基于时滞演化博弈的蜜罐攻防对抗策略预测方法及系统

本发明涉及网络安全防护，特别涉及一种基于时滞演化博弈的蜜罐攻防对抗策略预测方法及系统。

背景技术：

1、随着网络信息技术的持续发展，信息化、数据化、智能化程度快速提高，社会、企业、个人等享受到了各个方面的极大便利，但同时也面临着恶意网络攻击的威胁，遭受着网络安全问题的困扰。攻击者为了达到破坏网络系统、获取敏感数据等目的，不断精进攻击技术，攻击手段变得越来越复杂、智能、隐蔽、多样等，典型的攻击手段如apt攻击(advancedpersistent threats)。然而，传统网络安全技术，如访问控制、入侵检测、防火墙等，在网络攻防对抗过程中由于防御呈现的被动、滞后的特性，难以有效抵抗攻击，保护网络系统安全。蜜罐作为网络欺骗防御的一种有效的主动防御手段而被广泛应用，通过建立和真实计算机系统部分属性一样的特性，迷惑攻击者，收集攻击行为信息，检测和分析攻击行为，增加攻击不确定性，以达到欺骗攻击、保护系统的目的。

2、作为一种冲突对抗形式，网络攻防可以理解为攻防参与者的非合作博弈。博弈论提供了一套适合建模网络攻防对抗，解决防御决策问题的工具和框架，国内外学者已构建各类安全博弈模型研究网络攻防双方的策略决策问题。近年来，研究人员相继提出使用博弈论方法分析利用蜜罐欺骗的攻防场景，然而贝叶斯博弈、stackelberg博弈、信号博弈等均属于经典博弈论的范畴，其假设博弈参与者是完全理性的，即在博弈过程中参与者具备完美的识别判断、记忆计算和分析推理等能力，但是现实的攻防双方难以达到这样的能力，因此，以完全理性为严苛的假设前提所构建的博弈模型在实际应用中存在一定的局限性，而且降低了模型的实用性和有效性。演化博弈论突破了经典博弈论博弈参与者完全理性的假设前提，研究有限理性参与者动态博弈过程中策略演化稳定的特性，是目前比较认可的解决策略均衡问题的方法。

3、针对网络攻防对峙中蜜罐防御有效性和非完全理性防御决策的问题，现有研究中建立蜜罐攻防演化博弈模型，大多采用复制动态方程建立攻防决策微分方程，进而求解演化稳定策略，刻画策略的动态演化过程，不仅反映了策略决策的稳定性，还体现了策略试错、优化学习以及理性演进的特性。然而，以传统的复制动力学建立的策略更新规则，假设博弈参与者下一步决策仅仅依据当前的决策情况，能够及时掌握对手策略，实施策略及时获取到相应收益，既而及时做出决策，决策期间忽略了博弈过程中先前的决策经验，更为合理的解释是博弈决策存在一定的时滞效应。特别地，在蜜罐攻防博弈过程中，蜜罐作为一种主动防御机制，其主要的功能包括有收集分析攻击数据等，从而改善防御部署，增强攻击威慑，提高防御能力，强化威胁溯源。典型地，为保护网络服务器安全，可增加蜜罐部署规模，提高蜜罐搜集分析攻击数据的能力，这样攻击者考虑到自身利益，避免攻击失败，在决策选取最优策略时会更加谨慎，难以更快速决策实施最佳攻击行为以损害服务器。然而增加蜜罐部署规模对于防御者来说有利有弊，因为蜜罐部署规模增大会导致攻击决策时滞，通过充分搜集的攻击数据有效减缓攻击速度，及时降低服务器的损失，但同时由于规模增大，增加了蜜罐部署成本、链路负载以及额外的路由路径，传递攻击数据有一定的延迟，影响防御决策的选取。

技术实现思路

1、为此，本发明提供一种基于时滞演化博弈的蜜罐攻防对抗策略预测方法及系统，通过分析时滞对策略演化规律的影响来构建蜜罐攻防演化博弈模型，并通过演化稳定求解来增强攻击行为的预测能力并降低攻击决策效能，提升博弈模型在实际攻防应用场景中的部署实施。

2、按照本发明所提供的设计方案，一方面，提供一种基于时滞演化博弈的蜜罐攻防对抗策略预测方法，包含：

3、结合蜜罐攻防历史博弈信息及成本和收益之间的均衡设置攻防双方时滞因子，基于决策者集合、攻防策略集合、攻防策略概率分布、攻防博弈策略收益函数集合及攻防双方时滞因子对攻防演化博弈过程进行建模，并获取用于刻画时滞因子作用下攻防策略动态演化轨迹的蜜罐攻防时滞演化博弈模型；

4、对蜜罐攻防时滞演化博弈模型进行演化稳定策略求解，以依据求解结果输出蜜罐攻防对抗最佳防御策略。

5、作为本发明基于时滞演化博弈的蜜罐攻防对抗策略预测方法，进一步地，蜜罐攻防时滞演化博弈模型teg-hadm利用5元组teg-hadm＝(n，π，p，u，τ)表示，其中，n为决策者集合，π为攻防策略集合，p为攻防策略概率分布，u为攻防博弈策略收益函数集合，τ为攻防双方时滞因子。

6、作为本发明基于时滞演化博弈的蜜罐攻防对抗策略预测方法，进一步地，对蜜罐攻防时滞演化博弈模型进行演化稳定策略求解，包含：

7、首先，基于蜜罐攻防时滞演化博弈模型并结合时滞因子构造攻防时滞演化决策方程；

8、然后，利用攻防时滞演化决策方程获取攻防演化稳定策略求解结果。

9、作为本发明基于时滞演化博弈的蜜罐攻防对抗策略预测方法，进一步地，基于蜜罐攻防时滞演化博弈模型并结合时滞因子构造攻防时滞演化决策方程，包含：

10、首先，结合攻防对抗过程中攻击者可实施攻击策略及蜜罐防御者可实施防御策略构建攻防双方策略集合，初始化攻防双方策略集合的概率分布，并依据攻防时滞演化稳定性设置攻防时滞因子；

11、接着，循环计算不同攻防策略组合下攻防双方收益，并基于攻防双方收益计算时滞因子作用下攻防策略收益，其中，时滞因子作用下的收益为该时滞因子时间单元前的攻防双方收益，攻防策略收益包括攻防策略期望收益和平均收益；

12、然后，基于攻防策略期望收益和平均收益构造攻防双方时滞演化决策方程。

13、作为本发明基于时滞演化博弈的蜜罐攻防对抗策略预测方法，进一步地，攻击者的时滞演化决策方程fa(pi)表示为：其中，m为攻击者攻击策略总数，pi为攻击者攻击策略ai的选取概率，和分别表示在时滞因子τa作用下的攻击者选取攻击策略ai的期望收益和攻击策略集的平均收益。

14、作为本发明基于时滞演化博弈的蜜罐攻防对抗策略预测方法，进一步地，蜜罐防御者的时滞演化决策方程fd(qj)表示为：n为蜜罐防御者防御策略总数，qj为蜜罐防御者防御策略dj的选取概率，和分别表示在时滞因子τd作用下的蜜罐防御者选取防御策略di的期望收益及防御策略集的平均收益。

15、作为本发明基于时滞演化博弈的蜜罐攻防对抗策略预测方法，进一步地，利用攻防时滞演化决策方程获取攻防演化稳定策略求解结果，包含：

16、首先，联立攻击者时滞演化决策方程和蜜罐防御者时滞演化决策方程建立攻防时滞演化决策方程组；

17、然后，通过攻防时滞演化决策方程组获取演化稳定策略，其中，演化稳定策略为攻防双方动态调整自身策略并通过多轮策略交互后均趋于稳定均衡时双方选取的策略。

18、进一步地，本发明还提供一种基于元学习和任务一致性的低资源语音识别系统，包含：模型构建模块和演化求解模块，其中，

19、模型构建模块，用于结合蜜罐攻防历史博弈信息及成本和收益之间的均衡设置攻防双方时滞因子，基于决策者集合、攻防策略集合、攻防策略概率分布、攻防博弈策略收益函数集合及攻防双方时滞因子对攻防演化博弈过程进行建模，并获取用于刻画时滞因子作用下攻防策略动态演化轨迹的蜜罐攻防时滞演化博弈模型；

20、演化求解模块，用于对蜜罐攻防时滞演化博弈模型进行演化稳定策略求解，以依据求解结果输出蜜罐攻防对抗最佳防御策略。

21、本发明的有益效果：

22、本发明通针对蜜罐攻防对抗中所存在的时滞特性，引入时滞因素改进传统复制动态方程，基于时滞决策方程构建蜜罐攻防时滞演化博弈模型，分析时滞因素对攻防策略演化动态稳定性的影响来刻画攻防策略选取的动态演化轨迹，以通过演化稳定求解来获取攻防最优策略，提升模型的实用性和有效性。并进一步通过仿真结果表明，本案所提模型相比于传统复制动态具有明显优势，一方面，虽然时滞会影响决策到达稳态的收敛速率，但是可以确保最优决策结果的稳定性；另一方面，随着蜜罐防御对攻击时滞影响增大，会增加攻击决策的时间延迟，有助于防御及时做出调整，及时降低防御损失。