CN110191083B - 面向高级持续性威胁的安全防御方法、装置与电子设备 - Google Patents

面向高级持续性威胁的安全防御方法、装置与电子设备 Download PDF

Info

Publication number
CN110191083B
CN110191083B CN201910211913.0A CN201910211913A CN110191083B CN 110191083 B CN110191083 B CN 110191083B CN 201910211913 A CN201910211913 A CN 201910211913A CN 110191083 B CN110191083 B CN 110191083B
Authority
CN
China
Prior art keywords
attack
defense
model
attacking
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201910211913.0A
Other languages
English (en)
Other versions
CN110191083A (zh
Inventor
刘银龙
张杭生
马宇晨
李婷
梁杰
耿立茹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201910211913.0A priority Critical patent/CN110191083B/zh
Publication of CN110191083A publication Critical patent/CN110191083A/zh
Application granted granted Critical
Publication of CN110191083B publication Critical patent/CN110191083B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例提供一种面向高级持续性威胁的安全防御方法、装置与电子设备,其中所述方法包括:基于高级持续性威胁在攻击过程中攻防双方的特性,建立所述攻击过程中所述攻防双方的对抗模型;利用非对称信息博弈的收益模型,对所述攻防双方在所述攻击过程中获取信息的不对称性进行形式化描述;基于所述对抗模型和所述非对称信息博弈的收益模型,通过正向求解,预测所述高级持续性威胁针对每条可行攻击路径的通行概率;基于所述通行概率,获取针对所述高级持续性威胁的最优防御策略,以进行安全防御。本发明实施例能够更全面、准确而有效的对高级持续性威胁进行主动检测与防御,从而能更有效的保证用户的数据信息安全。

Description

面向高级持续性威胁的安全防御方法、装置与电子设备
技术领域
本发明实施例涉及网络安全技术领域,更具体地,涉及一种面向高级持续性威胁(Advanced Persistent Threat,APT)的安全防御方法、装置与电子设备。
背景技术
目前,网络攻击与信息窃取威胁已严重影响到计算机网络和通信网络空间的数据信息安全。在现行的诸多安全威胁中,存在一类持续时间极长的新型攻击,称之为高级持续性威胁攻击APT。APT攻击具有目标性强、隐蔽性高、方式多维和不易被侦察等特点。
现有的网络安全技术一部分依然依赖防火墙、入侵检测和反病毒软件等手段,属于静态的、片面的被动防御。这些被动防御技术强调以攻击为中心,在检测到攻击后才有所响应。因此,当这些静态防御手段发现攻击时,被攻击系统可能已经出现严重的损失,数据信息安全得不到保障。
针对这一问题,又发展出了一种主动实时防护技术,其通过态势感知、风险评估、安全监测等手段,对当前网络安全态势进行判断,并依据判断结果实施网络防御的主动防护体系。但是,由于这些主动防护技术主要针对攻击事件本身进行检测和分析,在面对有组织、有目标、隐蔽性高的APT攻击时,往往会由于难以有效检测而失去防御性能,无法保证用户的数据信息安全。
发明内容
为了克服上述问题或者至少部分地解决上述问题,本发明实施例提供一种面向高级持续性威胁的安全防御方法、装置与电子设备,用以更全面、准确而有效的检测并防御高级持续性威胁,保证用户的数据信息安全。
第一方面,本发明实施例提供一种面向高级持续性威胁的安全防御方法,包括:
基于高级持续性威胁在攻击过程中攻防双方的特性,建立所述攻击过程中所述攻防双方的对抗模型;
利用非对称信息博弈的收益模型,对所述攻防双方在所述攻击过程中获取信息的不对称性进行形式化描述;
基于所述对抗模型和所述非对称信息博弈的收益模型,通过正向求解,预测所述高级持续性威胁针对每条可行攻击路径的通行概率;
基于所述通行概率,获取针对所述高级持续性威胁的最优防御策略,以进行安全防御。
第二方面,本发明实施例提供一种面向高级持续性威胁的安全防御装置,包括:
第一建模模块,用于基于高级持续性威胁在攻击过程中攻防双方的特性,建立所述攻击过程中所述攻防双方的对抗模型;
第二建模模块,用于利用非对称信息博弈的收益模型,对所述攻防双方在所述攻击过程中获取信息的不对称性进行形式化描述;
计算模块,用于基于所述对抗模型和所述非对称信息博弈的收益模型,通过正向求解,预测所述高级持续性威胁针对每条可行攻击路径的通行概率;
防御策略模块,用于基于所述通行概率,获取针对所述高级持续性威胁的最优防御策略,以进行安全防御。
第三方面,本发明实施例提供一种电子设备,包括:至少一个存储器、至少一个处理器、通信接口和总线;所述存储器、所述处理器和所述通信接口通过所述总线完成相互间的通信,所述通信接口用于所述电子设备与目标网络设备之间的信息传输;所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如上第一方面所述的面向高级持续性威胁的安全防御方法。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如上第一方面所述的面向高级持续性威胁的安全防御方法。
本发明实施例提供的面向高级持续性威胁的安全防御方法、装置与电子设备,通过充分分析和利用高级持续性威胁在攻击过程中攻击方和防御方两个参与主体的对抗特性,实现最优防御策略的获取,而非仅针对攻击方本身属性进行检测,关注的是攻防过程的整体对抗过程,因此能够更准确的预测高级持续性威胁的攻击方向,从而能够更全面、准确而有效的对高级持续性威胁进行主动防御,保证用户的数据信息安全。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的面向高级持续性威胁的安全防御方法的流程示意图;
图2为根据本发明实施例提供的面向高级持续性威胁的安全防御方法中多阶段迷宫对抗网络模型的结构示意图;
图3为根据本发明实施例提供的面向高级持续性威胁的安全防御方法中APT攻击的隐马尔科夫模型的结构示意图;
图4为本发明另一实施例提供的面向高级持续性威胁的安全防御方法的流程示意图;
图5为本发明实施例提供的面向高级持续性威胁的安全防御装置的结构示意图;
图6为本发明实施例提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明实施例的一部分实施例,而不是全部的实施例。基于本发明实施例中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明实施例保护的范围。
针对网络攻防过程中攻防双方同时行动或者非同时行动两种场景,可以分别采用静态博弈模型或者动态博弈模型研究网络防御决策问题。当进一步考虑攻防行为信息对博弈过程的影响时,可以在引入信号博弈模型的基础上,研究有限信号条件下的动态防御策略。面对现实社会中攻防双方只具有有限理性的现实情况,可以借鉴演化博弈理论,突破博弈完全理性假设的限制,通过演化博弈模型分析网络群体行为,研究网络系统安全状态的演化规律和相应的防御决策方法。
本发明实施例针对现有技术中面对有组织、有目标、隐蔽性高的APT攻击时,由于难以有效检测而失去防御性能的问题,通过充分分析和利用高级持续性威胁在攻击过程中攻击方和防御方两个参与主体的对抗特性,实现最优防御策略的获取,而非仅针对攻击方本身属性进行检测,关注的是攻防过程的整体对抗过程,因此能够更准确的预测高级持续性威胁的攻击方向,从而能够更全面、准确而有效的对高级持续性威胁进行主动防御,保证用户的数据信息安全。以下将具体通过多个实施例对本发明实施例进行展开说明和介绍。
图1为本发明一实施例提供的面向高级持续性威胁的安全防御方法的流程示意图,如图1所示,该方法包括:
S101,基于高级持续性威胁在攻击过程中攻防双方的特性,建立攻击过程中攻防双方的对抗模型。
可以理解,信息安全中攻防对抗的本质可以抽象为攻防双方(也即攻击者方和防御者方)的策略依存性,防御者所采取的防御策略是否有效,不应该只取决于其自身的行为,还应取决于攻击者和防御系统的策略。因此,可以利用博弈论理论,通过充分分析APT攻击过程中攻防双方的对抗特性,来研究攻防双方矛盾,并对分析结果进行建模,得到攻击过程中攻防双方的对抗模型。基于该模型,可以解决最优防御决策等信息安全攻防对抗难题。
S102,利用非对称信息博弈的收益模型,对攻防双方在攻击过程中获取信息的不对称性进行形式化描述。
可以理解,由于APT攻击具有很强的隐蔽性,使得攻防双方获取的信息具有不对称性,即攻击者可以观察到防御者的大部分行为,而防御者却不能观察到攻击者何时采取行动。因此,为了形式化表达这种不对称关系,在攻防双方对抗模型的基础上,用不对称信息的博弈模型,也即非对称信息博弈的收益模型,来形式化这个过程。具体而言,通过分析APT在攻击过程中攻防双方不对称地获取信息的过程,以对抗模型为基础对该过程进行形式化描述,得到非对称信息博弈的收益模型,用来更准确的描述APT攻击过程中攻防双方的对抗特性。例如,可以从攻防双方特点考虑,将攻防过程建模为多阶段的迷宫对抗网络模型(Maze confrontation network,MCN)。
S103,基于对抗模型和非对称信息博弈的收益模型,通过正向求解,预测高级持续性威胁针对每条可行攻击路径的通行概率。
本发明实施例在上述步骤建模的基础上,利用建立的对抗模型和非对称信息博弈的收益模型对APT攻击进行正向计算。也即当输入高级持续性威胁APT时,利用对抗模型和非对称信息博弈的收益模型,对该输入的APT在模型网络中进行前向计算求解,以获取APT通过每条可行攻击路径的概率值,也即通行概率。例如,可以将攻击者的攻击行为用隐马尔科夫模型表达,通过前向算法计算出每条可能路径的概率值。
可以理解的是,节点和节点之间经过不同的中间节点可以有多条不同的路径,对于APT攻击而言,这每一条路径即是一条可行攻击路径。通过计算APT从所有可行路径通行的概率,即可预测APT的攻击目标方向。通常APT在进行网络攻击时会找寻一条到达攻击目标的最短路径。
S104,基于通行概率,获取针对高级持续性威胁的最优防御策略,以进行安全防御。
本发明实施例根据上述步骤的计算结果,将前一步计算出的不同可行攻击路径的概率值作为防御者的预测信息,并利用该预测信息努力实现攻防双方获取信息的对称性。最后,在攻防双方获取信息基本对称的基础上,计算出防御者的最优防御策略,并根据该最优防御策略对高级持续性威胁APT进行安全防御。例如,可以将前一步计算出的不同路径的概率值作为防御者的信息,并通过纳什均衡计算出防御者的最优防御策略。
本发明实施例提供的面向高级持续性威胁的安全防御方法,通过充分分析和利用高级持续性威胁在攻击过程中攻击方和防御方两个参与主体的对抗特性,实现最优防御策略的获取,而非仅针对攻击方本身属性进行检测,关注的是攻防过程的整体对抗过程,因此能够更准确的预测高级持续性威胁的攻击方向,从而能够更全面、准确而有效的对高级持续性威胁进行主动防御,保证用户的数据信息安全。
其中,根据上述各实施例可选的,建立攻击过程中攻防双方的对抗模型的步骤具体包括:针对攻击过程中攻防双方的对抗特性,将攻击过程抽象成高级持续性威胁在网络迷宫中寻路的过程,以建立多阶段迷宫对抗网络模型(MCN),作为对抗模型。
可以理解,信息安全中攻防对抗的本质可以抽象为攻防双方的策略依存性,防御者所采取的防御策略是否有效,不应该只取决于其自身的行为,还应取决于攻击者和防御系统的策略,因此,将APT在网络中的攻击过程在网络迷宫中寻路的过程。攻击者的攻击过程是从起点到终点之间寻找一条路径最短的攻击路径的过程,防御者的防御过程是通过监视获取攻击者的信息,在路径中设置障碍阻止攻击者的进攻,从而增大攻击者的攻击距离的过程。
根据上述各实施例可选的,建立多阶段迷宫对抗网络模型的步骤具体包括:基于被防御网络的结构特征,确定被防御网络的所有网络节点、各节点间的有向边以及每条有向边对应的等效距离,并基于攻防双方的对抗特性,确定参与攻防博弈的所有局中人、各局中人的策略集合以及各局中人的效用函数集合;基于各网络节点、各有向边以及各等效距离,生成虚拟迷宫网络,并结合所有局中人、各局中人的策略集合以及各局中人的效用函数集合,建立攻防双方的如下六元组多阶段迷宫对抗网络模型:MCN=(N,E,W,P,S,U);式中,N表示所有网络节点的集合,E表示所有有向边的集合,W表示所有等效距离的集合,P表示所有局中人的集合,S表示所有局中人的策略集合,U表示所有局中人的效用函数集合。
具体而言,本发明实施例将APT攻击过程中攻防双方的对抗过程建模为多阶段迷宫对抗网络模型。一个节点和另一节点之间经过不同的中间节点有多条不同的路径,根据社交网络社会距离,提出攻击等效距离的概念,攻击等效距离包含两层含义:节点之间的物理距离和APT攻击利用社会工程学手段的社会距离。也即APT攻击还存在社会工程学的虚拟路径。当攻击者进入MCN后,会找寻一条到达攻击目标的最短路径。APT攻击和一般的网络攻击不一样,它可能会不惜成本地进行网络攻击,目标是最大化攻击速度和攻击成功率。
可以理解,本发明实施例在建模过程中,首先针对建模过程建立以下3个假设:
假设1:信息的不对称性。攻击者可以观察到防御者的一切行为,而防御者并不能观测到攻击者何时采取行动。
假设2:攻击的非瞬时性。攻击者从开始攻击到攻击完成需要一定的攻击时间。
假设3:防御效果的不彻底性。防御者采取行动后,攻击者仍可能控制部分资源并据此获得收益。
图2为根据本发明实施例提供的面向高级持续性威胁的安全防御方法中多阶段迷宫对抗网络模型的结构示意图,图2中所示多阶段迷宫对抗网络模型可以用6元组表示,即MCN=(N,E,W,P,S,U),模型中各变量定义如表1所示,为根据本发明实施例多阶段迷宫对抗网络模型的参数定义表。
表1,根据本发明实施例多阶段迷宫对抗网络模型的参数定义表
Figure BDA0002000790840000071
Figure BDA0002000790840000081
则根据上述参数定义,对APT攻击中攻防双方的对抗特性进行分析描述的多阶段迷宫对抗网络模型如下:
(1)网络节点集N=(N1,N2,...Nnc),
Figure BDA0002000790840000082
(2)网络边集
Figure BDA0002000790840000083
(3)网络边集的等效距离:
Figure BDA0002000790840000084
(4)P=(P1,P2,...Pm)是参加攻防博弈的局中人的集合,局中人是博弈的决策主体和策略制定者,不同的博弈中局中人集合含义是不一样的,即可以是个人也可以是具有共同的目标和利益的团体或者集合,这里局中人是攻击者和防御系统;
(5)S=(S1,S2,...Sn)表示所有局中人的策略集合,
Figure BDA0002000790840000085
表示局中人Pi的策略集合,策略是局中人进行博弈的工具和手段,每个策略集合至少应该有两个不同的策略,即n≥2;
(6)U=(U1,U2,...Un)是局中人的效用函数集合,这里的攻防效用函数分别表示为攻防成本和回报之和。为了简化分析,只考虑n=2的情况,其中Pa表示攻击者,Pd表示防御者,
Figure BDA0002000790840000086
表示攻击者的攻击策略,
Figure BDA0002000790840000087
表示防御者的防御策略,
Figure BDA0002000790840000088
根据上述各实施例可选的,对攻防双方在攻击过程中获取信息的不对称性进行形式化描述的步骤具体包括:基于完整性代价、机密性代价和可用性代价,结合等效距离,描述攻击过程的系统损失代价;基于一次攻击所需的软硬件资源和时间资源,描述攻击过程的攻击成本,并基于一次防御所需的软硬件资源和时间资源,描述攻击过程的防御成本;基于系统损失代价和等效距离,分别描述攻击过程的攻击回报和防御回报;基于攻击成本和攻击回报,获取攻击过程的攻击效用函数,并基于防御成本和防御回报,获取防御过程的防御效用函数;基于攻击效用函数和防御效用函数,描述获取信息的不对称性,构建非对称信息博弈的收益模型。
具体而言,在根据上述各实施例进行攻防双方对抗模型的构建中,还需充分考虑APT攻击攻防双方的信息不对称性,即攻击者可以观察到防御者的大部分行为,而防御者却不能观察到攻击者何时采取行动。从博弈论的角度进行攻防建模时,攻防双方的策略集和收益函数的确定是关键。
在进行非对称信息博弈的收益模型的构建时,首先需要对模型各参数进行定义,具体如表2所示,为根据本发明实施例非对称信息博弈的收益模型的参数定义表。
表2,根据本发明实施例非对称信息博弈的收益模型的参数定义表
D<sub>cost</sub> 某原子攻击对目标资源的损害程度
I<sub>cost</sub>/C<sub>cost</sub>/A<sub>cost</sub> 完整性代价/机密性代价/可用性代价
ε<sub>i</sub>/ε<sub>c</sub>/ε<sub>a</sub> 完整性代价/机密性代价/可用性代价的偏重
A<sub>r</sub> 一次原子攻击的回报
τ 等效距离在攻击回报所占的权重
A<sub>c</sub> 攻击成本
χ/δ 攻击软硬件成本/时间成本
D<sub>r</sub> 防御回报
κ 等效距离在防御回报中所占了比重
D<sub>C</sub> 防御成本
θ/ρ 防御软硬件成本/时间成本
则根据上述参数定义,对APT攻击中攻防双方的信息不对称性进行定量分析描述的非对称信息博弈的收益模型如下:
(1)系统损失代价Dcost:系统损失代价用完整性Icost、机密性Ccost、可用性代价Acost来衡量,还和原子攻击的攻击等效距离Wi,1≤i≤mc有关:
Figure BDA0002000790840000101
(2)攻击回报Ar:攻击回报与原子攻击的等效距离满足函数关系:
Ar=τ×μ(Wi)+(1-τ)×Dcost
(3)攻击成本Ac:表示攻击者发动一次攻击所需要的软硬件资源和时间资源Ac=χf(R)+δg(t)
(4)防御回报Dr:表示针对某一攻击采取防御策略后,网络系统免受的损失Dr=κ×ψ(Wi)+(1-κ)×Dcost
(5)防御成本Dc
Figure BDA0002000790840000102
(6)攻击效用函数Ua=Ar+Ac=τ×μ(Wi)+(1-τ)×Dcost+χf(R)+δg(t);
(7)防御效用函数
Figure BDA0002000790840000103
本发明实施例通过构建非对称信息博弈的收益模型,充分考虑APT攻击中攻防双方的信息不对称性,能够更准确、有效的预测出APT攻击的目标方向,从而更有效的进行安全防御。
根据上述各实施例可选的,预测高级持续性威胁针对每条可行攻击路径的通行概率的步骤包括:基于被防御网络的结构特征,确定所有能够使高级持续性威胁通行的可行攻击路径;将高级持续性威胁的攻击行为用隐马尔科夫模型(Hidden Markov Model,HMM)表达,并基于对抗模型和非对称信息博弈的收益模型,对隐马尔科夫模型进行前向求解计算,获取高级持续性威胁从每条可行攻击路径的通行概率。
基于APT攻击持续性的作用特点,由于后一步的攻击路径只和前一步有关,攻击目标也很明确,因此,这种目标明确的多阶段攻击过程可以很好地用隐马尔科夫链来表示。另外节点和节点之间经过不同的中间节点可以有多条不同的路径,通过计算APT从所有可行路径通行的概率,即可预测APT的攻击目标方向。通常APT在进行网络攻击时会找寻一条到达攻击目标的最短路径。
根据上述各实施例可选的,本发明实施例将高级持续性威胁的攻击行为用隐马尔科夫模型表达。图3为根据本发明实施例提供的面向高级持续性威胁的安全防御方法中APT攻击的隐马尔科夫模型的结构示意图,图3中所示各变量关系如下所示:
Figure BDA0002000790840000112
基于此,隐马尔科夫模型HMM由初始概率分布矩阵π、意图概率分布矩阵A和观测概率分布矩阵B三个矩阵确定,这三个矩阵又可由统计的方式根据如下公式确定:
Figure BDA0002000790840000111
上式中,{y1,y2,...,yn}表示意图序列,γ表示模型的意图集合,{x1,x2,...,xn}表示观测序列,χ表示观测集合,P(x1,y1,...xn,yn)表示当前序列出现的可能性,N表示意图的个数,M表示观测值的个数,n表示所述意图序列和所述观测序列的长度,λ表示隐马尔科夫模型,π表示初始概率分布矩阵,A表示意图概率分布矩阵,B表示观测概率分布矩阵,aij表示从意图i转移到意图j的概率,bik表示从意图i转移到观测值k的概率。
具体而言,本发明实施例在APT针对各个可行路径的通行概率求解过程中,需要针对APT攻击的高级性、持续性、针对性进行建模。其中,高级性体现在APT攻击的手段多样且复杂,在APT攻击前期信息收集阶段,攻击者可能会采用社会工程学的手段,因此引入了攻击等效距离的概念。类似于社交网络的社会距离的概念,攻击距离有两层表现形式:节点之间的物理距离和通过社会工程学手段表述的社会距离。另外,不同于一般的单步攻击,APT攻击是多步攻击,而且之后的攻击路径只和当前的攻击节点有关,这是典型的马尔可夫性。
另外,持续性指的是攻击者针对目标长时间持续性攻击直到攻破为止,这种持续性攻击,使得攻击过程属于动态变化的过程。针对性表示的是攻击者对攻击目标有明确的指向性,而且单步攻击也有明确的目的,针对这个特点,很容易想到用隐马尔科夫链的隐藏层来表述攻击者的意图。
具体的,本发明实施例进行基于隐马尔科夫链的不同路径概率值求解时,可根据表3所示伪代码的处理流程进行。表3为根据本发明实施例的基于隐马尔科夫链的不同路径概率值求解算法伪代码表。
表3,根据本发明实施例基于隐马尔科夫链的不同路径概率值求解算法伪代码表
Figure BDA0002000790840000121
本发明实施例的建模方式更多考虑了APT攻击和其他网络攻击不同的攻击特点。因此,建模分析更加有针对性,并为攻击检测和预测提供了理论基础和保证。
根据上述各实施例可选的,获取针对高级持续性威胁的最优防御策略的步骤具体包括:基于每条可行攻击路径对应的通行概率,建立混合策略的纳什均衡,并基于混合策略的纳什均衡,通过计算攻防双方在各可行攻击路径下的期望收益,进行线性规划求解,获取最优防御策略。
具体而言,针对多阶段非对称信息,首先介绍一个定理,即纳什均衡存在性定理:在任何有限博弈(即有限个参与者,并且每个参与者可选择的纯策略有限的所有博弈)中,都存在纳什均衡(仍然可能存在混合策略)。
在博弈中,一旦每个参与者都竭力猜测其他参与者的战略时,就不存在纯策略的纳什均衡。所以本模型中,防御者为了弥补攻防信息的不对称性,通过猜测隐马尔可夫攻击模型的各种攻击策略的概率,建立纳什均衡,这种纳什均衡只存在混合策略的纳什均衡。
因此,进行如下定义:
混合策略(Mixed Strategy,MS)。给定一个攻防博弈模型MCN=(N,E,W,(Pa,Pd),(Sa,Sd),((Ua,Ud)),攻防双方的混合策略分别为
Figure BDA0002000790840000131
Figure BDA0002000790840000132
其概率分布分别为
Figure BDA0002000790840000133
Figure BDA0002000790840000134
且满足下式:
Figure BDA0002000790840000135
混合策略纳什均衡(Mixed Strategy Nash Equilibrium,MSNE)。给定一个攻防模型MCN=(N,E,W,(Pa,Pd),(Sa,Sd),((Ua,Ud)),攻防双方的混合策略的概率分布分别是
Figure BDA0002000790840000136
Figure BDA0002000790840000137
那么攻防双方的期望收益可分别用如下公式来表示:
Figure BDA0002000790840000138
式中,n表示每个局中人策略集的数量,m表示局中人的数量,
Figure BDA0002000790840000141
表示攻击者的策略集,
Figure BDA0002000790840000142
表示防御者的策略集,Ud表示防御者的效用函数。
混合策略
Figure BDA0002000790840000143
是纳什均衡,当且仅当该混合策略是攻防双方的最优混合策略,即满足如下公式时,通过线性规划求解方程即可得到最优解集合:
Figure BDA0002000790840000144
Figure BDA0002000790840000145
式中,Va表示期望收益,pa表示攻击概率分布,
Figure BDA0002000790840000146
表示最佳攻击概率分布,pd表示防御概率分布,
Figure BDA0002000790840000147
表示最佳防御概率分布。
具体的,本发明实施例进行主动防御最优策略的求解时,可根据表4所示伪代码的处理流程进行。表4为根据本发明实施例的主动防御最优策略的求解算法伪代码表。
表4,根据本发明实施例的主动防御最优策略的求解算法伪代码表
Figure BDA0002000790840000148
为进一步说明本发明实施例的技术方案,本发明实施例根据上述各实施例提供如下举例的处理流程,但不对本发明实施例的保护范围进行限制。
图4为本发明另一实施例提供的面向高级持续性威胁的安全防御方法的流程示意图,该方法的基本思想为:为了更加准确、有效地选取APT攻击的最优策略,首先,将APT攻击攻防双方的博弈过程建模为多阶段迷宫对抗网络模型(MCN);其次,借助隐马尔科夫链模型来描述攻击者的多阶段有目的的攻击过程;最后,为了弥补APT攻击攻防双方接收到的反馈信息不对等的情况,利用非对称信息的纳什均衡求解过程求出防御者的最优策略。如图4所示,该处理流程包括:
其一,针对APT攻击中的攻防双方进行建模。具体而言,针对现有技术中由于缺乏对APT攻击进行理论建模分析而导致对APT攻击防御性能较弱的问题,本发明实施例根据APT攻击中攻防双方的特点,将APT攻击者的攻击过程抽象成在网络迷宫中寻路的过程,并据此提出一种多阶段迷宫对抗网络模型,进行攻防双方的建模分析。
其二,考虑到攻防双方在博弈中观察到的反馈信息的不对称性以及防御效果的不彻底性,将APT攻击网络过程中攻防双方求解过程建模成二人非对称信息博弈的收益模型,并对攻防博弈模型给出详细的形式化描述,用此模型来研究网络攻防双方的矛盾冲突和最优决策。
最后,充分结合APT攻击高级性、持续性和针对性的特点,获取防御策略,进行网络安全防御。具体而言,由于APT攻击后一步的攻击路径只和前一步有关,攻击目标也很明确,因此,这种目标明确的多阶段攻击过程可以很好地用隐马尔科夫模型来表示和求解。即,利用隐马尔科夫模型计算隐马尔科夫概率,并将该概率计算结果作为非对称信息博弈中防御方的预测结果,也即是作为防御者的知识信息。该信息的获取有助于防御者选择最优的主动防御策略,根据博弈的纳什均衡的计算,最后计算出最优的防御混合策略。
与现有技术相比,本发明实施例针对APT攻击的主动防御方法具有以下优点:
其一,具有更高的创新性:对于APT网络攻防建模的过程,现有技术没有充分考虑APT攻击的特点,而且没有考虑APT攻击涉及到的社会工程学的手段,因此效果较差。本发明实施例在充分考虑了APT攻击的特点之后,创新性地提出了迷宫对抗网络模型,且为了弥补APT攻击攻防双方信息不对称的情况,将APT攻击者的攻击过程建模成隐马尔科夫链的模型,并将求解的各条网络路径的概率作为防御者的信息,最后通过纳什均衡求解出最优防御策略,使得结果更准确。
其二,具有更强的实用性:本发明实施例操作简单,可以很好地为APT攻击主动防御提供理论研究的基础,也能用于现有的网络中,具有很强的实用性。
其三,具有更大的有效性:本发明实施例不仅适用于现有的异构网络环境,而且能够适用于多变的网络环境,给APT攻击提供了有效的主动防御策略。
作为本发明实施例的另一个方面,本发明实施例根据上述各实施例提供一种面向高级持续性威胁的安全防御装置,该装置用于在上述各实施例中实现面向高级持续性威胁的安全防御。因此,在上述各实施例的面向高级持续性威胁的安全防御方法中的描述和定义,可以用于本发明实施例中各个执行模块的理解,具体可参考上述实施例,此处不在赘述。
根据本发明实施例的一个实施例,面向高级持续性威胁的安全防御装置的结构如图5所示,为本发明实施例提供的面向高级持续性威胁的安全防御装置的结构示意图,该装置可以用于实现上述各方法实施例中面向高级持续性威胁的安全防御,该装置包括:第一建模模块501、第二建模模块502、计算模块503和防御策略模块504。其中:
第一建模模块501用于基于高级持续性威胁在攻击过程中攻防双方的特性,建立攻击过程中攻防双方的对抗模型;第二建模模块502用于利用非对称信息博弈的收益模型,对攻防双方在攻击过程中获取信息的不对称性进行形式化描述;计算模块503用于基于对抗模型和非对称信息博弈的收益模型,通过正向求解,预测高级持续性威胁针对每条可行攻击路径的通行概率;防御策略模块504用于基于通行概率,获取针对高级持续性威胁的最优防御策略,以进行安全防御。
具体而言,信息安全中攻防对抗的本质可以抽象为攻防双方(也即攻击者方和防御者方)的策略依存性,防御者所采取的防御策略是否有效,不应该只取决于其自身的行为,还应取决于攻击者和防御系统的策略。因此,第一建模模块501利用博弈论理论,通过充分分析APT攻击过程中攻防双方的对抗特性,来研究攻防双方矛盾,并对分析结果进行建模,得到攻击过程中攻防双方的对抗模型。基于该模型,可以解决最优防御决策等信息安全攻防对抗难题。
之后,为了形式化表达攻防双方在对抗过程中获取信息的不对称关系,以更准确的进行决策预测,第二建模模块502在攻防双方对抗模型的基础上,用不对称信息的博弈模型,也即非对称信息博弈的收益模型,来形式化这个过程。具体而言,通过分析APT在攻击过程中攻防双方不对称地获取信息的过程,第二建模模块502以对抗模型为基础对该过程进行形式化描述,得到非对称信息博弈的收益模型,用来更准确的描述APT攻击过程中攻防双方的对抗特性。
再之后,计算模块503利用建立的对抗模型和非对称信息博弈的收益模型对APT攻击进行正向计算。也即当输入高级持续性威胁APT时,利用对抗模型和非对称信息博弈的收益模型,对该输入的APT在模型网络中进行前向计算求解,以获取APT通过每条可行攻击路径的概率值,也即通行概率。
最后,防御策略模块504根据上述各模块的计算结果,将前一步计算出的不同可行攻击路径的概率值作为防御者的预测信息,并利用该预测信息努力实现攻防双方获取信息的对称性。最后,在攻防双方获取信息基本对称的基础上,计算出防御者的最优防御策略,并根据该最优防御策略对高级持续性威胁APT进行安全防御。
本发明实施例提供的面向高级持续性威胁的安全防御装置,通过设置相应的执行模块,充分分析和利用高级持续性威胁在攻击过程中攻击方和防御方两个参与主体的对抗特性,实现最优防御策略的获取,而非仅针对攻击方本身属性进行检测,关注的是攻防过程的整体对抗过程,因此能够更准确的预测高级持续性威胁的攻击方向,从而能够更全面、准确而有效的对高级持续性威胁进行主动防御,保证用户的数据信息安全。
可以理解的是,本发明实施例中可以通过硬件处理器(hardware processor)来实现上述各实施例的装置中的各相关程序模块。并且,本发明实施例的面向高级持续性威胁的安全防御装置利用上述各程序模块,能够实现上述各方法实施例的面向高级持续性威胁的安全防御流程,在用于实现上述各方法实施例中面向高级持续性威胁的安全防御时,本发明实施例的装置产生的有益效果与对应的上述各方法实施例相同,可以参考上述各方法实施例,此处不再赘述。
作为本发明实施例的又一个方面,本实施例根据上述各实施例提供一种电子设备,参考图6,为本发明实施例提供的电子设备的实体结构示意图,包括:至少一个存储器601、至少一个处理器602、通信接口603和总线604。
其中,存储器601、处理器602和通信接口603通过总线604完成相互间的通信,通信接口603用于该电子设备与目标网络设备之间的信息传输;存储器601中存储有可在处理器602上运行的计算机程序,处理器602执行该计算机程序时,实现如上述各实施例所述的面向高级持续性威胁的安全防御方法。
可以理解为,该电子设备中至少包含存储器601、处理器602、通信接口603和总线604,且存储器601、处理器602和通信接口603通过总线604形成相互间的通信连接,并可完成相互间的通信,如处理器602从存储器601中读取面向高级持续性威胁的安全防御方法的程序指令等。另外,通信接口603还可以实现该电子设备与目标网络设备之间的通信连接,并可完成相互间信息传输,如通过通信接口603实现面向高级持续性威胁的安全防御等。
电子设备运行时,处理器602调用存储器601中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:基于高级持续性威胁在攻击过程中攻防双方的特性,建立攻击过程中攻防双方的对抗模型;利用非对称信息博弈的收益模型,对攻防双方在攻击过程中获取信息的不对称性进行形式化描述;基于对抗模型和非对称信息博弈的收益模型,通过正向求解,预测高级持续性威胁针对每条可行攻击路径的通行概率;基于通行概率,获取针对高级持续性威胁的最优防御策略,以进行安全防御等。
上述的存储器601中的程序指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。或者,实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还根据上述各实施例提供一种非暂态计算机可读存储介质,该非暂态计算机可读存储介质存储计算机指令,该计算机指令使计算机执行如上述各实施例所述的面向高级持续性威胁的安全防御方法,例如包括:基于高级持续性威胁在攻击过程中攻防双方的特性,建立攻击过程中攻防双方的对抗模型;利用非对称信息博弈的收益模型,对攻防双方在攻击过程中获取信息的不对称性进行形式化描述;基于对抗模型和非对称信息博弈的收益模型,通过正向求解,预测高级持续性威胁针对每条可行攻击路径的通行概率;基于通行概率,获取针对高级持续性威胁的最优防御策略,以进行安全防御等。
本发明实施例提供的电子设备和非暂态计算机可读存储介质,通过执行上述各实施例所述的面向高级持续性威胁的安全防御方法,充分分析和利用高级持续性威胁在攻击过程中攻击方和防御方两个参与主体的对抗特性,实现最优防御策略的获取,而非仅针对攻击方本身属性进行检测,关注的是攻防过程的整体对抗过程,因此能够更准确的预测高级持续性威胁的攻击方向,从而能够更全面、准确而有效的对高级持续性威胁进行主动防御,保证用户的数据信息安全。
可以理解的是,以上所描述的装置、电子设备及存储介质的实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,既可以位于一个地方,或者也可以分布到不同网络单元上。可以根据实际需要选择其中的部分或全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上实施方式的描述,本领域的技术人员可以清楚地了解,各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如U盘、移动硬盘、ROM、RAM、磁碟或者光盘等,包括若干指令,用以使得一台计算机设备(如个人计算机,服务器,或者网络设备等)执行上述各方法实施例或者方法实施例的某些部分所述的方法。
另外,本领域内的技术人员应当理解的是,在本发明实施例的申请文件中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本发明实施例的说明书中,说明了大量具体细节。然而应当理解的是,本发明实施例的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本发明实施例公开并帮助理解各个发明方面中的一个或多个,在上面对本发明实施例的示例性实施例的描述中,本发明实施例的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。
然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明实施例要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明实施例的单独实施例。
最后应说明的是:以上实施例仅用以说明本发明实施例的技术方案,而非对其限制;尽管参照前述实施例对本发明实施例进行了详细的说明,本领域的技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例各实施例技术方案的精神和范围。

Claims (8)

1.一种面向高级持续性威胁的安全防御方法,其特征在于,包括:
基于高级持续性威胁在攻击过程中攻防双方的特性,建立所述攻击过程中所述攻防双方的对抗模型;
利用非对称信息博弈的收益模型,对所述攻防双方在所述攻击过程中获取信息的不对称性进行形式化描述;
基于所述对抗模型和所述非对称信息博弈的收益模型,通过正向求解,预测所述高级持续性威胁针对每条可行攻击路径的通行概率;
基于所述通行概率,获取针对所述高级持续性威胁的最优防御策略,以进行安全防御;
所述建立所述攻击过程中所述攻防双方的对抗模型的步骤具体包括:
针对所述攻击过程中所述攻防双方的对抗特性,将所述攻击过程抽象成所述高级持续性威胁在网络迷宫中寻路的过程,以建立多阶段迷宫对抗网络模型,作为所述对抗模型;
所述建立多阶段迷宫对抗网络模型的步骤具体包括:
基于被防御网络的结构特征,确定所述被防御网络的所有网络节点、各节点间的有向边以及每条所述有向边对应的等效距离,并基于所述攻防双方的对抗特性,确定参与攻防博弈的所有局中人、各所述局中人的策略集合以及各所述局中人的效用函数集合;
基于各所述网络节点、各所述有向边以及各所述等效距离,生成虚拟迷宫网络,并结合所有所述局中人、各所述局中人的策略集合以及各所述局中人的效用函数集合,建立所述攻防双方的如下六元组多阶段迷宫对抗网络模型:MCN=(N,E,W,P,S,U);
式中,N表示所有所述网络节点的集合,E表示所有所述有向边的集合,W表示所有所述等效距离的集合,P表示所有所述局中人的集合,S表示所有所述局中人的所述策略集合,U表示所有所述局中人的所述效用函数集合。
2.根据权利要求1所述的方法,其特征在于,所述预测所述高级持续性威胁针对每条可行攻击路径的通行概率的步骤具体包括:
基于被防御网络的结构特征,确定所有能够使所述高级持续性威胁通行的可行攻击路径;
将所述高级持续性威胁的攻击行为用隐马尔科夫模型表达,并基于所述对抗模型和所述非对称信息博弈的收益模型,对所述隐马尔科夫模型进行前向求解计算,获取所述高级持续性威胁从每条所述可行攻击路径的通行概率。
3.根据权利要求2所述的方法,其特征在于,将所述高级持续性威胁的攻击行为用隐马尔科夫模型表达如下:
Figure FDA0002590201280000021
Figure FDA0002590201280000022
上式中,{y1,y2,...,yn}表示意图序列,γ表示模型的意图集合,{x1,x2,...,xn}表示观测序列,χ表示观测集合,P(x1,y1,...xn,yn)表示当前序列出现的可能性,N表示意图的个数,M表示观测值的个数,n表示所述意图序列和所述观测序列的长度,λ表示隐马尔科夫模型,π表示初始概率分布矩阵,A表示意图概率分布矩阵,B表示观测概率分布矩阵,aij表示从意图i转移到意图j的概率,bik表示从意图i转移到观测值k的概率。
4.根据权利要求1所述的方法,其特征在于,所述对所述攻防双方在所述攻击过程中获取信息的不对称性进行形式化描述的步骤具体包括:
基于完整性代价、机密性代价和可用性代价,结合所述等效距离,描述所述攻击过程的系统损失代价;
基于一次攻击所需的软硬件资源和时间资源,描述所述攻击过程的攻击成本,并基于一次防御所需的软硬件资源和时间资源,描述所述攻击过程的防御成本;
基于所述系统损失代价和所述等效距离,分别描述所述攻击过程的攻击回报和防御回报;
基于所述攻击成本和所述攻击回报,获取所述攻击过程的攻击效用函数,并基于所述防御成本和所述防御回报,获取所述防御过程的防御效用函数;
基于所述攻击效用函数和所述防御效用函数,描述所述获取信息的不对称性,构建所述非对称信息博弈的收益模型。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述获取针对所述高级持续性威胁的最优防御策略的步骤具体包括:
基于每条所述可行攻击路径对应的所述通行概率,建立混合策略的纳什均衡,并基于所述混合策略的纳什均衡,通过计算所述攻防双方在各所述可行攻击路径下的期望收益,进行线性规划求解,获取所述最优防御策略。
6.一种面向高级持续性威胁的安全防御装置,其特征在于,包括:
第一建模模块,用于基于高级持续性威胁在攻击过程中攻防双方的特性,建立所述攻击过程中所述攻防双方的对抗模型;
第二建模模块,用于利用非对称信息博弈的收益模型,对所述攻防双方在所述攻击过程中获取信息的不对称性进行形式化描述;
计算模块,用于基于所述对抗模型和所述非对称信息博弈的收益模型,通过正向求解,预测所述高级持续性威胁针对每条可行攻击路径的通行概率;
防御策略模块,用于基于所述通行概率,获取针对所述高级持续性威胁的最优防御策略,以进行安全防御;
所述建立所述攻击过程中所述攻防双方的对抗模型的步骤具体包括:
针对所述攻击过程中所述攻防双方的对抗特性,将所述攻击过程抽象成所述高级持续性威胁在网络迷宫中寻路的过程,以建立多阶段迷宫对抗网络模型,作为所述对抗模型;
所述建立多阶段迷宫对抗网络模型的步骤具体包括:
基于被防御网络的结构特征,确定所述被防御网络的所有网络节点、各节点间的有向边以及每条所述有向边对应的等效距离,并基于所述攻防双方的对抗特性,确定参与攻防博弈的所有局中人、各所述局中人的策略集合以及各所述局中人的效用函数集合;
基于各所述网络节点、各所述有向边以及各所述等效距离,生成虚拟迷宫网络,并结合所有所述局中人、各所述局中人的策略集合以及各所述局中人的效用函数集合,建立所述攻防双方的如下六元组多阶段迷宫对抗网络模型:MCN=(N,E,W,P,S,U);
式中,N表示所有所述网络节点的集合,E表示所有所述有向边的集合,W表示所有所述等效距离的集合,P表示所有所述局中人的集合,S表示所有所述局中人的所述策略集合,U表示所有所述局中人的所述效用函数集合。
7.一种电子设备,其特征在于,包括:至少一个存储器、至少一个处理器、通信接口和总线;
所述存储器、所述处理器和所述通信接口通过所述总线完成相互间的通信,所述通信接口还用于所述电子设备与目标网络设备之间的信息传输;
所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1至5中任一所述的方法。
8.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至5中任一所述的方法。
CN201910211913.0A 2019-03-20 2019-03-20 面向高级持续性威胁的安全防御方法、装置与电子设备 Expired - Fee Related CN110191083B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910211913.0A CN110191083B (zh) 2019-03-20 2019-03-20 面向高级持续性威胁的安全防御方法、装置与电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910211913.0A CN110191083B (zh) 2019-03-20 2019-03-20 面向高级持续性威胁的安全防御方法、装置与电子设备

Publications (2)

Publication Number Publication Date
CN110191083A CN110191083A (zh) 2019-08-30
CN110191083B true CN110191083B (zh) 2020-09-25

Family

ID=67713722

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910211913.0A Expired - Fee Related CN110191083B (zh) 2019-03-20 2019-03-20 面向高级持续性威胁的安全防御方法、装置与电子设备

Country Status (1)

Country Link
CN (1) CN110191083B (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111064702B (zh) * 2019-11-16 2021-09-24 中国人民解放军战略支援部队信息工程大学 基于双向信号博弈的主动防御策略选取方法及装置
CN110910328B (zh) * 2019-11-26 2023-01-24 电子科技大学 一种基于对抗性样本分类等级的防御方法
CN113360892B (zh) * 2020-03-04 2023-12-01 中国电信股份有限公司 攻击路径还原方法和装置、计算机可读存储介质
CN111368302B (zh) * 2020-03-08 2024-02-02 北京工业大学 基于攻击者攻击策略生成的自动威胁检测方法
CN111447212A (zh) * 2020-03-24 2020-07-24 哈尔滨工程大学 一种基于gan的apt攻击序列的生成与检测方法
CN111332499A (zh) * 2020-03-24 2020-06-26 西北工业大学 一种针对空间非合作目标的协同围捕系统及其围捕方法
US11539737B2 (en) 2020-10-28 2022-12-27 Kyndryl, Inc. Adaptive security for resource constraint devices
CN113407248A (zh) * 2020-12-11 2021-09-17 绍兴文理学院 基于流量权重控制的传感边缘云内部DDoS攻击主动防御方法
CN112583844B (zh) * 2020-12-24 2021-09-03 北京航空航天大学 一种面向高级可持续威胁攻击的大数据平台防御方法
CN112866292B (zh) * 2021-03-04 2022-10-21 安天科技集团股份有限公司 一种面向多样本组合攻击的攻击行为预测方法和装置
CN113228713B (zh) * 2021-03-31 2022-09-16 华为技术有限公司 确定攻击路径的防护方案的方法和装置
CN113612752A (zh) * 2021-07-28 2021-11-05 深圳供电局有限公司 一种智能电网中针对高级可持续性威胁的检测方法
CN113688382B (zh) * 2021-08-31 2022-05-03 中科柏诚科技(北京)股份有限公司 基于信息安全的攻击意图挖掘方法及人工智能分析系统
CN113992386A (zh) * 2021-10-25 2022-01-28 北京天融信网络安全技术有限公司 一种防御能力的评估方法、装置、存储介质及电子设备
CN114584345B (zh) * 2022-01-26 2023-04-28 北京邮电大学 轨道交通网络安全处理方法、装置及设备
CN114844668A (zh) * 2022-03-17 2022-08-02 清华大学 一种防御资源配置方法、装置、设备及可读介质
CN115208618B (zh) * 2022-05-24 2024-05-14 华北电力大学 基于多层次攻防博弈的新型电力系统apt攻击主动防御方法
CN115242438B (zh) * 2022-06-15 2023-09-01 国家计算机网络与信息安全管理中心 基于异质信息网络的潜在受害群体定位方法
CN115277250B (zh) * 2022-09-23 2023-02-21 中国汽车技术研究中心有限公司 一种车端攻击路径识别方法、设备和存储介质
CN116260634A (zh) * 2023-02-03 2023-06-13 北京邮电大学 基于博弈论的物联网安全收益计算方法及相关设备

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109413109A (zh) * 2018-12-18 2019-03-01 中国人民解放军国防科技大学 基于有限状态机的面向天地一体化网络安全状态分析方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103152345B (zh) * 2013-03-07 2015-09-16 南京理工大学常熟研究院有限公司 一种攻防博弈的网络安全最优攻防决策方法
CN106899595B (zh) * 2017-02-28 2018-06-29 中国人民解放军空军装备研究院雷达与电子对抗研究所 基于强化学习的不完全信息网络安全分析方法及装置
CN108259449B (zh) * 2017-03-27 2020-03-06 新华三技术有限公司 一种防御apt攻击的方法和系统
CN106936855B (zh) * 2017-05-12 2020-01-10 中国人民解放军信息工程大学 基于攻防微分博弈的网络安全防御决策确定方法及其装置
CN107070956B (zh) * 2017-06-16 2019-11-08 福建中信网安信息科技有限公司 基于动态贝叶斯博弈的apt攻击预测方法
CN107277065B (zh) * 2017-08-11 2019-12-17 厦门大学 基于强化学习的检测高级持续威胁的资源调度方法
CN108512837A (zh) * 2018-03-16 2018-09-07 西安电子科技大学 一种基于攻防演化博弈的网络安全态势评估的方法及系统
CN109327427A (zh) * 2018-05-16 2019-02-12 中国人民解放军战略支援部队信息工程大学 一种面对未知威胁的动态网络变化决策方法及其系统
CN108833401A (zh) * 2018-06-11 2018-11-16 中国人民解放军战略支援部队信息工程大学 基于贝叶斯演化博弈的网络主动防御策略选取方法及装置
CN108833402B (zh) * 2018-06-11 2020-11-24 中国人民解放军战略支援部队信息工程大学 一种基于有限理性博弈理论的网络最优防御策略选取方法及装置
CN109218440B (zh) * 2018-10-12 2020-12-15 上海拟态数据技术有限公司 一种场景化的拟态web服务器异构执行体动态调度方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109413109A (zh) * 2018-12-18 2019-03-01 中国人民解放军国防科技大学 基于有限状态机的面向天地一体化网络安全状态分析方法

Also Published As

Publication number Publication date
CN110191083A (zh) 2019-08-30

Similar Documents

Publication Publication Date Title
CN110191083B (zh) 面向高级持续性威胁的安全防御方法、装置与电子设备
Huang et al. Adaptive strategic cyber defense for advanced persistent threats in critical infrastructure networks
Moothedath et al. A game-theoretic approach for dynamic information flow tracking to detect multistage advanced persistent threats
US20170257396A1 (en) Methods and systems providing cyber security
Laszka et al. Mitigating covert compromises: A game-theoretic model of targeted and non-targeted covert attacks
CN110099045B (zh) 基于定性微分博弈和演化博弈的网络安全威胁预警方法及装置
Laszka et al. Mitigation of targeted and non-targeted covert attacks as a timing game
Hewett et al. Cyber-security analysis of smart grid SCADA systems with game models
CN107070956A (zh) 基于动态贝叶斯博弈的apt攻击预测方法
KR102117696B1 (ko) 게임 이론을 이용한 보안 취약점 정량화 방법 및 장치
Chukwudi et al. Game theory basics and its application in cyber security
Gao et al. Information security investment when hackers disseminate knowledge
Li et al. Stochastic detection against deception attacks in CPS: Performance evaluation and game-theoretic analysis
Jakóbik Stackelberg game modeling of cloud security defending strategy in the case of information leaks and corruption
Li et al. Anti-honeypot enabled optimal attack strategy for industrial cyber-physical systems
Kello Private-Sector Cyberweapons: An Adequate Response to the Sovereignty Gap?
CN112003854A (zh) 基于时空博弈的网络安全动态防御决策方法
Haopu Method for behavior-prediction of APT attack based on dynamic Bayesian game
Du et al. Learning to play an adaptive cyber deception game
Şeker Use of Artificial Intelligence Techniques/Applications in Cyber Defense
Li et al. The optimized attribute attack graph based on APT attack stage model
Sokri Game theory and cyber defense
Su Research on APT attack based on game model
Luo et al. A fictitious play‐based response strategy for multistage intrusion defense systems
Bahareth et al. Constructing attack scenario using sequential pattern mining with correlated candidate sequences

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20200925

CF01 Termination of patent right due to non-payment of annual fee