CN111064702B - 基于双向信号博弈的主动防御策略选取方法及装置 - Google Patents

Abstract

本发明属于网路安全领域，特别涉及一种基于双向信号博弈的主动防御策略选取方法及装置，该方法包含构建双向攻防信号博弈模型分析双向攻防信号传递过程；信号发送者释放信号，信号接收者接收信号；求解双向信号博弈均衡，防御方依据自身角色和博弈均衡确定主动防御策略。本发明通过双向信号传递机制更加准确地表征了攻防策略对抗过程，更加贴近网络攻防实际，对于动态不完全信息条件下的主动防御策略选取问题，具有较好的理论参考价值和实践指导意义。

Description

基于双向信号博弈的主动防御策略选取方法及装置

技术领域

本发明属于网路安全领域，特别涉及一种基于双向信号博弈的主动防御策略选取方法及装置。

背景技术

网络信息技术飞速发展，万物泛在互联；但网络安全事件层出不穷，以防火墙、入侵检测和防病毒软件等为代表的防御技术，基于先验知识和攻击特征实施“被动响应”式防御，难以及时有效应对新型复杂网络攻击。防御方如能通过预测攻击方行动，主动选取针对性防御策略，扰乱或阻断攻击进程，实现己方收益最大化，则可称为主动防御。网络安全本质在攻防两端对抗。防御效能不仅取决于自身行动策略，还受攻击方行动策略制约和影响。如何在信息受限的对抗环境下选取最优主动防御策略是亟需解决的关键问题。

信号博弈是典型的不完全信息动态博弈。它通过信号传递描述局中人策略交互过程，适用于研究主动防御策略选取问题。但是，目前研究均将网络攻防过程假定为单向信号传递，通过指定攻击方(或防御方)为信号发送者，另一方为信号接收者，对攻防过程进行建模分析。然而，在实际的网络攻防过程中，攻击方和防御方会发生一系列策略交互，攻防双方一般既是信号发送者，同时也是信号的接收者。如果将信号发送者发送信号看作是“刺激”，则信号接收者选择应对策略是“反应”。防御方和攻击方在双向持续的“刺激-反应”中，不断调整优化各自策略，动态推进攻防博弈演化。因此，在网络攻防中博弈信号应当是双向的

机制。

发明内容

本发明的目的是提供一种基于双向信号博弈的主动防御策略选取方法及装置，通过双向信号传递机制更加准确地表征了攻防策略对抗过程，更加贴近网络攻防实际，对于动态不完全信息条件下的主动防御策略选取问题，具有较好的理论参考价值和实践指导意义。

为解决上述技术问题，本发明采用以下的技术方案：

本发明提供了一种基于双向信号博弈的主动防御策略选取方法，包含：

构建双向攻防信号博弈模型分析双向攻防信号传递过程；

信号发送者释放信号，信号接收者接收信号；

求解双向信号博弈均衡，防御方依据自身角色和博弈均衡确定主动防御策略。

进一步地，网络攻防对抗具有动态性和持续性，攻击方和防御方序贯行动，一方在观测到另一方所释放的信号后，依据观测结果选择行动策略。

进一步地，双向攻防信号传递过程包括初始配置和动态对抗；

初始配置，防御方为信号发送者，攻击方为信号接收者，防御方释放信号，攻击方观测到该信号，修正对防御方类型的先验判断，选择攻击策略；

动态对抗，攻防双方在信号发送者和信号接收者角色之间不断转换，每阶段均由基本信号博弈组成，博弈终止条件是攻击方停止攻击行为，不再释放信号。

进一步地，基本信号博弈过程是，信号发送者释放信号，信号接收者观测到该信号后，使用Bayes法则，由先验概率得到后验概率，然后选择行动策略。

进一步地，针对实际网络对抗过程攻防信号的双向传递影响机制，构建双向攻防信号博弈模型，双向攻防信号博弈模型通过十元组表示：

其中，N表示局中人空间，Θ表示类型空间，H表示信号空间，T表示博弈阶段数，σ表示欺骗信号衰减因子，ξ表示收益折现因子，S表示策略空间，P表示先验概率空间，

表示后验概率空间，U表示收益空间。

进一步地，针对双向攻防信号博弈模型，量化博弈收益，具体是，利用折现因子ξ将未来收益进行折现，攻防双方收益目标函数可分别表示为：

其中，SDC表示系统损失代价，AC表示攻击代价，DAC表示欺骗攻击代价，DC表示防御代价，DDC表示欺骗防御代价，d_g表示防御策略，a_h表示攻击策略，t表示博弈阶段。

进一步地，求解双向信号博弈均衡，防御方依据自身角色和博弈均衡确定主动防御策略，包含以下内容：

信号接收者根据信号接收者收益计算最佳策略f^*(h)；

信号发送者根据信号发送者收益计算最佳策略h^*(Θ)；

信号接收者依据Bayes法则和欺骗信号计算信号发送者类型的

精炼选取符合条件的均衡解

其中，f^*(h)表示信号接收者针对信号发送者策略h^*(Θ)的最优策略，h^*(Θ)表示信号发送者针对信号接收者策略f^*(h)的最优策略，

表示信号接收者通过Bayes法则计算得到的信号发送者类型的后验概率；

根据博弈均衡EQ_t确定主动防御策略；

判断博弈阶段t是否到达阶段博弈总数T，若否，则进行下一阶段博弈均衡求解，若是，则博弈终止。

进一步地，所述欺骗信号是与行为者真实类型不相符的信号，行为者为掩盖真实类型，通过发送与其不相符的信号，诱使信号接收者对先验概率做出错误修正，从而陷入被动状态。

本发明还提供了一种基于双向信号博弈的主动防御策略选取装置，包含：

双向攻防信号博弈模型构建模块，用于构建双向攻防信号博弈模型分析双向攻防信号传递过程；

信号收发模块，用于信号发送者释放信号，信号接收者接收信号；

双向信号博弈均衡求解模块，用于求解双向信号博弈均衡，防御方依据自身角色和博弈均衡确定主动防御策略。

与现有技术相比，本发明具有以下优点：

针对网络攻防对抗中信号双向传递的实际，提出了基于双向信号博弈的主动防御策略选取方法，构建双向攻防信号博弈模型分析网络攻防过程，在求解精炼贝叶斯均衡的基础上，给出防御策略选取算法，本发明的主要优势是：1、双向信号传递机制。攻防双方均具有信号发送者和接收者双重角色，既通过释放信号影响对方策略选取，又被对方释放的信号所影响。2、真假信号参杂的博弈信号集。为扰乱对方认知决策过程，在网络对抗过程中，攻防双方均使用释放真假参杂信号的信息对抗手段，由于信号接收方对虚假信号具有一定甄别能力，因此虚假信号的欺骗作用随攻防博弈过程的发展而逐渐衰减。3、动态多阶段的博弈过程。攻防对抗持续多个阶段，双方依据交互信号不断学习进化，动态调整行动策略，实现己方收益最大化。本发明所提方法通过双向信号传递机制更为准确地表征了攻防策略对抗过程，更加贴近网络攻防实际，对于动态不完全信息条件下的主动防御策略选取问题，具有较好的理论参考价值和实践指导意义。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一基于双向信号博弈的主动防御策略选取方法的流程图；

图2是本发明实施例一基本信号博弈过程图；

图3是双向攻防信号博弈过程图；

图4是本发明实施例一TWSG(1)博弈树；

图5是本发明实施例一TWSG(2)博弈树；

图6是本发明实施例一TWSG(3)博弈树；

图7是本发明实施例一TWSG(T)博弈树；

图8是本发明实施例二实验网络拓扑图；

图9是本发明实施例二TWSG(1)攻防博弈树；

图10是基于双向信号博弈的主动防御策略选取装置的结构示意图；

图11是精炼贝叶斯均衡求解算例的单阶段信号博弈树。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

如图1所示，本发明实施例的基于双向信号博弈的主动防御策略选取方法，包含以下步骤：

步骤S101，构建双向攻防信号博弈模型分析双向攻防信号传递过程；

步骤S102，信号发送者释放信号，信号接收者接收信号；

步骤S103，求解双向信号博弈均衡，防御方依据自身角色和博弈均衡确定主动防御策略。

首先对攻防博弈过程分析：

a)基本信号博弈过程

如图2所示，基本信号博弈包含信号发送者和信号接收者2个局中人。首先，根据Harsanyi转换，由虚拟局中人“自然”选择信号发送者类型θ，将不完全信息条件下的选择问题转化为不确定类型条件下的选择问题。信号发送者知道自身类型为θ，但信号接收者仅知道发送者属于类型θ的先验概率P(θ)。信号发送者释放信号H，信号接收者观测到信号H后，使用Bayes法则，由先验概率P(θ)得到后验概率P(θ|H)，然后选择行动策略。信号发送者通过预判信号接收者行动策略，从而确定自身行动策略，双方均力争收益最大化。

b)双向攻防信号博弈过程

网络攻防对抗具有动态性和持续性。攻击方和防御方序贯行动，一方在观测到另一方所释放的信号后，依据观测结果选择行动策略。双向攻防信号博弈过程包含初始配置和动态对抗，如图3所示：

初始配置：防御方作为信号发送者，攻击方作为信号接收者。防御方部署网络信息系统，配置网络拓扑结构、IP地址和划分网段等。由于网络要对外界提供服务，具有开放共享、互联互通的特点，以及网络信息产品所具有的“同源、同构、同质”等特性，攻击方可通过社会工程学渗透、持续扫描探测、公开情报获取等多种途径收集防御方初始配置信息。此类信息是攻击方发动网络攻击的基础，文中将其视为防御方释放信号H_D。攻击方观测到信号H_D，修正对防御方类型的先验判断，选择攻击策略。博弈过程如图3中S₁阶段所示。

动态对抗：攻防双方在信号发送者和信号接收者角色之间不断转换。每阶段博弈均由基本信号博弈组成，过程如图3中S₂、S₃以及S_i等阶段所示。S₂阶段，攻击方选择攻击策略，同时释放信号H_A；防御方接收信号H_A，修正对攻击方类型的先验判断，据此选取防御策略。S₃阶段，防御方释放信号H_D；攻击方接收到信号H_D，再次修正对防御方类型的先验判断，确定攻击策略。在动态对抗过程中，信号双向传递，攻防双方均利用Bayes法则逐渐修正对对方真实类型的认识。从防御方视角出发，博弈终止条件是攻击方停止攻击行为，不再释放信号，博弈过程如图3中S_n阶段所示。

信号在发送者和接收者的策略互动过程中发挥作用。信号发送者决定信号内容，并通过信号影响接收者行动策略。依据网络杀伤链(Cyber Kill Chain)模型，第一阶段“网络侦察”即为攻击方对防御方进行探测、扫描等情报收集活动，可视为接收防御方所释放信号。攻防对抗过程中，信号发送者可采取欺骗思想，通过释放与自身类型不相符信号，达到误导对方判断，扩大己方收益的目的。因此，可将攻防双方传递的信号划分为真实信号和欺骗信号两类。

真实信号RS(Real Signal)：反映行为者真实类型的信号。行为者依据自身类型选择行动策略，在策略实施过程中不可避免暴露出部分私人信息，该类信息作为真实信号传递给接收者。真实信号由行动策略伴随产生，释放真实信号不需额外付出成本。

欺骗信号DS(Deception Signal)：与行为者真实类型不相符的信号。行为者为掩盖真实类型，通过发送与其不相符的信号，诱使信号接收者对先验概率做出错误修正，从而陷入被动状态。信号不会无缘无故产生，局中人释放欺骗信号需额外付出一定成本。例如，低防御等级用户若要冒充高防御等级用户，则需要部署伪装设施，付出一定防御成本才能释放欺骗信号。防御方释放欺骗信号是主动防御思想的具体体现。

在上述分析基础上，针对实际网络对抗过程攻防信号的双向传递影响机制，构建双向攻防信号博弈模型TWSG(Two-Way Signaling Game)。双向攻防信号博弈模型通过十元组表示：

①N＝(N_D,N_A)是局中人空间。包括2个局中人，分别是防御方N_D和攻击方N_A。

②Θ＝(θ_D,θ_A)是类型空间。θ_D是防御方类型，θ_D＝(φ_i|i＝1,2,…n)，n≥2；θ_A是攻击方类型，

m≥2。类型属于私人信息，由行动策略确定，能够影响双方博弈收益。

③H＝(H_D,H_A)是信号空间。H_D是防御方信号，H_D＝(h_Dk|k＝1,2,…v),v≥2；H_A是攻击方信号，H_A＝(h_Al|l＝1,2,…w)，w≥2。信号接收者能够依据信号推测发送者类型，信号空间与类型空间逻辑对应；但由于欺骗信号存在，具体信号与攻防双方的具体类型不存在严格的一致关系。

④T是博弈阶段数。T＝(1，2，3，…，t)，t≥3；双向信号博弈持续多个阶段，第t阶段博弈可用TWSG(t)表示。

⑤σ是欺骗信号衰减因子。攻防双方多次策略交互后，彼此更加了解，欺骗信号影响逐步衰减。σ_t作用为修正t阶段博弈中产生的后验概率，使其更加符合实际，0≤σ_t≤1。初始阶段欺骗信号不衰减σ₁＝1。TWSG(t)阶段欺骗信号衰减程度用σ_t＝σ^t-1表示。当博弈阶段T足够大时，σ_T＝σ^T-1≈0，欺骗信号影响完全消失，信号与类型构成对应关系，双向信号博弈退化为不完全信息静态博弈。

⑥ξ是收益折现因子。ξ表示第t+1阶段收益相较第t阶段收益的折现比例，用于将未来阶段收益折算成现值，0≤ξ≤1。

⑦S＝(S_D,S_A)是策略空间。S_D是防御方策略，S_D＝{d_g|g＝1,2,…}；S_A是攻击方策略，S_A＝{a_h|h＝1,2,…}。

⑧P＝(P_D,P_A)是先验概率空间。P_D是防御方先验概率集合，代表防御方对攻击方类型的先验概率，

P_A是攻击方先验概率，表示攻击方对防御方类型的先验概率，

⑨

是后验概率空间。

是防御方后验概率集合，含义为防御方对攻击方类型的后验判断，

是攻击方后验概率集合，意为攻击方对防御方类型的后验判断，

⑩U＝(U_D,U_A)是收益空间。U_D和U_A分别表示防御方收益和攻击方收益。

然后，针对双向攻防信号博弈模型，量化博弈收益。

根据代价/回报计算方法，攻击方回报为系统损失代价SDC，总代价为攻击代价AC和欺骗攻击代价DAC之和；防御方代价为系统损失代价SDC、防御代价DC和欺骗防御代价DDC之和。利用折现因子ξ将未来收益进行折现，攻防双方收益目标函数可分别表示为：

其中，SDC(System Damage Cost)表示系统损失代价，AC(Attack Cost)表示攻击代价，DC(Defense Cost)表示防御代价，SDC受攻防策略组合影响，记为SDC(d_g,a_h)，代表当防御策略为d_g、攻击策略为a_h时系统遭受损失的值；DDC(Deception Defense Cost)表示欺骗防御代价，防御方为迷惑攻击方认知，主动释放欺骗信号所产生的成本，DAC(DeceptionAttack Cost)表示欺骗攻击代价，攻击方为迷惑防御方认知，主动释放欺骗信号所产生的成本。

根据攻防类型θ_A和θ_D，可将攻防策略划分为不同等级，例如增强型和普通型。同一等级所含策略的代价和回报基本相同。例如，某攻击等级共含h个攻击策略，则攻击方选取策略a_h的概率为1/h。该攻击等级的收益可用平均值

表示。同理，若某防御等级共有g个防御策略，该防御等级的收益为

双向信号博弈是由若干基本信号博弈组成的有限博弈。博弈中攻防双方交替作为信号发送者和接收者，单一角色均衡求解方法不再适用。本发明首先给出单阶段博弈均衡求解过程，然后将其应用到多阶段均衡求解中。

为方便阐述，单阶段博弈均衡求解时，采用信号发送者(简称Leader)和信号接收者(简称Follower)角度进行计算和分析，对相关参数做出如下设定：

1.信号发送者行动策略{l₁,l₂,…,l_n}；

2.信号接收者行动策略{f₁,f₂,…,f_m}；

3.防御方类型空间θ_D＝(φ_DH,φ_DM)＝(增强型防御，普通型防御)；

4.防御方信号空间H_D＝(h_DH，h_DM)＝(增强型防御信号，普通型防御信号)；

5.攻击方类型空间

6.攻击方信号空间H_A＝(h_AH，h_AM)＝(增强型攻击信号，普通型攻击信号)。

(A)单阶段博弈均衡求解

TWSG(t)博弈均衡解

其中，h^*(l^*,Θ)为Leader的信号策略，简记为h^*(Θ)；f^*(h)为Follower的策略，简记为f^*(h)；

为Follower对Leader类型的后验概率，其中参数F∈{A,D}，表明在不同博弈阶段内，Follower可为攻击者或防御者，简记为

根据博弈理论，均衡应满足2个条件：

(1)

表示在后验概率

条件下，Follower针对Leader策略h^*(Θ)的最优策略；

(2)

表示Leader针对Follower策略f^*(h)的最优策略；

其中，

代表Follower基于先验概率P、观测的信号h和自身策略f^*(h)，通过Bayes法则计算得到的Leader类型的后验概率。

精炼贝叶斯均衡求解过程较为复杂，总体过程可分为3步。

第1步：Follower根据收到的信号计算最佳策略f^*(h)；

第2步：Leader推算最佳策略h^*(Θ)；

第3步：精练选取符合条件的均衡解

根据博弈理论，精练贝叶斯均衡解即为局中人最优策略。因此，防御方应依据自身角色和博弈均衡EQ_t确定主动防御策略。

下面给出一个精炼贝叶斯均衡求解算例：

如图11所示，攻击方和防御方包含两种类型，释放两种信号。Leader类型用L_H和L_M表示，信号空间用H_LH和H_LM表示；Follower类型用F_H和F_M表示；{u₁₁,u₂₁,u₃₁,……,u₈₁}代表Leader收益，{u₁₂,u₂₂,u₃₂,……,u₈₂}代表Follower收益。

步骤1：计算Follower策略

首先，假设单阶段信号博弈树上不同信息集的后验推断为P_F(Θ|h)，计算最大收益

当H＝h_LH时，

满足条件v_LH+v_LM＝1，假设u₁₂·v_LH+u₃₂·v_LM＝u₂₂·v_LH+u₄₂·v_LM

求解得

且

当

时，(7)＝u₁₂·v_LH+u₃₂·v_LM，f^*(h)＝F_H。

当

时，(7)＝u₂₂·v_LH+u₄₂·v_LM，f^*(h)＝F_L。

同理，可求得

当

时，f^*(h)＝F_H。

当

时，f^*(h)＝F_L。

重复上述过程，可计算H＝h_LM时f^*(h)。

步骤2：计算Leader策略

当Θ＝L_H时，

当

时，

得h^*(L_H)。

同理，可得不同v_LH和w_LH区间下的h^*(L_H)。

重复上述过程，可计算Θ＝L_M时h^*(L_M)。

步骤3：计算均衡解

由步骤1和步骤2分别得出f^*(h)和h^*(Θ)，结合先验概率P_L可得后验概率

若计算得出的

和前提假设P(Θ|h)不冲突，则均衡解为

(B)多阶段博弈均衡求解

在多阶段持续对抗过程中，防御方可利用“刺激-反应”学习机制逐步修正攻击方动机和行为偏好，降低攻击方欺骗信号影响，从而实施针对性主动防御策略，实现期望收益最大化。

(1)第1阶段博弈TWSG(1)，Leader是防御方，Follower是攻击方。

如图4所示，根据Harsanyi转换，虚拟局中人“自然”(Nature)选择防御方类型。以先验概率p₁选择类型φ_DH，以1-p₁概率选择类型φ_DM。防御方分别释放信号h_DH和h_DM。攻击方根据所观测信号，选择策略类型

和

并修正对防御方类型的先验判断。根据(A)单阶段博弈均衡求解过程，可得TWSG(1)博弈均衡

(2)第2阶段博弈TWSG(2)，Leader是攻击方，Follower是防御方。

如图5所示，攻击方依据EQ₁选取攻击策略，并向防御方发送信号。攻防双方作为信号发送者和接收者的角色发生了互换。通过TWSG(1)博弈，攻防双方彼此有所了解，欺骗信号衰减现象开始显现。此时，攻击方不再依赖于“自然”选择类型，而是由欺骗信号衰减因子σ和EQ₁中后验概率

共同确定，用

表示。攻击方以概率

选择

以

概率选择

(3)第3阶段博弈TWSG(3)，Leader是防御方，Follower是攻击方。

如图6所示，防御方依据EQ₂选取防御策略，并向攻击方发送信号，攻防双方角色再次互换。经过前2阶段博弈，欺骗信号衰减作用更为明显，用

表示。防御方以

概率选择φ_DH，以

概率选择φ_DM。

(4)第T阶段博弈TWSG(T)，Leader是防御方，Follower是攻击方。

如前面所述，攻防双方在持续对抗过程中不断变换信号发送者和接收者角色，动态调整策略，推进博弈进程。如图7所示，当博弈阶段T足够大时，欺骗信号会被对方完全甄别，其影响全部消失，双向信号博弈退化为不完全信息静态博弈。防御方持续采取防御措施，作为Leader向外界释放信号。攻击方终止对抗行为，仅作为Follower接收防御方所发信号。

根据上面提到的单阶段博弈均衡求解和多阶段博弈均衡求解的基础上，设计主动防御策略选取算法如表1所示。

表1主动防御策略选取算法

与现有基于信号博弈的研究成果相比，结果详见表2。信号传递机制是指模型中考虑信号传递方向为单向还是双向；欺骗信号衰减说明模型是否对欺骗信号衰减现象进行刻画；博弈过程用于区分模型具备单阶段分析能力还是多阶段分析能力；模型扩展性表示模型中攻防类型和策略能否扩展，扩展性越好模型的适用范围越广；均衡求解代表博弈均衡求解过程的详略程度，求解过程越详细，实用性越强。前续研究大多以单向信号传递机制对攻防进行建模分析，同时较少考虑对抗中欺骗信号衰减现象，部分研究还限于单阶段博弈分析。本文深入分析了双向信号传递机制，建立了双向信号博弈模型，给出了详细的博弈均衡求解过程，设计了防御策略选取算法。在信号传递机制、欺骗信号衰减和博弈过程上更加贴近网络攻防实际，且模型具有较好的扩展性和实用性。攻防双方通过释放欺骗信号，进而影响对方策略选取，使己方期望收益最大化，体现了有限信息条件下的对抗思想。

表2研究方法对比表

[1]H.Ji-hong,Y.Ding-kun eta1.,"Defense policies selection methodbased on attack-defense signaling game model,"Journal onCommunications.vol.36,no.4,pp.121-132,2016.

[2]X.Feng,Z.Zheng,D.Cansever,A.Swami and P.Mohapatra,"A signalinggame model for moving target defense,"IEEE Conference on ComputerCommunications,Atlanta,GA,pp.1-9,2017.

[3]X.GaoandY.Zhu,"DDoS defense mechanism analysis based on signalinggame model,"2013 5th International Conference on Intelligent Human-MachineSystems and Cybernetics,Hangzhou,pp.414-417,2013.

[4]Z.Hengwei,L.Tao,W.JindongandH.Jihong,"Optimal active defense usingdynamic multi-stage signaling game,"China Commun,vol.12,no.2,pp.114-122,2015.

[5]X.Chen,X.Liu,L.ZhangandC.Tang,"Optimal defense strategy selectionfor spear-phishing attack based on a multistage signaling game,"IEEE Access,vol.7,pp.19907-19921,2019.

[6]Y.Yang,B.Che,Y.Zeng,Y.ChengandC.Li,"MAIAD:amultistage asymmetricinformation attack and defense model based on evolutionary game theory,"Symmetry,vol.11,pp.215-229,2019.

下面给出一个具体的实例，以便更好地理解本发明。

实施例二

步骤S201，实验环境与参数设置

为验证所提方法的可行性和有效性，搭建实验网络环境，开展模拟实验。如图8所示，实验网络为典型企业网，共分为External network、Internal network和DMZ等3个区。攻防场景设定为：攻击方(attacker)位于External network区，试图对企业内网Internalnetwork区实施远程攻击；防御方(defender)为企业网络安全管理员，依据文中方法选择主动防御策略。

为保证企业网络的可用性和安全性，设置各网络分区间访问控制规则如表3所示，其中，

表示允许访问；“×”表示不允许访问；

表示访问需要一定权限。

表3访问控制规则表

一般而言，数据库服务器(databaseserver)存储着企业的大量机密敏感数据，故实验中将其设为攻击目标。根据表3访问控制规则，attacker无法直接访问databaseserver，但可通过多个步骤，利用DMZ区中堡垒机(bastionserver)存在的漏洞，获取访问Internal network区权限，进而达到攻击目标。

结合信息安全漏洞库中关于CVE(Common Vulnerabilities&Exposures)信息的描述，使用漏洞扫描工具Nessus探测发现实验网络中存在的安全漏洞如表4所示。

表4实验网络安全漏洞表

攻击方利用企业网络中存在的安全漏洞和缺陷，选取由若干原子攻击行动组成的攻击策略，防御方有针对性的选取包含不同原子防御行动的防御策略。并根据林肯实验室攻防分类，得出攻防策略及其操作代价如表5所示。

表5攻防策略及其操作代价表

结合历史统计数据和专家经验取值，给出不同攻防策略组合下系统损失SDC值如表6所示，并设置收益折现因子ξ＝0.5，σ＝0.6。在第9阶段，ξ^t-1＝0.5⁸≈0.0039，可见该阶段以后的收益对总收益计算影响较小，因此设置博弈阶段数T＝9。

表6不同攻防策略组合下SDC值

步骤S202，均衡求解和策略选取

1.TWSG(1)博弈均衡及防御策略

如图9所示，“自然”以(0.4,0.6)概率选择防御方策略类型。当防御方策略类型为φ_DH、发出信号h_DH、攻击策略类型为

时，共包括(d₁,a₁)、(d₁,a₂)、(d₂,a₁)、(d₂,a₂)4种策略组合。

在策略组合(d₁,a₁)下，攻击方欺骗信号DAC＝0。

U_A(d₁,a₁,1)＝SDC(d₁,a₁)-AC-DAC＝2320-480-0＝1840。同样可计算其它策略组合收益U_A(d₁,a₂,1)＝1810，U_A(d₂,a₁,1)＝1900，U_A(d₂,a₂,1)＝1770。由于同一攻防等级下选取不同策略概率相同，则各策略组合概率均为0.25。u₁₂为攻击方在策略类型

下的平均收益

同理，可计算U_D(d₁,a₁,1)＝-[SDC(d₁,a₁)+DC+DDC]＝-3000，U_D(d₁,a₂,1)＝-2950，U_D(d₂,a₁,1)＝-3020，U_D(d₂,a₂,1)＝-2870。

u₁₁为防御方在策略类型φ_DH下平均收益

同理，利用上述方法可依次求得不同策略类型组合下攻防收益。

运用均衡求解算法，得出TWSG(1)解为混同均衡，可能存在的策略类型组合有2个：①防御方选择策略类型φ_DH，释放信号h_DH，攻击方选择策略类型

此时U₁₁＝-2960，U₁₂＝1830；②防御方选择策略类型φ_DM，释放信号h_DH，攻击方选择策略类型

此时U₁₁＝-2727.5，U₁₂＝2037.5。因此，防御方选取②作为防御策略，记为(φ_DM,h_DH)。

2.TWSG(2)博弈均衡及防御策略

TWSG(1)均衡求解过程中，攻击方可能选择策略类型

也可能选择策略类型

故防御方对攻击方的后验概率修正为(0.5,0.5)。运用均衡求解算法，TWSG(2)解仍为混同均衡，可能的策略组合有2个：①攻击方选择策略类型

释放信号h_AM，防御方选择策略类型φ_DM；②攻击方选择策略类型

释放信号h_AM，防御方选择策略类型φ_DM。因此，防御方选取策略类型为普通型，记为φ_DM。

3.第3-9阶段博弈均衡及防御策略

根据上述方法依次求解各阶段博弈均衡。第3-6阶段，博弈均衡解仍为混同均衡，但是，欺骗信号作用逐步衰减。第7-9阶段，欺骗信号完全衰减，博弈演化为不完全信息静态博弈，均衡解变为分离均衡。此时，防御方选取策略类型为增强型φ_DH，并释放增强型信号h_DH，记为(φ_DH,h_DH)。

表7各阶段防御策略及攻防收益

步骤S203，实验分析

基于上述实验及数据分析，在不考虑具体参数值的情况下，通过对攻防博弈均衡和收益的一般性分析，可以得出以下结论。

(1)欺骗信号能提高攻防效能。第1-6阶段博弈均衡解为混同均衡，表明在攻防博弈初期，防御方可采用普通型防御策略φ_DM，通过释放欺骗信号h_DH，迷惑和误导攻击方，扰乱攻击方认知，以较小防御成本最大化己方收益。因此，在策略选取时，应充分利用欺骗信号的有效性，主动释放欺骗信号。同时，提高对攻击方欺骗信号的甄别能力，尽早识别攻击方动机和行为偏好，从而实施针对性主动防御策略。

(2)欺骗信号的作用具有局限性和衰减性。随着博弈进程推进，欺骗信号逐渐衰减。第7-9阶段博弈均衡解变为分离均衡，表明欺骗信号作用完全消失。防御方不再释放欺骗信号，而是通过加大防御投入，采用增强型防御策略φ_DH对抗网络攻击。因此，在策略选取时，应避免自身欺骗信号的局限性，通过提高欺骗信号质量延缓其衰减过程。同时，注意收集威胁情报，放大攻击方欺骗信号的局限性。

(3)利用欺骗信号可延缓攻击速度和减弱攻击突然性。分析第1-9阶段博弈，防御方释放欺骗信号可延缓网络杀伤链形成，为防御方赢得反应时间，部分抵消攻击方拥有的时间不对称优势和先发优势。但是，由于欺骗信号的局限性，仅依赖欺骗信号本身并不能完全抵御网络攻击。因此，防御方应根据博弈进程演化，协同采用其它防御手段，动态调整防御策略，达到己方收益最大化。

(4)增强自身防御能力能降低安全损失。分析防御方采取不同策略类型时博弈收益：第1-6阶段，防御方采取普通型防御策略类型，平均收益为-2853；第7-9阶段，防御方选择增强型防御策略类型，防御方平均收益为-2496。由此可见，面对持续高强度的网络攻击，防御方应加大安全投入，增强自身防御能力，降低安全损失。

主动防御是网络安全领域热点研究问题，策略选取是影响防御效能的关键。在攻防对抗和有限信息条件下，防御方最优策略难以确定，信号博弈是解决该问题的有效途径。针对单向信号传递不符合网络攻防对抗实际的问题，本发明分析了信号双向传递过程，构建了双向信号博弈模型，给出了多阶段精炼贝叶斯均衡求解过程，设计了主动防御策略选取算法。通过实例应用与分析，验证了方法的可行性和有效性。分析实验结果得出了欺骗信号的有效性和局限性作用机理，总结给出指导主动防御策略选取的4条结论。对比现有研究成果，本文所提双向信号博弈模型更为准确地表征了攻防策略对抗过程，更加贴近网络攻防实际，能够为动态不完全信息条件下主动防御策略选取提供参考和依据。

基于上述的方法，本发明还提供一种基于双向信号博弈的主动防御策略选取装置，如图10所示，包含：

双向攻防信号博弈模型构建模块31，用于构建双向攻防信号博弈模型分析双向攻防信号传递过程；

信号收发模块32，用于信号发送者释放信号，信号接收者接收信号；

双向信号博弈均衡求解模块33，用于求解双向信号博弈均衡，防御方依据自身角色和博弈均衡确定主动防御策略。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。

最后需要说明的是：以上所述仅为本发明的较佳实施例，仅用于说明本发明的技术方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims (4)

1.一种基于双向信号博弈的主动防御策略选取方法，其特征在于，包含以下步骤：

步骤1，构建双向攻防信号博弈模型分析双向攻防信号传递过程；具体包括：

网络攻防对抗具有动态性和持续性，攻击方和防御方序贯行动，一方在观测到另一方所释放的信号后，依据观测结果选择行动策略；双向攻防信号传递过程包括初始配置和动态对抗；初始配置：防御方为信号发送者，攻击方为信号接收者，防御方释放信号，攻击方观测到该信号，修正对防御方类型的先验判断，选择攻击策略；动态对抗：攻防双方在信号发送者和信号接收者角色之间不断转换，每阶段均由基本信号博弈组成，博弈终止条件是攻击方停止攻击行为，不再释放信号；

针对实际网络对抗过程攻防信号的双向传递影响机制，构建双向攻防信号博弈模型，双向攻防信号博弈模型通过十元组表示：

其中，N表示局中人空间，Θ表示类型空间，H表示信号空间，T表示博弈阶段数，σ表示欺骗信号衰减因子，ξ表示收益折现因子，S表示策略空间，P表示先验概率空间，

表示后验概率空间，U表示收益空间；

针对双向攻防信号博弈模型，量化博弈收益，具体是，利用折现因子ξ将未来收益进行折现，攻防双方收益目标函数可分别表示为：

其中，SDC表示系统损失代价，AC表示攻击代价，DAC表示欺骗攻击代价，DC表示防御代价，DDC表示欺骗防御代价，d_g表示防御策略，a_h表示攻击策略，t表示博弈阶段，SDC(d_g,a_h)表示当防御策略为d_g、攻击策略为a_h时系统遭受损失的值；

步骤2，信号发送者释放信号，信号接收者接收信号；

步骤3，求解双向信号博弈均衡，防御方依据自身角色和博弈均衡确定主动防御策略；具体包括：

信号接收者根据信号接收者收益计算最佳策略f^*(h)；

信号发送者根据信号发送者收益计算最佳策略h^*(Θ)；

信号接收者依据Bayes法则和欺骗信号计算信号发送者类型的

精炼选取符合条件的均衡解

其中，f^*(h)表示信号接收者针对信号发送者策略h^*(Θ)的最优策略，h^*(Θ)表示信号发送者针对信号接收者策略f^*(h)的最优策略，

表示信号接收者通过Bayes法则计算得到的信号发送者类型的后验概率；

根据博弈均衡EQ_t确定主动防御策略；

判断博弈阶段t是否到达阶段博弈总数T，若否，则进行下一阶段博弈均衡求解，若是，则博弈终止。

2.根据权利要求1所述的基于双向信号博弈的主动防御策略选取方法，其特征在于，所述基本信号博弈过程是，信号发送者释放信号，信号接收者观测到该信号后，使用Bayes法则，由先验概率得到后验概率，然后选择行动策略。

3.根据权利要求1所述的基于双向信号博弈的主动防御策略选取方法，其特征在于，所述欺骗信号是与行为者真实类型不相符的信号，行为者为掩盖真实类型，通过发送与其不相符的信号，诱使信号接收者对先验概率做出错误修正，从而陷入被动状态。

4.一种基于双向信号博弈的主动防御策略选取装置，其特征在于，包含：

双向攻防信号博弈模型构建模块，用于构建双向攻防信号博弈模型分析双向攻防信号传递过程；具体包括：

网络攻防对抗具有动态性和持续性，攻击方和防御方序贯行动，一方在观测到另一方所释放的信号后，依据观测结果选择行动策略；双向攻防信号传递过程包括初始配置和动态对抗；初始配置：防御方为信号发送者，攻击方为信号接收者，防御方释放信号，攻击方观测到该信号，修正对防御方类型的先验判断，选择攻击策略；动态对抗：攻防双方在信号发送者和信号接收者角色之间不断转换，每阶段均由基本信号博弈组成，博弈终止条件是攻击方停止攻击行为，不再释放信号；

针对实际网络对抗过程攻防信号的双向传递影响机制，构建双向攻防信号博弈模型，双向攻防信号博弈模型通过十元组表示：

其中，N表示局中人空间，Θ表示类型空间，H表示信号空间，T表示博弈阶段数，σ表示欺骗信号衰减因子，ξ表示收益折现因子，S表示策略空间，P表示先验概率空间，

表示后验概率空间，U表示收益空间；

针对双向攻防信号博弈模型，量化博弈收益，具体是，利用折现因子ξ将未来收益进行折现，攻防双方收益目标函数可分别表示为：

其中，SDC表示系统损失代价，AC表示攻击代价，DAC表示欺骗攻击代价，DC表示防御代价，DDC表示欺骗防御代价，d_g表示防御策略，a_h表示攻击策略，t表示博弈阶段，SDC(d_g,a_h)表示当防御策略为d_g、攻击策略为a_h时系统遭受损失的值；

信号收发模块，用于信号发送者释放信号，信号接收者接收信号；

双向信号博弈均衡求解模块，用于求解双向信号博弈均衡，防御方依据自身角色和博弈均衡确定主动防御策略，具体包括：

信号接收者根据信号接收者收益计算最佳策略f^*(h)；

信号发送者根据信号发送者收益计算最佳策略h^*(Θ)；

信号接收者依据Bayes法则和欺骗信号计算信号发送者类型的

精炼选取符合条件的均衡解

其中，f^*(h)表示信号接收者针对信号发送者策略h^*(Θ)的最优策略，h^*(Θ)表示信号发送者针对信号接收者策略f^*(h)的最优策略，

表示信号接收者通过Bayes法则计算得到的信号发送者类型的后验概率；

根据博弈均衡EQ_t确定主动防御策略；

判断博弈阶段t是否到达阶段博弈总数T，若否，则进行下一阶段博弈均衡求解，若是，则博弈终止。

Images