趙 鑫

（信息系統(tǒng)工程重點(diǎn)實(shí)驗(yàn)室，江蘇 南京 210007）

0 引言

網(wǎng)絡(luò)空間（Cyberspace）作為繼陸、海、空、天之后的第五大人類活動空間，其戰(zhàn)略意義不僅在于已成為打破國家疆界、溝通全球信息、影響國際國內(nèi)事務(wù)的有效工具，更關(guān)鍵的是其作為新的作戰(zhàn)域，已經(jīng)成為世界各國重要的軍事戰(zhàn)略資源和目標(biāo)。因此，網(wǎng)絡(luò)空間安全逐漸成為國家安全的命脈[1-5]。

由于當(dāng)前信息系統(tǒng)的確定性、相似性、靜止性以及漏洞的持續(xù)性等特征，導(dǎo)致信息系統(tǒng)處于“漏洞找不盡、補(bǔ)丁打不完、攻擊封不住”的被動防御局面[6-9]。為此，美國率先提出了全新的動目標(biāo)防御設(shè)想：“建立、評估和部署多樣化、不停遷移、隨時間變化的機(jī)制和策略，增加攻擊者的復(fù)雜性和成本，限制漏洞的暴露，減少攻擊的機(jī)會，并提高系統(tǒng)韌性能力”[10]。以美國近幾年發(fā)布的“賽博韌性能力”研究計(jì)劃[11]、《網(wǎng)絡(luò)與信息技術(shù)研究開發(fā)計(jì)劃》[12]等為代表，美軍開始投入大量經(jīng)費(fèi)用于動目標(biāo)防御相關(guān)技術(shù)研究，已經(jīng)走在了世界前列。

所謂動目標(biāo)防御，是指在信息系統(tǒng)部署、運(yùn)行過程中，通過不斷變化系統(tǒng)的特征屬性，提高動態(tài)性、隨機(jī)性和異構(gòu)性，實(shí)現(xiàn)系統(tǒng)展現(xiàn)給攻擊者的是一個不斷變化的攻擊面，使得攻擊者難以有效構(gòu)建完整的攻擊鏈，從而主動規(guī)避或阻止攻擊。

國內(nèi)在動目標(biāo)防御研究方面，也開展了機(jī)理方法、關(guān)鍵技術(shù)方面的研究[13-16]，梳理了動目標(biāo)防御的技術(shù)體系，提出了基于端信息（地址、端口、協(xié)議）跳變、操作系統(tǒng)指紋跳變等實(shí)現(xiàn)多樣化、可跳變的系統(tǒng)。然而，目前的研究成果一般只涉及信息服務(wù)系統(tǒng)的單個或某些方面，未能從整體上考慮適合網(wǎng)絡(luò)化、服務(wù)化信息系統(tǒng)的動目標(biāo)防御解決方案，具體包括：（1）針對信息服務(wù)系統(tǒng)的異構(gòu)性，缺乏全軟件棧（涉及應(yīng)用程序、服務(wù)平臺、操作系統(tǒng)及虛擬化環(huán)境等）的多態(tài)性；（2）針對信息服務(wù)系統(tǒng)的隨機(jī)性和動態(tài)性，缺乏對服務(wù)質(zhì)量保證的綜合考慮，缺乏有效的信息服務(wù)系統(tǒng)狀態(tài)切換控制方法。

因此，針對網(wǎng)絡(luò)化、服務(wù)化的信息系統(tǒng)，如何利用動目標(biāo)防御的全新思路和方法，解決信息服務(wù)“如何變化”、“如何控制變化”的問題，具有重要的現(xiàn)實(shí)意義。針對上述問題的解決，采用動目標(biāo)防御思想，本文設(shè)計(jì)了一種跳變信息服務(wù)系統(tǒng)，并給出了多態(tài)軟件棧服務(wù)器池構(gòu)建、虛擬服務(wù)器狀態(tài)轉(zhuǎn)換、基于跳變控制器的調(diào)度控制的流程和方法，支撐構(gòu)建具有的跳變能力的信息服務(wù)系統(tǒng)，提高復(fù)雜網(wǎng)絡(luò)空間對抗條件下系統(tǒng)的動態(tài)主動防御能力。

1 系統(tǒng)架構(gòu)

從動目標(biāo)防御的概念內(nèi)涵出發(fā)，具備跳變能力的信息服務(wù)系統(tǒng)的基本能力需求包括以下三個方面：

（1）動態(tài)性，指系統(tǒng)隨時間的變化而變化，例如拓?fù)涞淖兓⑾到y(tǒng)配置的變化、服務(wù)環(huán)境的變化等，通過不斷變化的系統(tǒng)結(jié)構(gòu)，來增加攻擊者的攻擊難度。

（2）隨機(jī)性，指系統(tǒng)隨時間的變化過程是不可預(yù)測的，對攻擊者來說，如果變化采用固定規(guī)律或模式，就可以通過預(yù)測系統(tǒng)下一刻的狀態(tài)來實(shí)施動態(tài)攻擊，因此，只有隨機(jī)性的變化可以使攻擊過程無法持續(xù)，將很大程度上降低攻擊者的有效攻擊時間。

（3）異構(gòu)性，指系統(tǒng)組成的多樣化，例如不同的操作系統(tǒng)、不同的服務(wù)器軟件等，通過部署異構(gòu)的系統(tǒng)環(huán)境，結(jié)合系統(tǒng)動態(tài)、隨機(jī)變化的特征，將使得針對特定漏洞失效，即同樣的攻擊手段在系統(tǒng)改變后由于特定漏洞不再存在而失效。

以上三個特性相結(jié)合，所帶來的動態(tài)主動防御效果體現(xiàn)為以下兩個方面：一是對已知、未知漏洞和攻擊方法同樣有效，使得對于靜態(tài)防御措施很難完全抵抗的未知漏洞，將通過系統(tǒng)環(huán)境的動態(tài)變化而導(dǎo)致漏洞存在的前提條件不再滿足，使得攻擊者利用漏洞實(shí)施攻擊的時間受到極大限制；二是可以阻止持續(xù)性攻擊，降低攻擊危害，即使攻擊者針對系統(tǒng)某一時刻的狀態(tài)攻擊成功，在系統(tǒng)下一時刻動態(tài)變化后，已成功建立的攻擊鏈路、獲得的訪問權(quán)限、植入的后門木馬等都將失效。

以上述能力需求為牽引，利用動目標(biāo)防御的全新思路和方法，設(shè)計(jì)了一種面向動態(tài)主動防御的跳變信息服務(wù)系統(tǒng)，其架構(gòu)如圖1所示，以底層的網(wǎng)絡(luò)和計(jì)算設(shè)施為基礎(chǔ)，利用多態(tài)軟件棧服務(wù)器池、跳變控制器實(shí)現(xiàn)創(chuàng)建和部署多樣化信息服務(wù)，并通過動態(tài)、隨機(jī)地服務(wù)調(diào)度與控制，以持續(xù)動態(tài)改變信息服務(wù)依賴的操作系統(tǒng)、服務(wù)平臺、應(yīng)用程序等特征?；谠摷軜?gòu)，實(shí)現(xiàn)類似于跳頻通信、捷變雷達(dá)所具有的跳變能力的信息服務(wù)，達(dá)到限制漏洞暴露、減少攻擊機(jī)會，進(jìn)而保證信息服務(wù)持續(xù)正常發(fā)揮功效的目的。

圖1 跳變信息服務(wù)系統(tǒng)架構(gòu)圖Fig.1 Architecture of hopping information service system

（1）多態(tài)軟件棧服務(wù)器池模塊，負(fù)責(zé)基于多態(tài)化的軟件棧模板構(gòu)建出由不同異構(gòu)虛擬服務(wù)器組成的服務(wù)器池，同時提供虛擬服務(wù)器的審計(jì)、清洗功能，具體包括軟件棧模板庫、服務(wù)器池和審計(jì)清洗三個子模塊：

· 軟件棧模板庫子模塊，負(fù)責(zé)提供用于虛擬服務(wù)器構(gòu)建的多態(tài)化的軟件棧模板，且每個軟件棧模板包括應(yīng)用程序、服務(wù)平臺、操作系統(tǒng)、虛擬化四個層次；

· 服務(wù)器池子模塊，負(fù)責(zé)基于軟件棧模板庫中的模板，通過調(diào)用虛擬化環(huán)境提供的虛擬機(jī)操控命令（包括克隆、啟動等），以及應(yīng)用程序配置部署腳本完成不同異構(gòu)的虛擬服務(wù)器的構(gòu)建；

· 審計(jì)清洗子模塊，負(fù)責(zé)虛擬服務(wù)器運(yùn)行日志信息記錄和審計(jì)，以及接收和響應(yīng)審計(jì)清洗指令，并反饋日志審計(jì)和軟件棧初始化操作的結(jié)果。（2）跳變控制器模塊，負(fù)責(zé)依據(jù)負(fù)載均衡、隨機(jī)跳變控制等策略實(shí)現(xiàn)服務(wù)請求調(diào)度和虛擬服務(wù)器狀態(tài)轉(zhuǎn)換控制，具體包括服務(wù)請求調(diào)度和服務(wù)器動態(tài)管控兩個子模塊：

· 服務(wù)請求調(diào)度子模塊，負(fù)責(zé)根據(jù)服務(wù)器池中各虛擬服務(wù)器的狀態(tài)信息和負(fù)載情況，將用戶的服務(wù)請求轉(zhuǎn)發(fā)至服務(wù)器池中處于運(yùn)行態(tài)的在線虛擬服務(wù)器上，并將處理結(jié)果返回給用戶；

· 服務(wù)器動態(tài)管控子模塊，負(fù)責(zé)服務(wù)器池中各虛擬服務(wù)器在運(yùn)行態(tài)、等待態(tài)、清洗態(tài)、就緒態(tài)之間的狀態(tài)轉(zhuǎn)換控制，維護(hù)虛擬服務(wù)器狀態(tài)轉(zhuǎn)換信息。

· 針對上述各功能模塊，下面將從多態(tài)軟件棧服務(wù)器池構(gòu)建、信息服務(wù)跳變控制等方面給出跳變信息服務(wù)系統(tǒng)的構(gòu)建方法。

2 構(gòu)建方法

2.1 多態(tài)軟件棧服務(wù)器池構(gòu)建

以實(shí)現(xiàn)信息服務(wù)的異構(gòu)性為目的，通過梳理典型信息服務(wù)軟件棧中應(yīng)用程序?qū)印⒎?wù)平臺層和操作系統(tǒng)層等各個層次可用的軟件資源，采用虛擬化技術(shù)建立不同軟件資源組合運(yùn)用的軟件棧模板，在此基礎(chǔ)上，利用基于模板的信息服務(wù)多態(tài)軟件?？焖賹?shí)例化與自動化部署的方法，構(gòu)建出由不同異構(gòu)虛擬服務(wù)器組成的多態(tài)軟件棧服務(wù)器池。

軟件棧結(jié)構(gòu)如圖2所示，主要包括：應(yīng)用程序、服務(wù)平臺、操作系統(tǒng)、虛擬化四個層次。

圖2 軟件棧結(jié)構(gòu)及示例模板圖Fig.2 Software stacks and template examples

軟件棧模板的構(gòu)建，以各層之間的兼容性為前提，采用自上而下的方式實(shí)現(xiàn)：以應(yīng)用程序?qū)哟a實(shí)現(xiàn)語言（如JSP、ASP）為導(dǎo)向，選擇兼容的服務(wù)平臺軟件（如 Tomcat、IIS）；然后選擇支持服務(wù)平臺的操作系統(tǒng)（如Windows Server，Ubuntu）；最后確定虛擬化方案（如VMware、KVM）。如圖2所示，給出了所述軟件棧模板示例，這些軟件棧模板以虛擬機(jī)鏡像的方式在軟件棧模板庫中統(tǒng)一管理。

2.2 信息服務(wù)跳變控制

針對所構(gòu)建的多態(tài)軟件棧服務(wù)器池，如何在保障服務(wù)質(zhì)量前提下實(shí)現(xiàn)信息服務(wù)的動態(tài)性和隨機(jī)性、動態(tài)性，需要解決虛擬服務(wù)器的動態(tài)調(diào)度機(jī)制和策略問題。

首先，建立了包含運(yùn)行態(tài)、等待態(tài)、清洗態(tài)、就緒態(tài)的虛擬服務(wù)器狀態(tài)轉(zhuǎn)換模型。如圖3所示，包括四個狀態(tài)：

（1）運(yùn)行態(tài)：正在提供信息服務(wù)的狀態(tài)，即虛擬服務(wù)器在線服務(wù)的狀態(tài)；

（2）等待態(tài)：不再接受新請求，等待當(dāng)前服務(wù)結(jié)束的狀態(tài)；

（3）清洗態(tài)：正在審計(jì)清洗中，虛擬服務(wù)器處于離線的狀態(tài)；

（4）就緒態(tài)：完成軟件棧重新初始化，等待調(diào)度運(yùn)行的狀態(tài)。

圖4 信息服務(wù)跳變控制過程Fig.4 Scheduling of information service hopping

圖3 虛擬服務(wù)器狀態(tài)轉(zhuǎn)換圖Fig.3 Status switching diagram of virtual server

虛擬服務(wù)器狀態(tài)轉(zhuǎn)換控制如圖3所示，包括三個方面：

（1）當(dāng)跳變控制策略觸發(fā)時，被選中的在線虛擬服務(wù)器狀態(tài)由運(yùn)行態(tài)轉(zhuǎn)換至等待態(tài)，同時，選擇若干就緒態(tài)虛擬服務(wù)器（如按照先入先出規(guī)則）進(jìn)入運(yùn)行態(tài)（接受新的服務(wù)請求）；

（2）當(dāng)進(jìn)入等待態(tài)的虛擬服務(wù)器完成其之前所有服務(wù)請求處理后，向其對應(yīng)的審計(jì)清洗模塊發(fā)送審計(jì)清洗指令，并將狀態(tài)轉(zhuǎn)換至清洗態(tài)；

（3）當(dāng)虛擬服務(wù)器完成審計(jì)清洗操作后，將狀態(tài)由清洗態(tài)轉(zhuǎn)換至就緒態(tài)。

接著，基于上述狀態(tài)轉(zhuǎn)換模型，通過跳變控制器，針對虛擬服務(wù)器采用隨機(jī)的跳變控制策略驅(qū)動其狀態(tài)轉(zhuǎn)換，并將服務(wù)請求轉(zhuǎn)發(fā)至處于運(yùn)行態(tài)的虛擬服務(wù)器以實(shí)現(xiàn)服務(wù)請求的及時響應(yīng)。如圖4所示，包括如下步驟：

（1）服務(wù)請求調(diào)度子模塊接受用戶服務(wù)請求，根據(jù)當(dāng)前服務(wù)器池中各虛擬服務(wù)器狀態(tài)以及負(fù)載情況將請求轉(zhuǎn)發(fā)到正在運(yùn)行的某個虛擬服務(wù)器上（如圖4中的虛擬服務(wù)器2），由其負(fù)責(zé)處理該服務(wù)請求；

（2）根據(jù)隨機(jī)跳變控制策略，服務(wù)器動態(tài)管控子模塊選擇某個處于運(yùn)行態(tài)虛擬服務(wù)器（如圖4中的虛擬服務(wù)器 1）狀態(tài)轉(zhuǎn)換至等待態(tài)，并通知服務(wù)請求調(diào)度子模塊該虛擬服務(wù)器不再接收新的服務(wù)請求，可采用如下的隨機(jī)跳變控制策略：

· 根據(jù)所記錄的各個虛擬服務(wù)器距離上次清洗后的時間間隔tn（分鐘），通過下式計(jì)算N個在線虛擬服務(wù)器（處于運(yùn)行態(tài)）被選中的概率：Pn=f(tn)/[f(t1)+f(t2)+…+f(tN)]，其中，f(t)是與時間呈正向變化的函數(shù)，可取f(t)=t或t2，需要說明的是，由于每次只選擇一個虛擬服務(wù)器進(jìn)行清洗且兩次時間間隔大于 1分鐘，保證tn值各不相同；

· 根據(jù) Pn的大小，從小到大排序形成序列{S1,S2, …, SN}，將其劃分成如下0到 1之間的 N個區(qū)間：

· 利用隨機(jī)數(shù)生成算法生成[0, 1)之間的隨機(jī)數(shù)，落在上述N個區(qū)間中的第i個區(qū)間，則Si對應(yīng)的虛擬服務(wù)器即為隨機(jī)選中的狀態(tài)待轉(zhuǎn)換的虛擬服務(wù)器；

· 上述隨機(jī)選擇過程以設(shè)定的時間間隔（可改

變，如3分鐘、5分鐘）周期性執(zhí)行。

（3）服務(wù)器動態(tài)管控子模塊從就緒態(tài)的虛擬服務(wù)器中選擇若干較早完成清洗的虛擬服務(wù)器（如圖4中的虛擬服務(wù)器N），將其狀態(tài)轉(zhuǎn)換至運(yùn)行態(tài)，同時，通知服務(wù)請求調(diào)度子模塊可將新的用戶請求轉(zhuǎn)發(fā)給該虛擬服務(wù)器；

（4）針對（2）中轉(zhuǎn)換至等待態(tài)的虛擬服務(wù)器，在之前所有的服務(wù)請求處理完成后通知服務(wù)器動態(tài)管控子模塊，然后服務(wù)器動態(tài)管控子模塊向其對應(yīng)的審計(jì)清洗模塊發(fā)送指令，實(shí)施日志審計(jì)和軟件棧初始化操作，并將其狀態(tài)轉(zhuǎn)換至清洗態(tài)；

（5）虛擬服務(wù)器完成審計(jì)清洗后反饋至虛擬服務(wù)器動態(tài)管控子模塊，將其狀態(tài)由清洗態(tài)轉(zhuǎn)換至就緒態(tài)。

3 結(jié)語

本文提出了一種跳變信息服務(wù)系統(tǒng)架構(gòu)及其構(gòu)建方法，基于多態(tài)軟件棧服務(wù)器池和跳變控制器實(shí)現(xiàn)信息服務(wù)系統(tǒng)的異構(gòu)性、隨機(jī)性和動態(tài)性，體現(xiàn)出以下優(yōu)勢：

（1）針對當(dāng)前主要信息服務(wù)系統(tǒng)軟件棧的單一、靜態(tài)及暴露攻擊面的固定且唯一等問題，以應(yīng)用程序、服務(wù)平臺、操作系統(tǒng)及虛擬化環(huán)境排列組合的方式構(gòu)建多態(tài)化的軟件棧，使得系統(tǒng)展現(xiàn)給攻擊者的是一個不斷變化的攻擊面，增加了偵察、攻擊的復(fù)雜性。

（2）通過建立基于虛擬服務(wù)器狀態(tài)轉(zhuǎn)換的信息服務(wù)跳變控制方法，在保證服務(wù)質(zhì)量的前提下，以隨機(jī)跳變控制策略為驅(qū)動實(shí)現(xiàn)虛擬服務(wù)器在運(yùn)行、等待、清洗、就緒四個狀態(tài)之間的遷移轉(zhuǎn)換，實(shí)現(xiàn)系統(tǒng)軟件棧隨時間動態(tài)、隨機(jī)變化，使得攻擊者難以有效構(gòu)建完整的攻擊鏈，從而有效規(guī)避或阻止攻擊。

所述跳變信息服務(wù)系統(tǒng)，將有助于推動信息服務(wù)系統(tǒng)由目前主要以靜態(tài)、被動防御模式向動態(tài)、主動防御的演進(jìn)，為提升信息服務(wù)系統(tǒng)在復(fù)雜網(wǎng)絡(luò)空間對抗條件下的防御能力、實(shí)現(xiàn)具有韌性的信息系統(tǒng)提供技術(shù)支持。

[1] 徐伯權(quán), 王珩, 周光霞. 理解和研究Cyberspace[J]. 指揮信息系統(tǒng)與技術(shù), 2010, 1(1): 23-26.XU Boquan, WANG Heng, ZHOU Guangxia. Understanding and Studying Cyberspace[J]. Command Information System and Technology, 2010, 1(1): 23-26.

[2] 周光霞, 孫欣. 賽博空間對抗[J]. 指揮信息系統(tǒng)與技術(shù),2012, 3(2): 6-10.ZHOU Guangxia, SUN Xin. Study on Cyberspace Operations[J]. Command Information System and Technology, 2012,3(2): 6-10.

[3] 鄒鵬, 朱詩兵, 鄒紅霞. 論網(wǎng)絡(luò)安全戰(zhàn)略與國家網(wǎng)絡(luò)主權(quán)[J]. 裝備學(xué)院學(xué)報(bào), 2017, 28(1): 1-5.ZOU Peng, ZHU Shibing, ZOU Hongxia. Study on Cybersecurity Strategy and National Cyberspace Sovereignty[J].Journal of Equipment Academy, 2017, 28(1): 1-5.

[4] 方濱興, 鄒鵬, 朱詩兵. 網(wǎng)絡(luò)空間主權(quán)研究[J]. 中國工程科學(xué), 2016, 18(6): 1-7.Fang Binxing, Zou Peng, Zhu Shibing. Research on Cyberspace Sovereignty[J]. Engineering Science, 2016, 18(6): 1-7.

[5] 方濱興, 杜阿寧, 張熙,等. 國家網(wǎng)絡(luò)空間安全國際戰(zhàn)略研究[J]. 中國工程科學(xué), 2016, 18(6): 13-16.Fang Binxing, Du Aning, Zhang Xi, et al. Research on the International Strategy for National Cyberspace Security[J].Engineering Science, 2016, 18(6): 13-16.

[6] 周波，熬洪，高原. 軍隊(duì)無線網(wǎng)絡(luò)安全體系構(gòu)建思考[J]. 軟件, 2015, 36(8): 17-21.ZHOU Bo, AO Hong, GAO Yuan. Overview of the Construction of Military Wireless Network[J]. Computer engineering & Software, 2015, 36(8): 17-21.

[7] 鄔江興. 網(wǎng)絡(luò)空間擬態(tài)防御研究[J]. 信息安全學(xué)報(bào), 2016,1(4): 1-10.WU Jiangxing. Research on Cyber Mimic Defense[J]. Journal of Cyber Security, 2016, 1(4): 1-10.

[8] 楊正校, 劉靜. 工業(yè)控制系統(tǒng)信息安全防范研究[J]. 軟件,2014, 35(8): 55-58.YANG Zhengxiao LIU Jing. Industrial control system of information security defense[J]. Computer engineering &Software, 2014, 35(8): 55-58.

[9] 李剛. 計(jì)算機(jī)網(wǎng)絡(luò)安全隱患與應(yīng)急響應(yīng)技術(shù)[J]. 軟件,2012, 33(5): 131-133.LI Gang. Computer Network Security and Emergency Response Technology[J]. Computer engineering & Software,2012, 33(5): 131-133.

[10] NITRD CSIA IWG. Cybersecurity Game-change Research &Development Recommendations. [EB/OL]. http://www.nitrd.gov/pubs/CSIA_IWG_Cybersecurity_GameChange_RD_ Recommendations_20100513.pdf

[11] U.S. Air Force. Capabilities for Cyber Resiliency: USAFBAA-RIK-14-07[R]. 2014.

[12] NITRD. Report on Implementing the Federal Cybersecurity Research and Development Strategy[R]. 2014.

[13] 王東霞, 馮學(xué)偉, 趙剛. 動目標(biāo)防御機(jī)制[J]. 信息網(wǎng)絡(luò)安全, 2014(9): 98-100.WANG Dongxia, FENG Xuewei, ZHAO Gang. Moving Target Defense Mechanisms[J]. Netinfo Security, 2014(9):98-100.

[14] 劉江, 張紅旗, 代向東,等. 基于端信息自適應(yīng)跳變的主動網(wǎng)絡(luò)防御模型[J]. 電子與信息學(xué)報(bào), 2015, 37(11): 2642-2649.LIU Jiang, ZHANG Hongqi, DAI Xiangdong, et al. A Proactive Network Defense Model Based on Selfadaptive End Hopping[J]. Journal of Electronics & Information Technology, 2015, 37(11): 2642-2649.

[15] 趙衛(wèi)偉. 一種基于操作系統(tǒng)指紋跳變的移動目標(biāo)防護(hù)方法:中國, 2014108238060[P]. 2015-04-15.

[16] 張藝衡. 基于易變網(wǎng)絡(luò)的動態(tài)化目標(biāo)防御系統(tǒng)分析研究[J].現(xiàn)代計(jì)算機(jī), 2015(4): 15-19.ZHANG Yiheng. Analysis and Research on Moving Target Defense System Based on MUTE[J]. Modern Computer,2015(4): 15-19.