基于博弈攻击预测模型

摘摘态羹睁薪簿奔戆浚毒籁爨模墅(sBG鲥鞠秽摘摘态羹睁薪簿奔戆浚毒籁爨模墅(sBG鲥鞠秽莲子动态嚣砰薪游雾静攻爨_i燹溅型(DBGAPM)。冀中，SBGAPM通过模拟攻击者釉防御者的攻防行为选择，对阚终中存在恶意主机帮点的概率进抒会理豹修藏。势以越为基攻击者和防御者双方的收益，预测出理性的攻击者和防御者在下{ll测终果是鹅终安全管理受进行安全醚嚣提供了毒徐篷黪参考菝撰。从i}使被动的梭测变为主动的有针对性的防御成为可能。最后介绍了相应的实验程和结果分析，验证了穰型的有效性兹舞，零文还提出一令戆崧蜜舔孛痉罴静摇架，该框絮结合DBGAPM帮可管理的安全平台。也表明安众产品砸走向融合、协同工作和集关键词：静态贝叶斯博弈；动态贝叶斯博弈；攻击颓测；入侵检测系统；入御系统；入侵警璃系统；主动防oftheresearchinforpredictionis觚importantsecurity．Thispaperdescribesattackpredictionmodelbasedonstaticbayesiandy删SBGAPMmodel predicttheprobabilityOrdefensesthatreasonableordefenderordertomaximizetotheattackedsSBGAPMoftheresearchinforpredictionis觚importantsecurity．Thispaperdescribesattackpredictionmodelbasedonstaticbayesiandy删SBGAPMmodel predicttheprobabilityOrdefensesthatreasonableordefenderordertomaximizetotheattackedsSBGAPM撑s眦韵瓣behaviorreasonablyofnodesexistinginthenetworkbyusingbayesianwhichcallpredicttheprobabilityofattacksordefensesreasonableattackerdefenderwilltakeinthcnextstageofthegame,inordertotheirThustheresultCanbeusedfornetworksystem。Itmayimprovethepassivedetectiontoactivealsopresentstheprocessandanalysisresultdefender．ThisframeDBGAPMandUSeracontrolledstrongpreventionmixing、products每together、managingbayesiangame；attackintrusionsystem；intrusionpreventionsystem；intrusionsystem；active珏廉创性声立滋行研究所廉创性声立滋行研究所取得的成果。学位论文中凡引髑他人已经发表发褒的成果、数据、观点等，均已明确注明出处。除文巾已本声明麴法律责任由本入承担期论文作者签名：鸳日期期霹第1牵{l第{章孳l髓蘅全球计算机和信息系统酌网络化第1牵{l第{章孳l髓蘅全球计算机和信息系统酌网络化，信息系统所面培函的安全闯题墩发了很大的变化。任何人可以从任何地方、于任何时间、向任何一个目标发起络入侵及安全事件的发生越来越频繁。信息战也己经成为国内外越来越热门词汇。备种信息在公欺通信网络上的存储、传输，可能被不同目的的攻击者系统或政府、军事部门，安全问题尤为重骞缀多苓是之处。‘鹭先，多数入侵捡测系统无浚检测窭未麓瀚攻壶类登。冀全系统能根据攻击者之前的历史行为作出一定的预测。而这黧今依然是～犬点邋年来，经济学巾豹博雾论为主动醣餐镶域豹研究提供?蜜责的思早襁1997年，Syversorl【IJ就提出应使用随机博弈来对网络中的正常节点恶意节点进行理性分析的想法。2002年，Lyetel秘Wing使用随机博弈义帮实瓣了Syverson豹想法，并绘掇一个应雳淼企业网络中静例子，分析了Alpcanl4"5】使用搏弈论分析在无线网络中的入侵检测的应用。2005年LiuPeng卿使用重笈搏弈彝随撬媾雾建立7一个基予入侵意强豹攻击预溅模型AIOS。劳第1确给出不完全信息下的博弈分析模壁第1确给出不完全信息下的博弈分析模壁用。主爨分两个部分避行阐述收藏会选择攻击粒防辫的概率熬概率进程会毽瓣修茏，使簿羧测结果曼攘辩学可靠，爨缝反映鼹络意节点真实的情况的实验过程和结果分析，验证提出的模此外，本文还提出一个能在实际中应用的框架，该框架结合DBGAPM和控可管骥的安全平台第|章弓l1．3论文的组织论文第|章弓l1．3论文的组织论文共努六个拳第一章介绍课题的意义以及囡内外基于博弈论的入侵检测的研究现状阐述本文的主要贡献检测系统(ins)、入侵防御系统(IPS)以及入侵管理系统(IMS)的介绍第纛零奔鳝基予静态受哮努薅赛豹攻壹颞溅模整(SBOAPM)蠢基予动斯博弈的攻击预测模型(DBGAPM)的设计和形式化描述露分第蔽章结合DBGAPM和IMS，提出一个能在实际中虚阁的框架第2章耜关基礁工第2章相关基糊工和行为的理论。第2章耜关基礁工第2章相关基糊工和行为的理论。是能够对参与者之间相互依赖、相互影响的杼为选择策略进分析势宠竞争考握供掺导或售鉴豹一门科学的说明。博弈论的基本术语包括：参与人、行动、策略、信息、支付函数(收益)要素(1)参与人参露入指的是一个蹲弈中鳇决策主体，他的嚣的是遥过选择行为班鬟自己懿支付<受益)，参与入可以怒自然、个体、也可以是团体，如企业、翻家麸参加媾察瓣参与入匏§受党来看，绝{f强￡尽管这种行为有可能损害了其他的参与入。因此“理性行为”似乎有点“制己不管是褥损人”。从博弈分析人员的“旁观”眼光来看一般不会去擅自判断参立在预测其他参与入的反应之上。一个参与入将自己置身于其他参与入的能并为他糟想从而预测其他参与人将选择的行动，在这个基础上该参与人决基最毽怒懿蜚动，这魏是薅窭谂方法熬本震耧耪蘧。掰浚，参每天痤该清楚知道自融的目标和利髓所在，在博弈中总是采取最佳策略以蜜现其效用和的最大化《2>纷动穗髓孙挂)题攒参与久在游弈豹菜个辩赢豹决策交鲞。一觳逮雳或表毒第2(3)策略(strategies)是指参与人选择其行为的规则，也就怒指参与人威第2(3)策略(strategies)是指参与人选择其行为的规则，也就怒指参与人威待么祭佟下选择赞么襻戆行动，淤擐涯皇赛囊焱最大与人(对手)的特征和行动的知识。即该参与人所掌握的其他参与人的、对决策鸯彩虢豹辑毒瓣浚国支纣当所有的参与人采取的策略确定后，他们就有各自的“支付函数“盈穰溪数”。支霪豢数表达了参驽人获穗套孛髓够褥弱戆浚薤或支鼹承擎是所有参与入策略的函数．不同的策略可能导致不同的收益．是每个参与人毽雾论孛豹每一令参与久骰港淫性决簧戆燕甍旅摇之一是缝豹霉戆嚣多少，这就是一个参与人需要认真计算的盈利函数。对于每一个参与人，如他们在可供自己选择的策略空间中任取一策略作为自己的彳子幼，既不会给鬻来罴蘩l，又不会臻稳霞登矮悸爨，这耱失去了激瘸秘‘翎豹游戏本身{鍪就失去一翰缭采(outcome)是摇搏雾分析者惑兴趣鹩要素集合。翔均餐策均衡行幼组合，均衡支付组合伪均衡(equilibrium)是指所鸯参与人的最优策略的缀合。均衡博弈模激的纳什(JohnNash)猩1950年和1951年发表了两篇关于非含作博弈的重藤章，在4#豢一般豹纛义主定义了l}会俸褥弈及其均衡释，莠诞凌了均鸳孵豹孛，绘定其健参与老戆繁赡，没鸯强舞单令参奄者毒积极经选择第2掌据关基稿Z续。这藏是续嚣均锤豹簦学思憋簿弈按照不溺豹第2掌据关基稿Z续。这藏是续嚣均锤豹簦学思憋簿弈按照不溺豹角菠骞不溺熬分动者并不知道先行动者采取了什么具体行动，贝0称为静态博弈；在动态博2．宪蒋弈(completegamc)和不完全信怠博弈(incompletegame)。在宪全信息搏将上述两个角度的划分结合起来，得到四种不同的类型的博弈，表l概完全不完全静态完全静态不完垒信静爱砖囊纳纷穗籀圆女日动态完全动予博弈精炼纳什均衡精炼贝叶斯纳什均衡按照博弈双方之间冲突的性质，博弈可分为零和博弈与非零和博在零秘薅窭孛，蘧弈双方豹没旌或效震完全对立，一方掰褥罄是6第2章耜关基璐王于零或卷零数，薅雾双方之阕蠹冬收蕊既有}孛第2章耜关基璐王于零或卷零数，薅雾双方之阕蠹冬收蕊既有}孛突叉一System)[s'13,17，18l通过从计算机入侵检测系络进行_}l鑫测，从而提供对内部攻击、外部攻击和误操作的实时保护。它悬墙盼会壤补充，帮助系统对纣网络攻击，扩展7系统管理员的安全管理能力是对蠢部耀声(合法臻户)滥焉皇隽权统(DIDS)1．麓形。最翠用予事计用声的活动，鞋：如鼹户的登聚、命令操作、应用程_亭使源情况等。魏类系统一般主要使用搡{#系统的审计舔踪目志俸为输入，莱会主动岛主机系统进行交互以获得不存在于系统日志中的信息。其所收集的患集中在系统调用秘瘫爱层事计上，试匿从目悫刿嫒滥惩弱入侵2．基于两络的入侵检测系统基予网络的入侵检测系统在网络中的某一点被动地监听网络上7第2章程关萋磷工流量，通过线路窃听的手段对捕获的网络分组j{}行处理，从中获取第2章程关萋磷工流量，通过线路窃听的手段对捕获的网络分组j{}行处理，从中获取同，基于网络的IDS非常适用于檎测系统应用屡以下的底层攻击事件寒蠡鼹络豹攻交褰释逐滚成必嫔惠系统瓣凝大藏翳，因嚣基予睡终鹣检测系统具有重要价值3．溉合分布式入侵检测系统听方式收集数据，这魑系统综合幂!J用网络数据嗣来自主机系统中的审计信发现入侵行嚣{l蓼圭滚戆入侵捡溅系统都愚渥金势毒式熬入(Anomaly)的入侵检测系统和基予误用(Misuse)的入侵检测系统《1算机资源菲正常情况检测出入侵行为。首先它髓要建立正常行为模式，撼检到的数据与正常行为模式进行比较，如果这些数据偏离这个溉常行为模式，谈为存在玫击行力。蒸子异耄熬入侵捡溅系统麓够检溅象豹未知攻毒，毽箕键问题在于正常行为模式的建立{；l及如何利用该模式对当前的系统或用声行进行比对，从而判断出与正常模式的偏离程度潜在的入侵行为。这种非常规的、潜在的入侵行为我们可以定义为“威胁”．努罄灞入撵翡惫寒经援毅诗冀凝系统惩户豹入内部渗透是指已授权的计算机用户访问未缀授权的数不期行为指的是用户虽经授权，但对授权数据和资源的使用不合法或滥援稷。蒸予雾常豹入侵检弱系统实溪熬美钵方法蠢：统诗箕鬻羧溺方法、基特征选择异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常S第2章耪关茎礁王测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、第2章耪关茎礁王测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基予数采握舅紫捡溅方法等。下嚣筠单攒遽足魏圪较常麓的方法统计方基予统计的IDS是利用统计模毅、概率模型和随机过程簿来识别入侵戆，氇稼隽SBIDS(statistical-detection鼯s瞧拄磅。SBIDS裂震分审计数据，比较与典型轮廓或预测轮廓的偏离稷废来发现违反安全规则的行SBIDS殿大的优点是可以在没有系统缺陷和攻击手段的先验知识的情况下，溅出羧蘧霞麦。SBIDS豹苓足之鲶是垂掌行隽轮瘸宓矮经雾篓耩，瑟显辩绫模型的湖值的确定一般比较困难·神经网己知信号序列训练后，能够预报出下一时刻的信母。神经网络的结构是决定经孺终魏{≥线性睽瓣(龟摇凌态每静态)骜关蕤，翔暴鏖霭其骞鲞动结构调整神经网络进行入侵检测，将会极大提高入侵检测的效率及准确性。但神经网数据挖列模式、分类分析帮(2)基于误用的入侵检测误用检测方法通道构建特征摩浓检测系统中的入侵或攻激活动低，毽题，基于预先定义静模式静皴其自适应麓，无法检溺新的入侵活动秘知入侵活动的变异，存在漏报率高的问题，当出现针对新漏洞的攻击类型躐击特征模式并添加攻赘特征库中，误用检测方法研究的重点怒特新问题，以确保系统检测性能的完备专家系9第2肇耜关莲穑工一个完备的专家库豢统，然后利用专家库来对嬲前的第2肇耜关莲穑工一个完备的专家库豢统，然后利用专家库来对嬲前的行为进行判断。NIDES是一今凝毒专家系绫模块瓣IDS。蒸予专家系绕戆IDS懿缺点是要建立～令备钓专家库狠困难，而且只能由专家才能完成藏确的入侵特缀抽取与表_外，基于专家系统的IDS一般只能对己知入侵方法有效状态转移分状态转移分析法是将入侵方法转化成一系翔从初始化的安全状态到危状态的模型。用状态转移图来代袭入侵行为，而每一个状态代表入侵过程中矮完藏戆关键事箨。羧态转移分攒捡测入授懿关蕤是要建立壤凑煞状态转移型和难确识别关键事件不同的入侵检测系统其检测率和误报率都有所不同。本文的重点入侵防护系统((IpS攻击发懋豹对侯予苏实黠豹阻羝。也霉戳说，入侵防护系绕熬会了薅火壤秘与_帮厨缪IPS系统(NIPS)主机IPS系统蜜裟在受保护系统上，紧密的与操作系统缩合，监视系瓣络IPS系统氇羧秣终蠹联式瓣终IDS，IPS系绫更豫燕N瓣S结合体。网络IPS系统和防火墙一样串联在数据通道上，有一个进口和一个口，有魑产品能多加一个监控口，进行维护和数据交换瓣绥IPS熬捡溺过程与嚣络IDS毙较赣嵇。瓣络IPS采蠲豹检嚣算法网络IDS相同，只是针对性更强。IPS只要检测到可疑数据包，就将该络IDS穰稼豹攘警按零遴行覆警。岛溺络Ds蓑飘较丈静燕瓣络IPS繁2章握关基璐Z效率火大提高，而且网络IDS大多采用将网卡设置繁2章握关基璐Z效率火大提高，而且网络IDS大多采用将网卡设置成混杂模式进行数据包的收，每乏秘对应瘸终IPSMS技术实际上包含了IDS、IPS的功能，并通过一个统一的平台进行统管理，从系统的层次来解决入侵行为。IMS技术是一个过程，在行为要考虑阏络中有铮么灞漏，粼瑟鸯霹藐会形戒静么攻击行鸯和覆漆静入侵危险在行为发生时或即将发生时，不仪骚检测出入侵行为，还要生动阻断，终Jt侵行为；在入侵弦为发生后，还黉深层次分耩入侵行为，透过关联分析，沫鼗是否逐会出现下一个攻击行为这些特髹本身具有一个臻确的层次关第一，大规模都嚣是实施入侵管理的基础条件，一个有缀织的完入侵预警是IMS进行规模部署后盼直接作用，也是升华IMS的一个非常功能蒡誊、糖确定霞。入侵瑗警之螽藏嚣簧遴器穆确定位，这是获发瑗蠲解决问题的必然途径。精确定位的W良好的定位还可以通过联运接口和其它安全设蠡进行合作抑制攻击的继续障体系。脏管结合最黛要的是落实至4对资产安全篱理，通过IMS可以实现雾2章禧美蓦稿王协调、管理等各个肖颟，通过技术接合，可以实现“可雾2章禧美蓦稿王协调、管理等各个肖颟，通过技术接合，可以实现“可视+可控+可管”，形成以异常擒测为补充。骤求不仅仅对于入侵检测韵数学模型、数据挖掘了期指攀更重要的对于数据理解、数据认知等方面也必须深入发展。豳1分析了入理翦建程糟1’l防止攻l梭泓嘏孵标l髂势薪嚣露淫妻攀皴f甩工作，|t入提交攘嫡巍图从珏)s到IMS，增加了管理黝概念，这也正是网络安全的发展方目标是保护核心资产巍籀性，将可能发生的损失减到最小，投涤回报率最犬确保业务的连续运杼。现在所说的蜜念已经不是麟独一个产品所能解决的阏鬟要多释安垒王兵鹣蛰霹含霏第3章基予静彝论鼢攻击预测模垄静醺第3章基于博弈论的第3章基予静彝论鼢攻击预测模垄静醺第3章基于博弈论的攻击预测模型的遥用博弈论原理，可以建立一个用于模拟攻击者与防御者之间防御者对攻击采取的防御策略都怒至关重要的其次，黠予猿雾模型瑟害，冀复杂度与繁戆空凌戆大，l、豢接撵关。模型比宪全信息博弈横型更能反映真实的网络环境3。．1基于静态哭时斯博弈的攻击预测模为了便于说明，我们将基于静态贝叶斯博弈的攻击预测模型用(StaticBayesianGameTheoryAttackPredictionModel)表承对应的安金管理和配鼹。而攻击者也会对目标主机的防御能力进行探测和估计结果鲸蠢效性和理戆第3章基予游雾论豹攻击蓣溅模耋豹设圈2直观遗表达第3章基予游雾论豹攻击蓣溅模耋豹设圈2直观遗表达了SBGAPM巾各个博奔元索褶互之闻的笑系，酎的纛边作为防御者具备的所有要素，右边是作为攻击蒲具备的所有要素。中间烧博的双方在送行博弈孵骢各个要素。备要素静具髂含义，在3．1．3节有详缨攒述tx-fen,terAUaeker楱I肺钾策．攻击燕蝽：＼I7?宣，正第访豳2SBGAPM始构3．1。3SBGAPM结含图2，给出SBGAPM的形式SBGAPM的形式化描我秣将霭络孛的主祝节煮季蠡蒙为defender秘attacker。冀巾defender踅掰个配有入侵防御系统0PS)的主机节点。由参与人，表示defender。attacker悬网络中除defender之外的所有其他童枧节点，瘗参与人f表零attacker定义1(SBGAPM)：SBGAPM包括以下六个元组为只=l妒，彤}t彩袭示参与人f煞类型是恶意熬圭瓤繁熹，熊对络造成馁俺破坏。参舄人歹的类型空闻失哆；{形}，彩表示参奄人歹靛类型第3章基予薅弈论鲍攻击颓涮摸鍪豹设(2)先验信念(priorbelieD：是菜耱炎鍪戆竞验檄率。第3章基予薅弈论鲍攻击颓涮摸鍪豹设(2)先验信念(priorbelieD：是菜耱炎鍪戆竞验檄率。毽摇梦(矽)、兵07)、≯群≥；其孛，残秽)=矿，状菇)1一妙．p(彰)=1(3)策略空同(actionspa。e》；攒每个参与人农进行搏弈辩依据其所属类以选择的策略t包捂4(掣)、互(群)、4∥)；冀巾，44《辞牧蔻丞数(payoff)；捂每个参与入在参岛{毒弈嚣依攒箕所属类鳘鞠的行动可获得的收益一包括麒(卵)，“(彤)、所(彰国鹈骞售惠information)：据只鸯参与天f羟遂嶷己豹类型续，与人_，不知道参与人f的类型是恶意的主机节点还是正常访问网络的主机节翰共霾鲡谖型先验佰念、类型依存策略空间及类型依存收蔬函数。因此，尽于袍静爽受孵)、删)、尹耐)；毫殍>、属辫)、4蟛)；鹞表示。SBGAPM的攻击预测的结果为SBGAPM的贝叶斯纳什均衡(BNE)为了便予说明，我们将基于动态贝叶斯博弈的攻击预测模型用(Dyn戚cBayesianGameTheoryAttackPredictionModel)DBGAPM的攮溉依第3章莲子{簿撵论静攻击预测模鍪防特征。(2络孛存在恶意主撬繁赢瓣概率遴移合理戆修燕。(3据当前网络受攻击的威胁程度来进第3章莲子{簿撵论静攻击预测模鍪防特征。(2络孛存在恶意主撬繁赢瓣概率遴移合理戆修燕。(3据当前网络受攻击的威胁程度来进行相对应的安全管理和配震。而攻(4当前获知的信息进杼理性的预测，并做出选择米最大化自己的收益。(5)+精DBGAPM餮3毫窥逸表达了DBGAPM中各个祷弈元素耀互之麓豹关系，圈貔发边作为防御者具备的所有要素，右边是作为攻击鞘具备的所有隳索。中间悬博的双方谯进行博弈对的各个要素。各要素的具体含义，在3．2。3节有详缨撵述l知识l共两蛳攻击壤略}{／、嚣歪攀谤图3DBGAPM结构DBGAPM由予在3．1已提出SBGAPM，丽DBGAPM摄在SBGAPM的基础之上对豹取篷嫩餍燹时巍法煲ll迸行辩学的穆歪，淤能够动态反浃奏交溺络孛惑豢节点的概率的变化。因此在描述DBGAPM时，只需描述后验信第3章基于博弈论的攻击预测模型的第3章基于博弈论的攻击预测模型的设组就司以DBGAPM的形式化描定义2(SBGAPM)：DBGAPM包括以下七个元组∽后验信念修updating)：是指每个参与人根据其他与人的历史行为来修正其他参与人是某种类型的后验概率。包括p(掣)，p(计算得出因此，攻击预测模型可以用DBGAPM=f卵，彰，彩，p(aT)、p(彤)、p4旰)．4(彰)，4(形)，M(卵)、麒(彰)，一(彰)-，(印)，p(oT)、p第4章蔽掇瓣模授试验鞫臻栗分第4章模壅鹣模羧试验和缝果分第4章蔽掇瓣模授试验鞫臻栗分第4章模壅鹣模羧试验和缝果分秘霹筏弦埝Gambit[141是用予分析与计算脊袋撬范型和扩展型非合俘博弈盼软律工弈问题的理论分析和对具体博弈问题的计算，逐被国外多家大学作为博弈论程教学麓兵使用霹祷，Gambit国羡冒德竞萨赣农业杭械丈攀学者托奇<鼍Turocy界面在Linux，FreeBSD，MazOSX，Windows等操作系统上使用。用户界箍供了非常灵活的方法来创建策略型戚扩展型博弈，同时可以使用系统集成的耱算法寨谤算绣铮翅缀。Gambit誉仅罐供诗舞缝粜夔蚕影纯横羧表示，瞧：．多种纳什均衡算法。Gambit包含了多种纳什均衡求解簿法了启发搜索算三。方便扩震或鬻蒸缝簿弈论裟{孛整会镬蠲。Gambit滚筏褥公嚣，遵獾通用公歼准则License第4章攘黧戆模援试验翻臻莱分4．1．2试验数据处理工具在论第4章攘黧戆模援试验翻臻莱分4．1．2试验数据处理工具在论文中进行数据处理时，使瘸的是Matlab7．0版(R14)，主要用子辩Ma鞋酶是美国Mathworks公司生产酶一个梵零莓学_互式犬溅软件，是～个可以完戒备种精确计算和数括处理酌、可视化的、强的计算曩具进一步的扩展。她能够用一个命令求解线性系统，完成大量的高级矩阵的处用，例如她可以在FORTRAN程序中完成数据的可视化计算，可以与字处而不需要一次把所有的工具箱全部安4。SBGAPM4．2。由于参与人．，不知道参与人，的炭型，所以光法使用完全信息博弈模型餐使用nar蛐yi转换l掘p2451W{；i解决这个闯题，通过引入一个虚拟所示酌博弈树I托’p1删来分析不完全信息下的贝婶斯纳什均衡。表2列出了猩4中使用的符号及其含第4章镤燮静模掇试验释缀莱分表2：博帮树中使用的符母列第4章镤燮静模掇试验释缀莱分表2：博帮树中使用的符母列籍昂B≮attacker实施羧丧戆我defender阻止攻击的代检测出攻击时，attacker受到的惩B检溺国攻击对，defender褥弱鹣l|5(≯没有检测出攻击时，attacker的收国《l懒一岛芦一er珊

旷l扣哆嗡图4attacker和defender糕瓣静态烫跨鬻瓣弈对攻毒滋褥颈溅爨基零悉臻是参与夭j窝参与入可作如下分(1)恣参与久f选耱豹缝策硌静雩亍动是《氆@”)={attack}，矧时，若参与人，选择的纯策略的行动为q(彰)。{defend}，此时defender的收为鬈(defend)=∥((Po一玲掰+露珞一e0)一0一拶)￡咎舀若参与人_，选择的纯策略的行动为口，妒?)--{notdefend}，此时defender第4章摸穗弱摸攘试验窝臻粟势霾魏，廷存第4章摸穗弱摸攘试验窝臻粟势霾魏，廷存瀵楚‰国瞻貊≥≥为{撩霹或矧>孵，霹∥》蒜时辩予d舔蕊ef慕说，最挽兹行动为国(6岁)={defend}。德翔果defenderTaj(0r)={defend}，此时对a廿aek黜来说，q(矽)z(not戤l勰k}是他的最优行动霆热《辑缓5)={attack}，a,(e,')--{notar溉k})，嘭群)；{defend}，擎)零楚一：{纯策略的BNE。然筒澍乎defender来说，最优行动为q(彰)。{notdefend}。因《或《秽)。{繇a呔}，吗搿)={notatmk})，吩蟛≥={notdefend}，岁)楚一纯策略的]3NE国鎏参与夫l逡搏麴褥囊建氆(eT)={notattack}。苓谂矽瓣壤是多少，瓣参与de传ndj都是他的磁优行动，熬i酊当参与人g倒)4{notdefend}·参-q；ki娥傻嚣动先绣(秽)={attack}，这跟(1对论况一样·因此“口f(秽)；{notattack}，q(彰)={notattack})，吩(彩def粼l}，挚，)不是～个缝策略鸵BNE(3)躺妒≥面≠：ii；i睾赢时，由(1)分析可知不存在一个纯策略的褂m若参每天|激∥静壤率选择续《秽>={attack}，裂参与天歹逡择露，穰{defend}时的收鬈(哦赔耐)=矽秽“岛一1)co+麟一c一矽嵇一疗)(#露十譬归)一翠一掀≯舔+e第4章羧麓豹摸誉试验霹l嚣i(notdefend)=-妒因此当日(defend)=Ej(notdefend)，即当参与人iF第4章羧麓豹摸誉试验霹l嚣i(notdefend)=-妒因此当日(defend)=Ej(notdefend)，即当参与人iF矿(mPo+僻+没有嚣嗣戆同煺，通过计算El(attack)=Es(notattack)，可以求得当参与人_矿。0一缚一C的概率选择q(没骞嚣嬲戆((矿’(岛(秽)={attack})，q(吖，(aj赋)={露詹蒯})，妒)是一个混食策略黪BNE由上面分析可知，在SBGAPM下，attacker和defender会按照表3所示BNE结果进行博弈，并由此来决宠备自的最优彳亍袭 ∥存在纯策略的《壤簖)={attack},碡簿)；{蝌al妒⋯．r僻-+C"编÷赢i 峰：否，j癣0at，承，(Od,)={defend}使用GAMBITll4】博弈分析工具对SBGAPM进行实验，并分析了实验结第4章模型的模拟试验和结果分共做了两组实验第4章模型的模拟试验和结果分共做了两组实验博弈模拟分析结构如图5所n●O●●●●口●●●O图5Gambit博弈结构第1组实验：测试入侵检测率易和误报率B对SBGAPM攻击预测结果给定与收益函数相关的10。∥=O．5。实验结果如图6Ca,b)，图7R”所示丹孽g懵替戢稍矗l口霉葺图6(a)PD对attacker：选择攻击的第4章模型的模拟试验和结果分图6(”昂对a仕ack计选第4章模型的模拟试验和结果分图6(”昂对a仕ack计选择攻击的影图6(a)说明了随着昂增大，attacker选择攻击的概率会变小。图6*第4章模型的模拟试验和结果分第4章模型的模拟试验和结果分霞*图“”户D对defender选择防御的第2组实验：测试％／彩，c柑，国对SBGAPM攻击预测结果的影响C。／m表示attacker攻击代价和攻击获益的比值。c0，m表示defender御代价和不防御时损失的比值。给定与收益函数相关的初始参数136，140}，实验结果如图8(曲)所示第4章摸整豹模攘第4章摸整豹模攘试验鞠续聚分溪8《鑫)气，球簿attacker，defender圈8(a)说明了当L／m≤l时，随着c埘／棚增大defender选择防御的概会交参，瑟罐∞k群选择攻壹豹穰搴与e0，搿笼关。当c0／彩≥|不再选择攻击，且defender不苒选择防翻8(b)(k，廖甜attacker，de翩der豳8@说明了当％／m≤l时，随着c枷／搿增大雒∞l澍选择攻击的概率交大，褥de触选撵防御的概率与％，国无笑·当％，救'≥l爵第4章模型的模拟试验和结果分再选择防御，而atlacker会一直选择攻击·本实验中在c0／c01>0．56以后会一直选择第4章模型的模拟试验和结果分再选择防御，而atlacker会一直选择攻击·本实验中在c0／c01>0．56以后会一直选择攻击因此，由图6、图7和图8，可知：(1)，利用SBGAPM不仅能预测通过提高IPS的检测率％和减少ITS的误报率斥，以减少攻击事情的发生少防御攻击所花费的代价。(3)不论是defender，还是attacker，都能根情况，作出最理性的选择。这也解释了为什么当attacker攻击代价增大时，C0／口和C0／彩的值超过1时，从图8中可以看出SBGAPM能理性地预测defender和attacker各自的最优选4．2．3论文提出了基于静态贝叶斯博奔的攻击预测模型(SBGAPM)，并在实证了该模型的有效性。实验表明，该模型具有以下优点：(1)，SBGAPM能SBGAPM分析入侵检测率昂、误报率斥、C。／珊、C。／co对攻击预测结的安全配置。从而达到主动防御的目DBGAPM分使用DBGAPM进行攻击预测的过程如令各个阶段博弈的时间为t。，其中k=0，l，⋯，n(hEz+)。因此，攻预测过程是指当参与人f在‘博弈阶段选择的行动是q纯)时，参与人i会预到参与人，将根据f在^博弈阶段的行动来修正i的类型的后验概率。因而对第4章模型的模拟试验和结果分弈阶段会选择最有利于自第4章模型的模拟试验和结果分弈阶段会选择最有利于自己的行动。因此，攻击预测的过程是参与博弈的的方不断修正对方类型的信念并选择最优行动的过程。攻击预测DBGAPM的精炼贝叶斯均衡DBGAPM分析所需的博弈树(如图4)和SBGAPM分析时构造的博样根据‘慨衄1可知，满足一定的动态贝叶斯博弈的精炼条件(P)和贝叶斯(B)，就能保证动态贝叶斯博弈存在一个PBE。因此，DBGAPM的PBE可以义如定义2(精练贝叶斯均衡)：精练贝叶斯均衡是行动组合(4沁。)，口：以))和验概率p(只Iai纯)，hj(t。))的结合，它满足argmax∑p(O,laIoI)'啊(“)Ⅺ，(口，(“)'口』oI)，只 (P2)dj(“)∈argmaxu，(q也)，西以(B)p(只Ja／(‘)，h／(t。))是参与人，使用贝叶斯法则从先验概率p(只I啊也”参与人i上述定义中口1)和(P2)是精炼条件。口I)是指给定后验概率，@Iq以)，啊作出的最优行动·O'2)是指预测到参与人_，的最优行动矿纯)，参与人i将选最优的行动参与人_，以一定概率随机选择行动口，瓴定义曩以)为参与人f的历史行为序列，啊以)是一个二值向量，包与人i从fI到‘所有行为序列。^以)=0，“)，．．．q(‘))，因此根据h／(t第4章模型的模拟试验和结果分qc气工^c‘，，。j!警三甚a号轰：；箸乏i㈣；c谚其中第4章模型的模拟试验和结果分qc气工^c‘，，。j!警三甚a号轰：；箸乏i㈣；c谚其中p(岛”I魂也))>O，p@。I^以”是先验概率，‘五(q纯)I包，囊以))>0A(a,(tAl只，^也”是参与人i在“博弈阶段可选择行动的概率分本文中要分析的PBE指的是准分离均衡(SSE)。考虑另外两种均衡，分离衡(sE)和混同均衡(PE)不适合用于DBGAPM模型。这是因为在分离均衡中与人f验信念根据【16，p326】，知道在每一个‘博弈阶段，应存在一个混合策略的SSE假定在“博弈阶段参与人f以仃的概率选择a。(‘)={attack}，若参与人_择口J(tA={defend}，此时defender的收一(1一p(卵))(肛昂+c二若参与人，选择口』也)={notdefend}t此时defender的收益为E。(notdefend)=一∞p@?、p(卵)(峨+脾+衅的概率选择q纯)={attack}时，对于参与人．，来说，选择防御或不防御是没仃p’=第4章模型的模拟试验和结果分区别由上面分析可知，在DBGAPM下，attacker和defender(第4章模型的模拟试验和结果分区别由上面分析可知，在DBGAPM下，attacker和defender(盯。0。(fI)={attack})，P’(aj(t,)={aefenaq)，p@la，也)，鬼并由此来决定各自的最优行动DBGAPM试验及结果分使用GAMBIT[141博弈分析工具对DBGAPM进行实验，并分析了实验结果共做了两组实验。DBGAPM所需的博弈模拟分析结构图跟SBGAPM分析结构是一样第1组试验：测试入侵检测率岛对DBGAPM攻击预测结果的影给定与收益函数相关的lO，0：o．1，jc，=0．5。实验室结果如图9图9攻击预测结概率都变小因此，作为defender，应通过提高IPS的检测率昂，以减少攻击事情生和减少防御攻击的花费的代价第4章摸懋静援掇试验耧绻采分绘定与毂第4章摸懋静援掇试验耧绻采分绘定与毂盏函鼗襁关酶兹始参数篷10。∥一O．5和attacker攻击的历史行动．I；}(20ffi(00011110100101110000)。其中鬻糟如，野jl雩艄“laj瓴)'纛i魄势熬彩从豳lO中可以肴出在IPS高检测率(PDffio．9)、低误报率(efo．01)篚J情况下投敛这旋菲常快。簌艨验信念达戮l之瑶，一段对润巍会一巍为l。这燕潮历史纾为有关。在IPS低检测率(物=o。5)、高诶缀率(er--o．1)的情况下孛存在攻击对，defender翔颧attacker是恶意圭槐节点的后验信念囊1降速度也缀慢。这是蠢予璎s的梭测率毙较低，鬟重攻击行为举敏因戴，由图9和鞠lO可知：(1)捌用DBGAPM能预测出defender和各自行动的最优选择。(2)DBAGPM能根据攻镪者的历史行为，对网络第4章模撩懿挨菝试第4章模撩懿挨菝试验耩结果分4。3．3基于动态贝时期博弈的攻击预测模型能擞据攻击者的历史幸亍为预测当合理的修正。(2)，农(1)的基础上，DBGAPM毙理性和更科学地预测出选释玻海的藏率帮defender选择貉御的概率第5牵痘窝模受设第5章应用模型设第5牵痘窝模受设第5章应用模型设由予IPS在实际中是以内联的方式应用的，会给网络产嫩很大的负载，懿果安全管理员能确定当蔻两终魄较安全，霹袋震旁路魏方式痿震IDS浆我1PS，从而减轻1PS对网络负载的影响，保证使用网络的用户有更好的体验。用第3、4章提出的SBGAPM和DBGAPM的预测结果能够评估当前网络存圈1l应用模型椴墼母黻蓑头方是黩字母表示务模块之阕黪关系。其A：IMS利用IDS和IPS的日志报告，细化不同的攻击类型和事件来评估獭前|三}往存在的攻壹事{孛辘塞裂历史羧毒基恚模块B：信念修正系统模块主要是利用贝叶斯法则，对历史攻击日志建立历史击行为序列，并结合洳前网络中防御者(IPS或IDS圈络存褒瑟意主掇繁悫熬壤率第5章应羽模型设D：IDS以混杂模式对流第5章应羽模型设D：IDS以混杂模式对流经网卡的所有数据进行采集，并形成监控朔审惑。瑷冬IMS避行霪终事搏整毽E{1PS只脑控符合规则的那一部分数据包，一般是根据协议和威用程序定规则。并形成jl荛控和审计口谈撤率、漏报率等等0．IPS～鼹发现有恶意攻击，则启用融断模块。阻断模块一般会根据撵定魏疆瑟熬方式进行隧不论悬IDS或IPS，都必须以一定的时间间隔将监控日志输出管理系统(IMS)该应爰箍黎裳要骞嚣轰鼗l、通过利用DBGAPM的预测结果能够评估当前网络的存在威胁的可第6章结论耨‘节一步工第6耄结论和下一步工本文研究的斑要目的在第6章结论耨‘节一步工第6耄结论和下一步工本文研究的斑要目的在予建立有效的攻击预测模型，为主动防御的实现立蒸础。为了实现此目标，本文提出了SBGAPM和DBGAPM两种攻击预登，拦理论努橱秘瓣模墼进行试验验迁戆萋继之上，我爨霹叛褥出热下熬结论结论二：动态博弈模型比静态博弈模溅对攻击预测的结果更具准确性入授拳终毽更熬敏感飘耱挟篷表4不同的博弈模型对应的攻击预测能豳和攻蔫低低离对Attacker、defender、网络环境的模拟结论三：使掰DBGAPM能够预测未知的攻击趋势，进行主动防御。使得发缝减少玫老慰茭稳垂豢程事秘服务魏影穗此外，论文禚第五章还掇出一个能在实际中应用的框架，该椭架DBGAPM和IMS，可以帮助用户建立一个动态的纵深防御体系，形成一个可霹繁遴豹安全孚螽。表囊安全产磊垂走囊敷会、癸霹王终、集孛蓉疆熬发震向第6章结论和下一步工第6章结论和下一步工(1)，将现有2人博弈模型扩展到N(3)，对攻击类型进行细化，考虑不同攻击类型所对应的入侵意图，对入侵意图进行关关联分析等等证和改进，使其能真正用于实际一[1】PEAdifferentlookat．站Computa-the【2】LyeKWingJ．M．Gamestrategiesinnetworksecurity．[c]．InProceedingstheofweb蝴'Yice8under【3】Xuw．2003．Sustainingdenialofservice【4】AlpcanT,BasarT．A一[1】PEAdifferentlookat．站Computa-the【2】LyeKWingJ．M．Gamestrategiesi