一種基于非完全信息的入侵檢測系統最優穩態策略求解方法，包括以下步驟：1)攻擊者針對網絡系統狀態信息的缺失，建立基于信念的連續零和隨機博弈模型，給出攻擊者的最優穩態策略；2)入侵檢測系統作為信息優勢方，建立具有連續性和離散性的混合狀態的Markov決策過程，給出入侵檢測系統的最優穩態策略；3)使用一種基于深度強化學習的算法，求解出攻擊者和入侵檢測系統的最優穩態策略。本發明提供了一種基于非完全信息的入侵檢測系統最優穩態策略求解方法，攻擊者缺失網絡系統狀態信息的情況下，分析攻擊者和入侵檢測系統的行為，找到攻擊者和入侵檢測系統的最優穩態策略。

技術領域

本發明屬于網絡安全技術領域，具體涉及一種基于非完全信息博弈的入侵檢測系統最優穩態策略的求解方法。

背景技術

目前網絡系統已經遍布社會生產生活的各個領域，但是由于網絡系統其本身開放的性質，各種惡意個人和團體出于金錢或其他目的，尋找網絡系統中的漏洞，非法攻擊各種網絡系統，使得網絡系統的安全面臨嚴峻威脅和挑戰。因此，網絡系統的安全性已成為一個非常重要的研究方向。

網絡系統的安全問題大多是在惡意攻擊者和網絡的防守者之間展開，博弈論為我們提供了一個很好的思想去研究這類安全問題，現如今已經有大量的研究將博弈論應用于網絡攻防分析，但是大部分的研究仍然是在攻防雙方完全知道各自信息的前提下展開，對于雙方不完全掌握各自信息情況的研究仍然是這方面研究的難點和重點。然而在實際情況中，這種信息不完全的情況是比較常見的。

發明內容

為了克服已有技術的不足，本發明提供了一種基于非完全信息的入侵檢測系統最優穩態策略求解方法，攻擊者缺失網絡系統狀態信息的情況下，分析攻擊者和入侵檢測系統的行為，找到攻擊者和入侵檢測系統的最優穩態策略。

本發明解決其技術問題所采用的技術方案是：

一種基于非完全信息的入侵檢測系統最優穩態策略求解方法，包括以下步驟：

1)攻擊者針對網絡系統狀態信息的缺失，建立基于信念的連續零和隨機博弈模型，給出攻擊者的最優穩態策略；

2)入侵檢測系統作為信息優勢方，建立具有連續性和離散性的混合狀態的Markov決策過程，給出入侵檢測系統的最優穩態策略；

3)使用一種基于深度強化學習的算法，求解出攻擊者和入侵檢測系統的最優穩態策略。

進一步，所述步驟1)中，建立基于信念的連續零和隨機博弈模型，攻擊者的純動作集合為α_a＝i代表攻擊者使用中相應的某一攻擊類型i，其相應給定的攻擊代價為c_a(i)＞0，入侵檢測系統的有限檢測庫集合為其中，每個庫l_i會以一定的概率檢測到攻擊類型α_a，加載一個庫l_i也有其相應給定的代價入侵檢測系統通過加載不同的庫來檢測不同的攻擊類型，定義F_i，i∈{1,2,...,2^N}表示入侵檢測系統對于庫的不同配置。入侵檢測系統的純動作集合為純動作表示選擇具體的某一配置，因此執行純動作α_d的代價為若入侵檢測系統執行純動作α_d，則識別到攻擊類型α_a的概率為定義集合表示網絡系統3種狀態的集合，其中S₁，S₂，S₃分別代表網絡系統的健康，受損，故障3種狀態。在狀態S_k下，若攻擊類型α_a未被入侵檢測系統檢測到，則會對網絡系統造成的損害表示為D(S_k,α_a)，定義在狀態S_k下，入侵檢測系統選擇純動作α_d，攻擊者選擇攻擊類型α_a，攻擊者的收益，也即入侵檢測系統的損失為

網絡系統的不同狀態之間會以一定的概率進行相互轉移，定義網絡系統的狀態轉移矩陣為