移動(dòng)目標(biāo)防御技術(shù)研究綜述

樊琳娜, 馬宇峰, 黃 河,何 娜,孫鉦堯

(1.西安通信學(xué)院,西安 710106； 2.中國人民解放軍61858部隊(duì),西安 710100;3.中國人民解放軍68058部隊(duì),蘭州 730030)

工程與應(yīng)用

移動(dòng)目標(biāo)防御技術(shù)研究綜述

樊琳娜1, 馬宇峰1, 黃 河1,何 娜2,孫鉦堯3

(1.西安通信學(xué)院,西安 710106； 2.中國人民解放軍61858部隊(duì),西安 710100;3.中國人民解放軍68058部隊(duì),蘭州 730030)

移動(dòng)目標(biāo)防御作為一種動(dòng)態(tài)、主動(dòng)的防御技術(shù)，能夠通過不斷轉(zhuǎn)移攻擊表面挫敗攻擊者的攻擊。深入研究移動(dòng)目標(biāo)防御對(duì)我國網(wǎng)絡(luò)空間安全防御具有重要意義，本文從攻擊表面的轉(zhuǎn)移方法、攻擊表面的轉(zhuǎn)移策略和移動(dòng)目標(biāo)防御技術(shù)有效性度量幾個(gè)方面總結(jié)了移動(dòng)目標(biāo)防御技術(shù)的研究現(xiàn)狀，并分析了其面臨的挑戰(zhàn)和發(fā)展趨勢(shì)。雖然移動(dòng)目標(biāo)防御技術(shù)的研究還未成體系，離實(shí)際推廣使用還有一段距離，但其主動(dòng)、動(dòng)態(tài)的特性在面對(duì)未知攻擊、復(fù)雜攻擊和改變攻防不對(duì)稱局面相比靜態(tài)防御技術(shù)具有較大的優(yōu)勢(shì)，并具有廣闊的應(yīng)用前景。

移動(dòng)目標(biāo)防御; 動(dòng)態(tài)防御; 主動(dòng)防御;攻擊表面

0 引 言

隨著計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)在我國各行業(yè)、各單位的建立和發(fā)展，網(wǎng)絡(luò)信息資源得到了共享和充分的利用，但網(wǎng)絡(luò)安全方面的問題也日趨嚴(yán)重。中國已成為網(wǎng)絡(luò)攻擊的主要受害國。

傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)，如認(rèn)證、訪問控制、信息加密、入侵檢測(cè)、漏洞掃描、病毒防范技術(shù)等雖然可以提供一定程度的安全性，但隨著攻擊自動(dòng)化、高速化和攻擊手段多樣化的發(fā)展，傳統(tǒng)網(wǎng)絡(luò)防御手段顯得力不從心。同時(shí)，網(wǎng)絡(luò)環(huán)境復(fù)雜性的不斷增加使得網(wǎng)絡(luò)管理員的工作日益繁重，一時(shí)的疏忽便可能留下嚴(yán)重的安全隱患。

傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)是一種靜態(tài)的、被動(dòng)的防御技術(shù)，它面臨著如下問題：靜態(tài)的網(wǎng)絡(luò)安全防御技術(shù)只能抵御已知攻擊，無法抵御未知攻擊，如0day漏洞等；靜態(tài)的網(wǎng)絡(luò)安全防御技術(shù)的防御能力是靜態(tài)的，不能隨著環(huán)境的變化而不斷變化，而攻擊者的攻擊能力是不斷提升的，這就造成了防御方的被動(dòng)局面；靜態(tài)的網(wǎng)絡(luò)安全防御技術(shù)很難阻擋攻擊者的掃描行為，而這往往是攻擊的第一步，從而讓攻擊者獲得了目標(biāo)網(wǎng)絡(luò)或系統(tǒng)的足夠信息；面臨攻擊方日益復(fù)雜的攻擊，如APT攻擊，即使傳統(tǒng)安全技術(shù)的有效組合也很難抵御；靜態(tài)的網(wǎng)絡(luò)安全防御技術(shù)通常是用來進(jìn)行邊界防護(hù)并抵御外部攻擊，卻無法有效抵御內(nèi)部攻擊。

因此，靜態(tài)防御技術(shù)的特點(diǎn)造成了現(xiàn)有網(wǎng)絡(luò)信息系統(tǒng)的致命安全缺陷，為改變防御方的被動(dòng)局面，2011年12月，美國國家科學(xué)技術(shù)委員會(huì)NITRD發(fā)布了《可信網(wǎng)絡(luò)空間：聯(lián)邦網(wǎng)絡(luò)安全研發(fā)戰(zhàn)略規(guī)劃》，明確提出“針對(duì)網(wǎng)絡(luò)空間所面臨的現(xiàn)實(shí)和潛在威脅”，要突破傳統(tǒng)思路，發(fā)展“改變游戲規(guī)則”的革命性技術(shù)，確定四個(gè)能“改變游戲規(guī)則”的研發(fā)主題，移動(dòng)目標(biāo)防御就是其中之一[1]。

移動(dòng)目標(biāo)防御完全不同與以往的網(wǎng)絡(luò)安全研究思路。它并不追求建立一種完美無瑕的系統(tǒng)來對(duì)抗攻擊，相反，移動(dòng)目標(biāo)防御的思路是構(gòu)建、評(píng)價(jià)和部署機(jī)制及策略是多樣的、不斷變化的。這種不斷變化的思路可以增加攻擊者的攻擊難度及代價(jià)，有效限制脆弱性暴露及被攻擊的機(jī)會(huì)，提高系統(tǒng)的彈性。由于移動(dòng)目標(biāo)防御技術(shù)的動(dòng)態(tài)變化特點(diǎn)，它可以克服傳統(tǒng)網(wǎng)絡(luò)防御技術(shù)的缺點(diǎn)，使防御方由被動(dòng)變?yōu)橹鲃?dòng)[2]。

1 移動(dòng)目標(biāo)防御技術(shù)研究現(xiàn)狀

移動(dòng)目標(biāo)防御技術(shù)一經(jīng)提出，引起了許多學(xué)者的廣泛關(guān)注。目前，移動(dòng)目標(biāo)防御技術(shù)的研究集中在以下幾個(gè)方面：

(1)攻擊表面的轉(zhuǎn)移方法。

系統(tǒng)的攻擊表面指的是能夠被攻擊者利用并對(duì)該系統(tǒng)發(fā)動(dòng)攻擊的系統(tǒng)資源。攻擊表面轉(zhuǎn)移，是移動(dòng)目標(biāo)防御技術(shù)的思想精髓，也是移動(dòng)目標(biāo)防御研究的熱點(diǎn)問題。Pratyusa K.提出了系統(tǒng)攻擊表面的形式化模型[3]，同時(shí)，許多學(xué)者提出了攻擊表面的轉(zhuǎn)移方法。根據(jù)轉(zhuǎn)移所使用的手段的不同，移動(dòng)目標(biāo)防御技術(shù)可分為三類：

一是擾亂。擾亂即通過將系統(tǒng)的配置進(jìn)行動(dòng)態(tài)調(diào)整，達(dá)到擾亂攻擊者攻擊行為的目的，比如IP地址、端口的跳變。文獻(xiàn)[4]提出了變形網(wǎng)絡(luò)，生成動(dòng)態(tài)IP地址并使用加密函數(shù)和隨機(jī)密鑰進(jìn)行全局同步，與此同時(shí)，透明的攔截和修改網(wǎng)絡(luò)指紋，綜合運(yùn)用這兩種方式欺騙攻擊者。文獻(xiàn)[5]提出在異構(gòu)平臺(tái)間動(dòng)態(tài)遷移關(guān)鍵基礎(chǔ)設(shè)施應(yīng)用，該機(jī)制通過操作系統(tǒng)級(jí)的虛擬化技術(shù)創(chuàng)建應(yīng)用的虛擬執(zhí)行環(huán)境，允許正在運(yùn)行的關(guān)鍵應(yīng)用改變其硬件平臺(tái)和操作絡(luò)系統(tǒng)，但仍保留該應(yīng)用的狀態(tài)，如執(zhí)行狀態(tài)，打開的文件和網(wǎng)絡(luò)連接等。

此外，通過結(jié)合SDN技術(shù)可以方便地進(jìn)行地址、端口的跳變。文獻(xiàn)[6]提出了OpenFlow中的移動(dòng)目標(biāo)防御體系，由中央控制器為每個(gè)主機(jī)分配隨機(jī)的虛擬IP，主機(jī)之間的交互通過虛擬IP完成，虛擬IP是通過詢問DNS得到的，只有授權(quán)實(shí)體才能得到真實(shí)IP. 文獻(xiàn)[7]在移動(dòng)目標(biāo)防御網(wǎng)絡(luò)的地址跳變技術(shù)的研究基礎(chǔ)上提出了一種基于傳輸過程的地址跳變方案，主要思想是在 SDN 網(wǎng)絡(luò)架構(gòu)下，控制器通過為傳輸路由上的交換機(jī)下發(fā)不同流表來實(shí)現(xiàn) IP 地址的跳變，可以以較小的網(wǎng)絡(luò)開銷實(shí)現(xiàn)跳變機(jī)制，并使網(wǎng)絡(luò)對(duì)于網(wǎng)絡(luò)嗅探達(dá)到較高的防御能力。文獻(xiàn)[8]利用 SDN邏輯集中控制與網(wǎng)絡(luò)可編程特性，提出基于端口跳變的 SDN 網(wǎng)絡(luò)防御技術(shù)，使用 SDN 控制器承擔(dān)服務(wù)端的端口跳變功能，不但可以減輕服務(wù)端負(fù)載，而且能提前檢測(cè)過濾惡意數(shù)據(jù)包，并能抵御內(nèi)部攻擊者，對(duì)SDN控制器負(fù)載增加較少，可有效抵御拒絕服務(wù)攻擊。文獻(xiàn)[9]提出基于透明同步和隨機(jī)時(shí)隙的SDN地址端口跳變方案，針對(duì)嚴(yán)格時(shí)間同步和 ACK 同步技術(shù)存在的嚴(yán)格時(shí)間同步難達(dá)到、同步報(bào)文易被截獲分析等問題，充分利用 SDN 邏輯集中控制特性，將跳變功能置于 SDN 控制器，可實(shí)現(xiàn)通信雙方的透明跳變同步，不但不需要嚴(yán)格的時(shí)間同步，也不需要發(fā)送額外的同步報(bào)文，針對(duì)固定跳變時(shí)隙方案易被截獲分析的問題，提出基于泊松到達(dá)過程的隨機(jī)跳變時(shí)隙方案，可有效增加截獲分析的難度和開銷，可有效抵御截獲分析和拒絕服務(wù)攻擊，且可有效防范內(nèi)部威脅。文獻(xiàn)[10]在移動(dòng)目標(biāo)防御動(dòng)態(tài)地址的研究基礎(chǔ)上，通過在現(xiàn)有核心網(wǎng)中增加中心控制器和代理服務(wù)器兩個(gè)功能實(shí)體，提出一種移動(dòng)核心網(wǎng)HSS 防護(hù)架構(gòu)。利用代理地址的多樣性使 HSS 受攻擊時(shí)對(duì)外呈現(xiàn)地址動(dòng)態(tài)變化效果以破壞攻擊鏈，使攻擊者失去攻擊目標(biāo)；中心控制器控制執(zhí)行地址切換策略，經(jīng)過多輪代理地址切換篩選出偽裝成合法用戶不斷獲取 HSS 最新地址的攻擊源，有效抵御中間人攻擊。

通過動(dòng)態(tài)調(diào)整配置可以達(dá)到擾亂攻擊者攻擊的目的，但I(xiàn)P、端口等的動(dòng)態(tài)變化有可能會(huì)干擾網(wǎng)絡(luò)的正常運(yùn)行，比如文獻(xiàn)[6-10]通過SDN對(duì)路由的全局控制避免了這一點(diǎn)，但軟件定義網(wǎng)絡(luò)還未廣泛應(yīng)用，因此，如何在現(xiàn)有網(wǎng)絡(luò)中通過擾亂達(dá)到轉(zhuǎn)移攻擊表面是值得研究的問題。此外，配置的動(dòng)態(tài)調(diào)整通常都伴隨著額外的開銷，比如文獻(xiàn)[6]中需要進(jìn)行IP地址的全局同步，因此，擾亂機(jī)制帶來的額外系統(tǒng)開銷是否在網(wǎng)絡(luò)可承受范圍也是值得注意的問題。

二是多樣化。多樣化是提供具有相同功能，不同實(shí)現(xiàn)的輸入、解釋器、軟件棧組件等達(dá)到抵御攻擊者攻擊的一種移動(dòng)目標(biāo)防御技術(shù)。Todd Jackson認(rèn)為當(dāng)前軟件漏洞造成了開發(fā)者被動(dòng)響應(yīng)的局面，因?yàn)榘l(fā)現(xiàn)一個(gè)漏洞就可以攻擊存在同樣漏洞的所有系統(tǒng)，因此提出了用戶同時(shí)運(yùn)行軟件的多個(gè)實(shí)例或開發(fā)者發(fā)布軟件的多個(gè)變體，以改變攻擊者發(fā)現(xiàn)一個(gè)漏洞就能對(duì)所有使用該軟件的用戶進(jìn)行攻擊的不利局面[11]。Martin Rinard將安全漏洞看成不需要的軟件功能，通過輸入矯正、功能切除、功能替換、循環(huán)出口、通過動(dòng)態(tài)接口進(jìn)行動(dòng)態(tài)配置、監(jiān)控規(guī)則強(qiáng)制執(zhí)行、循環(huán)內(nèi)存分配、忽略錯(cuò)誤計(jì)算等方法替換或消除不必要的軟件功能[12]。Mihai Christodorescu等提出對(duì)Internet應(yīng)用中用到的軟件、服務(wù)進(jìn)行多樣化處理，比如提供多樣化的瀏覽器運(yùn)行環(huán)境(DOM APIs)，數(shù)據(jù)表名或字段等手段增加攻擊者攻擊難度，抵御跨站腳本攻擊和SQL注入攻擊等[13]。Yih Huang 和Anup K. Ghosh提出將Web服務(wù)器中的Web應(yīng)用、服務(wù)器軟件、操作系統(tǒng)、虛擬化技術(shù)進(jìn)行多樣化并形成多個(gè)不同的虛擬服務(wù)器，并隨機(jī)的選擇其中一些虛擬服務(wù)器作為提供Web服務(wù)的活動(dòng)主機(jī)，不斷變換活動(dòng)的虛擬服務(wù)器，達(dá)到轉(zhuǎn)移攻擊表面，增加攻擊者攻擊難度的效果[14]。除了軟件、服務(wù)器層面的多樣化，還可通過底層多樣化技術(shù)實(shí)現(xiàn)動(dòng)態(tài)目標(biāo)防御。底層的技術(shù)如地址空間隨機(jī)化、指令集隨機(jī)化、數(shù)據(jù)隨機(jī)化等[15-16]，通過動(dòng)態(tài)改變數(shù)據(jù)在內(nèi)存中加載的位置、將指令集進(jìn)行異或、將數(shù)據(jù)異或后再存儲(chǔ)等方式擾亂攻擊者的攻擊。

多樣化通常是從底層或軟件、服務(wù)器等高層將地址空間、指令集、數(shù)據(jù)、軟件版本、服務(wù)運(yùn)行環(huán)境等進(jìn)行多樣性處理，使得攻擊者的攻擊危害大大降低，攻擊者成功攻擊一臺(tái)計(jì)算機(jī)后，無法通過同樣的手段成功攻擊其它計(jì)算機(jī)。但多樣化處理往往會(huì)增加開發(fā)者的開發(fā)成本，同時(shí)，服務(wù)提供商往往需要更多的資源以進(jìn)行攻擊表面的轉(zhuǎn)移。

近年來，除了移動(dòng)目標(biāo)防御，還出現(xiàn)了擬態(tài)安全防御的思想[17]，期望通過在主動(dòng)和被動(dòng)觸發(fā)條件下動(dòng)態(tài)地、偽隨機(jī)地選擇執(zhí)行各種硬件變體以及相應(yīng)的軟件變體，使得內(nèi)外部攻擊者觀察到的硬件執(zhí)行環(huán)境和軟件工作狀況非常不確定，無法或很難構(gòu)建起基于漏洞或后門的攻擊鏈，以達(dá)成降低系統(tǒng)安全風(fēng)險(xiǎn)的目的。

擬態(tài)安全防御的基本思想[18]是在功能等價(jià)條件下，以提供目標(biāo)環(huán)境的動(dòng)態(tài)性、非確定性、異構(gòu)性、非持續(xù)性為目的，動(dòng)態(tài)地構(gòu)建網(wǎng)絡(luò)、平臺(tái)、環(huán)境、軟件、數(shù)據(jù)等多樣化的擬態(tài)環(huán)境，以防御者可控的方式在多樣化環(huán)境間實(shí)施主動(dòng)跳變或快速遷移，對(duì)攻擊者則表現(xiàn)為難以觀察和預(yù)測(cè)的目標(biāo)環(huán)境變化，從而增大攻擊難度和代價(jià)，從基本內(nèi)涵思想看來，擬態(tài)安全防御對(duì)其目標(biāo)及手段描述得更為清晰，這在一定程度上對(duì)其適用范圍及方法進(jìn)行了限定；而移動(dòng)目標(biāo)防御的基本思想比擬態(tài)安全防御更為靈活和寬泛。

三是冗余。冗余是通過提供數(shù)據(jù)、服務(wù)或節(jié)點(diǎn)的多個(gè)副本，判斷系統(tǒng)是否遭到攻擊，來保護(hù)系統(tǒng)的一種移動(dòng)目標(biāo)防御技術(shù)。Eric Yuan和Sam Malek提出了一種基于體系的自保護(hù)網(wǎng)絡(luò)，在自保護(hù)的基礎(chǔ)上增加了能夠監(jiān)控系統(tǒng)組件和連接，并根據(jù)自保護(hù)目標(biāo)進(jìn)行調(diào)整的元組件，該元組件不斷進(jìn)行監(jiān)控、分析、計(jì)劃、執(zhí)行的循環(huán)，系統(tǒng)能夠根據(jù)不同的威脅改變自身體系，在探測(cè)到系統(tǒng)受到攻擊者長期控制系統(tǒng)的情況下，將自保護(hù)網(wǎng)絡(luò)調(diào)整為基于協(xié)商的冗余體系，在系統(tǒng)運(yùn)行時(shí)維持軟件的多個(gè)副本，選擇其中一個(gè)副本執(zhí)行請(qǐng)求，根據(jù)返回的結(jié)果和算法判斷出請(qǐng)求是否合法，如果非法，則使該副本恢復(fù)到未被攻擊的狀態(tài)[19]。Fay Chang提出了一種叫Myriad的容災(zāi)網(wǎng)絡(luò)，通過鏡像，允許基于協(xié)議的跨站點(diǎn)校驗(yàn)并隨時(shí)可恢復(fù)數(shù)據(jù)[20]。采用動(dòng)態(tài)異構(gòu)冗余方法的擬態(tài)防御技術(shù)[21]針對(duì)信息系統(tǒng)保護(hù)的元功能，采用非相似余度設(shè)計(jì)方法構(gòu)造多個(gè)功能等價(jià)的異構(gòu)執(zhí)行體，在系統(tǒng)運(yùn)行期間動(dòng)態(tài)調(diào)度元功能的不同異構(gòu)執(zhí)行體在線運(yùn)行，以阻斷攻擊者的攻擊過程，同時(shí)利用多模判決機(jī)制對(duì)多個(gè)異構(gòu)執(zhí)行體的輸出結(jié)果進(jìn)行判決，以檢測(cè)是否發(fā)生攻擊。

冗余的方法可以判斷系統(tǒng)是否遭受攻擊并適時(shí)將運(yùn)行環(huán)境進(jìn)行還原，以達(dá)到未被攻擊的狀態(tài)，該方法需要提供一定量的冗余資源，因此，對(duì)于數(shù)據(jù)中心等提供大量服務(wù)和數(shù)據(jù)的運(yùn)行場(chǎng)景不一定適用。

除了攻擊表面的轉(zhuǎn)移方法,還有研究集中在攻擊表面的轉(zhuǎn)移策略上。

(2)攻擊表面的轉(zhuǎn)移策略

還有一類研究集中在攻擊表面根據(jù)外部環(huán)境變化應(yīng)采取什么樣的轉(zhuǎn)移策略上。比如攻擊表面應(yīng)該以什么樣的時(shí)間間隔進(jìn)行轉(zhuǎn)移，攻擊表面轉(zhuǎn)移較快可以提高系統(tǒng)的安全性，卻會(huì)帶來系統(tǒng)開銷的增大和可用性的下降；或者在攻擊者和防御方的動(dòng)態(tài)競爭中，如何通過博弈論等方法得到防御方的最佳防御策略。Prasyusa K. Manadhata提出了量化攻擊表面轉(zhuǎn)移的方法，并將移動(dòng)目標(biāo)防御視為安全性和可用性之間的一種權(quán)衡，根據(jù)攻擊者和防御者的回報(bào)函數(shù)提出二人隨機(jī)博弈模型，來確定一種最佳的動(dòng)態(tài)目標(biāo)防御策略[22]。Cleotilde Gonzalez總結(jié)了基于實(shí)例學(xué)習(xí)理論的基礎(chǔ)及經(jīng)驗(yàn)決策模型，討論了有關(guān)賽博安全環(huán)境中基于實(shí)例學(xué)習(xí)模型預(yù)測(cè)的最新研究以及當(dāng)前面臨的挑戰(zhàn)，包括賽博安全環(huán)境中的行為博弈理論，將個(gè)人經(jīng)驗(yàn)決策的基于實(shí)例學(xué)習(xí)模型擴(kuò)展到多人非合作博弈，探討了如何通過擴(kuò)展基于實(shí)例學(xué)習(xí)模型提高賽博空間的安全[23]。Don Torrieri和Sencun Zhu探討了在無限網(wǎng)絡(luò)中對(duì)抗外部對(duì)手和受損節(jié)點(diǎn)的賽博機(jī)動(dòng)。賽博機(jī)動(dòng)的目的是創(chuàng)建、評(píng)估和部署多樣的、不斷轉(zhuǎn)移、并隨時(shí)間不斷變化的機(jī)制和策略，從而提高系統(tǒng)的彈性。該文獻(xiàn)提出了解決外部對(duì)手和受損節(jié)點(diǎn)干擾、攻擊問題的基本架構(gòu)，包括攻擊探測(cè)、受損節(jié)點(diǎn)識(shí)別以及存在干擾時(shí)的組密鑰更新[24]。

目前，有許多移動(dòng)目標(biāo)防御技術(shù)提出，而這些技術(shù)究竟能多大程度上提高目標(biāo)系統(tǒng)的安全性也是值得研究的問題，因此，第三類問題是移動(dòng)目標(biāo)防御技術(shù)有效性的度量。

(3)移動(dòng)目標(biāo)防御技術(shù)有效性的度量

目前，對(duì)于移動(dòng)目標(biāo)防御技術(shù)，也有學(xué)者提出對(duì)其有效性進(jìn)行度量的方法，以評(píng)價(jià)該機(jī)制對(duì)于攻擊的防御效果。Jin B. Hong認(rèn)為目前的移動(dòng)目標(biāo)防御技術(shù)并未被很好地評(píng)估，一些安全模型，比如攻擊圖(Attack Graphs)可以通過形式化的方法去評(píng)估系統(tǒng)安全性，但它還未應(yīng)用到移動(dòng)目標(biāo)防御中，作者將安全模型與移動(dòng)目標(biāo)防御技術(shù)結(jié)合，提出了分層攻擊表達(dá)模型去評(píng)估移動(dòng)目標(biāo)防御技術(shù)的有效性[25]。

文獻(xiàn)[26]提出采用攻擊表面模型刻畫移動(dòng)目標(biāo)防御的有效性，對(duì)移動(dòng)攻擊表面問題進(jìn)行了形式化建模, 并提出一種量化移動(dòng)性的方法，并在安全性與可用性之間進(jìn)行折中, 同時(shí)提出一種雙方隨機(jī)博弈模型來確定最優(yōu)的防御策略。文獻(xiàn)[27]針對(duì)企業(yè)網(wǎng)絡(luò)環(huán)境, 提出一種基于Markov轉(zhuǎn)移概率的移動(dòng)目標(biāo)防御有效性分析模型。文獻(xiàn)[28]將網(wǎng)絡(luò)傳播動(dòng)力學(xué)模型理論引入到移動(dòng)目標(biāo)防御的安全性能評(píng)估中, 以期取得可量化安全性能指標(biāo)。文獻(xiàn)[29]在攻擊表面模型的基礎(chǔ)上，結(jié)合集合運(yùn)算的思想，引入兩種攻擊表面的運(yùn)算規(guī)則，在此基礎(chǔ)上，定義攻擊表面增益，并闡述了攻擊表面增益的量化評(píng)估方法。

綜上所述，移動(dòng)目標(biāo)防御技術(shù)的研究主要集中在攻擊表面轉(zhuǎn)移方法、轉(zhuǎn)移策略和移動(dòng)目標(biāo)防御有效性度量上面。其中攻擊表面轉(zhuǎn)移可以通過擾亂、多樣化和冗余的方法達(dá)到，也是目前研究的熱點(diǎn)。

移動(dòng)目標(biāo)防御作為一種新興的網(wǎng)絡(luò)安全防御技術(shù)，在化被動(dòng)防御為主動(dòng)防御方面具有先天的優(yōu)勢(shì)，然而，也面臨著許多挑戰(zhàn)。

2 面臨的挑戰(zhàn)與發(fā)展趨勢(shì)

移動(dòng)目標(biāo)防御面臨的挑戰(zhàn)和發(fā)展趨勢(shì)包括：

(1)移動(dòng)目標(biāo)防御并未從根本上解決漏洞問題

移動(dòng)目標(biāo)防御通過轉(zhuǎn)移攻擊表面達(dá)到抵御攻擊者攻擊的目的，然而，系統(tǒng)的漏洞仍然存在。比如軟件隨機(jī)化這種移動(dòng)目標(biāo)防御方法，軟件存在的漏洞并未從根本上解決，攻擊者仍然能夠通過漏洞挖掘、緩沖區(qū)溢出等方法對(duì)特定目標(biāo)實(shí)施漏洞攻擊，只是由于采用了軟件隨機(jī)化后，不同用戶的二進(jìn)制代碼不同，因而無法對(duì)其它目標(biāo)利用相同的方式實(shí)施攻擊。再如指令集隨機(jī)化，雖然能夠防止攻擊者將二進(jìn)制指令插入目標(biāo)程序成功實(shí)施攻擊，但目標(biāo)程序的漏洞也未消除，經(jīng)過精心設(shè)計(jì)的蠕蟲、病毒仍然能夠突破指令集隨機(jī)化的防線。

(2)移動(dòng)目標(biāo)防御與現(xiàn)有技術(shù)的融合

現(xiàn)有的網(wǎng)絡(luò)安全防御手段如防火墻、入侵檢測(cè)系統(tǒng)、防病毒系統(tǒng)等已部署于網(wǎng)絡(luò)中，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和配置也相對(duì)固定，而移動(dòng)目標(biāo)防御會(huì)改變現(xiàn)有的網(wǎng)絡(luò)配置，因此有可能導(dǎo)致網(wǎng)絡(luò)可用性的降低，并有可能與現(xiàn)有的網(wǎng)絡(luò)安全防御技術(shù)相互干擾。移動(dòng)目標(biāo)防御技術(shù)必須在不影響現(xiàn)有的網(wǎng)絡(luò)運(yùn)行的基礎(chǔ)上實(shí)施，必須適應(yīng)現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)協(xié)議。隨著研究的深入，移動(dòng)目標(biāo)防御技術(shù)將與現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)技術(shù)更好的融合并能更好的嵌入現(xiàn)有的網(wǎng)絡(luò)中。

(3)移動(dòng)目標(biāo)防御技術(shù)體系化發(fā)展

目前，許多學(xué)者利用移動(dòng)目標(biāo)防御思想提出了各種各樣的攻擊表面轉(zhuǎn)移方案，但其未成體系，并且不同的移動(dòng)目標(biāo)防御技術(shù)相互疊加使用有可能會(huì)產(chǎn)生沖突或不必要，因此，分析各移動(dòng)目標(biāo)防御技術(shù)影響的系統(tǒng)或網(wǎng)絡(luò)屬性，并判斷不同移動(dòng)目標(biāo)防御技術(shù)能否疊加使用，從而形成移動(dòng)目標(biāo)防御的技術(shù)體系是未來的一項(xiàng)重要工作。

(4)移動(dòng)目標(biāo)防御技術(shù)與新技術(shù)相結(jié)合

移動(dòng)目標(biāo)防御往往會(huì)改變現(xiàn)有的網(wǎng)絡(luò)配置，因此通常會(huì)造成可用性的下降，比如，IP地址跳變雖然可以一定程度上干擾攻擊者的掃描和入侵，但是可能會(huì)造成整個(gè)網(wǎng)絡(luò)通信的故障，而新出現(xiàn)的軟件定義網(wǎng)絡(luò)SDN卻從根本上改變了網(wǎng)絡(luò)結(jié)構(gòu)，使得中央控制器具有對(duì)整個(gè)網(wǎng)絡(luò)全局調(diào)控的能力，因此，在SDN技術(shù)下的IP地址跳變將會(huì)使移動(dòng)目標(biāo)防御技術(shù)對(duì)整個(gè)網(wǎng)絡(luò)造成的影響降到最低。

此外，云計(jì)算技術(shù)也得到越來越廣泛的應(yīng)用，大型數(shù)據(jù)中心在使用云計(jì)算提供便捷服務(wù)的同時(shí)，數(shù)據(jù)、服務(wù)等也變得相對(duì)集中，因此，云服務(wù)的發(fā)展與應(yīng)用中網(wǎng)絡(luò)安全顯得尤為重要，將移動(dòng)目標(biāo)防御技術(shù)與云計(jì)算技術(shù)相結(jié)合，將大大提高云服務(wù)器的主動(dòng)防御能力，保證云服務(wù)的安全性。

移動(dòng)目標(biāo)防御雖然面臨著許多挑戰(zhàn)，但其化被動(dòng)為主動(dòng)的防御思想是未來網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)，在許多領(lǐng)域都具有廣闊的應(yīng)用前景。

3 應(yīng)用前景

移動(dòng)目標(biāo)防御在軍事、電子商務(wù)、電子政務(wù)等領(lǐng)域都具有廣闊的應(yīng)用前景。

隨著軍隊(duì)信息化水平的提高，軍事通信中對(duì)信息系統(tǒng)的依賴性就越來越強(qiáng)，信息安全問題也越突出。雖然各級(jí)部門對(duì)作戰(zhàn)指揮、武器控制等重要的軍事信息系統(tǒng)采用了一些安全防護(hù)手段，但這些安全措施大多是傳統(tǒng)的防御手段，在日益復(fù)雜的網(wǎng)絡(luò)攻擊面前，顯得被動(dòng)和力不從心。因此，軍事通信網(wǎng)絡(luò)中采用移動(dòng)目標(biāo)防御技術(shù)將顯著提高軍事通信網(wǎng)絡(luò)的安全性，保障戰(zhàn)時(shí)和平時(shí)的軍事網(wǎng)絡(luò)安全。

除了軍事領(lǐng)域，移動(dòng)目標(biāo)防御在電子商務(wù)方面也具有重要的作用。如今，電子商務(wù)覆蓋范圍不斷擴(kuò)大，在商務(wù)領(lǐng)域占有很大的比重。然而，其安全性卻不容忽視，對(duì)電子商務(wù)應(yīng)用影響較多、發(fā)生率較高的互聯(lián)網(wǎng)安全事件可以分為網(wǎng)頁篡改、網(wǎng)絡(luò)蠕蟲、拒絕服務(wù)攻擊、特羅伊木馬、計(jì)算機(jī)病毒、網(wǎng)絡(luò)釣魚等，逐步成為影響電子商務(wù)應(yīng)用與發(fā)展的主要威脅。移動(dòng)目標(biāo)防御可以動(dòng)態(tài)改變?cè)O(shè)備的網(wǎng)絡(luò)配置及其它攻擊者感興趣的設(shè)備、網(wǎng)絡(luò)屬性，對(duì)電子商務(wù)安全性具有重要作用。

此外，移動(dòng)目標(biāo)防御對(duì)電子政務(wù)安全性的提高也具有重要作用。電子政務(wù)能夠顯著提高事務(wù)處理效率和加強(qiáng)資源共享，在政府、企事業(yè)單位應(yīng)用廣泛，由于電子政務(wù)使用過程中也涉及到信息的保密性、完整性保護(hù)，因此，其安全性對(duì)政府、企事業(yè)單位的運(yùn)營也具有重要影響。移動(dòng)目標(biāo)防御可以有效保護(hù)內(nèi)網(wǎng)安全，這是傳統(tǒng)網(wǎng)絡(luò)安全防御技術(shù)所欠缺的，因此，在電子政務(wù)中使用移動(dòng)目標(biāo)防御技術(shù)將有效提高其安全性。

4 結(jié) 語

本文介紹了移動(dòng)目標(biāo)防御技術(shù)的研究現(xiàn)狀，目前研究主要集中在攻擊表面的轉(zhuǎn)移方法、轉(zhuǎn)移策略和移動(dòng)目標(biāo)防御技術(shù)的有效性度量上。攻擊表面的轉(zhuǎn)移方法主要有擾亂、多樣化和冗余三種方式，也是目前研究的熱點(diǎn)。移動(dòng)目標(biāo)防御雖然引起了廣泛的研究，但其仍面臨著許多挑戰(zhàn)，未來，移動(dòng)目標(biāo)防御技術(shù)將會(huì)與現(xiàn)有技術(shù)更好的融合，也會(huì)成體系化發(fā)展，并與軟件定義網(wǎng)絡(luò)、云計(jì)算等新技術(shù)結(jié)合。移動(dòng)目標(biāo)防御技術(shù)在推廣應(yīng)用的道路上雖然還有一些問題仍未解決，但其化被動(dòng)為主動(dòng)的防御思想必然是未來的發(fā)展趨勢(shì)，在面對(duì)未知攻擊、復(fù)雜攻擊和改變攻防不對(duì)稱局面相比靜態(tài)防御技術(shù)具有先天的優(yōu)勢(shì)，在軍事、電子商務(wù)、電子政務(wù)等領(lǐng)域都具有廣闊的應(yīng)用前景。

[1] 張曉玉, 李振邦. 移動(dòng)目標(biāo)防御技術(shù)綜述[J]. 通信技術(shù). 2013, 46(6): 111-113.

[2] SUSHIL J,ANUP K G,VIPIN S, et.al.Movingtarget defense:creatingasymmetric uncertainty for cyber threats[M].New York:Springer Press,2011.

[3] Pratyusa K. Manadhata and Jeannette M. Wing. Moving target defense: creating asymmetric uncertainty for cyber threats [M]. New York:Springer Press,2011.

[4] Ehab Al-Shaer. Moving target defense: creating asymmetric uncertainty for cyber threats [M]. New York:Springer Press,2011.

[5] H. Okhravi, A. Comella, E. Robinson, S. Yannalfo, P. Michaleas, and J. Haines. Critical Infrastructure Protection V [M]. Springer Berlin Heidelberg, 2011.

[6] JafarHaddiJafarian, Ehab AI-Shaer.etc. Openflowrandomhost mutation: transparent moving target defense using software defined networking [C]. New York: HotSDN’12 Proceedings of the first workshop on hot topics in software defined networks, 2012.

[7] 高誠, 陳世康, 王宏, 董青. 基于 SDN 架構(gòu)的地址跳變技術(shù)研究[J]. 通信技術(shù). 2015, 48(4): 430-434.

[8] 唐秀存, 張連成, 史曉敏, 徐良華. 基于端口跳變的 SDN 網(wǎng)絡(luò)防御技術(shù)[J]. 計(jì)算機(jī)應(yīng)用研究. 2016, 33(10): 3083-3087.

[9] 唐秀存, 張連成, 孔亞洲, 徐良華. 基于透明同步與隨機(jī)時(shí)隙的SDN 地址端口跳變方案[J]. 計(jì)算機(jī)應(yīng)用研究. 2016, 33(12): 3774-3779.

[10]趙星, 湯紅波, 王文博, 等. 一種HSS 移動(dòng)目標(biāo)防御方法[J]. 計(jì)算機(jī)應(yīng)用研究. 2016, 34.

[11]Todd Jackson, BabakSalamat.etc. Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats [M]. New York: Springer Press,2011.

[12]Martin Rinard. Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats [M].New York: Springer Press,2011.

[13]Mihai Christodorescu, Matthew Fredrikson.etc. Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats[M].New York: Springer Press,2011.

[14]Yih Huang and Anup K. Ghosh. Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats [M].New York: Springer Press,2011.

[15]David Evans, Anh Nguyen-Tuong.etc. Moving Target Defense:Creating Asymmetric Uncertainty for Cyber Threats [M].New York:Springer Press,2011.

[16]Georgios Portokalidis and Angelos D. Keromytis. Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats [M].New York:Springer Press,2011.

[17]鄔江興. 擬態(tài)計(jì)算與擬態(tài)安全防御的原意和愿景[J]. 電信科學(xué), 2014, 30(7): 2-7.

[18]蔡桂林, 王寶生, 王天佐, 羅躍斌, 王小峰, 崔新武. 移動(dòng)目標(biāo)防御技術(shù)研究進(jìn)展[J]. 計(jì)算機(jī)研究與發(fā)展. 2016, 53(5): 968-987.

[19]Eric Yuan, Sam Malek. Architecture-Based Self-Protecting Software Systems [C]. New York: QoSA '13 Proceedings of the 9th international ACM Sigsoft conference on Quality of software architectures. 2013.

[20]F. Chang, M. Ji, S. Leung, J. MacCormick, S. Perl, and L. Zhang. Myriad: Cost-Effective Disaster Tolerance[C].in Proc. of USENIX Conference on File and Storage Technologies (FAST 2002), 2002.

[21]扈紅超, 陳福才, 王禛鵬. 擬態(tài)防御DHR模型若干問題探討和性能評(píng)估[J]. 信息安全學(xué)報(bào). 2016, 1(4): 40-51.

[22]Pratyusa K. Manadhata. Moving Target DefenseⅡ[M].New York:Springer Press,2012.

[23]Cleotilde Gonzalez. Moving Target DefenseⅡ[M].New York:Springer Press,2012.

[24]Don Torrieri, SencunZhu.etc. Moving Target DefenseⅡ[M].New York:Springer Press,2012.

[25]Jin B. Hong, Dong Seong Kim. Scalable Security Models for Assessing Effectiveness of Moving Target Defenses [C]. NW Atlanta: 2014 44th Annual IEEE/IFIP International Conference on Dependable Systems and Networks. 2014.

[26]Pratyusa K. Manadhata and Jeannette M. Wing. An attack surfacemetric[J]. IEEE Transactions on Software Engineering,2011, 33(3): 371-386.

[27]Zhuang R, DeLoach S A, Ou X. A model for analyzing the effectof moving target defenses on enterprise networks[C]. Proceedingsof the 9th Annual Cyber and Information Security Research Conference. ACM, 2014: 73-76.

[28]Yujuan Han, Wenlian Lu, Shouhuai Xu. Characterizing the Powerof Moving Target Defense via Cyber Epidemic Dynamics[C]. HotSoS’14, NC: Proceedings of the 2014 Symposium and Bootcamp on theScience of Security, 2014.

[29]潘盈, 祝凱捷, 李偉, 王凱, 王東霞. 攻擊表面的數(shù)學(xué)運(yùn)算方法[J]. 信息工程大學(xué)學(xué)報(bào). 2016, 17(3): 313-316.

The Research Summary of Moving Target Defense Technology

FAN Lin-na1, MA Yu-feng1, HUANG He1, HE Na2,SUN Zheng-yao3

(1. Xi’an Communications Institute, Xi'an 710106, China 2. 61858 troops of PLA, Xi’an 710100, China;3. 68058 troops of PLA, Lanzhou, 730030, China)

Moving Target Defense is an active and dynamic network security technology. It can frustrate the attacker through changing the attack surface. Doing deep research on Moving Target Defense has significant importance to the network security of our country. The paper summarizes the current status of the research on Moving Target Defense in aspects of attack surface moving method, moving policy and the effectiveness of the Moving Target Defense. After that, the paper analyzes its challenges and trends. Although the Moving Target Defense has not formed architecture and it still has a distance from application, the active and dynamic characteristics make it has great advantage compared with the traditional security technology in facing unknown attack, complex attack and changing the asymmetry of attacker and defender and has broad application prospects.

Moving Target Defense; Active Defense; Dynamic defense; Attack surface

10.3969/j.issn.1673-5692.2016.02.020

2017-01-02

2017-03-25

便攜式手機(jī)防竊聽加密技術(shù)研究及設(shè)備研制，陜西省自然科學(xué)基礎(chǔ)研究計(jì)劃項(xiàng)目(2014JM2-6097)

TP309.2

A

1673-5692(2017)02-209-06

樊琳娜(1987—)，女，陜西人，講師，主要研究方向網(wǎng)絡(luò)安全、機(jī)器學(xué)習(xí)；

E-mail:fanlinnafanlina@163.com

馬宇峰(1978—),男，陜西人，教授，主要研究方向?yàn)榫W(wǎng)絡(luò)安全；

黃 河(1988—)，男，陜西人，助教，主要研究方向?yàn)槊艽a學(xué)；

何 娜(1984—)，女，陜西人，工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全；

孫鉦堯(1986—)，男，甘肅人，助理工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)安全。