面向網絡層的動態跳變技術研究進展

何威振，陳福才，牛杰，譚晶磊，霍樹民，程國振

（1. 信息工程大學，河南 鄭州 450001；2. 中國人民解放軍61212部隊, 北京 100091）

1 引言

近年來，5G、物聯網等技術的飛速發展，連接到互聯網的設備數量飛速增加，計算機網絡的復雜性到達了新的水平。然而傳統網絡的靜態屬性為攻擊者（如蠕蟲、木馬、病毒和惡意代碼等）發起有效攻擊并取得成功提供了很大的優勢。攻擊者可以通過監視目標系統，獲取目標系統配置信息，識別目標系統上可利用的漏洞，選擇合適的時間和位置來發起攻擊。

傳統的網絡防御技術（如防火墻、入侵檢測系統和殺毒軟件等）可以在一定限度上抵御攻擊者發起的攻擊，然而這些安全系統在本質上是被動且不完整的，僅能檢測基于先驗知識的已知漏洞，不能防御未知的漏洞和后門。特別是對于最近幾年數量和復雜性激增的高級網絡攻擊[1]，傳統的網絡防御系統顯得蒼白而無力，進而給企業和終端用戶造成聲譽、社會和金融的嚴重損害[2]，可以看出，網絡空間面臨“易攻難守”的安全態勢。

為了扭轉這一局面，美國網絡安全與信息保障研發計劃提出了改變游戲規則的移動目標防御（MTD，move target defense）技術[3]，其核心思想是不通過構建一個沒有漏洞的系統來增強目標系統的安全性，而利用目標系統所處的時間和空間環境，自適應改變攻擊表面來增加系統的迷惑性和不確定性，使得攻擊者無法在有效的時間內對目標系統制定出有效的攻擊策略。即使攻擊者在當前時刻獲取到目標系統的信息，但隨著時空的轉變，攻擊者獲取的關鍵信息也會失效，從而減小攻擊者成功攻擊的概率。

移動目標防御的特性根據Cho等[4]的分類可以劃分為3種；輪換性、多樣性和冗余性，其中基于輪換的移動目標防御系統通過重新排列和隨機化網絡配置（如指令集、地址版圖、IP、MAC、端口、路由等）來改變網絡攻防的不對稱格局，增加攻擊者成功攻擊的難度。而網絡層作為網絡配置中最關鍵的網絡屬性之一，基于網絡層的MTD技術受到了廣泛關注。然而目前尚未有學者對網絡層跳變技術進行總結，盡管目前有MTD的綜述[4]介紹了基于輪換的MTD技術，但這些介紹側重于描述MTD的發展，沒有詳細介紹網絡層跳變技術，因此本文綜述了面向網絡層的動態跳變技術。

網絡層動態跳變技術的發展脈絡如圖1所示。2001年，美國國防高級防御研究計劃局在信息安全項目中首次提出了基于IP跳變的動態地址轉換技術[5]，之后國內外研究機構持續跟進，相繼提出APOD[6]、MT6D[7]、RHM[8]、端地址跳變[9]等網絡層跳變技術，這些技術部署于傳統網絡，需要解決終端之間同步問題，以及部署跳變系統帶來的性能損失問題。因此，軟件定義網絡（SDN）的興起為網絡層動態跳變技術的發展帶來了革命性的轉變，2012年，網絡層跳變技術首次被應用于軟件定義網絡，并在該技術的基礎上涌現出不同的跳變模型，如隨機路由跳變（RRM，random route mutation）技術[10]在軟件定義網絡上實現路由跳變。同時，由于網絡層跳變技術跳變網絡屬性，給終端之間通信帶來很大的性能影響，因此需要采用合適的理論模型或自適應的機制來平衡網絡層跳變的安全有效性和資源開銷。2013年，有研究者提出用博弈理論來指導跳變策略，平衡網絡跳變系統的有效性和開銷。之后的研究一直圍繞構建一個高可用、高安全的網絡層跳變系統展開研究。

圖1 網絡層動態跳變技術的發展脈絡Figure 1 The development context of network layer dynamic hopping technology

2 安全威脅

Hon等[11]根據MTD的性質將其劃分為基于輪換性的MTD技術、基于多樣性的MTD技術和基于冗余性的MTD技術。其中，基于輪換性的MTD技術通過隨機化系統的配置（包括IP地址跳變、虛擬機輪換、TCP端口跳變等）來混淆攻擊者，使得攻擊者花費更多的時間去掃描系統，并使收集到的目標系統的信息無效。基于多樣性的MTD技術使用具有同樣功能、不同實現方式的系統組件來提高系統的容忍性，使得系統在面對攻擊時能夠正常為用戶提供服務。基于冗余性的MTD技術通過提供具有相同功能的多個系統副本來增加系統的可靠性和可用性。網絡層動態跳變技術作為基于輪換性的MTD技術的子集，其輪換的主要目標是網絡層的配置，包括IP地址、MAC地址、端口以及網絡拓撲，該技術能夠作為入侵防護系統來防護對目標系統的滲透，最小化攻擊者發現目標系統的概率，其抵御的攻擊類型主要包括掃描攻擊、DDoS攻擊、蠕蟲攻擊、APT攻擊。表1列舉了典型的網絡層跳變技術防御的安全威脅。

表1 典型的網絡層跳變技術防御的安全威脅Table 1 Security threats defended by typical network layer hopping technology

（1）掃描攻擊

在掃描攻擊中，攻擊者通常使用定制的掃描工具（Libnmap、Nmap）向目標網絡發送探測報文，獲取目標網絡的IP地址、開放端口和網絡拓撲，從而根據獲得的信息向目標網絡發起進一步的攻擊。為了使攻擊者獲取的信息無效，阻斷攻擊鏈的連續性，文獻[8,12-17]相繼提出了網絡層跳變技術，理論仿真和實驗分析了網絡層跳變技術能夠有效防御掃描攻擊。

（2）DDoS攻擊

DDoS攻擊通過使用大量的僵尸網絡向目標系統洪泛UDP、ICMP、SYN報文，使得目標系統因資源耗盡而無法為用戶提供正常服務。為了防護DDoS攻擊對目標系統造成的威脅，文獻[18-23]提出了IP/PORT跳變技術來減輕DDoS攻擊對目標系統的影響，使得DDoS攻擊者無法針對指定的IP地址進行持久連續性洪泛。

（3）蠕蟲攻擊

與掃描攻擊不同的是，蠕蟲攻擊的攻擊過程除了最初的掃描攻擊外，還有后續的攻擊、傳染和現場處理3個階段。首先，蠕蟲病毒會對選取的指定IP地址段進行掃描，當掃描到活躍主機時，會通過活躍主機的漏洞把蠕蟲病毒復制到目標主機上，接著對感染主機進行現場處理，之后，感染主機也可作為病毒主機對網絡系統進行進一步的感染。為了抵御蠕蟲病毒的傳播，網絡地址隨機化（NASR，network address space randomization）技術[24]通過隨機化目標主機的IP地址，使得蠕蟲無法掃描到活躍主機，即使掃描到活躍主機，但隨著IP地址的跳變，蠕蟲也無法對活躍主機進行感染。

（4）高級持續性攻擊（APT，advance persistent threat）

APT通過執行靜默、持續、自適應的攻擊方式來訪問目標系統的資源并控制目標系統。根據網絡殺傷鏈模型，其可以看成是一個多階段的攻擊方式，即其攻擊過程包括目標偵察、武器化、投放、利用、安裝、命令和控制、行動7個階段，因此可以采用網絡層跳變技術來防御APT攻擊的目標偵察階段[25]，使得APT者無法獲取目標系統的信息，進而無法執行網絡殺傷鏈的后續過程。

3 實現架構

網絡層跳變技術通過動態跳變終端的網絡屬性來減小攻擊面，增加攻擊者識別終端關鍵信息的難度，減小攻擊的成功率。根據文獻[9,22,26-27]，基于網絡層的跳變技術根據在不同網絡場景下的實現方式可以分為基于傳統網絡的網絡層跳變模型和基于軟件定義網絡的網絡層跳變模型。

3.1 基于傳統網絡的網絡層跳變模型

由于目前終端設備主要部署于傳統網絡，基于傳統網絡的網絡層跳變技術研究廣泛。石樂義[9]在2008年提出了端信息跳變技術，通信雙方或一方通過協商跳變圖案來偽隨機地跳變端口、IP地址，實現網絡層跳變技術。隨后國內外學者對基于傳統網絡的網絡層跳變模型開展進一步的研究，并取得了一定的成果，總結這些成果可以得到如圖2所示的基于傳統網絡的端信息跳變模型。在該模型下，終端需要部署跳變代理，跳變代理負責終端虛假網絡屬性與真實網絡屬性的轉換，且完成終端之間的認證以及終端之間的跳變速率和跳變圖案的協商。基于傳統網絡的端信息跳變技術通信流程如圖3所示，客戶端與服務端通信之前，客戶端和服務端需要完成相互認證，且交換各自的跳變圖案（包括跳變序列和周期），以保證通信時跳變代理能夠準確完成虛假網絡屬性和真實網絡屬性的變換。在通信過程中，客戶端和服務端的跳變圖案需要保持嚴格同步，即客戶端和服務端需要及時知道彼此的跳變圖案，避免客戶端和服務端因更新跳變圖案而導致彼此無法具有一致的跳變圖案，進而導致正常網絡通信失敗。因此基于時間的同步機制[22]和不需要嚴格時間耦合的ACK應答同步機制[26]被用于解決端信息跳變的同步問題，基于時間的同步機制將時間劃分為不同的定長，不同的時間定長具有不同網絡屬性，可以有效隱蔽終端的網絡屬性，但這種同步機制會受到網絡時延和擁塞的影響。基于ACK應答的同步機制不需要采用時間同步，而是將下一階段的網絡屬性放置到ACK報文中來通知對方，但該種方法存在ACK報文被截獲的可能，迫使通信雙方在一段時間內只能使用相同的端信息。

圖2 基于傳統網絡的端信息跳變模型Figure 2 Terminal information hopping model based on traditional network

圖3 基于傳統網絡的端信息跳變技術通信流程Figure 3 Communication process of terminal information hopping technology based on traditional network

3.2 基于軟件定義網絡的網絡層跳變模型

針對基于軟件定義網絡的網絡層跳變模型，由于軟件定義網絡[27]控制平面和數據平面的分離以及開放的可編程性，使得網絡層跳變技術很容易在軟件定義網絡中部署。因此，國內外學者針對基于軟件定義網絡的網絡層跳變技術開展了廣泛的研究，總結起來可以得到如圖4所示的基于軟件定義網絡的網絡層跳變技術模型。在該模型下，系統主要由控制器和SDN交換機組成。控制器是系統的核心，其為終端分配兩類網絡屬性，即真實網絡屬性和虛擬網絡屬性，并通過動態跳變虛假網絡屬性來保持終端的透明性。SDN交換機負責接收控制器下發的流表，并根據控制器兩類網絡屬性的映射關系完成終端發送數據包真實網絡屬性和虛假網絡屬性的轉換。當系統中的兩個終端進行通信時，終端通過如圖5所示的兩種方式完成會話。

圖5 基于軟件定義網絡的跳變模型下兩種通信模式Figure 5 Two communication modes under the hopping model based on software defined network

方式一是通過DNS服務器完成會話，具體地，終端1通過終端2的域名向DNS服務器發起DNS請求進而獲取終端2的虛擬網絡屬性，然后終端1根據源地址為終端1的真實網絡屬性和目的地址為終端2的虛擬網絡屬性建立連接，當數據報文通過與源端相連的SDN交換機時，修改源地址為終端1的虛擬網絡屬性后，將數據報文發送到目的端的跳變代理，與目的端相連的SDN交換機將目的地址變換為終端2的真實網絡屬性，終端2接收到數據報文后，向終端1發送響應報文，SDN交換機完成與請求相應的變換操作。方式二是通過控制器授權完成會話，當終端1與終端2進行會話時，終端1首先需要向控制器發送授權請求，當授權成功數據報文才能發送到終端2，未被授權的報文被直接丟棄，數據報文經過與源端和目的端相連的SDN控制器時完成與方式一相同的操作。

4 分類

Cho等[4]將移動目標防御技術總結為3個關鍵問題，即哪些系統配置屬性能夠改變來迷惑攻擊者；如何移動目標系統的屬性來增加攻擊的不確定性和不可預測性；如何選擇輪換的時間來平衡開銷和有效性。本文基于這3個關鍵問題，將網絡層跳變技術從跳變屬性、跳變的實現方式和跳變的觸發方式3個層面進行劃分。具體的分類方法如表2所示。

表2 網絡層跳變技術分類方法及其優缺點Table 2 Network layer hopping technology classification method and its advantages and disadvantages

4.1 跳變屬性

針對網絡層跳變技術的跳變屬性，主要分為單一屬性的跳變機制和多維屬性協同跳變機制。

在網絡層跳變技術中，對于單一屬性的跳變機制，主要分為IP地址跳變、MAC地址跳變、端口地址跳變和路由地址跳變。針對IP地址跳變，Antonatos等[24]提出了網絡地址隨機化（NASR,network address space randomization）技術，其通過DHCP服務器來周期性改變終端的IP地址，實現IP地址的動態化，能夠有效防御蠕蟲的傳播。但是NASR無法對終端保持透明，每次輪換的都是主機的真實IP地址。因此，2012年，Jafarian等[8]提出了隨機主機跳變（RHM，random host mutation）技術，其采用兩級跳變機制來增加跳變隨機性，即低頻跳變為主機分配一個地址空間，而高頻跳變從分配的地址空間中為主機選擇一個地址，主機保持真實IP地址不變，動態跳變虛擬IP跳變，保證了終端的透明性。針對端口地址跳變，文獻[22]提出在不改變現有UDP/TCP的前提下，根據時間和客戶端與服務器端共享密鑰來隨機生成服務器對外的UDP/TCP端口號。針對路由跳變，文獻[10]提出了一種主動隨機路由突變（RRM，random route mutation）技術，通過可滿足性模理論將RRM建模為約束滿足問題進而求解得到最優的跳變路徑，它可以同時隨機改變網絡中多個流的路由，以防御偵察、竊聽和DoS攻擊，同時保持端到端的QoS屬性。實驗結果證明，與靜態路由相比，RRM可以保護至少90%的報文免受真實攻擊者的攻擊，且RRM可以有效地部署在常規網絡和SDN上，而不會對會話報文造成任何影響。

由于單一屬性的跳變技術僅從單一網絡屬性進行變化，攻擊者通過其他網絡屬性獲取網絡系統未知的漏洞后門，進而獲取目標系統的控制權。因此，多屬性協同跳變可以進一步縮小攻擊面，增強網絡系統的安全性。Chen等[28]提出將IP跳變和路徑跳變結合起來實現內網的主動防護，可以有效阻斷零日漏洞和DoS攻擊。Jafarian等[29]提出主機身份匿名（HIDE，host identity anonymization）技術，從跳變主機地址、跳變主機指紋、匿名主機指紋、部署具有上下文感知指紋的高保真蜜罐和在這些蜜罐上部署上下文感知的內容這5個維度防御高級攻擊者，在保證合理開銷的基礎上，能夠有效防御來自紅帽子黑客的攻擊。Luo等[30]提出一種根據源屬性、服務屬性和時間來高速率、不可預測的跳變終端的IP地址和端口的方法，在引入可接受操作開銷的前提下能夠有效防御內部和外部威脅。Sharma等[31]提出隨機主機和服務復用（RHSM，Random Host and Service Multiplexing）技術，其允許主機及運行的服務具有多個虛擬IP地址和端口號，且這些端口號隨著時間的改變而不斷變化，并以多對多的方式和解復用的方式復用到真實IP和端口上，能夠有效地混淆網絡和傳輸層服務的真實身份。文獻[32]認為單一的網絡地址跳變方法無法防御知道目標域名的攻擊者，因此提出了一種基于隨機域名和地址突變的網絡防御（RDAM，random domain and address mutation）方法，該方法通過動態域名方法增加了攻擊者的掃描空間，降低了攻擊者掃描成功的可能性。

4.2 跳變的實現方式

網絡層跳變技術的實現方式，主要分為基于傳統網絡的實現方式和基于SDN的實現方式。

在基于傳統網絡實現網絡層跳變技術方面，端信息跳變是其主要的實現形式，其關鍵性問題主要包括合理的跳變策略和有效的同步機制。2001年，Kewley等[5]首次提出采用動態地址轉換（DyNAT，dynamic network address translation）技術來增強網絡的安全性，其在客戶端部署DyNAT插件，在服務器端部署DyNAT網關，DyNAT插件負責處理來自客戶端的請求報文和進入客戶端的響應報文，DyNAT網關負責處理到達服務端的請求報文和離開服務端的響應報文。之后，針對端信息跳變的跳變策略問題，文獻[22]提出通過時間和密鑰來動態生成服務端的端口號，使得授權的用戶才能訪問服務端，有效地減輕了DDoS攻擊。文獻[33]提出將數據流分布多個傳輸連接上來增強數據的隱蔽性。針對端信息跳變的同步機制問題，文獻[26]提出基于ACK的端口跳變機制，通過共享密鑰和數據包的發送個數來確定下一跳變間隔的端口。文獻[34-35]提出了分布式時間戳同步機制，有效地避免集中式的時間戳同步機制面臨的單節點故障問題。文獻[36]針對當前同步機制無法適應亞秒、毫秒級的高速率跳變，提出端信息擴展認證同步機制，有效地解決了高隱蔽要求下的高速跳變問題。實驗結果表明，提出的端信息跳擴混合機制能夠提高在高跳變場景下的可用性和隱蔽性。

在基于SDN實現網絡層跳變技術方面，2012年，Jafarian等[12]首次提出將網絡層跳變技術應用于SDN網絡中，并實現了基于OpenFlow的主機突變（OF-RHM，OpenFlow random host mutation）技術，其通過NOX控制器為終端分配兩類IP，即虛擬IP和真實IP，且終端保持真實IP不變，周期性變換虛擬IP，使得終端保持透明，能夠較好地防御網絡掃描和蠕蟲傳播，但無法有效地防御高級持續性攻擊。因此，2014年，Jafarian等[25]提出在時間和空間兩個維度上對終端的IP地址進行變化，即通過時間間隔和源屬性進行跳變，增加了虛擬IP選擇的不確定性，能夠有效地防御高級持續性攻擊。2015年，Jafarian等在前面研究的基礎上提出一種高效的主機跳變機制[37]，在保證跳變的不可預測性的前提下實現最大化的防御效果。更進一步，Hu等[38]提出了一種基于OpenFlow的網絡層移動目標防御方案，能夠實現終端在全網的防護，在域內終端通過IP地址跳變進行防御，在跨域的情況下終端通過端口跳變進行防御。Sharma等[39]提出靈活隨機的IP多路復用（FRVM，flexible random virtual IP multiplexing）技術，通過多個隨機的、隨時間變化的虛擬IP地址復用到真實IP來增強系統的安全性。文獻[40]提出不僅在終端進行IP跳變，而且將IP跳變應用于數據平面交換機，并通過基于哈希鏈的同步簽名來同步網絡路徑中的各個節點。

4.3 跳變的觸發方式

網絡層跳變技術的跳變方式主要分為非自適應跳變和自適應跳變。對于非自適應的網絡層跳變技術，其主要實現形式是周期性跳變，周期性跳變是網絡層跳變機制以固定的時間間隔去跳變網絡層屬性。早期提出的RHM、OF-RHM以及端信息跳變技術均以固定的周期去輪換終端的關鍵屬性，如果跳變時間間隔過長，攻擊者在跳變間隔內能夠滲透進目標系統，導致防御失效。而如果跳變周期過短，會嚴重影響網絡性能并且浪費網絡資源，特別是當無攻擊者滲透目標系統時，高速跳變網絡屬性也顯得毫無意義，因此合理的跳變方式可以有效保證安全性和提高通信質量。

自適應跳變機制在保證系統安全性的同時將網絡性能的損失降到最小。Jafarian等[41]提出一種自適應敵手的IP地址隨機化技術，其通過將敵手的掃描行為假設為非均勻的掃描和非重復的掃描，然后根據這種假設行為判斷攻擊者的掃描行為，進而做出自適應的跳變。Ma等[42]提出一種自適應的端點跳變技術（SEHT，self-adaptive end-point hopping technique），通過可滿足性模理論（SMT）來描述跳變的限制，保證跳變的低開銷和高可用性，同時根據假設測試分析掃描策略進而指導跳變策略的選擇。實驗結果表明，SEHT在保證低開銷的前提下能夠防御90%的掃描攻擊。Wang等[43]在軟件定義網絡中設計并實現IP地址和MAC地址協同化的內網防護系統，并采用網絡偵察的博弈模型求解最優的跳變周期，使得跳變網絡層屬性不影響正常的網絡服務。Yoon等[44]提出一種分層架構的攻擊圖模型，該模型提供了網絡的漏洞和網絡拓撲，可用于在指定網絡中選擇高優先級的主機進行輪換并且確定主機輪換的頻率，以最小的防御開銷降低攻擊成功的概率。實驗結果表明，該方法能夠有效降低攻擊成功的概率，且具有跳變的系統與無跳變的系統在轉發數據包時的時延相差不大。Wang等[45]通過研究MTD時序問題提出了一個基于更新獎勵理論的算法，并在綜合考慮自適應開銷和攻擊成本的基礎上，用來自9 026個不同IP的50 704種不同的DDoS攻擊來評估該算法，實驗結果表明，與現有的周期性和隨機自適應算法相比，提出的算法在相同的安全保證下更具成本效益。

5 模型及評估

為了評估網絡層跳變技術的有效性和平衡網絡層跳變的有效性和性能損失，增強網絡層跳變系統的可用性，國內外研究者提出了不同的模型去分析網絡層動態跳變技術，主要分為基于概率的評估模型和基于博弈的跳變策略選取機制模型。

5.1 概率模型

針對基于概率的評估模型，研究者主要從掃描攻擊、DDoS攻擊、蠕蟲傳播、APT攻擊這4種攻擊方式入手，分析當部署動態跳變系統時，攻擊者成功攻擊目標的概率。

Carroll等[46]提出使用甕模型對靜態網絡和動態網絡進行分析，并比較在不同的網絡大小、漏洞系統數目、掃描地址空間、輪換頻率的條件下攻擊成功的概率。實驗結果表明，動態網絡能夠有效降低攻擊者攻擊成功的概率。文獻[25]提出從威懾率、欺騙率、檢測率3個方面對動態防御系統進行評估。同時，從協作掃描、本地偏好掃描來分析攻擊成功的概率。

此外，相關研究者也將概率模型引入網絡層跳變策略選取的研究中，通過將攻擊者和防御者的行為建模為概率模型，在保證安全性的前提下，得到增強系統可用性的跳變策略。

Clark等[47]將跳變周期的選取建模為最優停止問題，并在綜合分析攻擊成功的概率和資源開銷的基礎上，給出最優的跳變周期。Maleki等[48]通過使用馬爾可夫模型來分析網絡層跳變，根據目標隱藏的數量將網絡系統建模為單目標隱藏和多目標隱藏，并給出各自的狀態轉移圖，在狀態轉移圖的基礎上，給出兩種情況下目標系統的安全指標。Yoon等[44]提出采用三層攻擊圖模型對目標系統的關鍵資產進行建模，進而評估這些關鍵資產的漏洞等級。進一步，根據這些漏洞等級提出兩種關鍵資產指標，即基于角色的關鍵性和基于影響的關鍵性來區分關鍵資產的優先級，選擇優先級高的資產進行輪換。

5.2 博弈模型

針對網絡空間的攻防模型，從防御者的角度來看，網絡層動態跳變技術的主要目標是確定一組最佳的網絡配置來改變攻擊面，最大限度地減少攻擊者行動帶來的風險。從攻擊者的角度來看，攻擊者旨在以最小的精力和最大的效率成功地發起攻擊。因此，博弈論很好地模擬了攻擊者和網絡層跳變之間的競爭情況，可以有效指導網絡層跳變策略選取。本節主要基于完全信息博弈和不完全信息博弈對網絡層跳變技術進行分類。

對于完全信息博弈，Manadhata等[49]在考慮安全性和可用性的基礎上，提出采用二人隨機博弈模型選取最優的移動目標輪換策略。Lei等[50]提出將馬爾可夫決策過程和動態博弈結合來塑造MTD場景下防御者與攻擊者的多階段博弈行為，進而得到最優的跳變策略平衡防御的有效性和網絡服務質量。Feng等[51]提出將非零和斯坦伯格博弈應用于求解MTD策略，假設攻擊者可以觀察到防御者先前的配置，通過將防御者建模為馬爾可夫決策過程，進而通過有效的迭代算法求出最佳的跳變策略。

對于不完全信息博弈，Chen等[52]針對網絡攻防過程中攻防雙方無法獲取對方信息以及無法判斷對方收益的問題，提出了基于模糊靜態貝葉斯博弈的網絡主動防御策略。在求解雙方的效用函數時引入了三角模糊數并采用模糊概率及其均值的方法得到精確效用值，進而通過納什均衡解得最優跳變策略。Zhu等[53]提出了一種多階段反饋博弈模型，將其中帶有MTD的攻擊防御形式化為零和博弈。在該模型中，網絡系統被分解為不同的部分，并將網絡攻擊行為建模為多階段攻擊過程。此外，還分析了MTD實施對系統性能開銷和攻擊成本的影響，以確定MTD機制的最佳策略，從而將防御成本和系統安全風險最小化。Lei等[54]提出一種新穎的不完全信息馬爾可夫博弈理論，通過引入移動攻擊面和移動勘測面的概念，擴展具有不完全信息的最優策略選擇。同時，綜合考慮防御成本和防御收益，設計了一種最優策略生成算法，以防止所選策略與實際網絡狀況發生偏差，從而保證了最優策略生成的正確性。Tan等[55]將馬爾可夫決策過程與魯棒博弈結合，提出了一種基于馬爾可夫魯棒博弈模型。作者通過定義基于移動攻擊和探索面的移動目標防御模型，描述了漏洞的隨機出現以及由防御轉換引起的攻擊方和防御方在認知行為上的差異。在此基礎上，構造了馬爾可夫魯棒博弈模型，描述了運動目標防御對抗的多階段、多狀態特征，給出不完全信息假設下的未知先驗信息。最后通過將最優策略選擇等效轉換為非線性規劃問題，設計了一種有效的最優防御策略選擇算法。

表3 網絡層跳變技術的關鍵模型及其優缺點Table 3 The key model of network layer hopping technology and its advantages and disadvantages

6 存在挑戰及下一步研究方向

（1）網絡層跳變系統的易用性還有待提高

目前針對無論是基于傳統網絡的還是基于SDN的網絡層動態跳變技術，都無法完美解決因跳變產生的會話維持問題，而目前用戶對網絡性能要求苛刻，因會話維持產生的鏈接關閉將會嚴重影響網絡體驗。

（2）網絡層跳變技術的安全性還需要進一步改善

基于網絡層的跳變技術無法防御高級攻擊者發起網絡攻擊，如側信道攻擊、高級持續性攻擊等。因此，可以嘗試結合其他防御手段，如結合人工智能技術[57]和欺騙技術來發現潛在的攻擊者，對跳變策略進行最優化設置。

（3）拓展應用范圍和場景

隨著IPv4地址的耗盡，網絡協議從IPv4向IPv6網絡轉變，基于IPv4的網絡層跳變技術無法直接過渡到IPv6網絡中，且目前針對IPv6網絡的動態跳變技術研究很少，所以在IPv6網絡中部署網絡層跳變具有重要的研究意義。同時，隨著物聯網的發展，萬物互連的時代到來，必然帶來更多的安全威脅，所以將網絡層跳變技術引入物聯網去防范未知的漏洞和后門也具有重要的研究價值[58]。

7 結束語

隨著移動目標防御其他相關技術的提出和應用，網絡層動態跳變技術的發展趨勢漸緩。但是網絡層動態防御技術仍然存在關鍵問題沒有解決。

網絡層動態跳變引起的服務性能下降仍然是迫切需要解決的問題。部署在傳統網絡的動態跳變技術需要改變現有的通信協議方式，增加額外的通信報文，引入了額外的時延開銷。而部署在SDN中的網絡層跳變技術，SDN本身固有的數據層和控制層威脅，使得在沒解決現有威脅的前提下，引入新的威脅。因此，可以考慮新的網絡層相關技術來部署網絡層跳變，在保證安全性的同時，保證通信服務質量不下降。

網絡層動態跳變技術仍然需要更加合理模型進行評估。當前，針對網絡層跳變技術的評估主要是概率模型和博弈論模型，然而這兩種模型的抽象層次太高，忽略了很多關鍵因素，對實際網絡跳變系統的指導作用有限。因此，可以考慮其他的模型對網絡層跳變系統進行建模，如可以采用排隊論模型對網絡層跳變進行評估，分析因系統跳變帶來的通信時延。