超级会员免费看
基于博弈论的IP地址随机化方法解析
1. 博弈模型构建
在网络安全场景中,虚拟网络和攻击者之间的交互可以通过博弈论进行建模。攻击者选择扫描策略,由同时连接的数量α决定,α的上限为αmax,由管理程序设定以避免系统CPU过度使用。攻击者维护每个连接需承担成本ω,单位时间内扫描的节点数Δ = α / τ,其中τ取决于攻击者采用的检测方法。
系统在每个时间t决定是否随机化IP地址空间,随机化会带来两个成本:攻击者检测到真实节点的概率和因随机化导致的连接中断数量。检测概率在时间t等于截至该时间扫描的节点比例Δt / n,连接中断成本等于将每个连接迁移到真实节点新IP地址的延迟β乘以到真实节点的连接数Y(t)。
系统的效用函数为$U_S(\alpha, R) = -E\left[\frac{\alpha}{\tau n}R + \beta Y(R)\right]$,攻击者的效用函数为$U_A(\alpha, R) = E\left[\frac{\alpha}{\tau n}R - \omega\alpha\right]$,该博弈具有Stackelberg结构,系统先选择随机化策略,攻击者再根据此策略选择扫描速率。
2. 系统的最优策略
系统的信息集包括当前有效会话数Y(t)和攻击者在时间t扫描的诱饵节点比例D(t)。系统的目标是选择随机化时间R以最小化成本函数,可表示为优化问题:
$\min_{R} E(D(R) + \beta Y(R))$
随机化策略可看作从时间t的信息空间(Y(t), D(t))到{0, 1}变量的映射,1表示在时间t随机化,0表示不随机化。
活动会话数Y(t)遵循M/G/1排队模型,
订阅专栏 解锁全文
扫一扫
13
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
