一种基于攻防随机博弈模型的网络安全态势评估方法

摘要

本发明涉及一种基于攻防随机博弈模型的网络安全态势评估方法，属于网络安全评估技术领域，步骤为：A.对网络安全设备的日志信息收集并融合、关联为资产、威胁、脆弱性等安全数据集；B.基于步骤A的数据进行安全事件评估，并获得安全数据集；C.基于步骤A和B，构建威胁传播访问关系网络；D.构建攻防博弈模型，并根据评估算法评估安全态势，并获得防护措施。此安全态势综合网络的完整性、机密性、可用性三方面安全属性，并分析了威胁传播对态势评估的影响，利用攻防随机博弈模型进行态势评估，贴合实际场景，并给出防护措施，降低安全风险。

说明书

技术领域

本发明涉及网络安全技术领域，特别涉及一种基于攻防随机博弈模型的网络安全态势评估方法。

背景技术

在当今网络环境日益复杂、网络攻击日益严峻、攻防场景实时动态变化的情况下，网络安全的技术发展也从当初的被动安全技术发展到主动安全技术，从单一安全要素的分析发展到网络整体安全状况的分析。

网络安全态势感知技术能够对引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势，近年来获得高度关注，其核心为网络安全态势评估。

网络安全态势评估是对网络安全状况进行定性定量的分析，从海量安全数据中获取并理解网络中安全状况，在此基础上，对网络安全态势进行预测，为安全管理员的决策提供依据和指导，提高网络防御的主动性，尽可能地降低网络攻击的危害。

目前主要有层次化态势评估方法及数据融合态势评估方法。层次化态势评估方法将网络系统分为系统、主机、服务等几个层次，提出基于层次化的网络态势评估方法，在此之后，基于层次分析法，研究人员又综合使用模糊评价矩阵、博弈论等。

数据融合态势评估方法主要是针对不同安全设备产生的海量、异构信息进行信息融合和不确定信息的推理，从而获得宏观网络安全状况。研究人员将数据融合态势评估方法与神经网络、博弈原理、马尔可夫等理论相结合，进一步优化了评估结果。

上述相关研究主要关注于网络安全事件对态势的影响，并没有考虑到防护措施对于安全态势的影响，且没有考虑到威胁传播对态势的潜在影响。现有的基于博弈模型的网络安全态势感知方法在博弈综合分析时，参与者的收益计算未考虑成本问题，且只考虑了最大最小策略下的态势评估，没有考虑混合策略纳什均衡。

发明内容

本发明的目的在于，提出一种基于攻防随机博弈模型的网络安全态势评估方法，综合各种安全元素数据，考虑防护措施的实施、威胁传播对态势的影响，计算混合策略纳什均衡，并评估网络安全态势，给出防护策略，全面、准确、动态的评估网络安全态势，降低安全事件对网络造成的安全损害。

为了解决背景技术所存在的问题，本发明采用如下技术方案，具体包括以下步骤：

1.一种基于攻防随机博弈模型的网络安全态势评估方法，其特征在于该评估方法包括以下步骤：

A、收集网络安全设备日志等信息，进行信息融合与关联分析，形成格式规范化的安全数据集；

B、对安全数据进行网络安全事件评估，获得引起安全事件的威胁数据集；

C、根据安全数据构建描述威胁传播的威胁访问关系网络；

D、构建攻防随机博弈模型，采用评估算法进行态势评估与安全措施的获取。

2.根据权利要求1所述的基于攻防随机博弈模型的网络安全评估方法，其特征在于步骤A

进一步包括以下步骤：

A1、确定数据源，配置信息是指网络设计和配置状况，如拓扑信息、防病毒软件安装与否、服务软件的安装与设置情况、系统的漏洞缺陷数量等；运行信息包括目前网络系统所受到的攻击与运行情况以及各主机当前运行状况等，主要来自于各类运行日志库；

A2、把数据源信息中的资产信息融合，表示为由资产的id、名称、类型、价值、服务、操作系统、运行信息id、主机运行价值组成的7元组，Asset＝(id_a,name,type,V_a,serv,os,id_r,V_r)；

A4、根据数据源信息，融合主机的基础运行信息，表示为由运行信息id、主机id、主机资产运行价值、内存利用率、CPU利用率、流量组成的6元组,Run_h＝(id_r,id_a,V_rh,ρ_m,ρ_cpu,flow)；

A5、根据数据源信息，融合脆弱性信息，表示为由脆弱性标识、资产标识、为脆弱性名称、被成功利用的概率、表示脆弱性被利用后的损害程度组成的5元组，Vul＝(id_v,id_a,name,p_t,V_v)；

A6、根据数据源信息，融合威胁信息，表示为又威胁标识、所在资产标识、为威胁利用脆弱性标识、威胁名称、脆弱性名称、为威胁类型、表示威胁利用脆弱性实施攻击发生的概率、表示威胁产生的损害程度，Thread＝(id_v,id_a,id_t,name,type,p_t,V_t)。

3.根据权利要求1所述的基于攻防随机博弈模型的网络安全评估方法，其特征在于步骤B进一步包括以下步骤：

B1、对每一个主机，找到对应的威胁集合与脆弱性集合；

B2、针对威胁集合中的每一个元素，在脆弱性集合中搜索对应的脆弱性，如果找到，则认为该威胁引起安全事件的发生；

B3、将安全事件集合表示为由资产id、威胁id、脆弱性id、安全事件发生概率、安全事件影响价值组成的5元组，SE＝(id_a,id_v,id_t,p_se,V_se)。

4.根据权利要求1所述的基于攻防随机博弈模型的网络安全评估方法，其特征在于步骤C进一步包括以下步骤：

C1、根据步骤A中获得信息，构建网络节点关联性信息，表示为NNC_Ai,Bj＝(A,i,B,j,P,W),其中A,B为网络节点，i,j为节点上的服务或者应用程序等，P表示被利用成功的概率，W表示i与j的影响程度；

C2、构建表述威胁传播的访问关系网络，节点由7元组组成，主要包括节点是否存在威胁t、是否存在其利用的脆弱性、引起风险最高的脆弱性的价值向量及其标识，表示为：V_i＝(id_a,V_a,V_r,e_t,e_v,V_other,id_ov)；

C3、构建表述威胁传播的访问关系网络中的威胁传播路径即边，由5元组组成，主要包括源节点、目的节点、边的权值、传播路径带宽利用率、利用该边传播的成功率，表示为E_i＝(id_ar,id_ad,V_e,ρ_e,p_es)。

5.根据权利要求1所述的基于攻防随机博弈模型的网络安全评估方法，其特征在于步骤D进一步包括以下步骤：

D1、量化攻击方博弈收益，直接收益由网络安全损害与动作成本决定；针对威胁t，攻击者的直接收益表示为：ua_i(t,k)＝Sdam_i(t)-Acost_i(t)，其中对系统的损害由构造的威胁访问关系网络中的节点与边的损害两部分组成

针对节点的损害表示为：

Vdam_i(t)＝(V_a·V_v)p_tp_v，针对边的损害表示为：Edam_ei(t)＝V_e·▽ρ_e·p_es；

D2、量化防护者博弈收益，直接收益由网络安全损害与动作成本决定；针对威胁t，对于防护者，直接收益表示为防护者成本表示为：

Dcost_i(t)＝θ_node(i,j)val_ai·V_r+θ_edge(i,j)V_e·ρ_e，θ(i,j)表示采取防护策略j对攻击i所产生的对可用性的损害系数；

D3、构建攻防随机博弈模型，由七元组ADSGM＝(I,S,A,D,π,P,U,δ)表示；

D4、博弈矩阵量化，每一个博弈状态S_k下，对于威胁t，攻防双方的矩阵博弈元素表示为展开为：

i＝1,2,...,m；j＝1,2,...,n；

D5、设计基于攻防随机博弈模型的网络安全态势评估算法，根据评估算法，评估网络安全态势，获得混合策略纳什均衡，从而获得防护策略。

6.根据权利要求5所述的采用评估算法进行态势评估与安全措施的获取，其特征在于步骤D5进一步包括以下步骤：

D51、对威胁集合中的每一个威胁，根据当前博弈状态S₀与威胁传播网络，考虑威胁的K步传播，K＝2,3,4,5，获取每一步传播下的博弈状态，记为S_k＝(S_k1,S_k2,...,S_kl)，k＝1,2,3,...,K；

D52、对每一个状态构建双矩阵博弈；

D53、从k＝K求解每一个状态下的混合策略纳什均衡，采用迭代的方式代入k＝k-1状态下；

D54、求解S₀状态下的混合纳什均衡策略，并计算得到态势评估值；

D55、对所有威造成的态势求和，计算网络安全整体态势

附图说明

图1是本发明具体实施方法中安全数据的收集与规范化的流程图。

图2是本发明具体实施方法中网络安全事件评估的流程图。

图3是本发明具体实施方法中构建描述威胁传播的威胁访问关系网络的流程图。

图4是本发明具体实施方法中构建攻防随机博弈模型，采用评估算法进行态势评估的流程图。

图5是本发明具体实施方法中态势评估的流程图。

具体实施方式

下面结合附图，对本发明的具体实施方式作进一步的详细说明。

基于攻防随机博弈模型的网络安全态势评估方法，首先收集网络安全设备日志等信息，进行信息融合与关联分析，形成格式规范化的安全数据集；在此基础上对安全数据进行网络安全事件评估，获得引起安全事件的威胁数据集；然后根据安全数据构建描述威胁传播的威胁访问关系网络；最后构建攻防随机博弈模型，采用评估算法进行态势评估与安全措施的获取。

图1是本发明具体实施方法中安全数据的收集与规范化的流程图，如图1所示，安全数据的收集与规范化的流程包括以下步骤：

步骤101、确定数据源，配置信息是指网络设计和配置状况，如拓扑信息、防病毒软件安装与否、服务软件的安装与设置情况、系统的漏洞缺陷数量等；运行信息包括目前网络系统所受到的攻击与运行情况以及各主机当前运行状况等，主要来自于各类运行日志库；

步骤102、把数据源信息中的资产信息融合，把数据源信息中的资产信息融合，表示为由资产的id、名称、类型、价值、服务、操作系统、运行信息id、主机运行价值组成的7元组，Asset＝(id_a,name,type,V_a,serv,os,id_r,V_r)。资产类型包括主机、服务器、路由器等其它网络设备。资产价值表示资产的重要程度或敏感程度的表征，机密性、完整性和可用性是评价资产的三个安全属性，所以V_a＝(val_c,val_i,val_a)分别为三个安全属性的价值分量，资产的价值由资产在三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。资产运行服务信息，为操作系统类型。V_r为根据资产的基础运行信息得到的资产运行值，分为5个等级。表一为某局域网络收集到的部分资产信息表

表一 部分资产信息表

步骤103、根据数据源信息，融合主机的基础运行信息，融合主机的基础运行信息，表示为由运行信息id、主机id、主机资产运行价值、内存利用率、CPU利用率、流量组成的6元组,Run_h＝(id_r,id_a,V_rh,ρ_m,ρ_cpu,flow)。

步骤104、根据数据源信息，融合脆弱性信息，根据数据源信息，融合脆弱性信息，表示为由脆弱性标识、资产标识、为脆弱性名称、被成功利用的概率、表示脆弱性被利用后的损害程度组成的5元组，Vul＝(id_v,id_a,name,p_t,V_v)。V_v表示脆弱性被利用后的损害程度，包括对资产保密性、完整性、可用性三方面的损害，每一方面分为5个等级。

步骤105、根据数据源信息，融合威胁信息，表示为又威胁标识、所在资产标识、为威胁利用脆弱性标识、威胁名称、脆弱性名称、为威胁类型、表示威胁利用脆弱性实施攻击发生的概率、表示威胁产生的损害程度，Thread＝(id_v,id_a,id_t,name,type,p_t,V_t)。

图2是本发明具体实施方法中网络安全事件评估的流程图，如图2所示，网络安全事件评估的流程包括以下步骤：

步骤201、对每一个主机，找到对应的威胁集合与脆弱性集合；

步骤202、针对威胁集合中的每一个元素，在脆弱性集合中搜索对应的脆弱性，将资产的威胁信息与脆弱性信息相匹配，如果在一个资产上同时存在威胁与对应的脆弱性，计为一条安全事件，

步骤203、整合出安全事件，单个安全事件表示为：SE＝(id_a,id_v,id_t,p_se,V_se)，id_a为安全事件发生所在资产标识；id_t为引起安全事件的威胁标识；id_v为威胁利用脆弱性标识。p_se指根据威胁与脆弱性信息判断安全事件发生的可能性，p_se＝p_v·p_t。

图3是本发明具体实施方法中构建描述威胁传播的威胁访问关系网络的流程图，如图3所示，构建描述威胁传播的威胁访问关系网络的流程包括以下步骤：

步骤301、根据步骤A中获得信息，构建网络节点关联性信息，表示为NNC_Ai,Bj＝(A,i,B,j,P,W),W表示i与j的影响程度，分为1-7七个等级，根据文献张永铮等所著文章《网络风险评估中网络节点关联性的研究》中提及的算法获得。

步骤302、构建表述威胁传播的访问关系网络，节点由7元组组成，主要包括节点是否存在威胁t、是否存在其利用的脆弱性、引起风险最高的脆弱性的价值向量及其标识，表示为：V_i＝(id_a,V_a,V_r,e_t,e_v,V_other,id_ov)；表二为针对某威胁信息构建的威胁传播网络节点信息表：

表二 威胁传播网络节点信息表

步骤303、构建表述威胁传播的访问关系网络中的威胁传播路径即边，由5元组组成，主要包括源节点、目的节点、边的权值、传播路径带宽利用率、利用该边传播的成功率，表示为E_i＝(id_ar,id_ad,V_e,ρ_e,p_es)，表三为某时刻下传播路径的：

表三 威胁传播网络传播路径信息表

EV_eρ_ep_ese(A,C)430.3e(A,B)320.3e(B,C)320.3e(B,D)320.3e(B,E)320.3e(C,D)540.3e(D,E)540.3e(E,D)220.7

图4是本发明具体实施方法中评估网络安全态势的流程图，如图4所示，评估网络安全态势的流程包括以下步骤：

步骤401、量化攻击方博弈收益，直接收益由网络安全损害与动作成本决定；针对威胁t，攻击者的直接收益表示为：ua_i(t,k)＝Sdam_i(t)-Acost_i(t)，其中对系统的损害由构造的威胁访问关系网络中的节点与边的损害两部分组成针对节点的损害表示为：Vdam_i(t)＝(V_a·V_v)p_tp_v，针对边的损害表示为：Edam_ei(t)＝V_e·▽ρ_e·p_es。针对威胁t，对于防护者，直接收益表示为防护者成本表示为：

Dcost_i(t)＝θ_node(i,j)val_ai·V_r+θ_edge(i,j)V_e·ρ_e，θ(i,j)表示采取防护策略j对攻击i所产生的对可用性的损害系数。对每一攻防状态下，攻击者状态的量化表示为：

步骤402、量化防护者博弈收益，直接收益由网络安全损害与动作成本决定；针对威胁t，对于防护者，直接收益表示为防护者成本表示为：Dcost_i(t)＝θ_node(i,j)val_ai·V_r+θ_edge(i,j)V_e·ρ_e，θ(i,j)表示采取防护策略j对攻击i所产生的对可用性的损害系数；

防护者的量化表示为：对直接收益的量化，分为两种情况考虑。如果i等于j，即攻击者攻击节点i，防护者防护节点i，则如果i不等于j，攻击者攻击i，防护者防护j，则

步骤403、构建攻防随机博弈模型，由七元组ADSGM＝(I,S,A,D,π,P,U,δ)表示；攻击者动作集合A，在状态k时攻击者的动作集合A_k＝(a₁,a₂,...,a_m)，其中A_k(i)＝m表示在状态k时刻下威胁传播到节点m的动作，攻击者在状态k时的动作集合可以根据威胁传播算法计算得到。防护者动作集合D，在状态S_k时，D_k＝(d₁,d₂,...,d_n)，D_k∈D，防护者的动作分为：消除脆弱性、切断传播路径，D_k＝(d₁,d₂,...,d_n)，其中D_k(j)＝n表示消除节点n的脆弱性，D_k(j)＝e(m，n)表示切断传播路径e(m，n)。防护者的动作集合根据威胁传播访问网络的当前状态及传播算法获得。

步骤404、博弈矩阵量化，每一个博弈状态S_k下，对于威胁t，攻防双方的矩阵博弈元素表示为展开为：

表示对威胁t在攻防状态s_k下，攻击者采取A_k(i)，防护者采用D_k(i)时的攻击者获得的收益，由两部分组成，其中，前者表示攻击者采取A_k(i)，防护者采用D_k(i)时的攻击者获得的直接收益收益，后者表示潜在收益。

表示对威胁t在攻防状态s_k下，攻击者采取A_k(i)，防护者采用D_k(i)时的防护者获得的收益，由两部分组成，其中，前者表示攻击者采取A_k(i)，防护者采用D_k(i)时的防护者获得的收益，后者表示潜在收益。

根据表一、二、三得，针对在某威胁t，攻击者的动作包括(B,C)，防护者的动作包括(A,B,C,e(A,C),e(A,B)),获得博弈矩阵如四表所示

表四 s时刻下威胁t的攻防博弈矩阵

步骤405、基于攻防随机博弈模型的网络安全态势评估算法，评估网络安全态势，获得混合策略纳什均衡，从而获得防护策略。

步骤4051、对威胁集合中的每一个威胁，根据当前博弈状态S₀与威胁传播网络，考虑威胁的K步传播，K＝2,3,4,5，获取每一步传播下的博弈状态，记为S_k＝(S_k1,S_k2,...,S_kl)，k＝1,2,3,...,K。

步骤4052、对每一个状态构建双矩阵博弈,对每一攻防动作对下，获取转移状态，继续考虑威胁的第步传播，对每一步传播过程，分别构建博弈矩阵。

步骤4053、从k＝K求解每一个状态下的混合策略纳什均衡，根据算法3计算第K步下的博弈矩阵的纳什均衡，并得到博弈值。

步骤4054、根据算法2，依次迭代到K-1步的矩阵元素中，并依次计算K-1步状态下的纳什均衡。

步骤4055、求解S₀状态下的混合纳什均衡策略，并计算得到态势评估值；

步骤4056、对威胁集合中的所有威胁进行计算，按照算法1，获得最终的网络安全态势值

详细算法流程见下表：

表五 算法1网络安全态势量化评估算法

表六 算法2攻防随机博弈模型K步求解子算法Slove1

表七 算法3求解混合策略纳什均衡子算法Slove2