王志屹，王 剛，陳彤睿，馬潤年

（空軍工程大學信息與導航學院，西安 710003）

0 引言

網絡攻擊的生命周期跨越很多步驟，包括偵察、網絡指紋識別、網絡映像、利用漏洞、協同、報告和傳播，各階段的攻擊通常針對目標網絡的靜態(tài)屬性和防御模式［1］。針對此特點，近年來網絡安全領域專家和企業(yè)著手發(fā)展動態(tài)目標防御（MTD，Moving Target Defense）［2］和擬態(tài)防御［3］等新型防御技術和方法，通過主動變化，改變攻防博弈中被動防御的困窘。端信息跳變就是一種典型的網絡層MTD 技術，通信雙方或一方按照約定規(guī)律策略同步改變網絡參數，如端口、IP 地址、協議等，通過參數動態(tài)調整增大攻擊方的攻擊難度和成本，提升網絡安全性能［4］。端信息跳變有地址跳變防護技術［5］、協議跳變防護技術［6］、端口跳變防護技術等［7］，同步是這些跳變技術的基礎和關鍵，在通信和防御過程中，通信雙方只有按照統一同步策略實現步調一致的跳變，才能實現真正意義上的動態(tài)目標防御。

端信息跳變同步方式主要包括嚴格時間同步、改進型嚴格時間同步［8］、基于時隙重迭的時鐘同步［9］、基于時間分組的ACK 應答同步［10］、改進的分布式時間戳同步［11］和基于網絡時間協議（NTP）協議的同步［12］等，每種同步都有其優(yōu)勢和劣勢。如嚴格時間同步雖然實現簡單，但是在網絡擁塞時會出現同步失?。?3］；時間戳同步［4］雖然可以解決網絡擁塞和截獲攻擊，但是當請求超負荷時也會存在由于系統資源耗盡而導致的同步失敗問題。因此，端信息跳變同步應引入新的理論和方法，綜合考慮攻防收益、成本及其時變因素，設計針對性和實用型同步策略。文獻［14］提出了一種基于靜態(tài)貝葉斯博弈理論的主動防御策略選擇；文獻［15］在分層跳變的架構上設計了一種網絡自適應跳變算法；文獻［16］采用隨機地址生成算法和通信認證算法，根據通信雙方的架構和業(yè)務可靠性要求來提供不同的跳變模式；文獻［17］設計了面向隔離區(qū)異構平臺的3 類動態(tài)防御主動遷移策略。

在端信息跳變同步中，還需要考慮以下問題：1）現有同步策略大多針對特定攻防環(huán)境和應用場景，防御方擁有足夠的先驗信息，而在實際應用中這一條件很難被滿足，防御方需要通過攻擊方行動特點和目標動態(tài)分析推理，靈活采用合適的同步策略。2）攻防博弈模式和策略的選擇源于雙方的收益，需要綜合考慮多種因素，建立起可量化分析的目標函數，如攻防雙方占有的系統資源，時間因素等。3）同步策略需要考慮攻擊者的傾向性，如傾向破壞、傾向竊密，還是兩者兼而有之，根據傾向性分析設計同步策略。

1 端信息跳變同步信號博弈模型

針對網絡攻防中目標的對立性和策略依存關系，引入信號博弈理論和方法，構建端信息跳變同步的信號博弈模型。

1.1 模型定義

參考動態(tài)目標防御中單階段的信號博弈模型［18］，給出如下五元組信號博弈模型定義：

1.2 攻防收益量化

為直觀地分析同步策略的收益，給出了相關參數的定義和計算方法。

定義2 攻防雙方系統資源比r，攻防雙方所擁有的系統資源的比值

其中，SA代表攻擊者所擁有的系統資源，SD代表防御者所擁有的系統資源。

定義7 判斷時延t'，防御方需要先觀察攻擊者的行為，然后判斷其類型并采取相應的策略，因此，防御方存在一個判斷時延t'。

定義8 攻防成本C（Cost）表示攻擊和防御的代價。Ca表示攻擊成本，Cs表示同步成本，Cd表示防御成本，AL 表示攻擊致命度。

綜上，雙方的收益函數可表示為：

1.3 博弈過程

2 不同類型攻擊下的同步策略選擇方法

2.1 3 類攻擊模式

按照網絡攻擊一般流程，攻擊行動大體上可分為準備、實施和善后等3 個階段［19］。這里主要針對準備階段和實施階段。結合如圖1 所示的網絡拓撲結構［20］，雙方的攻防過程給出如下。

在準備階段，攻擊者首先鎖定節(jié)點A、B 或C，確定目標的端信息；然后根據目標選擇攻擊策略。在實施階段，根據攻擊策略實施不同的攻擊。對于防御方的端信息跳變，攻擊方主要采用3 種攻擊策略［10］：分布式拒絕服務攻擊（DDoS，Distributed Denial of Service）、盲攻擊和竊聽攻擊。根據攻擊者的目的，可將攻擊分為3 類：一是傾向破壞和竊密等概率；二是傾向于破壞；三是傾向于竊密。防御方通過蜜罐網絡偵測到攻擊行為后反饋給同步服務器，同步服務器根據攻擊者的行為模式判斷類型，然后選擇同步策略，將同步策略發(fā)送給控制器1 和2，通信雙方進行同步的跳變對，從而對數據進行保護。

圖1 網絡拓撲結構

2.2 記憶T 細胞方法下的策略選擇

當前的同步策略主要有3 種：一是基于時間片的嚴格時間同步。此策略實現簡單，安全性較好，但在網絡擁塞的情況下難以完成同步；二是基于數據分組的ACK 應答同步。不會受網絡擁塞的影響，但是攻擊者更容易發(fā)動竊聽攻擊；三是時間戳同步。安全性和防擁塞效果都比較好，但發(fā)生高速率服務請求時，會耗盡系統資源。防御者通過蜜罐網絡對攻擊者的行為和類型進行分析，判斷是否和已知的攻擊類型匹配，若匹配，則直接從攻擊類型庫中找與之匹配的同步策略，反之則重新決策同步策略并將其入庫。其過程如圖2 所示。

圖2 記憶T 細胞方法示意圖

其具體步驟說明如下：

步驟1：將攻擊者誘導入蜜罐網絡中，利用蜜罐技術對攻擊者的行為進行分析，判斷攻擊者的類型并與攻擊類型庫進行匹配。

步驟2：將檢測結果回饋給同步服務器，同步服務器根據信號博弈理論選擇同步策略。

步驟3：同步服務器將同步信息送至控制器，控制器綜合時間、資源等因素，控制通信節(jié)點進行跳變，完成對攻擊的防御。

由于此方法和生物上的記憶T 細胞的行動模式相似，可將此防御方法稱為“記憶T 細胞方法”（Method of Memory T Cells）。

2.3 記憶T 細胞方法下的收益分析

防御方先觀察攻擊者的行為，然后判斷其類型并采取相應的策略，判斷時延為t'。而攻擊方在發(fā)現自己的收益下降之后也會切換自己的攻擊策略。

圖3 攻防雙方收益趨勢

如圖3 所示，給出了雙方的收益趨勢。判斷時延t'的長短也會對防御效果產生影響，判斷時延過長，系統損失則增多，防御的收益就越少；判斷時延過短，系統的負擔會增加，防御成本提高。

從圖中可以看出整個過程實質上是雙方進行信號博弈的過程，雙方的收益此消彼長。防御者在每一次對抗中可以對相關防御參數進行分析，以取得收益的最大化。

3 模擬分析與結論

3.1 模擬環(huán)境描述

表1 攻擊者策略參數

表2 同步策略參數

設攻擊者類型的先驗信念有以下3 種情況：

由式（2）、式（3）計算可得出防御者的收益如下：

3.2 模擬分析

在方案初步選取時，不考慮時間因素的影響和時間衰減系數，此時防御方已經觀察到攻擊者釋放的信號，判斷出攻擊者的類型?，F給出防御者收益如圖4 所示。

可以看出隨著系統資源比的增加，防御者的收益是先上升后下降的，因為當系統資源比增加時，防御方擁有相比于攻擊者更多的系統資源進行防御，防御的強度會相應增加。但系統資源比過高時，防御成本會大大增加，此時已經“過度防御”造成了資源的浪費，防御者的收益反而會下降。

在攻擊者傾向于破壞和竊密的概率相等時選擇方案2 效果最好，即以0.1 的概率選擇時間戳同步，以0.5 的概率選擇ACK 應答同步，以0.4 的概率選擇嚴格時間同步。

圖4 傾向于竊密和破壞等概時防御者收益

現將時間因素考慮進去，進一步對策略進行優(yōu)化。如圖5 所示，給出了在攻擊者傾向于破壞和竊密的概率相等，取判斷時延時，方案2 在策略使用時間為1，3 和5 三種情況下的對比。

圖5 Δt=1，Δt=3 和Δt=5 時方案2 收益情況

由圖5 可知，在Δt=5 時的防御收益比Δt=3 的收益小，這是由于策略使用時間過長，導致攻擊者由足夠多的時間分析防御者同步策略，發(fā)動針對性的攻擊。而Δt=3 的防御收益比Δt=1 的收益大，這是由于策略使用時間過短導致系統負荷增加，防御成本提高。因此，只有選擇合適的策略使用時間，才能保證防御者的收益最大化。

當攻擊者動態(tài)調整攻擊策略時，防御方的動態(tài)收益圖如圖6 所示，可以看出，在雙方策略動態(tài)跳變時，防御方的收益是隨著時間在變化的，雙方策略的不斷切換，其收益也此消彼長。觀察發(fā)現，防御者使用同一策略時，防御收益的趨勢是先上升后下降的，這是由于同步策略的切換必然會影響到通信的效果，而恢復需要一定的時間，同時，隨著時間推移，攻擊者有足夠多的時間分析同步策略并發(fā)動針對性攻擊。這也印證了上文的分析，過快或者過慢切換同步策略，都會導致收益下降。

圖6 防御者動態(tài)收益

綜上，采取記憶T 細胞方法指導的同步策略的選擇，相比于傳統方案有以下幾點優(yōu)勢：第1，以信號博弈為理論基礎，基于攻防收益建立評價準則，模型的通用性較好；第2，動態(tài)變換的同步策略使得攻擊者更加難以發(fā)動有效的攻擊，還未來得及對偵察到的信息加以分析，防御者便改變了同步策略；第3，考慮了系統資源比和策略使用時間等參數，防御者可以在對抗博弈中對相關參數及進行調整，取得收益的最大化。

4 結論

本文針對端信息跳變的同步策略選擇問題，用信號博弈理論對最優(yōu)策略選擇進行了分析和量化計算，提出了對攻擊者在不同攻擊傾向的3 種情況下端信息跳變同步防御模式。下一步需要結合實際網絡環(huán)境的運行情況，進行數據采集，驗證并改進模型相關參數，以提升策略的針對性。