一种基于博弈论的网络攻防分析方法及系统
技术领域
本发明属于计算机互联网技术领域,具体涉及一种基于博弈论的网络攻防分析方法及系统。
背景技术
现在的网络环境,网络入侵行为更加随机化、隐蔽化、复杂化和间接化,增加了对网络安全性的要求。面对网络威胁的不断进化,安全研究人员对现有的攻击威胁和网络脆弱性等进行了深入研究,研究成果例如防火墙、入侵检测技术和安全评估技术等。但这些技术都只能处理单一的网络安全问题,具有局限性和针对性,无法为管理人员提供即全面又有效的网络安全情况,影响了网络安全的防御效率。如果仅仅将安全产品收集到的大量数据聚集,易造成存储空间负载太大,且无法得到有价值的信息。面对网络的多样性和异构性,近年来的网络安全研究重点转移到如何将多种数据融合并更有效地利用数据全面准确的实时评估网络安全状况。
按照评估依据的理论技术,现有的网络安全评估方法可以分为:知识理论方法、人工智能方法和基于数学模型的方法。上述常规研究方法大多仅关注攻击或防守的一方,忽略攻防双方策略相互依存的情况。近年来一些研究小组开始采用博弈论的方法去解决此问题,但现有解决网络安全问题的博弈论模型多为静态、较为简单、难以在现实环境中实现实时准确的评估。
发明内容
针对现有技术中的缺陷,本发明提供了一种基于博弈论的网络攻防分析方法及系统,通过基于博弈论的攻防动态感知模型对网络安全态势进行实时分析,利用纳什平衡度使攻防双方收益最大化,从而对网络安全态势做出实时准确的评估,为工作人员的网络安全防御决策提供更好的参考。
第一方面,本发明提供了一种基于博弈论的网络攻防分析方法,包括以下步骤:
获取网络环境中的海量数据信息,从海量数据信息中提取出影响网络安全性的网络态势指标;
通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重;
基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果;
通过可视化的方式将评估结果输出,以供工作人员做决策参考。
优选地,所述获取网络环境中的海量数据信息,具体为:
通过各种监控软件、传感器和设备获取网络环境中的海量数据信息。
优选地,所述网络态势指标包括主机层态势指标、网络层态势指标和服务层态势指标。
优选地,所述主机层态势指标包括CPU占用率、内存利用率、进程状态、磁盘利用率;
所述网络层态势指标包括传输时延、丢包率、传输率和带宽利用率;
所述服务层态势指标包括响应时间、半连接数、攻击频率、攻击类型、软件故障频率和应用故障数。
优选地,所述通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重,具体为:
根据主机层态势指标、网络层态势指标和服务层态势指标,构建每一层的网络安全态势指标体系;
根据每一层的网络安全态势指标体系,构建每一层的优先权关系矩阵;
根据每一层的优先权关系矩阵计算每一层的指标权重。
优选地,所述构建每一层的优先权关系矩阵,具体为:
构建优先级关系矩阵F=(fij)n*n;i,j=1,2,……,n;
其中,c(i)和c(j)表示fij计算中的相关指标重要程度。
优选地,所述根据每一层的优先权关系矩阵计算每一层的指标权重,具体为:
采用模糊层次化分析法根据优先级关系矩阵F第i行的数据对fij求和得到qi,
构建模糊矩阵Q,Q=(qij)n*n,
计算第i个指标的重要程度hi,
计算归一化后的指标权重wi,
优选地,所述基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果,具体为:
基于指数权重,通过攻击方收益函数和防御方收益函数分别计算攻击方收益和防御方收益;
根据攻击方收益计算攻击方期望收益,根据防御方收益计算防御方期望收益,采用纳什平衡度原则最大化双方的期望收益,并根据双方的收益得到态势评估后的双方收益对比图。
优选地,所述攻击方收益函数U1(S1,S2)如下所示:
其中,n1表示攻击方的攻击策略总数;
weii表示入侵策略的权重;
AVN表示网络的实用性;
perN表示网络的性能;
ASi表示攻击的严重程度;
AVi表示实验网络中第i种计算机资源的可访问性;
ωi表示第i种网络态势指标的指标权重;
peri表示攻击方入侵后第i种网络态势指标的变化;
所述防御方的收益函数U2(S1,S2)如下所示:
所述攻击方期望收益π1(p1,p2)如下所示:
所述防御方期望收益π2(p1,p2)如下所示:
其中,P1i,P2j,P2i,P1j表示参考系数。
第二方面,本发明提供了一种基于博弈论的网络攻防分析系统,适用于实施例一所述的基于博弈论的网络攻防分析方法,包括:
数据获取单元,用于获取网络环境中的海量数据信息,从海量数据信息中提取出影响网络安全性的网络态势指标;
权重计算单元,用于通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重;
博弈分析单元,用于基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果;
结果输出单元,用于通过可视化的方式将评估结果输出,以供工作人员做决策参考。
本发明的技术方案,通过基于博弈论的攻防动态感知模型对网络安全态势进行实时分析,利用纳什平衡度使攻防双方收益最大化,从而对网络安全态势做出实时准确的评估,为工作人员的网络安全防御决策提供更好的参考。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。
图1为本实施例中基于博弈论的网络攻防分析方法的流程图;
图2为本实施例中根据网络安全态势指标体系进行量化分析的流程图;
图3为本实施例中根据攻防动态感知模型进行态势分析的流程图;
图4为本实施例中基于博弈论的网络攻防分析系统的结构示意图;
图5为本实施例中攻防双方的收益对比图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
实施例一:
本实施例提供了一种基于博弈论的网络攻防分析方法,如图1所示,包括以下步骤:
S1,获取网络环境中的海量数据信息,从海量数据信息中提取出影响网络安全性的网络态势指标;
S2,通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重;
S3,基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果;
S4,通过可视化的方式将评估结果输出,以供工作人员做决策参考。
本实施例中,在对网络环境进行态势感知和评估前,构建网络态势感知框架,网络态势感知框架由感知层、主机层、网络层、服务层和输出层这五部分组成。感知层用于获取主机层、网络层和服务层的海量数据信息,在对海量数据信息进行分析评估后,输出层将评估结果通过可视化的方式输出。
本实施例的感知层包括了监控软件、传感器和设备等,通过各种监控软件、传感器和设备获取网络环境中的海量数据信息。然后通过指标提取组件从海量数据信息中提取出对网络安全有影响的网络态势指标。
本实施例中的主机层、网络层和服务层,从不同维度反映了整个网络的不同安全情况。因此,网络态势指标包括主机层态势指标、网络层态势指标和服务层态势指标。所述主机层选取CPU占用率、内存利用率、进程状态、磁盘利用率等作为主机层态势指标;所述网络层选取传输时延、丢包率、传输率、带宽利用率等作为网络层态势指标;所述服务层选取响应时间、半连接数、攻击频率、攻击类型、软件故障频率和应用故障数等作为服务层态势指标。
本实施例中,在得到各层的态势指标后,进行指标分析。步骤S2中,所述通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重,如图2所示,具体包括以下步骤:
S21,根据主机层态势指标、网络层态势指标和服务层态势指标,构建每一层的网络安全态势指标体系;
S22,根据每一层的网络安全态势指标体系,构建每一层的优先权关系矩阵;
S23,根据每一层的优先权关系矩阵计算每一层的指标权重。
本实施例中,为了获取相关的决策数据,采用改进的模糊层次分析法,将优先级关系矩阵转换为满足一致性条件的模糊矩阵,无需进行进一步的一致性测试,减少迭代次数以提高收敛速度。构建每一层的网络安全态势指标体系,即按层将态势指标划分为n个要素集I1,I2,……,In,例如将主机层、网络层和服务层将态势指标划分为三个要素集I1、I2、I3。
构建优先级关系矩阵F=(fij)n*n,(i,j=1,2,……,n),n为正整数,fij定义如公式(1):
其中,c(i)和c(j)表示fij计算中的相关指标重要程度;
采用模糊层次化分析法根据优先级关系矩阵F第i行的数据对fij求和得到qi,
在得到模糊矩阵后,进行指标权重的计算。利用归一化行和的方法得到每一行的权重向量,如公式(3),其中hi表示当前层第i个指标的重要程度。
最后,采用公式(4)计算出当前层每一个指标归一化后的指标权重;
例如,I1,I2,I3分别表示每层的量化指标的值,Iij表示第i层第j个指标,分别构造服务层、主机层、网络层的优先级相关矩阵。本文以网络层为例,所述网络层态势指标包括传输时延、丢包率、传输率和带宽利用率,网络层态势指标建立I3的优先级相关矩阵,如表1所示。
表1
然后,计算I3层的权重
在计算出指标权重后进行态势评估。步骤S3中,所述基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果,如图3所示,具体包括以下步骤:
S31,基于指数权重,通过攻击方收益函数和防御方收益函数分别计算攻击方收益和防御方收益;
S32,根据攻击方收益计算攻击方期望收益,根据防御方收益计算防御方期望收益,采用纳什平衡度原则最大化双方的期望收益,并根据双方的收益得到态势评估后的双方收益对比图。
本实施例中,在网络安全态势感知的研究中,攻击方通常针对网络系统中某层某节点进行潜在的攻击和入侵,防御方除了利用安全软件或是采用其他防御手段防御攻击,还需要采取其他安全机制来确保网络系统的正常运行,以预防网络受到攻击而被破坏。下面将对攻防双方的策略集合、收益函数和纳什均衡度进行描述。
1)攻防参与者的策略集合。攻击策略集合表示为S1,其中攻击分为5个大类,
2)收益函数。收益函数表示为U,U1为攻击方收益,U2为防御方收益,在此模型中,假设一次只采取一个攻防策略。攻击方的收益函数如公式(5)。
其中,n1表示攻击方的攻击策略总数;
weii表示入侵策略的权重,根据参考资料得到;
AVN表示网络的实用性,网络的实用性是通过直接影响网络性能的计算机资源来确定的,如CPU利用率和内存利用率等,网络实用性可以利用公式(6)计算得出;
perN表示网络的性能,网络性能perN由响应时间、传输时延等因素组成,网络性能用公式(7)计算得出;
ASi表示攻击的严重程度,根据参考资料得到;
AVi表示实验网络中第i种计算机资源的可访问性,根据参考资料得到;
ωi表示第i种网络态势指标的指标权重,根据前文计算得到;
peri表示攻击方入侵后第i种网络态势指标的变化,根据扫描得到。
本实施例中,防御方的收益函数如公式(8)。
其中,n2为防御方的防御策略总数量;
ki是防御方的错误检测率。
3)纳什平衡度,又称为非合作博弈均衡,指一方不论另一方的选择而一定会选择某个策略,该策略称为支配性策略,当攻防双方的策略组合分别构成各自的支配性策略,那么该组合就被定义为纳什平衡度。本文将攻防双方的混合策略纳什平衡定义为攻防双方的最佳混合策略,该策略会最大化双方期望收益值。采用最大支付方式,计算攻击方期望收益和防御方期望收益。
其中,π1(p1,p2)表示攻击方期望收益,π2(p1,p2)表示防御方期望收益;P1i,P2j,P2i,P1j表示参考系数。
本实施例中,在通过公式(1)-(4)计算出网络态势指标的指标权重后,通过公式(6)-(9)计算攻防双方的收益,并生成双方的时间进化折线图,得到攻防双方的收益对比图(攻防双方在采样点时刻的安全态势的演化曲线),如图5所示。通过攻防双方的收益对比图,工作人员能更好的了解网络环境的当前安全态势。
由图5可知,在采样点3和采样点7,攻击方的收益下降到局部最劣,这是因为防御方已经采取了安全防御措施,并完成了对攻击的检测。在最末三个采样点,网络攻击方的收益稳定在0.5到0.55,防御方的收益下降并稳定在0.3到0.33,说明防御方在此刻采取的防御手段对攻击方的恶意入侵行为起了作用。本实施例的技术方案考虑了安全行为和网络系统配置,最终基于博弈论的攻防动态感知模型采用攻防双方的收益函数值来反映当前的网络安全状况。与现有模型相比,该模型使管理员更加直观、具体的感知网络系统的安全情况,以及时做出防御措施。
综上所述,本实施例的技术方案,通过基于博弈论的攻防动态感知模型对网络安全态势进行实时分析,利用纳什平衡度使攻防双方收益最大化,从而对网络安全态势做出实时准确的评估,为工作人员的网络安全防御策略提供更好的参考。
实施例二:
本实施例提供了一种基于博弈论的网络攻防分析系统100,适用于实施例一所述的基于博弈论的网络攻防分析方法,如图4所示,包括:
数据获取单元10,用于获取网络环境中的海量数据信息,从海量数据信息中提取出影响网络安全性的网络态势指标;
权重计算单元20,用于通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重;
博弈分析单元30,用于基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果;
结果输出单元40,用于通过可视化的方式将评估结果输出,以供工作人员做决策参考。
本实施例中,在对网络环境进行态势感知和评估前,构建网络态势感知框架,网络态势感知框架由感知层、主机层、网络层、服务层和输出层这五部分组成。感知层用于获取主机层、网络层和服务层的海量数据信息,在对海量数据信息进行分析评估后,输出层将评估结果通过可视化的方式输出。
本实施例的感知层包括了监控软件、传感器和设备等,通过各种监控软件、传感器和设备获取网络环境中的海量数据信息。然后通过指标提取组件从海量数据信息中提取出对网络安全有影响的网络态势指标。
本实施例中的主机层、网络层和服务层,从不同维度反映了整个网络的不同安全情况。因此,网络态势指标包括主机层态势指标、网络层态势指标和服务层态势指标。所述主机层选取CPU占用率、内存利用率、进程状态和磁盘利用率等作为主机层态势指标;所述网络层选取传输时延、丢包率、传输率和带宽利用率等作为网络层态势指标;所述服务层选取响应时间、半连接数、攻击频率、攻击类型、软件故障频率、应用故障数等作为服务层态势指标。
本实施例中,在得到各层的态势指标后,进行指标分析。其中,所述通过网络态势指标构建网络安全态势指标体系并进行量化分析,得到量化分析后的指标权重,具体为:
根据主机层态势指标、网络层态势指标和服务层态势指标,构建每一层的网络安全态势指标体系;根据每一层的网络安全态势指标体系,构建每一层的优先权关系矩阵;根据每一层的优先权关系矩阵计算每一层的指标权重。
本实施例中,为了获取相关的决策数据,采用改进的模糊层次分析法,将优先级关系矩阵转换为满足一致性条件的模糊矩阵,无需进行进一步的一致性测试,减少迭代次数以提高收敛速度。构建每一层的网络安全态势指标体系,即按层将态势指标划分为n个要素集I1,I2,……,In,例如将主机层、网络层和服务层将态势指标划分为三个要素集I1、I2、I3。
构建优先级关系矩阵F=(fij)n*n,(i,j=1,2,……,n),n为正整数,fij定义如公式(1):
其中,c(i)和c(j)表示fij计算中的相关指标重要程度;
采用模糊层次化分析法根据优先级关系矩阵F第i行的数据对fij求和得到qi,
在得到模糊矩阵后,进行指标权重的计算。利用归一化行和的方法得到每一行的权重向量,如公式(3),其中hi表示当前层第i个指标的重要程度。
最后,采用公式(4)计算出当前层每一个指标归一化后的指标权重;
例如,I1,I2,I3分别表示每层的量化指标的值,Iij表示第i层第j个指标,分别构造服务层、主机层、网络层的优先级相关矩阵。本文以网络层为例,所述网络层态势指标包括传输时延、丢包率、传输率和带宽利用率,网络层态势指标建立I3的优先级相关矩阵,如表1所示。
表1
然后,计算I3层的权重
在计算出指标权重后进行态势评估。其中,所述基于指标权重通过攻防动态感知模型对网络安全态势进行态势评估,利用纳什平衡度使攻防双方的收益最大化,并得到评估结果,具体为:
基于指数权重,通过攻击方收益函数和防御方收益函数分别计算攻击方收益和防御方收益;根据攻击方收益计算攻击方期望收益,根据防御方收益计算防御方期望收益,采用纳什平衡度原则最大化双方的期望收益,并根据双方的收益得到态势评估后的双方收益对比图。
本实施例中,在网络安全态势感知的研究中,攻击方通常针对网络系统中某层某节点进行潜在的攻击和入侵,防御方除了利用安全软件或是采用其他防御手段防御攻击,还需要采取其他安全机制来确保网络系统的正常运行,以预防网络受到攻击而被破坏。下面将对攻防双方的策略集合、收益函数和纳什均衡度进行描述。
1)攻防参与者的策略集合。攻击策略集合表示为S1,其中攻击分为5个大类,
2)收益函数。收益函数表示为U,U1为攻击方收益,U2为防御方收益,在此模型中,假设一次只采取一个攻防策略。攻击方的收益函数如公式(5)。
其中,n1表示攻击方的攻击策略总数;
weii表示入侵策略的权重,根据参考资料得到;
AVN表示网络的实用性,网络的实用性是通过直接影响网络性能的计算机资源来确定的,如CPU利用率和内存利用率等,网络实用性可以利用公式(6)计算得出;
perN表示网络的性能,网络性能perN由响应时间、传输时延等因素组成,网络性能用公式(7)计算得出;
ASi表示攻击的严重程度,根据参考资料得到;
AVi表示实验网络中第i种计算机资源的可访问性,根据参考资料得到;
ωi表示第i种网络态势指标的指标权重,根据前文计算得到;
peri表示攻击方入侵后第i种网络态势指标的变化,根据扫描得到。
本实施例中,防御方的收益函数如公式(8)。
其中,n2为防御方的防御策略总数量;
ki是防御方的错误检测率。
3)纳什平衡度,又称为非合作博弈均衡,指一方不论另一方的选择而一定会选择某个策略,该策略称为支配性策略,当攻防双方的策略组合分别构成各自的支配性策略,那么该组合就被定义为纳什平衡度。本文将攻防双方的混合策略纳什平衡定义为攻防双方的最佳混合策略,该策略会最大化双方期望收益值。采用最大支付方式,计算攻击方期望收益和防御方期望收益。
其中,π1(p1,p2)表示攻击方期望收益,π2(p1,p2)表示防御方期望收益;P1i,P2j,P2i,P1j表示参考系数。
本实施例中,在通过公式(1)-(4)计算出网络态势指标的指标权重后,通过公式(6)-(9)计算攻防双方的收益,并生成双方的时间进化折线图,得到攻防双方的收益对比图(攻防双方在采样点时刻的安全态势的演化曲线),如图5所示。通过攻防双方的收益对比图,工作人员能更好的了解网络环境的当前安全态势。
由图5可知,在采样点3和采样点7,攻击方的收益下降到局部最劣,这是因为防御方已经采取了安全防御措施,并完成了对攻击的检测。在最末三个采样点,网络攻击方的收益稳定在0.5到0.55,防御方的收益下降并稳定在0.3到0.33,说明防御方在此刻采取的防御手段对攻击方的恶意入侵行为起了作用。本实施例的技术方案考虑了安全行为和网络系统配置,最终基于博弈论的攻防动态感知模型采用攻防双方的收益函数值来反映当前的网络安全状况。与现有模型相比,该模型使管理员更加直观、具体的感知网络系统的安全情况,以及时做出防御措施。
综上所述,本实施例的技术方案,通过基于博弈论的攻防动态感知模型对网络安全态势进行实时分析,利用纳什平衡度使攻防双方收益最大化,从而对网络安全态势做出实时准确的评估,为工作人员的网络安全防御策略提供更好的参考。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元或步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本申请所提供的实施例中,应该理解到,所述步骤的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个步骤可结合为一个步骤,一个步骤可拆分为多个步骤,或一些特征可以忽略等。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
