時空維度分析下智能化網絡最優主動防御方法

中圖分類號：D26.4 文獻標志碼：A

0 引言

在數字化時代，網絡空間安全至關重要。時空維度分析為智能化網絡主動防御提供新思路。當前，網絡攻擊隱蔽、傳播快、破壞大，傳統防御手段難以有效預測阻斷，故發展智能化、主動化防御技術，實現事前預防，對保障網絡空間安全意義重大。

章家棟等[1借助對網絡運行狀態的識別，運用蜜罐模型監控、檢測并分析入侵攻擊，明確原子攻擊節點，把已確認遭受攻擊的節點進行轉移。然而，這種方法在實際應用中存在局限性。蜜罐模型在面對大規模、高強度的網絡攻擊時，其誘導和防御能力較低。陳志浩等2以網絡安全博弈圖為依托，獲取防御策略集合，構建攻防博弈模型，綜合考慮攻擊損失程度、攻擊成功率以及折扣系數，得出防御收益的量化結果，將防御策略轉化為線性問題，設定線性規劃約束條件，求解該線性規劃問題，從而實現深層次的網絡安全主動防御。盡管這種方法提高了防御決策的科學性和合理性，但因網絡安全環境具有復雜性和動態性，線性規劃模型難以準確描述攻防雙方的實際行為和策略變化，導致防御效率不高。

針對上述問題，本文融合時空維度分析，從時間和空間多角度把握網絡態勢，動態調整防御策略。其創新在于構建了更貼合實際的防御體系，可精準預判攻擊，實現最優主動防御，提升防御效能。

1時空維度分析下智能化網絡最優主動防御方法的設計

1. 1 智能化網絡安全狀態識別

為描述智能化網絡拓撲結構，引入無向圖 (Q，M，E) 。其中， Q 為交換機節點的集合，即 Q= {q₁，q₂，?，q_n} M 為控制器節點的集合，即 M={m₁ ，m₂，?，m_n} ， E 為交換機節點之間的通信鏈路集合，即

E={e₁，e₂，?，e_n} 。通過分析網絡動態運行過程發現，交換機節點遷移是一種常用的負載均衡技術[3]，即交換機節點會動態地從與某個控制器節點相連，轉變為與另一個控制器節點相連。鑒于上述情況，在著手實施針對網絡攻擊的主動防御措施之前，首要步驟在于精準識別網絡環境在運行階段的安全狀態。

為增強識別精準度，采用K-means聚類算法，剖析網絡運行環境下的異常特征。同時，借助信息熵確定網絡運行出現異常的可能性，計算過程如下[4]：

式中： Ψ_a 為廣延參數， d_i 為攻擊行為 i 發生的概率。 a 扮演著關鍵角色[5]。 Ψ_a 相對于1的偏離程度，能夠精確地展現信息熵數值所具備的非廣延特征。同時， α_a 的具體數值會直接影響到網絡攻擊時長對信息熵的作用程度。當 a>1 時，出現概率較高的事件對信息熵的貢獻更為顯著；當 a?1 時，發生概率較低的事件對信息熵的貢獻會更為顯著。

為精準評估網絡安全狀況、迅速地判定網絡攻擊發生的時間[5]，須結合網絡環境的實際安全運行需求與特性，將參數 Ψ_a 設定為以0.5為間隔，在-2到2的范圍內挑選9個不同的數值。每一個數值都對應著一個中心簇，依據這些數值計算每個節點到對應中心簇的距離。此外，在網絡環境持續運行期間，須依據新生成的簇對中心簇進行動態更新與調整。當采用K-means算法來衡量距離時，選用有序屬性距離的計算方式，表達式如下[6]：

式中： l(x，y) 為某一節點到其對應中心簇之間的距離， y_i 為中心簇坐標， x_i 為節點 i 坐標。

經運算處理后，得出各個節點與中心簇之間的距離數據。隨后，將這些計算結果進行匯總，整理成一個數據集，從而形成一個連續的屬性集合。在后續設計主動防御機制時，這種方法可用于量化節點與中心簇之間的距離。

對于已經劃分好的聚類，需要分別計算每個聚類里樣本點的平均值，把這個平均值當作下一次更新中心簇的參考。基于距離計算結果，判定節點是否遭受攻擊。若計算所得距離超出預設的安全閾值，則該節點可判定為攻擊節點，即表明網絡處于不安全狀態。

1.2時空維度融合網絡博弈MDP分析

在常規的網絡攻防場景下，攻擊者通常借助網絡攻擊或探測等方式獲取目標網絡的相關信息，根據獲取的信息對目標系統的薄弱環節展開分析8并實施滲透操作，找出最具成效的網絡攻擊方案，以實現攻擊效果的最大化。網絡攻擊本身具有一種天然的不對稱性，攻擊者可以主動地去收集目標網絡的信息，在任意時刻發起攻擊，而防御方則相對被動。鑒于此，文章從時間和空間2個維度，對網絡博弈中的MDP展開詳細分析。

在時間維度方面，把時間均勻地分割成若干個間隔，每個間隔的時長設定為 ，此時，時間用 t∈{0 1，2，…表示。為精準呈現多控制器與交換機之間映射關系的動態變化特性，在博弈的起始階段，防御者釋放虛假的防御信號迷惑攻擊者，對攻擊者實施迷惑和約束，隱藏洞察目標系統的真實狀況。攻擊者會根據前期對目標系統開展的探測工作，經過綜合剖析后，得出對防御者類型的初步認知 P₁ 。

在空間維度方面，基于上述章節所識別出的網絡狀態，可將其表示為一個δ維向量V，={??，U，，v_δ }。其中， v_i 用于表示第 i 個交換機節點是否處于正常運行狀態。若該節點能夠正常進行數據轉發，則v_i 取值為1，否則取值為0。按照上述定義，狀態空間會涵蓋 2^δ 個不同的網絡狀態。與此同時，依據防御者所釋放的防御信號，借助貝葉斯法則計算推導，從而得出防御者類型的后驗概率 。基于概率結果，攻擊者能夠精準選擇最為適配的網絡攻擊策略，以此順利完成博弈的初始階段。

在博弈的初始階段落幕之后，防御者會再次發出與當前階段相適配的欺騙性信號，同步選定與之對應的最佳防御策略。而攻擊者則會根據在博弈初始階段所積累的學習經驗，讓防御欺騙信號的效果在一定程度上有所減弱，這種減弱情況用衰減因子 ε_i 來表示。攻擊者會將上一階段推導得出的后驗概率，作為當前階段決策的先驗概率（即 )參考。隨后，他們會結合當前階段所接收到的防御信號，重新計算該階段防御者類型的后驗概率 。基于這一計算結果，攻擊者將選擇最優的攻擊策略來實施網絡攻擊并且會隨著時間的推移不斷重復這一過程。

1.3主動防御機制實現

基于上述網絡博弈MDP分析，充分考慮攻防場景的實際應用需求，建立多階段網絡欺騙博弈模型，對該模型求解，最終達成該網絡主動防御機制的有效輸出[9]。

多階段網絡欺騙博弈模型為 J=(G，N，K，O，R) C，ε，P，Z) ，具體如下：

(1) 為參與博弈的各方所構成的集合， N_p 為防御者， N_A 為攻擊者。

(2) K 為博弈階段數量。用 G(k) 來表示第 k 階段的博弈，其中 k={1，2，?，N} 。

(3) O=(O_D，O_A) 為博弈中所有策略組成的集合。其中， O_D={O_Dj^k 一 1?k?K，1?j?n} 為防御者在第 k 階段可以選擇的防御策略集合， O_A={O_Ai^k 一1?k?K，1?i?c} 為攻擊者在第 k 階段可以選擇的攻擊策略集合。

(4) R=(R_D，R_A) 為博弈參與者的類型集合。其中， R_D={R_Di|i=1，2，?，N} 為防御者的類型集合。基于防御者所具備的欺騙能力差異，可將其劃分為不同類型，且防御者的具體類型屬于其私有信息。 R_?A= （入）代表攻擊者的類型集合。

(5) c 為防御信號所構成的集合，滿足 C=(c_j| j=1，2，?，N) C≠? 。在網絡攻擊防御中，防御信號可能與防御者實際的防御類型不一致，以此來實現對攻擊者的欺騙。

(6) 為攻擊者的博弈信念集合。其中， 為攻擊者在接收到防御信號 c_j 后，結合 計算得出的后驗概率， P_A={P_A(R_D1) ，P_A(R_D2)，?，P_A(R_Dn)} 為攻擊者對防御者類型進行判斷時的先驗概率。

(7) Z=(Z_p，Z_A) 為攻防雙方收益函數的集合。其中， Z_?A 為攻擊者的收益函數， Z_D 為防御方的收益函數。

在多階段網絡攻防博弈進程中，分別計算出每一博弈階段的主動防御策略，這些多階段網絡欺騙博弈的均衡解共同組成了最優主動防御策略。本文以第一階段與第 k 階段的博弈均衡求解為例，進行具體分析。

第一階段博弈均衡求解。

在攻防博弈的起始階段，自然會以概率{P_?A(R_D1)，P_?A(R_D2)，?，P_?A(R_Dn)} 確定防御者的類型。網絡防御方會釋放欺騙信號 c_i ，攻擊方獲取信號后，會重新評估防御方類型的概率 ，基于后驗概率來判定防御方的類型為{RD，RD2，R_Dn! 。同樣，當攻擊方接收到具有欺騙性的防御信號（20 c_i 時，會依據 （2 c_i)} 的后驗概率來判斷防御者的類型為 {R_D1，R_D2，? R_Dn}

因此，運用精煉貝葉斯均衡的求解策略，推導出如下均衡解：

式中： O_D^*(c) 為第一階段的最優防御策略。

第 k 階段博弈均衡求解。

在博弈進程中，鑒于 0<ε<1 ，當博弈階段 k 數量大幅增加，甚至趨近于無限，同時防御者頻繁釋放虛假信號時，會出現 的情況，a為防御者釋放真實防御信號的階段數。在這種情況下，防御者發出的欺騙信號無法對攻擊者起到網絡欺騙的作用，此時博弈階段 G(k) 會轉變為不完全信息靜態博弈。

綜上，通過求出所有 k 個博弈階段的精煉貝葉斯均衡解。將各個博弈階段所確定的最優網絡防御策略進行整合，最終形成的策略組合，即為該攻防博弈過程的最優防御策略。可記為 {(O_D^*(c₁))₁ ?O_D^*(c₂)?₂，(O_D^*(c₃))₃，?，(O_D^*(c_k))_k? 。

2 實驗測試與分析

2.1實驗準備

為證明本文方法的有效性，現進行實驗測試，本次測試構建一個模擬的企業級網絡拓撲，包含文件服務器、路由器、防火墻、服務器集群以及多個終端節點，其拓撲結構如圖1所示。

圖1 網絡拓撲環境

在實驗進程中，由攻擊者操控的僵尸主機數量是固定的。但每次實驗開始前，在上述網絡里的僵尸主機的分布位置會隨機確定。當網絡遭受攻擊時，actor和網絡均借助Pytorch框架開展訓練工作。上述所有實驗均在一臺配備NividiaGeForceRTX5000GPU的工作站上運行，該工作站搭載Intel（R）Core（TM）i9-10920XCPU（主頻為 3.5GHz^? ），擁有64GB內存。

將本文方法與章家棟等[1]方法、陳志浩等[2]方法進行對比，選取防御成功率、入侵時間以及丟包率作為衡量防御性能和網絡性能的主要測試指標。其中，防御成功率作為評估防御性能的關鍵指標，對其進行計算，公式如下：

式中： n_α 為受到攻擊影響的無法運行服務器數量， n_total 為服務器總數量。

2.2 實驗結果與分析

基于上述實驗準備，3種方法的防御成功率測試結果如圖2所示。

圖2防御成功率對比結果

由圖2可知，本文方法的防御成功率遠遠大于其余2種方法。其次，3種方法下的攻擊方入侵時間測試結果如圖3所示。

圖3入侵時間對比結果

由圖3可知，本文方法能顯著延長人侵時間，為防御響應爭取更多時間。以下3種方法的網絡丟包率測試結果如圖4所示。

綜合測試結果，可以證明本文方法是一種有效的網絡安全防御手段。它不僅能夠顯著提升網絡的整體防護能力，還能夠降低網絡攻擊造成的損失。

3結語

在數字化浪潮席卷的當下，網絡空間安全已成為關乎國家、企業與個人利益的核心議題。時空維度分析為智能化網絡主動防御開辟了新路徑，它強調結合時間維度威脅演變與空間維度網絡拓撲結構，旨在構建高效、靈活且前瞻性的網絡防御體系。本文方法在應對大規模攻擊時防御成效更優，能依據時空變化提前布局防御，還能更精準地適應動態威脅。經模擬測試，在同等攻擊強度下，本文方法防御成功率比章家棟等[]方法高 35% ，人侵時間比陳志浩等[2]方法長40% ，能更有效保障網絡安全。未來可進一步細化分析，構建精準模型。

圖4丟包率對比結果

參考文獻

[1]章家棟，王路.基于改進K-means和蜜罐模型的信息安全主動防御方法[J].東北電力技術，2024（12)：51-54.

[2]陳志浩，吳昕銘，曹淼.攻防博弈下深層次網絡安

全主動防御研究［J].計算機仿真，2024（12）：482-486.

[3]趙嘉，谷良，吳瑤，等.擬態防御中基于ANP-BP的執行體異構性量化方法[J].計算機科學，2024（增刊2):953-958.

[4]張婷婷.基于信息熵的網絡入侵檢測系統設計[J].數字通信世界，2024(8):92-94.

[5]王文博，劉絢，林海，等.基于深度學習的電力工控流量應用層報文異常檢測[J].電力系統自動化，2023(11) :69-76.

[6]翁子韻.基于K-Means聚類算法的直流電網換流器故障自動化檢測系統[J].自動化與儀表，2025(4) :86-90.

[7]胡建偉，徐明洋，崔艷鵬.改進的TLS指紋增強用戶行為安全分析能力［J].計算機科學，2020（3）：287-291.

[8]張燾，許長橋，連一博，等.基于深度強化學習的算力網絡主動防御方法[J].中國科學：信息科學，2023(12) :2372-2385.

[9]張博，劉絢，于宗超，等.基于人工智能的電力系統網絡攻擊檢測研究綜述[J].高電壓技術，2022(11) :4413-4426.

(編輯 王永超)

Optimal active defense method of intelligent network under time-space dimension analysis

SHUI Mingxing (State Grid Hubei Electric Power Co.， Ltd.， Enshi Power Supply Company，Enshi 4450O0，China)

Abstract:To mee the current needs of network security，the paper proposes the optimal active defense method for intelligentnetworks basedonspatiotemporal dimensionanalysis.Usingthe K-means clustering algorithm，intelligent identificationof network securitystatus isachieved，and basedon this，the MDP processof network game is analyzed for both time and space dimensions of network status.It establishes a multi-stage network deception game model and solves ittoultimatelyachieveeffectiveoutput of thenetwork’sactivedefense mechanism.Theexperimental results showthat the optimal active defense method for intellgent networks under spatiotemporal dimensionanalysis isan effctive means of network securitydefense，which can not onlysignificantly improve the overall protectioncapabilityof the network， but also reduce the losses caused by network attacks.

Key words: defense system; network attack；spatial dimension; time dimension; cyberspace