移动目标防御技术

2.1. 移动目标防御概述

2.1.1.基本概念

美国白宫国防安全委员会的进展报告中提到，移动目标是可在多个维度上移动以降低攻击者优势并增加弹性的系统[2]。移动目标防御的目标是通过持续变换系统呈现在攻击者面前的攻击面，从而有效增加攻击者想要探测目标脆弱性的代价[3]。2010 年发布的《网络安全游戏规则的研究与发展建议》[1]中将移动目标防御的内涵描述为：期望能够创建、分析、评估和部署多样化的、随时间持续变化的机制和策略，以增加攻击者实施攻击的复杂度和成本，降低系统脆弱性曝光和被攻击的几率，提高系统的弹性。

实际上，移动目标防御技术是通过降低系统确定性、静态性和同构性来增加攻击复杂度，从而防护一个系统的机制/方法的统称。通常的实现方式是通过变换系统配置，缩短系统某一配置属性信息的有效期，使得攻击者没有足够的时间对目标系统进行探测，降低其已收集信息的有效性。

2.1.2.基本理论

一个移动目标防御技术应具备三个基本要素，分别是“What To Move”，“How To Move”，以及“When To Move”。

（1）“What To Move”指的是移动参数。系统攻击面是由一个或多个参数组成，这些参数一般是指发起攻击必须用到的一个或多个被保护目标所带有的属性（如IP地址，服务端口号等），或者是带有脆弱性的运行实体（如操作系统，硬件和软件）。

（2）“How To Move”指的是移动的方式。它包括两个操作，选择和替换。选择是指通过不同的方式选择一个新的参数或从当前移动参数的值域中为其选择一个新的值，这些方式包括随机选择[4]、依据博弈论进行选择[5]、基于所感知的攻击行为和网络安全状态来选择[6]。

（3）“When To Move”指的是由防御者所定义的用于实施替换操作的时间序列，换句话说，也就是变换的频率。这是会对被保护系统性能和可用性产生影响的一个关键特性。若变换频率太低，如果攻击者速度够快，那么极有可能攻击成功；若变换频率太高，虽然能使得攻击者所收集的信息或发起的攻击快速失效从而提供高的安全度，但会降低系统性能及服务的可用性。一个完美的移动目标防御方案应该是在存在攻击时具有较高的变换频率，在没有攻击时变换频率较低。

2.2. 移动目标防御策略设计研究

目前MTD 策略设计研究领域主要涉及到三个技术流派：软件变换技术（Software Transformations）[7]、动态平台技术（Dynamic Platform Techniques）[8]以及网络属性变换技术。

2.2.1.软件转换技术研究

基于软件变换的机制主要以软件应用为移动参数，通过采用不同的方法产生多个功能相同但行为和特性相异的变体来交替运行，在攻击者面前呈现一个不确定且不可预测的目标，从而使攻击者难以顺利实施他们的恶意行为，增加攻击者发起相应攻击的困难度，提高软件抗攻击能力。典型软件转换技术包括：ChameleonSoft[4]、Compiler-generated Software Diversity[9]、End-to-end Software Diversity[10]等。其中ChameleonSoft由弗吉尼亚理工学院暨州立大学提出，是一个通过多程序变体之间的变换来进行系统攻击面转换的原型结构；Compiler-generated Software Diversity由Jackson等人提出，编译器进行代码翻译时自动对机器代码进行多样化，创建多个外部功能相同但内部结构不同的程序变体；End-to-end Software Diversity由Christodorescu等人提出，静态组件在应用程序运行前首先识别出被所有子程序引用的实体集以及子程序进行计算的代码位置，并以语义保留的方式去重写这个应用以多样化子程序中的实体。

2.2.2.动态平台技术研究

动态平台技术以执行环境为移动参数，包括运行平台和配置信息，如指令集体系结构、堆栈方向、调用规范、内核版本、操作系统发行版本、虚拟机实例等。与软件变换技术通常会产生多个软件变体进行动态切换相似，该类技术会有多个执行环境，或者同一个执行环境的多个配置。典型的动态平台技术研究包括：

（1）地址空间随机化（ASR）[11]：其基本思想是随机化目标在存储器中的位置信息，从而使得依赖于目标地址信息的攻击失效。

（2）指令集随机化（ISR）[12]：其基本思想是通过对系统指令集进行特殊的随机化操作来保护系统免遭代码注入攻击。

（3）数据随机化（DR）：基本思想是改变数据在存储器中的存储方式。

（4）TALENT[13]：是一个通过借助平台多样性来提高应用生存性的系统框架，该框架提供多个异构物理平台和操作系统，并允许一个正在运行的关键应用程序迁移到另外的异构平台上。

（5）SCIT（Self-cleansing Intrusion Tolerance）/MAS（Moving Attack Surfaces）：SCIT通过虚拟化技术创建多个初始状态完全相同的虚拟服务器来提供同一种服务，并在固定时间间隔内以轮换方式动态随机选择和替换上线的虚拟服务器，下线的虚拟服务器则被重置为预先定义好的安全初始状态，使得一个服务器的曝光时间从几个月缩减为不超过一分钟，从而增强服务器的可靠性并降低网络攻击所带来的影响。但是由于SCIT每个虚拟机初始配置状态完全相同，一旦攻击者探测到该状态的脆弱点仍可成功发起相应攻击。MAS（Moving Attack Surfaces）则可成功解决这一问题，其设计思想与SCIT相同，主要区别体现在两个方面：一是MAS中的每一个虚拟服务器都配置了一个唯一的软件集合，使得每一个虚拟服务器的初始状态都不相同，从而产生多样化的攻击面；二是虚拟机之间的轮换可以是固定时间间隔到期来驱动，也可以是安全事件驱动。

（6）SDN-based Frequency-Minimal MTD [14]：其基本思想是提供一个异构虚拟机池供云服务进行迁移，这些虚拟机均连接至一个OpenFlow控制器，且周期性与控制器分享其状态信息（如剩余的计算/存储能力）。虚拟机迁移的频率则与统计意义上的DoS攻击模式及概率相关，理想的迁移位置则依据候选虚拟机的能力、可用网络带宽及虚拟机被攻击的历史等因素来选定。

2.2.3.网络地址变换技术研究

网络地址变换技术以网络地址为移动参数，变换地址可使得网络中报文所带有的地址是随时间随机变化的，从而迷惑攻击者，即使报文被截获，其所带有地址信息也只是短期有效的。

网络地址变换技术期望能够周期性或不定期地改变目标的网络地址，当前，这种改变主要通过两种方式来实现：跳变（Hopping）及变换（Mutation/Shuffling）。

（1）跳变方式：跳变方式要求通信双方必须完全了解双方的跳变模式，或者通信的一端必须完全了解另一端的跳变模式信息。通常是通过双方交换跳变模式信息或设置相同的函数与初始值来实现，该机制的性能则受到跳变模式同步精度安全性的影响。

（2）变换方式：变换方式通常是通过路由更新与DNS请求/响应，或其他第三方支持机制来实现。

评估是移动目标防御系统设计中的一个重要环节，其主要目标在于评估和比较已有防御机制的有效性，研究如何提高其效果，为后续的移动目标防御设计提供一定的参考与指导。目前已有的用于评估MTD策略的方法划分为四类:基于模拟实验的评估、基于理论分析的评估、基于模型分析的评估以及基于这三种方法合集的评估。

依据评估的目标，已有的评估方法可分为两组：一组是为了评估某一类MTD策略的有效性，另一组不仅评估某一个或某一类MTD 策略的有效性，而且识别了影响这些MTD防御效果的因素。

网络安全形势的日益严峻，但现有防御方法的不足，使得人们一直在探索如何构建安全的网络，实现安全的通信。移动目标防御这一革命性技术得到学术界和企业界的高度重视，并涌现出了大量的研究成果。通过对这些已有成果的深入分析研究可以发现，对移动目标防御的理解主要应体现在以下几个方面：

（1）目标的移动性。这是实现移动目标防御的基础。现有网络配置及特征的静态性是网络攻击泛滥的原因之一，因此，打破攻击者所依赖的这一特征，让被保护目标“移动”起来，使其在攻击者面前呈现出变幻莫测的攻击面，是移动目标防御的核心所在。

（2）移动的可管理性。攻击面的移动性必须以一种内部可管理的方式来实施，才能在进行移动目标防御的同时保证任务的连续性以及系统的功能与性能。

（3）移动的持续性。网络的确定性和静态性是攻击者成功实施攻击的有利优势，且攻击者不会停止其对特定目标的探测、分析等工作，因此，要达到较好的防御效果，就必须保持核心目标的持续移动变化，提高攻击者所收集信息的失效率，降低其攻击成功率。

（4）移动的快速性。攻防双方的对抗就像一场军备竞赛，都希望能够追赶上对方并领先对方一步以实现自己的目标。移动目标防御通过移动系统的攻击面以实现防御，这种移动必须要快，才能让攻击者所收集的信息或发起的攻击快速失效，保证防御的有效性。

（5）移动的多样性。移动的多样性既要考虑变换方式的多样性，也要考虑攻击面参数值域的多样性，才能从多个维度提高系统的安全性与弹性。

（6）移动的难以预测性。难以预测性是移动目标防御技术能够增加攻击者攻击难度、降低其攻击成功率、提高系统弹性和安全性的关键所在。

（7）移动的可评估性。单纯通过提高策略变化频率的方式会引起系统服务能力或稳定性下降，增强对防御成本的量化与控制，综合考虑“可用性-安全性-开销”的优化平衡问题，制定最优的移动目标防御策略。

参考文献

[1] NITRD, CSIA, IWG. Cybersecurity game-change research and development recommendations.2010.http://www.nitrd.gov/pubs/CSIA_IWG_%20Cybersecurity_%20GameChange_RD_%20Recommendations_20100513.pdf

[2] The White House National Security Council. Cybersecurity Progress after Pres-ident Obama’ s Address.The WhiteHouse National Security Council.2012.

[3] NITRD Subcommittee. National cyber leap year summit 2009 co-chairs’report. 2009.

https://www.nitrd.gov/nitrdgroups/index.php?title=Category:National_Cyber_Leap_Year_Summit_2009.

[4] Azab M, Hassan R, Eltoweissy M. ChameleonSoft: A moving target defense system [C]. In 7th International Conference on Collaborative Computing: Networking, Applications and Worksharing (CollaborateCom). Oct 2011: 241-250.

[5] Zhu Q, Başar T. Game-Theoretic Approach to Feedback-Driven Multi-stage Moving Target Defense [C/OL]. In 4th International Conference on Decision and Game Theory for Security-Volume 8252. New York, NY, USA, 2013: 246-263.http://dx.doi.org/10.1007/978-3-319-02786-9_15.

[6] Huang Y, Ghosh A. Introducing Diversity and Uncertainty to Create Moving At-tack Surfaces for Web Services [M/OL]//Jajodia S, Ghosh A, Swarup V, et al. In Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats.New York, NY: Springer New York, 2011: 131-151. http://dx.doi.org/10.1007/978-1-4614-0977-9_8.

[7] Jajodia S, Ghosh A, Swarup V, et al. Moving target defense: creating asymmetric uncertainty for cyber threats [M]. Springer Science & Business Media, 2011.

[8] Okhravi H, Hobson T, Bigelow D, et al. Finding Focus in the Blur of Moving-Target Techniques [J]. IEEE Security Privacy. 2014, 12 (2): 16-26.

[9] Jackson T, Salamat B, Homescu A, et al. Compiler-Generated Software Di-versity [M/OL]//Jajodia S, Ghosh A, Swarup V, et al. In Moving Tar-get Defense: Creating Asymmetric Uncertainty for Cyber Threats. New York,NY: Springer New York, 2011: 77-98.

[10] Christodorescu M, Fredrikson M, Jha S, et al. End-to-End Software Diversification of Internet Services [M/OL] // Jajodia S, Ghosh V a W C a W X, AKand Swarup.In Moving Target Defense: Creating Asymmetric Uncertainty for Cyber Threats.New York, NY: Springer New York, 2011: 117–130.

[11] Chew M, Song D. Mitigating Buffer Overflows by Operating System Randomization [R]. 2002.

[12] Evans D, Nguyen-Tuong A, Knight J. Effectiveness of Moving Target De-fenses [M/OL]//Jajodia S, Ghosh A, Swarup V, et al. In Moving Tar-get Defense: Creating Asymmetric Uncertainty for Cyber Threats. New York,NY: Springer New York, 2011: 29-48.

[13] Okhravi H, Comella A, Robinson E, et al. Creating a Cyber Moving Target for Critical Infrastructure Applications [M/OL]//Butts J, Shenoi S. In Critical Infrastructure Protection V. Berlin, Heidelberg: Springer Berlin Heidelberg, 2011:107-123.

[14] Debroy S, Calyam P, Nguyen M, et al. Frequency-minimal moving target defense using software-defined networking [C]. In 2016 International Conference on Computing, Networking and Communications (ICNC). Feb 2016: 1-6.

作者：徐国坤

责编：何   洁

往期精彩文章TOP5回顾

美国攻击窃密能力背后的顶层架构

美国网络安全体系架构简介

起底突破物理隔离的USB设备攻击窃密技术

通过电力线“搞定”物理隔离计算机

请注意：扬声器、耳机也能窃密了！——Mosquito攻击技术

近期精彩文章回顾

浅谈网络攻击溯源技术（下篇）