王增光，盧 昱，李 璽

（1.國防大學(xué)聯(lián)合作戰(zhàn)學(xué)院，石家莊 050084；2.陸軍工程大學(xué)石家莊校區(qū)，石家莊 050003）

0 引言

軍事信息網(wǎng)絡(luò)是網(wǎng)絡(luò)中心戰(zhàn)的重要組成部分，為軍隊(duì)實(shí)施各項(xiàng)軍事任務(wù)提供平臺(tái)支撐和信息保障，其安全性是影響現(xiàn)代化戰(zhàn)爭勝負(fù)的重要因素之一［1］。復(fù)雜多變的戰(zhàn)場態(tài)勢使得軍事信息網(wǎng)絡(luò)的攻防對(duì)抗更加激烈，軍事信息網(wǎng)絡(luò)面臨的安全威脅更加嚴(yán)重［2］。因此，如何更好地對(duì)軍事信息網(wǎng)絡(luò)進(jìn)行防御是我軍信息化建設(shè)過程中亟需解決的問題。

為了確保網(wǎng)絡(luò)的安全，不同的網(wǎng)絡(luò)安全技術(shù)如身份認(rèn)證、防火墻、入侵檢測等被廣泛應(yīng)用到網(wǎng)絡(luò)安全防御中。但這些安全技術(shù)主要是針對(duì)網(wǎng)絡(luò)中單方面的安全威脅，基于先驗(yàn)的知識(shí)和經(jīng)驗(yàn)進(jìn)行片面、靜態(tài)的被動(dòng)安全防御，只有在檢測到攻擊后才能做出響應(yīng)，但此時(shí)網(wǎng)絡(luò)系統(tǒng)可能已經(jīng)受到了嚴(yán)重的損失?，F(xiàn)有被動(dòng)式的網(wǎng)絡(luò)安全防御技術(shù)缺乏主動(dòng)性和對(duì)攻擊的震懾能力，難以有效確保軍事信息網(wǎng)絡(luò)的安全［3］。

在網(wǎng)絡(luò)攻防對(duì)抗中，如果防守方能夠?yàn)榉烙呗赃x取合適的偽裝信號(hào)并通過主動(dòng)釋放偽裝信號(hào)來影響攻擊方的行動(dòng)，屬于主動(dòng)的網(wǎng)絡(luò)安全防御方式，能夠獲得更好的防御效果［4］。但是，如何在不完全信息條件下分析網(wǎng)絡(luò)攻防雙方的對(duì)抗過程，并為防守方選取合適的偽裝信號(hào)是一個(gè)非常復(fù)雜的問題，目前在這方面的研究成果極其有限。

本文基于信號(hào)博弈理論對(duì)該問題進(jìn)行了嘗試性研究，提出了一種最優(yōu)偽裝信號(hào)選取方法。該方法基于信號(hào)博弈對(duì)網(wǎng)絡(luò)攻防過程進(jìn)行建模；在精煉貝葉斯納什均衡分析的基礎(chǔ)上，設(shè)計(jì)了最優(yōu)偽裝信號(hào)的選取方法。在網(wǎng)絡(luò)安全威脅發(fā)生前，通過主動(dòng)釋放偽裝信號(hào)達(dá)到欺騙、威懾攻擊方的目的，實(shí)現(xiàn)對(duì)軍事信息網(wǎng)絡(luò)的主動(dòng)防御，為軍事信息網(wǎng)絡(luò)的安全防御提供一種新的思路。

1 網(wǎng)絡(luò)攻防博弈模型

1.1 網(wǎng)絡(luò)攻防過程分析

在網(wǎng)絡(luò)中心戰(zhàn)環(huán)境下，攻防雙方圍繞戰(zhàn)場的制信息權(quán)展開網(wǎng)絡(luò)攻防，雙方采取各種手段以求獲得最大的利益［5］。防守方在選取策略進(jìn)行網(wǎng)絡(luò)安全防御時(shí)為了達(dá)到更好的防御效果，可以有針對(duì)性地主動(dòng)釋放真實(shí)或虛假信號(hào)對(duì)所選防御策略進(jìn)行偽裝，以求達(dá)到欺騙或震懾攻擊方的目的。由于戰(zhàn)場環(huán)境的保密性，攻擊方無法知道防守方采取了何種防御策略，但在攻擊前期能夠通過偵查等手段搜集防守方的相關(guān)信息形成對(duì)防守方選取防御策略的初始判斷；在觀察到防御策略釋放的信號(hào)后，修正對(duì)防御策略的初始判斷即形成對(duì)防御策略的后驗(yàn)概率，據(jù)此選取合適的攻擊策略。防守方在對(duì)采取的策略進(jìn)行偽裝前，知道攻擊方能夠根據(jù)觀測到的信號(hào)推斷己方采取的防御策略，會(huì)盡量加大信號(hào)的迷惑性。

信號(hào)博弈是研究具有斗爭關(guān)系的個(gè)體在不完全信息條件下通過信號(hào)傳遞機(jī)制動(dòng)態(tài)更新推斷信念，從而采取最優(yōu)行動(dòng)的數(shù)學(xué)理論和方法［6］。信號(hào)博弈的基本原理是信號(hào)發(fā)送方是行動(dòng)的先行者，發(fā)出己方類型的行動(dòng)信號(hào)；信號(hào)接收方是跟隨者，根據(jù)觀測到的信號(hào)選取行動(dòng)。

由上述分析可知，軍事信息網(wǎng)絡(luò)的偽裝信號(hào)選取問題能夠通過信號(hào)博弈理論進(jìn)行解決。將防守方定義為信號(hào)的發(fā)送方，攻擊方定義為信號(hào)的接收方。在偽裝信號(hào)的作用下，攻防雙方進(jìn)行對(duì)抗博弈，通過精煉貝葉斯納什均衡分析選取最優(yōu)偽裝信號(hào)。

1.2 信號(hào)博弈模型的定義

2 攻防收益的量化

軍事信息網(wǎng)絡(luò)中攻防雙方的收益量化情況是后續(xù)進(jìn)行信號(hào)博弈分析的基礎(chǔ)，直接影響攻防雙方的行動(dòng)選擇。因此，對(duì)網(wǎng)絡(luò)攻防雙方的收益進(jìn)行合理的量化是十分有必要的。在考慮偽裝成本的基礎(chǔ)上，從攻防行動(dòng)對(duì)網(wǎng)絡(luò)設(shè)備安全屬性影響的角度出發(fā)，對(duì)攻防收益進(jìn)行量化。

定義1 信號(hào)偽裝成本。信號(hào)偽裝是指防守方在確定防御策略后對(duì)防御策略進(jìn)行偽裝，釋放具有迷惑性質(zhì)的虛假信號(hào)，以達(dá)到欺騙或震懾攻擊方的目的。實(shí)現(xiàn)上述偽裝所付出的代價(jià)被稱為信號(hào)偽裝成本，用SC 表示。SC 可以通過所選防御策略的實(shí)際防御強(qiáng)度等級(jí)與偽裝防御強(qiáng)度等級(jí)之間的差距進(jìn)行量化，采用區(qū)間［0，10］內(nèi)的整數(shù)值表達(dá)。防御策略的實(shí)際防御效果和偽裝防御效果的分級(jí)與賦值，可以參考文獻(xiàn)［7］進(jìn)行，偽裝信號(hào)與策略的真實(shí)防御效果一致時(shí)，SC 為零。

定義2 攻防收益。攻擊收益反映了攻擊方進(jìn)行一次攻擊所能獲得的收益。無論攻擊成功與否，攻擊方都能獲得收益。當(dāng)攻擊成功時(shí)，獲得直接收益；攻擊失敗時(shí)，能夠得到相關(guān)防御信息，獲得間接收益。攻擊收益可以通過網(wǎng)絡(luò)設(shè)備價(jià)值，攻擊損害度，攻擊成功概率和折扣因子來量化，上述概念的定義詳見文獻(xiàn)［8］。攻擊收益的量化公式為：

防御收益反映了防守方進(jìn)行一次安全防御所能獲得的收益，可以通過網(wǎng)絡(luò)設(shè)備價(jià)值，攻擊損害度，攻擊成功率和信號(hào)偽裝成本進(jìn)行量化。防御收益的量化公式為：

其中，Dj為防守方選取的策略，θl為防御策略所釋放的偽裝信號(hào)，Ai為攻擊方選取的策略，為防守方檢測到攻擊的概率，βnm為防御成功的概率，μm為折扣因子，R（Cb）為網(wǎng)絡(luò)設(shè)備的安全屬性，W（Cb）為攻擊行為對(duì)安全屬性的損害度，B（an）為攻擊策略中攻擊行動(dòng)的成本，B（dm）為防御策略中防御行動(dòng)的成本，SCl為防御策略Dl的偽裝成本。

3 最優(yōu)偽裝信號(hào)選取

在軍事信息網(wǎng)絡(luò)的攻防對(duì)抗過程中，攻防雙方的最終目的均為最大化己方收益。在此原則指導(dǎo)下，攻防雙方會(huì)達(dá)到一個(gè)均衡，任何一方改變當(dāng)前的行動(dòng)都會(huì)使己方的收益受損。因此，可以通過對(duì)均衡狀態(tài)分析來選取防守方的最優(yōu)偽裝信號(hào)。

3.1 精煉貝葉斯納什均衡求解

3.2 最優(yōu)偽裝信號(hào)選取及對(duì)比

在上述分析的基礎(chǔ)上，設(shè)計(jì)了基于信號(hào)博弈的最優(yōu)偽裝信號(hào)選取算法。

博弈模型的設(shè)計(jì)是否符合網(wǎng)絡(luò)實(shí)際是基于博弈理論的網(wǎng)絡(luò)安全防御技術(shù)可用性的重要評(píng)價(jià)指標(biāo)。為了說明本文所提出方法的優(yōu)越性，從博弈假設(shè)、博弈類型、發(fā)送信號(hào)、收益量化和模型的通用性等方面將本文提出的方法與文獻(xiàn)［11-15］提出的方法進(jìn)行對(duì)比，對(duì)比結(jié)果如表1 所示。與上述文獻(xiàn)相比，本文基于不完全信息動(dòng)態(tài)博弈理論進(jìn)行博弈模型的設(shè)計(jì)，考慮了信息不對(duì)等性和攻防行動(dòng)順序?qū)W(wǎng)絡(luò)攻防過程的影響，更加符合網(wǎng)絡(luò)攻防對(duì)抗的實(shí)際情況。從攻防行動(dòng)對(duì)網(wǎng)絡(luò)設(shè)備安全價(jià)值影響的角度出發(fā)，設(shè)計(jì)了詳細(xì)的收益量化方法，保證了納什均衡分析的準(zhǔn)確、可信；而文獻(xiàn)［11］沒有給出策略收益的量化方法，文獻(xiàn)［13-14］給出的量化方法主觀性較強(qiáng)，文獻(xiàn)［15］給出的量化方法較為粗糙，可重復(fù)性差。模型中的攻防策略集合和偽裝信號(hào)集合均可以擴(kuò)展至n 中，不僅適用于軍事信息網(wǎng)絡(luò)的偽裝信號(hào)選取，還適用于其他場景下的安全防御，模型的通用性較好；而文獻(xiàn)［11-13］存在狀態(tài)爆炸問題，只適用于小規(guī)模網(wǎng)絡(luò)，文獻(xiàn)［14］僅適用于具有特定類型的攻防場景，文獻(xiàn)［15］沒有給出均衡的求解方法，限制了模型的實(shí)用性。

表1 相關(guān)工作比較

在網(wǎng)絡(luò)攻防對(duì)抗過程中，信號(hào)機(jī)制是影響攻防雙方行動(dòng)選擇的重要因素。攻擊方根據(jù)觀察到的信號(hào)來選取合適的攻擊策略；防守方通過偽裝信號(hào)來震懾或誘導(dǎo)攻擊方，能夠起到更好的防御效果。文獻(xiàn)［11-14］基于靜態(tài)博弈理論設(shè)計(jì)網(wǎng)絡(luò)攻防模型，沒有考慮到信號(hào)機(jī)制對(duì)網(wǎng)絡(luò)攻防過程的影響，不符合網(wǎng)絡(luò)攻防實(shí)際情況。文獻(xiàn)［15］將攻擊方設(shè)定為信號(hào)的發(fā)送方，防守方通過觀察攻擊方的行動(dòng)信號(hào)來更新對(duì)攻擊方類型地判斷，進(jìn)而提高入侵檢測的成功概率。但在實(shí)際的網(wǎng)絡(luò)安全防御中，防守方主動(dòng)進(jìn)行信號(hào)偽裝能夠起到更好的防御效果。因此，本文將防守方設(shè)定為信號(hào)的發(fā)送方，以防御策略的集合作為發(fā)送方的類型空間，在對(duì)防御策略進(jìn)行偽裝的基礎(chǔ)上進(jìn)行攻防對(duì)抗，能夠有效提高軍事信息網(wǎng)絡(luò)的主動(dòng)防御能力。

4 仿真實(shí)驗(yàn)與分析

為了驗(yàn)證本文提出的基于信號(hào)博弈的最優(yōu)偽裝信號(hào)選取方法的合理性和可行性，構(gòu)建了如圖1所示的網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境進(jìn)行實(shí)驗(yàn)。網(wǎng)絡(luò)安全攻擊來至于外部網(wǎng)絡(luò)，軍用防火墻將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開，僅允許外部主機(jī)訪問郵件服務(wù)器、網(wǎng)絡(luò)服務(wù)器和內(nèi)部主機(jī)，內(nèi)部網(wǎng)絡(luò)的郵件服務(wù)器、網(wǎng)絡(luò)服務(wù)器、主機(jī)和文件服務(wù)器能夠?qū)?shù)據(jù)庫服務(wù)器進(jìn)行訪問。攻擊方的最終目的是獲得數(shù)據(jù)庫服務(wù)器的root訪問權(quán)限，初始時(shí)刻攻擊方無法直接訪問數(shù)據(jù)庫，但能夠通過一系列的原子攻擊實(shí)現(xiàn)上述目的。實(shí)驗(yàn)通過預(yù)置腳本的方式，利用Low Orbit Ion Canon、UDP Flood、Acunetix 等網(wǎng)絡(luò)攻擊軟件對(duì)實(shí)驗(yàn)網(wǎng)絡(luò)進(jìn)行半自動(dòng)化攻擊，網(wǎng)路安全防御手段通過人工方式進(jìn)行部署。

圖1 實(shí)驗(yàn)環(huán)境的網(wǎng)絡(luò)拓?fù)鋱D

通過對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行分析得到攻擊方可能采取的攻擊策略。為了簡化分析，實(shí)例中僅選取兩個(gè)攻擊策略進(jìn)行說明，如表2 所示，其中“√”表示可選攻擊策略所包含的攻擊行動(dòng)，攻擊成本根據(jù)實(shí)施攻擊的難易程度進(jìn)行設(shè)定。

表2 攻擊方的攻擊策略集合

參照MIT 林肯實(shí)驗(yàn)室對(duì)網(wǎng)絡(luò)攻防的分類，根據(jù)防御行動(dòng)所帶來的防御效果和所需成本的不同形成了防御策略庫，選取了其中具有代表性的高強(qiáng)度防御策略和低強(qiáng)度防御策略各一個(gè)進(jìn)行分析。偽裝信號(hào)空間為Θ= {θ1，θ2}，θ1為高等級(jí)偽裝信號(hào)，θ2為低等級(jí)偽裝信號(hào)。防御策略的集合如表3 所示，其中“√”表示防御策略由以下防御行動(dòng)組成，防御成本根據(jù)實(shí)施防御的難易程度進(jìn)行設(shè)定。

表3 防守方的防御策略集合

表4 攻擊行動(dòng)的相關(guān)參數(shù)

根據(jù)網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)環(huán)境中的重要性和所提供的服務(wù)，將內(nèi)網(wǎng)主機(jī)的安全屬性價(jià)值設(shè)為（10，15，15），郵件服務(wù)器的安全屬性價(jià)值設(shè)為（18，16，18），網(wǎng) 絡(luò) 服 務(wù) 的 安 全 屬 性 價(jià) 值 設(shè) 為（20，20，22），文件服務(wù)器的安全屬性價(jià)值設(shè)為（18，20，22），數(shù)據(jù)庫服務(wù)器的安全屬性價(jià)值設(shè)為（25，28，30），信號(hào)的偽裝成本設(shè)為（2，3；4，1）。

在確定攻防雙方的策略集合和相關(guān)參數(shù)后，根據(jù)收益計(jì)算公式量化攻防雙方收益，形成網(wǎng)絡(luò)攻防博弈樹，如圖2 所示。

通過計(jì)算得到不同信息集上的后驗(yàn)概率推斷為p*=0.353，q*=0.447。根據(jù)3.2 節(jié)中的精煉貝葉斯納什均衡求解步驟可得：

圖2 網(wǎng)絡(luò)攻防博弈樹

同理，可對(duì)其他情況下的精煉貝葉斯納什均衡進(jìn)行分析。

5 結(jié)論

本文在分析軍事信息網(wǎng)絡(luò)攻防過程的基礎(chǔ)上，基于信號(hào)博弈理論設(shè)計(jì)了最優(yōu)偽裝信號(hào)選取方法，解決了傳統(tǒng)安全技術(shù)僅能進(jìn)行被動(dòng)防御的問題。實(shí)驗(yàn)結(jié)果表明，本文提出的方法能夠?yàn)榉烙呗赃x取最優(yōu)偽裝信號(hào)，從而實(shí)現(xiàn)網(wǎng)絡(luò)的主動(dòng)防御，對(duì)提高軍事信息網(wǎng)絡(luò)的安全防護(hù)能力具有重要意義。下一步將在此基礎(chǔ)上，對(duì)多階段攻防對(duì)抗情形下最優(yōu)偽裝信號(hào)的選取問題進(jìn)行研究。