《 基于博弈论的高级持续威胁（APT）防御方法》25页最新论文

近年来，针对工业生态系统的高级持续性威胁（APT）的复杂性急剧增加。这使得开发超越传统解决方案的高级安全服务成为必须，舆论动力学（Opinion Dynamics）就是其中之一。这种新颖的方法提出了一个多智能体协作框架，允许跟踪APT的整个生命周期。在本文中，我们介绍了TI&TO，这是一个攻击者和防御者之间的双人博弈，代表了一个现实的场景，双方都在争夺现代工业结构中的资源控制权。通过使用博弈论来验证这种技术，我们证明，在大多数情况下，舆论动力学包括有效的第一项措施，以阻止和减少APT对基础设施的影响。为了实现这一目标，攻击者和防御者的模型都被标准化，并应用了一个公平的评分系统，后者用不同的策略和网络配置运行了几个模拟测试案例。

引言

世界各地的公司面对的网络安全攻击数量明显增长，导致了巨大的经济损失[2]。当涉及到关键的基础设施（即核电站、电网、运输和制造系统）时，这种情况变得更加严重，其工业控制系统必须在所有条件下保持工作。在这里，我们处理的是SCADA（监督控制和数据采集）系统，几十年来一直在与外部网络隔离的情况下工作；反过来，如今它们正越来越多地整合新技术，如物联网（IoT）或云计算，在削减成本的同时外包各种服务。因此，需要做出更大的努力来跟上这种进步，以应对这些系统可能带来的最新的攻击载体和可利用的漏洞。

近年来最关键的问题之一是高级持续性威胁（APTs），这是一种复杂的攻击，特别是针对目标基础设施，由一个资源丰富的组织实施。它们的特点是利用零日漏洞（零时差攻击），采用隐蔽技术，使威胁在受害者网络中长期无法被发现。Stuxnet是第一个报道的这种性质的威胁[6]，但许多其他的威胁在之后被发现，通常是在攻击完全执行后的几个月[7]。在网络安全方面，只是提出了一些机制来从整体上解决这个问题，超越了传统的机制（如防火墙、入侵防御系统（IPS）、入侵检测系统（IDS）、防病毒），这些机制只代表了在第一阶段对APT的准时保护[21]。

在这些新颖的机制中，舆论动力学（Opinion Dynamics）[15]包括一个多智能体协作系统，通过分布式异常关联，使攻击的整个生命周期都可以被追踪。在本文中，我们提出了一个理论但现实的方案，以证明该方法在不同类型的攻击模式下的有效性，使用结构可控性领域[8]和博弈论[14]支持的概念。为了这个目标，我们开发了TI&TO，这是一个双人博弈，攻击者和防御者为控制现代工业结构中的资源而竞争。两个玩家都有自己的动作和相关的分数，分别根据APT和基于Opinion Dynamics的检测系统的行为。这个博弈最终在不同的模拟中运行，旨在展示算法的能力，同时也建议将该技术与其他防御方案结合起来进行最佳配置。因此，我们可以把我们的贡献总结为：

• 正式定义TI&TO博弈，指定游戏板、每个玩家的目标和得分规则。
• 设计一个攻击者模型，以一组阶段的形式，灵活地表示APT的各个阶段，以表示攻击者的行动，这些行动受制于一个确定的分数。
• 设计一个基于使用意见动态和响应技术（即本地检测、冗余链接、蜜罐）的防御者模型，以减少APT在网络中的影响，这也意味着博弈中的相关得分。
• 进行的实验验证了该算法，并推荐了返回最佳结果的防御者的配置。

本文的其余部分组织如下。第2节介绍了 "舆论动力学"的概念，并强调了应用博弈论来检测网络攻击的建议。在第3节中，定义了博弈，包括规则以及攻击和防御模型。然后，进行了几次模拟，并在第4节进行了讨论。最后，在第5节中提出了结论和未来的工作。