基于定性微分博弈的網絡安全威脅預警方法?

黃世銳，張恒巍,2，王晉東，竇睿彧

?

基于定性微分博弈的網絡安全威脅預警方法?

黃世銳1，張恒巍1,2，王晉東1，竇睿彧1

（1.信息工程大學三院，河南 鄭州 450001；2.信息保障技術重點實驗室，北京 100093）

目前，基于博弈理論的網絡安全研究大多采用靜態(tài)博弈或多階段動態(tài)博弈模型，不符合實際網絡攻防連續(xù)對抗、實時變化的特點，為了更加貼近攻防實際進行安全威脅預警，借鑒傳染病動力學模型分析安全威脅傳播過程，基于定性微分博弈理論構建網絡攻防博弈模型，推演安全威脅動態(tài)變化趨勢。在此基礎上，提出攻防定性微分博弈求解方法，構造攻防界柵以及捕獲區(qū)和躲避區(qū)；引入多維歐氏距離，度量不同安全狀態(tài)的威脅嚴重程度；進而設計預警算法，實現(xiàn)對網絡安全威脅的動態(tài)預警，且具有更好的準確性和時效性。仿真實驗結果表明，所提模型和算法有效且可行。

網絡安全威脅；網絡攻防；威脅預警；定性微分博弈；預警算法

1 引言

傳統(tǒng)網絡安全威脅分析方法[1-2]忽視了安全威脅的基本屬性是在網絡攻擊和防御措施的對抗競爭中不斷變化的，在準確性和可靠性上存在不足。網絡安全的本質在于攻防對抗，而博弈論是研究博弈方發(fā)生直接作用時決策及其均衡問題的理論[3]，與網絡攻防的基本特征高度吻合[4]。因此，采用博弈論分析推演攻防對抗行為及其相互影響，進而提出網絡安全威脅預警方法，具有重要的借鑒意義和理論價值，已成為近年來的研究熱點。

目前，運用博弈理論進行網絡安全研究已經取得部分成果。但隨著網絡技術的不斷發(fā)展，網絡對抗過程趨于動態(tài)化、高頻化、連續(xù)化，傳統(tǒng)博弈模型[5-7]僅能分析一次攻防過程或時間間斷、離散的多階段攻防過程，已經難以滿足網絡安全威脅預警的時效性要求。定性微分博弈理論是在借助微分方程描述連續(xù)時間內的狀態(tài)轉移并分析博弈方連續(xù)決策過程的基礎上，研究在攻防對抗中某一目標結局能否實現(xiàn)的理論工具[8]。將定性微分博弈引入安全威脅預警研究，一方面，利用微分方程分析連續(xù)時間內的網絡安全威脅傳播行為和安全狀態(tài)遷移過程[9-10]，采用含有時間變量的連續(xù)路徑表示攻防策略選取軌跡，更符合實際網絡攻防行為的高頻變化性和時間連續(xù)性，使威脅預警方法更具動態(tài)性和時效性；另一方面，利用該理論構造界柵面，將網絡安全狀態(tài)空間分為捕獲區(qū)和躲避區(qū)，分別表示攻擊方和防御方的優(yōu)勢區(qū)域，據此可以對安全威脅狀態(tài)演化趨勢進行動態(tài)預測與度量。但是，定性微分博弈是多維相空間中的連續(xù)變化過程[11]，網絡攻防模型構建和分析難度大，據我們所知，目前尚未有公開文獻對上述方法予以討論。

本文在定性微分博弈理論的基礎上，為更加準確、有效地預測網絡威脅狀態(tài)演化情況，將網絡系統(tǒng)劃分為不同功能的子網絡，借助傳染病動力學模型描述網絡威脅傳播過程；在此基礎上，構建網絡攻防定性微分博弈（NSDG, network security qualitative differential game）模型，分析攻防實時變化條件下的網絡安全威脅動態(tài)變化過程；進而提出攻防定性微分博弈求解方法，構造攻防界柵劃分捕獲區(qū)和躲避區(qū)，并引入多維空間歐氏距離計算不同安全狀態(tài)的威脅嚴重程度，設計安全威脅預警算法。與現(xiàn)有成果相比，本文方法更加符合實際情況，能夠研究連續(xù)實時攻防對抗下的網絡安全威脅演化趨勢，并對安全威脅進行動態(tài)預警，準確性和時效性更強。

2 網絡攻防定性微分博弈模型

2.1 網絡安全威脅傳播過程分析

由于應用場景和服務需求的不同，大型網絡往往由多個業(yè)務子網構成，本文以網絡功能和拓撲為邊界將網絡劃分為多個功能子網絡，利用上述網絡安全威脅傳播方程分析各子網絡感染節(jié)點的密度狀態(tài)，進而刻畫整體網絡中安全威脅的影響范圍和嚴重程度，預測網絡安全威脅動態(tài)變化過程并實現(xiàn)預警。

2.2 構造網絡攻防定性微分博弈模型

基于博弈模型定義和2.1節(jié)的分析結論，考慮各子網絡功能拓撲的差異性，參考文獻[10]，將NSDG模型中的攻防博弈目標集邊界函數(shù)定義為

3 博弈求解分析與威脅預警算法設計

3.1 網絡攻防定性微分博弈求解

在網絡攻防定性微分博弈模型的基礎上，根據定性微分博弈理論，可將網絡安全多維狀態(tài)空間劃分為捕獲區(qū)和躲避區(qū)[8]。若當前網絡安全狀態(tài)位于捕獲區(qū)內，則攻擊方通過采取恰當?shù)墓舨呗钥偰苁拱踩珷顟B(tài)到達目標集內，實現(xiàn)預期目標；若位于躲避區(qū)內，則防御方采取恰當?shù)姆烙胧┛偰艿钟{的進一步傳播，防止安全狀態(tài)遷移至目標集內。因此，攻防雙方都將采取最優(yōu)策略進行連續(xù)對抗，避免落入對方的優(yōu)勢區(qū)域內，使網絡安全狀態(tài)在2個區(qū)域的分界面上不斷遷移。而捕獲區(qū)和躲避區(qū)的分界面則稱為攻防定性微分博弈的攻防界柵。

3.2 基于攻防界柵的網絡安全威脅預警分析

表1 威脅預警等級劃分標準

3.3 網絡安全威脅預警算法設計

基于定性微分博弈的網絡安全威脅預警算法如算法1所示。

算法1 基于定性微分博弈的網絡安全威脅預警算法

輸入 網絡攻防定性微分博弈模型

輸出 威脅預警等級

begin

表2 本文方法和其他文獻方法對比

{

14) output ()；輸出網絡安全預警等級

}

end

將本文方法和其他文獻進行對比，結果如表2所示。模型的時效性是指攻防分析和威脅預警的有效時間。相比其他文獻，本文基于定性微分博弈模型分析攻防過程預測網絡安全威脅的動態(tài)變化，充分考慮了攻防雙方在對抗過程中行為的動態(tài)變化性以及時間連續(xù)性，預警效果更具準確性和時效性。同時，本文模型中的博弈方類型集合和策略集合可以擴展至，具有較好的通用性，且本文給出了博弈均衡求解的詳細計算過程，實用性較強。

4 仿真實驗與分析

4.1 實驗環(huán)境描述

通過仿真實驗驗證本文模型和方法的有效性。服務器使用Linux操作系統(tǒng)、32 GB內存、主頻3.2 GHz四核CPU，并采用廣泛使用的仿真工具Scalable Simulation Framework (SSFNet)，通過設定不同的網絡參數(shù)模擬不同功能拓撲和規(guī)模的網絡攻防場景。參考文獻[16]，并結合2.1節(jié)中的網絡安全攻防演化分析，從Route Views Project中得出自治系統(tǒng)連接數(shù)據集，用于設計實驗系統(tǒng)的拓撲結構，采用2018年1月26日的數(shù)據（NetTF Data 20180126113000）構建網絡場景，其中，綜合實驗平臺運算能力設置網絡節(jié)點總數(shù)為=1 200。為了采用三維圖進行直觀的演示分析，結合實驗網絡功能拓撲將網絡劃分為3個子網絡，分別為數(shù)據子網、接入子網和業(yè)務子網，并設置其節(jié)點數(shù)量均為400。

結合國家信息安全漏洞庫（CNNVD）數(shù)據和文獻[17-18]中的漏洞信息分析方法，參照美國MIT攻防行為數(shù)據庫[19]，構建網絡安全攻防策略集，如表3和表4所示。

表3 攻擊策略集

4.2 攻防仿真與分析

表4 防御策略集

圖1 攻防界柵曲面圖（為更好地展示實驗結果，(a)和(b)分別為不同視角下的攻防界柵）

圖2 安全狀態(tài)x與攻防界柵之間多維空間距離

依據表1，網絡系統(tǒng)當前處于安全威脅三級預警，安全狀態(tài)距離攻防界柵較近，此時，網絡防御方應保持高度警戒狀態(tài)，開展攻擊行為實時監(jiān)測，并采用針對性防御策略加強安全防護程度，以防攻擊方加大攻擊強度造成網絡安全狀態(tài)進一步惡化，突破安全“紅線”。

進一步根據網絡安全威脅預警算法，可以確定安全狀態(tài)空間內不同狀態(tài)所處的安全威脅程度及對應的預警等級，并以此為依據制定不同的防御預案，提高網絡系統(tǒng)的主動防御能力和應急處置能力。由于安全狀態(tài)數(shù)量較大，本節(jié)僅展示部分威脅預警結果，如表5所示。

5 結束語

目前，基于單階段或多階段動態(tài)博弈模型的網絡安全分析方法難以分析實時變化、連續(xù)對抗的攻防過程。本文對連續(xù)時間的網絡攻防過程進行研究分析，針對威脅預警需求，提出網絡攻防定性微分博弈模型，構造攻防界柵劃分捕獲區(qū)及躲避區(qū)，引入多維空間歐氏距離評估威脅程度；在此基礎上，設計網絡安全威脅預警算法，確定安全狀態(tài)所處威脅預警等級并根據預警等級對網絡防御提出針對性建議，仿真實驗驗證了所提模型和算法的有效性。研究成果為分析預測動態(tài)變化的網絡安全威脅狀態(tài)、實現(xiàn)實時安全威脅預警提供了有效的模型方法，并能夠為防御方制定（選取）針對性的防御預案（策略）提供指導。

未來工作主要包括進一步研究網絡功能和拓撲結構等參數(shù)對威脅動態(tài)變化的影響，提升威脅預警算法的精確性和自適應性。在結合微分博弈與多目標決策理論的基礎上，研究威脅預警—防御決策一體化方法。

表5 部分網絡安全狀態(tài)所處威脅預警等級

[1] HERMANOWSKI D. Open source security information management system supporting IT security audit[C]// IEEE International Conference on Cybernetics. 2015: 336-341.

[2] KATIPALLY R, GASIOR W, CUI X, et al. Multistage attack detection system for network administrators using data mining[C]// BMJ. 2015: 1-4.

[3] FUDENBERG D, TIROLE J. Game theory[M]. Boston: Massachusettes Institute of Technology Press, 2015.

[4] 朱建明, 王秦. 基于博弈論的網絡空間安全問題分析[J]. 通信學報, 2017, 32(10): 43-49. ZHU J M, WANG Q. Analysis of cyberspace security based on game theory[J]. Journal on Communications, 2017, 32(10): 43-49.

[5] WHITE J, PARK J S, KAMHOUA C A, et al. Game theoretic attack analysis in online social network (OSN) services[C]//IEEE/ACM International Conference on Advances in Social Networks Analysis and Mining. 2013: 1012-1019.

[6] 王元卓, 林闖, 程學旗, 等. 基于隨機博弈模型的網絡攻防量化分析方法[J]. 計算機學報, 2015, 33(9): 1748-1764. WANG Y Z, LIN C, CHENG X Q, et al. Analysis for network attack-defense based on stochastic game model[J]. Chinese Journal of Computers, 2015, 33(9): 1748-1764.

[7] 張恒巍, 余定坤, 韓繼紅, 等. 基于攻防信號博弈模型的防御策略選取方法[J]. 通信學報, 2016, 37(5): 51-61. ZHANG H W, YU D K, HAN J H, et al. Defense policies selection method based on attack-defense signaling game model[J]. Journal on Communications, 2016, 37(5): 51-61.

[8] DAVID W K Y, LEON A P. Differential games theory[M]. New York: Springer Press, 2015.

[9] 張恒巍, 李濤. 基于攻防微分博弈的網絡安全防御決策方法[J]. 電子學報, 2017,45(2): 431-439. ZHANG H W, LI T. Defense strategy selection method based on attack-defense differential game model[J]. Acta Electronica Sinica, 2017,45(2): 431-439.

[10] NILIM A, GHAOUI L E. Active defense strategy selection based on differential game[J]. Operations Research, 2016, 43(12): 163-169.

[11] 范紅旗, 王勝, 付強. 二人微分對策問題信息模式的數(shù)學描述[J]. 電子學報, 2015, 42(2): 1355-1361. FAN H Q, WANG S, FU Q. Mathematical description for information pattern of stochastic differential games[J]. Acta Electronica Sinica, 2015, 42(2): 1355-1361.

[12] NOWAK M A. Evolutionary dynamics: exploring the equations of life[M]. Boston: Harvard University Press, 2015.

[13] ROESCH M. Snort-lightweight intrusion detection for networks[C]//The 13th System Administration Conference and Exhibition. 2015: 229-238.

[14] 余定坤, 王晉東, 張恒巍. 靜態(tài)貝葉斯博弈主動防御策略選取方法[J].西安電子科技大學學報, 2016, 43(1): 163-169. YU D K, WANG J D, ZHANG H W. Active defense strategy selection based on static Bayesian game[J]. Journal of Xidian University, 2016, 43(1):163-169.

[15] 石樂義, 趙俊楠, 李芹, 等. 基于信令博弈的網絡誘騙防御策略分析與仿真[J]. 系統(tǒng)仿真學報, 2016, 28(2):348-353. SHI L Y, ZHAO J N, LI Q, et al. Signaling game analysis and simulation on network decoy defense strategies[J]. Chinese Journal of System Simulation, 2016, 28(2): 348-353.

[16] 林闖, 王元卓, 汪洋. 基于隨機博弈模型的網絡安全分析與評價[M].北京: 清華大學出版社, 2014. LIN C, WANG Y Z, WANG Y. Analysis and evaluation for network security based on stochastic game model[M]. Beijing: Tsinghua University Press, 2014.

[17] LIU F M, DING Y S. Dynamics analysis of stochastic game based trust computing for networks[J]. Application Research of Computers, 2016, 33(2): 460-463.

[18] SUN W, KONG X W, HE D Q, et al. Research on attack and deference in information security based on stochastic game[J]. ACM Information security Science and technology, 2016, 27(9): 1408-1412.

[19] GORDON L, LOEB M, LUCYSHYN W, et al. 2016 CSI/FBI computer crime and security survey[C]//The 2016 Computer Security Institute. 2016: 48-66.

Network security threat warning method based on qualitative differential game

HUANG Shirui1, ZHANG Hengwei1,2, WANG Jindong1, DOU Ruiyu1

1. The Third Institute, Information Engineering University, Zhengzhou 450001, China 2. Science and Technology on Information Assurance Laboratory, Beijing 100093, China

Most current network security research based on game theory adopts the static game or multi-stage dynamic game model, which does not accord with the real-time change and continuity of the actual network attack-defense process. To make security threats warning more consistent with the attack-defense process, the threat propagation process was analyzed referring to the epidemic model. Then the network attack-defense game model was constructed based on the qualitative differential game theory, by which the evolution of the network security state could be predicted. Based on the model, the qualitative differential game solution method was designed to construct the attack-defense barrier and divide the capture area. Furthermore, the threat severity in different security states were evaluated by introducing multidimensional Euclidean distance. By designing the warning algorithm, the dynamic warning of the network security threat was realized, which had better accuracy and timeliness. Finally, simulation results verify the effectiveness of the proposed algorithm and model.

network security threat, network attack and defense, threat warning, qualitative differential game, warning algorithm

TP309

A

10.11959/j.issn.1000?436x.2018134

黃世銳（1994?），男，廣東汕頭人，信息工程大學工程師，主要研究方向為網絡安全預警與防御決策。

張恒巍（1978?），男，河南洛陽人，博士，信息工程大學副教授，主要研究方向為網絡安全與攻防對抗、信息安全風險評估。

王晉東（1966?），男，山西洪桐人，信息工程大學教授，主要研究方向為網絡與信息安全、云資源管理。

竇睿彧（1981?），女，江蘇江都人，信息工程大學講師，主要研究方向為網絡信息安全。

2018?03?13；

2018?07?17

張恒巍，zhw11qd@126.com

國家自然科學基金資助項目（No.61303074, No.61309013）；河南省科技攻關計劃基金資助項目（No.182102210144）；信息保障技術重點實驗室開放基金資助項目（No.KJ-15-110）

The National Natural Science Foundation of China (No.61303074, No.61309013), The Science and Technology Research Project of Henan Province (No.182102210144), The Opening Foundation of Sciense and Technology on Information Assurance Laboratory (No.KJ-15-110)