[发明专利]基于GSPN和鞅理论网络空间拟态防御的安全性建模量化方法

说明书

本发明提供基于GSPN和鞅理论的网络空间拟态防御安全性建模量化方法，包括：S1、在实际系统中对存在判决时延的分布式MDA的攻防过程按照攻击粒度将攻击过程的种类划分为单节点攻击与链路攻击；S2、根据实际系统的配置进行抽象提取拟态模型的单节点攻击参数；S3、根据获取的单节点攻击参数用GSPN理论利用数学工具分析计算单节点攻击成功概率及单节点攻击时间；S4、将攻击单节点成功概率作为参数使用Markov链及鞅理论计算链路攻击成功平均步数期望；S5、根据得到的链路攻击成功步数期望与单节点攻击时间得到总的理论平均攻击时间。采用GSPN模型，使建模贴近实际系统，保证模型合理性；对实际情况做抽象，保证建模的高效性。

技术领域

本发明属于网络攻防安全性衡量领域，尤其涉及基于GSPN和鞅理论网络空间拟态防御的安全性建模量化方法。

背景技术

近年来，网络安全事故频发，人们逐步将注意力集中于网络安全领域。在传统网络中，攻击方和防御者处于不对等的地位。在防御者完成初始配置后，攻击方可以随时、持续地收集防御方的信息，并选择合适的时机筹划发动攻击，甚至可以在获得特权后保持很长一段时间内不被清除。这极大地威胁着网络系统的安全性。为了改变安全博弈中攻守双方不对等的局面，国内外提出了许多新型动态网络架构。

美国国土安全部针对此种情况提出移动目标防御(Moving Target Defense，MTD)是动态防御思想的典型应用，被视为“改变游戏规则”的革命性防御技术。由于不同的配置对应的攻击薄弱点也不相同，移动目标防御通过定期主动地迁移网络配置以限定同一弱点的暴露时长，增大攻击表面和不确定性，提高攻击方的攻击难度，降低系统被攻陷的概率。移动目标防御用主动改变系统配置换取了系统安全性的提升，但系统配置的频繁更改带来的性能损失不可忽略。

为了避免频繁配置变迁，必须寻找新的有效安全机制。在中国国家级网络安全战略的指引下产生，拟态安全防御(Cyberspace Mimic Defense,CMD)采用“有毒带菌”和“沙滩建楼”方法，将不安全组件聚合成为一个可靠系统。拟态防御有两条公理基础：1)“相对正确”公理，即“人人都存在这样或那样的缺点，但极少出现在独立完成同样任务时，多数人在同一个地方、同一时间、犯完全一样错误的情形”；2)“给定功能和性能条件下，往往存在多种实现算法”。上述两条公理的等价逻辑表达便是异构冗余机制和多模表决机制。其中，动态异构冗余(Dynamic Heterogeneous Redundancy，DHR)架构是实现拟态防御(MD)的重要原理性方法之一。

拟态旨在建立一个相对安全的攻击防御系统，这个系统具有动态、冗余、异构的特点。本发明以拟态防御的经典实现结构——MDA(Mimic defense architecture)结构为例，分析拟态防御的安全性，再由多个MDA结构组成最终的拟态防御网络。MDA的基本结构如图1所示。

MDA结构由输入代理器、执行体异构池、执行体集、反馈控制器和输出裁决器即多模表决器构成。多个功能等价且实现方式相异的执行体即异构功能等价体构成该结构的执行体异构池。异构池中的异构体不需要同时持续处于工作状态，输入代理通常会选择三个执行体组成一个当前工作的执行体集合，其他执行体则作为备用。当系统接收到请求消息，输入代理下发指令，为当前执行体集合分配相同的功能需求，由工作状态的执行体执行任务，经过一定执行时间，分别将输出矢量作为执行结果发送给输出裁决器。输出裁决器收集到足够数量的结果以后进行择多判决。若收集到的输出矢量完全一致，多模表决器将该结果视为正确并输出；反之，输出裁决器将激活防御机制。

值得注意的是，移动目标防御和拟态安全防御都牺牲部分性能以满足系统的安全性需求。如何定性、定量地分析它们的有效性，成为了一项亟待解决的工作。目前分析工作可以分为两种思路：用实验模拟攻击过程，测试其有效性；用数学工具对攻防过程进行建模，并计算其安全指标，如攻击成功率，平均失效时间(mean time to failure，MTTF)，稳态可用性等。

基于实验仿真的安全性衡量技术。方案的主要思想是利用仿真平台，模拟攻击过程进行攻防实验，从而对网络结构的安全性进行测试。