[发明专利]基于不完全信息动态博弈的入侵响应决策方法

摘要

本发明涉及一种基于不完全信息动态博弈的入侵响应决策方法，所采用的方法是：构建了基于不完全信息动态博弈的入侵响应决策模型，将博弈理论思想引入到入侵响应的决策阶段，考虑入侵响应代价及入侵检测系统的误报率、漏报率等因素对入侵响应的影响，平衡响应的负面影响和攻击造成的损失，并加强对攻击者策略的预测及应对能力，提高响应效率。本发明提出了攻防成本-收益评估方法，用以计算攻防双方代价收益，进而构建攻防双方动态博弈模型，通过求解攻防双方动态博弈模型的精炼贝叶斯均衡，得到防御者的最优响应策略。

主权项

一种基于不完全信息动态博弈的入侵响应决策方法，其特征在于该方法包括以下步骤：1)入侵检测阶段：利用防御者部署的入侵检测系统，产生入侵警报；2)警报聚合阶段：将入侵检测系统产生的大量警报进行聚合，生成高级警报；3)入侵响应阶段：a)根据本机系统信息，评估系统资源权重；b)根据防御者对攻击者类型的先验概率判断攻击者的可能类型，即根据防御者对攻击者类型的先验概率计算各种类型攻击者的概率；c)根据警报的不同，求出各个类型的警报所对应的行动策略集合，并将其存储于攻防双方策略库中；d)由所述高级警报驱动，从攻防双方策略库查询双方可能采取的行动策略，根据攻防成本-收益评估方法计算攻防双方代价收益；e)利用攻防双方可能采取的行动策略及所述攻防双方代价收益，构建博弈模型；f)通过计算博弈模型的精炼贝叶斯均衡，得到最佳响应策略；g)根据最优响应策略，修改用来判断攻击者类型的经验；h)入侵响应。