本发明属于网络安全防御技术领域,特别涉及一种实时网络安全威胁预警分析方法及其装置。
背景技术:
随着技术高速发展和服务日益普及,如今网络基础设施已经成为社会生活的神经系统,准确判断当前网络安全威胁的严重程度并预测其演化趋势,实现及时准确的安全威胁预警,对网络安全行动决策和应急处置具有十分重要的价值。网络安全的本质在于攻防对抗,因此在建模推演、量化分析攻防对抗行为及其相互影响的基础上,才能做到全面、准确、可信的安全威胁预警评估。博弈理论与网络攻防所具有的目标对立性、关系非合作性和策略依存性十分吻合。采用博弈论分析网络攻防行为,进而研究提出网络安全威胁预警方法具有借鉴意义和理论价值,目前已取得部分成果。但已有的网络安全博弈分析研究大多采用静态博弈或多阶段动态博弈模型,不符合实际网络攻防的连续对抗、实时变化特点。目前,网络空间对抗愈加激烈,网络攻防向快速、实时、多样化的方向发展,基于传统动态博弈的安全威胁分析方法已不能满足实际要求。一方面,将攻防过程划分为多阶段进行分析,每个阶段的时间长度并非总是相同的,而是动态变化的;另一方面,随着技术发展,攻防过程出现高频变化的趋势,防御决策的条件在各个时间点都不完全相同。因此,亟需建立能够分析动态、连续、实时攻防过程的博弈模型,用于预测连续、实时对抗下的威胁动态变化过程,研究更加全面、准确的网络安全威胁预警方法。
技术实现要素:
针对现有技术中的不足,本发明提供一种实时网络安全威胁预警分析方法及其装置,更加贴近攻防实际,建立能够分析动态、连续、实时攻防过程的博弈模型,分析网络安全威胁动态变化趋势,实现更具时效性和全面性的威胁预警。
按照本发明所提供的设计方案,一种实时网络安全威胁预警分析方法,包含:
A)借鉴传染病动力学模型分析网络安全威胁动态传播过程,构建网络攻防定性微分博弈模型;
B)对网络攻防定性微分博弈模型进行求解,获取攻防界栅,并将网络安全状态空间划分为用于网络安全威胁度量的捕获区和躲避区;
C)通过引入多维空间欧氏距离获取实时网络安全状态与攻防界栅之间的距离;依据该距离衡量网络安全状态下的威胁程度并进行动态预警。
上述的,A)中,借鉴传染病动力学模型,将网络节点的安全状态分为正常状态N和感染状态I,获取t时刻网络中正常节点和感染节点的数量;利用经典传染病模型SEM,得到网络安全威胁传播方程并获取用于描述网络安全状态多维空间的网络感染节点密度状态,构建网络攻防定性微分博弈模型。
优选的,以网络功能和拓扑为边界,将网络划分为多个子网络,利用网络安全威胁传播方程获取各个子网络感染节点密度状态。
优选的,网络攻防定性微分博弈模型NSDG用八元组表示,即:NSDG=(N,B,S,t,X,P,f,G),其中,N表示网络攻防定性微分博弈的参与者空间,B表示攻防行动空间,S表示网络系统根据功能和拓扑划分而成的子网络集合,t表示网络攻防定性微分博弈的时刻,X(t)代表t时刻的网络安全状态变量,P表示攻防双方以时间为变量的控制策略轨迹,f表示网络安全状态迁移函数,G表示攻击目标集。
上述的,B)中,网络攻防定性微分博弈模型中,利用攻防双方最优控制策略对应的网络安全状态轨迹作为攻防界栅,通过该攻防界栅划分作为攻击者优势区域的捕获区和作为防御者优势区域的躲避区。
优选的,B)中,对网络攻防定性微分博弈模型进行求解,包含如下过程:
B1)构建用于表示网络安全状态变化率的哈密尔顿函数;
B2)根据双边极值定理,求解该哈密尔顿函数,得到最优控制策略和由最优控制策略确定的最优轨迹;
B3)依据最优轨迹和最优控制策略,获取含有子网络感染节点密度状态的伴随方程组;
B4)获取攻防博弈目标边界集,并依据单位方向向量,确定攻防博弈目标边界集上的单位方向向量;
B5)依据半透曲面的必要条件,求解攻防博弈目标边界集上的最优攻防策略,以及该目标边界集上的攻防界栅初始状态位置集合;
B6)以攻防界栅初始状态位置集合中的点为初始点,倒向积分伴随方程组和网络攻防定性微分博弈模型中的网络安全状态迁移函数,获取作为网络攻防界栅的网络安全最优轨迹。
优选的,B6)中,对伴随方程组进行倒向积分时,初始值为攻防博弈目标边界集上的单位法向量;对安全状态迁移函数进行倒向积分时,初始值为攻防界栅初始状态位置集合上的安全状态变量。
上述的,C)中,引入多维空间欧氏距离,以空间状态到攻防界栅的最小欧氏距离评估其所处威胁程度;结合历史数据和专家经验,将网络安全威胁程度划分等级获取威胁预警等级,通过该威胁预警等级实时对网络安全威胁进行动态预警。
一种实时网络安全威胁预警分析装置,包含:构建模块、求解模块和预警模块,其中,
构建模块,用于借鉴传染病动力学模型分析网络安全威胁动态传播过程,构建网络攻防定性微分博弈模型;
求解模块,用于对网络攻防定性微分博弈模型进行求解,获取攻防界栅,并将网络安全状态空间划分为用于网络安全威胁度量的捕获区和躲避区;
预警模块,用于通过引入多维空间欧氏距离获取实时网络安全状态与攻防界栅之间的距离;依据该距离衡量网络安全状态下的威胁程度并进行动态预警。
上述的装置中,所述的构建模块包含:网络划分子模块、密度状态获取子模块和网络博弈模型获取子模块,其中,
网络划分子模块,用于以网络功能和拓扑为边界,将网络划分为多个子网络;
密度状态获取子模块,用于利用经典传染病模型SEM,获取网络安全威胁传播方程和用于描述网络安全状态多维空间的网络感染节点密度状态;
网络博弈模型获取子模块,用于依据网络感染节点密度状态构建用于推演网络安全威胁变化趋势的网络攻防定性微分博弈模型。
本发明的有益效果:
本发明借鉴传染病动力学模型分析安全威胁传播过程,基于定性微分博弈理论构建网络攻防博弈模型,推演安全威胁动态变化趋势;通过模型求解,构建攻防界栅以及捕获区和躲避区;并引入多维欧氏距离,度量不同安全状态的威胁严重程度,实现对网络安全威胁的动态预警;与现有方法相比,本发明为分析预测动态变化的网络安全威胁状态、实现实时安全威胁预警提供了有效的模型方法,具有更强的准确性和时效性,并能够对防御策略的选取提供指导。
附图说明:
图1为本发明的方法流程示意图;
图2为实施例中网络攻防博弈状态随机转换图;
图3为实施例中网络攻防定性微分博弈模型进行求解示意图;
图4为实施例中基于攻防定性微分博弈的网络安全状态空间示意图;
图5为本发明的装置示意图;
图6为实施例中构建模块示意图。
具体实施方式:
网络攻防(Network Attack-Defense):主要指攻防双方均采取一定的措施产生对抗的过程,攻击方选取攻击策略对对方网络进行攻击,从而达到获取对方信息甚至破坏对方网络的效果。针对攻击方的攻击行为,防御方将采用各类防御措施进行网络安全防御,使自身损失达到最小。博弈(Games):指在一定的环境条件中,一些个人或组织在一定的规则下,同时或先后,一次或多次,从各自的可选策略集中选取各自的策略并加以实施,并最终获取各自相应结果的过程。纳什均衡(Nash Equilibrium):在博弈G={S1,…,Sn;u1,…,un}中,各博弈方的各一个策略组成的某个策略组合中,任意博弈方i的策略若满足条件:对任意的sij∈Si都成立,则称为博弈G的一个纳什均衡。定性微分博弈(Qualitative Differential Games):是时间实时变化情况下描述冲突对抗中连续控制过程的理论方法,通过描述分析博弈系统的动态演化过程,研究在连续对抗过程中某一目标结局能否实现的问题,应用于网络安全威胁预警研究具有较强针对性和适用性。躲避区与捕获区(Evade Area and Capture Area):指在定性微分博弈中,系统状态空间被划分为两部分区域,分别称为躲避区和捕获区。当躲避者进入躲避区内时,不论追击者采取何种策略,在躲避者选择“适当”策略下总能躲避捕获;相反,当躲避者处于捕获区内时,不论其采取何种逃逸策略,通过选择“适当”策略追击者总能成功捕获躲避者。在网络攻防中,攻击方相当于“追击者”的角色,而防御方则相当于“躲避者”的角色。攻防界栅(Attack-Defense Barrier):指躲避区和捕获区的分界面,是攻防双方采取最优策略作用下的攻防系统状态演化轨迹。传染病模型(SEM,Simple Epidemic Model):指在传染病流行范围内的人群中,将其分成易感者(Susceptible)和感病者(Infective)两种状态,不同状态的个体数目将会随着时间发生变化。
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
现有博弈理论应用于网络安全威胁预警分析方法存在:博弈模型的实时性不足。当前基于博弈理论的攻防分析大多假设攻防双方只进行一次对抗,即便是采用动态攻防博弈模型,也是将网络攻防处理为离散多阶段过程,而在真实的网络攻防场景中,攻防过程是在连续时间内实时进行的,传统动态博弈分析已不能满足现实要求。实时性的不足将会对网络安全威胁分析过程产生重大影响,使最终威胁预警结果与实际相差较大,大大降低了预警方法的时效性和准确性。为更加贴近攻防实际进行网络安全分析,建立能够分析动态、连续、实时攻防过程的博弈模型,用于研究分析网络安全威胁动态变化趋势,实现更具时效性和全面性的威胁预警方法,解决基于传统博弈理论的威胁分析方法无法满足实际要求的问题,本发明实施例提供一种实时网络安全威胁预警分析方法,参见图1所示,包含:
S101、借鉴传染病动力学模型分析网络安全威胁动态传播过程,构建网络攻防定性微分博弈模型;
S102、对网络攻防定性微分博弈模型进行求解,获取攻防界栅,并将网络安全状态空间划分为用于网络安全威胁度量的捕获区和躲避区;
S103、通过引入多维空间欧氏距离获取实时网络安全状态与攻防界栅之间的距离;依据该距离衡量网络安全状态下的威胁程度并进行动态预警。
采随机博弈可以看作是一个各个局中人的联合行动下,使得博弈系统从一个状态跳变至另一个状态的状态机。网络系统同样可以看成是一个系统状态不断变化的状态机,攻防双方通过选取各自的策略进行攻防对抗,由于系统状态变化具有不确定性,因此,采用概率的方式来描述状态跳变的随机过程。攻防随机博弈模型(attack-defense stochastic game,ADSG)可以表示为一个七元组ADSG=(N,S,A,D,P,Ua,Ud),其中,N={A,D}属于参加攻防博弈的局中人集合,在此考虑仅有两个博弈方的情况;S={S1,S2,…,Sk}表示攻防随机博弈中的状态集合;A={a1,a2,…,am}表示攻击方的可选策略集;D={d1,d2,…,dn}表示防御方的可选策略集;P:S×A×D×S→[0,1]表示攻防随机博弈状态转移概率函数;表示k=ai,dj时局中人的收益集合,其中表示收益值。
在网络攻防博弈过程中,攻防双方的关系属于非合作的、对抗的,即上述模型属于一个非合作网络攻防随机博弈模型。将网络安全状态作为本博弈模型中的随机状态集合,主要由攻防策略对(ai,dj)引起,其攻防状态转移过程可以用有向图G=(S,E)来表示,其中S为图的节点集,表示网络安全状态,E为图的边集,表示攻防状态转移过程,具体如图2所示,图中有三个状态,各状态之间具有一定的转移概率,但也存在转移概率为0的情况。
纳什均衡存在性:给定一个零和攻防随机博弈模型ADSG,若博弈状态集S和攻防可选策略集A,D属于有限集合,则存在一个稳定的纳什均衡。攻防博弈值存在性:给定一个攻防随机博弈模型ADSG,对任意的k=1,…,K,博弈状态Sk的值vk一定是式(1)的唯一解:
vk=Val(Sk) (1)
其中,Val(Sk)表示矩阵型博弈Sk的值,矩阵Sk的元素为:
通过计算网络攻防双方的攻防收益值,最终可以得到网络攻防博弈稳定状态,可以用于网络安全行为分析。
和一般动态博弈不同,在定性微分博弈过程中,网络系统的安全状态动态变化,攻防行动决策受到时间因素的直接影响和制约,具有实时性。因此攻防双方的决策控制以及系统状态演化表现为内含时间变量的相空间中的连续路径,采用微分方程进行描述;博弈均衡具有泛函形式,其求解成为变分问题。同时,定性微分博弈将网络安全状态空间划分为捕获区和躲避区,为威胁预警提供度量依据。本发明实施例借鉴传染病动力学模型分析安全威胁传播过程,基于定性微分博弈理论构建网络攻防博弈模型,推演安全威胁动态变化趋势。在此基础上,提出攻防定性微分博弈求解方法,构造攻防界栅以及捕获区和躲避区;引入多维欧氏距离,度量不同安全状态的威胁严重程度;进而设计预警算法,实现对网络安全威胁的动态预警。
传染病动力学模型能够描述疾病在人群中感染和爆发的动力学过程。在网络对抗中,安全威胁利用网络系统的脆弱性,从个别网络节点开始渗透、感染并传播到系统中的其他节点,其过程与传染病的传播、破坏过程具有相似性,同样是不断演化的动力学过程:一方面,组成网络系统的节点的安全状态不断迁移变化;另一方面,处于不同安全状态的节点的数量动态改变。借鉴传染病动力学理论,本文将网络节点的安全状态分为正常状态N和感染状态I,并用N(t)和I(t)分别表示t时刻网络中正常节点和感染节点的数量。从网络攻防对抗的视角分析安全威胁演化过程,攻击方通过实施网络攻击,使得被攻击节点从正常状态N转化为感染状态I,并不断提高网络中感染节点的密度,安全威胁影响范围增大,严重程度增加;而防御方利用针对性的防御策略,抵御攻击行为,识别并修复(清除)网络中的感染节点,使得节点从感染状态I转化为正常状态N,阻止感染节点的密度提高,降低安全威胁影响范围,消弱其严重程度。因此,在攻防策略的对抗博弈中,网络节点安全状态不断迁移,安全威胁的传播和影响范围不断变化,威胁的严重程度也随之动态改变。
本发明实施例借鉴经典传染病模型SEM描述网络安全威胁传播过程,为方便分析,假设网络中节点总数Q保持不变,用ρ(t)表示t时刻网络中感染节点的密度,用1-ρ(t)表示t时刻网络中正常节点的密度,并且ρ(t)=I(t)/Q。用va(t)和vd(t)分别表示在攻防对抗中,正常节点转化为感染节点的感染速率和感染节点成功修复为正常状态的修复速率,根据传染病模型理论,可以得到网络安全威胁传播方程为:
其中,θ(t)表示t时刻正常节点与感染节点相连的概率。若假设网络节点数量较大且感染节点相互距离较远,忽略感染节点影响范围的重叠效应,则θ(t)=1-(1-ρ(t))β,β为节点连通度。
根据传染病动力学理论,结合攻防实际情况进行分析可知,网络中感染节点密度的变化过程直接反应安全威胁的传播扩散过程和程度变化过程,而节点安全状态的转化是由攻防策略相互作用共同决定的。因此,式(3)中的感染速率va(t)可以由t时刻的攻击效用a(t)表示,而修复速率vd(t)则由防御效用d(t)表示。
以一个攻防实例进行简要说明,假设攻击方可能采取高、中、低三种强度类型的攻击行为,用分别表示其平均攻击强度;防御方采取的平均防御行为强度分别表示为则t时刻攻击效用和防御效用可以分别表示为和其中,和均为概率向量,分别表示攻防双方在t时刻的混合策略。根据上述分析,网络安全威胁传播方程可以进一步表示为:
由于应用场景和服务需求的不同,大型网络往往由多个业务子网构成,本文以网络功能和拓扑为边界将网络划分为多个功能子网络,利用上述网络安全威胁传播方程分析各子网络感染节点的密度状态,进而刻画整体网络中安全威胁的影响范围和严重程度,预测网络安全威胁动态变化过程并实现预警。
利用子网络感染节点密度ρk(t),描述网络安全状态多维空间,构建网络攻防定性微分博弈模型,研究网络安全威胁动态变化过程。网络攻防定性微分博弈模型NSDG(Network Security Qualitative Differential Game)可以用八元组表示,NSDG=(N,B,S,t,X,P,f,G),其中N=(ND,NA)是网络攻防定性微分博弈的参与者空间,ND为防御者,NA为攻击者。B=(DS,AS)是攻防行动空间。其中DS={DSj|1≤j≤n},DSj表示防御方的可选防御策略。S={Sk|k=1,…,K}是网络系统根据功能和拓扑划分而成的子网络集合,其中,K为子网络数目,Sk表示第k个子网络,并用βk表示子网络Sk的平均连通度。t∈[tbin,tend]表示网络攻防定性微分博弈的时刻。X(t)={(ρ1(t),…,ρk(t),…,ρK(t))|0≤ρk(t)≤1,k=1,…,K}代表t时刻的网络安全状态变量,是由各个子网络感染节点密度ρk(t)组成的K维状态空间。由于ρk(t)是由网络中感染节点数量决定的,所以安全状态在K维状态空间中是离散分布的。P={PD(t),PA(t)}是攻防双方在t时刻的控制策略,是以时间为变量的控制轨迹。表示防御者在t时刻选取的混合策略,是攻击者在t时刻选取的混合策略,f={fk|k=1,…,K}表示网络安全状态迁移函数,是每个子网络感染节点密度ρk(t)随时间的变化函数,即网络安全威胁传播方程,其中,表示攻击目标集,也是网络安全风险高危区域。在网络对抗中,攻击方试图通过一系列攻击行为,使得网络安全状态迁移至目标集内,从而达成攻击目标,而防御方则采取防御措施避免这一结果发生。
基于博弈模型定义和分析,考虑各子网络功能拓扑的差异性,将NSDG模型中的攻防博弈目标集边界函数定义为:
其中,Θ表示达到网络功能瘫痪阀值时的感染节点总数,ek为子网络Sk的节点数量且e1+e2+…+eK=Q,ρ′k(t)代表达到瘫痪阀值时子网络Sk的感染节点密度。由于在实际网络安全问题中影响网络功能的因素形式多样且具有一定复杂性,为方便分析,本发明实施例以感染节点密度来度量网络功能完备程度,研究网络功能精确量化评估。
网络攻防定性微分博弈模型NSDG的基础上,根据定性微分博弈理论,可将网络安全多维状态空间划分为捕获区和躲避区。若当前网络安全状态X位于捕获区内,则攻击方通过采取恰当的攻击策略总能使得安全状态到达目标集内,实现预期目标;若位于躲避区内,则防御方采取恰当的防御措施总能抵御威胁的进一步传播,防止安全状态迁移至目标集内。也就是说,捕获区和躲避区分别表示攻击方和防御方的优势区域,一旦网络安全状态转移至己方的劣势区域,结局将会是不利的。因此,攻防双方都将采取最优策略进行连续对抗,避免落入对方的优势区域内,使得网络安全状态在两个区域的分界面上不断迁移。而捕获区和躲避区的分界面称为攻防定性微分博弈的攻防界栅。
在网络攻防定性微分博弈NSDG中,攻防界栅就是攻防双方最优控制策略对应的网络安全状态轨迹X*(t),是区分捕获区A(攻击者优势区域)和躲避区D(防御者优势区域)的界线。求解网络攻防定性微分博弈问题本质上就是计算网络攻防界栅X*(t)并对多维状态空间进行划分,确定捕获区A和躲避区D。在此基础上,采用当前安全状态与攻防界栅的多维空间距离,可以描述安全威胁程度,并通过距离的变化情况刻画安全威胁的动态改变。对网络攻防定性微分博弈模型进行求解,参见图3所示,包含如下过程:
S201)构建用于表示网络安全状态变化率的哈密尔顿函数;
S202)根据双边极值定理,求解该哈密尔顿函数,得到最优控制策略和由最优控制策略确定的最优轨迹;
S203)依据最优轨迹和最优控制策略,获取含有子网络感染节点密度状态的伴随方程组;
S204)获取攻防博弈目标边界集,并依据单位方向向量,确定攻防博弈目标边界集上的单位方向向量;
S205)依据半透曲面的必要条件,求解攻防博弈目标边界集上的最优攻防策略,以及该目标边界集上的攻防界栅初始状态位置集合;
S206)以攻防界栅初始状态位置集合中的点为初始点,倒向积分伴随方程组和网络攻防定性微分博弈模型中的网络安全状态迁移函数,获取作为网络攻防界栅的网络安全最优轨迹。
具体地,通过对攻防定性微分博弈模型的分析和定义,结合定性微分博弈理论,给出求解网络攻防定性微分博弈问题的具体过程和步骤:
(1)令向量λT=(λ1,λ2,…,λK)T∈RK,构建Hamilton函数H(X,PD(t),PA(t),λ)表示网络安全状态的变化率:
(2)根据双边极值定理,求出最优控制策略使其满足
其中,X*(t)表示由最优控制策略所确定的最优轨迹。
(3)计算伴随方程组对于
其中,ρk(t)为子网络Sk的感染节点密度。
(4)构建攻防博弈目标边界集
其中,c1,c2,…,ck-2为辅助参数,对应边界集上ρk(t)的参数表达式。
(5)据单位法向量具体定义,计算如下方程组确定攻防博弈目标边界集上的单位法向量
(6)根据半透曲面的必要条件,令求出在攻防博弈目标边界集G上的最优攻防策略和以及目标集上的可用部分边界BUP(目标边界集上H=0的部分),即攻防界栅初始状态位置集合
(7)以BUP上的点为初始点,倒向积分伴随方程组和网络安全状态迁移方程组可以求出网络安全最优轨迹X*(t),即为网络攻防界栅。联立式(7-9),计算如下方程组:
其中,对伴随方程组进行倒向积分时,初始值为攻防博弈目标边界集上的单位法向量对安全状态迁移方程组进行倒向积分时,初始值为BUP上的安全状态变量。
通过一个简单实例具体说明上述博弈求解过程,假设当前网络划分为3个功能不同的子网络,且网络攻击强度为防御强度为
基于上述条件,求解攻防定性微分博弈Hamilton方程
利用双边极值定理可以求出攻防双方最优策略
然后,根据得到伴随方程组
假设各子网络节点数目均为N,且当网络中感染节点总数达到M时,网络服务功能基本瘫痪,即攻击目标集为则攻防博弈的目标边界集为利用辅助参数c={(c1,c2)}可表示为:
于是通过计算式(15)可以得到在目标边界集上的单位法向量
所以,在边界集上,Hamilton函数为
令可得,BUP上网络安全状态集的参数c={(c1,c2)}满足下式
分别以和上任一网络安全状态点为初值条件,对伴随方程组和安全状态迁移方程组进行倒向积分,计算如下方程组可以得到网络攻防界栅曲面X*(t):
在网络攻防定性微分博弈中,攻防界栅实质上是攻防双方采取最优策略对时网络安全状态的迁移轨迹X*(t),在攻防界栅上攻防对抗达到博弈均衡状态。同时攻防界栅将网络安全状态空间划分为捕获区A和躲避区D,分别对应攻击方和防御方的优势空间;且一旦网络安全状态迁移至一方优势空间,则该参与方必能通过采取一定策略实现其行动目标。
如图4为网络安全状态空间示意图,假设网络系统被分为子网络S1和S2,网络安全状态由子网络感染节点密度构成。可以看出,躲避区D和捕获区A的分界面即攻防界栅是威胁预警“红线”。当系统处于躲避区D内的安全状态x2时,通过部署针对性防御策略,防御方总能控制安全威胁的变化,避免安全状态迁移至攻击目标集G;而当越过这条“红线”,系统处于捕获区A内的安全状态x1时,安全威胁将脱离防御方的掌控,攻击方将在对抗中占据主导地位,安全状态预期向攻击目标集G迁移。
基于上述分析,网络安全状态与攻防界栅之间的距离(接近“红线”程度),可以度量安全威胁的严重程度。考虑到网络安全状态是由各子网络感染节点密度共同决定,因此安全状态在多维空间中离散分布,本发明实施例引入多维空间欧几里得距离(Euclidean Distance,简称欧氏距离),以安全状态到攻防界栅的最小欧氏距离评估其所处威胁程度。网络安全威胁程度T中,网络安全状态空间是一个有限离散的K维空间V,攻防界栅X*(t)将多维状态空间划分为躲避区D和捕获区A,区域内的安全状态分别表示为和对于任意安全状态其安全威胁程度T(x)为:
其中,O(x,Yi)表示K维空间中网络安全状态x与Yi之间的欧氏距离。
当t时刻网络系统安全状态x(t)处于躲避区D时,其安全威胁程度T(x)根据与捕获区A安全状态的最小距离评估确定;随着距离的减小,网络安全状态逐渐逼近攻防界栅,此时威胁程度T随之增大,但是防御方通过增强防御措施仍能够有效控制安全威胁的发展。当网络系统安全状态x(t)处于捕获区A时,其安全威胁程度T(x)根据与躲避区D安全状态的最小距离评估确定;随着距离的增大,网络安全状态逐渐远离攻防界栅,向攻击目标集G发生迁移,此时威胁程度T随之增大,并且防御方缺乏防御策略抑制安全威胁的发展,威胁程度预期持续增长。
为方便分析,结合历史数据和专家经验,将威胁程度T划分五级进行预警,如表1所示。
表1威胁预警等级划分标准
其中,一至二级预警等级意味着网络安全状态处于躲避区D内,安全威胁仍处于可控状态,防御方在攻防对抗中占据较大优势。一级威胁预警等级表明网络系统处于良好的安全运行状态,攻击威胁造成的可能后果轻微;二级预警表明当前网络攻击行为初步构成威胁,防御者需要通过采取针对性的防御手段(如提升管理权限等)进行抵御。三级预警意味着网络安全状态正处于攻防界栅临近区域,表明网络攻击对系统构成较大威胁,防御方需要尽最大能力应对此次安全事件,以免安全状态迁移至捕获区内使得安全威胁进一步恶化。四至五级预警意味着网络安全状态处于捕获区A内,安全威胁程度严重且发展难以控制,此时防御方需根据实际情况调整防御策略并进行应急处置,以尽可能降低损失。其中五级预警表明当前安全状态正处于极其危急的程度,防御方应对比防御代价和回报,对相关网络资产进行选择性防御。
与上述方法对应,本发明实施例还提供一种实时网络安全威胁预警分析装置,如图5所示,包含:构建模块101、求解模块102和预警模块103,其中,
构建模块101,用于借鉴传染病动力学模型分析网络安全威胁动态传播过程,构建网络攻防定性微分博弈模型;
求解模块102,用于对网络攻防定性微分博弈模型进行求解,获取攻防界栅,并将网络安全状态空间划分为用于网络安全威胁度量的捕获区和躲避区;
预警模块103,用于通过引入多维空间欧氏距离获取实时网络安全状态与攻防界栅之间的距离;依据该距离衡量网络安全状态下的威胁程度并进行动态预警。
上述的,参见图6所示,构建模块101包含:网络划分子模块201、密度状态获取子模块202和网络博弈模型获取子模块203,其中,
网络划分子模块201,用于以网络功能和拓扑为边界,将网络划分为多个子网络;
密度状态获取子模块202,用于利用经典传染病模型SEM,获取网络安全威胁传播方程和用于描述网络安全状态多维空间的网络感染节点密度状态;
网络博弈模型获取子模块203,用于依据网络感染节点密度状态构建用于推演网络安全威胁变化趋势的网络攻防定性微分博弈模型。
传统网络安全威胁分析方法,忽视了安全威胁的程度和影响是由攻防双方行为共同作用决定,在全面性、准确性上存在不足。引入博弈理论开展网络安全威胁预警方法研究具有借鉴意义和理论价值。但是,基于单阶段或多阶段动态博弈模型的网络安全分析方法,难以分析实时变化、连续对抗的攻防过程。针对上述问题,本发明实施例对连续时间的网络攻防过程进行研究分析,针对威胁预警需求,采用传染病动力学模型刻画威胁传播过程,提出网络攻防定性微分博弈模型,构造攻防界栅划分捕获区及躲避区,引入多维空间欧氏距离评估威胁程度,预警方法更具时效性、准确性和全面性。在上述建立攻防微分博弈模型中,网络攻防定性微分博弈模型中,网络功能拓扑结构以及网络安全状态空间的构建是准备步骤。因为本发明的目的是通过分析计算连续攻防博弈作用下的威胁传播过程,划分网络安全状态空间以提供安全威胁预警依据,安全状态与博弈均衡即攻防界栅之间的多维距离为潜在威胁程度。在数据分析过程中,攻防双方的可选策略集是通过参考美国MIT的攻防行为数据库中的数据,针对网络攻防过程,其攻防策略集的确定也是准备步骤,攻防策略集的选定,主要用于后期攻防过程的分析与求解。同时威胁预警等级的具体划分是根据结合历史数据和专家经验进行统计分析获得的。此外,本发明设计基于定性微分博弈的网络安全威胁预警算法,确定安全状态所处威胁预警等级并根据预警等级对网络防御提出针对性建议,仿真实验验证了模型和算法有效性。为实际网络安全问题中分析预测动态变化的网络安全威胁状态、实现实时安全威胁预警提供了有效的模型方法,并能够为防御方制定(选取)针对性防御预案(策略)提供指导。本发明实施例中涉及到的基于定性微分博弈的网络安全威胁预警算法,可设计为如下内容:
Input:网络攻防定性微分博弈模型NSDG
Output:威胁预警等级TL
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的各实例的单元及方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已按照功能一般性地描述了各示例的组成及步骤。这些功能是以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域普通技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不认为超出本发明的范围。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如:只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。