多階段信號(hào)博弈的裝備保障信息網(wǎng)絡(luò)主動(dòng)防御*

王增光，盧 昱，李 璽

（1.陸軍工程大學(xué)石家莊校區(qū)裝備指揮與管理系，石家莊 050003；2.陸軍工程大學(xué)石家莊校區(qū)裝備模擬訓(xùn)練中心，石家莊 050003）

0 引言

裝備保障信息網(wǎng)絡(luò)是信息化條件下實(shí)施裝備保障業(yè)務(wù)的必要保證，是打贏現(xiàn)代化戰(zhàn)爭(zhēng)的重要支撐［1］。裝備保障信息網(wǎng)絡(luò)安全性的高低直接影響其為軍事行動(dòng)提供保障業(yè)務(wù)的質(zhì)量。現(xiàn)有針對(duì)裝備保障信息網(wǎng)絡(luò)的防御技術(shù)諸如身份認(rèn)證、防火墻等都屬于被動(dòng)、靜態(tài)的防御手段，只能基于先驗(yàn)知識(shí)解決網(wǎng)絡(luò)中單方面的安全問(wèn)題，難以有效確保裝備保障信息網(wǎng)絡(luò)的安全［2］。因此，如何能夠?qū)崿F(xiàn)裝備保障信息網(wǎng)絡(luò)的主動(dòng)防御，成為我軍裝備保障信息化建設(shè)過(guò)程中亟需解決的問(wèn)題。

在裝備保障信息網(wǎng)絡(luò)的攻防對(duì)抗中，如果防守方能夠?yàn)榉烙胧┻x取合適的偽裝信號(hào)，并通過(guò)主動(dòng)釋放偽裝信號(hào)來(lái)影響攻擊方的行動(dòng)，則能夠獲得更好的防御效果，是一種真正的網(wǎng)絡(luò)主動(dòng)安全防御模式［3］。但是，如何對(duì)裝備保障信息網(wǎng)絡(luò)的攻防過(guò)程進(jìn)行建模，并為防御策略選取合適的偽裝信號(hào)是一個(gè)非常復(fù)雜的問(wèn)題，目前在這方面的研究成果極其有限。

博弈論是研究具有斗爭(zhēng)關(guān)系的個(gè)體在相互制約的條件下如何采取最優(yōu)行動(dòng)的數(shù)學(xué)理論和方法，與網(wǎng)絡(luò)攻防對(duì)抗的本質(zhì)不謀而合［4］。基于博弈理論的網(wǎng)絡(luò)安全建模與分析方法逐漸成為研究的熱點(diǎn)。文獻(xiàn)［5］基于非零和攻防博弈對(duì)網(wǎng)絡(luò)攻防過(guò)程進(jìn)行建模，設(shè)計(jì)了一種最優(yōu)防御策略選取方法。文獻(xiàn)［6］將Markov 決策過(guò)程和博弈論思想相結(jié)合設(shè)計(jì)了Markov game 模型，來(lái)解決裝備保障信息網(wǎng)絡(luò)的安全態(tài)勢(shì)感知問(wèn)題。文獻(xiàn)［7］基于靜態(tài)貝葉斯博弈對(duì)網(wǎng)絡(luò)攻防過(guò)程進(jìn)行建模，設(shè)計(jì)了一種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析方法。但上述文獻(xiàn)在模型的設(shè)計(jì)過(guò)程中均假設(shè)攻防雙方同時(shí)采取行動(dòng)，限制了模型的實(shí)用性。為了使攻防博弈模型更加符合網(wǎng)絡(luò)實(shí)際，文獻(xiàn)［8］基于信號(hào)博弈對(duì)網(wǎng)絡(luò)攻防過(guò)程進(jìn)行建模，解決了傳統(tǒng)博弈要求攻防雙方同時(shí)行動(dòng)的問(wèn)題，但僅能應(yīng)用到單階段網(wǎng)絡(luò)攻防場(chǎng)景中，無(wú)法對(duì)動(dòng)態(tài)多階段的網(wǎng)絡(luò)攻防場(chǎng)景進(jìn)行分析。

本文基于多階段信號(hào)博弈對(duì)裝備保障信息網(wǎng)絡(luò)的攻防過(guò)程進(jìn)行建模，從信號(hào)偽裝的角度對(duì)裝備保障信息網(wǎng)絡(luò)的主動(dòng)防御進(jìn)行研究，設(shè)計(jì)了一種最優(yōu)偽裝信號(hào)選取方法。在網(wǎng)絡(luò)安全威脅發(fā)生前，防守方通過(guò)偽裝信號(hào)來(lái)誘導(dǎo)和欺騙攻擊方，實(shí)現(xiàn)對(duì)裝備保障信息網(wǎng)絡(luò)的主動(dòng)防御，對(duì)提高裝備保障信息網(wǎng)絡(luò)的安全防護(hù)能力具有重要意義。

1 網(wǎng)絡(luò)攻防博弈模型

1.1 網(wǎng)絡(luò)攻防博弈過(guò)程分析

在實(shí)際的裝備保障信息網(wǎng)絡(luò)攻防對(duì)抗中，攻防雙方采取各種攻防措施的最終目的是獲得最大的利益［9］。防守方在選取措施對(duì)裝備保障信息網(wǎng)絡(luò)進(jìn)行安全防御時(shí)，通過(guò)針對(duì)性地釋放偽裝信號(hào)對(duì)所有的防御措施進(jìn)行偽裝，能夠起到誘導(dǎo)或震懾攻擊方的作用，從而獲得更好的防御效果。由于裝備保障信息網(wǎng)絡(luò)的保密性，攻擊方無(wú)法得知防守方采取何種措施來(lái)保障裝備保障信息網(wǎng)絡(luò)的安全，但在實(shí)施攻擊行動(dòng)前能夠通過(guò)偵查等手段，分析探測(cè)裝備保障信息網(wǎng)絡(luò)的安全防御情況，形成對(duì)防守方采取防御措施的初始判斷。由于軍事對(duì)抗環(huán)境的特殊性，裝備保障信息網(wǎng)絡(luò)的攻防過(guò)程一般持續(xù)多個(gè)階段。隨著攻防過(guò)程的進(jìn)行，攻擊方對(duì)防守方選取措施的認(rèn)知越來(lái)越清晰，防守方釋放偽裝信號(hào)的效果逐漸減弱直至消失。

根據(jù)裝備保障信息網(wǎng)絡(luò)的攻防實(shí)際，結(jié)合信號(hào)博弈的基本原理［9］，將防守方定義為攻防對(duì)抗的先行者，攻擊方定義為攻防對(duì)抗的跟隨者。在偽裝信號(hào)的作用下，攻防雙方進(jìn)行多階段對(duì)抗博弈，通過(guò)對(duì)各個(gè)階段的博弈過(guò)程進(jìn)行分析選取最優(yōu)偽裝信號(hào)。

1.2 多階段信號(hào)博弈模型的定義

區(qū)別與傳統(tǒng)的互聯(lián)網(wǎng)，裝備保障信息網(wǎng)絡(luò)的攻防對(duì)抗更加激烈，網(wǎng)絡(luò)攻防的參與者多為紀(jì)律性強(qiáng)、配合度高、組織性好的作戰(zhàn)人員，使得網(wǎng)絡(luò)攻防具有較強(qiáng)的目的性。攻防雙方為了追求利益的最大化，不會(huì)作出無(wú)利可圖的決策，這符合博弈理論要求博弈參與者必須是理性的前提，為基于博弈論對(duì)裝備保障信息網(wǎng)絡(luò)的攻防進(jìn)行分析提供了諸多便利。

2 攻防策略收益量化

裝備保障信息網(wǎng)絡(luò)中攻防策略的收益量化情況是攻防雙方行動(dòng)選擇的基礎(chǔ)，直接影響最優(yōu)偽裝信號(hào)的選取。因此，合理地對(duì)攻防策略的收益進(jìn)行量化是十分有必要的。結(jié)合裝備保障信息網(wǎng)絡(luò)攻防實(shí)際，在考慮實(shí)施偽裝信號(hào)成本的基礎(chǔ)上，通過(guò)分析攻防行動(dòng)對(duì)網(wǎng)絡(luò)安全設(shè)備價(jià)值的影響來(lái)量化攻防策略的收益。

定義1 信號(hào)偽裝成本。其反映了防守方為實(shí)現(xiàn)欺騙或震懾攻擊方的目的，對(duì)實(shí)施的防御策略進(jìn)行偽裝所付出的代價(jià)，用SC 表示。通過(guò)防御策略的真實(shí)防御強(qiáng)度等級(jí)與偽裝后的防御強(qiáng)度等級(jí)之間的差距，對(duì)SC 進(jìn)行相對(duì)量化，采用區(qū)間［0，10］內(nèi)的整數(shù)值表達(dá)。防御策略的實(shí)際防御效果和偽裝防御效果的分級(jí)與賦值，可以參考文獻(xiàn)［10］進(jìn)行。

定義2 攻防收益。其反映了攻防雙方進(jìn)行一次對(duì)抗所能獲得的收益。攻擊方只有在攻擊成功后才能獲得收益，攻擊收益可以通過(guò)網(wǎng)絡(luò)設(shè)備價(jià)值、攻擊損害度和攻擊成功概率進(jìn)行量化，上述概念的詳細(xì)定義見(jiàn)文獻(xiàn)［11］。攻擊收益的量化公式為：

無(wú)論防御成功與否，防守方均能獲得收益。防御成功時(shí)，防守方成功保護(hù)網(wǎng)絡(luò)系統(tǒng)價(jià)值，獲得直接收益；防御失敗時(shí)，防守方能夠獲得攻擊方的相關(guān)攻擊信息，提高了下次防御成功的概率，從而能夠獲得間接收益。防御收益可以通過(guò)網(wǎng)絡(luò)設(shè)備價(jià)值，攻擊損害度，攻擊成功率，折扣因子和信號(hào)偽裝成本進(jìn)行量化。防御收益的量化公式為：

3 最優(yōu)偽裝信號(hào)選取

3.1 精煉貝葉斯均衡求解

3.2 多階段最優(yōu)偽裝信號(hào)選取算法

基于信號(hào)博弈的多階段最優(yōu)偽裝信號(hào)選取算法如算法1 所示。

基于博弈理論的網(wǎng)絡(luò)安全防御研究的關(guān)鍵是博弈模型的設(shè)計(jì)符合網(wǎng)絡(luò)運(yùn)行實(shí)際情況。將本文提出的方法與文獻(xiàn)［5-8］提出的方法進(jìn)行對(duì)比，以此來(lái)說(shuō)明本文提出方法的優(yōu)越性，對(duì)比結(jié)果如下頁(yè)表1 所示。博弈類(lèi)型是指博弈模型應(yīng)用的場(chǎng)景對(duì)攻防雙方信息需求和博弈順序的要求。與完全信息博弈相比，本方法考慮了攻防雙方不清楚對(duì)方信息的情況；與靜態(tài)博弈相比，本方法不要求攻防雙方同時(shí)行動(dòng)，能夠動(dòng)態(tài)地分析網(wǎng)絡(luò)攻防過(guò)程。博弈過(guò)程是指攻防過(guò)程持續(xù)的階段數(shù)。與單階段博弈模型相比，本方法能夠分析多階段網(wǎng)絡(luò)攻防過(guò)程，更加符合網(wǎng)絡(luò)攻防實(shí)際情況。收益量化是指是否給出詳細(xì)、可靠的收益量化方法。本方法從攻防行動(dòng)對(duì)網(wǎng)絡(luò)設(shè)備安全價(jià)值影響的角度出發(fā)進(jìn)行攻防收益的量化，確保后續(xù)博弈分析結(jié)果的準(zhǔn)確、可信；而文獻(xiàn)［6］沒(méi)有給出攻防收益的具體量化方法，文獻(xiàn)［7］沒(méi)有給出通用的量化方法，文獻(xiàn)［5，8］給出的量化方法主觀性較強(qiáng)。模型的通用性是指博弈模型能否應(yīng)用到其他場(chǎng)景下的網(wǎng)絡(luò)安全防御。本方法中博弈模型的攻防策略集合和偽裝信號(hào)集合均可以擴(kuò)展至n中，不僅能夠解決裝備保障信息網(wǎng)絡(luò)的信號(hào)偽裝問(wèn)題，還適用于其他場(chǎng)景下的安全防御，模型的通用性較好；而文獻(xiàn)［5］博弈模型應(yīng)用的條件較為苛刻，難以應(yīng)用到實(shí)際的網(wǎng)絡(luò)安全防御中，文獻(xiàn)［6］存在狀態(tài)爆炸問(wèn)題，只適用于小規(guī)模網(wǎng)絡(luò)，文獻(xiàn)［7］僅適用于具有特定類(lèi)型的攻防場(chǎng)景，文獻(xiàn)［8］沒(méi)有給出均衡的求解方法，限制了模型的實(shí)用性。

算法1 最優(yōu)偽裝信號(hào)選取算法

表1 相關(guān)工作比較

4 仿真實(shí)驗(yàn)與分析

4.1 仿真實(shí)驗(yàn)環(huán)境

為了驗(yàn)證本文提出的多階段最優(yōu)偽裝信號(hào)選取方法的有效性和可行性，設(shè)計(jì)了實(shí)驗(yàn)網(wǎng)絡(luò)來(lái)模擬裝備保障信息網(wǎng)絡(luò)的骨干網(wǎng)，實(shí)驗(yàn)環(huán)境的拓?fù)浣Y(jié)構(gòu)如下頁(yè)圖1 所示。網(wǎng)絡(luò)安全威脅來(lái)自于外部網(wǎng)絡(luò)，安全防御規(guī)則僅允許外部節(jié)點(diǎn)訪問(wèn)郵件服務(wù)器、網(wǎng)絡(luò)服務(wù)器和內(nèi)部保障單元，內(nèi)部網(wǎng)絡(luò)的郵件服務(wù)器、網(wǎng)絡(luò)服務(wù)器和文件服務(wù)器允許訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器。攻擊方的最終目的是通過(guò)一系列的原子攻擊實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)服務(wù)器的root 訪問(wèn)權(quán)限，獲得裝備保障信息網(wǎng)絡(luò)的數(shù)據(jù)資源。

通過(guò)漏洞掃描器采集實(shí)驗(yàn)環(huán)境中的漏洞數(shù)據(jù)，在對(duì)漏洞數(shù)據(jù)、路由配置文件等信息進(jìn)行分析后，基于文獻(xiàn)［13］所提出的攻擊策略建模方法，能夠得到攻擊方可能的攻擊策略集合，如表2 所示，其中，“√”表示可選攻擊策略所包含的攻擊行動(dòng)，攻擊成本根據(jù)實(shí)施攻擊的難易程度進(jìn)行設(shè)定。

圖1 實(shí)驗(yàn)環(huán)境的網(wǎng)絡(luò)拓?fù)鋱D

表2 攻擊方的攻擊策略集合

防御策略是由不同的防御行動(dòng)組成，不同的防御行動(dòng)所帶來(lái)的防御效果和所需成本不同［14］。為了簡(jiǎn)化分析，選取高強(qiáng)度和低強(qiáng)度的防御策略各一個(gè)組成防御策略集合，如表3 所示，其中，“√”表示防御策略由以下防御行動(dòng)組成，防御成本根據(jù)實(shí)施防御的難易程度進(jìn)行設(shè)定。假設(shè)偽裝信號(hào)空間為，其中，θ1表示高等級(jí)偽裝信號(hào)，θ2表示低等級(jí)偽裝信號(hào)。

通過(guò)對(duì)防火墻和入侵檢測(cè)系統(tǒng)的日志得到攻防歷史數(shù)據(jù)，在對(duì)攻防歷史數(shù)據(jù)進(jìn)行分析的基礎(chǔ)上，結(jié)合安全專(zhuān)家的意見(jiàn)，攻擊方的先驗(yàn)信念為，攻擊行動(dòng)的相關(guān)參數(shù)如表4 所示。

網(wǎng)絡(luò)設(shè)備的安全屬性?xún)r(jià)值由其重要程度和所提供的服務(wù)決定。設(shè)定保障單元的安全屬性?xún)r(jià)值為（20，25，25），郵 件 服 務(wù) 器 的 安 全 屬 性 價(jià) 值 為（28，25，28）， 網(wǎng) 絡(luò) 服 務(wù) 的 安 全 屬 性 價(jià) 值 為（30，30，32），文 件 服 務(wù) 器 的 安 全 屬 性 價(jià) 值 為（28，30，32），數(shù)據(jù)庫(kù)服務(wù)器的安全屬性?xún)r(jià)值為（35，38，40），偽裝信號(hào)的成本為（2，5；6，1）。

表3 防守方的防御策略集合

表4 攻擊行動(dòng)的相關(guān)參數(shù)

4.2 多階段最優(yōu)偽裝信號(hào)選取

在攻防博弈的初始階段，偽裝信號(hào)沒(méi)有衰減，信號(hào)衰減度η1=1。在攻防收益量化的基礎(chǔ)上，第1階段的網(wǎng)絡(luò)攻防博弈樹(shù)如圖2 所示。

圖2 第1 階段網(wǎng)絡(luò)攻防博弈樹(shù)

在博弈的第2 階段，攻擊方將第1 階段得到的對(duì)防守方實(shí)施防御策略的后驗(yàn)概率推斷（0.4，0.6）作為本階段對(duì)防御策略的先驗(yàn)概率推斷。攻擊方在分析第1 階段博弈過(guò)程和結(jié)果的基礎(chǔ)上，增強(qiáng)了對(duì)偽裝信號(hào)的甄別能力。因此，本階段偽裝信號(hào)的偽裝效果減弱，假設(shè)信號(hào)衰減度η2=0.4。第2 階段的網(wǎng)絡(luò)攻防博弈樹(shù)如圖3 所示。

圖3 第2 階段網(wǎng)絡(luò)攻防博弈樹(shù)

隨著攻防階段的進(jìn)行，偽裝信號(hào)的偽裝效果進(jìn)一步減弱。博弈過(guò)程的分析與前兩階段相似，這里不作具體分析。

4.3 實(shí)驗(yàn)結(jié)果分析

通過(guò)對(duì)多階段信號(hào)博弈模型的均衡和攻防收益分析可知，裝備保障信息網(wǎng)絡(luò)的防御具有以下一般性規(guī)律：

1）在網(wǎng)絡(luò)資源有限的情況下，防守方通過(guò)主動(dòng)為防御策略選取并釋放合適的偽裝信號(hào)，能夠起到更好的防御效果。在前兩個(gè)階段的博弈過(guò)程中，最優(yōu)偽裝信號(hào)均為防御策略選取高等級(jí)偽裝信號(hào)，能夠獲得最優(yōu)的防御收益。這是由于防守方能夠通過(guò)釋放偽裝信號(hào)達(dá)到欺騙和震懾攻擊方的目的，誘導(dǎo)攻擊方對(duì)當(dāng)前的防御策略作出錯(cuò)誤的判斷，從而達(dá)到更好的防御效果。

2）信號(hào)偽裝機(jī)制與其他防御手段配合使用能夠達(dá)到更好的防御效果。由博弈過(guò)程的分析可知，偽裝信號(hào)的效果在多階段的攻防博弈過(guò)程中不斷衰減。這是由于攻擊方在分析前序階段博弈過(guò)程和結(jié)果的基礎(chǔ)上，能夠增強(qiáng)對(duì)偽裝信號(hào)的鑒別能力。因此，為了達(dá)到更好的防御效果，需要將信號(hào)偽裝機(jī)制與其他防御手段配合使用。

3）在資源允許的情況下，應(yīng)盡量選擇高水平的防御策略對(duì)網(wǎng)絡(luò)進(jìn)行安全防護(hù)。通過(guò)對(duì)攻防收益的量化結(jié)果可知，面對(duì)網(wǎng)絡(luò)攻擊時(shí)，高強(qiáng)度的防御策略收益總是大于低強(qiáng)度的防御策略收益。由此可見(jiàn)，加強(qiáng)對(duì)網(wǎng)絡(luò)安全防護(hù)的投入，提高防御能力，是解決裝備保障信息網(wǎng)絡(luò)安全問(wèn)題的根本。

5 結(jié)論

本文在分析裝備保障信息網(wǎng)絡(luò)攻防過(guò)程的基礎(chǔ)上，基于多階段信號(hào)博弈理論設(shè)計(jì)了最優(yōu)偽裝信號(hào)選取方法，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)的主動(dòng)防御，為裝備保障信息網(wǎng)絡(luò)的安全防御提供一種新的思路。但在研究的過(guò)程中，缺少對(duì)防御效果改善的評(píng)估，下一步將在此基礎(chǔ)上，進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的研究，通過(guò)評(píng)估防御策略實(shí)施前后網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的變化來(lái)量化防御效果。