CN110602047B - 面向网络攻防的多步攻击动态防御决策选取方法及*** - Google Patents

Abstract

本发明属于网络安全技术领域，特别涉及一种面向网络攻防的多步攻击动态防御决策选取方法及***，该方法包含：通过分析网络安全要素信息，生成网络属性攻击图；基于攻击图构建网络生存性博弈模型，其中，模型利用攻防策略矩阵表示攻防策略和路径，并对攻防强度和网络生存性进行量化；根据模型中攻击策略矩阵预测攻击者下一步的攻击行为，并根据攻防策略成本选取最优多步攻击防御策略。本发明围绕网络生存性实施攻防策略，能够依据网络动态变化的攻防态势，调整形势预判和防御策略，为网络安全管理人员提供易于理解、合理的防御决策，提高网络防御能力，具有较好的应用前景，对网络安全技术具有重要指导意义和价值。

Description

面向网络攻防的多步攻击动态防御决策选取方法及***

技术领域

本发明属于网络安全技术领域，特别涉及一种面向网络攻防的多步攻击动态防御决策选取方法及***。

背景技术

目前针对网络安全防御的研究成果很多，但是主要围绕防火墙、入侵检测和信息加密等网络防御技术展开，存在“重技术，轻战法”的问题。网络防御技术是确保网络安全的关键因素之一，但技术本身并不是网络攻防对抗中胜利的唯一主宰。在传统对抗中，决策水平的高低和策略的制定对胜负具有重要影响。同样，在网络攻防对抗中合理的决策方法也具有十分重要的作用。在攻击和防御的技术水平相差不大时，攻防决策的水平高低直接决定网络攻防对抗的结果；在攻击和防御的技术水平差距较大时，技术水平较低的一方也可通过科学的决策争取最大利益，甚至取得最终胜利。因此，研究网络防御决策方法，对于提高网络防御能力，确保网络安全具有重要意义和指导价值。网络防御决策帮助网络防御者依据动态变化的攻防局势，调整形势判断和防御策略，争取最优的网络安全态势，其目的是建立网络态势和防御措施之间的映射关系。

现有的网络防御决策方法可以归纳为三类：(1)基于成本的防御决策方法。基于成本的防御决策方法是综合考虑攻击损失和防御成本来决定是否进行防御以及选择哪个防御动作。基于成本的防御决策方法是当前的主流决策方法，主要目标是实现防御成本最小化，包括成本敏感模型，虽然该模型比较简单，攻防成本的量化也比较粗糙，但其基于成本的决策思想具有重要借鉴意义。基于博弈论的防御决策方法能从攻防对抗的角度分析网络攻防双方的最优行为，与其它决策方法相比，更加符合网络安全对抗中攻防策略相互依存和相互制约的特点。(2)静态防御决策方法。静态防御决策方法是将特定的攻击告警直接映射到某个对应的防御动作上。静态防御决策方法优点在于方法简单、响应速度快，不足在于其告警与防御动作的映射关系固定，容易遭受到攻击者的猜测和利用，并且网络的动态变化易导致静态防御决策方法失效。(3)动态防御决策方法。动态防御决策方法是综合考虑攻击严重程度、攻击告警的误报率、攻击告警等多个因素并将其映射到某个防御动作上。动态防御决策方法优点在于综合考虑了多个因素，从这一点上讲要优于静态映射，但静态映射和动态映射都没有对防御的代价进行考虑，往往会被攻击者利用而导致防御得不偿失，由于具有良好的可扩展性和自适应性，成为当前的重要技术手段。在上述方法中，基于动态防御决策方法具有良好的自学习能力，成为目前网络防御技战术的主流方法，随着网络规模的扩大、复杂性的增加和攻击技术的不断发展，当大量的网络关键服务节点遭受攻击时，为满足网络的正常运转，需保证防御策略实施后能够提供足够的网络服务，使得网络得以生存，因此，如何围绕网络的生存性实施攻防策略，成为目前亟待解决的技术难题。

发明内容

为此，本发明提供一种面向网络攻防的多步攻击动态防御决策选取方法及***，克服现有技术的局限性，以实现网络生存性为目标，有效降低网络攻击的危害程度，便于在实际网络中开展应用。

按照本发明所提供的设计方案，一种面向网络攻防的多步攻击动态防御决策选取方法，包含：

通过分析网络安全要素信息，生成网络属性攻击图；

基于攻击图构建网络生存性博弈模型，其中，模型利用攻防策略矩阵表示攻防策略和路径，并对攻防强度和网络生存性进行量化；

根据模型中攻击策略矩阵预测攻击者下一步的攻击行为，并根据攻防策略成本选取最优多步攻击防御策略。

上述的动态防御决策选取方法中，进一步地，从当前网络配置信息中抽取网络安全要素，生成网络属性攻击图。

上述的动态防御决策选取方法中，进一步地，网络生存性博弈模型表示为 NSGM＝(N,S,V,SI,g,U,f)，其中，N表示攻防博弈参与人，S表示攻防策略矩阵，矩阵中总行数表示攻击路径节点数，总列数表示单个攻击路径节点存在的最大攻防策略数，V 表示网络生存性度量值，SI表示策略强度，g表示攻防策略选取函数关系式，U表示攻防策略成本矩阵，f表示攻防成本矩阵与攻防成本之间的函数关系式。

上述的动态防御决策选取方法中，进一步地，采用林肯实验室攻防行为数据库中的攻防动作强度来量化分析攻防行为对网络***的影响程度，以确定网络生存性度量值。

上述的动态防御决策选取方法中，进一步地，攻防策略选取函数关系式表示为：

当攻击者选择攻击策略a_ij时，防御者为保持网络***安全，防御措施在

中选择，且

表示对节点i采取防御措施的集合，a_ij表示第i个节点的攻击策略j。

上述的动态防御决策选取方法中，进一步地，攻防成本矩阵与攻防成本之间的函数关系式表示为：当攻击者对***中节点i采取攻击措施j时，防御者的防御措施为

则存在如下函数关系式：

表示攻击者攻击节点i采取策略j的攻击成本，

表示防御者对节点i采取防御措施集合的成本矩阵。

上述的动态防御决策选取方法中，进一步地，首先根据网络拓扑关系和网络节点漏洞信息，得到攻防策略矩阵，利用范数计算公式计算单步攻防动作的成本矩阵；然后，对攻防动作步数进行分析，将多步攻防行为分成多个单步攻防行为，依据单步攻防动作的成本矩阵，得到多步攻防成本矩阵；将满足可生存性条件下防御成本最少的防御策略作为最优防御策略。

上述的动态防御决策选取方法中，进一步地，防御者根据多个攻击动作从候选策略集合中选取防御子策略组合，使得网络生存性度量值大于等于0且成本最少的防御策略为最终输出的最优多步攻击防御策略。

更进一步地，本发明还提供一种面向网络攻防的多步攻击动态防御决策选取***，包含：信息分析模块、模型构建模块和策略选取模块，其中，

信息分析模块，用于通过分析网络安全要素信息，生成网络属性攻击图；

模型构建模块，用于基于攻击图构建网络生存性博弈模型，其中，模型利用攻防策略矩阵表示攻防策略和路径，并对攻防强度和网络生存性进行量化；

策略选取模块，用于根据模型中攻击策略矩阵预测攻击者下一步的攻击行为，并根据攻防策略成本选取最优多步攻击防御策略。

更进一步地，本发明还提供一种网络架构，包含主机、服务器以及入侵防御***，所述入侵防御***设置有上述的动态防御决策选取***。

本发明的有益效果：

本发明通过分析网络安全要素信息，生成网络属性攻击图；基于攻击图构建网络生存性博弈模型，其中，模型利用攻防策略矩阵表示攻防策略和路径，并对攻防强度和网络生存性进行量化；根据模型中攻击策略矩阵预测攻击者下一步的攻击行为，并根据攻防策略成本选取最优多步攻击防御策略；围绕网络生存性实施攻防策略，能够依据网络动态变化的攻防局势，调整形势判断和防御策略，为网络安全管理人员提供易于理解、合理的防御决策，提高网络防御能力，能够提高网络安全治理能力。

附图说明：

图1为实施例中动态防御策略选取方法流程图；

图2为“WannaCry”勒索攻击过程示意；

图3为实施例中动态防御策略选取***示意；

图4为实施例中网络架构环境示意；

图5为实施例中动态防御决策原理示意图；

图6为实施例中攻击动作强度示意；

图7为实施例中防御动作强度示意；

图8为实施例中节点示意；

图9为实施例中基于漏洞利用的原子攻防序列示意；

图10为实施例中网络属性攻击图示意。

具体实施方式：

为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。

当前，计算机网络已成为信息化建设的支撑性基础设施，网络规模得到***式的发展。网络在给人类工作、生活带来巨大便利的同时，也带来了日益严峻的网络安全问题，2017 年5月，一种名为“WannaCry”的勒索病毒在短短数小时内就席卷了全球数十个国家，医疗、政府、企业等各行业机构均遭受到严重损失。“WannaCry”勒索攻击是一种典型多步APT攻击，其过程如附图2，病毒传播过程主要利用到Windows的2个漏洞，攻击者首先锁定企业、机构、政府部门的资源，通过互联网搜集、主动扫描被攻击目标的情报，利用漏洞CVE-2017-0199 发送钓鱼邮件，将病毒添加在Office附件里，PC一旦打开附件，勒索病毒释放成可执行文件，第一个传播的源头被感染成功；第二步是借助“永恒之蓝”漏洞攻击工具，利用漏洞 CVE-2017-7494攻击局域网内所有开放了TCP445端口的Windows***主机，完成横向渗透，并提升权限实现文件信息共享。2018年3月末，思科高危漏洞CVE-2018-0171被黑客利用发动攻击，国内多家机构中招，配置文件被清空，安全设备形同虚设，再次敲响了网络安全的警钟。面对日益猖獗的网络攻击，必须提高对网络安全的认识程度，重视网络安全防御的研究与发展，增强网络防御能力和威慑能力。因此，发明高效的网络防御决策方法，对于提高网络防御能力，确保网络安全具有重要的现实意义和实际应用价值。为此，本发明实施例中，参见图1所示，提供一种面向网络攻防的多步攻击动态防御决策选取方法，包含如下内容：

S101)通过分析网络安全要素信息，生成网络属性攻击图；

S102)基于攻击图构建网络生存性博弈模型，其中，模型利用攻防策略矩阵表示攻防策略和路径，并对攻防强度和网络生存性进行量化；

S103)根据模型中攻击策略矩阵预测攻击者下一步的攻击行为，并根据攻防策略成本选取最优多步攻击防御策略。

通过分析网络安全要素信息，抽取网络属性攻击图，基于属性攻击图理论构建网络生存性博弈模型，利用攻防矩阵表示攻防策略和路径，并量化攻防强度和网络生存性；基于攻防策略成本给出最优防御决策；围绕网络生存性实施攻防策略，能够依据网络动态变化的攻防局势，调整形势判断和防御策略，为网络安全管理人员提供易于理解、合理的防御决策。

进一步地，本发明实施例中，从当前网络配置信息中抽取网络安全要素，生成网络属性攻击图。

博弈模型包含博弈者、攻防策略、攻防成本等要素，在基于网络生存性度量网络安全状态的基础上，加入了网络生存性度量值，并且量化了攻防策略对网络生存性的影响。进一步地，本发明实施例中，网络生存性博弈模型表示为NSGM＝(N,S,V,SI,g,U,f)，其中，N表示攻防博弈参与人，S表示攻防策略矩阵，矩阵中总行数表示攻击路径节点数，总列数表示单个攻击路径节点存在的最大攻防策略数，V表示网络生存性度量值，SI表示策略强度，g表示攻防策略选取函数关系式，U表示攻防策略成本矩阵，f表示攻防成本矩阵与攻防成本之间的函数关系式。N＝(N_A,N_D)，N表示攻防博弈的参与人集合，N_A表示攻击者，N_D表示防御者。S＝(S_A,S_D)表示攻防策略矩阵，其中：

n表示该条攻击路径包含的主机节点数，且攻击顺序为1→n，m表示攻击者在对n个节点进行攻击时，对某个节点存在的最多的攻击策略数，k表示防御者对n个节点进行防御时，对某个节点存在的最多的防御策略数，a_ij表示第i个节点的攻击策略j；d_ij表示第i个节点的防御策略j。矩阵元素由0,1构成，表示攻击者或防御者是否选择该策略。为了方便对***防御和攻击策略进行分析，给出每个节点的攻击策略向量和防御策略向量表示：

V表示网络生存性度量值(Network Survivability Metric，NSM)，表示在网络遭受故意攻击或意外安全事件时是否能确保关键任务的完成和确保足够的信息可用性和服务连续性的量化值。为了量化分析攻防行为对网络***的影响程度，进一步地，本发明实施例中，采用林肯实验室攻防行为数据库中的攻防动作强度来分析网络攻防策略对***的影响，以确定网络生存性度量值。SI＝(SI_A,SI_D)表示策略强度(Strategy Intensity)。SI_A表示攻击策略强度， SI_D表示防御策略强度，且SI∈[0,1]。

V＝SI_D-SI_A (1)

由于V∈[-1,1]，当V∈[0,1]时，表示网络***当前安全，有继续提供服务的能力；当V∈[-1,0)，表示网络***存在较大的风险，生存性较低，且V越小，风险越大，服务能力越低。

g表示攻防策略选取函数关系式，攻击者对***进行攻击时，首先选择攻击节点，则相对应的存在攻击向量

攻击者选择向量中的一个元素a_ij。进一步地，本发明实施例中，对防御者来说，为了维护网络***的安全，在面临某个攻击时，需要对攻击动作做出反应，因此，得到一个防御策略集合，在攻击者选择攻击策略a_ij时，防御者选择防御策略集合中的任意一个元素，使得V≥0，则存在一个函数关系式为：

引用集合中的上确界表达式对防御策略集进行表达。式(2)表示当攻击者选择攻击策略a_ij时，防御者为了保持网络***安全，防御措施只能在

中选择，且

表示对节点i采取的防御措施的集合。

U＝(U_A,U_D)表示攻击者和防御者选择策略后各自成本值组成的成本矩阵，表示为：

U_A表示攻击成本矩阵，U_D表示防御成本矩阵，

表示攻击者攻击节点i采取策略j的攻击成本，

表示防御者对节点i采取防御措施j的成本。分析攻击者对网络***某个节点采取攻击时，攻击者和防御者的成本情况。

f表示攻防成本矩阵与攻防成本之间的函数关系式，进一步地，本发明实施例中，当攻击者对***中节点i采取攻击措施j时，防御者的防御措施为

则：

进一步地，本发明实施例中，首先根据网络拓扑关系和网络节点存在漏洞，得到攻防策略矩阵，利用范数计算公式计算单步攻防动作的成本矩阵；然后，对攻防动作步数进行分析，将多步攻防行为分成多个单步攻防行为，依据单步攻防动作的成本矩阵，得到多步攻防成本矩阵；将满足可生存性条件下成本最少的防御策略作为最优防御策略。

进一步地，本发明实施例中，防御者根据多步攻击动作从候选防御策略集中选取最优策略组合，使得网络维持生存性度量值大于0；并确定使得网络生存性度量值大于等于0且成本最少的防御策略为最终输出的最优多步攻击防御策略。

首先根据网络拓扑关系和网络节点存在的漏洞，得到攻击者的攻击策略矩阵S_A，其中S_A表示由0,1组成的n×m矩阵。例如：

其中，

中只有1_ij一个元素为1，其余元素为0；

表示攻击者对节点i实施攻击策略j的一步攻击动作。

为了对攻击策略成本矩阵进行数学计算，利用范数计算公式进行攻击策略成本的计算：

设存在矩阵B，则根据的元素形式范数计算公式得到||B||p：

则根据攻防成本矩阵与攻击成本之间的函数关系式，得到单步攻击动作的成本为：

其中，f_A ⁱ表示攻击i步后的成本，

表示攻击者第A₁步攻击的成本。

下面结合一个简单的实例对单个攻击策略的攻击成本进行说明：

假设网络***中的节点n具有i个漏洞，且每个漏洞有一种攻击策略，则攻击策略矩阵为

且攻击i个漏洞的攻击成本矩阵为

则根据式(4)可知攻击者在攻击节点n时的攻击成本为：

当攻击者攻击漏洞l(1≤l≤i)时，攻击成本为：

首先对攻击者的攻击步数进行分析。攻击者在对网络***进行攻击时，有时由于能力限制或者对网络***信息掌握不足，导致某些攻击动作不成功，则攻击者存在对相同目标进行相同攻击动作的情况。假设攻击者在对相同的节点进行攻击时，攻击次数越多，攻击成本越少，给定参数λ∈(0,1)，当对某个相同目标执行第n次相同攻击动作时，第n次的攻击成本为第一次的λⁿ倍。根据上述情况，下面对多步攻击动作进行分析，则攻击者在实施攻击动作时，可以分成单步攻击动作的情况进行分析，因此将多步攻击行为分成多个单步攻击行为进行分析。下面给一个简单的例子进行分析：

当攻击者实施多步攻击时，计算攻击者的多步攻击成本，攻击者实施了

等q 步攻击策略，则q步的攻击成本为：

由于存在重复攻击的情况，因此在对攻击成本进行计算时，考虑f_A ^q中系数不为1的函数关系式：

其中υ₁₁,υ₁₂,...,υ_nm∈{0,1,2,...}为相应的攻击策略的攻击次数。

防御者在面对攻击者的攻击时，由于具有候选防御策略集合，因此只需要在集合中选取防御决策分析防御成本。当攻击实施一步攻击动作时，且没有发现其余的攻击动作，则由式 (1)可知，防御者存在防御策略选择，且防御者的防御策略成本是以集合的形式表示的。在面对已知***漏洞和告警关联关系时，防御者的防御策略会根据攻击者的攻击策略进行改变。当攻击者的攻击策略为a_ij时，防御者的防御策略集为

防御者采取的防御策略在保证网络***生存的情况下的成本最少，则称该防御策略为最优防御策略。因此防御者在面对攻击者的攻击动作时，当：

则在式(7)的条件下，得到防御策略为d_il，且

则防御策略矩阵为：

其中，

中元素只有d_il为1，其余元素为0。

下面结合一个简单的实例对防御策略成本进行计算说明：

假设攻击目标主机节点m上存在漏洞i，且针对漏洞i的防御策略有j种，则防御策略矩阵为

根据最优防御决策原则可知，在满足网络可生存性条件下的成本最少的防御策略为最优防御决策，则根据式(2)取防御矩阵

中的防御策略为：

其中，满足：

与单个攻击策略成本计算方式相同，得到单个防御策略成本为：

防御者根据多步攻击动作选取最优防御子策略组合，使得网络***维持生存性度量值大于0。防御动作与攻击动作成本的分析相同，此处不再赘述。假设攻击者与防御者业务能力相同，当防御者多次实施相同防御策略时，防御成本相应减少，且参数也为λ。则根据式(5)、 (6)得到多步防御策略成本为：

其中，当p＝1时，即为特殊的单步防御策略成本计算公式，即式(4)，η₁₁,η₁₂,...,η_nk为相应的防御策略实施的次数。对于η₁₁,η₁₂,...,η_nk，当

则表示根据攻击者的攻击策略选取的防御策略，使得网络的可生存性V≥0且成本最少的防御策略即为d_ij。

更进一步地，本发明实施例还提供一种面向网络攻防的多步攻击动态防御决策选取***，参见图3所示，包含：信息分析模块101、模型构建模块102和策略选取模块103，其中，

信息分析模块101，用于通过分析网络安全要素信息，生成网络属性攻击图；

模型构建模块102，用于基于攻击图构建网络生存性博弈模型，其中，模型利用攻防策略矩阵表示攻防策略和路径，并对攻防强度和网络生存性进行量化；

策略选取模块103，用于根据模型中攻击策略矩阵预测攻击者下一步的攻击行为，并根据攻防策略成本选取最优多步攻击防御策略。

更进一步地，本发明实施例还提供一种网络架构，包含主机、服务器以及入侵防御***，所述入侵防御***设置有上述实施例中的动态防御决策选取***。

为了验证本发明实施例中防御策略选取对网络***安全的影响，构建网络环境如图4所示，具体包含3个主机和2个服务器，以及2个防火墙和2个IDS，并通过图5所示的原理图实现动态防御。

在图2的实验环境中，攻击者通过网络对***中的主机和服务器进行攻击。首先给出附图6、附图7的攻防动作强度表；攻防成本是基于攻击者和防御者的能力是在同一水平下确定的，不同的攻防强度得到不同的攻防成本，为了提高实时分析效率，本发明将攻防成本分为三个等级，分别对应攻防强度如附图6、附图7所示；附图8为实验环境的网络***节点的信息表；附图9是查询漏洞字母表CVE和美国国家漏洞数据库NVD得到具体的漏洞攻防动作表。

由附图4中的网络环境可知，攻击者需要通过互联网攻击DMZ隔离区域的服务器，然后才能攻击Trusted信任区域的主机，攻击者获得的权限从Web、Data、H1、H2、H3依次递增，即表示攻击者在获得后者的权限之后，不会再对前面的节点进行攻击。结合附图8网络开放的端口信息，可知该网络环境的属性攻击图，如附图10所示。由附图10可知，该网络***有4条攻击路径：

i.Attacker→192.168.1.3→192.168.1.6Attacker→192.168.1.3→192.168.1.6

ii.Attacker→192.168.1.2→192.168.1.3→192.168.1.6

iii.Attacker→192.168.1.2→192.168.1.5→192.168.1.7

iv.Attacker→192.168.1.2→192.168.1.7

根据附图4、附图7和节点的漏洞信息，可知攻击矩阵和防御矩阵为：

当***入侵防御***监测到节点被攻击时，利用攻防策略矩阵的策略选择可以实时为***安全管理人员提供精确的防御决策和建议。

下面假设在上述实验中由入侵防御***监测到攻击策略为：

且攻击次数为1。

根据式(6)可知攻击成本为：

首先根据发生的攻击行为的IP地址确定攻击策略所处的策略矩阵为S_iii，且SI_A＝0.45 SI_A＝0.45，然后根据式(2)可知：

根据式(8)可知防御成本为：

则为***安全管理人员提供的防御策略为

和

根据攻击策略所在的策略矩阵可知，攻击者下一步很可能对节点192.168.1.7实施攻击，因此需要提前对节点192.168.1.7可能发生网络攻击行为的情况进行分析。

下面对多步攻击行为的防御策略选择的情况进行分析，假设攻击者实施攻击的策略为：

且攻击次数分别为3次和1次。根据攻击行为a₅，对λ进行赋值为 0.7。

根据式(6)可知攻击成本为：

根据IP地址确定攻击策略矩阵为S_iii，且

根据式(2)可知：

根据式(8)可知防御成本的3种情况为：

则为***安全管理人员提供实时的防御策略为

和

组合或

和

组合。

本发明实施例中利用从当前网络配置信息中抽取网络安全要素，生成网络攻击图；其次，利用攻防矩阵表示攻防策略和路径；然后，利用林肯实验室攻防行为数据库量化攻防策略对网络***生存性的影响；同时，通过分析攻防动作强度和网络安全状态，为网络安全管理员提供实施单点防御措施的建议；最后，根据攻击策略矩阵预测攻击者下一步的攻击行为，根据相应的攻防策略的成本，选取成本最低的最优多步攻击防御策略，为网络安全管理人员提供易于理解、合理的防御决策。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。

基于上述的方法，本发明实施例还提供一种服务器，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述的方法。

基于上述的方法，本发明实施例还提供一种计算机可读介质，其上存储有计算机程序，其中，该程序被处理器执行时实现上述的方法。

本发明实施例所提供的***，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，***实施例部分未提及之处，可参考前述方法实施例中相应内容。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的***和装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

附图中的流程图和框图显示了根据本发明的多个实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/ 或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的***来实现，或者可以用专用硬件与计算机指令的组合来实现。

在本申请所提供的几个实施例中，应该理解到，所揭露的***、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个***，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims (9)

1.一种面向网络攻防的多步攻击动态防御决策选取方法，其特征在于，包含：

通过分析网络安全要素信息，生成网络属性攻击图；

基于攻击图构建网络生存性博弈模型，其中，模型利用攻防策略矩阵表示基于路径的攻防策略，并对攻防强度和网络生存性进行量化；

根据模型中攻击策略矩阵预测攻击者下一步的攻击行为，并根据攻防策略成本选取最优多步攻击防御策略；

网络生存性博弈模型表示为NSGM＝(N,S,V,SI,g,U,f)，其中，N表示攻防博弈参与人，S表示攻防策略矩阵，矩阵中总行数表示攻击路径节点数，总列数表示针对单个攻击路径节点存在的最大攻防策略数，V表示网络生存性度量值，SI表示策略强度，g表示攻防策略选取函数关系式，U表示攻防策略成本矩阵，f表示攻防成本矩阵与攻防成本之间的函数关系式，N＝(N_A,N_D)，N_A表示攻击者，N_D表示防御者，S＝(S_A,S_D)表示攻防策略矩阵；

防御者根据多步攻击动作从候选防御策略集中选取最优策略组合，使得网络维持生存性度量值大于0；并确定使得网络生存性度量值大于等于0且成本最少的防御策略为最终输出的最优多步攻击防御策略。

2.根据权利要求1所述的面向网络攻防的多步攻击动态防御决策选取方法，其特征在于，从当前网络配置信息中抽取网络安全要素，生成网络属性攻击图。

3.根据权利要求1所述的面向网络攻防的多步攻击动态防御决策选取方法，其特征在于，采用林肯实验室攻防行为数据库中的攻防动作强度来量化分析攻防行为对网络***生存性的影响程度，以确定网络生存性度量值。

4.根据权利要求1所述的面向网络攻防的多步攻击动态防御决策选取方法，其特征在于，g表示攻防策略选取函数关系式，攻击者对***进行攻击时，首先选择攻击节点，则相对应的存在攻击策略向量

攻击者选择攻击策略向量中的一个元素a_ij；对防御者来说，在面临某个攻击时，需要对攻击动作做出反应，因此，得到一个防御策略集合，在攻击者选择攻击策略a_ij时，防御者选择防御策略集合中的任意一个元素，使得V≥0，则存在一个函数关系式为：

引用集合中的上确界表达式对防御策略集进行表达，当攻击者选择攻击策略a_ij时，防御者为了保持网络***安全，防御措施只能在

中选择，且

表示对节点i采取的防御措施的集合，

表示节点i对应的防御策略向量，S_A(a_ij)表示节点i采取的攻击策略集合。

5.根据权利要求4所述的面向网络攻防的多步攻击动态防御决策选取方法，其特征在于，攻防成本矩阵与攻防成本之间的函数关系式表示为：当攻击者对***中节点i采取攻击措施j时，防御者的防御措施为

则存在如下函数关系式：

攻击成本

防御成本

表示防御者对节点i采取防御措施的成本矩阵，

表示攻击者攻击节点i采取策略j的攻击成本。

6.根据权利要求1所述的面向网络攻防的多步攻击动态防御决策选取方法，其特征在于，攻防策略成本中，首先根据网络拓扑关系和网络节点存在漏洞，得到攻防策略矩阵，利用范数计算公式计算单步攻防动作的成本矩阵；然后，对攻防动作步数进行分析，将多步攻防行为分解成多个单步攻防行为，依据单步攻防动作的成本矩阵，得到多步攻防成本矩阵；将满足可生存性条件下成本最少的防御策略作为最优防御策略。

7.根据权利要求6所述的面向网络攻防的多步攻击动态防御决策选取方法，其特征在于，防御者从候选防御策略集中选取多个子策略组成最优防御策略，使得网络生存性度量值大于等于0且成本最少的防御策略组合为最终输出的最优多步攻击防御策略。

8.一种面向网络攻防的多步攻击动态防御决策选取***，其特征在于，包含：信息分析模块、模型构建模块和策略选取模块，其中，

信息分析模块，用于通过分析网络安全要素信息，生成网络属性攻击图；

模型构建模块，用于基于攻击图构建网络生存性博弈模型，其中，模型利用攻防策略矩阵表示攻防策略和路径，并对攻防强度和网络生存性进行量化；

策略选取模块，用于根据模型中攻击策略矩阵预测攻击者下一步的攻击行为，并比较攻防策略成本选取最优多步攻击防御策略；

网络生存性博弈模型表示为NSGM＝(N,S,V,SI,g,U,f)，其中，N表示攻防博弈参与人，S表示攻防策略矩阵，矩阵中总行数表示攻击路径节点数，总列数表示针对单个攻击路径节点存在的最大攻防策略数，V表示网络生存性度量值，SI表示策略强度，g表示攻防策略选取函数关系式，U表示攻防策略成本矩阵，f表示攻防成本矩阵与攻防成本之间的函数关系式，N＝(N_A,N_D)，N表示攻防博弈的参与人集合，N_A表示攻击者，N_D表示防御者，S＝(S_A,S_D)表示攻防策略矩阵；

防御者根据多步攻击动作从候选防御策略集中选取最优策略组合，使得网络维持生存性度量值大于0；并确定使得网络生存性度量值大于等于0且成本最少的防御策略为最终输出的最优多步攻击防御策略。

9.一种网络架构，其特征在于，包含主机、服务器以及入侵防御***，所述入侵防御***设置有权利要求8所述的动态防御决策选取***。

Images