CN110035066B - 一种基于博弈论的攻防行为量化评估方法及系统 - Google Patents

Abstract

本发明公开了一种基于博弈论的攻防行为量化评估方法及系统。本方法为：1)将网络攻击过程划分为多个环节，并设置每一环节的攻击目标及相应的防御目标；2)当攻击者入侵目标系统时，收集各环节时该目标系统内各个节点的信息以及目标系统处于不同状态时的系统状态信息；3)根据步骤2)收集的信息计算每个攻防行为的效用值。本发明能够解决定量分析攻击行为和防御行为之间相互对抗、相互博弈的问题。

Description

一种基于博弈论的攻防行为量化评估方法及系统

技术领域

本发明属于网络安全技术领域，更进一步涉及一种基于博弈论的攻防行为量化评估方法及系统。本发明主要作用是根据攻击与防御的关联及转化关系，揭示攻防效用传递与制约机理，提出攻击与防御演化度量指标的体系框架及其量化与复合模型，建立攻防演化效用评估方法。本发明可适用于在庞大的数据面前逐渐丧失对当前网络态势的感知这一现状，也对攻防技术发展趋势分析与预测有极其积极的意义。

背景技术

随着网络攻防技术的发展，网络环境变得愈加复杂，网络管理员或专家很难仅凭直觉准确的判断当前网络系统的安全程度(Security Situation)。更糟糕的是，各式各样的攻击手段却层出不穷，持续不断地给政府和企业带来经济和名誉上的巨大损失。这一方面是因为攻击技术日趋复杂化、多样化和自动化，更重要的，防守者缺乏对网络行为的客观量化描述。

攻防行为是攻击者和防御者在网络环境中根据不同的意图和目的采取的一系列行动，攻击行为和防御行为之间是相互对抗、相互博弈的关系，选择不同的攻防行为将带来不同的收益和消耗，所以就有了攻防策略。研究攻防行为间的相互作用可以帮助防御者制定更合理的防御策略，研究攻防行为还能展示在当前最优防御策略下，系统可能遭受的最大安全风险，也就是系统当前的安全程度。特别地，当防御者采取最优防御策略时，攻击者即使采取最优的攻击策略，攻击收益仍然低于攻击成本，此时就可以认为系统是相对安全的。

基于博弈论的量化评估方法提供了一种全面衡量各种影响因素对安全程度造成的影响的一种方法。博弈论作为一种研究多方决策者策略间关系的理论，已经被很多相关研究人员用以研究攻防双方的对抗，并帮助防守者制定更适宜的策略。

通过对目前博弈论研究现状的分析，可以得出目前的该方法在攻防行为量化评估领域主要存在以下三点不足：

(1)策略的支付函数计算方法过于简单化和理论化，缺乏实践性，不能准确描述行为的效用值。

(2)近几年随着网络欺骗、拟态防御、蜜罐补丁等主动防御技术的发展，对防御策略的效用值量化存在极大的缺陷，当前的工作只考虑了被动防御给防御者带来的收益，没有考虑这些主动防御技术的防御效果。

(3)随着APT攻击日益增多，攻击意图变得更加复杂和多变，传统意义上的攻击收益最大化原则不能很好地描述攻击者的意图，需考虑诸如隐蔽性、伸缩性等额外影响因素对攻击行为的效用带来的影响。

发明内容

本发明的目的在于提供一种基于博弈论的攻防行为量化评估方法及系统，能够解决定量分析攻击行为和防御行为之间相互对抗、相互博弈的问题。

为解决上述技术问题，本发明采用的技术方案是：提供一种基于博弈论的攻防行为量化评估方法，包括如下步骤：

1)定义攻击场景：网络攻击过程由若干不同的环节组成，而攻防博弈存在于各个阶段中，根据每一环节的攻击目标及相应的防御目标，将定义多个攻防场景应对攻防博弈对不同环境的需求，其中典型攻防场景主要有以下几类：

1a)信息收集阶段(information collecting stage)

1b)网络入侵阶段(Intrusion stage)

1c)攻击提权阶段(Privilege elevation stage)

1d)内网渗透阶段(Lateral transfer stage)

1e)系统驻留阶段(System resident stage)

1f)清除痕迹阶段(Tracks eraser stage)

2)收集节点状态信息：当攻击者入侵目标系统时，首先收集目标系统内各个节点的信息，包括各个节点的漏洞信息和脆弱点信息，可能遭受的攻击类型，以及目标系统中相应的防御配置。当成功找到入口节点后，接下来进入网络入侵阶段：攻击者通过被攻陷的节点尝试各种手段，如漏洞利用、口令攻击、钓鱼邮件(phishing email)，入侵系统中其他网络节点实现横向转移，当成功入侵到关键节点后实现系统驻留等攻击手段，并清除痕迹。在这个过程中，随着网络中不同节点被入侵者攻陷，系统处于不同的状态，据此可以收集系统所有有价值的状态信息；此外，计算攻击时间：攻击时间是指从攻击者发动某一个具体攻击开始，到完成攻击目标为止的时长。同时也提出平均攻击时间概念，即平均攻击时间是描述当前领域内，针对某一个具体的攻击，平均需要的攻击时长。

3)系统状态图的生成：随机博弈状态转移(即系统状态转移)由目标系统中每个节点的状态转移产生：根据该节点的连接性，一个节点的状态转换，通常意味着其他节点将面临新的安全威胁，系统的安全状况也会相应地发生变化，进入一个新的系统状态。在ADSGM中，本发明总结出四种节点状态：无权限；远程访问权限；根权限；数据泄漏状态。

此外，尽管一个节点可能有多种状态类型，但通常情况下，为了获得更多的利益，对手倾向于让节点处于更危险的状态，另外，常规全遍历算法的计算复杂度随目标系统的节点数量，呈现指数增长模式，因此本发明给出了贪心算法，该算法通过启发式方法选择节点可能状态中最危险的状态：

算法1、系统状态图生成贪婪算法

INPUT：Network topology graph

//每一个节点包括如下信息：邻居节点集N_near，攻防行为集

以及下一个可能的系统状态集

OUTPUT：Target system state set:S

1.Find all entrance node in N and label asE_i in Entrance[]；

2.For E_i in Entrance[]://对每一个入口节点E_i

3.InitializeS₀,N[],S[]//初始化当前状态为S₀

4.S[]<—S₀；

5.N[]<—E_i；

6.For N_i in N[]://对于当前节点集中的每一个节点N_i有：

7.each N_j in N_near[]://对于所有的邻居节点N_j

8.Generate all possible actions set

and corresponding utility//根据步骤(1)收集的信息生成节点N_j对应的攻防行为集

并计算每个行为相应的效用值

9.Choose the maximum utility action and corresponding state

10.S[]<—

//系统进入下一状态

11.N[]<—N_j；

12.End for

13.End for

4)评估防御措施能力：系统安全的程度取决于系统能够抵御的攻击强度，在此提出了三个属性来表示每种防御措施的能力，并介绍了计算方法：

a)恢复能力(R)：R对应于系统遭受攻击行为所造成的损失，恢复能力可以减轻这种损失，因此通过以下公式进行加权表示：

L′＝L-R (1)

L是攻击行为给系统造成的损失，R是防御措施的具体恢复能力值，L′是攻防对抗后的修正损失值，其中L和R根据历史经验和专家知识得来。

b)欺骗诱导能力：欺骗能力对提升系统安全带来的最主要的效果，是给攻击者的攻击行为带来了不确定性，所以尽管攻击行为本身的危害不变，但对相应系统造成的损害值将依据攻击到真实设备的概率分布情况而打折扣。因此通过转换原始支付矩阵计算这种能力：

其中f代表节点或设备的真实指纹而

代表攻击者观测到的指纹,

表示系统内所有表示为

观测指纹的节点或设备总数，而

代表了防御配置：描述系统中有多少节点或设备其真实指纹为f而观测指纹为

欺骗诱导能力的计算，在步骤(6)计算完支付矩阵的支付值后，根据系统的具体防御配置，将原始支付值U_f转换成修正支付值U′_f，再进行最优防御策略下最大风险计算。

c)发现溯源能力：攻击行为暴露的风险和防御者追踪溯源能力息息相关，为了评估攻击暴露的风险以及追踪溯源能力，本方法将二者用攻击时间的概念联系在一起：

T(t)＝α*T/t (3)

其中α是经验系数，T由历史经验和专家知识计算，代表某种攻击行为的平均“攻击时间”，t表示实际攻击时长。

5)计算攻防效用值：攻击行为的效用可分为两部分：一部分是攻击行为的收益，主要来自系统遭受的破坏，另一部分是攻击行为的成本，即攻击行为的代价。因此，攻击行为效用公式如下：

U_a＝B_a-C_a (4)

B_a＝(L-R)*V (5)

C_a＝T(t)＝α*T/t (6)

其中B_a代表攻击行为的收益，即对系统造成的损失，由公式(5)得出；C_a代表攻击行为的代价，本方法中主要指攻击行为暴露的风险值，由公式(6)得出。

然后根据(4)，(5)和(6)扩展了效用计算公式：

U_a,d＝(L-R)*V-T(t)＝(L-R)*V-αT/t (7)

其中V表示资产价值，由系统管理员提供，L包含三个分量：C表示攻击行为对系统机密性造成的损失，I表示攻击行为对系统完整性造成的损失，A表示攻击行为对系统可用性造成的损失。漏洞攻击的损害由CVSS数据库查询得到，其他攻击行为的损害由专家打分得到。

6)计算支付矩阵：在ADSGM中，支付矩阵元素如下：

其中

是从系统状态k在攻防行为对(a_i,d_j)下转移到状态l的转移概率。

是当前系统状态k时攻防行为对(a_i,d_j)的效用值，由公式(7)计算得到。对于k状态下所有可能的下一系统状态集K，s_l表示下一状态K_l的期望效用值，其中K_l∈K,l＝1,2,3…m,

代表下一系统状态总的期望效用值，即攻防行为对(a_i,d_j)的间接效用值，a_i表示攻击者采用攻击行为a_i，d_j表示防守者采取防御行为d_j。

本发明还提供一种基于博弈论的攻防行为量化评估系统，其特征在于，包括攻防博弈环境设置模块、信息采集模块和攻防行为效用值评估模块；其中，

攻防博弈环境设置模块，用于，将网络攻击过程划分为多个环节，并设置每一环节的攻击目标及相应的防御目标；

信息采集模块，用于当攻击者入侵目标系统时，收集各环节时该目标系统内各个节点的信息以及目标系统处于不同状态时的系统状态信息；

攻防行为效用值评估模块，用于根据收集的信息计算每个攻防行为的效用值。

进一步的，还包括一系统状态图生成模块，所述系统状态图生成模块首先获取每一节点的邻居节点集、攻防行为集，设置当前状态集N[]、当前节点集S[]；然后从该目标系统的入口节点开始遍历，对每一节点E_i，初始化其当前状态为S₀，令S[]<—S₀、N[]<—E_i；然后对于当前节点集S[]中的每一个节点N_i的处理方法为：对于该节点N_i的每一邻居节点N_j，根据步骤2)收集的信息生成节点N_j对应的攻防行为集

并计算每个攻防行为的效用值；然后选取效用值最大行为对应的状态

及对应节点N_j，令S[]<—

N[]<—N_j；然后根据最终得到的S[]生成系统状态图。

本发明的有益效果是：

1)本发明更为细致地区分了主动防御和被动防御在攻击防御博弈效用计算领域的区别；

2)本发明细化了防御措施的能力，提出了“发现溯源攻击能力”和“欺骗诱导攻击能力”两个新属性来评估攻防行为，并通过公式进行了量化计算；

3)本发明在攻防行为的评估中初步提出了“攻击时间”的概念，并进一步讨论了它如何在攻防效用计算中发挥作用；

综上，本发明的评估方法具有概念新颖、创新性强、适用性强等突出特点。

附图说明

图1是一个典型的网络系统拓扑结构图。

图2是一个攻击防御随机状态转移图。

具体实施方式

下面结合附图对本发明的较佳实施例进行详细阐述，以使本发明的优点和特征能更易于被本领域技术人员理解，从而对本发明的保护范围做出更为清楚明确的界定。

请参阅图1和图2，本发明实施例包括：

一种基于博弈论的攻防行为量化评估方法，包括如下步骤：

1)首先，本实施例假设有一个典型的网络系统拓扑结构如图1所示。攻击者可以通过Internet访问客户端A和B，并且Internet和Intranet之间有防火墙。防火墙的访问规则如表2所列。特别是，影子资产是关键资产的“副本”，它误导了对手的看法和决策过程。

表2：防火墙的访问控制规则

2)然后，本实施例基于不同的攻击场景列出了目标网络上所有可能的攻击和防御动作：

表3:Adversary Actions List

A	描述
		a<sub>1</sub>	弱口令攻击
a<sub>2</sub>	CVE
		a<sub>3</sub>	DOS
a<sub>4</sub>	CVE
		a<sub>5</sub>	恶意代码攻击
a<sub>6</sub>	钓鱼邮件
		a<sub>7</sub>	绕过哈希值
a<sub>8</sub>	CVE

表4:防御行为表

3)此外，本实施例假设对手动作集和防御配置如下：

表5:各节点可能遭受的攻击行为和防御配置

4)现在，假设对手已经破坏了客户端A，并将客户端A识别为入口节点，然后生成由算法1设置的系统状态并输出有向图。

S₀是客户端A遭到入侵的系统状态，对手动作设置为A⁰＝{a₁，a₂，a₃，a₄}，后卫动作设置为D⁰＝{d₁,d₅}，其中d₅为

所以

然后转到S₁并继续直到不再有状态。

5)现在专注于状态S₂，根据节点5上的被动测量“影子资产”识别节点6，并且对手动作设置A²＝{a₇,a₈}并且防御者动作设置D²＝{d₃,d₅}，然后给出原始的支付矩阵：

在使用公式

之后，支付矩阵将如下：

6)很明显，被动防御措施降低了攻击行为的效用，增加了目标系统的安全性。最后获得对手的累计收益，这与系统安全状况呈负相关。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种基于博弈论的攻防行为量化评估方法，其步骤包括：

1)将网络攻击过程划分为多个环节，并设置每一环节的攻击目标及相应的防御目标；

2)当攻击者入侵目标系统时，收集各环节时该目标系统内各个节点的信息以及目标系统处于不同状态时的系统状态信息；

3)根据步骤2)收集的信息计算每个攻防行为的效用值；其中攻防行为对(a，d)的效用值为U_a，d＝(L-R)*V-T(t)；V表示资产价值，T(t)为系统对攻击行为a的发现溯源能力，L是攻击行为a给系统造成的损失，R是防御措施d的具体恢复能力值。

2.如权利要求1所述的方法，其特征在于，根据步骤2)收集的信息生成一系统状态图，其方法为：首先获取每一节点的邻居节点集、攻防行为集，设置当前节点集N[]、当前状态集S[]；然后从该目标系统的入口节点开始遍历，对每一节点E_i，初始化其当前状态为S₀，令S[]＜-S₀、N[]＜-E_i；然后对于当前节点集N[]中的每一个节点N_i的处理方法为：对于该节点N_i的每一邻居节点N_j，根据步骤2)收集的信息生成节点N_j对应的攻防行为集

并计算每个攻防行为的效用值；然后选取效用值最大行为对应的状态

及对应节点N_j，令

N[]＜-N_j；然后根据最终得到的状态集S[]生成系统状态图。

3.如权利要求1所述的方法，其特征在于，通过支付矩阵和系统的防御配置计算该目标系统的欺骗诱导能力

其中，f代表节点或设备的真实指纹，

代表攻击者观测到的指纹，

表示系统内所有表示为

观测指纹的节点或设备总数，

代表防御配置。

4.如权利要求3所述的方法，其特征在于，所述支付矩阵的元素为

其中，

是从系统状态k在攻防行为对(a_i，d_j)下转移到状态l的转移概率；

是系统状态k时攻防行为对(a_i，d_j)的效用值，s_l表示下一状态K_l的期望效用值，

代表下一系统状态总的期望效用值。

5.如权利要求1所述的方法，其特征在于，T(t)＝α*T/t；其中，α是经验系数，T是攻击行为a的设定平均攻击时间，t表示攻击行为a实际攻击时长；L＝C+I+A，C表示攻击行为对系统机密性造成的损失，I表示攻击行为对系统完整性造成的损失，A表示攻击行为对系统可用性造成的损失。

6.如权利要求1所述的方法，其特征在于，所述节点的信息包括节点的漏洞信息、脆弱点信息。

7.一种基于博弈论的攻防行为量化评估系统，其特征在于，包括攻防博弈环境设置模块、信息采集模块和攻防行为效用值评估模块；其中，

攻防博弈环境设置模块，用于，将网络攻击过程划分为多个环节，并设置每一环节的攻击目标及相应的防御目标；

信息采集模块，用于当攻击者入侵目标系统时，收集各环节时该目标系统内各个节点的信息以及目标系统处于不同状态时的系统状态信息；

攻防行为效用值评估模块，用于根据收集的信息计算每个攻防行为的效用值；其中攻防行为对(a，d)的效用值为U_a，d＝(L-R)*V-T(t)；V表示资产价值，T(t)为系统对攻击行为a的发现溯源能力，L是攻击行为a给系统造成的损失，R是防御措施d的具体恢复能力值。

8.如权利要求7所述的系统，其特征在于，还包括一系统状态图生成模块，所述系统状态图生成模块首先获取每一节点的邻居节点集、攻防行为集，设置当前节点集N[]、当前状态集S[]；然后从该目标系统的入口节点开始遍历，对每一节点E_i，初始化其当前状态为S₀，令S[]＜-S₀、N[]＜-E_i；然后对于当前节点集N[]中的每一个节点N_i的处理方法为：对于该节点N_i的每一邻居节点N_j，根据步骤2)收集的信息生成节点N_j对应的攻防行为集

并计算每个攻防行为的效用值；然后选取效用值最大行为对应的状态

及对应节点N_j，令

N[]＜-N_j；然后根据最终得到的状态集S[]生成系统状态图。

Images