基于網(wǎng)絡(luò)安全態(tài)勢感知的主動防御技術(shù)研究*

劉世文，馬多耀，雷 程，尹少東，張紅旗

(1.中國人民解放軍信息工程大學密碼工程學院，河南 鄭州 450001；2.城市交通管理集成與優(yōu)化技術(shù)公安部重點實驗室，安徽 合肥 230001；3.中國科學院信息工程研究所信息安全國家重點實驗室，北京 100093； 4.安徽科力信息產(chǎn)業(yè)有限責任公司,安徽 合肥 230001；5.河南省信息安全重點實驗室，河南 鄭州 450001)

1 引言

近年來,信息化高速發(fā)展的同時給個人、企業(yè)以及國家?guī)淼男畔踩L險與日俱增,以震網(wǎng)(Stuxnet)和 Havex 病毒攻擊為代表的工業(yè)控制系統(tǒng)安全事故頻發(fā)，給全球的工業(yè)安全帶來了前所未有的嚴重威脅[1,2]。傳統(tǒng)網(wǎng)絡(luò)的被動安全防御思想是在現(xiàn)有網(wǎng)絡(luò)體系架構(gòu)的基礎(chǔ)上建立包括防火墻和安全網(wǎng)關(guān)、訪問控制、入侵檢測、病毒查殺、數(shù)據(jù)加密等多層次的防御體系，來提升網(wǎng)絡(luò)及其應用的安全性,但近年來不斷被披露的網(wǎng)絡(luò)安全事件及由此帶來的嚴重后果也逐漸暴露了網(wǎng)絡(luò)被動安全防御存在的先天缺陷。因此，如何通過動態(tài)化、隨機化、主動化的手段改變網(wǎng)絡(luò)信息系統(tǒng)的運行或執(zhí)行環(huán)境，加速突破傳統(tǒng)網(wǎng)絡(luò)信息安全被動防御的困境，將“亡羊補牢”式的被動防御轉(zhuǎn)變?yōu)殡y以被偵測的主動安全防御顯得迫在眉睫。

網(wǎng)絡(luò)主動防御以提供運行環(huán)境的隨機性、異構(gòu)性、動態(tài)性、不確定性為目的，通過網(wǎng)絡(luò)系統(tǒng)中的協(xié)議、軟件、接口等主動重構(gòu)或遷移實現(xiàn)動態(tài)環(huán)境，在防御方可控范圍內(nèi)進行主動變化，對攻擊方則表現(xiàn)為難以覺察和預測，從而大幅增加網(wǎng)絡(luò)攻擊難度和成本，最終大幅降低網(wǎng)絡(luò)安全風險。網(wǎng)絡(luò)的主動安全防御雖然能有效防御新型網(wǎng)絡(luò)攻擊和未知漏洞，實現(xiàn)網(wǎng)絡(luò)安全的動態(tài)化，但變化過于頻繁的網(wǎng)絡(luò)元素和網(wǎng)絡(luò)狀態(tài)，從安全代價權(quán)衡而言，可能是昂貴的[3]。因此，網(wǎng)絡(luò)系統(tǒng)的動態(tài)重構(gòu)和遷移需要根據(jù)整個網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢進行調(diào)整，而主動可靠的網(wǎng)絡(luò)安全態(tài)勢感知是實現(xiàn)主動安全防御的關(guān)鍵。

在分析總結(jié)現(xiàn)有研究的基礎(chǔ)上，本文針對現(xiàn)有網(wǎng)絡(luò)主動防御技術(shù)缺乏針對性的問題，提出基于網(wǎng)絡(luò)安全態(tài)勢感知的主動防御技術(shù)ADSS(Active Defense based on network Security Situational awareness technique)。該技術(shù)具有以下優(yōu)勢：

(1) 設(shè)計基于掃描流量熵的網(wǎng)絡(luò)安全態(tài)勢感知算法，通過判別惡意敵手的掃描策略指導主動防御策略的選取，以增強防御的針對性；

(2) 提出基于端信息轉(zhuǎn)換的主動防御機制，通過轉(zhuǎn)換端節(jié)點的IP地址信息進行網(wǎng)絡(luò)拓撲結(jié)構(gòu)的動態(tài)隨機改變，以增加網(wǎng)絡(luò)攻擊的難度和成本。

2 主動防御技術(shù)研究現(xiàn)狀

主動防御技術(shù)主要是通過不斷地改變網(wǎng)絡(luò)基礎(chǔ)屬性，如IP、端口、網(wǎng)絡(luò)協(xié)議等實現(xiàn)主動防御。在傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下，Atighetchi等人[4]提出了一種基于虛假端口地址轉(zhuǎn)換的主動防御方法，通過在數(shù)據(jù)傳輸中使用虛假的地址和端口信息以迷惑攻擊者。Sifalakis等人[5]提出了一種基于隱藏信息地址轉(zhuǎn)換的主動防御技術(shù)，通過網(wǎng)絡(luò)地址的隨機轉(zhuǎn)換，將數(shù)據(jù)流分散到多個端到端的連接進行傳播，以提高網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?。文獻[6]提出了基于隨機端口跳變的主動防御技術(shù)，通過隨機動態(tài)改變通信端口信息，以提高被保護網(wǎng)絡(luò)抵抗DDoS(Distributed Denial of Service)攻擊的能力。Dunlop等人[7]提出了基于IPv6地址轉(zhuǎn)換的主動防御技術(shù)，其利用IPv6巨大的地址空間，實現(xiàn)了具有健壯性的主動防御。該方法采用隧道技術(shù)將數(shù)據(jù)包封裝，通過隨機變換隧道的源IP地址和目的IP地址以抵御攻擊者對通信數(shù)據(jù)的監(jiān)聽。文獻[8]提出基于動態(tài)轉(zhuǎn)換數(shù)據(jù)傳輸加密協(xié)議的主動防御技術(shù)，通過隨機轉(zhuǎn)換傳輸加密協(xié)議，獲得比單一固定加密協(xié)議更高的安全性和更好的擴展性。

針對傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下分布式路由難以有效協(xié)同管理的問題，軟件定義網(wǎng)絡(luò)SDN(Software Defined Network)[9]帶來了新思路。由于SDN架構(gòu)具有邏輯控制與數(shù)據(jù)轉(zhuǎn)發(fā)相分離的特性，可動態(tài)修改跳變周期和跳變規(guī)則；與此同時，SDN集中控制的特點使得控制器在獲取網(wǎng)絡(luò)性能指標基礎(chǔ)上可及時調(diào)配資源、實施全局決策。在軟件定義網(wǎng)絡(luò)架構(gòu)下，Kampanakis等人[10]提出基于網(wǎng)絡(luò)偵查保護、服務(wù)/OS版本隱藏以及隨機主機/路由轉(zhuǎn)換相結(jié)合的主動防御技術(shù)，通過分析攻防雙方的代價、收益以及攻擊者潛在的攻擊方法說明了該方法的有效性。Jafarian等人[11]提出了基于虛擬IP轉(zhuǎn)換的主動防御方法。該方法通過虛擬IP轉(zhuǎn)換，實現(xiàn)對網(wǎng)絡(luò)端節(jié)點的透明IP轉(zhuǎn)換，從而在降低掃描攻擊有效性的同時，有效地提高地址轉(zhuǎn)換的可用性。然而，該方法需要在一次連續(xù)通信中保持虛擬IP不變，攻擊者容易在一臺交換機上獲取某次通信的全部數(shù)據(jù)。文獻[12]提出基于時空混合的主動防御方法，從時間和空間兩個維度上對主機IP地址進行轉(zhuǎn)換，以干擾攻擊者獲取有效的網(wǎng)絡(luò)視圖。

3 基于網(wǎng)絡(luò)安全態(tài)勢感知的主動防御架構(gòu)設(shè)計

3.1 整體防御機制ADSS

基于網(wǎng)絡(luò)安全態(tài)勢感知的主動防御基本架構(gòu)如圖1所示，它由感知代理、地址轉(zhuǎn)換交換機和總控中心三部分組成。

Figure 1 Architecture of ADSS圖1 ADSS整體架構(gòu)

(1) 感知代理：它的主要作用是在被保護網(wǎng)絡(luò)中部署蜜罐，以實現(xiàn)對攻擊者的迷惑、攻擊者掃描策略的收集和對當前網(wǎng)絡(luò)安全態(tài)勢的感知。當蜜罐網(wǎng)絡(luò)檢測到異常流量時，感知代理檢測、過濾和收集網(wǎng)絡(luò)拓撲變化以及非法連接請求，并上報給總控中心。

(2) 地址轉(zhuǎn)換交換機：它對下發(fā)的地址轉(zhuǎn)換方案和流表信息進行更新和部署，通過轉(zhuǎn)換端信息以實現(xiàn)主動防御。

(3) 總控中心：它由掃描攻擊策略分析和端信息映射引擎兩部分組成，其中掃描攻擊策略分析的作用是依據(jù)感知代理上報的非法連接請求，利用基于掃描流量熵的網(wǎng)絡(luò)安全態(tài)勢感知算法分析掃描攻擊策略，以選擇不同的主動防御策略加以應對；端信息映射引擎則利用虛擬映射將端信息EPI(End-Point Information)，即IP地址和端口信息，轉(zhuǎn)換為隨機選取的虛擬端信息vEPI(virtual End-Point Information)，并生成流表信息。

3.2 基于掃描流量熵的網(wǎng)絡(luò)安全態(tài)勢感知

為了提高主動防御的針對性，ADSS利用基于掃描流量熵的假設(shè)檢驗對惡意敵手的掃描策略進行感知。這是因為網(wǎng)絡(luò)掃描是各種攻擊手段的先導技術(shù)和初始階段，通過分析不同掃描策略的行為特點感知不同掃描策略，可有效感知網(wǎng)絡(luò)安全態(tài)勢和攻擊行為的指向。

(1)

相對熵，亦稱為熵距，可用于描述兩個概率分布的相似性。對于兩個離散概率分布P={p1,p2,…,pn}和Q={q1,q2,…,qn}，其中，

則P和Q的相對熵如公式(2)所示：

(2)

D的值越大，表示P和Q的概率分布差距越大，當D=0時，則P和Q為同一分布。由于D(P‖Q)≠D(Q‖P)，為了能夠更加準確和穩(wěn)定地描述P和Q的分布，將相對熵擴展為掃描流量熵，具體如公式(3)所示:

(3)

(4)

若攻擊者使用盲掃描策略，則理想狀況下每個劃分的地址空間在一個時間周期內(nèi)平均被掃描的次數(shù)為Nfail/ns。然而，由于在所劃分的一次時間周期內(nèi)，攻擊者不一定能夠完成一次對全網(wǎng)地址空間的隨機掃描，直接計算一個時間周期內(nèi)請求失敗報文中目的地址概率分布與Nfail/ns的掃描流量熵將偏大。因此，利用如公式(5)所示的肖維勒準則進行調(diào)整。在此基礎(chǔ)上利用公式(6)計算第t個時間周期內(nèi)請求失敗報文中目的地址概率分布與修正后平均概率分布的掃描流量熵，通過與設(shè)定的閾值比較以判定攻擊者是否采用了盲掃描策略。若在閾值范圍δ內(nèi)，則攻擊者采用了盲掃描策略；否則，攻擊者采用了非盲掃描策略。

(5)

(6)

最后，依據(jù)判定的掃描攻擊策略實施不同的主動防御策略：

3.3 基于端信息轉(zhuǎn)換的主動防御

在ADSS中，攻擊策略分析模塊將依據(jù)感知的安全態(tài)勢生成主動防御策略，并將該策略發(fā)送給基于端信息轉(zhuǎn)換的主動防御模塊。

(1) 當攻擊者實施盲掃描時，采用基于加權(quán)的隨機地址轉(zhuǎn)換的策略，利用公式(7)計算一個時間周期內(nèi)vEPI的權(quán)值wi，并從權(quán)值wi高的端信息空間中隨機選取vEPI作為下一時間周期的虛擬端信息。這是因為盲掃描采用了非重復均勻掃描的方法，選取被掃描過的端信息可有效規(guī)避攻擊者的惡意掃描，且被掃描過的vEPI的信息熵為D=0，其wi越高。假設(shè)節(jié)點hi在下一時間周期內(nèi)有r個可選vEPI，分別為{vEPI1,vEPI2,…,vEPIr}，總控中心利用公式(8)計算節(jié)點hi的虛擬端信息，其中哈希函數(shù)Hf和密鑰Ks是共享參數(shù)。

(7)

vEPIα∈{vEPI}，

α=Hf(SrcIP,SrvID,Ks) modr+1

(8)

其中,SrclP表示源IP地址，SrvID表示服務(wù)ID號。

(9)

當訪問ADSS網(wǎng)絡(luò)中的主機時，ADSS依據(jù)主動防御策略從端信息池內(nèi)選擇vEPI與該主機關(guān)聯(lián)，并使用該vEPI與其他端節(jié)點進行通信，直到會話結(jié)束。ADSS中的地址轉(zhuǎn)換基本原理如圖2所示，圖2中主機Host1在ADSS網(wǎng)絡(luò)外部，其端信息為EPI1，Host2為ADSS網(wǎng)絡(luò)內(nèi)的被保護節(jié)點，其端信息為EPI2。當主機Host1和Host2建立連接時，ADSS建立EPI到vEPI的映射，如公式(10)所示。

EPI1=fADSS(vEPI1),EPI2=fADSS(vEPI2)

(10)

Figure 2 Address translation of ADSS圖2 ADSS中地址轉(zhuǎn)換原理圖

當Host1和Host2在建立的連接上通信時，ADSS根據(jù)映射對通信中數(shù)據(jù)包的源IP地址和目的IP地址進行修改，以實現(xiàn)主機和轉(zhuǎn)換地址的綁定。

4 基于網(wǎng)絡(luò)態(tài)勢感知的主動防御實施

如圖3所示，在SDN環(huán)境下,若端節(jié)點Host1試圖訪問端節(jié)點Host2，假設(shè)主機Host1擁有Host2的域名和DNS服務(wù)器的IP地址。源主機Host1發(fā)送的數(shù)據(jù)包進入ADSS網(wǎng)絡(luò)的第一個交換機稱之為源交換機，離開ADSS網(wǎng)絡(luò)經(jīng)過的最后一個交換機稱之為目的交換機?；诰W(wǎng)絡(luò)安全態(tài)勢感知的主動防御實施流程如下：

(1)Host1向DNS服務(wù)器發(fā)出域名解析請求，請求Host2的IP地址。

(2) DNS服務(wù)器應答域名解析請求，并將域名解析應答發(fā)送至總控中心，總控中心依據(jù)主動防御策略隨機選擇一個vIP賦予v2，將域名解析應答中Host2的真實地址r2替換為v2，并為v2打開窗口期。

(3) 總控中心將域名解析應答轉(zhuǎn)發(fā)給Host1。

(4)Host1得到虛擬地址v2，用自己的地址做為源地址，v2作為目的地址向Host2發(fā)送IP數(shù)據(jù)包。由于此時地址轉(zhuǎn)發(fā)交換機還沒有相應的流規(guī)則可以路由這個流，地址轉(zhuǎn)發(fā)交換機將該數(shù)據(jù)包發(fā)送給總控中心。

(5) 總控中心檢查目的IP是否在窗口期內(nèi)，若在窗口期內(nèi)，則依據(jù)策略隨機選擇vIP賦予v1，并生成流規(guī)則將r1替換為v1?？偪刂行膶α鞅硪?guī)則進行更新，并依據(jù)“逆序添加，順序刪除”的順序部署到轉(zhuǎn)發(fā)路徑上的路由節(jié)點。

(6) 在源交換機Switch1中流規(guī)則修改Host1發(fā)送給Host2的數(shù)據(jù)包的源地址，將源地址替換為v1并轉(zhuǎn)發(fā)。

(7) 網(wǎng)絡(luò)路由節(jié)點依據(jù)流表規(guī)則進行轉(zhuǎn)發(fā)。

(8) 當目的交換機Switch2收到該數(shù)據(jù)包后將目的地址替換為Host2的rIPr2并轉(zhuǎn)發(fā)。

(9)Host2能夠收到數(shù)據(jù)包，并以r2為源地址，v1為目的地址應答該數(shù)據(jù)包。

(10) 交換機Switch2修改應答數(shù)據(jù)包的源地址，將源地址替換為Host2的vIPv2并轉(zhuǎn)發(fā)。

(11) 交換機Switch1收到應答數(shù)據(jù)包后將目的地址替換為Host1的rIP并轉(zhuǎn)發(fā)給Host1，Host1能夠正常收到應答數(shù)據(jù)包。

Figure 3 Communication protocol of ADSS based on SDN圖3 基于SDN的ADSS通信協(xié)議

與現(xiàn)有網(wǎng)絡(luò)通信協(xié)議不同，ADSS網(wǎng)絡(luò)中的端節(jié)點通信時必須先進行目的主機的域名解析請求，獲取目的主機本次通信的地址。ADSS網(wǎng)絡(luò)中的DNS服務(wù)器響應請求，將響應數(shù)據(jù)包發(fā)給總控中心，總控中心將響應數(shù)據(jù)包中攜帶的網(wǎng)絡(luò)主機真實地址信息替換為虛擬地址信息，并應答域名解析請求和下發(fā)流規(guī)則。在通信過程中，地址轉(zhuǎn)換交換機根據(jù)流規(guī)則修改數(shù)據(jù)包的源IP地址和目的IP地址，實現(xiàn)端信息轉(zhuǎn)換。

在步驟(2)中，總控中心將域名請求應答中的TTL值寫入一個較小的值，以保證主機Host1再次訪問Host2時要重新進行域名解析。在整個該過程中，Host1和Host2真實IP都不需要做更改，雙方都只知道對方的轉(zhuǎn)換端信息，傳輸網(wǎng)絡(luò)負責對rIP和hIP的轉(zhuǎn)換。在每次訪問這樣的訪問過程中，總控中心為主機Host2隨機分配hIP，從而對于Host1來說，其訪問Host2時的目的IP一次一變。

為了防止地址轉(zhuǎn)換過程中存在流表更新不一致導致的數(shù)據(jù)流不可達的問題，借鑒文獻[6]的思想，ADSS采用“逆序添加，順序刪除”的更新方法，其流表更新規(guī)則具體如下：

(1)hRt?hRnew∧hRt?hRold:它表示當前地址轉(zhuǎn)換交換機既不屬于本次時間周期內(nèi)的轉(zhuǎn)發(fā)交換機，也不屬于下一時間周期內(nèi)的轉(zhuǎn)發(fā)交換機集合。因此，不會接收到任何數(shù)據(jù)包。

(2)hRt∈hRnew∧hRt?hRold:它表示當前地址轉(zhuǎn)換交換機只屬于下一時間周期內(nèi)的轉(zhuǎn)發(fā)交換機集合。因此，這類交換機只會依據(jù)更新的流表規(guī)則轉(zhuǎn)發(fā)下一時間周期內(nèi)的數(shù)據(jù)包。

(3)hRt∈hRnew∧hRt∈hRold:它表示當前地址轉(zhuǎn)換交換機既屬于本次時間周期內(nèi)的轉(zhuǎn)發(fā)交換機，又屬于下一時間周期內(nèi)的轉(zhuǎn)發(fā)交換機集合。因此，這類地址轉(zhuǎn)換交換機會依據(jù)相應的路由表項進行轉(zhuǎn)發(fā)。

(4)hRt?hRnew∧hRt∈hRold:它表示當前地址轉(zhuǎn)換交換機由只屬于本次時間周期內(nèi)的轉(zhuǎn)發(fā)交換機集合。因此，這類地址轉(zhuǎn)換交換機只會接收到本次時間周期內(nèi)的數(shù)據(jù)包，且依據(jù)原有路由表進行轉(zhuǎn)發(fā)。此外，當經(jīng)過一次網(wǎng)絡(luò)環(huán)回時間后，地址轉(zhuǎn)換交換機未收到數(shù)據(jù)包，則證明本次窗口期內(nèi)的數(shù)據(jù)包已全部轉(zhuǎn)發(fā)。

5 實驗與分析

5.1 實驗設(shè)計與環(huán)境搭建

為了驗證ADSS的可行性和有效性，利用Mininet[15]構(gòu)建仿真網(wǎng)絡(luò)拓撲，采用Erdos-Renyi模型生成隨機網(wǎng)絡(luò)拓撲。實驗拓撲如圖4所示，設(shè)置轉(zhuǎn)換的端信息由一個B類IP地址池和大小為216的端口池組成，令掃描流量熵的閾值為δ=0.05，時間周期為T=50 s，肖維勒準則中的閾值ξ=2.0。

Figure 4 Experimental topology of ADSS圖4 ADSS 實驗拓撲

為了證明ADSS的防御有效性和可行性，本節(jié)從抵御惡意掃描攻擊和ADSS性能開銷兩個方面對ADSS網(wǎng)絡(luò)進行實驗分析。

5.2 惡意掃描攻防實驗與分析

利用Nmap掃描器對192.168.2.0/24子網(wǎng)進行SYN掃描。該子網(wǎng)內(nèi)由實際IP地址為192.168.2.17的可轉(zhuǎn)換端信息節(jié)點、IP為192.168.2.24的靜態(tài)節(jié)點組成，兩個節(jié)點都只開啟了TCP(port 21)和UDP(port 34287)端口，結(jié)果如表1所示。與此同時，對兩個端節(jié)點進行端口和協(xié)議掃描，結(jié)果如表2所示。

Table 1 SYN-scan results by Nmap表1 Nmap SYN掃描結(jié)果

Table 2 Scan results of port & protocol by Nmap表2 Nmap掃描端口和協(xié)議結(jié)果

在表1中，掃描命令是對192.168.2.0/24網(wǎng)絡(luò)進行遠程掃描，這是最常用的網(wǎng)絡(luò)掃描方式。由于192.168.2.17節(jié)點進行了網(wǎng)絡(luò)地址轉(zhuǎn)換，Nmap掃描IP地址后并未檢測到該地址。在表2中，該命令是對實際IP地址為192.168.2.17和192.168.2.24的端節(jié)點進行端口掃描。由于192.168.2.17節(jié)點實施了IP地址轉(zhuǎn)換，因此沒有端口掃描信息。由于192.168.2.24是靜態(tài)節(jié)點，因此Nmap正確獲得了該節(jié)點開啟的所有端口。

在此基礎(chǔ)上，針對現(xiàn)有惡意掃描策略，分別在盲掃描和非盲掃描兩種情況下比較靜態(tài)網(wǎng)絡(luò)和ADSS網(wǎng)絡(luò)中攻擊者掃描的節(jié)點空間數(shù)量與掃描成功率間的關(guān)系。

抵御盲掃描能力：如圖5所示，在靜態(tài)網(wǎng)絡(luò)中，當攻擊者采用平均掃描策略進行盲掃描時，耗時306 s即可達到100%的掃描成功率；在ADSS網(wǎng)絡(luò)中，由于被保護的服務(wù)器集群針對盲掃描攻擊采用基于權(quán)值的隨機端信息轉(zhuǎn)換主動防御策略，通過將端信息轉(zhuǎn)換到攻擊者已經(jīng)掃描的端信息范圍內(nèi)，使得攻擊者即使經(jīng)過長時間的掃描也難以掃描到活躍的端節(jié)點，從而有效抵御了惡意敵手的盲掃描，其成功率最低可降至7.3%。因此，當惡意敵手采用盲掃描策略實施惡意掃描時，ADSS可以有效降低掃描實施的成功率。

Figure 5 Success rate of blind scanning in static networks and ADSS networks圖5 盲掃描在靜態(tài)網(wǎng)絡(luò)和ADSS網(wǎng)絡(luò)中的成功率

抵御非盲掃描攻擊：如圖6所示，在靜態(tài)網(wǎng)絡(luò)中，由于攻擊者對所掃描的目標網(wǎng)絡(luò)具有一定的先驗知識，通過對特定范圍內(nèi)節(jié)點空間進行重復性非均勻掃描可以提高掃描的成功率和掃描效率。實驗中，攻擊者耗時249 s后即可達到100%的成功率，相較于盲掃描策略減少了22.89%的掃描時間。在ADSS網(wǎng)絡(luò)中，由于基于掃描流量熵的網(wǎng)絡(luò)安全態(tài)勢感知模塊識別了惡意敵手的掃描策略，因此采用基于反向地址轉(zhuǎn)換的主動防御策略。在實驗中，可以抵御91%以上的非盲掃描。

Figure 6 Success rate of non-blind scanning in static networks and ADSS networks圖6 非盲掃描在靜態(tài)網(wǎng)絡(luò)和ADSS網(wǎng)絡(luò)中的成功率

5.3 ADSS性能開銷

處理轉(zhuǎn)發(fā)時延：由于ADSS是采用地址轉(zhuǎn)換交換機、總控中心和感知代理協(xié)同實施的，因此處理轉(zhuǎn)發(fā)時延主要由感知代理的處理時效和總控中心處理時延兩部分組成。因此，通過計算相同數(shù)據(jù)流經(jīng)過ADSS網(wǎng)絡(luò)的時間差獲得ADSS中的處理轉(zhuǎn)發(fā)時延。利用網(wǎng)絡(luò)環(huán)回時間測量和計算2 000次ADSS網(wǎng)絡(luò)的轉(zhuǎn)發(fā)處理時延，結(jié)果如表3所示。ADSS實施一次主動防御的平均處理轉(zhuǎn)發(fā)時延為16.71 ms，相較于靜態(tài)網(wǎng)絡(luò)，總時延平均增加了6.91%[16]。

Table 3 SAMT forwarding processing delay表3 SAMT轉(zhuǎn)發(fā)處理時延

ADSS中的包丟失概率：由于在ADSS網(wǎng)絡(luò)實施主動防御的過程中，端信息轉(zhuǎn)換易導致流表更新不一致，進而造成網(wǎng)絡(luò)中包丟失概率的增加。ADSS網(wǎng)絡(luò)的丟包概率如圖7所示，雖然ADSS的丟包概率隨著設(shè)定的時間周期的減小而增加，但是由于ADSS采用“逆序添加，順序刪除”的流表更新策略，可以有效控制主動防御過程中造成的包丟失概率，并將其控制在[2.1%,2.8%]，從而保證了傳輸數(shù)據(jù)的可達性。

Figure 7 Packet loss probability in different periods圖7 不同周期下的丟包概率

6 結(jié)束語

本文針對網(wǎng)絡(luò)主動防御缺乏防御針對性的問題，提出了基于網(wǎng)絡(luò)安全態(tài)勢感知的主動防御技術(shù)。首先，設(shè)計了基于掃描流量熵的網(wǎng)絡(luò)安全態(tài)勢感知方法，通過基于掃描流量熵的網(wǎng)絡(luò)安全態(tài)勢感知判別惡意敵手的掃描策略，以指導和生成主動防御策略的選取，進而提高主動防御的針對性。在此基礎(chǔ)上，提出了基于端信息轉(zhuǎn)換的主動防御機制，通過基于動態(tài)轉(zhuǎn)換端信息實現(xiàn)被保護網(wǎng)絡(luò)拓撲結(jié)構(gòu)的動態(tài)變換，以增加網(wǎng)絡(luò)掃描攻擊的難度和成本。理論與實驗表明，該技術(shù)可將不同策略的掃描攻擊成功率降低90%以上，從而針對不同類型的掃描策略實現(xiàn)了高效的防御。與此同時，該技術(shù)實施的性能開銷在合理范圍內(nèi)，從而保證了方案的可用性。

[1] Ma Ming-jie, Sun Feng-gang,Zhai Li-dong et al.Security challenges facing our country and countermeasure recommendations under new network security threats[J].Telecommunications Science,2014,30(7):8-12.(in Chinese)

[2] Wu Jiang-xing,Meaning and vision of mimic computing and mimic security defense[J].Telecommunications Science,2014,30(7):1-7.(in Chinese)

[3] Lei Cheng,Ma Duo-he,Zhang Hong-qi,et al.Performance assessment approach based on change-point detection for network moving target defense [J].Journal of Communications,2017,38(1):126-140.(in Chinese)

[4] Atighetchi M, Pal P.Webber F, et al. Adaptive use of network-centric mechanisms in cyber-defense[C]∥Proc of the 6th IEEE International Symposium on Object-Oriented Real-Time Distributed Computing,2003:183-192.

[5] Sifalakis M, Schmid S, Hutchison D.Network address hopping:A mechanism to enhance data protection for packet communications[C]∥Proc of 2005 IEEE International Conference on Communications,2005:1518-1523.

[6] Badishi G,Herzberg A,Keidar I.Keeping denial-of-service attackers in the dark[J].IEEE Transactions on Dependable and Secure Computing,2007,4(3):191-204.

[7] Dunlop M,Groat S,Urbanski W,et al.MT6D:A moving target IPv6 defense[C]∥Proc of Military Communications Conference,2012:1321-1326.

[8] Ellis J W.Method and system for securing data utilizing reconfigurable logic:United States Pattent Application 20070255941[P].2007-11-01.

[9] Kirkpatrick K.Software-defined networking[J].Communications of the ACM,2013,56(9):16-19.

[10] Kampanakis P, Perros H,Beyene T.SDN-based solutions for moving target defense network protection[C]∥Proc of 2014 IEEE 15th International Symposium on a World of Wireless,Mobile and Multimedia Networks (WoWMoM),2014:1-6.

[11] Jafarian J H,Al-Shaer E,Duan Q.Openflow random host mutation:Transparent moving target defense using software defined networking[C]∥Proc of the 1st Workshop on Hot Topics in Software Defined Networks,2012:127-132.

[12] Jafarian J H H,Al-Shaer E,Duan Q,Spatio-temporal address mutation for proactive cyber agility against sophisticated attackers[C]∥Proc of the 1st ACM Workshop on Moving Target Defense,2014:69-78.

[13] Collins M P,Reiter M K.Hit-list worm detection and bot identification in large networks using protocol graphs[C]∥Proc of the 10th International Conference on Recent Advances in Intrusion Detection,2007:276-295.

[14] Page L, Brin S, Motwani R, et al.The PageRank citation ranking:Bringing order to the Web:SIDL-WP-1999-0120[R].Palo Alto:Stanford Infolab, 1999.

[15] Lantz B,Heller B,McKeown N.A network in a laptop:Rapid prototyping for software-defined networks[C]∥Proc of the 9th ACM SIGCOMM Workshop on Hot Topics in Networks,2010:1-6.

[16] Lin Chuan,Zhao Hai, Bi Yuan-guo,et al.Research on network delay of Internet[J].Journal of Communications,2015,36(3):163-174.(in Chinese)

附中文參考文獻：

[1] 馬明杰,孫奉剛,翟立東,等.網(wǎng)絡(luò)安全新威脅下我國面臨的安全挑戰(zhàn)和對策建議[J].電信科學,2014,30(7):8-12.

[2] 鄔江興.擬態(tài)計算與擬態(tài)安全防御的原意和愿景[J].電信科學,2014,30(7):1-7.

[3] 雷程,馬多賀,張紅旗,等.基于變點檢測的網(wǎng)絡(luò)移動目標防御效能評估方法[J].通信學報,2017,38(1):126-140.

[16] 林川,趙海,畢遠國,等.互聯(lián)網(wǎng)網(wǎng)絡(luò)時延特征研究[J].通信學報,2015,36(3):163-174.