基于不完全信息动态博弈的入侵响应决策方法

摘要

本发明涉及一种基于不完全信息动态博弈的入侵响应决策方法，所采用的方法是：构建了基于不完全信息动态博弈的入侵响应决策模型，将博弈理论思想引入到入侵响应的决策阶段，考虑入侵响应代价及入侵检测系统的误报率、漏报率等因素对入侵响应的影响，平衡响应的负面影响和攻击造成的损失，并加强对攻击者策略的预测及应对能力，提高响应效率。本发明提出了攻防成本-收益评估方法，用以计算攻防双方代价收益，进而构建攻防双方动态博弈模型，通过求解攻防双方动态博弈模型的精炼贝叶斯均衡，得到防御者的最优响应策略。

主权项

1.一种基于不完全信息动态博弈的入侵响应决策方法，其特征在于该方法包括以下步骤：1)入侵检测阶段：利用防御者部署的入侵检测系统，产生入侵警报；2)警报聚合阶段：将入侵检测系统产生的大量警报进行聚合，生成高级警报；3)入侵响应阶段：a)根据本机系统信息，评估系统资源权重，其中系统资源权重是对该系统资源在系统中的重要性的度量，由资源和系统分别在可用性、完整性和机密性三个安全尺度上的侧重共同决定，系统资源权重表示为W(SR)，计算方法如公式(1)所示：其中SRimportance和PolicyCategoryWeight的值分别代表资源和系统对可用性、完整性和机密性三个安全尺度的侧重，PolicyCategoryWeight的值完全取决于系统类型；b)根据防御者对攻击者类型的先验概率判断攻击者的可能类型，即根据防御者对攻击者类型的先验概率计算各种类型攻击者的概率；c)根据警报的不同，求出各个类型的警报所对应的行动策略集合，并将其存储于攻防双方策略库中；d)由高级警报驱动，从攻防双方策略库查询双方可能采取的行动策略，根据攻防成本-收益评估方法计算攻防双方代价收益，其中攻防成本-收益评估方法是在借鉴博弈论中成本收益计算方法的基础上提出的运用在网络攻防场景下的一种对攻防成本-收益进行评估的方法，攻防成本-收益评估方法不仅考虑了系统设备和所提供的系统服务这两类系统资源，而且将系统权限和密码安全性也作为系统资源对待，并考虑了入侵检测系统漏报率和攻击威胁度这两个潜在因素的影响，其中攻防成本-收益包括损失代价、响应代价、攻击收益和攻击操作代价，设定防御者的类型空间为D＝{d₁，d₂，...，d_m}，m为防御者所有可能类型的总数，攻击者的类型空间H＝{h₀，h₁，h₂，...h_n}，n为攻击者所有可能类型的总数，定义η＝{η₁，η₂，...，η_m*(n+1)}表示攻防双方的类型组合的集合，其中η_k＝(d_i，h_j)，k＝1，...，m*(n+1)，i＝1，...，m，j＝0，...，n，那么I)损失代价损失代价代表攻击发生且未被阻断情况下的系统损失，攻击行为A_j对系统造成的损失代价表示为IDC(η_i，A_j)，i＝1，...，m*(n+1)，j＝0，...，t，t代表攻击者的所有攻击行为的总数，计算方 法如公式(2)所示：IDC(η_i，A_j)＝(1+fnrate(A_j))×DC(η_i，A_j)                 (2)其中，fnrate(A_j)代表入侵检测系统对于攻击行为A_j的漏报率，DC(η_i，A_j)代表攻击行为A_j对系统造成的基准损失代价，计算方法如公式(3)所示：其中，Avail(A_j，SR_k)代表攻击行为A_j对系统资源SR_k的影响，k是介于1到系统资源总数之间的整数，W(SR_k)是系统资源的权重，TL是攻击者威胁度，与攻击者类型相关；II)响应代价响应代价代表响应对系统造成的负面影响，响应行为R_l的响应代价表示为IC(η_i，R_l)，l＝0，...，s，其中s为防御者响应措施的总数，计算方法如公式(4)所示：其中Impact(R_l，SR_k)表示响应行为R_l对资源SR_k的影响，W(SR_k)表示系统资源权重；III)攻击收益攻击收益指攻击者对防御者进行的某种攻击成功时所能得到的收益，攻击行为A_j的攻击收益表示为IR(η_i，A_j)，计算方法如公式(5)所示：IR(η_i，A_j)＝DC(η_i，A_j)                     (5)其中，DC(η_i，A_j)是攻击行为A_j对系统造成的基准损失代价；IV)攻击操作代价攻击操作代价表示为AC(η_i，A_j)，指攻击者在攻击过程中所要消耗的时间和系统资源，可分为两个等级：LV1：一般攻击，攻击操作代价与进行合法的网络活动几乎相同，占用少量系统资源；LV2：特殊攻击，占用大量的系统资源e)利用攻防双方可能采取的行动策略及所述攻防双方代价收益，构建博弈模型；f)通过计算博弈模型的精炼贝叶斯均衡，得到最佳响应策略；g)根据最优响应策略，修改用来判断攻击者类型的经验；h)入侵响应。