陆晚成

（常州市教育科学研究院 江苏 常州 213003）

0 引言

随着国内网络信息产业越来越复杂，网络中存在的病毒和木马严重影响了网络安全。本文以攻防博弈论为依据，设计作用于网络安全测评的一种防御图模型，以此引出了基于攻防博弈模型的网络攻防博弈模型，并结合模型实现了最优主动防御算法的选择，将网络安全由被动防御转化为主动防御，从而为构建网络安全测评模型与设计主动防御技术提供相应建议，对推动攻防博弈模型和网络安全测评、最优主动防御的发展具有重要的现实意义[1]。

1 主动防御模型构建的必要性及概述

1.1 必要性分析

近几年，随着网络技术、计算机技术的自动化发展，对网络安全评测的作业提出进一步要求。而传统网络安全评测和安全防护系统，主要借助防火墙技术或者防御软件、木马病毒入侵检测技术等，实现了对入侵行为进行检测和防御。但由于上述防御技术和方法等手段属于被动防护方式，因此在针对网络中新型的病毒、木马等处理时能力相对较差。所以，为了能够进一步提高计算机网络的安全性和稳定性，本文通过利用攻防博弈进行主动实时防御模型的构建，以此来提高对网络中存在的可疑目标主动处理能力以及对预测能力的网络安全评测作业提供支持。

1.2 最优主动防御系统

最优主动防御系统主要是指由程序行为为基础，对计算机网络安全实施自主分析以及判断的一种网络安全防御技术。同时，该系统的特点就是根据不同类型的木马程序、病毒程序等为主要的判断依据，通过利用对病毒或目标的定义，对相关程序的执行行为判断其是否对计算机网络存在安全威胁的工具。也就是说，该系统的构建，能够利用病毒或者木马的弱点以及对应的攻击行为实现实时防护工作。因此，利用有限资源实现对网络系统安全的最合理规划和防护方案选择，就是最优主动防御系统。此系统能够定义网络的安全攻防系统，为防御的一方提供相应的防御行为和支持。而博弈者针对攻击一方的策略选择，以及攻防博弈环境的掌握程度，存在一定的随机性。因此，可以将不同阶段之间的变化设置为随机过程，并和攻防博弈模型相结合，从而实现基于攻防博弈模型的网络防御模型构建。所以，在实际网络攻防过程当中，不管是攻击的一方还是防御的一方均可以通过学习他人的模式，来提高改善自身的状态。

1.3 网络信息安全

网络信息安全评测主要包含了各个行业领域，如防范商业企业的机密信息数据泄露、青少年对网络中不良网站或者不良信息的浏览，以及防范私人信息泄露。因此，网络信息安全评测工作的实施，是通过利用计算机技术、防御技术、不同网络安全协议以及安全机制等相关基础之上，为计算机网络安全提供保障。但与传统的网络安全技术相比，本文设计的网络安全评测，通过利用主动实时防护技术，能够事先实现对网络系统的薄弱环节以及存在的潜在威胁进行相应的处理和分析，然后根据用户的需求，选择最优的主动防御措施，以此为网络安全评测作业以及计算机网络的安全提供相应的保障。

2 针对网络安全测评的研究分析

传统的网络信息系统主要利用检测系统和防火墙技术实现防御。本文从三个方面切入，分别对网络的安全评测、网络主动防御模型等展开研究，以此实现网络攻防博弈模型的设计。

2.1 网络的脆弱性测评研究分析

网络的脆弱性测评指攻击者通过网络攻击目标，并击中目标系统安全防御薄弱的地方。攻击网络脆弱点能够提高攻击者攻破网络防御系统的概率。对网络脆弱性的测评不仅有助于维护网络系统安全，还能通过分析网络系统中的脆弱环节降低攻击者攻击成功的概率，保障用户自身利益。

当前的网络脆弱性测评分析系统以评估体系模型、控制评估过程以及分析评估方法和标准等为基础建立了攻击树评价体系，使防御者能够分析防御系统存在的弱点，提高网络系统主动检测出安全漏洞的概率[2]。

2.2 防御代价定量分析

网络安全测评中，针对防御代价定量的分析一般指防御者对网络系统设计有效的防御措施，并在此基础上定量计算应用的防御技术和防御方案等的执行成本，通过敏感模型量化分析网络系统防御措施。网络系统防御措施是当前网络安全主动实时防御的重要方式，因此在全面掌握网络信息系统脆弱性的基础上，将可靠性原则应用于主动防御成本定量研究过程，计算攻击者的损失成本，可实现对网络系统攻防成本的量化分析。

2.3 攻防博弈理论分析

攻防博弈理论在网络安全测评中和防御中的应用，主要体现在以下三方面。首先，防御者利用攻防博弈理论找到计算机系统中存在的正常节点和恶意节点，实现分析网络系统中存在的脆弱环节和安全威胁，提前做好防护工作。其次，借助攻击者和防御者在网络系统中存在的不完全信息进行重复对弈，建立相关攻击行为和防御行为的双重模型。最后，根据攻击者的攻击意图分析攻击模型架构，为网络安全测评和系统防御提供有效的保障[3]。

3 基于攻防博弈理论的网络安全测评的防御图模型分析

3.1 网络攻击图的分析

网络安全测评的攻击图设计，是攻击者在对网络进行攻击时所需要利用到的攻击路径和供给方法的集合。其中，攻击路径代表了攻击者所应用的攻击程序代码序列，但基于网络系统的攻击图的网络系统实时防御还存在较大的局限性。因此，加强对网络防御图模型的构建是解决网络安全测评与防御的重要方向。

3.2 防御图的构建生成

针对网络安全测评的网络防御图设计，主要由单个的六元组构成。该六元组可以用DG来表示，且DG=（S，τ，S0，Sa，Sd，Ss）。其中：S为网络防御图的节点集；τ为一种网络安全状态的转换关系；S0代表了初始网络安全状态的集合、Sa代表了攻击者的目标状态集合、Sd代表了攻击者的策略集合以及Ss代表了防御者的策略集合。

在实际过程中，利用系统漏洞数据库、扫描设备等可以生成对应的数据处理模块，并将其保存在数据库的网络防御图模型中。网络安全评测系统的构建还需要与自身的最优防御算法结合。分类模型构建与分类空间的配置均会对算法带来影响，因此在网络安全评测时需要注重对这方面的考虑。此外，通过将网络防御策略、系统以及分类模型有效结合，有助于提高网络安全测评效果[4]。

3.3 网络攻防博弈模型分析

攻防博弈模型（attack defense game，ADG）是单个的三元组模型，主要由ADG来表示。而ADG则由（N，S，U）构成，具体如图1所示。其中，三元组模型中的N代表了攻防博弈局中人的集合，而局中人指的是攻防博弈当中的决策主体以及制定决策的人。S代表了局中人的策略集合，也就是实现攻防博弈时所需要利用到的方法和工具技能，同时每个对应的策略集合当中至少存在两个不同类型的策略。U则代表了局中人的效用函数集合，也就是指攻击方和防御方等两方在攻击博弈当中可以获得的收益水平，也是所有局中人的函数。因此，不同类型的策略所得到的收益也是不同的，但都是每个局中人所真正关心的参数，可量化攻防双方的成本和收益。这里攻防效用函数为攻防成本和回报之和。

图1 攻防博弈模型设计示意图

从上图1的攻防博弈网络模型当中就可以发现，本文设计的模型在不同类型的网络攻防环境当中，无论是攻击的一方，还是防御的一方两者之间都是非合作的关系。因此，在攻防博弈的过程当中，就不会发生攻击的一方或者防御的一方将相关的决策信息告知敌对的一方。其中，攻击的一方是通过对目标的相关资源、服务质量等进行破坏从中获取到最大化的利用，反之防御的一方则是以将网络信息系统的损伤降至最低作为最大化收益[5]。

3.4 攻防成本量化及对策分类

网络攻防成本收益和攻防策略分析是网络防御图最优网络安全防御以及防御图模型构建的基础。随着网络环境的不同，目标资源的重要性也随着网络环境的不同而发生变化，各类的供给所造成的固有伤害也是互不相同的。因此，攻击者的攻击所导致的损失既和攻击类型有着一定的联系，还被攻击的目标有关。所以为了更加精准地对攻击者的攻击损失代价评估，这时只有通过建立相关攻击分类模型以及攻击者的攻击对被攻击者的资源损害模型。同时，通过结合被攻击者和攻击者进行计算，从中可以得到量化后的损失代价。但针对攻击对策分类时，不仅要对攻击对策分类的空间大小对后续攻防博弈模型复杂度的分析影响进行考虑，还要根据现有的网络安全防御系统与林肯实验室攻击分类，给出一种能够面向主动防御攻击或者防御分类的对策。由此可见，攻击者的攻击目的和攻击造成的影响，对网络安全防御的最优防御系统评估决策方面有着一定程度的重要影响。

4 实例应用与分析

为验证基于攻防博弈模型的网络安全测评与设计的最优主动防御算法的可行性，本文通过设计如图2所示的网络拓扑结构图，以此实现对网络攻防情景的模拟。其中，外部网络是攻击主机，而交换网络则是攻击者的攻击目标网络。

图2 网络拓扑结构示意图

网络拓扑结构中设有3台计算机，分别代表文件服务器、公共全球广域网（world wide web，Web）服务器以及数据库服务器。先借助防火墙技术将目标网络和外部网络隔离，再利用弱点扫描软件，就能够完成对相关目标系统的弱点分析，从而得到关于该主机的相关弱点信息和主机信息。

同时，在攻击博弈的网络攻击模拟实验过程之中，如果假设攻击一方的攻击者将获取数据库服务器的Root权限为攻击的目标。这时在网络防火墙的限制作用下，攻击一方的攻击者只能够借助Web服务器或者文件服务器上的低用户权限，无法实现数据库服务器访问。但是，攻击一方的攻击者可以通过服务器存在的弱点和依赖关系，利用原子攻击的方法实现攻击。

防御者会从防御策略库中选择相应的防御策略信息应对，同时网络安全防护系统也会实时主动防御并记录攻击者信息，再根据相关信息建模网络信息系统，得到一个抽象的网络防御图。

网络系统防火墙设置了静态机制，为网络中数据库服务器提供强有力的安全保护。但受数据库服务器的弱点依赖关系的影响，还存在多条可以达到攻击目标的途径。具体攻击途径为A1:A1→B4→E，A2:A2→C4→E，A3:A3→D3→F5→E。A1为攻击者从最初状态A通过利用原子攻击1到达B，接着通过原子攻击4到达目标装填E。整个攻击策略就是一个攻击，而每个方框代表每条攻击路径的防御策略。其他方式以此类推。

根据最优主动防御算法，可以解决以上存在的威胁。通过对最优主动防御算法进行简化分析，利用非合作和零攻防博弈模型实现了网络最优化防御方案的选择。同时，只需要通过对防御代价进行计算，并对攻防代价的意义进行考虑之后，就可以选择取负值作为防御者的防御代价，且以金融货币为单位。而服务器作为攻击者的攻击对象，此攻击会对目标资源的可用性造成相应的危害。因此，可以将防御的策略所造成的负面影响看作服务器的一次攻击，那么Web服务器与文件服务器的criticality（危险度）全部都为4，采用5表示数据库服务器的criticality（危险度）。用10、20、30等表示安全属性代价的低、中、高。如数据库服务器的安全属性代价为30、文件服务器的安全属性代价为20。那么，借助防御代价模块，分别将εi和i作为防御策略以及防御编号的攻击时所具有的残余损失程度。通过构建攻击一方和防御一方等所使用的unhealthy策略时的纳什均衡，借助基于攻防博弈模型的主动防御策略选取算法，就可以得到一个纳什均衡：Pa=（67/159,0,92/159），Pd=（28/53,0,0,0,0,25/53）。其中，攻击者的最优攻击策略为92/159的成功概率，防御方可以选择D1（安装Oracle补丁）作为主动防御保护最优概率为28/53。由此通过以上数据可以证明D1（安装Oracle补丁）防御工作为网络安全测评的最优防御，在网络安全测评中能够为网络信息系统的安全提供有效的保障。

5 结语

为实现对网络信息系统的安全测评与防御，本文对构建最优主动实时的防御模型的必要性进行了相应的分析，同时结合网络安全评测、攻防博弈模型以及防御技术等，提出了一个基于攻防博弈模型的网络安全测评主动防御模型。为保证主动防御模型的可靠性，本文根据网络实例对设计的网络安全主动防御模型展开了相应的模拟实验，最后实验结果证明了本文设计的基于攻防博弈模型的网络安全测评与防御技术的可行性，对促进我国网络信息产业的安全与发展具有重要意义。