16、网络安全中的超博弈与极小极大检测理论

网络安全中的超博弈与极小极大检测理论

1. 超博弈理论在网络防御中的应用

1.1 防御者选项与攻击者目标

在网络防御场景中，防御者有多种选择。以下是防御者可选择的主机服务情况：
| 主机 ID | 服务 | 非关键服务 |
| ---- | ---- | ---- |
| 0 | {0, 1, 2} | ∅ |
| 1 | {1, 0} | ∅ |
| 2 | {1, 2} | ∅ |
| 3 | {0, 1, 2} | {0, 1} |
| 4 | {0, 1} | ∅ |
| 5 | {0, 1, 2} | ∅ |

攻击者的目标通过 scLTL 公式 𝜑2 = ¬decoy U p2 ∧¬decoy U p5 表达，其中 pi 表示攻击者已攻陷主机 i 并获得该机器的用户或根访问权限。不过，攻击者并不知道诱饵的位置，在该系统中，诱饵是主机 4。

1.2 超博弈分析结果

通过超博弈分析，得到以下结果：
- 初始状态下，攻击者位于主机 0 并拥有用户访问权限，且攻击者认为初始状态是获胜状态。
- 假设信息完全对称，防御者的获胜区域大小为 131。
- 在信息不对称的情况下，当攻击者采用其认为的获胜策略时，防御者的获胜区域大小为 193，大于信息对称时的情况。
- 利用超博弈的解决方案，防御者有获胜策略来阻止攻击者在网络中实现其目标。

1.3 获胜区域的作用

防御者的获胜区域能帮助我们判断在给定初始状态下安全规范是否得到满足。例如，若攻击者以用户权限访问了主机 2，我们可