拟态防御马尔可夫博弈模型及防御策略选择

张兴明，顾泽宇，魏帅，沈剑良



拟态防御马尔可夫博弈模型及防御策略选择

张兴明，顾泽宇，魏帅，沈剑良

（国家数字交换系统工程技术研究中心，河南 郑州 450002）

网络拟态防御通过冗余执行体动态性、多样性以及裁决反馈机制增强了主动防御顽健性，而对于其安全性评估尚缺少有效的分析模型，基于经典博弈模型无法满足于其多状态、动态性特点，不具有通用性等问题，提出拟态防御Markov博弈模型分析攻防状态间的转移关系以及安全可靠性度量方法，通过非线性规划算法计算攻防博弈均衡，以确定考虑防御代价的最佳防御策略。实验与多目标隐藏技术对比，结果表明拟态防御具有更高的防御效果，结合具体案例给出了针对利用系统漏洞攻击的具体攻防路径，验证了防御策略算法有效性。

网络拟态防御；Markov博弈；冗余执行体；防御顽健性；主动防御策略

1 引言

近年来，随着网络技术的发展，诸如勒索病毒、数据泄露等网络安全事件频发，造成了不可估量的利益损失。下一代网络基础设施建设已经逐步普及，设计研发人员将更多的精力集中于性能方面，网络安全未受到足够重视，如2016年思科爆出死亡之Ping IPv6协议漏洞，极易造成大面积地区网络切断的情况。另外，在SDN网络中，控制与数据分离强化了可编程，却造成了集中控制模式下单点脆弱性，一旦上层控制服务器受恶意控制，整片的网络区域将在攻击者的控制范围内。网络攻击大多基于系统、协议已有的漏洞、设计缺陷等[1]获取系统权限，进而实施非法行为，而基于目前的软硬件设计开发模式，系统弱点无法完全避免。同时，现有的安全防御技术如入侵检测系统、防火墙等对未知威胁，如0-day攻击收效甚微；另外，高级持续威胁（APT, advanced persistent treat）能够针对目标进行不断地探测与渗透攻击，而一旦遭受入侵，系统管理者则需要巨大的开销进行弥补，使网络攻击与防御态势严重不对称。基于诸如此类的问题，移动目标防御（MTD, moving target defense）思想作为美国政府提出的“改变游戏规则”的主动防御技术，旨在彻底打破被动的网络安全局面，通过随机化、多样性实现目标的动态隐藏，以破坏攻击链的连续性，从而提高攻击复杂度[2]。国内安全专家提出了拟态防御（MD, mimic defense）思想，将这种动态属性由单模扩展到多模，通过裁决机制增加防御顽健性[3]。

尽管国内外对于主动防御技术的研究已经取得了重大的突破与进展，但目前相关技术仍处于理论研究阶段，特别是拟态防御技术起步较晚，尚缺少有效的分析验证模型。对于现阶段主动防御技术有效性分析，多数的研究者通过经典博弈模型描述网络攻击者与防御者的博弈过程，常见的有领导者−跟随者博弈[4]、单控制随机博弈[5]、贝叶斯随机博弈[6]以及Stackelberg博弈模型[7]等。经典的博弈模型往往是静态、单一状态的，基于贝叶斯的随机博弈模型考虑了攻击者类型的不确定性，但仍不能满足主动防御场景中多状态、高动态性的特点。另一方面，现有的主动防御技术研究多从系统工程的角度描述架构问题，导致其防御动态变换具有盲目性、无指导的特点，往往导致较高的防御代价，未能充分考虑实际应用场景做出最佳的防御措施[8]。与本文研究最为接近的是文献[9]中所提出的移动目标防御Markov博弈模型，能够充分体现动态防御过程中攻防状态的多状态、马尔可夫性，然而文献[9]中给出的多目标隐藏模型并没有说明多个目标间的内在关系，且未给出具体的防御策略，尚不具有通用性。

基于以上对于主动防御技术的研究现状，本文针对网络拟态防御技术建立拟态Markov博弈模型（MGMD, Markov game model of mimic defense），以分析拟态防御中动态性、冗余多样性以及裁决机制对安全防御的有效性，基于MGMD模型构建非线性规划问题确定最佳防御策略，然后通过与多目标隐藏模型进行对比分析，并以SDN下的安全场景验证了策略选择算法。

本文主要贡献如下。

1) 从拟态冗余执行体容忍性的角度建立Markov博弈模型，通过定义多种状态路径转移描述执行体冗余性、多样性以及裁决反馈机制对攻防博弈过程的影响。

2) 根据攻防模型马尔可夫性建立安全度量模型，以分析拟态防御系统冗余执行体规模、可调度空间以及防御容忍度与防御效果的关系。

3) 针对利用系统已知或未知漏洞的攻击类型，考虑防御代价设计相应的最优主动防御策略确定算法，分析了拟态防御中多种多样化、动态性防御措施的混合策略。

2 网络拟态防御技术简介

拟态防御理念由国内邬江兴院士提出，旨在突破传统网络防御手段中静态、被动防御的局限，通过动态、异构、冗余思想构建主动防御特征[3]，具体防御思想主要体现为以下几个方面。

多样性冗余架构：结合拟态计算思想，拟态防御系统通过多个元功能相同的执行体共同完成任务处理。执行体间以不同等级不同层面的异构属性构造系统非相似余度，这种异构包括底层硬件、指令集、操作系统、上层应用编程语言以及程序多样化编译等层面。在同一异构冗余执行体集中，通过实现尽量多层面的异构属性，以达到系统所呈现的多样性特征，最大限度降低整个系统被控制的可能性，提高防御容忍性。

动态变换机制：系统动态特征通过动态变换机制实现主动防御动态属性，动态性的体现涵盖网络信息与主机系统信息的跳变、系统回卷与恢复等。

多模裁决机制：冗余执行共同完成任务处理输出数据，通过裁决反馈机制确定输出可靠性，同时实现执行体的异常检测与反馈，根据异常执行体的数量不同可将系统划分为多级安全工作模式[10]，以提高系统顽健性。

系统工作过程为输入—处理—输出模式，如图1所示，系统输入数据由数据分发器下发至冗余执行体，数据处理后由裁决机制进行判决并反馈，反馈的作用主要为根据当前安全等级与异常情况制定主动防御策略，最后输出正确的处理结果。拟态防御范围为整个数据处理模块，提高输出可靠性。

基于拟态防御的应用设计已经在多个网络基础设施平台进行了原型验证与测试，包括工控拟态处理器[10]、拟态Web服务器[11]、拟态路由器[12]等。

图1 拟态防御系统工作流程

3 拟态防御攻防模型

3.1 拟态防御马尔可夫博弈模型

本节简要介绍拟态防御模型中的攻防策略，并通过马尔可夫链刻画攻防模型不同阶段的系统状态。

本文针对基于目前影响最广泛的已知或未知的系统、协议的漏洞以及不可控系统后门所造成的威胁情景，攻击者通过对这些系统弱点利用从而控制目标系统。攻击者为达到攻击目的所采取的攻击策略集涵盖目前常规攻击手段和高级持续攻击（APT）等，但不包括针对可用性的资源耗尽型攻击，如拒绝服务攻击等。防御者为阻断攻击者攻击过程、提高系统可靠性及保护系统安全性而采取一系列的防御策略。根据前文描述，防御者动态性因子包括应用级、内核级、操作系统级以及硬件指令级，根据实际应用场景限制及目前研究进展，暂不考虑硬件结构整体切换。

拟态防御马尔可夫博弈模型能够描述多阶段多状态的攻防博弈过程，针对一个特定的网络系统，其所处的系统安全状态与时间、攻击者采取的策略以及防御者采取的策略呈三维关系。可能用到的符号如表1所示。

表1 符号说明

在实际场景中，当前的系统状态体现为系统的安全属性，如系统配置、网络通信模式以及开放服务和端口情况等。另一方面，通常情况下系统的状态转移很大程度上取决于防御者采取的策略，如端信息跳变、平台属性切换等。在本模型中由于安全属性的重要性，攻击者所采取的策略同样具有很大的决定因素，因此状态转移需要同时考虑攻防双方的策略。

图2 MD攻防过程

假设1 MGMD博弈模型中时间是离散的，策略动作的执行可以看作是在同一时间片内进行，且由于MGMD模型策略的“随机化”特征，攻防双方仅能基于当前状态采取策略，而不能对对方的策略进行预测。

3.2 拟态防御马尔可夫博弈过程

本模型将攻防双方所采取的动作作以下说明。

1) 防御者动作：防御者采取无记忆的动作模式，当前状态所进行的防御动作与之前的攻击者动作、防御者动作以及系统状态均没有概率影响。在博弈过程中，防御者动作具有最优先权限，即当防御者采取动作时，系统随之立即进行状态的转移，而无视于攻击者的攻击进程。

2) 攻击者动作：攻击者通过弱点探测、漏洞利用以及提权等网络攻击手段对系统进行攻击。考虑高级攻击者类型，模型允许攻击者在攻击过程中是有记忆的，记忆内容为攻击者采取过的策略和系统历史信息，其中，系统历史信息包括防御者在当前执行单元所进行的端信息与平台属性跳变历史以及系统弱点信息历史等。

3) 空动作：没有任何动作的执行。模型允许攻防双方均存在空动作，其原因在于策略的“随机性”以及双方掌握对方的不完全信息。一方面，攻击动作包括并很大程度上依赖于前期的弱点探测过程，攻击动作的执行并不一定导致系统的崩溃，那么防御者可能将探测数据流误认为正常流量而不采取防御措施；另一方面，攻击者相对拥有更多的主动性与适应性，例如潜伏行为。

2) 从防御者的角度，为区别于MG-MTD模型，分两种情况讨论。

3.3 安全性分析

推导得

3.4 优化防御策略选择

盲目、无指导的主动防御措施往往会导致过高的性能损失，降低防御性价比，优化的防御策略需要根据具体的安全状态进行有针对性的调整[14]。本节分析防御系统如何利用拟态防御马尔可夫模型选择最优的防御策略，其中，包括攻防双方不同策略的收益与代价评估标准，然后针对防御者分析系统最优防御策略，并给出策略选择算法。

拟态防御范围主要针对目标系统元功能的数据处理以及输出数据可信可靠，其跳变与动态变换过程能够对系统状态进行刷新，非相似冗余度执行体同时保证了元功能可用性。那么对于防御者而言，攻防博弈过程中的收益包括拟态防御所产生的系统动态性、冗余体同源关联度的降低、容忍度（输出可信度）的提高以及可利用攻击表面的刷新，而安全性的提高意味着可能存在的系统性能的下降或功耗的增加，由于冗余执行与拟态裁决机制，忽略动态变换过程对元功能可用性的影响；另一方面，从攻击者的角度，考虑高级攻击者能够对目标系统进行充分的弱点挖掘与渗透，那么针对防御系统的攻击过程会随系统的动态变化而进行策略进化[15]，这就要求防御系统做出针对特定攻击向量的策略，本文定义可利用攻击表面为攻击者为渗透目标系统所能够利用的攻击资源包括系统弱点和网络路径等。本文不考虑攻击者的攻击行为本身的消耗，即认为其可利用攻击资源不受限制，则攻击者的收益来源为目标系统可利用攻击表面的增加，同时本模型认为攻击者是适应型、有记忆的，对已利用攻击表面能够进行相似侦测与同源攻击，那么同防御者收益对应的冗余体相似性的增加作为攻击者的攻击收益。

定理2 MGMD博弈过程必然存在纳什均衡策略。

证明 MGMD为二维马尔可夫博弈过程，其状态是有限的（+1个状态），且攻防双方采取有限的混合策略，那么根据相关研究[17-18]可证MGMD存在纳什均衡策略。

根据以上分析，现给出基于MGMD博弈过程的最优防御策略选择算法OSSA，详细过程如下所示。

输入 网络与系统配置参数

输出 MGMD最佳防御策略

Begin

对攻击者攻击类型、防御系统脆弱性进行评估，建立可用的资源集合、威胁集合；

根据系统信息与威胁模型构造攻防策略集；

输入MGMD状态转移概率，建立MGMD博弈模型；

计算攻防双方动作收益；

输出最优策略；

End

4 基于SDN的MGMD框架设计

SDN分离了网络数据与控制，并将控制权限集中于控制服务器。控制服务器对外分为南向接口与北向接口，北向接口连接网络定制功能的应用服务器，南向接口连接交换机客户端，来自南向接口的网络流请求经过控制服务器处理下发至交换机产生特定的网络流规则，这种输入、处理、输出的工作模式吻合拟态防御系统的防御条件。因此，MGMD基于SDN中控制服务器设计的防御框架如图4所示，框架包括网络状态监测模块、防御决策模块、裁决机制以及冗余执行体。

图4 基于SDN的MGMD框架

MGMD框架各个组成模块作用及工作过程如下：网络状态监测模块负责监听当前网络状态，并接收来自南向接口的网络数据请求；冗余执行体负责处理网络请求并输出；裁决机制对冗余执行体的输出数据进行一致性判决，输出判决后的数据并将冗余执行体的裁决结果反馈到防御决策模块；防御决策模块同时接收来自网络监测模块与裁决机制的信息，根据网络安全状态与反馈信息确定具体的主动防御策略，并将这一控制流下发至冗余执行体进行防御实施。

5 实验验证与分析

为验证拟态防御马尔可夫博弈模型以及防御策略选择算法的有效性，本文进行了相应的实验与分析。

5.1 MGMD模型有效性与安全性分析

根据本文第3节分析，MGMD模型体现拟态防御系统中攻防双方博弈过程，其中，攻击者以到达状态作为攻击的最终目的，由于MGMD状态马尔可夫性，具体状态转移依赖于攻防双方所采取的当前策略。为更好地刻画模型安全性，以MCMC（马尔可夫链蒙特卡洛）方法对博弈过程进行仿真，仿真平台为Matlab R2014a。

实验仿真选择多目标隐藏[9]与拟态防御进行对比，其中，多目标隐藏中目标数量为3，拟态防御实验参数中，冗余执行体数量为5，执行体可调度空间为13，攻击者达到攻击目的所需控制的目标数量均为=3，即防御容忍度为3且攻防双方对参与博弈进行的泊松过程参数相等，采取动作互斥且概率均为0.5，在实际场景中攻击者与防御者博弈过程可能是瞬时的，仿真过程定义每次状态发生过程出现在一个时间片内。本文对500个状态进行抽样，详细状态转移过程结果如图5所示。

根据前文描述，系统初始状态即状态0为未受到任何攻击的状态，攻防博弈过程从状态0开始，经过多次状态转移达到状态为攻击完成状态。数据表明多目标隐藏M3-MTD过程更容易进入状态，而拟态防御MGMD过程在经历了59次状态转移之后首次到达状态，且在全局分布中较为稀疏；图6描述了两种马尔可夫博弈过程状态分布，可以看出多目标隐藏博弈状态多集中于中间状态，状态0与状态数量相当，而MGMD则集中于状态0，状态分布明显少于M3-MTD，那么从安全防御的角度，状态分布越集中于状态0，系统防御有效性越优，相比多目标隐藏，拟态防御模型中攻击者控制多个目标攻击完成的概率更小。

图5 状态转移过程

图6 MGMD与M3-MTD状态分布

5.2 网络实例分析

为分析MGMD模型攻防双方的具体行为策略与博弈收益，以确定最优防御策略，验证第4节策略选择算法的有效性，本节实验仿真通过一个具体的网络拓扑探讨以上问题。

图7所示为软件定义数据中心网络部分网络节点拓扑，控制服务器作为拟态防御措施的应用目标，采取多个控制服务器作为冗余执行体协同工作，同时攻击者可以通过网络等途径访问控制服务器。应用服务器作为控制服务器的应用提供者。

图7 实验网络拓扑

威胁模型：本文假定攻击者能够实施高级持续威胁，能够绕过网络防火墙渗透到数据中心服务器集群，通过入侵控制服务器篡改控制器输出数据进而改变网络流规则，达到控制目标网络的目的。

拟态防御范围：控制服务器集群，不包括控制器北向连接的应用数据服务器等。

表2 系统配置参数及弱点信息扫描结果

表3 攻防双方策略集合

表4 状态转移概率

攻防过程中，攻击者能够对系统弱点进行扫描、发现，即拟态防御系统不能有效阻止全部的探测行为，包括针对网络的扫描，IP端口、服务开放情况，针对主机的扫描，操作系统类型版本、系统漏洞等。攻击者每一次动作仅能对已扫描到的一个系统弱点进行利用，且对于已获取的系统弱点不再重复探测，那么MGMD的博弈过程不分析攻击链的扫描探测阶段，而侧重于针对漏洞弱点的系统防御顽健性，因此在实际部署的网络场景中，由于探测的复杂性，这种攻击成功率要低得多。防御手段主要为系统主动防御方法如ASLR、ISR以及其他提高系统多样性方式等，MGMD博弈为不完全信息非零和博弈，那么防御者对攻击者当前的策略是未知的，因此防御动作存在空操作NOP。综上列出针对漏洞的主要攻防策略如表3所示，CVSS是对系统弱点类型、攻击复杂度以及所需权限等属性进行量化分析的工具[19]，实验使用CVSS 3.0对扫描到的系统漏洞进行评估，而相应的攻击成功概率在文献[20]中已经进行了研究。本文以此可以得出MGMD状态转移概率如表4所示。

在攻防双方收益量化分析方面，通常基于特定类型的系统弱点进行具体评估，主要包括漏洞发生频率、攻击复杂度，对于防御方通常考虑防御回报以及防御代价等，结合相关研究[20]以及拟态防御特殊性，根据收益函数计算各状态下的双方收益矩阵如表5所示。然后通过Matlab中的非线性规划工具集得出均衡策略与收益如表6所示。

表5 收益矩阵

表6 均衡策略与双方收益

图8 MGMD攻防状态转移

图9 单执行体攻防状态转移

防御时效性分析：主动防御技术中如何选择防御动作执行频率以提高时效性是需要考虑的一个关键问题。由上文所述，对于单执行体防御系统而言，例如基于网络地址跳变的MTD技术，防御动作跳变频率越高，对攻击者所呈现的动态性越大，那么外部攻击者对该系统的渗透攻击难度就越大；与此不同的是，MGMD模型的攻防过程中存在单个执行体被攻击者控制的状态，而由于异构冗余执行体结构，攻击者需要攻击足够多的执行体才能实现对整个系统的控制。那么，MGMD模型对防御时效性的要求要弱于单执行体动态防御。

局限性分析：案例分析了拟态防御过程中对动态性策略的指导性，而对于具体的多样化方向未能体现；案例仅选择对提取权限均有直接利用价值的系统弱点；状态转移图未能体现所有的攻防交互过程，一些低收益的策略没有发生，因而不具完全性，例如由于防御者掌握不完全信息，状态自转移路径中存在防御者采取非恰当防御动作的情况；对于多个执行体共有漏洞，状态图仅显示了两次利用该漏洞实现多个目标控制，而未能体现出其更高级的协同攻击特点。

总之，从防御的角度讲，动态性策略不能采取盲目的随机化，均衡策略体现了最大化防御收益的策略选择，从而使防御更具针对性、有效性。

6 结束语

网络拟态防御技术通过其冗余执行体多样性、动态性以及裁决反馈机制增强了防御顽健性，而对于其安全性评估尚缺少有效的分析模型。现有的基于博弈论的分析方法多具有静态性局限，本文建立拟态防御Markov博弈模型，通过定义多种状态路径转移描述执行体冗余性、多样性以及裁决反馈机制对攻防博弈过程的影响，并根据攻防模型马尔可夫性质建立安全度量模型，以分析拟态防御系统冗余执行体规模、可调度空间以及防御容忍度与防御效果的关系，结合拟态防御特点将经典攻防博弈模型扩展为动态性、多阶段的Markov博弈模型。最后，考虑主动防御对性能的损耗，通过非线性规划解决攻防博弈混合策略选择问题。通过与移动目标防御中多目标隐藏技术对比验证了拟态防御具有更高的安全性，并基于SDN安全场景给出防御策略确定方案。

本文主要针对基于系统、协议漏洞的攻击类型，具有一定的通用性。下一步的工作主要解决两个方面的问题：一方面，拟态防御技术具有较为复杂的防御方案，文中所提的基于防御容忍度的状态转移尚为简单笼统，无法完全反映冗余执行体具体的动态防御路径；另一方面，针对具体的网络攻击行为，其在目标系统所呈现的攻击痕迹通常具有一定的特征，例如具体到系统某一特定层面上，而这一特征可以被裁决反馈机制捕获从而分析出攻击类型，本模型策略确定方案未充分体现拟态裁决反馈机制的作用。

[1] SUBRAHMANIAN V S, OVELGONNE M, DUMITRAS T, et al. The global cyber-vulnerability report[M]. Springer International Publishing, 2015.

[2] OKHRAVI H, HOBSON T, BIGELOW D, et al. Finding focus in the blur of moving-target techniques[J]. IEEE Security & Privacy Magazine, 2014, 12(2):16-26.

[3] 邬江兴. 网络空间拟态防御研究[J]. 信息安全学报, 2016, 1(4): 1-10.

WU J X. Research on cyber mimic defense[J]. Journal of Cyber Security, 2016, 1(4):1-10.

[4] PRAKASH A, WELLMAN M P. empirical game-theoretic analysis for moving target defense[C]//ACM Workshop on Moving Target Defense. 2015: 57-65.

[5] ELDOSOUKY A R, SAAD W, NIYATO D. Single controller stochastic games for optimized moving target defense[C]//ICC 2016 IEEE International Conference on Communications. 2016:1-6.

[6] FARHANG S, MANSHAEI M H, ESFAHANI M N, et al. A dynamic bayesian security game framework for strategic defense mechanism design[M]//Decision and Game Theory for Security. Springer International Publishing, 2014:319-328.

[7] KAMBHAMPATI S, KAMBHAMPATI S, KAMBHAMPATI S, et al. Moving target defense for web applications using bayesian stackelberg games[C]//International Conference on Autonomous Agents & Multiagent Systems. 2016:1377-1378.

[8] LEI C, MA D H, ZHANG H Q. Optimal strategy selection for moving target defense based on markov game[J]. IEEE Access, 2017, PP(99):1-1.

[9] MALEKI H, VALIZADEH S, KOCH W, et al. Markov modeling of moving target defense games[C]//ACM Workshop on Moving Target Defense. 2016:81-92.

[10] 魏帅, 于洪, 顾泽宇, 等. 面向工控领域的拟态安全处理机架构[J]. 信息安全学报, 2017, 2(1):54-73.

WEI S, YU H, GU Z Y, et al. Architecture of mimic security processor for industry control system[J]. Journal of Cyber Security, 2017, 2(1): 54-73.

[11] 仝青, 张铮, 张为华, 等. 拟态防御Web服务器设计与实现[J]. 软件学报, 2017, 28(4):883-897.

TONG Q, ZHANG Z, ZHANG W H, et al. Design and implementation of mimic defense Web server[J]. Journal of Software, 2017, 28(4): 883-897.

[12] 马海龙, 伊鹏, 江逸茗, 等. 基于动态异构冗余机制的路由器拟态防御体系结构[J]. 信息安全学报, 2017, 2(1):29-42.

MA H L, YI P, JIANG Y M, et al. Dynamic heterogeneous redundancy based router architecture with mimic defense[J].Journal of Cyber Security, 2017,2(1):29-42.

[13] CARTER K M, RIORDAN J F, OKHRAVI H. A game theoretic approach to strategy determination for dynamic platform defenses[C]//ACM Workshop on Moving Target Defense. 2014:21-30.

[14] WANG H, LI F, CHEN S. Towards cost-effective moving target defense against DDoS and covert channel attacks[C]//ACM Workshop on Moving Target Defense. 2016:15-25.

[15] WINTERROSE M L, CARTER K M. Strategic evolution of adversaries against temporal platform diversity active cyber defenses[C]// Proceedings of the Agent-Directed Simulation Symposium at the Spring Simulation Multi-conference. 2014: 68-76.

[16] DORASZELSKI U, ESCOBAR J F. A theory of regular Markov perfect equilibria in dynamic stochastic games: genericity, stability, and purification[J]. Theoretical Economics, 2010, 5(3): 369-402.

[17] BORKOVSKY R N, DORASZELSKI U, KRYUKOV Y. A user’s guide to solving dynamic stochastic games using the homotopy method[J]. Operation Research, 2010, 58(4): 1116-1132

[18] 陈小军, 方滨兴, 谭庆丰, 等. 基于概率攻击图的内部攻击意图推断算法研究[J]. 计算机学报, 2014, 37(1): 62-72

CHEN X J, FANG B X, TAN Q F, et al. Inferring attack Intent of malicious insider based on probabilistic attack graph model[J]. Journal of Computer, 2014, 37(1): 62-72.

[19] SINGH U K, JOSHI C. Quantitative security risk evaluation using cvss metrics by estimation of frequency and maturity of exploit[C]// Proceedings of the World Congress on Engineering and Computer Science (WCECS2016). 2016.

[20] 姜伟, 方滨兴, 田志宏, 等. 基于攻防博弈模型的网络安全测评和最优主动防御[J]. 计算机学报, 2009, 32(4): 817-827.

JIANG W, FANG B X, TIAN Z H, et al. Evaluating network security and optimal active defense based on attack-defense game model[J]. Journal of Computer, 2009, 32(4): 817-827.

Markov game modeling of mimic defense and defense strategy determination

ZHANG Xingming, GU Zeyu, WEI Shuai, SHEN Jianliang

National Digital Switching System Engineering & Technological R&D Center, Zhengzhou 450002, China

Network mimic defense technology enhances the robustness of active defense through the redundancy, dynamic and diversity as well as the decision feedback mechanism. However, little work has been done for its security assessment and existing classic game models are not suitable for its dynamic characteristics and lack of universality. A Markov game model was proposed to analyze the transfer relationship between offensive and defensive status and the measurement method of safety and reliability of mimic defense, and calculated the offensive and defensive game equilibrium through non-linear programming algorithm to determine the best defensive strategy considering performance. Experiments give a comparison with the multi-target hiding technique and shows that the mimic defense has a higher defensive effect. Combining with the specific network case, the specific attack and defense path for the exploit of the system vulnerability is given and the effectiveness of the defense strategy algorithm is verified.

network mimic defense, Markov game, redundant execution units, defense robustness, active defense strategy

TP393

A

10.11959/j.issn.1000-436x.2018223

张兴明（1963−），男，河南新乡人，国家数字交换系统工程技术研究中心教授，主要研究方向为拟态安全、高性能计算等。

顾泽宇（1993−），男，辽宁沈阳人，国家数字交换系统工程技术研究中心硕士生，主要研究方向为网络主动防御、网络安全等。

魏帅（1984−），男，河南南阳人，博士，国家数字交换系统工程技术研究中心讲师，主要研究方向为拟态安全、嵌入式计算等。

沈剑良（1982−），男，浙江德清人，博士，国家数字交换系统工程技术研究中心讲师，主要研究方向为可重构计算等。

2017−12−06；

2018−09−22

国家自然科学基金资助项目（No.61572520, No.61521003）；国家科技重大专项基金资助项目（No.2016ZX01012101）

The National Natural Science Foundation of China (No.61572520, No.61521003), The National Science and Technology Major Project of China (No.2016ZX01012101)