CN110417733A - 基于qbd攻防随机演化博弈模型的攻击预测方法、装置及*** - Google Patents

Abstract

本发明属于网络安全技术领域，特别涉及一种基于QBD攻防随机演化博弈模型的攻击预测方法、装置及***，该方法包含：将攻防演化过程抽象为拟生灭过程QBD，引入学***衡方程；对平衡方程进行求解，获取拟生灭攻防对抗过程的策略平衡概率分布；依据策略平衡概率分布，得到最具威胁的攻击策略。本发明更贴近于实际攻防对抗场景，考虑攻防演化过程中随机扰动影响，提出拟生灭攻防随机演化博弈模型，增强预测攻击行为能力，提升攻击预测准确性和模型有效性，对于网络安全技术发展都具有重要指导意义。

Description

基于QBD攻防随机演化博弈模型的攻击预测方法、装置及***

技术领域

本发明属于网络安全技术领域，特别涉及一种基于QBD攻防随机演化博弈模型的攻击预 测方法、装置及***。

背景技术

在网络安全领域中攻击者利用多种攻击手段对防御***实施攻击获取更多有价值的信息 资源，而防御者则针对攻击者的意图采取不同的防御手段对防御***进行保护，防止信息资 源被攻击者窃取。为了对信息***进行有效防御，防御者需要事先对攻击行为进行准确预测 以避免信息资源遭受巨大损失。网络攻防对抗过程中攻防双方所体现出的目标对立性、策略 依存性和关系非合作性与博弈论的基本特征完美契合。因此，博弈论在网络安全领域的研究 和应用已成为近年来各专家学者研究的重点和热点。

目前，有关博弈论在网络安全领域的研究成果均基于完全理性的假设，认为博弈的攻防 参与者完全掌握对手的可选策略及收益结构，通过求解纳什均衡，得到最优响应策略。但是， 上述成果并没有考虑现实攻防参与者有限理性的特点，即攻防参与者具备的安全知识、技能 水平和获取的博弈信息有限，决策时并不总是推理正确，也不可能在任何情况下根据决策环 境的变化做出最优反应，理想化的完全理性假设与实际网络攻防情况不符，实用效果偏差。 随着演化博弈理论在网络安全领域的研究和应用，以基于有限理性的演化博弈思想分析攻击 行为预测和防御策略选取，更符合网络攻防对抗场景。演化博弈考虑攻防参与者有限理性的 特点，通过策略的不断学***均收益高的策略。而实际攻防对抗过程在攻击行为和意 图不确定、决策环境变化等随机扰动的影响下，确定性的复制动态机制难以准确估计和预测 攻防动态演化。

发明内容

为此，本发明提供一种基于QBD攻防随机演化博弈模型的攻击预测方法、装置及***， 更加贴近实际攻防对抗场景，增强预测攻击行为能力，提升攻击预测的准确性和有效性，具 有很强的应用前景。

按照本发明所提供的设计方案，一种基于QBD攻防随机演化博弈模型的攻击预测方法， 包含如下内容：

将攻防演化过程抽象为拟生灭过程QBD，引入学习程度和噪声因子刻画随机扰动下攻防 参与者策略学习调整的动态演化轨迹，构建QBD攻防随机演化博弈模型；

依据QBD攻防随机演化博弈模型建立拟生灭攻防对抗过程的平衡方程；

对平衡方程进行求解，获取拟生灭攻防对抗过程的策略平衡概率分布；依据策略平衡概 率分布，得到最具威胁的攻击策略。

上述的，QBD攻防随机演化博弈模型通过七元组表示：QBD-ADSEGM＝(Γ,N,S,χ(t),α,β,U)， 其中，Γ表示攻防博弈群体，N表示攻防参与者数量，S表示攻防参与者策略空间，χ(t)表示 t时刻攻防状态空间，α表示攻防参与者学习程度集合，β表示攻防参与者噪声因子，U表示 攻防双方受益函数集合。

上述的，攻防参与者学习程度集合包含用于描述攻击者对攻防信息掌握程度的学习参数 和用于描述防御者对攻防信息掌握程度的学习参数；攻防参与者噪声因子，用来描述攻防过 程中的随机扰动，并设定攻防参与者噪声因子大于0。

上述的，依据QBD攻防随机演化博弈模型，构造对应的拟生灭过程，获取拟生灭过程的 状态空间，建立平衡方程。

上述的，建立平衡方程过程如下：首先，定义攻击者和防御者策略选择的转移概率；依 据转移概率矩阵，构造出拟生灭攻防演化过程，得到攻防演化过程的平衡方程。

上述的，平衡状态求解过程中，首先对平衡方程进行初等变换并求解，由正常返条件获 取QBD攻防演化过程平稳概率分布，从而得到攻防随机演化博弈的平稳概率分布。

优选的，依据平衡方程的非线性齐次方程组性质，采用高斯消元法对平衡方程进行初等 变换。

优选的，平衡方程求解中，通过分析博弈群体间的对抗分析和相互学习，获取博弈信息， 计算不同策略博弈产生的收益，以期望收益、学习程度和噪声因子决定转移概率。

进一步地，本发明还提供一种基于QBD攻防随机演化博弈模型的攻击预测装置，包含： 模型构建模块、方程建立模块和分析求解模块；其中，

模型建立模块，用于将攻防演化过程抽象为拟生灭过程QBD，引入学习程度和噪声因子 刻画随机扰动下攻防参与者策略学习调整的动态演化轨迹，构建QBD攻防随机演化博弈模型；

方程建立模块，用于依据QBD攻防随机演化博弈模型建立拟生灭攻防对抗过程的平衡方 程；

分析求解模块，用于对平衡方程进行求解，获取拟生灭攻防对抗过程的策略平稳概率分 布；依据策略平稳概率分布，得到最具威胁的攻击策略。

进一步地，本发明还提供一种网络安全***，包含上述的基于QBD攻防随机演化博弈模 型的攻击预测装置。

本发明的有益效果：

本发明引入学***衡方程，求解拟生灭攻防演化过程的策略平 稳概率分布给出最具威胁的攻击策略；针对攻防群体在博弈过程中受随机扰动的影响，通过 引入学***衡方程进行求解，得到攻防群体极限情况下策略的平稳概率分布， 从而可知最具威胁的攻击策略，达到攻击预测的效果；更贴近于实际攻防对抗场景，考虑攻 防演化过程中随机扰动的影响，提出拟生灭攻防随机演化博弈模型，增强预测攻击行为的能 力，并通过仿真实验验证攻击预测的准确性和模型的有效性，对于网络安全技术发展都具有 重要的指导意义。

附图说明：

图1为实施例中攻击预测方法流程示意图；

图2为实施例中攻击预测装置示意图；

图3为实施例中网络信息实验***拓扑图；

图4为实施例中α＝0.1时攻击群体的平稳概率分布；

图5为实施例中α＝0.1时防御群体的平稳概率分布；

图6为实施例中不同α取值下使用攻击策略A₁的平稳概率分布；

图7为实施例中不同α取值时使用防御策略D₁的平稳概率分布；

图8为实施例中β取不同值时攻击群体的平稳概率分布；

图9为实施例中β取不同值时防御群体的平稳概率分布。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发 明作进一步详细的说明。

针对现有实际攻防对抗过程在攻击行为和意图不确定、决策环境变化等随机扰动的影响 下，确定性的复制动态机制难以准确估计和预测攻防动态演化等的情形，本发明实施例，参 见图1所示，提供一种基于QBD攻防随机演化博弈模型的攻击预测方法，包含如下内容：

S101、将攻防演化过程抽象为拟生灭过程QBD，引入学习程度和噪声因子刻画随机扰动 下攻防参与者策略学习调整的动态演化轨迹，构建QBD攻防随机演化博弈模型；

S102、依据QBD攻防随机演化博弈模型建立拟生灭攻防对抗过程的平衡方程；

S103、对平衡方程进行求解，获取拟生灭攻防对抗过程的策略平衡概率分布；依据策略 平衡概率分布，得到最具威胁的攻击策略。

拟生灭过程以二维随机变量χ(t)＝(χ_A(t),χ_D(t))定义状态，描述攻防群体中参与者使用各自 某一策略的人数，通过使用策略的人数变化(增加、减少或者不变)刻画状态转移过程。第t+1 次博弈，攻防参与者根据第t次博弈群体间的对抗分析和群体内的相互学***稳概率分布，是群体行为 意义上纳什均衡的实现，随着时间的推移，攻防参与者经过策略博弈、学习、改进，最终群 体中各个策略选取的比例达到稳定状态，其概率越大，说明在群体中演化稳定策略的认同度 越高。

进一步地，本发明实施例中，QBD攻防随机演化博弈模型通过七元组表示： QBD-ADSEGM＝(Γ,N,S,χ(t),α,β,U)，其中，

1)Γ＝(attackers,defenders)表示参与博弈的群体，attackers表示攻击群体，defenders表示防 御群体；

2)N＝(N_A,N_D)表示博弈参与者的数量，N_A表示攻击群体中攻击者的数量，N_D表示防御 群体中防御者的数量；

3)S＝(S_A,S_D)表示攻防参与者的策略空间，其中攻击策略集S_A＝{A₁,A₂,…,A_m}，防御策略集 S_D＝{D₁,D₂,…,D_n}，m和n表示攻防策略数量，满足m,n∈Z且m,n≥2；

4)表示t时刻的攻防演化的状态空间，是一个二维随机变量，其中表 示攻击群体中选择策略A_i的攻击者数量，满足且表示 防御群体中选择策略D_j的防御者数量，满足且状态空间χ(t) 的规模为(N_A+1)(N_D+1)；

5)α＝(α₁,α₂)表示攻防参与者的学习程度集合，用于描述攻防参与者对决策环境、对手信 息及不同策略博弈产生的收益差等信息的掌握程度，其中α₁是攻击者的学习程度，α₂是防御 者的学习程度，且满足α₁∈[0,2],α₂∈[0,2]；

6)β表示攻防参与者的噪声因子，用来描述攻防过程中的随机扰动，满足β＞0；

7)U＝(U_A,U_D)是攻防双方收益函数的集合，它由攻防双方的策略共同决定，不同的攻防 策略组合所获得的收益也不同。

当攻击者采用策略A_i，防御者采用策略D_j时，攻击者和防御者的策略收益分别用a_ij和d_ij表示。由此可得，攻击者在博弈中使用策略A_i的期望收益为和防御者在博弈中使用策 略D_j的期望收益

并且在攻防参与者对对手博弈信息不确定的情况下，均以策略ψ_A(t),ψ_D(t)参与博弈，即：

进一步地，本发明实施例中，依据QBD攻防随机演化博弈模型，构造对应的拟生灭过程， 获取拟生灭过程的状态空间，建立平衡方程。

根据QBD攻防随机演化博弈模型，构造出与其对应的拟生灭过程，记为由此可知这个拟生灭过程的状态空间为： Θ＝{(0,0),(0,1)，...(0,N_D)；(1,0),(1,1),...(1,N_D)；...；(N_A,0),(N_A,1),...(N_A,N_D)}。

进一步地，本发明实施例中，建立平衡方程过程如下：首先，定义攻击者和防御者策略 选择的转移概率；依据转移概率矩阵，构造出拟生灭攻防演化过程，得到攻防演化过程的平 衡方程。

首先，定义攻击者策略选择的转移概率

其中，A_-i＝(A₁,…,A_i-1,A_i+1,…,A_m)表示除i之外的所有攻击策略组成的向量，表示A_i之外的其它策略的期望收益中的最大 值，表示选取策略A_-i的攻击者将改变策略，转而选取策略A_i的概率，表示选取策 略A_i的攻击者改变策略，转而选取策略A_-i的概率。

同理，防御者策略选择的转移概率

其中，表示选取策略D_j的防御者将改变策略，转而选取策略D_-j的概率，表 示选取策略D_-j的防御者将改变策略，转而选取策略D_j的概率。

则拟生灭攻防演化过程的转移概率矩阵为：

上述矩阵中，表示矩阵Q_β主对角线上的子矩阵，记为：

当k＝0时，记：

当1≤k≤N_A-1时，记：

当k＝N_A时，记：

此外，是矩阵Q_β右上次对角线的子矩阵，记为：

表示矩阵Q_β左下次对角线的子矩阵，记为：

进一步地，本发明实施例中，平衡状态求解过程中，首先对平衡方程进行初等变换并求 解，由正常返条件获取QBD攻防演化过程平稳概率分布，从而得到攻防随机演化博弈的平衡 概率分布。优选的，依据平衡方程的非线性齐次方程组性质，采用高斯消元法对平衡方程进 行初等变换。优选的，平衡方程求解中，通过分析博弈群体间的对抗分析和群体内的相互学 习，获取博弈信息，计算不同策略博弈产生的收益，以期望收益、学习程度和噪声因子决定 转移概率。

令表示QBD的平稳概率分布，其中假定 QBD过程正常返，则平衡方程P(β)Q_β＝0,P(β)e＝1，并且可知为方便理解，令则平衡方程等价于

本发明实施例中所构建的平衡方程实际是一个非线性齐次方程组，通过采用基于分块矩 阵的Guass消元法，对平衡方程进行初等变换，求解QBD平衡方程，由正常返的条件可知P(β) 为QBD平稳概率分布，从而得到攻防随机演化博弈的长期稳定均衡。

进一步地，本发明实施例还提供一种基于QBD攻防随机演化博弈模型的攻击预测装置， 参见图2所示，包含：模型构建模块101、方程建立模块102和分析求解模块103，其中，

模型建立模块101，用于将攻防演化过程抽象为拟生灭过程QBD，引入学习程度和噪声 因子刻画随机扰动下攻防参与者策略学习调整的动态演化轨迹，构建QBD攻防随机演化博弈 模型；

方程建立模块102，用于依据QBD攻防随机演化博弈模型建立拟生灭攻防对抗过程的平 衡方程；

分析求解模块103，用于对平衡方程进行求解，获取拟生灭攻防对抗过程的策略平衡概 率分布；依据策略平衡概率分布，得到最具威胁的攻击策略。

进一步地，本发明实施例还提供一种网络安全***，包含上述实施例中的基于QBD攻防 随机演化博弈模型的攻击预测装置，用于对网络***中的攻击行为进行预测分析。

为验证本发明实施例中提出的QBD随机演化博弈模型的有效性和攻击预测的准确性，在 特定的网络信息***环境进行实验，如图3所示，网络***环境主要由外网攻击群、DMZ域 和内网组成，其中网络安全防护设备有防火墙、入侵防御设备和堡垒主机，用于保护内网的 数据库服务器，防止数据资源被窃取。通过Nessus对***环境进行扫描，参照美国MIT的攻 防行为数据库，根据国家信息安全漏洞库(CNNVD)信息，设计实验中采用的攻防策略集，即攻 击策略为A₁(数据库监听)和A₂(端口扫描攻击)，防御策略为D₁(数据库升级)和D₂(关闭闲置 的端口服务)。

基于建立的QBD随机演化博弈模型，考虑到攻防参与者有限理性的特点，在追求信息安 全的风险和投入之间均衡的前提下，使各自的收益最大化，由此，参考收益量化方法，结合 拟生灭过程的特点，计算不同攻防策略博弈产生的收益，可得表1的攻防策略收益矩阵。

表1攻防策略收益矩阵

并且假设攻击者的数量为N_A＝8，防御者的数量为N_D＝10。

考虑攻防对抗过程中受到一定随机扰动的影响，假定噪声因子β＝0.5。在这样的仿真场 景下，通过改变学习程度参数α_i(i＝1,2)，观察攻防双方学习程度的提升对攻击预测的影响， 即当α₁＝α₂＝α＝0.1,0.5,1.0,2.0时，研究攻防双方博弈的演化规律。

求解本组QBD攻防随机演化博弈模型的平稳概率分布。当α＝0.1，通过计算可得平稳概 率分布的P矩阵为：

设：

其中，表示攻击群体中采用策略A₁的攻击者数量为i，同时防御群体中选取策略D₁的 防御者数量为j的平稳概率。表示多次博弈后攻击群体中采用策略A₁的攻击者 数量为i的平稳概率；表示多次博弈后防御群体中采用策略D₁的防御者数量为 j的平稳概率。由此可得攻防群体演化博弈的策略平稳概率分布如图4和5所示，其中，图4 为α＝0.1时攻击群体的平稳概率分布，图5为α＝0.1时防御群体的平稳概率分布

图4中攻击群体的平稳概率分布，横坐标表示攻击者的数量，即选择策略A₁或者A₂的攻 击者数量，纵坐标表示策略A₁的平稳概率。α＝0.1时，攻击群体中所有攻击者选择策略A₁的 概率仅为58.79％，也就是说，7个攻击者选取策略A₁但有1个攻击者选取策略A₂的概率为 24.44％，有6个攻击者选取策略A₁但有2个攻击者选取策略A₂的概率为10.07％。因此，数值 结果表明攻击策略选取产生了显著的分歧。同理，由图5可知，所有防御者选择策略D₁的概 率仅为65.39％，而其中有1个防御者选取策略D₂的概率为22.61％，策略选取明显不一致。

同理可得，当α＝α₁＝α₂＝0.1,0.5,1.0,2.0时，即攻防群体演化博弈在不同学***稳概率分布结果，见表2和表3。其中表示攻击群体中选取策略A₁的攻 击者数量为i；表示防御群体中选取策略D₁的防御者数量为j。

表2在不同学***稳概率分布结果

表3在不同学***稳概率分布结果

通过Matlab2016b仿真得到如图6和7所示的不同学*** 稳概率分布图，可以直观地分析和比较表2、表3所示的两组数值结果。

根据学***稳概率分布变化趋势。当α趋向于2时，攻击策略选 取收敛于最优策略A₁，防御策略选取收敛于最优策略D₁，即攻击群体中所有攻击者选取策略A₁的概率为96.94％(误差小于5％)，而防御群体中所有防御者选取策略D₁的概率为96.61％(误差 小于5％)。

由上述数值结果可以得出以下结论：通过群体间的对抗分析和同一群体内的相互学***稳概率分布不一定收敛于某一特定的策略。

假定学***稳概率分 布，可得到在不同噪声因子下，攻防群体的内部演化博弈结果如表4、表5所示。

表4在不同噪声因子下，攻击群体演化博弈的平稳概率分布结果

表5在不同噪声因子下，防御群体演化博弈的平稳概率分布结果

图8和图9可直观地得出攻防群体的内部演化规律。当β＝0.2时，攻击者(防御者)的行 为受随机扰动的影响较小，策略选取具有高度一致性，即攻击群体中所有攻击者选择策略A₁的 概率为96.53％，防御群体中所有防御者选取D₁的概率为96.15％。然而，随着β逐渐增大，当 β＝5.0时，受随机扰动的影响明显，群体中的攻击者在策略选取上产生分歧。攻击群体中所 有攻击者选择A₁的概率仅有49.39％，有1个攻击者选择策略A₂的概率为25.41％，有2个攻击 者选择A₂的概率为12.96％；同样地，防御群体的数据结果也表明，β＝5.0时，所有防御者采 用策略D₁的概率仅有59.51％，而群体中有1个防御者选择策略D₂的概率为24.01％，策略选 取明显不一致。

本发明针对攻防群体在博弈过程中受随机扰动的影响，通过引入学***衡方程进行求解，得到攻防群体极限情况下策略的平稳概率分布，从而可知 最具威胁的攻击策略，达到攻击预测的效果。研究结果表明，随着攻防演化的推进，攻防群 体通过收集对方博弈特征信息，逐步加深对决策环境和对手的了解，学习程度不断增强，在 参与者选择策略方面没有出现明显的分歧，所有参与者倾向于选择演化稳定的策略。但是， 随着随机扰动的增强，使博弈***趋于不稳定，博弈结果主要受到随机扰动的影响，攻防群 体在策略选择上出现明显分歧。在实际攻防场景中，随机因素不可避免，但尽可能地降低随 机因素的影响，增强学习程度，对于指导实际网络攻击预测具有指导性意义。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和 数值并不限制本发明的范围。

基于上述的方法，本发明实施例还提供一种服务器，包括：一个或多个处理器；存储装 置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得 所述一个或多个处理器实现上述的方法。

基于上述的方法，本发明实施例还提供一种计算机可读介质，其上存储有计算机程序， 其中，该程序被处理器执行时实现上述的方法。

本发明实施例所提供的装置，其实现原理及产生的技术效果和前述方法实施例相同，为 简要描述，装置实施例部分未提及之处，可参考前述方法实施例中相应内容。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的***和装置 的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在 一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方 案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体 现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备 (可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或 部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、 随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码 的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技 术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进 行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发 明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变 化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术 方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。 因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (10)

1.一种基于QBD攻防随机演化博弈模型的攻击预测方法，其特征在于，包含如下内容：

将攻防演化过程抽象为拟生灭过程QBD，引入学习程度和噪声因子刻画随机扰动下攻防参与者策略学习调整的动态演化轨迹，构建QBD攻防随机演化博弈模型；

依据QBD攻防随机演化博弈模型建立拟生灭攻防对抗过程的平衡方程；

对平衡方程进行求解，获取拟生灭攻防对抗过程的策略平衡概率分布；依据策略平衡概率分布，得到最具威胁的攻击策略。

2.根据权利要求1所述的基于QBD攻防随机演化博弈模型的攻击预测方法，其特征在于，QBD攻防随机演化博弈模型通过七元组表示：QBD-ADSEGM＝(Γ,N,S,χ(t),α,β,U)，其中，Γ表示攻防博弈群体，N表示攻防参与者数量，S表示攻防参与者策略空间，χ(t)表示t时刻攻防状态空间，α表示攻防参与者学习程度集合，β表示攻防参与者噪声因子，U表示攻防双方受益函数集合。

3.根据权利要求1或2所述的基于QBD攻防随机演化博弈模型的攻击预测方法，其特征在于，攻防参与者学习程度集合包含用于描述攻击者对攻防信息掌握程度的学习参数和用于描述防御者对攻防信息掌握程度的学习参数；攻防参与者噪声因子，用来描述攻防过程中的随机扰动，并设定攻防参与者噪声因子大于0。

4.根据权利要求1所述的基于QBD攻防随机演化博弈模型的攻击预测方法，其特征在于，依据QBD攻防随机演化博弈模型，构造对应的拟生灭过程，获取拟生灭过程的状态空间，建立平衡方程。

5.根据权利要求1或4所述的基于QBD攻防随机演化博弈模型的攻击预测方法，其特征在于，建立平衡方程过程如下：首先，定义攻击者和防御者策略选择的转移概率；依据转移概率矩阵，构造出拟生灭攻防演化过程，得到攻防演化过程的平衡方程。

6.根据权利要求1所述的基于QBD攻防随机演化博弈模型的攻击预测方法，其特征在于，平衡状态求解过程中，首先对平衡方程进行初等变换并求解，由正常返条件获取QBD攻防演化过程平稳概率分布，从而得到攻防随机演化博弈的平稳概率分布。

7.根据权利要求6所述的基于QBD攻防随机演化博弈模型的攻击预测方法，其特征在于，依据平衡方程的非线性齐次方程组性质，采用高斯消元法对平衡方程进行初等变换。

8.根据权利要求6所述的基于QBD攻防随机演化博弈模型的攻击预测方法，其特征在于，平衡方程求解中，通过分析博弈群体间的对抗分析和相互学习，获取博弈信息，计算不同策略博弈产生的收益，以期望收益、学习程度和噪声因子决定转移概率。

9.一种基于QBD攻防随机演化博弈模型的攻击预测装置，其特征在于，包含：模型构建模块、方程建立模块和分析求解模块，其中，

模型建立模块，用于将攻防演化过程抽象为拟生灭过程QBD，引入学习程度和噪声因子刻画随机扰动下攻防参与者策略学习调整的动态演化轨迹，构建QBD攻防随机演化博弈模型；

方程建立模块，用于依据QBD攻防随机演化博弈模型建立拟生灭攻防对抗过程的平衡方程；

分析求解模块，用于对平衡方程进行求解，获取拟生灭攻防对抗过程的策略平稳概率分布；依据策略平稳概率分布，得到最具威胁的攻击策略。

10.一种网络安全***，其特征在于，包含权利要求9所述的基于QBD攻防随机演化博弈模型的攻击预测装置。