态博弈的入侵响应决策方法 - Google Patents

Abstract

本发明涉及一种基于不完全信息动态博弈的入侵响应决策方法，所采用的方法是：构建了基于不完全信息动态博弈的入侵响应决策模型，将博弈理论思想引入到入侵响应的决策阶段，考虑入侵响应代价及入侵检测系统的误报率、漏报率等因素对入侵响应的影响，平衡响应的负面影响和攻击造成的损失，并加强对攻击者策略的预测及应对能力，提高响应效率。本发明提出了攻防成本-收益评估方法，用以计算攻防双方代价收益，进而构建攻防双方动态博弈模型，通过求解攻防双方动态博弈模型的精炼贝叶斯均衡，得到防御者的最优响应策略。

Description

基于不完全信息动态博弈的入侵响应决策方法

技术领域

本发明涉及一种入侵响应决策方法，尤其涉及一种基于不完全信息动态博弈的入侵响应决策方法。

背景技术

随着网络攻击手段的自动化和复杂化程度提高，入侵检测系统检测到入侵行为与管理员做出响应之间迟延的问题愈发突出，人工响应系统难以应付当前复杂多变的网络状况，自动入侵响应系统已经成为了入侵响应的重要研究方向之一。

近年来，自动入侵响应已成为网络安全的研究热点之一，学术界提出了多种应用于自动入侵响应系统的决策模型。目前，根据决策方式的不同，决策模型主要分为：

1.静态映射模型：静态映射本质上是一个警报对应一个预先设定的响应，存储着一个响应决策表。模型中响应决策表易于构建和维护，在早期的自动响应系统中较为常见，如pH和BMSL-based response系统。然而，这类系统的响应措施容易被攻击者预测，而且没有考虑系统的当前状态、响应的负面效果等因素对决策的影响。

2.动态映射模型：动态映射模型基于实时的攻击信息进行决策。Carver等人提出了基于Agent的自适应入侵响应系统AAIRS，通过攻击时机、攻击者类型、目标代价和警报确信度等信息动态地确定响应策略。动态响应系统虽然能够灵活地做出响应决策，但是对响应的负面效果考虑较少，可能会出现响应代价大于入侵损失的情况。

3.成本敏感模型：成本敏感模型是为了平衡入侵损失和响应代价而提出的。该模型除了考虑入侵所造成的损失之外，还考虑了检测代价和响应代价，即响应所造成的负面效果，只有响应代价小于入侵损失时才做出响应。该模型虽然保证了响应的负面效果小于入侵损失，但是没有考虑攻击者根据自身收益进行攻击策略的调整。

随着计算机安全领域的不断发展，博弈理论也开始被引入到计算机安全领域，并开始被广泛应用。在网络攻防过程中，攻防双方策略的选择相互制约，从而影响到攻击和防御的效果。博弈理论是关于两个或多个决策主体在其决策相互制约并影响各自收益的格局中的决策分析，因此博弈理论可以用于分析攻防双方的交互行为。网络攻防过程中，攻防双方彼此之间的认识是不完全的，但是双方的行动是有先后顺序的，可以观察到对方在上一步的策略选择，因此双方的攻防行为可以看作是不完全信息动态博弈。

不完全信息动态博弈的一个重要特征是，参与对象的战略都依赖于自身的类型。攻击者做出攻击行为和防御者做出响应措施后，都会向对方传递有关自身类型的信息。一方面，后行动者可以通过观察先行动者所选择的策略来推断先行动者的类型，进而修正对先行动者类型的判断，并选择最优行动策略。另一方面，先行动者也会预计到自己选择的行动将被后行动者利用，设法选择能传递对自己有利的信息的行动策略，避免选择不利的行动策略。

发明内容

本发明将博弈理论思想引入到入侵响应的决策阶段，考虑入侵响应代价及入侵检测系统的误报率、漏报率等因素对入侵响应的影响，提出了基于不完全信息动态博弈的入侵响应决策模型，平衡了响应的负面影响和攻击造成的损失，并加强了对攻击者策略的预测及应对能力，提高了响应效率。

本发明包括以下步骤：

1.入侵检测阶段：利用防御者所部署的各类入侵检测系统，产生入侵警报；

2.警报聚合阶段：将入侵检测系统产生的大量警报进行聚合，生成高级警报；

3.入侵响应阶段：

a.根据本机系统信息，评估系统资源权重；

b.根据经验判断攻击者的可能类型，即根据经验计算各种类型攻击者的概率；

c.根据警报的不同，求出各个类型的警报所对应的行动策略集合，并将其存储于攻防双方策略库中；

d.由警报聚合模块传来的高级警报驱动，从攻防双方策略库查询双方可能采取的行动策略，根据攻防成本-收益评估方法计算攻防双方代价收益；

e.利用攻防双方可能采取的行动策略及已求出的攻防双方代价收益，构建博弈模型；

f.通过计算博弈模型的精炼贝叶斯均衡，得到最优响应策略；

g.根据最优响应策略，修改用来判断攻击者类型的经验；

h.入侵响应。

其中：

步骤a所述的系统资源权重是对该系统资源在系统中的重要性的度量，由资源和系统分别在可用性、完整性和机密性三个安全尺度上的侧重共同决定。系统资源权重表示为W(SR)，计算方法如公式(1)所示：

$W\left(\mathrm{SR}\right)=\underset{i}{\mathrm{\Σ}}\mathrm{SRimpor}\tan {\mathrm{ce}}_i\×\mathrm{PolicyCategory}{\mathrm{Weight}}_i---\left(1\right)$

其中SRimportance_i和PolicyCategoryWeight_i分别代表资源和系统对可用性、完整性和机密性三个安全尺度的侧重，PolicyCategoryWeight_i完全取决于系统类型。需要说明的是，本发明中的系统资源不仅指系统设备(如主机和网络等)和所提供的系统服务(如FTP、HTTP和文件系统等)，而且还包括与安全相关的因素(如系统权限、密码安全性等)。

步骤3b所述的经验指防御者对攻击者类型的先验概率。

步骤3c所述的攻防双方策略库中存储的是防御者与攻击者可能采取的各种响应策略的组合。

步骤3d所述的攻防成本-收益评估方法是基于系统资源权重的评估方法，对系统资源所包含的内容进行了丰富，将安全性因素(如管理员权限、用户权限等)也作为系统资源考虑，并考虑了入侵检测系统漏报率、攻击威胁度等潜在因素的影响。本发明中攻防双方的成本-收益主要包括损失代价、响应代价、攻击收益和攻击操作代价。

步骤3e所述的博弈模型包括如下元素：

1)参与对象：包括防御者和攻击者，防御者是安装了入侵响应系统的网络主机，攻击者可以是恶意网络攻击者、误操作网络用户等威胁到网络安全的网民。防御者的类型空间为D＝{d₁，d₂，...，d_m}，攻击者的类型空间H＝{h₀，h₁，h₂，...，h_n}。定义η＝{η₁，η₂，...，η_m*(n+1)}表示攻防双方的类型组合的集合，其中η_k＝(d_i，h_j)，d_i和h_j分别为防御者和攻击者的类型。考虑到入侵检测系统的误报率，本发明将被入侵检测系统误判为攻击者的普通用户称之为伪攻击者(h0)，那么入侵检测系统的误报率可以被视为伪攻击者的先验概率。

2)策略空间：防御者的策略空间是R＝{R₀，R₁，...，R_s}，R₁，...，R_s代表防御者可能选取的响应措施，R₀代表不响应。攻击者的策略空间是A＝{A₀，A₁，...，A_t}，A₁，...，A_t代表可采取的攻击措施，A₀代表放弃攻击。

3)收益函数：防御者和攻击者的收益函数表示为U_d(η_i，R_j，A_k)和U_h(η_i，R_j，A_k)。

4)私有信息：参与对象自身的类型信息对于其他参与对象是透明的，需要其它参与对象通过其策略的选择进行判断。

5)先验概率：防御者对攻击者类型的先验概率用p(h_j)，j＝0，1，2，...，n表示，并且攻击者对防御者类型的先验概率用p(d_i)，i＝0，1，2，...，m表示，并且

类型的先验概率是由双方的共同知识确定的，属于双方的共享信息。

6)后验概率：由于攻击者可以观察到防御者的策略，所以攻击者可以根据其观察到的防御者行为对信念进行修改形成后验概率p(d_i|R_k)，表示防御者进行响应R_k后攻击者对防御者类型的判断概率，采用贝叶斯公式进行计算：

    p(d_i|R_k)＝p(d_i)p(R_k|d_i)/p(R_k)

其中p(R_k)用全概率公式计算：

$p\left(R_k\right)=\underset{i=0}{\overset{m}{\mathrm{\Σ}}}p\left(\mathrm{di}\right)p\left(\mathrm{Rk}\right|\mathrm{di})$

其中p(R_k|d_i)表示类型为d_i的防御者选取响应措施R_k的概率，一般根据经验获得。

步骤3f所述的博弈模型的精炼贝叶斯均衡是在通过海萨尼转换将攻防双方不了解自己所面对的博弈对象的这种不完全信息动态博弈转换成完全但不完美信息动态博弈的基础上得到的。

步骤3g所述的修改用来判断攻击者类型的经验即是修改对攻击者的信念，从而形成后验概率。

附图说明

图1基于不完全信息动态博弈的入侵响应决策方法的流程图

具体实施方式

下面结合附图，对本发明做进一步的说明。

本发明的具体实施步骤如下：

1.当攻击来临时，防御者所部署的各类入侵检测系统检测到攻击行为，发出警报。

2.警报聚合系统接收来自各类入侵检测系统生成的大量入侵警报，将这些警报进行聚合，消除冗余警报，生成少量高级警报，并驱动入侵响应系统；

3.根据防御者当前的系统资源，评估系统资源权重。本发明中的系统资源不仅指系统设备(如主机和网络等)和所提供的系统服务(如FTP、HTTP和文件系统等)，而且还包括与安全相关的因素(如系统权限、密码安全性等)。由于本发明属于计算机安全领域，因此对系统资源的评估主要是从安全的角度考虑的，而系统的安全性一般可以从可用性、完整性和机密性三个安全尺度进行评估，所以本发明从可用性、完整性和机密性三个方面对系统资源进行评估。系统资源权重是对该系统资源在系统中的重要性的度量，由资源和系统分别在可用性、完整性和机密性三个安全尺度上的侧重共同决定。系统资源权重表示为W(SR)，计算方法如公式(1)所示：

$W\left(\mathrm{SR}\right)=\underset{i}{\mathrm{\Σ}}\mathrm{SRimpor}\tan {\mathrm{ce}}_i\×\mathrm{PolicyCategory}{\mathrm{Weight}}_i---\left(1\right)$

其中，SRimportance_i和PolicyCategoryWeight_i分别代表系统资源和系统本身对可用性、完整性和机密性三个安全尺度的侧重。由于特定系统对可用性、完整性和机密性三个安全尺度的侧重是不发生变化的，所以PolicyCategoryWeight_i完全取决于系统类型。

4.根据防御者对攻击者类型的先验概率判断攻击者的可能类型，即根据防御者对攻击者类型的先验概率计算各种类型攻击者的概率，先验概率是由攻防双方的共同知识确定的，属于双方的共享信息；由于入侵检测系统都存在一定的误报率，本发明将被入侵检测系统误判为攻击者的普通用户称之为伪攻击者(h0)，那么入侵检测系统的误报率可以被视为伪攻击者的先验概率。

5.攻防双方都有其各自的策略空间，当高级警报来临时，防御者会根据高级警报的类型，从其策略空间R＝{R₀，R₁，...，R_s}中选取一个策略R_i(其中，当i＝0时代表防御者不响应)进行响应；不论防御者采取何种响应策略，都会给攻击者传递一个信息，攻击者会根据防御者的响应策略，对防御者的类型进行预测，并从其策略空间A＝{A₀，A₁，...，A_t}中选取一个对自己最有利的攻击措施A_i(当i＝0时，代表攻击者放弃攻击)。由于高级警报类型的不同，就形成了攻防双方不同的行动策略组合，本发明中将这些不同的行动策略组合存储起来，构成了攻防双方策略库；

6.结合警报聚合阶段产生的高级警报的类型，入侵响应系统依据经验对攻击者的可能类型进行判断，并从攻防双方策略库中查询针对该种高级警报不同类型的攻防双方各自可能采取的行动策略，利用攻防成本-收益评估方法计算攻防双方代价收益，具体包括：

1)损失代价

损失代价代表攻击发生且未被阻断情况下的系统损失。入侵检测系统都有一定程度的漏报现象。在入侵响应决策过程中，对某一警报不进行响应，攻击者就可以进行后续攻击，而入侵检测系统如果不能检测出此后续攻击，系统自然无法做出响应。所以，损失代价还应考虑漏报的影响，攻击行为A_j对系统造成的损失代价表示为IDC(η_i，A_j)，计算方法如公式(2)所示：

IDC(η_i，A_j)＝(1+fnrate(A_j))×DC(η_i，A_j)             (2)

其中，fnrate(A_j)代表入侵检测系统对于攻击A_j的漏报率，DC(η_i，A_j)代表攻击A_j对系统造成的基准损失代价，计算方法如公式(3)所示：

$\mathrm{DC}({\mathrm{\η}}_i,A_j)=\mathrm{TL}\×\underset{k=1}{\mathrm{\Σ}}\mathrm{Avail}(A_j,{\mathrm{SR}}_k)\×W\left({\mathrm{SR}}_k\right)---\left(3\right)$

其中，Avail(A_j，SR_k)代表攻击A_j对系统资源SR_k的影响，W(SR_k)是系统资源的权重，TL是攻击者威胁度，与攻击者类型相关。

2)响应代价

响应代价代表响应对系统造成的负面影响，响应行为R_i的响应代价表示为IC(η_i，R_j)，计算方法如公式(4)所示：

$\mathrm{IC}({\mathrm{\η}}_i,R_j)=\underset{k}{\mathrm{\Σ}}\mathrm{Impact}(R_j,{\mathrm{SR}}_k)\×W\left({\mathrm{SR}}_k\right)---\left(4\right)$

其中Impact(R_i，SR_k)表示响应行为R_i对资源SR_k的影响，W(SR_k)表示系统资源权重。

3)攻击收益

攻击收益指攻击者对防御者进行的某种攻击成功时所能得到的收益。与攻击对防御者系统所造成的破坏程度密切相关，一般令其等于系统的损失代价。攻击行为A_j的攻击收益表示为IR(η_i，A_j)，计算方法如公式(5)所示：

IR(η_i，A_j)＝DC(η_i，A_j)              (5)

其中，DC(η_i，A_j)是攻击行为A_j对系统造成的基准损失代价。

4)攻击操作代价

攻击操作代价表示为AC(η_i，A_j)，指攻击者在攻击过程中所要消耗的时间和系统资源，包括CPU时间、内存和网络带宽等。对其可分为两个等级：

LV1：一般攻击，攻击操作代价不会太大，与进行合法的网络活动几乎相同，占用少量系统资源；

LV2：特殊攻击，占用大量的系统资源，如DOS攻击。

在得到攻防双方的成本-收益后，不同情况下攻防双方的收益函数如下：

a.攻击者攻击成功时，Ua(ηi，Rj，Ak)＝AC(ηi，Aj)+IR(ηi，Aj)；

b.攻击失败时，Ua(ηi，Rj，Ak)＝AC(ηi，Aj)；

c.防御者进行响应并成功时，Ud(ηi，Rj，Ak)＝IC(ηi，Rj)；

d.防御者进行响应并失败时，Ud(ηi，Rj，Ak)＝IC(ηi，Rj)+IDC(Ak)；

e.防御者不进行响应时，Ud(ηi，Rj，Ak)＝DC(Ak)。

7.根据攻防双方的可能类型，以及攻防双方各自可能采取的行动策略和已求出的攻防双方的代价收益，结合攻防双方各自的私有信息和攻防双方的共享信息，构建动态博弈模型；在网络攻防过程中，攻防双方彼此之间的认识是不完全的，但是双方的行动是有先后顺序的，可以观察到对方在上一步的策略选择，因此双方的攻防行为可以看作是不完全信息动态博弈。在攻击行为产生时，攻防双方因为并不了解自己所面对的博弈对象，从而无法定义博弈的规则，因此需要引入海萨尼转换，将攻防双方的不完全信息动态博弈转换成完全但不完美信息动态博弈，在此基础上求解转换后的攻防双方博弈的精炼贝叶斯均衡，从而得到防御者的最优响应策略。

8.根据最优响应策略修改防御者对攻击者的先验概率，形成对攻击者的后验概率，进而完善动态博弈模型。

本领域的技术人员在不脱离权利要求书确定的本发明的精神和范围的条件下，还可以对以上内容进行各种各样的修改。因此本发明的范围并不仅限于以上的说明，而是由权利要求书的范围来确定的。

Claims (8)

1.一种基于不完全信息动态博弈的入侵响应决策方法，其特征在于该方法包括以下步骤：

1)入侵检测阶段：利用防御者部署的入侵检测系统，产生入侵警报；

2)警报聚合阶段：将入侵检测系统产生的大量警报进行聚合，生成高级警报；

3)入侵响应阶段：

a)根据本机系统信息，评估系统资源权重；

b)根据防御者对攻击者类型的先验概率判断攻击者的可能类型，即根据防御者对攻击者类型的先验概率计算各种类型攻击者的概率；

c)根据警报的不同，求出各个类型的警报所对应的行动策略集合，并将其存储于攻防双方策略库中；

d)由所述高级警报驱动，从攻防双方策略库查询双方可能采取的行动策略，根据攻防成本-收益评估方法计算攻防双方代价收益；

e)利用攻防双方可能采取的行动策略及所述攻防双方代价收益，构建博弈模型；

f)通过计算博弈模型的精炼贝叶斯均衡，得到最佳响应策略；

g)根据最优响应策略，修改用来判断攻击者类型的经验；

h)入侵响应。

2.根据权利要求1所述的一种基于不完全信息动态博弈的入侵响应决策方法，其特征在于步骤a)所述的系统资源权重是对该系统资源在系统中的重要性的度量，由资源和系统分别在可用性、完整性和机密性三个安全尺度上的侧重共同决定。

3.根据权利要求1所述的一种基于不完全信息动态博弈的入侵响应决策方法，其特征在于步骤c)所述的攻防双方策略库中存储的是防御者与攻击者可能采取的各种响应策略的组合。

4.根据权利要求1所述的一种基于不完全信息动态博弈的入侵响应决策方法，其特征在于步骤d)所述的攻防成本-收益包括损失代价、响应代价、攻击收益和攻击操作代价，其中

1)损失代价

损失代价代表攻击发生且未被阻断情况下的系统损失，攻击行为A_j对系统造成的损失代价表示为IDC(η_i，A_j)，计算方法如公式(1)所示：

IDC(η_i，A_j)＝(1+fnrate(A_j))×DC(η_i，A_j)                      (1)

其中，fnrate(A_j)代表入侵检测系统对于攻击A_j的漏报率，DC(η_i，A_j)代表攻击行为A_j对系统造成的基准损失代价，计算方法如公式(2)所示：

$\mathrm{DC}({\mathrm{\η}}_i,A_j)=\mathrm{TL}\×\underset{k=1}{\mathrm{\Σ}}\mathrm{Avail}(A_j,{\mathrm{SR}}_k)\×W\left({\mathrm{SR}}_k\right)---\left(2\right)$

其中，Avail(A_j，SR_k)代表攻击行为A_j对系统资源SR_k的影响，W(SR_k)是系统资源的权重，TL是攻击者威胁度，与攻击者类型相关；

2)响应代价

响应代价代表响应对系统造成的负面影响，响应行为R_i的响应代价表示为IC(η_i，R_j)，计算方法如公式(3)所示：

$\mathrm{IC}({\mathrm{\η}}_i,R_j)=\underset{k}{\mathrm{\Σ}}\mathrm{Impact}(R_j,{\mathrm{SR}}_k)\×W\left({\mathrm{SR}}_k\right)---\left(3\right)$

其中Impact(R_i，SR_k)表示响应行为R_i对资源SR_k的影响，W(SR_k)表示系统资源权重；

3)攻击收益

攻击收益指攻击者对防御者进行的某种攻击成功时所能得到的收益，攻击行为A_j的攻击收益表示为IR(η_i，A_j)，计算方法如公式(4)所示：

IR(η_i，A_j)＝DC(η_i，A_j)                       (4)

其中，DC(η_i，A_j)是攻击行为A_j对系统造成的基准损失代价；

4)攻击操作代价

攻击操作代价表示为AC(η_i，A_j)，指攻击者在攻击过程中所要消耗的时间和系统资源，其可分为两个等级：

LV1：一般攻击，攻击操作代价与进行合法的网络活动几乎相同，占用少量系统资源；

LV2：特殊攻击，占用大量的系统资源。

5.根据权利要求1所述的一种基于不完全信息动态博弈的入侵响应决策方法，其特征在于步骤d)所述的攻防成本-收益评估方法是基于系统资源权重的评估方法，所述攻防成本-收益评估方法不仅考虑系统设备和所提供的系统服务这两类系统资源，而且将系统权限和密码安全性这两个安全性因素也作为系统资源考虑，并考虑了入侵检测系统漏报率和攻击威胁度这两个潜在因素的影响。

6.根据权利要求1所述的一种基于不完全信息动态博弈的入侵响应决策方法，其特征在于步骤e)所述的博弈模型包括如下元素：

I)参与对象：包括防御者和攻击者，防御者的类型空间为D＝{d₁，d₂，...，d_m}，攻击者的类型空间H＝{h₀，h₁，h₂，...，h_n}，定义η＝{η₁，η₂，...，η_m*(n+1)}表示攻防双方的类型组合的集合，其中η_k＝(d_i，h_j)，d_i和h_j分别为防御者和攻击者的类型，将被入侵检测系统误判为攻击者的普通用户命名为伪攻击者(h₀)，设置入侵检测系统的误报率为伪攻击者的先验概率；

II)策略空间：防御者的策略空间是R＝{R₀，R₁，...，R_s}，R₁，...，R_s代表防御者可能选取的响应措施，R₀代表不响应，攻击者的策略空间是A＝{A₀，A₁，...，A_t}，A₁，...，A_t代表可采取的攻击措施，A₀代表放弃攻击；

III)收益函数：防御者和攻击者的收益函数表示为U_d(η_i，R_j，A_k)和U_h(η_i，R_j，A_k)；

IV)私有信息：参与对象自身的类型信息对于其他参与对象是透明的，需要其它参与对象通过其策略的选择进行判断；

V)先验概率：防御者对攻击者类型的先验概率用p(h_j)，j＝0，1，2，...，n表示，并且

攻击者对防御者类型的先验概率用p(d_i)，i＝0，1，2，...，m表示，并且

类型的先验概率是由双方的共同知识确定的，属于双方的共享信息；

VI)后验概率：由于攻击者可以观察到防御者的策略，所以攻击者可以根据其观察到的防御者行为对信念进行修改形成后验概率p(d_i|R_k)，表示防御者进行响应R_k后攻击者对防御者类型的判断概率，采用贝叶斯公式进行计算：

p(d_i|R_k)＝p(d_i)p(R_k|d_i)/p(R_k)

其中p(R_k)用全概率公式计算：

$p\left(R_k\right)=\underset{i=0}{\overset{m}{\mathrm{\Σ}}}p\left(\mathrm{di}\right)p\left(\mathrm{Rk}\right|\mathrm{di})$

p(R_k|d_i)表示类型为d_i的防御者选取响应措施R_k的概率。

7.根据权利要求1所述的一种基于不完全信息动态博弈的入侵响应决策方法，其特征在于步骤f)所述的博弈模型的精炼贝叶斯均衡是在通过海萨尼转换将攻防双方不了解自己所面对的博弈对象的这种不完全信息动态博弈转换成完全但不完美信息动态博弈的基础上得到的。

8.根据权利要求1所述的一种基于不完全信息动态博弈的入侵响应决策方法，其特征在于步骤g)所述的修改用来判断攻击者类型的经验即修改对攻击者的信念，从而形成后验概率。

Images