移動(dòng)目標(biāo)防御系統(tǒng)安全評估方法的研究進(jìn)展*

張 瑩，張保穩(wěn),2

（1.上海交通大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院，上海 200240；2.上海市信息安全綜合管理技術(shù)研究重點(diǎn)實(shí)驗(yàn)室，上海 200240）

0 引 言

隨著信息技術(shù)的飛速發(fā)展，信息系統(tǒng)正在成為國家建設(shè)的關(guān)鍵基礎(chǔ)設(shè)施。然而，伴隨著信息系統(tǒng)的發(fā)展，暴露出諸多安全性問題。一方面，現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)通常是確定的﹑靜止的和相似的，另一方面網(wǎng)絡(luò)系統(tǒng)防御方主要依靠防火墻﹑殺毒軟件﹑入侵檢測系統(tǒng)（IDS）﹑入侵防御系統(tǒng)（IPS）等傳統(tǒng)網(wǎng)絡(luò)空間安全技術(shù)，攻擊者有充足的時(shí)間研究這些結(jié)構(gòu)設(shè)施及其存在的漏洞發(fā)動(dòng)攻擊，并以低成本擴(kuò)展到更大網(wǎng)絡(luò)范圍。因此，對于常規(guī)的信息系統(tǒng)，攻擊者具備了時(shí)間優(yōu)勢﹑信息不對稱優(yōu)勢及成本優(yōu)勢等。配合以日益復(fù)雜的攻擊手段和零日漏洞，使得傳統(tǒng)防御機(jī)制更加被動(dòng)，網(wǎng)絡(luò)與系統(tǒng)安全面臨“易攻難守”的困境。

為了改變這種不對稱局面，學(xué)術(shù)界一直試圖通過創(chuàng)新防御思路，尋求能夠“改變游戲規(guī)則”的防護(hù)技術(shù)。移動(dòng)目標(biāo)防御（MTD）就是一種典型的新型安全防御技術(shù)。MTD通過內(nèi)部可管理的方式對被保護(hù)目標(biāo)實(shí)施持續(xù)﹑動(dòng)態(tài)的變化以迷惑攻擊者。自誕生以來，MTD技術(shù)研究發(fā)展較快，現(xiàn)已在網(wǎng)絡(luò)防御的軟件﹑網(wǎng)絡(luò)﹑平臺﹑數(shù)據(jù)等多個(gè)層面得以原理性實(shí)現(xiàn)。

隨著MTD技術(shù)在信息系統(tǒng)安全保護(hù)中的不斷應(yīng)用，如何針對實(shí)施MTD機(jī)制的信息系統(tǒng)進(jìn)行安全評估，成為信息安全領(lǐng)域研究的一個(gè)新方向。目前，主流網(wǎng)絡(luò)安全評估技術(shù)主要用以解決靜態(tài)安全防御系統(tǒng)的安全評估問題，具體方法有基于安全標(biāo)準(zhǔn)和漏洞檢測等規(guī)則的評估方法，基于模糊評價(jià)和貝葉斯網(wǎng)絡(luò)等數(shù)學(xué)的評估方法，基于故障樹﹑狀態(tài)轉(zhuǎn)移圖﹑攻擊圖﹑Petri網(wǎng)﹑神經(jīng)網(wǎng)絡(luò)等模型的評估方法[1]。這些主流網(wǎng)絡(luò)安全評估技術(shù)難以適用于動(dòng)態(tài)﹑主動(dòng)的攻防博弈，無法有效解決MTD系統(tǒng)的安全評估問題。

本文介紹MTD的核心思想和主要實(shí)施機(jī)理，結(jié)合移動(dòng)目標(biāo)防御系統(tǒng)的機(jī)理分析，總結(jié)MTD系統(tǒng)在系統(tǒng)安全評估與分析領(lǐng)域帶來的新難題和挑戰(zhàn)。此外，調(diào)研目前主要的MTD系統(tǒng)相關(guān)安全評估方法的研究進(jìn)展，并對有關(guān)工作在安全建模和評估方法層面重點(diǎn)進(jìn)行歸納分析。最后，進(jìn)一步對MTD安全評估研究工作進(jìn)行總結(jié)與展望。

1 移動(dòng)目標(biāo)防御概念

網(wǎng)絡(luò)空間安全任重道遠(yuǎn)，現(xiàn)有信息系統(tǒng)的靜態(tài)安全防御措施正面臨越來越多的網(wǎng)絡(luò)安全威脅，在保護(hù)網(wǎng)絡(luò)系統(tǒng)層面日趨捉襟見肘。在這個(gè)背景下，MTD思想在2011年被初次明確提出，移動(dòng)目標(biāo)防御（MTD）技術(shù)應(yīng)運(yùn)而生。美國國家科學(xué)技術(shù)委員會(huì)（NITRD）在《可信網(wǎng)絡(luò)空間：聯(lián)邦網(wǎng)絡(luò)安全研發(fā)戰(zhàn)略規(guī)劃》中發(fā)布了這一概念。MTD思想的革命性體現(xiàn)在并非建立無缺陷的系統(tǒng)來阻止攻擊，而是“建立﹑評估和部署多樣化﹑不停遷移﹑隨時(shí)間變化的機(jī)制和策略，增加攻擊者的復(fù)雜性和成本，限制漏洞的暴露，減少攻擊的機(jī)會(huì)，并提高系統(tǒng)的彈性能力”[2]。MTD系統(tǒng)通過不斷隨機(jī)變換系統(tǒng)配置達(dá)到切斷攻擊鏈的目的，可以生效于完整攻擊鏈的任何階段，使攻擊者難以組織有效攻擊，增加攻擊的復(fù)雜度和成本，降低攻擊成功率，從而提高網(wǎng)絡(luò)系統(tǒng)安全彈性。由此可見，MTD是一種全新的保護(hù)方式，防御者要不斷轉(zhuǎn)移系統(tǒng)的攻擊面，以增加攻擊者利用系統(tǒng)漏洞的難度，其核心理念是移動(dòng)攻擊面[3]。

移動(dòng)攻擊面具有動(dòng)態(tài)﹑隨機(jī)及多樣等特點(diǎn)，是指系統(tǒng)可能接受攻擊的資源的變化，包括資源數(shù)量﹑資源收益成本差值的變化。作為防御方，它的方向是減小攻擊面或降低新舊攻擊面交集部分的收益成本差值。如圖1所示，若防御者移動(dòng)攻擊面，則存在原本有效的攻擊（如攻擊1）不再有效，且對該原本有效的攻擊的探測和攻擊努力變?yōu)榱悖斐晒粽卟坏貌辉黾映杀咎綔y新攻擊面（如攻擊4），從而明顯增加成功攻擊的難度和成本。

圖1 “移動(dòng)攻擊面”原理

MTD以不可預(yù)測的參數(shù)或安全自適應(yīng)的方式，依靠網(wǎng)絡(luò)突變自動(dòng)更改系統(tǒng)配置，積極主動(dòng)實(shí)現(xiàn)一個(gè)或多個(gè)目標(biāo)：（1）欺騙攻擊者，使其無法達(dá)到目標(biāo)；（2）通過改變對抗行為來破壞攻擊計(jì)劃；（3）增加攻擊代價(jià)和成本，讓攻擊者望而卻步[4]。

2 移動(dòng)目標(biāo)防御常見實(shí)現(xiàn)機(jī)理

近年來，國內(nèi)外對M TD的相關(guān)研究如火如荼，已經(jīng)提出了大量MTD策略。現(xiàn)有MTD通常主要在軟件﹑網(wǎng)絡(luò)﹑平臺及數(shù)據(jù)四個(gè)層面上實(shí)現(xiàn)。不僅如此，MTD體系還可以利用多個(gè)層面進(jìn)行組合實(shí)現(xiàn)，并且同時(shí)可融入傳統(tǒng)網(wǎng)絡(luò)空間安全防御體系。

各層面MTD的實(shí)現(xiàn)機(jī)理都以通過時(shí)空等多維度的隨機(jī)變化保護(hù)信息系統(tǒng)為目標(biāo)。軟件層面MTD以軟件變換作為移動(dòng)參數(shù)，主要以密碼技術(shù)﹑編譯技術(shù)﹑動(dòng)態(tài)執(zhí)行技術(shù)及反匯編技術(shù)等為要素。網(wǎng)絡(luò)層面MTD主要在網(wǎng)絡(luò)拓?fù)洎p網(wǎng)絡(luò)配置﹑網(wǎng)絡(luò)資源﹑網(wǎng)絡(luò)節(jié)點(diǎn)及網(wǎng)絡(luò)業(yè)務(wù)等網(wǎng)絡(luò)要素實(shí)施。平臺層面MTD主要依靠改變平臺屬性（網(wǎng)絡(luò)空間硬件和操作系統(tǒng)的屬性）以增加攻擊難度，主要針對處理器﹑操作系統(tǒng)﹑虛擬化平臺及具體應(yīng)用開發(fā)環(huán)境等平臺要素。數(shù)據(jù)層面MTD主要是對重要數(shù)據(jù)的格式﹑句法﹑編碼及表現(xiàn)形式等數(shù)據(jù)層面要素進(jìn)行動(dòng)態(tài)變換。

信息系統(tǒng)四層面MTD的實(shí)現(xiàn)機(jī)理各不相同，其常見實(shí)現(xiàn)機(jī)理可歸納如表1所示[5]。

表1 信息系統(tǒng)各層面MTD常見實(shí)現(xiàn)機(jī)理匯總表

3 移動(dòng)目標(biāo)防御安全評估問題及難點(diǎn)

針對移動(dòng)目標(biāo)防御系統(tǒng)的實(shí)施機(jī)理，MTD系統(tǒng)在安全評估與分析領(lǐng)域帶來了新的難題和挑戰(zhàn)，主要涉及以下方面。（1）安全建模。常規(guī)的安全評估與分析方法，多數(shù)針對靜態(tài)信息系統(tǒng)進(jìn)行建模后再進(jìn)行分析評估。以網(wǎng)絡(luò)脆弱性分析方法為例，主流方法往往通過生成網(wǎng)絡(luò)攻擊圖來對系統(tǒng)進(jìn)行脆弱性分析。但是，攻擊圖的構(gòu)建前提是網(wǎng)絡(luò)拓?fù)潴w系需要保持穩(wěn)定性。在MTD系統(tǒng)里，網(wǎng)絡(luò)層面常常實(shí)施動(dòng)態(tài)化﹑虛擬化和隨機(jī)化等機(jī)制，破除網(wǎng)絡(luò)各要素的靜態(tài)性﹑確定性和相似性。這為攻擊圖的生成及其分析帶來了極大困難。如何針對MTD系統(tǒng)內(nèi)部組織關(guān)系的動(dòng)態(tài)性進(jìn)行處理和建模，是對其進(jìn)行有效安全評估分析的前提。

（2）安全目標(biāo)。常見信息系統(tǒng)的安全防護(hù)目標(biāo)主要涉及數(shù)據(jù)機(jī)密性﹑完整性，系統(tǒng)的控制權(quán)和系統(tǒng)的可用性等方面。在MTD系統(tǒng)里，對于系統(tǒng)的控制權(quán)和可用性方面的保護(hù)要求考慮更多。因此，在對MTD系統(tǒng)進(jìn)行安全評估時(shí)，需要針對其安全防護(hù)目標(biāo)的特點(diǎn)，在評估目標(biāo)和指標(biāo)體系層面加以針對性地調(diào)整處理。

（3）安全評估方法。在MTD系統(tǒng)設(shè)計(jì)時(shí)，它的動(dòng)態(tài)防御機(jī)理致力于提升攻擊行為的復(fù)雜度。這使得在MTD系統(tǒng)面臨攻擊威脅時(shí)，攻擊者與MTD之間存在著一定動(dòng)態(tài)博弈的特性。量化評估方法在處理這類動(dòng)態(tài)博弈特性時(shí)需要考慮動(dòng)態(tài)博弈細(xì)節(jié)，否則評估方法的設(shè)計(jì)應(yīng)尋求在統(tǒng)計(jì)意義層面更有說服力的評估結(jié)果。

4 現(xiàn)有移動(dòng)目標(biāo)防御安全評估技術(shù)研究進(jìn)展

目前，國內(nèi)外在移動(dòng)目標(biāo)防御安全評估領(lǐng)域的研究已經(jīng)有了初步進(jìn)展，主要研究成果聚焦于MTD系統(tǒng)的安全建模和MTD評估方法兩個(gè)方面。

4.1 MTD評估模型研究

目前，針對MTD系統(tǒng)的安全評估模型研究方面，主要有隨機(jī)Petri網(wǎng)﹑Markov隨機(jī)過程等概率模型和變點(diǎn)監(jiān)測模型等。

Moody等人[6]針對網(wǎng)絡(luò)空間關(guān)鍵基礎(chǔ)設(shè)施開發(fā)了一種隨機(jī)Petri網(wǎng)評估模型。該模型能夠在分布式應(yīng)用環(huán)境中理解﹑評估和權(quán)衡具有“機(jī)動(dòng)”軍事理念的MTD成本和收益。它研究了單個(gè)節(jié)點(diǎn)狀態(tài)轉(zhuǎn)換和系統(tǒng)參數(shù)配置，通過平臺獨(dú)立Petri網(wǎng)編輯器來查看和評估系統(tǒng)，發(fā)現(xiàn)系統(tǒng)中非空閑節(jié)點(diǎn)比例和節(jié)點(diǎn)在不同狀態(tài)間轉(zhuǎn)換的速率可以提高M(jìn)TD的有效性。該方法對安全的評估主要是定性的，且假設(shè)監(jiān)控和指揮轉(zhuǎn)換所有節(jié)點(diǎn)狀態(tài)的集中控制器不會(huì)受到攻擊。

Anderson等人[7]描繪了含調(diào)查﹑工具研發(fā)﹑植入﹑運(yùn)行﹑破壞/滲透﹑清除等六個(gè)階段的攻擊序列圖，利用閉式數(shù)學(xué)模型和隨機(jī)Petri網(wǎng)模型進(jìn)行分析及交叉驗(yàn)證基于MTD的動(dòng)態(tài)平臺技術(shù)對攻擊成功概率的影響。該模型假設(shè)過于理想化，如配置均勻分布﹑漏洞對于所有配置利用率相同等，不適用于DoS攻擊。

Zhuang等人[8]創(chuàng)建了一種基于Markov鏈的分析模型，用于評估企業(yè)網(wǎng)絡(luò)環(huán)境中MTD系統(tǒng)的有效性。該模型根據(jù)三個(gè)關(guān)鍵參數(shù)（網(wǎng)絡(luò)節(jié)點(diǎn)配置﹑適應(yīng)間隔以及在每個(gè)間隔中適配的節(jié)點(diǎn)數(shù)量）計(jì)算攻擊概率，以深入了解關(guān)鍵MTD參數(shù)對安全性的影響，從而達(dá)到指導(dǎo)MTD的部署和實(shí)施的效果。該模型因假設(shè)和簡化過多而有一定失真，擴(kuò)展性不強(qiáng)。

Carrol等人[9]介紹了一組概率模型，用于度量網(wǎng)絡(luò)地址跳變的安全防御性能。通過靜態(tài)地址（零變換）和完美地址變換（每次攻擊者嗅探后變換）兩種極端情況比較，得出攻擊者的成功概率和網(wǎng)絡(luò)地址空間大小﹑攻擊者每次發(fā)出的嗅探數(shù)量﹑網(wǎng)絡(luò)中的漏洞數(shù)量以及變換頻率等四個(gè)因素有關(guān)。

雷程等人[10]針對靜態(tài)檢測度量無法準(zhǔn)確度量網(wǎng)絡(luò)MTD動(dòng)態(tài)改變的問題，提出了一種基于資源脆弱性的變點(diǎn)檢測模型，通過分層網(wǎng)絡(luò)資源圖將網(wǎng)絡(luò)資源圖抽象為節(jié)點(diǎn)層和資源層，設(shè)計(jì)變點(diǎn)檢測和標(biāo)準(zhǔn)化度量算法，在保證度量標(biāo)準(zhǔn)統(tǒng)一的基礎(chǔ)上，實(shí)現(xiàn)對網(wǎng)絡(luò)移動(dòng)目標(biāo)的安全成本和安全收益的實(shí)時(shí)檢測和動(dòng)態(tài)度量，以提高評估的準(zhǔn)確性和結(jié)果的可比性。

Han等人[11]將MTD技術(shù)分為基于網(wǎng)絡(luò)﹑主機(jī)和工具等三類，利用網(wǎng)絡(luò)傳播動(dòng)力學(xué)進(jìn)行了MTD安全評估建模。他們根據(jù)是否考慮成本定義了兩個(gè)度量指標(biāo)，研究了MTD最佳策略，為MTD安全量化評估提供了一種新方法。該模型中，攻防結(jié)構(gòu)和參數(shù)如何有效獲取仍須進(jìn)一步研究，且建模有抽象失真現(xiàn)象且難以擴(kuò)展到異構(gòu)模型。

Xu等人[12]將MTD評估技術(shù)分為低級方法和高級方法，提出了一種集成兩種方法優(yōu)點(diǎn)的三層模型，以評估MTD有效性。第一層可望捕獲一個(gè)系統(tǒng)中單個(gè)程序的最底層部分信息；第二層對不同程序之間的交互作用進(jìn)行建模，使模型可以在系統(tǒng)規(guī)模上運(yùn)用；第三層作為用戶界面來明確表達(dá)評估結(jié)果。該方法既能成功利用較細(xì)粒度底層信息，又能實(shí)現(xiàn)整個(gè)系統(tǒng)范圍的安全評估。但是，在該評估方法中，攻擊面度量問題仍沒能得到很好解決。

Hamlet[13]等人提出了一種利用依賴圖方法建模評估給定MTD功效的方法。為攻擊者和防御者各設(shè)置了六個(gè)度量指標(biāo)，建立了攻擊成本與成功率之間的映射函數(shù)，根據(jù)依賴圖攻擊路徑展示攻防效果變化分布規(guī)律。他們分別對初始系統(tǒng)狀態(tài)﹑ASLR﹑DEP﹑DEP及限制運(yùn)行ASLR﹑DEP及完整運(yùn)行ASLR等五種情況的防御效果進(jìn)行了分析對比，同時(shí)也為識別部署MTD的適當(dāng)位置提供了參考。然而，該方法過于繁瑣，對不同MTD技術(shù)的評估都要重新描繪依賴圖。

4.2 MTD評估方法研究

目前，針對MTD的評估方法研究不僅僅限于安全評估，性能評估的指標(biāo)也納入了研究人員的考慮范圍。

Zhuang等人[14]采用一個(gè)基于網(wǎng)絡(luò)安全模擬器NeSSi2的仿真實(shí)驗(yàn)平臺，評估網(wǎng)絡(luò)MTD系統(tǒng)中每個(gè)要素（安全策略執(zhí)行單元/虛擬機(jī)）的初步設(shè)計(jì)有效性。該平臺由Defense﹑Attack及Ground Truth三大組件構(gòu)成，含有配置管理器﹑3臺主機(jī)及4臺虛擬機(jī)。虛擬機(jī)刷新被用來替代MTD技術(shù)，對目標(biāo)虛擬機(jī)的訪問視為攻擊嘗試，并采用保守的攻擊圖指導(dǎo)攻擊。虛擬機(jī)的刷新先由配置管理器隨機(jī)選擇一個(gè)功能，接著關(guān)閉在一個(gè)主機(jī)中執(zhí)行該功能的原虛擬機(jī)，接著在隨機(jī)主機(jī)中重新啟動(dòng)同功能新虛擬機(jī)，同時(shí)生成新的虛擬機(jī)ID和IP地址。實(shí)驗(yàn)通過對比不同時(shí)間間隔的防御效果，分析研究隨機(jī)改變系統(tǒng)的執(zhí)行角色到虛擬機(jī)的映射對降低攻擊成功率的影響。數(shù)據(jù)顯示，MTD相對靜態(tài)防御明顯優(yōu)勢，且時(shí)間間隔越小MTD安全性越好。該仿真實(shí)驗(yàn)偏簡單，構(gòu)建更復(fù)雜攻擊環(huán)境值得期待。

Eskridg等人[15]介紹了一種可用于MTD安全評估的網(wǎng)絡(luò)仿真虛擬基礎(chǔ)設(shè)施（Virtual Infrastructure for Network Emulation，VINE）。該設(shè)施為網(wǎng)絡(luò)安全研究人員提供了一種可以加速大規(guī)模重復(fù)實(shí)驗(yàn)的工具。具體地，它介紹了VINE的發(fā)展歷程﹑實(shí)驗(yàn)過程﹑功能和構(gòu)建方法，并將其運(yùn)用于AppOSDiversity防御案例研究。

Zaffarano等人[16]將攻擊過程描述為一條含偵察﹑武器化﹑交付﹑開發(fā)﹑安裝﹑命令控制﹑行動(dòng)七個(gè)階段的網(wǎng)絡(luò)攻擊鏈，給攻防雙方都參數(shù)化了生產(chǎn)率﹑成功性﹑機(jī)密性和完整性四個(gè)指標(biāo)。這些指標(biāo)都能獨(dú)立計(jì)算并列出相應(yīng)計(jì)算公式。他們基于聯(lián)合分析架構(gòu)提出了一種MTD安全評估定量模型，試圖通過實(shí)現(xiàn)成本和收益的度量來衡量調(diào)整及優(yōu)化MTD策略。由仿真實(shí)驗(yàn)?zāi)M一系列潛在的攻擊和防御目標(biāo)，通過對比任務(wù)模板和攻擊模板下MTD實(shí)施效果，抽象分析了MTD實(shí)施的成本消耗和安全收益。其中，量化公式中關(guān)鍵部分仍缺少賦值﹑估值或測值方法，有待進(jìn)一步研究。

Okhravi等人[17]通過建立MTD動(dòng)態(tài)平臺技術(shù)廣義模型來量化評估安全有效性，同時(shí)還進(jìn)行了測試平臺仿真實(shí)驗(yàn)驗(yàn)證。研究認(rèn)為，該技術(shù)具有多樣性﹑多實(shí)例﹑有限持續(xù)和清洗等四個(gè)特征。由于動(dòng)態(tài)平臺技術(shù)沒有隔離非活動(dòng)平臺，攻擊者便仍可以繼續(xù)訪問和控制它，而理論分析和試驗(yàn)分析兩種評估方法都未考慮該因素，容易造成相互驗(yàn)證成功的假象。同時(shí)，文中以攻擊者控制時(shí)間超過T（攻擊者破壞服務(wù)需要的時(shí)間）的百分比作為一個(gè)度量參數(shù)，對安全評估的意義有限。另外，該方法僅提取了部分攻擊階段代替完整過程，會(huì)在一定程度上影響評估結(jié)果的科學(xué)性。

Clark等人[18]對基于誘餌的MTD方法有效性進(jìn)行分析研究，以最大限度地減少對系統(tǒng)性能的損耗。基于誘餌的MTD方法主要是通過在網(wǎng)絡(luò)中引入大量的誘餌（虛假）節(jié)點(diǎn)，通過隨機(jī)化所有真實(shí)和誘餌節(jié)點(diǎn)IP地址誤導(dǎo)對手，靠權(quán)衡檢測概率和性能來選擇最優(yōu)隨機(jī)化策略，以此減少真實(shí)節(jié)點(diǎn)被識別和攻擊的可能性，從而達(dá)到保護(hù)真實(shí)節(jié)點(diǎn)的加固防御目標(biāo)。他們首先將攻擊方與虛擬節(jié)點(diǎn)之間的交互作為一個(gè)序貫檢測過程建立概率模型，然后根據(jù)減少真實(shí)節(jié)點(diǎn)檢測概率和最小化網(wǎng)絡(luò)服務(wù)中斷的平衡，制定IP地址隨機(jī)化最優(yōu)策略。通過NMAP軟件工具模擬仿真研究表明，IP隨機(jī)化策略降低了檢測概率，同時(shí)最小化了被隨機(jī)化中斷的連接數(shù)。

Hong等人[19]建立了分級攻擊表征模型（HARM）來評估MTD的混洗﹑多樣性和冗余等有效性。HARM可擴(kuò)展性通過采用重要性度量得到了進(jìn)一步提高，并同攻擊圖模型進(jìn)行了對比。他們將性能變化（如可靠性﹑可用性）和安全性（如系統(tǒng)風(fēng)險(xiǎn)和﹑攻擊成本）作為評估MTD的度量指標(biāo)。通過模擬仿真實(shí)驗(yàn)分析研究發(fā)現(xiàn)，混洗技術(shù)主要存在可擴(kuò)展性問題。具體地，以隨機(jī)方式部署多樣性技術(shù)效率低下，部署冗余技術(shù)會(huì)線性增加系統(tǒng)風(fēng)險(xiǎn)。該評估技術(shù)僅針對已知的操作系統(tǒng)漏洞，且未考慮多種MTD技術(shù)組合效應(yīng)。

5 MTD安全評估技術(shù)研究總結(jié)與展望

MTD作為網(wǎng)絡(luò)空間一種新型的“移動(dòng)攻擊面”的主動(dòng)動(dòng)態(tài)安全防御模式，具有時(shí)空等多維度持續(xù)變換的復(fù)雜性。綜上所述，目前針對MTD系統(tǒng)的安全評估方法主要有以下特點(diǎn)：

（1）MTD評估模型主要針對具體系統(tǒng)層面的MTD機(jī)制進(jìn)行建模（尤其是網(wǎng)絡(luò)層的MTD機(jī)制），在統(tǒng)一的MTD信息系統(tǒng)整體安全模型構(gòu)建方面，缺乏突出的研究工作。

（2）在MTD評估方法研究層面，引入了性能﹑效應(yīng)和成本等指標(biāo)作為評估對象，并且通過仿真實(shí)驗(yàn)研究MTD調(diào)優(yōu)機(jī)制。但是，這類評估方法主要針對仿真模型實(shí)施，無法直接移植應(yīng)用到實(shí)際工程應(yīng)用環(huán)境完成系統(tǒng)評估的任務(wù)。

（3）隨機(jī)Petri網(wǎng)﹑馬爾科夫模型以及其他概率方法可以解決一部分MTD系統(tǒng)評估中的動(dòng)態(tài)特性評估問題，成為目前MTD系統(tǒng)安全評估的一類主流方法，值得重點(diǎn)跟蹤與關(guān)注。

（4）在MTD系統(tǒng)中，如果實(shí)施多重的MTD機(jī)制，這些不同層面的MTD機(jī)制產(chǎn)生的疊加和組合效應(yīng)的評估問題如何處理，目前尚未見到相關(guān)研究文獻(xiàn)。

綜上所述，隨著MTD技術(shù)的普及與應(yīng)用，為了解決MTD系統(tǒng)的安全評估方面的工程問題，可以預(yù)期：未來的MTD系統(tǒng)安全評估研究應(yīng)逐漸從仿真環(huán)境向真實(shí)系統(tǒng)過渡；從面向各類層面單項(xiàng)MTD機(jī)制的安全評估到面向組合MTD機(jī)制的安全評估﹑面向MTD系統(tǒng)整體性系統(tǒng)評估方面逐漸發(fā)展完善。

[1] 徐瑋晟,張保穩(wěn),李生紅.網(wǎng)絡(luò)安全評估方法研究進(jìn)展[J].信息安全與通信保密,2009(10):50-53.

XU Wei-sheng,ZHANG Bao-wen,LI Sheng-hong.Research Progress on Methods of Network Security Assessment[J].Information Security and Communications Security,2009(10):50-53.

[2] Jangda A,Mishra M,Sutter B D.Adaptive Just-In-Time Code Diversification[C].ACM Workshop on Moving Target Defense,2015:49-53.

[3] Manadhata P K,Wing J M.An Attack Surface Metric[J].IEEE Transactions on Software Engineering,2011,37(03):371-386.

[4] Al-Shaer E.A Cyber Mutation:Metrics,Techniques and Future Directions[C].ACM Workshop on Moving Target Defense,2016:1.

[5] 楊林,于全.動(dòng)態(tài)賦能網(wǎng)絡(luò)空間防御[M].北京:人民郵電出版社,2016.

YANG Lin,YU Quan.Dynamically-enabled Cyber Defense[M].Beijing:Posts & Telecom Press,2016.

[6] Moody W C,Hu H,Apon A.Defensive Maneuver Cyber Platform Modeling with Stochastic Petri Nets[C].IEEE International Conference on Collaborative Computing:Ne tworking,Applications and Worksharing,2014:531-538.

[7] Anderson N,Mitchell R,Chen I R.Parameterizing Moving Target Defenses[C].International Conference on New Technologies,Mobility and Security,2016:1-6.

[8] Zhuang R,Deloach S A,Ou X.A Model for Analyzing the Effect of Moving Target Defenses on Enterprise Networks[C].Cyber and Information Security Research Conference ACM,2014:73-76.

[9] Carroll T E,Crouse M,Fulp E W,et al.Analysis of Network Address Shuffling as a Moving Target Defense[C].IEEE International Conference on Communications,2014:701-706.

[10] 雷程,馬多賀,張紅旗等.基于變點(diǎn)檢測的網(wǎng)絡(luò)移動(dòng)目標(biāo)防御效能評估方法[J].通信學(xué)報(bào),2017,38(01):126-140.

LEI Cheng,MA Duo-he,ZHANG Hong-qi,et al.Performance Assessment Approach based on Changepoint Detection for Network Moving Target Defense[J].Journal on Communications,2017,38(01):126-140.

[11] HAN Yu-juan,LU Wen-lian,XU Shou-huai.Characterizing the Power of Moving Target Defense via Cyber Epidemic Dynamics[C].Proceedings of the 2014 Symposium and Bootcamp on the Science of Security,2014:23-33.

[12] Xu J,Guo P,Zhao M,et al.Comparing Different Moving Target Defense Techniques[C].ACM Workshop on Moving Target Defense,2014:97-107.

[13] Hamlet J R,Lamb C C.Dependency Graph Analysis and Moving Target Defense Selection[C].ACM Workshop on Moving Target Defense,2016:105-116.

[14] Zhuang R,Zhang S,Deloach S A,et al.Simulation-based Approaches to Studying Effectiveness of Moving-Target Network Defense[C].National Symposium on Moving Target Research,2013:15111-15126.

[15] Eskridge T C,Carvalho M M,Stoner E,et al.VINE:A Cyber Emulation Environment for MTD Experimentation[C].ACM Workshop on Moving Target Defense,2015:43-47.

[16] Zaffarano K,Taylor J,Hamilton S.A Quantitative Framework for Moving Target Defense Effectiveness Evaluation[C].ACM Workshop,2015:3-10.

[17] Okhravi H,Riordan J,Carter K.Quantitative Evaluation of Dynamic Platform Techniques as a Defensive Mechanism[C].International Workshop on Recent Advances in Intrusion Detection,2014:405-425.

[18] Clark A,Sun K,Poovendran R.Effectiveness of IP Address Randomization in Decoy-based Moving Target Defense[C].Decision and Control IEEE,2013:678-685.

[19] Hong J B,Dong S K.Assessing the Effectiveness of Moving Target Defenses Using Security Models[J].IEEE Transactions on Dependable & Secure Computing,2016,13(02):163-177.