基于動態偽裝網絡的主動欺騙防御方法

王碩，王建華，裴慶祺，湯光明，王洋，劉小虎

（1.信息工程大學密碼工程學院，河南 鄭州 450001；2.西安電子科技大學綜合業務網理論及關鍵技術國家重點實驗室，陜西 西安 710071；3.西安電子科技大學陜西省區塊鏈與安全計算重點實驗室，陜西 西安 710071）

1 引言

隨著網絡應用的廣泛普及以及支撐技術的不斷發展，云計算、智能設備、區塊鏈、物聯網等不斷涌現的新技術正在深刻改變人們的生活，推動社會的飛速發展。然而，與此同時，伴隨網絡而來的安全問題也越發嚴重。據國家計算機網絡應急技術處理協調中心2018 年度網絡安全工作報告顯示[1]，2018 年，我國境內感染計算機惡意程序的主機數量約為1 256 萬個，規模在100 個主機以上的僵尸網絡數量達3 143 個，規模在10 萬個主機以上的僵尸網絡數量達32 個，WannaCry 蠕蟲病毒事件爆發等。然而，在眾多網絡攻擊形式中，滲透攻擊威脅尤其巨大，特別是以高級持續攻擊（APT,advanced persistent threat）為代表的滲透攻擊，給人們帶來了巨大的威脅。傳統的網絡防御以“筑高墻、堵漏洞、打補丁”為主，手段單一被動，不能有效應對新型攻擊形式，且存在“攻防不對稱”的嚴重劣勢。

網絡欺騙防御是改變“攻防不對稱”劣勢的創新思路，已成為當前網絡安全防御的研究熱點和重要研究方向之一[2-3]。它的核心思想在于：防御者在己方目標網絡中布設騙局，干擾、誤導攻擊者對己方網絡系統的認知，使攻擊者采取對防御方有利的動作，從而有助于發現、延遲或阻斷攻擊者的活動，達到防護目標網絡的目的[4]。美國提出的移動目標防御（MTD,moving target defense）[5-6]是增加攻擊者的認知難度，而網絡欺騙是干擾攻擊者的認知，甚至使攻擊者產生錯誤認知，顯然網絡欺騙相對移動目標防御層次更高，目標更遠。也有學者稱網絡欺騙是“后移動目標防御時代”。2016 年，Springer出版社出版了《Cyber Deception》[7]，這是第一本專門介紹網絡欺騙研究的著作，匯集了最新的網絡欺騙研究成果。網絡欺騙不是一種具體的防御技術，而是由蜜罐演進而來的一種防御思想。

現有研究可將蜜罐分為狹義的蜜罐和廣義的蜜罐。狹義的蜜罐作為傳統意義的蜜罐，用來模擬服務或服務器等網絡資源。根據交互水平，狹義的蜜罐可分為低交互蜜罐、中交互蜜罐和高交互蜜罐。Provos[8]提出了一種低交互蜜罐，通過模仿網絡堆棧行為來欺騙nmap 等指紋識別工具。此外，一些學者也提出了用于應用層協議的蜜罐，如Telnet[9]和HTTP[10]，還有一些針對特殊設備的蜜罐，如智能手機[11]、USB 設備[12]和數據采集裝置[13]。廣義的蜜罐則是基于蜜罐這種模擬思想，針對相對廣泛的對象來模擬一些偽造的對象，從而達到欺騙攻擊者的效果。Juels 等[14]提出一種Honeywords 方法，通過構造虛假賬戶密碼來檢測用該密碼嘗試攻擊的攻擊者。Araujo 等[15]提出一種Honey-patches方法，通過巧妙設計虛假漏洞補丁來欺騙攻擊者。Conroy 等[16]提出利用虛假新聞來欺騙攻擊者。Lee等[17]則提出在社交網絡上設計蜜罐來欺騙垃圾郵件制造者。Lazarov 等[18]提出用虛假的URL 地址欺騙攻擊者。加密消息也被用來吸引并欺騙攻擊者[19-20]。廣義的蜜罐形式多種多樣，理論上只要攻擊者對網絡中某一個對象有興趣，則可依據該對象偽造一個虛假的對象，達到欺騙攻擊者的目的。

此外，為了提高蜜罐的隱蔽性，避免其被攻擊者識破，Clark 等[21]通過周期性地改變蜜罐節點的IP 地址，使攻擊者已識別出的蜜罐IP 失效，從而增加蜜罐節點的安全性。Sun 等[22-23]將IP 隨機化與偽造欺騙節點巧妙結合，在目標網絡中放置蜜罐節點，并通過真實節點與蜜罐節點的IP 隨機化來干擾攻擊者。Venkatesan 等[24]提出利用強化學習來部署檢測器和蜜罐，實現最優化地去除僵尸節點的目的。然而該方法學習周期過長，模型訓練較難。石樂義等[25]提出基于動態陣列蜜罐的協同部署方法來達到干擾和防范攻擊者的目的。然而上述幾種方法往往不考慮防御成本，從而導致實用性較低。為了獲得有限防御成本下的最優欺騙策略，一些學者[26-30]用博弈論思想描述攻防對抗過程，并用納什均衡解作為最優欺騙策略，取得了較好的效果。然而大多研究僅考慮納什均衡的純策略而忽略了混策略。事實上，混策略由于其特有的隨機性更能使攻擊者產生不確定性，更適合于欺騙防御攻防場景。

基于以上分析可知，當前的滲透攻擊往往是針對特定目標的定向攻擊，持續時間長且隱蔽性強。現有蜜罐很容易被攻擊者識破而失效。為了實現對滲透攻擊者的最大化欺騙，本文提出一種基于動態偽裝網絡的主動欺騙防御方法。動態偽裝網絡包括真實網絡和偽裝網絡，其中偽裝網絡是依據真實網絡而創建的虛假網絡。首先，基于動態偽裝網絡描述了攻防對抗場景。該場景中，借助動態偽裝網絡，防御者通過向攻擊者發送偽裝信號，從而使處于真實網絡中的攻擊者受到威懾而放棄攻擊，并使處于偽裝網絡中的攻擊者受到欺騙而攻擊虛假目標，從而實現對真實網絡的更好防護。其次，為了最大化防御收益，將攻防雙方對抗過程用信號博弈模型進行描述，設計了基于雙層威脅滲透圖的攻防策略收益量化方法；進而提出了一種統一純策略與混策略的精煉貝葉斯納什均衡求解方法，利用精煉貝葉斯納什均衡作為最優欺騙策略，實現了防御收益的最大化。最后，實驗表明了本文方法的有效性，并在分析實驗結果的基礎上提出了針對性的主動欺騙防御規律及建議。

2 基于動態偽裝網絡的主動欺騙攻防場景

一般來講，蜜罐主要通過布置一些作為虛假的主機、網絡服務或者信息，致使攻擊方對其實施攻擊，從而捕獲攻擊者信息。多個蜜罐組成的模擬網絡稱為蜜網，其本質仍是蜜罐，反而有時更容易被攻擊者識破。然而事實上，對于真正高水平的滲透攻擊者，其不僅對目標網絡有一定的了解，且其攻擊目標非常明確，為了不暴露自己的攻擊痕跡，攻擊者僅對自己的攻擊目標感興趣，如“震網”病毒沒有發現攻擊目標時，其一直保持“靜默”，直到滿足攻擊條件。面對該種攻擊者，傳統的蜜罐或蜜網很難引起攻擊者的興趣且容易被其識別，往往不能達到欺騙攻擊者的目的。基于上述考慮，為了進一步提高欺騙環境的真實性而達到欺騙攻擊者的目的，本文提出一種基于動態偽裝網絡的主動欺騙防御方法。動態偽裝網絡的定義如定義1 所示。

定義1動態偽裝網絡（DCN,dynamic camouflage net）DCN=(G,G′)。對一個特定的真實網絡G，動態實時地模擬真實網絡G中節點、拓撲、功能及數據等，創建用于欺騙攻擊者入侵而獲得攻擊者知識的偽裝網絡G′。其中G′可以是真實的物理網絡，也可以是利用軟件定義網絡（SDN,software defined network）及虛擬化的容器技術創建的網絡。動態偽裝網絡的拓撲示例如圖1 所示。

圖1 動態偽裝網絡的拓撲示例

由定義1 及圖1 可知，與傳統的蜜罐或蜜網不同，DCN 近似完美地“復制”真實網絡G，真實網絡中的每一個節點都能在偽裝網絡G′中找到它的“影子”節點，其真實性更高，對攻擊者的干擾性也更強，更易實現欺騙攻擊者的目的。然而，通常情況下，真實網絡運行著正常的業務活動或為合法用戶提供服務，其系統活躍性較高；相反，偽裝網絡盡管與真實網絡相似，但由于偽裝網絡是專門為攻擊者打造的，缺少正常的網絡業務活動，其系統活躍性相對較低，一旦有用戶訪問偽裝網絡，則認為該用戶為攻擊者。該問題也導致攻擊者會依據所在網絡的系統活性來分辨其所處的網絡類型，防止被欺騙。

鑒于此，本文深入分析該攻防場景，利用主動欺騙思想，設計了一種基于動態偽裝網絡的主動欺騙防御方法。該方法中，借助動態偽裝網絡，防御者向攻擊者發送偽裝信號，使處于真實網絡中的攻擊者受到威懾而放棄攻擊，并使處于偽裝網絡中的攻擊者受到欺騙而攻擊虛假目標，從而實現對目標網絡的更好防護。基于動態偽裝網絡的主動欺騙攻防場景如圖2 所示。

圖2 基于動態偽裝網絡的主動欺騙攻防場景

依據圖2，基于偽裝網絡的網絡主動欺騙攻防場景可分為以下5 個步驟。

Step1攻擊者為了達到攻擊目標，需要對目標網絡進行持續滲透，在滲透過程中，攻擊者可能入侵真實網絡或者偽裝網絡。此外，防御者可通過流量牽引的方法，將處于真實網絡中某一節點的攻擊者牽引到偽裝網絡中對應的節點，從而實現攻擊者由真實網絡到偽裝網絡的被動牽引。

Step2防御者通過分析網絡產生的告警來實現對攻擊者的行為感知，進而推斷攻擊者當前所處的節點及攻擊目標。

Step3一方面，攻擊者通過分析所在網絡的系統活性來識別該網絡類型，進而決策下一步的攻擊；另一方面，防御者可發送偽裝信號來干擾攻擊者（通過減少或暫停部分網絡活動來降低真實網絡的系統活性，或通過偽造虛假的流量來提高偽裝網絡的系統活性），使攻擊者無法正確識別其所處的網絡類型。在此過程中，攻擊者與防御者展開博弈，該博弈過程可用信號博弈模型描述。

Step4依據博弈結果，防御者選取最優的防御策略，即是否發送偽裝信號。

Step5依據博弈結果，攻擊者選取最優的攻擊策略，即是否對攻擊目標發動攻擊。

3 信號博弈模型

任何實用的防御策略均需要考慮防御收益，博弈論是網絡安全領域公認的定量分析攻防對抗收益的有力工具。在基于動態偽裝網絡的網絡主動欺騙防御攻防場景中，網絡類型對攻擊策略有著重要的影響：若攻擊者處于真實網絡中，它將繼續滲透最終實現攻擊目標；若攻擊者處于偽裝網絡中，它將放棄攻擊以減少毫無意義的攻擊花費。事實上，攻擊者并不知道其所處網絡的類型，而需通過探測所處網絡的系統活性來推斷網絡類型；防御者可通過發送偽裝信號來干擾攻擊者的推斷。已有研究表明，信號博弈模型可以使防御者通過主動選擇及發送偽裝信號，實現對攻擊者的欺騙、干擾，提升主動欺騙防御能力，適用于本文提出的攻防場景，能夠為防御者選取最優防御策略提供指導。

3.1 信號博弈模型定義

作為不完全信息動態博弈的一種，信號博弈能夠準確描述不確定信息對攻防策略選擇的影響。由第2 節的攻防場景描述可知，攻防對抗過程是一個非合作、不完全信息、多階段、動態博弈的過程。因此，該過程可用信號博弈模型來描述，定義如下。

定義2信號博弈模型（SGM,signaling game model）是一個五元組，即SGM=(?,Θ,S,P,U)，各變量具體定義如下。

1)?={?d,?a}為局中人集合，?d為防御者，作為信號發送者；?a為攻擊者，作為信號接收者。

2)Θ={N,H}為防御者類型空間，在該攻擊過程中，防御者類型可認為是攻擊者所處的網絡類型，N表示攻擊者處于真實網絡G，H表示攻擊者處于偽裝網絡G′。攻擊者并不知道其所處的網絡類型，其僅有對自己所處網絡類型的先驗概率。

3)S={D,A}為防御者與攻擊者的行動空間。其中，D={d1,d2}為防御者的行動空間，d1代表維持和真實網絡相似的較高的系統活性，d2表示維持和偽裝網絡相似的較低的系統活性。具體來講：①當防御者類型為N時，防御者一方面可不采取任何動作來實現行動d1，另一方面可通過減少或暫停部分網絡活動來降低真實網絡的系統活性，使真實網絡看起來與偽裝網絡相似，從而來實現行動d2；② 當防御者類型為H時，防御者一方面可通過偽造虛假的流量來提高偽裝網絡的系統活性，使偽裝網絡看起來與真實網絡相似，從而來實現行動d1，另一方面可不采取任何動作來實現行動d2。A={a1,a2}為攻擊者的行動空間，a1表示攻擊者選擇入侵，a2表示攻擊者選擇不入侵。

4)P:Θ?[0,1]×[0,1]為攻擊者對防御者類型的先驗概率。P=[p,1-p]，其中p=P(Θ=N)表示防御者類型是真實網絡的概率，1-p=P(Θ=H)表示防御者類型是偽裝網絡的概率。

5)U={ud,ua}為防御者和攻擊者的收益函數。

本文所提信號博弈模型主要分為4 個階段。

1)自然以概率分布(p,1-p)從防御者類型空間Θ={N,H}選擇防御者類型，即P(Θ=N)=p∈[0,1]，P(Θ=H)=1-p∈[0,1]。

2)由于目標網絡入侵檢測系統的存在，防御者能夠實時感知攻擊者所處的網絡類型。當防御者觀察到防御者類型后，從偽裝信號集D={d1,d2}中選擇一個信號進行執行。

3)攻擊者不能觀測到防御者類型，但能觀測到防御者發送的信號，然后從攻擊行動集A={a1,a2}中選擇一個動作。

4)攻防雙方得到收益函數U={ud,ua}，收益函數的設定原則為回報與花費之差。

圖3 給出了本文所提信號博弈模型的一種擴展式描述。圖3 中的每一個分支表示一種博弈情況，由虛線連接的節點構成一個信息集。由于攻擊者不能確定防御者的類型，因此攻擊者不能區分信息集中的節點屬于哪一種防御者類型。圖3 中包含了2個信息集，一個是d1信息集，另一個是d2信息集。

圖3 信號博弈的擴展式表述

對于防御者來講，當防御者類型為N，即攻擊者當前所處的網絡為真實網絡時，若防御者執行行動d1，表示防御者沒有采取任何動作，其花費為0；若防御者執行行動d2，表示防御者減少或暫停部分網絡活動來降低真實網絡的系統活性，需要一定的花費。同樣，當防御者類型為H，即攻擊者當前所處的網絡為偽裝網絡時，若防御者執行行動d1，表示防御者偽造虛假流量來提高偽裝網絡的系統活性，需要一定的花費；若防御者執行行動d2，表示防御者沒有采取任何動作，其花費為0。為了簡化，假設處于真實網絡中的防御者減少或暫停部分網絡活動來降低真實網絡系統活性所需的花費與處于偽裝網絡中的防御者偽造虛假流量來提高偽裝網絡系統活性所需的花費相同，統一記為f。

對于滲透攻擊的攻擊者來講，攻擊者入侵的最終目標往往是獲得目標網絡中一個攻擊目標節點的Root 權限，如入侵目標網絡的數據庫服務器進而獲得機密數據。不妨設攻擊者的攻擊目標節點價值為g，則攻擊者入侵真實網絡中的攻擊目標節點成功時，其獲得收益g，付出的攻擊代價記為c，顯然，此時防御者便失去了價值g。相反，若攻擊者入侵了偽裝網絡中的攻擊目標節點時，由于偽裝網絡和真實網絡的拓撲相同，其付出的攻擊代價同樣為c，然而攻擊者在偽裝網絡中獲取的數據只能是虛假數據，其攻擊收益為0。此外，該種情況下，由于入侵偽裝網絡，攻擊者的身份等信息會暴露給防御者，對攻擊者造成一定的損失，記為k，顯然，此時防御者可得到收益k。一般來說，k的值相對較小，本文假設g＞k，f＞k。

在圖3 中，當防御者類型為N，防御者和攻擊者分別采取策略(d1,a1)時，防御者的收益為-g，攻擊者的收益為g-c；當防御者類型為N，防御者和攻擊者分別采取策略(d1,a2)時，防御者的收益為0，攻擊者的收益為0。其他情況的攻防雙方收益不再贅述。

3.2 基于雙層滲透威脅圖的攻防策略收益量化

3.1 節給出了攻防雙方的信號博弈模型，依據博弈均衡理論可知，該博弈模型的納什均衡能夠給出攻防雙方的最優策略。而事實上，博弈模型的均衡結果往往取決于攻防雙方的收益函數。因此，如何準確量化博弈模型中攻防雙方的收益函數成為選取最優防御策略的關鍵。依據圖3 可知，本文信號博弈模型中，有4 個需要量化的參數：真實網絡中攻擊目標節點的價值g、攻擊者入侵偽裝網絡產生的損失k、防御者發送偽裝信號所需的代價f和攻擊者滲透過程花費的攻擊代價c。由于前3 個參數的設定相對簡單，可依據網絡自身價值以及攻擊者知識直接量化。攻擊者滲透過程花費的攻擊代價c往往與網絡中的漏洞難易程度、攻擊者能力及攻擊者所處的網絡位置等因素有關，不能直接設定。鑒于此，為了準確量化該參數，本文提出基于雙層滲透威脅圖（TLTPG,two-layer threat penetration graph）的攻擊代價量化方法。雙層滲透威脅圖是一個雙層圖結構，下層為主機威脅滲透圖（HTPG,host threat penetration graph），描述了目標網絡中任意2 個主機間的微觀滲透場景；上層為網絡威脅滲透圖（NTPG,network threat penetration graph），描述了目標網絡中各主機之間的宏觀滲透關系。

定義3主機威脅滲透圖GHTPG=(NHTPG,EHTPG)。NHTPG表示節點，用＜Host,Privilege＞表示，描述攻擊者獲得的主機權限，其中Host 表示攻擊者已滲透的主機，可用該主機的IP 地址表示，Privilege 表示攻擊者獲得的主機權限，分為User 和Root；EHTPG表示邊，用于描述單步滲透攻擊，用＜Service,Vulnerability,Probability＞表示，其中Service 表示滲透攻擊所利用的主機服務，Vulnerability 表示滲透攻擊所利用主機服務上的漏洞，一般用公共漏洞和暴露（CVE,common vulnerability and exposure）編號表示，Probability 表示滲透攻擊成功的概率。

定義4網絡威脅滲透圖GNTPG=(NNTPG,ENTPG)。NNTPG表示節點，描述主機標識，一般用主機的IP地址表示；ENTPG表示邊，描述主機間滲透成功概率，用＜UP,RP＞表示，其中UP表示從源主機滲透獲得目的主機User 權限的概率，RP表示從源主機滲透獲得目的主機Root 權限的概率，二者均為0～1之間的實數。

圖4 展示了一個簡單的TLTPG 實例。相對于傳統的攻擊圖，TLTPG 通過分層，宏觀與微觀相結合，有效減少了由于生成全局攻擊圖造成的高計算復雜度和空間復雜度，便于量化及計算面向滲透攻擊的攻擊代價。

TLTPG 能夠給出目標網絡中任意2 個主機的直接滲透成功概率，在此基礎上，文獻[31]給出了任意2 個主機間的最優滲透路徑的生成方法。由于攻擊者在入侵時，總希望付出較少的攻擊代價，因此可假設攻擊者進行滲透攻擊時，會沿著最優滲透路徑傳輸。此外，TLTPG 給出了滲透成功概率，而事實上，攻擊代價與滲透成功概率有著重要的聯系。一般人們認為，滲透成功概率越高，攻擊代價越低；相反則攻擊代價越高。滲透成功概率是依據通用漏洞評分系統（CVSS,common vulnerability scoring system）和網絡拓撲量化得來，可信度較高，也得到學者的廣泛認可。然而，針對攻擊代價量化評估的相關研究較少，大多依據專家經驗，準確度不高。因此，通過滲透成功概率來間接量化攻擊代價是一種合理的方法。鑒于此，本文研究得出一種利用滲透成功率量化攻擊代價的新方法。不妨設當攻擊者從節點ni入侵節點nj時，其攻擊成功率為sij，其需要的攻擊代價記為cij。則在同一個TLTPG 中，cij的量化需要滿足以下2 個條件。

圖4 一個簡單的TLTPG 實例

1)對于任意2 個滲透動作eij（攻擊者從節點in入侵節點nj）和epq（攻擊者從節點np入侵節點nq），若sij≤spq，則cpq≥cij。

2)對于任意2 條攻擊路徑pathij=ni→nx→ny→ …→nz→nj和pathpq=np→→ …→→nq，若存在，則有。

定理1當時，其中κ為一正值，可用cij來表示攻擊者能力系數，其滿足上述2 個條件。

證明

證畢。

4 精煉貝葉斯納什均衡求解及最優欺騙防御策略選取

信號博弈作為一種不完全信息動態博弈，其對應的納什均衡為精煉貝葉斯納什均衡。納什均衡的存在性定理表明，任何一個有限博弈都至少存在一個納什均衡（純策略和混策略）[32]。然而，許多學者在分析信號博弈的均衡過程中，為了簡化均衡求解過程，往往通過主觀限定條件，僅僅考慮純策略（包含分離策略和混同策略），忽略混策略。這種情況往往會遺漏最優策略。除此之外，由于混策略可看成純策略的隨機組合。在混策略中，局中人在博弈前通過隨機裝置確定自己的策略，如上拋一枚硬幣等，其他局中人便不能觀測到其行為，這增加了對方的不確定性，更適合于欺騙防御攻防場景。鑒于此，本文提出一種統一簡潔的精煉貝葉斯納什均衡求解方法，該方法能將純策略與混策略統一起來求解，且求解方式快速簡潔。

定義5信號博弈模型（SGM,signaling game model）具有精煉貝葉斯納什均衡EQ=(d*(θ),a*(d),，其中d*(θ)為防御者的類型依存信號策略，表明防御者類型為θ Θ∈ 時，其執行的偽裝信號策略為d*()θ；a*(d)為攻擊者的依存信號策略，表明攻擊者在接收到防御者發送的信號d時，其執行的攻擊策略為a*(d)；為攻擊者在接收到防御者發送的信號d后，判斷防御者類型的后驗概率。該均衡滿足以下3 個條件。

1)a*(d)=。

2)d*(θ)=。

依據定義5，本文的精煉貝葉斯均衡的求解方法可分為4 步。

1)攻防雙方策略形式化表示

若防御者的策略為：當節點類型為N時，以概率e1發送信號d1，以概率1-e1發送信號d2；當節點類型為H時，以概率e2發送信號d1，以概率1-e2發送信號d2。則該策略可形式化表示為。

若攻擊者的策略為：當接收到信號d1時，以概率τ1選擇動作a1，以概率1-τ1選擇動作a2；當接收到信號d2時，以概率τ2選擇動作a1，以概率1-τ2選擇動作a2。則該策略可形式化表示為。

2)攻擊者對防御者類型的后驗概率確定

攻擊者對防御者類型的后驗概率的確定由其先驗概率與防御者策略決定，并依據貝葉斯定理推斷得出。

不妨設先驗概率p(N)=p，則p(H)=1-p。當防御者采取策略時，由貝葉斯定理知

3)防御者最優策略判定

進而可化簡為

4)攻擊者最優策略判定

進而可化簡為

不妨令

由一次函數單調性可知

其中，rand(0,1)表示0～1 之間的任意值。顯然，任意一組 (e1,e2,τ1,τ2)解，均可構成一個納什均衡

例如，當滿足

時，可得(e1,e2,τ1,τ2)=(0,0,1,0)，此時存在均衡((d2,d2),(a1,a2))。式(21)可化簡為

于是，當滿足式(22)時，存在均衡((d2,d2),(a1,a2))，顯然，該均衡為純策略。同理可求得該信號博弈模型中的所有納什均衡。特別地，當 (e1,e2,τ1,τ2)的解中不存在rand(0,1)時，其對應的納什均衡為純策略納什均衡；反之，當 (e1,e2,τ1,τ2)的解中存在rand(0,1)時，其對應的納什均衡為混策略納什均衡。最終計算得出，本文信號博弈模型存在的所有納什均衡如表1 所示。表1 納什均衡中e1、e2、τ1、τ2的解均可視為rand(0,1)。

表1 不同網絡攻防狀態條件下的所有精煉貝葉斯均衡解

表1 展示了不同網絡攻防條件下的所有精煉貝葉斯納什均衡解。由納什均衡的存在性定理知，對于不同的網絡攻防條件，必存在納什均衡解，而該均衡解便可作為最優欺騙防御策略。此外，在本文的攻防博弈模型中，防御者先于攻擊者做決策，即防御者具有“提前選擇”優勢[27]。若存在多重均衡問題，一方面防御者可依據最大化自己的收益來選擇策略；另一方面由于混策略具有干擾攻擊者的作用，適用于欺騙防御策略，在收益相同的條件下，防御者可傾向于采用混策略。當防御者采用混策略時，需要根據實際情況使用一種隨機裝置，而該種隨機裝置最好不要讓攻擊者知道。

5 實驗與分析

5.1 實驗環境描述

為了驗證本文方法的有效性，搭建了一個實際網絡環境來進行測試。實驗網絡拓撲如圖5 所示。

實驗網絡主要由2 個網絡構成，即真實網絡和偽裝網絡。偽裝網絡是依據真實網絡構造的，其拓撲與真實網絡保持一致。兩者之間的唯一差別在于真實網絡部署著真實的數據且運行著正常的業務活動，而偽裝網絡部署著虛假的數據且沒有運行正常的業務活動。攻擊者可利用Internet 訪問真實網絡。2 個網絡都可分為4 個區域，分別是DMZ 區、子網1、子網2 和子網3。DMZ 區有一臺Web 服務器。子網1 有2 臺設備，分別是一臺Pad 和一臺主機，可連接Internet。子網2 有2 臺主機，不能連接Internet。子網3 包括3 臺服務器，分別是打印服務器、文件服務器和數據服務器。網絡中的服務訪問規則如表2 所示。其中，攻擊者為Internet 中的一臺主機。通過Nessus 漏洞掃描器對網絡中各網絡段進行掃描，得到各主機中漏洞信息，結合CVSS，得到表3 所示的各主機信息及其所含漏洞信息。特別地，Pad和Host1并不能通過網絡訪問內網的Host2和Host3，但由于人為操作不當的因素，可通過USB等傳輸設備連接到Host2和Host3。

5.2 均衡求解與防御策略選取

依據滲透威脅圖的生成方法[31]可知，整個目標網絡的網絡威脅滲透關系如圖6 所示。攻擊者能夠利用漏洞在網絡中不斷滲透，此外，防御者可利用流量牽引的方法將攻擊者從真實網絡中的一個節點牽引到偽裝網絡中對應的節點中。經過實驗測試，流量牽引的過程時延為毫秒級，故本文假設其不會被攻擊者發現。進一步，參考文獻[26-27]的賦值方法，不妨設攻擊者的攻擊目標是入侵數據服務器并獲取機密數據，其價值設為100，即g=100。攻擊者入侵偽裝網絡產生的損失為20，即k=20。防御者發送偽裝信號所需的代價為30，即f=30。依據圖6 可得目標網絡中任意節點之間的最優滲透概率，進而可利用3.2 節的方法來定量刻畫攻擊者從一個節點到另一個節點所需的攻擊代價，不妨設攻擊者能力系數κ=30。最初，外部攻擊者成功入侵數據服務器的最優滲透路徑為攻擊者→Pad→Host3→數據服務器，故其滲透成功概率為0.6×0.32×0.6=0.115 2，則在此過程攻擊者需要花費的攻擊代價為c=28。不妨設防御者類型為真實網絡的概率p=0.7，則處于外部的攻擊者與防御者展開信號博弈，納什均衡為EQ4，其中e1=0.714，τ2=0.7。由均衡結果可知，在此場景下，防御者的最優策略為：真實網絡以0.714 的概率發送信號d1，以0.286 的概率發送信號d2（模擬偽裝網絡特征）；偽裝網絡則發送信號d2。隨著攻擊者的滲透過程，攻擊者在網絡中的位置會不斷深入，本文分析了當攻擊者處于不同節點時的精煉貝葉斯均衡結果，如表4 所示。

表2 網絡中的服務訪問規則

圖5 實驗網絡拓撲

表3 各主機信息及其所含漏洞信息

圖6 實驗網絡的網絡威脅滲透關系

由表4 可知，從文件服務器及打印服務器這2個節點對目標數據服務器進行滲透的難度較大，攻擊者很少會對這2 個節點發起攻擊。當攻擊者由外部不斷向網絡內部滲透時，假設攻擊者對防御者類型的信念p保持不變，攻擊者需要花費的攻擊代價c逐漸減小，存在精煉貝葉斯均衡EQ4。在此過程中，攻防雙方均依據EQ4做出最優策略，防御者最優策略中的e1逐漸增大，表明隨著攻擊的不斷深入，防御者發送真實信號的比重應該越來越大，而發送偽裝信號的比重應該越來越小。

表4 攻擊者處于網絡中不同節點時的均衡分析結果

5.3 實驗分析

通過分析精煉貝葉斯均衡的計算過程可知，攻擊者對防御者類型的先驗信念p和攻擊代價c是影響策略選擇和攻防雙方收益的關鍵因素，且p和c可能會隨著攻擊者的滲透過程而變化。因此，本文進一步深入分析了p和c的變化對防御者最優策略的影響，其結果如圖7 所示。由于在本文的信號博弈模型中，防御者首先做決策，即防御者具有“提前選擇”優勢，此種情況下攻擊者只能在觀測到防御者發出的信號后選擇最優攻擊策略，攻擊者收益對多重均衡選擇問題并沒有影響，因此本文并沒有關注p和c的變化對攻擊者收益的影響。

在圖7 中，當p和c同時變化時，攻防雙方均依據精煉貝葉斯納什均衡做出最優決策。圖7(a)展示了當攻擊者處于真實網絡中（防御者類型為N）時，p和c的變化對防御者收益的影響。當時，防御者的收益保持在-30；當時，防御者的收益保持在-100；當時，防御者的收益與攻擊者策略有關，保持在-100～-30 之間。圖7(b)展示了當攻擊者處于偽裝網絡中（防御者類型為H）時，p和c的變化對防御者收益的影響。當時，防御者的收益保持在 0；當時，防御者的收益保持在20；當時，防御者的收益與攻擊者策略有關，保持在0～14之間。圖7(c)展示了p和c的變化對防御者最優策略中參數e1的影響。當時，e1為0；當時，e1在0～1 之間。此外，由圖7 可知，無論p和c如何變化，Ud|N＜Ud|H恒成立，故可知流量牽引能夠提高防御者的收益。為了便于分析，進一步考慮了以下2 種攻防場景。

圖7 先驗信念p和攻擊代價c的變化對防御者策略的影響

場景1攻擊者對實驗網絡不斷滲透，一方面攻擊者對防御者類型的先驗概率保持不變，另一方面由于攻擊者位置與實驗網絡中漏洞情況變化會導致攻擊者的攻擊代價發生改變，即c變p不變。該場景中防御者策略結果如圖8 所示。

由圖8 可知，當攻擊者處于真實網絡中時，適當地提高c使其滿足c＞p(g+k)-k，能夠提高防御者的收益，本質上是提高攻擊難度來震懾攻擊者，使其不去攻擊真實網絡；當攻擊者處于偽裝網絡中時，適當地降低c使其滿足c＜p(g+k)-k，能夠提高防御者的收益，本質上是降低攻擊難度來誘惑攻擊者，使其去攻擊偽裝網絡以達到間接保護真實網絡的目的。此外，當c＜p(g+k)-k時，若攻擊者處于真實網絡中，當c較大時，防御者策略中的e1較大，表明攻擊者對虛假防御信號的分辨能力較差，此時防御者發送真實信號的比重應該越來越小，而發送偽裝信號的比重應該越來越大，以最大化干擾攻擊者。

場景2攻擊者一直嘗試從一個固定節點對目標發起攻擊且實驗網絡的漏洞情況不發生改變，而攻擊者對防御者類型的先驗信念會不斷變化，即p變c不變。該場景中防御者策略結果如圖9 所示。

圖8 c變p不變時對防御者策略的影響

圖9 p變c不變時對防御者策略的影響

由圖9 可知，當攻擊者處于真實網絡中時，適當地減小p使其滿足，能夠提高防御者收益；當攻擊者處于偽裝網絡中時，適當地增大p使其滿足，能夠提高防御者收益。該事實說明，防御者可利用社會工程學手段干擾并改變攻擊者的先驗概率來提高防御者收益。此外，當攻擊者處于真實網絡中時，隨著其對虛假防御信號分辨能力的提高，p會不斷變大，進而防御者策略中的e1變大，此時防御者發送真實信號的比重應該越來越大，而發送偽裝信號的比重應該越來越小，防止防御信號被攻擊者識別。

特別地，圖8 和圖9 中的垂直虛線表示均衡的一種特殊情況。在該均衡中，防御者收益受攻擊者策略影響，為一變量。例如，圖8(a)中，當c=p(g+k)-k時，均衡策略中攻擊者策略參數范圍為0<τ2<，對應的防御者收益為變量-τ2g-f。

信號博弈模型中，由于信號發送方能夠混淆信號接收方對其類型的信念，使信號博弈模型在描述不完全信息的網絡攻防中具有天然優勢。當前，信號博弈模型已被很多學者應用于網絡攻防策略選取上。鑒于此，將本文方法與其他典型方法對比，其結果如表5 所示。

表5 本文方法與其他典型方法對比

由表5 可知，文獻[26,28-29]均不考慮混策略，僅有文獻[27]和本文方法考慮了混策略，但文獻[27]的博弈過程僅局限于單階段且均衡求解方法不夠詳細，方法的通用性一般。本文方法適用于描述滲透攻擊全過程，對場景描述詳細，方法的通用性較強，且給出了一種詳細的統一混策略和純策略的均衡求解方法。均衡求解及防御策略選取也表明了混策略相比純策略更適用于欺騙防御，能夠增加策略對攻擊者的干擾性，提高防御的實際效能。

綜上可知，在基于偽裝網絡的網絡主動欺騙防御攻防場景中，利用本文構建的信號博弈模型求解的精煉貝葉斯納什均衡能夠為防御者實施最優防御策略提供有效指導，實現防御者收益最大化。

6 結束語

為了抵抗目標性較強的滲透攻擊，本文提出一種基于動態偽裝網絡的主動欺騙防御方法。借助動態偽裝網絡，防御者通過發送偽裝信號來欺騙干擾攻擊者。為了實現最大化防御者收益，將攻防過程用信號博弈模型進行刻畫，進一步利用精煉貝葉斯納什均衡解作為最優欺騙防御策略。所提方法能夠同時求解出純策略和混策略，且利用混策略更利于欺騙攻擊者。實驗結果表明，本文方法能有效欺騙攻擊者，從而實現對真實網絡的保護。未來的工作包括在動態偽裝網絡中利用MTD 技術加強對攻擊者的干擾，并結合欺騙防御方法實現更有效的防御。