CN107070956A

CN107070956A - 基于动态贝叶斯博弈的apt攻击预测方法

Info

Publication number: CN107070956A
Application number: CN201710457071.8A
Authority: CN
Inventors: 何颖; 沈楚成; 杨业良; 吴翠云; 林锴
Original assignee: Fujian Zhongxin Mdt Infotech Ltd
Current assignee: Fujian Zhongxin Mdt Infotech Ltd
Priority date: 2017-06-16
Filing date: 2017-06-16
Publication date: 2017-08-18
Anticipated expiration: 2037-06-16
Also published as: CN107070956B

Abstract

本发明涉及一种基于动态贝叶斯博弈的APT攻击预测方法。博弈双方通过当前获取的信息预测对方即将采取的行为，以自身利益最大化为目标采取应对措施；利用贝叶斯博弈均衡保证预测的有效性和合理性。本发明通过查看网络的脆弱点，根据网络拓扑结构获取攻击者和防御者可能采取的全部行为策略；在动态贝叶斯博弈体系中构建APT攻击预测模型，分析基于模型的博弈双方收益构成；通过分析攻击者和防御者双方的收益，预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率；本发明的动态贝叶斯博弈均衡将保证预测的有效性和合理性。

Description

基于动态贝叶斯博弈的APT攻击预测方法

技术领域

本发明涉及网络安全领域，特别涉及一种基于动态贝叶斯博弈的APT攻击预测方法。

背景技术

高级持续性威胁(Advanced Persistent Threat,APT)攻击已成为较热门的网络攻击形式，由于它的高危险性、难检测性、持续时间长和攻击目标明确等特征，已引起世界各界的广泛关注。APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。

一般的安全系统属于被动防御系统，即在攻击发生后才采取相应的防御措施，不能通过预测攻击行为来提前阻止攻击行为的发生，这将降低系统的安全性能。若攻击目标能够在攻击发生之前预测到攻击行为并及时采取防御措施，将能有效防止APT攻击行为发生。动态贝叶斯博弈是非合作的不完全信息的博弈，可通过攻击者的历史行为数据预测行为类型，并对攻击者采取的攻击行为类型概率进行动态修正；攻击者也可通过攻击目标的防御能力采取进一步攻击或选择不攻击，即博弈双方以自身利益最大化为原则，通过分析双方收益来预测下一博弈阶段将会采取的行为方式。贝叶斯博弈均衡将保证预测的有效性和合理性。因此本文提出一种基于动态贝叶斯博弈的APT攻击预测方法。

发明内容

本发明的目的在于提供一种以博弈者利益最大化为目的的基于动态贝叶斯博弈的APT攻击预测方法。

为实现上述目的，本发明的技术方案是：一种基于动态贝叶斯博弈的APT攻击预测方法，包括如下步骤，

S1、通过查看网络的脆弱点，根据网络拓扑结构获取攻击者和防御者可能采取的行为策略；

S2、在动态贝叶斯博弈体系中构建APT攻击预测模型，分析基于模型的攻击者和防御者博弈双方收益构成；

S3、通过分析攻击者和防御者双方的收益，预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率。

在本发明一实施例中，所述步骤S1中，通过漏洞扫描工具查看网络的脆弱点。

在本发明一实施例中，所述攻击者的收益构成包括包括三个变量：防御者没有检测出攻击时的收益、实施攻击的代价、被检测出攻击时受到的惩罚；所述防御者的收益构成包括三个变量：检测出攻击时的收益、没检测出攻击时的损失、阻止攻击的代价。

在本发明一实施例中，所述步骤S2中，为了获得博弈均衡，需要构造博弈树来分析攻击者和防御者双方的收益，预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率；构造博弈树的方法为海萨尼转换，即引入一个虚拟的博弈局中人Nature，Nature首先根据概率分布决定攻击者的类型，接着每个攻击者再根据概率分布选择攻击行为类别和行为方式，再次，每个防御者根据概率分布选择防御行为类别和防御方式；该过程一个重复迭代的过程，直到达到结束条件停止博弈。

在本发明一实施例中，APT攻击方式包括网络探测、欺骗、会话劫持、拒绝服务攻击、缓冲区溢出攻击、口令探测、社交工程、物理攻击、木马、隐藏踪迹；APT攻击目的包括无、读取文件、远程访问、获取本地用户权限、访问根目录；对于攻击者而言，不同的攻击方式将带来不同的攻击成本，而不同攻击目的也将会带来不同的收益；攻击者的攻击策略为一种或多种组合的攻击方式；防御者的行为策略则是根据攻击者采取的攻击行为而做相应改变。

在本发明一实施例中，所述步骤S2中，APT攻击预测模型可以表示为：

其中，T_k为各个博弈阶段的时间，k＝0,1,2,···,n(n∈Z⁺)；λ_a λ_d为博弈参与者的类型，λ_a，为攻击者的类型分别表示恶意攻击者和良性攻击者；λ_d表示防御者的类型，能够检测和阻止攻击；B(λ_a)，B(λ_d)为参与者可选择的行为类别，其中B(λ_a)＝{attack，not attack}，P[B(λ_a)]，P(B(λ_d)]为每个参与者在博弈时认为其他参与者的行为类别的先验概率；为每个参与者根据其他参与者的历史行为数据来修正其他参与者的行为类别的后验概率；G(λ_a)，G(λ_d)分别为攻击者和防御者可选择的攻击方式和防御方式；μ(λ_a)，μ(λ_d)为参与者在博弈阶段所选择的攻击方式或防御方式所获的收益；E表示博弈均衡的状态。

在本发明一实施例中，攻击者与防御者的收益构成的变量是在t时刻前的变量叠加和，可表示为y(t)＝y(g₁，t)*y(g₂，t+T)*…*y(g_n，t+(n-2)T)；其中，g_n为参与者所做的第n个行为类别；T为行为持续时间。

在本发明一实施例中，所述结束条件为：至少一个参与者达到目的或者放弃竞争。

相较于现有技术，本发明具有以下有益效果：本发明通过查看网络的脆弱点，根据网络拓扑结构获取攻击者和防御者可能采取的全部行为策略；在动态贝叶斯博弈体系中构建APT攻击预测模型，分析基于模型的博弈双方收益构成；通过分析攻击者和防御者双方的收益，预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率；本发明的动态贝叶斯博弈均衡将保证预测的有效性和合理性。

附图说明

图1为基于动态贝叶斯博弈的APT攻击预防流程图。

图2为基于动态贝叶斯博弈阶段构造的博弈树。

具体实施方式

下面结合附图1-2，对本发明的技术方案进行具体说明。

本发明最关键的构思在于：在动态贝叶斯博弈体系中，每个攻击者和防御者都是理性的参与者，不违背博弈均衡的原则，即都以自身利益最大化为原则，通过分析攻击者和防御者的收益，来预测下一博弈阶段攻击者和防御者将会采取的行为方式。每次博弈过程将包含多个博弈阶段，并且每个博弈阶段为一次性博弈，即双方若选定策略之后，将不会改变各自的策略直到该博弈阶段结束。

如图1所示，所述的基于动态贝叶斯博弈的APT攻击预防方法为：

通过查看网络的脆弱点，根据网络拓扑结构获取攻击者和防御者可能采取的全部行为策略；

在动态贝叶斯博弈体系中构建APT攻击预测模型，分析基于模型的博弈双方收益构成；

通过分析攻击者和防御者双方的收益，预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率。动态贝叶斯博弈均衡将保证预测的有效性和合理性。

从上述描述可知，本发明的有益效果在于：通过动态贝叶斯博弈过程，可以预测攻击者在下一博弈阶段将会采取的攻击行为方式。该预测可以为安全系统提供有价值的防御参考，将传统的防御方式变被动为主动，通过预测攻击行为来提前阻止攻击行为的发生，能够有效提高系统的安全性能。

进一步的，通过查看网络的脆弱点，根据网络拓扑结构获取攻击者和防御者可能采取的全部行为策略的方法为：

通过漏洞扫描工具对指定的网络系统的安全脆弱性进行检测，及时发现安全漏洞和网络的脆弱点，根据网络拓扑结构获取攻击者和防御者可能采取的全部行为策略。

本方法的关键构思在于：APT攻击方式可以分为网络探测、欺骗、会话劫持、拒绝服务攻击、缓冲区溢出攻击、口令探测、社交工程、物理攻击、木马、隐藏踪迹等；攻击目的可分为无、读取文件、远程访问、获取本地用户权限、访问根目录等。对于攻击者而言，不同的攻击方式将带来不同的攻击成本，例如木马攻击和缓冲区溢出攻击所产生的攻击成本不同，而不同攻击目的也将会带来不同的收益，例如获取本地用户权限的利益比获取根目录访问权限小。攻击者的攻击策略可以是一种攻击方式，也可以是组合攻击方式。防御者的行为策略则是根据攻击者采取的攻击行为而做相应改变。

进一步的，在动态贝叶斯博弈体系中构建APT攻击预测模型，分析基于模型的博弈双方收益构成方法为：

本方法最关键的假设在于：

(1)根据博弈参与者是同时博弈或是序列博弈决定博弈类型属于静态博弈或者动态博弈；根据博弈参与者是否拥有其他参与者的所有信息决定博弈类型属于完全信息博弈或不完全信息博弈。假设本发明的基于动态贝叶斯博弈的APT攻击预测方法是属于动态的、不完全信息的博弈类型；

(2)假设所有博弈参与者都是理性的竞争者，即所有参与者以自身利益最大化为目的选择博弈策略，不会违背博弈均衡的原理；

(3)假设该博弈为二人动态博弈，每个博弈参与者可以是一个人、一个团队或一个组织。

动态贝叶斯博弈体系的博弈过程是每个参与者以自身利益最大化为目的，根据已知信息和系统当前状态来选择下一步采取的行为策略。基于动态贝叶斯博弈体系，APT攻击预测模型可以表示为：

其中：

(1)T_k为各个博弈阶段的时间，T_k＝t_k+1-t_k，k＝0，1，2，…，n(n∈Z⁺)，其中t_k+1和t_k分别表示博弈参与者选择行为k+1和k的时刻；

(2)λ_a，λ_d为博弈参与者的类型，λ_a，为攻击者的类型，分别表示恶意攻击者(对网络造成一定威胁和破坏)和良性攻击者(正常访问网络节点)。λ_d表示防御者的类型，能够检测和阻止攻击者的攻击；

(3)B(λ_a)，B(λ_d)为参与者可选择的行为类别，其中B(λ_a)＝{attack，notattack}，B(λ_a1)＝{attack}，B(λ_a2)＝{not attack}，B(λ_d1)＝{defend}，B(λ_d2)＝{not defend}

(4)P[B(λ_a)]，P[B(λ_d)]为每个参与者在博弈时认为其他参与者是某种行为类别的先验概率；

(5)为每个参与者根据其他参与者的历史行为数据来修正其他参与者的行为类别的后验概率；

(6)G(λ_a)，G(λ_d)分别为攻击者和防御者可选择的攻击方式和防御方式，其中则攻击者有m种可选攻击方式，防御者有n种可选防御方式；

(7)μ(λ_a)，μ(λ_d)为参与者在博弈阶段选择某种攻击方式或防御方式所获的收益；

(8)E表示博弈均衡的状态，即博弈的结果，可根据该结果预测参与者的行为方式。

进一步的，在动态贝叶斯博弈体系中构建APT攻击预测模型，分析基于模型的博弈双方收益构成。收益是博弈双方选择行为类别的重要因素之一，并且受很多因素的影响。攻击者的收益构成包括三个变量：防御者没有检测出攻击时的收益、实施攻击的代价、被检测出攻击时受到的惩罚；防御者的收益构成也包括三个变量：检测出攻击时的收益、没检测出攻击时的损失、阻止攻击的代价。

本发明涉及的博弈变量含义解释详见表1：

表1博弈变量含义表

一般情况下，

在动态贝叶斯博弈过程中，选择攻击的攻击者收益可表示为：

在动态贝叶斯博弈过程中，选择不攻击的攻击者收益可表示为：

在动态贝叶斯博弈过程中，当攻击者选择攻击行为类别时，选择防御的防御者收益可表示为：

在动态贝叶斯博弈过程中，当攻击者选择不攻击行为类别时，选择防御的防御者收益可表示为：

本方法最关键的构思在于：每个参与者收益构成的变量并不是在t时刻产生的数值，而是t时刻前的变量叠加和，可表示为y(t)＝y(g₁，t)*y(g₂，t+T)*…*y(g_n，t+(n-1)T)。其中g_n为参与者所做的第n个行为类别；T为行为持续时间。

进一步的，通过构造博弈树分析攻击者和防御者双方的收益，预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率。构造博弈树的方法为海萨尼转换，即引入一个虚拟的博弈局中人“Nature”，如图2所示。Nature首先根据概率分布决定攻击者的类型，接着每个攻击者再根据概率分布选择攻击行为类别和行为方式，再次，每个防御者根据概率分布选择防御行为类别和防御方式。

进一步的，动态博弈过程实质是通过不断修正对方选择行为类别后验概率并选择最有利行为类别的过程。当攻击者在T_i博弈阶段选择某个攻击行为方式时，攻击者会预测到防御者在该攻击行为发生后修正攻击者自身选择行为方式的后验概率。因此，攻击者也会预测到防御者将在T_i+1博弈阶段会选择的防御行为类别，那么攻击者则会在T_i+1博弈阶段选择最有利于自己的行为类别。

若选择攻击行为类别的攻击者在T_i博弈阶段选择行为方式防御者修正该攻击者选择行为类别的后验概率可表示为：

其中表示攻击者从T₁至T_i博弈阶段的历史行为方式类别序列，是先验概率；是攻击者在T_i博弈阶段可选的行为方式分布概率。

进一步的，假设攻击者以α的概率选择attack行为类别，

(1)若防御者选择defend行为类别，则防御者的收益可表示为：

(2)若防御者选择notdefend行为类别，则防御者的收益可表示为：

因此当μ(λ_d1)＝μ(λ_d2)，即当攻击者选择attack行为类别的概率为

对于防御者而言选择任何防御行为都无差别。

进一步的，假设防御者以γ的概率选择defend行为类别，

(1)若攻击者选择attack行为类别，则攻击者的收益可表示为：

(2)若攻击者选择not attack行为类别，则攻击者的收益可表示为：

μ(λ_a2)＝0；

因此当μ(λ_a1)＝μ(λ_a2)，即防御者选择defend行为类别的概率为

对于攻击者而言选择任何攻击行为都无差别。

该发明的关键构思在于：这是一个重复迭代的过程，直到达到结束条件停止博弈。至少一个参与者达到目的或者放弃竞争都将视为结束条件。根据以上基于动态贝叶斯博弈的APT攻击预测模型可知，攻击者和防御者会按照后验概率和均衡体系下的行为类别概率来选择最优的行为方式。动态贝叶斯博弈均衡将保证预测的有效性和合理性。

以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等同变换，或直接或间接运用在相关的技术领域，均同理包括在本发明的专利保护范围内。

以上是本发明的较佳实施例，凡依本发明技术方案所作的改变，所产生的功能作用未超出本发明技术方案的范围时，均属于本发明的保护范围。

Claims

1.一种基于动态贝叶斯博弈的APT攻击预测方法，其特征在于：包括如下步骤，

2.根据权利要求1所述的基于动态贝叶斯博弈的APT攻击预测方法，其特征在于：所述步骤S1中，通过漏洞扫描工具查看网络的脆弱点。

3.根据权利要求1所述的基于动态贝叶斯博弈的APT攻击预测方法，其特征在于：所述攻击者的收益构成包括包括三个变量：防御者没有检测出攻击时的收益、实施攻击的代价、被检测出攻击时受到的惩罚；所述防御者的收益构成包括三个变量：检测出攻击时的收益、没检测出攻击时的损失、阻止攻击的代价。

4.根据权利要求1所述的基于动态贝叶斯博弈的APT攻击预测方法，其特征在于：所述步骤S2中，为了获得博弈均衡，需要构造博弈树来分析攻击者和防御者双方的收益，预测理性攻击者在下一个博弈阶段会选择的攻击行为的概率；构造博弈树的方法为海萨尼转换，即引入一个虚拟的博弈局中人Nature，Nature首先根据概率分布决定攻击者的类型，接着每个攻击者再根据概率分布选择攻击行为类别和行为方式，再次，每个防御者根据概率分布选择防御行为类别和防御方式；该过程一个重复迭代的过程，直到达到结束条件停止博弈。

5.根据权利要求1所述的基于动态贝叶斯博弈的APT攻击预测方法，其特征在于：APT攻击方式包括网络探测、欺骗、会话劫持、拒绝服务攻击、缓冲区溢出攻击、口令探测、社交工程、物理攻击、木马、隐藏踪迹；APT攻击目的包括无、读取文件、远程访问、获取本地用户权限、访问根目录；对于攻击者而言，不同的攻击方式将带来不同的攻击成本，而不同攻击目的也将会带来不同的收益；攻击者的攻击策略为一种或多种组合的攻击方式；防御者的行为策略则是根据攻击者采取的攻击行为而做相应改变。

6.根据权利要求1所述的基于动态贝叶斯博弈的APT攻击预测方法，其特征在于：所述步骤S2中，APT攻击预测模型可以表示为：

<mfenced open = "" close = ""> <mtable> <mtr> <mtd> <mrow> <mi>A</mi> <mi>P</mi> <mi>T</mi> <mi>P</mi> <mo>=</mo> <mo>{</mo> <msub> <mi>T</mi> <mi>k</mi> </msub> <mo>;</mo> <msub> <mi>&lambda;</mi> <mi>a</mi> </msub> <mo>,</mo> <msub> <mi>&lambda;</mi> <mover> <mi>a</mi> <mo>&OverBar;</mo> </mover> </msub> <mo>,</mo> <msub> <mi>&lambda;</mi> <mi>d</mi> </msub> <mo>;</mo> <mi>B</mi> <mrow> <mo>(</mo> <msub> <mi>&lambda;</mi> <mi>a</mi> </msub> <mo>)</mo> </mrow> <mo>,</mo> <mi>B</mi> <mrow> <mo>(</mo> <msub> <mi>&lambda;</mi> <mover> <mi>a</mi> <mo>&OverBar;</mo> </mover> </msub> <mo>)</mo> </mrow> <mo>,</mo> <mi>B</mi> <mrow> <mo>(</mo> <msub> <mi>&lambda;</mi> <mi>d</mi> </msub> <mo>)</mo> </mrow> <mo>;</mo> <mi>P</mi> <mo>&lsqb;</mo> <mi>B</mi> <mo>(</mo> <msub> <mi>&lambda;</mi> <mi>a</mi> </msub> <mo>&rsqb;</mo> <mo>,</mo> <mi>P</mi> <mrow> <mo>&lsqb;</mo> <mrow> <mi>B</mi> <mrow> <mo>(</mo> <msub> <mi>&lambda;</mi> <mover> <mi>a</mi> <mo>&OverBar;</mo> </mover> </msub> <mo>)</mo> </mrow> </mrow> <mo>&rsqb;</mo> </mrow> <mo>,</mo> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mi>P</mi> <mrow> <mo>&lsqb;</mo> <mrow> <mi>B</mi> <mrow> <mo>(</mo> <msub> <mi>&lambda;</mi> <mi>d</mi> </msub> <mo>)</mo> </mrow> </mrow> <mo>&rsqb;</mo> </mrow> <mo>;</mo> <mover> <mi>P</mi> <mo>~</mo> </mover> <mo>&lsqb;</mo> <mi>B</mi> <mo>(</mo> <msub> <mi>&lambda;</mi> <mi>a</mi> </msub> <mo>&rsqb;</mo> <mo>,</mo> <mover> <mi>P</mi> <mo>~</mo> </mover> <mrow> <mo>&lsqb;</mo> <mrow> <mi>B</mi> <mrow> <mo>(</mo> <msub> <mi>&lambda;</mi> <mover> <mi>a</mi> <mo>&OverBar;</mo> </mover> </msub> <mo>)</mo> </mrow> </mrow> <mo>&rsqb;</mo> </mrow> <mo>,</mo> <mover> <mi>P</mi> <mo>~</mo> </mover> <mrow> <mo>&lsqb;</mo> <mrow> <mi>B</mi> <mrow> <mo>(</mo> <msub> <mi>&lambda;</mi> <mi>d</mi> </msub> <mo>)</mo> </mrow> </mrow> <mo>&rsqb;</mo> </mrow> <mo>;</mo> <mi>G</mi> <mrow> <mo>(</mo> <msub> <mi>&lambda;</mi> <mi>a</mi> </msub> <mo>)</mo> </mrow> <mo>,</mo> <mi>G</mi> <mrow> <mo>(</mo> <msub> <mi>&lambda;</mi> <mi>d</mi> </msub> <mo>)</mo> </mrow> <mo>;</mo> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mi>&mu;</mi> <mrow> <mo>(</mo> <msub> <mi>&lambda;</mi> <mi>a</mi> </msub> <mo>)</mo> </mrow> <mo>,</mo> <mi>&mu;</mi> <mrow> <mo>(</mo> <msub> <mi>&lambda;</mi> <mi>d</mi> </msub> <mo>)</mo> </mrow> <mo>;</mo> <mi>E</mi> <mo>}</mo> </mrow> </mtd> </mtr> </mtable> </mfenced>

其中，T_k为各个博弈阶段的时间，k＝0,1,2,…,n(n∈Z⁺)；λ_a，λ_d为博弈参与者的类型，λ_a，为攻击者的类型分别表示恶意攻击者和良性攻击者；λ_d表示防御者的类型，能够检测和阻止攻击；B(λ_a)，B(λ_d)为参与者可选择的行为类别，其中B(λ_a)＝{attack，notattack}，为每个参与者在博弈时认为其他参与者的行为类别的先验概率；为每个参与者根据其他参与者的历史行为数据来修正其他参与者的行为类别的后验概率；G(λ_a)，G(λ_d)分别为攻击者和防御者可选择的攻击方式和防御方式；μ(λ_a)，μ(λ_d)为参与者在博弈阶段所选择的攻击方式或防御方式所获的收益；E表示博弈均衡的状态。

7.根据权利要求3所述的基于动态贝叶斯博弈的APT攻击预测方法，其特征在于：攻击者与防御者的收益构成的变量是在t时刻前的变量叠加和，可表示为y(t)＝y(g₁，t)*y(g₂，t+T)*…*y(g_n，t+(n-1)T)；其中，g_n为参与者所做的第n个行为类别；T为行为持续时间。

8.根据权利要求4所述的基于动态贝叶斯博弈的APT攻击预测方法，其特征在于：所述结束条件为：至少一个参与者达到目的或者放弃竞争。