信號博弈網(wǎng)絡安全威脅評估方法

張恒巍,余定坤,韓繼紅,王晉東,寇 廣

(解放軍信息工程大學密碼工程學院,河南鄭州 450001)

信號博弈網(wǎng)絡安全威脅評估方法

張恒巍,余定坤,韓繼紅,王晉東,寇 廣

(解放軍信息工程大學密碼工程學院,河南鄭州 450001)

目前,基于博弈理論的網(wǎng)絡安全防御多數(shù)使用完全信息或靜態(tài)博弈理論來進行攻防博弈模型的建立.為了更加貼近網(wǎng)絡實際進行安全威脅評估,提出了基于信號博弈的網(wǎng)絡攻防博弈模型,從動態(tài)、不完全信息角度對攻防行為建模;給出了信號博弈完美貝葉斯均衡求解過程,并對存在的各類均衡進行分析;將后驗信念作為防御者對攻擊者類型的預測,提出基于上述模型的網(wǎng)絡安全威脅評估算法,對防御者面臨的安全威脅進行評估,給出相應安全威脅等級.最后,通過對一個網(wǎng)絡實例進行分析,驗證了提出模型和方法的可行性和有效性.

信號博弈;動態(tài);不完全信息;威脅評估;完美貝葉斯均衡

威脅是一種對擁有或使用信息系統(tǒng)的組織及其資產構成潛在破壞的可能因素,是客觀存在的.威脅的大小和可能造成的損失不但與信息系統(tǒng)自身的脆弱性有關,而且由攻擊行為和防御行為的對抗結果決定.然而,傳統(tǒng)的安全風險評估方法,例如基于入侵檢測系統(tǒng)(Intrusion Detection System,IDS)的風險評估方法[1]、基于攻擊圖[2-3]的安全評估方法、基于風險傳播模型的安全評估方法[4],只從防御方自身出發(fā)對威脅作靜態(tài)分析,而沒有考慮攻擊方的相關策略以及攻防對抗的結果,對信息安全威脅的評估在準確性和可信性上存在缺陷.因此,研究一種能夠全面、定量地描述攻防對抗過程和結果,進而準確地對威脅進行評估的方法十分必要.

博弈論是研究各博弈方之間發(fā)生直接相互作用時的決策及決策的均衡問題的理論[5],基于攻防博弈模型的主動防御技術近年來逐漸成為研究的熱點.文獻[6]以攻防雙方的博弈策略為出發(fā)點,分析了其在網(wǎng)絡安全中的運用,將博弈中的收益定義為網(wǎng)絡被攻擊后所需要的恢復時間,基于此建立博弈模型分析了網(wǎng)絡的安全性.文獻[7]通過建立網(wǎng)絡攻防模型來選取防御策略,該模型可看作攻防雙方在網(wǎng)絡中的一種兩角色、非合作零和博弈過程.文獻[8]基于完全信息博弈理論來指導防御策略的選取,并分析了在線社會網(wǎng)絡的服務中所發(fā)生的攻擊行為.文獻[9]在網(wǎng)絡主動防御中運用動態(tài)博弈模型,將網(wǎng)絡攻防圖通過“虛擬節(jié)點”轉化為網(wǎng)絡博弈樹.上述文獻存在的共性不足都基于完全信息假設建立了博弈模型,而在現(xiàn)實信息的攻防中,很難使這一假設得到滿足,這不僅使研究成果的實用性有所降低,而且更主要的問題在于隨機博弈模型中狀態(tài)轉移概率函數(shù)的不易確定性.文獻[10]在蠕蟲策略的績效評估方面,運用了不完全信息靜態(tài)博弈模型,但其并未考慮多種防御者類型的情況,且僅分析了純策略貝葉斯均衡.文獻[11]在對分布式拒絕服務(Distributed Denial of Service,DDoS)防御機制的分析過程中,建立了信號博弈模型,不足之處在于并未給出通用信號博弈模型及均衡求解方法.

在網(wǎng)絡安全攻防中,當攻擊者對防御者進行攻擊時,防御者可通過IDS和防火墻等方式檢測到攻擊者攻擊手段的相關信息,例如攻擊方式、攻擊目標和攻擊路徑等.這些信息在防御者看來,是攻擊者釋放的信號,代表了攻擊行為的某些本質特征.防御者可以利用相關信號來預測威脅,并進行防御策略安排和調整.為此,筆者采用信號博弈模型.信號博弈是最常用的不完全信息動態(tài)博弈模型,相比完全信息、靜態(tài)博弈模型,信號博弈模型充分考慮了攻擊者行為的動態(tài)性及其對防御者行為的影響,適用性較好,貼近信息安全攻防實際.

1　網(wǎng)絡攻防信號博弈模型

在網(wǎng)絡攻防信號博弈模型的構建中,將攻擊者定義為信號發(fā)送者,防御者定義為信號接收者.防御者首先基于歷史數(shù)據(jù)對攻擊者的威脅類型形成先驗信念,其次通過IDS、防火墻等防御手段在同攻擊者對抗的過程中獲取攻擊者的信息(即攻擊信號),攻擊信號中既包含了攻擊者的真實攻擊信息,同時也包含了攻擊者的欺騙攻擊信息.然后基于攻擊信號對攻擊類型做出概率修正,形成對攻擊者威脅類型的后驗信念,最后利用后驗信念對攻擊者威脅類型進行可信預測,進而指導網(wǎng)絡安全防御的實施.

定義1 網(wǎng)絡攻防信號博弈模型(Network Attack-Defense Signaling Game Model,NAD-SGM)是一個七元組,其中

(1)N=(NA,ND),是信號博弈的參與者空間.由上述可知,在筆者所建立的模型中,攻擊者NA為信號發(fā)送者,防御者ND為信號接收者.

(2)T=(TA,TD),是攻擊者與防御者的類型空間.攻擊者的類型是由攻擊者所采取的攻擊行動決定的,是攻擊者的私人信息,防御者的類型是公共信息(即只有一個類型),則TA={t1,t2…,tn},表示攻擊者的類型集合,TD={t},表示防御者的類型集合.

(3)M為攻擊者的信號空間.其中,M≠?,M=(m1,m2,…,mn),信號空間中攻擊信號的類型數(shù)量與攻擊者的類型數(shù)量是對應的.攻擊者釋放的信號與自身的類型之間不存在確定性關系.

(4)B=(A,D),是攻擊者與防御者的行動空間.A={A1,A2,…,Ag},D={D1,D2,…,Dh},表示攻擊者與防御者的行動集合,攻擊者與防御者都應有1種以上的行動,即g,h≥1.

(5)PA是防御者的先驗信念集合.其中,PA≠?,PA=(p1,p2,…,pn),表示防御者對攻擊者類型ti的初始判斷.

(7)U=(UA,UD),是防御者和攻擊者的收益函數(shù)集合.收益函數(shù)表示參與者從博弈中可以得到的收益水平,由所有參與者的策略共同決定,參與者不同的策略組合所得到的收益不同.

2　完美貝葉斯均衡求解

定義2 網(wǎng)絡攻防信號博弈模型的完美貝葉斯均衡是策略組合(m*(t),d*(m))和后驗信念的結合,滿足:

(a)d*(m)

由于不完全信息動態(tài)博弈的均衡動態(tài)變化,求解過程相對靜態(tài)博弈而言更加復雜.文中給出求解攻防信號博弈模型的完美貝葉斯均衡的過程和步驟描述.

算法過程描述如下:

(1)在防御者的每個信息集上建立一個后驗信念推斷P(t|m).

(2)求防御者推斷依存的最優(yōu)反應策略集.

(3)求攻擊者推斷依存的最優(yōu)策略.

在博弈的第1階段,類型為ti的攻擊者,預期到防御者的最優(yōu)反應行動,求m*(t)∈M,最大化自己的支付函數(shù),即求解,可求得攻擊者的推斷依存的最優(yōu)策略

(4)求網(wǎng)絡攻防信號博弈模型的完美貝葉斯均衡.

利用(2)、(3)兩步所得到的參與人推斷依存的子博弈完美納什均衡,求出滿足貝葉斯法則的防御者關于攻擊者類型的推斷.如果P(t|m)與不沖突,則為網(wǎng)絡攻防信號博弈模型的完美貝葉斯均衡.

3　網(wǎng)絡安全威脅評估

攻防雙方在網(wǎng)絡安全博弈過程中,都希望能使自己的期望收益最大化.因此,博弈結果將會達到完美貝葉斯納什均衡.攻擊者沒有積極性去改變自己的攻擊行動,防御者亦不會去嘗試改變自己的信號及防御行動,因為攻防雙方偏離均衡而改變行動只會使自己的收益降低.所求解的完美貝葉斯均衡存在多種類型:

(1)混同均衡是指不同類型的攻擊者選擇相同的信號.這樣的話,攻擊者的選擇沒有任何信息量,防御者就不會修改先驗概率.假設mj是均衡戰(zhàn)略,那么

(2)分離均衡指不同類型的攻擊者選擇不同的信號.在分離均衡條件下,信號可以準確地反映攻擊者的類型.那么,在這樣的情況下,后驗信念為

(3)準分離均衡指某些類型的防御者隨機地選擇信號,另一些類型的防御者選擇特定的信號.假定類型t1的防御者隨機地選擇m1,m2或m3,類型t2和t3的防御者分別以1的概率選擇m2和m3.若這個戰(zhàn)略組合都是均衡戰(zhàn)略組合,那么

在實際的網(wǎng)絡場景中,防御者所采取的防御行動是確定的,不存在不確定性.假設防御者所采取的防御行動為D2,結合上述對攻擊行為的預測及防御者的收益函數(shù),可得到該博弈場景下,攻擊者類型為i時,防御者面臨威脅的期望為

根據(jù)經(jīng)典文獻[1]中的威脅等級劃分標準和計算方法可得到威脅等級TL,如表1所示.網(wǎng)絡安全威脅評估算法受篇幅所限,故略.

表1　威脅等級劃分標準

由于博弈模型之間的差異較大,無法通過一個實驗來詳細地分析不同博弈模型之間的好壞.因此,需要進行本節(jié)工作比較,通過信息需求、攻擊者類型、防御者類型、時間復雜度等方面對博弈模型進行對比,以此來分析不同博弈模型的優(yōu)劣.

將文中方法和其他文獻方法進行比較,結果如表2所示.一方面,信號博弈作為不完全信息博弈模型,與完全信息博弈相比,其考慮了攻防雙方不清楚對方信息的情況,更加貼近網(wǎng)絡實際.另一方面,靜態(tài)博弈要求攻擊者和防御者同時做出選擇,在實際攻防中,這一條件很難滿足.信號博弈作為動態(tài)博弈模型,充分考慮了攻防雙方的博弈順序問題,更加符合實際要求.

表2　方法比較

若將信號博弈中攻擊者的信號忽略,則此博弈退化為不完全信息靜態(tài)博弈.不完全信息靜態(tài)博弈模型中防御者對攻擊者類型的判斷是根據(jù)歷史數(shù)據(jù)做出的先驗判斷,是預設的且不可更改的,可能與本次的博弈場景并不完全吻合,此時即使發(fā)現(xiàn)偏差也無法進行修正,往往影響評估結果的準確性.而在文中構建的網(wǎng)絡攻防信號博弈模型中,根據(jù)攻擊信號可以對攻擊者類型先驗判斷進行修正,對攻擊者類型形成更加準確的后驗判斷,可以提高評估結果的準確性.

模型的通用性是指模型中的類型集合和策略集合是否可以擴展至n,若可以,則說明模型的通用性較好;若不可以,則說明該模型僅適用于特殊情況,推廣應用性較差.均衡求解是指文中是否給出博弈均衡的求解過程.與靜態(tài)博弈相比,動態(tài)博弈的均衡動態(tài)變化,求解過程更加復雜,均衡求解過程給出較詳細,而文獻[11]未給出博弈均衡的求解過程,結果可重復性差.

4　應用實例與分析

在前述的基礎上,筆者部署了網(wǎng)絡信息系統(tǒng)拓撲結構來模擬真實的網(wǎng)絡環(huán)境,以實驗的方法來驗證文中所提出的基于網(wǎng)絡攻防信號博弈模型及相關均衡求解方法的科學性和有效性.如圖1所示,由一臺網(wǎng)絡服務器、一臺文件服務器、一臺數(shù)據(jù)庫服務器和防火墻組成了網(wǎng)絡信息系統(tǒng)拓撲結構.非本網(wǎng)絡的主機受防火墻限制,其只能訪問網(wǎng)絡服務器和文件服務器,而數(shù)據(jù)庫服務器可由系統(tǒng)內網(wǎng)絡服務器、文件服務器進行訪問.

圖1　網(wǎng)絡拓撲結構

攻擊者擁有所使用主機的Root權限,攻擊者以獲取數(shù)據(jù)庫服務器中存儲的重要數(shù)據(jù)為目標,并以其具有主機Root權限為起點發(fā)起攻擊.攻擊者僅可以獲得Access權限去訪問郵件、文件服務器,但對數(shù)據(jù)庫服務器無法訪問.但是對于數(shù)據(jù)庫的訪問權限,攻擊者可以根據(jù)弱點間存在的相互依賴關系,利用一系列的原子攻擊手段來獲得.文獻[13]給出了攻擊者的原子攻擊信息.

為簡潔說明文中模型、均衡求解及威脅評估的有效性,實驗中假設攻擊者有強能力攻擊者、弱能力攻擊者兩個類型.參考麻省理工學院(Massachusetts Institute of Technology,MIT)林肯實驗室攻防分類,對網(wǎng)絡拓撲進行分析可得到攻擊者可采取的各類攻擊策略.不同類型的攻擊者采取的攻擊策略不同,表3給出了不同類型的攻擊者所采取的行動.防御者選取的防御行動常常是各項防御措施的集合.經(jīng)過對成本、影響及專家建議等方面的考慮,可得到供選取的防御行動集合.為簡潔說明問題,文中選取其中兩個防御策略來進行實例分析,如表4所示(表中“”表示選中).

表3　不同類型攻擊者采取的攻擊行動

表4　防御者行動集合

通過文獻[7]中的收益量化方法來計算攻擊者和防御者策略的收益,可得到網(wǎng)絡博弈樹如圖2所示.

經(jīng)過博弈分析,可得p*=0.6,q*=0.4.

攻擊者類型為強能力攻擊者

圖2　網(wǎng)絡攻防信號博弈樹

同理,可得攻擊者類型為弱能力攻擊者時的情況.

由此可得到網(wǎng)絡攻防信號博弈模型的完美貝葉斯均衡的情況如下:

(1)當p>p*,q>q*時,攻擊者的類型為強能力攻擊者t1,防御者收集到的攻擊者信號為m1,防御者采用防御策略D1;攻擊者的類型為低防御等級t2,防御者收集到的攻擊者信號為m1,防御者采用防御策略D1.此時攻擊者采用混同策略,此情況下的完美貝葉斯均衡為[(m1,m1)→(D2,D2),p=θ,q>q*],記為PE1.

同理,

(2)當p>p*,qq*],為混同均衡,記為PE2.

(3)當pq*時,完美貝葉斯均衡為[(m1,m2)→(D2,D1),p=0.32,q=0.58],為準分離均衡,記為PE3.

(4)當pq*],為混同均衡,記為PE4.

由于(θ1,θ2)=(0.4,0.6),θ1q*,所以,此時的完美貝葉斯均衡為PE3[:(m1,m2)→(A2,A1),p=0.55,q=] 0.45.

在實際的網(wǎng)絡場景中,防御者所采取的防御行動是確定的,不存在不確定性.假設防御者所采取的防御行動為D2,當防御者收集到關于攻擊者的信號為m1時,防御者此時所面臨的威脅為

同理,當防御者收集到關于攻擊者的信號為m2時,防御者此時所面臨的威脅為1 810.

根據(jù)經(jīng)典文獻[1]中的威脅等級劃分標準和計算方法,可知當防御者收集到攻擊者信號為m1時,面臨的威脅等級為五級;而當防御者收集到攻擊者信號為m2時,面臨的威脅等級為三級.

5　結束語

傳統(tǒng)威脅評估方法僅從自身出發(fā),靜態(tài)地對系統(tǒng)面臨的威脅進行評估,評估結果較片面.為此,文中提出了網(wǎng)絡攻防信號博弈模型,從防御者角度將其攻擊者劃分為多種類型,并將防御者根據(jù)收集到的攻擊者信號修改其后驗信念的過程形式化表示.然后,給出了信號博弈的均衡求解過程,并通過對網(wǎng)絡博弈模型的詳細博弈分析,根據(jù)防御者修正的后驗信念對防御者面臨的威脅進行評估.最后,通過一個網(wǎng)絡實例對文中提出模型和方法進行了驗證.實驗證明,文中所提出的模型和方法是有效和可行的.

[1]ROESCH M.Snort-Lightweight Intrusion Detection for Networks[C]//Proceedings of the 13th System Administration Conference and Exhibition.Berkeley:USENIX,1999:229-238.

[2]楊宏宇,江華.基于攻擊圖的多Agent網(wǎng)絡安全風險評估模型[J].計算機科學,2013,40(2):148-152. YANG Hongyu,JIANG Hua.Multi-agents Network Security Risk Evaluation Model Based on Attack Graph Assocation [J].Computer Science,2013,40(2):148-152.

[3]謝麗霞,仇曉銳,李學菲.基于攻擊圖模型的網(wǎng)絡安全風險評估研究[J].微電子學與計算機,2014,31(7):77-83. XIE Lixia,QIU Xiaorui,LI Xuefei.Research on Network Security Risk Assessment Based on Attack Graph Model[J]. Microelectronics and Computer,2014,31(7):77-83.

[4]張永錚,方濱興,遲悅.用于評估網(wǎng)絡信息系統(tǒng)的風險傳播模型[J].軟件學報,2007,18(1):137-145. ZHANG Yongzheng,FANG Bingxing,CHI Yue.Risk Propagation Model for Assessing Network Information Systems [J].Journal of Software,2007,18(1):137-145.

[5]FALLAH M S.A Puzzle-based Defense Strategy Against Flooding Attacks Using Game Theory[J].Dependable and Secure Computing,2010,7(1):5-19.

[6]LYE K,WING J.Game Strategies in Network Security[J].International Journal of Information Security,2005,4(1/ 2):71-82.

[7]姜偉,方濱興,田志宏,等.基于攻防博弈模型的網(wǎng)絡安全測評和最優(yōu)主動防御[J].計算機學報,2009,32(4): 817-825. JIANG Wei,FANG Bingxing,TIAN Zhihong,et al.Research on Defense Strategies Selection Based on Attack-Defense Stochastic Game Model[J].Chinese Journal of Computers,2009,32(4):817-825.

[8]WHITE J,PARK J S,KAMHOUA C A,et al.Game Theoretic Attack Analysis in Online Social Network(OSN) Services[C]//IEEE/ACM International Conference on Social Networks Analysis and Mining.New York:ACM,2013: 1012-1019.

[9]林旺群,王慧,劉佳宏,等.基于非合作動態(tài)博弈的網(wǎng)絡安全主動防御技術研究[J].計算機研究與發(fā)展,2011,48(2): 306-316. LIN Wangqun,WANG Hui,LIU Jiahong,et al.Research on Active Defense Technology in Network Security Based on Non-cooperative Dynamic Game Theory[J].Journal of Computer Research and Development,2011,48(2):306-316.

[10]劉玉嶺,馮登國,吳力輝,等.基于靜態(tài)貝葉斯博弈的蠕蟲攻防策略績效評估[J].軟件學報,2012,23(3):712-723. LIU Yuling,FENG Dengguo,WU Lihui,et al.Performance Evaluation of Worm Attack and Defense Strategies Based on Static Bayesian Game[J].Journal of Software,2012,23(3):712-723.

[11]GAO X,ZHU Y F.DDoS Defense Menchanism Analysis Based on Signaling Game Model[C]//Proceedings of the 5th Interantional Conference on Intelligent Human-Machine Systems and Cybernetics.Washington:IEEE Computer Society,2013:414-417.

[12]BABAR S D,PRASAD N R,PRASAD R.Game Theoretic Modelling of WSN Jamming Attack and Detection Mechanism[C]//Proceedings of the 16th International Symposium on Wireless Personal Multimedia Communications. Washington:IEEE Computer Society,2013:1-5.

[13]KAYODE A B,BABATUNDE I G,ISRAEL H D,et al.DGM Approach to Network Attacker and Defender Strategies [C]//Proceedings of the 8th International Conference for Digital Object Internet Technology and Secured Transactions. Washington:IEEE Computer Society,2013:313-320.

(編輯:李恩科)

Network security threat assessment based on the signaling game

ZH ANG Hengwei,YU Dingkun,H AN Jihong,WANG Jindong,KOU Guang
(Institute of Cipher Engineering,PLA Information Engineering Univ.,Zhengzhou 450001,China)

Nowadays,researches on network security defense based on game theory mostly use completed information or static game theory to establish the attack-defense model.In order to perform security threat assessment in a closer way to the practical situation in a network,this paper proposes a network attackdefense game model based on the signaling game,which is modeled in a dynamic and uncompleted way. After putting forward the solving process of the perfect Bayesian equilibrium of the signaling game,this paper analyzes all kinds of equilibriums existing in the game.Taking the posterior belief as the defender’s prediction of the attacker’s type,this paper puts forward the assessment algorithm for the network security threat based on the model above,predicts the security threat the defender is facing,and provides the security threat grade for the evaluator.Finally,the feasibility and validity of the model and the method proposed by this paper are testified through the analysis of a network example.

signaling game;dynamic;uncompleted information;threat assessment;perfect Bayesian equilibrium

TP309

A

1001-2400(2016)03-0137-07

10.3969/j.issn.1001-2400.2016.03.024

2015-01-20

時間:2015-07-27

國家自然科學基金資助項目(61303074,61309013);國家重點基礎研究發(fā)展計劃(“973”計劃)資助項目(2012CB315900)

張恒巍(1978-),男,解放軍信息工程大學博士研究生,E-mail:zhw11qd@126.com.

http://www.cnki.net/kcms/detail/61.1076.TN.20150727.1952.024.html