CN117061191A - 基于不完全信息博弈的诱饵文件部署方法、设备及介质 - Google Patents
基于不完全信息博弈的诱饵文件部署方法、设备及介质 Download PDFInfo
- Publication number
- CN117061191A CN117061191A CN202311085673.7A CN202311085673A CN117061191A CN 117061191 A CN117061191 A CN 117061191A CN 202311085673 A CN202311085673 A CN 202311085673A CN 117061191 A CN117061191 A CN 117061191A
- Authority
- CN
- China
- Prior art keywords
- attacker
- interaction
- honeypot
- decoy
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 230000008901 benefit Effects 0.000 claims abstract description 88
- 239000013589 supplement Substances 0.000 claims abstract description 42
- 230000009545 invasion Effects 0.000 claims abstract description 32
- 235000012907 honey Nutrition 0.000 claims abstract description 11
- 230000001502 supplementing effect Effects 0.000 claims abstract description 4
- 230000007123 defense Effects 0.000 claims description 39
- 230000003993 interaction Effects 0.000 claims description 36
- 230000008569 process Effects 0.000 claims description 15
- 238000001764 infiltration Methods 0.000 claims description 10
- 230000008595 infiltration Effects 0.000 claims description 10
- 230000000153 supplemental effect Effects 0.000 claims description 5
- 238000003860 storage Methods 0.000 claims description 3
- 238000005303 weighing Methods 0.000 claims description 2
- 230000000295 complement effect Effects 0.000 claims 1
- 238000004088 simulation Methods 0.000 description 9
- 230000008859 change Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 230000003068 static effect Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000009469 supplementation Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000019771 cognition Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于不完全信息博弈的诱饵文件部署方法、设备及介质,其中,方法包括:通过以防御方角度获取攻击方进行入侵的漏洞类型、攻击方入侵的节点所部署的蜜罐类型以及防御方是否部署诱饵文件节点进行防御补充,对防御方的博弈收益进行计算;通过以攻击方角度获取攻击方进行入侵的漏洞类型、攻击方入侵的节点所部署的蜜罐类型以及防御方是否部署诱饵文件节点进行防御补充,对攻击方的博弈收益进行计算;通过对所述防御方的博弈收益以及攻击方的博弈收益进行分析,得出当前网络要素条件下是否进行诱饵文件的部署,以解决进而得出在当前网络要素条件下是否应该对诱饵文件进行部署的问题。
Description
技术领域
本文件涉及网络安全技术领域,尤其涉及一种基于不完全信息博弈的诱饵文件部署方法、设备及介质。
背景技术
在工控网络场景下的威胁诱捕环境的构建中,部署虚假数据的过程中一直存在着虚假数据中越多的真实网络情况信息能够带来越高的捕获概率,但同时越多的真实网络设备信息也会带来额外的网络安全风险。这种捕获概率与网络安全风险之间的冲突一直没有得到解决,为网络安全防护人员在虚假数据的部署过程中造成了极大的困扰。
发明内容
本发明提供一种基于不完全信息博弈的诱饵文件部署方法、设备及介质,旨在解决上述问题。
本发明实施例提供一种基于不完全信息博弈的诱饵文件部署方法,包括:
S1、基于防御方角度根据攻击方进行入侵的漏洞类型、攻击方入侵的节点所部署的蜜罐类型以及防御方是否部署诱饵文件节点进行防御补充,对防御方的博弈收益进行计算;
S2、基于攻击方角度根据攻击方进行入侵的漏洞类型、攻击方入侵的节点所部署的蜜罐类型以及防御方是否部署诱饵文件节点进行防御补充,对攻击方的博弈收益进行计算;
S3、通过对所述防御方的博弈收益以及攻击方的博弈收益进行分析,得出当前网络要素条件下是否进行诱饵文件的部署;
其中,所述攻击方进行入侵的漏洞类型包括:Nday类型和0day类型,所述攻击方入侵的节点所部署的蜜罐类型包括:低交互蜜罐和高交互蜜罐。
本发明实施例提供一种电子设备,包括:
处理器;以及,
被安排成存储计算机可执行指令的存储器,所述计算机可执行指令在被执行时使所述处理器执行如基于不完全信息博弈的诱饵文件部署方法的步骤。
本发明实施例提供一种存储介质,用于存储计算机可执行指令,所述计算机可执行指令在被执行时实现如基于不完全信息博弈的诱饵文件部署方法的步骤。
通过采用本发明实施例采用不完全信息博弈模型对诱饵文件的部署效果进行分析,以带来的网络安全风险作为诱饵部署的成本代价,同时以一定的概率值对网络攻击进行捕获。结合其他网络配置信息对诱饵文件的诱捕过程进行分析,进而得出在当前网络要素条件下是否应该进行部署,为网络安全防护人员在部署威胁诱捕环境中是否采取虚假数据作为诱骗组件提供理论依据和支撑。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的基于不完全信息博弈的诱饵文件部署方法的流程图;
图2为本发明实施例的基于诱饵文件补充的不完全信息静态攻防博弈模型示意图;
图3为本发明实施例的攻击逃逸概率图;
图4为本发明实施例的仿真环境下防御方和攻击方的收益示意图;
图5为本发明实施例的仿真环境下所有纯策略贝叶斯均衡解的示意图;
图6为本发明实施例的网络节点大小对攻防收益的影响示意图;
图7为本发明实施例的考虑攻击方选择0day漏洞进行入侵的概率由0到1变化时攻守双方的收益变化;
图8为本发明实施例的攻击方式选择概率对收益的影响示意图;
图9为本发明实施例的防御方视角博弈树;
图10为本发明实施例的攻击方视角博弈树。
具体实施方式
为了使本技术领域的人员更好地理解本说明书一个或多个实施例中的技术方案,下面将结合本说明书一个或多个实施例中的附图,对本说明书一个或多个实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明书一个或多个实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本文件的保护范围。
方法实施例
根据本发明实施例,提供了一种基于不完全信息博弈的诱饵文件部署方法,图1为本发明实施例的基于不完全信息博弈的诱饵文件部署方法的流程图,根据图1所示,本发明实施例的基于不完全信息博弈的诱饵文件部署方法包括:
S1、基于防御方角度根据攻击方进行入侵的漏洞类型、攻击方入侵的节点所部署的蜜罐类型以及防御方是否部署诱饵文件节点进行防御补充,对防御方的博弈收益进行计算;
S2、基于攻击方角度根据攻击方进行入侵的漏洞类型、攻击方入侵的节点所部署的蜜罐类型以及防御方是否部署诱饵文件节点进行防御补充,对攻击方的博弈收益进行计算;
S3、通过对所述防御方的博弈收益以及攻击方的博弈收益进行分析,得出当前网络要素条件下是否进行诱饵文件的部署;
其中,所述攻击方进行入侵的漏洞类型包括:Nday类型和0day类型,所述攻击方入侵的节点所部署的蜜罐类型包括:低交互蜜罐和高交互蜜罐。
攻击方采用Nday漏洞或是0day漏洞进行入侵是攻击方的私有信息,而防御方所部署的蜜罐类型是防御方的私有信息。私有信息的存在造成了模型中博弈选择的不确定性,这种不确定性构成了博弈中信息的不完全性。图2为本发明实施例的基于诱饵文件补充的不完全信息静态攻防博弈模型,博弈模型中,通过一个概率分布对攻击方使用0day漏洞或Nday漏洞进行渗透入侵进行描述,利用数量比例作为概率描述攻击方入侵的蜜罐类型。通过一个蜜罐诱捕失败概率函数来对黑客攻击能力和蜜罐防护能力进行描述,同时用一个概率值描述诱饵文件捕捉到攻击者行为的能力。
攻击方的战略选择包括进行入侵攻击或不进行入侵攻击,防御方的战略选择包括部署诱饵文件和不进行部署诱饵文件。防御方的收益构成包括网络节点正常运行的收益、捕获攻击的奖励以及蜜罐和诱饵文件部署的成本,其中网络节点正常运行的收益用来描述工控网络内节点的资产价值,诱饵文件的部署成本用来描述文件所包含真实信息可能带来的安全风险。攻击方的收益组成包括在成功逃逸并没有踩到诱饵文件的进攻收益以及成功入侵的奖励和一个攻击发起成本,其中进攻收益是一个与正常运行收益相关的严格单调递增的函数。
定义1:基于诱饵文件补充的不完全信息静态攻防博弈模型可以用一个六元组来表示:HBAG=<Z,W,FZ,FW,UZ,UW>。其中:
(1)Z∈{Z1,Z2}表示防御方所部署的两种不同的蜜罐,Z1表示低交互蜜罐,只能模拟少量的互联网服务,具有较低的交互性和部署成本,同时也更容易被攻击者识别,进行绕过;Z2表示高交互蜜罐,能够比较真实的模拟设备和服务,具有较大的概率捕获攻击者,但部署成本较高。
(2)W∈{W1,W2}表示攻击方所采用的攻击方式,W1表示在工业控制系统中由于计划生产、时间安排等已经发布补丁但没有及时进行更新的Nday漏洞利用,W2表示工业控制系统当中还没有发出漏洞公告和补丁信息的0day漏洞利用方式。Nday漏洞相比于0day漏洞具有更小的攻击成本,但漏洞利用的成功概率也较低。
(3)FZ∈{(Ω1,Ω1),(Ω1,Ω2),(Ω2,Ω1),(Ω2,Ω2)}表示防御方所采用的防御策略集合,其中Ω1表示防御方在节点中采用诱饵文件进行补充防御,Ω2表示防御方在节点中不采用诱饵文件进行补充防御,防守策略(Ω1,Ω2)表示在低交互蜜罐部署诱饵文件作为补充,在高交互蜜罐不进行诱饵文件补充。
(4)FW∈{(v1,v1),(v1,v2),(v2,v2),(v2,v2)}表示攻击方所采用的攻击策略集合,其中v1表示攻击方在权衡过后选择对工业控制系统发起攻击,v2表示攻击方在在权衡后果不对工业互联网发起攻击,攻击策略(v1,v2)表示面对低交互蜜罐发起攻击,面对高交互蜜罐不发起攻击。
(5)UZ表示防御方在博弈过程中可能获得的最终收益,代表防御方在防御过程中部署的全部蜜罐的收益的总和。
(6)UW表示攻击方在博弈过程中可能获得的最终收益,代表攻击方在防御过程中所获得的所有收益总和。
下面对步骤S1进行更为具体的说明:
对于防御方来说,0day漏洞和Nday漏洞捕获的难度是不同的,同时高交互蜜罐与低交互蜜罐的捕获能力也是不同的。如果攻击方采用Nday漏洞进行入侵,当低交互蜜罐不采取诱饵文件作为补充时,捕获Nday漏洞攻击失败时候,防防御方的收益为-ξ1,但捕获Nday漏洞成功时,防御方的收益为χ1+ε1-ξ1;如果攻击方入侵的节点为高交互蜜罐,当捕获Nday漏洞攻击失败时,防御方的收益为-ξ2,同样如果捕获Nday漏洞攻击成功时候,防御方获得的收益为χ1+ε1-ξ2。如果攻击方采用0day漏洞进行入侵,当攻击方入侵的节点所部署的蜜罐为低交互蜜罐时候如果捕获失败,防御方的收益为-ξ1,但捕获0day漏洞成功时,防御方的收益为χ1+ε2-ξ1;如果攻击方入侵的节点为高交互蜜罐,当捕获0day漏洞攻击失败时,防御方的收益为-ξ2,同样如果捕获0day漏洞攻击成功时候,防御方获得的收益为χ1+ε2-ξ2。以上讨论的是防御方采用不部署诱饵文件节点进行防御的情况,如果防御方采用诱饵文件对节点的防御进行补充,当攻击方采用Nday漏洞进行入侵时候,如果入侵的节点为低交互蜜罐,防御方在诱捕失败的时候收益为-ξ1-β,如果诱捕Nday漏洞成功,防御方的收益为χ1+ε1-ξ1-β;如果攻击方入侵的节点为高交互蜜罐,当捕获Nday漏洞攻击失败时,防御方的收益为-ξ2-β,如果捕获Nday漏洞攻击成功时候,防御方获得的收益为χ1+ε1-ξ2-β。如果攻击方采用0day漏洞进行入侵,当攻击方入侵的节点所部署的蜜罐为低交互蜜罐时候如果捕获失败,防御方的收益为-ξ1-β,但捕获0day漏洞成功时,防御方的收益为χ1+ε2-ξ1-β;如果攻击方入侵的节点为高交互蜜罐,当捕获0day漏洞攻击失败时,防御方的收益为-ξ2-β,同样如果捕获0day漏洞攻击成功时候,防御方获得的收益为χ1+ε2-ξ2-β。
表1高低交互蜜罐捕获攻击失败的概率
本发明采用蜜罐捕获攻击的失败概率来描述不同攻击的入侵能力和不同蜜罐的捕获能力。依据以往文献的分析,诱捕攻击成功的概率与蜜罐的数量成正相关。基于此,本发明采用蜜罐捕获失败概率的描述函数,用表达式ψi(num|pi,afi)描述。其中,pi用来表述单个蜜罐捕获攻击的能力,即ψi(num=1|pi,afi)=pi,afi用于描述攻击方入侵过程中最低的逃脱概率,构成的表达式是一个随着蜜罐数量增多严格单调递增并逐渐趋近于最低逃脱概率的函数。
在攻击方与防御方博弈的过程中,攻击方在入侵阶段所采用0day或Nday漏洞的攻击手段对于防御方来说是不确定信息。本发明采用离散概率分布用来描述防御方对攻击者的攻防认知,具体的概率描述为p(W1)=1-θ,p(W2)=θ。同时用符号λ表示攻击方成功入侵渗入后打开所部署的诱饵文件而导致渗入攻击失败的概率。由此,经过Harsanyi转换后,可以得到防御方在不完全信息静态博弈过程中的博弈树并依此进行防御方的收益计算,进而求解贝叶斯纳什均衡。
完成防御方视角的博弈过程分析后,对防御方的博弈收益进行计算。首先考虑攻击方发起入侵的情况,当攻击方入侵节点为低交互蜜罐时,低交互蜜罐采用诱饵文件作为防御补充,由低交互蜜罐对抗0day或Nday漏洞渗入攻击的收益由式(1)表示:
其中表示低交互蜜罐采用诱饵文件作为补充对抗Nday漏洞攻击所取得的收益,/>表示低交互蜜罐采用诱饵文件作为补充对抗0day漏洞攻击所取得的收益。/>与/>分别由式(2)以及式(3)进行表示:
当蜜罐不采用诱饵文件作为补充对抗攻击者入侵时,低交互蜜罐所取得的收益由式(4)、式(5)以及式(6)表示:
类似地,当攻击方入侵节点为高交互蜜罐时,高交互蜜罐采用诱饵文件作为防御补充,由高交互蜜罐对抗0day或Nday漏洞渗入攻击的收益由式(7)表示:
其中表示高交互蜜罐采用诱饵文件作为补充对抗Nday漏洞攻击所取得的收益,/>表示高交互蜜罐采用诱饵文件作为补充对抗0day漏洞攻击所取得的收益。/>与/>分别由式(8)以及式(9)进行表示:
当攻击方入侵过程节点为高交互蜜罐时,防御方不采用诱饵文件作为补充防御时,由高交互蜜罐对抗0day或Nday漏洞渗入攻击的收益由式(10)、式(11)以及式(12)表示:
当攻击方选择不发起入侵攻击时,防御方选择或不选择部署诱饵文件作为补充防御时,所部署的蜜罐节点的收益函数为式(13)、式(14):
UZ(Ω1,v2)=(χ-ξ1-β)[n/(m+n)]+(-ξ2-β)[m/(m+n)] (13)
UZ(Ω2,v2)=(χ-ξ1)[n/(m+n)]+(-ξ2)[m/(m+n)] (14)
攻击方的收益为所有节点的收益之和:
下面对S2进行具体说明:
对于攻击方来说,选择0day漏洞和Nday漏洞利用的成本时不同的,同时在面对高交互和低交互蜜罐的逃逸难度也有差别。如果防御方采用诱饵文件作为防御补充,当选择采用Nday漏洞入侵且入侵节点为低交互蜜罐时,渗透攻击失败时,攻击方的收益为-γ1,但Nday漏洞利用成功时,攻击方的收益为χ2+ξ1-γ1;如果入侵的节点为高交互蜜罐,当Nday漏洞利用攻击失败时,攻击方的收益为-γ1,同样如果Nday漏洞利用攻击成功时候,攻击方获得的收益为χ2+ξ2-γ1。如果采用0day漏洞利用进行入侵,当入侵节点所部署的蜜罐为低交互蜜罐时候如果漏洞利用攻击失败,攻击方的收益为-γ2,但0day漏洞利用攻击成功时,攻击方的收益为χ2+ξ1-γ2;如果攻击方入侵的节点为高交互蜜罐,当0day漏洞利用攻击失败时,攻击方的收益为-γ2,同样如果0day漏洞利用攻击成功时候,攻击方获得的收益为χ2+ξ2-γ2。以上讨论的是防御方采用部署诱饵文件节点进行防御的情况,如果防御方不采用诱饵文件进行防御补充,当攻击方采用Nday漏洞进行入侵时候,如果入侵的节点为低交互蜜罐,攻击方在漏洞利用攻击失败的时候收益为-γ1,如果诱捕Nday漏洞成功,攻击方的收益为χ2+ξ1-γ1;如果攻击方入侵的节点为高交互蜜罐,当Nday漏洞利用攻击失败时,攻击方的收益为-γ1,如果Nday漏洞利用攻击成功时候,攻击方获得的收益为χ2+ξ2-γ1。如果攻击方采用0day漏洞进行入侵,当攻击方入侵的节点为低交互蜜罐防御,如果攻击失败,攻击方的收益为-γ2,但0day漏洞利用成功时,攻击方的收益为χ2+ξ1-γ2;如果攻击方入侵的节点部署高交互蜜罐进行防御,当0day漏洞攻击失败时,攻击方的收益为-γ2,同样如果0day漏洞利用攻击成功时候,攻击方获得的收益为χ2+ξ2-γ2。
攻击方虽然能够了解到防御方部署的蜜罐的数量和比例,但在实际入侵过程中,攻击方不能断定进行入侵的节点是高交互蜜罐还是低交互蜜罐,这里采用高低交互蜜罐的数量比值作为概率分布来表述这种不确定性。
完成攻击方视角的博弈过程分析后,对攻击方的博弈收益进行计算。当防御方选择部署诱饵文件作为防御补充,考虑选择入侵时进入的节点为低交互蜜罐时的收益由式(16)表示:
其中表示采用Nday漏洞利用攻击采用诱饵文件补充防御的低交互蜜罐攻击方所取得的收益,/>表示利用0day漏洞攻击采用诱饵文件补充防御的低交互蜜罐所取得的收益。/>与/>分别由式(17)以及式(18)进行表示:
当蜜罐不采用诱饵文件作为补充对抗攻击者入侵时,入侵低交互蜜罐所取得的收益由式(19)、式(20)以及式(21)表示:
类似地,当防御方采用诱饵文件作为防御补充时,攻击方入侵节点为高交互蜜罐攻击方所取得的攻击收益由式(22)表示:
其中表示攻击方使用Nday漏洞入侵有诱饵文件补充防御的高交互蜜罐节点所取得的攻击收益,/>表示攻击方使用0day漏洞攻击所取得的收益。与/>分别由式(23)以及式(24)进行表示:
当防御方选择不采用诱饵文件作为防御补充时,攻击方入侵节点为高交互蜜罐的情况下,攻击方采用Nday或0day漏洞渗入攻击所取得的收益由式(25)、式(26)以及式(27)表示:
当攻击方选择不进攻时,攻击方所取得的收益为0,即:
本发明通过构建一个100节点的工业控制系统,对本发明的部署策略进行验证。在仿真实验的验证下证明了本发明策略是有效能取得最高收益的。同时通过改变工控网络环境下的各类影响因素,基于本发明能够得出相比与网络大小、攻击方的入侵方式,能够更加直接影响到是否进行诱饵文件部署的是网络资产价值的大小。
本发明实验在仿真实验环境Windows11 22H2,python 3.9.7环境下进行。结合以往的专家学者的研究经验对工控网络中高地交互蜜罐的部署成本、0day及Nday漏洞利用成本、工控网络节点资产价值等参数进行设置,具体仿真参数设置如下表所示:
表2仿真参数设置列表
为了体现出采用Nday和0day漏洞攻击高低交互蜜罐的差异,攻击方采用不同手段入侵工控网络的成功概率设置为(p1,p2,p3,p4)=(0.6,0.5,0.8,0.7),入侵的最小逃脱概率分别(af1,af2,af3,af4)=(0.4,0.3,0.6,0.5)。如图3所示为本发明实施例的攻击逃逸概率图。
描述攻击方入侵能力和蜜罐捕获能力的函数ψi(num|pi,afi)的具体表达式:
由图4的防御方收益图部分可以看出,随着高交互蜜罐部署的比例增加,防御方策略的收益均呈现严格的单调递增,防御方的贝叶斯均衡策略在网络节点中高交互和低交互蜜罐比例无论如何变化都能够始终高于其他防御策略的收益,其中在起始点和终点,由于低交互和高交互蜜罐的部署为0,导致贝叶斯均衡策略与防御策略3和防御策略2在实际意义上相同,取得的收益也相同。
由图4的攻击方收益图部分可以看出,攻击方的收益随着防御方部署的高交互蜜罐比例不断增加呈现出单调递减的趋势,但攻击方的贝叶斯均衡策略在网络节点中高交互和低交互蜜罐比例无论如何变化都能够始终高于其他攻击策略的收益,同样在起始点和终点,由于低交互和高交互蜜罐的部署为0,导致贝叶斯均衡策略与攻击策略3和攻击策略2在实际意义上相同,取得的收益也相同。
每一种具体的工控网络环境中,由于参数确定,每个判断条件有具体的参数值,会有两种纯策略贝叶斯均衡由于不在判定条件的可行域范围导致贝叶斯均衡不存在。图5为本发明实施例的仿真环境下所有纯策略贝叶斯均衡解示意图,给出仿真环境下的所有可能的纯策略贝叶斯均衡,以便于后续讨论资产价值等工控网络因素对诱饵文件部署发挥效果的影响。
对网络大小的讨论当中,保持仿真环境中高低交互蜜罐的比例成倍增加,除网络大小外,其他参数均不变。从图6中可以看出,网络节点大小的变化与攻防双方的收益成线性增长,但攻防双方的贝叶斯策略并不受到影响。由此能够得出诱饵文件的部署在同样比例高低交互蜜罐部署的工控网络中都能够取得较好的收益,但随着网络节点数量增加,不同的攻击方策略之间的差距相比于不同防守方策略之间的差距要更大。由此可以看出对于更大的数量的网络节点,对防御方的防御能力要求更高,而攻击方选择持续攻击的收益会更大。但网络的大小也不会对攻防双方的策略选择产生影响。
对于攻击方攻击选择的讨论中,考虑攻击方选择0day漏洞进行入侵的概率由0到1变化,观察攻守双方的收益变化。从图7可以看出,随着攻击方选择0day漏洞进行入侵的概率不断增大,攻击方选择入侵的收益不断提高。而防守方所取得的收益不断下降,变化方式均为线性。但不论攻击方采取0day漏洞入侵的概率如何变化,诱饵文件的补充在防守方视角始终都能发挥作用,并不影响博弈过程贝叶斯均衡解的变化。由此能够看出攻击方选择何种入侵方式会影响到攻守双方的收益,但对于攻防双方的战略选择并不产生影响。是否进行诱饵文件的部署与攻击方的入侵方式影响不大。
网络资产价值大小的讨论中,为了能够更清晰的看到资产价值变化对贝叶斯策略的影响,调整网络大小为10个节点,其中高低交互蜜罐数量相同,同时取低交互蜜罐的部署成本为0.5,高交互蜜罐的部署成本为4,诱饵文件捕获的概率为0.3。
从图8中可以看出,防御方的最高收益的策略随着防御方资产价值的变化呈现出交替的变化,最终在资产价值高于一定值后稳定在防御策略1。当防御方资产价值较低时,诱饵文件的部署带来的额外的价值消耗,防御方的最优策略为不对节点进行诱饵文件部署,而随着资产价值的不断增大,由于诱饵文件部署能够带来的收益提升速率更大,最终稳定在工控网络环境中部署诱饵文件进行补充防御。由此能够看出选择诱饵文件进行补充防御对工控网络中节点的资产价值有基础的要求。
在攻击方视角,工控网络节点资产价值过低时,攻击方更倾向于防御能力更低的节点发起攻击或不发起攻击,随着防御方资产价值的增多,攻击方的最优策略产生变化,攻击最优策略最终稳定在选择对网络节点发起攻击上。
通过采用本发明实施例,具备如下有益效果:
本发明采用不完全信息博弈模型对诱饵文件的部署效果进行分析,以带来的网络安全风险作为诱饵部署的成本代价,同时以一定的概率值对网络攻击进行捕获。结合其他网络配置信息对诱饵文件的诱捕过程进行分析,进而得出在当前网络要素条件下是否应该进行部署。为网络安全防护人员在部署威胁诱捕环境中是否采取虚假数据作为诱骗组件提供理论依据和支撑。
装置实施例一
本发明实施例提供了一种电子设备,包括:
处理器;以及,
被安排成存储计算机可执行指令的存储器,所述计算机可执行指令在被执行时使所述处理器执行如上述方法实施例所述的步骤。
装置实施例二
本发明实施例提供了一种存储介质,用于存储计算机可执行指令,所述计算机可执行指令在被执行时实现如上述方法实施例所述的步骤。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种基于不完全信息博弈的诱饵文件部署方法,其特征在于,包括:
S1、基于防御方角度根据攻击方进行入侵的漏洞类型、攻击方入侵的节点所部署的蜜罐类型以及防御方是否部署诱饵文件节点进行防御补充,对防御方的博弈收益进行计算;
S2、基于攻击方角度根据攻击方进行入侵的漏洞类型、攻击方入侵的节点所部署的蜜罐类型以及防御方是否部署诱饵文件节点进行防御补充,对攻击方的博弈收益进行计算;
S3、通过对所述防御方的博弈收益以及攻击方的博弈收益进行分析,得出当前网络要素条件下是否进行诱饵文件的部署;
其中,所述攻击方进行入侵的漏洞类型包括:Nday类型和0day类型,所述攻击方入侵的节点所部署的蜜罐类型包括:低交互蜜罐和高交互蜜罐。
2.根据权利要求1所述的方法,其特征在于,所述S1具体包括:
S11、获取攻击方入侵节点所部署的蜜罐类型为低交互蜜罐,低交互蜜罐采用诱饵文件节点进行防御补充以及不采用诱饵文件作为补充对抗攻击者入侵时,由低交互蜜罐对抗0day或Nday漏洞渗入攻击的收益;
S12、获取攻击方入侵节点所部署的蜜罐类型为高交互蜜罐时,高交互蜜罐采用诱饵文件进行防御补充以及不采用诱饵文件作为补充对抗攻击者入侵时,由高交互蜜罐对抗0day或Nday漏洞渗入攻击的收益;
S13、获取当攻击方选择不发起入侵攻击时,防御方选择或不选择部署诱饵文件作为补充防御时,所部署的蜜罐节点的收益。
3.根据权利要求2所述的方法,其特征在于,所述S11具体包括:
通过公式1获取攻击方入侵节点为所部署的蜜罐类型为低交互蜜罐,低交互蜜罐采用诱饵文件节点进行防御补充,由低交互蜜罐对抗0day或Nday漏洞渗入攻击的收益:
其中,表示低交互蜜罐采用诱饵文件作为补充对抗Nday漏洞攻击所取得的收益,/>表示低交互蜜罐采用诱饵文件作为补充对抗0day漏洞攻击所取得的收益,与/>分别由公式2以及公式3进行表示:
通过公式4、公式5以及公式6获取当蜜罐不采用诱饵文件作为补充对抗攻击者入侵时低交互蜜罐所取得的收益:
其中,Z1表示低交互蜜罐,Z2表示高交互蜜罐,W1表示Nday漏洞,W2表示0day漏洞,Ω1表示防御方在节点中采用诱饵文件进行补充防御,Ω2表示防御方在节点中不采用诱饵文件进行补充防御,v1表示攻击方在权衡过后选择对工业控制系统发起攻击,v2表示攻击方在在权衡后果不对工业互联网发起攻击。
4.根据权利要求3所述的方法,其特征在于,所述S12具体包括:
通过公式7获取攻击方入侵节点为高交互蜜罐时,高交互蜜罐采用诱饵文件作为防御补充,由高交互蜜罐对抗0day或Nday漏洞渗入攻击的收益:
其中表示高交互蜜罐采用诱饵文件作为补充对抗Nday漏洞攻击所取得的收益,/>表示高交互蜜罐采用诱饵文件作为补充对抗0day漏洞攻击所取得的收益。与/>分别由公式8和公式9进行表示:
通过公式10、公式11、以及公式12获取攻击方入侵过程节点为高交互蜜罐时,防御方不采用诱饵文件作为补充防御时,由高交互蜜罐对抗0day或Nday漏洞渗入攻击的收益:
5.根据权利要求3所述的方法,其特征在于,所述S13具体包括:
通过公式13和公式14获取当攻击方选择不发起入侵攻击时,防御方选择或不选择部署诱饵文件作为补充防御时,所部署的蜜罐节点的收益:
UZ(Ω1,v2)=(χ-ξ1-β)[n/(m+n)]+(-ξ2-β)[m/(m+n)] 公式13;
UZ(Ω2,v2)=(χ-ξ1)[n/(m+n)]+(-ξ2)[m/(m+n)] 公式14;
通过公式15获取攻击方的收益之和:
6.根据权利要求1所述的方法,其特征在于,所述S2具体包括:
S21、获取防御方选择部署诱饵文件作为防御补充以及不采用诱饵文件作为防御补充时,入侵低交互蜜罐时的收益;
S22、获取防御方选择部署诱饵文件作为防御补充以及不采用诱饵文件作为防御补充时,入侵低交互蜜罐时的收益。
7.根据权利要求6所述的方法,其特征在于,所述S21具体包括:
通过公式16获取防御方选择部署诱饵文件作为防御补充入侵低交互蜜罐时的收益:
其中表示采用Nday漏洞利用攻击采用诱饵文件补充防御的低交互蜜罐攻击方所取得的收益,/>表示利用0day漏洞攻击采用诱饵文件补充防御的低交互蜜罐所取得的收益,
与/>分别由公式17以及公式18进行表示:
通过公式19、公式20以及公式21获取不采用诱饵文件作为防御补充时,入侵低交互蜜罐时的收益:
8.根据权利要求6所述的方法,其特征在于,所述S22具体包括:
通过公式22获取防御方选择部署诱饵文件作为防御补充入侵低交互蜜罐时的收益:
其中,表示攻击方使用Nday漏洞入侵有诱饵文件补充防御的高交互蜜罐节点所取得的攻击收益,/>表示攻击方使用0day漏洞攻击所取得的收益;
与/>分别由公式23和公式24进行获取:
通过公式25、公式26以及公式27获取防御方不采用诱饵文件作为防御补充时,入侵低交互蜜罐时的收益:
9.一种电子设备,包括:
处理器;以及,
被安排成存储计算机可执行指令的存储器,所述计算机可执行指令在被执行时使所述处理器执行如权利要求1-8中任一项所述基于不完全信息博弈的诱饵文件部署方法的步骤。
10.一种存储介质,用于存储计算机可执行指令,所述计算机可执行指令在被执行时实现如权利要求1-8中任一项所述基于不完全信息博弈的诱饵文件部署方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311085673.7A CN117061191B (zh) | 2023-08-25 | 2023-08-25 | 基于不完全信息博弈的诱饵文件部署方法、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311085673.7A CN117061191B (zh) | 2023-08-25 | 2023-08-25 | 基于不完全信息博弈的诱饵文件部署方法、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117061191A true CN117061191A (zh) | 2023-11-14 |
| CN117061191B CN117061191B (zh) | 2024-05-10 |
Family
ID=88664277
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311085673.7A Active CN117061191B (zh) | 2023-08-25 | 2023-08-25 | 基于不完全信息博弈的诱饵文件部署方法、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117061191B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101808020A (zh) * | 2010-04-19 | 2010-08-18 | 吉林大学 | 基于不完全信息动态博弈的入侵响应决策方法 |
| US20170155677A1 (en) * | 2015-11-30 | 2017-06-01 | Arizona Board Of Regents On Behalf Of Arizona State University | Systems and methods for data driven game theoretic cyber threat mitigation |
| CN107147670A (zh) * | 2017-06-16 | 2017-09-08 | 福建中信网安信息科技有限公司 | 基于博弈体系的apt防御方法 |
| CN109714364A (zh) * | 2019-02-20 | 2019-05-03 | 湖南大学 | 一种基于贝叶斯改进模型的网络安全防御方法 |
| CN113037777A (zh) * | 2021-04-09 | 2021-06-25 | 广州锦行网络科技有限公司 | 蜜罐诱饵的分配方法及装置、存储介质、电子设备 |
| CN115348064A (zh) * | 2022-07-28 | 2022-11-15 | 南京邮电大学 | 网络攻击下基于动态博弈的配电网防御策略设计方法 |
| CN115688100A (zh) * | 2022-11-04 | 2023-02-03 | 济南浪潮数据技术有限公司 | 一种放置诱饵文件的方法、装置、设备及介质 |
| CN115913731A (zh) * | 2022-11-29 | 2023-04-04 | 浙江工业大学 | 基于智能化渗透测试的战略蜜罐部署防御方法 |
-
2023
- 2023-08-25 CN CN202311085673.7A patent/CN117061191B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101808020A (zh) * | 2010-04-19 | 2010-08-18 | 吉林大学 | 基于不完全信息动态博弈的入侵响应决策方法 |
| US20170155677A1 (en) * | 2015-11-30 | 2017-06-01 | Arizona Board Of Regents On Behalf Of Arizona State University | Systems and methods for data driven game theoretic cyber threat mitigation |
| CN107147670A (zh) * | 2017-06-16 | 2017-09-08 | 福建中信网安信息科技有限公司 | 基于博弈体系的apt防御方法 |
| CN109714364A (zh) * | 2019-02-20 | 2019-05-03 | 湖南大学 | 一种基于贝叶斯改进模型的网络安全防御方法 |
| CN113037777A (zh) * | 2021-04-09 | 2021-06-25 | 广州锦行网络科技有限公司 | 蜜罐诱饵的分配方法及装置、存储介质、电子设备 |
| CN115348064A (zh) * | 2022-07-28 | 2022-11-15 | 南京邮电大学 | 网络攻击下基于动态博弈的配电网防御策略设计方法 |
| CN115688100A (zh) * | 2022-11-04 | 2023-02-03 | 济南浪潮数据技术有限公司 | 一种放置诱饵文件的方法、装置、设备及介质 |
| CN115913731A (zh) * | 2022-11-29 | 2023-04-04 | 浙江工业大学 | 基于智能化渗透测试的战略蜜罐部署防御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117061191B (zh) | 2024-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Libicki | Cyberspace is not a warfighting domain | |
| CN110300106B (zh) | 基于Markov时间博弈的移动目标防御决策选取方法、装置及系统 | |
| Shen et al. | Adaptive Markov game theoretic data fusion approach for cyber network defense | |
| Huang et al. | Dynamic bayesian games for adversarial and defensive cyber deception | |
| CN108965346A (zh) | 一种失陷主机检测方法 | |
| Monge et al. | A novel self-organizing network solution towards crypto-ransomware mitigation | |
| CN108898010A (zh) | 一种建立面向恶意代码防御的攻防随机博弈模型的方法 | |
| CN111064702B (zh) | 基于双向信号博弈的主动防御策略选取方法及装置 | |
| Wan et al. | Foureye: Defensive deception against advanced persistent threats via hypergame theory | |
| Khalaf et al. | An adaptive model for detection and prevention of DDoS and flash crowd flooding attacks | |
| Hussain et al. | Advance persistent threat—a systematic review of literature and meta-analysis of threat vectors | |
| Mishra et al. | A modified cascaded feed froward neural network distributed denial of service attack detection using improved regression based machine leaning approach | |
| CN117061191B (zh) | 基于不完全信息博弈的诱饵文件部署方法、设备及介质 | |
| Geers | Strategic cyber defense: Which way forward? | |
| Van Haaster et al. | Cyber guerilla | |
| Basilico et al. | A security game model for remote software protection | |
| Burita et al. | Cyber Security and APT Groups | |
| Aly et al. | Navigating the Deception Stack: In-Depth Analysis and Application of Comprehensive Cyber Defense Solutions | |
| Bukharov et al. | Mathematical simulation of countermeasures to attacks of “denial of service” type with the use of game theory approach | |
| Shen et al. | Strategies comparison for game theoretic cyber situational awareness and impact assessment | |
| Sharma et al. | Prevention against DDOS attack on cloud systems using triple filter: An algorithmic approach | |
| Shen et al. | An adaptive Markov game model for cyber threat intent inference | |
| Bouafia et al. | Game theory approach for analysing attack graphs | |
| Zhang | Industrial control system defense decision-making method based on dynamic attack-defense game | |
| Asefi-Ghamari et al. | Game-Theoretic Method for Optimal Initial Allocation of Honeypots for Enhanced Network Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |