摘要
移动目标防御(MovingTargetDefense,MTD)是改变当前网络空间“易攻难守”的攻防不对称局面的革命性技术之一。MTD的基本思想是通过持续不断地转换攻击面(Attacksurface),增加攻击者的不确定性、困难性及复杂性。如何选取攻击面中需要转换的属性,提高属性攻击面转换空间是MTD领域研究的重点问题。多样化(Diversity)、冗余(Redundancy)和欺骗(Deception)是当前属性攻击面转换空间构造的主流方法。其中,多样化和冗余策略在构建攻击面转换空间时,存在构建成本高以及系统兼容性等问题,使得传统的移动目标防御无论在理论研究,还是在实际应用中都存在很大的瓶颈。而欺骗策略则为解决这一困难问题提供了契机。欺骗策略由于其虚虚实实的变化,蜜罐、蜜饵、面包屑等多样化的欺骗方式,以及构建成本低、构造欺骗属性容易等特性,被提出用于扩大攻击面转换空间,成为MTD研究的重要技术手段和工具。因此,研究基于网络空间欺骗的移动目标防御技术,对提高移动目标防御的安全性,进一步推动移动目标防御方向的研究具有重要意义。 网络空间欺骗由于其多样化的变化形式,为MTD系统提供了增加属性攻击面转换空间的手段,提高了MTD的防御熵。具有的优势如下:1)改变攻击者对目标系统的认知,影响攻击者的入侵行为,诱导其按照防御者的意志进行选择。2)检测并追踪攻击者的入侵行为轨迹。欺骗可用于检测针对系统的网络攻击、系统攻击面的变化等。通过收集攻击者的动机、攻击工具、攻击技术等信息,分析攻击者的意图,使防御者提前修补系统漏洞,或转移攻击面属性,达到主动防御的目的。3)消耗攻击者的资源,增加攻击的成本。攻击者需要从大量的虚假资源中辨别真实的目标,甚至有可能“陷入”虚假资源中,浪费时间与资源,或者不得不多次重新探测、攻击,甚至最后放弃攻击。 基于欺骗的动态防御技术进一步改变了网络空间攻防不对称的格局,是MTD研究和发展的重要方向。本文以网络空间欺骗(Cyberdeception)为基础,比较了基于网络空间欺骗的移动目标防御与非欺骗移动目标防御的差异,研究了欺骗移动目标防御机理;以此为切入点,对数据层与应用层MTD的关键技术进行了研究;同时,提出了基于博弈论的欺骗MTD安全评估方法。具体的研究成果和贡献如下: (1)基于MTD攻击面理论,提出了欺骗攻击面的概念,对基于欺骗攻击面的欺骗移动目标防御进行了形式化定义。比较了基于网络空间欺骗的MTD与经典MTD(基于多样化和冗余的MTD)的差异,提出了欺骗MTD的五个安全属性,即属性真伪度变化、欺骗属性转换空间、欺骗属性转换频率、欺骗属性分布,以及攻击能力;根据已有研究从多维度对基于欺骗的MTD技术及其应用进行了探索与分类,并归纳了研究面临的主要问题与挑战,为后续基于网络欺骗的MTD的技术研究奠定了基础。 (2)针对Web应用的移动目标防御技术,对攻击面移动时的多属性转换问题进行了研究。提出了基于Web基因树的移动目标防御技术,针对典型的Web应用系统,构建了Web应用系统攻击面。通过随机化Web基因,或插入欺骗基因等方法,实现攻击面的转换,解决了多属性转换覆盖性不足问题。随着Web应用复杂度的增加和代码规模的扩大,现有的WebMTD技术因为只能转换有限的、固定的属性,导致系统防御能力下降。而所提方案由于具备全属性转换的能力,可动态抽取的Web基因数量逐渐增加,进一步提高了系统的防御能力。此外,提出的方案可抵御多种Web攻击,如扫描/探测、SQL注入攻击、跨站脚本攻击等,进一步提高了Web系统的安全性。 (3)针对数据层的移动目标防御技术,对如何抽取欺骗关键属性、构建欺骗面和扩大攻击面的转换空间问题进行了研究。针对静态数据存储与访问的单一性和同质性问题,提出了一种基于网络空间欺骗的数据移动目标防御方法,通过引入欺骗技术增加数据的多样性与动态性,扩大了数据攻击面的转换空间,解决了数据攻击面转换空间不足的问题。实验结果表明,提出的动态数据技术能有效地扩展攻击面的转换空间,保护敏感数据,且不会对系统性能产生明显的影响。 (4)提出了基于博弈论的欺骗MTD成本-效益评估方法。构建了基于欺骗的移动目标防御博弈模型,以欺骗攻击面的变化为基础分析并量化了防御者与攻击者的效益函数。此外,进一步探讨了更具体的欺骗博弈场景,并对引入虚假信号后的贝叶斯纳什均衡结果进行了分析,讨论了均衡路径与非均衡路径下的最优决策。最后分析了三种不同实例场景下的攻防策略。
NETL