一種基于主動防御技術(shù)的跳擴混合Web應(yīng)用系統(tǒng)設(shè)計

劉 杰，劉建國，朱春祥

(1.武警某部信息通信局， 北京 100036； 2.國防信息學(xué)院， 武漢 430010)

?

一種基于主動防御技術(shù)的跳擴混合Web應(yīng)用系統(tǒng)設(shè)計

劉 杰1，劉建國2，朱春祥2

(1.武警某部信息通信局， 北京 100036； 2.國防信息學(xué)院， 武漢 430010)

由于網(wǎng)絡(luò)信息系統(tǒng)的靜態(tài)性、相似性和確定性，使傳統(tǒng)的被動防御已無法應(yīng)對當(dāng)前自動化、復(fù)雜化、大規(guī)?；木W(wǎng)絡(luò)攻擊。運用主動防御技術(shù)構(gòu)建網(wǎng)絡(luò)安全防御體系，是提高網(wǎng)絡(luò)抗攻擊性能的有效解決辦法?；谥鲃臃烙夹g(shù)，設(shè)計了一種由Web服務(wù)器、可信客戶端、同步模塊組成的跳擴混合Web應(yīng)用系統(tǒng)。明確了系統(tǒng)在多種工作模式下獲取Web服務(wù)的工作過程和需要進一步研究的關(guān)鍵技術(shù)。

網(wǎng)絡(luò)安全；主動防御；跳變技術(shù)；Web服務(wù)

主動防御技術(shù)是近年發(fā)展起來的一種網(wǎng)絡(luò)安全防護新技術(shù)，該技術(shù)不同于以往的網(wǎng)絡(luò)安全研究思路，并不追求完善無暇的系統(tǒng)對抗攻擊，而是通過不斷變化(或跳變)被保護對象來增加攻擊的難度和代價，以達到防護目標的目的。目前，國內(nèi)外網(wǎng)絡(luò)安全主動防御的理論和技術(shù)研究取得了很大進展。美國針對網(wǎng)絡(luò)攻防的不對稱性，提出了移動目標防御思路：致力構(gòu)建一種動態(tài)的、異構(gòu)的、不確定的網(wǎng)絡(luò)，通過增加系統(tǒng)的隨機性或減少系統(tǒng)的可預(yù)見性達到防護目的，通過不斷的變化(或跳變)來增加攻擊的難度和代價[1-3]。美陸軍還授予雷聲公司“限制敵方偵察的變形網(wǎng)絡(luò)設(shè)施(MORPHINATOR)”項目，研制具有“變形”能力的計算機網(wǎng)絡(luò)原型機[4]。在國內(nèi)，電子科技大學(xué)提出了基于服務(wù)多態(tài)的IP網(wǎng)絡(luò)生存模型[5]，國防科技大學(xué)提出了信息系統(tǒng)防護體系多樣化動態(tài)漂移技術(shù)框架[6]，解放軍信息工程大學(xué)提出了基于多穴跳變的IPv6主動防護模型[7]，信息工程大學(xué)運用基于擬態(tài)計算的主動認知可重構(gòu)體系結(jié)構(gòu)網(wǎng)絡(luò)安全技術(shù)研制出了擬態(tài)計算機，以降低病毒、木馬等惡意程序和后門漏洞帶來的危害[8-9]。總體上講，這些研究成果還處在理論研究和探索階段，還沒有成熟的產(chǎn)品和完整的技術(shù)解決方案。本系統(tǒng)基本設(shè)計思路：構(gòu)建可信任的內(nèi)部網(wǎng)絡(luò)環(huán)境，采取端口、地址、路由、服務(wù)等多要素的綜合跳變技術(shù)，通過網(wǎng)絡(luò)架構(gòu)、軟件、數(shù)據(jù)的動態(tài)變遷，從多層面斬斷攻擊鏈條，實現(xiàn)安全效能倍增。該系統(tǒng)與傳統(tǒng)信息安全系統(tǒng)互補增強，共同形成面向風(fēng)險管控的主動安全防御體系。

1 系統(tǒng)架構(gòu)

系統(tǒng)運用端信息跳變技術(shù)，使通信雙方地址和端口等端信息在通信過程中不斷進行跳變和擴展，并不斷在新的地址和端口之間建立連接，保證通信過程中的端信息動態(tài)變化，這樣攻擊者就無法得到通信主機的真實信息，攻擊也就無從下手，可以從根源上阻斷攻擊的發(fā)生，從而實現(xiàn)對主機系統(tǒng)的主動安全防御。

1.1 系統(tǒng)邏輯結(jié)構(gòu)

系統(tǒng)主要由Web服務(wù)器、可信客戶端、同步模塊三大功能模塊組成，如圖1所示。其中：Web服務(wù)器主要由跳變模塊和服務(wù)提供模塊組成，除完成端信息隨機跳變和用戶身份認證過程中的端信息擴展應(yīng)用外，主要為用戶提供正常、端信息跳變、跳擴混合3種服務(wù)模式。將端信息隨機跳變與端信息擴展兩部分結(jié)合，是系統(tǒng)實現(xiàn)主動防御功能的核心技術(shù)?？尚趴蛻舳耸且讶〉肳eb服務(wù)認證和跳擴同步的客戶端，由服務(wù)請求模塊和服務(wù)提供模塊組成，對于Web服務(wù)器上的內(nèi)容具有訪問獲取的權(quán)限。同步模塊是位于網(wǎng)絡(luò)中一種獨立的服務(wù)模塊，由精準時間跳變同步、UDP發(fā)言人時間戳同步、跳擴混合同步3部分組成，采用兩層設(shè)計：第1層是作為可信客戶端獲取Web服務(wù)器工作模式；第2層是各個模塊對UDP發(fā)言人服務(wù)以同步方式引入。為使系統(tǒng)提供穩(wěn)定可靠服務(wù)，必須攻克的關(guān)鍵技術(shù)有：① 動態(tài)服務(wù)跳變適配技術(shù)，研究服務(wù)數(shù)據(jù)同步共享機制，實現(xiàn)服務(wù)在異構(gòu)平臺上高速隨機切換，并通過服務(wù)跳變代理為用戶提供統(tǒng)一服務(wù)，實現(xiàn)業(yè)務(wù)的“透明”訪問；② 跳變圖案生成技術(shù)，研究動態(tài)跳變圖案生成技術(shù)(如改良的混沌算法生成跳變圖案)，在保證系統(tǒng)服務(wù)跳變、網(wǎng)絡(luò)跳變和路由跳變高速協(xié)同工作時提升跳變圖案的健壯性和抗破解性；③ 網(wǎng)絡(luò)動態(tài)切換技術(shù)，研究動態(tài)路由和動態(tài)地址雙重切換的網(wǎng)絡(luò)動態(tài)切換技術(shù)，實現(xiàn)對網(wǎng)絡(luò)流量的靈活控制[10]；④ 全局時鐘同步技術(shù)，研究基于北斗的時鐘同步技術(shù)，解決全網(wǎng)分布式時鐘同步問題(基于動態(tài)防護網(wǎng)絡(luò)本身的時鐘同步機制無法實現(xiàn)全局全網(wǎng)且滿足高速跳變的時鐘同步[11-12])。

1.2 系統(tǒng)網(wǎng)絡(luò)架構(gòu)

跳擴混合Web應(yīng)用系統(tǒng)各功能模塊部署在廣域網(wǎng)環(huán)境中，通過綜合運用端信息跳變和端信息擴展，并通過UDP發(fā)言人完成高速率跳變的端信息同步，如圖2所示。系統(tǒng)由分布在不同物理位置的2個通信子系統(tǒng)，通過內(nèi)部防火墻、外部防火墻連接外部網(wǎng)絡(luò)而成一個大的信息通信網(wǎng)絡(luò)。外部防火墻和內(nèi)部防火墻為通信子系統(tǒng)提供兩層安全防護。跳擴混合的Web應(yīng)用防護模塊部署在外部防火墻的DMZ區(qū)域，不受外墻保護，面臨截獲攻擊、拒絕服務(wù)攻擊等安全威脅高。Web服務(wù)器通過自身的跳擴混合技術(shù)和可信客戶端插件方式，實現(xiàn)Web應(yīng)用的安全防護?？尚趴蛻舳税l(fā)起服務(wù)請求時首先向UDP發(fā)言人發(fā)起詢問當(dāng)前Web服務(wù)器的跳變狀態(tài)，UDP發(fā)言人通過輕量級的UDP服務(wù)告知可信客戶端。可信客戶端通過對狀態(tài)的解析確定采用何種跳變策略與服務(wù)器進行同步，并發(fā)起服務(wù)請求，服務(wù)器端接受并驗證可信客戶端的服務(wù)請求，為其提供所請求的服務(wù)。

圖1 跳擴混合Web應(yīng)用系統(tǒng)功能模塊

圖2 跳擴混合Web應(yīng)用系統(tǒng)網(wǎng)絡(luò)架構(gòu)

2 同步方式

系統(tǒng)服務(wù)器提供正常、端信息跳變、跳擴混合3種工作模式。對無安全需求的服務(wù)，按傳統(tǒng)正常模式提供服務(wù)；對有安全需求的服務(wù)，服務(wù)器按端信息跳變或跳擴混合工作模式提供服務(wù)。各種服務(wù)工作模式由服務(wù)提供者根據(jù)服務(wù)安全等級選擇。在端信息跳變和跳擴混合工作模式下，系統(tǒng)是否能正常工作，取決于通信雙方是否能保持同步。針對不同的安全需求，系統(tǒng)采取不同的同步策略，包括精準時間同步、UDP發(fā)言人時間戳同步、跳擴混合同步。系統(tǒng)工作模式和同步方式選擇均由管理者在Web服務(wù)器管理界面上進行設(shè)置。

2.1 精準時鐘同步

利用精準的時鐘同步使Web服務(wù)器及可信客戶端兩部分同步跳變，使客戶端能夠精準地知曉服務(wù)器端當(dāng)前提供服務(wù)的端信息的信息。其特點是簡單實用、復(fù)雜度低，但易遭受攻擊而發(fā)生時鐘漂移。當(dāng)發(fā)生時鐘漂移時會導(dǎo)致同步失效，Web服務(wù)器與可信客戶端之間的通信不能正確地繼續(xù)進行。此方法不支持高速跳變，當(dāng)跳變速度過快時，發(fā)生時鐘漂移的概率會大大增加，因此僅適于受攻擊程度較低的網(wǎng)絡(luò)。利用精準時鐘同步的方式能夠滿足低速率、低代價的端信息跳變服務(wù)功能，達到服務(wù)器與客戶端高效連接的目的。

2.2 UDP發(fā)言人時間戳同步

UDP發(fā)言人時間戳同步是一種適于遠程應(yīng)用的UDP 代言人服務(wù)同步方法。UDP發(fā)言人服務(wù)將生成端信息的時間戳通過輕量級UDP服務(wù)告知來訪者。UDP發(fā)言人服務(wù)同步方式無需的嚴格時鐘同步，同步過程中以公眾服務(wù)的方式傳遞時間戳而不是端信息。攻擊者由于沒有跳變算法，即便獲得了時間戳也無法計算出服務(wù)端信息，無法完成有效攻擊。與TCP數(shù)據(jù)服務(wù)相比，UDP 發(fā)言人服務(wù)提供了極輕量的時間戳應(yīng)答服務(wù)，代價極低且抗攻擊性好，具有較好的實用意義。UDP發(fā)言人時間戳同步使用NTP服務(wù)器提供的高精準度時間進行校正(LAN與標準時間差小于1 ms，WAN與標準時間差幾十毫秒)，NTP高精準度時間從“北斗”上獲取。NTP適用于在一個無序的網(wǎng)絡(luò)環(huán)境下提供精確和健壯的時間服務(wù)，使Web服務(wù)器及可信客戶端兩部分同步跳變，使客戶端能夠精準地知曉服務(wù)器端當(dāng)前提供服務(wù)的端信息，從而能夠向Web服務(wù)器發(fā)起安全連接。對于客戶端，當(dāng)其要訪問Web服務(wù)器或有數(shù)據(jù)要發(fā)送時，首先獲取本地的當(dāng)前時間戳，通過私密算法，確定當(dāng)前服務(wù)器提供服務(wù)的地址和端口號，接著向服務(wù)器發(fā)起連接請求，完成一次數(shù)據(jù)包的發(fā)送，然后按照該流程循環(huán)發(fā)送數(shù)據(jù)，直到通信過程結(jié)束。對于服務(wù)器，當(dāng)其開啟服務(wù)時，首先獲取本地的當(dāng)前時間戳，然后確定當(dāng)前有效的地址和端口號，接著在所有有效的地址和端口號上啟動網(wǎng)絡(luò)監(jiān)聽，循環(huán)判斷是否有數(shù)據(jù)連接請求，如果有就接受其連接，完成數(shù)據(jù)的接收。

2.3 跳擴混合同步

跳擴混合同步是利用端信息跳變與端信息擴展相結(jié)合，實現(xiàn)在端信息高速動態(tài)變化的過程中進行準確身份認證與通信同步的同步方式。端信息跳變和擴展均采用偽隨機跳擴方式，能夠有效地迷惑攻擊者，使攻擊者難以實施對系統(tǒng)的攻擊。端信息跳擴混合技術(shù)是實現(xiàn)在端信息高速跳變的情況下進行可信客戶端認證的一種創(chuàng)新方法，它能夠保證系統(tǒng)的安全性及機密性，對于DoS攻擊，截獲攻擊等具有很強的防御能力。跳擴混合同步方式的最大優(yōu)點是能夠支持高速跳變服務(wù)，適于攻擊程度高環(huán)境下的可靠網(wǎng)絡(luò)通信，滿足高速跳變時通信雙方建立連接的功能需求。其缺點是過程比較復(fù)雜，開銷大，因而數(shù)據(jù)傳輸速率受到影響，但不存在時鐘漂移問題。

3 跳擴插件

跳擴插件是針對Web服務(wù)系統(tǒng)的專用插件，包括IE瀏覽器插件和Firefox插件。跳擴插件對端信息跳擴Web服務(wù)系統(tǒng)進行身份認證，擁有跳擴插件的客戶端即視為可信客戶端，可通過認證訪問并獲取Web服務(wù)的內(nèi)容，完成客戶端對服務(wù)器的訪問?？尚趴蛻舳艘圆寮男问桨惭b并運行在瀏覽器中，可信客戶通過向UDP發(fā)言人請求當(dāng)前Web服務(wù)器的工作模式來確定服務(wù)請求同步方式。

3.1 IE瀏覽器插件

IE瀏覽器插件安裝在可信客戶端的IE瀏覽器上，實現(xiàn)用戶對Web服務(wù)的訪問。該插件設(shè)計三個基本功能模塊：一是傳統(tǒng)正常訪問服務(wù)器模塊；二是端信息跳變下的訪問模塊；三是跳擴方式下的訪問模塊。為了更方便快捷地知曉當(dāng)前服務(wù)器的狀態(tài)，在本系統(tǒng)設(shè)計中，客戶端和服務(wù)器之間設(shè)置了一個UDP發(fā)言人服務(wù)器，當(dāng)客戶端想要向服務(wù)器請求服務(wù)時，需事先知曉服務(wù)器處于正常、端信息跳變、跳擴混合三種狀態(tài)的哪一種狀態(tài)，以此來決定插件的工作方式。其工作流程是：服務(wù)器向UDP發(fā)言人服務(wù)器報告自己的當(dāng)前狀態(tài)，當(dāng)客戶端想要請求訪問服務(wù)器時，首先向UDP發(fā)言人服務(wù)器詢問請求，UDP發(fā)言人服務(wù)器將服務(wù)器當(dāng)前服務(wù)狀態(tài)告知客戶端，客戶端據(jù)此選擇自身工作方式。

3.2 Firefox插件

Firefox插件主要完成火狐瀏覽器在任意時刻能獲取Web服務(wù)器所用的IP和所開放的端口，保障火狐瀏覽器正確訪問該Web服務(wù)器。該插件主要分為三個模塊：第一個模塊實現(xiàn)在Web服務(wù)器不進行跳變時的正常訪問；第二個模塊是在Web服務(wù)器端口和IP地址通過時間戳不斷跳變時，保證用戶能訪問到正確的端口和IP，從而完成訪問連接；第三個模塊是針對跳擴的情形，Web服務(wù)器根據(jù)客戶端發(fā)送的端信息來選擇開放的IP和端口，此時需擴展要訪問的IP和端口來完成正常訪問。在對服務(wù)器訪問之前，首先對服務(wù)器狀態(tài)進行判斷，來確定客戶端的工作模式。其工作流程是：瀏覽器向UDP發(fā)言人發(fā)出請求，UDP發(fā)言人返回服務(wù)器當(dāng)前同步狀態(tài)，瀏覽器對同步狀態(tài)進行解析。

4 Web服務(wù)

系統(tǒng)提供基礎(chǔ)的Web服務(wù)，能夠在系統(tǒng)端信息跳變與不跳變的情況下正常提供服務(wù)。Web服務(wù)器是一種被動的程序，只有當(dāng)客戶端發(fā)出的請求時，服務(wù)器才會響應(yīng)。因此無論何種同步策略，都能以無狀態(tài)、無連接的方式通過獲得同步信息請求服務(wù)得到服務(wù)器的響應(yīng)。Web服務(wù)功能分為時間模塊、監(jiān)聽套接字模塊、請求應(yīng)答模塊、關(guān)閉連接模塊4個模塊。

4.1 時間模塊

用于獲取當(dāng)前服務(wù)器時間。Web服務(wù)器響應(yīng)請求時，Web服務(wù)器應(yīng)答消息報頭中包含服務(wù)器消息發(fā)出的時間。

4.2 偵聽套接字模塊

用于傾聽和接收客戶端進程的連接請求。使用socket函數(shù)創(chuàng)建套接字描述符，bind函數(shù)將套接口和機器上的一定的端口號綁定在一起，在跳變過程中，bind函數(shù)改變跳變的端信息，然后使用listen函數(shù)將一個套接字轉(zhuǎn)換為被動偵聽套接字(listening socket)，并在套接字指定的端口上開始偵聽。

4.3 請求應(yīng)答模塊

請求模塊：客戶端主動發(fā)起請求時，通過TCP三次握手和服務(wù)端建立連接。偵聽套接字先接收客戶端進程的連接請求，完成連接建立后再進行HTTP請求。

應(yīng)答模塊：由狀態(tài)行、消息報頭、響應(yīng)正文組成HTTP響應(yīng)，給出Web服務(wù)器返回資源的內(nèi)容，即一個靜態(tài)網(wǎng)頁的內(nèi)容。

4.4 關(guān)閉連接模塊

在每次Web服務(wù)器響應(yīng)完成后，關(guān)閉客戶端和服務(wù)端之間的連接。不同于傳統(tǒng)的TCP連接過程，由于Web服務(wù)器在跳變過程中，采用了無狀態(tài)、無連接的方式對請求服務(wù)的可信客戶端提供服務(wù)，因此服務(wù)完成后，需關(guān)閉二者的連接。

5 結(jié)束語

目前一些被動防御手段僅僅在攻擊發(fā)生時或發(fā)生后對數(shù)據(jù)和系統(tǒng)進行安全防御，并不能從根源上阻止攻擊的發(fā)生。本設(shè)計系統(tǒng)則不針對特定攻擊技術(shù)、模式和特征采取針對性防御，而是破壞攻擊者的攻擊依賴環(huán)境，阻斷攻擊鏈條，通過服務(wù)跳變、地址跳變和路由跳變?nèi)貏討B(tài)主動防護措施，在“基于認知的主動決策”的控制下有序協(xié)調(diào)工作，形成動態(tài)的、非確定的網(wǎng)絡(luò)空間，極大地增加了攻擊難度，提高了信息通信系統(tǒng)的可信服務(wù)性能。

[1] JAJODIA S,GHOSH A K,SWARUP V,et al.Moving target defense:creating asymmetric uncertainty for cyber threats[M].[S.l.]:Springer Science & Business Media,2011.

[2] CUI A,STOLFO S J.Symbiotes and defensive Mutualism:Moving Target Defense[M]//Moving Target Defense.New York:Springer,2011.

[3] ALBANESE M,DE BENEDICTIS A,JAJODIA S,et al.A moving target defense mechanism for manets based on identity virtualization[C]//Communications and Network Security (CNS),2013 IEEE Conference on.[S.l.]:IEEE,2013.

[4] 盧青.美國國防部加強網(wǎng)絡(luò)安全的新舉措[J].外軍軍事學(xué)術(shù)，2014(7)：39-41.

[5] 吳雄飚.基于服務(wù)多態(tài)的網(wǎng)絡(luò)生存模型及漂移算法[D].成都：電子科技大學(xué)，2009.

[6] 黃遵國，盧錫城，胡華世.生存能力技術(shù)及其案例研究[J].通信學(xué)報,2004，25(7)：137-145.

[7] 劉慧生，王振興，郭毅.一種基于多穴跳變的IPv6主動防御模型[J].電子與信息學(xué)報,2012，34(7):1715-1720.

[8] 鄔江興.網(wǎng)絡(luò)空間擬態(tài)安全防御[J].保密科學(xué)技術(shù),2014，5(10)：4-9.

[9] 鄔江興.擬態(tài)計算與擬態(tài)安全防御的原意和愿景[J].電信科學(xué),2014，59(7)：1-7.

[10]高誠，陳世康，王宏.基于SDN架構(gòu)的地址跳變技術(shù)研究[J].通信技術(shù),2015,48(4)：430-434.

[11]FU Z,PAPATRIANTAFILOU M,TSIGAS P.Mitigating distributed denial of service attacks in multiparty applications in the presence of clock drifts[J].IEEE Transactions on Dependable and Secure Computing,2012,9(3):401-413.

[12]ATIGHETCHI M,PAL P,WEBBER F,et al..Adaptive use of network-centric mechanisms in cyber-defense[C]//roceedings of the 6th IEEE International Symposium on Object-Oriented Real-Time Distributed Computing.Hokkaido:IEEE,2003:183-192.

(責(zé)任編輯 劉 舸)

Design of Web Application System with Hopping and Spreading Mixed Characteristics Based on Active Defense Technique

LIU Jie1, LIU Jian-guo2， ZHU Chun-xiang2

(1. Information Communications Agency of a Department in the Armed Police Force, Beijing 100036，China; 2.PLA Academy of National Defense Information, Wuhan 430010, China)

Traditional passive network defense technique could not cope with nowadays automatic, complex and large scale network attacks, due to the static, similar and certain properties. It is an effective method to enhance network anti-attack ability by applying active network defense techniques (ANDT) in constructing network security defense system. The paper designed a web application system with hopping and spreading (HAS) mixed characteristics based on ANDT, which consists of web servers, trust-able clients and synchronization modules. Furthermore, we described the process for accessing web service when the system operated under various modes, and pointed out the key techniques that needed further research.

network security; active defense; hopping techniques; web service

2017-03-15

劉杰(1971—)，男，博士研究生，高級工程師，主要從事信息安全研究；通訊作者 朱春祥(1965—)，男，教授，主要從事通信與信息系統(tǒng)研究，E-mail:wuhanzcx@126.com。

劉杰，劉建國，朱春祥.一種基于主動防御技術(shù)的跳擴混合Web應(yīng)用系統(tǒng)設(shè)計[J].重慶理工大學(xué)學(xué)報(自然科學(xué))，2017(6):134-139.

format：LIU Jie, LIU Jian-guo，ZHU Chun-xiang.Design of Web Application System with Hopping and Spreading Mixed Characteristics Based on Active Defense Technique[J].Journal of Chongqing University of Technology(Natural Science)，2017(6):134-139.

10.3969/j.issn.1674-8425(z).2017.06.020

TP393

A

1674-8425(2017)06-0134-06