[发明专利]一种基于攻防随机博弈模型的网络安全态势评估方法

权利要求书

1.一种基于攻防随机博弈模型的网络安全态势评估方法，其特征在于该评估方法包括以下步骤：

A、收集网络安全设备日志信息，进行信息融合与关联分析，形成格式规范化的安全数据集；

B、对安全数据进行网络安全事件评估，获得引起安全事件的威胁数据集；

C、根据安全数据构建描述威胁传播的威胁访问关系网络；

D、构建攻防随机博弈模型，包括以下步骤：

D1、量化攻击方博弈收益，直接收益由网络安全损害与动作成本决定；针对威胁t，攻击者的直接收益表示为：ua_i(t,k)＝Sdam_i(t)-Acost_i(t)，其中对系统的损害由构造的威胁访问关系网络中的节点与边的损害两部分组成针对节点的损害表示为：Vdam_i(t)＝(V_a·V_v)p_tp_v，其中V_a表示资产的价值，V_v表示脆弱性被利用后的损害程度，p_t表示脆弱性被成功利用的概率，针对边的损害表示为：Edam_ei(t)＝V_e·▽ρ_e·p_es，其中V_e表示边的权值，ρ_e表示传播路径带宽利用率，p_es表示利用该边传播的成功率；

D2、量化防护者博弈收益，直接收益由网络安全损害与动作成本决定；针对威胁t，对于防护者，直接收益表示为防护者成本表示为：

Dcost_i(t)＝θ_node(i,j)val_ai·V_r+θ_edge(i,j)V_e·ρ_e，θ(i,j)表示采取防护策略j对攻击i所产生的对可用性的损害系数，val_ai表示针对攻击i主机价值在可用性上的偏重，V_r表示主机运行价值；

D3、构建攻防随机博弈模型，由八元组ADSGM＝(I,S,A,D,π,P,U,δ)表示，I为参与者，S为状态空间，A为攻击者动作集合，D为防护者动作集合，π为攻防混合策略，P为状态转移概率，收益Uⁱ：S×A×D×S→U，其中i＝a,d，表示攻击者或防护者的收益函数，δ(0＜δ＜1)为贴现因子；

D4、博弈矩阵量化，每一个博弈状态S_k下，对于威胁t，攻防双方的矩阵博弈元素表示为展开为：

表示对威胁t在攻防状态s_k下，攻击者采取A_k(i)，防护者采用D_k(i)时的攻击者获得的收益，由两部分组成，其中，前者表示攻击者采取A_k(i)，防护者采用D_k(i)时的攻击者获得的直接收益收益，后者表示潜在收益；

表示对威胁t在攻防状态s_k下，攻击者采取A_k(i)，防护者采用D_k(i)时的防护者获得的收益，由两部分组成，其中，前者表示攻击者采取A_k(i)，防护者采用D_k(i)时的防护者获得的收益，后者表示潜在收益；

E、基于攻防随机博弈模型的网络安全态势评估算法，评估网络安全态势，获得混合策略纳什均衡，从而获得防护策略，包括以下步骤：

E1、对威胁集合中的每一个威胁，根据当前博弈状态S₀与威胁传播网络，考虑威胁的K步传播，K＝2,3,4,5，获取每一步传播下的博弈状态，记为S_k＝(S_k1,S_k2,...,S_kl)，k＝1,2,3,...,K；

E2、对每一个状态构建双矩阵博弈；

E3、从k＝K求解每一个状态下的混合策略纳什均衡，采用迭代的方式代入k＝k-1状态下；

E4、求解S₀状态下的混合纳什均衡策略，并计算得到态势评估值

E5、对所有威胁造成的态势求和，计算网络安全整体态势。