張 晶，李 艷

(西安建筑科技大學(xué)管理學(xué)院，西安710055)

1 概述

信息化概念的全球化擴(kuò)展和普及，使得“信息”成為了具有經(jīng)濟(jì)價(jià)值的資源，同時(shí)隨著互聯(lián)網(wǎng)等計(jì)算機(jī)處理技術(shù)的飛速發(fā)展，使得信息資源的全球化利用成為了可能，但網(wǎng)絡(luò)入侵行為的簡(jiǎn)單化和智能化使得信息所有方和信息使用方的所有權(quán)關(guān)系發(fā)生了改變，而且這一轉(zhuǎn)變似乎具有不可逆轉(zhuǎn)的趨勢(shì)，由此產(chǎn)生的信息安全問(wèn)題成為了當(dāng)前的關(guān)注焦點(diǎn)。在網(wǎng)絡(luò)安全技術(shù)的發(fā)展初期，以靜態(tài)被動(dòng)防御措施為主，隨著入侵技術(shù)的普及和發(fā)展，這種防御手段缺乏主動(dòng)能力的缺陷越來(lái)越突出。建立主動(dòng)的防御安全體系［1］，通過(guò)態(tài)勢(shì)感知、風(fēng)險(xiǎn)評(píng)估、安全檢測(cè)等手段來(lái)實(shí)施主動(dòng)防御成為了目前網(wǎng)絡(luò)安全技術(shù)的戰(zhàn)略目標(biāo)。

文獻(xiàn)［2］對(duì)國(guó)內(nèi)外當(dāng)前的主動(dòng)網(wǎng)絡(luò)安全測(cè)評(píng)技術(shù)進(jìn)行了詳細(xì)的分析和總結(jié)，而攻擊圖模型［3-4］、特權(quán)圖模型［5-6］、高級(jí)隨機(jī)模型［7-8］等技術(shù)試圖全面模仿攻擊方的攻擊行為，通過(guò)模型檢測(cè)的方式進(jìn)行定性分析，進(jìn)而對(duì)當(dāng)前網(wǎng)絡(luò)存在的可能漏洞和風(fēng)險(xiǎn)進(jìn)行防御，這種攻擊模型的刻畫(huà)方式試圖從攻擊一方的有限行為分析來(lái)提供安全狀態(tài)結(jié)果，存在著很大的局限性。文獻(xiàn)［9-10］對(duì)安全成本評(píng)估及攻防投資回報(bào)等提供了很好的研究思路，文獻(xiàn)［11-12］也從不同的角度對(duì)網(wǎng)絡(luò)安全量化分析做出了卓有成效的探討。

文獻(xiàn)［13-14］從網(wǎng)絡(luò)連接關(guān)系和實(shí)體之間的交互過(guò)程出發(fā)，將粒度細(xì)化到了部件主體級(jí)，同時(shí)結(jié)合粗糙圖的基本理念，提出了一種粗糙網(wǎng)絡(luò)攻擊分析模型，使得攻擊分析結(jié)果和安全建議更加合理。但是上述網(wǎng)絡(luò)攻擊模型大部分都是從攻擊者一個(gè)單方面的角度出發(fā)，對(duì)固定拓?fù)浣Y(jié)構(gòu)和一方攻擊問(wèn)題進(jìn)行模擬，而網(wǎng)絡(luò)入侵過(guò)程一定是攻擊方、正常用戶、防御方(安全管理員)等的多方行為，這種“策略相互依存”的理念［15］是網(wǎng)絡(luò)安全決策模型分析的理論基礎(chǔ)。文獻(xiàn)［16］使用不完全信息重復(fù)博弈方法對(duì)攻擊和防御雙方的行為進(jìn)行了建模，文獻(xiàn)［17］使用隨機(jī)博弈的方法得出了攻防各方的最優(yōu)策略及納什均衡，文獻(xiàn)［18］將完全信息靜態(tài)博弈應(yīng)用到DDoS的分析與設(shè)計(jì)上取得了一定的效果，文獻(xiàn)［19］提出了基于博弈論的入侵推理模型，為網(wǎng)絡(luò)安全的博弈分析做出了進(jìn)一步的探討。

在實(shí)際網(wǎng)絡(luò)環(huán)境中，由于知識(shí)類型、參與程度等方面的限制，無(wú)論是攻防雙方是正常的使用用戶，對(duì)當(dāng)前網(wǎng)絡(luò)的認(rèn)知都存在著一定程度的粗糙性，因此，本文在前述研究成果的基礎(chǔ)上，結(jié)合攻擊粗糙圖和動(dòng)態(tài)博弈理論提出一種新的粗糙網(wǎng)絡(luò)安全分析模型(RNSAM)，該模型以部件粗糙訪問(wèn)關(guān)聯(lián)圖為基礎(chǔ)，刻畫(huà)了某一時(shí)刻網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)狀態(tài)下網(wǎng)絡(luò)部件主體之間的粗糙訪問(wèn)關(guān)系。通過(guò)對(duì)攻擊者的攻擊策略集，防御者的防御策略集在知識(shí)域類型空間上的粗糙刻畫(huà)來(lái)反映攻防過(guò)程中的決策機(jī)制。同時(shí)給出攻擊策略選取算法，指出在當(dāng)前網(wǎng)絡(luò)連接狀態(tài)和攻防雙方的知識(shí)水平下的最優(yōu)防御策略。

2 RNSAM模型

在整個(gè)網(wǎng)絡(luò)攻防的周期過(guò)程內(nèi)，攻擊者可以采取多種攻擊方式，調(diào)整攻擊參數(shù)，同時(shí)防御者也可以設(shè)置或者調(diào)整防御策略，因此可以將整個(gè)過(guò)程看作是一個(gè)多階段不完全信息博弈過(guò)程［20］。同時(shí)攻防雙方對(duì)某一個(gè)服務(wù)器的攻擊和防御都是在服務(wù)器上的某一應(yīng)用程序或服務(wù)級(jí)別上的，因此，本文仍然采用”安全依賴關(guān)系”的概念，在部件級(jí)別上來(lái)刻畫(huà)網(wǎng)絡(luò)連接關(guān)系和攻防雙方知識(shí)水平的粗糙性，并在此基礎(chǔ)上進(jìn)行分析，下面給出相關(guān)定義。

定義1部件主體為一個(gè)二元組C=(n，s)，表示一個(gè)部件C在網(wǎng)絡(luò)節(jié)點(diǎn)n上提供的一個(gè)服務(wù)s，攻擊者的攻擊過(guò)程就是通過(guò)部件主體之間的連接來(lái)完成的。

定義2部件主體間的權(quán)限關(guān)系為一個(gè)三元組Cp=(Cxi，Cyj，P)，表示在節(jié)點(diǎn) x 上的部件主體 i在節(jié)點(diǎn)y的部件主體j上擁有P的權(quán)限。

定義3部件主體之間的鏈路連接關(guān)系為一個(gè)三元組 Cl=(Cxi，Cyj，L)，表示在節(jié)點(diǎn) x上的部件主體i在節(jié)點(diǎn)y的部件主體j上擁有連接關(guān)系集L，這里的L特指部件之間的普通網(wǎng)絡(luò)連接關(guān)系集合，如:網(wǎng)絡(luò)連接關(guān)系和服務(wù)發(fā)布方式等。

定義4部件主體之間的訪問(wèn)關(guān)系在有向圖中表示為一個(gè)帶有連接弧的有向邊［14］eak(Cxi:Cyj)=(Cxi，Cyj，Cp，Cl)，其中，k∈［1，+ ∞］為相同 2 個(gè)部件之間不同連接的索引標(biāo)識(shí);α為方向?qū)傩?，若弧帶正方向，即?+則e+k(Cxi:Cyj)表示節(jié)點(diǎn)x上的部件主體i在節(jié)點(diǎn)y的部件主體j上具有Cp的訪問(wèn)權(quán)限，同時(shí)具有Cl的連接關(guān)系，此時(shí)稱Cxi為e+k(Cxi:Cyj)的頭，Cyj為e+k(Cxi:Cyj)的尾;若弧帶負(fù)方向，即α=-則含義相反。

通過(guò)上述4個(gè)定義，可以將物理鏈路表達(dá)的網(wǎng)絡(luò)拓?fù)潢P(guān)系轉(zhuǎn)換成基于部件主體的邏輯連接關(guān)系。如圖1所示，其可以簡(jiǎn)單描述為網(wǎng)絡(luò)節(jié)點(diǎn)A上的部件主體m對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)B的部件主體i，j分別具有某種訪問(wèn)關(guān)系。

圖1 部件網(wǎng)絡(luò)連接關(guān)系

定義5部件粗糙連接圖為一個(gè)四元組CRCG=(N，C，E，?)。其中，N=(n1，n2，…，nm)代表網(wǎng)絡(luò)中獨(dú)立的網(wǎng)絡(luò)節(jié)點(diǎn)集合;C是當(dāng)前節(jié)點(diǎn)所擁有的部件主體的集合;E=∪eak(Cxi:Cyj)代表部件主體之間的權(quán)限和所有的連接關(guān)系的集合;?=(r1，r2，…，r|?|)是由權(quán)限或者其他連接關(guān)系所構(gòu)成的不同的屬性集合，且?中包含(Cxi:Cyj)，即屬性集R是和有向邊上部件主體相關(guān)聯(lián)的。

這樣對(duì)于E上的不同連接關(guān)系屬性集R??，E中的邊可以分為不同的等價(jià)類，根據(jù)粗糙圖的基本定義，可以用以下2個(gè)精確圖來(lái)定義部件粗糙連接圖CRCG。

這里通過(guò)定義5來(lái)描述部件主體間連接關(guān)系的粗糙性。

如圖2所示，位于網(wǎng)絡(luò)節(jié)點(diǎn)A上的部件主體m對(duì)位于網(wǎng)絡(luò)節(jié)點(diǎn)B上的部件主體DB和FTP具有訪問(wèn)權(quán)限，假設(shè)和DB之間的連接方式有3種(IDriver方式，JDBC的thin方式和JDBC的OCI8方式)，則部件m和部件DB之間的連接論域圖如圖2(a)所示(每條虛線代表一種連接方式)，即={IDriver，JDBC-thin，JDBC-OCI8}，由于防火墻等限制在進(jìn)行關(guān)聯(lián)時(shí)只支持JDBC的方式，即{JDBC-thin，JDBC-OCI8}其部件連接粗糙圖如圖2(b)所示。可以看到相比于對(duì)部件FTP連接關(guān)系的描述(圖2中的實(shí)線表示)這樣的粗糙刻畫(huà)更加準(zhǔn)確。

圖2 部件粗糙連接圖

定義6攻擊策略集為一個(gè)三元組θA={E，?，φA}，其中，E，R的含義和定義5中的含義相同;φA表示E中的部件Cxi對(duì)部件Cyj在屬性集?的條件下所能采取的攻擊方法。攻擊策略集θA是一個(gè)粗糙集，可以使用以下2個(gè)精確圖進(jìn)行刻畫(huà):

定義7防御策略集為一個(gè)三元組θD={E，R，φD}，其中，E，?的含義和定義5中的含義相同;φD表示對(duì)于E中的部件Cxi對(duì)部件Cyj在屬性集?的條件下的攻擊所能采取的防御方法。防御策略集θD也是一個(gè)粗糙集，可以使用以下2個(gè)精確圖來(lái)進(jìn)行刻畫(huà):

網(wǎng)絡(luò)攻防的量化分析是國(guó)內(nèi)網(wǎng)絡(luò)安全研究的熱點(diǎn)［11-13］，也是進(jìn)行攻防博弈分析的基礎(chǔ)，攻擊策略和防御策略的細(xì)化分類將會(huì)在后續(xù)的工作中重點(diǎn)討論，本文主要參考文獻(xiàn)［21］中對(duì)攻擊策略和防御策略的分類及相關(guān)收益量化的計(jì)算方法，結(jié)合本文的前述定義對(duì)攻擊收益和防御代價(jià)定義如下:

定義8攻擊收益為 CostA=(θA，ACost)，其中，θA是定義6中所描述的攻擊粗糙集;ACost代表E中的某一部件對(duì)另一部件應(yīng)用某種方法攻擊所獲取的收益。因?yàn)檫M(jìn)行攻擊時(shí)攻擊者的收益往往要比系統(tǒng)的損失小的多，所以本文也將系統(tǒng)的損失作為攻擊者收益［21］，即 ACost=AL ×criticality×(CostI×pI+CostC×pC+CostA×pA)，其中，AL是攻擊致命度代表某類攻擊所能具有的危害程度(用0～10之間的數(shù)值來(lái)表示);criticality是攻擊目標(biāo)的資源損失;CostI表示資源屬性中的完整性代價(jià);pI表示資源對(duì)于完整性代價(jià)的偏重;CostC表示資源屬性中的機(jī)密性代價(jià);pC表示資源對(duì)于機(jī)密性代價(jià)的偏重;costA表示資源屬性中的可用性代價(jià)，pA表示資源對(duì)于可用性代價(jià)的偏重;并且pI，pC，pA之間滿足pI+pC+pA=1的關(guān)系。

定義9防御代價(jià)為 CostD=(θD，DCost)，其中，θD為定義7中所描述的防御粗糙集;DCost代表為了防止E中的某一部件對(duì)另一部件的攻擊采取相應(yīng)的防御策略時(shí)所付出的代價(jià)，即DCost=CO+CN+CR，其中，CO代表操作代價(jià)，用以表示防御者的防御操作消耗的時(shí)間和計(jì)算資源的數(shù)量;CN代表負(fù)面代價(jià)，用以表示防御策略導(dǎo)致系統(tǒng)無(wú)法正常工作或服務(wù)質(zhì)量下降等帶來(lái)的損失;CR代表殘余損失，用以表示防御系統(tǒng)執(zhí)行防御策略后，攻擊對(duì)系統(tǒng)帶來(lái)殘余的未被消除的損失。

基于上述對(duì)部件粗糙連接圖、粗糙攻擊集、粗糙防御集及相關(guān)量化分析的定義，可以構(gòu)建出粗糙攻防博弈連接圖來(lái)對(duì)網(wǎng)絡(luò)連接關(guān)系和攻防雙方的知識(shí)體系進(jìn)行粗糙集刻畫(huà)及進(jìn)一步的量化分析。粗糙攻防博弈論域圖如圖3(a)所示，在對(duì)連接關(guān)系進(jìn)行粗糙處理的基礎(chǔ)上增加了攻擊集和防御集的描述，{a1:10}是攻擊收益量化的結(jié)果，表示針對(duì)某種連接方式采用a1攻擊方法所獲得的收益，圖3(b)表示的是攻防博弈粗糙圖及相關(guān)的量化結(jié)果;圖3(c)表示網(wǎng)絡(luò)部件連接圖。

圖3 粗糙攻防博弈圖

定義10RNSAM模型為一個(gè)四元組RNSAM={CRCG，U，θ，Cost}，其中，CRCG 是部件粗糙連接圖使用權(quán)限訪問(wèn)和依賴關(guān)系來(lái)描述部件節(jié)點(diǎn)之間的粗糙連接程度;U={UA，UD}表示網(wǎng)絡(luò)攻防過(guò)程中的參與方的集合，根據(jù)基本假設(shè)［15］，本文假設(shè)只有攻擊者和作為系統(tǒng)管理員的防御者2個(gè)參與方;θ={θA，θD}表示攻擊粗糙策略集和防御粗糙策略集;Cost={CostA，CostD}表示2個(gè)部件節(jié)點(diǎn)之間的攻防量化關(guān)系結(jié)果，實(shí)際運(yùn)算過(guò)程中可用量化的收益效用矩陣來(lái)表示［21］。

3 模型應(yīng)用與分析

3．1 基于RNSAM模型的攻擊策略選取算法

實(shí)際的攻防過(guò)程中可能會(huì)出現(xiàn)攻擊收益和系統(tǒng)損失不相等的情況，即會(huì)出現(xiàn)非零和博弈的狀況，網(wǎng)絡(luò)攻防的過(guò)程中攻擊方與防御方之間的關(guān)系是非合作的和對(duì)抗性的，而且總是通過(guò)策略的實(shí)施保證自己的收益最大化，但由于攻防雙方的不確定性，在某些情況下可能不存在納什均衡，由此導(dǎo)致了混合策略的產(chǎn)生，表示網(wǎng)絡(luò)攻防的雙方在處理對(duì)方的未知策略時(shí)可以根據(jù)先驗(yàn)知識(shí)來(lái)對(duì)對(duì)方的策略分布進(jìn)行估計(jì)，也即采用混合防御策略。為了對(duì)多步攻擊及防御者的綜合行為進(jìn)行刻畫(huà)，本文依托于混合策略納什均衡［22］的概念給出基于RNSAM 模型的攻擊策略選取算法。

算法 基于RNSAM模型的攻擊策略選取算法

輸入 RNSAM模型圖

輸出 可能攻擊路徑、攻擊策略及最優(yōu)防御策略

Step1通過(guò)網(wǎng)絡(luò)漏洞，網(wǎng)絡(luò)配置等自動(dòng)化工具生成 RNSAM 模型，RNSAM={CRCG，U，θ，Cost}。

Step2構(gòu)建攻擊策略集θA={E，?，φA}以及防御策略集 θD={E，?，φD}。

Step3運(yùn)用基于粗糙圖的攻擊圖生成算法及網(wǎng)絡(luò)風(fēng)險(xiǎn)最大流算法生成可能攻擊路徑［14］。

Step4判斷是否滿足零和博弈條件，若“是”則轉(zhuǎn)向Step5，“否”則轉(zhuǎn)向Step7。

Step5根據(jù)定義9計(jì)算所有防御策略的防御收益λDij=∑CostD。

Step6對(duì)于每一個(gè)攻擊策略計(jì)算攻擊收益λAij=CostA-∑CostD，并生成效用矩陣。

Step7對(duì)于非零和博弈，根據(jù)定義8計(jì)算攻擊收益之和，生成攻擊收益λAij=∑CostA+AC，其中，AC代表攻擊成本用負(fù)值表示。

Step8計(jì)算防御收益λDij=∑CostA-CostD，并生成效用矩陣。

Step9如果效用矩陣λ存在鞍點(diǎn)，則應(yīng)用純策略算法［22］求解，否則使用混合策略求解算法［22］求解。

Step10在攻擊路徑的基礎(chǔ)上，分析得出攻擊策略和防御策略。

Step11返回攻擊路徑θpath、攻擊策略{θA}及最優(yōu)防御策略{θD}。

3．2 實(shí)例驗(yàn)證與結(jié)果分析

為了對(duì)本節(jié)中所提出的模型相關(guān)定義描述的準(zhǔn)確性，以及算法的正確性進(jìn)行驗(yàn)證，說(shuō)明進(jìn)行網(wǎng)絡(luò)攻防博弈分析在網(wǎng)絡(luò)安全分析方面的優(yōu)勢(shì)，本文以一個(gè)實(shí)際的例子進(jìn)行說(shuō)明。

本文所采取的實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4所示，攻擊者Eve位于互聯(lián)網(wǎng)的一個(gè)節(jié)點(diǎn)上，在攻擊者Eve和局域網(wǎng)之間存在著防火墻以及IDS等防護(hù)設(shè)備;局域網(wǎng)絡(luò)通過(guò)交換機(jī)相連，由一臺(tái)PC機(jī)和3臺(tái)服務(wù)器組成，其中DB Sever為Oracle數(shù)據(jù)庫(kù)服務(wù)器，操作系統(tǒng)為L(zhǎng)inux系統(tǒng)，F(xiàn)ileSever操作系統(tǒng)為Windows操作系統(tǒng)，EmailServer操作系統(tǒng)為Windows操作系統(tǒng)。

圖4 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

其中由于網(wǎng)絡(luò)管理員水平的限制等原因，DB Sever存在著TNS Listener以及本機(jī)緩沖區(qū)溢出的漏洞，F(xiàn)ileSever存在著 Ftp．rhost漏洞，EmailServer存在著SMTP溢出以及Apache本地溢出漏洞。假設(shè)攻擊者的攻擊目標(biāo)是位于FileServer上的File文件，通過(guò)自動(dòng)化生成工具可以生成如圖5所示的實(shí)驗(yàn)網(wǎng)絡(luò)攻防博弈論域圖，對(duì)每一個(gè)漏洞有很多的攻擊方法(其中實(shí)線代表正常的訪問(wèn)連接關(guān)系，點(diǎn)線或者虛線代表攻擊關(guān)系)，但是由于攻擊者的能力所限，只能使用一些典型攻擊方法來(lái)進(jìn)行攻擊，則攻擊集 θA={a1，a2，a3，a4，a5，a6}，其中，a1代表以普通用戶的身份進(jìn)行登陸;a2代表以管理員的身份進(jìn)行登錄;a3代表通過(guò)溢出攻擊來(lái)對(duì)DB服務(wù)器的攻擊;a4代表針對(duì)Ftp．rhost漏洞的專用工具攻擊;a5代表ApacheChunk攻擊;a6代表垃圾郵件攻擊。防御集θD={d1，d2，d3，d4，d5}其中 d1代表登錄賬號(hào)修改;d2代表針對(duì)漏洞進(jìn)行補(bǔ)丁升級(jí);d3代表關(guān)閉服務(wù);d4代表關(guān)閉FTP進(jìn)程;d5代表Email端口關(guān)閉。這樣結(jié)合表1的量化結(jié)果，即可得到如圖6所示的網(wǎng)絡(luò)攻防博弈粗糙圖。

圖5 攻防博弈論域圖

表1 攻防方式及量化結(jié)果

圖6 攻防博弈粗糙圖

實(shí)驗(yàn)網(wǎng)絡(luò)的攻防博弈粗糙圖可以用圖7的弧目錄形式來(lái)表示。通過(guò)對(duì)攻防博弈下近似粗糙圖的分析可以得到Eve的攻擊路徑有3條。第1條攻擊路徑序列為(a1或 a2，a5，a4)，即 Eve通過(guò)管理員用戶或者正常用戶登錄后，假冒 USER2使用 Apache Chunk進(jìn)行攻擊進(jìn)而控制Apache，再通過(guò)Ftp．rhost漏洞的專用工具取得File的訪問(wèn)權(quán)限;第2條攻擊路徑序列為(a1，a5，a4)，即Eve通過(guò)正常用戶登錄后，假冒USER1使用Apache Chunk進(jìn)行攻擊進(jìn)而控制Apache，再通過(guò)Ftp．rhost漏洞的專用工具取得File的訪問(wèn)權(quán)限;第3條攻擊路徑序列為(a1，a3，a4)即Eve通過(guò)正常用戶登錄后，假冒USER1使用溢出攻擊來(lái)對(duì)DB服務(wù)器的攻擊，進(jìn)而通過(guò)Ftp．rhost漏洞的專用工具取得File的訪問(wèn)權(quán)限。

圖7 實(shí)驗(yàn)網(wǎng)絡(luò)攻防博弈粗糙圖的弧目錄表示形式

在攻防策略和攻擊路徑確定后，需要根據(jù)攻防代價(jià)及基于RNSAM模型的攻擊策略選取算法來(lái)實(shí)現(xiàn)最優(yōu)防御策略選擇的過(guò)程。為了簡(jiǎn)化分析，本文采用零和非合作攻防博弈模型來(lái)進(jìn)行分析，從而僅需計(jì)算防御代價(jià)即可。根據(jù)表1的量化數(shù)值結(jié)果及攻擊和防御代價(jià)的計(jì)算公式可得到如下所示的攻防博弈收益矩陣，其中，A1，A2，A3代表3條攻擊路徑;D1，D2，D3，D4代表陣地每一條攻擊路徑所能采取的防御策略組合。

文獻(xiàn)［22］已經(jīng)證明了實(shí)驗(yàn)中的有限博弈一定會(huì)有一個(gè)均衡點(diǎn)，應(yīng)用3．1節(jié)定義的算法可以得到一個(gè) Nash 均衡:pa={2/11，9/11，0}，pd={0，32/85，13/85，40/85}，即對(duì)于攻擊者Eve來(lái)其會(huì)以2/11的概率選擇第1條攻擊路徑，以9/11的概率來(lái)選擇第2條攻擊路徑;防御者會(huì)以32/85的概率選擇針對(duì)Apache進(jìn)行補(bǔ)丁升級(jí)措施，以13/85的概率關(guān)閉Apache服務(wù)進(jìn)程，以40/85的概率來(lái)暫時(shí)關(guān)閉FTP。所以對(duì)于作為管理員的防御者可以選擇D2、D4或者兩者的組合來(lái)保證位于FileServer上File的安全性。

4 結(jié)束語(yǔ)

隨著入侵技術(shù)的普及和簡(jiǎn)單化，靜態(tài)被動(dòng)防御的缺陷已經(jīng)越來(lái)越明顯，基于攻擊圖的主動(dòng)防御策略越來(lái)越受到重視，但是以往的模型大都是從攻擊者或者防御者的角度進(jìn)行分析，而且對(duì)網(wǎng)絡(luò)的詳細(xì)連接關(guān)系和攻防雙方的知識(shí)域水平等都沒(méi)有考慮，因此，本文結(jié)合攻擊粗糙圖和動(dòng)態(tài)博弈理論，提出了粗糙網(wǎng)絡(luò)動(dòng)態(tài)博弈安全分析模型(RNSAM)，將權(quán)限關(guān)系拓展為某一時(shí)刻網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)狀態(tài)下網(wǎng)絡(luò)部件主體之間的粗糙訪問(wèn)關(guān)系，攻擊策略選取算法可以描述攻防過(guò)程中的動(dòng)態(tài)決策機(jī)制，并得出最優(yōu)防御策略，通過(guò)實(shí)例分析闡明了模型的應(yīng)用過(guò)程，驗(yàn)證了算法的效率和準(zhǔn)確性，說(shuō)明了本文模型在過(guò)程刻畫(huà)完整性及制定最優(yōu)防御策略方面的優(yōu)勢(shì)。

進(jìn)一步研究工作包括:擴(kuò)展模型包含時(shí)間因素，增加攻擊步時(shí)的概念(不只限于某一時(shí)刻)，探討整個(gè)攻擊演化過(guò)程中攻防雙方相互制約關(guān)系對(duì)攻擊的影響，同時(shí)進(jìn)一步驗(yàn)證本文算法的合理性和有效性。

［1］ 方濱興．解讀信息安全創(chuàng)新突破點(diǎn)［EB/OL］．［2014-04-15］．http://www．cert．org．cn/2007051823317．html．

［2］ 林 闖，汪 洋，李泉林．網(wǎng)絡(luò)安全的隨機(jī)模型方法與評(píng)價(jià)技術(shù)［J］．計(jì)算機(jī)學(xué)報(bào)，2005，28(12):1943-1956．

［3］ Schneier B．Secrets and Lies:Digital Security in a Networked World［M］．New York，USA:John Wiley ＆Sons，2000．

［4］ Dacier M．Towards Quantitative Evaluation of Computer Security［D］．Toulouse，F(xiàn)rance:Institute National Polytechnique de Toulouse，1994．

［5］ Ortalo R，Deswarte Y，Kaaniche M．Experimenting with Quantitative Evaluation Tools for Monitoring Operational Security［J］．IEEE Transactions on Software Engineering，1999，25(5):633-650．

［6］ Porras P A，Kemmerer R．A Penetration State Transition Analysis:A Rule-based Intrusion Detection Approach［C］//Proceedings of the 8th Annual Computer Security Applications Conference，November 30-December 4，1992，San Antonio，USA．Washington D．C．，USA:IEEE Press，1992:220-229．

［7］ Stevens F，Courtney T，Singh S，et al．Model-based Validation of an Intrusion-tolerant Information System［C］//Proceedings of the 23rd Symposium on Reliable Distributed Systems．Washington D．C．，USA:IEEE Press，2004:184-194．

［8］ Madan B，Go eva-Popstojanova K，Vaidyanathan K，et al．A Method for Modeling and Quantifyingthe Security Attributes of Intrusion Tolerant Systems［J］．Performance Evaluation，2004，56(1-4):167-186．

［9］ Mercuri R T．Security Watch:Analyzing Security Costs［J］．Communications of the ACM，2003，46(6):15-18．

［10］ Bistarelli S，F(xiàn)ioravanti F，Peretti P．Defense Trees for Economic Evaluation of Security Investments［C］//Proceedings ofthe 1st International Conference on Availability，Reliability and Security．Los Alamitos，USA:IEEE Computer Society，2006:416-423．

［11］ 馮萍慧，連一峰，戴英俠，等．面向網(wǎng)絡(luò)系統(tǒng)的脆弱性利用成本估算模型［J］．計(jì)算機(jī)學(xué)報(bào)，2006，29(8):1375-1382

［12］ 董 紅，邱菀華，呂俊杰．基于成本分析的入侵檢測(cè)響應(yīng)模型［J］．北京航空航天大學(xué)學(xué)報(bào)，2008，34(1):39-42．

［13］ 李 艷．基于T-G保護(hù)系統(tǒng)的網(wǎng)絡(luò)攻擊與評(píng)價(jià)模型研究［D］．西安:西安建筑科技大學(xué)，2010．

［14］ 黃光球，李 艷．基于粗糙圖的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估模型［J］．計(jì)算機(jī)應(yīng)用，2010，30(1):190-195．

［15］ Fudenberg D，Tirole J．Game Theory［M］．Cambridge，USA:MIT Press，1991．

［16］ Burke D．Towards a Game Theory Model of Information Warfare，AFIT/GSS/LAL/99D-1［R］．Airforce Institute of Technology，1999．

［17］ Lye K W，Wing J．Game Strategies in Network Security，CMU-CS-02-136［R］．Pittsburgh，USA:School of Computer Science，Carnegie Mellon University，2002．

［18］ Xu J，Lee W．Sustaining Availability of Web Services Under Distributed Denial of Service Attacks［J］．IEEE Transactions on Computers，2003，52(4):195-208．

［19］ Liu Peng，Zang Wanyu．Incentive-based Modeling and Inference of Attacker Intent，Objectives，and Strategies［C］//Proceedings of the 10th ACM Computer and Communications Security Conference．New York，USA:ACM Press，2003:179-189．

［20］ 張少俊，李建華，陳秀真，等．基于動(dòng)態(tài)博弈理論的分布式拒絕服務(wù)攻擊防御方法［J］．上海交通大學(xué)學(xué)報(bào)，2008，42(2):198-201．

［21］ 姜 偉，方濱興，田志宏，等．基于攻防博弈模型的網(wǎng)絡(luò)安全測(cè)評(píng)和最優(yōu)主動(dòng)防御［J］．計(jì)算機(jī)學(xué)報(bào)，2009，32(4):817-827．

［22］ Robert G．A Primer in Game Theory［M］．New York，USA:Pearson Higher Education，1992．