CN116389075B

CN116389075B - 一种主机攻击行为动态拦截方法及装置

Info

Publication number: CN116389075B
Application number: CN202310257221.6A
Authority: CN
Inventors: 赵梓蘅; 姜向前
Original assignee: Anxin Wangdun Beijing Technology Co ltd
Current assignee: Anxin Wangdun Beijing Technology Co ltd
Priority date: 2023-03-08
Filing date: 2023-03-08
Publication date: 2023-10-20
Anticipated expiration: 2043-03-08
Also published as: CN116389075A

Abstract

本发明公开了一种主机攻击行为动态拦截方法及装置，其中方法包括如下步骤：通过安全产品在主机上的代理端进行网络探测，得到主机网络连通图；基于零和博弈模型计算所述主机网络连通图中的若干个节点开启拦截策略的概率值；判断每一所述节点开启拦截策略的概率值是否大于预设概率阈值；如是，则开启所述节点的拦截策略；如否，则使所述节点的拦截策略保持关闭状态。结合二层攻防双层零和博弈提出拦截策略，确定需开启拦截策略的主机，并基于攻击者的动作进行动态调整，达到运维成本与收益的平衡，从而使主机安全产品适用于企业的日常运维。

Description

一种主机攻击行为动态拦截方法及装置

技术领域

本发明涉及软件安全防护技术领域，特别涉及一种主机攻击行为动态拦截方法及装置。

背景技术

当前市面上主流的主机安全产品均具备攻击拦截功能，而安全产品是否拦截针对主机的攻击均会使用策略开关进行控制。但在使用过程中，安全产品必然会出现误报，如果日常安全运维场景中全部主机均开启拦截开关，则数量众多的误报会对用户的业务造成严重影响；同时，有限的运维人力资源难以应对大量误拦截所造成的影响及进行恢复。

因此，基于上述原因，在实际日常运维中一部分用户会选择完全不开启拦截，而另一部分用户会依据自己制定的策略选择一部分主机开启拦截，但上述策略功能单一且未经过科学验证，拦截效果差，安全隐患多。

发明内容

本发明实施例的目的是提供一种主机攻击行为动态拦截方法及装置，结合二层攻防双层零和博弈提出拦截策略，确定需开启拦截策略的主机，并基于攻击者的动作进行动态调整，达到运维成本与收益的平衡，从而使主机安全产品适用于企业的日常运维。

为解决上述技术问题，本发明实施例的第一方面提供了一种主机攻击行为动态拦截方法，包括如下步骤：

通过安全产品在主机上的代理端进行网络探测，得到主机网络连通图；

基于零和博弈模型计算所述主机网络连通图中的若干个节点开启拦截策略的概率值；

判断每一所述节点开启拦截策略的概率值是否大于预设概率阈值；

如是，则开启所述节点的拦截策略；

如否，则使所述节点的拦截策略保持关闭状态。

进一步地，所述开启所述节点的拦截策略之后，还包括：

持续监控攻击动作，获取所述攻击动作在预设时长内的攻击数据；

依据所述攻击数据，重新计算所述主机网络连通图中的节点开启拦截策略的概率值，并调整所述节点的拦截策略运行状态。

进一步地，所述基于零和博弈模型计算所述主机网络连通图中的若干个节点开启拦截策略的概率值，包括：

获取所述网络结构连通图在被攻击前和被攻击后的最大连通子图，得到防御混合策略；

依据所述防御混合策略，计算所述节点开启所述拦截策略的概率值。

进一步地，所述预设概率阈值为0.8。

相应地，本发明实施例的第二方面提供了一种主机攻击行为动态拦截装置，包括：

网络探测模块，其用于通过安全产品在主机上的代理端进行网络探测，得到主机网络连通图；

概率计算模块，其用于基于零和博弈模型计算所述主机网络连通图中的若干个节点开启拦截策略的概率值；

阈值比较模块，其用于判断每一所述节点开启拦截策略的概率值是否大于预设概率阈值；

策略控制模块，其用于在所述节点开启拦截策略的概率值大于所述预设概率阈值时，开启所述节点的拦截策略；

所述策略控制模块还用于在所述节点开启拦截策略的概率值小于或等于所述预设概率阈值时，使所述节点的拦截策略保持关闭状态。

进一步地，所述主机攻击行为动态拦截装置还包括：动态调整模块，其进一步包括：

数据获取单元，其用于持续监控攻击动作，获取所述攻击动作在预设时长内的攻击数据；

策略调整单元，其用于依据所述攻击数据，重新计算所述主机网络连通图中的节点开启拦截策略的概率值，并调整所述节点的拦截策略运行状态。

进一步地，所述概率计算模块包括：

策略获取单元，其用于获取所述网络结构连通图在被攻击前和被攻击后的最大连通子图，得到防御混合策略；

概率计算单元，其用于依据所述防御混合策略，计算所述节点开启所述拦截策略的概率值。

进一步地，所述预设概率阈值为0.8。

相应地，本发明实施例的第三方面提供了一种电子设备，包括：至少一个处理器；以及与所述至少一个处理器连接的存储器；其中，所述存储器存储有可被所述一个处理器执行的指令，所述指令被所述一个处理器执行，以使所述至少一个处理器执行上述主机攻击行为动态拦截方法。

相应地，本发明实施例的第四方面提供了一种计算机可读存储介质，其上存储有计算机指令，该指令被处理器执行时实现上述主机攻击行为动态拦截方法。

本发明实施例的上述技术方案具有如下有益的技术效果：

结合二层攻防双层零和博弈提出拦截策略，确定需开启拦截策略的主机，并基于攻击者的动作进行动态调整，达到运维成本与收益的平衡，从而使主机安全产品适用于企业的日常运维。

附图说明

图1是本发明实施例提供的主机攻击行为动态拦截方法流程图；

图2a是本发明实施例提供的度防守示意图；

图2b是本发明实施例提供的随机防守示意图；

图2c是本发明实施例提供的混合策略防守示意图；

图3是本发明实施例提供的主机攻击行为动态拦截装置模块框图；

图4是本发明实施例提供的概率计算模块框图；

图5是本发明实施例提供的动态调整模块框图。

附图标记：

1、网络探测模块，2、概率计算模块，21、策略获取单元，22、概率计算单元，3、阈值比较模块，4、策略控制模块，5、动态调整模块，51、数据获取单元，52、策略调整单元。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

请参照图1，本发明实施例的第一方面提供了一种主机攻击行为动态拦截方法，包括如下步骤：

步骤S100，通过安全产品在主机上的代理端进行网络探测，得到主机网络连通图。

步骤S200，基于零和博弈模型计算主机网络连通图中的若干个节点开启拦截策略的概率值。

步骤S300，判断每一节点开启拦截策略的概率值是否大于预设概率阈值。

步骤S400，如是，则开启节点的拦截策略。

步骤S500，如否，则使节点的拦截策略保持关闭状态。

在目标网络中，防御者选择要保护的主机节点子集，同时攻击者选择一些主机节点进行攻击并将这些主机节点从网络中删除。只有被上述攻击者选中并攻击的且同时未受防御者保护的主机节点才会被删除，并且连接这些被删除主机节点的边也会被同时删除。攻防双方的收益函数由攻击过后的剩余网络确定。他们完全了解对手可能采取的所有策略，以及在每种策略组合下彼此之间的收益。假设博弈是同时进行的，即两个参与者同时选择要保护或者攻击的主机节点，并且他们不知道对手在做出自己的决定时会选择哪个主机节点。

将关键基础设施网络抽象为一个目标网络，用简单无向图G＝(V，E)来表示。其中，V是网络中的节点集合，每个节点v∈V表示一个基础设施。表示网络中的边集合，每条边e∈E都连接着两个基础设施，即边e_ij＝(v_i，v_j)∈E表示以节点v_i和v_j为端点的一条无向边。将N＝|V|定义为网络中的节点数量。

节点之间的连通性是每一个节点v上的等价关系，基于该等价关系可以将点集V分成若干个非空子集V₁，V₂，…，V_n，每一个非空子集V_i可以都确定一个对应的连通子图记为G(V_i)，则将G(V₁)，G(V₂)，…，G(V_n)成为图G的连通分支。对于每一个节点v∈V，可以通过以下公式来确定与它连接的邻居点集：

V′＝{u∈V\{v}|(u，v)∈E，distance(u，v)≠∞，v∈V}

其中，distance(u，v)≠∞表示V′中始终有一条路径连接节点u和v。那么由V′确定的连通子图可以表示为G(V′)。将图G的最大连通分支(the LargestConnected Component，LCC)定义为G(V_max)，其中V_max表示点集V的最大连通点子集。

将点集V中一个节点子集定义为那么所有与该子集/>中的节点连接的边子集定义为/>那么在图G＝(V，E)中删除/>中的所有节点和与之相连的所有边/>之后得到的剩余图/>可以表示为：

基于零和博弈可以指定攻防双层零和博弈模型，给定一个防守者策略D和一个攻击者策略A，只有当av＝1且dv＝0时，表示节点v会被攻击者攻击成功，那么此时节点v以及连接节点v的所有边在网络中会被删除；否则节点v永远不会被攻击者删除，此时防守者获得胜利。如果攻击者行动成功，那么他将获得一份收益PA，同时防守者的收益PD将会是-PA；否则，攻防双方的收益都将会是0。

在很多关键基础设施网络系统中，设施节点之间是互联且网络化的，网络系统的功能在很大程度上依赖于其连接性和拓扑结构。所以假设在删除节点期间网络的连通性会降低，那么网络的性能也会随之降低。图的最大连通子图的节点数(the Node Number ofthe Largest Connected Component，N_LCC)是用于衡量网络抗毁性的一个常用度量指标，被广泛用于评估网络性能。因此，采用N_LCC来构造本专利博弈模型的收益函数。N_LCC(G)是通过确定图G中的最大连通节点子集的大小来计算的，它可以表示为：

N_LCC(G)＝|V_max|。

在给定一个防守者策略D和一个攻击者策略A之后，假如防守者策略D和攻击者策略A选择的点集不同，即V^A∩V^D≠V^D，这意味着防守者保护网络的任务失败。那么点集以及与之连接的边集/>将在网络中会被删除。将删除这些节点和边之后得到剩余图/>中的最大连通节点子集定义为/>则/>通过确定图中的最大连通节点子集/>的大小来计算，即：

其中，否则，假如防守者策略D和攻击者策略A选择的点集重合，即V^A∩V^D＝V^D＝V^A，这意味着攻击者破坏网络的行动失败。那么网络中将没有节点会被删除，此时/>

所以，攻击者的收益函数P_A定义如下：

同理，防守者的收益函数P_D可以表示为：

其中，N_LCC还可以用其他同样满足单调性假设的任何度量指标替换。

定义了攻防双方的收益函数后，开始定义双方的期望收益。用U_D表示防守者的期望收益。假如防守者使用混合策略x，且攻击者使用纯策略A，那么防守者的期望收益U_D(x，A)可以表示为：

其中，z_D，A用于标记攻击者策略A是否成功删除了被防守者策略D选中的目标点集。假如D∩A＝D，表示攻击者失败，那么z_D，A＝0；否则z_D，A＝1。

假如防守者使用纯策略D，且攻击者使用混合策略y，那么这种情况下防守者的期望收益U_D(D，y)可以表示为：

假如参与者双方都使用混合策略x和y，则防守者的期望收益U_D(x，y)就可以表示为：

基于双人零和博弈假设，记攻击者的期望收益U_A＝-U_D。

双人零和博弈的纳什均衡是求解最大最小均衡。在本专利模型中，防守者的目标是最大化自己的最小期望收益，同时最小化攻击者的最大收益。本专利使用线性规划来求解这个双人零和博弈，计算博弈的均衡，为攻防双方确定最优资源调度策略。防御者的最优混合策略x可以通过求解以下线性规划(Linear Programming，LP)计算：

max U；

具体的求解使用了基于贪心搜索的EMSL算法。

在算法1的第1行中，双方首先分别随机初始化一个很小的策略空间那么此时的INP问题是受限的。然后计算均衡，以/>来替换/>求解受限版本的INP问题(CoreLP，第3行)。显而易见的是，因为策略空间/>较小，所以受限版本的INP问题可以在短时间内有效求解，并且得到的解也是受限INP问题的均衡，而不是原INP问题的均衡。因此，双方都希望在使用策略集/>之外的其他策略来提高他们的收益。EMSL-Better-O允许他们使用近似模块(第4-5行和第6-7行)这样做。具体来说，EMSL-Better-O调用防御者近似模块(Better Oracle of Defende，BetterO-D)来搜索防御者的一组改进策略(第4-5行))；同理，EMSL-Better-O调用攻击者近似模块(Better Oracle forattack，BetterO-A)来寻找攻击者的改进策略(第6-7行)。这个过程不断重复，直到双方都找不到更好的策略(第8行)，此时得到的解就是为原INP问题求解获得的最终解决方案，并且是接近最优的。

算法2详细介绍了EMSL-Better-O算法中的防御者近似模块(EMSL-BetterO-D)。EMSL-Better-OD每个迭代的核心(第5-8行)都是基于贪心搜索设计的，最终生成防守者纯策略D_Better，具体步骤如算法2所示。

EMSL-Better-OD算法反复从一个空的防守者策略空间D_Better开始，随机初始化一个防守者纯策略D攻击者策略(第1-2行)。输入y是攻击者的策略空间,但是只关注其中概率不为0的策略(第3行)。然后以贪心的方式迭代应用GreedySearch(v,D,x)(算法3)得到一个新的局部最优策略D^′，使防御者的收益最大化(第7行)，此时策略集D由D^′更新(第7-8行)。循环重复，直到满足终止条件(termination condition)：1)U_D(D,y)>U_D(x,y)；2)3)U_D(D,y)-U_D(x,y)<ε。其中ε是一个预定义的全局变量，用于约束迭代的总次数。防守者纯策略D_Better是根据以上局部最优策略不迭代计算得到的(第10-11行)。

GreedySearch(v,D,x)的目标是找到一个可以提高防守者收益的纯策略D，具体步骤如下算法3所示。

GreedySearch(v,D,x)反复从空策略开始(第1行)，并连续尝试寻找一个最佳节点v′，希望提高防守者收益U_D(第4行)。如果节点v′能够满足U_D(D∪{v′},y)>U_D(D,y)，那么就将节点v′加入策略D中(第5-6行)；否则，就尝试从剩余的节点集D\(V^D∪{v})中重新寻找一个最佳节点v′(第8行)，如果U_D(D∪{v′},y)>U_D(x,y)，那么就将此时寻得的v′加入策略D中(第9-10行)。最后，当策略D中的节点数达到防御者资源数量上限时停止，即|D|＝R_D(第11行)。

利用网络图结构的最大连通子图作为衡量主机网络抗毁性的评估指标，并利用其构建收益函数，衡量攻防过程中主机网络的性能变化情况。以贪心搜索的方式为攻防双方寻求最佳的纯策略，然后计算网络在被攻击前后的最大连通子图大小，求解防御混合策略，作为双人零和博弈的解，即得出每个主机节点需要开启拦截的概率。

上述基于攻防双层零和博弈的主机攻击行为动态拦截方法，解决了用户不知该开启哪些主机拦截开关的问题，使用户达到运维成本与收益的平衡，更加适合企业主机安全产品日常运维场景。

具体的，步骤S200中的基于零和博弈模型计算主机网络连通图中的若干个节点开启拦截策略的概率值，包括：

步骤S210，获取网络结构连通图在被攻击前和被攻击后的最大连通子图，得到防御混合策略；

步骤S220，依据防御混合策略，计算节点开启拦截策略的概率值。

进一步地，步骤S400中的开启节点的拦截策略之后，还包括：

步骤S610，持续监控攻击动作，获取攻击动作在预设时长内的攻击数据。

步骤S620，依据攻击数据，重新计算主机网络连通图中的节点开启拦截策略的概率值，并调整节点的拦截策略运行状态。

进一步地，预设概率阈值为0.8。

下面，以一个具体实施例对上述方案进行说明：

经过对比日常运维工作中使用最频繁的主机拦截固定策略方法与本技术方案的混合策略动态防护方法，基于不同的攻击策略对主机进行攻击：

(1)基于初始度中心性的主机拦截策略方法：在初始网络中，首先计算网络中每个主机节点的度，然后从度最高依次降序选择顶点进行防御资源部署。由于每次经受攻击后，网络结构可能会发生变化，那么每个主机节点的度也可能会发生变化，但不再重新计算；将这个基于网络初始度分布的主机拦截策略简称为度防守方法。

(2)随机主机拦截策略方法：在很多情况下，为了不让攻击者知道哪些主机节点是重点保护对象，会以随机的方式选择主机节点进行防御资源部署，称为随机防守方法。

实验结果如图2a、图2b、图2c所示，横轴代表攻击者可以攻击的主机数量，纵轴代表防守者的收益，可见：经过五百次博弈，本专利的混合防守策略带来的收益比其他防御方法带来的更高，这些结果也清晰地展示了在大规模网络中无论用哪种攻击策略，使用混合策略防御时，防御者收益的下降速度都是最慢的，相比于其他策略的平均收益提升了159.89％。其中，介数攻击为基于介数中心性的一种攻击策略，首先计算初始网络中每个节点的中介度，然后根据中介度最高的节点的降序选择要攻击的节点。

网络探测模块1，其用于通过安全产品在主机上的代理端进行网络探测，得到主机网络连通图；

概率计算模块2，其用于基于零和博弈模型计算主机网络连通图中的若干个节点开启拦截策略的概率值；

阈值比较模块3，其用于判断每一节点开启拦截策略的概率值是否大于预设概率阈值；

策略控制模块4，其用于在节点开启拦截策略的概率值大于预设概率阈值时，开启节点的拦截策略；

策略控制模块4还用于在节点开启拦截策略的概率值小于或等于预设概率阈值时，使节点的拦截策略保持关闭状态。

进一步地，主机攻击行为动态拦截装置还包括：动态调整模块5，其进一步包括：

数据获取单元51，其用于持续监控攻击动作，获取攻击动作在预设时长内的攻击数据；

策略调整单元52，其用于依据攻击数据，重新计算主机网络连通图中的节点开启拦截策略的概率值，并调整节点的拦截策略运行状态。

进一步地，概率计算模块2包括：

策略获取单元21，其用于获取网络结构连通图在被攻击前和被攻击后的最大连通子图，得到防御混合策略；

概率计算单元22，其用于依据防御混合策略，计算节点开启拦截策略的概率值。

进一步地，预设概率阈值为0.8。

相应地，本发明实施例的第三方面提供了一种电子设备，包括：至少一个处理器；以及与至少一个处理器连接的存储器；其中，存储器存储有可被一个处理器执行的指令，指令被一个处理器执行，以使至少一个处理器执行上述主机攻击行为动态拦截方法。

本发明实施例旨在保护一种主机攻击行为动态拦截方法及装置，其中方法包括如下步骤：通过安全产品在主机上的代理端进行网络探测，得到主机网络连通图；基于零和博弈模型计算所述主机网络连通图中的若干个节点开启拦截策略的概率值；判断每一所述节点开启拦截策略的概率值是否大于预设概率阈值；如是，则开启所述节点的拦截策略；如否，则使所述节点的拦截策略保持关闭状态。上述计数方案具备如下效果：

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任何修改或者等同替换，其均应涵盖在本发明的权利要求保护范围之内。

Claims

1.一种主机攻击行为动态拦截方法，其特征在于，包括如下步骤：

如是，则开启所述节点的拦截策略；

如否，则使所述节点的拦截策略保持关闭状态；

所述开启所述节点的拦截策略之后，还包括：

依据所述攻击数据，重新计算所述主机网络连通图中的节点开启拦截策略的概率值，并调整所述节点的拦截策略运行状态；

所述基于零和博弈模型计算所述主机网络连通图中的若干个节点开启拦截策略的概率值，包括：

获取所述主机网络连通图在被攻击前和被攻击后的最大连通子图，得到防御混合策略；

2.根据权利要求1所述的主机攻击行为动态拦截方法，其特征在于，

所述预设概率阈值为0.8。

3.一种主机攻击行为动态拦截装置，其特征在于，包括：

所述策略控制模块还用于在所述节点开启拦截策略的概率值小于或等于所述预设概率阈值时，使所述节点的拦截策略保持关闭状态；

还包括：动态调整模块，其进一步包括：

策略调整单元，其用于依据所述攻击数据，重新计算所述主机网络连通图中的节点开启拦截策略的概率值，并调整所述节点的拦截策略运行状态；

所述概率计算模块包括：

策略获取单元，其用于获取所述主机网络连通图在被攻击前和被攻击后的最大连通子图，得到防御混合策略；

4.根据权利要求3所述的主机攻击行为动态拦截装置，其特征在于，

所述预设概率阈值为0.8。

5.一种电子设备，其特征在于，包括：至少一个处理器；以及与所述至少一个处理器连接的存储器；其中，所述存储器存储有可被所述一个处理器执行的指令，所述指令被所述一个处理器执行，以使所述至少一个处理器执行如权利要求1或2所述的主机攻击行为动态拦截方法。

6.一种计算机可读存储介质，其特征在于，其上存储有计算机指令，该指令被处理器执行时实现如权利要求1或2所述的主机攻击行为动态拦截方法。