孫 慧

(中國石油大學(xué)(華東) 計算機(jī)與通信工程學(xué)院，山東 青島 266580)

0 引 言

隨著互聯(lián)網(wǎng)在社會各領(lǐng)域的深入發(fā)展，網(wǎng)絡(luò)安全態(tài)勢也面臨著更加嚴(yán)峻的挑戰(zhàn)。當(dāng)今互聯(lián)網(wǎng)與整個社會密切相關(guān)，任何形式的網(wǎng)絡(luò)攻擊都有可能直接影響到人們的現(xiàn)實生活。網(wǎng)絡(luò)安全事件造成的影響力和破壞性正在逐步加大。2017年上半年，全球大規(guī)模爆發(fā)“永恒之藍(lán)”勒索病毒，不僅破壞了全球范圍內(nèi)的許多高價值數(shù)據(jù)，而且直接導(dǎo)致一大部分服務(wù)、設(shè)施無法正常運行。在當(dāng)今這個萬物互聯(lián)的社會背景下，很多行為操作的背后其實都有著網(wǎng)絡(luò)信息安全的影子，例如消費時使用的支付寶和微信支付，網(wǎng)絡(luò)信息安全已經(jīng)與人民的財產(chǎn)息息相關(guān)。而隨著互聯(lián)網(wǎng)的進(jìn)一步深化與發(fā)展，可以預(yù)見，網(wǎng)絡(luò)信息安全將越來越多地影響著人們的日常生活。

網(wǎng)絡(luò)安全問題日益加劇，但傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)卻已無法高效應(yīng)對。目前應(yīng)對網(wǎng)絡(luò)安全問題普遍采取防火墻、入侵檢測、防病毒網(wǎng)關(guān)、漏洞掃描、災(zāi)難恢復(fù)等手段，但這些手段的防護(hù)能力大多是靜態(tài)的、被動的，無法應(yīng)對新的網(wǎng)絡(luò)攻擊。這就使得網(wǎng)絡(luò)防御始終落后于網(wǎng)絡(luò)攻擊，無法從根本上解決網(wǎng)絡(luò)安全問題，因此主動防御技術(shù)應(yīng)運而生。在主動防御研究進(jìn)程中，中國和美國分別提出了移動目標(biāo)防御(moving target defense，MTD)[1]與擬態(tài)安全防御[2]，均期望從根本上改變目前網(wǎng)絡(luò)“易攻難守”的局面。端信息跳變(end hopping)技術(shù)作為一種典型的主動網(wǎng)絡(luò)防御技術(shù)，已經(jīng)得到越來越多的關(guān)注和研究，并將其應(yīng)用到傳統(tǒng)的網(wǎng)絡(luò)通信中。它借鑒跳頻通信的思想，在網(wǎng)絡(luò)通信過程中，通信雙方或一方按照約定的規(guī)律策略同時并同步地、偽隨機(jī)地改變通信中使用的網(wǎng)絡(luò)參數(shù)，這些參數(shù)主要包括端口、IP地址、時隙、加密算法和協(xié)議等端信息，從而擾亂攻擊者的攻擊，實現(xiàn)主動網(wǎng)絡(luò)防護(hù)[3]。端信息跳變可以是服務(wù)器單方面的跳變，也可以是服務(wù)器和客戶端雙方面的跳變。在端信息跳變中，跳變策略和同步機(jī)制是其兩種關(guān)鍵技術(shù)。文中主要研究端信息跳變技術(shù)中的跳變策略問題，并提出一種基于混沌算法的端信息跳變策略。

1 相關(guān)工作

端信息跳變技術(shù)是基于通信參數(shù)變換的機(jī)制，網(wǎng)絡(luò)通信過程中所涉及的參數(shù)較多，這里主要是指IP地址和通信端口。目前，端信息跳變技術(shù)在國內(nèi)外都取得了很大的研究進(jìn)展。

在國外研究方面，文獻(xiàn)[4]將IP地址隨機(jī)化技術(shù)與誘騙技術(shù)相結(jié)合，設(shè)計實現(xiàn)了一個基于虛擬機(jī)的系統(tǒng)原型，解決了兩個挑戰(zhàn)，一是對合法用戶的服務(wù)可用性和對未授權(quán)用戶的服務(wù)安全性，二是可以確保無縫連接遷移。文獻(xiàn)[5]提出面向IPv6的動態(tài)目標(biāo)防御架構(gòu)，利用IPv6巨大的地址空間，不斷改變發(fā)送方和接收方的IP地址，以防止攻擊者獲得通信主機(jī)的身份，但網(wǎng)絡(luò)時延將會造成丟包現(xiàn)象，進(jìn)而影響通信。文獻(xiàn)[6]通過在各種數(shù)據(jù)加密或操作協(xié)議之間動態(tài)跳躍來保護(hù)數(shù)據(jù)集的方法，獲得比單一固定加密協(xié)議更高的安全性和更好的擴(kuò)展性。文獻(xiàn)[7]設(shè)計實現(xiàn)了DTMC模型，并通過控制用于通信的端口，改進(jìn)了現(xiàn)有的隨機(jī)端口跳變算法，克服了現(xiàn)有基于ACK的隨機(jī)端口跳變算法的弱點，改善了現(xiàn)有協(xié)議的通信成功率。文獻(xiàn)[8]提出了一種自適應(yīng)算法—HOPERAA，解決了時鐘漂移對同步的影響，且每個客戶端與服務(wù)器的交互獨立于其他的客戶端，不需要第三方參與或時間服務(wù)器。

在國內(nèi)研究方面，文獻(xiàn)[3]研究了端信息跳變主動網(wǎng)絡(luò)防御模型，并且提出了一種基于UDP發(fā)言人服務(wù)的時間戳同步方法，但可能存在潛在的端信息網(wǎng)絡(luò)泄漏的問題。文獻(xiàn)[9]融合了端信息跳變技術(shù)與自適應(yīng)技術(shù)，提出自適應(yīng)的端信息跳變策略，通過對各跳變節(jié)點上網(wǎng)絡(luò)流量情況進(jìn)行實時評估來決定下一跳方案，自動調(diào)整跳變相關(guān)參數(shù)，在保持較好的服務(wù)性的同時，又能保證較高的安全性。文獻(xiàn)[10]對文獻(xiàn)[3]提出的模型加以改進(jìn)，設(shè)計了一種瀏覽器插件策略，對客戶端身份進(jìn)行認(rèn)證，以此來隱藏服務(wù)器的真實信息。文獻(xiàn)[11]構(gòu)建了基于非廣延熵和Sibson熵融合的實時網(wǎng)絡(luò)異常測量算法，設(shè)計跳變周期和空間自適應(yīng)策略，改善了固定跳變周期帶來的防御收益下降的問題。文獻(xiàn)[12]中指出了端信息跳變技術(shù)在實際應(yīng)用中的難點，并提出了一種基于消息篡改的端信息跳變技術(shù)，構(gòu)建了跳變棧模型，設(shè)計了跳變棧模型的3種實現(xiàn)方案并分析了其工作原理。但存在在用戶層會帶來不必要的開銷，內(nèi)核層需要嚴(yán)格與操作系統(tǒng)版本對應(yīng)的問題。文獻(xiàn)[13]提出了一種基于滑動窗口的分布式時間戳同步策略，引入分布式時間服務(wù)機(jī)制，能有效克服網(wǎng)絡(luò)中的傳輸時延和擁塞的影響。

在上述研究的基礎(chǔ)上，文中主要對端信息跳變技術(shù)中的跳變策略問題進(jìn)行研究，提出一種基于混沌序列的端信息跳變方案，結(jié)合視頻通信系統(tǒng)，設(shè)計一個端信息跳變系統(tǒng)模型，解決通信過程中的系統(tǒng)和數(shù)據(jù)安全問題，實現(xiàn)主動網(wǎng)絡(luò)防御。

2 端信息跳變關(guān)鍵技術(shù)研究

2.1 同步方案

同步機(jī)制是端信息跳變技術(shù)研究的一個重點內(nèi)容，NTP協(xié)議是服務(wù)器和客戶端之間通過二次報文交換，計算兩者之間的時間差，客戶端校正本地系統(tǒng)時間，實現(xiàn)二者的時間同步。由于NTP協(xié)議的同步精度較高，且在各平臺易實現(xiàn)，因此從同步精度和實現(xiàn)復(fù)雜度上考慮，文中的端信息跳變模型采用NTP協(xié)議來實現(xiàn)同步。

2.2 跳變策略

合理的跳變策略是端信息跳變技術(shù)的另一個關(guān)鍵，也是文中的研究重點。良好的跳變策略能夠在更大程度上迷惑攻擊者，使攻擊者無法分析得到有用數(shù)據(jù)，從而增加攻擊者的攻擊代價，提高系統(tǒng)的安全性。在端信息跳變系統(tǒng)中跳變方案多采用隨機(jī)序列的方法，即從端信息跳變序列集中隨機(jī)選取下一跳端信息。因此，在端信息跳變系統(tǒng)中應(yīng)使隨機(jī)序列具有良好的隨機(jī)性，使攻擊者無法從已截獲的數(shù)據(jù)包信息中分析預(yù)測當(dāng)前和下一跳的端信息。而混沌序列具有結(jié)構(gòu)復(fù)雜，對初始值敏感的特性，使其難以被分析和預(yù)測?；煦缧蛄衃14]理論上具有類隨機(jī)性，破壞了相關(guān)分析的適用性，保密性得以加強(qiáng)，因而將其應(yīng)用到端信息跳變系統(tǒng)中能夠很好地滿足隨機(jī)序列的要求。

混沌序列的產(chǎn)生有多種方式，文中采用logistic映射，其表達(dá)式為：

xn+1=xn(1-xn),0

(1)

其中，1≤r≤4。研究證明，當(dāng)3.569 9

文中建立了一個端信息跳變模型，并將其應(yīng)用于視頻通信中。在該模型中設(shè)置部署一個NTP時間服務(wù)器和兩臺平等的主機(jī)A和B，主機(jī)A和主機(jī)B構(gòu)造參數(shù)相同的logistic映射，時間值作為初始值。兩臺主機(jī)之間進(jìn)行通信時，首先與NTP時間服務(wù)器進(jìn)行時間同步，將時間值作為輸入，利用logistic產(chǎn)生的混沌序列計算主機(jī)雙方當(dāng)前所用的端信息，計算得到端信息后即可進(jìn)行通信連接。其中主機(jī)A和主機(jī)B的IP地址和端口均是不確定的，不斷改變的。端信息跳變模型如圖1所示。

圖1 端信息跳變系統(tǒng)模型

主機(jī)A和主機(jī)B前期先與NTP時間服務(wù)器進(jìn)行時間同步，同步成功后，獲取當(dāng)前系統(tǒng)時間T，將獲取的時間T進(jìn)行預(yù)處理，預(yù)處理函數(shù)為：

T0=F(T,key),T0∈(0,1)

(2)

其中，key是主機(jī)A和主機(jī)B的共享密鑰。

將T0作為logistic映射[15]的初始值x0，然后按照映射方程不斷迭代，產(chǎn)生混沌序列；再對產(chǎn)生的序列進(jìn)行0,1判定，得到比特混沌序列；根據(jù)地址和端口的計算需要，再將此比特序列轉(zhuǎn)換成實數(shù)序列。在這個過程中，它們都是混沌序列，均保持著混沌序列的特性。端信息產(chǎn)生的具體過程為：

第一步：根據(jù)logistic映射方程式：

xn+1=4xn(1-xn),0

(3)

令x0=T0，按式3迭代計算，產(chǎn)生一個長度為m的序列X={x0,x1,…,xn},0

第二步：將產(chǎn)生的序列X={x0,x1,…,xn}按式4進(jìn)行0,1判定，得到一個比特混沌序列Y={y0,y1,…,yn}。

(4)

文中研究的端信息跳變是指主機(jī)IP地址和端口號的跳變，所以進(jìn)一步將比特混沌序列轉(zhuǎn)換成實數(shù)混沌序列。在網(wǎng)絡(luò)通信過程中端口號的范圍為0～65 535，其中前1 024個端口留用，可選取16位作為端口號；主機(jī)雙方各配置10個IP地址用于跳變，所以取4位來計算所選用的IP地址號。綜上，轉(zhuǎn)換實數(shù)序列時，采取每20位進(jìn)行轉(zhuǎn)換，在這20位中的前16位計算端口，后4位計算IP地址號，即得到一個二維實數(shù)混沌序列。系統(tǒng)從序列初始位置起，依次選取跳變所需端信息，當(dāng)一組序列遍歷完成時，系統(tǒng)更新混沌序列，重復(fù)以上步驟計算端信息。

根據(jù)混沌序列的特性，任意兩組端信息都不具有相關(guān)性，且任意一段序列不循環(huán)，因此保證了端信息跳變過程中的隨機(jī)性，增大了攻擊者的分析難度。同時，對函數(shù)初始值進(jìn)行了加密處理，攻擊者無法獲得初始值，就很難預(yù)測混沌序列，也就很難知道主機(jī)端信息的跳變規(guī)律，就不可能預(yù)測下一跳端信息，從而保證了主機(jī)間的通信安全。

3 抗攻擊實驗及結(jié)果分析

按照端信息跳變系統(tǒng)模型，采用Java語言對原型系統(tǒng)進(jìn)行實現(xiàn)，并在原型系統(tǒng)上分別進(jìn)行截獲攻擊實驗和DoS攻擊實驗，一組是傳統(tǒng)的不跳變系統(tǒng)，另一組是端信息跳變系統(tǒng)。對實驗環(huán)境的配置見表1。

表1 系統(tǒng)攻擊實驗環(huán)境配置

3.1 截獲攻擊實驗

在截獲攻擊實驗中，截獲攻擊機(jī)位于Hub構(gòu)成的局域網(wǎng)中，保證最有利于攻擊機(jī)的環(huán)境。截獲攻擊機(jī)使用Sniffer軟件對局域網(wǎng)內(nèi)的流量和數(shù)據(jù)進(jìn)行抓包分析，在傳統(tǒng)非跳變的情況下，其網(wǎng)絡(luò)中的流量圖如圖2(a)所示；在文中端信息跳變系統(tǒng)環(huán)境下，截獲攻擊機(jī)截獲到的流量圖如圖2(b)所示。

圖2 截獲攻擊實驗結(jié)果

從實驗結(jié)果可以看到，在傳統(tǒng)不跳變系統(tǒng)中，通信雙方的地址和端口是固定的，一對一的，流量是集中的，抗截獲能力差，攻擊者很容易從截獲的流量包中分析得到有用信息，無法保證通信雙方的信息安全。而在文中的端信息跳變策略下，通信雙方的IP地址和端口都是隨機(jī)組合的，攻擊者截獲到的流量是分散的，無規(guī)則的，大大干擾了攻擊者，攻擊者想要從分散的流量中完整分析出數(shù)據(jù)報文的難度十分大，這將有效抵抗網(wǎng)絡(luò)中的截獲攻擊。

3.2 DoS攻擊實驗

在DoS攻擊實驗中，鑒于文中原型系統(tǒng)中的視頻通信采用的是UDP協(xié)議，因此在攻擊機(jī)上配置UDP-Flood攻擊。攻擊機(jī)向通信主機(jī)發(fā)送大量UDP攻擊包，其攻擊速率V分別為20 Mbps，40 Mbps，80 Mbps，100 Mbps，分別測試傳統(tǒng)非跳變系統(tǒng)下的通信情況和文中端信息跳變系統(tǒng)下的通信情況，得到的實驗結(jié)果如圖3和圖4所示。

圖3 傳統(tǒng)非跳變的視頻通信情況

圖4 端信息跳變系統(tǒng)的視頻通信情況

觀察DoS攻擊測試結(jié)果可以看到，傳統(tǒng)不跳變系統(tǒng)在攻擊速率為20 Mbps的情況下已經(jīng)無法進(jìn)行正常通信了。而在文中設(shè)計的端信息跳變系統(tǒng)下，一般的攻擊速率對系統(tǒng)沒有太大影響，系統(tǒng)仍能夠正常進(jìn)行通信。當(dāng)攻擊速率達(dá)到100 Mbps時，從圖中可以看出，畫面會稍有卡頓，但通信仍然能夠進(jìn)行。上述實驗結(jié)果的對比證明了端信息跳變技術(shù)在抵抗DoS攻擊上有良好的效果。

4 結(jié)束語

針對當(dāng)前越來越不安全的網(wǎng)絡(luò)大環(huán)境，提出一種基于混沌序列的端信息跳變方案，將其應(yīng)用到視頻通信系統(tǒng)中，用來防御視頻通信中遭受的網(wǎng)絡(luò)攻擊。文中介紹了該端信息跳變模型和跳變算法的具體實現(xiàn)過程，最后設(shè)計實現(xiàn)了端信息跳變視頻系統(tǒng)的原型，并對原型系統(tǒng)進(jìn)行了截獲攻擊和DoS攻擊實驗。實驗結(jié)果證明了該方案在網(wǎng)絡(luò)防御中的有效性和較好的服務(wù)性。