劉 杰，劉建國(guó)，朱春祥

(1.武警某部信息通信局， 北京 100036； 2.國(guó)防信息學(xué)院， 武漢 430010)

?

一種基于主動(dòng)防御技術(shù)的跳擴(kuò)混合Web應(yīng)用系統(tǒng)設(shè)計(jì)

劉 杰1，劉建國(guó)2，朱春祥2

(1.武警某部信息通信局， 北京 100036； 2.國(guó)防信息學(xué)院， 武漢 430010)

由于網(wǎng)絡(luò)信息系統(tǒng)的靜態(tài)性、相似性和確定性，使傳統(tǒng)的被動(dòng)防御已無法應(yīng)對(duì)當(dāng)前自動(dòng)化、復(fù)雜化、大規(guī)模化的網(wǎng)絡(luò)攻擊。運(yùn)用主動(dòng)防御技術(shù)構(gòu)建網(wǎng)絡(luò)安全防御體系，是提高網(wǎng)絡(luò)抗攻擊性能的有效解決辦法?；谥鲃?dòng)防御技術(shù)，設(shè)計(jì)了一種由Web服務(wù)器、可信客戶端、同步模塊組成的跳擴(kuò)混合Web應(yīng)用系統(tǒng)。明確了系統(tǒng)在多種工作模式下獲取Web服務(wù)的工作過程和需要進(jìn)一步研究的關(guān)鍵技術(shù)。

網(wǎng)絡(luò)安全；主動(dòng)防御；跳變技術(shù)；Web服務(wù)

主動(dòng)防御技術(shù)是近年發(fā)展起來的一種網(wǎng)絡(luò)安全防護(hù)新技術(shù)，該技術(shù)不同于以往的網(wǎng)絡(luò)安全研究思路，并不追求完善無暇的系統(tǒng)對(duì)抗攻擊，而是通過不斷變化(或跳變)被保護(hù)對(duì)象來增加攻擊的難度和代價(jià)，以達(dá)到防護(hù)目標(biāo)的目的。目前，國(guó)內(nèi)外網(wǎng)絡(luò)安全主動(dòng)防御的理論和技術(shù)研究取得了很大進(jìn)展。美國(guó)針對(duì)網(wǎng)絡(luò)攻防的不對(duì)稱性，提出了移動(dòng)目標(biāo)防御思路：致力構(gòu)建一種動(dòng)態(tài)的、異構(gòu)的、不確定的網(wǎng)絡(luò)，通過增加系統(tǒng)的隨機(jī)性或減少系統(tǒng)的可預(yù)見性達(dá)到防護(hù)目的，通過不斷的變化(或跳變)來增加攻擊的難度和代價(jià)[1-3]。美陸軍還授予雷聲公司“限制敵方偵察的變形網(wǎng)絡(luò)設(shè)施(MORPHINATOR)”項(xiàng)目，研制具有“變形”能力的計(jì)算機(jī)網(wǎng)絡(luò)原型機(jī)[4]。在國(guó)內(nèi)，電子科技大學(xué)提出了基于服務(wù)多態(tài)的IP網(wǎng)絡(luò)生存模型[5]，國(guó)防科技大學(xué)提出了信息系統(tǒng)防護(hù)體系多樣化動(dòng)態(tài)漂移技術(shù)框架[6]，解放軍信息工程大學(xué)提出了基于多穴跳變的IPv6主動(dòng)防護(hù)模型[7]，信息工程大學(xué)運(yùn)用基于擬態(tài)計(jì)算的主動(dòng)認(rèn)知可重構(gòu)體系結(jié)構(gòu)網(wǎng)絡(luò)安全技術(shù)研制出了擬態(tài)計(jì)算機(jī)，以降低病毒、木馬等惡意程序和后門漏洞帶來的危害[8-9]?？傮w上講，這些研究成果還處在理論研究和探索階段，還沒有成熟的產(chǎn)品和完整的技術(shù)解決方案。本系統(tǒng)基本設(shè)計(jì)思路：構(gòu)建可信任的內(nèi)部網(wǎng)絡(luò)環(huán)境，采取端口、地址、路由、服務(wù)等多要素的綜合跳變技術(shù)，通過網(wǎng)絡(luò)架構(gòu)、軟件、數(shù)據(jù)的動(dòng)態(tài)變遷，從多層面斬?cái)喙翩湕l，實(shí)現(xiàn)安全效能倍增。該系統(tǒng)與傳統(tǒng)信息安全系統(tǒng)互補(bǔ)增強(qiáng)，共同形成面向風(fēng)險(xiǎn)管控的主動(dòng)安全防御體系。

1 系統(tǒng)架構(gòu)

系統(tǒng)運(yùn)用端信息跳變技術(shù)，使通信雙方地址和端口等端信息在通信過程中不斷進(jìn)行跳變和擴(kuò)展，并不斷在新的地址和端口之間建立連接，保證通信過程中的端信息動(dòng)態(tài)變化，這樣攻擊者就無法得到通信主機(jī)的真實(shí)信息，攻擊也就無從下手，可以從根源上阻斷攻擊的發(fā)生，從而實(shí)現(xiàn)對(duì)主機(jī)系統(tǒng)的主動(dòng)安全防御。

1.1 系統(tǒng)邏輯結(jié)構(gòu)

系統(tǒng)主要由Web服務(wù)器、可信客戶端、同步模塊三大功能模塊組成，如圖1所示。其中：Web服務(wù)器主要由跳變模塊和服務(wù)提供模塊組成，除完成端信息隨機(jī)跳變和用戶身份認(rèn)證過程中的端信息擴(kuò)展應(yīng)用外，主要為用戶提供正常、端信息跳變、跳擴(kuò)混合3種服務(wù)模式。將端信息隨機(jī)跳變與端信息擴(kuò)展兩部分結(jié)合，是系統(tǒng)實(shí)現(xiàn)主動(dòng)防御功能的核心技術(shù)。可信客戶端是已取得Web服務(wù)認(rèn)證和跳擴(kuò)同步的客戶端，由服務(wù)請(qǐng)求模塊和服務(wù)提供模塊組成，對(duì)于Web服務(wù)器上的內(nèi)容具有訪問獲取的權(quán)限。同步模塊是位于網(wǎng)絡(luò)中一種獨(dú)立的服務(wù)模塊，由精準(zhǔn)時(shí)間跳變同步、UDP發(fā)言人時(shí)間戳同步、跳擴(kuò)混合同步3部分組成，采用兩層設(shè)計(jì)：第1層是作為可信客戶端獲取Web服務(wù)器工作模式；第2層是各個(gè)模塊對(duì)UDP發(fā)言人服務(wù)以同步方式引入。為使系統(tǒng)提供穩(wěn)定可靠服務(wù)，必須攻克的關(guān)鍵技術(shù)有：① 動(dòng)態(tài)服務(wù)跳變適配技術(shù)，研究服務(wù)數(shù)據(jù)同步共享機(jī)制，實(shí)現(xiàn)服務(wù)在異構(gòu)平臺(tái)上高速隨機(jī)切換，并通過服務(wù)跳變代理為用戶提供統(tǒng)一服務(wù)，實(shí)現(xiàn)業(yè)務(wù)的“透明”訪問；② 跳變圖案生成技術(shù)，研究動(dòng)態(tài)跳變圖案生成技術(shù)(如改良的混沌算法生成跳變圖案)，在保證系統(tǒng)服務(wù)跳變、網(wǎng)絡(luò)跳變和路由跳變高速協(xié)同工作時(shí)提升跳變圖案的健壯性和抗破解性；③ 網(wǎng)絡(luò)動(dòng)態(tài)切換技術(shù)，研究動(dòng)態(tài)路由和動(dòng)態(tài)地址雙重切換的網(wǎng)絡(luò)動(dòng)態(tài)切換技術(shù)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的靈活控制[10]；④ 全局時(shí)鐘同步技術(shù)，研究基于北斗的時(shí)鐘同步技術(shù)，解決全網(wǎng)分布式時(shí)鐘同步問題(基于動(dòng)態(tài)防護(hù)網(wǎng)絡(luò)本身的時(shí)鐘同步機(jī)制無法實(shí)現(xiàn)全局全網(wǎng)且滿足高速跳變的時(shí)鐘同步[11-12])。

1.2 系統(tǒng)網(wǎng)絡(luò)架構(gòu)

跳擴(kuò)混合Web應(yīng)用系統(tǒng)各功能模塊部署在廣域網(wǎng)環(huán)境中，通過綜合運(yùn)用端信息跳變和端信息擴(kuò)展，并通過UDP發(fā)言人完成高速率跳變的端信息同步，如圖2所示。系統(tǒng)由分布在不同物理位置的2個(gè)通信子系統(tǒng)，通過內(nèi)部防火墻、外部防火墻連接外部網(wǎng)絡(luò)而成一個(gè)大的信息通信網(wǎng)絡(luò)。外部防火墻和內(nèi)部防火墻為通信子系統(tǒng)提供兩層安全防護(hù)。跳擴(kuò)混合的Web應(yīng)用防護(hù)模塊部署在外部防火墻的DMZ區(qū)域，不受外墻保護(hù)，面臨截獲攻擊、拒絕服務(wù)攻擊等安全威脅高。Web服務(wù)器通過自身的跳擴(kuò)混合技術(shù)和可信客戶端插件方式，實(shí)現(xiàn)Web應(yīng)用的安全防護(hù)?？尚趴蛻舳税l(fā)起服務(wù)請(qǐng)求時(shí)首先向UDP發(fā)言人發(fā)起詢問當(dāng)前Web服務(wù)器的跳變狀態(tài)，UDP發(fā)言人通過輕量級(jí)的UDP服務(wù)告知可信客戶端?？尚趴蛻舳送ㄟ^對(duì)狀態(tài)的解析確定采用何種跳變策略與服務(wù)器進(jìn)行同步，并發(fā)起服務(wù)請(qǐng)求，服務(wù)器端接受并驗(yàn)證可信客戶端的服務(wù)請(qǐng)求，為其提供所請(qǐng)求的服務(wù)。

圖1 跳擴(kuò)混合Web應(yīng)用系統(tǒng)功能模塊

圖2 跳擴(kuò)混合Web應(yīng)用系統(tǒng)網(wǎng)絡(luò)架構(gòu)

2 同步方式

系統(tǒng)服務(wù)器提供正常、端信息跳變、跳擴(kuò)混合3種工作模式。對(duì)無安全需求的服務(wù)，按傳統(tǒng)正常模式提供服務(wù)；對(duì)有安全需求的服務(wù)，服務(wù)器按端信息跳變或跳擴(kuò)混合工作模式提供服務(wù)。各種服務(wù)工作模式由服務(wù)提供者根據(jù)服務(wù)安全等級(jí)選擇。在端信息跳變和跳擴(kuò)混合工作模式下，系統(tǒng)是否能正常工作，取決于通信雙方是否能保持同步。針對(duì)不同的安全需求，系統(tǒng)采取不同的同步策略，包括精準(zhǔn)時(shí)間同步、UDP發(fā)言人時(shí)間戳同步、跳擴(kuò)混合同步。系統(tǒng)工作模式和同步方式選擇均由管理者在Web服務(wù)器管理界面上進(jìn)行設(shè)置。

2.1 精準(zhǔn)時(shí)鐘同步

利用精準(zhǔn)的時(shí)鐘同步使Web服務(wù)器及可信客戶端兩部分同步跳變，使客戶端能夠精準(zhǔn)地知曉服務(wù)器端當(dāng)前提供服務(wù)的端信息的信息。其特點(diǎn)是簡(jiǎn)單實(shí)用、復(fù)雜度低，但易遭受攻擊而發(fā)生時(shí)鐘漂移。當(dāng)發(fā)生時(shí)鐘漂移時(shí)會(huì)導(dǎo)致同步失效，Web服務(wù)器與可信客戶端之間的通信不能正確地繼續(xù)進(jìn)行。此方法不支持高速跳變，當(dāng)跳變速度過快時(shí)，發(fā)生時(shí)鐘漂移的概率會(huì)大大增加，因此僅適于受攻擊程度較低的網(wǎng)絡(luò)。利用精準(zhǔn)時(shí)鐘同步的方式能夠滿足低速率、低代價(jià)的端信息跳變服務(wù)功能，達(dá)到服務(wù)器與客戶端高效連接的目的。

2.2 UDP發(fā)言人時(shí)間戳同步

UDP發(fā)言人時(shí)間戳同步是一種適于遠(yuǎn)程應(yīng)用的UDP 代言人服務(wù)同步方法。UDP發(fā)言人服務(wù)將生成端信息的時(shí)間戳通過輕量級(jí)UDP服務(wù)告知來訪者。UDP發(fā)言人服務(wù)同步方式無需的嚴(yán)格時(shí)鐘同步，同步過程中以公眾服務(wù)的方式傳遞時(shí)間戳而不是端信息。攻擊者由于沒有跳變算法，即便獲得了時(shí)間戳也無法計(jì)算出服務(wù)端信息，無法完成有效攻擊。與TCP數(shù)據(jù)服務(wù)相比，UDP 發(fā)言人服務(wù)提供了極輕量的時(shí)間戳應(yīng)答服務(wù)，代價(jià)極低且抗攻擊性好，具有較好的實(shí)用意義。UDP發(fā)言人時(shí)間戳同步使用NTP服務(wù)器提供的高精準(zhǔn)度時(shí)間進(jìn)行校正(LAN與標(biāo)準(zhǔn)時(shí)間差小于1 ms，WAN與標(biāo)準(zhǔn)時(shí)間差幾十毫秒)，NTP高精準(zhǔn)度時(shí)間從“北斗”上獲取。NTP適用于在一個(gè)無序的網(wǎng)絡(luò)環(huán)境下提供精確和健壯的時(shí)間服務(wù)，使Web服務(wù)器及可信客戶端兩部分同步跳變，使客戶端能夠精準(zhǔn)地知曉服務(wù)器端當(dāng)前提供服務(wù)的端信息，從而能夠向Web服務(wù)器發(fā)起安全連接。對(duì)于客戶端，當(dāng)其要訪問Web服務(wù)器或有數(shù)據(jù)要發(fā)送時(shí)，首先獲取本地的當(dāng)前時(shí)間戳，通過私密算法，確定當(dāng)前服務(wù)器提供服務(wù)的地址和端口號(hào)，接著向服務(wù)器發(fā)起連接請(qǐng)求，完成一次數(shù)據(jù)包的發(fā)送，然后按照該流程循環(huán)發(fā)送數(shù)據(jù)，直到通信過程結(jié)束。對(duì)于服務(wù)器，當(dāng)其開啟服務(wù)時(shí)，首先獲取本地的當(dāng)前時(shí)間戳，然后確定當(dāng)前有效的地址和端口號(hào)，接著在所有有效的地址和端口號(hào)上啟動(dòng)網(wǎng)絡(luò)監(jiān)聽，循環(huán)判斷是否有數(shù)據(jù)連接請(qǐng)求，如果有就接受其連接，完成數(shù)據(jù)的接收。

2.3 跳擴(kuò)混合同步

跳擴(kuò)混合同步是利用端信息跳變與端信息擴(kuò)展相結(jié)合，實(shí)現(xiàn)在端信息高速動(dòng)態(tài)變化的過程中進(jìn)行準(zhǔn)確身份認(rèn)證與通信同步的同步方式。端信息跳變和擴(kuò)展均采用偽隨機(jī)跳擴(kuò)方式，能夠有效地迷惑攻擊者，使攻擊者難以實(shí)施對(duì)系統(tǒng)的攻擊。端信息跳擴(kuò)混合技術(shù)是實(shí)現(xiàn)在端信息高速跳變的情況下進(jìn)行可信客戶端認(rèn)證的一種創(chuàng)新方法，它能夠保證系統(tǒng)的安全性及機(jī)密性，對(duì)于DoS攻擊，截獲攻擊等具有很強(qiáng)的防御能力。跳擴(kuò)混合同步方式的最大優(yōu)點(diǎn)是能夠支持高速跳變服務(wù)，適于攻擊程度高環(huán)境下的可靠網(wǎng)絡(luò)通信，滿足高速跳變時(shí)通信雙方建立連接的功能需求。其缺點(diǎn)是過程比較復(fù)雜，開銷大，因而數(shù)據(jù)傳輸速率受到影響，但不存在時(shí)鐘漂移問題。

3 跳擴(kuò)插件

跳擴(kuò)插件是針對(duì)Web服務(wù)系統(tǒng)的專用插件，包括IE瀏覽器插件和Firefox插件。跳擴(kuò)插件對(duì)端信息跳擴(kuò)Web服務(wù)系統(tǒng)進(jìn)行身份認(rèn)證，擁有跳擴(kuò)插件的客戶端即視為可信客戶端，可通過認(rèn)證訪問并獲取Web服務(wù)的內(nèi)容，完成客戶端對(duì)服務(wù)器的訪問?？尚趴蛻舳艘圆寮男问桨惭b并運(yùn)行在瀏覽器中，可信客戶通過向UDP發(fā)言人請(qǐng)求當(dāng)前Web服務(wù)器的工作模式來確定服務(wù)請(qǐng)求同步方式。

3.1 IE瀏覽器插件

IE瀏覽器插件安裝在可信客戶端的IE瀏覽器上，實(shí)現(xiàn)用戶對(duì)Web服務(wù)的訪問。該插件設(shè)計(jì)三個(gè)基本功能模塊：一是傳統(tǒng)正常訪問服務(wù)器模塊；二是端信息跳變下的訪問模塊；三是跳擴(kuò)方式下的訪問模塊。為了更方便快捷地知曉當(dāng)前服務(wù)器的狀態(tài)，在本系統(tǒng)設(shè)計(jì)中，客戶端和服務(wù)器之間設(shè)置了一個(gè)UDP發(fā)言人服務(wù)器，當(dāng)客戶端想要向服務(wù)器請(qǐng)求服務(wù)時(shí)，需事先知曉服務(wù)器處于正常、端信息跳變、跳擴(kuò)混合三種狀態(tài)的哪一種狀態(tài)，以此來決定插件的工作方式。其工作流程是：服務(wù)器向UDP發(fā)言人服務(wù)器報(bào)告自己的當(dāng)前狀態(tài)，當(dāng)客戶端想要請(qǐng)求訪問服務(wù)器時(shí)，首先向UDP發(fā)言人服務(wù)器詢問請(qǐng)求，UDP發(fā)言人服務(wù)器將服務(wù)器當(dāng)前服務(wù)狀態(tài)告知客戶端，客戶端據(jù)此選擇自身工作方式。

3.2 Firefox插件

Firefox插件主要完成火狐瀏覽器在任意時(shí)刻能獲取Web服務(wù)器所用的IP和所開放的端口，保障火狐瀏覽器正確訪問該Web服務(wù)器。該插件主要分為三個(gè)模塊：第一個(gè)模塊實(shí)現(xiàn)在Web服務(wù)器不進(jìn)行跳變時(shí)的正常訪問；第二個(gè)模塊是在Web服務(wù)器端口和IP地址通過時(shí)間戳不斷跳變時(shí)，保證用戶能訪問到正確的端口和IP，從而完成訪問連接；第三個(gè)模塊是針對(duì)跳擴(kuò)的情形，Web服務(wù)器根據(jù)客戶端發(fā)送的端信息來選擇開放的IP和端口，此時(shí)需擴(kuò)展要訪問的IP和端口來完成正常訪問。在對(duì)服務(wù)器訪問之前，首先對(duì)服務(wù)器狀態(tài)進(jìn)行判斷，來確定客戶端的工作模式。其工作流程是：瀏覽器向UDP發(fā)言人發(fā)出請(qǐng)求，UDP發(fā)言人返回服務(wù)器當(dāng)前同步狀態(tài)，瀏覽器對(duì)同步狀態(tài)進(jìn)行解析。

4 Web服務(wù)

系統(tǒng)提供基礎(chǔ)的Web服務(wù)，能夠在系統(tǒng)端信息跳變與不跳變的情況下正常提供服務(wù)。Web服務(wù)器是一種被動(dòng)的程序，只有當(dāng)客戶端發(fā)出的請(qǐng)求時(shí)，服務(wù)器才會(huì)響應(yīng)。因此無論何種同步策略，都能以無狀態(tài)、無連接的方式通過獲得同步信息請(qǐng)求服務(wù)得到服務(wù)器的響應(yīng)。Web服務(wù)功能分為時(shí)間模塊、監(jiān)聽套接字模塊、請(qǐng)求應(yīng)答模塊、關(guān)閉連接模塊4個(gè)模塊。

4.1 時(shí)間模塊

用于獲取當(dāng)前服務(wù)器時(shí)間。Web服務(wù)器響應(yīng)請(qǐng)求時(shí)，Web服務(wù)器應(yīng)答消息報(bào)頭中包含服務(wù)器消息發(fā)出的時(shí)間。

4.2 偵聽套接字模塊

用于傾聽和接收客戶端進(jìn)程的連接請(qǐng)求。使用socket函數(shù)創(chuàng)建套接字描述符，bind函數(shù)將套接口和機(jī)器上的一定的端口號(hào)綁定在一起，在跳變過程中，bind函數(shù)改變跳變的端信息，然后使用listen函數(shù)將一個(gè)套接字轉(zhuǎn)換為被動(dòng)偵聽套接字(listening socket)，并在套接字指定的端口上開始偵聽。

4.3 請(qǐng)求應(yīng)答模塊

請(qǐng)求模塊：客戶端主動(dòng)發(fā)起請(qǐng)求時(shí)，通過TCP三次握手和服務(wù)端建立連接。偵聽套接字先接收客戶端進(jìn)程的連接請(qǐng)求，完成連接建立后再進(jìn)行HTTP請(qǐng)求。

應(yīng)答模塊：由狀態(tài)行、消息報(bào)頭、響應(yīng)正文組成HTTP響應(yīng)，給出Web服務(wù)器返回資源的內(nèi)容，即一個(gè)靜態(tài)網(wǎng)頁的內(nèi)容。

4.4 關(guān)閉連接模塊

在每次Web服務(wù)器響應(yīng)完成后，關(guān)閉客戶端和服務(wù)端之間的連接。不同于傳統(tǒng)的TCP連接過程，由于Web服務(wù)器在跳變過程中，采用了無狀態(tài)、無連接的方式對(duì)請(qǐng)求服務(wù)的可信客戶端提供服務(wù)，因此服務(wù)完成后，需關(guān)閉二者的連接。

5 結(jié)束語

目前一些被動(dòng)防御手段僅僅在攻擊發(fā)生時(shí)或發(fā)生后對(duì)數(shù)據(jù)和系統(tǒng)進(jìn)行安全防御，并不能從根源上阻止攻擊的發(fā)生。本設(shè)計(jì)系統(tǒng)則不針對(duì)特定攻擊技術(shù)、模式和特征采取針對(duì)性防御，而是破壞攻擊者的攻擊依賴環(huán)境，阻斷攻擊鏈條，通過服務(wù)跳變、地址跳變和路由跳變?nèi)貏?dòng)態(tài)主動(dòng)防護(hù)措施，在“基于認(rèn)知的主動(dòng)決策”的控制下有序協(xié)調(diào)工作，形成動(dòng)態(tài)的、非確定的網(wǎng)絡(luò)空間，極大地增加了攻擊難度，提高了信息通信系統(tǒng)的可信服務(wù)性能。

[1] JAJODIA S,GHOSH A K,SWARUP V,et al.Moving target defense:creating asymmetric uncertainty for cyber threats[M].[S.l.]:Springer Science & Business Media,2011.

[2] CUI A,STOLFO S J.Symbiotes and defensive Mutualism:Moving Target Defense[M]//Moving Target Defense.New York:Springer,2011.

[3] ALBANESE M,DE BENEDICTIS A,JAJODIA S,et al.A moving target defense mechanism for manets based on identity virtualization[C]//Communications and Network Security (CNS),2013 IEEE Conference on.[S.l.]:IEEE,2013.

[4] 盧青.美國(guó)國(guó)防部加強(qiáng)網(wǎng)絡(luò)安全的新舉措[J].外軍軍事學(xué)術(shù)，2014(7)：39-41.

[5] 吳雄飚.基于服務(wù)多態(tài)的網(wǎng)絡(luò)生存模型及漂移算法[D].成都：電子科技大學(xué)，2009.

[6] 黃遵國(guó)，盧錫城，胡華世.生存能力技術(shù)及其案例研究[J].通信學(xué)報(bào),2004，25(7)：137-145.

[7] 劉慧生，王振興，郭毅.一種基于多穴跳變的IPv6主動(dòng)防御模型[J].電子與信息學(xué)報(bào),2012，34(7):1715-1720.

[8] 鄔江興.網(wǎng)絡(luò)空間擬態(tài)安全防御[J].保密科學(xué)技術(shù),2014，5(10)：4-9.

[9] 鄔江興.擬態(tài)計(jì)算與擬態(tài)安全防御的原意和愿景[J].電信科學(xué),2014，59(7)：1-7.

[10]高誠(chéng)，陳世康，王宏.基于SDN架構(gòu)的地址跳變技術(shù)研究[J].通信技術(shù),2015,48(4)：430-434.

[11]FU Z,PAPATRIANTAFILOU M,TSIGAS P.Mitigating distributed denial of service attacks in multiparty applications in the presence of clock drifts[J].IEEE Transactions on Dependable and Secure Computing,2012,9(3):401-413.

[12]ATIGHETCHI M,PAL P,WEBBER F,et al..Adaptive use of network-centric mechanisms in cyber-defense[C]//roceedings of the 6th IEEE International Symposium on Object-Oriented Real-Time Distributed Computing.Hokkaido:IEEE,2003:183-192.

(責(zé)任編輯 劉 舸)

Design of Web Application System with Hopping and Spreading Mixed Characteristics Based on Active Defense Technique

LIU Jie1, LIU Jian-guo2， ZHU Chun-xiang2

(1. Information Communications Agency of a Department in the Armed Police Force, Beijing 100036，China; 2.PLA Academy of National Defense Information, Wuhan 430010, China)

Traditional passive network defense technique could not cope with nowadays automatic, complex and large scale network attacks, due to the static, similar and certain properties. It is an effective method to enhance network anti-attack ability by applying active network defense techniques (ANDT) in constructing network security defense system. The paper designed a web application system with hopping and spreading (HAS) mixed characteristics based on ANDT, which consists of web servers, trust-able clients and synchronization modules. Furthermore, we described the process for accessing web service when the system operated under various modes, and pointed out the key techniques that needed further research.

network security; active defense; hopping techniques; web service

2017-03-15

劉杰(1971—)，男，博士研究生，高級(jí)工程師，主要從事信息安全研究；通訊作者 朱春祥(1965—)，男，教授，主要從事通信與信息系統(tǒng)研究，E-mail:wuhanzcx@126.com。

劉杰，劉建國(guó)，朱春祥.一種基于主動(dòng)防御技術(shù)的跳擴(kuò)混合Web應(yīng)用系統(tǒng)設(shè)計(jì)[J].重慶理工大學(xué)學(xué)報(bào)(自然科學(xué))，2017(6):134-139.

format：LIU Jie, LIU Jian-guo，ZHU Chun-xiang.Design of Web Application System with Hopping and Spreading Mixed Characteristics Based on Active Defense Technique[J].Journal of Chongqing University of Technology(Natural Science)，2017(6):134-139.

10.3969/j.issn.1674-8425(z).2017.06.020

TP393

A

1674-8425(2017)06-0134-06