CN109327427A - 一种面对未知威胁的动态网络变化决策方法及其系统 - Google Patents
一种面对未知威胁的动态网络变化决策方法及其系统 Download PDFInfo
- Publication number
- CN109327427A CN109327427A CN201810467126.8A CN201810467126A CN109327427A CN 109327427 A CN109327427 A CN 109327427A CN 201810467126 A CN201810467126 A CN 201810467126A CN 109327427 A CN109327427 A CN 109327427A
- Authority
- CN
- China
- Prior art keywords
- network
- attacking
- type
- attack
- income
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Complex Calculations (AREA)
Abstract
本发明涉及网络安全技术领域,具体涉及一种面对未知威胁的动态网络变化决策方法及其系统,包括以下步骤:根据当前网络状态,构建局中人的类型空间;局中人根据先验信念判断对方的类型,并根据所述类型获取可选攻防策略集合;根据所述网络状态和攻防策略集合,获得系统状态转移概率;针对所选攻防策略获取攻防博弈双方的收益,并结合所述系统状态转移概率,构建基于不完全信息马尔科夫博弈的移动目标防御模型;将所述移动目标防御模型的求解等价转化为目标函数,得到最优的移动目标防御策略。本发明解决了面对未知威胁的基于有限网络资源选取最优防御策略,以实现网络性能开销和MTD防御收益的平衡的技术问题。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及一种面对未知威胁的动态网络变化决策方法及 其系统。
背景技术
在网络攻击趋向组合化、自动化的态势下,现有防御方法难以有效应对愈加复杂的网络 入侵,网络攻防地位的不对称性日益加剧。为了改变这种“易攻难守”的局面,移动目标防 御(Moving Target Defense:MTD)技术应运而生。它旨在以防御方可控的方法通过改变系统 要素的属性,实现被保护网络随机、动态、异构的变化,从而破坏攻击链对运行环境确定、 静态、同构的依存要求,进而增加攻击者的攻击难度。虽然现有研究针对不同网络安全威胁 提出了多种MTD技术和实现方法,但是不同MTD技术的简单叠加却会极大增加网络系统性能 开销,“不惜一切代价”的防御无法适用于防御成本有限的实际条件。因此,如何基于有限网 络资源选取最优防御策略,以实现网络性能开销和MTD防御收益的平衡,成为当前研究的热 点和重点问题之一。博弈论(Game Theory)与MTD依据攻防成本与收益选取下一步最优跳变策 略的目标相一致。与此同时,在MTD攻防对抗过程中,攻击方通过侦测和利用网络资源脆弱 性和网络配置属性等达到攻击目的,防御方则通过改变攻击面和探测面增加攻击实施的难度, 攻防双方具有目标对立性;攻防双方策略的选取是否有效不仅仅取决于自身的行为,同时还 取决于对手选取的策略,攻防策略具有依存性。因此,MTD攻防对抗所具有的目标对立性和 策略依存性与博弈理论的特性高度契合,博弈论可在选取MTD最优防御策略研究和实现安全 与性能间平衡方面发挥重要作用。
发明内容
本发明提供了一种面对未知威胁的动态网络变化决策方法及其系统,构建了基于马尔科 夫博弈的移动目标防御模型,进而求解得到最优的移动目标防御策略,解决了面对未知威胁 的基于有限网络资源选取最优防御策略,以实现网络性能开销和MTD防御收益的平衡的技术 问题。
为了达到上述技术目的,本发明所采用的技术方案如下:
一种面对未知威胁的动态网络变化决策方法,其特征在于,包括以下步骤:
根据当前网络状态,构建局中人的类型空间;
局中人根据先验信念判断对方的类型,并根据所述类型获取可选攻防策略集合;
根据所述网络状态和攻防策略集合,获得系统状态转移概率;
针对所选攻防策略获取攻防博弈双方的收益,并结合所述系统状态转移概率,构建基于 不完全信息马尔科夫博弈的移动目标防御模型;
将所述移动目标防御模型的求解等价转化为目标函数,得到最优的移动目标防御策略。
进一步,局中人根据先验信念判断对方的类型,并根据所述类型获取可选攻防策略集合 的方法,包括以下子过程:
自然从攻击者的类型空间中选取一个类型;
防御方依据网络状态、观测的攻击策略和先验信念判断攻击方可能的类型,并从相应的 防御策略集合中选取防御策略进行防御。
进一步,所述攻击方和防御方的类型空间分别为:和
其中,Θ=(Θ1(Sj),Θ2(Sj),...,Θt(Sj))表示网络状态Sj下局中人的类型集合,且满足
进一步,所述攻击策略集合和防御策略集合分别为:和
其中,表示当攻击方的类型为θt时,在网络状态Sj下可选的策略集合; 且满足 表示类型为θt的攻击方在网络状态为Sj时选择攻击策略的概率。
表示当防御方的类型为θt时,在网络状态Sj下可选的策略集合;且满足 表示类型为θt的防御方在网络状态为Sj时选择防御策略的概 率。
进一步,所述获取攻防博弈双方的收益的方法,包括以下步骤:
自然从攻击者的类型空间中选取一个类型,且只有攻击方知道自己的类型,防御方只能 获得先验信念;
防御方依据网络状态、观测的攻击策略和先验信念判断攻击方可能的类型,并从相应的 防御策略集合中选取防御策略进行防御。
网络系统状态受到当前状态、攻防双方策略的影响而进行转移;
经过有限次博弈,获得攻防双方的收益。
进一步,所述获取状态转移概率,包括以下步骤:
在某一网络状态下实施某一攻击策略的概率;
防御方根据观测到的攻击策略选择某一防御策略抵御攻击的概率;
以及防御方实施该防御策略后网络状态转移到该网络状态的概率。
进一步,所述获取状态转移概率为T={P(oj|Si),P(rj|oj),P(Si|rj)},其中,P(oj|Si)表示在网络 系统状态为Si下实施攻击策略oj的概率;P(rj|oj)表示攻击策略oj实施后防御方选择防御策略 rj抵御攻击的概率;P(Si|rj)表示防御方实施防御策略rj后网络状态转移到Si的概率。
进一步,所述攻防博弈双方的收益,包括攻击面和探测面的改变。
进一步,所述攻防博弈双方的收益,其中攻击方收益BO和防御方收益BR分别为:
BO=BO(S,Θ,PO,PR)=ASR(ΔDC+ΔOC+ΔRC-AC(oj,θt))+(1-ASR)(ΔRC-AC(oj,θt));
BR=BR(S,Θ,PO,PR)=ASR(ΔRC+ΔOC-ΔPC-ΔDC)+(1-ASR)(ΔRC+ΔOC-ΔNJ);
其中,ASR表示攻防双方采取相应策略时,攻击者成功实施攻击的概率;ΔNJ表示网络 跳变导致的性能开销,ΔOC表示网络系统攻击面的改变,ΔRC表示网络系统探测面的改变、 AC(oj,θt)表示攻击成本,ΔDC表示攻击成功后对目标系统的资源造成的损失代价。
进一步,所述移动目标防御模型的目标准则函数为:其中,η为折扣率,表示攻防双 方在分别采取策略PO和PR时未来的折扣收益值;BS(PO,PR)表示在网络状态为S条件下,攻 防双方策略分别为PO和PR时攻击方或防御方的收益。
进一步,所述目标函数为:其中,Sd表示未来的 网络状态,且Sd∈S。
其中,约束条件: Pf(Pi n)≥0。
进一步,所述移动目标防御模型为攻防双方的收益值与对应的折扣收益期望值之和。
一种面对未知威胁的动态网络变化决策系统,其特征在于,包括:
用于根据当前网络状态,构建局中人的类型空间的类型构建模块;
用于根据先验信念判断对方的类型,并根据所述类型获取可选攻防策略集合的攻防检测 模块;
用于针对所选攻防策略获取攻防博弈双方的收益的攻防收益模块;
用于利用网络状态和攻防策略集合得到系统状态转移概率,并结合所述收益构建基于不 完全信息马尔科夫博弈的移动目标防御模型;和
用于求解所述移动目标防御模型得到最优的移动目标防御策略的最优策略生成模块。
进一步,所述最优策略生成模块中,还包括:
用于将求解所述移动目标防御模型的问题转化为非线性规划问题的问题转化模块。
进一步,所述攻防收益模块中,还包括:
用于获取网络系统探测面的改变和网络系统攻击面的改变的资源脆弱性模块;
用于获取网络跳变导致的性能开销的网络跳变模块;
用于获取攻击者成功实施攻击的概率检测模块;
用于根据攻击者的能力水平和先验信念获取攻击成本的供给成本检测模块;
用于检测攻击者攻击成功后对目标系统的资源造成的损失的资源损失检测模块。
本发明所产生的有益效果如下:
1、本发明面向MTD防御体系构建Markov动态博弈的移动目标防御模型,该移动目标防 御模型是基于有限网络资源选取的最优防御策略,实现了网络性能开销和MTD防御收益的平 衡。
2、本发明所构建的目标防御模型是多状态-多阶段的有限马尔科夫随机博弈模型,该目 标防御模型中包括混合均衡策略,在博弈双方不清楚对方策略的情况下,双方的选择会倾向 于一组混合策略,它相较于其他策略可使得攻防双方收益最大。
3、本发明所构建的攻防博弈双方的收益函数中考虑到了攻击成本,它是根据攻击者的先 验信念和能力水平所得到的,并引入了攻击者成功实施攻击的概率和攻击成功后对目标系统 的资源造成的损失代价的影响因素,能够更加准确的得到攻防双方的收益值。
附图说明
图1为本发明的移动目标防御架构示意图;
图2为本发明的实验拓扑结构示意图;
图3为网络状态S1的攻防博弈树示意图;
图4为网络状态S2的攻防博弈树示意图;
图5为网络状态S3的攻防博弈树示意图;
图6为网络状态S4的攻防博弈树示意图。
图中:1-目标网络系统、2-跳变配置管理、3-跳变实施、4-分析引擎、5-跳变触发、6- 网络、7-网络服务器集群、8-防火墙、9-路由器、10-恶意敌手、11-邮件服务器、12-文件服务 器、13-Linux数据库。
具体实施方式
下面结合附图和具体的实施例来进一步详细的说明本发明,但本发明的保护范围并不限 于此。
移动目标防御(Moving Target Defense,MTD)是由移动目标的思想发展而来,基本架构 如图1所示。MTD通过伪随机地改变目标网络系统部件的配置和状态,如IP地址、端口和系 统指纹等信息,实现持续、动态地转移被防护系统的资源脆弱性,以诱骗、迷惑和混淆攻击 者的探测,从而增加攻击的难度和成本。基本工作原理如下:
a.制定目标网络系统1的安全策略和功能任务,并对网络资源进行初始化;
b.依据预先定制的安全策略选取跳变元素和跳变周期,通过跳变配置管理2实现对网络 系统的跳变配置;
c.将配置的跳变方案部署到相应节点以进行跳变实施3;
d.分析引擎4通过感知和分析当前目标网络系统1的安全态势将结果反馈给跳变触发5 的机制;
e.分析当前网络安全状态与跳变策略,通过跳变触发机制判断下一阶段跳变的策略。
博弈论是研究各个理性决策主体在其行为发生直接相互作用时的所采取的策略,以及策 略均衡问题的一种数学理论和方法。它是在“理性人”的假设下研究参与者在利益相互影响 的格局中如何实现利益最大化的策略选择问题。所谓相互影响,通常是指博弈中任何一个局 中人都会受到剩余局中人行为的影响;所谓理性是指参加博弈的局中人试图实施对自己最有 利的行为。由于局中人具有相互依存性,因此,博弈中理性的策略的选取必定是建立在预测 剩余局中人反应的基础上的。博弈论的基本要素具体如下:
(1)局中人(Player)是指博弈中独自决策并在最后获得相应结果的个体。博弈模型一般 认为局中人是“理性”假设的。
(2)策略/行为(Policy/Move)是指博弈局中人可能采取的全部策略的集合,它是博弈双 方进行博弈的工具和手段,是选择行动的规则。
(3)行动顺序(Move Sequence)是指存在多个独立决策方进行决策时,局中人有时可以同 时作出选择,从而保证公平合理;有时则有先后顺序之分,因此博弈模型须规定其中的行动 次序。即使相同的局中人和策略集合,不同的行动次序会导致不同的博弈结果。
(4)收益(Revenue)是指局中人从博弈过程中能够获得的收益或效用水平,它是所有局中 人得失的量化结果。在MTD攻防博弈过程中,攻防双方的收益要综合考虑策略实施所产生的 性能消耗和带来的攻防效果。
在博弈论中,通过确定以上四个基本要素可构建博弈的基本框架。MTD攻防对抗过程的 博弈类型具体分析如下:
(1)非合作性:在MTD攻防对抗过程中,由于攻防双方不会事先将博弈策略信息告知对 方。攻击方的目标是通过侦测网络目标系统的探测面,以发现并利用侦测的资源脆弱性发动 攻击,从而达到攻击目的。防御方的目标则是通过转移攻击面,以避免或减少资源脆弱性暴 露给攻击方的可能性,从而提高系统的安全性。因此,攻防双方都希望通过选取有效策略事 先收益的最大化,MTD博弈具有对抗非合作性。
(2)动态性:在网络攻防对抗过程中,由于MTD跳变方法和元素在不同跳变周期内持续 变化,因此MTD网络攻防对抗可抽象为离散时间动态多阶段事件序列。在每个阶段中,攻防 双方依据之前的经验和现在的网络状态采取相应的攻防策略;攻击方或者防御方在一次行动 后都会获得不同的收益,且双方在每个博弈阶段都会依据自己的收益和观测到的网络系统状 态调整己方策略。因此,MTD博弈具有动态性。
(3)马尔科夫性:在MTD网络攻防博弈中,由于攻防双方的对抗或者网络任务的变化会 导致网络系统状态的随机转化;与此同时,下一时刻的攻防博弈策略是基于所处的网络状态 上加以选择的。因此,MTD博弈对抗具有马尔科夫特性,可用马尔可夫决策过程(Markov Decision Process:MDP)刻画。MDP是指局中人周期地或连续地观察具有马尔可夫性的随机 动态系统,并序贯地作出决策,系统由此发生随机状态转移,且状态转移具有无后效性。
(4)不完全信息性:由于MTD攻防双方都具有动态、多样的不确定性,无论是攻击方还 是防御方,其对另一方的知识、经验水平和目的都是不完全了解的。与此同时,由于攻防博 弈的不同阶段是建立在不同网络状态的基础上,因此攻防双方无法准确获知另一方在之前博 弈中的收益。因此,攻防双方的博弈具有不完全信息特性。
基于以上对MTD博弈类型的分析,本发明以不完全信息马尔科夫动态博弈为基础提出了 一种面对未知威胁的动态网络变化决策方法,构建了基于不完全信息马尔科夫博弈的移动目 标防御模型,其满足以下两个假设条件:
假设1:完全理性假设,即假设攻击者和防御者是完全理性的,攻击者不会发动无利可 图的攻击,防御者不会不计代价地进行防御。
假设2:类型假设,即假设攻击者或防御者将对另一方策略收益的不确定看作是对另一 方类型的不确定,但对另一方的类型的概率分布有一个判断。
因为对于非理性攻击者,其只追求最大收益而不考虑代价,只需对能使其获得最大收益 的策略进行研究即可。因此,理性攻击者行为较复杂,更加具有研究意义。将对参与者信息 的不确定转换为对其类型的不确定,但对其类型的概率分布有判断是解决信息不完全问题的 重要手段,攻防双方都可根据不确定因素划分为多种类型。在以上假设的基础上,定义了基 于不完全信息马尔科夫博弈的移动目标防御模型,具体如下:
定义5:海萨尼转换(Harsanyi Transformation)是指将其余参与者不了解的参与者i类 型信息转化为自然(Nature)对参与者i类型的选择。具体做法是:
(1)引入“自然”,用于参与者i选择前,随机决定i的类型,将对参与者i的类型的不了解变为对博弈进程的不了解;
(2)“自然”让参与者i知道自己的类型,但不让其他参与者知道i的类型;
(3)在“自然”选择之后,其他参与者同时从各自行动空间中选择行动方案。
定义6:基于不完全信息马尔科夫博弈的移动目标防御模型(IncompleteInformation Markov Game based Network Moving Target Defense Model,IMG-MTD),包括以下步骤:
根据当前网络状态,构建局中人的类型空间;
局中人根据先验信念判断对方的类型,并根据所述类型获取可选攻防策略集合;
根据所述网络状态和攻防策略集合,获得系统状态转移概率;
针对所选攻防策略获取攻防博弈双方的收益,并结合所述系统状态转移概率,构建基于 不完全信息马尔科夫博弈的移动目标防御模型;
将所述移动目标防御模型的求解等价转化为目标函数,得到最优的移动目标防御策略。
进一步,所述基于不完全信息马尔科夫博弈的移动目标防御模型可以表示为八元组 (N,S,Θ,Pb,P,T,R,U)。
进一步,所述局中人用N={NO,NR}来表示,其中,NO为攻击方;NR为防御方。
进一步,攻防过程中的所述网络状态用S={S1,S2,...,Sk}来表示。每个网络状态表示某一跳变 周期内的网络安全状态;网络状态间的随机转化是由一个跳变周期内攻防双方对抗行为导致 的,它伴随着攻击面和探测面的转换。
进一步,所述局中人根据先验信念判断对方的类型,并根据所述类型获取可选攻防策略 集合的方法,包括以下子过程:
自然从攻击者的类型空间中选取一个类型;
防御方依据网络状态、观测的攻击策略和先验信念判断攻击方可能的类型,并从相应的 防御策略集合中选取防御策略进行防御。
进一步,在网络状态Sj下,所述局中人的类型空间用Θ=(Θ1(Sj),Θ2(Sj),...,Θt(Sj))来表示。它满 足条件,即在网络状态Sj下,对于任意的局中人i 都应该至少有一种类型。且局中人i知道自己的真实类型,而其他局中人并不知道i的真实 类型。
进一步,在网络状态Sj下,所述先验信念用Pb(Sj)=(Pb1(Sj),Pb2(Sj),...,Pbt(Sj))来表示。 Pbi(Sj)=Pbi(θ-i(Sj)|θi(Sj))=Pbi(θi(Sj),θ-i(Sj))/Pbi(θi(Sj))表示网络状态Sj下局中人i在自己实际类型为θi的 前提下,对其他参与者类型θ-i的判断。其中,θ-i表示除去局中人i剩余所有局中人的类型; Pbi(θ(Sj))表示局中人类型组合的分布概率。
进一步,可选攻防策略的集合用P={PO,PR}来表示,它与局中人类型和网络状态相关,包 含了移动目标防御选取的跳变元素和使用的跳变方法。
可选攻击策略的集合中的元素表示当攻击方是θt类型, 且在网络状态Sj下的可选攻击策略的集合,并且在网络状态为Sj时类型为θt的攻击方选择攻 击策略的概率需满足
可选防御策略的集合中的元素表示当防御方是θh类型, 且在网络状态Sj下可选防御策略的集合,并且在网络状态为Sj时类型为θt的防御方选择防御 策略的概率需满足
进一步,所述获取状态转移概率,包括以下步骤:
在某一网络状态下实施某一攻击策略的概率;
防御方根据观测到的攻击策略选择某一防御策略抵御攻击的概率;
以及防御方实施该防御策略后网络状态转移到该网络状态的概率。
进一步,所述状态转移概率用T={P(oj|Si),P(rj|oj),P(Si|rj)}来表示,其中,P(oj|Si)表示在网 络系统状态为Si下实施攻击策略oj的概率;P(rj|oj)表示攻击策略oj实施后防御方选择防御策 略rj抵御攻击的概率;P(Si|rj)表示防御方实施防御策略rj后网络状态转移到Si的概率。其中, 攻击策略oj是可选攻击策略集合中的某一具体的攻击策略防御策略rj是可选防御策略集合中的某一具体的防御策略
因此,T可以表示为表示状态转移出现在不同攻防阶段 的交替过程中,攻防阶段的交替则是依据跳变周期进行划分的。与此同时,网络状态会影响 攻防双方策略的选择;状态转移概率的取值取决于攻防双方的策略和网络环境,如网络配置、 节点的操作系统环境等。
进一步,所述攻防博弈双方的收益,包括攻击面和探测面的改变。
进一步,由于攻击方是依据能力水平和先验信念探索网络探测面,发现并利用攻击面中 的资源脆弱性,进而导致网络性能开销增大或系统功能的不可用。因此,攻击收益在攻击成 功时与网络系统损失代价、攻击面和探测面的改变、以及攻击成本有关;当攻击失败时,由 于未能成功利用攻击面中的资源脆弱性造成系统损失,只与探测面的改变和攻击成本有关。 防御方则是通过选取跳变策略从而增加探测面或转换攻击面,进而在保证网络功能正常运行 的前提下提高系统的安全性。因此,防御收益在攻击成功时要考虑系统损失代价。R={RA,RD} 表示攻防博弈双方的收益函数集合,它由所有参与者的策略共同决定。攻防双方的收益由攻 防成本和回报共同决定,可抽象为攻击面和探测面的改变,
所述攻防博弈双方的收益为:
所述攻击方的收益:
BO=BO(S,Θ,PO,PR)=ASR(ΔDC+ΔOC+ΔRC-AC(oj,θt))+(1-ASR)(ΔRC-AC(oj,θt));
所述防御方的收益:
BR=BR(S,Θ,PO,PR)=ASR(ΔRC+ΔOC-ΔPC-ΔDC)+(1-ASR)(ΔRC+ΔOC-ΔNJ);
其中,ASR表示攻防双方采取相应策略时,攻击者成功实施攻击的概率;ΔNJ表示网络 跳变导致的性能开销,ΔOC表示网络系统攻击面的改变,ΔRC表示网络系统探测面的改变、 AC(oj,θt)表示攻击成本,ΔDC表示攻击成功后对目标系统的资源造成的损失代价。
进一步,所述移动目标防御模型为攻防双方的收益值与对应的折扣收益期望值之和。
在移动目标防御对抗过程中,由于网络系统信息的价值与时间相关,因此采用折扣期望 回报准则函数作为博弈双方的目标准则函数U:
其中,η为折扣率,说明了未来的收益与现在的收益不能同等对待;示在攻防双方分别采取策略PO和PR时未来的折扣收益值。BS(PO,PR)表示在网络状态为S条 件下,攻防双方策略分别为PO和PR时攻击方或防御方的收益。
在防御的任何阶段,由于攻防双方获得收益时其相应的类型是确定的,因此局中人类型Θ 不会影响其他网络状态下攻防策略的选择和收益。
进一步,所述将所述移动目标防御模型的求解等价转化为目标函数,得到最优的移动目 标防御策略的方法,包括以下步骤:
由于网络系统状态S是有限的,IMG-MTD模型是多状态-多阶段的有限马尔科夫随机博弈 模型。另一方面,在IMG-MTD每个博弈阶段,网络状态的随机转变则使得攻防双方的先验信 念和攻防策略发生改变,当系统处于某个确定的状态Si时,则可看作是不完全信息静态博弈。 因此,IMG-MTD存在混合均衡策略。
在网络状态处于Si的时候,攻防博弈双方的策略集合分别为{Pi O}和{Pi R},则博弈策略 (Pi O* ,Pi R*)为均衡策略的充要条件如下:
在博弈双方不清楚对方策略的情况下,双方的选择会倾向于一组混合策略,它相较于其 他策略可使得攻防双方收益最大。此外,一旦博弈参与者中任意一方采取马尔科夫策略,另 一方也会有一个马尔科夫最优策略。因此,IMG-MTD的均衡策略是指在每个子博弈中达到纳 什均衡的马尔科夫策略组合,即对于任意参与者,若其均衡策略为则满足如下条件:
其中,Sd表示未来的网络状态,且Sd∈S。
由此可知,IMG-MTD一定存在纳什均衡策略解,且其满足公式(4)所述的条件。
因此,本发明将求解IMG-MTD的均衡解问题等价转化为一个非线性规划(Nonlinear Programming Second,NLP2)问题。对于给定的IMG-MTD模型,若确定性稳定马氏策略Pf *为 其均衡策略;相应的稳定收益G*为其均衡收益值,可将对博弈均衡策略和收益的求解等价转 化为Pf *和G*的NLP2问题,其中Pf∈{Pf(Pi n)|n∈N,Si∈S,Pi n∈Pn},
目标函数:
约束条件:
(1)
(2)
(3)
进一步,本发明提出了一种面对未知威胁的动态网络变化决策系统,包括:
用于根据当前网络状态,构建局中人的类型空间的类型构建模块;
用于根据先验信念判断对方的类型,并根据所述类型获取可选攻防策略集合的攻防检测 模块;
用于针对所选攻防策略获取攻防博弈双方的收益的攻防收益模块;
用于利用网络状态和攻防策略集合得到系统状态转移概率,并结合所述收益构建基于不 完全信息马尔科夫博弈的移动目标防御模型;和
用于求解所述移动目标防御模型得到最优的移动目标防御策略的最优策略生成模块。
进一步,所述攻防收益模块中,还包括:
用于获取网络系统探测面的改变和网络系统攻击面的改变的资源脆弱性模块;
用于获取网络跳变导致的性能开销的网络跳变模块;
用于获取攻击者成功实施攻击的概率检测模块;
用于根据攻击者的能力水平和先验信念获取攻击成本的供给成本检测模块;
用于检测攻击者攻击成功后对目标系统的资源造成的损失的资源损失检测模块。
进一步,所述最优策略生成模块中,还包括:
用于将求解所述移动目标防御模型的问题转化为非线性规划问题的问题转化模块。
本发明所给出的基于不完全信息马尔科夫博弈的移动目标防御模型的决策方法具体如下:
1、初始化移动目标防御模型中基本参数:系统状态转移空间S={S1,S2,...,Sk},折扣率参数 η;
2、构建类型空间:攻击方类型空间防御方类型空间
3、构建可选攻防策略集合:可选攻击策略和可选防御策略
4、获取系统状态转移概率T={P(oj|Si),P(rj|oj),P(Si|rj)};
5、获取先验信念概率集合Pb(Sj)=(Pb1(Sj),Pb2(Sj),...,Pbt(Sj));
6、针对所选攻防策略对获得收益值BO和BR;
7、构建目标函数
8、令依约束条件
Pf(Pi n)≥0求解最优值;
9、得到最优均衡策略和均衡收益值。
进一步,其具体的博弈过程,包括如下步骤:
a.“自然”以一定概率从攻击者的类型空间中选取一个类型且只有攻击 方NO知道防御方NR则只有先验信念Pb(Sj);
b.攻击方依据网络状态从攻击策略空间选取攻击策略oj实施攻击;
c.防御方依据网络状态和观测的攻击策略选取一个类型并从相应的防御 策略空间选取防御策略rj进行防御;
d.网络系统状态受到当前状态、攻防双方策略的影响而进行转移;
e.经过有限次博弈,攻防双方的收益分别为BO(S,Θ,PO,PR)和BR(S,Θ,PO,PR)。
IMG-MTD在攻击者成功达到攻击目的,或者防御方有效防御了攻击方所有可能的攻击路 径情况下结束。
本发明通过应用实例来进一步验证基于不完全信息马尔科夫博弈的移动目标防御模型的 正确性和最优选取算法的有效性。
如图2所示,利用典型拓扑构建实验网络环境,该网络环境包括网络6,网络服务器集 群7通过防火墙8与所述网络6相连接,内网依次通过路由器9和防火墙8与网络6相连接,所述恶意敌手10与网络6相连接,所述内网中有四台主机:邮件服务器11,文件服务器12 和Linux数据库13网络中有四个节点网络服务器集群7记作H1,邮件服务器11记作H2,文 件服务器12记作H3和Linux数据库13记作H4,通过配置访问控制策略限制网络节点间的连 通关系,具体如表1所示:
表1防火墙策略
它们的基本配置信息和利用Nessus扫描器获得的网络系统中各节点的资源脆弱如表2所 示:
表2节点配置与资源脆弱性
假设攻击者在Attack Host上具有Root权限,并以此作为攻击的起点,以获取Linux数 据库服务器的重要信息为目标。
构建基于不完全信息马尔科夫博弈的移动目标防御模型,并利用设计的算法求解最优策 略:
1)初始化参数
网络系统的状态集合为S={S1,S2,S3,S4},分别为
S1:利用H1的脆弱性获得了服务器集群的Root权限;
S2:利用H2的脆弱性获得了邮件服务器user权限;
S3:利用H3的脆弱性获得了的文件服务器Root权限;
S4:利用H4的脆弱性获得了的Linux数据库的access权限。其中,IMG-MTD中的折扣率 为β=0.7。
2)构建局中人类型和策略空间
根据攻击方的历史行为,依据该移动目标防御模型的假设条件将攻击方的类型划分为 ΘO=(ΘO(S1),ΘO(S2),ΘO(S3),ΘO(S4));与此同时,依据跳变元素、跳变方法和跳变周期将防御方的类型划 分为ΘR=(ΘR(S1),ΘR(S2),ΘR(S3),ΘR(S4)),具体如表3和表4所示。
表3不同攻击类型与攻击策略
表4不同防御类型与防御策略
在防御策略中,部分策略是通过选取不同的跳变方法、跳变元素和跳变周期实施网络跳 变,其中:
ASD={ASD1,ASD2,ASD3}表示选择的跳变方法是转换攻击面;
ASD1={IP,C类}表示所选攻击面维度是IP地址,维度取值范围为C类地址空间;
ASD2={port,64512}表示所选攻击面维度是端口信息,维度取值范围为64512;
ASD3={fingerprint,512}表示所选攻击面维度是系统指纹信息,维度取值范围为512。
ESD={ESD1}表示选择的跳变方法是扩展探测面;
ESD1={fingerprint,1024}表示所选探测面维度是系统指纹信息,维度取值范围为1024。
当有多个跳变元素时,不同元素之间的跳变是相互正交的,即互不干扰。
此外,默认跳变周期是固定的;ASD1+Time表示跳变周期是可变的。
3)获得系统状态转移概率、局中人先验信念和攻防策略收益
局中人策略集合确定后,对防御效能进量化评估可得到如图3-6所示的各类型局中人策 略实施的成本和收益。
另外,通过对历史数据的分析,不同防御阶段的防御方可得到攻击方类型的先验信念为:
防御方对攻击方的历史行为进行分析得到的攻击方类型的先验信念为:
由于每个博弈阶段的攻击方和防御方的类型不止1种,因此分别需要进行2次海萨尼转 换,得到的网络博弈树,如图3-6所示。
此外,在构建网络分层资源图的基础上给出了网络系统状态转移关系和转移概率,具体 如表5所示:
表5网络系统状态转移概率
4)选取IMG-MTD模型的最优策略
通过对以非线性规划问题进行求解,得到的攻防双方均衡策略和收益如表6所示:
表6 IMG-MTD最优策略与收益
要说明的是,上述实施例是对本发明技术方案的说明而非限制,所属技术领域普通技术 人员的等同替换或者根据现有技术而做的其它修改,只要没超出本发明技术方案的思路和范 围,均应包含在本发明所要求的权利范围之内。
Claims (9)
1.一种面对未知威胁的动态网络变化决策方法,其特征在于,包括以下步骤:
根据当前网络状态,构建局中人的类型空间;
局中人根据先验信念判断对方的类型,并根据所述类型获取可选攻防策略集合;
根据所述网络状态和攻防策略集合,获得系统状态转移概率;
针对所选攻防策略获取攻防博弈双方的收益,并结合所述系统状态转移概率,构建基于不完全信息马尔科夫博弈的移动目标防御模型;
将所述移动目标防御模型的求解等价转化为目标函数,得到最优的移动目标防御策略。
2.根据权利要求1所述的一种面对未知威胁的动态网络变化决策方法,其特征在于,局中人根据先验信念判断对方的类型,并根据所述类型获取可选攻防策略集合的方法,包括以下子过程:
自然从攻击者的类型空间中选取一个类型;
防御方依据网络状态、观测的攻击策略和先验信念判断攻击方可能的类型,并从相应的防御策略集合中选取防御策略进行防御。
3.根据权利要求1所述的一种面对未知威胁的动态网络变化决策方法,其特征在于,所述获取状态转移概率,包括以下步骤:
在某一网络状态下实施某一攻击策略的概率;
防御方根据观测到的攻击策略选择某一防御策略抵御攻击的概率;
以及防御方实施该防御策略后网络状态转移到该网络状态的概率。
4.根据权利要求1所述的一种面对未知威胁的动态网络变化决策方法,其特征在于,所述攻防博弈双方的收益,包括攻击面和探测面的改变。
5.根据权利要求1所述的一种面对未知威胁的动态网络变化决策方法,其特征在于,所述攻防博弈双方的收益为:
所述攻击方的收益=ASR(ΔDC+ΔAS+ΔES-AC(aj,θh))+(1-ASR)(ΔES-AC(aj,θh));
所述防御方的收益=ASR(ΔES+ΔAS-ΔPC-ΔDC)+(1-ASR)(ΔES+ΔAS-ΔPC);
其中,ASR表示攻防双方采取相应策略时,攻击者成功实施攻击的概率;ΔPC表示网络跳变导致的性能开销,ΔAS表示网络系统攻击面的改变,ΔES表示网络系统探测面的改变、AC(aj,θh)表示攻击成本,ΔDC表示攻击成功后对目标系统的资源造成的损失代价。
6.根据权利要求1所述的一种面对未知威胁的动态网络变化决策方法,其特征在于,所述移动目标防御模型为攻防双方的收益值与对应的折扣收益期望值之和。
7.一种面对未知威胁的动态网络变化决策系统,其特征在于,包括:
用于根据当前网络状态,构建局中人的类型空间的类型构建模块;
用于根据先验信念判断对方的类型,并根据所述类型获取可选攻防策略集合的攻防检测模块;
用于针对所选攻防策略获取攻防博弈双方的收益的攻防收益模块;
用于利用网络状态和攻防策略集合得到系统状态转移概率,并结合所述收益构建基于不完全信息马尔科夫博弈的移动目标防御模型;和
用于求解所述移动目标防御模型得到最优的移动目标防御策略的最优策略生成模块。
8.根据权利要求7所述的一种完全信息条件下网络动态变换的决策系统,其特征在于,所述攻防收益模块中,还包括:
用于获取网络系统探测面的改变和网络系统攻击面的改变的资源脆弱性模块;
用于获取网络跳变导致的性能开销的网络跳变模块;
用于获取攻击者成功实施攻击的概率检测模块;
用于根据攻击者的能力水平和先验信念获取攻击成本的供给成本检测模块;
用于检测攻击者攻击成功后对目标系统的资源造成的损失的资源损失检测模块。
9.根据权利要求7所述的一种完全信息条件下网络动态变换的决策系统,其特征在于,所述最优策略生成模块中,还包括:
用于将求解所述移动目标防御模型的问题转化为非线性规划问题的问题转化模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810467126.8A CN109327427A (zh) | 2018-05-16 | 2018-05-16 | 一种面对未知威胁的动态网络变化决策方法及其系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810467126.8A CN109327427A (zh) | 2018-05-16 | 2018-05-16 | 一种面对未知威胁的动态网络变化决策方法及其系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109327427A true CN109327427A (zh) | 2019-02-12 |
Family
ID=65263068
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810467126.8A Pending CN109327427A (zh) | 2018-05-16 | 2018-05-16 | 一种面对未知威胁的动态网络变化决策方法及其系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109327427A (zh) |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110069076A (zh) * | 2019-04-23 | 2019-07-30 | 北京航空航天大学 | 一种基于猛狼围捕行为的无人机集群空战方法 |
CN110166437A (zh) * | 2019-04-19 | 2019-08-23 | 杭州电子科技大学 | 基于ds证据推理的移动目标防御最优策略选取的方法 |
CN110191083A (zh) * | 2019-03-20 | 2019-08-30 | 中国科学院信息工程研究所 | 面向高级持续性威胁的安全防御方法、装置与电子设备 |
CN110213301A (zh) * | 2019-07-11 | 2019-09-06 | 武汉思普崚技术有限公司 | 一种转移网络攻击面的方法、服务器和系统 |
CN110300106A (zh) * | 2019-06-24 | 2019-10-01 | 中国人民解放军战略支援部队信息工程大学 | 基于Markov时间博弈的移动目标防御决策选取方法、装置及系统 |
CN110602062A (zh) * | 2019-08-27 | 2019-12-20 | 北京邮电大学 | 基于强化学习的网络主动防御方法及装置 |
CN110602047A (zh) * | 2019-08-14 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 面向网络攻防的多步攻击动态防御决策选取方法及系统 |
CN111368302A (zh) * | 2020-03-08 | 2020-07-03 | 北京工业大学 | 基于攻击者攻击策略生成的自动威胁检测方法 |
CN112487431A (zh) * | 2020-12-02 | 2021-03-12 | 浙江工业大学 | 基于非完全信息的入侵检测系统最优稳态策略求解方法 |
CN112989357A (zh) * | 2021-03-09 | 2021-06-18 | 中国人民解放军空军工程大学 | 基于信号博弈模型的多阶段平台动态防御方法 |
CN113852645A (zh) * | 2021-12-02 | 2021-12-28 | 北京邮电大学 | 抗客户端dns缓存中毒攻击的方法、装置及电子设备 |
CN114760095A (zh) * | 2022-03-09 | 2022-07-15 | 西安电子科技大学 | 一种意图驱动的网络防御策略生成方法、系统及应用 |
CN115550078A (zh) * | 2022-12-02 | 2022-12-30 | 北京国信蓝盾科技有限公司 | 一种融合动态资源池调度与响应的方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8086443B2 (en) * | 2007-08-24 | 2011-12-27 | Siemens Medical Solutions Usa, Inc. | System and method for text tagging and segmentation using a generative/discriminative hybrid hidden markov model |
CN105141641A (zh) * | 2015-10-14 | 2015-12-09 | 武汉大学 | 一种基于SDN的Chaos移动目标防御方法及系统 |
US9372976B2 (en) * | 2013-03-20 | 2016-06-21 | Dror Bukai | Automatic learning multi-modal fraud prevention (LMFP) system |
CN107135224A (zh) * | 2017-05-12 | 2017-09-05 | 中国人民解放军信息工程大学 | 基于Markov演化博弈的网络防御策略选取方法及其装置 |
-
2018
- 2018-05-16 CN CN201810467126.8A patent/CN109327427A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8086443B2 (en) * | 2007-08-24 | 2011-12-27 | Siemens Medical Solutions Usa, Inc. | System and method for text tagging and segmentation using a generative/discriminative hybrid hidden markov model |
US9372976B2 (en) * | 2013-03-20 | 2016-06-21 | Dror Bukai | Automatic learning multi-modal fraud prevention (LMFP) system |
CN105141641A (zh) * | 2015-10-14 | 2015-12-09 | 武汉大学 | 一种基于SDN的Chaos移动目标防御方法及系统 |
CN107135224A (zh) * | 2017-05-12 | 2017-09-05 | 中国人民解放军信息工程大学 | 基于Markov演化博弈的网络防御策略选取方法及其装置 |
Non-Patent Citations (1)
Title |
---|
CHENG LEI, HONG-QI ZHANG,LI-MING WAN,LU LIU,DUO-HE MA: "Incomplete information Markov game theoretic approach to strategy generation for moving target defense", 《COMPUTER COMMUNICATIONS》 * |
Cited By (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110191083A (zh) * | 2019-03-20 | 2019-08-30 | 中国科学院信息工程研究所 | 面向高级持续性威胁的安全防御方法、装置与电子设备 |
CN110166437A (zh) * | 2019-04-19 | 2019-08-23 | 杭州电子科技大学 | 基于ds证据推理的移动目标防御最优策略选取的方法 |
CN110069076B (zh) * | 2019-04-23 | 2020-06-09 | 北京航空航天大学 | 一种基于猛狼围捕行为的无人机集群空战方法 |
CN110069076A (zh) * | 2019-04-23 | 2019-07-30 | 北京航空航天大学 | 一种基于猛狼围捕行为的无人机集群空战方法 |
CN110300106B (zh) * | 2019-06-24 | 2021-11-23 | 中国人民解放军战略支援部队信息工程大学 | 基于Markov时间博弈的移动目标防御决策选取方法、装置及系统 |
CN110300106A (zh) * | 2019-06-24 | 2019-10-01 | 中国人民解放军战略支援部队信息工程大学 | 基于Markov时间博弈的移动目标防御决策选取方法、装置及系统 |
CN110213301A (zh) * | 2019-07-11 | 2019-09-06 | 武汉思普崚技术有限公司 | 一种转移网络攻击面的方法、服务器和系统 |
CN110602047B (zh) * | 2019-08-14 | 2021-08-03 | 中国人民解放军战略支援部队信息工程大学 | 面向网络攻防的多步攻击动态防御决策选取方法及系统 |
CN110602047A (zh) * | 2019-08-14 | 2019-12-20 | 中国人民解放军战略支援部队信息工程大学 | 面向网络攻防的多步攻击动态防御决策选取方法及系统 |
CN110602062A (zh) * | 2019-08-27 | 2019-12-20 | 北京邮电大学 | 基于强化学习的网络主动防御方法及装置 |
CN111368302A (zh) * | 2020-03-08 | 2020-07-03 | 北京工业大学 | 基于攻击者攻击策略生成的自动威胁检测方法 |
CN112487431A (zh) * | 2020-12-02 | 2021-03-12 | 浙江工业大学 | 基于非完全信息的入侵检测系统最优稳态策略求解方法 |
CN112487431B (zh) * | 2020-12-02 | 2022-07-15 | 浙江工业大学 | 基于非完全信息的入侵检测系统最优稳态策略求解方法 |
CN112989357A (zh) * | 2021-03-09 | 2021-06-18 | 中国人民解放军空军工程大学 | 基于信号博弈模型的多阶段平台动态防御方法 |
CN113852645A (zh) * | 2021-12-02 | 2021-12-28 | 北京邮电大学 | 抗客户端dns缓存中毒攻击的方法、装置及电子设备 |
CN114760095A (zh) * | 2022-03-09 | 2022-07-15 | 西安电子科技大学 | 一种意图驱动的网络防御策略生成方法、系统及应用 |
CN114760095B (zh) * | 2022-03-09 | 2023-04-07 | 西安电子科技大学 | 一种意图驱动的网络防御策略生成方法、系统及应用 |
CN115550078A (zh) * | 2022-12-02 | 2022-12-30 | 北京国信蓝盾科技有限公司 | 一种融合动态资源池调度与响应的方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109327427A (zh) | 一种面对未知威胁的动态网络变化决策方法及其系统 | |
Yadav et al. | Using Social Networks to Aid Homeless Shelters: Dynamic Influence Maximization under Uncertainty. | |
Jormakka et al. | Modelling information warfare as a game | |
CN110300106A (zh) | 基于Markov时间博弈的移动目标防御决策选取方法、装置及系统 | |
CN110460572A (zh) | 基于Markov信号博弈的移动目标防御策略选取方法及设备 | |
CN110166428A (zh) | 基于强化学习和攻防博弈的智能防御决策方法及装置 | |
CN107070956A (zh) | 基于动态贝叶斯博弈的apt攻击预测方法 | |
Rasouli et al. | A supervisory control approach to dynamic cyber-security | |
CN108696534A (zh) | 实时网络安全威胁预警分析方法及其装置 | |
Chukwudi et al. | Game theory basics and its application in cyber security | |
Guo et al. | Coalitional security games | |
CN109589607A (zh) | 一种基于区块链的游戏防作弊方法及游戏防作弊系统 | |
CN110099045A (zh) | 基于定性微分博弈和演化博弈的网络安全威胁预警方法及装置 | |
CN112003854B (zh) | 基于时空博弈的网络安全动态防御决策方法 | |
CN109379322A (zh) | 一种完全信息条件下网络动态变换的决策方法及其系统 | |
Gianini et al. | A game theoretic approach to vulnerability patching | |
Tan et al. | A survey: When moving target defense meets game theory | |
Zhang et al. | Analysing the benefit of selfish mining with multiple players | |
Tsemogne et al. | A partially observable stochastic zero-sum game for a network epidemic control problem | |
Yen et al. | Revisiting botnet models and their implications for takedown strategies | |
Wan et al. | Foureye: Defensive deception based on hypergame theory against advanced persistent threats | |
Khouzani et al. | Picking vs. guessing secrets: A game-theoretic analysis | |
Glazier et al. | Analyzing resilience properties of different topologies of collective adaptive systems | |
Jiang et al. | Optimal network security strengthening using attack-defense game model | |
Feng et al. | Security analysis of block withholding attacks in blockchain |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190212 |