基于信号博弈模型的多阶段平台动态防御方法

摘要

本公开是关于一种基于信号博弈模型的多阶段平台动态防御方法，该方法包括以下步骤：创建多阶段平台动态防御信号博弈模型；对第一阶段的信号博弈进行均衡求解，得到第一阶段的第一后验概率，并选择第一防御策略；将前一阶段的所述第一后验概率作为相邻的后一阶段的第一先验概率，对后一阶段的信号博弈进行均衡求解，并通过检测因子获得补正后的第二先验概率；判断所述第二先验概率是否能确定访问信号的类型，若否则重复前一步骤，直到所述第二先验概率能确定出所述访问信号的类型。本公开提供的上述方法提升了攻防对抗中网络平台的信号识别能力和防御效果。

说明书

技术领域

本公开涉及计算机网络信息安全技术领域，尤其涉及一种基于信号 博弈模型的多阶段平台动态防御方法。

背景技术

平台动态防御是面向平台层的动态目标防御，与传统防御相比，平 台动态防御在解决攻防信息不对称、安全漏洞多样隐蔽等方面具有明显 优势，可为目标系统提供规避攻击的“机动”条件，变被动防护为主动 防御。在传统防御模式下，防御方的行动决策是建立在对攻击方先行行 动信息观测分析基础上，运用平台动态防御技术后，由于防御方经常主动迁移系统状态，攻击方对防御方系统的信息也同防御方对攻击方信息 一样具有滞后性，其攻击无效的几率大大上升，攻击一旦失败，便重新 进入到杀伤链的第一步“侦察”阶段，双方的攻防状态保持在“侦察— 迁移—再侦察”的循环，攻击和防御表现为不完全信息的多阶段动态博 弈。对平台动态防御而言，信息不对称性和多阶段攻防对抗是需要重点 解决的两个问题。

相关技术中，对该技术的研究主要针对防御方主动释放虚假信号的 防御形式进行讨论，针对平台动态防御的相关研究目前还比较少。因此， 有必要改善上述相关技术方案中存在的一个或者多个问题，以提升攻防 对抗中网络平台的信号识别能力和防御效果。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公 开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现 有技术的信息。

发明内容

本公开实施例的目的在于提供一种基于信号博弈模型的多阶段平台 动态防御方法，以提升攻防对抗中网络平台的信号识别能力和防御效果。

本公开提供了一种基于信号博弈模型的多阶段平台动态防御方法， 该方法包括以下步骤：

创建多阶段平台动态防御信号博弈模型；

对第一阶段的信号博弈进行均衡求解，得到第一阶段的第一后验概 率，并选择第一防御策略；

将前一阶段的所述第一后验概率作为相邻的后一阶段的第一先验概 率，对后一阶段的信号博弈进行均衡求解，并通过检测因子获得补正后 的第二先验概率；

判断所述第二先验概率是否能确定访问信号的类型，若否则重复前 一步骤，直到所述第二先验概率能确定出所述访问信号的类型。

本公开的一实施例中，多阶段平台动态防御信号博弈模型为8元组 模型MPDDSM＝(R,T,A,D,U,L,μ,P)，其中，

R＝{R

T＝{T

D＝{d

U＝{U

L为双方进行博弈的阶段数，L≥1,L∈N

μ为防御者先验信念，表示防御者对攻击者类型的先验判断；

P为防御者后验信念集合，表示防御者通过贝叶斯法则得到的攻击者 类型后验判断。其中P＝{p′

本公开的一实施例中，所述判断所述第二先验概率是否能确定访问 信号的类型的步骤，包括以下步骤：

若所述第二先验概率大于等于1或小于等于0，则可以确定出所述访 问信号的类型。

本公开的一实施例中，所述访问信号的类型包括攻击者和合法用户。

本公开的一实施例中，所述对第一阶段的信号博弈进行均衡求解的 步骤，包括以下步骤：

接收一访问信号，赋予所述访问信号任意一种所述类型作为先验概 率；

根据所述访问信号采取的策略以及访问者和防御者的收益，通过叶 贝斯法则进行均衡求解，得到最优访问者策略及防御者策略。

本公开的一实施例中，所述通过叶贝斯法则进行均衡求解的步骤中，

所述最优访问者策略计算公式为

所述最优防御者策略计算公式

本公开的一实施例中，赋予所述访问信号的所述类型为攻击者时，

所述访问者的收益U

所述防御者的收益U

其中，AC为攻击方成本，k为探测度，t′为平台迁移间隔，ASSC为攻 击面转移成本ASSC，NC为负面影响成本，C

本公开的一实施例中，赋予所述访问信号的所述类型为防御者时，

所述访问者的收益U

所述防御者的收益U

其中，t′为平台迁移间隔，ASSC为攻击面转移成本ASSC，NC为负面 影响成本，C

本公开的一实施例中，所述检测因子由防御方的入侵检测系统的检 测率和误报率决定；

若检测结果为异常信号，则缩短平台迁移间隔；

若检测结果为正常信号，则延长平台迁移间隔。

本公开的一实施例中，在所述第一阶段的信号博弈中，检验因子为0。

本公开提供的技术方案可以包括以下有益效果：采取多阶段信号博 弈策略，将上一阶段的后验，在修正的基础上，作为下一阶段的后验概 率，以此为基础进行多轮次的判断，提高对访问者类型判断的准确度， 采取针对性防御策略，提升了攻防对抗中网络平台的信号识别能力和防 御效果。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解 释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合 本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见的， 下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人 员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他 的附图。

图1示出本公开示例性实施例中一种基于信号博弈模型的多阶段平 台动态防御方法的步骤示意图；

图2示出本公开示例性实施例中平台动态防御的网络拓扑结构图；

图3示出本公开示例性实施例中多阶段信号博弈流程图；

图4示出本公开示例性实施例中一种基于信号博弈模型的多阶段平 台动态防御方法的步骤示意图；

图5示出本公开示例性实施例中第一阶段的攻防博弈扩展式G(1)；

图6示出本公开示例性实施例中第二阶段的攻防博弈扩展式G(2)；

图7示出本公开示例性实施例中探测度和检测因子对防御收益的影 像；

图8示出本公开示例性实施例中第一阶段博弈扩展式；

图9示出本公开示例性实施例中第二阶段博弈扩展式；

图10示出本公开示例性实施例中不同策略收益比较图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式 能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提 供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构 思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以 任何合适的方式结合在一个或更多实施方式中。

此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图 中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描 述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上 独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个 或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处 理器装置和/或微控制器装置中实现这些功能实体。

本示例实施方式中首先提供了一种基于信号博弈模型的多阶段平台 动态防御方法，参考图1中所示，该方法可以包括以下步骤：

步骤S101：创建多阶段平台动态防御信号博弈模型；

步骤S102：对第一阶段的信号博弈进行均衡求解，得到第一阶段的 第一后验概率，并选择第一防御策略；

步骤S103：将前一阶段的所述第一后验概率作为相邻的后一阶段的 第一先验概率，对后一阶段的信号博弈进行均衡求解，并通过检测因子 获得补正后的第二先验概率；

步骤S104：判断所述第二先验概率是否能确定访问信号的类型，若 否则重复前一步骤，直到所述第二先验概率能确定出所述访问信号的类 型。

具体的，在平台动态防御系统中，每一个网络节点上都维护着多个 异构的平台，这些异构平台所能实现的功能都是一样的。在检测到入侵 时，调度程序会立刻下线被感染的平台，从待机的异构平台中按照一定 的规则选择一个上线，从而阻碍攻击者的入侵。这种动态变化的系统状 态对外所表现出的系统漏洞也是时变的，这种能够动态变化漏洞的防御 系统可以大大增加攻击者侦察的难度，令其“望而却步”。

在网络的一些重点部位，通常会遭受到攻击者的蓄意攻击，在发起 攻击前，攻击者会对防御系统发出探测信号，以确定系统指纹、漏洞等 敏感信息，有针对性的制定攻击策略。一般防御者处在被动接受信息的 状态，需要对接收到的信息进行甄别，确认访问信号来源于合法用户还 是攻击者，根据不同的信息采取不同的防御策略。如图2所示，给出了平台动态防御的网络拓扑结构图。

根据攻防双方博弈顺序的先后，给出博弈流程如图3所示，考虑实 际网络中，通常是攻击者主动释放探测信号，因此设访问者为信号发送 者，防御者为信号接收者。①在第一阶段，访问者首先释放信号，对系 统提出服务请求；防御者根据历史经验，拥有对访问者类型的先验概率 判断，在接收到信号后，依据贝叶斯法则判断信号的来源是合法用户还是攻击者，形成对访问者类型的后验判断，并在后验判断的指导下选择 防御策略。访问者根据防御者的策略，选择当前最优的访问策略。由于 初始阶段中，检测因子无法对先验判断进行修正，判断的准确率不可避 免的会受到影响。同样，对于攻击者来说，在对防御系统没有进行任何 侦察情况下发动攻击，获得的收益也将是有限的。②在下一阶段，防御 者在上一阶段得到的对访问者类型的后验判断作为本阶段的先验判断， 并且根据访问者所选择的访问策略，得到本阶段对访问者类型的后验判 断，根据后验判断，选择对应的防御策略；访问者选择本阶段的最优访 问策略。当检测因子开始发挥作用时，防御方能够对访问者类型拥有更 准确的判断，攻击者也掌握了部分防御系统的信息，防御者能否在攻击 者发动攻击前识别出信号发送者的类型，是防御效果的关键。③后续博 弈阶段以此类推，直到通过修正后的先验判断能够确定访问者的类型。

由此，采取多阶段信号博弈策略，将上一阶段的后验，在修正的基 础上，作为下一阶段的后验概率，以此为基础进行多轮次的判断，提高 对访问者类型判断的准确度，采取针对性防御策略，提升了攻防对抗中 网络平台的信号识别能力和防御效果。

下面，将对本示例实施方式中的上述方法的各个步骤进行更详细的 说明。

在一个实施例中，多阶段平台动态防御信号博弈模型为8元组模型 MPDDSM(Multi-stage Platform Dynamic Defense Signal game Model)可以 用8元组(R,T,A,D,U,L,μ,P)来表示，其中：

R＝{R

T＝{T

D＝{d

U＝{U

L为双方进行博弈的阶段数，L≥1,L∈N

μ为防御者先验信念，表示防御者对攻击者类型的先验判断；

P为防御者后验信念集合，表示防御者通过贝叶斯法则得到的攻击者 类型后验判断。其中P＝{p′

具体的，在该多阶段平台动态防御信号博弈模型中，定义以下参数 及收益计算：

目标资源重要程度C

检测因子λ

探测度k。攻击者对防御者的侦察效果。以能够侦察到的内容确定， 包括系统结构、程序代码、IP地址信息，能够获取的信息越多，探测度就 越大，其中，0＜k＜1。

攻击面转移成本ASSC。指平台动态防御系统在进行平台迁移时所付 出的开销，由迁移平台之间的相似程度决定。相似操作系统之间在转移前 需要做的准备工作较少，因此，平台之间的相似程度越大，攻击面转移成 本就越小。

负面影响成本NC。平台发生迁移时，带来的工作或服务质量下降。

攻击方成本AC。攻击方侦察、访问、编写攻击代码、发起攻击和持 续等阶段所做的努力。

合法用户收益f

访问成功收益为：

f′

可得合法用户的收益为：

其中，L为连接的总次数，即双方博弈的阶段总数，w表示博弈的第 w阶段。

攻击者收益f

攻击者在被防御者发现之前发动攻击，则检测因子无法发挥作用， 此时攻击成功收益为：

f′

可得攻击者收益为：

防御者收益f

防御者在受攻击前识别出攻击者，则防御成功收益为

f′

防御者收益为：

其中，L为双方博弈的阶段数，即攻击者在第L次博弈发动攻击， L-1为攻击者的侦查次数。

综上，双方的收益可表示为

U

在一个实施例中，如图4所示，步骤S102包括步骤S201～S202。

其中，步骤S201：接收一访问信号，赋予所述访问信号任意一种所 述类型作为先验概率。

具体的，信号博弈有访问者和防御者两个参与者，前者是信号的发 送者，后者是信号的接收者。在第一阶段的信号博弈中，自然赋予访问 者某种类型，t

步骤S202：根据所述访问信号采取的策略以及访问者和防御者的收 益，通过叶贝斯法则进行均衡求解，得到最优访问者策略及防御者策略。

在平台动态防御下，防御方向不同的平台迁移，获得的收益也不同： 向异构平台迁移能大大增加攻击者侦察定位的难度，攻击者需要付出更大 的攻击成本，但同时防御者也要支付更多的开销完成业务的迁移，比较适 合在检测到攻击时使用；向同构平台迁移的成本虽然小于前者，但防御效 果要弱于向异构平台迁移，比较适合在日常防护中使用。因此，防御策略 需要根据多阶段信号博弈的精炼贝叶斯均衡进行选取。

具体的，访问者R

其中，

信号博弈的精炼贝叶斯均衡为一对策略组合{D

上述计算过程中，当赋予所述访问信号的所述类型为攻击者时，所述 访问者的收益U

由上述多阶段平台动态防御信号博弈模型可知，多阶段的情况存在 于正常用户掉线重连和访问者类型为攻击者，且攻击者释放探测信号进 行侦察和欺骗，当正常用户成功连接或者攻击者发动攻击时，博弈结束。 下面在一个具体的实施例中，以访问者类型是攻击者为例讨论多阶段攻 防博弈情况。

当L＝1时，进入第一阶段攻防博弈G(1)。自然首先赋予访问者类型 T

按照上述贝叶斯均衡求解方法，可得本阶段防御者的最优策略为 D

当L＝2时，进入第二阶段攻防博弈G(2)。在第二阶段的博弈中，防 御者将前一阶段获得的对访问者类型的后验概率作为本阶段的先验概率， 此外，考虑到防御者在前一阶段检测因子的影响，通过检测因子可获得 补正后的先验概率

当L＝n时，进入第n阶段攻防博弈。在第n阶段时，设补正后的先 验概率

综上，将本申请模型与算法与其他信号博弈模型进行比较，所提策 略的有效性在于多阶段信号博弈模型均衡解的稳定性，即网络中攻防双 方所选择的策略是出于“无奈”，只有选择对应的策略才能将收益最大化， 否则在博弈中处于不利，这对在理论层面部署平台动态防御技术具有一 定的指导意义。结合网络攻击的特点，所提模型将攻击行为划分为多个 阶段处理，包括侦察等准备行为，符合网络攻击的一般规律。

仿真分析：

按照图2的网络拓扑结构搭建实验网络，攻击者可选策略集为

设访问者类型为攻击者。设资源重要程度C

在一次平台迁移过程中，需要进行数据的迁移和备份，以保证业务 不会被中断，同时还需要保证迁移到新的平台后服务功能不改变，即输 入和输出保持不变，这不仅牵扯到向上的数据处理功能，同时也要考虑 向下的系统内核兼容，Windows类和linux类操作系统的内核是不同的， 在同构平台迁移中，成本和开销主要体现在数据备份和迁移，但在异构 平台迁移中，还需要考虑重新实现底层架构以保证和新系统的内核兼容， 因此在向异构平台迁移策略d

表1相关参数

检测因子λ

从图中可以看出，随着检测因子趋向1，探测度趋向0，防御方的收 益不断增加。因为检测因子由入侵检测系统决定，入侵检测系统越灵敏， 就越容易甄别访问信号的类别，同时防御系统的漏洞变化越快，攻击者 的探测度也越低，每次侦察所获取到的敏感信息越少。观察收益趋势还 可以发现，在探测度小于0.27时，防御者收益和检测因子成正比，探测度大于0.27时，防御者收益和检测因子成反比。这是由于当攻击者通过 一次侦察可以获得足够的系统敏感信息后，即使防御者已经识别出信号 来自攻击者，也会由于暴露的敏感信息过多而导致收益的下降，因此需 要保持一定的平台迁移强度和检测强度，以保证平台迁移的有效性。此 外，当检测因子小于0.5时，防御收益上升速度非常缓慢，当检测因子大 于0.5时，防御收益上升速度变快，这是由于随着检测因子的增加，防御 方能够在较短的时间内识别出信号发送方。综上分析，取探测度k＝0.27， 保证最小迁移需求；取检测因子λ

根据上文给出的收益计算方法和相关参数，可得第一阶段的博弈扩 展式如图8所示。

对第一阶段的博弈进行均衡求解，将数值代入式(11)可得：

令64.75-130p′

令-94.02+87.02q′

通过入侵检测系统对先验概率的补正，可得第二阶段的先验概率为

对第二阶段的博弈进行分析，将数值代入式(6)可得：

因0≤p′

因0≤q′

至此，博弈进行到第二阶段后，防御者能通过第一阶段的后验概率， 在第二阶段博弈中准确识别出接收到的信号是来自攻击者还是合法用户， 避免了误判所带来的系统损失。

结果分析：

(1)增强入侵检测的灵敏度能够有效提高防御的主动性。攻击者直 接在第一轮发动攻击的收益为140，若在探测信息后，第二轮发起攻击， 收益可达195.3，在上述示例中，多阶段博弈进行到第二轮后，防御者已 经可以根据访问者发出的信号判断出其类型，从而采取对应的策略。若 检测因子λ

(2)防御方在平台动态防御系统中容错率较高，即使在前一阶段的 博弈中未能判断出访问者类型，若能在对方发动攻击前识别出信号来源， 依旧能够起到有效的防护作用。如在第一阶段中，防御方在未能判断出 访问者来源的情况下收益为-87.5，在第二阶段能识别信号来源的前提下， 攻击者不发动攻击时，收益为365.7，足够弥补第一阶段的损失。

(3)在未能确定访问者类型时，可能会有误判的情况发生，可以辅 以其他的防御手段进行补救。在第一阶段的博弈中，防御者在观察到正 常信号时，会有10％的概率直接判定为访问者类型为合法用户，若发生 误判，防御者的收益将为-280.7，导致系统受损。因此可以采取其他的防 御手段进行补救，以改善在多阶段信号博弈的前期发生误判的情况。

根据上述算例，将多阶段信号博弈迁移策略与目前常规的随机平台迁 移策略进行对比，进行蒙特卡洛仿真实验100次，观察不同策略的收益， 得到结果如图10所示。

随机迁移策略的收益不稳定且累计收益比较低，单阶段信号博弈迁移 策略的累计收益保持在0左右，多阶段信号博弈迁移策略的累计收益稳定 提升。随机迁移策略缺乏对访问方信号的判断，无差别的在平台之间随机 的迁移，有时合法用户可能会因为迁移的频率或迁移的平台之间差异性较 大导致掉线重连，因此带来不必要的损失。单阶段信号博弈策略能够在一 定程度上改善这种情况，对访问者的类型做出一个初步的判断。由于攻击者可能会释放虚假信号导致误判，因此防御方收益会受到一定的影响，为 降低这些虚假信号或系统误判带来的损失。本公开采取多阶段信号博弈策 略，将上一阶段的后验，在修正的基础上，作为下一阶段的后验概率，以 此为基础进行多轮次的判断，提高对访问者类型判断的准确度，采取针对 性防御策略，提高防御效率。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想 到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或 者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原 理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说 明书和实施例仅被视为示例性的，本公开的真正范围和精神由所附的权 利要求指出。