文摘
摘要游戏理论分析方法提供最优策略anomaly-based入侵检测系统(A-IDS)。建立一个两阶段博弈模型来表示,袭击者和后卫之间的相互作用。在第一阶段,球员们决定做动作或保持沉默,在第二阶段,攻击强度和探测阈值被认为是两个重要的战略变量攻击者和捍卫者。存在、独特性和显式计算的纳什均衡进行了分析,得到考虑六种不同的场景中,最优的检测和攻击行为。提供了数值例子来验证我们的理论结果。
1。介绍
如今,网络设备和通信服务是容易受到各种入侵攻击,如DoS / DDoS,假数据注入和僵尸网络的攻击。入侵攻击往往更聪明和意想不到的攻击模式出现频繁。因此,巨大的挑战是进入网络安全控制和管理。作为一个最重要的技术来解决各种攻击,anomaly-based入侵检测系统(A-IDS)已经被广泛采用在几乎所有类型的网络环境(1,2]。anomaly-based入侵探测器试图估计的正常行为概要文件并生成一个异常报警一旦概要文件收集的实时观察超过一个预定义的阈值2]。
在入侵检测系统中,攻击者和防御者可以自然被视为两个球员试图最大化回报,分别通过执行特定的最优策略。因此,游戏理论方法是一种有效的工具,使一个后卫获得最大收益(或最小损失),而战斗的攻击。比赛的结果已报告基于理论的入侵检测方法对于不同的网络环境和安全要求。优秀的关于这个话题的调查可以发现在3- - - - - -6]。在[7),两人非合作的策略博弈模型建立了一些一般性的入侵检测问题,分析了明确的纳什均衡。在[8- - - - - -11),游戏理论的入侵检测方法研究解决大规模异构网络的安全资源分配问题。注意,在8- - - - - -10),假设后卫扫描总是正确识别恶意攻击者的行为没有任何错误,而这种假设在某些情况下可能不会满意。例如,对于智能恰当的攻击,攻击者通常伪装成没有攻击发生时,这可能会使探测器不总是仔细地识别恶意行为。来处理这些不确定性,贝叶斯游戏被认为是入侵检测通过更新后卫的信念基于过去的行为(她/他的对手12- - - - - -15]。贝叶斯基于游戏的入侵检测的主要思想是用概率来表示不确定性和进一步使用贝叶斯迭代更新动态。自组织特设网络,某些节点可能是恶意和如何检测恶意行为是一项重要的工作。提出了一些战略游戏刺激不同的普通节点间的合作,在此基础上隐藏的恶意节点可以检测到16- - - - - -21]。在[22),双人Stackelberg随机游戏分析实现对入侵的最好的回应。在[23,24),游戏基于理论的分析方法提出了分布式入侵检测,在一致同意的分布式检测方法,然后提出了博弈分析是提供最佳的防御和攻击策略。在[25),隐私保护问题也被认为是在协作安全方案设计问题通过博弈理论分析方法。在[26),建立了微分博弈模型,分析了动态过程的攻击和防御。
攻击者在一个游戏和一个后卫,理性的攻击者不会发动攻击否则她/他可以得到一个积极的回报。此外,攻击强度需要被选择来最大化她/他积极的回报。相反,后卫将执行防御措施来抑制攻击根据类似的规则。A-IDS,检测一个预定义的阈值需要谨慎地确定。一般来说,更高的阈值与正常覆盖范围将导致一个更大的误警率偏小大失踪报警率。注意,失踪报警率也与攻击强度密切相关。更具体地说,更大的攻击强度将导致丢失报警率较低。虽然攻击强度和探测阈值是两个重要影响因素的错误和失踪报警率,对应于回报的攻击者和捍卫者入侵检测游戏,他们很少考虑在上述结果。在大多数上述作品,虚假和失踪报警率只假定为已知常数和二进制行动“做”或“不”被认为是在他们的游戏模式。在[11),检测阈值和攻击强度考虑,而相关的重点主要是分布式异构网络的资源分配。
出于上述局限在文学,一个更现实的两级游戏形式的入侵检测模型。攻击强度和探测阈值被认为是两个战略变量。在第一阶段,攻击者和捍卫者决定是否应该执行,攻击和防御行动。一旦攻击/监控行为是决定执行,最佳的攻击强度和探测阈值决定最大化他们的实用程序在第二阶段。纳什均衡的存在性和唯一性进行第一阶段的博弈模型在不同的场景中,当第二阶段的战略变量被限制在特定的地区。然后,最佳的攻击强度和探测阈值为每个场景中,推导出相应的。
本文的贡献可以概括如下:(1)提出了一种两阶段博弈模型对anomaly-based入侵检测对抗。与现有的工作,只有二进制行为“做”或“不”被认为是在博弈模型,攻击强度和探测阈值是两个关键战略变量,和虚假和失踪报警率攻击强度和检测阈值的功能,而不是假定为常数。的两阶段博弈模型相互紧密耦合,因此博弈模型更复杂。(2)纳什均衡的存在、独特性和计算进行了讨论。根据结果,最佳选择的攻击强度和探测阈值实现的最大回报提供了攻击者和捍卫者。结果提供一种新的方法来确定检测阈值的防守,从优化的角度和对抗。所以,博弈模型并给出了纳什均衡解决方案提供一个更现实的理论分析框架anomaly-based安全检测。
本文的其余部分组织如下。节2,介绍了一些定义和A-IDS的两阶段博弈模型。节3,该博弈模型的纳什均衡进行了分析。模拟结果显示我们的游戏节理论分析方法的有效性4,紧随其后的是论文的结论部分进行了总结5。
2。一个两级游戏入侵检测模型
假设有一个网络单元容易入侵攻击。典型例子这样的单位包括软件系统、网络设备和通信通道。在这里,我们采用类似的攻击和A-IDS检测模型,在11]。双人的非合作的博弈的战略形式表给出1。和表示攻击者的回报和后卫,分别。
在下面,我们给表中相应的变量的物理意义1。的变量表示攻击强度,例如,在DoS攻击数据包的数量/ DDoS攻击,或伪造数据包的数量在一个DNS缓存中毒攻击或干扰通信的攻击强度,或假数据注入的大小。假设 ,在哪里 。这个函数 用于表示的受损程度的安全装置,当它受到攻击强度 。考虑是很自然的事情作为一个严格递增函数,这样 和 与 。这个词 ,在哪里 是一个常数,是单位的安全资产,是一个严格递增函数,表示发起攻击的成本。的变量表示检测阈值。假设 与 和一个更大的为正常行为对应于一个更大的覆盖范围。这个函数表示假警报率,即。,it represents the probability that an alarm is generated though no attack is activated. Obviously,决定完全由阈值和是一个严格的递减函数。这个函数表示失踪报警率,即。,it represents the probability that no alarm is generated though an attack is executed. The function是由两个攻击强度和阈值 。它可以很容易地派生是严格减少和增加对吗和 ,分别。的参数 和 是两个常数。
显然,表中描述的博弈模型1包含以下两个阶段。在第一阶段,最优策略集“攻击/不攻击”和“监视/不监控”需要由攻击者和防御者。然后,两位选手进入下一阶段选择最佳的攻击强度和检测阈值 。对于更好地理解,两级pure-strategic入侵检测博弈模型和一个攻击者,一个后卫中描述表2在一个更严格的方式。
备注1。攻击和检测模型类似于(11),结果(11)主要考虑攻击和防御为异构分布式网络资源分配问题。在本文中,我们考虑一个网络单元的冲突问题,在表表达的博弈模型2。因此,它工作在本质上是不同的11]。此外,我们建立一个两阶段博弈模型,考虑到攻击强度和检测阈值的关键战略变量,也不同于现有的工作。
3所示。纳什均衡分析的游戏
就像前面提到的2,攻击者/后卫需要决定是否要发动攻击/监控单元或保持沉默在第一阶段的博弈模型。为简单起见,一个额外的假设是对的回报,如果玩家选择执行行动,保持沉默是相同的,她/他会保持沉默。换句话说,攻击者/后卫往往什么也不做,如果她/他不能获得更大的回报发起攻击/监控。注意的价值对纳什均衡的分析(没有影响以下简称东北从表)的游戏1。因此,不失一般性,我们集 。
表示的可行集和通过与 。为了方便在以后的分析中,分为下列几组:
它很容易显示 和 。不游戏的结果如表所示1和2将从以下场景。在场景L.1,只有一个子集 , , ,和非空的。在场景L.2∼L.5,为空时至少两个子集的 , ,和非空的。在场景L.6,和至少一个子集 , ,和非空的。显然,任何两个场景之间不存在重叠和六个场景包括所有的可能性。以下的充分必要条件和的存在性和唯一性NE首次推导出场景L.1∼L。分别为6。的最优值和 ,用和 ,进一步提供。
为方便表达在下面,两个变量和第一个定义,即
提出的优化问题(2)和(3)可以通过经典优化方法解决如梯度法和拉格朗日乘数法(27]。
场景L.1。只有其中一个子集
,
,
,和非空的。
可以得出以下结论。
定理1。在场景L.1, NE的游戏,如表所示1推导如下:(1)如果只有子集 ,“不是攻击,监控”是独特的东北(2)如果只有子集 ,“攻击,不是监控”是独特的NE和 (3)如果只有子集 ,“攻击、监控”是独特的和 , (4)如果只有子集 ,不存在不
证明。首先,战略组合”攻击,而不是监视”不会是东北。这是因为, ,后卫往往“不监控”单位获得零回报:(1)如果只有 ,我们有 。这表明攻击者也没有动力去发动袭击。因此,“不是攻击,监控”是独特的东北。(2)如果只有 ,攻击者的回报是正对任何攻击强度 ,攻击者会选择“攻击。“此外,后卫永远不会得到更多的回报当她/他选择“监视” 对于一个任意的阈值 。因此,这名后卫将选择“监视器。“最优攻击强度应该得到回报最大化的攻击;因此, 基于(3)。(3)如果只有 ,攻击者总是选择“攻击。“这是因为任何攻击强度和检测阈值攻击者的收益满足 。因为后卫满足的回报 对于一个任意 ,这名后卫将选择“监视器。“然后,后卫,最优阈值计算 基于属性 在表2,我们有 。然后,给出了最优攻击强度 基于(2)。(4)如果只有 ,“攻击、监控”不能以来东北 。与此同时,“攻击,而不是监视”不是因为 表明,这名后卫将选择“监视器”此外, ,“不是攻击,监控”不能NE,。结合结果派生的一开始,“不是攻击,监控”不能NE,认为没有不存在。
备注2。从定理1的回报,两名球员,分别表示为
和
在场景L.1 (2)。这意味着攻击者获得积极的回报,而后卫失去某些安全资产在这个场景中。相反,回报的两名球员,分别表示为
和
在场景L.1 (3)。类似于场景L.1,(2)攻击者获得积极的回报,而后卫失去某些安全资产。然而,(2)在不同场景L.1,后卫补偿部分损失在这个场景中,通过执行监视行动
。因此,攻击者获得的收益减少。
正如前面所讨论的那样,场景L.2∼L。5的可能性为空时至少两个子集的
,
,和非空的。细节如下。
场景L.2。
,
,和
。
以下结果关于这个场景的不可以。
定理2。在场景L.2,策略组合”攻击,而不是监控”是独特的NE和 。
证明。子集 表明存在一个这样攻击者的回报是正的。因此,攻击者会选择战略”攻击。”此外,后卫满足的回报 对于任何一个阈值 ,因此,后卫将选择“没有监控。“除此之外,是由最优攻击强度 。
场景L.3。
,
,和
。
这个场景主要结果正式规定以下定理。
定理3。在场景L.3,策略组合“攻击、监控”是独特的东北当且仅当 。最优攻击强度和检测阈值 和 。
证明。必要性:如果“攻击、监控”是独特的东北,然后从(2)和(4),有
和
。攻击者的回报和必须是积极的;因此,
。
充分性:自
,攻击者可以获得一个积极的最大回报如果后卫选择“监视”和策略
。因此,攻击者将选择“攻击”和
。作为
和
,有
为
。由此可见,
和
为
。定义的
,它可以得出结论
为
。这表明无论如何选择阈值,这名后卫将会获得更大的回报,当她/他选择“监视器”,而不是“不监控策略。“显然,这名后卫将选择“监视器”,并设置为最优阈值
从(4)。因此,战略组合“攻击、监控”是独特的和
和
。
场景L.4。
,
,和
。
在这种情况下,可以得出以下结论。
定理4。在场景L.4,(1)当且仅当 ,”攻击,而不是监控”是东北和 (2)当且仅当 ,NE和“攻击、监控” 和
证明。(1)必要性:在“攻击,不是监视”的策略组合,攻击者会选择作为最优攻击强度。如果
,这名后卫将选择“监视器”获得更大的回报,这是一个矛盾的前提下“攻击,不是监控”是东北。因此,需要显示。充分性:定义的和
,攻击者可以获得积极的最大回报,当他/她选择”攻击。”
,有
这意味着当攻击者选择
,后卫从未获得更大的回报比她/他并没有不管多阈值集。因此,“攻击,而不是监控”是东北
。显示了充分性。(2)必要性:在战略组合“攻击、监控”后卫和攻击者会选择和最优检测阈值和攻击强度(4)和(2)。如果
,那么类似于(5),有
这意味着这名后卫没有收入比她/他并没有更大的回报,这是一个矛盾的前提下“攻击、监控”是东北。因此,需要显示。
充分性:攻击者总是选择“攻击”的定义和
。如果攻击者选择
,自
,这名后卫将选择“监视器”比“不监控”来获得更大的回报,最优检测阈值从(4)。与此同时,当后卫选择“监视器”,
,从(2),攻击将选择“攻击”
获得最大的积极的回报。因此,充分显示出来。
基于定理4东北的独特性,场景L.4也可以得出结论。
推论1。在场景L.4,(1)当且仅当 和 ,“攻击,不是监控”是独特的NE和 (2)当且仅当 和 ,“攻击、监控”是独特的和 和
证明。从定理4”攻击,而不是监控”和“攻击、监控”是唯一两种可能的新经济学院。显然,“攻击,而不是监控”是独特的东北如果拥有一个额外的条件,例如, 。然后,“攻击、监控”将不是东北。同样,“攻击、监控”是独特的NE如果额外的条件 成立。然后,”攻击,而不是监视”不是东北。因此,推论1可以得出的结论。
场景L.5。
,
,
,和
。
不同场景L.4,存在
属于这样
。因为攻击者总是可以找到一个这样她/他获得一个积极的回报,该策略组合“不是攻击,监控”不能在这种情况下。关于东北的主要结果在这种情况下可以被正式规定以下定理。
定理5。在场景L.5,(1)当且仅当 ,”攻击,而不是监控”是东北和 (2)当且仅当 和 ,NE和“攻击、监控” 和 (3)当且仅当 和 或 ,“攻击,不是监控”是独特的NE和 (4)当且仅当 , ,和 ,“攻击、监控”是独特的和 和
证明。(1)证明类似于(1)的定理4这里省略了。(2)不同场景L.4,存在 属于这样 作为 。因此,(2)相比定理4,一个额外的条件 需要被添加到确保“攻击、监控”仍然是东北的。其余的证据(2)类似的定理4这里省略了。(3)和(4)遵循类似的分析推论的证明1的独特性,在这种情况下也可以得出结论。相比以前的场景,和至少一个子集 , ,和非空的在场景L.6如下所述。
场景L.6。
,和
。
(4)的定理1,没有如果
。此外,如果
取而代之的是
(1)- (3)L.2-L L.1场景和场景。5,NEs永远属于
。这是因为所有的战略组合和在在定理与获得的不不一致1- - - - - -5。因此,
L.6将属于东北的场景
,
,或
。此外,派生NEs的定理的条件1- - - - - -5仍然是必要的。因此,分析场景L.6中,我们只需要验证是否导致定理1- - - - - -5如果子集仍然是正确的非空的改变。将显示以下结论。
定理6。在场景L.6, NE游戏如表所示1推导如下:(1)如果 和 ,不存在不(2)如果{ , }或{ , , 在(1)},结果定理4适用和“攻击,而不是监控”是独特的东北(3)如果{ , }或{ , , },结果在定理3适用(4)如果{ , , }或{ , , },结果在定理5适用
证明。(1)存在一个这样攻击者的回报是正的,“不是攻击,监控”不再是不如果 取而代之的是 在场景L.1(1),也就是说, , ,和 。它可以很容易地显示其他策略组合不能NE。(2)如果 取而代之的是 在场景L.1,(2)存在可行的和这样 。因此,一个额外的条件 需要与比较(2)定理1确保“攻击,不是监视”仍然是不。如果 取而代之的是 场景L.2,遵循类似的分析证明的定理2(1)在定理4,我们可以显示的结果(1)在定理4是真的。(3)当 , ,和 ,存在可行的和这样 。因此,一个额外的条件 需要与比较(3)定理1为了确保“攻击、监控”仍然是东北的。当 , , ,和 ,基于定理的证明3和的定义和 ,它可以证明定理的结果3仍然是正确的。(4)首先,如果改变在场景L.4,非空的和属于没有影响的结果(1)定理4。在定理(1)的结果5是一样的(1)的定理4(1)定理5在这种情况下适用。除此之外,额外的条件 需要与比较(2)定理4确保“攻击、监控”是不存在和这样 定义的 。因此,在(2)的结果在定理5是真的。东北的独特性也可以验证(3)和(4)定理5。其次,如果所有的非空的子集,也就是说, , , ,和 ,它可以很容易地证明可行的值和属于对定理的结果没有影响吗5。
备注3。它可以看到从(3)定理1,定理3(2)在定理4,(2)定理5,一旦后卫决定L.1监控(3)的场景,场景L.3,场景L.4(2),(2)在场景L.5,和(4)和(5)场景L.6,她/他将永远选择作为最优阈值 。
备注4。在本文中,我们假设攻击者是完全理性的,虽然在某些情况下,这种假设可能不满意。然而,根据我们的方法,我们提出了一个最坏的情况下最佳的防御策略。也就是说,我们可以保证在最坏的情况下极大的破坏可以最小化的方法。
4所示。模拟研究
在本节中,提供仿真结果来验证上述理论结果。A-IDS概要通常选择导致区分正常和异常的状态。这样一个概要文件通常是在许多情况下,描述了一个随机变量。在这里,我们假定它是零均值的高斯分布在正常状态。类似的假设中可以看到许多入侵检测应用领域如网络流量检测和卡尔曼filtering-based异常检测。让攻击的强度表示 。其他参数选为模拟 , , , ,和 。误警率和失踪报警率可以表达的 分别。参数和用来表示攻击者的成本和后卫,分别。
案例1。我们首先选择 和 。然后,它可以计算(1),(一)如果 ,有 , ,和 ,对应场景L.4(b)如果 ,有 , , ,和 ,对应场景L.5(c)如果 ,所有的非空的四个子集,L.6对应场景然后,它可以检查是否不平等条件定理4和5和(4)定理6上述三种情况感到满意,因为在桌子上吗3。4.1集成电路,集成电路4.2”,“IC 5.1”,和“IC 5.2”指的是不平等条件(1)和(2)定理4(1)和(2)定理5,分别。值得注意的是,(4)定理6中的不平等条件是一样的那些定理5。从给出的理论分析部分2,学院可以得出以下结论:(一)基于(2)定理4,“攻击、监控”是独特的 和 。(b)基于(2)定理5,“攻击、监控”是独特的 和 。(c)根据(4)定理6和(2)定理5“攻击、监控”仍然是独特的东北 和 。然而,如果没有不存在 , 。这个结果可以验证通过观察攻击者的回报( )关于 ,如图1。减少,增加。除此之外,将接近零的时候倾向于 ,这表明不坏了。
例2。在这种情况下,我们修复作为
,而让不同时间间隔内
。它可以计算出(一)如果
,有
,
,
,和
,对应场景L.6(b)如果
,所有的非空的四个子集,也对应场景L.6同样的,表4给证明定理的不平等条件吗3和5感到满意,“IC 3”指的是不平等条件定理呢3。然后,在NEs可以得出以下结论:(一)基于定理3和(3)定理6,“攻击、监控”是独特的
和
(b)基于(2)定理5和(4)定理6,“攻击、监控”是独特的
和
因此,“攻击、监控”总是独特的东北
,
。此外,从定理3和(2)定理5,它可以计算出攻击者的回报(
)等于如果
。它表明攻击者发动攻击的原因。后卫的表现回报(
)关于如图2。显然,这名后卫失去一些安全资产
。此外,失去了安全资产将增加国防费用增加。
最后,我们做一些与现有的方法比较7- - - - - -15),攻击强度和探测阈值几乎被认为是,大部分人认为虚假和失踪报警率,和检测问题的博弈模型可以模拟表5。
可以看出,没有考虑到攻击强度和检测阈值,游戏的回报模型将减少常数和纳什均衡分析可以很容易地完成。从纳什均衡的定义,它可以,如果计算
,(攻击、监控)将独特的东北。尽管现有的分析方法(7- - - - - -15)可以确定最佳的行动策略,而我们的研究结果可以进一步确定最优显式的攻击强度和检测阈值,可以获得不同的结果。首先,现有的工作只考虑战略做或不做;因此,单程博弈模型,表达了在表3,建立帮助分析最优行动,当我们进一步考虑攻击强度和博弈模型检测阈值,作为这两个参数是两个关键策略用于防守和攻击者。此外,我们建立一个更详细的两阶段博弈模型,考虑行动做或不做和攻击强度和检测阈值。根据实验结果,我们可以看到,攻击强度和探测阈值中扮演重要角色的确定纳什均衡。直觉上,游戏在表3,不完全是由参数决定和
;然而,这个结论似乎没有意义的误警率和其他参数没有任何对纳什均衡的影响。另外,对于我们的博弈模型,我们可以看到,所有参数将共同确定纳什equilibriumthus,我们的分析结果是更现实的。在实践中,错误和丢失报警率不是常数,随着攻击总是不断变化的。A-IDS方法中,错误和丢失报警率通常由攻击强度和检测阈值。我们的方法只是认为这真实的场景和建立一个更明确的博弈模型,在此基础上的最优策略是完全确定的。
5。结论
游戏anomaly-based入侵检测系统,提出了一种理论分析方法来提供最优的策略。我们首先建立一个更现实的博弈模型,考虑到攻击强度和探测阈值作为球员的两种策略。策略的必要和充分条件,是纳什均衡。模拟研究提供验证我们的理论结果。结果提供一种新的方法来确定检测阈值在安全防御。在未来,一些可能会考虑更多的研究工作,例如,特定场景的游戏理论分析方法如物联网和DoS / DDoS攻击。此外,动态博弈分析也是一个有趣的话题动态安全对抗过程,例如,Stackelberg博弈分析可以用来解决顺序问题的攻击和防御行动。
数据可用性
博弈论算法的手稿在本文来自剑桥大学和哥伦比亚大学的数据库。的副本可以获得这些数据https://dl.acm.org/doi/book/10.5555/1951874和https://doi.org/10.1016/j.ins.2018.04.051。
的利益冲突
作者宣称没有利益冲突。
确认
这项工作得到了国防基础科研项目科学、技术和工业技术在批准号JSZL2017601C-1和部分由中国国家自然科学基金批准号。61897069和61897069下,下的中国国家重点研发项目批准号2017 yfb0801903,下的中国国家重点基础研究项目批准号2017 - jsjq zd - 043。