8、动态环境下安全时机博弈模型解读

动态环境下安全时机博弈模型解读

1. 引言

自冷战时期以来，人们就对时机博弈研究产生了浓厚兴趣，旨在理解在与安全相关的决策场景中何时采取行动。近年来，内部威胁、网络间谍活动和其他高度隐蔽的攻击类型不断增加，这使得人们更加渴望深入了解审计、清理或减轻此类攻击的行动时机。然而，现有的博弈和决策理论方法（包括FlipIt模型）普遍存在一个局限性，即假设玩家行动的成本和有效性与时间无关。

在实际情况中，攻击的成本和成功概率通常会随时间变化。攻击者可能只会在有机会时（如发现漏洞时）发动攻击。这些情况促使我们开发考虑动态环境的时机博弈模型。防御者需要制定最优防御策略，考虑攻击者发现漏洞的特性；攻击者则面临何时利用已识别漏洞的决策困境。

例如，黑客群体早就知道微软将在2014年4月停止对Windows XP的支持，这将大大降低该软件产品的防御和缓解工作。安全专家推测攻击者会开始囤积漏洞以获取更多利益。但在什么情况下，这种行为对攻击者是最优的呢？毕竟存在漏洞在计划利用时间之前被内部安全团队或外部道德黑客重新发现的风险。

本文提出并研究了一个捕捉动态环境的模型。我们研究了部署新服务或资源的防御者面临的问题，该服务或资源必须防范网络攻击。我们假设攻击者根据给定的漏洞发现过程（建模为时间的任意函数）发现漏洞。攻击者和防御者都知道每个发现的漏洞都有基本的生命周期，即漏洞在未来日期仍可利用的可能性受到道德黑客的影响，道德黑客可能重新发现漏洞并使其对攻击者无用。同时，防御者可以进行缓解工作以降低漏洞被利用的影响。因此，攻击者面临着是立即利用漏洞还是等待防御者放松警惕的两难选择，后一种选择存在空手而归的风险。

为了提高模型的适用性，我们开发了连续时间和离散时间两个版本的