基于POF的網(wǎng)絡(luò)竊聽攻擊移動目標(biāo)防御方法

馬多賀，李瓊，林東岱

?

基于POF的網(wǎng)絡(luò)竊聽攻擊移動目標(biāo)防御方法

馬多賀1，李瓊2，林東岱1

（1. 中國科學(xué)院信息工程研究所信息安全國家重點(diǎn)實(shí)驗(yàn)室，北京 100093；2. 哈爾濱工業(yè)大學(xué)計(jì)算機(jī)學(xué)院信息對抗技術(shù)研究所，黑龍江 哈爾濱 150001）

網(wǎng)絡(luò)竊聽攻擊是網(wǎng)絡(luò)通信安全的重大威脅，它具有隱蔽性和無干擾性的特點(diǎn)，很難通過傳統(tǒng)的流量特征識別的被動防御方法檢測到。而現(xiàn)有的路徑加密和動態(tài)地址等方法只能混淆網(wǎng)絡(luò)協(xié)議的部分字段，不能形成全面的防護(hù)。提出一種基于協(xié)議無感知轉(zhuǎn)發(fā)（POF, protocol-oblivious forwarding）技術(shù)的移動目標(biāo)防御（MTD, moving target defense）方法，通過私有協(xié)議分組隨機(jī)化策略和動態(tài)路徑欺騙分組隨機(jī)丟棄策略，大大提高攻擊者實(shí)施網(wǎng)絡(luò)竊聽的難度，保障網(wǎng)絡(luò)通信過程的隱私性。通過實(shí)驗(yàn)驗(yàn)證和理論分析證明了該方法的有效性。

移動目標(biāo)防御；竊聽攻擊；協(xié)議棧隨機(jī)化；網(wǎng)絡(luò)空間欺騙；協(xié)議無感知轉(zhuǎn)發(fā)

1 引言

網(wǎng)絡(luò)竊聽[1,2]已經(jīng)成為黑客實(shí)施網(wǎng)絡(luò)攻擊的重要步驟和手段。網(wǎng)絡(luò)竊聽的攻擊者通過鏡像流量、數(shù)據(jù)復(fù)制等方式截獲網(wǎng)絡(luò)數(shù)據(jù)，再利用網(wǎng)絡(luò)分析軟件對數(shù)據(jù)進(jìn)行解析，從而獲取通信雙方的位置信息以及通信的內(nèi)容。當(dāng)前，wireshark等多種軟件已經(jīng)能夠?qū)Ω鞣N標(biāo)準(zhǔn)協(xié)議進(jìn)行全分組分解，甚至加密數(shù)據(jù)分組仍然能夠通過流量統(tǒng)計(jì)分析手段進(jìn)行猜測和逆向得到部分位置信息。由于該類攻擊手段具有隱蔽性和無干擾性的特點(diǎn)，傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備無法通過流特征檢測攻擊。

通常情況下，網(wǎng)絡(luò)傳輸采用標(biāo)準(zhǔn)協(xié)議，在通信過程中傳輸路徑也相對固定，攻擊者很容易截獲數(shù)據(jù)分組并重組和恢復(fù)數(shù)據(jù)分組的內(nèi)容，達(dá)到竊取隱私數(shù)據(jù)[3,4]或篡改數(shù)據(jù)分組以便構(gòu)造中間人（man-in-the-middle）攻擊[5,6]、DDoS等其他攻擊的目的。在無線網(wǎng)絡(luò)中，由于無線信號不受物理限制，攻擊者部署裝置以接收信號進(jìn)行網(wǎng)絡(luò)竊聽相對容易，因此，無線網(wǎng)絡(luò)安全性受到極大威脅。網(wǎng)絡(luò)竊聽攻擊利用現(xiàn)有網(wǎng)絡(luò)通信過程中網(wǎng)絡(luò)協(xié)議和傳輸路徑不變的弱點(diǎn)，在網(wǎng)絡(luò)傳輸路徑上實(shí)施數(shù)據(jù)分組抓取的竊聽攻擊或入侵網(wǎng)絡(luò)傳輸節(jié)點(diǎn)，從傳輸設(shè)備內(nèi)部進(jìn)行內(nèi)存讀取、數(shù)據(jù)分組捕獲[5]。因此，靜態(tài)的網(wǎng)絡(luò)配置是造成網(wǎng)絡(luò)攻擊者能夠成功實(shí)施竊聽攻擊的根本原因，為黑客實(shí)施網(wǎng)絡(luò)竊聽攻擊帶來了便利。

目前，針對網(wǎng)絡(luò)竊聽攻擊的防御研究主要分為被動防御和主動防御。被動防御方法包括網(wǎng)絡(luò)隔離和數(shù)據(jù)加密。VLAN等網(wǎng)絡(luò)隔離技術(shù)[7,8]限制網(wǎng)絡(luò)廣播分組的傳播范圍，能夠在一定程度上抵御網(wǎng)絡(luò)竊聽攻擊，然而該方法對于同一個(gè)子網(wǎng)內(nèi)的竊聽攻擊者是無效的。VPN等隧道加密技術(shù)、SSL等端到端的加密技術(shù)對傳輸數(shù)據(jù)的負(fù)載部分進(jìn)行了加密，但無法抵御內(nèi)部攻擊[1]，同時(shí)無法抵御基于統(tǒng)計(jì)的流量追蹤攻擊[3]。在無線網(wǎng)絡(luò)防竊聽攻擊方面，由于無線中繼設(shè)備本身就具有協(xié)議協(xié)商和路徑調(diào)度的機(jī)制，因此，研究者能夠在無線傳輸協(xié)商過程中間提出新的安全調(diào)度策略和新的安全增強(qiáng)的加密協(xié)議。這些方法易于實(shí)施和驗(yàn)證，被學(xué)術(shù)界廣泛研究，其中，隨機(jī)網(wǎng)絡(luò)線性編碼（RLNC）方法以及加密的隨機(jī)網(wǎng)絡(luò)線性編碼是最為常用的方法。但是網(wǎng)絡(luò)編碼只保護(hù)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)字段，對數(shù)據(jù)分組頭部沒有保護(hù)。這些被動防御方法也沒有改變網(wǎng)絡(luò)傳輸過程中的配置靜態(tài)性問題，攻擊者能夠獲取到加密隧道的數(shù)據(jù)分組，并且能夠?qū)用軘?shù)據(jù)分組進(jìn)行基于統(tǒng)計(jì)特征和協(xié)議分析等逆向攻擊，以獲取“源—目的”通信流對[9]，得到通信雙方的位置信息。為了解決被動防御手段的不足，主動防御方法被研究者相繼提出，其中，移動目標(biāo)防御[10]不依賴于攻擊檢測，成為網(wǎng)絡(luò)安全研究的新方向。

MTD是一種主動防御技術(shù)，它通過多樣的、動態(tài)改變的構(gòu)建部署機(jī)制及策略來增加攻擊者的攻擊難度和代價(jià)，有效限制漏洞暴露和被攻擊者利用的機(jī)會[11,12]。網(wǎng)絡(luò)MTD的核心思想和改變保護(hù)目標(biāo)網(wǎng)絡(luò)屬性來轉(zhuǎn)移攻擊面，以提高攻擊的難度和增加攻擊成本的方式使攻擊者放棄攻擊。但是現(xiàn)有網(wǎng)絡(luò)MTD技術(shù)仍然受標(biāo)準(zhǔn)協(xié)議[13~15]和靜態(tài)路徑的制約[16~18]，攻擊面轉(zhuǎn)換空間有限。

軟件定義網(wǎng)絡(luò)（SDN, software defined networking）[19]的發(fā)展以及協(xié)議無感知轉(zhuǎn)發(fā)[20]技術(shù)的出現(xiàn)，打破了以往傳統(tǒng)網(wǎng)絡(luò)中靜態(tài)標(biāo)準(zhǔn)協(xié)議的固有模式，給解決針對傳統(tǒng)網(wǎng)絡(luò)協(xié)議分析的安全防御問題帶來新的思路。

本文提出一種基于POF的移動目標(biāo)防御方法，實(shí)現(xiàn)不可信網(wǎng)絡(luò)環(huán)境中明文數(shù)據(jù)分組的安全傳輸。該方法利用POF的協(xié)議定制能力實(shí)現(xiàn)網(wǎng)絡(luò)通信會話的傳輸協(xié)議和傳輸路徑隨時(shí)間不斷變換，同時(shí)在傳輸過程中混入網(wǎng)絡(luò)欺騙分組，從而增加竊聽者捕獲、重組通信會話真實(shí)信息的難度，達(dá)到網(wǎng)絡(luò)通信過程中隱私保護(hù)的目的。

本文的主要貢獻(xiàn)包括如下3個(gè)方面。

1) 提出一種基于POF的抗網(wǎng)絡(luò)竊聽攻擊移動目標(biāo)防御機(jī)制（POFMTD），在POFMTD機(jī)制中提出從竊聽攻擊的網(wǎng)絡(luò)協(xié)議、傳輸路徑、網(wǎng)絡(luò)分組和消息內(nèi)容4個(gè)屬性進(jìn)行移動攻擊面動態(tài)轉(zhuǎn)換，提高竊聽攻擊實(shí)施的代價(jià)，實(shí)現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)傳輸過程的保護(hù)。

2) 將竊聽防御的攻擊面轉(zhuǎn)換維度從載體協(xié)議、環(huán)境路徑擴(kuò)展到內(nèi)容本身，引入了虛假網(wǎng)絡(luò)分組傳輸?shù)钠垓_防御策略。通過不同的私有協(xié)議將消息分組和欺騙分組隨機(jī)化封裝，提高攻擊者辨別截獲數(shù)據(jù)真實(shí)性的難度，降低重組會話消息的概率。

3) 提出路徑隨機(jī)化和欺騙分組隨機(jī)丟棄方法，對不同私有協(xié)議的傳輸路徑進(jìn)行動態(tài)隨機(jī)化，減小局部攻擊中攻擊者截獲全部會話消息數(shù)據(jù)分組的概率；在動態(tài)路徑中進(jìn)行欺騙分組的隨機(jī)丟棄，保障混淆消息內(nèi)容的同時(shí)，接收端對欺騙無感知。

2 網(wǎng)絡(luò)竊聽威脅模型和相關(guān)背景

2.1 威脅模型

網(wǎng)絡(luò)通信過程中的竊聽攻擊按照不同的標(biāo)準(zhǔn)可以劃分為不同的類型[1]，同時(shí)也可以按照攻擊的位置來劃分，如針對路由路徑的攻擊或針對網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)的攻擊。按照攻擊的范圍，網(wǎng)絡(luò)竊聽攻擊可以分為局部攻擊和全局攻擊。而節(jié)點(diǎn)都在一條或多條傳輸路徑上，因此，可以用入侵路徑的多少來計(jì)算竊聽攻擊的范圍。如果攻擊者能夠竊聽通信之間的所有路徑，則為全局攻擊；如果攻擊者只竊聽通信中的部分路徑，則為局部攻擊。按照攻擊的危害性，網(wǎng)絡(luò)竊聽攻擊可以分為會話消息攻擊和數(shù)據(jù)分組攻擊。本文主要按照攻擊危害性的威脅模型來進(jìn)行安全性分析。

2.1.1 網(wǎng)絡(luò)竊聽攻擊殺傷鏈

攻擊殺傷鏈?zhǔn)菍暨^程和關(guān)鍵步驟的抽象。在網(wǎng)絡(luò)竊聽攻擊中，主要包含4個(gè)層次：1) 通過搭線、流量鏡像等方式入侵網(wǎng)絡(luò)路徑；2) 復(fù)制網(wǎng)絡(luò)數(shù)據(jù)分組，而非阻斷數(shù)據(jù)分組，這與其他主動攻擊不同；3) 由獲取的數(shù)據(jù)分組進(jìn)行網(wǎng)絡(luò)協(xié)議解析，提取分組頭或負(fù)載；4) 重組負(fù)載數(shù)據(jù)，還原會話消息內(nèi)容。在進(jìn)行網(wǎng)絡(luò)竊聽攻擊防御時(shí)，主要目標(biāo)是切斷這4個(gè)殺傷鏈中的一個(gè)或多個(gè)。

2.1.2 網(wǎng)絡(luò)竊聽攻擊類型

1) 會話消息攻擊。攻擊者竊聽某個(gè)通信過程中的所有數(shù)據(jù)分組，通過數(shù)據(jù)分組逆向分析，將所獲得的所有數(shù)據(jù)分組按照網(wǎng)絡(luò)協(xié)議進(jìn)行重組、解析，從而獲得完整的會話信息[21]。該類攻擊的前提是攻擊者能夠竊聽通信雙方的所有傳輸路徑，且能夠逆向分析通信雙方所使用的所有網(wǎng)絡(luò)協(xié)議。這是一種全局竊聽攻擊。

2) 數(shù)據(jù)分組攻擊。攻擊者不需要竊取完整的會話數(shù)據(jù)分組，針對單數(shù)據(jù)分組或少量數(shù)據(jù)分組即可完成攻擊。該類攻擊包含多種形式，例如，對數(shù)據(jù)分組的分組頭進(jìn)行分析，以追蹤通信雙方的源—目的地址；或?qū)?shù)據(jù)分組進(jìn)行計(jì)數(shù)、時(shí)間統(tǒng)計(jì)或分析等，以得出數(shù)據(jù)流，進(jìn)而獲取源—目的地址對。該類攻擊不需要路由固定，也不要求一定能解密數(shù)據(jù)負(fù)載，只需要知道標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，并可解析數(shù)據(jù)分組頭部。由該分析的結(jié)果，為進(jìn)一步的DDoS攻擊、重放攻擊、MITM[22]攻擊做好準(zhǔn)備。該類竊聽攻擊屬于局部竊聽攻擊，只需要竊聽部分節(jié)點(diǎn)或鏈路。

從圖1的網(wǎng)絡(luò)竊聽威脅模型和殺傷鏈可知，會話消息攻擊相比數(shù)據(jù)分組攻擊理論殺傷鏈更完整，在竊聽路徑、捕獲數(shù)據(jù)分組數(shù)量、協(xié)議解析的深度等方面參數(shù)向量維度更多。圖1中以、、表示多次攻擊，1表示單次攻擊，0表示攻擊無關(guān)。在現(xiàn)有的網(wǎng)絡(luò)通信環(huán)境下，路徑數(shù)和協(xié)議數(shù)基本上都是單一固定的，這大大降低了竊取所有數(shù)據(jù)分組并還原出完整會話消息的難度。因此，如何將網(wǎng)絡(luò)通信過程中的單維參數(shù)提升為多維參數(shù)，是降低竊聽攻擊風(fēng)險(xiǎn)的關(guān)鍵。

圖1 網(wǎng)絡(luò)竊聽威脅模型和殺傷鏈

2.2 POF網(wǎng)絡(luò)架構(gòu)

軟件定義網(wǎng)絡(luò)是一種全新的網(wǎng)絡(luò)架構(gòu)，其特點(diǎn)是將網(wǎng)絡(luò)的轉(zhuǎn)發(fā)平面和控制平面分離，其物理實(shí)現(xiàn)上由一個(gè)控制器和多個(gè)路由交換設(shè)備（如SDN交換機(jī)）組成。OpenFlow是ONF最先提出的一種SDN實(shí)現(xiàn)協(xié)議，不足之處在于每種網(wǎng)絡(luò)協(xié)議都在OpenFlow中完整定義，并且需要OpenFlow控制器和交換機(jī)不斷升級才能支持這些網(wǎng)絡(luò)協(xié)議。

為了改進(jìn)OpenFlow的不足，人們積極探索更為通用的網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)方法。其中，斯坦福大學(xué)學(xué)者聯(lián)合Intel、Google、Microsoft等產(chǎn)業(yè)界數(shù)位專家提出了P4（programming protocol-independent packet processors）的概念[23]。P4為SDN開發(fā)者提供了高級編程接口，從控制器層進(jìn)行網(wǎng)絡(luò)協(xié)議抽象，不同的協(xié)議經(jīng)過P4轉(zhuǎn)換成各個(gè)SDN交換機(jī)中可以識別的OpenFlow流標(biāo)規(guī)則，但是P4沒有從本質(zhì)上改變SDN交換機(jī)適配不同網(wǎng)絡(luò)協(xié)議的問題。華為提出了協(xié)議無感知轉(zhuǎn)發(fā)的概念并以此提出了POF技術(shù)[20]。POF的優(yōu)點(diǎn)是交換機(jī)不再解析協(xié)議，而是統(tǒng)一采用偏移量和特征值來進(jìn)行網(wǎng)絡(luò)協(xié)議轉(zhuǎn)發(fā)，使交換機(jī)不需隨新協(xié)議的出現(xiàn)而升級軟硬件。目前，學(xué)術(shù)界研究熱點(diǎn)包括POF架構(gòu)[24]、POF控制器[25]、POF數(shù)據(jù)交換[20]以及基于POF的網(wǎng)絡(luò)內(nèi)容分發(fā)應(yīng)用[26]等。POF已經(jīng)成立開源社區(qū)，致力于推動POF應(yīng)用和標(biāo)準(zhǔn)化。

POF技術(shù)將控制器和轉(zhuǎn)發(fā)設(shè)備接口的抽象層次降低至更細(xì)粒度的數(shù)據(jù)分組轉(zhuǎn)發(fā)操作指令，轉(zhuǎn)發(fā)設(shè)備對任何協(xié)議字段的理解，都統(tǒng)一抽象為該字段在數(shù)據(jù)分組中的偏移和字段的長度。轉(zhuǎn)發(fā)設(shè)備不需要感知分組的協(xié)議類型以及轉(zhuǎn)發(fā)流程，這就徹底擺脫了交換設(shè)備對特定標(biāo)準(zhǔn)協(xié)議的預(yù)先支持。

圖2給出了POF數(shù)據(jù)交換的原理示意。POF控制器為交換機(jī)的每個(gè)流表下發(fā)不同的{}定位數(shù)據(jù)分組比特流中的{}，并為匹配上該條規(guī)則的數(shù)據(jù)分組設(shè)置轉(zhuǎn)發(fā)動作{}。

傳統(tǒng)網(wǎng)絡(luò)設(shè)備和OpenFlow交換機(jī)只支持標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議[27]，而不能改變其類型或結(jié)構(gòu)化字段。 POF除具備SDN基本的控制與轉(zhuǎn)發(fā)相分離的特性外，還具有高度的協(xié)議自制能力。因此，POF技術(shù)的出現(xiàn)，極大降低了網(wǎng)絡(luò)數(shù)據(jù)傳輸對承載協(xié)議類型的要求限制，使私有協(xié)議傳輸與協(xié)議變換成為可能。

2.3 相關(guān)研究

目前，已經(jīng)有基于MTD技術(shù)的網(wǎng)絡(luò)安全防御方法研究[9,13,14,18]，包括端口隨機(jī)化和網(wǎng)絡(luò)地址隨機(jī)化等。文獻(xiàn)[14]對網(wǎng)絡(luò)的端口號進(jìn)行隨機(jī)實(shí)現(xiàn)基于端口跳變的MTD?！熬W(wǎng)絡(luò)地址空間隨機(jī)化”[9]是通過目標(biāo)主機(jī)的IP地址進(jìn)行隨機(jī)混淆，來抵御掃描攻擊和DDoS攻擊，是最常用的網(wǎng)絡(luò)移動目標(biāo)防御方法。但是IPv4的IP地址范圍和端口數(shù)量比較小，即使IP地址和端口同時(shí)進(jìn)行隨機(jī)化[18]，其轉(zhuǎn)換空間也比較有限。文獻(xiàn)[13]提出一種基于IPv6地址隨機(jī)化的MTD方法，其地址空間為2128，使攻擊面轉(zhuǎn)換空間足夠大，暴力破解攻擊很難實(shí)現(xiàn)。但是現(xiàn)有的網(wǎng)絡(luò)MTD方法只是隨機(jī)化IP地址、端口等部分協(xié)議字段，數(shù)據(jù)分組頭及數(shù)據(jù)負(fù)載等字段未進(jìn)行隨機(jī)化，主要用以抵御掃描攻擊和DDoS攻擊，因此，在傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下缺少有效的網(wǎng)絡(luò)竊聽攻擊防御方法。

圖2 POF數(shù)據(jù)交換的原理示意

Corbett等[27]將MTD思想和OpenFlow技術(shù)結(jié)合應(yīng)用于無線網(wǎng)絡(luò)的安全防御中，提出了MAC和QAM的隨機(jī)化彈性協(xié)議棧方法來抵御攻擊者干擾網(wǎng)絡(luò)傳輸。受限于OpenFlow的擴(kuò)展能力，該方法只能實(shí)現(xiàn)無線網(wǎng)絡(luò)協(xié)議的部分字段隨機(jī)化。POF是基于軟件定義網(wǎng)絡(luò)架構(gòu)的一種新的實(shí)現(xiàn)技術(shù)，它具備控制層面與轉(zhuǎn)發(fā)層面分離的特性。同時(shí)POF作為SDN的擴(kuò)展，控制層與轉(zhuǎn)發(fā)層分離更加徹底，使轉(zhuǎn)發(fā)設(shè)備徹底擺脫了對特定協(xié)議的依賴，不再感知分組的協(xié)議類型，而是統(tǒng)一采用偏移量（）和長度（）來定位匹配特征值（）進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)分組的轉(zhuǎn)發(fā)[25]。以上特性決定了POF具備高度的協(xié)議自制能力，允許用戶自定義協(xié)議作為傳輸載體進(jìn)行網(wǎng)絡(luò)通信。

SDN在網(wǎng)絡(luò)安全中的應(yīng)用已經(jīng)為國內(nèi)外學(xué)術(shù)界所重視[28]。SDN改變了傳統(tǒng)以IP轉(zhuǎn)換[29]和端跳變的方式實(shí)現(xiàn)主動防御[30]，推動了移動目標(biāo)防御技術(shù)的發(fā)展。在華為[20,25]和中國科學(xué)院[31,32]的共同研究推動下，POF技術(shù)的特性為構(gòu)建新的網(wǎng)絡(luò)移動目標(biāo)防御系統(tǒng)提供更廣闊的技術(shù)途徑。已有的研究表明，基于POF協(xié)議隨機(jī)化方法構(gòu)建的安全防御方法能夠有效保護(hù)SDN控制器免受“盲DDoS”攻擊[31]，并且在抵御竊聽攻擊方面具有一定的優(yōu)勢[33]。

但是，現(xiàn)有方法都只從網(wǎng)絡(luò)協(xié)議、路由路徑等數(shù)據(jù)載體和網(wǎng)絡(luò)環(huán)境來進(jìn)行MTD攻擊面轉(zhuǎn)換，無法全面覆蓋竊聽攻擊的4個(gè)主要?dú)?。特別是在全路徑竊聽環(huán)境下，會話消息的內(nèi)容仍然面臨單一性的威脅。

近年來，網(wǎng)絡(luò)空間欺騙（cyber space deception）[34,35]研究逐漸系統(tǒng)化，已經(jīng)遠(yuǎn)遠(yuǎn)突破蜜罐的范疇。特別是云計(jì)算、虛擬化等技術(shù)成熟，帶動了網(wǎng)絡(luò)空間欺騙方法在MTD中的應(yīng)用研究[36,37]。本文將采用網(wǎng)絡(luò)欺騙思想來構(gòu)建會話消息的內(nèi)容屬性多樣性。

3 基于POF的移動目標(biāo)防御方法

本文主要研究通信過程中網(wǎng)絡(luò)竊聽防御，因此，本文假設(shè)網(wǎng)絡(luò)通信的雙方（發(fā)送方和接收方）以及用以網(wǎng)絡(luò)管理的POF控制器是可信的，不會成為網(wǎng)絡(luò)竊聽攻擊者的同謀。具體到本系統(tǒng)中，控制器、私有協(xié)議產(chǎn)生模塊和通信客戶端默認(rèn)是相互可信的，不會泄露私有協(xié)議安全信息。

移動目標(biāo)防御的核心思想旨在轉(zhuǎn)換受保護(hù)目標(biāo)的屬性以不斷改變其暴露的攻擊面[7,21]，使攻擊者迫于成本和難度增加的考慮而放棄攻擊。根據(jù)以上對攻擊模型的分析，網(wǎng)絡(luò)通信過程的攻擊面主要由網(wǎng)絡(luò)協(xié)議（network protocol）、傳輸路徑（routing path）、網(wǎng)絡(luò)分組（packet）和消息內(nèi)容（message）共同構(gòu)成。因此，本文提出的MTD方法的核心內(nèi)容是構(gòu)造這4個(gè)屬性的多樣性以得到較大的轉(zhuǎn)換空間，從而大大提高M(jìn)TD攻擊面的轉(zhuǎn)換不可預(yù)測性。

圖3 接收端欺騙無感知的MTD系統(tǒng)架構(gòu)

對于靜態(tài)系統(tǒng)，屬性的轉(zhuǎn)換頻率均為0；而MTD系統(tǒng)的屬性轉(zhuǎn)換頻率各不相同，但一般至少有一個(gè)大于0。為了簡化，將SF、SF、SF、SF都略去暫不考慮，則MTD的效果只與轉(zhuǎn)換空間SS、SS、SS、SS有關(guān)，它們?yōu)榭傻葍r(jià)替換的子屬性值組成的集合為

通過上述分析可以看出，抵御網(wǎng)絡(luò)竊聽攻擊的MTD系統(tǒng)的核心，是提高SS、SS、SS、SS的空間大小。本文提出的MTD方法，采用私有協(xié)議族封包隨機(jī)化策略和動態(tài)路徑欺騙分組隨機(jī)丟棄策略。系統(tǒng)架構(gòu)如圖3所示，構(gòu)建端到端的透明欺騙網(wǎng)絡(luò)，從協(xié)議、路徑、數(shù)據(jù)分組、消息內(nèi)容4個(gè)維度提升了MTD攻擊面轉(zhuǎn)換的不可預(yù)測性。

3.1 私有協(xié)議族封包隨機(jī)化

該策略主要采用POF產(chǎn)生的私有網(wǎng)絡(luò)協(xié)議族進(jìn)行通信消息分組和欺騙分組的隨機(jī)封包，從而在網(wǎng)絡(luò)協(xié)議層、數(shù)據(jù)分組層實(shí)現(xiàn)攻擊面的多樣化。

1) 私有協(xié)議產(chǎn)生

傳統(tǒng)的網(wǎng)絡(luò)傳輸設(shè)備按照固定的結(jié)構(gòu)化字段來識別協(xié)議，字段結(jié)構(gòu)的細(xì)微改動，都可能造成數(shù)據(jù)分組無法傳輸。因此，傳統(tǒng)網(wǎng)絡(luò)協(xié)議是標(biāo)準(zhǔn)的、單一的、固定的和靜態(tài)的。

為了提高網(wǎng)絡(luò)傳輸協(xié)議的冗余性和多樣性，本文采用POF的無感知特性來構(gòu)建私有協(xié)議族。POF協(xié)議能夠擺脫固定協(xié)議的束縛，可以根據(jù){,,}的抽象結(jié)構(gòu)識別和創(chuàng)建任意非通用協(xié)議。在MTD研究領(lǐng)域，經(jīng)典的方法是隨機(jī)插入冗余比特來構(gòu)造攻擊面屬性的多樣性，同樣通過在標(biāo)準(zhǔn)協(xié)議中插入隨機(jī)的無效字段構(gòu)造私有協(xié)議[31]。以TCP/IP協(xié)議為例，將原始標(biāo)準(zhǔn)協(xié)議定義為OSP，其中，包括MAC、IP等個(gè)結(jié)構(gòu)化字段，進(jìn)行校準(zhǔn)后，利用隨機(jī)化算法在此標(biāo)準(zhǔn)協(xié)議字段中隨機(jī)插入二進(jìn)制字符串，以達(dá)到混淆協(xié)議的目的。這里給出一個(gè)協(xié)議隨機(jī)化產(chǎn)生私有協(xié)議的算法。

算法1 網(wǎng)絡(luò)協(xié)議棧隨機(jī)化

①[1]

⑤ end for

⑦PPID

⑧.{[]}

?.{[]}

?end for

?ifNULL

?pf

圖4 私有協(xié)議池

由此，通信雙方可以從如圖4所示的私有協(xié)議池中選擇若干私有協(xié)議組成一個(gè)私有協(xié)議族分別封裝消息分組（message packet）和欺騙分組（deception packet）。其中，用于封裝欺騙分組的協(xié)議需要控制器中標(biāo)記其私有協(xié)議ID（對應(yīng)deception flag），并用標(biāo)記欺騙分組傳輸?shù)淖钸h(yuǎn)跳數(shù)（對應(yīng)deception distance）。

2) 網(wǎng)絡(luò)封包欺騙

為了提高竊聽攻擊者重組數(shù)據(jù)分組的難度，本文提出一種消息分組隨機(jī)化方法，如圖5所示，將消息拆分成多個(gè)數(shù)據(jù)字段，每個(gè)數(shù)據(jù)字段封裝在不同的私有協(xié)議的負(fù)載中。同時(shí)，為了增加欺騙性，可以在數(shù)據(jù)分組中隨機(jī)混入少量的欺騙分組，通過設(shè)置較短的傳輸距離，在這些數(shù)據(jù)分組到達(dá)可信接收客戶端之前，POF交換機(jī)將其丟棄，這樣既不增加接收端的負(fù)擔(dān)，又給中間節(jié)點(diǎn)的竊聽攻擊者帶來迷惑性。封裝欺騙分組的私有協(xié)議ID都由控制器標(biāo)記為deception flag，以給交換機(jī)的流標(biāo)設(shè)置相應(yīng)的隨機(jī)分組丟失動作（drop action）；欺騙分組傳輸?shù)淖钸h(yuǎn)跳數(shù)為不大于傳輸路徑的最大節(jié)點(diǎn)數(shù)的一個(gè)整數(shù)，并賦值給字段。

圖5 消息封包隨機(jī)化

通信時(shí)，消息內(nèi)容通過不同的私有協(xié)議發(fā)送給接收端，避免了單一協(xié)議被攻擊造成隱私泄露的風(fēng)險(xiǎn)；同時(shí)網(wǎng)絡(luò)路徑中混雜了欺騙分組，敵手難以分辨真假。

3.2 動態(tài)路徑欺騙分組隨機(jī)丟棄

該部分的MTD策略主要實(shí)現(xiàn)網(wǎng)絡(luò)通信過程中的消息分組和欺騙分組的動態(tài)路徑管理，以及在傳輸過程中對欺騙數(shù)據(jù)分組進(jìn)行隨機(jī)丟棄，實(shí)現(xiàn)對接收端的欺騙無感知。

1) 路由路徑隨機(jī)化

傳統(tǒng)路由策略基于目的IP、或其他協(xié)議標(biāo)簽，傳輸路徑一般為最短路徑算法。一旦傳輸會話建立，路由路徑將保持不變。固定的傳輸鏈路為攻擊者實(shí)施竊聽攻擊帶來了便利，傳輸鏈路作為攻擊面暴露了網(wǎng)絡(luò)傳輸鏈路的脆弱性。

本文的MTD策略中，提出一種基于路由信息和私有協(xié)議相結(jié)合的動態(tài)路由策略，該策略通過保持路徑的動態(tài)轉(zhuǎn)換保證網(wǎng)絡(luò)路由的不可知性和系統(tǒng)攻擊面的不可預(yù)測性。

每個(gè)交換機(jī)的第一級流表通過私有協(xié)議PPID實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)分組的快速轉(zhuǎn)發(fā)。控制器利用隨機(jī)化算法更新每個(gè)交換機(jī)的一級流表，用以部署動態(tài)隨機(jī)路由信息策略?？刂破鲗?shí)施的動態(tài)路由策略對通信客戶端透明，通信雙方不需要知道路由信息。

2) 欺騙分組隨機(jī)丟棄

承載欺騙分組的私有協(xié)議在交換網(wǎng)絡(luò)中用以擴(kuò)大傳輸數(shù)據(jù)的多樣性。欺騙數(shù)據(jù)分組混淆在傳輸路徑中，以迷惑竊聽攻擊者，阻礙其進(jìn)行會話消息分組的重組。為了對接收端透明，也為了減少傳輸帶寬損耗，本文MTD方案提出欺騙分組隨機(jī)丟棄策略，在鏈路中的某一交換節(jié)點(diǎn)上下發(fā)drop指令，將欺騙分組丟棄。各個(gè)欺騙分組均在中途節(jié)點(diǎn)被丟棄，因而接收端不需關(guān)注接收到的數(shù)據(jù)分組的真?zhèn)晤愋?，欺騙分組對接收端是無感知的。控制器生成欺騙分組丟棄策略的隨機(jī)化算法如下。

算法2 欺騙分組隨機(jī)丟棄

②(FL)

⑤nodes_NpcountAllNodes(l )

⑨ if ((1,)(0,1)

⑩ fl(rp).S.

? else

?fl(rp).S.//丟棄欺騙分組

? end if

??1

?if (1)

? fl(rp).S.

? end if

? end for

? returnFL

? end for

圖6 POFMTD原型系統(tǒng)

3.3 POFMTD原型系統(tǒng)實(shí)現(xiàn)

基于以上隨機(jī)化方法，構(gòu)建基于POF的移動目標(biāo)防御原型系統(tǒng)，如圖6所示。其中，私有協(xié)議產(chǎn)生模塊通過動態(tài)協(xié)議算法，生成通信所需要的私有協(xié)議族，并將協(xié)議的安全信息SecPP以XML文件形式離線秘密分享給控制器和通信客戶端。

控制器根據(jù)私有協(xié)議信息和通信雙方的路徑信息，周期地生成相應(yīng)的流表信息，下發(fā)到交換網(wǎng)絡(luò)中。路徑隨機(jī)化和變更由MTD動態(tài)策略模塊完成。通信客戶端根據(jù)私有協(xié)議信息，封裝載荷，發(fā)送通信數(shù)據(jù)，并對接收到的私有協(xié)議數(shù)據(jù)分組進(jìn)行去隨機(jī)化和解析?？刂破?、私有協(xié)議產(chǎn)生模塊和通信客戶端默認(rèn)是相互可信的，不會泄露私有協(xié)議安全信息。

4 攻擊實(shí)驗(yàn)仿真

4.1 實(shí)驗(yàn)環(huán)境設(shè)置

本文測試環(huán)境包括POF控制器和POF交換機(jī)以及用以通信的客戶端和用來模擬竊聽攻擊的攻擊主機(jī)。POF交換機(jī)和一臺POF控制器來搭建實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境，POF交換機(jī)和控制器來源于POF開源項(xiàng)目。

客戶端和攻擊服務(wù)器運(yùn)行于Windows 7操作系統(tǒng)，瀏覽器采用Chrome 39.0和Firefox 47.0。分組分發(fā)軟件基于Python類庫Scapy編寫的網(wǎng)絡(luò)分組分發(fā)程序。

圖7 時(shí)隙1內(nèi)不同協(xié)議的動態(tài)傳輸路徑

圖8 時(shí)隙2內(nèi)不同協(xié)議的動態(tài)傳輸路徑

表1 網(wǎng)絡(luò)竊聽攻擊測試

實(shí)驗(yàn)網(wǎng)絡(luò)的交換機(jī)拓?fù)浣Y(jié)構(gòu)如圖7和圖8所示，這些交換機(jī)由控制器進(jìn)行策略控制（為簡化拓?fù)?，略去控制器的位置）?？蛻舳薶ost A與host B所在POF交換網(wǎng)絡(luò)之間形成多條通路：={1,2,3, …}。本次實(shí)驗(yàn)基于UDP進(jìn)行字段隨機(jī)化來產(chǎn)生私有協(xié)議。

4.2 攻擊測試

防竊聽攻擊通過在不可信鏈路上發(fā)送數(shù)據(jù)分組、接收數(shù)據(jù)分組來測試攻擊者截獲數(shù)據(jù)分組的數(shù)量和重組數(shù)據(jù)分組的成功率，如表1所示。Scapy根據(jù)定義的私有協(xié)議格式進(jìn)行通信數(shù)據(jù)分組的發(fā)送。

攻擊者在[S0, S1, S2]路徑上進(jìn)行抓取分組竊聽，并采用wireshark協(xié)議分析軟件進(jìn)行協(xié)議解析和通信消息恢復(fù)。由于攻擊者不知私有協(xié)議的結(jié)構(gòu)信息（也即SecPP），因此，無法利用捕獲數(shù)據(jù)分組進(jìn)行逆向分析。

對于host B等合法用戶，使用Lua語言對已知私有協(xié)議結(jié)構(gòu)信息（如SecPP）編寫插件模型并嵌入至wireshark?？蛻舳薶ost B接收到來自客戶端host A的信息，并且使用客戶端雙方與控制器共享的私有協(xié)議的SecPP對該數(shù)據(jù)分組的內(nèi)容進(jìn)行解析。

除了私有協(xié)議隨機(jī)化之外，通信方host A將會話消息分成多份，封裝在不同的協(xié)議中并發(fā)送給接收端host B?？刂破髅扛粢欢螘r(shí)間，通過更新交換機(jī)流表以改變不同協(xié)議的傳輸路徑。因此，竊聽攻擊在單路徑上無法竊聽到會話消息的全部分組。

欺騙分組是一種用來干擾攻擊者重組會話消息的假數(shù)據(jù)，在測試中該類數(shù)據(jù)的最遠(yuǎn)傳輸距離不會超過最短路徑的跳數(shù)，隨機(jī)分組丟失算法可以保證在數(shù)據(jù)分組到達(dá)合法接收端之前被POF交換機(jī)設(shè)置動作而丟棄，不影響合法通信接收方，卻可以迷惑在鏈路中進(jìn)行竊聽的攻擊者。欺騙分組與有效數(shù)據(jù)分組共享帶寬，過多的欺騙分組起不到應(yīng)有的欺騙效果，反而影響傳輸效率，因此，測試中欺騙分組設(shè)置了相對較小的比例。

實(shí)驗(yàn)表明本文的MTD方法可以有效抵御竊聽攻擊對網(wǎng)絡(luò)通信過程的威脅。

4.3 性能測試

在POFMTD實(shí)驗(yàn)環(huán)境進(jìn)行性能測試時(shí)，本文主要對標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議（UDP）與私有協(xié)議的網(wǎng)絡(luò)性能進(jìn)行對比。分組分發(fā)工具用Scapy分別發(fā)送UDP數(shù)據(jù)分組以及基于UDP隨機(jī)化產(chǎn)生的私有協(xié)議數(shù)據(jù)分組，隨機(jī)化向量為4 B。性能測試工具用Iperf在服務(wù)器上進(jìn)行統(tǒng)計(jì)。

在網(wǎng)絡(luò)吞吐量性能方面，實(shí)驗(yàn)中采用的POF交換機(jī)為軟件交換機(jī)，未采用硬件加速和內(nèi)核優(yōu)化，利用Iperf測試POF交換機(jī)之間的轉(zhuǎn)發(fā)標(biāo)準(zhǔn)協(xié)議和私有協(xié)議的轉(zhuǎn)發(fā)吞吐量。當(dāng)最大分組長度設(shè)置為1 460 B時(shí)，轉(zhuǎn)發(fā)標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議的轉(zhuǎn)發(fā)吞吐量平均為943.49 Mbit/s，轉(zhuǎn)發(fā)私有協(xié)議的網(wǎng)絡(luò)性能為942.05 Mbit/s。當(dāng)最大分組長度設(shè)置為68 B時(shí)，轉(zhuǎn)發(fā)標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議的轉(zhuǎn)發(fā)吞吐量平均為213.61 Mbit/s，轉(zhuǎn)發(fā)私有協(xié)議的網(wǎng)絡(luò)性能為215.18 Mbit/s。發(fā)送端均以10 Mbit/s發(fā)送測試流量，對于標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議UDP，利用Iperf測試得到的平均帶寬為9.89 Mbit/s，而私有協(xié)議的平均帶寬為9.81 Mbit/s，與標(biāo)準(zhǔn)帶寬之間差距都較小。

網(wǎng)絡(luò)時(shí)延與傳輸路徑有關(guān)，實(shí)驗(yàn)中采用同樣的動態(tài)路徑策略進(jìn)行MTD路徑隨機(jī)化，測試比較最短路徑與最長路徑中的網(wǎng)絡(luò)時(shí)延性能。在標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議傳輸下，測試得到的在最短路徑和最長路徑下平均網(wǎng)絡(luò)時(shí)延分別為10.772 ms、20.779 ms；而進(jìn)行私有協(xié)議通信測試中，在最短路徑和最長路徑下平均網(wǎng)絡(luò)時(shí)延分別為11.547 ms、21.589 ms（偏差分別為7.72%、3.90%）。使用10 Mbit/s帶寬進(jìn)行Iperf測試最短路徑下的網(wǎng)絡(luò)分組丟失率，得到的分組丟失率分別為0.55%、0.61%。

除此之外，在性能上啟用POFMTD策略前后，單個(gè)交換機(jī)上的CPU使用率幾乎相同，即采用MTD策略對CPU性能的影響幾乎可以忽略不計(jì)，這也是協(xié)議無感知轉(zhuǎn)發(fā)的一大優(yōu)勢。

5 安全分析

5.1 抗數(shù)據(jù)分組攻擊的安全性

相對于信息論安全（也即香農(nóng)安全），通信過程中的數(shù)據(jù)分組攻擊是一種弱安全竊聽攻擊。敵手從截獲的少量數(shù)據(jù)分組中無法獲取完整、有意義的會話信息，但是攻擊者可以得到一些間接的情報(bào)，這對于威脅網(wǎng)絡(luò)通信是有價(jià)值的。為了實(shí)施數(shù)據(jù)分組攻擊，攻擊者需要入侵通信雙方的傳輸路徑，截獲通信過程中至少一個(gè)協(xié)議并逆向分析其結(jié)構(gòu)。數(shù)據(jù)分組攻擊不需要解析全部消息內(nèi)容，因此，即使協(xié)議中數(shù)據(jù)負(fù)載部分是密文，或竊聽攻擊者只捕獲部分?jǐn)?shù)據(jù)分組，也可以成功實(shí)施數(shù)據(jù)分組攻擊。數(shù)據(jù)分組攻擊成功后，攻擊者通過篡改協(xié)議內(nèi)容以構(gòu)造中間人攻擊或DDoS攻擊等。

例如，威脅模型分析，數(shù)據(jù)分組竊聽攻擊是一種局部攻擊，攻擊者最直接的目的是逆向解析出真實(shí)的信源和信宿，即假設(shè)敵手恰好在通信會話周期內(nèi)在任意路由路徑上捕獲到任意一個(gè)會話數(shù)據(jù)分組并解析該協(xié)議的結(jié)構(gòu)，攻擊即成功。

個(gè)數(shù)據(jù)分組落到敵手所在的任意路徑上的聯(lián)合概率可表示為

基于POF技術(shù)對全部標(biāo)準(zhǔn)協(xié)議隨機(jī)化來產(chǎn)生私有協(xié)議，突破了主機(jī)地址甚至IP地址空間的限制。暴力破解IPv6隨機(jī)地址需要的時(shí)間量級為1010h，而暴力破解POFMTD的時(shí)間量級為21 000h，呈現(xiàn)指數(shù)級的倍增[31]。如圖9(c)所示，路由路徑的動態(tài)變化，也能大大降低數(shù)據(jù)分組落在不安全鏈路上的概率，提高竊聽者截獲數(shù)據(jù)分組的代價(jià)。

采用式(1)的度量方法，表2給出不同網(wǎng)絡(luò)MTD模型的隨機(jī)化程度比較，這里空間大小以熵來計(jì)算。

5.2 抗會話消息攻擊的安全性

會話消息攻擊比數(shù)據(jù)分組攻擊的要求更為苛刻。攻擊者需要捕獲到通信會話過程中的全部數(shù)據(jù)分組，并且能夠解析協(xié)議和負(fù)載，以重組消息內(nèi)容。

表2 MTD模型的隨機(jī)化程度對比

注：P表示部分支持。

5.3 欺騙分組效能

MTD的欺騙策略，將原本靜態(tài)、單一為真的網(wǎng)絡(luò)數(shù)據(jù)分組引入了多樣化的欺騙分組，從而擴(kuò)大了竊聽攻擊防御的消息內(nèi)容屬性的轉(zhuǎn)換空間。敵手無法確認(rèn)截獲數(shù)據(jù)分組的真?zhèn)?，進(jìn)而提高了會話消息竊聽攻擊的難度。

本文提出的欺騙分組隨機(jī)丟棄算法，一方面能夠?qū)⑵垓_分組均勻混淆在傳輸鏈路中，另一方面，能夠降低傳輸?shù)膸捪模_(dá)到安全和消耗的折中。

當(dāng)=0.5，=10，則在防護(hù)周期內(nèi)，>20即可覆蓋所有節(jié)點(diǎn)。在滿足覆蓋度的情況下，欺騙分組的個(gè)數(shù)與概率成反比。

2) 按照數(shù)據(jù)分組大小，計(jì)算實(shí)際隨機(jī)丟棄前的實(shí)際有效傳輸總帶寬與傳輸會話消息的總帶寬比，計(jì)算欺騙分組的傳輸損耗為

圖9 MTD安全性分析

其中，B為總帶寬，不妨取10 MB；而=0.5，=1 000，=1 024 B。則P=4.7×10?9。正常網(wǎng)絡(luò)傳輸環(huán)境下，欺騙分組的帶寬消耗可以通過欺騙分組個(gè)數(shù)控制以及隨機(jī)丟棄算法的概率分布控制，來降低對帶寬的影響。

經(jīng)分析可知，該隨機(jī)丟棄算法，在保障接收端對欺騙無感知的情況下，在安全覆蓋度和帶寬消耗比指標(biāo)上都有較好的性能。

欺騙的本質(zhì)，是增加消息內(nèi)容攻擊面的不確定性。如圖9(d)所示，欺騙數(shù)據(jù)的引入，能夠加速降低會話消息重組的成功率。

綜上分析，本文提出的POFMTD模型可用于IPv4和IPv6協(xié)議的有線或無線網(wǎng)絡(luò)中。鑒于IP 跳變端口跳變以及二者結(jié)合等只是全協(xié)議棧隨機(jī)化的一些特例，無法實(shí)現(xiàn)接收端無感知的欺騙分組策略，本文提出的方法具有更好的安全性。

6 結(jié)束語

本文提出一種基于協(xié)議無感知轉(zhuǎn)發(fā)（POF）的抗網(wǎng)絡(luò)竊聽攻擊移動目標(biāo)防御機(jī)制。在該MTD安全機(jī)制中，本文將網(wǎng)絡(luò)竊聽攻擊防御的攻擊面轉(zhuǎn)換維度擴(kuò)展到協(xié)議、路徑、網(wǎng)絡(luò)分組和消息內(nèi)容4個(gè)層面，提出基于POF實(shí)現(xiàn)的私有協(xié)議族封包隨機(jī)化策略和動態(tài)路徑欺騙分組隨機(jī)丟棄策略，提供了網(wǎng)絡(luò)通信過程攻擊面轉(zhuǎn)換的熵空間。理論分析和實(shí)驗(yàn)結(jié)果表明，本文提出的MTD方法可顯著增加攻擊者實(shí)施數(shù)據(jù)分組攻擊和內(nèi)容消息攻擊的難度，有效防止網(wǎng)絡(luò)通信過程中的信息泄露。

網(wǎng)絡(luò)空間欺騙是一種主動防御方法，而欺騙分組的混入，為基于協(xié)議無感知轉(zhuǎn)發(fā)的抗網(wǎng)絡(luò)竊聽攻擊帶來了新思路。在未來，如何解決和優(yōu)化欺騙信息量與網(wǎng)絡(luò)傳輸效率之間的矛盾，是基于POF的移動目標(biāo)防御的關(guān)鍵問題之一和重要研究方向。

[1] ZHANG P, JIANG Y, LIN C, et al. P-coding: secure network coding against eavesdropping attacks[C]//INFOCOM. 2010: 1-9.

[2] XIA H D, JOSé C B. Hardening web browsers against man-in-the- middle and eavesdropping attacks[C]//The 14th International Conference on World Wide Web.2005.

[3] KEWLEY D, FINK R, LOWRY J, et al. Dynamic approaches to thwart adversary intelligence gathering[C]//DARPA Information Survivability Conference & Exposition II. 2001: 176-185.

[4] CHOI H, PATRICK M D, THOMAS F, et al. Privacy preserving communication in MANETs[C]//The 4th Annual IEEE Communications Society Conference on Sensor, Mesh and Ad Hoc Communications and Networks. 2007: 233-242.

[5] HWANG H, JUNG G, SOHN K, et al. A study on MITM (man in the middle) vulnerability in wireless network using 802.1 X and EAP[C]//International Conference on Information Science and Security. 2008: 164-170.

[6] WAGNER R. Address resolution protocol spoofing and man-in-the- middle attacks[J].The SANS Institute, 2001.

[7] SYVERSON P F, GOLDSCHLAG D M, REED M G. Anonymous connections and onion routing[C]//IEEE Symposium on Security and Privacy. 1997: 44-54.

[8] ZHANG P, JIANG Y, LIN C, et al. Padding for orthogonality: Efficient subspace authentication for network coding[C]//INFOCOM. 2011: 1026-1034.

[9] SIFALAKIS M, SCHMID S, HUTCHISON D. Network address hopping: a mechanism to enhance data protection for packet communications[C]//2005 IEEE International Conference on Communications. 2005: 1518-1523.

[10] JAJODIA S, GHOSH A K, SWARUP V, et al. Moving target defense: creating asymmetric uncertainty for cyber threats[J]. Springer Ebooks, 2011: 54.

[11] ANTONATOS S, AKRITIDIS P, MARKATOS E P, et al. Defending against hitlist worms using network address space randomization[J]. Computer Networks, 2007, 51(12): 3471-3490.

[12] JAFARIAN J H, AL-SHAER E, DUAN Q. OpenFlow random host mutation: Transparent moving target defense using software defined networking[C]//The First Workshop on Hot Topics in Software Defined Networks.2012: 127-132.

[13] DUNLOP M, GROAT S, URBANSKI W, et al. MT6D: a moving target IPv6 defense[C]//Military Communications Conference. 2011: 1321-1326.

[14] LEE H C J, THING V L L. Port hopping for resilient networks[C]// Vehicular Technology Conference. 2004: 3291-3295.

[15] ERIKSSON J, FALOUTSOS M, SRIKANTH V, et al. Routing amid colluding attackers[C]//IEEE International Conference on Network Protocols, 2007.

[16] REED M, GOLDSCHLAG D. Onion routing[J]. Communications of the ACM, 1999(42): 39-41.

[17] GOLDSCHLAG D M, MICHAEL G R, PAUL F. Syverson hiding routing information.[J] Information Hiding, Springer Berlin Heidelberg, 1996, 1174: 137-150.

[18] SHI L, JIA C, Lü S, et al. Port and address hopping for active cyber-defense[M]// Intelligence and Security Informatics. Springer Berlin Heidelberg, 2007:295-300.

[19] CHOWDHARY A, SANDEEP P, DIJIANG H. SDN based scalable MTD solution in cloud network[J]//2016 ACM Workshop on Moving Target Defense. 2016: 27-36.

[20] SONG H, GONG J, CHEN H, et al. Unified POF programming for Diversified SDN Data Plane[J]. Eprint Arxiv, 2014: 92-97.

[21] AL-SHAER E. Toward network configuration randomization for moving target defense[J]. Moving Target Defense, Springer New York, 2011: 153-159.

[22] ASOKAN N, VALTTERI N, KAISA N. Man-in-the-middle in tunnelled authentication protocols[C]//International Conference on Security Protocols. 2003: 42-48.

[23] BOSSHART P, DAN D, IZZARD M, et al. Programming protocol-independent packet processors[J]. ACM Sigcomm Computer Communication Review, 2013, 44(3): 87-95.

[24] WANG Z, WANG L, GAO X, et al. An architecture of content-centric networking over protocol-oblivious forwarding[C]//IEEE Globecom Workshops. 2015: 1-5.

[25] TAN X, ZOU S, GUO H, et al. POFOX: towards controlling the protocol oblivious forwarding network[M]//Advances in Parallel and Distributed Computing and Ubiquitous Services. Springer Singapore, 2016.

[26] HU D, LI S, XUE N, et al. Design and demonstration of SDN-based flexible flow converging with protocol-oblivious forwarding (POF)[C]//IEEE Global Communications Conference. 2015: 1-6.

[27] CORBETT C, UHER J, COOK J, et al. Countering intelligent jamming with full protocol stack agility[J]. IEEE Security & Privacy Magazine, 2014, 12(2): 44-50.

[28] 張朝昆, 崔勇, 唐翯祎, 等. 軟件定義網(wǎng)絡(luò) (SDN) 研究進(jìn)展[J]. 軟件學(xué)報(bào), 2015, 26(1): 62-81.

ZHANG C K, CUI Y, TANG H Y, et al. State-of-the-art survey on software-defined networking (SDN)[J]. Journal of Software, 2015, 26(1): 62-81.

[29] CARROLL T E, CROUSE M, FUIP E W, et al. Analysis of network address shuffling as a moving target defense[C]//2014 IEEE International Conference on Communications (ICC). 2014: 701-706.

[30] 石樂義, 賈春福, 呂述望. 基于端信息跳變的主動網(wǎng)絡(luò)防護(hù)研究[J]. 通信學(xué)報(bào), 2008, 29(2): 106-110.

SHI L Y, JIA C F, LYU S W. Research on end hopping for active network confrontation[J]. Journal on Communications, 2008, 29(2): 106-110.

[31] MA D, XU Z, LIN D. A moving target defense approach based on POF to thwart blind DDoS attack[C]//International Conference on Computer Communications & Networks. 2015.

[32] 李佟, 葛敬國, 鄂躍鵬, 等. 基于標(biāo)簽的POF網(wǎng)絡(luò)虛擬化技術(shù)研究[J].計(jì)算機(jī)應(yīng)用研究, 2017, 34(3).

LI T, GE J G, E Y P, et al. Label-based POF network virtualization[J]. Application Research of Computers, 2017, 34(3).

[33] MA D H, WANG L, LEI C, et al. Thwart eavesdropping attacks on network communication based on moving target defense[C]//Performance Computing and Communications Conference (IPCCC). 2017: 1-2.

[34] JAJODIA S, WANG C, SUBRAHMANIAN V, et al. Cyber deception[M]. Springer International Publishing, 2016.

[35] JAJODIA S, PARK N, PIERAZZI F, et al. A probabilistic logic of cyber deception[J]. IEEE Transactions on Information Forensics & Security, 2017(99): 1-1.

[36] ALBANESE M, BATTISTA E, JAJODIA S. Deceiving attackers by creating a virtual attack surface[M]//Cyber Deception. Springer International Publishing, 2016.

[37] AL-SHAER E, GILLANI S F. Agile virtual infrastructure for cyber deception against stealthy DDoS attacks[M]//Cyber Deception. Springer International Publishing, 2016.

Moving target defense against network eavesdropping attack using POF

MA Duohe1, LI Qiong2, LIN Dongdai1

1. State Key Laboratory of Information Security, Institute of Information Engineering, CAS, Beijing 100093, China2. Institute of Information Countermeasure Techniques, School of Computer Science and Technology, Harbin Institute of Technology, Harbin 150001, China

Eavesdropping attack hereby was the major attack for traditional network communication. As this kind of attacks was stealthy and untraceable, it was barely detectable for those feature detection or static configuration based passive defense approaches. Since existing encryption or dynamic address methods could only confuse part of fields of network protocols, they couldn’t form a comprehensive protection. Therefore a moving target defense method by utilizing the protocol customization ability of protocol-oblivious forwarding (POF) was proposed, through private protocol packet randomization strategy and randomly drop deception-packets on dynamic paths strategy. It could greatly increase the difficulty of implementing network eavesdropping attack and protect the privacy of the network communication process. Experiments and compare studies show its efficiency.

moving target defense, eavesdropping attack, protocol randomization, cyber space deception, protocol-oblivious forwarding

TP393

A

10.11959/j.issn.1000-436x.2018025

2017-07-01；

2017-12-10

李瓊，qiongli@hit.edu.cn

國家重點(diǎn)研發(fā)計(jì)劃課題基金資助項(xiàng)目（No.2017YFB1010000）；國家高技術(shù)研究發(fā)展計(jì)劃（“863”計(jì)劃）基金資助項(xiàng)目（No.2015AA016106）；中國科學(xué)院信息工程研究所“青年之星”計(jì)劃基金資助項(xiàng)目（No.Y7Z0201105）；國家自然科學(xué)基金資助項(xiàng)目（No.61471141）；深圳市技術(shù)攻關(guān)基金資助項(xiàng)目（No.JSGG20160427185010977）

The National Key Research and Development Program of China (No.2017YFB1010000), The National High Technology Research and Development Program of China (863 Program) (No.2015AA016106), “Young Scientist Program” of Institute of Information Engineering CAS (No.Y7Z0201105), The National Natural Science Foundation of China (No.61471141), The Key Technology Program of Shenzhen (No.JSGG20160427185010977)

馬多賀（1982-），男，安徽霍邱人，博士，中國科學(xué)院信息工程研究所助理研究員，主要研究方向?yàn)橐苿幽繕?biāo)防御、應(yīng)用安全、云安全、網(wǎng)絡(luò)與系統(tǒng)安全等。

李瓊（1976-），女，湖南吉首人，博士，哈爾濱工業(yè)大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)榱孔用艽a、多媒體安全、生物識別等。

林東岱（1964-），男，山東聊城人，中國科學(xué)院信息工程研究所研究員、博士生導(dǎo)師，主要研究方向?yàn)槊艽a理論、安全協(xié)議、網(wǎng)絡(luò)空間安全等。