移動(dòng)目標(biāo)防御技術(shù)研究進(jìn)展

2016-06-16 07:00:19蔡桂林王寶生王天佐羅躍斌王小峰崔新武

計(jì)算機(jī)研究與發(fā)展 2016年5期

蔡桂林　王寶生　王天佐　羅躍斌　王小峰　崔新武

1(國(guó)防科學(xué)技術(shù)大學(xué)計(jì)算機(jī)學(xué)院　長(zhǎng)沙　410073 )2(中國(guó)人民解放軍95942部隊(duì)　武漢　430313)(cc_cai@163.com)

蔡桂林1,2王寶生1王天佐1羅躍斌1王小峰1崔新武2

1(國(guó)防科學(xué)技術(shù)大學(xué)計(jì)算機(jī)學(xué)院長(zhǎng)沙410073 )2(中國(guó)人民解放軍95942部隊(duì)武漢430313)(cc_cai@163.com)

摘要易攻難守是當(dāng)前網(wǎng)絡(luò)安全面臨的核心問(wèn)題之一.移動(dòng)目標(biāo)防御為解決這一問(wèn)題提供了一種全新思路，其核心思想是通過(guò)內(nèi)部可管理的方式對(duì)被保護(hù)目標(biāo)的攻擊面實(shí)施持續(xù)性的動(dòng)態(tài)變換以迷惑攻擊者，從而增加攻擊者實(shí)施成功攻擊的代價(jià)和復(fù)雜度，降低其攻擊成功的概率，提高系統(tǒng)彈性和安全性.首先對(duì)移動(dòng)目標(biāo)防御的基本概念加以介紹，并依據(jù)研究?jī)?nèi)容的不同對(duì)已有的研究成果進(jìn)行分類(lèi)；然后對(duì)每類(lèi)成果加以描述、分析和總結(jié)；最后對(duì)當(dāng)前研究現(xiàn)狀進(jìn)行總結(jié)，并對(duì)未來(lái)研究方向進(jìn)行了展望.

關(guān)鍵詞移動(dòng)目標(biāo)防御；攻擊面；動(dòng)態(tài)變換；彈性；安全性

隨著信息技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)一方面已經(jīng)成為各國(guó)戰(zhàn)略性關(guān)鍵基礎(chǔ)設(shè)施，支撐著國(guó)家電力、交通、金融、能源等重要領(lǐng)域的有效運(yùn)轉(zhuǎn)；另一方面，互聯(lián)網(wǎng)正在深刻影響并改變著人們的生產(chǎn)生活方式，孕育社會(huì)運(yùn)轉(zhuǎn)的新常態(tài).因此，互聯(lián)網(wǎng)安全受到世界各國(guó)高度重視.然而，近年來(lái)頻繁曝出的重大安全事件(如 “棱鏡門(mén)”[1]、心臟滴血(heartbleed)漏洞[2]、eBay數(shù)據(jù)大泄露、AS(autonomous system)前綴劫持[3]、日益嚴(yán)重的DDoS攻擊[4]等)反復(fù)表明，互聯(lián)網(wǎng)安全始終面臨嚴(yán)峻挑戰(zhàn).

一些研究表明，互聯(lián)網(wǎng)安全的最大問(wèn)題在于整體態(tài)勢(shì)的易攻難守[5-9]：1)攻擊者具有時(shí)間優(yōu)勢(shì)來(lái)組織攻擊，即攻擊者可長(zhǎng)期對(duì)攻擊目標(biāo)(網(wǎng)絡(luò)設(shè)備、通信鏈路、基礎(chǔ)協(xié)議等)的固有脆弱性進(jìn)行反復(fù)的漏洞分析和滲透測(cè)試，直至達(dá)到最終目標(biāo)；2)攻擊者具有信息不對(duì)稱(chēng)優(yōu)勢(shì)來(lái)發(fā)射攻擊，即攻擊者只需找到一個(gè)有效攻擊點(diǎn)即可實(shí)施攻擊，而防御者則需要對(duì)所有可能出現(xiàn)的攻擊點(diǎn)和攻擊方式加以防護(hù)；3)攻擊者具有成本優(yōu)勢(shì)來(lái)推廣攻擊，即攻擊者一旦成功實(shí)施一次攻擊，即可以以較低成本輕易將攻擊范圍擴(kuò)大.究其原因，可歸結(jié)為當(dāng)前網(wǎng)絡(luò)系統(tǒng)的確定性、靜態(tài)性和同構(gòu)性[5-6,8]：網(wǎng)絡(luò)的確定性和靜態(tài)性使攻擊者具備時(shí)間優(yōu)勢(shì)和信息不對(duì)稱(chēng)優(yōu)勢(shì)，同構(gòu)性則使攻擊者具備成本優(yōu)勢(shì)，從而導(dǎo)致防御者始終處于被動(dòng)的劣勢(shì)地位.而這種被動(dòng)劣勢(shì)無(wú)法依靠現(xiàn)有防御方法來(lái)彌補(bǔ)[7]：1)由于人的認(rèn)知有限性，常用的源代碼檢查機(jī)制難以保證能排除所有的漏洞；2)補(bǔ)丁下發(fā)通常明顯滯后于攻擊者對(duì)安全漏洞的利用，這一時(shí)間差為網(wǎng)絡(luò)攻擊提供了生存空間；3)識(shí)別攻擊代碼與感染癥狀機(jī)制需要判斷出攻擊的簽名或者預(yù)先對(duì)惡意攻擊進(jìn)行定義，但攻擊者速度快、靈敏度高且會(huì)使用簡(jiǎn)單的多態(tài)機(jī)制來(lái)持續(xù)改變攻擊的簽名，從而使防御方所采用的基于簽名的方法在很大程度上都變得無(wú)效.

為改變網(wǎng)絡(luò)空間中這種“易攻難守”的局面，美國(guó)政府開(kāi)始重視發(fā)展 “改變游戲規(guī)則”的革命性技術(shù)以實(shí)現(xiàn)積極主動(dòng)的網(wǎng)絡(luò)防御，并相繼出臺(tái)了一系列重要綱領(lǐng)性文件[5-6,10-11]，均著重強(qiáng)調(diào)針對(duì)當(dāng)前網(wǎng)絡(luò)空間所面臨的實(shí)際和潛在威脅而發(fā)展“改變游戲規(guī)則”革命性技術(shù)的必要性與緊迫性.與此同時(shí)，美國(guó)國(guó)防部也開(kāi)展了一系列“改變游戲規(guī)則”的研究項(xiàng)目，包括MORPHINATOR[12]，NMC[13-14]，SAFE[15]，A3[16]，F(xiàn)UZZBUSTER[17]，MRC[18]，ACD[19]等，旨在多個(gè)維度尋找提升系統(tǒng)彈性與網(wǎng)絡(luò)安全性的方法集.

移動(dòng)目標(biāo)防御(moving target defense， MTD)就是美國(guó)針對(duì)防御者當(dāng)前所處劣勢(shì)地位而提出的一個(gè)“改變游戲規(guī)則”的網(wǎng)絡(luò)安全發(fā)展方向[7]，期望通過(guò)實(shí)施持續(xù)、動(dòng)態(tài)的變化迷惑攻擊者，以增加其攻擊成本和復(fù)雜度，降低其攻擊成功率.值得注意的是，移動(dòng)目標(biāo)防御不是某一種具體的防御方法，而是一種設(shè)計(jì)指導(dǎo)思想.這一思想可應(yīng)用到被保護(hù)系統(tǒng)的某一屬性上，衍生出多種具體的防御機(jī)制，如TALENT[20]，IP address mutation[21-22]，MT6D[23]，ChameleonSoft[24]，MAS[25]，HMS[26]等(詳見(jiàn)第2節(jié))；也可以應(yīng)用到現(xiàn)有的安全評(píng)估或防御方法上以提高其效果，如將其應(yīng)用到電力系統(tǒng)狀態(tài)評(píng)估過(guò)程中以提高評(píng)估的安全性和準(zhǔn)確性[27].但是由于當(dāng)前此類(lèi)研究極少，因此本文不做介紹.

在國(guó)內(nèi)，鄔江興院士[28]則提出了擬態(tài)安全防御思想，期望通過(guò)在主動(dòng)和被動(dòng)觸發(fā)條件下動(dòng)態(tài)地、偽隨機(jī)地選擇執(zhí)行各種硬件變體以及相應(yīng)的軟件變體，使得內(nèi)外部攻擊者觀察到的硬件執(zhí)行環(huán)境和軟件工作狀況非常不確定，無(wú)法或很難構(gòu)建起基于漏洞(bug)或后門(mén)的攻擊鏈，以達(dá)成降低系統(tǒng)安全風(fēng)險(xiǎn)的目的.

當(dāng)前已涌現(xiàn)大量的移動(dòng)目標(biāo)防御研究成果，但國(guó)內(nèi)系統(tǒng)介紹此類(lèi)工作的文獻(xiàn)較少，已見(jiàn)對(duì)移動(dòng)目標(biāo)防御的相關(guān)概念和發(fā)展戰(zhàn)略進(jìn)行介紹的綜述文章(張曉玉等人發(fā)表的綜述文章《移動(dòng)目標(biāo)防御技術(shù)綜述》[10])，鮮見(jiàn)對(duì)相關(guān)技術(shù)的分析總結(jié).

1移動(dòng)目標(biāo)防御技術(shù)概述

1.1移動(dòng)目標(biāo)防御基本概念

本節(jié)主要介紹移動(dòng)目標(biāo)防御研究中的4個(gè)基本概念：移動(dòng)目標(biāo)、移動(dòng)目標(biāo)防御、攻擊面以及攻擊面變換.其中，攻擊面的概念其實(shí)早在移動(dòng)目標(biāo)防御概念出現(xiàn)之前就已被提出，前期主要用作軟件研發(fā)過(guò)程中衡量系統(tǒng)安全性的一項(xiàng)重要指標(biāo)[29].移動(dòng)目標(biāo)防御概念提出之后，則將變換(移動(dòng))攻擊面看作是實(shí)現(xiàn)移動(dòng)目標(biāo)防御的一種重要方式[30-31]，所有變換系統(tǒng)攻擊面的機(jī)制均可歸類(lèi)為移動(dòng)目標(biāo)防御機(jī)制[32].因此，本節(jié)也對(duì)攻擊面和攻擊面變換的概念加以描述.

1.1.1移動(dòng)目標(biāo)及移動(dòng)目標(biāo)防御

對(duì)于移動(dòng)目標(biāo)，當(dāng)前并沒(méi)有一個(gè)權(quán)威的統(tǒng)一定義，僅在美國(guó)白宮國(guó)防安全委員會(huì)的進(jìn)展報(bào)告中提到移動(dòng)目標(biāo)是可在多個(gè)維度上移動(dòng)以降低攻擊者優(yōu)勢(shì)并增加彈性的系統(tǒng)[33].對(duì)于移動(dòng)目標(biāo)防御，當(dāng)前也不存在明確的定義，其目標(biāo)是通過(guò)持續(xù)變換系統(tǒng)呈現(xiàn)在攻擊者面前的攻擊面，從而有效增加攻擊者想要探測(cè)目標(biāo)脆弱性的代價(jià)[34].2010年發(fā)布的《網(wǎng)絡(luò)安全游戲規(guī)則的研究與發(fā)展建議》[5]中將移動(dòng)目標(biāo)防御的內(nèi)涵描述為：期望能夠創(chuàng)建、分析、評(píng)估和部署多樣化的、隨時(shí)間持續(xù)變化的機(jī)制和策略，以增加攻擊者實(shí)施攻擊的復(fù)雜度和成本，降低系統(tǒng)脆弱性曝光和被攻擊的幾率，提高系統(tǒng)的彈性.

實(shí)際上，移動(dòng)目標(biāo)技術(shù)是通過(guò)降低系統(tǒng)確定性、靜態(tài)性和同構(gòu)性來(lái)增加攻擊復(fù)雜度從而防護(hù)一個(gè)系統(tǒng)的機(jī)制方法的統(tǒng)稱(chēng)[35]，通過(guò)變換系統(tǒng)配置(廣義上的配置，包括硬件平臺(tái)、軟件版本、地址信息、協(xié)議信息等)縮短系統(tǒng)某一配置屬性信息的有效期，使得攻擊者沒(méi)有足夠的時(shí)間對(duì)目標(biāo)系統(tǒng)進(jìn)行探測(cè)和對(duì)代碼進(jìn)行開(kāi)發(fā)；或者同時(shí)降低其所收集信息的有效性，使其探測(cè)到的信息在攻擊期間變得無(wú)效，以此提高攻擊者收集信息的代價(jià)和復(fù)雜性，降低系統(tǒng)被成功攻擊的概率，提高系統(tǒng)的抗攻擊能力.

1.1.2攻擊面及攻擊面變換

1) 攻擊面(attack surface)

系統(tǒng)攻擊面的概念最先由Manadhata等人[36]正式提出，并站在單個(gè)系統(tǒng)的角度上將系統(tǒng)攻擊面定義為攻擊者可進(jìn)入系統(tǒng)并造成潛在威脅的方式(ways)集合，即如果將一個(gè)系統(tǒng)的資源定義為方法(method)、通道(channel)和數(shù)據(jù)(data item)三種，那么攻擊面就是系統(tǒng)資源的一個(gè)子集； Zhu等人[37]將攻擊面定義為系統(tǒng)外顯的可能會(huì)被攻擊者用于攻擊的脆弱性集合；Peng等人[38]將云服務(wù)中一個(gè)活性虛擬機(jī)實(shí)例的攻擊面定義為其外顯的可用資源的總額；Zhuang等人[8]站在網(wǎng)絡(luò)的角度，認(rèn)為系統(tǒng)攻擊面由暴露在攻擊者面前的系統(tǒng)資源(如主機(jī)上的軟件、主機(jī)間的通信端口以及各組件的脆弱點(diǎn))及已被侵害的可用來(lái)進(jìn)入系統(tǒng)的網(wǎng)絡(luò)資源共同組成.

雖然已有的移動(dòng)目標(biāo)防御研究中已大量使用攻擊面的概念，但是已有的攻擊面定義在涵蓋全面性、表述精確性及通俗性上還有所欠缺，因此需要進(jìn)一步對(duì)攻擊面的特征加以刻畫(huà)，以更好地描述移動(dòng)目標(biāo)防御過(guò)程.我們對(duì)系統(tǒng)的攻擊面進(jìn)行如下描述：

定義1. 攻擊面參數(shù).表示可被攻擊者利用發(fā)起攻擊的系統(tǒng)配置漏洞或?qū)傩?，包括系統(tǒng)的軟硬件配置屬性漏洞，如緩沖區(qū)溢出漏洞；也包括可被攻擊者利用的網(wǎng)絡(luò)屬性，如IP地址、服務(wù)端口號(hào)等.一個(gè)系統(tǒng)在任一種系統(tǒng)配置下都具有多個(gè)攻擊面參數(shù)，可記為P={pi}，1≤i≤n，n∈(為自然數(shù)集合)，且每個(gè)參數(shù)pi都對(duì)應(yīng)一個(gè)值域Ui={ui1,ui2,…,uis}，s∈且s≥1.對(duì)于配置屬性漏洞類(lèi)攻擊面參數(shù)，其值域{0,1}，其中值為0表示當(dāng)前配置不包含該攻擊面參數(shù)，值為1表示當(dāng)前配置包含該攻擊面參數(shù)，應(yīng)考慮將系統(tǒng)配置變換為防御者所提供的其他不包含該攻擊面參數(shù)但提供同一功能的硬件軟件實(shí)現(xiàn)(或操作系統(tǒng))，使其值變?yōu)?；對(duì)于網(wǎng)絡(luò)屬性類(lèi)攻擊面參數(shù)，如IP地址，其值域則為防御者所提供的多個(gè)可用地址.

定義2. 攻擊面.在任一時(shí)刻，系統(tǒng)的攻擊面由攻擊面參數(shù)集合及該集合中各參數(shù)的具體取值共同確定.我們將時(shí)刻t的系統(tǒng)攻擊面記為AS(t)={Pt,Vt}，其中Pt={p1t,p2t,…,pkt},k∈，表示時(shí)刻t的攻擊面參數(shù)集合，pit(1≤i≤k)則是指時(shí)刻t的某一特定攻擊面參數(shù)(與定義1中的pi相對(duì)應(yīng))，其值域?yàn)閁i；Vt={v1t,v2t,…,vkt}，其中vit∈Ui，表示參數(shù)pit(1≤i≤k)在時(shí)刻t的具體取值.

系統(tǒng)攻擊面具有2個(gè)性質(zhì)：

① 不同的系統(tǒng)配置有可能存在相同的攻擊面參數(shù)，即使存在，同一個(gè)攻擊面參數(shù)在不同系統(tǒng)配置下的值域卻不一定相等；

② 在移動(dòng)目標(biāo)防御背景下，系統(tǒng)的攻擊面參數(shù)集合或某一攻擊面參數(shù)的值會(huì)隨著時(shí)間發(fā)生改變.即令t2=t1+δ，其中δ(δ>0)為防御者所定義的時(shí)間間隔值，可為定值，也可為變值.考慮2個(gè)不等式：

Pt1≠Pt2且Pt1?Pt2；

vit1≠vit2，則必然有Vt1≠Vt2.

不論是哪一個(gè)不等式成立，都會(huì)導(dǎo)致AS(t2)≠AS(t1)，即系統(tǒng)攻擊面隨時(shí)間持續(xù)變化.

2)攻擊面變換(attack surface shifting)

Huang等人[25]首先對(duì)移動(dòng)的攻擊面(moving attack surface)(即攻擊面的變換過(guò)程)進(jìn)行了圖示化描述，但并未給出形式化定義，而后Manadhata[30]首次提出了攻擊面變換的概念并定義如下：

定義3. 給定一個(gè)系統(tǒng)S，S的舊攻擊面記為Ro，新的攻擊面記為Rn，如果存在一個(gè)資源r，滿足下列2個(gè)條件之一，那么就說(shuō)明S的攻擊面發(fā)生了變換：

1)r屬于Ro但不屬于Rn；

2)r既屬于Ro也屬于Rn，但是r在Ro中的作用大于在Rn中的作用.

該定義認(rèn)為攻擊面的變換要么通過(guò)更換系統(tǒng)資源來(lái)實(shí)現(xiàn)，要么通過(guò)改變某一系統(tǒng)資源的作用來(lái)實(shí)現(xiàn)，而要對(duì)資源在攻擊面中的作用進(jìn)行量化并不容易.

結(jié)合前面我們所提出的攻擊面定義，攻擊面變換可通過(guò)2種方式來(lái)實(shí)現(xiàn)：

① 改變Pt，即通過(guò)更改系統(tǒng)配置來(lái)更換攻擊面參數(shù)，使得Pt′≠Pt(Pt表示當(dāng)前攻擊面參數(shù)集合，Pt′表示配置更改后的攻擊面參數(shù)集合)，這與定義3中條件1類(lèi)似；

② 改變Vt，即選定某一攻擊面參數(shù)pit(假設(shè)其當(dāng)前值為via,via∈Ui)，為其賦予一個(gè)新值vib,vib∈Ui,vib≠via，或同時(shí)選定多個(gè)不同攻擊面參數(shù)pit,pjt,…(i≠j≠…)，在其各自的值域Ui,Uj,…中選擇一個(gè)不同于當(dāng)前值的新值賦予該參數(shù)，使得Vt′≠Vt(Vt表示當(dāng)前各攻擊面參數(shù)的取值集合，Vt′表示對(duì)某一攻擊面參數(shù)進(jìn)行取值變化后的各攻擊面參數(shù)的取值集合).

對(duì)攻擊面進(jìn)行有效的移動(dòng)是增加攻擊者實(shí)施成功攻擊困難性和開(kāi)銷(xiāo)的一種關(guān)鍵途徑，而從哪幾個(gè)方面入手以實(shí)現(xiàn)有效的移動(dòng)，則是首先需要解決的核心問(wèn)題.麻省理工學(xué)院林肯實(shí)驗(yàn)室(MIT Lincoln Laboratory)[31]認(rèn)為要實(shí)現(xiàn)有效的移動(dòng)需解決3類(lèi)挑戰(zhàn)：1)移動(dòng)范圍(coverage)，即攻擊面中可移動(dòng)的部分，可將其簡(jiǎn)單定義為整個(gè)攻擊面中動(dòng)態(tài)部分的比例；2)不可預(yù)測(cè)性(unpredictability)，表示的是攻擊者對(duì)系統(tǒng)攻擊面移動(dòng)信息的掌握程度；3)時(shí)效性(timeliness)，即一次移動(dòng)應(yīng)在攻擊開(kāi)始之后結(jié)束之前被實(shí)施.此外，他們還指明了設(shè)計(jì)和部署移動(dòng)目標(biāo)技術(shù)需要考慮的其他問(wèn)題，如低開(kāi)銷(xiāo)、直接代價(jià)及效用性.堪薩斯州立大學(xué)(Kansas State University)[39]則認(rèn)為要實(shí)現(xiàn)有效的移動(dòng)應(yīng)從基本的3個(gè)問(wèn)題入手：1)配置選擇問(wèn)題，即如何為移動(dòng)目標(biāo)防御系統(tǒng)選擇一個(gè)新的配置使得攻擊者想要侵害系統(tǒng)變得更加困難；2)行為選擇問(wèn)題，即如何選擇適應(yīng)性行為以實(shí)現(xiàn)新配置；3)時(shí)機(jī)(timing)選擇問(wèn)題，即何時(shí)實(shí)施適應(yīng)性行為，這是實(shí)現(xiàn)高效防御的一個(gè)關(guān)鍵性因素.

這2個(gè)小組的研究工作是相通的，配置選擇問(wèn)題的目的是提高系統(tǒng)的不可預(yù)測(cè)性，選擇的結(jié)果會(huì)涉及到移動(dòng)范圍.在已有研究中，配置選擇問(wèn)題及適應(yīng)性行為問(wèn)題一般與攻擊面變換相對(duì)應(yīng)，通過(guò)選擇新的配置來(lái)實(shí)現(xiàn)攻擊面參數(shù)的切換或者參數(shù)值的變化，而變換時(shí)機(jī)一般有3種：隨機(jī)變換、定時(shí)變換、依據(jù)網(wǎng)絡(luò)(安全)狀態(tài)信息變換.

1.2移動(dòng)目標(biāo)防御主要成果分類(lèi)

本文從當(dāng)前已有的移動(dòng)目標(biāo)防御研究成果中選取了大量具有代表性的典型研究成果進(jìn)行研究和分析.依據(jù)研究?jī)?nèi)容的不同，可將文中所涉及的研究成果分為2類(lèi)：1)移動(dòng)目標(biāo)防御機(jī)制研究，研究如何通過(guò)變化系統(tǒng)的某一屬性來(lái)實(shí)現(xiàn)靈活的防御；2)防御機(jī)制有效性評(píng)估及實(shí)用化研究，評(píng)估新提出機(jī)制與方法的效果，研究如何提高其效果，為后續(xù)的移動(dòng)目標(biāo)防御設(shè)計(jì)提供指導(dǎo)，使所提出機(jī)制能夠在現(xiàn)實(shí)網(wǎng)絡(luò)中得到更好地應(yīng)用.

1.3移動(dòng)目標(biāo)防御與擬態(tài)安全防御

移動(dòng)目標(biāo)防御[5]與擬態(tài)安全防御[28]分別是美國(guó)和中國(guó)所提出的用于改變網(wǎng)絡(luò)安全對(duì)抗現(xiàn)狀的革命性技術(shù)，均期望能從根本上改變當(dāng)前網(wǎng)絡(luò)“易攻難守”的局面.二者之間既有聯(lián)系又有區(qū)別:

1) 從整體目標(biāo)來(lái)看.移動(dòng)目標(biāo)防御與擬態(tài)安全防御所期望達(dá)到的整體目標(biāo)基本相同，均希望能夠通過(guò)實(shí)施己方可控的變化來(lái)迷惑攻擊者，從而能夠增加攻擊的難度和代價(jià)，有效降低攻擊成功率.

3) 從應(yīng)用場(chǎng)景來(lái)看.擬態(tài)安全防御是基于擬態(tài)計(jì)算的信息系統(tǒng)所具備的一種內(nèi)在主動(dòng)防御能力，也就是說(shuō)，擬態(tài)安全防御依賴(lài)于擬態(tài)計(jì)算系統(tǒng)而存在，其應(yīng)用場(chǎng)景依賴(lài)于擬態(tài)計(jì)算系統(tǒng)；而移動(dòng)目標(biāo)防御是一種靈活的思想，可應(yīng)用于某一系統(tǒng)之上，也可應(yīng)用于具體方法當(dāng)中，其應(yīng)用場(chǎng)景更廣.

4) 從發(fā)展?fàn)顟B(tài)來(lái)看.擬態(tài)安全防御研究尚處于起步階段，除了對(duì)擬態(tài)計(jì)算及擬態(tài)安全防御概念與內(nèi)涵進(jìn)行介紹的文獻(xiàn)[28]，暫無(wú)其他公開(kāi)發(fā)表的成果，而移動(dòng)目標(biāo)防御研究正處于快速發(fā)展期，已涌現(xiàn)出大量的研究成果(詳見(jiàn)第2～3節(jié)).

2移動(dòng)目標(biāo)防御機(jī)制研究

當(dāng)前已有大量具體的移動(dòng)目標(biāo)防御機(jī)制被提出， Okhravi等人[40]依據(jù)技術(shù)在執(zhí)行棧中的位置層次將現(xiàn)有移動(dòng)目標(biāo)技術(shù)分為動(dòng)態(tài)數(shù)據(jù)、動(dòng)態(tài)軟件、動(dòng)態(tài)運(yùn)行環(huán)境、動(dòng)態(tài)平臺(tái)及動(dòng)態(tài)網(wǎng)絡(luò)5個(gè)大類(lèi).但其所提及機(jī)制的變化對(duì)象(即攻擊面參數(shù))各處于某一特定層次從而歸屬于這5類(lèi)中的某一類(lèi)，沒(méi)有對(duì)變化對(duì)象涉及多個(gè)層次的機(jī)制加以描述.

在本文中，我們首先依據(jù)變化的對(duì)象是否處于同一層次(我們劃分的層次結(jié)構(gòu)如圖1所示)，將現(xiàn)有移動(dòng)目標(biāo)防御機(jī)制劃分為單層移動(dòng)目標(biāo)防御機(jī)制和跨層移動(dòng)目標(biāo)防御機(jī)制.其中，單層移動(dòng)目標(biāo)防御機(jī)制僅有一個(gè)變化對(duì)象，或者有同屬于一個(gè)層次的多個(gè)變化對(duì)象；而跨層移動(dòng)目標(biāo)防御機(jī)制是指該機(jī)制具有多個(gè)變化對(duì)象，且這些變化對(duì)象分屬于不同層次.跨層的層次不限于圖1中的3個(gè)層次，也可以是按照其他劃分方法得到的層次.

Fig. 1　Taxonomy of MTD mechanisms at single layer.圖1　單層移動(dòng)目標(biāo)防御機(jī)制

而后，依據(jù)本文所提及單層移動(dòng)目標(biāo)防御機(jī)制(其中包括文獻(xiàn)[40]所提及的部分機(jī)制，也包括該文獻(xiàn)中未分析介紹的一些機(jī)制)的特性，借鑒Okhravi等人的分類(lèi)依據(jù)，我們將這些機(jī)制歸類(lèi)為基于軟件變換的機(jī)制、基于執(zhí)行環(huán)境變換的機(jī)制和基于通信參數(shù)變換的機(jī)制.如圖1所示:

2.1單層移動(dòng)目標(biāo)防御機(jī)制研究

2.1.1基于軟件變換的機(jī)制

基于軟件變換(software transformations)的機(jī)制主要以軟件應(yīng)用為變化對(duì)象，對(duì)其實(shí)施各種變換技術(shù)，如多樣化技術(shù)、等價(jià)變換技術(shù)等，在攻擊者面前呈現(xiàn)一個(gè)不確定且不可預(yù)測(cè)的目標(biāo)，從而使攻擊者難以順利實(shí)施他們的惡意行為，增加攻擊者發(fā)起相應(yīng)攻擊的困難度，提高軟件抗攻擊能力.

2.1.1.1多樣化變換

基于多樣化變換的機(jī)制主要通過(guò)采用不同的方法產(chǎn)生多個(gè)功能相同但行為和特性相異的變體來(lái)交替運(yùn)行，使得系統(tǒng)攻擊面呈現(xiàn)出豐富的變化，達(dá)到迷惑攻擊者的目的.

弗吉尼亞理工學(xué)院暨州立大學(xué)(Virginia Polyte-chnic Institute and State University, Virginia Tech)提出的ChameleonSoft[24]就是一個(gè)通過(guò)多程序變體之間的變換來(lái)進(jìn)行系統(tǒng)攻擊面轉(zhuǎn)換的原型結(jié)構(gòu).具體來(lái)說(shuō)，是將一個(gè)大的軟件功能切分為多個(gè)小的任務(wù)，針對(duì)每個(gè)任務(wù)手動(dòng)或自動(dòng)產(chǎn)生一些功能相近但行為各異的計(jì)算變體，并在運(yùn)行期間變換這些變體集來(lái)動(dòng)態(tài)改變正在執(zhí)行計(jì)算的軟件變體的行為.由于每個(gè)變體具有不同的屬性目標(biāo)，如可靠性、性能、健壯性、移動(dòng)性等，且在這多個(gè)變體之間進(jìn)行動(dòng)態(tài)切換，會(huì)使得攻擊者難以捕捉到正在運(yùn)行的變體的缺陷，即使捕捉到了也會(huì)快速失效，在一定程度上能夠有效增加攻擊者實(shí)施成功攻擊的代價(jià)和復(fù)雜度，降低其攻擊成功率.

Jackson等人[41]提出在編譯器進(jìn)行代碼翻譯時(shí)自動(dòng)對(duì)機(jī)器代碼進(jìn)行多樣化，創(chuàng)建多個(gè)功能等價(jià)、行為各異的程序變體，并以2種方式來(lái)支持所有用戶(hù)：1)針對(duì)普通的家庭辦公室用戶(hù)，可在應(yīng)用商店(app store)處安裝一個(gè)多樣化引擎，針對(duì)每一個(gè)下載請(qǐng)求自動(dòng)產(chǎn)生一個(gè)唯一的、功能等價(jià)的應(yīng)用程序變體，以產(chǎn)生大規(guī)模的軟件多樣性.由于每個(gè)用戶(hù)下載的程序是唯一的，因此攻擊者發(fā)起成功攻擊的困難度將呈指數(shù)級(jí)增長(zhǎng)，且針對(duì)一個(gè)用戶(hù)的成功攻擊無(wú)法應(yīng)用到另一個(gè)用戶(hù)上，能有效控制攻擊的范圍和影響.2)針對(duì)安全需求較高的用戶(hù)，可采用多變體執(zhí)行環(huán)境(multi-variant execution environment, MVEE)來(lái)同時(shí)運(yùn)行多個(gè)程序變體，將同一個(gè)輸入發(fā)送到所有正在運(yùn)行的變體程序，同時(shí)由一個(gè)監(jiān)控代理對(duì)這些變體的輸出進(jìn)行檢測(cè)，以確定是否存在攻擊.一旦檢測(cè)到攻擊，則立即關(guān)閉被侵害的程序變體，從而快速中止一個(gè)攻擊，有效控制攻擊的影響.通過(guò)對(duì)該技術(shù)進(jìn)行深度性能分析并多樣化一個(gè)完整的系統(tǒng)棧，證明了該技術(shù)在真實(shí)世界中具有良好的適用性[42].但是該方法額外引入的計(jì)算開(kāi)銷(xiāo)較大.

Christodorescu等人[43]提出了一種適用于所有應(yīng)用的端到端的軟件多樣化方法.該方法包括靜態(tài)組件和運(yùn)行組件：靜態(tài)組件在應(yīng)用程序運(yùn)行前首先識(shí)別出被所有子程序引用的實(shí)體集以及子程序進(jìn)行計(jì)算的代碼位置，并以語(yǔ)義保留的方式去重寫(xiě)這個(gè)應(yīng)用以多樣化子程序中的實(shí)體.被重寫(xiě)的應(yīng)用調(diào)用運(yùn)行組件以產(chǎn)生一個(gè)唯一的多樣化策略，并將該策略應(yīng)用到運(yùn)行期間的每一個(gè)子程序，且修改相應(yīng)的執(zhí)行環(huán)境，以提高安全性.該方法可對(duì)一個(gè)程序多次重復(fù)實(shí)施變換，從而使得攻擊者難以捕捉到正在運(yùn)行的應(yīng)用的缺陷,且針對(duì)不同應(yīng)用的多樣化策略不同，從而使得針對(duì)一個(gè)應(yīng)用的攻擊難以移植到其他應(yīng)用之上.但是該方法的實(shí)施對(duì)應(yīng)用的開(kāi)發(fā)、部署和操作均有影響，因此實(shí)際部署代價(jià)較高.

Pappas等人[44]提出了一種實(shí)用的軟件多樣化技術(shù)，通過(guò)隨機(jī)選擇和應(yīng)用不同的變換，如指令重組、寄存器重分配等，到被保護(hù)目標(biāo)每一個(gè)實(shí)例的二進(jìn)制執(zhí)行文件的代碼片段進(jìn)行小范圍的代碼隨機(jī)化，以破壞gadgets(正在運(yùn)行的進(jìn)程的可執(zhí)行內(nèi)存片段)的代碼語(yǔ)義，從而使得攻擊者無(wú)法保證總能找到未被改變的gadgets以實(shí)施有效的ROP攻擊.該技術(shù)可隨機(jī)選擇和應(yīng)用不同的變換到第三方應(yīng)用程序的每一個(gè)實(shí)例上，且不需要改變基本程序塊的位置，因此能有效增加攻擊者的門(mén)檻，降低其成功攻擊的概率，且所引入的額外開(kāi)銷(xiāo)比較小.但是該機(jī)制的目標(biāo)是消除或概率性修改盡可能多的有效gadgets，因此僅能對(duì)ROP攻擊提供概率性防御，故而可與現(xiàn)有其他技術(shù)相結(jié)合，以改善多樣化防御效果.

SEM(symbiotic embedded machines)[45]是一種新的共存防御機(jī)制，可用于保護(hù)設(shè)備驅(qū)動(dòng)程序、內(nèi)核、以及用戶(hù)應(yīng)用程序.該機(jī)制的工作過(guò)程包括3個(gè)階段：創(chuàng)建SEM、采用已有的技術(shù)對(duì)SEM和被保護(hù)程序進(jìn)行變換和隨機(jī)化、SEM注入(注入到被保護(hù)程序中).一旦注入過(guò)程結(jié)束，SEM將駐留在主機(jī)可執(zhí)行程序中并伴隨主機(jī)程序一起運(yùn)行.每當(dāng)SEM準(zhǔn)備注入到一個(gè)主機(jī)程序中，就會(huì)對(duì)自身代碼進(jìn)行隨機(jī)化變換以產(chǎn)生一個(gè)變體，且多個(gè)SEM可駐留在同一個(gè)軟件或單個(gè)執(zhí)行體的相同片段中，因此能有效產(chǎn)生被保護(hù)程序的大量加強(qiáng)型程序變體以供切換.但是由于SEM需要提取計(jì)算資源來(lái)執(zhí)行自己的負(fù)載，因此會(huì)對(duì)程序性能造成影響.

Roeder等人[46]提出的Proactive Obfuscation方法通過(guò)為一個(gè)軟件應(yīng)用創(chuàng)建多個(gè)副本并周期性重啟一個(gè)新副本來(lái)對(duì)抗攻擊.這些副本通過(guò)語(yǔ)義保留的代碼變換方式產(chǎn)生，提供同一功能，且共有的脆弱性極少.周期性重啟策略限定了某一時(shí)刻該服務(wù)被侵害副本的數(shù)量，且由于2個(gè)不同副本的共有脆弱性極少，因此針對(duì)一個(gè)副本的攻擊難以移植到其他副本之上，從而能夠有效抑制攻擊的影響，但是引入了額外的副本創(chuàng)建和管理開(kāi)銷(xiāo).

2.1.1.2等價(jià)變換

Rinard[47]認(rèn)為現(xiàn)有軟件系統(tǒng)實(shí)際所提供的功能通常超出用戶(hù)所需，且這些不必要的功能引入了更多的安全脆弱點(diǎn)，甚至于程序的攻擊面可能就來(lái)自于用戶(hù)不需要甚至不知道的那些功能，因此可對(duì)軟件程序進(jìn)行等價(jià)變換，即通過(guò)現(xiàn)有的一些成熟技術(shù)，如輸入校正(input rectification)、功能切除(fun-ctionality excision)、功能替換(functionality replace-ment)、循環(huán)打孔(loop perforation)、循環(huán)內(nèi)存分配(cyclic memory allocation)等，在提供用戶(hù)所需服務(wù)的同時(shí)去除一些不必要的功能，從而減小系統(tǒng)的攻擊面.這一方法可有效去除程序的部分脆弱點(diǎn)，縮小其攻擊面，但是在系統(tǒng)遭受攻擊時(shí)無(wú)法有效控制攻擊影響及范圍，提高系統(tǒng)彈性.

2.1.1.3其他變換方式

HMS(helix metamorphic shield)[26]通過(guò)一個(gè)多樣化組件和一個(gè)修復(fù)組件逐步提升程序的抗攻擊能力：時(shí)空多樣化引擎(spatio-temporal diversity engine)以較高速率重置隨機(jī)化密鑰對(duì)初始程序進(jìn)行動(dòng)態(tài)的指令集隨機(jī)化以實(shí)現(xiàn)攻擊面的移動(dòng)，產(chǎn)生動(dòng)態(tài)的多樣性；在攻擊被檢測(cè)和阻擾之后會(huì)產(chǎn)生一個(gè)指明脆弱性的可檢測(cè)事件，以觸發(fā)修復(fù)引擎(genprog repair engine)使用進(jìn)化算法來(lái)創(chuàng)建和審查修復(fù)補(bǔ)丁并自動(dòng)對(duì)目標(biāo)進(jìn)行修復(fù)以產(chǎn)生修復(fù)的程序變體，然后對(duì)修復(fù)后的程序變體進(jìn)行多樣化并加以部署.該方法使得程序的攻擊面發(fā)生移動(dòng)，同時(shí)不斷修復(fù)攻擊面，這兩者之間的交互作用導(dǎo)致程序自動(dòng)進(jìn)化為一個(gè)新的程序變體，且該程序變體的脆弱性會(huì)隨著時(shí)間的推移不斷減少，因此能有效增加攻擊者實(shí)施攻擊的困難度，但是引入了大量的計(jì)算、檢測(cè)及修復(fù)開(kāi)銷(xiāo).

Vikram等人[48]針對(duì)網(wǎng)絡(luò)爬蟲(chóng)提出了一種基于軟件變換的防御方法NOMAD，作為現(xiàn)有防御網(wǎng)絡(luò)爬蟲(chóng)方法的補(bǔ)充.NOMAD主要通過(guò)隨機(jī)化每一個(gè)HTTP表單頁(yè)面中的HTML組件的正確nameid 參數(shù)值(nameid表示的是HTML 組件在Web 頁(yè)面與HTML表單之間的對(duì)應(yīng)關(guān)系)以防止網(wǎng)絡(luò)爬蟲(chóng)識(shí)別這些組件并模仿真實(shí)用戶(hù)向遠(yuǎn)程服務(wù)器發(fā)送帶有特定內(nèi)容的請(qǐng)求.此外，還可以插入多種欺騙性組件來(lái)增加隨機(jī)化空間的熵(entropy)，降低攻擊者進(jìn)行暴力攻擊的成功率.該方法可以通過(guò)修改Web應(yīng)用源碼的方式來(lái)實(shí)現(xiàn)，也可以中間件的方式實(shí)現(xiàn)，不論哪一種方式都是對(duì)用戶(hù)透明的，但是由于添加了加密、解密等操作，會(huì)對(duì)應(yīng)用的響應(yīng)速度有所影響，而且，若插入欺騙性組件，則需要用戶(hù)對(duì)其進(jìn)行識(shí)別，會(huì)影響程序的可用性.

Table 1　Features of the Mechanisms Based on Software Transformations

Notes： In the mechanism called NOMAD, although multiple program variants do not exist in reality, and this mechanism generates multiple nameid parameter values of HTML elements. In this sense, NOMAD is also taken as a kind of multi-variant.

Andel等人[49]則提出利用FPGA來(lái)抵抗需跳轉(zhuǎn)進(jìn)入程序地址空間的攻擊(如棧溢出、堆溢出等).具體來(lái)說(shuō)是將一個(gè)帶有已知缺陷的程序劃分為無(wú)缺陷部分和有缺陷部分(主要是針對(duì)基于地址的攻擊而言)，讓無(wú)缺陷部分的程序在傳統(tǒng)處理器上運(yùn)行，而有缺陷的部分在FPGA上實(shí)現(xiàn)，使得針對(duì)有缺陷部分的攻擊無(wú)法展開(kāi)從而提高整個(gè)程序的安全度，且由于使用的是可重配置硬件，因此可以持續(xù)將切分的程序部分裝載到FPGA上運(yùn)行以提供動(dòng)態(tài)的適應(yīng)性的軟件輸出，從而得到多樣化的攻擊空間.該方法需要改變程序的運(yùn)行方式，且要求對(duì)程序所存在的缺陷非常了解并預(yù)先對(duì)程序進(jìn)行劃分，實(shí)用性還有待考察.

2.1.1.4基于軟件變換機(jī)制小結(jié)

表1對(duì)基于軟件變換的防御機(jī)制所具有的特性以及該機(jī)制正常運(yùn)行所依賴(lài)的其他技術(shù)進(jìn)行了歸納，可以看出，現(xiàn)有的基于軟件變換的機(jī)制主要通過(guò)3種方式使得系統(tǒng)攻擊面發(fā)生改變：1)采用不同方法產(chǎn)生多個(gè)具有同一功能但具有不同攻擊面的變體來(lái)為應(yīng)用軟件提供多種選擇；2)縮減已有的攻擊面；3)用硬件輔助實(shí)現(xiàn)軟件程序攻擊面的變化.同時(shí)，在選擇性采用上述3種方式來(lái)實(shí)現(xiàn)防御時(shí)，一些移動(dòng)目標(biāo)防御機(jī)制還結(jié)合了一些其他已有技術(shù)，如代碼隨機(jī)化(通過(guò)不同方法改變代碼結(jié)構(gòu)與語(yǔ)義)、名稱(chēng)隨機(jī)化(在不改變語(yǔ)義的基礎(chǔ)上隨機(jī)改變名稱(chēng)代號(hào))、攻擊檢測(cè)等以達(dá)到更好的防御效果.

2.1.2基于執(zhí)行環(huán)境變換的機(jī)制

基于執(zhí)行環(huán)境變換的機(jī)制是麻省理工學(xué)院林肯實(shí)驗(yàn)室(MIT Lincoln Laboratory)所提出的動(dòng)態(tài)平臺(tái)與動(dòng)態(tài)運(yùn)行環(huán)境[40]的結(jié)合體，是指變換應(yīng)用運(yùn)行時(shí)所需執(zhí)行環(huán)境(包括軟硬件、操作系統(tǒng)、配置文件等)配置的一類(lèi)技術(shù).依據(jù)參與變化的執(zhí)行環(huán)境的數(shù)量和分布方式，可將這些機(jī)制分為基于單個(gè)執(zhí)行環(huán)境的機(jī)制、基于多個(gè)集中式執(zhí)行環(huán)境的機(jī)制以及基于云平臺(tái)的機(jī)制.

2.1.2.1單個(gè)執(zhí)行環(huán)境變換

地址空間隨機(jī)化(address space randomization, ASR)[50]的基本思想是隨機(jī)化目標(biāo)在存儲(chǔ)器中的位置信息，從而使得依賴(lài)于目標(biāo)地址信息的攻擊失效.

ASR的具體實(shí)現(xiàn)機(jī)制包括多種：①隨機(jī)化?；坊蛉謳?kù)函數(shù)入口地址，或者為每一個(gè)棧幀添加一個(gè)隨機(jī)偏移量(在單個(gè)編譯過(guò)程內(nèi)該偏移量可為定值也可為變值)；②隨機(jī)化全局變量位置及為棧幀內(nèi)局部變量所分配的偏移量；③為每個(gè)新棧幀分配一個(gè)不可預(yù)測(cè)的位置(如隨機(jī)分配)，而不是分配到下一個(gè)相連的單元[51-52].具體的隨機(jī)化時(shí)機(jī)可以是程序編譯期間、進(jìn)程加載期間，也可以是程序運(yùn)行期間[53].

指令集隨機(jī)化(instruction-set randomization, ISR)[50,54]是通過(guò)對(duì)系統(tǒng)指令集進(jìn)行特殊的隨機(jī)處理來(lái)保護(hù)系統(tǒng)免遭代碼注入攻擊的一類(lèi)技術(shù).ISR通常由2種方式來(lái)實(shí)現(xiàn)：①在編譯時(shí)對(duì)可執(zhí)行程序的機(jī)器碼進(jìn)行異或加密操作，且采用特定寄存器來(lái)存儲(chǔ)加密所使用的隨機(jī)化密鑰，然后在程序解釋指令時(shí)再對(duì)機(jī)器碼進(jìn)行異或解密;②采用塊加密來(lái)替代異或操作，如采用AES加密算法，以128 b大小的塊為加密間隔尺度來(lái)加密程序代碼以實(shí)現(xiàn)指令集隨機(jī)化[55].此外，還可以在受用戶(hù)控制的程序安裝過(guò)程中通過(guò)使用不同的密鑰來(lái)實(shí)現(xiàn)隨機(jī)化，以完成對(duì)整個(gè)軟件棧的指令集隨機(jī)化，從而避免執(zhí)行未授權(quán)的二進(jìn)制和腳本程序[56].

數(shù)據(jù)隨機(jī)化(data randomization, DR)[50]的基本思想是改變數(shù)據(jù)在存儲(chǔ)器中的存儲(chǔ)方式.當(dāng)前已有的數(shù)據(jù)隨機(jī)化機(jī)制主要是通過(guò)異或操作對(duì)不同的數(shù)據(jù)對(duì)象進(jìn)行隨機(jī)化操作以實(shí)現(xiàn)不同的防御目標(biāo)： Cowan等人[57]提出將每個(gè)指針與一個(gè)隨機(jī)化密鑰進(jìn)行異或操作后存入存儲(chǔ)器當(dāng)中，待到指針被載入寄存器中時(shí)再將其還原以防御指針失效攻擊(pointer corruption attack)；Cadar等人[58]提出通過(guò)靜態(tài)分析為指令操作數(shù)進(jìn)行等價(jià)類(lèi)劃分，并為每一個(gè)等價(jià)類(lèi)分配一個(gè)隨機(jī)掩碼與相應(yīng)的數(shù)據(jù)進(jìn)行異或操作.一旦攻擊者想要進(jìn)行與分析結(jié)果不同的訪存就會(huì)導(dǎo)致錯(cuò)誤，從而能夠抵御針對(duì)存儲(chǔ)器錯(cuò)誤所進(jìn)行的探測(cè)攻擊；Bhatkar等人[59]提出在程序初始化時(shí)對(duì)程序所包含的所有數(shù)據(jù)類(lèi)型進(jìn)行分析，然后針對(duì)每一個(gè)數(shù)據(jù)對(duì)象選擇一個(gè)唯一的隨機(jī)數(shù)來(lái)實(shí)現(xiàn)異或加密，且僅在數(shù)據(jù)被引用時(shí)才進(jìn)行解密，以抵御相對(duì)地址攻擊.

ASR，ISR，DR雖然不是近年提出，且ASR和DR已獲得廣泛應(yīng)用，但其設(shè)計(jì)思想符合移動(dòng)目標(biāo)防御的基本內(nèi)涵，通過(guò)采用隨機(jī)化技術(shù)使得攻擊者難以判斷攻擊目標(biāo)位置，以增加攻擊者實(shí)施成功攻擊的復(fù)雜度和所需付出的代價(jià)，且針對(duì)一個(gè)系統(tǒng)的攻擊方法無(wú)法簡(jiǎn)單地移植到其他系統(tǒng)上，能有效抑制攻擊的范圍和危害.

2) Evolving Computer Configuration

Fulp等人[60-61]提出了一個(gè)對(duì)現(xiàn)有系統(tǒng)配置實(shí)施進(jìn)化變化以獲得更安全配置的方法框架.該框架包括3個(gè)相互作用的組件：①發(fā)現(xiàn)組件.將計(jì)算機(jī)配置(包括操作系統(tǒng)配置、應(yīng)用配置文件信息等)建模為染色體，作為進(jìn)化算法[60]或遺傳算法[61]的輸入，然后執(zhí)行交叉、變異等操作，產(chǎn)生一組新的安全度更高的配置，并將新產(chǎn)生的配置染色體發(fā)送到實(shí)現(xiàn)組件.②實(shí)現(xiàn)組件.包含一組虛擬機(jī)，用于實(shí)現(xiàn)所接收的配置染色體.③評(píng)估組件.當(dāng)配置染色體在虛擬機(jī)上的部署完成之后，首先對(duì)其進(jìn)行可行性評(píng)估(feasibility assessment)，然后使用掃描工具(如Nessus)和預(yù)定的評(píng)分規(guī)則對(duì)染色體的安全性加以評(píng)估，并依據(jù)評(píng)估結(jié)果選擇一部分染色體送往發(fā)現(xiàn)組件進(jìn)行新一輪的進(jìn)化過(guò)程，同時(shí)選擇合適的配置染色體部署到主機(jī)上.該方法使得呈現(xiàn)在攻擊者面前的系統(tǒng)配置不斷變化，能有效迷惑攻擊者，增加其實(shí)施成功攻擊的成本.

2.1.2.2多個(gè)集中式執(zhí)行環(huán)境變換

1) TALENT

可信動(dòng)態(tài)邏輯異構(gòu)系統(tǒng)(trusted dynamic logi-cal heterogeneity system, TALENT)[20]是一個(gè)通過(guò)借助平臺(tái)多樣性來(lái)提高應(yīng)用生存性的系統(tǒng)框架.該框架允許一個(gè)正在運(yùn)行的關(guān)鍵應(yīng)用程序遷移到另外的異構(gòu)平臺(tái)上，且主要通過(guò)使用container(操作系統(tǒng)級(jí)虛擬化)和一個(gè)可移植的檢查點(diǎn)編譯器來(lái)創(chuàng)建虛擬運(yùn)行環(huán)境，并在實(shí)現(xiàn)關(guān)鍵應(yīng)用遷移時(shí)保留應(yīng)用的狀態(tài)(包括執(zhí)行狀態(tài)、打開(kāi)的文件和網(wǎng)絡(luò)連接)，來(lái)保證應(yīng)用所提供性能；而為避免遷移到一個(gè)正在遭受攻擊的平臺(tái)上，可在關(guān)鍵應(yīng)用遷移之前采用可信賴(lài)平臺(tái)模塊(trusted platform module, TPM)對(duì)目標(biāo)平臺(tái)的安全性進(jìn)行驗(yàn)證.此外，為了提供更好的系統(tǒng)彈性和抗毀性，可使用NetSPA收集相關(guān)數(shù)據(jù)來(lái)計(jì)算可達(dá)性并構(gòu)建攻擊圖，分析和評(píng)估當(dāng)前所面臨的威脅等級(jí)，并確定重定位方案，然后觸發(fā)TALENT來(lái)進(jìn)行關(guān)鍵應(yīng)用的遷移[62]；為了更好地選擇目標(biāo)平臺(tái)，可依據(jù)博弈論的方法在給定的平臺(tái)集合中進(jìn)行應(yīng)用遷移目標(biāo)平臺(tái)的動(dòng)態(tài)選擇[63].

由于TALENT中不同平臺(tái)的物理配置、特性有所不同，因而在隨機(jī)時(shí)間間隔內(nèi)進(jìn)行平臺(tái)的轉(zhuǎn)換即可實(shí)現(xiàn)攻擊面的轉(zhuǎn)換，在一定能夠程度上能夠增加對(duì)關(guān)鍵應(yīng)用程序?qū)嵤┏晒舻拇鷥r(jià)；但是由于可供遷移的平臺(tái)集合較小，且每個(gè)平臺(tái)本身的脆弱性相對(duì)固定，若攻擊者選擇對(duì)平臺(tái)本身而不是關(guān)鍵應(yīng)用進(jìn)行攻擊，同樣可使得關(guān)鍵應(yīng)用程序的性能大幅度下降.

2) SCIT和MAS

自清洗入侵容忍(self-cleansing intrusion toler-ance, SCIT)系統(tǒng)[64]通過(guò)虛擬化技術(shù)創(chuàng)建多個(gè)初始狀態(tài)完全相同的虛擬服務(wù)器(virtual server， VS)來(lái)提供同一種服務(wù)，并以輪換(rotation)方式動(dòng)態(tài)隨機(jī)選擇和替換上線的虛擬服務(wù)器，下線的虛擬服務(wù)器則被重置為預(yù)先定義好的安全初始狀態(tài)，使得一個(gè)服務(wù)器的曝光時(shí)間從幾個(gè)月縮減為不超過(guò)1 min，從而增強(qiáng)服務(wù)器的可靠性并降低網(wǎng)絡(luò)攻擊所帶來(lái)的影響.該機(jī)制已在多種類(lèi)型的系統(tǒng)，如防火墻[65]、Web 服務(wù)器[66]、DNS[67]上加以應(yīng)用驗(yàn)證.但是由于每個(gè)虛擬機(jī)初始配置狀態(tài)完全相同，一旦攻擊者探測(cè)到該狀態(tài)的脆弱點(diǎn)仍可成功發(fā)起相應(yīng)攻擊.MAS(moving attack surfaces)[25]則可成功解決這一問(wèn)題，其設(shè)計(jì)思想與SCIT相同，主要區(qū)別在于為提供Web服務(wù)的每一個(gè)虛擬服務(wù)器都配置一個(gè)唯一的軟件集合，使得每一個(gè)虛擬服務(wù)器的初始狀態(tài)都不相同從而產(chǎn)生多樣化的攻擊面.

SCIT和MAS機(jī)制中所采用的多虛擬服務(wù)器輪換機(jī)制能有效抑制攻擊產(chǎn)生的影響范圍，也可有效提升服務(wù)的生存性.但是由于需要同時(shí)配置多個(gè)虛擬機(jī)來(lái)提供同一服務(wù)，且在極短時(shí)間內(nèi)即進(jìn)行一次輪換，因而資源冗余度較高、管理開(kāi)銷(xiāo)較大.且輪換方式具有一定的規(guī)律性，可能會(huì)被攻擊者破譯，因此齊曉霞等人提出對(duì)SCIT和MAS加以改進(jìn)，使用隨機(jī)調(diào)度策略來(lái)決定某一時(shí)刻后端服務(wù)器群中每臺(tái)服務(wù)器的即時(shí)狀態(tài)以提高系統(tǒng)變換的不可預(yù)測(cè)性[68].

2.1.2.3云平臺(tái)變換

Peng等人[38]提出了一個(gè)在云平臺(tái)下的服務(wù)部署策略，期望使得所提供的云服務(wù)能夠盡可能長(zhǎng)時(shí)間抵抗攻擊.該云服務(wù)可由多個(gè)虛擬機(jī)實(shí)例來(lái)提供，且將已部署了該服務(wù)的虛擬機(jī)實(shí)例稱(chēng)為活性的.在同一時(shí)刻，只有一部分虛擬機(jī)實(shí)例是活性的，且該服務(wù)可在這多個(gè)活性虛擬機(jī)實(shí)例之間進(jìn)行遷移.為防止攻擊者捕獲到活性的虛擬機(jī)實(shí)例從而對(duì)其發(fā)起相應(yīng)攻擊，作者設(shè)計(jì)了一個(gè)概率性的服務(wù)部署策略，即在每個(gè)離散時(shí)間單元之后，一個(gè)活性虛擬機(jī)實(shí)例會(huì)決定是否將服務(wù)遷移到其所對(duì)應(yīng)的實(shí)例集合當(dāng)中的某一個(gè)之上，并評(píng)判遷移過(guò)程的風(fēng)險(xiǎn)，以提高服務(wù)的抗攻擊能力.此外，使用風(fēng)險(xiǎn)感知機(jī)制有助于提高此移動(dòng)目標(biāo)防御機(jī)制的有效性.若所提供的是密集型服務(wù)或攻擊者的攻擊能力很強(qiáng)時(shí)，此帶有移動(dòng)目標(biāo)防御的服務(wù)比靜態(tài)服務(wù)能提供更好的彈性.

2.1.2.4基于執(zhí)行環(huán)境變換機(jī)制小結(jié)

我們?cè)诒?中對(duì)當(dāng)前已有的基于執(zhí)行環(huán)境變換的防御機(jī)制所具有的特性進(jìn)行了歸納(部分借鑒了麻省理工學(xué)院林肯實(shí)驗(yàn)室MIT Lincoln Laboratory在評(píng)估動(dòng)態(tài)平臺(tái)技術(shù)時(shí)所歸納的特性名稱(chēng))，同時(shí)對(duì)該機(jī)制正常運(yùn)行所依賴(lài)的其他技術(shù)加以描述，所總結(jié)的特性含義如下：

1) 多樣化(diversity).麻省理工學(xué)院林肯實(shí)驗(yàn)室MIT Lincoln Laboratory認(rèn)為，如果一項(xiàng)動(dòng)態(tài)平臺(tái)技術(shù)能夠改變應(yīng)用運(yùn)行平臺(tái)的特性，那么該技術(shù)具有多樣性.與之相似的，我們認(rèn)為某一機(jī)制具有多樣性是指為供防御者變換以進(jìn)行防御的特性(如系統(tǒng)配置、平臺(tái)等)配備了多個(gè)可供選擇的值.

2) 多實(shí)例(multi-instance).麻省理工學(xué)院林肯實(shí)驗(yàn)室MIT Lincoln Laboratory所提出的多實(shí)例是指同時(shí)存在多個(gè)平臺(tái)實(shí)例來(lái)為一項(xiàng)事務(wù)服務(wù)，而我們的多實(shí)例是指存在多個(gè)執(zhí)行環(huán)境實(shí)例供防御者切換.

3) 替換技術(shù)(replacement).用新的特性值取代舊的特性值.

4) 隨機(jī)化(randomization).以?xún)?nèi)部可管理的方式對(duì)特定對(duì)象進(jìn)行可控的隨機(jī)變化.

Table 2　Features of the Mechanisms Based on Mutative Execution Environment

“√” means the corresponding relationship between a mechanism and the four features

2.1.3基于通信參數(shù)變換的機(jī)制

網(wǎng)絡(luò)通信過(guò)程中所涉及的參數(shù)較多，這里所指的通信參數(shù)主要包括IP地址和通信端口.

2.1.3.1IP地址和(或)端口號(hào)變換

IP地址與通信端口是實(shí)現(xiàn)節(jié)點(diǎn)間通信的基本屬性，常被攻擊者利用以進(jìn)行信息探測(cè)、收集，因而也是最常用的移動(dòng)目標(biāo)防御變換對(duì)象之一.

1) DYNAT

動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換(dynamic network address translation, DYNAT)[69]通過(guò)變化報(bào)文頭中的主機(jī)標(biāo)識(shí)信息來(lái)防御網(wǎng)絡(luò)嗅探攻擊.在報(bào)文被路由之前，通過(guò)DYNAT shim對(duì)發(fā)送方添加到報(bào)文頭中的初始地址信息(端口和地址)進(jìn)行轉(zhuǎn)換(轉(zhuǎn)換算法依賴(lài)于一個(gè)預(yù)先設(shè)定好的隨時(shí)間變化的參數(shù))，然后發(fā)送到公共網(wǎng)絡(luò)中.DYNAT gateway在接收到該報(bào)文之后，會(huì)對(duì)報(bào)文頭域進(jìn)行逆轉(zhuǎn)換來(lái)獲得初始的身份信息，然后對(duì)其進(jìn)行正常處理并發(fā)送給接收方.該技術(shù)能有效增加攻擊者竊取有效信息以映射網(wǎng)絡(luò)并發(fā)起攻擊的難度，但是對(duì)用戶(hù)不透明，且該機(jī)制被設(shè)計(jì)用來(lái)保護(hù)一組部署在集中式網(wǎng)關(guān)后面的靜態(tài)節(jié)點(diǎn)，通過(guò)一個(gè)接口在被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間為所有進(jìn)入和出去的報(bào)文執(zhí)行地址信息翻譯工作，在網(wǎng)絡(luò)配置動(dòng)態(tài)性較高的情況下，可能會(huì)出現(xiàn)因無(wú)法通過(guò)一個(gè)集中的網(wǎng)關(guān)管理所有的通信和實(shí)現(xiàn)節(jié)點(diǎn)同步而失效的情況.

2) NASR

網(wǎng)絡(luò)地址空間隨機(jī)化(network address space randomization, NASR)[70]通過(guò)在網(wǎng)絡(luò)地址動(dòng)態(tài)分配的環(huán)境中調(diào)節(jié)節(jié)點(diǎn)IP地址的更改頻率來(lái)防御蠕蟲(chóng)攻擊.該機(jī)制需要配置一個(gè)DHCP服務(wù)器在不同時(shí)間間隔內(nèi)終止DHCP租約(lease)以實(shí)現(xiàn)地址隨機(jī)化，地址的改變可以在節(jié)點(diǎn)重啟時(shí)進(jìn)行也可以基于定時(shí)器設(shè)置來(lái)實(shí)現(xiàn).該機(jī)制需要對(duì)DHCP服務(wù)器進(jìn)行修改，且該機(jī)制必須部署在具有動(dòng)態(tài)地址的網(wǎng)絡(luò)中，因此部署代價(jià)比較高.此外，該機(jī)制實(shí)現(xiàn)的是局域網(wǎng)級(jí)別的地址隨機(jī)化，因此所能提供的不可預(yù)測(cè)性較低.

端口跳變(port hopping)技術(shù)主要是對(duì)服務(wù)所使用的UDPTCP端口號(hào)進(jìn)行跳變，使得攻擊者無(wú)法得知當(dāng)前有效的服務(wù)端口號(hào)從而抵御DoSDDoS攻擊.Lee等人[71]提出采用一個(gè)以系統(tǒng)時(shí)間、服務(wù)器與用戶(hù)之間的共享私鑰為變量的跳變函數(shù)來(lái)進(jìn)行UDPTCP端口跳變，使得經(jīng)過(guò)認(rèn)證的用戶(hù)因擁有密鑰從而能夠得到服務(wù)器當(dāng)前正在使用的端口號(hào)，而惡意用戶(hù)無(wú)法得知當(dāng)前的有效端口號(hào).該技術(shù)與UDP和TCP協(xié)議相兼容，不需要改變現(xiàn)有協(xié)議，也不需要對(duì)Internet 基礎(chǔ)設(shè)施進(jìn)行任何改變，可通過(guò)套接字通信來(lái)實(shí)現(xiàn)，易于實(shí)施，且能簡(jiǎn)化對(duì)惡意攻擊報(bào)文的檢測(cè)和過(guò)濾，但是該機(jī)制所采用的嚴(yán)格時(shí)間同步機(jī)制在延時(shí)和擁塞環(huán)境下適用性較低.Badishi等人[72]提出一種基于端口的配給信道(port-based rationing channel)的防御機(jī)制，在不同的信道里，通過(guò)使用偽隨機(jī)函數(shù)PRF*在最近使用過(guò)的端口集合中跳變選擇協(xié)議所使用的端口，使得不同的信道具有不同的端口，且每個(gè)信道在不同時(shí)刻所使用的端口也有所不同.但是該機(jī)制采用將新選擇的端口信息隨ACK報(bào)文傳播的方式來(lái)實(shí)現(xiàn)信息同步，若攻擊者截獲了該ACK報(bào)文，即可獲得通信所使用的端口信息.

網(wǎng)絡(luò)地址跳變(network address hopping)[73]的思路是通過(guò)跳變的方式使用多個(gè)被稱(chēng)為信道(channel)的數(shù)據(jù)連接(data connection)來(lái)傳遞一個(gè)通信會(huì)話的數(shù)據(jù)流，其中，信道是由目的IP端或源端,目的端元組來(lái)定義的一個(gè)抽象，而一個(gè)通信端可由IP地址來(lái)定義，也可由IP地址和端口號(hào)來(lái)共同定義，還可以由應(yīng)用標(biāo)識(shí)符來(lái)定義.該機(jī)制改變了2個(gè)通信體之間的通信模式，能有效干擾和迷惑攻擊者，且對(duì)用戶(hù)應(yīng)用完全透明，但是需要為通信的每一端都配置多個(gè)地址.

DARPA資助的APOD(application that participate in their own defense)[74]項(xiàng)目則通過(guò)同時(shí)采用端口和地址跳變(port and address hopping)機(jī)制來(lái)持續(xù)改變服務(wù)的IP地址和TCP端口號(hào)，使得攻擊者難以識(shí)別出服務(wù)提供者的真實(shí)身份并發(fā)起攻擊，從而提供以網(wǎng)絡(luò)為中心的防御以提高應(yīng)用的彈性.由于被攻擊者攔截的報(bào)文中所顯示的是隨機(jī)地址，且該地址的有效時(shí)間較短，因而能增加攻擊者實(shí)施成功攻擊的代價(jià)和復(fù)雜性，且能有效控制攻擊對(duì)用戶(hù)的影響.但是該機(jī)制對(duì)用戶(hù)不透明，需要在客戶(hù)端機(jī)器上安裝一個(gè)客戶(hù)端組件將真實(shí)的地址和端口替換為虛假的地址和端口號(hào)，服務(wù)器端則需要在服務(wù)器局域網(wǎng)內(nèi)或服務(wù)器主機(jī)上安裝NAT網(wǎng)關(guān)以實(shí)現(xiàn)逆向映射，且該機(jī)制不改變實(shí)際的地址和端口，因此無(wú)法防御內(nèi)部攻擊.

由美國(guó)陸軍授予雷聲公司的MORPHINATOR(morphing network assets to restrict adversarial reconnaissance)[12]項(xiàng)目也聚焦于端口跳變和地址跳變技術(shù)，旨在研制具有“變形”能力的計(jì)算機(jī)網(wǎng)絡(luò)原型，實(shí)現(xiàn)隨時(shí)間變形以迷惑網(wǎng)絡(luò)入侵者并阻止網(wǎng)絡(luò)攻擊的發(fā)生.MORPHINATOR中使用了網(wǎng)絡(luò)機(jī)動(dòng)(Cybermaneuver[75]，盡力捕獲、中斷、拒絕、降低、摧毀或操控計(jì)算和信息資源的一種能力)這一主動(dòng)式的計(jì)算機(jī)網(wǎng)絡(luò)防御技術(shù)，通過(guò)動(dòng)態(tài)更改網(wǎng)絡(luò)的一些方面(aspects)和配置(configuration)，期望使得主機(jī)和應(yīng)用在一定程度上對(duì)攻擊者來(lái)說(shuō)變得不可檢測(cè)和不可預(yù)測(cè)，以預(yù)防、延遲或阻止網(wǎng)絡(luò)攻擊，且依然可以被網(wǎng)絡(luò)管理者所管理.

4) 服務(wù)跳變和端跳變

石樂(lè)義、賈春福等人在總結(jié)前人工作的基礎(chǔ)上提出了服務(wù)跳變(service hopping)[76]及端跳變(end hopping)[77]的概念.實(shí)際上，服務(wù)跳變只是一個(gè)概念，并無(wú)確切定義，可將其視為端口跳變、地址跳變等技術(shù)的統(tǒng)稱(chēng)；端跳變是在端到端通信中，雙方或一方按照協(xié)定偽隨機(jī)地改變端口、地址、時(shí)隙、加密算法，甚至協(xié)議等信息，從而破壞攻擊者的攻擊和對(duì)抗干擾，實(shí)現(xiàn)主動(dòng)式的網(wǎng)絡(luò)防御.其主要工作包括提出了一個(gè)基于端口和地址信息的跳變機(jī)制，以及基于時(shí)間戳的同步機(jī)制，并開(kāi)發(fā)了一個(gè)原型系統(tǒng)進(jìn)行測(cè)試，證明了該策略的有效性和可行性[78].該系統(tǒng)所存在的缺陷在于攻擊者仍然可以通過(guò)監(jiān)聽(tīng)合法用戶(hù)和服務(wù)器端的網(wǎng)絡(luò)，通過(guò)兩者之間正常的SYN報(bào)文獲得端信息從而發(fā)起攻擊，為此又引入了插件機(jī)制[79]，但是在該插件機(jī)制中，路由器是內(nèi)部服務(wù)器與外部客戶(hù)端相互通信的唯一通道，成為了新的瓶頸.

5) IP地址變換

Al-Shaer等人提出了一系列的地址變換(IP address mutation)機(jī)制.首先提出的是一種應(yīng)用于軟件定義網(wǎng)(software defined network, SDN)中的地址隨機(jī)變換技術(shù)OF-RHM(OpenFlow random host mutation)[21]，通過(guò)OpenFlow控制器頻繁地為主機(jī)分配隨機(jī)虛擬IP，且由OF-switch執(zhí)行真實(shí)IP與虛擬IP之間的轉(zhuǎn)換，使得網(wǎng)絡(luò)中所傳輸報(bào)文所帶有的均為虛擬IP，以增加攻擊者對(duì)特定端主機(jī)進(jìn)行探測(cè)的難度.

鑒于OF-RHM在傳統(tǒng)網(wǎng)絡(luò)中難以部署，接著又提出了隨機(jī)主機(jī)交換(random host mutation, RHM)[22].RHM的設(shè)計(jì)思想及實(shí)現(xiàn)方式與OF-RHM類(lèi)似，主要區(qū)別在于虛擬IP分配方法和分配組件的不同：該機(jī)制使用低頻變換(low frequency mutation， LFM)和高頻變換(high frequency mutation， HFM)兩種隨機(jī)變換粒度來(lái)實(shí)現(xiàn)虛擬IP的分配，其中，一個(gè)低頻變換間隔區(qū)間內(nèi)包含多個(gè)高頻變換間隔區(qū)間.在每一個(gè)低頻變換間隔內(nèi)，系統(tǒng)會(huì)為每一個(gè)主機(jī)選擇一個(gè)滿足多種限制條件的隨機(jī)地址范圍，而后在每一個(gè)高頻變換間隔內(nèi)，會(huì)在上一個(gè)LFM間隔所分配的地址范圍內(nèi)隨機(jī)選擇一個(gè)虛擬IP分配給主機(jī).虛擬地址的分配由移動(dòng)目標(biāo)控制器(moving target controller， MTC)來(lái)執(zhí)行，而真實(shí)IP與虛擬IP之間的轉(zhuǎn)換則由移動(dòng)目標(biāo)網(wǎng)關(guān)(moving target gateway， MTG)來(lái)實(shí)現(xiàn).

為了進(jìn)一步提高變換機(jī)制所提供安全度，又提出了時(shí)空地址變換(spatio-temporal address muta-tion)[80]機(jī)制來(lái)動(dòng)態(tài)變化主機(jī)-IP綁定關(guān)系.在該機(jī)制中，與主機(jī)真實(shí)IP相對(duì)應(yīng)的瞬時(shí)IP(ephemeral IP，eIP)是以源標(biāo)識(shí)和時(shí)間為參數(shù)來(lái)確定的，因此每一個(gè)瞬時(shí)IP僅能在特定時(shí)間間隔與另一個(gè)特定主機(jī)進(jìn)行連接通信.與OF-RHM及RHM不同的是，在源網(wǎng)關(guān)和目的網(wǎng)關(guān)之間網(wǎng)絡(luò)上傳輸?shù)膱?bào)文所帶有的是源和目的主機(jī)的真實(shí)IP，而不是虛擬IP.

6) MT6D

MT6D(moving target IPv6 defense)[23]是在IPv6下實(shí)現(xiàn)的網(wǎng)絡(luò)層移動(dòng)目標(biāo)防御方法，用于對(duì)抗針對(duì)特定目標(biāo)的竊聽(tīng)、攻擊和主機(jī)追蹤等.在該方法中，通信雙方利用各自當(dāng)前地址的接口標(biāo)識(shí)符(interface identifier， IID)、一個(gè)共享的對(duì)稱(chēng)性密鑰以及系統(tǒng)時(shí)間，計(jì)算出下一步要使用的接口標(biāo)識(shí)符并通告出去，然后使用新的接口標(biāo)識(shí)符來(lái)進(jìn)行通信.MT6D可在一個(gè)會(huì)話期間進(jìn)行多次網(wǎng)絡(luò)地址變化而不會(huì)中斷會(huì)話[81]，因此對(duì)通信性能影響不大.由于通信雙方的地址持續(xù)在變化，且IPv6地址空間較大從而使得變化比較豐富，導(dǎo)致攻擊者想要對(duì)通信雙方發(fā)起攻擊就必須耗費(fèi)更多的資源和時(shí)間，從而增加了攻擊的代價(jià)和困難度.現(xiàn)實(shí)中，MT6D可應(yīng)用于智能網(wǎng)格(smart grid)中保護(hù)對(duì)等端(peer)之間的通信，同時(shí)對(duì)對(duì)等端本身提供一定的保護(hù)以免遭攻擊[82]；也可被應(yīng)用于移動(dòng)系統(tǒng)中以保護(hù)系統(tǒng)中的靜態(tài)關(guān)鍵節(jié)點(diǎn)[83].但在同一時(shí)刻，路由器處要為同一個(gè)節(jié)點(diǎn)保存多個(gè)地址以及相應(yīng)的對(duì)應(yīng)關(guān)系，因此增加了一定的存儲(chǔ)開(kāi)銷(xiāo).此外，MT6D初始采用UDP作為其傳輸層協(xié)議，而UDP所創(chuàng)建的套接字僅能綁定在單個(gè)IP地址上，限制了MT6D在多地址情況下的適用性，因此可考慮將多宿主傳輸層協(xié)議，如SCTP應(yīng)用到MT6D中，以改善其性能[84].

7) SDNA

SDNA(self-shielding dynamic network archi-tecture)[85]期望將現(xiàn)有網(wǎng)絡(luò)技術(shù)、hypervisor技術(shù)、基于通用訪問(wèn)卡(common access card, CAC)的認(rèn)證技術(shù)以及IPv6等多種技術(shù)以互補(bǔ)的方式相結(jié)合來(lái)改變網(wǎng)絡(luò)形態(tài)以提高整體安全度.在該結(jié)構(gòu)中，每一個(gè)節(jié)點(diǎn)的hypervisor會(huì)重寫(xiě)進(jìn)入和離開(kāi)操作系統(tǒng)的報(bào)文以避免泄露真實(shí)的地址，并對(duì)來(lái)自網(wǎng)絡(luò)的每個(gè)報(bào)文加以驗(yàn)證，且依據(jù)驗(yàn)證結(jié)果提供主機(jī)級(jí)或服務(wù)級(jí)可用性，未通過(guò)驗(yàn)證的報(bào)文會(huì)被送往蜜罐進(jìn)行檢測(cè)或被丟棄.該技術(shù)對(duì)操作系統(tǒng)透明，且與現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施及安全技術(shù)兼容，易于實(shí)施，可保證若沒(méi)有來(lái)自用戶(hù)的特有認(rèn)證，操作系統(tǒng)就無(wú)法接入到網(wǎng)絡(luò)中，因此能夠限制攻擊者收集信息并在網(wǎng)絡(luò)中傳播的能力.但是該結(jié)構(gòu)要求報(bào)文在到達(dá)最終目的地之前至少穿過(guò)一個(gè)中間節(jié)點(diǎn)，且源節(jié)點(diǎn)需采用每次與一個(gè)中間節(jié)點(diǎn)建立安全通道的方式逐步擴(kuò)散開(kāi)來(lái)與目的節(jié)點(diǎn)之間建立安全通道，并進(jìn)行數(shù)據(jù)的認(rèn)證傳輸，開(kāi)銷(xiāo)較大且會(huì)對(duì)用戶(hù)的網(wǎng)絡(luò)操作造成影響.

8) MOTAG

MOTAG(a moving target defense mechanism against Internet DDoS attacks)[86]機(jī)制被用于幫助在線應(yīng)用服務(wù)器抵御網(wǎng)絡(luò)泛洪攻擊.該機(jī)制在被保護(hù)服務(wù)器周?chē)渴鹨唤M代理節(jié)點(diǎn)(proxies)，且為每一個(gè)認(rèn)證用戶(hù)分配一個(gè)活動(dòng)代理(working proxy)來(lái)轉(zhuǎn)發(fā)用戶(hù)與服務(wù)器之間的數(shù)據(jù)流量以保證向用戶(hù)提供正常的在線服務(wù).當(dāng)檢測(cè)到存在攻擊后，則進(jìn)行代理轉(zhuǎn)換(proxy shuffling)，即使用新的后備代理節(jié)點(diǎn)取代被攻擊的代理節(jié)點(diǎn)，并將原代理節(jié)點(diǎn)上的用戶(hù)遷移至新代理節(jié)點(diǎn)上.由于應(yīng)用服務(wù)器的地址對(duì)任意用戶(hù)都保密，即使是認(rèn)證用戶(hù)也僅知道為其所分配活動(dòng)代理的IP地址，從而避免了不必要的信息泄露，且代理節(jié)點(diǎn)會(huì)依據(jù)認(rèn)證服務(wù)器傳送過(guò)來(lái)的信息對(duì)所接收用戶(hù)流量進(jìn)行過(guò)濾，因此能有效防御外部攻擊者；若存在內(nèi)部攻擊者，通過(guò)代理轉(zhuǎn)換可逐步將攻擊者集中至特定的代理上，從而最小化攻擊影響.但是MOTAG只有在檢測(cè)到攻擊之后才進(jìn)行代理轉(zhuǎn)換操作，因此必須與攻擊檢測(cè)機(jī)制配套使用.

9) 其他地址變換方法

Albanese 等人[87]描述了一種在MANETs(mobile ad hoc networks)中通過(guò)周期性改變網(wǎng)絡(luò)節(jié)點(diǎn)的虛擬身份以增加攻擊者不確定性、增強(qiáng)網(wǎng)絡(luò)健壯性的方法.為了維護(hù)合法用戶(hù)之間的通信，需要對(duì)網(wǎng)絡(luò)層進(jìn)行以下修改：①引入一個(gè)翻譯服務(wù)，將虛擬身份映射到真實(shí)身份;②引入一個(gè)更新協(xié)議，在所有合法用戶(hù)之間傳遞用戶(hù)虛擬身份的更新信息，以降低通信中斷率和報(bào)文丟失率;③引入一個(gè)保證合法用戶(hù)能安全接入網(wǎng)絡(luò)的機(jī)制,該方法需要對(duì)網(wǎng)絡(luò)層進(jìn)行大量修改，部署代價(jià)較高.

2.1.3.2變換通信參數(shù)機(jī)制小結(jié)

表3從變換模式、參與變換的參數(shù)以及該機(jī)制正常運(yùn)行所依賴(lài)的其他技術(shù)3個(gè)方面對(duì)本節(jié)所介紹的基于通信參數(shù)變換的機(jī)制進(jìn)行總結(jié)分析，其中，變換模式主要有2種：

1) 跳變(hopping).通信的雙方都完全了解一方或雙方的跳變信息，通信過(guò)程不一定需要借助第三方支持.采用跳變的機(jī)制使得攻擊者難以預(yù)測(cè)通信雙方在某一特定時(shí)刻所使用的信息，且被攔截的報(bào)文中所攜帶的信息僅在短期內(nèi)有效，因而總能有效降低攻擊者竊取信息的能力，增加其實(shí)施成功攻擊的代價(jià)和難度，降低攻擊成功率，提高系統(tǒng)的彈性；而機(jī)制的性能則會(huì)受到同步精度以及跳變圖樣信息(一方或雙方的跳變規(guī)律信息)安全性的影響.

Table 3　Features of the Mechanisms Based on Mutative Communication Parameter

Notes： In the mechanism called MTD-MANETs, the virtual identity of legitimate nodes rather than IP address changes dynamically. However, as the virtual identity is used for communication between network nodes, we still take the moving parameter as IP address.

2.2跨層移動(dòng)目標(biāo)防御機(jī)制研究

跨層移動(dòng)目標(biāo)防御機(jī)制可在多個(gè)層次選擇變化對(duì)象進(jìn)行同時(shí)性變化，使得系統(tǒng)變換更加復(fù)雜，從而能夠有效迷惑攻擊者，增加其實(shí)施成功攻擊的困難度及所需耗費(fèi)的資源，但是同時(shí)會(huì)讓系統(tǒng)的管理開(kāi)銷(xiāo)、資源開(kāi)銷(xiāo)增大，也會(huì)給系統(tǒng)的性能帶來(lái)影響.當(dāng)前已有的研究包括：

1) 網(wǎng)絡(luò)機(jī)動(dòng)指揮官(network maneuver commander, NMC)[13-14]是雷聲公司開(kāi)發(fā)的網(wǎng)絡(luò)指揮控制系統(tǒng)的研究模型，通過(guò)持續(xù)地提前進(jìn)行網(wǎng)絡(luò)組件的機(jī)動(dòng)以提高網(wǎng)絡(luò)在被侵害環(huán)境下的彈性.NMC可依據(jù)網(wǎng)絡(luò)中的威脅信息對(duì)一個(gè)系統(tǒng)分屬于多個(gè)層次的多種資源，包括路徑、端口、應(yīng)用平臺(tái)、虛擬平臺(tái)、應(yīng)用及其數(shù)據(jù)和運(yùn)行環(huán)境、協(xié)議、操作系統(tǒng)、配置信息、地址信息等進(jìn)行機(jī)動(dòng)變換，并通過(guò)使用隨機(jī)化算法依據(jù)多樣性、地理目的地以及移動(dòng)間隔這3類(lèi)信息來(lái)進(jìn)行機(jī)動(dòng)位置的選擇，同時(shí)考慮系統(tǒng)的威脅等級(jí)信息、安全區(qū)域(security zone)的限制等對(duì)這3類(lèi)信息的影響.此外，NMC還實(shí)現(xiàn)了欺騙功能，當(dāng)一個(gè)應(yīng)用機(jī)動(dòng)到新的位置之后，原先位置上的那個(gè)應(yīng)用可被清除或被保留以實(shí)現(xiàn)蜜罐功能，以隔離、保留、監(jiān)測(cè)和欺騙可疑的應(yīng)用與用戶(hù).

2) MUTE(mutable networks)[88]通過(guò)采用2種隨機(jī)技術(shù)使得網(wǎng)絡(luò)可以隨機(jī)動(dòng)態(tài)地更改它的配置，而同時(shí)保留網(wǎng)絡(luò)操作的需求和完整性，以限制攻擊者掃描、發(fā)現(xiàn)、識(shí)別和定位網(wǎng)絡(luò)目標(biāo)、進(jìn)行網(wǎng)絡(luò)映射并發(fā)起DoS攻擊和創(chuàng)建botnets結(jié)構(gòu)的能力：①隨機(jī)地址跳變技術(shù)(random address hopping)，頻繁為網(wǎng)絡(luò)主機(jī)重分配與真實(shí)IP地址相獨(dú)立的隨機(jī)虛擬IP地址用于路由(隨機(jī)IP地址的選擇是通過(guò)使用一個(gè)crypto-based函數(shù)及一個(gè)secret random key來(lái)實(shí)現(xiàn)的，以此來(lái)保證不可預(yù)測(cè)性及全局配置的同步性)；②隨機(jī)指紋技術(shù)(random finger printing)，攔截主機(jī)的響應(yīng)信息并進(jìn)行修改以最大化熵(entropy)，并給出一個(gè)虛假的操作系統(tǒng)和應(yīng)用身份.但是該結(jié)構(gòu)尚處于設(shè)計(jì)階段，有很多關(guān)鍵研究問(wèn)題尚需解決，如快速性和不可預(yù)測(cè)性、透明性、可部署性、可擴(kuò)展性等.

3) Casola等人[89]提出了一個(gè)分層的移動(dòng)目標(biāo)防御體系，通過(guò)在網(wǎng)絡(luò)的2個(gè)不同體系結(jié)構(gòu)層：安全層(security layer)和物理層(physical layer)上進(jìn)行細(xì)粒度的重配置來(lái)提高系統(tǒng)總的安全等級(jí)，保護(hù)資源受限的分布式設(shè)備.其中，安全層的重配置是在特定的性能與能耗限制下，通過(guò)切換滿足不同安全需求的不同密碼系統(tǒng)來(lái)實(shí)現(xiàn)；而物理重配置則通過(guò)切換為節(jié)點(diǎn)配備的不同版本固件來(lái)實(shí)現(xiàn).這種重配置可以是反應(yīng)式的，即系統(tǒng)感知或檢測(cè)到了一個(gè)威脅或有了新的安全需求從而進(jìn)行重配置，也可以是主動(dòng)的，即系統(tǒng)周期性進(jìn)行重配置以降低每種配置的曝光時(shí)間.這2個(gè)層次的重配置可提供不同級(jí)別的安全性，實(shí)現(xiàn)靈活的防御，但是因?yàn)楣碳^貴，因而部署代價(jià)較高，且頻繁的切換對(duì)分布式節(jié)點(diǎn)的能耗影響較大.

4) Corbett等人[90]設(shè)計(jì)的對(duì)抗無(wú)線網(wǎng)絡(luò)中智能干擾攻擊(intelligent jamming attacks)的移動(dòng)目標(biāo)防御方法在3個(gè)層次上進(jìn)行變換：①服務(wù)器多樣化(server diversity).使用一組虛擬Web服務(wù)器為用戶(hù)提供相同的內(nèi)容，其中每一個(gè)虛擬機(jī)均采用不同的Web 服務(wù)器軟件和操作系統(tǒng)的組合，且持續(xù)在不同服務(wù)器配置之間進(jìn)行變換以降低攻擊者探測(cè)到某一虛擬機(jī)脆弱性的概率.②調(diào)制編碼機(jī)制迷惑(modulation and coding scheme obfuscation).周期性重分配調(diào)制編碼機(jī)制(modulation and coding scheme， MCS)索引值，且在發(fā)送方采用一種接收方已知的方式來(lái)對(duì)幀頭中的MCS索引值進(jìn)行迷惑(obfuscate)操作，以降低攻擊者所采集信息的有效性.③調(diào)制重映射(modulation remapping).周期性改變邏輯比特(bit)與物理符號(hào)之間的映射方式，即通過(guò)使用新的比特-符號(hào)映射(bit-to-symbol mappings)來(lái)修改正交調(diào)幅(quadrature amplitude modulation， QAM)符號(hào)，以支持物理層多樣性.該體系中多個(gè)層次所采用防御方法的跨層交互使得可以基于其他層的信息來(lái)調(diào)整某一層的移動(dòng)目標(biāo)防御行為以提供更好的彈性，但這種協(xié)議靈活性移動(dòng)目標(biāo)防御方法會(huì)給網(wǎng)絡(luò)帶來(lái)復(fù)雜性和開(kāi)銷(xiāo)，且有可能損害合法用戶(hù)的可用性.

3防御機(jī)制有效性評(píng)估及實(shí)用化研究

3.1防御機(jī)制有效性評(píng)估

移動(dòng)目標(biāo)防御有效性評(píng)估是移動(dòng)目標(biāo)防御系統(tǒng)設(shè)計(jì)中的一個(gè)重要部分，它的主要作用在于評(píng)估、比較防御機(jī)制的有效性，為后續(xù)的移動(dòng)目標(biāo)防御設(shè)計(jì)提供一定的參考與指導(dǎo).當(dāng)前常用的方法包括模擬、理論分析、模型分析以及這3種方法當(dāng)中任意2種或3種方法的混合.

1) 基于模擬方法的評(píng)估

Zhuang等人[8]首先提出可采用基于模擬的方法來(lái)研究移動(dòng)目標(biāo)防御機(jī)制的有效性，通過(guò)使用NeSSi2創(chuàng)建一個(gè)模擬網(wǎng)絡(luò)，且隨機(jī)改變網(wǎng)絡(luò)節(jié)點(diǎn)的一些屬性(從角色到IP地址)，并周期性發(fā)動(dòng)攻擊試圖破壞一個(gè)任務(wù)來(lái)判斷攻擊成功率與不同防御設(shè)置之間的關(guān)系.

2) 基于理論分析的評(píng)估

Evans等人[50]則采用理論分析的方法分析了動(dòng)態(tài)多樣化技術(shù)(如ASR，ISR，DR)對(duì)防御規(guī)避攻擊(circumvention attack)、副本攻擊(deputy attack)、暴力攻擊(brute force and entropy reduction attack)、嗅探攻擊(probing attack)以及增量攻擊(incremental attack)的效果.Han等人[91]提出用網(wǎng)絡(luò)傳播動(dòng)力學(xué)理論對(duì)能改變攻防結(jié)構(gòu)、能改變攻防能力以及能同時(shí)改變攻防結(jié)構(gòu)和攻防能力的3類(lèi)移動(dòng)目標(biāo)防御技術(shù)進(jìn)行評(píng)估，說(shuō)明了這些機(jī)制的有效性.

3) 基于模型分析的評(píng)估

Zhuang等人[92]提出了一個(gè)分析模型來(lái)簡(jiǎn)單計(jì)算在一個(gè)有部分節(jié)點(diǎn)采用移動(dòng)目標(biāo)防御機(jī)制(如虛擬機(jī)重置替換)的網(wǎng)絡(luò)中，外部節(jié)點(diǎn)侵害網(wǎng)絡(luò)內(nèi)部一個(gè)特定節(jié)點(diǎn)的概率，使得系統(tǒng)設(shè)計(jì)者能比較不同設(shè)計(jì)參數(shù)的作用，從而最大限度地保護(hù)關(guān)鍵節(jié)點(diǎn).

Carroll等人[93]通過(guò)甕模型分析網(wǎng)絡(luò)地址變換(network address shuffling)技術(shù)對(duì)嗅探攻擊的防御效果.通過(guò)部署2種極端的變換策略，靜態(tài)地址(即無(wú)變換)以及每次嗅探后都進(jìn)行變換，發(fā)現(xiàn)攻擊者的成功率主要與變換的地址空間大小(network size)、每次發(fā)出的嗅探數(shù)量、網(wǎng)絡(luò)中的脆弱節(jié)點(diǎn)數(shù)量以及變換頻率這4個(gè)因素有關(guān)，并分析發(fā)現(xiàn)變換技術(shù)僅能為帶有少量脆弱節(jié)點(diǎn)的網(wǎng)絡(luò)提供一定保護(hù)，且在實(shí)際中使用變換技術(shù)的代價(jià)很高.

Luo等人[94]則采用甕模型分析端口跳變技術(shù)對(duì)偵察攻擊的防御能力.通過(guò)部署2種極端的端口跳變策略，靜態(tài)端口(即無(wú)跳變)以及完美端口跳變(即隨機(jī)改變連接到服務(wù)的端口號(hào))，發(fā)現(xiàn)攻擊成功率取決于端口池的大小、探針的數(shù)量、易受攻擊的服務(wù)號(hào)和跳變頻率.理論分析結(jié)果表明，端口跳變能有效提高應(yīng)對(duì)偵察攻擊的安全性能，如果系統(tǒng)中只有少量易被攻擊的服務(wù)且端口池大小較大，端口跳變是一種可接受的防御方法.

Xu等人[95]在總結(jié)前人工作的基礎(chǔ)上，提出了一個(gè)3層模型來(lái)比較不同移動(dòng)目標(biāo)防御機(jī)制的有效性.第1層是程序狀態(tài)機(jī)(program state machine，PSM)，用于捕獲單個(gè)程序的環(huán)境信息以表征攻擊如何侵害該程序；第2層是系統(tǒng)狀態(tài)機(jī)(system state machine， SSM)，用于模擬不同程序間的交互，其中，SSM的不同狀態(tài)表示對(duì)系統(tǒng)不同組件的損害.該模型還提供不同的SSM變體并可在這些變體之間進(jìn)行切換以實(shí)現(xiàn)對(duì)不同移動(dòng)目標(biāo)機(jī)制有效性的評(píng)估；第3層是評(píng)估狀態(tài)機(jī)(evaluation state machine， ESM)，用于描述整個(gè)系統(tǒng)所受到的損害，并顯式描述不同移動(dòng)目標(biāo)防御機(jī)制組合如何減輕攻擊的損害.

4) 基于混合方法的評(píng)估

Okhravi等人[96]開(kāi)發(fā)了一個(gè)模型對(duì)動(dòng)態(tài)平臺(tái)技術(shù)的有效性進(jìn)行量化.他們首先對(duì)典型動(dòng)態(tài)平臺(tái)技術(shù)的4個(gè)特性進(jìn)行描述，然后以TALENT[20,97](詳細(xì)描述見(jiàn)2.1.2.2節(jié))為例，通過(guò)模擬實(shí)驗(yàn)來(lái)分析這些特性對(duì)系統(tǒng)所提供安全性的影響，并在此基礎(chǔ)上提出了一個(gè)通用概率模型預(yù)測(cè)某一攻擊想要侵害一個(gè)系統(tǒng)所需時(shí)間的期望值，以此來(lái)量化動(dòng)態(tài)平臺(tái)技術(shù)安全性.

Clark等人[32]對(duì)基于欺騙的MTD方法的有效性進(jìn)行了研究和分析.基于欺騙的MTD方法主要是通過(guò)在網(wǎng)絡(luò)中引入大量的欺騙(虛假)節(jié)點(diǎn)，且為每一個(gè)欺騙節(jié)點(diǎn)賦予一個(gè)合法IP地址同時(shí)配置簡(jiǎn)化的通用網(wǎng)絡(luò)協(xié)議，并對(duì)真實(shí)節(jié)點(diǎn)和欺騙節(jié)點(diǎn)的IP地址均進(jìn)行隨機(jī)化，來(lái)降低真實(shí)節(jié)點(diǎn)被識(shí)別、被攻擊的概率.本文首先描述了攻擊者與單個(gè)節(jié)點(diǎn)之間的交互，并分析了虛假節(jié)點(diǎn)掩飾真實(shí)節(jié)點(diǎn)的有效性.而后使用MATLAB以及通過(guò)NMAP在現(xiàn)實(shí)中所收集的數(shù)據(jù)進(jìn)行了模擬實(shí)驗(yàn)，驗(yàn)證了分析結(jié)果的正確性，從而證明了基于欺騙的MTD方法的有效性.

3.2防御機(jī)制實(shí)用化研究

實(shí)用化研究是一個(gè)機(jī)制在現(xiàn)實(shí)世界中得以實(shí)際應(yīng)用的基礎(chǔ)與前提，在移動(dòng)目標(biāo)防御研究領(lǐng)域也不例外.目前，現(xiàn)有的相關(guān)研究非常少.

在基于軟件變換的防御方式下，向二進(jìn)制程序中插入垃圾指令(garbage instructions)是對(duì)抗代碼復(fù)用攻擊的一種有效防御方式，但是同時(shí)，這種方式會(huì)導(dǎo)致程序的執(zhí)行變慢，損害程序的性能.Murphy等人[98]提出使用軟件設(shè)置(software profiling)的方式在保持高度安全性的同時(shí)通過(guò)變化垃圾指令插入到二進(jìn)制程序中任意指定位置的概率以求達(dá)到最優(yōu)化從而降低開(kāi)銷(xiāo).

在移動(dòng)目標(biāo)防御背景下，不僅是防御者，攻擊者也會(huì)調(diào)整自己的策略以盡量達(dá)到自己的攻擊目標(biāo)，這會(huì)導(dǎo)致防御者對(duì)攻擊者所知有限從而影響防御決策.Zhu等人[99]提出2個(gè)迭代的強(qiáng)化學(xué)習(xí)算法幫助防御者在對(duì)攻擊者所知有限時(shí)進(jìn)行最優(yōu)防御：當(dāng)攻擊者的探測(cè)速率(exploitation rate)逐漸降低時(shí)，采用適應(yīng)性的強(qiáng)化學(xué)習(xí)算法，依據(jù)本輪防御所得收益與上一輪防御收益之間的大小關(guān)系來(lái)決定在下一輪防御中是否需要變換防御行為；當(dāng)攻擊者的探測(cè)速率不是逐漸縮小時(shí)，則采用強(qiáng)健的強(qiáng)化學(xué)習(xí)算法，即防御者對(duì)每一輪的系統(tǒng)性能進(jìn)行評(píng)估，并對(duì)之前所有的性能值進(jìn)行比較，且判定出能最小化歷史集中最大性能值的行為集合，而后以一定的概率從中隨機(jī)選擇一個(gè)行為作為下一輪防御行為.

一個(gè)機(jī)制能夠在實(shí)際網(wǎng)絡(luò)中廣泛部署應(yīng)用，必須具有良好的性能、易于改進(jìn)與擴(kuò)展、與現(xiàn)有網(wǎng)絡(luò)與設(shè)備良好兼容等特性.因此，對(duì)機(jī)制的實(shí)用性加以研究具有重要的實(shí)際意義，而現(xiàn)有研究極少，因此應(yīng)在后續(xù)加強(qiáng)該方向的深入研究.

4總結(jié)與展望

網(wǎng)絡(luò)安全形勢(shì)的日益嚴(yán)峻，現(xiàn)有防御方法的不足，使得人們一直在探索如何構(gòu)建安全的網(wǎng)絡(luò)，實(shí)現(xiàn)安全的通信.移動(dòng)目標(biāo)防御這一“改變游戲規(guī)則”的革命性技術(shù)一經(jīng)提出，就得到學(xué)術(shù)界和企業(yè)界的重視，并涌現(xiàn)出了大量的研究成果.本文在對(duì)移動(dòng)目標(biāo)防御的基本概念介紹的基礎(chǔ)上，將已有的移動(dòng)目標(biāo)防御研究劃分為移動(dòng)目標(biāo)防御機(jī)制研究、機(jī)制有效性評(píng)估和實(shí)用化研究2個(gè)類(lèi)別，并對(duì)每一類(lèi)研究成果進(jìn)行了描述和分析，得到一些初步的結(jié)論.

我們認(rèn)為，對(duì)移動(dòng)目標(biāo)防御的理解應(yīng)體現(xiàn)在6個(gè)方面：

1) 目標(biāo)的變化性.這是實(shí)現(xiàn)移動(dòng)目標(biāo)防御的基礎(chǔ),現(xiàn)有網(wǎng)絡(luò)配置及特征的靜態(tài)性是網(wǎng)絡(luò)攻擊泛濫的原因之一.因此，打破攻擊者所依賴(lài)的這一特征，讓被保護(hù)目標(biāo)“移動(dòng)”起來(lái)，使其在攻擊者面前呈現(xiàn)出豐富的攻擊面變化，是移動(dòng)目標(biāo)防御的核心所在.

2) 變化的可管理性.攻擊面的變化性必須以一種內(nèi)部可管理的方式來(lái)實(shí)施，才能在進(jìn)行主動(dòng)防御的同時(shí)保證任務(wù)的連續(xù)性以及系統(tǒng)的功能與性能.

3) 變化的持續(xù)性.網(wǎng)絡(luò)的確定性和靜態(tài)性是攻擊者成功實(shí)施攻擊的有利優(yōu)勢(shì)，且攻擊者不會(huì)停止其對(duì)特定目標(biāo)的探測(cè)、分析等工作，因此，要達(dá)到較好的防御效果，就必須進(jìn)行持續(xù)性的變化，提高攻擊者所收集信息的失效率，降低其攻擊成功率.

4) 變化的快速性.攻防雙方的對(duì)抗就像一場(chǎng)軍備競(jìng)賽，都希望能夠追趕上對(duì)方并領(lǐng)先對(duì)方一步以實(shí)現(xiàn)自己的目標(biāo).移動(dòng)目標(biāo)防御通過(guò)移動(dòng)系統(tǒng)的攻擊面以實(shí)現(xiàn)防御，這種移動(dòng)必須要快，才能讓攻擊者所收集的信息或發(fā)起的攻擊快速失效，保證防御的有效性.

5) 變化的多樣性.變化的多樣性既要考慮變換方式的多樣性，也要考慮攻擊面參數(shù)值域的多樣性，才能從多個(gè)維度提高系統(tǒng)的安全性與彈性.

6) 變化的難以預(yù)測(cè)性.難以預(yù)測(cè)性是移動(dòng)目標(biāo)防御技術(shù)能夠增加攻擊者攻擊難度、降低其攻擊成功率、提高系統(tǒng)彈性和安全性的關(guān)鍵所在.現(xiàn)有技術(shù)中的實(shí)現(xiàn)方式通常是將多樣性與隨機(jī)性相結(jié)合[39]，其中，多樣化是基礎(chǔ)，它意味著需為系統(tǒng)提供一個(gè)大的可用配置空間;而隨機(jī)性則是要最大化使用這個(gè)配置空間，是影響不可預(yù)測(cè)性的關(guān)鍵.

對(duì)于現(xiàn)有研究成果，盡管我們努力試圖發(fā)現(xiàn)各類(lèi)研究、各種機(jī)制技術(shù)之間的關(guān)聯(lián)，努力分析其優(yōu)長(zhǎng)與特點(diǎn)，但由于關(guān)于移動(dòng)目標(biāo)防御的研究正方興未艾，相關(guān)研究呈現(xiàn)出百花齊放的態(tài)勢(shì)，以我們當(dāng)前的認(rèn)知，有些相關(guān)的研究尚難以用統(tǒng)一的標(biāo)準(zhǔn)加以分析比較，我們將密切跟蹤有關(guān)的研究進(jìn)展，以期能有更加全面深入的了解.由于移動(dòng)目標(biāo)防御技術(shù)仍處于快速發(fā)展階段，雖然已有大量具體防御機(jī)制被提出，但是其中一些重要研究方向雖已初有涉及，卻仍尚未深入開(kāi)展，如采用移動(dòng)目標(biāo)防御思想提高傳統(tǒng)靜態(tài)防御方法的效果、防御機(jī)制的實(shí)用化研究等，因此仍需進(jìn)行更加深入的研究.此外，還有許多其他研究方向尚未涉及，如移動(dòng)目標(biāo)防御機(jī)制的控制與變化研究、效能研究、跨層優(yōu)化的移動(dòng)目標(biāo)防御系統(tǒng)設(shè)計(jì)研究等，這些都將成為未來(lái)研究的熱點(diǎn).

參考文獻(xiàn)

[1]Wikipedia. PRISM[EBOL]. [2015-08-10]. https:en.wikipedia.orgwikiPRISM_(surveillance_program)

[2]Synosys. The heartbleed bug[EBOL]. [2015-02-20]. http:heartbleed.com

[3]Liu Yujing, Peng Wei, Su Jinshu. A study of IP prefix hijacking in cloud computing networks[J]. Security and Communication Networks, 2014, 7(11): 2201-2210

[4]Zhang Jing, Hu Huaping, Liu Bo. Robustness of RED in mitigating LDoS attack[J]. KSII Trans on Internet and Information Systems (TIIS), 2011, 5(5): 1085-1100

[5]Nitrd. Cybersecurity game-change research & development recommendations[EBOL]. [2014-03-21]. http:www.nitrd.govpubsCSIA_IWG_%20Cybersecurity_%20GameChange_RD_%20Recommendations_20100513.pdf

[6]Executive Office of the President. Trustworthy cyberspace: Strategic plan for the federal cybersecurity research and development program[EBOL]. [2014-03-24]. http:www.whitehouse.govsitesdefaultfilesmicrositesostpfed_cybersecurity_rd_strategic_plan_2011.pdf

[7]Jajodia S, Ghosh A K, Swarup V, et al. Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats[M]. Berlin: Springer, 2011

[8]Zhuang Rui, Zhang Su, Deloach S A, et al. Simulation-based approaches to studying effectiveness of moving-target network defense[COL]Proc of National Symp on Moving Target Research. 2012: 1-12. [2014-06-10]. http:people.cis.ksu.edu～sdeloachpublicationsConferenceMTD-MTR_Symposium_2012.pdf

[9]Zhuang Rui, Zhang Su, Bardas A, et al. Investigating the application of moving target defenses to network security[C]Proc of the 6th Int Symp on Resilient Control Systems (ISRCS). Piscataway, NJ: IEEE, 2013: 162-169

[10]Zhang Xiaoyu, Li Zhenbang. Overview on moving target defense technology[J]. Communications Technology, 2013, 46(6): 111-113 (in Chinese)(張曉玉, 李振邦. 移動(dòng)目標(biāo)防御技術(shù)綜述[J]. 通信技術(shù)，2013, 46(6): 111-113)

[11]White House. Cyberspace policy review: Assuring a trusted and resilient information and communications infrastructure[EBOL]. [2014-03-24]. http:www.whitehouse.govassetsdocumentsCyberspace_Policy_Review_final.pdf

[12]McCaney K. Morphinator[EBOL]. [2014-04-06]. http:gcn.comarticles20120803army-morphinator-cyber-maneuver-network-defense.aspx

[13]Beraud P, Cruz A, Hassell S, et al. Cyber defense network maneuver commander[C]Proc of 2010 IEEE Int Carnahan Conf on Security Technology (ICCST). Piscataway, NJ: IEEE, 2010: 112-120

[14]Beraud P, Cruz A, Hassell S, et al. Using cyber maneuver to improve network resiliency[C]Proc of MILCOM 2011. Piscataway, NJ: IEEE, 2011: 1121-1126

[15]Chiricescu S, Dehon A, Demange D, et al. SAFE: A clean-slate architecture for secure systems[C]Proc of 2013 IEEE Int Conf on Technologies for Homeland Security (HST). Piscataway, NJ: IEEE, 2013: 570-576

[16]Pal P, Schantz R, Paulos A, et al. A3: An environment for self-adaptive diagnosis and immunization of novel attacks[C]Proc of the 6th Int Conf on Self-Adaptive and Self-Organizing Systems Workshops (SASOW). Piscataway, NJ: IEEE, 2012: 15-22

[17]Musliner D J, Rye J M, Thomsen D, et al. Fuzzbuster: Towards adaptive immunity from cyber threats[C]Porc of the 5th IEEE Conf on Self-Adaptive and Self-Organizing Systems Workshops (SASOW). Piscataway, NJ: IEEE, 2011: 137-140

[18]DARPA. Mission-oriented resilient clouds[EBOL]. [2014-04-06]. http:www.darpa.milOur_WorkI2OProgramsMission-oriented_Resilient_Clouds_(MRC).aspx

[19]DARPA. Active cyber defense[EBOL]. [2014-04-06]. http:www.darpa.milOur_WorkI2OProgramsActive_Cyber_Defense_(ACD).aspx

[20]Okhravi H, Comella A, Robinson E, et al. Creating a cyber moving target for critical infrastructure applications using platform diversity[J]. International Journal of Critical Infrastructure Protection, 2012, 5(1): 30-39

[21]Jafarian J H, Al-Shaer E, Duan Qi. OpenFlow random host mutation: Transparent moving target defense using software defined networking[C]Proc of the 1st Workshop on Hot Topics in Software Defined Networks. New York: ACM, 2012: 127-132

[22]Al-Shaer E, Duan Qi, Jafarian J H. Random host mutation for moving target defense[G]Security and Privacy in Communication Networks. Berlin: Springer, 2013: 310-327

[23]Dunlop M, Groat S, Urbanski W, et al. MT6D: A moving target IPv6 defense[C]Proc of MILCOM 2011. Piscataway, NJ: IEEE, 2011: 1321-1326

[24]Azab M, Hassan R, Eltoweissy M. ChameleonSoft: A moving target defense system[C]Proc of the 7th Int Conf on Collaborative Computing: Networking, Applications and Worksharing (CollaborateCom). Piscataway, NJ: IEEE, 2011: 241-250

[25]Huang Y, Ghosh A K. Introducing diversity and uncertainty to create moving attack surfaces for Web services[G]Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats. Berlin: Springer, 2011: 131-151

[26]Le Goues C, Nguyen-Tuong A, Chen Hao, et al. Moving target defenses in the helix self-regenerative architecture[G]Moving Target Defense Ⅱ: Application of Game Theory and Adversarial Modeling. Berlin: Springer, 2013: 117-149

[27]Rahman M A, Al-Shaer E, Bobba R B. Moving target defense for hardening the security of the power system state estimation[C]Proc of the 1st ACM Workshop on Moving Target Defense. New York: ACM, 2014: 59-68

[28]Wu Jiangxing. Meaning and vision of mimic computing and mimic security defense[J]. Telecommunications Science, 2014, 30(7): 2-7 (in Chinese)(鄔江興. 擬態(tài)計(jì)算與擬態(tài)安全防御的原意和愿景[J]. 電信科學(xué), 2014, 30(7): 2-7)

[29]Manadhata P. An attack surface metric[D]. Pittsburgh, Pennsylvania: Carnegie Mellon University, 2008

[30]Manadhata P. Game theoretic approaches to attack surface shifting[G]Moving Target Defense Ⅱ: Application of Game Theory and Adversarial Modeling. Berlin: Springer, 2013: 1-13

[31]Hobson T, Okhravi H, Bigelow D, et al. On the challenges of effective movement[C]Proc of the 1st ACM Workshop on Moving Target Defense. New York: ACM, 2014: 41-50

[32]Clark A, Sun K, Poovendran R. Effectiveness of IP address randomization in decoy-based moving target defense[C]Proc of the 52nd Annual Conf on Decision and Control (CDC). Piscataway, NJ: IEEE, 2013: 678-685

[33]The WhiteHouse National Security Council. Cybersecurity progress after president Obama’s address[EBOL]. [2014-03-10]. http:www.whitehouse.govadministrationeopnsccybersecurityprogressreportsjuly2012

[34]NITRD Subcommittee. National cyber leap year summit 2009 co-chairs’ report[EBOL]. [2014-06-25]. https:www.nitrd.govnitrdgroupsindex.php?title=Category:National_Cyber_Leap_Year_Summit_2009

[35]Okhravi H, Rabe M A, Mayberry T J, et al. Survey of cyber moving target techniques, 1166[R]. Lexington, Massachusetts: MIT Lincoln Laboratory, 2013

[36]Manadhata P, Wing J. A formal model for a system’s attack surface[G]Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats. Berlin: Springer, 2011: 1-28

[37]Zhu Quanyan, Baar T. Game-theoretic approach to feedback-driven multi-stage moving target defense[G]Decision and Game Theory for Security. Berlin: Springer, 2013: 246-263

[38]Peng Wei, Li Feng, Huang C T, et al. A moving-target defense strategy for cloud-based services with heterogeneous and dynamic attack surfaces[C]Porc of 2014 IEEE Int Conf on Communications (ICC). Piscataway, NJ: IEEE, 2014: 804-809

[39]Zhuang Rui, Deloach S A, Ou Xinming. Towards a theory of moving target defense[C]Proc of the 1st ACM Workshop on Moving Target Defense. New York: ACM, 2014: 31-40

[40]Okhravi H, Hobson T, Bigelow D, et al. Finding focus in the blur of moving-target techniques[J]. Security & Privacy, 2014, 12(2): 16-26

[41]Jackson T, Salamat B, Homescu A, et al. Compiler-generated software diversity[G]Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats. Berlin: Springer, 2011: 77-98

[42]Jackson T, Homescu A, Crane S, et al. Diversifying the software stack using randomized NOP insertion[G]Moving Target Defense Ⅱ: Application of Game Theory and Adversarial Modeling. Berlin: Springer, 2013: 151-173

[43]Christodorescu M, Fredrikson M, Jha S, et al. End-to-end software diversification of Internet services[G]Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats. Berlin: Springer, 2011: 117-130

[44]Pappas V, Polychronakis M, Keromytis A D. Practical software diversification using in-place code randomization[G]Moving Target Defense Ⅱ: Application of Game Theory and Adversarial Modeling. Berlin: Springer, 2013: 175-202

[45]Cui A, Stolfo S J. Symbiotes and defensive mutualism: Moving target defense[G]Moving Target Defense:Creating Asymmetric Uncertainty for Cyber Threats. Berlin: Springer, 2011: 99-108

[46]Roeder T, Schneider F B. Proactive obfuscation[J]. ACM Trans on Computer Systems, 2010, 28(2): 1-54

[47]Rinard M. Manipulating program functionality to eliminate security vulnerabilities[G]Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats. Berlin: Springer, 2011: 109-115

[48]Vikram S, Yang Chao, Gu Guofei. NOMAD: Towards non-intrusive moving-target defense against Web bots[C]Proc of 2013 IEEE Conf on Communications and Network Security (CNS). Piscataway, NJ: IEEE, 2013: 55-63

[49]Andel T R, Whitehurst L N, Mcdonald J T. Software security and randomization through program partitioning and circuit variation[C]Proc of the 1st ACM Workshop on Moving Target Defense. New York: ACM, 2014: 79-86

[50]Evans D, Nguyen-Tuong A, Knight J. Effectiveness of moving target defenses[G]Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats. Berlin: Springer, 2011: 29-48

[51]Forrest S, Somayaji A, Ackley D H. Building diverse computer systems[C]Proc of the 6th Workshop on Hot Topics in Operating Systems. Piscataway, NJ: IEEE, 1997: 67-72

[52]Chew M, Song D. Mitigating buffer overflows by operating system randomization, CMU-CS-02-197[R]. Pittsburgh, Pennsylvania: Carnegie Mellon University, 2002

[53]Alexander S. Improving security with homebrew system modifications[J]. Login, 2004, 29(6): 26-32

[54]Kc G S, Keromytis A D, Prevelakis V. Countering code-injection attacks with instruction-set randomization[C]Proc of CCS’03. New York: ACM, 2003: 272-280

[55]Hu Wei, Hiser J, Williams D, et al. Secure and practical defense against code-injection attacks using software dynamic translation[C]Proc of the 2nd Int Conf on Virtual Execution Environments. New York: ACM, 2006: 2-12

[56]Portokalidis G, Keromytis A D. Global ISR: Toward a comprehensive defense against unauthorized code execution[G]Moving Target Defense:Creating Asymmetric Uncertainty for Cyber Threats. Berlin: Springer, 2011: 49-76

[57]Cowan C, Beattie S, Johansen J, et al. Pointguard TM: Protecting pointers from buffer overflow vulnerabilities[C]Proc of the 12th Conf on USENIX Security Symp. Berkeley, CA: USENIX Association, 2003: 91-104

[58]Cadar C, Akritidis P, Costa M, et al. Data randomization, TR-120-2008[R]. Cambridge, MA: Microsoft Research Cambridge, 2008

[59]Bhatkar S, Sekar R. Data space randomization[G]Detection of Intrusions and Malware, and Vulnerability Assessment. Berlin: Springer, 2008: 1-22

[60]Lucas B, Fulp E W, John D J, et al. An initial framework for evolving computer configurations as a moving target defense[C]Proc of the 9th Annual Cyber and Information Security Research Conf. New York: ACM, 2014: 69-72

[61]John D J, Smith R W, Turkett W H, et al. Evolutionary based moving target cyber defense[C]Proc of the 2014 Conf Companion on Genetic and Evolutionary Computation Companion. New York: ACM, 2014: 1261-1268

[62]Okhravi H, Haines M J W, Ingols M K. Achieving cyber survivability in a contested environment using a cyber moving target[J]. High Frontier Journal, 2011, 7(3): 9-13

[63]Carter K M, Riordan J F, Okhravi H. A game theoretic approach to strategy determination for dynamic platform defenses[C]Proc of the 1st ACM Workshop on Moving Target Defense. New York: ACM, 2014: 21-30

[64]Bangalore A K, Sood A K. Securing Web servers using self cleansing intrusion tolerance (SCIT)[C]Proc of DEPEND’09. Piscataway, NJ: IEEE, 2009: 60-65

[65]Huang Y, Sood A. Self-cleansing systems for intrusion containment[C]Proc of Workshop on Self-Healing, Adaptive, and Self-Managed Systems (SHAMAN). New York: ACM, 2002

[66]Huang Y, Sood A, Bhaskar K. Countering Web defacing attacks with system self-cleansing[COL]Proc of the 7th Word Multiconference on Systemics, Cybernetics and Informatics. 2003: 12-16. [2014-05-09]. http:www.researchgate.netprofileArun_Soodpublication254528704_Countering_Web_Defacing_Attacks_with_System_Self_Cleansinglinks54d133ec0cf28959aa7a92fe.pdf

[67]Huang Y, Arsenault D, Sood A. Securing DNS services through system self cleansing and hardware enhancements[C]Proc of ARES’06. Piscataway, NJ: IEEE, 2006: 132-139

[68]Qi Xiaoxia, Huang Jun, Jiang Fan. Moving target defense system analyze and research based on SCIT[J]. Computer Engineering and Applications, 2014, 50(20): 96-99 (in Chinese)(齊曉霞, 黃俊, 蔣凡. 基于SCIT的移動(dòng)目標(biāo)防御系統(tǒng)分析[J]. 計(jì)算機(jī)工程與應(yīng)用, 2014, 50(20): 96-99)

[69]Kewley D, Fink R, Lowry J, et al. Dynamic approaches to thwart adversary intelligence gathering[C]Proc of IEEE DARPA Information Survivability Conf & amp; Exposition Ⅱ (DISCEX’01). Piscataway, NJ: IEEE, 2001: 176-185

[70]Antonatos S, Akritidis P, Markatos E P, et al. Defending against hitlist worms using network address space randomization[J]. Computer Networks, 2007, 51(12): 3471-3490

[71]Lee H C J, Thing V L L. Port hopping for resilient networks[C]Proc of the 60th Vehicular Technology Conf. Piscataway, NJ: IEEE, 2004: 3291-3295

[72]Badishi G, Herzberg A, Keidar I. Keeping denial-of-service attackers in the dark[G]Distributed Computing. Berlin: Springer, 2005: 18-32

[73]Sifalakis M, Schmid S, Hutchison D. Network address hopping: A mechanism to enhance data protection for packet communications[C]Proc of 2005 IEEE Int Conf on Communications. Piscataway, NJ: IEEE, 2005: 1518-1523

[74]Atighetchi M, Pal P, Webber F, et al. Adaptive use of network-centric mechanisms in cyber-defense[C]Proc of the 6th IEEE Intl Symp on Object-Oriented Real-Time Distributed Computing. Piscataway, NJ: IEEE, 2003: 183-192

[75]Applegate S D. The principle of maneuver in cyber operations[C]Proc of the 4th Int Conf on Cyber Conflict (CYCON). Piscataway, NJ: IEEE, 2012: 1-13

[76]Shi Leyi, Jia Chunfu, Lü Shuwang. DoS evading mechanism upon service hopping[C]Proc of IFIP Int Conf on Network and Parallel Computing Workshops. Piscataway, NJ: IEEE, 2007: 119-122

[77]Shi Leyi, Jia Chunfu, Lü Shuwang. Research on end hopping for active network confrontation[J]. Journal on Communications, 2008, 29(2): 106-110 (in Chinese)(石樂(lè)義，賈春福，呂述望. 基于端信息跳變的主動(dòng)網(wǎng)絡(luò)防護(hù)研究[J]. 通信學(xué)報(bào), 2008, 29(2): 106-110)

[78]Shi Leyi, Jia Chunfu, Lü Shuwang. Port and address hopping for active cyber-defense[G]Intelligence and Security Informatics. Berlin: Springer, 2007: 295-300

[79]Jia Chunfu, Lin Kai, Lu Kai. Plug-in policy for DoS attack defense mechanism based on end hopping[J]. Journal on Communications, 2009, 30(10A): 114-118 (in Chinese)(賈春福，林楷，魯凱. 基于端信息跳變DoS攻擊防護(hù)機(jī)制中的插件策略[J]. 通信學(xué)報(bào), 2009, 30(10A): 114-118)

[80]Jafarian J H H, Al-Shaer E, Duan Qi. Spatio-temporal address mutation for proactive cyber agility against sophisticated attackers[C]Proc of the 1st ACM Workshop on Moving Target Defens. New York: ACM, 2014: 69-78

[81]Dunlop M, Groat S, Urbanski W, et al. The blind man’s bluff approach to security using IPv6[J]. Security & Privacy, 2012, 10(4): 35-43

[82]Groat S, Dunlop M, Urbanksi W, et al. Using an IPv6 moving target defense to protect the smart grid[C]Proc of 2012 IEEE Innovative Smart Grid Technologies (ISGT). Piscataway, NJ: IEEE, 2012: 1-7

[83]Groat S, Moore R, Marchany R, et al. Securing static nodes in mobile-enabled systems using a network-layer moving target defense[C]Porc of the 1st Int Workshop on the Engineering of Mobile-Enabled Systems (MOBS). Piscataway, NJ: IEEE, 2013: 42-47

[84]Moore R, Groat S, Marchany R, et al. Using transport layer multihoming to enhance network layer moving target defenses[C]Proc of CSIIRW’13. New York: ACM, 2013: 51-53

[85]Yackoski J, Xie Peng, Bullen H, et al. A self-shielding dynamic network architecture[C]Proc of MILCOM 2011. Piscataway, NJ: IEEE, 2011: 1381-1386

[86]Jia Quan, Sun Kun, Stavrou A. MOTAG: Moving target defense against Internet denial of service attacks[C]Proc of the 22nd Int Conf on Computer Communications and Networks (ICCCN). Piscataway, NJ: IEEE, 2013: 1-9

[87]Albanese M, De Benedictis A, Jajodia S, et al. A moving target defense mechanism for MANETs based on identity virtualization[C]Proc of 2013 IEEE Conf on Communications and Network Security (CNS). Piscataway, NJ: IEEE, 2013: 278-286

[88]Al-Shaer E. Toward network configuration randomization for moving target defense[G]Moving Target Defense:Creating Asymmetric Uncertainty for Cyber Threats. Berlin: Springer, 2011: 153-159

[89]Casola V, De Benedictis A, Albanese M. A multi-layer moving target defense approach for protecting resource-constrained distributed devices[G]Integration of Reusable Systems. Berlin: Springer, 2014: 299-324

[90]Corbett C, Uher J, Cook J, et al. Countering intelligent jamming with full protocol stack agility[J]. Security & Privacy, 2014, 12(2): 44-50

[91]Han Yujuan, Lu Wenlian, Xu Shouhuai. Characterizing the power of moving target defense via cyber epidemic dynamics[C]Proc of the 2014 Symp and Bootcamp on the Science of Security. New York: ACM, 2014: 10-11

[92]Zhuang Rui, Deloach S A, Ou Xinming. A model for analyzing the effect of moving target defenses on enterprise networks[C]Proc of the 9th Annual Cyber and Information Security Research Conf. New York: ACM, 2014: 73-76

[93]Carroll T E, Crouse M, Fulp E W, et al. Analysis of network address shuffling as a moving target defense[C]Proc of 2014 IEEE Int Conf on Communications (ICC). Piscataway, NJ: IEEE, 2014: 701-706

[94]Luo Yuebin, Wang Baosheng, Cai Guilin. Effectiveness of port hopping as a moving target defense[G]Proc of the 7th Int Conf on Security Technology(SecTech). Piscataway, NJ: IEEE, 2014: 7-10

[95]Xu Jun, Guo Pinyao, Zhao Mingyi, et al. Comparing different moving target defense techniques[C]Proc of the 1st ACM Workshop on Moving Target Defense. New York: ACM, 2014: 97-107

[96]Okhravi H, Riordan J, Carter K. Quantitative evaluation of dynamic platform techniques as a defensive mechanism[G]Research in Attacks, Intrusions and Defenses. Berlin: Springer, 2014: 405-425

[97]Okhravi H, Comella A, Robinson E, et al. Creating a cyber moving target for critical infrastructure applications[G]Critical Infrastructure Protection V. Berlin: Springer, 2011: 107-123

[98]Murphy M, Larsen P, Brunthaler S, et al. Software profiling options and their effects on security based diversification[C]Proc of the 1st ACM Workshop on Moving Target Defense. New York: ACM, 2014: 87-96

[99]Zhu Minghui, Hu Zhisheng, Liu Peng. Reinforcement learning algorithms for adaptive cyber defense against Heartbleed[C]Proc of the 1st ACM Workshop on Moving Target Defense. New York: ACM, 2014: 51-59

Cai Guilin, born in 1982. PhD candidate and assistant engineer in the Crop 95942. Her main reserch interests include cyber security and proactive defense.

Wang Baosheng, born in 1970. Professor and PhD supervisor in the National University of Defense Technology. His research interests include router architecture, routing protocol and cyber security (wangbaosheng@126.com).

Wang Tianzuo, born in 1982. PhD. His main research interests include network and information security (phoenixwtz@163.com).

Luo Yuebin, born in 1987. PhD candidate. His research interests include intrusion detection, active defense, and network and information security (676247543@qq.com).

Wang Xiaofeng, born in 1982. PhD and assistant professor in the College of Computer, National University of Defense Technology. His research interests include trustworthy networks and systems, applied cryptography, network security and intelligent data processing (xf_wang@nudt.edu.cn).

Cui Xinwu, born in 1977. BS and engineer in the Crop 95942. His research interests include cyber security and proactive defense (397002180@qq.com).

Research and Development of Moving Target Defense Technology

Cai Guilin1,2, Wang Baosheng1, Wang Tianzuo1, Luo Yuebin1, Wang Xiaofeng1, and Cui Xinwu2

1(CollegeofComputer,NationalUniversityofDefenseTechnology,Changsha410073)2(Crop95942,Wuhan430313)

AbstractNowadays, network configurations are typically deterministic, static, and homogeneous. These features reduce the difficulties for cyber attackers scanning the network to identify specific targets and gather essential information, which gives the attackers asymmetric advantages of building up, launching and spreading attacks. Thus the defenders are always at a passive position, and the existing defense mechanisms and approaches cannot reverse this situation. Moving target defense (MTD) is proposed as a new revolutionary technology to alter the asymmetric situation of attacks and defenses. It keeps moving the attack surface of the protected target through dynamic shifting, which can be controlled and managed by the administrator. In this way, the attack surface exposed to attackers appears chaotic and changes over time. Therefore, the work effort, i.e., the cost and complexity, for the attackers to launch a successful attack, will be greatly increased. As a result, the probability of successful attacks will be decreased, and the resiliency and security of the protected target will be enhanced effectively. In this paper, we firstly introduce the basic concepts of MTD, and classify the related works into categories according to their research field. Then, under each category, we give a detailed description on the existing work, and analyze and summarize them separately. Finally, we present our understandings on MTD, and summarize the current research status, and further discuss the development trends in this field.

Key wordsmoving target defense; attack surface; dynamic shifting; resiliency; security

收稿日期：2015-03-19；修回日期：2015-09-16

基金項(xiàng)目：國(guó)家“九七三”重點(diǎn)基礎(chǔ)研究發(fā)展計(jì)劃基金項(xiàng)目(2012CB315906)；高等學(xué)校博士學(xué)科點(diǎn)專(zhuān)項(xiàng)科研基金項(xiàng)目(20114307110006)

中圖法分類(lèi)號(hào)TP393.08

通信地址這3個(gè)地址變換機(jī)制均能在保持主機(jī)真實(shí)的IP地址不變的同時(shí)以較高的速率來(lái)改變主機(jī)的，因此能在保證對(duì)用戶(hù)的透明性的同時(shí)使得攻擊者所收集信息快速失效，且普通用戶(hù)并不知道通信對(duì)方的真實(shí)IP地址，從而無(wú)法通過(guò)常規(guī)手段收集有效信息.但是機(jī)制的實(shí)施復(fù)雜度較高，且源端和目的端的網(wǎng)關(guān)成為了新的重要保護(hù)目標(biāo).

This work was supported by the National Basic Research Program of China (973 Program) (2012CB315906) and the Research Fund for the Doctoral Program of Higher Education of China (20114307110006).