本發(fā)明涉及網(wǎng)絡(luò)安全，尤其涉及一種高級持續(xù)性威脅智能橫向移動行為博弈方法。

背景技術(shù)：

1、高級持續(xù)性威脅(apt)是一類有隱蔽且高復(fù)雜度的網(wǎng)絡(luò)攻擊，攻擊者通常資金充裕且技術(shù)先進，常見目的是竊取大型機構(gòu)(大型企業(yè)、政府部門、軍事基地等)的機密數(shù)據(jù)，破壞關(guān)鍵基礎(chǔ)設(shè)施等。與傳統(tǒng)的網(wǎng)絡(luò)攻擊相比，apt攻擊具有高滲透成功率的特征。一旦apt攻擊者在組織機構(gòu)的內(nèi)聯(lián)網(wǎng)中站穩(wěn)腳跟，例如安裝了后門，他將試圖通過橫向移動接近目標(biāo)節(jié)點——組織機構(gòu)中最有價值的節(jié)點，如各類服務(wù)器——旨在從這些節(jié)點中竊取關(guān)鍵數(shù)據(jù)和信息。由于其極強的隱蔽性，組織機構(gòu)通常很難檢測到apt攻擊，因而apt攻擊者可以長期潛伏在機構(gòu)內(nèi)部，這對現(xiàn)代組織機構(gòu)構(gòu)成了嚴(yán)重威脅。

2、現(xiàn)有大部分apt防御方案通常假設(shè)攻擊者的橫向移動行為符合某種假設(shè)，例如，受相鄰受損節(jié)點的影響，一個未受損節(jié)點會以一定的速率變成受損。盡管現(xiàn)有工作中也考慮了apt橫向移動的速率是可控的，但在實際中，apt攻擊者的能力仍可能被低估，因為他可以通過設(shè)計更智能的橫向移動策略來有效規(guī)避防御者的檢測，從而成功接近和侵入組織機構(gòu)中的目標(biāo)節(jié)點。

3、因此，亟需提供一種方案改善上述問題。

技術(shù)實現(xiàn)思路

1、本發(fā)明的目的在于提供一種高級持續(xù)性威脅智能橫向移動行為博弈方法，用以改善現(xiàn)有技術(shù)在解決apt問題時防御效用較低的問題。

2、本發(fā)明提供的一種高級持續(xù)性威脅智能橫向移動行為博弈方法，采用如下的技術(shù)方案：

3、構(gòu)建組織機構(gòu)對應(yīng)的無向圖，所述無向圖包括多個機構(gòu)節(jié)點；

4、將所述機構(gòu)節(jié)點進行分類，劃分為目標(biāo)節(jié)點、普通節(jié)點、高級員工節(jié)點和管理員節(jié)點；

5、基于離散時間步集合構(gòu)建攻擊者和防御者的攻防交互模型，并基于所述攻防交互模型獲取攻擊者和防御者的狀態(tài)和動作空間、防御者的策略空間和攻擊者的策略空間；

6、基于博弈結(jié)束條件獲取攻擊者和防御者的獎勵，并計算攻防雙方的值函數(shù)，獲取攻防雙方的納什均衡策略。

7、本發(fā)明提供的一種高級持續(xù)性威脅智能橫向移動行為博弈方法的有益效果在于，本發(fā)明將博弈論應(yīng)用于apt橫向移動行為建模，從防御者的角度考慮最壞情況：apt攻擊者可能采取最高效的攻擊策略，建立博弈論數(shù)學(xué)模型，刻畫apt攻擊者和防御者之間的策略性交互過程。在構(gòu)建防御策略時，總是選擇最重要的目標(biāo)節(jié)點進行安全審查可能是低效的，因為仔細審查這些節(jié)點可能需要較高的成本。本發(fā)明中防御者根據(jù)當(dāng)前狀態(tài)確定進行安全審查的節(jié)點，檢測更高效。此外，由于考慮了最壞情況，可使防御者的防御策略更魯棒。

8、可選的，所述組織機構(gòu)包括13個節(jié)點，包括1-13號節(jié)點，表示為無向圖g＝(v,e)，其中，節(jié)點集和邊集的數(shù)學(xué)表達式為：

9、v＝{v1,…,v13}；

10、

11、其中，v＝{v1,…,vn}是節(jié)點集，e是邊集，{vi,vj}∈e表示節(jié)點i可以通過內(nèi)網(wǎng)與節(jié)點j進行通信。

12、可選的，所述13個節(jié)點中，1-6號為普通節(jié)點，對應(yīng)機構(gòu)的普通員工，7-9號為高級員工節(jié)點，對應(yīng)機構(gòu)的高級員工，10-11號為管理員節(jié)點，對應(yīng)機構(gòu)的管理員，12-13號為目標(biāo)節(jié)點。

13、可選的，基于離散時間步集合構(gòu)建攻擊者和防御者的攻防交互模型的過程，包括：

14、攻擊者在初始時間步通過偵察和魚叉式釣魚郵件成功滲透機構(gòu)的一個節(jié)點并將其作為橫向移動的初始滲透節(jié)點，然后選擇一個目標(biāo)節(jié)點，并在后續(xù)的每一個時間步，通過一條從初始滲透節(jié)點到目標(biāo)節(jié)點的最短路徑進行橫向移動；

15、防御者在每一個時間步選擇一個節(jié)點進行安全審查，當(dāng)攻擊者和防御者同時到達相同的受損節(jié)點時，防御者捕獲攻擊者并將受損節(jié)點恢復(fù)到安全狀態(tài)。

16、可選的，所述防御者的狀態(tài)空間和動作空間，包括：

17、

18、其中，表示防御者狀態(tài)，t表示時間步，ht表示截至?xí)r間t的歷史審查節(jié)點序列，表示防御者的行動，adef＝v表示防御者的動作空間。

19、可選的，在時刻t＝0，防御者的狀態(tài)為防御者可以選擇其中一個節(jié)點進行安全審查，防御者的動作空間為adef＝v，若在時刻t＝0，防御者決定審查節(jié)點v7，則防御者在時刻t＝1的狀態(tài)變?yōu)?/p>

20、可選的，獲取攻擊者的狀態(tài)空間和動作空間的具體過程，包括：攻擊者在取得初始滲透節(jié)點的控制權(quán)后選擇一個目標(biāo)節(jié)點，攻擊者的狀態(tài)空間為非目標(biāo)節(jié)點集合動作空間為目標(biāo)節(jié)點集合v′，其中，非目標(biāo)節(jié)點集合和目標(biāo)節(jié)點集合的數(shù)學(xué)表達式為：

21、v′＝{v12,v13}；

22、

23、其中，v12,v13表示12和13號目標(biāo)節(jié)點，{v1,…,v11}表示1-11號節(jié)點，\表示集合減法運算。

24、可選的，所述防御者的策略空間，包括：設(shè)πdef:sdef→δ(adef)為防御者的策略，定義為狀態(tài)空間到動作空間概率分布的映射，有πdef∈πdef，其中，πdef表示防御者的策略空間，sdef表示防御者的狀態(tài)空間，δ(adef)表示防御者動作空間上的概率分布；

25、所述攻擊者的策略空間，包括：設(shè)πatt:為攻擊者的策略，在t＝0時刻確定攻擊者的目標(biāo)節(jié)點，然后選擇一條從初始滲透節(jié)點到該目標(biāo)節(jié)點的最短路徑patt進行橫向移動，有πatt∈πatt，其中，πatt表示攻擊者的策略空間，表示非目標(biāo)節(jié)點集合，δ(v′)表示集合v′上的概率分布。

26、可選的，所述基于博弈結(jié)束條件獲取攻擊者和防御者的獎勵的過程，包括：

27、防御者在預(yù)設(shè)的最大時間步內(nèi)捕獲到攻擊者，且在當(dāng)前時間，防御者的狀態(tài)空間與攻擊者的動作空間相等時，若當(dāng)前時間小于博弈截止時間，攻擊者和防御者的獎勵均為0，若當(dāng)前時間等于博弈截止時間，防御者獲得正獎勵攻擊者受到懲罰

28、攻擊者在預(yù)設(shè)的最大時間步內(nèi)到達所選擇的目標(biāo)節(jié)點，若當(dāng)前時間小于博弈截止時間，攻擊者和防御者的獎勵均為0，若當(dāng)前時間等于博弈截止時間，則防御者受到懲罰攻擊者獲得正獎勵

29、博弈時間到達了預(yù)設(shè)的最大時間步，若當(dāng)前時間小于博弈截止時間，攻擊者和防御者的獎勵均為0，若當(dāng)前時間等于博弈截止時間，防御者受到懲罰攻擊者獲得正獎勵

30、可選的，所述值函數(shù)的數(shù)學(xué)表達式為：

31、

32、其中，vdef(πdef,v′)和vatt(πdef,v′)分別表示在給定防御者策略πdef和攻擊者選擇目標(biāo)節(jié)點v′下防御者和攻擊者的值函數(shù)，t表示最大時間步，表示防御者在時刻t獲取的獎勵，表示攻擊者在時刻t獲取的獎勵，期望通過防御者策略πdef在給定目標(biāo)節(jié)點v′下產(chǎn)生的多條交互軌跡進行計算，對于給定的攻防策略組合(πdef,πatt)，攻防雙方的值函數(shù)的數(shù)學(xué)表達式為：

33、

34、納什均衡的數(shù)學(xué)表達式為：

35、

36、其中，vdef(πdef,πatt)和vatt(πdef,πatt)分別表示在給定的攻防策略組合(πdef,πatt)下防御者和攻擊者的值函數(shù)，vdef(πdef,v′)和vatt(πdef,v′)分別表示在給定防御者策略πdef和攻擊者選擇目標(biāo)節(jié)點v′下防御者和攻擊者的值函數(shù)，和分別表示在均衡策略組合下防御者和攻擊者的值函數(shù)，表示在攻擊者采取均衡策略和防御者采取任意策略πdef下防御者的值函數(shù)，表示在防御者采取均衡策略和攻擊者采取任意策略πatt下攻擊者的值函數(shù)。