馬潤年，陳彤睿，王 剛，伍維甲

（空軍工程大學信息與導航學院，西安 710003）

0 引言

隔離區(qū)（DMZ，Demilitarized Zone）是針對安裝防火墻后外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)無法連通，在外部非安全區(qū)域與內(nèi)部安全區(qū)域之間設(shè)立的緩沖區(qū)，又稱“非軍事區(qū)”。外部非信任區(qū)用戶和內(nèi)部信任區(qū)用戶可以共同訪問DMZ區(qū)，從而滿足系統(tǒng)對網(wǎng)絡(luò)安全和服務(wù)需求的平衡需求。目前，隔離區(qū)安全防護系統(tǒng)主要采用靜態(tài)部署，一定程度上緩解了外界對內(nèi)網(wǎng)的安全威脅，但是靜態(tài)防御仍面臨著攻防局面不對稱、零日漏洞威脅、可選防御策略少等隱患[1]。近年來，動態(tài)目標防御（MTD，Moving Target Defense）技術(shù)成為網(wǎng)絡(luò)安全防御的焦點，如在Linux內(nèi)核PaX補丁中實現(xiàn)的地址空間隨機化技術(shù)[2]，網(wǎng)絡(luò)防御由靜態(tài)被動向主動轉(zhuǎn)變成為網(wǎng)絡(luò)安全的發(fā)展趨勢。根據(jù)網(wǎng)絡(luò)信息體系結(jié)構(gòu)劃分，動態(tài)目標防御分為軟件、網(wǎng)絡(luò)、平臺和數(shù)據(jù)4大類技術(shù)[3]，其中平臺動態(tài)防御技術(shù)針對系統(tǒng)設(shè)計采用單一架構(gòu)的特點，可考慮用來解決平臺層面靜態(tài)安防系統(tǒng)的固有缺陷。

目前比較成熟的平臺動態(tài)防御技術(shù)包括基于動態(tài)可重構(gòu)的平臺動態(tài)化[4]、基于異構(gòu)平臺的應(yīng)用熱遷移[5]、Web 服務(wù)多樣化[6]和基于入侵容忍的平臺動態(tài)化[7]等。隨著平臺計算能力、操作系統(tǒng)、應(yīng)用程序和虛擬化技術(shù)的新近發(fā)展，基于異構(gòu)平臺的應(yīng)用熱遷移和Web服務(wù)多樣化技術(shù)的可操作性越來越強[8]。文獻[5]在內(nèi)核級、操作系統(tǒng)層面和硬件層面的移動目標防御中，提出了基于異構(gòu)平臺的應(yīng)用熱遷移技術(shù)。文獻[9]設(shè)計了基于云環(huán)境的多樣化虛擬機池，通過快照和恢復技術(shù)，實現(xiàn)流量和服務(wù)的動態(tài)遷移。文獻[6]應(yīng)用Web服務(wù)多樣化技術(shù)，提出了虛擬服務(wù)器棧設(shè)計方案。文獻[10]提出了面向DNS和Web服務(wù)器的SCIT（Self-Cleaning Intrusion Tolerance）技術(shù)框架。文獻[11]應(yīng)用多態(tài)化軟件棧模板，設(shè)計了異構(gòu)虛擬服務(wù)器池。文獻[12]提出了一種多樣化環(huán)境下的移動目標防御方法，通過引入多樣性的用戶端、服務(wù)器端和網(wǎng)絡(luò)端，在運行過程中不間斷地進行切換。文獻[13]提出了一種軟件定義APT攻擊移動目標防御網(wǎng)絡(luò)架構(gòu)SDMTDA。文獻[14]基于Web應(yīng)用的服務(wù)器端各結(jié)構(gòu)層次，在應(yīng)用邏輯層、Web服務(wù)器層、數(shù)據(jù)存儲層、操作系統(tǒng)層、基礎(chǔ)架構(gòu)層實現(xiàn)多樣性設(shè)計。文獻[15]提出了適應(yīng)性移動目標防御框架（AMTD），提供由安全警報觸發(fā)的反應(yīng)性防御和定時器到期事件觸發(fā)的主動防御。

總體上，對于隔離區(qū)的網(wǎng)絡(luò)安全防御而言，還需要適應(yīng)隔離區(qū)安全防御新需求和動態(tài)目標防御技術(shù)特點，開展深入研究。1）現(xiàn)階段隔離區(qū)安全防御研究主要針對單一類型平臺，如文獻[5-11]，但是現(xiàn)實隔離區(qū)往往是多類型異構(gòu)網(wǎng)絡(luò)平臺，可以在防御策略設(shè)計中利用多類型異構(gòu)特點，構(gòu)建更加有效的平臺動態(tài)防御體系；2）在策略設(shè)計過程中，靜態(tài)防御主要通過“筑高墻、補漏洞”等策略，單一類型平臺動態(tài)防御主要考慮平臺暴露時間、遷移次序等因素[16]。對現(xiàn)實網(wǎng)絡(luò)安全而言，策略設(shè)計還要考慮異構(gòu)平臺之間遷移的規(guī)則和實現(xiàn)技術(shù)，以及由此帶來的安全性不平衡等問題；3）平臺動態(tài)防御效果的評估問題，應(yīng)結(jié)合MTD和平臺動態(tài)防御原理、技術(shù)和策略，參照傳統(tǒng)效能評估指標，如文獻[17-19]，建立起科學的平臺動態(tài)防御效能指標體系。

本文從隔離區(qū)平臺動態(tài)防御原理分析入手，結(jié)合網(wǎng)絡(luò)攻防特點，考慮平臺暴露時間和隨機遷移次序等因素，提出了面向隔離區(qū)的3種平臺動態(tài)防御主動遷移策略，設(shè)計了策略評估指標和系統(tǒng)效能計算方法。

1 隔離區(qū)平臺動態(tài)防御原理

DMZ區(qū)一般部署有防火墻、入侵檢測系統(tǒng)（IDS，Intrusion Detection Systems）、Web 服務(wù)器和堡壘主機以及交換機/路由器等設(shè)備。防火墻控制訪問規(guī)則，僅允許外網(wǎng)用戶訪問Web服務(wù)器的HTTP和FTP服務(wù)，以及堡壘主機上的SMTP服務(wù)；IDS監(jiān)視網(wǎng)絡(luò)的運行狀況，發(fā)現(xiàn)異常行為即刻告警；堡壘主機負責保衛(wèi)內(nèi)網(wǎng)，外網(wǎng)用戶想要訪問內(nèi)網(wǎng)必須獲得堡壘主機賦予的相應(yīng)權(quán)限；Web服務(wù)器為外網(wǎng)用戶提供內(nèi)網(wǎng)允許公開的信息服務(wù)。內(nèi)網(wǎng)信任區(qū)上的訪問控制規(guī)則規(guī)定，DMZ區(qū)的Web服務(wù)器和內(nèi)網(wǎng)的主機用戶群可以對文件服務(wù)器和數(shù)據(jù)庫服務(wù)器進行訪問；其他網(wǎng)絡(luò)節(jié)點和端口均進行阻斷[20]。

攻擊者要想對內(nèi)網(wǎng)節(jié)點進行攻擊，必須首先獲得DMZ區(qū)堡壘主機或Web服務(wù)器的相應(yīng)權(quán)限。權(quán)限分為多個級別，一般只有root權(quán)限才能對內(nèi)網(wǎng)節(jié)點發(fā)動攻擊行為。從攻擊者的角度看，其策略包括以下3類：1）發(fā)現(xiàn)Web服務(wù)器漏洞→獲取Web服務(wù)器權(quán)限→攻擊文件/數(shù)據(jù)庫服務(wù)器；2）發(fā)現(xiàn)堡壘主機漏洞→獲取堡壘主機權(quán)限→停止Web服務(wù)器動態(tài)遷移→獲取Web服務(wù)器權(quán)限→攻擊文件/數(shù)據(jù)庫服務(wù)器；3）發(fā)現(xiàn)堡壘主機漏洞→獲取堡壘主機權(quán)限→攻擊內(nèi)網(wǎng)用戶[19]。傳統(tǒng)的靜態(tài)防御系統(tǒng)通過在堡壘主機和Web服務(wù)器上升級殺毒軟件，及時打漏洞補丁，以及依賴于IDS告警時進行端口控制等措施確保系統(tǒng)安全。但是隨著先進持續(xù)性威脅（APT，Advanced Persistent Threat）增多，網(wǎng)絡(luò)攻擊的強度越來越強，操作系統(tǒng)等軟件的安全漏洞層出不窮，修補速度甚至呈現(xiàn)出趕不上漏洞發(fā)現(xiàn)速度的趨勢，采取靜態(tài)防御的安全系統(tǒng)越來越力不從心。以攻擊Web服務(wù)器為例，一旦攻擊者獲知了服務(wù)器上可利用的未修補提權(quán)漏洞，就可以輕而易舉拿到root權(quán)限，可進一步對內(nèi)網(wǎng)進行攻擊，漏洞從發(fā)現(xiàn)到修補都需要一定的時間，有時甚至間隔數(shù)月之久，此時網(wǎng)絡(luò)就始終處于危險境地，很難保證接入外網(wǎng)時的安全。

針對隔離區(qū)對提升堡壘主機和Web服務(wù)器安全性能的需求，參考典型企業(yè)網(wǎng)絡(luò)靜態(tài)防御系統(tǒng)模型[20]，設(shè)計一種面向DMZ區(qū)的平臺動態(tài)防御系統(tǒng)，拓撲結(jié)構(gòu)如圖1所示。堡壘主機硬件平臺上虛擬化多個獨立異構(gòu)的操作系統(tǒng)環(huán)境，如堡壘主機H1裝載Windows 7操作系統(tǒng)，堡壘主機H2裝載Linux操作系統(tǒng)等，采用基于異構(gòu)平臺的應(yīng)用熱遷移技術(shù)保證堡壘主機的異構(gòu)系統(tǒng)間環(huán)境和狀態(tài)的遷移，通過虛擬化技術(shù)部署構(gòu)造異構(gòu)的多種系統(tǒng)平臺，以及搭載在系統(tǒng)上的多種異構(gòu)軟件，使進入系統(tǒng)的訪問以安全可控的方式隨機化地在不同平臺上遷移，減少單一結(jié)構(gòu)平臺暴露給外界的時間[5]，圖1中實線代表處于上線狀態(tài)的堡壘主機與網(wǎng)絡(luò)中其他設(shè)備處于連接狀態(tài)，虛線代表其他候選堡壘主機平臺與其他設(shè)備處于待連接狀態(tài)。在Web服務(wù)器的部署方面采用動態(tài)多樣化技術(shù)，創(chuàng)建多個具有不同軟件架構(gòu)的虛擬服務(wù)器，按照虛擬化平臺、操作系統(tǒng)、Web服務(wù)器軟件、Web應(yīng)用程序的層級結(jié)構(gòu)搭建。通過加設(shè)調(diào)度器使這些服務(wù)器動態(tài)地在離線與在線狀態(tài)切換，以響應(yīng)來自外界的服務(wù)請求，同時配置可信控制器來控制調(diào)度器以及虛擬服務(wù)器的啟動和安全[6]。考慮到可信控制器為Web動態(tài)多樣化技術(shù)的關(guān)鍵，一旦受到破壞，Web服務(wù)器的遷移就會被癱瘓。因此，考慮將可信控制器配置在堡壘主機上，通過堡壘主機的動態(tài)遷移保護可信控制器。

圖1 面向DMZ區(qū)的平臺動態(tài)防御網(wǎng)絡(luò)拓撲圖

攻擊者的攻擊殺傷鏈一般分為5步：“偵察-訪問-編寫攻擊代碼-發(fā)起攻擊-持續(xù)”[22]，其完成完整的殺傷鏈需要一定的時間。在DMZ區(qū)平臺動態(tài)防御過程中，若T1時刻上線平臺為Web服務(wù)器1和堡壘主機1，T2時刻變?yōu)閃eb服務(wù)器2和堡壘主機2，攻擊者在T2-T1的時間內(nèi)需要通過Web服務(wù)器1或通過堡壘主機1兩條攻擊路徑中的任意一條完成完整的殺傷鏈，若不能則需要在T2時刻重新回到殺傷鏈第一步——對未知平臺進行偵察。因此，平臺允許存在未被發(fā)現(xiàn)或未來得及修補的漏洞，并且不與傳統(tǒng)靜態(tài)防御措施相沖突，可在平臺下線后對系統(tǒng)漏洞進行修補或進行系統(tǒng)清洗維護，提升平臺的安全性能，使得平臺再次上線后更加難以被攻破，提升系統(tǒng)整體應(yīng)對網(wǎng)絡(luò)攻擊的能力。

2 動態(tài)防御策略設(shè)計

通過以上分析可以看出，系統(tǒng)達成防御目的需要具備兩個因素：一是趕在攻擊者完成攻擊前完成狀態(tài)遷移，即時限因素；二是增強攻擊者對系統(tǒng)環(huán)境的不確定性，即系統(tǒng)隨機化因素[22]。系統(tǒng)的這兩項因素由動態(tài)防御策略所決定，在不同動態(tài)防御策略下，系統(tǒng)各平臺上線時限不同，遷移規(guī)則不同，所具備的隨機化程度也不同。攻擊者在攻擊系統(tǒng)時，若平臺遷移越快，則留給攻擊的窗口時間越短；若系統(tǒng)擁有一定數(shù)量規(guī)模的候選平臺，在這些平臺間遷移規(guī)則的隨機化程度越高，攻擊者越摸不清平臺間的遷移規(guī)律，也就無法針對下一平臺提前做好準備展開攻擊行動。

基于以上分析，面向隔離區(qū)的平臺動態(tài)防御應(yīng)通過攻擊面暴露時間Λt和平臺選擇的隨機化程度r兩個參數(shù)的優(yōu)化調(diào)整，提升防御效能。綜合考慮具體情況，以下給出了3種動態(tài)防御策略。

策略1固定時間間隔-順序平臺選擇策略。指為每一類候選平臺分配相等的暴露時間，遷移次序固定。

考慮到系統(tǒng)部署的初始階段，通過降低策略設(shè)計的復雜性以實現(xiàn)快速部署。在設(shè)置平臺暴露時間上，根據(jù)前文對攻擊者攻擊策略的分析，若攻擊者將攻擊文件/數(shù)據(jù)庫服務(wù)器作為目標，在Web服務(wù)器和堡壘主機同步變化的條件下，通過Web服務(wù)器進行攻擊的路徑為最短路徑，攻擊者會傾向于選擇此策略。并且因為Web服務(wù)器為服務(wù)資源而堡壘主機為防御資源，在通常情況下堡壘主機的安全性能會高于Web服務(wù)器，也使得攻擊者有較大的可能性攻擊Web服務(wù)器。因此，在參數(shù)設(shè)置時，應(yīng)設(shè)置Web服務(wù)器平臺暴露時間小于堡壘主機平臺暴露時間，增加攻擊Web服務(wù)器的難度。在平臺遷移次序上，按照固定周期循環(huán)進行。

策略2固定時間間隔-隨機平臺選擇策略。指在策略1基礎(chǔ)上，將遷移次序改為隨機序列。

考慮到若持續(xù)采取策略1，攻擊者通過長時間偵察，較為容易找到平臺的固定遷移次序周期，而后可以通過預先準備，在輪轉(zhuǎn)到目標平臺時可以直接進入到加載攻擊代碼階段，在極短時間內(nèi)完成攻擊行動，使平臺動態(tài)防御失效。若使平臺遷移次序，遵循事先設(shè)計的隨機規(guī)律，攻擊者將很難預料到下一時刻的平臺對象，就無法做到預先準備，從而減少被攻擊成功概率，提升防御效果。

策略3基于平臺安全等級的可調(diào)時間間隔-隨機平臺選擇策略。在策略2基礎(chǔ)上，根據(jù)每一平臺的攻擊面大小來分配暴露時間，攻擊面小的平臺相對攻擊面大的平臺分配的暴露時間按一定規(guī)則延長。

從安全性角度考慮，攻擊面小的平臺具備較高的安全等級，攻擊者能夠攻破的概率較低，攻擊時間會相應(yīng)延長，高安全等級平臺在線時容易收獲較高的安全收益。從成本角度思考，將高安全等級平臺的在線時間延長，可以減少單位時間內(nèi)平臺遷移的頻率，由此降低成本。

3 安全評估指標及效能計算

為有效度量系統(tǒng)的防御效能，建立相應(yīng)的安全評估模型和配套指標，給出了基于各項指標的效能計算方法。

3.1 平臺動態(tài)防御安全評估模型

參照動態(tài)目標防御單階段博弈模型[20]，提出平臺動態(tài)防御安全評估模型（PDDSEM，platform dynamic defense security evaluation model）。

定義 1 PDDSEM用四元組（P，S，D，U）描述，其中：

3.2 防御指標

結(jié)合前文分析，根據(jù)安全評估模型所包含要素，考慮平臺動態(tài)防御時限要素和隨機化要素，以防御收益與成本比值作為衡量防御效能的目標。選取攻擊面暴露時間Δt、候選平臺數(shù)量ca和隨機化程度r作為策略量化指標，防御收益DE（Defense Earning）、攻擊面轉(zhuǎn)移成本ASSC（Attack Surface Shifting Cost）和負面影響NC（Negative Cost）成本作為系統(tǒng)效能計算指標。

定義2攻擊面暴露時間Δt。指單一平臺在線提供服務(wù)的時間。平臺在線狀態(tài)下會被攻擊者偵察和攻擊，一旦攻擊者在Δt時間內(nèi)完成攻擊行動，則防御失效。在攻擊面暴露時間的選取上，可采取固定時間間隔，也可使用可調(diào)時間間隔。

定義3候選平臺數(shù)量ca。指某類平臺可選擇遷移的平臺空間，異構(gòu)平臺越多，可變策略就越多，攻擊者就越難以對系統(tǒng)進行偵察和攻擊。為保證動態(tài)防御有效，規(guī)定 2≤ca≤n，ca∈N+，否則該類平臺只能進行靜態(tài)防御。

定義4隨機化程度r。是對動態(tài)防御策略平臺遷移規(guī)則的不可預測性進行衡量。平臺遷移方式的隨機化程度越高，攻擊者就越難以掌握遷移規(guī)律。r的大小與平臺被選擇的概率有關(guān)，即與ca和遷移規(guī)則有關(guān)。目前有順序選擇、根據(jù)函數(shù)計算選擇（偽隨機）、根據(jù)安全等級選擇等遷移方式可供參考[23]。

定義5防御收益DE。指防御方阻止攻擊行為收獲的系統(tǒng)安全價值，其與資源的重要程度Cr（Criticality）和防御時間有關(guān)，防御方能阻止攻擊者入侵資源的時間越長，DE越大。

定義6攻擊面轉(zhuǎn)移成本ASSC。指平臺遷移時需要付出的系統(tǒng)開銷，其大小和平臺間的相似度有關(guān)，相似度越小，意味著遷移前需要做的準備工作越多，轉(zhuǎn)移成本也就越高。

定義7負面影響成本NC。指平臺發(fā)生遷移時，帶來的工作或服務(wù)質(zhì)量下降，變換頻率越快，質(zhì)量下滑越明顯，負面影響也就越大。根據(jù)頻率與時間呈反比關(guān)系，可得負面影響成本與攻擊面暴露時間呈反比關(guān)系。

3.3 防御效能計算

根據(jù)各項指標，給出系統(tǒng)防御效能計算方法。

1）根據(jù)每一平臺的所有漏洞基本度量值評估每一平臺攻擊面大小sij，并賦值。

2）根據(jù)sij計算攻擊者的攻擊平均周期與呈反比關(guān)系，即，其中，β為攻擊周期系數(shù)。也可用矩陣表示為

3）根據(jù)采取的動態(tài)防御策略設(shè)定ca和t，并計算r。其中Δt取可調(diào)時間間隔時，應(yīng)用Δtij分別表示每一平臺的暴露時間。若，意味著在此時狀態(tài)下系統(tǒng)能被成功突破，則防御效能為0。若則進入步驟4）計算。隨機化程度r參照信息熵定義計算，若策略設(shè)定在同類中選擇下一平臺的概率用馬爾科夫轉(zhuǎn)移矩陣表示為，其中，，則計算某類平臺在該策略下的隨機化程度ri為

4）文獻[3]中關(guān)于攻擊探測概率的定義，在不考慮報文攔截率的情況下，計算其中一類平臺攻擊探測概率為

5）計算在[0，T]時間內(nèi)的防御收益DE為

6）計算在[0，T]時間內(nèi)該動態(tài)防御策略下系統(tǒng)的NC和ASSC，其中，若，，分別表示在[0，T]時間內(nèi)各平臺上線次數(shù)，則根據(jù)定義8，，其中，α為負面成本系數(shù)。ASSC需要根據(jù)策略規(guī)定的遷移序列計算，例如定義堡壘主機平臺間轉(zhuǎn)移成本矩陣為，其中，矩陣元素，表示由i號平臺遷移到j(luò)號平臺時消耗資源的成本，aii=0表示平臺沒有發(fā)生遷移；同理，可定義Web服務(wù)器平臺間轉(zhuǎn)移成本矩陣為。若給定堡壘主機和Web服務(wù)器遷移序列分別為和，則。

從式（5）可以看出，防御效能并不僅僅隨著防御收益的增加而增加，還需考慮成本因素，若只注重安全，一味縮短平臺暴露時間，會導致成本的加速上升而使效能減少。簡言之，若防御收益的增速不及成本增速，就會導致效能下降。

4 仿真分析

4.1 仿真實驗環(huán)境

按照第1節(jié)中設(shè)計的面向DMZ區(qū)的平臺動態(tài)防御系統(tǒng)，在實驗環(huán)境中采用3種不同操作系統(tǒng)搭建堡壘主機平臺，堡壘主機H1裝載Windows 7操作系統(tǒng)，堡壘主機H2裝載Linux操作系統(tǒng)，堡壘主機H3裝載Windows 10操作系統(tǒng)；在部署Web動態(tài)服務(wù)器方面，搭建3種不同的Web服務(wù)器平臺，具體內(nèi)容如表1所示。

表1 采用的Web平臺具體架構(gòu)

應(yīng)用Nessus工具掃描給定實驗網(wǎng)絡(luò)環(huán)境，挖掘系統(tǒng)各平臺漏洞，根據(jù)國家信息安全漏洞庫[24]和美國國家漏洞庫[25]有關(guān)數(shù)據(jù)，獲得平臺漏洞信息如下頁表2所示。

根據(jù)定義1模型中對平臺攻擊面的分析，對堡壘主機類平臺的攻擊面分別賦值：s11=7.2，s12=7.2，s13=6.1?？紤]到Web服務(wù)器類平臺具有4層架構(gòu)，處于底層的技術(shù)漏洞產(chǎn)生的影響和后果可能波及上層軟件[6]，因此，對Web服務(wù)器類平臺采取分層加權(quán)的方式為攻擊面進行賦值，從最底層到最高層按照“虛擬化平臺-操作系統(tǒng)-Web服務(wù)器軟件-Web應(yīng)用程序”分別取 0.4、0.3、0.2、0.1 的權(quán)重，則計算 Web 服務(wù)器類平臺攻擊面得：s21=7.47，s22=6.91，s23=5.34。

4.2 關(guān)鍵參數(shù)取值

為對不同動態(tài)防御策略下系統(tǒng)的防御效能進行比較，對部分參數(shù)統(tǒng)一如下：

1）根據(jù)攻擊者獲取root權(quán)限后對內(nèi)網(wǎng)的危害程度，設(shè)堡壘主機的重要程度Cr1=1 000，Web服務(wù)器的重要程度Cr2=800；2）根據(jù)實驗環(huán)境中同類平臺間的相似度，設(shè)遷移成本為：堡壘主機；Web動態(tài)服務(wù)器；3）負面成本系數(shù) α=10；4）觀測時間 T=80。

3種策略仿真參數(shù)取值為：

策略1中根據(jù)Web服務(wù)器的變換頻率應(yīng)大于堡壘主機的變換頻率原則，在取值時考慮，其中，取 Δtij均為整數(shù)，且，以 Δt2j為參考橫坐標，在 Δtij∈（0，13]內(nèi)進行仿真分析。在隨機化程度的設(shè)定上，因為固定順序下一平臺出現(xiàn)的概率為1，因此，由式（2）得。

表2 各平臺漏洞信息

策略2中Δtij設(shè)置與策略1相同。在隨機化程度的設(shè)定上，采取完全隨機方式，所有平臺被選擇概率相等，即，由式（2）得。

策略3中Δtij取值上，按照的原則，取Δtij均為整數(shù)，則以最小的Δt21為參考橫坐標，其他數(shù)值取值為，在 Δt21∈[1，9]內(nèi)進行仿真分析。隨機化程度r取值與策略2相同。

4.3 仿真結(jié)果分析

圖2～圖5分別給出了3種策略攻擊探測概率、防御收益、攻擊面轉(zhuǎn)移成本、負面影響成本和防御效能的仿真結(jié)果。

圖2 3種策略攻擊探測概率比較

從圖2可以看出，隨著平臺暴露時間逐步增長，3種策略的2類平臺攻擊探測概率都呈增長趨勢，符合單一平臺暴露時間越長，越有可能被攻陷的結(jié)論。相應(yīng)在圖3中，平臺暴露時間越長，攻擊探測概率越高，防御收益也減少，驗證了對式（4）的分析。策略2、策略3相對策略1增加了隨機化影響，攻擊探測概率降低，防御收益較高。

圖3 3種策略防御收益比較

圖4 3種策略ASSC與NC比較

分析圖4可知，攻擊面轉(zhuǎn)移成本隨平臺暴露時間的增長而減少，單一平臺暴露時間越長，平臺遷移次數(shù)下降，則所需的轉(zhuǎn)移成本也越少。同理，平臺遷移次數(shù)越小，則越能使業(yè)務(wù)承載不間斷，從而降低了負面影響成本。策略1與策略2的Δt取值相同，觀測時間內(nèi)遷移次數(shù)也就相同，因此ASSC與DC相等。策略3的Δt取值以Δt21為基準，根據(jù)攻擊面大小進行排序后分別賦值，平臺遷移次數(shù)下降多，成本由此降低。

圖5 3種策略防御效能比較

從圖5可以看出，防御效能隨著平臺暴露時間的增長總體呈現(xiàn)逐步增長的趨勢。策略1在Δt1j=9時出現(xiàn)極值點，表明若將平臺暴露時間控制在攻擊者完成對平臺的攻擊周期內(nèi)，則隨著平臺暴露時間的增長，防御收益呈一次方下降趨勢，而轉(zhuǎn)移成本和負面影響呈反比例下降趨勢，相對防御收益隨時間增長下降較慢，防御效能會在某一時刻出現(xiàn)極值點，與式（5）的分析結(jié)果一致。對比不同策略下的防御效能，分析可得策略2相對策略1受隨機化程度影響，防御效能較高。策略3與策略2相比，由于根據(jù)攻擊面大小設(shè)置可調(diào)暴露時間，受隨機選擇平臺影響，遷移序列不固定，防御效能呈現(xiàn)不穩(wěn)定增長趨勢，但總體效能仍高于策略2。

仿真結(jié)果表明，針對平臺安全等級設(shè)置攻擊面暴露時間相比，采取固定暴露時間能夠獲得更好的防御效能，采取隨機化的遷移序列比采取固定遷移序列的防御效能更高，也就是說基于平臺安全等級的可調(diào)時間間隔-隨機平臺選擇策略在3種策略中最優(yōu)。

5 結(jié)論

本文針對隔離區(qū)安全資源靜態(tài)被動防御問題，引入動態(tài)目標防御理念與技術(shù)，設(shè)計了3種面向隔離區(qū)平臺動態(tài)防御的主動遷移策略。針對不同策略條件下系統(tǒng)的效能評估問題，提供了安全評估指標和效能計算方法。下一步需要結(jié)合系統(tǒng)在實際網(wǎng)絡(luò)環(huán)境中的運行情況，進行數(shù)據(jù)采集，驗證并改進評價指標，豐富可選策略。