基于Markov博弈模型的网络安全态势感知方法.pdf

《基于Markov博弈模型的网络安全态势感知方法.pdf》由会员分享，可在线阅读，更多相关《基于Markov博弈模型的网络安全态势感知方法.pdf（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、软件学报ISSN 10009825，CODEN RUXUEWJournalofSoftaye，2011,22(3)：495-508【doi：103724SELl001201103751】中国科学院软件研究所版权所有基于Markov博弈模型的网络安全态势感知方法幸张勇+，谭小彬，崔孝林，奚宏生(中国科学技术大学自动化系，安徽合肥230027)E-mail：josiiscasaccnhttp：wwwjosorgcnTelFax：+861062562563Network Security Situation Awareness Approach Based on Markov Game ModelZ

2、HANG Yong+，TAN XiaoBin，CUI Xiao-Lin,XI Hong-一Sheng(Departmaat of Automation，University of Science and Technology of China，Hefei 230027，Chimf)+Corresponding author：Email：jz矗angzmailustceduenZhang Y，Tan XB，Cui XL，Xi HSNetwork security situation awareness approach based on Markov gamemodelJournal ofSof

3、tware,2011，22(3)：495-508http：wwwjosorgcn1000-98253751htmAbstract：To analyze the influence of propagation on a network system and accurately evaluate system security,this paper proposes an approach to improve the awareness of network security,based on the Markov Game ModelIIMGM)This approach gains a

4、standard data of assets，threats，and vulnerabilities via fusing a variety of systemsecurity data collected by multi一sensorsFor every threat，it analyzes the rule of propagation and buiMs a threatpropagation network(TPN)By using the Game Theory to analyze the behaviors of threats，administrators，andordi

5、nary users，it establishes a three player MGMIn order to make the evaluation process a real-time operation，itoptimizes the related algorithmThe MGM carl dynamically evaluate system security situation and provide the bestreinforcement schema for the administratorThe evaluation of a specific network in

6、dicates that the approach issuitable for a real network environment，and the evaluation result is precise and efficientThe reinforcement schemaCan effectively curb the propagation of threatsKey words：network security situation awareness；threat propagation network；Markov game modelI摘要： 为了分析威胁传播对网络系统的影

7、响，准确全面地评估系统的安全性，并给出相应的加固方案，提出一种基于Markov博弈分析的网络安全态势感知方法通过对多传感器检测到的安全数据进行融合，得到资产、威胁和脆弱性的规范化数据；对每个威胁，分析其传播规律，建立相应的威胁传播网络；通过对威胁、管理员和普通用户的行为进行博弈分析，建立三方参与的Markov博弈模型，并对相关算法进行优化分析，使得评估过程能够实时运行Markov博弈模型能够动态评估系统安全态势，并为管理员提供最佳的加固方案通过对具体网络的测评分析表明，基于Markov博弈分析的方法符合实际应用，评估结果准确、有效，提供的加固方案可有效抑制威胁的扩散关键词： 网络安全态势感知；

8、威胁传播网络；Markov博弈模型中图法分类号：TP393 文献标识码：A随着网络结构的日趋庞杂和各种新型攻击手段的大量涌现，网络安全问题越来越严峻，网络安伞技术也在不断变革，从传统的入侵阻止、入侵检测发展到入侵容忍、可生存性研究，从关注信息的保密性发展到关注信基金项目：国家高技术研究发展计划(863)(2006从Olz449)；中国博士后科学基金资助项|(20070420738)收稿时间：200906-24；定稿时间：200910-10万方数据Journal of Software软件学报V0122，No3，March 201 1息的可用性和服务的可持续性，从关注单个安全问题的解决发展到研究

9、网络的整体安全状况及变化趋势，网络安全态势感知(network security situation awareness简称NSSA)成为下一代安全技术的焦点NSSA起源于态势感知(situation awareness，简称SA)。指对网络安全要素进行获取、理解、显示以及预测未来的发展趋势1988年，Endsley将sA定义为感知在一定时间和空间环境中的元素，包括它们现在的状况和它们未来的发展趋势【l】，SA广泛用于商业领域、军事战场、空中交通监管(air traffic control，简称ATC)和医疗应急调度等领域1999年，Bass首次提出了网络态势感知(NetSA)的概念，将ATC

10、态势感知中成熟的模型和技术应用到NetSA2J,并首次给出NetSA的概念模型【31对NSSA的相关研究主要集中在以下3个方面：从网络连接可视化的角度，将网络连接状态以可视化视图的方式呈现出来，安全管理人员据此判断网络是否受到威胁Lau等人设计了三维网络流量检测工具spinning cube41，以点的形式表示单个网络连接，以三维立方体显示整个网络的连接状况SIFT项目组研制了两种可视化工具NVisionlP51和visFlowConnect【61，以NetFlow审计日志为数据源显示刚络连接状况和网络流量CAIDA开发了网络可视化工具AS11。以极坐标的方式显示网络中的连接这些方法对网络状况

11、提供了直观的表示，为安全管理员的分析提供很多便利，但都是基于对系统日志的分析，数据来源单一，实时性较差，并且评估结果过多的依赖管理员的经验，尤其当网络连接很多时，很难判断系统是否遭受攻击从层次化分析的角度比较有代表性的是陈秀真等人提出的层次化网络安全态势量化评估方法【101该方法利用IDS海量报警信息和网络性能指标，结合服务、主机本身的重要性及网络系统的组织结构，采用自下而上、先局部后整体的评估策略，将网络分为服务、主机，系统进行分层计算；最后，综合分析得到网络安全态势图，并有集成化的系统实现，具有很好的理论和实用价值但是，该方法的数据来源仅有系统IDS报警数据，在量化评估算法中很多地方都是采

12、用加权分析方法，具有一定的主观性，还需要实际检验从数据融合的角度对NSSA研究较为广泛和深入，出现了很多数据融合模型，比较有影响力的是Steinberg等人提出的JDL(joint directorS laboratories)数据融合模型【81JDL提供的逻辑融合框架，将数据融合过程分为数据精炼、对象精炼、态势精炼、影响评估和过程精炼Endslay从人类感觉的视角提出了与JDL不同的态势感知模型【引，将态势感知过程分为感知、理解和预测这两种数据融合模型被广泛应用在网络安全态势感知领域，为后续的研究提供了理论指导Bass提出了基于分布式多传感器数据融合的网络态势感知【21，给出下一代入侵检测系

13、统框架，为后续的研究提供了指导该方法的缺点是，当网络系统很复杂时，威胁和传感器的数量以及数据流变得非常巨大而使得模型不可控制此外，国内在Bass的态势感知概念模型和JDL数据融合模型的基础上，对NSSA的算法进行了一系列的研究何伟等人提出的基于脆弱性分析的网络态势感知I】、赵国生等人提出的基于灰色关联分析的网络可生存性态势评估方法【l 2】等等这些研究火都停留在评估算法的研究上，很少有成型的系统实现，并且数据来源和安全要素的考虑比较单一本文在态势感知概念模型的基础上，提出了一种基于Markov博弈分析的网络安全态势感知模型及其实现方法综合考虑威胁传播、管理员实施安全措施和普通用户行为的影响，准

14、确全面地评估系统当前的安全状态，给出管理员最佳的应对措施本文的目的在于：通过对威胁传播的分析，建立安全态势量化评估的Markov博弈模型，给出态势评估算法，动态评估当前时刻系统的安全态势，并给出最佳加固方案I 网络安全态势感知模型II网络安全态势感知系统框架网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势【”JNSSA是在大规模网络环境中，对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势NSSA需要考虑多方因素：首先，数据来源要全面和丰富，包括网络结构、资产、脆弱性、威胁等数据；其次，态势感知过程要简洁和客观，尽可能

15、地实现自动化和满足实时性；最后。态势感知结果要到深度广度兼备，满足多种用户需求，提供加固方案给管理员以提高系统安全性本文在态势感知概念模型基础上，结合数据融合的思想，给出了如图l所示的NSSA系统框梨14】万方数据张勇等：基于Markov博弈模型的网络安全态势感知方法Fig1 Framework ofNSSA图l NSSA系统框架497该框架通过多传感器检测网络系统的各种安全信息，根据态势感知模型评估系统的安全态势及其变化趋势，并给出安全加固方案，主要包括以下几个模块：(1)数据采集：通过多传感器监测网络系统的运行状况，检测大量的原始安全数据；(2) 态势理解：采用规范化分析、冗余检测和冲突检

16、测等方法，分析原始数据，得到规范化的数据集；(3)态势评估：采用态势评估算法，分析态势理解模块的数据，定量描述系统的安全态势；(4) 态势预测：采用态势预测算法，分析态势的变化规律，预测系统安全态势变化趋势；(5)加固方案生成：分析系统最薄弱的节点，给出加固方案，指导管理员提高系统安全性I2威胁传播分析网络系统的各个节点相互连接，当系统中某个节点被成功攻击后，威胁可以传播到与该节点相关联的其他节点，从而使这些节点遭受安全威胁因此，在进行态势感知时不能仅静态考虑系统节点安全状况，还需对威胁传播及其影响进行动态分析张永铮等人提出了用于风险评估的风险传播模型【”】，考虑了风险传播带来的潜在风险，其实

17、质是分析威胁的传播对风险的影响本文在针对不同威胁分析其传播规律，并结合相关的脆弱性分析对相关资产和相关传播链路的影响，提出威胁传播网络的概念121相关概念定义1(资产)对系统有价值的资源，单个资产用Asset=(ida，namea，type。，valuea，岛)表示其中，忱为资产标识，namea为资产名称，typea为资产类型，value。为资产价值，岛资产性能利用率资产的类型包括主机、服务器、路由器、网关、防火墙、IDS等；资产价值表示资产的重要程度。包含资产保密性价值、完整性价值、可用性价值，是一个向量结构，与资产的类型、资产提供的服务、资产所在主机的性能、资产所在的网络位置等凶素相关Il

18、q；资产的性能利用率是资产所在主机的内存、CPU、可支持连接数等性能的利用率的综合加权，分5个等级随着等级的增长，性能利用率指数增长定义2(威胁)对资产造成损害的外因，单个威胁用Threat=(idt，name。type，ida，idv护，)表示其中，弛为威胁标识，name，为威胁名称，type，为威胁类型，f以为威胁所在资产的标识，斌为威胁利用的脆弱性的标识沪，为威胁发生概率威胁的类型包括病毒、蠕虫、木马等恶意代码和网络攻击，根据对系统的损害方式将威胁分为两类：一类威胁是占网络资源少的威胁，包括木马、病毒和网络攻击等，对系统节点的保密性、完整性和可用性均有影响，对网络带宽的影响忽略不计；二类

19、威胁是大量耗费系统资源的威胁，以蠕虫和DDoS攻击为代表，主要对系统的可用性造成影响威胁发生的概率表示威胁发生的可能性，在某个资产上，对已检测到的威胁该值为l；对已检测到某脆弱性但未检测到利用该脆弱性的威胁，根据威胁等级的定义【16】，认为该威胁以P，概率发生定义3(脆弱性)可以被威胁利用的薄弱环节，单个脆弱性用Vul=(斌，name。，type，ida，id,p，肋表示其中，斌为脆弱性的标识，name，为脆弱性名称，type，为脆弱性类型，池为脆弱性所在资产的标识，弛为利用该脆弱性的威万方数据498 Journal of Software软件学报V0122，No3March 201 1胁的标

20、识，p，为脆弱性被利用的可能性，a为脆弱性的影响脆弱性的类型包括管理配置脆弱性、漏洞等；脆弱性被利用的可能性表示脆弱性被利用的难易程度，在某个资产上，如果枪测到某脆弱性，认为该脆弱性以P，的概率被相应威胁成功利用；脆弱性的影响表示该脆弱性引发的安全事件对资产价值的影响，是一个向量结构，包含对资产保密性价值、完整性价值和可用性价值的影响通过对检测数据的融合，得到系统中所有的资产、威胁和脆弱性数据，构成资产集合、威胁集合和脆弱性集合122威胁传播网络对于威胁集合的每个威胁f，如果某个网络节点存在厶则t可以通过网络传播到与该节点相邻的其他节点根据资产集合、脆弱性集合和网络结构信息，首先确定t的分布状

21、态，即每个节点是否存在f，是否存在t利用的脆弱性，t通过每条路径传播的概率；然后分析t可能的转播路径和系统的变化状态威胁的分布状态用威胁传播节点表示，威胁下一步可能的转播方向用威胁传播路径表示定义4(威胁传播节点)系统中受威胁影响的节点，包括已经被攻击或可能被攻击的节点，用Node=(id=，valuea,p,，颤vz)表示其中，f以为该节点对应资产的标识，value。为该节点对应资产的价值，岛为该节点对应资产的性能利用率，tr表示该节点是否存在威胁，1，表示该节点是否存在威胁利用的脆弱性定义5(威胁传播路径)系统中传播威胁的链路，用有向边Path=(id,。，玩西value,，展拂)表示其中

22、：以。为路径源节点资产ID；玩d为路径目的节点资产ID；value。为路径价值；岛指路径被切断后对系统造成的损失，是路径带宽利用率，与资产的性能利用率类似，分为5个等级；以表示威胁通过该路径成功扩散的概率，分为5个等级，每提高一个等级，威胁成功传播概率线性增加定义6(威胁传播网络(threats propagation network，简称TPN)单个威胁t的TPN包含t所有的传播节点和传播路径，用TPN(t)=Nodes，Paths表示,Nodes为威胁传播节点集，尸口b为威胁传播路径集威胁传播节点集包含系统所有受t影响的资产，可以设置包含系统所有资产；威胁传播路径集包含系统所有可以传播t的

23、链路，可以设置包含系统所有链路根据这两个集合建立t的传播网络，t的一步行为指t通过威胁传播网络，以一定的概率传播到当前被感染节点的邻居节点每个威胁通过与之对应的威胁传播网络一步一步地传播到系统其他部分13网络安全态势感知流程根据图I给出的NSSA系统框架，给出如图2所示的NSSA流程，态势感知过程分为两部分：基于Markov博弈分析的态势量化评估和基于时间序列分析的态势预测态势量化评估部分是态势感知的核心首先，数据采集模块检测的安全数据被融合归类到资产集合、威胁集合、脆弱性集合和网络结构信息，这些数据以规范化数据集的格式保存在数据库中。可以被实时地存取和修改；接着，对威胁集合中的每个威胁建立T

24、PN；然后，对威胁、管理员和普通用户的行为进行Markov博弈分析，评估单个威胁的保密性态势，并给出最佳加固方案；最后，对威胁集合中的所有威胁的保密性态势综合分析评估出系统保密性态势；以同样的方法评估系统完整性态势和系统可用性态势，根据不同的应用背景和需求，对保密性、完整性、可用性态势加权，评估整个系统当前状态的安全态势态势预测部分以态势评估结果为基础系统在不同时刻安全态势彼此相关，可以利用这种相关性分析态势变化规律对系统安全态势进行预测有很多预测方法，比如神经网络、模糊数学、灰色理论等等在此，采用时间序列分析方法【14】刻画不同时刻安全态势的前后依赖关系万方数据张勇等：基于Markov博弈模

25、型的网络安全态势感知方法偈崾。曲ree曲ast“ing(Time刚es锄l，si功 。 、删型霉睁Damagesu咬m)_Markovgamemodel1(他舞。H叵)o面_)耍习J 、ats (，Nodes Npropnetwork痂l-atll$jI=二百赫矗r)一埋)(竺0(叫Vuk到Fig2 Process of NSSA图2 NSSA流程2基于Markov博弈分析的态势评估49921 Markov博弈模型的建立博弈论是研究决策者在决策主体各方相互作用下如何进行决策的理论，每个决策主体在考虑其他参与者的反应后选择行动方案【111Markov决策过程(MDP)是指决策者根据每个时刻观察到

26、的状态，从可用的行为集合中选用行为的过程系统下一步的状态是随机的，状态转移概率具有Markov性，即下一时刻的状态只与当前时刻相关【l 81Markov博弈是由博弈论和MDP综合而来，综合考虑多个参加者的决策博弈分析方法被广泛用于网络安全性分析，比如，Sallhammar等人采用博弈模型对攻击者意图进行分析【19】，DanShen等人采用Markov博弈模型进行网络安全态势感知和对攻击效果分析f20】等等这些研究仅对安全态势的某一侧面进行定性分析，在具体实施时很难操作我们在文献21】中采用两角色Markov博弈分析的方法进行风险评估，考虑了攻防双方的行为对风险的影响，动态地分析威胁的潜在风险，

27、在分析攻击方的行为时，仅考虑威胁自由扩散的特殊情况，并且没有考虑普通用户行为的影响本文对威胁集合中每个威胁t建立如下的Markov博弈模型：(1)博弈三方：攻击方以威胁的形式存在，通过威胁传播对系统造成损害；防守方以管理员为代表，通过实施加固方案减少威胁利用的脆弱性和切断威胁传播途径，从而提高系统的安全性；中立方以普通用户为代表，通过访问网络资源影响网络的性能，将所有普通用户的统计特性看作一个整体攻击方的目的是对网络造成最大的损害；防守方的目的相反；中立方只关心己方利益而不管网络状况，比如当发现某个服务器变慢或某条链路出现故障时，中立方可能避开受影响的节点或路径；(2) 状态空间：阡W(f)的

28、所有可能状态组成状态空间，k时刻状态为TPN(t，七)=fJ(助，(七)i=l，2，彬为肘个传播节点产l，2，为N条传播路径，si(k)=(idi，value西Paib，v触)为第f个传播节点k时刻的状态，一(D=(矗如，f咖，valueey,Pejk,P可)为第，条传播路径k时刻的状态；(3) 行为空间(策略集)：博弈三方所有可能的行为集合攻击方行为“是威胁t的一步传播，t以定的概率按照阡l(f)传播到系统的其他部分，每次只可能传播到当前感染节点的邻居节点；防守方行为“”是管理员执行加固方案，每次只进行一步操作包括修补某个脆弱性、切断某条传播路径或关闭某个网络节点；中它方行为U。是普通用户访

29、问量统计变化率的升降。简化为网络访问率提高10和降低10；(4)转移概率：随着博弈各方的行为选择，系统的状态不断变化，用p(TPN(t，k+1)l玎w(f，七)，坼t，：，砧；)描述系统状态变化规律，”叶v(t，k+-1)，TPN(t，妨表示系统斛1时刻、k时刻系统的状态，坼t，“：，“：为k时刻攻万方数据500 Journal of Software软件学报I22，No3。March 201 1击方、防守方和中立方的行为，各方依据一定的概率在行为宅间中选取相应的行为：(5)报酬函数：博弈结束后各方的得失由于攻击方的目的是最大程度地对系统造成损害，其报酬用对系统的损害表示，包括对已经存在威胁的

30、节点的一步损害和可能被感染节点的潜在损害；防守方的目的是最大程度地减轻系统损害，其报酬用管理员采取安全措施后所能减少的损害表示；中立方的目的是最大程度地使用网络资源，其报酬用所有普通用户对系统服务的利用程度表示报酬函数是三方所选策略的函数，下面对博弈过程进行详细的分析得到三方的报酬函数22博弈过程博弈过程是各方参与者根据系统当前状态从行为空间中选取一个行为，然后系统转移到新的状态，参与者再根据新状态做决策，依此反复进行下面分析在七时刻，对某个威胁f，三方参与者选择行为的策略，并得射各方的一步报酬在此基础上得到各方的报酬函数，参与者根据己方报酬函数的最大化选择策略记TPN(t，炉s(k)，e，(

31、D)为系统k时刻状态，(七)为第i个传播节点七时刻的状态，以七)为第_，条传播路径J|时刻的状态，TPN(t，斛1)为系统抖1时刻的状态，系统的状态转移具有Markov性对于攻击方，t属于不同类型的威胁时对系统的影响不同：对于第l类威胁，分别分析t对系统的保密性、完整性和可用性影响损害；对于第2类威胁，主要分析t对系统的可用性造成影响At为第1类威胁时t对节点i的保密性、完整性和可用性均有损害，记为唯诵)印，p，(矽valueaf)其中，P，pv表示t对应的安全事件在f上发生的可能性，valueaf表示该安全事件对f造成的安全性损害，和valuea，分别取其安全性各个对应分量对TPN(t，七)

32、中所有节点按同样的方式计算，从而攻击方，的一步报酬用公式Oa)表示：吖(TPN(t，七)=V01(助 (1a)f嘞vBt为第2类威胁时，t对节点i及其相关路径的可用性造成损害，对i可用性造成的损害为(j(七)-PtPvApocvalue外其中炉，仇为t对应的安全事件在i上发生的可能性，岛f为t对节点性能利用率的改变量，value耐取节点可用性价值分量；对f相关路径可用性造成的损害为(一(七)，其中，矿(一(幼)=f田P，p，砌-value掣为t对第，条路径的可用性损害对TPN(t，的中所有节点及其相关路径按同样的方式计算，从而攻击方t的一步报酬用公式(1b)表示：V：(TPN(t，后)=(，(

33、七)+(一(七) (1b)iE嘞r JE田其中，f吼表示受t影响的节点集J谚表示节点i的相关路径集对于防守方，管理员对节点f实施安全措施会带来两方面的影响：减少威胁t的损害和影响网络性能对网络可用性的影响包括安全措施对i节点可用性的影响暇一(D)=岛rvalue曲其中，岛f为实施安全措施前后对节点性能利用率的改变量，value4f取节点可用性价值分量；和对f相关路径的性能影响为E矿(一(七)，其中，矿(一(句户，E田砌valued为对第J条路径的影响，砌为实施安全措施后前后对路径性能利用率的改变量，value。，为该边的价值安全措施减少t的损害与威胁类型有关：At为一类威胁时，减少t的损害为一

34、(s1(妨)，9,ifii，防守方的步报酬用公式(2a)表示：K(TPN(t，七”=-Vo(七)+矿0(七”+E Vv(一(七) (2a)，e嘞Bt为二类威胁时，减少t的损害为-V(一(|”一Vt(一(七)，从而防守方的一步报酬用公式(2b)表示： 嘶V(TPN(t，七)=一yo(七)一Vt(一(七)+y0(七)+E矿(一(七) (2b)J田 ，E嘞其中，嚼表示与节点i相关的路径集对于中立方，普通用户根据网络的延迟、服务的可访问性等改变访问率中立方的一步报酬为个节点和万方数据张勇等：基于Markov博弈模型的网络安全态势感知方法 501肘条路径的利用率之和，用公式(3)表示：N M(TPN(t

35、，七)=几value,+乃valu (3)l=l ，2l威胁通过TPN(t，妨向未感染的节点传播，根据公式(1a)、公式Ob)得到一类威胁的报酬函数，根据公式(2a)、公式(2b)得到二类威胁的报酬函数，统一用公式(4)表示：R(TPN(t，七)=V,t(TPN(t，七)+V”(TPN(t，七)+E p(TPN(t，后+1)l TPN(t，七)，“It，“Iv，u；)R(TPN(t，|+1) (4)“1)其中，表示1或者2；厦0fl1)是折扣因子，描述将来威胁传播带来的潜在损害对当前损害的影响；p(TPN(t，i+1)I阡(f，后)，“：，“：，“：)是状态转移概率管理员通过相应的措施抑制威胁

36、的传播，攻防双方的报酬函数近似认为相反，防守方报酬函数用一RO(的)表示中立方根据当前的网络状况选择己方行为，报酬函数用公式(5)表示：Rc(TPN(t，七)=矿。(TPN(t，七)+。p(TPN(t，七+1)I TPN(t，七)，t，”：，uDR。(TPN(t，七+1) (5)j(I+I)其中，是中立方折扣因子上述的博弈过程近似认为是三角色非零完全信息静态非合作博弈下面以一个简单网络为例说明博弈过程，该网络具有4个节点和5条有向边对该网络威胁集合的某个威胁f，建立t的TPN博弈三方是威胁t、管理员和普通用户，攻击方的行为是按照TPN向未感染的节点传播f，防守方的行为是管理员修补系统节点上t利

37、用的脆弱性，中立方的行为是普通用户增加或减少对该网络的访问率，系统状态是t对应TPN的所有可能的状态博弈各方根据系统的状态和己方的报酬函数动态地选择己方行为，系统根据各方行为的影响以一定的概率跳转到下一状态，博弈过程如图3所示(1)k时刻，只在节点l上检测到f系统处于状态；(2)抖1时刻，t向节点3传播，管理员加固节点3，普通用户访问率不变系统如果跳转到状态曰，表示加固方案执行没有成功并且威胁成功传播；如果跳转到状态e表示加固方案执行成功或t在该方向传播失败：(3)斛2时刻，以状态占为例，t向节点2、节点4、节点l传播，管理员加固节点l，普通用户访问率不变系统如果跳转到状态D，表示威胁成功传播

38、到节点2和节点4，节点1加固方案执行成功或t在该方向传播失败Fig3 Sketch map of Markov game process图3 Markov博弈过程示意图万方数据502 Journal of Software软件学报V0122，No3，March 201 1接下来，系统按照上述过程不断变化对于有限步僻步)博弈过程，从后时刻-k+K时刻，系统的状态变化过程构成一个如图3所示的树形结构，每一条从根节点到叶节点的路径都是系统状态的可能的变化过程k时刻各方的报酬函数为所有状态的报酬的综合23用Markov博弈模型进行态势评估对于威胁集合中的某个威胁f，分析t对系统状态的影响评估系统各个安

39、全态势分量安全态势评估过程评估系统安全性的最大损害值，此时管理员不采用任何安全措施，威胁对系统造成的损害最大，普通用户对系统的利用率最低，为系统最大损害评估管理员生成加固方案时，威胁t按照TPN定义的路径传播，加固方案的目标是防守方和中立方的报酬函数最大化，为威胁最大损害情况下的防守方最佳加固方案，系统状态变化如图4所示Fig4 Sketch map of system state transformation图4系统状态变化示意图针对不同类型的威胁和不同类型的安全态势分量要分别分析(1) 系统k时刻，t为一类威胁时，t的保密性态势和完整性态势的评估方法类似，不计中立方行为的影响，用公式(6a

40、)表示，相应的加固方案用公式(7a)表示：如=max一Rl(TPN(t，七)(6a)万(s(七)=argminmax一RI(TPN(t，七) (7a)(2) 系统k时刻，在对t的可用性态势评估时，需要考虑中立方行为的影响，并且需要区分t属于不同类型的威胁，可用性态势用公式(6b)表示，相应的加固方案用公式(7b)表示其中，表示l或者2：=m觚一，R(TPN(t，七)一R。(TPN(t，七) (6b)万O(七)=argrrfm，max一，R(TPN(t，七)一R。(TPN(t，七) (7b)24态势评量化估算法网络安全态势评估算法主要包括3个步骤：检测数据融合、威胁传播网络(TPN)建立、Mar

41、kov博弈模型评估整个算法流程见算法1算法1网络安全态势量化评估算法输入：数据采集模块检测到的各类安全数据：输出：网络安全态势1 对检测模块测得得安全数据进行融合，得到资产集合、威胁集合、脆弱性集合和网络结构信息：2 根据检测模块得到的网络信息，综合资产集合、威胁集合和脆弱性集合，对威胁集合中每个威胁t建立该威胁的威胁传播网络TPN(t)；3 根据砰Mf)，对t建立Markov博弈模型，计算t的保密性损害，评估t的保密性态势：4 根据TPN(O，对t建立Markov博弈模型，分析管理员应对，保密性损害的最佳加固方案：万方数据张勇等：基于Markov博弈模型的网络安全态势感知方法5 按照步骤(3

42、)、步骤(4)类似的方法，评估t的完整性态势和可用性态势，并分析相应的最佳加固方案；6 将威胁集合中所有威胁的保密性损害求和，评估网络保密性态势；7 按照步骤(6)同样的计算方法，评估系统的完整性态势和可用性态势；8 根据不同应用需求，采用加权模型评估网络的整体安全态势在算法1中，根据TPN(t)建立Markov博弈模型的第3步、第4步是整个态势评估算法的核心在这里，采用有限阶段的值迭代算法考虑K步以内的系统状态变化，在实际应用中根据算法效率和评估效果来定，一般K取值小于TPN(t)的直径下面以保密性分析为例，子算法2给出保密性态势评估的流程，子算法3给出对应情况下最佳加固方案乍成的流程子算法

43、2单个威胁保密性态势评估算法输入：威胁集合中某个威胁的TPN(O；输出：该威胁保密性态势A 令确取尺(丁P(f，n1)=o皿。(7：P(f，j抖1)=o，“：=0；B 如果k=0，则跳转到步骤E；否则，令k=k-I后进入下一步；C 对每个TPN状态和每个历史依次计算公式(4)；D 返回步骤B：E 该威胁保密性态势按照公式(6a)计算输出子算法3单个威胁的保密性最佳加固方案生成算法输入：威胁集合中某个威胁的删(f)；输出：防守方对最大损害的最佳加固方案A 令拓墨取R(豫(f，斛1)=O皿(即川f尉1)=0；B 如果k-=-O，则跳转到步骤E；否则，令k=-k-1后进入下一步；C 对每个TPN状态

44、和每个历史依次计算公式(4)；D 返回步骤B；E 防守方最佳加固方案按照公式(7a)生成输出在算法l中，第6步对威胁集合中所有威胁的保密性态势求和得到网络保密性态势由于两个低等级安全事件的整体损害没有一个高一级安全事件的损害大，这里的求和不能简单地线性相加，我们采用指数求和的方法1221如=log口曰地 (8)tETherata其中J是基数，根据资产、威胁和脆弱性的等级关系【16J，取B=5在算法1中，第5步和第7步采用类似的分析方法，求得网络k时刻完整性态势R竹和可用性态势RA*不同的应用背景对网络的保密性、完整性和可用性的要求不一样，比如对于政府机关来说，保密性是最重要的；对银行部门来说，

45、完整性是至关重要的，而诸如VOD的娱乐行业则最关心可用性因此，算法1的第8步采用公式(9)加权评估方法，根据不同的加权参数，评估不同应用需求下的系统安全态势：Rk=Rciwc+RtIW，+RAkWA (9)其中，Wc,WhWA为保密性、完整性和可用性权重3实验分析31网络安全态势感知的应用为了阐明威胁传播分析的原理、验证网络安全态势感知模型设计的合理性、演示基于Markov博弈分析的态势评估过程，本文给出态势感知系统在一个具体公司网络测评中的应用，网络主要结构如图5所示网络中的FTP和HTTP两个服务器通过交换机放置在DMZ区；内网办公区主机由交换机划分为2个VLAN，并与外界万方数据Jour

46、nal of Software软件学报V0122，No3，March 201 1通过防火墙相隔离远程办公室主机经交换机相连后远程访问公司网络，NetScreen204是带防火墙的路由器，Intemet用户通过该路由器访问公司网络资源，整个公司部署一个硬件IDSFig5 Structure of network system for evaluation图5待评估的网络系统结构态势感知系统首先进行安全数据检测，包括对每个网络节点部署资产识别，对每个主机和两个服务器部署恶意代码检测和脆弱性扫描，对IDS、防火墙、路由器和交换机部署渗透测试和在线测试，同时收集IDS报警日志数据；接着，根据检测数据融

47、合得到资产集合、威胁集合、脆弱性集合然后，对威胁集合中的每个威胁建立TPN根据TPN建立Markov博弈模型，分析威胁的安全态势；最后，由每个威胁的安全态势评估网络安全态势下面以威胁集合中的某个威胁t的保密性态势评估过程为例进行描述首先建立威胁t的TPN，如图6所示，传播节点和传播路径由检测模块测得Fig6 TPN of threat t图6威胁t的TPN传播节点的状态见表l，资产的保密性价值和资产的性能利用率均以等级的形式表示例如儿(4，5，4，0，1)节点表示路由防火墙保密性价值很高，被成功入侵后造成的保密性损害很大目前的性能利用率在10-30之间，还未感染威胁f，但是存在t利用的脆弱性万

48、方数据张勇等：基于Markov博弈模型的网络安全态势感知方法Table 1 State of propagation nodes of threat t(partly show)表1威胁t传播节点的状态(部分显示)5051里 塑!Q堕 曼堕!型 ：!：堕型堕堕! 塑!Q型!N1 l 1 I l飓 I l 0 1N3 2 2 0 I- 5 4 0 15 3 2 l 0传播路径的状态见表2，路径的价值以等级的形式表示切断该条路径后造成的损失；路径性能利用率与资产性能利用率也类似地分为5个等级；威胁通过该传播路径成功传播的概率也分5个等级例如局(4以，5，4，2)路径表示威胁t以20-40的概率通过该路径从节点4传播到节点5，该路径非常重要，如果切断对网络造成很大损害，该路径目前处于lOrv30的利