CN112989357A - 基于信号博弈模型的多阶段平台动态防御方法 - Google Patents

Abstract

本公开是关于一种基于信号博弈模型的多阶段平台动态防御方法，该方法包括以下步骤：创建多阶段平台动态防御信号博弈模型；对第一阶段的信号博弈进行均衡求解，得到第一阶段的第一后验概率，并选择第一防御策略；将前一阶段的所述第一后验概率作为相邻的后一阶段的第一先验概率，对后一阶段的信号博弈进行均衡求解，并通过检测因子获得补正后的第二先验概率；判断所述第二先验概率是否能确定访问信号的类型，若否则重复前一步骤，直到所述第二先验概率能确定出所述访问信号的类型。本公开提供的上述方法提升了攻防对抗中网络平台的信号识别能力和防御效果。

Description

基于信号博弈模型的多阶段平台动态防御方法

技术领域

本公开涉及计算机网络信息安全技术领域，尤其涉及一种基于信号 博弈模型的多阶段平台动态防御方法。

背景技术

平台动态防御是面向平台层的动态目标防御，与传统防御相比，平 台动态防御在解决攻防信息不对称、安全漏洞多样隐蔽等方面具有明显 优势，可为目标***提供规避攻击的“机动”条件，变被动防护为主动 防御。在传统防御模式下，防御方的行动决策是建立在对攻击方先行行 动信息观测分析基础上，运用平台动态防御技术后，由于防御方经常主动迁移***状态，攻击方对防御方***的信息也同防御方对攻击方信息 一样具有滞后性，其攻击无效的几率大大上升，攻击一旦失败，便重新 进入到杀伤链的第一步“侦察”阶段，双方的攻防状态保持在“侦察— 迁移—再侦察”的循环，攻击和防御表现为不完全信息的多阶段动态博 弈。对平台动态防御而言，信息不对称性和多阶段攻防对抗是需要重点 解决的两个问题。

相关技术中，对该技术的研究主要针对防御方主动释放虚假信号的 防御形式进行讨论，针对平台动态防御的相关研究目前还比较少。因此， 有必要改善上述相关技术方案中存在的一个或者多个问题，以提升攻防 对抗中网络平台的信号识别能力和防御效果。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公 开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现 有技术的信息。

发明内容

本公开实施例的目的在于提供一种基于信号博弈模型的多阶段平台 动态防御方法，以提升攻防对抗中网络平台的信号识别能力和防御效果。

本公开提供了一种基于信号博弈模型的多阶段平台动态防御方法， 该方法包括以下步骤：

创建多阶段平台动态防御信号博弈模型；

对第一阶段的信号博弈进行均衡求解，得到第一阶段的第一后验概 率，并选择第一防御策略；

将前一阶段的所述第一后验概率作为相邻的后一阶段的第一先验概 率，对后一阶段的信号博弈进行均衡求解，并通过检测因子获得补正后 的第二先验概率；

判断所述第二先验概率是否能确定访问信号的类型，若否则重复前 一步骤，直到所述第二先验概率能确定出所述访问信号的类型。

本公开的一实施例中，多阶段平台动态防御信号博弈模型为8元组 模型MPDDSM＝(R,T,A,D,U,L,μ,P)，其中，

R＝{R_a,R_d}为博弈局中人空间，R_a和R_d分别表示访问者和防御者；

T＝{T_A,T_D}为博弈参与者的类型空间。T_A＝{t₁,t₂}为访问者类型集合， 分别为攻击者和合法用户，T_D＝{t_d}表示防御者只有一种类型；

为访问者策略集，g≥1，g∈N⁺，i表示访问者的类型， i＝1代表访问者类型为攻击者，i＝2代表访问者类型为合法用户；

D＝{d₁,d₂,…,d_h}为防御者策略集，h≥1，h∈N⁺；

U＝{U_a,U_d}表示双方的收益函数集合，U_a和U_d分别为访问者和防御 者的收益函数；

L为双方进行博弈的阶段数，L≥1,L∈N⁺；

μ为防御者先验信念，表示防御者对攻击者类型的先验判断；

P为防御者后验信念集合，表示防御者通过贝叶斯法则得到的攻击者 类型后验判断。其中P＝{p′_L,q′_L}，p′_L,q′_L分别表示在观测到正常信号和异常信 号的后验判断，L表示博弈的阶段数。

本公开的一实施例中，所述判断所述第二先验概率是否能确定访问 信号的类型的步骤，包括以下步骤：

若所述第二先验概率大于等于1或小于等于0，则可以确定出所述访 问信号的类型。

本公开的一实施例中，所述访问信号的类型包括攻击者和合法用户。

本公开的一实施例中，所述对第一阶段的信号博弈进行均衡求解的 步骤，包括以下步骤：

接收一访问信号，赋予所述访问信号任意一种所述类型作为先验概 率；

根据所述访问信号采取的策略以及访问者和防御者的收益，通过叶 贝斯法则进行均衡求解，得到最优访问者策略及防御者策略。

本公开的一实施例中，所述通过叶贝斯法则进行均衡求解的步骤中，

所述最优访问者策略计算公式为

所述最优防御者策略计算公式

本公开的一实施例中，赋予所述访问信号的所述类型为攻击者时，

所述访问者的收益U_a＝∑[-(1-k)^w-1AC/t′]+(1+k)^L-1C_r×t′-(1-k)^L-1AC；

所述防御者的收益U_d＝∑[(-ASSC-NC)/t′]+(1-k)^L-1C_r×t′-ASSC-NC；

其中，AC为攻击方成本，k为探测度，t′为平台迁移间隔，ASSC为攻 击面转移成本ASSC，NC为负面影响成本，C_r为目标资源重要程度。

本公开的一实施例中，赋予所述访问信号的所述类型为防御者时，

所述访问者的收益U_a＝∑[-NC/t′]+C_r×t′-NC；

所述防御者的收益U_d＝U_a-ASSC；

其中，t′为平台迁移间隔，ASSC为攻击面转移成本ASSC，NC为负面 影响成本，C_r为目标资源重要程度。

本公开的一实施例中，所述检测因子由防御方的入侵检测***的检 测率和误报率决定；

若检测结果为异常信号，则缩短平台迁移间隔；

若检测结果为正常信号，则延长平台迁移间隔。

本公开的一实施例中，在所述第一阶段的信号博弈中，检验因子为0。

本公开提供的技术方案可以包括以下有益效果：采取多阶段信号博 弈策略，将上一阶段的后验，在修正的基础上，作为下一阶段的后验概 率，以此为基础进行多轮次的判断，提高对访问者类型判断的准确度， 采取针对性防御策略，提升了攻防对抗中网络平台的信号识别能力和防 御效果。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解 释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合 本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见的， 下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人 员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他 的附图。

图1示出本公开示例性实施例中一种基于信号博弈模型的多阶段平 台动态防御方法的步骤示意图；

图2示出本公开示例性实施例中平台动态防御的网络拓扑结构图；

图3示出本公开示例性实施例中多阶段信号博弈流程图；

图4示出本公开示例性实施例中一种基于信号博弈模型的多阶段平 台动态防御方法的步骤示意图；

图5示出本公开示例性实施例中第一阶段的攻防博弈扩展式G(1)；

图6示出本公开示例性实施例中第二阶段的攻防博弈扩展式G(2)；

图7示出本公开示例性实施例中探测度和检测因子对防御收益的影 像；

图8示出本公开示例性实施例中第一阶段博弈扩展式；

图9示出本公开示例性实施例中第二阶段博弈扩展式；

图10示出本公开示例性实施例中不同策略收益比较图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式 能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提 供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构 思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以 任何合适的方式结合在一个或更多实施方式中。

此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图 中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描 述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上 独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个 或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处 理器装置和/或微控制器装置中实现这些功能实体。

本示例实施方式中首先提供了一种基于信号博弈模型的多阶段平台 动态防御方法，参考图1中所示，该方法可以包括以下步骤：

步骤S101：创建多阶段平台动态防御信号博弈模型；

步骤S102：对第一阶段的信号博弈进行均衡求解，得到第一阶段的 第一后验概率，并选择第一防御策略；

步骤S103：将前一阶段的所述第一后验概率作为相邻的后一阶段的 第一先验概率，对后一阶段的信号博弈进行均衡求解，并通过检测因子 获得补正后的第二先验概率；

步骤S104：判断所述第二先验概率是否能确定访问信号的类型，若 否则重复前一步骤，直到所述第二先验概率能确定出所述访问信号的类 型。

具体的，在平台动态防御***中，每一个网络节点上都维护着多个 异构的平台，这些异构平台所能实现的功能都是一样的。在检测到入侵 时，调度程序会立刻下线被感染的平台，从待机的异构平台中按照一定 的规则选择一个上线，从而阻碍攻击者的入侵。这种动态变化的***状 态对外所表现出的***漏洞也是时变的，这种能够动态变化漏洞的防御 ***可以大大增加攻击者侦察的难度，令其“望而却步”。

在网络的一些重点部位，通常会遭受到攻击者的蓄意攻击，在发起 攻击前，攻击者会对防御***发出探测信号，以确定***指纹、漏洞等 敏感信息，有针对性的制定攻击策略。一般防御者处在被动接受信息的 状态，需要对接收到的信息进行甄别，确认访问信号来源于合法用户还 是攻击者，根据不同的信息采取不同的防御策略。如图2所示，给出了平台动态防御的网络拓扑结构图。

根据攻防双方博弈顺序的先后，给出博弈流程如图3所示，考虑实 际网络中，通常是攻击者主动释放探测信号，因此设访问者为信号发送 者，防御者为信号接收者。①在第一阶段，访问者首先释放信号，对系 统提出服务请求；防御者根据历史经验，拥有对访问者类型的先验概率 判断，在接收到信号后，依据贝叶斯法则判断信号的来源是合法用户还是攻击者，形成对访问者类型的后验判断，并在后验判断的指导下选择 防御策略。访问者根据防御者的策略，选择当前最优的访问策略。由于 初始阶段中，检测因子无法对先验判断进行修正，判断的准确率不可避 免的会受到影响。同样，对于攻击者来说，在对防御***没有进行任何 侦察情况下发动攻击，获得的收益也将是有限的。②在下一阶段，防御 者在上一阶段得到的对访问者类型的后验判断作为本阶段的先验判断， 并且根据访问者所选择的访问策略，得到本阶段对访问者类型的后验判 断，根据后验判断，选择对应的防御策略；访问者选择本阶段的最优访 问策略。当检测因子开始发挥作用时，防御方能够对访问者类型拥有更 准确的判断，攻击者也掌握了部分防御***的信息，防御者能否在攻击 者发动攻击前识别出信号发送者的类型，是防御效果的关键。③后续博 弈阶段以此类推，直到通过修正后的先验判断能够确定访问者的类型。

由此，采取多阶段信号博弈策略，将上一阶段的后验，在修正的基 础上，作为下一阶段的后验概率，以此为基础进行多轮次的判断，提高 对访问者类型判断的准确度，采取针对性防御策略，提升了攻防对抗中 网络平台的信号识别能力和防御效果。

下面，将对本示例实施方式中的上述方法的各个步骤进行更详细的 说明。

在一个实施例中，多阶段平台动态防御信号博弈模型为8元组模型 MPDDSM(Multi-stage Platform Dynamic Defense Signal game Model)可以 用8元组(R,T,A,D,U,L,μ,P)来表示，其中：

R＝{R_a,R_d}为博弈局中人空间，R_a和R_d分别表示访问者和防御者；

T＝{T_A,T_D}为博弈参与者的类型空间。T_A＝{t₁,t₂}为访问者类型集合， 分别为攻击者和合法用户，T_D＝{t_d}表示防御者只有一种类型；

为访问者策略集，g≥1，g∈N⁺，i表示访问者的类型， i＝1代表访问者类型为攻击者，i＝2代表访问者类型为合法用户；

D＝{d₁,d₂,…,d_h}为防御者策略集，h≥1，h∈N⁺；

U＝{U_a,U_d}表示双方的收益函数集合，U_a和U_d分别为访问者和防御 者的收益函数；

L为双方进行博弈的阶段数，L≥1,L∈N⁺；

μ为防御者先验信念，表示防御者对攻击者类型的先验判断；

P为防御者后验信念集合，表示防御者通过贝叶斯法则得到的攻击者 类型后验判断。其中P＝{p′_L,q′_L}，p′_L,q′_L分别表示在观测到正常信号和异常信 号的后验判断，L表示博弈的阶段数。

具体的，在该多阶段平台动态防御信号博弈模型中，定义以下参数 及收益计算：

目标资源重要程度C_r。在本次博弈中目标资源的重要程度，由所在的 网络节点的度决定。

检测因子λ_L。由防御方的入侵检测***的检测率DR和误报率FPR决 定。若检测结果为异常信号，则缩短平台迁移间隔t′，若检测结果为正常 信号，则延长平台迁移间隔t′。0≤λ_L≤1，在博弈初始阶段，检测因子为0。

探测度k。攻击者对防御者的侦察效果。以能够侦察到的内容确定， 包括***结构、程序代码、IP地址信息，能够获取的信息越多，探测度就 越大，其中，0＜k＜1。

攻击面转移成本ASSC。指平台动态防御***在进行平台迁移时所付 出的开销，由迁移平台之间的相似程度决定。相似操作***之间在转移前 需要做的准备工作较少，因此，平台之间的相似程度越大，攻击面转移成 本就越小。

负面影响成本NC。平台发生迁移时，带来的工作或服务质量下降。

攻击方成本AC。攻击方侦察、访问、编写攻击代码、发起攻击和持 续等阶段所做的努力。

合法用户收益f_n。合法用户拥有平台的迁移信息，在平台迁移后，合 法用户需要同步自身的访问信息，这些开销包括在负面影响成本中。在网 络波动或者其他因素影响下可能出现掉线重连的情况，此时会发送多轮次 的访问请求。合法用户收益由阶段收益

和访问成功收益组成f′_n。其中， 连接失败时只会付出同步的负面成本，只有连接成功时可获取目标资源。 阶段收益可表示为：

访问成功收益为：

f′_n＝C_r×t′-NC (2)

可得合法用户的收益为：

其中，L为连接的总次数，即双方博弈的阶段总数，w表示博弈的第 w阶段。

攻击者收益f_a。指攻击者通过所采取的攻击策略所获得的收益。攻 击者收益由阶段收益

和攻击收益f′_a组成。在未发动最终攻击时，无法 获取目标资源，但每一阶段的侦察也会带来一定的收益，随着侦察次数 的上升，侦察的成本会对应的下降，下降的程度和探测度有关：探测度 越大，攻击者侦察能力越强。同时也会被防御方的入侵检测***捕捉到 更多的信息。阶段收益为：

攻击者在被防御者发现之前发动攻击，则检测因子无法发挥作用， 此时攻击成功收益为：

f′_a＝(1+k)^L-1C_r×t′-[(1-k)(1+λ_L)]^L-1AC (5)

可得攻击者收益为：

防御者收益f_d。当访问者类型为合法用户时，防御方收益等于合法 用户收益减去攻击面转移成本。当访问者类型为攻击者时，防御方收益 由两个部分组成，分别为阶段收益

和防御成功收益f′_d。在防御者未识 别出访问者类型或访问者未达到目的，博弈不会进入最终阶段。攻击者 对防御***的侦察次数越多，对防御***掌握情况就越清晰，同时防御 方的入侵检测***对访问信号的判断也更加准确，但同时所付出的防御 成本也更高。可得防御方阶段收益为：

防御者在受攻击前识别出攻击者，则防御成功收益为

f′_d＝[(1-k)(1+λ_L)]^L-1C_r×t′-(ASSC+NC)(1+λ_L)^L-1 (8)

防御者收益为：

其中，L为双方博弈的阶段数，即攻击者在第L次博弈发动攻击， L-1为攻击者的侦查次数。

综上，双方的收益可表示为

U_d＝f_d

在一个实施例中，如图4所示，步骤S102包括步骤S201～S202。

其中，步骤S201：接收一访问信号，赋予所述访问信号任意一种所 述类型作为先验概率。

具体的，信号博弈有访问者和防御者两个参与者，前者是信号的发 送者，后者是信号的接收者。在第一阶段的信号博弈中，自然赋予访问 者某种类型，t_i∈T_A,T_A＝{t₁,t₂}是访问者的类型集合。μ(t_i)代表认为访问者类 型是t_i的先验信念，且μ(t_i)＞0,∑_iμ(t_i)＝1。

步骤S202：根据所述访问信号采取的策略以及访问者和防御者的收 益，通过叶贝斯法则进行均衡求解，得到最优访问者策略及防御者策略。

在平台动态防御下，防御方向不同的平台迁移，获得的收益也不同： 向异构平台迁移能大大增加攻击者侦察定位的难度，攻击者需要付出更大 的攻击成本，但同时防御者也要支付更多的开销完成业务的迁移，比较适 合在检测到攻击时使用；向同构平台迁移的成本虽然小于前者，但防御效 果要弱于向异构平台迁移，比较适合在日常防护中使用。因此，防御策略 需要根据多阶段信号博弈的精炼贝叶斯均衡进行选取。

具体的，访问者R_a知道自己的类型t_i，然后从可行的策略集

中选择一个策略

防御方R_d在观察到访问者的策略

之 后，观察到访问者释放的信号x，x₁是正常信号，x₂是异常信号。从防御策 略集D＝{d₁,d₂,…,d_h}中选择一个最优的防御策略使自己的收益最大化，即 满足下式：

其中，

μ(t_i|a_j)表示在观察到攻击 者采取策略a_j后，判断攻击者类型为t_i的概率。

信号博弈的精炼贝叶斯均衡为一对策略组合{D^*(x_n)}和{A^*(t_i)}和相对 应的信念概率分布μ^*(t_i|a_j)，μ^*(t_i|a_j)是防御者根据先验概率μ(t_i)、观察到 的攻击者的策略a_j，以及防御者的最优策略D^*(x_n)，通过贝叶斯法则计算 得到。

上述计算过程中，当赋予所述访问信号的所述类型为攻击者时，所述 访问者的收益U_a＝∑[-(1-k)^w-1AC/t′]+(1+k)^L-1C_r×t′-(1-k)^L-1AC；所述防御 者的收益U_d＝∑[(-ASSC-NC)/t′]+(1-k)^L-1C_r×t′-ASSC-NC。当赋予所述访 问信号的所述类型为防御者时，所述访问者的收益 U_a＝∑[-NC/t′]+C_r×t′-NC；所述防御者的收益U_d＝U_a-ASSC。

由上述多阶段平台动态防御信号博弈模型可知，多阶段的情况存在 于正常用户掉线重连和访问者类型为攻击者，且攻击者释放探测信号进 行侦察和欺骗，当正常用户成功连接或者攻击者发动攻击时，博弈结束。 下面在一个具体的实施例中，以访问者类型是攻击者为例讨论多阶段攻 防博弈情况。

当L＝1时，进入第一阶段攻防博弈G(1)。自然首先赋予访问者类型 T_A＝{t₁,t₂}。防御者观察到访问者释放的信号后，通过贝叶斯法则，修正 对访问者类型的先验判断，得到第一阶段的后验概率p′₁和q′₁。从防御策 略集D＝{d₁,d₂,…,d_h}中选择对应的策略d_k。访问者在观察到防御者采取的 策略后，从访问者策略集

中选择对应收益最高的策略

第一阶段的攻防博弈扩展式如图5所示。

按照上述贝叶斯均衡求解方法，可得本阶段防御者的最优策略为 D^*(x_n)。在第一阶段的博弈结束后，防御者已经获得了修正后的访问者类 型后验概率，在第二阶段的博弈中。防御者将不再依赖自然赋予访问者 的先验概率进行判断，即上一阶段的后验概率为下一阶段的先验概率。 另外，经过一轮博弈后，防御者完成了一次对访问信号的检测，检测因子λ_L将在下一阶段影响到防御者对信号的鉴别能力。

当L＝2时，进入第二阶段攻防博弈G(2)。在第二阶段的博弈中，防 御者将前一阶段获得的对访问者类型的后验概率作为本阶段的先验概率， 此外，考虑到防御者在前一阶段检测因子的影响，通过检测因子可获得 补正后的先验概率

若

或

则防御者可以直接确定访问者类型，采取针对措施，否则，防御者根据 访问者发送的信号确定第二阶段对访问者类型判断的后验概率p′₂和q′₂。 之后的步骤同第一阶段。第二阶段的攻防博弈扩展式如图6所示。第二 阶段的博弈结束后，防御者对访问者类型的后验概率仍然传递为第三阶 段的先验概率，同时，检测因子进一步发挥作用。后续分析以此类推。

当L＝n时，进入第n阶段攻防博弈。在第n阶段时，设补正后的先 验概率

或

防御者可以直接确定访问者的身份， 采取针对的策略。此时双方的博弈变为不完全信息静态博弈。

综上，将本申请模型与算法与其他信号博弈模型进行比较，所提策 略的有效性在于多阶段信号博弈模型均衡解的稳定性，即网络中攻防双 方所选择的策略是出于“无奈”，只有选择对应的策略才能将收益最大化， 否则在博弈中处于不利，这对在理论层面部署平台动态防御技术具有一 定的指导意义。结合网络攻击的特点，所提模型将攻击行为划分为多个 阶段处理，包括侦察等准备行为，符合网络攻击的一般规律。

仿真分析：

按照图2的网络拓扑结构搭建实验网络，攻击者可选策略集为

合法用户可选策略集为

防御者可选策略集为D＝{d₁(向同构平台迁移)，d₂(向 异构平台迁移)}。博弈结束条件有两个，①攻击者发动攻击或合法用户完 成访问请求，②防御者通过检测确定访问者的类型，其中一个条件满足， 博弈即可结束。

设访问者类型为攻击者。设资源重要程度C_r为300，防御者根据历史 经验对访问者类型的先验判断μ＝0.3。在观察到正常信号时，迁移周期 t′＝0.8，观察到异常信号时，迁移周期t′＝0.6。

在一次平台迁移过程中，需要进行数据的迁移和备份，以保证业务 不会被中断，同时还需要保证迁移到新的平台后服务功能不改变，即输 入和输出保持不变，这不仅牵扯到向上的数据处理功能，同时也要考虑 向下的***内核兼容，Windows类和linux类操作***的内核是不同的， 在同构平台迁移中，成本和开销主要体现在数据备份和迁移，但在异构 平台迁移中，还需要考虑重新实现底层架构以保证和新***的内核兼容， 因此在向异构平台迁移策略d₂的负面成本、攻击面转移成本要比向同构 平台迁移策略d₁高出近一倍，但同时由于不同***之间的差异很大，攻 击者之前所探测的漏洞信息基本全部失效，攻击的攻击难度也成倍的增 加，根据平台动态防御原理，相关参数给出如表1。

表1相关参数

检测因子λ_L由入侵检测***决定，探测度k由平台的迁移周期和攻 击者的攻击方式决定。为进一步探究探测度和检测因子对防御方收益的 影响，根据前述对防御收益的定义，将探测度和检测因子从0至1遍历， 观察防御收益情况，得到结果如图7所示。

从图中可以看出，随着检测因子趋向1，探测度趋向0，防御方的收 益不断增加。因为检测因子由入侵检测***决定，入侵检测***越灵敏， 就越容易甄别访问信号的类别，同时防御***的漏洞变化越快，攻击者 的探测度也越低，每次侦察所获取到的敏感信息越少。观察收益趋势还 可以发现，在探测度小于0.27时，防御者收益和检测因子成正比，探测度大于0.27时，防御者收益和检测因子成反比。这是由于当攻击者通过 一次侦察可以获得足够的***敏感信息后，即使防御者已经识别出信号 来自攻击者，也会由于暴露的敏感信息过多而导致收益的下降，因此需 要保持一定的平台迁移强度和检测强度，以保证平台迁移的有效性。此 外，当检测因子小于0.5时，防御收益上升速度非常缓慢，当检测因子大 于0.5时，防御收益上升速度变快，这是由于随着检测因子的增加，防御 方能够在较短的时间内识别出信号发送方。综上分析，取探测度k＝0.27， 保证最小迁移需求；取检测因子λ_L＝0.5，确保能在被攻击前识别出信号 来源。

根据上文给出的收益计算方法和相关参数，可得第一阶段的博弈扩 展式如图8所示。

对第一阶段的博弈进行均衡求解，将数值代入式(11)可得：

令64.75-130p′₁＝-8.75+170.75p′，可得p′₁＝0.24，同理可得

令-94.02+87.02q′₁＝126-156.31q′₁，可得q′₁＝0.90。因此，在观测到正常信 号时，防御方对访问者类型的后验判断为(0.24,0.76)，在观测到异常信号 时，防御方对访问者类型的后验判断为(0.9,0.1)。通过第一阶段的博弈防 御方能够根据接受到的信号情况对访问者类型做出判断，并察觉到攻击 者释放的侦察信号，判断其类型为攻击者的概率有所提高。

通过入侵检测***对先验概率的补正，可得第二阶段的先验概率为

由第一阶段修正后的概率，可得第二阶段的博弈扩展式， 如图9所示。

对第二阶段的博弈进行分析，将数值代入式(6)可得：

因0≤p′₂≤1，可得-177.7-28.8p′₂＜258.8+157.6p′₂，此时防御者在观察到来 自攻击者发出的信号后，可通过上一阶段的先验概率修正，直接判断出 此信号来自攻击者，识破虚假信号，采取向异构平台迁移的高强度防御 策略。

因0≤q′₂≤1，可得24-16q′₂＞-3.3-34q′₂，此时防御者在观察到来自合法 用户的信号后，能够避免误判，采取向同构平台迁移的低强度防御策略。

至此，博弈进行到第二阶段后，防御者能通过第一阶段的后验概率， 在第二阶段博弈中准确识别出接收到的信号是来自攻击者还是合法用户， 避免了误判所带来的***损失。

结果分析：

(1)增强入侵检测的灵敏度能够有效提高防御的主动性。攻击者直 接在第一轮发动攻击的收益为140，若在探测信息后，第二轮发起攻击， 收益可达195.3，在上述示例中，多阶段博弈进行到第二轮后，防御者已 经可以根据访问者发出的信号判断出其类型，从而采取对应的策略。若 检测因子λ_L的值不够大，则博弈还需要进行第三轮、第四轮，随着博弈轮次的增加，攻击者能够探测到的信息越多，可以选择攻击的时机也越 多。因此，防御者将博弈轮次控制在两次，能有效限制攻击者的探测机 会和攻击时机。

(2)防御方在平台动态防御***中容错率较高，即使在前一阶段的 博弈中未能判断出访问者类型，若能在对方发动攻击前识别出信号来源， 依旧能够起到有效的防护作用。如在第一阶段中，防御方在未能判断出 访问者来源的情况下收益为-87.5，在第二阶段能识别信号来源的前提下， 攻击者不发动攻击时，收益为365.7，足够弥补第一阶段的损失。

(3)在未能确定访问者类型时，可能会有误判的情况发生，可以辅 以其他的防御手段进行补救。在第一阶段的博弈中，防御者在观察到正 常信号时，会有10％的概率直接判定为访问者类型为合法用户，若发生 误判，防御者的收益将为-280.7，导致***受损。因此可以采取其他的防 御手段进行补救，以改善在多阶段信号博弈的前期发生误判的情况。

根据上述算例，将多阶段信号博弈迁移策略与目前常规的随机平台迁 移策略进行对比，进行蒙特卡洛仿真实验100次，观察不同策略的收益， 得到结果如图10所示。

随机迁移策略的收益不稳定且累计收益比较低，单阶段信号博弈迁移 策略的累计收益保持在0左右，多阶段信号博弈迁移策略的累计收益稳定 提升。随机迁移策略缺乏对访问方信号的判断，无差别的在平台之间随机 的迁移，有时合法用户可能会因为迁移的频率或迁移的平台之间差异性较 大导致掉线重连，因此带来不必要的损失。单阶段信号博弈策略能够在一 定程度上改善这种情况，对访问者的类型做出一个初步的判断。由于攻击者可能会释放虚假信号导致误判，因此防御方收益会受到一定的影响，为 降低这些虚假信号或***误判带来的损失。本公开采取多阶段信号博弈策 略，将上一阶段的后验，在修正的基础上，作为下一阶段的后验概率，以 此为基础进行多轮次的判断，提高对访问者类型判断的准确度，采取针对 性防御策略，提高防御效率。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想 到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或 者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原 理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说 明书和实施例仅被视为示例性的，本公开的真正范围和精神由所附的权 利要求指出。

Claims (10)

1.一种基于信号博弈模型的多阶段平台动态防御方法，其特征在于，包括以下步骤：

创建多阶段平台动态防御信号博弈模型；

对第一阶段的信号博弈进行均衡求解，得到第一阶段的第一后验概率，并选择第一防御策略；

将前一阶段的所述第一后验概率作为相邻的后一阶段的第一先验概率，对后一阶段的信号博弈进行均衡求解，并通过检测因子获得补正后的第二先验概率；

判断所述第二先验概率是否能确定访问信号的类型，若否则重复前一步骤，直到所述第二先验概率能确定出所述访问信号的类型。

2.根据权利要求1所述方法，其特征在于，多阶段平台动态防御信号博弈模型为8元组模型MPDDSM＝(R,T,A,D,U,L,μ,P)，其中，

R＝{R_a,R_d}为博弈局中人空间，R_a和R_d分别表示访问者和防御者；

T＝{T_A,T_D}为博弈参与者的类型空间。T_A＝{t₁,t₂}为访问者类型集合，分别为攻击者和合法用户，T_D＝{t_d}表示防御者只有一种类型；

为访问者策略集，g≥1，g∈N⁺，i表示访问者的类型，i＝1代表访问者类型为攻击者，i＝2代表访问者类型为合法用户；

D＝{d₁,d₂,…,d_h}为防御者策略集，h≥1，h∈N⁺；

U＝{U_a,U_d}表示双方的收益函数集合，U_a和U_d分别为访问者和防御者的收益函数；

L为双方进行博弈的阶段数，L≥1,L∈N⁺；

μ为防御者先验信念，表示防御者对攻击者类型的先验判断；

P为防御者后验信念集合，表示防御者通过贝叶斯法则得到的攻击者类型后验判断。其中P＝{p′_L,q′_L}，p′_L,q′_L分别表示在观测到正常信号和异常信号的后验判断，L表示博弈的阶段数。

3.根据权利要求2所述方法，其特征在于，所述判断所述第二先验概率是否能确定访问信号的类型的步骤，包括以下步骤：

若所述第二先验概率大于等于1或小于等于0，则可以确定出所述访问信号的类型。

4.根据权利要求2所述方法，其特征在于，所述访问信号的类型包括攻击者和合法用户。

5.根据权利要求4所述方法，其特征在于，所述对第一阶段的信号博弈进行均衡求解的步骤，包括以下步骤：

接收一访问信号，赋予所述访问信号任意一种所述类型作为先验概率；

根据所述访问信号采取的策略以及访问者和防御者的收益，通过叶贝斯法则进行均衡求解，得到最优访问者策略及防御者策略。

6.根据权利要求5所述方法，其特征在于，所述通过叶贝斯法则进行均衡求解的步骤中，

所述最优访问者策略计算公式为

所述最优防御者策略计算公式

7.根据权利要求6所述方法，其特征在于，赋予所述访问信号的所述类型为攻击者时，

所述访问者的收益U_a＝∑[-(1-k)^w-1AC/t′]+(1+k)^L-1C_r×t′-(1-k)^L-1AC；

所述防御者的收益U_d＝∑[(-ASSC-NC)/t′]+(1-k)^L-1C_r×t′-ASSC-NC；

其中，AC为攻击方成本，k为探测度，t′为平台迁移间隔，ASSC为攻击面转移成本ASSC，NC为负面影响成本，C_r为目标资源重要程度。

8.根据权利要求6所述方法，其特征在于，赋予所述访问信号的所述类型为防御者时，

所述访问者的收益U_a＝∑[-NC/t′]+C_r×t′-NC；

所述防御者的收益U_d＝U_a-ASSC；

其中，t′为平台迁移间隔，ASSC为攻击面转移成本ASSC，NC为负面影响成本，C_r为目标资源重要程度。

9.根据权利要求1所述方法，其特征在于，所述检测因子由防御方的入侵检测***的检测率和误报率决定；

若检测结果为异常信号，则缩短平台迁移间隔；

若检测结果为正常信号，则延长平台迁移间隔。

10.根据权利要求1所述方法，其特征在于，在所述第一阶段的信号博弈中，检验因子为0。

Images