基于攻防博弈模型的網(wǎng)絡(luò)安全測(cè)評(píng)與防御技術(shù)

陸晚成

（常州市教育科學(xué)研究院 江蘇 常州 213003）

0 引言

隨著國(guó)內(nèi)網(wǎng)絡(luò)信息產(chǎn)業(yè)越來(lái)越復(fù)雜，網(wǎng)絡(luò)中存在的病毒和木馬嚴(yán)重影響了網(wǎng)絡(luò)安全。本文以攻防博弈論為依據(jù)，設(shè)計(jì)作用于網(wǎng)絡(luò)安全測(cè)評(píng)的一種防御圖模型，以此引出了基于攻防博弈模型的網(wǎng)絡(luò)攻防博弈模型，并結(jié)合模型實(shí)現(xiàn)了最優(yōu)主動(dòng)防御算法的選擇，將網(wǎng)絡(luò)安全由被動(dòng)防御轉(zhuǎn)化為主動(dòng)防御，從而為構(gòu)建網(wǎng)絡(luò)安全測(cè)評(píng)模型與設(shè)計(jì)主動(dòng)防御技術(shù)提供相應(yīng)建議，對(duì)推動(dòng)攻防博弈模型和網(wǎng)絡(luò)安全測(cè)評(píng)、最優(yōu)主動(dòng)防御的發(fā)展具有重要的現(xiàn)實(shí)意義[1]。

1 主動(dòng)防御模型構(gòu)建的必要性及概述

1.1 必要性分析

近幾年，隨著網(wǎng)絡(luò)技術(shù)、計(jì)算機(jī)技術(shù)的自動(dòng)化發(fā)展，對(duì)網(wǎng)絡(luò)安全評(píng)測(cè)的作業(yè)提出進(jìn)一步要求。而傳統(tǒng)網(wǎng)絡(luò)安全評(píng)測(cè)和安全防護(hù)系統(tǒng)，主要借助防火墻技術(shù)或者防御軟件、木馬病毒入侵檢測(cè)技術(shù)等，實(shí)現(xiàn)了對(duì)入侵行為進(jìn)行檢測(cè)和防御。但由于上述防御技術(shù)和方法等手段屬于被動(dòng)防護(hù)方式，因此在針對(duì)網(wǎng)絡(luò)中新型的病毒、木馬等處理時(shí)能力相對(duì)較差。所以，為了能夠進(jìn)一步提高計(jì)算機(jī)網(wǎng)絡(luò)的安全性和穩(wěn)定性，本文通過(guò)利用攻防博弈進(jìn)行主動(dòng)實(shí)時(shí)防御模型的構(gòu)建，以此來(lái)提高對(duì)網(wǎng)絡(luò)中存在的可疑目標(biāo)主動(dòng)處理能力以及對(duì)預(yù)測(cè)能力的網(wǎng)絡(luò)安全評(píng)測(cè)作業(yè)提供支持。

1.2 最優(yōu)主動(dòng)防御系統(tǒng)

最優(yōu)主動(dòng)防御系統(tǒng)主要是指由程序行為為基礎(chǔ)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全實(shí)施自主分析以及判斷的一種網(wǎng)絡(luò)安全防御技術(shù)。同時(shí)，該系統(tǒng)的特點(diǎn)就是根據(jù)不同類(lèi)型的木馬程序、病毒程序等為主要的判斷依據(jù)，通過(guò)利用對(duì)病毒或目標(biāo)的定義，對(duì)相關(guān)程序的執(zhí)行行為判斷其是否對(duì)計(jì)算機(jī)網(wǎng)絡(luò)存在安全威脅的工具。也就是說(shuō)，該系統(tǒng)的構(gòu)建，能夠利用病毒或者木馬的弱點(diǎn)以及對(duì)應(yīng)的攻擊行為實(shí)現(xiàn)實(shí)時(shí)防護(hù)工作。因此，利用有限資源實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)安全的最合理規(guī)劃和防護(hù)方案選擇，就是最優(yōu)主動(dòng)防御系統(tǒng)。此系統(tǒng)能夠定義網(wǎng)絡(luò)的安全攻防系統(tǒng)，為防御的一方提供相應(yīng)的防御行為和支持。而博弈者針對(duì)攻擊一方的策略選擇，以及攻防博弈環(huán)境的掌握程度，存在一定的隨機(jī)性。因此，可以將不同階段之間的變化設(shè)置為隨機(jī)過(guò)程，并和攻防博弈模型相結(jié)合，從而實(shí)現(xiàn)基于攻防博弈模型的網(wǎng)絡(luò)防御模型構(gòu)建。所以，在實(shí)際網(wǎng)絡(luò)攻防過(guò)程當(dāng)中，不管是攻擊的一方還是防御的一方均可以通過(guò)學(xué)習(xí)他人的模式，來(lái)提高改善自身的狀態(tài)。

1.3 網(wǎng)絡(luò)信息安全

網(wǎng)絡(luò)信息安全評(píng)測(cè)主要包含了各個(gè)行業(yè)領(lǐng)域，如防范商業(yè)企業(yè)的機(jī)密信息數(shù)據(jù)泄露、青少年對(duì)網(wǎng)絡(luò)中不良網(wǎng)站或者不良信息的瀏覽，以及防范私人信息泄露。因此，網(wǎng)絡(luò)信息安全評(píng)測(cè)工作的實(shí)施，是通過(guò)利用計(jì)算機(jī)技術(shù)、防御技術(shù)、不同網(wǎng)絡(luò)安全協(xié)議以及安全機(jī)制等相關(guān)基礎(chǔ)之上，為計(jì)算機(jī)網(wǎng)絡(luò)安全提供保障。但與傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)相比，本文設(shè)計(jì)的網(wǎng)絡(luò)安全評(píng)測(cè)，通過(guò)利用主動(dòng)實(shí)時(shí)防護(hù)技術(shù)，能夠事先實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié)以及存在的潛在威脅進(jìn)行相應(yīng)的處理和分析，然后根據(jù)用戶(hù)的需求，選擇最優(yōu)的主動(dòng)防御措施，以此為網(wǎng)絡(luò)安全評(píng)測(cè)作業(yè)以及計(jì)算機(jī)網(wǎng)絡(luò)的安全提供相應(yīng)的保障。

2 針對(duì)網(wǎng)絡(luò)安全測(cè)評(píng)的研究分析

傳統(tǒng)的網(wǎng)絡(luò)信息系統(tǒng)主要利用檢測(cè)系統(tǒng)和防火墻技術(shù)實(shí)現(xiàn)防御。本文從三個(gè)方面切入，分別對(duì)網(wǎng)絡(luò)的安全評(píng)測(cè)、網(wǎng)絡(luò)主動(dòng)防御模型等展開(kāi)研究，以此實(shí)現(xiàn)網(wǎng)絡(luò)攻防博弈模型的設(shè)計(jì)。

2.1 網(wǎng)絡(luò)的脆弱性測(cè)評(píng)研究分析

網(wǎng)絡(luò)的脆弱性測(cè)評(píng)指攻擊者通過(guò)網(wǎng)絡(luò)攻擊目標(biāo)，并擊中目標(biāo)系統(tǒng)安全防御薄弱的地方。攻擊網(wǎng)絡(luò)脆弱點(diǎn)能夠提高攻擊者攻破網(wǎng)絡(luò)防御系統(tǒng)的概率。對(duì)網(wǎng)絡(luò)脆弱性的測(cè)評(píng)不僅有助于維護(hù)網(wǎng)絡(luò)系統(tǒng)安全，還能通過(guò)分析網(wǎng)絡(luò)系統(tǒng)中的脆弱環(huán)節(jié)降低攻擊者攻擊成功的概率，保障用戶(hù)自身利益。

當(dāng)前的網(wǎng)絡(luò)脆弱性測(cè)評(píng)分析系統(tǒng)以評(píng)估體系模型、控制評(píng)估過(guò)程以及分析評(píng)估方法和標(biāo)準(zhǔn)等為基礎(chǔ)建立了攻擊樹(shù)評(píng)價(jià)體系，使防御者能夠分析防御系統(tǒng)存在的弱點(diǎn)，提高網(wǎng)絡(luò)系統(tǒng)主動(dòng)檢測(cè)出安全漏洞的概率[2]。

2.2 防御代價(jià)定量分析

網(wǎng)絡(luò)安全測(cè)評(píng)中，針對(duì)防御代價(jià)定量的分析一般指防御者對(duì)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)有效的防御措施，并在此基礎(chǔ)上定量計(jì)算應(yīng)用的防御技術(shù)和防御方案等的執(zhí)行成本，通過(guò)敏感模型量化分析網(wǎng)絡(luò)系統(tǒng)防御措施。網(wǎng)絡(luò)系統(tǒng)防御措施是當(dāng)前網(wǎng)絡(luò)安全主動(dòng)實(shí)時(shí)防御的重要方式，因此在全面掌握網(wǎng)絡(luò)信息系統(tǒng)脆弱性的基礎(chǔ)上，將可靠性原則應(yīng)用于主動(dòng)防御成本定量研究過(guò)程，計(jì)算攻擊者的損失成本，可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)攻防成本的量化分析。

2.3 攻防博弈理論分析

攻防博弈理論在網(wǎng)絡(luò)安全測(cè)評(píng)中和防御中的應(yīng)用，主要體現(xiàn)在以下三方面。首先，防御者利用攻防博弈理論找到計(jì)算機(jī)系統(tǒng)中存在的正常節(jié)點(diǎn)和惡意節(jié)點(diǎn)，實(shí)現(xiàn)分析網(wǎng)絡(luò)系統(tǒng)中存在的脆弱環(huán)節(jié)和安全威脅，提前做好防護(hù)工作。其次，借助攻擊者和防御者在網(wǎng)絡(luò)系統(tǒng)中存在的不完全信息進(jìn)行重復(fù)對(duì)弈，建立相關(guān)攻擊行為和防御行為的雙重模型。最后，根據(jù)攻擊者的攻擊意圖分析攻擊模型架構(gòu)，為網(wǎng)絡(luò)安全測(cè)評(píng)和系統(tǒng)防御提供有效的保障[3]。

3 基于攻防博弈理論的網(wǎng)絡(luò)安全測(cè)評(píng)的防御圖模型分析

3.1 網(wǎng)絡(luò)攻擊圖的分析

網(wǎng)絡(luò)安全測(cè)評(píng)的攻擊圖設(shè)計(jì)，是攻擊者在對(duì)網(wǎng)絡(luò)進(jìn)行攻擊時(shí)所需要利用到的攻擊路徑和供給方法的集合。其中，攻擊路徑代表了攻擊者所應(yīng)用的攻擊程序代碼序列，但基于網(wǎng)絡(luò)系統(tǒng)的攻擊圖的網(wǎng)絡(luò)系統(tǒng)實(shí)時(shí)防御還存在較大的局限性。因此，加強(qiáng)對(duì)網(wǎng)絡(luò)防御圖模型的構(gòu)建是解決網(wǎng)絡(luò)安全測(cè)評(píng)與防御的重要方向。

3.2 防御圖的構(gòu)建生成

針對(duì)網(wǎng)絡(luò)安全測(cè)評(píng)的網(wǎng)絡(luò)防御圖設(shè)計(jì)，主要由單個(gè)的六元組構(gòu)成。該六元組可以用DG來(lái)表示，且DG=（S，τ，S0，Sa，Sd，Ss）。其中：S為網(wǎng)絡(luò)防御圖的節(jié)點(diǎn)集；τ為一種網(wǎng)絡(luò)安全狀態(tài)的轉(zhuǎn)換關(guān)系；S0代表了初始網(wǎng)絡(luò)安全狀態(tài)的集合、Sa代表了攻擊者的目標(biāo)狀態(tài)集合、Sd代表了攻擊者的策略集合以及Ss代表了防御者的策略集合。

在實(shí)際過(guò)程中，利用系統(tǒng)漏洞數(shù)據(jù)庫(kù)、掃描設(shè)備等可以生成對(duì)應(yīng)的數(shù)據(jù)處理模塊，并將其保存在數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)防御圖模型中。網(wǎng)絡(luò)安全評(píng)測(cè)系統(tǒng)的構(gòu)建還需要與自身的最優(yōu)防御算法結(jié)合。分類(lèi)模型構(gòu)建與分類(lèi)空間的配置均會(huì)對(duì)算法帶來(lái)影響，因此在網(wǎng)絡(luò)安全評(píng)測(cè)時(shí)需要注重對(duì)這方面的考慮。此外，通過(guò)將網(wǎng)絡(luò)防御策略、系統(tǒng)以及分類(lèi)模型有效結(jié)合，有助于提高網(wǎng)絡(luò)安全測(cè)評(píng)效果[4]。

3.3 網(wǎng)絡(luò)攻防博弈模型分析

攻防博弈模型（attack defense game，ADG）是單個(gè)的三元組模型，主要由ADG來(lái)表示。而ADG則由（N，S，U）構(gòu)成，具體如圖1所示。其中，三元組模型中的N代表了攻防博弈局中人的集合，而局中人指的是攻防博弈當(dāng)中的決策主體以及制定決策的人。S代表了局中人的策略集合，也就是實(shí)現(xiàn)攻防博弈時(shí)所需要利用到的方法和工具技能，同時(shí)每個(gè)對(duì)應(yīng)的策略集合當(dāng)中至少存在兩個(gè)不同類(lèi)型的策略。U則代表了局中人的效用函數(shù)集合，也就是指攻擊方和防御方等兩方在攻擊博弈當(dāng)中可以獲得的收益水平，也是所有局中人的函數(shù)。因此，不同類(lèi)型的策略所得到的收益也是不同的，但都是每個(gè)局中人所真正關(guān)心的參數(shù)，可量化攻防雙方的成本和收益。這里攻防效用函數(shù)為攻防成本和回報(bào)之和。

圖1 攻防博弈模型設(shè)計(jì)示意圖

從上圖1的攻防博弈網(wǎng)絡(luò)模型當(dāng)中就可以發(fā)現(xiàn)，本文設(shè)計(jì)的模型在不同類(lèi)型的網(wǎng)絡(luò)攻防環(huán)境當(dāng)中，無(wú)論是攻擊的一方，還是防御的一方兩者之間都是非合作的關(guān)系。因此，在攻防博弈的過(guò)程當(dāng)中，就不會(huì)發(fā)生攻擊的一方或者防御的一方將相關(guān)的決策信息告知敵對(duì)的一方。其中，攻擊的一方是通過(guò)對(duì)目標(biāo)的相關(guān)資源、服務(wù)質(zhì)量等進(jìn)行破壞從中獲取到最大化的利用，反之防御的一方則是以將網(wǎng)絡(luò)信息系統(tǒng)的損傷降至最低作為最大化收益[5]。

3.4 攻防成本量化及對(duì)策分類(lèi)

網(wǎng)絡(luò)攻防成本收益和攻防策略分析是網(wǎng)絡(luò)防御圖最優(yōu)網(wǎng)絡(luò)安全防御以及防御圖模型構(gòu)建的基礎(chǔ)。隨著網(wǎng)絡(luò)環(huán)境的不同，目標(biāo)資源的重要性也隨著網(wǎng)絡(luò)環(huán)境的不同而發(fā)生變化，各類(lèi)的供給所造成的固有傷害也是互不相同的。因此，攻擊者的攻擊所導(dǎo)致的損失既和攻擊類(lèi)型有著一定的聯(lián)系，還被攻擊的目標(biāo)有關(guān)。所以為了更加精準(zhǔn)地對(duì)攻擊者的攻擊損失代價(jià)評(píng)估，這時(shí)只有通過(guò)建立相關(guān)攻擊分類(lèi)模型以及攻擊者的攻擊對(duì)被攻擊者的資源損害模型。同時(shí)，通過(guò)結(jié)合被攻擊者和攻擊者進(jìn)行計(jì)算，從中可以得到量化后的損失代價(jià)。但針對(duì)攻擊對(duì)策分類(lèi)時(shí)，不僅要對(duì)攻擊對(duì)策分類(lèi)的空間大小對(duì)后續(xù)攻防博弈模型復(fù)雜度的分析影響進(jìn)行考慮，還要根據(jù)現(xiàn)有的網(wǎng)絡(luò)安全防御系統(tǒng)與林肯實(shí)驗(yàn)室攻擊分類(lèi)，給出一種能夠面向主動(dòng)防御攻擊或者防御分類(lèi)的對(duì)策。由此可見(jiàn)，攻擊者的攻擊目的和攻擊造成的影響，對(duì)網(wǎng)絡(luò)安全防御的最優(yōu)防御系統(tǒng)評(píng)估決策方面有著一定程度的重要影響。

4 實(shí)例應(yīng)用與分析

為驗(yàn)證基于攻防博弈模型的網(wǎng)絡(luò)安全測(cè)評(píng)與設(shè)計(jì)的最優(yōu)主動(dòng)防御算法的可行性，本文通過(guò)設(shè)計(jì)如圖2所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，以此實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻防情景的模擬。其中，外部網(wǎng)絡(luò)是攻擊主機(jī)，而交換網(wǎng)絡(luò)則是攻擊者的攻擊目標(biāo)網(wǎng)絡(luò)。

圖2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖

網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中設(shè)有3臺(tái)計(jì)算機(jī)，分別代表文件服務(wù)器、公共全球廣域網(wǎng)（world wide web，Web）服務(wù)器以及數(shù)據(jù)庫(kù)服務(wù)器。先借助防火墻技術(shù)將目標(biāo)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離，再利用弱點(diǎn)掃描軟件，就能夠完成對(duì)相關(guān)目標(biāo)系統(tǒng)的弱點(diǎn)分析，從而得到關(guān)于該主機(jī)的相關(guān)弱點(diǎn)信息和主機(jī)信息。

同時(shí)，在攻擊博弈的網(wǎng)絡(luò)攻擊模擬實(shí)驗(yàn)過(guò)程之中，如果假設(shè)攻擊一方的攻擊者將獲取數(shù)據(jù)庫(kù)服務(wù)器的Root權(quán)限為攻擊的目標(biāo)。這時(shí)在網(wǎng)絡(luò)防火墻的限制作用下，攻擊一方的攻擊者只能夠借助Web服務(wù)器或者文件服務(wù)器上的低用戶(hù)權(quán)限，無(wú)法實(shí)現(xiàn)數(shù)據(jù)庫(kù)服務(wù)器訪問(wèn)。但是，攻擊一方的攻擊者可以通過(guò)服務(wù)器存在的弱點(diǎn)和依賴(lài)關(guān)系，利用原子攻擊的方法實(shí)現(xiàn)攻擊。

防御者會(huì)從防御策略庫(kù)中選擇相應(yīng)的防御策略信息應(yīng)對(duì)，同時(shí)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)也會(huì)實(shí)時(shí)主動(dòng)防御并記錄攻擊者信息，再根據(jù)相關(guān)信息建模網(wǎng)絡(luò)信息系統(tǒng)，得到一個(gè)抽象的網(wǎng)絡(luò)防御圖。

網(wǎng)絡(luò)系統(tǒng)防火墻設(shè)置了靜態(tài)機(jī)制，為網(wǎng)絡(luò)中數(shù)據(jù)庫(kù)服務(wù)器提供強(qiáng)有力的安全保護(hù)。但受數(shù)據(jù)庫(kù)服務(wù)器的弱點(diǎn)依賴(lài)關(guān)系的影響，還存在多條可以達(dá)到攻擊目標(biāo)的途徑。具體攻擊途徑為A1:A1→B4→E，A2:A2→C4→E，A3:A3→D3→F5→E。A1為攻擊者從最初狀態(tài)A通過(guò)利用原子攻擊1到達(dá)B，接著通過(guò)原子攻擊4到達(dá)目標(biāo)裝填E。整個(gè)攻擊策略就是一個(gè)攻擊，而每個(gè)方框代表每條攻擊路徑的防御策略。其他方式以此類(lèi)推。

根據(jù)最優(yōu)主動(dòng)防御算法，可以解決以上存在的威脅。通過(guò)對(duì)最優(yōu)主動(dòng)防御算法進(jìn)行簡(jiǎn)化分析，利用非合作和零攻防博弈模型實(shí)現(xiàn)了網(wǎng)絡(luò)最優(yōu)化防御方案的選擇。同時(shí)，只需要通過(guò)對(duì)防御代價(jià)進(jìn)行計(jì)算，并對(duì)攻防代價(jià)的意義進(jìn)行考慮之后，就可以選擇取負(fù)值作為防御者的防御代價(jià)，且以金融貨幣為單位。而服務(wù)器作為攻擊者的攻擊對(duì)象，此攻擊會(huì)對(duì)目標(biāo)資源的可用性造成相應(yīng)的危害。因此，可以將防御的策略所造成的負(fù)面影響看作服務(wù)器的一次攻擊，那么Web服務(wù)器與文件服務(wù)器的criticality（危險(xiǎn)度）全部都為4，采用5表示數(shù)據(jù)庫(kù)服務(wù)器的criticality（危險(xiǎn)度）。用10、20、30等表示安全屬性代價(jià)的低、中、高。如數(shù)據(jù)庫(kù)服務(wù)器的安全屬性代價(jià)為30、文件服務(wù)器的安全屬性代價(jià)為20。那么，借助防御代價(jià)模塊，分別將εi和i作為防御策略以及防御編號(hào)的攻擊時(shí)所具有的殘余損失程度。通過(guò)構(gòu)建攻擊一方和防御一方等所使用的unhealthy策略時(shí)的納什均衡，借助基于攻防博弈模型的主動(dòng)防御策略選取算法，就可以得到一個(gè)納什均衡：Pa=（67/159,0,92/159），Pd=（28/53,0,0,0,0,25/53）。其中，攻擊者的最優(yōu)攻擊策略為92/159的成功概率，防御方可以選擇D1（安裝Oracle補(bǔ)丁）作為主動(dòng)防御保護(hù)最優(yōu)概率為28/53。由此通過(guò)以上數(shù)據(jù)可以證明D1（安裝Oracle補(bǔ)丁）防御工作為網(wǎng)絡(luò)安全測(cè)評(píng)的最優(yōu)防御，在網(wǎng)絡(luò)安全測(cè)評(píng)中能夠?yàn)榫W(wǎng)絡(luò)信息系統(tǒng)的安全提供有效的保障。

5 結(jié)語(yǔ)

為實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息系統(tǒng)的安全測(cè)評(píng)與防御，本文對(duì)構(gòu)建最優(yōu)主動(dòng)實(shí)時(shí)的防御模型的必要性進(jìn)行了相應(yīng)的分析，同時(shí)結(jié)合網(wǎng)絡(luò)安全評(píng)測(cè)、攻防博弈模型以及防御技術(shù)等，提出了一個(gè)基于攻防博弈模型的網(wǎng)絡(luò)安全測(cè)評(píng)主動(dòng)防御模型。為保證主動(dòng)防御模型的可靠性，本文根據(jù)網(wǎng)絡(luò)實(shí)例對(duì)設(shè)計(jì)的網(wǎng)絡(luò)安全主動(dòng)防御模型展開(kāi)了相應(yīng)的模擬實(shí)驗(yàn)，最后實(shí)驗(yàn)結(jié)果證明了本文設(shè)計(jì)的基于攻防博弈模型的網(wǎng)絡(luò)安全測(cè)評(píng)與防御技術(shù)的可行性，對(duì)促進(jìn)我國(guó)網(wǎng)絡(luò)信息產(chǎn)業(yè)的安全與發(fā)展具有重要意義。