網絡安全攻防博弈模型研究

曾曉杰

互聯網的發展為各行各業都帶來的巨大的發展機遇，如電商、O2O、物流、社交等。在帶給人們方便的同時，無疑也產生了一些安全隱患，如各種網絡安全事故、信息泄露等。網絡安全本質上講就是網絡攻擊者與網絡防御者之間進行相互博弈的過程，在相互博弈的過程中，一方得益，即為勝出。本文主要是對網絡安全攻防博弈模型進行研究，并講述其在網絡安全中的應用。

一、引言

傳統的網絡安全解決方案往往依靠于反病毒軟件、入侵檢測和防火墻等。只有檢測到網絡入侵事件之后，才能利用反病毒軟件進行檢測和查殺。缺乏一定的主動防御能力。主動防御能力是一種在網絡攻擊事件發生之前，就可將攻擊事件扼殺在搖籃之中的一種能力。博弈論是數學上的一種決策分析理論，目前該理論已經被廣泛的應用到各個領域。該理論的最終目的是通過建立博弈模型，讓決策者可以利益最大化。本文將博弈理論應用于網絡安全領域，從而可以很好的評估網絡安全的好壞。本文首先對一些網絡安全的攻擊手段和防御手段進行簡單的研究，然后通過這些攻擊和防御手段建立一個網絡安全攻防博弈模型，用來評估網絡安全的狀況，最后對網絡安全攻防博弈模型在網絡安全中的應用進行說明。

二、網絡安全攻擊和防御策略

網絡安全攻擊的策略主要有基于弱點攻擊、基于經驗術語攻擊、基于應用攻擊、基于檢測攻擊和基于多維屬性攻擊等。防御的策略主要有入侵檢測技術、防火墻技術、密碼加密技術、網絡應急響應技術等等。

基于弱點攻擊是一種利用系統的軟硬件漏洞和弱點，發起攻擊。基于經驗術語的攻擊是一種利用網絡中常見的社會術語和技術術語進行發起攻擊，例如在郵件或者社交軟件中，使用偽造的網絡信息、邏輯炸彈、冒充信息等，一旦使用者點擊或者操作，將會受到攻擊或者入侵等。基于應用攻擊是一種針對特定的應用發起攻擊的一種方法，如將一些蠕蟲病毒放入某些特定的應用中進行傳播等。基于多維屬性攻擊是一種復雜的攻擊方式，可以結合多種應用場景利用多種手段發起攻擊。

入侵檢測技術是一種對網絡流量和日志進行大量的過濾，從而找到可疑的網絡流量日志，再進行二次分析，是否存在攻擊危險。因此入侵檢測技術是一種被動防御技術，存在著誤報和漏報的風險。防火墻技術主要用于企業或者機關內部，通過防火墻技術將內部網絡與外部網絡隔離開來，對內部網絡與外部網絡之間的通信進行監視，一旦發現外部網絡中有風險的數據包就將其攔截在外，然而這種網絡安全技術只能夠防范外來網絡安全事故，對內部網絡沒有任何作用。密碼加密技術是一種將網絡傳輸數據進行加密，然后接收著再進行解密，從而得到真正數據的一種方式，如目前普遍使用的Https，就是通過將傳輸數據加密傳輸，再比如QQ、微信等社交軟件，目前已普遍使用加密數據進行數據傳輸，而不是剛出來時候的明文傳輸。網絡應急響應是一種事后快速響應處理解決方案，一旦遭受了網絡攻擊，可以快速的進行反應，并找到最佳解決辦法，將損失降到最低。

三、網絡安全攻防博弈模型建立

網絡安全攻防博弈模型的建立是建立在網絡安全攻擊和防御策略的基礎之上，攻防博弈與古時候打仗或者做生意是否盈利的道理是一樣的。首先需要客觀的找出攻擊者和防御者。比如打仗，攻擊者和防御者就很好理解，攻防雙方顯而易見。再比如做生意，攻防其實是相互的，商人可以作為攻擊者，也可以稱為防御者，目標是最終誰的利益最大化。對于商人來說，收益最大化。對于客人來說，性價比最優化。而對于網絡安全來說，利用攻防博弈理論來探討網絡安全情況也比較合適。

網絡安全中攻擊者和防御者也比較明顯。網絡安全攻擊策略可以稱之為攻擊者，網絡安全防御策略可以稱之為防御者，至于到底是攻擊者戰勝防御者還是防御者戰勝攻擊者，就看在該模型中，誰的收益最大。在網絡安全的博弈模型中，攻擊者可是弱點攻擊、經驗術語攻擊、應用攻擊和檢測攻擊等各種網絡攻擊手段和策略；防御者是入侵檢測、防火墻、數據加密和應急響應等各種網絡安全檢測和防御手段和策略。網絡安全攻防博弈模型，如圖1所示。

從上圖來看，網絡安全問題就是網絡攻擊者與網絡防御者之間進行博弈的過程，攻擊者戰勝防御者，則網絡攻擊成功，網絡安全事故發生，如果防御者戰勝攻擊者則網絡攻擊失敗，網絡安全事故未發生。通過對網絡安全攻防博弈模型的研究，可以做很多事情，比如更好的演練網絡攻擊與防御之間的過程，從而建立更加良好的網絡防御體系，再比如，可以對當前的網絡防御體系進行網絡安全級別評估，看是否達到預期需求。總而言之，對網絡安全攻防博弈模型的深入研究，可開展網絡安全若干個領域課題的研究，且成果比較明顯。

在網絡安全攻防博弈模型中，可以通過給已知的若干個網絡攻擊方案加權，每個網絡攻擊方案根據其入侵能力、危害程度等，設置一定的權值，同時對網絡防御手段也給予一定的權值，對已經部署和使用的網絡防御手段進行評估，根據各種網絡攻擊方案在當前場景中出現的可能性和給定的權值，對當前已知的網絡防御策略所能做到的防御能力做出評估，從而可以定性當前網絡防御策略的防御能力。

四、攻防博弈模型在網絡安全中的應用

攻防博弈模型在網絡安全中的應用和研究比較廣泛，從2000年開始，有大量的學者對該模型進行了大量的研究，部分的學者即是網絡安全領域的專家，他們利用攻防博弈理論對網絡安全領域做出了巨大的貢獻。2004年，Brynielesson首次把博弈論模型引入到了控制智慧領域中，然后針對網絡安全中信息的不確定問題，利用貝葉斯博弈論方法對其實現了安全態勢的預估和評測。2007年，Shen等人結合Markov博弈論方法對網絡防御能力進行評估，通過大數據的方式獲取各種網絡攻擊的策略，然后對各種網絡攻擊策略進行綜合數據挖掘和評測分類，然后利用博弈論理論，對網絡攻擊方式進行能力評估，從而幫助網絡防御能力進行有效的評估，提前預知其網絡防御的能力，為更好的加強網絡防御能力做出了巨大的貢獻。在接下來的若干年，還有很多的的研究人員對攻防博弈模型理論在網絡安全領域的應用進行研究，2016年，張恒巍等人將攻防理論進行進一步的抽象，建立起了一個攻防博弈模型收益算法，將攻擊者的收益和防御者的收益同時考慮在內，以各種混合策略的不同權值，計算最終的收益，以收益值作為最終的衡量標準，從而設計了最佳的網絡安全防御策略選取算法。

以上眾多的研究人員都利用攻防博弈模型對網絡安全領域進行了眾多的研究。而在網絡安全領域的攻防博弈模型，如何更好的進行應用，也是當前所存在的一個問題。本文也著重研究了這一問題。首先已知攻防博弈模型無法解決正在發生的網絡安全事故，當前現有的研究都局限于對現有的網絡防御能力進行評估。因此，還需要進行更加廣泛的研究和應用。本文發掘的網絡安全攻防博弈模型的應用主要有網絡安全防御能力評估、網絡安全事故應急處理、網絡安全防御策略自動修補能力、網絡安全防御能力自動提升能力等。

網絡安全防御能力評估是應用最多的一個方向，近10年來，大多數的網絡安全領域專家，都是利用攻防博弈理論在該領域進行研究。網絡安全事故應急處理策略是一種利用攻防博弈理論，通過對已有的攻防博弈理論進行不斷的學習，由于并不是所有的單位和企業都有能力建立最為安全的防御體系或者并沒有必要一直擁有最高級別的安全體系。因此，一旦發生網絡安全事故時，需要能夠在最短的時間內，找到最佳的解決方案。攻防博弈理論雖然沒有這個能力，但是可以利用該理論，對攻防兩者進行不斷的人工智能學習，從而形成一定的理論體系，然后在最短的時間內，找到最佳的解決方案，將損失最小化。網絡安全防御策略自動修補能力是一種將攻防博弈模型應用后，再利用大數據能力，通過數據挖掘手段找到最佳修補策略，從而對當前的網絡安全防御策略進行自動修補的一種應用，該應用可用于大型的企業內部，通過對攻防博弈模型進行不斷的演練，然后對可能出現的漏洞進行自動修補。網絡安全防御能力自動提升策略與自動修補策略基本類似，通過不停的修補策略，可理解為軟件修補補丁或Bug的方式，不斷的對可能發生事故的地方進行修補，從而不停地提升網絡安全防御能力，也可以利用攻防博弈模型對已經建立的防御體系進行定期的驗證，由于最新的攻擊方式層出不窮，一旦發現危險漏洞，可在最短時間內進行漏洞修補，從而自動提升網絡安全防御能力。

總而言之，攻防博弈模型的應用非常廣泛，在網絡安全領域中，無論哪個環節中都可應用到該模型，核心領域為對防御能力的評估，也可延伸該模型的作用，從而應用于不斷修補網絡防御體系漏洞，不斷提升網絡防御體系能力。在網絡安全事故中，結合人工智能和大數據等技術，建立快速響應機制，以最快速度解決現有問題，將各種網絡安全事故所造成的損失降到最低。

五、結束語

本文主要對網絡安全攻防博弈模型理論進行研究，通過建立相應的網絡安全攻防博弈模型，以現有的網絡安全攻擊策略和網絡安全防御策略為依據和基礎，建立了一個簡單的博弈模型，該模型指明了攻擊者和防御者，攻擊者和防御者之間進行相互博弈，最終必然會有一方勝出。該攻防博弈模型可應用于對網絡防御能力進行評估，從2000年以來已經有很多的學者利用該理論對網絡安全領域進行研究，從而建立起了一系列的評估網絡防御能力的算法和選擇當前網絡環境下最佳防御策略的方案。本文對該模型的應用進一步挖掘，將其和人工智能技術和大數據技術相結合，從而可應用于不斷修補網絡安全體系漏洞和提升網絡安全防御體系的能力。