網絡地址跳變對掃描能力的影響評估

李佳倩 吳承榮 周 荃

(復旦大學計算機科學技術學院網絡與信息安全研究所 上海 200433)

0 引 言

盡管信息安全保障技術發展迅猛，信息系統的安全防護能力不斷提升，但依然無法阻止各類新型的網絡攻擊。近年來各類網絡入侵和信息竊取事件依然經常發生，信息系統的安全仍然是一個嚴重的問題。網絡攻擊和入侵事件無法根絕的重要原因之一是攻擊者和防御者之間存在攻防代價不對稱的現象。首先，攻擊從“點”，防御從“面”。在當前IT系統技術基礎上，無論開發人員多么努力，漏洞總是不可避免的，這就給了攻擊者成功實施攻擊的可能。攻擊者只要針對系統某個薄弱點實施攻擊即可得手，而防御者必須對整個攻擊表面進行均衡的防護，代價遠高于攻擊者。其次，攻擊方處“動”，而防御方處“靜”。目前的主流信息系統大都呈現出確定性、靜態性和同質性的特點，使得攻擊者有足夠時間去分析目標系統，發現和探測存在的漏洞，并不斷變換攻擊手段，直至達到目標。此外，攻擊者在“暗”，防御者在“明”。攻擊者可以不斷獲取、收集系統中有利于攻擊的信息，而不易被發現；防御者則難以洞悉攻擊者的行為、目的以及當前的狀態，尤其在面對APT攻擊時。綜上所述，在現有的網絡攻防形勢中，攻擊者在成本、時間、信息方面均占據優勢地位。

移動目標防御(Moving Target Defense，MTD)是為了“改變網絡攻防游戲規則”而提出的。MTD是指試圖通過增加系統的動態性、隨機性和異構性來增加網絡攻擊的復雜性，從而保護信息系統的一系列技術[1]。MTD并不是指一個具體的方法和技術，而是一種主動防御的理念。它可以指任何一種引入移動性、多樣性、不確定性等特性的技術。從作用于IT系統的不同層次的角度，MTD機制一般可以分為網絡層MTD、系統層MTD和應用層MTD。

IP地址跳變技術是一種典型的網絡層MTD，通過隨機變遷主機的IP地址，使得攻擊者無法持續瞄準靜態攻擊目標進行掃描和入侵。IP地址是攻擊者實施遠程網絡攻擊的必要因素之一，如果無法獲取攻擊目標的IP地址，則無法實施端口掃描、漏洞掃描和利用漏洞進行攻擊。然而即使采用了IP地址跳變技術，攻擊者依然能夠采用掃描技術獲取跳變以后的IP地址信息，只是成功獲取IP地址的概率理論上有所降低。當前IPv4依然是主流，地址資源并不豐富，而掃描效率則隨著網絡帶寬以及計算能力的增長而得到不斷提升，在當前普遍的網絡資源供給場景下，IP地址跳變機制是否能夠帶來預期的防御能力提升；如何優化IP地址跳變的相關參數，使得其對系統的帶來的影響盡可能小，而對抗掃描能力的提升盡可能大，這是值得深入研究的問題。本文提出了針對IP地址跳變機制的抗掃描能力評估方法，揭示了抗掃描能力與若干IP地址跳變相關參數以及網絡資源條件之間的關系，為IP地址跳變機制的優化提供了參考。

1 IP地址跳變機制綜述

1.1 經典的IP地址跳變機制

IP地址跳變又稱為網絡地址洗牌(Network Address Shuffling)和IP地址空間隨機化(IP Address Space Randomization)，這是一種通過改變IP地址以增加IP地址掃描和DOS攻擊難度的機制。近年來有幾種經典的IP地址跳變方法被提出。

動態網絡地址轉換(Dynamic Network Address Translation， DyNAT)[2]使用DyNAT Shim(安裝在客戶端機器上的軟件)和DyNAT Gateway(獨立的裝置或設備)的配合，基于預共享密鑰來變換和恢復網絡數據包中的服務端IP地址和端口。因此，在不可信網絡中傳輸的數據包中的服務端IP地址和端口被混淆了，但這些數據包仍然可以通過路由器被傳遞到服務器所在的子網(IP地址的變化范圍在服務端子網范圍內)。服務器所處子網的內部通信則不受地址跳變機制的保護。

網絡地址空間隨機化(Network Address Space Randomization，NASR)[3]使用經過改進的DHCP服務器來重新分配主機的IP地址，并使用DNS根據的主機名定位到當前的IP地址。它是一種主機型IP地址跳變機制，可以保護子網中的每一個主機。但這種跳變機制在進行IP地址跳變時TCP連接會被中斷。為了盡量減少干擾，研究人員也提出了一些解決方案，例如采用活動監視模塊跟蹤每個主機的開放連接，對于服務可能被中斷的主機，不進行地址跳變。因此，對于那些比較“繁忙”的主機，IP地址是不會跳變的，這就會削弱地址跳變的作用。

可變網絡(MUTE)[4]采用隨機地址跳變機制，定期將一個隨機虛擬IP地址分配給主機，但主機的實際地址并不改變。隨機虛擬IP地址基于共享的隨機密鑰，采用密碼函數在網絡上同步生成，并采用DNS獲取當前分配的地址。該機制同時還采用隨機指紋機制(Random Finger Printing mechanism)，截獲主機響應并透明地進行修改，從而使攻擊者獲得的操作系統和應用程序標識信息是經過隨機偽裝的。然而它依然使用DNS，因此更改后的虛擬IP地址仍然可以通過DNS定位，此外，它沒有提供針對客戶端攻擊的保護機制[1]。

移動目標IPv6防御(Moving Target IPv6 Defense，MT6D)[5]充分利用了IPv6帶來的廣闊地址空間優勢。它使用IPv6上UDP隧道將原始數據包(帶有原始IP地址)封裝在IPv6數據包中，并在新的數據包中使用經過變化的IP地址。其采用主機的EUI-64 IID、時間戳和預共享密鑰的散列形成動態IID；使用IPv6 NDP通知路由器以驗證所要跳變的新地址不會發生沖突。它可以作為嵌入式軟件，也可以作為獨立設備來實現。但是，這種機制必須采用密碼機制對數據包進行加密，否則攻擊者可以提取封裝在UDP隧道中的原始數據包，從而確定發送方和接收方，因此也增加了系統開銷，對現有的網絡入侵檢測和網絡審計等安全機制的效能也有所削弱。

基于OpenFlow的隨機主機變異(OpenFlow Random Host Mutation，OF-RHM)[6]使主機的真實IP地址(RIP)保持不變，使用OpenFlow控制器為每個主機分配一個隨機的短時虛擬IP(VIP)。交換機或子網網關執行從RIP到VIP的轉換。由一個中央管理器負責協調跨網絡的“變異”。因此，IP地址跳變對終端主機是完全透明的。它實際上是一個網絡到網絡的解決方案，但是如果所有的交換機都支持OpenFlow，它可以產生主機到主機的IP地址跳變效果。然而這種機制的IP地址跳變是由控制器實現的，因此當流建立以后，RIP到VIP的映射是固定的。長連接的IP地址將永遠不會發生改變，而在長時間靜止的IP地址上建立起的連接容易被攻擊者劫持。

自屏蔽動態網絡體系結構(Self-shielding Dynamic Network Architecture，SDNA)[7]是一種集成的體系結構，它通過多種技術的結合來提供動態的網絡特性；利用hypervisor作為中介，采用一個SDNA實體虛擬機(SDNA entity VM)獨立地處理(改寫)客戶虛擬機(Guest VM)之間的通信數據包，并直接與其他的相關的SDNA實體(SDNA Entities)進行協調；使用間接和臨時地址(Token IP)來隱藏每個節點和服務的真實地址；采用數據包的散列值形成SDNA位(SDNA bit)，嵌入到真實IP中，以提供完整性保護。一旦它發現帶有無效SDNA位的數據包，將會把這些數據包重定向到蜜罐。在這個機制中，雖然對于客戶虛擬機，真正的IP地址被隱藏，但如果攻擊者破壞了中間層，就可以看到真實的IP。真實IP的主機ID部分是靜態的，可以用來確定主機和重新組裝嗅探到的數據包。

此外，還有其他類型的IP地址跳變技術，例如APOD[8]和RHM[9]等。縱觀這些IP地址跳變技術，雖然實現的方法各不相同，但還是存在一些共性：

(1) 在某個環節改變IP地址。各類IP地址跳變機制在數據包生成、傳輸、接收的不同階段改變客戶端或服務端的IP地址。有些IP地址跳變機制保持客戶端和服務端收到的數據包中的IP地址的靜態性，而在傳輸中途改變IP地址。改變IP地址的努力主要是為了使假想攻擊方(網絡嗅探者、遠程攻擊掃描、惡意客戶虛擬機等不同對象)無法使用一個固定IP瞄準攻擊目標。

(2) 具備配套的同步機制。各類IP地址跳變機制均需要保證正常的網絡通信，因此需要同步機制使得網絡上的正常合法通信方能夠及時獲得跳變方的動態IP地址。有些機制采用DNS機制，有些則充分利用SDN技術、Hypervisor層部件等；有些需要主機層面相關部件的參與同步，有些只需要網關、網絡設備等部件參與同步，對上層應用軟件透明。

1.2 主機型和網關型IP地址跳變機制

根據執行IP地址跳變機制的實體的不同，我們可以將IP地址跳變機制大致分為兩種類型：主機型和網關型。主機型IP地址跳變機制主動更改主機上的IP地址配置；網關型IP地址跳變機制使用處于網絡傳輸途徑中的相關設備或裝置(硬件或軟件形式)來更改主機傳輸的數據包中的IP地址(或端口)字段。兩類跳變機制均能實現針對攻擊者視角的IP地址跳變，但產生的效果有很大不同。

通常網關型的IP地址跳變機制具有更多的優勢。這一類的機制可以保持主機的網絡配置不變，IP地址跳變對主機透明。通常當IP地址跳變發生時，TCP連接不會被中斷。但是這些方法只為網絡飛地(Enclave)之間的通信提供保護，網絡飛地內部的通信不受保護。隨著虛擬化技術的應用，可以將Hypervisor或支持SDN的設備用作網關，實現網關型IP地址跳變機制，但在對主機透明的同時具有主機粒度的IP地址跳變效果。然而，正是由于網關型IP地址跳變機制的透明特性，使得某些依賴真實IP地址的應用程序可能無法正常工作(例如，諸如FTP等協議在應用層有效載荷中存在IP信息，某些情況下還會導致某些中間處理環節，如狀態檢測防火墻、應用網關等，出現錯誤操作)。

基于主機的IP地址跳變機制實際改變了主機的網絡配置。IP地址跳變對主機而言是不透明的。當IP地址跳轉時，TCP連接將被中斷。然而主機型IP地址跳變機制也有一些優點。主機型IP地址跳變機制可以達到主機粒度，網絡飛地中的所有主機都可以受到保護。IP地址跳變所需的運算任務被分擔到所有主機，在數據包傳輸路徑中不會有瓶頸(不依賴于某個mid-box的性能)。在網絡傳輸路徑上不需要額外的mid-box設備(或充當網關的軟件)，所有的IP地址跳變環節都可以由對等主機完成。它適用于互聯網上的一個單獨主機連接到飛地中某個主機的場景。IP地址跳變可以被應用軟件所感知，因此應用軟件可以根據IP的跳變進行一些操作上的調整(例如，糾正一些由IP變化引起的問題)。

可充分利用多地址通信機制，實現“漸變型”的IP地址跳變，實現更平滑的網絡通信。例如利用MPTCP、SCTP(Stream Control Transmission Protocol)等，可使用多個IP地址在通信雙方之間建立多個子流，某幾條子流的中斷不會使整個流中斷。Reese Moore等在MT6D基礎上，提出了新的改進機制，將MT6D中封裝原始數據包所采用的UDP換成SCTP，將顯著提高性能[10]。Argonne國家實驗室的COAR也提出了一種稱為“流分裂移動目標防御”(Stream Splitting Moving Target Defense,SS-MTD)機制，也采用將并行多條TCP連接與MTD相結合的思路。

1.3 端口跳變

與IP地址跳變機制相配套的還有端口跳變機制。這里的“端口”包括TCP端口和UDP端口。只要通信雙方對于服務端軟件的監聽端口建立同步機制，就可以以一定的時間間隔改變服務端軟件所綁定的端口。這樣可進一步拓寬服務入口的變化空間。一個服務入口可以標識為“IP-端口”組成的二元組。IP地址跳變機制需要對全子網范圍的IP資源統一控制，因為IP地址是全子網共享資源，但“端口”是主機本地資源，端口跳變只需要在主機范圍進行控制即可。對于服務器而言，IP地址和端口進行組合跳變，其本質是使得服務入口發生轉移。

1.4 IP地址跳變機制的有效性量化評估

針對IP地址跳變機制有效性的量化評估方法，在MTD領域已開展了若干研究。

文獻[11]總結了網絡地址空間數、探測地址數、活躍地址數、攻擊者預期探測數以及IP地址跳變頻率這五個因素對掃描成功概率的影響，采用urn模型針對靜態系統和完美跳變(Perfect Hopping,指系統在每次連接后均進行IP地址跳變)這兩種極端情況進行隨機掃描成功概率的量化分析，并采用實驗方式測試跳變率處于這兩種極端情況之間的系統抗掃描能力。假設僅有一臺活躍主機，隨著網絡地址空間數以及允許攻擊者探測地址數的增加，對于靜態系統，掃描成功的概率最終趨于1；對于完美跳變系統，掃描成功的概率趨向于e-1=0.63；當跳變率處于兩種情況之間，文獻[11]通過實驗證明了掃描成功率處于1和0.63之間，跳變率越高，掃描成功率越低。若增加活躍主機數，對于靜態系統或支持IP跳變的系統，掃描成功的概率均趨向于1，只有當活躍主機數占總地址數的比例小于1%時，IP地址跳變對于系統的抗掃描能力才能產生有利影響。因此得出結論，只有當掃描空間內活躍主機數很小(小于掃描空間的1%)時，IP地址跳變才能有效提升系統的抗掃描能力，否則優勢很小。

文獻[12]為抵御DoS攻擊，提出了一種基于時間戳的服務跳變體系。主機根據跳變算法以及從中央控制器發出的時間戳來決定當前提供的服務。作者定義靜態系統中一次攻擊成功的時間(T)=探測時間(Ts)+攻擊時間(Ta)，假設系統只提供一個服務，可供跳變的IP地址數為n，可供使用的端口數為m，因此在支持跳變的系統中，攻擊者成功攻破一個服務所需時間T′為：

(1)

即由于跳變的隨機性，攻擊者在跳變系統中成功掃描到一個服務需要額外花費(n×m-1)/2個攻擊時間。作者分別針對集中式跳變系統和分布式跳變系統討論并實驗驗證了跳變間隔對抗DoS攻擊的影響，得出結論：1) 支持端口與地址同時跳變的系統抗DoS攻擊性能優于僅支持端口跳變以及不支持跳變的系統；2) 分布式跳變系統良好的可擴展性帶來了更高的可用性；3) 跳變越復雜、跳變間隔越短系統的抗攻擊能力越強，但是過短的跳變間隔也會帶來很多其他的問題。

文獻[9]為解決地址跳變造成的TCP連接中斷問題，提出了RHM(Random Host Mutation)技術，地址跳變對終端主機透明，為每臺主機隨機分配一個短暫的虛擬IP地址，并引入兩個轉換頻率：LFM(Low Frequency mutation)和HFM(High Frequency mutation)，以低頻率隨機選擇虛擬IP地址范圍，以高頻率在該范圍內隨機選擇虛擬IP地址，從而增加了IP地址變換的不可預測性。由于虛擬IP地址處于雙重不可預測的變化中，攻擊者獲得的服務入口空間經過LFM后便會失效，因此若想掃描成功，攻擊者需要掃描的服務入口總空間為整個虛擬IP地址范圍，從而減小了掃描成功的可能性。

文獻[13]假設有一臺至少包含一個漏洞的主機，將每次攻擊劃分為偵查階段和攻擊階段，討論了一次攻擊所需時長與IP地址跳變間隔對攻擊成功率的影響。假設在(ti,tj)時間內主機的IP地址不變，Km表示開始掃描的時間，Kn表示掃描到漏洞開始攻擊的時間，若(Km,Kn)?(ti,tj)，即掃描到漏洞并進行攻擊的過程中沒有發生地址跳變，則攻擊成功。因此，可以通過減少(ti,tj)(即增加IP地址跳變頻率)或增加(Km,Kn)(即增加掃描到漏洞的時間)來降低攻擊成功的概率。作者將IP跳變頻率定義為每小時跳變次數，并分別測試掃描到漏洞所需時間及IP地址跳變頻率對攻擊成功率的影響，得出結論：1) 當地址跳變頻率高于某個特定值時，IP地址跳變頻率的增加對攻擊成功的概率沒有顯著影響，將該特定值定義為最佳跳變頻率；2) 當掃描時長增長到某值后，時長的增長將不再對攻擊成功的概率產生顯著影響，因此定義該值為最佳掃描時長。同時，作者給出了這兩個最佳因素的公式：最佳跳變頻率=1/掃描時長，最佳掃描時長=1/IP地址跳變頻率。

盡管已有不少研究試圖對IP跳變機制的有效性進行量化評估，但是現有的評估模型尚未針對具有多個活躍服務入口、每次跳變一定比例的服務入口，攻擊方采用全面遍歷服務空間的順序掃描以及隨機掃描策略，攻擊進程跨越多個跳變周期的常見攻防場景進行深入分析和評估，因此沒有全面揭示IP地址跳變系統中各類因素對掃描成功概率造成的影響。這也是本文研究的主要內容。

2 IP地址跳變機制的抗掃描能力評估

如何評估IP地址跳變機制所帶來的抗掃描能力的提升？服務入口的不可預測性與跳變參數以及所處網絡的情況(如全子網可用的IP地址資源、子網活躍主機數)之間是否有關系？這需要建立一個模型進行理論評估。我們提出了一個方法來量化評估IP地址跳變機制帶來的抗掃描能力，并試圖揭示服務入口的不可預測性與一些跳變參數和網絡條件之間的關系。

探測特定主機是否存活/開機，可以采用基于ICMP協議的ping方法進行掃描。然而在實際網絡中，很多環節ping掃描被禁止。防火墻可以簡單地設置禁止ICMP echo數據包從而阻止ping掃描。在ping掃描被禁止的情況下，可以直接采用端口掃描方法，即用TCP Connect方式嘗試連接目標IP和端口組合，即可探測在特定主機的特定端口上某個服務是否開放；進一步地，在建立連接的情況下，采用簡單的交互，根據返回信息即可獲得服務相關的信息，進而判斷該服務是否是欲攻擊的目標。如果某個服務具有高威脅漏洞，向該服務建立連接后，只需一至幾個回合的交互即可在目標系統中建立反射型Shell，直接獲得機密信息或者植入一個后門。一旦某個主機被植入一個具備反向連接機制的后門，即使此后該主機IP地址跳變了，也不能阻止該主機被攻擊者控制。也就是說，如果某個服務具有高威脅漏洞，只要掃描到該服務，瞬間就可完成攻擊，整個攻擊的所經歷的時間與成功掃描的所需時間幾乎相等，成功掃描幾乎等于成功攻擊。

IP地址跳變(配套端口跳變)機制本質上就是通過隨機地、不可預測地遷移服務入口，來增加掃描服務入口的難度。對于具有高威脅漏洞的服務，在一定時間內降低被成功掃描的概率，也就等于降低被成功攻擊的概率。以下我們統一使用服務入口遷移的概念來涵蓋IP地址跳變和端口跳變的組合機制，而采用TCP Connect的端口掃描作為掃描方式。

為了評估IP地址跳變機制的抗掃描能力，我們使用如下表示：

?NSP：服務入口的總空間。通常，它等于可以在子網中使用的IP數量乘以服務可以使用的TCP端口數(假定每個主機上可使用TCP端口數相等)。

?NSE：活躍服務入口數量。如果子網中總共有Ns個服務，并且每個服務將同時占用No個服務入口(為實現健壯性，支持多地址冗余的漸變型跳變，假定每個服務有No個冗余的服務入口，這No個服務入口上均有守護進程進行監聽)，則NSE=Ns×No。NSE/NSP則是服務入口空間中活躍服務入口的比例，可看作服務密度。

?S：攻擊者掃描一個服務入口所需的時間。

?T：IP跳變間隔時間。

?PWt：在t時間內成功掃描到活躍服務入口的可能性，t/S(為計算方便，假設t為S的整數倍)。

?PAt：恰好在t時刻成功掃描到一個活躍服務入口的可能性，t/S(假設t為S的整數倍)，指正好在第t/S次掃描嘗試時，第一次獲得了一個活躍的服務入口。

此外，我們假設：

? 在跳轉時，k%的活躍服務入口將遷移，新的服務入口將在服務入口空間中的空閑入口中隨機選取，主要為了在后面的推導中涵蓋基于多地址的漸變型IP地址跳變的機制。之所以選擇空閑入口作為新的服務入口，主要是因為之前被使用的服務入口相關資源釋放還需要一定時間，在緊接的下一個周期中不再被分配用于新的服務入口。

? 假定T=m×S，表示攻擊者可以在跳變間隔的時間內掃描m個服務入口。

可見，當No=1，k%=100%，則代表傳統的單服務入口(通常是用單IP上的1個端口作為服務端口)方式的跳變。因此這種評估方法可通用于經典IP地址跳變(及端口跳變)以及漸變式IP地址跳變。

2.1 順序掃描

攻擊者對整個服務入口空間進行掃描可以采用不同的掃描策略，順序掃描是最簡單、最常見的一種，指攻擊者對整個服務入口空間的所有服務入口進行順序、不重復的掃描，已經掃描過的入口將不會再被掃描到。順序掃描可以在最短時間內對整個服務入口空間實現遍歷，這是當前普遍采取的掃描方式。我們根據攻擊者掃描目標的不同又具體地劃分為針對任意目標的掃描和針對特定目標的掃描，并分別進行評估。

2.1.1針對任意目標掃描的抵御能力評估

針對任意目標掃描，即不限定服務，只要求掃描到該服務入口空間上的任一活躍服務入口，即算掃描成功。對于以獲取肉雞控制權為目的，或者為了取得網絡飛地中任何一臺主機控制權作為落腳點的攻擊，這種假設符合此類場景。對于任意時間t，在t時間內，攻擊者最多可以掃描?t/S」個服務入口。關于掃描開始的時間，有以下兩種情況：

(1) 掃描開始于某次地址跳變完成的時刻(假定攻擊者已獲得IP地址跳變的規律，使得掃描開始時間與跳變同步，以在下一次跳變前可掃描更多入口)；

(2) 掃描開始于跳變間隔期間內的某一時刻(假定攻擊者未獲得IP跳變的規律，只能隨機選擇開始掃描的時間)。

針對第(1)種情況，即掃描開始時間與跳變發生時間一致，可以得出以下推導：

如果t≤T，表示掃描持續的時間在一個跳變間隔期內，即評估攻擊者在第一個跳變間隔內就可以掃描成功的概率。則：

(2)

(3)

對于式(2)，在t時刻，攻擊者共掃描過?t/S」個服務入口，因此t時刻掃描成功的概率為前?t/S」-1個入口均不是活躍服務入口(掃描未成功)，且第?t/S」個入口是活躍服務入口的可能性。式(2)前?t/S」-1個連乘項即連續?t/S」-1次掃描均未成功的概率，每個連乘項的分子為當前未掃描空間內非活躍服務入口數，分母均為當前未掃描空間總入口數。第?t/S」項為第?t/S」次掃描成功的概率，分子為活躍服務入口數，分母為當前未掃描空間總入口數。

對于式(3),由于單個入口掃描時間為S，且掃描開始時間與跳變發生時間一致，因此t時間內掃描成功的概率為S、2×S、…、?t/S」×S時刻掃描成功的概率之和，從而得到式(3)。

如果T

NSC1=NSP

(4)

NLS1=NSE

(5)

(6)

NLSn由兩部分組成：

? 在上個跳變間隔期間內，NLSn-1個活躍服務入口處于未掃描空間中，其中的，NLSn-1×(1-k%)個服務入口將在下一個跳變間隔內保持不變，由于攻擊者在上一個跳變間隔期內沒有掃描到任何服務入口，所以它們都還將保留在未掃描的空間中；

? 在上個跳變間隔期間內，整個掃描空間中有NSP-NSE個非活躍入口(空閑服務入口)，在第n個跳變間隔期間內，未掃描空間中共有NSCn-1-NLSn-1-?T/S」個非活躍入口，要在NSP-NSE個非活躍入口中隨機選擇NSE×k%個跳變為活躍入口，其中將有(NSCn-1-NLSn-1-?T/S」)/(NSP-NSE)×NSE×k%個跳變后的服務入口位于未掃描空間。

因此：

NSE×k%

(7)

可得到通式：

(8)

式(7)中，第一項表示還保留在未掃描的空間中，保持不變的NLSn-1×(1-k%)個服務入口；第二項表示進行跳變的服務入口，恰好跳變到當前未掃描空間的服務入口數量。式(8)為式(7)從遞歸表達轉換成通式表達的形式。

因此，當攻擊者在第n個跳變間隔期內繼續掃描時，假設正好在t時刻掃描到一個活躍服務入口的概率為：

(9)

那么，在t時間內掃描到一個活躍服務入口的概率：

PWt=∑PAi×S=

(10)

式(10)與式(3)同理，t時間內掃描成功的概率為S、2×S、…、?t/S」×S時刻掃描成功的概率之和。

根據式(8)，NSP(服務入口的總空間)、NSE(活躍服務入口數量)、k%(每次跳變進行遷移的服務入口比例)可確定NLSn，進而決定PAt和PWt，最重要的變量是k%。如果k%=0，則系統是靜態系統，活躍服務入口不跳變，NLSn總是NSE，在NSP-NSE次失敗的掃描嘗試后，PWt將達到1。如果k%=1，PWt將得到最小值，因為所有NSE個服務入口都會遷移，使NLSn得到最小值。在第n個間隔內，未掃描服務空間的非活躍服務入口數等于第n-1個跳變間隔期間內未掃描空間中的非活躍入口數(NSCn-1-NLSn-1)減去該跳變間隔掃描的入口數(?T/S」)，每次跳變將從NSP-NSE個非活躍入口中隨機選擇NSE個入口作為新的活躍服務入口。因此，當k%=1時：

(11)

可得到通式：

(12)

針對第(2)種情況，即掃描開始于跳變間隔的某個時刻，需要另外考慮在一個跳變間隔內掃描開始的概率，從而得出以下推導：

假設在第一個跳變間隔的T-t′時刻開始掃描，則在第一個跳變間隔內掃描了t′時間，可以掃描?t′/S」個服務入口。

如果t′≤T，在第一個跳變間隔期間內掃描成功，則t=t′，沒有經歷過服務入口跳變，那么t時間內可以掃描?t/S」個服務入口，那么與第(1)種情況一致：

(13)

(14)

如果在第一個跳變間隔期間內沒有掃描成功，則需要經歷服務入口的跳變，假設在第n個跳變間隔掃描成功，同樣地，我們用NSCn表示此時還沒有被掃描(將被掃描)的服務入口空間，用NLSn表示此時位于在未掃描空間中的活躍服務入口數量，則NSCn等于服務入口總空間(NSP)減去第1個跳變間隔內掃描的入口數(?t′/S」)減去中間n-2個跳變間隔掃描的入口數((n-2)× ?T/S」)。顯然：

NSC1=NSP

(15)

NLS1=NSE

(16)

(17)

NLSn與式(7)相同，由兩部分組成：

NLSn=NLSn-1×(1-k%)+

(18)

可得到通式:

(19)

式(19)與式(12)的不同之處在于需要對第一個間隔內的掃描時長t′在(0,T)范圍內積分。

在t時刻掃描到一個活躍服務入口的概率PAt由兩部分組成，其一是在第一個跳變間隔內沒有掃描成功且第n個跳變間隔掃描成功的可能性，同時需要對第一個跳變間隔掃描時間t′積分，其二是中間n-2個跳變間隔均未掃描成功的概率：

(20)

那么，在t時間內掃描到一個活躍服務入口的概率PWt，同樣需要對第一個跳變間隔內的掃描時間t′積分：

PWt=∑∑PA(i-1)×T+l×S+∑PA(n-1)×T+j×S=

(21)

如果k%=1，仍有：

(22)

可得到通式：

n≥2

(23)

當k%=1時所有的服務入口全跳變，在經典的針對單地址主機IP跳變機制中是顯然滿足的。為了保持通信的順暢，漸變式IP地址跳變機制每次跳變都保留至少一個IP地址不跳變，因此不能達到k%=1。但是當IP跳變與端口跳變結合時，則可以在一定程度上起到所有的服務入口均遷移的效果。因此，我們可以采用的機制是：即使對于那些為了提供通信平滑性保持不變的IP地址，其上面的服務端口也應該發生跳變(僅針對監聽的服務端口，已建立連接的端口不變，所以這個IP地址上的已有連接不會中斷)，以獲得針對掃描而言更大的不可預測性。

但漸變式IP地址跳變的另一個問題是：NSE(活躍服務入口數量)比經典的IP地址跳變機制增大了。因為一個主機將有多個IP地址，而一個服務也可能在多個IP-端口(組合)上監聽。如果一個服務在No個TCP端口上監聽，服務入口數增加了No倍。服務入口增多則增大了攻擊表面，因此掃描獲得服務入口的概率也相應增大。因此我們建議根據NSE擴展的規模等比例擴展NSP(服務入口空間)，以抵消NSE(由于服務程序冗余監聽TCP端口引起的)增加所帶來的影響。例如，如果我們在一個主機上增加一個網絡接口(所有服務也在這個增加的網絡接口的IP地址上綁定監聽端口)，我們也會在網絡中使用一個額外的相同規模的子網，這樣NSP也會以相同比例增加。

以下討論跳變間隔T的變化對一定時間t內掃描成功的概率PWt以及t時刻掃描成功的概率PAt的影響：

? 根據式(3)或式(14)，若t

? 根據式(10)和式(21)，評估在第一個跳變間隔內不能掃描成功，在后續跳變間隔內才掃描成功的概率。則當T減小時，相同掃描時間t下，m=T/s減小，n=?t/T」+1增大，tn=t%T的變化無法確定(但其最大值將減小)。因此單個跳變間隔內可以掃描的服務入口數減小，相同t內經歷的跳變數增加。T減少使得PWt中的累加項(PAt′，t′104)，T的減小對PWt的影響很小，起到重要影響作用的是服務密度(NSE/NSP)。T的變化所能造成的影響，只能在T值本身處于低位時才顯現。

? 隨著掃描的進行，t越大，掃描經歷的時間越久，未掃描空間越小，活躍入口中未掃描空間入口占比越小，掃描成功的概率PAt越小，但PWt總是不斷累積而增大。一次遍歷掃描，t的取值極限為NSP×S，因此PWNSP×S是一次遍歷掃描過程的掃描成功概率最大值。

2.1.2針對特定目標掃描能力評估

針對特定目標，即針對特定服務的掃描，需要掃描到主機上開放指定服務的端口，即掃描到活躍入口后需要判斷該入口是否提供指定服務，若未提供指定服務，則放棄該入口，繼續掃描。由于子網中共有Ns個服務，每個服務將同時占用No個服務入口，每次跳變每個服務占用的入口數不變，每個跳變間隔期間內，指定服務的活躍入口占總活躍服務入口的比重均為1/Ns，因此，只有掃描到指定服務的No=NSE/Ns個入口中的任一個才能認定掃描成功。

假設在t時刻掃描到特定目標的概率是PAt，在t時間內掃描到特定目標的概率是PWt，與2.1.1節的分析相同，t的分布也包含兩種情況，分別為：

(1) 掃描開始與地址跳變同時發生；

(2) 掃描開始于跳變間隔期間內的某一時刻。

針對第(1)種情況，可以得出以下推導：

若t≤T，那么在第一個跳變間隔內掃描成功，t時間內共可掃描?t/S」個端口，只有掃描到?NSE/Ns」個指定服務端口中的一個才算成功，因此t時刻掃描成功的概率為前?t/S」-1個被掃描端口均未提供指定服務，且第?t/S」個被掃端口提供指定服務的可能性。公式如下：

(24)

NSC1=NSP

(25)

(26)

(27)

(28)

可得到通式：

(29)

因此：

(30)

(31)

針對第(2)種情況：

如果t′≤T，那么在第一個跳變間隔內即可掃描成功，與第(1)種情況一致：

(32)

(33)

假設在第n個跳變間隔掃描成功，且第一個間隔內掃描t′時間，與式(17)同理：

NSC1=NSP

(34)

(35)

(36)

NLSn同樣由兩部分組成：

NLSn=NLSn-1×(1-k%)+

(37)

可得到通式：

n≥2

(38)

則恰好在t時刻掃描到一個活躍服務入口的概率是：

(39)

那么，在t時間內掃描到一個活躍服務入口的概率為：

(40)

對于針對特定目標的掃描，要求掃描到活躍入口，同時該入口屬于指定的服務，相較于針對任意目標的掃描，這無疑增大了掃描成功的難度。針對特定目標掃描，可以看作是系統服務密度為降低為針對任意目標掃描時系統服務密度的1/Ns。如果在每個跳變間隔內，每個服務均有入口開放，且僅開放一個入口，即No=1，那么，NSE縮小為Ns。根據2.1.1節中的分析，當服務密度很小時，當T/S超過一定的數量級，T的變化不會對掃描成功率造成顯著的影響，即T即使顯著增加，也不能顯著提升掃描成功的概率。經實驗證明，在平均掃描速度不超過10 ms/端口的情況下，只有當跳變間隔足夠大(3 000～4 000 s)，甚至近似為不跳變時，采用順序的毫秒級掃描才能夠掃描到所指定的服務開放的端口。

2.2 隨機掃描

IP地址跳變機制能夠在一定程度上抵御順序掃描攻擊，其中的一個因素是跳變時一部分活躍服務入口遷移到已經掃描過的服務空間，這部分服務入口在下一個跳變周期中不會被掃描到。隨著掃描的進展，將會有越來越多的活躍服務入口分布到已掃描過的空間，未掃描空間的活躍服務入口數量將會逐漸減少，存在掃描者遍歷整個服務入口空間時(t=NSP×S)都沒有成功掃到一個活躍服務入口的情況。但順序掃描是對傳統的、沒有實施IP地址跳變機制的系統的常見掃描方式。如果攻擊者知道目標系統采用IP地址跳變機制，將順序掃描策略改為隨機掃描策略，那么理論上已經被掃描過的空間依然可能會被重復掃描，遷移到已掃描空間的服務入口仍然會被掃描到。在實施IP跳變機制的系統中，隨機掃描是否比順序掃描有更大的成功概率？下面將分析其掃描成功概率。

攻擊者進行隨機掃描時，每次掃描將在服務入口總空間中隨機選擇一個入口進行掃描。因此，任一時刻的未掃描空間都是服務入口總空間，任一時刻所掃描的入口都是在入口總空間中隨機選擇的，即任一時刻掃描成功的概率均為活躍服務入口在入口總空間的占比，因此在某時刻t恰好掃描到一個活躍入口的概率為：

(41)

由于t時間內共可掃描?t/S」個端口，因此t時間內掃描成功的概率為第i個被掃描的端口被掃描成功且在該端口之前均未掃描成功的概率和，則在時間t內掃描到一個活躍服務入口的概率為：

(42)

經歷的掃描時間t越長，能夠掃描的入口數?t/S」越多，成功掃描到活躍服務入口的概率越大。由于每次掃描的入口是隨機選擇的，入口選擇的隨機性導致可能存在一些入口被頻繁地掃描，一些入口很少甚至從未被掃描過，因此在有限時間內，還是存在無法掃描到活躍入口的情況。

同時，由于隨機掃描是重復掃描，每次掃描時的未掃描空間都是服務入口總空間，因此隨機掃描的每次掃描都相當于是t=0時的順序掃描，由2.1的分析可知，順序掃描的PWt隨掃描時間t的增大而增大，因此一定時間t內隨機掃描成功的概率小于順序掃描(由于隨機掃描的偶然性，存在隨機掃描比順序掃描更快獲得活躍服務入口的情況，我們僅討論大量數據的統計規律)。由于在隨機掃描的情況下，攻擊者對掃描入口的選擇是隨機的，可以認為IP地址跳變對于抗隨機掃描沒有增益效果。但是IP地址跳變機制在服務密度較低的系統中對順序掃描成功率產生的影響，使得攻擊者無法采用順序掃描獲得更高的收益，在極端情況下(如T足夠小)，掃描成功率可能退化成接近隨機掃描，這可看作是IP地址跳變機制產生的安全增益。

3 實驗驗證

3.1 針對任意目標順序掃描

3.1.1實驗方法

為使實現接近現實情況，我們采用接近一個C類IP地址的空間作為可用IP資源，采用分鐘級跳變間隔(考慮到大部分情況下分鐘級跳變間隔已經給同步機制和系統平滑性帶來較大的影響)，毫秒級掃描效率(符合當前普遍的局域網上掃描能力)：

(1) 為虛擬機分配10.0.0.3-10.0.0.253共251個IP地址，探測出1 025～65 534中未被系統占用的端口號，共64 502個，將這些IP地址與端口進行組合，形成251×64 502個服務入口，隨機選擇出NSE(個位數級)個活躍入口，綁定這NSE個服務入口：(IP地址，端口號)，打開套接字進行監聽，并記錄該入口被打開，等待T時間后進行第一次跳變。

(2) 在NSE個活躍入口中隨機選擇NSE×k%個入口，關閉這些活躍入口，記錄本輪被關閉，在未打開且非本輪關閉的入口中隨機選擇NSE×k%個入口，綁定并打開監聽，等待T時間后進行下一次跳變。

(3) 主機使用nmap對251×64 502個服務入口進行順序掃描，使用nmap的優勢是單個入口所需平均掃描時間短，平均4～5 ms可掃描一個服務入口。在實際測試中，受網絡性能的影響較大，單個入口掃描所需時間差距較大，范圍大致為0.7～16 ms。若主機同樣使用套接字，順序與服務入口嘗試建立連接，可通過控制嘗試建立連接的時長來控制單個入口的掃描時間，使其不至于相差過大。

3.1.2實驗結果

在NSP=251×64 502，NSE=5，k=60，S=4 ms的情況下，我們針對不同的跳變間隔T(55～95 s)可以得出掃描成功的概率p隨掃描時間t的變化如圖1、圖2所示，并得出結論：

? 對于抗任意目標掃描，在T/S為104數量級的情況下，掃描能否成功與服務入口的跳變間隔基本無關，以毫秒級的掃描速度，幾乎總能夠在一輪順序掃描結束前掃描到活躍的服務入口。

? 以相同的活躍入口密度和單個入口掃描時間，在相同時間內，若能夠在一個跳變間隔內完成一輪掃描(遍歷整個服務空間)，則一定能夠掃描成功，否則跳變間隔對掃描成功概率的影響沒有顯著規律。

? 掃描開始時間與掃描成功率沒有顯著的關系。

? 經歷的時間t越大，掃描成功的概率PWt越大。

圖1 掃描開始與地址跳變同時發生掃描時間與 成功概率的聯系

圖2 掃描開始于跳變間隔任意時刻掃描時間與 成功概率的聯系

另外，我們控制不同的活躍入口密度，分別測試不同跳變間隔下掃描成功所需要的時間，可以得出結論：

? 相同活躍入口密度下，跳變間隔的變化對掃描成功所需時間沒有太大影響；

? 相同跳變間隔、單個入口掃描時間下，活躍服務入口密度越小，掃描成功所需時間越長。

結果如圖3所示。

圖3 掃描成功所需時間與活躍入口密度的聯系

3.2 針對特定目標順序掃描

3.2.1實驗方法

虛擬機端與3.1所述相同，主機使用nmap對251×64 502個服務入口進行順序掃描，掃描到開放端口后判斷是否是所需服務，若是，則掃描成功，否則繼續掃描。

3.2.2實驗結果

以服務入口總空間為251×64 502=16 190 002， 活躍服務入口數為5，每次跳變3個活躍入口，平均單個端口掃描時長為4 ms為例，一輪順序掃描時間為16 190 002×4 ms=64 760.008 s，逐步增大跳變間隔T，實驗證明，當T<4 000 s時，針對特定目標的單輪順序掃描成功概率小于50%，當T≥4 000 s時，掃描成功的概率大于50%。

表1 各跳變參數與掃描成功的概率

3.3 針對任意目標隨機掃描

3.3.1實驗方法

虛擬機端與3.1節所述相同，主機在服務入口總空間中隨機選擇一個入口，建立套接字，嘗試與該入口建立TCP連接，并設置超時時長為10 ms。若連接成功，則表示掃描到一個活躍入口，否則繼續隨機選擇入口嘗試連接。

3.3.2實驗結果

以跳變間隔T為65 s，服務入口總空間為250×6 000=1 500 000，活躍服務入口數為5，每次跳變3個活躍入口，平均單個端口掃描時長為10 ms為例，針對任意目標隨機掃描的成功概率隨掃描時間t的變化如圖4所示，并顯示與相同條件下順序掃描成功概率的對比。

圖4 隨機掃描與順序掃描成功概率對比

由實驗可以得出結論：

? 掃描時間越長，隨機掃描與順序掃描成功的概率越大，成功概率的差值越小。

? 相同活躍服務入口密度、單個入口掃描時長、跳變間隔以及掃描時間下，隨機掃描成功概率明顯低于順序掃描。

4 結 語

移動目標防御為信息安全防御提供了新的思路。基于移動目標理念在網絡層采用IP地址跳變是一種有效增加攻擊者掃描服務入口難度的防御機制。但是不同的跳變參數和網絡資源條件也會對抗掃描能力產生影響。通過針對IP地址跳變機制抗掃描能力的分析與評估，可以得出結論：

(1) 對于抗任意目標的順序掃描。

? 在當前普遍的網絡資源供給情況下(C類IPv4地址作為一個子網空間，承載5個服務)，以及普遍可接受的跳變間隔(分鐘級跳變)，掃描能否成功。與服務入口的跳變間隔沒有明顯的關系。如不指定特定服務，以毫秒級的掃描速度，100秒級的跳變間隔，基本都能夠在一輪順序掃描結束前掃描到活躍的服務入口；在相同的活躍服務入口密度下，跳變間隔的變化對掃描成功所需時間及一定時間內掃描成功的概率影響不大。

? 在分鐘級跳變間隔，毫秒級掃描效率的條件下，掃描成功的所需時間與活躍服務入口的密度有較大關聯，相同跳變間隔下，活躍服務入口密度越小，掃描成功所需時間越長。

? 掃描經歷的時間越長，該時刻掃描成功的概率越小，該時間內掃描成功的概率越大。

(2) 對于抗特定目標的順序掃描。

針對特性目標的掃描，由于服務密度降低，使得掃描難度顯著增加。在服務密度本身較小的情況下，若進一步減小服務密度，將顯著抵消跳變周期增加所帶來的掃描概率提升。

(3) 關于隨機掃描與順序掃描。

? 隨機掃描的成功概率與跳變間隔T無關，且隨著掃描時間t的推移，存在永遠無法掃描成功的情況，IP地址跳變機制對于抗隨機掃描沒有影響。

? 若能夠在一個跳變間隔內完成一輪順序掃描，則一定能夠掃描成功，即若不進行IP地址跳變，順序掃描一定能夠成功；若不能在一個跳變間隔內完成一輪順序掃描，則掃描成功的概率與掃描持續時間t、活躍服務入口密度以及單個入口掃描時間有關。

? 在相同活躍服務入口密度、單個入口掃描時長、跳變間隔以及掃描時間下，隨機掃描成功概率低于順序掃描。

? IP地址跳變機制對于抗隨機掃描沒有影響，但能夠從一定程度上降低順序掃描成功的概率。

基于以上的結論，我們認為在當前IPv4的地址資源供給條件下，IP地址跳變帶來的安全增益有限，IPv6的巨大地址資源可能給IP地址跳變的效應帶來普遍提升。在IP資源有限的情況下，只有通過顯著降低服務密度才能獲得較好的抗掃描能力；當需要承載的服務較多時，跳變并不能有效抵御針對任意目標的掃描。IP地址跳變機制需要與其他MTD或擬態防御機制的組合才能發揮效應。

當前我們對于IP地址跳變機制有了初步的量化評估方法研究，今后將進一步研究當攻擊者獲知IP地址跳變策略，采用更有針對性的掃描策略時，系統可能達到的抗掃描能力。