CN110740067B

CN110740067B - 主动防御网络安全性分析方法、存储介质及应用服务器

Info

Publication number: CN110740067B
Application number: CN201911078353.2A
Authority: CN
Inventors: 李挥; 杨昕; 邬江兴; 伊鹏; 王菡; 杨柳
Original assignee: Peking University Shenzhen Graduate School; Peng Cheng Laboratory
Current assignee: Peking University Shenzhen Graduate School; Peng Cheng Laboratory
Priority date: 2019-11-06
Filing date: 2019-11-06
Publication date: 2022-02-08
Anticipated expiration: 2039-11-06
Also published as: CN110740067A

Abstract

本发明公开了一种主动防御网络安全性分析方法、存储介质及应用服务器，所述方法基于融合GSPN与Markov链结合的双模型架构，通过GSPN模型确定预设系统的攻击成功概率和平均攻击时间，通过Markov链确定系统参数与攻击成功概率的对应函数关系，最后根据攻击成功概率、平均攻击时间以及系统参数与攻击成功概率的对应关系对所述主动防御网络安全性进行分析。本发明通过融合GSPN与Markov链结合的双模型架构，即可以对攻击者防御者之间的行为等攻击细节进行不失真刻画，并且拥有在不同系统间的强可扩展性，又可以确定攻击成功率和系统参数之间的对应关系，提高了安全性分析的全面和灵活。此外，两种模型还可以互为补充以及互相验证，进一步提高了安全分析的准确性。

Description

主动防御网络安全性分析方法、存储介质及应用服务器

技术领域

本发明涉及网络攻防安全性衡量技术领域，特别涉及一种主动防御网络安全性分析方法、存储介质及应用服务器。

背景技术

在传统网络中，防御者为攻击者提供静态目标，攻击者有足够的时间准备和发动攻击，从而使传统网络面临巨大威胁。为了改变安全博弈中攻守双方不对等的局面，美国国土安全部提出移动目标防御(Moving Target Defense，MTD)技术。MTD定期更改系统配置(例如数据库，编程语言，加密密码，IP地址)以缩小可用的攻击面，攻击面被定义为攻击者可以进入系统并可能造成损害的途径。因此，具有小攻击面的MTD系统提高了攻击者的攻击难度，使攻击者在成功攻击后难以长时间嗅探信息并保持特权。然而，MTD技术存在一些缺陷，包括大的开销，缺乏自适应能力，以及忽略不同系统组成的功效，这阻碍其广泛应用。

为了解决这些问题，许多新的安全机制(如，拟态防御(CMD)和演进防御机制(EDM))被提出，并且这些新的安全机制以仿生学中的防御伪装行为为灵感，并根据网络环境进行重新配置，以降低风险。这些安全机制通称为自适应网络防御(ACD)模型，然而，无论采用何种安全机制，ACD都不可避免地面临着系统安全性和开销之间的平衡问题。ACD系统通过冗余异构体系结构和周期性的重构来实现安全性，但同时也带来了防御开销。因此，有必要用可靠的方法对ACD系统进行分析，并根据安全性要求，找出系统参数的选择策略。

目前评价ACD有效性的方法主要有两种，一种是对特定系统进行仿真，另一种是建立数学模型。测量方法通常通过细粒度捕获ACD信息来高可靠性地寻求攻击行为与安全性的关系。然而，上述测量结果通常是以系统状态而不是安全性的显式表达式获得的，这使得不同ACD系统之间的迁移和比较变得困难。第二种方法使用各种数学工具，如随机过程和Petri网。随机过程具有严格的假设，需要粒度较粗的收集信息，而放弃了大量的系统细节，使得随机过程的说服力低。Petri网如果保留大量的系统细节，也会导致其得到的同构马尔可夫链进行大量的计算，难以分析，一般只能得到一个特定的定量结果，而不能得到与系统配置的函数关系。

因而现有技术还有待改进和提高。

发明内容

本发明要解决的技术问题在于，针对现有技术的不足，提供一种主动防御网络安全性分析方法、存储介质及应用服务器，以解决现有安全性分析方法无法同时满足高扩展性和高可信度地刻画主动防御网络系统的安全性和系统参数之间函数关系。

为了解决上述技术问题，本发明所采用的技术方案如下：

一种主动防御网络安全性分析方法，所述方法基于融合GSPN与Markov链结合的双模型架构，所述方法包括：

获取预设系统的系统参数，其中，所述预设系统为主动防御网络系统；

根据系统参数通过GSPN模型确定所述预设系统的攻击成功概率；

根据系统参数通过Markov链确定所述系统参数与攻击成功概率的对应关系，其中，所述攻击成功概率为所述预设系统的理论攻击成功概率；

根据所述攻击成功概率和所述系统参数与攻击成功概率的对应关系对所述主动防御网络安全性进行分析。

所述主动防御网络安全性分析方法，其中，所述Markov链与所述GSPN模型为非同构计算。

所述主动防御网络安全性分析方法，其中，所述GSPN模型为基于攻击方和防御方博弈形成的广义随机Petri网络模型，所述GSPN模型的建立过程包括：

提取攻击方动作以及攻击方动作对应的状态信息，根据所述攻击方动作以及受攻击动作对应的状态信息建立攻击方视角的进攻子模型；

提取防御方动作以及防御方动作对应的系统状态信息，根据防御方动作以及系统状态信息建立防御方视角的防御子模型；

融合所述进攻子模型和所述防御子模型，以得到所述GSPN模型。

所述主动防御网络安全性分析方法，其中，所述攻击方和防守方在博弈中的攻防行为根据不同的攻击结果使系统分别呈现以下不同状态：正常工作、非特异性感知、磨损、攻击扩散及攻击逃逸。

所述主动防御网络安全性分析方法，其中，攻击方攻击执行体时，防御方对受到攻击的执行体根据受到攻击的情况执行驱逐、误驱逐、停用及判决中的一种动作。

所述主动防御网络安全性分析方法，其中，所述Markov链为半马尔可夫链，所述半马尔可夫链为状态迁移时间随机分布的马尔科夫链。

所述主动防御网络安全性分析方法，其中，所述攻击成功概率包括主动防御节点被攻击成功的概率。

所述主动防御网络安全性分析方法，其中，所述攻击成功概率与系统参数的对应关系具体为：

其中，T_i表示连续转换到状态i的时间，π_i表示转换到状态i的稳态概率，π_j表示j个执行主体被攻破的稳态概率，i,j为正整数。

一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如上任一所述的主动防御网络安全性分析方法中的步骤。

一种应用服务器，其包括：处理器、存储器及通信总线；所述存储器上存储有可被所述处理器执行的计算机可读程序；

所述通信总线实现处理器和存储器之间的连接通信；

所述处理器执行所述计算机可读程序时实现如上任一所述的主动防御网络安全性分析方法中的步骤。

有益效果：与现有技术相比，本发明提供了一种主动防御网络安全性分析方法，所述方法基于融合GSPN与Markov链结合的双模型架构，通过GSPN模型确定所述预设系统的理论平均攻击时间，通过Markov链确定所述系统参数与攻击成功概率的对应关系，最后根据所述攻击成功概率和所述系统参数与攻击成功概率的对应关系对所述主动防御网络安全性进行分析。本发明通过融合GSPN与Markov链结合的双模型架构，即可以对攻击者防御者之间的行为等攻击细节进行不失真刻画，并且拥有在不同系统间的强可扩展性，又可以确定攻击成功率和系统参数之间的对应关系，提高了安全性分析的全面和灵活。此外，两种模型还可以互为补充以及互相验证，进一步提高了安全分析的准确性。

附图说明

图1为本发明提供的主动防御网络安全性分析方法的流程图。

图2为本发明提供的主动防御网络安全性分析方法中攻击方子模型的示意图。

图3为本发明提供的主动防御网络安全性分析方法中防御方子模型的示意图。

图4为本发明提供的主动防御网络安全性分析方法中GSPN模型的示意图。

图5为本发明提供的主动防御网络安全性分析方法中Markov链的转换状态图。

图6a为攻击逃逸极限概率与(α，β)的对应关系图。

图6b为当α＝0.8时攻击逃逸极限概率与β的对应关系图。

图6c为当α＝1.2时攻击逃逸极限概率与β的对应关系图。

图7a为当ω∈(10^-7,10^-5)区间时攻击逃逸极限概率与ω对应关系图。

图7b为当ω∈(10^-7,10^-5)区间时绝对相对误差百分比与ω对应关系图。

图8为本发明提供的应用服务器的结构原理图。

具体实施方式

本发明提供一种主动防御网络安全性分析方法、存储介质及应用服务器，为使本发明的目的、技术方案及效果更加清楚、明确，以下参照附图并举实施例对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)，具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语，应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样被特定定义，否则不会用理想化或过于正式的含义来解释。

下面结合附图，通过对实施例的描述，对发明内容作进一步说明。

首先对本实施例使用到的名词进行说明。

驱逐：当某个执行体发送与其他执行体不一致的输出矢量时，系统将该执行体标为可疑执行体，停止其工作任务并执行清洗后放入异构池，并从拟态异构池中重新选择一个没有被使用过或确认未遭受攻击的执行体继续工作。如果标为可疑的执行体是出错执行体，那么这个动作称为驱逐。

误驱逐：当某个执行体输出与其他执行体不一致的输出矢量，但这种情况是由两个执行体被攻击且输出矢量一致，与正常执行体相异造成的，此时系统将正常执行体当作可疑执行体进行停用，这种防御动作称为误驱逐。误驱逐会导致拟态异构池中的资源消耗，但不会对安全造成消极影响。值得注意的是，若连续两次对同一异构组件执行了误驱逐操作，即在驱逐动作完成后，新上线执行体与被驱逐执行体结果一致且与原两个相同结果的执行体输出不一致，系统标记原两个相同结果的执行体为可疑执行体，并执行驱逐。

停用：当三个执行体的结果各不相同，裁决器无法输出结果，此时系统标记全部三个执行体为可疑执行体并进行停用，从异构池中选择三个新的执行体代替他们的工作。

判决：当三个执行体对同一个任务都执行完毕，裁决器将对比收到的三个输出矢量，若一致，则直接输出结果；若两个一致，另一个不同，那么判断两个一致的结果为真，并将输出不同结果的执行体标为可疑执行体，并执行驱逐。

不同的攻防行为会使系统进入不同的状态，本发明根据不同的攻击结果定义五种系统状态如下：

正常工作：攻击方并未发动攻击或无任何攻击奏效，所有执行体都正常运行。

非特异性感知：攻击方攻击一个执行体成功，但系统在择多判决时发现该执行体与其他执行体的输出结果不一致，并替换被入侵执行体，攻击失败。

磨损：攻击方攻击两个执行体成功，但无法控制其出现相同的错误输出；或者攻击方攻击三个执行体成功，但其输出两两不一致。此时，系统得到的三个输出结果各不相同，无法判决，故将该执行体集合标为可疑并停用。虽然进入磨损状态没有对系统安全性产生消极影响，但是消耗了大量异构池中的资源。

攻击扩散：攻击方攻击两个执行体成功，并产生相同的错误输出，使得系统误驱逐正确执行体；或者攻击方攻击三个执行体成功，同时有且仅有两个执行体产生相同的错误输出，此时系统驱逐输出不一致的被入侵执行体。在这两种情况下，系统的驱逐操作不仅没有把攻击方有效地清理出系统，还额外消耗了异构池中的资源，造成攻击扩散。

攻击逃逸：如果攻击方的攻击能力足够强且攻击速度足够快，在拟态防御系统进行择多判决前攻击三个执行体成功且均产生相同的错误输出，那么攻击方攻击逃逸成功，即在不被防御方发现的情况下取得了本节点的控制权。此时裁决器判断该输出正确，并允许这三个被入侵的执行体继续工作。

接下来对本实施提供的一种主动防御网络安全性分析方法进行说明。如图1所示，本实施例提供的主动防御网络安全性分析是基于融合GSPN与Markov链结合的双模型架构，所述方法包括：

S10、获取预设系统的系统参数，其中，所述预设系统为主动防御网络系统；

S20、根据系统参数通过GSPN模型确定所述预设系统的攻击成功概率；

S30、根据系统参数通过Markov链确定所述系统参数与攻击概率的对应关系，其中，所述攻击概率为所述预设系统的理论攻击概率；

S40、根据所述攻击成功概率和所述系统参数与理论攻击概率的对应关系对所述主动防御网络安全性进行分析。

本发明通过融合GSPN与Markov链结合的双模型架构，并且所述Markov链与所述GSPN模型为非同构计算，所述GSPN模型和所述Markov链从两个不同角度对预设系统进行安全分析。其中，所述GSPN模型基于攻击方和防御方博弈形成的广义随机Petri网络(Generalized Stochastic Petri Net,GSPN)模型，所述GSPN模型对攻击者防御者之间的行为等攻击细节进行不失真刻画且拥有不同系统间的强可扩展性。所述Markov链为半马尔可夫链，所述半马尔可夫链为状态迁移时间随机分布的马尔科夫链，所述Markov链可以确定攻击成功率和系统参数之间的对应关系，提高了安全性分析的全面和灵活。此外，GSPN模型和Markov链模型还可以互为补充以及互相验证，进一步提高了安全分析的准确性。

此外，为了进一步说明基于融合GSPN与Markov链结合的双模型架构，下面分别对GSPN模型和Markov链进行说明。

在本实施例中，GSPN模型是基于攻击方和防御方博弈形成的广义随机Petri网络，从而所述GSPN模型可以是根据攻击方模型和防御方模型融合得到。从而在建立GSPN模型时，可以先建立攻击方子模型和防御方子模型，再将攻击方子模型和防御方子模型融合得到GSPN模型。相应的，所述GSPN模型为基于攻击方和防御方博弈形成的广义随机Petri网络模型，所述GSPN模型的建立过程包括：

M10、提取攻击方动作以及攻击方动作对应的状态信息，根据所述攻击方动作以及受攻击动作对应的状态信息建立攻击方视角的进攻子模型；

M20、提取防御方动作以及防御方动作对应的系统状态信息，根据防御方动作以及系统状态信息建立防御方视角的防御子模型；

M30、融合所述进攻子模型和所述防御子模型，以得到所述GSPN模型。

具体地，如图2所示的进攻子模型，所述攻击方需要对各节点的执行体配置进行嗅探，有针对性地攻破足够多的执行体，才能取得该节点控制权。在攻击方的视野中，单个节点系统具有以下状态：正常工作、一个执行体被攻破、两个执行体被攻破、三个执行体被攻破(可以进入对下一个节点的攻击过程)。但这要在一轮攻击结束，通过输出矢量，攻击方才能知道自己攻击的结果。另外，攻击方的模型包括对执行体进行攻击时攻克的漏洞，带来的权限提升，所以它与每个执行体的具体配置以及攻击目标有关。

所述攻击方和防守方在博弈中的防守行为使得单节点在攻防过程中防守方通过拟态判决使得系统进行以下不同状态之间的转换；其状态如下：正常工作、小于半数执行体被攻破、大于半数执行体被攻破、全部执行体被攻破、经过判决后被攻破的大于半数执行体取得多于半数一致的错误矢量、经过判决后被攻破的大于半数执行体输出不同的错误矢量且没有一种错误矢量超过半数、经过判决后被攻破的全部执行体输出的错误矢量没有任何一种超过半数、经判决后被攻破的全部执行体输出错误矢量并且其中一种超过半数及经判决后全部执行体被攻破并输出完全相同的错误矢量。

例如，在防守过程中以三执行体为例，使得防守方，单个节点系统具有以下状态：正常工作、一个执行体被攻破、两个执行体被攻破、三个执行体被攻破、经过判决后被攻破的两个执行体输出同样的错误矢量、经过判决后被攻破的两个执行体输出不同的错误矢量、经过判决后被攻破的三个执行体输出的错误矢量两两不同、经判决后被攻破的三个执行体输出两个相同错误矢量和一个不同错误矢量、经判决后三个执行体输出完全相同的三个错误矢量。防御者通过拟态判决，完成系统在不同状态间的转换。防守方视角的GSPN模型，如图3所示。

综合攻击方和防御者的视角，本发明可以得到最终的一般攻击GSPN网络。攻击方可以对几个执行体同时发起进攻。由于攻破各个执行体所需的时间不同，所以按照攻击完成的时间，可以对攻击方攻击成功的执行体进行排序。以三执行体为例，攻击方攻击成功的次序有6种排列。考虑攻击完成顺序，把攻击方和防守方视角的GSPN网络结合在一起，得到完整的GSPN网络示意图。为了简化分析，本发明忽略不同的攻击完成顺序带来的影响。假设执行体以顺序No.1、No.2和No.3被成功攻击，简化的GSPN网络结构图，如图4所示。

对于图4中的Petri网，位置用圆圈表示，记为P_ix，其中i是数目位，表示被攻破的执行体数目，x是状态位，表示被攻破的执行体整体呈现的状态。P₀表示系统正常运行；P1、P2、P3分别表示1/2/3个执行体被攻击成功；P_iN表示非特异性感知状态，也就是i个执行体受到了攻击，但是在经过择多判决后，系统找到了全部出错的执行体；P_iA示系统磨损，也就是i个执行体受到了攻击，但是输出完全不一致，导致系统无法判决，从而把所有执行体都标为被攻击执行体；P_iP表示攻击扩散，也就是i个执行体受到了攻击后，控制了大部分执行体进行错误输出，导致择多判决发生误判，系统将正确的或者也被攻击但是出错不一致的少数执行体标为被攻击执行体；P_E表示攻击方控制了全部执行体，并且输出同样的错误矢量，导致系统无法通过择多判决找到出错的执行体。具体各自含义如表1所示。

此外，本实施例提供的GSPN模型中每个变迁均表示作为有效前提条件的结果而采取的操作。GSPN模型中转换可以分为具有策略概率的瞬时变迁和具有转移速度需要一定时间的时延变迁，其中触发时间是指数分布的随机变量。在图4中，瞬时变迁表示为实心矩形，时延变迁为空心矩形。例如，t_ijx表示目标从第i个执行体被攻破更改为第j个执行体被攻破的变迁符号,如果被攻击执行者的数量不变，则使用位置的末端来区分情况,其中，元素x是一个行为位，表示引起系统状态改变的动作类型。在本实施例中，行为类型包括攻击a、驱逐e、错误驱逐m、停用s、随机扰动d和裁决j，每个行为均都通过一个变迁符号记录，例如，攻击对应t_ija，驱逐对应t_ije，错误驱逐对应t_ijm，停用对应t_ijs、随机扰动对应t_ijd、裁决对应t_ijj分别。例如，t₂₀s表示有两个受攻击的执行体输出了不同的错误结果，这导致裁决器收到了三种不同的结果，无法判决。所以反馈控制器停止所有可疑执行程序，并用异构池中的干净执行体代替全部工作执行体，使系统重新回到工作状态。

进一步，在GSPN模型中将速率作为时延变迁的参数，并将概率作为即时变迁的参数。对于即时变迁，假设变迁延迟与所涉及执行体的数量之间存在负相关。同时，对于驱逐和错误驱逐行为，由于这驱逐和错误驱逐只影响一个的执行体，从而将驱逐和错误驱逐之间的变迁延迟设置为1(即λ＝1)；对于影响n个执行体的停用行为，将变迁延迟设置为n(即λ＝1/n)；以及将两个执行体出现相同错误的概率设置为0.0001。在该GSPN模型中，三组随机开关被定义为t₁₂和t_1Nj，t₂₃、t_2Aj和t_2Pj，t_3Aj、t_3Pj和t_3Ej，它们受到异构性程度和仲裁标准的影响。这里以系统中k＝2的三个执行体为例，各变迁对于异构系统和基础系统的概率以表2为例。

表2、变迁对于异构系统和基础系统的概率表

下面分别讨论了如何对异构系统和基于异构系统进行参数化。

1、对于异构系统(HS)：

第一个是t₁₂和t_1Nj之间的随机开关：假设攻击者攻击一个执行体成功的时间是执行体输出正确结果时间的1.2倍，执行体之间相似度非常小，以至于攻击者在攻击第二个执行体时花费时间与攻击第一个执行体相同即β＝1。当第一个执行体受到攻击时，对于其他正常工作的执行体，输出正确结果的概率为：

p₁＝p{N(1.2t_w)-N(0)>0}＝1-e^-1.2≈0.6988

那么另外两个执行体都输出正确结果的概率，这意味着仲裁器准备好进行仲裁(即t_1Nj)的概率为:

第二个随机开关为变迁t₂₃，t_2Aj和t_2Pj：β＝1，攻击前两个执行体的总时间是2.4t_w。那么第三执行体输出结果的概率，这意味着仲裁器准备好进行仲裁(即t_2Aj+t_2Pj)的概率为：

p_2j＝p{N(2.4t_w)-N(0)>0}＝1-e^-2.4≈0.9093

因此，t_2Aj的概率为(1-0.0001)×0.9093，t_2Pj的概率为0.0001×0.9093。

第三个随机开关为t_3Aj，t_3Pj和t_3Ej.。当三个执行体都被攻破，并向仲裁器输出三个错误的结果时，那么一定满足了仲裁器的判决条件。t_3Aj的概率为(1-0.0001)×(1-2×0.0001)，t_3Pj的概率为3×0.0001×(1-0.0001)，因此t_3Ej.的概率为0.0001×0.0001。

2、对于基本系统(BS)：

由于异构性程度低，基本系统的参数化设置为αt_w＝0.8t_w和β＝0.5。第一个随机开关为t₁₂和t_1Nj。如上所述，执行体在第一个被攻击期间输出结果的概率(即t_1Nj)是：

p_1j＝p₁×p₁＝p²{N(0.8t_w)-N(0)>0}≈0.3032

第二个随机开关(即t_2Aj+t_2Pj)的概率是：

p_2j＝p{N(1.2t_w)-N(0)>0}＝1-e^-1.2≈0.6988

同理，t_2Aj的概率为(1-0.0001)×0.6988，t_2Pj的概率为0.0001×0.6988。

进一步，所述Markov链为半马尔可夫链，所述半马尔可夫链为状态迁移时间随机分布的马尔科夫链。所述Markov链从状态i进入的下一个状态是状态j的概率为p_ij(i,j≥0)，从状态转换i到下一个状态j的时间具有分布F_ij。将t时刻的状态赋值为Z(t)，那么Z(t)，t≥0是一个半马尔可夫过程。

在本实施例的一个实现方式中，所述Markov链的状态转移图如图5所示，所述Markov链中用于计算i执行体被破坏的概率p_i(i＝0,1，...，N)以及逃逸概率P_E。按照攻破的执行体数量将系统状态编号为1，2，3，....，N-1，N，E，每个系统状态对应稳态概率记为π_i，其中，π_i满足如下条件：

λ₀π₀＝μ₁π₁+λ₁π₁

λ₁π₁＝μ₂π₂+λ₂π₂

L

λ_N-1π_N-1＝μ_Nπ_N+λ_Nπ_N

λ_Nπ_N＝ωπ_E

进一步，所述Markov链的状态转移图中μ_i表示系统通过第i层的过滤手段捕获恶意行为并将其驱逐，λ_i表示新的过滤手段被突破。只要仲裁没有N个相同的调节结果，系统将通过自适应机制再次工作。一旦所有执行体都受到攻击，入侵者将粉碎系统并以0.0001N-1的概率逃脱，因此μ_i满足如下条件：

并且，λ_i＝1-μ_i，从而根据π_i的计算公式可以得到：

…

由各系统状态的稳态概率的和为1，可以得出π₀的表达式，

那么逃逸的极限概率p_i，即系统处于状态i的时间比例，由下式给出，

其中，T_i表示连续转换到状态i之间的时间。

此外，为了估计T_i降低了建模的准确性，自适应机制捕获的篡改执行体数目小于N-k，因此i个篡改执行体将与i个时间单元一起离线清除。当受损执行体数目超过N-K时，系统难以从各种结果中区分篡改结果，所以系统会以N个时间单位停止所有生存执行体。最糟糕的情形是，攻击者逃脱，并将保持特权直到受到速率为ω的随机干扰。

因此，T_i的值优选为：

因此，P_E是攻击者击溃系统的极限概率(逃逸概率)，可以用N，k，β，α和ω计算得到。其中，所述N是活跃的执行体数量；k是得到几个相同的结果才能判决为正确，即为判决阈值；α表示攻击单执行体的耗时是单执行体输出运算结果耗时的倍数；β是受执行体之间异构性影响，攻击第二个执行体耗时是第一个执行体耗时的倍数(β的取值在0到1之间，最大等于1)；ω为随机扰动的频率。相应的，所述获取预设系统的系统参数为获取预设系统的N，k，β，α和ω，在获取到N，k，β，α和ω后输入由GSPN和Markov链的自适应网络防御的双模型，通过双模型对预设系统的安全性进行分析，可以提高分析的准确性。

此外，为了进一步说明上述主动防御网络安全性分析方法，这里给出仿真结果以及分析，利用上述GSPN和Markov链的自适应网络防御的双模型GM对不同的ACD系统进行了安全性仿真，并计算了ACD系统的极限逃逸概率，其中，GSPN模型是由平台独立的Petri网编辑器(PIPE)结合随机Petri网包(SPNP)建立的，并将基于GM模型和Markov链形成的双模型进行分析，仿真结果验证了ACD体系结构的有效性和建模的合理性，从而体现了基于双模型的分析的准确性。下面从几个方面做进一步说明：

a.异构性的影响(α，β)

设置ω＝0.0001，图7显示了不同α∈[0.8,1.2]和β∈[0,1]的逃逸极限概率。并且由图6a可以得出，破坏整个ACD系统的概率随着α和β而降低，其中，α反映了抵抗攻击的能力，攻击速度随着α的减小而加快，但当α的减小时，成功发起攻击的难度降低，使得ACD系统不安全；β反映了系统异构性的程度，ACD系统可以通过增加执行者之间的异构性(即增加β)来保持攻击的难度。

与图6b和图6c比较，GSPN和马尔可夫模型的模拟结果之间的差距是可以接受的，并且随着α和β的增加而减小。在模拟曲线的末端，ω＝0.0001，α＝1.2，β＝1的攻击逃逸极限概率分别为GSPN和马尔可夫模型的1.2961×10^-06和1.2633×10^-06，其中，绝对相对误差百分比约为2.60％。此外，从防御者的角度来看，大α和β意味着巨大的开销。在相同的滤出极限概率下，我们的目标是建立一个具有小α和β的系统。防御者可以根据他们的安全需求选择α和β。

b.动态性影响(ω)：比较了ω对异构系统和基础系统的影响，其中，异构系统中α＝1.2、β＝1；基础系统中α＝0.8、β＝0.5。

首先，根据基于马尔科夫模型，可以推断出攻击逃逸极限概率pE与ω的关系为：

其中，a和b是为常数。

图7a显示了不同干扰频率下攻击逃逸极限概率的变化，其中我们用GSPN模型和马尔可夫模型描述了对基于系统和异构系统的影响。

图7b显示了绝对百分比相对误差δ，其中，δ的表达式可以为：

并且由图7b可以得到，对于所有ω值，绝对百分比相对误差均在10％以下，随异构性的增大而减小。同时对于相同的ω值，异构系统对攻击的抵抗力随异构性程度的增高而增强。总的来说，攻击逃逸极限概率随ω的减小而减小。

c.冗余度的影响(执行器数量n，判决阈值k)

设α＝1.2，β＝1，ω＝0.0001，比较不同(n，k)值下，马尔可夫模型的异构系统的攻击逃逸极限值，其结果如表2所示。

表2、(n，k)值与攻击逃逸极限概率的对应关系

由表2可以得出，随着执行器数量的增加，ACD系统的安全性得到了显著提高。然而，严格的标准并没有使得系统安全性的显著提高，同时严格的仲裁标准增加了没有合法结果的可能性，导致所有执行者都被停止并离线清理，从而降低了系统的鲁棒性。由此可知，防御者的最佳策略是根据安全需求选择一个n，在n/2的预定范围内选取正整数k，例如，在n/2±2等。

基于上述主动防御网络安全性分析方法，本实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如上述实施例所述的主动防御网络安全性分析方法中的步骤。

基于上述主动防御网络安全性分析方法，本发明还提供了一种应用服务器，如图8所示，其包括至少一个处理器(processor)20；显示屏21；以及存储器(memory)22，还可以包括通信接口(Communications Interface)23和总线24。其中，处理器20、显示屏21、存储器22和通信接口23可以通过总线24完成相互间的通信。显示屏21设置为显示初始设置模式中预设的用户引导界面。通信接口23可以传输信息。处理器20可以调用存储器22中的逻辑指令，以执行上述实施例中的方法。

此外，上述的存储器22中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。

存储器22作为一种计算机可读存储介质，可设置为存储软件程序、计算机可执行程序，如本公开实施例中的方法对应的程序指令或模块。处理器20通过运行存储在存储器22中的软件程序、指令或模块，从而执行功能应用以及数据处理，即实现上述实施例中的方法。

存储器22可包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据应用服务器的使用所创建的数据等。此外，存储器22可以包括高速随机存取存储器，还可以包括非易失性存储器。例如，U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等多种可以存储程序代码的介质，也可以是暂态存储介质。

此外，上述存储介质以及应用服务器中的多条指令处理器加载并执行的具体过程在上述方法中已经详细说明，在这里就不再一一陈述。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims

1.一种主动防御网络安全性分析方法，其特征在于，所述方法基于融合GSPN与Markov链结合的双模型架构，所述方法包括：

根据系统参数通过Markov链确定所述系统参数与攻击成功概率的对应函数关系，其中，所述攻击成功概率为所述预设系统的理论攻击成功概率；

根据所述攻击成功概率，以及所述系统参数与攻击成功概率的对应关系对所述主动防御网络安全性进行分析。

2.根据权利要求1所述主动防御网络安全性分析方法，其特征在于，所述Markov链与所述GSPN模型为非同构计算。

3.根据权利要求1所述主动防御网络安全性分析方法，其特征在于，所述GSPN模型为基于攻击方和防御方博弈形成的广义随机Petri网络模型，所述GSPN模型的建立过程包括：

4.根据权利要求3所述主动防御网络安全性分析方法，其特征在于，所述攻击方和防守方在博弈中的攻防行为根据不同的攻击结果使系统分别呈现以下不同状态：正常工作、非特异性感知、磨损、攻击扩散及攻击逃逸。

5.根据权利要求3所述主动防御网络安全性分析方法，其特征在于，攻击方攻击执行体时，防御方对受到攻击的执行体根据受到攻击的情况执行驱逐、误驱逐、停用及判决中的一种动作。

6.根据权利要求1所述主动防御网络安全性分析方法，其特征在于，所述Markov链为半马尔可夫链，所述半马尔可夫链为状态迁移时间随机分布的马尔科夫链。

7.根据权利要求1或6所述主动防御网络安全性分析方法，其特征在于，所述攻击成功概率包括主动防御节点被攻击成功的概率。

8.根据权利要求7所述主动防御网络安全性分析方法，其特征在于，所述攻击成功概率与系统参数的对应关系具体为：

其中，T_i表示连续转换到状态i的时间，T_j表示连续转换到状态j的时间，π_i表示转换到状态i的稳态概率，π_j表示j个执行主体被攻破的稳态概率，i,j为正整数。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如权利要求1～8任意一项所述的主动防御网络安全性分析方法中的步骤。

10.一种应用服务器，其特征在于，包括：处理器、存储器及通信总线；所述存储器上存储有可被所述处理器执行的计算机可读程序；

所述通信总线实现处理器和存储器之间的连接通信；

所述处理器执行所述计算机可读程序时实现如权利要求1-8任意一项所述的主动防御网络安全性分析方法中的步骤。