AMTD：一種適應(yīng)性移動(dòng)目標(biāo)防御方法

劉丹軍，蔡桂林，王寶生

?

AMTD：一種適應(yīng)性移動(dòng)目標(biāo)防御方法

劉丹軍，蔡桂林，王寶生

（國防科技大學(xué)計(jì)算機(jī)學(xué)院，湖南 長沙 410005）

MTD是通過動(dòng)態(tài)移動(dòng)目標(biāo)的攻擊面來改變攻擊和防御不對(duì)稱狀態(tài)的一種新方式。MTD變換頻率對(duì)于系統(tǒng)可用性、安全性和防御成本之間的權(quán)衡至關(guān)重要。但目前的變換頻率通常根據(jù)管理者的經(jīng)驗(yàn)確定，缺乏理論基礎(chǔ)，無法達(dá)到可用性－安全性成本之間的權(quán)衡。為應(yīng)對(duì)這一挑戰(zhàn)，提出了適應(yīng)性移動(dòng)目標(biāo)防御框架（AMTD），在確保系統(tǒng)可用的前提下，以最低的成本獲取最大的系統(tǒng)安全性。AMTD的適應(yīng)性體現(xiàn)在2方面：一是防御模式的適應(yīng)性，通過提出一種自適應(yīng)轉(zhuǎn)換策略，提供由安全警報(bào)觸發(fā)的反應(yīng)性防御和定時(shí)器到期事件觸發(fā)的主動(dòng)防御；二是變換頻率的適應(yīng)性，通過建立數(shù)學(xué)模型獲得最優(yōu)的變換頻率。采取4個(gè)系列的模擬實(shí)驗(yàn)驗(yàn)證該解決方案的有效性。

移動(dòng)目標(biāo)防御；適應(yīng)性防御；框架

1 引言

隨著互聯(lián)網(wǎng)越來越成為全球各國發(fā)展的戰(zhàn)略性關(guān)鍵基礎(chǔ)設(shè)施，其安全問題的重要性越發(fā)突顯。除了層出不窮的大規(guī)模網(wǎng)絡(luò)攻擊（如IP前綴劫持[1]、僵尸網(wǎng)絡(luò)[2]和DDoS攻擊[3]等），近年來頻繁曝出的重大安全事件（如“棱鏡門”[4]、心臟滴血（heartbleed）漏洞[5]、WannaCry勒索軟件等）也都表明，網(wǎng)絡(luò)空間易攻難守的安全局面對(duì)安全防御來說，始終是一個(gè)十分嚴(yán)峻的考驗(yàn)。

移動(dòng)目標(biāo)防御（MTD, moving target defense）[6]是一種全新的防御理念，通過積極主動(dòng)地改變目標(biāo)狀態(tài)，變換暴露在敵人面前的攻擊面[6~8]來削減攻擊者有效發(fā)動(dòng)攻擊的能力。MTD作為一種改變游戲規(guī)則的變革性技術(shù)，有望從根本上改變當(dāng)前網(wǎng)絡(luò)“易攻難守”的局面，其一經(jīng)提出即受到美國政府、國防部的重視。國內(nèi)也受MTD思想影響，提出了基于擬態(tài)計(jì)算的擬態(tài)安全防御研究。

現(xiàn)有的移動(dòng)目標(biāo)防御機(jī)制方法[6~8]中，攻擊面變換頻率通常依據(jù)管理者經(jīng)驗(yàn)，缺乏理論基礎(chǔ)，因此很難達(dá)到可用性—安全性—開銷的平衡。對(duì)防御者來說，防御效果會(huì)受到變換頻率的影響：目標(biāo)攻擊面變換越快，防御開銷越大，但同時(shí)防御效果越好。然而，過于頻繁的變換會(huì)導(dǎo)致系統(tǒng)性能下降甚至損害可用性[9]；目標(biāo)攻擊面變換越慢，防御開銷相應(yīng)減少但同時(shí)防御效果會(huì)相對(duì)下降，系統(tǒng)被攻破的概率增大，一旦攻擊成功，造成服務(wù)損失則得不償失。因此，如何決定攻擊面變換的時(shí)機(jī)、優(yōu)化變換頻率，獲得可用性—安全性—開銷的平衡，這是一個(gè)值得深入研究的重要方向。

本文提出了一個(gè)具有適應(yīng)性的移動(dòng)目標(biāo)防御機(jī)制（AMTD，adaptive moving target defense）框架，期望能夠以最小的時(shí)間開銷獲得最大的安全收益（系統(tǒng)安全性與系統(tǒng)可用性的綜合體現(xiàn)），主要貢獻(xiàn)有2方面。

1) 本文提出一種基于主動(dòng)防御變換和反應(yīng)式防御變換的適應(yīng)性防御策略，通過防御方式和攻擊面變換時(shí)間的適應(yīng)性調(diào)整，實(shí)現(xiàn)AMTD框架。

2) 本文提出適應(yīng)性目標(biāo)移動(dòng)變換的建模計(jì)算方法，包括變換的觸發(fā)條件以及變換的時(shí)間間隔的優(yōu)化求解，并通過實(shí)驗(yàn)?zāi)M給出計(jì)算方法有效性驗(yàn)證。

2 相關(guān)工作

現(xiàn)有MTD攻擊面變換通常采用3種策略：預(yù)設(shè)固定時(shí)間間隔、使用可調(diào)時(shí)間間隔和異常事件驅(qū)動(dòng)的變換[10]。當(dāng)前研究多是采用單一策略，而且前2種研究占多數(shù)。并且通常采用基于時(shí)間間隔（包括預(yù)設(shè)固定時(shí)間間隔和使用可調(diào)時(shí)間間隔）的變換策略，其中大部分時(shí)間觸發(fā)機(jī)制是狀態(tài)無關(guān)的[11]，因此此類策略驅(qū)動(dòng)下的攻擊面變換往往缺乏針對(duì)性，沒有做到可用性—安全性—開銷優(yōu)化平衡。第三種方式的機(jī)制（如MOTAG）的防御效果完全依賴于檢測機(jī)制的準(zhǔn)確率和時(shí)效性，由于對(duì)異常事件的人為定義不一定準(zhǔn)確和完善，且對(duì)異常事件進(jìn)行檢測可能會(huì)存在遺漏和延遲。另一些研究將第一種或第二種方式與第三種方式相結(jié)合，如ChameleonSoft[12]、TALENT[13]、MAS[14]。此類機(jī)制相對(duì)較少且主動(dòng)防御頻率與反應(yīng)式防御頻率是相互獨(dú)立的，因此可能會(huì)出現(xiàn)在進(jìn)行反應(yīng)式防御過后的短時(shí)間內(nèi)又實(shí)現(xiàn)主動(dòng)式防御，雖然這一方式可以使系統(tǒng)所獲得的安全度較高，但也存在一定的開銷浪費(fèi)。

在文獻(xiàn)[15]和文獻(xiàn)[6]中，作者都對(duì)最優(yōu)變換頻率問題進(jìn)行了初步研究，期望在實(shí)現(xiàn)防御目標(biāo)的同時(shí)減少不必要的開銷和資源浪費(fèi)/最小化系統(tǒng)性能的損失。確切地說，文獻(xiàn)[15]期望能夠求得最小變換頻率從而降低開銷和資源浪費(fèi)。但實(shí)際上，該方法所利用的計(jì)算公式無法求得一個(gè)最優(yōu)值，只能通過依據(jù)防御者所能接受的攻破概率來調(diào)整變換的間隔時(shí)長。文獻(xiàn)[6]期望能夠降低已部署眾多虛假節(jié)點(diǎn)的網(wǎng)絡(luò)中真實(shí)節(jié)點(diǎn)被識(shí)別的概率且同時(shí)最小化系統(tǒng)性能的損失，即網(wǎng)絡(luò)服務(wù)的失效率。為此，作者設(shè)計(jì)了如下的最優(yōu)IP隨機(jī)化策略：若系統(tǒng)（真實(shí)節(jié)點(diǎn)）當(dāng)前連接數(shù)為0，則立即進(jìn)行隨機(jī)化；若攻擊者的掃描速率足夠低，那么等連接到真實(shí)節(jié)點(diǎn)的所有連接都完成再進(jìn)行隨機(jī)化，否則，立即進(jìn)行隨機(jī)化。但是，掃描概率足夠低是一個(gè)模糊的概念，而且，若是重要服務(wù)，難以出現(xiàn)連接數(shù)為0的時(shí)刻。由上可知，針對(duì)系統(tǒng)的可用性—安全性—開銷之間的均衡優(yōu)化問題，目前還沒有很好的解決方案。

3 適應(yīng)性移動(dòng)目標(biāo)防御機(jī)制框架

3.1 AMTD整體設(shè)計(jì)

AMTD旨在根據(jù)目標(biāo)系統(tǒng)的安全狀態(tài)自適應(yīng)地變換攻擊面，將主動(dòng)防御與反應(yīng)式防御相結(jié)合，有效降低系統(tǒng)安全風(fēng)險(xiǎn)。

本文將系統(tǒng)的安全狀態(tài)建模為網(wǎng)絡(luò)環(huán)境的安全狀態(tài)和系統(tǒng)自身的安全狀態(tài)。一方面，通過入侵檢測系統(tǒng)（IDS, intrusion detection system）的預(yù)警信息來體現(xiàn)網(wǎng)絡(luò)中是否出現(xiàn)異常事件，以標(biāo)定網(wǎng)絡(luò)環(huán)境安全性；另一方面針對(duì)系統(tǒng)自身的安全狀態(tài)，本文認(rèn)為即使在IDS沒有預(yù)警的情況下，隨著時(shí)間的推移，當(dāng)前系統(tǒng)配置（即攻擊面信息）潛在的安全風(fēng)險(xiǎn)在不斷上升，通過計(jì)時(shí)器期滿事件來標(biāo)定系統(tǒng)本身的安全性。

AMTD的防御適應(yīng)性主要采取兩類策略。

1) 基于防御方式的適應(yīng)性策略

AMTD目前采用2種適應(yīng)性防御方式：一種是基于IDS的預(yù)警信息識(shí)別突發(fā)安全威脅，實(shí)現(xiàn)基于網(wǎng)絡(luò)安全狀態(tài)異常事件驅(qū)動(dòng)的變換（ADS, anomaly-driven shuffling）；另一種是基于系統(tǒng)風(fēng)險(xiǎn)遞增的認(rèn)知，采用基于計(jì)時(shí)器期滿驅(qū)動(dòng)的變換（TDS, timer-driven shuffling）。前者提供反應(yīng)式防御，用于降低系統(tǒng)所遭受的損失，后者提供主動(dòng)式防御，彌補(bǔ)入侵檢測系統(tǒng)可能出現(xiàn)的漏報(bào)和誤報(bào)所導(dǎo)致的不足，及時(shí)降低當(dāng)前的潛在風(fēng)險(xiǎn)。

圖1 AMTD工作原理示意圖

2) 基于變換間隔的適應(yīng)性策略

TDS 的變換間隔時(shí)長（）是依據(jù)2種輸入信息計(jì)算：AMTD定義的時(shí)間窗（T）內(nèi)所發(fā)生異常事件及攻擊面變換歷史信息，因此，從時(shí)間維度來看，值是適應(yīng)性變化的。

AMTD的工作原理如圖1所示（服務(wù)器S′表示的是蜜罐系統(tǒng)/假目標(biāo)，用于統(tǒng)計(jì)、記錄攻擊的信息）。在1時(shí)刻，AMTD 接收到IDS發(fā)出的預(yù)警信息，MTD Manager 會(huì)依據(jù)ADS的觸發(fā)條件觸發(fā)并成功實(shí)現(xiàn)ADS變換（2時(shí)刻變換完成），目標(biāo)系統(tǒng)的攻擊面發(fā)生變化，導(dǎo)致當(dāng)前預(yù)警信息所指示的攻擊失效，從而實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的及時(shí)保護(hù)。但是由于IDS的準(zhǔn)確率無法達(dá)到100%，假如沒有報(bào)警，目標(biāo)系統(tǒng)的潛在安全風(fēng)險(xiǎn)不斷上升，當(dāng)累積到一定程度時(shí)會(huì)發(fā)生計(jì)時(shí)器期滿事件（3時(shí)刻），從而觸發(fā)并執(zhí)行 TDS 變換（4時(shí)刻變換完成），以降低因 IDS 誤報(bào)和漏報(bào)所導(dǎo)致的威脅。每一次具體的ADS變換和TDS變換方法可以是軟件變換技術(shù)、動(dòng)態(tài)平臺(tái)技術(shù)、網(wǎng)絡(luò)地址變換技術(shù)當(dāng)中的某一種。在現(xiàn)階段，只考慮在整個(gè)AMTD運(yùn)行過程中僅采用某一種具體的網(wǎng)絡(luò)地址變換技術(shù)，如RPAH[16]。

AMTD 系統(tǒng)框架的結(jié)構(gòu)組成如圖2所示。該系統(tǒng)一共包括4個(gè)單元：MTD防御管理單元、條件檢測器、異常反應(yīng)式變換單元ADS和計(jì)時(shí)器驅(qū)動(dòng)式變換單元TDS。

1) MTD防御管理單元主要負(fù)責(zé)2個(gè)功能。

① 針對(duì)當(dāng)前系統(tǒng)的安全狀態(tài)，決定是否觸發(fā)攻擊面的變換，具體來說實(shí)現(xiàn)以下2種決策：

圖2 AMTD框架結(jié)構(gòu)組成示意

a) 接收從入侵檢測系統(tǒng)發(fā)送過來的預(yù)警信息，并決定是否進(jìn)行基于異常事件驅(qū)動(dòng)的ADS變換，若決定進(jìn)行變換，那么觸發(fā)ADS單元實(shí)現(xiàn)ADS變換的發(fā)生；

b) 當(dāng)發(fā)生計(jì)時(shí)器期滿事件的時(shí)候，觸發(fā)TDS單元實(shí)現(xiàn)TDS變換的發(fā)生。

② 依據(jù)該系統(tǒng)框架所定義的時(shí)間窗內(nèi)系統(tǒng)安全狀態(tài)的變化歷史，來優(yōu)化攻擊面變換的觸發(fā)條件。T是一個(gè)滑動(dòng)時(shí)間窗參數(shù)，由系統(tǒng)確定。

2) 條件檢測器主要監(jiān)測并收集以下3類狀態(tài)信息。

①系統(tǒng)自身的狀態(tài)信息（system state），包括系統(tǒng)被攻破后恢復(fù)可用性所需的開銷，T內(nèi)入侵事件的平均到達(dá)間隔，T內(nèi)入侵檢測的查準(zhǔn)率（precision）和查全率（recall）[17]。

②ADS單元的執(zhí)行狀態(tài)信息（ADS-execution state），包括在T內(nèi)所完成ADS變換的變換開銷集合、當(dāng)前ADS變換完成的時(shí)間值。

③TDS 單元的執(zhí)行狀態(tài)信息（TDS-execution state），包括當(dāng)前TDS變換的完成情況、當(dāng)前TDS變換完成的時(shí)間點(diǎn)。

3) ADS 單元的主要功能包括：

①執(zhí)行ADS變換；

②將ADS執(zhí)行狀態(tài)（此次變換的完成情況，包括開銷和完成時(shí)間）發(fā)送給Condition Monitor。

4) TDS 單元的主要功能包括：

①執(zhí)行TDS變換；

②將TDS執(zhí)行狀態(tài)（此次變換的完成情況，包括開銷和完成時(shí)間）發(fā)送給Condition Monitor。

3.2 適應(yīng)性變換策略

本節(jié)圍繞適應(yīng)性目標(biāo)移動(dòng)變換的建模和適應(yīng)性變換策略設(shè)計(jì)展開，首先建立一個(gè)數(shù)學(xué)模型來分析AMTD框架下TDS 變換和ADS變換2種變換策略所引入的開銷和帶來的收益，包括計(jì)算ADS變換的觸發(fā)條件以及TDS變換的最優(yōu)時(shí)間間隔（TDS變換的觸發(fā)條件即為所求得的最優(yōu)時(shí)間間隔）。

3.2.1 AMTD系統(tǒng)模型

本文提出一個(gè)量化指標(biāo)——系統(tǒng)服務(wù)率，來量化一個(gè)MTD系統(tǒng)正常運(yùn)行所引入的開銷對(duì)用戶正常獲取服務(wù)所帶來的影響。代表系統(tǒng)正常對(duì)用戶提供服務(wù)時(shí)間占其運(yùn)行總時(shí)間的比率，記為

若將[0,]時(shí)間間隔內(nèi)服務(wù)器正常為用戶提供服務(wù)時(shí)間的數(shù)學(xué)期望記為()，則()可表示為

()=?()?()?() (2)

其中，()表示在[0,]時(shí)間間隔內(nèi)進(jìn)行的TDS變換所產(chǎn)生開銷的數(shù)學(xué)期望，()表示在[0,]時(shí)間間隔內(nèi)進(jìn)行的ADS變換所產(chǎn)生開銷的數(shù)學(xué)期望，用()表示系統(tǒng)恢復(fù)可用性所需要的時(shí)間數(shù)學(xué)期望，代表被侵入損失。

在時(shí)間趨于無窮大的情況下，式(1)所表示的服務(wù)率又可表示為

式(3)從數(shù)學(xué)角度描述了當(dāng)系統(tǒng)處于穩(wěn)定狀態(tài)時(shí)的對(duì)外服務(wù)率。

3.2.2 AMTD變換策略

AMTD 機(jī)制運(yùn)行的目標(biāo)是在保證系統(tǒng)安全性的前提下，目標(biāo)系統(tǒng)對(duì)外服務(wù)率最大化。首先分析ADS開銷()、被侵入損失()和TDS開銷()的計(jì)算依據(jù)，并據(jù)此制定適應(yīng)性變換策略，包括ADS變換的觸發(fā)條件，以及TDS的變換間隔。

1) ADS 開銷()

假設(shè)前一次執(zhí)行變換（TDS變換或ADS 變換）的時(shí)刻為0，經(jīng)過了t時(shí)間，IDS發(fā)出攻擊報(bào)警，假設(shè)系統(tǒng)發(fā)出預(yù)警的時(shí)刻至攻擊到達(dá)最終竊取信息階段之間的時(shí)間差為lead，在lead時(shí)間內(nèi)AMTD系統(tǒng)可采取ADS變換提供反應(yīng)式防御從而保證系統(tǒng)S不受侵害。

(2)哈拉湖整片區(qū)域的pH變異系數(shù)較小，表明pH在整個(gè)區(qū)域較穩(wěn)定，水質(zhì)受到污染的可能性較小，水質(zhì)總體呈弱堿性；

同時(shí)，在S原先位置上部署蜜罐/假目標(biāo)S′，以監(jiān)測和統(tǒng)計(jì)攻擊信息（具體設(shè)計(jì)可參見NMC[18]）。

lead為隨機(jī)時(shí)間，通常為數(shù)秒到數(shù)分鐘[18]，本文假設(shè)lead的值服從指數(shù)分布[19]，其概率分布函數(shù)記為()。

當(dāng)入侵檢測報(bào)警為TP（true positive）時(shí)，此次ADS變換被認(rèn)為為系統(tǒng)提供有效的防御，定義預(yù)警是否正確的標(biāo)準(zhǔn)如下。

①對(duì)于蜜罐目標(biāo)S′，若在入侵報(bào)警后缺失被攻擊，即在時(shí)間范圍[0+a,0+a+lead]內(nèi)（如圖3所示）發(fā)生入侵，則認(rèn)為IDS報(bào)警正確。

②若時(shí)間范圍[0+a,0+a+lead]內(nèi)蜜罐系統(tǒng)無入侵跡象，則認(rèn)為IDS報(bào)警為誤報(bào)。

③若蜜罐系統(tǒng)入侵時(shí)間大于[0+a+lead]，則認(rèn)為IDS為漏報(bào)。

圖3 ADS機(jī)制運(yùn)行所涉及時(shí)間圖樣

ads≤nads(4)

具體來說，可以計(jì)算接收到入侵檢測預(yù)警后即執(zhí)行 ADS 變換所產(chǎn)生開銷的數(shù)學(xué)期望ads為

其中，為IDS的準(zhǔn)確率，1為單次ADS變換開銷。接收到預(yù)警信息后對(duì)其忽略不進(jìn)行ADS變換的時(shí)間開銷的數(shù)學(xué)期望nads為

nads=3(6)

其中，3為一次入侵成功后對(duì)系統(tǒng)帶來的時(shí)間損失。

綜合式(4)~式(6)計(jì)算得

1≤3(7)

因此是否進(jìn)行ADS變換取決于3個(gè)因素：單次ADS變換開銷1、入侵檢測查準(zhǔn)率以及系統(tǒng)被攻破后到恢復(fù)正常的可用性所遭受的時(shí)間損失3。

那么，一次ADS可順利完成的概率為。

基于上述分析與假設(shè)，對(duì)時(shí)間間隔[0,]內(nèi)ADS變換開銷的數(shù)學(xué)期望進(jìn)行如下分析。

2) 被侵入損失()

本文用系統(tǒng)恢復(fù)可用性所需要的時(shí)間表示目標(biāo)系統(tǒng)的被侵入損失。具體損失包括以下3類原因。

①漏報(bào)導(dǎo)致

②lead較短導(dǎo)致

③IDS正確警報(bào)，但AMTD系統(tǒng)忽略報(bào)警導(dǎo)致

另一方面，為降低上述 ADS變換時(shí)目標(biāo)系統(tǒng)可能面對(duì)的被入侵風(fēng)險(xiǎn)，AMTD采用TDS變換機(jī)制來彌補(bǔ)ADS機(jī)制的不足。設(shè)2次變換間隔時(shí)長為，并用表示TDS變換成功的概率。那么在[0,]時(shí)間間隔內(nèi)，因執(zhí)行TDS變換而避免的被入侵損失的數(shù)學(xué)期望值應(yīng)為

因此，在[0,] 時(shí)間間隔內(nèi)的被侵入損失的數(shù)學(xué)期望可表示為

因此，式(10)所表示的[0,]時(shí)間間隔內(nèi)的被侵入損失的數(shù)學(xué)期望又可表示為

因此得到

假設(shè)單次實(shí)施TDS變換的開銷為2，那么在[0,]時(shí)間間隔內(nèi)，執(zhí)行TDS變換所引入開銷的數(shù)學(xué)期望可以表示為

由式(3)、式(6)~式(12)，得服務(wù)率為如下形式。

再根據(jù)式(7)將按照實(shí)際取值代入式(15)后可得

4 模擬驗(yàn)證

AMTDsim的自定義參數(shù)及其含義見表1，在進(jìn)行實(shí)驗(yàn)時(shí)，這些參數(shù)的取值范圍依據(jù)相關(guān)研究和實(shí)際經(jīng)驗(yàn)獲得，為提高實(shí)驗(yàn)準(zhǔn)確性，在參數(shù)范圍內(nèi)多次取不同值，觀察不同參數(shù)對(duì)系統(tǒng)服務(wù)率的影響。該實(shí)驗(yàn)假定lead的值服從指數(shù)分布，把lead的均值記作。

表1 模擬實(shí)驗(yàn)中所需設(shè)置的參數(shù)及其含義

基于AMTDSim模擬器，本文針對(duì)4個(gè)問題進(jìn)行了4個(gè)實(shí)驗(yàn)：1) 對(duì)比使用AMTD機(jī)制和使用固定時(shí)間間隔變換機(jī)制的系統(tǒng)服務(wù)率；2) IDS的檢測精度對(duì)采用AMTD機(jī)制的系統(tǒng)服務(wù)率的影響；3) 單次變換開銷和被侵入損失的變化對(duì)系統(tǒng)服務(wù)率的影響；4) IDS預(yù)警提前量的變化對(duì)采用AMTD機(jī)制的系統(tǒng)服務(wù)率的影響。為減小實(shí)驗(yàn)的偶然性和誤差，對(duì)應(yīng)數(shù)據(jù)下的每個(gè)實(shí)驗(yàn)都進(jìn)行30次，再取平均值作為實(shí)驗(yàn)結(jié)果，且每一次實(shí)驗(yàn)的開始時(shí)間都是隨機(jī)選擇的（注意，模擬的2個(gè)攻擊trace的時(shí)間跨度是3年，每次的獨(dú)立實(shí)驗(yàn)起始時(shí)間是前兩年，以確保每次實(shí)驗(yàn)?zāi)M時(shí)長sim為1年）。

4.1 不同機(jī)制間服務(wù)率的比較

本實(shí)驗(yàn)對(duì)比采用AMTD機(jī)制和采用固定時(shí)間間隔變換的MTD機(jī)制（下文稱基準(zhǔn)MTD機(jī)制）時(shí)的系統(tǒng)服務(wù)率，以說明采用AMTD機(jī)制時(shí)的系統(tǒng)服務(wù)率更高。本實(shí)驗(yàn)對(duì)AMTD機(jī)制的參數(shù)設(shè)置見表2。

表2 4.1節(jié)實(shí)驗(yàn)的AMTD參數(shù)設(shè)置

進(jìn)行實(shí)驗(yàn)時(shí)，為了確保實(shí)驗(yàn)的可靠性，需要探索到基準(zhǔn)MTD機(jī)制的最優(yōu)服務(wù)率，用基準(zhǔn)MTD機(jī)制的最優(yōu)服務(wù)率和AMTD機(jī)制進(jìn)行對(duì)比才更有說服力。方法是，在攻擊trace1中，先把基準(zhǔn)MTD的初始變換間隔設(shè)置為1 000 s（攻擊trace2中設(shè)置為300 s），求得初始變換間隔下基準(zhǔn)MTD的系統(tǒng)服務(wù)率（注意實(shí)驗(yàn)進(jìn)行30次，結(jié)果取平均值）；之后，變換時(shí)間間隔每次遞增100 s，并根據(jù)實(shí)驗(yàn)求得當(dāng)前間隔下基準(zhǔn)MTD機(jī)制的系統(tǒng)服務(wù)率；最后將實(shí)驗(yàn)結(jié)果繪制成圖4中曲線。而采用AMTD機(jī)制的系統(tǒng)服務(wù)率（定值）用虛線條體現(xiàn)。

圖4 部署 AMTD機(jī)制與基準(zhǔn)MTD機(jī)制的服務(wù)率比較

從圖4可看到，基于攻擊trace1和trace2的實(shí)驗(yàn)中，基準(zhǔn)MTD機(jī)制的系統(tǒng)服務(wù)率先是快速增長到達(dá)峰值而后不斷下降直至平穩(wěn)。分析結(jié)果如下。初始階段，變換時(shí)間間隔較短，基準(zhǔn)MTD進(jìn)行高頻變換，有效抵御了攻擊事件；當(dāng)變換間隔不斷增大，雖然變換頻率降低了，但更接近于攻擊頻率，所以仍能抵御攻擊，結(jié)果是系統(tǒng)服務(wù)率增大，直到抵達(dá)峰值；之后，隨著變換間隔增大，系統(tǒng)被攻破次數(shù)增多，而節(jié)省下來的MTD變換開銷不足以彌補(bǔ)系統(tǒng)被攻擊導(dǎo)致的損失，因而服務(wù)率不斷下降。對(duì)比圖4(a)和4(b)可知，攻擊事件越頻繁，系統(tǒng)服務(wù)率變化越明顯，最終達(dá)到一個(gè)服務(wù)率較低的穩(wěn)態(tài)，說明基準(zhǔn)MTD機(jī)制不靈活，不能有效權(quán)衡變換開銷和攻擊損失，最后影響到系統(tǒng)的服務(wù)率。

對(duì)比圖4中表示基于AMTD機(jī)制的系統(tǒng)服務(wù)率的虛線條和基于基準(zhǔn)MTD機(jī)制的曲線條，虛線條對(duì)應(yīng)的系統(tǒng)服務(wù)率始終高于曲線條的服務(wù)率峰值（現(xiàn)實(shí)環(huán)境中，攻擊事件更靈活多變，基準(zhǔn)MTD的服務(wù)率一般低于這個(gè)峰值），證明采用AMTD機(jī)制的系統(tǒng)比采用基準(zhǔn)MTD機(jī)制的系統(tǒng)具有更高的系統(tǒng)服務(wù)率。這是由于在運(yùn)行時(shí)，AMTD機(jī)制可根據(jù)攻擊事件等系統(tǒng)自身的環(huán)境狀態(tài)，調(diào)整MTD變換的時(shí)機(jī)，以獲得較高的系統(tǒng)服務(wù)率。當(dāng)==0.7時(shí)，在攻擊trace1中，此時(shí)攻擊密度較小，AMTD機(jī)制比基礎(chǔ)MTD機(jī)制的服務(wù)率高0.2%；在trace2中，此時(shí)攻擊密度較大，AMTD機(jī)制比基礎(chǔ)MTD機(jī)制的服務(wù)率高1.1%。

此外，對(duì)比圖4(a)和4(b)中采用AMTD機(jī)制的線條可發(fā)現(xiàn)，若攻擊事件的密度增大，采用AMTD機(jī)制的服務(wù)率會(huì)下降。這是因?yàn)楣裘芏仍龃?，?dǎo)致MTD變換次數(shù)增多，總的變換開銷增加，提供正常服務(wù)的時(shí)間就會(huì)變短，這和現(xiàn)實(shí)世界的規(guī)律是吻合的。

4.2 入侵檢測機(jī)制精度對(duì)服務(wù)率的影響

入侵檢測的精度（和值）也會(huì)對(duì)AMTD機(jī)制提供的服務(wù)率造成影響。若入侵檢測的精度高，則AMTD的作用明顯，系統(tǒng)的可用性也就高。本實(shí)驗(yàn)通過設(shè)置不同的IDS精度，觀察對(duì)采用AMTD機(jī)制的系統(tǒng)服務(wù)率的影響，參數(shù)設(shè)置除了和值，其他值和表2參數(shù)值一樣。

圖5(a)和5(b)（彩圖見插頁1）對(duì)應(yīng)IDS的和在取值范圍{0.1, 0.2, 0.3,…,0.9}內(nèi)，基于攻擊trace1和攻擊trace2采用AMTD機(jī)制的系統(tǒng)服務(wù)率的結(jié)果。盡管trace1和trace2的攻擊密度不同，導(dǎo)致提供的系統(tǒng)服務(wù)率不同，但還是具有一定的相似性。從圖5(a)和5(b)中可清楚地發(fā)現(xiàn)，IDS系統(tǒng)精度越高，系統(tǒng)服務(wù)率越高。另外發(fā)現(xiàn)一個(gè)規(guī)律，當(dāng)查全率> 0.4時(shí)，采用AMTD機(jī)制的系統(tǒng)服務(wù)率會(huì)比采用基準(zhǔn)MTD機(jī)制的服務(wù)率的峰值更高（基準(zhǔn)MTD機(jī)制的服務(wù)率見圖4）；當(dāng)==0.9時(shí)，在攻擊trace1中，采用AMTD機(jī)制的服務(wù)率達(dá)到峰值99.63%，而在攻擊trace2中，峰值是97.28%。顯而易見，IDS精度越高，采用AMTD機(jī)制的系統(tǒng)服務(wù)率更高。

另外，還發(fā)現(xiàn)，采用AMTD機(jī)制的系統(tǒng)服務(wù)率對(duì)查全率更敏感，系統(tǒng)服務(wù)率會(huì)隨著值的增大而增大，即使值處于一個(gè)較低值，只要值較高，系統(tǒng)服務(wù)率仍能保持較高的值（見圖5(a)和5(b)）；反之，若值較低，無論值多高，系統(tǒng)服務(wù)率還是會(huì)受到約束。仔細(xì)分析一下，本實(shí)驗(yàn)中ADS和TDS的值相對(duì)Loss的值來說較小，如果此時(shí)查全率值很小，則IDS會(huì)漏報(bào)很多攻擊事件，造成更大的系統(tǒng)損失。如果查準(zhǔn)率值很小，盡管IDS誤報(bào)會(huì)很多，但是總的變換開銷并不大（若ADS變換次數(shù)增多，則TDS變換次數(shù)相應(yīng)減少），對(duì)系統(tǒng)服務(wù)率的影響不大。所以，本實(shí)驗(yàn)得出一個(gè)啟示，如果想通過改善IDS的檢測效率來提高系統(tǒng)服務(wù)率，提高值要比提高值更為關(guān)鍵。

圖5 入侵檢測精度對(duì)系統(tǒng)服務(wù)率的影響

4.3 變換開銷和被侵入損失變化對(duì)服務(wù)率的影響

本實(shí)驗(yàn)關(guān)注的問題是，變換開銷（ADS和TDS）與被攻擊損失（Loss）的比率對(duì)采用AMTD機(jī)制的系統(tǒng)服務(wù)率的影響。參數(shù)設(shè)置除了Loss值，其他值和表2中參數(shù)值一樣。

由于本實(shí)驗(yàn)結(jié)果與ADS和TDS變換的行為差異無關(guān)，所以暫時(shí)只考慮一種變換機(jī)制，即假定ADS和TDS變換的行為相同，即ADS=TDS，并簡稱為MTD變換開銷。進(jìn)行實(shí)驗(yàn)時(shí)，可保持MTD變換開銷值為20 s不變，僅通過改變Loss的值間接改變TDS:Loss的值（簡稱為開銷比），開銷比大小在1:10和1:160以內(nèi)變化，最終的實(shí)驗(yàn)結(jié)果如圖6所示。

從圖6可見，當(dāng)開銷比逐漸減小時(shí)，攻擊損失增大，導(dǎo)致系統(tǒng)的服務(wù)率逐漸減小。當(dāng)攻擊損失增大時(shí)，AMTD機(jī)制會(huì)相應(yīng)地增加變換次數(shù)，來減緩系統(tǒng)服務(wù)率的降低。另外，可以清楚地看到，攻擊密度較大的trace2和trace1相比而言，隨著開銷比的減小，系統(tǒng)服務(wù)率的降低速度更快，這說明攻擊密度較大時(shí)，AMTD的系統(tǒng)服務(wù)率的大小對(duì)開銷比的變化更敏感。所以，給Loss加個(gè)權(quán)重因子，可以優(yōu)化AMTD機(jī)制中MTD變換的觸發(fā)條件，這樣就能有效適應(yīng)開銷比發(fā)生變化的情況。

4.4 入侵檢測提前量對(duì)服務(wù)率的影響

本實(shí)驗(yàn)關(guān)注的問題是，IDS預(yù)警的提前時(shí)間（也就是Lead值，其均值為）對(duì)采用AMTD機(jī)制的系統(tǒng)服務(wù)率的影響。參數(shù)設(shè)置除了值，其他值都和表2參數(shù)值一樣。

本實(shí)驗(yàn)同3.3節(jié)實(shí)驗(yàn)一樣，保持MTD 變換開銷為20 s不變，使值在10 s和80 s之間變化，以差值5 s遞增，實(shí)驗(yàn)最終結(jié)果如圖7所示。在實(shí)驗(yàn)過程中，若lead≥ADS，可認(rèn)定ADS變換完成，否則認(rèn)定ADS未完成。在圖7中可發(fā)現(xiàn)，當(dāng)值增大時(shí)，采用AMTD機(jī)制的系統(tǒng)服務(wù)率會(huì)不斷增大，速度呈現(xiàn)先快后慢的趨勢，即和ADS相近時(shí)，系統(tǒng)服務(wù)率增長速度較快，之后隨著增大，系統(tǒng)服務(wù)率增長速度減緩。通過觀察得到，當(dāng)≥1.5ADS時(shí)，系統(tǒng)的服務(wù)率較高。所以，若要通過改善IDS系統(tǒng)預(yù)警來提高系統(tǒng)服務(wù)率，可把≥1.5ADS作為一個(gè)度量指標(biāo)。另外，對(duì)攻擊密度更大的trace2而言，lead對(duì)采用AMTD機(jī)制的系統(tǒng)服務(wù)率的影響更大，所以，增大IDS預(yù)警的提前時(shí)間可快速提高系統(tǒng)服務(wù)率。

圖7 ω值對(duì) AMTD 系統(tǒng)服務(wù)率的影響

5 結(jié)束語

本文首次提出了一個(gè)具有適應(yīng)性的移動(dòng)目標(biāo)防御系統(tǒng)框架AMTD，希望能有效實(shí)現(xiàn)系統(tǒng)在可用性—安全性—變換開銷之間的均衡。AMTD的適應(yīng)性體現(xiàn)在2方面：一是防御方式的適應(yīng)性，AMTD中既可提供基于異常事件驅(qū)動(dòng)的反應(yīng)式防御（ADS變換），又可提供基于計(jì)時(shí)器期滿事件驅(qū)動(dòng)的主動(dòng)式防御（TDS變換），并且通過科學(xué)的數(shù)學(xué)建模得出防御執(zhí)行的觸發(fā)條件；二是MTD變換間隔的適應(yīng)性。每次TDS變換間隔的起始時(shí)刻是上一次ADS/TDS變換完成的時(shí)刻，且TDS變換所需的時(shí)長是采用本文之前建立的數(shù)學(xué)模型和實(shí)際監(jiān)測得來的參數(shù)值計(jì)算出來的，所以變換時(shí)長具有一定的適應(yīng)性。

本文首先介紹了AMTD的系統(tǒng)組成和原理，提出利用系統(tǒng)服務(wù)率來表示MTD變換的時(shí)間開銷對(duì)系統(tǒng)可用性的影響，并通過建立科學(xué)的數(shù)學(xué)模型來計(jì)算AMTD系統(tǒng)中ADS變換的觸發(fā)條件和TDS變換的最優(yōu)時(shí)間間隔。本文把每次TDS變換的起始時(shí)間設(shè)置為上一次MTD變換（ADS/TDS）的完成時(shí)刻（避免在進(jìn)行完ADS變換后又立刻進(jìn)行TDS變換，導(dǎo)致不必要的變換開銷），若發(fā)生系統(tǒng)被攻破的事件，則設(shè)置為系統(tǒng)被攻破后恢復(fù)可用性的起始時(shí)間。

本文也詳細(xì)描述了筆者設(shè)計(jì)的AMTDsim模擬器，利用該模擬器進(jìn)行了4個(gè)不同的實(shí)驗(yàn)，來驗(yàn)證AMTD機(jī)制的有效性，這4個(gè)實(shí)驗(yàn)分別是，對(duì)采用AMTD機(jī)制和采用固定時(shí)間間隔變換機(jī)制的系統(tǒng)服務(wù)率進(jìn)行比較、IDS 精度對(duì)采用AMTD機(jī)制的系統(tǒng)服務(wù)率的影響、單次變換開銷與被攻擊損失比的變化對(duì)系統(tǒng)服務(wù)率的影響、入侵檢測警報(bào)的提前量對(duì)服務(wù)率的影響。最終的實(shí)驗(yàn)結(jié)果表明，采用AMTD機(jī)制的系統(tǒng)要優(yōu)于采用固定間隔的MTD機(jī)制的系統(tǒng)，同時(shí)也說明，AMTD機(jī)制的效果會(huì)受到IDS系統(tǒng)精度、入侵檢測報(bào)警提前量、ADS/TDS變換開銷以及被攻擊損失變化的影響。

圖6 變換開銷與被侵入損失的比率對(duì)系統(tǒng)服務(wù)率的影響

[1] LIU Y, PENG W, SU J. A study of IP prefix hijacking in cloud computing networks[J]. Security and Communication Networks, 2014, 7 (11): 2201-2210.

[2] WANG T, WANG H, LIU B, et al. Further analyzing the sybil attack in mitigating peer-to-peer botnets[J]. KSII Transactions on Internet & Information Systems, 2012, 6 (10).

[3] WANG F, WANG H, WANG X, et al. A new multistage approach to detect subtle DDoS attacks[J]. Mathematical and Computer Modelling, 2012, 55 (1): 198-213.

[4] ZDNet C, ZACK W. PRISM: here’s how the NSA wiretapped the Internet[EB/OL].http://www.zdnet.com/article/prism-heres-how-the- nsa-wiretapped-the-internet/.

[5] CODENOMICON. The heartbleed bug[EB/OL]. http://heartbleed. com.

[6] CLARK A, SUN K, POOVENDRAN R. Effectiveness of IP address randomization in decoy-based moving target defense[C]//The 52nd IEEE Conference on Decision and Control. 2013: 678-685.

[7] MANADHATA P. Game theoretic approaches to attack surface shifting[M]//Moving Target Defense II: Application of Game Theory and Adversarial Modeling. 2013: 1-13.

[8] CROUSE M, PROSSER B, FULP E. Probabilistic performance analysis of moving target and deception reconnaissance defenses[C]//The Second ACM Workshop on Moving Target Defense. 2015: 21-29.

[9] ZHU Q, BA?AR T. Game-theoretic approach to feedback-driven multi-stage moving target defense[C]//The 4th International Conference on Decision and Game Theory for Security-Volume 8252.

[10] CAI G L, WANG B S, HU W, et al. Moving target defense: state of the art and characteristics[J]. Frontiers of Information Technology & Electronic Engineering, 2016, 17 (11): 1122-1153.

[11] NITRDSubcommittee. National cyber leap year summit 2009 co-chairs’ report[EB/OL].https://www.nitrd.gov/nitrdgroups/index. php?title=Category:National_Cyber_Leap_Year_Summit_ 2009.

[12] AZAB M, HASSAN R, ELTOWEISSY M. ChameleonSoft: a moving target defense system[C]//The 7th International Conference on Collaborative Computing: Networking, Applications and Worksharing (CollaborateCom). 2011: 241-250.

[13] OKHRAVI H, COMELLA A, ROBINSON E, et al. Creating a cyber moving target for critical infrastructure applications[M]// Critical Infrastructure Protection V. Berlin Heidelberg: Springer, 2011: 107-123.

[14] HUANG Y, GHOSH A. Introducing diversity and uncertainty to create moving attack surfaces for Web services[M]// Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats. 2011: 131-151.

[15] DEBROY S, CALYAM P, NGUYEN M, et al. Frequency-minimal moving target defense using software-defined networking[C]//2016 International Conference on Computing, Networking and Communications (ICNC). 2016: 1-6.

[16] LUO Y, WANG B, WANG X, et al. RPAH: random port and address hopping for thwarting internal and external adversaries[C]// 2015 IEEE Trustcom/BigDataSE/ISPA. 2015: 263-270.

[17] 周志華. 機(jī)器學(xué)習(xí)[M]. 北京: 清華大學(xué)出版社, 2016.

ZHOU Z H. Machine learning[M]. Beijing: Tsinghua University Press, 2016.

[18] BERAUD P, CRUZ A, HASSELL S, et al. Using cyber maneuver to improve network resiliency[C]//2011 Military Communications Conference (MILCOM 2011). 2011: 1121-1126.

[19] KUHL M E, KISTNER J, COSTANTINI K, et al. Cyber attack modeling and simulation for network security analysis[C]/The /39th Conference on Winter Simulation. 2007: 1180-1188.

[20] BERAUD P, CRUZ A, HASSELL S, et al. Cyber defense network maneuver commander[C]//2010 IEEE International Carnahan Conference on Security Technology (ICCST). 2010: 112-120.

AMTD: a way of adaptive moving target defense

LIU Danjun, CAI Guilin, WANG Baosheng

Computer College, National University of Defense Technology, Changsha 410005, China

Moving target defense is a new way to change the asymmetry state between attack and defense, by dynamically moving target’s attacking surface. Frequency conversion of MTD is of great importance for the weighing between usability, security and defense cost. Nowadays, however, frequency conversion is usually determined by manager’s experience, which cannot create a balance between usability and security cost for the lack of theory basis. An adaptive moving target defense framework(AMTD)was proposed. AMTD can maximize system security at the lowest cost while ensuring that the system is available.The adaptability of AMTD has two modes. Firstly, the defense mode, it contains an adaptive conversion strategy to provide reacting defense triggered by security alerts and active defense triggered by timer expiration events. The other mode is the frequency conversion, which obtain the optimal conversion frequency by establishing mathematical models. Four series of simulation experiments were taken to verify the effectiveness of the solution.

moving target defense, adaptive defense, framework

TP302

A

10.11959/j.issn.2096-109x.2018008

劉丹軍（1994-），男，湖北潛江人，國防科技大學(xué)碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、二進(jìn)制安全。

蔡桂林（1982-），女，湖北浠水人，博士，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、移動(dòng)目標(biāo)防御。

王寶生（1970-），男，河北黃驊人，博士，國防科技大學(xué)研究員，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全。

2017-11-29；

2018-01-04

劉丹軍，liudanjun12@nudt.edu.cn

國家重點(diǎn)研發(fā)計(jì)劃基金資助項(xiàng)目（No.2017YFB0802301）；國家自然科學(xué)基金資助項(xiàng)目（No.61472437）

The National Key Research and Development Program of China (No.2017YFB0802301), The National Natural Science Foundation of China (No.61472437)