林楷，賈春福，石樂(lè)義

（1. 南開大學(xué) 信息技術(shù)科學(xué)學(xué)院，天津 300071；

2. 中國(guó)石油大學(xué)（華東） 計(jì)算機(jī)與通信工程學(xué)院, 山東 青島 266555）

1 引言

傳統(tǒng)的網(wǎng)絡(luò)防護(hù)技術(shù)難以滿足人們?nèi)找嬖鲩L(zhǎng)的安全需求[1,2]，如防火墻和入侵檢測(cè)等技術(shù)。于是，人們?cè)絹?lái)越關(guān)注更為主動(dòng)、積極的防護(hù)技術(shù)，如蜜罐[3,4]和端信息跳變[5]等技術(shù)。在端信息跳變技術(shù)中，跳變系統(tǒng)不斷改變網(wǎng)絡(luò)服務(wù)的網(wǎng)絡(luò)信息（如IP地址、端口、協(xié)議和服務(wù)程序等），使攻擊者無(wú)法確定攻擊目標(biāo)，從而達(dá)到保護(hù)網(wǎng)絡(luò)服務(wù)的目的。同步技術(shù)是端信息跳變技術(shù)的核心技術(shù)之一[6]，決定著跳變系統(tǒng)的抗攻擊性能和受保護(hù)目標(biāo)系統(tǒng)的服務(wù)性能。

在無(wú)線跳頻通信中[7,8]，將時(shí)間劃分為等長(zhǎng)的時(shí)間片并為每個(gè)時(shí)間片分配一個(gè)固定的頻率，形成一張時(shí)間與頻率之間的映射表。其中，由于無(wú)線通信的傳輸延遲很?。ń咏诹悖苌俪霈F(xiàn)同步失敗的情況。然而，在存在大量網(wǎng)絡(luò)擁塞和延遲的Internet網(wǎng)絡(luò)中，基于嚴(yán)格時(shí)間分片的高耦合度同步技術(shù)難以適用于端信息跳變技術(shù)。

在無(wú)線傳感器網(wǎng)絡(luò)通信[9,10]中，各個(gè)傳感器節(jié)點(diǎn)往往需要基于時(shí)間邏輯順序的協(xié)同工作，節(jié)點(diǎn)需要周期性地進(jìn)行時(shí)鐘同步以校正節(jié)點(diǎn)的時(shí)間。傳感器網(wǎng)絡(luò)一般處于小型局域網(wǎng)環(huán)境中，節(jié)點(diǎn)間的傳輸延遲較小且平穩(wěn)，可以利用NTP或者PTP時(shí)鐘同步協(xié)議達(dá)到高精度的時(shí)鐘同步。然而，在 Internet網(wǎng)絡(luò)中，NTP/PTP時(shí)鐘同步協(xié)議難以達(dá)到局域網(wǎng)環(huán)境的同步精度，因此簡(jiǎn)單的基于NTP/PTP時(shí)鐘同步協(xié)議的同步技術(shù)也難以適用于端信息跳變技術(shù)。

在 Gal等[11]提出的跳端口技術(shù)中，Ack-based同步技術(shù)利用已經(jīng)成功發(fā)送的數(shù)據(jù)分組的數(shù)目和共享的私鑰計(jì)算得出本次通信所采用的端口。這種同步技術(shù)不需要時(shí)間上的嚴(yán)格耦合，而依賴于已成功傳輸?shù)臄?shù)據(jù)分組的數(shù)目，解決了網(wǎng)絡(luò)擁塞和延遲等問(wèn)題。但其仍存在許多不足之處，主要包括：對(duì)“一對(duì)多”的通信方式支持不足，需要維護(hù)大量的同步消息；跳變的參數(shù)僅包含端口，如果攻擊者能夠過(guò)載通信一方的上級(jí)路由節(jié)點(diǎn)，依然能夠成功實(shí)現(xiàn)攻擊；僅適用于類似于 UDP協(xié)議的無(wú)連接數(shù)據(jù)通信模式；需要修改上下層網(wǎng)絡(luò)協(xié)議，兼容性難以保證。

在端信息跳變技術(shù)中，石樂(lè)義等[5]提出了時(shí)間戳同步技術(shù)，利用時(shí)間戳計(jì)算出端信息，并提供一個(gè)統(tǒng)一的時(shí)間戳服務(wù)器負(fù)責(zé)分發(fā)時(shí)間戳。然而，這種集中式的時(shí)間戳分發(fā)機(jī)制存在很大安全風(fēng)險(xiǎn)，一旦攻擊者成功入侵時(shí)間戳服務(wù)器，攻擊者將會(huì)很容易瓦解跳變系統(tǒng)。

為此，文獻(xiàn)[12]提出了分布式時(shí)間戳同步（DTS,distributed timestamp synchronization）技術(shù)，在時(shí)間戳同步技術(shù)的基礎(chǔ)之上，將時(shí)間戳分發(fā)的過(guò)程分布式地部署在 Internet網(wǎng)絡(luò)上。這不但能夠解決網(wǎng)絡(luò)擁塞和延遲等問(wèn)題，也使得跳變技術(shù)的安全性能擺脫了時(shí)間戳服務(wù)器的約束。然而，即使在沒有受到網(wǎng)絡(luò)攻擊的情況下，DTS仍存在一定程度的同步失為最大時(shí)間漂移，Δ為最大傳輸延遲[12]。Φ和Δ受計(jì)算機(jī)系統(tǒng)和所處網(wǎng)絡(luò)環(huán)境的影響，因此降低同步失敗率的方法只有增加δ，但這也意味著安全性能的下降。

本文分析了DTS的缺陷并對(duì)其做出了改進(jìn)，提出了DTS的改進(jìn)方案IDTS，分析了IDTS的有效性和安全性，并通過(guò)真實(shí)的網(wǎng)絡(luò)環(huán)境下的攻防實(shí)驗(yàn)驗(yàn)證了分析結(jié)論的正確性。

2 跳變系統(tǒng)的建模與IDTS方案

2.1 幾個(gè)重要的概念

最大傳輸延遲Δ：數(shù)據(jù)分組的最長(zhǎng)傳輸時(shí)間。無(wú)論 2個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)相隔多遠(yuǎn)（路由跳數(shù)），數(shù)據(jù)分組的傳輸延遲應(yīng)小于或等于最大傳輸延遲，否則認(rèn)為傳輸失敗。

時(shí)間戳：計(jì)算機(jī)系統(tǒng)的本地時(shí)間；實(shí)際時(shí)間：指現(xiàn)實(shí)世界的時(shí)間，而不是鐘表儀器上顯示的刻度；最大時(shí)間漂移Φ：節(jié)點(diǎn)的時(shí)間戳與實(shí)際時(shí)間的最大偏差。計(jì)算機(jī)系統(tǒng)的時(shí)間戳tloc和實(shí)際時(shí)間trealtloc(t)是指計(jì)算機(jī)在任意實(shí)際時(shí)間treal=t的時(shí)間戳。

端信息ε：網(wǎng)絡(luò)服務(wù)的信息或參數(shù)，一般包括 IP地址和端口，即ε = (IP, Port)。數(shù)據(jù)分組有目的端信t根據(jù)計(jì)算機(jī)的時(shí)間戳計(jì)算而得到的端信息。

端信息的狀態(tài)空間E：跳變系統(tǒng)中所有可用端信息的集合。端信息的狀態(tài)空間與跳變系統(tǒng)所配置的軟硬件有關(guān)，若跳變系統(tǒng)有 IP地址集合 A ={IP1,…, IPn}和端口集合Ψ = {Port1,…, Portψ}，則端信息的狀態(tài)空間E=A×Ψ = {(IPi, Portj) | 1≤i≤n,1≤j≤ψ}。

跳變事件：指跳變系統(tǒng)更新端信息。

跳變時(shí)隙δ：2個(gè)相鄰跳變事件之間的時(shí)間且滿足δ ＞2Φ+Δ，因?yàn)槿绻摹?Φ+Δ，那么數(shù)據(jù)分組的傳輸時(shí)間總會(huì)橫跨一個(gè)或多個(gè)跳變時(shí)隙，本文不考慮跨多個(gè)時(shí)隙的情況。

最大服務(wù)性能 I：在一個(gè)跳變時(shí)隙之內(nèi)，單個(gè)端信息能夠響應(yīng)的最大數(shù)據(jù)流量（文中為了簡(jiǎn)化模型，將服務(wù)性能簡(jiǎn)單地等價(jià)于數(shù)據(jù)流量）。如果某個(gè)端信息接收到的數(shù)據(jù)流量R≤I，則所有的服務(wù)請(qǐng)求流量都能夠得到端信息的服務(wù)響應(yīng)，服務(wù)率為 1（100%）；如果R＞I，那么只有數(shù)據(jù)流量R的一部分能夠得到端信息的服務(wù)響應(yīng)，服務(wù)率為I/R。

服務(wù)率μ：客戶端數(shù)據(jù)分組得到響應(yīng)的概率。對(duì)于本文中的網(wǎng)絡(luò)服務(wù)，有2點(diǎn)假設(shè)：第一，服務(wù)不存在崩潰型拒絕服務(wù)漏洞（指只要少量的攻擊流量就會(huì)造成服務(wù)崩潰）；第二，服務(wù)是無(wú)損的（只要服務(wù)請(qǐng)求流量不超過(guò)I，則μ為1）。

最大攻擊強(qiáng)度C：在一個(gè)跳變時(shí)隙之內(nèi)，攻擊者所能產(chǎn)生的最大攻擊流量。

期望攻擊強(qiáng)度US：在攻擊策略S(C)下，單個(gè)端信息所受到攻擊流量的期望值。

2.2 改進(jìn)方案IDTS

DTS同步技術(shù)是在時(shí)間戳同步技術(shù)基礎(chǔ)之上提出的，利用分布式的時(shí)間戳服務(wù)器分發(fā)時(shí)間戳，解決在集中時(shí)間戳服務(wù)模式中的安全瓶頸。在Internet上部署多個(gè)獨(dú)立的時(shí)間戳服務(wù)器，其中每個(gè)服務(wù)器能夠獨(dú)立提供時(shí)間戳分發(fā)服務(wù)。跳變系統(tǒng)和客戶端分別維護(hù)自己的時(shí)間戳服務(wù)器列表，并周期性地從列表中選擇一個(gè)或多個(gè)服務(wù)器來(lái)更新本地時(shí)間戳。

DTS將時(shí)間分割成等長(zhǎng)的時(shí)間片（即跳變時(shí)隙）并編號(hào)，所有屬于同一時(shí)間片的時(shí)間戳都可以利用單向散列函數(shù)(PRF)映射到同一個(gè)端信息，ε(tloc)= PRF(slot(tloc), key)，其中，slot(tloc) = ■tloc/δ■，key為跳變系統(tǒng)和客戶端共享的密鑰。在任意實(shí)際時(shí)間t，客戶端根據(jù)其時(shí)間戳tc(t)計(jì)算出數(shù)據(jù)分組的目的端信息ε(tc(t))，跳變系統(tǒng)也根據(jù)其時(shí)間戳 ts(t)計(jì)算出服務(wù)端信息ε(ts(t))。當(dāng)數(shù)據(jù)分組到達(dá)跳變系統(tǒng)時(shí)，只要滿足ε(tc(t)) = ε(ts(t)), 則認(rèn)為同步成功。然而，由于存在時(shí)間漂移和傳輸延遲，而且跳變系統(tǒng)和客戶端分別與不同的時(shí)間戳服務(wù)器進(jìn)行同步，因此，一般情況tc(t) ≠ ts(t)。為了使同一時(shí)間片內(nèi)的不同時(shí)間戳能夠映射到同一端信息，即對(duì)于?tc(t),ts(t)∈ [mδ, (m+1)δ)) → ε(tc(t)) = ε(ts(t)) = ε(mδ)，對(duì)時(shí)間戳 tloc進(jìn)行時(shí)隙處理 slot(tloc)，將 tloc映射為對(duì)應(yīng)的跳變時(shí)隙編號(hào)[12]。

然而，DTS存在一定程度的同步失敗。例如，令t0和t1分別為客戶端發(fā)出數(shù)據(jù)分組和跳變系統(tǒng)接收數(shù)據(jù)分組的實(shí)際時(shí)間，如果 tc(t0) ∈ [mδ, (m+1)δ))，而 ts(t1) ∈ [(m-1)δ, mδ))或 ts(t1) ∈ [(m+1)δ, (m+2)δ))，則 slot(tc(t0)) ≠ slot(ts(t1))，即ε(tc(t0)) ≠ ε(ts(t1))，所以同步失敗。

為此，本文提出了 DTS技術(shù)的改進(jìn)方案（IDTS）：依據(jù)跳變時(shí)隙的時(shí)間順序，在原基礎(chǔ)之上，額外開啟一個(gè)前置端信息εprev和一個(gè)后置端信息εnext。例如，跳變系統(tǒng)的當(dāng)前時(shí)間戳對(duì)應(yīng)著跳變時(shí)隙i，則額外開啟第i-1和i+1個(gè)跳變時(shí)隙所對(duì)應(yīng)啟的端信息集合。

在IDTS中，跳變系統(tǒng)與客戶端的通信協(xié)議如圖1所示，分別包括跳變系統(tǒng)和客戶端。只要密鑰key是安全的，則基于IDTS的通信就是安全的。跳變系統(tǒng)和所有的客戶端都共享著一個(gè)同步密鑰key。

圖1 IDTS同步協(xié)議

3 IDTS的分析

3.1 服務(wù)性能分析

令ts(t)為跳變系統(tǒng)的時(shí)間戳，tc(t)為客戶端的時(shí)間戳，則0≤|ts(t)-t|≤Φ，0≤|tc(t)-t|≤Φ。因此，ts(t)和tc(t)可能存在以下2種情況。

情況 1 ts(t) ＜ tc(t)。即存在θ，使 ts(t)= tc(t)-θ ，0＜θ＜2Φ。數(shù)據(jù)分組傳輸過(guò)程如圖 2所示，其中 2條帶箭頭的粗線分別代表客戶端和跳變系統(tǒng)的本地時(shí)間軸，帶編號(hào)的有向線指出了在一個(gè)跳變時(shí)隙δ之內(nèi)數(shù)據(jù)分組發(fā)收狀態(tài)，m為任意大于0的整數(shù)。

圖2 ts(t) = tc(t)-θ時(shí)，數(shù)據(jù)分組傳輸狀態(tài)

在跳變時(shí)隙之初（如圖 2中①所示），令 t0為數(shù)據(jù)分組發(fā)出的實(shí)際時(shí)間且tc(t0) = mδ，則目的端信息為εdest(tc(t0)) = ε(mδ)。在實(shí)際時(shí)間 t0+Δ，數(shù)據(jù)分組達(dá)到跳變系統(tǒng)，此時(shí)ts(t0+Δ) = tc(t0+Δ)-θ =mδ+Δ-θ。由δ ＞ 2Φ+Δ，可得Δ-θ ∈ (Δ-2Φ, Δ) ?(-δ, δ)，若Δ-θ ∈ (-δ, 0)（如圖 2(a)中①所示），則 ts(t0+Δ) ∈ [(m-1)δ, mδ)，于是 E* = {ε((m-2)δ),ε((m-1)δ), ε(mδ)}，εdest(tc(t0)) ∈ E*；若Δ-θ ∈ [0, δ)（如圖 2(b)中①），則 ts(t0+Δ) ∈ [mδ, (m+1)δ)，于是 E* = {ε((m-1)δ), ε(mδ), ε((m+1)δ)}，εdest(tc(t0))∈ E*。

在跳變時(shí)隙之末（如圖2中②所示），令t0為數(shù)據(jù)分組發(fā)出的實(shí)際時(shí)間且 tc(t0) = (m+1)δ-ξ，0＜ξ＜δ-Δ-2Φ， 則 目 的 端 信 息 為 εdest(tc(t0)) =εdest((m+1)δ - ξ) = ε(mδ)。在實(shí)際時(shí)間 t0+Δ，數(shù)據(jù)分組達(dá)到跳變系統(tǒng)，此時(shí) ts(t0+Δ) = tc(t0+Δ)-θ = (m+1)δ+Δ-θ-ξ。由δ ＞ 2Φ+Δ，可得Δ-θ-ξ ∈ (2Δ-δ, Δ) ? (-δ,δ)，若Δ-ξ-θ ∈ (-δ, 0)（如圖 2(a)中②），則 ts(t0+Δ)∈ [mδ, (m+1)δ)，于是 E* = {ε((m-1)δ), ε(mδ),ε((m+1)δ)}，εdest(tc(t0)) ∈ E*；若Δ-ξ-θ ∈ [0, δ)（如圖 2(b)中②所示），則 ts(t0+Δ) ∈ [(m+1)δ, (m+2)δ)，于是 E* = {ε(mδ), ε((m+1)δ), ε((m+2)δ) }，εdest(tc(t0))∈ E*。

情況2 ts(t)≥tc(t)。存在θ，使在t時(shí)刻，ts(t) =tc(t)+θ，0＜θ＜2Φ，傳輸過(guò)程如圖3所示。

在跳變時(shí)隙之初（如圖3中①所示），令t0為客戶端發(fā)出數(shù)據(jù)分組的實(shí)際時(shí)間且tc(t0) = mδ，則目的端信息為εdest(tc(t0)) = ε(mδ)。在實(shí)際時(shí)間 t0+Δ，數(shù)據(jù)分組達(dá)到跳變系統(tǒng)，此時(shí)ts(t0+Δ) = tc(t0)+θ =mδ+Δ+θ，Δ+θ ∈ [0, δ)，因此 ts(t0+Δ) ∈ [mδ, (m+1)δ)，于是 E* = {ε((m-1)δ), ε(mδ), ε((m+1)δ)}，εdest(tc(t0))∈ E*。

圖3 ts(t) = tc(t)+θ 時(shí)，數(shù)據(jù)分組傳輸狀態(tài)

在跳變階段之末（如圖 3中②所示），令t0為數(shù)據(jù)分組發(fā)出的實(shí)際時(shí)間且 tc(t0) = (m+1)δ-ξ，0＜ξ＜δ-Δ-2Φ，則目的端信息為εdest(tc(t0)) = ε((m+1)δ- ξ) = ε (mδ)。在實(shí)際時(shí)間 t0+Δ，數(shù)據(jù)分組達(dá)到跳變系統(tǒng)，此時(shí) ts(t0+Δ) = tc(t0)+θ= (m+1)δ +Δ+θ-ξ。由δ＞ 2Φ+Δ，可得Δ+θ-ξ ∈ (2Φ+2Δ-δ, Δ+2Φ) ? (-δ,δ)。此時(shí)，若Δ+θ-ξ ∈ (-δ, 0) （如圖 3(a)中②所示），則 ts(t0+Δ) ∈ [mδ, (m + 1)δ)，于是 E* = {ε((m-1)δ),ε(mδ), ε((m+1)δ)}，εdest(tc(t0)) ∈ E*；若Δ+θ-ξ ∈ [0, δ)（如圖 3(b) 所示中②所示），則 ts(t0+Δ) ∈ [(m+1)δ,(m+2)δ)，于是 E* = {ε(mδ), ε((m+1)δ), ε((m+2)δ)}，εdest(tc(t0)) ∈ E*。

3.2 安全性能分析

攻擊者有2種可供選擇的攻擊方式：盲攻擊和竊聽攻擊[11]。

1) 盲攻擊

在盲攻擊中，攻擊者無(wú)法得知通信所采用的端信息，于是采用隨機(jī)選取的盲攻擊方式。攻擊者隨機(jī)選取一個(gè)或多個(gè)端信息進(jìn)行攻擊，即從E中隨機(jī)地選擇l（l＞0）個(gè)端信息作為攻擊目標(biāo)，則任一端信息被選中的概率Pg= l/|E|，每個(gè)端信息受到的攻擊流量c = C/l。因此單個(gè)端信息所受到的期望攻擊強(qiáng)度US=cPg= C/|E|。因此，在受到盲攻擊時(shí)，服務(wù)率μ滿足如下公式：

其中，q為客戶端流量，I為單個(gè)端信息的最大服務(wù)性能，C為攻擊者的最大攻擊強(qiáng)度。

在盲攻擊中，當(dāng)q和I固定不變時(shí)，服務(wù)率由C/|E|決定，而|E| = |A||Ψ|。

2) 竊聽攻擊

竊聽攻擊指的是攻擊者利用嗅探技術(shù)捕獲客戶端與跳變系統(tǒng)的通信數(shù)據(jù)分組，并對(duì)數(shù)據(jù)分組進(jìn)行分析處理，進(jìn)而獲取跳變系統(tǒng)所開啟的端信息。

由于網(wǎng)絡(luò)傳輸時(shí)間都為Δ，在數(shù)據(jù)分組到達(dá)跳變系統(tǒng)時(shí)，也同時(shí)被攻擊者截獲。假設(shè)攻擊者需要花費(fèi)時(shí)間γ來(lái)進(jìn)行攻擊準(zhǔn)備（稱γ為攻擊者的攻擊耗時(shí)）。為了簡(jiǎn)化攻擊耗時(shí)與服務(wù)率之間關(guān)系的分析過(guò)程，考慮特殊情況：ts(t) = tc(t)-θ，θ＞0且Δ = θ，如圖4所示，客戶端與跳變系統(tǒng)完全同步。

圖4 竊聽攻擊的時(shí)間軸狀態(tài)

如圖4中所描繪的情況，令t0為客戶端數(shù)據(jù)分組發(fā)出的實(shí)際時(shí)間且tc(t0) = mδ，則目的端信息為數(shù)據(jù)分組，經(jīng)過(guò)時(shí)間γ的分析處理后發(fā)出攻擊數(shù)據(jù)分組到端信息ε(mδ)。最后，在實(shí)際時(shí)間 t0+2Δ+γ，攻擊數(shù)據(jù)分組到達(dá)跳變系統(tǒng)。

若γ ∈ [δ-Δ, ∞)（如圖 4(a)所示），假設(shè)存在正整數(shù) n，使γ ∈ [nδ-Δ, (n+1)δ-Δ)，則 ts(t0+2Δ+γ) =tc(t0+2Δ+γ)-θ = mδ+γ+Δ ∈ [(m+n)δ, (m+n+1)δ)。這意味著當(dāng)攻擊數(shù)據(jù)分組達(dá)到跳變系統(tǒng)時(shí)，客戶端利用ε((m+n)δ)進(jìn)行通信，因此，發(fā)向ε(mδ)的攻擊數(shù)據(jù)分組無(wú)法影響客戶端的數(shù)據(jù)分組，服務(wù)率為1。

若γ ∈ [0, δ-Δ)（如圖 4(b)所示），則 ts(t0+2Δ+γ)= mδ+γ+Δ ∈ [mδ+Δ , (m+1)δ)。如果客戶端數(shù)據(jù)分組在?ts(t) ∈ [mδ, mδ +γ+Δ)內(nèi)到達(dá)跳變系統(tǒng)，不會(huì)受到攻擊數(shù)據(jù)分組的影響，服務(wù)率為μ1=1；如果客戶端數(shù)據(jù)分組在?ts(t) ∈ [mδ+γ+Δ, (m+1)δ)到達(dá)跳變系統(tǒng)，則只有部分?jǐn)?shù)據(jù)分組能夠得到跳變系統(tǒng)的響應(yīng)。假設(shè)攻擊數(shù)據(jù)分組和客戶端數(shù)據(jù)分組以均勻速率達(dá)到跳變系統(tǒng)，則期望攻擊強(qiáng)度 US為 C(δ-γ-Δ)/δ，客戶端流量 qc為 q(δ-γ-Δ)/δ，服務(wù)率μ2=I/(qc+US) = Iδ/((δ-γ-Δ)(q+C))。因此，綜合服務(wù)率為

因此，在竊聽攻擊中，服務(wù)率由跳變時(shí)隙和攻擊耗時(shí)共同決定，攻擊耗時(shí)越高，服務(wù)率越高。

4 攻防實(shí)驗(yàn)

在局域網(wǎng)環(huán)境下，分別搭建了基于DTS技術(shù)和IDTS技術(shù)的端信息跳變系統(tǒng)。跳變系統(tǒng)和客戶端的系統(tǒng)為Arch-Linux（內(nèi)核版本2.6.32，雙核處理器：2.66GHz，內(nèi)存：1GB），跳變系統(tǒng)的IP地址集合為{12.12.12.30, 12.12.12.31}，端口集合為{2 000,2 001,…, 3 000}，最大服務(wù)性能I為200kbit/s，客戶端流量 q為 30kbit/s，攻擊者的最大攻擊強(qiáng)度 C為1 000kbit/s，最大時(shí)間漂移Φ為40ms，數(shù)據(jù)分組的最大傳送延遲Δ為2ms。

4.1 盲攻擊實(shí)驗(yàn)

在盲攻擊實(shí)驗(yàn)中，采用3種跳變時(shí)隙（200ms、500ms和1 000ms），對(duì)跳變系統(tǒng)進(jìn)行了3組實(shí)驗(yàn)，每組實(shí)驗(yàn)分別包含500, 1 000, … , 5 500個(gè)服務(wù)請(qǐng)求。實(shí)驗(yàn)結(jié)果如圖5所示。

由實(shí)驗(yàn)結(jié)果可得，IDTS的服務(wù)率接近1，而且不受跳變時(shí)隙長(zhǎng)短的影響。然而，DTS技術(shù)由于受時(shí)間漂移和傳輸延遲的影響，服務(wù)率不足1，且依賴于跳變時(shí)隙的長(zhǎng)短：跳變時(shí)隙越短，服務(wù)率越低。

4.2 竊聽攻擊實(shí)驗(yàn)

在竊聽攻擊實(shí)驗(yàn)中，對(duì)跳變系統(tǒng)（采用了3個(gè)不同跳變時(shí)隙200ms、500ms和1 000ms）進(jìn)行請(qǐng)求實(shí)驗(yàn)，攻擊者發(fā)送攻擊數(shù)據(jù)分組給所截獲的端信息，客戶端發(fā)送請(qǐng)求數(shù)據(jù)分組，分別測(cè)試了不同攻擊耗時(shí)情況下的服務(wù)率，結(jié)果如圖6所示。

由實(shí)驗(yàn)結(jié)果可以得出以下結(jié)論。

1) 攻擊耗時(shí)越短，跳變系統(tǒng)的服務(wù)率越低，攻擊效果越好。

2) 當(dāng)攻擊耗時(shí)下降為 0ms時(shí)，DTS同步技術(shù)的服務(wù)率μ下降為0，而IDTS同步技術(shù)仍能夠保證一定程度服務(wù)率μ，其原因是因?yàn)榭蛻舳伺c跳變系統(tǒng)之間的存在時(shí)間漂移，使得客戶端數(shù)據(jù)分組發(fā)送到了前置端信息，而攻擊者僅僅攻擊當(dāng)前端信息。

3) IDTS技術(shù)減輕了跳變系統(tǒng)對(duì)跳變時(shí)隙的依賴程度。DTS技術(shù)過(guò)度依賴于跳變時(shí)隙的長(zhǎng)短：隨著跳變時(shí)隙的變長(zhǎng)，服務(wù)率也增高。但是，隨著時(shí)隙的變長(zhǎng)，安全性能也隨之下降。

圖5 盲攻擊實(shí)驗(yàn)

圖6 竊聽攻擊實(shí)驗(yàn)

5 結(jié)束語(yǔ)

本文對(duì)端信息跳變系統(tǒng)進(jìn)行了建模，在此基礎(chǔ)上，分析了分布式時(shí)間戳同步技術(shù)的通信過(guò)程，并闡述了同步失敗的原因。進(jìn)而給出了分布式時(shí)間戳同步技術(shù)的改進(jìn)方案，并對(duì)IDTS分別進(jìn)行了服務(wù)性能和安全性能2個(gè)方面的分析。在服務(wù)性能分析中，分別從 ts(t) ＜ tc(t)和 ts(t)≥tc(t)2種情況分析了IDTS在服務(wù)過(guò)程中的同步情況。在安全性能分析中，從攻擊者的角度，分別對(duì)盲攻擊和竊聽攻擊的攻擊效果進(jìn)行推理分析。結(jié)果表明IDTS擁有更好的服務(wù)性能和安全性能。

最后，在真實(shí)的網(wǎng)絡(luò)環(huán)境中對(duì)比了 DTS和IDTS的攻防服務(wù)過(guò)程。實(shí)驗(yàn)結(jié)果表明IDTS擁有較高的實(shí)踐價(jià)值。

[1] 楊雅輝, 姜電波, 沈晴霓等. 基于改進(jìn)的 GHSOM 的入侵檢測(cè)研究[J].通信學(xué)報(bào), 2011, 32(1): 121-126.YANG Y H, JIANG D B, SHEN Q N, et al. Research on intrusion detection based on an improved GHSOM[J]. Journal on Communications,2011, 32(1): 121-126.

[2] 鐘婷, 劉勇, 李志軍等. 基于網(wǎng)絡(luò)處理器的 IPv4/IPv6綜合防火墻體系結(jié)構(gòu)研究[J]. 通信學(xué)報(bào), 2006, 27(2):142-146.ZHONG T, LIU Y, LI Z J, et al. Research of a comprehensive IPv4/IPv6 firewall system based on network processor[J]. Journal on Communications, 2006, 27(2): 142-146.

[3] PING W, LEI W, RYAN C. Honeypot detection in advanced botnet attacks[J]. International Journal of Information and Computer Security,2010, 4(1): 30-51.

[4] LEE K, CAVERLEE J, WEBB S. The social honeypot project: protecting online communities from spammers[A]. Proceedings of The 19th International Conference on World Wide Web[C]. Piscataway, NY,USA: IEEE, 2010. 1139-1140.

[5] 石樂(lè)義, 賈春福, 呂述望. 基于端信息跳變的主動(dòng)網(wǎng)絡(luò)防護(hù)研究[J].通信學(xué)報(bào), 2008, 29(2): 106-110.SHI L Y, JIA C F, LV S W. Research on end hopping for active network confrontation[J]. Journal on Communications, 2008, 29(2): 106-110.

[6] 石樂(lè)義, 賈春福, 呂述望. 服務(wù)跳變抗 DoS 機(jī)制的博弈理論分析[J].電子與信息學(xué)報(bào), 2009, 31(1): 228-232.SHI L Y, JIA C F, LV S W. A game theoretic analysis of service hopping mechanism for DoS defense[J]. Journal of Electronics & Information Technology, 2009, 31(1): 228-232.

[7] FUJI R, FUJIWARA Y, JIMBO M, et al. Sets of frequency hopping sequences: bounds and optimal constructions[J]. IEEE Transactions on Information Theory, 2009, 55(7): 3297-3304.

[8] JIAN Z, XIN Y W, XIAO G N. Performance analysis of frequency hopping communication system synchronization[EB/OL]. http://www.Scientific.net/AMR.403-408.59.

[9] PHILIPP S, ROGER W. Gradient clock synchronization in wireless sensor networks[A]. Proceedings of the 2009 International Conference on Information Processing in Sensor Networks[C]. San Francisco,USA. Piscataway, NJ, USA, 2009. 37-48.

[10] ARUN K T, AJAY A, YASHPAL S. An approach towards secure and multihop time synchronization in wireless sensor network[J]. Communications in Computer and Information Science, 2010, 101(2): 297-302.

[11] GAL B, HERZBERG A, KEIDAR L. Keeping denial-of-service attackers in the dark[J]. IEEE Transactions on Dependable and Secure Computing, 2007, 4(3): 191-204.

[12] LIN K, JIA C F, WENG C. Distributed timestamp synchronization for end hopping[J]. China Communications, 2011, 8(4): 164-169.