AMTD：一種適應性移動目標防御方法

劉丹軍，蔡桂林，王寶生

?

AMTD：一種適應性移動目標防御方法

劉丹軍，蔡桂林，王寶生

（國防科技大學計算機學院，湖南 長沙 410005）

MTD是通過動態移動目標的攻擊面來改變攻擊和防御不對稱狀態的一種新方式。MTD變換頻率對于系統可用性、安全性和防御成本之間的權衡至關重要。但目前的變換頻率通常根據管理者的經驗確定，缺乏理論基礎，無法達到可用性－安全性成本之間的權衡。為應對這一挑戰，提出了適應性移動目標防御框架（AMTD），在確保系統可用的前提下，以最低的成本獲取最大的系統安全性。AMTD的適應性體現在2方面：一是防御模式的適應性，通過提出一種自適應轉換策略，提供由安全警報觸發的反應性防御和定時器到期事件觸發的主動防御；二是變換頻率的適應性，通過建立數學模型獲得最優的變換頻率。采取4個系列的模擬實驗驗證該解決方案的有效性。

移動目標防御；適應性防御；框架

1 引言

隨著互聯網越來越成為全球各國發展的戰略性關鍵基礎設施，其安全問題的重要性越發突顯。除了層出不窮的大規模網絡攻擊（如IP前綴劫持[1]、僵尸網絡[2]和DDoS攻擊[3]等），近年來頻繁曝出的重大安全事件（如“棱鏡門”[4]、心臟滴血（heartbleed）漏洞[5]、WannaCry勒索軟件等）也都表明，網絡空間易攻難守的安全局面對安全防御來說，始終是一個十分嚴峻的考驗。

移動目標防御（MTD, moving target defense）[6]是一種全新的防御理念，通過積極主動地改變目標狀態，變換暴露在敵人面前的攻擊面[6~8]來削減攻擊者有效發動攻擊的能力。MTD作為一種改變游戲規則的變革性技術，有望從根本上改變當前網絡“易攻難守”的局面，其一經提出即受到美國政府、國防部的重視。國內也受MTD思想影響，提出了基于擬態計算的擬態安全防御研究。

現有的移動目標防御機制方法[6~8]中，攻擊面變換頻率通常依據管理者經驗，缺乏理論基礎，因此很難達到可用性—安全性—開銷的平衡。對防御者來說，防御效果會受到變換頻率的影響：目標攻擊面變換越快，防御開銷越大，但同時防御效果越好。然而，過于頻繁的變換會導致系統性能下降甚至損害可用性[9]；目標攻擊面變換越慢，防御開銷相應減少但同時防御效果會相對下降，系統被攻破的概率增大，一旦攻擊成功，造成服務損失則得不償失。因此，如何決定攻擊面變換的時機、優化變換頻率，獲得可用性—安全性—開銷的平衡，這是一個值得深入研究的重要方向。

本文提出了一個具有適應性的移動目標防御機制（AMTD，adaptive moving target defense）框架，期望能夠以最小的時間開銷獲得最大的安全收益（系統安全性與系統可用性的綜合體現），主要貢獻有2方面。

1) 本文提出一種基于主動防御變換和反應式防御變換的適應性防御策略，通過防御方式和攻擊面變換時間的適應性調整，實現AMTD框架。

2) 本文提出適應性目標移動變換的建模計算方法，包括變換的觸發條件以及變換的時間間隔的優化求解，并通過實驗模擬給出計算方法有效性驗證。

2 相關工作

現有MTD攻擊面變換通常采用3種策略：預設固定時間間隔、使用可調時間間隔和異常事件驅動的變換[10]。當前研究多是采用單一策略，而且前2種研究占多數。并且通常采用基于時間間隔（包括預設固定時間間隔和使用可調時間間隔）的變換策略，其中大部分時間觸發機制是狀態無關的[11]，因此此類策略驅動下的攻擊面變換往往缺乏針對性，沒有做到可用性—安全性—開銷優化平衡。第三種方式的機制（如MOTAG）的防御效果完全依賴于檢測機制的準確率和時效性，由于對異常事件的人為定義不一定準確和完善，且對異常事件進行檢測可能會存在遺漏和延遲。另一些研究將第一種或第二種方式與第三種方式相結合，如ChameleonSoft[12]、TALENT[13]、MAS[14]。此類機制相對較少且主動防御頻率與反應式防御頻率是相互獨立的，因此可能會出現在進行反應式防御過后的短時間內又實現主動式防御，雖然這一方式可以使系統所獲得的安全度較高，但也存在一定的開銷浪費。

在文獻[15]和文獻[6]中，作者都對最優變換頻率問題進行了初步研究，期望在實現防御目標的同時減少不必要的開銷和資源浪費/最小化系統性能的損失。確切地說，文獻[15]期望能夠求得最小變換頻率從而降低開銷和資源浪費。但實際上，該方法所利用的計算公式無法求得一個最優值，只能通過依據防御者所能接受的攻破概率來調整變換的間隔時長。文獻[6]期望能夠降低已部署眾多虛假節點的網絡中真實節點被識別的概率且同時最小化系統性能的損失，即網絡服務的失效率。為此，作者設計了如下的最優IP隨機化策略：若系統（真實節點）當前連接數為0，則立即進行隨機化；若攻擊者的掃描速率足夠低，那么等連接到真實節點的所有連接都完成再進行隨機化，否則，立即進行隨機化。但是，掃描概率足夠低是一個模糊的概念，而且，若是重要服務，難以出現連接數為0的時刻。由上可知，針對系統的可用性—安全性—開銷之間的均衡優化問題，目前還沒有很好的解決方案。

3 適應性移動目標防御機制框架

3.1 AMTD整體設計

AMTD旨在根據目標系統的安全狀態自適應地變換攻擊面，將主動防御與反應式防御相結合，有效降低系統安全風險。

本文將系統的安全狀態建模為網絡環境的安全狀態和系統自身的安全狀態。一方面，通過入侵檢測系統（IDS, intrusion detection system）的預警信息來體現網絡中是否出現異常事件，以標定網絡環境安全性；另一方面針對系統自身的安全狀態，本文認為即使在IDS沒有預警的情況下，隨著時間的推移，當前系統配置（即攻擊面信息）潛在的安全風險在不斷上升，通過計時器期滿事件來標定系統本身的安全性。

AMTD的防御適應性主要采取兩類策略。

1) 基于防御方式的適應性策略

AMTD目前采用2種適應性防御方式：一種是基于IDS的預警信息識別突發安全威脅，實現基于網絡安全狀態異常事件驅動的變換（ADS, anomaly-driven shuffling）；另一種是基于系統風險遞增的認知，采用基于計時器期滿驅動的變換（TDS, timer-driven shuffling）。前者提供反應式防御，用于降低系統所遭受的損失，后者提供主動式防御，彌補入侵檢測系統可能出現的漏報和誤報所導致的不足，及時降低當前的潛在風險。

圖1 AMTD工作原理示意圖

2) 基于變換間隔的適應性策略

TDS 的變換間隔時長（）是依據2種輸入信息計算：AMTD定義的時間窗（T）內所發生異常事件及攻擊面變換歷史信息，因此，從時間維度來看，值是適應性變化的。

AMTD的工作原理如圖1所示（服務器S′表示的是蜜罐系統/假目標，用于統計、記錄攻擊的信息）。在1時刻，AMTD 接收到IDS發出的預警信息，MTD Manager 會依據ADS的觸發條件觸發并成功實現ADS變換（2時刻變換完成），目標系統的攻擊面發生變化，導致當前預警信息所指示的攻擊失效，從而實現對目標系統的及時保護。但是由于IDS的準確率無法達到100%，假如沒有報警，目標系統的潛在安全風險不斷上升，當累積到一定程度時會發生計時器期滿事件（3時刻），從而觸發并執行 TDS 變換（4時刻變換完成），以降低因 IDS 誤報和漏報所導致的威脅。每一次具體的ADS變換和TDS變換方法可以是軟件變換技術、動態平臺技術、網絡地址變換技術當中的某一種。在現階段，只考慮在整個AMTD運行過程中僅采用某一種具體的網絡地址變換技術，如RPAH[16]。

AMTD 系統框架的結構組成如圖2所示。該系統一共包括4個單元：MTD防御管理單元、條件檢測器、異常反應式變換單元ADS和計時器驅動式變換單元TDS。

1) MTD防御管理單元主要負責2個功能。

① 針對當前系統的安全狀態，決定是否觸發攻擊面的變換，具體來說實現以下2種決策：

圖2 AMTD框架結構組成示意

a) 接收從入侵檢測系統發送過來的預警信息，并決定是否進行基于異常事件驅動的ADS變換，若決定進行變換，那么觸發ADS單元實現ADS變換的發生；

b) 當發生計時器期滿事件的時候，觸發TDS單元實現TDS變換的發生。

② 依據該系統框架所定義的時間窗內系統安全狀態的變化歷史，來優化攻擊面變換的觸發條件。T是一個滑動時間窗參數，由系統確定。

2) 條件檢測器主要監測并收集以下3類狀態信息。

①系統自身的狀態信息（system state），包括系統被攻破后恢復可用性所需的開銷，T內入侵事件的平均到達間隔，T內入侵檢測的查準率（precision）和查全率（recall）[17]。

②ADS單元的執行狀態信息（ADS-execution state），包括在T內所完成ADS變換的變換開銷集合、當前ADS變換完成的時間值。

③TDS 單元的執行狀態信息（TDS-execution state），包括當前TDS變換的完成情況、當前TDS變換完成的時間點。

3) ADS 單元的主要功能包括：

①執行ADS變換；

②將ADS執行狀態（此次變換的完成情況，包括開銷和完成時間）發送給Condition Monitor。

4) TDS 單元的主要功能包括：

①執行TDS變換；

②將TDS執行狀態（此次變換的完成情況，包括開銷和完成時間）發送給Condition Monitor。

3.2 適應性變換策略

本節圍繞適應性目標移動變換的建模和適應性變換策略設計展開，首先建立一個數學模型來分析AMTD框架下TDS 變換和ADS變換2種變換策略所引入的開銷和帶來的收益，包括計算ADS變換的觸發條件以及TDS變換的最優時間間隔（TDS變換的觸發條件即為所求得的最優時間間隔）。

3.2.1 AMTD系統模型

本文提出一個量化指標——系統服務率，來量化一個MTD系統正常運行所引入的開銷對用戶正常獲取服務所帶來的影響。代表系統正常對用戶提供服務時間占其運行總時間的比率，記為

若將[0,]時間間隔內服務器正常為用戶提供服務時間的數學期望記為()，則()可表示為

()=?()?()?() (2)

其中，()表示在[0,]時間間隔內進行的TDS變換所產生開銷的數學期望，()表示在[0,]時間間隔內進行的ADS變換所產生開銷的數學期望，用()表示系統恢復可用性所需要的時間數學期望，代表被侵入損失。

在時間趨于無窮大的情況下，式(1)所表示的服務率又可表示為

式(3)從數學角度描述了當系統處于穩定狀態時的對外服務率。

3.2.2 AMTD變換策略

AMTD 機制運行的目標是在保證系統安全性的前提下，目標系統對外服務率最大化。首先分析ADS開銷()、被侵入損失()和TDS開銷()的計算依據，并據此制定適應性變換策略，包括ADS變換的觸發條件，以及TDS的變換間隔。

1) ADS 開銷()

假設前一次執行變換（TDS變換或ADS 變換）的時刻為0，經過了t時間，IDS發出攻擊報警，假設系統發出預警的時刻至攻擊到達最終竊取信息階段之間的時間差為lead，在lead時間內AMTD系統可采取ADS變換提供反應式防御從而保證系統S不受侵害。

(2)哈拉湖整片區域的pH變異系數較小，表明pH在整個區域較穩定，水質受到污染的可能性較小，水質總體呈弱堿性；

同時，在S原先位置上部署蜜罐/假目標S′，以監測和統計攻擊信息（具體設計可參見NMC[18]）。

lead為隨機時間，通常為數秒到數分鐘[18]，本文假設lead的值服從指數分布[19]，其概率分布函數記為()。

當入侵檢測報警為TP（true positive）時，此次ADS變換被認為為系統提供有效的防御，定義預警是否正確的標準如下。

①對于蜜罐目標S′，若在入侵報警后缺失被攻擊，即在時間范圍[0+a,0+a+lead]內（如圖3所示）發生入侵，則認為IDS報警正確。

②若時間范圍[0+a,0+a+lead]內蜜罐系統無入侵跡象，則認為IDS報警為誤報。

③若蜜罐系統入侵時間大于[0+a+lead]，則認為IDS為漏報。

圖3 ADS機制運行所涉及時間圖樣

ads≤nads(4)

具體來說，可以計算接收到入侵檢測預警后即執行 ADS 變換所產生開銷的數學期望ads為

其中，為IDS的準確率，1為單次ADS變換開銷。接收到預警信息后對其忽略不進行ADS變換的時間開銷的數學期望nads為

nads=3(6)

其中，3為一次入侵成功后對系統帶來的時間損失。

綜合式(4)~式(6)計算得

1≤3(7)

因此是否進行ADS變換取決于3個因素：單次ADS變換開銷1、入侵檢測查準率以及系統被攻破后到恢復正常的可用性所遭受的時間損失3。

那么，一次ADS可順利完成的概率為。

基于上述分析與假設，對時間間隔[0,]內ADS變換開銷的數學期望進行如下分析。

2) 被侵入損失()

本文用系統恢復可用性所需要的時間表示目標系統的被侵入損失。具體損失包括以下3類原因。

①漏報導致

②lead較短導致

③IDS正確警報，但AMTD系統忽略報警導致

另一方面，為降低上述 ADS變換時目標系統可能面對的被入侵風險，AMTD采用TDS變換機制來彌補ADS機制的不足。設2次變換間隔時長為，并用表示TDS變換成功的概率。那么在[0,]時間間隔內，因執行TDS變換而避免的被入侵損失的數學期望值應為

因此，在[0,] 時間間隔內的被侵入損失的數學期望可表示為

因此，式(10)所表示的[0,]時間間隔內的被侵入損失的數學期望又可表示為

因此得到

假設單次實施TDS變換的開銷為2，那么在[0,]時間間隔內，執行TDS變換所引入開銷的數學期望可以表示為

由式(3)、式(6)~式(12)，得服務率為如下形式。

再根據式(7)將按照實際取值代入式(15)后可得

4 模擬驗證

AMTDsim的自定義參數及其含義見表1，在進行實驗時，這些參數的取值范圍依據相關研究和實際經驗獲得，為提高實驗準確性，在參數范圍內多次取不同值，觀察不同參數對系統服務率的影響。該實驗假定lead的值服從指數分布，把lead的均值記作。

表1 模擬實驗中所需設置的參數及其含義

基于AMTDSim模擬器，本文針對4個問題進行了4個實驗：1) 對比使用AMTD機制和使用固定時間間隔變換機制的系統服務率；2) IDS的檢測精度對采用AMTD機制的系統服務率的影響；3) 單次變換開銷和被侵入損失的變化對系統服務率的影響；4) IDS預警提前量的變化對采用AMTD機制的系統服務率的影響。為減小實驗的偶然性和誤差，對應數據下的每個實驗都進行30次，再取平均值作為實驗結果，且每一次實驗的開始時間都是隨機選擇的（注意，模擬的2個攻擊trace的時間跨度是3年，每次的獨立實驗起始時間是前兩年，以確保每次實驗模擬時長sim為1年）。

4.1 不同機制間服務率的比較

本實驗對比采用AMTD機制和采用固定時間間隔變換的MTD機制（下文稱基準MTD機制）時的系統服務率，以說明采用AMTD機制時的系統服務率更高。本實驗對AMTD機制的參數設置見表2。

表2 4.1節實驗的AMTD參數設置

進行實驗時，為了確保實驗的可靠性，需要探索到基準MTD機制的最優服務率，用基準MTD機制的最優服務率和AMTD機制進行對比才更有說服力。方法是，在攻擊trace1中，先把基準MTD的初始變換間隔設置為1 000 s（攻擊trace2中設置為300 s），求得初始變換間隔下基準MTD的系統服務率（注意實驗進行30次，結果取平均值）；之后，變換時間間隔每次遞增100 s，并根據實驗求得當前間隔下基準MTD機制的系統服務率；最后將實驗結果繪制成圖4中曲線。而采用AMTD機制的系統服務率（定值）用虛線條體現。

圖4 部署 AMTD機制與基準MTD機制的服務率比較

從圖4可看到，基于攻擊trace1和trace2的實驗中，基準MTD機制的系統服務率先是快速增長到達峰值而后不斷下降直至平穩。分析結果如下。初始階段，變換時間間隔較短，基準MTD進行高頻變換，有效抵御了攻擊事件；當變換間隔不斷增大，雖然變換頻率降低了，但更接近于攻擊頻率，所以仍能抵御攻擊，結果是系統服務率增大，直到抵達峰值；之后，隨著變換間隔增大，系統被攻破次數增多，而節省下來的MTD變換開銷不足以彌補系統被攻擊導致的損失，因而服務率不斷下降。對比圖4(a)和4(b)可知，攻擊事件越頻繁，系統服務率變化越明顯，最終達到一個服務率較低的穩態，說明基準MTD機制不靈活，不能有效權衡變換開銷和攻擊損失，最后影響到系統的服務率。

對比圖4中表示基于AMTD機制的系統服務率的虛線條和基于基準MTD機制的曲線條，虛線條對應的系統服務率始終高于曲線條的服務率峰值（現實環境中，攻擊事件更靈活多變，基準MTD的服務率一般低于這個峰值），證明采用AMTD機制的系統比采用基準MTD機制的系統具有更高的系統服務率。這是由于在運行時，AMTD機制可根據攻擊事件等系統自身的環境狀態，調整MTD變換的時機，以獲得較高的系統服務率。當==0.7時，在攻擊trace1中，此時攻擊密度較小，AMTD機制比基礎MTD機制的服務率高0.2%；在trace2中，此時攻擊密度較大，AMTD機制比基礎MTD機制的服務率高1.1%。

此外，對比圖4(a)和4(b)中采用AMTD機制的線條可發現，若攻擊事件的密度增大，采用AMTD機制的服務率會下降。這是因為攻擊密度增大，導致MTD變換次數增多，總的變換開銷增加，提供正常服務的時間就會變短，這和現實世界的規律是吻合的。

4.2 入侵檢測機制精度對服務率的影響

入侵檢測的精度（和值）也會對AMTD機制提供的服務率造成影響。若入侵檢測的精度高，則AMTD的作用明顯，系統的可用性也就高。本實驗通過設置不同的IDS精度，觀察對采用AMTD機制的系統服務率的影響，參數設置除了和值，其他值和表2參數值一樣。

圖5(a)和5(b)（彩圖見插頁1）對應IDS的和在取值范圍{0.1, 0.2, 0.3,…,0.9}內，基于攻擊trace1和攻擊trace2采用AMTD機制的系統服務率的結果。盡管trace1和trace2的攻擊密度不同，導致提供的系統服務率不同，但還是具有一定的相似性。從圖5(a)和5(b)中可清楚地發現，IDS系統精度越高，系統服務率越高。另外發現一個規律，當查全率> 0.4時，采用AMTD機制的系統服務率會比采用基準MTD機制的服務率的峰值更高（基準MTD機制的服務率見圖4）；當==0.9時，在攻擊trace1中，采用AMTD機制的服務率達到峰值99.63%，而在攻擊trace2中，峰值是97.28%。顯而易見，IDS精度越高，采用AMTD機制的系統服務率更高。

另外，還發現，采用AMTD機制的系統服務率對查全率更敏感，系統服務率會隨著值的增大而增大，即使值處于一個較低值，只要值較高，系統服務率仍能保持較高的值（見圖5(a)和5(b)）；反之，若值較低，無論值多高，系統服務率還是會受到約束。仔細分析一下，本實驗中ADS和TDS的值相對Loss的值來說較小，如果此時查全率值很小，則IDS會漏報很多攻擊事件，造成更大的系統損失。如果查準率值很小，盡管IDS誤報會很多，但是總的變換開銷并不大（若ADS變換次數增多，則TDS變換次數相應減少），對系統服務率的影響不大。所以，本實驗得出一個啟示，如果想通過改善IDS的檢測效率來提高系統服務率，提高值要比提高值更為關鍵。

圖5 入侵檢測精度對系統服務率的影響

4.3 變換開銷和被侵入損失變化對服務率的影響

本實驗關注的問題是，變換開銷（ADS和TDS）與被攻擊損失（Loss）的比率對采用AMTD機制的系統服務率的影響。參數設置除了Loss值，其他值和表2中參數值一樣。

由于本實驗結果與ADS和TDS變換的行為差異無關，所以暫時只考慮一種變換機制，即假定ADS和TDS變換的行為相同，即ADS=TDS，并簡稱為MTD變換開銷。進行實驗時，可保持MTD變換開銷值為20 s不變，僅通過改變Loss的值間接改變TDS:Loss的值（簡稱為開銷比），開銷比大小在1:10和1:160以內變化，最終的實驗結果如圖6所示。

從圖6可見，當開銷比逐漸減小時，攻擊損失增大，導致系統的服務率逐漸減小。當攻擊損失增大時，AMTD機制會相應地增加變換次數，來減緩系統服務率的降低。另外，可以清楚地看到，攻擊密度較大的trace2和trace1相比而言，隨著開銷比的減小，系統服務率的降低速度更快，這說明攻擊密度較大時，AMTD的系統服務率的大小對開銷比的變化更敏感。所以，給Loss加個權重因子，可以優化AMTD機制中MTD變換的觸發條件，這樣就能有效適應開銷比發生變化的情況。

4.4 入侵檢測提前量對服務率的影響

本實驗關注的問題是，IDS預警的提前時間（也就是Lead值，其均值為）對采用AMTD機制的系統服務率的影響。參數設置除了值，其他值都和表2參數值一樣。

本實驗同3.3節實驗一樣，保持MTD 變換開銷為20 s不變，使值在10 s和80 s之間變化，以差值5 s遞增，實驗最終結果如圖7所示。在實驗過程中，若lead≥ADS，可認定ADS變換完成，否則認定ADS未完成。在圖7中可發現，當值增大時，采用AMTD機制的系統服務率會不斷增大，速度呈現先快后慢的趨勢，即和ADS相近時，系統服務率增長速度較快，之后隨著增大，系統服務率增長速度減緩。通過觀察得到，當≥1.5ADS時，系統的服務率較高。所以，若要通過改善IDS系統預警來提高系統服務率，可把≥1.5ADS作為一個度量指標。另外，對攻擊密度更大的trace2而言，lead對采用AMTD機制的系統服務率的影響更大，所以，增大IDS預警的提前時間可快速提高系統服務率。

圖7 ω值對 AMTD 系統服務率的影響

5 結束語

本文首次提出了一個具有適應性的移動目標防御系統框架AMTD，希望能有效實現系統在可用性—安全性—變換開銷之間的均衡。AMTD的適應性體現在2方面：一是防御方式的適應性，AMTD中既可提供基于異常事件驅動的反應式防御（ADS變換），又可提供基于計時器期滿事件驅動的主動式防御（TDS變換），并且通過科學的數學建模得出防御執行的觸發條件；二是MTD變換間隔的適應性。每次TDS變換間隔的起始時刻是上一次ADS/TDS變換完成的時刻，且TDS變換所需的時長是采用本文之前建立的數學模型和實際監測得來的參數值計算出來的，所以變換時長具有一定的適應性。

本文首先介紹了AMTD的系統組成和原理，提出利用系統服務率來表示MTD變換的時間開銷對系統可用性的影響，并通過建立科學的數學模型來計算AMTD系統中ADS變換的觸發條件和TDS變換的最優時間間隔。本文把每次TDS變換的起始時間設置為上一次MTD變換（ADS/TDS）的完成時刻（避免在進行完ADS變換后又立刻進行TDS變換，導致不必要的變換開銷），若發生系統被攻破的事件，則設置為系統被攻破后恢復可用性的起始時間。

本文也詳細描述了筆者設計的AMTDsim模擬器，利用該模擬器進行了4個不同的實驗，來驗證AMTD機制的有效性，這4個實驗分別是，對采用AMTD機制和采用固定時間間隔變換機制的系統服務率進行比較、IDS 精度對采用AMTD機制的系統服務率的影響、單次變換開銷與被攻擊損失比的變化對系統服務率的影響、入侵檢測警報的提前量對服務率的影響。最終的實驗結果表明，采用AMTD機制的系統要優于采用固定間隔的MTD機制的系統，同時也說明，AMTD機制的效果會受到IDS系統精度、入侵檢測報警提前量、ADS/TDS變換開銷以及被攻擊損失變化的影響。

圖6 變換開銷與被侵入損失的比率對系統服務率的影響

[1] LIU Y, PENG W, SU J. A study of IP prefix hijacking in cloud computing networks[J]. Security and Communication Networks, 2014, 7 (11): 2201-2210.

[2] WANG T, WANG H, LIU B, et al. Further analyzing the sybil attack in mitigating peer-to-peer botnets[J]. KSII Transactions on Internet & Information Systems, 2012, 6 (10).

[3] WANG F, WANG H, WANG X, et al. A new multistage approach to detect subtle DDoS attacks[J]. Mathematical and Computer Modelling, 2012, 55 (1): 198-213.

[4] ZDNet C, ZACK W. PRISM: here’s how the NSA wiretapped the Internet[EB/OL].http://www.zdnet.com/article/prism-heres-how-the- nsa-wiretapped-the-internet/.

[5] CODENOMICON. The heartbleed bug[EB/OL]. http://heartbleed. com.

[6] CLARK A, SUN K, POOVENDRAN R. Effectiveness of IP address randomization in decoy-based moving target defense[C]//The 52nd IEEE Conference on Decision and Control. 2013: 678-685.

[7] MANADHATA P. Game theoretic approaches to attack surface shifting[M]//Moving Target Defense II: Application of Game Theory and Adversarial Modeling. 2013: 1-13.

[8] CROUSE M, PROSSER B, FULP E. Probabilistic performance analysis of moving target and deception reconnaissance defenses[C]//The Second ACM Workshop on Moving Target Defense. 2015: 21-29.

[9] ZHU Q, BA?AR T. Game-theoretic approach to feedback-driven multi-stage moving target defense[C]//The 4th International Conference on Decision and Game Theory for Security-Volume 8252.

[10] CAI G L, WANG B S, HU W, et al. Moving target defense: state of the art and characteristics[J]. Frontiers of Information Technology & Electronic Engineering, 2016, 17 (11): 1122-1153.

[11] NITRDSubcommittee. National cyber leap year summit 2009 co-chairs’ report[EB/OL].https://www.nitrd.gov/nitrdgroups/index. php?title=Category:National_Cyber_Leap_Year_Summit_ 2009.

[12] AZAB M, HASSAN R, ELTOWEISSY M. ChameleonSoft: a moving target defense system[C]//The 7th International Conference on Collaborative Computing: Networking, Applications and Worksharing (CollaborateCom). 2011: 241-250.

[13] OKHRAVI H, COMELLA A, ROBINSON E, et al. Creating a cyber moving target for critical infrastructure applications[M]// Critical Infrastructure Protection V. Berlin Heidelberg: Springer, 2011: 107-123.

[14] HUANG Y, GHOSH A. Introducing diversity and uncertainty to create moving attack surfaces for Web services[M]// Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats. 2011: 131-151.

[15] DEBROY S, CALYAM P, NGUYEN M, et al. Frequency-minimal moving target defense using software-defined networking[C]//2016 International Conference on Computing, Networking and Communications (ICNC). 2016: 1-6.

[16] LUO Y, WANG B, WANG X, et al. RPAH: random port and address hopping for thwarting internal and external adversaries[C]// 2015 IEEE Trustcom/BigDataSE/ISPA. 2015: 263-270.

[17] 周志華. 機器學習[M]. 北京: 清華大學出版社, 2016.

ZHOU Z H. Machine learning[M]. Beijing: Tsinghua University Press, 2016.

[18] BERAUD P, CRUZ A, HASSELL S, et al. Using cyber maneuver to improve network resiliency[C]//2011 Military Communications Conference (MILCOM 2011). 2011: 1121-1126.

[19] KUHL M E, KISTNER J, COSTANTINI K, et al. Cyber attack modeling and simulation for network security analysis[C]/The /39th Conference on Winter Simulation. 2007: 1180-1188.

[20] BERAUD P, CRUZ A, HASSELL S, et al. Cyber defense network maneuver commander[C]//2010 IEEE International Carnahan Conference on Security Technology (ICCST). 2010: 112-120.

AMTD: a way of adaptive moving target defense

LIU Danjun, CAI Guilin, WANG Baosheng

Computer College, National University of Defense Technology, Changsha 410005, China

Moving target defense is a new way to change the asymmetry state between attack and defense, by dynamically moving target’s attacking surface. Frequency conversion of MTD is of great importance for the weighing between usability, security and defense cost. Nowadays, however, frequency conversion is usually determined by manager’s experience, which cannot create a balance between usability and security cost for the lack of theory basis. An adaptive moving target defense framework(AMTD)was proposed. AMTD can maximize system security at the lowest cost while ensuring that the system is available.The adaptability of AMTD has two modes. Firstly, the defense mode, it contains an adaptive conversion strategy to provide reacting defense triggered by security alerts and active defense triggered by timer expiration events. The other mode is the frequency conversion, which obtain the optimal conversion frequency by establishing mathematical models. Four series of simulation experiments were taken to verify the effectiveness of the solution.

moving target defense, adaptive defense, framework

TP302

A

10.11959/j.issn.2096-109x.2018008

劉丹軍（1994-），男，湖北潛江人，國防科技大學碩士生，主要研究方向為網絡安全、二進制安全。

蔡桂林（1982-），女，湖北浠水人，博士，主要研究方向為網絡安全、移動目標防御。

王寶生（1970-），男，河北黃驊人，博士，國防科技大學研究員，主要研究方向為網絡與信息安全。

2017-11-29；

2018-01-04

劉丹軍，liudanjun12@nudt.edu.cn

國家重點研發計劃基金資助項目（No.2017YFB0802301）；國家自然科學基金資助項目（No.61472437）

The National Key Research and Development Program of China (No.2017YFB0802301), The National Natural Science Foundation of China (No.61472437)