多階段信號博弈的裝備保障信息網絡主動防御*

王增光，盧 昱，李 璽

（1.陸軍工程大學石家莊校區裝備指揮與管理系，石家莊 050003；2.陸軍工程大學石家莊校區裝備模擬訓練中心，石家莊 050003）

0 引言

裝備保障信息網絡是信息化條件下實施裝備保障業務的必要保證，是打贏現代化戰爭的重要支撐［1］。裝備保障信息網絡安全性的高低直接影響其為軍事行動提供保障業務的質量。現有針對裝備保障信息網絡的防御技術諸如身份認證、防火墻等都屬于被動、靜態的防御手段，只能基于先驗知識解決網絡中單方面的安全問題，難以有效確保裝備保障信息網絡的安全［2］。因此，如何能夠實現裝備保障信息網絡的主動防御，成為我軍裝備保障信息化建設過程中亟需解決的問題。

在裝備保障信息網絡的攻防對抗中，如果防守方能夠為防御措施選取合適的偽裝信號，并通過主動釋放偽裝信號來影響攻擊方的行動，則能夠獲得更好的防御效果，是一種真正的網絡主動安全防御模式［3］。但是，如何對裝備保障信息網絡的攻防過程進行建模，并為防御策略選取合適的偽裝信號是一個非常復雜的問題，目前在這方面的研究成果極其有限。

博弈論是研究具有斗爭關系的個體在相互制約的條件下如何采取最優行動的數學理論和方法，與網絡攻防對抗的本質不謀而合［4］。基于博弈理論的網絡安全建模與分析方法逐漸成為研究的熱點。文獻［5］基于非零和攻防博弈對網絡攻防過程進行建模，設計了一種最優防御策略選取方法。文獻［6］將Markov 決策過程和博弈論思想相結合設計了Markov game 模型，來解決裝備保障信息網絡的安全態勢感知問題。文獻［7］基于靜態貝葉斯博弈對網絡攻防過程進行建模，設計了一種網絡安全風險分析方法。但上述文獻在模型的設計過程中均假設攻防雙方同時采取行動，限制了模型的實用性。為了使攻防博弈模型更加符合網絡實際，文獻［8］基于信號博弈對網絡攻防過程進行建模，解決了傳統博弈要求攻防雙方同時行動的問題，但僅能應用到單階段網絡攻防場景中，無法對動態多階段的網絡攻防場景進行分析。

本文基于多階段信號博弈對裝備保障信息網絡的攻防過程進行建模，從信號偽裝的角度對裝備保障信息網絡的主動防御進行研究，設計了一種最優偽裝信號選取方法。在網絡安全威脅發生前，防守方通過偽裝信號來誘導和欺騙攻擊方，實現對裝備保障信息網絡的主動防御，對提高裝備保障信息網絡的安全防護能力具有重要意義。

1 網絡攻防博弈模型

1.1 網絡攻防博弈過程分析

在實際的裝備保障信息網絡攻防對抗中，攻防雙方采取各種攻防措施的最終目的是獲得最大的利益［9］。防守方在選取措施對裝備保障信息網絡進行安全防御時，通過針對性地釋放偽裝信號對所有的防御措施進行偽裝，能夠起到誘導或震懾攻擊方的作用，從而獲得更好的防御效果。由于裝備保障信息網絡的保密性，攻擊方無法得知防守方采取何種措施來保障裝備保障信息網絡的安全，但在實施攻擊行動前能夠通過偵查等手段，分析探測裝備保障信息網絡的安全防御情況，形成對防守方采取防御措施的初始判斷。由于軍事對抗環境的特殊性，裝備保障信息網絡的攻防過程一般持續多個階段。隨著攻防過程的進行，攻擊方對防守方選取措施的認知越來越清晰，防守方釋放偽裝信號的效果逐漸減弱直至消失。

根據裝備保障信息網絡的攻防實際，結合信號博弈的基本原理［9］，將防守方定義為攻防對抗的先行者，攻擊方定義為攻防對抗的跟隨者。在偽裝信號的作用下，攻防雙方進行多階段對抗博弈，通過對各個階段的博弈過程進行分析選取最優偽裝信號。

1.2 多階段信號博弈模型的定義

區別與傳統的互聯網，裝備保障信息網絡的攻防對抗更加激烈，網絡攻防的參與者多為紀律性強、配合度高、組織性好的作戰人員，使得網絡攻防具有較強的目的性。攻防雙方為了追求利益的最大化，不會作出無利可圖的決策，這符合博弈理論要求博弈參與者必須是理性的前提，為基于博弈論對裝備保障信息網絡的攻防進行分析提供了諸多便利。

2 攻防策略收益量化

裝備保障信息網絡中攻防策略的收益量化情況是攻防雙方行動選擇的基礎，直接影響最優偽裝信號的選取。因此，合理地對攻防策略的收益進行量化是十分有必要的。結合裝備保障信息網絡攻防實際，在考慮實施偽裝信號成本的基礎上，通過分析攻防行動對網絡安全設備價值的影響來量化攻防策略的收益。

定義1 信號偽裝成本。其反映了防守方為實現欺騙或震懾攻擊方的目的，對實施的防御策略進行偽裝所付出的代價，用SC 表示。通過防御策略的真實防御強度等級與偽裝后的防御強度等級之間的差距，對SC 進行相對量化，采用區間［0，10］內的整數值表達。防御策略的實際防御效果和偽裝防御效果的分級與賦值，可以參考文獻［10］進行。

定義2 攻防收益。其反映了攻防雙方進行一次對抗所能獲得的收益。攻擊方只有在攻擊成功后才能獲得收益，攻擊收益可以通過網絡設備價值、攻擊損害度和攻擊成功概率進行量化，上述概念的詳細定義見文獻［11］。攻擊收益的量化公式為：

無論防御成功與否，防守方均能獲得收益。防御成功時，防守方成功保護網絡系統價值，獲得直接收益；防御失敗時，防守方能夠獲得攻擊方的相關攻擊信息，提高了下次防御成功的概率，從而能夠獲得間接收益。防御收益可以通過網絡設備價值，攻擊損害度，攻擊成功率，折扣因子和信號偽裝成本進行量化。防御收益的量化公式為：

3 最優偽裝信號選取

3.1 精煉貝葉斯均衡求解

3.2 多階段最優偽裝信號選取算法

基于信號博弈的多階段最優偽裝信號選取算法如算法1 所示。

基于博弈理論的網絡安全防御研究的關鍵是博弈模型的設計符合網絡運行實際情況。將本文提出的方法與文獻［5-8］提出的方法進行對比，以此來說明本文提出方法的優越性，對比結果如下頁表1 所示。博弈類型是指博弈模型應用的場景對攻防雙方信息需求和博弈順序的要求。與完全信息博弈相比，本方法考慮了攻防雙方不清楚對方信息的情況；與靜態博弈相比，本方法不要求攻防雙方同時行動，能夠動態地分析網絡攻防過程。博弈過程是指攻防過程持續的階段數。與單階段博弈模型相比，本方法能夠分析多階段網絡攻防過程，更加符合網絡攻防實際情況。收益量化是指是否給出詳細、可靠的收益量化方法。本方法從攻防行動對網絡設備安全價值影響的角度出發進行攻防收益的量化，確保后續博弈分析結果的準確、可信；而文獻［6］沒有給出攻防收益的具體量化方法，文獻［7］沒有給出通用的量化方法，文獻［5，8］給出的量化方法主觀性較強。模型的通用性是指博弈模型能否應用到其他場景下的網絡安全防御。本方法中博弈模型的攻防策略集合和偽裝信號集合均可以擴展至n中，不僅能夠解決裝備保障信息網絡的信號偽裝問題，還適用于其他場景下的安全防御，模型的通用性較好；而文獻［5］博弈模型應用的條件較為苛刻，難以應用到實際的網絡安全防御中，文獻［6］存在狀態爆炸問題，只適用于小規模網絡，文獻［7］僅適用于具有特定類型的攻防場景，文獻［8］沒有給出均衡的求解方法，限制了模型的實用性。

算法1 最優偽裝信號選取算法

表1 相關工作比較

4 仿真實驗與分析

4.1 仿真實驗環境

為了驗證本文提出的多階段最優偽裝信號選取方法的有效性和可行性，設計了實驗網絡來模擬裝備保障信息網絡的骨干網，實驗環境的拓撲結構如下頁圖1 所示。網絡安全威脅來自于外部網絡，安全防御規則僅允許外部節點訪問郵件服務器、網絡服務器和內部保障單元，內部網絡的郵件服務器、網絡服務器和文件服務器允許訪問數據庫服務器。攻擊方的最終目的是通過一系列的原子攻擊實現對數據庫服務器的root 訪問權限，獲得裝備保障信息網絡的數據資源。

通過漏洞掃描器采集實驗環境中的漏洞數據，在對漏洞數據、路由配置文件等信息進行分析后，基于文獻［13］所提出的攻擊策略建模方法，能夠得到攻擊方可能的攻擊策略集合，如表2 所示，其中，“√”表示可選攻擊策略所包含的攻擊行動，攻擊成本根據實施攻擊的難易程度進行設定。

圖1 實驗環境的網絡拓撲圖

表2 攻擊方的攻擊策略集合

防御策略是由不同的防御行動組成，不同的防御行動所帶來的防御效果和所需成本不同［14］。為了簡化分析，選取高強度和低強度的防御策略各一個組成防御策略集合，如表3 所示，其中，“√”表示防御策略由以下防御行動組成，防御成本根據實施防御的難易程度進行設定。假設偽裝信號空間為，其中，θ1表示高等級偽裝信號，θ2表示低等級偽裝信號。

通過對防火墻和入侵檢測系統的日志得到攻防歷史數據，在對攻防歷史數據進行分析的基礎上，結合安全專家的意見，攻擊方的先驗信念為，攻擊行動的相關參數如表4 所示。

網絡設備的安全屬性價值由其重要程度和所提供的服務決定。設定保障單元的安全屬性價值為（20，25，25），郵 件 服 務 器 的 安 全 屬 性 價 值 為（28，25，28）， 網 絡 服 務 的 安 全 屬 性 價 值 為（30，30，32），文 件 服 務 器 的 安 全 屬 性 價 值 為（28，30，32），數據庫服務器的安全屬性價值為（35，38，40），偽裝信號的成本為（2，5；6，1）。

表3 防守方的防御策略集合

表4 攻擊行動的相關參數

4.2 多階段最優偽裝信號選取

在攻防博弈的初始階段，偽裝信號沒有衰減，信號衰減度η1=1。在攻防收益量化的基礎上，第1階段的網絡攻防博弈樹如圖2 所示。

圖2 第1 階段網絡攻防博弈樹

在博弈的第2 階段，攻擊方將第1 階段得到的對防守方實施防御策略的后驗概率推斷（0.4，0.6）作為本階段對防御策略的先驗概率推斷。攻擊方在分析第1 階段博弈過程和結果的基礎上，增強了對偽裝信號的甄別能力。因此，本階段偽裝信號的偽裝效果減弱，假設信號衰減度η2=0.4。第2 階段的網絡攻防博弈樹如圖3 所示。

圖3 第2 階段網絡攻防博弈樹

隨著攻防階段的進行，偽裝信號的偽裝效果進一步減弱。博弈過程的分析與前兩階段相似，這里不作具體分析。

4.3 實驗結果分析

通過對多階段信號博弈模型的均衡和攻防收益分析可知，裝備保障信息網絡的防御具有以下一般性規律：

1）在網絡資源有限的情況下，防守方通過主動為防御策略選取并釋放合適的偽裝信號，能夠起到更好的防御效果。在前兩個階段的博弈過程中，最優偽裝信號均為防御策略選取高等級偽裝信號，能夠獲得最優的防御收益。這是由于防守方能夠通過釋放偽裝信號達到欺騙和震懾攻擊方的目的，誘導攻擊方對當前的防御策略作出錯誤的判斷，從而達到更好的防御效果。

2）信號偽裝機制與其他防御手段配合使用能夠達到更好的防御效果。由博弈過程的分析可知，偽裝信號的效果在多階段的攻防博弈過程中不斷衰減。這是由于攻擊方在分析前序階段博弈過程和結果的基礎上，能夠增強對偽裝信號的鑒別能力。因此，為了達到更好的防御效果，需要將信號偽裝機制與其他防御手段配合使用。

3）在資源允許的情況下，應盡量選擇高水平的防御策略對網絡進行安全防護。通過對攻防收益的量化結果可知，面對網絡攻擊時，高強度的防御策略收益總是大于低強度的防御策略收益。由此可見，加強對網絡安全防護的投入，提高防御能力，是解決裝備保障信息網絡安全問題的根本。

5 結論

本文在分析裝備保障信息網絡攻防過程的基礎上，基于多階段信號博弈理論設計了最優偽裝信號選取方法，能夠實現網絡的主動防御，為裝備保障信息網絡的安全防御提供一種新的思路。但在研究的過程中，缺少對防御效果改善的評估，下一步將在此基礎上，進行網絡安全風險評估的研究，通過評估防御策略實施前后網絡安全風險的變化來量化防御效果。