基于POF的網絡竊聽攻擊移動目標防御方法

馬多賀，李瓊，林東岱

?

基于POF的網絡竊聽攻擊移動目標防御方法

馬多賀1，李瓊2，林東岱1

（1. 中國科學院信息工程研究所信息安全國家重點實驗室，北京 100093；2. 哈爾濱工業(yè)大學計算機學院信息對抗技術研究所，黑龍江 哈爾濱 150001）

網絡竊聽攻擊是網絡通信安全的重大威脅，它具有隱蔽性和無干擾性的特點，很難通過傳統(tǒng)的流量特征識別的被動防御方法檢測到。而現(xiàn)有的路徑加密和動態(tài)地址等方法只能混淆網絡協(xié)議的部分字段，不能形成全面的防護。提出一種基于協(xié)議無感知轉發(fā)（POF, protocol-oblivious forwarding）技術的移動目標防御（MTD, moving target defense）方法，通過私有協(xié)議分組隨機化策略和動態(tài)路徑欺騙分組隨機丟棄策略，大大提高攻擊者實施網絡竊聽的難度，保障網絡通信過程的隱私性。通過實驗驗證和理論分析證明了該方法的有效性。

移動目標防御；竊聽攻擊；協(xié)議棧隨機化；網絡空間欺騙；協(xié)議無感知轉發(fā)

1 引言

網絡竊聽[1,2]已經成為黑客實施網絡攻擊的重要步驟和手段。網絡竊聽的攻擊者通過鏡像流量、數(shù)據(jù)復制等方式截獲網絡數(shù)據(jù)，再利用網絡分析軟件對數(shù)據(jù)進行解析，從而獲取通信雙方的位置信息以及通信的內容。當前，wireshark等多種軟件已經能夠對各種標準協(xié)議進行全分組分解，甚至加密數(shù)據(jù)分組仍然能夠通過流量統(tǒng)計分析手段進行猜測和逆向得到部分位置信息。由于該類攻擊手段具有隱蔽性和無干擾性的特點，傳統(tǒng)網絡安全設備無法通過流特征檢測攻擊。

通常情況下，網絡傳輸采用標準協(xié)議，在通信過程中傳輸路徑也相對固定，攻擊者很容易截獲數(shù)據(jù)分組并重組和恢復數(shù)據(jù)分組的內容，達到竊取隱私數(shù)據(jù)[3,4]或篡改數(shù)據(jù)分組以便構造中間人（man-in-the-middle）攻擊[5,6]、DDoS等其他攻擊的目的。在無線網絡中，由于無線信號不受物理限制，攻擊者部署裝置以接收信號進行網絡竊聽相對容易，因此，無線網絡安全性受到極大威脅。網絡竊聽攻擊利用現(xiàn)有網絡通信過程中網絡協(xié)議和傳輸路徑不變的弱點，在網絡傳輸路徑上實施數(shù)據(jù)分組抓取的竊聽攻擊或入侵網絡傳輸節(jié)點，從傳輸設備內部進行內存讀取、數(shù)據(jù)分組捕獲[5]。因此，靜態(tài)的網絡配置是造成網絡攻擊者能夠成功實施竊聽攻擊的根本原因，為黑客實施網絡竊聽攻擊帶來了便利。

目前，針對網絡竊聽攻擊的防御研究主要分為被動防御和主動防御。被動防御方法包括網絡隔離和數(shù)據(jù)加密。VLAN等網絡隔離技術[7,8]限制網絡廣播分組的傳播范圍，能夠在一定程度上抵御網絡竊聽攻擊，然而該方法對于同一個子網內的竊聽攻擊者是無效的。VPN等隧道加密技術、SSL等端到端的加密技術對傳輸數(shù)據(jù)的負載部分進行了加密，但無法抵御內部攻擊[1]，同時無法抵御基于統(tǒng)計的流量追蹤攻擊[3]。在無線網絡防竊聽攻擊方面，由于無線中繼設備本身就具有協(xié)議協(xié)商和路徑調度的機制，因此，研究者能夠在無線傳輸協(xié)商過程中間提出新的安全調度策略和新的安全增強的加密協(xié)議。這些方法易于實施和驗證，被學術界廣泛研究，其中，隨機網絡線性編碼（RLNC）方法以及加密的隨機網絡線性編碼是最為常用的方法。但是網絡編碼只保護網絡傳輸?shù)臄?shù)據(jù)字段，對數(shù)據(jù)分組頭部沒有保護。這些被動防御方法也沒有改變網絡傳輸過程中的配置靜態(tài)性問題，攻擊者能夠獲取到加密隧道的數(shù)據(jù)分組，并且能夠對加密數(shù)據(jù)分組進行基于統(tǒng)計特征和協(xié)議分析等逆向攻擊，以獲取“源—目的”通信流對[9]，得到通信雙方的位置信息。為了解決被動防御手段的不足，主動防御方法被研究者相繼提出，其中，移動目標防御[10]不依賴于攻擊檢測，成為網絡安全研究的新方向。

MTD是一種主動防御技術，它通過多樣的、動態(tài)改變的構建部署機制及策略來增加攻擊者的攻擊難度和代價，有效限制漏洞暴露和被攻擊者利用的機會[11,12]。網絡MTD的核心思想和改變保護目標網絡屬性來轉移攻擊面，以提高攻擊的難度和增加攻擊成本的方式使攻擊者放棄攻擊。但是現(xiàn)有網絡MTD技術仍然受標準協(xié)議[13~15]和靜態(tài)路徑的制約[16~18]，攻擊面轉換空間有限。

軟件定義網絡（SDN, software defined networking）[19]的發(fā)展以及協(xié)議無感知轉發(fā)[20]技術的出現(xiàn)，打破了以往傳統(tǒng)網絡中靜態(tài)標準協(xié)議的固有模式，給解決針對傳統(tǒng)網絡協(xié)議分析的安全防御問題帶來新的思路。

本文提出一種基于POF的移動目標防御方法，實現(xiàn)不可信網絡環(huán)境中明文數(shù)據(jù)分組的安全傳輸。該方法利用POF的協(xié)議定制能力實現(xiàn)網絡通信會話的傳輸協(xié)議和傳輸路徑隨時間不斷變換，同時在傳輸過程中混入網絡欺騙分組，從而增加竊聽者捕獲、重組通信會話真實信息的難度，達到網絡通信過程中隱私保護的目的。

本文的主要貢獻包括如下3個方面。

1) 提出一種基于POF的抗網絡竊聽攻擊移動目標防御機制（POFMTD），在POFMTD機制中提出從竊聽攻擊的網絡協(xié)議、傳輸路徑、網絡分組和消息內容4個屬性進行移動攻擊面動態(tài)轉換，提高竊聽攻擊實施的代價，實現(xiàn)對網絡數(shù)據(jù)傳輸過程的保護。

2) 將竊聽防御的攻擊面轉換維度從載體協(xié)議、環(huán)境路徑擴展到內容本身，引入了虛假網絡分組傳輸?shù)钠垓_防御策略。通過不同的私有協(xié)議將消息分組和欺騙分組隨機化封裝，提高攻擊者辨別截獲數(shù)據(jù)真實性的難度，降低重組會話消息的概率。

3) 提出路徑隨機化和欺騙分組隨機丟棄方法，對不同私有協(xié)議的傳輸路徑進行動態(tài)隨機化，減小局部攻擊中攻擊者截獲全部會話消息數(shù)據(jù)分組的概率；在動態(tài)路徑中進行欺騙分組的隨機丟棄，保障混淆消息內容的同時，接收端對欺騙無感知。

2 網絡竊聽威脅模型和相關背景

2.1 威脅模型

網絡通信過程中的竊聽攻擊按照不同的標準可以劃分為不同的類型[1]，同時也可以按照攻擊的位置來劃分，如針對路由路徑的攻擊或針對網絡設備節(jié)點的攻擊。按照攻擊的范圍，網絡竊聽攻擊可以分為局部攻擊和全局攻擊。而節(jié)點都在一條或多條傳輸路徑上，因此，可以用入侵路徑的多少來計算竊聽攻擊的范圍。如果攻擊者能夠竊聽通信之間的所有路徑，則為全局攻擊；如果攻擊者只竊聽通信中的部分路徑，則為局部攻擊。按照攻擊的危害性，網絡竊聽攻擊可以分為會話消息攻擊和數(shù)據(jù)分組攻擊。本文主要按照攻擊危害性的威脅模型來進行安全性分析。

2.1.1 網絡竊聽攻擊殺傷鏈

攻擊殺傷鏈是對攻擊過程和關鍵步驟的抽象。在網絡竊聽攻擊中，主要包含4個層次：1) 通過搭線、流量鏡像等方式入侵網絡路徑；2) 復制網絡數(shù)據(jù)分組，而非阻斷數(shù)據(jù)分組，這與其他主動攻擊不同；3) 由獲取的數(shù)據(jù)分組進行網絡協(xié)議解析，提取分組頭或負載；4) 重組負載數(shù)據(jù)，還原會話消息內容。在進行網絡竊聽攻擊防御時，主要目標是切斷這4個殺傷鏈中的一個或多個。

2.1.2 網絡竊聽攻擊類型

1) 會話消息攻擊。攻擊者竊聽某個通信過程中的所有數(shù)據(jù)分組，通過數(shù)據(jù)分組逆向分析，將所獲得的所有數(shù)據(jù)分組按照網絡協(xié)議進行重組、解析，從而獲得完整的會話信息[21]。該類攻擊的前提是攻擊者能夠竊聽通信雙方的所有傳輸路徑，且能夠逆向分析通信雙方所使用的所有網絡協(xié)議。這是一種全局竊聽攻擊。

2) 數(shù)據(jù)分組攻擊。攻擊者不需要竊取完整的會話數(shù)據(jù)分組，針對單數(shù)據(jù)分組或少量數(shù)據(jù)分組即可完成攻擊。該類攻擊包含多種形式，例如，對數(shù)據(jù)分組的分組頭進行分析，以追蹤通信雙方的源—目的地址；或對數(shù)據(jù)分組進行計數(shù)、時間統(tǒng)計或分析等，以得出數(shù)據(jù)流，進而獲取源—目的地址對。該類攻擊不需要路由固定，也不要求一定能解密數(shù)據(jù)負載，只需要知道標準網絡協(xié)議，并可解析數(shù)據(jù)分組頭部。由該分析的結果，為進一步的DDoS攻擊、重放攻擊、MITM[22]攻擊做好準備。該類竊聽攻擊屬于局部竊聽攻擊，只需要竊聽部分節(jié)點或鏈路。

從圖1的網絡竊聽威脅模型和殺傷鏈可知，會話消息攻擊相比數(shù)據(jù)分組攻擊理論殺傷鏈更完整，在竊聽路徑、捕獲數(shù)據(jù)分組數(shù)量、協(xié)議解析的深度等方面參數(shù)向量維度更多。圖1中以、、表示多次攻擊，1表示單次攻擊，0表示攻擊無關。在現(xiàn)有的網絡通信環(huán)境下，路徑數(shù)和協(xié)議數(shù)基本上都是單一固定的，這大大降低了竊取所有數(shù)據(jù)分組并還原出完整會話消息的難度。因此，如何將網絡通信過程中的單維參數(shù)提升為多維參數(shù)，是降低竊聽攻擊風險的關鍵。

圖1 網絡竊聽威脅模型和殺傷鏈

2.2 POF網絡架構

軟件定義網絡是一種全新的網絡架構，其特點是將網絡的轉發(fā)平面和控制平面分離，其物理實現(xiàn)上由一個控制器和多個路由交換設備（如SDN交換機）組成。OpenFlow是ONF最先提出的一種SDN實現(xiàn)協(xié)議，不足之處在于每種網絡協(xié)議都在OpenFlow中完整定義，并且需要OpenFlow控制器和交換機不斷升級才能支持這些網絡協(xié)議。

為了改進OpenFlow的不足，人們積極探索更為通用的網絡數(shù)據(jù)轉發(fā)方法。其中，斯坦福大學學者聯(lián)合Intel、Google、Microsoft等產業(yè)界數(shù)位專家提出了P4（programming protocol-independent packet processors）的概念[23]。P4為SDN開發(fā)者提供了高級編程接口，從控制器層進行網絡協(xié)議抽象，不同的協(xié)議經過P4轉換成各個SDN交換機中可以識別的OpenFlow流標規(guī)則，但是P4沒有從本質上改變SDN交換機適配不同網絡協(xié)議的問題。華為提出了協(xié)議無感知轉發(fā)的概念并以此提出了POF技術[20]。POF的優(yōu)點是交換機不再解析協(xié)議，而是統(tǒng)一采用偏移量和特征值來進行網絡協(xié)議轉發(fā)，使交換機不需隨新協(xié)議的出現(xiàn)而升級軟硬件。目前，學術界研究熱點包括POF架構[24]、POF控制器[25]、POF數(shù)據(jù)交換[20]以及基于POF的網絡內容分發(fā)應用[26]等。POF已經成立開源社區(qū)，致力于推動POF應用和標準化。

POF技術將控制器和轉發(fā)設備接口的抽象層次降低至更細粒度的數(shù)據(jù)分組轉發(fā)操作指令，轉發(fā)設備對任何協(xié)議字段的理解，都統(tǒng)一抽象為該字段在數(shù)據(jù)分組中的偏移和字段的長度。轉發(fā)設備不需要感知分組的協(xié)議類型以及轉發(fā)流程，這就徹底擺脫了交換設備對特定標準協(xié)議的預先支持。

圖2給出了POF數(shù)據(jù)交換的原理示意。POF控制器為交換機的每個流表下發(fā)不同的{}定位數(shù)據(jù)分組比特流中的{}，并為匹配上該條規(guī)則的數(shù)據(jù)分組設置轉發(fā)動作{}。

傳統(tǒng)網絡設備和OpenFlow交換機只支持標準網絡協(xié)議[27]，而不能改變其類型或結構化字段。 POF除具備SDN基本的控制與轉發(fā)相分離的特性外，還具有高度的協(xié)議自制能力。因此，POF技術的出現(xiàn)，極大降低了網絡數(shù)據(jù)傳輸對承載協(xié)議類型的要求限制，使私有協(xié)議傳輸與協(xié)議變換成為可能。

2.3 相關研究

目前，已經有基于MTD技術的網絡安全防御方法研究[9,13,14,18]，包括端口隨機化和網絡地址隨機化等。文獻[14]對網絡的端口號進行隨機實現(xiàn)基于端口跳變的MTD。“網絡地址空間隨機化”[9]是通過目標主機的IP地址進行隨機混淆，來抵御掃描攻擊和DDoS攻擊，是最常用的網絡移動目標防御方法。但是IPv4的IP地址范圍和端口數(shù)量比較小，即使IP地址和端口同時進行隨機化[18]，其轉換空間也比較有限。文獻[13]提出一種基于IPv6地址隨機化的MTD方法，其地址空間為2128，使攻擊面轉換空間足夠大，暴力破解攻擊很難實現(xiàn)。但是現(xiàn)有的網絡MTD方法只是隨機化IP地址、端口等部分協(xié)議字段，數(shù)據(jù)分組頭及數(shù)據(jù)負載等字段未進行隨機化，主要用以抵御掃描攻擊和DDoS攻擊，因此，在傳統(tǒng)網絡架構下缺少有效的網絡竊聽攻擊防御方法。

圖2 POF數(shù)據(jù)交換的原理示意

Corbett等[27]將MTD思想和OpenFlow技術結合應用于無線網絡的安全防御中，提出了MAC和QAM的隨機化彈性協(xié)議棧方法來抵御攻擊者干擾網絡傳輸。受限于OpenFlow的擴展能力，該方法只能實現(xiàn)無線網絡協(xié)議的部分字段隨機化。POF是基于軟件定義網絡架構的一種新的實現(xiàn)技術，它具備控制層面與轉發(fā)層面分離的特性。同時POF作為SDN的擴展，控制層與轉發(fā)層分離更加徹底，使轉發(fā)設備徹底擺脫了對特定協(xié)議的依賴，不再感知分組的協(xié)議類型，而是統(tǒng)一采用偏移量（）和長度（）來定位匹配特征值（）進行網絡數(shù)據(jù)分組的轉發(fā)[25]。以上特性決定了POF具備高度的協(xié)議自制能力，允許用戶自定義協(xié)議作為傳輸載體進行網絡通信。

SDN在網絡安全中的應用已經為國內外學術界所重視[28]。SDN改變了傳統(tǒng)以IP轉換[29]和端跳變的方式實現(xiàn)主動防御[30]，推動了移動目標防御技術的發(fā)展。在華為[20,25]和中國科學院[31,32]的共同研究推動下，POF技術的特性為構建新的網絡移動目標防御系統(tǒng)提供更廣闊的技術途徑。已有的研究表明，基于POF協(xié)議隨機化方法構建的安全防御方法能夠有效保護SDN控制器免受“盲DDoS”攻擊[31]，并且在抵御竊聽攻擊方面具有一定的優(yōu)勢[33]。

但是，現(xiàn)有方法都只從網絡協(xié)議、路由路徑等數(shù)據(jù)載體和網絡環(huán)境來進行MTD攻擊面轉換，無法全面覆蓋竊聽攻擊的4個主要殺傷鏈。特別是在全路徑竊聽環(huán)境下，會話消息的內容仍然面臨單一性的威脅。

近年來，網絡空間欺騙（cyber space deception）[34,35]研究逐漸系統(tǒng)化，已經遠遠突破蜜罐的范疇。特別是云計算、虛擬化等技術成熟，帶動了網絡空間欺騙方法在MTD中的應用研究[36,37]。本文將采用網絡欺騙思想來構建會話消息的內容屬性多樣性。

3 基于POF的移動目標防御方法

本文主要研究通信過程中網絡竊聽防御，因此，本文假設網絡通信的雙方（發(fā)送方和接收方）以及用以網絡管理的POF控制器是可信的，不會成為網絡竊聽攻擊者的同謀。具體到本系統(tǒng)中，控制器、私有協(xié)議產生模塊和通信客戶端默認是相互可信的，不會泄露私有協(xié)議安全信息。

移動目標防御的核心思想旨在轉換受保護目標的屬性以不斷改變其暴露的攻擊面[7,21]，使攻擊者迫于成本和難度增加的考慮而放棄攻擊。根據(jù)以上對攻擊模型的分析，網絡通信過程的攻擊面主要由網絡協(xié)議（network protocol）、傳輸路徑（routing path）、網絡分組（packet）和消息內容（message）共同構成。因此，本文提出的MTD方法的核心內容是構造這4個屬性的多樣性以得到較大的轉換空間，從而大大提高MTD攻擊面的轉換不可預測性。

圖3 接收端欺騙無感知的MTD系統(tǒng)架構

對于靜態(tài)系統(tǒng)，屬性的轉換頻率均為0；而MTD系統(tǒng)的屬性轉換頻率各不相同，但一般至少有一個大于0。為了簡化，將SF、SF、SF、SF都略去暫不考慮，則MTD的效果只與轉換空間SS、SS、SS、SS有關，它們?yōu)榭傻葍r替換的子屬性值組成的集合為

通過上述分析可以看出，抵御網絡竊聽攻擊的MTD系統(tǒng)的核心，是提高SS、SS、SS、SS的空間大小。本文提出的MTD方法，采用私有協(xié)議族封包隨機化策略和動態(tài)路徑欺騙分組隨機丟棄策略。系統(tǒng)架構如圖3所示，構建端到端的透明欺騙網絡，從協(xié)議、路徑、數(shù)據(jù)分組、消息內容4個維度提升了MTD攻擊面轉換的不可預測性。

3.1 私有協(xié)議族封包隨機化

該策略主要采用POF產生的私有網絡協(xié)議族進行通信消息分組和欺騙分組的隨機封包，從而在網絡協(xié)議層、數(shù)據(jù)分組層實現(xiàn)攻擊面的多樣化。

1) 私有協(xié)議產生

傳統(tǒng)的網絡傳輸設備按照固定的結構化字段來識別協(xié)議，字段結構的細微改動，都可能造成數(shù)據(jù)分組無法傳輸。因此，傳統(tǒng)網絡協(xié)議是標準的、單一的、固定的和靜態(tài)的。

為了提高網絡傳輸協(xié)議的冗余性和多樣性，本文采用POF的無感知特性來構建私有協(xié)議族。POF協(xié)議能夠擺脫固定協(xié)議的束縛，可以根據(jù){,,}的抽象結構識別和創(chuàng)建任意非通用協(xié)議。在MTD研究領域，經典的方法是隨機插入冗余比特來構造攻擊面屬性的多樣性，同樣通過在標準協(xié)議中插入隨機的無效字段構造私有協(xié)議[31]。以TCP/IP協(xié)議為例，將原始標準協(xié)議定義為OSP，其中，包括MAC、IP等個結構化字段，進行校準后，利用隨機化算法在此標準協(xié)議字段中隨機插入二進制字符串，以達到混淆協(xié)議的目的。這里給出一個協(xié)議隨機化產生私有協(xié)議的算法。

算法1 網絡協(xié)議棧隨機化

①[1]

⑤ end for

⑦PPID

⑧.{[]}

?.{[]}

?end for

?ifNULL

?pf

圖4 私有協(xié)議池

由此，通信雙方可以從如圖4所示的私有協(xié)議池中選擇若干私有協(xié)議組成一個私有協(xié)議族分別封裝消息分組（message packet）和欺騙分組（deception packet）。其中，用于封裝欺騙分組的協(xié)議需要控制器中標記其私有協(xié)議ID（對應deception flag），并用標記欺騙分組傳輸?shù)淖钸h跳數(shù)（對應deception distance）。

2) 網絡封包欺騙

為了提高竊聽攻擊者重組數(shù)據(jù)分組的難度，本文提出一種消息分組隨機化方法，如圖5所示，將消息拆分成多個數(shù)據(jù)字段，每個數(shù)據(jù)字段封裝在不同的私有協(xié)議的負載中。同時，為了增加欺騙性，可以在數(shù)據(jù)分組中隨機混入少量的欺騙分組，通過設置較短的傳輸距離，在這些數(shù)據(jù)分組到達可信接收客戶端之前，POF交換機將其丟棄，這樣既不增加接收端的負擔，又給中間節(jié)點的竊聽攻擊者帶來迷惑性。封裝欺騙分組的私有協(xié)議ID都由控制器標記為deception flag，以給交換機的流標設置相應的隨機分組丟失動作（drop action）；欺騙分組傳輸?shù)淖钸h跳數(shù)為不大于傳輸路徑的最大節(jié)點數(shù)的一個整數(shù)，并賦值給字段。

圖5 消息封包隨機化

通信時，消息內容通過不同的私有協(xié)議發(fā)送給接收端，避免了單一協(xié)議被攻擊造成隱私泄露的風險；同時網絡路徑中混雜了欺騙分組，敵手難以分辨真假。

3.2 動態(tài)路徑欺騙分組隨機丟棄

該部分的MTD策略主要實現(xiàn)網絡通信過程中的消息分組和欺騙分組的動態(tài)路徑管理，以及在傳輸過程中對欺騙數(shù)據(jù)分組進行隨機丟棄，實現(xiàn)對接收端的欺騙無感知。

1) 路由路徑隨機化

傳統(tǒng)路由策略基于目的IP、或其他協(xié)議標簽，傳輸路徑一般為最短路徑算法。一旦傳輸會話建立，路由路徑將保持不變。固定的傳輸鏈路為攻擊者實施竊聽攻擊帶來了便利，傳輸鏈路作為攻擊面暴露了網絡傳輸鏈路的脆弱性。

本文的MTD策略中，提出一種基于路由信息和私有協(xié)議相結合的動態(tài)路由策略，該策略通過保持路徑的動態(tài)轉換保證網絡路由的不可知性和系統(tǒng)攻擊面的不可預測性。

每個交換機的第一級流表通過私有協(xié)議PPID實現(xiàn)網絡數(shù)據(jù)分組的快速轉發(fā)。控制器利用隨機化算法更新每個交換機的一級流表，用以部署動態(tài)隨機路由信息策略。控制器實施的動態(tài)路由策略對通信客戶端透明，通信雙方不需要知道路由信息。

2) 欺騙分組隨機丟棄

承載欺騙分組的私有協(xié)議在交換網絡中用以擴大傳輸數(shù)據(jù)的多樣性。欺騙數(shù)據(jù)分組混淆在傳輸路徑中，以迷惑竊聽攻擊者，阻礙其進行會話消息分組的重組。為了對接收端透明，也為了減少傳輸帶寬損耗，本文MTD方案提出欺騙分組隨機丟棄策略，在鏈路中的某一交換節(jié)點上下發(fā)drop指令，將欺騙分組丟棄。各個欺騙分組均在中途節(jié)點被丟棄，因而接收端不需關注接收到的數(shù)據(jù)分組的真?zhèn)晤愋停垓_分組對接收端是無感知的。控制器生成欺騙分組丟棄策略的隨機化算法如下。

算法2 欺騙分組隨機丟棄

②(FL)

⑤nodes_NpcountAllNodes(l )

⑨ if ((1,)(0,1)

⑩ fl(rp).S.

? else

?fl(rp).S.//丟棄欺騙分組

? end if

??1

?if (1)

? fl(rp).S.

? end if

? end for

? returnFL

? end for

圖6 POFMTD原型系統(tǒng)

3.3 POFMTD原型系統(tǒng)實現(xiàn)

基于以上隨機化方法，構建基于POF的移動目標防御原型系統(tǒng)，如圖6所示。其中，私有協(xié)議產生模塊通過動態(tài)協(xié)議算法，生成通信所需要的私有協(xié)議族，并將協(xié)議的安全信息SecPP以XML文件形式離線秘密分享給控制器和通信客戶端。

控制器根據(jù)私有協(xié)議信息和通信雙方的路徑信息，周期地生成相應的流表信息，下發(fā)到交換網絡中。路徑隨機化和變更由MTD動態(tài)策略模塊完成。通信客戶端根據(jù)私有協(xié)議信息，封裝載荷，發(fā)送通信數(shù)據(jù)，并對接收到的私有協(xié)議數(shù)據(jù)分組進行去隨機化和解析。控制器、私有協(xié)議產生模塊和通信客戶端默認是相互可信的，不會泄露私有協(xié)議安全信息。

4 攻擊實驗仿真

4.1 實驗環(huán)境設置

本文測試環(huán)境包括POF控制器和POF交換機以及用以通信的客戶端和用來模擬竊聽攻擊的攻擊主機。POF交換機和一臺POF控制器來搭建實驗網絡環(huán)境，POF交換機和控制器來源于POF開源項目。

客戶端和攻擊服務器運行于Windows 7操作系統(tǒng)，瀏覽器采用Chrome 39.0和Firefox 47.0。分組分發(fā)軟件基于Python類庫Scapy編寫的網絡分組分發(fā)程序。

圖7 時隙1內不同協(xié)議的動態(tài)傳輸路徑

圖8 時隙2內不同協(xié)議的動態(tài)傳輸路徑

表1 網絡竊聽攻擊測試

實驗網絡的交換機拓撲結構如圖7和圖8所示，這些交換機由控制器進行策略控制（為簡化拓撲，略去控制器的位置）。客戶端host A與host B所在POF交換網絡之間形成多條通路：={1,2,3, …}。本次實驗基于UDP進行字段隨機化來產生私有協(xié)議。

4.2 攻擊測試

防竊聽攻擊通過在不可信鏈路上發(fā)送數(shù)據(jù)分組、接收數(shù)據(jù)分組來測試攻擊者截獲數(shù)據(jù)分組的數(shù)量和重組數(shù)據(jù)分組的成功率，如表1所示。Scapy根據(jù)定義的私有協(xié)議格式進行通信數(shù)據(jù)分組的發(fā)送。

攻擊者在[S0, S1, S2]路徑上進行抓取分組竊聽，并采用wireshark協(xié)議分析軟件進行協(xié)議解析和通信消息恢復。由于攻擊者不知私有協(xié)議的結構信息（也即SecPP），因此，無法利用捕獲數(shù)據(jù)分組進行逆向分析。

對于host B等合法用戶，使用Lua語言對已知私有協(xié)議結構信息（如SecPP）編寫插件模型并嵌入至wireshark。客戶端host B接收到來自客戶端host A的信息，并且使用客戶端雙方與控制器共享的私有協(xié)議的SecPP對該數(shù)據(jù)分組的內容進行解析。

除了私有協(xié)議隨機化之外，通信方host A將會話消息分成多份，封裝在不同的協(xié)議中并發(fā)送給接收端host B。控制器每隔一段時間，通過更新交換機流表以改變不同協(xié)議的傳輸路徑。因此，竊聽攻擊在單路徑上無法竊聽到會話消息的全部分組。

欺騙分組是一種用來干擾攻擊者重組會話消息的假數(shù)據(jù)，在測試中該類數(shù)據(jù)的最遠傳輸距離不會超過最短路徑的跳數(shù)，隨機分組丟失算法可以保證在數(shù)據(jù)分組到達合法接收端之前被POF交換機設置動作而丟棄，不影響合法通信接收方，卻可以迷惑在鏈路中進行竊聽的攻擊者。欺騙分組與有效數(shù)據(jù)分組共享帶寬，過多的欺騙分組起不到應有的欺騙效果，反而影響傳輸效率，因此，測試中欺騙分組設置了相對較小的比例。

實驗表明本文的MTD方法可以有效抵御竊聽攻擊對網絡通信過程的威脅。

4.3 性能測試

在POFMTD實驗環(huán)境進行性能測試時，本文主要對標準網絡協(xié)議（UDP）與私有協(xié)議的網絡性能進行對比。分組分發(fā)工具用Scapy分別發(fā)送UDP數(shù)據(jù)分組以及基于UDP隨機化產生的私有協(xié)議數(shù)據(jù)分組，隨機化向量為4 B。性能測試工具用Iperf在服務器上進行統(tǒng)計。

在網絡吞吐量性能方面，實驗中采用的POF交換機為軟件交換機，未采用硬件加速和內核優(yōu)化，利用Iperf測試POF交換機之間的轉發(fā)標準協(xié)議和私有協(xié)議的轉發(fā)吞吐量。當最大分組長度設置為1 460 B時，轉發(fā)標準網絡協(xié)議的轉發(fā)吞吐量平均為943.49 Mbit/s，轉發(fā)私有協(xié)議的網絡性能為942.05 Mbit/s。當最大分組長度設置為68 B時，轉發(fā)標準網絡協(xié)議的轉發(fā)吞吐量平均為213.61 Mbit/s，轉發(fā)私有協(xié)議的網絡性能為215.18 Mbit/s。發(fā)送端均以10 Mbit/s發(fā)送測試流量，對于標準網絡協(xié)議UDP，利用Iperf測試得到的平均帶寬為9.89 Mbit/s，而私有協(xié)議的平均帶寬為9.81 Mbit/s，與標準帶寬之間差距都較小。

網絡時延與傳輸路徑有關，實驗中采用同樣的動態(tài)路徑策略進行MTD路徑隨機化，測試比較最短路徑與最長路徑中的網絡時延性能。在標準網絡協(xié)議傳輸下，測試得到的在最短路徑和最長路徑下平均網絡時延分別為10.772 ms、20.779 ms；而進行私有協(xié)議通信測試中，在最短路徑和最長路徑下平均網絡時延分別為11.547 ms、21.589 ms（偏差分別為7.72%、3.90%）。使用10 Mbit/s帶寬進行Iperf測試最短路徑下的網絡分組丟失率，得到的分組丟失率分別為0.55%、0.61%。

除此之外，在性能上啟用POFMTD策略前后，單個交換機上的CPU使用率幾乎相同，即采用MTD策略對CPU性能的影響幾乎可以忽略不計，這也是協(xié)議無感知轉發(fā)的一大優(yōu)勢。

5 安全分析

5.1 抗數(shù)據(jù)分組攻擊的安全性

相對于信息論安全（也即香農安全），通信過程中的數(shù)據(jù)分組攻擊是一種弱安全竊聽攻擊。敵手從截獲的少量數(shù)據(jù)分組中無法獲取完整、有意義的會話信息，但是攻擊者可以得到一些間接的情報，這對于威脅網絡通信是有價值的。為了實施數(shù)據(jù)分組攻擊，攻擊者需要入侵通信雙方的傳輸路徑，截獲通信過程中至少一個協(xié)議并逆向分析其結構。數(shù)據(jù)分組攻擊不需要解析全部消息內容，因此，即使協(xié)議中數(shù)據(jù)負載部分是密文，或竊聽攻擊者只捕獲部分數(shù)據(jù)分組，也可以成功實施數(shù)據(jù)分組攻擊。數(shù)據(jù)分組攻擊成功后，攻擊者通過篡改協(xié)議內容以構造中間人攻擊或DDoS攻擊等。

例如，威脅模型分析，數(shù)據(jù)分組竊聽攻擊是一種局部攻擊，攻擊者最直接的目的是逆向解析出真實的信源和信宿，即假設敵手恰好在通信會話周期內在任意路由路徑上捕獲到任意一個會話數(shù)據(jù)分組并解析該協(xié)議的結構，攻擊即成功。

個數(shù)據(jù)分組落到敵手所在的任意路徑上的聯(lián)合概率可表示為

基于POF技術對全部標準協(xié)議隨機化來產生私有協(xié)議，突破了主機地址甚至IP地址空間的限制。暴力破解IPv6隨機地址需要的時間量級為1010h，而暴力破解POFMTD的時間量級為21 000h，呈現(xiàn)指數(shù)級的倍增[31]。如圖9(c)所示，路由路徑的動態(tài)變化，也能大大降低數(shù)據(jù)分組落在不安全鏈路上的概率，提高竊聽者截獲數(shù)據(jù)分組的代價。

采用式(1)的度量方法，表2給出不同網絡MTD模型的隨機化程度比較，這里空間大小以熵來計算。

5.2 抗會話消息攻擊的安全性

會話消息攻擊比數(shù)據(jù)分組攻擊的要求更為苛刻。攻擊者需要捕獲到通信會話過程中的全部數(shù)據(jù)分組，并且能夠解析協(xié)議和負載，以重組消息內容。

表2 MTD模型的隨機化程度對比

注：P表示部分支持。

5.3 欺騙分組效能

MTD的欺騙策略，將原本靜態(tài)、單一為真的網絡數(shù)據(jù)分組引入了多樣化的欺騙分組，從而擴大了竊聽攻擊防御的消息內容屬性的轉換空間。敵手無法確認截獲數(shù)據(jù)分組的真?zhèn)危M而提高了會話消息竊聽攻擊的難度。

本文提出的欺騙分組隨機丟棄算法，一方面能夠將欺騙分組均勻混淆在傳輸鏈路中，另一方面，能夠降低傳輸?shù)膸捪模_到安全和消耗的折中。

當=0.5，=10，則在防護周期內，>20即可覆蓋所有節(jié)點。在滿足覆蓋度的情況下，欺騙分組的個數(shù)與概率成反比。

2) 按照數(shù)據(jù)分組大小，計算實際隨機丟棄前的實際有效傳輸總帶寬與傳輸會話消息的總帶寬比，計算欺騙分組的傳輸損耗為

圖9 MTD安全性分析

其中，B為總帶寬，不妨取10 MB；而=0.5，=1 000，=1 024 B。則P=4.7×10?9。正常網絡傳輸環(huán)境下，欺騙分組的帶寬消耗可以通過欺騙分組個數(shù)控制以及隨機丟棄算法的概率分布控制，來降低對帶寬的影響。

經分析可知，該隨機丟棄算法，在保障接收端對欺騙無感知的情況下，在安全覆蓋度和帶寬消耗比指標上都有較好的性能。

欺騙的本質，是增加消息內容攻擊面的不確定性。如圖9(d)所示，欺騙數(shù)據(jù)的引入，能夠加速降低會話消息重組的成功率。

綜上分析，本文提出的POFMTD模型可用于IPv4和IPv6協(xié)議的有線或無線網絡中。鑒于IP 跳變端口跳變以及二者結合等只是全協(xié)議棧隨機化的一些特例，無法實現(xiàn)接收端無感知的欺騙分組策略，本文提出的方法具有更好的安全性。

6 結束語

本文提出一種基于協(xié)議無感知轉發(fā)（POF）的抗網絡竊聽攻擊移動目標防御機制。在該MTD安全機制中，本文將網絡竊聽攻擊防御的攻擊面轉換維度擴展到協(xié)議、路徑、網絡分組和消息內容4個層面，提出基于POF實現(xiàn)的私有協(xié)議族封包隨機化策略和動態(tài)路徑欺騙分組隨機丟棄策略，提供了網絡通信過程攻擊面轉換的熵空間。理論分析和實驗結果表明，本文提出的MTD方法可顯著增加攻擊者實施數(shù)據(jù)分組攻擊和內容消息攻擊的難度，有效防止網絡通信過程中的信息泄露。

網絡空間欺騙是一種主動防御方法，而欺騙分組的混入，為基于協(xié)議無感知轉發(fā)的抗網絡竊聽攻擊帶來了新思路。在未來，如何解決和優(yōu)化欺騙信息量與網絡傳輸效率之間的矛盾，是基于POF的移動目標防御的關鍵問題之一和重要研究方向。

[1] ZHANG P, JIANG Y, LIN C, et al. P-coding: secure network coding against eavesdropping attacks[C]//INFOCOM. 2010: 1-9.

[2] XIA H D, JOSé C B. Hardening web browsers against man-in-the- middle and eavesdropping attacks[C]//The 14th International Conference on World Wide Web.2005.

[3] KEWLEY D, FINK R, LOWRY J, et al. Dynamic approaches to thwart adversary intelligence gathering[C]//DARPA Information Survivability Conference & Exposition II. 2001: 176-185.

[4] CHOI H, PATRICK M D, THOMAS F, et al. Privacy preserving communication in MANETs[C]//The 4th Annual IEEE Communications Society Conference on Sensor, Mesh and Ad Hoc Communications and Networks. 2007: 233-242.

[5] HWANG H, JUNG G, SOHN K, et al. A study on MITM (man in the middle) vulnerability in wireless network using 802.1 X and EAP[C]//International Conference on Information Science and Security. 2008: 164-170.

[6] WAGNER R. Address resolution protocol spoofing and man-in-the- middle attacks[J].The SANS Institute, 2001.

[7] SYVERSON P F, GOLDSCHLAG D M, REED M G. Anonymous connections and onion routing[C]//IEEE Symposium on Security and Privacy. 1997: 44-54.

[8] ZHANG P, JIANG Y, LIN C, et al. Padding for orthogonality: Efficient subspace authentication for network coding[C]//INFOCOM. 2011: 1026-1034.

[9] SIFALAKIS M, SCHMID S, HUTCHISON D. Network address hopping: a mechanism to enhance data protection for packet communications[C]//2005 IEEE International Conference on Communications. 2005: 1518-1523.

[10] JAJODIA S, GHOSH A K, SWARUP V, et al. Moving target defense: creating asymmetric uncertainty for cyber threats[J]. Springer Ebooks, 2011: 54.

[11] ANTONATOS S, AKRITIDIS P, MARKATOS E P, et al. Defending against hitlist worms using network address space randomization[J]. Computer Networks, 2007, 51(12): 3471-3490.

[12] JAFARIAN J H, AL-SHAER E, DUAN Q. OpenFlow random host mutation: Transparent moving target defense using software defined networking[C]//The First Workshop on Hot Topics in Software Defined Networks.2012: 127-132.

[13] DUNLOP M, GROAT S, URBANSKI W, et al. MT6D: a moving target IPv6 defense[C]//Military Communications Conference. 2011: 1321-1326.

[14] LEE H C J, THING V L L. Port hopping for resilient networks[C]// Vehicular Technology Conference. 2004: 3291-3295.

[15] ERIKSSON J, FALOUTSOS M, SRIKANTH V, et al. Routing amid colluding attackers[C]//IEEE International Conference on Network Protocols, 2007.

[16] REED M, GOLDSCHLAG D. Onion routing[J]. Communications of the ACM, 1999(42): 39-41.

[17] GOLDSCHLAG D M, MICHAEL G R, PAUL F. Syverson hiding routing information.[J] Information Hiding, Springer Berlin Heidelberg, 1996, 1174: 137-150.

[18] SHI L, JIA C, Lü S, et al. Port and address hopping for active cyber-defense[M]// Intelligence and Security Informatics. Springer Berlin Heidelberg, 2007:295-300.

[19] CHOWDHARY A, SANDEEP P, DIJIANG H. SDN based scalable MTD solution in cloud network[J]//2016 ACM Workshop on Moving Target Defense. 2016: 27-36.

[20] SONG H, GONG J, CHEN H, et al. Unified POF programming for Diversified SDN Data Plane[J]. Eprint Arxiv, 2014: 92-97.

[21] AL-SHAER E. Toward network configuration randomization for moving target defense[J]. Moving Target Defense, Springer New York, 2011: 153-159.

[22] ASOKAN N, VALTTERI N, KAISA N. Man-in-the-middle in tunnelled authentication protocols[C]//International Conference on Security Protocols. 2003: 42-48.

[23] BOSSHART P, DAN D, IZZARD M, et al. Programming protocol-independent packet processors[J]. ACM Sigcomm Computer Communication Review, 2013, 44(3): 87-95.

[24] WANG Z, WANG L, GAO X, et al. An architecture of content-centric networking over protocol-oblivious forwarding[C]//IEEE Globecom Workshops. 2015: 1-5.

[25] TAN X, ZOU S, GUO H, et al. POFOX: towards controlling the protocol oblivious forwarding network[M]//Advances in Parallel and Distributed Computing and Ubiquitous Services. Springer Singapore, 2016.

[26] HU D, LI S, XUE N, et al. Design and demonstration of SDN-based flexible flow converging with protocol-oblivious forwarding (POF)[C]//IEEE Global Communications Conference. 2015: 1-6.

[27] CORBETT C, UHER J, COOK J, et al. Countering intelligent jamming with full protocol stack agility[J]. IEEE Security & Privacy Magazine, 2014, 12(2): 44-50.

[28] 張朝昆, 崔勇, 唐翯祎, 等. 軟件定義網絡 (SDN) 研究進展[J]. 軟件學報, 2015, 26(1): 62-81.

ZHANG C K, CUI Y, TANG H Y, et al. State-of-the-art survey on software-defined networking (SDN)[J]. Journal of Software, 2015, 26(1): 62-81.

[29] CARROLL T E, CROUSE M, FUIP E W, et al. Analysis of network address shuffling as a moving target defense[C]//2014 IEEE International Conference on Communications (ICC). 2014: 701-706.

[30] 石樂義, 賈春福, 呂述望. 基于端信息跳變的主動網絡防護研究[J]. 通信學報, 2008, 29(2): 106-110.

SHI L Y, JIA C F, LYU S W. Research on end hopping for active network confrontation[J]. Journal on Communications, 2008, 29(2): 106-110.

[31] MA D, XU Z, LIN D. A moving target defense approach based on POF to thwart blind DDoS attack[C]//International Conference on Computer Communications & Networks. 2015.

[32] 李佟, 葛敬國, 鄂躍鵬, 等. 基于標簽的POF網絡虛擬化技術研究[J].計算機應用研究, 2017, 34(3).

LI T, GE J G, E Y P, et al. Label-based POF network virtualization[J]. Application Research of Computers, 2017, 34(3).

[33] MA D H, WANG L, LEI C, et al. Thwart eavesdropping attacks on network communication based on moving target defense[C]//Performance Computing and Communications Conference (IPCCC). 2017: 1-2.

[34] JAJODIA S, WANG C, SUBRAHMANIAN V, et al. Cyber deception[M]. Springer International Publishing, 2016.

[35] JAJODIA S, PARK N, PIERAZZI F, et al. A probabilistic logic of cyber deception[J]. IEEE Transactions on Information Forensics & Security, 2017(99): 1-1.

[36] ALBANESE M, BATTISTA E, JAJODIA S. Deceiving attackers by creating a virtual attack surface[M]//Cyber Deception. Springer International Publishing, 2016.

[37] AL-SHAER E, GILLANI S F. Agile virtual infrastructure for cyber deception against stealthy DDoS attacks[M]//Cyber Deception. Springer International Publishing, 2016.

Moving target defense against network eavesdropping attack using POF

MA Duohe1, LI Qiong2, LIN Dongdai1

1. State Key Laboratory of Information Security, Institute of Information Engineering, CAS, Beijing 100093, China2. Institute of Information Countermeasure Techniques, School of Computer Science and Technology, Harbin Institute of Technology, Harbin 150001, China

Eavesdropping attack hereby was the major attack for traditional network communication. As this kind of attacks was stealthy and untraceable, it was barely detectable for those feature detection or static configuration based passive defense approaches. Since existing encryption or dynamic address methods could only confuse part of fields of network protocols, they couldn’t form a comprehensive protection. Therefore a moving target defense method by utilizing the protocol customization ability of protocol-oblivious forwarding (POF) was proposed, through private protocol packet randomization strategy and randomly drop deception-packets on dynamic paths strategy. It could greatly increase the difficulty of implementing network eavesdropping attack and protect the privacy of the network communication process. Experiments and compare studies show its efficiency.

moving target defense, eavesdropping attack, protocol randomization, cyber space deception, protocol-oblivious forwarding

TP393

A

10.11959/j.issn.1000-436x.2018025

2017-07-01；

2017-12-10

李瓊，qiongli@hit.edu.cn

國家重點研發(fā)計劃課題基金資助項目（No.2017YFB1010000）；國家高技術研究發(fā)展計劃（“863”計劃）基金資助項目（No.2015AA016106）；中國科學院信息工程研究所“青年之星”計劃基金資助項目（No.Y7Z0201105）；國家自然科學基金資助項目（No.61471141）；深圳市技術攻關基金資助項目（No.JSGG20160427185010977）

The National Key Research and Development Program of China (No.2017YFB1010000), The National High Technology Research and Development Program of China (863 Program) (No.2015AA016106), “Young Scientist Program” of Institute of Information Engineering CAS (No.Y7Z0201105), The National Natural Science Foundation of China (No.61471141), The Key Technology Program of Shenzhen (No.JSGG20160427185010977)

馬多賀（1982-），男，安徽霍邱人，博士，中國科學院信息工程研究所助理研究員，主要研究方向為移動目標防御、應用安全、云安全、網絡與系統(tǒng)安全等。

李瓊（1976-），女，湖南吉首人，博士，哈爾濱工業(yè)大學教授、博士生導師，主要研究方向為量子密碼、多媒體安全、生物識別等。

林東岱（1964-），男，山東聊城人，中國科學院信息工程研究所研究員、博士生導師，主要研究方向為密碼理論、安全協(xié)議、網絡空間安全等。