基于攻防博弈模型的網絡安全測評和最優主動防范

趙振國

（大連東軟信息學院，遼寧大連，116023）

0 前言

互聯網技術的發展一方面為我國社會各個生產生活領域提供了較為有利的技術支持，滿足了人們的生產生活需要，但另一方面，隨著相關技術的發展，也為不法分子提供了攻擊相關網絡的機會。本文以攻防博弈理論為基礎，通過對建立主動實時防護模型的必要性進行闡述，從而為網絡的安全測評和最優主動防范工作提出了合理的意見和建議。

1 建立主動實時防護模型的必要性

近年來，網絡計算機技術的復雜化與自動化發展對相關的網絡安全評測工作提出了更高的要求和嚴峻的挑戰。傳統的網絡安全防護措施基本依賴于某些反病毒軟件、病毒、木馬入侵檢測以及防火墻技術，其通常以侵入的目標為對象，在檢測到攻擊目標后才對其作出相應的反應，由于防護手段相對被動，因此上述技術對于一些網絡中新增的較難處理的病毒和木馬等信息的處理能力較差，通常為相關生產領域帶來了嚴重的經濟損失，因此，為了保證網絡系統能夠安全、穩定的運行，通過建立主動實時防護模型增強對可疑目標的主動處理能力和預測能力的網絡安全測評工作已勢在必行。

2 網絡信息安全評測與最優主動防御系統

2.1 網絡信息安全評測

網絡信息安全本身涉及到的領域較廣，其中包含防范商業企業的機密泄露、防范青少瀏覽網絡不良信息以及防范私人信息的泄露等等。網絡信息的安全測評工作是在了解相關的計算機操作技術、各種網絡安全協議和安全機制的基礎上，保障網絡信息系統的安全。由于與傳統而被動的網絡安全技術相比，以網絡信息安全測評為基礎的主動實施防護技術可以對事先對網絡系統中的薄弱環節以及相關系統的潛在威脅進行分析和處理，并可以根據用戶使用的需要進行系統成本最優化的選擇，因此近年來以信息安全測評為基礎的主動實時安全防御措施已成為網絡計算機安全的重要保障。

2.2 最優主動防御系統

所謂主動防御系統是以相關的程序行為為基礎，對計算機網絡安全進行自主分析判斷的實時網絡安全防護技術。主動防御系統的特點在于其不以相關病毒的程序代碼為判斷依據，而是通過分析原始類型病毒的定義，從而直接將相關程序的執行行為作為判斷計算機網絡是否安全的工具。無疑主動防御系統的應用將會有效地對病毒的弱點和相應的攻擊行為進行實時防護，但是在生產生活實踐中，要做到“不惜任何代價”的實施該項技術顯然是不切合實際的，因此，在主動安全系統防護措施的工作中，想過研究部門要在網絡系統的安全性與技術成本之間尋求一種平衡，通過有限的資源做出對網絡系統安全最合理的規劃和方案的選擇，即主動防御系統的最優化。

基于信息安全測評下的主動防御系統其本質可以定義為網絡安全攻防系統中策略的依存性，即防御一方所采用的防御策略的合理性和有效性不僅取決于其自身的防御系統和防御行為，同時也取決于網絡安全攻擊方的攻擊策略，因此通過對攻防雙方的相關策略和方案執行成本進行分析，即應用博弈論對其進行分析，是實現主動系統防御最優化的最佳選擇。

3 網絡安全測評的相關研究

由于將以檢測系統、防火墻等技術為主的傳統網絡安全防護系統轉變到基于網絡信息測評的主動實時防護系統是一個漫長的過程，因此，我國對于相關的網絡信息安全測評以及防御措施的成本分析工作還處于初級階段，并未形成較為完善且系統化的理論研究方法。目前對于網絡安全評測和主動防御模型的代價研究主要可歸結為網絡脆弱性測評分析、防御代價研究以及基于攻防博弈理論下的網絡攻防模型建立。

3.1 網絡脆弱性測評分析

所謂網絡脆弱性是指網絡攻擊者通過對攻擊目標中相關系統的薄弱環節進行分析，從而針對該環節進行針對性的攻擊進而提高其攻破網絡防御系統的概率。深入開展網絡脆弱性測評工作不僅有利于維護相關網絡的系統安全，也可以通過加強對系統中脆弱環節的分析，降低攻擊者的成功概率，保障網絡用戶的個人利益。現階段對網絡脆弱性測評的分析系統主要是以建立系統的評估體系模型、控制評估過程、分析評估方法和標準為基礎而形成的攻擊樹評價體系。再該測評體系中一方面通過運用數學中的遞歸法對變化中的攻擊系統進行表示；另一方面，通過防御者對相關防御系統總的弱點進行分析，從而對攻擊者對系統薄弱環節攻擊權限的變化進行研究，繼而得出對于攻擊者而言較高概率的攻擊方式和相關網絡信息泄露所帶來的經濟和安全風險，實現對網絡系統的主動實時監測。

3.2 防御代價定量研究

近年來，隨著網絡信息經濟學的快速發展，網絡防御系統代價的定研究工作得以迅速開展。所謂防御代價的定量研究是指在確保防御者可以對網絡系統實施有效防御從而確保網絡安全的基礎上，對相關技術和方案的執行成本進行定量計算。利用敏感模型對相關的防御措施進行量化分析，是現階段網絡安全主動實施防護的主要手段。敏感模型的作用機理為：通過對防御響應的成本和攻擊損失的相關成本判斷二者是否互相響應，即防御成本與攻擊成本的關系是否呈現一定的規律性。另一方面，建立成本估算模型也是防御代價定量研究工作中的另一種有效辦法。在全面掌握當前網絡系統的脆弱性的基礎上，將可靠性原理運用到防御成本的定量研究中，從防御成本的角度出發從而對攻擊者所損失的成本進行相應的計算，從而實現對相關研究系統攻防成本的量化分析。

3.3 攻防博弈理論

3.3.1 博弈理論概念

博弈論又稱對策論或策略論，是現代數學學科中的重要組成部分，同時也是運籌學的一個新型分支。作為眾多安全領域內的重要研究理論，博弈論被廣泛應用于包括政治、軍事等社會生產中的各個領域。其作用機理是通過對研究目標中個體的預測行為和實際行為進行綜合性考慮，從而研究預測與實際行為的優化策略。上個世紀九十年代，博弈論開始應用于信息和計算機網絡系統中，通過對相關攻擊行為和防御措施成本的優化，進而保障計算機網絡系統的安全。

3.3.2 博弈理論的應用

博弈理論應用到具體的網絡評測和實時防護中，其作用機理主要表現為四個方面。首先，通過博弈論使防御者找出計算機系統中的惡意節點與正常節點，從而對系統中的脆弱環節和可能產生的安全威脅進行綜合性的分析，對可能產生的威脅提前做好防護準備。其次，通過以攻防雙方對系統中的不完全信息進行重復對弈為基礎，從而建立攻擊行為和防御行為的雙重模型，提高網絡系統的防御效果。再次，以隨機博弈論為基礎，不僅不僅可以分析攻防雙方的納什均衡，同時也有效地分析了雙方的攻防策略。最后，將博弈理論應用于計算機實時主動防御系統中可以通過對攻擊者的攻擊意圖進行分析，建立系統的攻擊模型，從而保證了網絡信息安全評測和系統實施防護的有效性。

4 網絡安全測評中的攻擊圖與防御圖

4.1 網絡系統攻擊圖

所謂網絡攻擊圖是指攻擊者對相關的網絡系統進行攻擊的過程中可能采取的所用攻擊方式和路徑的集合。所謂攻擊路徑是指網絡系統的攻擊者在進行攻擊時應用到的所有攻擊程序代碼序列。網絡攻擊圖的形成于上個世紀九十年代，由于當時相關的網絡安全測評體系和系統主動防范措施尚未成熟，因此其僅反映了在攻擊者進行相關的攻擊動作的情況下，目標網絡系統的變化情況，但是對于攻擊過程中網絡系統相關的防護措施以及實施相關措的成本估計等工作并未進行詳細考慮，因此基于系統攻擊圖下的網絡實時防護具有較大的局限性。基于上述原因，加快實施網絡防御圖模型的建立是解決系統安全問題和計算系統成本工作中的重中之重。

4.2 網絡防御圖的建立

4.2.1 網絡防御圖的概念

網絡防御圖又稱為防護圖（DG），是由在網絡攻擊中所形成的6元點集組構成的，具體表示為DG=（），其中防御圖的點集用S表示，而括號中的每一個元素都代表同種網絡下的不同安全狀態，其中屬于且代表著相關網絡由一種安全狀態向另一種安全狀態轉化后，兩種狀態下的關系，而網絡初始的安全狀態的集合為，攻擊者攻擊過程中相關攻擊動作的集合用表示，和分別代表了攻擊者和防御者的攻擊和防御策略的集合。

4.2.2 防御圖的確立和表示方法

由于由于防御圖是一個有向圖，其節點代表著相關網絡下系統的安全狀態，因此通過建立防御圖不僅可以有效顯示出網絡攻擊者對系統的訪問能力，同時對于當前條件下相關網絡資源的屬性也進行了較為直觀的表達。圖1為相關網絡系統的防御圖。

圖 1網絡系統防御圖

圖中有向邊表示了網絡系統的攻擊者通過利用相關的程序代碼對系統進行攻擊，使其從一種安全狀態轉變到另一種安全狀態以及該攻擊進行實施的情況下的相關成本或收益。使網絡系統由一種安全狀態轉變為另一種安全狀態的攻擊手段主要變現為攻擊者對系統配置的變更、系統文件的修改以及對可執行程序的操作。該圖中，DG=（），且 S=（A，B，C，D，E，F），初始網絡安全狀態的集合為S，其中S={A}，攻擊者的目標狀態為={F}，攻擊過程中初始節點到目標節點的攻擊途徑的集合用表示，即攻擊者所有攻擊策略的集合，同理，防御者相應的防御策略則用表示，同時將有向邊旁標注攻擊收益/成本和原子的攻擊名稱用以表示在受到攻擊的情況下網絡系統安全的邊化妝臺。例如a2：25表示相關攻擊代碼攻擊a2從而使網絡系統由安全狀態A變為安全狀態B，而該過程為攻擊者所帶來的收益為30（其中貨幣單位用美元來表示），其中共記路徑={1,2,3}，且相應的防御策略為，用帶有防御策略標記和收益/成本的方格用來表示在相應的攻擊策略下防御者所采取的防御策略。

5 結論

本文通過對主動實時防護模型建立的必要性進行分析，從網絡信息安全評測與最優主動防御系統和攻防博弈理論等角度對基于攻防博弈模型的網絡安全測評和最優主動防范進行了分析。可見未來加強以攻防博弈模型為基礎的網絡安全實時防護建設對于促進我國網絡信息產業的發展以及實現社會安定具有重要的歷史意義和現實作用。