王志屹，王 剛，陳彤睿，馬潤年

（空軍工程大學(xué)信息與導(dǎo)航學(xué)院，西安 710003）

0 引言

網(wǎng)絡(luò)攻擊的生命周期跨越很多步驟，包括偵察、網(wǎng)絡(luò)指紋識別、網(wǎng)絡(luò)映像、利用漏洞、協(xié)同、報告和傳播，各階段的攻擊通常針對目標(biāo)網(wǎng)絡(luò)的靜態(tài)屬性和防御模式［1］。針對此特點，近年來網(wǎng)絡(luò)安全領(lǐng)域?qū)＜液推髽I(yè)著手發(fā)展動態(tài)目標(biāo)防御（MTD，Moving Target Defense）［2］和擬態(tài)防御［3］等新型防御技術(shù)和方法，通過主動變化，改變攻防博弈中被動防御的困窘。端信息跳變就是一種典型的網(wǎng)絡(luò)層MTD 技術(shù)，通信雙方或一方按照約定規(guī)律策略同步改變網(wǎng)絡(luò)參數(shù)，如端口、IP 地址、協(xié)議等，通過參數(shù)動態(tài)調(diào)整增大攻擊方的攻擊難度和成本，提升網(wǎng)絡(luò)安全性能［4］。端信息跳變有地址跳變防護(hù)技術(shù)［5］、協(xié)議跳變防護(hù)技術(shù)［6］、端口跳變防護(hù)技術(shù)等［7］，同步是這些跳變技術(shù)的基礎(chǔ)和關(guān)鍵，在通信和防御過程中，通信雙方只有按照統(tǒng)一同步策略實現(xiàn)步調(diào)一致的跳變，才能實現(xiàn)真正意義上的動態(tài)目標(biāo)防御。

端信息跳變同步方式主要包括嚴(yán)格時間同步、改進(jìn)型嚴(yán)格時間同步［8］、基于時隙重迭的時鐘同步［9］、基于時間分組的ACK 應(yīng)答同步［10］、改進(jìn)的分布式時間戳同步［11］和基于網(wǎng)絡(luò)時間協(xié)議（NTP）協(xié)議的同步［12］等，每種同步都有其優(yōu)勢和劣勢。如嚴(yán)格時間同步雖然實現(xiàn)簡單，但是在網(wǎng)絡(luò)擁塞時會出現(xiàn)同步失?。?3］；時間戳同步［4］雖然可以解決網(wǎng)絡(luò)擁塞和截獲攻擊，但是當(dāng)請求超負(fù)荷時也會存在由于系統(tǒng)資源耗盡而導(dǎo)致的同步失敗問題。因此，端信息跳變同步應(yīng)引入新的理論和方法，綜合考慮攻防收益、成本及其時變因素，設(shè)計針對性和實用型同步策略。文獻(xiàn)［14］提出了一種基于靜態(tài)貝葉斯博弈理論的主動防御策略選擇；文獻(xiàn)［15］在分層跳變的架構(gòu)上設(shè)計了一種網(wǎng)絡(luò)自適應(yīng)跳變算法；文獻(xiàn)［16］采用隨機(jī)地址生成算法和通信認(rèn)證算法，根據(jù)通信雙方的架構(gòu)和業(yè)務(wù)可靠性要求來提供不同的跳變模式；文獻(xiàn)［17］設(shè)計了面向隔離區(qū)異構(gòu)平臺的3 類動態(tài)防御主動遷移策略。

在端信息跳變同步中，還需要考慮以下問題：1）現(xiàn)有同步策略大多針對特定攻防環(huán)境和應(yīng)用場景，防御方擁有足夠的先驗信息，而在實際應(yīng)用中這一條件很難被滿足，防御方需要通過攻擊方行動特點和目標(biāo)動態(tài)分析推理，靈活采用合適的同步策略。2）攻防博弈模式和策略的選擇源于雙方的收益，需要綜合考慮多種因素，建立起可量化分析的目標(biāo)函數(shù)，如攻防雙方占有的系統(tǒng)資源，時間因素等。3）同步策略需要考慮攻擊者的傾向性，如傾向破壞、傾向竊密，還是兩者兼而有之，根據(jù)傾向性分析設(shè)計同步策略。

1 端信息跳變同步信號博弈模型

針對網(wǎng)絡(luò)攻防中目標(biāo)的對立性和策略依存關(guān)系，引入信號博弈理論和方法，構(gòu)建端信息跳變同步的信號博弈模型。

1.1 模型定義

參考動態(tài)目標(biāo)防御中單階段的信號博弈模型［18］，給出如下五元組信號博弈模型定義：

1.2 攻防收益量化

為直觀地分析同步策略的收益，給出了相關(guān)參數(shù)的定義和計算方法。

定義2 攻防雙方系統(tǒng)資源比r，攻防雙方所擁有的系統(tǒng)資源的比值

其中，SA代表攻擊者所擁有的系統(tǒng)資源，SD代表防御者所擁有的系統(tǒng)資源。

定義7 判斷時延t'，防御方需要先觀察攻擊者的行為，然后判斷其類型并采取相應(yīng)的策略，因此，防御方存在一個判斷時延t'。

定義8 攻防成本C（Cost）表示攻擊和防御的代價。Ca表示攻擊成本，Cs表示同步成本，Cd表示防御成本，AL 表示攻擊致命度。

綜上，雙方的收益函數(shù)可表示為：

1.3 博弈過程

2 不同類型攻擊下的同步策略選擇方法

2.1 3 類攻擊模式

按照網(wǎng)絡(luò)攻擊一般流程，攻擊行動大體上可分為準(zhǔn)備、實施和善后等3 個階段［19］。這里主要針對準(zhǔn)備階段和實施階段。結(jié)合如圖1 所示的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)［20］，雙方的攻防過程給出如下。

在準(zhǔn)備階段，攻擊者首先鎖定節(jié)點A、B 或C，確定目標(biāo)的端信息；然后根據(jù)目標(biāo)選擇攻擊策略。在實施階段，根據(jù)攻擊策略實施不同的攻擊。對于防御方的端信息跳變，攻擊方主要采用3 種攻擊策略［10］：分布式拒絕服務(wù)攻擊（DDoS，Distributed Denial of Service）、盲攻擊和竊聽攻擊。根據(jù)攻擊者的目的，可將攻擊分為3 類：一是傾向破壞和竊密等概率；二是傾向于破壞；三是傾向于竊密。防御方通過蜜罐網(wǎng)絡(luò)偵測到攻擊行為后反饋給同步服務(wù)器，同步服務(wù)器根據(jù)攻擊者的行為模式判斷類型，然后選擇同步策略，將同步策略發(fā)送給控制器1 和2，通信雙方進(jìn)行同步的跳變對，從而對數(shù)據(jù)進(jìn)行保護(hù)。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

2.2 記憶T 細(xì)胞方法下的策略選擇

當(dāng)前的同步策略主要有3 種：一是基于時間片的嚴(yán)格時間同步。此策略實現(xiàn)簡單，安全性較好，但在網(wǎng)絡(luò)擁塞的情況下難以完成同步；二是基于數(shù)據(jù)分組的ACK 應(yīng)答同步。不會受網(wǎng)絡(luò)擁塞的影響，但是攻擊者更容易發(fā)動竊聽攻擊；三是時間戳同步。安全性和防擁塞效果都比較好，但發(fā)生高速率服務(wù)請求時，會耗盡系統(tǒng)資源。防御者通過蜜罐網(wǎng)絡(luò)對攻擊者的行為和類型進(jìn)行分析，判斷是否和已知的攻擊類型匹配，若匹配，則直接從攻擊類型庫中找與之匹配的同步策略，反之則重新決策同步策略并將其入庫。其過程如圖2 所示。

圖2 記憶T 細(xì)胞方法示意圖

其具體步驟說明如下：

步驟1：將攻擊者誘導(dǎo)入蜜罐網(wǎng)絡(luò)中，利用蜜罐技術(shù)對攻擊者的行為進(jìn)行分析，判斷攻擊者的類型并與攻擊類型庫進(jìn)行匹配。

步驟2：將檢測結(jié)果回饋給同步服務(wù)器，同步服務(wù)器根據(jù)信號博弈理論選擇同步策略。

步驟3：同步服務(wù)器將同步信息送至控制器，控制器綜合時間、資源等因素，控制通信節(jié)點進(jìn)行跳變，完成對攻擊的防御。

由于此方法和生物上的記憶T 細(xì)胞的行動模式相似，可將此防御方法稱為“記憶T 細(xì)胞方法”（Method of Memory T Cells）。

2.3 記憶T 細(xì)胞方法下的收益分析

防御方先觀察攻擊者的行為，然后判斷其類型并采取相應(yīng)的策略，判斷時延為t'。而攻擊方在發(fā)現(xiàn)自己的收益下降之后也會切換自己的攻擊策略。

圖3 攻防雙方收益趨勢

如圖3 所示，給出了雙方的收益趨勢。判斷時延t'的長短也會對防御效果產(chǎn)生影響，判斷時延過長，系統(tǒng)損失則增多，防御的收益就越少；判斷時延過短，系統(tǒng)的負(fù)擔(dān)會增加，防御成本提高。

從圖中可以看出整個過程實質(zhì)上是雙方進(jìn)行信號博弈的過程，雙方的收益此消彼長。防御者在每一次對抗中可以對相關(guān)防御參數(shù)進(jìn)行分析，以取得收益的最大化。

3 模擬分析與結(jié)論

3.1 模擬環(huán)境描述

表1 攻擊者策略參數(shù)

表2 同步策略參數(shù)

設(shè)攻擊者類型的先驗信念有以下3 種情況：

由式（2）、式（3）計算可得出防御者的收益如下：

3.2 模擬分析

在方案初步選取時，不考慮時間因素的影響和時間衰減系數(shù)，此時防御方已經(jīng)觀察到攻擊者釋放的信號，判斷出攻擊者的類型?，F(xiàn)給出防御者收益如圖4 所示。

可以看出隨著系統(tǒng)資源比的增加，防御者的收益是先上升后下降的，因為當(dāng)系統(tǒng)資源比增加時，防御方擁有相比于攻擊者更多的系統(tǒng)資源進(jìn)行防御，防御的強(qiáng)度會相應(yīng)增加。但系統(tǒng)資源比過高時，防御成本會大大增加，此時已經(jīng)“過度防御”造成了資源的浪費，防御者的收益反而會下降。

在攻擊者傾向于破壞和竊密的概率相等時選擇方案2 效果最好，即以0.1 的概率選擇時間戳同步，以0.5 的概率選擇ACK 應(yīng)答同步，以0.4 的概率選擇嚴(yán)格時間同步。

圖4 傾向于竊密和破壞等概時防御者收益

現(xiàn)將時間因素考慮進(jìn)去，進(jìn)一步對策略進(jìn)行優(yōu)化。如圖5 所示，給出了在攻擊者傾向于破壞和竊密的概率相等，取判斷時延時，方案2 在策略使用時間為1，3 和5 三種情況下的對比。

圖5 Δt=1，Δt=3 和Δt=5 時方案2 收益情況

由圖5 可知，在Δt=5 時的防御收益比Δt=3 的收益小，這是由于策略使用時間過長，導(dǎo)致攻擊者由足夠多的時間分析防御者同步策略，發(fā)動針對性的攻擊。而Δt=3 的防御收益比Δt=1 的收益大，這是由于策略使用時間過短導(dǎo)致系統(tǒng)負(fù)荷增加，防御成本提高。因此，只有選擇合適的策略使用時間，才能保證防御者的收益最大化。

當(dāng)攻擊者動態(tài)調(diào)整攻擊策略時，防御方的動態(tài)收益圖如圖6 所示，可以看出，在雙方策略動態(tài)跳變時，防御方的收益是隨著時間在變化的，雙方策略的不斷切換，其收益也此消彼長。觀察發(fā)現(xiàn)，防御者使用同一策略時，防御收益的趨勢是先上升后下降的，這是由于同步策略的切換必然會影響到通信的效果，而恢復(fù)需要一定的時間，同時，隨著時間推移，攻擊者有足夠多的時間分析同步策略并發(fā)動針對性攻擊。這也印證了上文的分析，過快或者過慢切換同步策略，都會導(dǎo)致收益下降。

圖6 防御者動態(tài)收益

綜上，采取記憶T 細(xì)胞方法指導(dǎo)的同步策略的選擇，相比于傳統(tǒng)方案有以下幾點優(yōu)勢：第1，以信號博弈為理論基礎(chǔ)，基于攻防收益建立評價準(zhǔn)則，模型的通用性較好；第2，動態(tài)變換的同步策略使得攻擊者更加難以發(fā)動有效的攻擊，還未來得及對偵察到的信息加以分析，防御者便改變了同步策略；第3，考慮了系統(tǒng)資源比和策略使用時間等參數(shù)，防御者可以在對抗博弈中對相關(guān)參數(shù)及進(jìn)行調(diào)整，取得收益的最大化。

4 結(jié)論

本文針對端信息跳變的同步策略選擇問題，用信號博弈理論對最優(yōu)策略選擇進(jìn)行了分析和量化計算，提出了對攻擊者在不同攻擊傾向的3 種情況下端信息跳變同步防御模式。下一步需要結(jié)合實際網(wǎng)絡(luò)環(huán)境的運行情況，進(jìn)行數(shù)據(jù)采集，驗證并改進(jìn)模型相關(guān)參數(shù)，以提升策略的針對性。