基于改进演化博弈模型的网络防御决策方法.pdf
《基于改进演化博弈模型的网络防御决策方法.pdf》由会员分享,可在线阅读,更多相关《基于改进演化博弈模型的网络防御决策方法.pdf(11页珍藏版)》请在咨信网上搜索。
1、基于改进演化博弈模型的网络防御决策方法马润年张恩宁王刚*马宇峰翁江(空军工程大学信息与导航学院西安710077)(国防科技大学通信学院试验训练基地西安710106)摘要:针对网络防御决策的误差干扰和实时响应问题,该文提出一种改进演化博弈模型(IEGM)和网络防御决策方法。首先,借鉴经典伺服系统模型,用微分假设量化表示防御方对攻击策略的短期预测效应,加快模型收敛速度,提升防御决策效率。其次,分析攻防博弈中的误差产生机理,量化定义网络防御中的观测误差,提出改进复制动力学方程,加强模型对信息偏差的容忍度。在此基础上,建立改进演化博弈模型,证明了模型能够收敛至纳什均衡解的微小-邻域,给出了相应的稳定性
2、分析,并设计了一种网络防御决策方法。理论分析和仿真结果表明,所提模型能够克服观测误差影响,给出偏差数量级在0.01%的最优防御纯策略,且在强干扰环境下,防御决策的响应速度相较于其他3种经典决策模型最高可以提升64.06%。改进模型和防御决策方法能够有效提升防御决策的响应时效性和对观测误差的适应性。关键词:网络防御;决策方法;误差容忍;短期预测;改进复制动态中图分类号:TN915.08;TP399文献标识码:A文章编号:1009-5896(2023)06-1970-11DOI:10.11999/JEIT220585Network Defense Decision-making Method Ba
3、sed onImproved Evolutionary Game ModelMARunnianZHANGEnningWANGGangMAYufengWENGJiang(Institute of Telecommunication Engineering,Air Force Engineering University,Xian 710077,China)(Information and Communication Institute Experimental Training Base,National University of Defense Technology,Xian 710106,
4、China)Abstract:Fortheproblemthattheexistingnetworkdefensedecision-makingmethodischallengingbyerrorinterferenceandreal-timeresponse,anovelnetworkdefensedecision-makingmethodbasedonanImprovedEvolutionaryGameModel(IEGM)isproposed.Firstly,usingtheclassicalservosystemmodelforreference,theshort-termpredic
5、tioneffectofthedefensesideontheattackstrategyisquantifiedbydifferentialhypothesistoacceleratetheconvergenceofthemodelandimprovetheefficiencyofdefensedecisions.Secondly,themechanismoferrorgenerationinattack-defensegameisanalyzed,thentheobservationalerrorinnetworkdefenseisdefinedquantitatively,andthei
6、mprovedreplicationdynamicsequationisproposedtostrengthenthetoleranceofthemodeltoinformationdeviation.Onthisbasis,animprovedevolutionarygamemodelisestablished,andthecorrespondingstabilityanalysisandmathematicalproofaregiventoprovethatthemodelcanconvergetothe-neighborhoodoftheNashequilibriumsolution.T
7、heoreticalanalysisandsimulationresultsshowthattheproposedmodelcanovercometheinfluenceofobservationerror,andtheoptimalpuredefensestrategywithdeviationorderof0.01%isgiven.Besides,underthejammingenvironment,theresponsespeedofdefensedecision-makingcanbeimprovedby64.06%comparedwiththeotherthreedecisionmo
8、dels.Theimprovedmodelanddecision-makingmethodcaneffectivelyimprovetheresponsetimelinessofdefensedecisionsandtheadaptabilitytoobservationerror.Key words:Networkdefense;Decision-makingmethod;Errortolerance;Short-termprediction;Improvedreplicatordynamics收稿日期:2022-05-10;改回日期:2022-07-16;网络出版:2022-07-21*通
9、信作者:王刚基金项目:国家自然科学基金(61902426)FoundationItem:TheNationalNaturalScienceFoundationofChina(61902426)第45卷第6期电子与信息学报Vol.45No.62023年6月JournalofElectronics&InformationTechnologyJun.20231 引言机器学习、大数据分析等技术加速了人类社会的智能化变革,也给网络安全和隐私防护带来新的挑战。高级可持续威胁(AdvancedPersistentThreat,APT)和动态目标防御等新型网络攻防理论技术的快速发展,使得网络安全态势和攻防博弈
10、行为日趋复杂。网络防御决策是网络防御的重要环节,在攻强守弱的大背景下,实现主动防御的关键是打破攻击方的杀伤链1,在运用入侵检测等手段捕获攻击方行为信息的基础上,预测攻击策略,提前部署防御,通过地址动态跳变、操作系统迁移等手段使得对手设计的攻击策略无效或者成本太高而不可行。在防御决策过程中,需要综合考虑对手攻击技战术能力、己方防御操作代价、环境干扰等因素,在量化分析的基础上,依据科学的决策理论和方法优选防御策略,在有限资源条件下实现防御效用的最大化2。当前制约主动防御效能的短板主要有两方面:一是防御态势感知能力不足。攻击方为了提升攻击效果,会运用技战术手段使得防御方感知到不完整信息甚至是虚假信息
11、。与此同时,防御方也无法从根本上解决入侵检测系统的误报和漏报问题,预测偏差客观存在2。二是防御决策效率不高。防御决策的速度依赖于信息条件、计算水平以及攻防博弈策略的复杂度等因素。在有限的信息条件下,经典模型的算法时间复杂度较高,预测攻击策略的耗时较长,容易导致主动防御部署滞后,难以阻止杀伤链形成2,3。因此,如何进一步推动防御决策方法的科学有效性是当前网络防御理论研究中亟需解决的问题。网络攻防中参与方具有目标对立,策略依存和非合作型关系的本质属性,可以运用博弈论提供的数学框架开展科学研究。其中,演化博弈模型可以在不完全信息条件下模拟网络攻防双方策略的互动演化过程,得到稳定的纳什均衡策略,为优选
12、网络防御策略提供参考4,5。经典演化博弈模型描述了采用相同决策方式的同质博弈群体的自我演化过程,但是实际网络攻防中双方决策具有显著差异性。例如,在决策标准方面,防御方要权衡防护节点的资源重要程度,安防部署成本和防御操作代价;攻击方则需要考虑攻击成本,攻击失败的惩罚等因素。决策标准的差异性会反映到攻防双方收益的量化方式上,并进一步影响攻防双方的决策偏好,这种基于不同决策范式的异质博弈群体的非合作演化过程是当前研究的热点3。总体来看,时效性和误差容忍度是当前网络防御决策需要重点关注的两个问题,也是基于经典演化博弈模型的网络防御决策方法面临的两大挑战:一是网络防御的敏捷反应需求和模型复杂决策过程的内
13、在矛盾。经典演化博弈模型采用复制动态描述防御策略的演化优选过程,本质上是一种具有结果承继性的重复博弈。环比其他博弈模型,演化博弈模型使用的算法的时间复杂度较高,敏捷适应性相对不足,直接影响网络防御方响应攻击事件的速度。因此,亟需设计有效的优化方法以提升模型演化稳定解的收敛速度。二是获取态势信息的过程中可能存在的观测误差导致模型和决策的可信性存疑。高级可持续威胁攻击,采用信号诱导的方式欺骗防御方的入侵检测系统6,隐藏真实的攻击窗口及攻击时间,造成防御方的观测误差,入侵检测中无法避免的虚警和漏警就是这一现象的真实体现。基于上述问题与挑战,本文对改进演化博弈模型构建及防御决策方法展开研究。演化博弈的
14、动态演化过程可以看作系统受到扰动后恢复稳态的进程,具有离散逻辑决策和连续时间控制的特点,是伺服系统中典型的反馈控制流程7。在反馈控制流程中,已有多种方法被证明可以有效加速循环速度,例如在生物运动控制模型中,学者采用微分假设模拟生物学中主动神经介导节段的反射延迟减弱现象,有效提升了仿生模型的运动控制效果8。受此启发,本文使用博弈信念的微分假设表示防御方对攻击策略的短期预测,加速模型的演化速度,并在每一轮演化迭代过程中,将形式化表达的观测误差纳入决策动力学模型中,进一步研究博弈模型在信息偏差下的稳定性和准确性。在此基础上,搭建仿真实验环境,开展模型稳定性验证实验以及改进模型和经典模型的性能对比实验
15、,进一步论证模型的敏捷适应性和可信性。2 相关工作将博弈理论迁移应用于网络信息安全已成为该领域的一个热点。学者从行为者完全理性,完全信息条件和单阶段静态假设出发,建立网络攻防博弈模型9,以此为基础过渡到有限理性,不完全信息条件下的多阶段网络攻防博弈。由于在实际网络对抗中,攻防双方会根据态势信息不断改进行为策略的内在驱动,因此使用演化博弈中的复制动态方程,刻画策略选择的动力学规律是解决具体问题的有效方法。如在传感器网络中引入基于信任值的复制动态,分析网络节点间信任关系的动力学方程和演化趋势10;结合军事信息网络的确定性决策特点,构建纯策略演化博弈模型,扭转被动防御态势11;引入可信第三方动态惩罚
16、策略,分析入侵策略对演化复制动态方程的影响,提升边缘雾计算的安全第6期马润年等:基于改进演化博弈模型的网络防御决策方法1971性12。但和随机博弈13、信号博弈等6方法相比,演化博弈由于其复制动态特性,需要不断迭代才能输出稳定结果,其时敏性相对不足。目前已有学者在提升演化博弈模型速度的问题上进行探索,如参考社交网络中行为人的模仿特性,构建以模仿为信息交互模式的改进复制动态模型14;或者从群体中策略激励机制和反思学习机制角度入手,考虑优势策略在博弈群体中的扩散现象15,提出改进复制动态方程。上述模型能够有效提升演化博弈的求解速度,但是均认为防御方具备理想态势感知能力,即在对攻击方的情报获取中不考
17、虑干扰诱骗或误报漏报,使得模型的应用价值受限。在抗干扰防诱骗方面,博弈框架下目前有两种解决思路,一种是结合动态目标防御技术和马尔可夫(Markov)决策理论,将动态博弈过程离散化处理,分析上一阶段诱骗、误差信号对下一阶段决策的影响6;另一种是在群体进行复制动态演化的过程中添加随机扰动,将个体之间的认知能力差异16或者入侵检测系统的虚警漏警现象17模型化,分析干扰误差对演化稳定结果的影响。总结相关工作可知,如何在实际网络防御中态势感知能力和决策时间有限的条件下,构建兼具误差容忍度和决策时效性的演化博弈模型,使得防御策略可行可信,是当前研究中亟待解决的难题。3 改进演化博弈模型3.1 改进演化博弈
18、模型构建参考文献1821中演化博弈模型的形式化定义,提出网络攻防博弈基本假设和改进演化博弈模型。假设1网络攻防博弈的信息环境是不完全信息环境。在不完全信息条件下,攻防双方能够观测到对手的博弈信念,但无法获知策略的收益。假设2网络攻防博弈是对称博弈,所有博弈参与者根据其自身属性分为网络攻击方和网络防御方。假设3网络攻防博弈的博弈参与者遵循有限理性原则。所有博弈参与者的目的是策略收益最大化。假设4网络攻防博弈以异质群体演化博弈的形式进行。博弈中群体代表同一攻防属性博弈参与者的集合;子群体代表在同一群体中选择相同博弈策略的博弈参与者的集合。(N,S,P,PA,U,P)定义1改进演化博弈模型(Impr
19、ovedEvolu-tionaryGameModel,IEGM)可表示为7元有序组,其中N=(N1,N2,.,Nm)N=(NA,ND)NANA=(NA1,NA2,.,NAj)NA1,NA2,.,NAjND(1)为异质群体博弈参与者空间。结合假设2,可设定。其中,是攻击方博弈参与者总空间,,是攻击方博弈参与者子群体;是ND=(ND1,ND2,.,NDi)ND1,ND2,.,NDi防御方博弈参与者总空间,,是防御方博弈参与者子群体。S=(SA,SD)SASA=(SA1,SA2,.,SAj)SA1,SA2,.,SAjSDSD=(SD1,SD2,.,SDi)SD1,SD2,.,SDi(2)为攻防博弈参
20、与者群体的混合策略空间。其中,是攻击方参与者纯策略总空间,是攻击方参与者子群体选择的纯策略;是防御方参与者纯策略总空间,是防御方参与者子群体选择的纯策略。P=(PA,PD)PAPA=(PA1,PA2,.,PAj)PAjSAjPDPD=(PD1,PD2,.,PDi)PDiSDi(3)为实际博弈信念空间。其中,是攻击方实际博弈信念集合,是实际选择策略的概率;是防御方实际博弈信念集合,是实际选择策略的概率。PA=(PA1,PA2,.,PAj)PAjSAj(4)为攻击方经验博弈信念空间,是防御方判断攻击方选择策略的概率。U=(UA,UD)UAUA=(UA1,UA2,.,UAj)UAjNAjSAjUAU
21、A=jm=1PAm UAm(1 m j)UDUD=(UD1,UD2,.,UDi)UDiNDiSDiUDUD=in=1PDn UDn (1 n i)UDi=1UDi 1UDi 0)e(t)0PQe(t)=0定义9-邻域是以理想纳什均衡点为圆心,为半径的闭区间。当时,由于短期预测是根据历史经验的反馈调节,不影响经典复制动态方程的稳定性。此时,博弈模型收敛至理想纳什均衡解集。当时,根据函数的柯西收敛准则,提出以下定理:|e(t)|k(PAj(t0),PDi(t0)k(PAj,PDi)kk定理1存在实数,当时,对于任意都有落在的-邻域内。(PAj,PDi)e(t)|e(t)|t0(PAj(t0),PD
22、i(t0)(PAj(t0),PDi(t0)e(t)0(PAj,PDi)(PAj,PDi)k(PAj,PDi)kk(PAj(t0),PDi(t0)kk minkkk(PAj,PDi)k(PAj,PDi)k(PAj(t0),PDi(t0)kk|e(t)|e(t)|k(PAj(t0),PDi(t0)k(PAj,PDi)kk证明对于任意初始博弈信念对,当其存在观测误差()时,经过时间 以及式(6)对应的演化过程,都会得到实际博弈信念输出 解,且落 在时对应的理想纳什均衡解的-邻域内。则对于可列举的,必有对应的,;选 取,由于和,一一对应,因此当时,处于所有内部,此时都落在的-邻域内。证毕(PA(t0)
23、,PD(t0)k根据收敛的定义,可以认为此时模型收敛,所得实际解是稳定可信的。4.2 网络防御决策方法经典演化博弈的纳什均衡解中一般包含纯策略表 1 原子攻击策略序号原子攻击动作名称所利用漏洞编号感染概率Acost攻击成本a1Web资源管理漏洞攻击CNNVD-202104-9890.780.20a2Oracle数据库输入验证攻击CNNVD-202107-14240.890.15a3Word插件路径遍历攻击CNNVD-202109-7010.930.10a4MicrosoftEdge跨站脚本攻击CNNVD-202109-1060.730.25表 2 原子防御策略序号原子防御动作名称防御动作描述D
24、cost操作代价防御效果b1设置黑洞路由利用防火墙修改路由表到不可达IP0.300.59b2丢弃可疑数据包利用IDS进行包过滤0.100.25b3限制用户活动限制可疑用户的权限及活动0.500.83b4格式化硬盘格式化硬盘去除所有恶意代码0.800.991974电子与信息学报第45卷纳什均衡和混合策略纳什均衡。在混合策略纳什均衡中,不同防御策略以概率的形式出现,这种不确定性使得混合策略纳什均衡解在实际网络防御行动决策中的可操作性不强3。基于确定性决策原则,设计了一种最优防御纯策略选择算法,如算法1所示。(x)5O(m+n)4)O(mn)O(n4)O(n2)nSD(Best)算法的时间复杂度主要
25、取决于步骤(4)。在步骤(4)中,算法借助MATLAB中的ode45函数求解微分方程,ode45函数采用4阶-5阶Runge-Kutta算法,截断误差为,时间复杂度为。算法的空间复杂度主要取决于步骤(2),攻防博弈收益矩阵占用了。考虑到本文中攻防博弈的对称关系,本算法整体的时间复杂度为,空间复杂度为。在实际计算中,可选防御策略的数量 是决定算法复杂程度的关键因素。算法所得最优防御纯策略集合可以为确定性网络防御决策提供科学依据,提升防御决策的可信度。5 仿真分析5.1 实验环境描述参考经典网络攻防博弈实验环境设置22,部署一个实验网络系统。其拓扑结构如图2所示。实验环境包括网络防御设备、Web服
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 改进 演化 博弈 模型 网络 防御 决策 方法
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。