CN116684152A - 一种针对多攻击者的主动防御方法、装置和系统 - Google Patents

Abstract

本发明公开了一种针对多攻击者的主动防御方法、装置和系统，属于网络攻击防御技术领域，所述方法包括：S1：根据系统防御弱点总结元攻击种类及对应的攻击成本、危害损失和防御成本，从而生成攻防效用矩阵，并分析攻击者所有可能的攻击路径；S2：判断当前攻击者行为是否基于合作，以确定攻击者的自我保护重视程度；S3：利用系统防御系数、攻击者和对应防御者组的计算资源更新攻防效用矩阵，将更新前后的攻防效用矩阵、攻击者的自我保护重视程度和所有攻击路径输入预设最优解算法，利用得到的最优防御策略进行主动防御的计算资源部署。本发明通过精选参量描述情景，优化攻防效用矩阵的计算方式减小计算量，更加符合计算资源珍贵的情景。

Description

一种针对多攻击者的主动防御方法、装置和系统

技术领域

本发明属于网络攻击防御技术领域，更具体地，涉及一种针对多攻击者的主动防御方法、装置和系统。

背景技术

随着网络技术的不断发展，各种各样的软件得到了广泛的应用。由于部分软件存在漏洞后门，如果不进行防御，在软件运行过程中，安全性容易受到威胁。

主动防御方式已经被广泛关注和研究，如论文《基于攻防博弈模型的网络安全测评和最优主动防御》，提出了一种生成主动防御策略的模型，该模型所考虑的防御策略仅限于被动的防守，没有考虑到反击行为可以威慑攻击者从而削减其在攻击方面的投入，从而减轻防守压力的方面。《基于元学习的策略博弈的行为预测方法和预测器》提供了一种在网络攻防博弈中以较高精度预测攻击者战略行为的方法。该方法能够以较高精度预测攻击者的下一步战略性攻击行为，但是面对多攻击者与多防御者对垒的复杂局面仅仅将攻击者当作整体来看代过于粗糙，无法做到精细预测各个攻击者的动作倾向。

同时，现有主动防御方法虽然在其各自关注的环境中有着非常优秀的性能，但是存在模型参数数量多，生成策略计算量大，对于计算资源珍贵的天基网络而言并不合适，需要进一步优化参数降低计算量。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种针对多攻击者的主动防御方法、装置和系统，其目的在于通过精选参量描述情景，优化了攻防效用矩阵的计算方式，能够减小计算量，更加符合计算资源珍贵的情景，由此解决现有主动防御方法模型参数数量多，生成策略计算量大的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种针对多攻击者的主动防御方法，包括：

S1：根据系统防御弱点总结元攻击种类及每种元攻击对应的攻击成本、危害损失和防御成本；从而计算单防御者选取的元防御方法与单攻击者执行的元攻击方法的收益，生成初始攻防效用矩阵U_apq；根据所述系统防御弱点之间的依赖关系分析攻击者所有可能的攻击路径；

S2：判断当前攻击者行为是否基于合作，确定出攻击者对损失的敏感程度l，以确定攻击者的自我保护重视程度β；

S3：利用系统防御系数α和攻击者和对应防御者组的计算资源更新所述初始攻防效用矩阵U_apq，得到目标攻防效用矩阵U_apq’；将所述初始攻防效用矩阵U_apq、所述目标攻防效用矩阵U_apq'、所述攻击者的自我保护重视程度β和所有攻击路径输入预设最优解算法，输出得到最优防御策略；利用最优防御策略进行主动防御的计算资源部署。

在其中一个实施例中，所述S1中初始攻防效用矩阵的每个元素记为：(U_aij,U_dij)；

U_aij＝∑_iAR(i)-AC；

U_dij＝-Σ_iAR(i)-DC；

其中，AR为元攻击危害损失；AC为元攻击成本，DC为元防御的防御成本，i为元攻击的序号。

在其中一个实施例中，

AR＝Icost×P_i+Ccost×P_c+Acost×P_a；

DC＝Acost×r(a,d)+AR×ε(a,d)；

其中，Icost为完整性代价，Ccost为机密性代价，Acost为可用性代价，P_i、P_c和P_a为对应的权重系数，三者总和为1；r(a,d)和ε(a,d)分别为对应元攻击a和元防御d的函数。

在其中一个实施例中，所述S3包括：

S31：利用防御系数α、攻击者的计算资源n、遭到攻击的防御者组D_j的计算资源m和反击攻击者A_i的防御者组D_k的计算资源o，对所述初始攻防效用矩阵U_apq进行更新，得到所述目标攻防效用矩阵U_apq’；

S32：将所述初始攻防效用矩阵U_apq、所述目标攻防效用矩阵U_apq'、所述攻击者的自我保护重视程度β和所有攻击路径输入所述预设最优解算法，输出得到最优防御策略；

S33：利用最优防御策略进行主动防御的计算资源部署。

在其中一个实施例中，所述S31中的所述目标攻防效用矩阵U_apq'的计算方式为：

α_ij为防御者组D_j反击攻击者A_i调用计算资源的百分比。

在其中一个实施例中，所述S32包括：

将所述初始攻防效用矩阵U_apq、所述目标攻防效用矩阵U_apq'、所述攻击者的自我保护重视程度β和所有攻击路径输入遗传算法，在算法推导中当U'_apq＜U_apq×β，认为攻击者遭到超出忍受范围的反击，视为攻击者停止攻击，U'_apq＝0，算法最终输出得到最优防御策略。

按照本发明的另一方面，提供了一种针对多攻击者的主动防御装置，包括：

初始化模块，用于根据系统防御弱点总结元攻击种类及每种元攻击对应的攻击成本、危害损失和防御成本；从而计算单防御者选取的元防御方法与单攻击者执行的元攻击方法的收益，生成初始攻防效用矩阵U_apq；根据所述系统防御弱点之间的依赖关系分析攻击者所有可能的攻击路径；

分析模块，用于判断当前攻击者行为是否基于合作，确定出攻击者对损失的敏感程度l，以确定攻击者的自我保护重视程度β；

策略生成模块，用于利用系统防御系数α和攻击者和对应防御者组的计算资源更新所述初始攻防效用矩阵U_apq，得到目标攻防效用矩阵U_apq’；将所述初始攻防效用矩阵U_apq、所述目标攻防效用矩阵U_apq'、所述攻击者的自我保护重视程度β和所有攻击路径输入预设最优解算法，输出得到最优防御策略；利用最优防御策略进行主动防御的计算资源部署。

按照本发明的另一方面，提供了一种针对多攻击者的主动防御系统，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述的方法的步骤。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

(1)本发明优化了计算公式，精选参量描述情景，减小了计算量，更加符合天基卫星计算资源珍贵的情景；其次，本方法额外考虑到了防御者通过反击攻击者进行威慑，从而减轻防御压力的积极的防御方法，可以有效提高防御效果，降低防御成本；最后，本方法考虑到了当系统面临多个攻击者时，系统的各个主机应该采取何种策略联合防御攻击的问题，在实际的攻防情景中相较当前主流的一对一攻防更具有实际意义。

(2)本方案利用U_aij＝∑_iAR(i)-AC和U_dij＝-∑_iAR(i)-DC计算初始攻防效用矩阵，计算复杂度低。

(3)本方案利用防御系数α、攻击者的计算资源n、遭到攻击的防御者组D_j的计算资源m和反击攻击者A_i的防御者组D_k的计算资源o，对所述初始攻防效用矩阵U_apq进行更新，得到所述目标攻防效用矩阵U_apq’；考虑了攻防各方的资源，兼容了场景，便于获得更有效的防御策略；

(4)本方案利用遗传算法进行最优化求解，与求解场景适配且计算复杂度低。

附图说明

图1是本发明提供一种针对多攻击者的主动防御方法的流程图。

图2是本发明提供一种针对多攻击者的主动防御装置的结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

如图1所示，本发明提供一种针对多攻击者的主动防御方法，包括：

S1：根据系统防御弱点总结元攻击种类及每种元攻击对应的攻击成本、危害损失和防御成本；从而计算单防御者选取的元防御方法与单攻击者执行的元攻击方法的收益，生成初始攻防效用矩阵U_apq；根据系统防御弱点之间的依赖关系分析攻击者所有可能的攻击路径；

S2：判断当前攻击者行为是否基于合作，确定出攻击者对损失的敏感程度l，以确定攻击者的自我保护重视程度β；

S3：利用系统防御系数α和攻击者和对应防御者组的计算资源更新初始攻防效用矩阵U_apq，得到目标攻防效用矩阵U_apq’；将初始攻防效用矩阵U_apq、目标攻防效用矩阵U_apq'、攻击者的自我保护重视程度β和所有攻击路径输入预设最优解算法，输出得到最优防御策略；利用最优防御策略进行主动防御的计算资源部署。

在其中一个实施例中，S1中初始攻防效用矩阵的每个元素记为：(U_aij,U_dij)；

U_aij＝∑_iAR(i)-AC；

U_dij＝-∑_iAR(i)-DC；

其中，AR为元攻击危害损失；AC为元攻击成本，DC为元防御的防御成本，i为元攻击的序号。

在其中一个实施例中，

AR＝Icost×P_i+Ccost×P_c+Acost×P_a；

DC＝Acost×r(a,d)+AR×ε(a,d)；

其中，Icost为完整性代价，Ccost为机密性代价，Acost为可用性代价，P_i、P_c和P_a为对应的权重系数，三者总和为1；r(a,d)和ε(a,d)分别为对应元攻击a和元防御d的函数。

在其中一个实施例中，S3包括：

S31：利用防御系数α、攻击者的计算资源n、遭到攻击的防御者组D_j的计算资源m和反击攻击者A_i的防御者组D_k的计算资源o，对初始攻防效用矩阵U_apq进行更新，得到目标攻防效用矩阵U_apq’；

S32：将初始攻防效用矩阵U_apq、目标攻防效用矩阵U_apq'、攻击者的自我保护重视程度β和所有攻击路径输入预设最优解算法，输出得到最优防御策略；

S33：利用最优防御策略进行主动防御的计算资源部署。

在其中一个实施例中，S31中的目标攻防效用矩阵U_apq'的计算方式为：

α_ij为防御者组D_j反击攻击者A_i调用计算资源的百分比。

在其中一个实施例中，S32包括：

将初始攻防效用矩阵U_apq、目标攻防效用矩阵U_apq'、攻击者的自我保护重视程度β和所有攻击路径输入遗传算法，在算法推导中当U'_apq＜U_apq×β，认为攻击者遭到超出忍受范围的反击，视为攻击者停止攻击，U'_apq＝0，算法最终输出得到最优防御策略。

如图2所示，按照本发明的另一方面，提供了一种针对多攻击者的主动防御装置，包括：初始化模块、分析模块和策略生成模块。

初始化模块，用于根据系统防御弱点总结元攻击种类及每种元攻击对应的攻击成本、危害损失和防御成本；从而计算单防御者选取的元防御方法与单攻击者执行的元攻击方法的收益，生成初始攻防效用矩阵U_apq；根据系统防御弱点之间的依赖关系分析攻击者所有可能的攻击路径.

具体的，包括如下两个运行过程：

(1)根据系统防御弱点总结元攻击种类及其对应的攻击成本和危害损失；从而计算单防御者选取的元防御方法与单攻击者执行的元攻击方法的收益，生成初始攻防效用矩阵，每个元素是{U_aij,U_dij}。

AR	元攻击危害损失
		Icost	完整性代价
Ccost	机密性代价
		Acost	可用性代价
Pi，Pc，Pa	权重系数，总和是1
		AC	元攻击成本
DC	元防御防御成本
		r(a,d),ε(a,d)	对应元攻击a和元防御d的函数
Uaij	第i种元攻击方法和第j种元防御方法下攻击者效用
		Udij	防御者效用

AR＝Icost×P_i+Ccost×P_c+Acost×P_a。

DC＝Acost×r(a,d)+AR×ε(a,d)。

U_aij＝∑_iAR(i)-AC。

U_dij＝-Σ_iAR(i)-DC。

(2)根据系统防御弱点之间的依赖关系分析攻击者可能的所有攻击路径。

分析模块，用于判断当前攻击者行为是否基于合作，确定出攻击者对损失的敏感程度l，以确定攻击者的自我保护重视程度β；

具体的，判断当前攻击者行为是否基于合作，确定出攻击者对损失的敏感程度l，根据攻击者对损失的敏感程度计算攻击者的自我保护重视程度β，β＝l²。

策略生成模块，用于利用系统防御系数α和攻击者和对应防御者组的计算资源更新初始攻防效用矩阵U_apq，得到目标攻防效用矩阵U_apq’；将初始攻防效用矩阵U_apq、目标攻防效用矩阵U_apq′、攻击者的自我保护重视程度β和所有攻击路径输入预设最优解算法，输出得到最优防御策略；利用最优防御策略进行主动防御的计算资源部署。

具体的，包括如下两个运行过程：

1)根据初始攻防效用矩阵U_apq、防御系数α、攻击者的计算资源n、遭到攻击的防御者组D_j的计算资源m、反击攻击者A_i的防御者组D_k的计算资源n，更新初始攻防效用矩阵U_apq得到目标攻防效用矩阵U_apq’。

2)将初始攻防效用矩阵U_apq、目标攻防效用矩阵U_apq′、攻击者的自我保护重视程度β和所有攻击路径输入遗传算法，规定在算法推导中当U′_apq＜U_apq×β，认为攻击者遭到超出忍受范围的反击，因此该攻击者停止攻击，U′_apq＝0。算法输出得到最优防御策略，利用最优防御策略进行计算资源部署。

具体生成策略时将分情况讨论。当攻击者联合发动攻击，他们所追求的是攻击者整体的收益最大化，即允许少量个体的牺牲。此时防御者需要将资源尽可能调度集中于占据资源多的攻击者限制其攻击。当攻击者各自发动攻击，他们可能更追求全身而退，因此适当的反击威慑将能够更加有效的抵御攻击。针对这样的心理变化，本专利选择设置阈值β的方式刻画(0<β<1)。当一个希望自保的攻击者的攻击效果被削弱到原本的β倍以下，该攻击者将放弃攻击，一个富有攻击性的攻击者将对应一个非常小的β。

通过上述三个模块的运行，最终可以得到在考虑到反击威慑效果、多攻击者合作或非合作攻击等条件后最优的主动防御策略。

按照本发明的另一方面，提供了一种针对多攻击者的主动防御系统，包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现上述的方法的步骤。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种针对多攻击者的主动防御方法，其特征在于，包括：

S1：根据系统防御弱点总结元攻击种类及每种元攻击对应的攻击成本、危害损失和防御成本；从而计算单防御者选取的元防御方法与单攻击者执行的元攻击方法的收益，生成初始攻防效用矩阵U_apq；根据所述系统防御弱点之间的依赖关系分析攻击者所有可能的攻击路径；

S2：判断当前攻击者行为是否基于合作，确定出攻击者对损失的敏感程度1，以确定攻击者的自我保护重视程度β；

S3：利用系统防御系数α和攻击者和对应防御者组的计算资源更新所述初始攻防效用矩阵U_apq，得到目标攻防效用矩阵U_apq’；将所述初始攻防效用矩阵U_apq、所述目标攻防效用矩阵U_apq′、所述攻击者的自我保护重视程度β和所有攻击路径输入预设最优解算法，输出得到最优防御策略；利用最优防御策略进行主动防御的计算资源部署。

2.如权利要求1所述的针对多攻击者的主动防御方法，其特征在于，所述S1中初始攻防效用矩阵的每个元素记为：(U_aij，U_dij)；

U_aij＝∑_iAR(i)-AC；

U_dij＝-∑_iAR(i)-DC；

其中，AR为元攻击危害损失；AC为元攻击成本，DC为元防御的防御成本，i为元攻击的序号。

3.如权利要求2所述的针对多攻击者的主动防御方法，其特征在于，

AR＝Icost×P_i+Ccost×P_c+Acost×P_a；

DC＝Acost×r(a，d)+AR×ε(a，d)；

其中，Icost为完整性代价，Ccost为机密性代价，Acost为可用性代价，P_i、P_c和P_a为对应的权重系数，三者综合为1；r(a，d)和ε(a，d)分别为对应元攻击a和元防御d的函数。

4.如权利要求1所述的针对多攻击者的主动防御方法，其特征在于，所述S3包括：

S31：利用防御系数α、攻击者的计算资源n、遭到攻击的防御者组D_j的计算资源m和反击攻击者A_i的防御者组D_k的计算资源o，对所述初始攻防效用矩阵U_apq进行更新，得到所述目标攻防效用矩阵U_apq’；

S32：将所述初始攻防效用矩阵U_apq、所述目标攻防效用矩阵U_apq′、所述攻击者的自我保护重视程度β和所有攻击路径输入所述预设最优解算法，输出得到最优防御策略；

S33：利用最优防御策略进行主动防御的计算资源部署。

5.如权利要求4所述的针对多攻击者的主动防御方法，其特征在于，所述S31中的所述目标攻防效用矩阵U_apq′的计算方式为：

α_ij为防御者组D_j反击攻击者A_i调用计算资源的百分比。

6.如权利要求4所述的针对多攻击者的主动防御方法，其特征在于，所述S32包括：

将所述初始攻防效用矩阵U_apq、所述目标攻防效用矩阵U_apq′、所述攻击者的自我保护重视程度β和所有攻击路径输入遗传算法，在算法推导中当U′_apq＜U_apq×β，认为攻击者遭到超出忍受范围的反击，视为攻击者停止攻击，U′_apq＝0，算法最终输出得到最优防御策略。

7.一种针对多攻击者的主动防御装置，其特征在于，包括：

初始化模块，用于根据系统防御弱点总结元攻击种类及每种元攻击对应的攻击成本、危害损失和防御成本；从而计算单防御者选取的元防御方法与单攻击者执行的元攻击方法的收益，生成初始攻防效用矩阵U_apq；根据所述系统防御弱点之间的依赖关系分析攻击者所有可能的攻击路径；

分析模块，用于判断当前攻击者行为是否基于合作，确定出攻击者对损失的敏感程度1，以确定攻击者的自我保护重视程度β；

策略生成模块，用于利用系统防御系数α和攻击者和对应防御者组的计算资源更新所述初始攻防效用矩阵U_apq，得到目标攻防效用矩阵U_apq’；将所述初始攻防效用矩阵U_apq、所述目标攻防效用矩阵U_apq′、所述攻击者的自我保护重视程度β和所有攻击路径输入预设最优解算法，输出得到最优防御策略；利用最优防御策略进行主动防御的计算资源部署。

8.一种针对多攻击者的主动防御系统，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。