基于靜態(tài)貝葉斯博弈的風險評估方法研究

基于靜態(tài)貝葉斯博弈的風險評估方法研究*

余定坤，王晉東，張恒巍，王娜，陳宇

(解放軍信息工程大學密碼工程學院,河南 鄭州 450000)

摘要：目前基于博弈論的風險評估方法大多數(shù)采用完全信息博弈模型，無法應對攻擊者和防御者互不清楚對方行為的情況。基于靜態(tài)貝葉斯博弈理論建立攻防博弈模型，將攻擊者和防御者分為多種類型，全面地分析了博弈的貝葉斯均衡及其存在性，并結合防御者反擊行為、攻擊成功率對已有的策略收益量化方法進行改進。基于博弈均衡進行攻擊行為可信預測，給出了風險評估算法對信息系統(tǒng)所存在的風險進行計算，得到系統(tǒng)風險值。最后，通過一個實例分析驗證了模型和算法的有效性。

關鍵詞：風險評估;靜態(tài)貝葉斯博弈;收益量化;混合策略;貝葉斯均衡

中圖分類號：TP309 文獻標志碼：A

doi:10.3969/j.issn.1007-130X.2015.06.008

收稿日期：*2014-08-11;修回日期：2014-09-28

基金項目：國家自然科學基金資助項目(61303074，61309013)；國家973計劃資助項目(2012CB315900)

作者簡介:

通信地址：450000 河南省鄭州市高新區(qū)科學大道62號33分隊

Address:The PLA Information Engineering University,62 Kexue Avenue,High-tech Industrial Development Zone,Zhengzhou 450000,Henan,P.R.China

Risk assessment selection based on static Bayesian game

YU Ding-kun，WANG Jin-dong，ZHANG Heng-wei，WANG Na，CHEN Yu

(College of Cryptography and Engineering,The PLA Information Engineering University,Zhengzhou 450000,China)

Abstract:Nowadays,most studies of risk assessment methods based on game theory use complete information game model.These models cannot deal with the situation in which the attacker and the defender do not know each other’s actions.In this paper we establish an attack-defense model based on static Bayesian game theory to categorize the attacker and the defender into different types.Then,we analyze the Bayesian equilibrium of the game comprehensively,and improve the taxonomy and cost quantitative method of the classical strategies with consideration of the strike back acts of the defender and the success rate of attacks.Under the premise that the actions of the attacker are predicted based on game equilibrium,we use the risk calculating algorithm to calculate the risk in the information system. Simulation results prove the effectiveness of the proposed model and the algorithm.

Key words:risk assessment;static Bayesian game;cost quantitative method;mixed strategy;Bayesian equilibrium

1引言

網(wǎng)絡技術的不斷發(fā)展，給人們的生活帶來了翻天覆地的變化，但由于其互聯(lián)性、多樣性、開放性，網(wǎng)絡中的風險無處不在，使網(wǎng)絡很容易受到來自各方攻擊的威脅。網(wǎng)絡遭受攻擊會對網(wǎng)絡中的用戶產(chǎn)生巨大影響，蒙受巨大損失。若能夠?qū)︼L險進行評估，并根據(jù)評估結果在風險發(fā)生之前采取有效措施降低風險，使風險發(fā)生概率降低，則可以很好地提高網(wǎng)絡的安全性。

近年來，不少專家學者對風險評估進行研究，使得風險評估技術更加科學、合理。文獻[1]采用BP(Back Propagation)神經(jīng)網(wǎng)絡方法對信息交互風險概率進行預測，存在的問題是神經(jīng)網(wǎng)絡對大樣本數(shù)據(jù)學習的速度較慢，導致預測模型缺乏實時性。文獻[2]提出一種基于人工免疫的網(wǎng)絡安全實時風險檢測方法，在網(wǎng)絡系統(tǒng)面臨攻擊時對其進行實時風險評估，該方法存在的問題是僅得到系統(tǒng)實時的風險值，并未對未來的風險進行可靠預測。文獻[3]提出了一種用于實時風險概率預測的馬爾可夫時變模型，通過更新狀態(tài)轉(zhuǎn)移矩陣來預測未來時刻網(wǎng)絡的風險值，存在的問題是狀態(tài)概率轉(zhuǎn)移矩陣不易確定。另外，這些方法存在的共同問題是僅從防御者的角度出發(fā)，獨立地考慮系統(tǒng)所面臨的風險，是片面、不科學的。文獻[4]建立博弈模型對網(wǎng)絡脆弱性進行評估，存在的問題是采用完全信息靜態(tài)博弈模型，與網(wǎng)絡實際不夠貼近。文獻[5]建立博弈模型對網(wǎng)絡風險進行量化評估，存在的問題是成本量化方法較簡單，且基于完全信息靜態(tài)博弈模型。

目前，博弈論在風險評估領域的應用大多數(shù)采用完全信息博弈模型。此類博弈模型只需根據(jù)策略進行策略收益量化形成收益矩陣即可計算Nash均衡，具有計算簡單的優(yōu)點。但是，網(wǎng)絡的現(xiàn)實情況是攻擊者和防御者不一定能互相清楚對方策略及收益，針對這樣的情況，基于完全信息博弈模型的作用會十分有限。因此，本文提出基于靜態(tài)貝葉斯博弈模型的風險評估方法，對風險進行評估。

2靜態(tài)貝葉斯博弈模型

靜態(tài)貝葉斯博弈是不完全信息同時行動的博弈，其中同時行動是指所有參與者同時選擇自己的行動或者是后行動者不知道先行動者采取了什么行動；而不完全信息指在博弈時至少有一個參與者不能確定其他參與者的收益函數(shù)，參與者的收益函數(shù)對應著該參與者的類型[6]。

2.1模型假設

假設1(理性假設)假設攻防雙方在完全理性的前提下進行攻防對抗，無論是攻擊者還是防御者，在行動時，都需要理性考慮成本與收益的關系，都不會采取不計代價的行動。

假設2(類型假設)假設攻擊者和防御者將對另一方策略收益的不確定看作是對另一方類型的不確定，但對另一方的類型的概率分布有一個判斷[6]。

假設3(收益假設)假設攻防雙方收益基于信息資源的經(jīng)濟價值進行收益量化。當前，基于信息經(jīng)濟學的收益量化研究較多，且較成熟。因此，基于信息資源經(jīng)濟價值進行收益量化有成熟理論作支撐，結果會更加科學、合理。

2.2模型相關定義

定義1靜態(tài)貝葉斯博弈模型SBGM(Static Bayesian Game Model)是一個五元組SBGM=(N,T,M,P,U)，其中

(1)N=(N1,N2,…,Nn)是博弈的參與者集合。參與者是參與博弈的獨立決策、獨立承擔結果的個人或組織，在不同的場合中，參與者的定義是不同的。在本文中，參與者是攻擊者和防御者。

(4)P=(P1,P2,…,Pn)是參與者的先驗信念集合。Pi=Pi(t-i|ti)表示參與者i在自己實際類型為ti的前提下，對其他參與者類型(若有多個參與者時為類型組合)t-i的判斷。

(5)U=(U1, U2,…, Un)是參與者的收益函數(shù)集合。收益函數(shù)表示參與者從博弈中可以得到的收益水平，由所有參與者的策略共同決定，參與者不同的策略組合所得到的收益不同。

以上給出了SBGM模型的通用模型。為了簡化分析，本文只考慮n=2的情況，SBG-ADM=((NA,ND), (TA,TD), (MA,MD), (PA,PD), (UA,UD))。其中,

(1)NA表示攻擊者，ND表示防御者，為信息安全攻防博弈的兩個參與者。

(4)PA(tD|tA)指攻擊者的類型為tA時，其對防御者類型tD的一個概率判斷；PD(tA|tD)指防御者類型為tD時，其對攻擊者類型tA的一個概率判斷。

(5)?mA∈MA,mD∈MD,tA∈TA,tD∈TD，UA(mA,mD,tA)表示防御者采用行動mD抵御攻擊者的攻擊行動mA時且攻擊者類型為tA時，攻擊者的收益；UD(mA,mD,tD)表示防御者采用行動mD抵御攻擊者的攻擊行動mA時且防御者類型為tD時，防御者的收益。

2.3策略收益量化

網(wǎng)絡中攻擊者和防御者策略成本收益量化是網(wǎng)絡最優(yōu)防御策略選取的基礎，其量化是否合理直接影響網(wǎng)絡防御策略選取結果。姜偉等人[8]在總結多種攻擊防御策略分類的基礎上，提出了一種成本/收益量化方法。 陳永強等人提出了一種根據(jù)意圖對策略成本/收益進行量化的方法。本文對以上策略收益量化方法進行改進，使得量化結果更加科學、合理。

定義2系統(tǒng)損失代價Dcost(Damage cost)表示某類攻擊對目標資源的損害程度；攻擊致命度AL(Attack Lethality)表示某類攻擊所具有的固有危害程度；攻擊成本AC(Attack Cost)表示攻擊者發(fā)動一次攻擊所需要的軟硬件資源、專業(yè)知識等；防御成本Decost(Defense cost)是防御策略的操作代價、負面代價和殘余代價之和。一般可將防御者的損失Dcost作為攻擊者的所得。詳細定義見文獻[8]。

定義3防御回報DR(DefenseReward)表示針對某一攻擊策略采取防御策略后防御者的回報情況。在文獻[8]中表示為針對某一攻擊采取防御策略，網(wǎng)絡系統(tǒng)免受的損失。本文認為，防御回報分為兩種情況:

定義4(攻擊間接收益SM)攻擊直接收益是指攻擊成功后，攻擊者所能獲得的即時效益。而攻擊間接收益SM是指攻擊成功后，一段時間內(nèi)防御者可能遭受的社會損失，例如用戶流失、服務質(zhì)量下降等，需要評估人員根據(jù)評估環(huán)境、評估要求的不同而進行確定。攻擊者獲得間接收益的同時，防御者面臨著間接損失，同樣為SM。

攻擊成功時雙方收益情況：

Dcost-μ·DR′-AC + SM

(1)

-Dcost + μ·DR′-Decost-SM

(2)

攻擊失敗時雙方收益情況：

(3)

(4)

攻擊策略的成功率為SARi，由此可得到雙方在此網(wǎng)絡場景中的收益期望：

(5)

(6)

其中,ae為該攻擊策略所包含的原子攻擊；i、j分別為攻擊者、防御者采取的第i、j個行動。

攻擊者和防御者的收益之和為：

以上博弈場景雙方的收益之和為：

由上述推導過程容易知道，無論攻擊者攻擊還是不攻擊，攻擊者與防御者的博弈收益之和為一個不為零的常數(shù)，則此博弈為非零和博弈。攻擊者進行攻擊為了得到防御者的有價值的信息，防御者則希望能夠抵御這種攻擊，在這個過程中，雙方都需要付出相應代價。而攻擊者不攻擊時，防御者進行了防御，則防御者需要付出相應的防御代價。

2.4博弈均衡分析

3基于靜態(tài)貝葉斯博弈的風險評估

3.1基于靜態(tài)貝葉斯博弈的風險評估方法

對信息系統(tǒng)風險進行預測涉及到資產(chǎn)、威脅、弱點和風險四個要素。基于以上四個要素，給出風險計算模型，如圖1所示。

Figure 1　Model of risk calculation 圖1　風險計算模型

風險計算公式為：

(7)

其中,R表示風險；A表示資產(chǎn)；V表示資產(chǎn)脆弱性；T表示威脅；I表示威脅造成安全事件后對組織業(yè)務的影響；L表示威脅利用資產(chǎn)的脆弱性造成安全事件發(fā)生的可能性。

由公式(1)可以看出，我們可以通過分析威脅發(fā)生的可能性L及威脅發(fā)生的可能后果I來對風險進行預測。

風險評估需要在雙方并不完全知道對方信息的情況下綜合考慮攻擊者的攻擊行動及防御者的防御行動的成本和代價，是一個復雜的過程。基于靜態(tài)貝葉斯博弈進行風險評估可以很好地處理這一類問題。

信息系統(tǒng)是由多個風險子域組成的，各個風險子域之間共享同一個防御策略庫。攻擊者之間的關系是獨立的，攻擊者可與風險子域的防御者建立攻防博弈場景。

(8)

考慮計算各個風險子域的風險情況，可得到各個風險子域的風險向量(R1,R2, …, Rn)。假設各個安全風險子域的資產(chǎn)價值向量為A=(A1,A2, …,An)，將其歸一化可得到權向量W=(w1,w2, …,wn)，則可得到信息系統(tǒng)的整體風險為：

(9)

3.2基于靜態(tài)貝葉斯博弈的風險評估算法

算法1基于靜態(tài)貝葉斯博弈的風險評估算法

輸入：SBGM;

輸出：信息系統(tǒng)整體風險RALL。

BEGIN

1. 初始化SBGM((NA,ND), (TA,TD), (MA,MD), (PA,PD), (UA,UD))；

2. 構建攻擊者、防御者類型集合TA、TD；

3. 構建攻擊者、防御者行動集合MA、MD；

7. 采用公式(5)計算攻擊者收益；

8. 采用公式(6)計算防御者收益}

9. 調(diào)用混合策略貝葉斯均衡求解子算法MSBNE(SBGM)；

11.得到信息系統(tǒng)整體風險RALL。

END

算法2混合策略貝葉斯納什均衡求解子算法MSBNE(SBGM)

輸入：SBGM模型;

輸出：混合策略貝葉斯納什均衡。

1. 根據(jù)歷史數(shù)據(jù)得到PA、PD；

輸出：信息系統(tǒng)整體風險RALL。

基于靜態(tài)貝葉斯博弈的風險評估算法中最為關鍵的步驟為SBGM模型的建立和求解，包括應對攻擊策略的特定防御策略集合的建立、策略成本和收益量化及靜態(tài)貝葉斯博弈模型的求解。子算法1利用非線性規(guī)劃求解SBGM模型的混合策略貝葉斯納什均衡，由于本文中靜態(tài)貝葉斯博弈是非零和的，其時間復雜度O(|SA(tA)|·|SD(tD)|·|tA|·|tD|)，如表1所示；子算法2計算信息系統(tǒng)的整體風險，時間復雜度為O(n1·n2)。由上可知，整個算法的復雜度滿足信息系統(tǒng)的需求。

Table 1　Method comparison

注：n、m分別為攻擊者和防御者的策略數(shù)量。

信息需求(Information Requirement)是指算法所運用的場景對攻擊者和防御者所擁有信息的要求。攻擊者或防御者對另一方或多或少都有信息上的不確定性，相比完全信息博弈，不完全信息博弈更加貼近實際網(wǎng)絡場景。可操作性(Operability)是指文獻給出的方法或算法是否具有較強的實用性。相比文獻[4,5]，本文給出了模型的應用算法，能夠較好地完成信息系統(tǒng)安全風險的評估，具有較好的可操作性。

4應用實例與分析

為了進一步闡述本文所提出的SBGM模型及相關算法的有效性，本文通過部署有如圖2所示的網(wǎng)絡信息系統(tǒng)拓撲結構進行模擬實驗。該拓撲結構主要由一臺文件服務器、一臺數(shù)據(jù)庫服務器、一臺郵件服務器及一臺IDS入侵檢測設備組成。非本地主機只能訪問文件服務器和郵件服務器，系統(tǒng)內(nèi)的文件服務器、郵件服務器可以對數(shù)據(jù)庫服務器進行訪問。

Figure 2　Network toplogical structure 圖2　網(wǎng)絡拓撲結構

防御者根據(jù)歷史經(jīng)驗，將攻擊者的類型分為tA={冒險型攻擊者, 保守型攻擊者}。冒險型攻擊者為了達到目標不惜采用高代價攻擊方式，成功率較高，具有較大風險；保守型攻擊者攻擊時更愿意使用代價較小的方式實施攻擊，成功率較低，風險也較低。防火墻規(guī)則及服務器弱點信息如表2和表3所示。

Table 2　Firewall regulations

Table 3　Weakness of the server

假設攻擊者在攻擊主機上具有Root權限，并以此作為攻擊的起點，以獲取數(shù)據(jù)庫服務器的重要信息為目標。根據(jù)防火墻的相關規(guī)則，攻擊主機僅可以獲得Access權限去訪問郵件服務器和文件服務器，無法訪問數(shù)據(jù)庫服務器。但是，由于弱點間存在相互依賴關系，攻擊者可以通過一系列的原子攻擊來獲得訪問數(shù)據(jù)庫的權限。攻擊者的原子攻擊信息如表4所示。

Table 4　Description of atom attack

對網(wǎng)絡拓撲進行分析可得到攻擊者可采取的各類攻擊行動。不同類型的攻擊者采取的攻擊策略不同，表5給出了不同類型的攻擊者所采取的行動。防御者有兩種類型，從防御行為庫選出可用的防御行動后，經(jīng)過對成本、影響及專家建議等方面的考慮，可供選取的防御行動如表6所示。

Table 5　Different types of attacker’s actions

參與者行動集合確定后，利用策略收益量化公式對各類型的參與者行動的成本和收益進行量化。另外，通過對歷史數(shù)據(jù)的分析，防御者可得到攻擊者類型的先驗信念：(冒險型攻擊者，保守型攻擊者)=(0.6, 0.4)，防御者對攻擊者歷史行為進行分析，可得到攻擊者對其類型的先驗信念：(防御等級高，防御等級低)=(0.5, 0.5)。由此可得到網(wǎng)絡博弈樹如圖3所示。

Table 6　Different types of defender’s actions

Figure 3　Net game tree 圖3　網(wǎng)絡博弈樹

利用最優(yōu)防御策略選取算法可得到均衡如下：

Table 7　Bayesian Nash equilibrium of the mixed strategies

如果該信息系統(tǒng)包含四個安全風險子域，同理，可計算得到四個風險子域的風險為(R1,R2,R3,R4)=(0.733 65,0.629 91,0.698 33,0.563 54)。假設該信息系統(tǒng)各風險子域的資產(chǎn)值(A1,A2,A3,A4)=(100,80,130,110)(單位：萬元)，則可得到安全風險子域的權重向量為(0.238 1,0.190 5,0.309 5,0.261 9)。則信息系統(tǒng)的整體風險RALL=0.658 4，由此認為該系統(tǒng)風險級別為中等。

由此可見，本文提出的方法是切實可行的，綜合考慮了攻擊者和防御者的行為，并運用攻擊者的混合均衡策略對風險進行評估，操作簡單，性能開銷復雜度小。而文獻[1]中的方法對大樣本數(shù)據(jù)學習的速度較慢，序列訓練開銷大。文獻[2]中的方法僅能對實時風險進行評估，且開銷較大。文獻[3]中的方法狀態(tài)概率轉(zhuǎn)移矩陣不易確定，具有較大主觀因素。更為重要的是，以上文獻的評估方法都僅僅站在防御方的角度對系統(tǒng)風險進行評估，較為片面。

5結束語

為了全面、主動地進行信息系統(tǒng)風險評估，本文基于靜態(tài)貝葉斯博弈理論建立攻防博弈模型。根據(jù)攻防雙方的不完全信息將攻擊者和防御者劃分為多種類型，對博弈的均衡情況進行了分析和證明。然后，對混合策略均衡進行分析，將攻擊者的混合策略均衡作為防御者對攻擊行動的可信預測。在此基礎上，結合威脅發(fā)生給系統(tǒng)造成的損失，給出信息系統(tǒng)風險計算公式。本文還提出了基于靜態(tài)貝葉斯博弈的風險評估算法，可用于對信息系統(tǒng)存在的總風險進行評估。實例分析說明了本文提出模型和算法在攻擊預測及風險評估方面的合理性和有效性。

參考文獻:

[1]LiuFang,CaiZhi-ping,XiaoYi-nong,etal.Riskprobabilityestimatingmodelbasedonneuralnetworks[J].ComputerScience, 2008,35(12):28-33.(inChinese)

[2]WangYi-feng,LiTao,HuXiao-qin,etal.Areal-timemethodofriskevaluationbasedonartificialimmunesystemfornetworksecurity[J].ACTAElectronicaSinica, 2005,33(5):945-949.(inChinese)

[3]LiuGang,LiQian-mu,LiuFeng-yu,etal.Atime-varyingMarkovmodelanditsapplicationtonetworkreal-timeriskprobabilityprediction[J].ActaArmamentarii, 2012,33(2):163-169.(inChinese)

[4]CaiJian-qiang.Networkvulnerabilityassessmentbasedongamemodel[D].Baoding:NorthChinaElectricPowerUniversity, 2011.(inChinese)

[5]ZhangShu-wei,LiuWen-fen,WeiJiang-hong.Networksecurityriskquantificationassessmentbasedongamemodel[J].JournalofInformationEngineeringUniversity, 2014,15(2):152-162.(inChinese)

[6]FudenbergD,TiroleJ.Gametheory[M].Cambridge:TheMITPress, 1991.

[7]LiuY,CristinaC,HongM.ABayesiangameapproachforintrusiondetectioninwirelessadhocnetworks[C]//Procofthe2006WorkshoponGameTheoryforCommunicationsandNetworks, 2006:1.

[8]JiangWei,FangBing-xing,TianZhi-hong,etal.Evaluatingnetworksecurityandoptimalactivedefensebasedonattack-defensegamemodel[J].ChineseJournalofComputers, 2009, 32(4):817-825.(inChinese)

[9]RobertG.Aprimeringametheory[M].NewYork:PearsonHigherEducation, 1992.

[10]MyersonJ.Bayesianequilibriumandincentivecompatibility:Anintroduction[C]//SocialGoalsandSocialOrganization,Cambridge:CambridgeUniversityPress,1985.

[11]ZhengGeng-zhong,LiuSan-yang,QiXiao-gang.ClusteringroutingalgorithmofwirelesssensornetworksbasedonBayesiangame[J].JournalofSystemsEngineeringandElectronics, 2012, 23(1):154-159.

[12]ChenX,DengX.Settlingthecomplexityoftwo-playerNashequilibrium[C]//Procofthe47thAnnualIEEESymposiumonFoundationsofComputerScience(FOCS06),2006:261-272.

參考文獻附中文.

[1]劉芳，蔡志平，肖依,等．基于神經(jīng)網(wǎng)絡的安全風險概率預測模型[J]．計算機科學，2008,35(12):28-33.

[2]王益豐，李濤，胡曉勤,等．一種基于人工免疫的網(wǎng)絡安全實時風險檢測方法[J]．電子學報,2005,33(5):945-949.

[3]劉剛，李千目，劉鳳玉,等. 面向網(wǎng)絡實時風險預測的馬爾可夫時變模型[J]. 兵工學報, 2012,33(2):163-169.

[4]蔡建強. 基于博弈模型的網(wǎng)絡脆弱性評估的研究[D]. 保定:華北電力大學, 2011.

[5]張樹偉, 劉文芬, 魏江宏. 基于博弈模型的網(wǎng)絡風險量化評估方法[J]. 信息工程大學學報, 2014,15(2):156-162.

[8]姜偉, 方濱興, 田志宏,等.基于攻防博弈模型的網(wǎng)絡安全測評和最優(yōu)主動防御[J].計算機學報，2009，32(4):817-825.

余定坤(1991-),男,江西贛州人，碩士生，研究方向為風險評估和信息安全。E-mail:78729557@qq.com

YUDing-kun,bornin1991,MScandidate,hisresearchinterestsincluderiskassessment,andinformationsecurity.

王晉東(1966-),男,山西洪洞人，教授，研究方向為資源管理和風險評估。E-mail:wjd9797@sina.com

WANGJin-dong,bornin1966,professor,hisresearchinterestsincluderesourcesmanagement,andriskassessment.

張恒巍(1977-),男,河南洛陽人，博士生，講師，研究方向為風險測評、風險評估和博弈論。E-mail:zhw11qd@126.com

ZHANGHeng-wei,bornin1977,PhDcandidate,lecturer,hisresearchinterestsincluderiskevaluation,riskassessment,andgametheory.

王娜(1970-),女,河北安平人，碩士，副教授，研究方向為資源管理和物聯(lián)網(wǎng)。E-mail:wang_na70@sohu.com

WANGNa,bornin1970,MS,associateprofessor,herresearchinterestsincluderesourcesmanagement,andtheInternetofThings.

陳宇(1977-),男,河南鄧州人，博士生，講師，研究方向為風險評估和物聯(lián)網(wǎng)。E-mail:chenyu0319@gmail.com

CHENYu,bornin1977,PhDcandidate,lecturer,hisresearchinterestsincluderiskassessment,andtheInternetofThings.