基于博弈模型的網絡安全防御系統設計

劉杰 竇磊

【摘要】針對原有防御系統過度強調以目標為導向，導致在檢測攻擊入侵中缺乏主動性，對此提出并設計了一種基于博弈模型設計網絡安全防御系統。在硬件設計上，構成多層立體的三級防御架構，避免超負載過度引起設備崩盤現象。在軟件設計上，給定非法網絡用戶風險對應策略，基于博弈模型加密網絡鏈路端口，完成網絡安全防御系統設計。實驗結果：在某社區兩組網絡運行模擬中，本文系統可以在第一時間將蠕蟲病毒在端口處進行有效攔截，具有實際應用效果。

【關鍵詞】博弈模型;網絡安全;防御系統;

中圖分類號：TP393.08文獻標識碼：A

引言

越來越復雜的攻擊手段，對傳統網絡安全防御提出了嚴峻挑戰，在被動檢測與響應機制中原有防火墻，只能進行反病毒的入侵檢測，無法對帶有攻擊性的病毒完成主動預測，使得網絡安全運行狀態受到強烈沖擊。如何在網絡運行中進行加固措施并完成安全防御，促進被動防御變為主動防御，將攻擊目標進行有效隔離和控制，是目前急需解決的重要問題。在此背景下產生了用數學框架對抗信息本質的模型，即博弈模型。本文引入博弈模型理論，通過其動態的反應攻擊測量和分解攻擊動作等優勢，對攻擊目標進行量化分解，從而提出全面的網絡安全防御系統設計方法，為維護網絡安全提供新的理論指導。

1基于博弈模型的網絡安全防御系統硬件設計

不同功能的子系統在相互協作時，對通信機制的設置必須要占據主導地位，為保證各子系統在網絡層次的布局中，具備自主協調性和協作性，設計本次硬件防御架構，

利用網絡IDS在端口接入交換機，并在掃描底層設備橫向排列中構成末端防御體系，使得該架構能夠在內網和外網的雙重攻擊下，可以自動感知并完成多個層次的工作量分布。

2 基于博弈模型的網絡安全防御系統軟件設計

2.1給定非法網絡用戶風險對應策略

防御策略的選定能夠直接影響后續網絡運行的安全等級，在合理規劃策略分類屬性的基礎上，針對非法入侵網絡的用戶，進行完整和明確的策略給定，能夠實現在實際防御過程中，該方式是否具有可行性[1]。其次大多數攻擊對象，會選擇網絡漏洞的協議處進行攻擊，在理清攻擊者的攻擊意圖后，對其目標機理分類和詳細描述，在根源上直接切換漏洞進行反攻策略給定。通過不同類型的非法用戶的入侵形式，給定不同形式的風險對應策略，促使將被動防御向主動防御轉化，減少運行損失。

2.2基于博弈模型加密網絡鏈路端口

基于博弈模型在鏈路端口處直接進行口令加密，形成網絡防護的第一道安全防線，為避免攻擊對象獲取特定賬戶，在動態連接過程中加入間諜程序，使得在博弈模型中形成參與攻擊的局中人設定[2]。設定攻擊者和防御者分別為和，在兩者之間增加端口加密口令，需滿足同等攻擊條件下的矩陣，使得防御方獲取的利益最大化，表達式為：

公式中：發出動作的集合設定為，攻擊的有效函數集合用表示，攻擊人集合動作屬于，防御動作集合。網絡攻擊環境會劃分成不同等級，攻擊者與防御者之間隸屬關系屬于非合作性，因此在設置口令時將防御的損傷保留在最小標準，能夠在一定程度上使攻擊方達到最大付出，從而選擇小范圍攻擊并完成擊破。

3實驗測試

3.1環境配置

為驗證本次設計的系統具有實際應用效果，選取某社區網絡環境進行模擬配置，外部網絡環境設置為網A，設區網絡設置為網B，在網A、B之間置入本文安全防御系統。其中網A主機Y1在網B服務器Q1訪問進程，設定為外網用戶在社區網絡中的訪問;網B主機Y2在網B服務器Q1訪問進程，設定為內網用戶在社區網絡中的訪問。分別在網A、B的主機中配置好后門程序，模擬外網和內網用戶對服務器Q1惡意訪問，形成用戶對設區網絡的攻擊勢態。其中90%以上的攻擊來自于蠕蟲，96%的掃描結果出現在網絡端口，以此進行該社區網絡安全防御。

3.2防御結果

大多數蠕蟲攻擊進程無法以單獨的行進形式完成訪問，是以插入至正常進程中通過自身隱藏，完成通路的訪問設定，再打開端口或者后門能夠不斷掃描遠程計算機設備。

其次蠕蟲病毒自帶黑客性質，會對遠程的網絡機器進行端口漏洞尋找，選取主機Y1中的掃描工具，對網絡b中的服務器進行端口掃描，查看防御系統的反應，具體情形如圖1所示。

如圖所示，系統中的防火墻模塊截獲了掃描請求，并在IDS模塊中關閉了服務器的Q1多個端口。本次設計的安全防御系統，在來自社區網絡的外部攻擊下能夠進行防御，滿足網絡安全需求，具有實際應用效果。

4結束語

本文通過硬件架構更新和軟件中端口加密設置，在博弈模型的基礎上設計了新的網絡安全防御系統，通過外部攻擊下能夠進行防御，滿足網絡安全需求。但由于安全是一個相對概念，無法做到威脅的根除，因此在防御手段上不能只考慮系統的風險偏好，需要在多個安全技術組合運用下，展開網絡脆弱因素和用戶權限之間的博弈關系，從而找出更穩定的網絡防御系統理論，為網絡的安全運行提供新思路。

參考文獻

[1]張恩寧，王剛，馬潤年，等.采用雙異質群體演化博弈的網絡安全防御決策方法[J].西安交通大學學報，2021，55（09）：178-188.

[2]靳曉琪，盧金奇，李林城.基于信息熵的網絡異常檢測及入侵防御系統設計[J].電子設計工程，2021，29（18）：152-156.

作者簡介：

劉杰（1980-），男（漢族）， 陜西西安人，本科，助教，研究方向：信息管理