云原生中基于FlipIt博弈的动态异构调度方法

许含意; 程国振; 周大成; 郭威

doi:10.3969/j.issn.1671-0673.2025.03.012

信息工程大学学报 ›› 2025, Vol. 26 ›› Issue (03) : 338 -344. DOI: 10.3969/j.issn.1671-0673.2025.03.012

网络空间安全

云原生中基于FlipIt博弈的动态异构调度方法

作者信息 +

Dynamic Heterogeneous Scheduling Method Based on FlipIt Game in Cloud Native

Author information +

文章历史 +

PDF (2324K)

摘要

针对微服务同质化运行环境下漏洞后门被利用风险较高的问题，提出云原生中基于FlipIt博弈的动态异构调度方法。首先，采用多样化的容器镜像构建异构资源池，将不同容器部署看作不同防御策略，并从多维度量化容器的异构程度；其次，将攻防交互过程建模为基于FlipIt的单阶段博弈模型，通过引入折扣因子和转移概率，将其转化为多阶段动态博弈模型；最后，通过实验验证调度方法的有效性。结果表明，所提方法的防御收益值相较于全服务轮换和随机防御方法平均提升了4.04倍，且在多阶段博弈中，防御者的平均收益函数高于攻击者，表明该方法具有较好的防御效果。

Abstract

To address the high risk of vulnerability and backdoor exploitation in homogeneous microservice environments, a dynamic heterogeneous scheduling method based on the FlipIt game is proposed. First, heterogeneous resource pools are constructed using diversified container images, where distinct container deployments are regarded as differentiated defense strategies. The heterogeneity of containers is quantified from multiple dimensions. Second, the attacker-defender interaction is modeled as a single-stage FlipIt game. By introducing a discount factor and transition probability, the model is extended to a multi-stage dynamic game. Finally, experimental results validate the effectiveness of the proposed method. The results show that the defense revenue of the proposed method is improved by an average of 4.04 times compared to those of full-service rotation and random defense strategies. In multi-stage game scenarios, the defender’s average revenue consistently exceeds the attacker’s, indicating superior defensive performance.

Graphical abstract

关键词

云原生 / FlipIt博弈 / 移动目标防御 / 容器异构

Key words

cloud native / Fliplt game / moving target defense / container heterogeneity

引用本文

引用格式 ▾

[Author(id=1210245420145627895, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, orderNo=0, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=xuhanyi_1221@163.com, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1210245420539892489, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, authorId=1210245420145627895, language=EN, stringName=Hanyi XU, firstName=Hanyi, middleName=null, lastName=XU, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=Information Engineering University, Zhengzhou 450001, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1210245421756240670, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, authorId=1210245420145627895, language=CN, stringName=许含意, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=信息工程大学，河南郑州 450001, bio={"content":"

许含意（1996—），女，硕士生，主要研究方向为云计算安全。E-mail：xuhanyi_1221@163.com

"}, bioImg=null, bioContent=

许含意（1996—），女，硕士生，主要研究方向为云计算安全。E-mail：xuhanyi_1221@163.com

, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1210245419856220893, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, xref=null, ext=[AuthorCompanyExt(id=1210245419877192415, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, companyId=1210245419856220893, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=Information Engineering University, Zhengzhou 450001, China), AuthorCompanyExt(id=1210245419889775328, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, companyId=1210245419856220893, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=信息工程大学，河南郑州 450001)])]), Author(id=1210245421957567276, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, orderNo=1, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=null, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1210245422146310971, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, authorId=1210245421957567276, language=EN, stringName=Guozhen CHENG, firstName=Guozhen, middleName=null, lastName=CHENG, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=Information Engineering University, Zhengzhou 450001, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1210245422397969232, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, authorId=1210245421957567276, language=CN, stringName=程国振, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=信息工程大学，河南郑州 450001, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1210245419856220893, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, xref=null, ext=[AuthorCompanyExt(id=1210245419877192415, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, companyId=1210245419856220893, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=Information Engineering University, Zhengzhou 450001, China), AuthorCompanyExt(id=1210245419889775328, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, companyId=1210245419856220893, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=信息工程大学，河南郑州 450001)])]), Author(id=1210245422595101538, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, orderNo=2, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=null, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1210245422888702839, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, authorId=1210245422595101538, language=EN, stringName=Dacheng ZHOU, firstName=Dacheng, middleName=null, lastName=ZHOU, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=Information Engineering University, Zhengzhou 450001, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1210245423102612359, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, authorId=1210245422595101538, language=CN, stringName=周大成, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=信息工程大学，河南郑州 450001, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1210245419856220893, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, xref=null, ext=[AuthorCompanyExt(id=1210245419877192415, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, companyId=1210245419856220893, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=Information Engineering University, Zhengzhou 450001, China), AuthorCompanyExt(id=1210245419889775328, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, companyId=1210245419856220893, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=信息工程大学，河南郑州 450001)])]), Author(id=1210245423291356058, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, orderNo=3, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=null, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1210245423563985843, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, authorId=1210245423291356058, language=EN, stringName=Wei GUO, firstName=Wei, middleName=null, lastName=GUO, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=Information Engineering University, Zhengzhou 450001, China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1210245423861781448, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, authorId=1210245423291356058, language=CN, stringName=郭威, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=信息工程大学，河南郑州 450001, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1210245419856220893, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, xref=null, ext=[AuthorCompanyExt(id=1210245419877192415, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, companyId=1210245419856220893, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=Information Engineering University, Zhengzhou 450001, China), AuthorCompanyExt(id=1210245419889775328, tenantId=1045748351789510663, journalId=1155139928303341809, articleId=1160183220001235015, companyId=1210245419856220893, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=信息工程大学，河南郑州 450001)])])] 许含意,程国振,周大成,郭威. 云原生中基于FlipIt博弈的动态异构调度方法[J]. 信息工程大学学报, 2025, 26(03): 338-344 DOI:10.3969/j.issn.1671-0673.2025.03.012

登录浏览全文

4963

注册一个新账户忘记密码

0 引言

云计算作为互联网时代的核心使能技术，正推动网络从“以资源为中心”向“以应用为中心”的云原生时代^[1]演进。近年来，微服务化和容器化的特点促使云原生技术迅速发展，容器技术因其灵活高效特性，被作为虚拟机替代大规模应用于云原生环境中。此外，容器技术提供了一致的且可以移植的软件环境，服务于快速迁移和自动化部署软件环境^[2]。容器的管理和编排系统Docker和Kubernetes的出现，改变了云上部署、迁移和构建多层分布式应用系统的生态环境^[3]。伴随着容器技术的大规模应用，在给云原生技术提供赋能的同时，也给云原生用户带来了大量的挑战。

随着网络攻击手段和工具的进步与发展，网络攻击场景呈现出隐蔽、持久、复杂的特点，如高级持续性威胁（Advanced Persistent Threats, APT）^[4]。目前，云原生系统大多数情况下采用比较传统的安全机制，如入侵检测^[5]、入侵容忍^[6]、访问控制^[7]等相对传统的安全机制进行防御，由于网络空间中攻防双方掌握信息的不对等，导致攻防的不对称。为了改变网络空间易守难攻的现状，移动目标防御^[8]技术（Moving Target Defense, MTD）应运而生。常见的移动目标防御方法包括：重组IP地址^[9]、软件多样化^[10]和网络拓扑的重新排列^[11]等。

博弈论是运用数学的手段，来研究在对抗冲突的前提下每个个体之间互动情况以及个体所产生后果的概念，广泛运用于经济学、管理科学和网络防御当中。FlipIt博弈是针对APT攻击所提出的，现有的网络环境中即使是最安全、最隐蔽的网络系统都可能会遭受到有动机且有策略性的攻击，且这些攻击很难被系统拥有者检测到。

微服务应用运行过程中面临着很严重的渗透威胁，其中一部分威胁来自于不安全的云原生环境，另外一部分威胁来自于微服务应用的内在特征。多租户的模式会使得云原生环境中有很多恶意租户，他们会通过侧信道攻击、同驻攻击和容器逃逸攻击来威胁云原生环境中普通租户的安全。

在云原生环境中，不同的租户分别分布在不同的租户网络中，不同的租户网络是由CGroup和Namespace等隔离机制进行隔离。一旦隔离机制失效，租户的流量对于所有人来说便是清晰可见的。因此，攻击者会通过破坏隔离机制这种办法来渗透到租户网络当中。现有的微服务应用系统一般会采用同质化的容器集群来执行任务，这就容易使攻击者获得最大的攻击收益，攻击者只需要利用容器中存在的一个漏洞就可以完成对所有同质容器的渗透。

针对微服务同质化运行环境下漏洞后门被利用风险较高的问题，提出针对微服务应用的运行环境也就是容器进行异构，利用若干功能相同且异构的容器构建异构的资源池，并将不同的容器排布作为不同的防御策略，将微服务应用运行容器的安全建模为FlipIt博弈问题，最大程度上提升系统的安全性。

1 方法概述及原理

1.1 方法概述

网络中的攻击者都是智能且理性的个体，他们会追求攻击收益的最大化。攻击者为最大化数据窃取收益，倾向于以最小攻击次数入侵尽可能多容器。为了防御这种类型的攻击者，提出了云原生中基于FlipIt博弈的异构调度方法，如图1所示，防御策略主成与切换流程主要思想如下。

1）使用不同的容器镜像生成多样化的容器来增加攻击者的攻击成本。如果执行微服务的所有的容器都是A类型的容器，那么攻击者仅需要基于该容器漏洞攻击便可以入侵所有的容器（这里假设攻击者可以同时对多个容器进行攻击）。但容器集群使用不同类型的容器，攻击者就很难使用一次攻击攻破所有的容器。

2）将容器集群中不同类型容器的分布看作不同的防御策略，构建针对微服务运行容器的多阶段FlipIt博弈模型。通过马尔科夫决策过程分析多阶段FlipIt模型的决策过程，最终获得最优的混合防御策略。基于所得的混合防御策略，云原生系统可以回收和重新部署不同类型的容器来动态的切换防御策略，减少攻击者通过探测获取防御信息的概率。

1.2 异构度量化

功能等价的异构容器包括操作系统、容器进行时和应用程序等多方面的异构，使用的衡量异构度的方法是从多维度出发来量化容器的异构度，可以作为衡量攻防双方收益的重要影响因素。

假设微服务环境中运行的容器实体有

n

个，记作

V = {V 1, V 2, ⋯, V n}

。使用

d i

表示容器

V i

对应的异构镜像的数量，

D = {d 1, d 2, ⋯, d n}

表示云环境中总的异构镜像数。使用

p

元特征来表示功能等价的异构容器，其中

p = (δ i 1, δ i 2, ⋯, δ i l)

，表示从

l

个层次来衡量容器之间的异构度。当两个功能等价的容器的特征向量相同时，代表这两个容器是同构的，当两个容器的特征向量不同时，特征向量的值越大，表示两个容器之间的异构程度越大。

1.3 博弈过程分析

文献[12]在2013年首次引入了FlipIt博弈模型，这个模型的独特性体现在，FlipIt博弈包含两个局中人，即攻击者、防御者，以及他们要抢夺的公共资源。但局中人在进行实际的攻防操作之前，不会对外显示出对资源的控制权，故FlipIt博弈的最大特性便是隐蔽性。最大化控制公共资源、最小化攻防的成本是攻防双方的共同目标，根据FlipIt博弈的基本原理，攻防双方对公共资源进行抢夺，尽可能得使自身利益最大化，图2显示了伴随着时间的变化，攻击者和防御者对公共资源的控制权的不断变化。

2 FlipIt博弈模型的构建和求解

2.1 FlipIt博弈模型前提假设

1）假设攻防双方都是理性的，且双方都是通过计算攻防收益来选取的最优策略；

2）假设攻击者需要多次扫描和探测才能获取微服务运行环境中容器组成的相关信息，故攻防双方之间进行的是不完全信息的动态博弈；

3）假设攻击者通过扫描、探测和网络嗅探获取容器的应用信息，获取到的容器信息是有限的，不会随着时间的推进无限增加。

2.2 博弈模型定义

2.2.1 单阶段FlipIt攻防博弈模型

本节首先考虑单阶段的FlipIt博弈模型，将单阶段的FlipIt博弈模型表示为一个三元组

N, S, U

，其中每个参数的具体定义如下。

1）

N = (N A, N D)

表示FlipIt博弈中的局中人。其中：

N A

表示攻击者；

N D

表示防御者；

2）

S = (S A, S D)

表示攻防双方的可行动作空间，也就是可供攻防双方选择的策略集。其中：

S A

表示攻击者可以选择的策略集集合；

S D

表示防御者可以选择的策略集集合；

3）

U = (U A, U D)

表示单阶段博弈中攻防双方收益函数集合。其中：

U A

表示攻击者收益函数集合；

U D

表示防御者的收益函数集合。

2.2.2 多阶段FlipIt攻防博弈模型

由单阶段FlipIt博弈模型可知，攻防双方的信息不对等。因此，在博弈的过程中，没有攻守双方同时占有优势的策略，换言之，就是不存在纳什均衡。但从全局角度来看，局中人对公共资源的控制权是交替进行的，也就是说，每个阶段攻防双方都会对各自的策略进行变换调整，将多阶段FlipIt博弈模型表示为一个七元组

(N, λ, f, S, P, U, β)

，其中每个参数的定义具体如下。

1）

N = (N A, N D)

表示FlipIt博弈的局中人，本文中只考虑一个攻击者和一个防御者的情况，故

N A

表示攻击者，

N D

表示攻击者；

2）

λ

表示FlipIt博弈总的阶段数，其中

k = {1,2, ⋯, λ}

，且

k ∈ [1, λ], λ ∈ N +

；

3）

f

表示状态迁移的概率，

f a b = f (S a | S b)

表示状态从

S a

转换为

S b

的概率；

4）

S = {S A, S D}

表示FlipIt博弈局中人的策略集，其中

S A = {S A 1, S A 2, ⋯, S A m}

为攻击者的策略集合；

S D = {S D 1, S D 2, ⋯, S D n}

为防御者的策略集合；

m

和

n

均为自然数且

m, n ≥ 2

，表示攻击者和防御者各自拥有的策略个数；

5）

P = {P A, P D}

表示攻防双方的信念集合。其中：攻击者的信念集合

P A = {p 1, p 2, ⋯, p m}

且

∑ i = 1 m p i = 1

；防御者的信念集合为

P D = {q 1, q 2, ⋯, q n}

且

∑ j = 1 n q j = 1

；而

P A k = {p 1 k, p 2 k, ⋯, p m k}

且

∑ i = 1 m p i k = 1

为第

k

个阶段攻击者的信念集合，

P D k = {q 1 k, q 2 k, ⋯, q n k}

且

∑ j = 1 n q j k = 1

为第

k

个阶段防御者的信念集合；

6）

U = {U A, U D}

表示攻防双方收益函数的集合。其中：

U A

为攻击者收益函数的集合；

U D

为防御者的收益函数集合；

U A k

表示第

k

个阶段攻击者的收益函数；

U D k

表示第

k

个阶段防御者的收益函数。

7）

β

表示折扣因子，表示第

k

个阶段中的收益函数与初始阶段相比的比例，

0 < β ≤ 1

。

2.3 多阶段FlipIt博弈均衡求解

2.3.1 多阶段FlipIt博弈收益量化

攻防收益量化是最关键的一个部分，量化方法越接近真实的攻防场景所得出来的防御策略的指导价值就越高。而攻击者攻击的目的是为了破坏或者摧毁网络环境，使目标网络环境无法正常工作。

定义1 攻击者的收益矩阵

A

是由攻击者在攻防策略集为

(S A i, S D j)

的情况下产生的攻击收益所组成的矩阵，该收益矩阵有

m × n

个元素，其中每一个元素

a i j

可表示为

a i j = U A (S A i, S D j) = A A R - A A C

（1）

式中：

A A R

为攻击回报，表示攻击者实施攻击策略所获得的攻击奖励；

A A C

为攻击成本，表示攻击者在发动攻击前期做的攻击准备的成本。此时，攻击者的攻击收益矩阵

A

可表示为

A = a 11 a 2 ⋯ a 1 n a 21 a 22 ⋯ a 2 n ⋮ ⋮ ⋱ ⋮ a m 1 a m 2 ⋯ a m n

（2）

定义2 防御者的收益矩阵

D

是指在防御者的防御策略集为

(S A i, S D j)

的情况下产生的防御收益组成的矩阵，该收益矩阵同样有

m × n

个元素，其中每一个元素

d i j

可表示为

d i j = U D (S A i, S D j) = D D R - D D C

（3）

式中：

D D R

为防御者的防御回报，是指防御者抵御攻击者的攻击所获得的奖励；

D D C

为防御者的防御成本，是指防御者切换防御策略所需要的成本值。此时，防御者的防御收益矩阵

D

可表示为

D = d 11 d 12 ⋯ d 1 n d 21 d 22 ⋯ d 2 n ⋮ ⋮ ⋱ ⋮ d m 1 d m 2 ⋯ d m n

（4）

3.3.2 多阶段FlipIt博弈均衡求解

多阶段FlipIt博弈模型中，防御者选取的最佳策略，不仅要考虑当前阶段的收益，还要考虑未来阶段收益的影响。攻防双方的收益值除了和当前阶段的收益有关系，还和未来某个阶段的收益有关系。故引入了折扣因子

β

和转移概率

f

。设计目标函数

F

以此来衡量攻防双方所选择的策略的优劣：

F A k = U A k + β ∑ k ∈ [1, n] f (S g | S k) F A g

（5）

F D k = U D k + β ∑ k ∈ [1, n] f (S g | S k) F D g

（6）

博弈均衡求解过程能够呈现攻防双方策略变换的动态过程。考虑到攻防双方在选取攻击或防御策略的时候存在不确定性，参与者均是采用混合策略进行博弈，根据纳什均衡定理，在策略集有限的博弈中，定然存在混合策略纳什均衡。而当博弈达到纳什均衡时，局中人都希望使自身的收益达到最大。

在第

k

个阶段，

S A k = {S A 1 k, S A 2 k, ⋯, S A m k}

与

S D k = {S D 1 k, S D 2 k, ⋯, S D n k}

分别为局中人的策略集。假设第

k

个阶段的纳什均衡策略为

(S A * k, S D * k)

，则需要任意的攻防策略

S A j k

与

S D i k

满足：

U S A * k, U S D * k ≥ U S A j k, U S D * k U S A * k, U S D * k ≥ U S A * k, U S D i k

（7）

不同阶段的博弈情况受当时选取攻防策略的影响，但每个阶段都会存在一个最优轮换策略。因此，如果

{(U S A * k, U S D * k) | 1 ≤ k ≤ λ}

为FlipIt博弈的最优相应策略，那么

(U S A * k, U S D * k)

能使目标函数在任意情况下都要满足：

U S A k, U S D * k ∈ a r g m a x F s (S A k, S D k) = a r g m a x [U S A k, U S D * k] + β ∑ s' f (s, S A k, S D k, s') F s'

（8）

U S A * k, U S D k ∈ a r g m i n F s (S A k, S D k) = a r g m a x [U S A * k, U S D k] + β ∑ s' f (s, S A k, S D k, s') F s'

（9）

引入折扣因子

β

，将未来时间段中的收益函数在初始阶段的收益函数的基础上进行折扣操作，故在此基础上，可以将博弈均衡求解问题转化为非线性规划最优值求解的问题。求解出多阶段FlipIt博弈的均衡策略

(S A *, S D *)

及其对应的收益函数

U (S A *, S D *)

。

对于

k = {1,2, ⋯, λ}, λ ∈ N +

来说，

S = (S A, S D)

的目标函数为：

m i n ∑ k ∈ K ∑ s i ∈ s F A k - U i k (S A, S D) - β ∑ s' f

(s, S A, S D, s') F s'

m a x ∑ k ∈ K ∑ s i ∈ s F D k - U i k (S A, S D) - β ∑ s' f (s,

S A, S D, s') F s'

。

约束的条件是

∀ k ∈ [1,2, ⋯, λ], ∀ s i ∈ s, ∀ (S A i, S D j) ∈

(S A, S D)

且

F i k ≥ U i k (S A, S D) + β ∑ s' f (s, S A, S D, s') F s'

。

2.4 最优策略选择算法

基于FlipIt博弈的动态异构调度方法的选取算法，如算法1所示。

算法1 基于FlipIt博弈的动态异构调度算法

输入：FlipIt博弈模型

输出：最优防御策略

1. 初始化多阶段FlipIt博弈模型

(N, λ, f, S, P, U, β)

2. 构造攻击策略集

S A = S A 1, S A 2, ⋯, S A m

3. 构造防御策略集

S D = S D 1, S D 2, ⋯, S D n

4. 初始化阶段状态迁移概率

f i j = f (S i | S j)

5. 构建信念集合

P = {P A, P D}

，其中

∑ i = 1 m p i k = 1

，

∑ j = 1 n q n k = 1

6. /*计算策略组合

S A i, S D j

的攻防收益矩阵

A

、

D

7. for

（

k = 1

，

k ≤ λ

，

k + +

）

a i j = U A (S A i, S D j) = A R - A C

d i j = Q D S A i, S D j = D R - D C

10. end for

11. /*设置目标函数*/

12. for

（

k = 1

，

k ≤ λ

，

k + +

）

13.

F A k = U A k + β ∑ k ∈ [1, n] f (S g | S k) F A g

14.

F D k = U D k + β ∑ k ∈ [1, n] f (S g | S k) F D g

15. end for

16. 构建折扣收益函数

β ∑ s' f (s, S A k, S D k, s') R s'

17. 构建目标收益函数

m i n ∑ k ∈ K ∑ s i ∈ s F A k - U i k (S A, S D) - β ∑ s' f (s, S A, S D, s') F s'

m a x ∑ k ∈ K ∑ s i ∈ s F D k - U i k (S A, S D) - β ∑ s' f (s, S A, S D, s') F s'

18. 输出最优防御策略

S D * k

19. end

本节分析了FlipIt博弈中的攻防成本和收益函数，并将求解最优策略的过程量化为非线性的规划问题求解过程，降低了复杂度并增大了在不同场景下的通用性。

3 仿真实验与结果分析

3.1 实验环境及参数设置

为验证动态异构调度方法的有效性，实验采用3台x86服务器（32核，2.00 GHz，128 GB RAM）和1台ARM服务器（32核，2.00 GHz，32 GB RAM）。其中，1台x86服务器作为Master节点运行CentOS 7操作系统，其余3台为计算节点包括2台X86的服务器分别运行Ubuntu和CentOS系统，1台Arm服务器运行Ubuntu系统。通过Kubernetes管理云平台，采用Docker镜像仓库存储异构镜像，并配置Runc和Kata两种容器运行时环境。其中，Harbor为异构容器镜像仓库，GitLab作为应用代码仓库。通过集成异构镜像构建工具和多样化编译构建工具，确保容器镜像的异构性，并采用Matlab ^®2022a完成仿真验证。

假设微服务运行环境中共有8种类型的容器，不均匀地分布在4个类型空间中，每类容器都至少设置3种异构镜像，并且考虑容器的三维异构，实验中设置折扣因子为0.6。假设

S = {S 1, S 2, S 3, S 4}

表示4种类型空间，攻击刚开始的阶段，攻击者从

S 1

这个空间类型对容器展开攻击，当

V = {V 1, V 2, V 3,

V 4, V 5, V 6, V 7, V 8}

为假设的8类功能等价的异构镜像，也表示可以被攻击者针对的攻击面，即

S A = {S A 1,

S A 2, S A 3, S A 4, S A 5, S A 6, S A 7, S A 8}

。考虑三维异构为防御者防御策略集

S D = {S D 1, S D 2, S D 3}

。其中：

S D 1

表示基础架构的异构；

S D 2

表示操作系统的异构；

S D 3

表示软件环境的异构。攻防双方的策略集合如表1所示，类型空间的状态转移概率如表2所示，攻防双方收益矩阵如表3所示。

由于篇幅原因，仅列出攻击者的收益函数，防御者的收益函数的计算方式和攻击者相同，攻击者的收益函数如下所示：

m i n {[F A 1 - (22 S A 1 1 + 34 S A 2 1

+ 29 S A 3 1 + 16 S A 1 1 + 24 S A 2 1 + 19 S A 3 1) - 0.6 (0.4 F A 2 + 0.3 F A 3)]

+ [F A 2 - (31 S A 1 2 + 26 S A 2 2 + 27 S A 1 2 + 18 S A 2 2 + 23 S A 1 2 + 13 S A 2 2)

- 0.6 (0.6 F A 1 + 0.16 F A 3)] + [F A 3 - (24 S A 1 3 + 33 S A 2 3 + 16 S A 3 3

+ 37 S A 1 3 + 18 S A 2 3 + 24 S A 3 3 + 13 S A 1 3 + 27 S A 2 3 + 8 S A 3 3) - 0.6

(0.54 F A 1 + 0.8 F A 4)] + [F A 4 - (14 S A 1 4 + 53 S A 2 4 + 35 S A 3 4 +

26 S A 1 4 + 19 S A 2 4 + 7 S A 3 4 + 25 S A 1 4 + 17 S A 2 4 + 24 S A 3 4) - 0.6

(0.37 F A 1 + 0.64 F A 2)]} 。

其中约束函数为：

F A 1 ≥ 22 S A 1 1 + 34 S A 2 1 + 29 S A 3 1 + 0.24 F A 2

；

F A 1 ≥ 16 S A 1 1 + 24 S A 2 1 + 19 S A 3 1 + 0.18 F A 3

；

F A 2 ≥ 31 S A 1 2 + 26 S A 2 2 + 27 S A 1 2 +

0.36 F A 1

；

F A 2 ≥ 18 S A 2 2 + 23 S A 1 2 + 13 S A 2 2 + 0.096 F A 3

；

F A 3 ≥ 24 S A 1 3 + 33 S A 2 3 + 16 S A 3 3 + 0.324 F A 1

；

F A 3 ≥ 37 S A 1 3 + 18 S A 2 3 + 24 S A 3 3

；

F A 3 ≥ 13 S A 1 3 + 27 S A 2 3 + 8 S A 3 3 + 0.48 F A 4

；

F A 4 ≥ 14 S A 1 4

+ 53 S A 2 4 + 35 S A 3 4 + 0.222 F A 1

；

F A 4

≥ 26 S A 1 4 + 19 S A 2 4 + 7 S A 3 4 + 0.384 F A 2

；

F A 4 ≥ 25 S A 1 4 + 17 S A 2 4 + 24 S A 3 4

；

∑ i = 1 3 p i k = 1, k = 1,

2,3, 4

。

3.2 实验分析讨论

3.2.1 本文防御方法与全服务轮换对比

全服务轮换是指系统中对所有部署的微服务容器以固定的时间周期进行随机轮换。仿真实验对比了攻击者采用本文中描述的攻击流程进行攻击，防御者采取全服务轮换和本文中的轮换策略进行防御，攻防双方进行40个阶段的博弈。由图2（a）中可以发现本文防御方法的防御收益大于全服务轮换的防御收益，产生这个现象的原因是，全服务轮换虽然可以取得比本文防御方法高的防御回报，但由于全服务轮换需要在每个博弈阶段均对所有的容器进行轮换，故产生较大的防御开销，这就导致本文防御方法比全服务轮换的防御收益高。由图2（b）可以看出本文中攻击者的攻击收益比全轮换策略的要高，产生这个现象的原因主要是全轮换策略每阶段都会将容器全部更新，这就导致攻击者的攻击开销变大，在同样的攻击回报下，就产生了全服务轮换攻击收益小的现象。图2（c）展示了多阶段的情况下，本文防御方法与全服务轮换的防御者平均收益，防御者的防御收益基本趋于稳定。

从对比实验可以得出，虽然在本文防御方法下攻击者的收益值较高，但是相较于全服务轮换，其防御开销小，防御者的平均收益值大于全轮换策略的平均收益值。仿真实验结果表明，本文防御方法的防御收益值较全服务轮换策略提升了3.19倍。

3.2.2 本文防御方法与随机攻击、随机防御对比

在图3（a）中，防御者采取本文防御方法，攻击者采取本文攻击方法和随机攻击方法分别计算了攻击者的攻击收益，攻击者在攻击信念集合的引导下，能够获取更高的攻击收益。图3（b）中攻击者采取本文博弈攻击策略，防御者采取博弈防御策略和随机防御策略对攻击者进行防御。本文防御方法有效保证了系统的动态性，能选取最优的防御策略对系统进行防护。仿真实验表明，基于多阶段的FlipIt博弈动态异构调度方法较随机防御方法，防御收益值提升了4.89倍。

3.2.3 多阶段FlipIt博弈平均攻防收益

图4为攻防双方均采用博弈策略时，进行40个阶段的FlipIt博弈，攻防双方平均的收益函数。防御者的防御收益值大约稳定在466左右，攻击者的攻击收益值受防御策略的影响波动比较大，但攻击者的攻击收益值并未有超过防御者的防御收益。由此可见，基于多阶段的FlipIt博弈动态异构调度方法能起到较好的防御效果。

4 结束语

针对现有的微服务大多工作在静态、同质的容器中，当攻击者破坏CGroup和Namespace等隔离机制进入微服务用户网络后，可通过网络探测来准确地获知容器的组成，并制定出能够获取最大收益的攻击策略的问题，提出云原生中基于FlipIt博弈的动态异构调度方法。通过实验验证动态异构防御方法的有效性，为多阶段移动目标防御中的主动防御提供指导。然而，当前工作在收益量化方面仍有提升空间，且缺乏真实场景验证。因此，需进一步改进收益量化函数，确保其在真实云原生攻防环境中的准确性和实时性，从而增强云原生系统的安全防护能力。

参考文献

原文顺序 | 出版日期 | 本文引用

[1]	张帅，商珂，郭云飞，基于元能力的云原生攻击容忍系统设计［J］.信息工程大学学报，2022，23（6）：730-736.

[2]	陈轶阳，王小宁，卢莎莎，面向高性能计算系统的容器技术综述［J］.计算机科学，2023，50（2）：353-363.

[3]	GAO X， STEENKAMER B， GU Z S， et al. A study on the security implications of information leakages in container clouds［J］. IEEE Transactions on Dependable and Secure Computing， 2021，18（1）：174-191.

[4]	ALSHAMRANI A， MYNENI S， CHOWDHARY A， et al. A survey on advanced persistent threats： techniques， solutions， challenges， and research opportunities［J］. IEEE Communications Surveys & Tutorials， 2019，21（2）：1851-1877.

[5]	SHAMSHIRBAND S， FATHI M， CHRONOPOULOS A T， et al. Computational intelligence intrusion detection techniques in mobile cloud computing environments： review， taxonomy， and open research issues［J］. Journal of Information Security and Applications， 2020，55：No.102582.

[6]	YU T Q， WANG X B. Topology verification enabled intrusion detection for in-vehicle CAN-FD networks［J］. IEEE Communications Letters， 2020，24（1）：227-230.

[7]	ZHANG Y H， DENG R H， XU S M， et al. Attribute-based encryption for cloud computing access control： a survey［J］. ACM Computing Surveys （CSUR）， 2020，53（4）：No.83.

[8]	陈福才，扈红超，刘文彦，网络空间主动防御技术［M］.北京：科学出版社，2018：1-19.

[9]	ALAVIZADEH H， HONG J B， KIM D S， et al. Evaluating the effectiveness of shuffle and redundancy mtd techniques in the cloud［J］. Computers & Security， 2021，102：No.102091.

[10]	谢根琳，程国振，王亚文，基于gadget特征分析的软件多样性评估方法［J］.网络与信息安全学报，2023，9（3）：161-173.

[11]	CHO J H， SHARMA D P， ALAVIZADEH H， et al. Toward proactive， adaptive defense： a survey on moving target defense［J］. IEEE Communications Surveys & Tutorials， 2020，22（1）：709-745.