平臺動態(tài)防御演化博弈模型和狀態(tài)遷移策略

王志屹， 王 剛， 陳彤睿， 馮 云， 馬潤年

(空軍工程大學(xué)信息與導(dǎo)航學(xué)院， 西安， 710077)

平臺動態(tài)防御是網(wǎng)絡(luò)平臺層的動態(tài)目標(biāo)防御[1]，建立在虛擬化技術(shù)和多樣化異構(gòu)平臺基礎(chǔ)上，網(wǎng)絡(luò)節(jié)點(diǎn)是平臺動態(tài)防御的執(zhí)行單元。在平臺動態(tài)防御系統(tǒng)內(nèi)，承載業(yè)務(wù)按照節(jié)點(diǎn)狀態(tài)遷移規(guī)則在多樣化異構(gòu)平臺間動態(tài)切換，通過改變系統(tǒng)環(huán)境，系統(tǒng)自身存在的漏洞和潛在缺陷隨著狀態(tài)跳變規(guī)則呈現(xiàn)出動態(tài)變化，增大了攻擊方偵察定位和進(jìn)一步實(shí)施攻擊的難度和代價[2]，降低了平臺被病毒感染的概率。具體的手段包括改變文件擴(kuò)展名[3]、主機(jī)狀態(tài)遷移[4]和攻擊面自適應(yīng)轉(zhuǎn)換[5]等。防御方通常先對攻擊者的意圖和行為進(jìn)行分析、檢測和預(yù)判[6-8]，進(jìn)而設(shè)計(jì)和實(shí)施針對性防御。

策略的制定是防御的關(guān)鍵，也是當(dāng)下研究的熱點(diǎn)問題。防御方和攻擊方之間的目標(biāo)對立性、策略依存性和關(guān)系非合作性等特征符合博弈的相關(guān)理論，其中動態(tài)目標(biāo)防御的信號博弈[9-10]立足信息不對稱性，微分博弈[11]側(cè)重博弈的連續(xù)性，Stackelberg博弈[12]重點(diǎn)考慮博弈次序的不對稱性，馬爾可夫魯棒博弈[13]利用Markov過程的無后效性，簡化了多階段博弈的分析。這些成果是研究平臺動態(tài)防御遷移策略的基礎(chǔ)。對于平臺動態(tài)防御的節(jié)點(diǎn)而言，攻防博弈的復(fù)雜性和難度更高，獲得的攻防信息是不完全的，且節(jié)點(diǎn)對整體網(wǎng)絡(luò)和系統(tǒng)的狀態(tài)分析能力有限，網(wǎng)絡(luò)的復(fù)雜環(huán)境和系統(tǒng)的計(jì)算能力限制，決定了防御者的行為屬于一種有限理性行為[14]，攻防雙方需要適應(yīng)對手的變化和動態(tài)調(diào)整博弈策略，具有典型演化博弈特征。真正意義上的“最優(yōu)”策略可能難以達(dá)到，相較于完全理性的博弈類型，演化博弈模型拉近了預(yù)設(shè)條件與現(xiàn)實(shí)網(wǎng)絡(luò)之間的距離[15]，可利用復(fù)制動態(tài)方程和演化穩(wěn)定分析[16-18]，求解更貼近現(xiàn)實(shí)需求的狀態(tài)遷移策略。

具體而言，平臺動態(tài)防御演化博弈需考慮以下幾個問題：①針對病毒的傳播特性和作用機(jī)理，從破壞攻擊方的攻擊鏈入手，分析平臺動態(tài)防御的防御機(jī)理、狀態(tài)遷移關(guān)系和影響因素；②網(wǎng)絡(luò)節(jié)點(diǎn)是網(wǎng)絡(luò)拓?fù)浠締卧凸粽呷肭值拈T戶，節(jié)點(diǎn)的感染與狀態(tài)遷移是攻防雙方演化博弈的直觀體現(xiàn)，節(jié)點(diǎn)狀態(tài)遷移規(guī)則是防御的關(guān)鍵所在；③防御效能對平臺動態(tài)防御演化博弈策略優(yōu)劣的度量，應(yīng)建立起科學(xué)的指標(biāo)參數(shù)和評估體系。

1 平臺狀態(tài)遷移動態(tài)防御原理

病毒的傳播依賴于系統(tǒng)的漏洞，不同類型的病毒，其工作環(huán)境也不同。通過部署平臺動態(tài)防御系統(tǒng)實(shí)現(xiàn)上線平臺的動態(tài)切換，避免對外網(wǎng)病毒免疫性較弱的平臺上線，如果外網(wǎng)多為Windows平臺易感病毒，則選擇上線Linux系統(tǒng)平臺，可最大程度避免病毒感染內(nèi)網(wǎng)[19]。每一個防御節(jié)點(diǎn)無法準(zhǔn)確預(yù)測入侵的病毒是哪一類型，只能根據(jù)歷史信息和其他節(jié)點(diǎn)的狀態(tài)不斷試錯、學(xué)習(xí)和調(diào)整遷移策略，直到防御的收益最大化，最終整個節(jié)點(diǎn)趨向于選擇某一策略。節(jié)點(diǎn)的策略趨向穩(wěn)定的過程，即為演化博弈的過程。

圖1 平臺動態(tài)防御系統(tǒng)節(jié)點(diǎn)模型

由圖1可知，平臺有多個候選遷移策略，在進(jìn)行防御時，平臺動態(tài)防御系統(tǒng)可根據(jù)病毒的分布概率情況，有針對性地選擇遷移策略。考慮雙方的攻防過程符合博弈論的特點(diǎn)，且平臺的遷移是有限理性的，可以建立平臺動態(tài)防御演化博弈模型，對最優(yōu)策略的選擇進(jìn)行研究。在模型的建立中，各種指標(biāo)的量化是關(guān)鍵。平臺動態(tài)防御技術(shù)的部署，同樣需要消耗額外的開銷，這些開銷的量化需要建立在平臺動態(tài)防御技術(shù)的原理分析上[1]，包括平臺遷移的成本和遷移帶來的負(fù)面影響2個方面。演化均衡策略的選取需要綜合考慮成本和收益2個方面的因素，有限理性的參與方難以選擇嚴(yán)格最優(yōu)的策略，通過不斷調(diào)整以獲得收益的提升。節(jié)點(diǎn)的演化過程需要重點(diǎn)分析，在此基礎(chǔ)上提煉策略選擇算法，實(shí)現(xiàn)平臺動態(tài)防御系統(tǒng)在外部病毒環(huán)境下對節(jié)點(diǎn)狀態(tài)遷移的提前預(yù)測和最優(yōu)控制。

2 平臺動態(tài)防御演化博弈模型

2.1 博弈定義

定義1平臺動態(tài)防御演化博弈模型(Platform Dynamic Defense Evolutionary Game Model, PDDEGM)可用七元組表示，PDDEGM=(R,N,B,P,S0,S,U)，其中：

1)R=(RD,RA)為演化博弈的參與者空間，其中RD為平臺動態(tài)防御系統(tǒng)，RA為攻擊病毒。

2)N是平臺動態(tài)防御系統(tǒng)中某一節(jié)點(diǎn)的虛擬化平臺總數(shù)，節(jié)點(diǎn)處在某一虛擬化平臺的狀態(tài)用k表示，k∈{1,2,…,N}，N∈N+。

6)S={S1，…，Sk，…，SN}表示節(jié)點(diǎn)感染狀態(tài)集合。

2.2 關(guān)鍵參數(shù)定義

平臺在遷移時，需要進(jìn)行遷移前的準(zhǔn)備，在遷移過程中也會帶來服務(wù)質(zhì)量的下降，同時，不同平臺針對不同類型病毒的免疫能力也各有差異。為體現(xiàn)平臺遷移的成本和不同平臺的免疫能力，參照平臺動態(tài)防御原理[1]，給出關(guān)鍵參數(shù)定義。

定義2資源重要程度Cr。即平臺對網(wǎng)絡(luò)安全的貢獻(xiàn)度，由平臺所在網(wǎng)絡(luò)節(jié)點(diǎn)的度、數(shù)據(jù)量大小和單位時間訪問次數(shù)決定。

定義3攻擊面轉(zhuǎn)移成本ASSC。平臺完成遷移所需要的成本。由平臺間的相似度決定。

定義4負(fù)面影響成本NC。指平臺發(fā)生遷移時，帶來的工作或服務(wù)質(zhì)量的下降，資源重要程度越大，負(fù)面影響成本就越大。

定義6免疫因子μ。指平臺對病毒的免疫程度，Windows病毒無法在Linux類操作系統(tǒng)中運(yùn)行，反之亦然，若病毒與平臺呈現(xiàn)異構(gòu)性可定義μ=1，同構(gòu)性則定義μ=1-λ。

綜上，可定義防御節(jié)點(diǎn)的收益為：

(1)

攻擊病毒的收益為：

(2)

3 節(jié)點(diǎn)狀態(tài)演化穩(wěn)定分析

在演化博弈均衡求解和分析基礎(chǔ)上，設(shè)計(jì)平臺狀態(tài)遷移演化均衡策略的生成算法。

3.1 狀態(tài)演化穩(wěn)定求解

圖2 博弈擴(kuò)展式

計(jì)算防御方的期望收益和平均收益：

(3)

計(jì)算攻擊方的期望收益和平均收益：

對應(yīng)的復(fù)制動態(tài)方程為：

(4)

根據(jù)公式

可知，當(dāng)且僅當(dāng)：

3.2 策略生成算法設(shè)計(jì)

基于上述分析，設(shè)計(jì)平臺動態(tài)防御節(jié)點(diǎn)演化均衡策略生成算法，具體如下：

輸入：各狀態(tài)博弈樹或支付矩陣；

輸出：平臺動態(tài)防御節(jié)點(diǎn)演化均衡策略。

①初始化；

②構(gòu)建防御節(jié)點(diǎn)狀態(tài)空間集合D={dk,1≤k≤T}；

⑤For(k=1;k≤T;k++)；

（3）增加親子廁所或無障礙廁所，真正為游客著想，以解游客燃眉之急。通過借鑒A地區(qū)高速公路服務(wù)區(qū)親子廁所的貼心細(xì)節(jié)，打造更適合游客的親子友善廁所。高速公路旅游廁所的需求者——游客是主要的訪談對象，同時也會對廁所供給方進(jìn)行調(diào)研，力求全面了解廁所革命中存在的制約因素。

⑦計(jì)算k平臺狀態(tài)下雙方期望收益和平均收益；

⑧建立雙方復(fù)制動態(tài)方程；

⑨計(jì)算均衡解；

⑩輸出k平臺狀態(tài)下的演化穩(wěn)定策略；

3.3 模型對比分析

表1給出了在模型構(gòu)建、博弈類型和模型應(yīng)用等方面與現(xiàn)有方法的對比。

表1 對比分析

4 仿真實(shí)驗(yàn)與分析

4.1 仿真實(shí)驗(yàn)環(huán)境

參照圖1的平臺動態(tài)防御系統(tǒng)節(jié)點(diǎn)模型，分別部署堡壘主機(jī)節(jié)點(diǎn)和Web服務(wù)器節(jié)點(diǎn)。其搭載的操作系統(tǒng)見表2。利用Nessus工具挖掘漏洞信息，根據(jù)國家信息安全漏洞庫[20]和美國國家漏洞庫[21]數(shù)據(jù)，得出漏洞的利用成功概率[22]。

表2 各平臺漏洞信息

4.2 實(shí)驗(yàn)數(shù)值計(jì)算與分析

堡壘主機(jī)節(jié)點(diǎn)和Web服務(wù)器節(jié)點(diǎn)是平臺防御系統(tǒng)中關(guān)鍵的2個節(jié)點(diǎn)，下面分別進(jìn)行分析。

4.2.1 堡壘主機(jī)節(jié)點(diǎn)

表3 各狀態(tài)的支付矩陣

表4 各狀態(tài)博弈均衡策略

將表4中的結(jié)果綜合分析，可得堡壘主機(jī)節(jié)點(diǎn)的演化均衡策略為：

1)當(dāng)0≤p<0.535，即Windows類病毒基本在一半以下時，對應(yīng)的平臺遷移狀態(tài)見圖3(a)，虛線表示遷移概率不確定。此時，節(jié)點(diǎn)傾向于向平臺1和平臺3遷移。

2)當(dāng)0.535≤p<0.558，即Windows類病毒和Linux類病毒分布基本持平時，對應(yīng)的平臺遷移狀態(tài)如圖3(b)所示。此時節(jié)點(diǎn)有形成“平臺1→平臺2→平臺3→平臺1”閉環(huán)的趨勢。

3)當(dāng)0.558≤p≤1，即大部分為Windows類病毒時，對應(yīng)的平臺遷移狀態(tài)如圖3(c)所示。此時節(jié)點(diǎn)傾向于向平臺2遷移。

4.2.2 Web服務(wù)器節(jié)點(diǎn)

表5根據(jù)文獻(xiàn)[1]對平臺動態(tài)防御系統(tǒng)的分析，設(shè)Web服務(wù)器資源重要程度為400，同構(gòu)平臺間攻擊面轉(zhuǎn)移成本為60，異構(gòu)平臺間攻擊面轉(zhuǎn)移成本為90，負(fù)面影響成本為40。根據(jù)設(shè)計(jì)的算法求解該模型的演化博弈均衡解，得出結(jié)果見表6。

表6 各狀態(tài)博弈均衡策略

綜合分析表6中的結(jié)果，可得Web服務(wù)器節(jié)點(diǎn)的演化均衡策略為：

1)當(dāng)0≤p<0.415，即Windows類病毒較少時，對應(yīng)的平臺遷移狀態(tài)見圖4(a)，虛線表示遷移概率不確定。此時節(jié)點(diǎn)有形成“平臺1→平臺3→平臺2→平臺1”閉環(huán)的趨勢；

2)當(dāng)0.415≤p<0.45，即Windows類病毒和Linux類病毒分布基本持平時，對應(yīng)的平臺遷移狀態(tài)見圖4(b)，節(jié)點(diǎn)傾向于向平臺3遷移；

3)當(dāng)0.45≤p≤1，即大部分為Windows類病毒時，對應(yīng)的平臺遷移狀態(tài)見圖4(c)，節(jié)點(diǎn)有形成“平臺1→平臺2→平臺3→平臺1”閉環(huán)的趨勢。

4.3 仿真條件與結(jié)果分析

4.3.1 狀態(tài)演化穩(wěn)定策略仿真

利用系統(tǒng)動力學(xué)仿真軟件Vensim，建立博弈雙方收益、策略選取概率和策略選取次數(shù)比例等要素的關(guān)系模型，對堡壘主機(jī)節(jié)點(diǎn)和Web服務(wù)器節(jié)點(diǎn)分別進(jìn)行仿真。其中，防御策略1和2分別對應(yīng)在不同節(jié)點(diǎn)不同狀態(tài)下相應(yīng)的平臺防御遷移策略，攻擊策略1和2分別為Windows類病毒和Linux類病毒。設(shè)初始選擇防御策略1的概率都為0.5，即各狀態(tài)下初始q=0.5。

1)堡壘主機(jī)節(jié)點(diǎn)

以平臺1為例，對堡壘主機(jī)節(jié)點(diǎn)遷移狀態(tài)進(jìn)行仿真分析。設(shè)病毒分布概率分別為為p=0.4和p=0.55，選擇的防御策略為向平臺2遷移，得仿真結(jié)果見圖6。分析可得，當(dāng)p=0.55>0.535時，平臺1在30 s內(nèi)到達(dá)穩(wěn)定狀態(tài)，選擇向平臺2遷移；當(dāng)p=0.4<0.535時，平臺1在6 s內(nèi)到達(dá)穩(wěn)定狀態(tài)，選擇向平臺3遷移。仿真結(jié)果符合4.2節(jié)的分析。此外，病毒的分布概率與平衡態(tài)p=0.535偏差的越大，節(jié)點(diǎn)向穩(wěn)態(tài)演化的速度就越快。

圖6 堡壘主機(jī)節(jié)點(diǎn)平臺1遷移狀態(tài)

2)Web服務(wù)器節(jié)點(diǎn)

同樣以平臺1為例，對Web服務(wù)器節(jié)點(diǎn)遷移狀態(tài)進(jìn)行仿真分析。設(shè)病毒分布概率分別為p=0.41和p=0.46，選擇的防御策略為向平臺1遷移，得到仿真結(jié)果見圖7。分析可得，當(dāng)p=0.46>0.45時，平臺1在54 s內(nèi)達(dá)到穩(wěn)定狀態(tài)，選擇向平臺2遷移；當(dāng)p=0.41<0.45時，平臺1在18 s內(nèi)達(dá)到穩(wěn)定狀態(tài)，選擇向平臺3遷移。仿真結(jié)果符合4.2節(jié)的分析。與堡壘主機(jī)節(jié)點(diǎn)類似，病毒的分布概率與平衡態(tài)對應(yīng)的概率偏差越大，節(jié)點(diǎn)向穩(wěn)態(tài)演化的速度就越快。

圖7 Web服務(wù)器節(jié)點(diǎn)平臺1遷移狀態(tài)

4.3.2 節(jié)點(diǎn)狀態(tài)遷移演化均衡策略效能仿真

為對比演化穩(wěn)定均衡后的節(jié)點(diǎn)狀態(tài)遷移策略效能情況，與現(xiàn)有的隨機(jī)平臺選擇策略進(jìn)行對比分析，隨機(jī)平臺選擇策略即選擇的遷移目標(biāo)平臺是隨機(jī)的[7]。考慮攻擊病毒類型分別為p=0，p=0.5和p=1時，2種策略對堡壘主機(jī)和Web服務(wù)器2個節(jié)點(diǎn)防御收益的影響，以及與攻擊病毒收益的對比，進(jìn)行蒙特卡洛仿真實(shí)驗(yàn)100次，仿真結(jié)果見圖8～10。

圖8 p=0時2種策略對比

圖9 p=0.5時2種策略對比

圖10 p=1時2種策略對比

由圖8(a)、9(a)和10(a)可得，無論是p=0、p=0.5還是p=1，即攻擊病毒類型分布分別為全是Linux類、Linux類和Windows類各半以及全為Windows類3種情況下，堡壘主機(jī)和Web服務(wù)器的節(jié)點(diǎn)遷移演化均衡策略防御收益均高于隨機(jī)平臺選擇策略。其中，在100次試驗(yàn)后，p=0的堡壘主機(jī)節(jié)點(diǎn)遷移演化均衡策略防御收益比隨機(jī)平臺選擇策略高25.3%，p=0.5時高10.37%，p=1時高97%，平均高39.1%。p=0的Web服務(wù)器節(jié)點(diǎn)遷移演化均衡策略防御收益比隨機(jī)平臺選擇策略高13.64%，p=0.5時高24.39%，p=1時高75.92%，平均高38.18%。驗(yàn)證了節(jié)點(diǎn)遷移演化均衡策略具有較高的防御效能。

由圖8(b)、9(b)和圖10(b)可得，無論是病毒攻擊堡壘主機(jī)還是Web服務(wù)器，在節(jié)點(diǎn)遷移演化均衡策略下的攻擊收益均小于隨機(jī)平臺選擇策略，同樣驗(yàn)證節(jié)點(diǎn)遷移演化均衡策略防御效能較好。其中圖8(b)表明，由于堡壘主機(jī)節(jié)點(diǎn)遷移演化均衡策略規(guī)定其遷移狀態(tài)一直在Windows類平臺間遷移，Linux平臺易感型病毒無法感染，可使病毒收益為0。同理，圖10(b)中，病毒收益也為0的情況表明，Web服務(wù)器節(jié)點(diǎn)遷移演化均衡策略為一直在Linux類平臺間遷移，Windows平臺易感型病毒亦無法感染。

5 結(jié)語

基于網(wǎng)絡(luò)攻防博弈的有限理性假設(shè)，建立了平臺動態(tài)防御的演化博弈模型，對雙方的具體變化參數(shù)進(jìn)行了設(shè)計(jì)。通過算例分析了平臺動態(tài)防御節(jié)點(diǎn)狀態(tài)演化過程，利用復(fù)制動態(tài)方程分析了雙方策略的演化穩(wěn)定情況，在此基礎(chǔ)上提出了平臺狀態(tài)遷移演化均衡策略生成算法。仿真實(shí)驗(yàn)驗(yàn)證了所提策略的有效性。下一步將重點(diǎn)開展多階段的平臺動態(tài)防御演化博弈問題研究，并提升模型對多類型網(wǎng)絡(luò)環(huán)境和應(yīng)用場景的適應(yīng)能力。另一方面，在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，影響平臺的遷移成本和病毒免疫能力的因素更加復(fù)雜，需要進(jìn)一步對參數(shù)的設(shè)計(jì)進(jìn)行優(yōu)化調(diào)整，增強(qiáng)模型的可操作性。