基于網(wǎng)絡(luò)特征混淆的欺騙防御技術(shù)研究

趙金龍，張國敏，邢長友

基于網(wǎng)絡(luò)特征混淆的欺騙防御技術(shù)研究

趙金龍，張國敏，邢長友

（陸軍工程大學(xué)指揮控制工程學(xué)院，江蘇 南京 210001）

網(wǎng)絡(luò)攻擊之前通常有偵查階段，攻擊者通過流量分析和主動掃描等技術(shù)獲取目標(biāo)系統(tǒng)的關(guān)鍵信息，從而制定有針對性的網(wǎng)絡(luò)攻擊。基于網(wǎng)絡(luò)特征混淆的欺騙防御是一種有效的偵查對抗策略，該策略干擾攻擊者在偵查階段獲取的信息，從而使攻擊者發(fā)動無效的攻擊。對現(xiàn)有混淆欺騙防御方案的技術(shù)原理進(jìn)行了分析，給出了網(wǎng)絡(luò)混淆欺騙的形式化定義，并從3個層次對現(xiàn)有的研究成果進(jìn)行了討論，最后分析了混淆欺騙防御技術(shù)的發(fā)展趨勢。

網(wǎng)絡(luò)偵查防護(hù)；拓?fù)浠煜?；偵查欺騙；欺騙防御

1 引言

大量研究表明，網(wǎng)絡(luò)攻擊之前通常伴有偵查階段。有研究指出70%的攻擊活動之前都存在偵查行為[1]，一次網(wǎng)絡(luò)攻擊中平均45%的時間用在了在偵查階段[2]。因此，在網(wǎng)絡(luò)殺傷鏈[3]等研究定義的攻擊模型中，都將網(wǎng)絡(luò)偵查作為網(wǎng)絡(luò)攻擊的第一個階段，如圖1所示。網(wǎng)絡(luò)偵查能夠幫助攻擊者有效地識別潛在目標(biāo)及其漏洞，為其提供戰(zhàn)術(shù)優(yōu)勢[4-5]。攻擊者通常采用各種掃描器或定制化工具去掃描目標(biāo)網(wǎng)絡(luò)和系統(tǒng)，以獲取相關(guān)信息，包括網(wǎng)絡(luò)拓?fù)洌ü?jié)點(diǎn)關(guān)系、鏈路帶寬、路由表、MAC地址、IP地址、操作系統(tǒng)）和服務(wù)及服務(wù)依賴關(guān)系等，并依賴這些網(wǎng)絡(luò)的特征信息來識別可供利用的主機(jī)和漏洞，從而制定高效的攻擊方案。例如，高級持續(xù)威脅APT，社會工程學(xué)攻擊等網(wǎng)絡(luò)攻擊的實(shí)施都依賴于網(wǎng)絡(luò)偵查結(jié)果[6-7]。

因此，緩解網(wǎng)絡(luò)偵查是一種有效的防御策略。然而，傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)的靜態(tài)特性使對抗網(wǎng)絡(luò)偵查面臨著很大的挑戰(zhàn)。一方面，攻擊者可以在發(fā)起攻擊前幾天或幾年對目標(biāo)系統(tǒng)的防御進(jìn)行偵查，偵查面[8]的靜態(tài)性使攻擊者能夠不斷進(jìn)行網(wǎng)絡(luò)偵查和攻擊嘗試，以識別能被利用的漏洞；另一方面，在網(wǎng)絡(luò)偵查期間，攻擊者一般會采取躲避偵查的措施，盡量使用合法的工具和命令、低速的探測流量，從而使惡意探測活動難以與合法活動區(qū)分開來。一些被動式的偵查方案，如網(wǎng)絡(luò)竊聽[8]、流量分析[9]等由于其隱身的特點(diǎn)，更加難以被察覺。

為了應(yīng)對這種攻防不對稱引起的安全防御問題，學(xué)術(shù)界和產(chǎn)業(yè)界提出了主動防御的解決方案，包括移動目標(biāo)防御[10]、擬態(tài)防御[11]、欺騙防御[12]等，欺騙防御解決方案因?yàn)槠溆行院捅憬菪允艿綇V泛的關(guān)注。欺騙防御技術(shù)利用攻擊者依賴收集到的信息制定下一步的攻擊計(jì)劃這一特點(diǎn)，為攻擊者提供錯誤的信息來迷惑攻擊者，從而誤導(dǎo)攻擊者的行為。從博弈論的角度也可以證明對入侵者實(shí)施欺騙要比在發(fā)現(xiàn)入侵時直接驅(qū)逐入侵者獲取的收益要高[13-14]。因而，在偵查階段對攻擊者實(shí)施欺騙是很有必要的。

圖1 攻擊鏈模型

Figure 1 Kill chain model

基于網(wǎng)絡(luò)特征混淆的欺騙防御技術(shù)正是用于應(yīng)對網(wǎng)絡(luò)殺傷鏈的偵查階段，旨在防止攻擊者獲取關(guān)于網(wǎng)絡(luò)結(jié)構(gòu)的真實(shí)知識，防范主機(jī)探測[15]、拓?fù)浒l(fā)現(xiàn)[16]、指紋掃描[17]等網(wǎng)絡(luò)偵查技術(shù)。本文梳理了近年來關(guān)于對抗網(wǎng)絡(luò)偵查技術(shù)的混淆欺騙防御方案，結(jié)合已有的描述給出了網(wǎng)絡(luò)混淆欺騙防御的形式化定義，分析了網(wǎng)絡(luò)混淆欺騙防御設(shè)計(jì)中面臨的關(guān)鍵問題和常用的技術(shù)原理，并從3個層面介紹了不同方案的特點(diǎn)，最后總結(jié)分析了這一研究可能的發(fā)展方向。

2 網(wǎng)絡(luò)混淆欺騙防御的形式化定義

基于網(wǎng)絡(luò)特征混淆的欺騙是欺騙防御的一種形式，旨在防止攻擊者探查網(wǎng)絡(luò)結(jié)構(gòu)的真實(shí)信息，以保護(hù)網(wǎng)絡(luò)中的關(guān)鍵鏈路、關(guān)鍵節(jié)點(diǎn)和服務(wù)。按照Yuill[18]給出的計(jì)算機(jī)安全欺騙的定義，網(wǎng)絡(luò)混淆欺騙防御是為了誤導(dǎo)攻擊者對網(wǎng)絡(luò)結(jié)構(gòu)的認(rèn)知而采取的行動，以提升網(wǎng)絡(luò)的安全。

現(xiàn)有的一些研究工作中，也給出了關(guān)于網(wǎng)絡(luò)混淆欺騙防御的定義。Kelly等[19]提出網(wǎng)絡(luò)混淆類的欺騙表示在網(wǎng)絡(luò)不同節(jié)點(diǎn)上設(shè)置虛假但可操作的視圖，以便在掃描器成功之前檢測到它，利用欺騙性的路由信息將掃描流量定向到一個誘餌節(jié)點(diǎn)上，使掃描變慢或無用。Achleitner等[7]提出了應(yīng)對內(nèi)部攻擊者的網(wǎng)絡(luò)混淆欺騙防御的形式化定義：利用動態(tài)地址轉(zhuǎn)換、路由突變、惡意流動態(tài)檢測等操作，將一組網(wǎng)絡(luò)特征集合NF = {TL=主機(jī)在拓?fù)渲形恢?，NH=主機(jī)數(shù)量，AH=主機(jī)地址，CH=主機(jī)間連接，LB=鏈路帶寬，HD=主機(jī)時延}映射到另一組網(wǎng)絡(luò)特征集合NF'，從而使攻擊者獲得錯誤的網(wǎng)絡(luò)信息集，最小化的可用性。

網(wǎng)絡(luò)混淆欺騙防御是攻防雙方對網(wǎng)絡(luò)偵查面的配置和認(rèn)知的一個交互過程，上述的定義針對的是特定的場景，不夠清晰和全面。因此，為了進(jìn)一步明確網(wǎng)絡(luò)混淆欺騙防御的含義，結(jié)合文獻(xiàn)[20]中對欺騙防御的形式化定義，本文對上述的定義進(jìn)行補(bǔ)充和完善，給出更準(zhǔn)確的網(wǎng)絡(luò)混淆欺騙防御的形式化定義。

定義網(wǎng)絡(luò)的基本特征為NF，NF是一個包含節(jié)點(diǎn)集合和節(jié)點(diǎn)關(guān)系集合的集合， NF= {，}。其中= {1,2,…,s}，s代表單獨(dú)的一個網(wǎng)絡(luò)節(jié)點(diǎn)，是一個包含所有和構(gòu)建網(wǎng)絡(luò)偵查面有關(guān)的信息的集合，包含節(jié)點(diǎn)的IP地址、MAC地址、節(jié)點(diǎn)在網(wǎng)絡(luò)中的位置、節(jié)點(diǎn)開放的端口、運(yùn)行的操作系統(tǒng)和服務(wù)及其版本等信息。表示節(jié)點(diǎn)間的連接關(guān)系、轉(zhuǎn)發(fā)關(guān)系、鏈路帶寬、時延等和鏈路拓?fù)溆嘘P(guān)的信息。

定義網(wǎng)絡(luò)信息的偵查者為Viewer，表示通過觀察網(wǎng)絡(luò)信息來獲取關(guān)于網(wǎng)絡(luò)的知識的操作者，Viewer= {Defender，User，Attacker}。其中防御者（Defender）擁有關(guān)于系統(tǒng)的所有權(quán)限，可以配置、修改網(wǎng)絡(luò)特征的表現(xiàn)形式。普通用戶（User）只使用防御者分配給他的功能，防御者要考慮修改網(wǎng)絡(luò)特征對普通用戶的影響。攻擊者（Attacker）對網(wǎng)絡(luò)進(jìn)行偵查，企圖獲取關(guān)于網(wǎng)絡(luò)的更多真實(shí)信息。

定義由基本的網(wǎng)絡(luò)特征NF構(gòu)成的系統(tǒng)偵查面為RS，RS代表一個偵查者Viewer可以獲取的關(guān)于網(wǎng)絡(luò)特征的信息集合T。當(dāng)偵查者Viewer代表防御者時，RS = NF，防御者可以完全獲取系統(tǒng)的所有信息。一個普通的偵查者（普通用戶或者攻擊者）可以觀察到的偵查面RS是NF的一個子集或者一個與NF存在部分交集的集合。對一個攻擊者而言，在極端情況下，集合為空集。

定義網(wǎng)絡(luò)混淆策略為Trick，防御者通過一系列技術(shù)手段，如IP地址跳變、拓?fù)渫蛔?、設(shè)置蜜罐等，操縱網(wǎng)絡(luò)特征的表現(xiàn)形式，構(gòu)成虛假的偵查面RS，可以表示為RS = Trick(NF)，盡可能地誤導(dǎo)或者延緩攻擊者獲取網(wǎng)絡(luò)特征的真實(shí)信息，從而達(dá)到保護(hù)己方系統(tǒng)的目的。

基于以上的定義，可以將網(wǎng)絡(luò)拓?fù)浠煜垓_防御形式化定義為四元組形式：Obfuscation- deception=(NF，Viewer，Trick，RS)。攻擊者的目標(biāo)是根據(jù)對系統(tǒng)暴露的偵查面RS的偵查分析，獲得關(guān)于目標(biāo)網(wǎng)絡(luò)特征的最大信息集合，防御者通過混淆手段展示出虛假的偵查面，降低攻擊者獲取的信息集的可用性，這是一個攻防雙方不斷博弈的過程，如圖2所示。

圖2 網(wǎng)絡(luò)混淆欺騙防御模型

Figure 2 Cyber obfuscation deception defense model

3 網(wǎng)絡(luò)混淆欺騙防御設(shè)計(jì)

網(wǎng)絡(luò)混淆欺騙防御的根本目標(biāo)是通過修改網(wǎng)絡(luò)特性，控制攻擊者通過網(wǎng)絡(luò)偵查收集到的信息集，最大限度地降低這些信息的可用性。因此，如何有效地修改網(wǎng)絡(luò)特征是各項(xiàng)研究考慮的重點(diǎn)?；煜桨傅脑O(shè)計(jì)必須滿足安全屬性要求。一方面要保證安全性，即防御者要對系統(tǒng)中各個用戶的行為完全可分辨可控制，系統(tǒng)不能被非法修改、非法利用，不能被當(dāng)作入侵真實(shí)系統(tǒng)的跳板，而攻擊者無法分辨真假信息，不能訪問被防護(hù)的信息。另一方面，混淆方案要保證系統(tǒng)的可用性，對合法用戶和正常業(yè)務(wù)的影響要在可接受的范圍，這是反映混淆方案好壞的一個重要指標(biāo)。在這些安全屬性約束的約束下，混淆方案的設(shè)計(jì)過程中面臨的主要挑戰(zhàn)有以下3點(diǎn)。

（1）混淆方案的有效性

混淆欺騙防御的基本方法是隱藏某些真實(shí)信息或者顯示虛假信息，但可用性是網(wǎng)絡(luò)安全防御的基本需求?；煜粦?yīng)該影響正常業(yè)務(wù)的使用，這就必須要求在使用欺騙的時候顯示某些真實(shí)的信息，如郵件服務(wù)器的域名。因此，設(shè)置混淆方案的關(guān)鍵是如何在真實(shí)的信息中混合虛假的信息，保證虛假信息的可信性，使攻擊者難以將真實(shí)信息和虛假信息區(qū)分開來。

（2）混淆方案的可控性

虛假信息越多，攻擊者分辨真?zhèn)嗡ㄙM(fèi)的時間也就越多。但大量采用虛假信息來混淆網(wǎng)絡(luò)特征將不可避免地對合法用戶產(chǎn)生影響。虛假信息可以誘使攻擊者采取行動，但合法用戶和服務(wù)也可能對一條虛假信息做出響應(yīng)。而誤報(bào)不僅會增加防御者的工作負(fù)擔(dān)，還會降低警報(bào)的效用。因此防御者需要控制注入虛假信息的成本，即混淆方案造成的影響要在可控的范圍內(nèi)。因而，防御者要在有效性和可控性之間做出權(quán)衡。

（3）混淆方案的生存周期

攻擊者會觀察與網(wǎng)絡(luò)環(huán)境的交互情況，并動態(tài)調(diào)整攻擊策略。即攻擊者對網(wǎng)絡(luò)特征真實(shí)信息的推測伴隨著攻擊的整個過程，因此，混淆方案必須能夠根據(jù)對手意圖動態(tài)地、自主地進(jìn)行更改。然而，關(guān)于混淆方案的動態(tài)調(diào)整周期和調(diào)整時機(jī)，學(xué)術(shù)界目前并沒有明確的解決方案。過于頻繁的變化會帶來不可接受的性能損耗和潛在的拒絕服務(wù)攻擊隱患，過長的周期又會造成防御方案泄露的風(fēng)險(xiǎn)。

為了應(yīng)對混淆欺騙防御設(shè)計(jì)中的挑戰(zhàn)，學(xué)術(shù)界提出了各種解決方案。目前，常用的混淆方案按照其技術(shù)原理基本可以分為3類，如表1所示。

（1）誘餌式混淆

通過設(shè)置有誘惑價(jià)值的虛假節(jié)點(diǎn)（一般指含有漏洞的節(jié)點(diǎn)）來吸引攻擊者的注意力，誘使攻擊者訪問這些虛假節(jié)點(diǎn)，從而達(dá)到延緩攻擊者偵查速度或預(yù)警的目的。這類方案通過少量高價(jià)值的虛假信息來控制混淆的有效性和可控性，并通常在較長的周期內(nèi)保持不變。最常見的是蜜罐技術(shù)[21]，通過混淆網(wǎng)絡(luò)的結(jié)構(gòu)，在擴(kuò)大節(jié)點(diǎn)空間的同時改變網(wǎng)絡(luò)中節(jié)點(diǎn)的價(jià)值分布。例如，高交互蜜罐技術(shù)，通過偽裝有漏洞的主機(jī)或服務(wù)來吸引攻擊者[22]，如圖3所示。誘餌式混淆方案通常用于收集攻擊者的信息情況，高價(jià)值的誘餌節(jié)點(diǎn)需要高昂的配置成本。此外，防御者要確保誘餌節(jié)點(diǎn)的安全性，因?yàn)楹新┒吹恼T餌節(jié)點(diǎn)容易被攻擊者當(dāng)作滲透的跳板。

圖3 利用高交互蜜罐來保護(hù)關(guān)鍵節(jié)點(diǎn)的混淆方案

Figure 3 Obfuscation scheme using high-interaction honeypots to protect key nodes

（2）空間類混淆

通過設(shè)置大量低價(jià)值的虛假資源，如IP地址、開放端口號等來提供一個巨大的攻擊面[23]，增大攻擊者的搜索和判斷空間，從而隱藏真實(shí)資源，以延緩攻擊者攻擊速度，降低其攻擊成功的概率。與誘餌式混淆相反，這類方案通過大量輕量級的虛假信息來混淆真實(shí)信息，而合法用戶一般對這類虛假信息不感興趣，因此不會對合法用戶造成較大干擾。同樣地，這類方案也會在較長的周期內(nèi)保持不變。如開源軟件Honeyd[24]可以讓一臺主機(jī)在網(wǎng)絡(luò)中模擬多達(dá)65 536個地址，F(xiàn)ORMALTECH公司的防御方案CyberChaff[25]，通過在網(wǎng)絡(luò)中引入數(shù)百甚至數(shù)千個虛假的輕量級節(jié)點(diǎn)來混淆真實(shí)主機(jī)的位置，如圖4所示。部署空間類混淆方案需求的資源較小，易于部署，但通常只有大量的虛假節(jié)點(diǎn)才能達(dá)到防護(hù)的效果，在路由跳變空間等可選空間受限的情況下則難以部署。

表1 網(wǎng)絡(luò)混淆欺騙防御的基本方案

圖4 CyberChaff混淆方案

Figure 4 Obfuscation solution of CyberChaff

（3）動態(tài)變化混淆

通過向攻擊者披露錯誤的或者動態(tài)變化的系統(tǒng)信息來增加不確定性從而提升偵查難度，拓?fù)渫蛔?、IP地址隨機(jī)化等技術(shù)都是通過動態(tài)變換系統(tǒng)信息來迷惑攻擊者。動態(tài)變化或錯誤的信息可以有效混淆真實(shí)信息，但對合法用戶的影響也更加顯著。因此為了更好的混淆效果，通常需要犧牲一部分合法用戶的利益。這類方案通常有明確的變化周期，如隨機(jī)變化[27]或者基于事件[28]來變化策略。偽蜜罐[29]通過使真實(shí)系統(tǒng)具有蜜罐的特征從而嚇退攻擊者，操作系統(tǒng)混淆方案[28]通過更改或者隱藏操作系統(tǒng)的特征來隱藏操作系統(tǒng)的真實(shí)信息。例如，文獻(xiàn)[28]通過依照概率來隨機(jī)應(yīng)答攻擊者的掃描探測，讓攻擊者無法獲取準(zhǔn)確的操作系統(tǒng)和服務(wù)的信息，從而提升偵查難度。這類方案通常會對合法用戶造成較大影響，動態(tài)變化的信息會對系統(tǒng)性能造成很大的損耗，而錯誤的信息可能會影響合法用戶的操作。

4 網(wǎng)絡(luò)混淆方案分類

4.1 分類方法

針對網(wǎng)絡(luò)欺騙防御技術(shù)，各類文獻(xiàn)中提出了多種分類方法[30-32]。一種常用的方式是按照欺騙所采用的方法的屬性進(jìn)行分類，文獻(xiàn)[20]從欺騙環(huán)境構(gòu)建的角度將欺騙方法分為了掩蓋、混淆、偽造、模仿4類。這里的混淆是指通過更改系統(tǒng)資源的特征使系統(tǒng)資源看上去像另外的資源，如擬態(tài)防御。由于混淆欺騙防御往往包含多個方面，這種分類方式并不能清晰地區(qū)分已有的研究工作的特點(diǎn)。文獻(xiàn)[12]中作者提出從欺騙的目標(biāo)、欺騙的單元、應(yīng)用欺騙的層及其部署模式4個維度進(jìn)行分類的方法，綜合考慮了欺騙技術(shù)的各個方面。但這樣的方式過于復(fù)雜，不能突出各種技術(shù)的主要思想。

另一種常見的分類方式是根據(jù)欺騙技術(shù)部署的位置進(jìn)行分類。Cohen[31]提出根據(jù)應(yīng)用欺騙的位置，從最低的硬件層到最高的應(yīng)用程序?qū)?，對欺騙技術(shù)進(jìn)行分類。Pingree[32]等進(jìn)一步提出了一個4層的分類方式，即網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用程序?qū)雍蛿?shù)據(jù)層欺騙。文獻(xiàn)[20]也采用了同樣的分類方式劃分了欺騙技術(shù)的層次結(jié)構(gòu)。按照這類分類方式，基于網(wǎng)絡(luò)特征混淆的欺騙技術(shù)則屬于網(wǎng)絡(luò)層的欺騙技術(shù)，通過網(wǎng)絡(luò)可以直接訪問的技術(shù)，是不依賴于特定的主機(jī)的，考慮的是欺騙節(jié)點(diǎn)和節(jié)點(diǎn)特征在己方網(wǎng)絡(luò)中的部署問題和資源的隱藏問題。

按照上述討論，需要更細(xì)粒度的劃分方式來分析已有研究工作的相似性和差異性，以便為往后的工作提出指導(dǎo)。基于網(wǎng)絡(luò)特征混淆的欺騙防御技術(shù)主要用于防止攻擊者偵查網(wǎng)絡(luò)結(jié)構(gòu)信息，而網(wǎng)絡(luò)結(jié)構(gòu)體系包含3個層次：表示網(wǎng)絡(luò)節(jié)點(diǎn)間連接關(guān)系的拓?fù)?，網(wǎng)絡(luò)節(jié)點(diǎn)和節(jié)點(diǎn)上運(yùn)行的系統(tǒng)和提供的服務(wù)。各個層次的組成和功能有很大差異，特征信息也不相同，因而針對各個層面的防護(hù)方案也各不相同（如表2所示）。以系統(tǒng)指紋來統(tǒng)一指代節(jié)點(diǎn)上運(yùn)行的系統(tǒng)和提供的服務(wù)，則在層次法劃分的基礎(chǔ)上，按照網(wǎng)絡(luò)結(jié)構(gòu)體系，可以將基于網(wǎng)絡(luò)特征混淆的欺騙防御技術(shù)分為基于拓?fù)浜突诙斯?jié)點(diǎn)、基于系統(tǒng)指紋3個層面。

4.2 拓?fù)浠煜?/h3>

網(wǎng)絡(luò)拓?fù)渲傅氖枪?jié)點(diǎn)的連接關(guān)系和轉(zhuǎn)發(fā)關(guān)系，是構(gòu)建網(wǎng)絡(luò)基礎(chǔ)功能、進(jìn)行網(wǎng)絡(luò)診斷和故障定位所需的基本信息。然而，網(wǎng)絡(luò)拓?fù)渲R也可以被攻擊者用來規(guī)劃更精確更有效的攻擊，如鏈路泛洪攻擊（LFA，link-flood attack）[60-61]。因此針對拓?fù)涞幕煜垓_防御的主要目的是保護(hù)拓?fù)涞年P(guān)鍵鏈路等信息免于被攻擊者發(fā)現(xiàn)，防范拓?fù)渫茢嗪玩溌泛榉兜裙簟?/p>

表2 網(wǎng)絡(luò)混淆欺騙防御方案概述

LFA攻擊要求攻擊者了解目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和轉(zhuǎn)發(fā)行為, 利用網(wǎng)絡(luò)的鏈路圖來確定目標(biāo)鏈路。典型的緩解LFA攻擊的主動防御技術(shù)是重路由traceroute探測分組。如Trassare等[6]構(gòu)造了一種基于智能路由器的欺騙網(wǎng)絡(luò)，其關(guān)鍵思想是確定網(wǎng)絡(luò)中關(guān)鍵的節(jié)點(diǎn)，通過添加虛擬鏈接使該節(jié)點(diǎn)的中心度最小化，然后由智能路由器在邊界響應(yīng)traceroute包，偽裝虛擬節(jié)點(diǎn)的應(yīng)答，以欺騙惡意的traceroute探測并影響攻擊者推斷的網(wǎng)絡(luò)結(jié)構(gòu)。Kim和Shin[26]提出了一種基于SDN的蜜網(wǎng)SDHoneyNet，通過向攻擊者提供虛假鏈路圖來主動地、預(yù)防性地緩解LFA。它通過將traceroute數(shù)據(jù)包重定向到虛擬網(wǎng)絡(luò)拓?fù)洌乐箰阂饬髁康竭_(dá)瓶頸鏈路來達(dá)到隱藏關(guān)鍵鏈路的目的。WANG等[33]中提出了一種鏈路混淆算法，將潛在的LFA目標(biāo)鏈接隱藏起來，防止被攻擊者發(fā)現(xiàn)。隱藏目標(biāo)鏈接的方法也是改變來自惡意攻擊節(jié)點(diǎn)的traceroute包的路由，使目標(biāo)鏈接不出現(xiàn)在路徑中，并向?qū)κ痔峁﹤卧斓木哂泻芨吡髁棵芏鹊逆溄佑成?，從而使攻擊者誤以為某些誘餌鏈路是目標(biāo)鏈路。

這種基于報(bào)文重路由的方案，對沒有足夠冗余路徑的拓?fù)涞谋Ｗo(hù)程度有限。因此，文獻(xiàn)[62]提出將網(wǎng)絡(luò)功能虛擬化應(yīng)用到網(wǎng)絡(luò)中，以擴(kuò)展網(wǎng)絡(luò)拓?fù)涞亩鄻有?。通過向網(wǎng)絡(luò)中添加虛擬陰影網(wǎng)絡(luò)（VSN），以虛假的拓?fù)湫畔⑵垓_攻擊者，而不暴露真實(shí)的網(wǎng)絡(luò)拓?fù)浜吞卣?，以解決可用的備選路由受網(wǎng)絡(luò)拓?fù)湎拗频膯栴}。

基于重路由traceroute包的解決方案難以應(yīng)對流量統(tǒng)計(jì)分析技術(shù)，因此一些文獻(xiàn)提出通過構(gòu)建虛擬覆蓋網(wǎng)絡(luò)來隱藏真實(shí)網(wǎng)絡(luò)結(jié)構(gòu)。如文獻(xiàn)[34]提出了一個鏈路拓?fù)浠煜蚣躈etHide來應(yīng)對LFA攻擊，NetHide通過在數(shù)據(jù)平面上直接攔截和修改路徑跟蹤分組來混淆拓?fù)洌诒３致窂礁櫣ぞ叩膶?shí)用性的同時，減輕了LFA。NetHide的關(guān)鍵思想是將網(wǎng)絡(luò)混淆描述為一個多目標(biāo)優(yōu)化問題，允許在安全性和可用性之間進(jìn)行靈活的權(quán)衡。與之類似的還有文獻(xiàn)[35]，作者通過引入網(wǎng)絡(luò)掩碼器來混淆分布式系統(tǒng)的真實(shí)網(wǎng)絡(luò)拓?fù)?，防止攻擊者發(fā)現(xiàn)和濫用分布式信息系統(tǒng)的節(jié)點(diǎn)。

此外，還有利用MTD技術(shù)來應(yīng)對拓?fù)浒l(fā)現(xiàn)攻擊的技術(shù)，包括頻繁的IP地址變換、網(wǎng)絡(luò)配置自適應(yīng)、網(wǎng)絡(luò)拓?fù)渫蛔?、路由信息動態(tài)變化等，這些方法都旨在網(wǎng)絡(luò)級別迷惑攻擊者。典型的拓?fù)渫蛔兗夹g(shù)如圖5所示，在探測到traceroute包后，將隨機(jī)變化這些包的路由，如紅色線路所示，防止攻擊者獲取網(wǎng)絡(luò)真實(shí)的轉(zhuǎn)發(fā)路徑。文獻(xiàn)[27]提出了一種基于SDN的全面的多維網(wǎng)絡(luò)混淆和欺騙解決方案NetShifter，該方案利用SDN和虛擬化技術(shù)，集成了報(bào)文頭部隨機(jī)化、主機(jī)/服務(wù)器IP地址突變、路由/流突變、拓?fù)渫蛔兗夹g(shù)，同時變異和隨機(jī)化網(wǎng)絡(luò)配置的多個方面，每個方面都增加了網(wǎng)絡(luò)攻擊者必須分析的復(fù)雜性維度，并利用GRE/VPN隧道技術(shù)解決了拓?fù)渫蛔兛臻g受物理子網(wǎng)限制的問題。文獻(xiàn)[36]提出了一種應(yīng)對針對關(guān)鍵鏈路的間接DDoS攻擊的解決方案MoveNet，通過使用虛擬網(wǎng)絡(luò)（VN）提供對關(guān)鍵網(wǎng)絡(luò)資源的持續(xù)、動態(tài)、威脅感知分配，增加多個VN的關(guān)鍵鏈路的不確定性，以此來欺騙攻擊者對關(guān)鍵網(wǎng)絡(luò)資源的探測。其他路由跳變技術(shù)參考文獻(xiàn)[37-39]，文獻(xiàn)[37]提出了一種基于覆蓋網(wǎng)絡(luò)的路由隨機(jī)化方法，文獻(xiàn)[38]中提出可以通過使用SDN來實(shí)現(xiàn)高效、可定制的路由隨機(jī)化方案，文獻(xiàn)[39]中描述了一個通過不斷重路由流量來避免鏈路攻擊的防御系統(tǒng)。

圖5 典型的拓?fù)渫蛔兗夹g(shù)

Figure 5 Typical topology mutation technique

4.3 端節(jié)點(diǎn)混淆

網(wǎng)絡(luò)中端節(jié)點(diǎn)指代終端主機(jī)和服務(wù)器，作為承載重要數(shù)據(jù)和提供服務(wù)的重要載體，一直是網(wǎng)絡(luò)攻擊的重點(diǎn)。DDoS攻擊和網(wǎng)絡(luò)滲透都依靠關(guān)鍵節(jié)點(diǎn)的角色識別和真實(shí)IP地址確認(rèn)，攻擊者通過流量竊聽[8]和主機(jī)掃描[15]、端口掃描[63]等手段確定活躍主機(jī)IP地址和重要節(jié)點(diǎn)。因此，針對端節(jié)點(diǎn)的混淆欺騙防御的主要目的是保護(hù)關(guān)鍵節(jié)點(diǎn)和節(jié)點(diǎn)特征免于被攻擊者發(fā)現(xiàn)，主要防御主機(jī)發(fā)現(xiàn)和端口、指紋探測等攻擊。

典型的混淆方案是通過honey-X技術(shù)來偽裝對攻擊者的掃描查詢的應(yīng)答，從而吸引攻擊者的注意力。如文獻(xiàn)[40]提出使用蜜罐網(wǎng)絡(luò)來延緩攻擊者的滲透速度，依據(jù)計(jì)算機(jī)網(wǎng)絡(luò)的邏輯布局，通過在網(wǎng)絡(luò)的關(guān)鍵點(diǎn)上添加分散注意力的集群和相互連接的虛擬機(jī)集合來修改網(wǎng)絡(luò)拓?fù)?，引誘對手去探索無用的信息，降低入侵者到達(dá)目標(biāo)主機(jī)的概率。Openfire[41]使用防火墻將不需要的消息轉(zhuǎn)發(fā)給誘餌機(jī)，使所有端口看起來都是打開的，從而誘使攻擊者將目標(biāo)對準(zhǔn)虛假服務(wù)。此外，Honeyd[24]和DTK[30]工具都可以通過生成多個虛假服務(wù)和網(wǎng)絡(luò)IP地址來欺騙攻擊者，使他們攻擊虛假目標(biāo)。

蜜網(wǎng)技術(shù)則是通過構(gòu)建一個安全可控的環(huán)境，通過高交互蜜罐響應(yīng)攻擊者的偵查掃描，偽裝漏洞服務(wù)，從而吸引攻擊者的注意力。文獻(xiàn)[42]則提出了一種嗅探反射技術(shù)，通過在網(wǎng)絡(luò)入口利用Snort入侵檢測系統(tǒng)來檢測可能的網(wǎng)絡(luò)偵查數(shù)據(jù)包，并將其轉(zhuǎn)發(fā)到影子網(wǎng)絡(luò)。在影子網(wǎng)絡(luò)中，生成掃描響應(yīng)以混淆攻擊者對網(wǎng)絡(luò)的探查。而文獻(xiàn)[43]則關(guān)注攻擊者入侵內(nèi)網(wǎng)的主機(jī)后并試圖進(jìn)一步偵查感染網(wǎng)絡(luò)時，將通信重定向到具有相同配置的欺騙網(wǎng)絡(luò)，從而最大限度地減少對操作數(shù)據(jù)和資產(chǎn)的進(jìn)一步破壞。類似的，通過沉洞（sinkholing）攻擊[41]，將惡意流量重定向到模擬真實(shí)終端行為的粘性蜜罐（tarpits）[64]上，創(chuàng)建粘性連接來減緩或阻止自動掃描，并迷惑對手。

大量的文獻(xiàn)研究通過為主機(jī)分配虛擬視圖來延緩主機(jī)探測攻擊。Achleitner等[7]提出了一種基于軟件定義網(wǎng)絡(luò)的偵查欺騙系統(tǒng)（RDS）來防止網(wǎng)絡(luò)內(nèi)部的攻擊者獲取網(wǎng)絡(luò)的更多信息，通過仿真網(wǎng)絡(luò)拓?fù)浜臀锢硖匦?，為不同?jié)點(diǎn)分配不同的虛擬視圖來欺騙惡意主機(jī)發(fā)現(xiàn)攻擊，限制攻擊者獲取到的真實(shí)網(wǎng)絡(luò)的細(xì)節(jié)，如圖6所示。該方案旨在限制性能對良性網(wǎng)絡(luò)流量的影響的同時，有效延遲敵方發(fā)現(xiàn)脆弱主機(jī)的過程，并在網(wǎng)絡(luò)中識別敵方偵查的來源。在此基礎(chǔ)上，XU等[44]提出將真實(shí)網(wǎng)絡(luò)拓?fù)浒凑瘴锢斫Y(jié)構(gòu)劃分為不同的分組，分別實(shí)施不同欺騙策略，解決了文獻(xiàn)[7]中由于單臺欺騙服務(wù)器在網(wǎng)絡(luò)規(guī)模變大時帶來的性能約束。Kelly等[19]在文獻(xiàn)[7]的基礎(chǔ)上，利用遺傳算法分析了防御方和攻擊方的最優(yōu)配置策略，為提供有效的欺騙視圖指出了指導(dǎo)。

圖6 Achleitner等提出的虛擬視圖方案

Figure 6 The virtual view scheme proposed by Achleitner et al

與文獻(xiàn)[7]類似，Robertson等[45]提出了一種定制信息網(wǎng)絡(luò)CINDAM，同樣為網(wǎng)絡(luò)上的每個主機(jī)創(chuàng)建一個臨時的虛擬網(wǎng)絡(luò)視圖，從而將網(wǎng)絡(luò)的恒定拓?fù)浣Y(jié)構(gòu)轉(zhuǎn)換為欺騙性的、可變的和個性化的拓?fù)浣Y(jié)構(gòu)，防止攻擊者探測主機(jī)信息。文獻(xiàn)[46]描述了一種自適應(yīng)網(wǎng)絡(luò)欺騙系統(tǒng)ACyDS，ACyDS為企業(yè)網(wǎng)絡(luò)中的每個主機(jī)提供一個唯一的虛擬網(wǎng)絡(luò)視圖，并且可以動態(tài)生成和改變每個主機(jī)的網(wǎng)絡(luò)視圖，防止入侵者入侵網(wǎng)絡(luò)中的主機(jī)。

隨機(jī)化技術(shù)也是一種主要的端節(jié)點(diǎn)的混淆欺騙防御手段。網(wǎng)絡(luò)地址空間隨機(jī)化（NASR）[47]通過修改動態(tài)主機(jī)配置協(xié)議（DHCP）服務(wù)器，頻繁改變系統(tǒng)IP地址。自屏蔽動態(tài)網(wǎng)絡(luò)結(jié)構(gòu)（SDNA）[48]通過重寫進(jìn)入和離開操作系統(tǒng)的數(shù)據(jù)包，以防止從主機(jī)觀察到網(wǎng)絡(luò)中的真實(shí)地址。類似的IP地址跳轉(zhuǎn)解決方案還有OF-RHM[5]，SDN Shuffle[49]。

為了應(yīng)對網(wǎng)絡(luò)竊聽，流量分析等手段引起的通信雙方身份識別，關(guān)鍵節(jié)點(diǎn)定位等攻擊，還有大量關(guān)于匿名通信系統(tǒng)的研究。基于SDN交換機(jī)的IP地址變換策略如圖7所示，通過在入網(wǎng)節(jié)點(diǎn)對主機(jī)的IP地址進(jìn)行映射，來達(dá)到隱藏主機(jī)真實(shí)IP地址的目的[27]。文獻(xiàn)[50]中，作者提出了一種利用IPv6承載加密的真實(shí)IPv4地址的匿名通信系統(tǒng)SPINE，來防止數(shù)據(jù)包在通過不可信網(wǎng)絡(luò)時泄露通信方的信息。文獻(xiàn)[51]中提出了一種匿名系統(tǒng)iTAP，在網(wǎng)絡(luò)邊緣將報(bào)文頭部重寫為可變的隨機(jī)標(biāo)識符，防止大型局域網(wǎng)中網(wǎng)絡(luò)竊聽。文獻(xiàn)[52]中提出了在數(shù)據(jù)中心網(wǎng)絡(luò)中隱藏通信方真實(shí)身份、防止攻擊者推斷關(guān)鍵節(jié)點(diǎn)的匿名系統(tǒng)MIC。文獻(xiàn)[53]中研究了無線網(wǎng)絡(luò)中節(jié)點(diǎn)角色的隱藏問題，防止攻擊者通過流量分析識別出網(wǎng)絡(luò)中的關(guān)鍵節(jié)點(diǎn)。

圖7 基于SDN交換機(jī)的IP地址變換策略

Figure 7 IP address mutation strategy based on SDN switch

4.4 系統(tǒng)指紋混淆

由于大多數(shù)安全漏洞依賴于操作系統(tǒng)，因此攻擊者在確定攻擊目標(biāo)在網(wǎng)絡(luò)中的位置和IP地址后，需要了解目標(biāo)系統(tǒng)的操作系統(tǒng)版本、應(yīng)用版本和配置，以便制定進(jìn)一步的攻擊策略。攻擊者可以通過被動嗅探、收集和分析主機(jī)間傳送的數(shù)據(jù)包，也可以主動向目標(biāo)主機(jī)發(fā)送精心設(shè)計(jì)的數(shù)據(jù)包并分析響應(yīng)來實(shí)現(xiàn)系統(tǒng)指紋分析[17]。針對系統(tǒng)指紋的混淆主要目的是保護(hù)節(jié)點(diǎn)特征免于被攻擊者發(fā)現(xiàn)，防御指紋探測類攻擊。

防御指紋探測常用的方式通過偽裝有漏洞的主機(jī)或服務(wù)，并通過這些服務(wù)的特征混淆真實(shí)系統(tǒng)的特征，最常見的是高交互蜜罐技術(shù)。如文獻(xiàn)[22]通過設(shè)置含有多個漏洞服務(wù)的影子服務(wù)器來干擾攻擊者對真實(shí)系統(tǒng)服務(wù)的判斷。文獻(xiàn)[54-55]利用了代理服務(wù)器來實(shí)現(xiàn)保護(hù)Web服務(wù)的欺騙框架，來防止對Web應(yīng)用程序的探測和攻擊。

另一種常用的技術(shù)是通過向攻擊者展示錯誤的或者動態(tài)變化的信息來迷惑攻擊者。典型的如偽蜜罐[29]通過修改系統(tǒng)特征，從而使真實(shí)系統(tǒng)具有蜜罐的特征從而嚇退攻擊者。Jajodia等[28]提出了一種基于概率邏輯理論（PLD-Logic，probabilistic logic of deception）的欺騙防御方案來防護(hù)企業(yè)網(wǎng)，通過為各種掃描查詢提供真假混合的響應(yīng)，來增加攻擊者的攻擊時間和成本，并通過計(jì)算給定約束條件下回答攻擊者掃描查詢的最佳方法，來最大化欺騙的效果。文獻(xiàn)[23]將給定系統(tǒng)的設(shè)備、設(shè)備間的連通性、設(shè)備提供的服務(wù)等信息形式化為系統(tǒng)視圖，并定義了不同視圖之間的距離，通過創(chuàng)建滿足指定視圖距離等期望的最優(yōu)虛擬視圖來防御攻擊者對系統(tǒng)指紋的探測攻擊。具體如圖8所示，通過將外向數(shù)據(jù)包中所有可能泄露操作系統(tǒng)有關(guān)信息的特定域修改為欺騙性的簽名，使攻擊者通過Sinfp3等工具探測時獲取到錯誤的結(jié)果，如圖中將服務(wù)器識別為打印機(jī)。Watson[56]等為了避免暴露特定信息，限制攻擊者探測受保護(hù)主機(jī)操作系統(tǒng)的能力，采用了協(xié)議過濾器來修改網(wǎng)絡(luò)實(shí)現(xiàn)的特征，與之相似的還有文獻(xiàn)[57]。Malecot[58]介紹了一種通過隨機(jī)連接跳轉(zhuǎn)和流量偽造來隨機(jī)化指紋探測的技術(shù)，從而達(dá)到迷惑攻擊者的目的。文獻(xiàn)[59]提出了一種欺騙防御架構(gòu)CHAOS, 通過使用主機(jī)突變混淆、端口混淆和基于誘餌服務(wù)器的混淆，靈活地轉(zhuǎn)發(fā)和修改網(wǎng)絡(luò)中的數(shù)據(jù)包，模糊攻擊面，降低攻擊者嗅探網(wǎng)絡(luò)流量的能力，防止目標(biāo)主機(jī)的真實(shí)信息泄露。

圖8 操作系統(tǒng)指紋混淆方案

Figure 8 Operating system fingerprint obfuscation scheme

5 未來研究方向

雖然現(xiàn)在已圍繞網(wǎng)絡(luò)特征混淆欺騙防御做了大量的研究工作，提出了很多有效的系統(tǒng)框架和解決方案，但網(wǎng)絡(luò)攻擊呈現(xiàn)出多樣化、復(fù)雜化、規(guī)?；忍攸c(diǎn)，攻防對抗的形勢日趨嚴(yán)峻，在此情況下，有必要從以下3方面加強(qiáng)網(wǎng)絡(luò)特征混淆欺騙防御技術(shù)的研究。

（1）基于人工智能的自適應(yīng)、智能化的混淆框架研究。攻擊者的偵查時間和手段多變，網(wǎng)絡(luò)偵查技術(shù)日漸復(fù)雜，需要更加復(fù)雜的混淆策略來應(yīng)對不同的防護(hù)場景。因此，利用機(jī)器學(xué)習(xí)、人工智能技術(shù)，研究能夠自適應(yīng)調(diào)整混淆策略，智能化響應(yīng)攻擊者行為的混淆欺騙防御框架十分有必要。

（2）基于SDN等新興網(wǎng)絡(luò)技術(shù)的可定制化、可伸縮性的部署方案研究。不同的業(yè)務(wù)環(huán)境和防護(hù)需求使部署混淆方案變得十分不便，如何基于SDN可編程網(wǎng)絡(luò)平臺、微服務(wù)、網(wǎng)絡(luò)功能虛擬化等新興網(wǎng)絡(luò)技術(shù)解決按照用戶需求和使用場景定制混淆方案、彈性可伸縮的部署混淆方案將是未來的重要研究方向。

（3）量化的混淆效果評定。目前欺騙防御缺乏明確的評價(jià)指標(biāo)和測試方法，導(dǎo)致在實(shí)際部署中存在大量冗余，難以達(dá)到最優(yōu)效果。學(xué)術(shù)界也在積極探索量化評價(jià)欺騙防御方案效果的方法，但一套完整可靠、明確有效的量化指標(biāo)和評測方案仍有待更深一步的研究。

6 結(jié)束語

網(wǎng)絡(luò)偵查在網(wǎng)絡(luò)攻擊中扮演著重要的角色，對抗網(wǎng)絡(luò)偵查可以有效緩解網(wǎng)絡(luò)攻擊。而基于網(wǎng)絡(luò)特征混淆的欺騙防御技術(shù)是一種應(yīng)對網(wǎng)絡(luò)偵查的有效手段，受到學(xué)術(shù)界和產(chǎn)業(yè)界的高度重視，產(chǎn)生了大量的研究成果和商業(yè)產(chǎn)品。本文首先介紹了利用混淆欺騙防御方案應(yīng)對網(wǎng)絡(luò)偵查的必要性，并給出了網(wǎng)絡(luò)混淆欺騙防御的形式化定義，最后給出了網(wǎng)絡(luò)拓?fù)浠煜垓_防御技術(shù)的分類方案并介紹了目前的研究狀況。

網(wǎng)絡(luò)混淆欺騙防御是一個很有前景的研究方向，仍處于成熟過程的早期階段?，F(xiàn)有方案的配置集受到靜態(tài)物理拓?fù)涞南拗?，還必須考慮其安全屬性的約束，在挫敗攻擊者進(jìn)行偵查、發(fā)動攻擊和竊取情報(bào)方面仍有不足之處。目前也缺乏對混淆效果的度量，很難從技術(shù)上了解攻擊者對混淆方案的想法。為了應(yīng)對各種網(wǎng)絡(luò)攻擊帶來的威脅，仍然需要一種全面、動態(tài)、高效的混淆欺騙防御方案。

[1] PANJWANI S, TAN S, JARRIN K M, et al. An experimental evaluation to determine if port scans are precursors to an attack[C]//2005 International Conference on Dependable Systems and Networks (DSN'05). 2005: 602-611.

[2] KEWLEY D, FINK R, LOWRY J, et al. Dynamic approaches to thwart adversary intelligence gathering[C]//Proceedings DARPA Information Survivability Conference and Exposition II DISCEX'01. 2001, 1: 176-185.

[3] HUTCHINS E M, CLOPPERT M J, AMIN R M. Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains[J]. Leading Issues in Information Warfare Security Research, 2011, 1(1): 80.

[4] AL-SHAER E, DUAN Q, JAFARIAN J H. Random host mutation for moving target defense[C]//International Conference on Security and Privacy in Communication Systems. 2012: 310-327.

[5] JAFARIAN J H, AL-SHAER E, DUAN Q. Openflow random host mutation: Transparent moving target defense using software defined networking[C]//Proceedings of the First Workshop on Hot Topics in Software Defined Networks. 2012: 127-132.

[6] TRASSARE S T, BEVERLY R, ALDERSON D. A technique for network topology deception[C]//2013 IEEE Military Communications Conference. 2013: 1795-1800.

[7] ACHLEITNER S, LA PORTA T F, MCDANIEL P, et al. Deceiving network reconnaissance using SDN-based virtual topologies[J]. IEEE Transactions on Network and Service Management, 2017, 14(4): 1098-1112.

[8] CHIANG C-Y J, VENKATESAN S, SUGRIM S, et al. On defensive cyber deception: a case study using SDN[C]//2018 IEEE Military Communications Conference (MILCOM). 2018: 110-115.

[9] ERIKSSON B, DASARATHY G, BARFORD P, et al. Efficient network tomography for internet topology discovery[J]. IEEE/ ACM Transactions on Networking (TON), 2012, 20(3): 931-943.

[10] JAJODIA S, GHOSH A K, SWARUP V, et al. Moving target defense: creating asymmetric uncertainty for cyber threats [M]// Advances in information security. 2011.

[11] 鄔江興. 網(wǎng)絡(luò)空間擬態(tài)防御研究[J]. 信息安全學(xué)報(bào), 2016, 1(4): 1-10.

WU J X. Research on cyber mimic defense[J]. Journal of Cyber Security, 2016, 1(4): 1-10

[12] XIAO H, KHEIR N, BALZAROTTI D. Deception techniques in computer security: a research perspective[J]. ACM Computing Surveys, 2018, 51(4): 1-36.

[13] BAO N, MUSACCHIO J. Optimizing the decision to expel attackers from an information system[C]//2009 47th Annual Allerton Conference on Communication Control and Computing (Allerton). 2009: 644-651.

[14] HORáK K, ZHU Q, BO?ANSKY B. Manipulating adversary’s belief: a dynamic game approach to deception by design for proactive network security[C]//International Conference on Decision and Game Theory for Security. 2017: 273-294.

[15] JAFARIAN J H, AL-SHAER E, DUAN Q. Adversary-aware ip address randomization for proactive agility against sophisticated attackers[C]//2015 IEEE Conference on Computer Communications (INFOCOM). 2015: 738-746.

[16] SPRING N, MAHAJAN R, WETHERALL D. Measuring ISP topologies with rocketfuel[J]. ACM Sigcomm Computer Communication Review, 2002, 32(4): 133-145.

[17] TROWBRIDGE C. An overview of remote operating system fingerprinting[EB].

[18] YUILL J J. Defensive computer-security deception operations: Processes, principles and techniques[D]. Raleigh: North Carolina State University, 2006.

[19] KELLY J, DELAUS M, HEMBERG E, et al. Adversarially adapting deceptive views and reconnaissance scans on a software defined network[C]//2019 IFIP/IEEE Symposium on Integrated Network and Service Management (IM). 2019: 49-54.

[20] 賈召鵬, 方濱興, 劉潮歌, 等. 網(wǎng)絡(luò)欺騙技術(shù)綜述[J]. 通信學(xué)報(bào), 2017, 38(12): 128-143.

JIA Z P, FANG B X, LIU C G, et al. Survey on cyber deception[J]. Journal on Communications, 2017, 38(12): 128-143.

[21] 石樂義, 李陽, 馬猛飛. 蜜罐技術(shù)研究新進(jìn)展[J]. 電子與信息學(xué)報(bào), 2019, 41(2): 249-259.

SHI L Y, LI Y, MA M F. Latest research progress of honeypot technology[J]. Journal of Electronics & Information Technology, 2019, 41(2): 249-259.

[22] STOECKLIN M P, ZHANG J, ARAUJO F, et al. Dressed up: baiting attackers through endpoint service projection[C]//Proceedings of the 2018 ACM International Workshop on Security in Software Defined Networks & Network Function Virtualization. 2018: 23-28.

[23] ALBANESE M, BATTISTA E, JAJODIA S. Deceiving attackers by creating a virtual attack surface[M]//Cyber Deception. 2016: 167-199.

[24] PROVOS N. Honeyd-a virtual honeypot daemon[C]//10th DFN-CERT Workshop, Hamburg, Germany. 2003: 4.

[25] Cyberchaff[EB].

[26] KIM J, SHIN S. Software-defined honeynet: towards mitigating link flooding attacks[C]//2017 47th Annual IEEE/IFIP International Conference on Dependable Systems and Networks Workshops (DSN-W). 2017: 99-100.

[27] AL-SHAER E, WEI J, HAMLEN K W, et al. Netshifter: a comprehensive multi-dimensional network obfuscation and deception solution[M]//Autonomous Cyber Deception. 2019: 125-146.

[28] JAJODIA S, PARK N, PIERAZZI F, et al. A probabilistic logic of cyber deception[J]. IEEE Transactions on Information Forensics and Security, 2017, 12(11): 2532-2544.

[29] ROWE N C, DUONG B T, CUSTY E J. Fake honeypots: a defensive tactic for cyberspace[C]//IEEE Workshop on Information Assurance. 2006: 223-230.

[30] COHEN F. A note on the role of deception in information protection[J]. Computers & Security, 1998, 17(6): 483-506.

[31] COHEN F. The use of deception techniques: honeypots and decoys[J]. Handbook of Information Security, 2006, 3(1): 646-655.

[32] PINGREE L. Emerging technology analysis: Deception techniques and technologies create security technology business opportunities[R]. Gartner Inc, 2015.

[33] WANG Q, XIAO F, ZHOU M, et al. Linkbait: active link obfuscation to thwart link-flooding attacks[J]. arXiv: Networking and Internet Architecture, 2017.

[34] MEIER R, TSANKOV P, LENDERS V, et al. Nethide: secure and practical network topology obfuscation[C]//27th USENIX Security Symposium (USENIX Security 18). 2018: 693-709.

[35] MAXIMOV R V, IVANOV I I, SHARIFULLIN S R. Network topology masking in distributed information systems[C]//Selected Papers of the VIII All-Russian Conference with International Participation" Secure Information Technologies". 2017: 83.

[36] GILLANI F, AL-SHAER E, LO S, et al. Agile virtualized infrastructure to proactively defend against cyber attacks[C]//IEEE Conference on Computer Communications. 2015: 729-737.

[37] DUAN Q, AL-SHAER E, JAFARIAN H. Efficient random route mutation considering flow and network constraints[C]//2013 IEEE Conference on Communications and Network Security (CNS). 2013: 260-268.

[38] KAMPANAKIS P, PERROS H, BEYENE T. SDN-based solutions for moving target defense network protection[C]//Proceeding of IEEE International Symposium on a World of Wireless, Mobile and Multimedia Networks 2014. 2014: 1-6.

[39] LIASKOS C, KOTRONIS V, DIMITROPOULOS X. A novel framework for modeling and mitigating distributed link flooding attacks[C]//IEEE INFOCOM 2016-The 35th Annual IEEE International Conference on Computer Communications. 2016: 1-9.

[40] SHAKARIAN P, KULKARNI N, ALBANESE M, et al. Keeping intruders at bay: a graph-theoretic approach to reducing the probability of successful network intrusions[C]//International Conference on E-Business and Telecommunications, Cham. 2014: 191-211.

[41] BORDERS K, FALK L, PRAKASH A. Openfire: Using deception to reduce network attacks[C]//International Conference on Security & Privacy in Communications Networks & the Workshops. 2007: 224-233.

[42] WANG L, WU D. Moving target defense against network reconnaissance with software defined networking[C]//International Conference on Information Security. 2016: 203-217.

[43] SHIMANAKA T, MASUOKA R, HAY B. Cyber deception architecture: covert attack reconnaissance using a safe SDN approach[C]//Proceedings of the 52nd Hawaii International Conference on System Sciences. 2019: 1-10.

[44] XU M, GAO Y, FENG C. DDS: a distributed deception defense system based on SDN[C]//2018 14th International Conference on Computational Intelligence and Security (CIS). 2018: 430-433.

[45] ROBERTSON S, ALEXANDER S, MICALLEF J, et al. Cindam: customized information networks for deception and attack mitigation[C]//IEEE International Conference on Self-adaptive & Self-organizing Systems Workshops. 2015: 114-119.

[46] CHIANG C-Y J, GOTTLIEB Y M, SUGRIM S J, et al. Acyds: an adaptive cyber deception system[C]//2016 IEEE Military Communications Conference. 2016: 800-805.

[47] ANTONATOS S, AKRITIDIS P, MARKATOS E P, et al. Defending against hitlist worms using network address space randomization[J]. Computer Networks, 2007, 51(12): 3471-3490.

[48] YACKOSKI J, XIE P, BULLEN H, et al. A self-shielding dynamic network architecture[C]//Military Communications Conference. 2011: 1381-1386.

[49] MACFARLAND D C, SHUE C A. The SDN shuffle: Creating a moving-target defense using host-based software-defined networking[C]//Proceedings of the Second ACM Workshop on Moving Target Defense. 2015: 37-41.

[50] DATTA T, FEAMSTER N, REXFORD J, et al. {spine}: Surveillance protection in the network elements[C]//9th USENIX Workshop on Free and Open Communications on the Internet (FOCI 19). 2019.

[51] MEIER R, GUGELMANN D, VANBEVER L. ITAP: In-network traffic analysis prevention using software-defined networks[C]// Proceedings of the Symposium on SDN Research. 2017: 102-114.

[52] ZHU T W, FENG D, WANG F, et al. Efficient anonymous communication in SDN-based data center networks[J]. IEEE-ACM Transactions on Networking, 2017, 25(6): 3767-3780.

[53] LU Z, WANG C, WEI M. A proactive and deceptive perspective for role detection and concealment in wireless networks [M]//Cyber Deception. 2016: 97-114.

[54] FRAUNHOLZ D, RETI D, DUQUE ANTON S, et al. Cloxy: a context-aware deception-as-a-service reverse proxy for web services[C]//Proceedings of the 5th ACM Workshop on Moving Target Defense. 2018: 40-47.

[55] HAN X, KHEIR N, BALZAROTTI D. Evaluation of deception-based web attacks detection[C]//Proceedings of the 2017 Workshop on Moving Target Defense. 2017: 65-73.

[56] WATSON D, SMART M, MALAN G R, et al. Protocol scrubbing: network security through transparent flow modification[J]. IEEE/ACM Transactions on Networking, 2004, 12(2): 261-273.

[57] SMART M, MALAN G R, JAHANIAN F. Defeating TCP/IP stack fingerprinting[C]//Usenix Security Symposium. 2000: 17.

[58] MALéCOT E L. Mitibox: Camouflage and deception for network scan mitigation[C]//Usenix Conference on Hot Topics in Security. 2009: 4.

[59] SHI Y, ZHANG H, WANG J, et al. Chaos: an SDN-based moving target defense system[J]. Security and Communication Networks, 2017.

[60] STUDER A, PERRIG A. The coremelt attack[C]//European Symposium on Research in Computer Security, 2009: 37-52.

[61] KANG M S, LEE S B, GLIGOR V D. The crossfire attack[C]// 2013 IEEE Symposium on Security and Privacy. IEEE, 2013: 127-141.

[62] AYDEGER A, SAPUTRO N, AKKAYA K. Utilizing NFV for effective moving target defense against link flooding reconnaissance attacks[C]//2018 IEEE Military Communications Conference(MILCOM). 2018: 946-951.

[63] GADGE J, PATIL A A. Port scan detection[C]//2008 16th IEEE International Conference on Networks. 2008: 1-6.

[64] LISTON T. Labrea: “Sticky” honeypot and ids[EB].

Research on deception defense techniques based on network characteristics obfuscation

ZHAO Jinlong, ZHANG Guomin, XING Changyou

Command & Control Engineering College, Army Engineering University, Nanjing 210001, China

There is usually a reconnaissance stage before a network attack, the attacker obtains the key information of the target system through techniques such as traffic analysis and active scanning, to formulate a targeted network attack. Deception defense techniques based on network characteristics obfuscation is an effective strategy toconfrontnetwork reconnaissance, which makes the attacker launch an ineffective attack by thwarting the attacker's reconnaissance stage. The technical principle of the existing obfuscation defense solutions was analyzed, the formal definition of network obfuscation was given, the existing research works were discussed from three aspects, and finally the development trend of the obfuscation deception defense technique were analyzed.

network reconnaissance protection, topology obfuscation, reconnaissance deception, deception defense

TP393

A

10.11959/j.issn.2096?109x.2021045

2020?06?06；

2021?01?20

張國敏，zhang_gmwn@163.com

國家自然科學(xué)基金（61572521）；武警工程大學(xué)科研創(chuàng)新團(tuán)隊(duì)科學(xué)基金（KYTD201805）

The National Natural Science Foundation of China (61572521), The Scientific Foundation of the Scientific Research and Innovation Team of Engineering University of PAP (KYTD201805)

趙金龍, 張國敏, 邢長友. 基于網(wǎng)絡(luò)特征混淆的欺騙防御技術(shù)研究[J]. 網(wǎng)絡(luò)與信息安全學(xué)報(bào), 2021, 7(4): 42-52.

ZHAO J L, ZHANG G M, XING C Y. Research on deception defense techniques based on network characteristics obfuscation[J]. Chinese Journal of Network and Information Security, 2021, 7(4): 42-52.

趙金龍（1994? ），男，甘肅靜寧人，陸軍工程大學(xué)碩士生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、欺騙防御、軟件定義網(wǎng)絡(luò)。

張國敏（1979? ），男，江蘇南京人，博士，陸軍工程大學(xué)副教授，主要研究方向?yàn)檐浖x網(wǎng)絡(luò)、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)測量和分布式系統(tǒng)。

邢長友（1982? ），男，江蘇南京人，博士，陸軍工程大學(xué)副教授，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、軟件定義網(wǎng)絡(luò)、網(wǎng)絡(luò)度量和網(wǎng)絡(luò)功能虛擬化。