何威振，陳福才，牛杰，譚晶磊，霍樹民，程國振

（1. 信息工程大學，河南 鄭州 450001；2. 中國人民解放軍61212部隊, 北京 100091）

1 引言

近年來，5G、物聯(lián)網(wǎng)等技術(shù)的飛速發(fā)展，連接到互聯(lián)網(wǎng)的設(shè)備數(shù)量飛速增加，計算機網(wǎng)絡(luò)的復雜性到達了新的水平。然而傳統(tǒng)網(wǎng)絡(luò)的靜態(tài)屬性為攻擊者（如蠕蟲、木馬、病毒和惡意代碼等）發(fā)起有效攻擊并取得成功提供了很大的優(yōu)勢。攻擊者可以通過監(jiān)視目標系統(tǒng)，獲取目標系統(tǒng)配置信息，識別目標系統(tǒng)上可利用的漏洞，選擇合適的時間和位置來發(fā)起攻擊。

傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)（如防火墻、入侵檢測系統(tǒng)和殺毒軟件等）可以在一定限度上抵御攻擊者發(fā)起的攻擊，然而這些安全系統(tǒng)在本質(zhì)上是被動且不完整的，僅能檢測基于先驗知識的已知漏洞，不能防御未知的漏洞和后門。特別是對于最近幾年數(shù)量和復雜性激增的高級網(wǎng)絡(luò)攻擊[1]，傳統(tǒng)的網(wǎng)絡(luò)防御系統(tǒng)顯得蒼白而無力，進而給企業(yè)和終端用戶造成聲譽、社會和金融的嚴重損害[2]，可以看出，網(wǎng)絡(luò)空間面臨“易攻難守”的安全態(tài)勢。

為了扭轉(zhuǎn)這一局面，美國網(wǎng)絡(luò)安全與信息保障研發(fā)計劃提出了改變游戲規(guī)則的移動目標防御（MTD，move target defense）技術(shù)[3]，其核心思想是不通過構(gòu)建一個沒有漏洞的系統(tǒng)來增強目標系統(tǒng)的安全性，而利用目標系統(tǒng)所處的時間和空間環(huán)境，自適應改變攻擊表面來增加系統(tǒng)的迷惑性和不確定性，使得攻擊者無法在有效的時間內(nèi)對目標系統(tǒng)制定出有效的攻擊策略。即使攻擊者在當前時刻獲取到目標系統(tǒng)的信息，但隨著時空的轉(zhuǎn)變，攻擊者獲取的關(guān)鍵信息也會失效，從而減小攻擊者成功攻擊的概率。

移動目標防御的特性根據(jù)Cho等[4]的分類可以劃分為3種；輪換性、多樣性和冗余性，其中基于輪換的移動目標防御系統(tǒng)通過重新排列和隨機化網(wǎng)絡(luò)配置（如指令集、地址版圖、IP、MAC、端口、路由等）來改變網(wǎng)絡(luò)攻防的不對稱格局，增加攻擊者成功攻擊的難度。而網(wǎng)絡(luò)層作為網(wǎng)絡(luò)配置中最關(guān)鍵的網(wǎng)絡(luò)屬性之一，基于網(wǎng)絡(luò)層的MTD技術(shù)受到了廣泛關(guān)注。然而目前尚未有學者對網(wǎng)絡(luò)層跳變技術(shù)進行總結(jié)，盡管目前有MTD的綜述[4]介紹了基于輪換的MTD技術(shù)，但這些介紹側(cè)重于描述MTD的發(fā)展，沒有詳細介紹網(wǎng)絡(luò)層跳變技術(shù)，因此本文綜述了面向網(wǎng)絡(luò)層的動態(tài)跳變技術(shù)。

網(wǎng)絡(luò)層動態(tài)跳變技術(shù)的發(fā)展脈絡(luò)如圖1所示。2001年，美國國防高級防御研究計劃局在信息安全項目中首次提出了基于IP跳變的動態(tài)地址轉(zhuǎn)換技術(shù)[5]，之后國內(nèi)外研究機構(gòu)持續(xù)跟進，相繼提出APOD[6]、MT6D[7]、RHM[8]、端地址跳變[9]等網(wǎng)絡(luò)層跳變技術(shù)，這些技術(shù)部署于傳統(tǒng)網(wǎng)絡(luò)，需要解決終端之間同步問題，以及部署跳變系統(tǒng)帶來的性能損失問題。因此，軟件定義網(wǎng)絡(luò)（SDN）的興起為網(wǎng)絡(luò)層動態(tài)跳變技術(shù)的發(fā)展帶來了革命性的轉(zhuǎn)變，2012年，網(wǎng)絡(luò)層跳變技術(shù)首次被應用于軟件定義網(wǎng)絡(luò)，并在該技術(shù)的基礎(chǔ)上涌現(xiàn)出不同的跳變模型，如隨機路由跳變（RRM，random route mutation）技術(shù)[10]在軟件定義網(wǎng)絡(luò)上實現(xiàn)路由跳變。同時，由于網(wǎng)絡(luò)層跳變技術(shù)跳變網(wǎng)絡(luò)屬性，給終端之間通信帶來很大的性能影響，因此需要采用合適的理論模型或自適應的機制來平衡網(wǎng)絡(luò)層跳變的安全有效性和資源開銷。2013年，有研究者提出用博弈理論來指導跳變策略，平衡網(wǎng)絡(luò)跳變系統(tǒng)的有效性和開銷。之后的研究一直圍繞構(gòu)建一個高可用、高安全的網(wǎng)絡(luò)層跳變系統(tǒng)展開研究。

圖1 網(wǎng)絡(luò)層動態(tài)跳變技術(shù)的發(fā)展脈絡(luò)Figure 1 The development context of network layer dynamic hopping technology

2 安全威脅

Hon等[11]根據(jù)MTD的性質(zhì)將其劃分為基于輪換性的MTD技術(shù)、基于多樣性的MTD技術(shù)和基于冗余性的MTD技術(shù)。其中，基于輪換性的MTD技術(shù)通過隨機化系統(tǒng)的配置（包括IP地址跳變、虛擬機輪換、TCP端口跳變等）來混淆攻擊者，使得攻擊者花費更多的時間去掃描系統(tǒng)，并使收集到的目標系統(tǒng)的信息無效?；诙鄻有缘腗TD技術(shù)使用具有同樣功能、不同實現(xiàn)方式的系統(tǒng)組件來提高系統(tǒng)的容忍性，使得系統(tǒng)在面對攻擊時能夠正常為用戶提供服務(wù)?；谌哂嘈缘腗TD技術(shù)通過提供具有相同功能的多個系統(tǒng)副本來增加系統(tǒng)的可靠性和可用性。網(wǎng)絡(luò)層動態(tài)跳變技術(shù)作為基于輪換性的MTD技術(shù)的子集，其輪換的主要目標是網(wǎng)絡(luò)層的配置，包括IP地址、MAC地址、端口以及網(wǎng)絡(luò)拓撲，該技術(shù)能夠作為入侵防護系統(tǒng)來防護對目標系統(tǒng)的滲透，最小化攻擊者發(fā)現(xiàn)目標系統(tǒng)的概率，其抵御的攻擊類型主要包括掃描攻擊、DDoS攻擊、蠕蟲攻擊、APT攻擊。表1列舉了典型的網(wǎng)絡(luò)層跳變技術(shù)防御的安全威脅。

表1 典型的網(wǎng)絡(luò)層跳變技術(shù)防御的安全威脅Table 1 Security threats defended by typical network layer hopping technology

（1）掃描攻擊

在掃描攻擊中，攻擊者通常使用定制的掃描工具（Libnmap、Nmap）向目標網(wǎng)絡(luò)發(fā)送探測報文，獲取目標網(wǎng)絡(luò)的IP地址、開放端口和網(wǎng)絡(luò)拓撲，從而根據(jù)獲得的信息向目標網(wǎng)絡(luò)發(fā)起進一步的攻擊。為了使攻擊者獲取的信息無效，阻斷攻擊鏈的連續(xù)性，文獻[8,12-17]相繼提出了網(wǎng)絡(luò)層跳變技術(shù)，理論仿真和實驗分析了網(wǎng)絡(luò)層跳變技術(shù)能夠有效防御掃描攻擊。

（2）DDoS攻擊

DDoS攻擊通過使用大量的僵尸網(wǎng)絡(luò)向目標系統(tǒng)洪泛UDP、ICMP、SYN報文，使得目標系統(tǒng)因資源耗盡而無法為用戶提供正常服務(wù)。為了防護DDoS攻擊對目標系統(tǒng)造成的威脅，文獻[18-23]提出了IP/PORT跳變技術(shù)來減輕DDoS攻擊對目標系統(tǒng)的影響，使得DDoS攻擊者無法針對指定的IP地址進行持久連續(xù)性洪泛。

（3）蠕蟲攻擊

與掃描攻擊不同的是，蠕蟲攻擊的攻擊過程除了最初的掃描攻擊外，還有后續(xù)的攻擊、傳染和現(xiàn)場處理3個階段。首先，蠕蟲病毒會對選取的指定IP地址段進行掃描，當掃描到活躍主機時，會通過活躍主機的漏洞把蠕蟲病毒復制到目標主機上，接著對感染主機進行現(xiàn)場處理，之后，感染主機也可作為病毒主機對網(wǎng)絡(luò)系統(tǒng)進行進一步的感染。為了抵御蠕蟲病毒的傳播，網(wǎng)絡(luò)地址隨機化（NASR，network address space randomization）技術(shù)[24]通過隨機化目標主機的IP地址，使得蠕蟲無法掃描到活躍主機，即使掃描到活躍主機，但隨著IP地址的跳變，蠕蟲也無法對活躍主機進行感染。

（4）高級持續(xù)性攻擊（APT，advance persistent threat）

APT通過執(zhí)行靜默、持續(xù)、自適應的攻擊方式來訪問目標系統(tǒng)的資源并控制目標系統(tǒng)。根據(jù)網(wǎng)絡(luò)殺傷鏈模型，其可以看成是一個多階段的攻擊方式，即其攻擊過程包括目標偵察、武器化、投放、利用、安裝、命令和控制、行動7個階段，因此可以采用網(wǎng)絡(luò)層跳變技術(shù)來防御APT攻擊的目標偵察階段[25]，使得APT者無法獲取目標系統(tǒng)的信息，進而無法執(zhí)行網(wǎng)絡(luò)殺傷鏈的后續(xù)過程。

3 實現(xiàn)架構(gòu)

網(wǎng)絡(luò)層跳變技術(shù)通過動態(tài)跳變終端的網(wǎng)絡(luò)屬性來減小攻擊面，增加攻擊者識別終端關(guān)鍵信息的難度，減小攻擊的成功率。根據(jù)文獻[9,22,26-27]，基于網(wǎng)絡(luò)層的跳變技術(shù)根據(jù)在不同網(wǎng)絡(luò)場景下的實現(xiàn)方式可以分為基于傳統(tǒng)網(wǎng)絡(luò)的網(wǎng)絡(luò)層跳變模型和基于軟件定義網(wǎng)絡(luò)的網(wǎng)絡(luò)層跳變模型。

3.1 基于傳統(tǒng)網(wǎng)絡(luò)的網(wǎng)絡(luò)層跳變模型

由于目前終端設(shè)備主要部署于傳統(tǒng)網(wǎng)絡(luò)，基于傳統(tǒng)網(wǎng)絡(luò)的網(wǎng)絡(luò)層跳變技術(shù)研究廣泛。石樂義[9]在2008年提出了端信息跳變技術(shù)，通信雙方或一方通過協(xié)商跳變圖案來偽隨機地跳變端口、IP地址，實現(xiàn)網(wǎng)絡(luò)層跳變技術(shù)。隨后國內(nèi)外學者對基于傳統(tǒng)網(wǎng)絡(luò)的網(wǎng)絡(luò)層跳變模型開展進一步的研究，并取得了一定的成果，總結(jié)這些成果可以得到如圖2所示的基于傳統(tǒng)網(wǎng)絡(luò)的端信息跳變模型。在該模型下，終端需要部署跳變代理，跳變代理負責終端虛假網(wǎng)絡(luò)屬性與真實網(wǎng)絡(luò)屬性的轉(zhuǎn)換，且完成終端之間的認證以及終端之間的跳變速率和跳變圖案的協(xié)商。基于傳統(tǒng)網(wǎng)絡(luò)的端信息跳變技術(shù)通信流程如圖3所示，客戶端與服務(wù)端通信之前，客戶端和服務(wù)端需要完成相互認證，且交換各自的跳變圖案（包括跳變序列和周期），以保證通信時跳變代理能夠準確完成虛假網(wǎng)絡(luò)屬性和真實網(wǎng)絡(luò)屬性的變換。在通信過程中，客戶端和服務(wù)端的跳變圖案需要保持嚴格同步，即客戶端和服務(wù)端需要及時知道彼此的跳變圖案，避免客戶端和服務(wù)端因更新跳變圖案而導致彼此無法具有一致的跳變圖案，進而導致正常網(wǎng)絡(luò)通信失敗。因此基于時間的同步機制[22]和不需要嚴格時間耦合的ACK應答同步機制[26]被用于解決端信息跳變的同步問題，基于時間的同步機制將時間劃分為不同的定長，不同的時間定長具有不同網(wǎng)絡(luò)屬性，可以有效隱蔽終端的網(wǎng)絡(luò)屬性，但這種同步機制會受到網(wǎng)絡(luò)時延和擁塞的影響。基于ACK應答的同步機制不需要采用時間同步，而是將下一階段的網(wǎng)絡(luò)屬性放置到ACK報文中來通知對方，但該種方法存在ACK報文被截獲的可能，迫使通信雙方在一段時間內(nèi)只能使用相同的端信息。

圖2 基于傳統(tǒng)網(wǎng)絡(luò)的端信息跳變模型Figure 2 Terminal information hopping model based on traditional network

圖3 基于傳統(tǒng)網(wǎng)絡(luò)的端信息跳變技術(shù)通信流程Figure 3 Communication process of terminal information hopping technology based on traditional network

3.2 基于軟件定義網(wǎng)絡(luò)的網(wǎng)絡(luò)層跳變模型

針對基于軟件定義網(wǎng)絡(luò)的網(wǎng)絡(luò)層跳變模型，由于軟件定義網(wǎng)絡(luò)[27]控制平面和數(shù)據(jù)平面的分離以及開放的可編程性，使得網(wǎng)絡(luò)層跳變技術(shù)很容易在軟件定義網(wǎng)絡(luò)中部署。因此，國內(nèi)外學者針對基于軟件定義網(wǎng)絡(luò)的網(wǎng)絡(luò)層跳變技術(shù)開展了廣泛的研究，總結(jié)起來可以得到如圖4所示的基于軟件定義網(wǎng)絡(luò)的網(wǎng)絡(luò)層跳變技術(shù)模型。在該模型下，系統(tǒng)主要由控制器和SDN交換機組成?？刂破魇窍到y(tǒng)的核心，其為終端分配兩類網(wǎng)絡(luò)屬性，即真實網(wǎng)絡(luò)屬性和虛擬網(wǎng)絡(luò)屬性，并通過動態(tài)跳變虛假網(wǎng)絡(luò)屬性來保持終端的透明性。SDN交換機負責接收控制器下發(fā)的流表，并根據(jù)控制器兩類網(wǎng)絡(luò)屬性的映射關(guān)系完成終端發(fā)送數(shù)據(jù)包真實網(wǎng)絡(luò)屬性和虛假網(wǎng)絡(luò)屬性的轉(zhuǎn)換。當系統(tǒng)中的兩個終端進行通信時，終端通過如圖5所示的兩種方式完成會話。

圖5 基于軟件定義網(wǎng)絡(luò)的跳變模型下兩種通信模式Figure 5 Two communication modes under the hopping model based on software defined network

方式一是通過DNS服務(wù)器完成會話，具體地，終端1通過終端2的域名向DNS服務(wù)器發(fā)起DNS請求進而獲取終端2的虛擬網(wǎng)絡(luò)屬性，然后終端1根據(jù)源地址為終端1的真實網(wǎng)絡(luò)屬性和目的地址為終端2的虛擬網(wǎng)絡(luò)屬性建立連接，當數(shù)據(jù)報文通過與源端相連的SDN交換機時，修改源地址為終端1的虛擬網(wǎng)絡(luò)屬性后，將數(shù)據(jù)報文發(fā)送到目的端的跳變代理，與目的端相連的SDN交換機將目的地址變換為終端2的真實網(wǎng)絡(luò)屬性，終端2接收到數(shù)據(jù)報文后，向終端1發(fā)送響應報文，SDN交換機完成與請求相應的變換操作。方式二是通過控制器授權(quán)完成會話，當終端1與終端2進行會話時，終端1首先需要向控制器發(fā)送授權(quán)請求，當授權(quán)成功數(shù)據(jù)報文才能發(fā)送到終端2，未被授權(quán)的報文被直接丟棄，數(shù)據(jù)報文經(jīng)過與源端和目的端相連的SDN控制器時完成與方式一相同的操作。

4 分類

Cho等[4]將移動目標防御技術(shù)總結(jié)為3個關(guān)鍵問題，即哪些系統(tǒng)配置屬性能夠改變來迷惑攻擊者；如何移動目標系統(tǒng)的屬性來增加攻擊的不確定性和不可預測性；如何選擇輪換的時間來平衡開銷和有效性。本文基于這3個關(guān)鍵問題，將網(wǎng)絡(luò)層跳變技術(shù)從跳變屬性、跳變的實現(xiàn)方式和跳變的觸發(fā)方式3個層面進行劃分。具體的分類方法如表2所示。

表2 網(wǎng)絡(luò)層跳變技術(shù)分類方法及其優(yōu)缺點Table 2 Network layer hopping technology classification method and its advantages and disadvantages

4.1 跳變屬性

針對網(wǎng)絡(luò)層跳變技術(shù)的跳變屬性，主要分為單一屬性的跳變機制和多維屬性協(xié)同跳變機制。

在網(wǎng)絡(luò)層跳變技術(shù)中，對于單一屬性的跳變機制，主要分為IP地址跳變、MAC地址跳變、端口地址跳變和路由地址跳變。針對IP地址跳變，Antonatos等[24]提出了網(wǎng)絡(luò)地址隨機化（NASR,network address space randomization）技術(shù)，其通過DHCP服務(wù)器來周期性改變終端的IP地址，實現(xiàn)IP地址的動態(tài)化，能夠有效防御蠕蟲的傳播。但是NASR無法對終端保持透明，每次輪換的都是主機的真實IP地址。因此，2012年，Jafarian等[8]提出了隨機主機跳變（RHM，random host mutation）技術(shù)，其采用兩級跳變機制來增加跳變隨機性，即低頻跳變?yōu)橹鳈C分配一個地址空間，而高頻跳變從分配的地址空間中為主機選擇一個地址，主機保持真實IP地址不變，動態(tài)跳變虛擬IP跳變，保證了終端的透明性。針對端口地址跳變，文獻[22]提出在不改變現(xiàn)有UDP/TCP的前提下，根據(jù)時間和客戶端與服務(wù)器端共享密鑰來隨機生成服務(wù)器對外的UDP/TCP端口號。針對路由跳變，文獻[10]提出了一種主動隨機路由突變（RRM，random route mutation）技術(shù)，通過可滿足性模理論將RRM建模為約束滿足問題進而求解得到最優(yōu)的跳變路徑，它可以同時隨機改變網(wǎng)絡(luò)中多個流的路由，以防御偵察、竊聽和DoS攻擊，同時保持端到端的QoS屬性。實驗結(jié)果證明，與靜態(tài)路由相比，RRM可以保護至少90%的報文免受真實攻擊者的攻擊，且RRM可以有效地部署在常規(guī)網(wǎng)絡(luò)和SDN上，而不會對會話報文造成任何影響。

由于單一屬性的跳變技術(shù)僅從單一網(wǎng)絡(luò)屬性進行變化，攻擊者通過其他網(wǎng)絡(luò)屬性獲取網(wǎng)絡(luò)系統(tǒng)未知的漏洞后門，進而獲取目標系統(tǒng)的控制權(quán)。因此，多屬性協(xié)同跳變可以進一步縮小攻擊面，增強網(wǎng)絡(luò)系統(tǒng)的安全性。Chen等[28]提出將IP跳變和路徑跳變結(jié)合起來實現(xiàn)內(nèi)網(wǎng)的主動防護，可以有效阻斷零日漏洞和DoS攻擊。Jafarian等[29]提出主機身份匿名（HIDE，host identity anonymization）技術(shù)，從跳變主機地址、跳變主機指紋、匿名主機指紋、部署具有上下文感知指紋的高保真蜜罐和在這些蜜罐上部署上下文感知的內(nèi)容這5個維度防御高級攻擊者，在保證合理開銷的基礎(chǔ)上，能夠有效防御來自紅帽子黑客的攻擊。Luo等[30]提出一種根據(jù)源屬性、服務(wù)屬性和時間來高速率、不可預測的跳變終端的IP地址和端口的方法，在引入可接受操作開銷的前提下能夠有效防御內(nèi)部和外部威脅。Sharma等[31]提出隨機主機和服務(wù)復用（RHSM，Random Host and Service Multiplexing）技術(shù)，其允許主機及運行的服務(wù)具有多個虛擬IP地址和端口號，且這些端口號隨著時間的改變而不斷變化，并以多對多的方式和解復用的方式復用到真實IP和端口上，能夠有效地混淆網(wǎng)絡(luò)和傳輸層服務(wù)的真實身份。文獻[32]認為單一的網(wǎng)絡(luò)地址跳變方法無法防御知道目標域名的攻擊者，因此提出了一種基于隨機域名和地址突變的網(wǎng)絡(luò)防御（RDAM，random domain and address mutation）方法，該方法通過動態(tài)域名方法增加了攻擊者的掃描空間，降低了攻擊者掃描成功的可能性。

4.2 跳變的實現(xiàn)方式

網(wǎng)絡(luò)層跳變技術(shù)的實現(xiàn)方式，主要分為基于傳統(tǒng)網(wǎng)絡(luò)的實現(xiàn)方式和基于SDN的實現(xiàn)方式。

在基于傳統(tǒng)網(wǎng)絡(luò)實現(xiàn)網(wǎng)絡(luò)層跳變技術(shù)方面，端信息跳變是其主要的實現(xiàn)形式，其關(guān)鍵性問題主要包括合理的跳變策略和有效的同步機制。2001年，Kewley等[5]首次提出采用動態(tài)地址轉(zhuǎn)換（DyNAT，dynamic network address translation）技術(shù)來增強網(wǎng)絡(luò)的安全性，其在客戶端部署DyNAT插件，在服務(wù)器端部署DyNAT網(wǎng)關(guān)，DyNAT插件負責處理來自客戶端的請求報文和進入客戶端的響應報文，DyNAT網(wǎng)關(guān)負責處理到達服務(wù)端的請求報文和離開服務(wù)端的響應報文。之后，針對端信息跳變的跳變策略問題，文獻[22]提出通過時間和密鑰來動態(tài)生成服務(wù)端的端口號，使得授權(quán)的用戶才能訪問服務(wù)端，有效地減輕了DDoS攻擊。文獻[33]提出將數(shù)據(jù)流分布多個傳輸連接上來增強數(shù)據(jù)的隱蔽性。針對端信息跳變的同步機制問題，文獻[26]提出基于ACK的端口跳變機制，通過共享密鑰和數(shù)據(jù)包的發(fā)送個數(shù)來確定下一跳變間隔的端口。文獻[34-35]提出了分布式時間戳同步機制，有效地避免集中式的時間戳同步機制面臨的單節(jié)點故障問題。文獻[36]針對當前同步機制無法適應亞秒、毫秒級的高速率跳變，提出端信息擴展認證同步機制，有效地解決了高隱蔽要求下的高速跳變問題。實驗結(jié)果表明，提出的端信息跳擴混合機制能夠提高在高跳變場景下的可用性和隱蔽性。

在基于SDN實現(xiàn)網(wǎng)絡(luò)層跳變技術(shù)方面，2012年，Jafarian等[12]首次提出將網(wǎng)絡(luò)層跳變技術(shù)應用于SDN網(wǎng)絡(luò)中，并實現(xiàn)了基于OpenFlow的主機突變（OF-RHM，OpenFlow random host mutation）技術(shù)，其通過NOX控制器為終端分配兩類IP，即虛擬IP和真實IP，且終端保持真實IP不變，周期性變換虛擬IP，使得終端保持透明，能夠較好地防御網(wǎng)絡(luò)掃描和蠕蟲傳播，但無法有效地防御高級持續(xù)性攻擊。因此，2014年，Jafarian等[25]提出在時間和空間兩個維度上對終端的IP地址進行變化，即通過時間間隔和源屬性進行跳變，增加了虛擬IP選擇的不確定性，能夠有效地防御高級持續(xù)性攻擊。2015年，Jafarian等在前面研究的基礎(chǔ)上提出一種高效的主機跳變機制[37]，在保證跳變的不可預測性的前提下實現(xiàn)最大化的防御效果。更進一步，Hu等[38]提出了一種基于OpenFlow的網(wǎng)絡(luò)層移動目標防御方案，能夠?qū)崿F(xiàn)終端在全網(wǎng)的防護，在域內(nèi)終端通過IP地址跳變進行防御，在跨域的情況下終端通過端口跳變進行防御。Sharma等[39]提出靈活隨機的IP多路復用（FRVM，flexible random virtual IP multiplexing）技術(shù)，通過多個隨機的、隨時間變化的虛擬IP地址復用到真實IP來增強系統(tǒng)的安全性。文獻[40]提出不僅在終端進行IP跳變，而且將IP跳變應用于數(shù)據(jù)平面交換機，并通過基于哈希鏈的同步簽名來同步網(wǎng)絡(luò)路徑中的各個節(jié)點。

4.3 跳變的觸發(fā)方式

網(wǎng)絡(luò)層跳變技術(shù)的跳變方式主要分為非自適應跳變和自適應跳變。對于非自適應的網(wǎng)絡(luò)層跳變技術(shù)，其主要實現(xiàn)形式是周期性跳變，周期性跳變是網(wǎng)絡(luò)層跳變機制以固定的時間間隔去跳變網(wǎng)絡(luò)層屬性。早期提出的RHM、OF-RHM以及端信息跳變技術(shù)均以固定的周期去輪換終端的關(guān)鍵屬性，如果跳變時間間隔過長，攻擊者在跳變間隔內(nèi)能夠滲透進目標系統(tǒng)，導致防御失效。而如果跳變周期過短，會嚴重影響網(wǎng)絡(luò)性能并且浪費網(wǎng)絡(luò)資源，特別是當無攻擊者滲透目標系統(tǒng)時，高速跳變網(wǎng)絡(luò)屬性也顯得毫無意義，因此合理的跳變方式可以有效保證安全性和提高通信質(zhì)量。

自適應跳變機制在保證系統(tǒng)安全性的同時將網(wǎng)絡(luò)性能的損失降到最小。Jafarian等[41]提出一種自適應敵手的IP地址隨機化技術(shù)，其通過將敵手的掃描行為假設(shè)為非均勻的掃描和非重復的掃描，然后根據(jù)這種假設(shè)行為判斷攻擊者的掃描行為，進而做出自適應的跳變。Ma等[42]提出一種自適應的端點跳變技術(shù)（SEHT，self-adaptive end-point hopping technique），通過可滿足性模理論（SMT）來描述跳變的限制，保證跳變的低開銷和高可用性，同時根據(jù)假設(shè)測試分析掃描策略進而指導跳變策略的選擇。實驗結(jié)果表明，SEHT在保證低開銷的前提下能夠防御90%的掃描攻擊。Wang等[43]在軟件定義網(wǎng)絡(luò)中設(shè)計并實現(xiàn)IP地址和MAC地址協(xié)同化的內(nèi)網(wǎng)防護系統(tǒng)，并采用網(wǎng)絡(luò)偵察的博弈模型求解最優(yōu)的跳變周期，使得跳變網(wǎng)絡(luò)層屬性不影響正常的網(wǎng)絡(luò)服務(wù)。Yoon等[44]提出一種分層架構(gòu)的攻擊圖模型，該模型提供了網(wǎng)絡(luò)的漏洞和網(wǎng)絡(luò)拓撲，可用于在指定網(wǎng)絡(luò)中選擇高優(yōu)先級的主機進行輪換并且確定主機輪換的頻率，以最小的防御開銷降低攻擊成功的概率。實驗結(jié)果表明，該方法能夠有效降低攻擊成功的概率，且具有跳變的系統(tǒng)與無跳變的系統(tǒng)在轉(zhuǎn)發(fā)數(shù)據(jù)包時的時延相差不大。Wang等[45]通過研究MTD時序問題提出了一個基于更新獎勵理論的算法，并在綜合考慮自適應開銷和攻擊成本的基礎(chǔ)上，用來自9 026個不同IP的50 704種不同的DDoS攻擊來評估該算法，實驗結(jié)果表明，與現(xiàn)有的周期性和隨機自適應算法相比，提出的算法在相同的安全保證下更具成本效益。

5 模型及評估

為了評估網(wǎng)絡(luò)層跳變技術(shù)的有效性和平衡網(wǎng)絡(luò)層跳變的有效性和性能損失，增強網(wǎng)絡(luò)層跳變系統(tǒng)的可用性，國內(nèi)外研究者提出了不同的模型去分析網(wǎng)絡(luò)層動態(tài)跳變技術(shù)，主要分為基于概率的評估模型和基于博弈的跳變策略選取機制模型。

5.1 概率模型

針對基于概率的評估模型，研究者主要從掃描攻擊、DDoS攻擊、蠕蟲傳播、APT攻擊這4種攻擊方式入手，分析當部署動態(tài)跳變系統(tǒng)時，攻擊者成功攻擊目標的概率。

Carroll等[46]提出使用甕模型對靜態(tài)網(wǎng)絡(luò)和動態(tài)網(wǎng)絡(luò)進行分析，并比較在不同的網(wǎng)絡(luò)大小、漏洞系統(tǒng)數(shù)目、掃描地址空間、輪換頻率的條件下攻擊成功的概率。實驗結(jié)果表明，動態(tài)網(wǎng)絡(luò)能夠有效降低攻擊者攻擊成功的概率。文獻[25]提出從威懾率、欺騙率、檢測率3個方面對動態(tài)防御系統(tǒng)進行評估。同時，從協(xié)作掃描、本地偏好掃描來分析攻擊成功的概率。

此外，相關(guān)研究者也將概率模型引入網(wǎng)絡(luò)層跳變策略選取的研究中，通過將攻擊者和防御者的行為建模為概率模型，在保證安全性的前提下，得到增強系統(tǒng)可用性的跳變策略。

Clark等[47]將跳變周期的選取建模為最優(yōu)停止問題，并在綜合分析攻擊成功的概率和資源開銷的基礎(chǔ)上，給出最優(yōu)的跳變周期。Maleki等[48]通過使用馬爾可夫模型來分析網(wǎng)絡(luò)層跳變，根據(jù)目標隱藏的數(shù)量將網(wǎng)絡(luò)系統(tǒng)建模為單目標隱藏和多目標隱藏，并給出各自的狀態(tài)轉(zhuǎn)移圖，在狀態(tài)轉(zhuǎn)移圖的基礎(chǔ)上，給出兩種情況下目標系統(tǒng)的安全指標。Yoon等[44]提出采用三層攻擊圖模型對目標系統(tǒng)的關(guān)鍵資產(chǎn)進行建模，進而評估這些關(guān)鍵資產(chǎn)的漏洞等級。進一步，根據(jù)這些漏洞等級提出兩種關(guān)鍵資產(chǎn)指標，即基于角色的關(guān)鍵性和基于影響的關(guān)鍵性來區(qū)分關(guān)鍵資產(chǎn)的優(yōu)先級，選擇優(yōu)先級高的資產(chǎn)進行輪換。

5.2 博弈模型

針對網(wǎng)絡(luò)空間的攻防模型，從防御者的角度來看，網(wǎng)絡(luò)層動態(tài)跳變技術(shù)的主要目標是確定一組最佳的網(wǎng)絡(luò)配置來改變攻擊面，最大限度地減少攻擊者行動帶來的風險。從攻擊者的角度來看，攻擊者旨在以最小的精力和最大的效率成功地發(fā)起攻擊。因此，博弈論很好地模擬了攻擊者和網(wǎng)絡(luò)層跳變之間的競爭情況，可以有效指導網(wǎng)絡(luò)層跳變策略選取。本節(jié)主要基于完全信息博弈和不完全信息博弈對網(wǎng)絡(luò)層跳變技術(shù)進行分類。

對于完全信息博弈，Manadhata等[49]在考慮安全性和可用性的基礎(chǔ)上，提出采用二人隨機博弈模型選取最優(yōu)的移動目標輪換策略。Lei等[50]提出將馬爾可夫決策過程和動態(tài)博弈結(jié)合來塑造MTD場景下防御者與攻擊者的多階段博弈行為，進而得到最優(yōu)的跳變策略平衡防御的有效性和網(wǎng)絡(luò)服務(wù)質(zhì)量。Feng等[51]提出將非零和斯坦伯格博弈應用于求解MTD策略，假設(shè)攻擊者可以觀察到防御者先前的配置，通過將防御者建模為馬爾可夫決策過程，進而通過有效的迭代算法求出最佳的跳變策略。

對于不完全信息博弈，Chen等[52]針對網(wǎng)絡(luò)攻防過程中攻防雙方無法獲取對方信息以及無法判斷對方收益的問題，提出了基于模糊靜態(tài)貝葉斯博弈的網(wǎng)絡(luò)主動防御策略。在求解雙方的效用函數(shù)時引入了三角模糊數(shù)并采用模糊概率及其均值的方法得到精確效用值，進而通過納什均衡解得最優(yōu)跳變策略。Zhu等[53]提出了一種多階段反饋博弈模型，將其中帶有MTD的攻擊防御形式化為零和博弈。在該模型中，網(wǎng)絡(luò)系統(tǒng)被分解為不同的部分，并將網(wǎng)絡(luò)攻擊行為建模為多階段攻擊過程。此外，還分析了MTD實施對系統(tǒng)性能開銷和攻擊成本的影響，以確定MTD機制的最佳策略，從而將防御成本和系統(tǒng)安全風險最小化。Lei等[54]提出一種新穎的不完全信息馬爾可夫博弈理論，通過引入移動攻擊面和移動勘測面的概念，擴展具有不完全信息的最優(yōu)策略選擇。同時，綜合考慮防御成本和防御收益，設(shè)計了一種最優(yōu)策略生成算法，以防止所選策略與實際網(wǎng)絡(luò)狀況發(fā)生偏差，從而保證了最優(yōu)策略生成的正確性。Tan等[55]將馬爾可夫決策過程與魯棒博弈結(jié)合，提出了一種基于馬爾可夫魯棒博弈模型。作者通過定義基于移動攻擊和探索面的移動目標防御模型，描述了漏洞的隨機出現(xiàn)以及由防御轉(zhuǎn)換引起的攻擊方和防御方在認知行為上的差異。在此基礎(chǔ)上，構(gòu)造了馬爾可夫魯棒博弈模型，描述了運動目標防御對抗的多階段、多狀態(tài)特征，給出不完全信息假設(shè)下的未知先驗信息。最后通過將最優(yōu)策略選擇等效轉(zhuǎn)換為非線性規(guī)劃問題，設(shè)計了一種有效的最優(yōu)防御策略選擇算法。

表3 網(wǎng)絡(luò)層跳變技術(shù)的關(guān)鍵模型及其優(yōu)缺點Table 3 The key model of network layer hopping technology and its advantages and disadvantages

6 存在挑戰(zhàn)及下一步研究方向

（1）網(wǎng)絡(luò)層跳變系統(tǒng)的易用性還有待提高

目前針對無論是基于傳統(tǒng)網(wǎng)絡(luò)的還是基于SDN的網(wǎng)絡(luò)層動態(tài)跳變技術(shù)，都無法完美解決因跳變產(chǎn)生的會話維持問題，而目前用戶對網(wǎng)絡(luò)性能要求苛刻，因會話維持產(chǎn)生的鏈接關(guān)閉將會嚴重影響網(wǎng)絡(luò)體驗。

（2）網(wǎng)絡(luò)層跳變技術(shù)的安全性還需要進一步改善

基于網(wǎng)絡(luò)層的跳變技術(shù)無法防御高級攻擊者發(fā)起網(wǎng)絡(luò)攻擊，如側(cè)信道攻擊、高級持續(xù)性攻擊等。因此，可以嘗試結(jié)合其他防御手段，如結(jié)合人工智能技術(shù)[57]和欺騙技術(shù)來發(fā)現(xiàn)潛在的攻擊者，對跳變策略進行最優(yōu)化設(shè)置。

（3）拓展應用范圍和場景

隨著IPv4地址的耗盡，網(wǎng)絡(luò)協(xié)議從IPv4向IPv6網(wǎng)絡(luò)轉(zhuǎn)變，基于IPv4的網(wǎng)絡(luò)層跳變技術(shù)無法直接過渡到IPv6網(wǎng)絡(luò)中，且目前針對IPv6網(wǎng)絡(luò)的動態(tài)跳變技術(shù)研究很少，所以在IPv6網(wǎng)絡(luò)中部署網(wǎng)絡(luò)層跳變具有重要的研究意義。同時，隨著物聯(lián)網(wǎng)的發(fā)展，萬物互連的時代到來，必然帶來更多的安全威脅，所以將網(wǎng)絡(luò)層跳變技術(shù)引入物聯(lián)網(wǎng)去防范未知的漏洞和后門也具有重要的研究價值[58]。

7 結(jié)束語

隨著移動目標防御其他相關(guān)技術(shù)的提出和應用，網(wǎng)絡(luò)層動態(tài)跳變技術(shù)的發(fā)展趨勢漸緩。但是網(wǎng)絡(luò)層動態(tài)防御技術(shù)仍然存在關(guān)鍵問題沒有解決。

網(wǎng)絡(luò)層動態(tài)跳變引起的服務(wù)性能下降仍然是迫切需要解決的問題。部署在傳統(tǒng)網(wǎng)絡(luò)的動態(tài)跳變技術(shù)需要改變現(xiàn)有的通信協(xié)議方式，增加額外的通信報文，引入了額外的時延開銷。而部署在SDN中的網(wǎng)絡(luò)層跳變技術(shù)，SDN本身固有的數(shù)據(jù)層和控制層威脅，使得在沒解決現(xiàn)有威脅的前提下，引入新的威脅。因此，可以考慮新的網(wǎng)絡(luò)層相關(guān)技術(shù)來部署網(wǎng)絡(luò)層跳變，在保證安全性的同時，保證通信服務(wù)質(zhì)量不下降。

網(wǎng)絡(luò)層動態(tài)跳變技術(shù)仍然需要更加合理模型進行評估。當前，針對網(wǎng)絡(luò)層跳變技術(shù)的評估主要是概率模型和博弈論模型，然而這兩種模型的抽象層次太高，忽略了很多關(guān)鍵因素，對實際網(wǎng)絡(luò)跳變系統(tǒng)的指導作用有限。因此，可以考慮其他的模型對網(wǎng)絡(luò)層跳變系統(tǒng)進行建模，如可以采用排隊論模型對網(wǎng)絡(luò)層跳變進行評估，分析因系統(tǒng)跳變帶來的通信時延。