基于擴(kuò)展式博弈的網(wǎng)絡(luò)安全防御策略研究

潘子軒 許曉東 朱士瑞

摘要：基于博弈理論的網(wǎng)絡(luò)安全防御策略研究，大多使用完全信息或靜態(tài)博弈理論進(jìn)行攻防過(guò)程建模。針對(duì)現(xiàn)有攻防博弈模型的局限性，以網(wǎng)絡(luò)安全防御的蜜罐（Honeypot）技術(shù)為研究對(duì)象，從動(dòng)態(tài)、不完全信息角度對(duì)攻防交互過(guò)程建模，提出了網(wǎng)絡(luò)攻防擴(kuò)展式博弈模型（Network Attack-Defense Extensive-Form Game Model，NEFGM），給出了擴(kuò)展式博弈的斯塔克爾伯格均衡（Stackelberg Equilibrium，SE）求解算法，從而在權(quán)衡防御成本和收益的前提下提供決策參考。仿真實(shí)驗(yàn)分析驗(yàn)證了模型和求解算法的可行性及有效性。

關(guān)鍵詞：網(wǎng)絡(luò)安全；擴(kuò)展式博弈；蜜罐技術(shù)；博弈均衡

DOIDOI：10.11907/rjdk.181252

中圖分類(lèi)號(hào)：TP309

文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-7800（2018）010-0191-03

英文摘要Abstract：Researches on the defense strategy of network security based on game theory mostly use completed information or static game theory to establish the model of offensive and defensive process.In order to solve the limitations of the existing offensive and defensive game model，this paper proposes a network attack-defense game model based on the extensive-form game，which is modeled in a dynamic way and has incomplete information.The honeypot technology of network security is studied，moreover， the solving algorithm of Stackelberg Equilibrium based on the extensive-form game is given so as to make decision guidance for managers on the premise of balancing defense costs and benefits.Through the simulation experiment and analysis， the feasibility and effectiveness of the model and the solving algorithm are verified.

英文關(guān)鍵詞Key Words：network security；extensive-form game；honeypot technology；game equilibrium

0 引言

現(xiàn)有的網(wǎng)絡(luò)安全防御技術(shù)依賴防火墻、漏洞掃描、入侵檢測(cè)和反病毒軟件等，大多是檢測(cè)到攻擊后才有響應(yīng)，因此在攻防對(duì)抗中容易陷入被動(dòng)。作為未來(lái)網(wǎng)絡(luò)安全防御研究的發(fā)展方向，主動(dòng)防御技術(shù)受到了研究者的廣泛關(guān)注[1]。蜜罐技術(shù)是一種具有主動(dòng)性的入侵響應(yīng)技術(shù)[2]。蜜罐作為誘餌可以分散攻擊者對(duì)真正主機(jī)的注意力，檢測(cè)攻擊者的存在并收集有關(guān)攻擊者活動(dòng)的詳細(xì)信息。部署可信的蜜罐往往代價(jià)高昂，并且攻擊策略總是致力于避開(kāi)蜜罐，因此如何部署蜜罐以最大程度降低攻擊者收益值得深入分析。

本文借助一種博弈論方法研究蜜罐部署策略問(wèn)題，可作為博弈論方法進(jìn)行網(wǎng)絡(luò)安全加固決策的案例，也可為其它網(wǎng)絡(luò)安全防御策略研究提供思路。

1 相關(guān)研究

博弈論是研究各博弈方之間發(fā)生直接相互作用時(shí)的決策及決策均衡問(wèn)題的理論[3]。Hamilton等[4]指出，博弈論將在網(wǎng)絡(luò)攻防對(duì)抗領(lǐng)域發(fā)揮重要作用，是未來(lái)信息安全的研究方向之一。

目前已有多種博弈論模型應(yīng)用在網(wǎng)絡(luò)安全研究中。姜偉等[5]通過(guò)建立網(wǎng)絡(luò)攻防模型選取防御策略，該模型可看作攻防雙方在網(wǎng)絡(luò)中的一種非合作零和博弈過(guò)程。吉鴻珠等[6]基于隨機(jī)博弈理論進(jìn)行建模并求解納什均衡，從而分析網(wǎng)絡(luò)安全量化評(píng)估結(jié)果。林旺群等[7]基于非合作動(dòng)態(tài)博弈理論提出完全信息動(dòng)態(tài)博弈模型，并給出求解最佳攻防策略集的博弈算法。王曉丹等[8]結(jié)合博弈論思想研究計(jì)算機(jī)網(wǎng)絡(luò)防御策略，從靜態(tài)和動(dòng)態(tài)博弈兩種情況對(duì)防御策略進(jìn)行分析，得出最佳防御策略。上述研究都是基于完全信息假設(shè)建立的博弈模型，在通用性與準(zhǔn)確性上存在不足。劉玉嶺等[9]建立了基于不完全信息靜態(tài)博弈的績(jī)效評(píng)估模型，并通過(guò)求解貝葉斯指導(dǎo)防御策略選擇。胡裕靖等[10]研究在不完全信息擴(kuò)展博弈中對(duì)次優(yōu)對(duì)手弱點(diǎn)的利用，并在基于單牌撲克實(shí)驗(yàn)中驗(yàn)證算法的有效性。張恒巍等[11]提出基于信號(hào)博弈的網(wǎng)絡(luò)攻防博弈模型，給出了完美貝葉斯均衡求解過(guò)程，最后提出了基于模型的網(wǎng)絡(luò)安全威脅評(píng)估算法。Manshaei等[12]討論了博弈論在網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用的優(yōu)勢(shì)、不足和未來(lái)發(fā)展方向，認(rèn)為開(kāi)發(fā)新的博弈論方法是網(wǎng)絡(luò)安全研究的方向。

本文以蜜罐部署為防御策略研究網(wǎng)絡(luò)攻防過(guò)程，是一種防御者先行決策且攻擊者對(duì)防御決策具有不完全信息的動(dòng)態(tài)博弈?，F(xiàn)有完全信息或靜態(tài)博弈模型不能準(zhǔn)確描述這種交互攻防場(chǎng)景，因此選用擴(kuò)展式博弈模型結(jié)合實(shí)際攻防過(guò)程建模求解。

2 網(wǎng)絡(luò)攻防擴(kuò)展式博弈模型

動(dòng)態(tài)博弈指局中人輪流決策的博弈。將攻擊者與防御者的網(wǎng)絡(luò)攻防交互過(guò)程建模為一個(gè)二人擴(kuò)展式博弈[13]，是一個(gè)具有不完全信息的動(dòng)態(tài)博弈過(guò)程。在研究的攻防場(chǎng)景中，防御者首先選擇部署蜜罐策略，然后攻擊者進(jìn)行攻擊決策。不完全信息來(lái)源于攻擊者不確定的系統(tǒng)類(lèi)型。擴(kuò)展式博弈模型中攻防雙方的相互作用可以直觀地表示為博弈樹(shù)形式，如圖1所示。博弈樹(shù)可以添加自然節(jié)點(diǎn)表示隨機(jī)事件或不確定狀態(tài)。圖中圓形與正方形節(jié)點(diǎn)表示博弈狀態(tài)，每個(gè)節(jié)點(diǎn)對(duì)應(yīng)一個(gè)博弈狀態(tài)行動(dòng)的局中人。節(jié)點(diǎn)的邊表示局中人在該狀態(tài)下可執(zhí)行的行動(dòng)，如{x，y，A，B，C，D，E，F(xiàn)，G，H}，葉節(jié)點(diǎn)中數(shù)值為收益，Ia-Ie稱為信息集。擴(kuò)展式博弈通過(guò)將節(jié)點(diǎn)分組為信息集形式限制局中人觀察，使得給定局中人在決策時(shí)不能區(qū)分屬于哪一信息集節(jié)點(diǎn)，在博弈過(guò)程中具有不完全信息。

4 應(yīng)用與分析

為說(shuō)明和驗(yàn)證網(wǎng)絡(luò)攻防擴(kuò)展式博弈模型以及均衡求解算法，構(gòu)建網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)實(shí)例如圖2所示。

防火墻限制外部只能訪問(wèn)DMZ區(qū)主機(jī)，規(guī)定防御者通過(guò)部署A類(lèi)服務(wù)器蜜罐和B類(lèi)主機(jī)蜜罐進(jìn)行主動(dòng)防御。攻擊者以攻取數(shù)據(jù)庫(kù)服務(wù)器為目標(biāo)，將攻擊者已知的部分網(wǎng)絡(luò)稱為網(wǎng)絡(luò)核心。本例網(wǎng)絡(luò)核心由一個(gè)網(wǎng)關(guān)路由器和數(shù)據(jù)庫(kù)服務(wù)器組成，通過(guò)NEFGM建模的博弈樹(shù)形式表示，見(jiàn)圖3。

如圖3所示，由于在網(wǎng)絡(luò)核心部分部署蜜罐成本過(guò)高，因此核心網(wǎng)絡(luò)在攻防過(guò)程中保持不變。目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)由核心網(wǎng)絡(luò)和DMZ={A，B}兩部分組成，經(jīng)過(guò)自然初始決策X1、X2、X3后等概率形成網(wǎng)絡(luò)1-網(wǎng)絡(luò)3。本例中防御者在DMZ區(qū)域可部署蜜罐總數(shù)為2，防御者決策集為Y={（2，0），（1，1），（0，2）}。如果防御者向網(wǎng)絡(luò)1添加一個(gè)A類(lèi)蜜罐和一個(gè)B類(lèi)蜜罐，而向網(wǎng)絡(luò)2添加兩個(gè)B類(lèi)蜜罐，所形成的網(wǎng)絡(luò)1-R和2-L構(gòu)成信息集Ib，圖中Ia-Ie均為信息集。因?yàn)楣粽邔?duì)目標(biāo)網(wǎng)絡(luò)具有不完全信息，所以對(duì)同一信息集中的所有網(wǎng)絡(luò)節(jié)點(diǎn)執(zhí)行相同攻擊策略。通用漏洞評(píng)分系統(tǒng)[15]（Common Vulnerability Scoring System，CVSS）中規(guī)定攻擊者對(duì)A類(lèi)服務(wù)器攻擊成功率為0.1，B類(lèi)主機(jī)攻擊成功率為0.4，攻擊策略通過(guò)攻擊圖[16]獲取。實(shí)例攻防中防御者只進(jìn)行一次蜜罐部署決策，通過(guò)多重線性規(guī)劃算法求解出防御者最優(yōu)執(zhí)行計(jì)劃：L1、M1、R1的執(zhí)行計(jì)劃分別為（0，1，0），L2、M2、R2的執(zhí)行計(jì)劃分別為（0，0.55，0.45），L3、M3、R3的執(zhí)行計(jì)劃分別為（0.11，0.14，0.75）。

設(shè)定一種隨機(jī)蜜罐部署策略（Random），所有可選蜜罐部署方式以等概率執(zhí)行計(jì)劃部署，如圖4所示。假定蜜罐部署前攻擊者最大攻擊收益為4，與隨機(jī)部署策略相比，采用斯塔克爾伯格均衡（SE）下的決策指導(dǎo)，在可部署蜜罐數(shù)量相等條件下更大程度地降低了攻擊者收益。

5 結(jié)語(yǔ)

本文以蜜罐部署策略為例，研究了防御者先行部署防御策略的網(wǎng)絡(luò)攻防場(chǎng)景。為了更加貼近實(shí)際，提出網(wǎng)絡(luò)攻防擴(kuò)展式博弈模型，從動(dòng)態(tài)、不完全信息角度對(duì)攻防行為建模，并通過(guò)斯塔克爾伯格均衡求解算法，獲取最優(yōu)網(wǎng)絡(luò)安全防御策略。通過(guò)一個(gè)網(wǎng)絡(luò)實(shí)例驗(yàn)證了該模型和求解算法的可行性及有效性。下一步研究工作重點(diǎn)是多種防御策略共同作用下的攻防博弈問(wèn)題。

參考文獻(xiàn)：

[1] 高曉飛，申普兵.網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)[J].計(jì)算機(jī)安全，2009（1）：38-40.

[2] 張龍生.虛擬蜜罐網(wǎng)關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)，2015.

[3] FALLAH M S. A puzzle-based defense strategy against flooding attacks using game theory[J]. IEEE Transactions on Dependable & Secure Computing， 2010，7（1）：5-19.

[4] HAMILTON S N， MILLER W L， OTT A， et al. The Role of Game Theory in Information Warfare[C]. Vancouver， Canade： Proceedings of the 4th Information Survivability Workshop， 2002：45-46.

[5] 姜偉，方濱興，田志宏，等.基于攻防博弈模型的網(wǎng)絡(luò)安全測(cè)評(píng)和最優(yōu)主動(dòng)防御[J].計(jì)算機(jī)學(xué)報(bào)，2009，32（4）：817-827.

[6] 吉鴻珠，顧乃杰.基于博弈論的網(wǎng)絡(luò)安全量化評(píng)估算法[J].計(jì)算機(jī)應(yīng)用與軟件，2009，26（9）：4-6.

[7] 林旺群，王慧，劉家紅，等. 基于非合作動(dòng)態(tài)博弈的網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)研究[J].計(jì)算機(jī)研究與發(fā)展，2011，48（2）：306-316.

[8] 王曉丹，黃炎焱，王建宇，等.計(jì)算機(jī)網(wǎng)絡(luò)防御策略分析[J].指揮信息系統(tǒng)與技術(shù)，2014，5（5）：13-19.

[9] 劉玉嶺，馮登國(guó)，吳麗輝，等.基于靜態(tài)貝葉斯博弈的蠕蟲(chóng)攻防策略績(jī)效評(píng)估[J].軟件學(xué)報(bào)，2012，23（3）：712-723.

[10] 胡裕靖，高陽(yáng)，安波.不完美信息擴(kuò)展式博弈中在線虛擬遺憾最小化[J].計(jì)算機(jī)研究與發(fā)展，2014，51（10）：2160-2170.

[11] 張恒巍，余定坤，韓繼紅，等.信號(hào)博弈網(wǎng)絡(luò)安全威脅評(píng)估方法[J].西安電子科技大學(xué)學(xué)報(bào)：自然科學(xué)版，2016，43（3）：137-143.

[12] MANSHAEI M H， ZHU Q， ALPCAN T， et al. Game theory meets network security and privacy[J]. Acm Computing Surveys， 2013，45（3）：1-39.

[13] KOLLER D， MEGIDDO N， STENGEL B V. Efficient computation of equilibria for extensive two-person games[J]. Games & Economic Behavior， 1996，14（2）：247-259.

[14] KORZHYK D， YIN Z， KIEKINTVELD C， et al. Stackelberg vs. Nash in security games： an extended investigation of interchangeability， equivalence， and uniqueness[J]. Journal of Artificial Intelligence Research， 2014，41（2）：297-327.

[15] MELL P， SCARFONE K， ROMANOSKY S. Common vulnerability scoring system[J]. IEEE Security & Privacy， 2007，4（6）：85-89.

[16] OU X， BOYER W F， MCQUEEN M A. A scalable approach to attack graph generation[C]. Alexandria， Virginia， USA： Proceedings of the 13th ACM Conference on Computer and Communications Security， 2006：336-345.

（責(zé)任編輯：杜能鋼）