CN108322478B - 一种基于攻防博弈的网站防御策略选取方法 - Google Patents

Abstract

本发明公开了一种基于攻防博弈的网站防御策略选取方法，包括：一、防御资源集合的建立；二、攻击者集合的建立；三、确定攻击者的最佳决策；四、防御效用的计算及最优防御策略的选取。本发明方法步骤简单、设计合理、且实现方便，通过多次模拟攻击获得攻击者的最佳决策，进而获得防御者的最优防御策略，更接近真实地攻防博弈过程，提高了网站防御策略选取的准确性和实用性。

Description

一种基于攻防博弈的网站防御策略选取方法

技术领域

本发明属于网站防御策略技术领域，具体涉及一种基于攻防博弈的网站防御策略选取方法。

背景技术

随着网路技术和社会信息化进度的不断发展，网站规模日趋复杂，网站安全问题日益突出。同时，随着黑色产业链带来的每年数千万级的海量病毒和海量攻击加剧了攻击和防御的不对称，网站安全形势发生了巨大变化，使用传统的防御策略已经很难提供有效的防御保障，亟需通过对网站攻防行为进行分析和预测，进而实施主动安全防御。

就网站攻防的本质而言，是一个策略相互影响的动态变化过程，攻击方和防御方两个具有理性思维能力的主体根据对方策略的选择来调整自身策略以确保自身收益。因而使用博弈的思想来解决网站攻防问题已经成为当前网站安全研究领域的一大热点。但现有方案大都采用了完全理性假设，由于在现实网站攻防中很难满足，假设的局限性降低了研究成果的价值和实用性。

发明内容

本发明所要解决的技术问题在于针对上述现有技术中的不足，提供一种基于攻防博弈的网站防御策略选取方法，其方法步骤简单、设计合理、且实现方便，通过多次模拟攻击获得攻击者的最佳决策，进而获得防御者的最优防御策略，更接近真实地攻防博弈过程，提高了网站防御策略选取的准确性和实用性。

为解决上述技术问题，本发明采用的技术方案是：一种基于攻防博弈的网站防御策略选取方法，其特征在于，该方法包括以下步骤：

步骤一、防御资源集合的建立：采用数据处理器建立防御资源集合d_p，所述防御资源集合包括多类防御资源，多类所述防御资源均不相同，所述防御资源集合d_p表示为d_p＝{d₁,d₂,d₃,...,d_n}，且设定防御资源投资的最大值；

多类所述防御资源中第i类防御资源记作d_i，多类所述防御资源中第i类防御资源的单价记作q_i；其中，i为正整数且i＝1、2、3、…、n，n为防御资源种类的数量；

步骤二、攻击者集合的建立：采用所述数据处理器建立网站攻击者集合，所述网站攻击者集合包括多个攻击者，t为攻击者的总数；

步骤三、确定攻击者的最佳决策，具体过程如下：

步骤301、设定多组攻击者分别对网站发起多次攻击，多组所述攻击者的数量均不相同，且每组所述攻击者均属于所述网站攻击者集合；

步骤302、多组攻击者分别对网站发起多次攻击，获得多组攻击者分别发起多次攻击后的攻击总效用，多组攻击者分别发起多次攻击后的攻击总效用的获取方法均相同，对任一组攻击者发起多次攻击后的攻击总效用的获取过程如下：

步骤3021、设定多组攻击者中第e组攻击者的数量为t_e，e为正整数，且e＝1、2、3、…、T，T为攻击者的组数，t_e的取值范围为1≤t_e≤t，且t_e为整数；

步骤3022、在第e组攻击者对网站发起第g次攻击的过程中，得到成功攻击的攻击者数量估算值和攻击者完成准备但没有成功进行攻击的攻击者数量估算值

且所述成功攻击的攻击者数量估算值包括成功攻击且被抓住的攻击者数量估算值

和成功攻击且不被抓住的攻击者数量估算值

其中，

且

g为正整数，且g＝1、2、3、…、m，m为攻击的次数，ξ_eg表示第e组攻击者对网站发起第g次攻击成功进行的概率，θ_eg表示第e组攻击者对网站发起第g次攻击成功但被抓的概率；

步骤3023、采用所述数据处理器根据公式

得到第e组攻击者在第g次攻击后的攻击者预期收益C_eg；其中，ω表示单个攻击者攻击成功所能得到的收益,f_p表示单个攻击者攻击成功但被抓住时面临犯罪的罚款，q_p表示单个攻击者每次攻击的准备成本；

步骤3024、采用所述数据处理器根据公式u_eg＝exp(k_A·C_eg)，得到第e组攻击者在第g次攻击后的攻击效用u_eg；其中，k_A为攻击者风险系数，0＜k_A＜0.1；

步骤3025、采用所述数据处理器根据公式

得到第e组攻击者发起m次攻击后的攻击总效用Ψ_e；

步骤3026、重复步骤3022至步骤3025所述的方法，直至得到T组攻击者分别发起m次攻击后的攻击总效用；

步骤303、采用所述数据处理器将步骤3026中得到的T组攻击者分别发起m次攻击后的攻击总效用按照从大到小的顺序进行排序，得到最大攻击总效用Ψ_max，则最大攻击总效用Ψ_max所对应的攻击者组中攻击者数量为最佳攻击者数量t^*，即攻击者的最佳决策；

步骤四、防御效用的计算及最优防御策略的选取，具体过程如下：

步骤401、采用所述数据处理器根据公式

得到最佳攻击者数量为t^*时网站的防御能力b；其中，γ_b表示随着攻击者数量的增加网站的防御能力下降的速度，且0＜γ_b＜0.1，b_r表示网站的最低防御能力，b_r＞0，b₀表示现有防御资源下攻击者数量为零时网站的防御能力，b₀＞0；

步骤402、采用所述数据处理器根据

得到防御资源投资C_fh；其中，

表示第i类防御资源d_i的配置数量，所述防御资源投资C_fh均不大于步骤一中设定的防御资源投资的最大值；

步骤403、采用所述数据处理器根据公式C_Dh＝b-b₀-C_fh，得到网站管理的防御收支C_Dh，并采用所述数据处理器根据公式u_Dh＝-exp(-k_D·C_Dh)，得到网站管理的防御效用u_Dh；其中，k_D为防御风险系数，且0＜k_D＜0.1；

步骤404、按照步骤402至步骤403所述的方法，得到在多类防御资源配置数量不同情况下网站管理的防御效用；

步骤405、采用所述数据处理器将步骤404中得到在多类防御资源配置数量不同情况下网站管理的防御效用按照从大到小的顺序进行排序，得到最大网站管理的防御效用u_Dmax，则选取最大网站管理的防御效用u_Dmax所对应的防御资源的配置数量为最优防御策略。

上述的一种基于攻防博弈的网站防御策略选取方法，其特征在于：步骤3022中所述第e组攻击者对网站发起第g次攻击成功进行的概率ξ_eg服从第一贝塔分布，即ξ_eg～Beta(α_ξ,β_ξ)，α_ξ和β_ξ满足如下：

0＜σ_ξ＜0.1；

其中，Beta(α_ξ,β_ξ)为第一贝塔分布，α_ξ和β_ξ均为第一贝塔分布的形状参数，E_ξ表示第一贝塔分布的期望值，σ_ξ表示第一贝塔分布的方差值，μ_i表示第i类防御资源d_i的配置数量每增加一个单位攻击成功减少的比率，0＜μ_i＜1，ξ₀表示防御资源对攻击成功的影响因子，ξ_r表示即使防御资源无限量部署攻击也会进行的概率，0＜ξ_r＜0.1，0＜ξ_r+ξ₀＜0.4；

步骤3022中所述第e组攻击者对网站发起第g次攻击成功但被抓的概率θ_eg服从第二贝塔分布，即θ_eg～Beta(α_θ,β_θ)，α_θ和β_θ满足如下：

0＜σ_θ＜0.1；

其中，Beta(α_θ,β_θ)为第二贝塔分布，α_θ和β_θ均为第二贝塔分布的形状参数，E_θ表示第二贝塔分布的期望值，σ_θ表示第二贝塔分布的方差值。

上述的一种基于攻防博弈的网站防御策略选取方法，其特征在于：所述攻击的次数m的取值范围为m＞200。

本发明与现有技术相比具有以下优点：

1、方法步骤简单，设计合理，且实现方便。

2、通过多组攻击者分别对网站发起多次攻击，综合考虑了不同的攻击环境变化，从而得到攻击者的最优决策决策，使攻击者的决策更加贴近实际。

3、在攻防双方的交互博弈过程中，考虑了攻防双方的成本和收益，可以帮助网站管理员有限的资源投资实现网站安全防御的最大化，做出最优的防御决策。

4、实用性和适应性强，管理员可以根据不同的安全需求进行最优防御策略的选择和实施,最大效率地达到网站安全防护的目的。

5、真实且准确性，通过多次模拟攻击获得最大攻击者随机期望效用，从而得到攻击者的最佳决策，进而根据攻击者的最佳决策来进行防御资源配置数量的选择，从而获得防御者的最优防御策略，更接近真实地攻防博弈过程，提高了网站防御策略选取的准确性和实用性，可以为网站管理员选取最优防御策略提供极大帮助。

综上所述，本发明方法方法步骤简单、设计合理、且实现方便，通过多次模拟攻击获得攻击者的最佳决策，进而获得防御者的最优防御策略，更接近真实地攻防博弈过程，提高了网站防御策略选取的准确性和实用性。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

图1为本发明的方法流程框图。

具体实施方式

如图1所示，本发明攻防博弈的网站防御策略选取方法，包括以下步骤：

步骤一、防御资源集合的建立：采用数据处理器建立防御资源集合d_p，所述防御资源集合包括多类防御资源，多类所述防御资源均不相同，所述防御资源集合d_p表示为d_p＝{d₁,d₂,d₃,...,d_n}，且设定防御资源投资的最大值；

多类所述防御资源中第i类防御资源记作d_i，多类所述防御资源中第i类防御资源的单价记作q_i；其中，i为正整数且i＝1、2、3、…、n，n为防御资源种类的数量；

步骤二、攻击者集合的建立：采用所述数据处理器建立网站攻击者集合，所述网站攻击者集合包括多个攻击者，t为攻击者的总数；

步骤三、确定攻击者的最佳决策，具体过程如下：

步骤301、设定多组攻击者分别对网站发起多次攻击，多组所述攻击者的数量均不相同，且每组所述攻击者均属于所述网站攻击者集合；

步骤302、多组攻击者分别对网站发起多次攻击，获得多组攻击者分别发起多次攻击后的攻击总效用，多组攻击者分别发起多次攻击后的攻击总效用的获取方法均相同，对任一组攻击者发起多次攻击后的攻击总效用的获取过程如下：

步骤3021、设定多组攻击者中第e组攻击者的数量为t_e，e为正整数，且e＝1、2、3、…、T，T为攻击者的组数，t_e的取值范围为1≤t_e≤t，且t_e为整数；

步骤3022、在第e组攻击者对网站发起第g次攻击的过程中，得到成功攻击的攻击者数量估算值和攻击者完成准备但没有成功进行攻击的攻击者数量估算值

且所述成功攻击的攻击者数量估算值包括成功攻击且被抓住的攻击者数量估算值

和成功攻击且不被抓住的攻击者数量估算值

其中，

且

g为正整数，且g＝1、2、3、…、m，m为攻击的次数，ξ_eg表示第e组攻击者对网站发起第g次攻击成功进行的概率，θ_eg表示第e组攻击者对网站发起第g次攻击成功但被抓的概率；

步骤3023、采用所述数据处理器根据公式

得到第e组攻击者在第g次攻击后的攻击者预期收益C_eg；其中，ω表示单个攻击者攻击成功所能得到的收益,f_p表示单个攻击者攻击成功但被抓住时面临犯罪的罚款，q_p表示单个攻击者每次攻击的准备成本；

步骤3024、采用所述数据处理器根据公式u_eg＝exp(k_A·C_eg)，得到第e组攻击者在第g次攻击后的攻击效用u_eg；其中，k_A为攻击者风险系数，0＜k_A＜0.1；

步骤3025、采用所述数据处理器根据公式

得到第e组攻击者发起m次攻击后的攻击总效用Ψ_e；

步骤3026、重复步骤3022至步骤3025所述的方法，直至得到T组攻击者分别发起m次攻击后的攻击总效用；

步骤303、采用所述数据处理器将步骤3026中得到的T组攻击者分别发起m次攻击后的攻击总效用按照从大到小的顺序进行排序，得到最大攻击总效用Ψ_max，则最大攻击总效用Ψ_max所对应的攻击者组中攻击者数量为最佳攻击者数量t^*，即攻击者的最佳决策；

步骤四、防御效用的计算及最优防御策略的选取，具体过程如下：

步骤401、采用所述数据处理器根据公式

得到最佳攻击者数量为t^*时网站的防御能力b；其中，γ_b表示随着攻击者数量的增加网站的防御能力下降的速度，且0＜γ_b＜0.1，b_r表示网站的最低防御能力，b_r＞0，b₀表示现有防御资源下攻击者数量为零时网站的防御能力，b₀＞0；

步骤402、采用所述数据处理器根据

得到防御资源投资C_fh；其中，

表示第i类防御资源d_i的配置数量，所述防御资源投资C_fh均不大于步骤一中设定的防御资源投资的最大值；

步骤403、采用所述数据处理器根据公式C_Dh＝b-b₀-C_fh，得到网站管理的防御收支C_Dh，并采用所述数据处理器根据公式u_Dh＝-exp(-k_D·C_Dh)，得到网站管理的防御效用u_Dh；其中，k_D为防御风险系数，且0＜k_D＜0.1；

步骤404、按照步骤402至步骤403所述的方法，得到在多类防御资源配置数量不同情况下网站管理的防御效用；

步骤405、采用所述数据处理器将步骤404中得到在多类防御资源配置数量不同情况下网站管理的防御效用按照从大到小的顺序进行排序，得到最大网站管理的防御效用u_Dmax，则选取最大网站管理的防御效用u_Dmax所对应的防御资源的配置数量为最优防御策略。

本实施例中，步骤301中多组攻击者分别对网站发起多次攻击，是为了综合考虑了不同的攻击环境变化，从而得到攻击者的最优决策决策，使攻击者的决策更加贴近实际。

本实施例中，步骤3023中考虑了攻击者预期收支，且步骤403中考虑了网站管理的防御收支，在攻防双方的交互博弈过程中，考虑了攻防双方的成本和收益，可以帮助网站管理员有限的资源投资实现网站安全防御的最大化，做出最优的防御决策。

本实施例中，步骤404中得到多类防御资源配置数量不同情况下网站管理的防御效用，从而可以使网站的管理员根据不同的安全需求进行最优防御策略的选择和实施,最大效率地达到网站安全防护的目的。

本实施例中，步骤三中通过多次模拟攻击获得攻击者的最佳决策，从而得到攻击者的最佳攻击效用，步骤四中进而根据攻击者的最佳决策来进行防御资源配置数量的选择，从而获得防御者的最优防御策略，更接近真实地攻防博弈过程，提高了网站防御策略选取的准确性和实用性，可以为网站管理员选取最优防御策略提供极大帮助。

本实施例中，攻击效用取决于攻击者实施行动获得的收益和付出的成本，设定攻击者的风险偏好不变，从而得到每次攻击后的攻击效用。

本实施例中，攻击效用表示攻击者所获得的预期收益与攻击者不同数量组合之间的关系，以衡量攻击者在攻击者数量不同的情况下所能获取的收益的满足程度。

本实施例中，防御能力在防御投资金额固定的情况下随着对网站攻击的攻击者数量变化而变化。

本实施例中，实际防御策略选取过程中，b_r和b₀均为已知常数。

本实施例中，步骤3022中所述第e组攻击者对网站发起第g次攻击成功进行的概率ξ_eg服从第一贝塔分布，即ξ_eg～Beta(α_ξ,β_ξ)，α_ξ和β_ξ满足如下：

0＜σ_ξ＜0.1；

其中，Beta(α_ξ,β_ξ)为第一贝塔分布，α_ξ和β_ξ均为第一贝塔分布的形状参数，E_ξ表示第一贝塔分布的期望值，σ_ξ表示第一贝塔分布的方差值，μ_i表示第i类防御资源d_i的配置数量每增加一个单位攻击成功减少的比率，0＜μ_i＜1，ξ₀表示防御资源对攻击成功的影响因子，ξ_r表示即使防御资源无限量部署攻击也会进行的概率，0＜ξ_r＜0.1，0＜ξ_r+ξ₀＜0.4；

步骤3022中所述第e组攻击者对网站发起第g次攻击成功但被抓的概率θ_eg服从第二贝塔分布，即θ_eg～Beta(α_θ,β_θ)，α_θ和β_θ满足如下：

0＜σ_θ＜0.1；

其中，Beta(α_θ,β_θ)为第二贝塔分布，α_θ和β_θ均为第二贝塔分布的形状参数，E_θ表示第二贝塔分布的期望值，σ_θ表示第二贝塔分布的方差值。

本实施例中，所述攻击的次数m的取值范围为m＞200。

本实施例中，通过设定攻击的次数m，选择m的不小于200，是因为，攻击模拟次数越多，偶然性影响越小，消除随机性的影响，从而使攻击者的决策更加贴近实际。

本实施例中，攻击者的组数T不小于攻击者的总数t，保证多次模拟攻击获得攻击者的最佳决策更准确。

综上所述，本发明方法步骤简单、设计合理、且实现方便，通过多次模拟攻击获得攻击者的最佳决策，进而获得防御者的最优防御策略，更接近真实地攻防博弈过程，提高了网站防御策略选取的准确性和实用性。

以上所述，仅是本发明的较佳实施例，并非对本发明作任何限制，凡是根据本发明技术实质对以上实施例所作的任何简单修改、变更以及等效结构变化，均仍属于本发明技术方案的保护范围内。

Claims (3)

1.一种基于攻防博弈的网站防御策略选取方法，其特征在于，该方法包括以下步骤：

步骤一、防御资源集合的建立：采用数据处理器建立防御资源集合d_p，所述防御资源集合包括多类防御资源，多类所述防御资源均不相同，所述防御资源集合d_p表示为d_p＝{d₁,d₂,d₃,...,d_n}，且设定防御资源投资的最大值；

多类所述防御资源中第i类防御资源记作d_i，多类所述防御资源中第i类防御资源的单价记作q_i；其中，i为正整数且i＝1、2、3、…、n，n为防御资源种类的数量；

步骤二、攻击者集合的建立：采用所述数据处理器建立网站攻击者集合，所述网站攻击者集合包括多个攻击者，t为攻击者的总数；

步骤三、确定攻击者的最佳决策，具体过程如下：

步骤301、设定多组攻击者分别对网站发起多次攻击，多组所述攻击者的数量均不相同，且每组所述攻击者均属于所述网站攻击者集合；

步骤302、多组攻击者分别对网站发起多次攻击，获得多组攻击者分别发起多次攻击后的攻击总效用，多组攻击者分别发起多次攻击后的攻击总效用的获取方法均相同，对任一组攻击者发起多次攻击后的攻击总效用的获取过程如下：

步骤3021、设定多组攻击者中第e组攻击者的数量为t_e，e为正整数，且e＝1、2、3、…、T，T为攻击者的组数，t_e的取值范围为1≤t_e≤t，且t_e为整数；

步骤3022、在第e组攻击者对网站发起第g次攻击的过程中，得到成功攻击的攻击者数量估算值和攻击者完成准备但没有成功进行攻击的攻击者数量估算值

且所述成功攻击的攻击者数量估算值包括成功攻击且被抓住的攻击者数量估算值

和成功攻击且不被抓住的攻击者数量估算值

其中，

且

g为正整数，且g＝1、2、3、…、m，m为攻击的次数，ξ_eg表示第e组攻击者对网站发起第g次攻击成功进行的概率，θ_eg表示第e组攻击者对网站发起第g次攻击成功但被抓的概率；

步骤3023、采用所述数据处理器根据公式

得到第e组攻击者在第g次攻击后的攻击者预期收益C_eg；其中，ω表示单个攻击者攻击成功所能得到的收益,f_p表示单个攻击者攻击成功但被抓住时面临犯罪的罚款，q_p表示单个攻击者每次攻击的准备成本；

步骤3024、采用所述数据处理器根据公式u_eg＝exp(k_A·C_eg)，得到第e组攻击者在第g次攻击后的攻击效用u_eg；其中，k_A为攻击者风险系数，0＜k_A＜0.1；

步骤3025、采用所述数据处理器根据公式

得到第e组攻击者发起m次攻击后的攻击总效用Ψ_e；

步骤3026、重复步骤3022至步骤3025所述的方法，直至得到T组攻击者分别发起m次攻击后的攻击总效用；

步骤303、采用所述数据处理器将步骤3026中得到的T组攻击者分别发起m次攻击后的攻击总效用按照从大到小的顺序进行排序，得到最大攻击总效用Ψ_max，则最大攻击总效用Ψ_max所对应的攻击者组中攻击者数量为最佳攻击者数量t^*，即攻击者的最佳决策；

步骤四、防御效用的计算及最优防御策略的选取，具体过程如下：

步骤401、采用所述数据处理器根据公式

得到最佳攻击者数量为t^*时网站的防御能力b；其中，γ_b表示随着攻击者数量的增加网站的防御能力下降的速度，且0＜γ_b＜0.1，b_r表示网站的最低防御能力，b_r＞0，b₀表示现有防御资源下攻击者数量为零时网站的防御能力，b₀＞0；

步骤402、采用所述数据处理器根据

得到防御资源投资C_fh；其中，

表示第i类防御资源d_i的配置数量，所述防御资源投资C_fh均不大于步骤一中设定的防御资源投资的最大值；

步骤403、采用所述数据处理器根据公式C_Dh＝b-b₀-C_fh，得到网站管理的防御收支C_Dh，并采用所述数据处理器根据公式u_Dh＝-exp(-k_D·C_Dh)，得到网站管理的防御效用u_Dh；其中，k_D为防御风险系数，且0＜k_D＜0.1；

步骤404、按照步骤402至步骤403所述的方法，得到在多类防御资源配置数量不同情况下网站管理的防御效用；

步骤405、采用所述数据处理器将步骤404中得到在多类防御资源配置数量不同情况下网站管理的防御效用按照从大到小的顺序进行排序，得到最大网站管理的防御效用u_Dmax，则选取最大网站管理的防御效用u_Dmax所对应的防御资源的配置数量为最优防御策略；攻击者的组数T不小于攻击者的总数t。

2.按照权利要求1所述的一种基于攻防博弈的网站防御策略选取方法，其特征在于：步骤3022中所述第e组攻击者对网站发起第g次攻击成功进行的概率ξ_eg服从第一贝塔分布，即ξ_eg～Beta(α_ξ,β_ξ)，α_ξ和β_ξ满足如下：

0＜σ_ξ＜0.1；

其中，Beta(α_ξ,β_ξ)为第一贝塔分布，α_ξ和β_ξ均为第一贝塔分布的形状参数，E_ξ表示第一贝塔分布的期望值，σ_ξ表示第一贝塔分布的方差值，μ_i表示第i类防御资源d_i的配置数量每增加一个单位攻击成功减少的比率，0＜μ_i＜1，ξ₀表示防御资源对攻击成功的影响因子，ξ_r表示即使防御资源无限量部署攻击也会进行的概率，0＜ξ_r＜0.1，0＜ξ_r+ξ₀＜0.4；

步骤3022中所述第e组攻击者对网站发起第g次攻击成功但被抓的概率θ_eg服从第二贝塔分布，即θ_eg～Beta(α_θ,β_θ)，α_θ和β_θ满足如下：

0＜σ_θ＜0.1；

其中，Beta(α_θ,β_θ)为第二贝塔分布，α_θ和β_θ均为第二贝塔分布的形状参数，E_θ表示第二贝塔分布的期望值，σ_θ表示第二贝塔分布的方差值。

3.按照权利要求1或2所述的一种基于攻防博弈的网站防御策略选取方法，其特征在于：所述攻击的次数m的取值范围为m＞200。

Images