基于端信息自適應跳變的主動網絡防御模型

劉 江 張紅旗 代向東 王義功

?

基于端信息自適應跳變的主動網絡防御模型

劉 江*張紅旗 代向東 王義功

(解放軍信息工程大學 鄭州 450001)(河南省信息安全重點實驗室 鄭州 450001)

端信息跳變是目前主動網絡防御領域的研究熱點之一。該文構建了固定策略下的定時隙端信息跳變模型，分析了固定跳變周期引起的防御收益下降和跳變邊界數據包丟失造成的服務損失問題。提出了基于非廣延熵和Sibson熵融合的實時網絡異常度量算法，在此基礎上設計了端信息跳變周期和跳變空間自調整策略，構建了主動網絡防御模型，提高了防御收益。給出了基于網絡時延預測的跳變周期拉伸策略，保證了跳變邊界的服務質量。理論分析與仿真實驗結果表明了所提模型在網絡防御中的有效性和良好的服務性。

主動網絡防御；端信息跳變；自適應調整

1 引言

確定性、相似性、靜態性是現有網絡信息系統的致命安全缺陷[1]，也是網絡攻防雙方長期處于不對稱地位的重要原因。近年來，動態目標防御MTD (Moving Target Defense)作為一種新的主動網絡防御技術備受關注，其核心思想是通過構建動態、異構、不確定的信息系統，增強其多樣性、隨機性和不可預測性，增加攻擊者的攻擊難度及代價、有效限制脆弱性暴露及被攻擊的機會。端信息跳變作為動態目標防御在網絡層實施的關鍵技術之一，指通信雙方或者多方偽隨機地改變地址、端口、協議等端信息，在保證服務質量的前提下，提升自身防御能力的一種主動網絡防護技術。

合理的跳變策略和有效的同步機制是端信息跳變的兩個關鍵技術。國外研究中，文獻[5]采用偽隨機函數生成服務端口并在跳變邊界重疊開放，防止數據丟失。文獻[6]將虛假隨機地址和端口填充到數據報文重定向數據流，并指出攻擊者使用“過期”端信息將增加被檢測的可能性。文獻[7]在通信過程中提供多條路由路徑，提高對等節點數據傳輸的安全性。文獻[8]提出透明地址跳變TAO(Transparent Address Obfuscation)，轉換數據流包頭地址并維持地址轉換表的新鮮度，阻止服務周期之外的連接請求。文獻[9]提出隨機端口跳變機制RPH(Random Port Hopping)，利用ACK確認報文保持同步，根據共享密鑰和已成功發送數據分組數目計算下一跳端口信息。文獻[10]提出面向IPv6的動態目標防御架構MT6D(Moving Target IPv6 Defense)，但網絡延遲導致跳變周期之外的數據包被丟棄，影響正常通信。文獻[11]基于離散時間馬爾科夫鏈構建一種可靠性更高的RPH模型，改善了現有協議的通信成功率。文獻[12]通過動態轉換數據傳輸加密協議，獲得比單一固定加密協議更高的安全性和更好的擴展性。文獻[13]提出HOPERAA算法解決線性時鐘漂移對同步的影響，實現了不需要第3方參與的多客戶端同步機制。國內研究中，文獻[14]分析了端信息跳變防護模型及其抗攻擊性能，提出輕量級UDP服務時間戳同步方法。文獻[15]指出跳變系統同步成功率直接受跳變時隙長短控制，額外開放前后兩個跳變時隙對應的端信息接收同步失敗的數據包，大幅提高了同步成功概率。

綜上，端信息跳變策略包括跳變圖案和偽隨機函數兩種方式。跳變圖案[7,8]是通信雙方通過初始數據交換，協商跳變序列和周期，嚴格按照既定策略實施跳變通信。跳變圖案的安全交換和更新是該方式的一大難點。偽隨機函數通過哈希函數生成端信息，其一般形式為,為偽隨機函數，為時間戳，為共享密鑰，和分別為當前和下一跳變周期端信息。偽隨機函數法安全性較高，但擴展性不好，存在端信息碰撞的可能性。另外，端信息跳變策略動態調整需要壓縮或放大可用端信息狀態空間，偽隨機函數方式顯然無法滿足這一需求。

同步機制研究中，不需要嚴格時間耦合的ACK應答同步[9]克服了網絡延遲，但ACK報文易被截獲和篡改，而且一旦丟失將迫使通信雙方在很長一段時間使用相同端信息，帶來較大安全威脅。時間戳同步技術[14,15]認為接收數據消息與時間戳初始化的時間差小于跳變時隙即同步成功，但大量的同步請求集中于一臺時間戳服務器成為效率瓶頸，而分布式解決方案又存在服務器利用率低的問題。時鐘漂移同步技術[13]通過調整通信雙方固有時鐘頻率偏差引起的時間漂移達到同步，卻存在遭受DoS攻擊的隱患。高耦合度的嚴格時間同步[5]要求通信雙方保持嚴格時間同步，但跳變系統不可避免地存在網絡延遲。基于現有同步協議并容忍網絡延遲對同步的影響是一種解決思路。

基于上述分析，本文首先基于跳變圖案和嚴格時間同步機制構建了定時隙端信息跳變模型并分析了其存在的問題；然后，針對定時隙端信息跳變模型存在的問題設計了端信息自適應跳變模型，提出了跳變周期和跳變空間自調整策略；最后，利用NS2構建仿真實驗環境驗證了模型的有效性。

2 定時隙端信息跳變模型

2.1基本概念

表1跳變圖案結構

跳變域說明 端信息狀態空間 偽隨機函數，生成,, 偽隨機函數的初始種子 端信息跳變周期，即每隔時間更換跳變端信息 跳變圖案生存周期，即每隔時間更新跳變圖案

2.2跳變協議

端信息跳變支持單點跳變，也支持通信雙方對等跳變，甚至是多個通信對象之間的協同跳變。單點跳變是對等跳變的特例，多點協同跳變則可通過多個對等跳變實現。本節針對對等跳變設計跳變協議，允許多個跳變信道上獨立的傳輸層連接，跳變圖案雙向交換。協議流程如圖1所示。

圖1 對等跳變協議流程

(3)客戶端身份認證成功后，服務器切換至端信息跳變模式，向客戶端發送響應報文，即使用服務器私鑰對服務器身份、服務器端信息跳變圖案和響應報文發送時間戳簽名；

2.3 存在問題

定時隙端信息跳變對于傳統網絡攻擊具有良好的防御效果[14,15]，但仍存在以下兩個問題。

(1)固定跳變周期引起的防御收益下降問題。防御收益指防御策略對跳變系統安全性能的提升與部署防御策略的操作成本和引起的服務損耗之差。服務損耗[16]包括端信息跳變服務切換的時間代價，以及因收發雙方不同步數據包被丟棄等數據損失。跳變周期過長，攻擊者擁有足夠的時間對目標系統進行掃描和探測，能夠準確有效地發起跟隨攻擊和半盲攻擊；跳變周期過短，高頻率的跳變又會帶來服務損耗的增加。

(2)邊界數據包丟失引起的服務質量下降問題。定時隙端信息跳變將時間軸按照跳變周期劃分為定長時隙，為不同跳變周期分配不同的端信息。但網絡不可避免地存在擁塞和延遲，客戶端請求到達服務器時，服務器的端信息已經發生改變，引起高丟包率，使得客戶端無法正常訪問服務器，嚴重影響通信服務質量。

3 端信息自適應跳變模型

為簡化闡述，本節的端信息自適應跳變模型僅闡述了部署跳變代理在服務器端的情形，客戶端僅需等價的部署跳變代理即可實現對等跳變。對于2.3節問題(1)，模型根據網絡異常和網絡延遲動態調整跳變周期，試圖達到更好防御收益。對于2.3節問題(2)，模型設計跳變周期拉伸策略，即服務器端除了維持跳變周期時間窗口，根據網絡延遲延長活動端信息開放時間，用于接收客戶端延遲的訪問請求。

3.1 組成結構

端信息自適應跳變模型結構如圖2所示，跳變代理是實現端信息自適應跳變的基礎，控制其他模塊和可用跳變節點，協調客戶端和服務器間的通信；時間同步模塊負責客戶端和跳變代理之間的時間同步；異常檢測模塊對網絡數據流進行抽樣檢測，利用異常檢測算法分析網絡異常；誘騙處理模塊生成虛假報文，故意迷惑攻擊者，增加攻擊者對截獲報文進行過濾和重組分析的難度；通信轉發模塊在服務器和客戶端之間實施數據轉發；每個可用跳變節點分配一個端信息，任意時刻只有處于活動期內的跳變節點才能被激活。

3.2 工作過程

端信息自適應跳變模型的工作過程包括3個階段，具體如下：(1)跳變準備階段：客戶端和服務器利用跳變協議交換跳變圖案，根據時間同步模塊校準本地時鐘，進入跳變通信模式。(2)跳變通信階段：跳變代理控制模塊根據既定跳變圖案激活當前周期活動節點；合法客戶端發送的數據通過當前活動跳變節點進入跳變代理，經通信轉發模塊發送給服務器；服務器發出的數據包經通信轉發模塊和活動跳變節點返回給客戶端。(3)跳變調整階段：延遲處理模塊和異常檢測模塊采樣網絡數據流，評估網絡異常和延遲，跳變代理控制模塊根據評估結果和自調整策略動態改變活動端信息。評估方法和自調整策略將在下節進行詳細闡述。

圖2 端信息自適應跳變模型結構

3.3 跳變周期自調整策略

3.2.1網絡異常度量 網絡異常是跳變周期進行自適應調整的基礎性參數。為方便表述，以地址跳變進行討論。

(1)假設不存在網絡延遲，攻擊滯后性使得攻擊報文與當前端信息不匹配，認為延遲報文均是攻擊報文。文獻[16]認為邊界同步失敗產生的不同步包流量較小，用非服務節點接收的數據包估算該節點接收攻擊包的數量評估網絡異常。但針對跳變系統的攻擊屬于具有攻擊集中性的跟隨攻擊，應該考慮數據包的分布特征。異常檢測模塊抽樣統計跳變周期收到的數據報文，計算剔除映射目的地址的剩余目的地址的統計概率分布和非廣延熵,是采樣區間的狀態空間。為異常度閾值，當時存在網絡異常。

3.2.2自調整策略 跳變周期自調整策略指端信息生存周期隨網絡異常和延遲自適應動態改變，其對定時隙端信息跳變的改進體現在兩個方面，一是動態調整，二是延長活動端信息跳變周期以外的開放時間，如圖3所示。

圖3 端信息跳變周期自調整

3.4跳變空間自調整策略

跳變空間自調整策略指通信一方或者雙方按照既定策略擴大或壓縮端信息狀態空間。文獻[16]依據受攻擊強度對端信息集合進行排序，選擇未受攻擊的端信息作為下一跳變階段的可用端信息，可以有效躲避半盲攻擊。但是，該策略將端信息狀態空間擠壓到相對較小的空間。文獻[15]的作者指出該方法降低了跳變系統的抗攻擊性能，并利用博弈理論證明跳變系統與攻擊者之間存在一個無空間自適應策略的納什均衡。

存在半盲攻擊的情況下，壓縮端信息跳變空間，降低了攻擊者通過監聽掌握端信息狀態空間的難度；反之，攻擊者可利用過去一段時間探測到的可用端信息發起跟隨攻擊。如何在保持端信息跳變多樣性的情況下，降低攻擊者發起跟隨攻擊的威脅是一個難題。為此，提出基于誘騙端信息的跳變空間自調整策略。

(3)跳變代理控制模塊激活蜜罐單元內的誘騙端信息。所謂誘騙端信息是以網絡異常端信息為全集，存活周期滿足分布的一組端信息集合；

(4)通信雙方使用常規端信息正常通信的同時，跳變代理控制模塊和客戶端利用誘騙端信息發送虛假報文，迷惑攻擊者。攻擊者探測發現誘騙端信息處于存活期，向服務器發動跟隨攻擊，而跳變代理控制模塊則將攻擊報文導入蜜罐，進而對攻擊進行檢測和溯源分析。

3.5安全性分析

安全性是評價一個防御方法優劣的重要指標，本節首先分析模型的抗拒絕服務(DoS)攻擊與抗截獲攻擊性能，它反映了模型的可用性和機密性[14]；然后分析模型抵御跟隨攻擊和半盲攻擊的性能。

(1)抗DoS攻擊性能：針對跳變系統的DoS攻擊實際上是一種有指導的盲攻擊狀態，即對攻擊者探測到的所有端信息發起平均攻擊。對于攻擊者而言，無法確定當前哪一個節點處于活動狀態，也就不能唯一地向當前活動端信息發起攻擊。假定端信息跳變可用地址數，端口數，協議數。令表示攻擊者發送數據包中所含當前活動端信息的數目，表示攻擊數據速率，的期望為。

(2)抗截獲攻擊性能：端信息自適應跳變模型將正常通信數據報文擴散到背景數據報文中，截獲者需要監聽所有數據報文，過濾、破譯和重組正常數據報文。假設攻擊者可以猜測出網絡拓撲，并且能夠成功截獲到所有正常數據報文，則攻擊者的總開銷。其中為攻擊者截獲所有數據報文的開銷；為攻擊者過濾虛假報文的開銷，與異常端信息集合相關；為攻擊者破譯報文加密算法的開銷，與加密算法種類及各個加密算法的性能相關；為攻擊者重組正常數據報文的開銷，與正常數據報文的分段大小相關。

(3)抗跟隨攻擊性能：跟隨攻擊是針對端信息跳變系統的一類特殊攻擊，當防御方采用端信息跳變策略時，攻擊者將努力探測和定位當前活動端信息并集中所有攻擊強度對其進行攻擊。假設攻擊者截獲數據包并分析獲得有用信息的時間為，攻擊者鎖定目標、發起攻擊并且準確命中目標的時間為，則系統遭受跟隨攻擊的概率。

4 實驗與性能分析

基于NS2對自適應端信息跳變進行系統仿真，利用C++編寫同步、跳變、通信等模塊，使用OTcl腳本實現網絡拓撲仿真。實驗環境配置如表2所示，其中，跳變代理部署在服務器端，開啟多個虛擬機模擬跳變節點。設初始跳變周期為120 s,,,,,,,,,。仿真實驗結果如圖4至圖7所示。

表2原型系統實驗環境配置

操作系統帶寬(Mbps)數量工作方式 服務器Linux(kernel 2.6.1)1001端信息跳變 客戶機Windows XP1004正常通信 DoS攻擊機Linux(kernel 2.6.1)1001SYN-Flood

4.1 DoS攻擊實驗分析

采用SYN-Flood方式進行有指導的DoS攻擊，測試端信息跳變系統在不同攻擊速率下的平均服務響應時間。圖4展示了無跳變策略(no hopping)、簡單端信息跳變策略(simple EH)、文獻[16]跳變策略(adaptive EH)以及本文自適應跳變策略(selfadaptive EH)抗DoS攻擊性能。結果表明端信息跳變策略能夠很好地抵御DoS，但性能差距不大，因為DoS攻擊進入盲攻擊狀態對探測到的所有端信息發起平均攻擊。隨著DoS攻擊的持續，由初始的120.0 s逐漸減小為90.0 s, 54.4 s, 21.6 s，分別約為上一跳變周期的75%, 60%, 40%；而后停止DoS攻擊，由21.6 s逐漸增大為24.5 s, 29.8 s, 37.6 s，分別約為上一跳變周期的9%, 14%和20%，滿足跳變周期自調整“慢增長，快減小”原則。

圖4 DoS攻擊仿真實驗數據擬合

4.2跟隨攻擊實驗分析

初始跳變周期設為60 s, simple EH跳變周期固定；adaptive EH一旦發現攻擊，以每次減小一半的速率縮減；selfadaptive EH還考慮了網絡異常，的下降速率更快，攻擊者的跟隨時延也隨之增加。出于上述考慮，將三者的跟隨時延分別設為5 s，12 s和15 s。實驗結果如圖5所示，simple EH策略的平均響應時間略好于無跳變策略，因為simple EH策略的跳變周期固定；adaptive EH策略和selfadaptive EH策略的平均響應時間遠優于simple EH策略，但隨著攻擊速率的增大，攻擊報文占用大量網絡帶寬，網絡進入擁塞狀態，即使攻擊者無法確定當前端信息，也造成網絡延時的快速增長，平均響應時間隨之快速增長。

4.3半盲攻擊實驗分析

半盲攻擊中空間擠壓參數設為30%，即攻擊者進行端信息狀態空間擠壓，每次攻擊的目標端信息為可用端信息狀態空間的70%，則一旦攻擊者進行多次端信息狀態空間擠壓，可用端信息空間將呈指數級下降。實驗結果如圖6所示，adaptive EH策略的平均響應時間優于無跳變策略，但不如simple EH策略，這與文獻[15]作者的分析相一致；selfadaptive EH策略的平均響應時間優于simple EH策略，因為誘騙端信息發送虛假報文迷惑攻擊者，降低了半盲攻擊對端信息狀態空間擠壓的威脅。

4.4 服務率實驗分析

跳變策略對通信質量的影響是衡量跳變策略好壞的重要指標，為方便實驗，僅考慮客戶端和服務器收發數據包數據量之間的關系，將其定義為服務率，即客戶端發送數據包數量與服務器收到的對應數據包數量的比值。實驗結果如圖7所示，在攻擊強度較小時，無跳變策略的服務率要優于跳變策略，說明端信息跳變影響了通信質量；隨著攻擊強度的增加，無跳變策略和simple EH策略的服務率迅速下降并趨近于0; adaptive EH策略和本文selfadaptive EH策略在攻擊強度不大時能夠保證較好的服務率，且selfadaptive EH策略的服務率要優于adaptive EH策略，這是因為服務器端維持跳變周期滑動窗口，在當前跳變周期開放的端信息外，還延長非跳變周期端信息的存活時間用于接收客戶端的訪問請求，提高了服務率。

圖5 跟隨攻擊仿真實驗數據擬合?????圖6 半盲攻擊仿真實驗數據擬合?????圖7 服務率仿真實驗數據擬合

5 結束語

端信息跳變是一種提升自身防御的主動網絡防護技術，在安全和性能之間尋求平衡點，使得在保障正常服務的前提下，以一定的服務性能損耗換取安全性能的提高。本文建立了端信息自適應跳變模型，設計了跳變自調整策略。仿真實驗結果表明，該模型對于拒絕服務攻擊、半盲攻擊和跟隨攻擊都具有良好的防御性能，而且保證了跳變邊界的通信質量，這對于網絡層的動態目標防御研究具有重要意義。在下一步研究工作中，擬考慮端信息跳變成本對自適應策略的影響，以提高端信息跳變在網絡防御中的效能。

[1] Zhuang R, DeLoach S A, and Ou X. Towards a theory of moving target defense[C]. Proceedings of the First ACM Workshop on Moving Target Defense, Scottsdale, Arizona, 2014: 31-40.

[2] Jajodia S and Sun K. MTD 2014: first ACM workshop on moving target defense[C]. Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security, Scottsdale, Arizona, 2014: 1550-1551.

[3] Xu Jun, Guo Pin-yao, Zhao Ming-yi,.. Comparing different moving target defense techniques[C]. Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security, Scottsdale, Arizona, 2014: 97-107.

[4] Wang H, Jia Q, Fleck D,.. A moving target DDoS defense mechanism[J]., 2014, 46(3): 10-21.

[5] Lee H C J and Thing V L L. Port hopping for resilient networks[C]. Proceedings of the 60th IEEE Vehicular Technology Conference, Washington, 2004: 3291-3295.

[6] Atighetchi M, Pal P, Webber F,.. Adaptive use of network-centric mechanisms in cyber-defense[C]. Proceedings of the 6th IEEE International Symposium on Object-Oriented Real-Time Distributed Computing, Hokkaido, 2003: 183-192.

[7] Sifalakis M, Schmid S, and Hutchison D. Network address hopping: a mechanism to enhance data protection for packet communications[C]. 2005 IEEE International Conference on Communications, Seoul, 2005: 1518-1523.

[8] Antonatos S, Akritidis P, Markatos E P,.. Defending against hitlist worms using network address space randomization[J]., 2007, 51(12): 3471-3490.

[9] Badishi G, Herzberg A, and Keidar I. Keeping denial-of-service attackers in the dark[J]., 2007, 4(3): 191-204.

[10] Dunlop M, Groat S, Urbanski W,.. Mt6d: a moving target IPv6 defense[C]. The 2011 Military Communications Conference, Baltimore, Maryland, 2011: 1321-1326.

[11] Hari K and Dohi T. Dependability modeling and analysis of random port hopping[C]. 2012 9th International Conference on Ubiquitous Intelligence & Computing and 9th International Conference on Autonomic & Trusted Computing, Fukuoka, 2012: 586-593.

[12] Ellis J W. Method and system for securing data utilizing reconfigurable logic [P]. US, Patent 8127130, 2012-2-28.

[13] Fu Z, Papatriantafilou M, and Tsigas P. Mitigating distributed denial of service attacks in multiparty applications in the presence of clock drifts[J]., 2012, 9(3): 401-413.

[14] 石樂義, 賈春福, 呂述望. 基于端信息跳變的主動網絡防護研究[J]. 通信學報, 2008, 29(2): 106-110.

Shi Le-yi, Jia Chun-fu, and Lü Shu-wang. Research on end hopping for active network confrontation[J]., 2008, 29(2): 106-110.

[15] 林楷, 賈春福, 石樂義. 分布式時間戳同步技術的改進[J]. 通信學報，2012, 33(10)：110-116.

Lin Kai, Jia Chun-fu, and Shi Le-yi. Improvement of distributed timestamp synchronization[J]., 2012, 33(10): 110-116.

[16] 趙春蕾. 端信息跳變系統自適應策略研究[D]. [博士論文], 南開大學, 2012.

Zhao Chun-lei. Research on adaptive strategies for end-hopping system[D]. [Ph.D. dissertation], Nankai University, 2012.

[17] Yu S, Thapngam T, Liu J,.. Discriminating DDoS flows from flash crowds using information distance[C]. Proceedings of the third International Conference on Network and System Security, Piscataway, NJ, 2009: 351-356.

[18] Cong S, Ge Y, Chen Q,.. DTHMM based delay modeling and prediction for networked control systems[J]., 2010, 21(6): 1014-1024.

A Proactive Network Defense Model Based on Selfadaptive End Hopping

Liu Jiang Zhang Hong-qi Dai Xiang-dong Wang Yi-gong

(,450001,)(,450001,)

End hopping technology is one of the hot research domains in the field of proactive network defense. An end hopping model based on fixed time slot under the fixed policy is established. The defense gains decline caused by fixed hopping period and the service loss caused by data packet loss on hopping boundary are analyzed. The real-time network anomaly assessment algorithm based on the fusion of nonextensive entropy and Sibson entropy is proposed. Then, the selfadaptive end hopping period and space policy based on the proposed algorithm are designed and the proactive network defense model is constructed which improves the defense gains. Furthermore, Hopping period stretching policy based on network delay prediction is proposed to ensure the service quality on hopping boundary. Theoretical analysis and simulation results show the effectiveness and good service of the proposed model in network defense.

Proactive network defense; End hopping; Selfadaptive adjustment

TP393.08

A

1009-58969(2015)11-2642-08

10.11999/JEIT150273

2015-03-04；改回日期：2015-05-25；

2015-07-06

劉江 liujiang2333@163.com

國家863計劃項目(2012AA012704)和鄭州市科技領軍人才項目(131PLJR644)

The National 863 Program of China (2012AA012704); Scientific and Technological Leading Talent Project of Zhengzhou (131PLJR644)

劉 江： 男，1988年生，博士生，研究方向為網絡動態目標防御、安全策略管理.

張紅旗： 男，1962年生，教授，博士生導師，研究方向為網絡信息安全、安全管理.

代向東： 男，1977年生，碩士，講師，研究方向為網絡安全策略管理.

王義功： 男，1987年生，碩士，講師，研究方向為網絡安全策略管理.