基于攻防博弈模型的網(wǎng)絡安全測評與防御技術

陸晚成

（常州市教育科學研究院 江蘇 常州 213003）

0 引言

隨著國內(nèi)網(wǎng)絡信息產(chǎn)業(yè)越來越復雜，網(wǎng)絡中存在的病毒和木馬嚴重影響了網(wǎng)絡安全。本文以攻防博弈論為依據(jù)，設計作用于網(wǎng)絡安全測評的一種防御圖模型，以此引出了基于攻防博弈模型的網(wǎng)絡攻防博弈模型，并結合模型實現(xiàn)了最優(yōu)主動防御算法的選擇，將網(wǎng)絡安全由被動防御轉化為主動防御，從而為構建網(wǎng)絡安全測評模型與設計主動防御技術提供相應建議，對推動攻防博弈模型和網(wǎng)絡安全測評、最優(yōu)主動防御的發(fā)展具有重要的現(xiàn)實意義[1]。

1 主動防御模型構建的必要性及概述

1.1 必要性分析

近幾年，隨著網(wǎng)絡技術、計算機技術的自動化發(fā)展，對網(wǎng)絡安全評測的作業(yè)提出進一步要求。而傳統(tǒng)網(wǎng)絡安全評測和安全防護系統(tǒng)，主要借助防火墻技術或者防御軟件、木馬病毒入侵檢測技術等，實現(xiàn)了對入侵行為進行檢測和防御。但由于上述防御技術和方法等手段屬于被動防護方式，因此在針對網(wǎng)絡中新型的病毒、木馬等處理時能力相對較差。所以，為了能夠進一步提高計算機網(wǎng)絡的安全性和穩(wěn)定性，本文通過利用攻防博弈進行主動實時防御模型的構建，以此來提高對網(wǎng)絡中存在的可疑目標主動處理能力以及對預測能力的網(wǎng)絡安全評測作業(yè)提供支持。

1.2 最優(yōu)主動防御系統(tǒng)

最優(yōu)主動防御系統(tǒng)主要是指由程序行為為基礎，對計算機網(wǎng)絡安全實施自主分析以及判斷的一種網(wǎng)絡安全防御技術。同時，該系統(tǒng)的特點就是根據(jù)不同類型的木馬程序、病毒程序等為主要的判斷依據(jù)，通過利用對病毒或目標的定義，對相關程序的執(zhí)行行為判斷其是否對計算機網(wǎng)絡存在安全威脅的工具。也就是說，該系統(tǒng)的構建，能夠利用病毒或者木馬的弱點以及對應的攻擊行為實現(xiàn)實時防護工作。因此，利用有限資源實現(xiàn)對網(wǎng)絡系統(tǒng)安全的最合理規(guī)劃和防護方案選擇，就是最優(yōu)主動防御系統(tǒng)。此系統(tǒng)能夠定義網(wǎng)絡的安全攻防系統(tǒng)，為防御的一方提供相應的防御行為和支持。而博弈者針對攻擊一方的策略選擇，以及攻防博弈環(huán)境的掌握程度，存在一定的隨機性。因此，可以將不同階段之間的變化設置為隨機過程，并和攻防博弈模型相結合，從而實現(xiàn)基于攻防博弈模型的網(wǎng)絡防御模型構建。所以，在實際網(wǎng)絡攻防過程當中，不管是攻擊的一方還是防御的一方均可以通過學習他人的模式，來提高改善自身的狀態(tài)。

1.3 網(wǎng)絡信息安全

網(wǎng)絡信息安全評測主要包含了各個行業(yè)領域，如防范商業(yè)企業(yè)的機密信息數(shù)據(jù)泄露、青少年對網(wǎng)絡中不良網(wǎng)站或者不良信息的瀏覽，以及防范私人信息泄露。因此，網(wǎng)絡信息安全評測工作的實施，是通過利用計算機技術、防御技術、不同網(wǎng)絡安全協(xié)議以及安全機制等相關基礎之上，為計算機網(wǎng)絡安全提供保障。但與傳統(tǒng)的網(wǎng)絡安全技術相比，本文設計的網(wǎng)絡安全評測，通過利用主動實時防護技術，能夠事先實現(xiàn)對網(wǎng)絡系統(tǒng)的薄弱環(huán)節(jié)以及存在的潛在威脅進行相應的處理和分析，然后根據(jù)用戶的需求，選擇最優(yōu)的主動防御措施，以此為網(wǎng)絡安全評測作業(yè)以及計算機網(wǎng)絡的安全提供相應的保障。

2 針對網(wǎng)絡安全測評的研究分析

傳統(tǒng)的網(wǎng)絡信息系統(tǒng)主要利用檢測系統(tǒng)和防火墻技術實現(xiàn)防御。本文從三個方面切入，分別對網(wǎng)絡的安全評測、網(wǎng)絡主動防御模型等展開研究，以此實現(xiàn)網(wǎng)絡攻防博弈模型的設計。

2.1 網(wǎng)絡的脆弱性測評研究分析

網(wǎng)絡的脆弱性測評指攻擊者通過網(wǎng)絡攻擊目標，并擊中目標系統(tǒng)安全防御薄弱的地方。攻擊網(wǎng)絡脆弱點能夠提高攻擊者攻破網(wǎng)絡防御系統(tǒng)的概率。對網(wǎng)絡脆弱性的測評不僅有助于維護網(wǎng)絡系統(tǒng)安全，還能通過分析網(wǎng)絡系統(tǒng)中的脆弱環(huán)節(jié)降低攻擊者攻擊成功的概率，保障用戶自身利益。

當前的網(wǎng)絡脆弱性測評分析系統(tǒng)以評估體系模型、控制評估過程以及分析評估方法和標準等為基礎建立了攻擊樹評價體系，使防御者能夠分析防御系統(tǒng)存在的弱點，提高網(wǎng)絡系統(tǒng)主動檢測出安全漏洞的概率[2]。

2.2 防御代價定量分析

網(wǎng)絡安全測評中，針對防御代價定量的分析一般指防御者對網(wǎng)絡系統(tǒng)設計有效的防御措施，并在此基礎上定量計算應用的防御技術和防御方案等的執(zhí)行成本，通過敏感模型量化分析網(wǎng)絡系統(tǒng)防御措施。網(wǎng)絡系統(tǒng)防御措施是當前網(wǎng)絡安全主動實時防御的重要方式，因此在全面掌握網(wǎng)絡信息系統(tǒng)脆弱性的基礎上，將可靠性原則應用于主動防御成本定量研究過程，計算攻擊者的損失成本，可實現(xiàn)對網(wǎng)絡系統(tǒng)攻防成本的量化分析。

2.3 攻防博弈理論分析

攻防博弈理論在網(wǎng)絡安全測評中和防御中的應用，主要體現(xiàn)在以下三方面。首先，防御者利用攻防博弈理論找到計算機系統(tǒng)中存在的正常節(jié)點和惡意節(jié)點，實現(xiàn)分析網(wǎng)絡系統(tǒng)中存在的脆弱環(huán)節(jié)和安全威脅，提前做好防護工作。其次，借助攻擊者和防御者在網(wǎng)絡系統(tǒng)中存在的不完全信息進行重復對弈，建立相關攻擊行為和防御行為的雙重模型。最后，根據(jù)攻擊者的攻擊意圖分析攻擊模型架構，為網(wǎng)絡安全測評和系統(tǒng)防御提供有效的保障[3]。

3 基于攻防博弈理論的網(wǎng)絡安全測評的防御圖模型分析

3.1 網(wǎng)絡攻擊圖的分析

網(wǎng)絡安全測評的攻擊圖設計，是攻擊者在對網(wǎng)絡進行攻擊時所需要利用到的攻擊路徑和供給方法的集合。其中，攻擊路徑代表了攻擊者所應用的攻擊程序代碼序列，但基于網(wǎng)絡系統(tǒng)的攻擊圖的網(wǎng)絡系統(tǒng)實時防御還存在較大的局限性。因此，加強對網(wǎng)絡防御圖模型的構建是解決網(wǎng)絡安全測評與防御的重要方向。

3.2 防御圖的構建生成

針對網(wǎng)絡安全測評的網(wǎng)絡防御圖設計，主要由單個的六元組構成。該六元組可以用DG來表示，且DG=（S，τ，S0，Sa，Sd，Ss）。其中：S為網(wǎng)絡防御圖的節(jié)點集；τ為一種網(wǎng)絡安全狀態(tài)的轉換關系；S0代表了初始網(wǎng)絡安全狀態(tài)的集合、Sa代表了攻擊者的目標狀態(tài)集合、Sd代表了攻擊者的策略集合以及Ss代表了防御者的策略集合。

在實際過程中，利用系統(tǒng)漏洞數(shù)據(jù)庫、掃描設備等可以生成對應的數(shù)據(jù)處理模塊，并將其保存在數(shù)據(jù)庫的網(wǎng)絡防御圖模型中。網(wǎng)絡安全評測系統(tǒng)的構建還需要與自身的最優(yōu)防御算法結合。分類模型構建與分類空間的配置均會對算法帶來影響，因此在網(wǎng)絡安全評測時需要注重對這方面的考慮。此外，通過將網(wǎng)絡防御策略、系統(tǒng)以及分類模型有效結合，有助于提高網(wǎng)絡安全測評效果[4]。

3.3 網(wǎng)絡攻防博弈模型分析

攻防博弈模型（attack defense game，ADG）是單個的三元組模型，主要由ADG來表示。而ADG則由（N，S，U）構成，具體如圖1所示。其中，三元組模型中的N代表了攻防博弈局中人的集合，而局中人指的是攻防博弈當中的決策主體以及制定決策的人。S代表了局中人的策略集合，也就是實現(xiàn)攻防博弈時所需要利用到的方法和工具技能，同時每個對應的策略集合當中至少存在兩個不同類型的策略。U則代表了局中人的效用函數(shù)集合，也就是指攻擊方和防御方等兩方在攻擊博弈當中可以獲得的收益水平，也是所有局中人的函數(shù)。因此，不同類型的策略所得到的收益也是不同的，但都是每個局中人所真正關心的參數(shù)，可量化攻防雙方的成本和收益。這里攻防效用函數(shù)為攻防成本和回報之和。

圖1 攻防博弈模型設計示意圖

從上圖1的攻防博弈網(wǎng)絡模型當中就可以發(fā)現(xiàn)，本文設計的模型在不同類型的網(wǎng)絡攻防環(huán)境當中，無論是攻擊的一方，還是防御的一方兩者之間都是非合作的關系。因此，在攻防博弈的過程當中，就不會發(fā)生攻擊的一方或者防御的一方將相關的決策信息告知敵對的一方。其中，攻擊的一方是通過對目標的相關資源、服務質(zhì)量等進行破壞從中獲取到最大化的利用，反之防御的一方則是以將網(wǎng)絡信息系統(tǒng)的損傷降至最低作為最大化收益[5]。

3.4 攻防成本量化及對策分類

網(wǎng)絡攻防成本收益和攻防策略分析是網(wǎng)絡防御圖最優(yōu)網(wǎng)絡安全防御以及防御圖模型構建的基礎。隨著網(wǎng)絡環(huán)境的不同，目標資源的重要性也隨著網(wǎng)絡環(huán)境的不同而發(fā)生變化，各類的供給所造成的固有傷害也是互不相同的。因此，攻擊者的攻擊所導致的損失既和攻擊類型有著一定的聯(lián)系，還被攻擊的目標有關。所以為了更加精準地對攻擊者的攻擊損失代價評估，這時只有通過建立相關攻擊分類模型以及攻擊者的攻擊對被攻擊者的資源損害模型。同時，通過結合被攻擊者和攻擊者進行計算，從中可以得到量化后的損失代價。但針對攻擊對策分類時，不僅要對攻擊對策分類的空間大小對后續(xù)攻防博弈模型復雜度的分析影響進行考慮，還要根據(jù)現(xiàn)有的網(wǎng)絡安全防御系統(tǒng)與林肯實驗室攻擊分類，給出一種能夠面向主動防御攻擊或者防御分類的對策。由此可見，攻擊者的攻擊目的和攻擊造成的影響，對網(wǎng)絡安全防御的最優(yōu)防御系統(tǒng)評估決策方面有著一定程度的重要影響。

4 實例應用與分析

為驗證基于攻防博弈模型的網(wǎng)絡安全測評與設計的最優(yōu)主動防御算法的可行性，本文通過設計如圖2所示的網(wǎng)絡拓撲結構圖，以此實現(xiàn)對網(wǎng)絡攻防情景的模擬。其中，外部網(wǎng)絡是攻擊主機，而交換網(wǎng)絡則是攻擊者的攻擊目標網(wǎng)絡。

圖2 網(wǎng)絡拓撲結構示意圖

網(wǎng)絡拓撲結構中設有3臺計算機，分別代表文件服務器、公共全球廣域網(wǎng)（world wide web，Web）服務器以及數(shù)據(jù)庫服務器。先借助防火墻技術將目標網(wǎng)絡和外部網(wǎng)絡隔離，再利用弱點掃描軟件，就能夠完成對相關目標系統(tǒng)的弱點分析，從而得到關于該主機的相關弱點信息和主機信息。

同時，在攻擊博弈的網(wǎng)絡攻擊模擬實驗過程之中，如果假設攻擊一方的攻擊者將獲取數(shù)據(jù)庫服務器的Root權限為攻擊的目標。這時在網(wǎng)絡防火墻的限制作用下，攻擊一方的攻擊者只能夠借助Web服務器或者文件服務器上的低用戶權限，無法實現(xiàn)數(shù)據(jù)庫服務器訪問。但是，攻擊一方的攻擊者可以通過服務器存在的弱點和依賴關系，利用原子攻擊的方法實現(xiàn)攻擊。

防御者會從防御策略庫中選擇相應的防御策略信息應對，同時網(wǎng)絡安全防護系統(tǒng)也會實時主動防御并記錄攻擊者信息，再根據(jù)相關信息建模網(wǎng)絡信息系統(tǒng)，得到一個抽象的網(wǎng)絡防御圖。

網(wǎng)絡系統(tǒng)防火墻設置了靜態(tài)機制，為網(wǎng)絡中數(shù)據(jù)庫服務器提供強有力的安全保護。但受數(shù)據(jù)庫服務器的弱點依賴關系的影響，還存在多條可以達到攻擊目標的途徑。具體攻擊途徑為A1:A1→B4→E，A2:A2→C4→E，A3:A3→D3→F5→E。A1為攻擊者從最初狀態(tài)A通過利用原子攻擊1到達B，接著通過原子攻擊4到達目標裝填E。整個攻擊策略就是一個攻擊，而每個方框代表每條攻擊路徑的防御策略。其他方式以此類推。

根據(jù)最優(yōu)主動防御算法，可以解決以上存在的威脅。通過對最優(yōu)主動防御算法進行簡化分析，利用非合作和零攻防博弈模型實現(xiàn)了網(wǎng)絡最優(yōu)化防御方案的選擇。同時，只需要通過對防御代價進行計算，并對攻防代價的意義進行考慮之后，就可以選擇取負值作為防御者的防御代價，且以金融貨幣為單位。而服務器作為攻擊者的攻擊對象，此攻擊會對目標資源的可用性造成相應的危害。因此，可以將防御的策略所造成的負面影響看作服務器的一次攻擊，那么Web服務器與文件服務器的criticality（危險度）全部都為4，采用5表示數(shù)據(jù)庫服務器的criticality（危險度）。用10、20、30等表示安全屬性代價的低、中、高。如數(shù)據(jù)庫服務器的安全屬性代價為30、文件服務器的安全屬性代價為20。那么，借助防御代價模塊，分別將εi和i作為防御策略以及防御編號的攻擊時所具有的殘余損失程度。通過構建攻擊一方和防御一方等所使用的unhealthy策略時的納什均衡，借助基于攻防博弈模型的主動防御策略選取算法，就可以得到一個納什均衡：Pa=（67/159,0,92/159），Pd=（28/53,0,0,0,0,25/53）。其中，攻擊者的最優(yōu)攻擊策略為92/159的成功概率，防御方可以選擇D1（安裝Oracle補丁）作為主動防御保護最優(yōu)概率為28/53。由此通過以上數(shù)據(jù)可以證明D1（安裝Oracle補丁）防御工作為網(wǎng)絡安全測評的最優(yōu)防御，在網(wǎng)絡安全測評中能夠為網(wǎng)絡信息系統(tǒng)的安全提供有效的保障。

5 結語

為實現(xiàn)對網(wǎng)絡信息系統(tǒng)的安全測評與防御，本文對構建最優(yōu)主動實時的防御模型的必要性進行了相應的分析，同時結合網(wǎng)絡安全評測、攻防博弈模型以及防御技術等，提出了一個基于攻防博弈模型的網(wǎng)絡安全測評主動防御模型。為保證主動防御模型的可靠性，本文根據(jù)網(wǎng)絡實例對設計的網(wǎng)絡安全主動防御模型展開了相應的模擬實驗，最后實驗結果證明了本文設計的基于攻防博弈模型的網(wǎng)絡安全測評與防御技術的可行性，對促進我國網(wǎng)絡信息產(chǎn)業(yè)的安全與發(fā)展具有重要意義。