马钰锡  等:面向智能攻击的行为预测研究                                                            1533


                    此外,为了研究复杂网络中的攻击和防御策略,Li 等人                [38] 提出一种具有完整信息的双人零和静态博弈模型,
                 为研究复杂网络中的攻击和防御策略提供了新的理论框架.该模型同时考虑了攻击和防御策略,他们探索了攻
                 击者-防御者双人零和游戏的纳什均衡,假设攻击者和防御者都有两种典型的策略:目标策略和随机策略,并证
                 明当攻击者的攻击资源没有防御者的资源那么丰富时,模型网络和现实网络中都存在纯策略纳什均衡,防御者
                 优先保护目标,而攻击者则倾向于随机选择目标;而当攻击资源远大于防御资源时,攻击者和防御者都在均衡中
                 采用目标策略.
                    然而,上述工作中,分类函数和模拟数据操作均以确定性方式建模,而不考虑任何形式的随机化.因此,Bulò
                 等人 [39] 通过在玩家的策略中引入随机性来扩展上述方法,在 2016 年提出随机预测博弈(非合作博弈论公式)克
                 服了这一局限,分类器(防御者)和攻击者根据在各自策略集上定义的某种概率分布来进行随机策略选择.该方
                 法甚至可以针对所有不同于设计期间假设的攻击,并改善垃圾邮件和恶意软件的攻击检测与错误警报之间的
                 权衡.此外,该策略还利用随机化以提高针对逃避攻击的学习算法的安全性,因为它可以向攻击者隐藏有关分类
                 器的信息.Haopu 等人    [40] 提出一种基于动态贝叶斯博弈的预测模型,针对 APT 攻击出色的不可感知性和长期持
                 久性的特点,提出了相应的定量方法来计算行为收益;然后,基于攻击过程建立动态贝叶斯模型,通过以上设计
                 的解决方案计算博弈均衡,可以用来指导 APT 攻击行为的预测.
                    上述工作中,基于随机博弈的分析方法都采用了完全理性的假设,但在实际的网络安全对抗场景中,攻守双
                 方都很难满足完全理性的高要求.为此,Zhang 等人              [61] 分析了有限理性对攻防随机游戏的影响,构建了一种随机
                 博弈模型:针对网络节点数量增加时状态爆炸的问题,设计攻防图来压缩状态空间,提取网络状态和防御策略;
                 在此基础上,引入智能学习算法 WoLF-PHC 进行策略学习和改进;然后设计了具有在线学习能力的防御决策算
                 法,该算法有助于从候选策略集中选择收益最大的最优防御策略,所获得的策略优于先前的进化均衡策略,因为
                 它不依赖于先前的数据;最后,通过引入资格跟踪来改善 WoLF-PHC,使学习速度和防御实时性得到显著提高.
                 2.3   基于攻击图的行为预测
                    攻击图是 Phillips 和 Swiler 在 1998 年引入的攻击场景的图形表示方法            [62] ,然后迅速成为一种流行的形式
                 化攻击表示方法,第 1 种攻击预测方法就是基于攻击图的方法.同时,攻击图还用作其他图网络模型预测方法的
                 基础,例如贝叶斯网络和马尔可夫模型等方法.
                    从 DDoS 攻击到恶意软件和垃圾邮件分发等,僵尸网络具有多种攻击形式,同时,大部分破坏都是在对其遏
                 制的过程中完成的,而智能僵尸网络的规避攻击、自主传播进一步带来更大的威胁,提高检测的准确性或速度
                 已力所不及.2016 年,Abaid 等人    [63] 首先利用攻击图的方法采取了新的方向——在僵尸网络的攻击发生之前,预
                 测即将发生的攻击,向网络管理员提供预警,然后通过隔离主机、切断网络等实现针对性防御.他们将僵尸网络
                 感染序列建模为马尔可夫链,识别可能导致攻击的行为.然而,面对具有变体特征的物联网僵尸网络的攻击,攻
                 击模式通常难以构建,当前的方法无法通过分析注册表信息来识别此类行为.Yassin 等人                           [41] 通过使用依赖关系
                 图组成不同僵尸网络的相似和相异模式,以促进恶意软件变体特征识别的过程,这样既构建了精确的攻击模式,
                 也能够将其视为未来的僵尸网络预测.
                    攻击图一般仅能够提供有关漏洞利用可能性的静态信息,这对于预测未来并不可靠;此外,攻击图未考虑概
                 率的不确定性.针对上述问题,GhasemiGol 等人          [42] 定义了一种不确定性感知(uncertainty-aware)攻击图,通过考
                 虑攻击概率的不确定性来评估当前网络安全状态;然后使用不确定性感知攻击图和依赖图信息定义预测攻击
                 图,预测未来可能发生的攻击.该方法可应对攻击发生的不确定性,更精确地预测未来的网络攻击并动态适应环
                 境的变化;同时,在预测过程中使用其他信息,例如入侵警报、主动响应和依赖图等,使得该预测攻击图的大小和
                 复杂性在大规模网络中也能较好地适用.
                    尽管现有文献提供了丰富的攻击图生成算法,仍需要更多方法用来帮助对攻击图进行分析.Nandi 等人                                  [43]
                 提出一种结合了攻击图和博弈论的双层防御者-攻击者模型,对具有攻击图资源限制的两人和顺序的防御者-攻
                 击者游戏进行建模.此外,考虑安全预算因素,他们在攻击图上找到最优可承受的拦截计划的方法,保护该子集
                 免受攻击,最大程度地减少了由于安全漏洞而造成的损失.