12、应对资源受限的隐形攻击的博弈论模型

应对资源受限的隐形攻击的博弈论模型

1. 引言

网络安全形势随着网络攻击手段的日益复杂而不断变化。近年来，高级持续性威胁（APT）成为网络安全的重大隐患。APT攻击具有显著特点，传统防御机制难以应对：
- 目标明确 ：通常由有特定目标的实体发起。
- 持续攻击 ：为达成目标持续行动，可能涉及多阶段或长时间的连续操作。
- 高度隐蔽 ：采用“低速率、慢节奏”的方式，避免被检测，部分攻击数月甚至更长时间都未被发现。

传统的入侵检测和预防技术针对一次性和已知类型的攻击，在应对持久且隐蔽的攻击时显得力不从心。同时，信息系统的安全故障往往源于对系统中各实体激励机制的误解，而非缺乏合适的技术手段。因此，博弈论模型被广泛应用于网络安全领域，但传统博弈模型未能充分考虑高级攻击的持久和隐蔽特性，且常忽略游戏过程中的严格资源限制，这可能导致资源过度或不足配置，造成收益损失。

本文研究了一个明确考虑资源限制的隐形攻击的两人非零和博弈。我们考虑一个包含N个独立节点的系统，有攻击者和防御者。在连续时间内，攻击者和防御者需决定何时攻击或夺回节点，每次行动有单位成本，且成本因节点而异。每个玩家控制节点可获得单位时间价值，总收益为控制节点的总价值减去总成本，我们关注长期时间平均收益。

为模拟隐形攻击，假设防御者在游戏中无法获得攻击者的反馈，而攻击者能完全观察防御者的行动。同时，我们明确对双方的行动频率设置上限，以体现资源限制。我们考虑了纳什均衡和序贯均衡两种情况，在序贯均衡中，防御者先宣布策略，攻击者再做出回应，这种情况在网络安全中很常见，且可能为防