池永勝

摘 要：在網(wǎng)絡(luò)的安全評(píng)估中關(guān)于攻防博弈的模型應(yīng)用，能夠幫助網(wǎng)絡(luò)系統(tǒng)的管理員發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)中潛在安全隱患與網(wǎng)絡(luò)威脅，而且網(wǎng)絡(luò)系統(tǒng)管理者可按照不同安全需要來(lái)選擇并實(shí)施最佳的防御對(duì)策，這樣不僅可以降低網(wǎng)絡(luò)安全事故發(fā)生率，而且能夠?yàn)橄嚓P(guān)用戶提供優(yōu)質(zhì)服務(wù)。文章就攻防博弈的模式定義進(jìn)行分析，探討攻防博弈模型層次化的網(wǎng)絡(luò)安全技術(shù)，以期提高網(wǎng)絡(luò)安全的防范效率。

關(guān)鍵詞：攻防博弈模型；層次化；網(wǎng)絡(luò)安全評(píng)估

1 網(wǎng)絡(luò)攻防的博弈模型具體定義

通常網(wǎng)絡(luò)攻防博弈的模型ADG為三元組合，也就是（N、S、U）。第一種定義N等于（P1、P2、P3 Pn）是網(wǎng)絡(luò)攻防防御局中的全部集合，而博弈決策主體、策略制定者不僅具有共同利益與目標(biāo)的團(tuán)體，而且可作為防御系統(tǒng)或者是攻擊者，若攻擊者數(shù)量超過(guò)2，代表可以進(jìn)行分布協(xié)同的攻擊；若防御系統(tǒng)數(shù)據(jù)超過(guò)2，代表各個(gè)防御系統(tǒng)進(jìn)行協(xié)同的防御。第二種定義S等于（S1、S2、S3 Sn）是局中人的策略全部集合，可作為局中人員博弈工具與手段，其中，每個(gè)人員效用的函數(shù)集，其中效用值為R，可表示雙方在博弈中的效益水平，如果策略不同，所產(chǎn)生的收益就會(huì)存在差異，網(wǎng)絡(luò)攻防效用的函數(shù)=回報(bào)和攻防成本和，具體從圖1中可以看出。這種模型是計(jì)算機(jī)網(wǎng)絡(luò)攻防的博弈常用模型，通常在分析過(guò)程中需要對(duì)模型進(jìn)行簡(jiǎn)化，也就是只需要考慮n等于2的情況。在ADG等于（（Pa、Pd），（Sa、Sd），（Ua、Ud））式中，Pd主義代表防御系統(tǒng)，Pa代表攻擊者，Sa則為攻擊策略的集合，Sd為防御策略的集合，通常效用函數(shù)的集合可作為矩陣U，同時(shí)防御者與攻擊者策略選取需要考慮雙方目標(biāo)最大化的收益[1]。

圖1

在網(wǎng)絡(luò)攻擊的環(huán)境中，網(wǎng)絡(luò)攻擊和防御雙方關(guān)系是對(duì)抗關(guān)系，在博弈中，雙方不會(huì)將決策信息告訴另一方，最大限度地減少損失，攻質(zhì)量和目標(biāo)資源盡可能為了獲得利潤(rùn)最大化，如圖2所示。網(wǎng)絡(luò)攻擊和防御游戲矩陣。在特殊情況下，容易存在網(wǎng)絡(luò)攻防雙方收益與損失不相等的情況，若網(wǎng)絡(luò)攻防雙方收益符合Ua+Ud等于0，表示零和攻防的博弈，若Ua+Ud不等于零，則表示非零和攻防的博弈，再按照各種主動(dòng)防御的策略選擇算法來(lái)分析。

圖2

2 攻防博弈模型層次化網(wǎng)絡(luò)的安全技術(shù)

（1）防火墻的技術(shù)。防火墻技術(shù)是被動(dòng)訪問(wèn)、控制的技術(shù)，也屬于傳統(tǒng)的網(wǎng)絡(luò)密保技術(shù)，防火墻技術(shù)一般部署在外網(wǎng)與內(nèi)網(wǎng)交界處，能夠有效監(jiān)測(cè)外部網(wǎng)、內(nèi)部網(wǎng)間的數(shù)據(jù)訪問(wèn)與傳輸。防火墻技術(shù)存在于內(nèi)部網(wǎng)絡(luò)，比較可靠與安全；如果將防火墻技術(shù)用來(lái)防范外來(lái)網(wǎng)的威脅，這會(huì)使防火墻技術(shù)無(wú)法防范內(nèi)部網(wǎng)絡(luò)攻擊，不能準(zhǔn)確檢測(cè)惡意的代碼，只可過(guò)濾可疑網(wǎng)絡(luò)的流量，大部分入侵難以完全過(guò)濾。

（2）關(guān)于入侵保護(hù)的技術(shù)。計(jì)算機(jī)網(wǎng)絡(luò)入侵保護(hù)的技術(shù)可以檢測(cè)已知或是未知攻擊體系，可提供主動(dòng)防御保護(hù)的能力。其中入侵保護(hù)防御的技術(shù)可以技術(shù)攔截惡意入侵主機(jī)的行為與惡意網(wǎng)絡(luò)的流量，防止因?yàn)橐陨瞎粽叨a(chǎn)生損失。其中，入侵保護(hù)的技術(shù)主要包含主機(jī)入侵的保護(hù)防御系統(tǒng)、網(wǎng)絡(luò)入侵防御保護(hù)的系統(tǒng)[2]。

（3）密碼的技術(shù)。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全來(lái)說(shuō)，密碼技術(shù)至關(guān)重要，能夠有效保障信息可用性、真實(shí)性、完整性與機(jī)密性，在計(jì)算機(jī)網(wǎng)絡(luò)密碼技術(shù)發(fā)展的過(guò)程中，經(jīng)常會(huì)把密碼技術(shù)分成密碼的編碼學(xué)與密碼的分析學(xué)兩個(gè)部分。密碼的編碼學(xué)一般是分析在信息編碼過(guò)程中實(shí)現(xiàn)網(wǎng)絡(luò)信息的屏蔽，而密碼的分析學(xué)是通過(guò)密文來(lái)獲得信息。計(jì)算機(jī)信息密碼技術(shù)是網(wǎng)絡(luò)的信息安全防御技術(shù)，在網(wǎng)絡(luò)發(fā)展中，有廣闊的應(yīng)用市場(chǎng)與發(fā)展的前景。

（4）安全防御的模型。a.Chiness Wall的模型。Chiness Wall的模型提出主要是為更好地控制各種咨詢業(yè)務(wù)，目的就是為避免可能造成雙方利益損失的信息流，通常Chiness Wall的模型可以把單位信息分成三個(gè)層次來(lái)儲(chǔ)存：COI類(lèi)、數(shù)據(jù)對(duì)象與公司數(shù)據(jù)的集合。通常情況下，單個(gè)用戶不可以對(duì)COI類(lèi)數(shù)據(jù)，換句話說(shuō)，若COIi為公司利益的沖突類(lèi)，用戶訪問(wèn)COI類(lèi)公司的信息以后，就不可以訪問(wèn)COIi中其他信息。b.BLP的模型。在BLP模型中的每個(gè)對(duì)象將被分為各種安全類(lèi)別，主要標(biāo)簽也稱(chēng)為安全許可，對(duì)象標(biāo)簽被稱(chēng)為的安全級(jí)別。在正常情況下，BLP模型包含四個(gè)訪問(wèn)模式，通常為執(zhí)行、讀、寫(xiě)和讀寫(xiě)只有四個(gè)。為了確保信息的機(jī)密性，將訪問(wèn)BLP控制策略設(shè)置為不下寫(xiě)、不上讀。在實(shí)際操作的過(guò)程中，一些低級(jí)保密的主體不可以讀取高級(jí)的保密客體內(nèi)容，高級(jí)保密的主體不可以對(duì)低級(jí)保密的客體進(jìn)行操作。

3 應(yīng)用攻防博弈的模型優(yōu)勢(shì)

在當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全的發(fā)展中，網(wǎng)絡(luò)攻擊和防御博弈模型技術(shù)與傳統(tǒng)的防御模型相比，主要有以下優(yōu)點(diǎn)：首先，網(wǎng)絡(luò)攻擊和防御模型顯示的應(yīng)用程序，可以深刻反映攻擊和防御的雙方關(guān)系，充分展示攻擊和防御雙方的戰(zhàn)略合作、依存性與對(duì)立性的關(guān)系。其次，攻防博弈的模型主要從網(wǎng)絡(luò)攻防雙方防御措施進(jìn)行考慮，這樣不僅可以取得較好的防御效果，而且能夠使網(wǎng)絡(luò)信息防御更加全面與有效[3]。最后，網(wǎng)絡(luò)攻防博弈的模型在網(wǎng)絡(luò)安全應(yīng)用的過(guò)程中，融入數(shù)據(jù)信息的安全理論，可以有針對(duì)性地制定攻防的對(duì)策，清楚推算攻防雙方的利益情況，便于相關(guān)人員選擇主動(dòng)保護(hù)的對(duì)策，促進(jìn)網(wǎng)絡(luò)安全發(fā)展，推動(dòng)層次化的網(wǎng)絡(luò)安全評(píng)估完善。

4 結(jié)束語(yǔ)

總而言之，在選擇網(wǎng)絡(luò)安全的最優(yōu)防御對(duì)策過(guò)程中，需要充分考慮網(wǎng)絡(luò)復(fù)雜性的問(wèn)題，從網(wǎng)絡(luò)攻防的博弈模型層次化信息安全評(píng)估著手，全方面研究網(wǎng)絡(luò)的攻防模型，尋找有效安全防御的模型與技術(shù)，研究攻防博弈模型的主要優(yōu)勢(shì)，同時(shí)完善網(wǎng)絡(luò)攻防的決策全過(guò)程，給攻防雙方攻防動(dòng)態(tài)的領(lǐng)域提供最佳防范的策略，從而保障用戶信息的安全，給用戶提供優(yōu)質(zhì)服務(wù)。

參考文獻(xiàn)

[1]彭亞發(fā).應(yīng)用路由和遠(yuǎn)程訪問(wèn)服務(wù)實(shí)現(xiàn)企業(yè)虛擬專(zhuān)用網(wǎng)技術(shù)的研究[J].商情，2013，23（47）：314-316.

[2]劉烈宏.發(fā)揮國(guó)家隊(duì)作用 構(gòu)建可檢測(cè)、可防控、可替代的網(wǎng)絡(luò)安全和信息化[J].中國(guó)信息安全，2014，14（3）：37-42.

[3]葉健健，文志誠(chéng)，吳欣欣.基于多層次數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)分析方法研究[J].微型機(jī)與應(yīng)用，2015，26（8）：5-7.