网络安全攻防博弈模型研究

曾晓杰

互联网的发展为各行各业都带来的巨大的发展机遇，如电商、O2O、物流、社交等。在带给人们方便的同时，无疑也产生了一些安全隐患，如各种网络安全事故、信息泄露等。网络安全本质上讲就是网络攻击者与网络防御者之间进行相互博弈的过程，在相互博弈的过程中，一方得益，即为胜出。本文主要是对网络安全攻防博弈模型进行研究，并讲述其在网络安全中的应用。

一、引言

传统的网络安全解决方案往往依靠于反病毒软件、入侵检测和防火墙等。只有检测到网络入侵事件之后，才能利用反病毒软件进行检测和查杀。缺乏一定的主动防御能力。主动防御能力是一种在网络攻击事件发生之前，就可将攻击事件扼杀在摇篮之中的一种能力。博弈论是数学上的一种决策分析理论，目前该理论已经被广泛的应用到各个领域。该理论的最终目的是通过建立博弈模型，让决策者可以利益最大化。本文将博弈理论应用于网络安全领域，从而可以很好的评估网络安全的好坏。本文首先对一些网络安全的攻击手段和防御手段进行简单的研究，然后通过这些攻击和防御手段建立一个网络安全攻防博弈模型，用来评估网络安全的状况，最后对网络安全攻防博弈模型在网络安全中的应用进行说明。

二、网络安全攻击和防御策略

网络安全攻击的策略主要有基于弱点攻击、基于经验术语攻击、基于应用攻击、基于检测攻击和基于多维属性攻击等。防御的策略主要有入侵检测技术、防火墙技术、密码加密技术、网络应急响应技术等等。

基于弱点攻击是一种利用系统的软硬件漏洞和弱点，发起攻击。基于经验术语的攻击是一种利用网络中常见的社会术语和技术术语进行发起攻击，例如在邮件或者社交软件中，使用伪造的网络信息、逻辑炸弹、冒充信息等，一旦使用者点击或者操作，将会受到攻击或者入侵等。基于应用攻击是一种针对特定的应用发起攻击的一种方法，如将一些蠕虫病毒放入某些特定的应用中进行传播等。基于多维属性攻击是一种复杂的攻击方式，可以结合多种应用场景利用多种手段发起攻击。

入侵检测技术是一种对网络流量和日志进行大量的过滤，从而找到可疑的网络流量日志，再进行二次分析，是否存在攻击危险。因此入侵检测技术是一种被动防御技术，存在着误报和漏报的风险。防火墙技术主要用于企业或者机关内部，通过防火墙技术将内部网络与外部网络隔离开来，对内部网络与外部网络之间的通信进行监视，一旦发现外部网络中有风险的数据包就将其拦截在外，然而这种网络安全技术只能够防范外来网络安全事故，对内部网络没有任何作用。密码加密技术是一种将网络传输数据进行加密，然后接收着再进行解密，从而得到真正数据的一种方式，如目前普遍使用的Https，就是通过将传输数据加密传输，再比如QQ、微信等社交软件，目前已普遍使用加密数据进行数据传输，而不是剛出来时候的明文传输。网络应急响应是一种事后快速响应处理解决方案，一旦遭受了网络攻击，可以快速的进行反应，并找到最佳解决办法，将损失降到最低。

三、网络安全攻防博弈模型建立

网络安全攻防博弈模型的建立是建立在网络安全攻击和防御策略的基础之上，攻防博弈与古时候打仗或者做生意是否盈利的道理是一样的。首先需要客观的找出攻击者和防御者。比如打仗，攻击者和防御者就很好理解，攻防双方显而易见。再比如做生意，攻防其实是相互的，商人可以作为攻击者，也可以称为防御者，目标是最终谁的利益最大化。对于商人来说，收益最大化。对于客人来说，性价比最优化。而对于网络安全来说，利用攻防博弈理论来探讨网络安全情况也比较合适。

网络安全中攻击者和防御者也比较明显。网络安全攻击策略可以称之为攻击者，网络安全防御策略可以称之为防御者，至于到底是攻击者战胜防御者还是防御者战胜攻击者，就看在该模型中，谁的收益最大。在网络安全的博弈模型中，攻击者可是弱点攻击、经验术语攻击、应用攻击和检测攻击等各种网络攻击手段和策略；防御者是入侵检测、防火墙、数据加密和应急响应等各种网络安全检测和防御手段和策略。网络安全攻防博弈模型，如图1所示。

从上图来看，网络安全问题就是网络攻击者与网络防御者之间进行博弈的过程，攻击者战胜防御者，则网络攻击成功，网络安全事故发生，如果防御者战胜攻击者则网络攻击失败，网络安全事故未发生。通过对网络安全攻防博弈模型的研究，可以做很多事情，比如更好的演练网络攻击与防御之间的过程，从而建立更加良好的网络防御体系，再比如，可以对当前的网络防御体系进行网络安全级别评估，看是否达到预期需求。总而言之，对网络安全攻防博弈模型的深入研究，可开展网络安全若干个领域课题的研究，且成果比较明显。

在网络安全攻防博弈模型中，可以通过给已知的若干个网络攻击方案加权，每个网络攻击方案根据其入侵能力、危害程度等，设置一定的权值，同时对网络防御手段也给予一定的权值，对已经部署和使用的网络防御手段进行评估，根据各种网络攻击方案在当前场景中出现的可能性和给定的权值，对当前已知的网络防御策略所能做到的防御能力做出评估，从而可以定性当前网络防御策略的防御能力。

四、攻防博弈模型在网络安全中的应用

攻防博弈模型在网络安全中的应用和研究比较广泛，从2000年开始，有大量的学者对该模型进行了大量的研究，部分的学者即是网络安全领域的专家，他们利用攻防博弈理论对网络安全领域做出了巨大的贡献。2004年，Brynielesson首次把博弈论模型引入到了控制智慧领域中，然后针对网络安全中信息的不确定问题，利用贝叶斯博弈论方法对其实现了安全态势的预估和评测。2007年，Shen等人结合Markov博弈论方法对网络防御能力进行评估，通过大数据的方式获取各种网络攻击的策略，然后对各种网络攻击策略进行综合数据挖掘和评测分类，然后利用博弈论理论，对网络攻击方式进行能力评估，从而帮助网络防御能力进行有效的评估，提前预知其网络防御的能力，为更好的加强网络防御能力做出了巨大的贡献。在接下来的若干年，还有很多的的研究人员对攻防博弈模型理论在网络安全领域的应用进行研究，2016年，张恒巍等人将攻防理论进行进一步的抽象，建立起了一个攻防博弈模型收益算法，将攻击者的收益和防御者的收益同时考虑在内，以各种混合策略的不同权值，计算最终的收益，以收益值作为最终的衡量标准，从而设计了最佳的网络安全防御策略选取算法。

以上众多的研究人员都利用攻防博弈模型对网络安全领域进行了众多的研究。而在网络安全领域的攻防博弈模型，如何更好的进行应用，也是当前所存在的一个问题。本文也着重研究了这一问题。首先已知攻防博弈模型无法解决正在发生的网络安全事故，当前现有的研究都局限于对现有的网络防御能力进行评估。因此，还需要进行更加广泛的研究和应用。本文发掘的网络安全攻防博弈模型的应用主要有网络安全防御能力评估、网络安全事故应急处理、网络安全防御策略自动修补能力、网络安全防御能力自动提升能力等。

网络安全防御能力评估是应用最多的一个方向，近10年来，大多数的网络安全领域专家，都是利用攻防博弈理论在该领域进行研究。网络安全事故应急处理策略是一种利用攻防博弈理论，通过对已有的攻防博弈理论进行不断的学习，由于并不是所有的单位和企业都有能力建立最为安全的防御体系或者并没有必要一直拥有最高级别的安全体系。因此，一旦发生网络安全事故时，需要能够在最短的时间内，找到最佳的解决方案。攻防博弈理论虽然没有这个能力，但是可以利用该理论，对攻防两者进行不断的人工智能学习，从而形成一定的理论体系，然后在最短的时间内，找到最佳的解决方案，将损失最小化。网络安全防御策略自动修补能力是一种将攻防博弈模型应用后，再利用大数据能力，通过数据挖掘手段找到最佳修补策略，从而对当前的网络安全防御策略进行自动修补的一种应用，该应用可用于大型的企业内部，通过对攻防博弈模型进行不断的演练，然后对可能出现的漏洞进行自动修补。网络安全防御能力自动提升策略与自动修补策略基本类似，通过不停的修补策略，可理解为软件修补补丁或Bug的方式，不断的对可能发生事故的地方进行修补，从而不停地提升网络安全防御能力，也可以利用攻防博弈模型对已经建立的防御体系进行定期的验证，由于最新的攻击方式层出不穷，一旦发现危险漏洞，可在最短时间内进行漏洞修补，从而自动提升网络安全防御能力。

總而言之，攻防博弈模型的应用非常广泛，在网络安全领域中，无论哪个环节中都可应用到该模型，核心领域为对防御能力的评估，也可延伸该模型的作用，从而应用于不断修补网络防御体系漏洞，不断提升网络防御体系能力。在网络安全事故中，结合人工智能和大数据等技术，建立快速响应机制，以最快速度解决现有问题，将各种网络安全事故所造成的损失降到最低。

五、结束语

本文主要对网络安全攻防博弈模型理论进行研究，通过建立相应的网络安全攻防博弈模型，以现有的网络安全攻击策略和网络安全防御策略为依据和基础，建立了一个简单的博弈模型，该模型指明了攻击者和防御者，攻击者和防御者之间进行相互博弈，最终必然会有一方胜出。该攻防博弈模型可应用于对网络防御能力进行评估，从2000年以来已经有很多的学者利用该理论对网络安全领域进行研究，从而建立起了一系列的评估网络防御能力的算法和选择当前网络环境下最佳防御策略的方案。本文对该模型的应用进一步挖掘，将其和人工智能技术和大数据技术相结合，从而可应用于不断修补网络安全体系漏洞和提升网络安全防御体系的能力。