劉世文，馬多耀，雷 程，尹少東，張紅旗

(1.中國(guó)人民解放軍信息工程大學(xué)密碼工程學(xué)院，河南 鄭州 450001；2.城市交通管理集成與優(yōu)化技術(shù)公安部重點(diǎn)實(shí)驗(yàn)室，安徽 合肥 230001；3.中國(guó)科學(xué)院信息工程研究所信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室，北京 100093； 4.安徽科力信息產(chǎn)業(yè)有限責(zé)任公司,安徽 合肥 230001；5.河南省信息安全重點(diǎn)實(shí)驗(yàn)室，河南 鄭州 450001)

1 引言

近年來,信息化高速發(fā)展的同時(shí)給個(gè)人、企業(yè)以及國(guó)家?guī)淼男畔踩L(fēng)險(xiǎn)與日俱增,以震網(wǎng)(Stuxnet)和 Havex 病毒攻擊為代表的工業(yè)控制系統(tǒng)安全事故頻發(fā)，給全球的工業(yè)安全帶來了前所未有的嚴(yán)重威脅[1,2]。傳統(tǒng)網(wǎng)絡(luò)的被動(dòng)安全防御思想是在現(xiàn)有網(wǎng)絡(luò)體系架構(gòu)的基礎(chǔ)上建立包括防火墻和安全網(wǎng)關(guān)、訪問控制、入侵檢測(cè)、病毒查殺、數(shù)據(jù)加密等多層次的防御體系，來提升網(wǎng)絡(luò)及其應(yīng)用的安全性,但近年來不斷被披露的網(wǎng)絡(luò)安全事件及由此帶來的嚴(yán)重后果也逐漸暴露了網(wǎng)絡(luò)被動(dòng)安全防御存在的先天缺陷。因此，如何通過動(dòng)態(tài)化、隨機(jī)化、主動(dòng)化的手段改變網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行或執(zhí)行環(huán)境，加速突破傳統(tǒng)網(wǎng)絡(luò)信息安全被動(dòng)防御的困境，將“亡羊補(bǔ)牢”式的被動(dòng)防御轉(zhuǎn)變?yōu)殡y以被偵測(cè)的主動(dòng)安全防御顯得迫在眉睫。

網(wǎng)絡(luò)主動(dòng)防御以提供運(yùn)行環(huán)境的隨機(jī)性、異構(gòu)性、動(dòng)態(tài)性、不確定性為目的，通過網(wǎng)絡(luò)系統(tǒng)中的協(xié)議、軟件、接口等主動(dòng)重構(gòu)或遷移實(shí)現(xiàn)動(dòng)態(tài)環(huán)境，在防御方可控范圍內(nèi)進(jìn)行主動(dòng)變化，對(duì)攻擊方則表現(xiàn)為難以覺察和預(yù)測(cè)，從而大幅增加網(wǎng)絡(luò)攻擊難度和成本，最終大幅降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)的主動(dòng)安全防御雖然能有效防御新型網(wǎng)絡(luò)攻擊和未知漏洞，實(shí)現(xiàn)網(wǎng)絡(luò)安全的動(dòng)態(tài)化，但變化過于頻繁的網(wǎng)絡(luò)元素和網(wǎng)絡(luò)狀態(tài)，從安全代價(jià)權(quán)衡而言，可能是昂貴的[3]。因此，網(wǎng)絡(luò)系統(tǒng)的動(dòng)態(tài)重構(gòu)和遷移需要根據(jù)整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢(shì)進(jìn)行調(diào)整，而主動(dòng)可靠的網(wǎng)絡(luò)安全態(tài)勢(shì)感知是實(shí)現(xiàn)主動(dòng)安全防御的關(guān)鍵。

在分析總結(jié)現(xiàn)有研究的基礎(chǔ)上，本文針對(duì)現(xiàn)有網(wǎng)絡(luò)主動(dòng)防御技術(shù)缺乏針對(duì)性的問題，提出基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的主動(dòng)防御技術(shù)ADSS(Active Defense based on network Security Situational awareness technique)。該技術(shù)具有以下優(yōu)勢(shì)：

(1) 設(shè)計(jì)基于掃描流量熵的網(wǎng)絡(luò)安全態(tài)勢(shì)感知算法，通過判別惡意敵手的掃描策略指導(dǎo)主動(dòng)防御策略的選取，以增強(qiáng)防御的針對(duì)性；

(2) 提出基于端信息轉(zhuǎn)換的主動(dòng)防御機(jī)制，通過轉(zhuǎn)換端節(jié)點(diǎn)的IP地址信息進(jìn)行網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的動(dòng)態(tài)隨機(jī)改變，以增加網(wǎng)絡(luò)攻擊的難度和成本。

2 主動(dòng)防御技術(shù)研究現(xiàn)狀

主動(dòng)防御技術(shù)主要是通過不斷地改變網(wǎng)絡(luò)基礎(chǔ)屬性，如IP、端口、網(wǎng)絡(luò)協(xié)議等實(shí)現(xiàn)主動(dòng)防御。在傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下，Atighetchi等人[4]提出了一種基于虛假端口地址轉(zhuǎn)換的主動(dòng)防御方法，通過在數(shù)據(jù)傳輸中使用虛假的地址和端口信息以迷惑攻擊者。Sifalakis等人[5]提出了一種基于隱藏信息地址轉(zhuǎn)換的主動(dòng)防御技術(shù)，通過網(wǎng)絡(luò)地址的隨機(jī)轉(zhuǎn)換，將數(shù)據(jù)流分散到多個(gè)端到端的連接進(jìn)行傳播，以提高網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?。文獻(xiàn)[6]提出了基于隨機(jī)端口跳變的主動(dòng)防御技術(shù)，通過隨機(jī)動(dòng)態(tài)改變通信端口信息，以提高被保護(hù)網(wǎng)絡(luò)抵抗DDoS(Distributed Denial of Service)攻擊的能力。Dunlop等人[7]提出了基于IPv6地址轉(zhuǎn)換的主動(dòng)防御技術(shù)，其利用IPv6巨大的地址空間，實(shí)現(xiàn)了具有健壯性的主動(dòng)防御。該方法采用隧道技術(shù)將數(shù)據(jù)包封裝，通過隨機(jī)變換隧道的源IP地址和目的IP地址以抵御攻擊者對(duì)通信數(shù)據(jù)的監(jiān)聽。文獻(xiàn)[8]提出基于動(dòng)態(tài)轉(zhuǎn)換數(shù)據(jù)傳輸加密協(xié)議的主動(dòng)防御技術(shù)，通過隨機(jī)轉(zhuǎn)換傳輸加密協(xié)議，獲得比單一固定加密協(xié)議更高的安全性和更好的擴(kuò)展性。

針對(duì)傳統(tǒng)網(wǎng)絡(luò)架構(gòu)下分布式路由難以有效協(xié)同管理的問題，軟件定義網(wǎng)絡(luò)SDN(Software Defined Network)[9]帶來了新思路。由于SDN架構(gòu)具有邏輯控制與數(shù)據(jù)轉(zhuǎn)發(fā)相分離的特性，可動(dòng)態(tài)修改跳變周期和跳變規(guī)則；與此同時(shí)，SDN集中控制的特點(diǎn)使得控制器在獲取網(wǎng)絡(luò)性能指標(biāo)基礎(chǔ)上可及時(shí)調(diào)配資源、實(shí)施全局決策。在軟件定義網(wǎng)絡(luò)架構(gòu)下，Kampanakis等人[10]提出基于網(wǎng)絡(luò)偵查保護(hù)、服務(wù)/OS版本隱藏以及隨機(jī)主機(jī)/路由轉(zhuǎn)換相結(jié)合的主動(dòng)防御技術(shù)，通過分析攻防雙方的代價(jià)、收益以及攻擊者潛在的攻擊方法說明了該方法的有效性。Jafarian等人[11]提出了基于虛擬IP轉(zhuǎn)換的主動(dòng)防御方法。該方法通過虛擬IP轉(zhuǎn)換，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)端節(jié)點(diǎn)的透明IP轉(zhuǎn)換，從而在降低掃描攻擊有效性的同時(shí)，有效地提高地址轉(zhuǎn)換的可用性。然而，該方法需要在一次連續(xù)通信中保持虛擬IP不變，攻擊者容易在一臺(tái)交換機(jī)上獲取某次通信的全部數(shù)據(jù)。文獻(xiàn)[12]提出基于時(shí)空混合的主動(dòng)防御方法，從時(shí)間和空間兩個(gè)維度上對(duì)主機(jī)IP地址進(jìn)行轉(zhuǎn)換，以干擾攻擊者獲取有效的網(wǎng)絡(luò)視圖。

3 基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的主動(dòng)防御架構(gòu)設(shè)計(jì)

3.1 整體防御機(jī)制ADSS

基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的主動(dòng)防御基本架構(gòu)如圖1所示，它由感知代理、地址轉(zhuǎn)換交換機(jī)和總控中心三部分組成。

Figure 1 Architecture of ADSS圖1 ADSS整體架構(gòu)

(1) 感知代理：它的主要作用是在被保護(hù)網(wǎng)絡(luò)中部署蜜罐，以實(shí)現(xiàn)對(duì)攻擊者的迷惑、攻擊者掃描策略的收集和對(duì)當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)的感知。當(dāng)蜜罐網(wǎng)絡(luò)檢測(cè)到異常流量時(shí)，感知代理檢測(cè)、過濾和收集網(wǎng)絡(luò)拓?fù)渥兓约胺欠ㄟB接請(qǐng)求，并上報(bào)給總控中心。

(2) 地址轉(zhuǎn)換交換機(jī)：它對(duì)下發(fā)的地址轉(zhuǎn)換方案和流表信息進(jìn)行更新和部署，通過轉(zhuǎn)換端信息以實(shí)現(xiàn)主動(dòng)防御。

(3) 總控中心：它由掃描攻擊策略分析和端信息映射引擎兩部分組成，其中掃描攻擊策略分析的作用是依據(jù)感知代理上報(bào)的非法連接請(qǐng)求，利用基于掃描流量熵的網(wǎng)絡(luò)安全態(tài)勢(shì)感知算法分析掃描攻擊策略，以選擇不同的主動(dòng)防御策略加以應(yīng)對(duì)；端信息映射引擎則利用虛擬映射將端信息EPI(End-Point Information)，即IP地址和端口信息，轉(zhuǎn)換為隨機(jī)選取的虛擬端信息vEPI(virtual End-Point Information)，并生成流表信息。

3.2 基于掃描流量熵的網(wǎng)絡(luò)安全態(tài)勢(shì)感知

為了提高主動(dòng)防御的針對(duì)性，ADSS利用基于掃描流量熵的假設(shè)檢驗(yàn)對(duì)惡意敵手的掃描策略進(jìn)行感知。這是因?yàn)榫W(wǎng)絡(luò)掃描是各種攻擊手段的先導(dǎo)技術(shù)和初始階段，通過分析不同掃描策略的行為特點(diǎn)感知不同掃描策略，可有效感知網(wǎng)絡(luò)安全態(tài)勢(shì)和攻擊行為的指向。

(1)

相對(duì)熵，亦稱為熵距，可用于描述兩個(gè)概率分布的相似性。對(duì)于兩個(gè)離散概率分布P={p1,p2,…,pn}和Q={q1,q2,…,qn}，其中，

則P和Q的相對(duì)熵如公式(2)所示：

(2)

D的值越大，表示P和Q的概率分布差距越大，當(dāng)D=0時(shí)，則P和Q為同一分布。由于D(P‖Q)≠D(Q‖P)，為了能夠更加準(zhǔn)確和穩(wěn)定地描述P和Q的分布，將相對(duì)熵?cái)U(kuò)展為掃描流量熵，具體如公式(3)所示:

(3)

(4)

若攻擊者使用盲掃描策略，則理想狀況下每個(gè)劃分的地址空間在一個(gè)時(shí)間周期內(nèi)平均被掃描的次數(shù)為Nfail/ns。然而，由于在所劃分的一次時(shí)間周期內(nèi)，攻擊者不一定能夠完成一次對(duì)全網(wǎng)地址空間的隨機(jī)掃描，直接計(jì)算一個(gè)時(shí)間周期內(nèi)請(qǐng)求失敗報(bào)文中目的地址概率分布與Nfail/ns的掃描流量熵將偏大。因此，利用如公式(5)所示的肖維勒準(zhǔn)則進(jìn)行調(diào)整。在此基礎(chǔ)上利用公式(6)計(jì)算第t個(gè)時(shí)間周期內(nèi)請(qǐng)求失敗報(bào)文中目的地址概率分布與修正后平均概率分布的掃描流量熵，通過與設(shè)定的閾值比較以判定攻擊者是否采用了盲掃描策略。若在閾值范圍δ內(nèi)，則攻擊者采用了盲掃描策略；否則，攻擊者采用了非盲掃描策略。

(5)

(6)

最后，依據(jù)判定的掃描攻擊策略實(shí)施不同的主動(dòng)防御策略：

3.3 基于端信息轉(zhuǎn)換的主動(dòng)防御

在ADSS中，攻擊策略分析模塊將依據(jù)感知的安全態(tài)勢(shì)生成主動(dòng)防御策略，并將該策略發(fā)送給基于端信息轉(zhuǎn)換的主動(dòng)防御模塊。

(1) 當(dāng)攻擊者實(shí)施盲掃描時(shí)，采用基于加權(quán)的隨機(jī)地址轉(zhuǎn)換的策略，利用公式(7)計(jì)算一個(gè)時(shí)間周期內(nèi)vEPI的權(quán)值wi，并從權(quán)值wi高的端信息空間中隨機(jī)選取vEPI作為下一時(shí)間周期的虛擬端信息。這是因?yàn)槊呙璨捎昧朔侵貜?fù)均勻掃描的方法，選取被掃描過的端信息可有效規(guī)避攻擊者的惡意掃描，且被掃描過的vEPI的信息熵為D=0，其wi越高。假設(shè)節(jié)點(diǎn)hi在下一時(shí)間周期內(nèi)有r個(gè)可選vEPI，分別為{vEPI1,vEPI2,…,vEPIr}，總控中心利用公式(8)計(jì)算節(jié)點(diǎn)hi的虛擬端信息，其中哈希函數(shù)Hf和密鑰Ks是共享參數(shù)。

(7)

vEPIα∈{vEPI}，

α=Hf(SrcIP,SrvID,Ks) modr+1

(8)

其中,SrclP表示源IP地址，SrvID表示服務(wù)ID號(hào)。

(9)

當(dāng)訪問ADSS網(wǎng)絡(luò)中的主機(jī)時(shí)，ADSS依據(jù)主動(dòng)防御策略從端信息池內(nèi)選擇vEPI與該主機(jī)關(guān)聯(lián)，并使用該vEPI與其他端節(jié)點(diǎn)進(jìn)行通信，直到會(huì)話結(jié)束。ADSS中的地址轉(zhuǎn)換基本原理如圖2所示，圖2中主機(jī)Host1在ADSS網(wǎng)絡(luò)外部，其端信息為EPI1，Host2為ADSS網(wǎng)絡(luò)內(nèi)的被保護(hù)節(jié)點(diǎn)，其端信息為EPI2。當(dāng)主機(jī)Host1和Host2建立連接時(shí)，ADSS建立EPI到vEPI的映射，如公式(10)所示。

EPI1=fADSS(vEPI1),EPI2=fADSS(vEPI2)

(10)

Figure 2 Address translation of ADSS圖2 ADSS中地址轉(zhuǎn)換原理圖

當(dāng)Host1和Host2在建立的連接上通信時(shí)，ADSS根據(jù)映射對(duì)通信中數(shù)據(jù)包的源IP地址和目的IP地址進(jìn)行修改，以實(shí)現(xiàn)主機(jī)和轉(zhuǎn)換地址的綁定。

4 基于網(wǎng)絡(luò)態(tài)勢(shì)感知的主動(dòng)防御實(shí)施

如圖3所示，在SDN環(huán)境下,若端節(jié)點(diǎn)Host1試圖訪問端節(jié)點(diǎn)Host2，假設(shè)主機(jī)Host1擁有Host2的域名和DNS服務(wù)器的IP地址。源主機(jī)Host1發(fā)送的數(shù)據(jù)包進(jìn)入ADSS網(wǎng)絡(luò)的第一個(gè)交換機(jī)稱之為源交換機(jī)，離開ADSS網(wǎng)絡(luò)經(jīng)過的最后一個(gè)交換機(jī)稱之為目的交換機(jī)?；诰W(wǎng)絡(luò)安全態(tài)勢(shì)感知的主動(dòng)防御實(shí)施流程如下：

(1)Host1向DNS服務(wù)器發(fā)出域名解析請(qǐng)求，請(qǐng)求Host2的IP地址。

(2) DNS服務(wù)器應(yīng)答域名解析請(qǐng)求，并將域名解析應(yīng)答發(fā)送至總控中心，總控中心依據(jù)主動(dòng)防御策略隨機(jī)選擇一個(gè)vIP賦予v2，將域名解析應(yīng)答中Host2的真實(shí)地址r2替換為v2，并為v2打開窗口期。

(3) 總控中心將域名解析應(yīng)答轉(zhuǎn)發(fā)給Host1。

(4)Host1得到虛擬地址v2，用自己的地址做為源地址，v2作為目的地址向Host2發(fā)送IP數(shù)據(jù)包。由于此時(shí)地址轉(zhuǎn)發(fā)交換機(jī)還沒有相應(yīng)的流規(guī)則可以路由這個(gè)流，地址轉(zhuǎn)發(fā)交換機(jī)將該數(shù)據(jù)包發(fā)送給總控中心。

(5) 總控中心檢查目的IP是否在窗口期內(nèi)，若在窗口期內(nèi)，則依據(jù)策略隨機(jī)選擇vIP賦予v1，并生成流規(guī)則將r1替換為v1。總控中心對(duì)流表規(guī)則進(jìn)行更新，并依據(jù)“逆序添加，順序刪除”的順序部署到轉(zhuǎn)發(fā)路徑上的路由節(jié)點(diǎn)。

(6) 在源交換機(jī)Switch1中流規(guī)則修改Host1發(fā)送給Host2的數(shù)據(jù)包的源地址，將源地址替換為v1并轉(zhuǎn)發(fā)。

(7) 網(wǎng)絡(luò)路由節(jié)點(diǎn)依據(jù)流表規(guī)則進(jìn)行轉(zhuǎn)發(fā)。

(8) 當(dāng)目的交換機(jī)Switch2收到該數(shù)據(jù)包后將目的地址替換為Host2的rIPr2并轉(zhuǎn)發(fā)。

(9)Host2能夠收到數(shù)據(jù)包，并以r2為源地址，v1為目的地址應(yīng)答該數(shù)據(jù)包。

(10) 交換機(jī)Switch2修改應(yīng)答數(shù)據(jù)包的源地址，將源地址替換為Host2的vIPv2并轉(zhuǎn)發(fā)。

(11) 交換機(jī)Switch1收到應(yīng)答數(shù)據(jù)包后將目的地址替換為Host1的rIP并轉(zhuǎn)發(fā)給Host1，Host1能夠正常收到應(yīng)答數(shù)據(jù)包。

Figure 3 Communication protocol of ADSS based on SDN圖3 基于SDN的ADSS通信協(xié)議

與現(xiàn)有網(wǎng)絡(luò)通信協(xié)議不同，ADSS網(wǎng)絡(luò)中的端節(jié)點(diǎn)通信時(shí)必須先進(jìn)行目的主機(jī)的域名解析請(qǐng)求，獲取目的主機(jī)本次通信的地址。ADSS網(wǎng)絡(luò)中的DNS服務(wù)器響應(yīng)請(qǐng)求，將響應(yīng)數(shù)據(jù)包發(fā)給總控中心，總控中心將響應(yīng)數(shù)據(jù)包中攜帶的網(wǎng)絡(luò)主機(jī)真實(shí)地址信息替換為虛擬地址信息，并應(yīng)答域名解析請(qǐng)求和下發(fā)流規(guī)則。在通信過程中，地址轉(zhuǎn)換交換機(jī)根據(jù)流規(guī)則修改數(shù)據(jù)包的源IP地址和目的IP地址，實(shí)現(xiàn)端信息轉(zhuǎn)換。

在步驟(2)中，總控中心將域名請(qǐng)求應(yīng)答中的TTL值寫入一個(gè)較小的值，以保證主機(jī)Host1再次訪問Host2時(shí)要重新進(jìn)行域名解析。在整個(gè)該過程中，Host1和Host2真實(shí)IP都不需要做更改，雙方都只知道對(duì)方的轉(zhuǎn)換端信息，傳輸網(wǎng)絡(luò)負(fù)責(zé)對(duì)rIP和hIP的轉(zhuǎn)換。在每次訪問這樣的訪問過程中，總控中心為主機(jī)Host2隨機(jī)分配hIP，從而對(duì)于Host1來說，其訪問Host2時(shí)的目的IP一次一變。

為了防止地址轉(zhuǎn)換過程中存在流表更新不一致導(dǎo)致的數(shù)據(jù)流不可達(dá)的問題，借鑒文獻(xiàn)[6]的思想，ADSS采用“逆序添加，順序刪除”的更新方法，其流表更新規(guī)則具體如下：

(1)hRt?hRnew∧hRt?hRold:它表示當(dāng)前地址轉(zhuǎn)換交換機(jī)既不屬于本次時(shí)間周期內(nèi)的轉(zhuǎn)發(fā)交換機(jī)，也不屬于下一時(shí)間周期內(nèi)的轉(zhuǎn)發(fā)交換機(jī)集合。因此，不會(huì)接收到任何數(shù)據(jù)包。

(2)hRt∈hRnew∧hRt?hRold:它表示當(dāng)前地址轉(zhuǎn)換交換機(jī)只屬于下一時(shí)間周期內(nèi)的轉(zhuǎn)發(fā)交換機(jī)集合。因此，這類交換機(jī)只會(huì)依據(jù)更新的流表規(guī)則轉(zhuǎn)發(fā)下一時(shí)間周期內(nèi)的數(shù)據(jù)包。

(3)hRt∈hRnew∧hRt∈hRold:它表示當(dāng)前地址轉(zhuǎn)換交換機(jī)既屬于本次時(shí)間周期內(nèi)的轉(zhuǎn)發(fā)交換機(jī)，又屬于下一時(shí)間周期內(nèi)的轉(zhuǎn)發(fā)交換機(jī)集合。因此，這類地址轉(zhuǎn)換交換機(jī)會(huì)依據(jù)相應(yīng)的路由表項(xiàng)進(jìn)行轉(zhuǎn)發(fā)。

(4)hRt?hRnew∧hRt∈hRold:它表示當(dāng)前地址轉(zhuǎn)換交換機(jī)由只屬于本次時(shí)間周期內(nèi)的轉(zhuǎn)發(fā)交換機(jī)集合。因此，這類地址轉(zhuǎn)換交換機(jī)只會(huì)接收到本次時(shí)間周期內(nèi)的數(shù)據(jù)包，且依據(jù)原有路由表進(jìn)行轉(zhuǎn)發(fā)。此外，當(dāng)經(jīng)過一次網(wǎng)絡(luò)環(huán)回時(shí)間后，地址轉(zhuǎn)換交換機(jī)未收到數(shù)據(jù)包，則證明本次窗口期內(nèi)的數(shù)據(jù)包已全部轉(zhuǎn)發(fā)。

5 實(shí)驗(yàn)與分析

5.1 實(shí)驗(yàn)設(shè)計(jì)與環(huán)境搭建

為了驗(yàn)證ADSS的可行性和有效性，利用Mininet[15]構(gòu)建仿真網(wǎng)絡(luò)拓?fù)洌捎肊rdos-Renyi模型生成隨機(jī)網(wǎng)絡(luò)拓?fù)?。?shí)驗(yàn)拓?fù)淙鐖D4所示，設(shè)置轉(zhuǎn)換的端信息由一個(gè)B類IP地址池和大小為216的端口池組成，令掃描流量熵的閾值為δ=0.05，時(shí)間周期為T=50 s，肖維勒準(zhǔn)則中的閾值ξ=2.0。

Figure 4 Experimental topology of ADSS圖4 ADSS 實(shí)驗(yàn)拓?fù)?/p>

為了證明ADSS的防御有效性和可行性，本節(jié)從抵御惡意掃描攻擊和ADSS性能開銷兩個(gè)方面對(duì)ADSS網(wǎng)絡(luò)進(jìn)行實(shí)驗(yàn)分析。

5.2 惡意掃描攻防實(shí)驗(yàn)與分析

利用Nmap掃描器對(duì)192.168.2.0/24子網(wǎng)進(jìn)行SYN掃描。該子網(wǎng)內(nèi)由實(shí)際IP地址為192.168.2.17的可轉(zhuǎn)換端信息節(jié)點(diǎn)、IP為192.168.2.24的靜態(tài)節(jié)點(diǎn)組成，兩個(gè)節(jié)點(diǎn)都只開啟了TCP(port 21)和UDP(port 34287)端口，結(jié)果如表1所示。與此同時(shí)，對(duì)兩個(gè)端節(jié)點(diǎn)進(jìn)行端口和協(xié)議掃描，結(jié)果如表2所示。

Table 1 SYN-scan results by Nmap表1 Nmap SYN掃描結(jié)果

Table 2 Scan results of port & protocol by Nmap表2 Nmap掃描端口和協(xié)議結(jié)果

在表1中，掃描命令是對(duì)192.168.2.0/24網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程掃描，這是最常用的網(wǎng)絡(luò)掃描方式。由于192.168.2.17節(jié)點(diǎn)進(jìn)行了網(wǎng)絡(luò)地址轉(zhuǎn)換，Nmap掃描IP地址后并未檢測(cè)到該地址。在表2中，該命令是對(duì)實(shí)際IP地址為192.168.2.17和192.168.2.24的端節(jié)點(diǎn)進(jìn)行端口掃描。由于192.168.2.17節(jié)點(diǎn)實(shí)施了IP地址轉(zhuǎn)換，因此沒有端口掃描信息。由于192.168.2.24是靜態(tài)節(jié)點(diǎn)，因此Nmap正確獲得了該節(jié)點(diǎn)開啟的所有端口。

在此基礎(chǔ)上，針對(duì)現(xiàn)有惡意掃描策略，分別在盲掃描和非盲掃描兩種情況下比較靜態(tài)網(wǎng)絡(luò)和ADSS網(wǎng)絡(luò)中攻擊者掃描的節(jié)點(diǎn)空間數(shù)量與掃描成功率間的關(guān)系。

抵御盲掃描能力：如圖5所示，在靜態(tài)網(wǎng)絡(luò)中，當(dāng)攻擊者采用平均掃描策略進(jìn)行盲掃描時(shí)，耗時(shí)306 s即可達(dá)到100%的掃描成功率；在ADSS網(wǎng)絡(luò)中，由于被保護(hù)的服務(wù)器集群針對(duì)盲掃描攻擊采用基于權(quán)值的隨機(jī)端信息轉(zhuǎn)換主動(dòng)防御策略，通過將端信息轉(zhuǎn)換到攻擊者已經(jīng)掃描的端信息范圍內(nèi)，使得攻擊者即使經(jīng)過長(zhǎng)時(shí)間的掃描也難以掃描到活躍的端節(jié)點(diǎn)，從而有效抵御了惡意敵手的盲掃描，其成功率最低可降至7.3%。因此，當(dāng)惡意敵手采用盲掃描策略實(shí)施惡意掃描時(shí)，ADSS可以有效降低掃描實(shí)施的成功率。

Figure 5 Success rate of blind scanning in static networks and ADSS networks圖5 盲掃描在靜態(tài)網(wǎng)絡(luò)和ADSS網(wǎng)絡(luò)中的成功率

抵御非盲掃描攻擊：如圖6所示，在靜態(tài)網(wǎng)絡(luò)中，由于攻擊者對(duì)所掃描的目標(biāo)網(wǎng)絡(luò)具有一定的先驗(yàn)知識(shí)，通過對(duì)特定范圍內(nèi)節(jié)點(diǎn)空間進(jìn)行重復(fù)性非均勻掃描可以提高掃描的成功率和掃描效率。實(shí)驗(yàn)中，攻擊者耗時(shí)249 s后即可達(dá)到100%的成功率，相較于盲掃描策略減少了22.89%的掃描時(shí)間。在ADSS網(wǎng)絡(luò)中，由于基于掃描流量熵的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模塊識(shí)別了惡意敵手的掃描策略，因此采用基于反向地址轉(zhuǎn)換的主動(dòng)防御策略。在實(shí)驗(yàn)中，可以抵御91%以上的非盲掃描。

Figure 6 Success rate of non-blind scanning in static networks and ADSS networks圖6 非盲掃描在靜態(tài)網(wǎng)絡(luò)和ADSS網(wǎng)絡(luò)中的成功率

5.3 ADSS性能開銷

處理轉(zhuǎn)發(fā)時(shí)延：由于ADSS是采用地址轉(zhuǎn)換交換機(jī)、總控中心和感知代理協(xié)同實(shí)施的，因此處理轉(zhuǎn)發(fā)時(shí)延主要由感知代理的處理時(shí)效和總控中心處理時(shí)延兩部分組成。因此，通過計(jì)算相同數(shù)據(jù)流經(jīng)過ADSS網(wǎng)絡(luò)的時(shí)間差獲得ADSS中的處理轉(zhuǎn)發(fā)時(shí)延。利用網(wǎng)絡(luò)環(huán)回時(shí)間測(cè)量和計(jì)算2 000次ADSS網(wǎng)絡(luò)的轉(zhuǎn)發(fā)處理時(shí)延，結(jié)果如表3所示。ADSS實(shí)施一次主動(dòng)防御的平均處理轉(zhuǎn)發(fā)時(shí)延為16.71 ms，相較于靜態(tài)網(wǎng)絡(luò)，總時(shí)延平均增加了6.91%[16]。

Table 3 SAMT forwarding processing delay表3 SAMT轉(zhuǎn)發(fā)處理時(shí)延

ADSS中的包丟失概率：由于在ADSS網(wǎng)絡(luò)實(shí)施主動(dòng)防御的過程中，端信息轉(zhuǎn)換易導(dǎo)致流表更新不一致，進(jìn)而造成網(wǎng)絡(luò)中包丟失概率的增加。ADSS網(wǎng)絡(luò)的丟包概率如圖7所示，雖然ADSS的丟包概率隨著設(shè)定的時(shí)間周期的減小而增加，但是由于ADSS采用“逆序添加，順序刪除”的流表更新策略，可以有效控制主動(dòng)防御過程中造成的包丟失概率，并將其控制在[2.1%,2.8%]，從而保證了傳輸數(shù)據(jù)的可達(dá)性。

Figure 7 Packet loss probability in different periods圖7 不同周期下的丟包概率

6 結(jié)束語

本文針對(duì)網(wǎng)絡(luò)主動(dòng)防御缺乏防御針對(duì)性的問題，提出了基于網(wǎng)絡(luò)安全態(tài)勢(shì)感知的主動(dòng)防御技術(shù)。首先，設(shè)計(jì)了基于掃描流量熵的網(wǎng)絡(luò)安全態(tài)勢(shì)感知方法，通過基于掃描流量熵的網(wǎng)絡(luò)安全態(tài)勢(shì)感知判別惡意敵手的掃描策略，以指導(dǎo)和生成主動(dòng)防御策略的選取，進(jìn)而提高主動(dòng)防御的針對(duì)性。在此基礎(chǔ)上，提出了基于端信息轉(zhuǎn)換的主動(dòng)防御機(jī)制，通過基于動(dòng)態(tài)轉(zhuǎn)換端信息實(shí)現(xiàn)被保護(hù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的動(dòng)態(tài)變換，以增加網(wǎng)絡(luò)掃描攻擊的難度和成本。理論與實(shí)驗(yàn)表明，該技術(shù)可將不同策略的掃描攻擊成功率降低90%以上，從而針對(duì)不同類型的掃描策略實(shí)現(xiàn)了高效的防御。與此同時(shí)，該技術(shù)實(shí)施的性能開銷在合理范圍內(nèi)，從而保證了方案的可用性。

[1] Ma Ming-jie, Sun Feng-gang,Zhai Li-dong et al.Security challenges facing our country and countermeasure recommendations under new network security threats[J].Telecommunications Science,2014,30(7):8-12.(in Chinese)

[2] Wu Jiang-xing,Meaning and vision of mimic computing and mimic security defense[J].Telecommunications Science,2014,30(7):1-7.(in Chinese)

[3] Lei Cheng,Ma Duo-he,Zhang Hong-qi,et al.Performance assessment approach based on change-point detection for network moving target defense [J].Journal of Communications,2017,38(1):126-140.(in Chinese)

[4] Atighetchi M, Pal P.Webber F, et al. Adaptive use of network-centric mechanisms in cyber-defense[C]∥Proc of the 6th IEEE International Symposium on Object-Oriented Real-Time Distributed Computing,2003:183-192.

[5] Sifalakis M, Schmid S, Hutchison D.Network address hopping:A mechanism to enhance data protection for packet communications[C]∥Proc of 2005 IEEE International Conference on Communications,2005:1518-1523.

[6] Badishi G,Herzberg A,Keidar I.Keeping denial-of-service attackers in the dark[J].IEEE Transactions on Dependable and Secure Computing,2007,4(3):191-204.

[7] Dunlop M,Groat S,Urbanski W,et al.MT6D:A moving target IPv6 defense[C]∥Proc of Military Communications Conference,2012:1321-1326.

[8] Ellis J W.Method and system for securing data utilizing reconfigurable logic:United States Pattent Application 20070255941[P].2007-11-01.

[9] Kirkpatrick K.Software-defined networking[J].Communications of the ACM,2013,56(9):16-19.

[10] Kampanakis P, Perros H,Beyene T.SDN-based solutions for moving target defense network protection[C]∥Proc of 2014 IEEE 15th International Symposium on a World of Wireless,Mobile and Multimedia Networks (WoWMoM),2014:1-6.

[11] Jafarian J H,Al-Shaer E,Duan Q.Openflow random host mutation:Transparent moving target defense using software defined networking[C]∥Proc of the 1st Workshop on Hot Topics in Software Defined Networks,2012:127-132.

[12] Jafarian J H H,Al-Shaer E,Duan Q,Spatio-temporal address mutation for proactive cyber agility against sophisticated attackers[C]∥Proc of the 1st ACM Workshop on Moving Target Defense,2014:69-78.

[13] Collins M P,Reiter M K.Hit-list worm detection and bot identification in large networks using protocol graphs[C]∥Proc of the 10th International Conference on Recent Advances in Intrusion Detection,2007:276-295.

[14] Page L, Brin S, Motwani R, et al.The PageRank citation ranking:Bringing order to the Web:SIDL-WP-1999-0120[R].Palo Alto:Stanford Infolab, 1999.

[15] Lantz B,Heller B,McKeown N.A network in a laptop:Rapid prototyping for software-defined networks[C]∥Proc of the 9th ACM SIGCOMM Workshop on Hot Topics in Networks,2010:1-6.

[16] Lin Chuan,Zhao Hai, Bi Yuan-guo,et al.Research on network delay of Internet[J].Journal of Communications,2015,36(3):163-174.(in Chinese)

附中文參考文獻(xiàn)：

[1] 馬明杰,孫奉剛,翟立東,等.網(wǎng)絡(luò)安全新威脅下我國(guó)面臨的安全挑戰(zhàn)和對(duì)策建議[J].電信科學(xué),2014,30(7):8-12.

[2] 鄔江興.擬態(tài)計(jì)算與擬態(tài)安全防御的原意和愿景[J].電信科學(xué),2014,30(7):1-7.

[3] 雷程,馬多賀,張紅旗,等.基于變點(diǎn)檢測(cè)的網(wǎng)絡(luò)移動(dòng)目標(biāo)防御效能評(píng)估方法[J].通信學(xué)報(bào),2017,38(1):126-140.

[16] 林川,趙海,畢遠(yuǎn)國(guó),等.互聯(lián)網(wǎng)網(wǎng)絡(luò)時(shí)延特征研究[J].通信學(xué)報(bào),2015,36(3):163-174.