基于完全博弈的Ad hoc網絡風險評估

陳趙懿， 高秀峰， 曲 直

(陸軍工程大學石家莊校區模擬訓練中心， 河北 石家莊 050003)

由于Ad hoc網絡不依賴固定基礎設施，因此比傳統網絡更容易遭受各種安全威脅，如竊聽、重放、篡改報文和拒絕服務等。現有的網絡風險評估方法可分為4大類：定量評估、定性評估、定性與定量相結合的集成評估以及基于模型的評估[1]。單純采用定性或定量評估方法都不能完整地描述整個評估過程。相比而言，基于博弈論模型的安全分析方法可以對網絡攻防行為進行推演，對網絡風險進行有效預判。

博弈論作為一種研究參與者之間競爭與合作關系的數學理論工具，已廣泛應用于Ad hoc網絡的節點合作、入侵檢測、資源分配、動態功率調整等問題的研究。沈士根[2]綜述了博弈論在無線傳感器網絡安全方面的應用；AMIN等[3]提出了網絡資源受限條件下節點間合作博弈的入侵檢測系統模型；唐潔[4]根據貝葉斯博弈理論建立了節點轉發博弈模型，改進了節點激勵策略，提升了網絡整體性能；WANG等[5]提出貝葉斯攻防模型，考慮了信道噪聲對攻防策略收益的影響，研究了與惡意節點共存的問題；BASANT等[6]提出了一種基于多層博弈論的入侵檢測框架，研究了車載自組網的安全。但上述博弈模型大多在以下3個方面考慮不足：一是沒有考慮實際Ad hoc環境中的攻擊方法具有多樣化的特點；二是沒有考慮攻擊檢測率與誤檢率隨攻擊類型與強度的變化，而這些都會直接影響博弈模型中攻防雙方的收益；三是沒有考慮節點資產價值與權重，Ad hoc網絡中的節點不同，其風險也不同，需要區別對待[7]。

筆者采用2人非合作博弈描述網絡攻擊者與防御者的博弈過程，從攻擊檢測率、誤檢率、節點資產權重、不同攻擊方式等多方面綜合量化攻防雙方收益，使模型更符合網絡實際，通過求解博弈模型的納什均衡解，可預測每個節點的風險與最優攻防策略。主要從資產、脆弱性以及攻擊角度對Ad hoc網絡風險進行評估，依據這些要素給出常用網絡風險表達式為

R(W,V,T)=R(λ(W),P(T,W),B(T,W,V))，

(1)

式中：R為風險；W為資產；V為脆弱程度；T為威脅；P為概率；B為攻擊對網絡節點造成的損失；λ為節點資產權重。

風險評估流程如圖1所示。首先，利用攻防博弈模型求解每個節點的攻擊概率與攻擊損失；然后，求解節點風險；最后，結合節點資產權重，對網絡整體風險進行評估。

1 Ad hoc網絡

Ad hoc具有節點資源有限、缺乏集中管理、網絡拓撲動態變化等固有屬性，較容易受到網絡攻擊。入侵檢測系統(Intrusion Detection System，IDS)是保護Ad hoc安全的一道防線，一種最安全而樸素的IDS實現方法就是激活每個網絡節點上的檢測機制，但這種實現方式并不適合資源受限的Ad hoc網絡環境，所以防御系統在最大化網絡安全方面與攻擊者存在博弈。

1.1 脆弱性與威脅

Ad hoc網絡中的惡意節點可發動網絡攻擊，為博弈攻擊者，它的目的是在被發現和捕獲的最小概率前提下，最大化地破壞Ad hoc網絡的通信，通過丟包、泛洪等手段占用網絡資源和干擾網絡通信而獲取利益。

按攻擊性質，Ad hoc網絡攻擊可以分為被動攻擊和主動攻擊。被動攻擊的目的是從網絡中竊取有用信息，而不干擾破壞網絡正常通信,如竊聽等；主動攻擊目的是破壞網絡正常通信，造成網絡擁塞,消耗網絡和節點資源，如Dos攻擊、黑洞攻擊等[8]。按攻擊實施位置可以分為外部攻擊和內部攻擊[9]。也可按網絡層次進行分類[10]，其中路由攻擊是實施較多的攻擊，包括黑洞、灰洞、蟲洞、泛洪、Sybil和Rushing攻擊等[11]。理智攻擊者常常采用不連續、多種攻擊策略相組合方式進行攻擊，以降低被檢測發現的概率。

1.2 節點資產

Ad hoc網絡中節點所處位置和擔負的角色決定了其對網絡的重要程度。選擇那些安全性薄弱且對網絡重要的節點進行攻擊，對系統造成的風險會更大。

根據Ad hoc網絡特點，定義節點資產價值

wx=100×(e1×sx+e2×cx+e3×mx+e4×dx),

(2)

式中:ek(k=1,2,3,4)為權重因子；sx為節點等級；mx為節點能量；cx為偏心率；dx為節點度數。這些參數歸一化后參與計算。各參數說明如下：

1)sx。在實際的Ad hoc網絡中，節點等級越高，其權限越大，承擔的任務越重要；在同級同質網絡中，該參數權重因子可設置為0。

2)mx。為保持網絡結構的穩定性，一般能量小的節點風險較大，需重點保護，以防止其能量耗盡而造成網絡路由中斷。若所有節點能量足夠充沛，該參數權重因子可設置為0。

4)dx。一般認為節點度越大的節點在網絡中越重要[13]，即受到惡意攻擊時，其所影響的范圍越廣。

Ad hoc網絡中，節點資產可以通過節點發送的hello報文相互告知，節點資產不僅影響攻防策略的收益，也影響網絡的整體風險評估。

2 攻防博弈模型

網絡攻防是一個復雜問題，攻防雙方依據各自策略選擇攻防動作，網絡在攻防雙方的聯合行為作用下進行推演。假設網絡對抗中攻防雙方都是理性的，目的都是獲得各自最大收益。

2.1 博弈模型描述

定義Ad hoc攻防博弈模型(Ad hoc Game Model，AGM)為一個9元組：AGM={P,S,U,C,B,δ,θ,β,F}。相關參數說明如下：

1)P={攻擊者A，防御者D}，為博弈參與者，即Ad hoc網絡攻擊者與防御者；

3)U=Ua×Ud，為攻防效用函數，取值為實數；

4)C=Ca×Cd，為攻防雙方采取純策略的操作代價；

5)B=Ba×Bd，為攻防雙方采取某策略的獲利，與策略與節點資產有關；

6)δ為攻擊方被防御而受到的懲罰代價，是攻擊者前期的準備成本，也表示失去潛在威脅的損失；

7)F={f(w)},其中f(w)為防御措施給網絡帶來的負面損失，即采取防御后導致系統無法正常提供服務的損失；

8)β為系統誤檢率，與入侵檢測系統有關；

2.2 效用函數

效用函數表示攻防雙方從博弈中最終得到的收益水平。對于博弈參與者，效用值即為采取某行為后，其收益與代價的差值。在實際應用中，攻防雙方的收益受攻擊目標、攻防策略等多方面因素的影響，效用函數量化是網絡攻防最優策略選取的基礎，量化是否合理直接影響策略選取結果，對其量化需要參考歷史數據、仿真實驗、網絡環境和專家經驗等。

表1 博弈模型攻防雙方效用函數

2.3 納什均衡求解算法

雙方攻防效用期望

(3)

(4)

納什均衡求解算法為

minv=Ua(Pa*,Pd*)-Ua+Ud(Pa*,Pd*)-Ud;

其中，Ua(Pa*,Pd*)和Ud(Pa*,Pd*)分別表示攻擊者和防御者在納什均衡點的期望效用。

3 風險評估

美國國家標準局提出的風險計算方法

(5)

得到廣泛認可與應用[14]。式中:I(Oi)為風險Oi的損失值;Fi為風險Oi發生的概率。參考該計算方法，定義Ad hoc節點風險計算公式為

(6)

節點風險值為攻防策略下攻擊發生的概率及攻擊所造成損失的乘積。該值能更客觀地反映網絡的風險狀況。Ad hoc網絡整體風險為各節點風險值的綜合，其風險期望為

(7)

式中：λx為各節點資產權重，其可根據各節點資產價值wx歸一化得到。

3.1 風險評估求解算法

根據Ad hoc網絡環境，可獲取攻擊檢測率、誤檢率、攻擊的獲利、防御的負面損失等參數。具體評估算法如下。

輸入：AGM

輸出：Ad hoc網絡風險值

Step 1：初始化攻擊策略的檢測率θ和誤檢率β；

Step 2:初始化AGM；

Step 3:計算網絡節點資產；

Step 4:循環網絡所有節點；

Step 6：調用納什均衡算法，計算攻防雙方混合策略(Pa*,Pd*)；

Step 7：結束Step 4的循環；

Step 8：根據節點風險公式，計算網絡每個節點的風險值；

Step 9：計算網絡整體風險值。

DU等[15]證明了納什均衡算法的時間復雜度是多項式級別，本文模型的計算時間主要取決于納什均衡子算法的求解和網絡節點的規模，因此，整個算法具有多項式級別的時間復雜度。

3.2 風險分析

根據納什均衡算法，推導、分析不同參數下的最優攻防策略與網絡風險。

4) 當不存在占有策略時，博弈參與者將以混合策略形式選擇攻防動作。

5) 相對攻擊和防御獲利，當攻擊與防御成本很小，可以忽略不計，此時為二人非合作零和博弈模型。

4 實驗與對比分析

為進一步闡述本文所提AGM模型和算法的可行性和有效性，利用OMNet++軟件進行Ad hoc網絡的仿真實驗。

Ad hoc網絡仿真實驗拓撲結構如圖2所示，仿真區域300 m×200 m，節點10個，發射距離250 m，節點能量相同，路由協議AODV。根據節點資產公式，資產W=(89,100,67,67,56,56,56,44,44,56)，權重λ=(0.18,0.2,0.13,0.13,0.11,0.11,0.11,0.09,0.09,0.11)。根據納什均衡算法和風險評估算法，求解網絡風險值。

表2 最優攻擊策略和節點風險值

5 結論

筆者針對Ad hoc網絡特點，依據攻防雙方策略，提出了基于攻防博弈下的網絡風險評估模型。該模型框架綜合攻擊檢測率、誤檢率、節點資產價值、攻擊懲罰損失和防御措施負面損失等因素，更符合實際；根據風險計算公式，給出網絡風險評估算法，從實驗數據分析，本模型操作簡單，切實可行，能有效預測攻擊策略和網絡節點的風險,可為管理者提高網絡安全提供參考。