前 言

移動目標防御(Moving Target Defense，MTD)技術(shù)是近年來網(wǎng)絡空間中“改變游戲規(guī)則”的革命性技術(shù)之一。它與以往的網(wǎng)絡安全技術(shù)不同，變被動防御為主動防御，其系統(tǒng)和網(wǎng)絡狀態(tài)隨著時間、空間以及物理環(huán)境等多個維度的變化而不斷改變，從而增加入侵者的入侵難度，能夠有效限制己方漏洞暴露的概率。

然而移動目標防御技術(shù)在帶來安全性提升的同時不可避免的也有相應的代價，因此在實際的防御中，通過策略選擇來提升移動目標防御的有效性十分重要。

背 景

互聯(lián)網(wǎng)在給人們帶來了便利和好處的同時，也帶來了諸多網(wǎng)絡安全威脅。蠕蟲、木馬、拒絕服務攻擊以及近年來興起的高級持續(xù)性威脅(APT)攻擊等，讓人們不得不去面對互聯(lián)網(wǎng)安全問題的嚴峻現(xiàn)實，而近年來爆發(fā)的各類安全事件(Stuxnet病毒、“棱鏡門”事件、heartbleed漏洞、WannaCry勒索病毒等)，也使得人們感受到各行各業(yè)中潛伏的網(wǎng)絡安全威脅無處不在。

雖然攻擊有許多變化和風格，但大多數(shù)都是通過終端開始，特別是用戶終端，然后通過系統(tǒng)橫向擴展，尋求更多目標。攻擊者還經(jīng)常嘗試對發(fā)現(xiàn)的設(shè)備(如DNS服務器，Web服務器和其他關(guān)鍵系統(tǒng))進行遠程攻擊。然后，他們直接從設(shè)備竊取數(shù)據(jù)和憑據(jù)，并將其用作跳板在網(wǎng)絡中橫向擴展。

根據(jù)SANS 2017年的“Threat Landscape Survey.”，網(wǎng)絡釣魚和基于電子郵件的社會工程是攻擊組織的首要手段，在調(diào)查中，75%的受訪者發(fā)現(xiàn)最具影響力的威脅最初是通過電子郵件附件進行的，而46%是通過點擊電子郵件鏈接進行的。

為了攻擊用戶的系統(tǒng)，對手必須獲得用戶的密碼或利用漏洞或風險，例如缺少對錯誤的檢查、過時的服務或應用程序漏洞。系統(tǒng)入侵后，對手通常會進一步橫向移動，同時針對網(wǎng)絡上的其他關(guān)鍵資產(chǎn)，以映射網(wǎng)絡，并找到最豐富的目標，例如Microsoft Exchange或數(shù)據(jù)庫服務器。

針對上述問題，移動目標防御技術(shù)能夠通過周期性重置系統(tǒng)的某些方面來動態(tài)更改系統(tǒng)攻擊面，使得傳統(tǒng)的靜態(tài)網(wǎng)絡具有動態(tài)性和隨機性，提升系統(tǒng)被預測和攻擊的難度，從而削弱攻擊者在傳統(tǒng)網(wǎng)絡攻防對抗中的固有優(yōu)勢。該技術(shù)能夠讓攻擊者收集到的信息快速失效，從而延長攻擊者的攻擊時間，增加其攻擊成本。

由于系統(tǒng)可用資源有限，雖然移動目標防御技術(shù)能夠有效改善系統(tǒng)的靜態(tài)特性，但這也將增加系統(tǒng)的運行負擔，影響為用戶提供的服務質(zhì)量。因此，在防御過程中如何有效的進行策略選擇非常重要。

分 類

1.基于信息熵的移動目標防御技術(shù)

信息熵常被用來作為一個系統(tǒng)的信息含量的量化指標，從而可以進一步用來作為系統(tǒng)方程優(yōu)化的目標或者參數(shù)選擇的判據(jù)，可以通過信息熵的方式統(tǒng)計當前流量的分布情況，來對攻擊者目前所處的階段進行建模，并根據(jù)所處的階段采用對應的策略進行防護。研究人員通過采用包括條件熵[2]、交叉熵[3]、Sibson熵[4]的方式對當前網(wǎng)絡威脅情況進行度量。

然而采用信息熵的方式需要對攻擊者的行為模式以防守方的視角進行詳細的定義，對攻防雙方的建模過于理想化，缺乏一定的說服力。

2.基于機器學習的移動目標防御技術(shù)

機器學習是當下研究領(lǐng)域較熱的點，已被運用在網(wǎng)絡安全中的多個方面，如攻擊檢測、身份認證、隱私分析等。同樣，機器學習也被應用在了移動目標防御的策略選擇上，常用的算法包括遺傳算法[5]、強化學習算法[6]。

基于遺傳算法的移動目標防御策略選擇：將不同動作作為遺傳算法中的染色體，并對染色體進行選擇、交叉和突變操作，從而得到滿足條件的染色體，得到一個較優(yōu)的結(jié)果。在遺傳算法中，使用適應度來評估不同的染色體，現(xiàn)有的文獻中研究人員對適應度做了不同的定義，如防御者的防御回報，攻擊成功率等。

基于強化學習的移動目標防御策略選擇：防御者不斷更新采取動作的回報值，從而建立一個將系統(tǒng)狀態(tài)和回報值相結(jié)合的Q值表，再根據(jù)Q值表選取動作以獲得最大的回報。

圖 1 強化學習示意圖

3.基于博弈論的移動目標防御技術(shù)

由于網(wǎng)絡攻防中防御方進行有效防御的關(guān)鍵是選擇最佳的行動策略，且攻防雙方的目標相互沖突，是非合作關(guān)系，恰好與博弈論的基本特征相吻合。

對博弈論與移動目標防御結(jié)合的研究，從一開始定義順序的斯塔克爾伯格博弈模型，到實證博弈分析模型，后續(xù)的研究通常與強化學習中的馬爾科夫決策過程結(jié)合，包括利用多目標馬爾可夫決策過程建模[7]，再到最新的將攻防對抗視為連續(xù)過程，再結(jié)合馬爾科夫決策過程的微分方程博弈模型[8]，在近幾年研究人員們對該領(lǐng)域進行了不斷的探索與完善。

4.基于攻擊圖的移動目標防御技術(shù)

在攻擊者對網(wǎng)絡進行滲透的過程中，特定的連續(xù)攻擊行為可稱為一條由攻擊者節(jié)點到目標節(jié)點的攻擊路徑。攻擊圖是一種基于模型的網(wǎng)絡安全評估技術(shù)，它從攻擊者的角度出發(fā)，在綜合分析多種網(wǎng)絡配置和脆弱性信息的基礎(chǔ)上，找出所有可能的攻擊路徑。根據(jù)攻擊者當前所處節(jié)點，結(jié)合其他節(jié)點上的漏洞情況，以及節(jié)點的價值對其攻擊行為進行預測，并提前對后續(xù)路徑上的節(jié)點實施移動目標防御以應對攻擊者的進攻[9]。

圖 2 攻擊圖示意圖

小 結(jié)

文章展示了目前在應用于移動目標防御的幾種策略選擇方法，經(jīng)過數(shù)年的發(fā)展，該領(lǐng)域已經(jīng)越來越成熟，但這些研究大部分都是在單種攻擊的場景下實現(xiàn)的，無法同時防御多種攻擊，此外現(xiàn)有的移動目標防御技術(shù)或是基于隨機，或是基于安全事件的被動觸發(fā)機制，較為依賴系統(tǒng)中的異常檢測，仍有較大的研究空間。

參考文獻

[1] Clark A, Sun K, Bushnell L, et al. A game-theoretic approach to ip address randomization in decoy-based cyber defense [J]. Springer International Publishing, 2015.

[2] 田俊峰, 齊鎏嶺. SDN 中基于條件熵和 GHSOM 的 DDoS 攻擊檢測方法 [J]. 通信學報,2018, 39(8): 10.

[3] 劉濤, 尹勝. SDN 環(huán)境中基于交叉熵的分階段 DDoS 攻擊檢測與識別 [J]. 計算機應用與軟件, 2021, 38(2): 6.

[4]雷程, 馬多賀, 張紅旗,等. 基于網(wǎng)絡攻擊面自適應轉(zhuǎn)換的移動目標防御技術(shù)[J]. 計算機學報, 2018, 041(005):1109-1131.

[5]Kelly J, Delaus M, Hemberg E, et al. Adversarially adapting deceptive views and reconnais-sance scans on a software defined network [J]. IEEE.

[6] Tozer B , Mazzuchi T , Sarkani S . Optimizing Attack Surface and Configuration Diversity Using Multi-objective Reinforcement Learning[C]// IEEE International Conference on Machine Learning & Applications. IEEE, 2016.

[7] Zhou Y, Guang C. A cost-effective shuffling method against ddos attacks using moving target defense [C]//2019.

[8] Zhang H, Jinglei T, Liu X, et al. Moving target defense decision-making method: A dynamic markov differential game model [C]//CCS ’20: 2020 ACM SIGSAC Conference on Computer and Communications Security. 2020.

[9] Yoon S, Cho J H, Dong S K, et al. Attack graph-based moving target defense in software-

defined networks [J]. IEEE Transactions on Network and Service Management, 2020, PP(99):