CN111935161A - 一种基于博弈论的网络攻防分析方法及系统 - Google Patents

一种基于博弈论的网络攻防分析方法及系统 Download PDF

Info

Publication number
CN111935161A
CN111935161A CN202010817932.0A CN202010817932A CN111935161A CN 111935161 A CN111935161 A CN 111935161A CN 202010817932 A CN202010817932 A CN 202010817932A CN 111935161 A CN111935161 A CN 111935161A
Authority
CN
China
Prior art keywords
network
situation
attack
defense
index
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010817932.0A
Other languages
English (en)
Inventor
梁花
杨云
徐鑫
朱珠
李洋
韩世海
晏尧
雷娟
徐镭洋
严华
李玮
张森
向菲
万凌云
戴豪礽
张伟
景钰文
於舰
侯兴哲
陈涛
宫林
周全
李松浓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of State Grid Chongqing Electric Power Co Ltd
State Grid Corp of China SGCC
Original Assignee
Electric Power Research Institute of State Grid Chongqing Electric Power Co Ltd
State Grid Corp of China SGCC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electric Power Research Institute of State Grid Chongqing Electric Power Co Ltd, State Grid Corp of China SGCC filed Critical Electric Power Research Institute of State Grid Chongqing Electric Power Co Ltd
Priority to CN202010817932.0A priority Critical patent/CN111935161A/zh
Publication of CN111935161A publication Critical patent/CN111935161A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于计算机互联网技术领域,具体涉及一种基于博弈论的网络攻防分析方法及系统。所述方法包括:获取网络环境中的海量数据信息,并提取网络态势指标;通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重;基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果;通过可视化的方式将评估结果输出,以供工作人员做决策参考。本发明通过基于博弈论的攻防动态感知模型对网络安全态势进行实时分析,利用纳什平衡度使攻防双方收益最大化,从而对网络安全态势做出实时准确的评估,为工作人员的网络安全防御决策提供更好的参考。

Description

一种基于博弈论的网络攻防分析方法及系统
技术领域
本发明属于计算机互联网技术领域,具体涉及一种基于博弈论的网络攻防分析方法及系统。
背景技术
现在的网络环境,网络入侵行为更加随机化、隐蔽化、复杂化和间接化,增加了对网络安全性的要求。面对网络威胁的不断进化,安全研究人员对现有的攻击威胁和网络脆弱性等进行了深入研究,研究成果例如防火墙、入侵检测技术和安全评估技术等。但这些技术都只能处理单一的网络安全问题,具有局限性和针对性,无法为管理人员提供即全面又有效的网络安全情况,影响了网络安全的防御效率。如果仅仅将安全产品收集到的大量数据聚集,易造成存储空间负载太大,且无法得到有价值的信息。面对网络的多样性和异构性,近年来的网络安全研究重点转移到如何将多种数据融合并更有效地利用数据全面准确的实时评估网络安全状况。
按照评估依据的理论技术,现有的网络安全评估方法可以分为:知识理论方法、人工智能方法和基于数学模型的方法。上述常规研究方法大多仅关注攻击或防守的一方,忽略攻防双方策略相互依存的情况。近年来一些研究小组开始采用博弈论的方法去解决此问题,但现有解决网络安全问题的博弈论模型多为静态、较为简单、难以在现实环境中实现实时准确的评估。
发明内容
针对现有技术中的缺陷,本发明提供了一种基于博弈论的网络攻防分析方法及系统,通过基于博弈论的攻防动态感知模型对网络安全态势进行实时分析,利用纳什平衡度使攻防双方收益最大化,从而对网络安全态势做出实时准确的评估,为工作人员的网络安全防御决策提供更好的参考。
第一方面,本发明提供了一种基于博弈论的网络攻防分析方法,包括以下步骤:
获取网络环境中的海量数据信息,从海量数据信息中提取出影响网络安全性的网络态势指标;
通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重;
基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果;
通过可视化的方式将评估结果输出,以供工作人员做决策参考。
优选地,所述获取网络环境中的海量数据信息,具体为:
通过各种监控软件、传感器和设备获取网络环境中的海量数据信息。
优选地,所述网络态势指标包括主机层态势指标、网络层态势指标和服务层态势指标。
优选地,所述主机层态势指标包括CPU占用率、内存利用率、进程状态、磁盘利用率;
所述网络层态势指标包括传输时延、丢包率、传输率和带宽利用率;
所述服务层态势指标包括响应时间、半连接数、攻击频率、攻击类型、软件故障频率和应用故障数。
优选地,所述通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重,具体为:
根据主机层态势指标、网络层态势指标和服务层态势指标,构建每一层的网络安全态势指标体系;
根据每一层的网络安全态势指标体系,构建每一层的优先权关系矩阵;
根据每一层的优先权关系矩阵计算每一层的指标权重。
优选地,所述构建每一层的优先权关系矩阵,具体为:
构建优先级关系矩阵F=(fij)n*n;i,j=1,2,……,n;
Figure BDA0002633411620000031
其中,c(i)和c(j)表示fij计算中的相关指标重要程度。
优选地,所述根据每一层的优先权关系矩阵计算每一层的指标权重,具体为:
采用模糊层次化分析法根据优先级关系矩阵F第i行的数据对fij求和得到qi
Figure BDA0002633411620000032
根据优先级关系矩阵F第j列的数据对fij求和得到qj
Figure BDA0002633411620000033
构建模糊矩阵Q,Q=(qij)n*n
Figure BDA0002633411620000034
计算第i个指标的重要程度hi
Figure BDA0002633411620000035
计算归一化后的指标权重wi
Figure BDA0002633411620000036
优选地,所述基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果,具体为:
基于指数权重,通过攻击方收益函数和防御方收益函数分别计算攻击方收益和防御方收益;
根据攻击方收益计算攻击方期望收益,根据防御方收益计算防御方期望收益,采用纳什平衡度原则最大化双方的期望收益,并根据双方的收益得到态势评估后的双方收益对比图。
优选地,所述攻击方收益函数U1(S1,S2)如下所示:
Figure BDA0002633411620000037
Figure BDA0002633411620000038
Figure BDA0002633411620000039
其中,n1表示攻击方的攻击策略总数;
weii表示入侵策略的权重;
AVN表示网络的实用性;
perN表示网络的性能;
ASi表示攻击的严重程度;
AVi表示实验网络中第i种计算机资源的可访问性;
ωi表示第i种网络态势指标的指标权重;
peri表示攻击方入侵后第i种网络态势指标的变化;
所述防御方的收益函数U2(S1,S2)如下所示:
Figure BDA0002633411620000041
所述攻击方期望收益π1(p1,p2)如下所示:
Figure BDA0002633411620000042
所述防御方期望收益π2(p1,p2)如下所示:
Figure BDA0002633411620000043
其中,P1i,P2j,P2i,P1j表示参考系数。
第二方面,本发明提供了一种基于博弈论的网络攻防分析系统,适用于实施例一所述的基于博弈论的网络攻防分析方法,包括:
数据获取单元,用于获取网络环境中的海量数据信息,从海量数据信息中提取出影响网络安全性的网络态势指标;
权重计算单元,用于通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重;
博弈分析单元,用于基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果;
结果输出单元,用于通过可视化的方式将评估结果输出,以供工作人员做决策参考。
本发明的技术方案,通过基于博弈论的攻防动态感知模型对网络安全态势进行实时分析,利用纳什平衡度使攻防双方收益最大化,从而对网络安全态势做出实时准确的评估,为工作人员的网络安全防御决策提供更好的参考。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。
图1为本实施例中基于博弈论的网络攻防分析方法的流程图;
图2为本实施例中根据网络安全态势指标体系进行量化分析的流程图;
图3为本实施例中根据攻防动态感知模型进行态势分析的流程图;
图4为本实施例中基于博弈论的网络攻防分析系统的结构示意图;
图5为本实施例中攻防双方的收益对比图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
实施例一:
本实施例提供了一种基于博弈论的网络攻防分析方法,如图1所示,包括以下步骤:
S1,获取网络环境中的海量数据信息,从海量数据信息中提取出影响网络安全性的网络态势指标;
S2,通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重;
S3,基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果;
S4,通过可视化的方式将评估结果输出,以供工作人员做决策参考。
本实施例中,在对网络环境进行态势感知和评估前,构建网络态势感知框架,网络态势感知框架由感知层、主机层、网络层、服务层和输出层这五部分组成。感知层用于获取主机层、网络层和服务层的海量数据信息,在对海量数据信息进行分析评估后,输出层将评估结果通过可视化的方式输出。
本实施例的感知层包括了监控软件、传感器和设备等,通过各种监控软件、传感器和设备获取网络环境中的海量数据信息。然后通过指标提取组件从海量数据信息中提取出对网络安全有影响的网络态势指标。
本实施例中的主机层、网络层和服务层,从不同维度反映了整个网络的不同安全情况。因此,网络态势指标包括主机层态势指标、网络层态势指标和服务层态势指标。所述主机层选取CPU占用率、内存利用率、进程状态、磁盘利用率等作为主机层态势指标;所述网络层选取传输时延、丢包率、传输率、带宽利用率等作为网络层态势指标;所述服务层选取响应时间、半连接数、攻击频率、攻击类型、软件故障频率和应用故障数等作为服务层态势指标。
本实施例中,在得到各层的态势指标后,进行指标分析。步骤S2中,所述通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重,如图2所示,具体包括以下步骤:
S21,根据主机层态势指标、网络层态势指标和服务层态势指标,构建每一层的网络安全态势指标体系;
S22,根据每一层的网络安全态势指标体系,构建每一层的优先权关系矩阵;
S23,根据每一层的优先权关系矩阵计算每一层的指标权重。
本实施例中,为了获取相关的决策数据,采用改进的模糊层次分析法,将优先级关系矩阵转换为满足一致性条件的模糊矩阵,无需进行进一步的一致性测试,减少迭代次数以提高收敛速度。构建每一层的网络安全态势指标体系,即按层将态势指标划分为n个要素集I1,I2,……,In,例如将主机层、网络层和服务层将态势指标划分为三个要素集I1、I2、I3
构建优先级关系矩阵F=(fij)n*n,(i,j=1,2,……,n),n为正整数,fij定义如公式(1):
Figure BDA0002633411620000081
其中,c(i)和c(j)表示fij计算中的相关指标重要程度;
采用模糊层次化分析法根据优先级关系矩阵F第i行的数据对fij求和得到qi
Figure BDA0002633411620000082
根据优先级关系矩阵F第j列的数据对fij求和得到qj
Figure BDA0002633411620000083
再利用公式(2)求出qij,建立模糊矩阵Q=(qij)n*n
Figure BDA0002633411620000084
在得到模糊矩阵后,进行指标权重的计算。利用归一化行和的方法得到每一行的权重向量,如公式(3),其中hi表示当前层第i个指标的重要程度。
Figure BDA0002633411620000085
最后,采用公式(4)计算出当前层每一个指标归一化后的指标权重;
Figure BDA0002633411620000086
例如,I1,I2,I3分别表示每层的量化指标的值,Iij表示第i层第j个指标,分别构造服务层、主机层、网络层的优先级相关矩阵。本文以网络层为例,所述网络层态势指标包括传输时延、丢包率、传输率和带宽利用率,网络层态势指标建立I3的优先级相关矩阵,如表1所示。
表1
Figure BDA0002633411620000087
然后,计算I3层的权重
Figure BDA00026334116200000811
,由公式(2)-(4)计算得出
Figure BDA0002633411620000088
,同理,可以得到第I2层的权重
Figure BDA0002633411620000089
,第I1层的权重
Figure BDA00026334116200000810
在计算出指标权重后进行态势评估。步骤S3中,所述基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果,如图3所示,具体包括以下步骤:
S31,基于指数权重,通过攻击方收益函数和防御方收益函数分别计算攻击方收益和防御方收益;
S32,根据攻击方收益计算攻击方期望收益,根据防御方收益计算防御方期望收益,采用纳什平衡度原则最大化双方的期望收益,并根据双方的收益得到态势评估后的双方收益对比图。
本实施例中,在网络安全态势感知的研究中,攻击方通常针对网络系统中某层某节点进行潜在的攻击和入侵,防御方除了利用安全软件或是采用其他防御手段防御攻击,还需要采取其他安全机制来确保网络系统的正常运行,以预防网络受到攻击而被破坏。下面将对攻防双方的策略集合、收益函数和纳什均衡度进行描述。
1)攻防参与者的策略集合。攻击策略集合表示为S1,其中攻击分为5个大类,
Figure BDA0002633411620000091
包含了root、user、data、DOS和其他类别的攻击,防御策略表示为S2,分为两类,分别是防御措施d和空策略φ,即S2=(d,φ)。
2)收益函数。收益函数表示为U,U1为攻击方收益,U2为防御方收益,在此模型中,假设一次只采取一个攻防策略。攻击方的收益函数如公式(5)。
Figure BDA0002633411620000092
Figure BDA0002633411620000093
Figure BDA0002633411620000094
其中,n1表示攻击方的攻击策略总数;
weii表示入侵策略的权重,根据参考资料得到;
AVN表示网络的实用性,网络的实用性是通过直接影响网络性能的计算机资源来确定的,如CPU利用率和内存利用率等,网络实用性可以利用公式(6)计算得出;
perN表示网络的性能,网络性能perN由响应时间、传输时延等因素组成,网络性能用公式(7)计算得出;
ASi表示攻击的严重程度,根据参考资料得到;
AVi表示实验网络中第i种计算机资源的可访问性,根据参考资料得到;
ωi表示第i种网络态势指标的指标权重,根据前文计算得到;
peri表示攻击方入侵后第i种网络态势指标的变化,根据扫描得到。
本实施例中,防御方的收益函数如公式(8)。
Figure BDA0002633411620000101
其中,n2为防御方的防御策略总数量;
ki是防御方的错误检测率。
3)纳什平衡度,又称为非合作博弈均衡,指一方不论另一方的选择而一定会选择某个策略,该策略称为支配性策略,当攻防双方的策略组合分别构成各自的支配性策略,那么该组合就被定义为纳什平衡度。本文将攻防双方的混合策略纳什平衡定义为攻防双方的最佳混合策略,该策略会最大化双方期望收益值。采用最大支付方式,计算攻击方期望收益和防御方期望收益。
Figure BDA0002633411620000102
Figure BDA0002633411620000103
其中,π1(p1,p2)表示攻击方期望收益,π2(p1,p2)表示防御方期望收益;P1i,P2j,P2i,P1j表示参考系数。
本实施例中,在通过公式(1)-(4)计算出网络态势指标的指标权重后,通过公式(6)-(9)计算攻防双方的收益,并生成双方的时间进化折线图,得到攻防双方的收益对比图(攻防双方在采样点时刻的安全态势的演化曲线),如图5所示。通过攻防双方的收益对比图,工作人员能更好的了解网络环境的当前安全态势。
由图5可知,在采样点3和采样点7,攻击方的收益下降到局部最劣,这是因为防御方已经采取了安全防御措施,并完成了对攻击的检测。在最末三个采样点,网络攻击方的收益稳定在0.5到0.55,防御方的收益下降并稳定在0.3到0.33,说明防御方在此刻采取的防御手段对攻击方的恶意入侵行为起了作用。本实施例的技术方案考虑了安全行为和网络系统配置,最终基于博弈论的攻防动态感知模型采用攻防双方的收益函数值来反映当前的网络安全状况。与现有模型相比,该模型使管理员更加直观、具体的感知网络系统的安全情况,以及时做出防御措施。
综上所述,本实施例的技术方案,通过基于博弈论的攻防动态感知模型对网络安全态势进行实时分析,利用纳什平衡度使攻防双方收益最大化,从而对网络安全态势做出实时准确的评估,为工作人员的网络安全防御策略提供更好的参考。
实施例二:
本实施例提供了一种基于博弈论的网络攻防分析系统100,适用于实施例一所述的基于博弈论的网络攻防分析方法,如图4所示,包括:
数据获取单元10,用于获取网络环境中的海量数据信息,从海量数据信息中提取出影响网络安全性的网络态势指标;
权重计算单元20,用于通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重;
博弈分析单元30,用于基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果;
结果输出单元40,用于通过可视化的方式将评估结果输出,以供工作人员做决策参考。
本实施例中,在对网络环境进行态势感知和评估前,构建网络态势感知框架,网络态势感知框架由感知层、主机层、网络层、服务层和输出层这五部分组成。感知层用于获取主机层、网络层和服务层的海量数据信息,在对海量数据信息进行分析评估后,输出层将评估结果通过可视化的方式输出。
本实施例的感知层包括了监控软件、传感器和设备等,通过各种监控软件、传感器和设备获取网络环境中的海量数据信息。然后通过指标提取组件从海量数据信息中提取出对网络安全有影响的网络态势指标。
本实施例中的主机层、网络层和服务层,从不同维度反映了整个网络的不同安全情况。因此,网络态势指标包括主机层态势指标、网络层态势指标和服务层态势指标。所述主机层选取CPU占用率、内存利用率、进程状态和磁盘利用率等作为主机层态势指标;所述网络层选取传输时延、丢包率、传输率和带宽利用率等作为网络层态势指标;所述服务层选取响应时间、半连接数、攻击频率、攻击类型、软件故障频率、应用故障数等作为服务层态势指标。
本实施例中,在得到各层的态势指标后,进行指标分析。其中,所述通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重,具体为:
根据主机层态势指标、网络层态势指标和服务层态势指标,构建每一层的网络安全态势指标体系;根据每一层的网络安全态势指标体系,构建每一层的优先权关系矩阵;根据每一层的优先权关系矩阵计算每一层的指标权重。
本实施例中,为了获取相关的决策数据,采用改进的模糊层次分析法,将优先级关系矩阵转换为满足一致性条件的模糊矩阵,无需进行进一步的一致性测试,减少迭代次数以提高收敛速度。构建每一层的网络安全态势指标体系,即按层将态势指标划分为n个要素集I1,I2,……,In,例如将主机层、网络层和服务层将态势指标划分为三个要素集I1、I2、I3
构建优先级关系矩阵F=(fij)n*n,(i,j=1,2,……,n),n为正整数,fij定义如公式(1):
Figure BDA0002633411620000131
其中,c(i)和c(j)表示fij计算中的相关指标重要程度;
采用模糊层次化分析法根据优先级关系矩阵F第i行的数据对fij求和得到qi
Figure BDA0002633411620000132
根据优先级关系矩阵F第j列的数据对fij求和得到qj
Figure BDA0002633411620000133
再利用公式(2)求出qij,建立模糊矩阵Q=(qij)n*n
Figure BDA0002633411620000134
在得到模糊矩阵后,进行指标权重的计算。利用归一化行和的方法得到每一行的权重向量,如公式(3),其中hi表示当前层第i个指标的重要程度。
Figure BDA0002633411620000135
最后,采用公式(4)计算出当前层每一个指标归一化后的指标权重;
Figure BDA0002633411620000136
例如,I1,I2,I3分别表示每层的量化指标的值,Iij表示第i层第j个指标,分别构造服务层、主机层、网络层的优先级相关矩阵。本文以网络层为例,所述网络层态势指标包括传输时延、丢包率、传输率和带宽利用率,网络层态势指标建立I3的优先级相关矩阵,如表1所示。
表1
Figure BDA0002633411620000137
然后,计算I3层的权重
Figure BDA0002633411620000138
,由公式(2)-(4)计算得出
Figure BDA0002633411620000139
,同理,可以得到第I2层的权重
Figure BDA00026334116200001310
,第I1层的权重
Figure BDA0002633411620000145
在计算出指标权重后进行态势评估。其中,所述基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果,具体为:
基于指数权重,通过攻击方收益函数和防御方收益函数分别计算攻击方收益和防御方收益;根据攻击方收益计算攻击方期望收益,根据防御方收益计算防御方期望收益,采用纳什平衡度原则最大化双方的期望收益,并根据双方的收益得到态势评估后的双方收益对比图。
本实施例中,在网络安全态势感知的研究中,攻击方通常针对网络系统中某层某节点进行潜在的攻击和入侵,防御方除了利用安全软件或是采用其他防御手段防御攻击,还需要采取其他安全机制来确保网络系统的正常运行,以预防网络受到攻击而被破坏。下面将对攻防双方的策略集合、收益函数和纳什均衡度进行描述。
1)攻防参与者的策略集合。攻击策略集合表示为S1,其中攻击分为5个大类,
Figure BDA0002633411620000141
包含了root、user、data、DOS和其他类别的攻击,防御策略表示为S2,分为两类,分别是防御措施d和空策略φ,即S2=(d,φ)。
2)收益函数。收益函数表示为U,U1为攻击方收益,U2为防御方收益,在此模型中,假设一次只采取一个攻防策略。攻击方的收益函数如公式(5)。
Figure BDA0002633411620000142
Figure BDA0002633411620000143
Figure BDA0002633411620000144
其中,n1表示攻击方的攻击策略总数;
weii表示入侵策略的权重,根据参考资料得到;
AVN表示网络的实用性,网络的实用性是通过直接影响网络性能的计算机资源来确定的,如CPU利用率和内存利用率等,网络实用性可以利用公式(6)计算得出;
perN表示网络的性能,网络性能perN由响应时间、传输时延等因素组成,网络性能用公式(7)计算得出;
ASi表示攻击的严重程度,根据参考资料得到;
AVi表示实验网络中第i种计算机资源的可访问性,根据参考资料得到;
ωi表示第i种网络态势指标的指标权重,根据前文计算得到;
peri表示攻击方入侵后第i种网络态势指标的变化,根据扫描得到。
本实施例中,防御方的收益函数如公式(8)。
Figure BDA0002633411620000151
其中,n2为防御方的防御策略总数量;
ki是防御方的错误检测率。
3)纳什平衡度,又称为非合作博弈均衡,指一方不论另一方的选择而一定会选择某个策略,该策略称为支配性策略,当攻防双方的策略组合分别构成各自的支配性策略,那么该组合就被定义为纳什平衡度。本文将攻防双方的混合策略纳什平衡定义为攻防双方的最佳混合策略,该策略会最大化双方期望收益值。采用最大支付方式,计算攻击方期望收益和防御方期望收益。
Figure BDA0002633411620000152
Figure BDA0002633411620000153
其中,π1(p1,p2)表示攻击方期望收益,π2(p1,p2)表示防御方期望收益;P1i,P2j,P2i,P1j表示参考系数。
本实施例中,在通过公式(1)-(4)计算出网络态势指标的指标权重后,通过公式(6)-(9)计算攻防双方的收益,并生成双方的时间进化折线图,得到攻防双方的收益对比图(攻防双方在采样点时刻的安全态势的演化曲线),如图5所示。通过攻防双方的收益对比图,工作人员能更好的了解网络环境的当前安全态势。
由图5可知,在采样点3和采样点7,攻击方的收益下降到局部最劣,这是因为防御方已经采取了安全防御措施,并完成了对攻击的检测。在最末三个采样点,网络攻击方的收益稳定在0.5到0.55,防御方的收益下降并稳定在0.3到0.33,说明防御方在此刻采取的防御手段对攻击方的恶意入侵行为起了作用。本实施例的技术方案考虑了安全行为和网络系统配置,最终基于博弈论的攻防动态感知模型采用攻防双方的收益函数值来反映当前的网络安全状况。与现有模型相比,该模型使管理员更加直观、具体的感知网络系统的安全情况,以及时做出防御措施。
综上所述,本实施例的技术方案,通过基于博弈论的攻防动态感知模型对网络安全态势进行实时分析,利用纳什平衡度使攻防双方收益最大化,从而对网络安全态势做出实时准确的评估,为工作人员的网络安全防御策略提供更好的参考。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元或步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本申请所提供的实施例中,应该理解到,所述步骤的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个步骤可结合为一个步骤,一个步骤可拆分为多个步骤,或一些特征可以忽略等。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims (10)

1.一种基于博弈论的网络攻防分析方法,其特征在于,包括以下步骤:
获取网络环境中的海量数据信息,从海量数据信息中提取出影响网络安全性的网络态势指标;
通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重;
基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果;
通过可视化的方式将评估结果输出,以供工作人员做决策参考。
2.根据权利要求1所述的一种基于博弈论的网络攻防分析方法,其特征在于,所述获取网络环境中的海量数据信息,具体为:
通过各种监控软件、传感器和设备获取网络环境中的海量数据信息。
3.根据权利要求2所述的一种基于博弈论的网络攻防分析方法,其特征在于,所述网络态势指标包括主机层态势指标、网络层态势指标和服务层态势指标。
4.根据权利要求3所述的一种基于博弈论的网络攻防分析方法,其特征在于,所述主机层态势指标包括CPU占用率、内存利用率、进程状态、磁盘利用率;
所述网络层态势指标包括传输时延、丢包率、传输率和带宽利用率;
所述服务层态势指标包括响应时间、半连接数、攻击频率、攻击类型、软件故障频率和应用故障数。
5.根据权利要求4所述的一种基于博弈论的网络攻防分析方法,其特征在于,所述通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重,具体为:
根据主机层态势指标、网络层态势指标和服务层态势指标,构建每一层的网络安全态势指标体系;
根据每一层的网络安全态势指标体系,构建每一层的优先权关系矩阵;
根据每一层的优先权关系矩阵计算每一层的指标权重。
6.根据权利要求5所述的一种基于博弈论的网络攻防分析方法,其特征在于,所述构建每一层的优先权关系矩阵,具体为:
构建优先级关系矩阵F=(fij)n*n;i,j=1,2,……,n;
Figure FDA0002633411610000021
其中,c(i)和c(j)表示fij计算中的相关指标重要程度。
7.根据权利要求6所述的一种基于博弈论的网络攻防分析方法,其特征在于,所述根据每一层的优先权关系矩阵计算每一层的指标权重,具体为:
采用模糊层次化分析法根据优先级关系矩阵F第i行的数据对fij求和得到qi
Figure FDA0002633411610000022
根据优先级关系矩阵F第j列的数据对fij求和得到qj
Figure FDA0002633411610000023
构建模糊矩阵Q,Q=(qij)n*n
Figure FDA0002633411610000024
计算第i个指标的重要程度hi
Figure FDA0002633411610000025
计算归一化后的指标权重wi
Figure FDA0002633411610000026
8.根据权利要求7所述的一种基于博弈论的网络攻防分析方法,其特征在于,所述基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果,具体为:
基于指数权重,通过攻击方收益函数和防御方收益函数分别计算攻击方收益和防御方收益;
根据攻击方收益计算攻击方期望收益,根据防御方收益计算防御方期望收益,采用纳什平衡度原则最大化双方的期望收益,并根据双方的收益得到态势评估后的双方收益对比图。
9.根据权利要求8所述的一种基于博弈论的网络攻防分析方法,其特征在于,所述攻击方收益函数U1(S1,S2)如下所示:
Figure FDA0002633411610000031
Figure FDA0002633411610000032
Figure FDA0002633411610000033
其中,n1表示攻击方的攻击策略总数;
weii表示入侵策略的权重;
AVN表示网络的实用性;
perN表示网络的性能;
ASi表示攻击的严重程度;
AVi表示实验网络中第i种计算机资源的可访问性;
ωi表示第i种网络态势指标的指标权重;
peri表示攻击方入侵后第i种网络态势指标的变化;
所述防御方的收益函数U2(S1,S2)如下所示:
Figure FDA0002633411610000034
所述攻击方期望收益π1(p1,p2)如下所示:
Figure FDA0002633411610000035
所述防御方期望收益π2(p1,p2)如下所示:
Figure FDA0002633411610000036
其中,P1i,P2j,P2i,P1j表示参考系数。
10.一种基于博弈论的网络攻防分析系统,适用于权利要求1-9任一项所述的基于博弈论的网络攻防分析方法,其特征在于,包括:
数据获取单元,用于获取网络环境中的海量数据信息,从海量数据信息中提取出影响网络安全性的网络态势指标;
权重计算单元,用于通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重;
博弈分析单元,用于基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果;
结果输出单元,用于通过可视化的方式将评估结果输出,以供工作人员做决策参考。
CN202010817932.0A 2020-08-14 2020-08-14 一种基于博弈论的网络攻防分析方法及系统 Pending CN111935161A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010817932.0A CN111935161A (zh) 2020-08-14 2020-08-14 一种基于博弈论的网络攻防分析方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010817932.0A CN111935161A (zh) 2020-08-14 2020-08-14 一种基于博弈论的网络攻防分析方法及系统

Publications (1)

Publication Number Publication Date
CN111935161A true CN111935161A (zh) 2020-11-13

Family

ID=73311359

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010817932.0A Pending CN111935161A (zh) 2020-08-14 2020-08-14 一种基于博弈论的网络攻防分析方法及系统

Country Status (1)

Country Link
CN (1) CN111935161A (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112711755A (zh) * 2020-12-26 2021-04-27 重庆扬成大数据科技有限公司 科技特派员通过云平台进行信息筛选工作方法
CN113315763A (zh) * 2021-05-21 2021-08-27 中国人民解放军空军工程大学 基于异质群体演化博弈的网络安全防御方法
CN113822582A (zh) * 2021-09-24 2021-12-21 南方电网科学研究院有限责任公司 一种网络靶场的攻防演练系统
CN114221819A (zh) * 2021-12-30 2022-03-22 全球能源互联网研究院有限公司 一种基于博弈论的网络扫描方法及装置
CN114679333A (zh) * 2022-04-19 2022-06-28 深圳市永达电子信息股份有限公司 基于功能和网络双重安全判定方法和计算机可读存储介质
CN115348064A (zh) * 2022-07-28 2022-11-15 南京邮电大学 网络攻击下基于动态博弈的配电网防御策略设计方法
CN116260634A (zh) * 2023-02-03 2023-06-13 北京邮电大学 基于博弈论的物联网安全收益计算方法及相关设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110264608A1 (en) * 2006-05-23 2011-10-27 Gonsalves Paul G Security System For and Method of Detecting and Responding to Cyber Attacks on Large Network Systems
CN107623697A (zh) * 2017-10-11 2018-01-23 北京邮电大学 一种基于攻防随机博弈模型的网络安全态势评估方法
CN108512837A (zh) * 2018-03-16 2018-09-07 西安电子科技大学 一种基于攻防演化博弈的网络安全态势评估的方法及系统
CN108881110A (zh) * 2017-05-10 2018-11-23 全球能源互联网研究院 一种安全态势评估与防御策略联合决策方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110264608A1 (en) * 2006-05-23 2011-10-27 Gonsalves Paul G Security System For and Method of Detecting and Responding to Cyber Attacks on Large Network Systems
CN108881110A (zh) * 2017-05-10 2018-11-23 全球能源互联网研究院 一种安全态势评估与防御策略联合决策方法及系统
CN107623697A (zh) * 2017-10-11 2018-01-23 北京邮电大学 一种基于攻防随机博弈模型的网络安全态势评估方法
CN108512837A (zh) * 2018-03-16 2018-09-07 西安电子科技大学 一种基于攻防演化博弈的网络安全态势评估的方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
黄慧萍: "工业SCADA系统信息安全若干关键技术研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 *

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112711755A (zh) * 2020-12-26 2021-04-27 重庆扬成大数据科技有限公司 科技特派员通过云平台进行信息筛选工作方法
CN113315763A (zh) * 2021-05-21 2021-08-27 中国人民解放军空军工程大学 基于异质群体演化博弈的网络安全防御方法
CN113822582A (zh) * 2021-09-24 2021-12-21 南方电网科学研究院有限责任公司 一种网络靶场的攻防演练系统
CN114221819A (zh) * 2021-12-30 2022-03-22 全球能源互联网研究院有限公司 一种基于博弈论的网络扫描方法及装置
CN114221819B (zh) * 2021-12-30 2023-07-28 全球能源互联网研究院有限公司 一种基于博弈论的网络扫描方法及装置
CN114679333A (zh) * 2022-04-19 2022-06-28 深圳市永达电子信息股份有限公司 基于功能和网络双重安全判定方法和计算机可读存储介质
CN114679333B (zh) * 2022-04-19 2024-06-04 深圳市永达电子信息股份有限公司 基于功能和网络双重安全判定方法和计算机可读存储介质
CN115348064A (zh) * 2022-07-28 2022-11-15 南京邮电大学 网络攻击下基于动态博弈的配电网防御策略设计方法
CN115348064B (zh) * 2022-07-28 2023-09-26 南京邮电大学 网络攻击下基于动态博弈的配电网防御策略设计方法
CN116260634A (zh) * 2023-02-03 2023-06-13 北京邮电大学 基于博弈论的物联网安全收益计算方法及相关设备

Similar Documents

Publication Publication Date Title
CN111935161A (zh) 一种基于博弈论的网络攻防分析方法及系统
CN110380896B (zh) 基于攻击图的网络安全态势感知系统和方法
CN107623697B (zh) 一种基于攻防随机博弈模型的网络安全态势评估方法
CN114584405B (zh) 一种电力终端安全防护方法及系统
CN110620759B (zh) 基于多维关联的网络安全事件危害指数评估方法及其系统
CN109347801B (zh) 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法
CN111680863A (zh) 基于层次分析法的网络环境安全状况评估方法
CN109922069B (zh) 高级持续性威胁的多维关联分析方法及系统
CN111355697B (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
CN107493277B (zh) 基于最大信息系数的大数据平台在线异常检测方法
CN111786950A (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
CN110445801B (zh) 一种物联网的态势感知方法和系统
CN112637207A (zh) 一种网络安全态势预测方法及装置
CN112217650B (zh) 网络阻塞攻击效果评估方法、装置及存储介质
CN111865899B (zh) 威胁驱动的协同采集方法及装置
CN109767351A (zh) 一种电力信息系统日志数据的安全态势感知方法
CN111786974A (zh) 一种网络安全评估方法、装置、计算机设备和存储介质
Hostiadi et al. Hybrid model for bot group activity detection using similarity and correlation approaches based on network traffic flows analysis
Elfeshawy et al. Divided two-part adaptive intrusion detection system
CN114338372A (zh) 网络信息安全监控方法及系统
CN117454392A (zh) 一种基于元宇宙的社交网络安全管理系统
Patel et al. Od-ids2022: generating a new offensive defensive intrusion detection dataset for machine learning-based attack classification
Maciá-Fernández et al. Hierarchical PCA-based multivariate statistical network monitoring for anomaly detection
CN117235600A (zh) 一种用户异常行为检测方法及系统
CN116599743A (zh) 4a异常绕行检测方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20201113

RJ01 Rejection of invention patent application after publication