擬態(tài)防御馬爾可夫博弈模型及防御策略選擇

張興明，顧澤宇，魏帥，沈劍良

?

擬態(tài)防御馬爾可夫博弈模型及防御策略選擇

張興明，顧澤宇，魏帥，沈劍良

（國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心，河南 鄭州 450002）

網(wǎng)絡(luò)擬態(tài)防御通過冗余執(zhí)行體動態(tài)性、多樣性以及裁決反饋機(jī)制增強(qiáng)了主動防御頑健性，而對于其安全性評估尚缺少有效的分析模型，基于經(jīng)典博弈模型無法滿足于其多狀態(tài)、動態(tài)性特點，不具有通用性等問題，提出擬態(tài)防御Markov博弈模型分析攻防狀態(tài)間的轉(zhuǎn)移關(guān)系以及安全可靠性度量方法，通過非線性規(guī)劃算法計算攻防博弈均衡，以確定考慮防御代價的最佳防御策略。實驗與多目標(biāo)隱藏技術(shù)對比，結(jié)果表明擬態(tài)防御具有更高的防御效果，結(jié)合具體案例給出了針對利用系統(tǒng)漏洞攻擊的具體攻防路徑，驗證了防御策略算法有效性。

網(wǎng)絡(luò)擬態(tài)防御；Markov博弈；冗余執(zhí)行體；防御頑健性；主動防御策略

1 引言

近年來，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，諸如勒索病毒、數(shù)據(jù)泄露等網(wǎng)絡(luò)安全事件頻發(fā)，造成了不可估量的利益損失。下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)已經(jīng)逐步普及，設(shè)計研發(fā)人員將更多的精力集中于性能方面，網(wǎng)絡(luò)安全未受到足夠重視，如2016年思科爆出死亡之Ping IPv6協(xié)議漏洞，極易造成大面積地區(qū)網(wǎng)絡(luò)切斷的情況。另外，在SDN網(wǎng)絡(luò)中，控制與數(shù)據(jù)分離強(qiáng)化了可編程，卻造成了集中控制模式下單點脆弱性，一旦上層控制服務(wù)器受惡意控制，整片的網(wǎng)絡(luò)區(qū)域?qū)⒃诠粽叩目刂品秶鷥?nèi)。網(wǎng)絡(luò)攻擊大多基于系統(tǒng)、協(xié)議已有的漏洞、設(shè)計缺陷等[1]獲取系統(tǒng)權(quán)限，進(jìn)而實施非法行為，而基于目前的軟硬件設(shè)計開發(fā)模式，系統(tǒng)弱點無法完全避免。同時，現(xiàn)有的安全防御技術(shù)如入侵檢測系統(tǒng)、防火墻等對未知威脅，如0-day攻擊收效甚微；另外，高級持續(xù)威脅（APT, advanced persistent treat）能夠針對目標(biāo)進(jìn)行不斷地探測與滲透攻擊，而一旦遭受入侵，系統(tǒng)管理者則需要巨大的開銷進(jìn)行彌補(bǔ)，使網(wǎng)絡(luò)攻擊與防御態(tài)勢嚴(yán)重不對稱?；谥T如此類的問題，移動目標(biāo)防御（MTD, moving target defense）思想作為美國政府提出的“改變游戲規(guī)則”的主動防御技術(shù)，旨在徹底打破被動的網(wǎng)絡(luò)安全局面，通過隨機(jī)化、多樣性實現(xiàn)目標(biāo)的動態(tài)隱藏，以破壞攻擊鏈的連續(xù)性，從而提高攻擊復(fù)雜度[2]。國內(nèi)安全專家提出了擬態(tài)防御（MD, mimic defense）思想，將這種動態(tài)屬性由單模擴(kuò)展到多模，通過裁決機(jī)制增加防御頑健性[3]。

盡管國內(nèi)外對于主動防御技術(shù)的研究已經(jīng)取得了重大的突破與進(jìn)展，但目前相關(guān)技術(shù)仍處于理論研究階段，特別是擬態(tài)防御技術(shù)起步較晚，尚缺少有效的分析驗證模型。對于現(xiàn)階段主動防御技術(shù)有效性分析，多數(shù)的研究者通過經(jīng)典博弈模型描述網(wǎng)絡(luò)攻擊者與防御者的博弈過程，常見的有領(lǐng)導(dǎo)者?跟隨者博弈[4]、單控制隨機(jī)博弈[5]、貝葉斯隨機(jī)博弈[6]以及Stackelberg博弈模型[7]等。經(jīng)典的博弈模型往往是靜態(tài)、單一狀態(tài)的，基于貝葉斯的隨機(jī)博弈模型考慮了攻擊者類型的不確定性，但仍不能滿足主動防御場景中多狀態(tài)、高動態(tài)性的特點。另一方面，現(xiàn)有的主動防御技術(shù)研究多從系統(tǒng)工程的角度描述架構(gòu)問題，導(dǎo)致其防御動態(tài)變換具有盲目性、無指導(dǎo)的特點，往往導(dǎo)致較高的防御代價，未能充分考慮實際應(yīng)用場景做出最佳的防御措施[8]。與本文研究最為接近的是文獻(xiàn)[9]中所提出的移動目標(biāo)防御Markov博弈模型，能夠充分體現(xiàn)動態(tài)防御過程中攻防狀態(tài)的多狀態(tài)、馬爾可夫性，然而文獻(xiàn)[9]中給出的多目標(biāo)隱藏模型并沒有說明多個目標(biāo)間的內(nèi)在關(guān)系，且未給出具體的防御策略，尚不具有通用性。

基于以上對于主動防御技術(shù)的研究現(xiàn)狀，本文針對網(wǎng)絡(luò)擬態(tài)防御技術(shù)建立擬態(tài)Markov博弈模型（MGMD, Markov game model of mimic defense），以分析擬態(tài)防御中動態(tài)性、冗余多樣性以及裁決機(jī)制對安全防御的有效性，基于MGMD模型構(gòu)建非線性規(guī)劃問題確定最佳防御策略，然后通過與多目標(biāo)隱藏模型進(jìn)行對比分析，并以SDN下的安全場景驗證了策略選擇算法。

本文主要貢獻(xiàn)如下。

1) 從擬態(tài)冗余執(zhí)行體容忍性的角度建立Markov博弈模型，通過定義多種狀態(tài)路徑轉(zhuǎn)移描述執(zhí)行體冗余性、多樣性以及裁決反饋機(jī)制對攻防博弈過程的影響。

2) 根據(jù)攻防模型馬爾可夫性建立安全度量模型，以分析擬態(tài)防御系統(tǒng)冗余執(zhí)行體規(guī)模、可調(diào)度空間以及防御容忍度與防御效果的關(guān)系。

3) 針對利用系統(tǒng)已知或未知漏洞的攻擊類型，考慮防御代價設(shè)計相應(yīng)的最優(yōu)主動防御策略確定算法，分析了擬態(tài)防御中多種多樣化、動態(tài)性防御措施的混合策略。

2 網(wǎng)絡(luò)擬態(tài)防御技術(shù)簡介

擬態(tài)防御理念由國內(nèi)鄔江興院士提出，旨在突破傳統(tǒng)網(wǎng)絡(luò)防御手段中靜態(tài)、被動防御的局限，通過動態(tài)、異構(gòu)、冗余思想構(gòu)建主動防御特征[3]，具體防御思想主要體現(xiàn)為以下幾個方面。

多樣性冗余架構(gòu)：結(jié)合擬態(tài)計算思想，擬態(tài)防御系統(tǒng)通過多個元功能相同的執(zhí)行體共同完成任務(wù)處理。執(zhí)行體間以不同等級不同層面的異構(gòu)屬性構(gòu)造系統(tǒng)非相似余度，這種異構(gòu)包括底層硬件、指令集、操作系統(tǒng)、上層應(yīng)用編程語言以及程序多樣化編譯等層面。在同一異構(gòu)冗余執(zhí)行體集中，通過實現(xiàn)盡量多層面的異構(gòu)屬性，以達(dá)到系統(tǒng)所呈現(xiàn)的多樣性特征，最大限度降低整個系統(tǒng)被控制的可能性，提高防御容忍性。

動態(tài)變換機(jī)制：系統(tǒng)動態(tài)特征通過動態(tài)變換機(jī)制實現(xiàn)主動防御動態(tài)屬性，動態(tài)性的體現(xiàn)涵蓋網(wǎng)絡(luò)信息與主機(jī)系統(tǒng)信息的跳變、系統(tǒng)回卷與恢復(fù)等。

多模裁決機(jī)制：冗余執(zhí)行共同完成任務(wù)處理輸出數(shù)據(jù)，通過裁決反饋機(jī)制確定輸出可靠性，同時實現(xiàn)執(zhí)行體的異常檢測與反饋，根據(jù)異常執(zhí)行體的數(shù)量不同可將系統(tǒng)劃分為多級安全工作模式[10]，以提高系統(tǒng)頑健性。

系統(tǒng)工作過程為輸入—處理—輸出模式，如圖1所示，系統(tǒng)輸入數(shù)據(jù)由數(shù)據(jù)分發(fā)器下發(fā)至冗余執(zhí)行體，數(shù)據(jù)處理后由裁決機(jī)制進(jìn)行判決并反饋，反饋的作用主要為根據(jù)當(dāng)前安全等級與異常情況制定主動防御策略，最后輸出正確的處理結(jié)果。擬態(tài)防御范圍為整個數(shù)據(jù)處理模塊，提高輸出可靠性。

基于擬態(tài)防御的應(yīng)用設(shè)計已經(jīng)在多個網(wǎng)絡(luò)基礎(chǔ)設(shè)施平臺進(jìn)行了原型驗證與測試，包括工控擬態(tài)處理器[10]、擬態(tài)Web服務(wù)器[11]、擬態(tài)路由器[12]等。

圖1 擬態(tài)防御系統(tǒng)工作流程

3 擬態(tài)防御攻防模型

3.1 擬態(tài)防御馬爾可夫博弈模型

本節(jié)簡要介紹擬態(tài)防御模型中的攻防策略，并通過馬爾可夫鏈刻畫攻防模型不同階段的系統(tǒng)狀態(tài)。

本文針對基于目前影響最廣泛的已知或未知的系統(tǒng)、協(xié)議的漏洞以及不可控系統(tǒng)后門所造成的威脅情景，攻擊者通過對這些系統(tǒng)弱點利用從而控制目標(biāo)系統(tǒng)。攻擊者為達(dá)到攻擊目的所采取的攻擊策略集涵蓋目前常規(guī)攻擊手段和高級持續(xù)攻擊（APT）等，但不包括針對可用性的資源耗盡型攻擊，如拒絕服務(wù)攻擊等。防御者為阻斷攻擊者攻擊過程、提高系統(tǒng)可靠性及保護(hù)系統(tǒng)安全性而采取一系列的防御策略。根據(jù)前文描述，防御者動態(tài)性因子包括應(yīng)用級、內(nèi)核級、操作系統(tǒng)級以及硬件指令級，根據(jù)實際應(yīng)用場景限制及目前研究進(jìn)展，暫不考慮硬件結(jié)構(gòu)整體切換。

擬態(tài)防御馬爾可夫博弈模型能夠描述多階段多狀態(tài)的攻防博弈過程，針對一個特定的網(wǎng)絡(luò)系統(tǒng)，其所處的系統(tǒng)安全狀態(tài)與時間、攻擊者采取的策略以及防御者采取的策略呈三維關(guān)系?？赡苡玫降姆柸绫?所示。

表1 符號說明

在實際場景中，當(dāng)前的系統(tǒng)狀態(tài)體現(xiàn)為系統(tǒng)的安全屬性，如系統(tǒng)配置、網(wǎng)絡(luò)通信模式以及開放服務(wù)和端口情況等。另一方面，通常情況下系統(tǒng)的狀態(tài)轉(zhuǎn)移很大程度上取決于防御者采取的策略，如端信息跳變、平臺屬性切換等。在本模型中由于安全屬性的重要性，攻擊者所采取的策略同樣具有很大的決定因素，因此狀態(tài)轉(zhuǎn)移需要同時考慮攻防雙方的策略。

圖2 MD攻防過程

假設(shè)1 MGMD博弈模型中時間是離散的，策略動作的執(zhí)行可以看作是在同一時間片內(nèi)進(jìn)行，且由于MGMD模型策略的“隨機(jī)化”特征，攻防雙方僅能基于當(dāng)前狀態(tài)采取策略，而不能對對方的策略進(jìn)行預(yù)測。

3.2 擬態(tài)防御馬爾可夫博弈過程

本模型將攻防雙方所采取的動作作以下說明。

1) 防御者動作：防御者采取無記憶的動作模式，當(dāng)前狀態(tài)所進(jìn)行的防御動作與之前的攻擊者動作、防御者動作以及系統(tǒng)狀態(tài)均沒有概率影響。在博弈過程中，防御者動作具有最優(yōu)先權(quán)限，即當(dāng)防御者采取動作時，系統(tǒng)隨之立即進(jìn)行狀態(tài)的轉(zhuǎn)移，而無視于攻擊者的攻擊進(jìn)程。

2) 攻擊者動作：攻擊者通過弱點探測、漏洞利用以及提權(quán)等網(wǎng)絡(luò)攻擊手段對系統(tǒng)進(jìn)行攻擊?？紤]高級攻擊者類型，模型允許攻擊者在攻擊過程中是有記憶的，記憶內(nèi)容為攻擊者采取過的策略和系統(tǒng)歷史信息，其中，系統(tǒng)歷史信息包括防御者在當(dāng)前執(zhí)行單元所進(jìn)行的端信息與平臺屬性跳變歷史以及系統(tǒng)弱點信息歷史等。

3) 空動作：沒有任何動作的執(zhí)行。模型允許攻防雙方均存在空動作，其原因在于策略的“隨機(jī)性”以及雙方掌握對方的不完全信息。一方面，攻擊動作包括并很大程度上依賴于前期的弱點探測過程，攻擊動作的執(zhí)行并不一定導(dǎo)致系統(tǒng)的崩潰，那么防御者可能將探測數(shù)據(jù)流誤認(rèn)為正常流量而不采取防御措施；另一方面，攻擊者相對擁有更多的主動性與適應(yīng)性，例如潛伏行為。

2) 從防御者的角度，為區(qū)別于MG-MTD模型，分兩種情況討論。

3.3 安全性分析

推導(dǎo)得

3.4 優(yōu)化防御策略選擇

盲目、無指導(dǎo)的主動防御措施往往會導(dǎo)致過高的性能損失，降低防御性價比，優(yōu)化的防御策略需要根據(jù)具體的安全狀態(tài)進(jìn)行有針對性的調(diào)整[14]。本節(jié)分析防御系統(tǒng)如何利用擬態(tài)防御馬爾可夫模型選擇最優(yōu)的防御策略，其中，包括攻防雙方不同策略的收益與代價評估標(biāo)準(zhǔn)，然后針對防御者分析系統(tǒng)最優(yōu)防御策略，并給出策略選擇算法。

擬態(tài)防御范圍主要針對目標(biāo)系統(tǒng)元功能的數(shù)據(jù)處理以及輸出數(shù)據(jù)可信可靠，其跳變與動態(tài)變換過程能夠?qū)ο到y(tǒng)狀態(tài)進(jìn)行刷新，非相似冗余度執(zhí)行體同時保證了元功能可用性。那么對于防御者而言，攻防博弈過程中的收益包括擬態(tài)防御所產(chǎn)生的系統(tǒng)動態(tài)性、冗余體同源關(guān)聯(lián)度的降低、容忍度（輸出可信度）的提高以及可利用攻擊表面的刷新，而安全性的提高意味著可能存在的系統(tǒng)性能的下降或功耗的增加，由于冗余執(zhí)行與擬態(tài)裁決機(jī)制，忽略動態(tài)變換過程對元功能可用性的影響；另一方面，從攻擊者的角度，考慮高級攻擊者能夠?qū)δ繕?biāo)系統(tǒng)進(jìn)行充分的弱點挖掘與滲透，那么針對防御系統(tǒng)的攻擊過程會隨系統(tǒng)的動態(tài)變化而進(jìn)行策略進(jìn)化[15]，這就要求防御系統(tǒng)做出針對特定攻擊向量的策略，本文定義可利用攻擊表面為攻擊者為滲透目標(biāo)系統(tǒng)所能夠利用的攻擊資源包括系統(tǒng)弱點和網(wǎng)絡(luò)路徑等。本文不考慮攻擊者的攻擊行為本身的消耗，即認(rèn)為其可利用攻擊資源不受限制，則攻擊者的收益來源為目標(biāo)系統(tǒng)可利用攻擊表面的增加，同時本模型認(rèn)為攻擊者是適應(yīng)型、有記憶的，對已利用攻擊表面能夠進(jìn)行相似偵測與同源攻擊，那么同防御者收益對應(yīng)的冗余體相似性的增加作為攻擊者的攻擊收益。

定理2 MGMD博弈過程必然存在納什均衡策略。

證明 MGMD為二維馬爾可夫博弈過程，其狀態(tài)是有限的（+1個狀態(tài)），且攻防雙方采取有限的混合策略，那么根據(jù)相關(guān)研究[17-18]可證MGMD存在納什均衡策略。

根據(jù)以上分析，現(xiàn)給出基于MGMD博弈過程的最優(yōu)防御策略選擇算法OSSA，詳細(xì)過程如下所示。

輸入 網(wǎng)絡(luò)與系統(tǒng)配置參數(shù)

輸出 MGMD最佳防御策略

Begin

對攻擊者攻擊類型、防御系統(tǒng)脆弱性進(jìn)行評估，建立可用的資源集合、威脅集合；

根據(jù)系統(tǒng)信息與威脅模型構(gòu)造攻防策略集；

輸入MGMD狀態(tài)轉(zhuǎn)移概率，建立MGMD博弈模型；

計算攻防雙方動作收益；

輸出最優(yōu)策略；

End

4 基于SDN的MGMD框架設(shè)計

SDN分離了網(wǎng)絡(luò)數(shù)據(jù)與控制，并將控制權(quán)限集中于控制服務(wù)器?？刂品?wù)器對外分為南向接口與北向接口，北向接口連接網(wǎng)絡(luò)定制功能的應(yīng)用服務(wù)器，南向接口連接交換機(jī)客戶端，來自南向接口的網(wǎng)絡(luò)流請求經(jīng)過控制服務(wù)器處理下發(fā)至交換機(jī)產(chǎn)生特定的網(wǎng)絡(luò)流規(guī)則，這種輸入、處理、輸出的工作模式吻合擬態(tài)防御系統(tǒng)的防御條件。因此，MGMD基于SDN中控制服務(wù)器設(shè)計的防御框架如圖4所示，框架包括網(wǎng)絡(luò)狀態(tài)監(jiān)測模塊、防御決策模塊、裁決機(jī)制以及冗余執(zhí)行體。

圖4 基于SDN的MGMD框架

MGMD框架各個組成模塊作用及工作過程如下：網(wǎng)絡(luò)狀態(tài)監(jiān)測模塊負(fù)責(zé)監(jiān)聽當(dāng)前網(wǎng)絡(luò)狀態(tài)，并接收來自南向接口的網(wǎng)絡(luò)數(shù)據(jù)請求；冗余執(zhí)行體負(fù)責(zé)處理網(wǎng)絡(luò)請求并輸出；裁決機(jī)制對冗余執(zhí)行體的輸出數(shù)據(jù)進(jìn)行一致性判決，輸出判決后的數(shù)據(jù)并將冗余執(zhí)行體的裁決結(jié)果反饋到防御決策模塊；防御決策模塊同時接收來自網(wǎng)絡(luò)監(jiān)測模塊與裁決機(jī)制的信息，根據(jù)網(wǎng)絡(luò)安全狀態(tài)與反饋信息確定具體的主動防御策略，并將這一控制流下發(fā)至冗余執(zhí)行體進(jìn)行防御實施。

5 實驗驗證與分析

為驗證擬態(tài)防御馬爾可夫博弈模型以及防御策略選擇算法的有效性，本文進(jìn)行了相應(yīng)的實驗與分析。

5.1 MGMD模型有效性與安全性分析

根據(jù)本文第3節(jié)分析，MGMD模型體現(xiàn)擬態(tài)防御系統(tǒng)中攻防雙方博弈過程，其中，攻擊者以到達(dá)狀態(tài)作為攻擊的最終目的，由于MGMD狀態(tài)馬爾可夫性，具體狀態(tài)轉(zhuǎn)移依賴于攻防雙方所采取的當(dāng)前策略。為更好地刻畫模型安全性，以MCMC（馬爾可夫鏈蒙特卡洛）方法對博弈過程進(jìn)行仿真，仿真平臺為Matlab R2014a。

實驗仿真選擇多目標(biāo)隱藏[9]與擬態(tài)防御進(jìn)行對比，其中，多目標(biāo)隱藏中目標(biāo)數(shù)量為3，擬態(tài)防御實驗參數(shù)中，冗余執(zhí)行體數(shù)量為5，執(zhí)行體可調(diào)度空間為13，攻擊者達(dá)到攻擊目的所需控制的目標(biāo)數(shù)量均為=3，即防御容忍度為3且攻防雙方對參與博弈進(jìn)行的泊松過程參數(shù)相等，采取動作互斥且概率均為0.5，在實際場景中攻擊者與防御者博弈過程可能是瞬時的，仿真過程定義每次狀態(tài)發(fā)生過程出現(xiàn)在一個時間片內(nèi)。本文對500個狀態(tài)進(jìn)行抽樣，詳細(xì)狀態(tài)轉(zhuǎn)移過程結(jié)果如圖5所示。

根據(jù)前文描述，系統(tǒng)初始狀態(tài)即狀態(tài)0為未受到任何攻擊的狀態(tài)，攻防博弈過程從狀態(tài)0開始，經(jīng)過多次狀態(tài)轉(zhuǎn)移達(dá)到狀態(tài)為攻擊完成狀態(tài)。數(shù)據(jù)表明多目標(biāo)隱藏M3-MTD過程更容易進(jìn)入狀態(tài)，而擬態(tài)防御MGMD過程在經(jīng)歷了59次狀態(tài)轉(zhuǎn)移之后首次到達(dá)狀態(tài)，且在全局分布中較為稀疏；圖6描述了兩種馬爾可夫博弈過程狀態(tài)分布，可以看出多目標(biāo)隱藏博弈狀態(tài)多集中于中間狀態(tài)，狀態(tài)0與狀態(tài)數(shù)量相當(dāng)，而MGMD則集中于狀態(tài)0，狀態(tài)分布明顯少于M3-MTD，那么從安全防御的角度，狀態(tài)分布越集中于狀態(tài)0，系統(tǒng)防御有效性越優(yōu)，相比多目標(biāo)隱藏，擬態(tài)防御模型中攻擊者控制多個目標(biāo)攻擊完成的概率更小。

圖5 狀態(tài)轉(zhuǎn)移過程

圖6 MGMD與M3-MTD狀態(tài)分布

5.2 網(wǎng)絡(luò)實例分析

為分析MGMD模型攻防雙方的具體行為策略與博弈收益，以確定最優(yōu)防御策略，驗證第4節(jié)策略選擇算法的有效性，本節(jié)實驗仿真通過一個具體的網(wǎng)絡(luò)拓?fù)涮接懸陨蠁栴}。

圖7所示為軟件定義數(shù)據(jù)中心網(wǎng)絡(luò)部分網(wǎng)絡(luò)節(jié)點拓?fù)洌刂品?wù)器作為擬態(tài)防御措施的應(yīng)用目標(biāo)，采取多個控制服務(wù)器作為冗余執(zhí)行體協(xié)同工作，同時攻擊者可以通過網(wǎng)絡(luò)等途徑訪問控制服務(wù)器。應(yīng)用服務(wù)器作為控制服務(wù)器的應(yīng)用提供者。

圖7 實驗網(wǎng)絡(luò)拓?fù)?/p>

威脅模型：本文假定攻擊者能夠?qū)嵤└呒壋掷m(xù)威脅，能夠繞過網(wǎng)絡(luò)防火墻滲透到數(shù)據(jù)中心服務(wù)器集群，通過入侵控制服務(wù)器篡改控制器輸出數(shù)據(jù)進(jìn)而改變網(wǎng)絡(luò)流規(guī)則，達(dá)到控制目標(biāo)網(wǎng)絡(luò)的目的。

擬態(tài)防御范圍：控制服務(wù)器集群，不包括控制器北向連接的應(yīng)用數(shù)據(jù)服務(wù)器等。

表2 系統(tǒng)配置參數(shù)及弱點信息掃描結(jié)果

表3 攻防雙方策略集合

表4 狀態(tài)轉(zhuǎn)移概率

攻防過程中，攻擊者能夠?qū)ο到y(tǒng)弱點進(jìn)行掃描、發(fā)現(xiàn)，即擬態(tài)防御系統(tǒng)不能有效阻止全部的探測行為，包括針對網(wǎng)絡(luò)的掃描，IP端口、服務(wù)開放情況，針對主機(jī)的掃描，操作系統(tǒng)類型版本、系統(tǒng)漏洞等。攻擊者每一次動作僅能對已掃描到的一個系統(tǒng)弱點進(jìn)行利用，且對于已獲取的系統(tǒng)弱點不再重復(fù)探測，那么MGMD的博弈過程不分析攻擊鏈的掃描探測階段，而側(cè)重于針對漏洞弱點的系統(tǒng)防御頑健性，因此在實際部署的網(wǎng)絡(luò)場景中，由于探測的復(fù)雜性，這種攻擊成功率要低得多。防御手段主要為系統(tǒng)主動防御方法如ASLR、ISR以及其他提高系統(tǒng)多樣性方式等，MGMD博弈為不完全信息非零和博弈，那么防御者對攻擊者當(dāng)前的策略是未知的，因此防御動作存在空操作NOP。綜上列出針對漏洞的主要攻防策略如表3所示，CVSS是對系統(tǒng)弱點類型、攻擊復(fù)雜度以及所需權(quán)限等屬性進(jìn)行量化分析的工具[19]，實驗使用CVSS 3.0對掃描到的系統(tǒng)漏洞進(jìn)行評估，而相應(yīng)的攻擊成功概率在文獻(xiàn)[20]中已經(jīng)進(jìn)行了研究。本文以此可以得出MGMD狀態(tài)轉(zhuǎn)移概率如表4所示。

在攻防雙方收益量化分析方面，通?；谔囟愋偷南到y(tǒng)弱點進(jìn)行具體評估，主要包括漏洞發(fā)生頻率、攻擊復(fù)雜度，對于防御方通常考慮防御回報以及防御代價等，結(jié)合相關(guān)研究[20]以及擬態(tài)防御特殊性，根據(jù)收益函數(shù)計算各狀態(tài)下的雙方收益矩陣如表5所示。然后通過Matlab中的非線性規(guī)劃工具集得出均衡策略與收益如表6所示。

表5 收益矩陣

表6 均衡策略與雙方收益

圖8 MGMD攻防狀態(tài)轉(zhuǎn)移

圖9 單執(zhí)行體攻防狀態(tài)轉(zhuǎn)移

防御時效性分析：主動防御技術(shù)中如何選擇防御動作執(zhí)行頻率以提高時效性是需要考慮的一個關(guān)鍵問題。由上文所述，對于單執(zhí)行體防御系統(tǒng)而言，例如基于網(wǎng)絡(luò)地址跳變的MTD技術(shù)，防御動作跳變頻率越高，對攻擊者所呈現(xiàn)的動態(tài)性越大，那么外部攻擊者對該系統(tǒng)的滲透攻擊難度就越大；與此不同的是，MGMD模型的攻防過程中存在單個執(zhí)行體被攻擊者控制的狀態(tài)，而由于異構(gòu)冗余執(zhí)行體結(jié)構(gòu)，攻擊者需要攻擊足夠多的執(zhí)行體才能實現(xiàn)對整個系統(tǒng)的控制。那么，MGMD模型對防御時效性的要求要弱于單執(zhí)行體動態(tài)防御。

局限性分析：案例分析了擬態(tài)防御過程中對動態(tài)性策略的指導(dǎo)性，而對于具體的多樣化方向未能體現(xiàn)；案例僅選擇對提取權(quán)限均有直接利用價值的系統(tǒng)弱點；狀態(tài)轉(zhuǎn)移圖未能體現(xiàn)所有的攻防交互過程，一些低收益的策略沒有發(fā)生，因而不具完全性，例如由于防御者掌握不完全信息，狀態(tài)自轉(zhuǎn)移路徑中存在防御者采取非恰當(dāng)防御動作的情況；對于多個執(zhí)行體共有漏洞，狀態(tài)圖僅顯示了兩次利用該漏洞實現(xiàn)多個目標(biāo)控制，而未能體現(xiàn)出其更高級的協(xié)同攻擊特點。

總之，從防御的角度講，動態(tài)性策略不能采取盲目的隨機(jī)化，均衡策略體現(xiàn)了最大化防御收益的策略選擇，從而使防御更具針對性、有效性。

6 結(jié)束語

網(wǎng)絡(luò)擬態(tài)防御技術(shù)通過其冗余執(zhí)行體多樣性、動態(tài)性以及裁決反饋機(jī)制增強(qiáng)了防御頑健性，而對于其安全性評估尚缺少有效的分析模型?，F(xiàn)有的基于博弈論的分析方法多具有靜態(tài)性局限，本文建立擬態(tài)防御Markov博弈模型，通過定義多種狀態(tài)路徑轉(zhuǎn)移描述執(zhí)行體冗余性、多樣性以及裁決反饋機(jī)制對攻防博弈過程的影響，并根據(jù)攻防模型馬爾可夫性質(zhì)建立安全度量模型，以分析擬態(tài)防御系統(tǒng)冗余執(zhí)行體規(guī)模、可調(diào)度空間以及防御容忍度與防御效果的關(guān)系，結(jié)合擬態(tài)防御特點將經(jīng)典攻防博弈模型擴(kuò)展為動態(tài)性、多階段的Markov博弈模型。最后，考慮主動防御對性能的損耗，通過非線性規(guī)劃解決攻防博弈混合策略選擇問題。通過與移動目標(biāo)防御中多目標(biāo)隱藏技術(shù)對比驗證了擬態(tài)防御具有更高的安全性，并基于SDN安全場景給出防御策略確定方案。

本文主要針對基于系統(tǒng)、協(xié)議漏洞的攻擊類型，具有一定的通用性。下一步的工作主要解決兩個方面的問題：一方面，擬態(tài)防御技術(shù)具有較為復(fù)雜的防御方案，文中所提的基于防御容忍度的狀態(tài)轉(zhuǎn)移尚為簡單籠統(tǒng)，無法完全反映冗余執(zhí)行體具體的動態(tài)防御路徑；另一方面，針對具體的網(wǎng)絡(luò)攻擊行為，其在目標(biāo)系統(tǒng)所呈現(xiàn)的攻擊痕跡通常具有一定的特征，例如具體到系統(tǒng)某一特定層面上，而這一特征可以被裁決反饋機(jī)制捕獲從而分析出攻擊類型，本模型策略確定方案未充分體現(xiàn)擬態(tài)裁決反饋機(jī)制的作用。

[1] SUBRAHMANIAN V S, OVELGONNE M, DUMITRAS T, et al. The global cyber-vulnerability report[M]. Springer International Publishing, 2015.

[2] OKHRAVI H, HOBSON T, BIGELOW D, et al. Finding focus in the blur of moving-target techniques[J]. IEEE Security & Privacy Magazine, 2014, 12(2):16-26.

[3] 鄔江興. 網(wǎng)絡(luò)空間擬態(tài)防御研究[J]. 信息安全學(xué)報, 2016, 1(4): 1-10.

WU J X. Research on cyber mimic defense[J]. Journal of Cyber Security, 2016, 1(4):1-10.

[4] PRAKASH A, WELLMAN M P. empirical game-theoretic analysis for moving target defense[C]//ACM Workshop on Moving Target Defense. 2015: 57-65.

[5] ELDOSOUKY A R, SAAD W, NIYATO D. Single controller stochastic games for optimized moving target defense[C]//ICC 2016 IEEE International Conference on Communications. 2016:1-6.

[6] FARHANG S, MANSHAEI M H, ESFAHANI M N, et al. A dynamic bayesian security game framework for strategic defense mechanism design[M]//Decision and Game Theory for Security. Springer International Publishing, 2014:319-328.

[7] KAMBHAMPATI S, KAMBHAMPATI S, KAMBHAMPATI S, et al. Moving target defense for web applications using bayesian stackelberg games[C]//International Conference on Autonomous Agents & Multiagent Systems. 2016:1377-1378.

[8] LEI C, MA D H, ZHANG H Q. Optimal strategy selection for moving target defense based on markov game[J]. IEEE Access, 2017, PP(99):1-1.

[9] MALEKI H, VALIZADEH S, KOCH W, et al. Markov modeling of moving target defense games[C]//ACM Workshop on Moving Target Defense. 2016:81-92.

[10] 魏帥, 于洪, 顧澤宇, 等. 面向工控領(lǐng)域的擬態(tài)安全處理機(jī)架構(gòu)[J]. 信息安全學(xué)報, 2017, 2(1):54-73.

WEI S, YU H, GU Z Y, et al. Architecture of mimic security processor for industry control system[J]. Journal of Cyber Security, 2017, 2(1): 54-73.

[11] 仝青, 張錚, 張為華, 等. 擬態(tài)防御Web服務(wù)器設(shè)計與實現(xiàn)[J]. 軟件學(xué)報, 2017, 28(4):883-897.

TONG Q, ZHANG Z, ZHANG W H, et al. Design and implementation of mimic defense Web server[J]. Journal of Software, 2017, 28(4): 883-897.

[12] 馬海龍, 伊鵬, 江逸茗, 等. 基于動態(tài)異構(gòu)冗余機(jī)制的路由器擬態(tài)防御體系結(jié)構(gòu)[J]. 信息安全學(xué)報, 2017, 2(1):29-42.

MA H L, YI P, JIANG Y M, et al. Dynamic heterogeneous redundancy based router architecture with mimic defense[J].Journal of Cyber Security, 2017,2(1):29-42.

[13] CARTER K M, RIORDAN J F, OKHRAVI H. A game theoretic approach to strategy determination for dynamic platform defenses[C]//ACM Workshop on Moving Target Defense. 2014:21-30.

[14] WANG H, LI F, CHEN S. Towards cost-effective moving target defense against DDoS and covert channel attacks[C]//ACM Workshop on Moving Target Defense. 2016:15-25.

[15] WINTERROSE M L, CARTER K M. Strategic evolution of adversaries against temporal platform diversity active cyber defenses[C]// Proceedings of the Agent-Directed Simulation Symposium at the Spring Simulation Multi-conference. 2014: 68-76.

[16] DORASZELSKI U, ESCOBAR J F. A theory of regular Markov perfect equilibria in dynamic stochastic games: genericity, stability, and purification[J]. Theoretical Economics, 2010, 5(3): 369-402.

[17] BORKOVSKY R N, DORASZELSKI U, KRYUKOV Y. A user’s guide to solving dynamic stochastic games using the homotopy method[J]. Operation Research, 2010, 58(4): 1116-1132

[18] 陳小軍, 方濱興, 譚慶豐, 等. 基于概率攻擊圖的內(nèi)部攻擊意圖推斷算法研究[J]. 計算機(jī)學(xué)報, 2014, 37(1): 62-72

CHEN X J, FANG B X, TAN Q F, et al. Inferring attack Intent of malicious insider based on probabilistic attack graph model[J]. Journal of Computer, 2014, 37(1): 62-72.

[19] SINGH U K, JOSHI C. Quantitative security risk evaluation using cvss metrics by estimation of frequency and maturity of exploit[C]// Proceedings of the World Congress on Engineering and Computer Science (WCECS2016). 2016.

[20] 姜偉, 方濱興, 田志宏, 等. 基于攻防博弈模型的網(wǎng)絡(luò)安全測評和最優(yōu)主動防御[J]. 計算機(jī)學(xué)報, 2009, 32(4): 817-827.

JIANG W, FANG B X, TIAN Z H, et al. Evaluating network security and optimal active defense based on attack-defense game model[J]. Journal of Computer, 2009, 32(4): 817-827.

Markov game modeling of mimic defense and defense strategy determination

ZHANG Xingming, GU Zeyu, WEI Shuai, SHEN Jianliang

National Digital Switching System Engineering & Technological R&D Center, Zhengzhou 450002, China

Network mimic defense technology enhances the robustness of active defense through the redundancy, dynamic and diversity as well as the decision feedback mechanism. However, little work has been done for its security assessment and existing classic game models are not suitable for its dynamic characteristics and lack of universality. A Markov game model was proposed to analyze the transfer relationship between offensive and defensive status and the measurement method of safety and reliability of mimic defense, and calculated the offensive and defensive game equilibrium through non-linear programming algorithm to determine the best defensive strategy considering performance. Experiments give a comparison with the multi-target hiding technique and shows that the mimic defense has a higher defensive effect. Combining with the specific network case, the specific attack and defense path for the exploit of the system vulnerability is given and the effectiveness of the defense strategy algorithm is verified.

network mimic defense, Markov game, redundant execution units, defense robustness, active defense strategy

TP393

A

10.11959/j.issn.1000-436x.2018223

張興明（1963?），男，河南新鄉(xiāng)人，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心教授，主要研究方向為擬態(tài)安全、高性能計算等。

顧澤宇（1993?），男，遼寧沈陽人，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心碩士生，主要研究方向為網(wǎng)絡(luò)主動防御、網(wǎng)絡(luò)安全等。

魏帥（1984?），男，河南南陽人，博士，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心講師，主要研究方向為擬態(tài)安全、嵌入式計算等。

沈劍良（1982?），男，浙江德清人，博士，國家數(shù)字交換系統(tǒng)工程技術(shù)研究中心講師，主要研究方向為可重構(gòu)計算等。

2017?12?06；

2018?09?22

國家自然科學(xué)基金資助項目（No.61572520, No.61521003）；國家科技重大專項基金資助項目（No.2016ZX01012101）

The National Natural Science Foundation of China (No.61572520, No.61521003), The National Science and Technology Major Project of China (No.2016ZX01012101)