李凌書，鄔江興，曾威，劉文彥

（信息工程大學，河南 鄭州 450001）

0 引言

云計算技術將底層基礎設施、網(wǎng)絡帶寬資源以及存儲資源通過虛擬化的方式組合成龐大的共享資源池，大量計算任務分布在這些共享資源池上，每個計算任務按需獲取所需的計算資源以及存儲空間。用戶訪問上層應用獲取想要的服務，而無須知道承載服務運行的具體位置。虛擬化技術在精準地滿足用戶細粒度需求的同時帶來了一定的安全威脅。當多容器共享物理機的虛擬化層，集中存儲和集中計算會引發(fā)用戶數(shù)據(jù)安全性問題，軟件和硬件之間存在附加的抽象層會引起新的安全問題，造成數(shù)據(jù)泄露、越權(quán)訪問、拒絕服務、側(cè)信道攻擊等威脅[1]。目前，云環(huán)境中與虛擬化技術相關的安全問題已成為業(yè)界研究熱點。

網(wǎng)絡空間安全領域使用欺騙技術可以扭轉(zhuǎn)攻防雙方的不對稱性，因而受到相關領域安全研究人員的廣泛關注。網(wǎng)絡欺騙技術通過構(gòu)造一系列虛假信息誤導攻擊者的判斷，誘導攻擊者做出錯誤的動作[2]。網(wǎng)絡欺騙技術廣泛應用于網(wǎng)絡攻防，它經(jīng)常與移動目標防御（MTD，moving target defense）技術相結(jié)合，能夠以較低的防御成本顯著地增加攻擊者的攻擊難度，使攻擊者難以分辨攻擊行為是否生效，同時能夠詳細地記錄攻擊者的攻擊行為，為之后的防御策略提供一定的依據(jù)。近年來網(wǎng)絡欺騙技術已成為網(wǎng)絡空間防御不可或缺的一部分。Jincent等[3]在欺騙環(huán)境框架下，結(jié)合虛擬云技術和軟件定義網(wǎng)絡創(chuàng)建了一個實時的、不可預測的且適應性強的欺騙網(wǎng)絡。Naagas等[4]指出深度防御（DID，defense in depth）無法有效防御復雜的分布式拒絕服務攻擊，并將“欺騙防御”和傳統(tǒng)防御手段相結(jié)合以提高系統(tǒng)的安全性。這些網(wǎng)絡欺騙方法可以有效提高網(wǎng)絡安全性，但防御者策略往往具有盲目性，難以取得最優(yōu)的防御效果。

因此，本文提出一種容器云中基于信號博弈的容器遷移與蜜罐部署策略。在該博弈中，當防御者（如系統(tǒng)管理員）接收到防火墻或入侵檢測系統(tǒng)（IDS，intrusion detection system）等安全工具的警告時，決定對面臨安全風險的容器以一定概率進行遷移，并依據(jù)一定的博弈策略釋放容器遷移或非遷移的信號。攻擊者通過網(wǎng)絡偵查和嗅探會接收到這個信號，但不知道目標容器是進行了遷移而發(fā)出的真實信號，還是只是一個欺騙性的信號。通過理論推導和實驗分析發(fā)現(xiàn)，基于信號博弈的容器遷移與蜜罐部署策略可以顯著增強云網(wǎng)絡的安全性，同時遷移容器的次數(shù)少于一般的MTD技術，有利于減少云系統(tǒng)開銷。

本文的貢獻如下。

1) 將欺騙策略建模為一種信號博弈，并計算攻防雙方的均衡策略，通過分析攻擊者的攻擊行為和攻擊收益，制定了有效的防御策略。

2) 提出了一種容器云中基于信號博弈的容器遷移與蜜罐部署策略，通過偽造虛假的容器遷移信號擾亂攻擊者，提高容器云的安全性，相比單純的MTD技術而言，可以降低成本。

1 相關工作

隨著云計算的飛速發(fā)展，以Docker為代表的容器技術逐漸成為云平臺搭建中一種主流技術。容器技術可以將單個系統(tǒng)的資源分配到多個相互隔離的組中，并實現(xiàn)各個組之間資源調(diào)度平衡。Docker提供了一個容器運行輕量化的平臺，它以拓展的LXC（Linux containers）來實現(xiàn)輕量級虛擬化，并通過區(qū)分內(nèi)核名稱空間實現(xiàn)容器運行環(huán)境的隔離[5]。容器技術具有與Linux OS類似的獨立運行管理和配置管理方案，給云應用程序創(chuàng)造了便利和高速的執(zhí)行環(huán)境，但是內(nèi)核共享和獨立管理機制意味著將帶來了極大的挑戰(zhàn)，威脅著云計算系統(tǒng)的安全性和穩(wěn)定性，其重要性和緊迫性不容忽視。

業(yè)界對容器和虛擬化技術的安全機制已經(jīng)進行廣泛的研究，涉及靜態(tài)預配置、動態(tài)威脅防御等方面，如使用虛擬化層隔離[6]和安全加固等技術[7]來隔離容器和虛擬機運行環(huán)境，以防止已知入侵和未知威脅，然而這些傳統(tǒng)的防御方式具有一定的靜態(tài)性和滯后性。Song等[8]提出了一種動態(tài)遷移算法來優(yōu)化大型高級體系結(jié)構(gòu)（HLA，high level architecture）系統(tǒng)的運行效率，同時考慮了通信和遷移成本。Prasad等[9]提出了一種用于虛擬機遷移的智能預復制實時遷移方法，可以最大限度地減少停機時間和遷移時間，以確保用戶服務質(zhì)量。基于動態(tài)防御的理念，很多學者開始研究基于MTD技術保護容器和虛擬機的安全，將多個虛擬機或容器從一個物理系統(tǒng)環(huán)境轉(zhuǎn)移到另一個物理系統(tǒng)環(huán)境中以增加不確定性。Zhang等[10]提出一種基于激勵相容約束（incentive compatibility constraint）的移動目標防御策略，通過定期遷移虛擬機增大攻擊者定位目標虛擬機的難度。Penner[11]通過隨機化虛擬機的位置，提出一種基于“多臂抽獎”（MAB，multi-armed bandit）遷移方法來強化云系統(tǒng)安全。Yang等[12]提出一種側(cè)信道攻擊中的信息泄露模型，對虛擬機進行遷移以降低信息泄露風險，建立混合整數(shù)線性規(guī)劃模型求解遷移策略，實現(xiàn)降低遷移開銷和提升防御效果多目標優(yōu)化。然而，以上策略由于對攻擊者的攻擊策略和行為模式的考慮不足，往往存在盲目調(diào)度開銷大、策略不能達到最優(yōu)效果、無法應對高級攻擊者等問題。

由于攻防行為相互依存的特性，博弈論開始廣泛應用于網(wǎng)絡安全及相關領域，以制定合理的防御策略。博弈模型充分考慮參與游戲的每一個個體的行為，并基于此行為分析來研究相關的優(yōu)化策略。Horák等[13]使用博弈論的定量框架研究欺騙行為對攻擊者信念的影響，展示了防御者如何利用這種信念來最大限度地減少攻擊者對系統(tǒng)造成的損害。Xiao等[14]提出了一種基于進化博弈的部署算法來解決動態(tài)虛擬機布局的問題，并實現(xiàn)能耗優(yōu)化。Lei等[15]通過引入移動攻擊面和移動探索面的概念，擴展了具有單狀態(tài)或單相不完整信息的移動目標防御的最優(yōu)策略選擇，提出了一種不完全信息馬爾可夫博弈模型來生成最優(yōu)的MTD策略。Adili等[16]提出了一種欺騙性應用虛擬機遷移的移動目標防御技術，通過動態(tài)遷移虛擬機降低攻擊者成功攻擊的概率以提高云計算安全性。冷強等[17]提出一種基于屬性攻擊圖的網(wǎng)絡生存性博弈策略以進行單點防御。

2 威脅分析

云計算系統(tǒng)中的多租戶共存和資源共享模式會帶來嚴重的安全隱患，本文主要針對同駐攻擊進行防御。由于容器是共享物理主機內(nèi)核的，所有的容器進程在宿主機看來都是由容器進程創(chuàng)建的子進程，在宿主機上都有相應的進程ID（PID，process ID），容器用戶創(chuàng)建的進程都建立了獨立的名字空間。虛擬化環(huán)境下常見的安全威脅如逃逸攻擊、側(cè)信道攻擊、隔離突破攻擊、資源消耗性，可對容器云中數(shù)據(jù)可用性、完整性、機密性產(chǎn)生嚴重威脅。

1）逃逸攻擊。逃逸攻擊是指利用虛擬化環(huán)境中軟硬件漏洞進行攻擊，以實現(xiàn)擾亂或控制虛擬化層或宿主操作系統(tǒng)的目的[18-19]。容器逃逸攻擊一般是指攻擊者利用容器和虛擬化平臺的交互漏洞發(fā)起攻擊，交互漏洞通常包括邏輯漏洞和代碼缺陷。如果有容器用戶通過內(nèi)核漏洞或潛在的安全問題導致發(fā)生host逃逸，或者由于誤操作導致容器用戶提升權(quán)限，獲得宿主機的超級用戶權(quán)限，那將對整個宿主機上的容器用戶構(gòu)成威脅。

2）側(cè)信道攻擊。側(cè)信道攻擊是當前云環(huán)境或數(shù)據(jù)中心環(huán)境下造成多租戶間信息泄露的主要原因[20]。防御側(cè)信道攻擊主要有兩種方法：第一種方法是直接修改物理主機的軟硬件，其可以成功防御特定類型的側(cè)信道攻擊，但不適用于防御未知類型的側(cè)信道攻擊；第二種方法是基于移動目標防御的思想對容器進行動態(tài)遷移，能夠成功防御已知和未知的側(cè)信道攻擊，不需要直接修改物理主機的軟硬件層，但這類方法受限于容器遷移算法的收斂時間和遷移成本開銷。

3）穿透攻擊。雖然虛擬化隔離技術嘗試阻止位于同一主機的不同容器間的相互干擾，但新的攻擊技術不斷嘗試打破這種隔離。未授權(quán)用戶存在通過隧道方式連接至其他用戶的容器的風險。Docker提供了一種在容器之間建立虛擬網(wǎng)橋來配置多容器的通信方式。如果攻擊者獲取了宿主機上其他容器的名字，就可能通過這種方式連接其他容器。

4）資源消耗性攻擊。虛擬機資源消耗攻擊是指攻擊者通過發(fā)送大量惡意請求，將宿主機上的帶寬占滿并耗盡其網(wǎng)絡設備的處理能力，使宿主機無法對其他虛擬機提供正常服務。

3 安全防御技術

本節(jié)首先介紹云環(huán)境中兩種常用的安全防御技術（容器遷移技術和蜜罐技術），進而提出基于這兩種安全防御技術的欺騙防御策略。

3.1 容器遷移技術

容器遷移是一種移動目標防御思想的安全技術。容器遷移技術通?？煞譃槔溥w移和熱遷移兩種形式。冷遷移技術可以細分為無狀態(tài)遷移和有狀態(tài)遷移，無狀態(tài)遷移是指在目標節(jié)點生成相同配置的容器環(huán)境，有狀態(tài)遷移是指將當前運行的容器打包成鏡像，再利用該鏡像來生成新的容器。目前容器遷移主要實現(xiàn)方式分為3類。

1）檢查點（check point）機制。CRIU是一個為Linux系統(tǒng)提供檢查點和恢復檢查點的工具，主要是對運行中的應用容器進行凍結(jié)，再基于容器在磁盤上的所有文件建立相應的檢查點，根據(jù)檢查點恢復凍結(jié)時的容器狀態(tài)并繼續(xù)運行。該技術可以應用到容器應用熱遷移、快照、遠程調(diào)試等場景中。

2）容器鏡像遷移。將容器打包成鏡像文件，新主機可以通過該鏡像文件生成新的容器，并對外提供正常服務。如果鏡像文件存儲過程使用到數(shù)據(jù)卷，則遷移過程還需要對相應數(shù)據(jù)卷進行遷移。集群環(huán)境中可以通過建立鏡像倉庫來共享鏡像資源。

3）利用第三方平臺。國內(nèi)外一些平臺和工具（如flocker和jelastic等）提供了容器實時遷移的服務，但需要依賴于特定的環(huán)境。

3.2 蜜罐技術

蜜罐技術廣泛應用于網(wǎng)絡欺騙防御，它通過布置誘餌主機或提供相關網(wǎng)絡服務來迷惑攻擊者，誘使攻擊者對預先布置的蜜罐進行攻擊。蜜罐技術可以通過捕獲和分析攻擊者的攻擊行為，了解攻擊者使用的工具和方法，并能夠推測出攻擊者的攻擊意圖與目標。蜜罐技術可以分為兩種類型：高交互性蜜罐和低交互性蜜罐。低交互性蜜罐模擬一個提供有限的運行條件和信息的生產(chǎn)環(huán)境，來引誘攻擊者進行攻擊；而高交互性蜜罐模擬一個具有高交互功能的運行環(huán)境。蜜罐技術經(jīng)常與其他安全技術協(xié)同部署，提高云系統(tǒng)的安全性。

鑒于蜜罐技術在網(wǎng)絡安全領域的重要作用，眾多學者對其進行了深入研究。Almohannadi等[21]在亞馬遜云上部署了蜜罐，并通過Elastic search技術分析蜜罐日志數(shù)據(jù)來評估攻擊者的行為以發(fā)現(xiàn)攻擊者的攻擊模式。Sarkaler等[22]提供了一種基于云容器的主動防御方法，主要用于解決傳統(tǒng)的網(wǎng)絡防御技術無法快速部署蜜網(wǎng)的問題。Krishnaveni等[23]介紹了一種網(wǎng)絡體系結(jié)構(gòu)Honeynet ，旨在欺騙攻擊者并捕獲攻擊者的攻擊行為特征以進行進一步的分析。Saxena等[24]提出了使用Kerberos身份驗證系統(tǒng)，虛擬私有云、虛擬私有網(wǎng)絡和彈性文件系統(tǒng)作為云環(huán)境中的服務來實現(xiàn)高交互蜜罐的概念，為云數(shù)據(jù)提供整體安全性。

3.3 基于欺騙的防御策略

本節(jié)以上述兩種技術作為防御手段，提出一種基于欺騙的融合防御方法。所提出的欺騙策略的主要思想是利用虛假信號來迷惑攻擊者，提高網(wǎng)絡的安全性，同時降低防御的成本。當防御者接收到來自防火墻或入侵檢測系統(tǒng)的安全警告時，面臨安全風險的容器可能進行遷移以躲避攻擊者，并在遷移前的位置部署蜜罐捕捉攻擊者；防御者也可能為了降低成本而不進行遷移，但會釋放進行了遷移的虛假信息，并在遷移目的服務器上部署蜜罐。這意味著當容器不遷移時，仍然有可能使攻擊者認為發(fā)生了遷移，誘導攻擊者攻擊錯誤的目標。這些虛假信息至少包含以下兩方面。

1）在容器中產(chǎn)生不同的流量行為模擬遷移行為。一個非遷移的容器必須在其當前流量中進行有意的干擾，讓嗅探網(wǎng)絡流量的攻擊者認為它將會遷移。

2）當容器不進行遷移時，在另一臺服務器上啟動一個同名的容器蜜罐，聲稱完成了遷移并提供一個虛假的對外服務接口。當容器進行遷移時，在原服務器上啟動一個同名的容器蜜罐，并提供一個虛假的對外服務接口。

一個基于信號博弈的容器遷移與蜜罐部署策略實例如圖1所示。防火墻或入侵檢測系統(tǒng)檢測到節(jié)點1上的容器面臨惡意攻擊，或節(jié)點1上有不可信的用戶。此時防御者可以將重要的容器遷移到其他服務器上（如節(jié)點2），并在節(jié)點1上啟動一個同名的容器蜜罐，制造出沒有進行遷移的假象。防御者也可以進行偽裝的遷移，即真實容器不進行遷移，但偽造網(wǎng)絡流量模擬容器遷移的行為，并在其他服務器（如節(jié)點3）上啟動一個同名的容器蜜罐，制造出進行了遷移的假象。

圖1 基于欺騙的安全防御方法Figure 1 Security defense method based on deception

4 博弈模型與分析

本節(jié)首先將容器云中容器遷移與蜜罐部署問題建模為一個信號博弈模型，然后對該博弈進行均衡分析，最后提出最優(yōu)的欺騙策略。

4.1 博弈模型

信號博弈是一個雙人不完整信息博弈，分別為發(fā)送者S和接收者R。在信號博弈中，自然（nature）會根據(jù)預設的分布為發(fā)送者選擇一個類型（type），發(fā)送者知道自己類型并發(fā)送一個信號。信號類型有遷移（migration）和不遷移（not migration）兩種，分別表示為M和NM。接收者不知道發(fā)送者的類型，但能夠觀察到發(fā)送者發(fā)送的信號。信號博弈模型Gcm如圖2所示，其中p=p(θ|M)，q=q(θ|NM)。

圖2 信號博弈模型Figure 2 Signal game model

1）提供威脅告警的入侵檢測系統(tǒng)是自然的，即入侵檢測系統(tǒng)決定網(wǎng)絡防御者的類型。自然通過概率θ和1?θ決定類型t1或t2。

① 如果自然選擇t1，代表系統(tǒng)進行容器遷移。

② 如果自然選擇t2，代表系統(tǒng)不進行遷移。

2）網(wǎng)絡防御者根據(jù)自身的類型，決定是否進行偽裝，并發(fā)送適當?shù)男盘枺ㄕ鎸嵭盘柣蛱摷傩盘枺?/p>

3）攻擊者觀察防御者是否釋放遷移信號，但不知道該防御者是在進行真實的遷移，還是只是模擬遷移。

4）攻擊者有3種策略。

①a0：攻擊者不進行攻擊；

②a1：攻擊者認為目標容器沒有遷移，并發(fā)起攻擊；

③a2：攻擊者認為目標容器進行了遷移，并發(fā)起攻擊。

圖2所示的博弈是一個完全但不完美信息動態(tài)博弈。虛線表示了攻擊的信息集，信息集指的是博弈中玩家的決策節(jié)點，表示第二個參與者在不知道第一個參與者如何選擇的情況下做出選擇。

假定ω1代表遷移的成本，ω2代表容器不遷移時模擬遷移的開銷，ω3代表容器遷移時模擬不遷移的開銷，φ代表容器的防御者保護容器不受攻擊的收益。δ1攻擊成本1（重新開始掃描、竊聽等）。δ2代表攻擊成本2（如進一步進行木馬注入）。如果攻擊者放棄攻擊，只需要付出δ1；如果選擇攻擊，需要付出δ1+δ2。本文使用的主要數(shù)學符號及其含義如表1所示。

表1 主要數(shù)學符號及其含義Table 1 Mathematical symbols and their meanings

4.2 博弈均衡分析

本節(jié)分析信號博弈的任何純策略完美貝葉斯納什均衡（PBE，perfect bayesian equilibrium）的存在性和性質(zhì)。若博弈中玩家的策略組合與各自判斷符合以下條件，則稱為一個PBE。

1）進行選擇的博弈方在每個信息集處，具有一個關于博弈到達該信息集中每個節(jié)點可能性的信念（belief）。

2）博弈方基于“序列理性”進行決策。即博弈方在選擇當前階段策略及后續(xù)階段策略時，決策依據(jù)都是期望收益最大化。

3）對于均衡路徑上的每一個信息集，信念由貝葉斯法則和各博弈方的均衡策略決定。

4）對于非均衡路徑上的信息集，信念由貝葉斯法則和各博弈方在此處可能的均衡策略決定。

本文使用(p, 1?p)和(q, 1?q)來表示攻擊者在其兩個信息集中的信念。對于圖2中定義的信號博弈，防御者的純策略由一個有序?qū)?m(t1),m(t2))決定，其中m(t1)是t1選擇的策略，m(t2)是t2選擇的策略。同樣，攻擊者策略由有序?qū)?a(M),a(NM))決定，其中a(M)和a(NM)分別為根據(jù)防御者信號制定的攻擊策略。

純策略PBE可以表示為元組{SD,SA,p,q}，其中，SD是防御者根據(jù)每種類型選擇信號的策略，SA是響應每個信號的攻擊者策略對，p和q分別為攻擊者發(fā)送方類型的信念。發(fā)送方采用純策略的情況下，信號博弈中可能存在兩種類型的PBE，稱為混同均衡和分離均衡。

當m(t1)=m(t2)時，PBE稱為混同均衡。換言之，無論防御者的類型如何，都會發(fā)出相同的信號。相反，PBE被稱為分離均衡，即防御者根據(jù)其類型發(fā)出不同的信號。

4.2.1 分離均衡

假設1在現(xiàn)實場景中，一般容器的價值高于遷移的代價，為簡化分析，本文假定φ>ωi。

假設2容器的價值高于攻擊開銷(α>δi)，否則攻擊者會失去攻擊意愿。

（1）若分離均衡為(M,NM)

根據(jù)假設2，由于α>δ2，攻擊者的最優(yōu)策略是(a2,a1)，此時判斷防御者會不會偏離：t2狀態(tài)的防御者會不選擇NM而選擇M，來獲取更大的收益（根據(jù)假設1，φ?ω2+ε+β>0），因此不存在分離均衡(M,NM)。

（2）若分離均衡為(NM,M)

此時攻擊者的最優(yōu)策略是(a2,a1)。t1狀態(tài)的防御者會不選擇NM而選擇M，來獲取φ?ω1+ε的收益，收益大于?β?ω1?ω3，故不存在分離均衡(NM,M)。

4.2.2 混同均衡(M,M)

若防御策略為(M,M)，攻擊者在該信息集的信念為(q,1?q)。由于p(M|t1)=p(M|t2)=1，由貝葉斯公式可得p=p(M|t1)=p(t1)=θ。

攻擊者選擇a0的收益期望為C0=θ(?δ1)+ (1?θ)(?δ1)；攻擊者選擇a1的收益期望為C1=θ(?δ1?δ2)+(1?θ)(α?δ1?δ2)；攻擊者選擇a2的收益期望為C2=θ(α?2δ1?δ2)+ (1?θ)(?2δ1?δ2)。令C1?C0=θ(?δ2)+(1?θ)(α?δ2)=(1?θ)α?δ2>0，則相當于θ<1?δ2/α時，C1>C0。

總結(jié)如下。

攻擊者選a0時，要確定兩種防御者類型是否都愿意選擇M，本文需要觀察攻擊者對NM的反應。如果攻擊者選擇策略a0，類型為t2的防御者會選擇NM來獲取φ的收益，高于選擇M的φ?ω2。

攻擊者選a1時，要確定兩種防御者類型是否都愿意選擇M，本文需要觀察攻擊者對NM的反應。如果攻擊者選擇策略a1，類型為t2的防御者會選擇NM來獲取?β的收益，高于選擇M的?β?ω2。

攻擊者選a2時，要確定兩種防御者類型是否都愿意選擇M，需要觀察攻擊者對NM的反應。當ε<ω2時，如攻擊者選擇策略a2，類型為t2的防御者都選擇NM。當ε>ω2時，如攻擊者選擇策略a2，類型為t1和t2的防御者都不會選擇NM。因此，(M,M)存在混同均衡{(M,M),(a2,a2),p=θ,q}。

4.2.3 混同均衡(NM,NM)

若防御策略為(NM,NM)，攻擊者在該信息集的信念為(q, 1?q)。由于p(NM|t1)=p(NM|t2)=1，因此由貝葉斯公式可得q=p(NM|t1)=p(t1)=θ。

攻擊者選擇a0的收益期望為C0=θ(?δ1)+ (1?θ)(?δ1)；攻擊者選擇a1的收益期望為C1=θ(?δ1?δ2)+(1?θ)(α?δ1?δ2)；攻擊者選擇a2的收益期望為θ(α?2δ1?δ2)+(1?θ)(?2δ1?δ2)。

攻擊者選a0時，要確定兩種防御者類型是否都愿意選擇NM，本文需要觀察攻擊者對M的反應。如果攻擊者選擇策略a0，類型為t1的防御者會選擇M來獲取φ?ω1的收益，高于選擇NM的φ?ω1?ω3。

攻擊者選a1時，要確定兩種防御者類型是否都愿意選擇NM，本文需要觀察攻擊者對M的反應。當ε<ω3時，如果攻擊者選擇策略a1，類型為t1的防御者會選擇M來獲取φ?ω1的收益，高于選擇NM的φ?ω1?ω3+ε。當ε>ω3時，如果攻擊者選擇策略a1，類型為t1和t2的防御者都不會選擇M。因此存在混同均衡{(NM,NM), (a1,a1),p,q=θ}。

攻擊者選a2時，要確定兩種防御者類型是否都愿意選擇NM，本文需要觀察攻擊者對M的反應。如果攻擊者選擇策略a2，類型為t1的防御者會選擇M來獲取?β?ω1的收益，高于選擇NM的?β?ω1?ω3。

5 實驗

為評估欺騙模型的可行性及博弈算法有效性，本節(jié)將遷移、欺騙開銷和安全價值綜合為攻防雙方的收益來進行對比，對不同攻防策略組合進行實驗分析。

5.1 環(huán)境與參數(shù)設置

測試網(wǎng)絡環(huán)境包括4臺x86服務器（28 cores 2.00GHz, 256GB RAM, 10 GB NIC），其中1臺為控制節(jié)點，3臺為計算節(jié)點。采用Kubernetes作為管理與編排系統(tǒng)對容器進行管理，使用CRIU技術對容器進行遷移，基于開源的Opencanary蜜罐系統(tǒng)實現(xiàn)相關蜜罐的部署。從可用性、完整性、機密性3個方面評估容器的價值，攻擊成功會破壞容器的機密性，容器遷移、蜜罐部署會消耗資源，并降低可用性。

對于實驗參數(shù)設置，本文假定符合表2中完美貝葉斯納什均衡的存在條件（ε>ω2，ε>ω3）。ε表示當攻擊者攻擊蜜罐時，防御者因捕獲到攻擊行為而獲得的額外收益。ω2表示容器不遷移時，模擬遷移行為的開銷，ω3表示容器遷移時，模擬不遷移行為的開銷。這兩個約束條件在一般情況下是成立的，即捕獲攻擊的收益大于進行網(wǎng)絡欺騙的開銷。對于其他開銷的取值，與攻防雙方的技術能力以及網(wǎng)絡設備價值有關，但實際上不影響均衡點的位置，也不影響最終的策略選擇。因此實驗參數(shù)設置為α=10，δ1=1，δ2=1，ω1=4，ω2=3，ω3=2，ε=4，φ=10，β=4。

假定攻擊者具有兩類攻擊模式：一類是隨機攻擊模式，其無論接收到什么類型的信號，均采取隨機攻擊；另一類是最優(yōu)攻擊模式，其根據(jù)接收到的防御者發(fā)出信號做出不同的選擇。如當收到非遷移信號NM時選擇攻擊原服務器a1，當收到遷移信號M時選擇攻擊遷移目的服務器a2，記為(a1，a2)。因此，其攻擊策略集合包含9種策略。此類模式下攻擊者具有很強的記憶和試錯能力，能夠選擇最優(yōu)的策略進行攻擊。

防御者也假定有兩類防御模式：一類是隨機防御模式，其無論容器實際是否遷移（無論自己的類型是t1還是t2），都隨機釋放一個信號；另一類是博弈防御模式，其根據(jù)當前系統(tǒng)容器遷移的概率θ，選擇相應的防御策略，即對于遷移和非遷移情況下釋放什么信號，其防御策略集合包含4種策略。策略選擇依據(jù)表2進行計算。

表2 Gcm的完美貝葉斯納什均衡Table 2 Perfect Bayesian Nash equilibrium Gcm

5.2 實驗結(jié)果與分析

根據(jù)攻擊者和防御者模式的假設，共有4種攻防組合。不同攻防組合下的平均收益如圖3所示?？梢钥闯觯瑹o論防御者采用何種防御模式，最優(yōu)攻擊模式下攻擊者均具有更強的攻擊能力，可以獲得更好的攻擊收益。同時，無論攻擊者采用何種攻擊模式，博弈策略防御模式下的防御者均能獲得更好的防御收益，驗證了博弈算法的有效性。由于攻擊者能力強，具有后手優(yōu)勢，傾向于使用最優(yōu)化攻擊，防御者必須考慮最壞攻防情況下的策略選擇，因此最終會選擇均衡策略。當達到均衡點之后，攻防雙方均沒有意愿改變策略來偏離均衡點。當θ為0.2，0.5時，均衡為{(NM,NM),(a1,a1),p,q=θ}。即防御者選擇釋放不遷移的信號，攻擊者選擇攻擊原宿主服務器。當θ為0.8時，均衡為{(M,M),(a2,a2),p=θ,q}。即防御者選擇釋放遷移的信號，攻擊者選擇攻擊容器遷移的目標服務器。

圖3 不同攻防組合下的平均收益Figure 3 Average payoffs of different attack and defense combinations

通過對攻防信號博弈模型的均衡和數(shù)據(jù)進行一般性分析，可以得到以下規(guī)律。

1）防御者釋放的信號傾向于與其類型保持一致。即θ越大，防御者是M的類型概率越高，釋放M信號的概率越大。即θ越小，防御者是NM的類型概率越高，釋放NM信號的概率越大。這是因為釋放虛假信號需要付出代價，防御者傾向于降低不必要的欺騙開銷。

2）攻擊者傾向于相信防御者釋放的信號。這意味著當防御者釋放假信號時，能夠成功欺騙攻擊者，從而獲得更大的收益，證明了欺騙策略的有效性。

3）防御者應盡可能避免分離均衡。如果防御者在不同類型的情況下釋放不同的信號，則攻擊者可以準確地判斷防御者是否進行遷移，無法達到擾亂攻擊者的目的。防御者釋放的信號應具有不確定性，否則容易被高級攻擊者識破，如使用簡單的虛擬IP技術雖然能夠隱藏真實IP，但如果不進行周期性的跳變，攻擊者依然能通過虛擬IP定位到目標主機。

6 結(jié)束語

本文將移動目標防御技術與網(wǎng)絡欺騙進行結(jié)合，提出了一種基于信號博弈的容器遷移與蜜罐部署策略，該策略利用容器遷移和蜜罐部署的不確定性來增加系統(tǒng)安全性。本文將攻防過程建模為一個主從信號博弈，防御者作為領導者釋放遷移信號，攻擊者作為跟隨者通過網(wǎng)絡嗅探獲取攻擊者的信號，再選取相應的攻擊策略。通過博弈均衡分析求解了防御者和攻擊者的均衡策略，本文據(jù)此得出了防御者最優(yōu)的容器遷移欺騙策略。容器云的資源靈活配置的特點有利于部署蜜罐和一些移動目標防御策略，但開銷依然是亟待解決的問題，本文利用網(wǎng)絡欺騙降低容器被攻擊的概率，提高蜜罐捕獲攻擊的可能性，可以有效提高信息系統(tǒng)的安全性，同時降低防御成本。