通信学报 ›› 2018, Vol. 39 ›› Issue (10): 143-154.doi: 10.11959/j.issn.1000-436x.2018223
张兴明,顾泽宇,魏帅,沈剑良
修回日期:
2018-09-22
出版日期:
2018-10-01
发布日期:
2018-11-23
作者简介:
张兴明(1963-),男,河南新乡人,国家数字交换系统工程技术研究中心教授,主要研究方向为拟态安全、高性能计算等。|顾泽宇(1993-),男,辽宁沈阳人,国家数字交换系统工程技术研究中心硕士生,主要研究方向为网络主动防御、网络安全等。|魏帅(1984-),男,河南南阳人,博士,国家数字交换系统工程技术研究中心讲师,主要研究方向为拟态安全、嵌入式计算等。|沈剑良(1982-),男,浙江德清人,博士,国家数字交换系统工程技术研究中心讲师,主要研究方向为可重构计算等。
基金资助:
Xingming ZHANG,Zeyu GU,Shuai WEI,Jianliang SHEN
Revised:
2018-09-22
Online:
2018-10-01
Published:
2018-11-23
Supported by:
摘要:
网络拟态防御通过冗余执行体动态性、多样性以及裁决反馈机制增强了主动防御顽健性,而对于其安全性评估尚缺少有效的分析模型,基于经典博弈模型无法满足于其多状态、动态性特点,不具有通用性等问题,提出拟态防御 Markov 博弈模型分析攻防状态间的转移关系以及安全可靠性度量方法,通过非线性规划算法计算攻防博弈均衡,以确定考虑防御代价的最佳防御策略。实验与多目标隐藏技术对比,结果表明拟态防御具有更高的防御效果,结合具体案例给出了针对利用系统漏洞攻击的具体攻防路径,验证了防御策略算法有效性。
中图分类号:
张兴明,顾泽宇,魏帅,沈剑良. 拟态防御马尔可夫博弈模型及防御策略选择[J]. 通信学报, 2018, 39(10): 143-154.
Xingming ZHANG,Zeyu GU,Shuai WEI,Jianliang SHEN. Markov game modeling of mimic defense and defense strategy determination[J]. Journal on Communications, 2018, 39(10): 143-154.
表2
系统配置参数及弱点信息扫描结果"
主机 | 操作系统 | 系统弱点信息 | No. | CVSS评分 | 弱点属性 |
C1 | Windows Server 2008 | CVE-2017-0299 KASLR | 1 | 5.0 | AV:L/AC:L |
CVE-2017-0148 SMB远程缓冲区溢出 | 2 | 8.1 | AV:N/AC:H | ||
C2 | Ubuntu 14.02 | CVE-2016-10229 kernel远程执行代码 | 3 | 9.8 | AV:N/AC:L |
CVE-2017-1000367本地覆盖提权 | 4 | 6.4 | AV:L/AC:H | ||
C3 | Debian 7.0 | CVE-2016-10229 内核远程执行代码 | 5 | 9.8 | AV:N/AC:L |
CVE-2016-1247 web-root提权 | 6 | 7.8 | AV:L/AC:L | ||
C4 | OpenBSD 6.0 | CVE-2017-1000364远程内存破坏 | 7 | 7.4 | AV:L/AC:H |
C5 | RedHat 6.0 | CVE-2017-1000364远程内存破环 | 7 | 7.4 | AV:L/AC:H |
CVE-2017-1000367本地覆盖提权 | 4 | 6.4 | AV:L/AC:H |
[1] | SUBRAHMANIAN V S , OVELGONNE M , DUMITRAS T ,et al. The global cyber-vulnerability report[M]. Springer International Publishing, 2015. |
[2] | OKHRAVI H , HOBSON T , BIGELOW D ,et al. Finding focus in the blur of moving-target techniques[J]. IEEE Security & Privacy Magazine, 2014,12(2): 16-26. |
[3] | 邬江兴 . 网络空间拟态防御研究[J]. 信息安全学报, 2016,1(4): 1-10. |
WU J X . Research on cyber mimic defense[J]. Journal of Cyber Security, 2016,1(4): 1-10. | |
[4] | PRAKASH A , WELLMAN M P . empirical game-theoretic analysis for moving target defense[C]// ACM Workshop on Moving Target Defense. 2015: 57-65. |
[5] | ELDOSOUKY A R , SAAD W , NIYATO D . Single controller stochastic games for optimized moving target defense[C]// ICC 2016 IEEE International Conference on Communications. 2016: 1-6. |
[6] | FARHANG S , MANSHAEI M H , ESFAHANI M N ,et al. A dynamic bayesian security game framework for strategic defense mechanism design[M]// Decision and Game Theory for Security. Springer International Publishing, 2014: 319-328. |
[7] | KAMBHAMPATI S , KAMBHAMPATI S , KAMBHAMPATI S ,et al. Moving target defense for web applications using bayesian stackelberg games[C]// International Conference on Autonomous Agents &Multiagent Systems. 2016: 1377-1378. |
[8] | LEI C , MA D H , ZHANG H Q . Optimal strategy selection for moving target defense based on markov game[J]. IEEE Access, 2017,PP(99): 1-1. |
[9] | MALEKI H , VALIZADEH S , KOCH W ,et al. Markov modeling of moving target defense games[C]// ACM Workshop on Moving Target Defense. 2016: 81-92. |
[10] | 魏帅, 于洪, 顾泽宇 ,等. 面向工控领域的拟态安全处理机架构[J]. 信息安全学报, 2017,2(1): 54-73. |
WEI S , YU H , GU Z Y ,et al. Architecture of mimic security processor for industry control system[J]. Journal of Cyber Security, 2017,2(1): 54-73. | |
[11] | 仝青, 张铮, 张为华 ,等. 拟态防御 Web 服务器设计与实现[J]. 软件学报, 2017,28(4): 883-897. |
TONG Q , ZHANG Z , ZHANG W H ,et al. Design and implementation of mimic defense Web server[J]. Journal of Software, 2017,28(4): 883-897. | |
[12] | 马海龙, 伊鹏, 江逸茗 ,等. 基于动态异构冗余机制的路由器拟态防御体系结构[J]. 信息安全学报, 2017,2(1): 29-42. |
MA H L , YI P , JIANG Y M ,et al. Dynamic heterogeneous redundancy based router architecture with mimic defense[J]. Journal of Cyber Security, 2017,2(1): 29-42. | |
[13] | CARTER K M , RIORDAN J F , OKHRAVI H . A game theoretic approach to strategy determination for dynamic platform defenses[C]// ACM Workshop on Moving Target Defense. 2014: 21-30. |
[14] | WANG H , LI F , CHEN S . Towards cost-effective moving target defense against DDoS and covert channel attacks[C]// ACM Workshop on Moving Target Defense. 2016: 15-25. |
[15] | WINTERROSE M L , CARTER K M . Strategic evolution of adversaries against temporal platform diversity active cyber defenses[C]// Proceedings of the Agent-Directed Simulation Symposium at the Spring Simulation Multi-conference. 2014: 68-76. |
[16] | DORASZELSKI U , ESCOBAR J F . A theory of regular Markov perfect equilibria in dynamic stochastic games:genericity,stability,and purification[J]. Theoretical Economics, 2010,5(3): 369-402. |
[17] | BORKOVSKY R N , DORASZELSKI U , KRYUKOV Y . A user’s guide to solving dynamic stochastic games using the homotopy method[J]. Operation Research, 2010,58(4): 1116-1132 |
[18] | 陈小军, 方滨兴, 谭庆丰 ,等. 基于概率攻击图的内部攻击意图推断算法研究[J]. 计算机学报, 2014,37(1): 62-72. |
CHEN X J , FANG B X , TAN Q F ,et al. Inferring attack Intent of malicious insider based on probabilistic attack graph model[J]. Journal of Computer, 2014,37(1): 62-72. | |
[19] | SINGH U K , JOSHI C . Quantitative security risk evaluation using cvss metrics by estimation of frequency and maturity of exploit[C]// Proceedings of the World Congress on Engineering and Computer Science (WCECS2016). 2016. |
[20] | 姜伟, 方滨兴, 田志宏 ,等. 基于攻防博弈模型的网络安全测评和最优主动防御[J]. 计算机学报, 2009,32(4): 817-827. |
JIANG W , FANG B X , TIAN Z H ,et al. Evaluating network security and optimal active defense based on attack-defense game model[J]. Journal of Computer, 2009,32(4): 817-827. |
[1] | 李竟博, 马礼, 李阳, 傅颖勋, 马东超. 感传算协同工业互联网优化设计[J]. 通信学报, 2023, 44(6): 12-22. |
[2] | 赵仕祺, 黄小红, 钟志港. 基于信誉的域间路由选择机制的研究与实现[J]. 通信学报, 2023, 44(6): 47-56. |
[3] | 陈真, 陈文辉, 刘啸威, 尤殿龙, 刘林林, 申利民. 功能互补关系增强的云API推荐方法[J]. 通信学报, 2023, 44(6): 125-137. |
[4] | 魏德宾, 潘成胜, 杨力, 颜佐任. 基于网络流量水平等级预测的自适应随机早期检测算法[J]. 通信学报, 2023, 44(6): 154-166. |
[5] | 李元诚, 秦永泰. 基于深度强化学习的软件定义安全中台QoS实时优化算法[J]. 通信学报, 2023, 44(5): 181-192. |
[6] | 夏莹杰, 朱思雨, 刘雪娇. 区块链架构下具有条件隐私的车辆编队跨信任域高效群组认证研究[J]. 通信学报, 2023, 44(4): 111-123. |
[7] | 谢人超, 文雯, 唐琴琴, 刘云龙, 谢高畅, 黄韬. 轨道交通移动边缘计算网络安全综述[J]. 通信学报, 2023, 44(4): 201-215. |
[8] | 罗智勇, 张玉, 王青, 宋伟伟. 基于贝叶斯攻击图的SDN入侵意图识别算法的研究[J]. 通信学报, 2023, 44(4): 216-225. |
[9] | 王一丰, 郭渊博, 陈庆礼, 方晨, 林韧昊, 周永良, 马佳利. 基于对比增量学习的细粒度恶意流量分类方法[J]. 通信学报, 2023, 44(3): 1-11. |
[10] | 张进, 葛强, 徐伟海, 江逸茗, 马海龙, 于洪涛. 拟态路由器BGP代理的设计实现与形式化验证[J]. 通信学报, 2023, 44(3): 33-44. |
[11] | 经普杰, 王良民, 董学文, 张玉书, 王骞, Muhammad Sohail. 分层跨链结构:一种面向区块链系统监管的可行架构[J]. 通信学报, 2023, 44(3): 93-104. |
[12] | 舒坚, 史佳伟, 刘琳岚, Manar Al-Kali. 基于时空卷积的机会网络拓扑预测[J]. 通信学报, 2023, 44(3): 145-156. |
[13] | 王东滨, 吴东哲, 智慧, 郭昆, 张勖, 时金桥, 张宇, 陆月明. 软件定义网络抗拒绝服务攻击的流表溢出防护[J]. 通信学报, 2023, 44(2): 1-11. |
[14] | 康海燕, 龙墨澜. 基于吸收马尔可夫链攻击图的网络攻击分析方法研究[J]. 通信学报, 2023, 44(2): 122-135. |
[15] | 张云涛, 方滨兴, 杜春来, 王忠儒, 崔志坚, 宋首友. 基于异构观测链的容器逃逸检测方法[J]. 通信学报, 2023, 44(1): 49-63. |
阅读次数 | ||||||
全文 |
|
|||||
摘要 |
|
|||||
|