面向網(wǎng)絡(luò)實(shí)時(shí)對(duì)抗的動(dòng)態(tài)防御決策方法

冷強(qiáng)，楊英杰，常德顯，潘瑞萱，蔡英，胡浩

面向網(wǎng)絡(luò)實(shí)時(shí)對(duì)抗的動(dòng)態(tài)防御決策方法

冷強(qiáng)1，楊英杰1，常德顯1，潘瑞萱1，蔡英2，胡浩1

（1. 信息工程大學(xué)，河南 鄭州 450001;2. 河南省理工學(xué)校，河南 鄭州 450001）

如何基于網(wǎng)絡(luò)外在威脅實(shí)施防御決策是構(gòu)建網(wǎng)絡(luò)信息防御體系的核心問題，針對(duì)實(shí)時(shí)攻擊帶來的動(dòng)態(tài)威脅進(jìn)行科學(xué)有效的防御決策是構(gòu)建網(wǎng)絡(luò)動(dòng)態(tài)應(yīng)急防御體系的關(guān)鍵。針對(duì)動(dòng)態(tài)防御決策問題，首先基于屬性攻擊圖理論設(shè)計(jì)了一種網(wǎng)絡(luò)生存性博弈模型，利用攻防矩陣表示攻防策略和路徑，并給出了攻防強(qiáng)度和網(wǎng)絡(luò)生存性量化方法；其次提出了單步與多步的攻、防策略支出計(jì)算方法，并基于攻防策略支出給出防御決策；最后通過實(shí)驗(yàn)進(jìn)行防御決策技術(shù)的有效性驗(yàn)證。

屬性攻擊圖；網(wǎng)絡(luò)生存性；網(wǎng)絡(luò)攻防對(duì)抗；攻防強(qiáng)度

1 引言

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大、復(fù)雜性的增加和攻擊技術(shù)的不斷發(fā)展，絕對(duì)防止網(wǎng)絡(luò)遭受攻擊和入侵的威脅是不可能實(shí)現(xiàn)的，大量的網(wǎng)絡(luò)關(guān)鍵服務(wù)型節(jié)點(diǎn)需要滿足網(wǎng)絡(luò)遭受攻擊時(shí)，在實(shí)施防御措施后能夠提供足夠的網(wǎng)絡(luò)服務(wù)，滿足網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。因此，網(wǎng)絡(luò)攻防雙方在圍繞網(wǎng)絡(luò)的生存性實(shí)施攻防策略[1-2]，網(wǎng)絡(luò)在攻防過程中生存與否是分析防御策略對(duì)系統(tǒng)安全有效和無效的關(guān)鍵。

網(wǎng)絡(luò)狀態(tài)攻擊圖[3-5]是將網(wǎng)絡(luò)每一時(shí)刻的安全狀態(tài)作為一個(gè)節(jié)點(diǎn)進(jìn)行網(wǎng)絡(luò)攻防動(dòng)作的分析。但在時(shí)間維度的推移下，網(wǎng)絡(luò)狀態(tài)是一個(gè)不斷轉(zhuǎn)變的過程，且存在往原有狀態(tài)轉(zhuǎn)變的情況，因此利用網(wǎng)絡(luò)狀態(tài)攻擊圖對(duì)攻擊動(dòng)作進(jìn)行處理時(shí)，存在狀態(tài)空間爆炸的問題。為了解決狀態(tài)攻擊圖存在的問題，研究人員提出屬性攻擊圖理論研究網(wǎng)絡(luò)動(dòng)態(tài)安全。屬性攻擊圖是將網(wǎng)絡(luò)中的條件或?qū)傩宰鳛楣魣D中的一個(gè)節(jié)點(diǎn)，因此在研究網(wǎng)絡(luò)安全時(shí)，能夠?qū)⒐羰录_到網(wǎng)絡(luò)中的某個(gè)節(jié)點(diǎn)，并對(duì)其進(jìn)行分析研究。因此近年來屬性攻擊圖成為網(wǎng)絡(luò)安全的主要方法[6-8]。

在面對(duì)攻擊行為時(shí)，大部分網(wǎng)絡(luò)安全人員為了維持網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)，需要采取一系列的防御措施，使網(wǎng)絡(luò)得以生存。近年來博弈論逐漸成為研究網(wǎng)絡(luò)安全防御決策的一個(gè)主流方法。文獻(xiàn)[9]研究網(wǎng)絡(luò)在攻防過程中的可生存性，量化分析了網(wǎng)絡(luò)的安全狀態(tài)；文獻(xiàn)[2,10]構(gòu)建動(dòng)態(tài)網(wǎng)絡(luò)攻防博弈模型開展網(wǎng)絡(luò)防御決策研究；文獻(xiàn)[11]將選擇攻防策略的行為看作一個(gè)多階段的博弈過程，動(dòng)態(tài)分析選擇的網(wǎng)絡(luò)安全策略對(duì)網(wǎng)絡(luò)系統(tǒng)安全的影響；文獻(xiàn)[12]基于重復(fù)的攻防博弈理論研究無線網(wǎng)絡(luò)抗DDoS攻擊的方法；文獻(xiàn)[13]構(gòu)建了微分攻防博弈模型，給出了鞍點(diǎn)策略的計(jì)算方法和最優(yōu)策略選取算法；文獻(xiàn)[14]基于有限理性的不完全信息博弈模型，量化網(wǎng)絡(luò)攻防雙方的收益，研究動(dòng)態(tài)、不斷演化的網(wǎng)絡(luò)攻防雙方的最優(yōu)策略集選取方法。但在上述研究中，都是將網(wǎng)絡(luò)狀態(tài)作為博弈結(jié)果，因此，每個(gè)策略是在該時(shí)刻的一個(gè)策略集，網(wǎng)絡(luò)安全人員在采取網(wǎng)絡(luò)防御措施時(shí)，不能很好地理解網(wǎng)絡(luò)安全狀態(tài)與防御措施之間的關(guān)系。

因此，本文提出了基于屬性攻擊圖的網(wǎng)絡(luò)生存性博弈策略分析研究的方法，量化攻防動(dòng)作強(qiáng)度和網(wǎng)絡(luò)安全狀態(tài)，為網(wǎng)絡(luò)安全管理員提供實(shí)施單點(diǎn)防御措施的建議。本文首先利用矩陣的方法表示網(wǎng)絡(luò)節(jié)點(diǎn)的地址、攻擊動(dòng)作和攻擊路徑；其次量化攻防策略對(duì)網(wǎng)絡(luò)系統(tǒng)生存性的影響；然后根據(jù)相應(yīng)攻防策略的支出，計(jì)算最優(yōu)防御策略，為網(wǎng)絡(luò)安全管理人員提供更易于理解、合理的防御決策。

2 網(wǎng)絡(luò)生存性博弈模型的構(gòu)建

博弈模型包含博弈者、攻防策略、攻防收益等要素，在基于網(wǎng)絡(luò)生存性度量網(wǎng)絡(luò)安全狀態(tài)的基礎(chǔ)上，加入了網(wǎng)絡(luò)生存性度量值，并且量化了攻防策略對(duì)網(wǎng)絡(luò)安全的影響。下面給出網(wǎng)絡(luò)生存性博弈模型的定義。

為了量化分析攻防行為對(duì)網(wǎng)絡(luò)系統(tǒng)的影響程度，本文采用林肯實(shí)驗(yàn)室攻防行為數(shù)據(jù)庫[15]中的攻防動(dòng)作強(qiáng)度分析網(wǎng)絡(luò)攻防策略對(duì)系統(tǒng)的影響。

分析攻擊者對(duì)網(wǎng)絡(luò)系統(tǒng)某個(gè)節(jié)點(diǎn)采取攻擊時(shí)，攻擊者和防御者的支出情況。

3 攻擊策略支出分析

3.1 單步攻擊策略支出

為了對(duì)攻擊策略支出矩陣進(jìn)行數(shù)學(xué)計(jì)算，引用文獻(xiàn)[16]矩陣的元素形式范數(shù)計(jì)算公式進(jìn)行攻擊策略支出的計(jì)算。

根據(jù)攻防支出矩陣與攻擊支出之間的函數(shù)關(guān)系式，得到單步攻擊動(dòng)作的支出為

下面結(jié)合一個(gè)簡單的實(shí)例對(duì)單個(gè)攻擊策略的攻擊支出進(jìn)行計(jì)算說明。

且攻擊個(gè)漏洞的攻擊支出矩陣為

則根據(jù)式（4）可知攻擊者在攻擊節(jié)點(diǎn)時(shí)的攻擊支出為

3.2 多步攻擊策略支出

4 防御支出與策略選取分析

防御者在面對(duì)攻擊者的攻擊時(shí)，由于具有防御措施上確界集合，因此只需要在集合中選取防御決策分析防御支出。

4.1 單步防御決策支出分析

當(dāng)攻擊實(shí)施一步攻擊動(dòng)作，且沒有發(fā)現(xiàn)其余的攻擊動(dòng)作時(shí)，由式(1)可知，防御者存在防御策略選擇，且防御者的防御策略支出是以集合的形式表示的。

在面對(duì)已知系統(tǒng)漏洞和系統(tǒng)關(guān)聯(lián)關(guān)系時(shí)，防御者的防御策略根據(jù)攻擊者的攻擊策略進(jìn)行改變。

下面結(jié)合一個(gè)簡單的實(shí)例對(duì)防御策略支出進(jìn)行計(jì)算說明。

其中滿足：

與單個(gè)攻擊策略支出計(jì)算方式相同，得到單個(gè)防御策略支出為

4.2 多步防御支出與策略選取

5 實(shí)驗(yàn)

5.1 實(shí)驗(yàn)分析

為了驗(yàn)證防御策略選取對(duì)網(wǎng)絡(luò)系統(tǒng)安全的影響，構(gòu)建的網(wǎng)絡(luò)環(huán)境如圖1所示，具體包含3個(gè)主機(jī)和2個(gè)服務(wù)器，2個(gè)防火墻和2個(gè)入侵檢測系統(tǒng)（IDS，instruction detection system）。

圖1 構(gòu)建的網(wǎng)絡(luò)環(huán)境

在圖1的實(shí)驗(yàn)環(huán)境中，攻擊者通過網(wǎng)絡(luò)對(duì)系統(tǒng)中的主機(jī)和服務(wù)器進(jìn)行攻擊。首先給出攻防動(dòng)作強(qiáng)度表[15]；攻防支出是基于攻擊者和防御者的能力在同一水平下確定的，不同的攻防強(qiáng)度需要不同的攻防支出，為了提高實(shí)時(shí)分析效率，本文將攻防支出分為3個(gè)等級(jí)，分別對(duì)應(yīng)攻防強(qiáng)度如表1和表2所示；表3為實(shí)驗(yàn)環(huán)境的網(wǎng)絡(luò)系統(tǒng)節(jié)點(diǎn)的信息表；表4是查詢CVE[17]、NVD[18]得到具體的漏洞攻防動(dòng)作表（注：表4中的字母和數(shù)字是表1和表2中的序號(hào)）。

表1 攻擊動(dòng)作強(qiáng)度

表2 防御動(dòng)作強(qiáng)度

表3 節(jié)點(diǎn)信息

表4 漏洞的可利用攻防動(dòng)作

由圖1中的網(wǎng)絡(luò)環(huán)境可知，攻擊者需要通過互聯(lián)網(wǎng)攻擊DMZ區(qū)域的服務(wù)器，然后才能攻擊Trusted區(qū)域的主機(jī)，攻擊者獲得的權(quán)限從Web、Data、H1、H2、H3依次遞增，即表示攻擊者在獲得后者的權(quán)限之后，不會(huì)再對(duì)前面的節(jié)點(diǎn)進(jìn)行攻擊。結(jié)合表3網(wǎng)絡(luò)開放的端口信息，可知該網(wǎng)絡(luò)環(huán)境的屬性攻擊圖，如圖2所示。

圖2 實(shí)驗(yàn)環(huán)境屬性攻擊圖

由圖2可知，該網(wǎng)絡(luò)系統(tǒng)有4條攻擊路徑。

根據(jù)表1、表2和節(jié)點(diǎn)的漏洞信息，可知攻擊矩陣和防御矩陣為

當(dāng)系統(tǒng)入侵檢測系統(tǒng)監(jiān)測到節(jié)點(diǎn)被攻擊時(shí)，利用攻防策略矩陣的策略選擇計(jì)算方法，可以實(shí)時(shí)為系統(tǒng)安全管理人員提供精確的防御決策和建議。

根據(jù)式(6)可知攻擊支出為

根據(jù)式(7)可知防御支出為

根據(jù)攻擊策略所在的策略矩陣可知，攻擊者下一步很可能對(duì)節(jié)點(diǎn)192.168.1.7實(shí)施攻擊，因此，需要提前對(duì)節(jié)點(diǎn)192.168.1.7可能發(fā)生網(wǎng)絡(luò)攻擊行為的情況進(jìn)行分析。

下面對(duì)多步攻擊行為的防御策略選擇的情況進(jìn)行分析。

根據(jù)式(6)可知攻擊支出為

根據(jù)式(7)可知防御支出的3種情況為

5.2 關(guān)聯(lián)分析

文獻(xiàn)[9-14]是基于狀態(tài)攻擊圖考慮攻擊策略和防御策略對(duì)系統(tǒng)安全狀態(tài)的影響；大部分文獻(xiàn)沒有給出網(wǎng)絡(luò)系統(tǒng)安全狀態(tài)的具體量化方法；在對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊策略分析中，是在無限攻防對(duì)抗過程的情況下對(duì)攻防策略進(jìn)行分析，提供的防御決策其實(shí)是策略集，但在具體的網(wǎng)絡(luò)系統(tǒng)攻防過程中，管理人員不能實(shí)現(xiàn)無限試錯(cuò)的機(jī)會(huì)，且對(duì)策略集的實(shí)施存在理解困難的問題。因此本文基于屬性攻擊圖研究網(wǎng)絡(luò)攻防策略集對(duì)網(wǎng)絡(luò)系統(tǒng)生存性的影響。表5是對(duì)應(yīng)的關(guān)聯(lián)分析。

6 結(jié)束語

本文基于屬性攻擊圖研究網(wǎng)絡(luò)攻防對(duì)抗的策略選擇，首先利用攻防矩陣表示攻防策略和路徑；其次利用林肯實(shí)驗(yàn)室給出的攻防動(dòng)作數(shù)據(jù)量化攻防強(qiáng)度和網(wǎng)絡(luò)生存性；然后結(jié)合攻防策略支出研究在面臨實(shí)際威脅時(shí)，為網(wǎng)絡(luò)系統(tǒng)安全人員提供可讀性強(qiáng)的安全策略；最后根據(jù)攻擊策略矩陣預(yù)測攻擊者下一步的攻擊行為。未來的研究是在本文的基礎(chǔ)上，結(jié)合機(jī)器學(xué)習(xí)等人工智能方法，實(shí)現(xiàn)攻防策略自動(dòng)化分析，為網(wǎng)絡(luò)安全人員提供更加快捷、方便和易理解的防御策略。

表5 關(guān)聯(lián)分析

[1] FISHER J, LINGER R. Survivability: protecting your critical systems[J]. IEEE Journal of Internet Computing, 1999, 3(6): 55-63.

[2] WANG CL, MIAO Q, DAI YQ. Network survivability analysis based on stochastic game model[J]. Multimedia Information Networking and Security, 2012, 55(10): 99-104.

[3] 黃永洪, 吳一凡, 楊豪璞, 等. 基于攻擊圖的APT脆弱節(jié)點(diǎn)評(píng)估方法[J]. 重慶郵電大學(xué)學(xué)報(bào)(自然科學(xué)版), 2017, 29(4): 535-541.

HUANG Y H, WU Y F, YANG H P, et al. Graph-based vulnerability assessment for APT attack[J]. Journal of Chongqing University of Posts and Telecommunications(Natural Science Edition), 2017, 29(4): 535-541.

[4] HU H, ZHANG H Q, LIU Y L, et al. Security metric methods for network multistep attacks using AMC and big data correlation analysis[J]. Security and Communication Networks, 2018

[5] 胡浩, 葉潤國, 張紅旗, 等. 面向漏洞生命周期的安全風(fēng)險(xiǎn)度量方法[J]. 軟件學(xué)報(bào), 2018, 29(5).

HU H, YE R G, ZHANG H Q, et al. Vulnerability life cycle oriented security risk metric method[J]. Journal of Software, 2018, 29(5).

[6] 吳迪, 連一峰, 陳愷. 一種基于攻擊圖的安全威脅識(shí)別和分析方法[J]. 計(jì)算機(jī)學(xué)報(bào), 2012, 35(9): 1938-1950.

WU D, LIAN Y F, CHEN K, et al. A security threats identification and analysis method based on attack graph[J]. Chinese Journal of Computers, 2012, 35(9): 1938-1950.

[7] HOMER J, ZHANG S, OU X, et al. Aggregating vulnerability metrics in enterprise networks using attack graphs[J]. Journal of Computer Security, 2013, 21(4): 561-597.

[8] 王會(huì)梅, 鮮明, 王國玉. 基于擴(kuò)展網(wǎng)絡(luò)攻擊圖的網(wǎng)絡(luò)攻擊策略生成算法[J]. 電子與信息學(xué)報(bào), 2011, 33 (12): 3015-3021.

WANG H M. XIAN M, WANG G Y. A network attack decision-making algorithm based on the extended attack graph[J]. Journal of Electronics & Information Technology, 2011, 33(12): 3015-3021.

[9] WANG H, CHEN Z F, ZHAO J P, et al. A vulnerability assessment method in industrial internet of things based on attack graph and maximum flow[J]. Special Section on Convergence of Sensor Networks, Cloud Computing, and Big Data in Industrial Internet of Thing, 2018, (6): 8599-8609.

[10] WANG Y Z, LIN C, CHENG X Q, et al. Evolutionary game model and analysis methods for network group behavior[J]. Chinese Journal of Computer, 2015, 38(2): 282-300.

[11] SHEN S G, LI Y J, XU H Y, et al. Signaling game based strategy of intrusion detection in wireless sensor networks[J]. Computer&Mathematics with Applications, 2011, 62(6): 2404-2416.

[12] DORASZEL A. Preventing DDoS attacks in wireless sensor networks: a repeated game theory approach[J]. ACM Transactions on Information and System Security, 2015, 13(2): 145-153

[13] 張恒巍, 李濤, 黃世銳. 基于攻防微分博弈的網(wǎng)絡(luò)安全防御決策方法[J]. 電子學(xué)報(bào), 2018, 46(6): 1428-1435.

ZHANG H W, LI T, HUANG S R. Network defense decision-making method based on attack-defense differential game[J]. Acta Electronica Sinica, 2018, 46(6): 1428-1435.

[14] HU H, LIU Y L, ZHANG H Q, et al. Optimal network defense strategy selection based on incomplete information evolutionary game[J]. IEEE Access, 2018, 6: 29806-29821.

[15] GORDON L, LOEB M, LUCYSHYN W, et al. 2015 CSI/FBI computer crime and security survey[C]//2015 Computer Security Institute. 2015: 48-64.

[16] ZHAN X Z. Matrix theory[D]. American Mathematical Society, 2010.

Dynamic defense decision method for network real-time confrontation

LENG Qiang1, YANG Yingjie1, CHANG Dexian1, PAN Ruixuan1, CAI Ying2, HU Hao1

1. Information Engineering University, Zhengzhou 450001, China 2. Henan Polytechnic University, Zhengzhou 450001, China

How to implement defense decision based on network external threat is the core problem of building network information defense system. Especially for the dynamic threat brought by real-time attack, scientific and effective defense decision is the key to construct network dynamic emergency defense system. Aiming at the problem of dynamic defense decision-making, firstly a network survivability game model based on attribute attack graph theory is designed. The attack and defense matrix is used to represent the attack and defense strategy and path, and the attack and defense strength and network survivability quantification method are given. Secondly, the single step and the multi-step attack and defense strategy payoff calculation method is proposed, and the defense decision is based on the attack and defensive strategy payoff. Finally, the effectiveness of the defense decision technology is verified through experiments.

attribute attack graph, network survivability, network attack-defense confrontation, attack-defense strength

s: The National Natural Science Foundation of China (No.61902427), The National High Technology Research and Development Program of China (“863” Progran) (No.2015AA016006), The National Key Research and Development Program of China (No.2016YFF0204003), The Equipment Pre-research Foundation during the National 13th Five-Year Plan (No.61400020201)

TP393

A

10.11959/j.issn.2096?109x.201963

冷強(qiáng)（1993? ），男，四川內(nèi)江人，信息工程大學(xué)碩士生，主要研究方向?yàn)樾畔踩L(fēng)險(xiǎn)評(píng)估。

楊英杰（1971? ），男，河南鄭州人，博士，信息工程大學(xué)教授，主要研究方向?yàn)樾畔踩?/p>

常德顯（1977? ），男，河南鄧州人，博士，信息工程大學(xué)副教授，主要研究方向?yàn)樾畔踩?/p>

潘瑞萱（1995? ），女，陜西華縣人，信息工程大學(xué)碩士生，主要研究方向?yàn)镾DN網(wǎng)絡(luò)協(xié)議安全。

蔡英（1983? ），女，河南鄭州人，主要研究方向?yàn)榻鹑谛畔踩c風(fēng)險(xiǎn)管理。

胡浩（1989? ），男，安徽池州人，博士，信息工程大學(xué)講師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全態(tài)勢感知和圖像秘密共享。

論文引用格式：冷強(qiáng), 楊英杰, 常德顯, 等. 面向網(wǎng)絡(luò)實(shí)時(shí)對(duì)抗的動(dòng)態(tài)防御決策方法[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2019, 5(6): 58-66.

LENG Q, YAGN Y J, CHANG D X, et al. Dynamic defense decision method for network real-time confrontation[J]. Chinese Journal of Network and Information Security, 2019, 5(6): 58-66.

2019?01?25；

2019?04?08

胡浩，wjjhh_908@163.com

國家自然科學(xué)基金資助項(xiàng)目（No.61902427）；國家高技術(shù)研究發(fā)展計(jì)劃（“863”計(jì)劃）基金資助項(xiàng)目（No.2015AA016006）；國家重點(diǎn)研發(fā)計(jì)劃基金資助項(xiàng)目（No.2016YFF0204003）；“十三五”裝備預(yù)研領(lǐng)域基金資助項(xiàng)目（No.61400020201）