从博弈论视角审视网络安全态势感知 – 作者:中孚信息

一

网络空间安全态势感知定义与内涵

态势感知的概念最早源自军事领域，覆盖感知、理解和预测三个层次。随着网络的兴起而升级为“网络态势感知(Cyberspace Situation Awareness，CSA)”，旨在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测，进而决策行动。根据网络活动特点，安全态势感知划分为：

1、网络安全态势察觉：识别出网络系统活动，包括相关设备数据的收集及对数据的规范化处理等；依据关联分析、专家知识库建模，辨识出异常活动。

2、网络安全态势理解：建立在态势察觉的基础上，发现攻击活动，并识别出攻击意图。

3、网络安全态势投射：通过分析当前可能存在的网络攻击活动，对其进行评估，发现攻击者对系统对象己经产生和可能产生（预测）的影响，进而获得该对象的当前态势状态。

网络安全态势感知原理图

态势强调环境和动态性，表征的是一种状态和趋势。网络安全态势综合网络系统配置管理和安全环境信息，识别各类可能攻击和威胁，评估安全状态，并对发展趋势加以研判分析，最终目标追求知己知彼，正确预判处置。

二

网络空间安全态势感知所面临的现实挑战

在实际的网络空间，由于匿名性攻击归因复杂、不确定性攻击防不胜防、网络空间的开放性给攻击方造成众多可乘之机、传统网络架构和协议存有缺陷等因素的存在，使攻击方占据诸多对抗优势，网络空间呈现出“易攻难守”不对称常态。根据经典物理杀伤链衍生出的攻防对抗流程可以看出：攻击与防御是动态演化的，而防御总是迟滞于攻击，防御的有效性极大程度取决于对攻击做出的正确判断和快速响应。

网络空间攻防行动关系图

长期以来，网络安全机制与技术的发展一直处于被动从属地位。防御方如若改变攻击方不对等优势，除了减少网络漏洞暴露面和后门利用可能性外，有效办法是主动防御，核心思想：尽可能提升己方内生安全能力；最大化增大敌方攻击复杂度和实施成本。构建主动防御安全体系，离不开先进态势感知能力的支撑，需要应对以下挑战：复杂多变的系统拓扑结构使网络态势感知的理解和预测越来越困难；新兴信息技术的推广应用，使得难以及时准确的预测应对各类安全事件；防御方对瞬间网络攻击，难以实施观察和及时响应；通常的学习方法和经验无法应对快速演化的复杂攻击向量等等。

综上可见，未来网络安全态势感知亟需由事后取证、被动响应式机制向实时的、积极的、预防性的对抗机制转变。

三

博弈论(Game Theory)与网络态势感知

1、博弈论的引入

博弈论是研究冲突局势下合理决策的数学理论与方法，在冲突局势下，任何一方行动的结果都依赖于对方选取的行动方案，但任一方通常不充分掌握关于对方如何打算的情报。攻防博弈模型是用于分析博弈过程的基础模型，基本组成为：

博弈参与者：指博弈中的决策主体，可以是个人，也可以是相关组织，其通过采取行动来最大化各自利益。

博弈行为：指博弈参与方所采取的行动，也称为博弈策略。根据博弈的次序，可将博弈行为划分为静态博弈和动态博弈。

博弈信息：指博弈参与方对其他博弈参与方的策略、收益等的掌握情况，据此可将博弈类型划分为完全信息博弈和不完全信息博弈。

博弈收益：指各博弈参与方在施行各自预期的博弈行为后，从博弈中所能获得的利益水平。通常需要用量化函数来表示各博弈参与方的收益。

博弈结果：指博弈进程结束后，由各参与方的博弈行为相互作用所形成的对抗结果，其与博弈均衡分析直接相关。

博弈均衡：指各参与方相互作用下，所形成的能最大化各参与方收益的最优策略组合。当达到博弈均衡时，博弈方的策略选择不会偏离这一最优策略组合。

2、网络对抗的演化博弈特性

网络空间对抗态势是动态变化的，网络空间下的均衡状态一旦被打破，便会寻求新的平衡状态的演化。对抗双方都无法完全对影响对抗态势的所有信息做到准确及时的掌握，因此，网络攻防是一种偏向于不完全多阶段演化博弈的过程。

网络空间攻防对抗形势图

在实际对抗中，攻击方首先要掌握防御方的漏洞和薄弱点，会采取木马植入、恶意程序探测等攻击技术寻找攻击通路，然后利用防御方的脆弱点，加大攻击力度，逐渐控制甚至摧毁防御者的防御层级，对防御方的安全造成高风险的结果。同时，防御方也会通过入侵检测、防火墙等被动和主动防护手段，发现系统中潜在的安全威胁，修复系统漏洞，提高自身的防护等级。攻防双方的相互依赖关系如同两股相互纠缠的绳索，在相互博弈和影响下推动双方的网络安全状态发生改变，具有以下鲜明特征:

(1)目标对立

攻击方通过对网络系统中存在的脆弱性加以渗透利用来达到损害网络系统资产的目的；防御方尽最大可能地实施防御策略，使网络系统免受损害或减小攻击造成的损失。

(2)关系非合作

网络攻防博弈中攻防双方的目标对立，双方之间具有不可调和的矛盾，即攻击方与防御方之间注定是竞争、对抗的，攻防双方之间的关系也注定是非合作的。

(3)策略依存

网络攻防对抗中，对抗结果由攻防双方各自的策略选择共同决定，而非单纯地由某一方的策略决定。只有从攻防双方的角度出发才能科学、准确地分析攻防对抗的结果，故而网络攻防博弈具有策略依存性。

3、利用博弈论研究网络安全态势的可行性分析

博弈论与网络对抗，二者在特征、要素上是高度一致的，基于博弈模型研究网络攻防态势，有助于理解和评价网络安全态势的矛盾冲突，预测未来的攻击行为并选取相应的防御策略。

网络攻防与博弈对抗关系图

动态变化的攻击策略，需要自适应的防御策略来应对。演化博弈论正是这种可以被用于研究群体不同个体之间通过不断学习和模仿，最终能找到最优策略的方式方法。

网络防御方和网络攻击方之间关系复杂，演化博弈理论可动态全面诠释多个参与者博弈关系，适合应用于攻防相互影响的博弈行为研究。

演化博弈通过策略的调整过程来寻找最优化的结果，为形成动态防御策略提供了有效实现途径。

四

基于演化博弈的网络安全态势评估

对抗的本质是攻防双方围绕目标系统脆弱性和攻击技术展开动态博弈较量。对抗的信息优势很大程度上取决于对整个网络安全态势的准确把握和科学研判。传统博弈要求所有参与者绝对理性，否则博弈过程无法继续。相对传统博弈论，演化博弈论通过分析参与者对峙过程中的胜负及稳定收益问题，演化研判博弈过程中参与者的实际决策能力和行为预测能力，最终评估稳定均衡下参与者的最大收益。这要求参与者通过学习和模仿来不断改变自身策略，并根据其他参与者的策略来变换自己的策略。网络攻防对抗行为符合演化博弈论模型，可将网络安全态势研究中的网络攻防抽象为演化博弈论模型，从而进行网络安全态势评估。关键环节如下：

基于演化博弈论的网络安全态势评估流程图

1、网络状态攻击图

网络状态攻击图反映感知和推理入侵者的攻击意图，用于观察预测攻击规划实施的演化过程。在实际网络攻防博弈中，攻击方的攻击意图严重依赖于网络环境，通过逐个入侵步骤，使攻击状态逐步趋向目标，最终实现攻击意图；防御方识别分析网络状态攻击图的重点包括：①根据攻击行为，计算假设攻击概率，推理真实攻击意图；②根据攻击行为间的因果关系，预测后续攻击行为和攻击路径；③综合整体安全需求、关键资产信息分布及入侵意图等因素，量化分析网络系统安全态势和威胁。

2、攻防演化博弈模型

网络空间环境不断变化，攻防双方为争取主动积极调整各自策略，导致安全态势随之改变。根据攻防策略定义攻防收益函数，结合演化博弈论思想，对每一个网络状态，构建演化博弈理论分析模型推断出演化初始概率。对抗中，攻击方如发现新的脆弱性、攻击目标或遇到阻碍时，会随时调整攻击意图或行为策略；防御方必须实时从环境动态变化中发现对方新端倪，及时判定威胁风险，以做出有效防御决策。

3、攻防演化博弈稳定性分析

在攻防演化博弈过程中，双方都倾向于选择使自己的期望收益达到最大化，低收益的参与者经过一段时间会被高收益参与者的决策同化，最终会随着时间的推移而动态演化，趋于稳定状态。如果演化博弈结果存在均衡，则称为演化稳定策略（ESS），此时的均衡一定是纳什均衡，反之则不成立。实际中，依据攻防策略收益量化计算实现演化博弈稳定性的分析。攻击策略收益取决于攻击操作代价和攻击成效；防御策略收益取决于响应操作代价、响应收益及响应负面代价。

4、网络安全态势评估

网络安全态势评估不仅需依据实际攻击信息进行威胁评估，还应同步考虑潜在威胁和实际攻击对态势的影响。网络态势随时都在发生着复杂的信息交互和影响行为，网络对抗的状态并不会很久停留在稳定状态。稳定状态一旦被破坏后，系统将打破均衡从而开始寻求新的平衡状态的演化。对于防御方而言，需要综合网络安全风险、威胁态势、资产价值等评估机制，近实时地识别攻击意图并评估威胁，动态感知网络安全态势以及时调整安全防护策略。

5、最优防御策略

主动防御思想追求在时空间维度上强化目标系统的复杂度，以增强防御方的博弈优势，进而实现对目标系统的有效防御。因此，最优网络动态防御策略选取需要综合考虑系统环境、安全威胁、攻击行为、攻防成本等因素，同时，还应掌握以下原则：①应对攻击水平越高的攻击方，网络动态防御策略的跳变周期应该减小；②网络动态防御策略的差异性越大，防御有效性越好，防御收益越高；③网络动态防御策略应该与网络攻击检测策略共同部署，以达到最优防御效果。

五

总结展望

网络空间安全对抗的本质是攻防策略的相互依存和相互制约，基于演化博弈论研究网络安全态势，从攻防双方博弈宏观视角，分析研判网络安全动态走向，科学评估最优防御策略，符合主动防御网络安全体系建设需求，适用分析大型复杂网络，保护网络系统安全。

张 旗/ 中孚信息（北京）研究院

来源：freebuf.com 2020-08-27 11:43:58 by: 中孚信息