面向分布式網(wǎng)絡(luò)結(jié)構(gòu)的APT攻擊雙重博弈模型

張 為，蘇 旸，陳文武

(1．武警工程大學(xué)電子技術(shù)系，西安710086; 2．武警工程大學(xué)信息安全保密重點(diǎn)實(shí)驗(yàn)室，西安710086)(*通信作者電子郵箱13022992885@163．com)

0 引言

隨著科技的不斷進(jìn)步，很多基礎(chǔ)設(shè)施為了提高事實(shí)態(tài)勢(shì)感知和操作效率開(kāi)放了公共網(wǎng)絡(luò)，但同時(shí)，像電腦蠕蟲(chóng)、震網(wǎng)病毒等惡意攻擊對(duì)信息安全造成了極大威脅［1］。尤其是近10年來(lái)，隨著 Facebook、Twitter等社交網(wǎng)絡(luò)服務(wù)(Social Networking Service，SNS)應(yīng)用的快速發(fā)展普及，人際關(guān)系網(wǎng)絡(luò)已成為新的網(wǎng)絡(luò)犯罪增長(zhǎng)點(diǎn)，相關(guān)的社會(huì)工程學(xué)方法以及策略郵件、網(wǎng)頁(yè)木馬等攻擊手段更成為了針對(duì)性滲透攻擊的突破口［2］。在2016年360威脅情報(bào)中監(jiān)測(cè)到高級(jí)持續(xù)威脅(Advanced Persist Threat，APT)報(bào)告中，中國(guó)已成為全球APT攻擊的第一目標(biāo)國(guó)，涉及APT攻擊報(bào)告的數(shù)量多達(dá)26件，APT攻擊組織數(shù)量多達(dá)29個(gè)。由此說(shuō)明傳統(tǒng)的防御方法已難以防范APT攻擊［3］，我國(guó)在網(wǎng)絡(luò)安全領(lǐng)域面臨的形勢(shì)越來(lái)越嚴(yán)峻，而APT攻擊將成為防范的重點(diǎn)。

APT攻擊是針對(duì)國(guó)家組織、大型企業(yè)等主要部門(mén)實(shí)施的攻擊［4］，它具有攻擊手段高級(jí)、攻擊時(shí)間長(zhǎng)、攻擊危害大等特點(diǎn)。目前，網(wǎng)絡(luò)安全通常是由自動(dòng)化工具和技術(shù)檢測(cè)來(lái)減少漏洞，例如使用拓?fù)浯嗳跣苑治?Topological Vulnerability Analysis，TVA)［5］，而分布式網(wǎng)絡(luò)是由分布在不同地點(diǎn)且具有多個(gè)終端的節(jié)點(diǎn)相互連接而成的大型網(wǎng)絡(luò)，防御者在進(jìn)行預(yù)防時(shí)，很難做到面面俱到，給攻擊者留下可乘之機(jī)。傳統(tǒng)的安全技術(shù)專注于一次性的攻擊，在面對(duì)持續(xù)、隱藏和復(fù)雜策略的APT攻擊存在嚴(yán)重不足［6］，主要表現(xiàn)為以下3個(gè)方面:

1)分布式網(wǎng)絡(luò)分散管理，不易于集中控制，對(duì)于一個(gè)大型的分布式系統(tǒng)，管理者無(wú)法全面掌握所有終端的信息，難以對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行評(píng)估。

2)分布式網(wǎng)絡(luò)中任一節(jié)點(diǎn)至少與兩條線路相連，當(dāng)其中一個(gè)節(jié)點(diǎn)被攻破，攻擊者會(huì)通過(guò)提升權(quán)限、橫向攻擊向其他節(jié)點(diǎn)滲透，最終造成重要信息的泄露或整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓。

3)分布式網(wǎng)絡(luò)分布范圍廣、網(wǎng)絡(luò)節(jié)點(diǎn)多，在面對(duì)擁有大數(shù)據(jù)分析的APT攻擊時(shí)，所有存在的漏洞都有被攻擊者利用的可能，所以需要對(duì)每個(gè)節(jié)點(diǎn)都采用高強(qiáng)度防御，這樣會(huì)造成浪費(fèi)資源多、耗費(fèi)成本大，而最終不一定取得最優(yōu)的防御效果。

1 相關(guān)工作

博弈論是一種用于事前分析、制定決策的理論，在很早以前就被應(yīng)用于軍事、政治、社會(huì)生產(chǎn)實(shí)踐等多個(gè)領(lǐng)域。而在近代開(kāi)始與網(wǎng)絡(luò)通信、網(wǎng)絡(luò)空間安全相結(jié)合，博弈論從成本效益的角度分析網(wǎng)絡(luò)中的各種攻擊行為，進(jìn)而制定效率最高、行動(dòng)最優(yōu)的防御策略。例如，Semasinghe等［8］將博弈論用于研究小型分布式資源分配，Altman等［9］用博弈論和進(jìn)化動(dòng)力學(xué)來(lái)解決非合作路由問(wèn)題，Lin等［10］將博弈論用于用戶與視頻流服務(wù)提供商之間價(jià)格的變化，Shree等［11］用博弈論的方法建立網(wǎng)絡(luò)攻防交互通信網(wǎng)絡(luò)模型，Zhu等［12］用博弈論的方法用于網(wǎng)絡(luò)空間系統(tǒng)建模。這些研究已經(jīng)將博弈論應(yīng)用于網(wǎng)絡(luò)空間安全，在博弈論的基礎(chǔ)上制定了各種價(jià)值很高的網(wǎng)絡(luò)規(guī)則，能夠抵御部分網(wǎng)絡(luò)攻擊，但對(duì)于攻擊方法靈活、攻擊行為隱秘的高級(jí)攻擊仍然束手無(wú)策。

近年來(lái)，Bowers等［13］對(duì)Flipit博弈模型進(jìn)行了拓展，通過(guò)計(jì)算攻擊頻率和防御頻率的均衡，實(shí)現(xiàn)了密碼重置和密鑰管理等功能來(lái)預(yù)防未知的攻擊，但在面對(duì)多變的APT攻擊時(shí)存在防御被動(dòng)性;后來(lái)，Pawlick等［14］在攻擊者、防御者和云用戶之間建立三人博弈模型來(lái)捕獲隱藏的APT攻擊，并提出了Gestalt均衡尋求最優(yōu)解;Hu等［15］用動(dòng)態(tài)博弈研究攻防雙方之間的相互作用，提出攻擊者互相競(jìng)爭(zhēng)有價(jià)值信息的同時(shí)存在被防御者發(fā)現(xiàn)的風(fēng)險(xiǎn)，并通過(guò)雙重博弈的納什均衡證明了模型的安全性;Fang等［16］設(shè)計(jì)了基于攻擊路徑的博弈模型，通過(guò)計(jì)算納什均衡得出攻擊者最可能采取的攻擊路徑以及防御者的最優(yōu)防御方案。這都充分體現(xiàn)了博弈論在網(wǎng)絡(luò)攻防對(duì)抗中，對(duì)于實(shí)施網(wǎng)絡(luò)主動(dòng)防御中有著重要的價(jià)值，但這些研究只是寬泛地實(shí)現(xiàn)某種網(wǎng)絡(luò)功能來(lái)預(yù)防APT攻擊，而沒(méi)有具體到使用某一網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的機(jī)構(gòu)該如何進(jìn)行APT攻擊的防范。

我國(guó)是APT的主要受害國(guó)，怎樣確保重要部門(mén)、大型企業(yè)機(jī)構(gòu)系統(tǒng)資源的網(wǎng)絡(luò)安全，是當(dāng)前的一個(gè)熱點(diǎn)問(wèn)題。傳統(tǒng)的防御措施對(duì)于APT攻擊很難奏效，本文針對(duì)分布式網(wǎng)絡(luò)結(jié)構(gòu)提出了雙重博弈對(duì)其進(jìn)行建模，主要有以下3點(diǎn)工作:

1)針對(duì)分布式網(wǎng)絡(luò)分布廣，管理者難以對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的問(wèn)題，在流量監(jiān)控、漏洞掃描和入侵檢測(cè)的基礎(chǔ)上，提出用節(jié)點(diǎn)博弈計(jì)算可疑行為風(fēng)險(xiǎn)系數(shù)。

2)針對(duì)分布式網(wǎng)絡(luò)之間相互連通，容易被攻擊者利用橫向攻擊進(jìn)行滲透的問(wèn)題，在節(jié)點(diǎn)博弈的基礎(chǔ)上，提出了改進(jìn)后的OAPG模型(Attack path prediction model Oriented to APT)對(duì)APT攻擊路徑進(jìn)行建模，分析了攻擊者可能使用的攻擊策略。

3)針對(duì)分布式網(wǎng)絡(luò)對(duì)每個(gè)節(jié)點(diǎn)采用高強(qiáng)度防御，造成浪費(fèi)資源多、耗費(fèi)成本大的問(wèn)題，在改進(jìn)后的OAPG模型的基礎(chǔ)上，計(jì)算了攻防雙方理論收益，分析了均衡策略，提出了防御者最優(yōu)的防御方案。

2 模型初始化

2．1 APT 攻擊步驟

通過(guò)對(duì)近些年來(lái)對(duì)APT攻擊的統(tǒng)計(jì)分析，黑客在進(jìn)行滲透時(shí)一般采用魚(yú)叉攻擊(郵件攻擊)、水坑攻擊(網(wǎng)站攻擊)、已知漏洞攻擊、0day漏洞攻擊等攻擊方式。而在攻擊時(shí)，一般步驟分為情報(bào)收集、定向攻擊(中間主機(jī)俗稱“肉雞”)、橫向擴(kuò)散(目標(biāo)主機(jī))、收集信息以及清除痕跡5個(gè)步驟。APT攻擊方法多種多樣，攻擊者在進(jìn)行攻擊時(shí)可以靈活運(yùn)用這些步驟。圖1為APT攻擊步驟示意圖。

圖1 APT攻擊步驟Fig．1 Steps of APT attack

2．2 分布式網(wǎng)絡(luò)結(jié)構(gòu)

在我國(guó)，很多重要部門(mén)、大型企業(yè)機(jī)構(gòu)為了實(shí)現(xiàn)各個(gè)部門(mén)、區(qū)域的管理常采用分布式網(wǎng)絡(luò)機(jī)構(gòu)體系。分布式網(wǎng)絡(luò)結(jié)構(gòu)能夠連接分布在不同地點(diǎn)的計(jì)算機(jī)，實(shí)現(xiàn)資源共享;具有很高的可靠性，便于分散管理，即使局部故障也不會(huì)導(dǎo)致整個(gè)系統(tǒng)的癱瘓;易于擴(kuò)充，如果想加入新的節(jié)點(diǎn)，可在網(wǎng)絡(luò)的任意點(diǎn)進(jìn)行網(wǎng)絡(luò)連接;分布式系統(tǒng)廉價(jià)高效，由成本低廉的PC服務(wù)器組成的集群，在性能方面能夠達(dá)到或超越大型機(jī)的處理性能，在成本上遠(yuǎn)低于大型機(jī)。圖2展示了分布式網(wǎng)絡(luò)結(jié)構(gòu)的簡(jiǎn)單架構(gòu)。

圖2 分布式網(wǎng)絡(luò)結(jié)構(gòu)Fig．2 Structure of distributed network

2．3 建立網(wǎng)絡(luò)防御框架

通過(guò)對(duì)近些年網(wǎng)絡(luò)事故的分析，針對(duì)分布式網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)，在網(wǎng)絡(luò)防御常用措施基礎(chǔ)上，引進(jìn)了節(jié)點(diǎn)博弈模型對(duì)可疑行為進(jìn)行風(fēng)險(xiǎn)評(píng)估，通過(guò)OAPG模型對(duì)高風(fēng)險(xiǎn)行為進(jìn)行理論收益博弈，進(jìn)而提出網(wǎng)絡(luò)防御框架如圖3所示。

本框架通過(guò)流量監(jiān)控、漏洞掃描和入侵檢測(cè)等措施對(duì)分布式網(wǎng)絡(luò)中存在的可疑行為進(jìn)行捕捉，當(dāng)發(fā)現(xiàn)異常行為后，通過(guò)節(jié)點(diǎn)博弈計(jì)算該行為的風(fēng)險(xiǎn)系數(shù)(見(jiàn)3．2節(jié)):若風(fēng)險(xiǎn)系數(shù)較低，可通過(guò)傳統(tǒng)安全措施進(jìn)行防御;若風(fēng)險(xiǎn)系數(shù)較高，則引用OAPG模型對(duì)該行為進(jìn)行建模(見(jiàn)3．1節(jié))，尋找可能的攻擊路徑，進(jìn)而形成最優(yōu)防御策略保護(hù)系統(tǒng)資源的安全。

圖3 網(wǎng)絡(luò)防御框架Fig．3 Framework of network defense

3 建立博弈模型

OAPG模型是文獻(xiàn)［16］提出的針對(duì)APT攻擊的博弈模型，定義1、定義2和定義3對(duì)原有模型的相關(guān)參數(shù)進(jìn)行了定義，該模型用博弈論的方法，對(duì)APT攻擊的路徑進(jìn)行判斷，進(jìn)而提出有效的防御措施。本文在此基礎(chǔ)上對(duì)該模型進(jìn)行了改進(jìn)，通過(guò)定義4、定義5對(duì)攻擊成本和防御成本進(jìn)一步量化，通過(guò)定義6引進(jìn)漏洞風(fēng)險(xiǎn)系數(shù)，并使用節(jié)點(diǎn)博弈對(duì)風(fēng)險(xiǎn)系數(shù)進(jìn)行建模，通過(guò)雙重博弈的后的模型架構(gòu)更充實(shí)、計(jì)算結(jié)果更可靠。

3．1 OAPG 博弈模型

1)V表示網(wǎng)絡(luò)中的節(jié)點(diǎn)。分別用V1，V2，…，Vn表示。

2)T表示節(jié)點(diǎn)的狀態(tài)，分別為Scanning、Remote access permission、Local user permissions、Root permissions。

3)Si表示參與博弈的攻擊方和防御方，在這里用S1代表攻擊方，S2表示防御方。

定義2 用value表示核心數(shù)據(jù)的總價(jià)值。

定義3 用fi表示風(fēng)險(xiǎn)系數(shù)，當(dāng)攻擊者攻占一臺(tái)主機(jī)后，根據(jù)獲得的權(quán)限不同，對(duì)系統(tǒng)造成的風(fēng)險(xiǎn)也不同。一般關(guān)系參考文獻(xiàn)［16］如表1所示。

表1 攻擊者對(duì)系統(tǒng)風(fēng)險(xiǎn)系數(shù)Tab．1 Hazard coefficient of attackers to the system

定義4 用ci表示攻擊方攻擊成本，攻擊成本ci會(huì)因攻擊方式和攻擊節(jié)點(diǎn)的不同而改變。

定義5 用di表示防御成本，防御成本di會(huì)因防御方式和防御節(jié)點(diǎn)的不同而改變。其中Ocost表示操作代價(jià)，Ncost表示負(fù)面代價(jià)，Rcost表示殘余損失。方程詳解請(qǐng)參考文獻(xiàn)［17］。

改進(jìn)后的OAPG模型計(jì)算方法如下:

攻擊方可以選擇不同的攻擊方式和攻擊路徑，如果這時(shí)防御方?jīng)]有進(jìn)行任何防御，可以得出攻擊方的收益函數(shù)為攻擊者獲取當(dāng)前節(jié)點(diǎn)訪問(wèn)權(quán)限的收益與攻擊成本之差:

當(dāng)防御方進(jìn)行主動(dòng)防御時(shí)，攻擊方成功獲取節(jié)點(diǎn)數(shù)據(jù)訪問(wèn)權(quán)限便成為一個(gè)概率事件，當(dāng)攻擊方用策略，防御方用策略S2j，攻擊方的收益為:

由于函數(shù)(1)、(2)是在防御方是否進(jìn)行防御時(shí)，對(duì)攻擊者所產(chǎn)生的收益，那么其收益差減去防御方防守需要花費(fèi)的成本di即為防御方的收益，從而得出防御方的收益函數(shù)為:

計(jì)算出攻擊方和防御方的所有策略的收益后，可以生成網(wǎng)絡(luò)攻防收益矩陣(Attack-Defense Benefit Matrix，ADBM):

其中:行表示防御方策略，列表示攻擊方策略。

定義7 演化納什均衡，在改進(jìn)后的OAPG模型G{V，T，是一個(gè)納什均衡，當(dāng)且僅當(dāng)對(duì)每一個(gè)局中人n，策略是對(duì)付另一個(gè)參與人的最優(yōu)策略，所以有:對(duì)于任意，對(duì)于任意

3．2 節(jié)點(diǎn)博弈模型

定義8 節(jié)點(diǎn)博弈模型 H{Vi，pij，bsi，q(sji)}是一個(gè)四元組，其中:

1)Vi表示節(jié)點(diǎn)，分別用 V1，V2，…，Vn表示。

2)pij表示節(jié)點(diǎn)Vi到節(jié)點(diǎn)Vj的有向邊。

3)bsi表示節(jié)點(diǎn)i的漏洞CVSS評(píng)分值。

CVSS(Common Vulnerability Scoring System)是一套通用的漏洞評(píng)分機(jī)制，可以對(duì)系統(tǒng)存在的漏洞進(jìn)行風(fēng)險(xiǎn)評(píng)估。其基本度量組包含6項(xiàng)屬性:入侵途徑(Access Vector，AV)、身份認(rèn)證(Authentication，AU)、攻擊復(fù)雜度(Access Complexity，AC)、機(jī)密性影響(ConfImpact，CI)、完整性影響(IntegImpact，II)、可用性影響(AvailImpact，AI)。

漏洞風(fēng)險(xiǎn)分析算法(Vulnerability Risk Analysis Algorithm，VRAA)是參考國(guó)家漏洞數(shù)據(jù)庫(kù)(National Vulnerability Database，NVD)各項(xiàng)數(shù)據(jù)庫(kù)的數(shù)據(jù)表示和CVSS推薦分值的基礎(chǔ)上，通過(guò)實(shí)驗(yàn)測(cè)試每個(gè)漏洞的各項(xiàng)屬性值，計(jì)算每個(gè)攻擊策略的漏洞風(fēng)險(xiǎn)值，可將策略風(fēng)險(xiǎn)系數(shù)q(sji)表示為:

其中

當(dāng)各項(xiàng)屬性取最大風(fēng)險(xiǎn)值時(shí)，可計(jì)算得BS=10為系統(tǒng)漏洞的最大風(fēng)險(xiǎn)評(píng)價(jià)分值。其余漏洞可通過(guò)實(shí)驗(yàn)室漏洞測(cè)試各項(xiàng)屬性值以及CVSS評(píng)分標(biāo)準(zhǔn)及式(6)計(jì)算出相應(yīng)的評(píng)價(jià)分值。

當(dāng)防御方實(shí)施防御策略前，期望獲得各個(gè)攻擊策略的漏洞風(fēng)險(xiǎn)評(píng)估，通過(guò)式(5)可以計(jì)算所有策略風(fēng)險(xiǎn)系數(shù)，獲得最大風(fēng)險(xiǎn)系數(shù)max q(S*1)，以及最小風(fēng)險(xiǎn)系數(shù)min q(S*1)。

基于OAPG模型和節(jié)點(diǎn)博弈的算法步驟如下:

輸入 OAPG模型G和節(jié)點(diǎn)博弈模型H;

輸出 攻擊策略和最優(yōu)防御策略。

根據(jù)圖1、圖2生成網(wǎng)絡(luò)攻擊樹(shù);

While bsj∈bsi，通過(guò)式(5)計(jì)算所有風(fēng)險(xiǎn)系數(shù)q(Sm1)，得出最大風(fēng)險(xiǎn)系數(shù)max q(S*1)和最小風(fēng)險(xiǎn)系數(shù)min q(S*1);

While Sm1∈S1，Sn2∈S2，通過(guò)式(3)、(4)計(jì)算所有攻擊策略收益和防御策略收益并生成ADBM;

對(duì)得到的數(shù)據(jù)進(jìn)行分析得出最優(yōu)攻擊策略S*1以及最優(yōu)防御策略S*2;

通過(guò)定義7和節(jié)點(diǎn)博弈對(duì)計(jì)算結(jié)果進(jìn)行驗(yàn)證;

4 模型應(yīng)用

4．1 仿真實(shí)驗(yàn)

為了驗(yàn)證網(wǎng)絡(luò)攻防OAPG模型，本文模擬黑客組織對(duì)某一企業(yè)機(jī)構(gòu)進(jìn)行APT攻擊，實(shí)驗(yàn)環(huán)境如圖4所示。

圖4 實(shí)驗(yàn)室網(wǎng)絡(luò)環(huán)境Fig．4 Laboratory network environment

1)針對(duì)分布式網(wǎng)絡(luò)分布廣、網(wǎng)絡(luò)節(jié)點(diǎn)多等特點(diǎn)，將實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境劃分為工作區(qū)、服務(wù)區(qū)和中心主管區(qū)，各個(gè)區(qū)內(nèi)部通過(guò)局域網(wǎng)和專用網(wǎng)實(shí)現(xiàn)網(wǎng)絡(luò)功能。

2)針對(duì)分布式網(wǎng)絡(luò)任一節(jié)點(diǎn)至少與兩條線路相連的特點(diǎn)，設(shè)定3個(gè)區(qū)之間通過(guò)互聯(lián)網(wǎng)連接且相互之間具有信任關(guān)系，攻擊者攻擊其中一個(gè)節(jié)點(diǎn)后，可通過(guò)橫向攻擊另一個(gè)節(jié)點(diǎn)進(jìn)行滲透。

3)針對(duì)分布式網(wǎng)絡(luò)由分布在不同地點(diǎn)且具有多個(gè)終端的節(jié)點(diǎn)機(jī)互連而成的特點(diǎn)，實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境設(shè)置有FTP服務(wù)器、smtp服務(wù)器和database服務(wù)器，外部電腦可通過(guò)互聯(lián)網(wǎng)對(duì)ftp服務(wù)器、smtp服務(wù)器和辦公電腦進(jìn)行數(shù)據(jù)訪問(wèn)，database服務(wù)器(IP2)存儲(chǔ)核心數(shù)據(jù)，只有辦公電腦(IP1)可以通過(guò)專用網(wǎng)對(duì)其進(jìn)行數(shù)據(jù)讀寫(xiě)，外部網(wǎng)絡(luò)無(wú)權(quán)訪問(wèn)。可利用的漏洞如表2所示。

表2 各節(jié)點(diǎn)存在的漏洞情況Tab．2 Vulnerabilities in each node

參考文獻(xiàn)［18］的原子攻擊信息和攻防行為數(shù)據(jù)庫(kù)，綜合以往的漏洞數(shù)據(jù)庫(kù)和文獻(xiàn)［17］的防御費(fèi)用計(jì)算方法，在分析路由文件、漏洞數(shù)據(jù)庫(kù)、攻擊策略和防御策略的基礎(chǔ)上，可得原子攻擊動(dòng)作如表3所示，防御原子動(dòng)作費(fèi)用如表4所示。

表3 攻擊策略信息Tab．3 Information about strategy of attacker

表4 防御策略信息Tab．4 Information about strategy of defender

通過(guò)分析表2各個(gè)漏洞的情況，通過(guò)實(shí)驗(yàn)室多次測(cè)試，參照CVSS評(píng)分標(biāo)準(zhǔn)，各節(jié)點(diǎn)之間可利用漏洞的各項(xiàng)屬性值如表5所示。

表5 利用CVSS評(píng)價(jià)各節(jié)點(diǎn)之間的漏洞情況Tab．5 Vulnerability between nodes using CVSS evaluation

當(dāng)黑客使用APT攻擊向某個(gè)企業(yè)機(jī)構(gòu)發(fā)起進(jìn)攻時(shí)，首先會(huì)通過(guò)情報(bào)收集了解目標(biāo)的地理位置、網(wǎng)絡(luò)技術(shù)、人員分布等一些可利用信息;然后投放帶有惡意程序的郵寄或釣魚(yú)網(wǎng)站，引誘目標(biāo)上鉤，當(dāng)攻擊方控制某一臺(tái)主機(jī)后，便會(huì)利用這臺(tái)主機(jī)進(jìn)行橫向擴(kuò)散，通過(guò)木馬病毒或者漏洞利用提升自己的權(quán)限，獲得最終目標(biāo)的數(shù)據(jù)訪或操作，通過(guò)圖1、圖2、圖4可以得出APT攻擊常采用的攻擊路徑，如圖5所示。

圖5 APT攻擊路徑示意圖Fig．5 Schematic diagram of APT attack paths

從攻擊圖可以得出攻擊方的策略:

S11:V1→V2→V4→V5，攻擊方從節(jié)點(diǎn)V1滲透到節(jié)點(diǎn)V2，進(jìn)而滲透到節(jié)點(diǎn)V4，最后滲透到V5。

S21:V1→V3→V4→V5，攻擊方從節(jié)點(diǎn)V1滲透到節(jié)點(diǎn)V3，進(jìn)而滲透到節(jié)點(diǎn)V4，最后滲透到V5。

S31:V1→V4→V5，攻擊方從節(jié)點(diǎn)V1滲透到節(jié)點(diǎn)V4，最后滲透到V5。

相應(yīng)防御方的策略有:

S12表示防御方對(duì)節(jié)點(diǎn)V2實(shí)施防御;S22表示對(duì)節(jié)點(diǎn)V3實(shí)施防御;S32表示對(duì)節(jié)點(diǎn)V4實(shí)施防御;S42表示對(duì)節(jié)點(diǎn)V5實(shí)施防御。

通過(guò)式(5)可以計(jì)算得到個(gè)策略的漏洞風(fēng)險(xiǎn)系數(shù)為:

其中:max q(S1*)=q(S21)=0．52;min q(S1*)=q(S31)=0．23。

本文設(shè)定核心數(shù)據(jù)的總價(jià)值value=1000，通過(guò)式(3)、(4)可以計(jì)算得出攻擊方和防御方各策略的收益，得出攻防收益矩陣(ADBM)。

從上述矩陣可以得知策略(S21，S22)是一對(duì)納什均衡，當(dāng)攻擊方使用S21時(shí)，有U1(S*1)≥U1(Sm1)，當(dāng)防御方使用S22，有U2(S*2)≥U2(Sm2)，而通過(guò)節(jié)點(diǎn)博弈的漏洞風(fēng)險(xiǎn)計(jì)算，策略S21的漏洞風(fēng)險(xiǎn)系數(shù)計(jì)算，q(S21)為最大風(fēng)險(xiǎn)系數(shù)，所以攻擊方最有可能采取策略S21對(duì)目標(biāo)發(fā)起攻擊，本文應(yīng)采取防御策略S22:Patch FTP．rhost on SMTP Sever進(jìn)行防御，通過(guò) ADBM，可以得出策略S22取得了420最大防御收益。綜合以上分析，防御策略S22為最優(yōu)防御策略。

4．2 實(shí)驗(yàn)數(shù)據(jù)分析

通過(guò)以上仿真實(shí)驗(yàn)，可以得出該模型有以下優(yōu)勢(shì):

1)根據(jù)以往的案例和已有的經(jīng)典文獻(xiàn)，分析APT攻擊特點(diǎn)，在此基礎(chǔ)上，形成APT攻擊導(dǎo)圖，分析攻擊者可能的攻擊策略，避免在制定防御策略時(shí)出現(xiàn)混亂，提高防御策略的指向性和高效性。

2)針對(duì)分布式網(wǎng)絡(luò)覆蓋范圍廣、節(jié)點(diǎn)多等特點(diǎn)制定了節(jié)點(diǎn)博弈模型，實(shí)現(xiàn)了對(duì)各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的風(fēng)險(xiǎn)評(píng)估，通過(guò)計(jì)算max q(S*1)，得出q(S21)=0．52為最大風(fēng)險(xiǎn)系數(shù)，說(shuō)明危害最大的攻擊路徑不一定是最大風(fēng)險(xiǎn)項(xiàng)，為實(shí)現(xiàn)主動(dòng)防御提供了依據(jù)。

3)使用OAPG模型計(jì)算攻防雙方理論收益，生成攻防收益矩陣，得出攻擊者收益最高的攻擊策略S21=420以及防御者最優(yōu)的防御策略S22=420，說(shuō)明投入最高的防御策略不一定能取得最好的防御效果，只有針對(duì)性的采取防御措施才能確保重要資源的相對(duì)安全。

5 結(jié)語(yǔ)

近年來(lái)，世界各地都出現(xiàn)了一系列針對(duì)不同目標(biāo)的、收益頗高的網(wǎng)絡(luò)攻擊，這些攻擊表明高安全，高隱藏的網(wǎng)路都存在被攻破的風(fēng)險(xiǎn)［19］，充分說(shuō)明了APT攻擊的威脅之大。本文提出的博弈論的方法，跳出前人的傳統(tǒng)思維，從攻擊雙方的收益出發(fā)，通過(guò)納什均衡和節(jié)點(diǎn)博弈就攻防雙方在經(jīng)費(fèi)上進(jìn)行博弈，建立攻防雙方的收益函數(shù)，提出了最優(yōu)的防御方案。將博弈論的經(jīng)典理論和對(duì)APT攻擊的防御相結(jié)合，符合在網(wǎng)絡(luò)攻防對(duì)抗中的實(shí)際經(jīng)費(fèi)開(kāi)支問(wèn)題，它從一種新的視覺(jué)去權(quán)衡APT攻擊中的敵我較量，能夠很好地防范APT攻擊。但因?yàn)锳PT攻擊具有系統(tǒng)性、復(fù)雜性、大規(guī)模性等特點(diǎn)，對(duì)于APT攻擊的路徑和攻擊方式的研究還需進(jìn)一步深入，本文利用雙重博弈對(duì)APT攻擊進(jìn)行了建模，對(duì)于各個(gè)節(jié)點(diǎn)的博弈還需進(jìn)一步細(xì)化。