一种求解网络攻防博弈精炼BNE的方法及系统与流程

一种求解网络攻防博弈精炼bne的方法及系统
技术领域
1.本发明涉及网络攻防博弈技术领域，具体是一种求解网络攻防博弈精炼bne的方法及系统。


背景技术：

2.《2018全球风险报告》中，首次将网络攻击列入全球前五的安全风险，仅次于极端天气和自然灾害之后。在实际网络攻防进程中，不论是攻击者还是防御者始终都是出于理性状态，一方总会在考虑另一方的行动(action)和策略(strategy)的同时，最大化自己的收益。也就是说，攻击者会极力破坏目标系统或窃取目标信息，而防御者会尽力阻止这种情况的发生。简言之，网络攻防中攻击者与防御者之间的对抗交互关系对应了博弈理论。其中，策略的采用在网络攻防博弈中有着举足轻重的地位，具体某种策略的采用将会直接影响攻防博弈的最终结果，不论攻击者还是防御者在采取行动之前都会构建数个攻击/防御策略集合。然而，在实际攻防博弈中，后决定者并不知道前决定者所采用的具体策略。因此，有必要在开展实际攻击/防御之前，有必要构建攻防博弈模型，以描述攻防博弈策略并模拟推断最终的博弈结果。
3.然而，在实际攻防场景中，总是存在信息缺失的情况。此外，在对抗过程中，攻防双方采用的应对策略总是动态变化的。然而，由于实际网络攻防场景的复杂性以及攻击策略的敏感性，大多数现有技术存在以下三个方面的缺陷：(1)侧重于从理论角度关注某种特定场景中模型的构建和防御策略的选择，鲜有工作以通用的方式，从实际攻防场景出发直接关注博弈双方的博弈关系；(2)实际的网络攻防博弈由于持续不断的行动和策略选择而具有与一般攻击场景不同的独特性，现有的矩阵博弈方法缺乏对攻防博弈的完整描述，更不用提对不完全信息和动态策略的涉及；(3)随着攻防技术手段的不断更新升级，近年来出现了攻击者-防御者“角色互换”的场景。也就是说，随着攻击的开展，当满足一定前提条件的时候，攻击者和防御者的角色有可能互换。在这个角色互换的新阶段，原先的防御者反制成为攻击者，以最大化整个攻防博弈的利益，而原先的攻击者被迫转变为防御者以抵制原先防御者的攻击。然而，现有技术在建模过程中缺乏对“角色互换”情况的考虑，难以准确描述实际网络攻防场景。
4.由于博弈论是最合适用来构建网络攻防架构的方法论，在安全领域，已有较多研究，在很多不同场景中已有较多应用。其中，在不完全信息静态博弈中，通过贝叶斯纳什均衡解决攻防决策问题。在完全信息动态博弈中，子博弈完美纳什均衡解决攻防决策问题。对兼有这两种特征的完全但不完美信息动态博弈中，解决办法是求精炼bne。


技术实现要素：

5.为克服现有技术的不足，本发明提供了一种求解网络攻防博弈精炼bne的方法及系统，解决现有技术存在的难以准确量化描述复杂的网络攻防博弈过程等问题。
6.本发明解决上述问题所采用的技术方案是：
7.一种求解网络攻防博弈精炼bne的方法，在量化网络攻防博弈过程中，将完全信息动态博弈的子博弈完美纳什均衡与不完全信息静态博弈的贝叶斯纳什均衡结合，并考虑角色互换的情形，将精炼bne问题的求解转化为收益最大化问题的求解；其中，角色互换指攻击方变为防御方，或，防御方变为攻击方。
8.作为一种优选的技术方案，包括以下步骤：
9.s1，海萨尼转换：将不完全信息动态博弈转换成完全但不完美信息动态博弈，把攻防双方之外的局中人加入进来，对攻击方和防御方确立不同类型，并且给予局中人的每一种类型一个概率分布；
10.s2，场景概率定义：定义不完全信息动态博弈网络攻防场景中的边缘概率和条件概率，具体定义方法为：定义局中人选择行动的边缘概率p(a
ih
)，进而基于贝叶斯定律定义不完全信息动态博弈网络攻防场景中的条件概率p(θ
ik
|a
ih
)；其中，i表示局中人编号，h表示局中人可能的行动的数量，k表示局中人可能的类型编号，1≤k≤k，k表示局中人可能的类型数量，a
ih
表示局中人i的某个行动，θ
ik
表示局中人i的某个类型，p(a
ih
)表示局中人i选择a
ih
的边缘概率，p(θ
ik
|a
ih
)表示给定a
ih
的情况下i属于类型θ
ik
的概率；
11.s3，条件及假设定义：给出不完全信息动态博弈精炼bne的条件及假设的定义；
12.s4，收益量化定义：对于攻击者、防御者的角色互换的情形，将攻击者或防御者在整个攻防博弈过程中的收益量化为不同角色互换阶段的收益之和；其中，角色互换阶段的数量记为l；
13.s5，不完全信息动态博弈精炼bne定义：根据步骤s2的场景概率定义、步骤s3的条件及假设定义、步骤s4的收益量化定义，给出不完全信息动态博弈精炼bne的定义。
14.作为一种优选的技术方案，步骤s2中，
[0015][0016]
其中，p(a
ih
|θ
ik
)表示i属于类型θ
ik
的情形下i选择a
ih
的条件概率，p(θ
ik
)表示i属于类型θ
ik
的先验概率。
[0017]
作为一种优选的技术方案，步骤s2中，
[0018]
局中人的类型独立分布；
[0019]
i属于类型θ
ik
的先验概率是p(θ
ik
)≥0，
[0020]
i属于类型θ
ik
且i选择a
ih
的条件概率是
[0021]
作为一种优选的技术方案，步骤s3中，不完全信息动态博弈精炼bne的条件包括：
[0022]
(1)在每一个信息集上，决策者必须有一个定义在属于该信息集的所有决策结上的一个概率分布；
[0023]
(2)给定该信息集上的概率分布和其他局中人的后续策略，局中人的行动必须是最优的；
[0024]
(3)不同角色阶段的攻击者或防御者的收益是相互独立的；
[0025]
(4)根据贝叶斯定律和均衡策略修正每一个局中人的后验概率。
[0026]
作为一种优选的技术方案，不完全信息动态博弈精炼bne的条件包括：
[0027]
设有n个局中人参与博弈，局中人i的类型是θi∈θi；其中，θi是私有信息，θi是局中人i的类型空间；
[0028]
p(θ-i
|θi)是类型为θi的局中人i认为其他n-1个局中人类型为θ-i
＝(θ1，...，θ
i-1
，θ
i+1
，...，θn)的先验概率；
[0029]
si(θi)是类型为θi的局中人i的策略集；其中，si∈si(θi)是局中人i采取的某一个具体策略；
[0030]
a-ih
＝(a
1h
，...，a
(i-1)h
，a
(i+1)h
，...a
nh
)是：在第h
th
个信息集中，局中人i观察到的其他n-1个局中人的动作集；a-ih
属于策略集s-i
＝(s1，...，s
i-1
，s
i+1
，...，sn)的一部分，a-ih
由s-i
规定的动作；
[0031]
是：局中人i在观察到动作a-ih
后，认为其他n-1个局中人属于类型θ-i
的后验概率，
[0032]
ui(si，s-i
，θi)是局中人i的支付函数。
[0033]
作为一种优选的技术方案，步骤s5中，不完全信息动态博弈精炼bne的定义为：
[0034]
精炼bne是一个最优策略集合和一个后验概率的组合；其中，分别表示局中人1，
…
，局中人n的最优策略，分别表示局中人1，...，局中人n的后验概率。
[0035]
作为一种优选的技术方案，不完全信息动态博弈精炼bne的定义满足如下条件：
[0036]
精炼条件：
[0037]
对每一个局中人i和每一个信息集h都有：
[0038][0039]
其中，表示局中人i的具体最优策略，表示局中人i之外的其他局中人的最优策略集合；其中，局中人i的具体最优策略指：在考虑局中人i的类型及其他局中人的最优策略集合的情况下，局中人i采用的某一个最优策略。
[0040]
作为一种优选的技术方案，不完全信息动态博弈精炼bne的定义满足如下条件：
[0041]
信念条件：
[0042]
根据贝叶斯定律，由先验概率pi(θ-i
|a-ih
)、观测到的a-ih
、最优策略得到
[0043]
一种求解网络攻防博弈精炼bne的系统，用于实现所述的一种求解网络攻防博弈精炼bne的方法，包括以下模块：
[0044]
海萨尼转换模块：用以，将不完全信息动态博弈转换成完全但不完美信息动态博弈，把攻防双方之外的局中人加入进来，对攻击方和防御方确立不同类型，并且给予局中人的每一种类型一个概率分布；
[0045]
场景概率定义模块：用以，定义不完全信息动态博弈网络攻防场景中的边缘概率和条件概率，具体定义方法为：定义局中人选择行动的边缘概率p(a
ih
)，进而基于贝叶斯定律定义不完全信息动态博弈网络攻防场景中的条件概率p(θ
ik
|a
ih
)；其中，i表示局中人编号，h表示局中人可能的行动的数量，k表示局中人可能的类型编号，1≤k≤k，k表示局中人可能的类型数量，a
ih
表示局中人i的某个行动，θ
ik
表示局中人i的某个类型，p(a
ih
)表示局中人i选择a
ih
的边缘概率，p(θ
ik
|a
ih
)表示给定a
ih
的情况下i属于类型θ
ik
的概率；
[0046]
条件及假设定义模块：用以，给出不完全信息动态博弈精炼bne的条件及假设的定
义；
[0047]
收益量化定义模块：用以，对于攻击者、防御者的角色互换的情形，将攻击者或防御者在整个攻防博弈过程中的收益量化为不同角色互换阶段的收益之和；其中，角色互换阶段的数量记为l；
[0048]
不完全信息动态博弈精炼bne定义模块：用以，根据场景概率定义模块输出的场景概率定义、条件及假设定义模块输出的条件及假设定义、收益量化定义模块输出的收益量化定义，给出不完全信息动态博弈精炼bne的定义；
[0049]
海萨尼转换模块的输出端与场景概率定义模块的输入端、条件及假设定义模块的输入端、收益量化定义模块的输入端分别连接，场景概率定义模块的输出端、条件及假设定义模块的输出端、收益量化定义模块的输出端分别与不完全信息动态博弈精炼bne定义模块的输入端连接。
[0050]
本发明相比于现有技术，具有以下有益效果：
[0051]
(1)建模过程中考虑不完全信息动态网络攻防博弈中的“角色变换”的情况，与其他相似模型相比，该方法更适合于实际的攻防场景；
[0052]
(2)对于完全信息动态博弈，考虑了防御者类型的不确定性；针对不完全信息静态博弈，该方法还考虑了攻击者和防御者行为的异步性；特别是在历史统计数据的基础上，利用对防御者类型先验概率的修正来获取对攻防博弈演化和最终精炼bne至关重要的防御者类型的动态信息；
[0053]
(3)由于不存在特定的攻击技术或策略的限制，因此该方法的可扩展性和通用性优于其他类似的模型；同时，该方法将纳什问题的求解转化为收益最大化(reward)问题，将其视为博弈论中的优化问题，为从优化的角度求解纳什问题提供了新的思路。
附图说明
[0054]
图1为本发明所述的一种求解网络攻防博弈精炼bne的方法的步骤流程图；
[0055]
图2为以一个真实的渗透测试用例的拓扑图；
[0056]
图3为根据本发明获得的目标服务器的博弈树示意图；
[0057]
图4为根据本发明获得目标服务器的root权限截屏图之一；
[0058]
图5为根据本发明获得目标服务器的root权限截屏图之二。
具体实施方式
[0059]
下面结合实施例及附图，对本发明作进一步的详细说明，但本发明的实施方式不限于此。
[0060]
实施例1
[0061]
如图1至图5所示，本发明公开了一种求解网络攻防博弈精炼贝叶斯纳什均衡(精炼bne,不完全信息动态博弈的均衡称之为精炼贝叶斯均衡)的通用方法，以解决不完全信息动态网络攻防博弈中的精炼bne的求解问题。特别是，近年来在实际网络攻防博弈过程中，攻击方和防御方往往会出现“攻防角色互换”的情况。因此，有必要将这种“攻防角色互换”的情况考虑到网络攻防博弈建模过程中，以更加准确地描述攻防博弈过程。本方法立足于攻击者角度，将完全信息动态博弈的子博弈完美纳什均衡与不完全信息静态博弈的贝叶
斯纳什均衡进行深度结合，最终，将纳什均衡问题转变为收益最大化的优化问题进行求解。
[0062]
本发明立足于实际攻防场景，以攻击者视角，将“攻防角色互换”情形考虑进攻防建模过程，通过将完全信息动态博弈的子博弈完美纳什均衡与不完全信息静态博弈的贝叶斯纳什均衡深度结合，解决不完全信息动态博弈的贝叶斯精炼纳什均衡，以量化复杂的网络攻防博弈。本发明并不是针对某种或某一类特定场景，而是着眼于今年实际攻防博弈过程中的特性，提出一种通用性的量化方法，实现简单而有效，这对于理论研究和工业需求都具有重要实践意义。
[0063]
针对现有技术存在的问题和需求，本发明提供了一种求解网络攻防博弈精炼bne的方法，旨在量化网络攻防博弈过程，从优化问题的角度更准确地描述网络攻防博弈过程，从而解决攻击策略的选择问题。
[0064]
本发明采用的技术方案是：
[0065]
一种求解网络攻防博弈精炼bne的方法，该方法包括以下步骤：
[0066]
步骤s1：首先通过海萨尼转换(harsanyi转换)，将不完全信息动态博弈转换成完全但不完美信息动态博弈，需要把攻防双方之外的局中人“自然”加入进来；“自然”对攻击方和防御方确立不同类型，并且给予局中人的每一种类型一个概率分布；其中，不完全信息博弈指所有局中人没有完全知晓有关博弈局势的知识，包括其他局中人的所有策略信息、行动信息、支付函数信息、目标系统的基本结构与功能等；不完美信息博弈指局中人在做决策时已知晓且记忆住其他局中人当前或之前的决策信息；
[0067]
步骤s2：定义局中人选择行动的边缘概率p(a
ih
)，进而基于贝叶斯定律定义不完全信息动态博弈网络攻防场景中的条件概率p(θ
ik
|a
ih
)；
[0068]
步骤s3：给出不完全信息动态博弈精炼bne的条件及假设的定义；
[0069]
步骤s4：对于“角色转换”的情形，攻击者或防御者在整个攻防博弈过程中的收益可以量化为不同阶段的收益之和，其中转变阶段的数量记为l；
[0070]
步骤s5：根据步骤s2-s4，给出不完全信息动态博弈精炼bne的定义。
[0071]
本发明考虑到实际攻防场景中，攻击者-防御者的“角色互换”问题，以及现有方法无法量化的问题，因此，通过将完全信息动态博弈的子博弈完美纳什均衡与不完全信息静态博弈的贝叶斯纳什均衡深度结合，提出一种通用性的量化方法，解决不完全信息动态博弈的贝叶斯精炼纳什均衡问题。
[0072]
更具体地，包括以下步骤：
[0073]
步骤s1：首先通过harsanyi转换(海萨尼转换)，将不完全信息动态博弈转换成完全但不完美信息动态博弈，需要把攻防双方之外的局中人“自然”加入进来。“自然”对攻击方和防御方确立不同类型，并且给予任何一个局中人在类型的都有一个概率分布。
[0074]
步骤s2：定义局中人选择行动的边缘概率p(a
ih
)，基于贝叶斯定律定义不完全信息动态博弈网络攻防场景中的条件概率p(θ
ik
|a
ih
)。
[0075]
在不完全信息动态博弈中，假设：(1)局中人的类型独立分布；(2)局中人i有k个可能的类型，有h个可能的行动；(3)用θ
ik
和a
ih
分别代表局中人i的一个特定类型和一个特定行动；(4)i属于类型θ
ik
的先验概率是p(θ
ik
)≥0，(5)i属于类型θ
ik
，i选择a
ih
的条件概率是p(a
ih
|θ
ik
)，则，i选择a
ih
的边缘概率为
[0076][0077]
由上式可知，局中人i选择行动a
ih
的“总概率”是每一种类型的i选择a
ih
的条件概率p(a
ih
|θ
ik
)的加权平均，权值是每种类型的先验概率p(θ
ik
)。设观测到i选择了行动a
ih
，i属于类型θ
ik
的后验概率，即给定a
ih
的情况下i属于类型θ
ik
的概率，为p(θ
ik
|a
ih
)。此外，有
[0078]
p(a
ih
，θ
ik
)≡p(a
ih
|θ
ik
)p(θ
ik
)≡p(θ
ik
|a
ih
)p(a
ih
)，
[0079]
即i属于类型θ
ik
并选择行动a
ih
的联合概率等于先验概率p(θ
ik
)乘以类型为θ
ik
并选择行动a
ih
的概率；或者等于选择行动a
ih
的总概率乘以选择行动a
ih
情况下的后验概率。则有
[0080][0081]
步骤s3：给出不完全信息动态博弈精炼bne的条件及假设。
[0082]
通过以上分析，本发明的目的是求解完全信息动态博弈中的子博弈完美纳什均衡，和不完全信息静态博弈中的贝叶斯纳什均衡，即处理完全但不完美动态博弈中的精炼bne。精炼bne是selten完全信息动态博弈的子博弈完美纳什均衡和harsanyi不完全信息静态博弈的深度结合，需要满足以下四个条件：(1)在每一个信息集上，决策者必须有一个定义在属于该信息集的所有决策结上的一个概率分布(信念)；(2)给定该信息集上的概率分布和其他局中人的后续策略，局中人的行动必须是最优的；(3)不同角色阶段的攻击者或防御者的收益是相互独立的；(4)根据贝叶斯定律和均衡策略修正每一个局中人的后验概率。
[0083]
设有n个局中人参与博弈，局中人i的类型是θi∈θi，其中，θi是私有信息，θi是局中人i的类型空间；p(θ-i
|θi)是类型为θi的局中人i认为其他n-1个局中人类型为θ-i
＝(θ1，...，θ
i-1
，θ
i+1
，...，θn)的先验概率；si(θi)是类型为θi的局中人i的策略集，其中，si∈si(θi)是局中人i采取的某一个具体策略；a-ih
＝(a
1h
，...，a
(i-1)h
，a
(i+1)h
，...a
nh
)在第h
th
个信息集中，局中人i观察到的其他n-1个局中人的动作集，属于策略集s-i
＝(s1，...，s
i-1
，s
i+1
，...，sn)的一部分，即，由s-i
规定的动作；是局中人i在观察到动作a-ih
后，认为其他n-1个局中人属于类型θ-i
的后验概率，ui(si，s-i
，θi)是局中人i的支付函数(效用函数)。
[0084]
步骤s4：对于“角色转换”的情形，攻击者或防御者在整个攻防博弈过程中的收益可以量化为不同阶段的收益之和，其中转变阶段的数量记为l；
[0085]
步骤s5：根据步骤s2-s4，给出不完全信息动态博弈精炼bne的定义。
[0086]
不完全信息动态博弈精炼bne定义为
[0087]
精炼bne是一个最优策略组合和一个后验概率组合满足
[0088]
(1)对每一个局中人i和每一个信息集h都有
[0089][0090]
其中，上标*表示最优项。
[0091]
(2)是使用贝叶斯法则从先验概率pi(θ-i
|a-ih
)观测到的a-ih
和最优策略得到的(在可能的情况下)。
[0092]
在上述方法中：
[0093]
(1)称为精炼条件。给定其他局中人的最优策略和局中人i的后验概率每个局中人i的策略在所有从信息集h开始的后续博弈上都是最优的，或者说，所有局中人都是顺序理性的。这个条件是子博弈精炼纳什均衡在不完全信息动态博弈上的扩展，具体来说就是在完全信息动态博弈中，子博弈精炼纳什均衡要求均衡策略在每一个子博弈上构成纳什均衡；而在不完全信息动态博弈中，精炼bne要求均衡策略在每一个“后续博弈”上构成贝叶斯纳什均衡。
[0094]
(2)称为信念条件，是贝叶斯法则的应用。如果局中人是多次行动的，修正概率(信念的修正)需要重复应用贝叶斯法则。由于策略是一个行动规则，本身是不可观测，因此局中人i只能根据观测到的行动组合a-i
＝(a1，...，a
i-1
，a
i+1
，...an)修正概率，但他所观测到的行动却是最优策略规定的行动。限制条件“在可能的情况下”要求如果a-i
不是均衡策略下的行动，那么观测到的a-i
只是一个零概率事件，此时贝叶斯法则没有对后验概率进行定义。只要与均衡策略相符，任何的后验概率都是合理的。
[0095]
实施例2
[0096]
如图1至图5所示，作为实施例1的进一步优化，在实施例1的基础上，本实施例还包括以下技术特征：
[0097]
以下，结合一个针对web服务器的真实渗透攻击测试案例，从实践的角度说明本发明方法的具体应用过程。针对一个网站服务器模拟渗透攻击的案例中，通过信息收集了解到对应目标简化的网络拓扑如图1所示。
[0098]
该网络拓扑中，攻击者的威胁来自于互联网，防火墙的安全策略设置为允许互联网用户访问web服务器和ftp服务器。web服务器和ftp服务器可以对数据库服务器进行访问，但是，攻击者及外部网络用户无法直接访问到数据库服务器。渗透攻击的目标是通过一系列的攻击策略获取数据库服务器的最高控制权限。攻击者可以首先通过web服务器的脆弱性获取web服务器的控制权限，然后通过web服务器为跳板，最后获取数据库服务器的最高权限。或者，攻击者可以首先通过ftp服务器的脆弱性获取ftp服务器的控制权限，然后通过ftp服务器为跳板，最后获取数据库服务器的最高权限。为了更加有效简洁地说明该渗透攻击过程的博弈问题，仅对试图获取web服务器权限的过程进行博弈分析。攻击者在渗透攻击过程中不断的进行信息收集和网络探测，获取到的防御方的软硬件信息如表1所示；挖掘到该网络中的设备的漏洞信息如表2所示；对应的设备安全属性和重要性如表3所示。
[0099]
表1攻防双方的硬软件环境表
[0100]
[0101][0102]
表2目标设备漏洞信息表
[0103]
[0104][0105]
表3设备安全属性和重要性表
[0106][0107]
在攻击阶段中，防御方有“高防御成本”θ
11
，“低防御成本”θ
12
两种类型，攻击方只有一种类型θ
21
，即“高攻击成本”类型。首先攻击者认为对高防御和低防御类型防御者的先验信念为p(θ
11
)＝0.5，p(θ
12
)＝0.5。然后，攻击者根据信息收集，可以采取两种攻击策略：高攻击致命度策略(命令执行)为s
21
，低致命度策略(xss攻击)为s
22
，如表4所示。同时，防御者也存在两个策略：高操作代价策略(代码重构与补丁升级)为s
11
，低操作代价策略(防火墙丢弃可疑数据包)为s
12
，如表5所示。
[0108]
表4攻击者策略量化表
[0109][0110]
表5防御者策略量化表
[0111]
[0112][0113]
根据攻防双方策略量化表中对应的量化值，由收益函数公式计算得到防御方和攻击方在各种可能状况下的收益值。当防御者采用防御类型θ
11
，防御策略s
11
，攻击者采用攻击策略s
21
时的攻防收益如下：
[0114]
ar(θ
11
，s
11
，s
21
)＝sdc(s
21
)+dc(θ
11
，s
11
)-ac(θ
11
，s
21
)
[0115]
＝10
×4×
20+300-200＝900
[0116]
dr(θ
11
，s
11
，s
21
)＝sdc(s
21
)+ac(θ
11
，s
21
)-dc(θ
11
，s
11
)
[0117]
＝10
×4×
20+200-300＝700
[0118]
其中，ar(θ
1i
，s
1i
，s
2j
)与dr(θ
1i
，s
1i
，s
2j
)分别定义为攻击方与防御方收益，指攻击者进行攻击后所能获取到的收益及防御者转移攻击面系统资源获得的收益；sdc(.)为系统损失代价，指攻击者利用相应的资源对系统进行攻击时所造成损失；ac(.)为攻击成本，指攻击者在对攻击面进行探测和攻击时需要支付的成本；dc(.)为防御成本。同理可得采用其他攻防策略时攻防双方的收益，则，由本发明方法获得web服务器权限过程的博弈树如图3所示。
[0119]
如图3所示，在此次博弈中，防御方有4个纯策略：(s
11
，s
11
)，(s
11
，s
12
)，(s
12
，s
11
)，(s
12
，s
12
)。其中第1和第4个策略是混同策略(不同类型的防御者选择相同的策略)，而第2和第3个是分离策略(不同类型的防御者选择不同的策略)。(s
11
，s
11
)表示当“nature”分配类型θ
11
给防御方，防御方选择策略s
11
，当“nature”分配类型θ
12
给防御方，防御方选择策略s
11
。同理，攻击方也有4个纯策略：(s
21
，s
21
)，(s
21
，s
22
)，(s
22
，s
21
)，(s
22
，s
22
)，定义同理防御方。
[0120]
(1)对于防御策略(s
11
，s
11
)，防御者的均衡策略为s*(θ
11
)＝s*(θ
12
)＝s
11
，由图3知攻击方在左边用虚线连接的信息集处于均衡路径之上，得出后验概率则攻击方采取策略s
21
时的收益为：900
×
0.5+1000
×
0.5＝950。攻击者采取策略s
22
时的收益为：40
×
0.5+140
×
0.5＝90。因此，攻击者的最优策略是s*(s
11
)＝s
21
。此时，类型为θ
11
和θ
12
的防御者可得到的收益分别为700和600。为确认s*(θ
11
)＝s*(θ
12
)＝s
11
对防御者来说是最优的选择，模型需要通过检查防御者采取s
12
时的情形。如果防御方选择策略s
12
，攻击者能够观察到策略s
12
，此时，博弈如图3右边用虚线连接的信息集所示。如果攻击者对策略s
12
的反应为策略s
21
，则类型为θ
11
和θ
12
的防御者选择s
12
的收益分别是580和530，选择s
11
的收益分别是700和600，此时，类型为θ
11
和θ
12
的防御者都会选择策略s
11
，即高操作代价策略(代码重构与补丁升级)；如果攻击者对策略s
12
的反应为s22
，则类型θ
11
和θ
12
的防御者选择s
12
的收益分别是160和110，选择s
11
的收益分别是280和180。此时，类型为θ
11
和θ
12
的防御者依然会选择策略s
11
。除此之外，还需要考虑攻击方在s
12
时信息集的后验概率和同时，还需要考虑在该推断时选择策略s
21
是否能够达到最优。此时，攻击者选择s
21
的收益为
[0121][0122][0123]
相应的，攻击者选择s
22
的收益为
[0124][0125]
可知，对于任意的值都有攻击者会采取策略s
21
，所以为该博弈的混同bne。同理可得另外三个纯策略不能构成该博弈的bne，在此不作赘述。
[0126]
在此次渗透攻击过程中，通过对防御者行为的判断，不断修正该防御方采用低成本防御类型的概率，最终采用了策略s
21
，即cve-2017-9805(s2-052)漏洞对目标web服务器发起攻击。攻击结果如图4、图5所示，漏洞利用结果从1号红框中显示执行成功，从2号红框的输出可以看出成功实现了反弹shell，在本地进行了监听(listen)，并和外网地址成功进行了连接。
[0127]
值得注意的是，为了说明分析的简单性，本实例中角色互换阶段l＝1，且贝叶斯定律的定义和后验概率修正并未一一列出。
[0128]
本发明方法的特征：
[0129]
本发明的精炼bne是均衡策略和均衡信念的结合，即：给定信念策略是最优的；给定策略信念是使用贝叶斯法则从均衡策略和所观测到的行动得到的。因此，精炼bne是一个对应的不动点(fixed point of a correspondence)，即有由于精炼bne是一个不动点，后验概率与策略相互之间依赖。因此，用逆向归纳法求解精炼均衡的办法在不完全信息博弈中并不适用，原因在于如果不知道先行动者如何选择，就不知道后行动者应该如何选择。
[0130]
本发明具有3个方面的优势：
[0131]
(1)建模过程中考虑不完全信息动态网络攻防博弈中的“角色变换”的情况，与其他相似模型相比，该方法更适合于实际的攻防场景；
[0132]
(2)对于完全信息动态博弈，考虑了防御者类型的不确定性；针对不完全信息静态博弈，该方法还考虑了攻击者和防御者行为的异步性；特别是在历史统计数据的基础上，利用对防御者类型先验概率的修正来获取对攻防博弈演化和最终精炼bne至关重要的防御者
类型的动态信息；
[0133]
(3)由于不存在特定的攻击技术或策略的限制，因此该方法的可扩展性和通用性优于其他类似的模型；同时，该方法将纳什问题的求解转化为收益最大化(reward)问题，将其视为博弈论中的优化问题，为从优化的角度求解纳什问题提供了新的思路。
[0134]
如上所述，可较好地实现本发明。
[0135]
本说明书中所有实施例公开的所有特征，或隐含公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合和/或扩展、替换。
[0136]
以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，依据本发明的技术实质，在本发明的精神和原则之内，对以上实施例所作的任何简单的修改、等同替换与改进等，均仍属于本发明技术方案的保护范围之内。

技术特征：
1.一种求解网络攻防博弈精炼bne的方法，其特征在于，在量化网络攻防博弈过程中，将完全信息动态博弈的子博弈完美纳什均衡与不完全信息静态博弈的贝叶斯纳什均衡结合，并考虑角色互换的情形，将精炼bne问题的求解转化为收益最大化问题的求解；其中，角色互换指攻击方变为防御方，或，防御方变为攻击方。2.根据权利要求1所述的一种求解网络攻防博弈精炼bne的方法，其特征在于，包括以下步骤：s1，海萨尼转换：将不完全信息动态博弈转换成完全但不完美信息动态博弈，把攻防双方之外的局中人加入进来，对攻击方和防御方确立不同类型，并且给予局中人的每一种类型一个概率分布；s2，场景概率定义：定义不完全信息动态博弈网络攻防场景中的边缘概率和条件概率，具体定义方法为：定义局中人选择行动的边缘概率p(a
ih
)，进而基于贝叶斯定律定义不完全信息动态博弈网络攻防场景中的条件概率p(θ
ik
|a
ih
)；其中，i表示局中人编号，h表示局中人可能的行动的数量，k表示局中人可能的类型编号，1≤k≤k，k表示局中人可能的类型数量，a
ih
表示局中人i的某个行动，θ
ik
表示局中人i的某个类型，p(a
ih
)表示局中人i选择a
ih
的边缘概率，p(θ
ik
|a
ih
)表示给定a
ih
的情况下i属于类型θ
ik
的概率；s3，条件及假设定义：给出不完全信息动态博弈精炼bne的条件及假设的定义；s4，收益量化定义：对于攻击者、防御者的角色互换的情形，将攻击者或防御者在整个攻防博弈过程中的收益量化为不同角色互换阶段的收益之和；其中，角色互换阶段的数量记为l；s5，不完全信息动态博弈精炼bne定义：根据步骤s2的场景概率定义、步骤s3的条件及假设定义、步骤s4的收益量化定义，给出不完全信息动态博弈精炼bne的定义。3.根据权利要求2所述的一种求解网络攻防博弈精炼bne的方法，其特征在于，步骤s2中，其中，p(a
ih
|θ
ik
)表示i属于类型θ
ik
的情形下i选择a
ih
的条件概率，p(θ
ik
)表示i属于类型θ
ik
的先验概率。4.根据权利要求3所述的一种求解网络攻防博弈精炼bne的方法，其特征在于，步骤s2中，局中人的类型独立分布；i属于类型θ
ik
的先验概率是i属于类型θ
ik
且i选择a
ih
的条件概率是5.根据权利要求4所述的一种求解网络攻防博弈精炼bne的方法，其特征在于，步骤s3中，不完全信息动态博弈精炼bne的条件包括：(1)在每一个信息集上，决策者必须有一个定义在属于该信息集的所有决策结上的一个概率分布；(2)给定该信息集上的概率分布和其他局中人的后续策略，局中人的行动必须是最优的；
(3)不同角色阶段的攻击者或防御者的收益是相互独立的；(4)根据贝叶斯定律和均衡策略修正每一个局中人的后验概率。6.根据权利要求5所述的一种求解网络攻防博弈精炼bne的方法，其特征在于，不完全信息动态博弈精炼bne的条件包括：设有n个局中人参与博弈，局中人i的类型是θ
i
∈θ
i
；其中，θ
i
是私有信息，θ
i
是局中人i的类型空间；p(θ-i
|θ
i
)是类型为θ
i
的局中人i认为其他n-1个局中人类型为θ-i
＝(θ1，...，θ
i-1
，θ
i+1
，...，θ
n
)的先验概率；s
i
(θ
i
)是类型为θ
i
的局中人i的策略集；其中，s
i
∈s
i
(θ
i
)是局中人i采取的某一个具体策略；a-ih
＝(a
1h
，...，a
(i-1)h
，a
(i+1)h
，...a
nh
)是：在第h
th
个信息集中，局中人i观察到的其他n-1个局中人的动作集；a-ih
属于策略集s-i
＝(s1，...，s
i-1
，s
i+1
，...，s
n
)的一部分，a-ih
由s-i
规定的动作；是：局中人i在观察到动作a-ih
后，认为其他n-1个局中人属于类型θ-i
的后验概率，u
i
(s
i
，s-i
，θ
i
)是局中人i的支付函数。7.根据权利要求6所述的一种求解网络攻防博弈精炼bne的方法，其特征在于，步骤s5中，不完全信息动态博弈精炼bne的定义为：精炼bne是一个最优策略集合和一个后验概率的组合；其中，分别表示局中人1，...，局中人n的最优策略，分别表示局中人1，...，局中人n的后验概率。8.根据权利要求7所述的一种求解网络攻防博弈精炼bne的方法，其特征在于，不完全信息动态博弈精炼bne的定义满足如下条件：精炼条件：对每一个局中人i和每一个信息集h都有：其中，表示局中人i的具体最优策略，表示局中人i之外的其他局中人的最优策略集合；其中，局中人i的具体最优策略指：在考虑局中人i的类型及其他局中人的最优策略集合的情况下，局中人i采用的某一个最优策略。9.根据权利要求7或8所述的一种求解网络攻防博弈精炼bne的方法，其特征在于，不完全信息动态博弈精炼bne的定义满足如下条件：信念条件：根据贝叶斯定律，由先验概率p
i
(θ-i
|a-ih
)、观测到的a-ih
、最优策略得到10.一种求解网络攻防博弈精炼bne的系统，其特征在于，用于实现权利要求1至9任一项所述的一种求解网络攻防博弈精炼bne的方法，包括以下模块：海萨尼转换模块：用以，将不完全信息动态博弈转换成完全但不完美信息动态博弈，把
攻防双方之外的局中人加入进来，对攻击方和防御方确立不同类型，并且给予局中人的每一种类型一个概率分布；场景概率定义模块：用以，定义不完全信息动态博弈网络攻防场景中的边缘概率和条件概率，具体定义方法为：定义局中人选择行动的边缘概率p(a
ih
)，进而基于贝叶斯定律定义不完全信息动态博弈网络攻防场景中的条件概率p(θ
ik
|a
ih
)；其中，i表示局中人编号，h表示局中人可能的行动的数量，k表示局中人可能的类型编号，1≤k≤k，k表示局中人可能的类型数量，a
ih
表示局中人i的某个行动，θ
ik
表示局中人i的某个类型，p(a
ih
)表示局中人i选择a
ih
的边缘概率，p(θ
ik
|a
ih
)表示给定a
ih
的情况下i属于类型θ
ik
的概率；条件及假设定义模块：用以，给出不完全信息动态博弈精炼bne的条件及假设的定义；收益量化定义模块：用以，对于攻击者、防御者的角色互换的情形，将攻击者或防御者在整个攻防博弈过程中的收益量化为不同角色互换阶段的收益之和；其中，角色互换阶段的数量记为l；不完全信息动态博弈精炼bne定义模块：用以，根据场景概率定义模块输出的场景概率定义、条件及假设定义模块输出的条件及假设定义、收益量化定义模块输出的收益量化定义，给出不完全信息动态博弈精炼bne的定义；海萨尼转换模块的输出端与场景概率定义模块的输入端、条件及假设定义模块的输入端、收益量化定义模块的输入端分别连接，场景概率定义模块的输出端、条件及假设定义模块的输出端、收益量化定义模块的输出端分别与不完全信息动态博弈精炼bne定义模块的输入端连接。

技术总结
本发明涉及网络攻防博弈技术领域，公开了一种求解网络攻防博弈精炼BNE的方法及系统，该方法，在量化网络攻防博弈过程中，将完全信息动态博弈的子博弈完美纳什均衡与不完全信息静态博弈的贝叶斯纳什均衡结合，并考虑角色互换的情形，将精炼BNE问题的求解转化为收益最大化问题的求解；其中，角色互换指攻击方变为防御方，或，防御方变为攻击方。本发明解决了现有技术存在的难以准确量化描述复杂的网络攻防博弈过程等问题。攻防博弈过程等问题。攻防博弈过程等问题。


技术研发人员：廖珊 张玲 毛得明 陈剑锋 孙治 和达 王一凡 何秉钧
受保护的技术使用者：中国电子科技网络信息安全有限公司
技术研发日：2023.05.06
技术公布日：2023/8/13