[发明专利]基于攻防微分博弈的网络安全防御决策确定方法及其装置

说明书

本发明涉及一种基于攻防微分博弈的网络安全防御决策确定方法及其装置，该方法包含：依据网络攻防过程及SIR模型构建网络节点的状态演化模型NIRM；根据网络节点状态的迁移路径获取基于状态演化模型NIRM的节点状态变化微分方程组；依据节点状态变化微分方程组构建攻防微分博弈模型ADDG；并根据攻防策略回报及执行代价获取攻防双方在微分博弈过程中的收益函数；根据收益函数及攻防微分博弈模型ADDG，通过动态规划方法求解攻防双方的鞍点策略，确定最优防御策略并输出。本发明解决传统动态博弈分析方法已不能满足实际要求的问题；与现有网络安全防御策略相比，能够对连续、实时对抗条件下的攻防过程进行分析，网络防御决策结果的时效性、针对性和指导意义更强。

技术领域

本发明属于网络安全防御技术领域，特别涉及一种基于攻防微分博弈的网络安全防御决策确定方法及其装置。

背景技术

当前网络与信息技术发展迅猛，面对网络空间安全领域的诸多挑战，增强网络安全防御能力，确保网络空间安全已成为亟待解决的迫切问题。博弈理论与网络攻防所具有的目标对立性、关系非合作性和策略依存性十分吻合。目前，运用博弈模型分析网络攻防行为，开展防御决策研究已经取得部分成果。但已有研究成果大都建立在攻防双方一次性博弈对抗的基础上。网络安全分析必须符合真实的攻防场景，由于攻防对抗具有多阶段、连续性的特征，因此将其视为一个多阶段博弈过程更加合理。网络空间对抗愈加激烈，网络攻防向快速、实时、多样化的方向发展，基于传统动态博弈的分析方法已不能满足实际要求。一方面，将攻防过程划分为多阶段进行分析，每个阶段的时间长度并非总是相同的，而是动态变化的；另一方面，随着技术发展，攻防过程出现高频变化的趋势，防御决策的条件在各个时间点都不完全相同。当前基于博弈理论的攻防分析大多假设攻防双方只进行一次对抗，即便是采用动态攻防博弈模型，也是将网络攻防处理为离散多阶段过程，而在真实的网络攻防场景中，攻防过程是在连续时间内实时进行的，传统动态博弈分析已不能满足现实要求。实时性的不足对最终的博弈结果将产生重大影响，使最终的博弈均衡结果与实际相差较大，从而降低了模型和方法的有效性。因此，亟需建立能够分析动态、连续、实时攻防过程的博弈模型，用于研究内含时间因素的防御决策方法。

发明内容

针对现有技术中的不足，本发明提供一种基于攻防微分博弈的网络安全防御决策确定方法及其装置，借鉴传染病动力学理论，对连续、实时对抗条件下的攻防过程进行分析，使得网络防御决策结果的时效性、针对性和指导意义更强。

按照本发明所提供的设计方案，一种基于攻防微分博弈的网络安全防御决策确定方法，包含：

依据网络攻防过程及SIR模型，构建网络节点的状态演化模型NIRM，所述的状态演化模型包含：正常状态N、感染状态I、修复状态R及受损状态M；

根据网络节点状态的迁移路径，获取基于状态演化模型NIRM的节点状态变化微分方程组；

依据节点状态变化微分方程组，构建攻防微分博弈模型ADDG；并根据攻防策略回报及执行代价，获取攻防双方在微分博弈过程中的收益函数；

根据收益函数及攻防微分博弈模型ADDG，通过动态规划方法求解攻防双方的鞍点策略，确定最优防御策略并输出。

上述的，节点状态变化微分方程组表示为：

其中，Q为网络节点总数，α为节点部署在网络系统中的密度，t时刻处于正常状态N、感染状态I、修复状态R及受损状态M状态的节点数量依次记作N(t)、I(t)、R(t)和M(t)，η(t)为攻防效用函数，η_NI、η_NR、η_IR、η_IM为通过攻防效用η(t)描述状态迁移N→I、N→R、I→R、I→M发生可能性的迁移参数。