面向APT攻击的网络欺骗防御策略研究

作     者：孔冠骅 

作者单位：战略支援部队信息工程大学 

学位级别：硕士

导师姓名：陈福才

授予年度：2024年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：网络欺骗防御 博弈论 APT攻击 欺骗部署策略 强化学习 

摘      要：随着现代科学技术的快速发展,网络规模爆炸式增长,深入到生活的方方面面。然而,网络在方便人们生产生活的同时,也不断遭受高级可持续威胁(Advanced Persistent Threat,APT)攻击。传统网络安全防御技术如防火墙、入侵检测等主要基于对网络攻击的先验知识,难以防御利用未知漏洞和后门的APT攻击,网络攻防存在不对称性,亟需新的网络防御方法来扭转“易攻难守的网络攻防现状。 网络欺骗防御通过采取欺骗性质的防御措施来影响攻击者对系统的认知,误导攻击者的决策,从而达到防御目的,为扭转攻防不对称提供了新方法。然而当前网络欺骗防御尚未形成针对性、体系化、多阶段协同的决策框架,在面对APT攻击时仍存在防御效果不佳的问题。因此,本文研究面向APT攻击多个阶段的网络欺骗防御策略,分别建模分析具体的攻防场景,并针对性的给出解决方法,实现APT攻击前、中、后三个阶段全过程纵深欺骗防御,提高防御能力。本文的主要研究内容和贡献如下: 1.在APT攻击前期,攻击者会侦查扫描目标网络的信息,防御者无法确定侦查扫描的方式,导致其难以选择最佳策略。针对这个问题,本文提出一种基于超博弈模型的欺骗资产选取方法。针对网络攻击者的侦查攻击行为,首先分别对系统、攻击者以及防御者进行建模,并对攻防双方收益进行量化并给出收益函数表示,接着将超博弈根据攻防场景分为三个子博弈并分别进行分析,给出超博弈期望收益衡量攻防双方的收益情况来指导策略选择,最后通过仿真实验验证模型的有效性。 2.在APT攻击中期,攻击者在内网横向移动,防御者需要部署欺骗资产拦截攻击者,然而攻击者的动态策略使得防御者难以确定最佳部署位置。针对这个问题,本文提出一种基于多智能体随机博弈的欺骗资产部署策略求解方法。针对攻击者横向移动行为,首先基于迷宫寻路模型来描述内网横向移动攻防过程,接着基于随机博弈对攻防交互过程进行建模分析,并基于多智能体强化学习算法Nash Q-learning给出最优欺骗部署策略求解方法,最后通过仿真实验验证了所提模型和算法具有良好的收敛性以及防御效果。 3.在APT攻击后期,攻击者已经逼近目标节点并尝试实施恶意行为,防御者需要轮换欺骗资产来保持防御效能,然而轮换过程存在时滞,防御者难以确定最佳欺骗资产轮换周期。针对这个问题,本文提出一种基于时滞Flip It博弈的欺骗资产部署时机选取策略。首先基于攻击图模型对攻防场景进行建模,接着基于Flip It博弈对攻防交互过程建模,引入折扣因子和状态转移函数,将模型扩展为多阶段Flip It博弈模型,并基于深度强化学习算法提出最佳策略求解方法。最后通过实验得出不同时滞下的最佳轮换周期,验证了算法和模型的有效性。