专利名称:基于不完全信息动态博弈的入侵响应决策方法
技术领域:
本发明涉及一种入侵响应决策方法,尤其涉及一种基于不完全信息动态博弈的入 侵响应决策方法。
背景技术:
随着网络攻击手段的自动化和复杂化程度提高,入侵检测系统检测到入侵行为与 管理员做出响应之间迟延的问题愈发突出,人工响应系统难以应付当前复杂多变的网络状 况,自动入侵响应系统已经成为了入侵响应的重要研究方向之一。近年来,自动入侵响应已成为网络安全的研究热点之一,学术界提出了多种应用 于自动入侵响应系统的决策模型。目前,根据决策方式的不同,决策模型主要分为1.静态映射模型静态映射本质上是一个警报对应一个预先设定的响应,存储着 一个响应决策表。模型中响应决策表易于构建和维护,在早期的自动响应系统中较为常见, 如pH和BMSL-based response系统。然而,这类系统的响应措施容易被攻击者预测,而且 没有考虑系统的当前状态、响应的负面效果等因素对决策的影响。2.动态映射模型动态映射模型基于实时的攻击信息进行决策。Carver等人提出 了基于Agent的自适应入侵响应系统AAIRS,通过攻击时机、攻击者类型、目标代价和警报 确信度等信息动态地确定响应策略。动态响应系统虽然能够灵活地做出响应决策,但是对 响应的负面效果考虑较少,可能会出现响应代价大于入侵损失的情况。3.成本敏感模型成本敏感模型是为了平衡入侵损失和响应代价而提出的。该模 型除了考虑入侵所造成的损失之外,还考虑了检测代价和响应代价,即响应所造成的负面 效果,只有响应代价小于入侵损失时才做出响应。该模型虽然保证了响应的负面效果小于 入侵损失,但是没有考虑攻击者根据自身收益进行攻击策略的调整。随着计算机安全领域的不断发展,博弈理论也开始被引入到计算机安全领域,并 开始被广泛应用。在网络攻防过程中,攻防双方策略的选择相互制约,从而影响到攻击和防 御的效果。博弈理论是关于两个或多个决策主体在其决策相互制约并影响各自收益的格局 中的决策分析,因此博弈理论可以用于分析攻防双方的交互行为。网络攻防过程中,攻防双 方彼此之间的认识是不完全的,但是双方的行动是有先后顺序的,可以观察到对方在上一 步的策略选择,因此双方的攻防行为可以看作是不完全信息动态博弈。不完全信息动态博弈的一个重要特征是,参与对象的战略都依赖于自身的类型。 攻击者做出攻击行为和防御者做出响应措施后,都会向对方传递有关自身类型的信息。一 方面,后行动者可以通过观察先行动者所选择的策略来推断先行动者的类型,进而修正对 先行动者类型的判断,并选择最优行动策略。另一方面,先行动者也会预计到自己选择的行 动将被后行动者利用,设法选择能传递对自己有利的信息的行动策略,避免选择不利的行 动策略。
发明内容
本发明将博弈理论思想引入到入侵响应的决策阶段,考虑入侵响应代价及入侵检测系统的误报率、漏报率等因素对入侵响应的影响,提出了基于不完全信息动态博弈的入 侵响应决策模型,平衡了响应的负面影响和攻击造成的损失,并加强了对攻击者策略的预 测及应对能力,提高了响应效率。本发明包括以下步骤1.入侵检测阶段利用防御者所部署的各类入侵检测系统,产生入侵警报;2.警报聚合阶段将入侵检测系统产生的大量警报进行聚合,生成高级警报;3.入侵响应阶段a.根据本机系统信息,评估系统资源权重;b.根据经验判断攻击者的可能类型,即根据经验计算各种类型攻击者的概率;c.根据警报的不同,求出各个类型的警报所对应的行动策略集合,并将其存储于 攻防双方策略库中;d.由警报聚合模块传来的高级警报驱动,从攻防双方策略库查询双方可能采取的 行动策略,根据攻防成本_收益评估方法计算攻防双方代价收益;e.禾Ij用攻防双方可能采取的行动策略及已求出的攻防双方代价收益,构建博弈模型;f.通过计算博弈模型的精炼贝叶斯均衡,得到最优响应策略;g.根据最优响应策略,修改用来判断攻击者类型的经验;h.入侵响应。其中步骤a所述的系统资源权重是对该系统资源在系统中的重要性的度量,由资源和 系统分别在可用性、完整性和机密性三个安全尺度上的侧重共同决定。系统资源权重表示 为W(SR),计算方法如公式(1)所示灰(SR) = ΣSRimportance!^ x PolicyCategoryWeight^(1)其中SRimportancejn PolicyCategoryWeighti分别代表资源和系统对可用性、完 整性和机密性三个安全尺度的侧重,PolicyCategOTTWeighti完全取决于系统类型。需要 说明的是,本发明中的系统资源不仅指系统设备(如主机和网络等)和所提供的系统服务 (如FTP、HTTP和文件系统等),而且还包括与安全相关的因素(如系统权限、密码安全性
寸乂 O步骤3b所述的经验指防御者对攻击者类型的先验概率。步骤3c所述的攻防双方策略库中存储的是防御者与攻击者可能采取的各种响应 策略的组合。步骤3d所述的攻防成本_收益评估方法是基于系统资源权重的评估方法,对系统 资源所包含的内容进行了丰富,将安全性因素(如管理员权限、用户权限等)也作为系统资 源考虑,并考虑了入侵检测系统漏报率、攻击威胁度等潜在因素的影响。本发明中攻防双方 的成本_收益主要包括损失代价、响应代价、攻击收益和攻击操作代价。步骤3e所述的博弈模型包括如下元素1)参与对象包括防御者和攻击者,防御者是安装了入侵响应系统的网络主机, 攻击者可以是恶意网络攻击者、误操作网络用户等威胁到网络安全的网民。防御者的类型空间为D = {屯,屯,…,dm},攻击者的类型空间H= Ovh^h2,...,hn}。定义η = {1, n2,...,nffl*(n+1)}表示攻防双方的类型组合的集合,其中nk = (di; hj),d,和h」分别为防 御者和攻击者的类型。考虑到入侵检测系统的误报率,本发明将被入侵检测系统误判为攻 击者的普通用户称之为伪攻击者(ho),那么入侵检测系统的误报率可以被视为伪攻击者的 先验概率。2)策略空间防御者的策略空间是R = {R0, R1,...,RJ,R1, ...,Rs代表防御者可 能选取的响应措施,R0代表不响应。攻击者的策略空间是A = {A0, A1, ...,AJ,A1, ...,At 代表可采取的攻击措施,A0代表放弃攻击。3)收益函数防御者和攻击者的收益函数表示为Ud(JlpRpAk)和Uh( η R」,Ak)。4)私有信息参与对象自身的类型信息对于其他参与对象是透明的,需要其它参 与对象通过其策略的选择进行判断。5)先验概率防御者对攻击者类型的先验概率用POij), j = 0,1,2, ... , n表示, 并且i P㈨)=1。攻击者对防御者类型的先验概率用P(Cli), i = 0,1,2,...,m表示,并且Σ#Α) = 7。类型的先验概率是由双方的共同知识确定的,属于双方的共享信息。 i=06)后验概率由于攻击者可以观察到防御者的策略,所以攻击者可以根据其观察 到的防御者行为对信念进行修改形成后验概率P (Cli ι Rk),表示防御者进行响应Rk后攻击者 对防御者类型的判断概率,采用贝叶斯公式进行计算ρ (Cli I Rk) = ρ (Cli) ρ (Rk | (Ii) /p (Rk)其中ρ (Rk)用全概率公式计算P(Rk)= ∑p(di)p(Rk \ di)其中P(RkIdi)表示类型为Cli的防御者选取响应措施Rk的概率,一般根据经验获得。步骤3f所述的博弈模型的精炼贝叶斯均衡是在通过海萨尼转换将攻防双方不了 解自己所面对的博弈对象的这种不完全信息动态博弈转换成完全但不完美信息动态博弈 的基础上得到的。步骤3g所述的修改用来判断攻击者类型的经验即是修改对攻击者的信念,从而 形成后验概率。
图1基于不完全信息动态博弈的入侵响应决策方法的流程图
具体实施例方式下面结合附图,对本发明做进一步的说明。本发明的具体实施步骤如下1.当攻击来临时,防御者所部署的各类入侵检测系统检测到攻击行为,发出警报。2.警报聚合系统接收来自各类入侵检测系统生成的大量入侵警报,将这些警报进 行聚合,消除冗余警报,生成少量高级警报,并驱动入侵响应系统;
3.根据防御者当前的系统资源,评估系统资源权重。本发明中的系统资源不仅指 系统设备(如主机和网络等)和所提供的系统服务(如FTP、HTTP和文件系统等),而且还 包括与安全相关的因素(如系统权限、密码安全性等)。由于本发明属于计算机安全领域, 因此对系统资源的评估主要是从安全的角度考虑的,而系统的安全性一般可以从可用性、 完整性和机密性三个安全尺度进行评估,所以本发明从可用性、完整性和机密性三个方面 对系统资源进行评估。系统资源权重是对该系统资源在系统中的重要性的度量,由资源和 系统分别在可用性、完整性和机密性三个安全尺度上的侧重共同决定。系统资源权重表示 为W(SR),计算方法如公式(1)所示
<formula>formula see original document page 8</formula>其中,SRimportancei和PolicyCategoryWeighti分别代表系统资源和系统本身对 可用性、完整性和机密性三个安全尺度的侧重。由于特定系统对可用性、完整性和机密性三 个安全尺度的侧重是不发生变化的,所以P0IicyCateg0ryWeighti完全取决于系统类型。4.根据防御者对攻击者类型的先验概率判断攻击者的可能类型,即根据防御者对 攻击者类型的先验概率计算各种类型攻击者的概率,先验概率是由攻防双方的共同知识确 定的,属于双方的共享信息;由于入侵检测系统都存在一定的误报率,本发明将被入侵检测 系统误判为攻击者的普通用户称之为伪攻击者(hO),那么入侵检测系统的误报率可以被视 为伪攻击者的先验概率。5.攻防双方都有其各自的策略空间,当高级警报来临时,防御者会根据高级警报 的类型,从其策略空间R= {Ro,!^...,^}中选取一个策略氏(其中,当i = O时代表防御 者不响应)进行响应;不论防御者采取何种响应策略,都会给攻击者传递一个信息,攻击者 会根据防御者的响应策略,对防御者的类型进行预测,并从其策略空间A = {A0,A1; ...,AJ 中选取一个对自己最有利的攻击措施Ai (当i = O时,代表攻击者放弃攻击)。由于高级警 报类型的不同,就形成了攻防双方不同的行动策略组合,本发明中将这些不同的行动策略 组合存储起来,构成了攻防双方策略库;6.结合警报聚合阶段产生的高级警报的类型,入侵响应系统依据经验对攻击者的 可能类型进行判断,并从攻防双方策略库中查询针对该种高级警报不同类型的攻防双方各 自可能采取的行动策略,利用攻防成本_收益评估方法计算攻防双方代价收益,具体包括1)损失代价损失代价代表攻击发生且未被阻断情况下的系统损失。入侵检测系统都有一定程 度的漏报现象。在入侵响应决策过程中,对某一警报不进行响应,攻击者就可以进行后续攻 击,而入侵检测系统如果不能检测出此后续攻击,系统自然无法做出响应。所以,损失代价 还应考虑漏报的影响,攻击行为Aj对系统造成的损失代价表示为IDC( Jli, Ap,计算方法如 公式⑵所示IDC(IlijAj) = (1+fnrate (Aj)) XDC ( η Aj)(2)其中,fnrate (Aj)代表入侵检测系统对于攻击Aj的漏报率,DC ( η Aj)代表攻击 Aj对系统造成的基准损失代价,计算方法如公式(3)所示DC(T^Aj) = TLx Σ AvailU j, SRk) χ W (SRk)(3)
Jc = \其中,Avail (Aj, SRk)代表攻击Aj对系统资源SRk的影响,W(SRk)是系统资源的权重,TL是攻击者威胁度,与攻击者类型相关。2)响应代价响应代价代表响应对系统造成的负面影响,响应行为Ri的响应代价表示为 ic(ni; Rj),计算方法如公式⑷所示IC(nrRj) = Σ lmpact(Rj,SRk)xW(SRk)(4)其中Impact (Ri, SRk)表示响应行为Ri对资源SRk的影响,W(SRk)表示系统资源权
重。3)攻击收益攻击收益指攻击者对防御者进行的某种攻击成功时所能得到的收益。与攻击对防 御者系统所造成的破坏程度密切相关,一般令其等于系统的损失代价。攻击行为A^的攻击 收益表示为ΙΚ(η”Αρ,计算方法如公式(5)所示IR(IiijAj) = DC(IlijAj)(5)其中,DC( Jli, Aj)是攻击行为Ki对系统造成的基准损失代价。4)攻击操作代价攻击操作代价表示为AChi, Ap,指攻击者在攻击过程中所要消耗的时间和系统 资源,包括CPU时间、内存和网络带宽等。对其可分为两个等级LVl 一般攻击,攻击操作代价不会太大,与进行合法的网络活动几乎相同,占用少 量系统资源;LV2 特殊攻击,占用大量的系统资源,如DOS攻击。在得到攻防双方的成本-收益后,不同情况下攻防双方的收益函数如下a.攻击者攻击成功时,Ua(ni,Rj,Ak) = AC( η i, Aj)+IR( η i, Aj);b.攻击失败时,Ua(ni,Rj,Ak) = AC(ni,Aj);C.防御者进行响应并成功时,Ud(ni,Rj,Ak) = ic(ni, Rj);d.防御者进行响应并失败时,Ud(ni,Rj,Ak) = IC (η i,Rj)+IDC (Ak);e.防御者不进行响应时,Ud(ni,Rj, Ak) = DC(Ak)。7.根据攻防双方的可能类型,以及攻防双方各自可能采取的行动策略和已求出的 攻防双方的代价收益,结合攻防双方各自的私有信息和攻防双方的共享信息,构建动态博 弈模型;在网络攻防过程中,攻防双方彼此之间的认识是不完全的,但是双方的行动是有先 后顺序的,可以观察到对方在上一步的策略选择,因此双方的攻防行为可以看作是不完全 信息动态博弈。在攻击行为产生时,攻防双方因为并不了解自己所面对的博弈对象,从而无 法定义博弈的规则,因此需要引入海萨尼转换,将攻防双方的不完全信息动态博弈转换成 完全但不完美信息动态博弈,在此基础上求解转换后的攻防双方博弈的精炼贝叶斯均衡, 从而得到防御者的最优响应策略。8.根据最优响应策略修改防御者对攻击者的先验概率,形成对攻击者的后验概 率,进而完善动态博弈模型。本领域的技术人员在不脱离权利要求书确定的本发明的精神和范围的条件下,还 可以对以上内容进行各种各样的修改。因此本发明的范围并不仅限于以上的说明,而是由 权利要求书的范围来确定的。
权利要求
一种基于不完全信息动态博弈的入侵响应决策方法,其特征在于该方法包括以下步骤1)入侵检测阶段利用防御者部署的入侵检测系统,产生入侵警报;2)警报聚合阶段将入侵检测系统产生的大量警报进行聚合,生成高级警报;3)入侵响应阶段a)根据本机系统信息,评估系统资源权重;b)根据防御者对攻击者类型的先验概率判断攻击者的可能类型,即根据防御者对攻击者类型的先验概率计算各种类型攻击者的概率;c)根据警报的不同,求出各个类型的警报所对应的行动策略集合,并将其存储于攻防双方策略库中;d)由所述高级警报驱动,从攻防双方策略库查询双方可能采取的行动策略,根据攻防成本-收益评估方法计算攻防双方代价收益;e)利用攻防双方可能采取的行动策略及所述攻防双方代价收益,构建博弈模型;f)通过计算博弈模型的精炼贝叶斯均衡,得到最佳响应策略;g)根据最优响应策略,修改用来判断攻击者类型的经验;h)入侵响应。
2.根据权利要求1所述的一种基于不完全信息动态博弈的入侵响应决策方法,其特征 在于步骤a)所述的系统资源权重是对该系统资源在系统中的重要性的度量,由资源和系 统分别在可用性、完整性和机密性三个安全尺度上的侧重共同决定。
3.根据权利要求1所述的一种基于不完全信息动态博弈的入侵响应决策方法,其特征 在于步骤c)所述的攻防双方策略库中存储的是防御者与攻击者可能采取的各种响应策略 的组合。
4.根据权利要求1所述的一种基于不完全信息动态博弈的入侵响应决策方法,其特征 在于步骤d)所述的攻防成本-收益包括损失代价、响应代价、攻击收益和攻击操作代价,其 中1)损失代价损失代价代表攻击发生且未被阻断情况下的系统损失,攻击行为^对系统造成的损失 代价表示为IDC( η” Ap,计算方法如公式(1)所示IDC(IlijAj) = (Hfnrate(Aj))XDC(IlpAj)(1)其中,fnrate(Aj)代表入侵检测系统对于攻击Aj的漏报率,DC(ni; Aj)代表攻击行为 Aj对系统造成的基准损失代价,计算方法如公式(2)所示DC(J^Af) = TLx Σ Avail(AuSRk)^W(SRk)(2)k = l其中,Avail (Aj, SRk)代表攻击行为A^对系统资源SRk的影响,W(SRk)是系统资源的权 重,TL是攻击者威胁度,与攻击者类型相关;2)响应代价响应代价代表响应对系统造成的负面影响,响应行为Ri的响应代价表示为IC( Jli, Rj),计算方法如公式(3)所示IC(η^Rj) ^ Σ Impact(RhSRk)XW(SRk)(3)k其中Impact (Ri, SRk)表示响应行为Ri对资源SRk的影响,W(SRk)表示系统资源权重;3)攻击收益攻击收益指攻击者对防御者进行的某种攻击成功时所能得到的收益,攻击行为A^的攻击收益表示为IR( 1,Ap,计算方法如公式(4)所示<formula>formula see original document page 3</formula>)(4)其中,DC( η” Aj)是攻击行为A^对系统造成的基准损失代价;4)攻击操作代价攻击操作代价表示为AC ( η ρ Ap,指攻击者在攻击过程中所要消耗的时间和系统资源, 其可分为两个等级LVl 一般攻击,攻击操作代价与进行合法的网络活动几乎相同,占用少量系统资源; LV2 特殊攻击,占用大量的系统资源。
5.根据权利要求1所述的一种基于不完全信息动态博弈的入侵响应决策方法,其特征 在于步骤d)所述的攻防成本_收益评估方法是基于系统资源权重的评估方法,所述攻防成 本-收益评估方法不仅考虑系统设备和所提供的系统服务这两类系统资源,而且将系统权 限和密码安全性这两个安全性因素也作为系统资源考虑,并考虑了入侵检测系统漏报率和 攻击威胁度这两个潜在因素的影响。
6.根据权利要求1所述的一种基于不完全信息动态博弈的入侵响应决策方法,其特征 在于步骤e)所述的博弈模型包括如下元素I)参与对象包括防御者和攻击者,防御者的类型空间为D= W1, d2,. . .,dm},攻击者 的类型空间H= Ovhph2,...,hn},定义η = {1,η2,...,nm*(n+1)}表示攻防双方的类 型组合的集合,其中Hk=(屯,~),屯和~分别为防御者和攻击者的类型,将被入侵检测系 统误判为攻击者的普通用户命名为伪攻击者OO,设置入侵检测系统的误报率为伪攻击者 的先验概率;II)策略空间防御者的策略空间是R= {R。,R1, ... ,RJjR1, ... , Rs代表防御者可能 选取的响应措施,R0代表不响应,攻击者的策略空间是A = {A0, A1, ...,AJ,A1, ...,At代 表可采取的攻击措施,A0代表放弃攻击;III)收益函数防御者和攻击者的收益函数表示为Ud(Jii, Rj, Ak)和υ“η” Rj, Ak);IV)私有信息参与对象自身的类型信息对于其他参与对象是透明的,需要其它参与 对象通过其策略的选择进行判断;V)先验概率防御者对攻击者类型的先验概率用p(hp,j= 0,1,2, ...,n表示,并且 火、)=“攻击者对防御者类型的先验概率用P(Cli), i = 0,1,2,...,m表示,并且mΣ# /,>7,类型的先验概率是由双方的共同知识确定的,属于双方的共享信息; i=0VI)后验概率由于攻击者可以观察到防御者的策略,所以攻击者可以根据其观察到 的防御者行为对信念进行修改形成后验概率P (di ι Rk),表示防御者进行响应Rk后攻击者对 防御者类型的判断概率,采用贝叶斯公式进行计算P(CliIRk) = P(Cli)P(RkIdi)MRk)其中P(Rk)用全概率公式计算<formula>formula see original document page 4</formula>P(RkIdi)表示类型为Cli的防御者选取响应措施Rk的概率。
7.根据权利要求1所述的一种基于不完全信息动态博弈的入侵响应决策方法,其特征 在于步骤f)所述的博弈模型的精炼贝叶斯均衡是在通过海萨尼转换将攻防双方不了解自 己所面对的博弈对象的这种不完全信息动态博弈转换成完全但不完美信息动态博弈的基 础上得到的。
8.根据权利要求1所述的一种基于不完全信息动态博弈的入侵响应决策方法,其特征 在于步骤g)所述的修改用来判断攻击者类型的经验即修改对攻击者的信念,从而形成后 验概率。
全文摘要
本发明涉及一种基于不完全信息动态博弈的入侵响应决策方法,所采用的方法是构建了基于不完全信息动态博弈的入侵响应决策模型,将博弈理论思想引入到入侵响应的决策阶段,考虑入侵响应代价及入侵检测系统的误报率、漏报率等因素对入侵响应的影响,平衡响应的负面影响和攻击造成的损失,并加强对攻击者策略的预测及应对能力,提高响应效率。本发明提出了攻防成本-收益评估方法,用以计算攻防双方代价收益,进而构建攻防双方动态博弈模型,通过求解攻防双方动态博弈模型的精炼贝叶斯均衡,得到防御者的最优响应策略。
文档编号H04L29/06GK101808020SQ20101014960
公开日2010年8月18日 申请日期2010年4月19日 优先权日2010年4月19日
发明者刘衍珩, 孙鑫, 朱建启, 李飞鹏, 杨旭 申请人:吉林大学