移動目標防御中動態網絡技術現狀、性能和發展方向探討

◆譚慧婷 唐朝京

?

移動目標防御中動態網絡技術現狀、性能和發展方向探討

◆譚慧婷 唐朝京

（國防科學技術大學電子科學與工程學院 湖南 410073）

近年來，互聯網技術得到了全面普及，但各種網絡攻擊也層出不窮。盡管我們已經提出了許多技術來抵御網絡攻擊，各類網絡安全事件仍有發生。傳統網絡防御技術已難以滿足網絡安全要求，移動目標防御應運而生。該技術通過構建持續變化、不確定的網絡與系統，，增加攻擊者的攻擊難度及代價，扭轉防御者的被動地位。本文對移動目標防御技術的基本原理和發展現狀進行了概括，尤其是對網絡層面的動態網絡相關技術進行了深入的探討，以期對移動目標防御技術的發展提供參考建議。

移動目標防御；網絡層；技術現狀；發展方向

0 引言

目前互聯網已經演化為現代社會的重要基礎設施，互聯網安全受到了各國的高度重視。然而近年來頻繁出現的網絡重大安全事件反復表明，即使我們已經實行了一系列的技術如信息加密、網絡防火墻、入侵防護(IPS)及蜜罐技術等來抵御網絡攻擊，互聯網安全始終面臨著嚴峻的威脅。一些研究表明，互聯網安全的最大問題在于整體態勢的易攻難守。由于網絡系統的確定性、靜態性和同構性[1]，攻擊者相對于防御者有明顯的不對稱優勢。網絡的確定性和靜態性使攻擊者具備時間優勢和信息不對稱優勢，同構性使攻擊者具備成本優勢，這些優勢導致防御者在攻防對抗中處于被動的劣勢地位，而這種被動劣勢無法依靠現有的防御方法來彌補。

1 移動目標防御概述

1.1移動目標防御的提出

為改變這種“易守難攻”的游戲規則，美國國防部提出了移動目標防御（Moving Target Defense, MTD）技術[2]。移動目標防御技術是一種變革性的網絡安全技術，該技術能有效扭轉傳統網絡被動防御、疲于應付的窘境，變被動為主動。它的目標不再是搭建一個沒有漏洞的系統，而是通過有效降低這些網絡與系統的確定性、相似性、靜態性，增加其隨機性來構建持續變化、不相似、不確定的網絡與系統，增加攻擊者的攻擊難度及代價，有效限制脆弱性的暴露及被攻擊的機會，降低攻擊成功率。換言之，移動目標防御將網絡防御戰由陣地戰、保衛戰改成了移動戰、游擊戰，不給攻擊者進行觀察，分析的時間，更不容許反復攻擊，大大提高了攻擊難度和攻擊代價。移動目標防御的思想一經提出，就得到了學術界和企業界的熱切關注，并涌現出了一系列的研究成果。

1.2移動目標防御的發展現狀

需要強調的是，移動目標防御不是某一種具體的防御方法，而是一種設計指導思想。這一思想可應用到被保護系統的各個屬性上，從而衍生出多種具體的防御機制。目前的移動目標防御技術根據具體變換對象的不同可以劃分為動態運行時環境技術、動態軟件技術、動態數據技術、動態平臺技術以及動態網絡技術等五種類型[3]。

其中，動態網絡技術支持網絡配置（如IP地址、端口號）的動態和隨機化變化，并能對抗掃描蠕蟲、偵查、網絡指紋識別等攻擊，是目前移動目標防御中研究最為廣泛和深入的技術。下文將對這一技術進行重點介紹與分析。各層的主要技術要點如圖1所示。

2 動態網絡相關技術詳述

2.1 動態網絡相關技術的分析與比較

動態網絡技術主要通過隨機網絡地址跳變來實現，隨機地址跳變頻繁地為網絡主機重新分配隨機化虛擬IP地址，這個虛擬地址將被用于路由并獨立于實際的IP地址。在IP地址隨機化技術研究中，先后涌現了DyNAT、APOD、NASR、RHM 及OF-RHM等研究成果[4]。Kewley等人在2001 年提出了動態網絡地址轉換(DyNAT)，該方法通過IP 地址轉換避免中間人攻擊，能有效增加攻擊者竊取信息并發起攻擊的難度，但是對用戶不透明。Atighetchim等人在2003 年提出了基于地址和端口隨機(APOD) 的技術，該技術基于地址和端口隨機化的跳變隧道偽裝目標主機，以區分合法用戶和嗅探器。APOD隨機化了IP 地址和端口地址。但這一方法也不是透明的，它要求服務器和用戶端必須知曉雙方信息并且合作才能完成整個過程。Antonatos等人在2007 年提出了網絡地址空間隨機化(NASR ) 技術，該技術基于DHCP 更新進行網絡地址隨機化，其目的是為了防范hitlist worms 威脅。

圖1 移動目標防御各層技術要點

上述三種IP地址隨機化技術均需要改變終端主機的配置，代價較大，配置復雜。為了解決這個問題，EhabAlShaer等人在2011 年提出了隨機主機突變(RHM) 技術。該技術通過給一個主機分配多個虛擬地址( vIP) ，并且在運行中不斷高速改變虛擬地址，使得入侵者無法實時獲取運行時的地址，從而阻止入侵。由于該技術無法在傳統網絡中部署，Ehab Al Shaer等人進一步提出了結合了SDN的 OF-RHM技術。它能夠以更小的開銷和更加靈活的方式管理地址隨機化功能。

2.2 現有動態網絡技術的不足

（1）固定變換間隔易被攻擊

當前動態網絡技術中的跳變時隙大多是固定的，這樣會造成有規律可循，使得攻擊者更容易掌握和了解跳變規律，破壞網絡的安全性。

（2）基于SDN的技術與實際網絡難以結合

現有的基于SDN的主機移動方案的重點都放在了論證主機移動的可行性上，從不同的角度和思路提出了種種移動實現方案。但是設計的應用場景過于特定，通信的模型也過于簡單，基于SDN的仿真設計考慮不全面，難以適應實際網絡的需求。

（3）單維變換，變換范圍不夠大

目前提出的MTD網絡層移動方案基本上都是單一維度的移動，幾乎沒有方案能夠實現混合移動，無法充分增強系統的不確定性與安全性。

（4）測試工具性能不佳

由于網絡本身的動態性以及各路由器配置策略的多樣性，在實時性和準確性方面都跟真實的拓撲存在著不小的差距。因此我們需要跟蹤MTD動態網絡技術中移動的網絡的邏輯拓撲結構，而拓撲測量就能達到這個目的，它研究如何通過測量的方式獲取到目標網絡的拓撲結構。目前的IP級拓撲測量所用的工具都是基于traceroute原理的，而受自身測量原理的限制，traceroute獲取的IP級拓撲在完整性和準確性方面都存在局限性，會導致實驗的測試與驗證效果不佳。

3 抗網絡攻擊性能分析

3.1 抗DoS攻擊性能

DoS是一種嚴重的網絡安全威脅，其攻擊原理非常簡單，即通過密集、巨量的應用請求，耗盡被攻擊方的各種資源。目前的DoS防御方法都是靜態的，并不能應對復雜的入侵，如自適應泛洪入侵。MTD中的動態網絡引入了地址跳變與端口跳變，從理論上可以降低拒絕服務攻擊成功的概率。

由上式可知動態網絡技術增加了攻擊者的時間代價，降低了攻擊成功的概率。

3.2 抗內部威脅攻擊性能

在基于SDN的動態網絡技術中，由于SDN的邏輯集中控制和控制與轉發分離的特性，即使攻擊者處于與服務端同樣的內部網絡之中，其在訪問目標服務端時，同樣也要經過SDN 控制器的檢查與過濾。因此SDN控制器充當了DoS攻擊過濾網關，可以有效抵御來自內部的安全威脅。

4 動態網絡技術的發展方向

4.1隨機變換間隔

針對固定變換間隔容易被掌握規律的問題，可以將變換間隔設為均值為固定跳變時隙τ的泊松分布，將不可預測性最大化。

4.2 基于SDN 的動態網絡技術與實際網絡的結合

下一步基于SDN的系統模型設計，應該盡量還原真實的網絡環境，充分分析網絡動態化產生的通信代價、以及各因素對此代價造成的影響，對代價、效能等參數進行綜合選擇優化，提出高效、穩健的方案，使之能夠適用于實際環境下大規模的網絡部署。

4.3動態網絡技術與其他層次移動目標防御技術的結合

MTD網絡設計方案中多是單一維度的移動，而從應用前景上來說，多維移動可以實現更大的網絡架構移動范圍、更好的不可預測性以及更高的安全性。因此，我們需要研究混合移動在理論和實踐上的可行性，并進一步分析其效能和代價，研究出提升效能并且減小代價的運行機制。

4.4提升動態網絡技術測試工具性能

MTD的實際移動狀態可能和設計預期的移動狀態不匹配，在方案的設計、論證過程中需要對設計網絡的實際運行狀態進行實時的跟蹤、測試和分析。因此我們需要完善現有的拓撲測量工具或者提出更好的拓撲測量辦法，實現跟蹤MTD動態網絡技術中移動網絡的邏輯拓撲結構的目的，并測試監控動態網絡技術的執行情況。

5 結束語

互聯網已經成為社會不可或缺的重要一環，但是近年來互聯網陸續出現的重大安全事件說明目前的網絡防御技術還不能滿足構建安全有效的網絡的要求。移動目標防御作為一種新型網絡系統防御方法，能夠從根本上改變網絡系統易攻難守的境況，有效提升網絡系統抗攻擊的能力，具有很大的研究前景。本文總結了目前移動目標防御一些關鍵技術與應用，尤其是動態網絡層面。但這些技術仍然處于理論設計與論證階段，原理模型簡單，與現實傳統網絡結合還遠難實現。我們仍然需要不斷完善發展移動目標防御原理及相關技術，不斷提升網絡系統的安全性能，讓互聯網更安全更可靠更高效。

[1]Jajodia S, Ghosh A K, Swarup V. Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats[J]. Springer Ebooks， 2011.

[2]White House. Cyberspace policy review: Assuring a trusted and resilient information and communicate on infrastructure， 2014.

[3]蔡桂林，王寶生，王天佐.移動目標防御技術研究進展[J].計算機研究與發展，2016.

[4]唐秀存，許強，史大偉.移動目標防御(MTD)關鍵技術研究[J].微型機與應用，2016.

[5]唐秀存，張連成，孔亞洲等.基于透明同步與隨機時隙的SDN地址端口跳變方案[J].計算機應用研究，2016.