前言移动目标防御(MovingTargetDefense,MTD)技术是近年来网络空间“改变游戏规则”的革命性技术之一。不同于以往的网络安全技术,它变被动防御为主动防御。其系统和网络状态随着时间、空间、物理环境等多个维度的变化而不断变化,从而增加了入侵者入侵的难度,有效限制了自身漏洞暴露的概率。然而,移动目标防御技术在带来安全性提升的同时,也不可避免地要付出相应的代价。因此,在实际防御中,通过策略选择来提高移动目标防御的有效性非常重要。背景技术互联网在给人们带来便利和好处的同时,也带来了诸多网络安全威胁。近年来不断涌现的蠕虫、特洛伊木马、拒绝服务攻击和高级持续威胁(APT)攻击,使人们不得不面对互联网安全问题的严峻现实。近年来,各种安全事件(Stuxnet病毒、“棱镜门”事件、heartbleed漏洞、WannaCry勒索病毒等),也让人感受到各行各业潜在的网络安全威胁无处不在。攻击有多种变体和风格,大多数从端点开始,尤其是用户端点,然后通过系统扩展,寻找更多目标。攻击者还经常尝试对已发现的设备(例如DNS服务器、Web服务器和其他关键设备)进行远程攻击系统。然后,他们直接从设备中窃取数据和凭据,并将其用作跨网络扩展的跳板。根据SANS的2017年“威胁态势调查”,网络钓鱼和基于电子邮件的社会工程是攻击组织的主要手段。"在调查中,75%的受访者发现最有影响力的威胁最初来自电子邮件附件,46%的受访者通过点击电子邮件链接。为了攻击用户的系统m,对手必须获取用户密码或利用漏洞或风险,例如缺乏错误检查、过时的服务或应用程序漏洞。在系统遭到破坏后,攻击者通常会进一步横向移动,同时瞄准网络上的其他关键资产,以便映射网络并找到最多产的目标,例如MicrosoftExchange或数据库服务器。针对上述问题,移动目标防御技术可以通过周期性重置系统的某些方面来动态改变系统攻击面,使传统的静态网络动态化、随机化,增加系统被预测和攻击的难度,从而削弱系统的攻击面。attack传统网络攻防对抗的先天优势。该技术可以快速使攻击者收集的信息失效,从而延长攻击者的攻击时间,增加攻击成本。由于系统可用资源有限,移动目标防御技术虽然可以有效改善系统的静态特性,但也会增加系统的运行负担,影响为用户提供的服务质量。因此,如何在防御过程中有效地选择策略非常重要。分类1.基于信息熵的机动目标防御技术信息熵常用作系统信息含量的量化指标,可进一步作为系统方程优化的目标或参数选择的准则。信息熵可以用来统计当前流量的分布情况,对攻击者当前所处的阶段进行建模,根据阶段采用相应的策略进行防护。研究人员使用条件熵[2]、交叉熵[3]、Sibson熵[4]等方法衡量当前网络威胁态势。但是信息熵的使用需要从防御者的角度对攻击者的行为模式进行详细的定义,对攻击者和防御者的建模都过于理想化,缺乏一定的说服力。2.基于机器学习的移动目标防御技术机器学习是当前研究领域的一个热点,在网络安全的许多方面都有应用,如攻击检测、身份认证、隐私分析等。也被应用到移动目标防御的策略选择中。常用的算法包括遗传算法[5]和强化学习算法[6]。基于遗传算法的运动目标防御策略选择:在遗传算法中将不同的动作作为染色体,对染色体进行选择、交叉、变异,得到满足条件的染色体,从而获得较好的结果。在遗传算法中,适应度用于评价不同的染色体。在现有文献中,研究者对适应度进行了不同的定义,如防御者的防御回报、攻击成功率等。基于强化学习的移动目标防御策略选择:防御者不断更新采取行动的奖励值,从而建立一个结合系统状态和奖励值的Q值表,然后根据Q值表选择一个动作以获得最大的奖励。图1强化学习示意图3.基于博弈论的移动目标防御技术由于防御者在网络攻防中有效防御的关键是选择最佳的行动策略,而双方的目标相互冲突,而非合作关系与博弈论不谋而合。符合基本特征。博弈论与移动目标防御相结合的研究,从最初定义的序贯Stackelberg博弈模型到实证博弈分析模型,后续研究通常与强化学习中的马尔可夫决策过程相结合,包括使用的多目标马尔可夫决策过程建模[7],然后将最新的攻防对抗作为一个连续过程,结合马尔可夫决策过程的微分方程博弈模型[8],近年来,研究人员研究了领域不断探索和完善。4.基于攻击图的移动目标防御技术在攻击者渗透网络的过程中,具体的连续攻击行为可以称为攻击者节点到目标节点的攻击路径。攻击图是一种基于模型的网络安全评估技术。它从攻击者的角度出发,综合分析各种网络配置和漏洞信息,找出所有可能的攻击路径。根据攻击者当前所在的节点,结合其他节点的脆弱性和节点的价值,预测攻击行为,提前实施后续路径上的节点防御移动目标进行应对与攻击者的攻击[9]。图2AttackGraphSummary示意图文章展示了目前应用于移动目标防御的几种策略选择方法。经过几年的发展,这个领域已经越来越成熟,但是这些研究大多是在单一攻击的场景下进行的。另外,现有的移动目标防御技术要么是基于随机性,要么是基于安全事件的被动触发机制,并且更多地依赖于系统中的异常检测,因此还有很大的研究空间。参考文献[1]ClarkA,SunK,BushnellL,etal.基于诱饵的网络防御中IP地址随机化的博弈论方法[J].SpringerInternationalPublishing,2015.[2]田俊峰,齐柳玲.SDN中基于条件熵和GHSOM的DDoS攻击检测方法[J].通信学报,2018,39(8):10.[3]刘涛,尹生.SDN环境识别中基于交叉熵的阶段性DDoS攻击检测与分析[J].计算机应用与软件,2021,38(2):6.[4]雷成,马多和,张红旗,等。基于网络攻击面自适应变换的移动目标防御技术[J].JournalofComputerScience,2018,041(005):1109-1131.[5]KellyJ,DelausM,HembergE,etal.在软件定义网络上对抗性地适应欺骗性视图和侦察扫描[J].IEEE.[6]TozerB、MazzuchiT、SarkaniS。使用多目标强化学习优化攻击面和配置多样性[C]//IEEE机器学习与应用国际会议。IEEE,2016.[7]ZhouY,GuangC.一种使用移动目标防御对抗ddos攻击的高性价比洗牌方法[C]//2019.[8]ZhangH,JingleiT,LiuX,等。移动目标防御决策方法:A动态马尔可夫微分博弈模型[C]//CCS'20:2020ACMSIGSAC计算机和通信安全会议。2020.[9]YoonS、ChoJH、DongSK等。软件定义网络中基于攻击图的移动目标防御[J].IEEE网络和服务管理汇刊,2020,PP(99):
