高春剛，王永杰，熊鑫立

1.國防科技大學 電子對抗學院，合肥 230037

2.安徽省網(wǎng)絡安全態(tài)勢感知與評估重點實驗室，合肥 230037

互聯(lián)網(wǎng)在給人們帶來高效和便利的同時，網(wǎng)絡安全問題也日趨嚴重，已經(jīng)成為政府和企業(yè)最迫切需要解決的問題之一。企業(yè)和政府通過門戶網(wǎng)站將各種信息系統(tǒng)、數(shù)據(jù)資源和互聯(lián)網(wǎng)資源集成到一個信息管理平臺上，并建立對外部客戶和內(nèi)部人員的信息通道，從而能夠釋放存儲在內(nèi)部和外部的各種信息。而對于攻擊者來說，這些門戶網(wǎng)站則成為他們進入內(nèi)網(wǎng)的入口[1]。傳統(tǒng)的網(wǎng)絡防御技術(shù)大都是通過入侵檢測、防火墻等技術(shù)來保護網(wǎng)絡及系統(tǒng)安全，但這些技術(shù)都是靜態(tài)化的，高級持續(xù)性威脅（advanced persistent threat，APT）[2]攻擊者可長期對目標的固有脆弱性進行反復的漏洞分析和滲透，直到達到最終目標[3]。因此安全人員開始將目光聚焦于主動防御技術(shù)，網(wǎng)絡欺騙[4]作為其中之一被提出。網(wǎng)絡欺騙是根據(jù)蜜罐的思想演進而來的一種防御機制，通過在己方網(wǎng)絡信息系統(tǒng)中布設騙局，干擾攻擊者對己方網(wǎng)絡信息系統(tǒng)的感知與判斷，從而達到發(fā)現(xiàn)、延遲或阻斷攻擊者活動的目的[5]。然而，目前以蜜罐、蜜網(wǎng)為主的網(wǎng)絡欺騙防御系統(tǒng)都存在誘騙性不足、靜態(tài)性、部署復雜以及維護困難等缺陷。APT攻擊者經(jīng)過精心的探測分析仍然可以繞過防御機制，而蜜罐一旦失效，不僅不能保護網(wǎng)絡系統(tǒng)，甚至會被攻擊者當做跳板去攻擊其他資源[6]。

為解決網(wǎng)絡欺騙系統(tǒng)誘騙性不足的問題，通過數(shù)據(jù)包頭重寫技術(shù)生成與真實網(wǎng)絡完全不同的虛擬網(wǎng)絡拓撲，使攻擊者更難發(fā)現(xiàn)網(wǎng)絡中的真實脆弱性主機。移動目標防御[7]的思想是使系統(tǒng)動態(tài)化，通過增加系統(tǒng)的動態(tài)性、隨機性和不確定性，增加攻擊者的攻擊難度和攻擊成本，提高系統(tǒng)安全性[8]。其中IP地址隨機化技術(shù)[9]以網(wǎng)絡地址為移動參數(shù)，使網(wǎng)絡地址隨機且隨時間變換，從而迷惑攻擊者。因此，為解決網(wǎng)絡欺騙系統(tǒng)靜態(tài)性的問題，使用MTD中的IP地址隨機化技術(shù)來增加網(wǎng)絡欺騙系統(tǒng)的動態(tài)性，增強其防御效能。軟件定義網(wǎng)絡（software defined network，SDN）[10]為有效開發(fā)和管理網(wǎng)絡系統(tǒng)提供了靈活的基礎(chǔ)設施，并且操作開銷小。因此，為解決網(wǎng)絡欺騙系統(tǒng)部署復雜以及維護困難的問題，基于SDN構(gòu)建網(wǎng)絡欺騙防御系統(tǒng)。

因此，本文的目標是緩解高級持續(xù)性威脅攻擊者對內(nèi)網(wǎng)的入侵，方法是結(jié)合網(wǎng)絡欺騙與移動目標防御建立一個MTD增強的網(wǎng)絡欺騙防御系統(tǒng)。首先通過數(shù)據(jù)包頭重寫改變網(wǎng)絡內(nèi)主機的IP地址并生成大量的誘餌節(jié)點，構(gòu)造虛擬網(wǎng)絡拓撲，使攻擊者在虛假的資源上花費更多的時間，增加攻擊者的時間成本；但APT攻擊者通常具備一定的蜜罐識別能力，可以根據(jù)與網(wǎng)絡中節(jié)點交互后的響應來識別真實主機和誘餌節(jié)點。因此，本文在虛擬網(wǎng)絡拓撲的基礎(chǔ)上融合IP隨機化技術(shù)，盡管攻擊者可以在一段時間內(nèi)收集到網(wǎng)絡系統(tǒng)的部分信息，但部署IP隨機化后這些信息將會失效，攻擊者必須重新對網(wǎng)絡進行偵查。通過將網(wǎng)絡欺騙和移動目標防御相融合，可以完成它們不能單獨實現(xiàn)的目標，有效地抵抗持續(xù)性的網(wǎng)絡偵查攻擊。

1 相關(guān)技術(shù)

為了阻止或減緩攻擊者持續(xù)性網(wǎng)絡偵查攻擊，研究人員提出了許多主動防御方法，主要分為兩類：網(wǎng)絡欺騙防御和移動目標防御。

網(wǎng)絡欺騙防御的核心是防御者利用欺騙和誘導手段有意地干擾攻擊者的認知決策過程，從而使攻擊者采取有利于防御者的行動。Akiyama等[11]提出基于蜜標的網(wǎng)絡欺騙系統(tǒng)，通過在沙箱環(huán)境中設置用戶名、口令、服務器地址等信息，當發(fā)現(xiàn)攻擊時，這些蜜標就會被傳送給攻擊者，從而使其登錄預先設置的蜜罐服務器。Achleitner等[12]假設攻擊者已經(jīng)成功進入內(nèi)網(wǎng)，并且至少有一臺主機已經(jīng)感染了某種惡意軟件，通過欺騙攻擊者視圖混淆攻擊者獲取的信息，從而延長攻擊者識別真實主機的時間，但對主機之間的正常交互造成了較大的影響。Zhan等[13]探討了如何提高網(wǎng)絡欺騙的有效性來加固FTP（文件傳輸協(xié)議）服務來應對APT攻擊，通過邏輯約束實例化一個新的FTP文件系統(tǒng)來確保欺騙的一致性，并通過圖靈測試，發(fā)現(xiàn)參與者識別欺騙性環(huán)境的概率接近于隨機猜測。Rrushi等[14]描述了在操作系統(tǒng)駐留的防御欺騙方法，核心思想是通過在計算機系統(tǒng)中展示虛假I/O設備，使感染目標主機的惡意軟件無效。Rubio-Medrano等[15]提出了一個高交互、可擴展、高偽裝的工控蜜罐來收集惡意數(shù)據(jù)樣本以供將來分析時可以有效地欺騙攻擊者，它被多種廣泛使用的偵查工具識別為真實設備。

傳統(tǒng)的網(wǎng)絡欺騙系統(tǒng)存在很大的局限性，APT攻擊者往往針對特定目標攻擊，持續(xù)時間長且隱蔽性強，一旦攻擊者檢測到陷阱的存在并繞過，陷阱將失去意義，甚至淪為攻擊者的入侵跳板。因此國內(nèi)外相關(guān)學者針對網(wǎng)絡欺騙技術(shù)的動態(tài)部署做了大量的研究，并取得了一定的成果。Zhe等[16]提出一種基于SDN的虛擬蜜網(wǎng)系統(tǒng)，結(jié)合SDN良好的可控性和可擴展性構(gòu)建蜜網(wǎng)，解決了虛擬蜜罐動態(tài)部署復雜和蜜網(wǎng)流量控制困難的問題。Kong等[17]提出自動蜜網(wǎng)部署策略，能夠自動生成、部署和調(diào)整蜜網(wǎng)部署策略，降低網(wǎng)絡攻擊的成功率，并從理論層面證明了策略的有效性。Niakanlahiji等[18]提出針對Web程序的個性化欺騙方法，通過與攻擊者的交互動態(tài)描述每個攻擊者的特征，并相應調(diào)整欺騙計劃，實現(xiàn)個性化欺騙。

現(xiàn)有網(wǎng)絡欺騙技術(shù)的動態(tài)部署方法都是根據(jù)當前的網(wǎng)絡環(huán)境動態(tài)調(diào)整蜜網(wǎng)網(wǎng)絡結(jié)構(gòu)和蜜罐類型，十分依賴惡意流量檢測技術(shù)，且具有被動性，仍然無法有效防御具備反蜜罐能力的攻擊者。

移動目標防御技術(shù)通過多樣化、動態(tài)化和隨機化的方法改變IP地址、端口等網(wǎng)絡要素，增加攻擊者進行網(wǎng)絡探測、網(wǎng)絡竊聽和拒絕服務攻擊的難度[19]。目前網(wǎng)絡層移動目標防御系統(tǒng)框架大都是基于SDN實現(xiàn)，基于SDN的網(wǎng)絡層移動目標防御利用SDN的特點來優(yōu)化移動目標防御技術(shù)，高度可編程的SDN可以有效地增加攻擊的不確定性、復雜性和成本[20]。AEH-MTD[21]采用跳頻同步策略，客戶端和控制器通過同步模塊對本地時鐘進行校準，采用源地址熵和流量法檢測網(wǎng)絡狀態(tài)，根據(jù)檢測結(jié)果，采用時間自適應和空間自適應的方法對端點信息進行調(diào)整，相比于之前的方法具有更大的動態(tài)性和靈活性。Narantuya等[22]為解決單個SDN控制器的MTD系統(tǒng)的單點失效問題，提出基于多個SDN控制器的MTD架構(gòu)，保證了大規(guī)模網(wǎng)絡中MTD系統(tǒng)的性能和安全性。Wang等[23]提出基于雙層IP地址調(diào)頻的移動目標防御方法，設置獨立間隔和規(guī)則，根據(jù)網(wǎng)絡安全狀況和要求跳變設備IP地址和虛擬IP地址，防止網(wǎng)絡入侵和網(wǎng)絡竊聽。

MTD可以不依賴惡意流量檢測技術(shù)，通過動態(tài)變換網(wǎng)絡信息干擾攻擊者對網(wǎng)絡系統(tǒng)的認知，但頻繁的變換帶來巨大的性能損耗；網(wǎng)絡欺騙防御部署后不會對系統(tǒng)性能造成太大影響，但無法有效應對長期潛伏收集信息的APT攻擊者。因此如何將MTD和網(wǎng)絡欺騙技術(shù)融合來更大程度地發(fā)揮防御的有效性是一個非常重要的研究。

2 威脅模型

企業(yè)和政府通過門戶網(wǎng)站將各種信息系統(tǒng)、數(shù)據(jù)資源和互聯(lián)網(wǎng)資源集成到一個信息管理平臺上，方便了與外部和內(nèi)部人員的交互，但門戶網(wǎng)站也成為了攻擊者進入內(nèi)網(wǎng)的入口，攻擊者一旦拿下網(wǎng)站所在主機的權(quán)限，就可以以此為跳板進一步入侵內(nèi)網(wǎng)。

如圖1所示，門戶網(wǎng)站部署在DMZ[24]的服務器上，外網(wǎng)人員和內(nèi)網(wǎng)人員均可以訪問門戶網(wǎng)站，但外網(wǎng)人員不可以直接訪問內(nèi)網(wǎng)。攻擊者已經(jīng)利用網(wǎng)站上存在的漏洞獲取網(wǎng)站所在服務器的管理員權(quán)限，并以此為跳板探測內(nèi)網(wǎng)，準備進一步地入侵。

圖1 威脅模型Fig.1 Threat model

攻擊者進行網(wǎng)絡偵查時會采取最高效的策略，通常先進行全網(wǎng)段掃描，掃描出網(wǎng)絡中所有存活主機，再對存活主機進行進一步探測，分析其可能存在的漏洞，最后攻擊存在漏洞的主機。但這種策略不適用于部署了地址變換的網(wǎng)絡系統(tǒng)，因為當攻擊者掃描出網(wǎng)絡中所有存活主機后，準備對存活主機進行進一步探測和漏洞利用時，其虛擬IP地址很可能已經(jīng)過時。所以對于部署了地址變換的網(wǎng)絡系統(tǒng)，攻擊者只能探測到一個存活主機后立即進行漏洞分析和利用。

對威脅模型提出幾點假設：

（1）攻擊者的目標為內(nèi)網(wǎng)中的主機，且攻擊者具有足夠的耐心來入侵內(nèi)網(wǎng)。

（2）攻擊者具有很強的漏洞分析和漏洞利用能力，對于發(fā)現(xiàn)的每一個漏洞都能成功利用。

（3）攻擊者意識到IP隨機化機制已被部署時，會隨機探測IP地址，發(fā)現(xiàn)漏洞后立即攻擊。

（4）攻擊者在系統(tǒng)進行IP地址變換后仍然執(zhí)行攻擊步驟。

3 系統(tǒng)設計

本文基于SDN實現(xiàn)網(wǎng)絡欺騙系統(tǒng)。圖2顯示了網(wǎng)絡欺騙系統(tǒng)的系統(tǒng)架構(gòu)，它由三個主要組件組成，包括虛擬網(wǎng)絡拓撲模塊、IP隨機化模塊和欺騙服務器，其中虛擬網(wǎng)絡拓撲模塊和IP隨機化模塊都在SDN控制器中實現(xiàn)。

圖2 系統(tǒng)架構(gòu)Fig.2 System structure

3.1 虛擬網(wǎng)絡拓撲模塊

虛擬網(wǎng)絡拓撲模塊主要負責生成虛擬網(wǎng)絡拓撲以及根據(jù)虛擬網(wǎng)絡拓撲的規(guī)范分發(fā)流表，包括虛擬網(wǎng)絡拓撲生成模塊、誘餌節(jié)點生成模塊和流表分發(fā)模塊三個子模塊。

虛擬網(wǎng)絡拓撲生成模塊負責提供虛擬網(wǎng)絡拓撲規(guī)范，即描述主機、誘餌節(jié)點的真實和虛擬的地址信息，以及它們之間的連接性。包括：

（1）目標主機的真實IP地址、虛擬IP地址、真實MAC地址和交換機端口。

（2）內(nèi)網(wǎng)主機的真實IP地址、虛擬IP地址、真實MAC地址和交換機端口。

（3）誘餌節(jié)點的真實IP地址、虛擬IP地址、真實MAC地址、虛擬MAC地址和交換機端口。

（4）目標主機到內(nèi)網(wǎng)主機和誘餌節(jié)點的虛擬路徑信息。

誘餌節(jié)點生成模塊負責根據(jù)虛擬網(wǎng)絡拓撲規(guī)范生成大量的誘餌節(jié)點。在實際部署中，受限于硬件資源，不能部署大量的蜜罐主機。為了使網(wǎng)絡拓撲規(guī)模足夠大，采用一對多映射的方式生成誘餌節(jié)點。在虛擬網(wǎng)絡拓撲配置文件中為一個蜜罐主機分配多個虛擬IP，在響應掃描探測時，由SDN控制器將虛擬IP反向映射到其母體蜜罐，由母體蜜罐響應具體的探測行為。

流表分發(fā)模塊監(jiān)聽來自交換機的PackIn報文，根據(jù)虛擬網(wǎng)絡拓撲的規(guī)范動態(tài)生成特定的流表，并將其推送到SDN交換機以控制網(wǎng)絡傳輸。為了引導和控制網(wǎng)絡傳輸，采取反應式流表生成方法，而不是主動式方法，即在到達SDN交換機中的數(shù)據(jù)包與存儲在交換機中的任何流表都不匹配時，SDN控制器動態(tài)生成流規(guī)則。

算法1給出了虛擬網(wǎng)絡拓撲模塊的報文處理算法實現(xiàn)。虛擬網(wǎng)絡拓撲模塊實時監(jiān)聽來自交換機的PackIn消息，分析數(shù)據(jù)包的源和目的地址以及數(shù)據(jù)包類型，根據(jù)虛擬網(wǎng)絡拓撲規(guī)范生成特定的流表并添加流表動作，包括重寫數(shù)據(jù)包頭，完成真實IP與虛擬IP的轉(zhuǎn)換以及指定轉(zhuǎn)發(fā)出口。報文處理算法的時間復雜度在于對于收到的PackIn報文需要查詢報文類型和源地址，查詢類型的復雜度為1，查詢源地址需要遍歷虛擬網(wǎng)絡拓撲中的所有節(jié)點，復雜度為n（n為虛擬網(wǎng)絡拓撲中的節(jié)點數(shù)量），因此報文處理算法的時間復雜度為n。

算法1虛擬網(wǎng)絡拓撲模塊報文處理算法

輸入：PackIn報文，虛擬網(wǎng)絡拓撲

輸出：PackOut報文

if PackIn.src=target.addr then//處理來自目標主機報文

if PackIn.type=ARP then//處理ARP報文

OutFlow.action is outport=server.switchport

InFlow.action is outport=ingressport

end if

if PackIn.type=IP then//處理IP報文

OutFlow.action is srcIP=target.rIP and dstIP=dst.rIP

InFlow.action is srcIP=dst.vIP and dstIP=target.vIP

end if

end if

else then//處理來自內(nèi)網(wǎng)主機的報文

if PackIn.type=ARP then//處理ARP報文

OutFlow.action is outport=server.switchport

InFlow.action is outport=ingressport

end if

if PackIn.type=IP then//處理IP報文

if PackIn.dst=target.rIP then

Out Fl ow.acti on is src IP=src.vIP and dst IP=target.vIP

InFlow.action is srcIP=target.rIP and dstIP=src.rIP

end if

else then

OutFlow.action is outport=dst_node.switchport

InFlow.action is outport=src_node.switchport

end if

結(jié)合第2章的分析可知，虛擬網(wǎng)絡拓撲與真實網(wǎng)絡是嚴格分離的，通過在DMZ的服務器上部署虛擬網(wǎng)絡拓撲，攻擊者探測到的內(nèi)網(wǎng)主機IP地址皆為虛擬IP地址，且其觀察到的網(wǎng)絡地址空間規(guī)模更大，同時還能使攻擊者探測到誘餌節(jié)點，從而延遲攻擊者探測到真實主機的時間。而對于DMZ對于內(nèi)網(wǎng)中的主機，仍然使用真實IP地址進行交互，因此不會對網(wǎng)絡的正常功能造成影響。

3.2 IP隨機化模塊

為了進一步增加網(wǎng)絡欺騙系統(tǒng)的防御效能，創(chuàng)建IP隨機化模塊。IP隨機化模塊負責協(xié)調(diào)網(wǎng)絡中主機和誘餌節(jié)點的地址變換，包括地址管理模塊、變換決策模塊和連接維持模塊三個子模塊。

地址管理模塊負責根據(jù)虛擬網(wǎng)絡拓撲規(guī)范實時統(tǒng)計每個子網(wǎng)中的主機和誘餌節(jié)點、每個子網(wǎng)中的還未使用的IP地址以及為子網(wǎng)內(nèi)的主機和誘餌節(jié)點分配IP地址，確保在IP地址分配中不會相互干擾。

變換決策模塊負責設置IP地址隨機化的的周期以及虛擬網(wǎng)絡拓撲的構(gòu)造方法?？梢愿鶕?jù)實際網(wǎng)絡系統(tǒng)狀態(tài)設定IP地址隨機化的周期，兼顧網(wǎng)絡性能和安全性。變換決策模塊也可以根據(jù)實際情況確定虛擬網(wǎng)絡拓撲的大小、子網(wǎng)數(shù)、每個子網(wǎng)中誘餌節(jié)點的數(shù)量以及主機在網(wǎng)絡中的位置。

連接維持模塊負責地址變換時正常的服務不會中斷，保證地址變換對用戶的透明。通過前面的分析可知，網(wǎng)絡欺騙系統(tǒng)的部署，使得攻擊者在DMZ的服務器上探測到地址不斷變化的內(nèi)網(wǎng)拓撲，而內(nèi)網(wǎng)中的主機通過DMZ服務器的真實IP地址訪問服務。并且因為IP地址隨機化只改變虛擬IP地址，真實IP地址始終不變，所以內(nèi)網(wǎng)中的主機始終可以通過DMZ服務器的真實IP地址訪問它。然而，IP地址隨機化改變了內(nèi)網(wǎng)主機的虛擬IP地址，主機向服務器發(fā)送的請求無法收到回復，主機需要重新對服務器發(fā)起連接，這帶來了網(wǎng)絡延遲。連接維持模塊通過在流表中設定空閑存活時間字段idel_timeout來確保正常的服務不會中斷。idel_timeout正比于IP地址隨機化周期T，即idel_timeout=αT，其中0＜α＜1。只要兩個節(jié)點的交互間隔時間小于空閑存活時間，流表就不會消失，兩個節(jié)點之間的連接就可以維持。空閑存活時間的大小影響網(wǎng)絡安全性和網(wǎng)絡性能。算法2給出了IP地址隨機化模塊的地址分配算法實現(xiàn)。首先確定變換的周期T，網(wǎng)絡中的子網(wǎng)，每個子網(wǎng)中的主機和誘餌節(jié)點，每個子網(wǎng)中未使用的IP地址。每次變換時，針對每個子網(wǎng)中的每個節(jié)點，從子網(wǎng)內(nèi)未使用的IP地址中隨機選擇一個作為節(jié)點的虛擬IP地址，并更新虛擬網(wǎng)絡拓撲的信息。地址分配算法的時間復雜度在于需要變換虛擬網(wǎng)絡拓撲中每一個節(jié)點的IP地址，因此時間復雜度為n。

算法2IP地址隨機化模塊地址分配算法

輸入：變換周期T，子網(wǎng)信息subnetlist，每個子網(wǎng)內(nèi)的節(jié)點信息hostdict，子網(wǎng)內(nèi)還未使用的IP地址ipdict

輸出：ipdict，hostdict，虛擬網(wǎng)絡拓撲vnt

iftime=Tdo

for net insubnetlistdo

for host inhostdict[net]do

ip=net+random（start，end）

if ip inipdictdo

host.vIP=ip

updateipdict

updatehostdict

updatevnt

end if

end for

end for

end if

IP隨機化模塊可以與虛擬網(wǎng)絡拓撲模塊有機結(jié)合，不會相互抵觸、相互牽制，而是相互協(xié)調(diào)。IP隨機化模塊利用虛擬網(wǎng)絡拓撲模塊生成的虛擬網(wǎng)絡拓撲規(guī)范完成節(jié)點IP地址的實時統(tǒng)計和變換，并將變換后的信息反饋到虛擬網(wǎng)絡拓撲模塊。從防御效能上看，現(xiàn)有研究中虛擬網(wǎng)絡拓撲存在靜態(tài)性，APT攻擊者可以長期潛伏在網(wǎng)絡中尋找攻擊目標，同時識別誘餌節(jié)點并且其拉入黑名單，因此隨著攻擊者不斷探測，虛擬網(wǎng)絡拓撲的防御效能會逐漸降低。本文提出的防御方法通過IP地址隨機化變換網(wǎng)絡中節(jié)點的IP地址，使得攻擊者在一段時間內(nèi)探測到的信息失效，攻擊者只能重新開始探測，從而提高了節(jié)點的存活率。現(xiàn)有研究中，IP地址隨機化需要頻繁的變換，這對系統(tǒng)性能帶來巨大的損耗。本文提出的防御方法，通過部署比真實網(wǎng)絡大得多的虛擬網(wǎng)絡拓撲，能夠延長攻擊者探測到真實主機的時間，因此不需要頻繁地變換就可以達到較好的防御效果。

3.3 欺騙服務器

欺騙服務器負責根據(jù)虛擬網(wǎng)絡視圖的規(guī)范制作響應來欺騙惡意掃描程序。包括地址管理模塊、消息處理模塊、DHCP處理模塊、ARP處理模塊、ICMP處理模塊、路由模擬模塊。

地址管理模塊負責確保與SDN控制器維護相同的虛擬網(wǎng)絡拓撲規(guī)范。

消息處理模塊負責解析接收到的數(shù)據(jù)包，并根據(jù)數(shù)據(jù)包的類型發(fā)往相應的模塊處理。

DHCP處理模塊、ARP處理模塊、ICMP處理模塊和路由模擬模塊負責對惡意掃描程序的請求做出欺騙性的響應。以路由模擬模塊為例介紹它們是實現(xiàn)欺騙的。

步驟1惡意掃描程序使用tarceroute向節(jié)點發(fā)送探測數(shù)據(jù)包，依次將數(shù)據(jù)包的TTL設置為1，2，…。

步驟2虛擬網(wǎng)絡拓撲模塊將數(shù)據(jù)包轉(zhuǎn)發(fā)到欺騙服務器，并由消息處理子模塊發(fā)往路由模擬子模塊處理。

步驟3虛擬網(wǎng)絡拓撲規(guī)范中描述了網(wǎng)絡中兩個主機之間的虛擬的路由信息，路由模擬模塊首先根據(jù)虛擬路由信息向源主機發(fā)送ICMP超時報文，證明數(shù)據(jù)包經(jīng)過了虛擬路由。

步驟4路由模擬模塊根據(jù)目的主機的虛擬IP生成ICMP端口不可達報文，證明數(shù)據(jù)包已到達目的地。

通過上述過程，路由模擬模塊可以基于虛擬網(wǎng)絡拓撲的規(guī)范模擬兩個節(jié)點之間的多跳路徑，使得攻擊者無法獲取節(jié)點在網(wǎng)絡中的真實位置。

3.4 系統(tǒng)可擴展性

SDN已經(jīng)在許多著名的科研項目中得到應用和部署，谷歌的數(shù)據(jù)中心B4[25]是SDN應用在大規(guī)模網(wǎng)絡中的成功案例，通過在數(shù)據(jù)中心部署基于OpenFlow的集中式流量工程服務，使得網(wǎng)絡更穩(wěn)定，鏈路帶寬利用率更高。面對更為龐大的流量請求和網(wǎng)絡監(jiān)控統(tǒng)計等需求，分布式的多控制器部署成為提升控制平面規(guī)模可擴展的有效方式[26-27]。因此通過分布式控制平面的方式部署，可以實現(xiàn)更大規(guī)模的IP地址隨機化。網(wǎng)絡欺騙系統(tǒng)的分布式控制平面部署模型如圖3所示，包括SDN主控制器和SDN子控制器。SDN主控制器負責模擬虛擬網(wǎng)絡拓撲和管理分布式控制平面。SDN子控制器負責控制子網(wǎng)中的網(wǎng)絡流量，每個子控制器對本地交換設備的控制不需要向其他控制器通告。當IP地址隨機化時間發(fā)生時，SDN主控制器將虛擬網(wǎng)絡拓撲的變化發(fā)往各個子控制器，各子控制器進行同步更新。因此，所有控制器都能實時掌握全局網(wǎng)絡信息，但實際上只是負責局部區(qū)域網(wǎng)絡。

圖3 分布式控制平面部署模型Fig.3 Distributed control plane deployment model

4 實驗評估與分析

本章將評估MTD增強的網(wǎng)絡欺騙系統(tǒng)的有效性及其產(chǎn)生的開銷。實驗評估在Ubuntu20.04.1操作系統(tǒng)環(huán)境下進行，虛擬機內(nèi)存為4 GB，使用mininet[28]搭建基于SDN的網(wǎng)絡系統(tǒng)，SDN控制器使用POX控制器，交換機使用Open Vswitch。實驗部署了無防御（NO VNT）、虛擬網(wǎng)絡拓撲（VNT）、IP地址隨機化（IPR）、動態(tài)虛擬網(wǎng)絡拓撲（DVNT）四種防御方法，通過對比實驗分析本文提出的防御方法的有效性。

真實網(wǎng)絡拓撲如所圖4所示，紅色節(jié)點為已經(jīng)被攻擊者占領(lǐng)的主機、藍色節(jié)點為6個普通客戶端，灰色節(jié)點為蜜罐，綠色節(jié)點為SDN交換機。網(wǎng)段地址為192.168.0.0/24，網(wǎng)絡中的6個普通客戶端和蜜罐均存在可利用的漏洞。

圖4 真實網(wǎng)絡拓撲Fig.4 Real network topology

虛擬網(wǎng)絡拓撲的參數(shù)如表1所示，虛擬網(wǎng)絡拓撲包含3個子網(wǎng)，網(wǎng)段地址分別為192.168.10.0/24、192.168.11.0/24、192.168.12.0/24，真實脆弱性主機平均分布在地址空間上，子網(wǎng)中的誘餌節(jié)點數(shù)分別為17、18、16。

表1 虛擬網(wǎng)絡拓撲參數(shù)Table 1 Parameters of virtual network topology

部署的虛擬網(wǎng)絡拓撲如圖5所示，紅色節(jié)點為已經(jīng)被攻擊者占領(lǐng)的主機，藍色節(jié)點為普通客戶端，即真實脆弱性主機，灰色節(jié)點為蜜罐，黃色節(jié)點為虛擬路由。虛擬網(wǎng)絡拓撲的結(jié)構(gòu)與真實網(wǎng)絡拓撲完全不同，可以最大程度地欺騙攻擊者。

圖5 虛擬網(wǎng)絡拓撲Fig.5 Virtual network topology

IP地址隨機化參數(shù)如表2所示，IPR的地址變換周期為30 s。為了分析地址變換周期對防御有效性和系統(tǒng)開銷的影響，實驗部署了兩種IP地址隨機化增強的虛擬網(wǎng)絡拓撲，分別為地址變換周期為30 s的動態(tài)虛擬網(wǎng)絡拓撲（DVNT_30）和地址變換周期為10 s的動態(tài)虛擬網(wǎng)絡拓撲（DVNT_10），地址變換方式均為隨機變換，即每個周期都在未使用的IP地址集內(nèi)隨機選擇一個分配給主機。

表2 IP地址隨機化參數(shù)Table 2 Parameters of IP address randomization

4.1 有效性

首先評估部署虛擬網(wǎng)絡拓撲對于延長攻擊者發(fā)現(xiàn)真實脆弱性主機的時間的有效性。攻擊者進行內(nèi)網(wǎng)滲透時通常首先使用掃描器（如Nmap、Metasploit等）對內(nèi)網(wǎng)進行探測，獲取網(wǎng)絡中存活性主機、網(wǎng)絡結(jié)構(gòu)等信息，為下一步攻擊做準備。實驗模擬攻擊者使用Nmap探測網(wǎng)絡中的存活性主機，掃描方式為隨機掃描，且IP地址為平均分布，即每個IP地址只掃描一次。在模擬攻擊者掃描探測的同時，記錄攻擊者探測到真實脆弱性主機的時間，最后通過統(tǒng)計攻擊者探測到的真實脆弱性主機的時間來評估系統(tǒng)的有效性。為保證實驗結(jié)果的可靠性，共進行了100次重復實驗。

表3為在沒有部署虛擬網(wǎng)絡拓撲（NO VNT）和部署了虛擬網(wǎng)絡拓撲（VNT）的網(wǎng)絡下，攻擊者掃描出真實脆弱性主機所花費的時間對比。在100次重復實驗中，攻擊者在這兩種情況下，攻擊者發(fā)現(xiàn)真實脆弱性主機的最短時間相同，但最長時間和平均時間VNT均為NO VNT的7倍以上。

表3 不同網(wǎng)絡下攻擊者發(fā)現(xiàn)真實脆弱性主機的時間Table 3 Time of attacker discovering real vulnerable host under different networks s

圖6為NO VNT和VNT的網(wǎng)絡下，攻擊者掃描出真實脆弱性主機的概率隨時間的變化。分析實驗結(jié)果，在NO VNT的網(wǎng)絡下，攻擊者掃描40 s時，發(fā)現(xiàn)真實脆弱性主機的概率為52%，而在VNT的網(wǎng)絡下，攻擊者發(fā)現(xiàn)真實脆弱性主機的概率僅為8%；在NO VNT的網(wǎng)絡下，攻擊者有100%的概率發(fā)現(xiàn)真實脆弱性主機的時間為320 s，而在VNT的網(wǎng)絡下，則需要1 280 s。

圖6 不同網(wǎng)絡下攻擊者發(fā)現(xiàn)真實脆弱性主機的概率Fig.6 Probability of attacker discovering realvulnerable host under different networks

通過部署虛擬網(wǎng)絡拓撲，大大延長了攻擊者發(fā)現(xiàn)脆弱性主機的時間，提高了攻擊者的時間成本。但只要時間充足，APT攻擊者仍然可以攻下網(wǎng)絡中的所有主機。IP地址隨機化可以使攻擊者在一段時間內(nèi)探測到的信息失效，因此在虛擬網(wǎng)絡拓撲的基礎(chǔ)上融合IP地址隨機化技術(shù)，同時評估在部署NO VNT、VNT、IPR和DVNT_30的網(wǎng)絡下，攻擊者成功攻擊主機的個數(shù)隨時間變化。假設攻擊者具有豐富的攻擊資源，對網(wǎng)絡中主機的每一個漏洞都有利用工具，且攻擊者具有很強的漏洞分析能力，發(fā)現(xiàn)漏洞后能在較短的時間內(nèi)成功利用。實驗模擬攻擊者首先使用Nmap探測網(wǎng)絡中的存活性主機，當攻擊者探測到真實脆弱性主機時，經(jīng)過一段時間的攻擊準備，向其發(fā)起攻擊。與此同時，記錄攻擊者成功攻擊真實脆弱性主機的時間，最后通過統(tǒng)計攻擊者成功攻擊真實脆弱性主機的時間來評估系統(tǒng)的有效性。為了貼近真實滲透場景，假設攻擊者探測到脆弱性主機到發(fā)起攻擊的時間為10～60 s內(nèi)的一個隨機時間，地址變換的周期為30 s。

圖7為攻擊者在部署了上述四種防御方法的網(wǎng)絡下，攻擊者成功攻擊真實脆弱性主機的個數(shù)隨時間的變化。對比實驗結(jié)果，相比于NO VNT，VNT將攻擊者成功攻擊一個脆弱性主機的時間平均延長至8倍，這是因為虛擬網(wǎng)絡拓撲中存在大量誘餌節(jié)點，攻擊者分析利用誘餌節(jié)點的漏洞浪費了更多的時間；相比于NO VNT，IPR將攻擊者成功攻擊脆弱性主機的概率降低了33%，這是因為當攻擊者對脆弱性主機的漏洞進行利用時，其IP地址很可能已經(jīng)過時；相比于VNT和IPR，DVNT_30不僅進一步延長了攻擊者成功攻擊真實脆弱性主機的時間，而且將攻擊者成功攻擊的概率降低83%。

圖7 不同網(wǎng)絡下主機被成功攻擊的個數(shù)Fig.7 Number of hosts successfully attacked under different networks

4.2 系統(tǒng)開銷

MTD增強的網(wǎng)絡欺騙系統(tǒng)極大地提高了網(wǎng)絡的安全性，但也難免對網(wǎng)絡性能造成一定影響，因此需要對系統(tǒng)開銷進行評估分析。使用Netperf來測量系統(tǒng)對網(wǎng)絡吞吐量和網(wǎng)絡延遲的影響，比較4種不同系統(tǒng)配置下的性能：NO VNT、VNT、DVNT_30和DVNT_10。

評估系統(tǒng)對網(wǎng)絡吞吐量的影響。在目標主機上運行Netperf服務端，在客戶機上運行Netperf客戶端，使用TCP_STREAM模擬客戶端向服務端的批量數(shù)據(jù)傳輸，測量網(wǎng)絡吞吐量，進行了10次重復實驗，每次實驗進行8組測試，每組數(shù)據(jù)大小由8 Byte到1 024 Byte不等。

圖8為四種不同網(wǎng)絡下系統(tǒng)吞吐量的對比，分析實驗結(jié)果，與沒有部署虛擬網(wǎng)絡拓撲的網(wǎng)絡情況對比，部署了虛擬網(wǎng)絡拓撲的網(wǎng)絡吞吐量減少了2.2%到11.5%，平均減少了5%；部署了地址變換周期為30 s的動態(tài)虛擬網(wǎng)絡拓撲的網(wǎng)絡吞吐量減少了2.4%到14.1%，平均減少了7.1%；部署了地址變換周期為10 s的動態(tài)虛擬網(wǎng)絡拓撲的網(wǎng)絡吞吐量減少了3.3%到15.9%，平均減少了8.2%。

圖8 不同網(wǎng)絡下的網(wǎng)絡吞吐量Fig.8 Network throughput under different networks

評估系統(tǒng)對網(wǎng)絡延遲的影響。在目標主機上運行Netperf服務端，在客戶機上運行Netperf客戶端，使用TCP_RR模擬客戶端和服務端request/response模式，客戶端向服務端發(fā)出查詢分組，服務端接收到請求返回結(jié)果數(shù)據(jù)，測量網(wǎng)絡延遲，數(shù)據(jù)大小由8 KB到1 024 KB不等，進行了10組重復實驗。

圖9為四種不同網(wǎng)絡下系統(tǒng)吞吐量的對比，分析實驗結(jié)果，部署了虛擬網(wǎng)絡拓撲的網(wǎng)絡延遲增加了2.2%到10.4%，平均增加了5.4%；部署了地址變換周期為30 s的動態(tài)虛擬網(wǎng)絡拓撲的網(wǎng)絡延遲增加了3%到12.3%，平均增加了6.6%；部署了地址變換周期為10 s的動態(tài)虛擬網(wǎng)絡拓撲的網(wǎng)絡延遲增加了3.5%到12.8%，平均增加了7.4%。

圖9 不同網(wǎng)絡下的網(wǎng)絡延遲Fig.9 Network delay under different networks

由實驗結(jié)果可以看出，造成額外系統(tǒng)開銷的最大的原因在于虛擬網(wǎng)絡拓撲，因為每個數(shù)據(jù)包到達交換機都需要重寫數(shù)據(jù)包頭。變換造成的系統(tǒng)開銷時因為每次地址變換后，原來的虛擬地址對應的流表會消失，在新的數(shù)據(jù)包到達交換機時，需要重新安裝新的流表。額外的時間開銷為SDN控制器根據(jù)虛擬網(wǎng)絡拓撲描述執(zhí)行查找操作的時間以及安裝流表的時間。同時在一定時間內(nèi)，地址變換的頻率越高，重新安裝流表的次數(shù)越多，造成的額外時間開銷也就越大。分析實驗結(jié)果可以發(fā)現(xiàn)，地址變換造成的額外開銷較小，這是因為IP隨機化地址是在虛擬網(wǎng)絡拓撲的基礎(chǔ)上實現(xiàn)的，系統(tǒng)的額外開銷要小于單獨使用虛擬網(wǎng)絡拓撲和IP隨機化造成的系統(tǒng)開銷的總和。

4.3 基于網(wǎng)絡殺傷鏈模型的有效性評估

洛克希德-馬丁公司提出網(wǎng)絡殺傷鏈來描述網(wǎng)絡入侵活動。該模型將網(wǎng)絡入侵分為七個階段，分別為偵查、武器化、投送、漏洞利用、安裝、命令與控制、控守目標，越早打斷網(wǎng)絡殺傷鏈就能越有效地阻止網(wǎng)絡攻擊。本節(jié)根據(jù)一個網(wǎng)絡攻擊實例，使用網(wǎng)絡殺傷鏈模型來分析MTD增強的網(wǎng)絡欺騙防御系統(tǒng)的有效性。攻擊者已經(jīng)獲取DMZ中某臺服務器的管理員權(quán)限，并以此為跳板探測內(nèi)網(wǎng)，并進行橫向滲透，目的為獲取內(nèi)網(wǎng)中數(shù)據(jù)庫服務器中的數(shù)據(jù)資源。

在偵查和武器化階段，攻擊者需要識別和確定目標，并根據(jù)目標的環(huán)境信息決定采取的方法。本系統(tǒng)在此階段通過創(chuàng)建虛擬網(wǎng)絡拓撲延長攻擊者的偵查時間，并通過誘餌節(jié)點提供虛假服務，誤導攻擊者武器的研制以挫敗攻擊。

在投送、漏洞利用和安裝階段，攻擊者要將生成的攻擊代碼發(fā)送到目標主機并運行以建立初步的立足點。本系統(tǒng)在此階段通過IP隨機化技術(shù)改變目標主機的IP地址，使得攻擊代碼被投送到錯誤的目標。

在命令控制和控守目標階段，攻擊者控制系統(tǒng)以作為跳板進一步滲透或獲取系統(tǒng)上的資源。本系統(tǒng)在此階段通過誘餌節(jié)點使得攻擊者獲取欺騙性數(shù)據(jù)資源或通過IP隨機化技術(shù)破壞攻擊者與目標主機的連接。

5 結(jié)束語

本文提出一個MTD增強的網(wǎng)絡欺騙系統(tǒng)來防御內(nèi)網(wǎng)偵查。針對的目標為利用門戶網(wǎng)站的漏洞已入侵目標網(wǎng)絡中一個主機并進行內(nèi)網(wǎng)橫向滲透的攻擊者。系統(tǒng)的防御方法為對其顯示一個與真實網(wǎng)絡完全不同的虛擬網(wǎng)絡拓撲，混淆攻擊者通過探測獲取的目標網(wǎng)絡信息，從而增加攻擊者探測到真實脆弱性主機的時間，同時動態(tài)變換虛擬網(wǎng)絡拓撲中節(jié)點的IP地址，使攻擊者在一段時間內(nèi)獲取的信息失效，降低攻擊者攻擊成功的概率。最后基于Mininet和POX控制器實現(xiàn)網(wǎng)絡欺騙原型系統(tǒng)，并通過對比實驗對系統(tǒng)進行評估。評估實驗結(jié)果表明，該系統(tǒng)能夠有效地防御網(wǎng)絡偵查攻擊，同時具有可接受的系統(tǒng)性能開銷。