基于扩展式博弈的网络安全防御策略研究

潘子轩 许晓东 朱士瑞

摘要：基于博弈理论的网络安全防御策略研究，大多使用完全信息或静态博弈理论进行攻防过程建模。针对现有攻防博弈模型的局限性，以网络安全防御的蜜罐（Honeypot）技术为研究对象，从动态、不完全信息角度对攻防交互过程建模，提出了网络攻防扩展式博弈模型（Network Attack-Defense Extensive-Form Game Model，NEFGM），给出了扩展式博弈的斯塔克尔伯格均衡（Stackelberg Equilibrium，SE）求解算法，从而在权衡防御成本和收益的前提下提供决策参考。仿真实验分析验证了模型和求解算法的可行性及有效性。

关键词：网络安全；扩展式博弈；蜜罐技术；博弈均衡

DOIDOI：10.11907/rjdk.181252

中图分类号：TP309

文献标识码：A 文章编号：1672-7800（2018）010-0191-03

英文摘要Abstract：Researches on the defense strategy of network security based on game theory mostly use completed information or static game theory to establish the model of offensive and defensive process.In order to solve the limitations of the existing offensive and defensive game model，this paper proposes a network attack-defense game model based on the extensive-form game，which is modeled in a dynamic way and has incomplete information.The honeypot technology of network security is studied，moreover， the solving algorithm of Stackelberg Equilibrium based on the extensive-form game is given so as to make decision guidance for managers on the premise of balancing defense costs and benefits.Through the simulation experiment and analysis， the feasibility and effectiveness of the model and the solving algorithm are verified.

英文關键词Key Words：network security；extensive-form game；honeypot technology；game equilibrium

0 引言

现有的网络安全防御技术依赖防火墙、漏洞扫描、入侵检测和反病毒软件等，大多是检测到攻击后才有响应，因此在攻防对抗中容易陷入被动。作为未来网络安全防御研究的发展方向，主动防御技术受到了研究者的广泛关注[1]。蜜罐技术是一种具有主动性的入侵响应技术[2]。蜜罐作为诱饵可以分散攻击者对真正主机的注意力，检测攻击者的存在并收集有关攻击者活动的详细信息。部署可信的蜜罐往往代价高昂，并且攻击策略总是致力于避开蜜罐，因此如何部署蜜罐以最大程度降低攻击者收益值得深入分析。

本文借助一种博弈论方法研究蜜罐部署策略问题，可作为博弈论方法进行网络安全加固决策的案例，也可为其它网络安全防御策略研究提供思路。

1 相关研究

博弈论是研究各博弈方之间发生直接相互作用时的决策及决策均衡问题的理论[3]。Hamilton等[4]指出，博弈论将在网络攻防对抗领域发挥重要作用，是未来信息安全的研究方向之一。

目前已有多种博弈论模型应用在网络安全研究中。姜伟等[5]通过建立网络攻防模型选取防御策略，该模型可看作攻防双方在网络中的一种非合作零和博弈过程。吉鸿珠等[6]基于随机博弈理论进行建模并求解纳什均衡，从而分析网络安全量化评估结果。林旺群等[7]基于非合作动态博弈理论提出完全信息动态博弈模型，并给出求解最佳攻防策略集的博弈算法。王晓丹等[8]结合博弈论思想研究计算机网络防御策略，从静态和动态博弈两种情况对防御策略进行分析，得出最佳防御策略。上述研究都是基于完全信息假设建立的博弈模型，在通用性与准确性上存在不足。刘玉岭等[9]建立了基于不完全信息静态博弈的绩效评估模型，并通过求解贝叶斯指导防御策略选择。胡裕靖等[10]研究在不完全信息扩展博弈中对次优对手弱点的利用，并在基于单牌扑克实验中验证算法的有效性。张恒巍等[11]提出基于信号博弈的网络攻防博弈模型，给出了完美贝叶斯均衡求解过程，最后提出了基于模型的网络安全威胁评估算法。Manshaei等[12]讨论了博弈论在网络安全领域应用的优势、不足和未来发展方向，认为开发新的博弈论方法是网络安全研究的方向。

本文以蜜罐部署为防御策略研究网络攻防过程，是一种防御者先行决策且攻击者对防御决策具有不完全信息的动态博弈。现有完全信息或静态博弈模型不能准确描述这种交互攻防场景，因此选用扩展式博弈模型结合实际攻防过程建模求解。

2 网络攻防扩展式博弈模型

动态博弈指局中人轮流决策的博弈。将攻击者与防御者的网络攻防交互过程建模为一个二人扩展式博弈[13]，是一个具有不完全信息的动态博弈过程。在研究的攻防场景中，防御者首先选择部署蜜罐策略，然后攻击者进行攻击决策。不完全信息来源于攻击者不确定的系统类型。扩展式博弈模型中攻防双方的相互作用可以直观地表示为博弈树形式，如图1所示。博弈树可以添加自然节点表示随机事件或不确定状态。图中圆形与正方形节点表示博弈状态，每个节点对应一个博弈状态行动的局中人。节点的边表示局中人在该状态下可执行的行动，如{x，y，A，B，C，D，E，F，G，H}，叶节点中数值为收益，Ia-Ie称为信息集。扩展式博弈通过将节点分组为信息集形式限制局中人观察，使得给定局中人在决策时不能区分属于哪一信息集节点，在博弈过程中具有不完全信息。

4 应用与分析

为说明和验证网络攻防扩展式博弈模型以及均衡求解算法，构建网络拓扑结构实例如图2所示。

防火墙限制外部只能访问DMZ区主机，规定防御者通过部署A类服务器蜜罐和B类主机蜜罐进行主动防御。攻击者以攻取数据库服务器为目标，将攻击者已知的部分网络称为网络核心。本例网络核心由一个网关路由器和数据库服务器组成，通过NEFGM建模的博弈树形式表示，见图3。

如图3所示，由于在网络核心部分部署蜜罐成本过高，因此核心网络在攻防过程中保持不变。目标网络拓扑结构由核心网络和DMZ={A，B}两部分组成，经过自然初始决策X1、X2、X3后等概率形成网络1-网络3。本例中防御者在DMZ区域可部署蜜罐总数为2，防御者决策集为Y={（2，0），（1，1），（0，2）}。如果防御者向网络1添加一个A类蜜罐和一个B类蜜罐，而向网络2添加两个B类蜜罐，所形成的网络1-R和2-L构成信息集Ib，图中Ia-Ie均为信息集。因为攻击者对目标网络具有不完全信息，所以对同一信息集中的所有网络节点执行相同攻击策略。通用漏洞评分系统[15]（Common Vulnerability Scoring System，CVSS）中规定攻击者对A类服务器攻击成功率为0.1，B类主机攻击成功率为0.4，攻击策略通过攻击图[16]获取。实例攻防中防御者只进行一次蜜罐部署决策，通过多重线性规划算法求解出防御者最优执行计划：L1、M1、R1的执行计划分别为（0，1，0），L2、M2、R2的执行计划分别为（0，0.55，0.45），L3、M3、R3的执行计划分别为（0.11，0.14，0.75）。

设定一种随机蜜罐部署策略（Random），所有可选蜜罐部署方式以等概率执行计划部署，如图4所示。假定蜜罐部署前攻击者最大攻击收益为4，与随机部署策略相比，采用斯塔克尔伯格均衡（SE）下的决策指导，在可部署蜜罐数量相等条件下更大程度地降低了攻击者收益。

5 结语

本文以蜜罐部署策略为例，研究了防御者先行部署防御策略的网络攻防场景。为了更加贴近实际，提出网络攻防扩展式博弈模型，从动态、不完全信息角度对攻防行为建模，并通过斯塔克尔伯格均衡求解算法，获取最优网络安全防御策略。通过一个网络实例验证了该模型和求解算法的可行性及有效性。下一步研究工作重點是多种防御策略共同作用下的攻防博弈问题。

参考文献：

[1] 高晓飞，申普兵.网络安全主动防御技术[J].计算机安全，2009（1）：38-40.

[2] 张龙生.虚拟蜜罐网关键技术研究与实现[D].北京：北京邮电大学，2015.

[3] FALLAH M S. A puzzle-based defense strategy against flooding attacks using game theory[J]. IEEE Transactions on Dependable & Secure Computing， 2010，7（1）：5-19.

[4] HAMILTON S N， MILLER W L， OTT A， et al. The Role of Game Theory in Information Warfare[C]. Vancouver， Canade： Proceedings of the 4th Information Survivability Workshop， 2002：45-46.

[5] 姜伟，方滨兴，田志宏，等.基于攻防博弈模型的网络安全测评和最优主动防御[J].计算机学报，2009，32（4）：817-827.

[6] 吉鸿珠，顾乃杰.基于博弈论的网络安全量化评估算法[J].计算机应用与软件，2009，26（9）：4-6.

[7] 林旺群，王慧，刘家红，等. 基于非合作动态博弈的网络安全主动防御技术研究[J].计算机研究与发展，2011，48（2）：306-316.

[8] 王晓丹，黄炎焱，王建宇，等.计算机网络防御策略分析[J].指挥信息系统与技术，2014，5（5）：13-19.

[9] 刘玉岭，冯登国，吴丽辉，等.基于静态贝叶斯博弈的蠕虫攻防策略绩效评估[J].软件学报，2012，23（3）：712-723.

[10] 胡裕靖，高阳，安波.不完美信息扩展式博弈中在线虚拟遗憾最小化[J].计算机研究与发展，2014，51（10）：2160-2170.

[11] 张恒巍，余定坤，韩继红，等.信号博弈网络安全威胁评估方法[J].西安电子科技大学学报：自然科学版，2016，43（3）：137-143.

[12] MANSHAEI M H， ZHU Q， ALPCAN T， et al. Game theory meets network security and privacy[J]. Acm Computing Surveys， 2013，45（3）：1-39.

[13] KOLLER D， MEGIDDO N， STENGEL B V. Efficient computation of equilibria for extensive two-person games[J]. Games & Economic Behavior， 1996，14（2）：247-259.

[14] KORZHYK D， YIN Z， KIEKINTVELD C， et al. Stackelberg vs. Nash in security games： an extended investigation of interchangeability， equivalence， and uniqueness[J]. Journal of Artificial Intelligence Research， 2014，41（2）：297-327.

[15] MELL P， SCARFONE K， ROMANOSKY S. Common vulnerability scoring system[J]. IEEE Security & Privacy， 2007，4（6）：85-89.

[16] OU X， BOYER W F， MCQUEEN M A. A scalable approach to attack graph generation[C]. Alexandria， Virginia， USA： Proceedings of the 13th ACM Conference on Computer and Communications Security， 2006：336-345.

（责任编辑：杜能钢）