面向隔離區異構平臺的動態防御主動遷移策略*

馬潤年，陳彤睿，王 剛，伍維甲

（空軍工程大學信息與導航學院，西安 710003）

0 引言

隔離區（DMZ，Demilitarized Zone）是針對安裝防火墻后外部網絡與內部網絡無法連通，在外部非安全區域與內部安全區域之間設立的緩沖區，又稱“非軍事區”。外部非信任區用戶和內部信任區用戶可以共同訪問DMZ區，從而滿足系統對網絡安全和服務需求的平衡需求。目前，隔離區安全防護系統主要采用靜態部署，一定程度上緩解了外界對內網的安全威脅，但是靜態防御仍面臨著攻防局面不對稱、零日漏洞威脅、可選防御策略少等隱患[1]。近年來，動態目標防御（MTD，Moving Target Defense）技術成為網絡安全防御的焦點，如在Linux內核PaX補丁中實現的地址空間隨機化技術[2]，網絡防御由靜態被動向主動轉變成為網絡安全的發展趨勢。根據網絡信息體系結構劃分，動態目標防御分為軟件、網絡、平臺和數據4大類技術[3]，其中平臺動態防御技術針對系統設計采用單一架構的特點，可考慮用來解決平臺層面靜態安防系統的固有缺陷。

目前比較成熟的平臺動態防御技術包括基于動態可重構的平臺動態化[4]、基于異構平臺的應用熱遷移[5]、Web 服務多樣化[6]和基于入侵容忍的平臺動態化[7]等。隨著平臺計算能力、操作系統、應用程序和虛擬化技術的新近發展，基于異構平臺的應用熱遷移和Web服務多樣化技術的可操作性越來越強[8]。文獻[5]在內核級、操作系統層面和硬件層面的移動目標防御中，提出了基于異構平臺的應用熱遷移技術。文獻[9]設計了基于云環境的多樣化虛擬機池，通過快照和恢復技術，實現流量和服務的動態遷移。文獻[6]應用Web服務多樣化技術，提出了虛擬服務器棧設計方案。文獻[10]提出了面向DNS和Web服務器的SCIT（Self-Cleaning Intrusion Tolerance）技術框架。文獻[11]應用多態化軟件棧模板，設計了異構虛擬服務器池。文獻[12]提出了一種多樣化環境下的移動目標防御方法，通過引入多樣性的用戶端、服務器端和網絡端，在運行過程中不間斷地進行切換。文獻[13]提出了一種軟件定義APT攻擊移動目標防御網絡架構SDMTDA。文獻[14]基于Web應用的服務器端各結構層次，在應用邏輯層、Web服務器層、數據存儲層、操作系統層、基礎架構層實現多樣性設計。文獻[15]提出了適應性移動目標防御框架（AMTD），提供由安全警報觸發的反應性防御和定時器到期事件觸發的主動防御。

總體上，對于隔離區的網絡安全防御而言，還需要適應隔離區安全防御新需求和動態目標防御技術特點，開展深入研究。1）現階段隔離區安全防御研究主要針對單一類型平臺，如文獻[5-11]，但是現實隔離區往往是多類型異構網絡平臺，可以在防御策略設計中利用多類型異構特點，構建更加有效的平臺動態防御體系；2）在策略設計過程中，靜態防御主要通過“筑高墻、補漏洞”等策略，單一類型平臺動態防御主要考慮平臺暴露時間、遷移次序等因素[16]。對現實網絡安全而言，策略設計還要考慮異構平臺之間遷移的規則和實現技術，以及由此帶來的安全性不平衡等問題；3）平臺動態防御效果的評估問題，應結合MTD和平臺動態防御原理、技術和策略，參照傳統效能評估指標，如文獻[17-19]，建立起科學的平臺動態防御效能指標體系。

本文從隔離區平臺動態防御原理分析入手，結合網絡攻防特點，考慮平臺暴露時間和隨機遷移次序等因素，提出了面向隔離區的3種平臺動態防御主動遷移策略，設計了策略評估指標和系統效能計算方法。

1 隔離區平臺動態防御原理

DMZ區一般部署有防火墻、入侵檢測系統（IDS，Intrusion Detection Systems）、Web 服務器和堡壘主機以及交換機/路由器等設備。防火墻控制訪問規則，僅允許外網用戶訪問Web服務器的HTTP和FTP服務，以及堡壘主機上的SMTP服務；IDS監視網絡的運行狀況，發現異常行為即刻告警；堡壘主機負責保衛內網，外網用戶想要訪問內網必須獲得堡壘主機賦予的相應權限；Web服務器為外網用戶提供內網允許公開的信息服務。內網信任區上的訪問控制規則規定，DMZ區的Web服務器和內網的主機用戶群可以對文件服務器和數據庫服務器進行訪問；其他網絡節點和端口均進行阻斷[20]。

攻擊者要想對內網節點進行攻擊，必須首先獲得DMZ區堡壘主機或Web服務器的相應權限。權限分為多個級別，一般只有root權限才能對內網節點發動攻擊行為。從攻擊者的角度看，其策略包括以下3類：1）發現Web服務器漏洞→獲取Web服務器權限→攻擊文件/數據庫服務器；2）發現堡壘主機漏洞→獲取堡壘主機權限→停止Web服務器動態遷移→獲取Web服務器權限→攻擊文件/數據庫服務器；3）發現堡壘主機漏洞→獲取堡壘主機權限→攻擊內網用戶[19]。傳統的靜態防御系統通過在堡壘主機和Web服務器上升級殺毒軟件，及時打漏洞補丁，以及依賴于IDS告警時進行端口控制等措施確保系統安全。但是隨著先進持續性威脅（APT，Advanced Persistent Threat）增多，網絡攻擊的強度越來越強，操作系統等軟件的安全漏洞層出不窮，修補速度甚至呈現出趕不上漏洞發現速度的趨勢，采取靜態防御的安全系統越來越力不從心。以攻擊Web服務器為例，一旦攻擊者獲知了服務器上可利用的未修補提權漏洞，就可以輕而易舉拿到root權限，可進一步對內網進行攻擊，漏洞從發現到修補都需要一定的時間，有時甚至間隔數月之久，此時網絡就始終處于危險境地，很難保證接入外網時的安全。

針對隔離區對提升堡壘主機和Web服務器安全性能的需求，參考典型企業網絡靜態防御系統模型[20]，設計一種面向DMZ區的平臺動態防御系統，拓撲結構如圖1所示。堡壘主機硬件平臺上虛擬化多個獨立異構的操作系統環境，如堡壘主機H1裝載Windows 7操作系統，堡壘主機H2裝載Linux操作系統等，采用基于異構平臺的應用熱遷移技術保證堡壘主機的異構系統間環境和狀態的遷移，通過虛擬化技術部署構造異構的多種系統平臺，以及搭載在系統上的多種異構軟件，使進入系統的訪問以安全可控的方式隨機化地在不同平臺上遷移，減少單一結構平臺暴露給外界的時間[5]，圖1中實線代表處于上線狀態的堡壘主機與網絡中其他設備處于連接狀態，虛線代表其他候選堡壘主機平臺與其他設備處于待連接狀態。在Web服務器的部署方面采用動態多樣化技術，創建多個具有不同軟件架構的虛擬服務器，按照虛擬化平臺、操作系統、Web服務器軟件、Web應用程序的層級結構搭建。通過加設調度器使這些服務器動態地在離線與在線狀態切換，以響應來自外界的服務請求，同時配置可信控制器來控制調度器以及虛擬服務器的啟動和安全[6]?？紤]到可信控制器為Web動態多樣化技術的關鍵，一旦受到破壞，Web服務器的遷移就會被癱瘓。因此，考慮將可信控制器配置在堡壘主機上，通過堡壘主機的動態遷移保護可信控制器。

圖1 面向DMZ區的平臺動態防御網絡拓撲圖

攻擊者的攻擊殺傷鏈一般分為5步：“偵察-訪問-編寫攻擊代碼-發起攻擊-持續”[22]，其完成完整的殺傷鏈需要一定的時間。在DMZ區平臺動態防御過程中，若T1時刻上線平臺為Web服務器1和堡壘主機1，T2時刻變為Web服務器2和堡壘主機2，攻擊者在T2-T1的時間內需要通過Web服務器1或通過堡壘主機1兩條攻擊路徑中的任意一條完成完整的殺傷鏈，若不能則需要在T2時刻重新回到殺傷鏈第一步——對未知平臺進行偵察。因此，平臺允許存在未被發現或未來得及修補的漏洞，并且不與傳統靜態防御措施相沖突，可在平臺下線后對系統漏洞進行修補或進行系統清洗維護，提升平臺的安全性能，使得平臺再次上線后更加難以被攻破，提升系統整體應對網絡攻擊的能力。

2 動態防御策略設計

通過以上分析可以看出，系統達成防御目的需要具備兩個因素：一是趕在攻擊者完成攻擊前完成狀態遷移，即時限因素；二是增強攻擊者對系統環境的不確定性，即系統隨機化因素[22]。系統的這兩項因素由動態防御策略所決定，在不同動態防御策略下，系統各平臺上線時限不同，遷移規則不同，所具備的隨機化程度也不同。攻擊者在攻擊系統時，若平臺遷移越快，則留給攻擊的窗口時間越短；若系統擁有一定數量規模的候選平臺，在這些平臺間遷移規則的隨機化程度越高，攻擊者越摸不清平臺間的遷移規律，也就無法針對下一平臺提前做好準備展開攻擊行動。

基于以上分析，面向隔離區的平臺動態防御應通過攻擊面暴露時間Λt和平臺選擇的隨機化程度r兩個參數的優化調整，提升防御效能。綜合考慮具體情況，以下給出了3種動態防御策略。

策略1固定時間間隔-順序平臺選擇策略。指為每一類候選平臺分配相等的暴露時間，遷移次序固定。

考慮到系統部署的初始階段，通過降低策略設計的復雜性以實現快速部署。在設置平臺暴露時間上，根據前文對攻擊者攻擊策略的分析，若攻擊者將攻擊文件/數據庫服務器作為目標，在Web服務器和堡壘主機同步變化的條件下，通過Web服務器進行攻擊的路徑為最短路徑，攻擊者會傾向于選擇此策略。并且因為Web服務器為服務資源而堡壘主機為防御資源，在通常情況下堡壘主機的安全性能會高于Web服務器，也使得攻擊者有較大的可能性攻擊Web服務器。因此，在參數設置時，應設置Web服務器平臺暴露時間小于堡壘主機平臺暴露時間，增加攻擊Web服務器的難度。在平臺遷移次序上，按照固定周期循環進行。

策略2固定時間間隔-隨機平臺選擇策略。指在策略1基礎上，將遷移次序改為隨機序列。

考慮到若持續采取策略1，攻擊者通過長時間偵察，較為容易找到平臺的固定遷移次序周期，而后可以通過預先準備，在輪轉到目標平臺時可以直接進入到加載攻擊代碼階段，在極短時間內完成攻擊行動，使平臺動態防御失效。若使平臺遷移次序，遵循事先設計的隨機規律，攻擊者將很難預料到下一時刻的平臺對象，就無法做到預先準備，從而減少被攻擊成功概率，提升防御效果。

策略3基于平臺安全等級的可調時間間隔-隨機平臺選擇策略。在策略2基礎上，根據每一平臺的攻擊面大小來分配暴露時間，攻擊面小的平臺相對攻擊面大的平臺分配的暴露時間按一定規則延長。

從安全性角度考慮，攻擊面小的平臺具備較高的安全等級，攻擊者能夠攻破的概率較低，攻擊時間會相應延長，高安全等級平臺在線時容易收獲較高的安全收益。從成本角度思考，將高安全等級平臺的在線時間延長，可以減少單位時間內平臺遷移的頻率，由此降低成本。

3 安全評估指標及效能計算

為有效度量系統的防御效能，建立相應的安全評估模型和配套指標，給出了基于各項指標的效能計算方法。

3.1 平臺動態防御安全評估模型

參照動態目標防御單階段博弈模型[20]，提出平臺動態防御安全評估模型（PDDSEM，platform dynamic defense security evaluation model）。

定義 1 PDDSEM用四元組（P，S，D，U）描述，其中：

3.2 防御指標

結合前文分析，根據安全評估模型所包含要素，考慮平臺動態防御時限要素和隨機化要素，以防御收益與成本比值作為衡量防御效能的目標。選取攻擊面暴露時間Δt、候選平臺數量ca和隨機化程度r作為策略量化指標，防御收益DE（Defense Earning）、攻擊面轉移成本ASSC（Attack Surface Shifting Cost）和負面影響NC（Negative Cost）成本作為系統效能計算指標。

定義2攻擊面暴露時間Δt。指單一平臺在線提供服務的時間。平臺在線狀態下會被攻擊者偵察和攻擊，一旦攻擊者在Δt時間內完成攻擊行動，則防御失效。在攻擊面暴露時間的選取上，可采取固定時間間隔，也可使用可調時間間隔。

定義3候選平臺數量ca。指某類平臺可選擇遷移的平臺空間，異構平臺越多，可變策略就越多，攻擊者就越難以對系統進行偵察和攻擊。為保證動態防御有效，規定 2≤ca≤n，ca∈N+，否則該類平臺只能進行靜態防御。

定義4隨機化程度r。是對動態防御策略平臺遷移規則的不可預測性進行衡量。平臺遷移方式的隨機化程度越高，攻擊者就越難以掌握遷移規律。r的大小與平臺被選擇的概率有關，即與ca和遷移規則有關。目前有順序選擇、根據函數計算選擇（偽隨機）、根據安全等級選擇等遷移方式可供參考[23]。

定義5防御收益DE。指防御方阻止攻擊行為收獲的系統安全價值，其與資源的重要程度Cr（Criticality）和防御時間有關，防御方能阻止攻擊者入侵資源的時間越長，DE越大。

定義6攻擊面轉移成本ASSC。指平臺遷移時需要付出的系統開銷，其大小和平臺間的相似度有關，相似度越小，意味著遷移前需要做的準備工作越多，轉移成本也就越高。

定義7負面影響成本NC。指平臺發生遷移時，帶來的工作或服務質量下降，變換頻率越快，質量下滑越明顯，負面影響也就越大。根據頻率與時間呈反比關系，可得負面影響成本與攻擊面暴露時間呈反比關系。

3.3 防御效能計算

根據各項指標，給出系統防御效能計算方法。

1）根據每一平臺的所有漏洞基本度量值評估每一平臺攻擊面大小sij，并賦值。

2）根據sij計算攻擊者的攻擊平均周期與呈反比關系，即，其中，β為攻擊周期系數。也可用矩陣表示為

3）根據采取的動態防御策略設定ca和t，并計算r。其中Δt取可調時間間隔時，應用Δtij分別表示每一平臺的暴露時間。若，意味著在此時狀態下系統能被成功突破，則防御效能為0。若則進入步驟4）計算。隨機化程度r參照信息熵定義計算，若策略設定在同類中選擇下一平臺的概率用馬爾科夫轉移矩陣表示為，其中，，則計算某類平臺在該策略下的隨機化程度ri為

4）文獻[3]中關于攻擊探測概率的定義，在不考慮報文攔截率的情況下，計算其中一類平臺攻擊探測概率為

5）計算在[0，T]時間內的防御收益DE為

6）計算在[0，T]時間內該動態防御策略下系統的NC和ASSC，其中，若，，分別表示在[0，T]時間內各平臺上線次數，則根據定義8，，其中，α為負面成本系數。ASSC需要根據策略規定的遷移序列計算，例如定義堡壘主機平臺間轉移成本矩陣為，其中，矩陣元素，表示由i號平臺遷移到j號平臺時消耗資源的成本，aii=0表示平臺沒有發生遷移；同理，可定義Web服務器平臺間轉移成本矩陣為。若給定堡壘主機和Web服務器遷移序列分別為和，則。

從式（5）可以看出，防御效能并不僅僅隨著防御收益的增加而增加，還需考慮成本因素，若只注重安全，一味縮短平臺暴露時間，會導致成本的加速上升而使效能減少。簡言之，若防御收益的增速不及成本增速，就會導致效能下降。

4 仿真分析

4.1 仿真實驗環境

按照第1節中設計的面向DMZ區的平臺動態防御系統，在實驗環境中采用3種不同操作系統搭建堡壘主機平臺，堡壘主機H1裝載Windows 7操作系統，堡壘主機H2裝載Linux操作系統，堡壘主機H3裝載Windows 10操作系統；在部署Web動態服務器方面，搭建3種不同的Web服務器平臺，具體內容如表1所示。

表1 采用的Web平臺具體架構

應用Nessus工具掃描給定實驗網絡環境，挖掘系統各平臺漏洞，根據國家信息安全漏洞庫[24]和美國國家漏洞庫[25]有關數據，獲得平臺漏洞信息如下頁表2所示。

根據定義1模型中對平臺攻擊面的分析，對堡壘主機類平臺的攻擊面分別賦值：s11=7.2，s12=7.2，s13=6.1?？紤]到Web服務器類平臺具有4層架構，處于底層的技術漏洞產生的影響和后果可能波及上層軟件[6]，因此，對Web服務器類平臺采取分層加權的方式為攻擊面進行賦值，從最底層到最高層按照“虛擬化平臺-操作系統-Web服務器軟件-Web應用程序”分別取 0.4、0.3、0.2、0.1 的權重，則計算 Web 服務器類平臺攻擊面得：s21=7.47，s22=6.91，s23=5.34。

4.2 關鍵參數取值

為對不同動態防御策略下系統的防御效能進行比較，對部分參數統一如下：

1）根據攻擊者獲取root權限后對內網的危害程度，設堡壘主機的重要程度Cr1=1 000，Web服務器的重要程度Cr2=800；2）根據實驗環境中同類平臺間的相似度，設遷移成本為：堡壘主機；Web動態服務器；3）負面成本系數 α=10；4）觀測時間 T=80。

3種策略仿真參數取值為：

策略1中根據Web服務器的變換頻率應大于堡壘主機的變換頻率原則，在取值時考慮，其中，取 Δtij均為整數，且，以 Δt2j為參考橫坐標，在 Δtij∈（0，13]內進行仿真分析。在隨機化程度的設定上，因為固定順序下一平臺出現的概率為1，因此，由式（2）得。

表2 各平臺漏洞信息

策略2中Δtij設置與策略1相同。在隨機化程度的設定上，采取完全隨機方式，所有平臺被選擇概率相等，即，由式（2）得。

策略3中Δtij取值上，按照的原則，取Δtij均為整數，則以最小的Δt21為參考橫坐標，其他數值取值為，在 Δt21∈[1，9]內進行仿真分析。隨機化程度r取值與策略2相同。

4.3 仿真結果分析

圖2～圖5分別給出了3種策略攻擊探測概率、防御收益、攻擊面轉移成本、負面影響成本和防御效能的仿真結果。

圖2 3種策略攻擊探測概率比較

從圖2可以看出，隨著平臺暴露時間逐步增長，3種策略的2類平臺攻擊探測概率都呈增長趨勢，符合單一平臺暴露時間越長，越有可能被攻陷的結論。相應在圖3中，平臺暴露時間越長，攻擊探測概率越高，防御收益也減少，驗證了對式（4）的分析。策略2、策略3相對策略1增加了隨機化影響，攻擊探測概率降低，防御收益較高。

圖3 3種策略防御收益比較

圖4 3種策略ASSC與NC比較

分析圖4可知，攻擊面轉移成本隨平臺暴露時間的增長而減少，單一平臺暴露時間越長，平臺遷移次數下降，則所需的轉移成本也越少。同理，平臺遷移次數越小，則越能使業務承載不間斷，從而降低了負面影響成本。策略1與策略2的Δt取值相同，觀測時間內遷移次數也就相同，因此ASSC與DC相等。策略3的Δt取值以Δt21為基準，根據攻擊面大小進行排序后分別賦值，平臺遷移次數下降多，成本由此降低。

圖5 3種策略防御效能比較

從圖5可以看出，防御效能隨著平臺暴露時間的增長總體呈現逐步增長的趨勢。策略1在Δt1j=9時出現極值點，表明若將平臺暴露時間控制在攻擊者完成對平臺的攻擊周期內，則隨著平臺暴露時間的增長，防御收益呈一次方下降趨勢，而轉移成本和負面影響呈反比例下降趨勢，相對防御收益隨時間增長下降較慢，防御效能會在某一時刻出現極值點，與式（5）的分析結果一致。對比不同策略下的防御效能，分析可得策略2相對策略1受隨機化程度影響，防御效能較高。策略3與策略2相比，由于根據攻擊面大小設置可調暴露時間，受隨機選擇平臺影響，遷移序列不固定，防御效能呈現不穩定增長趨勢，但總體效能仍高于策略2。

仿真結果表明，針對平臺安全等級設置攻擊面暴露時間相比，采取固定暴露時間能夠獲得更好的防御效能，采取隨機化的遷移序列比采取固定遷移序列的防御效能更高，也就是說基于平臺安全等級的可調時間間隔-隨機平臺選擇策略在3種策略中最優。

5 結論

本文針對隔離區安全資源靜態被動防御問題，引入動態目標防御理念與技術，設計了3種面向隔離區平臺動態防御的主動遷移策略。針對不同策略條件下系統的效能評估問題，提供了安全評估指標和效能計算方法。下一步需要結合系統在實際網絡環境中的運行情況，進行數據采集，驗證并改進評價指標，豐富可選策略。