基于端信息跳變的視頻通信系統防護研究

孫 慧

(中國石油大學(華東) 計算機與通信工程學院，山東 青島 266580)

0 引 言

隨著互聯網在社會各領域的深入發展，網絡安全態勢也面臨著更加嚴峻的挑戰。當今互聯網與整個社會密切相關，任何形式的網絡攻擊都有可能直接影響到人們的現實生活。網絡安全事件造成的影響力和破壞性正在逐步加大。2017年上半年，全球大規模爆發“永恒之藍”勒索病毒，不僅破壞了全球范圍內的許多高價值數據，而且直接導致一大部分服務、設施無法正常運行。在當今這個萬物互聯的社會背景下，很多行為操作的背后其實都有著網絡信息安全的影子，例如消費時使用的支付寶和微信支付，網絡信息安全已經與人民的財產息息相關。而隨著互聯網的進一步深化與發展，可以預見，網絡信息安全將越來越多地影響著人們的日常生活。

網絡安全問題日益加劇，但傳統的網絡安全防御技術卻已無法高效應對。目前應對網絡安全問題普遍采取防火墻、入侵檢測、防病毒網關、漏洞掃描、災難恢復等手段，但這些手段的防護能力大多是靜態的、被動的，無法應對新的網絡攻擊。這就使得網絡防御始終落后于網絡攻擊，無法從根本上解決網絡安全問題，因此主動防御技術應運而生。在主動防御研究進程中，中國和美國分別提出了移動目標防御(moving target defense，MTD)[1]與擬態安全防御[2]，均期望從根本上改變目前網絡“易攻難守”的局面。端信息跳變(end hopping)技術作為一種典型的主動網絡防御技術，已經得到越來越多的關注和研究，并將其應用到傳統的網絡通信中。它借鑒跳頻通信的思想，在網絡通信過程中，通信雙方或一方按照約定的規律策略同時并同步地、偽隨機地改變通信中使用的網絡參數，這些參數主要包括端口、IP地址、時隙、加密算法和協議等端信息，從而擾亂攻擊者的攻擊，實現主動網絡防護[3]。端信息跳變可以是服務器單方面的跳變，也可以是服務器和客戶端雙方面的跳變。在端信息跳變中，跳變策略和同步機制是其兩種關鍵技術。文中主要研究端信息跳變技術中的跳變策略問題，并提出一種基于混沌算法的端信息跳變策略。

1 相關工作

端信息跳變技術是基于通信參數變換的機制，網絡通信過程中所涉及的參數較多，這里主要是指IP地址和通信端口。目前，端信息跳變技術在國內外都取得了很大的研究進展。

在國外研究方面，文獻[4]將IP地址隨機化技術與誘騙技術相結合，設計實現了一個基于虛擬機的系統原型，解決了兩個挑戰，一是對合法用戶的服務可用性和對未授權用戶的服務安全性，二是可以確保無縫連接遷移。文獻[5]提出面向IPv6的動態目標防御架構，利用IPv6巨大的地址空間，不斷改變發送方和接收方的IP地址，以防止攻擊者獲得通信主機的身份，但網絡時延將會造成丟包現象，進而影響通信。文獻[6]通過在各種數據加密或操作協議之間動態跳躍來保護數據集的方法，獲得比單一固定加密協議更高的安全性和更好的擴展性。文獻[7]設計實現了DTMC模型，并通過控制用于通信的端口，改進了現有的隨機端口跳變算法，克服了現有基于ACK的隨機端口跳變算法的弱點，改善了現有協議的通信成功率。文獻[8]提出了一種自適應算法—HOPERAA，解決了時鐘漂移對同步的影響，且每個客戶端與服務器的交互獨立于其他的客戶端，不需要第三方參與或時間服務器。

在國內研究方面，文獻[3]研究了端信息跳變主動網絡防御模型，并且提出了一種基于UDP發言人服務的時間戳同步方法，但可能存在潛在的端信息網絡泄漏的問題。文獻[9]融合了端信息跳變技術與自適應技術，提出自適應的端信息跳變策略，通過對各跳變節點上網絡流量情況進行實時評估來決定下一跳方案，自動調整跳變相關參數，在保持較好的服務性的同時，又能保證較高的安全性。文獻[10]對文獻[3]提出的模型加以改進，設計了一種瀏覽器插件策略，對客戶端身份進行認證，以此來隱藏服務器的真實信息。文獻[11]構建了基于非廣延熵和Sibson熵融合的實時網絡異常測量算法，設計跳變周期和空間自適應策略，改善了固定跳變周期帶來的防御收益下降的問題。文獻[12]中指出了端信息跳變技術在實際應用中的難點，并提出了一種基于消息篡改的端信息跳變技術，構建了跳變棧模型，設計了跳變棧模型的3種實現方案并分析了其工作原理。但存在在用戶層會帶來不必要的開銷，內核層需要嚴格與操作系統版本對應的問題。文獻[13]提出了一種基于滑動窗口的分布式時間戳同步策略，引入分布式時間服務機制，能有效克服網絡中的傳輸時延和擁塞的影響。

在上述研究的基礎上，文中主要對端信息跳變技術中的跳變策略問題進行研究，提出一種基于混沌序列的端信息跳變方案，結合視頻通信系統，設計一個端信息跳變系統模型，解決通信過程中的系統和數據安全問題，實現主動網絡防御。

2 端信息跳變關鍵技術研究

2.1 同步方案

同步機制是端信息跳變技術研究的一個重點內容，NTP協議是服務器和客戶端之間通過二次報文交換，計算兩者之間的時間差，客戶端校正本地系統時間，實現二者的時間同步。由于NTP協議的同步精度較高，且在各平臺易實現，因此從同步精度和實現復雜度上考慮，文中的端信息跳變模型采用NTP協議來實現同步。

2.2 跳變策略

合理的跳變策略是端信息跳變技術的另一個關鍵，也是文中的研究重點。良好的跳變策略能夠在更大程度上迷惑攻擊者，使攻擊者無法分析得到有用數據，從而增加攻擊者的攻擊代價，提高系統的安全性。在端信息跳變系統中跳變方案多采用隨機序列的方法，即從端信息跳變序列集中隨機選取下一跳端信息。因此，在端信息跳變系統中應使隨機序列具有良好的隨機性，使攻擊者無法從已截獲的數據包信息中分析預測當前和下一跳的端信息。而混沌序列具有結構復雜，對初始值敏感的特性，使其難以被分析和預測。混沌序列[14]理論上具有類隨機性，破壞了相關分析的適用性，保密性得以加強，因而將其應用到端信息跳變系統中能夠很好地滿足隨機序列的要求。

混沌序列的產生有多種方式，文中采用logistic映射，其表達式為：

xn+1=xn(1-xn),0

(1)

其中，1≤r≤4。研究證明，當3.569 9

文中建立了一個端信息跳變模型，并將其應用于視頻通信中。在該模型中設置部署一個NTP時間服務器和兩臺平等的主機A和B，主機A和主機B構造參數相同的logistic映射，時間值作為初始值。兩臺主機之間進行通信時，首先與NTP時間服務器進行時間同步，將時間值作為輸入，利用logistic產生的混沌序列計算主機雙方當前所用的端信息，計算得到端信息后即可進行通信連接。其中主機A和主機B的IP地址和端口均是不確定的，不斷改變的。端信息跳變模型如圖1所示。

圖1 端信息跳變系統模型

主機A和主機B前期先與NTP時間服務器進行時間同步，同步成功后，獲取當前系統時間T，將獲取的時間T進行預處理，預處理函數為：

T0=F(T,key),T0∈(0,1)

(2)

其中，key是主機A和主機B的共享密鑰。

將T0作為logistic映射[15]的初始值x0，然后按照映射方程不斷迭代，產生混沌序列；再對產生的序列進行0,1判定，得到比特混沌序列；根據地址和端口的計算需要，再將此比特序列轉換成實數序列。在這個過程中，它們都是混沌序列，均保持著混沌序列的特性。端信息產生的具體過程為：

第一步：根據logistic映射方程式：

xn+1=4xn(1-xn),0

(3)

令x0=T0，按式3迭代計算，產生一個長度為m的序列X={x0,x1,…,xn},0

第二步：將產生的序列X={x0,x1,…,xn}按式4進行0,1判定，得到一個比特混沌序列Y={y0,y1,…,yn}。

(4)

文中研究的端信息跳變是指主機IP地址和端口號的跳變，所以進一步將比特混沌序列轉換成實數混沌序列。在網絡通信過程中端口號的范圍為0～65 535，其中前1 024個端口留用，可選取16位作為端口號；主機雙方各配置10個IP地址用于跳變，所以取4位來計算所選用的IP地址號。綜上，轉換實數序列時，采取每20位進行轉換，在這20位中的前16位計算端口，后4位計算IP地址號，即得到一個二維實數混沌序列。系統從序列初始位置起，依次選取跳變所需端信息，當一組序列遍歷完成時，系統更新混沌序列，重復以上步驟計算端信息。

根據混沌序列的特性，任意兩組端信息都不具有相關性，且任意一段序列不循環，因此保證了端信息跳變過程中的隨機性，增大了攻擊者的分析難度。同時，對函數初始值進行了加密處理，攻擊者無法獲得初始值，就很難預測混沌序列，也就很難知道主機端信息的跳變規律，就不可能預測下一跳端信息，從而保證了主機間的通信安全。

3 抗攻擊實驗及結果分析

按照端信息跳變系統模型，采用Java語言對原型系統進行實現，并在原型系統上分別進行截獲攻擊實驗和DoS攻擊實驗，一組是傳統的不跳變系統，另一組是端信息跳變系統。對實驗環境的配置見表1。

表1 系統攻擊實驗環境配置

3.1 截獲攻擊實驗

在截獲攻擊實驗中，截獲攻擊機位于Hub構成的局域網中，保證最有利于攻擊機的環境。截獲攻擊機使用Sniffer軟件對局域網內的流量和數據進行抓包分析，在傳統非跳變的情況下，其網絡中的流量圖如圖2(a)所示；在文中端信息跳變系統環境下，截獲攻擊機截獲到的流量圖如圖2(b)所示。

圖2 截獲攻擊實驗結果

從實驗結果可以看到，在傳統不跳變系統中，通信雙方的地址和端口是固定的，一對一的，流量是集中的，抗截獲能力差，攻擊者很容易從截獲的流量包中分析得到有用信息，無法保證通信雙方的信息安全。而在文中的端信息跳變策略下，通信雙方的IP地址和端口都是隨機組合的，攻擊者截獲到的流量是分散的，無規則的，大大干擾了攻擊者，攻擊者想要從分散的流量中完整分析出數據報文的難度十分大，這將有效抵抗網絡中的截獲攻擊。

3.2 DoS攻擊實驗

在DoS攻擊實驗中，鑒于文中原型系統中的視頻通信采用的是UDP協議，因此在攻擊機上配置UDP-Flood攻擊。攻擊機向通信主機發送大量UDP攻擊包，其攻擊速率V分別為20 Mbps，40 Mbps，80 Mbps，100 Mbps，分別測試傳統非跳變系統下的通信情況和文中端信息跳變系統下的通信情況，得到的實驗結果如圖3和圖4所示。

圖3 傳統非跳變的視頻通信情況

圖4 端信息跳變系統的視頻通信情況

觀察DoS攻擊測試結果可以看到，傳統不跳變系統在攻擊速率為20 Mbps的情況下已經無法進行正常通信了。而在文中設計的端信息跳變系統下，一般的攻擊速率對系統沒有太大影響，系統仍能夠正常進行通信。當攻擊速率達到100 Mbps時，從圖中可以看出，畫面會稍有卡頓，但通信仍然能夠進行。上述實驗結果的對比證明了端信息跳變技術在抵抗DoS攻擊上有良好的效果。

4 結束語

針對當前越來越不安全的網絡大環境，提出一種基于混沌序列的端信息跳變方案，將其應用到視頻通信系統中，用來防御視頻通信中遭受的網絡攻擊。文中介紹了該端信息跳變模型和跳變算法的具體實現過程，最后設計實現了端信息跳變視頻系統的原型，并對原型系統進行了截獲攻擊和DoS攻擊實驗。實驗結果證明了該方案在網絡防御中的有效性和較好的服務性。