1.总体介绍1.1研究背景当前网络规模快速增长,各种入侵过程逐渐复杂化、多样化和分布式化。使用传统的入侵检测技术和响应技术检测、发现、调查和响应各种安全事件变得越来越困难。因此,需要一个新的视角来理解入侵检测和响应模型。博弈论提供了一个自然的框架来捕捉攻击者和防御者的相互作用,提供了一种评估系统安全性的定量方法。从博弈论的角度理解入侵检测和响应模型,不仅需要识别复杂的攻击模式和攻击场景,还需要攻击检测后自动响应,形成检测、发现、预警和响应的闭环防御系统.1.2相关研究现状2009年,国内第一篇将博弈论应用于网络安全领域的论文发表在《计算机科学学报》上,提出了一种基于博弈论的防御图模型,针对不同类型的攻击生成相应的响应。攻击[1]。厦门大学肖亮教授也在相关学术会议上发表论文[2],描述了云存储中的动态安全资源分配。结合博弈论和攻击图[3],WangZhen等人。基于Stackelberg攻防博弈的网络系统安全控制优化研究国外研究人员在相关领域起步较早,不仅将博弈论应用于入侵检测,还将博弈论应用于安全领域。主要分为两派:MilindTambe和VickiBier。以南加州大学MilindTambe教授为代表的计算博弈论方向是最早的文献[4]。目前这一流派的代表人物有安波教授(南洋理工大学)及其课题组。以威斯康星大学麦迪逊分校VickiBier教授为代表的方向是基于博弈和决策的风险分析。代表作之一是她的学生写的一篇论文[5]。目前这一流派的代表人物有教授本人、庄俊教授(纽约大学布法罗校区)及其研究组DavidBanks(杜克大学)等。纽约大学华人研究员朱全彦创建了该领域的学术会议GameSec,发表了博弈论在网络安全领域应用的综述文章[6]。南巴黎电信的研究员ChristopheKiennert[7]提出将博弈论应用于入侵检测和入侵响应优化。1.3研究框架我们将博弈论在入侵检测与响应中的应用按照网络攻击的先后顺序分为三个阶段和总体架构设计。第一阶段:攻击前网络安全加固。现阶段的研究成果主要是基于Stackelberg博弈模型的网络安全加固。第二阶段:攻击过程中,IDS配置和效率优化。这一阶段主要有三个方面:优化基于网络的入侵检测的资源分配;优化NIDS的规则库和参数;基于生成对抗模型的异常检测效率优化第三阶段:攻击后自动响应。整体架构设计主要基于合作博弈分布式入侵检测架构的优化。1.4研究意义(1)在博弈论应用于网络安全领域之前,通过提高检测效率优化入侵检测,博弈论提供了一个天然的框架来捕捉攻击者和防御者之间的相互作用,提供了一种量化的评估方法系统安全使研究人员能够从战略和决策制定的角度了解网络攻击和防御。(2)与安全的标准定义不同,博弈论对安全采取了不同的视角:安全不是没有威胁,而是攻击系统比不攻击系统代价更大。因此,可以建立一种激励机制来鼓励良好的行为,而不是阻止恶意行为的发生。(3)传统的安全检测假设系统是静态的,而复杂的网络环境是动态的,动态博弈可以保证系统在动态环境中也是安全的。(4)一般来说,要保证动态系统的稳定运行,需要反馈机制,借助博弈论的入侵检测与响应模型,建立检测、发现、预警的闭环防御系统,并形成响应,可以让入侵防御在不同环节循环,保证系统的动态稳定性。二。相关基础知识2.1入侵检测入侵检测是[8]识别企图入侵、正在进行的入侵或已经发生的入侵的过程。它可以在不影响网络性能的情况下对网络进行监控,收集计算机网络或系统中的关键信息,并对其进行分析,以发现是否存在违反安全策略的行为和被攻击的迹象。根据不同的分类标准,入侵检测可以分为不同的类别:(1)根据检测源的不同,可以分为基于网络的入侵检测(NIDS)、基于主机的入侵检测(HIDS)和混合入侵检测(混合IDS)。).(2)按检测方法分类,可分为误用检测、异常检测和基于规范的检测。(3)根据能否响应,分为入侵检测(IDS)和入侵防御(IPS)/入侵响应(IRS)。2.1.1误用检测误用检测又称特征检测,将已知的入侵活动以一种模式表示,形成网络攻击特征库(或网络攻击规则库)。目前商用的IDS基本上都是采用misusedetection的方式。基于误用检测方法的入侵检测技术误报率低,漏报率高。能够准确识别已知攻击,并详细报告网络攻击类型。但该方法对新的入侵方式无能为力,需要不断向特征库中加入新的入侵模式,以提高其识别新的网络攻击的能力。2.1.2异常检测异常检测可以称为无监督或弱监督下不平衡数据下的多分类问题。通常异常值(不平衡数据的较小部分)对我们来说更重要。与误用检测相比,该方法的检测结果具有较低的漏报率和较高的漏报率,可以检测到一些未知的攻击。其实现的难点在于如何避免将正常活动识别为入侵活动,而漏掉正在进行的入侵活动。2.1.3基于规范的检测基于规范的检测描述了程序的预期行为。如果用户的行为与安全规范的描述不同,则可以断定发生了攻击。因为它描述了程序的预期行为,所以当合法用户做了一些与常规(合法)不同的事情时,它不会产生误报,它还可以识别已知攻击和未知攻击[9-10]。2.2入侵检测的集成入侵检测技术的主要挑战是分析IDS发出的告警。当发生入侵时,选择对策所需的时间应尽可能短。所以现在大型网络下的入侵检测系统往往集成到SIEM[11]系统中,系统架构图如图1所示。架构一般分为5层,包括数据采集层、数据归一化层、数据从下到上依次为存储层、数据分析层和数据可视化层。数据分析层的核心是关联引擎;数据可视化层用于可视化展示,供安全分析师使用。图1SIEM系统架构2.3博弈论根据不同的分类条件,博弈论可以分为不同的类别[12]。(1)根据博弈论之间是否存在约束性约定,可分为合作博弈和非合作博弈。两者之间的主要区别在于交互方之间是否存在具有约束力的协议。(2)根据博弈双方相互了解的程度,可分为完全信息博弈和不完全信息博弈。完全信息博弈是指在博弈过程中,每个参与者都准确掌握其他参与者的特征、策略空间和收益函数等信息。在不完全信息博弈中,每个玩家都不知道关于博弈的一些信息。(3)根据行为的时间顺序,可分为静态博弈和动态博弈。静态博弈是指在博弈中,参与者同时选择或者即使不同时选择,后动者不知道先动者采取什么具体行动;动态博弈是指在博弈中,参与者的动作是有先后顺序的,而后动者能够观察到先动者选择的动作。(4)根据游戏的表现形式,可分为战略游戏和拓展游戏。3研究方法3.1攻击前网络安全加固网络安全加固的核心模型是Stackelberg博弈模型[14]。Stackelberg安全博弈最早应用于现实安全领域进行安全资源调度,后来又应用于网络安全资源调度。例如美国洛杉矶国际机场在警力资源调度、空警调度、城市轨道交通系统安全调度等实际应用中。我们的模型是基于攻击图的Stackelberg博弈模型:网络攻击场景在攻击图上建模为Stackelberg博弈,防御者是先行者,攻击者是跟随者,攻击者的目标是找到一个来自攻击图的路径。最短成本路径,防御者的目标是利用有限的资源在路径上设置障碍,阻止攻击者。博弈模型建立后,最重要的是求解纳什均衡。目前,对于StackelbergNashEquilibrium,主要列出以下基本求解算法,文献[13]总结了这三种算法。(1)MultiLPs算法[15]该算法于2006年由研究人员提出,是求解标准Stackelberg博弈的最基本的多项式时间算法,也可用于求解BayesianStackelberg博弈。(2)DOBSS算法[16]由于不同类型的追随者相互独立,追随者的纯策略产生组合爆炸。DOBSS算法可以解决这个问题。DOBSS算法是第一个成功应用于实际系统的算法。它利用追随者类型相互独立的特点来退化该问题,从而将其转化为求解混合整数规划问题(MILP)。(3)ERASER算法[17]该算法直接求解紧凑型安全博弈,可以避免枚举指数防御者的纯策略。3.2IDS优化3.2.1基于网络的IDS资源分配优化(1)如果NIDS对每个数据包都进行检查,则需要较高的处理资源。在文献[20]中,研究人员开发了一种网络数据包采样策略。在总资源预算一定的情况下,通过合适的采样率对不同路径的数据包进行采样。作者定义了一个简单的两人静态零和博弈来求解每个链路在一定预算下的最优采样率。(2)Snort等基于规则的NIDS一般存储已知网络攻击的特征库,需要配置大量的攻击检测库和一些系统参数。例如,Snort有51种攻击类别和近万条特征规则,要获得最佳的IDS配置来有效检测攻击并不容易。配置规则库是为了在系统性能和安全性能之间找到一个平衡点。文献[21]建立了一种动态随机博弈来设计针对不同系统状态的最优IDS配置,以动态和迭代的方式配置IDS是一种平衡安全开销和系统性能的方式。(3)从博弈论的角度来看,生成对抗网络是一个二人零和博弈。生成器和鉴别器是游戏中的两个参与者。生成器的策略是如何生成样本,判别器的策略是如何判断样本的真伪。因此,策略组(“生成好样本”、“真假难辨”)是一个纳什均衡,此时生成器和判别器都不能单方面改变策略以获得额外收益。使用生成对抗网络进行异常检测主要存在两个问题:(1)由于正向检测对异常数据的效果不理想,研究人员经常进行反向研究,基于基于生成异常检测错误的无监督多元异常检测。(2)由于训练标签样本数量少,影响了监督分类模型的检测效果。文献[22]借助生成对抗网络对抗交互训练的思想,在训练阶段引入了生成模型。生成模型不断生成样本,扩充原有的标签样本集,可以辅助入侵检测模型分类,提高模型检测的准确率,提高了执行多分类任务时识别入侵行为的能力。3.3自动攻击响应攻击后的自动选择主要涉及IPS和IRS。研究工作[23]主要是一旦发现攻击就触发最佳防御策略,而不依赖于管理员的人工干预。这项工作主要是为了优化系统响应,而不是IDS性能,因此假设攻击总是被成功检测到。3.4基于合作博弈的分布式入侵检测单一的入侵检测系统很难检测到所有的攻击。与传统同类产品相比,入侵检测设备之间的配合可以获得更高的检测精度和成本效益。文献[24-26]提出了协作入侵检测网络的系统架构,其中可信高效的反馈聚合是关键组成部分。当IDS协作者数量较多时,提出了一种固有的信任评估机制,减少了IDS所需的通信开销和实现满意反馈聚合所需的计算资源和内存。4.挑战(1)所建立的博弈模型一般都建立在完全理性的假设之上。假设攻击者和防御者在攻击过程中是完全理性的。有些人尝试前景理论和定量响应模型。这些模型大多具有不同的理性人假设的表现,也使得优化问题更难解决。(2)建立的模型一般假设博弈双方都有完整的信息,网络中的信息与攻防双方一致,但在实践中是不可能的。(3)网络攻击数据集构建困难。小规模数据集可以使用真实场景,但大规模网络数据集无法实现。(4)游戏模型抽象度高,难以在实际生产中应用。五、研究展望基于博弈论的入侵检测与响应模型仍处于快速发展的过程中。目前我认为比较有前途的研究方向有以下两点。(1)基于历史数据的学习攻击者和防御者由于反复和频繁的交换而不断积累数据,这已成为通信游戏和机器学习领域的研究机会。研究人员可以从过去收集的数据中学习博弈模型。安全领域现有的收益是专家指定的,但是收益函数很多地方是无法确定的,而且数值会随着时间发生变化,从而影响游戏结果。如何在尽可能少的游戏回合中了解攻击者的攻击偏好,进而进行有效的防护,将是一个很好的研究方向。值得注意的是,基于逆向强化学习推导支付函数可能是一种解决方案。(2)基于合作博弈的分布式入侵检测不同传感器采集数据后,需要进行聚合关联,共同决策,以实现合作博弈的帕累托最优。因此,各个入侵检测之间需要有良好的通信机制和良好的协商机制。一个好的入侵检测系统应该是一个先进的多智能系统,每个采集到的传感器都是一个智能体,比如基于误用检测和异常检测的IDS,日志分析等传感器都是智能体,所有传感器的智能体共同组成优化目标,生成高效告警信息,自动响应部分告警。通过人机联动,反馈给传感器,动态迭代优化系统,使整个入侵检测系统处于学习和进化的过程中。参考文献[1]姜伟,方斌兴,田志红.基于攻防博弈模型的网络安全评估与最优主动防御[J].计算机科学学报,2013,32(4):818-827.[2]闵明辉,梁晓,谢彩霞,MohammadHajimirsadeghi,andNarayanBMandayam.防御高级持续性威胁:上校印迹游戏方法。2017年IEEE国际通信会议(ICC),第1{6页。IEEE,2017.[3]王震,段辰剑,吴婷。基于Stackelberg攻防博弈的网络系统安全控制机制优化研究。信息安全杂志,2019[4]PraveenParuchuri、JonathanPPearce、JanuszMarecki、MilindTambe、FernandoOrdonez和SaritKraus。为安全而玩游戏:解决贝叶斯stackelberg游戏的有效精确算法。在第7届国际自治代理和多代理系统联合会议论文集-第2卷,第895页{902.自主代理和多代理和系统国际基金会[5]Zhuun208.VickiMBier。平衡恐怖主义和自然灾害|防御策略与内生攻击者的努力。运筹学,55(5):976{991,2007.[6]朱全彦和斯特凡拉斯。博弈论遇上网络安全:教程。在2018年ACMSIGSAC计算机和通信安全会议记录中,第2163页{2165,2018.[7]KiennertC、IsmailZ、DebarH等。入侵检测和响应优化的博弈论方法综述[J]。ACM计算调查(CSUR),2018,51(5):1-31.[8]DenningDE.入侵删除模型。IEEE软件工程汇刊,1987,SE-13(2):222-232.[9]桑迪普·库马尔。计算机入侵的分类和检测。PhDthesis,PhDthesis,PurdueUniversity,1995[10]PhillipAPorras和RichardAKemmerer。渗透状态转换分析:一种基于规则的入侵检测方法。在计算机安全应用会议上,1992年。会议记录,第八届年度会议,第220-229页。IEEE,1992[11]IBMQRadarSIEM。https://www.ibm.com/us-en/marketplace/ibm-qradar-siem.[12]奥斯本MJ,鲁宾斯坦A.博弈论教程[M].麻省理工学院出版社,1994.[13]王震、袁勇、安波安全博弈论研究评论,命令自动化杂志,2015[14]MilindTambe。安全和博弈论:算法、部署的系统、经验教训。剑桥大学出版社,2011年。[15]ConitzerV,SandholmT.Computingtheoptimalstrategytocommitto[C]//第7届ACM电子商务会议论文集(EC'06)。美国密歇根州安阿伯市,2006年:82?90。[16]ParuchuriP,PearceJP.为安全而玩游戏:一种用于解决bayesianstackelberg游戏的有效精确算法[C]//第7届国际自治代理和多代理系统联合会议(AAMAS'08)的会议记录。Estoril,Portugal,2008:895902.[17]PitaJ,JainM.将博弈论用于洛杉矶机场安全[J]。人工智能杂志,2009,30(1):43?57[18]杜威,丁世飞.多智能体强化学习综述[J].计算机科学,2019,46(8):1-8.[19]LoweR,WuY,TamarA,等人。Multi-agentactor-criticformixedcooperative-competitiveenvironments[C]//神经信息处理系统的进展。2017:6379-6390.[20]MuraliKodialam和TVLakshman。通过采样检测网络入侵:一种博弈论方法。在IEEEINFOCOM2003中。IEEE计算机和通信学会第二十二届年度联席会议(IEEE目录号03CH37428),第3卷,第1880页{1889.IEEE,2003[21]QuanyanZhu和TamerBa?sar。基于策略的动态ID配置。在与2009年第28届中国控制会议联合举办的第48届IEEE决策与控制会议(CDC)会议记录中,第8600页{8605.IEEE,2009.[22]使用生成对抗网络的僵尸网络检测增强框架,2018年人工智能和大数据国际会议。2018.[23]YiLuo、FerencSzidarovszky、YoussifAl-Nashif和SalimHariri。基于博弈论的入侵防御系统风险和影响分析方法。2009年IEEE/ACS计算机系统和应用国际会议,第975页{982。IEEE,2009.[24]卡罗lJFung和QuanyanZhu。Facid:用于入侵检测网络的基于信任的协作决策框架。AdHoc网络,53:17{31,2016.[25]QuanyanZhu、CarolFung、RaoufBoutaba和TamerBasar。协作入侵检测网络中激励设计的博弈论方法。2009年网络博弈论国际会议,第384页{392.IEEE,2009.[26]QuanyanZhu、CarolFung、RaoufBoutaba和TamerBasar。Guidex:一种基于博弈论激励的入侵检测网络机制。IEEE通讯选定领域期刊,30(11):2220{2230,2012。
