基于动态博弈模型的网络拓扑攻击态势感知方法.pdf

1、【信息科学与工程】:./.基于动态博弈模型的网络拓扑攻击态势感知方法刘谦(阜阳职业技术学院 信息与智能制造学院 安徽 阜阳)摘 要:在网络拓扑攻击态势分析过程中 如果仅着眼于防守方 网络态势感知结果误差较大 为此提出基于动态博弈模型的网络拓扑攻击态势感知方法 设置一个固定长度的时间窗口 按照数据流进入联级网络的顺序 建立层次化网络拓扑安全检测方案 根据检测数据 定义一个五元组攻击事件并确定每个元组的权重 同时将所定义的元组与开源威胁情报库中 攻击类型库的各元组进行匹配 找出当前网络中存在的攻击事件 由于攻防双方策略相互依存 所以建立网络攻防动态博弈模型 描述网络拓扑对抗情况 利用马尔可夫决策算

2、法 结合攻防双方的效用、收益和成本 计算出攻击态势感知的量化值 实现网络拓扑攻击态势感知 测试结果表明 所提方法感知到的攻击态势值贴合实际态势值 均方误差仅为.有效降低了网络拓扑攻击态势感知误差关键词:动态博弈 网络攻击态势感知 关联性 威胁觉察 攻防模型中图分类号:文献标志码:文章编号:()网络是信息化时代的沟通纽带 网络技术不断发展 网络用户数量成倍增长 为了承载越来越多的用户 现代网络结构开始变得复杂 在这种环境下 恶意软件、网络病毒等网络攻击行为出现的频率越来越高 所引起的负面影响不断增大为了保证大规模网络的安全运行 学术界开始研究各种网络风险防范策略 而网络拓扑攻击态势感知是目前应用

3、范围最为广泛的网络风险防范技术 但是 现在网络攻击态势感知技术的研究还不够深入 如何准确感知网络拓扑攻击态势 是当前研究人员关注的重点文献 描述了网络情报中所包含的攻击事件 并将其与数据库中现有内容进行匹配 判断当前网络拓扑是否存在攻击行为 并结合博弈论思想 对所存在的攻击行为进行量化评估 生成攻击态势感知结果 但该方法得到的结果与实际态势值差距较大 文献 定义了属性相似度函数与报警相似度函数 并以此为基础建立网络攻击态势模型 并在模型中引入量子遗传算法 针对攻击点布置检测装置 获取入侵信息流 生成攻击态势优化感知结果 但该方法的感知结果也与真实值存在较大偏差 文献 根据网络结构设计了对应的安

4、全数据采集方案 并以决策树算法为基础建立了攻击态势感知模型 根据网络历史攻击数据 定义了 个攻击类别模块 对采集数据进行运算后 得到攻击态势感知结果 但该方法无法动态察觉网络攻击态势 感知结果精度较低为降低网络拓扑攻击态势感知误差 本文设计一种基于动态博弈模型的网络拓扑攻击态势感知方法 为网络攻击态势精准感知提供了有效方法 并基于此方法生成了对应的防御策略 更好地保证了网络安全 网络拓扑攻击态势感知方法.建立层次化网络拓扑安全检测方案网络数据安全检测是攻击态势感知的基础 考虑到当前网络结构复杂性 本文提出一种层次化网第 卷第 期 辽东学院学报(自然科学版).年 月 ().收稿日期:基金项目:安

5、徽省高校自然科学研究重点项目()作者简介:刘谦()男 安徽阜阳人 硕士 讲师 研究方向:计算机网络络拓扑安全检测方案 网络拓扑通过层次化安全检测后 可得到网络整体运行数据 将其作为初步安全检测结果 层次化安全检测的对象为不同层次的网络和主机 分别对其定义一个固定长度的时间窗口 从实时网络数据中提取态势要素 获取攻击事件数据及异常行为面向网络进行安全检测时 根据时间窗内的记录信息 提取网络流数据特征 分析当前网络流量的安全状态 网络流量安全检测结果 ()可以分为正常、攻击和异常三类 表示如下:()()式中:为正常 为网络攻击 为常见攻击类型 为异常 为时间窗长度 为时间窗 为固定长度的时间窗面向

6、主机数据进行安全检测时 在时间窗的辅助下 整合子网数据流 并按照检测对象进行分类记录 请求数据流时 将所有具有相同源端口的数据进行聚合 形成服务应答流 根据服务应答流所包含的特征向量 检测数据的安全状态.设计网络攻击态势觉察方法利用上节初步得到的安全检测结果 ()对攻击态势进行觉察分析时 需要考虑每一种网络拓扑攻击的目的和影响 以此设计对应的网络攻击态势觉察方法 首先 将网络攻击事件描述为一个五元组 每个元组对应一个包含多种威胁属性的威胁分析对象 网络拓扑攻击事件五元组 表示如下:()()式中:为威胁指标 为攻击模式 为工具 为计算机操作系统漏洞确定五元组中的网络拓扑攻击事件后 需要据每个事件

7、属性的出现频率确定该属性的权重单个事件属性出现频率 计算如式()所示:()式中:为 的属性 为外源威胁事件 为威胁事件数量 为 与 出现的次数通常情况下 网络拓扑攻击事件属性出现的次数越多 代表该事件属性重要程度越高 越能反映当前网络的受攻击状态 事件属性相对优越度矩阵为 ()式中 为事件属性相对优越值 通过该值可描述 再基于 计算出每个威胁事件属性的权重值:()根据事件属性权重确定攻击事件对象的权重并按照同样的计算原理 求出其他元组权重 将权重计算结果与开源威胁情报库内各个元组进行关联 各元组权重相似度 计算如下:()式中 为开源威胁情报库中 攻击类型库参考已知网络攻击情报库、安全事件统计数

8、据等 对不同类型攻击的真实威胁概率进行分析 设置权重相似度阈值为.取值范围为 公式()计算结果大于该阈值代表当前网络拓扑攻击事件与历史网络攻击事件特征相符可以觉察出当前网络中存在的攻击事件.构建网络攻防动态博弈模型本研究结合博弈论思想 从攻击和防守 个方面入手 并基于网络攻击态势觉察结果 构建网络攻防动态博弈模型 该模型为一个网络安全分析框架 通过深入分析了网络拓扑结构的攻防矛盾冲突得到攻击态势感知结果 网络拓扑攻击态势博弈模型架构如图 所示辽东学院学报(自然科学版)第 卷 由图 可知 网络拓扑攻击态势博弈模型的参与者主要由攻击方、中立方(网络用户)和防御方三元组构成 网络拓扑攻击态势博弈模型

9、 的三元组数学表达式为 ()()式中:为博弈参与者 为参与者提出的策略集 为大于阈值的攻击事件数量效用函数集合本研究在网络攻防动态博弈模型中引入马尔可夫决策算法 在马尔可夫决策过程中 当攻击行为发生后 攻击者和防守者提出的对策紧密结合 可快速对网络拓扑攻击态势进行感知 为更好地了解攻防对策的动态变化 本研究通过中立方(网络用户)提取网络攻防特性 确定当前攻击态势结果 并将此结果进行量化 马尔可夫决策过程如图 所示.量化攻击态势感知结果本研究从攻守方的成本、收益与效用入手 将上节获取的攻击态势感知结果进行量化攻击成本可通过攻击威胁程度进行计算 通常情况下 攻击成本会随着威胁程度的提高而增大防御成

10、本是防御攻击需要付出的代价量化值 其中 攻击方效用函数 计算公式为 ()第 期 刘 谦:基于动态博弈模型的网络拓扑攻击态势感知方法式中:为 攻 击 者 为 防 御 者 为 收 益 为成本依据博弈双方对立原则 防御方效用函数 计算公式为 ()攻击收益需要考虑攻击成功率、攻击产生的危害等因素 在攻击态势量化计算过程中 参考.标准中的基本指标 对网络危害性 进行评级 其计算公式为 ()()()()式中:为修正因子 为攻击向量 为机密性危害评分 为完整性危害评分 为可用性危害评分结合公式()中的危害评分与攻击向量计算攻击收益:()()式中:为网络攻击系统中的资产价值 为网络攻击成本与攻击收益不同 防御

11、方的收益取决于最终的防御效果 简单来说 攻击收益与防御收益是相对的 可将攻击收益的负值看作防御收益上述参数量化完成后 代入公式()即可得到量化后的攻击效用 其计算公式为 ()式中:为攻击成功率为防御复杂程度按照同样的计算原理 防御效用 的计算公式为 ()将 个效用函数相减 即可求出网络拓扑攻击态势感知量化值 其计算公式为 ()攻击态势量化值即为攻击态势感知结果 描述了网络拓扑结构的危险状态 其取值越大表明网络遭受的攻击严重程度越大 由此完成了网络拓扑攻击态势感知 实验测试与分析.实验环境搭建实验室使用局域网模拟现实网络环境 向网络中添加多台服务器、传感器和 系统计算机 其中 使用子网掩码.划分

12、所有子网 实验网络拓扑结构如图 所示 由图 可知 为了便于模拟网络拓扑攻击行为 整个实验网络划分为防守方网络、中立方网络辽东学院学报(自然科学版)第 卷和攻击方网络 个部分 防守方网络负责承受攻击行为并进行防御 攻击方网络则是利用各种网络软件实施攻击.网络攻击行为设定本次实验针对.网段的局域网进行攻击 为了满足网络安全事件和攻击流量的留存时间要求 同时能够更全面地对网络攻击进行综合性评估 将捕获到的该网段前 个月的网络攻击流量数据作为实验数据 攻击者网络模拟攻击行为主要包括 (拒绝服务)攻击、漏洞攻击、攻击及渗透攻击 种.威胁觉察在威胁觉察过程中 选取 攻击类型库中常见攻击模式数据集描述外源威

13、胁事件 根据 攻击类型库不同层级的分类结构 设置外源威胁事件编号为、和 依次对应上文 种攻击行为 以此进行网络攻击威胁判断在实际操作过程中 深入分析 种攻击行为事件五元组的属性权重 设定模糊优选阈值为.以事件威胁指标为例 其包含的 个属性出现频次统计结果见表 表 威胁指标的属性出现频次统计结果属性 编号出现频次 (拒绝服务)攻击 漏洞攻击 攻击 渗透攻击攻击指标名称指标类型威胁指标的检测模式 基于表 的统计数据 根据公式()计算出表 中攻击指标名称、指标类型和威胁指标的检测模式 个属性的权重 分别为.、.和.按照同样的方式统计其他元组属性出现频次 并获取其余各元组属性权重 将所有属性权重计算结

14、果进行综合分析 最终确定攻击事件五元组的权重分别为.、.、.、.、.确定各元组权重后 计算出实验数据和外源威胁情报之间的攻击事件权重相似度为.小于预先设置的模糊优选阈值.代表当前网络内部包含攻击威胁信息 需要进一步感知分析.攻击态势感知结果分析实验期间共觉察到 次小于模糊优选阈值的网络攻击威胁事件 设置防御攻击需要付出的代价量化值为 得到不同时刻网络拓扑攻击态势量化值统计结果 如图 所示 由图 可知 绝大部分时刻的网络拓扑攻击态势感知值都低于 表明当前网络还处于安全状态 可以较好地应对这些网络攻击 但在:时感知态势值为.超出临界阈值表明此时攻 第 期 刘 谦:基于动态博弈模型的网络拓扑攻击态势

15、感知方法击行为可能会对网络造成严重影响需要管理员重视 从攻击态势感知结果可以看出本文方法具有可行性有助于正确描述网络攻击态势值变化情况.感知方法性能对比将文本方法与基于应用集分析的感知方法(文献)、基于层次化分析的感知方法(文献)、基于数据融合的感知方法(文献)进行对比分析 对比结果如图 所示 本实验选用均方误差()作为评价指标 衡量不同方法感知结果的精确性 计算公式为()式中:为均方误差 为网络攻击感知总次数为第 次感知得到的网络拓扑攻击态势值 为实际态势值应用公式()对图 和图 所示的攻击态势感知量化值进行计算 得到实际态势法的均方误差为.本文方法的均方误差为.其他种方法的均方误差分别为.

16、、.和.本文方法的态势量化值与实际值最为贴近 说明本文法具有更高的精确性 结语为了更好地防范网络攻击 提升网络安全 本研究从攻击方、防御方及中立方的动态行为入手提出一种结合动态博弈模型的攻击态势感知方法实验结果表明该方法能够更准确地评估网络安全状态 从而感知当前攻击态势 将本文方法进行推广应用 有助于发现和预防网络攻击参考文献:陈龙 吕磊 杨旭东.基于改进 的灰色关联网络安全态势评估方法.电讯技术 ():.张克君 郑炜 于新颖 等.基于 模型的网络安全态势要素识别研究.湖南大学学报(自然科学版)():.张红斌 尹彦 赵冬梅 等.基于威胁情报的网络安全态势感知模型.通信学报 ():辽东学院学报(

17、自然科学版)第 卷.耿方方 王昂.基于量子遗传算法的网络安全态势感知研究.计算机仿真 ():.周莉 李静毅.基于决策树算法的联级网络安全态势感知模型.计算机仿真 ():.李文.基于反向传播算法的网络安全态势信息识别:评 网络安全态势感知.中国科技论文 ():.杨锦溦 杨宇 姚铖鹏 等.基于改进深度卷积生成对抗网络的入侵检测方法.科学技术与工程 ():.常利伟 田晓雄 张宇青 等.基于多源异构数据融合的网络安全态势评估体系.智能系统学报 ():.唐延强 李成海 宋亚飞.基于改进粒子群优化和极限学习机的网络安全态势预测.计算机应用 ():.李晓婷 贾婧 孟云霞.基于深度学习的自组织态势感知与决策系统.火力与指挥控制 ():.():.:(责任编辑:赵双文)第 期 刘 谦:基于动态博弈模型的网络拓扑攻击态势感知方法