基于端信息自適應(yīng)跳變的主動(dòng)網(wǎng)絡(luò)防御模型

劉 江 張紅旗 代向東 王義功

?

基于端信息自適應(yīng)跳變的主動(dòng)網(wǎng)絡(luò)防御模型

劉 江*張紅旗 代向東 王義功

(解放軍信息工程大學(xué) 鄭州 450001)(河南省信息安全重點(diǎn)實(shí)驗(yàn)室 鄭州 450001)

端信息跳變是目前主動(dòng)網(wǎng)絡(luò)防御領(lǐng)域的研究熱點(diǎn)之一。該文構(gòu)建了固定策略下的定時(shí)隙端信息跳變模型，分析了固定跳變周期引起的防御收益下降和跳變邊界數(shù)據(jù)包丟失造成的服務(wù)損失問題。提出了基于非廣延熵和Sibson熵融合的實(shí)時(shí)網(wǎng)絡(luò)異常度量算法，在此基礎(chǔ)上設(shè)計(jì)了端信息跳變周期和跳變空間自調(diào)整策略，構(gòu)建了主動(dòng)網(wǎng)絡(luò)防御模型，提高了防御收益。給出了基于網(wǎng)絡(luò)時(shí)延預(yù)測的跳變周期拉伸策略，保證了跳變邊界的服務(wù)質(zhì)量。理論分析與仿真實(shí)驗(yàn)結(jié)果表明了所提模型在網(wǎng)絡(luò)防御中的有效性和良好的服務(wù)性。

主動(dòng)網(wǎng)絡(luò)防御；端信息跳變；自適應(yīng)調(diào)整

1 引言

確定性、相似性、靜態(tài)性是現(xiàn)有網(wǎng)絡(luò)信息系統(tǒng)的致命安全缺陷[1]，也是網(wǎng)絡(luò)攻防雙方長期處于不對稱地位的重要原因。近年來，動(dòng)態(tài)目標(biāo)防御MTD (Moving Target Defense)作為一種新的主動(dòng)網(wǎng)絡(luò)防御技術(shù)備受關(guān)注，其核心思想是通過構(gòu)建動(dòng)態(tài)、異構(gòu)、不確定的信息系統(tǒng)，增強(qiáng)其多樣性、隨機(jī)性和不可預(yù)測性，增加攻擊者的攻擊難度及代價(jià)、有效限制脆弱性暴露及被攻擊的機(jī)會(huì)。端信息跳變作為動(dòng)態(tài)目標(biāo)防御在網(wǎng)絡(luò)層實(shí)施的關(guān)鍵技術(shù)之一，指通信雙方或者多方偽隨機(jī)地改變地址、端口、協(xié)議等端信息，在保證服務(wù)質(zhì)量的前提下，提升自身防御能力的一種主動(dòng)網(wǎng)絡(luò)防護(hù)技術(shù)。

合理的跳變策略和有效的同步機(jī)制是端信息跳變的兩個(gè)關(guān)鍵技術(shù)。國外研究中，文獻(xiàn)[5]采用偽隨機(jī)函數(shù)生成服務(wù)端口并在跳變邊界重疊開放，防止數(shù)據(jù)丟失。文獻(xiàn)[6]將虛假隨機(jī)地址和端口填充到數(shù)據(jù)報(bào)文重定向數(shù)據(jù)流，并指出攻擊者使用“過期”端信息將增加被檢測的可能性。文獻(xiàn)[7]在通信過程中提供多條路由路徑，提高對等節(jié)點(diǎn)數(shù)據(jù)傳輸?shù)陌踩?。文獻(xiàn)[8]提出透明地址跳變TAO(Transparent Address Obfuscation)，轉(zhuǎn)換數(shù)據(jù)流包頭地址并維持地址轉(zhuǎn)換表的新鮮度，阻止服務(wù)周期之外的連接請求。文獻(xiàn)[9]提出隨機(jī)端口跳變機(jī)制RPH(Random Port Hopping)，利用ACK確認(rèn)報(bào)文保持同步，根據(jù)共享密鑰和已成功發(fā)送數(shù)據(jù)分組數(shù)目計(jì)算下一跳端口信息。文獻(xiàn)[10]提出面向IPv6的動(dòng)態(tài)目標(biāo)防御架構(gòu)MT6D(Moving Target IPv6 Defense)，但網(wǎng)絡(luò)延遲導(dǎo)致跳變周期之外的數(shù)據(jù)包被丟棄，影響正常通信。文獻(xiàn)[11]基于離散時(shí)間馬爾科夫鏈構(gòu)建一種可靠性更高的RPH模型，改善了現(xiàn)有協(xié)議的通信成功率。文獻(xiàn)[12]通過動(dòng)態(tài)轉(zhuǎn)換數(shù)據(jù)傳輸加密協(xié)議，獲得比單一固定加密協(xié)議更高的安全性和更好的擴(kuò)展性。文獻(xiàn)[13]提出HOPERAA算法解決線性時(shí)鐘漂移對同步的影響，實(shí)現(xiàn)了不需要第3方參與的多客戶端同步機(jī)制。國內(nèi)研究中，文獻(xiàn)[14]分析了端信息跳變防護(hù)模型及其抗攻擊性能，提出輕量級(jí)UDP服務(wù)時(shí)間戳同步方法。文獻(xiàn)[15]指出跳變系統(tǒng)同步成功率直接受跳變時(shí)隙長短控制，額外開放前后兩個(gè)跳變時(shí)隙對應(yīng)的端信息接收同步失敗的數(shù)據(jù)包，大幅提高了同步成功概率。

綜上，端信息跳變策略包括跳變圖案和偽隨機(jī)函數(shù)兩種方式。跳變圖案[7,8]是通信雙方通過初始數(shù)據(jù)交換，協(xié)商跳變序列和周期，嚴(yán)格按照既定策略實(shí)施跳變通信。跳變圖案的安全交換和更新是該方式的一大難點(diǎn)。偽隨機(jī)函數(shù)通過哈希函數(shù)生成端信息，其一般形式為,為偽隨機(jī)函數(shù)，為時(shí)間戳，為共享密鑰，和分別為當(dāng)前和下一跳變周期端信息。偽隨機(jī)函數(shù)法安全性較高，但擴(kuò)展性不好，存在端信息碰撞的可能性。另外，端信息跳變策略動(dòng)態(tài)調(diào)整需要壓縮或放大可用端信息狀態(tài)空間，偽隨機(jī)函數(shù)方式顯然無法滿足這一需求。

同步機(jī)制研究中，不需要嚴(yán)格時(shí)間耦合的ACK應(yīng)答同步[9]克服了網(wǎng)絡(luò)延遲，但ACK報(bào)文易被截獲和篡改，而且一旦丟失將迫使通信雙方在很長一段時(shí)間使用相同端信息，帶來較大安全威脅。時(shí)間戳同步技術(shù)[14,15]認(rèn)為接收數(shù)據(jù)消息與時(shí)間戳初始化的時(shí)間差小于跳變時(shí)隙即同步成功，但大量的同步請求集中于一臺(tái)時(shí)間戳服務(wù)器成為效率瓶頸，而分布式解決方案又存在服務(wù)器利用率低的問題。時(shí)鐘漂移同步技術(shù)[13]通過調(diào)整通信雙方固有時(shí)鐘頻率偏差引起的時(shí)間漂移達(dá)到同步，卻存在遭受DoS攻擊的隱患。高耦合度的嚴(yán)格時(shí)間同步[5]要求通信雙方保持嚴(yán)格時(shí)間同步，但跳變系統(tǒng)不可避免地存在網(wǎng)絡(luò)延遲?；诂F(xiàn)有同步協(xié)議并容忍網(wǎng)絡(luò)延遲對同步的影響是一種解決思路。

基于上述分析，本文首先基于跳變圖案和嚴(yán)格時(shí)間同步機(jī)制構(gòu)建了定時(shí)隙端信息跳變模型并分析了其存在的問題；然后，針對定時(shí)隙端信息跳變模型存在的問題設(shè)計(jì)了端信息自適應(yīng)跳變模型，提出了跳變周期和跳變空間自調(diào)整策略；最后，利用NS2構(gòu)建仿真實(shí)驗(yàn)環(huán)境驗(yàn)證了模型的有效性。

2 定時(shí)隙端信息跳變模型

2.1基本概念

表1跳變圖案結(jié)構(gòu)

跳變域說明 端信息狀態(tài)空間 偽隨機(jī)函數(shù)，生成,, 偽隨機(jī)函數(shù)的初始種子 端信息跳變周期，即每隔時(shí)間更換跳變端信息 跳變圖案生存周期，即每隔時(shí)間更新跳變圖案

2.2跳變協(xié)議

端信息跳變支持單點(diǎn)跳變，也支持通信雙方對等跳變，甚至是多個(gè)通信對象之間的協(xié)同跳變。單點(diǎn)跳變是對等跳變的特例，多點(diǎn)協(xié)同跳變則可通過多個(gè)對等跳變實(shí)現(xiàn)。本節(jié)針對對等跳變設(shè)計(jì)跳變協(xié)議，允許多個(gè)跳變信道上獨(dú)立的傳輸層連接，跳變圖案雙向交換。協(xié)議流程如圖1所示。

圖1 對等跳變協(xié)議流程

(3)客戶端身份認(rèn)證成功后，服務(wù)器切換至端信息跳變模式，向客戶端發(fā)送響應(yīng)報(bào)文，即使用服務(wù)器私鑰對服務(wù)器身份、服務(wù)器端信息跳變圖案和響應(yīng)報(bào)文發(fā)送時(shí)間戳簽名；

2.3 存在問題

定時(shí)隙端信息跳變對于傳統(tǒng)網(wǎng)絡(luò)攻擊具有良好的防御效果[14,15]，但仍存在以下兩個(gè)問題。

(1)固定跳變周期引起的防御收益下降問題。防御收益指防御策略對跳變系統(tǒng)安全性能的提升與部署防御策略的操作成本和引起的服務(wù)損耗之差。服務(wù)損耗[16]包括端信息跳變服務(wù)切換的時(shí)間代價(jià)，以及因收發(fā)雙方不同步數(shù)據(jù)包被丟棄等數(shù)據(jù)損失。跳變周期過長，攻擊者擁有足夠的時(shí)間對目標(biāo)系統(tǒng)進(jìn)行掃描和探測，能夠準(zhǔn)確有效地發(fā)起跟隨攻擊和半盲攻擊；跳變周期過短，高頻率的跳變又會(huì)帶來服務(wù)損耗的增加。

(2)邊界數(shù)據(jù)包丟失引起的服務(wù)質(zhì)量下降問題。定時(shí)隙端信息跳變將時(shí)間軸按照跳變周期劃分為定長時(shí)隙，為不同跳變周期分配不同的端信息。但網(wǎng)絡(luò)不可避免地存在擁塞和延遲，客戶端請求到達(dá)服務(wù)器時(shí)，服務(wù)器的端信息已經(jīng)發(fā)生改變，引起高丟包率，使得客戶端無法正常訪問服務(wù)器，嚴(yán)重影響通信服務(wù)質(zhì)量。

3 端信息自適應(yīng)跳變模型

為簡化闡述，本節(jié)的端信息自適應(yīng)跳變模型僅闡述了部署跳變代理在服務(wù)器端的情形，客戶端僅需等價(jià)的部署跳變代理即可實(shí)現(xiàn)對等跳變。對于2.3節(jié)問題(1)，模型根據(jù)網(wǎng)絡(luò)異常和網(wǎng)絡(luò)延遲動(dòng)態(tài)調(diào)整跳變周期，試圖達(dá)到更好防御收益。對于2.3節(jié)問題(2)，模型設(shè)計(jì)跳變周期拉伸策略，即服務(wù)器端除了維持跳變周期時(shí)間窗口，根據(jù)網(wǎng)絡(luò)延遲延長活動(dòng)端信息開放時(shí)間，用于接收客戶端延遲的訪問請求。

3.1 組成結(jié)構(gòu)

端信息自適應(yīng)跳變模型結(jié)構(gòu)如圖2所示，跳變代理是實(shí)現(xiàn)端信息自適應(yīng)跳變的基礎(chǔ)，控制其他模塊和可用跳變節(jié)點(diǎn)，協(xié)調(diào)客戶端和服務(wù)器間的通信；時(shí)間同步模塊負(fù)責(zé)客戶端和跳變代理之間的時(shí)間同步；異常檢測模塊對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行抽樣檢測，利用異常檢測算法分析網(wǎng)絡(luò)異常；誘騙處理模塊生成虛假報(bào)文，故意迷惑攻擊者，增加攻擊者對截獲報(bào)文進(jìn)行過濾和重組分析的難度；通信轉(zhuǎn)發(fā)模塊在服務(wù)器和客戶端之間實(shí)施數(shù)據(jù)轉(zhuǎn)發(fā)；每個(gè)可用跳變節(jié)點(diǎn)分配一個(gè)端信息，任意時(shí)刻只有處于活動(dòng)期內(nèi)的跳變節(jié)點(diǎn)才能被激活。

3.2 工作過程

端信息自適應(yīng)跳變模型的工作過程包括3個(gè)階段，具體如下：(1)跳變準(zhǔn)備階段：客戶端和服務(wù)器利用跳變協(xié)議交換跳變圖案，根據(jù)時(shí)間同步模塊校準(zhǔn)本地時(shí)鐘，進(jìn)入跳變通信模式。(2)跳變通信階段：跳變代理控制模塊根據(jù)既定跳變圖案激活當(dāng)前周期活動(dòng)節(jié)點(diǎn)；合法客戶端發(fā)送的數(shù)據(jù)通過當(dāng)前活動(dòng)跳變節(jié)點(diǎn)進(jìn)入跳變代理，經(jīng)通信轉(zhuǎn)發(fā)模塊發(fā)送給服務(wù)器；服務(wù)器發(fā)出的數(shù)據(jù)包經(jīng)通信轉(zhuǎn)發(fā)模塊和活動(dòng)跳變節(jié)點(diǎn)返回給客戶端。(3)跳變調(diào)整階段：延遲處理模塊和異常檢測模塊采樣網(wǎng)絡(luò)數(shù)據(jù)流，評(píng)估網(wǎng)絡(luò)異常和延遲，跳變代理控制模塊根據(jù)評(píng)估結(jié)果和自調(diào)整策略動(dòng)態(tài)改變活動(dòng)端信息。評(píng)估方法和自調(diào)整策略將在下節(jié)進(jìn)行詳細(xì)闡述。

圖2 端信息自適應(yīng)跳變模型結(jié)構(gòu)

3.3 跳變周期自調(diào)整策略

3.2.1網(wǎng)絡(luò)異常度量 網(wǎng)絡(luò)異常是跳變周期進(jìn)行自適應(yīng)調(diào)整的基礎(chǔ)性參數(shù)。為方便表述，以地址跳變進(jìn)行討論。

(1)假設(shè)不存在網(wǎng)絡(luò)延遲，攻擊滯后性使得攻擊報(bào)文與當(dāng)前端信息不匹配，認(rèn)為延遲報(bào)文均是攻擊報(bào)文。文獻(xiàn)[16]認(rèn)為邊界同步失敗產(chǎn)生的不同步包流量較小，用非服務(wù)節(jié)點(diǎn)接收的數(shù)據(jù)包估算該節(jié)點(diǎn)接收攻擊包的數(shù)量評(píng)估網(wǎng)絡(luò)異常。但針對跳變系統(tǒng)的攻擊屬于具有攻擊集中性的跟隨攻擊，應(yīng)該考慮數(shù)據(jù)包的分布特征。異常檢測模塊抽樣統(tǒng)計(jì)跳變周期收到的數(shù)據(jù)報(bào)文，計(jì)算剔除映射目的地址的剩余目的地址的統(tǒng)計(jì)概率分布和非廣延熵,是采樣區(qū)間的狀態(tài)空間。為異常度閾值，當(dāng)時(shí)存在網(wǎng)絡(luò)異常。

3.2.2自調(diào)整策略 跳變周期自調(diào)整策略指端信息生存周期隨網(wǎng)絡(luò)異常和延遲自適應(yīng)動(dòng)態(tài)改變，其對定時(shí)隙端信息跳變的改進(jìn)體現(xiàn)在兩個(gè)方面，一是動(dòng)態(tài)調(diào)整，二是延長活動(dòng)端信息跳變周期以外的開放時(shí)間，如圖3所示。

圖3 端信息跳變周期自調(diào)整

3.4跳變空間自調(diào)整策略

跳變空間自調(diào)整策略指通信一方或者雙方按照既定策略擴(kuò)大或壓縮端信息狀態(tài)空間。文獻(xiàn)[16]依據(jù)受攻擊強(qiáng)度對端信息集合進(jìn)行排序，選擇未受攻擊的端信息作為下一跳變階段的可用端信息，可以有效躲避半盲攻擊。但是，該策略將端信息狀態(tài)空間擠壓到相對較小的空間。文獻(xiàn)[15]的作者指出該方法降低了跳變系統(tǒng)的抗攻擊性能，并利用博弈理論證明跳變系統(tǒng)與攻擊者之間存在一個(gè)無空間自適應(yīng)策略的納什均衡。

存在半盲攻擊的情況下，壓縮端信息跳變空間，降低了攻擊者通過監(jiān)聽掌握端信息狀態(tài)空間的難度；反之，攻擊者可利用過去一段時(shí)間探測到的可用端信息發(fā)起跟隨攻擊。如何在保持端信息跳變多樣性的情況下，降低攻擊者發(fā)起跟隨攻擊的威脅是一個(gè)難題。為此，提出基于誘騙端信息的跳變空間自調(diào)整策略。

(3)跳變代理控制模塊激活蜜罐單元內(nèi)的誘騙端信息。所謂誘騙端信息是以網(wǎng)絡(luò)異常端信息為全集，存活周期滿足分布的一組端信息集合；

(4)通信雙方使用常規(guī)端信息正常通信的同時(shí)，跳變代理控制模塊和客戶端利用誘騙端信息發(fā)送虛假報(bào)文，迷惑攻擊者。攻擊者探測發(fā)現(xiàn)誘騙端信息處于存活期，向服務(wù)器發(fā)動(dòng)跟隨攻擊，而跳變代理控制模塊則將攻擊報(bào)文導(dǎo)入蜜罐，進(jìn)而對攻擊進(jìn)行檢測和溯源分析。

3.5安全性分析

安全性是評(píng)價(jià)一個(gè)防御方法優(yōu)劣的重要指標(biāo)，本節(jié)首先分析模型的抗拒絕服務(wù)(DoS)攻擊與抗截獲攻擊性能，它反映了模型的可用性和機(jī)密性[14]；然后分析模型抵御跟隨攻擊和半盲攻擊的性能。

(1)抗DoS攻擊性能：針對跳變系統(tǒng)的DoS攻擊實(shí)際上是一種有指導(dǎo)的盲攻擊狀態(tài)，即對攻擊者探測到的所有端信息發(fā)起平均攻擊。對于攻擊者而言，無法確定當(dāng)前哪一個(gè)節(jié)點(diǎn)處于活動(dòng)狀態(tài)，也就不能唯一地向當(dāng)前活動(dòng)端信息發(fā)起攻擊。假定端信息跳變可用地址數(shù)，端口數(shù)，協(xié)議數(shù)。令表示攻擊者發(fā)送數(shù)據(jù)包中所含當(dāng)前活動(dòng)端信息的數(shù)目，表示攻擊數(shù)據(jù)速率，的期望為。

(2)抗截獲攻擊性能：端信息自適應(yīng)跳變模型將正常通信數(shù)據(jù)報(bào)文擴(kuò)散到背景數(shù)據(jù)報(bào)文中，截獲者需要監(jiān)聽所有數(shù)據(jù)報(bào)文，過濾、破譯和重組正常數(shù)據(jù)報(bào)文。假設(shè)攻擊者可以猜測出網(wǎng)絡(luò)拓?fù)?，并且能夠成功截獲到所有正常數(shù)據(jù)報(bào)文，則攻擊者的總開銷。其中為攻擊者截獲所有數(shù)據(jù)報(bào)文的開銷；為攻擊者過濾虛假報(bào)文的開銷，與異常端信息集合相關(guān)；為攻擊者破譯報(bào)文加密算法的開銷，與加密算法種類及各個(gè)加密算法的性能相關(guān)；為攻擊者重組正常數(shù)據(jù)報(bào)文的開銷，與正常數(shù)據(jù)報(bào)文的分段大小相關(guān)。

(3)抗跟隨攻擊性能：跟隨攻擊是針對端信息跳變系統(tǒng)的一類特殊攻擊，當(dāng)防御方采用端信息跳變策略時(shí)，攻擊者將努力探測和定位當(dāng)前活動(dòng)端信息并集中所有攻擊強(qiáng)度對其進(jìn)行攻擊。假設(shè)攻擊者截獲數(shù)據(jù)包并分析獲得有用信息的時(shí)間為，攻擊者鎖定目標(biāo)、發(fā)起攻擊并且準(zhǔn)確命中目標(biāo)的時(shí)間為，則系統(tǒng)遭受跟隨攻擊的概率。

4 實(shí)驗(yàn)與性能分析

基于NS2對自適應(yīng)端信息跳變進(jìn)行系統(tǒng)仿真，利用C++編寫同步、跳變、通信等模塊，使用OTcl腳本實(shí)現(xiàn)網(wǎng)絡(luò)拓?fù)浞抡?。?shí)驗(yàn)環(huán)境配置如表2所示，其中，跳變代理部署在服務(wù)器端，開啟多個(gè)虛擬機(jī)模擬跳變節(jié)點(diǎn)。設(shè)初始跳變周期為120 s,,,,,,,,,。仿真實(shí)驗(yàn)結(jié)果如圖4至圖7所示。

表2原型系統(tǒng)實(shí)驗(yàn)環(huán)境配置

操作系統(tǒng)帶寬(Mbps)數(shù)量工作方式 服務(wù)器Linux(kernel 2.6.1)1001端信息跳變 客戶機(jī)Windows XP1004正常通信 DoS攻擊機(jī)Linux(kernel 2.6.1)1001SYN-Flood

4.1 DoS攻擊實(shí)驗(yàn)分析

采用SYN-Flood方式進(jìn)行有指導(dǎo)的DoS攻擊，測試端信息跳變系統(tǒng)在不同攻擊速率下的平均服務(wù)響應(yīng)時(shí)間。圖4展示了無跳變策略(no hopping)、簡單端信息跳變策略(simple EH)、文獻(xiàn)[16]跳變策略(adaptive EH)以及本文自適應(yīng)跳變策略(selfadaptive EH)抗DoS攻擊性能。結(jié)果表明端信息跳變策略能夠很好地抵御DoS，但性能差距不大，因?yàn)镈oS攻擊進(jìn)入盲攻擊狀態(tài)對探測到的所有端信息發(fā)起平均攻擊。隨著DoS攻擊的持續(xù)，由初始的120.0 s逐漸減小為90.0 s, 54.4 s, 21.6 s，分別約為上一跳變周期的75%, 60%, 40%；而后停止DoS攻擊，由21.6 s逐漸增大為24.5 s, 29.8 s, 37.6 s，分別約為上一跳變周期的9%, 14%和20%，滿足跳變周期自調(diào)整“慢增長，快減小”原則。

圖4 DoS攻擊仿真實(shí)驗(yàn)數(shù)據(jù)擬合

4.2跟隨攻擊實(shí)驗(yàn)分析

初始跳變周期設(shè)為60 s, simple EH跳變周期固定；adaptive EH一旦發(fā)現(xiàn)攻擊，以每次減小一半的速率縮減；selfadaptive EH還考慮了網(wǎng)絡(luò)異常，的下降速率更快，攻擊者的跟隨時(shí)延也隨之增加。出于上述考慮，將三者的跟隨時(shí)延分別設(shè)為5 s，12 s和15 s。實(shí)驗(yàn)結(jié)果如圖5所示，simple EH策略的平均響應(yīng)時(shí)間略好于無跳變策略，因?yàn)閟imple EH策略的跳變周期固定；adaptive EH策略和selfadaptive EH策略的平均響應(yīng)時(shí)間遠(yuǎn)優(yōu)于simple EH策略，但隨著攻擊速率的增大，攻擊報(bào)文占用大量網(wǎng)絡(luò)帶寬，網(wǎng)絡(luò)進(jìn)入擁塞狀態(tài)，即使攻擊者無法確定當(dāng)前端信息，也造成網(wǎng)絡(luò)延時(shí)的快速增長，平均響應(yīng)時(shí)間隨之快速增長。

4.3半盲攻擊實(shí)驗(yàn)分析

半盲攻擊中空間擠壓參數(shù)設(shè)為30%，即攻擊者進(jìn)行端信息狀態(tài)空間擠壓，每次攻擊的目標(biāo)端信息為可用端信息狀態(tài)空間的70%，則一旦攻擊者進(jìn)行多次端信息狀態(tài)空間擠壓，可用端信息空間將呈指數(shù)級(jí)下降。實(shí)驗(yàn)結(jié)果如圖6所示，adaptive EH策略的平均響應(yīng)時(shí)間優(yōu)于無跳變策略，但不如simple EH策略，這與文獻(xiàn)[15]作者的分析相一致；selfadaptive EH策略的平均響應(yīng)時(shí)間優(yōu)于simple EH策略，因?yàn)檎T騙端信息發(fā)送虛假報(bào)文迷惑攻擊者，降低了半盲攻擊對端信息狀態(tài)空間擠壓的威脅。

4.4 服務(wù)率實(shí)驗(yàn)分析

跳變策略對通信質(zhì)量的影響是衡量跳變策略好壞的重要指標(biāo)，為方便實(shí)驗(yàn)，僅考慮客戶端和服務(wù)器收發(fā)數(shù)據(jù)包數(shù)據(jù)量之間的關(guān)系，將其定義為服務(wù)率，即客戶端發(fā)送數(shù)據(jù)包數(shù)量與服務(wù)器收到的對應(yīng)數(shù)據(jù)包數(shù)量的比值。實(shí)驗(yàn)結(jié)果如圖7所示，在攻擊強(qiáng)度較小時(shí)，無跳變策略的服務(wù)率要優(yōu)于跳變策略，說明端信息跳變影響了通信質(zhì)量；隨著攻擊強(qiáng)度的增加，無跳變策略和simple EH策略的服務(wù)率迅速下降并趨近于0; adaptive EH策略和本文selfadaptive EH策略在攻擊強(qiáng)度不大時(shí)能夠保證較好的服務(wù)率，且selfadaptive EH策略的服務(wù)率要優(yōu)于adaptive EH策略，這是因?yàn)榉?wù)器端維持跳變周期滑動(dòng)窗口，在當(dāng)前跳變周期開放的端信息外，還延長非跳變周期端信息的存活時(shí)間用于接收客戶端的訪問請求，提高了服務(wù)率。

圖5 跟隨攻擊仿真實(shí)驗(yàn)數(shù)據(jù)擬合?????圖6 半盲攻擊仿真實(shí)驗(yàn)數(shù)據(jù)擬合?????圖7 服務(wù)率仿真實(shí)驗(yàn)數(shù)據(jù)擬合

5 結(jié)束語

端信息跳變是一種提升自身防御的主動(dòng)網(wǎng)絡(luò)防護(hù)技術(shù)，在安全和性能之間尋求平衡點(diǎn)，使得在保障正常服務(wù)的前提下，以一定的服務(wù)性能損耗換取安全性能的提高。本文建立了端信息自適應(yīng)跳變模型，設(shè)計(jì)了跳變自調(diào)整策略。仿真實(shí)驗(yàn)結(jié)果表明，該模型對于拒絕服務(wù)攻擊、半盲攻擊和跟隨攻擊都具有良好的防御性能，而且保證了跳變邊界的通信質(zhì)量，這對于網(wǎng)絡(luò)層的動(dòng)態(tài)目標(biāo)防御研究具有重要意義。在下一步研究工作中，擬考慮端信息跳變成本對自適應(yīng)策略的影響，以提高端信息跳變在網(wǎng)絡(luò)防御中的效能。

[1] Zhuang R, DeLoach S A, and Ou X. Towards a theory of moving target defense[C]. Proceedings of the First ACM Workshop on Moving Target Defense, Scottsdale, Arizona, 2014: 31-40.

[2] Jajodia S and Sun K. MTD 2014: first ACM workshop on moving target defense[C]. Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security, Scottsdale, Arizona, 2014: 1550-1551.

[3] Xu Jun, Guo Pin-yao, Zhao Ming-yi,.. Comparing different moving target defense techniques[C]. Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security, Scottsdale, Arizona, 2014: 97-107.

[4] Wang H, Jia Q, Fleck D,.. A moving target DDoS defense mechanism[J]., 2014, 46(3): 10-21.

[5] Lee H C J and Thing V L L. Port hopping for resilient networks[C]. Proceedings of the 60th IEEE Vehicular Technology Conference, Washington, 2004: 3291-3295.

[6] Atighetchi M, Pal P, Webber F,.. Adaptive use of network-centric mechanisms in cyber-defense[C]. Proceedings of the 6th IEEE International Symposium on Object-Oriented Real-Time Distributed Computing, Hokkaido, 2003: 183-192.

[7] Sifalakis M, Schmid S, and Hutchison D. Network address hopping: a mechanism to enhance data protection for packet communications[C]. 2005 IEEE International Conference on Communications, Seoul, 2005: 1518-1523.

[8] Antonatos S, Akritidis P, Markatos E P,.. Defending against hitlist worms using network address space randomization[J]., 2007, 51(12): 3471-3490.

[9] Badishi G, Herzberg A, and Keidar I. Keeping denial-of-service attackers in the dark[J]., 2007, 4(3): 191-204.

[10] Dunlop M, Groat S, Urbanski W,.. Mt6d: a moving target IPv6 defense[C]. The 2011 Military Communications Conference, Baltimore, Maryland, 2011: 1321-1326.

[11] Hari K and Dohi T. Dependability modeling and analysis of random port hopping[C]. 2012 9th International Conference on Ubiquitous Intelligence & Computing and 9th International Conference on Autonomic & Trusted Computing, Fukuoka, 2012: 586-593.

[12] Ellis J W. Method and system for securing data utilizing reconfigurable logic [P]. US, Patent 8127130, 2012-2-28.

[13] Fu Z, Papatriantafilou M, and Tsigas P. Mitigating distributed denial of service attacks in multiparty applications in the presence of clock drifts[J]., 2012, 9(3): 401-413.

[14] 石樂義, 賈春福, 呂述望. 基于端信息跳變的主動(dòng)網(wǎng)絡(luò)防護(hù)研究[J]. 通信學(xué)報(bào), 2008, 29(2): 106-110.

Shi Le-yi, Jia Chun-fu, and Lü Shu-wang. Research on end hopping for active network confrontation[J]., 2008, 29(2): 106-110.

[15] 林楷, 賈春福, 石樂義. 分布式時(shí)間戳同步技術(shù)的改進(jìn)[J]. 通信學(xué)報(bào)，2012, 33(10)：110-116.

Lin Kai, Jia Chun-fu, and Shi Le-yi. Improvement of distributed timestamp synchronization[J]., 2012, 33(10): 110-116.

[16] 趙春蕾. 端信息跳變系統(tǒng)自適應(yīng)策略研究[D]. [博士論文], 南開大學(xué), 2012.

Zhao Chun-lei. Research on adaptive strategies for end-hopping system[D]. [Ph.D. dissertation], Nankai University, 2012.

[17] Yu S, Thapngam T, Liu J,.. Discriminating DDoS flows from flash crowds using information distance[C]. Proceedings of the third International Conference on Network and System Security, Piscataway, NJ, 2009: 351-356.

[18] Cong S, Ge Y, Chen Q,.. DTHMM based delay modeling and prediction for networked control systems[J]., 2010, 21(6): 1014-1024.

A Proactive Network Defense Model Based on Selfadaptive End Hopping

Liu Jiang Zhang Hong-qi Dai Xiang-dong Wang Yi-gong

(,450001,)(,450001,)

End hopping technology is one of the hot research domains in the field of proactive network defense. An end hopping model based on fixed time slot under the fixed policy is established. The defense gains decline caused by fixed hopping period and the service loss caused by data packet loss on hopping boundary are analyzed. The real-time network anomaly assessment algorithm based on the fusion of nonextensive entropy and Sibson entropy is proposed. Then, the selfadaptive end hopping period and space policy based on the proposed algorithm are designed and the proactive network defense model is constructed which improves the defense gains. Furthermore, Hopping period stretching policy based on network delay prediction is proposed to ensure the service quality on hopping boundary. Theoretical analysis and simulation results show the effectiveness and good service of the proposed model in network defense.

Proactive network defense; End hopping; Selfadaptive adjustment

TP393.08

A

1009-58969(2015)11-2642-08

10.11999/JEIT150273

2015-03-04；改回日期：2015-05-25；

2015-07-06

劉江 liujiang2333@163.com

國家863計(jì)劃項(xiàng)目(2012AA012704)和鄭州市科技領(lǐng)軍人才項(xiàng)目(131PLJR644)

The National 863 Program of China (2012AA012704); Scientific and Technological Leading Talent Project of Zhengzhou (131PLJR644)

劉 江： 男，1988年生，博士生，研究方向?yàn)榫W(wǎng)絡(luò)動(dòng)態(tài)目標(biāo)防御、安全策略管理.

張紅旗： 男，1962年生，教授，博士生導(dǎo)師，研究方向?yàn)榫W(wǎng)絡(luò)信息安全、安全管理.

代向東： 男，1977年生，碩士，講師，研究方向?yàn)榫W(wǎng)絡(luò)安全策略管理.

王義功： 男，1987年生，碩士，講師，研究方向?yàn)榫W(wǎng)絡(luò)安全策略管理.