CN107147670B - 基于博弈体系的apt防御方法 - Google Patents
基于博弈体系的apt防御方法 Download PDFInfo
- Publication number
- CN107147670B CN107147670B CN201710457193.7A CN201710457193A CN107147670B CN 107147670 B CN107147670 B CN 107147670B CN 201710457193 A CN201710457193 A CN 201710457193A CN 107147670 B CN107147670 B CN 107147670B
- Authority
- CN
- China
- Prior art keywords
- attack
- defense
- attacker
- defender
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000007123 defense Effects 0.000 title claims abstract description 106
- 238000000034 method Methods 0.000 title claims abstract description 34
- 230000008901 benefit Effects 0.000 claims abstract description 26
- 238000001514 detection method Methods 0.000 claims abstract description 12
- 238000005265 energy consumption Methods 0.000 claims description 10
- 230000009471 action Effects 0.000 claims description 4
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 4
- 230000008569 process Effects 0.000 description 8
- 230000009286 beneficial effect Effects 0.000 description 3
- 230000002265 prevention Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000003204 osmotic effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明涉及一种基于博弈体系的APT防御方法。根据纳什均衡策略可得出最佳的应对措施,能够有效解决传统入侵检测系统在检测上运用人工干预所导致的低效性。本发明通过查看网络的脆弱点,根据网络拓扑结构获取攻击者可能采取的全部攻击策略;在博弈体系中,根据影响攻击者收益因素计算攻击者收益;根据影响防御者收益因素计算防御者收益;在纳什均衡前提下获取防御者利益最大化。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种基于博弈体系的APT防御方法。
背景技术
随着网络规模的不断扩大和网络结构的不断复杂化,网络安全问题引起全球的关注,大量网络攻击行为对国家的政治和商业都带来摧毁性的伤害。高级持续性威胁(Advanced Persistent Threat,APT)攻击已成为近期较热门的网络攻击话题,它通常以步步为营的渗透入侵策略,隐蔽地攻击每个特定的目标。
现如今,博弈理论已被广泛运用于网络入侵检测中,在博弈过程中,每个决策者都会选择对自己最有利的策略,并且自身的利益受其他决策者策略的影响。而纳什均衡是一种策略组合,使得每个决策者的策略是其他决策者策略的最优反应。若一个博弈存在纳什均衡,决策者选择纳什均衡策略的收益一定比没选择纳什均衡策略的收益高。基于网络攻防双方所固有的博弈本质,根据纳什均衡策略可得出最佳的应对措施,能够有效解决传统入侵检测系统在检测上运用人工干预所导致的低效性。由于攻击者和防御者都会选择最佳的攻击和防御策略,因此本发明提出一种基于博弈论的APT防御方法。
发明内容
本发明的目的在于提供一种基于博弈体系下获取防御者利益最大化的APT防御方法。
为实现上述目的,本发明的技术方案是:一种基于博弈体系的APT防御方法,包括如下步骤,
S1、查看网络的脆弱点,通过网络拓扑结构获取攻击者可能采取的攻击策略;
S2、在博弈体系中,根据影响攻击者收益因素计算攻击者收益;根据影响防御者收益因素计算防御者收益;
S3、在纳什均衡前提下获取防御者利益最大化。
在本发明一实施例中,在步骤S1中,将APT攻击认为是攻击者采取的攻击手段;APT攻击路径用Sa表示,Sai∈Sa,i=1,2,...,N,N为路径总数,即攻击者采取的攻击策略总数;j表示攻击策略中的攻击环节,M为采取攻击策略Sai所需要的攻击环节总数,即网络结构中Sai的节点数;且认为被攻击后的正常节点都会转变为攻击节点。
在本发明一实施例中,所述影响攻击者收益的因素包括:
A1、攻击者实施策略导致正常节点数据包丢失的数量;
A2、攻击者自身消耗的能量成本,该能量成本指攻击节点消耗的平均带宽;
A3、防御者是否有防御策略以及采取的防御策略。
在本发明一实施例中,所述影响防御者收益的因素包括:
D1、防御措施成功防御攻击;
D2、防御措施将正常节点数据包拦截的数量;
D3、防御者自身消耗的能量成本,该能量成本指防御者消耗的平均带宽。
在本发明一实施例中,所述步骤S3的具体实现方式如下:
由于攻击节点实施的攻击没被检测出来的概率λ与正常节点发送的数据包被拦截的概率δ都与攻击节点发送的数据包速率有关,
那么攻击者的收益可表示为:
防御者的收益可表示为:
其中,V表示攻击目标具有的价值;表示节点j与攻击目标节点的关联程度;表示攻击者对节点j的控制能力;表示攻击者攻击节点j时的供给成本;表示防御者的防御策略是否有效,有效时无效则I表示防御者采取策略;y表示攻击节点y时防御者的防御策略有效;Cd表示防御者成本;Cdp表示防御者实施防御措施时将正常节点数据包拦截的损失价值。
在本发明一实施例中,APT攻击方式包括网络探测、欺骗、会话劫持、拒绝服务攻击、缓冲区溢出攻击、口令探测、社交工程、物理攻击、木马、隐藏踪迹;APT攻击目的包括无、读取文件、远程访问、获取本地用户权限、访问根目录;对于攻击者而言,不同的攻击方式将带来不同的攻击成本,而不同攻击目的也将会带来不同的收益;攻击者的攻击策略为一种或多种组合的攻击方式。
在本发明一实施例中,所述攻击者的收益包括以下情况的收益:
(1)在不攻击与不防御、不攻击与防御这两种情况下,攻击者所获的收益都为零;
(2)对于攻击与防御情况,若攻击者选择攻击M个节点的策略i以达到攻击目标节点的目的,防御者采取策略I进行防御,并且在攻击节点y时防御者的防御策略有效,即且则攻击者选择策略i时的收益可表示为:
(3)对于攻击与不防御情况,即防御者对攻击者的任何攻击不采取任何防御措施时,因此,攻击者收益可以表示为:
其中,V表示攻击目标具有的价值;表示节点j与攻击目标节点的关联程度;表示攻击者对节点j的控制能力;表示攻击者攻击节点j时的供给成本;表示防御者的防御策略是否有效,有效时无效则
在本发明一实施例中,所述防御者收益包括以下情况的收益:
(1)对于不攻击与不防御情况,防御者所获的收益为零;
(2)对于不攻击与防御情况,防御者收益受自身消耗能量成本和失误拦截正常节点数据包数量的影响;假设防御者实施防御措施时将正常节点数据包拦截的损失价值设为Cdp,那么防御者采用策略I时收益可表示为:
PdI=-Cd-Cdp
(3)对于攻击与不防御情况,防御者对于攻击者的任何攻击不实施任何防御措施,因此不会产生自身的能量消耗,也不会失误拦截正常节点的数据包,但不防御行为会导致正常节点受攻击而造成正常数据包的丢失;因此防御者在该种情况下采用策略I时收益可表示为:
(4)对于攻击与防御情况,防御者的收益受自身能量消耗、失误拦截正常数据包、防御措施成功防御攻击这三种因素的影响,因此防御者在该情况下采用策略I的收益可表示为:
其中,V表示攻击目标具有的价值;表示节点j与攻击目标节点的关联程度;表示攻击者对节点j的控制能力;表示防御者的防御策略是否有效,有效时无效则I表示防御者采取策略;y表示攻击节点y时防御者的防御策略有效;Cd表示防御者成本;Cdp表示防御者实施防御措施时将正常节点数据包拦截的损失价值。
在本发明一实施例中,由于该博弈是非合作博弈,防御者的最终目的是在纳什均衡的前提下使自身的收益提高,对方的收益下降,因此防御者只需找到满足:使Pd尽可能大,而Pa尽可能小的参数组合。
相较于现有技术,本发明具有以下有益效果:本发明通过查看网络的脆弱点,根据网络拓扑结构获取攻击者可能采取的全部攻击策略;在博弈体系中,根据影响攻击者收益因素计算攻击者收益;根据影响防御者收益因素计算防御者收益;在纳什均衡前提下获取防御者利益最大化。
附图说明
图1为实施基于博弈体系的APT防御方法的流程示意图。
图2为攻击者访问数据库服务器的网络拓扑实例图。
具体实施方式
下面结合附图1-2,对本发明的技术方案进行具体说明。
本发明最关键的构思在于:在博弈体系中,攻击者的目标是找到最优的攻击策略,以此达到花费最小,受益最大的目的;而防御者的目的也是找到最优的防御策略,以此来降低攻击者的收益。假设每个攻击者都是理性攻击者,即总是以收益最大化来做出攻击策略,并且该博弈过程为一次性博弈,即双方若选定策略之后,将不会改变各自的策略直到博弈过程结束。
如图1所示,所述的基于博弈体系的APT防御方法为:
查看网络的脆弱点,通过网络拓扑结构获取攻击者可能采取的全部攻击策略;
在博弈体系中,根据影响攻击者收益因素计算攻击者收益;
在博弈体系中,根据影响防御者收益因素计算防御者收益;
在纳什均衡前提下获取防御者利益最大化。
从上述描述可知,本发明的有益效果在于:纳什均衡能够使非合作双方在博弈体系中处于利益最大化,在纳什均衡前提下获取防御者利益最大化的组合参数,可以实现防御者提高自身利益,减小攻击者利益的最终目的。
本发明涉及的参数指代见表1:
| A | 攻击者 |
| D | 防御者 |
| Sa | 攻击者策略 |
| Sd | 防御者策略 |
| Ca | 攻击者成本 |
| Cd | 防御者成本 |
| Pa | 攻击者所获利益 |
| Pd | 防御者所获利益 |
进一步的,查看网络的脆弱点,推测APT攻击者可能采取的全部攻击策略的方法为:
本方法最关键的构思在于:APT攻击方式可以分为网络探测、欺骗、会话劫持、拒绝服务攻击、缓冲区溢出攻击、口令探测、社交工程、物理攻击、木马、隐藏踪迹等;攻击目的可分为无、读取文件、远程访问、获取本地用户权限、访问根目录等。对于攻击者而言,不同的攻击方式将带来不同的攻击成本,例如木马攻击和缓冲区溢出攻击所产生的攻击成本不同,而不同攻击目的也将会带来不同的收益,例如获取本地用户权限的利益比获取根目录访问权限小。攻击者的攻击策略可以是一种攻击方式,也可以是组合攻击方式。
我们将APT攻击路径认为是攻击者策略。APT攻击路径用Sa表示,Sai∈Sa,i=1,2,...,N,N为路径总数,即攻击者可采取的攻击策略总数。j表示策略中的某个攻击环节,M为采取策略Sai所需要的攻击环节总数,即网络结构中Sai的节点数。假设被攻击后的正常节点都会转变为攻击节点。
如图2所示,攻击者有两种方法访问数据库服务器,第一种方法是先获取Smtp服务器的本地用户权限,然后再获取数据库服务器的根目录访问权限;第二种方法是先获取Ftp服务器的本地用户权限,再获取数据库服务器的根目录访问权限。因此该攻击者拥有两条攻击路径来攻击目标节点,即Sa1和Sa2,而每条路径又都具有两个攻击环节,即M=2。
进一步的,在博弈过程中,攻击者收益计算方法如下:
本方法最关键的构思在于:一般情况下,防御者会根据攻击者的工作做出防御措施,因此攻击者的收益受防御者是否采取措施以及采取何种措施有关。对于相同的攻击方式可以有多种防御措施,例如可以利用关闭服务器或关闭端口等措施来应对网络探测;例如遇到攻击者采取缓冲区溢出攻击,防御者可以通过对系统中的数据访问进行越界检查,或是只允许执行在代码空间的指令等措施来提高系统的安全性。防御者将根据实际情况采取最佳的防御措施。
攻击者收益涉及以下几个参数:
V(Value):表示攻击目标具有的价值,V≥0,该价值主要包括商业价值、社会价值等,该值视具体情况而定。
表示节点j与攻击目标节点的关联程度,一般情况下,当时,表示不能通过节点j攻击到目标节点,而当时表示该节点j就是目标节点。
表示攻击者对节点j的控制能力,当时,表示攻击者没有任何权限对节点j进行控制和毁坏,而当时,表示攻击者已经获取节点j的根目录访问权限,并且具有控制和毁坏该节点的全部能力。
表示攻击者攻击节点j时的供给成本。
表示防御者的防御策略是否有效。该参数与防御者是否采取防御策略与采取何种策略有关。假设策略i中有两个环节,即和当防御者策略对环节无效,即防御者不能在这一环节阻止攻击者的进一步攻击,则当防御者可以在环节阻止攻击者进一步进攻,即对目标节点没安全威胁,则认为防御者的防御策略有效,则一般,我们认为防御者策略是否有效是一个确认情况,因此为离散值,即要么要么另外我们定义,对于路径i而言,若则且
在博弈体系中,参与者包括攻击者和防御者,攻击者的行动分为攻击与不攻击,而对于防御者而言,由于采取防御措施会消耗能量而增加防御成本,在实际情况中防御者不一定需要时刻开启防御措施,因此防御者的行动可分为防御和不防御。最终的博弈过程具有四种情况,即“不攻击与不防御”、“不攻击与防御”、“攻击与不防御”、“攻击与防御”。
影响攻击者收益的因素有:
A1、攻击者实施策略导致正常节点数据包丢失的数量;
A2、攻击者自身消耗的能量成本,该能量成本指攻击节点消耗的平均带宽;
A3、防御者是否有防御策略和采取何种防御策略。
攻击者在博弈过程具有以下四种情况的收益:
(1)在“不攻击与不防御”、“不攻击与防御”这两种情况下,攻击者所获的收益都为零;
(2)对于“攻击与防御”情况,若攻击者选择攻击M个节点的策略i以达到攻击目标节点的目的,防御者采取策略I进行防御,并且在攻击节点y时防御者的防御策略有效,即且则攻击者选择策略i时的收益可表示为:
(3)对于“攻击与不防御”情况,即防御者对攻击者的任何攻击不采取任何防御措施时,因此,攻击者收益可以表示为:
进一步的,防御者收益的计算方法如下:
影响防御者收益的因素有:
D1、防御措施成功防御攻击;
D2、防御措施将正常节点数据包拦截的数量;
D3、防御者自身消耗的能量成本,该能量成本指防御者消耗的平均带宽;
防御者在博弈过程具有以下四种情况的收益:
(1)对于“不攻击与不防御”情况,防御者所获的收益为零;
(2)对于“不攻击与防御”情况,防御者收益受自身消耗能量成本和失误拦截正常节点数据包数量的影响。假设防御者实施防御措施时将正常节点数据包拦截的损失价值设为Cdp,那么防御者采用策略I时收益可表示为:
PdI=-Cd-Cdp
(3)对于“攻击与不防御”情况,防御者对于攻击者的任何攻击不实施任何防御措施,因此不会产生自身的能量消耗,也不会失误拦截正常节点的数据包,但不防御行为会导致正常节点受攻击而造成正常数据包的丢失。因此防御者在该种情况下采用策略I时收益可表示为:
(4)对于“攻击与防御”情况,防御者的收益受自身能量消耗、失误拦截正常数据包、防御措施成功防御攻击这三种因素的影响,因此防御者在该情况下采用策略I的收益可表示为:
进一步的,在纳什均衡过程中获取防御者利益最大化的方法为:
本方法最关键的构思在于:一般在纳什均衡体系中,只有当攻击者攻击且防御者防御时,才能获得各自的利益最大化,即“攻击与防御”情况是一组纳什均衡。但在实际情况下,攻击节点实施的攻击没被检测出来与正常节点发送的数据包被拦截是概率性事件,存在“攻击与不防御”、“不攻击与防御”情况。因为攻击节点实施的攻击没被检测出来的概率(λ)与正常节点发送的数据包被拦截的概率(δ)都与攻击节点发送的数据包速率有关,对于速率较高的数据包,没被检测出来的概率较低,正常节点发送的数据包被拦截的概率也较低,而对于速率较低的数据包,没被检测出来的概率较高,正常节点发送数据包被拦截的概率也较高。
那么攻击者的收益可表示为:
防御者的收益可表示为:
由于该博弈是非合作博弈,防御者的最终目的是在纳什均衡的前提下使自身的收益提高,对方的收益下降,因此防御者只需找到满足
使Pd尽可能大,而Pa尽可能小的参数组合。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等同变换,或直接或间接运用在相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (6)
1.一种基于博弈体系的APT防御方法,其特征在于:包括如下步骤,
S1、查看网络的脆弱点,通过网络拓扑结构获取攻击者可能采取的攻击策略;
S2、在博弈体系中,根据影响攻击者收益因素计算攻击者收益;根据影响防御者收益因素计算防御者收益;
S3、在纳什均衡前提下获取防御者利益最大化;
在步骤S1中,将APT攻击认为是攻击者采取的攻击手段;APT攻击路径用Sa表示,Sai∈Sa,i=1,2,...,N,N为攻击路径总数,即攻击者采取的攻击策略总数; 表示攻击策略Sai中的第j攻击环节,即表示攻击策略Sai中的第j节点,M为采取攻击策略Sai所需要的攻击环节总数,即网络结构中Sai的节点数;且认为被攻击后的正常节点都会转变为攻击节点;
所述步骤S3的具体实现方式如下:
由于攻击节点实施的攻击没被检测出来的概率λ与正常节点发送的数据包被拦截的概率δ都与攻击节点发送的数据包速率有关,
那么攻击者的收益可表示为:
防御者的收益可表示为:
其中,V表示攻击目标具有的价值;表示第j节点与攻击目标节点的关联程度;表示攻击者对第j节点的控制能力;表示攻击者攻击第j节点时的供给成本;表示防御者的防御策略是否有效,有效时无效则I表示防御者采取策略;y表示攻击者攻击节点时防御者的防御策略有效的节点;Cd表示防御者成本;Cdp表示防御者实施防御措施时将正常节点数据包拦截的损失价值;Pai、分别表示攻击与不防御情况下攻击者收益、攻击与防御情况下攻击者选择策略Sai时的收益。
2.根据权利要求1所述的基于博弈体系的APT防御方法,其特征在于:所述影响攻击者收益的因素包括:
A1、攻击者实施策略导致正常节点数据包丢失的数量;
A2、攻击者自身消耗的能量成本,该能量成本指攻击节点消耗的平均带宽;
A3、防御者是否有防御策略以及采取的防御策略。
3.根据权利要求1所述的基于博弈体系的APT防御方法,其特征在于:所述影响防御者收益的因素包括:
D1、防御措施成功防御攻击;
D2、防御措施将正常节点数据包拦截的数量;
D3、防御者自身消耗的能量成本,该能量成本指防御者消耗的平均带宽。
4.根据权利要求1所述的基于博弈体系的APT防御方法,其特征在于:APT攻击方式包括网络探测、欺骗、会话劫持、拒绝服务攻击、缓冲区溢出攻击、口令探测、社交工程、物理攻击、木马、隐藏踪迹;APT攻击目的包括无、读取文件、远程访问、获取本地用户权限、访问根目录;对于攻击者而言,不同的攻击方式将带来不同的攻击成本,而不同攻击目的也将会带来不同的收益;攻击者的攻击策略为一种或多种组合的攻击方式。
5.根据权利要求2所述的基于博弈体系的APT防御方法,其特征在于:所述攻击者的收益包括以下情况的收益:
(1)在不攻击与不防御、不攻击与防御这两种情况下,攻击者所获的收益都为零;
(2)对于攻击与防御情况,若攻击者选择攻击M个节点的策略Sai以达到攻击目标节点的目的,防御者采取策略I进行防御,并且在攻击节点y时防御者的防御策略有效,即且则攻击者选择策略Sai时的收益可表示为:
(3)对于攻击与不防御情况,即防御者对攻击者的任何攻击不采取任何防御措施时,y=M;因此,攻击者收益可以表示为:
其中,V表示攻击目标具有的价值;表示第j节点与攻击目标节点的关联程度;表示攻击者对第j节点的控制能力;表示攻击者攻击第j节点时的供给成本;表示防御者的防御策略是否有效,有效时无效则
6.根据权利要求3所述的基于博弈体系的APT防御方法,其特征在于:所述防御者收益包括以下情况的收益:
(1)对于不攻击与不防御情况,防御者所获的收益为零;
(2)对于不攻击与防御情况,防御者收益受自身消耗能量成本和失误拦截正常节点数据包数量的影响;假设防御者实施防御措施时将正常节点数据包拦截的损失价值设为Cdp,那么防御者采用策略I时收益可表示为:
PdI=-Cd-Cdp
(3)对于攻击与不防御情况,防御者对于攻击者的任何攻击不实施任何防御措施,因此不会产生自身的能量消耗,也不会失误拦截正常节点的数据包,但不防御行为会导致正常节点受攻击而造成正常数据包的丢失;因此防御者在该种情况下采用策略I时收益可表示为:
(4)对于攻击与防御情况,防御者的收益受自身能量消耗、失误拦截正常数据包、防御措施成功防御攻击这三种因素的影响,因此防御者在该情况下采用策略I的收益可表示为:
其中,V表示攻击目标具有的价值;表示第j节点与攻击目标节点的关联程度;表示攻击者对第j节点的控制能力;表示防御者的防御策略是否有效,有效时无效则I表示防御者采取策略;y表示攻击者攻击节点时防御者的防御策略有效的节点;Cd表示防御者成本;Cdp表示防御者实施防御措施时将正常节点数据包拦截的损失价值,Pai、分别表示攻击与不防御情况下攻击者收益、攻击与防御情况下攻击者选择策略Sai时的收益。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710457193.7A CN107147670B (zh) | 2017-06-16 | 2017-06-16 | 基于博弈体系的apt防御方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710457193.7A CN107147670B (zh) | 2017-06-16 | 2017-06-16 | 基于博弈体系的apt防御方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107147670A CN107147670A (zh) | 2017-09-08 |
| CN107147670B true CN107147670B (zh) | 2019-12-06 |
Family
ID=59781475
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710457193.7A Active CN107147670B (zh) | 2017-06-16 | 2017-06-16 | 基于博弈体系的apt防御方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107147670B (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107819785B (zh) * | 2017-11-28 | 2020-02-18 | 东南大学 | 一种面向电力系统虚假数据注入攻击的双层防御方法 |
| CN109120646B (zh) * | 2018-07-18 | 2021-02-02 | 北京理工大学 | 基于蒙特卡洛图搜索算法的网络最佳防御体系构建方法 |
| CN110049497B (zh) * | 2019-04-11 | 2022-09-09 | 北京工业大学 | 移动雾计算中一种面向用户的智能攻击防御方法 |
| CN110213236B (zh) * | 2019-05-05 | 2022-09-27 | 深圳市腾讯计算机系统有限公司 | 确定业务安全风险的方法、电子设备及计算机存储介质 |
| CN110784487B (zh) * | 2019-11-07 | 2021-08-31 | 广东技术师范大学 | 一种基于数据包抽检模型的sdn节点防御方法 |
| CN111447182B (zh) * | 2020-03-05 | 2021-01-01 | 清华大学 | 链路洪泛攻击的防御方法及链路洪泛攻击模拟方法 |
| CN112003854B (zh) * | 2020-08-20 | 2023-03-24 | 中国人民解放军战略支援部队信息工程大学 | 基于时空博弈的网络安全动态防御决策方法 |
| CN112261016A (zh) * | 2020-10-12 | 2021-01-22 | 国网甘肃省电力公司电力科学研究院 | 一种攻击场景下的电网防护方法 |
| CN114157446B (zh) * | 2021-10-15 | 2023-03-28 | 西安交通大学 | 抵抗骨干链路DDoS攻击的方法、系统、设备及可读存储介质 |
| CN114844668A (zh) * | 2022-03-17 | 2022-08-02 | 清华大学 | 一种防御资源配置方法、装置、设备及可读介质 |
| CN114584394B (zh) * | 2022-03-31 | 2023-09-22 | 中国海洋大学 | 一种网络资源分配方法、系统、装置及介质 |
| CN115208618B (zh) * | 2022-05-24 | 2024-05-14 | 华北电力大学 | 基于多层次攻防博弈的新型电力系统apt攻击主动防御方法 |
| CN115333806A (zh) * | 2022-07-28 | 2022-11-11 | 中国银行股份有限公司 | 渗透测试攻击路径规划方法、装置、电子设备及存储介质 |
| CN115277250B (zh) * | 2022-09-23 | 2023-02-21 | 中国汽车技术研究中心有限公司 | 一种车端攻击路径识别方法、设备和存储介质 |
| CN115883252B (zh) * | 2023-01-09 | 2023-05-30 | 国网江西省电力有限公司信息通信分公司 | 一种基于移动目标防御的电力系统apt攻击防御方法 |
| CN116389075B (zh) * | 2023-03-08 | 2023-10-20 | 安芯网盾(北京)科技有限公司 | 一种主机攻击行为动态拦截方法及装置 |
| CN117061191B (zh) * | 2023-08-25 | 2024-05-10 | 哈尔滨工程大学 | 基于不完全信息博弈的诱饵文件部署方法、设备及介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045708A (zh) * | 2011-01-25 | 2011-05-04 | 河海大学常州校区 | 基于能量预测的无线传感器网络入侵检测方法 |
| CN103152345A (zh) * | 2013-03-07 | 2013-06-12 | 南京理工大学常熟研究院有限公司 | 一种攻防博弈的网络安全最优攻防决策方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8997232B2 (en) * | 2013-04-22 | 2015-03-31 | Imperva, Inc. | Iterative automatic generation of attribute values for rules of a web application layer attack detector |
| US10666677B2 (en) * | 2013-09-23 | 2020-05-26 | New York University | System, method and computer-accessible medium for deterrence of malware |
-
2017
- 2017-06-16 CN CN201710457193.7A patent/CN107147670B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102045708A (zh) * | 2011-01-25 | 2011-05-04 | 河海大学常州校区 | 基于能量预测的无线传感器网络入侵检测方法 |
| CN103152345A (zh) * | 2013-03-07 | 2013-06-12 | 南京理工大学常熟研究院有限公司 | 一种攻防博弈的网络安全最优攻防决策方法 |
Non-Patent Citations (1)
| Title |
|---|
| 基于攻防博弈模型的主动防御关键技术研究;姜伟;《中国博士学位论文全文数据库 信息科技辑》;20110831(第8期);正文第2-4章 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107147670A (zh) | 2017-09-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107147670B (zh) | 基于博弈体系的apt防御方法 | |
| CN103152345B (zh) | 一种攻防博弈的网络安全最优攻防决策方法 | |
| CN107070956B (zh) | 基于动态贝叶斯博弈的apt攻击预测方法 | |
| CN108898010A (zh) | 一种建立面向恶意代码防御的攻防随机博弈模型的方法 | |
| Patil et al. | A multilevel system to mitigate DDOS, brute force and SQL injection attack for cloud security | |
| Abdalzaher et al. | Using Stackelberg game to enhance node protection in WSNs | |
| CN111245828A (zh) | 一种基于三方动态博弈的防御策略产生方法 | |
| CN103401838A (zh) | 一种基于僵尸程序传播行为的僵尸网络预防方法 | |
| Wan et al. | Foureye: Defensive deception against advanced persistent threats via hypergame theory | |
| An et al. | A Novel Differential Game Model‐Based Intrusion Response Strategy in Fog Computing | |
| Zhang | Impact of defending strategy decision on DDoS attack | |
| Alahari et al. | Performance analysis of denial of service dos and distributed dos attack of application and network layer of iot | |
| CN109379322A (zh) | 一种完全信息条件下网络动态变换的决策方法及其系统 | |
| Yang et al. | A differential game approach to patch injection | |
| Prabha et al. | Mitigation of application traffic DDoS attacks with trust and AM based HMM models | |
| CN108259476B (zh) | 一种基于模糊诱导的防猜解绕过方法及其系统 | |
| CN117118674A (zh) | 基于时间博弈的网络攻击时间预测方法及系统 | |
| Gao et al. | A cyber deception defense method based on signal game to deal with network intrusion | |
| CN116248335A (zh) | 基于智能演化博弈的网络攻防策略选取方法及系统 | |
| Guan et al. | A Bayesian Improved Defense Model for Deceptive Attack in Honeypot-Enabled Networks | |
| Garg et al. | Accessing risk priority of SSL SYN attack using game theoretic attack defense tree model for VANETs | |
| Sun et al. | Selection of optimal strategy for moving target defense based on signal game | |
| Li et al. | Defending Against Man-In-The-Middle Attack in Repeated Games. | |
| Ding et al. | Network security defense model based on firewall and IPS | |
| Hassan et al. | Performance-aware malware epidemic confinement in large-scale iot networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Apt defense method based on game system Effective date of registration: 20210918 Granted publication date: 20191206 Pledgee: Industrial Bank Limited by Share Ltd. Fuzhou branch Pledgor: FUJIAN ZHONGXIN WANG 'AN INFORMATION TECHNOLOGY CO.,LTD. Registration number: Y2021350000115 |
|
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: He Ying Inventor after: Shen Chucheng Inventor after: Yang Yeliang Inventor after: Wu Cuiyun Inventor after: Lin Jie Inventor before: He Ying Inventor before: Shen Chucheng Inventor before: Yang Yeliang Inventor before: Wu Cuiyun Inventor before: Lin Jie |