基于AMI網(wǎng)絡分布式拒絕服務攻擊的蜜罐博弈模型

曹康華 王 勇 周 林 董偉偉

(上海電力大學計算機科學與技術學院 上海 200090)

0 引 言

高級計量基礎設施(Advanced Metering Infrastructure,AMI)是多種技術的綜合體，它是消費者獲取實時用電信息的關鍵組成部分，并幫助他們優(yōu)化電力使用。同時，AMI使電網(wǎng)能夠及時接收有關消費者的實時用電反饋，雙向交互可以確保和提高電力系統(tǒng)的可靠性[1]。但是，這種雙向通信也增加了AMI網(wǎng)絡面對惡意攻擊的脆弱性。在智能電網(wǎng)各種類型的威脅中，分布式拒絕服務(Distributed Denial of Service,DDoS)是典型的攻擊方式，DDoS攻擊是指任何可以通過使合法用戶無法訪問資源來減少或消除網(wǎng)絡正常執(zhí)行的事件，它嚴重威脅網(wǎng)絡資源的可用性。針對該威脅，Peng等[2]提出了基于網(wǎng)絡的防御機制和DDoS攻擊的審查。Jiang等[3]引入了一個雙人零和博弈來處理DDoS流量注入。Chai等[4]基于動態(tài)攻擊提出了博弈模型，并且計算納什均衡以解決攻擊檢測問題。但是這些方法都不能夠達到能耗率和攻擊檢測率的平衡?；诿酃薜姆椒ㄊ堑钟鵇DoS攻擊的有效方法之一，在保護網(wǎng)絡的同時也消耗更少的資源。它還可以影響和干擾入侵者的選擇，有利于進一步檢測入侵者的攻擊意圖。

因此，很多學者將博弈論應用于蜜罐誘騙系統(tǒng)，以提高蜜罐的自適應性和幫助決策優(yōu)化。阮鐵權[5]提出了一種基于博弈論的攻防策略，結合主動防御的需求，設計并實現(xiàn)了最優(yōu)主動防御選取算法。趙柳榕等[6]運用博弈理論與信息安全經(jīng)濟學，搭建入侵檢測系統(tǒng)和蜜罐組合模型，探討了入侵檢測系統(tǒng)的檢測概率和蜜罐數(shù)量對最優(yōu)配置策略的影響，從而給出蜜罐和入侵檢測系統(tǒng)技術組合的最優(yōu)配置。蔡傳晰等[7]分別在正常服務和蜜罐服務中構建入侵檢測系統(tǒng)(Intrusion Detection System,IDS)技術博弈模型，利用博弈論并求解出攻防雙方的納什均衡策略，從人工調(diào)查率、檢出概率、攻擊概率和期望收益4個角度對IDS在兩種服務中的價值進行對比。在此基礎上，蔡傳晰等[8]應用博弈論分別建立擬態(tài)蜜罐在保護色和警戒色機制下的混合策略模型，求解均衡及約束條件；利用效用函數(shù)分析兩種欺騙策略對擬態(tài)式蜜罐配置策略的影響。但是，一個理性的攻擊者通常會事先通過嗅探來了解網(wǎng)絡中的防御系統(tǒng)。如果攻擊者使用反蜜罐成功檢測到網(wǎng)絡中的防御系統(tǒng)，他們?nèi)匀豢梢哉业阶罴压舨呗?。上述文獻都缺少對于蜜罐誘騙機理的詳細分析過程，也沒有考慮攻擊者進行反蜜罐偵察時的均衡策略。

本文研究AMI網(wǎng)絡中的蜜罐博弈模型，分析加入蜜罐系統(tǒng)時的雙方收益，并且考慮攻擊者使用反蜜罐偵察情況下的均衡策略推導，進一步證明均衡條件，同時用仿真軟件驗證推導結果?；诖?，可以在AMI網(wǎng)絡中合理地部署蜜罐，以根據(jù)平衡時的約束條件來調(diào)整防御系統(tǒng)，干擾攻擊者的行為選擇，緩解DDoS攻擊的問題，提高蜜罐的攻擊檢測率。

1 AMI結構介紹和博弈過程描述

1.1 AMI結構

AMI是自動抄表(Automatic Meter Reading,AMR)的高級形式。傳統(tǒng)的AMR可以通過單向通信來讀取儀表數(shù)據(jù)，但是，AMI可以實現(xiàn)公用事業(yè)公司和儀表之間的雙向通信。AMI由智能電表、集中器、主站中心(AMI頭端)、計量數(shù)據(jù)管理系統(tǒng)(Measurement Data Management System,MDMS)、通信網(wǎng)絡和支持通信技術組成[9]。

如圖1所示，將AMI網(wǎng)絡抽象為樹結構。頂級節(jié)點是主站，然后是集中器，連接到集中器的是大量的智能電表。發(fā)生DDoS攻擊時，由于網(wǎng)絡或系統(tǒng)資源的耗盡，服務用戶無法通過Internet服務提供商實現(xiàn)正常服務。在此示例中，考慮針對AMI網(wǎng)絡中的關鍵服務器(例如FTP服務器或Web服務器)的DDoS攻擊。攻擊者向服務器發(fā)送DDoS攻擊流量[10]，首先，沿著路徑的節(jié)點將很快耗盡；其次，沿主路徑的下游節(jié)點不能正確地與基站通信。由于AMI的樹狀結構拓撲，因此DDoS攻擊可能進一步導致網(wǎng)絡癱瘓、電力短缺、智能電網(wǎng)中的電力過載，甚至是重大事故[11]。針對AMI網(wǎng)絡的DDoS攻擊可以針對此樹結構中的任何節(jié)點，即智能電表、集中器或主站。圖1是考慮前兩種節(jié)點的攻擊，在防火墻的另一側(cè)部署蜜罐，遠離能源提供商。它們用作兩類節(jié)點的誘餌，以吸引攻擊者，然后通過允許自己被嗅探、檢測或入侵來記錄攻擊行為。

圖1 使用蜜罐部署的AMI網(wǎng)絡基礎設施

1.2 攻防博弈過程

如圖2所示，在實際的攻防過程中，即使在AMI中部署蜜罐，攻擊者也很有可能通過反蜜罐偵察后訪問，因此博弈過程需要考慮攻擊者進行偵察訪問時的雙方收益情況。

圖2 蜜罐博弈模型

把基于蜜罐的攻防博弈G定義為G={ (Si,Rj),(t1,t2),(ES,ER)}。將AMI的主站系統(tǒng)視為提供服務的發(fā)送方Si，攻擊者為接收方Rj。其中服務方提供正常服務器和蜜罐服務器，分別由t1和t2來表示。服務方的策略集合為：Si=(S1,S2)=(真實服務，蜜罐服務)。對于接收方的攻擊者來說，他的策略集合為：Rj=(R1,R2,R3)=(正常訪問，不訪問，偵察訪問)。ES表示服務方收益，ER表示攻擊者的收益。

下面討論攻擊者在三種策略下的收益。

案例1攻擊者正常訪問。如果訪問的是蜜罐系統(tǒng)，則服務方可以監(jiān)測攻擊者的行為，保護主站的正常通信，因此服務方收益為βφ(β為蜜罐誘騙因子,β越大對攻擊者的迷惑越大,φ是訪問蜜罐系統(tǒng)的收益,φ>0)，攻擊者損失為-βφ-δ。如果訪問的是正常系統(tǒng)，則攻擊者就可以篡改系統(tǒng)數(shù)據(jù)進行偷盜電，或者更改正常指令致使電表等設備接收到異常指令，不能正常運行。所以攻擊者收益為αλ-δ(α為攻擊傷害因子,α越大系統(tǒng)的損失越大。λ為訪問正常系統(tǒng)的收益，δ為攻擊代價，且λ>δ>0)，而服務方的系統(tǒng)損失為-αλ。

案例2攻擊者不訪問。如果不訪問蜜罐系統(tǒng)，雙方受益為0，如果不訪問正常系統(tǒng)，主站系統(tǒng)和電表等設備正常運行，雙方都沒損失，因此攻擊者和服務方收益也為0。

案例3攻擊者偵察后訪問。如果攻擊者使用反蜜罐來識別和檢測防御系統(tǒng)，他就會有一個檢測代價σφ(σ是檢測概率，反映了檢測防御系統(tǒng)的性能。σ越大，檢測代價越高)。

2 混合服務下的收益推導

對比傳統(tǒng)的單一服務器模型，我們考慮了加入蜜罐服務器的情況。但是與正常服務器和蜜罐的組合系統(tǒng)對比，我們又考慮了正常服務器發(fā)送蜜罐信號作為偽蜜罐迷惑對手和蜜罐系統(tǒng)發(fā)送真實服務器信號吸引攻擊者的情況。所以，對于此模型下服務方的服務器t1和蜜罐t2的組合系統(tǒng)，策略組合可以有四個，分別為：(S1,S1)，(S1,S2),(S2,S1),(S2,S2)。而攻擊者面對服務方的行為可以選擇訪問、不訪問、偵察后再訪問，因此，攻擊者的策略組合有(R1)、(R2)、(R3)。

由于攻擊者不能提前知道服務器類型，但知道關于服務方某些統(tǒng)計度量的先驗信息，例如服務器類型分布。利用貝葉斯法得到本模型的后驗概率有：P=P(t1|S1)，1-P=P(t2|S1)，q=P(t1|S2)，1-P=P(t2|S2)。由此可得該模型在攻擊者視角下的博弈樹如圖3所示，其中N表示選擇發(fā)送方的服務器類型。

圖3 攻擊者視角下的博弈樹

對于策略(S1,S1)，如果攻擊者選擇訪問，服務方的收益表示為ES(S1,S1)，攻擊者收益為ER(S1,S1)。則：

ES(S1,S1)=P(t1|S1)×(-αλ)+P(t2|S1)×βφ=

P×(-αλ)+(1-P)×βφ=

-(αλ+βφ)p+βφ

(1)

ER(S1,S1)=P(t1|S1)×(αλ-δ)+P(t2|S1)×

(-βφ-δ)=

P×(αλ-δ)+(1-P)×(-βφ-δ)=

(αλ+βφ)p-βφ-δ

(2)

如果攻擊者選擇不訪問，服務器和攻擊者收益分別為：

ES(S1,S1)=P(t1|S1)×0+P(t2|S1)×0=

P×0+(1-P)×0=

0

(3)

ER(S1,S1)=P(t1|S1)×0+P(t2|S1)×0=

0

(4)

如果攻擊者選擇偵察后再訪問，則雙方收益分別為：

ES(S1,S1)=P(t1|S1)×(-αλ)+P(t2|S1)×0

P×(-αλ)+(1-P)×0=

-αλP

(5)

ER=(S1,S2)=P(t1|S1)×(αλ-δ-σφ)+

P(t2|S1)×(-σφ)=

p×(αλ-δ-σφ)+(1-p)×(-δφ)=

(αλ-δ)p-δφ

(6)

同理，可計算出攻防雙方收益如表1所示，由于不訪問時雙方收益都為0，所以未放入表格中。

表1 攻防雙方收益

3 貝葉斯均衡求解

3.1 均衡策略推導

證明：如果服務方的策略可以最優(yōu)，必須是基于后驗概率P(t2|S1)，即無論服務方提供蜜罐信號還是正常信號，攻擊者選擇的都是蜜罐系統(tǒng)，這樣服務器才能夠記錄攻擊者行為調(diào)整防御措施。所以服務方策略最優(yōu)需要滿足的條件為：

ES*=max{(1-p)αλ,(1-q)αλ}

(7)

由表1可知，p

對于接收服務器信號的攻擊者來說，他的策略組合有3種，即{(R1),(R2),(R3)}。他的最優(yōu)策略選擇應該基于表1中(S1,S1)策略下訪問、不訪問和偵察后訪問三種情況下的最大收益，即：

ER*=max{(αλ+βφ)p-βφ-δ,0,(αλ-δ)p-σφ}

(8)

由此可得：

(αλ+βφ)p-βφ-δ>(αλ-δ)p-σφ,R1

(9)

(αλ+βφ)p-βφ-δ<(αλ-δ)p-σφ,R3

(10)

3.2 蜜罐博弈模型的貝葉斯均衡分析

在傳統(tǒng)的博弈模型中，服務方十分被動，攻擊者的攻擊傷害因子α越大，真實服務器遭受的損失就越大。但是在加入蜜罐系統(tǒng)時，攻擊者再次攻擊時就多了幾個因素干擾，攻擊者需要判斷真實服務器和蜜罐服務器的分布概率，而且服務方收益與蜜罐誘騙因子β有關。而本文的模型更加復雜，在考慮加入蜜罐系統(tǒng)的同時，又考慮到攻擊者有可能利用反蜜罐偵察后訪問，因此推導出來的均衡策略除了受到p、q、α、β影響外，還受到反蜜罐的檢測概率σ的影響，策略選擇的算法描述如算法1所示。

算法1最優(yōu)策略算法

輸入：α、β、λ、φ、δ、σ。

輸出：均衡策略{(Si,Si),Rj}。

/* 初始化策略(Si,Si)*/

/* 找到穩(wěn)定狀態(tài)*/

ifp

ifp>1-σφ/(δ+αλ), then

選擇均衡策略{(S1,S1),R1}

end

else

ifp<1-σφ/(δ+αλ), then

選擇均衡策略{(S1,S1),R3}

end

else

ifp>q, then

ifq>1-σφ/(δ+αλ), then

選擇均衡策略{(S2,S2),R1}

end

else

ifq<1-σφ/(δ+αλ), then

選擇均衡策略{(S2,S2),R3}

end

end

系統(tǒng)變得更加復雜的同時，防御機制也更加靈活，任何因素的變動都會使得攻防雙方的收益發(fā)生變化，博弈均衡由雙方的行為共同決定。系統(tǒng)可以通過增加蜜罐在系統(tǒng)中所占比重和適當調(diào)整誘騙因子β來達到最優(yōu)策略，同時增加攻擊者的檢測代價，使得防守方有了更多的主動性，能夠使得系統(tǒng)能耗率和蜜罐系統(tǒng)的檢測率也達到一個平衡，以解決AMI網(wǎng)絡中的DDoS攻擊問題。

4 仿真驗證

在對蜜罐博弈過程進行貝葉斯均衡推導和分析后，利用博弈仿真軟件Gambit對其進行仿真驗證。由于影響因子較多，在這里假設β=1,α=2,δ=20,λ=φ=100不變，改變p和σ的值，使其滿足均衡條件，看結果是否與推導的最優(yōu)策略一致。P=P(t1|S1)改變p的值就改變了服務方提供真實服務時的正常系統(tǒng)所占比重，也就改變蜜罐系統(tǒng)的比重。改變σ就改變了攻擊者使用反蜜罐偵察的檢測成本，這些因素的改變都會影響攻防雙方收益，從而影響雙方的策略選擇。仿真結果如圖4所示。

圖4 仿真結果

圖4(a)和(b)是在pq的情況下得到。仿真結果分析如下：

5 結 語

由于AMI網(wǎng)絡易受DDoS攻擊，考慮到蜜罐技術是應對此攻擊的有效方法，將蜜罐引入正常的AMI網(wǎng)絡中。針對真實服務器和蜜罐服務器的組合系統(tǒng)，把攻擊者很可能用反蜜罐偵察的情況考慮在內(nèi)，給出服務方提供真實服務器信號和蜜罐服務時的雙方收益，由此推導出貝葉斯均衡。最后通過博弈仿真軟件驗證了推導結果的正確性，分析了影響均衡條件的部分因素發(fā)生變化時，也會相應改變攻擊者的策略。因此，只要適當?shù)卣{(diào)節(jié)參數(shù)，就可以干擾攻擊者的選擇，提高防御系統(tǒng)性能，緩解AMI網(wǎng)絡中的DDoS攻擊問題。