CN103152345B - 一种攻防博弈的网络安全最优攻防决策方法 - Google Patents

Abstract

本发明涉及一种状态攻防图模型的网络安全攻击防御方法，属于网络安全防御技术领域。该方法利用状态攻防图对网络系统的攻防场景建模，然后计算原子攻击的成本收益，进一步计算不同网络安全状态下攻防双方采取不同攻防策略的效用矩阵，最后基于非合作非零和博弈模型求解纳什均衡，得出最优防御策略。本发明的显著优点：1、将攻击场景通过状态攻防图建模，能很直观、清晰地描述网络系统处于不同网络安全状态下的攻防策略；2、将攻防成本和收益的计算转化为对攻击成功概率和危害指数的计算，简化了攻防效用的计算；3、在网络系统的攻防交互过程中，考虑了攻防双方的成本和收益，帮助网络管理员做出理性的决策，实现了网络管理收益的最大化。

Description

一种攻防博弈的网络安全最优攻防决策方法

技术领域

本发明涉及网络安全防御技术领域，具体地说是一种攻防博弈的网络安全最优攻防决策方法。

背景技术

目前，随着网络技术飞速发展和网络规模的不断增大，与网络有关的攻击、入侵等安全事件越来越多。为了保证网络系统的安全性和健壮性，世界各国政府和企业投入大量资金建立网络安全防御系统。现有的网络安全防御系统通过部署大量的防火墙、入侵检测和反病毒软件，检测网络系统中各节点的脆弱性和薄弱环节，最大程度的保证网络系统的安全。

理想的防御系统应该对所有的脆弱点和攻击行为都做出防护，但是从组织资源限制等实际情况考虑，“不惜一切代价”的防御显然是不合理的，必须考虑“适度安全”的概念，即考虑网络安全的风险和投入之间寻求一种均衡，应当利用有限的资源做出做合理的决策。

目前网络安全最优防御决策方法主要集中在两方面：一是建立良好的决策模型；二是对防御代价进行定量分析。

决策模型方面，博弈论是一种基于事前的决策分析理论，近年来已被应用于网络安全防御领域中。Boyun Zhang等人（Boyun Zhang, Zhigang Chen, Wensheng Tang et al.. Network security situation assessment based on stochastic game model [J]. Advanced Intelligent Computing. 2012, 6838:517-525）提出了一种基于博弈论的网络安全态势评估方法，将攻击者和防御者之间的对抗描述成二人随机博弈问题，利用管理员对网络节点重要性的评估来确定博弈参数，通过攻防博弈的纳什均衡来得到网络处于不同安全状态下的概率分布，进一步量化评估结果。Yuanzhuo Wang等人（Yuanzhuo Wang, Min Yu, Jingyuan Li, et al.. Stochastic game net and applications in security analysis for enterprise network [J]. International Journal of Information Security, 2012, 11(1):41-52）结合随机Petri网提出了一个随机博弈网模型，该模型能较好的解决复杂动态博弈问题。Guanhua Yan等人（Guanhua Yan, Ritchie Lee, Alex Kent, et al.. Towards a Bayesian Network Game Framework for Evaluating DDoS Attacks and Defense [C]. CCS’12 Proceedings of the 2012 ACM conference on Computer and communications security, 2012:553-566）提出了一种非标准博弈框架，该框架利用贝叶斯网络来推断系统可能的状态，然后对多个层级进行建模，进而对复杂的分布式拒绝服务攻击攻防场景进行评估。

防御代价定量分析方面，Lee（Lee Wenke. Toward cost-sensitive modeling for intrusion detection and response. Journal of Computer Security, 2002, 10(1-2):5-22）在2002年首次提出成本敏感模型作为响应决策的基础，根据相应成本和攻击损失成本来决定是否响应。Jiang Wei等人（Jiang Wei et al. A game theoretic method for decision and analysis of the optimal active defense strategy //Proceedings of the International Conference on Computational Intelligence and Security. Harbin, China, 2007:819-823）给出了就比较完整的攻防分类及其成本敏感模型，有效地应用于最优主动防御中。冯萍慧等人（冯萍慧，连一峰，戴英侠等. 面向网络系统的脆弱性利用成本估算模型. 计算机学报, 2006, 29(8):1375-1382）提出了脆弱性利用成本估算模型，通过对网络系统进行全面的脆弱性分析，并引入可靠性原理，从利用成本的角度对攻击代价进行估算，从而对网络系统的脆弱性进行量化评估，为管理员在权衡修复成本和效果是提供参考。

发明内容

本发明的目的是针对网络系统的攻防交互行为而提出的一种攻防博弈的网络安全最优攻防决策方法，在考虑攻防双方成本和收益的情况下，给出最优的防御策略。其利用状态攻防图对网络系统的攻防场景建模，然后计算原子攻击的成本收益，进一步计算不同网络安全状态下攻防双方采取不同攻防策略的效用矩阵。最后，基于非合作非零和博弈模型求解纳什均衡，得出最优防御策略。

本发明的技术方案是：

一种攻防博弈的网络安全最优攻防决策方法，它包括以下步骤：

第一步，根据网络拓扑中所有主机节点的连通性构建可达矩阵；

第二步，利用脆弱点扫描工具Nessus、ISS和SARA，对网络中的各主机节点进行扫描，得到各主机节点的脆弱点集合；

第三步，根据各主机节点的脆弱点集合和各脆弱点的利用规则构建状态攻防图；

第四步，结合安全脆弱点评估系统（Common Vulnerability Scoring System，CVSS），计算状态攻防图中各原子攻击的成功概率和危害指数。其中原子攻击成功的概率计算公式为

原子攻击危害指数的计算公式为

；

第五步，计算状态攻防图中所有攻击路径的成功概率和危害指数，攻击路径成功概率的计算为所有组成该攻击路径的原子攻击成功概率的乘积；攻击路径危害指数的计算为所有组成该攻击路径的原子攻击危害指数之和；

第六步，根据状态攻防图，建立网络安全博弈模型；

第七步，在不同的网络安全状态下，计算攻防双方采用不同攻防策略时的效用值，进而得到攻防效用矩阵；

第八步，基于非合作非零和博弈模型，运用最优攻防决策算法，求解最优攻防策略；

第九步，根据纳什均衡的解，结合脆弱点防控措施，制定最优防御策略。

本发明的有益效果：

本发明与现有技术相比，其显著优点：（1）将攻击场景通过状态攻防图建模，能很直观、清晰地描述网络系统处于不同网络安全状态下的攻防策略；（2）将攻防成本和收益的计算转化为对攻击成功概率和危害指数的计算，简化了攻防效用的计算；（3）在网络系统的攻防交互过程中，考虑了攻防双方的成本和收益，帮助网络管理员做出理性的决策，实现了网络管理收益的最大化。

附图说明

图1是攻防博弈的网络安全最优攻防决策方法的流程图。

图2是具体实施例中的网络拓扑图。

图3是状态攻防图构建算法的流程图。

图4是根据具体实施例中的网络系统生成的状态攻防图。

图5是最优攻防决策算法的流程图。

具体实施方式

下面结合附图和实施例对本发明作进一步的说明。

如图1所示，一种攻防博弈的网络安全最优攻防决策方法，具体方法步骤如下：

第一步，根据网络拓扑中所有主机节点的连通性构建可达矩阵。

第二步，利用脆弱点扫描工具Nessus、ISS和SARA，对网络中的各主机节点进行扫描，得到各主机节点的脆弱点集合。

第三步，根据各主机节点的脆弱点集合和各脆弱点的利用规则构建状态攻防图。状态攻防图为一个状态转换系统图；其中，是图中的状态节点集，表示网络安全状态；是图中边集，表示网络安全状态的变迁关系，每条边代表一个原子攻击；是网络初始状态，是攻击者目标状态集合；所述的状态节点用二元组表示，其中是该网络安全状态下安全要素发生变化的主机节点名称，是到达该状态节点时攻击者获得主机上的权限；所述的状态变迁用五元组表示，其中是状态变迁编号，是该原子攻击所利用的脆弱点编号，r是原子攻击成功发生后造成的危害，p是原子攻击成功发生的概率，d是防御原子攻击发生的防御措施。

其中，状态攻防图的构建算法步骤如下：

步骤1，算法输入网络拓扑可达矩阵RM、各主机节点的脆弱点集合VS、各脆弱点的利用规则IB和网络初始安全状态s₀；

步骤2，将网络初始安全状态s₀加入状态队列中，标记为“未遍历”，state_queue = { s₀}；

步骤3，如果状态队列还有未遍历的状态节点，获取未遍历的状态节点，从可达矩阵RM中获取该状态节点对应主机可到达的主机节点集合reachable_hostids，将该状态节点标记为“已遍历”，转步骤4；否则，转步骤9；

步骤4，针对步骤3得到的主机节点集合reachable_hostids，若reachable_hostids中有未遍历的主机节点，转步骤5；否则，转步骤3；

步骤5，在reachable_hostids集合中，获取下一个未遍历的主机节点，得到该主机节点的脆弱点集合vuls；如果脆弱点集合vuls中还有未遍历的脆弱点，转步骤6；否则，转步骤4；

步骤6，在脆弱点集合vuls中，获取下一个未被遍历的脆弱点，若脆弱点被利用的条件满足，且利用后的网络状态不在状态队列中，转步骤7；若脆弱点被利用的条件满足但利用后的网络状态已存在状态队列中，转步骤8；

步骤7，就生成一个新的状态节点，并生成一个当前状态节点到新状态节点的状态变迁，同时将新状态节点加入状态队列中，并标记为“未遍历”，转步骤6；

步骤8，则只生成一个从当前状态节点到旧状态节点的一个变迁，转步骤6；

步骤9，根据状态变迁关系构建一个完整的状态攻防图，结束。

第四步，结合安全脆弱点评估系统（Common Vulnerability Scoring System，CVSS），计算状态攻防图中各原子攻击的成功概率和危害指数，其中原子攻击成功的概率计算公式为

原子攻击危害指数的计算公式为

。

第五步，计算状态攻防图中所有攻击路径的成功概率和危害指数，攻击路径成功概率的计算为所有组成该攻击路径的原子攻击成功概率的乘积；攻击路径危害指数的计算为所有组成该攻击路径的原子攻击危害指数之和。在该步骤中，攻击路径用三元组表示，其中是发起攻击的主机节点名称，是遭受攻击的主机节点名称，是此次攻击的攻击序列，，其中“”是该序列的起始标识符，“”是该序列的结束标示符，，是原子攻击，是的直接前驱，是的直接后继。

第六步，根据状态攻防图，建立网络安全博弈模型。该步骤中，网络安全博弈模型NSGM是一个三元组，NSGM = (P,S,T,U)，其中表示参与攻防博弈的局中人集合，为攻击者，为防御者；表示网络安全状态构成的集合；表示局中人的策略集合，为攻击者的在状态节点下的策略集合，即为攻击者到达安全状态下所有攻击路径构成的集合，为防御者在安全状态下的策略集合，即为攻击者到达安全状态下所有攻击路径对应防御措施构成的集合；表示局中人的效用函数集合，为攻击者在安全状态下的效用函数，为防御者在安全状态下的效用函数。

第七步，在不同的网络安全状态下，计算攻防双方采用不同攻防策略时的效用值，进而得到攻防效用矩阵。攻防双方采用不同攻防策略时的效用值描述为：攻击者的效用等于攻击者的收益和攻击者的攻击成本之差，防御者的效用等于由防御者的收益和防御者的防御成本之差。

第八步，基于非合作非零和博弈模型，运用最优攻防决策算法，求解最优攻防策略。其中，最优攻防决策算法的步骤如下：

步骤1，输入权利要求1所述的第三步中生成的状态攻防图，根据状态攻防图初始化网络安全博弈模型NSGM=(P,S,T,U)；

步骤2，针对网络安全状态集合S，判断S中是否还有未遍历的状态s_i，如果网络安全状态集合S中还有未遍历的状态节点，转步骤3；否则，算法结束，退出；

步骤3，获取未遍历的状态，从状态攻防图中，获取到达状态的所有攻击路径和防御路径，分别作为攻击策略集合Tⁱ _A=(tⁱ _A1, tⁱ _A2,_…, tⁱ _Am)和防御策略集合Tⁱ _D=(tⁱ _D1, tⁱ _D2,_…, tⁱ _Dn)，并将状态的遍历标记置为“已遍历”；

步骤4，根据上述得到的攻击策略集合Tⁱ _A和防御策略集合Tⁱ _D，生成它们的笛卡尔积集合，即Tⁱ _A Tⁱ _D；

步骤5，判断Tⁱ _A Tⁱ _D集合中是否还有未遍历的攻防策略对，即(tⁱ _Aj,tⁱ _Dk,)Tⁱ _A Tⁱ _D，如果有，转第六步；否则，转步骤7；

步骤6，在Tⁱ _A Tⁱ _D集合中，获取下一个未遍历的攻防策略对(tⁱ _Aj, tⁱ _Dk,)，根据攻击路径的成功概率和危害指数，计算该策略对的效用值，转步骤5；

步骤7，生成网络安全状态下不同攻防策略的效用矩阵U ⁱ；

步骤8，调用混合策略纳什均衡求解算法，计算状态下状态节点s_i的最优攻击策略pⁱ _A=(pⁱ _A1,pⁱ _A2,…,pⁱ _Am)和防御策略 pⁱ _D=(pⁱ _D1,pⁱ _D2,…,pⁱ _Dn) ；

步骤9，将步骤8得到的最优攻击策略pⁱ _A和最优防御策略pⁱ _D，分别加入到最优攻击策略集p_A 和最优防御策略集p_D中，转步骤2。

进一步地，步骤8中混合策略纳什均衡的计算，采用非线性规划求解混合策略纳什均衡方法如下：在状态下，设攻击策略集，防御策略集，用矩阵表示攻击方的效用矩阵，其中表示攻击方在策略组合下的效用值，即；用矩阵表示防御方的效用矩阵，其中表示防御方在策略组合下的效用值，即，设攻击方和防御方的混合策略的概率分布分别为和，则，。

纳什均衡的定义为：在安全状态下，攻防策略对是一个纳什均衡，当且仅当对每一个局中人，（）是对另一局中人的最优对策：对于，；对于，；混合策略的定义为：给定一个网络安全博弈模型NSGM，在安全状态下，攻防双方策略和的概率分布分别是和，且满足；混合策略纳什均衡定义为：给定一个网络安全博弈模型NSGM，在安全状态下，攻防双方的混合策的略概率分布为和，则攻防双方的期望效用分别为

混合策略是纳什均衡当且仅当该混合策略是攻防双方的最优混合策略，即满足：对于；对于。

特别地，一个两人有限混合策略博弈的纳什均衡可通过求解以下非线性规划问题得到：

Max            

s.t.              

                          

                          

                          

其中，和分别表示单位向量矩阵和，和分别表示攻击方和防御方在纳什均衡下的期望效用。

第九步，根据纳什均衡的解，结合脆弱点防控措施，制定最优防御策略。

本发明以图2所示的网络系统为例来说明具体的实施步骤。图2所示的网络系统中有一台公共Web服务器，一台FTP服务，一台数据库服务器和一台邮件服务器。分别用server1，server2，server3和server4表示。网络防火墙只允许外部主机访问Web服务器上的服务，其他的外部访问均被阻止。以具体实施时：

第一步，由图2所示的拓扑图和各主机节点间的访问关系可知，建立可达矩阵如下，

其中，1表示访问连通，0表示访问不连通。

第二步，利用脆弱点扫描工具Nessus、ISS和SARA三种脆弱点扫描工具，对网络系统中的各服务器节点进行扫描，得到各服务器节点的脆弱点集合如下表1所示。

表1

设Nessus，ISS和SARA三种工具的准确率分别为0.9，0.8和0.7，根据文献（刘刚, 李千目, 张宏. 信度向量正交投影分解的网络安全分析评估方法[J]. 电子与信息学报. 2012, 34(8):1934-1938.）中的正交投影分解算法可得server1中脆弱点CVE-2005-0768的信度为1，server2中脆弱点CVE-2004-2366和CVE-2005-1415的信度分别为0.6469和0.3531；server3中脆弱点CVE-2003-0500和CVE-2004-0010的信度分别为0.7083和0.2917，server4中脆弱点CVE-2003-0694的信度为1。

第三步，根据图3所示的状态攻防图的构建算法，结合各服务器节点的脆弱点集合和各脆弱点的利用规则构建状态攻防图。图2所示的网络系统的攻防攻击图如图4所示。

第四步，根据图4，结合安全脆弱点评估系统（Common Vulnerability Scoring System，CVSS），计算状态攻防图中各原子攻击的成功概率和危害指数。其中原子攻击成功的概率计算公式为

原子攻击危害指数的计算公式为

其中AccessVector、AccessComplexity、Authentication、ConfImpact、IntegImpact和AvailImpact表示的含义及其取值可参阅安全脆弱点评估系统（CVSS）和美国脆弱点数据库（NVD）。

表1中所列的脆弱点相关信息如表2所示。

表2

第五步，计算状态攻防图中所有攻击路径的成功概率和危害指数。攻击路径成功概率的计算为所有组成该攻击路径的原子攻击成功概率的乘积；攻击路径危害指数的计算为所有组成该攻击路径的原子攻击危害指数之和。攻击路径用三元组表示，其中是发起攻击的主机节点名称，是遭受攻击的主机节点名称，是此次攻击的攻击序列，，其中“”是该序列的起始标识符，“”是该序列的结束标示符，，是原子攻击，是的直接前驱，是的直接后继。从图4可以看出，从攻击者出发，到达各个网络安全状态的攻击路径如表3所示。

表3

第六步，从表3可以清楚的看出，各攻击路径成功的概率和危害指数。以server2节点为例，从攻击者出发，到达网络安全状态（server2，User）的攻防策略共有五种，各策略对应的效用矩阵如表4所示。

表4

按照图5描述的最优攻防决策算法和混合博弈纳什均衡计算方法，结合表4攻防双方的效用矩阵，针对网络安全状态(server2, User)，可得到一个纯策略纳什均衡((0,0,0,0,1),(0,0,0,0,1))和混合策略纳什均衡((0,0,0,0.5561607,0.4438393),(0,0,0,1,0))。即攻击者的最优攻击策略为1-5-11，防御者的最优防御策略为1-5-11；或者攻击者以0.5561697的概率选择攻击策略1-5-10和以0.4438393的概率选择攻击策略1-5-11，防御者的采取1-5-11防御措施。所以对于防御者来说，不管攻击者选取何种攻击策略，防御者可同时采取1-5-10和1-5-11两种防御措施，即防御策略为升级Server1上的GoodTech Telnet Server，针对server4上的脆弱点CVE-2003-0694打Sendmail补丁，在server2上升级globalSCAPE为修复版本。可最大程度的保证攻击者获取server2的User权限无法实现。

同样，对于（server3，User）网络安全状态，攻防双方各策略对应的效用矩阵如表5所示，可得到一个纯策略纳什均衡((0,0,0,1),(0,0,0,1))。

表5

对于（server4，User）网络安全状态，攻防双方各策略对应的效用矩阵如表6所示，可得到一个纯策略纳什均衡((0,0,0,1),(0,0,0,1))。

表6

因此，根据上述计算结果，在考虑攻防双方成本收益的情况下，攻防双方的最优攻防决策如表7所示。

表7

本发明未涉及部分均与现有技术相同或可采用现有技术加以实现。

Claims (2)

1.一种攻防博弈的网络安全最优攻防决策方法，其特征在于包括以下步骤：

第一步，根据网络拓扑中所有主机节点的连通性构建可达矩阵；

第二步，利用脆弱点扫描工具Nessus、ISS和SARA，对网络中的各主机节点进行扫描，得到各主机节点的脆弱点集合；

第三步，根据各主机节点的脆弱点集合和各脆弱点的利用规则构建状态攻防图；

第四步，结合安全脆弱点评估系统，计算状态攻防图中各原子攻击的成功概率和危害指数；

第五步，计算状态攻防图中所有攻击路径的成功概率和危害指数；

第六步，根据状态攻防图，建立网络安全博弈模型；

第七步，在不同的网络安全状态下，计算攻防双方采用不同攻防策略时的效用值，进而得到攻防效用矩阵；

第八步，基于非合作非零和博弈模型，运用最优攻防决策算法，求解最优攻防策略；

第九步，根据纳什均衡的解，结合脆弱点防控措施，制定最优防御策略；

其中，所述的第三步中，状态攻防图为一个状态转换系统图 ；其中，是图中的状态节点集，表示网络安全状态；是图中边集，表示网络安全状态的变迁关系，每条边代表一个原子攻击；是网络初始状态，是攻击者目标状态集合；所述的状态节点用二元组表示，其中是该网络安全状态下安全要素发生变化的主机节点名称，是到达该状态节点时攻击者获得主机上的权限；所述的状态变迁用五元组表示，其中是状态变迁编号，是该原子攻击所利用的脆弱点编号，r是原子攻击成功发生后造成的危害，p是原子攻击成功发生的概率，d是防御原子攻击发生的防御措施。

2.根据权利要求1所述的攻防博弈的网络安全最优攻防决策方法，其特征在于：所述的第三步中，状态攻防图的构建算法步骤如下：

步骤1，算法输入网络拓扑可达矩阵RM、各主机节点的脆弱点集合VS、各脆弱点的利用规则IB和网络初始安全状态s₀；

步骤2，将网络初始安全状态s₀加入状态队列中，标记为“未遍历”，state_queue = { s₀}；

步骤3，如果状态队列还有未遍历的状态节点，获取未遍历的状态节点，从可达矩阵RM中获取该状态节点对应主机可到达的主机节点集合reachable_hostids，将该状态节点标记为“已遍历”，转步骤4；否则，转步骤9；

步骤4，针对第三步得到的主机节点集合reachable_hostids，若reachable_hostids中有未遍历的主机节点，转步骤5；否则，转步骤3；

步骤5，在reachable_hostids集合中，获取下一个未遍历的主机节点，得到该主机节点的脆弱点集合vuls；如果脆弱点集合vuls中还有未遍历的脆弱点，转步骤6；否则，转步骤4；

步骤6，在脆弱点集合vuls中，获取下一个未被遍历的脆弱点，若脆弱点被利用的条件满足，且利用后的网络状态不在状态队列中，转步骤7；若脆弱点被利用的条件满足但利用后的网络状态已存在状态队列中，转步骤8；

步骤7，就生成一个新的状态节点，并生成一个当前状态节点到新状态节点的状态变迁，同时将新状态节点加入状态队列中，并标记为“未遍历”，转步骤6；

步骤8，则只生成一个从当前状态节点到旧状态节点的一个变迁，转步骤6；

步骤9，根据状态变迁关系构建一个完整的状态攻防图，结束。