蔣侶，張恒巍,2，王晉東

（1. 戰略支援部隊信息工程大學三院，河南 鄭州 450001；2. 信息保障技術重點實驗室，北京 100093）

1 引言

網絡系統作為國家關鍵基礎設施，對電力、交通、金融、能源、航運等重要領域的有效運轉具有關鍵支撐作用[1]。然而頻繁爆發的網絡安全事件表明，網絡安全形勢十分嚴峻。網絡攻防對抗中“易攻難守”的特點突出，攻擊者具有時間優勢、信息不對稱優勢和成本優勢[2]。移動目標防御（MTD, moving target defense）作為主動防御技術，能夠有效地提升防御效能，其核心思想是利用多樣化、隨時間持續變化的機制和策略，來增加網絡攻擊的復雜度和成本，降低網絡系統脆弱性暴露和被攻擊的概率，提升防御能力[3]。防御策略選取方法是提升防御效能的關鍵和最佳途徑，也是移動目標防御領域的研究重點。

網絡安全的本質是攻防對抗，因此從攻防對抗的角度出發，研究探索網絡攻防分析和防御決策方法體系具有重要的現實意義[4]。博弈理論與網絡攻防所具有的目標對立性、關系非合作性和策略依存性十分吻合[5]。目前，運用博弈理論開展移動目標防御決策研究已經取得部分成果。文獻[6]提出了一種基于完全信息靜態博弈的MTD模型，但是由于采用完全信息條件，在描述實際攻防過程時準確性不足。文獻[7]對此加以改進，采用不完全信息靜態博弈研究 MTD的防御機理。文獻[8]進一步針對MTD與Web平臺的適配性，提出了基于不完全信息靜態博弈的最優防御策略選取方法，增強了網絡防御效能。但是，以上成果均以靜態博弈模型為基礎，由于網絡攻防具有動態性，攻防雙方同時行動的限制條件很難滿足。因此，動態不完全信息博弈更加符合實際，研究成果的實用性和指導意義更大。

從網絡攻防實際出發，信號博弈模型（SGM,signaling game model）因為可以準確地描述情報信息對攻防雙方策略選擇的關鍵作用而受到研究者的特別關注。文獻[9]針對DDoS攻擊的防御決策問題，采用信號博弈模型研究攻防行為和信號作用機理，設計了防御決策算法。文獻[10]通過分析精煉貝葉斯均衡，對信息安全威脅定量評估進行了研究。文獻[11]采用信號博弈來建模攻防場景，設計了一種信息安全防御機制。但是，上述理論研究成果未與具體防御機制結合，在網絡防御實踐應用方面存在不足。

本文以信號博弈理論和移動目標防御原理為基礎，探索結合2種方法優勢的主動防御機制，首先，從攻擊面轉換（ASS, attack surface shifting）和探測面擴展（ESE, exploration surface enlarging）的角度形式化來定義移動目標防御策略，通過主動改變目標系統的資源屬性，提升系統的防御主動性。其次，針對攻防信息的不完全性和攻防過程的動態性，基于對防御者釋放信號機制的一般性分析，采用防御者為信號發送者、攻擊者為信號接收者的結構對網絡攻防過程進行建模和博弈分析，提出精煉貝葉斯均衡求解方法，設計最優主動防御策略選取算法。最后，利用仿真實驗驗證了本文模型和方法的有效性，通過分析實驗結果，總結結合信號博弈和移動目標防御方法實施綜合性主動防御的特點規律。

2 移動目標防御信號博弈模型

2.1 移動目標防御機制

在網絡攻防對抗中，如果防御者能夠通過主動行為對攻擊者的決策與行動實施干擾或影響，則體現了主動防御思想，具有更好的防御效果[12]。移動目標防御是一種典型的主動防御技術，通過增加網絡系統的動態性和隨機性，從時空維度提高網絡系統結構的不可預測性，削弱和降低攻擊者在網絡對抗中的優勢[13]。

定義1 攻擊面（AS, attack surface）是指防御者為了防止攻擊者利用某些系統資源脆弱性成功發起攻擊所需轉移或變換的資源集合，由攻擊面維度及其取值構成，記為AS={ASD,ASV}。其中，系統表示攻擊面維度的取值。

定義2探測面（ES, exploration surface）是指攻擊者為了能夠進入目標系統并實現攻擊目的所需探索的系統資源集合，由探測面維度及其取值范圍構成，即ES={ESD,ESV}。其中，探測面維度為，表示攻擊者所探測到的系統資源集合，即目標系統資源配置屬性，如系統指紋、數據存儲位置等；表示攻擊者所探測到的系統資源維度的取值范圍。

參考文獻[13-14]，給出2種主要防御手段，即攻擊面轉換和探測面擴展的定義。

定義3攻擊面轉換是指在t時刻，目標系統滿足以下2個條件之一，則說明目標系統攻擊面發生了轉換。

定義4探測面擴展是指t時刻，目標系統滿足以下2個條件之一，則說明探測面發生了擴展。

MTD通過靈活組合使用探測面擴展和攻擊面轉移、攻擊面變換等手段，能夠有效增強目標系統的動態性、多樣性和不確定性，提高目標系統的攻擊難度。

2.2 基于信號博弈的移動目標防御分析

分析網絡攻防對抗實際場景可知，一方面，因為網絡信息系統的開放互聯需求、服務監管的要求等約束，網絡系統的防御能力、防御策略，甚至防御設備都是公開信息；另一方面，攻擊者往往采用嗅探、掃描等技術手段主動收集網絡系統的防御情報。上述由攻擊者抓取或防御者釋放的有關防御信息是攻擊行動決策和規劃的重要依據，本文將其定義為防御信號。從主動防御思想出發，防御者通過有選擇地主動釋放真實描述網絡系統的信息（真實信號）或與網絡系統真實情況不一致的信息（虛假信號），影響或制約攻擊者的情報判斷和行動規劃，增強攻擊者對目標的認知難度，提升防御效果。

由于網絡對抗中防御者一般會事先部署和實施防御策略，本文將防御者定義為信號博弈的leader和信號發送者，攻擊者定義為信號博弈的follower和信號接收者。結合MTD機制在實際攻防對抗過程中的特點，該類型博弈具有如下特征。

1) 主動性

攻防雙方不會將己方關鍵的博弈策略信息告知對方，攻擊者可以通過網絡探測手段獲取目標系統的脆弱性信息；防御者通過轉換攻擊面中網絡資源的脆弱性維度和取值或者擴展探測面的維度空間和取值范圍，可以降低或避免系統脆弱性暴露的可能。因此，作為信號發送方的防御者通過主動釋放虛假攻擊面或者探測面信息，欺騙、迷惑作為信號接收方的攻擊者。相比單純的主動防御手段，利用信號博弈機制可以增強防御者在攻防過程中的主動性，提升MTD的防御效果。

2) 不完全信息性

由于攻防雙方都希望在對抗過程中占據信息優勢，攻擊者與防御者會盡可能地減少自身博弈信息的暴露程度。因此，攻防雙方的對抗博弈具有不完全信息性。

3) 動態性

在攻防過程中，攻防雙方的行動有先有后，攻擊者在接收到防御者釋放的防御信號后，基于自身對防御類型的先驗知識和后驗判斷，采取相應的攻擊策略，防御者根據攻擊策略采取針對性防御策略。因此，攻防博弈具有動態性。

由于防御者無法預知遭受攻擊的時間，MTD實際應用中一般采取固定周期或動態周期機制變換防御策略來抵御攻擊。MTD防御策略的內容主要包括改變攻擊面和探測面的維度空間、不同維度取值范圍和變化頻率。其中，AS/ES的維度空間代表各種網絡系統資源；AS/ES的維度取值范圍代表不同系統資源屬性的取值范圍；變化頻率代表單位時間內AS/ES的維度和取值范圍改變的次數，包括固定頻率和動態頻率2種方式。維度空間和取值范圍越大，變化頻率越高，表明系統結構的動態性和隨機性越強，攻擊者越難發現并有效利用系統脆弱性。綜上，將MTD防御策略形式化描述為一個五元組(asd,asv,esd,esv,sf)，其中，asd、asv、esd、esv的定義見2.1節，sf代表變化頻率。

2.3 博弈模型構建

本文采用信號博弈刻畫在攻防博弈過程中防御者采取MTD防御策略，同時主動釋放防御信號來欺騙、迷惑和誘導攻擊者，進而增強其對防御類型的不確定性，提升防御效能。本文定義防御者是信號發送方，攻擊者是信號接收方。

定義5移動目標防御信號博弈模型（MTDSG,moving target defense signaling game model）可以表示為七元組（N,T,M,B,p,,U），各參數定義如下。

1)N={Na,Nd}是博弈模型局中人集合，Na為攻擊者，Nd為防御者。

3)M為防御信號空間，由防御者釋放，信號名稱與防御者類型對應，防御者可以自主選擇發送真實信號或虛假信號。

4)B=(D,A)是博弈雙方的策略空間。為防御者的 MTD策略集合，，其中為攻擊策略，h≥1，hN+∈。

5)p是攻擊者的先驗信念集合，表示攻擊者對防御類型的先驗知識，記為，滿足

2.4 博弈策略收益量化

攻防策略收益量化直接影響博弈分析和均衡計算，也是最優防御策略選取的基礎。結合文獻[11,15]，本文對攻防策略收益進行量化計算。

定義6系統損失代價（SDC, system damage cost）是指攻擊者發動攻擊后給系統帶來的損失，一般由攻防策略共同決定，可認為是攻防策略的回報，通常用系統資源重要程度（C, criticality）、攻擊致命度（AL, attack lethality）、安全屬性損害（SAD, security attribute damage）進行描述，一般將防御策略實施后降低的系統損失代價作為防御回報。攻擊成本（AC, attack cost）是指攻擊者發現并利用系統資源脆弱性發動攻擊所付出的成本，通常包括對探測面的信息偵測和情報收集，以及發動攻擊行為所需的時間和系統軟硬件資源等。防御成本（DC, defense cost）是指防御者為隱藏自身防御類型信息，以及實施 MTD策略所需的時間和系統軟硬件資源。具體定義及計算方法參考文獻[16-17]。

定義7信號成本（SC, signal cost）是指防御者主動釋放虛假信號，用以欺騙、迷惑和誘導攻擊者所付出的代價。

依據不同等級防御策略的差異度量信號成本。參考文獻[11,18]，根據防御策略能夠應對的攻擊行動的權限不同，將SC分為3個等級，取值范圍分別為基于上述定義，參考本文改進的收益量化方法，可以得到攻防雙方的期望收益分別為

由于同一防御等級的防御策略成本大致相同，可以認為它們的防御收益也基本一致，若某個防御等級有m個防御策略，則可以認為防御者采用等概率選擇該等級的第k個防御策略，得到防御者在該防御等級下的期望收益為

3 博弈均衡計算與防御策略選取

3.1 博弈均衡計算

定義 8MTDSG的精煉貝葉斯均衡由策略組合(m?(td),a?(m))與后驗概率(t|dm)組成，并且滿足以下條件。

精煉貝葉斯均衡的具體計算過程可參考4.2節收益計算與4.3節均衡求解與防御策略選取。

3.2 最優防御策略選取算法及對比分析

基于上述研究，給出基于信號博弈的移動目標防御最優策略選取算法，如算法1所示。

算法 1基于信號博弈的移動目標防御最優策略選取算法

輸入MTDSG

輸出最優防御策略

11) 根據最優攻防策略求出滿足貝葉斯法則的攻擊者對防御類型的后驗概率推斷

15) end if

分析均衡求解算法可知，計算時間復雜度主要取決于精煉貝葉斯均衡解的計算過程，根據3.1節的分析，設防御類型空間和防御信號空間的大小為n，令，由動態博弈理論[19]可知，計算均衡的平均時間復雜度為存儲空間消耗主要集中在策略收益和均衡求解中間值的存儲上，為O(un)。

將本文提出的模型及方法和其他文獻進行對比，具體如表1所示，其中，博弈類型是指攻防雙方對博弈信息的掌握情況及博弈行為順序；局中人類型是指在博弈模型中博弈參與者是否區分不同類型和類型的多少，實際攻防對抗過程中攻防雙方在策略收益、行為成本等方面存在差異，局中人類型細化可以更好地提高攻防策略選取的準確性與針對性；信號機制是指攻防分析是否采用信號博弈以及設定的信號發送方；模型通用性是指博弈類型和攻防策略的數量是否能夠擴展；均衡求解是指文獻中是否給出了求解博弈均衡的具體方法，如果沒有將嚴重削弱實用性。

通過分析已有方法可知，文獻[6]是基于局中人具有完全信息的假設基礎之上的，但實際攻防過程中，由于攻防雙方偵察能力有限，同時攻防雙方均會減少或隱藏自身攻防信息暴露，因此網絡攻防對抗一般應作為不完全信息博弈考慮。文獻[7]是將攻防對抗作為靜態博弈進行研究，不符合實際攻防場景的動態性特征。文獻[9,17,20]以攻擊者作為信號發送方進行建模研究，基于 2.2節的分析，防御者釋放信號的情況具有更強的一般性，同時防御者可以利用信號機制主動欺騙、迷惑、誘導攻擊者，實施主動防御，具有更好的防御效果。文獻[21]將基于MTD的攻防對抗抽象為馬爾可夫博弈，無法分析攻防信息對博弈過程和結果的影響。

通過分析可知，對比文獻[6-7]中攻防模型的靜態性和信息完全性假設，本文方法基于動態攻防過程和不完全攻防信息開展研究。對比文獻[21]采用馬爾可夫博弈描述攻防過程，本文方法采用信號博弈進行建模研究，可以準確描述情報信息對攻防雙方策略選擇的關鍵作用。對比文獻[9,17,20]采用攻擊者作為信號發送方，本文方法使用防御者作為信號發送方，增強了方法的一般性，并能夠刻畫主動釋放防御信號來欺騙、迷惑和誘導攻擊者的主動防御機制。

本文工作針對攻防實際，基于移動目標防御原理設計防御策略，通過主動改變目標系統的資源屬性，增強了系統結構的動態性和隨機性，增大了攻擊者對目標系統及其防御措施的認知難度，提升了防御效能。同時，基于主動防御思想，結合信號博弈和移動目標防御的優點實施綜合防御，利用主動釋放針對性防御信號實現了防御欺騙，不但增加了防御樣式和手段，進一步提升了防御主動性，而且虛假防御信號的欺騙、迷惑作用可以擾亂和延遲攻擊行動，為移動目標防御策略的實施提供反應時間。

表1 模型與方法對比分析

4 仿真實驗與分析

4.1 仿真環境描述

為了驗證MTDSG模型和最優防御策略選取算法的可行性與有效性，構建如圖1所示的典型網絡系統[16]開展仿真實驗。實驗網絡系統主要由業務網、接入網和外部互聯網構成，其中業務網主要包括業務服務器、數據服務器和客戶端，接入網主要包括IIS網絡服務器和網絡防御設備。

圖1 實驗網絡系統拓撲

實驗網絡系統配置相應的訪問控制策略規定網絡節點之間的訪問權限[12]。利用Nessus漏洞掃描工具獲得網絡系統中各節點的資源脆弱性，如表2所示。

表2 網絡節點脆弱性

參考文獻[22-24]和美國 MIT林肯實驗室攻防行為數據庫[18]，給出攻擊和防御動作信息，分別如表3和表4所示。為方便攻防博弈分析，設防御者類型對應的防御信號為

表3 原子攻擊描述

表4 防御策略描述

4.2 收益計算

借鑒文獻[4,22]的方法，綜合考慮投入成本和專家意見，設定攻擊策略為；自然以概率選擇防御類型攻擊者對防御類型的先驗概率攻擊者收到信號m1后對防御類型的后驗修正概率為攻擊者收到信號m2對防御類型的后驗修正概率為防御信號成本(40,100,180)，網絡系統的安全屬性代價，其中IIS網絡服務器、業務服務器、數據服務器的SAD分別為20、30、50，資源重要度C分別為3、3、5。

參考文獻[11,16]和式(1)～式(3)，分別計算攻擊者與防御者的博弈收益。當防御者類型為高等級防御，防御策略為d1，釋放防御信號m1，攻擊者采取攻擊策略a1時，攻防雙方收益為

同理，當防御者采取策略d2、d3、d4時，攻防雙方收益分別為。綜上，該場景下攻擊者和防御者的平均收益分別為。同理求得其余攻防策略對應的收益，攻防博弈如圖2所示。

為了驗證仿真實驗中 MTD策略的有效性與針對性，考慮攻防對抗過程中目標系統性能受到的影響程度，借鑒文獻[25]中的量化計算方法對目標系統的服務質量進行分析，具體分析在不同攻防策略下，系統中Web服務和在線視頻服務的平均時延（ADT, average delay time），以此反映系統的性能損失。實驗分別對上述2種服務進行了15次測試，并與系統正常工作時的時延進行對比，獲得在攻防對抗情況下的平均時延。具體數據如圖2所示。

4.3 均衡求解與防御策略選取

按照3.1節給出的均衡計算步驟，求解MTDSG模型精煉貝葉斯均衡，并選取最優防御策略。

1)攻擊者推斷的最優攻擊策略

當m=m1時，有

圖2 攻防博弈樹

根據上式，當α∈[0,1]，a?(m1)=a1。

當m=m2時，同理有，當β∈[0,1]

2)防御者推斷的最優防御策略

3) 防御類型的后驗概率修正

4.4 實驗分析

仿真實驗采用Matlab2013a實現了防御策略選取算法，根據所得到的實驗數據，通過對攻防博弈過程、攻防收益和博弈均衡的一般性分析，可以發現結合 MTD和信號博弈進行綜合性主動防御的規律。

1) MTD策略的成本普遍較高，由表4可知，策略成本普遍大于傳統防御策略，但防御者采取MTD策略時防御收益普遍大于其他傳統防御策略。在仿真實驗中，選擇高等級防御類型，釋放高等級防御信號m2，防御收益分別為(3 075,2 980, 2 885)；選擇低等級防御類型，釋放高等級防御信號m2，防御收益分別為(2 920,2 675,2 235)。這說明相較于被動防御方式，MTD策略通過主動改變目標系統的不確定性，能夠增加攻擊者的攻擊難度，更加有效地抵御攻擊行為。

2) 由于攻擊者對防御者類型的后驗推斷直接影響攻防博弈過程和均衡求解，防御者可利用信號機制直接影響博弈過程和均衡策略求解。攻擊者根據先驗概率、防御者釋放的防御信號和防御者的最優策略使用貝葉斯法則對防御類型進行修正。因此利用信號機制防御者能夠影響攻擊者的后驗推斷的形成，提高防御者在攻防對抗過程中的主動性。

3) 防御者采取MTD策略同時結合信號博弈可以更加有效地增強主動防御效果。從防御策略特點和防御信號作用的角度分析，MTD策略是防御者通過目標系統脆弱性的隨機化、動態化和不確定化，使防御者在攻防過程中獲得基于目標系統自身的防御主動性；信號博弈可以使防御者通過主動選擇及釋放針對性信號，在攻防信息獲取和認知領域實現對攻擊者的欺騙、迷惑，削弱攻擊者的信息優勢，提升主動防御能力，并能為移動目標防御策略的實施提供準備和反應時間。

4) 低等級防御者通過信號機制發送誘導信號可以增強防御效果，提高防御收益。由圖2可知，當目標系統處于低等級防御時，使用高等級防御信號，防御者獲得的收益為(3 050,2 980,2 460)；而使用低等級防御信號時，防御收益為(2 920,2 675,2 235)。

綜上，低等級防御者偽裝成高等級防御者可以對攻擊者起到威懾、迷惑的效果，攻擊者無法清晰地認識防御者的虛實情況，導致攻擊者出于自身利益，一般采取保守的試探攻擊，在一定程度上能夠起到主動防御的效果。

5 結束語

移動目標防御是一種改變攻防不對稱、網絡防御“被動挨打”格局的前沿性主動防御技術，在實際應用中具有良好效果和巨大潛力。為進一步提升主動防御能力，本文將移動目標防御與信號博弈相結合，從攻擊面轉換和探測面擴展的角度定義防御策略，在分析攻防對抗過程的基礎上，構建了基于信號博弈的移動目標防御模型，設計了博弈均衡求解方法和最優防御策略選取算法，通過仿真實驗和數據分析，驗證了所提模型和方法的有效性，總結了結合信號博弈和移動目標防御方法實施綜合性主動防御的特點規律。本文的研究成果為信息受限的動態攻防過程中增強移動目標防御的效能提供了有效的模型方法，并能夠對防御策略的選取提供指導。

下一步工作主要包括從參數的靈敏度和多屬性分析角度改進移動目標防御策略的量化計算方法，提升博弈收益計算準確性；針對多階段連續性網絡攻防過程，結合隨機博弈和微分博弈開展研究，提高模型與方法的適用范圍。