基于博弈論與信息融合的用戶行為預(yù)測算法

邱東利，趙軍，江 東，王曉龍

（中國測試技術(shù)研究院,四川 成都 610021）

通信和計算機兩大學(xué)科領(lǐng)域的融合發(fā)展，不僅誕生了互聯(lián)網(wǎng)，而且促進了以此為基礎(chǔ)的應(yīng)用。人們的日常工作、學(xué)習(xí)和生活都依賴于互聯(lián)網(wǎng)以及數(shù)不勝數(shù)的網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)的安全一直是大家關(guān)注的重點。在計算機網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等計算信息系統(tǒng)中，內(nèi)部安全威脅（cyber insider threats）是極其重要而又受到普遍關(guān)注的問題[1-3]。其表現(xiàn)形式通常是破壞IT 系統(tǒng)，以獲取經(jīng)濟利益，或者為獲得商業(yè)競爭優(yōu)勢采取不正當?shù)氖侄瓮蹈`或修改內(nèi)部系統(tǒng)的機密數(shù)據(jù)等。由于內(nèi)部威脅者（insider）具有外部攻擊者所沒有的能力，具有合法的外衣，他們的行為難于被及時發(fā)現(xiàn)。到目前為止，盡管對內(nèi)部威脅沒有標準的定義可以遵循，但仍從大量的文獻研究中提取出了這類行為的常規(guī)概念[4-8]。一般而言，內(nèi)部威脅者是一個單獨的個體或自然人，在某個時間段內(nèi)獲得合法的授權(quán)訪問其所在機構(gòu)的計算機網(wǎng)絡(luò)、信息系統(tǒng)、數(shù)據(jù)，這個個體在該時間段內(nèi)是受信任的，然而當其行為是利用信任產(chǎn)生對機構(gòu)有害的行為時，個體便成為了內(nèi)部威脅者[9]。這些行為可分為2 類：利用合法訪問的授權(quán)違反安全策略；通過獲取未授權(quán)訪問權(quán)限而違反訪問控制策略。

針對這些內(nèi)部威脅者的安全問題，研究者提出了不少檢測算法[10-13]。以建立模型為基礎(chǔ)的算法，如基于屬性組訪問控制（attribute-based group access control）的建模算法[14]、基于多實體的貝葉斯網(wǎng)絡(luò)行為的建模算法[15-16]；威脅風(fēng)險動態(tài)評估的行為理論模型[17]；描述真實世界場景的形式化系統(tǒng)；通過映射到acKlaim 代數(shù)過程實現(xiàn)的算法[18-21]；基于知識的貝葉斯模型[22]；內(nèi)部威脅預(yù)測模型[23-24]等。還有以圖理論為基礎(chǔ)的算法，例如能力獲取圖（capability acquisition graph）算法通過評估計算內(nèi)部威脅的累計影響來檢測可能的違規(guī)行為[25]，建立數(shù)據(jù)中的結(jié)構(gòu)化模式分別表示實體、關(guān)系和行為，再應(yīng)用圖理論中的方法去發(fā)現(xiàn)數(shù)據(jù)中的異常實例[26]。很多異常檢測算法都是從預(yù)先定義好的正常系統(tǒng)行為中偵測、發(fā)現(xiàn)偏離的行為，然而這類算法卻難以區(qū)別正常行為者和內(nèi)部威脅者的行為，特別是在其早期階段，因為內(nèi)部威脅者很可能具有合法訪問的權(quán)限，與正常行為者沒有差別，所以這類算法不適合直接用于內(nèi)部威脅檢測。在此基礎(chǔ)上研究人員又提出了一些基于博弈論的改進算法[27-29]。博弈論是研究交互行為的學(xué)科，計算系統(tǒng)的安全監(jiān)控也是人機交互的應(yīng)用，所以此類問題屬于博弈論研究的范疇。但是，這些算法的設(shè)計都是以一種共同假設(shè)為前提，即內(nèi)部威脅者是理性的，博弈的解決方法是建立在納什均衡（Nash equilibrium）[27-28]的基礎(chǔ)上的。然而，實際上對于不同層次的用戶來說，其知識水平并非都是專家級的，這些類型的用戶當然也包括內(nèi)部威脅者，他們的決策也并不總是最優(yōu)的和理性的。因此，納什均衡策略不適合于求解此類博弈問題。為此，需要一種新的均衡策略和信息融合的方法來設(shè)計檢測算法。本文提出了一種以博弈論和信息融合理論相結(jié)合的用戶行為預(yù)測算法，采用可數(shù)響應(yīng)性均衡（quantal response equilibrium，QRE）計算博弈策略，并應(yīng)用動態(tài)貝葉斯網(wǎng)絡(luò)（dynamic Bayesian network，DBN）建立模型作為信息獲取與融合的工具。通過QRE 的計算，該算法可描述內(nèi)部威脅者所采用的各種不同策略，提供其行為趨勢的態(tài)勢感知，以支持系統(tǒng)管理決策。

1 博弈論與信息融合的用戶行為預(yù)測算法

相對于外部攻擊者，內(nèi)部威脅者具有合法的訪問授權(quán)，能夠更深地隱藏其惡意行為。針對外部攻擊者的傳統(tǒng)入侵檢測算法（IDS），如果直接應(yīng)用于內(nèi)部威脅者的檢測，則其有效性將會大大降低，并且虛警率（false negatives，false positives）也會升高。為提高檢測精度，除了告警信息（IDS Alerts）以外，新算法還需要更多的人機交互的信息，如系統(tǒng)資源消耗狀態(tài)、系統(tǒng)審計日志記錄等。這些信息的獲取依賴于更多的網(wǎng)絡(luò)系統(tǒng)傳感器（sensors）的部署，然而，這些傳感器的部署、管理、應(yīng)用與維護均受到成本的制約，所以，本文選用一種與算法決策高度相關(guān)的傳感器子集部署的最優(yōu)化方案[22]，將新算法的設(shè)計集中于動態(tài)信息融合問題。

另外，計算信息系統(tǒng)本質(zhì)上可看作是一種狀態(tài)機（state machine），博弈各方通過采用不同的策略進而控制狀態(tài)的轉(zhuǎn)移變化。內(nèi)部威脅者的每一個原子攻擊行為都會導(dǎo)致當前系統(tǒng)的狀態(tài)發(fā)生遷移與變化，這種原子攻擊行為是內(nèi)部威脅者根據(jù)一系列的可能結(jié)果而做出的。他們與系統(tǒng)的交互行為可建立博弈模型，在系統(tǒng)的某一個狀態(tài)，這些行為將會以某個概率驅(qū)動系統(tǒng)向下一個狀態(tài)遷移，這個概率就是系統(tǒng)的狀態(tài)轉(zhuǎn)移概率。為簡化研究，本文假設(shè)惡意攻擊行為的參與方形成一個團隊，視為一個獨立的個體[18-19]，系統(tǒng)方則被視為另外一個獨立個體，最終形成兩方博弈模型。

1.1 用戶行為及其屬性分析

為了進一步研究分析，必須定義并獲得內(nèi)部威脅者的操作屬性（operationattribute），本文根據(jù)會話、資源消耗、文檔訪問、查詢屬性來劃分用戶的操作行為。用戶行為定義為(User behavior)={Session,Resource Consuming,Document access,Query}。然后，根據(jù)此定義進行更細的操作行為劃分，其相互之間的邏輯與劃分用圖1 的3 層模型來表示。這樣的層次劃分在屬性之間產(chǎn)生了操作行為分群的因果關(guān)系，形成了貝葉斯網(wǎng)絡(luò)（Bayesian network）圖。在圖1 中，對每一種用戶行為進行細化，并分配不同的可信度，比如Session 行為，對4 個組成變量進行概率值分配，當4 個變量出現(xiàn)時，用戶賦值的信息將進行計數(shù)統(tǒng)計和概率計算。依次類推，可以對Resource consuming、Document access、Query等行為的變量進行概率賦值，參與概率計算。這樣，通過圖1 的表示方法，根據(jù)行為證據(jù)可以分類、排序用戶行為的可信度。

圖1 用戶行為與屬性的貝葉斯網(wǎng)絡(luò)示意圖Fig.1 Bayesian network diagram of user behavior and attributes

假如，將可信度分為N級，令i∈[1,N]，則可信度的劃分從高到低為[1-β÷(N-1),1]，[1-2×β÷(N-1),1-β÷(N-1)],[1-3×β÷(N-1),1-2×β÷(N-1)],···,[1-i×β÷(N-1),1-(i-1)×β÷(N-1)],···,[1-β,1-(i-2)×β÷(N-1)],[0,α]。其中，α+β=1，α是信任閾值，當計算值小于α 時，系統(tǒng)拒絕為用戶提供服務(wù)并立即終止其訪問。在用戶與系統(tǒng)之間的每次交互后，都要通過貝葉斯網(wǎng)絡(luò)計算節(jié)點的值。

定義1令G表示用戶行為的根節(jié)點，A表示會話節(jié)點，B表示資源消耗節(jié)點，C表示文檔訪問節(jié)點，D表示查詢節(jié)點，I表示它們的葉節(jié)點。

例如，令N=5，α=0.6，則用戶行為的可信度由5 個區(qū)間構(gòu)成：[0.9,1]、[0.8,0.9]、[0.7,0.8]、[0.6,0.7]、[0,0.6]。在這些范圍中：如果G的值落入[0.9,1]或[0.8,0.9]，則認為用戶行為是屬于正常的；當它落入[0.7,0.8]時，用戶可能是操作錯誤，系統(tǒng)將會為其提供修正建議；當落入[0.6,0.7]，用戶行為被懷疑為內(nèi)部威脅者，系統(tǒng)將給出警告；當落入[0,0.6]時，用戶行為喪失可信度，系統(tǒng)將拒絕提供任何服務(wù)并取消其合法訪問權(quán)。

用Gi、Ai、Bi、Ci和Di分別表示各自的范圍，其中1 ≤i≤N，再根據(jù)貝葉斯網(wǎng)絡(luò)理論計算每個節(jié)點的先驗概率，為

式中：ki表示節(jié)點G的值落入Gi(1 ≤i≤N)的次數(shù)；n表示系統(tǒng)與用戶交互的總次數(shù)。該計算方法同樣可用于根節(jié)點的子節(jié)點，其邏輯構(gòu)架如圖2 所示，可以對Gi、Ai、Bi、Ci、Di進行細化，分出相應(yīng)的名稱和屬性，邏輯構(gòu)架中下一級單元出現(xiàn)的組成來決定上一級出現(xiàn)的概率。

圖2 邏輯概率的組成構(gòu)架示意圖Fig.2 Schematic diagram of the composition of the logical probability

在分析用戶行為及其屬性后，再分析基于動態(tài)貝葉斯網(wǎng)絡(luò)的信息融合，以及博弈論模型、納什均衡與可數(shù)性響應(yīng)均衡，最后形成基于博弈論與信息融合的內(nèi)部威脅者行為的預(yù)測算法模型：構(gòu)造動態(tài)貝葉斯網(wǎng)絡(luò)（dynamic Bayesian network，DBN），并通過傳感器節(jié)點采集信息，從而獲得證據(jù)信息，再執(zhí)行DBN 推理算法以確定是否發(fā)生了安全事件，如果發(fā)生了安全事件，則構(gòu)造博弈模型，并在該模型中計算QRE，根據(jù)計算結(jié)果，以概率判斷攻擊方的行為趨勢。該算法模型能預(yù)測內(nèi)部威脅者的行為趨勢，獲得態(tài)勢感知能力，解決內(nèi)部威脅問題。

1.2 基于動態(tài)貝葉斯網(wǎng)絡(luò)的信息融合

信息融合的過程是從各個分散的數(shù)據(jù)源獲取數(shù)據(jù)后，再對其進行關(guān)聯(lián)、合并成為一個相關(guān)結(jié)構(gòu)體以便最終應(yīng)用推理算法進行計算分析，獲得比單個數(shù)據(jù)源更完整、更精確的判斷結(jié)論。信息融合的結(jié)果定義為一個融合函數(shù)Φ=F(S1,S2,···,Sn)。其中：Si(1 ≤i≤n)表示一個傳感器（sensor）獲得的檢測測度；Φ是信息融合的輸出即結(jié)論；融合方法確定了融合函數(shù)F。考慮到用戶的任何操作都是一個動態(tài)的人機交互過程，則動態(tài)貝葉斯網(wǎng)絡(luò)（dynamic Bayesian network，DBN）[30]，即動態(tài)概率網(wǎng)絡(luò)是合適的信息融合方法。融合的輸出 Φ是一個后驗概率，通過DBN 的推理算法計算得到。而且，DBN 作為常規(guī)的測度手段也被用于網(wǎng)絡(luò)安全領(lǐng)域，例如，隱馬爾科夫模型就是一種特殊的DBN。

DBN 是擴展的貝葉斯網(wǎng)絡(luò)，對隨機變量Z1、Z2、Z3、···進行概率分布建模，根據(jù)時間關(guān)系，隨機變量可表示為Zt=(Ut,Xt,Yt)，分別表示狀態(tài)空間模型的輸入、隱變量及輸出變量[30]。一個DBN可定義為(B1,B→)，其中：B1是貝葉斯網(wǎng)絡(luò)，確定了先驗概率P(Z1) ；B→是兩時間片的貝葉斯網(wǎng)絡(luò)（2TBN），也是轉(zhuǎn)移網(wǎng)絡(luò)。通過有向無環(huán)圖（directed acyclic graph，DAG）定義了P(Zt|Zt-1)，為

根據(jù)圖1 的貝葉斯網(wǎng)絡(luò)實例，建立DBN 的融合網(wǎng)絡(luò)結(jié)構(gòu)圖，如圖3 所示。根節(jié)點是融合結(jié)果變量，即用戶行為的信任度。葉子節(jié)點表示傳感器，也是模型中的唯一可觀察變量，通過這些葉子節(jié)點收集各個數(shù)據(jù)源的證據(jù)。在這個DBN 網(wǎng)絡(luò)結(jié)構(gòu)中，除了根節(jié)點和葉子節(jié)點以外，還有2 個中間層，分別是用戶行為屬性節(jié)點及其孩子節(jié)點，它們之間構(gòu)成了因果關(guān)系。

圖3 信息融合的動態(tài)貝葉斯網(wǎng)絡(luò)Fig.3 Dynamic Bayesian network of information fusion

在實際的應(yīng)用中，如噪聲這樣的因素會影響傳感器的檢測精度，這些因素被稱為測度的不確定性。根據(jù)DBN 的理論，在網(wǎng)絡(luò)的中間層信息變量與葉子節(jié)點之間的條件概率能夠量化地表示測度的不確定性。因此，葉子節(jié)點輸入的不確定性被合并到融合系統(tǒng)中，以更新根節(jié)點變量的概率分布。由葉子節(jié)點采集的信息變量的證據(jù)通過DBN 的推理算法進行融合[30]，如在線交叉樹算法。

定義2令 Φ為融合結(jié)果 φk的集合，k=1,2,···,K，令傳感器集合S={S1,S2,···,Sn} 是時刻t所選擇的傳感器子集，其中n∈{1,2,···,m}。節(jié)點A、B、C和D的定義同定義1，一個傳感器Si在時刻t所獲得的觀察證據(jù)表示為Ot(Si)。又令Ot={Ot(S1),Ot(S2),···,Ot(Sn)}表示當前時刻t的信息變量，也是該時刻所獲得的觀察證據(jù)的集合，在時刻t+1傳感器的選擇將以此作為基礎(chǔ)。

信息融合過程有4 個主要步驟：傳感器激活與選擇、獲取觀察證據(jù)、系統(tǒng)狀態(tài)計算、得出相應(yīng)的融合結(jié)果。首先，在系統(tǒng)狀態(tài)接收到證據(jù)Ot后，下一個時間片t+1選擇一個最優(yōu)的傳感器子集激活，然后，繼續(xù)獲得可觀察證據(jù)Ot+1(Si)，i=1,2,···,n，通過應(yīng)用DBN 的在線交叉樹推理算法計算后驗概率P(Φt+1|Ot+1)，最后，得出融合結(jié)果。

在上述過程中，必須解決融合中傳感器獲取信息的不確定性問題。改進的Dempster-Shafer證據(jù)理論[31]可用來解決信息融合中的不確定性問題，但是，該理論實現(xiàn)的方法不能處理信息先驗知識，也不能反映變量之間的時間依賴關(guān)系。所以，本文選擇了另外一種方法：計算互信息。根據(jù)信息論，互信息是2 個隨機變量統(tǒng)計相關(guān)性的測度。模型的關(guān)鍵是要得到融合結(jié)果 Φ和傳感器Si之間的因果關(guān)系，通過計算互信息來達到上述目的。

定義32 個隨機變量X和Y，它們的聯(lián)合概率分布為P(x,y)，邊緣概率分布為P(x)和P(y)，則它們的互信息I(X,Y)定義為：

在理論上，當I(Φ,S)=0時，認為隨機變量 Φ和S是相互獨立的。但是，在實際的應(yīng)用中，給定一個數(shù)據(jù)集D，當計算互信息時，通常采用根據(jù)實驗獲得的變量分布，所以，用一個小的閾值 ε作為判斷依據(jù)。當I(Φ,S)＞ε，稱隨機變量 Φ 和S是相互依賴的且具有因果關(guān)系；反之，則是相互獨立的。

1.3 博弈論模型、納什均衡與可數(shù)性響應(yīng)均衡

博弈論是人工智能、計算理論、電子商務(wù)等科學(xué)領(lǐng)域的組成部分[32]。本文將內(nèi)部威脅者博弈模型定義為一個6 元組Γ=(W,E,H,L,QE,QH)。其中：W是系統(tǒng)狀態(tài)集合；E是內(nèi)部威脅者行為集合；H是系統(tǒng)防御者的行為集合；L是系統(tǒng)狀態(tài)轉(zhuǎn)移函數(shù)；QE和QH分別是內(nèi)部威脅者和系統(tǒng)防御者的支付函數(shù)。

系統(tǒng)狀態(tài)的集合W=[w1,w2,···,wn′]，由很多安全和性能相關(guān)的狀態(tài)組成。例如：主機資源占用、網(wǎng)絡(luò)帶寬使用、主機安全狀態(tài)（正常、有漏洞、受攻擊、被破壞）。系統(tǒng)根據(jù)博弈雙方的行為以一定的概率從一個狀態(tài)轉(zhuǎn)移到另外一個狀態(tài)。內(nèi)部威脅者的行為集合E=[e1,e2,···,em′]，當用戶與系統(tǒng)進行交互時，由內(nèi)部威脅者所采取的行為組成。系統(tǒng)防御的行為集合定義為H=[h1,h2,···,hk′]，hi∈H，1 ≤i≤n′，hi是當攻擊行為ej(ej∈E,1 ≤j≤k′)發(fā)生時，防御者所采取的對應(yīng)行為。

例如，令E=[e1,e2,e3,e4]，H=[h1,h2,h3,h4]，則實例化為：

對攻擊者來說，博弈行為對e4h1是最希望的首要目標，因此，從他的角度將這些博弈行為對按照從高到低排列為

對系統(tǒng)防御者來說，博弈行為對e1h1才是他最希望的首要目標，同樣地，從他的角度將這些博弈行為對按照從高到低排列為

在某一個狀態(tài)，攻防雙方采取的行為將驅(qū)動系統(tǒng)以某個概率從該狀態(tài)向另外的狀態(tài)轉(zhuǎn)移，概率狀態(tài)轉(zhuǎn)移由狀態(tài)轉(zhuǎn)移函數(shù)L描述。狀態(tài)轉(zhuǎn)移函數(shù)L，為

內(nèi)部威脅者的支付函數(shù)QE，為

系統(tǒng)防御者的支付函數(shù)QH，為

當博弈雙方的策略對各自是最佳時，這樣的策略對（博弈行為對）稱為納什均衡。然而在實際的應(yīng)用場景中，并不是所有的攻擊者都會采取理性的行為，他們中相當一部分是遠低于專家級的水平，這些僅具備初級水平的攻擊者更可能會采取非理性的行為，甚至不關(guān)心自己的行為是否已被檢測到[10]。如果直接應(yīng)用納什均衡來求解博弈模型顯然不適合。為此，本文引入了可數(shù)響應(yīng)性均衡（quantal response equilibrium，QRE）[19-21]來計算博弈策略。在博弈論中，它提出了理性程度的邊界概念，用于評估博弈參與方的理性程度。QRE 可以被看作是納什均衡的泛化，能夠解釋博弈參與方偏離均衡路徑的原因[19]。

在本文博弈模型中，假定博弈雙方為內(nèi)部威脅者（攻擊方）與系統(tǒng)防御者（防御方）。令V表示策略集合庫，它是E和H的笛卡爾積，V=E×H。令m′表示E中的策略數(shù)，k′表示H中的策略數(shù)，并且J=m′+k′。為簡單起見，稱攻擊方為i，防御方為d。雙方的混合策略則是基于各自策略的概率分布，令 Δi表示i 的概率分布，Δd表示d 的概率分布，則混合策略庫表示為Δ=Δi×Δd，π ∈Δ。根據(jù)文獻[20]和[21]，定義本文提出的模型的QRE 如下。

定義4令 πl(wèi)j表示博弈參與方的策略概率分布，例如：當l=i，1 ≤j≤m′，πij是i 的策略概率分布；同樣地，當l=d，1 ≤j≤k′，πdj則是d 的策略概率分布。令slj表示策略集合中的元素，l=i，sij=ej，1 ≤j≤m′；l=d，sdj=hj，1 ≤j≤k′。

定義5令(slj,π-l)表示混合策略庫，當博弈方i 或d 以概率l采取策略slj時，另一方則采取策略π，得出計算式，為：

μlj(π)是某個博弈方采取第jth個策略時的支付函數(shù)的期望，而他的對手采取的策略則是 π-l。考慮到擾動對支付函數(shù)的影響，則有

εlj是根據(jù)聯(lián)合概率分布得出的隨機變量，根據(jù)非負的參數(shù) λ的極限分布獨立選取。則QRE 均衡庫定義為

式中：πl(wèi)j是博弈方l選擇行為集合中的策略j的概率；δn′′ 是已排序的用戶行為屬性參數(shù)；λ是理性程度評價參數(shù)。當λ →0，博弈方完全處于非理性狀態(tài)，會以幾乎相同的概率選擇每個策略；當λ →∞時，博弈方則完全處于理性狀態(tài)，此時可以應(yīng)用納什均衡來求解博弈模型。

1.4 用戶行為預(yù)測算法

雖然最佳傳感器集合的選擇會產(chǎn)生計算代價，但是也使得信息融合獲得了最大化的效用。為此，本文定義了效用函數(shù)，它包含2 個部分：信息獲取γ1、對傳感器集合S的代價函數(shù)Ω(S)。令γ2=Ω(S)，γ1和γ2是相互獨立的，則其效用函數(shù)可表示為

其中，a和b是歸一化因子，滿足a+b=1。

根據(jù)上述分析，通過互信息I(Φ,S)和代價Ω(S)獲得融合信息(Φ|Ot)，所以，γ1=I(Φ,S)，R(γ1,γ2)=R(I(Φ,S),Ω(S))，則得出

信息融合的目的是通過應(yīng)用DBN 推理算法計算出P(Φ|Ot)[23]。由于DBN 的推理算法可以采用BN 中的算法，所以，本文選用交叉樹算法作為推理算法。

首先，構(gòu)造DBN 網(wǎng)絡(luò)，有4 層結(jié)構(gòu)，分別是融合結(jié)果層、用戶行為屬性層、信息層以及觀察證據(jù)層。網(wǎng)絡(luò)的CPD 參數(shù)通過先驗概率計算，假定已經(jīng)根據(jù)優(yōu)化方案[22]部署了有限數(shù)量的傳感器節(jié)點，以避免這些節(jié)點的數(shù)量過于龐大，導(dǎo)致DBN 的精確推理成為NP 難題問題的出現(xiàn)。其次，從每一個節(jié)點采集信息。然后，計算互信息I(Φ,S)，通過效用函數(shù)R(I(Φ,S),Ω(S))確定最佳的節(jié)點子集。最后，當獲得了證據(jù)信息后，執(zhí)行DBN 推理算法，確定是否發(fā)生了安全事件。如果發(fā)生了安全事件，則構(gòu)造博弈模型，并在該模型中計算QRE。根據(jù)計算結(jié)果，以概率判斷攻擊方的行為趨勢。具體算法步驟描述如下。

2 實驗與算法分析

實驗環(huán)境是工控機作為硬件環(huán)境，并在Windows 系統(tǒng)安裝監(jiān)視進程作為軟件環(huán)境。實驗參數(shù)包含控制流程結(jié)束用的時間參數(shù)T與QRE 計算的最大迭代次數(shù)N、互信息判定參數(shù)ε和理性程度評價參數(shù)λ 及其結(jié)束值。實驗過程是先在工控機計算系統(tǒng)中部署各個監(jiān)視進程作為傳感器節(jié)點以獲取用戶的操作行為，收集源信息作為證據(jù)，輸入到DBN 模型，然后選定用戶信息判定參數(shù)供融合分析。具體實驗與分析內(nèi)容如下。

在采用仿真實驗驗證算法過程中，假定在計算系統(tǒng)中已經(jīng)部署有傳感器節(jié)點以獲取用戶的操作行為，這些傳感器節(jié)點實際上是各個監(jiān)視進程，收集源信息以供融合分析。圖1 示出了一個BN 模型。本文劃分了4 種行為屬性，以及11 種信息變量，所以至少用4 類監(jiān)視進程來獲取這些證據(jù)信息。并且通過外部模塊接收監(jiān)視進程采集的數(shù)據(jù)并把這些數(shù)據(jù)作為證據(jù)輸入到DBN 模型中。在實驗中：選定互信息判定參數(shù)ε=0.2，則針對4 種攻擊方行為；ε=0.3，則針對5 種攻擊方行為。實驗結(jié)果分別如圖4—7 所示。

圖4 4 種攻擊方行為的QRE 趨勢Fig.4 QRE trends for the four aggressor behaviors

圖4 和圖5 是ε=0.2的計算結(jié)果。當R(I(Φ,S),Ω(S))＞0.2時，建立博弈模型。通過QRE 的計算，獲得了攻擊者的行為趨勢。在圖4 中，直到第8 步，概率都沒有發(fā)生明顯的變化，即沒有表現(xiàn)出內(nèi)部威脅者的攻擊行為。繼續(xù)計算QRE，每一種類型的行為概率和參數(shù) λ都開始逐漸發(fā)生變化。λ的值緩慢增長，攻擊者的行為逐漸趨于理性。正常行為的概率一直增長直到第22 步，然后從第23 步開始逐漸下降，一直到QRE 的計算結(jié)束。其原因是攻擊者企圖將他的非法行為掩蓋在正常行為之下，從而避免被檢測到。然而為了達到最終目的，其攻擊行為一定會發(fā)生。所以，“Mistake”和“Pre-attack”概率持續(xù)下降，而“Attack”的概率則持續(xù)上升。由于“Pre-attack”是前期的試探性行為，也就是通常所說的墊腳石階段，它的概率也會逐漸下降直到QRE 的計算結(jié)束。最終，當參數(shù)λ 達到結(jié)束值點時，“Attack”的概率接近1，而其他的概率則趨近于0。通過QRE 的計算過程，可以清楚地發(fā)現(xiàn)內(nèi)部威脅者的攻擊意圖。另外，從圖5 可以看到防御者的對應(yīng)措施也是動態(tài)變化的。在所有的對應(yīng)措施中，“Continue”的概率是下降最快的一個，“Recommend”和“Warning”則下降得要緩和一些，而“Rejection”卻持續(xù)地上升，說明根據(jù)博弈計算的結(jié)果系統(tǒng)必須采取相應(yīng)的防御措施。

圖5 針對4 種攻擊方行為的4 種防御方行為的QRE 趨勢Fig.5 QRE trends for four defensive behaviors against four aggressor behaviors

圖6 和圖7 是ε=0.3的計算結(jié)果。當R(I(Φ,S),Ω(S))＞0.3，建立博弈模型。由于雙方都有相近似的支付函數(shù)值，所以它們的概率變化特征與前面的實驗結(jié)果類似。在墊腳石階段，“Pre-attack1”和“Pre-attack2”的概率下降趨勢都非常相似，這是因為它們具有相同的支付函數(shù)值。對比圖5 和圖7發(fā)現(xiàn)，它們的曲線特征非常相似，因為對于內(nèi)部威脅者的攻擊來說，無論是1 次墊腳石階段，還是2 次墊腳石階段，對計算系統(tǒng)產(chǎn)生的結(jié)果都是同樣嚴重的，所以必須采取同樣嚴格的措施來制止。

圖6 5 種攻擊方行為的QRE 趨勢Fig.6 QRE trends for five aggressor behaviors

圖7 針對5 種攻擊方行為的4 種防御方行為的QRE 趨勢Fig.7 QRE trends for four defensive behaviors against five aggressor behaviors

對算法產(chǎn)生影響的因素主要位于DBN 精確推理和QRE 的迭代計算。令M表示DBN 每一個離散隱節(jié)點可取的最大數(shù)值，c表示聯(lián)合樹中的最大簇的尺寸，則DBN 精確推理的計算代價為O(Mc)。在本文實際算法中，有限制：M≤6并且c≤4。再令η表示QRE 計算中的迭代次數(shù)，則QRE 迭代計算的代價為O(η)，在實驗中，仍然限制η ≤170。所以，本文所提算法的總復(fù)雜度為O(η×Mc)。值得注意的是，文獻[29]方法到第10 步為止，概率沒有顯著變化，本文方法到第8 步時，概率沒有發(fā)生明顯變化，但后續(xù)均發(fā)生了變化，說明本文方法收斂度提高了[(10-8)/10]×100%=20%。文獻[29]方法直到最后一步，即步驟191，結(jié)果才會改變，而本文QRE計算的迭代次數(shù)，在實驗中仍然限制，按最大值170 計算，精確度提高了[(191-170)/191]×100%=11%，實驗數(shù)據(jù)的迭代次數(shù)在148～170，主要集中在159 附近，因此，取其中間值計算，其計算精度提高約17%。雖然本文算法的復(fù)雜度要稍高于文獻[29]，但是，本文算法收斂度和計算精度均有所提高。

3 結(jié)論與進一步的研究

本文提出了基于博弈論與信息融合的內(nèi)部威脅者行為預(yù)測算法，建立了DBN 模型進行信息融合并避免了傳統(tǒng)IDS 的缺陷，采用聯(lián)合樹算法作為DBN 的精確推理算法，能夠獲得檢測精確度更高的結(jié)果。得到信息融合的結(jié)果以后，建立博弈模型并開始計算QRE，以便獲取博弈雙方的行為演化趨勢的概率。在構(gòu)建博弈模型前，本文算法降低了信息獲取的不確定性，可給予系統(tǒng)防御方有關(guān)內(nèi)部威脅者更精確的行為趨勢，以利于構(gòu)建博弈模型后采取更準確的決策。另一方面，QRE 的計算能夠描述理性的或非理性的博弈參與者的行為變化概率，所以其計算結(jié)果能夠顯示出攻擊方行為的未來趨勢，從而系統(tǒng)防御方能夠獲得內(nèi)部威脅者的態(tài)勢感知。仿真實驗驗證結(jié)果表明，DBN 精確推理算法雖然比其他算法[29]的復(fù)雜度要高，但是其收斂度和精確度均有提高。

下一步的研究工作將是持續(xù)優(yōu)化DBN 網(wǎng)絡(luò)結(jié)構(gòu)和推理算法，以便降低推理算法的復(fù)雜度，提高執(zhí)行性能。對于QRE 的迭代計算，也將持續(xù)優(yōu)化其支付函數(shù)的定義和計算，以獲得更快的收斂性能。