[发明专利]基于Markov时间博弈的移动目标防御决策选取方法、装置及系统

权利要求书

1.一种基于Markov时间博弈的移动目标防御决策选取方法，其特征在于，包含如下内容：

构建移动目标攻防策略集合；

分析基于Markov时间博弈的移动目标防御过程，构建Markov时间博弈移动目标防御模型；

对Markov时间博弈移动目标防御模型进行均衡求解，确定其对抗过程中最优策略；

Markov时间博弈移动目标防御模型构建中，利用动态时间博弈刻画单阶段移动目标防御博弈过程，并通过Markov决策过程刻画在不同阶段的随机迁移，将单状态单阶段时间博弈过程扩展至多状态多阶段上，通过多阶段时间博弈与Markov决策方法相结合，构建多阶段Markov时间博弈移动目标防御模型；

单状态单阶段时间博弈过程采用六元组表示的单阶段时间博弈模型STG-MTD描述，表示为STG-MTD＝(N,B,R,η,U,T)，其中，N表示攻防博弈参与人集合，B表示攻防博弈可行动作空间，R表示移动目标攻防双方所竞争的公共资源，η表示博弈信念集合，U表示移动目标攻防双方受益函数集合，T表示博弈总时间；

多阶段Markov时间博弈移动目标防御模型MTG-MTD采用十元组表示，表示为MTG-MTD＝(N,K,R,S,f,B,η,U,β,T)，其中，K表示多阶段攻防博弈阶段数，S表示不同网络攻防阶段安全状态集合，f表示状态迁移概率，β表示折现因子。

2.根据权利要求1所述的基于Markov时间博弈的移动目标防御决策选取方法，其特征在于，移动目标攻防策略集合中，移动目标攻击策略包含：移动目标攻击MTA体系中通过变换恶意软件签名实现攻击行为的多态MTA、通过动态变换恶意软件代码实现攻击行为的自修改MTA、通过隐藏恶意活动实现攻击行为的混淆MTA、通过变换恶意软件签名并隐藏恶意代码数据实现攻击行为的自加密MTA和通过变换追踪环境行为实现攻击行为的反虚拟机/反沙箱MTA；移动目标防御策略采用网络层移动目标防御MTD。

3.根据权利要求2所述的基于Markov时间博弈的移动目标防御决策选取方法，其特征在于，网络层移动目标防御MTD包含：通过变换MAC地址进行防御的MAC层MTD、通过变换IP地址进行防御的IP层MTD、通过变换网络协议进行防御的TCP层MTD、通过变换应用程序端口进行防御的会话层MTD和通过变换转发路径进行防御的路径MTD。

4.根据权利要求1所述的基于Markov时间博弈的移动目标防御决策选取方法，其特征在于，模型均衡求解过程中，从移动目标攻防双方对攻击面的控制出发，结合移动目标攻防策略组合下的攻击收益值和防御收益值，获取移动目标攻防收益矩阵，并采用折现期望回报准则函数作为博弈双方目标函数对移动目标攻防策略收益进行量化分析。

5.根据权利要求1所述的基于Markov时间博弈的移动目标防御决策选取方法，其特征在于，模型均衡求解过程中，首先，通过引入子博弈精炼纳什均衡方法，去除均衡中不可置信威胁策略的纳什均衡，确定单阶段时间博弈均衡上的最优策略；然后，通过折现因子将博弈均衡策略的求解问题转换为非线性规划最优值问题，求解得到多阶段均衡策略及其收益，进而确定攻防双方最优移动目标防御策略。