前 言

移動(dòng)目標(biāo)防御(Moving Target Defense，MTD)技術(shù)是近年來網(wǎng)絡(luò)空間中“改變游戲規(guī)則”的革命性技術(shù)之一。它與以往的網(wǎng)絡(luò)安全技術(shù)不同，變被動(dòng)防御為主動(dòng)防御，其系統(tǒng)和網(wǎng)絡(luò)狀態(tài)隨著時(shí)間、空間以及物理環(huán)境等多個(gè)維度的變化而不斷改變，從而增加入侵者的入侵難度，能夠有效限制己方漏洞暴露的概率。

然而移動(dòng)目標(biāo)防御技術(shù)在帶來安全性提升的同時(shí)不可避免的也有相應(yīng)的代價(jià)，因此在實(shí)際的防御中，通過策略選擇來提升移動(dòng)目標(biāo)防御的有效性十分重要。

背 景

互聯(lián)網(wǎng)在給人們帶來了便利和好處的同時(shí)，也帶來了諸多網(wǎng)絡(luò)安全威脅。蠕蟲、木馬、拒絕服務(wù)攻擊以及近年來興起的高級(jí)持續(xù)性威脅(APT)攻擊等，讓人們不得不去面對(duì)互聯(lián)網(wǎng)安全問題的嚴(yán)峻現(xiàn)實(shí)，而近年來爆發(fā)的各類安全事件(Stuxnet病毒、“棱鏡門”事件、heartbleed漏洞、WannaCry勒索病毒等)，也使得人們感受到各行各業(yè)中潛伏的網(wǎng)絡(luò)安全威脅無處不在。

雖然攻擊有許多變化和風(fēng)格，但大多數(shù)都是通過終端開始，特別是用戶終端，然后通過系統(tǒng)橫向擴(kuò)展，尋求更多目標(biāo)。攻擊者還經(jīng)常嘗試對(duì)發(fā)現(xiàn)的設(shè)備(如DNS服務(wù)器，Web服務(wù)器和其他關(guān)鍵系統(tǒng))進(jìn)行遠(yuǎn)程攻擊。然后，他們直接從設(shè)備竊取數(shù)據(jù)和憑據(jù)，并將其用作跳板在網(wǎng)絡(luò)中橫向擴(kuò)展。

根據(jù)SANS 2017年的“Threat Landscape Survey.”，網(wǎng)絡(luò)釣魚和基于電子郵件的社會(huì)工程是攻擊組織的首要手段，在調(diào)查中，75%的受訪者發(fā)現(xiàn)最具影響力的威脅最初是通過電子郵件附件進(jìn)行的，而46%是通過點(diǎn)擊電子郵件鏈接進(jìn)行的。

為了攻擊用戶的系統(tǒng)，對(duì)手必須獲得用戶的密碼或利用漏洞或風(fēng)險(xiǎn)，例如缺少對(duì)錯(cuò)誤的檢查、過時(shí)的服務(wù)或應(yīng)用程序漏洞。系統(tǒng)入侵后，對(duì)手通常會(huì)進(jìn)一步橫向移動(dòng)，同時(shí)針對(duì)網(wǎng)絡(luò)上的其他關(guān)鍵資產(chǎn)，以映射網(wǎng)絡(luò)，并找到最豐富的目標(biāo)，例如Microsoft Exchange或數(shù)據(jù)庫服務(wù)器。

針對(duì)上述問題，移動(dòng)目標(biāo)防御技術(shù)能夠通過周期性重置系統(tǒng)的某些方面來動(dòng)態(tài)更改系統(tǒng)攻擊面，使得傳統(tǒng)的靜態(tài)網(wǎng)絡(luò)具有動(dòng)態(tài)性和隨機(jī)性，提升系統(tǒng)被預(yù)測和攻擊的難度，從而削弱攻擊者在傳統(tǒng)網(wǎng)絡(luò)攻防對(duì)抗中的固有優(yōu)勢。該技術(shù)能夠讓攻擊者收集到的信息快速失效，從而延長攻擊者的攻擊時(shí)間，增加其攻擊成本。

由于系統(tǒng)可用資源有限，雖然移動(dòng)目標(biāo)防御技術(shù)能夠有效改善系統(tǒng)的靜態(tài)特性，但這也將增加系統(tǒng)的運(yùn)行負(fù)擔(dān)，影響為用戶提供的服務(wù)質(zhì)量。因此，在防御過程中如何有效的進(jìn)行策略選擇非常重要。

分 類

1.基于信息熵的移動(dòng)目標(biāo)防御技術(shù)

信息熵常被用來作為一個(gè)系統(tǒng)的信息含量的量化指標(biāo)，從而可以進(jìn)一步用來作為系統(tǒng)方程優(yōu)化的目標(biāo)或者參數(shù)選擇的判據(jù)，可以通過信息熵的方式統(tǒng)計(jì)當(dāng)前流量的分布情況，來對(duì)攻擊者目前所處的階段進(jìn)行建模，并根據(jù)所處的階段采用對(duì)應(yīng)的策略進(jìn)行防護(hù)。研究人員通過采用包括條件熵[2]、交叉熵[3]、Sibson熵[4]的方式對(duì)當(dāng)前網(wǎng)絡(luò)威脅情況進(jìn)行度量。

然而采用信息熵的方式需要對(duì)攻擊者的行為模式以防守方的視角進(jìn)行詳細(xì)的定義，對(duì)攻防雙方的建模過于理想化，缺乏一定的說服力。

2.基于機(jī)器學(xué)習(xí)的移動(dòng)目標(biāo)防御技術(shù)

機(jī)器學(xué)習(xí)是當(dāng)下研究領(lǐng)域較熱的點(diǎn)，已被運(yùn)用在網(wǎng)絡(luò)安全中的多個(gè)方面，如攻擊檢測、身份認(rèn)證、隱私分析等。同樣，機(jī)器學(xué)習(xí)也被應(yīng)用在了移動(dòng)目標(biāo)防御的策略選擇上，常用的算法包括遺傳算法[5]、強(qiáng)化學(xué)習(xí)算法[6]。

基于遺傳算法的移動(dòng)目標(biāo)防御策略選擇：將不同動(dòng)作作為遺傳算法中的染色體，并對(duì)染色體進(jìn)行選擇、交叉和突變操作，從而得到滿足條件的染色體，得到一個(gè)較優(yōu)的結(jié)果。在遺傳算法中，使用適應(yīng)度來評(píng)估不同的染色體，現(xiàn)有的文獻(xiàn)中研究人員對(duì)適應(yīng)度做了不同的定義，如防御者的防御回報(bào)，攻擊成功率等。

基于強(qiáng)化學(xué)習(xí)的移動(dòng)目標(biāo)防御策略選擇：防御者不斷更新采取動(dòng)作的回報(bào)值，從而建立一個(gè)將系統(tǒng)狀態(tài)和回報(bào)值相結(jié)合的Q值表，再根據(jù)Q值表選取動(dòng)作以獲得最大的回報(bào)。

圖 1 強(qiáng)化學(xué)習(xí)示意圖

3.基于博弈論的移動(dòng)目標(biāo)防御技術(shù)

由于網(wǎng)絡(luò)攻防中防御方進(jìn)行有效防御的關(guān)鍵是選擇最佳的行動(dòng)策略，且攻防雙方的目標(biāo)相互沖突，是非合作關(guān)系，恰好與博弈論的基本特征相吻合。

對(duì)博弈論與移動(dòng)目標(biāo)防御結(jié)合的研究，從一開始定義順序的斯塔克爾伯格博弈模型，到實(shí)證博弈分析模型，后續(xù)的研究通常與強(qiáng)化學(xué)習(xí)中的馬爾科夫決策過程結(jié)合，包括利用多目標(biāo)馬爾可夫決策過程建模[7]，再到最新的將攻防對(duì)抗視為連續(xù)過程，再結(jié)合馬爾科夫決策過程的微分方程博弈模型[8]，在近幾年研究人員們對(duì)該領(lǐng)域進(jìn)行了不斷的探索與完善。

4.基于攻擊圖的移動(dòng)目標(biāo)防御技術(shù)

在攻擊者對(duì)網(wǎng)絡(luò)進(jìn)行滲透的過程中，特定的連續(xù)攻擊行為可稱為一條由攻擊者節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)的攻擊路徑。攻擊圖是一種基于模型的網(wǎng)絡(luò)安全評(píng)估技術(shù)，它從攻擊者的角度出發(fā)，在綜合分析多種網(wǎng)絡(luò)配置和脆弱性信息的基礎(chǔ)上，找出所有可能的攻擊路徑。根據(jù)攻擊者當(dāng)前所處節(jié)點(diǎn)，結(jié)合其他節(jié)點(diǎn)上的漏洞情況，以及節(jié)點(diǎn)的價(jià)值對(duì)其攻擊行為進(jìn)行預(yù)測，并提前對(duì)后續(xù)路徑上的節(jié)點(diǎn)實(shí)施移動(dòng)目標(biāo)防御以應(yīng)對(duì)攻擊者的進(jìn)攻[9]。

圖 2 攻擊圖示意圖

小 結(jié)

文章展示了目前在應(yīng)用于移動(dòng)目標(biāo)防御的幾種策略選擇方法，經(jīng)過數(shù)年的發(fā)展，該領(lǐng)域已經(jīng)越來越成熟，但這些研究大部分都是在單種攻擊的場景下實(shí)現(xiàn)的，無法同時(shí)防御多種攻擊，此外現(xiàn)有的移動(dòng)目標(biāo)防御技術(shù)或是基于隨機(jī)，或是基于安全事件的被動(dòng)觸發(fā)機(jī)制，較為依賴系統(tǒng)中的異常檢測，仍有較大的研究空間。

參考文獻(xiàn)

[1] Clark A, Sun K, Bushnell L, et al. A game-theoretic approach to ip address randomization in decoy-based cyber defense [J]. Springer International Publishing, 2015.

[2] 田俊峰, 齊鎏嶺. SDN 中基于條件熵和 GHSOM 的 DDoS 攻擊檢測方法 [J]. 通信學(xué)報(bào),2018, 39(8): 10.

[3] 劉濤, 尹勝. SDN 環(huán)境中基于交叉熵的分階段 DDoS 攻擊檢測與識(shí)別 [J]. 計(jì)算機(jī)應(yīng)用與軟件, 2021, 38(2): 6.

[4]雷程, 馬多賀, 張紅旗,等. 基于網(wǎng)絡(luò)攻擊面自適應(yīng)轉(zhuǎn)換的移動(dòng)目標(biāo)防御技術(shù)[J]. 計(jì)算機(jī)學(xué)報(bào), 2018, 041(005):1109-1131.

[5]Kelly J, Delaus M, Hemberg E, et al. Adversarially adapting deceptive views and reconnais-sance scans on a software defined network [J]. IEEE.

[6] Tozer B , Mazzuchi T , Sarkani S . Optimizing Attack Surface and Configuration Diversity Using Multi-objective Reinforcement Learning[C]// IEEE International Conference on Machine Learning & Applications. IEEE, 2016.

[7] Zhou Y, Guang C. A cost-effective shuffling method against ddos attacks using moving target defense [C]//2019.

[8] Zhang H, Jinglei T, Liu X, et al. Moving target defense decision-making method: A dynamic markov differential game model [C]//CCS ’20: 2020 ACM SIGSAC Conference on Computer and Communications Security. 2020.

[9] Yoon S, Cho J H, Dong S K, et al. Attack graph-based moving target defense in software-

defined networks [J]. IEEE Transactions on Network and Service Management, 2020, PP(99):