虚拟专用网和入侵检测系统最优配置策略的博弈分析 (1)研究.pdfVIP

管 理 工 程 学 报 Vo1．28．NO．4 JournalofIndustrialEngineering／EngineeringManagement 2014年 第 4期 虚拟专用网和入侵检测系统最优配置策略的博弈分析 赵柳榕 ，梅姝娥，仲伟俊 (东南大学 经济管理学院，江苏 南京 211189) 摘要 ：为研 究阻止黑客入侵和降低信 息安全技术配置成本的策略 ，利用博弈论建立虚拟专用 网 (VPN)和入 侵检测系统 (IDS) 的信 息安全技术组合模 型 ，比较两种情况下公司和黑客博弈 的纳什均衡混合策略 ，分析 VPN 对降低 IDS误报率的影响。研究表 明，配置两种技术组合的人工调查策略与单独配置 IDS时相 同，一定条件下配 置两种技术组合阻止黑客入侵效果更好 ，但 VPN修复故障成本很高或人工调查成本很低时，单独配置 IDS为公司 的最优策略。配置 VPN对 降低 IDS的误报率并不总是正相关。数值模拟表明，当IDS检测率较高，用户数量较 多 时 ，配置两种技术组合为公司的最优策略。 关键词 ：虚拟专用网；入侵检测系统；信息安全经济学；博弈论 中图分类号：C93；N94 文献标识码 ：A 文章编号：1004—6062(2014)04-0187—06 0 引言 管理问题 。Cavusoglu和 Raghunathan以防火墙 和 IDS组 由于新的病毒和木马等威胁充斥着 网络环境 ，需要不 同 合为例，研究两种技术组合情况下的参数配置问题 。 的安全技术组合减少网络安全风险。虚拟专用网(VPN)和 基于 已有的文献研究基础 ，本文构建了VPN和 IDS技术 入侵检测系统 (IDS)是两种主流的信息安全技术 。虚拟专 组合的博弈模型，研究公司只配置 IDS、同时配置VPN和IDS 用网是指利用公共 网络 的一部分来发送专用信息，形成逻辑 两种情形下，公司和黑客博弈的纳什均衡混合策略。比较了 上的专用网络 ，可 以在两个异地子网之间建立安全的通道 。 增加配置VPN技术后 ，对黑客人侵概率和降低 IDS误报率的 入侵检测系统对系统的运行状态进行监视 ，发现各种攻击企 影响。全文研究结构安排如下：第 1节给 出了文章的模型描 图、攻击行为或攻击结果 ，以保证系统资源的机密性、完整性 述、假设条件和参数说明等；第2节分两种情形展开公司和 和可用性。IDS的一个重要特点是，能使系统对入侵事件和 黑客博弈模型分析；第3节数值模拟分析两种情况下的最优 过程做出实时响应 ，对付来 自内部网络 的攻击 。现实中， 配置策略，并得出用户数量变化时的公司最优配置策略。 会根据 网络 的拓扑结构、应用类型和安全要求用合适 的协议 建立 VPN，用 以拦截篡改和伪造 的文件或身份验证来控制和 1 基本模型 保护 网络流量 ，同时运用 IDS对 网络系统的若干关键点实时 考虑两种用户 ：合法的和非法 的。定义合法用户是访 问 监控 ，在发现入侵行为以后通过系统管理员或设置的安全策 公司系统为公司提供正收益 的 (包括不乱用特权 的职员、管 略 自动对系统进行调整 。 理员、顾客、合作伙伴等)；非法用户是访 问公司系统在任何 目前国内外信息安全经济学领域的研究主要集中在对 情况下都不为公司提供正收益的，即 “入侵者”或 “黑客”。 信息安全投资策略方面 ，对信息安全技术组合配置策略 假设用户总数为 n，其 中合法用户 的比例 占 ，e [0，1]，则 的研究文献相对较少。Lee和 Fan等分析了入侵检测系统的 合法用户数量为 n ，黑客数量为 n(1一 )。IDS的 目标是检 成本敏感性模型 。Cavusoglu，Mishra和 Raghunathan研究 测黑客的入侵 ，用户的入侵概率为 。若一个黑客入侵未被 了IDS的检测率与误报率 的配置策略，