平台动态防御演化博弈模型和状态迁移策略

王志屹， 王 刚， 陈彤睿， 冯 云， 马润年

(空军工程大学信息与导航学院， 西安， 710077)

平台动态防御是网络平台层的动态目标防御[1]，建立在虚拟化技术和多样化异构平台基础上，网络节点是平台动态防御的执行单元。在平台动态防御系统内，承载业务按照节点状态迁移规则在多样化异构平台间动态切换，通过改变系统环境，系统自身存在的漏洞和潜在缺陷随着状态跳变规则呈现出动态变化，增大了攻击方侦察定位和进一步实施攻击的难度和代价[2]，降低了平台被病毒感染的概率。具体的手段包括改变文件扩展名[3]、主机状态迁移[4]和攻击面自适应转换[5]等。防御方通常先对攻击者的意图和行为进行分析、检测和预判[6-8]，进而设计和实施针对性防御。

策略的制定是防御的关键，也是当下研究的热点问题。防御方和攻击方之间的目标对立性、策略依存性和关系非合作性等特征符合博弈的相关理论，其中动态目标防御的信号博弈[9-10]立足信息不对称性，微分博弈[11]侧重博弈的连续性，Stackelberg博弈[12]重点考虑博弈次序的不对称性，马尔可夫鲁棒博弈[13]利用Markov过程的无后效性，简化了多阶段博弈的分析。这些成果是研究平台动态防御迁移策略的基础。对于平台动态防御的节点而言，攻防博弈的复杂性和难度更高，获得的攻防信息是不完全的，且节点对整体网络和系统的状态分析能力有限，网络的复杂环境和系统的计算能力限制，决定了防御者的行为属于一种有限理性行为[14]，攻防双方需要适应对手的变化和动态调整博弈策略，具有典型演化博弈特征。真正意义上的“最优”策略可能难以达到，相较于完全理性的博弈类型，演化博弈模型拉近了预设条件与现实网络之间的距离[15]，可利用复制动态方程和演化稳定分析[16-18]，求解更贴近现实需求的状态迁移策略。

具体而言，平台动态防御演化博弈需考虑以下几个问题：①针对病毒的传播特性和作用机理，从破坏攻击方的攻击链入手，分析平台动态防御的防御机理、状态迁移关系和影响因素；②网络节点是网络拓扑基本单元和攻击者入侵的门户，节点的感染与状态迁移是攻防双方演化博弈的直观体现，节点状态迁移规则是防御的关键所在；③防御效能对平台动态防御演化博弈策略优劣的度量，应建立起科学的指标参数和评估体系。

1 平台状态迁移动态防御原理

病毒的传播依赖于系统的漏洞，不同类型的病毒，其工作环境也不同。通过部署平台动态防御系统实现上线平台的动态切换，避免对外网病毒免疫性较弱的平台上线，如果外网多为Windows平台易感病毒，则选择上线Linux系统平台，可最大程度避免病毒感染内网[19]。每一个防御节点无法准确预测入侵的病毒是哪一类型，只能根据历史信息和其他节点的状态不断试错、学习和调整迁移策略，直到防御的收益最大化，最终整个节点趋向于选择某一策略。节点的策略趋向稳定的过程，即为演化博弈的过程。

图1 平台动态防御系统节点模型

由图1可知，平台有多个候选迁移策略，在进行防御时，平台动态防御系统可根据病毒的分布概率情况，有针对性地选择迁移策略。考虑双方的攻防过程符合博弈论的特点，且平台的迁移是有限理性的，可以建立平台动态防御演化博弈模型，对最优策略的选择进行研究。在模型的建立中，各种指标的量化是关键。平台动态防御技术的部署，同样需要消耗额外的开销，这些开销的量化需要建立在平台动态防御技术的原理分析上[1]，包括平台迁移的成本和迁移带来的负面影响2个方面。演化均衡策略的选取需要综合考虑成本和收益2个方面的因素，有限理性的参与方难以选择严格最优的策略，通过不断调整以获得收益的提升。节点的演化过程需要重点分析，在此基础上提炼策略选择算法，实现平台动态防御系统在外部病毒环境下对节点状态迁移的提前预测和最优控制。

2 平台动态防御演化博弈模型

2.1 博弈定义

定义1平台动态防御演化博弈模型(Platform Dynamic Defense Evolutionary Game Model, PDDEGM)可用七元组表示，PDDEGM=(R,N,B,P,S0,S,U)，其中：

1)R=(RD,RA)为演化博弈的参与者空间，其中RD为平台动态防御系统，RA为攻击病毒。

2)N是平台动态防御系统中某一节点的虚拟化平台总数，节点处在某一虚拟化平台的状态用k表示，k∈{1,2,…,N}，N∈N+。

6)S={S1，…，Sk，…，SN}表示节点感染状态集合。

2.2 关键参数定义

平台在迁移时，需要进行迁移前的准备，在迁移过程中也会带来服务质量的下降，同时，不同平台针对不同类型病毒的免疫能力也各有差异。为体现平台迁移的成本和不同平台的免疫能力，参照平台动态防御原理[1]，给出关键参数定义。

定义2资源重要程度Cr。即平台对网络安全的贡献度，由平台所在网络节点的度、数据量大小和单位时间访问次数决定。

定义3攻击面转移成本ASSC。平台完成迁移所需要的成本。由平台间的相似度决定。

定义4负面影响成本NC。指平台发生迁移时，带来的工作或服务质量的下降，资源重要程度越大，负面影响成本就越大。

定义6免疫因子μ。指平台对病毒的免疫程度，Windows病毒无法在Linux类操作系统中运行，反之亦然，若病毒与平台呈现异构性可定义μ=1，同构性则定义μ=1-λ。

综上，可定义防御节点的收益为：

(1)

攻击病毒的收益为：

(2)

3 节点状态演化稳定分析

在演化博弈均衡求解和分析基础上，设计平台状态迁移演化均衡策略的生成算法。

3.1 状态演化稳定求解

图2 博弈扩展式

计算防御方的期望收益和平均收益：

(3)

计算攻击方的期望收益和平均收益：

对应的复制动态方程为：

(4)

根据公式

可知，当且仅当：

3.2 策略生成算法设计

基于上述分析，设计平台动态防御节点演化均衡策略生成算法，具体如下：

输入：各状态博弈树或支付矩阵；

输出：平台动态防御节点演化均衡策略。

①初始化；

②构建防御节点状态空间集合D={dk,1≤k≤T}；

⑤For(k=1;k≤T;k++)；

（3）增加亲子厕所或无障碍厕所，真正为游客着想，以解游客燃眉之急。通过借鉴A地区高速公路服务区亲子厕所的贴心细节，打造更适合游客的亲子友善厕所。高速公路旅游厕所的需求者——游客是主要的访谈对象，同时也会对厕所供给方进行调研，力求全面了解厕所革命中存在的制约因素。

⑦计算k平台状态下双方期望收益和平均收益；

⑧建立双方复制动态方程；

⑨计算均衡解；

⑩输出k平台状态下的演化稳定策略；

3.3 模型对比分析

表1给出了在模型构建、博弈类型和模型应用等方面与现有方法的对比。

表1 对比分析

4 仿真实验与分析

4.1 仿真实验环境

参照图1的平台动态防御系统节点模型，分别部署堡垒主机节点和Web服务器节点。其搭载的操作系统见表2。利用Nessus工具挖掘漏洞信息，根据国家信息安全漏洞库[20]和美国国家漏洞库[21]数据，得出漏洞的利用成功概率[22]。

表2 各平台漏洞信息

4.2 实验数值计算与分析

堡垒主机节点和Web服务器节点是平台防御系统中关键的2个节点，下面分别进行分析。

4.2.1 堡垒主机节点

表3 各状态的支付矩阵

表4 各状态博弈均衡策略

将表4中的结果综合分析，可得堡垒主机节点的演化均衡策略为：

1)当0≤p<0.535，即Windows类病毒基本在一半以下时，对应的平台迁移状态见图3(a)，虚线表示迁移概率不确定。此时，节点倾向于向平台1和平台3迁移。

2)当0.535≤p<0.558，即Windows类病毒和Linux类病毒分布基本持平时，对应的平台迁移状态如图3(b)所示。此时节点有形成“平台1→平台2→平台3→平台1”闭环的趋势。

3)当0.558≤p≤1，即大部分为Windows类病毒时，对应的平台迁移状态如图3(c)所示。此时节点倾向于向平台2迁移。

4.2.2 Web服务器节点

表5根据文献[1]对平台动态防御系统的分析，设Web服务器资源重要程度为400，同构平台间攻击面转移成本为60，异构平台间攻击面转移成本为90，负面影响成本为40。根据设计的算法求解该模型的演化博弈均衡解，得出结果见表6。

表6 各状态博弈均衡策略

综合分析表6中的结果，可得Web服务器节点的演化均衡策略为：

1)当0≤p<0.415，即Windows类病毒较少时，对应的平台迁移状态见图4(a)，虚线表示迁移概率不确定。此时节点有形成“平台1→平台3→平台2→平台1”闭环的趋势；

2)当0.415≤p<0.45，即Windows类病毒和Linux类病毒分布基本持平时，对应的平台迁移状态见图4(b)，节点倾向于向平台3迁移；

3)当0.45≤p≤1，即大部分为Windows类病毒时，对应的平台迁移状态见图4(c)，节点有形成“平台1→平台2→平台3→平台1”闭环的趋势。

4.3 仿真条件与结果分析

4.3.1 状态演化稳定策略仿真

利用系统动力学仿真软件Vensim，建立博弈双方收益、策略选取概率和策略选取次数比例等要素的关系模型，对堡垒主机节点和Web服务器节点分别进行仿真。其中，防御策略1和2分别对应在不同节点不同状态下相应的平台防御迁移策略，攻击策略1和2分别为Windows类病毒和Linux类病毒。设初始选择防御策略1的概率都为0.5，即各状态下初始q=0.5。

1)堡垒主机节点

以平台1为例，对堡垒主机节点迁移状态进行仿真分析。设病毒分布概率分别为为p=0.4和p=0.55，选择的防御策略为向平台2迁移，得仿真结果见图6。分析可得，当p=0.55>0.535时，平台1在30 s内到达稳定状态，选择向平台2迁移；当p=0.4<0.535时，平台1在6 s内到达稳定状态，选择向平台3迁移。仿真结果符合4.2节的分析。此外，病毒的分布概率与平衡态p=0.535偏差的越大，节点向稳态演化的速度就越快。

图6 堡垒主机节点平台1迁移状态

2)Web服务器节点

同样以平台1为例，对Web服务器节点迁移状态进行仿真分析。设病毒分布概率分别为p=0.41和p=0.46，选择的防御策略为向平台1迁移，得到仿真结果见图7。分析可得，当p=0.46>0.45时，平台1在54 s内达到稳定状态，选择向平台2迁移；当p=0.41<0.45时，平台1在18 s内达到稳定状态，选择向平台3迁移。仿真结果符合4.2节的分析。与堡垒主机节点类似，病毒的分布概率与平衡态对应的概率偏差越大，节点向稳态演化的速度就越快。

图7 Web服务器节点平台1迁移状态

4.3.2 节点状态迁移演化均衡策略效能仿真

为对比演化稳定均衡后的节点状态迁移策略效能情况，与现有的随机平台选择策略进行对比分析，随机平台选择策略即选择的迁移目标平台是随机的[7]。考虑攻击病毒类型分别为p=0，p=0.5和p=1时，2种策略对堡垒主机和Web服务器2个节点防御收益的影响，以及与攻击病毒收益的对比，进行蒙特卡洛仿真实验100次，仿真结果见图8～10。

图8 p=0时2种策略对比

图9 p=0.5时2种策略对比

图10 p=1时2种策略对比

由图8(a)、9(a)和10(a)可得，无论是p=0、p=0.5还是p=1，即攻击病毒类型分布分别为全是Linux类、Linux类和Windows类各半以及全为Windows类3种情况下，堡垒主机和Web服务器的节点迁移演化均衡策略防御收益均高于随机平台选择策略。其中，在100次试验后，p=0的堡垒主机节点迁移演化均衡策略防御收益比随机平台选择策略高25.3%，p=0.5时高10.37%，p=1时高97%，平均高39.1%。p=0的Web服务器节点迁移演化均衡策略防御收益比随机平台选择策略高13.64%，p=0.5时高24.39%，p=1时高75.92%，平均高38.18%。验证了节点迁移演化均衡策略具有较高的防御效能。

由图8(b)、9(b)和图10(b)可得，无论是病毒攻击堡垒主机还是Web服务器，在节点迁移演化均衡策略下的攻击收益均小于随机平台选择策略，同样验证节点迁移演化均衡策略防御效能较好。其中图8(b)表明，由于堡垒主机节点迁移演化均衡策略规定其迁移状态一直在Windows类平台间迁移，Linux平台易感型病毒无法感染，可使病毒收益为0。同理，图10(b)中，病毒收益也为0的情况表明，Web服务器节点迁移演化均衡策略为一直在Linux类平台间迁移，Windows平台易感型病毒亦无法感染。

5 结语

基于网络攻防博弈的有限理性假设，建立了平台动态防御的演化博弈模型，对双方的具体变化参数进行了设计。通过算例分析了平台动态防御节点状态演化过程，利用复制动态方程分析了双方策略的演化稳定情况，在此基础上提出了平台状态迁移演化均衡策略生成算法。仿真实验验证了所提策略的有效性。下一步将重点开展多阶段的平台动态防御演化博弈问题研究，并提升模型对多类型网络环境和应用场景的适应能力。另一方面，在复杂的网络环境中，影响平台的迁移成本和病毒免疫能力的因素更加复杂，需要进一步对参数的设计进行优化调整，增强模型的可操作性。