研究唐秀存，許強(qiáng)，史大偉，徐良華

　?。ń嫌?jì)算技術(shù)研究所，江蘇 無(wú)錫 214083）

　　摘要：移動(dòng)目標(biāo)防御（Moving Target Defense，MTD）技術(shù)是近年來(lái)網(wǎng)絡(luò)空間中“改變游戲規(guī)則”的革命性技術(shù)之一。它與以往的網(wǎng)絡(luò)安全技術(shù)完全不同，變被動(dòng)防御為主動(dòng)防御，其系統(tǒng)和網(wǎng)絡(luò)狀態(tài)隨著時(shí)間、空間以及物理環(huán)境等多個(gè)維度的變化而不斷改變，從而增加入侵者的入侵難度，有效限制己方漏洞暴露的概率。因此，移動(dòng)目標(biāo)防御將成為未來(lái)網(wǎng)絡(luò)安全防護(hù)技術(shù)的重點(diǎn)發(fā)展方向。綜合研究了MTD主要關(guān)鍵技術(shù)及其發(fā)展脈絡(luò)，通過(guò)比較分析，提出了目前關(guān)鍵技術(shù)的優(yōu)缺點(diǎn)，并結(jié)合網(wǎng)絡(luò)技術(shù)的演化展望了MTD技術(shù)的發(fā)展前景。

　　關(guān)鍵詞：移動(dòng)目標(biāo)防御；指令集隨機(jī)；開(kāi)放流隨機(jī)主機(jī)突變；突變網(wǎng)絡(luò)；軟件多態(tài)

0引言

　　隨著互聯(lián)網(wǎng)的普及，爆發(fā)了一系列的網(wǎng)絡(luò)安全事件，如震網(wǎng)、火焰、杜克、高斯、沙蒙、迷你火焰等等。這些安全事件對(duì)個(gè)人、組織的信息安全甚至是國(guó)家網(wǎng)絡(luò)空間安全都造成了嚴(yán)重的威脅，因而網(wǎng)絡(luò)安全問(wèn)題越來(lái)越受到人們的關(guān)注。

　　傳統(tǒng)的網(wǎng)絡(luò)威脅主要通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)（Network Sniffing Attack）、拒絕服務(wù)（Denial of Service）、重放及中間人攻擊（ManintheMiddle，MIMT）等方式。針對(duì)上述幾種網(wǎng)絡(luò)威脅，人們采取了信息加密、網(wǎng)絡(luò)防火墻、入侵防護(hù)（IPS）及蜜罐和蜜網(wǎng)等網(wǎng)絡(luò)安全防御技術(shù)降低威脅發(fā)生的概率［1］。

　　然而，上述防御技術(shù)都是基于靜態(tài)網(wǎng)絡(luò)配置下的，即網(wǎng)絡(luò)中的節(jié)點(diǎn)地址、網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議等均固定不變，這些配置信息一旦被入侵者搜集得到，就可以根據(jù)網(wǎng)絡(luò)特點(diǎn)有針對(duì)性地入侵，達(dá)到事半功倍的效果［2］。為了改變這種靜態(tài)防御的被動(dòng)性，有學(xué)者提出了移動(dòng)目標(biāo)防御（Moving Target Defense，MTD）的概念。MTD被美國(guó)科學(xué)技術(shù)委員會(huì)譽(yù)為網(wǎng)絡(luò)空間改變游戲規(guī)則的革命性技術(shù)之一。在MTD的概念中，并不追求建立一種完美無(wú)瑕的系統(tǒng)來(lái)對(duì)抗入侵，相反，移動(dòng)目標(biāo)防御的思路是：構(gòu)建、評(píng)價(jià)和部署機(jī)制及策略是多樣的、不斷變化的，這種不斷變化的思路可以增加攻擊者的攻擊難度及代價(jià)，有效限制脆弱性暴露及被攻擊的機(jī)會(huì)，提高系統(tǒng)的彈性［3］，其最終目的就是通過(guò)移動(dòng)需要保護(hù)的網(wǎng)絡(luò)達(dá)到防御入侵的目的。所謂的移動(dòng)，包含了跳變、躲避、滾動(dòng)等多種含義，將這些行為統(tǒng)稱(chēng)為移動(dòng)。

　　移動(dòng)目標(biāo)防御的目的是為了構(gòu)建一種動(dòng)態(tài)的，能夠融合多種網(wǎng)絡(luò)結(jié)構(gòu)并有效運(yùn)行的不確定網(wǎng)絡(luò)來(lái)增加入侵的難度。其已經(jīng)脫離了傳統(tǒng)意義上的網(wǎng)絡(luò)安全方法，采用了一些通信中的方法來(lái)解決網(wǎng)絡(luò)安全問(wèn)題。在移動(dòng)目標(biāo)防御中，網(wǎng)絡(luò)的狀態(tài)不僅與網(wǎng)絡(luò)的配置相關(guān)，而且會(huì)隨著時(shí)間、空間以及物理環(huán)境的變化而變化，因而大大增加了入侵難度。

1MTD關(guān)鍵技術(shù)

　　與移動(dòng)目標(biāo)防御類(lèi)似的思想早在十多年前就已經(jīng)被提出來(lái)了，直到2010年左右才由美國(guó)政府大力提倡，主要是因?yàn)榻?jīng)過(guò)了十多年的研究以及新技術(shù)的發(fā)展，MTD技術(shù)在理論和實(shí)踐方面都取得了較大的進(jìn)步。為系統(tǒng)地了解MTD技術(shù)的發(fā)展，本文從網(wǎng)絡(luò)層、IP層、數(shù)據(jù)與指令層及軟件應(yīng)用層四個(gè)層面（如圖1所示）對(duì)現(xiàn)有的MTD關(guān)鍵技術(shù)進(jìn)行了梳理。其中數(shù)據(jù)與指令層包含了主機(jī)的數(shù)據(jù)存儲(chǔ)與指令集的隨機(jī)化，IP層包括IP圖1MTD關(guān)鍵技術(shù)分層結(jié)構(gòu)地址和端口地址的隨機(jī)化，網(wǎng)絡(luò)層包括網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)服務(wù)的隨機(jī)化，應(yīng)用層指的是利用軟件的多樣化技術(shù)進(jìn)行移動(dòng)目標(biāo)防御。

　　1.1數(shù)據(jù)與指令層

　　指令集隨機(jī)化是一種通過(guò)掩蓋目標(biāo)的指令集應(yīng)對(duì)代碼注入攻擊的MTD方法，它最早是由Gaurav等人于2003年提出來(lái)的，其最初目的是為了對(duì)抗代碼注入入侵。他們通過(guò)硬件仿真實(shí)現(xiàn)了指令集隨機(jī)化技術(shù)，并證明了指令集隨機(jī)化技術(shù)在Perl和SQL中的適用性。與此同時(shí)，Barrantes等人提出了隨機(jī)指令集仿真（RISE）技術(shù)，它通過(guò)一個(gè)隨機(jī)化的序列與程序中的每一個(gè)指令異或，得到一個(gè)隨機(jī)化的指令集，在程序執(zhí)行的時(shí)候再通過(guò)解異或從而得到真實(shí)的指令。由于代碼注入攻擊并不知道隨機(jī)密鑰，因而并不能做出具有同樣功能的行為［4］。隨后，在2006年，Hu等人利用128位的AES加密方法對(duì)程序塊加密實(shí)現(xiàn)了指令集的隨機(jī)化，這是一種用程序塊的加密替代異或操作的方法。這種方法是建立在虛擬環(huán)境之上的，不支持自修改代碼，而且生成的隨機(jī)化二進(jìn)制文件比原始版本有明顯的增加。

　　在2008年，Stephen等人提出了一種更通用的指令集隨機(jī)化方法，通過(guò)隨機(jī)化系統(tǒng)的指令，不論采用什么注入方法，由入侵者注入的外來(lái)代碼均不會(huì)被執(zhí)行。這種方法不僅能防御棧溢出和堆溢出，而且能防御任何形式的遠(yuǎn)程代碼注入。

　　隨機(jī)化指令集不僅能夠阻止代碼注入攻擊，而且能夠降低網(wǎng)絡(luò)蠕蟲(chóng)利用某一漏洞進(jìn)行大規(guī)模擴(kuò)散的可能性（惡意代碼必須知道隨機(jī)化的方法才能實(shí)現(xiàn)代碼的注入）。需要注意的是，隨機(jī)化的密鑰的長(zhǎng)度取決于底層的處理器，而周期性地改變隨機(jī)化的密鑰能夠更加有效地降低被入侵的概率。與其他方法相比，Stephen等人提出的通用的指令集隨機(jī)化方法對(duì)各種應(yīng)用程序、編程語(yǔ)言和編譯器更加透明，在不修改應(yīng)用程序、編程語(yǔ)言和編譯器的條件下，能夠以較小的代價(jià)取得較好的性能。然而，由于Stephen等人提出的方法需要隨機(jī)化系統(tǒng)的指令，因而需要硬件的支持，但是目前大多數(shù)的硬件并不允許任意地使用系統(tǒng)指令；同時(shí)，這種方法在鏈接和調(diào)試的時(shí)候也需要較多的資源。

　　地址模糊是數(shù)據(jù)和指令隨機(jī)化的另一種方式，地址空間隨機(jī)化或地址空間布局隨機(jī)化（Address Space Randomization or Address Space Layout Randomization，ASLR）是地址模糊的典型代表。其基本思想是將目標(biāo)在內(nèi)存中的存儲(chǔ)地址隨機(jī)化，從而使得入侵者在知道目標(biāo)地址后依然無(wú)法成功入侵，最后達(dá)到阻止入侵的目的。在2000年，PaX團(tuán)隊(duì)就在Linux操作系統(tǒng)上實(shí)現(xiàn)了ASLR技術(shù)［5］，隨后，眾多研究人員在主流的操作系統(tǒng)（Windows、Mac OS）上均實(shí)現(xiàn)了這一技術(shù)。最簡(jiǎn)單的ASLR技術(shù)僅僅只隨機(jī)化目標(biāo)的基地址，在2003年，Sandeep等人通過(guò)同時(shí)隨機(jī)化基地址和偏移地址達(dá)到更好的效果。Crispin 等人在2003年提出了一種基于異或的數(shù)據(jù)存儲(chǔ)隨機(jī)化算法，其基本思想是通過(guò)將指針值與一個(gè)隨機(jī)鍵值異或后的值存儲(chǔ)在內(nèi)存中，當(dāng)寄存器需要指針值時(shí)，再通過(guò)異或關(guān)系求出指針的真實(shí)值。這種方法通過(guò)擴(kuò)展GCC編譯實(shí)現(xiàn)，其實(shí)質(zhì)是在編譯的時(shí)候注入必須的指令。但是這種方法并不能針對(duì)無(wú)指針條件下的攻擊。Xu等人在2003年提出了利用可控的數(shù)據(jù)隨機(jī)來(lái)阻止入侵的方法，它利用擴(kuò)展的編譯器實(shí)現(xiàn)了函數(shù)指針和返回地址的模糊。Cadar等人在2008年提出了一種更通用的技術(shù)，可以使內(nèi)存中隨機(jī)鍵值的選擇與目標(biāo)類(lèi)相關(guān)聯(lián)。隨著硬件技術(shù)的發(fā)展，Tuck等在2014年討論了利用硬件實(shí)現(xiàn)高效代碼指針加密的方法［6］。

　　1.2IP層

　　IP地址隨機(jī)化是MTD技術(shù)的一個(gè)重要方面，在地址隨機(jī)化技術(shù)研究中，主要包括DyNAT［7］、APOD［8］、NASR［9］、RHM及OFRHM［10］等研究成果。

　　Kewley等人在2001年提出的動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換（Dynamic Network Address Translation，DyNAT）提供了一種通過(guò)IP地址轉(zhuǎn)換避免中間人攻擊的方法［7］，它是一種在數(shù)據(jù)包進(jìn)入核心網(wǎng)絡(luò)或公共網(wǎng)絡(luò)之前進(jìn)行IP地址轉(zhuǎn)換的機(jī)制。這一技術(shù)雖然能夠發(fā)現(xiàn)嗅探者，但是它并不能發(fā)現(xiàn)隱藏在終端主機(jī)上的探測(cè)者。Atighetchim等人在2003年提出了基于地址和端口隨機(jī)(Applications that Participate in their Own Defense，APOD)的技術(shù)［8］，與DyNAT相比，其不僅隨機(jī)化了IP地址，而且也隨機(jī)化端口地址。APOD的原理是利用基于地址和端口隨機(jī)化的跳變隧道偽裝目標(biāo)主機(jī)，以區(qū)分合法用戶和嗅探器。這一方法并不是透明的，它要求服務(wù)器和用戶端必須通過(guò)合作才能完成跳變的整個(gè)過(guò)程。Antonatos等人在2007年提出了網(wǎng)絡(luò)地址空間隨機(jī)化(Network Address Space Randomization，NASR)技術(shù)［9］，這是一種局域網(wǎng)級(jí)別的基于DHCP更新的網(wǎng)絡(luò)地址隨機(jī)化方法，其主要目的是為了防范hitlist worms威脅。

　　然而上述三種防范內(nèi)外部監(jiān)聽(tīng)威脅的IP隨機(jī)化技術(shù)均需要改變終端主機(jī)的配置，要研究的問(wèn)題是，能否在不改變主機(jī)配置的條件下實(shí)現(xiàn)網(wǎng)絡(luò)地址的隨機(jī)化，基于此種考慮，Ehab Al Shaer等人在2011年提出了隨機(jī)主機(jī)突變(Random Host Mutation，RHM)技術(shù)［10］。其主要特性是網(wǎng)絡(luò)地址高速變化并難以預(yù)測(cè)，基本思想是通過(guò)給一個(gè)主機(jī)配備多個(gè)虛擬地址(vIP)，在運(yùn)行中不斷地改變虛擬地址，使得入侵者無(wú)法實(shí)時(shí)獲取運(yùn)行時(shí)的地址，從而達(dá)到阻止入侵的目的。由于RHM技術(shù)中使用了虛擬地址，因此需要通過(guò)增加移動(dòng)目標(biāo)控制器(Moving Target Controller)和移動(dòng)目標(biāo)網(wǎng)關(guān)(Moving Target Gateway)進(jìn)行真實(shí)地址(rIP)和虛擬地址(vIP)的轉(zhuǎn)換。

　　之后，Ehab Al Shaer等人在RHM技術(shù)的基礎(chǔ)上與軟件定義網(wǎng)絡(luò)(Software Define Network，SDN)及開(kāi)放流(OpenFlow)技術(shù)相結(jié)合，提出了開(kāi)放流隨機(jī)主機(jī)突變(OFRHM)模型。OFRHM技術(shù)對(duì)于終端主機(jī)是透明的，并且能提供較高的突變速率。其實(shí)質(zhì)是利用開(kāi)放流研究移動(dòng)目標(biāo)防御體系結(jié)構(gòu)，實(shí)現(xiàn)IP地址的不可預(yù)知性及高速變換，同時(shí)保持配置的完整性，并最小化操作管理［10］。在OFRHM模型中，IP變換對(duì)于后端主機(jī)是透明的，即終端主機(jī)的真實(shí)地址保持不變。另外，模型中的IP變換是高速和不可預(yù)知的，在入侵者能夠探測(cè)到終端地址之前就發(fā)生一次突變，從而達(dá)到阻止入侵的目的。與RHM技術(shù)相比，由于OFRHM結(jié)合了SDN技術(shù)，因而它能夠以更小的開(kāi)銷(xiāo)和更加靈活的方式管理地址隨機(jī)化功能。OFRHM能夠有效防御秘密掃描、蠕蟲(chóng)傳播以及其他基于掃描的攻擊［11］。雖然它不能應(yīng)用于傳統(tǒng)網(wǎng)絡(luò)，但是隨著SDN技術(shù)的發(fā)展，未來(lái)必將有較大的研究和利用價(jià)值。

　　1.3網(wǎng)絡(luò)層

　　網(wǎng)絡(luò)配置隨機(jī)化的目的是為了阻礙入侵者掃描和發(fā)現(xiàn)入侵網(wǎng)絡(luò)、發(fā)起拒絕服務(wù)攻擊以及建立僵尸網(wǎng)絡(luò)。MTD中關(guān)于網(wǎng)絡(luò)層面的技術(shù)主要有自適應(yīng)自同步動(dòng)態(tài)地址轉(zhuǎn)換（Adaptive SelfSynchronized Dynamic Address Translation，ASD）、突變網(wǎng)絡(luò)（Mutable Networks，MUTE）［12］、自清洗入侵容忍技術(shù)(Self Cleansing Intrusion Tolerance，SCIT)［13］及基于IPv6的移動(dòng)目標(biāo)防御（Moving Target IPv6 Defense，MT6D）［14］等。

　　ASD最早是由Fink等人在2006年提出來(lái)的，其原理是通過(guò)不斷改變服務(wù)器與主機(jī)的地址達(dá)到移動(dòng)的目的。MUTE的基本想法最初是在2009年8月召開(kāi)的“國(guó)家賽博跨越發(fā)展年會(huì)”上提出來(lái)的［12］，其基本思想就是允許周期性地建立替換的隨機(jī)配置（稱(chēng)之為網(wǎng)絡(luò)突變），同時(shí)保持網(wǎng)絡(luò)服務(wù)的連續(xù)性和完整性。MUTE技術(shù)必須滿足四個(gè)條件：一是時(shí)效性，配置變化必須迅速；二是平滑性，配置變化必須足夠平滑，盡可能地減少配置變化對(duì)網(wǎng)絡(luò)延遲的影響；三是不可預(yù)測(cè)性，配置的變化必須不可預(yù)測(cè)，否則就失去了變化的意義；四是安全性，配置變化必須保證服務(wù)和網(wǎng)絡(luò)的安全。E.Al-Shaer等人在2009年提出了一種創(chuàng)建網(wǎng)絡(luò)配置有效突變的形式化方法，它給出了一種末端到末端的編碼來(lái)為全局網(wǎng)絡(luò)行為建模，然后通過(guò)二叉判決圖的訪問(wèn)控制配置編碼，從而控制每次網(wǎng)絡(luò)突變的配置。

　　Huang Y等人在2010年提出了SCIT技術(shù)［13］，由于入侵的每一步都依賴(lài)于系統(tǒng)的配置和屬性保持長(zhǎng)期的不變，如果可利用的時(shí)間比較短，則入侵者可能造成的損失就比較小，也就是說(shuō)，如果在較短的時(shí)間內(nèi)改變系統(tǒng)的配置或者屬性，就可以在承受較小損失的條件下達(dá)到阻止入侵的目的。SCIT就是這樣一種服務(wù)器切換模型，通過(guò)在較短的時(shí)間內(nèi)服務(wù)器的不斷切換和清洗來(lái)限制或阻擋網(wǎng)絡(luò)入侵。

　　Owen Hardman等人于2013年提出了MT6D技術(shù)［14］，這是一種網(wǎng)絡(luò)層的移動(dòng)目標(biāo)防御方法。MT6D的實(shí)質(zhì)是在主機(jī)與Internet之間設(shè)置一個(gè)網(wǎng)關(guān)設(shè)備，類(lèi)似于路由器或者防火墻，對(duì)通信的主機(jī)透明。其原理是利用IPv6較大的地址空間，在保持通信的同時(shí)，不斷改變IPv6地址，從而達(dá)到防御入侵的目的。盡管MT6D對(duì)系統(tǒng)具有較好的保護(hù)作用，但是由于需要不斷地進(jìn)行地址轉(zhuǎn)換，因而其耗費(fèi)的資源也是巨大的。

　　ASD與MT6D具有以下兩方面的區(qū)別：ASD不需要具體地去區(qū)分IPv6，而是采用UDP通道傳輸修改過(guò)的TCP包；當(dāng)通信地址發(fā)生變化時(shí)，通信的兩個(gè)主機(jī)必須進(jìn)行身份驗(yàn)證。MUTE與MT6D的區(qū)別在于MT6D僅僅改變主機(jī)間的IP地址，而MUTE在MT6D的基礎(chǔ)上，還可以實(shí)現(xiàn)路由的隨機(jī)跳變，通過(guò)IP地址和路由的隨機(jī)跳變，達(dá)到隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，對(duì)抗網(wǎng)絡(luò)探測(cè)攻擊和指紋掃描的目的。MT6D與SCIT的區(qū)別與聯(lián)系是：兩者都可以看作是突變網(wǎng)絡(luò)的一種，MT6D利用了IPv6較大的地址空間快速改變IP地址阻止入侵，SCIT是快速切換服務(wù)器配置阻止入侵，這兩種技術(shù)都可以看作是突變網(wǎng)絡(luò)中網(wǎng)絡(luò)配置突變的一種具體實(shí)現(xiàn)。

　　1.4軟件應(yīng)用層

　　基于軟件多態(tài)化的MTD技術(shù)主要分為兩類(lèi)：基于軟件修改的多態(tài)化和利用編譯器實(shí)現(xiàn)軟件的多態(tài)化。

　　軟件修改多態(tài)化包含的技術(shù)主要包括輸入矯正、功能切除與替換、通過(guò)動(dòng)態(tài)接口進(jìn)行動(dòng)態(tài)配置等。Martin等人于2003年提出了輸入矯正的概念［15］，其原理是將明顯錯(cuò)誤的輸入自動(dòng)修改從而使系統(tǒng)正常運(yùn)行，以對(duì)抗入侵者利用某些漏洞通過(guò)錯(cuò)誤輸入入侵主機(jī)的目的。隨后Martin等人又于2006年提出了切除程序部分功能從而自動(dòng)規(guī)避漏洞的方法［16］，其基本思想是找到并去除程序中不想要的功能或者達(dá)不到期望目標(biāo)的模塊以降低漏洞被利用的風(fēng)險(xiǎn)。Henry等人于2010年提出了通過(guò)動(dòng)態(tài)接口進(jìn)行動(dòng)態(tài)配置的方法，其基本原理是將靜態(tài)配置參數(shù)轉(zhuǎn)換為動(dòng)態(tài)配置模式以避免參數(shù)的暴露并消除漏洞。此外，還有通過(guò)修改循環(huán)次數(shù)、循環(huán)分配內(nèi)存以及強(qiáng)制檢測(cè)規(guī)則執(zhí)行等方法實(shí)現(xiàn)軟件修改的多態(tài)性。

　　基于編譯器的軟件多態(tài)化主要包含了MVEE(MaltVariant Execution Environment)和MSSD(MassiveScale Software Diversity)兩類(lèi)技術(shù)，這兩類(lèi)技術(shù)都依賴(lài)于自動(dòng)化的編譯器產(chǎn)生功能相同但代碼不同的程序［17］。MVEE屬于運(yùn)行時(shí)的技術(shù)，其原理是一個(gè)程序構(gòu)建多個(gè)變體，系統(tǒng)接收到的輸入同時(shí)被送給所有的變體，這就使得入侵者幾乎不可能針對(duì)所有的變體設(shè)計(jì)不同的入侵程序，然后在系統(tǒng)監(jiān)控中比較所有變體的輸出，如果輸出不同，則預(yù)示著系統(tǒng)可能受到了入侵。在MVEE中，變體越多則監(jiān)視的效果就越好，但同時(shí)也會(huì)帶來(lái)額外的計(jì)算開(kāi)銷(xiāo)。Cox等人于2006年提出了“N變體系統(tǒng)框架”［18］，這一框架需要修改系統(tǒng)內(nèi)核，以便監(jiān)控程序在核心層的運(yùn)行。Jackson等人于2010年提出了一種采用用戶空間解決方案的架構(gòu)［17］，避開(kāi)了系統(tǒng)核心層的修改。對(duì)于一個(gè)特定的軟件產(chǎn)品，大多數(shù)情況下所有用戶使用的都是同樣的拷貝副本，這樣入侵者如果想要對(duì)特定軟件進(jìn)行攻擊，則只需要研究一種副本就足夠了，事實(shí)證明，以往的幾次大規(guī)模的蠕蟲(chóng)爆發(fā)都與這種單一拷貝副本有關(guān)。MSSD是一種大規(guī)模的靜態(tài)的軟件多態(tài)化技術(shù)，其基本原理是，如果同一個(gè)軟件產(chǎn)品可以有不同的副本（這些副本都可以實(shí)現(xiàn)相同的功能），那么入侵者要么對(duì)所有的副本進(jìn)行研究，找出每一個(gè)副本的漏洞，然后入侵；要么找到一個(gè)非常巧妙的方法和漏洞，能夠同時(shí)入侵不同的副本，這就增大了入侵者的入侵難度，能夠更好地保護(hù)系統(tǒng)和軟件的正常運(yùn)行。

2MTD技術(shù)典型應(yīng)用

　　隨著MTD技術(shù)的發(fā)展，其在正向網(wǎng)絡(luò)建設(shè)（如云服務(wù)）和專(zhuān)項(xiàng)威脅防御（如DDoS）等方面的應(yīng)用也越來(lái)越廣泛，這更加促進(jìn)了MTD技術(shù)的發(fā)展。

　　隨著云服務(wù)的快速發(fā)展，與云服務(wù)相對(duì)應(yīng)的安全防御技術(shù)也越來(lái)越受到人們的重視，MTD就在云服務(wù)安全防御中扮演了重要的角色。在云環(huán)境中，一般會(huì)部署較多的虛擬機(jī)，如何保證云環(huán)境中虛擬機(jī)的安全是MTD技術(shù)應(yīng)用的一個(gè)重要前提條件。在2012年，Yulong Zhang 等人針對(duì)這一問(wèn)題提出了通過(guò)周期性遷移虛擬機(jī)來(lái)防御入侵的方法，解決了虛擬機(jī)遷移的代價(jià)評(píng)估和確定遷移周期的策略問(wèn)題［19］。分析表明，虛擬機(jī)周期遷移的方法在可接受的代價(jià)條件下能夠顯著提高安全水平。在2014年，Wei Peng 等人建立了一個(gè)基于云服務(wù)的多樣化和動(dòng)態(tài)化的MTD評(píng)估模型，理清了MTD如何在云服務(wù)中發(fā)揮作用的問(wèn)題。Su Zhang 等人于2014年指出了云計(jì)算內(nèi)部存在的威脅并提出了一種針對(duì)數(shù)據(jù)中心的物理攻擊的網(wǎng)絡(luò)空間防御策略，將網(wǎng)絡(luò)空間與物理空間聯(lián)系起來(lái)并探索了虛擬化技術(shù)在應(yīng)對(duì)物理攻擊方面的作用。同時(shí)，Su Zhang 等人于2014年針對(duì)亞馬遜的彈性計(jì)算云（Elastic Compute Cloud，EC2）分析了基礎(chǔ)設(shè)施即服務(wù)（Infrustructure as a Service，IaaS）的脆弱性，并建立了博弈論模型和風(fēng)險(xiǎn)模型，比較了云環(huán)境和傳統(tǒng)網(wǎng)絡(luò)環(huán)境下的防御策略。通過(guò)與傳統(tǒng)環(huán)境比較發(fā)現(xiàn)，在IaaS云中，要想發(fā)現(xiàn)已有的脆弱點(diǎn)需要付出更大的代價(jià)。同時(shí)，防御者可以通過(guò)較小的代價(jià)和更高的效率完成防御工作。

　　DDoS是一種嚴(yán)重的網(wǎng)絡(luò)安全威脅，針對(duì)這一威脅，眾多學(xué)者提出了各種應(yīng)對(duì)方法，基于濾波和基于容量防御是兩種典型的DDoS防御方法。然而這兩種方法都是靜態(tài)的，并且也不能應(yīng)對(duì)復(fù)雜的入侵，如自適應(yīng)泛洪入侵。MTD作為一種動(dòng)態(tài)的防御方法被應(yīng)用到DDoS防御中，Q. Jia等人于2013年提出了MOTAG（MOving Target defense mechanism AGainst Internet DDoS attacks）技術(shù)，這是一種典型的基于移動(dòng)目標(biāo)的DDoS防御技術(shù)［20］。這一方法的基本思想是在服務(wù)器和客戶端通過(guò)代理節(jié)點(diǎn)進(jìn)行中繼傳輸，然后通過(guò)移動(dòng)、隱藏代理節(jié)點(diǎn)達(dá)到保護(hù)中心服務(wù)器的目的。在MOTAG中，代理節(jié)點(diǎn)具有兩個(gè)重要的特性：所有的代理節(jié)點(diǎn)在它們的IP地址和網(wǎng)絡(luò)中都是隱藏的，只有在成功授權(quán)以后才可以被合法用戶知道；代理節(jié)點(diǎn)是不斷變化的，當(dāng)任何一個(gè)代理節(jié)點(diǎn)被入侵以后，它會(huì)立即停止工作，轉(zhuǎn)而由其他的未被入侵的節(jié)點(diǎn)接手它的工作。Huangxin Wang等人2014年提出了一種MOTAG的架構(gòu)，并給出了實(shí)現(xiàn)這一技術(shù)的接近最優(yōu)的算法，同時(shí)對(duì)算法進(jìn)行了理論和仿真分析，分析結(jié)果表明MOTAG能夠有效防御DDoS。

3面臨問(wèn)題與挑戰(zhàn)

　　MTD技術(shù)剛剛起步，目前還面臨著兩大方面的問(wèn)題，一是MTD技術(shù)自身的發(fā)展；二是MTD技術(shù)與其他網(wǎng)絡(luò)技術(shù)融合的問(wèn)題。

　　首先，MTD技術(shù)正處在研究之中，面臨著很多技術(shù)問(wèn)題。在數(shù)據(jù)和指令集隨機(jī)化方面，雖然ISR能夠明顯增強(qiáng)系統(tǒng)的抵抗性，但是ISR并沒(méi)有解決由于編程錯(cuò)誤或者編碼水平低下而導(dǎo)致的軟件漏洞的核心問(wèn)題，經(jīng)過(guò)精心設(shè)計(jì)的蠕蟲(chóng)病毒依然能夠突破ISR的防線，如何對(duì)抗這種病毒并增強(qiáng)ISR在維護(hù)系統(tǒng)安全方面的作用是將來(lái)的重要研究方向。在網(wǎng)絡(luò)層，網(wǎng)絡(luò)配置變化的速度決定了MTD網(wǎng)絡(luò)抵抗入侵的能力，配置變化速度越快必然對(duì)網(wǎng)絡(luò)的穩(wěn)定性產(chǎn)生越大的影響，如何通過(guò)感知網(wǎng)絡(luò)狀態(tài)從而動(dòng)態(tài)地調(diào)節(jié)網(wǎng)絡(luò)配置變化速度，以達(dá)到降低網(wǎng)絡(luò)性能損耗的目的也是將來(lái)研究的方向。另外，MTD技術(shù)必須在不影響現(xiàn)有網(wǎng)絡(luò)條件的基礎(chǔ)上才有實(shí)用的可能，這也就意味著網(wǎng)絡(luò)層的MTD技術(shù)面臨的必須適應(yīng)現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)服務(wù)以及網(wǎng)絡(luò)協(xié)議，這是MTD技術(shù)面臨的一個(gè)較大的挑戰(zhàn)?，F(xiàn)有的MTD的構(gòu)建、評(píng)價(jià)和部署機(jī)制都是單一的，不僅可以從多個(gè)層次實(shí)現(xiàn)MTD技術(shù)，而且每個(gè)層次內(nèi)部也有多種MTD技術(shù)，如何實(shí)現(xiàn)多種MTD技術(shù)的融合也是其發(fā)展中必須解決的問(wèn)題。

　　其次，虛擬化和云計(jì)算技術(shù)是網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢(shì)，MTD如何與這些網(wǎng)絡(luò)技術(shù)融合也是一個(gè)巨大的挑戰(zhàn)。根據(jù)2015年國(guó)際互聯(lián)網(wǎng)安全大會(huì)上唐青昊的報(bào)告，現(xiàn)在的虛擬化基礎(chǔ)設(shè)施的安全和云計(jì)算系統(tǒng)的安全存在著巨大的漏洞，MTD技術(shù)與上述兩種技術(shù)的結(jié)合與綜合應(yīng)用必然是將來(lái)發(fā)展的方向。另外，SDN作為一種新型網(wǎng)絡(luò)架構(gòu)，其原理就是將控制邏輯從網(wǎng)絡(luò)交換設(shè)備中“分離”出來(lái)，當(dāng)控制器是可編程的時(shí)候，就可以通過(guò)控制器對(duì)網(wǎng)絡(luò)設(shè)備的流表進(jìn)行修改，讓路由設(shè)備靈活地達(dá)到安全防御方面的目的。隨著SDN在企業(yè)中的應(yīng)用越來(lái)越廣泛，基于SDN的MTD技術(shù)也是未來(lái)發(fā)展的一個(gè)熱點(diǎn)和方向。

　　MTD關(guān)鍵技術(shù)特點(diǎn)如圖2所示。結(jié)構(gòu)層級(jí)關(guān)鍵技術(shù)特點(diǎn)應(yīng)用層基于軟件修改針對(duì)某種具體的功能實(shí)現(xiàn)軟件修改基于編譯器方便，依賴(lài)于自動(dòng)編譯器網(wǎng)絡(luò)層ASD變化簡(jiǎn)單，同步開(kāi)銷(xiāo)大MUTE變化多樣，不可預(yù)測(cè)。但保持網(wǎng)絡(luò)中變化的同步性和安全性具有一定挑戰(zhàn)SCIT配置變化較快MT6D地址空間大，變化多IP層DyNAT可隨機(jī)化IP地址，對(duì)抗中間人攻擊，但不能發(fā)現(xiàn)終端主機(jī)的嗅探者APOD同時(shí)隨機(jī)化IP地址與端口，不透明NASR局域網(wǎng)級(jí)別的DHCP更新，主要是防范hitlist worms威脅RHM不需改變終端主機(jī)配置，開(kāi)銷(xiāo)較大OFRHM透明，開(kāi)銷(xiāo)小，但不能用于傳統(tǒng)網(wǎng)絡(luò)指令與

　　數(shù)據(jù)層ISR能阻止漏洞擴(kuò)散，需要硬件支持ASLR可利用硬件實(shí)現(xiàn)快速加密，但只能在有指針的條件下實(shí)現(xiàn)圖2MTD關(guān)鍵技術(shù)特點(diǎn)4結(jié)論

　　MTD作為一種革新性的技術(shù)，其基本思路就是將以往的被動(dòng)防御轉(zhuǎn)為移動(dòng)目標(biāo)下的主動(dòng)防御，將固定不變的網(wǎng)絡(luò)轉(zhuǎn)換為靈活可變的網(wǎng)絡(luò)。本文總結(jié)了目前一些MTD的關(guān)鍵技術(shù)及其應(yīng)用，分析了各種技術(shù)的特點(diǎn)（見(jiàn)圖2），并展望了MTD技術(shù)發(fā)展的前景。從MTD的技術(shù)思路以及近幾年的發(fā)展來(lái)看，它并不依靠增加安全系統(tǒng)的復(fù)雜度實(shí)現(xiàn)對(duì)目標(biāo)的保護(hù)，而是充分利用目標(biāo)所處的時(shí)間、空間和物理環(huán)境實(shí)現(xiàn)對(duì)目標(biāo)的保護(hù)，極大地增加了入侵難度，優(yōu)勢(shì)非常明顯。MTD比傳統(tǒng)網(wǎng)絡(luò)安全手段具有更好的防御效果，是未來(lái)網(wǎng)絡(luò)安全領(lǐng)域的重點(diǎn)發(fā)展方向。

參考文獻(xiàn)

　?。?］ 葉健健,文志誠(chéng),吳欣欣，等.基于多層次數(shù)據(jù)融合的網(wǎng)絡(luò)安全態(tài)勢(shì)分析方法研究［J］.微型機(jī)與應(yīng)用,2015,34(8):57,11.

　?。?］ 朱宇,袁帥.立體化網(wǎng)絡(luò)應(yīng)用層協(xié)議識(shí)別的研究與實(shí)現(xiàn)［J］.電子技術(shù)應(yīng)用,2014,40(1):6063.

　?。?］ SUSHIL J, ANUP K G, VIPIN S, et al. Moving target defense—creating asymmetric uncertainty for cyber threats［M］. NewYork: Springer Press, 2011.

　?。?］ BOYD S W, KC G S, LOCASTO M E, et al. On the general applicability of instruction set randomization［J］. IEEE Transactions on Dependable and Secure Computing, 2008,7(3):225270.