基于移動目標防御信號博弈的容器遷移策略

摘 要：容器作為虛擬機的輕量級替代產品，以其靈活、高效的特點促進了云計算的發展，但同時也面臨著同駐攻擊、逃逸攻擊等安全威脅。針對云環境中的容器安全威脅，構建了基于移動目標防御的信號博弈模型，并提出了多階段最優防御策略求解算法，通過博弈模型和求解算法選取最優策略，同時通過容器調度方法對容器進行調度，可以增強容器安全性。仿真實驗結果表明，提出的遷移策略獲取的防御收益相較于Kubernetes自帶遷移策略提升了3.6倍，同時容器同駐率降低了79.62%，對現實容器云環境下的防御策略選取和安全性增強具有一定的借鑒意義。

關鍵詞：容器云；移動目標防御；信號博弈；容器調度；容器安全

中圖分類號：TP309 文獻標志碼：A

文章編號：1001－3695（2023）03－041－0890－08

doi：10.19734/j.issn.1001-3695.2022.06.0338

Container migration strategy based on moving target defense signaling game

Liu Daoqing，Hu Hongchao，Huo Shumin

（Institute of Information Technology，University of Information Engineering，Zhengzhou 450001，China）

Abstract：As a lightweight alternative product of virtual machine，container technology promotes the development of cloud computing with its flexible and efficient characteristics.But it also suffers various security threats，such as co-residency attack，escape attack and so on.Aiming at promoting the container security level in the cloud environment，this paper constructed a signaling game model based on moving target defense（MTD） ，and proposed a multi-stage optimal defense strategy solution algorithm.The container security could be enhanced by scheduling the container through the optimal strategy and container scheduling method.The simulation results show that the defense utility obtained by the proposed migration strategy is 3.6 times higher than that of Kubernetes’ native migration strategy，and the container co-residency rate is reduced by 79.62%，which has a valuable referenced significance for the selection of defense strategy and security enhancement in the real container cloud environment.

Key words：container cloud；moving target defense；signaling game；container scheduling；container safety

0 引言

隨著虛擬化技術的不斷發展，云計算時代使用虛擬化技術的大量應用面臨巨大挑戰，使用多個云容器應用的云環境成為攻擊者的主要目標之一。容器技術是一種基于操作系統的隔離技術，是當下大規模集群中資源共享隔離的重要解決方案。容器以其輕量化、啟動速度快等特點促進了云計算的快速發展，如今許多企業都把容器技術作為主要的虛擬化技術［1］。但同時容器云環境中攻防對抗呈現易攻難守的問題，攻防雙方信息不對稱，攻擊者具有時間優勢、成本優勢等。近年來，云計算領域頻繁爆發容器安全事件，容器安全形勢十分嚴峻［2］。攻擊者可以利用未隔離的偽文件系統獲取宿主機相關信息，造成宿主機信息泄露［3］。同時，泄露的信息可能引發惡意的容器同駐對同駐合法容器服務構成嚴重的安全威脅，甚至引起容器逃逸，嚴重威脅宿主機安全［4］。容器安全問題嚴重影響了容器技術的推廣和發展，亟待尋找安全高效的防護策略。

移動目標防御（MTD）作為主動防御技術扭轉了攻防雙方的信息不對稱，其核心思想是利用動態性和多樣性構建一種隨時間變化的機制和策略，動態改變系統的攻擊面，增加網絡攻擊的復雜度和成本，從而達到降低給定時間內攻擊成功率的目的［5］。選取高效的防御策略可以有效地提升防御效能，同時這也是目前移動防御領域研究的重點。基于MTD的容器安全策略一定程度上增強了容器安全性［6～8］，同時結合容器輕量級、靈活性的特點，在用戶無感的情況下實現在多個異構系統上的實時遷移［9～14］，效果顯著，但它未充分考慮容器云環境下攻防雙方特點的情況下濫用MTD技術，反而會增加系統開銷和防御成本，進而降低容器云服務質量。如在多個關聯的容器服務中，隨意改變容器數據流的傳輸方式會導致系統無法正常使用容器資源。因此，在攻防過程中合理地實施MTD策略是研究的熱點。

容器云環境安全的本質是攻防對抗，容器云環境中攻擊和防御機制之間的交互可以視為攻擊者和防御者（系統管理員）之間的博弈，通過博弈過程分析攻防雙方的交互，選取最優的攻防策略可以有效提升容器網絡的安全性［15，16］。同時，容器云環境中攻擊者對容器進行攻擊成本相對較低，呈現出攻擊者數量相對較多、攻擊存在多階段的特點。將博弈論應用于容器云環境安全需要結合容器云環境特性，同時綜合考慮容器服務性能，具有一定的難度和挑戰。基于完全信息靜態博弈、完全信息動態博弈［17］的MTD策略考慮到攻防雙方的持續性和動態性，給出了攻防雙方的博弈策略［18，19］。但其對前提條件要求比較嚴格，不能完全適應容器云環境的復雜攻防場景。不完全信息靜態博弈和不完全信息動態博弈［17］的MTD策略可以適應相對復雜的攻防場景。文獻［20］提出了一種多階段信號博弈最優策略選取方法，能夠應對復雜場景，但未能充分利用容器云環境特點部署高效的防御策略。文獻［21］提出了一種基于信號博弈的容器遷移與蜜罐部署策略，并對攻防模型進行均衡分析以確定最優的欺騙策略。文獻［22］提出了一種基于博弈論的網絡空間擬態防御最優策略。文獻［23］提出容器云中基于Stackelberg博弈的動態異構調度方法，通過Stackelberg博弈實現動態異構調度，一定程度上增強了容器安全性。但上述方法對多階段信號博弈和復雜容器云攻防場景未進行分析并部署相應的策略。

本文充分考慮容器云環境的特點，針對容器同駐、容器逃逸、容器共模攻擊等容器安全威脅，構建多階段不完全信息動態博弈模型，通過基于移動目標防御的多階段信號博弈最優防御策略選取算法選取最優防御策略，并通過容器調度方法部署最優防御策略，增強容器安全性。

本文的貢獻如下：a）將容器云環境攻防過程建模為多階段不完全信息動態博弈過程；b）提出一種基于移動目標防御的多階段信號博弈最優防御策略選取算法，并通過算法選取最優防御策略，可以對容器調度進行指導，提高容器安全性；c）通過仿真實驗，驗證了基于移動目標防御信號博弈的容器遷移策略對提升容器安全的有效性。

1 威脅模型

本文假設容器云平臺和服務提供商是可信的。攻擊者的主要目標是滲透到容器云環境中獲取云應用的主要數據，如業務流數據、控制流數據、網絡接口信息、網絡拓撲結構、網絡數據包等，并通過獲取的數據對云應用進行攻擊。如圖1所示，在容器云環境中，云應用部署在計算節點上，容器作為運行程序的虛擬環境，本文假設容器云環境中服務層和虛擬化層具有一些可以被攻擊者利用的漏洞。

攻擊的行為描述如下：

a）攻擊目標。攻擊者通過網絡嗅探等方式獲取云應用的主要數據，并利用容器云環境中服務層和虛擬化層的漏洞攻擊目標云應用。

b）攻擊過程。如圖2所示，攻擊者通過網絡嗅探工具獲取云應用的部分信息，并利用云應用的漏洞進行攻擊，控制部分云容器。攻擊者通過控制的云容器對同駐的目標云容器進行攻擊，進而獲取目標云容器的相關信息，并進一步控制目標云容器。同時攻擊者可以通過控制的云容器對指定的目標云容器發動DoS攻擊，影響目標云容器的服務。

c）攻擊者的能力。一般來說，強大的攻擊者可以同時攻擊多個目標，并通過受損的目標繼續攻擊過程，直到達到最終目標。具體而言，本文根據圖1中目標所在的服務層和虛擬化層確定攻擊者的能力。

（a）服務層。攻擊者可以通過網絡攻擊工具，利用云應用的漏洞對云應用進行攻擊，進一步訪問服務層的服務實例，繼續其攻擊。攻擊者通過利用服務實例的依賴關系對其他服務實例進行攻擊，這里主要指對其他正常容器進行攻擊。

（b）虛擬化層。由于虛擬化層網絡隔離的限制，攻擊者可以對訪問的云應用執行攻擊過程，進一步影響同一節點的其他應用程序，甚至實現容器逃逸，威脅節點主機安全。

此外，攻擊者也受到一定的限制。本文假設攻擊者不知道云服務的配置細節，包括云服務的編排、云服務在云環境中的位置、服務的副本數量、副本類型及云服務的調度策略和每個容器的安全配置細節。

2 防御策略

本章主要介紹了針對威脅模型的容器安全防御策略，主要包括容器異構、容器遷移、IP跳變。

2.1 容器異構

容器異構包括基于硬件指令集異構、基于操作系統的異構、基于容器運行時異構和基于應用程序異構。

基于硬件指令集異構是指通過等價結構異構的裸金屬服務器實現容器異構。如今，隨著集成電路和芯片技術的迭代發展，計算機領域和嵌入式領域等出現了大量的等價結構的指令集異構商品，如X86、ARM、MIPS等。

基于操作系統的異構是將容器運行在不同的操作系統中實現異構。基于操作系統的異構容器可以有效地預防基于操作系統級別的漏洞共模攻擊。常見的操作系統有嵌入式操作系統、類UNIX系統、Windows系統、macOS系統等。通過將容器運行在不同的操作系統中，實現容器基于操作系統的異構。

基于容器運行時的異構是將容器運行在不同的容器運行時下實現異構。容器運行時定義為能夠基于在線獲取的鏡像來創建和運行容器的程序。隨著容器云的不斷發展，也產生了許多容器運行時，如Docker、Containerd、Kata等。

基于應用程序異構是指應用通過不同的編譯語言、不同的邏輯結構等實現相同功能的異構方式。

2.2 容器遷移

容器遷移是指將容器從一個節點遷移到另一個節點的過程。通過容器遷移將一個容器遷移到另一個節點，可以有效阻斷容器同駐攻擊，預防攻擊者對容器實施進一步攻擊。容器遷移引用了MTD技術，通過動態性增加攻擊者的攻擊難度。同時由于容器輕量級的特點，可以通過容器遷移在增加系統少量開銷的情況下，增強容器的安全性。

容器遷移通過動態性可分為靜態遷移和實時遷移。靜態遷移指容器在不運行的狀態下對容器進行遷移。實時遷移是指客戶端訪問不中斷的情況下移動應用程序實例實現容器遷移。根據遷移狀態分為有狀態遷移和無狀態遷移。有狀態遷移是指不改變容器原有服務數據的情況下實現的遷移。無狀態遷移是指容器遷移過程改變了容器原有的服務數據。

本文按照容器遷移頻率將容器遷移分為高頻率遷移和低頻率遷移。本文定義的頻率根據實際應用場景進行區分。高頻率遷移具有較高的動態性，使得攻擊者只能在極短的時間內實現完成攻擊容器的過程，但同時也給系統帶來了額外的開銷。低頻率遷移在只增加系統少量開銷的情況下實現容器遷移，在增加攻擊者部分挑戰的同時也給系統帶來了少量額外的開銷。

2.3 IP跳變

對IP地址和端口進行掃描是絕大多數網絡攻擊的先決條件，攻擊者通過獲取容器IP來對容器發起網絡攻擊。IP跳變可以有效預防針對IP地址的攻擊。通過IP跳變可以增加容器動態性，轉移攻擊的目標，增加攻擊者的難度，達到增強容器安全性的目的［24］。

本文按照容器IP跳變頻率將容器IP跳變分為高頻率IP跳變和低頻率IP跳變。容器IP跳變頻率根據實際應用場景進行區分。高頻率IP跳變具有較高的動態性，低頻率IP跳變具有較低的動態性。

3 博弈模型

本章主要針對威脅模型，通過容器異構、容器遷移和IP跳變形成防御策略，通過構建移動目標防御信號博弈模型，結合精煉貝葉斯均衡求解算法選取最優防御策略，并根據最優防御策略構建容器調度模型。

3.1 博弈模型定義

上述條件式（4）表示攻擊者根據后驗概率和防御者發出的防御信號計算得出的最優攻擊策略；條件式（5）是攻防雙方在完全理性的條件下，防御者根據攻擊者的最優攻擊策略選擇的防御空間下的最優防御信號；條件式（6）是攻擊者根據貝葉斯法則修正得到后驗概率的過程。

3.5 博弈均衡分析

本節對信號博弈的均衡策略進行分析，本文采用移動目標防御的信號博弈模型，采用精煉貝葉斯均衡選取攻防策略。精煉貝葉斯均衡是不完全信息動態博弈的均衡，對移動目標防御的信號博弈模型可以劃分為混同均衡、分離均衡和準分離均衡三類。本節主要對混同均衡和分離均衡進行分析。

算法流程如圖3所示，初始化完成后，程序進入循環階段，防御者以自然概率p（tid）選取防御類型，攻擊者根據網絡嗅探結果并結合攻擊者的能力和經驗形成先驗信念集合。防御者根據防御類型選擇發送誘導信號。攻擊者探測到誘導信號后結合先驗信念集合形成后驗信念集合，攻擊者計算攻擊收益并選取最優攻擊策略，防御者計算防御收益并選取最優防御策略。攻擊者計算后驗概率推斷并根據后驗概率推斷更新信念集合。判斷是否達到精煉貝葉斯均衡條件，如果達到條件，則輸出此階段博弈均衡的攻防策略集合；否則重新計算防御策略直到滿足均衡條件。判斷是否為攻擊者放棄攻擊、攻擊者達到攻擊目的和防御者成功防御所有攻擊三種情況。如果為真，則循環結束并退出程序；如果為假，則進入下一階段，并根據上一階段的均衡結果防御者結合入侵檢測系統結果更新防御類型空間概率集合、防御類型空間的防御策略概率集合，攻擊者結合網絡嗅探結果和攻擊者能力和經驗更新攻擊者的先驗信念集合。

最優策略選取算法的時間復雜度主要取決于精煉貝葉斯均衡求解的計算過程。本文防御類型空間和防御信號空間的大小都為4，攻擊策略集合大小為4，防御策略集合大小為8，由動態博弈理論［31］可得一個階段計算精煉貝葉斯均衡的時間復雜度為144，儲存空間的使用主要集中在策略收益和中間值求解，計算空間復雜度為32。

本文給出的多階段最優防御策略選取算法和其他文獻的比較結果如表1所示。

3.7 容器調度方法

本文針對威脅模型，構建多階段不完全信息動態博弈模型，通過基于移動目標防御的多階段信號博弈最優防御策略選取算法選取最優防御策略，并通過容器調度方法實現容器調度。容器調度方法如圖4所示。最優防御策略選取算法和精煉貝葉斯均衡求解獲得的最優防御信號和最優防御策略集合通過容器調度層發送并對容器進行調度。如圖4所示，容器調度層對容器A進行調度，停止容器A的運行并從異構資源池獲取異構鏡像，啟動新的容器A。容器調度層對容器C進行調度，容器C通過IP跳變轉換形成新的IP地址。容器調度層對容器E進行調度，容器E通過容器遷移運行在新的節點上。

4 仿真實驗結果分析

4.1 仿真環境描述

為驗證移動目標防御信號博弈模型、多階段最優防御策略選取算法和容器調度模型對威脅模型的有效性，本文構建了云環境集群網絡開展仿真實驗。

云環境集群包括四臺x86服務器（28 cores 2.00 GHz，10 GB NIC）和兩臺ARM服務器（16 cores 2.00 GHz，32 GB RAM）。其中x86服務器，一臺用來作為集群的master節點，三臺用來作為集群的node節點，計算節點中兩臺服務器安裝CentOS 7操作系統，一臺服務器安裝Ubuntu操作系統；兩臺ARM服務器作為集群node節點，安裝CentOS 7操作系統。采用Kubernetes管理容器云平臺，采用Docker和Containerd兩種容器運行時環境，Docker和Containerd鏡像倉庫中都存放異構鏡像。容器云環境中業務面部署Nginx服務器為工作負載服務器，通過Apache部署Java應用提供服務，其中使用MySQL作為Java應用的數據庫。控制面使用Kubernetes對容器進行調度。采用博弈模型實驗仿真使用MATLAB R2018a。

4.2 信號博弈模型收益計算

本文假設攻擊者有兩種攻擊模式：a）隨機攻擊，即攻擊者無視防御者發送的信號進行攻擊；b）最優攻擊策略攻擊，即攻擊者探測防御者發送的信號并更新信念集合，根據攻擊收益選取最優攻擊策略。同樣，假設防御者也有兩種防御模式：a）系統防御，即防御者隨機發送信號并按照系統調度采取防御策略進行防御，同時防御者不根據攻擊者的行為動態改變防御策略；b）本文提出的基于信號博弈的最優防御策略防御，即防御者根據博弈模型計算出防御收益，并根據防御收益選取最優防御信號和最優防御策略，同時動態更新防御策略。

根據假定的攻擊者和防御者攻防模式，共有隨機攻擊和系統防御、隨機攻擊和基于信號博弈的最優防御策略防御、最優攻擊策略攻擊和系統防御、最優攻擊策略攻擊和基于信號博弈的最優防御策略防御四種。本文主要對后面三種組合進行分析。

隨機攻擊和基于信號博弈的最優防御策略防御，第一階段防御者以概率p（tid）選取防御類型，并隨著博弈階段數的增加，修改防御類型概率，攻擊者多階段隨機采取攻擊策略攻擊。最優攻擊策略攻擊和系統防御，防御者按照系統調度采取防御策略，多階段不改變防御者的防御類型概率，攻擊者隨著攻擊階段數的增加不斷更新對防御者類型空間和防御策略的信念集合，并采取對應的策略進行攻擊。多階段最優攻擊策略攻擊和基于信號博弈的最優防御策略防御組合，第一階段攻防過程具體如下。

上述仿真實驗設置的容器云環境防御策略集合中異構遷移主要有三種：a）指令集異構遷移，主要為ARM服務器和x86服務器之間的異構遷移；b）容器運行時異構遷移，主要為Docker和Containerd之間的異構遷移；c）操作系統異構遷移，主要為CentOS 7和Ubuntu操作系統之間的異構遷移。同構遷移分為兩種：a）高概率同構遷移，指容器在單位時間內以較高的概率進行遷移；b）低概率同構遷移，指容器在單位時間內以較低的概率進行遷移。這里初始化后，假設容器單位時間內平均遷移次數mt∈［0，4），當mt∈［2，4）為較高概率進行遷移，當mt∈［0，2）為較低概率進行遷移。其他場景的具體情況根據用戶需求進行設定。同理不遷移IP跳變分為兩種：a）高概率IP跳變，指容器在單位時間內以較高的概率進行IP跳變；b）低概率IP跳變，指容器在單位時間內以較低的概率進行IP跳變。這里初始化后，假設容器單位時間內平均IP地址轉換次數iptt∈［0，10），當iptt∈［5，10）為較高概率進行遷移，當iptt∈［0，5）為較低概率進行遷移。其他場景的具體情況根據用戶需求進行設定。容器不遷移不進行IP跳變指容器以原來的方式繼續運行。

4.3 實驗結果與分析

本文對單階段攻防博弈進行仿真實驗，結果如圖6所示。圖中給出了不同防御類型空間概率下，隨機攻擊、最優化攻擊、系統防御、本文方法防御在40次攻擊［23］下攻防雙方的平均收益對比。其中防御空間概率是指在信號博弈模型下防御者選取防御類型的概率p（tid）。隨機攻擊，攻擊者會以自然概率選取攻擊者策略。系統防御，防御者會按照系統指定方案選取防御策略和調度容器。圖6（a）～（c）中本文方法防御下，防御者通過防御誘導信號誘導攻擊者進行攻擊，并以較大概率選取遷移容器或IP跳變的策略，同時也可以發送錯誤的信號擾亂攻擊者的行為，因此防御者的防御收益維持在較高水平。圖6（d）中本文方法防御下，防御者以較大概率選擇容器不遷移不進行IP跳變，攻擊者會以較大概率攻擊原容器和原IP地址，因此最優化攻擊的平均收益大于本文博弈策略的平均防御收益。根據在40次攻擊下系統防御和本文方法防御的防御收益對比計算結果分析得出，圖6（a）防御空間概率下平均每次攻擊本文方法防御相比于系統防御提高了2.3倍，圖6（b）防御空間概率下相比于系統防御提高了2倍，圖6（c）防御空間概率下相比于系統防御提高了1.6倍，圖6（d）防御空間概率下相比于系統防御提高了40.39%。

本文對多階段攻防博弈進行仿真實驗，結果如圖7所示。圖中給出了攻防博弈40階段的隨機攻擊和最優化攻擊收益對比、系統防御和本文方法防御的防御收益對比，以及最優化攻擊和本文方法防御的攻防收益對比。其中假設第一階段本文方法防御下防御類型的概率p（tid）=（0.3，0.2，0.4，0.1）。

圖7（a）中，攻擊者能力強且具有后手優勢，會更傾向于使用最優化攻擊，攻擊者通過多階段攻擊不斷更新自己的信念集合，使得攻擊收益維持在較高水平。圖7（b）中，系統防御，防御者以固定概率選取防御策略，并且不動態更新防御策略，攻擊者通過多階段攻擊，不斷更新信念集合，判斷防御者的類型，并根據防御類型進行攻擊，使得防御者的收益不斷下降并可能使得攻擊者攻擊成功。本文方法防御，防御者根據防御類型發送誘導信號誘導攻擊者進行攻擊，并采取對應的防御策略進行防御，同時以一定概率發送錯誤的信號擾亂攻擊者的行為。為使得攻擊者更相信防御者發送的誘導信號，防御者根據信號模型計算判斷攻擊者的信念集合，當攻擊者以較小概率相信防御者發送的誘導信號時，防御者發送正確的信號，誘導攻擊者繼續跟隨防御者。當攻擊者以較大概率相信防御者發送的誘導信號時，防御者發送以一定概率發送正確的信號，同時也可以發送錯誤的誘導信號擾亂攻擊者的攻擊行為。同時防御者通過信號博弈模型計算防御者的防御收益，根據防御收益，動態調整防御類型空間和防御策略，當攻擊者攻擊行為較為強烈時，以較大概率選取動態策略，當攻擊者的行為較為緩和時，以較大概率選取靜態策略，在攻擊者不進行攻擊后，選取靜態策略進行防御，可以在保護容器的前提下，盡可能減少系統開銷。根據攻防博弈40階段系統防御和本文方法防御的防御收益對比計算結果分析得出，平均每階段本文方法防御相比于系統防御提高了3.6倍。

本文對多階段攻防博弈容器同駐率進行檢測，通過在云環境集群5個計算節點中部署40個MySQL容器進行測試，其中2個容器為關鍵容器，5個容器為攻擊者控制的惡意容器，通過10次部署測試求得惡意容器與關鍵容器的平均同駐率，實驗結果如圖8所示。圖中給出了本文方法防御和系統防御的平均容器同駐率對比。由于系統防御中防御者在攻防博弈階段不會動態改變防御策略，所以平均容器同駐率未改變。本文方法防御策略中，防御者在攻防博弈階段根據攻擊者的行為動態改變防御策略，以一定概率對關鍵容器進行遷移，使得平均容器同駐率不斷降低。系統防御中惡意容器一定概率會和關鍵容器同駐，攻擊者可以利用同駐容器發動攻擊，威脅容器安全。本文方法防御，防御者動態改變防御策略，通過容器遷移不斷降低容器同駐概率，預防攻擊者通過惡意容器對關鍵容器發動進一步的攻擊，增強了容器的安全性。根據攻防博弈40階段系統防御和本文方法防御的容器同駐率對比分析得出，平均每階段本文方法防御相比于系統防御容器同駐率降低了79.62%。

通過對單階段攻防博弈、多階段攻防博弈和容器同駐率檢測數據進行一般性分析，可以得到如下規律：

a）由于攻擊者通過誘導信號可以在減少消耗的情況下更快地判斷出防御類型，所以攻擊者更傾向于相信防御者發送的誘導信號，這也意味著防御者可以通過釋放假的誘導信號擾亂攻擊者的行為。

b）防御者通過誘導信號誘導攻擊者進行攻擊，并部署相關的防御策略應對攻擊者攻擊，一定程度上改變了攻防雙方信息不對稱的特點，提高了防御者的主動性。

c）防御者在多階段攻防博弈中，根據攻擊者的行為動態改變防御策略，達到了在保護容器的前提下盡可能減少系統開銷的目的。

d）防御者在多階段攻防博弈中，通過容器遷移策略降低了容器同駐率，預防攻擊者對容器進行進一步的攻擊，增強了容器的安全性。

4.4 實驗結果分析

本文通過仿真實驗測試多階段最優防御策略選取算法的攻防博弈收益，并通過攻防博弈收益結果結合容器調度方法部署防御策略。實驗結果表明，容器云環境中容器同駐率顯著降低。對于真實容器云環境，通過分析容器云環境的特點，并結合本文提出的最優防御策略選取算法和容器調度方法部署防御策略，一定程度上可以達到降低容器同駐率并增強容器安全性的目的。同時對于復雜容器云環境，可以進行多階段攻防，通過發生誘導信號誘導攻擊者進行攻擊，并提前部署對應的防御策略。

5 結束語

本文針對容器云環境安全威脅，構建了基于移動目標防御的信號博弈模型，并提出了多階段最優防御策略選取算法，通過最優策略和容器調度方法對進行容器調度，增強了容器安全性。本文提出的基于移動目標防御的信號博弈模型和多階段最優防御策略選取算法充分結合容器云環境中攻防雙方信息不對稱、攻防雙方行為異步性等特點，使防御者主動發送誘導信號，并動態改變防御策略，改變了防御者在網絡攻防對抗中被動的局面。同時通過最優防御策略和容器調度方法進行容器調度，提高容器安全性。最后通過仿真實驗進行驗證，實驗結果證明本文所提策略的有效性，對現實容器云環境下的防御策略選取和容器安全性增強具有一定的借鑒意義。未來工作的重點將集中在如何通過真實容器云攻防場景下的測試不斷優化多階段最優防御策略選取算法，并使得容器調度方法具備更廣泛的適應性，以此達到進一步增強容器安全性的目的。

參考文獻：

［1］Pahl C，Brogi A，Soldani J，et al.Cloud container technologies：a state-of-the-art review［J］.IEEE Trans on Cloud Computing，2017，7（3）：677－692.

［2］Sultan S，Ahmad I，Dimitriou T.Container security：issues，challenges，and the road ahead［J］.IEEE Access，2019，7：52976－52996.

［3］邊曼琳，王利明.云環境下Docker容器隔離脆弱性分析與研究［J］.信息網絡安全，2020，20（7）：85－95.（Bian Manlin，Wang Liming.Analysis and research on Docker container isolation vulnerability in cloud environment［J］.Information Network Security，2020，20（7）：85－95.）

［4］Shringarputale S，McDaniel P，Butler K，et al.Co-residency attacks on containers are real［C］//Proc of ACM SIGSAC Conference on Cloud Computing Security Workshop.2020：53－66.

［5］Lu Zhuo.MTD 2019：the 6th ACM workshop on moving target defense［C］//Proc of ACM SIGSAC Conference on Computer and Communications Security.2019：2697－2698.

［6］Jin Hai，Li Zhi，Zou Deqing，et al.DSEOM：a framework for dynamic security evaluation and optimization of MTD in container-based cloud［J］.IEEE Trans on Dependable and Secure Computing，2019，18（3）：1125-1136.

［7］Azab M，Mokhtar B，Abed A S，et al.Toward smart moving target defense for Linux container resiliency［C］//Proc of the 41st Conference on Local Computer Networks.Piscataway，NJ：IEEE Press，2016：619－622.

［8］Kong Tong，Wang Liming，Ma Duohe，et al.ConfigRand：a moving target defense framework against the shared kernel information leakages for container-based cloud［C］//Proc of the 22nd International Confe-rence on High Performance Computing and Communications，the 18th International Conference on Smart City，the 6th International Confe-rence on Data Science and Systems.Piscataway，NJ：IEEE Press，2020：794－801.

［9］Ma Lele，Yi Shanhe，Li Qun.Efficient service handoff across edge servers via docker container migration［C］//Proc of the 2nd ACM/IEEE Symposium on Edge Computing.2017：1-13.

［10］Nadgowda S，Suneja S，Bila N，et al.Voyager：complete container state migration［C］//Proc of the 37th International Conference on Distributed Computing Systems.Piscataway，NJ：IEEE Press，2017：2137－2142.

［11］Xu Bo，Wu Song，Xiao Jiang，et al.Sledge：towards efficient live migration of docker containers［C］//Proc of the 13th International Conference on Cloud Computing.Piscataway，NJ：IEEE Press，2020：321－328.

［12］Benjaponpitak T，Karakate M，Sripanidkulchai K.Enabling live migration of containerized applications across clouds［C］//Proc of IEEE Conference on Computer Communications.Piscataway，NJ：IEEE Press，2020：2529－2538.

［13］Barbalace A，Karaoui M L，Wang Wei，et al.Edge computing：the case for heterogeneous-ISA container migration［C］//Proc of the 16th ACM SIGPLAN/SIGOPS International Conference on Virtual Execution Environments.New York：ACM Press，2020：73－87.

［14］Nider J，Rapoport M.Cross-ISA container migration［C］//Proc of the 9th ACM International on Systems and Storage Conference.New York：ACM Press，2016：article No.24.

［15］Zhu Quanyan，Rass S.Game theory meets network security：a tutorial［C］//Proc of ACM SIGSAC Conference on Computer and Communications Security.New York：ACM Press，2018：2163－2165.

［16］Shiva S，Roy S，Dasgupta D.Game theory for cyber security［C］//Proc of the 6th Annual Workshop on Cyber Security and Information Intelligence Research.New York：ACM Press，2010：1－4.

［17］劉小虎，張恒巍，馬軍強，等.基于攻防博弈的網絡防御決策方法研究綜述［J］.網絡與信息安全學報，2022，8（1）：1-14.（Liu Xiaohu，Zhang Hengwei，Ma Junqiang，et al.A review of network defense decision-making methods based on offense and defense games［J］.Journal of Network and Information Security，2022，8（1）：1-14.）

［18］Manadhata P K.Game theoretic approaches to attack surface shifting［M］//Jajodia S，Ghosh A，Subrahmanian V，et al.Moving Target Defense Ⅱ.New York：Springer，2013：1-13.

［19］Wang Chunlei，Miao Qing，Dai Yiqi.Network survivability analysis based on stochastic game model［C］//Proc of the 4th International Conference on Multimedia Information Networking and Security.Piscataway，NJ：IEEE Press，2012：99-104.

［20］蔣侶，張恒巍，王晉東.基于多階段 Markov 信號博弈的移動目標防御最優決策方法［J］.電子學報，2021，49（3）：527－535.（Jiang Lyu，Zhang Hengwei，Wang Jindong.A Markov signaling game-theoretic approach to moving target defense strategy selection［J］.Acta Electonica Sinica，2021，49（3）：527－535.）

［21］李凌書，鄔江興，曾威，等.容器云中基于信號博弈的容器遷移與蜜罐部署策略［J］.網絡與信息安全學報，2022，8（3）：87－96.（Li Lingshu，Wu Jiangxing，Zeng Wei，et al.Container migration and honeypot deployment strategy based on signal game in container cloud［J］.Journal of Network and Information Security，2022，8（3）：87－96.）

［22］Chen Zequan，Cui Gang，Zhang Lin，et al.Optimal strategy for cyberspace mimic defense based on game theory［J］.IEEE Access，2021，9：68376－68386.

［23］曾威，扈紅超，李凌書，等.容器云中基于Stackelberg博弈的動態異構調度方法［J］.網絡與信息安全學報，2021，7（3）：95-104.（Zeng Wei，Hu Hongchao，Li Lingshu，et al.Dynamic heterogeneous scheduling method based on Stackelberg game in container cloud［J］.Journal of Network and Information Security，2021，7（3）：95-104.）

［24］Jafarian J H，Al-Shaer E，Duan Q.An effective address mutation approach for disrupting reconnaissance attacks［J］.IEEE Trans on Information Forensics and Security，2015，10（12）：2562－2577.

［25］張恒巍，余定坤，韓繼紅，等.基于攻防信號博弈模型的防御策略選取方法［J］.通信學報，2016，37（5）：51－61.（Zhang Hengwei，Yu Dingkun，Han Jihong，et al.Defensive strategy selection method based on offense-defense signal game model［J］.Journal of Communications，2016，37（5）：51－61.）

［26］Lei Cheng，Zhang Hongqi，Wan Liming，et al.Incomplete information Markov game theoretic approach to strategy generation for moving target defense［J］.Computer Communications，2018，116：184-199.

［27］姜偉，方濱興，田志宏，等.基于攻防隨機博弈模型的防御策略選取研究［J］.計算機研究與發展，2010，47（10）：1714-1723.（Jiang Wei，Fang Binxing，Tian Zhihong，et al.Defense strategies selection based on attack-defense game model［J］.Journal of Computer Research and Development，2010，47（12）：1714-1723.）

［28］王元卓，于建業，邱雯，等.網絡群體行為的演化博弈模型與分析方法［J］.計算機學報，2015，38（2）：282－300.（Wang Yuanzhuo，Yu Jianye，Qiu Wen，et al.Evolutionary game model and analysis methods for network group behavior［J］.Chinese Journal of Computers，2015，38（2）：282－300.）

［29］劉江，張紅旗，劉藝.基于不完全信息動態博弈的動態目標防御最優策略選取研究［J］.電子學報，2018，46（1）：82－89.（Liu Jiang，Zhang Hongqi，Liu Yi.Research on optimal strategy selection of dynamic target defense based on incomplete information dynamic game［J］.Journal of Electronic Engineering，2018，46（1）：82－89.）

［30］Huang Shirui，Zhang Hengwei，Wang Jindong，et al.Markov differential game for network defense decision-making method［J］.IEEE Access，2018，6：39621－3963.

［31］Manadhata P K，Wing J M.An attack surface metric［J］.IEEE Trans on Software Engineering，2011，37（3）：371－386.

收稿日期：2022－06－26；修回日期：2022－08－19 基金項目：國家自然科學基金資助項目；國家重點研發計劃基金資助項目

作者簡介：劉道清（1996－），男，湖北十堰人，碩士研究生，主要研究方向為容器云、移動目標防御（qlink_yiye@163.com）；扈紅超（1982－），男，河南商丘人，研究員，博導，主要研究方向為網絡空間安全、網絡主動防御；霍樹民（1985－），男，山西長治人，副研究員，博士，主要研究方向為網絡空間安全、人工智能安全．