王 秦,朱建明,高 勝

1.北京信息科技大學(xué) 信息管理學(xué)院,北京 100192

2.中央財經(jīng)大學(xué) 信息學(xué)院,北京 100081

1 引言

隨著互聯(lián)網(wǎng)的快速發(fā)展,越來越多的組織使用信息技術(shù)來存儲、處理、交換關(guān)鍵信息,信息已成為當(dāng)今社會最重要的商業(yè)資產(chǎn)之一.然而,與信息技術(shù)飛速進(jìn)步相伴隨的是信息安全事件的頻發(fā)及其對經(jīng)濟(jì)社會造成的持續(xù)嚴(yán)重影響.根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT/CC)發(fā)布的《2016年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》,2016年的移動互聯(lián)網(wǎng)惡意程序捕獲數(shù)量、網(wǎng)站后門攻擊數(shù)量以及安全漏洞收錄數(shù)量較2015年均有所上升,其中移動互聯(lián)網(wǎng)惡意程序數(shù)量增加39%,被植入后門的網(wǎng)站數(shù)量增加9.3%,軟硬件漏洞增加33.9%.而僅在2016年11月,就有194萬個境內(nèi)終端感染病毒,5294個境內(nèi)網(wǎng)站被篡改,5283個境內(nèi)網(wǎng)站被植入后門.在信息安全方面的不夠重視,往往會給企業(yè)乃至國家造成極其嚴(yán)重的危害.這樣的例子在國內(nèi)外安全實(shí)踐的發(fā)展中屢見不鮮.例如,由于相關(guān)保護(hù)措施不力,索尼影業(yè)曾在2011年遭遇黑客入侵,致使7700多萬個PlayStation Network賬戶被盜.2014年該公司再次遭遇大規(guī)模黑客攻擊,給公司造成巨額經(jīng)濟(jì)損失,甚至逐漸釀成一起國際政治事件.

密碼學(xué)是信息安全的基礎(chǔ),密碼協(xié)議是信息安全重要的組成部分.對于信息安全來說,信息安全技術(shù)無疑是最重要的.甚至很多人認(rèn)為,只要有形式化證明了的密碼協(xié)議和防火墻等安全技術(shù),系統(tǒng)就一定能達(dá)到高度安全.事實(shí)上,雖然信息安全技術(shù)一直扮演著不可或缺的角色,但是信息安全問題無法通過技術(shù)手段徹底解決的,層出不窮的信息安全事件也印證了這一點(diǎn).一方面,任何技術(shù)都可能同時被防御者和攻擊者所用,甚至在現(xiàn)實(shí)中攻擊者對新技術(shù)的采用往往限于防御者,許多最新的信息安全技術(shù)即源于黑客行為.攻擊者占據(jù)者對于防御者的天然優(yōu)勢,防御者在攻擊者面前永遠(yuǎn)屬于被動的一方.攻擊行為不僅通常無法事先被判斷,攻擊者甚至常常能繞過相關(guān)法律和規(guī)則實(shí)施行動.一方面,信息安全必須遵循“適度安全”的原則,防御者無法做到投入所有資源對所有可能的弱點(diǎn)進(jìn)行保護(hù),必須根據(jù)有限的資源做出最優(yōu)決策[1].因此,解決信息安全問題需要綜合運(yùn)用信息技術(shù)、經(jīng)濟(jì)學(xué)和管理學(xué)等理論方法.

博弈論是研究決策主體的行為發(fā)生相互作用時的決策及其均衡問題的理論,是研究競爭中參與者為爭取最大利益應(yīng)當(dāng)如何做出決策的數(shù)學(xué)方法.近年來,博弈論已經(jīng)成為了信息安全經(jīng)濟(jì)學(xué)中的主要方法之一.博弈論擅長刻畫的策略依存性可以很好地描述信息安全中的攻防對抗以及防御方之間的互相影響.博弈論給出了信息安全問題中利益互相沖突依賴的參與方一個定量的決策框架,這是傳統(tǒng)的安全技術(shù)方法和其他經(jīng)濟(jì)學(xué)方法難以做到的[2].

博弈論和密碼協(xié)議處理的都是互不信任團(tuán)體之間的交互問題[3].博弈論的理性假設(shè)為密碼協(xié)議的研究提供了新的思路.博弈論的引入對預(yù)測密碼協(xié)議中參與方的行為和涉及更加安全有效的密碼協(xié)議具有重要意義.本文對博弈論在密碼協(xié)議等信息安全研究中的應(yīng)用進(jìn)行了綜述,依據(jù)不同博弈類型,試圖分析其在密碼協(xié)議設(shè)計、攻防對抗、防御策略選取、定量安全投資、防御者相互依賴、社會最優(yōu)達(dá)成等信息安全問題中的應(yīng)用.

以下各節(jié)的內(nèi)容安排如下:第2節(jié)簡要描述了本文要用到的博弈論基本概念;第3節(jié)介紹了完全信息靜態(tài)博弈、完全信息動態(tài)博弈、不完全信息靜態(tài)博弈、不完全信息動態(tài)博弈、隨機(jī)博弈、演化博弈在密碼協(xié)議等信息安全研究中的應(yīng)用;第4節(jié)指出了當(dāng)前研究存在的不足和未來的研究方向.

2 博弈論概述

博弈論是研究相互影響的決策主體如何進(jìn)行決策以及達(dá)成均衡的學(xué)科.在博弈中,博弈是指參與人在考慮其他參與人行動的情況下,基于收益最大化原則選擇相應(yīng)行動.自上世紀(jì)四十年代誕生以來,博弈論經(jīng)過不斷發(fā)展已經(jīng)成為經(jīng)濟(jì)學(xué)的一個重要分支.

博弈論的基本概念包括參與人、行動、支付、戰(zhàn)略等.參與人是指博弈中的決策實(shí)體.參與人可以指代人、機(jī)器、團(tuán)體等.行動是指參與人在博弈某個時點(diǎn)做出的決策.支付是指參與人依據(jù)自身行動以及其他參與人行動而得到的回報.戰(zhàn)略是指參與人在博弈中的行動計劃.

一般而言,一個博弈可以表述為如下形式[4]:

其中,Si為參與人i的策略集,有si∈Si.參與人i的支付函數(shù)ui(s1,s2,···,sn)為所有參與人策略的函數(shù).

博弈有多種分類方法.根據(jù)參與人對其他參與人的了解程度,博弈可以分為完全信息博弈和不完全信息博弈.完全信息博弈中所有參與人對其他參與人的戰(zhàn)略空間、支付函數(shù)等信息有充足的了解.不完全信息博弈中至少有一個參與人對至少其他一個參與人的戰(zhàn)略空間或支付函數(shù)等信息不了解.根據(jù)參與人的行動的時序性,博弈可以分為靜態(tài)博弈和動態(tài)博弈.靜態(tài)博弈是一次性博弈,參與人同時做出行動.動態(tài)博弈包含多個階段,參與人的行動有先后之分.這兩種分類標(biāo)準(zhǔn)結(jié)合可以將博弈論分為完全信息靜態(tài)博弈、完全信息動態(tài)博弈、不完全信息靜態(tài)博弈和不完全信息動態(tài)博弈.

隨機(jī)博弈也稱馬爾可夫博弈,是馬爾可夫決策過程在多主體環(huán)境下的擴(kuò)展形式.隨機(jī)博弈的主要元素包括狀態(tài)集、行動集、狀態(tài)轉(zhuǎn)移函數(shù)、支付函數(shù)等.每一階段參與人的支付由當(dāng)前狀態(tài)和參與人行動共同決定,博弈根據(jù)當(dāng)前狀態(tài)和參與人行動以一定概率過渡到下一狀態(tài).隨機(jī)博弈從定義上屬于動態(tài)博弈,然而相較傳統(tǒng)博弈形式,隨機(jī)博弈擅長描述多主體間較大行動空間和較長規(guī)劃周期的博弈問題,這使得隨機(jī)博弈在信息安全領(lǐng)域有較為廣泛的應(yīng)用.尤其是隨機(jī)博弈與網(wǎng)絡(luò)模型以及學(xué)習(xí)算法的結(jié)合使得隨機(jī)博弈模型十分適合處理網(wǎng)絡(luò)安全中復(fù)雜的動態(tài)問題.本文將單獨(dú)對隨機(jī)博弈在信息安全研究中的應(yīng)用進(jìn)行說明.

演化博弈論改變了傳統(tǒng)博弈論關(guān)于參與人完全理性的假設(shè),將關(guān)注點(diǎn)放在長期形成的演化穩(wěn)定策略.演化博弈論模仿了達(dá)爾文競爭的思想,認(rèn)為不同的戰(zhàn)略將在長期經(jīng)過生存和繁殖并達(dá)到均衡.演化博弈論中加入了復(fù)制動態(tài)這一關(guān)鍵概念,即更具適應(yīng)性的個體如何在群體中不斷擴(kuò)張.演化博弈論正被越來越多地應(yīng)用于經(jīng)濟(jì)學(xué)、社會學(xué)等領(lǐng)域中.

3 博弈論在密碼協(xié)議等信息安全研究中的應(yīng)用

在總結(jié)現(xiàn)有文獻(xiàn)的基礎(chǔ)上,表1展示了博弈論在密碼協(xié)議等信息安全領(lǐng)域的應(yīng)用.

信息安全攻防策略分析是博弈論應(yīng)用的重要方面,包含了各種博弈論方法的運(yùn)用,分析情境包括入侵檢測系統(tǒng)、無線傳感器網(wǎng)絡(luò)、信息戰(zhàn)、容忍入侵系統(tǒng)等等.作為信息安全主要工具,針對入侵檢測系統(tǒng)的分析在這一部分占據(jù)了主要部分,具體研究問題包括響應(yīng)策略、資源配置、惡意軟件監(jiān)測器放置等.

表1 現(xiàn)有文獻(xiàn)分類比較Table 1 Classification and comparison of present literatures

信息安全防御者相互依賴關(guān)系博弈的研究主要包括對外部性和不確定性的研究,這一部分使用的研究方法為靜態(tài)博弈.信息安全具有公共物品的屬性,各個防御主體的安全投資可能會相互影響.總體的安全程度取決于每個主體,當(dāng)安全程度不高時,所有主體都會受害.Kunreuther等首先于2003年率先提出了一般意義下的相互依賴安全問題[5].作者假設(shè)存在多個自私的參與者,他們可以選擇投資于安全或維持現(xiàn)狀.這些個體都想在一定風(fēng)險水平下投資最少,而風(fēng)險不僅取決于自己的投資情況,也取決于其他參與者的投資情況.可以證明,包含兩個直至多個參與者的情況下,所有個體間只存在兩種納什均衡:全部投資或全部不投資.

與經(jīng)濟(jì)學(xué)中對公共物品的研究一樣,相互依賴環(huán)境下防御者有投資不足的傾向,難以達(dá)到全局最優(yōu),需要采取獎勵、懲罰等手段消除這種外部性.另外,相互依賴環(huán)境下也存在關(guān)于其他主體安全投資以及被攻擊概率等的不確定性問題,這種影響適合使用不完全信息博弈來刻畫.

信息安全博弈論在密碼協(xié)議中的應(yīng)用主要體現(xiàn)在秘密共享和安全多方計算問題的協(xié)議設(shè)計上,使用的主要方法為不完全信息動態(tài)博弈.傳統(tǒng)的密碼協(xié)議都假定參與方或者誠實(shí)、或者惡意.其中誠實(shí)的參與方在通信過程中總是遵守協(xié)議,而邪惡的參與方總是使用各種手段欺詐其他參與方而違背協(xié)議.博弈論的觀點(diǎn)認(rèn)為所有參與方都是理性的,即保證自身利益最大化.與此相反,密碼協(xié)議中并不排斥非理性行為.這是博弈論與安全多方計算的最大區(qū)別.關(guān)于博弈論與密碼協(xié)議(以安全多方計算問題為例)的比較可以參見表2所示.

表2 密碼協(xié)議與博弈論的比較Table 2 Comparison of cryptographic protocols and game theory

典型的秘密共享問題是指秘密份額被分發(fā)給參與者,只有一定數(shù)量以上的參與者才能重構(gòu)出秘密.安全多方計算問題中參與者只能接受自己的私密輸入,并不能從他人的輸入中獲得任何額外信息.在安全多方計算問題的博弈形式中,參與者的類型是其輸入,每個參與者試圖猜測輸出.他們都想得到正確的輸出,而不希望其他參與者得到正確輸出.另外,參與者也希望盡可能少地泄露自己的輸入,盡可能多地得到其他參與者的輸入.博弈論通過為理性參與者設(shè)計安全協(xié)議給安全多方計算問題提供解決方案.

下面以不同博弈論方法為依據(jù)介紹博弈論在信息安全研究中的應(yīng)用.

3.1 完全信息靜態(tài)博弈

作為信息安全相互依賴關(guān)系中的主要模型,文獻(xiàn)[34]首次將共同貢獻(xiàn)模型、最弱環(huán)模型和最佳防御模型引入到信息安全領(lǐng)域的分析中.在共同貢獻(xiàn)模型中,系統(tǒng)的防御水平取決于各主體貢獻(xiàn)之和,相應(yīng)地,在最弱環(huán)模型和最佳防御模型中,系統(tǒng)的防御水平分別取決于防御水平最低和防御水平最高的主體.對于納什均衡的研究發(fā)現(xiàn),在共同貢獻(xiàn)模型和最佳防御模型中,系統(tǒng)可靠性取決于具有最高收益成本比的主體,在最弱環(huán)模型中系統(tǒng)可靠性取決于具有最低收益成本比的主體,而其他個體都將采取“搭便車”的行動.而關(guān)于社會最優(yōu)的分析表明,搭便車的行為會導(dǎo)致主體的安全貢獻(xiàn)低于社會最優(yōu)條件下要求的安全貢獻(xiàn)水平.此類相互依賴安全博弈的比較如表3所示.

文獻(xiàn)[35]在繼承文獻(xiàn)[34]的基礎(chǔ)上,加入了對保險的分析,并且提出了最弱目標(biāo)安全博弈,即攻擊者只對防御水平最低的個體進(jìn)行攻擊.結(jié)果表明在納什均衡下,最弱目標(biāo)安全博弈中主體的投資水平社會最優(yōu)下的水平.文獻(xiàn)[36]基于最弱環(huán)模型和共同貢獻(xiàn)模型分析了互聯(lián)網(wǎng)服務(wù)提供商如何使用基于結(jié)果或貢獻(xiàn)的獎懲措施提高整個系統(tǒng)的安全水平.

文獻(xiàn)[37]考慮了相互依賴條件下的信息安全投資博弈.作者假設(shè)病毒可以通過直接和間接兩種方式傳染,而企業(yè)的信息安全投資只能消除直接傳染的風(fēng)險.通過分析單次侵入和多次侵入假設(shè)下的參與方支付和均衡情況,作者指出無論是單次入侵還是多次入侵,博弈只存在兩種均衡,即全部投資或全部不投資.

表3 相互依賴安全博弈類型比較Table 3 Comparison of different types of interdependent security games

文獻(xiàn)[38]重點(diǎn)關(guān)注了攻擊類型在信息安全投資博弈中的影響.作者假設(shè)公司面對目標(biāo)攻擊或隨機(jī)攻擊,分別分析了在兩種攻擊類型下最優(yōu)信息安全投資水平與潛在損失、內(nèi)在脆弱性和網(wǎng)絡(luò)脆弱性之間的關(guān)系,還討論了責(zé)任和安全信息共享這兩種機(jī)制對安全投資的影響.

安全市場具有檸檬市場的特點(diǎn),文獻(xiàn)[39]指出安全審計可以改善參與方之間的信息不對稱問題,并且可以幫助參與方發(fā)出可信信號,解決參與方之間的協(xié)調(diào)問題.作者建立的博弈論模型刻畫了信息安全審計的完全性,信息安全投資對于降低風(fēng)險的作用以及參與方之間的相互依賴情況.對于均衡結(jié)果的分析表明,安全審計必須針對特定情境展開,并且基本的審計水平在多數(shù)情況下可能是無效的.

文獻(xiàn)[1]研究了攻擊者和防御者之間的完全信息靜態(tài)博弈模型,討論了零和與非零和博弈情況下的最優(yōu)防御策略選取算法.作者還通過改進(jìn)傳統(tǒng)的攻擊圖模型提出了網(wǎng)絡(luò)防御圖模型,并且分析了攻防策略的分類方法和成本收益情況.

文獻(xiàn)[24]提出了一種新的網(wǎng)絡(luò)安全風(fēng)險評估方法.文中使用博弈論建立了防御者與攻擊者之間的對抗模型.防御者有兩個行動可以選擇,即保護(hù)知識財產(chǎn)或不保護(hù)知識財產(chǎn),攻擊者可以選擇不采取行動、開發(fā)知識財產(chǎn)或者以一定概率攻擊知識財產(chǎn).文章對該模型以及基于部分可觀測馬爾可夫決策過程建立的攻擊模型進(jìn)行了定量分析.

文獻(xiàn)[16]將信息戰(zhàn)刻畫為攻防雙方的博弈.文中列舉了幾個例子來說明參與方如何根據(jù)不同情境使用純策略或混合策略等問題.

文獻(xiàn)[50]使用博弈論和馬爾科夫決策過程等方法來研究傳感器網(wǎng)絡(luò)的入侵檢測問題.文中將入侵檢測問題建模為包含攻擊者和傳感器網(wǎng)絡(luò)兩個參與方的非零和博弈.文中指出使用博弈論模型可以提高成功識別的幾率.

文獻(xiàn)[25]使用博弈論研究了基于問題機(jī)制抵御泛洪攻擊的方法.在這一模型中,服務(wù)器并不區(qū)分合法用戶或非法用戶.每當(dāng)客戶端發(fā)出連接請求時,服務(wù)器先生成一個“問題”.只有當(dāng)客戶端回答正確時,服務(wù)器才會分配資源與之建立連接.問題的質(zhì)量是決定這一機(jī)制是否成功的重要因素.此外,對問題數(shù)據(jù)庫的防御和維護(hù)也是需要重點(diǎn)考慮的問題.

文獻(xiàn)[40]研究了作為自私參與方的信息安全投資的效率問題.文中使用無政府狀態(tài)的代價(POA),即最壞情況下的納什均衡結(jié)果和社會最優(yōu)結(jié)果之比來衡量這一效率,并進(jìn)一步提出了加權(quán)POA的概念.文中的完全信息靜態(tài)博弈模型假定參與方的安全投資互相影響,作者分析了其純策略納什均衡下的情況.

安全多方求和屬于安全多方計算的基本操作.文獻(xiàn)[44]改變傳統(tǒng)安全求和方法中參與方行為良好的假定,分別分析了完全信息靜態(tài)博弈下不成提供數(shù)據(jù)以及共謀下的均衡情況,提出了一種安全求和算法,結(jié)果表明算法可以很好地保護(hù)隱私.

3.2 完全信息動態(tài)博弈

文獻(xiàn)[40]中在對完全信息靜態(tài)博弈模型下的假定做出小幅修改后,進(jìn)一步提出了重復(fù)博弈,分析了社會最優(yōu)子博弈精煉納什均衡下的效率問題.文中指出雖然重復(fù)博弈下更有可能達(dá)成合作,但也需要參與方之間更多的溝通和協(xié)調(diào).

文獻(xiàn)[6]提出了公司和用戶之間的完全信息動態(tài)博弈模型,用以分析入侵檢測系統(tǒng)的價值.博弈被分為兩個階段.在第一階段,公司決定是否采用入侵檢測系統(tǒng).在第二階段,公司決定是否對入侵檢測系統(tǒng)進(jìn)行配置,用戶選擇其攻擊策略.

文獻(xiàn)[51]研究了對于網(wǎng)絡(luò)入侵的自動響應(yīng)問題.文中提出的斯塔克爾伯格博弈模型被用于用戶的注冊登錄過程.文中對于小型網(wǎng)絡(luò)使用馬爾可夫決策方法做出最優(yōu)響應(yīng),對于大型網(wǎng)絡(luò)使用模糊規(guī)則集做出最優(yōu)響應(yīng).

文獻(xiàn)[26]將對攻擊者有限理性的假設(shè)納入網(wǎng)絡(luò)安全博弈研究.由于現(xiàn)實(shí)中的網(wǎng)絡(luò)及其復(fù)雜,攻擊者很難對網(wǎng)絡(luò)全局有清晰的了解,因此引入有限理性的假設(shè)十分必要.文中將攻擊者和防御者的交互建模為斯塔克爾伯格博弈模型.博弈在圖上進(jìn)行.攻擊者的純策略由從起始節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)的所有路徑組成.防御者安排有限資源在邊上設(shè)置檢查點(diǎn).若攻擊者選擇的路徑已經(jīng)被檢查點(diǎn)覆蓋,則防御者得到獎勵,攻擊者受到懲罰.否則攻擊者得到獎勵,防御者受到懲罰.文中假設(shè)博弈是非零和的.由于攻擊者會監(jiān)控防御者的戰(zhàn)略,防御者必須隨機(jī)選擇戰(zhàn)略,即使用混合戰(zhàn)略來應(yīng)對.文中假設(shè)攻擊者可以觀測到防御者的資源總數(shù)和每條邊被覆蓋的概率.文中提出了幾種不同的攻擊者行為模型,并研究了如何計算防御者的最優(yōu)戰(zhàn)略.

文獻(xiàn)[34]還考慮了參與方序貫行動的情形,并假設(shè)后行動者可以觀察到先行動者的選擇.文中指出為了保證達(dá)到最高安全水平,必須保證具有最低收益成本比的主體率先行動.

3.3 不完全信息靜態(tài)博弈

文獻(xiàn)[27]建立了推斷攻擊者意圖、目標(biāo)和戰(zhàn)略的一般博弈模型.作為示例,文中的貝葉斯博弈模型中假設(shè)主體有兩個類型,即好或壞,并且該類型是主體的私人知識.博弈包含有限個階段,每個階段主體和防御系統(tǒng)同時行動.文中證明即使只有很少的信息,該模型也能得出滿意的結(jié)果.

由于網(wǎng)絡(luò)的復(fù)雜性,現(xiàn)實(shí)用戶可能并不了解網(wǎng)絡(luò)的結(jié)構(gòu)信息以及其他用戶的安全貢獻(xiàn).并且用戶出于自私性可能并不愿意分享自己的安全貢獻(xiàn)信息.文獻(xiàn)[41]分析了考慮拓?fù)湫畔⒉淮_定性的安全投資博弈模型.文中把網(wǎng)絡(luò)用戶之間的交互建模為不完全信息靜態(tài)博弈模型.模型假設(shè)用戶只知道自己的度信息,但并不知道鄰居的度信息.用戶的戰(zhàn)略是自己的安全投資.用戶的支付取決于與鄰居用戶投資之和或者其中的最大投資有關(guān).文中證明了單調(diào)對稱貝葉斯納什均衡的存在,并且證明了連接程度更高的用戶可能會付出更少的安全投資而獲得更高的效用.

文獻(xiàn)[42]分別比較了共同貢獻(xiàn)模型、最弱環(huán)模型和最佳防御模型三種安全博弈模型不確定性的代價.在完全信息狀態(tài)下,所有主體的被攻擊概率是共同知識;在不完全信息狀態(tài)下,每個主體只知道自己被攻擊的概率以及其他主體被攻擊的概率分布.與其他衡量效率的標(biāo)準(zhǔn)類似,作者使用在完全信息狀態(tài)和不完全信息狀態(tài)下支付的最大差別來衡量不確定性的代價.根據(jù)這一思想,作者提出了最大差別、收益比、成本比等三種標(biāo)準(zhǔn).

文獻(xiàn)[43]分析了相互依賴安全博弈中的不確定性問題.作者假設(shè)每個主體只知道風(fēng)險參數(shù)的概率分布,分別分析了在同質(zhì)主體和異質(zhì)主體假設(shè)下的貝葉斯納什均衡.作者發(fā)現(xiàn)在同質(zhì)主體的假設(shè)下,較低的感染風(fēng)險可能會導(dǎo)致更高的威脅概率,較高的感染風(fēng)險可能會導(dǎo)致更低的威脅概率.

文獻(xiàn)[7]研究了自組織網(wǎng)絡(luò)中的入侵檢測問題.由于自組織網(wǎng)絡(luò)固有的能量約束,傳統(tǒng)的對入侵檢測系統(tǒng)保持始終打開狀態(tài)的選擇可能并不有效.作者假設(shè)防御者并不知對手的類型是常規(guī)的還是惡意的,并分別提出了不完全信息靜態(tài)博弈模型和不完全信息動態(tài)博弈模型,分析了其貝葉斯納什均衡和精煉貝葉斯均衡.在不完全信息靜態(tài)博弈模型中,作者得出當(dāng)防御者認(rèn)為對手為惡意的概率較大時,博弈會達(dá)成混合策略貝葉斯納什均衡,否則會達(dá)成純策略貝葉斯納什均衡.

3.4 不完全信息動態(tài)博弈

文獻(xiàn)[7]中不完全信息動態(tài)博弈模型和不完全信息靜態(tài)博弈模型的假定類似.對于不完全信息靜態(tài)博弈模型很難準(zhǔn)確給定信念,而不完全信息靜態(tài)博弈模型中防御者可以不斷調(diào)整自己的信念.作者指出后者是更加現(xiàn)實(shí)的模型.作者在模型基礎(chǔ)上進(jìn)一步提出了貝葉斯混合檢測方法,即使用輕量級監(jiān)控系統(tǒng)估計對手行動,而重量級監(jiān)控系統(tǒng)被留到最后使用.作者指出這一方法有助于減少能量消耗,提高檢測效果.

文獻(xiàn)[52]將自組織網(wǎng)絡(luò)中攻擊者和入侵檢測系統(tǒng)之間的交互建模為信號傳遞博弈.攻擊者的行動可以視作信號,入侵檢測系統(tǒng)基于對攻擊者的信念處理信號.

文獻(xiàn)[28]也使用信號傳遞博弈來建模網(wǎng)絡(luò)中攻擊者和防御者之間的交互.防御者使用蜜罐技術(shù)來保護(hù)其網(wǎng)絡(luò).防御者可以選擇將蜜罐偽裝成正常的系統(tǒng),或者將正常的系統(tǒng)偽裝成蜜罐.攻擊者可以成功攻擊正常的系統(tǒng),但并不能成功攻擊蜜罐.如果攻擊者攻擊蜜罐,則防御者觀察到攻擊者的動作并可以在隨后提高防御.作者分析了該模型的精煉貝葉斯均衡,并用兩個案例分析展示了防御者采用欺騙戰(zhàn)略的好處.

文獻(xiàn)[8]提出了分布式入侵檢測系統(tǒng)的一般模型,并基于博弈論提出了兩個不同的方案,即安全預(yù)警系統(tǒng)模型和安全攻擊博弈模型.其中,前者使用合作博弈來建模,后者使用非零和不完全信息動態(tài)博弈來建模.文獻(xiàn)[9]基于文獻(xiàn)[8]中的模型研究了攻擊者和入侵檢測系統(tǒng)之間的動態(tài)博弈,分別研究了有限博弈和無限博弈的形式.作者建立了一套定量化的數(shù)學(xué)模型來處理入侵檢測中的資源分配問題.文獻(xiàn)[10]中作者將訪問控制系統(tǒng)的入侵響應(yīng)視作資源分配問題.作者將系統(tǒng)管理員用來響應(yīng)攻擊的時間作為稀缺資源來考慮,提出了一套結(jié)合了神經(jīng)網(wǎng)絡(luò)和線性規(guī)劃方法的資源分配算法.文中的博弈模型是在文獻(xiàn)[9]中模型的基礎(chǔ)上經(jīng)過修改發(fā)展而來的.

文獻(xiàn)[29]研究了攻擊者和防御者之間的不完全信息非零和博弈.攻擊者可以選擇攻擊或者不攻擊,防御者可以選擇防御或者不防御.雙方對對方的支付函數(shù)都不了解,只能根據(jù)對方的行動調(diào)整自己的戰(zhàn)略.作者基于虛擬對策博弈構(gòu)建模型,并對模型進(jìn)行了仿真分析.

文獻(xiàn)[45]說明了將理性條件加入對秘密共享和安全多方計算的研究中.作者假設(shè)參與方傾向于自己獲取秘密,并且有盡可能少的其他參與方獲取秘密.只有當(dāng)自己的效用提高時,參與方才會遵守協(xié)議.作者證明不發(fā)送秘密份額是弱占優(yōu)策略.并且,在使用隨機(jī)機(jī)制的情況下其計算可以在常數(shù)時間內(nèi)完成.

文獻(xiàn)[46]研究了秘密共享和安全多方計算的公平協(xié)議問題.作者假設(shè)對于輸入分布函數(shù)和參與方效用只有不完全信息,分別分析了聯(lián)播信道和非聯(lián)播信道下的協(xié)議設(shè)計.其設(shè)計的協(xié)議可以進(jìn)行任意輪迭代,不受逆向歸納的影響.

文獻(xiàn)[49]基于擴(kuò)展式博弈建立安全協(xié)議模型,通過分析博弈過程,可以很好地預(yù)測各方的策略選擇及其原因.

文獻(xiàn)[48]分析了博弈論環(huán)境下的秘密分發(fā)機(jī)制和秘密重構(gòu)機(jī)制.作者在秘密分發(fā)機(jī)制中引入了理性第三方的概念,并設(shè)計了一個秘密重構(gòu)機(jī)制以解決參與方的合作問題.

文獻(xiàn)[47]嘗試在理性密碼協(xié)議與傳統(tǒng)博弈論之間建立聯(lián)系,作者考慮了計算成本,證明了防范秘密攻擊的兩方安全計算是計算博弈中可忽略的調(diào)解人的通用實(shí)現(xiàn).

3.5 隨機(jī)博弈

文獻(xiàn)[30]將網(wǎng)絡(luò)中攻擊者與管理員之間的交互建模為非零和隨機(jī)博弈.作者將網(wǎng)絡(luò)建模為外部世界、Web服務(wù)器、文件服務(wù)器、工作站之間交互的環(huán)境.外部世界可以通過防火墻與Web服務(wù)器進(jìn)行聯(lián)系,Web服務(wù)器、文件服務(wù)器、工作站三者之間可以互相聯(lián)系.作者使用非線性規(guī)劃方法對納什均衡求解.通過設(shè)置不同的初始條件,作者得到了三個納什均衡,并對均衡結(jié)果進(jìn)行了討論.

文獻(xiàn)[31]改變了文獻(xiàn)[30]中完美信息的假定,將攻擊者和防御者之間的交互建模為非完美信息博弈模型.作者指出現(xiàn)實(shí)中參與方通常使用傳感器來判斷系統(tǒng)狀態(tài),因此論文假定參與方在某一特定時刻以一定的錯誤概率知曉系統(tǒng)的真實(shí)狀態(tài).文中提出的基于博弈論的半自動化防御架構(gòu)包含三個主要組件:博弈代理和中央博弈協(xié)調(diào)者的集合,管理控制臺以及動態(tài)蜜罐.系統(tǒng)管理員使用獎懲結(jié)合的措施來引導(dǎo)攻擊者行為.作者還提出了一系列對模型的擴(kuò)展來應(yīng)對可能的挑戰(zhàn).

文獻(xiàn)[11]將攻擊者和入侵檢測系統(tǒng)之間的交互建模為隨機(jī)博弈模型.攻擊者試圖對系統(tǒng)進(jìn)行非授權(quán)訪問或者發(fā)起拒絕服務(wù)攻擊,入侵檢測系統(tǒng)分配系統(tǒng)資源搜集信息來檢測并做出響應(yīng).作者假設(shè)每個參與方并不知道其他參與方的行動和系統(tǒng)的演進(jìn)狀態(tài),只能基于自身成本和關(guān)于系統(tǒng)和其他參與方的有限觀測進(jìn)行決策.

文獻(xiàn)[12]基于線性影響網(wǎng)絡(luò)模型建立了攻擊者和入侵檢測系統(tǒng)之間的零和隨機(jī)博弈模型.作者使用加權(quán)有向圖來表示網(wǎng)絡(luò)中節(jié)點(diǎn)安全資產(chǎn)和脆弱性的相互關(guān)系.線性影響網(wǎng)絡(luò)的加入也有助于使用計算機(jī)程序?qū)Σ┺那蠼?

文獻(xiàn)[17]研究了入侵者和容忍入侵系統(tǒng)之間的零和隨機(jī)博弈模型.作者分析了系統(tǒng)可用性、完整性、機(jī)密性的平均失效時間,以及攻擊意愿、攻擊收益和行動策略之間的關(guān)系.

文獻(xiàn)[18]研究了網(wǎng)絡(luò)中參與方之間的隨機(jī)博弈網(wǎng)模型.由于隨機(jī)博弈存在無法反映復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)等缺點(diǎn),作者提出的模型結(jié)合了Petri網(wǎng)技術(shù).論文的結(jié)果被用于企業(yè)網(wǎng)絡(luò)的安全分析中.

文獻(xiàn)[53]基于馬爾可夫博弈提出了一種新型的風(fēng)險評估模型.傳統(tǒng)的風(fēng)險評估方法無法考慮未來的安全狀態(tài).作者提出的模型可以考慮未來可能的風(fēng)險對當(dāng)前風(fēng)險評估的影響,其影響隨距離當(dāng)前時間的增長而下降.模型使用馬爾可夫鏈來描述威脅傳播過程以及系統(tǒng)管理員對系統(tǒng)脆弱性的修復(fù)過程.一方面,針對脆弱性的威脅會導(dǎo)致風(fēng)險,并且風(fēng)險隨威脅的傳播而增大;另一方面,風(fēng)險會因系統(tǒng)管理員的修復(fù)行動而變小.模型模擬了威脅和脆弱性之間的關(guān)系.作者還設(shè)計了一套風(fēng)險評估平臺來驗證模型的有效性.

文獻(xiàn)[32]提出了一種攻擊者和網(wǎng)絡(luò)之間零和馬爾可夫博弈模型的分解求解方法.模型假設(shè)攻擊者無法觀察到網(wǎng)絡(luò)狀態(tài).由于均衡戰(zhàn)略隨博弈階段數(shù)呈指數(shù)級增長,作者利用其嵌套信息結(jié)構(gòu)將博弈分解為若干個子博弈,并使用逆向歸納法來求解博弈.作者表明通過計算每個階段一個信息集上的單值函數(shù),博弈能被有效求解.

文獻(xiàn)[19]研究了智能電網(wǎng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)問題,建立了智能電網(wǎng)保護(hù)者和攻擊者之間的馬爾可夫博弈模型.為了解決博弈模型的可擴(kuò)展性問題,作者提出了一種剪枝算法在計算時間和計算精確度之間進(jìn)行平衡.

文獻(xiàn)[13]從數(shù)據(jù)融合和自適應(yīng)控制的角度研究了對網(wǎng)絡(luò)安全系統(tǒng)的評估和保護(hù).由于攻擊工具和技術(shù)正變得越來越復(fù)雜,下一代網(wǎng)絡(luò)管理和入侵檢測系統(tǒng)要求能融合短期傳感器數(shù)據(jù)和長期知識數(shù)據(jù)庫中的數(shù)據(jù)來提供決策支持.作者提出了一種基于馬爾可夫博弈的自適應(yīng)數(shù)據(jù)融合方法.作者假設(shè)參與方之間并不了解對方的成本函數(shù),并使用馬爾可夫博弈方法估計對網(wǎng)絡(luò)攻擊類型的信念.

文獻(xiàn)[14]使用攻擊者和入侵檢測系統(tǒng)之間的零和馬爾可夫博弈模型研究了惡意軟件監(jiān)測器的放置問題.惡意軟件監(jiān)測器的放置在基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)設(shè)計中十分重要.檢測器可以被用作已有網(wǎng)絡(luò)部件,也可以被用作單獨(dú)的設(shè)備.通過對模型最優(yōu)戰(zhàn)略的求解和仿真分析,作者說明了如何在網(wǎng)絡(luò)環(huán)境中更好地使用惡意軟件檢測器.

文獻(xiàn)[20]研究了攻擊者和自適應(yīng)管理器之間的零和馬爾可夫博弈模型.自適應(yīng)管理器可以在動態(tài)攻擊場景中不斷修正自己的戰(zhàn)略.作者研究了如何將模型應(yīng)用于IBM公司提出的MAPE-K參考模型中,并使用動態(tài)應(yīng)用層拒絕服務(wù)攻擊案例仿真證明了模型的適用性.

3.6 演化博弈

文獻(xiàn)[21]使用演化博弈論研究了AODV路由協(xié)議下自私節(jié)點(diǎn)的動態(tài)合作行為.在數(shù)據(jù)轉(zhuǎn)發(fā)的過程中,節(jié)點(diǎn)可能會由于自私性丟包導(dǎo)致數(shù)據(jù)傳輸率下降.作者提出了一個重復(fù)包轉(zhuǎn)發(fā)框架,并使用遺傳算法學(xué)習(xí)和預(yù)測最優(yōu)響應(yīng).包轉(zhuǎn)發(fā)路徑上的每一節(jié)點(diǎn)都會通過直接監(jiān)控學(xué)習(xí)鄰居節(jié)點(diǎn)行動,基于博弈模型預(yù)測鄰居節(jié)點(diǎn)行動,并選擇最適合的節(jié)點(diǎn)將數(shù)據(jù)包轉(zhuǎn)發(fā)出去.仿真結(jié)果證明通過使用演化戰(zhàn)略和信任評價機(jī)制,節(jié)點(diǎn)之間可以達(dá)到最大化的合作.

文獻(xiàn)[22]基于博弈論和模糊邏輯提出了一種自適應(yīng)協(xié)調(diào)器選擇算法.文中的博弈模型包含兩部分:針對動態(tài)防御的隨機(jī)博弈和針對協(xié)調(diào)器選擇的演化博弈.在演化博弈框架中,參與方為網(wǎng)絡(luò)中的節(jié)點(diǎn),協(xié)調(diào)器選擇戰(zhàn)略為來自不同鄰居的估計信息的本地組合.模糊邏輯被用于構(gòu)建選擇協(xié)調(diào)器的狀態(tài)估計算法.

文獻(xiàn)[23]提出了一種無線傳感器網(wǎng)絡(luò)的安全速率博弈,其目的是最大化傳感器節(jié)點(diǎn)安全速率并最小化數(shù)據(jù)傳輸能量消耗.作者將經(jīng)典竊聽信道擴(kuò)展到簇狀無線傳感器網(wǎng)絡(luò),以獲得安全速率的對應(yīng)計算公式.作者構(gòu)建的演化博弈模型反映了傳感器節(jié)點(diǎn)和能量消耗成本之間的交互聯(lián)系.通過求解演化穩(wěn)定策略,作者解釋了傳感器節(jié)點(diǎn)如何選擇戰(zhàn)略,并提出了一個對應(yīng)的安全速率自適應(yīng)算法.

文獻(xiàn)[33]研究了信息安全攻防對抗的演化博弈模型.模型中防御者可以選擇投資或不投資,攻擊者可以選擇攻擊或不攻擊.防御者的投資行動可以抵御攻擊并給其帶來一定的商譽(yù)無形資產(chǎn),但必須付出投資成本.通過對演化穩(wěn)定策略的分析,作者指出了投資成本在影響投資行動中的關(guān)鍵作用.

文獻(xiàn)[15]研究了入侵者和入侵檢測系統(tǒng)之間的演化博弈模型.作者假設(shè)如果入侵者入侵,入侵檢測系統(tǒng)做出正確響應(yīng),則入侵者將在付出入侵成本的同時受到懲罰,入侵檢測系統(tǒng)將獲得收益.作者分析了博弈的演化穩(wěn)定策略,并指出了使用演化博弈論分析入侵檢測系統(tǒng)的好處.

4 總結(jié)

本文介紹了使用博弈論研究密碼協(xié)議等信息安全問題的優(yōu)勢,考察了完全信息靜態(tài)博弈、完全信息動態(tài)博弈、不完全信息靜態(tài)博弈、不完全信息動態(tài)博弈、隨機(jī)博弈、演化博弈等不同類型的博弈模型在信息安全研究中的應(yīng)用.當(dāng)前研究仍存在一些不足.現(xiàn)實(shí)中安全環(huán)境極其復(fù)雜,攻擊概率、風(fēng)險損失等參數(shù)通常難以估計,并且當(dāng)前形勢下攻擊手段越來越多樣化,更給建模帶來難度以外.因此,基于博弈論的信息安全研究需要更先進(jìn)的安全參數(shù)刻畫方法作為支撐.此外,由于博弈論自身的理論特性,使用博弈論對信息安全進(jìn)行研究可能還會出現(xiàn)以下問題:

第一,許多信息安全博弈模型存在多個納什均衡,不同的均衡間參與方的支付可能差異很大,會導(dǎo)致模型的可靠程度大幅下降.此外,一些較為復(fù)雜的博弈模型對均衡戰(zhàn)略的求解往往十分困難,使得必須付出一定代價對求解過程進(jìn)行簡化.

第二,攻擊者和防御者都可能同時采取多個行動,但目前使用博弈論同時刻畫多個行動仍然存在困難.

第三,在現(xiàn)實(shí)中,參與方采取行動以及系統(tǒng)狀態(tài)轉(zhuǎn)換都需要一定時間,而博弈論通常假定其立即完成,忽略這種時間影響可能會使模型與現(xiàn)實(shí)情況產(chǎn)生巨大偏差.事實(shí)上,參與方采取行動所需的時間一般很不規(guī)律,而在復(fù)雜度較高的場景下,不同的時間長度對于最優(yōu)行動的計算影響很大.

第四,博弈論只能處理建立在已知行動集上的問題.而在現(xiàn)實(shí)中,隨著攻擊的深入和時間的推移,攻擊者可能采用新的方法發(fā)動攻擊,防御者也必須對這種可能性做出防范.

鑒于現(xiàn)有研究存在的不足,今后可以考慮從以下方向展開研究:

第一,對攻擊者的刻畫.攻擊者發(fā)動攻擊的原因是多種多樣的,可能是為了謀取經(jīng)濟(jì)利益,獲得同行尊重,或者僅僅是為了滿足某種滿足感或者嘗試某種最新技術(shù).即使僅僅為了謀取經(jīng)濟(jì)利益,對于不同攻擊者的計量標(biāo)準(zhǔn)往往也并不相同.在具體情景下,攻擊者的目標(biāo)可以是某一單一目標(biāo),也可以是多種目標(biāo)的組合.甚至隨著時間的推移,攻擊者還可能改變目標(biāo).現(xiàn)有研究對于攻擊者的建模通常較為簡單,比如將攻擊者的效用簡單等同于防御者的損失.因此需要開發(fā)針對攻擊者效用的新的計量方法,考慮更為復(fù)雜的博弈模型.

第二,基于網(wǎng)絡(luò)拓?fù)涞难芯?可以將博弈參與方視為計算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn).網(wǎng)絡(luò)拓?fù)涫沟貌┺膮⑴c方之間存在著復(fù)雜的相互影響關(guān)系,不同網(wǎng)絡(luò)的拓?fù)涮卣魇蛊渚哂胁煌聂敯粜?然而,簡單地借用傳統(tǒng)網(wǎng)絡(luò)模型并不能準(zhǔn)確地刻畫計算機(jī)網(wǎng)絡(luò).當(dāng)前還很少有研究考慮網(wǎng)絡(luò)拓?fù)涞挠绊?需要開發(fā)新的方法針對計算機(jī)網(wǎng)絡(luò)進(jìn)行研究.

第三,實(shí)證研究的加入.對各種風(fēng)險參數(shù)評估的困難既降低了防御者投資信息安全的動力,增大了攻擊者成功的機(jī)會,也降低了博弈模型的可信度.需要建立行業(yè)統(tǒng)一的大規(guī)模數(shù)據(jù)集以供研究者和實(shí)踐者分析使用.可以利用機(jī)器學(xué)習(xí)等方法基于這些數(shù)據(jù)進(jìn)行風(fēng)險評估和決策制定.

第四,對于信息安全投資的建模.當(dāng)前研究一般假定信息安全投資要么是離散的要么是連續(xù)的.但是,現(xiàn)實(shí)中信息安全投資通常是多維的,管理者一般將信息安全預(yù)算分散于設(shè)備購置、員工培訓(xùn)、網(wǎng)絡(luò)保險購買等上面.對于信息安全投資需要更加復(fù)雜的建模方式.

第五,與機(jī)制設(shè)計理論的結(jié)合.通過調(diào)整相關(guān)參數(shù)等手段,可以使用機(jī)制設(shè)計理論研究如何將博弈導(dǎo)向更令決策者滿意的均衡.機(jī)制設(shè)計理論可以在安全協(xié)議設(shè)計中扮演重要作用.

由于作者精力所限,一些重要的文章可能沒有被包括在內(nèi).此外,由于基于博弈論的密碼協(xié)議等研究剛剛起步,相關(guān)參考文獻(xiàn)有限,本文只是對這一領(lǐng)域所做的探索性分析,作者期待以后有文章能對這一主題進(jìn)行更加系統(tǒng)的闡述.