基于演化博弈的Serverless移动目标防御决策方法.pdf

1、收稿日期:修回日期:基金项目:国家自然科学基金资助项目()国家重点研发计划资助项目()作者简介:刘轩宇()女硕士生主要研究方向为云计算安全、网络安全:.:/基于演化博弈的 移动目标防御决策方法刘轩宇 张 帅(.信息工程大学河南 郑州 .紫金山实验室江苏 南京)摘要:“无服务器”()是一种新型计算范式具有轻量、敏捷的特点由于其架构的特殊性导致在原有云安全问题的基础上又引入一些新的安全威胁 针对在未知攻防场景下难以准确选择最优化防御策略的问题从虚拟化层和应用层两个方面根据移动目标防御()多样化的思想提出防御策略 将具有玻尔兹曼探索的 算法与复制动态方程结合从有限理性的角度出发构建具有探索机制的演化

2、博弈模型使防御者在反复的攻防对抗中不断进行试错探索实施最终获得最优化防御策略获取最大收益 实验表明引入探索机制的演化博弈模型具有可预测性且演化博弈均衡点具有较强的稳定性关键词:无服务器移动目标防御演化博弈 复制动态方程中图分类号:文献标识码:文章编号:().第 卷第 期 年 月信 息 工 程 大 学 学 报 .引言“无服务器”()如今已经成为主流的云计算范式其允许开发人员使用一组具有依赖关系的函数快速原型化应用程序每个函数执行一个逻辑任务 计算平台通过托管单个可调用函数来提供功能即服务()具有易于部署、资源弹性、节省成本、灵活性等优势但在其给用户带来便利的同时也增加了安全隐患 由于 的特殊性安

3、全问题较为复杂加之网络攻击者的未知性、隐蔽性以及多样性使一些网络防御方法变得被动 文献指出许多 中的应用程序会调用第三方开发的公共函数因此可能会使函数以恶意的方式运行并且目前开发者无法控制 工作流的数据流动这也可能会造成安全和隐私风险 文献将 中的安全威胁划分为外部威胁和内部威胁并指出 计算暴露的攻击面大 是一种基于主动防御思想提出的理论和方法其本质是通过不断变换或改变系统的攻击面从而减少攻防双方间信息不对称的程度进而提高攻击者的攻击难度和攻击成本 技术具有多样性、动态性和冗余性 个特点 本文根据其多样性特点制定防御策略博弈论是一种研究策略和选择的数学模型被广泛运用在经济学、社会学等领域能够准

4、确刻画出参与者之间的目标对立且非合作的关系具有与网络攻防双方相同的特点 演化博弈理论是将博弈理论与动态演化过程相结合的理论也是一种在有限理性假设下的不完全信息博弈理论 目前网络攻防态势不断动态演化移动目标防御策略的准确选择变得困难 下的攻防双方具有目标对立、非合作等特性符合博弈论模型 文献针对不同的网络攻防问题提出基于 的复制动态方程()的演化博弈模型使防御者能够获得最大的防御收益而本文将基于 的复制动态方程应用到了 中针对 架构中特有的安全问题提出防御策略并最大化防御收益 文献针对演化博弈模型在网络攻防场景中存在的问题提出将奖励学习机制()与多阶段博弈模型相结合构建具有多阶段学习机制的演化博

5、弈模型从而使防御策略失败的概率明显降低针对上述问题本文从演化博弈的有限理性角度出发构建演化博弈模型将玻尔兹曼探索的 算法与复制动态方程相结合构造基于 的复制动态方程具有探索机制的演化博弈模型能够使博弈双方在反复的攻防对抗中不断进行试错探索实施过程以达到整体的稳定状态并实现在 场景下使防御者选取最优化防御策略获得最大防御收益 中的安全问题分析 架构中存在许多新颖且独特的安全威胁并对软件开发人员也提出了一些挑战不仅编写应用程序的方式发生了改变还需要防止应用程序遭受攻击因此也引发了许多新漏洞 年 发布了一份报告其中详细阐述了 架构中十大威胁的攻击向量及其可行性和影响 受该报告启发本文接下来对 架构中

6、的一些常见攻击与风险进行总结与分析)注入攻击 攻击者将恶意构建的数据包注入到函数中并执行用户的输入数据其本质上就是将用户的输入数据当作代码执行 经典的注入攻击主要包括 注入攻击、代码注入攻击以及命令注入攻击)越权访问 攻击者针对权限高的功能进行攻击以获取用户资源的访问权限并不会控制执行环境)身份验证失效 攻击者在未经身份验证或绕过身份验证的情况下对函数进行访问因此可能会导致敏感数据的泄露甚至可能会破坏系统的业务逻辑)外 部 实 体()攻击 任何使用 的处理器都有可能遭受 攻击在对不安全的外部实体数据进行处理时也可能会对 应用程序进行拒绝服务攻击()跨站点脚本()攻击 当使用不可信的输入生成数据

7、并在文档对象模型()中没有执行正确转义时就会发生 攻击其本质上是一种针对 的注入攻击)隐蔽信道/侧信道攻击 攻击者通过分析应用与其外部环境或组件之间的交互来推断应用内部程序的状态 构架中包含许多跨用户共享的组件此类共享组件可以启用新形式的侧信道或隐蔽通道因此就会有泄露隐私数据或违 信 息 工 程 大 学 学 报 年反特定安全策略的风险 演化博弈模型首先将演化博弈理论从博弈非完全理性的角度出发进行分析其次构建基于 复制动态方程的演化博弈模型将探索因子引入到复制动态方程中使博弈过程演化到达稳定状态然后对攻防收益进行量化分析最后求解混合策略纳什均衡.基于 复制动态方程的攻防演化博弈模型定义 将基于

8、复制动态方程的攻防演化博弈模型利用一个六元组()表示其中各参数的定义如下)()表示攻防博弈者集合 其中:代表攻击者代表防御者)表示基于 复制动态方程的攻防演化博弈的阶段数)()表示攻防演化博弈的策略空间集 其中:为攻击者的策略集合 为防御者的策略集合 和 分别表示攻击者和防御者的策略数目、且均为正整数)()为攻防演化博弈的信念集合其中:()表示攻击者策略集 的概率分布也就是说对于意味着攻击者选择以攻击策略 实施攻击的概率为()表示防御者策略集 的概率分布与上述原理相同对于意味着防御者选择以防御策略 抵御攻击的概率为 )()表示攻防演化博弈收益函数集合 其中:为攻击者的收益函数为防御者的收益函数

9、 博弈双方根据策略组合()分别获得的收益)为探索因子表示攻防双方对博弈信息的探索程度 越大说明探索程度越大已知的博弈信息越多因此能够根据当前已知信息做出决策 越小说明探索程度越小已知的博弈信息越少因此应继续探索未知博弈信息扩大已知博弈信息的范围以做出更优的决策.攻防收益量化分析在复杂的网络攻防场景下能够选取最优防御策略主要得益于攻防收益的合理量化分析同时攻防收益的量化也会直接影响到博弈稳定均衡的求解 结合文献同时考虑 安全场景在现有基础上进行一些改进以合理量化攻防收益定义 攻击收益矩阵 由攻击者在攻防策略组合()下产生的攻击收益值组成该矩阵共有()个元素其中攻击收益值 可表示为()()式中:为

10、攻击回报表示攻击者通过实施攻击策略所获得的奖励为攻击成本表示攻击者为了获取目标网络信息所需的资源包括时间开销、软硬件资源等基于此攻击收益矩阵 如下表示为()定义 防御收益矩阵 由防御者在攻防策略组合()下产生的防御收益值组成与攻击收益矩阵相同共有()个元素其中防御收益值 可表示为()()式中:为防御回报表示当系统遭受攻击时防御者采用防御策略抵御攻击所获得的奖励为防御成本表示防御者实施防御策略所需的资源包括消耗时间和计算资源、利用服务质量换取自身安全的代价等同样地防御收益矩阵 如下表示为()为了更加直观地展示攻防收益量化信息将攻击收益矩阵和防御收益矩阵通过博弈树的方式呈现如图 所示图 演化博弈攻

11、击树 第 期刘轩宇等:基于演化博弈的 移动目标防御决策方法.演化均衡求解演化均衡求解是演化博弈理论的重点研究内容能够刻画出博弈双方之间策略演化的动态过程 本文考虑到攻防双方选取策略的不确定性参与者均使用混合策略进行博弈 根据纳什均衡定理在有限策略集合的博弈中必然存在混合策略纳什均衡 当博弈达到纳什均衡时所有参与者均获得了自身期望收益的最大值并且博弈双方不能通过单方面改变自身策略获得更大收益 称策略()为混合策略纳什均衡在这种情况下攻击者选择策略防御者选择策略 攻防收益分别表示为()和()则需满足以下条件:()()()().()攻防双方的期望收益和平均收益如式()所示:.()将攻防策略选择概率

12、和 采用 概率分布表示并将 算法引入复制动态方程中得到 复制动态方程 复制动态方程的策略选择概率可由式()表示:()()()()()().()式中:()和()均服从玻尔兹曼概率分布()表示在同一博弈阶段的第 次博弈中攻击者选择攻击策略 的概率()表示在同一博弈阶段的第 次博弈中防御者选择防御策略的概率()和()分别表示在同一博弈阶段的第 次博弈中攻击者与防御者的期望收益结合式()和式()即可推导出 复制动态方程:(/)(/).()复制动态方程可由选择机制与探索机制两部分构成选择机制刻画了博弈双方在当前条件下会倾向选择期望收益高于平均收益的策略探索机制刻画了攻防双方在未知的网络场景中对博弈信息的

13、探索 越大说明攻防双方可以根据当前已知博奕信息选择策略 越小说明攻防双方需要进行探索以获取收益更高的策略 这反映了博弈双方在博弈中对策略不断试错探索选择的过程同样也说明了网络攻防策略的不确定性及多样性当博弈双方的策略达到混合策略纳什均衡时存在:.可得一个混合策略纳什均衡()也是演化稳定均衡解 演化博弈模型架构如图 所示其中演化博弈模型包括两个模块分别为攻防收益量化和基于 的复制动态方程 首先攻击者以概率()选定攻击策略 防御者以概率()选定防御策略 其次根据当前攻防双方的策略进行攻防收益量化最后通过基于 的复制动态方程计算演化博弈均衡解得出当前阶段攻防双方的最优策略图 演化博弈模型架构 最优防

14、御策略选取方法首先针对上述第 节中所提的安全问题及移动目标防御中的多样性特点对防御策略进行详细阐述然后介绍最优策略选择算法.防御策略下面分别从虚拟化与应用层面提出不同的多 信 息 工 程 大 学 学 报 年样化防御策略对于虚拟化层提出执行体多样化对于应用层面提出函数代码多样化以及编程语言多样化执行体多样化包括硬件指令集架构多样化、操作系统多样化以及运行时多样化该策略能够有效抵御由于共模漏洞导致的攻击 然而针对本文安全场景只考虑操作系统和运行时的多样化函数代码多样化包括代码混淆、代码多样化编译等方法 其中代码混淆是一种将程序代码变换为功能等价但数据及代码结构复杂化且可读性差的代码的方法经过混淆的

15、代码不易被反编译即使反编译成功也很难获取源代码的真实语义该方法有效提升了代码被逆向破解或篡改的难度 常见的代码混淆的方法包括字符串加密、程序结构混淆、名称混淆等代码多样化编译是指通过不同的编译方法将源代码转换为目标代码包括静态编译、动态编译、选择性编译等方法编程语言多样化是指使用不同的编程语言(例如、等)编写同一函数代码这样可以消除一些由于特定语言或框架引发的漏洞.最优策略选择算法下面介绍基于演化博弈模型的最优防御策略选择算法具体步骤如算法 所示算法 基于演化博弈模型的最优策略选择算法输入:演化博弈模型输出:最优防御策略.初始化演化博弈模型().构造攻击策略集 及其信念集()攻击者以概率 选择

16、攻击策略执行.构造防御策略集 及其信念集()防御者以概率 选择攻击策略执行./计算策略组合()的攻防收益矩阵、/.().()./构造基于 的复制动态方程/.(/).(/)./演化均衡求解/.求解 且.输出最优防御策略.().在演化博弈模型中攻防双方在初始阶段利用起始信息计算己方策略的收益值并根据当前已知信息通过基于 的复制动态方程计算最优防御策略 在实际中为了使收益最大化攻防双方会在博弈过程中进一步探索更多的博弈信息以得到更优的策略 实验结果分析首先搭建 攻防场景并进行实验并验证演化博弈模型及最优策略选择算法的有效性进而讨论探索机制对于策略演化过程的影响.实验环境设置本文实验场景搭建在配置为

17、核.、的物理服务器上使用容器云编排管理平台 搭建云平台环境进而选用基于 的原生 管理平台 实现 函数的管理功能目前 架构中的每个函数通常都在单独的环境(如容器)中执行函数实例由事件触发进行创建执行结束后销毁并释放资源因此选用 容器作为 函数的执行环境.演化博弈攻防收益计算该实验假设攻击者来自于外部网络攻击目标为获取网络资源防御者为系统管理员目的是最大限度地减少系统中的损失 攻防策略可以视为一组攻防行为的集合可以表示为 因此根据上述第 节和第 节的攻防行为分析给出本节的攻防策略集合分别如表 和表 所示 攻击策略为 和 防御策略 和 第 期刘轩宇等:基于演化博弈的 移动目标防御决策方法表 攻击策略

18、序号名称攻击策略 注入攻击代码注入攻击命令注入攻击越权访问身份验证失效 外部实体攻击跨站点脚本攻击隐蔽/侧信道攻击表 防御策略多样化类型序号名称防御策略执行体多样化操作系统运行时代码多样化代码混淆多样化编译字符串加密程序结构混淆静态编译动态编译编程语言多样化根据定义 和定义 并结合文献中对于攻防收益的量化方法表 展示了攻防策略的收益矩阵表 攻防收益矩阵攻击策略防御策略 ()()()()假设攻击者以概率分布()选择攻击策略即以概率 选择策略 以概率()选择策略 同理防御者以概率分布()选择防御策略 由于基于 的复制动态方程中存在对数运算因此设定上述概率的取值范围为.结合攻防收益矩阵与式()可得在

19、本实验场景下的基于 的复制动态方程即()()()()()()()()()()()()()()()().()令式()中的两个方程右端为 即可得出演化博弈的均衡解也就是攻防双方选取最优策略的概率值.实验分析及讨论图 展示了探索因子 对攻防策略演化的作用可以看出随着 值的不断增大攻防策略的选择概率会逐渐趋于固定 结合式()进行分析当 值很小时在基于 的复制动态方程中主要以探索机制为主即方程的后半部分起到更大的作用因为在博弈初期攻防双方都没有掌握到彼此足够的博弈信息选择策略的概率不稳定 当 值逐渐增大后基于 的复制动态方程主要以选择机制为主即方程的前半部分影响更大此时攻防双方已经充分掌握博弈信息因此策

20、略的选择概率也趋于稳定当前基于 的复制动态方程会退化为复制动态方程图 对攻防策略演化的作用实验表明当 趋于 时攻击者选择策略 的概率为.防御者选择策略 的概率为.因此可以说明攻防双方在未知场景下会随机选取策略而当 时攻防策略选择概率会保持不变 综上 越大在博弈阶段攻防双方能够获得的信息就越多并且攻防双方只有在已知足够多的博弈信息时才会改变策略使博弈进入下一阶段 实验设定探索因子 因为此时攻防双方已经明确如何选取最优策略图 展示了攻防策略的动态演化过程 结合图 中的数据实验设置攻防双方选择策略组合的初始混合概率为.并以此研究攻防策略的演化过程 图 中实线表示攻击者选择策略 的概率变化趋势虚线表示

21、防御者选择策略的概率变化趋势随着博弈次数的依次增加攻防双方选择策略的概率也逐渐趋于平稳呈阻尼震动曲线 最后在博弈次数 时达到均衡状 信 息 工 程 大 学 学 报 年态说明在有限次博弈中攻防双方不断地进行试错探索实施的过程以达到整体的稳定状态并选取最优化策略获得最大化收益图 攻防策略动态演化过程实验结果为.即攻击者选择攻击策略 的概率为 .选择攻击策略 的概率为().防御者选择防御策略 的概率为 .选择防御策略的概率为().为了分析演化特性及博弈均衡点的稳定性本文分别进行了 组实验图 展示了攻防选择策略在不同情况下的演化轨迹从局部进行分析:)当攻防双方选择策略的初始值相同时初始值越大演化到稳定

22、状态所需的博弈次数越多)攻防双方动态演化的整体趋势不会由于初始概率值的改变而发生变化最后都会趋于动态平衡状态说明演化博弈具有可预测性可以在攻防演化的不同阶段计算出相应的策略选择概率以获得最优防御策略)改变攻防选择策略的初始值只会影响攻防博弈演化到稳定状态的时间此现象验证了演化均衡点的稳定性较强 从整体进行分析不论攻防选择策略的初始概率值为多大最终 和 都会收敛到一个固定值即.也就是演化均衡点表明演化均衡点具有较强的稳定性.综上所述基于 的复制动态方程具有较为准确的预测能力同时引入了探索机制的演化博弈模型能够准确刻画出攻防博弈的动态演化过程并且其演化均衡点具有较强的稳定性图 攻防策略初值不同的动

23、态演化过程 结束语 架构中存在着许多安全威胁本文针对在未知的攻防场景下难以准确选择最优化防御策略的问题提出将玻尔兹曼探索引入到 算法并与复制动态方程相结合构建具有探索机制的演化博弈模型受 启发从虚拟化层和应用层两方面利用其多样性特点提出防御策略通过实验证明具有探索机制的演化博弈模型具有准确的可预测性能够提前判断防御者在何时使用何种策略以获得最大防御收益同时演化均衡点具有较强的稳定性无论攻防双方的初始状态如何最后都能演化到平稳状态即演化均衡点 第 期刘轩宇等:基于演化博弈的 移动目标防御决策方法但随着博弈的不断深入攻防双方会探索到更多的博弈信息就有可能导致攻击者破获了某种防御策略迫使防御策略失效 因此未来可以就该方向继续进行研究参考文献:.:.:.:.:.:.():.:.:.毕文婷林海涛张立群.基于多阶段演化信号博弈模型的移动目标防御决策算法.计算机应用():.金辉张红旗张传富等.复杂网络中基于 的主动防御决策方法研究.信息网络安全():.:.:.:.:./.().:./.:.(.):.:.:.曾威扈红超李凌书等.容器云中基于 博弈的动态异构调度方法.网络与信息安全学报():.姜伟方滨兴田志宏等.基于攻防博弈模型的网络安全测评和最优主动防御.计算机学报():.():.(编辑:冯 春)信 息 工 程 大 学 学 报 年