基于AMI網(wǎng)絡(luò)分布式拒絕服務(wù)攻擊的蜜罐博弈模型

曹康華 王 勇 周 林 董偉偉

(上海電力大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 上海 200090)

0 引 言

高級(jí)計(jì)量基礎(chǔ)設(shè)施(Advanced Metering Infrastructure,AMI)是多種技術(shù)的綜合體，它是消費(fèi)者獲取實(shí)時(shí)用電信息的關(guān)鍵組成部分，并幫助他們優(yōu)化電力使用。同時(shí)，AMI使電網(wǎng)能夠及時(shí)接收有關(guān)消費(fèi)者的實(shí)時(shí)用電反饋，雙向交互可以確保和提高電力系統(tǒng)的可靠性[1]。但是，這種雙向通信也增加了AMI網(wǎng)絡(luò)面對(duì)惡意攻擊的脆弱性。在智能電網(wǎng)各種類型的威脅中，分布式拒絕服務(wù)(Distributed Denial of Service,DDoS)是典型的攻擊方式，DDoS攻擊是指任何可以通過(guò)使合法用戶無(wú)法訪問(wèn)資源來(lái)減少或消除網(wǎng)絡(luò)正常執(zhí)行的事件，它嚴(yán)重威脅網(wǎng)絡(luò)資源的可用性。針對(duì)該威脅，Peng等[2]提出了基于網(wǎng)絡(luò)的防御機(jī)制和DDoS攻擊的審查。Jiang等[3]引入了一個(gè)雙人零和博弈來(lái)處理DDoS流量注入。Chai等[4]基于動(dòng)態(tài)攻擊提出了博弈模型，并且計(jì)算納什均衡以解決攻擊檢測(cè)問(wèn)題。但是這些方法都不能夠達(dá)到能耗率和攻擊檢測(cè)率的平衡。基于蜜罐的方法是抵御DDoS攻擊的有效方法之一，在保護(hù)網(wǎng)絡(luò)的同時(shí)也消耗更少的資源。它還可以影響和干擾入侵者的選擇，有利于進(jìn)一步檢測(cè)入侵者的攻擊意圖。

因此，很多學(xué)者將博弈論應(yīng)用于蜜罐誘騙系統(tǒng)，以提高蜜罐的自適應(yīng)性和幫助決策優(yōu)化。阮鐵權(quán)[5]提出了一種基于博弈論的攻防策略，結(jié)合主動(dòng)防御的需求，設(shè)計(jì)并實(shí)現(xiàn)了最優(yōu)主動(dòng)防御選取算法。趙柳榕等[6]運(yùn)用博弈理論與信息安全經(jīng)濟(jì)學(xué)，搭建入侵檢測(cè)系統(tǒng)和蜜罐組合模型，探討了入侵檢測(cè)系統(tǒng)的檢測(cè)概率和蜜罐數(shù)量對(duì)最優(yōu)配置策略的影響，從而給出蜜罐和入侵檢測(cè)系統(tǒng)技術(shù)組合的最優(yōu)配置。蔡傳晰等[7]分別在正常服務(wù)和蜜罐服務(wù)中構(gòu)建入侵檢測(cè)系統(tǒng)(Intrusion Detection System,IDS)技術(shù)博弈模型，利用博弈論并求解出攻防雙方的納什均衡策略，從人工調(diào)查率、檢出概率、攻擊概率和期望收益4個(gè)角度對(duì)IDS在兩種服務(wù)中的價(jià)值進(jìn)行對(duì)比。在此基礎(chǔ)上，蔡傳晰等[8]應(yīng)用博弈論分別建立擬態(tài)蜜罐在保護(hù)色和警戒色機(jī)制下的混合策略模型，求解均衡及約束條件；利用效用函數(shù)分析兩種欺騙策略對(duì)擬態(tài)式蜜罐配置策略的影響。但是，一個(gè)理性的攻擊者通常會(huì)事先通過(guò)嗅探來(lái)了解網(wǎng)絡(luò)中的防御系統(tǒng)。如果攻擊者使用反蜜罐成功檢測(cè)到網(wǎng)絡(luò)中的防御系統(tǒng)，他們?nèi)匀豢梢哉业阶罴压舨呗浴Ｉ鲜鑫墨I(xiàn)都缺少對(duì)于蜜罐誘騙機(jī)理的詳細(xì)分析過(guò)程，也沒(méi)有考慮攻擊者進(jìn)行反蜜罐偵察時(shí)的均衡策略。

本文研究AMI網(wǎng)絡(luò)中的蜜罐博弈模型，分析加入蜜罐系統(tǒng)時(shí)的雙方收益，并且考慮攻擊者使用反蜜罐偵察情況下的均衡策略推導(dǎo)，進(jìn)一步證明均衡條件，同時(shí)用仿真軟件驗(yàn)證推導(dǎo)結(jié)果。基于此，可以在AMI網(wǎng)絡(luò)中合理地部署蜜罐，以根據(jù)平衡時(shí)的約束條件來(lái)調(diào)整防御系統(tǒng)，干擾攻擊者的行為選擇，緩解DDoS攻擊的問(wèn)題，提高蜜罐的攻擊檢測(cè)率。

1 AMI結(jié)構(gòu)介紹和博弈過(guò)程描述

1.1 AMI結(jié)構(gòu)

AMI是自動(dòng)抄表(Automatic Meter Reading,AMR)的高級(jí)形式。傳統(tǒng)的AMR可以通過(guò)單向通信來(lái)讀取儀表數(shù)據(jù)，但是，AMI可以實(shí)現(xiàn)公用事業(yè)公司和儀表之間的雙向通信。AMI由智能電表、集中器、主站中心(AMI頭端)、計(jì)量數(shù)據(jù)管理系統(tǒng)(Measurement Data Management System,MDMS)、通信網(wǎng)絡(luò)和支持通信技術(shù)組成[9]。

如圖1所示，將AMI網(wǎng)絡(luò)抽象為樹(shù)結(jié)構(gòu)。頂級(jí)節(jié)點(diǎn)是主站，然后是集中器，連接到集中器的是大量的智能電表。發(fā)生DDoS攻擊時(shí)，由于網(wǎng)絡(luò)或系統(tǒng)資源的耗盡，服務(wù)用戶無(wú)法通過(guò)Internet服務(wù)提供商實(shí)現(xiàn)正常服務(wù)。在此示例中，考慮針對(duì)AMI網(wǎng)絡(luò)中的關(guān)鍵服務(wù)器(例如FTP服務(wù)器或Web服務(wù)器)的DDoS攻擊。攻擊者向服務(wù)器發(fā)送DDoS攻擊流量[10]，首先，沿著路徑的節(jié)點(diǎn)將很快耗盡；其次，沿主路徑的下游節(jié)點(diǎn)不能正確地與基站通信。由于AMI的樹(shù)狀結(jié)構(gòu)拓?fù)洌虼薉DoS攻擊可能進(jìn)一步導(dǎo)致網(wǎng)絡(luò)癱瘓、電力短缺、智能電網(wǎng)中的電力過(guò)載，甚至是重大事故[11]。針對(duì)AMI網(wǎng)絡(luò)的DDoS攻擊可以針對(duì)此樹(shù)結(jié)構(gòu)中的任何節(jié)點(diǎn)，即智能電表、集中器或主站。圖1是考慮前兩種節(jié)點(diǎn)的攻擊，在防火墻的另一側(cè)部署蜜罐，遠(yuǎn)離能源提供商。它們用作兩類節(jié)點(diǎn)的誘餌，以吸引攻擊者，然后通過(guò)允許自己被嗅探、檢測(cè)或入侵來(lái)記錄攻擊行為。

圖1 使用蜜罐部署的AMI網(wǎng)絡(luò)基礎(chǔ)設(shè)施

1.2 攻防博弈過(guò)程

如圖2所示，在實(shí)際的攻防過(guò)程中，即使在AMI中部署蜜罐，攻擊者也很有可能通過(guò)反蜜罐偵察后訪問(wèn)，因此博弈過(guò)程需要考慮攻擊者進(jìn)行偵察訪問(wèn)時(shí)的雙方收益情況。

圖2 蜜罐博弈模型

把基于蜜罐的攻防博弈G定義為G={ (Si,Rj),(t1,t2),(ES,ER)}。將AMI的主站系統(tǒng)視為提供服務(wù)的發(fā)送方Si，攻擊者為接收方Rj。其中服務(wù)方提供正常服務(wù)器和蜜罐服務(wù)器，分別由t1和t2來(lái)表示。服務(wù)方的策略集合為：Si=(S1,S2)=(真實(shí)服務(wù)，蜜罐服務(wù))。對(duì)于接收方的攻擊者來(lái)說(shuō)，他的策略集合為：Rj=(R1,R2,R3)=(正常訪問(wèn)，不訪問(wèn)，偵察訪問(wèn))。ES表示服務(wù)方收益，ER表示攻擊者的收益。

下面討論攻擊者在三種策略下的收益。

案例1攻擊者正常訪問(wèn)。如果訪問(wèn)的是蜜罐系統(tǒng)，則服務(wù)方可以監(jiān)測(cè)攻擊者的行為，保護(hù)主站的正常通信，因此服務(wù)方收益為βφ(β為蜜罐誘騙因子,β越大對(duì)攻擊者的迷惑越大,φ是訪問(wèn)蜜罐系統(tǒng)的收益,φ>0)，攻擊者損失為-βφ-δ。如果訪問(wèn)的是正常系統(tǒng)，則攻擊者就可以篡改系統(tǒng)數(shù)據(jù)進(jìn)行偷盜電，或者更改正常指令致使電表等設(shè)備接收到異常指令，不能正常運(yùn)行。所以攻擊者收益為αλ-δ(α為攻擊傷害因子,α越大系統(tǒng)的損失越大。λ為訪問(wèn)正常系統(tǒng)的收益，δ為攻擊代價(jià)，且λ>δ>0)，而服務(wù)方的系統(tǒng)損失為-αλ。

案例2攻擊者不訪問(wèn)。如果不訪問(wèn)蜜罐系統(tǒng)，雙方受益為0，如果不訪問(wèn)正常系統(tǒng)，主站系統(tǒng)和電表等設(shè)備正常運(yùn)行，雙方都沒(méi)損失，因此攻擊者和服務(wù)方收益也為0。

案例3攻擊者偵察后訪問(wèn)。如果攻擊者使用反蜜罐來(lái)識(shí)別和檢測(cè)防御系統(tǒng)，他就會(huì)有一個(gè)檢測(cè)代價(jià)σφ(σ是檢測(cè)概率，反映了檢測(cè)防御系統(tǒng)的性能。σ越大，檢測(cè)代價(jià)越高)。

2 混合服務(wù)下的收益推導(dǎo)

對(duì)比傳統(tǒng)的單一服務(wù)器模型，我們考慮了加入蜜罐服務(wù)器的情況。但是與正常服務(wù)器和蜜罐的組合系統(tǒng)對(duì)比，我們又考慮了正常服務(wù)器發(fā)送蜜罐信號(hào)作為偽蜜罐迷惑對(duì)手和蜜罐系統(tǒng)發(fā)送真實(shí)服務(wù)器信號(hào)吸引攻擊者的情況。所以，對(duì)于此模型下服務(wù)方的服務(wù)器t1和蜜罐t2的組合系統(tǒng)，策略組合可以有四個(gè)，分別為：(S1,S1)，(S1,S2),(S2,S1),(S2,S2)。而攻擊者面對(duì)服務(wù)方的行為可以選擇訪問(wèn)、不訪問(wèn)、偵察后再訪問(wèn)，因此，攻擊者的策略組合有(R1)、(R2)、(R3)。

由于攻擊者不能提前知道服務(wù)器類型，但知道關(guān)于服務(wù)方某些統(tǒng)計(jì)度量的先驗(yàn)信息，例如服務(wù)器類型分布。利用貝葉斯法得到本模型的后驗(yàn)概率有：P=P(t1|S1)，1-P=P(t2|S1)，q=P(t1|S2)，1-P=P(t2|S2)。由此可得該模型在攻擊者視角下的博弈樹(shù)如圖3所示，其中N表示選擇發(fā)送方的服務(wù)器類型。

圖3 攻擊者視角下的博弈樹(shù)

對(duì)于策略(S1,S1)，如果攻擊者選擇訪問(wèn)，服務(wù)方的收益表示為ES(S1,S1)，攻擊者收益為ER(S1,S1)。則：

ES(S1,S1)=P(t1|S1)×(-αλ)+P(t2|S1)×βφ=

P×(-αλ)+(1-P)×βφ=

-(αλ+βφ)p+βφ

(1)

ER(S1,S1)=P(t1|S1)×(αλ-δ)+P(t2|S1)×

(-βφ-δ)=

P×(αλ-δ)+(1-P)×(-βφ-δ)=

(αλ+βφ)p-βφ-δ

(2)

如果攻擊者選擇不訪問(wèn)，服務(wù)器和攻擊者收益分別為：

ES(S1,S1)=P(t1|S1)×0+P(t2|S1)×0=

P×0+(1-P)×0=

0

(3)

ER(S1,S1)=P(t1|S1)×0+P(t2|S1)×0=

0

(4)

如果攻擊者選擇偵察后再訪問(wèn)，則雙方收益分別為：

ES(S1,S1)=P(t1|S1)×(-αλ)+P(t2|S1)×0

P×(-αλ)+(1-P)×0=

-αλP

(5)

ER=(S1,S2)=P(t1|S1)×(αλ-δ-σφ)+

P(t2|S1)×(-σφ)=

p×(αλ-δ-σφ)+(1-p)×(-δφ)=

(αλ-δ)p-δφ

(6)

同理，可計(jì)算出攻防雙方收益如表1所示，由于不訪問(wèn)時(shí)雙方收益都為0，所以未放入表格中。

表1 攻防雙方收益

3 貝葉斯均衡求解

3.1 均衡策略推導(dǎo)

證明：如果服務(wù)方的策略可以最優(yōu)，必須是基于后驗(yàn)概率P(t2|S1)，即無(wú)論服務(wù)方提供蜜罐信號(hào)還是正常信號(hào)，攻擊者選擇的都是蜜罐系統(tǒng)，這樣服務(wù)器才能夠記錄攻擊者行為調(diào)整防御措施。所以服務(wù)方策略最優(yōu)需要滿足的條件為：

ES*=max{(1-p)αλ,(1-q)αλ}

(7)

由表1可知，p

對(duì)于接收服務(wù)器信號(hào)的攻擊者來(lái)說(shuō)，他的策略組合有3種，即{(R1),(R2),(R3)}。他的最優(yōu)策略選擇應(yīng)該基于表1中(S1,S1)策略下訪問(wèn)、不訪問(wèn)和偵察后訪問(wèn)三種情況下的最大收益，即：

ER*=max{(αλ+βφ)p-βφ-δ,0,(αλ-δ)p-σφ}

(8)

由此可得：

(αλ+βφ)p-βφ-δ>(αλ-δ)p-σφ,R1

(9)

(αλ+βφ)p-βφ-δ<(αλ-δ)p-σφ,R3

(10)

3.2 蜜罐博弈模型的貝葉斯均衡分析

在傳統(tǒng)的博弈模型中，服務(wù)方十分被動(dòng)，攻擊者的攻擊傷害因子α越大，真實(shí)服務(wù)器遭受的損失就越大。但是在加入蜜罐系統(tǒng)時(shí)，攻擊者再次攻擊時(shí)就多了幾個(gè)因素干擾，攻擊者需要判斷真實(shí)服務(wù)器和蜜罐服務(wù)器的分布概率，而且服務(wù)方收益與蜜罐誘騙因子β有關(guān)。而本文的模型更加復(fù)雜，在考慮加入蜜罐系統(tǒng)的同時(shí)，又考慮到攻擊者有可能利用反蜜罐偵察后訪問(wèn)，因此推導(dǎo)出來(lái)的均衡策略除了受到p、q、α、β影響外，還受到反蜜罐的檢測(cè)概率σ的影響，策略選擇的算法描述如算法1所示。

算法1最優(yōu)策略算法

輸入：α、β、λ、φ、δ、σ。

輸出：均衡策略{(Si,Si),Rj}。

/* 初始化策略(Si,Si)*/

/* 找到穩(wěn)定狀態(tài)*/

ifp

ifp>1-σφ/(δ+αλ), then

選擇均衡策略{(S1,S1),R1}

end

else

ifp<1-σφ/(δ+αλ), then

選擇均衡策略{(S1,S1),R3}

end

else

ifp>q, then

ifq>1-σφ/(δ+αλ), then

選擇均衡策略{(S2,S2),R1}

end

else

ifq<1-σφ/(δ+αλ), then

選擇均衡策略{(S2,S2),R3}

end

end

系統(tǒng)變得更加復(fù)雜的同時(shí)，防御機(jī)制也更加靈活，任何因素的變動(dòng)都會(huì)使得攻防雙方的收益發(fā)生變化，博弈均衡由雙方的行為共同決定。系統(tǒng)可以通過(guò)增加蜜罐在系統(tǒng)中所占比重和適當(dāng)調(diào)整誘騙因子β來(lái)達(dá)到最優(yōu)策略，同時(shí)增加攻擊者的檢測(cè)代價(jià)，使得防守方有了更多的主動(dòng)性，能夠使得系統(tǒng)能耗率和蜜罐系統(tǒng)的檢測(cè)率也達(dá)到一個(gè)平衡，以解決AMI網(wǎng)絡(luò)中的DDoS攻擊問(wèn)題。

4 仿真驗(yàn)證

在對(duì)蜜罐博弈過(guò)程進(jìn)行貝葉斯均衡推導(dǎo)和分析后，利用博弈仿真軟件Gambit對(duì)其進(jìn)行仿真驗(yàn)證。由于影響因子較多，在這里假設(shè)β=1,α=2,δ=20,λ=φ=100不變，改變p和σ的值，使其滿足均衡條件，看結(jié)果是否與推導(dǎo)的最優(yōu)策略一致。P=P(t1|S1)改變p的值就改變了服務(wù)方提供真實(shí)服務(wù)時(shí)的正常系統(tǒng)所占比重，也就改變蜜罐系統(tǒng)的比重。改變?chǔ)揖透淖兞斯粽呤褂梅疵酃迋刹斓臋z測(cè)成本，這些因素的改變都會(huì)影響攻防雙方收益，從而影響雙方的策略選擇。仿真結(jié)果如圖4所示。

圖4 仿真結(jié)果

圖4(a)和(b)是在pq的情況下得到。仿真結(jié)果分析如下：

5 結(jié) 語(yǔ)

由于AMI網(wǎng)絡(luò)易受DDoS攻擊，考慮到蜜罐技術(shù)是應(yīng)對(duì)此攻擊的有效方法，將蜜罐引入正常的AMI網(wǎng)絡(luò)中。針對(duì)真實(shí)服務(wù)器和蜜罐服務(wù)器的組合系統(tǒng)，把攻擊者很可能用反蜜罐偵察的情況考慮在內(nèi)，給出服務(wù)方提供真實(shí)服務(wù)器信號(hào)和蜜罐服務(wù)時(shí)的雙方收益，由此推導(dǎo)出貝葉斯均衡。最后通過(guò)博弈仿真軟件驗(yàn)證了推導(dǎo)結(jié)果的正確性，分析了影響均衡條件的部分因素發(fā)生變化時(shí)，也會(huì)相應(yīng)改變攻擊者的策略。因此，只要適當(dāng)?shù)卣{(diào)節(jié)參數(shù)，就可以干擾攻擊者的選擇，提高防御系統(tǒng)性能，緩解AMI網(wǎng)絡(luò)中的DDoS攻擊問(wèn)題。