基于信号博弈的网络主动防御研究*
2020-09-23王增光
王增光,卢 昱,李 玺
(1.国防大学联合作战学院,石家庄 050084;2.陆军工程大学石家庄校区,石家庄 050003)
0 引言
军事信息网络是网络中心战的重要组成部分,为军队实施各项军事任务提供平台支撑和信息保障,其安全性是影响现代化战争胜负的重要因素之一[1]。复杂多变的战场态势使得军事信息网络的攻防对抗更加激烈,军事信息网络面临的安全威胁更加严重[2]。因此,如何更好地对军事信息网络进行防御是我军信息化建设过程中亟需解决的问题。
为了确保网络的安全,不同的网络安全技术如身份认证、防火墙、入侵检测等被广泛应用到网络安全防御中。但这些安全技术主要是针对网络中单方面的安全威胁,基于先验的知识和经验进行片面、静态的被动安全防御,只有在检测到攻击后才能做出响应,但此时网络系统可能已经受到了严重的损失。现有被动式的网络安全防御技术缺乏主动性和对攻击的震慑能力,难以有效确保军事信息网络的安全[3]。
在网络攻防对抗中,如果防守方能够为防御策略选取合适的伪装信号并通过主动释放伪装信号来影响攻击方的行动,属于主动的网络安全防御方式,能够获得更好的防御效果[4]。但是,如何在不完全信息条件下分析网络攻防双方的对抗过程,并为防守方选取合适的伪装信号是一个非常复杂的问题,目前在这方面的研究成果极其有限。
本文基于信号博弈理论对该问题进行了尝试性研究,提出了一种最优伪装信号选取方法。该方法基于信号博弈对网络攻防过程进行建模;在精炼贝叶斯纳什均衡分析的基础上,设计了最优伪装信号的选取方法。在网络安全威胁发生前,通过主动释放伪装信号达到欺骗、威慑攻击方的目的,实现对军事信息网络的主动防御,为军事信息网络的安全防御提供一种新的思路。
1 网络攻防博弈模型
1.1 网络攻防过程分析
在网络中心战环境下,攻防双方围绕战场的制信息权展开网络攻防,双方采取各种手段以求获得最大的利益[5]。防守方在选取策略进行网络安全防御时为了达到更好的防御效果,可以有针对性地主动释放真实或虚假信号对所选防御策略进行伪装,以求达到欺骗或震慑攻击方的目的。由于战场环境的保密性,攻击方无法知道防守方采取了何种防御策略,但在攻击前期能够通过侦查等手段搜集防守方的相关信息形成对防守方选取防御策略的初始判断;在观察到防御策略释放的信号后,修正对防御策略的初始判断即形成对防御策略的后验概率,据此选取合适的攻击策略。防守方在对采取的策略进行伪装前,知道攻击方能够根据观测到的信号推断己方采取的防御策略,会尽量加大信号的迷惑性。
信号博弈是研究具有斗争关系的个体在不完全信息条件下通过信号传递机制动态更新推断信念,从而采取最优行动的数学理论和方法[6]。信号博弈的基本原理是信号发送方是行动的先行者,发出己方类型的行动信号;信号接收方是跟随者,根据观测到的信号选取行动。
由上述分析可知,军事信息网络的伪装信号选取问题能够通过信号博弈理论进行解决。将防守方定义为信号的发送方,攻击方定义为信号的接收方。在伪装信号的作用下,攻防双方进行对抗博弈,通过精炼贝叶斯纳什均衡分析选取最优伪装信号。
1.2 信号博弈模型的定义
2 攻防收益的量化
军事信息网络中攻防双方的收益量化情况是后续进行信号博弈分析的基础,直接影响攻防双方的行动选择。因此,对网络攻防双方的收益进行合理的量化是十分有必要的。在考虑伪装成本的基础上,从攻防行动对网络设备安全属性影响的角度出发,对攻防收益进行量化。
定义1 信号伪装成本。信号伪装是指防守方在确定防御策略后对防御策略进行伪装,释放具有迷惑性质的虚假信号,以达到欺骗或震慑攻击方的目的。实现上述伪装所付出的代价被称为信号伪装成本,用SC 表示。SC 可以通过所选防御策略的实际防御强度等级与伪装防御强度等级之间的差距进行量化,采用区间[0,10]内的整数值表达。防御策略的实际防御效果和伪装防御效果的分级与赋值,可以参考文献[7]进行,伪装信号与策略的真实防御效果一致时,SC 为零。
定义2 攻防收益。攻击收益反映了攻击方进行一次攻击所能获得的收益。无论攻击成功与否,攻击方都能获得收益。当攻击成功时,获得直接收益;攻击失败时,能够得到相关防御信息,获得间接收益。攻击收益可以通过网络设备价值,攻击损害度,攻击成功概率和折扣因子来量化,上述概念的定义详见文献[8]。攻击收益的量化公式为:
防御收益反映了防守方进行一次安全防御所能获得的收益,可以通过网络设备价值,攻击损害度,攻击成功率和信号伪装成本进行量化。防御收益的量化公式为:
其中,Dj为防守方选取的策略,θl为防御策略所释放的伪装信号,Ai为攻击方选取的策略,为防守方检测到攻击的概率,βnm为防御成功的概率,μm为折扣因子,R(Cb)为网络设备的安全属性,W(Cb)为攻击行为对安全属性的损害度,B(an)为攻击策略中攻击行动的成本,B(dm)为防御策略中防御行动的成本,SCl为防御策略Dl的伪装成本。
3 最优伪装信号选取
在军事信息网络的攻防对抗过程中,攻防双方的最终目的均为最大化己方收益。在此原则指导下,攻防双方会达到一个均衡,任何一方改变当前的行动都会使己方的收益受损。因此,可以通过对均衡状态分析来选取防守方的最优伪装信号。
3.1 精炼贝叶斯纳什均衡求解
3.2 最优伪装信号选取及对比
在上述分析的基础上,设计了基于信号博弈的最优伪装信号选取算法。
博弈模型的设计是否符合网络实际是基于博弈理论的网络安全防御技术可用性的重要评价指标。为了说明本文所提出方法的优越性,从博弈假设、博弈类型、发送信号、收益量化和模型的通用性等方面将本文提出的方法与文献[11-15]提出的方法进行对比,对比结果如表1 所示。与上述文献相比,本文基于不完全信息动态博弈理论进行博弈模型的设计,考虑了信息不对等性和攻防行动顺序对网络攻防过程的影响,更加符合网络攻防对抗的实际情况。从攻防行动对网络设备安全价值影响的角度出发,设计了详细的收益量化方法,保证了纳什均衡分析的准确、可信;而文献[11]没有给出策略收益的量化方法,文献[13-14]给出的量化方法主观性较强,文献[15]给出的量化方法较为粗糙,可重复性差。模型中的攻防策略集合和伪装信号集合均可以扩展至n 中,不仅适用于军事信息网络的伪装信号选取,还适用于其他场景下的安全防御,模型的通用性较好;而文献[11-13]存在状态爆炸问题,只适用于小规模网络,文献[14]仅适用于具有特定类型的攻防场景,文献[15]没有给出均衡的求解方法,限制了模型的实用性。
表1 相关工作比较
在网络攻防对抗过程中,信号机制是影响攻防双方行动选择的重要因素。攻击方根据观察到的信号来选取合适的攻击策略;防守方通过伪装信号来震慑或诱导攻击方,能够起到更好的防御效果。文献[11-14]基于静态博弈理论设计网络攻防模型,没有考虑到信号机制对网络攻防过程的影响,不符合网络攻防实际情况。文献[15]将攻击方设定为信号的发送方,防守方通过观察攻击方的行动信号来更新对攻击方类型地判断,进而提高入侵检测的成功概率。但在实际的网络安全防御中,防守方主动进行信号伪装能够起到更好的防御效果。因此,本文将防守方设定为信号的发送方,以防御策略的集合作为发送方的类型空间,在对防御策略进行伪装的基础上进行攻防对抗,能够有效提高军事信息网络的主动防御能力。
4 仿真实验与分析
为了验证本文提出的基于信号博弈的最优伪装信号选取方法的合理性和可行性,构建了如图1所示的网络实验环境进行实验。网络安全攻击来至于外部网络,军用防火墙将内部网络和外部网络隔离开,仅允许外部主机访问邮件服务器、网络服务器和内部主机,内部网络的邮件服务器、网络服务器、主机和文件服务器能够对数据库服务器进行访问。攻击方的最终目的是获得数据库服务器的root访问权限,初始时刻攻击方无法直接访问数据库,但能够通过一系列的原子攻击实现上述目的。实验通过预置脚本的方式,利用Low Orbit Ion Canon、UDP Flood、Acunetix 等网络攻击软件对实验网络进行半自动化攻击,网路安全防御手段通过人工方式进行部署。
图1 实验环境的网络拓扑图
通过对网络拓扑结构进行分析得到攻击方可能采取的攻击策略。为了简化分析,实例中仅选取两个攻击策略进行说明,如表2 所示,其中“√”表示可选攻击策略所包含的攻击行动,攻击成本根据实施攻击的难易程度进行设定。
表2 攻击方的攻击策略集合
参照MIT 林肯实验室对网络攻防的分类,根据防御行动所带来的防御效果和所需成本的不同形成了防御策略库,选取了其中具有代表性的高强度防御策略和低强度防御策略各一个进行分析。伪装信号空间为Θ= {θ1,θ2},θ1为高等级伪装信号,θ2为低等级伪装信号。防御策略的集合如表3 所示,其中“√”表示防御策略由以下防御行动组成,防御成本根据实施防御的难易程度进行设定。
表3 防守方的防御策略集合
表4 攻击行动的相关参数
根据网络设备在网络环境中的重要性和所提供的服务,将内网主机的安全属性价值设为(10,15,15),邮件服务器的安全属性价值设为(18,16,18),网 络 服 务 的 安 全 属 性 价 值 设 为(20,20,22),文件服务器的安全属性价值设为(18,20,22),数据库服务器的安全属性价值设为(25,28,30),信号的伪装成本设为(2,3;4,1)。
在确定攻防双方的策略集合和相关参数后,根据收益计算公式量化攻防双方收益,形成网络攻防博弈树,如图2 所示。
通过计算得到不同信息集上的后验概率推断为p*=0.353,q*=0.447。根据3.2 节中的精炼贝叶斯纳什均衡求解步骤可得:
图2 网络攻防博弈树
同理,可对其他情况下的精炼贝叶斯纳什均衡进行分析。
5 结论
本文在分析军事信息网络攻防过程的基础上,基于信号博弈理论设计了最优伪装信号选取方法,解决了传统安全技术仅能进行被动防御的问题。实验结果表明,本文提出的方法能够为防御策略选取最优伪装信号,从而实现网络的主动防御,对提高军事信息网络的安全防护能力具有重要意义。下一步将在此基础上,对多阶段攻防对抗情形下最优伪装信号的选取问题进行研究。