MTD增強的網(wǎng)絡(luò)欺騙防御系統(tǒng)

2022-08-09 05:45:32高春剛王永杰熊鑫立

計算機工程與應(yīng)用 2022年15期

高春剛，王永杰，熊鑫立

1.國防科技大學(xué) 電子對抗學(xué)院，合肥 230037

2.安徽省網(wǎng)絡(luò)安全態(tài)勢感知與評估重點實驗室，合肥 230037

互聯(lián)網(wǎng)在給人們帶來高效和便利的同時，網(wǎng)絡(luò)安全問題也日趨嚴重，已經(jīng)成為政府和企業(yè)最迫切需要解決的問題之一。企業(yè)和政府通過門戶網(wǎng)站將各種信息系統(tǒng)、數(shù)據(jù)資源和互聯(lián)網(wǎng)資源集成到一個信息管理平臺上，并建立對外部客戶和內(nèi)部人員的信息通道，從而能夠釋放存儲在內(nèi)部和外部的各種信息。而對于攻擊者來說，這些門戶網(wǎng)站則成為他們進入內(nèi)網(wǎng)的入口[1]。傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)大都是通過入侵檢測、防火墻等技術(shù)來保護網(wǎng)絡(luò)及系統(tǒng)安全，但這些技術(shù)都是靜態(tài)化的，高級持續(xù)性威脅（advanced persistent threat，APT）[2]攻擊者可長期對目標(biāo)的固有脆弱性進行反復(fù)的漏洞分析和滲透，直到達到最終目標(biāo)[3]。因此安全人員開始將目光聚焦于主動防御技術(shù)，網(wǎng)絡(luò)欺騙[4]作為其中之一被提出。網(wǎng)絡(luò)欺騙是根據(jù)蜜罐的思想演進而來的一種防御機制，通過在己方網(wǎng)絡(luò)信息系統(tǒng)中布設(shè)騙局，干擾攻擊者對己方網(wǎng)絡(luò)信息系統(tǒng)的感知與判斷，從而達到發(fā)現(xiàn)、延遲或阻斷攻擊者活動的目的[5]。然而，目前以蜜罐、蜜網(wǎng)為主的網(wǎng)絡(luò)欺騙防御系統(tǒng)都存在誘騙性不足、靜態(tài)性、部署復(fù)雜以及維護困難等缺陷。APT攻擊者經(jīng)過精心的探測分析仍然可以繞過防御機制，而蜜罐一旦失效，不僅不能保護網(wǎng)絡(luò)系統(tǒng)，甚至?xí)还粽弋?dāng)做跳板去攻擊其他資源[6]。

為解決網(wǎng)絡(luò)欺騙系統(tǒng)誘騙性不足的問題，通過數(shù)據(jù)包頭重寫技術(shù)生成與真實網(wǎng)絡(luò)完全不同的虛擬網(wǎng)絡(luò)拓撲，使攻擊者更難發(fā)現(xiàn)網(wǎng)絡(luò)中的真實脆弱性主機。移動目標(biāo)防御[7]的思想是使系統(tǒng)動態(tài)化，通過增加系統(tǒng)的動態(tài)性、隨機性和不確定性，增加攻擊者的攻擊難度和攻擊成本，提高系統(tǒng)安全性[8]。其中IP地址隨機化技術(shù)[9]以網(wǎng)絡(luò)地址為移動參數(shù)，使網(wǎng)絡(luò)地址隨機且隨時間變換，從而迷惑攻擊者。因此，為解決網(wǎng)絡(luò)欺騙系統(tǒng)靜態(tài)性的問題，使用MTD中的IP地址隨機化技術(shù)來增加網(wǎng)絡(luò)欺騙系統(tǒng)的動態(tài)性，增強其防御效能。軟件定義網(wǎng)絡(luò)（software defined network，SDN）[10]為有效開發(fā)和管理網(wǎng)絡(luò)系統(tǒng)提供了靈活的基礎(chǔ)設(shè)施，并且操作開銷小。因此，為解決網(wǎng)絡(luò)欺騙系統(tǒng)部署復(fù)雜以及維護困難的問題，基于SDN構(gòu)建網(wǎng)絡(luò)欺騙防御系統(tǒng)。

因此，本文的目標(biāo)是緩解高級持續(xù)性威脅攻擊者對內(nèi)網(wǎng)的入侵，方法是結(jié)合網(wǎng)絡(luò)欺騙與移動目標(biāo)防御建立一個MTD增強的網(wǎng)絡(luò)欺騙防御系統(tǒng)。首先通過數(shù)據(jù)包頭重寫改變網(wǎng)絡(luò)內(nèi)主機的IP地址并生成大量的誘餌節(jié)點，構(gòu)造虛擬網(wǎng)絡(luò)拓撲，使攻擊者在虛假的資源上花費更多的時間，增加攻擊者的時間成本；但APT攻擊者通常具備一定的蜜罐識別能力，可以根據(jù)與網(wǎng)絡(luò)中節(jié)點交互后的響應(yīng)來識別真實主機和誘餌節(jié)點。因此，本文在虛擬網(wǎng)絡(luò)拓撲的基礎(chǔ)上融合IP隨機化技術(shù)，盡管攻擊者可以在一段時間內(nèi)收集到網(wǎng)絡(luò)系統(tǒng)的部分信息，但部署IP隨機化后這些信息將會失效，攻擊者必須重新對網(wǎng)絡(luò)進行偵查。通過將網(wǎng)絡(luò)欺騙和移動目標(biāo)防御相融合，可以完成它們不能單獨實現(xiàn)的目標(biāo)，有效地抵抗持續(xù)性的網(wǎng)絡(luò)偵查攻擊。

1 相關(guān)技術(shù)

為了阻止或減緩攻擊者持續(xù)性網(wǎng)絡(luò)偵查攻擊，研究人員提出了許多主動防御方法，主要分為兩類：網(wǎng)絡(luò)欺騙防御和移動目標(biāo)防御。

網(wǎng)絡(luò)欺騙防御的核心是防御者利用欺騙和誘導(dǎo)手段有意地干擾攻擊者的認知決策過程，從而使攻擊者采取有利于防御者的行動。Akiyama等[11]提出基于蜜標(biāo)的網(wǎng)絡(luò)欺騙系統(tǒng)，通過在沙箱環(huán)境中設(shè)置用戶名、口令、服務(wù)器地址等信息，當(dāng)發(fā)現(xiàn)攻擊時，這些蜜標(biāo)就會被傳送給攻擊者，從而使其登錄預(yù)先設(shè)置的蜜罐服務(wù)器。Achleitner等[12]假設(shè)攻擊者已經(jīng)成功進入內(nèi)網(wǎng)，并且至少有一臺主機已經(jīng)感染了某種惡意軟件，通過欺騙攻擊者視圖混淆攻擊者獲取的信息，從而延長攻擊者識別真實主機的時間，但對主機之間的正常交互造成了較大的影響。Zhan等[13]探討了如何提高網(wǎng)絡(luò)欺騙的有效性來加固FTP（文件傳輸協(xié)議）服務(wù)來應(yīng)對APT攻擊，通過邏輯約束實例化一個新的FTP文件系統(tǒng)來確保欺騙的一致性，并通過圖靈測試，發(fā)現(xiàn)參與者識別欺騙性環(huán)境的概率接近于隨機猜測。Rrushi等[14]描述了在操作系統(tǒng)駐留的防御欺騙方法，核心思想是通過在計算機系統(tǒng)中展示虛假I/O設(shè)備，使感染目標(biāo)主機的惡意軟件無效。Rubio-Medrano等[15]提出了一個高交互、可擴展、高偽裝的工控蜜罐來收集惡意數(shù)據(jù)樣本以供將來分析時可以有效地欺騙攻擊者，它被多種廣泛使用的偵查工具識別為真實設(shè)備。

傳統(tǒng)的網(wǎng)絡(luò)欺騙系統(tǒng)存在很大的局限性，APT攻擊者往往針對特定目標(biāo)攻擊，持續(xù)時間長且隱蔽性強，一旦攻擊者檢測到陷阱的存在并繞過，陷阱將失去意義，甚至淪為攻擊者的入侵跳板。因此國內(nèi)外相關(guān)學(xué)者針對網(wǎng)絡(luò)欺騙技術(shù)的動態(tài)部署做了大量的研究，并取得了一定的成果。Zhe等[16]提出一種基于SDN的虛擬蜜網(wǎng)系統(tǒng)，結(jié)合SDN良好的可控性和可擴展性構(gòu)建蜜網(wǎng)，解決了虛擬蜜罐動態(tài)部署復(fù)雜和蜜網(wǎng)流量控制困難的問題。Kong等[17]提出自動蜜網(wǎng)部署策略，能夠自動生成、部署和調(diào)整蜜網(wǎng)部署策略，降低網(wǎng)絡(luò)攻擊的成功率，并從理論層面證明了策略的有效性。Niakanlahiji等[18]提出針對Web程序的個性化欺騙方法，通過與攻擊者的交互動態(tài)描述每個攻擊者的特征，并相應(yīng)調(diào)整欺騙計劃，實現(xiàn)個性化欺騙。

現(xiàn)有網(wǎng)絡(luò)欺騙技術(shù)的動態(tài)部署方法都是根據(jù)當(dāng)前的網(wǎng)絡(luò)環(huán)境動態(tài)調(diào)整蜜網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)和蜜罐類型，十分依賴惡意流量檢測技術(shù)，且具有被動性，仍然無法有效防御具備反蜜罐能力的攻擊者。

移動目標(biāo)防御技術(shù)通過多樣化、動態(tài)化和隨機化的方法改變IP地址、端口等網(wǎng)絡(luò)要素，增加攻擊者進行網(wǎng)絡(luò)探測、網(wǎng)絡(luò)竊聽和拒絕服務(wù)攻擊的難度[19]。目前網(wǎng)絡(luò)層移動目標(biāo)防御系統(tǒng)框架大都是基于SDN實現(xiàn)，基于SDN的網(wǎng)絡(luò)層移動目標(biāo)防御利用SDN的特點來優(yōu)化移動目標(biāo)防御技術(shù)，高度可編程的SDN可以有效地增加攻擊的不確定性、復(fù)雜性和成本[20]。AEH-MTD[21]采用跳頻同步策略，客戶端和控制器通過同步模塊對本地時鐘進行校準，采用源地址熵和流量法檢測網(wǎng)絡(luò)狀態(tài)，根據(jù)檢測結(jié)果，采用時間自適應(yīng)和空間自適應(yīng)的方法對端點信息進行調(diào)整，相比于之前的方法具有更大的動態(tài)性和靈活性。Narantuya等[22]為解決單個SDN控制器的MTD系統(tǒng)的單點失效問題，提出基于多個SDN控制器的MTD架構(gòu)，保證了大規(guī)模網(wǎng)絡(luò)中MTD系統(tǒng)的性能和安全性。Wang等[23]提出基于雙層IP地址調(diào)頻的移動目標(biāo)防御方法，設(shè)置獨立間隔和規(guī)則，根據(jù)網(wǎng)絡(luò)安全狀況和要求跳變設(shè)備IP地址和虛擬IP地址，防止網(wǎng)絡(luò)入侵和網(wǎng)絡(luò)竊聽。

MTD可以不依賴惡意流量檢測技術(shù)，通過動態(tài)變換網(wǎng)絡(luò)信息干擾攻擊者對網(wǎng)絡(luò)系統(tǒng)的認知，但頻繁的變換帶來巨大的性能損耗；網(wǎng)絡(luò)欺騙防御部署后不會對系統(tǒng)性能造成太大影響，但無法有效應(yīng)對長期潛伏收集信息的APT攻擊者。因此如何將MTD和網(wǎng)絡(luò)欺騙技術(shù)融合來更大程度地發(fā)揮防御的有效性是一個非常重要的研究。

2 威脅模型

企業(yè)和政府通過門戶網(wǎng)站將各種信息系統(tǒng)、數(shù)據(jù)資源和互聯(lián)網(wǎng)資源集成到一個信息管理平臺上，方便了與外部和內(nèi)部人員的交互，但門戶網(wǎng)站也成為了攻擊者進入內(nèi)網(wǎng)的入口，攻擊者一旦拿下網(wǎng)站所在主機的權(quán)限，就可以以此為跳板進一步入侵內(nèi)網(wǎng)。

如圖1所示，門戶網(wǎng)站部署在DMZ[24]的服務(wù)器上，外網(wǎng)人員和內(nèi)網(wǎng)人員均可以訪問門戶網(wǎng)站，但外網(wǎng)人員不可以直接訪問內(nèi)網(wǎng)。攻擊者已經(jīng)利用網(wǎng)站上存在的漏洞獲取網(wǎng)站所在服務(wù)器的管理員權(quán)限，并以此為跳板探測內(nèi)網(wǎng)，準備進一步地入侵。

圖1 威脅模型Fig.1 Threat model

攻擊者進行網(wǎng)絡(luò)偵查時會采取最高效的策略，通常先進行全網(wǎng)段掃描，掃描出網(wǎng)絡(luò)中所有存活主機，再對存活主機進行進一步探測，分析其可能存在的漏洞，最后攻擊存在漏洞的主機。但這種策略不適用于部署了地址變換的網(wǎng)絡(luò)系統(tǒng)，因為當(dāng)攻擊者掃描出網(wǎng)絡(luò)中所有存活主機后，準備對存活主機進行進一步探測和漏洞利用時，其虛擬IP地址很可能已經(jīng)過時。所以對于部署了地址變換的網(wǎng)絡(luò)系統(tǒng)，攻擊者只能探測到一個存活主機后立即進行漏洞分析和利用。

對威脅模型提出幾點假設(shè)：

（1）攻擊者的目標(biāo)為內(nèi)網(wǎng)中的主機，且攻擊者具有足夠的耐心來入侵內(nèi)網(wǎng)。

（2）攻擊者具有很強的漏洞分析和漏洞利用能力，對于發(fā)現(xiàn)的每一個漏洞都能成功利用。

（3）攻擊者意識到IP隨機化機制已被部署時，會隨機探測IP地址，發(fā)現(xiàn)漏洞后立即攻擊。

（4）攻擊者在系統(tǒng)進行IP地址變換后仍然執(zhí)行攻擊步驟。

3 系統(tǒng)設(shè)計

本文基于SDN實現(xiàn)網(wǎng)絡(luò)欺騙系統(tǒng)。圖2顯示了網(wǎng)絡(luò)欺騙系統(tǒng)的系統(tǒng)架構(gòu)，它由三個主要組件組成，包括虛擬網(wǎng)絡(luò)拓撲模塊、IP隨機化模塊和欺騙服務(wù)器，其中虛擬網(wǎng)絡(luò)拓撲模塊和IP隨機化模塊都在SDN控制器中實現(xiàn)。

圖2 系統(tǒng)架構(gòu)Fig.2 System structure

3.1 虛擬網(wǎng)絡(luò)拓撲模塊

虛擬網(wǎng)絡(luò)拓撲模塊主要負責(zé)生成虛擬網(wǎng)絡(luò)拓撲以及根據(jù)虛擬網(wǎng)絡(luò)拓撲的規(guī)范分發(fā)流表，包括虛擬網(wǎng)絡(luò)拓撲生成模塊、誘餌節(jié)點生成模塊和流表分發(fā)模塊三個子模塊。

虛擬網(wǎng)絡(luò)拓撲生成模塊負責(zé)提供虛擬網(wǎng)絡(luò)拓撲規(guī)范，即描述主機、誘餌節(jié)點的真實和虛擬的地址信息，以及它們之間的連接性。包括：

（1）目標(biāo)主機的真實IP地址、虛擬IP地址、真實MAC地址和交換機端口。

（2）內(nèi)網(wǎng)主機的真實IP地址、虛擬IP地址、真實MAC地址和交換機端口。

（3）誘餌節(jié)點的真實IP地址、虛擬IP地址、真實MAC地址、虛擬MAC地址和交換機端口。

（4）目標(biāo)主機到內(nèi)網(wǎng)主機和誘餌節(jié)點的虛擬路徑信息。

誘餌節(jié)點生成模塊負責(zé)根據(jù)虛擬網(wǎng)絡(luò)拓撲規(guī)范生成大量的誘餌節(jié)點。在實際部署中，受限于硬件資源，不能部署大量的蜜罐主機。為了使網(wǎng)絡(luò)拓撲規(guī)模足夠大，采用一對多映射的方式生成誘餌節(jié)點。在虛擬網(wǎng)絡(luò)拓撲配置文件中為一個蜜罐主機分配多個虛擬IP，在響應(yīng)掃描探測時，由SDN控制器將虛擬IP反向映射到其母體蜜罐，由母體蜜罐響應(yīng)具體的探測行為。

流表分發(fā)模塊監(jiān)聽來自交換機的PackIn報文，根據(jù)虛擬網(wǎng)絡(luò)拓撲的規(guī)范動態(tài)生成特定的流表，并將其推送到SDN交換機以控制網(wǎng)絡(luò)傳輸。為了引導(dǎo)和控制網(wǎng)絡(luò)傳輸，采取反應(yīng)式流表生成方法，而不是主動式方法，即在到達SDN交換機中的數(shù)據(jù)包與存儲在交換機中的任何流表都不匹配時，SDN控制器動態(tài)生成流規(guī)則。

算法1給出了虛擬網(wǎng)絡(luò)拓撲模塊的報文處理算法實現(xiàn)。虛擬網(wǎng)絡(luò)拓撲模塊實時監(jiān)聽來自交換機的PackIn消息，分析數(shù)據(jù)包的源和目的地址以及數(shù)據(jù)包類型，根據(jù)虛擬網(wǎng)絡(luò)拓撲規(guī)范生成特定的流表并添加流表動作，包括重寫數(shù)據(jù)包頭，完成真實IP與虛擬IP的轉(zhuǎn)換以及指定轉(zhuǎn)發(fā)出口。報文處理算法的時間復(fù)雜度在于對于收到的PackIn報文需要查詢報文類型和源地址，查詢類型的復(fù)雜度為1，查詢源地址需要遍歷虛擬網(wǎng)絡(luò)拓撲中的所有節(jié)點，復(fù)雜度為n（n為虛擬網(wǎng)絡(luò)拓撲中的節(jié)點數(shù)量），因此報文處理算法的時間復(fù)雜度為n。

算法1虛擬網(wǎng)絡(luò)拓撲模塊報文處理算法

輸入：PackIn報文，虛擬網(wǎng)絡(luò)拓撲

輸出：PackOut報文

if PackIn.src=target.addr then//處理來自目標(biāo)主機報文

if PackIn.type=ARP then//處理ARP報文

OutFlow.action is outport=server.switchport

InFlow.action is outport=ingressport

end if

if PackIn.type=IP then//處理IP報文

OutFlow.action is srcIP=target.rIP and dstIP=dst.rIP

InFlow.action is srcIP=dst.vIP and dstIP=target.vIP

end if

else then//處理來自內(nèi)網(wǎng)主機的報文

if PackIn.type=ARP then//處理ARP報文

OutFlow.action is outport=server.switchport

InFlow.action is outport=ingressport

end if

if PackIn.type=IP then//處理IP報文

if PackIn.dst=target.rIP then

Out Fl ow.acti on is src IP=src.vIP and dst IP=target.vIP

InFlow.action is srcIP=target.rIP and dstIP=src.rIP

end if

else then

OutFlow.action is outport=dst_node.switchport

InFlow.action is outport=src_node.switchport

end if

結(jié)合第2章的分析可知，虛擬網(wǎng)絡(luò)拓撲與真實網(wǎng)絡(luò)是嚴格分離的，通過在DMZ的服務(wù)器上部署虛擬網(wǎng)絡(luò)拓撲，攻擊者探測到的內(nèi)網(wǎng)主機IP地址皆為虛擬IP地址，且其觀察到的網(wǎng)絡(luò)地址空間規(guī)模更大，同時還能使攻擊者探測到誘餌節(jié)點，從而延遲攻擊者探測到真實主機的時間。而對于DMZ對于內(nèi)網(wǎng)中的主機，仍然使用真實IP地址進行交互，因此不會對網(wǎng)絡(luò)的正常功能造成影響。

3.2 IP隨機化模塊

為了進一步增加網(wǎng)絡(luò)欺騙系統(tǒng)的防御效能，創(chuàng)建IP隨機化模塊。IP隨機化模塊負責(zé)協(xié)調(diào)網(wǎng)絡(luò)中主機和誘餌節(jié)點的地址變換，包括地址管理模塊、變換決策模塊和連接維持模塊三個子模塊。

地址管理模塊負責(zé)根據(jù)虛擬網(wǎng)絡(luò)拓撲規(guī)范實時統(tǒng)計每個子網(wǎng)中的主機和誘餌節(jié)點、每個子網(wǎng)中的還未使用的IP地址以及為子網(wǎng)內(nèi)的主機和誘餌節(jié)點分配IP地址，確保在IP地址分配中不會相互干擾。

變換決策模塊負責(zé)設(shè)置IP地址隨機化的的周期以及虛擬網(wǎng)絡(luò)拓撲的構(gòu)造方法。可以根據(jù)實際網(wǎng)絡(luò)系統(tǒng)狀態(tài)設(shè)定IP地址隨機化的周期，兼顧網(wǎng)絡(luò)性能和安全性。變換決策模塊也可以根據(jù)實際情況確定虛擬網(wǎng)絡(luò)拓撲的大小、子網(wǎng)數(shù)、每個子網(wǎng)中誘餌節(jié)點的數(shù)量以及主機在網(wǎng)絡(luò)中的位置。

連接維持模塊負責(zé)地址變換時正常的服務(wù)不會中斷，保證地址變換對用戶的透明。通過前面的分析可知，網(wǎng)絡(luò)欺騙系統(tǒng)的部署，使得攻擊者在DMZ的服務(wù)器上探測到地址不斷變化的內(nèi)網(wǎng)拓撲，而內(nèi)網(wǎng)中的主機通過DMZ服務(wù)器的真實IP地址訪問服務(wù)。并且因為IP地址隨機化只改變虛擬IP地址，真實IP地址始終不變，所以內(nèi)網(wǎng)中的主機始終可以通過DMZ服務(wù)器的真實IP地址訪問它。然而，IP地址隨機化改變了內(nèi)網(wǎng)主機的虛擬IP地址，主機向服務(wù)器發(fā)送的請求無法收到回復(fù)，主機需要重新對服務(wù)器發(fā)起連接，這帶來了網(wǎng)絡(luò)延遲。連接維持模塊通過在流表中設(shè)定空閑存活時間字段idel_timeout來確保正常的服務(wù)不會中斷。idel_timeout正比于IP地址隨機化周期T，即idel_timeout=αT，其中0＜α＜1。只要兩個節(jié)點的交互間隔時間小于空閑存活時間，流表就不會消失，兩個節(jié)點之間的連接就可以維持。空閑存活時間的大小影響網(wǎng)絡(luò)安全性和網(wǎng)絡(luò)性能。算法2給出了IP地址隨機化模塊的地址分配算法實現(xiàn)。首先確定變換的周期T，網(wǎng)絡(luò)中的子網(wǎng)，每個子網(wǎng)中的主機和誘餌節(jié)點，每個子網(wǎng)中未使用的IP地址。每次變換時，針對每個子網(wǎng)中的每個節(jié)點，從子網(wǎng)內(nèi)未使用的IP地址中隨機選擇一個作為節(jié)點的虛擬IP地址，并更新虛擬網(wǎng)絡(luò)拓撲的信息。地址分配算法的時間復(fù)雜度在于需要變換虛擬網(wǎng)絡(luò)拓撲中每一個節(jié)點的IP地址，因此時間復(fù)雜度為n。

算法2IP地址隨機化模塊地址分配算法

輸入：變換周期T，子網(wǎng)信息subnetlist，每個子網(wǎng)內(nèi)的節(jié)點信息hostdict，子網(wǎng)內(nèi)還未使用的IP地址ipdict

輸出：ipdict，hostdict，虛擬網(wǎng)絡(luò)拓撲vnt

iftime=Tdo

for net insubnetlistdo

for host inhostdict[net]do

ip=net+random（start，end）

if ip inipdictdo

host.vIP=ip

updateipdict

updatehostdict

updatevnt

end if

end for

end if

IP隨機化模塊可以與虛擬網(wǎng)絡(luò)拓撲模塊有機結(jié)合，不會相互抵觸、相互牽制，而是相互協(xié)調(diào)。IP隨機化模塊利用虛擬網(wǎng)絡(luò)拓撲模塊生成的虛擬網(wǎng)絡(luò)拓撲規(guī)范完成節(jié)點IP地址的實時統(tǒng)計和變換，并將變換后的信息反饋到虛擬網(wǎng)絡(luò)拓撲模塊。從防御效能上看，現(xiàn)有研究中虛擬網(wǎng)絡(luò)拓撲存在靜態(tài)性，APT攻擊者可以長期潛伏在網(wǎng)絡(luò)中尋找攻擊目標(biāo)，同時識別誘餌節(jié)點并且其拉入黑名單，因此隨著攻擊者不斷探測，虛擬網(wǎng)絡(luò)拓撲的防御效能會逐漸降低。本文提出的防御方法通過IP地址隨機化變換網(wǎng)絡(luò)中節(jié)點的IP地址，使得攻擊者在一段時間內(nèi)探測到的信息失效，攻擊者只能重新開始探測，從而提高了節(jié)點的存活率。現(xiàn)有研究中，IP地址隨機化需要頻繁的變換，這對系統(tǒng)性能帶來巨大的損耗。本文提出的防御方法，通過部署比真實網(wǎng)絡(luò)大得多的虛擬網(wǎng)絡(luò)拓撲，能夠延長攻擊者探測到真實主機的時間，因此不需要頻繁地變換就可以達到較好的防御效果。

3.3 欺騙服務(wù)器

欺騙服務(wù)器負責(zé)根據(jù)虛擬網(wǎng)絡(luò)視圖的規(guī)范制作響應(yīng)來欺騙惡意掃描程序。包括地址管理模塊、消息處理模塊、DHCP處理模塊、ARP處理模塊、ICMP處理模塊、路由模擬模塊。

地址管理模塊負責(zé)確保與SDN控制器維護相同的虛擬網(wǎng)絡(luò)拓撲規(guī)范。

消息處理模塊負責(zé)解析接收到的數(shù)據(jù)包，并根據(jù)數(shù)據(jù)包的類型發(fā)往相應(yīng)的模塊處理。

DHCP處理模塊、ARP處理模塊、ICMP處理模塊和路由模擬模塊負責(zé)對惡意掃描程序的請求做出欺騙性的響應(yīng)。以路由模擬模塊為例介紹它們是實現(xiàn)欺騙的。

步驟1惡意掃描程序使用tarceroute向節(jié)點發(fā)送探測數(shù)據(jù)包，依次將數(shù)據(jù)包的TTL設(shè)置為1，2，…。

步驟2虛擬網(wǎng)絡(luò)拓撲模塊將數(shù)據(jù)包轉(zhuǎn)發(fā)到欺騙服務(wù)器，并由消息處理子模塊發(fā)往路由模擬子模塊處理。

步驟3虛擬網(wǎng)絡(luò)拓撲規(guī)范中描述了網(wǎng)絡(luò)中兩個主機之間的虛擬的路由信息，路由模擬模塊首先根據(jù)虛擬路由信息向源主機發(fā)送ICMP超時報文，證明數(shù)據(jù)包經(jīng)過了虛擬路由。

步驟4路由模擬模塊根據(jù)目的主機的虛擬IP生成ICMP端口不可達報文，證明數(shù)據(jù)包已到達目的地。

通過上述過程，路由模擬模塊可以基于虛擬網(wǎng)絡(luò)拓撲的規(guī)范模擬兩個節(jié)點之間的多跳路徑，使得攻擊者無法獲取節(jié)點在網(wǎng)絡(luò)中的真實位置。

3.4 系統(tǒng)可擴展性

SDN已經(jīng)在許多著名的科研項目中得到應(yīng)用和部署，谷歌的數(shù)據(jù)中心B4[25]是SDN應(yīng)用在大規(guī)模網(wǎng)絡(luò)中的成功案例，通過在數(shù)據(jù)中心部署基于OpenFlow的集中式流量工程服務(wù)，使得網(wǎng)絡(luò)更穩(wěn)定，鏈路帶寬利用率更高。面對更為龐大的流量請求和網(wǎng)絡(luò)監(jiān)控統(tǒng)計等需求，分布式的多控制器部署成為提升控制平面規(guī)模可擴展的有效方式[26-27]。因此通過分布式控制平面的方式部署，可以實現(xiàn)更大規(guī)模的IP地址隨機化。網(wǎng)絡(luò)欺騙系統(tǒng)的分布式控制平面部署模型如圖3所示，包括SDN主控制器和SDN子控制器。SDN主控制器負責(zé)模擬虛擬網(wǎng)絡(luò)拓撲和管理分布式控制平面。SDN子控制器負責(zé)控制子網(wǎng)中的網(wǎng)絡(luò)流量，每個子控制器對本地交換設(shè)備的控制不需要向其他控制器通告。當(dāng)IP地址隨機化時間發(fā)生時，SDN主控制器將虛擬網(wǎng)絡(luò)拓撲的變化發(fā)往各個子控制器，各子控制器進行同步更新。因此，所有控制器都能實時掌握全局網(wǎng)絡(luò)信息，但實際上只是負責(zé)局部區(qū)域網(wǎng)絡(luò)。

圖3 分布式控制平面部署模型Fig.3 Distributed control plane deployment model

4 實驗評估與分析

本章將評估MTD增強的網(wǎng)絡(luò)欺騙系統(tǒng)的有效性及其產(chǎn)生的開銷。實驗評估在Ubuntu20.04.1操作系統(tǒng)環(huán)境下進行，虛擬機內(nèi)存為4 GB，使用mininet[28]搭建基于SDN的網(wǎng)絡(luò)系統(tǒng)，SDN控制器使用POX控制器，交換機使用Open Vswitch。實驗部署了無防御（NO VNT）、虛擬網(wǎng)絡(luò)拓撲（VNT）、IP地址隨機化（IPR）、動態(tài)虛擬網(wǎng)絡(luò)拓撲（DVNT）四種防御方法，通過對比實驗分析本文提出的防御方法的有效性。

真實網(wǎng)絡(luò)拓撲如所圖4所示，紅色節(jié)點為已經(jīng)被攻擊者占領(lǐng)的主機、藍色節(jié)點為6個普通客戶端，灰色節(jié)點為蜜罐，綠色節(jié)點為SDN交換機。網(wǎng)段地址為192.168.0.0/24，網(wǎng)絡(luò)中的6個普通客戶端和蜜罐均存在可利用的漏洞。

圖4 真實網(wǎng)絡(luò)拓撲Fig.4 Real network topology

虛擬網(wǎng)絡(luò)拓撲的參數(shù)如表1所示，虛擬網(wǎng)絡(luò)拓撲包含3個子網(wǎng)，網(wǎng)段地址分別為192.168.10.0/24、192.168.11.0/24、192.168.12.0/24，真實脆弱性主機平均分布在地址空間上，子網(wǎng)中的誘餌節(jié)點數(shù)分別為17、18、16。

表1 虛擬網(wǎng)絡(luò)拓撲參數(shù)Table 1 Parameters of virtual network topology

部署的虛擬網(wǎng)絡(luò)拓撲如圖5所示，紅色節(jié)點為已經(jīng)被攻擊者占領(lǐng)的主機，藍色節(jié)點為普通客戶端，即真實脆弱性主機，灰色節(jié)點為蜜罐，黃色節(jié)點為虛擬路由。虛擬網(wǎng)絡(luò)拓撲的結(jié)構(gòu)與真實網(wǎng)絡(luò)拓撲完全不同，可以最大程度地欺騙攻擊者。

圖5 虛擬網(wǎng)絡(luò)拓撲Fig.5 Virtual network topology

IP地址隨機化參數(shù)如表2所示，IPR的地址變換周期為30 s。為了分析地址變換周期對防御有效性和系統(tǒng)開銷的影響，實驗部署了兩種IP地址隨機化增強的虛擬網(wǎng)絡(luò)拓撲，分別為地址變換周期為30 s的動態(tài)虛擬網(wǎng)絡(luò)拓撲（DVNT_30）和地址變換周期為10 s的動態(tài)虛擬網(wǎng)絡(luò)拓撲（DVNT_10），地址變換方式均為隨機變換，即每個周期都在未使用的IP地址集內(nèi)隨機選擇一個分配給主機。

表2 IP地址隨機化參數(shù)Table 2 Parameters of IP address randomization

4.1 有效性

首先評估部署虛擬網(wǎng)絡(luò)拓撲對于延長攻擊者發(fā)現(xiàn)真實脆弱性主機的時間的有效性。攻擊者進行內(nèi)網(wǎng)滲透時通常首先使用掃描器（如Nmap、Metasploit等）對內(nèi)網(wǎng)進行探測，獲取網(wǎng)絡(luò)中存活性主機、網(wǎng)絡(luò)結(jié)構(gòu)等信息，為下一步攻擊做準備。實驗?zāi)M攻擊者使用Nmap探測網(wǎng)絡(luò)中的存活性主機，掃描方式為隨機掃描，且IP地址為平均分布，即每個IP地址只掃描一次。在模擬攻擊者掃描探測的同時，記錄攻擊者探測到真實脆弱性主機的時間，最后通過統(tǒng)計攻擊者探測到的真實脆弱性主機的時間來評估系統(tǒng)的有效性。為保證實驗結(jié)果的可靠性，共進行了100次重復(fù)實驗。

表3為在沒有部署虛擬網(wǎng)絡(luò)拓撲（NO VNT）和部署了虛擬網(wǎng)絡(luò)拓撲（VNT）的網(wǎng)絡(luò)下，攻擊者掃描出真實脆弱性主機所花費的時間對比。在100次重復(fù)實驗中，攻擊者在這兩種情況下，攻擊者發(fā)現(xiàn)真實脆弱性主機的最短時間相同，但最長時間和平均時間VNT均為NO VNT的7倍以上。

表3 不同網(wǎng)絡(luò)下攻擊者發(fā)現(xiàn)真實脆弱性主機的時間Table 3 Time of attacker discovering real vulnerable host under different networks s

圖6為NO VNT和VNT的網(wǎng)絡(luò)下，攻擊者掃描出真實脆弱性主機的概率隨時間的變化。分析實驗結(jié)果，在NO VNT的網(wǎng)絡(luò)下，攻擊者掃描40 s時，發(fā)現(xiàn)真實脆弱性主機的概率為52%，而在VNT的網(wǎng)絡(luò)下，攻擊者發(fā)現(xiàn)真實脆弱性主機的概率僅為8%；在NO VNT的網(wǎng)絡(luò)下，攻擊者有100%的概率發(fā)現(xiàn)真實脆弱性主機的時間為320 s，而在VNT的網(wǎng)絡(luò)下，則需要1 280 s。

圖6 不同網(wǎng)絡(luò)下攻擊者發(fā)現(xiàn)真實脆弱性主機的概率Fig.6 Probability of attacker discovering realvulnerable host under different networks

通過部署虛擬網(wǎng)絡(luò)拓撲，大大延長了攻擊者發(fā)現(xiàn)脆弱性主機的時間，提高了攻擊者的時間成本。但只要時間充足，APT攻擊者仍然可以攻下網(wǎng)絡(luò)中的所有主機。IP地址隨機化可以使攻擊者在一段時間內(nèi)探測到的信息失效，因此在虛擬網(wǎng)絡(luò)拓撲的基礎(chǔ)上融合IP地址隨機化技術(shù)，同時評估在部署NO VNT、VNT、IPR和DVNT_30的網(wǎng)絡(luò)下，攻擊者成功攻擊主機的個數(shù)隨時間變化。假設(shè)攻擊者具有豐富的攻擊資源，對網(wǎng)絡(luò)中主機的每一個漏洞都有利用工具，且攻擊者具有很強的漏洞分析能力，發(fā)現(xiàn)漏洞后能在較短的時間內(nèi)成功利用。實驗?zāi)M攻擊者首先使用Nmap探測網(wǎng)絡(luò)中的存活性主機，當(dāng)攻擊者探測到真實脆弱性主機時，經(jīng)過一段時間的攻擊準備，向其發(fā)起攻擊。與此同時，記錄攻擊者成功攻擊真實脆弱性主機的時間，最后通過統(tǒng)計攻擊者成功攻擊真實脆弱性主機的時間來評估系統(tǒng)的有效性。為了貼近真實滲透場景，假設(shè)攻擊者探測到脆弱性主機到發(fā)起攻擊的時間為10～60 s內(nèi)的一個隨機時間，地址變換的周期為30 s。

圖7為攻擊者在部署了上述四種防御方法的網(wǎng)絡(luò)下，攻擊者成功攻擊真實脆弱性主機的個數(shù)隨時間的變化。對比實驗結(jié)果，相比于NO VNT，VNT將攻擊者成功攻擊一個脆弱性主機的時間平均延長至8倍，這是因為虛擬網(wǎng)絡(luò)拓撲中存在大量誘餌節(jié)點，攻擊者分析利用誘餌節(jié)點的漏洞浪費了更多的時間；相比于NO VNT，IPR將攻擊者成功攻擊脆弱性主機的概率降低了33%，這是因為當(dāng)攻擊者對脆弱性主機的漏洞進行利用時，其IP地址很可能已經(jīng)過時；相比于VNT和IPR，DVNT_30不僅進一步延長了攻擊者成功攻擊真實脆弱性主機的時間，而且將攻擊者成功攻擊的概率降低83%。

圖7 不同網(wǎng)絡(luò)下主機被成功攻擊的個數(shù)Fig.7 Number of hosts successfully attacked under different networks

4.2 系統(tǒng)開銷

MTD增強的網(wǎng)絡(luò)欺騙系統(tǒng)極大地提高了網(wǎng)絡(luò)的安全性，但也難免對網(wǎng)絡(luò)性能造成一定影響，因此需要對系統(tǒng)開銷進行評估分析。使用Netperf來測量系統(tǒng)對網(wǎng)絡(luò)吞吐量和網(wǎng)絡(luò)延遲的影響，比較4種不同系統(tǒng)配置下的性能：NO VNT、VNT、DVNT_30和DVNT_10。

評估系統(tǒng)對網(wǎng)絡(luò)吞吐量的影響。在目標(biāo)主機上運行Netperf服務(wù)端，在客戶機上運行Netperf客戶端，使用TCP_STREAM模擬客戶端向服務(wù)端的批量數(shù)據(jù)傳輸，測量網(wǎng)絡(luò)吞吐量，進行了10次重復(fù)實驗，每次實驗進行8組測試，每組數(shù)據(jù)大小由8 Byte到1 024 Byte不等。

圖8為四種不同網(wǎng)絡(luò)下系統(tǒng)吞吐量的對比，分析實驗結(jié)果，與沒有部署虛擬網(wǎng)絡(luò)拓撲的網(wǎng)絡(luò)情況對比，部署了虛擬網(wǎng)絡(luò)拓撲的網(wǎng)絡(luò)吞吐量減少了2.2%到11.5%，平均減少了5%；部署了地址變換周期為30 s的動態(tài)虛擬網(wǎng)絡(luò)拓撲的網(wǎng)絡(luò)吞吐量減少了2.4%到14.1%，平均減少了7.1%；部署了地址變換周期為10 s的動態(tài)虛擬網(wǎng)絡(luò)拓撲的網(wǎng)絡(luò)吞吐量減少了3.3%到15.9%，平均減少了8.2%。

圖8 不同網(wǎng)絡(luò)下的網(wǎng)絡(luò)吞吐量Fig.8 Network throughput under different networks

評估系統(tǒng)對網(wǎng)絡(luò)延遲的影響。在目標(biāo)主機上運行Netperf服務(wù)端，在客戶機上運行Netperf客戶端，使用TCP_RR模擬客戶端和服務(wù)端request/response模式，客戶端向服務(wù)端發(fā)出查詢分組，服務(wù)端接收到請求返回結(jié)果數(shù)據(jù)，測量網(wǎng)絡(luò)延遲，數(shù)據(jù)大小由8 KB到1 024 KB不等，進行了10組重復(fù)實驗。

圖9為四種不同網(wǎng)絡(luò)下系統(tǒng)吞吐量的對比，分析實驗結(jié)果，部署了虛擬網(wǎng)絡(luò)拓撲的網(wǎng)絡(luò)延遲增加了2.2%到10.4%，平均增加了5.4%；部署了地址變換周期為30 s的動態(tài)虛擬網(wǎng)絡(luò)拓撲的網(wǎng)絡(luò)延遲增加了3%到12.3%，平均增加了6.6%；部署了地址變換周期為10 s的動態(tài)虛擬網(wǎng)絡(luò)拓撲的網(wǎng)絡(luò)延遲增加了3.5%到12.8%，平均增加了7.4%。

圖9 不同網(wǎng)絡(luò)下的網(wǎng)絡(luò)延遲Fig.9 Network delay under different networks

由實驗結(jié)果可以看出，造成額外系統(tǒng)開銷的最大的原因在于虛擬網(wǎng)絡(luò)拓撲，因為每個數(shù)據(jù)包到達交換機都需要重寫數(shù)據(jù)包頭。變換造成的系統(tǒng)開銷時因為每次地址變換后，原來的虛擬地址對應(yīng)的流表會消失，在新的數(shù)據(jù)包到達交換機時，需要重新安裝新的流表。額外的時間開銷為SDN控制器根據(jù)虛擬網(wǎng)絡(luò)拓撲描述執(zhí)行查找操作的時間以及安裝流表的時間。同時在一定時間內(nèi)，地址變換的頻率越高，重新安裝流表的次數(shù)越多，造成的額外時間開銷也就越大。分析實驗結(jié)果可以發(fā)現(xiàn)，地址變換造成的額外開銷較小，這是因為IP隨機化地址是在虛擬網(wǎng)絡(luò)拓撲的基礎(chǔ)上實現(xiàn)的，系統(tǒng)的額外開銷要小于單獨使用虛擬網(wǎng)絡(luò)拓撲和IP隨機化造成的系統(tǒng)開銷的總和。

4.3 基于網(wǎng)絡(luò)殺傷鏈模型的有效性評估

洛克希德-馬丁公司提出網(wǎng)絡(luò)殺傷鏈來描述網(wǎng)絡(luò)入侵活動。該模型將網(wǎng)絡(luò)入侵分為七個階段，分別為偵查、武器化、投送、漏洞利用、安裝、命令與控制、控守目標(biāo)，越早打斷網(wǎng)絡(luò)殺傷鏈就能越有效地阻止網(wǎng)絡(luò)攻擊。本節(jié)根據(jù)一個網(wǎng)絡(luò)攻擊實例，使用網(wǎng)絡(luò)殺傷鏈模型來分析MTD增強的網(wǎng)絡(luò)欺騙防御系統(tǒng)的有效性。攻擊者已經(jīng)獲取DMZ中某臺服務(wù)器的管理員權(quán)限，并以此為跳板探測內(nèi)網(wǎng)，并進行橫向滲透，目的為獲取內(nèi)網(wǎng)中數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)資源。

在偵查和武器化階段，攻擊者需要識別和確定目標(biāo)，并根據(jù)目標(biāo)的環(huán)境信息決定采取的方法。本系統(tǒng)在此階段通過創(chuàng)建虛擬網(wǎng)絡(luò)拓撲延長攻擊者的偵查時間，并通過誘餌節(jié)點提供虛假服務(wù)，誤導(dǎo)攻擊者武器的研制以挫敗攻擊。

在投送、漏洞利用和安裝階段，攻擊者要將生成的攻擊代碼發(fā)送到目標(biāo)主機并運行以建立初步的立足點。本系統(tǒng)在此階段通過IP隨機化技術(shù)改變目標(biāo)主機的IP地址，使得攻擊代碼被投送到錯誤的目標(biāo)。

在命令控制和控守目標(biāo)階段，攻擊者控制系統(tǒng)以作為跳板進一步滲透或獲取系統(tǒng)上的資源。本系統(tǒng)在此階段通過誘餌節(jié)點使得攻擊者獲取欺騙性數(shù)據(jù)資源或通過IP隨機化技術(shù)破壞攻擊者與目標(biāo)主機的連接。

5 結(jié)束語

本文提出一個MTD增強的網(wǎng)絡(luò)欺騙系統(tǒng)來防御內(nèi)網(wǎng)偵查。針對的目標(biāo)為利用門戶網(wǎng)站的漏洞已入侵目標(biāo)網(wǎng)絡(luò)中一個主機并進行內(nèi)網(wǎng)橫向滲透的攻擊者。系統(tǒng)的防御方法為對其顯示一個與真實網(wǎng)絡(luò)完全不同的虛擬網(wǎng)絡(luò)拓撲，混淆攻擊者通過探測獲取的目標(biāo)網(wǎng)絡(luò)信息，從而增加攻擊者探測到真實脆弱性主機的時間，同時動態(tài)變換虛擬網(wǎng)絡(luò)拓撲中節(jié)點的IP地址，使攻擊者在一段時間內(nèi)獲取的信息失效，降低攻擊者攻擊成功的概率。最后基于Mininet和POX控制器實現(xiàn)網(wǎng)絡(luò)欺騙原型系統(tǒng)，并通過對比實驗對系統(tǒng)進行評估。評估實驗結(jié)果表明，該系統(tǒng)能夠有效地防御網(wǎng)絡(luò)偵查攻擊，同時具有可接受的系統(tǒng)性能開銷。