CN108512837A - 一种基于攻防演化博弈的网络安全态势评估的方法及系统 - Google Patents

Abstract

本发明属于以漏洞为特征的技术领域，公开了一种基于攻防演化博弈的网络安全态势评估的方法及系统，采集评估网络中的属性数据，包括节点的地址、服务、应用程序、开放端口、软硬件漏洞等信息，衡量当前网络状态，得到被评估系统可能被攻击者利用的漏洞及其对应的攻击威胁；针对每一个攻击威胁，根据当前状态及其攻防双方的策略集合；本发明建立一个多阶段、多状态攻防演化博弈模型MADEG，构造基于Q值的博弈矩阵。经过演化博弈，得到当前状态最优的防御策略；在下一个攻击阶段到来之时，调整Q值矩阵；并依次求解演化博弈均衡情况下攻防双方的收益。实现对该网络的网络安全态势进行评估，并给出相应的安全防御策略。

Description

一种基于攻防演化博弈的网络安全态势评估的方法及系统

技术领域

本发明属于以漏洞为特征的技术领域，尤其涉及一种基于攻防演化博弈的网络安全态势评估的方法及系统。

背景技术

目前，业内常用的现有技术是这样的：网络安全问题日益突出，亟需能够对网络攻防行为进行分析和预测，进而实施主动安全防御的新技术。近年来，人们在网络攻击方面做了大量的研究，形成了以防火墙、反病毒软件和入侵检测为主的被动防御方式，但没有考虑攻防双方的对抗关系，缺乏对攻击行为进行预测的能力。运用博弈理论研究网络安全问题已经成为近几年的一个热点，学者们将博弈论与网络安全相结合，构建了各种网络安全博弈模型，用于解决不同领域的问题。多阶段攻防信号博弈、静态贝叶斯博弈等一系列的方法被提出，但是该领域目前还不存在一个被广泛接受的通用方法。其中一个很重要的问题是如何考虑攻击方和防御方对抗关系，并客观的量化出潜在威胁发生的可能性。一方面，人们考虑的方法都是基于个体完全理性假设条件下展开的，从一些间接信息或其他主观因素来确定威胁发生的可能性，引入了不恰当的主观性；另一方面，攻击方具有自我学习的能力，不可能完全通过静态分析方法得到。

综上所述，现有技术存在的问题是：当前安全态势评估主观性强、没有综合考虑攻防相关关系、无法描述网络攻击行为的动态博弈过程和攻击中人和系统的行为和状态变化过程。博弈论的理性假设与攻防主体非理性行为的矛盾问题也是目前技术存在的一个很大问题。当前安全态势要素的不准确性、迟缓的安全感知能力是目前网络安全最大的威胁。目前安全态势要素选取不准确、攻防对抗关系考虑不到位，对于网络安全态势研究存在很大的影响。无法及时的察觉网络异常事件、实时地掌握整个网络安全状况、事先自动评估和预测，对于降低网络安全风险存在很大的困难。

解决上述技术问题的难度和意义：网络安全态势中，如何收集防御方的信息、如何 将攻击和防御量化、如何综合全面的选取安全态势要素是目前技术问题的难点。在基于博 弈理论的安全态势评估中，如何考虑攻防主体的非理性行为也是本专利需要解决的一个难 点。

意义：网络安全态势研究是目前的一个热点问题，为了保护重要的网络基础设施， 我们不仅需要了解每个系统的脆弱性，还需要了解他们之间的相互依赖关系。通过了解网 络中可能存在的漏洞路径，防御过程中可以减少相应的攻击影响。因此，只有及时的察觉网 络异常事件，实时地掌握网络安全情况，达到事先实现自动评估和预测，才能够提高降低网 络安全风险的可能。基于网络安全现况，寻找实时的动态监测网络安全状态、面对不断变化 的状态给出实时的预测和防御方法，综合考虑网络中各安全要素相关关系影响的网络安全 技术刻不容缓。

发明内容

针对现有技术存在的问题，本发明提供了一种基于攻防演化博弈的网络安全态势评估的方法及系统。

本发明是这样实现的，一种基于攻防演化博弈的网络安全态势评估的方法，所述基于攻防演化博弈的网络安全态势评估的方法采集评估网络中的属性数据，衡量当前网络状态，得到被评估系统可能被攻击者利用的漏洞及其对应的攻击威胁；每一个攻击威胁根据当前状态及其攻防双方的策略集合；建立多阶段、多状态攻防演化博弈模型MADEG，构造基于Q值的博弈矩阵；经过演化博弈，得到当前状态最优的防御策略；在下一个攻击阶段到来之时，调整Q值矩阵；并依次求解演化博弈均衡情况下攻防双方的收益，实现对网络的网络安全态势进行评估，并给出相应的安全防御策略。

采集网络中属性数据的数据处理过程：

第一步：提取相应的网络安全性能指标，包括信道利用率、信道总吞吐率、网络延迟、网络带宽、延迟抖动率(这些都可以直接根据相应的网络拓扑结构获得)，同时对指标的重要性进行排序，去除不重要的指标。采用Delphi法对各指标打分，选取重要性常数，得到简化的指标体系。

第二步：采用层次化分析法AHP构造两两比较判断矩阵，计算其主特征值和主特征向量。从而得到各指标的权重。

第三步：利用线性的归一化方法，对各安全评估指标作归一化处理。

第四步：利用二、三步的结果，进行加权平均，从而得到保密性、完整性、可用性的大小。

这样就可以利用计算出攻击对系统的损失，其中criticality是根据不同的服务器，选取不同的值，可以查知识库得到。

进一步，所述基于攻防演化博弈的网络安全态势评估的方法具体包括：

步骤一，采集的网络信息抽象化，得到当前网络系统安全状态S，S包含有系统的节点配置信息Node，节点连接信息Con，权限配置信息P_ro，以及IDS检测规则信息D_e，网络系统安全状态的数学表达式为S(Node,Con,P_ro,D_e)；

步骤二，利用强化学习中的Q学习算法，对接收的网络系统状态进行适当的调整，使防御方总期望折扣收益最大化；在任意网络安全状态s∈S，将系统损失作为攻击者收益，结合网络攻防的相关量化，计算状态s对应的攻防双方的收益矩阵，Q值矩阵；在下一个攻击阶段到来之时，调整Q值矩阵，准备进入下一个状态；Q值矩阵调整方程表达式为：其中：α_t∈[0,1]为学习速率，r(s,a)为瞬时收益；

步骤三，对接收到的攻防双方的策略集合采用多阶段攻防演化博弈MADEG，为每一个攻击信息，计算出当前网络状态下演化稳定策略ESS稳定下攻防双方的收益，作为当前网络安全态势值；

步骤四，得到攻防演化博弈均衡状态点，并判断该点是否为演化稳定策略均衡，实现网络安全防御策略的分析与预测，对整个网络安全态势进行评估。

进一步，所述步骤一中节点配置信息包括操作系统OS，漏洞信息V，应用服务A，文件F，主机名Name，主机地址IP，资产信息Asset；节点的配置信息数学表达形式为Node(OS,V,A,F,Name,IP,Asset)；

权限配置信息P_ro表示某一个用户所具备的访问权限，包含用户在本地的用户身份信息User以及用户的访问权限信息Access，形式化表达方式为P_ro(User,Access)；

IDS检测规则信息D_e表示IDS的配置规则，表示针对某一目的节点的某一种攻击是否能被检测响应。

进一步，所述步骤三多阶段攻防演化博弈表示为四元组，MADEG＝(N,S_i,P,U)，其中N＝(N_a,N_d)是博弈的参与者空间，参与者是策略制定和策略选择的主体，大部分网络安全博弈是攻击者N_a和防御者N_d的双人博弈；攻击者或防御者多于一个的情况，则合并处理，将管理员、IDS、防火墙统称为防御者；S_i＝(S_a,S_d)是博弈策略空间，P＝(P_a,P_d)是博弈信念集合，U＝(U_a,U_d)是收益函数集合；在演化博弈模型中，参与者的效用是由攻击者对网络系统造成的损失代价来计算；通过分析攻防过程中双方的收益与成本，得到演化博弈模型得到效用博弈矩阵形式如下：

其中a_ij和b_ij分别表示攻击者和防御者采取s_aj、s_di时各自的收益；且攻击者a在当前网络状态下对系统造成的损失代价由以下公式来计算，

m表示受攻击的主机个数；(P_i,P_c,P_a)分别表示完整性、机密性和可用性代价的偏重，在演化博弈模型中，构造当前网络状态下攻击者的平均期望收益：

以及不同攻击策略的期望收益，通式为U_aj＝p_a1a_1j+p_a2a_2j+…p_ama_mj，针对攻击者的任意可选攻击策略和防御者的任意可选防御策略构造复制动态方程组：

求得方程即可得到攻防演化博弈均衡状态点，并判断该点是否为演化稳定策略均衡。

本发明的另一目的在于提供一种所述基于攻防演化博弈的网络安全态势评估的方法的基于攻防演化博弈的网络安全态势评估的系统，所述基于攻防演化博弈的网络安全态势评估的系统包括：

信息采集单元，用于收集待评估系统的各个属性，包括系统中每一个点的地址、服务、开放端口、软硬件漏洞信息，并对网络信息进行抽象化；

状态转移单元，利用强化学习中的Q学习算法，对接收的网络系统状态进行适当的调整，使防御方总期望折扣收益最大化；

演化博弈解析单元，将初始的网络配置作为框架的输入；

安全态势评估与预测单元，对接收到的每一个状态下的演化博弈均衡时刻对攻击方和防御方收益进行处理，得到系统的当前安全态势值，对当前整个系统安全态势给予评估。

本发明的另一目的在于提供一种应用所述基于攻防演化博弈的网络安全态势评估的方法的信息数据处理终端。

综上所述，本发明的优点及积极效果为：本发明从被评估网络中采集网络属性数据，包括节点的地址、服务、应用程序、开放端口、软硬件漏洞等信息，得到被评估系统可能被攻击者利用的漏洞及其对应的攻击威胁。针对每一个攻击威胁，本发明建立一个多阶段、多状态攻防演化博弈模型MADEG，求解其演化博弈均衡，并得到ESS稳定下攻防双方的收益。从而得到被评估系统当前的网络安全态势，实现对该网络的安全性评估。不仅仅是单纯的考虑攻击方对整个网络系统造成的影响来评估网络安全态势，同时还综合考虑了攻防相关关系，为安全评估与预测技术发展提供基础。

在网络安全中，攻防双方的行为交互是一个博弈的过程，攻击者和防御者将根据学习机制，不断改变双方策略，使攻防策略选取形成一个动态变化过程。演化博弈的引入为量化这种交互性和动态性提供了理论依据和方法,使用演化博弈论可以构建体现不同理性要求的动态学习模型，更贴切的体现实际的网络攻击与防御的对抗过程。通过MADEG计算得出的每一个状态下的攻防概率不仅反映了攻击方的决策，同时这种决策也依赖了防御方的决策；根据每一个演化稳定均衡下攻防双方的收益来评估当前网络安全态势值，分析多阶段、多状态下攻防双方决策的相互依赖关系是演化博弈理论的优势所在。相对于其他未考虑攻防对抗关系的网络安全态势评估方法而言，本发明通过建立演化博弈模型求解演化稳定均衡情况下攻防双方的收益来评估当前网络安全态势是有一定意义的。

使用本发明方法得到的网络安全态势评估得到的网络安全态势评估图4如下：从图4中可以看出，在该网络系统中，本发明方法能够较好的评估网络系统安全态势。图4中本发明得到的网络安全态势是由演化博弈算法得到的攻击方的收益来表示的，可以得出，该评估方法选取的安全态势要素得当，可以比较准确地评估安全态势。另外需要说明的是，该方法并不只是为该系统设计的，换一个网络拓扑结构一样可行。

附图说明

图1是本发明实施例提供的基于攻防演化博弈的网络安全态势评估的方法流程图。

图2是本发明实施例提供的基于攻防演化博弈的网络安全态势评估的系统结构示意图；

图中：1、信息采集单元；2、状态转移单元；3、演化博弈解析单元；4、网络安全态势评估单元。

图3是本发明实施例提供的基于攻防演化博弈的网络安全态势评估的方法实现流程图。

图4是本发明实施例提供的网络安全态势评估得到的网络安全态势评估图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

演化博弈论是把博弈理论分析和动态演化过程分析结合起来的一种理论，通过计算博弈参与方的收益研究多人稳定决策的问题。在计算机网络中，攻防双方对抗过程是一个博弈过程，利用演化博弈理论能够预测攻击者的行为，并为防御方提供明确唯一的决策策略。

如图1所示，本发明实施例提供的基于攻防演化博弈的网络安全态势评估的方法包括以下步骤：

S101：采集评估网络中的属性数据，包括节点的地址、服务、应用程序、开放端口、软硬件漏洞等信息，衡量当前网络状态，得到被评估系统可能被攻击者利用的漏洞及其对应的攻击威胁；针对每一个攻击威胁，根据当前状态及其攻防双方的策略集合；

S102：建立一个多阶段、多状态攻防演化博弈模型MADEG，构造基于Q值的博弈矩阵；经过演化博弈，得到当前状态最优的防御策略；

S103：在下一个攻击阶段到来之时，调整Q值矩阵；并依次求解演化博弈均衡情况下攻防双方的收益，实现对该网络的网络安全态势进行评估，并给出相应的安全防御策略。

如图2所示，本发明实施例提供的基于攻防演化博弈的网络安全态势评估的系统包括：信息采集单元1、状态转移单元2、演化博弈解析单元3、网络安全态势评估单元4。

信息采集单元1，将采集得到的网络信息抽象化，得到当前网络系统安全状态S，S包含有系统的节点配置信息Node，节点连接信息Con，权限配置信息P_ro，以及IDS检测规则信息D_e，网络系统安全状态的数学表达式为S(Node,Con,P_ro,D_e)。

其中节点配置信息包括操作系统OS，漏洞信息V，应用服务A，文件F，主机名Name，主机地址IP，资产信息Asset。节点的配置信息数学表达形式为Node(OS,V,A,F,Name,IP,Asset)。本发明中，需要将以下信息抽象化表示，<Name,V>：表示hostname主机存在漏洞vulid，该漏洞依附于程序program；<Name,Asset>：表示对hostname主机上资产的分类，主要分为三大类，包括完整性Int，机密性Con，和可用性Ava。节点配置信息在真实环境中可以通过扫描等方式直接获取；在网络安全仿真环境中可以通过读取网络仿真节点信息的方式获取而得到。

节点连接信息Con表示网络环境中可用的、被网络安全规则所允许的端到端的逻辑通路。第一种方式为主机1可以和主机2通过使用IP协议建立连接，主要是用于网络传输层以下的数据通道，形式化表达为hostAccessP(host1,host2,IPprotocol)，其中IPprotocol协议可以是IPV4或者IPV6协议。第二种方式为主机1可以使用protocol协议访问主机2的端口信息，该protocol协议可以是TCP,UDP,HTTP,FTP等协议，此时的形式化表达为hostAccess(host1,host2,protocol,port)。节点连接信息可以通过采集网络中的子网配置信息以及防火墙访问信息得到。

权限配置信息P_ro表示某一个用户所具备的访问权限，包含该用户在本地的用户身份信息User以及用户的访问权限信息Access，其形式化表达方式为P_ro(User,Access)。

IDS检测规则信息D_e表示IDS的配置规则，表示针对某一目的节点的某一种攻击是否能被检测响应。

状态转移单元2，利用强化学习中的Q学习算法，对接收的网络系统状态进行适当的调整，使防御方总期望折扣收益最大化。在任意网络安全状态s∈S，将系统损失作为攻击者收益，结合网络攻防的相关量化思想，在考虑完整性、机密性、可用性的基础上，计算状态s对应的攻防双方的收益矩阵，即Q值矩阵。在下一个攻击阶段到来之时，调整Q值矩阵，准备进入下一个状态。Q值矩阵调整方程表达式为：其中：α_t∈[0,1]为学习速率，r(s,a)为瞬时收益。

演化博弈解析单元3，对接收到的攻防双方的策略集合采用本发明提出的多阶段攻防演化博弈MADEG(Multi-stage Attack-Defense Evolutionary Game)，为每一个攻击信息，计算出当前网络状态下演化稳定策略ESS(Evolutionary Stable Strategy)稳定下攻防双方的收益，作为当前网络安全态势值。

MADEG描述的演化博弈是多阶段、多状态的非合作、不完全信息、零和动态博弈。攻防双方是有限理性个体。实际的网络攻防过程往往持续多个阶段，且双方能够根据前一阶段对抗的过程和结果信息更加准确地掌握对手情况，进而修改自身的行为策略。而不是只受限于对单阶段网络进行分析，因此是多阶段多状态博弈。攻防双方并不具有合作的利益基础，是一种对立竞争关系，因此是非合作博弈。本演化博弈模型的主要目的是面向于网络安全态势，利用求解得到的网络安全态势值来评估整个网络安全态势，攻击者和防御者掌握双方的博弈信息非常困难，完全信息假设很难满足，因此构建不完全信息博弈。

MADEG可以表示为四元组，MADEG＝(N,S_i,P,U)，其中N＝(N_a,N_d)是博弈的参与者空间，参与者是策略制定和策略选择的主体，大部分网络安全博弈可以看成是攻击者N_a和防御者N_d的双人博弈。若攻击者或防御者多于一个的情况，则合并处理，将管理员、IDS、防火墙等统称为防御者。S_i＝(S_a,S_d)是博弈策略空间，P＝(P_a,P_d)是博弈信念集合，U＝(U_a,U_d)是收益函数集合。在该演化博弈模型中，参与者的效用是由攻击者对网络系统造成的损失代价来计算。通过分析攻防过程中双方的收益与成本，可以得到演化博弈模型得到效用博弈矩阵形式如下：

其中a_ij和b_ij分别表示攻击者和防御者采取s_aj、s_di时各自的收益。且攻击者a在当前网络状态下对系统造成的损失代价可以由以下公式来计算，

m表示受攻击的主机个数。(P_i,P_c,P_a)分别表示完整性、机密性和可用性代价的偏重。在演化博弈模型中，还需要构造当前网络状态下攻击者的平均期望收益

以及不同攻击策略的期望收益，通式为U_aj＝p_a1a_1j+p_a2a_2j+…p_ama_mj，针对攻击者的任意可选攻击策略和防御者的任意可选防御策略构造复制动态方程组：

可求得方程即可得到攻防演化博弈均衡状态点，并判断该点是否为演化稳定策略均衡，从而实现网络安全防御策略的分析与预测，对整个网络安全态势进行评估。

安全态势评估与预测单元4，安全态势评估单元就是对接收到的每一个状态下的演化博弈均衡时刻对攻击方和防御方收益进行处理，得到系统的当前安全态势值，从而对当前整个系统安全态势给予评估。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (6)

1.一种基于攻防演化博弈的网络安全态势评估的方法，其特征在于，所述基于攻防演化博弈的网络安全态势评估的方法采集评估网络中的属性数据，衡量当前网络状态，得到被评估系统可能被攻击者利用的漏洞及其对应的攻击威胁；每一个攻击威胁根据当前状态及其攻防双方的策略集合；建立多阶段、多状态攻防演化博弈模型MADEG，构造基于Q值的博弈矩阵；经过演化博弈，得到当前状态最优的防御策略；在下一个攻击阶段到来之时，调整Q值矩阵；并依次求解演化博弈均衡情况下攻防双方的收益，实现对网络的网络安全态势进行评估，并给出相应的安全防御策略。

2.如权利要求1所述的基于攻防演化博弈的网络安全态势评估的方法，其特征在于，所述基于攻防演化博弈的网络安全态势评估的方法具体包括：

步骤一，采集的网络信息抽象化，得到当前网络系统安全状态S，S包含有系统的节点配置信息Node，节点连接信息Con，权限配置信息P_ro，以及IDS检测规则信息D_e，网络系统安全状态的数学表达式为S(Node,Con,P_ro,D_e)；

步骤二，利用强化学习中的Q学习算法，对接收的网络系统状态进行适当的调整，使防御方总期望折扣收益最大化；在任意网络安全状态s∈S，将系统损失作为攻击者收益，结合网络攻防的相关量化，计算状态s对应的攻防双方的收益矩阵，Q值矩阵；在下一个攻击阶段到来之时，调整Q值矩阵，准备进入下一个状态；Q值矩阵调整方程表达式为：其中：α_t∈[0,1]为学习速率，r(s,a)为瞬时收益；

步骤三，对接收到的攻防双方的策略集合采用多阶段攻防演化博弈MADEG，为每一个攻击信息，计算出当前网络状态下演化稳定策略ESS稳定下攻防双方的收益，作为当前网络安全态势值；

步骤四，得到攻防演化博弈均衡状态点，并判断该点是否为演化稳定策略均衡，实现网络安全防御策略的分析与预测，对整个网络安全态势进行评估。

3.如权利要求2所述的基于攻防演化博弈的网络安全态势评估的方法，其特征在于，所述步骤一中节点配置信息包括操作系统OS，漏洞信息V，应用服务A，文件F，主机名Name，主机地址IP，资产信息Asset；节点的配置信息数学表达形式为Node(OS,V,A,F,Name,IP,Asset)；

权限配置信息P_ro表示某一个用户所具备的访问权限，包含用户在本地的用户身份信息User以及用户的访问权限信息Access，形式化表达方式为P_ro(User,Access)；

IDS检测规则信息D_e表示IDS的配置规则，表示针对某一目的节点的某一种攻击是否能被检测响应。

4.如权利要求2所述的基于攻防演化博弈的网络安全态势评估的方法，其特征在于，所述步骤三多阶段攻防演化博弈表示为四元组，MADEG＝(N,S_i,P,U)，其中N＝(N_a,N_d)是博弈的参与者空间，参与者是策略制定和策略选择的主体，大部分网络安全博弈是攻击者N_a和防御者N_d的双人博弈；攻击者或防御者多于一个的情况，则合并处理，将管理员、IDS、防火墙统称为防御者；S_i＝(S_a,S_d)是博弈策略空间，P＝(P_a,P_d)是博弈信念集合，U＝(U_a,U_d)是收益函数集合；在演化博弈模型中，参与者的效用是由攻击者对网络系统造成的损失代价来计算；通过分析攻防过程中双方的收益与成本，得到演化博弈模型得到效用博弈矩阵形式如下：

其中a_ij和b_ij分别表示攻击者和防御者采取s_aj、s_di时各自的收益；且攻击者a在当前网络状态下对系统造成的损失代价由以下公式来计算，m表示受攻击的主机个数；(P_i,P_c,P_a)分别表示完整性、机密性和可用性代价的偏重，在演化博弈模型中，构造当前网络状态下攻击者的平均期望收益：

以及不同攻击策略的期望收益，通式为U_aj＝p_a1a_1j+p_a2a_2j+…p_ama_mj，针对攻击者的任意可选攻击策略和防御者的任意可选防御策略构造复制动态方程组：

求得方程即可得到攻防演化博弈均衡状态点，并判断该点是否为演化稳定策略均衡。

5.一种如权利要求1所述基于攻防演化博弈的网络安全态势评估的方法的基于攻防演化博弈的网络安全态势评估的系统，其特征在于，所述基于攻防演化博弈的网络安全态势评估的系统包括：

信息采集单元，用于收集待评估系统的各个属性，包括系统中每一个点的地址、服务、开放端口、软硬件漏洞信息，并对网络信息进行抽象化；

状态转移单元，利用强化学习中的Q学习算法，对接收的网络系统状态进行适当的调整，使防御方总期望折扣收益最大化；

演化博弈解析单元，将初始的网络配置作为框架的输入；

安全态势评估与预测单元，对接收到的每一个状态下的演化博弈均衡时刻对攻击方和防御方收益进行处理，得到系统的当前安全态势值，对当前整个系统安全态势给予评估。

6.一种应用权利要求1～4任意一项所述基于攻防演化博弈的网络安全态势评估的方法的信息数据处理终端。