CN111464501A

CN111464501A - 一种面向数据服务的自适应入侵响应博弈方法及其系统

Info

Publication number: CN111464501A
Application number: CN202010156384.1A
Authority: CN
Inventors: 邓松; 祝展望; 张建堂; 岳东; 袁新雅; 陈福林; 蔡清媛; 董霞
Original assignee: Nanjing University of Posts and Telecommunications
Current assignee: Nanjing University of Posts and Telecommunications
Priority date: 2020-03-09
Filing date: 2020-03-09
Publication date: 2020-07-28
Also published as: WO2021180017A1

Abstract

本发明公开了一种面向数据服务的自适应入侵响应博弈方法及其系统，主要用于解决针对数据服务的网络攻击自适应响应问题，通过使用本发明中提出的方法搭建检测系统和用户的博弈模型判断是否存在纯策略纳什均衡，不存在则设立检测系统的混合策略，然后建立两者之间的支付函数求解出最优化一阶条件，从而导出了博弈双方最佳响应的纳什均衡值，得出最优响应策略进行响应。

Description

一种面向数据服务的自适应入侵响应博弈方法及其系统

技术领域

本发明是面向数据服务的自适应入侵响应博弈方法及其系统，属于网络安全领域。

背景技术

能源互联网是综合运用先进的电力电子技术、信息技术和智能管理技术，将大量由分布式能量采集装置、分布式能量储存装置和各种类型负载构成的新型电力网络节点互联起来，以实现能量双向流动的能量对等交换与共享网络。能源互联网是兼容传统电网的，可以充分、广泛和有效地利用分布式可再生能源的、满足用户多样化电力需求的一种新型能源体系结构。随着计算机网络的不断普及和发展，针对能源互联网入侵日益猖獗，作为一种对抗入侵的有效方法――入侵响应对保护系统安全性显得越来越重要。目前的入侵响应大都只是在入侵检测系统中实现，响应方式多为手动响应，因而响应能力受到一定限制。为了能够快速及时的响应各种入侵，人们研究了多种自动响应技术来响应入侵。自适应入侵响应就是系统在受到攻击时，可以有效评估因攻击对诸如电网的能源互联网数据服务所带来的潜在影响，然后根据损失评估和响应成本来调整响应策略。在现代入侵响应的方法中，面向数据服务的自适应入侵响应博弈方法成为了另一种针对能源互联网数据服务的网络攻击的检测方法。入侵响应主要分为主动响应和被动响应两种类型，常用的主动响应的技术有撤销TCP连接、断开网络连接、屏蔽内部异常的主机等方法。被动响应最常见的有警报和通知、隔离不信任连接技术。近年来信息和网络技术高速发展的同时，由于政治、经济、军事等方面利益的驱动，网络入侵的风险也相应增多，入侵事件已呈较快增长趋势，这就使得在能源互联网背景下研究入侵响应的方法变得十分重要。

面向数据服务的自适应入侵响应就是系统在受到攻击时，可以有效评估因攻击对能源互联网数据服务所带来的潜在影响，然后根据损失评估和响应成本来调整响应策略。总体来说，传统的入侵检测技术是一种被动防御技术,不能对能源互联网中的活动进行有效监控，不具备主动防御能力，缺乏对入侵的自适应响应能力，已不能防范日益严重的网络安全威胁。相对于传统的入侵响应技术，目前有一些新理论、新方法，基于大规模网络的自适应入侵响应研究、基于成本分析的自适应入侵响应研究等，响应系统在响应时所采取的活动，在抵御系统免遭入侵者破坏的同时，对于系统的合法的用户的活动也可能带来负面影响，所导致的损失可能比真实攻击所造成的损失更大。针对这一问题，提出首先就供给对系统带来的潜在威胁以及系统进行响应的成本进行预估，然后根据损失评估和响应成本分析调整响应策略，从而达到自适应入侵响应的目的。

面向数据服务的自适应入侵响应博弈方法主要需考虑三个方面的问题：(1)如何构建用户和检测系统的博弈模型。只有先构建出博弈模型，才能判断出两者之间是否存在纯策略纳什均衡，若不存在则求解混合策略的纳什均衡。(2)利用什么方法求解最佳响应的纳什均衡点，并用求解出的纳什均衡调整响应策略，减少人工干预，达到快速响应。(3)根据纳什均衡最优策略系统该如何进行响应使得攻击对能源互联网中数据服务的影响达到最低。

发明内容

本发明的目的就是提供一种面向数据服务的自适应入侵响应博弈方法及其系统，来解决针对数据服务的网络攻击的自适应响应问题，当系统在受到针对数据服务的网络攻击时可以采取损失最小的响应策略。

技术方案：一种面向数据服务的自适应入侵响应博弈方法，包括以下步骤：

步骤1：发现入侵攻击行为；

步骤2：根据IDS响应和用户入侵造成的影响定义变量，构建博弈模型；所述变量包括：用户因入侵成功而获得的正效用、执行一次入侵响应所需成本、惩罚给入侵者带来的负效用、检测成功后对数据的恢复、成功入侵对数据带来的破坏成本和数据入侵检测系统成功响应的概率；

步骤3：基于博弈模型和期望效用函数理论建立检测系统和用户的支付函数g_system和g_user：

g_system＝θ{[H_j+p(-K_d+N)γ+N(1-γ)]} (1)

g_user＝γ{[pR_i+(1-p)(-B_e)]θ+(-B_e)(1-θ)} (2)

式中，B_e表示用户因入侵成功而获得的正效用，N表示执行一次入侵响应所需成本，R_i表示惩罚给入侵者带来的负效用，K_d表示检测成功后对数据的恢复，H_j表示成功入侵对数据带来的破坏成本，p表示数据入侵检测系统成功响应的概率，θ表示检测系统选择报警的概率，1-θ表示检测系统选择不报警的概率，γ表示用户实施入侵的概率，1-γ表示用户执行正常活动的概率；其中，B_e、N、K_d、R_i＞0，B_e＜R_i，N＜K_d，K_d＜H_j；0＜p≤1；

步骤4：对检测系统的支付函数g_system关于θ求偏导并令等式为零，对用户的支付函数g_user关于γ求偏导并令等式为零，求得：

步骤5：判断用户实施入侵的概率γ是否小于阈值γ^*，若小于，则检测系统的最优选择为不报警，否则检测系统的最优选择为报警；当检测系统选择报警时，对数据服务攻击进行响应，若检测系统没有报警，则继续执行正常操作；

其中，γ^*的值等于

进一步的，在步骤5中，对数据服务攻击进行响应，具体包括以下步骤：

S1：采集数据服务中的数据，构成数据集D，将数据集D中的所有数据对象标记为未读，通过定义ε-邻域从所有数据对象中筛选得到核心对象；

S2：从数据集D中取子集D_i，将子集D_i中的所有数据对象标记为已读，判断子集D_i中的数据对象m是否为核心对象，若是，则找出数据对象m的所有密度可达数据对象，将所有密度可达数据对象标记为已读；否则将数据对象m标记为噪声数据；

S3：在满足

的条件下，重复S2，直至所有数据对象均被标记为已读，执行S4；

S4：将每个核心对象的所有密度可达数据对象归为一类，形成一数据对象集合，当所有核心对象遍历完后，没有归为一类的剩下数据为异常数据；

S5：取所有核心对象对应的所有密度可达数据的均值替代异常数据，执行正常操作，结束攻击响应。

进一步的，在S1中，采用闵科夫斯基距离公式定义ε-邻域：

N_ε(x_i)＝(x_i∈D|dist(x_i，x_j)≤ε) (8)

其中N_ε(x_i)表示数据对象x_i的ε-邻域内所有数据对象的集合，ε表示半径参数；

当数据对象x_i的ε-邻域中数据对象个数大于ρ时，则称数据对象x_i为核心对象，其中，ρ为最小对象参数。

本发明还公开了一种面向数据服务的自适应入侵响应博弈系统，包括：

一博弈模型生成器，用于当发现入侵攻击行为时，根据IDS响应和用户入侵造成的影响定义变量，构建博弈模型；

一混合策略生成器，基于博弈模型和期望效用函数理论建立检测系统和用户的支付函数，基于支付函数求解得到博弈模型的混合策略纳什均衡点，根据混合策略纳什均衡点得到最优混合策略；

一报警器，根据最优混合策略作出响应。

进一步的，还包括：

一数据筛选器，报警后，对数据服务中采集到的数据进行筛选，得到核心对象；

一目标识别器，将所有的核心对象和其对应的密度可达数据对象进行归类，剩余的未得到归类的数据对象为异常数据；

一数据恢复器，将异常数据进行剔除，用正常的不同数据类型的数据集合的均值替代异常数据执行正常操作。

有益效果：本发明方法提出了一种面向数据服务的自适应入侵响应博弈方法及其系统，主要用于解决针对数据服务的网络攻击自适应响应问题，通过使用本发明所提出的方法可以对当前电网环境进行安全检测，引用博弈论的思想对检测系统和攻击者的行为进行量化，使系统得出最佳响应，有效的利用了计算资源，再进一步通过DBSCAN算法对被攻击的数据进行处理，从而很好地保证电网安全可靠的运行；

本发明的混合策略生成器是根据博弈双方的博弈模型制定博弈双方的混合策略，根据检测系统和用户之间的收益关系可以得到期望效益函数，再通过求解双方的支付函数，进一步得出混合策略的纳什均衡，为系统的后续响应提供支持；

本发明的数据筛选器主要是利用DBSCAN算法对数据聚类，将初始化后的数据全部标记未读，定义ε-邻域，筛选出核心对象，从数据集D中取包含任意个数据对象p的数据集D_i，并将D_i标记为已读，通过ε和ρ参数对数据p进行判断，从而筛选出不同类型的数据；

本发明的目标识别器在满足相邻两个数据集交集为空集的条件下，当所有数据都标记为已读时，将其中一个核心对象作为种子，将该对象的所有密度可达点都归为一类，形成一个较大范围的聚类簇。反复循环，最终实现异常数据的识别。

附图说明

图1为本发明的体系结构图；

图2是本发明的流程示意图。

具体实施方式

现结合附图和实施例进一步阐述本发明的技术方案。

有源配电网中的大数据种类多、维度多、数据量大，对企业和用户都有巨大的价值，在进行数据服务时假设电网遭受了攻击，本发明通过引用博弈论中的博弈思想对系统在受到攻击时存在的潜在威胁以及系统进行响应的成本进行评估，然后在数据入侵检测系统与能源互联网各环节的终端用户之间建立一个关于利益冲突的数学模型，及时调整响应策略，从而达到自适应入侵响应的目的，再结合DBSCAN算法筛选出遭受到攻击的数据。

如图2所述，本发明的一种面向数据服务的自适应入侵响应博弈方法，包括以下步骤：

步骤1：发现入侵攻击行为；

步骤2：基于IDS响应和用户入侵造成的影响，对双方的收益与损失进行量化分析，定义以下变量：B_e表示用户因入侵成功而获得的正效用，N表示执行一次入侵响应所需成本，R_i表示惩罚给入侵者带来的负效用，K_d表示检测成功后对数据的恢复，H_j表示成功入侵对数据带来的破坏成本，p表示数据入侵检测系统成功响应的概率，0＜p≤1；以上各参数满足：B_e、N、K_d、R_i＞0且B_e＜R_i，N＜K_d，K_d＜H_j；基于以上限制条件搭建出博弈双方的博弈模型，如表1所示：

表1入侵检测与响应的博弈模型

步骤3：假定检测系统的混合策略为(θ，1-θ)，即系统以θ的概率选择报警，以(1-θ)的概率选择不报警；用户的混合策略为(γ，1-γ)，即以γ的概率实施入侵，以(1-γ)的概率执行正常活动，利用期望效用函数理论求解用户和检测系统的支付函数g_system和g_user；

g_system＝θ{[H_j+p(-K_d+N)γ+N(1-γ)]} (1)

g_user＝γ{[pR_i+(1-p)(-B_e)]θ+(-B_e)(1-θ)} (2)

对g_system对θ求偏导并令等式为零，和对g_user对γ求偏导并令等式为零，得到：

可求得：

所以混合策略的纳什均衡为：

当p趋近于0，检测系统成功响应的概率几乎为0时，γ^*的值趋近于1，即用户将几乎总是选择入侵。由于N＜K_D，因此随着p的增大，γ^*的值将减小；当p增大到1时，γ^*的值等于

可以得到最佳响应策略；

当用户实施入侵的概率γ小于γ^*时，检测系统的最优选择是不报警；当用户实施入侵的概率γ大于等于γ^*时，检测系统的最优选择是报警。

步骤4：判断检测系统是否报警，若报警则进行步骤5，否则系统继续检测，当发现入侵攻击时进行步骤1；

步骤5：将数据服务中采集到的数据集D初始化并且将所有数据对象标记为未读，通过闵科夫斯基距离公式定义ε-邻域：

N_ε(x_i)＝(x_i∈D|dist(x_i，x_j)≤ε) (8)

其中，N_ε(x_i)表示ε-邻域内所有数据对象的集合，ε表示半径参数，定义ρ为最小对象参数。当数据对象x_i的ε-邻域中数据对象个数大于ρ时称数据对象x_i为核心对象。

步骤6：从数据集D中取包含任意个数据对象m的数据集D_i，其中D_i∈D，i＝1，2，3...，并将D_i标记为已读，通过半径参数ε和最小对象参数ρ对数据对象m进行判断，如果数据对象m为核心对象，找出数据对象m的所有密度可达数据对象，并标记为已读，若数据对象m不是核心对象，且没有哪个数据对象对数据对象m密度可达，将数据对象m标记为噪声数据；

步骤7：在满足

的条件下，重复步骤6，直至所有数据对象都标记为已读；

步骤8：将其中一个核心对象作为种子，将该核心对象的所有密度可达数据对象都归为一类，形成一个较大范围的数据对象集合，也称为聚类簇；

步骤9：循环步骤8直至所有核心对象都遍历完，剩下没有归为一类的数据为异常数据。

步骤10：将所有核心对象的所有密度可达数据取均值用来替代异常数据执行正常操作。

步骤11：循环结束。

针对上述一种面向数据服务的自适应入侵响应博弈方法的系统，其体系结构为：

如图1所示，其主要包括四个部分：博弈模型生成器、混合策略生成器、数据筛选器、目标识别器和数据恢复器，博弈模型生成器是在系统检测到攻击时对双方收益情况进行分析，得到系统和用户双方的博弈模型；混合策略生成器是基于博弈模型得出系统最优决策；数据筛选器是在采集到的数据中筛选出核心对象；目标识别器是把所有的核心对象归类，剩余的未归类的数据为异常数据，数据恢复器是将正常的不同数据类型的数据集合取均值用来替代异常数据执行正常操作。具体介绍如下：

博弈模型生成器主要是在数据检测系统检测到攻击时，对双方的收益与损失进行量化分析，基于IDS响应和用户入侵造成的影响定义变量：用户因入侵成功而获得的正效用用B_e表示；执行一次入侵响应所需成本用N表示；R_i表示惩罚给入侵者带来的负效用；K_D表示检测成功后对数据的恢复；H_j表示成功入侵对数据带来的破坏成本；p表示数据入侵检测系统成功响应的概率(0＜p≤1)。以上各参数满足：B_e，N，R_i，K_D＞0且B_e＜R_i，N＜K_D，K_D＜H_j。基于以上用户与检测系统之间的限制条件最终搭建出博弈双方的博弈模型，可参见表1。

混合策略生成器主要是基于博弈双方的博弈模型制定检测系统和用户的混合策略。利用期望效用函数求解双方的支付矩阵，得出混合策略的纳什均衡点，进而可以知道系统的最优策略，为系统的后续响应提供支持。数据筛选器主要是将初始化后的数据全部标记未读，定义ε-邻域，当对象x_i的ε-邻域中数据对象个数大于最小对象参数ρ，即|N_ε(x_i)|＞ρ时，则称x_i为核心对象，在一个数据集中，并不是所有数据对象都是核心对象，还有边缘对象和噪声对象。边缘对象表示数据对象不是核心对象，但是存在于某个核心对象的ε-邻域中；噪声对象表示该数据对象不是核心对象，也不存在于任何核心对象的ε-邻域中；

从数据集D中取包含任意个数据对象m的数据集D_i，其中D_i∈D，i＝1，2，3...，并将D_i标记为已读。通过ε和ρ参数对数据m进行判断，如果m为核心对象，找出m的所有密度可达数据对象，并标记为已读。若m不是核心对象，且没有哪个对象对m密度可达，将m标记为噪声数据，从而筛选出不同类型的数据。

目标识别器用于在满足

的条件下，当所有数据都标记为已读时，将其中一个核心对象作为种子，将该对象的所有密度可达点都归为一类，形成一个较大范围的数据对象集合，也称为聚类簇。反复循环直至所有核心对象都遍历完，剩下没有归为一类的数据便为异常数据。

数据恢复器用于将识别出来的这些异常数据剔除，用正常的不同数据类型的数据集合取算数均值来替代异常数据执行正常操作。

Claims

1.一种面向数据服务的自适应入侵响应博弈方法，其特征在于：包括以下步骤：

步骤1：发现入侵攻击行为；

g_system＝θ{[H_j+p(-K_d+N)γ+N(1-γ)]} (1)

g_user＝γ{[pR_i+(1-p)(-B_e)]θ+(-B_e)(1-θ)} (2)

式中，B_e表示用户因入侵成功而获得的正效用，N表示执行一次入侵响应所需成本，R_i表示惩罚给入侵者带来的负效用，K_d表示检测成功后对数据的恢复，H_j表示成功入侵对数据带来的破坏成本，p表示数据入侵检测系统成功响应的概率，θ表示检测系统选择报警的概率，1-θ表示检测系统选择不报警的概率，γ表示用户实施入侵的概率，1-γ表示用户执行正常活动的概率；其中，B_e、N、K_d、R_i＞0，B_e＜R_i，N＜K_d，K_d＜H_j；0<p≤1；

其中，γ^*的值等于

2.根据权利要求1所述的一种面向数据服务的自适应入侵响应博弈方法，其特征在于：在步骤5中，对数据服务攻击进行响应，具体包括以下步骤：

S3：在满足

3.根据权利要求2所述的一种面向数据服务的自适应入侵响应博弈方法，其特征在于：在S1中，采用闵科夫斯基距离公式定义ε-邻域：

N_ε(x_i)＝(x_i∈D|dist(x_i，x_j)≤ε) (8)

4.基于权利要求1至3任意一项所述的一种面向数据服务的自适应入侵响应博弈方法的入侵响应博弈系统，其特征在于：包括：

一报警器，根据最优混合策略作出响应。

5.根据权利要求4所述的入侵响应博弈系统，其特征在于：还包括：

一数据恢复器，将异常数据进行剔除，用所有的核心对象对应的所有密度可达数据的均值替代异常数据执行正常操作。