基于博弈体系的APT防御方法与流程

本发明涉及网络安全领域，特别涉及一种基于博弈体系的apt防御方法。
背景技术：
：随着网络规模的不断扩大和网络结构的不断复杂化，网络安全问题引起全球的关注，大量网络攻击行为对国家的政治和商业都带来摧毁性的伤害。高级持续性威胁(advancedpersistentthreat,apt)攻击已成为近期较热门的网络攻击话题，它通常以步步为营的渗透入侵策略，隐蔽地攻击每个特定的目标。现如今，博弈理论已被广泛运用于网络入侵检测中，在博弈过程中，每个决策者都会选择对自己最有利的策略，并且自身的利益受其他决策者策略的影响。而纳什均衡是一种策略组合，使得每个决策者的策略是其他决策者策略的最优反应。若一个博弈存在纳什均衡，决策者选择纳什均衡策略的收益一定比没选择纳什均衡策略的收益高。基于网络攻防双方所固有的博弈本质，根据纳什均衡策略可得出最佳的应对措施，能够有效解决传统入侵检测系统在检测上运用人工干预所导致的低效性。由于攻击者和防御者都会选择最佳的攻击和防御策略，因此本发明提出一种基于博弈论的apt防御方法。技术实现要素：本发明的目的在于提供一种基于博弈体系下获取防御者利益最大化的apt防御方法。为实现上述目的，本发明的技术方案是：一种基于博弈体系的apt防御方法，包括如下步骤，s1、查看网络的脆弱点，通过网络拓扑结构获取攻击者可能采取的攻击策略；s2、在博弈体系中，根据影响攻击者收益因素计算攻击者收益；根据影响防御者收益因素计算防御者收益；s3、在纳什均衡前提下获取防御者利益最大化。在本发明一实施例中，在步骤s1中，将apt攻击认为是攻击者采取的攻击手段；apt攻击路径用sa表示，sai∈sa，i＝1，2，...，n，n为路径总数，即攻击者采取的攻击策略总数；j表示攻击策略中的攻击环节，m为采取攻击策略sai所需要的攻击环节总数，即网络结构中sai的节点数；且认为被攻击后的正常节点都会转变为攻击节点。在本发明一实施例中，所述影响攻击者收益的因素包括：a1、攻击者实施策略导致正常节点数据包丢失的数量；a2、攻击者自身消耗的能量成本，该能量成本指攻击节点消耗的平均带宽；a3、防御者是否有防御策略以及采取的防御策略。在本发明一实施例中，所述影响防御者收益的因素包括：d1、防御措施成功防御攻击；d2、防御措施将正常节点数据包拦截的数量；d3、防御者自身消耗的能量成本，该能量成本指防御者消耗的平均带宽。在本发明一实施例中，所述步骤s3的具体实现方式如下：由于攻击节点实施的攻击没被检测出来的概率λ与正常节点发送的数据包被拦截的概率δ都与攻击节点发送的数据包速率有关，那么攻击者的收益可表示为：防御者的收益可表示为：其中，v表示攻击目标具有的价值；表示节点j与攻击目标节点的关联程度；表示攻击者对节点j的控制能力；表示攻击者攻击节点j时的供给成本；表示防御者的防御策略是否有效，有效时无效则i表示防御者采取策略；y表示攻击节点y时防御者的防御策略有效；cd表示防御者成本；cdp表示防御者实施防御措施时将正常节点数据包拦截的损失价值。在本发明一实施例中，apt攻击方式包括网络探测、欺骗、会话劫持、拒绝服务攻击、缓冲区溢出攻击、口令探测、社交工程、物理攻击、木马、隐藏踪迹；apt攻击目的包括无、读取文件、远程访问、获取本地用户权限、访问根目录；对于攻击者而言，不同的攻击方式将带来不同的攻击成本，而不同攻击目的也将会带来不同的收益；攻击者的攻击策略为一种或多种组合的攻击方式。在本发明一实施例中，所述攻击者的收益包括以下情况的收益：(1)在不攻击与不防御、不攻击与防御这两种情况下，攻击者所获的收益都为零；(2)对于攻击与防御情况，若攻击者选择攻击m个节点的策略i以达到攻击目标节点的目的，防御者采取策略i进行防御，并且在攻击节点y时防御者的防御策略有效，即且则攻击者选择策略i时的收益可表示为：(3)对于攻击与不防御情况，即防御者对攻击者的任何攻击不采取任何防御措施时，因此，攻击者收益可以表示为：其中，v表示攻击目标具有的价值；表示节点j与攻击目标节点的关联程度；表示攻击者对节点j的控制能力；表示攻击者攻击节点j时的供给成本；表示防御者的防御策略是否有效，有效时无效则在本发明一实施例中，所述防御者收益包括以下情况的收益：(1)对于不攻击与不防御情况，防御者所获的收益为零；(2)对于不攻击与防御情况，防御者收益受自身消耗能量成本和失误拦截正常节点数据包数量的影响；假设防御者实施防御措施时将正常节点数据包拦截的损失价值设为cdp，那么防御者采用策略i时收益可表示为：pdi＝-cd-cdp(3)对于攻击与不防御情况，防御者对于攻击者的任何攻击不实施任何防御措施，因此不会产生自身的能量消耗，也不会失误拦截正常节点的数据包，但不防御行为会导致正常节点受攻击而造成正常数据包的丢失；因此防御者在该种情况下采用策略i时收益可表示为：(4)对于攻击与防御情况，防御者的收益受自身能量消耗、失误拦截正常数据包、防御措施成功防御攻击这三种因素的影响，因此防御者在该情况下采用策略i的收益可表示为：其中，v表示攻击目标具有的价值；表示节点j与攻击目标节点的关联程度；表示攻击者对节点j的控制能力；表示防御者的防御策略是否有效，有效时无效则i表示防御者采取策略；y表示攻击节点y时防御者的防御策略有效；cd表示防御者成本；cdp表示防御者实施防御措施时将正常节点数据包拦截的损失价值。在本发明一实施例中，由于该博弈是非合作博弈，防御者的最终目的是在纳什均衡的前提下使自身的收益提高，对方的收益下降，因此防御者只需找到满足：使pd尽可能大，而pa尽可能小的参数组合。相较于现有技术，本发明具有以下有益效果：本发明通过查看网络的脆弱点，根据网络拓扑结构获取攻击者可能采取的全部攻击策略；在博弈体系中，根据影响攻击者收益因素计算攻击者收益；根据影响防御者收益因素计算防御者收益；在纳什均衡前提下获取防御者利益最大化。附图说明图1为实施基于博弈体系的apt防御方法的流程示意图。图2为攻击者访问数据库服务器的网络拓扑实例图。具体实施方式下面结合附图1-2，对本发明的技术方案进行具体说明。本发明最关键的构思在于：在博弈体系中，攻击者的目标是找到最优的攻击策略，以此达到花费最小，受益最大的目的；而防御者的目的也是找到最优的防御策略，以此来降低攻击者的收益。假设每个攻击者都是理性攻击者，即总是以收益最大化来做出攻击策略，并且该博弈过程为一次性博弈，即双方若选定策略之后，将不会改变各自的策略直到博弈过程结束。如图1所示，所述的基于博弈体系的apt防御方法为：查看网络的脆弱点，通过网络拓扑结构获取攻击者可能采取的全部攻击策略；在博弈体系中，根据影响攻击者收益因素计算攻击者收益；在博弈体系中，根据影响防御者收益因素计算防御者收益；在纳什均衡前提下获取防御者利益最大化。从上述描述可知，本发明的有益效果在于：纳什均衡能够使非合作双方在博弈体系中处于利益最大化，在纳什均衡前提下获取防御者利益最大化的组合参数，可以实现防御者提高自身利益，减小攻击者利益的最终目的。本发明涉及的参数指代见表1：a攻击者d防御者sa攻击者策略sd防御者策略ca攻击者成本cd防御者成本pa攻击者所获利益pd防御者所获利益进一步的，查看网络的脆弱点，推测apt攻击者可能采取的全部攻击策略的方法为：本方法最关键的构思在于：apt攻击方式可以分为网络探测、欺骗、会话劫持、拒绝服务攻击、缓冲区溢出攻击、口令探测、社交工程、物理攻击、木马、隐藏踪迹等；攻击目的可分为无、读取文件、远程访问、获取本地用户权限、访问根目录等。对于攻击者而言，不同的攻击方式将带来不同的攻击成本，例如木马攻击和缓冲区溢出攻击所产生的攻击成本不同，而不同攻击目的也将会带来不同的收益，例如获取本地用户权限的利益比获取根目录访问权限小。攻击者的攻击策略可以是一种攻击方式，也可以是组合攻击方式。我们将apt攻击路径认为是攻击者策略。apt攻击路径用sa表示，sai∈sa，i＝1，2，...，n，n为路径总数，即攻击者可采取的攻击策略总数。j表示策略中的某个攻击环节，m为采取策略sai所需要的攻击环节总数，即网络结构中sai的节点数。假设被攻击后的正常节点都会转变为攻击节点。如图2所示，攻击者有两种方法访问数据库服务器，第一种方法是先获取smtp服务器的本地用户权限，然后再获取数据库服务器的根目录访问权限；第二种方法是先获取ftp服务器的本地用户权限，再获取数据库服务器的根目录访问权限。因此该攻击者拥有两条攻击路径来攻击目标节点，即sa1和sa2，而每条路径又都具有两个攻击环节，即m＝2。进一步的，在博弈过程中，攻击者收益计算方法如下：本方法最关键的构思在于：一般情况下，防御者会根据攻击者的工作做出防御措施，因此攻击者的收益受防御者是否采取措施以及采取何种措施有关。对于相同的攻击方式可以有多种防御措施，例如可以利用关闭服务器或关闭端口等措施来应对网络探测；例如遇到攻击者采取缓冲区溢出攻击，防御者可以通过对系统中的数据访问进行越界检查，或是只允许执行在代码空间的指令等措施来提高系统的安全性。防御者将根据实际情况采取最佳的防御措施。攻击者收益涉及以下几个参数：v(value):表示攻击目标具有的价值，v≥0，该价值主要包括商业价值、社会价值等，该值视具体情况而定。表示节点j与攻击目标节点的关联程度，一般情况下，当时，表示不能通过节点j攻击到目标节点，而当时表示该节点j就是目标节点。表示攻击者对节点j的控制能力，当时，表示攻击者没有任何权限对节点j进行控制和毁坏，而当时，表示攻击者已经获取节点j的根目录访问权限，并且具有控制和毁坏该节点的全部能力。表示攻击者攻击节点j时的供给成本。表示防御者的防御策略是否有效。该参数与防御者是否采取防御策略与采取何种策略有关。假设策略i中有两个环节，即和当防御者策略对环节无效，即防御者不能在这一环节阻止攻击者的进一步攻击，则当防御者可以在环节阻止攻击者进一步进攻，即对目标节点没安全威胁，则认为防御者的防御策略有效，则一般，我们认为防御者策略是否有效是一个确认情况，因此为离散值，即要么要么另外我们定义，对于路径i而言，若则且在博弈体系中，参与者包括攻击者和防御者，攻击者的行动分为攻击与不攻击，而对于防御者而言，由于采取防御措施会消耗能量而增加防御成本，在实际情况中防御者不一定需要时刻开启防御措施，因此防御者的行动可分为防御和不防御。最终的博弈过程具有四种情况，即“不攻击与不防御”、“不攻击与防御”、“攻击与不防御”、“攻击与防御”。影响攻击者收益的因素有：a1、攻击者实施策略导致正常节点数据包丢失的数量；a2、攻击者自身消耗的能量成本，该能量成本指攻击节点消耗的平均带宽；a3、防御者是否有防御策略和采取何种防御策略。攻击者在博弈过程具有以下四种情况的收益：(1)在“不攻击与不防御”、“不攻击与防御”这两种情况下，攻击者所获的收益都为零；(2)对于“攻击与防御”情况，若攻击者选择攻击m个节点的策略i以达到攻击目标节点的目的，防御者采取策略i进行防御，并且在攻击节点y时防御者的防御策略有效，即且则攻击者选择策略i时的收益可表示为：(3)对于“攻击与不防御”情况，即防御者对攻击者的任何攻击不采取任何防御措施时，因此，攻击者收益可以表示为：进一步的，防御者收益的计算方法如下：影响防御者收益的因素有：d1、防御措施成功防御攻击；d2、防御措施将正常节点数据包拦截的数量；d3、防御者自身消耗的能量成本，该能量成本指防御者消耗的平均带宽；防御者在博弈过程具有以下四种情况的收益：(1)对于“不攻击与不防御”情况，防御者所获的收益为零；(2)对于“不攻击与防御”情况，防御者收益受自身消耗能量成本和失误拦截正常节点数据包数量的影响。假设防御者实施防御措施时将正常节点数据包拦截的损失价值设为cdp，那么防御者采用策略i时收益可表示为：pdi＝-cd-cdp(3)对于“攻击与不防御”情况，防御者对于攻击者的任何攻击不实施任何防御措施，因此不会产生自身的能量消耗，也不会失误拦截正常节点的数据包，但不防御行为会导致正常节点受攻击而造成正常数据包的丢失。因此防御者在该种情况下采用策略i时收益可表示为：(4)对于“攻击与防御”情况，防御者的收益受自身能量消耗、失误拦截正常数据包、防御措施成功防御攻击这三种因素的影响，因此防御者在该情况下采用策略i的收益可表示为：进一步的，在纳什均衡过程中获取防御者利益最大化的方法为：本方法最关键的构思在于：一般在纳什均衡体系中，只有当攻击者攻击且防御者防御时，才能获得各自的利益最大化，即“攻击与防御”情况是一组纳什均衡。但在实际情况下，攻击节点实施的攻击没被检测出来与正常节点发送的数据包被拦截是概率性事件，存在“攻击与不防御”、“不攻击与防御”情况。因为攻击节点实施的攻击没被检测出来的概率(λ)与正常节点发送的数据包被拦截的概率(δ)都与攻击节点发送的数据包速率有关，对于速率较高的数据包，没被检测出来的概率较低，正常节点发送的数据包被拦截的概率也较低，而对于速率较低的数据包，没被检测出来的概率较高，正常节点发送数据包被拦截的概率也较高。那么攻击者的收益可表示为：防御者的收益可表示为：由于该博弈是非合作博弈，防御者的最终目的是在纳什均衡的前提下使自身的收益提高，对方的收益下降，因此防御者只需找到满足使pd尽可能大，而pa尽可能小的参数组合。以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等同变换，或直接或间接运用在相关的
技术领域：
，均同理包括在本发明的专利保护范围内。当前第1页12