平臺動態防御演化博弈模型和狀態遷移策略

王志屹， 王 剛， 陳彤睿， 馮 云， 馬潤年

(空軍工程大學信息與導航學院， 西安， 710077)

平臺動態防御是網絡平臺層的動態目標防御[1]，建立在虛擬化技術和多樣化異構平臺基礎上，網絡節點是平臺動態防御的執行單元。在平臺動態防御系統內，承載業務按照節點狀態遷移規則在多樣化異構平臺間動態切換，通過改變系統環境，系統自身存在的漏洞和潛在缺陷隨著狀態跳變規則呈現出動態變化，增大了攻擊方偵察定位和進一步實施攻擊的難度和代價[2]，降低了平臺被病毒感染的概率。具體的手段包括改變文件擴展名[3]、主機狀態遷移[4]和攻擊面自適應轉換[5]等。防御方通常先對攻擊者的意圖和行為進行分析、檢測和預判[6-8]，進而設計和實施針對性防御。

策略的制定是防御的關鍵，也是當下研究的熱點問題。防御方和攻擊方之間的目標對立性、策略依存性和關系非合作性等特征符合博弈的相關理論，其中動態目標防御的信號博弈[9-10]立足信息不對稱性，微分博弈[11]側重博弈的連續性，Stackelberg博弈[12]重點考慮博弈次序的不對稱性，馬爾可夫魯棒博弈[13]利用Markov過程的無后效性，簡化了多階段博弈的分析。這些成果是研究平臺動態防御遷移策略的基礎。對于平臺動態防御的節點而言，攻防博弈的復雜性和難度更高，獲得的攻防信息是不完全的，且節點對整體網絡和系統的狀態分析能力有限，網絡的復雜環境和系統的計算能力限制，決定了防御者的行為屬于一種有限理性行為[14]，攻防雙方需要適應對手的變化和動態調整博弈策略，具有典型演化博弈特征。真正意義上的“最優”策略可能難以達到，相較于完全理性的博弈類型，演化博弈模型拉近了預設條件與現實網絡之間的距離[15]，可利用復制動態方程和演化穩定分析[16-18]，求解更貼近現實需求的狀態遷移策略。

具體而言，平臺動態防御演化博弈需考慮以下幾個問題：①針對病毒的傳播特性和作用機理，從破壞攻擊方的攻擊鏈入手，分析平臺動態防御的防御機理、狀態遷移關系和影響因素；②網絡節點是網絡拓撲基本單元和攻擊者入侵的門戶，節點的感染與狀態遷移是攻防雙方演化博弈的直觀體現，節點狀態遷移規則是防御的關鍵所在；③防御效能對平臺動態防御演化博弈策略優劣的度量，應建立起科學的指標參數和評估體系。

1 平臺狀態遷移動態防御原理

病毒的傳播依賴于系統的漏洞，不同類型的病毒，其工作環境也不同。通過部署平臺動態防御系統實現上線平臺的動態切換，避免對外網病毒免疫性較弱的平臺上線，如果外網多為Windows平臺易感病毒，則選擇上線Linux系統平臺，可最大程度避免病毒感染內網[19]。每一個防御節點無法準確預測入侵的病毒是哪一類型，只能根據歷史信息和其他節點的狀態不斷試錯、學習和調整遷移策略，直到防御的收益最大化，最終整個節點趨向于選擇某一策略。節點的策略趨向穩定的過程，即為演化博弈的過程。

圖1 平臺動態防御系統節點模型

由圖1可知，平臺有多個候選遷移策略，在進行防御時，平臺動態防御系統可根據病毒的分布概率情況，有針對性地選擇遷移策略。考慮雙方的攻防過程符合博弈論的特點，且平臺的遷移是有限理性的，可以建立平臺動態防御演化博弈模型，對最優策略的選擇進行研究。在模型的建立中，各種指標的量化是關鍵。平臺動態防御技術的部署，同樣需要消耗額外的開銷，這些開銷的量化需要建立在平臺動態防御技術的原理分析上[1]，包括平臺遷移的成本和遷移帶來的負面影響2個方面。演化均衡策略的選取需要綜合考慮成本和收益2個方面的因素，有限理性的參與方難以選擇嚴格最優的策略，通過不斷調整以獲得收益的提升。節點的演化過程需要重點分析，在此基礎上提煉策略選擇算法，實現平臺動態防御系統在外部病毒環境下對節點狀態遷移的提前預測和最優控制。

2 平臺動態防御演化博弈模型

2.1 博弈定義

定義1平臺動態防御演化博弈模型(Platform Dynamic Defense Evolutionary Game Model, PDDEGM)可用七元組表示，PDDEGM=(R,N,B,P,S0,S,U)，其中：

1)R=(RD,RA)為演化博弈的參與者空間，其中RD為平臺動態防御系統，RA為攻擊病毒。

2)N是平臺動態防御系統中某一節點的虛擬化平臺總數，節點處在某一虛擬化平臺的狀態用k表示，k∈{1,2,…,N}，N∈N+。

6)S={S1，…，Sk，…，SN}表示節點感染狀態集合。

2.2 關鍵參數定義

平臺在遷移時，需要進行遷移前的準備，在遷移過程中也會帶來服務質量的下降，同時，不同平臺針對不同類型病毒的免疫能力也各有差異。為體現平臺遷移的成本和不同平臺的免疫能力，參照平臺動態防御原理[1]，給出關鍵參數定義。

定義2資源重要程度Cr。即平臺對網絡安全的貢獻度，由平臺所在網絡節點的度、數據量大小和單位時間訪問次數決定。

定義3攻擊面轉移成本ASSC。平臺完成遷移所需要的成本。由平臺間的相似度決定。

定義4負面影響成本NC。指平臺發生遷移時，帶來的工作或服務質量的下降，資源重要程度越大，負面影響成本就越大。

定義6免疫因子μ。指平臺對病毒的免疫程度，Windows病毒無法在Linux類操作系統中運行，反之亦然，若病毒與平臺呈現異構性可定義μ=1，同構性則定義μ=1-λ。

綜上，可定義防御節點的收益為：

(1)

攻擊病毒的收益為：

(2)

3 節點狀態演化穩定分析

在演化博弈均衡求解和分析基礎上，設計平臺狀態遷移演化均衡策略的生成算法。

3.1 狀態演化穩定求解

圖2 博弈擴展式

計算防御方的期望收益和平均收益：

(3)

計算攻擊方的期望收益和平均收益：

對應的復制動態方程為：

(4)

根據公式

可知，當且僅當：

3.2 策略生成算法設計

基于上述分析，設計平臺動態防御節點演化均衡策略生成算法，具體如下：

輸入：各狀態博弈樹或支付矩陣；

輸出：平臺動態防御節點演化均衡策略。

①初始化；

②構建防御節點狀態空間集合D={dk,1≤k≤T}；

⑤For(k=1;k≤T;k++)；

（3）增加親子廁所或無障礙廁所，真正為游客著想，以解游客燃眉之急。通過借鑒A地區高速公路服務區親子廁所的貼心細節，打造更適合游客的親子友善廁所。高速公路旅游廁所的需求者——游客是主要的訪談對象，同時也會對廁所供給方進行調研，力求全面了解廁所革命中存在的制約因素。

⑦計算k平臺狀態下雙方期望收益和平均收益；

⑧建立雙方復制動態方程；

⑨計算均衡解；

⑩輸出k平臺狀態下的演化穩定策略；

3.3 模型對比分析

表1給出了在模型構建、博弈類型和模型應用等方面與現有方法的對比。

表1 對比分析

4 仿真實驗與分析

4.1 仿真實驗環境

參照圖1的平臺動態防御系統節點模型，分別部署堡壘主機節點和Web服務器節點。其搭載的操作系統見表2。利用Nessus工具挖掘漏洞信息，根據國家信息安全漏洞庫[20]和美國國家漏洞庫[21]數據，得出漏洞的利用成功概率[22]。

表2 各平臺漏洞信息

4.2 實驗數值計算與分析

堡壘主機節點和Web服務器節點是平臺防御系統中關鍵的2個節點，下面分別進行分析。

4.2.1 堡壘主機節點

表3 各狀態的支付矩陣

表4 各狀態博弈均衡策略

將表4中的結果綜合分析，可得堡壘主機節點的演化均衡策略為：

1)當0≤p<0.535，即Windows類病毒基本在一半以下時，對應的平臺遷移狀態見圖3(a)，虛線表示遷移概率不確定。此時，節點傾向于向平臺1和平臺3遷移。

2)當0.535≤p<0.558，即Windows類病毒和Linux類病毒分布基本持平時，對應的平臺遷移狀態如圖3(b)所示。此時節點有形成“平臺1→平臺2→平臺3→平臺1”閉環的趨勢。

3)當0.558≤p≤1，即大部分為Windows類病毒時，對應的平臺遷移狀態如圖3(c)所示。此時節點傾向于向平臺2遷移。

4.2.2 Web服務器節點

表5根據文獻[1]對平臺動態防御系統的分析，設Web服務器資源重要程度為400，同構平臺間攻擊面轉移成本為60，異構平臺間攻擊面轉移成本為90，負面影響成本為40。根據設計的算法求解該模型的演化博弈均衡解，得出結果見表6。

表6 各狀態博弈均衡策略

綜合分析表6中的結果，可得Web服務器節點的演化均衡策略為：

1)當0≤p<0.415，即Windows類病毒較少時，對應的平臺遷移狀態見圖4(a)，虛線表示遷移概率不確定。此時節點有形成“平臺1→平臺3→平臺2→平臺1”閉環的趨勢；

2)當0.415≤p<0.45，即Windows類病毒和Linux類病毒分布基本持平時，對應的平臺遷移狀態見圖4(b)，節點傾向于向平臺3遷移；

3)當0.45≤p≤1，即大部分為Windows類病毒時，對應的平臺遷移狀態見圖4(c)，節點有形成“平臺1→平臺2→平臺3→平臺1”閉環的趨勢。

4.3 仿真條件與結果分析

4.3.1 狀態演化穩定策略仿真

利用系統動力學仿真軟件Vensim，建立博弈雙方收益、策略選取概率和策略選取次數比例等要素的關系模型，對堡壘主機節點和Web服務器節點分別進行仿真。其中，防御策略1和2分別對應在不同節點不同狀態下相應的平臺防御遷移策略，攻擊策略1和2分別為Windows類病毒和Linux類病毒。設初始選擇防御策略1的概率都為0.5，即各狀態下初始q=0.5。

1)堡壘主機節點

以平臺1為例，對堡壘主機節點遷移狀態進行仿真分析。設病毒分布概率分別為為p=0.4和p=0.55，選擇的防御策略為向平臺2遷移，得仿真結果見圖6。分析可得，當p=0.55>0.535時，平臺1在30 s內到達穩定狀態，選擇向平臺2遷移；當p=0.4<0.535時，平臺1在6 s內到達穩定狀態，選擇向平臺3遷移。仿真結果符合4.2節的分析。此外，病毒的分布概率與平衡態p=0.535偏差的越大，節點向穩態演化的速度就越快。

圖6 堡壘主機節點平臺1遷移狀態

2)Web服務器節點

同樣以平臺1為例，對Web服務器節點遷移狀態進行仿真分析。設病毒分布概率分別為p=0.41和p=0.46，選擇的防御策略為向平臺1遷移，得到仿真結果見圖7。分析可得，當p=0.46>0.45時，平臺1在54 s內達到穩定狀態，選擇向平臺2遷移；當p=0.41<0.45時，平臺1在18 s內達到穩定狀態，選擇向平臺3遷移。仿真結果符合4.2節的分析。與堡壘主機節點類似，病毒的分布概率與平衡態對應的概率偏差越大，節點向穩態演化的速度就越快。

圖7 Web服務器節點平臺1遷移狀態

4.3.2 節點狀態遷移演化均衡策略效能仿真

為對比演化穩定均衡后的節點狀態遷移策略效能情況，與現有的隨機平臺選擇策略進行對比分析，隨機平臺選擇策略即選擇的遷移目標平臺是隨機的[7]。考慮攻擊病毒類型分別為p=0，p=0.5和p=1時，2種策略對堡壘主機和Web服務器2個節點防御收益的影響，以及與攻擊病毒收益的對比，進行蒙特卡洛仿真實驗100次，仿真結果見圖8～10。

圖8 p=0時2種策略對比

圖9 p=0.5時2種策略對比

圖10 p=1時2種策略對比

由圖8(a)、9(a)和10(a)可得，無論是p=0、p=0.5還是p=1，即攻擊病毒類型分布分別為全是Linux類、Linux類和Windows類各半以及全為Windows類3種情況下，堡壘主機和Web服務器的節點遷移演化均衡策略防御收益均高于隨機平臺選擇策略。其中，在100次試驗后，p=0的堡壘主機節點遷移演化均衡策略防御收益比隨機平臺選擇策略高25.3%，p=0.5時高10.37%，p=1時高97%，平均高39.1%。p=0的Web服務器節點遷移演化均衡策略防御收益比隨機平臺選擇策略高13.64%，p=0.5時高24.39%，p=1時高75.92%，平均高38.18%。驗證了節點遷移演化均衡策略具有較高的防御效能。

由圖8(b)、9(b)和圖10(b)可得，無論是病毒攻擊堡壘主機還是Web服務器，在節點遷移演化均衡策略下的攻擊收益均小于隨機平臺選擇策略，同樣驗證節點遷移演化均衡策略防御效能較好。其中圖8(b)表明，由于堡壘主機節點遷移演化均衡策略規定其遷移狀態一直在Windows類平臺間遷移，Linux平臺易感型病毒無法感染，可使病毒收益為0。同理，圖10(b)中，病毒收益也為0的情況表明，Web服務器節點遷移演化均衡策略為一直在Linux類平臺間遷移，Windows平臺易感型病毒亦無法感染。

5 結語

基于網絡攻防博弈的有限理性假設，建立了平臺動態防御的演化博弈模型，對雙方的具體變化參數進行了設計。通過算例分析了平臺動態防御節點狀態演化過程，利用復制動態方程分析了雙方策略的演化穩定情況，在此基礎上提出了平臺狀態遷移演化均衡策略生成算法。仿真實驗驗證了所提策略的有效性。下一步將重點開展多階段的平臺動態防御演化博弈問題研究，并提升模型對多類型網絡環境和應用場景的適應能力。另一方面，在復雜的網絡環境中，影響平臺的遷移成本和病毒免疫能力的因素更加復雜，需要進一步對參數的設計進行優化調整，增強模型的可操作性。