端信息跳擴混合的主動網絡防御技術研究

石樂義，郭宏彬，溫曉，李劍藍，崔玉文，馬猛飛，孫慧

（中國石油大學（華東）計算機與通信工程學院，山東 青島 266580）

1 引言

近年來，隨著互聯網的普及和發展，層出不窮的攻擊手段使網絡安全事件頻發。防火墻、入侵檢測技術等傳統的網絡防御手段由于靜態、被動的特性，難以有效地應對自動的、多樣的網絡攻擊，因此主動網絡防御技術日益成為研究熱點。

端信息跳變技術是一種主動網絡防御技術，借鑒了軍事跳頻通信對抗技術，通過在端到端的數據傳輸中，通信雙方或一方按協定偽隨機地改變端口、IP地址、時隙、協議等端信息，從而破壞敵方的攻擊和干擾，達到迷惑攻擊者的目的，實現主動網絡防護[1]。

與跳頻通信技術類似，跳變速率和跳變圖案隱蔽性是影響端信息跳變抗攻擊性能的 2個重要因素。若跳變速率過低，系統易受到敵手的拒絕服務、重放攻擊等；若跳變圖案隱蔽性差，系統面臨截獲分析威脅，從而完全暴露在敵手攻擊面前。然而，端信息跳變技術是一種基于分組交換的端到端的數據傳輸技術，與基于電路交換模式的點到點的跳頻通信技術有著很大的不同，主要表現在：1) 分組交換網絡本質是異步的；2) 分組數據經不同路徑轉發，存在亂序問題；3) 分組交換網絡的網絡延遲是變化的，并易受到分組轉發、網絡擁塞等影響，而跳頻通信的網絡延遲相對較小且固定。這些因素決定了端信息跳變技術在同步策略、跳變速率、抗攻擊性能等方面都與跳頻通信有較大差異。目前，嚴格時鐘同步、時間戳同步等經典的端信息跳變同步方式的跟蹤式同步機制最高都只能提供秒級間隙的低速率跳變，無法支持亞秒級、甚至毫秒級間隙的高速率變化。在此背景下，高速跳變、高隱蔽性成為近年來端信息跳變技術在主動網絡防御部署應用中亟需解決的難題。

軍事通信中，跳頻系統同樣存在著信號隱蔽性差、抗多頻干擾、跟蹤式干擾能力有限等局限性，這在通信對抗應用中通過直接序列擴頻技術予以彌補，形成了高隱蔽性、高抗干擾性的軍事跳擴頻混合通信技術。受跳擴頻混合通信技術的啟發，本文摒棄傳統的跟蹤式同步機制，提出了端信息擴展的概念，將同步機制表述為端信息擴展認證序列的形式，著手通過認證機制解決端信息高速跳變的同步問題。通信雙方通過擴展認證序列完成同步認證，不需要準確知曉對方端信息，從而實現高隱蔽性要求下的高速跳變同步。進一步提出了端信息跳擴混合主動網絡防御技術，理論分析了模型抗攻擊性能，并實驗驗證了跳擴混合模型高速率跳變下良好的隱蔽性和抗攻擊性能，對于高隱蔽條件下高強度對抗要求相關場景的網絡部署應用，如政府、軍隊、航天、保密部門等應急保密通信的開展具有重要意義。

2 相關研究

近年來，國內外學者在主動網絡防御領域開展的相關研究工作主要包括移動目標防御技術、擬態安全防御技術及端信息跳變技術。

移動目標防御技術（MTD，moving target defense）[2]是由美國國家科學技術委員會于2011年借鑒增加射擊難度的移動靶訓練而提出的，主要目的是使構建、分析、評價、部署等策略多樣化和偽隨機化，從而增加攻擊的成本及復雜度，降低攻擊成功的概率。在移動目標防御技術研究方面，文獻[3]將移動目標防御技術應用到電網中，以阻止對電網狀態估計的隱形虛假數據注入攻擊；文獻[4]提出了一種移動目標防御模型來緩解 DDoS（distributed denial of service）攻擊，并從理論和仿真兩方面驗證了該模型的可行性；文獻[5]中介紹了 μMT6D（micro- moving target IPv6 defense）的設計和優化，將移動目標防御技術應用到新型物聯網中來限制攻擊時間。

擬態安全防御（MSD, mimic security defense）技術由鄔江興院士于 2014年借鑒擬態章魚通過形態多變保護自身的方式而提出，主要思想是除目標對象的服務功能和性能不能被隱匿之外，系統的硬件、軟件等均可以通過動態變化的方式進行擬態偽裝，由此實現系統對于防御者可控而對于攻擊者未知的狀態，進而達到保護系統免受攻擊的主動網絡防御目的。文獻[6-7]對擬態防御技術的基礎理論進行闡述，給出了擬態防御框架，從理論上說明了擬態防御機制的有效性。文獻[8]構建了擬態防御Web服務器，從實踐驗證了擬態防御的有效性和可行性。

端信息跳變技術則由石樂義等[1]于 2008年提出，借鑒了軍事跳頻通信對抗技術，在端到端的數據傳輸中，通信雙方或一方按照協定偽隨機地改變端口、IP地址、時隙、協議等端信息，實現主動網絡防御。近年來，端信息跳變技術受到關注并與P2P（peer to peer）、SDN（software defined network）、IPv6等相結合得到了部署應用[9-11]。

綜上所述，移動目標防御技術的思想源于移動靶射擊訓練來增加射擊難度，擬態安全防御技術受啟發于擬態章魚的形態變化以躲避天敵捕殺，而端信息跳變技術則借鑒軍事跳頻技術從而實現通信對抗。盡管思想來源不同，但移動目標防御技術、擬態安全防御技術和端信息跳變技術都通過主動改變自身參數來迷惑敵手，因此都屬于主動網絡防御技術。從攻擊面動態轉移層面分析[12]，端信息跳變技術關注如端口、IP地址、協議等相關參數的偽隨機變化，而移動目標防御技術和擬態安全防御技術則關注包括芯片、指令、代碼、主機、網絡和協議在內的軟件、硬件、網絡、平臺等方面，因此，端信息跳變技術可以視為移動目標防御技術和擬態安全防御技術的網絡場景特例。

端信息跳變研究方面，文獻[13-15]提出了一種適用于端信息跳變技術的分布式時間戳同步策略，利用輕量級的時間戳計算出當前端信息，在解決了時間漂移和網絡擁塞問題的同時也解決了邊界丟失問題；隨后又進一步給出了一種基于消息篡改的端信息跳變技術框架，建立了包括用戶層跳變、內核層跳變、網絡層跳變等端信息跳變棧模型，并通過網絡原始套接字對消息分組的修改而實現偽隨機變化。Luo等[16-17]則利用偽隨機端址跳變技術抵御內外部攻擊，提出了一種基于加密散列的端址自同步策略，將HMAC（hashed message authentication code）算法生成的消息認證碼用作端口地址編碼和解碼的同步信息，降低了網絡時延影響。文獻[10,18]將SDN技術應用到端信息跳變中，通過同時改變通信雙方的端信息和路由路徑來混淆攻擊者，保證了較小的通信時延開銷與計算開銷。文獻[19]提出了一種基于混沌序列的端信息跳變技術，并將該技術應用于網絡音視頻通信中，提高了端信息跳變圖案的隨機性。

在自適應性能方面，文獻[20]研究了可變時隙的端口跳變策略，提出了動態時鐘漂移同步算法，解決了可變時鐘漂移對時間同步影響的問題，提高了端口跳變策略的抗攻擊性能。文獻[21-22]則針對簡單勻速端信息跳變易遭受跟隨攻擊、半盲攻擊的問題，提出了用于端信息跳變系統的時間自適應策略和空間自適應策略，這2種策略能夠根據所遭受攻擊狀況動態改變跳變時隙和跳變空間，其中，時間自適應策略旨在增大跟隨攻擊的難度，空間自適應策略則用于抵御跟隨攻擊失效情景下有指導的盲目攻擊（即半盲攻擊）。文獻[21-22]分析指出當攻擊時間（即收集時間+實施時間）小于跳變時間（即部署時間+服務時間）時，端信息跳變系統將會遭受跟隨攻擊的嚴重威脅；當攻擊時間大于跳變時間且量級相當時，跟隨攻擊失效，攻擊者被迫轉入有效的半盲攻擊；當攻擊時間遠大于跳變時間時，端信息跳變系統的自適應策略才具有較好的防護效果。可見，端信息系統的抗跟隨攻擊和半盲攻擊性能與跳變速率密切相關，而跳變速率與所采用同步機制密切相關。然而，文獻[21]所采用的嚴格時鐘同步和文獻[22]所采用的時間戳同步都屬于傳統的跟蹤式同步機制，兩者的同步性能易受網絡分組時延影響，最高都只能提高秒級間隙的低速率跳變（文獻[21]的跟隨攻擊缺省設置為每跳60 s，文獻[22]設置為每跳15 s），難以應對近年來性能日新月異的全自動化攻擊。在抗截獲攻擊方面，文獻[21-22]所采用的時間/空間自適應策略增加了截獲分析難度，但跳變圖案仍顯式暴露從而面臨嚴重的截獲攻擊威脅。

上述研究均是從跳變圖案方面對端信息跳變技術進行改進，所采用的同步策略都是傳統的跟蹤式同步機制，受限于分組網絡異步、亂序和時延的特點，無法支持亞秒、毫秒級間隙的高速率跳變，導致跳變圖案易遭受全自動高速攻擊而失去隱蔽性，從而造成端信息跳變技術主動防護的失效。本文工作正是為解決端信息技術高速跳變和高隱蔽性的難題而開展，受軍事跳擴混合通信啟發，摒棄了傳統的跟蹤式同步機制，將同步機制表述為端信息擴展認證序列的形式，創新性地提出了端信息擴展認證同步機制，并進一步建立了端信息跳擴混合主動網絡防御技術，實現了高隱蔽的端信息高速率跳變（本文實驗環境中缺省設置為每秒100跳），這對于高隱蔽高強度對抗要求的網絡防護應用具有重要意義。

3 端信息跳擴混合主動網絡防御技術

端信息跳變技術同步策略是可信客戶端在攻擊者無法準確探查跳變服務器真實端信息的情況下，能夠有效進行服務訪問的基礎。基于端信息跳擴混合的主動網絡防御技術采用端信息擴展的方式進行端信息跳變的同步認證，旨在建立一種不需要服務器真實端信息的跳變同步方式，提高服務器的隱蔽性，減小跳變時隙、跳變算法對端信息同步的影響，以應對高速跳變下的通信協同問題。

3.1 端信息擴展定義及其描述

擴頻通信是擴展信號的頻譜，發送端用擴頻碼序列進行擴頻調制，使發送頻譜與所傳信息無關，從而達到良好的抗干擾性、抗截獲性，以及較高的傳輸速率。受擴頻通信思想的啟發，本文提出了端信息擴展的概念，將與數據本身無關的端信息進行組合以表示數據，并用于同步認證。在網絡通信中，通信雙方可以利用端信息擴展序列的方式傳遞文字信息、認證信息等數據，通過端信息擴展算法進行數據的擴展序列生成及認證。

定義1端信息擴展（end spreading）：利用端信息擴展算法計算得出端信息擴展序列，將由多項端信息組成的擴展序列表示為一條數據信息，使各項端信息與所表示的數據本身無關，達到隱藏真實信息的目的，實現高隱蔽性。

端信息擴展可形式化描述為其中，L(Info)為端信息擴展算法，是將數據與端信息擴展序列進行轉換的方法。原始數據利用端信息擴展生成算法轉化生成端信息擴展序列，與之對應，端信息擴展序列利用端信息擴展解析算法來還原數據。在一次端信息擴展過程中，端信息擴展算法與端信息擴展序列解析算法配對使用。

endInfom為單條端信息，由IP地址、端口及協議中的一項或多項組成。兩項及以上的單條端信息組成端信息擴展序列，該序列是具有一定特殊含義的序列組合。

端信息擴展序列選取地址與端口組成單項端信息，由目的地址、目的端口、源地址和源端口組成。其中，采用目的地址dIPm識別端信息擴展序列，目的端口dPortm校驗序列的正確性，源地址sIPm與源端口號sPortm用于識別來自同一個客戶端的同步請求。端信息跳變的擴展序列為

如圖1所示，端信息擴展通過客戶端的編碼發送及服務器端的解碼驗證來實現，將傳統的單一身份驗證信息擴展為多條信息的組合序列。攻擊者對擴展序列中某一條信息的捕獲與解析無法確定用戶的真實意圖，同時可信客戶端在端信息擴展認證過程中，不需要準確知曉服務器的真實信息，有效地保障了服務器的隱蔽性。

圖1 端信息擴展示意

3.2 端信息跳擴混合主動網絡防御技術模型

端信息跳變技術旨在通過一定的跳變策略不斷地改變服務的端信息，以動態的、未知的變化迷惑攻擊者，使其無法準確地發起攻擊，保障跳變服務的安全性，達到主動網絡防御的目的。本文為了提高端信息跳變速率，使端信息跳變技術適應于高隱蔽性和保密性的應用場景中，從系統安全的角度出發，建立了端信息跳擴混合主動網絡防御技術模型。該模型如圖2所示，分為客戶端與跳變服務器兩部分，包括客戶端的擴展序列生成模塊、擴展序列發送模塊、服務獲取模塊和服務器端的端信息跳變模塊、擴展序列認證模塊及服務提供模塊。

圖2 端信息跳擴混合主動網絡防御技術模型

在端信息跳擴混合主動網絡防御技術模型中，客戶端首先生成端信息擴展序列，然后將擴展序列發送給服務器；服務器通過規則來檢測擴展序列的合法性，如果合法，則通過認證并提供服務，否則不提供服務。例如客戶端要選取地址IP1、IP2和IP3做擴展序列的認證（擴展序列只包含目的地址和目的端口號），IP地址與通過通信雙方共同的算法分別求出3個地址所對應的端口號port1，port2，port3，這樣就可以組成端信息擴展序列(IP1,port1)、(IP2,port2)和(IP3,port3)，然后傳遞認證信息，由于服務器端有相同的擴展序列生成算法，服務器端接收到擴展序列之后就可以檢測其合法性。

服務獲取模塊在端信息擴展序列發送完成后啟動，等待服務器將各項信息認證通過后提供服務。端信息跳擴混合主動網絡防御技術模型中的客戶端不再如傳統方式中那樣主動向已知地址和端口的服務器發出服務請求，而是通過向未知端信息的跳變服務器發送端信息擴展認證序列，在通過認證后服務器向客戶端提供特定的服務。由于客戶端不需要知曉跳變服務器的真實地址便可發送同步認證信息，且跳變服務器的端信息具有動態性、未知性的特點，攻擊者難以針對服務器的特定端口與服務發起攻擊，因此模型具有良好的隱蔽性與抗攻擊性，能夠達到主動網絡防御的效果。

為保證跳變系統的動態性及未知性，端信息跳變服務器采用隨機跳變的跳變策略，該策略由跳變服務S、跳變算法HM和跳變時隙TS三部分構成，如式(3)所示。

其中，跳變服務S可采用HTTP、FTP等多項網絡服務。

隨機跳變算法 HM 在跳變地址池 IPhop與端口porthop范圍內隨機選擇跳變端信息，跳變算法與地址池表示如式(4)和式(5)所示。

跳變時隙TS是端信息跳變的一個重要參數，跳變時隙越短表示跳變速度越快，高速的跳變能夠降低攻擊者發起有效攻擊的概率。當發起有效攻擊時間一定時，若當前端信息被攻擊者破獲，高速跳變的情況下可在攻擊者發起攻擊之前改變端信息，使攻擊無效。

通信雙方基于端信息擴展同步策略實現跳變服務的同步過程。在端信息隨機跳變的跳變策略下，客戶端無法準確探查跳變服務器真實的端信息。結合端信息擴展方法能夠在不需要真實服務器端信息的情況下建立連接的優勢，通過客戶端的端信息擴展序列生成發送及服務器的解析驗證實現跳變服務的同步認證，將傳統的單一身份驗證信息擴展為多條信息的組合序列。

由于組成端信息擴展序列的單項端信息本身與所傳數據無關，僅當滿足條件的端信息組合成序列時才能從中解析出所傳遞的信息。傳輸過程中各擴展端信息是分散的，攻擊者難以通過序列中的單項端信息獲取有效信息，因此基于端信息跳擴混合的主動防護模型具有良好的隱蔽性與抗攻擊性。

3.3 關鍵策略

本文中基于端信息跳擴混合的主動網絡防御技術的關鍵策略主要指端信息擴展同步策略和數據遷移策略兩大策略，前者為解決端信息高速跳變過程中通信雙方同步問題而提出，后者為解決模型無法提供可持續性服務問題而提出。

3.3.1 端信息擴展同步策略

端信息擴展同步策略即采用端信息擴展算法進行端信息擴展序列的生成與認證，其中端信息擴展算法包括目的地址序列與端口序列的生成算法。通信雙方在共享地址池中通過地址選取算法選取目的地址，表示為

在端信息擴展過程中從地址池 IP-pool中逐個選取m個目的地址組成目的地址序列，利用生成的目的地址序列通過端口號生成算法計算端口號，如式(7)所示。

其中，F(.)為端口號生成算法；key為共享密鑰，可用于通信雙方身份校驗。逐一計算端口號組成本次端信息擴展的目的端口號序列，如式(8)所示。

發送方通過數據分組封裝的方式將端信息擴展序列中的端信息逐個發送。

接收方利用監聽進程捕獲端信息擴展數據分組。通過解析數據分組獲得目的地址與目的端口、源地址與源端口，采用與端信息擴展序列生成算法相對的地址驗證算法識別端信息擴展目的地址，并通過共享密鑰key計算出相對應的端口號以校驗目的地址，進行客戶端身份識別。

單個端信息擴展數據分組認證成功后，對通過認證的合法數據分組是否能夠組成端信息擴展序列進行判斷，如式(9)所示。

其中，IS為端信息擴展序列的判斷，check為地址驗證算法，DIP為目的地址，DPort為目的端口號序列，mi為客戶端所發送端信息中目的地址所在的地址池位置，τ為序列容錯率。允許端信息擴展序列中一定數量的端信息未通過驗證，即滿足數量為m(1-τ)的端信息認證通過即認證成功。

最后服務器為通過認證的可信客戶端提供服務。由此實現無需服務器真實端信息的通信認證。

3.3.2 數據遷移策略

端信息跳擴混合主動網絡防御技術雖然解決了端信息跳變過程中跳變時隙較小的高速跳變問題，但是同時也帶來了在較小跳變時隙中服務提供無法完成的問題。這時需要一個任務調度器將未完成的服務在下一跳變時隙中繼續完成，使系統能夠正常地對外提供服務。TCP遷移技術[23]是為解決負載均衡而出現的技術，主要思想是將一條TCP連接的一個端點遷移到另一個端點，而這個遷移對于連接的另一端點來說是透明的，并且遷移以后的連接可完全正常地運行下去。以TCP遷移技術為原型，將 TCP遷移技術的特性應用到端信息跳擴混合主動網絡防御技術中，形成服務遷移技術，在此稱之為數據遷移策略。

數據遷移策略簡化了原有TCP遷移模型，具體如圖3所示。圖3中客戶端與IP2建立三次握手成功，向目的IP2請求服務1，調度器FE作為代理將請求分組發送給地址IP2。當服務1未完全提交給客戶端時，服務1遷移到地址IP1。由于是同一臺服務器上的同一服務，服務器端可以利用地址IP1繼續為客戶端提供服務 1，但在服務器端需要一個調度器 FE裝置將源地址 IP1修改為源地址IP2，這樣在 IP1上發送給客戶端的應答分組與在IP2上發送的應答分組就是一樣的，實現了數據的遷移。

數據遷移策略應用到端信息跳擴混合主動網絡防御過程中，如圖3所示，對于客戶端來說一直是與IP2進行通信、是透明的，避免了攻擊者通過抓取分組分析得出跳變規律，提高了安全性；對于服務器端來說，消除了TCP重連三次握手的時間，提高了效率。

圖3 數據遷移策略示意

4 性能分析

性能分析涉及安全性能分析、同步認證性能分析和時間性能分析，本節主要討論端信息跳擴混合主動網絡防御技術能否保證服務的安全性，應對高速跳變下同步認證。

4.1 安全性能分析

基于端信息跳擴混合的主動網絡防御技術的安全性能分析包括跟隨攻擊分析、半盲攻擊分析和竊聽攻擊分析。

4.1.1 跟隨攻擊分析

跟隨攻擊是攻擊者根據端信息跳變規律，不斷地定位當前服務節點采取精確攻擊。假設一個跳變周期時間為ts，攻擊者獲取當前端信息并發起攻擊的總時間為μ。由文獻[22]可知，當ts＜μ時，攻擊成功概率為 0，即在攻擊者發起攻擊之時端信息已經跳變；當ts≥μ時，ts越小，攻擊成功的概率越低。為降低跟隨攻擊概率，可以選擇減小ts或者增大μ。

基于端信息跳擴混合的主動網絡防御技術中端信息跳變算法采用隨機高速跳變策略，不需要按照跳變圖案或時間戳等計算方式獲取下一次跳變端信息。攻擊者采取數據分組截獲的方式難以獲得當前端信息，從而增加攻擊時間μ，實現跳變端信息的隱蔽性和隨機性。

高速跳變即采用較小的跳變時隙以減小ts，在同步認證分析中證明了端信息擴展同步策略與端信息跳變策略無關，能夠解決高速跳變下導致的同步失敗問題。

因此保證跳變服務性能的前提下，本文策略能夠從理論上減小ts增大μ以抵抗跟隨攻擊。

4.1.2 半盲攻擊分析

半盲攻擊是指攻擊者雖然無法確定當前服務節點端信息，但知道端信息跳變空間集合，從而實施有指導的盲目攻擊。假設端信息跳變地址集合為N，跳變端口空間為P，隨機選取k個端信息發起等量大小的攻擊，則當前服務受到攻擊的概率為基于端信息跳擴混合主動網絡防御技術中由于生成擴展序列的地址集合M的存在，此時攻擊者探測到的總地址集合為M∪N，當M∩N=0時，當前服務受到攻擊的概率最小，為，從而有效地降低當前服務節點受到攻擊的概率，增強了跳變服務的隱蔽性。

4.1.3 竊聽攻擊分析

端信息跳擴混合方式中采用擴展序列進行同步認證。客戶端將擴展序列中的端信息逐個發送，服務器在端信息擴展序列認證成功后，與可信客戶端建立連接并提供跳變服務。在攻擊者不知道當前采取端信息跳擴混合方式的情況下，無法通過竊聽解析單個數據分組內容獲取完整擴展序列，攻擊成功概率Q=0；當攻擊已知當前服務器采取端信息跳擴混合方式的情況下，進行竊聽攻擊收集數據分組發起攻擊時，假設當前網絡環境下有e個數據分組，攻擊者截獲k個數據分組，端信息擴展認證的數據分組個數為m，序列驗證容錯率τ，則攻擊者成功概率為

其中，e、k與當前網絡環境和攻擊者攻擊強度有關，在e與k一定的條件下，分析k≥m(1-τ)時攻擊成功概率的影響因素τ與m。

顯而易見，當m一定且τ=0時，攻擊概率最小為，Q隨τ的增大而增大。針對m分析，取，當，，因此Q與m呈負相關。

綜上所述，當網絡環境一定時，增加序列長度或減小序列驗證容錯率均可以使竊聽攻擊的成功率大大降低，針對竊聽攻擊有良好的防御能力。同時，合理的序列長度與容錯率是保證安全性能的重要因素。

4.2 同步認證性能分析

同步過程中，客戶端通過發送擴展序列進行同步請求，跳變服務器監聽并捕獲數據分組以解析認證。端信息擴展跳變同步成功率為

其中，p=qcqv為單個數據分組成功率，τ為序列認證的容錯率，m為序列長度，qc為數據分組成功捕獲的概率，qv為擴展序列中單個端信息認證成功率。

qc為數據分組成功捕獲的概率，指客戶端將端信息封裝在數據分組中發送，經過網絡傳輸被服務器監聽進程成功捕獲的概率。受網絡傳輸過程中分組丟失率的影響，數據分組捕獲過程存在不確定性，分組丟失率越低，成功捕獲的概率越高。

qv為擴展序列中單個端信息認證成功率，包括數據分組中目的地址與目的端口的認證。根據地址認證算法及端口校驗算法可知，認證成功率與地址池、密鑰及算法效率有關。因此，算法效率是影響數據分組認證的關鍵因素，時間效率的提高可降低序列認證超時導致的同步失敗率。

針對跳變同步成功率分析，當m(1-τ)一定時，Qs與單個數據分組認證成功率p呈正相關。在單個數據分組認證成功率p(0 ＜p≤ 1)一定的情況下，序列長度m越小，Qs越高；容錯率τ越大，Qs越高。但m的減小與τ的增大會造成安全性能的降低，因此提高同步認證性能的關鍵是提高單個數據分組認證的成功率。

綜上所述，端信息擴展跳變同步策略與數據分組認證、擴展序列驗證等相關，與跳變時隙、跳變算法等無關，跳擴混合服務器能夠有效地避免跳變性能對同步認證的影響，實現跳變策略與同步策略的分離，解決跳變時隙較小的高速跳變同步問題。

4.3 時間性能分析

在端信息跳變技術中沒有使用數據遷移策略的時候，假設用戶與服務器一次握手的時間為T1，一次長久的服務需要握手n次，跳變周期為Ts，那么在沒有數據遷移策略的前提下所需要的時間Tn為

數據遷移策略是為解決TCP三次握手時間損耗問題而提出的，使同一個合法用戶在一次長時間的服務請求中僅與服務器端握手一次，但需要IP地址的轉換，假設中間轉換器的時間損耗為T2，那么在使用數據遷移策略的前提下所需要的時間Ty為

由于 IP地址的轉換操作是在服務器的內核之中操作的，所以IP地址的轉換時間遠遠小于TCP三次握手的時間，可以忽略不計，這樣其實真正的Ty為

由式(12)和式(14)比較可知，當服務在一次跳變周期內完成時，Ty=Tn，當一次服務在一個跳變周期內未完成時，Ty ＜ Tn。因此，在引入數據遷移策略的時候可大大提高端信息跳擴混合主動網絡防御技術的效率，減少長久服務的時間損耗。

綜上所述，基于端信息跳擴混合的主動網絡防御技術在引入數據遷移策略之后，可以很好地解決時間損耗問題，提高長久服務的服務效率。

5 實驗測試與分析

本文設計實現了端信息跳擴混合主動網絡防御技術原型系統，并進行同步性能、安全性能及服務性能的實驗驗證，客戶端與服務器配置如表 1所示。

表1 實驗系統配置

5.1 安全性能測試

針對TCP跳變服務特性，設計最有利于攻擊者的攻擊情景，在內網環境下進行拒絕服務及竊聽攻擊實驗，測試系統的抗攻擊性能。

5.1.1 可用性能測試

實驗過程中，假設攻擊者已知全部服務的跳變地址池，因此SYN-flood攻擊的目標地址和端口是在跳變地址池中選取服務器的跳變地址及隨機選取端口號，設定服務器為不同的跳變速率，在不同的跳變速率下發起速率為10 Mbit/s、20 Mbit/s、30 Mbit/s、40 Mbit/s和50 Mbit/s的攻擊，在相應攻擊速率下靜態服務測得平均響應時間分別為 1 667 μs、1 791 μs、1 906 μs、2 353 μs和 3 081 μs。在攻擊的同時客戶端向服務器發起 100次同步認證請求，分別記錄未受攻擊與不同攻擊速率下TCP跳變服務的響應時間，計算不同跳變速率不同攻擊速率下的服務平均響應時間。

實驗數據擬合結果如圖4所示，圖中HOP-1、HOP-10、HOP-100分別表示1 hop/s、10 hop/s、100 hop/s，擬合曲線分別用實線、虛線和點劃線表示，其中HOP-1和 HOP-10屬于低速跳變范圍，HOP-100屬于高速跳變范圍。由實驗結果可以看出，隨著攻擊速率的增大，3種跳變速度下的服務響應時間均無明顯增大，總體平均響應時間穩定在 1 800 μs左右，而靜態服務響應時間浮動明顯，均值約為2 150 μs。由此證明了端信息跳擴混合主動網絡防御技術能夠有效地抵抗SYN-Flood攻擊，保證TCP服務的安全性。同時在高速跳變下仍能夠抵抗攻擊并保持服務響應。

圖4 SYN-Flood攻擊下服務響應時間

本文進一步測試了ACK Flood攻擊、NTP DoS攻擊下系統性能。表2給出了端信息跳擴混合模型在SYN Flood、ACK Flood、NTP DoS這3種拒絕服務攻擊（攻擊速率為50 Mbit/s，跳變速度為100 hop/s，傳輸數據為20 KB電子表格文檔）下，客戶端從發起請求到接受服務所需的平均服務響應時間。從表2可以看出，在不同的拒絕服務攻擊類型下，端信息跳擴混合主動網絡防御技術也可以正常提供對外服務，能很好地抵御拒絕服務攻擊。

表2 不同攻擊方式下的服務完成時間

綜上所述，基于端信息跳擴混合的主動網絡防御技術在實現高速跳變的同時，保證了良好的抗攻擊性能。

5.1.2 隱蔽性能測試

隱蔽性實驗同樣遵循了最有利于攻擊者的設置，服務器、客戶機和攻擊者均在同一個共享式局域網中，端信息跳變或跳擴混合只在服務端進行，客戶端與服務端進行一對一通信，攻擊者使用SnifferV4.7.5進行截獲分析。

實驗首先測試比較了在T=60 s時間周期內傳統服務與端信息跳變服務的數據傳輸截獲分析結果，如圖5(a)和圖5(b)所示；隨后進一步截獲分析了T=1 s時間周期內的跳變服務與跳擴混合服務如圖5(c)和圖5(d)所示。其中，實線為真實通信數據，虛線則是擴展序列的虛假數據。

圖5中明顯可以看出，當截獲分析攻擊時間為60 s時，端信息跳變服務與傳統服務相比有明顯的隱蔽性優勢，數據傳輸流量有明顯發散，增大了攻擊者分析的難度；但當攻擊時間降低為1 s時，低速跳變的跳變服務的跳變圖案完全顯式暴露在敵手面前，因此失去了隱蔽性增益，而高速跳變的跳擴混合服務的跳變圖案雜亂無章且包括虛假的端信息擴展序列，仍然能夠保持高隱蔽性。可見，端信息低速跳變難以有效地應對性能日益提升的截獲攻擊。端信息跳擴混合策略由于采用了每秒上百跳的高速跳變和擴展序列同步，因而具有更好的隱蔽性能。

圖5 不同攻擊時間下截獲攻擊結果

5.2 同步性能測試

系統同步性能主要涉及跳變速度對同步認證的影響。為證明對高速跳變的適用性，選取不同跳變速度，根據跳變算法進行隨機跳變，分別記錄不同跳變速度下 200次同步請求的平均服務響應時間與平均序列認證時間，實驗結果如圖6所示。

圖6 同步性能實驗結果

實驗結果表明，隨著跳變速率的增加，平均響應時間整體呈現緩慢的上升趨勢，并沒有因跳變速率的增加而顯著提高。在200 hop/s的高速跳變下，服務器仍能進行服務響應，驗證了端信息擴展同步策略和數據遷移策略可以保證端信息跳擴混合主動網絡防御技術的高速跳變和正常運行。

5.3 服務性能測試

端信息跳變技術的服務性能主要涉及跳變速率，與跳頻通信技術類似，跳變速率是影響端信息跳變服務性能的重要因素，但該模型解決了跳變速率對服務性能的影響，表3為端信息跳變模型與端信息跳擴混合模型在不同跳變速率下的服務提供率對比，其中服務提供率反映客戶端能夠獲取服務器端所提供服務的成功率。

表3 服務提供率對比

從表3可以得出端信息跳變模型會隨著跳變速率的提高降低服務提供率，在達到高速跳變速率200 hop/s時，服務提供率為0；端信息跳擴混合模型隨著跳變速率的提高基本沒有變化，即使是在高速跳變速率200 hop/s的情況下也能提供對外服務，解決了端信息跳變防護中的跳變速率受限問題，具有較好的服務性能。

6 結束語

主動網絡防護技術近年來引起了產業界和學術界的關注，其核心思想是依據任務需求，動態、隨機地進行服務、IP地址、端口等端信息的變化，從而提高網絡攻擊的難度。

針對端信息跳變防護中的跳變速率受限的問題，受擴頻通信技術和跳擴混合通信技術的啟發，提出了端信息擴展的概念，進而提出一種基于端信息跳擴混合的主動網絡防御技術，將跳變策略和同步認證機制有效分離，避免了同步機制對于高速跳變性能的限制。在此基礎上，建立了端信息跳擴混合主動網絡防御模型，解決了端信息高速跳變下的難題，實現了不需要真實目標端信息的跳變服務請求。理論分析和實驗結果均表明，端信息跳擴混合主動網絡防御模型能夠在高速端信息跳變下有效地完成可信客戶端的同步認證，支持端信息跳變圖案的高度隱蔽性，具有很好的抗攻擊效果，對于高強度對抗要求的主動網絡防護應用具有重要意義。