擬態防御馬爾可夫博弈模型及防御策略選擇

張興明，顧澤宇，魏帥，沈劍良

?

擬態防御馬爾可夫博弈模型及防御策略選擇

張興明，顧澤宇，魏帥，沈劍良

（國家數字交換系統工程技術研究中心，河南 鄭州 450002）

網絡擬態防御通過冗余執行體動態性、多樣性以及裁決反饋機制增強了主動防御頑健性，而對于其安全性評估尚缺少有效的分析模型，基于經典博弈模型無法滿足于其多狀態、動態性特點，不具有通用性等問題，提出擬態防御Markov博弈模型分析攻防狀態間的轉移關系以及安全可靠性度量方法，通過非線性規劃算法計算攻防博弈均衡，以確定考慮防御代價的最佳防御策略。實驗與多目標隱藏技術對比，結果表明擬態防御具有更高的防御效果，結合具體案例給出了針對利用系統漏洞攻擊的具體攻防路徑，驗證了防御策略算法有效性。

網絡擬態防御；Markov博弈；冗余執行體；防御頑健性；主動防御策略

1 引言

近年來，隨著網絡技術的發展，諸如勒索病毒、數據泄露等網絡安全事件頻發，造成了不可估量的利益損失。下一代網絡基礎設施建設已經逐步普及，設計研發人員將更多的精力集中于性能方面，網絡安全未受到足夠重視，如2016年思科爆出死亡之Ping IPv6協議漏洞，極易造成大面積地區網絡切斷的情況。另外，在SDN網絡中，控制與數據分離強化了可編程，卻造成了集中控制模式下單點脆弱性，一旦上層控制服務器受惡意控制，整片的網絡區域將在攻擊者的控制范圍內。網絡攻擊大多基于系統、協議已有的漏洞、設計缺陷等[1]獲取系統權限，進而實施非法行為，而基于目前的軟硬件設計開發模式，系統弱點無法完全避免。同時，現有的安全防御技術如入侵檢測系統、防火墻等對未知威脅，如0-day攻擊收效甚微；另外，高級持續威脅（APT, advanced persistent treat）能夠針對目標進行不斷地探測與滲透攻擊，而一旦遭受入侵，系統管理者則需要巨大的開銷進行彌補，使網絡攻擊與防御態勢嚴重不對稱。基于諸如此類的問題，移動目標防御（MTD, moving target defense）思想作為美國政府提出的“改變游戲規則”的主動防御技術，旨在徹底打破被動的網絡安全局面，通過隨機化、多樣性實現目標的動態隱藏，以破壞攻擊鏈的連續性，從而提高攻擊復雜度[2]。國內安全專家提出了擬態防御（MD, mimic defense）思想，將這種動態屬性由單模擴展到多模，通過裁決機制增加防御頑健性[3]。

盡管國內外對于主動防御技術的研究已經取得了重大的突破與進展，但目前相關技術仍處于理論研究階段，特別是擬態防御技術起步較晚，尚缺少有效的分析驗證模型。對于現階段主動防御技術有效性分析，多數的研究者通過經典博弈模型描述網絡攻擊者與防御者的博弈過程，常見的有領導者?跟隨者博弈[4]、單控制隨機博弈[5]、貝葉斯隨機博弈[6]以及Stackelberg博弈模型[7]等。經典的博弈模型往往是靜態、單一狀態的，基于貝葉斯的隨機博弈模型考慮了攻擊者類型的不確定性，但仍不能滿足主動防御場景中多狀態、高動態性的特點。另一方面，現有的主動防御技術研究多從系統工程的角度描述架構問題，導致其防御動態變換具有盲目性、無指導的特點，往往導致較高的防御代價，未能充分考慮實際應用場景做出最佳的防御措施[8]。與本文研究最為接近的是文獻[9]中所提出的移動目標防御Markov博弈模型，能夠充分體現動態防御過程中攻防狀態的多狀態、馬爾可夫性，然而文獻[9]中給出的多目標隱藏模型并沒有說明多個目標間的內在關系，且未給出具體的防御策略，尚不具有通用性。

基于以上對于主動防御技術的研究現狀，本文針對網絡擬態防御技術建立擬態Markov博弈模型（MGMD, Markov game model of mimic defense），以分析擬態防御中動態性、冗余多樣性以及裁決機制對安全防御的有效性，基于MGMD模型構建非線性規劃問題確定最佳防御策略，然后通過與多目標隱藏模型進行對比分析，并以SDN下的安全場景驗證了策略選擇算法。

本文主要貢獻如下。

1) 從擬態冗余執行體容忍性的角度建立Markov博弈模型，通過定義多種狀態路徑轉移描述執行體冗余性、多樣性以及裁決反饋機制對攻防博弈過程的影響。

2) 根據攻防模型馬爾可夫性建立安全度量模型，以分析擬態防御系統冗余執行體規模、可調度空間以及防御容忍度與防御效果的關系。

3) 針對利用系統已知或未知漏洞的攻擊類型，考慮防御代價設計相應的最優主動防御策略確定算法，分析了擬態防御中多種多樣化、動態性防御措施的混合策略。

2 網絡擬態防御技術簡介

擬態防御理念由國內鄔江興院士提出，旨在突破傳統網絡防御手段中靜態、被動防御的局限，通過動態、異構、冗余思想構建主動防御特征[3]，具體防御思想主要體現為以下幾個方面。

多樣性冗余架構：結合擬態計算思想，擬態防御系統通過多個元功能相同的執行體共同完成任務處理。執行體間以不同等級不同層面的異構屬性構造系統非相似余度，這種異構包括底層硬件、指令集、操作系統、上層應用編程語言以及程序多樣化編譯等層面。在同一異構冗余執行體集中，通過實現盡量多層面的異構屬性，以達到系統所呈現的多樣性特征，最大限度降低整個系統被控制的可能性，提高防御容忍性。

動態變換機制：系統動態特征通過動態變換機制實現主動防御動態屬性，動態性的體現涵蓋網絡信息與主機系統信息的跳變、系統回卷與恢復等。

多模裁決機制：冗余執行共同完成任務處理輸出數據，通過裁決反饋機制確定輸出可靠性，同時實現執行體的異常檢測與反饋，根據異常執行體的數量不同可將系統劃分為多級安全工作模式[10]，以提高系統頑健性。

系統工作過程為輸入—處理—輸出模式，如圖1所示，系統輸入數據由數據分發器下發至冗余執行體，數據處理后由裁決機制進行判決并反饋，反饋的作用主要為根據當前安全等級與異常情況制定主動防御策略，最后輸出正確的處理結果。擬態防御范圍為整個數據處理模塊，提高輸出可靠性。

基于擬態防御的應用設計已經在多個網絡基礎設施平臺進行了原型驗證與測試，包括工控擬態處理器[10]、擬態Web服務器[11]、擬態路由器[12]等。

圖1 擬態防御系統工作流程

3 擬態防御攻防模型

3.1 擬態防御馬爾可夫博弈模型

本節簡要介紹擬態防御模型中的攻防策略，并通過馬爾可夫鏈刻畫攻防模型不同階段的系統狀態。

本文針對基于目前影響最廣泛的已知或未知的系統、協議的漏洞以及不可控系統后門所造成的威脅情景，攻擊者通過對這些系統弱點利用從而控制目標系統。攻擊者為達到攻擊目的所采取的攻擊策略集涵蓋目前常規攻擊手段和高級持續攻擊（APT）等，但不包括針對可用性的資源耗盡型攻擊，如拒絕服務攻擊等。防御者為阻斷攻擊者攻擊過程、提高系統可靠性及保護系統安全性而采取一系列的防御策略。根據前文描述，防御者動態性因子包括應用級、內核級、操作系統級以及硬件指令級，根據實際應用場景限制及目前研究進展，暫不考慮硬件結構整體切換。

擬態防御馬爾可夫博弈模型能夠描述多階段多狀態的攻防博弈過程，針對一個特定的網絡系統，其所處的系統安全狀態與時間、攻擊者采取的策略以及防御者采取的策略呈三維關系。可能用到的符號如表1所示。

表1 符號說明

在實際場景中，當前的系統狀態體現為系統的安全屬性，如系統配置、網絡通信模式以及開放服務和端口情況等。另一方面，通常情況下系統的狀態轉移很大程度上取決于防御者采取的策略，如端信息跳變、平臺屬性切換等。在本模型中由于安全屬性的重要性，攻擊者所采取的策略同樣具有很大的決定因素，因此狀態轉移需要同時考慮攻防雙方的策略。

圖2 MD攻防過程

假設1 MGMD博弈模型中時間是離散的，策略動作的執行可以看作是在同一時間片內進行，且由于MGMD模型策略的“隨機化”特征，攻防雙方僅能基于當前狀態采取策略，而不能對對方的策略進行預測。

3.2 擬態防御馬爾可夫博弈過程

本模型將攻防雙方所采取的動作作以下說明。

1) 防御者動作：防御者采取無記憶的動作模式，當前狀態所進行的防御動作與之前的攻擊者動作、防御者動作以及系統狀態均沒有概率影響。在博弈過程中，防御者動作具有最優先權限，即當防御者采取動作時，系統隨之立即進行狀態的轉移，而無視于攻擊者的攻擊進程。

2) 攻擊者動作：攻擊者通過弱點探測、漏洞利用以及提權等網絡攻擊手段對系統進行攻擊。考慮高級攻擊者類型，模型允許攻擊者在攻擊過程中是有記憶的，記憶內容為攻擊者采取過的策略和系統歷史信息，其中，系統歷史信息包括防御者在當前執行單元所進行的端信息與平臺屬性跳變歷史以及系統弱點信息歷史等。

3) 空動作：沒有任何動作的執行。模型允許攻防雙方均存在空動作，其原因在于策略的“隨機性”以及雙方掌握對方的不完全信息。一方面，攻擊動作包括并很大程度上依賴于前期的弱點探測過程，攻擊動作的執行并不一定導致系統的崩潰，那么防御者可能將探測數據流誤認為正常流量而不采取防御措施；另一方面，攻擊者相對擁有更多的主動性與適應性，例如潛伏行為。

2) 從防御者的角度，為區別于MG-MTD模型，分兩種情況討論。

3.3 安全性分析

推導得

3.4 優化防御策略選擇

盲目、無指導的主動防御措施往往會導致過高的性能損失，降低防御性價比，優化的防御策略需要根據具體的安全狀態進行有針對性的調整[14]。本節分析防御系統如何利用擬態防御馬爾可夫模型選擇最優的防御策略，其中，包括攻防雙方不同策略的收益與代價評估標準，然后針對防御者分析系統最優防御策略，并給出策略選擇算法。

擬態防御范圍主要針對目標系統元功能的數據處理以及輸出數據可信可靠，其跳變與動態變換過程能夠對系統狀態進行刷新，非相似冗余度執行體同時保證了元功能可用性。那么對于防御者而言，攻防博弈過程中的收益包括擬態防御所產生的系統動態性、冗余體同源關聯度的降低、容忍度（輸出可信度）的提高以及可利用攻擊表面的刷新，而安全性的提高意味著可能存在的系統性能的下降或功耗的增加，由于冗余執行與擬態裁決機制，忽略動態變換過程對元功能可用性的影響；另一方面，從攻擊者的角度，考慮高級攻擊者能夠對目標系統進行充分的弱點挖掘與滲透，那么針對防御系統的攻擊過程會隨系統的動態變化而進行策略進化[15]，這就要求防御系統做出針對特定攻擊向量的策略，本文定義可利用攻擊表面為攻擊者為滲透目標系統所能夠利用的攻擊資源包括系統弱點和網絡路徑等。本文不考慮攻擊者的攻擊行為本身的消耗，即認為其可利用攻擊資源不受限制，則攻擊者的收益來源為目標系統可利用攻擊表面的增加，同時本模型認為攻擊者是適應型、有記憶的，對已利用攻擊表面能夠進行相似偵測與同源攻擊，那么同防御者收益對應的冗余體相似性的增加作為攻擊者的攻擊收益。

定理2 MGMD博弈過程必然存在納什均衡策略。

證明 MGMD為二維馬爾可夫博弈過程，其狀態是有限的（+1個狀態），且攻防雙方采取有限的混合策略，那么根據相關研究[17-18]可證MGMD存在納什均衡策略。

根據以上分析，現給出基于MGMD博弈過程的最優防御策略選擇算法OSSA，詳細過程如下所示。

輸入 網絡與系統配置參數

輸出 MGMD最佳防御策略

Begin

對攻擊者攻擊類型、防御系統脆弱性進行評估，建立可用的資源集合、威脅集合；

根據系統信息與威脅模型構造攻防策略集；

輸入MGMD狀態轉移概率，建立MGMD博弈模型；

計算攻防雙方動作收益；

輸出最優策略；

End

4 基于SDN的MGMD框架設計

SDN分離了網絡數據與控制，并將控制權限集中于控制服務器。控制服務器對外分為南向接口與北向接口，北向接口連接網絡定制功能的應用服務器，南向接口連接交換機客戶端，來自南向接口的網絡流請求經過控制服務器處理下發至交換機產生特定的網絡流規則，這種輸入、處理、輸出的工作模式吻合擬態防御系統的防御條件。因此，MGMD基于SDN中控制服務器設計的防御框架如圖4所示，框架包括網絡狀態監測模塊、防御決策模塊、裁決機制以及冗余執行體。

圖4 基于SDN的MGMD框架

MGMD框架各個組成模塊作用及工作過程如下：網絡狀態監測模塊負責監聽當前網絡狀態，并接收來自南向接口的網絡數據請求；冗余執行體負責處理網絡請求并輸出；裁決機制對冗余執行體的輸出數據進行一致性判決，輸出判決后的數據并將冗余執行體的裁決結果反饋到防御決策模塊；防御決策模塊同時接收來自網絡監測模塊與裁決機制的信息，根據網絡安全狀態與反饋信息確定具體的主動防御策略，并將這一控制流下發至冗余執行體進行防御實施。

5 實驗驗證與分析

為驗證擬態防御馬爾可夫博弈模型以及防御策略選擇算法的有效性，本文進行了相應的實驗與分析。

5.1 MGMD模型有效性與安全性分析

根據本文第3節分析，MGMD模型體現擬態防御系統中攻防雙方博弈過程，其中，攻擊者以到達狀態作為攻擊的最終目的，由于MGMD狀態馬爾可夫性，具體狀態轉移依賴于攻防雙方所采取的當前策略。為更好地刻畫模型安全性，以MCMC（馬爾可夫鏈蒙特卡洛）方法對博弈過程進行仿真，仿真平臺為Matlab R2014a。

實驗仿真選擇多目標隱藏[9]與擬態防御進行對比，其中，多目標隱藏中目標數量為3，擬態防御實驗參數中，冗余執行體數量為5，執行體可調度空間為13，攻擊者達到攻擊目的所需控制的目標數量均為=3，即防御容忍度為3且攻防雙方對參與博弈進行的泊松過程參數相等，采取動作互斥且概率均為0.5，在實際場景中攻擊者與防御者博弈過程可能是瞬時的，仿真過程定義每次狀態發生過程出現在一個時間片內。本文對500個狀態進行抽樣，詳細狀態轉移過程結果如圖5所示。

根據前文描述，系統初始狀態即狀態0為未受到任何攻擊的狀態，攻防博弈過程從狀態0開始，經過多次狀態轉移達到狀態為攻擊完成狀態。數據表明多目標隱藏M3-MTD過程更容易進入狀態，而擬態防御MGMD過程在經歷了59次狀態轉移之后首次到達狀態，且在全局分布中較為稀疏；圖6描述了兩種馬爾可夫博弈過程狀態分布，可以看出多目標隱藏博弈狀態多集中于中間狀態，狀態0與狀態數量相當，而MGMD則集中于狀態0，狀態分布明顯少于M3-MTD，那么從安全防御的角度，狀態分布越集中于狀態0，系統防御有效性越優，相比多目標隱藏，擬態防御模型中攻擊者控制多個目標攻擊完成的概率更小。

圖5 狀態轉移過程

圖6 MGMD與M3-MTD狀態分布

5.2 網絡實例分析

為分析MGMD模型攻防雙方的具體行為策略與博弈收益，以確定最優防御策略，驗證第4節策略選擇算法的有效性，本節實驗仿真通過一個具體的網絡拓撲探討以上問題。

圖7所示為軟件定義數據中心網絡部分網絡節點拓撲，控制服務器作為擬態防御措施的應用目標，采取多個控制服務器作為冗余執行體協同工作，同時攻擊者可以通過網絡等途徑訪問控制服務器。應用服務器作為控制服務器的應用提供者。

圖7 實驗網絡拓撲

威脅模型：本文假定攻擊者能夠實施高級持續威脅，能夠繞過網絡防火墻滲透到數據中心服務器集群，通過入侵控制服務器篡改控制器輸出數據進而改變網絡流規則，達到控制目標網絡的目的。

擬態防御范圍：控制服務器集群，不包括控制器北向連接的應用數據服務器等。

表2 系統配置參數及弱點信息掃描結果

表3 攻防雙方策略集合

表4 狀態轉移概率

攻防過程中，攻擊者能夠對系統弱點進行掃描、發現，即擬態防御系統不能有效阻止全部的探測行為，包括針對網絡的掃描，IP端口、服務開放情況，針對主機的掃描，操作系統類型版本、系統漏洞等。攻擊者每一次動作僅能對已掃描到的一個系統弱點進行利用，且對于已獲取的系統弱點不再重復探測，那么MGMD的博弈過程不分析攻擊鏈的掃描探測階段，而側重于針對漏洞弱點的系統防御頑健性，因此在實際部署的網絡場景中，由于探測的復雜性，這種攻擊成功率要低得多。防御手段主要為系統主動防御方法如ASLR、ISR以及其他提高系統多樣性方式等，MGMD博弈為不完全信息非零和博弈，那么防御者對攻擊者當前的策略是未知的，因此防御動作存在空操作NOP。綜上列出針對漏洞的主要攻防策略如表3所示，CVSS是對系統弱點類型、攻擊復雜度以及所需權限等屬性進行量化分析的工具[19]，實驗使用CVSS 3.0對掃描到的系統漏洞進行評估，而相應的攻擊成功概率在文獻[20]中已經進行了研究。本文以此可以得出MGMD狀態轉移概率如表4所示。

在攻防雙方收益量化分析方面，通常基于特定類型的系統弱點進行具體評估，主要包括漏洞發生頻率、攻擊復雜度，對于防御方通常考慮防御回報以及防御代價等，結合相關研究[20]以及擬態防御特殊性，根據收益函數計算各狀態下的雙方收益矩陣如表5所示。然后通過Matlab中的非線性規劃工具集得出均衡策略與收益如表6所示。

表5 收益矩陣

表6 均衡策略與雙方收益

圖8 MGMD攻防狀態轉移

圖9 單執行體攻防狀態轉移

防御時效性分析：主動防御技術中如何選擇防御動作執行頻率以提高時效性是需要考慮的一個關鍵問題。由上文所述，對于單執行體防御系統而言，例如基于網絡地址跳變的MTD技術，防御動作跳變頻率越高，對攻擊者所呈現的動態性越大，那么外部攻擊者對該系統的滲透攻擊難度就越大；與此不同的是，MGMD模型的攻防過程中存在單個執行體被攻擊者控制的狀態，而由于異構冗余執行體結構，攻擊者需要攻擊足夠多的執行體才能實現對整個系統的控制。那么，MGMD模型對防御時效性的要求要弱于單執行體動態防御。

局限性分析：案例分析了擬態防御過程中對動態性策略的指導性，而對于具體的多樣化方向未能體現；案例僅選擇對提取權限均有直接利用價值的系統弱點；狀態轉移圖未能體現所有的攻防交互過程，一些低收益的策略沒有發生，因而不具完全性，例如由于防御者掌握不完全信息，狀態自轉移路徑中存在防御者采取非恰當防御動作的情況；對于多個執行體共有漏洞，狀態圖僅顯示了兩次利用該漏洞實現多個目標控制，而未能體現出其更高級的協同攻擊特點。

總之，從防御的角度講，動態性策略不能采取盲目的隨機化，均衡策略體現了最大化防御收益的策略選擇，從而使防御更具針對性、有效性。

6 結束語

網絡擬態防御技術通過其冗余執行體多樣性、動態性以及裁決反饋機制增強了防御頑健性，而對于其安全性評估尚缺少有效的分析模型。現有的基于博弈論的分析方法多具有靜態性局限，本文建立擬態防御Markov博弈模型，通過定義多種狀態路徑轉移描述執行體冗余性、多樣性以及裁決反饋機制對攻防博弈過程的影響，并根據攻防模型馬爾可夫性質建立安全度量模型，以分析擬態防御系統冗余執行體規模、可調度空間以及防御容忍度與防御效果的關系，結合擬態防御特點將經典攻防博弈模型擴展為動態性、多階段的Markov博弈模型。最后，考慮主動防御對性能的損耗，通過非線性規劃解決攻防博弈混合策略選擇問題。通過與移動目標防御中多目標隱藏技術對比驗證了擬態防御具有更高的安全性，并基于SDN安全場景給出防御策略確定方案。

本文主要針對基于系統、協議漏洞的攻擊類型，具有一定的通用性。下一步的工作主要解決兩個方面的問題：一方面，擬態防御技術具有較為復雜的防御方案，文中所提的基于防御容忍度的狀態轉移尚為簡單籠統，無法完全反映冗余執行體具體的動態防御路徑；另一方面，針對具體的網絡攻擊行為，其在目標系統所呈現的攻擊痕跡通常具有一定的特征，例如具體到系統某一特定層面上，而這一特征可以被裁決反饋機制捕獲從而分析出攻擊類型，本模型策略確定方案未充分體現擬態裁決反饋機制的作用。

[1] SUBRAHMANIAN V S, OVELGONNE M, DUMITRAS T, et al. The global cyber-vulnerability report[M]. Springer International Publishing, 2015.

[2] OKHRAVI H, HOBSON T, BIGELOW D, et al. Finding focus in the blur of moving-target techniques[J]. IEEE Security & Privacy Magazine, 2014, 12(2):16-26.

[3] 鄔江興. 網絡空間擬態防御研究[J]. 信息安全學報, 2016, 1(4): 1-10.

WU J X. Research on cyber mimic defense[J]. Journal of Cyber Security, 2016, 1(4):1-10.

[4] PRAKASH A, WELLMAN M P. empirical game-theoretic analysis for moving target defense[C]//ACM Workshop on Moving Target Defense. 2015: 57-65.

[5] ELDOSOUKY A R, SAAD W, NIYATO D. Single controller stochastic games for optimized moving target defense[C]//ICC 2016 IEEE International Conference on Communications. 2016:1-6.

[6] FARHANG S, MANSHAEI M H, ESFAHANI M N, et al. A dynamic bayesian security game framework for strategic defense mechanism design[M]//Decision and Game Theory for Security. Springer International Publishing, 2014:319-328.

[7] KAMBHAMPATI S, KAMBHAMPATI S, KAMBHAMPATI S, et al. Moving target defense for web applications using bayesian stackelberg games[C]//International Conference on Autonomous Agents & Multiagent Systems. 2016:1377-1378.

[8] LEI C, MA D H, ZHANG H Q. Optimal strategy selection for moving target defense based on markov game[J]. IEEE Access, 2017, PP(99):1-1.

[9] MALEKI H, VALIZADEH S, KOCH W, et al. Markov modeling of moving target defense games[C]//ACM Workshop on Moving Target Defense. 2016:81-92.

[10] 魏帥, 于洪, 顧澤宇, 等. 面向工控領域的擬態安全處理機架構[J]. 信息安全學報, 2017, 2(1):54-73.

WEI S, YU H, GU Z Y, et al. Architecture of mimic security processor for industry control system[J]. Journal of Cyber Security, 2017, 2(1): 54-73.

[11] 仝青, 張錚, 張為華, 等. 擬態防御Web服務器設計與實現[J]. 軟件學報, 2017, 28(4):883-897.

TONG Q, ZHANG Z, ZHANG W H, et al. Design and implementation of mimic defense Web server[J]. Journal of Software, 2017, 28(4): 883-897.

[12] 馬海龍, 伊鵬, 江逸茗, 等. 基于動態異構冗余機制的路由器擬態防御體系結構[J]. 信息安全學報, 2017, 2(1):29-42.

MA H L, YI P, JIANG Y M, et al. Dynamic heterogeneous redundancy based router architecture with mimic defense[J].Journal of Cyber Security, 2017,2(1):29-42.

[13] CARTER K M, RIORDAN J F, OKHRAVI H. A game theoretic approach to strategy determination for dynamic platform defenses[C]//ACM Workshop on Moving Target Defense. 2014:21-30.

[14] WANG H, LI F, CHEN S. Towards cost-effective moving target defense against DDoS and covert channel attacks[C]//ACM Workshop on Moving Target Defense. 2016:15-25.

[15] WINTERROSE M L, CARTER K M. Strategic evolution of adversaries against temporal platform diversity active cyber defenses[C]// Proceedings of the Agent-Directed Simulation Symposium at the Spring Simulation Multi-conference. 2014: 68-76.

[16] DORASZELSKI U, ESCOBAR J F. A theory of regular Markov perfect equilibria in dynamic stochastic games: genericity, stability, and purification[J]. Theoretical Economics, 2010, 5(3): 369-402.

[17] BORKOVSKY R N, DORASZELSKI U, KRYUKOV Y. A user’s guide to solving dynamic stochastic games using the homotopy method[J]. Operation Research, 2010, 58(4): 1116-1132

[18] 陳小軍, 方濱興, 譚慶豐, 等. 基于概率攻擊圖的內部攻擊意圖推斷算法研究[J]. 計算機學報, 2014, 37(1): 62-72

CHEN X J, FANG B X, TAN Q F, et al. Inferring attack Intent of malicious insider based on probabilistic attack graph model[J]. Journal of Computer, 2014, 37(1): 62-72.

[19] SINGH U K, JOSHI C. Quantitative security risk evaluation using cvss metrics by estimation of frequency and maturity of exploit[C]// Proceedings of the World Congress on Engineering and Computer Science (WCECS2016). 2016.

[20] 姜偉, 方濱興, 田志宏, 等. 基于攻防博弈模型的網絡安全測評和最優主動防御[J]. 計算機學報, 2009, 32(4): 817-827.

JIANG W, FANG B X, TIAN Z H, et al. Evaluating network security and optimal active defense based on attack-defense game model[J]. Journal of Computer, 2009, 32(4): 817-827.

Markov game modeling of mimic defense and defense strategy determination

ZHANG Xingming, GU Zeyu, WEI Shuai, SHEN Jianliang

National Digital Switching System Engineering & Technological R&D Center, Zhengzhou 450002, China

Network mimic defense technology enhances the robustness of active defense through the redundancy, dynamic and diversity as well as the decision feedback mechanism. However, little work has been done for its security assessment and existing classic game models are not suitable for its dynamic characteristics and lack of universality. A Markov game model was proposed to analyze the transfer relationship between offensive and defensive status and the measurement method of safety and reliability of mimic defense, and calculated the offensive and defensive game equilibrium through non-linear programming algorithm to determine the best defensive strategy considering performance. Experiments give a comparison with the multi-target hiding technique and shows that the mimic defense has a higher defensive effect. Combining with the specific network case, the specific attack and defense path for the exploit of the system vulnerability is given and the effectiveness of the defense strategy algorithm is verified.

network mimic defense, Markov game, redundant execution units, defense robustness, active defense strategy

TP393

A

10.11959/j.issn.1000-436x.2018223

張興明（1963?），男，河南新鄉人，國家數字交換系統工程技術研究中心教授，主要研究方向為擬態安全、高性能計算等。

顧澤宇（1993?），男，遼寧沈陽人，國家數字交換系統工程技術研究中心碩士生，主要研究方向為網絡主動防御、網絡安全等。

魏帥（1984?），男，河南南陽人，博士，國家數字交換系統工程技術研究中心講師，主要研究方向為擬態安全、嵌入式計算等。

沈劍良（1982?），男，浙江德清人，博士，國家數字交換系統工程技術研究中心講師，主要研究方向為可重構計算等。

2017?12?06；

2018?09?22

國家自然科學基金資助項目（No.61572520, No.61521003）；國家科技重大專項基金資助項目（No.2016ZX01012101）

The National Natural Science Foundation of China (No.61572520, No.61521003), The National Science and Technology Major Project of China (No.2016ZX01012101)