張 為，蘇 旸，陳文武

(1．武警工程大學電子技術系，西安710086; 2．武警工程大學信息安全保密重點實驗室，西安710086)(*通信作者電子郵箱13022992885@163．com)

0 引言

隨著科技的不斷進步，很多基礎設施為了提高事實態(tài)勢感知和操作效率開放了公共網(wǎng)絡，但同時，像電腦蠕蟲、震網(wǎng)病毒等惡意攻擊對信息安全造成了極大威脅［1］。尤其是近10年來，隨著 Facebook、Twitter等社交網(wǎng)絡服務(Social Networking Service，SNS)應用的快速發(fā)展普及，人際關系網(wǎng)絡已成為新的網(wǎng)絡犯罪增長點，相關的社會工程學方法以及策略郵件、網(wǎng)頁木馬等攻擊手段更成為了針對性滲透攻擊的突破口［2］。在2016年360威脅情報中監(jiān)測到高級持續(xù)威脅(Advanced Persist Threat，APT)報告中，中國已成為全球APT攻擊的第一目標國，涉及APT攻擊報告的數(shù)量多達26件，APT攻擊組織數(shù)量多達29個。由此說明傳統(tǒng)的防御方法已難以防范APT攻擊［3］，我國在網(wǎng)絡安全領域面臨的形勢越來越嚴峻，而APT攻擊將成為防范的重點。

APT攻擊是針對國家組織、大型企業(yè)等主要部門實施的攻擊［4］，它具有攻擊手段高級、攻擊時間長、攻擊危害大等特點。目前，網(wǎng)絡安全通常是由自動化工具和技術檢測來減少漏洞，例如使用拓撲脆弱性分析(Topological Vulnerability Analysis，TVA)［5］，而分布式網(wǎng)絡是由分布在不同地點且具有多個終端的節(jié)點相互連接而成的大型網(wǎng)絡，防御者在進行預防時，很難做到面面俱到，給攻擊者留下可乘之機。傳統(tǒng)的安全技術專注于一次性的攻擊，在面對持續(xù)、隱藏和復雜策略的APT攻擊存在嚴重不足［6］，主要表現(xiàn)為以下3個方面:

1)分布式網(wǎng)絡分散管理，不易于集中控制，對于一個大型的分布式系統(tǒng)，管理者無法全面掌握所有終端的信息，難以對整個網(wǎng)絡系統(tǒng)的風險進行評估。

2)分布式網(wǎng)絡中任一節(jié)點至少與兩條線路相連，當其中一個節(jié)點被攻破，攻擊者會通過提升權限、橫向攻擊向其他節(jié)點滲透，最終造成重要信息的泄露或整個網(wǎng)絡系統(tǒng)的癱瘓。

3)分布式網(wǎng)絡分布范圍廣、網(wǎng)絡節(jié)點多，在面對擁有大數(shù)據(jù)分析的APT攻擊時，所有存在的漏洞都有被攻擊者利用的可能，所以需要對每個節(jié)點都采用高強度防御，這樣會造成浪費資源多、耗費成本大，而最終不一定取得最優(yōu)的防御效果。

1 相關工作

博弈論是一種用于事前分析、制定決策的理論，在很早以前就被應用于軍事、政治、社會生產(chǎn)實踐等多個領域。而在近代開始與網(wǎng)絡通信、網(wǎng)絡空間安全相結合，博弈論從成本效益的角度分析網(wǎng)絡中的各種攻擊行為，進而制定效率最高、行動最優(yōu)的防御策略。例如，Semasinghe等［8］將博弈論用于研究小型分布式資源分配，Altman等［9］用博弈論和進化動力學來解決非合作路由問題，Lin等［10］將博弈論用于用戶與視頻流服務提供商之間價格的變化，Shree等［11］用博弈論的方法建立網(wǎng)絡攻防交互通信網(wǎng)絡模型，Zhu等［12］用博弈論的方法用于網(wǎng)絡空間系統(tǒng)建模。這些研究已經(jīng)將博弈論應用于網(wǎng)絡空間安全，在博弈論的基礎上制定了各種價值很高的網(wǎng)絡規(guī)則，能夠抵御部分網(wǎng)絡攻擊，但對于攻擊方法靈活、攻擊行為隱秘的高級攻擊仍然束手無策。

近年來，Bowers等［13］對Flipit博弈模型進行了拓展，通過計算攻擊頻率和防御頻率的均衡，實現(xiàn)了密碼重置和密鑰管理等功能來預防未知的攻擊，但在面對多變的APT攻擊時存在防御被動性;后來，Pawlick等［14］在攻擊者、防御者和云用戶之間建立三人博弈模型來捕獲隱藏的APT攻擊，并提出了Gestalt均衡尋求最優(yōu)解;Hu等［15］用動態(tài)博弈研究攻防雙方之間的相互作用，提出攻擊者互相競爭有價值信息的同時存在被防御者發(fā)現(xiàn)的風險，并通過雙重博弈的納什均衡證明了模型的安全性;Fang等［16］設計了基于攻擊路徑的博弈模型，通過計算納什均衡得出攻擊者最可能采取的攻擊路徑以及防御者的最優(yōu)防御方案。這都充分體現(xiàn)了博弈論在網(wǎng)絡攻防對抗中，對于實施網(wǎng)絡主動防御中有著重要的價值，但這些研究只是寬泛地實現(xiàn)某種網(wǎng)絡功能來預防APT攻擊，而沒有具體到使用某一網(wǎng)絡拓撲結構的機構該如何進行APT攻擊的防范。

我國是APT的主要受害國，怎樣確保重要部門、大型企業(yè)機構系統(tǒng)資源的網(wǎng)絡安全，是當前的一個熱點問題。傳統(tǒng)的防御措施對于APT攻擊很難奏效，本文針對分布式網(wǎng)絡結構提出了雙重博弈對其進行建模，主要有以下3點工作:

1)針對分布式網(wǎng)絡分布廣，管理者難以對整個網(wǎng)絡系統(tǒng)進行風險評估的問題，在流量監(jiān)控、漏洞掃描和入侵檢測的基礎上，提出用節(jié)點博弈計算可疑行為風險系數(shù)。

2)針對分布式網(wǎng)絡之間相互連通，容易被攻擊者利用橫向攻擊進行滲透的問題，在節(jié)點博弈的基礎上，提出了改進后的OAPG模型(Attack path prediction model Oriented to APT)對APT攻擊路徑進行建模，分析了攻擊者可能使用的攻擊策略。

3)針對分布式網(wǎng)絡對每個節(jié)點采用高強度防御，造成浪費資源多、耗費成本大的問題，在改進后的OAPG模型的基礎上，計算了攻防雙方理論收益，分析了均衡策略，提出了防御者最優(yōu)的防御方案。

2 模型初始化

2．1 APT 攻擊步驟

通過對近些年來對APT攻擊的統(tǒng)計分析，黑客在進行滲透時一般采用魚叉攻擊(郵件攻擊)、水坑攻擊(網(wǎng)站攻擊)、已知漏洞攻擊、0day漏洞攻擊等攻擊方式。而在攻擊時，一般步驟分為情報收集、定向攻擊(中間主機俗稱“肉雞”)、橫向擴散(目標主機)、收集信息以及清除痕跡5個步驟。APT攻擊方法多種多樣，攻擊者在進行攻擊時可以靈活運用這些步驟。圖1為APT攻擊步驟示意圖。

圖1 APT攻擊步驟Fig．1 Steps of APT attack

2．2 分布式網(wǎng)絡結構

在我國，很多重要部門、大型企業(yè)機構為了實現(xiàn)各個部門、區(qū)域的管理常采用分布式網(wǎng)絡機構體系。分布式網(wǎng)絡結構能夠連接分布在不同地點的計算機，實現(xiàn)資源共享;具有很高的可靠性，便于分散管理，即使局部故障也不會導致整個系統(tǒng)的癱瘓;易于擴充，如果想加入新的節(jié)點，可在網(wǎng)絡的任意點進行網(wǎng)絡連接;分布式系統(tǒng)廉價高效，由成本低廉的PC服務器組成的集群，在性能方面能夠達到或超越大型機的處理性能，在成本上遠低于大型機。圖2展示了分布式網(wǎng)絡結構的簡單架構。

圖2 分布式網(wǎng)絡結構Fig．2 Structure of distributed network

2．3 建立網(wǎng)絡防御框架

通過對近些年網(wǎng)絡事故的分析，針對分布式網(wǎng)絡結構特點，在網(wǎng)絡防御常用措施基礎上，引進了節(jié)點博弈模型對可疑行為進行風險評估，通過OAPG模型對高風險行為進行理論收益博弈，進而提出網(wǎng)絡防御框架如圖3所示。

本框架通過流量監(jiān)控、漏洞掃描和入侵檢測等措施對分布式網(wǎng)絡中存在的可疑行為進行捕捉，當發(fā)現(xiàn)異常行為后，通過節(jié)點博弈計算該行為的風險系數(shù)(見3．2節(jié)):若風險系數(shù)較低，可通過傳統(tǒng)安全措施進行防御;若風險系數(shù)較高，則引用OAPG模型對該行為進行建模(見3．1節(jié))，尋找可能的攻擊路徑，進而形成最優(yōu)防御策略保護系統(tǒng)資源的安全。

圖3 網(wǎng)絡防御框架Fig．3 Framework of network defense

3 建立博弈模型

OAPG模型是文獻［16］提出的針對APT攻擊的博弈模型，定義1、定義2和定義3對原有模型的相關參數(shù)進行了定義，該模型用博弈論的方法，對APT攻擊的路徑進行判斷，進而提出有效的防御措施。本文在此基礎上對該模型進行了改進，通過定義4、定義5對攻擊成本和防御成本進一步量化，通過定義6引進漏洞風險系數(shù)，并使用節(jié)點博弈對風險系數(shù)進行建模，通過雙重博弈的后的模型架構更充實、計算結果更可靠。

3．1 OAPG 博弈模型

1)V表示網(wǎng)絡中的節(jié)點。分別用V1，V2，…，Vn表示。

2)T表示節(jié)點的狀態(tài)，分別為Scanning、Remote access permission、Local user permissions、Root permissions。

3)Si表示參與博弈的攻擊方和防御方，在這里用S1代表攻擊方，S2表示防御方。

定義2 用value表示核心數(shù)據(jù)的總價值。

定義3 用fi表示風險系數(shù)，當攻擊者攻占一臺主機后，根據(jù)獲得的權限不同，對系統(tǒng)造成的風險也不同。一般關系參考文獻［16］如表1所示。

表1 攻擊者對系統(tǒng)風險系數(shù)Tab．1 Hazard coefficient of attackers to the system

定義4 用ci表示攻擊方攻擊成本，攻擊成本ci會因攻擊方式和攻擊節(jié)點的不同而改變。

定義5 用di表示防御成本，防御成本di會因防御方式和防御節(jié)點的不同而改變。其中Ocost表示操作代價，Ncost表示負面代價，Rcost表示殘余損失。方程詳解請參考文獻［17］。

改進后的OAPG模型計算方法如下:

攻擊方可以選擇不同的攻擊方式和攻擊路徑，如果這時防御方?jīng)]有進行任何防御，可以得出攻擊方的收益函數(shù)為攻擊者獲取當前節(jié)點訪問權限的收益與攻擊成本之差:

當防御方進行主動防御時，攻擊方成功獲取節(jié)點數(shù)據(jù)訪問權限便成為一個概率事件，當攻擊方用策略，防御方用策略S2j，攻擊方的收益為:

由于函數(shù)(1)、(2)是在防御方是否進行防御時，對攻擊者所產(chǎn)生的收益，那么其收益差減去防御方防守需要花費的成本di即為防御方的收益，從而得出防御方的收益函數(shù)為:

計算出攻擊方和防御方的所有策略的收益后，可以生成網(wǎng)絡攻防收益矩陣(Attack-Defense Benefit Matrix，ADBM):

其中:行表示防御方策略，列表示攻擊方策略。

定義7 演化納什均衡，在改進后的OAPG模型G{V，T，是一個納什均衡，當且僅當對每一個局中人n，策略是對付另一個參與人的最優(yōu)策略，所以有:對于任意，對于任意

3．2 節(jié)點博弈模型

定義8 節(jié)點博弈模型 H{Vi，pij，bsi，q(sji)}是一個四元組，其中:

1)Vi表示節(jié)點，分別用 V1，V2，…，Vn表示。

2)pij表示節(jié)點Vi到節(jié)點Vj的有向邊。

3)bsi表示節(jié)點i的漏洞CVSS評分值。

CVSS(Common Vulnerability Scoring System)是一套通用的漏洞評分機制，可以對系統(tǒng)存在的漏洞進行風險評估。其基本度量組包含6項屬性:入侵途徑(Access Vector，AV)、身份認證(Authentication，AU)、攻擊復雜度(Access Complexity，AC)、機密性影響(ConfImpact，CI)、完整性影響(IntegImpact，II)、可用性影響(AvailImpact，AI)。

漏洞風險分析算法(Vulnerability Risk Analysis Algorithm，VRAA)是參考國家漏洞數(shù)據(jù)庫(National Vulnerability Database，NVD)各項數(shù)據(jù)庫的數(shù)據(jù)表示和CVSS推薦分值的基礎上，通過實驗測試每個漏洞的各項屬性值，計算每個攻擊策略的漏洞風險值，可將策略風險系數(shù)q(sji)表示為:

其中

當各項屬性取最大風險值時，可計算得BS=10為系統(tǒng)漏洞的最大風險評價分值。其余漏洞可通過實驗室漏洞測試各項屬性值以及CVSS評分標準及式(6)計算出相應的評價分值。

當防御方實施防御策略前，期望獲得各個攻擊策略的漏洞風險評估，通過式(5)可以計算所有策略風險系數(shù)，獲得最大風險系數(shù)max q(S*1)，以及最小風險系數(shù)min q(S*1)。

基于OAPG模型和節(jié)點博弈的算法步驟如下:

輸入 OAPG模型G和節(jié)點博弈模型H;

輸出 攻擊策略和最優(yōu)防御策略。

根據(jù)圖1、圖2生成網(wǎng)絡攻擊樹;

While bsj∈bsi，通過式(5)計算所有風險系數(shù)q(Sm1)，得出最大風險系數(shù)max q(S*1)和最小風險系數(shù)min q(S*1);

While Sm1∈S1，Sn2∈S2，通過式(3)、(4)計算所有攻擊策略收益和防御策略收益并生成ADBM;

對得到的數(shù)據(jù)進行分析得出最優(yōu)攻擊策略S*1以及最優(yōu)防御策略S*2;

通過定義7和節(jié)點博弈對計算結果進行驗證;

4 模型應用

4．1 仿真實驗

為了驗證網(wǎng)絡攻防OAPG模型，本文模擬黑客組織對某一企業(yè)機構進行APT攻擊，實驗環(huán)境如圖4所示。

圖4 實驗室網(wǎng)絡環(huán)境Fig．4 Laboratory network environment

1)針對分布式網(wǎng)絡分布廣、網(wǎng)絡節(jié)點多等特點，將實驗網(wǎng)絡環(huán)境劃分為工作區(qū)、服務區(qū)和中心主管區(qū)，各個區(qū)內部通過局域網(wǎng)和專用網(wǎng)實現(xiàn)網(wǎng)絡功能。

2)針對分布式網(wǎng)絡任一節(jié)點至少與兩條線路相連的特點，設定3個區(qū)之間通過互聯(lián)網(wǎng)連接且相互之間具有信任關系，攻擊者攻擊其中一個節(jié)點后，可通過橫向攻擊另一個節(jié)點進行滲透。

3)針對分布式網(wǎng)絡由分布在不同地點且具有多個終端的節(jié)點機互連而成的特點，實驗網(wǎng)絡環(huán)境設置有FTP服務器、smtp服務器和database服務器，外部電腦可通過互聯(lián)網(wǎng)對ftp服務器、smtp服務器和辦公電腦進行數(shù)據(jù)訪問，database服務器(IP2)存儲核心數(shù)據(jù)，只有辦公電腦(IP1)可以通過專用網(wǎng)對其進行數(shù)據(jù)讀寫，外部網(wǎng)絡無權訪問?？衫玫穆┒慈绫?所示。

表2 各節(jié)點存在的漏洞情況Tab．2 Vulnerabilities in each node

參考文獻［18］的原子攻擊信息和攻防行為數(shù)據(jù)庫，綜合以往的漏洞數(shù)據(jù)庫和文獻［17］的防御費用計算方法，在分析路由文件、漏洞數(shù)據(jù)庫、攻擊策略和防御策略的基礎上，可得原子攻擊動作如表3所示，防御原子動作費用如表4所示。

表3 攻擊策略信息Tab．3 Information about strategy of attacker

表4 防御策略信息Tab．4 Information about strategy of defender

通過分析表2各個漏洞的情況，通過實驗室多次測試，參照CVSS評分標準，各節(jié)點之間可利用漏洞的各項屬性值如表5所示。

表5 利用CVSS評價各節(jié)點之間的漏洞情況Tab．5 Vulnerability between nodes using CVSS evaluation

當黑客使用APT攻擊向某個企業(yè)機構發(fā)起進攻時，首先會通過情報收集了解目標的地理位置、網(wǎng)絡技術、人員分布等一些可利用信息;然后投放帶有惡意程序的郵寄或釣魚網(wǎng)站，引誘目標上鉤，當攻擊方控制某一臺主機后，便會利用這臺主機進行橫向擴散，通過木馬病毒或者漏洞利用提升自己的權限，獲得最終目標的數(shù)據(jù)訪或操作，通過圖1、圖2、圖4可以得出APT攻擊常采用的攻擊路徑，如圖5所示。

圖5 APT攻擊路徑示意圖Fig．5 Schematic diagram of APT attack paths

從攻擊圖可以得出攻擊方的策略:

S11:V1→V2→V4→V5，攻擊方從節(jié)點V1滲透到節(jié)點V2，進而滲透到節(jié)點V4，最后滲透到V5。

S21:V1→V3→V4→V5，攻擊方從節(jié)點V1滲透到節(jié)點V3，進而滲透到節(jié)點V4，最后滲透到V5。

S31:V1→V4→V5，攻擊方從節(jié)點V1滲透到節(jié)點V4，最后滲透到V5。

相應防御方的策略有:

S12表示防御方對節(jié)點V2實施防御;S22表示對節(jié)點V3實施防御;S32表示對節(jié)點V4實施防御;S42表示對節(jié)點V5實施防御。

通過式(5)可以計算得到個策略的漏洞風險系數(shù)為:

其中:max q(S1*)=q(S21)=0．52;min q(S1*)=q(S31)=0．23。

本文設定核心數(shù)據(jù)的總價值value=1000，通過式(3)、(4)可以計算得出攻擊方和防御方各策略的收益，得出攻防收益矩陣(ADBM)。

從上述矩陣可以得知策略(S21，S22)是一對納什均衡，當攻擊方使用S21時，有U1(S*1)≥U1(Sm1)，當防御方使用S22，有U2(S*2)≥U2(Sm2)，而通過節(jié)點博弈的漏洞風險計算，策略S21的漏洞風險系數(shù)計算，q(S21)為最大風險系數(shù)，所以攻擊方最有可能采取策略S21對目標發(fā)起攻擊，本文應采取防御策略S22:Patch FTP．rhost on SMTP Sever進行防御，通過 ADBM，可以得出策略S22取得了420最大防御收益。綜合以上分析，防御策略S22為最優(yōu)防御策略。

4．2 實驗數(shù)據(jù)分析

通過以上仿真實驗，可以得出該模型有以下優(yōu)勢:

1)根據(jù)以往的案例和已有的經(jīng)典文獻，分析APT攻擊特點，在此基礎上，形成APT攻擊導圖，分析攻擊者可能的攻擊策略，避免在制定防御策略時出現(xiàn)混亂，提高防御策略的指向性和高效性。

2)針對分布式網(wǎng)絡覆蓋范圍廣、節(jié)點多等特點制定了節(jié)點博弈模型，實現(xiàn)了對各個網(wǎng)絡節(jié)點的風險評估，通過計算max q(S*1)，得出q(S21)=0．52為最大風險系數(shù)，說明危害最大的攻擊路徑不一定是最大風險項，為實現(xiàn)主動防御提供了依據(jù)。

3)使用OAPG模型計算攻防雙方理論收益，生成攻防收益矩陣，得出攻擊者收益最高的攻擊策略S21=420以及防御者最優(yōu)的防御策略S22=420，說明投入最高的防御策略不一定能取得最好的防御效果，只有針對性的采取防御措施才能確保重要資源的相對安全。

5 結語

近年來，世界各地都出現(xiàn)了一系列針對不同目標的、收益頗高的網(wǎng)絡攻擊，這些攻擊表明高安全，高隱藏的網(wǎng)路都存在被攻破的風險［19］，充分說明了APT攻擊的威脅之大。本文提出的博弈論的方法，跳出前人的傳統(tǒng)思維，從攻擊雙方的收益出發(fā)，通過納什均衡和節(jié)點博弈就攻防雙方在經(jīng)費上進行博弈，建立攻防雙方的收益函數(shù)，提出了最優(yōu)的防御方案。將博弈論的經(jīng)典理論和對APT攻擊的防御相結合，符合在網(wǎng)絡攻防對抗中的實際經(jīng)費開支問題，它從一種新的視覺去權衡APT攻擊中的敵我較量，能夠很好地防范APT攻擊。但因為APT攻擊具有系統(tǒng)性、復雜性、大規(guī)模性等特點，對于APT攻擊的路徑和攻擊方式的研究還需進一步深入，本文利用雙重博弈對APT攻擊進行了建模，對于各個節(jié)點的博弈還需進一步細化。