移動(dòng)目標(biāo)防御(MTD)關(guān)鍵技術(shù)研究

唐秀存，許 強(qiáng)，史大偉，徐良華

(江南計(jì)算技術(shù)研究所，江蘇 無錫 214083)

?

移動(dòng)目標(biāo)防御(MTD)關(guān)鍵技術(shù)研究

唐秀存，許 強(qiáng)，史大偉，徐良華

(江南計(jì)算技術(shù)研究所，江蘇 無錫 214083)

移動(dòng)目標(biāo)防御(Moving Target Defense，MTD)技術(shù)是近年來網(wǎng)絡(luò)空間中“改變游戲規(guī)則”的革命性技術(shù)之一。它與以往的網(wǎng)絡(luò)安全技術(shù)完全不同，變被動(dòng)防御為主動(dòng)防御，其系統(tǒng)和網(wǎng)絡(luò)狀態(tài)隨著時(shí)間、空間以及物理環(huán)境等多個(gè)維度的變化而不斷改變，從而增加入侵者的入侵難度，有效限制己方漏洞暴露的概率。因此，移動(dòng)目標(biāo)防御將成為未來網(wǎng)絡(luò)安全防護(hù)技術(shù)的重點(diǎn)發(fā)展方向。綜合研究了MTD主要關(guān)鍵技術(shù)及其發(fā)展脈絡(luò)，通過比較分析，提出了目前關(guān)鍵技術(shù)的優(yōu)缺點(diǎn)，并結(jié)合網(wǎng)絡(luò)技術(shù)的演化展望了MTD技術(shù)的發(fā)展前景。

移動(dòng)目標(biāo)防御；指令集隨機(jī)；開放流隨機(jī)主機(jī)突變；突變網(wǎng)絡(luò)；軟件多態(tài)

0 引言

隨著互聯(lián)網(wǎng)的普及，爆發(fā)了一系列的網(wǎng)絡(luò)安全事件，如震網(wǎng)、火焰、杜克、高斯、沙蒙、迷你火焰等等。這些安全事件對個(gè)人、組織的信息安全甚至是國家網(wǎng)絡(luò)空間安全都造成了嚴(yán)重的威脅，因而網(wǎng)絡(luò)安全問題越來越受到人們的關(guān)注。

傳統(tǒng)的網(wǎng)絡(luò)威脅主要通過網(wǎng)絡(luò)監(jiān)聽(Network Sniffing Attack)、拒絕服務(wù)(Denial of Service)、重放及中間人攻擊(Man-in-the-Middle，MIMT)等方式。針對上述幾種網(wǎng)絡(luò)威脅，人們采取了信息加密、網(wǎng)絡(luò)防火墻、入侵防護(hù)(IPS)及蜜罐和蜜網(wǎng)等網(wǎng)絡(luò)安全防御技術(shù)降低威脅發(fā)生的概率[1]。

然而，上述防御技術(shù)都是基于靜態(tài)網(wǎng)絡(luò)配置下的，即網(wǎng)絡(luò)中的節(jié)點(diǎn)地址、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議等均固定不變，這些配置信息一旦被入侵者搜集得到，就可以根據(jù)網(wǎng)絡(luò)特點(diǎn)有針對性地入侵，達(dá)到事半功倍的效果[2]。為了改變這種靜態(tài)防御的被動(dòng)性，有學(xué)者提出了移動(dòng)目標(biāo)防御(Moving Target Defense，MTD)的概念。MTD被美國科學(xué)技術(shù)委員會譽(yù)為網(wǎng)絡(luò)空間改變游戲規(guī)則的革命性技術(shù)之一。在MTD的概念中，并不追求建立一種完美無瑕的系統(tǒng)來對抗入侵，相反，移動(dòng)目標(biāo)防御的思路是：構(gòu)建、評價(jià)和部署機(jī)制及策略是多樣的、不斷變化的，這種不斷變化的思路可以增加攻擊者的攻擊難度及代價(jià)，有效限制脆弱性暴露及被攻擊的機(jī)會，提高系統(tǒng)的彈性[3]，其最終目的就是通過移動(dòng)需要保護(hù)的網(wǎng)絡(luò)達(dá)到防御入侵的目的。所謂的移動(dòng)，包含了跳變、躲避、滾動(dòng)等多種含義，將這些行為統(tǒng)稱為移動(dòng)。

移動(dòng)目標(biāo)防御的目的是為了構(gòu)建一種動(dòng)態(tài)的，能夠融合多種網(wǎng)絡(luò)結(jié)構(gòu)并有效運(yùn)行的不確定網(wǎng)絡(luò)來增加入侵的難度。其已經(jīng)脫離了傳統(tǒng)意義上的網(wǎng)絡(luò)安全方法，采用了一些通信中的方法來解決網(wǎng)絡(luò)安全問題。在移動(dòng)目標(biāo)防御中，網(wǎng)絡(luò)的狀態(tài)不僅與網(wǎng)絡(luò)的配置相關(guān)，而且會隨著時(shí)間、空間以及物理環(huán)境的變化而變化，因而大大增加了入侵難度。

1 MTD關(guān)鍵技術(shù)

圖1 MTD關(guān)鍵技術(shù)分層結(jié)構(gòu)

與移動(dòng)目標(biāo)防御類似的思想早在十多年前就已經(jīng)被提出來了，直到2010年左右才由美國政府大力提倡，主要是因?yàn)榻?jīng)過了十多年的研究以及新技術(shù)的發(fā)展，MTD技術(shù)在理論和實(shí)踐方面都取得了較大的進(jìn)步。為系統(tǒng)地了解MTD技術(shù)的發(fā)展，本文從網(wǎng)絡(luò)層、IP層、數(shù)據(jù)與指令層及軟件應(yīng)用層四個(gè)層面(如圖1所示)對現(xiàn)有的MTD關(guān)鍵技術(shù)進(jìn)行了梳理。其中數(shù)據(jù)與指令層包含了主機(jī)的數(shù)據(jù)存儲與指令集的隨機(jī)化，IP層包括IP地址和端口地址的隨機(jī)化，網(wǎng)絡(luò)層包括網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)服務(wù)的隨機(jī)化，應(yīng)用層指的是利用軟件的多樣化技術(shù)進(jìn)行移動(dòng)目標(biāo)防御。

1.1 數(shù)據(jù)與指令層

指令集隨機(jī)化是一種通過掩蓋目標(biāo)的指令集應(yīng)對代碼注入攻擊的MTD方法，它最早是由Gaurav等人于2003年提出來的，其最初目的是為了對抗代碼注入入侵。他們通過硬件仿真實(shí)現(xiàn)了指令集隨機(jī)化技術(shù)，并證明了指令集隨機(jī)化技術(shù)在Perl和SQL中的適用性。與此同時(shí)，Barrantes等人提出了隨機(jī)指令集仿真(RISE)技術(shù)，它通過一個(gè)隨機(jī)化的序列與程序中的每一個(gè)指令異或，得到一個(gè)隨機(jī)化的指令集，在程序執(zhí)行的時(shí)候再通過解異或從而得到真實(shí)的指令。由于代碼注入攻擊并不知道隨機(jī)密鑰，因而并不能做出具有同樣功能的行為[4]。隨后，在2006年，Hu等人利用128位的AES加密方法對程序塊加密實(shí)現(xiàn)了指令集的隨機(jī)化，這是一種用程序塊的加密替代異或操作的方法。這種方法是建立在虛擬環(huán)境之上的，不支持自修改代碼，而且生成的隨機(jī)化二進(jìn)制文件比原始版本有明顯的增加。

在2008年，Stephen等人提出了一種更通用的指令集隨機(jī)化方法，通過隨機(jī)化系統(tǒng)的指令，不論采用什么注入方法，由入侵者注入的外來代碼均不會被執(zhí)行。這種方法不僅能防御棧溢出和堆溢出，而且能防御任何形式的遠(yuǎn)程代碼注入。

隨機(jī)化指令集不僅能夠阻止代碼注入攻擊，而且能夠降低網(wǎng)絡(luò)蠕蟲利用某一漏洞進(jìn)行大規(guī)模擴(kuò)散的可能性(惡意代碼必須知道隨機(jī)化的方法才能實(shí)現(xiàn)代碼的注入)。需要注意的是，隨機(jī)化的密鑰的長度取決于底層的處理器，而周期性地改變隨機(jī)化的密鑰能夠更加有效地降低被入侵的概率。與其他方法相比，Stephen等人提出的通用的指令集隨機(jī)化方法對各種應(yīng)用程序、編程語言和編譯器更加透明，在不修改應(yīng)用程序、編程語言和編譯器的條件下，能夠以較小的代價(jià)取得較好的性能。然而，由于Stephen等人提出的方法需要隨機(jī)化系統(tǒng)的指令，因而需要硬件的支持，但是目前大多數(shù)的硬件并不允許任意地使用系統(tǒng)指令；同時(shí)，這種方法在鏈接和調(diào)試的時(shí)候也需要較多的資源。

地址模糊是數(shù)據(jù)和指令隨機(jī)化的另一種方式，地址空間隨機(jī)化或地址空間布局隨機(jī)化(Address Space Randomization or Address Space Layout Randomization，ASLR)是地址模糊的典型代表。其基本思想是將目標(biāo)在內(nèi)存中的存儲地址隨機(jī)化，從而使得入侵者在知道目標(biāo)地址后依然無法成功入侵，最后達(dá)到阻止入侵的目的。在2000年，PaX團(tuán)隊(duì)就在Linux操作系統(tǒng)上實(shí)現(xiàn)了ASLR技術(shù)[5]，隨后，眾多研究人員在主流的操作系統(tǒng)(Windows、Mac OS)上均實(shí)現(xiàn)了這一技術(shù)。最簡單的ASLR技術(shù)僅僅只隨機(jī)化目標(biāo)的基地址，在2003年，Sandeep等人通過同時(shí)隨機(jī)化基地址和偏移地址達(dá)到更好的效果。Crispin 等人在2003年提出了一種基于異或的數(shù)據(jù)存儲隨機(jī)化算法，其基本思想是通過將指針值與一個(gè)隨機(jī)鍵值異或后的值存儲在內(nèi)存中，當(dāng)寄存器需要指針值時(shí)，再通過異或關(guān)系求出指針的真實(shí)值。這種方法通過擴(kuò)展GCC編譯實(shí)現(xiàn)，其實(shí)質(zhì)是在編譯的時(shí)候注入必須的指令。但是這種方法并不能針對無指針條件下的攻擊。Xu等人在2003年提出了利用可控的數(shù)據(jù)隨機(jī)來阻止入侵的方法，它利用擴(kuò)展的編譯器實(shí)現(xiàn)了函數(shù)指針和返回地址的模糊。Cadar等人在2008年提出了一種更通用的技術(shù)，可以使內(nèi)存中隨機(jī)鍵值的選擇與目標(biāo)類相關(guān)聯(lián)。隨著硬件技術(shù)的發(fā)展，Tuck等在2014年討論了利用硬件實(shí)現(xiàn)高效代碼指針加密的方法[6]。

1.2 IP層

IP地址隨機(jī)化是MTD技術(shù)的一個(gè)重要方面，在地址隨機(jī)化技術(shù)研究中，主要包括DyNAT[7]、APOD[8]、NASR[9]、RHM及OF-RHM[10]等研究成果。

Kewley等人在2001年提出的動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換(Dynamic Network Address Translation，DyNAT)提供了一種通過IP地址轉(zhuǎn)換避免中間人攻擊的方法[7]，它是一種在數(shù)據(jù)包進(jìn)入核心網(wǎng)絡(luò)或公共網(wǎng)絡(luò)之前進(jìn)行IP地址轉(zhuǎn)換的機(jī)制。這一技術(shù)雖然能夠發(fā)現(xiàn)嗅探者，但是它并不能發(fā)現(xiàn)隱藏在終端主機(jī)上的探測者。Atighetchim等人在2003年提出了基于地址和端口隨機(jī)(Applications that Participate in their Own Defense，APOD)的技術(shù)[8]，與DyNAT相比，其不僅隨機(jī)化了IP地址，而且也隨機(jī)化端口地址。APOD的原理是利用基于地址和端口隨機(jī)化的跳變隧道偽裝目標(biāo)主機(jī)，以區(qū)分合法用戶和嗅探器。這一方法并不是透明的，它要求服務(wù)器和用戶端必須通過合作才能完成跳變的整個(gè)過程。Antonatos等人在2007年提出了網(wǎng)絡(luò)地址空間隨機(jī)化(Network Address Space Randomization，NASR)技術(shù)[9]，這是一種局域網(wǎng)級別的基于DHCP更新的網(wǎng)絡(luò)地址隨機(jī)化方法，其主要目的是為了防范hitlist worms威脅。

然而上述三種防范內(nèi)外部監(jiān)聽威脅的IP隨機(jī)化技術(shù)均需要改變終端主機(jī)的配置，要研究的問題是，能否在不改變主機(jī)配置的條件下實(shí)現(xiàn)網(wǎng)絡(luò)地址的隨機(jī)化，基于此種考慮，Ehab Al Shaer等人在2011年提出了隨機(jī)主機(jī)突變(Random Host Mutation，RHM)技術(shù)[10]。其主要特性是網(wǎng)絡(luò)地址高速變化并難以預(yù)測，基本思想是通過給一個(gè)主機(jī)配備多個(gè)虛擬地址(vIP)，在運(yùn)行中不斷地改變虛擬地址，使得入侵者無法實(shí)時(shí)獲取運(yùn)行時(shí)的地址，從而達(dá)到阻止入侵的目的。由于RHM技術(shù)中使用了虛擬地址，因此需要通過增加移動(dòng)目標(biāo)控制器(Moving Target Controller)和移動(dòng)目標(biāo)網(wǎng)關(guān)(Moving Target Gateway)進(jìn)行真實(shí)地址(rIP)和虛擬地址(vIP)的轉(zhuǎn)換。

之后，Ehab Al Shaer等人在RHM技術(shù)的基礎(chǔ)上與軟件定義網(wǎng)絡(luò)(Software Define Network，SDN)及開放流(OpenFlow)技術(shù)相結(jié)合，提出了開放流隨機(jī)主機(jī)突變(OF-RHM)模型。OF-RHM技術(shù)對于終端主機(jī)是透明的，并且能提供較高的突變速率。其實(shí)質(zhì)是利用開放流研究移動(dòng)目標(biāo)防御體系結(jié)構(gòu)，實(shí)現(xiàn)IP地址的不可預(yù)知性及高速變換，同時(shí)保持配置的完整性，并最小化操作管理[10]。在OF-RHM模型中，IP變換對于后端主機(jī)是透明的，即終端主機(jī)的真實(shí)地址保持不變。另外，模型中的IP變換是高速和不可預(yù)知的，在入侵者能夠探測到終端地址之前就發(fā)生一次突變，從而達(dá)到阻止入侵的目的。與RHM技術(shù)相比，由于OF-RHM結(jié)合了SDN技術(shù)，因而它能夠以更小的開銷和更加靈活的方式管理地址隨機(jī)化功能。OF-RHM能夠有效防御秘密掃描、蠕蟲傳播以及其他基于掃描的攻擊[11]。雖然它不能應(yīng)用于傳統(tǒng)網(wǎng)絡(luò)，但是隨著SDN技術(shù)的發(fā)展，未來必將有較大的研究和利用價(jià)值。

1.3 網(wǎng)絡(luò)層

網(wǎng)絡(luò)配置隨機(jī)化的目的是為了阻礙入侵者掃描和發(fā)現(xiàn)入侵網(wǎng)絡(luò)、發(fā)起拒絕服務(wù)攻擊以及建立僵尸網(wǎng)絡(luò)。MTD中關(guān)于網(wǎng)絡(luò)層面的技術(shù)主要有自適應(yīng)自同步動(dòng)態(tài)地址轉(zhuǎn)換(Adaptive Self-Synchronized Dynamic Address Translation，ASD)、突變網(wǎng)絡(luò)(Mutable Networks，MUTE)[12]、自清洗入侵容忍技術(shù)(Self Cleansing Intrusion Tolerance，SCIT)[13]及基于IPv6的移動(dòng)目標(biāo)防御(Moving Target IPv6 Defense，MT6D)[14]等。

ASD最早是由Fink等人在2006年提出來的，其原理是通過不斷改變服務(wù)器與主機(jī)的地址達(dá)到移動(dòng)的目的。MUTE的基本想法最初是在2009年8月召開的“國家賽博跨越發(fā)展年會”上提出來的[12]，其基本思想就是允許周期性地建立替換的隨機(jī)配置(稱之為網(wǎng)絡(luò)突變)，同時(shí)保持網(wǎng)絡(luò)服務(wù)的連續(xù)性和完整性。MUTE技術(shù)必須滿足四個(gè)條件：一是時(shí)效性，配置變化必須迅速；二是平滑性，配置變化必須足夠平滑，盡可能地減少配置變化對網(wǎng)絡(luò)延遲的影響；三是不可預(yù)測性，配置的變化必須不可預(yù)測，否則就失去了變化的意義；四是安全性，配置變化必須保證服務(wù)和網(wǎng)絡(luò)的安全。E.Al-Shaer等人在2009年提出了一種創(chuàng)建網(wǎng)絡(luò)配置有效突變的形式化方法，它給出了一種末端到末端的編碼來為全局網(wǎng)絡(luò)行為建模，然后通過二叉判決圖的訪問控制配置編碼，從而控制每次網(wǎng)絡(luò)突變的配置。

Huang Y等人在2010年提出了SCIT技術(shù)[13]，由于入侵的每一步都依賴于系統(tǒng)的配置和屬性保持長期的不變，如果可利用的時(shí)間比較短，則入侵者可能造成的損失就比較小，也就是說，如果在較短的時(shí)間內(nèi)改變系統(tǒng)的配置或者屬性，就可以在承受較小損失的條件下達(dá)到阻止入侵的目的。SCIT就是這樣一種服務(wù)器切換模型，通過在較短的時(shí)間內(nèi)服務(wù)器的不斷切換和清洗來限制或阻擋網(wǎng)絡(luò)入侵。

Owen Hardman等人于2013年提出了MT6D技術(shù)[14]，這是一種網(wǎng)絡(luò)層的移動(dòng)目標(biāo)防御方法。MT6D的實(shí)質(zhì)是在主機(jī)與Internet之間設(shè)置一個(gè)網(wǎng)關(guān)設(shè)備，類似于路由器或者防火墻，對通信的主機(jī)透明。其原理是利用IPv6較大的地址空間，在保持通信的同時(shí)，不斷改變IPv6地址，從而達(dá)到防御入侵的目的。盡管MT6D對系統(tǒng)具有較好的保護(hù)作用，但是由于需要不斷地進(jìn)行地址轉(zhuǎn)換，因而其耗費(fèi)的資源也是巨大的。

ASD與MT6D具有以下兩方面的區(qū)別：ASD不需要具體地去區(qū)分IPv6，而是采用UDP通道傳輸修改過的TCP包；當(dāng)通信地址發(fā)生變化時(shí)，通信的兩個(gè)主機(jī)必須進(jìn)行身份驗(yàn)證。MUTE與MT6D的區(qū)別在于MT6D僅僅改變主機(jī)間的IP地址，而MUTE在MT6D的基礎(chǔ)上，還可以實(shí)現(xiàn)路由的隨機(jī)跳變，通過IP地址和路由的隨機(jī)跳變，達(dá)到隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，對抗網(wǎng)絡(luò)探測攻擊和指紋掃描的目的。MT6D與SCIT的區(qū)別與聯(lián)系是：兩者都可以看作是突變網(wǎng)絡(luò)的一種，MT6D利用了IPv6較大的地址空間快速改變IP地址阻止入侵，SCIT是快速切換服務(wù)器配置阻止入侵，這兩種技術(shù)都可以看作是突變網(wǎng)絡(luò)中網(wǎng)絡(luò)配置突變的一種具體實(shí)現(xiàn)。

1.4 軟件應(yīng)用層

基于軟件多態(tài)化的MTD技術(shù)主要分為兩類：基于軟件修改的多態(tài)化和利用編譯器實(shí)現(xiàn)軟件的多態(tài)化。

軟件修改多態(tài)化包含的技術(shù)主要包括輸入矯正、功能切除與替換、通過動(dòng)態(tài)接口進(jìn)行動(dòng)態(tài)配置等。Martin等人于2003年提出了輸入矯正的概念[15]，其原理是將明顯錯(cuò)誤的輸入自動(dòng)修改從而使系統(tǒng)正常運(yùn)行，以對抗入侵者利用某些漏洞通過錯(cuò)誤輸入入侵主機(jī)的目的。隨后Martin等人又于2006年提出了切除程序部分功能從而自動(dòng)規(guī)避漏洞的方法[16]，其基本思想是找到并去除程序中不想要的功能或者達(dá)不到期望目標(biāo)的模塊以降低漏洞被利用的風(fēng)險(xiǎn)。Henry等人于2010年提出了通過動(dòng)態(tài)接口進(jìn)行動(dòng)態(tài)配置的方法，其基本原理是將靜態(tài)配置參數(shù)轉(zhuǎn)換為動(dòng)態(tài)配置模式以避免參數(shù)的暴露并消除漏洞。此外，還有通過修改循環(huán)次數(shù)、循環(huán)分配內(nèi)存以及強(qiáng)制檢測規(guī)則執(zhí)行等方法實(shí)現(xiàn)軟件修改的多態(tài)性。

基于編譯器的軟件多態(tài)化主要包含了MVEE(Malt-Variant Execution Environment)和MSSD(Massive-Scale Software Diversity)兩類技術(shù)，這兩類技術(shù)都依賴于自動(dòng)化的編譯器產(chǎn)生功能相同但代碼不同的程序[17]。MVEE屬于運(yùn)行時(shí)的技術(shù)，其原理是一個(gè)程序構(gòu)建多個(gè)變體，系統(tǒng)接收到的輸入同時(shí)被送給所有的變體，這就使得入侵者幾乎不可能針對所有的變體設(shè)計(jì)不同的入侵程序，然后在系統(tǒng)監(jiān)控中比較所有變體的輸出，如果輸出不同，則預(yù)示著系統(tǒng)可能受到了入侵。在MVEE中，變體越多則監(jiān)視的效果就越好，但同時(shí)也會帶來額外的計(jì)算開銷。Cox等人于2006年提出了“N-變體系統(tǒng)框架”[18]，這一框架需要修改系統(tǒng)內(nèi)核，以便監(jiān)控程序在核心層的運(yùn)行。Jackson等人于2010年提出了一種采用用戶空間解決方案的架構(gòu)[17]，避開了系統(tǒng)核心層的修改。對于一個(gè)特定的軟件產(chǎn)品，大多數(shù)情況下所有用戶使用的都是同樣的拷貝副本，這樣入侵者如果想要對特定軟件進(jìn)行攻擊，則只需要研究一種副本就足夠了，事實(shí)證明，以往的幾次大規(guī)模的蠕蟲爆發(fā)都與這種單一拷貝副本有關(guān)。MSSD是一種大規(guī)模的靜態(tài)的軟件多態(tài)化技術(shù)，其基本原理是，如果同一個(gè)軟件產(chǎn)品可以有不同的副本(這些副本都可以實(shí)現(xiàn)相同的功能)，那么入侵者要么對所有的副本進(jìn)行研究，找出每一個(gè)副本的漏洞，然后入侵；要么找到一個(gè)非常巧妙的方法和漏洞，能夠同時(shí)入侵不同的副本，這就增大了入侵者的入侵難度，能夠更好地保護(hù)系統(tǒng)和軟件的正常運(yùn)行。

2 MTD技術(shù)典型應(yīng)用

隨著MTD技術(shù)的發(fā)展，其在正向網(wǎng)絡(luò)建設(shè)(如云服務(wù))和專項(xiàng)威脅防御(如DDoS)等方面的應(yīng)用也越來越廣泛，這更加促進(jìn)了MTD技術(shù)的發(fā)展。

隨著云服務(wù)的快速發(fā)展，與云服務(wù)相對應(yīng)的安全防御技術(shù)也越來越受到人們的重視，MTD就在云服務(wù)安全防御中扮演了重要的角色。在云環(huán)境中，一般會部署較多的虛擬機(jī)，如何保證云環(huán)境中虛擬機(jī)的安全是MTD技術(shù)應(yīng)用的一個(gè)重要前提條件。在2012年，Yulong Zhang 等人針對這一問題提出了通過周期性遷移虛擬機(jī)來防御入侵的方法，解決了虛擬機(jī)遷移的代價(jià)評估和確定遷移周期的策略問題[19]。分析表明，虛擬機(jī)周期遷移的方法在可接受的代價(jià)條件下能夠顯著提高安全水平。在2014年，Wei Peng 等人建立了一個(gè)基于云服務(wù)的多樣化和動(dòng)態(tài)化的MTD評估模型，理清了MTD如何在云服務(wù)中發(fā)揮作用的問題。Su Zhang 等人于2014年指出了云計(jì)算內(nèi)部存在的威脅并提出了一種針對數(shù)據(jù)中心的物理攻擊的網(wǎng)絡(luò)空間防御策略，將網(wǎng)絡(luò)空間與物理空間聯(lián)系起來并探索了虛擬化技術(shù)在應(yīng)對物理攻擊方面的作用。同時(shí)，Su Zhang 等人于2014年針對亞馬遜的彈性計(jì)算云(Elastic Compute Cloud，EC2)分析了基礎(chǔ)設(shè)施即服務(wù)(Infrustructure as a Service，IaaS)的脆弱性，并建立了博弈論模型和風(fēng)險(xiǎn)模型，比較了云環(huán)境和傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的防御策略。通過與傳統(tǒng)環(huán)境比較發(fā)現(xiàn)，在IaaS云中，要想發(fā)現(xiàn)已有的脆弱點(diǎn)需要付出更大的代價(jià)。同時(shí)，防御者可以通過較小的代價(jià)和更高的效率完成防御工作。

DDoS是一種嚴(yán)重的網(wǎng)絡(luò)安全威脅，針對這一威脅，眾多學(xué)者提出了各種應(yīng)對方法，基于濾波和基于容量防御是兩種典型的DDoS防御方法。然而這兩種方法都是靜態(tài)的，并且也不能應(yīng)對復(fù)雜的入侵，如自適應(yīng)泛洪入侵。MTD作為一種動(dòng)態(tài)的防御方法被應(yīng)用到DDoS防御中，Q. Jia等人于2013年提出了MOTAG(MOving Target defense mechanism AGainst Internet DDoS attacks)技術(shù)，這是一種典型的基于移動(dòng)目標(biāo)的DDoS防御技術(shù)[20]。這一方法的基本思想是在服務(wù)器和客戶端通過代理節(jié)點(diǎn)進(jìn)行中繼傳輸，然后通過移動(dòng)、隱藏代理節(jié)點(diǎn)達(dá)到保護(hù)中心服務(wù)器的目的。在MOTAG中，代理節(jié)點(diǎn)具有兩個(gè)重要的特性：所有的代理節(jié)點(diǎn)在它們的IP地址和網(wǎng)絡(luò)中都是隱藏的，只有在成功授權(quán)以后才可以被合法用戶知道；代理節(jié)點(diǎn)是不斷變化的，當(dāng)任何一個(gè)代理節(jié)點(diǎn)被入侵以后，它會立即停止工作，轉(zhuǎn)而由其他的未被入侵的節(jié)點(diǎn)接手它的工作。Huangxin Wang等人2014年提出了一種MOTAG的架構(gòu)，并給出了實(shí)現(xiàn)這一技術(shù)的接近最優(yōu)的算法，同時(shí)對算法進(jìn)行了理論和仿真分析，分析結(jié)果表明MOTAG能夠有效防御DDoS。

3 面臨問題與挑戰(zhàn)

MTD技術(shù)剛剛起步，目前還面臨著兩大方面的問題，一是MTD技術(shù)自身的發(fā)展；二是MTD技術(shù)與其他網(wǎng)絡(luò)技術(shù)融合的問題。

首先，MTD技術(shù)正處在研究之中，面臨著很多技術(shù)問題。在數(shù)據(jù)和指令集隨機(jī)化方面，雖然ISR能夠明顯增強(qiáng)系統(tǒng)的抵抗性，但是ISR并沒有解決由于編程錯(cuò)誤或者編碼水平低下而導(dǎo)致的軟件漏洞的核心問題，經(jīng)過精心設(shè)計(jì)的蠕蟲病毒依然能夠突破ISR的防線，如何對抗這種病毒并增強(qiáng)ISR在維護(hù)系統(tǒng)安全方面的作用是將來的重要研究方向。在網(wǎng)絡(luò)層，網(wǎng)絡(luò)配置變化的速度決定了MTD網(wǎng)絡(luò)抵抗入侵的能力，配置變化速度越快必然對網(wǎng)絡(luò)的穩(wěn)定性產(chǎn)生越大的影響，如何通過感知網(wǎng)絡(luò)狀態(tài)從而動(dòng)態(tài)地調(diào)節(jié)網(wǎng)絡(luò)配置變化速度，以達(dá)到降低網(wǎng)絡(luò)性能損耗的目的也是將來研究的方向。另外，MTD技術(shù)必須在不影響現(xiàn)有網(wǎng)絡(luò)條件的基礎(chǔ)上才有實(shí)用的可能，這也就意味著網(wǎng)絡(luò)層的MTD技術(shù)面臨的必須適應(yīng)現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)服務(wù)以及網(wǎng)絡(luò)協(xié)議，這是MTD技術(shù)面臨的一個(gè)較大的挑戰(zhàn)?，F(xiàn)有的MTD的構(gòu)建、評價(jià)和部署機(jī)制都是單一的，不僅可以從多個(gè)層次實(shí)現(xiàn)MTD技術(shù)，而且每個(gè)層次內(nèi)部也有多種MTD技術(shù)，如何實(shí)現(xiàn)多種MTD技術(shù)的融合也是其發(fā)展中必須解決的問題。

其次，虛擬化和云計(jì)算技術(shù)是網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢，MTD如何與這些網(wǎng)絡(luò)技術(shù)融合也是一個(gè)巨大的挑戰(zhàn)。根據(jù)2015年國際互聯(lián)網(wǎng)安全大會上唐青昊的報(bào)告，現(xiàn)在的虛擬化基礎(chǔ)設(shè)施的安全和云計(jì)算系統(tǒng)的安全存在著巨大的漏洞，MTD技術(shù)與上述兩種技術(shù)的結(jié)合與綜合應(yīng)用必然是將來發(fā)展的方向。另外，SDN作為一種新型網(wǎng)絡(luò)架構(gòu)，其原理就是將控制邏輯從網(wǎng)絡(luò)交換設(shè)備中“分離”出來，當(dāng)控制器是可編程的時(shí)候，就可以通過控制器對網(wǎng)絡(luò)設(shè)備的流表進(jìn)行修改，讓路由設(shè)備靈活地達(dá)到安全防御方面的目的。隨著SDN在企業(yè)中的應(yīng)用越來越廣泛，基于SDN的MTD技術(shù)也是未來發(fā)展的一個(gè)熱點(diǎn)和方向。

MTD關(guān)鍵技術(shù)特點(diǎn)如圖2所示。

結(jié)構(gòu)層級關(guān)鍵技術(shù)特點(diǎn)應(yīng)用層基于軟件修改針對某種具體的功能實(shí)現(xiàn)軟件修改基于編譯器方便，依賴于自動(dòng)編譯器網(wǎng)絡(luò)層ASD變化簡單，同步開銷大MUTE變化多樣，不可預(yù)測。但保持網(wǎng)絡(luò)中變化的同步性和安全性具有一定挑戰(zhàn)SCIT配置變化較快MT6D地址空間大，變化多IP層DyNAT可隨機(jī)化IP地址，對抗中間人攻擊，但不能發(fā)現(xiàn)終端主機(jī)的嗅探者APOD同時(shí)隨機(jī)化IP地址與端口，不透明NASR局域網(wǎng)級別的DHCP更新，主要是防范hitlistworms威脅RHM不需改變終端主機(jī)配置，開銷較大OF?RHM透明，開銷小，但不能用于傳統(tǒng)網(wǎng)絡(luò)指令與數(shù)據(jù)層ISR能阻止漏洞擴(kuò)散，需要硬件支持ASLR可利用硬件實(shí)現(xiàn)快速加密，但只能在有指針的條件下實(shí)現(xiàn)

圖2 MTD關(guān)鍵技術(shù)特點(diǎn)

4 結(jié)論

MTD作為一種革新性的技術(shù)，其基本思路就是將以往的被動(dòng)防御轉(zhuǎn)為移動(dòng)目標(biāo)下的主動(dòng)防御，將固定不變的網(wǎng)絡(luò)轉(zhuǎn)換為靈活可變的網(wǎng)絡(luò)。本文總結(jié)了目前一些MTD的關(guān)鍵技術(shù)及其應(yīng)用，分析了各種技術(shù)的特點(diǎn)(見圖2)，并展望了MTD技術(shù)發(fā)展的前景。從MTD的技術(shù)思路以及近幾年的發(fā)展來看，它并不依靠增加安全系統(tǒng)的復(fù)雜度實(shí)現(xiàn)對目標(biāo)的保護(hù)，而是充分利用目標(biāo)所處的時(shí)間、空間和物理環(huán)境實(shí)現(xiàn)對目標(biāo)的保護(hù)，極大地增加了入侵難度，優(yōu)勢非常明顯。MTD比傳統(tǒng)網(wǎng)絡(luò)安全手段具有更好的防御效果，是未來網(wǎng)絡(luò)安全領(lǐng)域的重點(diǎn)發(fā)展方向。

[1] 葉健健,文志誠,吳欣欣，等.基于多層次數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢分析方法研究[J].微型機(jī)與應(yīng)用,2015,34(8):5-7,11.

[2] 朱宇,袁帥.立體化網(wǎng)絡(luò)應(yīng)用層協(xié)議識別的研究與實(shí)現(xiàn)[J].電子技術(shù)應(yīng)用,2014,40(1):60-63.

[3] SUSHIL J, ANUP K G, VIPIN S, et al. Moving target defense—creating asymmetric uncertainty for cyber threats[M]. NewYork: Springer Press, 2011.

[4] BOYD S W, KC G S, LOCASTO M E, et al. On the general applicability of instruction set randomization[J]. IEEE Transactions on Dependable and Secure Computing, 2008,7(3):225-270.

[5] PaX Team[EB/OL]. (2001-07-01)[2016-01-07]http://pax.grsecurity.net.

[6] TUCK N, CALDER B, VARGHESE G. Hardware and binary modification support for code pointer protection from buffer overflow[C]. In Proceedings of the 37th International Symposium on Microarchitecture (MICRO), 2014:209-220.

[7] KEWLEY D, FINK R, LOWRY J, et al. Dynamic approaches to thwart adversary intelligence gathering[C]. In DARPA Information Survivability Conference Exposition II, 2001. DISCEX’01, Proceedings, 2001, 1(1): 176-185.

[8] ATIGHETCHI M, PAL P, WEBBER F, et al. Adaptive use of network-centric mechanisms in cyber-defense[C]. In ISORC’03, IEEE Computer Society, 2003:183-192.

[9] ANTONATOS S, AKRITIDIS P, MARKATOS E P, et al. Defending against hitlist worms using network address space randomization[J]. Comput. Netw., 2007, 51(12): 3471-3490.

[10] JAFARIAN J H, AL-SHAER E, DUAN Q. Openflow random host mutation: transparent moving target defense using software defined networking[J]. Proceedings of HotSDN , 2012(12):127-132.

[11] 張曉玉, 李振邦. 移動(dòng)目標(biāo)防御技術(shù)綜述[J]. 通信技術(shù), 2013, 46(6):111-113.

[12] AL-SHAER E.Toward, network configuration randomization for moving target defense[C].Moving Target Defense，2011:153-159.

[13] HUANG Y，GHOSH A K，BRACEWELL T，et al. A security evaluation of a novel resilient web serving architecture：lessons learned through industry/academia collaboration[C]. Dependable Systems and Networks Workshops，2010：188-193.

[14] HARDMAN O, GROAT S, MARCHANY R, et al. Optimizing a network layer moving target defense for specific system architectures[C]. ACM2013, SanJose.CA.USA, 2013:117-118.

[15] RICHARD M C. Acceptability-oriented computing[C]. In Ron Crocker and Guy L. Steele Jr., editors, OOPSLA companion, ACM, 2003:221-239.

[16] RICHARD M C. Probabilistic accuracy bounds for fault-tolerant computations that discard tasks[C]. In Gregory K.Egan and Yoichi Muraoka, editors, ICS, ACM, 2006:324-334.

[17] JACKSON T, SALAMAT B, WAGNER G, et al.On the effectiveness of multi-variant program execution for vulnerability detection and prevention[C]. In Proceedings of the 6th International workshop on security and measurements and metrics, MetriSec’10, NewYork, USA, 2010:1-8[18] COX B, EVANS D, FILIPI A, et al. N-variant systems: a secretless framework for security through diversity[C]. In proceedings of the 15th USENIX security Symposium, USENIX Association, 2006:105-120.

[19] Zhang Yulong, Li Min, Bai Kun, et al. Incentive compatible moving target defense against VM-Colocation attacks in clouds[C]. SEC 2012: 388-399.

[20] JIA Q, SUN K, STAVROU A. Motag: moving target defense against internet denial of service attacks[C], Proceedings of the 22nd International Conference on Computer Communications and Networks (ICCCN), Nassau, Bahamas, 2013:1-9.

Research on key technology of moving target defense

Tang Xiucun，Xu Qiang，Shi Dawei，Xu Lianghua

(Jiang Nan Institute of Computing Technology, Wuxi 214083, China)

Moving target defense (MTD) technology is one of the cyberspace game-changing revolutionary technologies in recent years. Different from prior research on network security, moving target defense changes passive defense into active defense. According to multidimensional change of the computer system and network’s state with the changing of space-time and physical environment，it increases invading difficulties for attackers, and effectively restricts the vulnerabilities for attack. Therefore, moving target defense will be the focus of network security technology in the future. This paper reviews the MTD key technologies and the course of its development, points out the advantages and disadvantages of these technologies by comparing analysis, and views the developing prospects of MTD technologies combined with network development.

moving target defense; instruction set randomization; OpenFlow-Random host mutation; mutable networks; software diversity

TP393.08

A

1674-7720(2016)07-0001-05

唐秀存，許強(qiáng)，史大偉，等. 移動(dòng)目標(biāo)防御(MTD)關(guān)鍵技術(shù)研究[J].微型機(jī)與應(yīng)用，2016,35(7)：1-5，15.

2016-01-07)

唐秀存(1980-)，通信作者，男，博士生，工程師，主要研究方向：網(wǎng)絡(luò)安全，信息安全。E-mail：tang-xc@sohu.com。

許強(qiáng)(1989-)，男，碩士，助理工程師，主要研究方向：網(wǎng)絡(luò)安全、無線傳感器網(wǎng)絡(luò)。

史大偉(1989-)，男，博士生，助理工程師，主要研究方向：網(wǎng)絡(luò)安全。