基于博弈论的网络服务提供商出口检测策略分析

　　摘要：网络服务提供商（ISP）作为网络信息的汇聚者和分发者是最佳的网络病毒防御方。但ISP出于对成本和代价的考虑，通常只检测流入信息而忽略流出信息。为此，对ISP在整个网络中所采取的安全措施进行了分析，提出了出口检测策略，以期对ISP进行策略选择提供参考。该方法的主要思路为：首先，建立了ISP与攻击者之间的博弈模型和网络病毒传播模型；其次，在考虑网络病毒动态传播的情况下，分析了ISP的出口检测策略变化对病毒传播的影响。理论分析表明：当不采取出口检测时，ISP自身被入侵的风险会增大；当采取出口检测时，不仅ISP自身的收益会提高，而且有助于提高整个网络的安全性。通过Matlab仿真实验验证了理论分析的正确性。 

　　关键词：网络服务提供商；网络病毒；博弈模型；病毒传播模型；出口检测 

　　中图分类号：TP309.5 

　　文献标志码：A 

　　Abstract：Internet Service Provider （ISP）， as the convergers and distributors of network information， is the best network virus defender. However， ISP usually would like to detect the ingress information while ignoring the egress information according to the cost. The security measures for ISP in the whole network were analyzed and the strategy of egress detection was presented to provide reference for ISPs selection of strategies. First， the game model between ISP and attackers and the spreading model of network virus were proposed. Secondly， the impacts of the strategies selected by ISP on the spreading of virus were analyzed when the dynamical spreading of network virus was considered. The results show that ISP will face an increase in invasion risk when it does not take egress detection， however the adoption of egress detection can improve not only the ISPs own utility， but also the security of the whole network. The validity of the theoretical results was verified by Matlab simulation. 

　　英文关键词Key words：Internet Service Provider （ISP）；network virus； game model； virus spreading model； egress detection 

　　0 引言 

　　网络服务提供商（Internet Service Provider，ISP）作为网络信息输入和输出的主要载体，尤其需要考虑网络的入口和出口检测问题[1]。然而，任何策略的制定都需要考虑一定的成本和代价，因此本文通过建立博弈模型对ISP的策略选择进行收益量化。 

　　随着计算机病毒的演化，张勇等[2]对威胁、管理员和普通用户的行为进行博弈分析，建立三方参与的Markov博弈模型，并对相关算法进行了优化分析，提供的加固方案可有效抑制威胁的扩散；朱建明等[3]基于非合作演化博弈理论，提出了在攻防双方信息不对称情况下具有学习机制的攻防演化博弈模型；Relura[4]在分析人类传染病传播过程中，利用博弈论研究了社交距离改变对疾病传播的影响；Khouzani等[5]通过建立博弈模型，对ISP是否采取出口检测进行了收益量化，但并没有考虑病毒传播这一因素。受文献[4-5]的启发，本文在考虑病毒传播的情况下，研究ISP策略改变时对病毒传播以及ISP整体收益的影响，为ISP进行策略制定提供参考。 

　　1 网络病毒传播模型 

　　研究计算机病毒最基本的模型是SIR（SusceptibleInfectiousRecovered）模型[6]，通过研究易感者S（Susceptible）、感染者I（Infectious）、恢复者R（Recovered）数量以及感染率、恢复率等控制病毒的传播[7]。本文用X、Y、Z表示ISP中易感染者数量、已感染者数量和免疫者数量，并假定ISP的总量恒定，即X+Y+Z≡K。 β和γ分别表示病毒的传染率和ISP的恢复率。本文引入新的参数σ（rs）表示ISP采取某种特定策略进行投资的相对风险，其中rs表示ISP采取该策略的投资，由此得到一个网络病毒传播模型，如图1所示。 

　　2 ISP与网络病毒博弈模型 

　　每个ISP在一定时间内以一定速率对所采取的安全措施进行策略改变的次数都服从泊松过程[8]。根据ISP所采取的不同策略将其分为3种状态：1）ISP已经购买并且使用了安全措施；2）ISP未购买安全措施；3）ISP已经购买但并未使用安全措施。这3种状态分别用e、n、d表示。同时，定义Eij（x）（i， j∈{e，n，d}）表示每个ISP从状态i转换为j的期望效用值。

　　2.1 估计期望效用值 

　　从图3可看出：随着博弈平衡点x*的逐渐增大，ISP的整体期望收益V（x）呈递增趋势，即：随着ISP中易感者数量的增加，ISP的整体收益值增加。 

　　由图2～3和定理3可得出：在考虑网络病毒传播的情况下，当ISP采取出口检测策略时，被成功入侵的可能性Π1最小为π1，此时，平衡点x*水平最高，对应ISP的整体期望收益值V（x）最大，而对安全措施进行投资的相对风险σ（r）最小。