馬猛飛，石樂義*，魏東平，徐興華

(1.中國石油大學(華東) 計算機科學與技術學院，山東 青島 266580；2.中國石油大學(華東) 海洋與空間信息學院，山東 青島 266580)

0 引 言

近年來，隨著計算機技術的不斷進步，互聯(lián)網正在改變著人們的生活方式，在享受互聯(lián)網帶來便利的同時，網絡安全問題也日益加劇，借助網絡實現(xiàn)入侵的攻擊事件屢見不鮮。計算機技術的發(fā)展使攻擊者的攻擊技術更趨于多樣化、智能化。傳統(tǒng)的防御手段如訪問控制、防火墻、入侵檢測等都具有靜態(tài)性，攻擊者有充足的時間去研究目標，導致攻防兩端不平等的局面。為了改變這種局面，移動目標防御技術[1](moving target defense，MTD)由美國國家科學技術委員會于2011年借鑒了增加射擊難度的移動靶訓練而提出，主要思想是使構建、分析、評價、部署策略多樣化和偽隨機化，從而增加攻擊的成本和復雜度。移動目標防御技術的核心思想不是建立一個無懈可擊的系統(tǒng)，而是在假設系統(tǒng)不安全的情況下，通過動態(tài)變換系統(tǒng)的參數(shù)或者屬性，增加系統(tǒng)的不確定性，構建一種彈性系統(tǒng)。其概念一經提出即受到各國政府廣泛的關注，同時國內提出的端信息跳變技術、擬態(tài)防御等成為專家學者研究的熱點。

目前移動目標防御系統(tǒng)的變換方式以及變換頻率通常是管理者根據經驗去設定，如果變換頻率過快，那么系統(tǒng)的開銷則過大，導致系統(tǒng)的性能降低；如果變換頻率過小，模式單一，攻擊者又很容易找準攻擊點進行全力攻擊。所以如何在安全性和成本之間達到一種平衡是當前值得研究的問題。

該文針對分布式Web服務的移動目標防御系統(tǒng)變換方式、策略單一問題展開研究。單一固定的變換模式難以有效應對錯綜復雜的網絡攻擊，該文提出基于信息熵的分布式Web服務移動目標防御方案，方案結合信息熵的思想對異常流量進行檢測分類，進而根據分類的結果動態(tài)改變移動目標防御的變換頻率和變換方式。針對分布式Web服務的移動目標防御策略進行研究設計，最后通過理論分析與原型實驗證明該方案可以有效地抵御多種網絡攻擊。

1 相關研究

在主動防御研究進程中，國內外分別提出了移動目標防御、擬態(tài)安全防御、端信息跳變技術等[2-3]，從根本上改變目前網絡“易攻難守”的局面。移動目標防御的研究文獻中，Okhravi H[4]根據執(zhí)行棧中的位置把移動目標防御技術分為動態(tài)數(shù)據、動態(tài)運行環(huán)境、動態(tài)軟件、動態(tài)平臺和動態(tài)網絡五大類。文獻[5]利用IPv6的巨大地址空間提出MT6D架構，通過動態(tài)改變發(fā)送方和接收方的地址來保護通信主機的身份。文獻[6]通過動態(tài)隨機的IPv6來代替系統(tǒng)固定地址的移動目標防御策略，構建一個私密的點對點通信的SCADA網絡，提高通信的隱蔽性，有效防御DDoS攻擊，保護了系統(tǒng)的安全性。文獻[7]通過新興的軟件定義網絡(SDN)以及網絡功能虛擬化(NFV)技術實現(xiàn)路由突變和虛擬影子網絡，以動態(tài)改變偵察包的路由，使攻擊者難以有效地識別出潛在的DDoS攻擊，保護系統(tǒng)的安全。文獻[8]針對靜態(tài)防御對APT攻擊難以有效防御的問題，總結了APT攻擊的特點，提出了一種移動目標防御架構SDMTDA，通過網絡結構的變化以及對容器節(jié)點實施物理遷移來保護系統(tǒng)安全。擬態(tài)安全防御[9](mimic security defense，MSD)則于2014年由鄔江興院士提出，它的核心思想是除目標對象的服務功能和性能不能被隱匿之外，系統(tǒng)的硬件、軟件等均可以通過動態(tài)變化的方式進行擬態(tài)偽裝，由此迷惑攻擊者，進而達到保護系統(tǒng)免于攻擊的主動網絡防御目的。在擬態(tài)安全防御的研究方面，文獻[10]提出了一種新的擬態(tài)防御模型，模型采用動態(tài)、異構、冗余機制來防御網絡攻擊，增加攻擊難度。端信息跳變[11]則由石樂義提出，并進行了系統(tǒng)實現(xiàn)，同時在文獻[12]中為解決端信息跳變系統(tǒng)的高速跳變和高隱蔽性難題提出端信息跳擴混合策略，有效地解決了端信息高速跳變下的難題。

2 總體方案

針對Web服務的安全問題進行分析研究，攻擊者的攻擊手段通常是首先獲取Web服務的IP地址及端口號，進而實施一系列的攻擊。該方案利用端址跳變策略，多樣化策略，構建一種分布式Web移動目標防御方案。為使可用性和安全性開銷達到平衡，以保證系統(tǒng)正常運作，改善系統(tǒng)健壯性，采用信息熵的方式對異常流量進行檢測進而動態(tài)調整系統(tǒng)變換策略。進一步，為防止攻擊者摸清跳變規(guī)律對系統(tǒng)構成威脅，該方案將復合混沌序列加入端址跳變圖案中以增加跳變序列的隨機性，提高系統(tǒng)的防御能力。

2.1 總體方案

該文針對目前移動目標防御系統(tǒng)變換頻率單一的問題，從系統(tǒng)安全的角度出發(fā)，建立了基于信息熵的分布式Web服務移動目標防御模型，如圖1所示。系統(tǒng)主要包括流量異常檢測模塊、策略調整模塊、服務模塊、同步模塊等。

圖1 系統(tǒng)總體框架

在基于信息熵的分布式Web服務移動目標防御系統(tǒng)中，流量異常檢測模塊通過對流量的采集分析，利用信息熵的思想計算熵值，根據熵值的大小對流量進行實時預測，控制單元根據預測結果來調整服務器集的狀態(tài)以及變換策略。

其中服務器集的服務狀態(tài)包括服務狀態(tài)、待服務狀態(tài)、自清洗狀態(tài)等，控制單元根據流量預測的結果合理地選擇服務狀態(tài)以及變換策略。端址跳變模塊、多樣化模塊部署在服務器集的各個主機上，根據控制單元下發(fā)的控制指令進行合理的策略調整，同步模塊負責將服務器集的變化信息通知可信客戶端，從而可以進行可靠的訪問，各個模塊協(xié)同合作提高系統(tǒng)的防御能力。

2.2 關鍵策略

2.2.1 網絡狀態(tài)預測

拒絕服務攻擊，即DoS(denial of service)攻擊，是危害性很大的主動式網絡攻擊方法，一直是互聯(lián)網安全的主要攻擊手段之一。攻擊者根據協(xié)議的缺陷，通過向目標主機發(fā)送大量的攻擊數(shù)據包來消耗目標主機的內存和資源，使目標主機不能夠正常地提供服務[13-14]。熵是物理學中的一個概念，它表示一個系統(tǒng)的混亂程度。把熵引用到信息論中，以此作為隨機事件不確定性的度量，稱為信息熵或香農熵。目前信息熵被廣泛地應用到各種場景中[15]。根據香農(Shannon)給出的信息熵公式，對于任意一個隨機變量X，它的信息熵定義如下：

H=-(p1lnp1+p2lnp2+…+pnlnpn)

(1)

其中，H代表了熵值，p1,p2,…,pn分別代表隨機變量出現(xiàn)的概率，且概率之和等于1，信息熵的單位為比特。

信息熵是信息論中用于度量信息量的一個概念，一個系統(tǒng)越是有序，信息熵就越低，反之，一個系統(tǒng)越是混亂，信息熵就越高。所以，信息熵也可以說是系統(tǒng)有序化程度的一個度量。

結合DoS攻擊的特點，攻擊者攻擊時通常會偽造大量的源IP進行攻擊，針對IP進行統(tǒng)計時，計算得到的熵值也將隨之改變。根據DoS攻擊的特點，當攻擊數(shù)據包越多，偽造的源IP就越隨機，會造成熵值大于正常熵值的情況。利用熵值進行檢測如式(2)所示：

(2)

其中，H代表熵值，pi代表每個源IP地址出現(xiàn)的概率，則pi=m/n，其中m為第i個IP地址出現(xiàn)的次數(shù)，n為統(tǒng)計的數(shù)據包個數(shù)。根據式(2)系統(tǒng)對采集到的數(shù)據包進行統(tǒng)計，進而進行熵值的計算。

除此之外，閾值的確定是區(qū)分網絡中正常流量和異常流量的關鍵點，因此熵的閾值的確定顯得尤為重要。該系統(tǒng)經過研究采用文獻[16]中的動態(tài)閾值方式計算閾值的設定。通過針對收集到的流量進行實時分析對比，控制單元根據服務器各個主機的流量預測，結合移動目標防御模塊做出相應的措施，改變服務主機的服務狀態(tài)以及變換方式，使系統(tǒng)防御效果達到最好。

2.2.2 移動目標防御策略

(1)端址跳變策略。

端址跳變是系統(tǒng)偽隨機地改變防御目標的IP地址及端口號來迷惑攻擊者，使攻擊者難以分析出有效的信息進而準確地發(fā)起有效的攻擊，提高系統(tǒng)的安全性。目前端址跳變的方案大多是從跳變圖案集里隨機選取下一跳地址，如果序列具有一定的相關性則很容易被攻擊者識別出跳變規(guī)律，進而發(fā)起攻擊。而混沌序列具有復雜性、隨機性、破壞相關分析實用性，使其難以被分析和預測，因此將混沌序列加入端址跳變圖案中能夠使跳變序列更加得隨機和難預測，提高系統(tǒng)的防御能力。

端址跳變可以描述為：

Hopping:(IP,Port,command)

(3)

其中，IP代表網絡中可用IP地址集合，可描述為IP={IP1,IP2,…,IPn}，Port可用的端口號可描述為Port={Port1,Port2,…,Portm}，則可供跳變的地址以及端口號共有n*m種。command表示跳變的觸發(fā)條件，實現(xiàn)地址和端口的下一跳轉移。

為了增加隨機性，引入復合混沌序列，混沌序列具有不可重復性以及不可預測性[17]。這里采用改進型的Logistic和Chebyshev復合混沌映射，將一個一維Logistic映射和一個一維Chebyshev映射相復合，得到一種復合混沌序列，使隨機性更強。根據其復合混沌序列隨機性強的特點，可以將復合混沌系統(tǒng)應用到地址跳變上，便于產生不可預測的跳變圖案。

改進型的Logistic函數(shù)的表達式為：

xn+1=f(xn)=1-2(xn)2,0

(4)

研究表明，當x∈[0,1]時，Logistic映射工作處于混沌狀態(tài)。簡單來說，在初始條件x0∈[0,1]在Logistic映射作用下產生的序列是非周期的、不收斂的。

Chebyshev混沌序列是一種一維的混沌映射，表達式為：

xn+1=f(xn)=cos(2karccosxn)

(5)

先將一個一維的改進型Logistic和一個一維的Chebyshev相復合，選取混沌序列處于滿映射狀態(tài)，取參數(shù)k=2等，可得映射：

xn+1=1-2[cos(4cos-1xn)]2

(6)

在端址跳變模型中部署一個NTP時間服務器，且在客戶端和服務器端構造參數(shù)相同的以上復合混沌映射，獲取當前NTP服務器時間戳T，并進行預處理得T0，則：

T0=F(T,Key),T0∈(0,1)

(7)

其中，Key為密鑰，F(xiàn)為預處理函數(shù)。根據初始值T0，利用復合混沌序列函數(shù)產生長度為N的混沌序列X={x1,x2,…,xn}，然后設定當0

(2)多樣化策略。

Web服務是最常用的服務，不同的配置會暴露出不同的漏洞，固定不變的漏洞容易被攻擊者發(fā)現(xiàn)，進而根據漏洞的特點，有足夠的時間對其漏洞進行分析利用。為了解決這個問題，該方案利用移動目標防御多樣化的思想，引入動態(tài)多樣性策略，可表述為S:(midware,db)，其中midware代表不同類型的中間件，可表述為midware={Apache，Nginx，tomcat，…，Lighttpd}，db代表不同類型的數(shù)據庫，可描述為db={Mysql，MongoDB,…,Oracle}。運用虛擬化技術進行部署，不同的服務器配置進行實時變換，增加攻擊者確定目標服務器的配置狀態(tài)的難度，偽隨機的動態(tài)改變，增加系統(tǒng)彈性，增大攻擊者攻擊的成本，保護系統(tǒng)安全。

3 安全性分析

本節(jié)針對基于信息熵的分布式Web服務移動目標防御方案，從有效性、安全性兩方面進行理論分析。

3.1 有效性分析

系統(tǒng)通過收集外部訪問流量的數(shù)據包，進行統(tǒng)計并計算源地址的信息熵,將熵值與正常情況下所計算的熵值進行對比，如果超出所設閾值，則系統(tǒng)將判斷為有攻擊事件，系統(tǒng)將改變跳變策略，增加跳變速率，保證系統(tǒng)的安全。

3.2 安全性分析

(1)抗跟隨攻擊。

在端址跳變策略下，端口號和IP地址等參數(shù)隨機變化，但是在每一時刻僅有一個確定的地址和端口提供服務。跟隨攻擊是針對端址跳變系統(tǒng)的一類特殊攻擊，攻擊者通過一定手段確定現(xiàn)在處于正在服務的地址信息，將集中攻擊強度對該點進行強力攻擊。當?shù)刂沸畔l(fā)生改變，舊的地址將關閉不再提供服務，攻擊者將努力地跟隨探測，使攻擊不斷指向服務的地址信息。假設δt為跳變時隙，攻擊者獲取當前地址信息并發(fā)起攻擊的總時間為Tt，由文獻[18]可知，當δt

(2)抗漏洞攻擊。

漏洞利用攻擊是攻擊者通過分析軟件、硬件或者系統(tǒng)安全策略存在的缺陷，通過對特定的缺陷進行分析，進而指定相應的攻擊方案進行有針對性的攻擊。該系統(tǒng)為增加攻擊者攻擊的成本，采用關鍵策略中的多樣化策略。假設服務器的配置由n層構成，記為L1,L2,…,Li，每層都有m1,m2,…,mi種類型，那么一共有M=m1*m2*…*mi種組合，則攻擊者漏洞利用成功的概率為1/M。此外，在該系統(tǒng)中，任務機的服務狀態(tài)不是固定不變的，而是持續(xù)性動態(tài)偽隨機的變換，即使攻擊者利用某種策略獲得服務器此時的具體狀態(tài)準備進行攻擊時，服務器的配置或者服務狀態(tài)可能已經轉變，使攻擊者攻擊失敗。

4 實驗測試與分析

針對基于信息熵的分布式Web服務移動目標防御系統(tǒng)進行有效性和安全性實驗，客戶端與服務器配置如表1所示。

(2)超前地質預報能夠讓施工更加安全快速地進行。劉云禎等[8]指出超前地質預報中具有解的不唯一性。本研究從地質預報的準確性以及可靠性出發(fā)，依靠重復預報對比以及大量的試驗，累積大量經驗使預報更加準確，在超前地質預報中可以通過地震波的負反射強度來判斷巖層的性質以及是否含有地下水。如在本工程中K4+865～K4+900處出現(xiàn)地震波強負反射，根據地震波的反射強度(負反射強度越大，反射波的振幅和周期跨度越大，巖層性質越差，有地下水的概率越大)成功地預測出在該段出現(xiàn)軟弱夾層涌水區(qū)，對隧道開挖提供了有效指導，保證隧道安全快速地進行。

表1 原型實驗配置

針對信息熵的Web服務移動目標防御系統(tǒng)模型，搭建了實驗原型系統(tǒng)。系統(tǒng)包括Web服務模塊、可信客戶端模塊、信息采集模塊等。其中服務模塊是服務器集搭建5臺Web服務器且每臺服務器搭建有各種類型的Web配置模塊、端址跳變模塊。此外系統(tǒng)還包括一臺控制器和一臺NTP服務器，控制器用于下發(fā)消息指令，使可信客戶端獲悉服務器集目前的狀態(tài)。NTP服務器用于端址跳變的精準同步，除此之外，還包括一臺攻擊機對系統(tǒng)進行各類型的攻擊。

安全性能分析如下所述：

(1)有效性。

為了驗證系統(tǒng)的有效性，系統(tǒng)通過信息熵的思想來對網絡狀況進行預測判斷，進而根據預測結果確定系統(tǒng)的跳變頻率。為了驗證DoS攻擊對源IP熵值的影響，利用Trafgen netsniff-ngv0.6.0攻擊工具分別在40 s～80 s以及160 s～200 s時對系統(tǒng)進行全力DoS攻擊，統(tǒng)計500個數(shù)據包的熵值，得出熵值的變化情況，結果如圖2所示。

圖2 DoS攻擊下信息熵的變化情況

結果表明，在系統(tǒng)沒有受到攻擊時，熵值較小，熵值在1～2附近浮動，當系統(tǒng)在40 s～80 s以及160 s～200 s時遭受到DoS攻擊時，熵值突然增大，且變化幅度大。熵值的變化，意味著DoS攻擊事件的發(fā)生，方便于系統(tǒng)對網絡狀況進行準確預測，進而自適應改變跳變頻率，使系統(tǒng)具有更強的抵御能力，驗證了系統(tǒng)的有效性。

(2)抗跟隨攻擊。

跟隨攻擊是針對端址跳變系統(tǒng)的一類特殊攻擊，攻擊者通過一定的手段確定現(xiàn)在處于正在服務的地址信息，將集中攻擊強度對該點進行強力攻擊。為了驗證系統(tǒng)的抗跟隨攻擊的能力，假設攻擊者在掌握跳變規(guī)律的情況下，分別對系統(tǒng)發(fā)起不同速率的Syn-Flood跟隨攻擊。設定慢速跳變模式為5秒一跳，快速跳變模式為0.5秒一跳，慢速跳變模式以及快速跳變模式的服務器響應時間如圖3所示。

圖3 跟隨攻擊下的服務響應時間

結果表明，隨著攻擊速率的增加，快速跳變模式下的服務響應時間比慢速跳變模式下的服務響應時間更短，防御效果更好。所以當系統(tǒng)受到攻擊時，系統(tǒng)根據實時網絡狀態(tài)動態(tài)地改變跳變模式，加快跳變頻率?？捎行У氐钟S攻擊，同時也說明了選取多樣異構的跳變策略的重要性。

(3)抗漏洞利用。

漏洞攻擊是攻擊者根據系統(tǒng)的脆弱性，利用脆弱性試圖破壞系統(tǒng)功能或者獲取敏感信息，尤其軟件或者平臺的特有的漏洞更容易被攻擊者利用。在本實驗中，為了保證攻擊者最有利的攻擊環(huán)境，讓攻擊者位于Hub構成的局域網內，且通過某種方式獲得服務器服務的地址信息，實驗通過CVE-2013-4547與CVE-2017-15715兩個常見漏洞對其不同服務器配置的系統(tǒng)進行漏洞利用，結果如表2所示。

表2 漏洞利用測試

通過測試結果可以看出，由于服務器平臺配置的偽隨機移動，根據不同的配置所存在的漏洞不相同，很大程度上降低了漏洞利用的成功率。上述實驗過程假設攻擊者獲得了服務的地址及狀態(tài)，實際上獲得具體地址與狀態(tài)難度很大，即便攻擊者確定了此刻服務器的配置狀態(tài)，攻擊者在沒有獲得權限之前，服務器可能已經轉換成另一種配置狀態(tài)或者清洗狀態(tài)，導致攻擊失敗。

5 結束語

近年來各類網絡安全問題層出不窮，主動防御概念越發(fā)引起人們關注。而移動目標防御作為主動防御的重要組成部分，在網絡安全領域起著關鍵作用。針對移動目標防御策略變換策略的單一性問題，該文分析了網絡變化特點，利用信息熵的思想來預測異常攻擊，提出了一種基于信息熵的分布式Web服務移動目標防御方案，通過實時對流量信息的預測，從而預估是否有異常攻擊流量，進而對服務器集的變換方式以及變換頻率進行調整。實驗結果表明，該方案可有效地抵御截獲攻擊、拒絕服務攻擊、跟隨攻擊、漏洞攻擊等，有效地提高了系統(tǒng)的安全性和可用性。