一種面向指紋探測欺騙的智能博弈對抗機制

摘要：指紋探測作為網絡偵察的重要組成部分，是攻擊者成功實施網絡攻擊的先決條件。針對攻防雙方在指紋探測過程中的博弈對抗特征，設計了一種新型對抗攻擊者指紋探測的欺騙機制，并通過建立不完全信息動態博弈模型有效刻畫指紋探測欺騙過程，在此基礎上討論了欺騙指紋生成的基本方法。針對擴展指紋庫規模導致的解空間爆炸問題，提出了一種基于遺傳算法思想的智能指紋混淆算法，即兩階段最優策略選取算法（two-stage optimal strategy selection algorithm，TSOSA），并建立了仿真實驗環境。結果表明，與傳統的貪婪算法相比，TSOSA更加有效地隱藏了網絡資產的真實指紋特征，降低了攻擊者的成功探測概率，進而增強了網絡的安全防護能力。

關鍵詞：指紋探測；欺騙防御；指紋混淆；智能博弈

中圖分類號：TP393.00文獻標志碼：A

文章編號：1001-3695（2022）04-041-1202-05

doi：10.19734/j.issn.1001-3695.2021.08.0414

Intelligent game mechanism for fingerprint detection deception

Li Shaohui，Zhang Guomin，Song Lihua，Wang Xiulei

（Command amp; Control Engineering College，Army Engineering University of PLA，Nanjing 210007，China）

Abstract：Fingerprint detection，as an important part of network reconnaissance，is a prerequisite of successful network attack.Aiming at the game confrontation characteristics of the attacker and defender in the fingerprint detection process，this paper designed a new deception mechanism to against the attacker’s fingerprint detection，established an incomplete information dynamic game model to describe the fingerprint detection deception process effectively，and discussed the basic method of deceptive fingerprint generation.Aiming at the problem of the explosion of solution space caused by the expansion of the fingerprint database，the paper proposed an intelligent fingerprint confuse algorithm based on genetic algorithm thought，two-stage optimal strategy selection algorithm.The simulation experiment shows that compared with the traditional greedy algorithm，TSOSA more effectively hides the real fingerprint characteristics of network assets，reduces the probability of successful detection of attac-kers，and enhances the security protection capabilities of the network.

Key words：fingerprint detection；deception defense；fingerprint confusion；intelligent game

0引言

指紋探測是攻擊者確認目標主機的操作系統版本以及所開啟服務的版本的過程，是網絡偵察的一部分。根據洛克希德·馬丁公司提出的網絡殺傷鏈概念［1］，網絡攻擊通常先于偵察階段，攻擊者通過偵察收集目標信息，如網絡拓撲、操作系統、開放端口等，尋找未修補的漏洞加以利用，制作網絡武器，通過釣魚郵件等形式將武器投送至目標主機并安裝惡意軟件，建立可以遠程操縱控制目標主機的后門，最終達到竊取數據或癱瘓主機的目的［2］。在越早的殺傷鏈階段阻止攻擊，防護的成本就越低，防護效果也越好，因此本文防護的目標是在網絡偵察階段打斷攻擊進程和增加攻擊成本。

由于計算機網絡的靜態性特點，攻擊者能夠通過各種工具對目標主機的指紋信息進行偵察探測，根據指紋信息設計有效的漏洞利用［3］。老練的攻擊者還能夠繞過入侵檢測系統、防火墻的防護，使得傳統網絡防護手段失效。攻擊者在發動攻擊之前會花費數天的時間偵察探測目標網絡，而防御者只有幾分鐘來抵御新發現的威脅，攻擊者往往可以通過滲透一個主機來竊取敏感信息或進行破壞，而防御者需要防護少則數十多則上千的主機，這種攻強守弱、防御者被動挨打的不對稱現象普遍存在。

在傳統防御效果不足的情況下，為了阻止這一趨勢，主動防御尤其是欺騙防御技術引起了業界研究群體的廣泛興趣［4］。防御者通過蜜罐等手段在網絡中添加虛假資產，故意向攻擊者透露錯誤信息，一方面讓攻擊者無法獲取真實網絡視圖而混淆視聽，另一方面引誘其攻擊沒有價值的虛假資產而使得攻擊無效并獲取其攻擊方法與手段。欺騙防御技術一改傳統防御被動挨打的局面，主動出擊，給攻擊者帶來探測與攻擊的不確定性，讓其探測不準，攻擊不到有價值的網絡資產。

雖然欺騙防御技術能擾亂攻擊者的認知，阻斷攻擊進程［5］，但是隨著該技術的推廣與應用，攻擊者會意識到防御者可能采取欺騙防御，進而針對防御策略進行有效的反制。如何利用欺騙手段達到有效的防護是個值得深思的問題。欺騙是攻防雙方理性主體之間的戰略對抗，博弈論正是研究理性決策者之間沖突與合作的定量科學。博弈論提供了一個定量框架，可以對各種防御性欺騙的參與者、行動等元素進行建模。因此，博弈論天然適用于具有不同目標的攻防雙方之間交互［6］，并且能指導防御者如何利用欺騙技術以最小的成本達到最佳的防護效果。

針對攻擊者短時間內的指紋識別探測，將高價值主機的操作系統版本、服務版本偽裝成低價值的指紋信息，將低價值主機的指紋偽裝成高價值的指紋信息，擾亂攻擊者認知，使其獲得虛假的網絡視圖。本文設計了一種新型的不完全信息動態博弈模型，對攻防雙方在探測階段的交互進行刻畫，同時擴展了指紋庫中的指紋數量，讓攻擊者無法在短時間內對指紋采取暴力破解的方式進行遍歷。但是指紋庫的擴充將帶來博弈模型解空間劇增的問題，基于遺傳算法思想設計了優化防御策略選取的智能算法，大大提高了混淆防護效果。

1相關工作

Pawlick等人［7］從博弈論的角度，針對網絡安全和隱私問題提出了一種欺騙防御的分類法來定義特定類型的欺騙，分別為干擾、移動目標防御、混淆、混合、蜜罐和攻擊者參與，展示了利用博弈論概念如何捕捉不同類型欺騙的本質區別，總結了博弈論對各種欺騙行為的諸多貢獻，該分類法為將來的欺騙防御研究提供了科學基礎。

由于蜜罐與偽蜜罐技術逐漸被人們熟知，攻擊者也意識到該技術的存在，并衍生出了不同的檢測手段。Carroll等人［8］討論了防御者利用蜜罐來偽裝真實系統或將真實系統偽裝成蜜罐進行欺騙，使攻擊者浪費資源攻擊蜜罐或避免攻擊真實系統。在其建立的信號博弈模型中，防御者作為發送者發送與系統類型相關的信號，攻擊者接收其信號后再決定是攻擊、觀察還是退避。根據推導出的純策略完美貝葉斯納什均衡發現，防御者傾向于部分揭露其當前系統類型，但是Carroll對于攻防之間的交互模型粒度太粗，只是宏觀地展示了信號博弈在網絡攻防中的應用。

針對博弈模型假設網絡中系統數目固定，導致博弈結果不理想的問題，Ye等人［9］采用差異隱私機制改變系統的數量，模糊系統的配置，可以有效地處理攻擊者可能采用的系統數量和復雜策略的任何變化。

針對如何影響對方的信念問題，Hork等人［10］將網絡欺騙技術應用于網絡安全領域，使用單邊可觀測隨機博弈的定量框架研究了欺騙行為對攻擊者信念的影響，展示了防御者應如何操縱這種信念，最大程度減少攻擊者對網絡造成的損失。分析證明了如果攻擊者不知道自己被欺騙，那么欺騙的收益會最大化。

為了增加對抗性偵察的不確定性，Schlenker等人［11］提出了網絡欺騙博弈的概念，防御者選擇將一些系統配置有成本地偽裝成其他配置，利用Stackelberg博弈模型分別討論了老練的攻擊者和幼稚的攻擊者，證明了兩種情況的計算最優策略都是NP-hard問題，并提出了混合整數編程解決方案以及快速有效的貪婪算法進行求解。Thakoor等人［12］利用偽裝網絡和系統屬性來掩蓋有效信息，提出了網絡偽裝博弈來捕獲不同動機的攻擊者。Wang等人［13］提出了一個兩階段博弈模型，第一階段攻擊者掃描整個網絡，第二階段攻擊者探測特定主機，防御者在掃描之前確定好防御者策略，借此推斷攻擊者的動作，以確定如何回答攻擊者的掃描和探查使得期望損失最小。針對特殊情況，提出了使用混合整數規劃方法，有效提高了計算效率。

針對遠程操作系統指紋識別，Rahman等人［14］使用博弈論方法，提出了一種反指紋的選擇性和動態機制，將指紋識別器與目標之間的交互建模成信號博弈，基于信息增益分析得到納什均衡，博弈方法可以適當地將指紋識別器與良性用戶區分，混淆指紋識別器的同時，最大程度地減少對良性用戶的副作用。在此基礎上，Rahman等人［15］建立了甄別博弈模型，攻擊者觀察目標動作并制定攻擊計劃，進一步分析防御效果，即使攻擊者采取最佳策略，防御機制的開銷大幅減少而勝過傳統機制，并且指紋識別成功率相當低。Pawlick等人［16］提出了一種包含檢查器的信號博弈模型，檢查器在發送方采取欺騙行動是發出概率警告，得到了混同均衡和部分分離均衡，發現高質量的檢查器消除了一些純策略均衡，具有較高真陽率比具有較低假陽率的檢查器更鼓勵發送誠實的信號，同時欺騙性發送者有時會收益于高精度的檢查器。

文獻［14～17］將攻防雙方的交互建模成只含兩個階段的信號博弈，對網絡偵察階段中攻防雙方的交互進行了高度抽象與簡化，與真實情況有較大的差異。李少輝等人［18］設計了一種四階段不完全信息動態博弈模型來處理指紋識別欺騙問題，更為詳細地刻畫了攻防之間的交互過程，但是由于混淆指紋數量太少，容易被攻擊者暴力破解。

2問題描述

指紋探測是確定網絡上遠程主機的操作系統及開啟服務的類型和版本的操作，攻擊者可以利用SinFP3、p0f等工具對主機之間傳輸的網絡數據包進行嗅探和分析來被動地探測，也可以通過向目標主機X發送精心設計的數據包，并利用Nmap、Xprobe、amap等工具對TCP、ICMP、ISN等響應進行分析來主動探測。如果目標主機X的操作系統以及服務版本被攻擊者成功獲取，攻擊者會利用漏洞等手段對其進行感染，并以此為突破口，按照虛線的方向逐步感染網絡中主機Y、Z及文件服務器，如圖1所示。

防御者采取欺騙防御手段向攻擊者傳遞虛假信息，不改變系統的真實配置，而是修改探測響應信息，使得探測結果呈現出虛假的指紋類型，如圖2所示。

攻擊者想探測出目標主機的真實指紋，防御者想通過欺騙手段讓攻擊者獲得虛假指紋，問題是防御者如何在節約成本的基礎上，利用博弈論框架讓攻擊者獲取虛假指紋使攻擊失敗，從而最大化防御效果。

3反指紋探測智能博弈模型設計

針對當前指紋探測欺騙方面的問題研究，為體現攻防雙方在探測階段的交互過程，本文設計了含有四個階段的不完全信息動態博弈模型。

階段1目標主機的指紋類型TD（操作系統及開啟服務的版本）屬于防御者私有信息，由自然PN依照概率分布P（Ti）選取，概率分布P（Ti）被攻防雙方所共知，但是攻擊者不知道防御者的真實指紋類型，其中0≤i≤n。

階段2由于網絡偽裝混淆需要預先配置，所以屬于半靜態動作，通常防御者會預先配置好，等待攻擊者前來偵察。防御者PD依照防御策略mj，從指紋庫中選取虛假指紋進行混淆，將真實指紋i類型混淆成j類型，同時需要耗費混淆成本cd，其中0≤j≤n。

階段3攻擊者后行動，先進行指紋探測，嘗試獲取防御方的指紋信息，攻擊者探測手段有很多，可以采取對主機之間傳輸的網絡數據包進行嗅探，也可以采取主動發送特制探針，分析目標主機響應進行主動探測。攻擊者依照偵察策略rx對目標主機指紋進行探測，同時耗費探測成本cr，而且偵察手段不同，探測成功率也不同。探測結果tz由真實指紋類型Ti、防御者混淆策略mj以及攻擊者偵察策略rx決定，其中1≤x≤2，1≤z≤n。

階段4攻擊者意識到防御者會采取欺騙手段而導致探測結果不準確，因此利用貝葉斯定理，由偵察策略rx和探測結果tz對真實指紋類型進一步推斷，在探知目標指紋信息的前提下，針對不同指紋類型采取針對性的攻擊手段或者退避。攻擊者利用推斷后的指紋概率分布b1進行特定攻擊策略ay，同時耗費攻擊成本ca，其中0≤y≤n+1。

指紋探測智能博弈模型設計如下，可以表示為六元組FRAG=（P，T，S，t，b，U），如圖3所示。

a）P=（PA，PD，PN）表示參與人集合。其中，PA表示攻擊者，PD表示防御者，PN表示自然。

b）T=（TA，TD）表示參與人的類型集合，屬于私有信息。其中，TA=（η）表示攻擊者類型；TD={Ti|i=1，2，…，n}表示防御者類型，如Windows 7、Ubuntu 16.04、CentOS 7等操作系統版本類型。

c）S=（SA，SD）表示參與人策略集合。其中：SA=（r，a）表示攻擊者策略，r={rx|x=1，2}={淺層偵察，深層偵察}，a={ay|y=0，1，…，n}={不攻擊，針對Ty類型的攻擊}，攻擊者針對不同類型的防御者具有不同的攻擊手段；SD={mj|j=1，2，…，n}={表現出Ti類型}表示防御者策略，如果j=i，真實類型與表現類型相同，相當于不混淆，如果j≠i，真實類型與表現類型不同，相當于混淆。

d）t={tz|z=1，2，…，n}表示為偵察結果集合。其中，tz表示偵察結果為Tz類型。

e）b=（b0，b1）表示攻擊者的信念集合。其中，b0=p（Ti）表示攻擊者對防御者類型的初始信念，b1=p（Ti|rx，tz）表示更新后的信念。攻擊者根據自己的偵察動作以及偵察結果更新防御者類型的信念，而偵察結果包含了防御者類型與動作信息。

f）U=（UA，UD）表示參與人收益集合。其中，UA表示攻擊者收益函數，UD表示防御者收益函數，攻防雙方收益函數如下：

UA=∑ni=1b1×UA（rx，ay）（1）

UA（rx，ay）=I×v0-bx-by（2）

UD=∑ni=1b1×UD（Ti，mj）（3）

UD（Ti，mj）=（1-I）×v0-c0-cj（4）

如果y=i，即攻擊成功，則I=1，否則I=0。

該模型雖然能夠更加細致地刻畫攻防交互過程，但是依然存在以下問題。

傳統博弈方法更適合處理小規模問題，然而如果模型規模較小，即指紋數量n較少的話，即使欺騙防御效果很好，攻擊者無法探知目標主機的真實指紋類型，在攻擊成本足夠的情況下，攻擊者能夠以遍歷的方式進行暴力破解，使得欺騙防御不攻自破。

為防止攻擊者采取遍歷的方式進行破解，需要增加指紋數量n，就算攻擊者采取暴力破解的遍歷，也需要耗費大量的精力與成本，使得攻擊者短時間內難以多次探測積累經驗來獲取真實指紋。但是隨著指紋數量n的增加，模型廣度也隨之增加，而模型規模為n^（n^（2n+1）），n的少量增加會使得模型規模劇增，導致傳統博弈方法難以處理，需要設計算法對模型進行剪枝優化。

防御者的真實指紋和混淆指紋種類均為n種，而且任意真實指紋可以偽裝成任意混淆指紋，因此防御者的策略選取種類共有nn種。攻擊者的探測種類和攻擊種類分別為2和n+1種，而且不同探測手段和不同攻擊手段可相互搭配，因此攻擊者的策略選取種類共有2n+1種。防御者想通過欺騙手段讓攻擊者獲得虛假指紋而攻擊失敗，攻擊者想探測出目標主機的真實指紋而攻擊成功，傳統博弈方法中，精煉貝葉斯納什均衡用于處理這種不完全信息動態博弈，而精煉貝葉斯納什均衡要求給定其他參與人的策略，以及該參與人的后驗概率，所有參與人都是序貫理性的，攻防雙方的最優策略相互交織，互為最優。因此，在確定均衡的過程中，需要防御者的策略選擇與攻擊者的策略選擇相互考慮，一共有n^（n^（2n+1））種。

4兩階段最優策略選取算法（TSOSA）設計

為解決模型中解空間劇增的問題，本文借鑒遺傳算法［19，20］的思想設計求解算法。

遺傳算法借鑒生物進化論，將尋找最優解的問題模擬成一個生物進化的過程，利用隨機化技術對一個被編碼的空間進行高效搜索。生物的進化以種群的形式進行，一個種群由許多個個體組成，每個個體的外在特征由內在基因決定，多個基因組成染色體。首先實現個體外在特征到內在基因的映射關系，將基因編碼成字符串的形式，如二進制編碼。然后進行初始化，隨機產生初代種群。進而設計優化目標，即適應度函數，根據適應度函數對種群進行篩選，優勝劣汰，挑選出適應度值高的個體，淘汰適應度值低的個體。在挑選出來的個體中進行比例選擇來產生下一代，同時為提高魯棒性以及體現生物進化中基因突變的情況，個體的基因以一定概率進行重新編碼，將兩個染色體中部分基因進行交叉互換，或者個體染色體中的基因出錯進行變異。通過這種方法不斷演化迭代，從最初隨機產生的初始種群逐步進化，每輪的新一代種群比前一代種群更加適應環境，更加貼近最優解。

基于遺傳算法，本文設計了兩階段的防御者最優策略選取算法（TSOSA），詳見算法1。對于該博弈模型，將每一條路徑的可能解作為一個個體，將每條路徑攻防雙方的動作即基因進行二進制編碼，分別作為攻擊者和防御者的染色體。考慮攻擊者意識到防御者會利用欺騙技術進行防護，因此他會針對欺騙手段進行一定程度的反制，第一階段優化攻擊者，第二階段以優化后的攻擊者為基礎，進而優化防御者。

第一階段對攻擊者進行優化，在每一輪次中，隨機選取防御者個體，將每條路徑得到的攻擊者收益函數UA作為適應度函數，以最大化攻擊者收益為目標優化攻擊者，篩選更適應的個體，對篩選后的攻擊者個體，利用輪盤賭算法進行選擇，并分別以pc和pm的概率進行交叉和變異，產生新一代攻擊者種群，經過n輪演化，得到優化后的攻擊者。

第二階段對防御者進行優化，以第一階段優化后的攻擊者為基礎，將每條路徑得到的防御者收益函數UD作為適應度函數，以最大化防御者收益為目標優化攻擊者，不斷篩選防御者個體，對篩選后的攻擊者個體，利用輪盤賭算法進行選擇，并分別以pc和pm的概率進行交叉和變異，產生新一代防御者種群，經過n輪演化，最后選取最優的防御者個體。

算法1兩階段最優策略選取算法

輸入：k，num，pc，pm。

輸出：defender’s best strategy。

encode attacker，defender

random generate（Apop［］，p）

random generate（Dpop［］，q）

for ii in range（k）：

initialize（new_Apop［］）

find best（Apop，Dpop，q，UA）

if （random（0，1）lt;pc）：

cross（q，Apop）

if （random（0，1）lt;pm）：

mutations（q，Apop）

if （new_Apop gt; Apop）：

add q to new_Apop

end for

for ii in range（k）：

initialize （new_Dpop［］）

find best （Dpop，new_Apop，q，UD）

if （random（0，1）lt;Pc）：

cross（q，Dpop）

if（random（0，1）lt;pm）：

mutations （q，Dpop）

if （new_Dpopgt;Dpop）：

add q to new_Dpop

end for

5仿真實驗與分析

基于本文提出的指紋探測智能博弈模型以及策略智能選取方法，構建如圖4所示的網絡結構進行仿真實驗。防御者系統由2個Web服務器、4個數據庫和6個文件服務器組成，外來用戶可以訪問Web服務器，但是不能直接訪問文件服務器和數據庫服務器。假設攻擊者已經通過對目標網絡進行掃描，獲知了活躍主機，現在對文件服務器、數據庫服務器以及Web服務器進行掃描，企圖獲取運行的操作系統版本以及Web服務器版本。

攻擊者的探測手段如圖5所示，利用p0f、SinFP3等工具對目標網絡之間的傳輸進行分析來被動探測；利用Nmap、SinFP3、Xprobe等工具對TCP響應、ICMP響應、ISN響應進行分析來主動探測。防御者的操作系統指紋庫如表1所示，有Windows各種版本，Ubuntu、CentOS、FreeBSD等Linux各種版本，還有Mac OS蘋果操作系統版本。面對攻擊者的指紋探測，防御者依據最優策略智能選取算法來選擇混淆指紋，以響應探測，讓攻擊者獲取虛假網絡資產信息，使其不敢貿然攻擊或攻擊失敗。

在實驗中，設定防御者種群和攻擊者種群均為300。對于防御者來說，基因分別為主機指紋類型和混淆策略，其染色體由（Ti，mj）這兩部分組成，這兩個基因的數量均為n，取num=「log2n，防御者染色體可以由2×num位二進制表示；對于攻擊者來說，基因分別為探測方法和攻擊動作，其染色體由（rx，ay）兩部分組成，這兩個基因的數量分別為2和n，因此攻擊者基因可以由1+num位二進制表示。交叉概率pc取0.6，變異概率pm取0.01，迭代次數取300次。

考慮到攻擊者知曉欺騙防御手段的存在，第一階段對攻擊者的策略選取進行優化，使得攻擊更加有效，以實現防御策略一定程度的反制，體現攻擊者的相對智能性。在第二階段中，以第一階段優化的攻擊者為基礎，來優化防御者的策略選取，使得防御者相對于相對智能的攻擊者，更具有針對性。攻擊成功率如圖6所示。在300次迭代中，從最初的成功與失敗之間波動，隨著迭代次數的增加，防御者不斷進化，最終趨于攻擊失敗。

為驗證TSOSA算法的有效性，利用貪婪算法進行比較，如圖7所示。在貪婪算法中，攻擊者和防御者不考慮可能的整體情況，而是將FRAG模型求解問題劃分為三個子問題：a）防御者選取混淆類型；b）攻擊者選取探測手段；c）攻擊者選取攻擊手段。在每個子問題中，以防御者或防御者的收益最大為目標，貪心選取攻防策略。

貪婪算法雖然省去了大量時間尋求整體最優而運行時間短暫，但是由于策略相對固定，防御者收益難以達到較高水平；而TSOSA算法經過兩階段優化，不斷趨向最優，大概在700 ms左右的迭代以后能達到接近最高防御者收益的程度。

為測試TSOSA算法的收斂時間，進行了100次實驗，如圖8所示。TSOSA的收斂時間在600～900 ms不等，平均在700 ms。

6結束語

由于網絡的靜態性特點，網絡攻擊者可以通過偵察來進行攻擊前的準備工作。為了扭轉攻防雙方信息不對稱的情況，本文利用博弈論與防御性欺騙的手段，討論了防御者在網絡偵察階段如何阻撓攻擊。針對攻擊者短時間對指紋類型采取遍歷的方式來暴力破解欺騙防御的問題，提出了一種指紋庫擴充的不完全信息動態博弈模型對指紋欺騙進行分析，由于博弈模型的廣度與深度較大，指紋類型的少量增加，整個模型規模會產生巨大的增加。而傳統博弈方法更適合處理小規模決策問題，因此本文提出了一種基于遺傳算法的兩階段智能優化算法來處理。考慮到資深攻擊者，首先對攻擊策略進行優化，以優化的攻擊策略為基礎，進而優化防御策略，使得攻擊者難以在短時間內暴力破解欺騙防御。

參考文獻：

［1］Hutchins E M，Cloppert M J，Amin R M.Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains［J］.Leading Issues in Information Warfare amp; Security Research，2011，1（1）：article No.80.

［2］Cho S，Han I，Jeong H，et al.Cyber kill chain-based threat taxonomy and its application on cyber common operational picture［C］//Proc of International Conference on Cyber Situational Awareness，Data Analy-tics and Assessment.Piscataway，NJ：IEEE Press，2018：1-8.

［3］Achleitner S，La Porta T，McDaniel P，et al.Cyber deception：virtual networks to defend insider reconnaissance［C］//Proc of the 8th ACM CCS International Workshop on Managing Insider Security Threats.New York：ACM Press，2016：57-68.

［4］王碩，王建華，裴慶祺，等.基于動態偽裝網絡的主動欺騙防御方法［J］.通信學報，2020，41（2）：97-111.（Wang Shuo，Wang Jianhua，Pei Qingqi，et al.Active deception defense method based on dynamic camouflage network［J］.Journal on Communications，2020，41（2）：97-111.）

［5］賈召鵬，方濱興，劉潮歌，等.網絡欺騙技術綜述［J］.通信學報，2017，38（12）：128-143.（Jia Zhaopeng，Fang Binxing，Liu Chaoge，et al.Survey on cyber deception［J］.Journal on Communications，2017，38（12）：128-143.）

［6］Kiekintveld C，Lisy V，Píbil R.Game-theoretic foundations for the strategic use of honeypots in network security［M］//Cyber Warfare.Cham：Springer，2015：81-101.

［7］Pawlick J，Colbert E，Zhu Quanyan.A game-theoretic taxonomy and survey of defensive deception for cybersecurity and privacy［J］.ACM Computing Surveys，2019，52（4）：1-28.

［8］Carroll T E，Grosu D.A game theoretic investigation of deception in network security［J］.Security and Communication Networks，2011，4（10）：1162-1172.

［9］Ye Dayong，Zhu Tianqing，Shen Sheng，et al.A differentially private game theoretic approach for deceiving cyber adversaries［J］.IEEE Trans on Information Forensics and Security，2020，16：569-584.

［10］Horák K，Zhu Quanyan，Boansk B.Manipulating adversary’s belief：a dynamic game approach to deception by design for proactive network security［C］//Proc of International Conference on Decision and Game Theory for Security.Cham：Springer，2017：273-294.

［11］Schlenker A，Thakoor O，Xu Haifeng，et al.Deceiving cyber adversa-ries：a game theoretic approach［C］//Proc of the 17th International Conference on Autonomous Agents and Multiagent Systems.Richland，SC：International Foundation for Autonomous Agents and Multiagent Systems，2018：892-900.

［12］Thakoor O，Tambe M，Vayanos P，et al.Cyber camouflage games for strategic deception［C］//Proc of International Conference on Decision and Game Theory for Security.Berlin：Springer，2019：525-541.

［13］Wang Wei，Zeng Bo.A two-stage deception game for network defense［C］//Proc of International Conference on Decision and Game Theory for Security.Berlin：Springer，2018：569-582.

［14］Rahman M A，Hasan M G M M，Manshaei M H，et al.A game-theore-tic analysis to defend against remote operating system fingerprinting［J］.Journal of Information Security and Applications，2020，52：102456.

［15］Rahman M A，Manshaei M H，Al-Shaer E.A game-theoretic approach for deceiving remote operating system fingerprinting［C］//Proc of IEEE Conference on Communications and Network Security.Pisca-taway，NJ：IEEE Press，2013：73-81.

［16］Pawlick J，Colbert E，Zhu Quanyan.Modeling and analysis of leaky deception using signaling games with evidence［J］.IEEE Trans on Information Forensics and Security，2018，14（7）：1871-1886.

［17］Sasahara H，Sandberg H.Epistemic signaling games for cyber deception with asymmetric recognition［J］.IEEE Control Systems Letters，2021，6：854-859.

［18］李少輝，張國敏，宋麗華，等.基于不完全信息博弈的反指紋識別分析［J］.計算機科學，2021，48（8）：291-299.（Li Shaohui，Zhang Guomin，Song Lihua，et al.Incomplete information game theoretic analysis to defend fingerprinting［J］.Computer Science，2021，48（8）：291-299.）

［19］Wang Zheng，Jin Yanan，Yang Shasha，et al.An improved genetic algorithm for safety and availability checking in cyber-physical systems［J］.IEEE Access，2021，9：56869-56880.

［20］O’Reilly U M，Toutouh J，Pertierra M，et al.Adversarial genetic programming for cyber security：a rising application domain where GP matters［J］.Genetic Programming and Evolvable Machines，2020，21（1）：219-250.

收稿日期：2021-08-10；修回日期：2021-10-09基金項目：江蘇省自然科學青年基金資助項目

作者簡介：李少輝（1994-），男，碩士研究生，主要研究方向為網絡空間安全（shaohuil@foxmail.com）；張國敏（1978-），男，副教授，碩導，博士，主要研究方向為網絡空間安全、網絡管理；宋麗華（1976-），女，教授，碩導，博士，主要研究方向為機器網絡測量；王秀磊（1988-），男，講師，博士，主要研究方向為網絡空間安全、網絡功能虛擬化．