CN112313915B - 基于gspn和鞅理论网络空间拟态防御的安全性建模量化方法 - Google Patents

Abstract

本发明提供基于GSPN和鞅理论的网络空间拟态防御安全性建模量化方法，包括：S1、在实际***中对存在判决时延的分布式MDA的攻防过程按照攻击粒度将攻击过程的种类划分为单节点攻击与链路攻击；S2、根据实际***的配置进行抽象提取拟态模型的单节点攻击参数；S3、根据获取的单节点攻击参数用GSPN理论利用数学工具分析计算单节点攻击成功概率及单节点攻击时间；S4、将攻击单节点成功概率作为参数使用Markov链及鞅理论计算链路攻击成功平均步数期望；S5、根据得到的链路攻击成功步数期望与单节点攻击时间得到总的理论平均攻击时间。采用GSPN模型，使建模贴近实际***，保证模型合理性；对实际情况做抽象，保证建模的高效性。

Description

基于GSPN和鞅理论网络空间拟态防御的安全性建模量化方法

技术领域

本发明属于网络攻防安全性衡量领域，尤其涉及基于GSPN和鞅理论网络空间拟态防御的安全性建模量化方法。

背景技术

近年来，网络安全事故频发，人们逐步将注意力集中于网络安全领域。在传统网络中，攻击方和防御者处于不对等的地位。在防御者完成初始配置后，攻击方可以随时、持续地收集防御方的信息，并选择合适的时机筹划发动攻击，甚至可以在获得特权后保持很长一段时间内不被清除。这极大地威胁着网络***的安全性。为了改变安全博弈中攻守双方不对等的局面，国内外提出了许多新型动态网络架构。

美国国土***针对此种情况提出移动目标防御(Moving Target Defense，MTD)是动态防御思想的典型应用，被视为“改变游戏规则”的革命性防御技术。由于不同的配置对应的攻击薄弱点也不相同，移动目标防御通过定期主动地迁移网络配置以限定同一弱点的暴露时长，增大攻击表面和不确定性，提高攻击方的攻击难度，降低***被攻陷的概率。移动目标防御用主动改变***配置换取了***安全性的提升，但***配置的频繁更改带来的性能损失不可忽略。

为了避免频繁配置变迁，必须寻找新的有效安全机制。在中国国家级网络安全战略的指引下产生，拟态安全防御(Cyberspace Mimic Defense,CMD)采用“有毒带菌”和“沙滩建楼”方法，将不安全组件聚合成为一个可靠***。拟态防御有两条公理基础：1)“相对正确”公理，即“人人都存在这样或那样的缺点，但极少出现在独立完成同样任务时，多数人在同一个地方、同一时间、犯完全一样错误的情形”；2)“给定功能和性能条件下，往往存在多种实现算法”。上述两条公理的等价逻辑表达便是异构冗余机制和多模表决机制。其中，动态异构冗余(Dynamic Heterogeneous Redundancy，DHR)架构是实现拟态防御(MD)的重要原理性方法之一。

拟态旨在建立一个相对安全的攻击防御***，这个***具有动态、冗余、异构的特点。本发明以拟态防御的经典实现结构——MDA(Mimic defense architecture)结构为例，分析拟态防御的安全性，再由多个MDA结构组成最终的拟态防御网络。MDA的基本结构如图1所示。

MDA结构由输入代理器、执行体异构池、执行体集、反馈控制器和输出裁决器即多模表决器构成。多个功能等价且实现方式相异的执行体即异构功能等价体构成该结构的执行体异构池。异构池中的异构体不需要同时持续处于工作状态，输入代理通常会选择三个执行体组成一个当前工作的执行体集合，其他执行体则作为备用。当***接收到请求消息，输入代理下发指令，为当前执行体集合分配相同的功能需求，由工作状态的执行体执行任务，经过一定执行时间，分别将输出矢量作为执行结果发送给输出裁决器。输出裁决器收集到足够数量的结果以后进行择多判决。若收集到的输出矢量完全一致，多模表决器将该结果视为正确并输出；反之，输出裁决器将激活防御机制。

值得注意的是，移动目标防御和拟态安全防御都牺牲部分性能以满足***的安全性需求。如何定性、定量地分析它们的有效性，成为了一项亟待解决的工作。目前分析工作可以分为两种思路：用实验模拟攻击过程，测试其有效性；用数学工具对攻防过程进行建模，并计算其安全指标，如攻击成功率，平均失效时间(mean time to failure，MTTF)，稳态可用性等。

基于实验仿真的安全性衡量技术。方案的主要思想是利用仿真平台，模拟攻击过程进行攻防实验，从而对网络结构的安全性进行测试。

Zhuang等人(R.Zhuang,S.Zhang,S.DeLoach,X.Ou,and A.Singhal,

“Simulationbased Approaches to Studying Effectiveness of Moving-Target Network Defense,”in Proc.of National Symposium on Moving TargetResearch,2012.)首先提出了主动改变网络配置的MTD***，并且比较了简单的随机适应的MTD***与智能的基于攻击检测的MTD***的有效性。

Hong等人(Hong J B,Dong S K.“Assessing the Effectiveness of MovingTarget Defenses Using Security Models[J].”IEEE Transactions on Dependable&Secure Computing,2016,13(2):163-177.)将MTD技术分为三类：混乱，多样和冗余，然后使用分层攻击表示模型(Hierarchical Attack Representation Model，HARM)和重要性度量(Importance Measures，IMs)来提高***的可扩展性。

Colbaugh等人(Colbaugh,Richard,Kristin,“Predictive Moving TargetDefense.”)用机器学习的方法，用博弈模型来描述攻击和防御两方的交互，分析了电子邮件应用中MTD防御的有效性。

仿真实验衡量***安全性存在一定缺陷：A.无量化，难对比：仿真实验最终一般落脚站在攻击成功与否等布尔性数据上，对防御体系的有效性缺乏量化，致使两个不同的防御结构难以直观对比。B.可扩展性低：因为仿真实验设计一般以某个具体***或某种具体配置为例，抽象性低，当***结构改变，将会对实验结果造成比较大的影响，对于不同***的差异，仿真实验很难通过动态调整某样参数实现模拟。

另一种常见安全测度方法是使用数学方法推算防御手段的有效性。在这部分研究中，通常将攻击过程进行抽象，转化为某些条件下的攻击成功概率问题，通常借助一些有力数学工具如Petri网络、Markov链、博弈论、随机过程等进行网络安全性分析。

Maleki等人(Maleki,H.,Valizadeh,S.,Koch,W.,Bestavros,A.,&Dijk,M.V.,Markov Modeling of Moving Target Defense Games.ACM Workshop on Moving TargetDefense，pp.81-92.)介绍了一个基于Markov模型的分析框架，推算出了攻击方成功击溃一个MTD***的概率和防御者花费的时间成本间的关系，并展示了如何利用单级MTD来分析多级MTD策略。

Mitchell等人(Mitchell R,Chen I R.Modeling and Analysis of Attacks andCounter Defense Mechanisms for Cyber Physical Systems[J].IEEE Transactions onReliability,2016,65(1):350-358.)将网络状态划分为五类部件，包括中央控制器、传感器、执行部分、分布式管理和网络连接，以及三种攻击状态：磨损、扩散、攻击逃逸，用随机Petri网络记录其中的状态转移，计算网络失效时间和各种配置参数的关系。

Moody等人(Moody,W.C.,Hu,H.,&Apon,A.,Defensive maneuver cyber platformmodeling with Stochastic Petri Nets.IEEE International Conference onCollaborative Computing:Networking,Applications and Worksharing pp.531-538,2014.)将MTD节点状态分为工作、空闲和诱捕三类，并用随机Petri网络分析***的状态停留时间变化时对应的安全性，定性说明状态转换频率和***有效性的关系。

现有数学推算防御结构的安全性的模型的主要缺陷是与实际***贴合度低。通常，数学建模需要对实际***进行一定的抽象以降低建模难度，但另一方面，抽象化处理也导致了模型和实际***之间的差距。我们难以衡量不同的数学抽象对建模结果真实性的影响，这使得建模方案可靠度降低。

已有的动态异构冗余网络防御安全性分析方法总体上很难在对实际***的贴合性和建模的简易性之间取得良好的平衡，这极大降低了建模的可靠性。另外现有数学分析模型难以在复杂的网络结构中难以迁移使用，针对不同的网络结构差异，难以通过对模型的微小调整实现；现有实验测量模型因为缺少对安全性的量化表达，难以对不同防御结构进行对比。因此一个扩展性良好的安全性分析模型设计应满足以下几个条件：(1)贴合实际***，并且易于根据实际情况作出灵活调整；(2)数学计算难度低，对***进行有效抽象；(3)对攻击难度有效量化，方便不同防御***之间的安全性比较；(4)对实际***参数配置有指导作用。

综上所述，本发明所要解决的技术问题有四点。(1)找寻合适的建模工具，使建模贴近实际***，保证模型合理性；(2)对实际情况做抽象，保证建模的高效性；(3)对攻击难度进行量化分析，使不同安全防御方法可以对比；(4)找寻不同***配置参数和安全性之间的关系，对***设计提供指导。

发明内容

本发明的目的在于提供基于GSPN和鞅理论网络空间拟态防御的安全性建模量化方法，旨在解决上述的技术问题。

本发明是这样实现的，基于GSPN和鞅理论网络空间拟态防御的安全性建模量化方法，所述安全性建模量化方法包括以下步骤：

S1、在实际***中对存在判决时延的分布式MDA的攻防过程按照攻击粒度将攻击过程的种类划分为单节点攻击与链路攻击；

S2、根据实际***的配置进行抽象提取拟态模型的单节点攻击参数；

S3、根据获取的单节点攻击参数用GSPN理论利用数学工具分析计算单节点攻击成功概率及单节点攻击时间；

S4、将攻击单节点成功概率作为参数使用Markov链及鞅理论计算链路攻击成功平均步数期望；

S5、根据得到的链路攻击成功步数期望与单节点攻击时间得到总的理论平均攻击时间。

本发明的进一步技术方案是：所述单节点攻击是将攻击过程中的某个独立功能部件作为一个节点，在该节点受到攻击时防御方对受到攻击的执行体根据受到攻击的情况执行驱逐(D)、误驱逐(M)、停用(S)及判决(J)中的一种动作。

本发明的进一步技术方案是：所述步骤S3中GSPN理论是在实际***中攻击方与防守方形成博弈，根据攻守双方不同的动作对单节点的输出状态产生不同影响，利用博弈论理论刻画单节点的输出状态产生不同影响，根据刻画的影响建立广义随机Petri网络(GSPN)模型，所述广义随机Petri网络(GSPN)模型的建立方法包括以下步骤：

S31、提取攻击方动作及带来的影响建立攻击方视角的广义随机Petri网络；

S32、提取防守方动作及带来的影响建立防守方视角的广义随机Petri网络；

S33、将攻击方视角和防守方视角的广义随机Petri网络动作、状态合并，建立***广义随机Petri网络。

本发明的进一步技术方案是：所述攻击方和防守方在博弈中的攻防行为根据不同的攻击结果使***分别呈现以下不同状态：正常工作(A)、非特异性感知(B)、磨损(C)、攻击扩散(D)及攻击逃逸(E)；

所述正常工作(A)为攻击方并未发动攻击或无任何攻击奏效，使所有执行体都正常运行；

所述非特异性感知(B)是在攻击方攻击成功的执行体少于半数时，***在择多判决时发现被攻击的执行体与其他执行体的输出结果不一致，将被攻击的执行体替换成异构池中未被攻击的执行体，致使攻击方的攻击失败；

所述磨损(C)是在攻击方攻击大多数执行体成功，却无法控制其出现相同的错误输出或者攻击方攻击全部执行体成功，使得输出出现不一致，***得到的多种输出结果并且没有一种输出结果出现次数大于一半造成无法判决，***将该执行体集合标为可疑并停用；

所述攻击扩散(D)是攻击方攻击大多数执行体成功，并产生相同的错误输出，使得***误驱逐正确执行体；或者攻击方攻击全部执行体成功，且有大于半数执行体产生相同的错误输出，***驱逐输出不一致的被入侵执行体，该***驱逐操作不仅没有把攻击方有效地清理出***，还额外消耗了异构池中的资源，造成攻击扩散；

所述攻击逃逸(E)在攻击方的攻击能力足够强且攻击速度足够快时，在拟态防御***进行择多判决前攻击全部执行体成功且均产生相同的错误输出造成攻击方攻击逃逸成功，裁决器判断该输出正确，并允许全部被入侵的执行体继续工作。

本发明的进一步技术方案是：所述攻击方和防守方在博弈中的防守行为使得单节点在攻防过程中防守方通过拟态判决使得***进行不同状态之间的转换。

本发明的进一步技术方案是：在攻防过程攻击方攻克一个执行体后，正常工作的执行体已完成结果输出的概率为：P_1w＝P{N(t_a)-N(0)＞0}一般攻击在攻击一个执行体完成后，其他正常工作执行体已经完成K个结果输出，***开展拟态判决(t_(1,B,J))的概率为：P_1M ^J＝P_1M ^K；一般攻击在攻击完成i个执行体后，其他正常工作的执行体已完成结果输出的概率为，P_2M ^J＝P{N(t_a+αt_a+...+α^i-1t_a)-N(0)＞0}；***开展拟态判决(t_(i,C,J)+t_(2,D,J))的概率为：P_iM ^J＝P_iM ^K；其中，N(t)表示从任务分发开始的t时间间隔内执行体进行结果输出的次数，t_a攻击一个执行体的时间，一般攻击时α＝1，特殊攻击时α＝0.5，N为***中工作执行体数目，K为相同的结果输出个数的阈值，0≤i≤N-K。

本发明的进一步技术方案是：所述链路攻击取单个节点的稳态时间作为***的攻击周期，攻击方沿攻击链推进，没攻击成功一个节点，攻击方沿攻击链下行一步，判断是否遭遇拟态随机扰动，如遭遇拟态随机扰动，则沿攻击链退行一步，如未遭遇拟态随机扰动，则继续攻击下一个节点。

本发明的进一步技术方案是：在链路攻击中攻击方在攻击过程中根据遭遇拟态随机扰动与否和是否攻击单节点成功，有回退、下行及原地不动三种不同的动作。

本发明的进一步技术方案是：所述回退为无论攻击方是否发动攻击，只要***进行随机扰动时改变到了攻击方所在的节点或者正在攻击的目标节点，攻击将无法进行，攻击方必须回退到已被攻击的上一节点，其概率为M_i,i-1＝ω。所述下行为攻击方攻击下个节点成功的概率为μ，变换周期内***不对攻击相关节点进行随机扰动的概率为(1-ω)，因此攻击方成功攻击下一个节点且期间不发生随机扰动的概率为M_i,i+1＝(1-ω)μ；所述原地不动为攻击方攻击下个节点不成功，恰好***也没有对相关节点进行随机扰动，此时***的状态保持不变，其概率为，M_i,i＝(1-ω)(1-μ)。

本发明的进一步技术方案是：所述步骤S4中还包括以下步骤：

S41、根据当前状态和下一步的攻击范围找寻攻击停留位置的动作建立Markov链；

S42、根据建立Markov链换为鞅序列；

S43、利用鞅中的停时定理计算攻击方成功攻击目标节点需要的步数期望为：

S44、将单节点攻击成功概率带入攻击方成功攻击目标节点需要的步数期望得到当攻击链长度为Θ，攻击方成功攻击到目标节点需要的步数期望为：

其中，μ为攻击方攻击单个节点成功的概率，ω为单节点处遭遇主动随机扰动的概率，θ为链路长度，λ(T_E0)为随机扰动动作发生的频率，P(PE)为单节点被攻破的概率。

本发明的有益效果是：采用GSPN模型，使建模贴近实际***，保证模型合理性；对实际情况做抽象，保证建模的高效性；对攻击难度进行量化分析，使不同安全防御方法可以对比；找寻不同***配置参数和安全性之间的关系，提高***的安全性。相比于已有的动态异构冗余网络防御有效性分析模型法，无论是实验测量还是数学推算，本发明的最大优势是为复杂的防御***设计了一种统一的安全分析模型，在进行数学量化分析的同时贴近实际***，并且对于实际***表现出良好可扩展性。

本发明通过分层设计，兼顾了数学抽象和实际***，在保证模型贴近实际***的前提下，降低数学分析难度；第一层的设计使模型灵活可迁移，可以通过调整参数，实现不同***分析的可扩展性，达到具体***具体调参的目标，并对实际***参数配置有指导作用。另外，本发明通过第二层的设计，实现了安全性的量化评估，这带来很多有益效果：不同***的安全性易于对比；用户也可以根据自己的安全需求，灵活选择***配置；网络防御行业可以根据具体***的得分，设计安全评级，为不同的***划分不同的安全等级。

附图说明

图1是拟态防御总体功能与结构图。

图2是本发明实施例提供的攻防视角GSPN网络中攻击方视角的示意图。

图3是本发明实施例提供的攻防视角GSPN网络中防守者视角的示意图。

图4是本发明实施例提供的简化攻防视角GSPN网络的示意图。

图5是本发明实施例提供的攻击转移图。

图6是本发明实施例提供的攻击者攻击执行体1漏洞细节。

图7是本发明实施例提供的攻击者攻击执行体2漏洞细节。

图8是本发明实施例提供的攻击者攻击执行体3漏洞细节。

图9是本发明实施例提供的拟态节点攻防GSPN网络的示意图。

图10是本发明实施例提供的攻击速度与攻击逃逸概率对应图

图11是本发明实施例提供的随机扰动频率与攻击逃逸概率对应图的总图。

图12是本发明实施例提供的随机扰动频率与攻击逃逸概率对应图的局部放大图。

图13是本发明实施例提供的一般攻击下P_E概率图(ω＝0.0000001)。

图14是本发明实施例提供的特殊攻击下P_E概率图(ω＝0.0000001)。

图15是本发明实施例提供的一般攻击下P_E概率图(ω＝0.00005)。

图16是本发明实施例提供的特殊攻击下P_E概率图(ω＝0.00005)。

图17是本发明实施例提供的P_E概率图(ω＝0.000001)。

图18是本发明实施例提供的P_E概率图(ω＝0.0005)。

图19是本发明实施例提供的基于GSPN和鞅理论网络空间拟态防御的安全性建模量化方法的流程图。

具体实施方式

本发明对存在判决时延的分布式MDA(Mimic defense architecture，拟态防御架构)的攻防过程进行抽象，将攻击方对网络链路中某个特定节点的攻击过程按照攻击粒度，划分为两个层次：单节点攻击和链路攻击，其中，同一条攻击链上的顺序单节点攻击，组成了网络链路攻击。本发明采用博弈论的思想，分别使用广义随机Petri网络(GSPNGeneralized Stochastic Petri Net广义随机Petri网络)、Markov链和鞅等数学工具分析拟态防御模型，由节点到链路，最终分析整个***的安全性，包括单节点攻击成功率、节点平均攻击时间、链路攻击时间等。本发明首先考虑单节点的安全性，即攻击方在一定时间内攻击单节点成功的概率分析结果，然后将其传递给链路攻击层，作为输入的攻击强度参数，进一步计算链路攻击成功的概率。

单节点攻击

1)定义

节点：本发明将攻击过程中的某个独立功能部件看作一个节点。一个节点可能是一台服务器，一个主机，一个软件功能进程，或一个功能集群。

驱逐(D)：当某个执行体发送与其他执行体不一致的输出矢量时，***将该执行体标为可疑执行体，停止其工作任务并执行清洗后放入异构池，并从拟态异构池中重新选择一个没有被使用过或确认未遭受攻击的执行体继续工作。如果标为可疑的执行体是出错执行体，那么这个动作称为驱逐。

误驱逐(M)：当某个执行体输出与其他执行体不一致的输出矢量，但这种情况是由两个执行体被攻击且输出矢量一致，与正常执行体相异造成的，此时***将正常执行体当作可疑执行体进行停用，这种防御动作称为误驱逐。误驱逐会导致拟态异构池中的资源消耗，但不会对安全造成消极影响。值得注意的是，若连续两次对同一异构组件执行了误驱逐操作，即在驱逐动作完成后，新上线执行体与被驱逐执行体结果一致且与原两个相同结果的执行体输出不一致，***标记原两个相同结果的执行体为可疑执行体，并执行驱逐。

停用(S)：当三个执行体的结果各不相同，裁决器无法输出结果，此时***标记全部三个执行体为可疑执行体并进行停用，从异构池中选择三个新的执行体代替他们的工作。

判决(J)：当三个执行体对同一个任务都执行完毕，裁决器将对比收到的三个输出矢量，若一致，则直接输出结果；若两个一致，另一个不同，那么判断两个一致的结果为真，并将输出不同结果的执行体标为可疑执行体，并执行驱逐。

不同的攻防行为会使***进入不同的状态，本发明根据不同的攻击结果定义五种***状态如下：

正常工作(A)：攻击方并未发动攻击或无任何攻击奏效，所有执行体都正常运行。

非特异性感知(B)：攻击方攻击一个执行体成功，但***在择多判决时发现该执行体与其他执行体的输出结果不一致，并替换被入侵执行体，攻击失败。

磨损(C)：攻击方攻击两个执行体成功，但无法控制其出现相同的错误输出；或者攻击方攻击三个执行体成功，但其输出两两不一致。此时，***得到的三个输出结果各不相同，无法判决，故将该执行体集合标为可疑并停用。虽然进入本状态没有对***安全性产生消极影响，但是消耗了大量异构池中的资源。

攻击扩散(D)：攻击方攻击两个执行体成功，并产生相同的错误输出，使得***误驱逐正确执行体；或者攻击方攻击三个执行体成功，同时有且仅有两个执行体产生相同的错误输出，此时***驱逐输出不一致的被入侵执行体。在这两种情况下，***的驱逐操作不仅没有把攻击方有效地清理出***，还额外消耗了异构池中的资源，造成攻击扩散。

攻击逃逸(E)：如果攻击方的攻击能力足够强且攻击速度足够快，在拟态防御***进行择多判决前攻击三个执行体成功且均产生相同的错误输出，那么攻击方攻击逃逸成功，即在不被防御方发现的情况下取得了本节点的控制权。此时裁决器判断该输出正确，并允许这三个被入侵的执行体继续工作。

2)GSPN(Generalized Stochastic Petri Net广义随机Petri网络)模型构建

因为实现一个节点功能的三个执行体有各自的漏洞，攻击方若想攻击整个节点，则必须分别攻击这三个执行体。也就是说，攻击方需要利用每个执行体的漏洞有针对性地发起攻击，最终获得该执行体的控制权，使之呈现攻击方想要的效果。

一方面，防御者可以选择不同的配置，并采用拟态防御手段进行防御。另一方面，攻击方可以对工作执行体的配置信息进行探测，提升自身的权限，进一步发动更多攻击，直到取得该执行体的控制权。对于单个节点来说，取得节点控制权的前提是攻克其多数执行体，并控制它们的运行结果一致以通过择多判决。

在这一步中，根据攻击能力的强弱，本发明将各个执行体遭受的单步攻击分为一般攻击和特殊攻击。防御者一方面进行输出矢量的择多判决，标记、替换可疑执行体；另一方面，为了防止高频率大强度的快速攻击，防御者采取低频率的随机性扰动机制。随机扰动是指以随机命令方式选择一个执行体进行下线预清洗或策略性重构操作，在其恢复后等待被调度加入当前工作集。由于随机扰动机制的存在，即使待机式协同攻击成功也无法维持可逃逸的状态，即攻击不可维持。

攻击和防守在这一层形成了一场博弈，双方不同的动作会对单个节点的输出状态产生不同的影响，因此本发明用博弈论的思想刻画这些影响，建立广义随机Petri网络(GSPN)模型，计算单节点攻击成功的概率、攻击时间等安全评估参数。

通常情况下，用一个六元组表示广义随机Petri网络：

一个GSPN＝(S,T；F,W,M₀,λ),其中

1.S表示网络位置集(place)；

2.T表示网络变迁集，并且分为两个子集：T＝T_t∪T_i，

T_t＝{t₁，t₂，...，t_k}和T_i＝{t_k+1，...，t_n}分别表示时间变迁集和瞬时变迁集,与时间变迁集相关联的平均变迁实施速率集合为λ＝{λ₁，λ₂，...，λ_k}。

3.F表示T和S之间的连接弧，并允许有抑制弧。

4.W表示弧对应的权值，当弧place中的标记数多于该值，是该变迁可以实施的必要条件。

5.M₀表示初始标记位置。

本发明先建立攻击方视角的GSPN模型，如图2所示，攻击方需要对该节点的执行体配置进行嗅探，有针对性地攻破足够多的执行体，才能取得该节点控制权。在攻击方的视野中，单个节点***具有以下状态：正常工作、一个执行体被攻破、两个执行体被攻破、三个执行体被攻破(可以进入对下一个节点的攻击过程)。但这要在一轮攻击结束，通过输出矢量，攻击方才能知道自己攻击的结果。另外，攻击方的模型包括对执行体进行攻击时攻克的漏洞，带来的权限提升，所以它与每个执行体的具体配置以及攻击目标有关。

所述攻击方和防守方在博弈中的防守行为使得单节点在攻防过程中防守方通过拟态判决使得***进行以下不同状态之间的转换；其状态如下：正常工作、小于半数执行体被攻破、大于半数执行体被攻破、全部执行体被攻破、经过判决后被攻破的大于半数执行体取得多于半数一致的错误矢量、经过判决后被攻破的大于半数执行体输出不同的错误矢量且没有一种错误矢量超过半数、经过判决后被攻破的全部执行体输出的错误矢量没有任何一种超过半数、经判决后被攻破的全部执行体输出错误矢量并且其中一种超过半数及经判决后全部执行体被攻破并输出完全相同的错误矢量。

在防守过程中以三执行体为例，使得防守方，单个节点***具有以下状态：正常工作、一个执行体被攻破、两个执行体被攻破、三个执行体被攻破、经过判决后被攻破的两个执行体输出同样的错误矢量、经过判决后被攻破的两个执行体输出不同的错误矢量、经过判决后被攻破的三个执行体输出的错误矢量两两不同、经判决后被攻破的三个执行体输出两个相同错误矢量和一个不同错误矢量、经判决后三个执行体输出完全相同的三个错误矢量。防守者通过拟态判决，完成***在不同状态间的转换。防守方视角的GSPN模型，如图3所示。

综合攻击方和防守者的视角，本发明可以得到最终的一般攻击GSPN网络。

攻击方可以对几个执行体同时发起进攻。由于攻破各个执行体所需的时间不同，所以按照攻击完成的时间，可以对攻击方攻击成功的执行体进行排序。以三执行体为例，攻击方攻击成功的次序有6种排列。考虑攻击完成顺序，把攻击方和防守方视角的GSPN网络结合在一起，得到完整的GSPN网络示意图。为了简化分析，本发明忽略不同的攻击完成顺序带来的影响。假设执行体1、2、3被顺序攻破，简化的GSPN网络结构图，如图4所示。

对于图4中的Petri网，位置用圆圈表示，记为P_(i,x)，其中i是数目位，表示被攻破的执行体数目，x是状态位，表示被攻破的执行体整体呈现的状态。P₀表示***正常运行；P₁、P₂、P₃分别表示1/2/3个执行体被攻击成功；P_(i,B)表示非特异性感知状态，也就是i个执行体受到了攻击，但是在经过择多判决后，***找到了全部出错的执行体；P_(i,C)示***磨损，也就是i个执行体受到了攻击，但是输出完全不一致，导致***无法判决，从而把所有执行体都标为被攻击执行体；P_(i,D)表示攻击扩散，也就是i个执行体受到了攻击后，控制了大部分执行体进行错误输出，导致择多判决发生误判，***将正确的或者也被攻击但是出错不一致的少数执行体标为被攻击执行体；P_E表示攻击方控制了全部执行体，并且输出同样的错误矢量，导致***无法通过择多判决找到出错的执行体。具***置含义如表2.2.1所示。

表2.2.1.***位置表格

图4中防守者的变迁表格如表2.2.2所表示。其中，方块表示防御者的行为，其中黑色实心方块表示瞬间变迁，对应参数为转移概率p；黑色空心方块表示时延变迁，对应参数为转移速率λ。攻击方和防御者行为的不同导致了***在不同状态之间的转换。变迁记为T_(i,j,x)，i、j分别表示变迁的起始位置和终止位置，若两个位置表示的被攻击执行体数目发生了改变，那么i、j分别表示改变前后的数目；若没有发生改变，则用该位置的末位即状态位表示。x是动作位,表示攻防方的主要动作，其中，D表示驱赶(drive)，M表示误驱赶(missdrive)，S表示停用(stop)，J表示判决(judge)。例如，T_(2,0,S)，表示在两个执行体受到攻击后，防御者对可疑执行体进行了停用，将三个可疑执行体都替换成从异构池中取出的健康执行体，从而使***恢复到没有执行体受到攻击的状态。

表2.2.2.***变迁表格

于防守者来说，变迁的时延与变迁涉及的执行体个数有关，例如，误驱逐、驱逐动作一般只针对单个执行体，所以时延为1，对应λ＝1；停用动作一般针对三个执行体输出矢量各不相同，裁决器无法进行结果输出的情况，会将三个执行体都视为可疑执行体并全部停用，所以时延为3，对应λ＝1/3。本发明取两个异构执行体出现相同错误的概率为0.0001。

攻击方在攻击执行体的同时，其他未被攻破的执行体在正常运行计算正确输出矢量，攻击方的攻击时间越长，其他执行体输出正确输出矢量的概率越大；裁决器收集到的正确输出矢量越多，收集到足够多输出矢量进行拟态裁决的概率也越大。随着攻击的进行，攻击成功的执行体数目与攻击时间也呈正相关关系。

对于未受攻击的执行体，若执行任务时间为t_w，那么在接收任务到输出结果这段时间内，各执行体的结果输出次数服从Poisson分布，但在产生结果输出后就停止该过程。易知参数λ＝1/t_w。用N(t)表示从任务分发开始的t时间间隔内执行体进行结果输出的次数(输出1次后停止)。不同类型的攻击操作复杂度不同，木马攻击、注入攻击的引发速度和正常操作执行时间相近，所以假设攻击一个执行体的时间在0.8t_w～1.2t_w。

一般攻击的攻击能力较弱，且无累加效应，本发明取1.2t_w。对于一般攻击，在攻击方攻克了一个执行体后，正常工作的执行体已完成结果输出的概率为：

所以，一般攻击在攻击一个执行体完成后，其他两个正常工作执行体都已经完成结果输出，即***开展拟态判决(t_(1,B,J))的概率为：

P_1M ^J＝P_1M*P_1M≈0.4883 (2)

类似的，一般攻击在攻击完成两个执行体(用时2.4t_w)后，另一个正常工作的执行体已完成结果输出，即***开展拟态判决(t_(2,C,J)+t_(2,D,J))的概率为：

特殊攻击的攻击能力较强，且有累加效应，遇到相同的漏洞，攻击速度会加快，所以攻击方在攻击过程中，未被攻击的执行体输出正确结果，导致其遇到拟态判决的概率相较于一般攻击有所降低。假设攻击方在攻击第二个执行体时速度增加一倍，所以本发明取在特殊攻击攻破第一个、第二个执行体的时间分别为0.8t_w和1.2t_w。对于特殊攻击，在攻击方攻克一个执行体后，正常工作的执行体已完成结果输出的概率为：

所以，特殊攻击在攻击一个执行体完成后，其他两个正常工作执行体都已经完成结果输出，即***开展拟态判决(t_(1,B,J))的概率为：

P_1M ^Js＝P_1M ^s*P_1M ^s≈0.3032 (5)

类似的，特殊攻击在攻击完成两个执行体(用时1.2tw)后，另一个正常工作的执行体已完成结果输出，即***开展拟态判决(t_(2,C,J)+t_(2,D,J))的概率为：

λ为Poisson过程的速率，λ>0；

再结合各种情况的判断概率，可以完整表2.2.2中的参数。

建立了完整GSPN模型后，本发明可以设置各个变迁的参数，从而推算得到最后的单节点攻击成功率。

链路攻击

完整的网络链路由许多节点构成，因此若想攻击链路中的某个节点，攻击方需要先依次攻击该链路上的各个节点。本发明取单个节点的稳态时间作为***的攻击周期。攻击方沿攻击链推进，每攻击成功一个节点，则攻击方沿攻击链下行一步，若遭遇了拟态随机扰动，便沿着攻击链退行一步。这种知道上一步的状态，和下一步的攻击范围，找寻攻击停留位置的做法，和Markov链的特征吻合。所以拟采用Markov链和鞅对该部分建模求解。

令攻击单个节点成功的概率为μ，攻击链的节点总数为Θ，***在该时刻选择该节点进行随机扰动的概率为ω。假设当前时刻攻击方停留在第k个节点，即已攻击成功k个节点，那么攻击转移图，如图5所示。

根据攻击转移图，本发明构造攻击转移矩阵M_Θ*Θ，元素M_i,j表示从第i个节点向第j个节点转移的概率。攻击时，攻击方沿着链路前行，在攻克一个节点后，攻击方将会得到后继节点的信息。在攻击过程中，只有被攻击节点和攻击起始点均未被选中进行扰动，此时的单节点攻击才可能成功。显然，攻击有回退、下行、原地不动三个方向。具体的转移概率如下：

1)回退

无论攻击方是否发动攻击，只要***进行随机扰动时改变到了攻击方所在的节点或者正在攻击的目标节点，攻击将无法进行，攻击方必须回退到已被攻击的上一节点，即M_i,i-1＝ω。攻击方需要重新对i点进行单节点攻击，只有在下一次随机扰动之前攻陷i点，它才可以继续下行攻击。

2)下行

攻击方攻击下个节点成功的概率为μ，变换周期内***不对攻击相关节点进行随机扰动的概率为(1-ω)，因此攻击方成功攻击下一个节点且期间不发生随机扰动的概率为M_i,i+1＝(1-ω)μ。

3)原地不动

攻击方攻击下个节点不成功，恰好***也没有对相关节点进行随机扰动，此时***的状态保持不变，有M_i,i＝(1-ω)(1-μ)。

令X₀,X₁,X₂,…,X_n表示一串随机变量，Xi表示第i个时间段开始时，攻击方所处的节点位置，X_i的取值范围为[0，Θ]，其中X₀＝0，表示攻击的初始位置为进入攻击链的位置。在已知n时刻攻击方处于k位置，则下一跳

位置如下：P{X_n+1＝k+1|X_n＝k}＝(1-ω)μ (7)

P{X_n+1＝k|X_n＝k}＝(1-ω)(1-μ) (8)

P{X_n+1＝k-1|X_n＝k}＝ω (9)

即，

E[X_n+1|X_n]＝(1-ω)μ(k+1)+(1-ω)(1-μ)k+ω(k-1)

＝k+(1-ω)μ-ω (10)

定理2.2.1.构建一个随机序列M₀，M₁，M₂，...，M_n，其中，M_i＝X_i-[(1-ω)μ-ω]·i

那么

M_n＝X_n-[(1-ωμ)-ω·] (11)

M_n+1＝X_n+1-[(1-ω)μ-ω]·(n+1) (12)

那么M_n序列是关于X₀，X₁，X₂，...，X_n的鞅。

证明：

E[M_n+1|X₀,X₁,X₂,...,X_n]＝E[M_n+1|X_n]

＝E[X_n+1-[(1-ω)μ-ω]·(n+1)|X_n]

＝E[X_n+1|X_n]-[(1-ω)μ-ω]·(n+1)

＝X_n+(1-ω)μ-ω-[(1-ω)μ-ω]·(n+1)

＝X_n-[(1-ω)μ-ω]·n

＝M_n (13)

证毕

为了求解攻击Θ步到达目标节点的步数，本发明引入了鞅停时定理(即引理2.2.1)。在随机过程中，停时被定义为具有某种与将来无关性质的随机时刻。

引理2.2.1.若时刻S为停时，且满足：

i.P{S＜∞}＝1；

ii.E[|M_S|]＜∞；

iii.lim_n→∞E[|M_S|I_{S＞n}]＝0；

则有

E[M_S]＝E[M₀] (14)

定理2.2.2.对于一条长度为Θ个节点的攻击链，如果攻击方攻击单个节点成功的概率为μ，单节点处遭遇主动随机扰动的概率为ω，那么攻击方成功攻击目标节点(即Θ点)需要的步数期望为：

证明：由前文可知，到达时刻S的条件是X_S＝Θ。显然根据前n轮的结果可以得到n是否等于S，所以易知，时刻S是鞅的停时。但是显然，M_n不是一个有界鞅，不能立刻说明条件ii、iii成立，但是根据Markov链的性质，存在C＜∞，ρ＜1，使得

I{S＞n}≤cρⁿ (16)

考虑到

|M_n|＝|X_n-[(1-ω)μ-ω]·n|

≤θ+n (17)

有

E[|M_S|]≤θ+S≤∞ (18)

E[|M_S|I_{S＞n}]≤cρⁿ(θ+n) (19)

lim_n→∞E[|M_S|I_{S＞n}]≤lim_n→∞cρⁿ(θ+n)＝0 (20)

又因为E[|M_S|I_{S＞n}]≥0，所以停时定理满足。

下面计算到达Θ点的步数期望。根据停时定理得

E[M_S]＝E[M₀]＝E[X₀]＝0 (21)

E[M_S]＝E[X_S-[(1-ω)μ-ω]S]

＝E[X_S]-[(1-ω)μ-ω]E[S]

＝0 (22)

又因为E[X_S]＝Θ

所以

θ-[(1-ω)μ-ω]·E[S]＝0 (23)

根据上一部分的分析，运算得到的攻击逃逸的稳态概率即为下一部分马尔科夫链的下行概率，随机扰动概率即为马尔科夫链的上行概率，也就是说：

μ＝P(P_E)，ω＝λ(T_E0)

若没有随机扰动，那么ω＝λ(T_E0)＝0。

所以，根据上一部分实验测得的结果，当攻击链长度为Θ，攻击方成功攻击到目标节点需要的步数期望为：

***分析

在接下来的两节中本发明以一个实际的攻击链为例，包括攻击中的各个节点以及各节点的执行体构成，进行分析。

假设以下情况，攻击从外部网络进入，攻击目标是窃取一条链路中各节点数据库中的文件并安插后门，一共有10个链路节点，即Θ＝10。对于每个链路节点，攻击者对节点的操作***、服务器以及数据库分别展开攻击，直到窃取数据并成功安插后门。

执行体以操作****前端语言*数据库为例，攻击者根据扫描到的信息确定攻击执行体的顺序，防守者根据失效执行体的信息选择替换的执行体，二者之间形成博弈。本发明以广义随机Petri网络进行描述。在设计时延函数的时候本发明用到了一个很重要的数据库：通用漏洞评分***(Common Vulnerability Scoring System,CVSS)[]。CVSS是一个被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度的“行业公开标准”，一般与公共漏洞和暴露(Common Vulnerabilities&Exposures,CVE)[]一同由美国国家漏洞库(National Vulnerability Database,NVD)[]发布，目标是为所有软件安全漏洞提供一个严重程度的评级，建立衡量漏洞严重程度的标准，使漏洞的严重程度可以互相比较，从而确定处理它们的优先级。

CVSS得分基于一系列维度上的测量结果，这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10，最小为0。CVSS***包括三种类型的分数：基准分数，时态分数和环境分数。每一个分数都要衡量这个安全漏洞的不同属性。其中基准分数具体指一个指定的安全漏洞，基准分数是不变的，它不是具体针对一个客户的技术IT环境的。基本得分和临时得分通常由安全产品卖主、供应商给出，因为他们能够更加清楚的了解漏洞的详细信息；环境得分通常由用户给出，因为他们能够在自己的使用环境下更好的评价该漏洞存在的潜在影响。

在基准分数中有几个衡量要素：攻击途径(Access Vector，AC)、攻击复杂度(Access Complexity，AC)、特权(Privileges Required，PR)、用户合作(UserInteraction,UI)、范围(Scope，S)、机密性(Confidentiality Impact，C)、完整性(Integrity Impact，I)、可利用性(Availability Impact，A)。依据它们可以计算出两个核心评估值：可探测性(Exploitability sub score，ES)和可利用性(Impact sub score，ISC)，其中可探测性衡量该漏洞被发现的难易程度，而可利用性表示该漏洞被利用后的影响力。最终得到对该漏洞的评估分数基础得分(Base Score，BS)具体计算公式如下：

ES＝8.22×AC×AC×PR×UI

ISC＝6.42×1-[(1-Impact Conf)×(1-ImpactInteg)×(1-Impact Avail)]

BS＝Roundup(Minimum[(ISC+ES),10])。

本发明现在描述一个拟态节点，这个节点的异构有三个层级，C1*C2*C3＝{{Redhat Linux 6.0，Windows 7}*{Go 1.6,Python 3.0}*{MySQL5.1.7，PostgreSQL9.6}}。也就是说这个节点在操作***、语言、数据库三个层面进行了异构，其中，操作***在Redhat Linux 6.0(以下简称linux)，Windows 7之间选择，语言在Go 1.6,Python 3.0之间选择，数据库在MySQL5.1.7，PostgreSQL 9.6之间选择。所以整个异构池中的有效配置可以表示成C＝{(Linux,Go,MySQL),(Linux,Go,PostgreSQL),(Linux,Python,MySQL),(Linux,Python,PostgreSQL),(Windows 7,Go,MySQL),(Windows 7,Go,PostgreSQL),(Windows 7,Python,MySQL),(Windows 7,Python,PostgreSQL)},共8种有效配置。

对于操作***，本发明只考虑来自相邻网络不需要授权没有用户交互的严重漏洞，其中Windows7有2条，Linux有1条。对于程序语言和数据库，本发明考虑来自网络不需要授权并且不需要其他组件交互的漏洞，其中，Python 3.0有4条，Go 1.6有6条，PostgreSQL9.6有6条，MySQL 5.1.7有2条，如表4所示。

表4.漏洞列表

因为执行体之间结构差异越大，整个***越安全，所以本发明从异构池中选择异构体配置如下：{(Linux，Go,MySQL)，(Windows 7，Python,MySQL)，(Linux，python,PostgreSQL)}，以第一个执行体为例，展示漏洞如表5。

表5.执行体1漏洞列表

在攻击方视角，对三个执行体分别进行攻击时，攻击过程如图5所示，所以根据上文，忽略不同攻击顺序带来的影响，假设攻击完成顺序为执行体1、执行体2、执行体3，本发明得到整个拟态节点的攻防GSPN网络，如图9所示。

广义随机Petri网络防守者可以根据自己对安全性的需求灵活设计时延函数，比如如果防守者比较重视漏洞的影响力，可以将时延设为1/ISC；如果防守者要把影响力和可探测性同时纳入考虑，可以设计时延函数为1/BS；还可以根据需求添加对环境、时间的影响，灵活调控。

第三节提到，根据攻击能力的强弱，攻击可以分为一般攻击和特殊攻击。对于一般攻击，因为攻击者在T时刻的攻击对在T+X时刻的攻击无协同累积的影响，所以本发明设一般攻击的变迁时延只与攻击难度ES成反比，与攻击阶段无关，所以这里实验变迁的参数λ＝1/ES。对于特殊攻击，由于攻击者在T时刻的攻击对在T+X时刻的攻击的协同累积影响，攻击者在攻击到相同的漏洞时，会吸取上一次的经验，导致攻击速度增快，攻击成功率升高，本发明设其第一次遇到的漏洞实验速率为λ₁＝1/ES，接下来每遇到一次该漏洞，攻破的时延速度提升一倍，即λ₂＝2/ES，λ₃＝4/ES。

在接下来会对不同的攻击强度进行分类讨论。

***位置、变迁表格参见前面的表1和表2，完整表格分别参见附录表格1、附录表格2。一般攻击和特殊攻击的区别主要体现在攻击过程和攻击速度以及遭遇***结果输出的概率上，也就是说一般攻击和特殊攻击对GSPN模型的影响是结构及参数的设定不同，这些参数我们在附录表格2中对比给出。

实验仿真及结果分析

用开源GSPN分析工具Platform Independent Petri Net Editor(PIPE)^[i,ii]以随机Petri网软件包(SPNP)为辅助，对上述例子进行模拟分析。

在接下来的一节中，我们先以一般攻击为例，探索前期条件假设对拟态防御安全性的影响，然后探寻随机扰动频率对一般攻击和特殊攻击下的攻击逃逸概率、***到达稳定的时间带来的影响，最后选取不同的攻击场景给出在日常防御下和受到攻击场景下的应对措施建议。

攻击时间影响

本发明取随机扰动频率ω＝0.0001，对前期假设条件攻击时间在0.8t_w～1.2t_w之间每隔0.05tw取点，对应的攻击成功率变换情况，如图10所示。

根据图10，攻击成功率随攻击速度的下降而下降，但下降幅度不大，也就是说攻击的攻击速度、学习能力的增强，带来的攻击逃逸概率增大，只是同一量级上的细微变化，而不会带来总体安全性量级的改变。这也侧面说明，***安全性的增强是由拟态***的结构带来的，前文的假设条件带来的细微差距可以忽略不计。

随机扰动频率对一般攻击、特殊攻击的影响

考虑到只要没有发生攻击逃逸，防守者都可以发现攻击行为，攻击者无法毫无声息的在***中潜伏，因此我们改变随机扰动频率，探索***安全性和变换频率之间的关系，以供防御者根据安全性和***性能的不同需求灵活选择参数。列举部分对应关系如表6所示。

表6.随机扰动频率与攻击逃逸概率对应表

变换曲线如图11、12所示，其中红线表示特殊攻击，绿线表示一般攻击，因为变换频率数值非常小且选点密集，所以图11拐角处非常尖锐，把拐角处局部放大，得到图12。

观察图11、12，易得，对于同样的随机扰动频率，特殊攻击因为学习能力，攻击力更强，攻击速度更快，所以攻击逃逸概率比一般攻击要高。总体上看，无论一般攻击还是特殊攻击，攻击逃逸概率随随机扰动频率升高而降低。

随机扰动频率对***稳定时间的影响

我们取不同的随机扰动频率，测试在一般攻击和特殊攻击下***达到稳定的时间，作为试验，本发明取ω＝0.0000001，根据以上假设，依旧以“秒”作为随机扰动的最小时钟周期单位，即每隔1秒***以概率ω进行一次随机扰动，那么此时***平均每年采取三次主动随机扰动，如图13、14所示。

一般攻击本发明执行到4000,0000秒时陷入PE的概率达到此时的稳态概率。特殊攻击***达到稳态的时间约为3.5*10^7秒。

取ω＝0.00005即每隔5.56个小时采取一次主动随机扰动，此时一般攻击P_E稳态概率为9.61898862753E-07，特殊攻击的P_E稳态概率为3.7266553E-06。

在这种情况下，P(P_E)随时间变化曲线，如图15、16所示。

根据图15、16所示，我们可以得到***到达稳态概率的时间。在这个例子中，在受到一般攻击时大约需要90000秒后***达到稳定状态，以9.62E-07的概率陷入状态P_E；在受到特殊攻击，大约需要70000秒后***达到稳定状态，以3.72E-06的概率陷入状态P_E。

由这两个例子可知，在同样的随机扰动频率下，一般攻击比特殊攻击的攻击逃逸概率要低，***进入稳定的时间要更长。

掌握了这个规律，我们分被攻击和不被攻击两种情况分析随机扰动频率。

不同攻击场景下的建议

日常防御

当***没有在被攻击或受到低频率低强度一般攻击时，我们选取比较低的随机扰动频率，换取一般的安全性，这里我们取一般攻击，其ω＝0.000001，即每十天左右变换一次，此时对应的攻击下行概率为P(P_E)＝0.000048。在这种情况下，P(P_E)随时间变化曲线，如图17所示。

大概经过4000000个***时钟，P_E可以达到稳定状态.也就是μ＝0.000048，ω＝0.000001，假设攻击链长度为10，那么

攻击目标节点成功的时间期望为E[T]＝212766.17*4000000＝8.51*10^12秒，约26987年。

也就是说对于一条10个节点长的攻击链，攻击者想要成功攻击目标节点，需要对单个节点完成约212766次一般攻击，而在攻击者攻击单节点的过程中又会遇到很多次被拟态判决发现并且驱逐的可能。如果只考虑***达到最大攻击成功率(P_E达到稳态概率)的攻击，并且防御方不加强防御力度，一直以0.0003的主动随机扰动概率进行变换，攻击者将花费8.51*10^12秒后才能攻击成功被攻击目标。

危机防御

当***受到高频特殊攻击或有其他需要加强防御时，我们选取比较高的随机扰动频率，换取更高的安全性，这里我们取特殊攻击，其ω＝0.0005，即每0.55个小时随机扰动一次，此时攻击下行概率为P(PE)＝0.00000037。

在这种情况下，P(P_E)随时间变化曲线，如图18所示。大概经过约8000个***时钟，P_E可以达到稳定状态，也就是μ＝0.00000037，ω＝0.0005，假设攻击链长度为10，那么

攻击目标节点成功的时间期望为E[T]＝-20015*8000＝-1.6*10^8秒，约5年。

这时，可以看到步数出现了负值，负值表示在攻击链中，攻击下行概率比上行概率更低，也就是说理论上讲，攻击无法沿攻击链下行，反而会由于一次次随机扰动，被清理出***。这个例子的意思是，也就是说对于一条10个节点长的攻击链，防御者想要将攻击者清理出攻击链，需要经过攻击者对单个节点完成约20015次特殊攻击的攻击周期。如果只考虑***达到最大攻击成功率(P_E达到稳态概率)的攻击，攻击者不可能沿攻击链下行，并且1.6*10^8秒，约5年后将被移出攻击链。

附录表格1：完整的位置意义

附录表格2：完整的时延变迁参数表

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.基于GSPN和鞅理论网络空间拟态防御的安全性建模量化方法，其特征在于，所述安全性建模量化方法包括以下步骤：

S1、在实际***中对存在判决时延的分布式MDA的攻防过程按照攻击粒度将攻击过程的种类划分为单节点攻击与链路攻击；

S2、根据实际***的配置进行抽象提取拟态模型的单节点攻击参数；

S3、根据获取的单节点攻击参数用GSPN理论利用数学工具分析计算单节点攻击成功概率及单节点攻击时间；

S4、将单节点攻击成功概率作为参数使用Markov链及鞅理论计算链路攻击成功平均步数期望；

S5、根据得到的链路攻击成功步数期望与单节点攻击时间得到总的理论平均攻击时间。

2.根据权利要求1所述的基于GSPN和鞅理论网络空间拟态防御的安全性建模量化方法，其特征在于，所述单节点攻击是将攻击过程中的某个独立功能部件作为一个节点，在该节点受到攻击时防御方对受到攻击的执行体根据受到攻击的情况执行驱逐(D)、误驱逐(M)、停用(S)及判决(J)中的一种动作。

3.根据权利要求2所述的基于GSPN和鞅理论网络空间拟态防御的安全性建模量化方法，其特征在于，所述步骤S3中GSPN理论是在实际***中攻击方与防守方形成博弈，根据攻守双方不同的动作对单节点的输出状态产生不同影响，利用博弈论理论刻画单节点的输出状态产生不同影响，根据刻画的影响建立广义随机Petri网络(GSPN)模型，所述广义随机Petri网络(GSPN)模型的建立方法包括以下步骤：

S31、提取攻击方动作及带来的影响建立攻击方视角的广义随机Petri网络；

S32、提取防守方动作及带来的影响建立防守方视角的广义随机Petri网络；

S33、将攻击方视角和防守方视角的广义随机Petri网络动作、状态合并，建立***广义随机Petri网络。

4.根据权利要求3所述的基于GSPN和鞅理论网络空间拟态防御的安全性建模量化方法，其特征在于，所述攻击方和防守方在博弈中的攻防行为根据不同的攻击结果使***分别呈现以下不同状态：正常工作(A)、非特异性感知(B)、磨损(C)、攻击扩散(D)及攻击逃逸(E)；

所述正常工作(A)为攻击方并未发动攻击或无任何攻击奏效，使所有执行体都正常运行；

所述非特异性感知(B)是在攻击方攻击成功的执行体少于半数时，***在择多判决时发现被攻击的执行体与其他执行体的输出结果不一致，将被攻击的执行体替换成异构池中未被攻击的执行体，致使攻击方的攻击失败；

所述磨损(C)是在攻击方攻击大多数执行体成功，却无法控制其出现相同的错误输出或者攻击方攻击全部执行体成功，使得输出出现不一致，***得到的多种输出结果并且没有一种输出结果出现次数大于一半造成无法判决，***将该执行体集合标为可疑并停用；

所述攻击扩散(D)是攻击方攻击大多数执行体成功，并产生相同的错误输出，使得***误驱逐正确执行体；或者攻击方攻击全部执行体成功，且有大于半数执行体产生相同的错误输出，***驱逐输出不一致的被入侵执行体，该***驱逐操作不仅没有把攻击方有效地清理出***，还额外消耗了异构池中的资源，造成攻击扩散；

所述攻击逃逸(E)在攻击方的攻击能力足够强且攻击速度足够快时，在拟态防御***进行择多判决前攻击全部执行体成功且均产生相同的错误输出造成攻击方攻击逃逸成功，裁决器判断该输出正确，并允许全部被入侵的执行体继续工作。

5.根据权利要求4所述的基于GSPN和鞅理论网络空间拟态防御的安全性建模量化方法，其特征在于，所述攻击方和防守方在博弈中的防守行为使得单节点在攻防过程中防守方通过拟态判决使得***进行不同状态之间的转换。

6.根据权利要求5所述的基于GSPN和鞅理论网络空间拟态防御的安全性建模量化方法，其特征在于，在攻防过程攻击方攻克一个执行体后，正常工作的执行体已完成结果输出的概率为：P_1w＝P{N(t_a)-N(0)＞0}；一般攻击在攻击一个执行体完成后，其他正常工作执行体已经完成K个结果输出，***开展拟态判决(t_(1,B,J))的概率为：P_1M ^J＝P_1M ^K；一般攻击在攻击完成i个执行体后，其他正常工作的执行体已完成结果输出的概率为，P_2M ^J＝P{N(t_a+αt_a+…+α^i-1t_a)-N(0)＞0}；***开展拟态判决(t_(i,C,J)+t_(i,D,J))的概率为：P_iM ^J＝P_iM ^K；其中，N(t)表示从任务分发开始的t时间间隔内执行体进行结果输出的次数，t_a攻击一个执行体的时间，一般攻击时α＝1，特殊攻击时α＝0.5，N为***中工作执行体数目，K为相同的结果输出个数的阈值，0≤i≤N-K。

7.根据权利要求6所述的基于GSPN和鞅理论网络空间拟态防御的安全性建模量化方法，其特征在于，所述链路攻击取单个节点的稳态时间作为***的攻击周期，攻击方沿攻击链推进，每攻击成功一个节点，攻击方沿攻击链下行一步，判断是否遭遇拟态随机扰动，如遭遇拟态随机扰动，则沿攻击链退行一步，如未遭遇拟态随机扰动，则继续攻击下一个节点。

8.根据权利要求7所述的基于GSPN和鞅理论网络空间拟态防御的安全性建模量化方法，其特征在于，在链路攻击中攻击方在攻击过程中根据遭遇拟态随机扰动与否和是否攻击单节点成功，有回退、下行及原地不动三种不同的动作。

9.根据权利要求8所述的基于GSPN和鞅理论网络空间拟态防御的安全性建模量化方法，其特征在于，所述回退为无论攻击方是否发动攻击，只要***进行随机扰动时改变到了攻击方所在的节点或者正在攻击的目标节点，攻击将无法进行，攻击方必须回退到已被攻击的上一节点，其概率为M_i,i-1＝ω；所述下行为攻击方攻击下个节点成功，其概率为攻击单个节点成功概率μ，变换周期内***不对攻击相关节点进行随机扰动的概率为(1-ω)，因此攻击方成功攻击下一个节点且期间不发生随机扰动的概率为M_i,i+1＝(1-ω)μ；所述原地不动为攻击方攻击下个节点不成功，恰好***也没有对相关节点进行随机扰动，此时***的状态保持不变，其概率为，M_i,i＝(1-ω)(1-μ)。

10.根据权利要求1-9任一项所述的基于GSPN和鞅理论网络空间拟态防御的安全性建模量化方法，其特征在于，所述步骤S4中还包括以下步骤：

S41、根据当前状态和下一步的攻击范围找寻攻击停留位置的动作建立Markov链；

S42、根据建立的Markov链转换为鞅序列；

S43、利用鞅中的停时定理计算攻击方成功攻击目标节点需要的步数期望为：

S44、将单节点攻击成功概率带入攻击方成功攻击目标节点需要的步数期望得到当攻击链长度为Θ，攻击方成功攻击到目标节点需要的步数期望为：

其中，μ为攻击方攻击单个节点成功的概率，ω为单节点处遭遇主动随机扰动的概率，θ为链路长度，λ(T_E0)为随机扰动动作发生的频率，P(PE)为单节点被攻破的概率。

Images